[shicoy]

Возникла не совсем простая задача.

В офисе нужно организовать просмотр трафика юзеров.

Смысл в том, что нужно смотреть web трафик. Т.е. не просто кто куда, а именно содержимое полученных страниц, картинок.

Если ко всему прочему получится видеть скайп-переписку, скайп-звонки, видеоролики, то вообще супер.

Объем трафика до 100Мбит/сек.

 

 

Какие решения есть?

[terrible]

просрачная прокся?

[littlesavage]

Можно попробовать snort'ом вылавливлать по контенту нужный трафик.

Затем дампы в формате tcpdump обрабатывать еще чем-то :)

[xeb]

wireshark

[мишаня сучков]

р админ постави и будешь видеть рабомий стол юзера.

[-Px-]

Подобную задачу решал с помощью LanAgent

[photon]

Если ко всему прочему получится видеть скайп-переписку, скайп-звонки, видеоролики, то вообще супер.

Файлы из нешифрованного трафика можно ловить через tcpdump и tcpxtract или чего-то похожего, вроде NetworkMiner. Но Скайп шифрует свой трафик, может использовать нестандартные порты и прокси-серверы. Чем ловить трафик, проще действительно поставить на офисных машинах какой-то клиент, следящий за действиями пользователя. Желательно также сделать офисные машины тонкими клиентами, чтобы юзеры не могли ставить нестандартный софт, нацеплять троянов или каким-то образом препятствовать слежению.

Edited August 11, 2010 by photon

[shicoy]

вот что wireshark что tcpdump как их потом визуализировать?

или научить СБшника работать с консолью и понимать hex ?

 

Решение с софтом думали, и так же думали вообще посадить всех на терминальный сервер. Но есть ряд ПК которые скажем напрямую не относятся к офисному домену и юзера за ними вольны делать что хотят.

Edited August 11, 2010 by shicoy

[s.lobanov]

вот что wireshark что tcpdump как их потом визуализировать?

или научить СБшника работать с консолью и понимать hex ?

chaosreader

 

По поводу скайпа - переписку расшифровать не получится, звонки как бы не получится прослушать, хотя есть нароботки в этом направлении.

[photon]

По поводу скайпа - переписку расшифровать не получится, звонки как бы не получится прослушать, хотя есть нароботки в этом направлении.

Ну перехватить и расшифровать трафик скайпа вряд ли получится, т.к. там AES 256bit как блочный шифр и RSA 1024bit для обмена ключами. Хотя может и есть какая-то лазейка, про которую знают только разработчики и представители спецслужб. Однако, логи чатов хранятся незашифрованными. Имея доступ к профилю пользователя, их можно читать.

Edited August 12, 2010 by photon

[s.lobanov]

AES256 это переписка и поисковые запросы, для голоса, согласно последним новостям, используется завуалированный RC4

[photon]

AES256 это переписка и поисковые запросы, для голоса, согласно последним новостям, используется завуалированный RC4

Согласно http://en.wikipedia.org/wiki/Skype_protocol это не совсем так:

Signaling is encrypted using RC4; however, the method only obfuscates the traffic as the key can be recovered from the packet. Voice data is encrypted with AES.

Я не вижу причин использовать RC4 вместо AES, т.к. Skype -- это p2p-сеть, там все делается на клиентской стороне. Современными процессорами AES обсчитывается достаточно быстро, а в некоторых моделях i7 уже реализован набор инструкций для аппаратной акселерации AES. В Linux недавно появился модуль ядра на эту тему.

Edited August 13, 2010 by photon

[ilia_2s]

http://www.searchinform.ru/index.html

 

[photon]

У них есть интересная программа: http://www.searchinform.ru/main/full-text-...pe-sniffer.html

 

Скорее всего клиентская часть ставится на пользовательский компьютер, сидит в памяти, сливает историю сообщений, которая хранится в незашифрованном виде, а также работает как перехватчик нажатий клавиш и звука. Да, так и есть: http://www.antimalware.ru/news/2010-07-29/2756

Edited August 13, 2010 by photon

[Ivan_83]

Я не вижу причин использовать RC4 вместо AES, т.к. Skype -- это p2p-сеть, там все делается на клиентской стороне. Современными процессорами AES обсчитывается достаточно быстро, а в некоторых моделях i7 уже реализован набор инструкций для аппаратной акселерации AES. В Linux недавно появился модуль ядра на эту тему.

Расскажите это моему EEE PC 704 на атоме или тройкам - первым четвёркам в офисах и домах, которые всё ещё работают.

 

[photon]

Расскажите это моему EEE PC 704 на атоме или тройкам - первым четвёркам в офисах и домах, которые всё ещё работают.

И что? Неужели Skype загружает проц под 100%? RC4 уже давно признан недостаточно криптостойким и устаревшим.

Edited August 17, 2010 by photon

[shicoy]

Тема ушла в оффтопик. :) Про скайп все поняли, но другие протоколы для мониторинга должны быть доступны )

[photon]

Тема ушла в оффтопик. :) Про скайп все поняли, но другие протоколы для мониторинга должны быть доступны )

Любые протоколы можно пропускать через шифрованные туннели. Большинство программ для создания туннелей не требует установки, их можно принести с собой на флэшке. Короче говоря, для большей эффективности надо следить не только за трафиком, а за действиями пользователя на рабочем компьютере через специальные программы.

[jackt]

Возникла не совсем простая задача.

В офисе нужно организовать просмотр трафика юзеров.

Смысл в том, что нужно смотреть web трафик. Т.е. не просто кто куда, а именно содержимое полученных страниц, картинок.

Если ко всему прочему получится видеть скайп-переписку, скайп-звонки, видеоролики, то вообще супер.

Объем трафика до 100Мбит/сек.

 

 

Какие решения есть?

Вы уже ознакомились со статьей 138 УК РФ ?

Считаете целесообразным ее нарушать ради з/п админа?

[shicoy]

Вы уже ознакомились со статьей 138 УК РФ ?

Считаете целесообразным ее нарушать ради з/п админа?

Вам больше нечего добавить? Или просто хотим показать свои знания в УК?

 

[Ivan_83]

И что? Неужели Skype загружает проц под 100%

Именно.

Тоже было на обычной тройке (туалатин 1100 до 1466) - слабоват он для качественного видео, потому скайп преднамеренно кодит херово когда проц слабый.