Jump to content
Калькуляторы

Свой маленький СОРМ

Возникла не совсем простая задача.

В офисе нужно организовать просмотр трафика юзеров.

Смысл в том, что нужно смотреть web трафик. Т.е. не просто кто куда, а именно содержимое полученных страниц, картинок.

Если ко всему прочему получится видеть скайп-переписку, скайп-звонки, видеоролики, то вообще супер.

Объем трафика до 100Мбит/сек.

 

 

Какие решения есть?

Share this post


Link to post
Share on other sites

Можно попробовать snort'ом вылавливлать по контенту нужный трафик.

Затем дампы в формате tcpdump обрабатывать еще чем-то :)

Share this post


Link to post
Share on other sites

Если ко всему прочему получится видеть скайп-переписку, скайп-звонки, видеоролики, то вообще супер.

Файлы из нешифрованного трафика можно ловить через tcpdump и tcpxtract или чего-то похожего, вроде NetworkMiner. Но Скайп шифрует свой трафик, может использовать нестандартные порты и прокси-серверы. Чем ловить трафик, проще действительно поставить на офисных машинах какой-то клиент, следящий за действиями пользователя. Желательно также сделать офисные машины тонкими клиентами, чтобы юзеры не могли ставить нестандартный софт, нацеплять троянов или каким-то образом препятствовать слежению.

Edited by photon

Share this post


Link to post
Share on other sites

вот что wireshark что tcpdump как их потом визуализировать?

или научить СБшника работать с консолью и понимать hex ?

 

Решение с софтом думали, и так же думали вообще посадить всех на терминальный сервер. Но есть ряд ПК которые скажем напрямую не относятся к офисному домену и юзера за ними вольны делать что хотят.

Edited by shicoy

Share this post


Link to post
Share on other sites

вот что wireshark что tcpdump как их потом визуализировать?

или научить СБшника работать с консолью и понимать hex ?

chaosreader

 

По поводу скайпа - переписку расшифровать не получится, звонки как бы не получится прослушать, хотя есть нароботки в этом направлении.

Share this post


Link to post
Share on other sites

По поводу скайпа - переписку расшифровать не получится, звонки как бы не получится прослушать, хотя есть нароботки в этом направлении.

Ну перехватить и расшифровать трафик скайпа вряд ли получится, т.к. там AES 256bit как блочный шифр и RSA 1024bit для обмена ключами. Хотя может и есть какая-то лазейка, про которую знают только разработчики и представители спецслужб. Однако, логи чатов хранятся незашифрованными. Имея доступ к профилю пользователя, их можно читать.

Edited by photon

Share this post


Link to post
Share on other sites

AES256 это переписка и поисковые запросы, для голоса, согласно последним новостям, используется завуалированный RC4
Согласно http://en.wikipedia.org/wiki/Skype_protocol это не совсем так:
Signaling is encrypted using RC4; however, the method only obfuscates the traffic as the key can be recovered from the packet. Voice data is encrypted with AES.
Я не вижу причин использовать RC4 вместо AES, т.к. Skype -- это p2p-сеть, там все делается на клиентской стороне. Современными процессорами AES обсчитывается достаточно быстро, а в некоторых моделях i7 уже реализован набор инструкций для аппаратной акселерации AES. В Linux недавно появился модуль ядра на эту тему.
Edited by photon

Share this post


Link to post
Share on other sites

У них есть интересная программа: http://www.searchinform.ru/main/full-text-...pe-sniffer.html

 

Скорее всего клиентская часть ставится на пользовательский компьютер, сидит в памяти, сливает историю сообщений, которая хранится в незашифрованном виде, а также работает как перехватчик нажатий клавиш и звука. Да, так и есть: http://www.antimalware.ru/news/2010-07-29/2756

Edited by photon

Share this post


Link to post
Share on other sites

Я не вижу причин использовать RC4 вместо AES, т.к. Skype -- это p2p-сеть, там все делается на клиентской стороне. Современными процессорами AES обсчитывается достаточно быстро, а в некоторых моделях i7 уже реализован набор инструкций для аппаратной акселерации AES. В Linux недавно появился модуль ядра на эту тему.
Расскажите это моему EEE PC 704 на атоме или тройкам - первым четвёркам в офисах и домах, которые всё ещё работают.

 

Share this post


Link to post
Share on other sites

Расскажите это моему EEE PC 704 на атоме или тройкам - первым четвёркам в офисах и домах, которые всё ещё работают.

И что? Неужели Skype загружает проц под 100%? RC4 уже давно признан недостаточно криптостойким и устаревшим.

Edited by photon

Share this post


Link to post
Share on other sites

Тема ушла в оффтопик. :) Про скайп все поняли, но другие протоколы для мониторинга должны быть доступны )

Share this post


Link to post
Share on other sites

Тема ушла в оффтопик. :) Про скайп все поняли, но другие протоколы для мониторинга должны быть доступны )

Любые протоколы можно пропускать через шифрованные туннели. Большинство программ для создания туннелей не требует установки, их можно принести с собой на флэшке. Короче говоря, для большей эффективности надо следить не только за трафиком, а за действиями пользователя на рабочем компьютере через специальные программы.

Share this post


Link to post
Share on other sites

Возникла не совсем простая задача.

В офисе нужно организовать просмотр трафика юзеров.

Смысл в том, что нужно смотреть web трафик. Т.е. не просто кто куда, а именно содержимое полученных страниц, картинок.

Если ко всему прочему получится видеть скайп-переписку, скайп-звонки, видеоролики, то вообще супер.

Объем трафика до 100Мбит/сек.

 

 

Какие решения есть?

Вы уже ознакомились со статьей 138 УК РФ ?

Считаете целесообразным ее нарушать ради з/п админа?

Share this post


Link to post
Share on other sites

Вы уже ознакомились со статьей 138 УК РФ ?

Считаете целесообразным ее нарушать ради з/п админа?

Вам больше нечего добавить? Или просто хотим показать свои знания в УК?

 

Share this post


Link to post
Share on other sites

И что? Неужели Skype загружает проц под 100%
Именно.

Тоже было на обычной тройке (туалатин 1100 до 1466) - слабоват он для качественного видео, потому скайп преднамеренно кодит херово когда проц слабый.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.