shicoy Posted August 11, 2010 Возникла не совсем простая задача. В офисе нужно организовать просмотр трафика юзеров. Смысл в том, что нужно смотреть web трафик. Т.е. не просто кто куда, а именно содержимое полученных страниц, картинок. Если ко всему прочему получится видеть скайп-переписку, скайп-звонки, видеоролики, то вообще супер. Объем трафика до 100Мбит/сек. Какие решения есть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
terrible Posted August 11, 2010 просрачная прокся? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
littlesavage Posted August 11, 2010 Можно попробовать snort'ом вылавливлать по контенту нужный трафик. Затем дампы в формате tcpdump обрабатывать еще чем-то :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xeb Posted August 11, 2010 wireshark Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
мишаня сучков Posted August 11, 2010 р админ постави и будешь видеть рабомий стол юзера. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
-Px- Posted August 11, 2010 Подобную задачу решал с помощью LanAgent Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
photon Posted August 11, 2010 (edited) Если ко всему прочему получится видеть скайп-переписку, скайп-звонки, видеоролики, то вообще супер. Файлы из нешифрованного трафика можно ловить через tcpdump и tcpxtract или чего-то похожего, вроде NetworkMiner. Но Скайп шифрует свой трафик, может использовать нестандартные порты и прокси-серверы. Чем ловить трафик, проще действительно поставить на офисных машинах какой-то клиент, следящий за действиями пользователя. Желательно также сделать офисные машины тонкими клиентами, чтобы юзеры не могли ставить нестандартный софт, нацеплять троянов или каким-то образом препятствовать слежению. Edited August 11, 2010 by photon Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shicoy Posted August 11, 2010 (edited) вот что wireshark что tcpdump как их потом визуализировать? или научить СБшника работать с консолью и понимать hex ? Решение с софтом думали, и так же думали вообще посадить всех на терминальный сервер. Но есть ряд ПК которые скажем напрямую не относятся к офисному домену и юзера за ними вольны делать что хотят. Edited August 11, 2010 by shicoy Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted August 11, 2010 вот что wireshark что tcpdump как их потом визуализировать? или научить СБшника работать с консолью и понимать hex ? chaosreader По поводу скайпа - переписку расшифровать не получится, звонки как бы не получится прослушать, хотя есть нароботки в этом направлении. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
photon Posted August 12, 2010 (edited) По поводу скайпа - переписку расшифровать не получится, звонки как бы не получится прослушать, хотя есть нароботки в этом направлении. Ну перехватить и расшифровать трафик скайпа вряд ли получится, т.к. там AES 256bit как блочный шифр и RSA 1024bit для обмена ключами. Хотя может и есть какая-то лазейка, про которую знают только разработчики и представители спецслужб. Однако, логи чатов хранятся незашифрованными. Имея доступ к профилю пользователя, их можно читать. Edited August 12, 2010 by photon Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted August 12, 2010 AES256 это переписка и поисковые запросы, для голоса, согласно последним новостям, используется завуалированный RC4 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
photon Posted August 13, 2010 (edited) AES256 это переписка и поисковые запросы, для голоса, согласно последним новостям, используется завуалированный RC4Согласно http://en.wikipedia.org/wiki/Skype_protocol это не совсем так:Signaling is encrypted using RC4; however, the method only obfuscates the traffic as the key can be recovered from the packet. Voice data is encrypted with AES.Я не вижу причин использовать RC4 вместо AES, т.к. Skype -- это p2p-сеть, там все делается на клиентской стороне. Современными процессорами AES обсчитывается достаточно быстро, а в некоторых моделях i7 уже реализован набор инструкций для аппаратной акселерации AES. В Linux недавно появился модуль ядра на эту тему. Edited August 13, 2010 by photon Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ilia_2s Posted August 13, 2010 http://www.searchinform.ru/index.html Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
photon Posted August 13, 2010 (edited) У них есть интересная программа: http://www.searchinform.ru/main/full-text-...pe-sniffer.html Скорее всего клиентская часть ставится на пользовательский компьютер, сидит в памяти, сливает историю сообщений, которая хранится в незашифрованном виде, а также работает как перехватчик нажатий клавиш и звука. Да, так и есть: http://www.antimalware.ru/news/2010-07-29/2756 Edited August 13, 2010 by photon Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted August 17, 2010 Я не вижу причин использовать RC4 вместо AES, т.к. Skype -- это p2p-сеть, там все делается на клиентской стороне. Современными процессорами AES обсчитывается достаточно быстро, а в некоторых моделях i7 уже реализован набор инструкций для аппаратной акселерации AES. В Linux недавно появился модуль ядра на эту тему.Расскажите это моему EEE PC 704 на атоме или тройкам - первым четвёркам в офисах и домах, которые всё ещё работают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
photon Posted August 17, 2010 (edited) Расскажите это моему EEE PC 704 на атоме или тройкам - первым четвёркам в офисах и домах, которые всё ещё работают. И что? Неужели Skype загружает проц под 100%? RC4 уже давно признан недостаточно криптостойким и устаревшим. Edited August 17, 2010 by photon Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shicoy Posted August 17, 2010 Тема ушла в оффтопик. :) Про скайп все поняли, но другие протоколы для мониторинга должны быть доступны ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
photon Posted August 17, 2010 Тема ушла в оффтопик. :) Про скайп все поняли, но другие протоколы для мониторинга должны быть доступны ) Любые протоколы можно пропускать через шифрованные туннели. Большинство программ для создания туннелей не требует установки, их можно принести с собой на флэшке. Короче говоря, для большей эффективности надо следить не только за трафиком, а за действиями пользователя на рабочем компьютере через специальные программы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jackt Posted August 18, 2010 Возникла не совсем простая задача.В офисе нужно организовать просмотр трафика юзеров. Смысл в том, что нужно смотреть web трафик. Т.е. не просто кто куда, а именно содержимое полученных страниц, картинок. Если ко всему прочему получится видеть скайп-переписку, скайп-звонки, видеоролики, то вообще супер. Объем трафика до 100Мбит/сек. Какие решения есть? Вы уже ознакомились со статьей 138 УК РФ ?Считаете целесообразным ее нарушать ради з/п админа? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shicoy Posted August 19, 2010 Вы уже ознакомились со статьей 138 УК РФ ?Считаете целесообразным ее нарушать ради з/п админа? Вам больше нечего добавить? Или просто хотим показать свои знания в УК? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted August 27, 2010 И что? Неужели Skype загружает проц под 100%Именно.Тоже было на обычной тройке (туалатин 1100 до 1466) - слабоват он для качественного видео, потому скайп преднамеренно кодит херово когда проц слабый. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...