Velmi podrobné monitorovaní sítě

Čmuchal

Velmi podrobné monitorovaní sítě
« kdy: 17. 11. 2013, 23:02:42 »
Jaké znáte nejpropracovanější softwárové, nebo i hardwárové řešení pro velmi podrobné monitorvání provozu na síti?
Jde mi i o nějaké špionážní funkce. Například kdysi jsem četl, že je možné nějákým útokem dešifrovat HTTPS komunikaci téměř v reálném čase, tak jestli to například někdo integroval do svého produktu.



« Poslední změna: 18. 11. 2013, 13:18:11 od Petr Krčmář »


Čmuchal

Re:Velmi podrobné monitorovaní všeho provozu v mé síti.
« Odpověď #1 kdy: 17. 11. 2013, 23:05:11 »
Mám na mysli něco, co by sloužilo jako router a provádělo nějakou hlubokou analýzu provozu.

Pupi_1

Re:Velmi podrobné monitorovaní všeho provozu v mé síti.
« Odpověď #2 kdy: 17. 11. 2013, 23:09:15 »
Viem, ze od spolocnosti CISCO su routre, ktore dokazu monitorovat internet. konkretne ide o technologiu NetFlow.

PANKapitanRUM

Re:Velmi podrobné monitorovaní všeho provozu v mé síti.
« Odpověď #3 kdy: 17. 11. 2013, 23:15:03 »
Třeba router TURRIS ;D óóóó jak ho miluji ;D

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Velmi podrobné monitorovaní všeho provozu v mé síti.
« Odpověď #4 kdy: 17. 11. 2013, 23:50:53 »
Mrknete na http://www.xplico.org, ale https asi tezko. Pokud potrebujete lepsi, musite se obratit na NSA.


trolololollo

Re:Velmi podrobné monitorovaní všeho provozu v mé síti.
« Odpověď #5 kdy: 18. 11. 2013, 00:16:39 »
ak kontrolujete pocitace v sieti, da sa aj https...SSL proxy spoofujuca certifikaty, cert autorita ktore ich generuje musi byt trusted na jednotlivych pc... ma v ponuke napr Bluecoat ale aj ini...

Jimm

Re:Velmi podrobné monitorovaní všeho provozu v mé síti.
« Odpověď #6 kdy: 18. 11. 2013, 11:26:03 »
A je to morální? K čemu to má sloužit? To mi už přijde lepší blokace.

Sten

Re:Velmi podrobné monitorovaní všeho provozu v mé síti.
« Odpověď #7 kdy: 18. 11. 2013, 12:01:57 »
HTTPS komunikaci jde dešifrovat tak, že proxy generuje certifikáty pro jednotlivé servery za použití certifikační autority, která byla nainstalována jako důvěryhodná na všech počítačích — umí to třeba Squid. Funguje to ale jenom pro klasickou proxy (nastavenou ručně nebo přes WPAD), nikoliv transparentní. Ti nejlepší používají (nebo alespoň používali) subCA certifikáty od standardních certifikačních autorit, aby se nemuselo na počítače nic instalovat, ale ty certifikační autority se s vámi o vydání subCA certifikátů nejspíš moc bavit nebudou. Real-time prolamování HTTPS funguje jen v NSA^H^H^HCSI Miami :)

Co se týče ostatního (nešifrovaného) provozu, úplně na to stačí tcpdump.

Ale pokud tohle chcete používat na nějaké síti s více osobami, tak si nejprve přečtěte § 182 TZ.

maros

Re:Velmi podrobné monitorovaní sítě
« Odpověď #8 kdy: 18. 11. 2013, 19:21:04 »
Monitorovanie: SNMP + IDS + NetFlow + aplikacne proxy.
SSL dekryptovanie maju hardverove firewally od strednej triedy vyssie.

vty67

Re:Velmi podrobné monitorovaní sítě
« Odpověď #9 kdy: 19. 11. 2013, 13:17:03 »
Sten: https proxy jak popisuješ u Squid, ale transparentní IMHO už zřejmě existuje.
Šla by realizovat v OpenBSD pomocí paket filtru pf a "SSL inspection" módu relayd (od verze 5.4 OpenBSD).
Popis fungování v příslušné sekci manu relayd.conf:
http://www.openbsd.org/cgi-bin/man.cgi?query=relayd.conf&sektion=5&arch=&apropos=0&manpath=OpenBSD+Current

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Velmi podrobné monitorovaní sítě
« Odpověď #10 kdy: 19. 11. 2013, 13:51:18 »
Cmuchalum, co si hraji na NSA, by stejne bylo nejlepsi dat par facek.

j

Re:Velmi podrobné monitorovaní všeho provozu v mé síti.
« Odpověď #11 kdy: 19. 11. 2013, 18:49:00 »
A je to morální? K čemu to má sloužit? To mi už přijde lepší blokace.

Nejen ze to je nemoralni, ono je to i nezakonne, dokonce je to trestny cin.

pavele

Re:Velmi podrobné monitorovaní sítě
« Odpověď #12 kdy: 19. 11. 2013, 19:00:47 »
Chcete tím říci, že je možné se nabourat/odposlechnout např. internetové bankovnictví, které probíhá právě přes https, pokud se dotyčný "dostane do cesty" (já-ve-firemní-síti->internetové bankovnictví přes https)?

j

Re:Velmi podrobné monitorovaní sítě
« Odpověď #13 kdy: 19. 11. 2013, 21:11:42 »
Pokud uzivatel nekontroluje certifikaty, tak to mozne je. Vyuziva se toho, ze prohlizec "duveruje" nejaky autorite a tudiz nezobrazi zadny varovani. Ale pokud se podivas, tak zjistis, ze podepsany to je uplne necim jinym nez by byt melo.

Ty defakto nedelas nic jinyho, nez ze uzivateli podstrcis "svuj" https web. Priklad, otevres si https://csob.cz  => tohle proxina vidi, protoze tim zahajujes komunikaci na port 443 ... odchyti to a posle stejny req ... stahne si tu stranku => normalne ji vidi, a zasifruje ji svym certifikatem (kterymu ty duverujes => zadny varovani) a vrati to jako odpoved tvymu prohlizeci. Pokud se ty spokojis tim, ze https je "zeleny" a nepodivas se na certifikat ... tak nic nezjistis.

Jimm

Re:Velmi podrobné monitorovaní sítě
« Odpověď #14 kdy: 20. 11. 2013, 14:50:01 »
Pokud je to prostředí firmy, stejně tam mají jejich pc a pokud tam mají jejich pc, řeší to keyloggery. :)