Перейти к содержимому
Калькуляторы

Свой маленький СОРМ

Возникла не совсем простая задача.

В офисе нужно организовать просмотр трафика юзеров.

Смысл в том, что нужно смотреть web трафик. Т.е. не просто кто куда, а именно содержимое полученных страниц, картинок.

Если ко всему прочему получится видеть скайп-переписку, скайп-звонки, видеоролики, то вообще супер.

Объем трафика до 100Мбит/сек.

 

 

Какие решения есть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно попробовать snort'ом вылавливлать по контенту нужный трафик.

Затем дампы в формате tcpdump обрабатывать еще чем-то :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

р админ постави и будешь видеть рабомий стол юзера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подобную задачу решал с помощью LanAgent

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если ко всему прочему получится видеть скайп-переписку, скайп-звонки, видеоролики, то вообще супер.

Файлы из нешифрованного трафика можно ловить через tcpdump и tcpxtract или чего-то похожего, вроде NetworkMiner. Но Скайп шифрует свой трафик, может использовать нестандартные порты и прокси-серверы. Чем ловить трафик, проще действительно поставить на офисных машинах какой-то клиент, следящий за действиями пользователя. Желательно также сделать офисные машины тонкими клиентами, чтобы юзеры не могли ставить нестандартный софт, нацеплять троянов или каким-то образом препятствовать слежению.

Изменено пользователем photon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот что wireshark что tcpdump как их потом визуализировать?

или научить СБшника работать с консолью и понимать hex ?

 

Решение с софтом думали, и так же думали вообще посадить всех на терминальный сервер. Но есть ряд ПК которые скажем напрямую не относятся к офисному домену и юзера за ними вольны делать что хотят.

Изменено пользователем shicoy

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот что wireshark что tcpdump как их потом визуализировать?

или научить СБшника работать с консолью и понимать hex ?

chaosreader

 

По поводу скайпа - переписку расшифровать не получится, звонки как бы не получится прослушать, хотя есть нароботки в этом направлении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По поводу скайпа - переписку расшифровать не получится, звонки как бы не получится прослушать, хотя есть нароботки в этом направлении.

Ну перехватить и расшифровать трафик скайпа вряд ли получится, т.к. там AES 256bit как блочный шифр и RSA 1024bit для обмена ключами. Хотя может и есть какая-то лазейка, про которую знают только разработчики и представители спецслужб. Однако, логи чатов хранятся незашифрованными. Имея доступ к профилю пользователя, их можно читать.

Изменено пользователем photon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

AES256 это переписка и поисковые запросы, для голоса, согласно последним новостям, используется завуалированный RC4

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

AES256 это переписка и поисковые запросы, для голоса, согласно последним новостям, используется завуалированный RC4
Согласно http://en.wikipedia.org/wiki/Skype_protocol это не совсем так:
Signaling is encrypted using RC4; however, the method only obfuscates the traffic as the key can be recovered from the packet. Voice data is encrypted with AES.
Я не вижу причин использовать RC4 вместо AES, т.к. Skype -- это p2p-сеть, там все делается на клиентской стороне. Современными процессорами AES обсчитывается достаточно быстро, а в некоторых моделях i7 уже реализован набор инструкций для аппаратной акселерации AES. В Linux недавно появился модуль ядра на эту тему.
Изменено пользователем photon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У них есть интересная программа: http://www.searchinform.ru/main/full-text-...pe-sniffer.html

 

Скорее всего клиентская часть ставится на пользовательский компьютер, сидит в памяти, сливает историю сообщений, которая хранится в незашифрованном виде, а также работает как перехватчик нажатий клавиш и звука. Да, так и есть: http://www.antimalware.ru/news/2010-07-29/2756

Изменено пользователем photon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я не вижу причин использовать RC4 вместо AES, т.к. Skype -- это p2p-сеть, там все делается на клиентской стороне. Современными процессорами AES обсчитывается достаточно быстро, а в некоторых моделях i7 уже реализован набор инструкций для аппаратной акселерации AES. В Linux недавно появился модуль ядра на эту тему.
Расскажите это моему EEE PC 704 на атоме или тройкам - первым четвёркам в офисах и домах, которые всё ещё работают.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Расскажите это моему EEE PC 704 на атоме или тройкам - первым четвёркам в офисах и домах, которые всё ещё работают.

И что? Неужели Skype загружает проц под 100%? RC4 уже давно признан недостаточно криптостойким и устаревшим.

Изменено пользователем photon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тема ушла в оффтопик. :) Про скайп все поняли, но другие протоколы для мониторинга должны быть доступны )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тема ушла в оффтопик. :) Про скайп все поняли, но другие протоколы для мониторинга должны быть доступны )

Любые протоколы можно пропускать через шифрованные туннели. Большинство программ для создания туннелей не требует установки, их можно принести с собой на флэшке. Короче говоря, для большей эффективности надо следить не только за трафиком, а за действиями пользователя на рабочем компьютере через специальные программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возникла не совсем простая задача.

В офисе нужно организовать просмотр трафика юзеров.

Смысл в том, что нужно смотреть web трафик. Т.е. не просто кто куда, а именно содержимое полученных страниц, картинок.

Если ко всему прочему получится видеть скайп-переписку, скайп-звонки, видеоролики, то вообще супер.

Объем трафика до 100Мбит/сек.

 

 

Какие решения есть?

Вы уже ознакомились со статьей 138 УК РФ ?

Считаете целесообразным ее нарушать ради з/п админа?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы уже ознакомились со статьей 138 УК РФ ?

Считаете целесообразным ее нарушать ради з/п админа?

Вам больше нечего добавить? Или просто хотим показать свои знания в УК?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И что? Неужели Skype загружает проц под 100%
Именно.

Тоже было на обычной тройке (туалатин 1100 до 1466) - слабоват он для качественного видео, потому скайп преднамеренно кодит херово когда проц слабый.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.