Снифование и логирование аськи и почты на роутере.

[terapeut]

Поставлена задача организовать:

- перехват траффика на шлюзе в интернет.

- раскодировку, выделение траффика средств персональной коммуникации, таких как ICQ, e-mail, IRC и т.п.

- полное логирование в более-менее удобочитаемом виде с сохранением на CD-R в зашифрованных архивах.

 

В общем всё понятно, кроме того, как лучше сконвертировать выделенный траффик в более-менее человеческий вид, чтобы это не был просто файл дампа пакетов и там при необходимости, неспециалист мог осуществлять поиск, сортировку и т.п. Особенно это касается ICQ. Идеально - сбрасывать уже разобранную инфу в MySQL.

[avm]

сорм :))) Отслеживать пакеты по последовательности/сессиям/службам + превращение их в непрерывный текстовый поток - даже это не то что им будет достаточно.

 

Имхо, задачу эту решать нужно для каждого протокола отдельно. Метод = proxy. Например в случае SMTP - mail server мой, а в логине должен быть указан в виде логин_на_чужом_smtp_сервере!чужой.smtp.server. Метод конечно модет быть и не именно такой, но принцип - proxy. Прога, выступающая в качестве такого smtp proxy, коннектится к указанному в логине серверу и дальше прозрачно через себя все и передает, складируя все сообщения. Аналогично POP3. Чуть сложнее IMAP. ICQ проще - у него вышестоящий сервер - безальтернативный. Web, ftp - просто логи с ссылками...

 

Зато какая возможность для универсальной фильтрации контента.

 

P.S. наверняка есть полностью готовое решение.

[terapeut]

Не буду даже пытаться представить, сколько стоит "полностью готовое решение".

Пока вопрос о сколько-нибудь существенных затратах не стоИт, только в пределах наших карманных денег =). Тоесть всё на стадии проработки вопроса и создания экспериментальной системы. На счёт почты - уже всё практически ОК, сделано что-то вроде прозрачного прокси. С http и ftp -- тоже просто. Вот с аськой MSN и т.п. - сложнее. А какой сервер? всунуть его между клиентами и мирабилисом? а прозрачно это получится -- заворачивать на него?... Пока обходимся ICQSniff, но это галимая поделка, тем более - под винды. Ну и плюс (почти) весь траффик тупо пишется, на всякий пожарный.

Изменением настроек на клиентах - не подходит. Бывают "залётные" клиенты сети с ноутами и т.п. Они в неё включаются на основании некоторых документов, где прописано, что можно и что нельзя и что за это может быть, но их никто не читает и объяснять им что вот, "вбейте настройки нашего шпиёнского комплекса в свой ноут" не желательно. Скорее наоборот, пусть лучше расслабятся и чувствуют себя хакером Пупкиным в тылу врага.

[avm]

Заставлять что-либо ставить/прописывать/делать клиента нельзя - поскольку не все сделают то что нужно... Трафик направленный на www.icq.com (или что там?) нужно заворачивать на свой сервер/прогу, а от себя уже генерить сессию прозрачно... за основу (протокол общения) можно взять jabber.

 

Хотя в штатных настройках licq (linux) есть работа через http/https proxy - наверное естьи в win...

 

А как сделали "что-то вроде прозрачного прокси" для почты? решение на linux? Вам его не жалко опубликовать?

[jab]

big brother watches you © George Orwell

[Guest]

вы не забывайте что icq при работе через https шифрует весь трафик. и "клиент" может работать со своим шпионским сайтом через https. встают вопросы дешифрации. не всё так просто и сладко в вопросах перехвата трафика.

[avm]

важно не посмотреть что внутри - важно отдать последовательный текстовый файл с полной идентификацией "кто что куда/откуда". и желательно, чтобы "кто" - был реальный абонент (с фамилией именем и отчеством). smtp/pop3 в виде отдельных писем, web/ftp в виде ссылок, icq в виде сообщений (хоть закодированных). остальные услуги - не предоставляем! а расшифровывают пусть сами ;)