информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Портрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
[Win32] NAT - решение по подсчету трафика 14.11.03 12:59  Число просмотров: 2730
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
Особенности программы - возможность установки на любой машине в сети(сетевая карта переводится в promiscuos mode и логгится весь трафик, ее достигающий).
При работе сети на свичах, необходимо ставить счетчик трафика на шлюз )

Оффсайт программы: http://tmeter.ru/tmeter

При записи всего трафика необязательно регистрировать Tmeter, т.к. для этого достаточно лишь одного фильтра (незарегистрированная версия использует максимум 3 фильтра). Полученный лог-файл обрабатывается анализатором который выдает любые необходимые данные практически в любом виде (фильтрация по IP, времени, графическое представление данных).
Порядок созданий правил и настройки программы подробно описаны в прилагающемся thelp.chm.
<networking>
[WinNT4] WinRoute, кто как трафик считает? что посоветуете? 06.11.03 15:31  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
Как корпоративный стандарт должен стоять Win2k и ISA, но на более мощную машинку адаптер поставить не получится - ISA-слотовый Cronyx Sigma 22.
Сейчас стоит NT4, WinRoute, народ ходит по NAT-у, до сего времени меня устраивала статистика по интерфейсу, с провайдером проблем относительно его честности нет, так что тут как-бы все Ок.

Потребовалась статистика по трафику двух машин из внутренней локалки. Ходят они по https, можно с принципе натравить их на WinRout-евый прокси, но если уж потребовался трафик двух машин, лучше сразу ставить нечто более серьезное, чем счетчик трафика прокси.

Кто работал со статистикой по NATу, или что-то более другое может посоветуете?
а кеширование и фильтрование контента не привлекает? 06.12.03 02:50  
Автор: jammer <alex naumov> Статус: Elderman
Отредактировано 06.12.03 05:42  Количество правок: 2
<"чистая" ссылка>
> Сейчас стоит NT4, WinRoute, народ ходит по NAT-у, до сего

а кеширование и фильтрование контента не привлекает? у меня в конторе бОльшую часть трафика ест именно http - т.е. как бы имеет смысл думать.

> Потребовалась статистика по трафику двух машин из
> внутренней локалки. Ходят они по https, можно с принципе

считалок же много? я так понимаю, нужно считать все что уходит и приходит с указанных локальных хостов наружу на *:443 - прямо на внутреннем интерфейсе.

> натравить их на WinRout-евый прокси, но если уж
> потребовался трафик двух машин, лучше сразу ставить нечто
> более серьезное, чем счетчик трафика прокси.

тут твой аргумент не совсем понял.

может ты сможешь помочь с этим?
домашний фильтр
нет, ставилась задача считать не только http 06.12.03 17:49  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
> а кеширование и фильтрование контента не привлекает? у меня
> в конторе бОльшую часть трафика ест именно http - т.е. как
> бы имеет смысл думать.

кэш хттп-трафика работает, но фильтрование выключено - пользователей не так много и не вижу смысла с этим заморачиваться.
каждому пользователю разрешено ходить туда, куда надо по работе, остальное - закрыто, за исключением тех, кому надо всё (меня например ;))
следовательно, учет только http будет неполным

> считалок же много? я так понимаю, нужно считать все что
> уходит и приходит с указанных локальных хостов наружу на
> *:443 - прямо на внутреннем интерфейсе.

см.выше

> > натравить их на WinRout-евый прокси, но если уж
> > потребовался трафик двух машин, лучше сразу ставить
> > нечто
> > более серьезное, чем счетчик трафика прокси.

> тут твой аргумент не совсем понял.

я имел ввиду, что если понадобился учет хттп-трафика с двух машин, будет лучше подумать о будущем и настроить учет ВСЕГО трафика.
это я вполне понимаю. 08.12.03 17:55  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> > а кеширование и фильтрование контента не привлекает? у меня
> > в конторе бОльшую часть трафика ест именно http - т.е. как
> > бы имеет смысл думать.
> кэш хттп-трафика работает, но фильтрование выключено -
> пользователей не так много и не вижу смысла с этим заморачиваться.

причем тут количество пользователей? я не про порно и чаты. я про баннеры/счетчики и типичные запросы червей-вирусов, которых с ходу не отследишь. про рекламные pop-up в конце концов. бывает как начальник пошастает по некоторым сайтам, так потом с него запросы идут по ночам, он об этом понятия не имеет, а трафик жрется.

> каждому пользователю разрешено ходить туда, куда надо по
> работе, остальное - закрыто, за исключением тех, кому надо
> всё (меня например ;))

логично, я правда имел в виду фильтрование не по сайтам, а по контенту. то есть например если разрешено ходить на mail.ru, но ты забыл закрыть r.mail.ru/b* - ты стабильно выкачиваешь некешируемые флешовые ролики с раздражающей рекламой - и оно тебе скрашивает жизнь?

конечно я может обчитался духа и буквы http://www.squid-cache.org/, да и вообще это ответ не на твой вопрос о трафике, просто мысли, побочный эффект, совет, если хочешь.


> следовательно, учет только http будет неполным

конечно. 1) суммировать с цифрами от анализатора логов http-proxy.
2) еще проще - на внутренней сетевухе гейта считать трафик между хостами своей приватной сети и внешними хостами + трафик между хостами своей приватной сети и гейт:3128. соответственно если почта, считать ее отдельно, при особой жадности можно и DNS посчитать, и т.д.

> > считалок же много? я так понимаю, нужно считать все что
> > уходит и приходит с указанных локальных хостов наружу на
> > *:443 - прямо на внутреннем интерфейсе.
> см.выше

на этот раз я правильно все объяснил? ;)

> > > натравить их на WinRout-евый прокси, но если уж
> > > потребовался трафик двух машин, лучше сразу ставить
> > > нечто более серьезное, чем счетчик трафика прокси.
> > тут твой аргумент не совсем понял.
> я имел ввиду, что если понадобился учет хттп-трафика с двух
> машин, будет лучше подумать о будущем и настроить учет
> ВСЕГО трафика.

вообще считалка трафика и WinRoute (да и любой другой прокси/шлюз) не обязаны взаимодействовать. так что и винраут можно напрячь, и трафик считать не по его логам. хотя хозяин барин...

"To provide operational hierarchical caching" (с)
На машинах, которым разрешено везде ходить стоит... 08.12.03 18:28  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
> > кэш хттп-трафика работает, но фильтрование выключено -
> > пользователей не так много и не вижу смысла с этим
> заморачиваться.
>
> причем тут количество пользователей? я не про порно и чаты.
> я про баннеры/счетчики и типичные запросы червей-вирусов,
> которых с ходу не отследишь. про рекламные pop-up в конце
> концов. бывает как начальник пошастает по некоторым сайтам,
> так потом с него запросы идут по ночам, он об этом понятия
> не имеет, а трафик жрется.

На машинах, которым разрешено везде ходить стоит AgnutumOutpost Firewall в режиме блокировки под паролем, плюс AVP 4.5.. У пользователей (в т.ч. и у начальника) админских прав нет даже на своей машине, прибить фаервол они и их процессы не смогут. Вся левая живность, каким-то образом пролезшая на комп, там и остается.

> логично, я правда имел в виду фильтрование не по сайтам, а
> по контенту. то есть например если разрешено ходить на
> mail.ru, но ты забыл закрыть r.mail.ru/b* - ты стабильно
> выкачиваешь некешируемые флешовые ролики с раздражающей
> рекламой - и оно тебе скрашивает жизнь?

всю рекламу все равно не отфильтруешь, встроенных правил блокировки в Outpost мне как правило хватает )

> > следовательно, учет только http будет неполным
>
> конечно. 1) суммировать с цифрами от анализатора логов
> http-proxy.
> 2) еще проще - на внутренней сетевухе гейта считать трафик
> между хостами своей приватной сети и внешними хостами +
> трафик между хостами своей приватной сети и гейт:3128.
> соответственно если почта, считать ее отдельно, при особой
> жадности можно и DNS посчитать, и т.д.

у меня все как раз и считатется )

> на этот раз я правильно все объяснил? ;)

угу )
согласись, нелогично выполнять одно и то же на всех машинах... 08.12.03 19:05  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> На машинах, которым разрешено везде ходить стоит
> AgnutumOutpost Firewall в режиме блокировки под паролем,

согласись, нелогично выполнять одно и то же на всех машинах кроме сервера. да и настройки лучше в одном месте выставлять чем во всех остальных. и процессоры с памятью у клиентов освободятся, и статистика фигни под рукой будет, и куда увереннее себя чуствуешь, даже если кто-то принесет ноутбук или сам винду переставит.

> плюс AVP 4.5.. У пользователей (в т.ч. и у начальника)
> админских прав нет даже на своей машине, прибить фаервол
> они и их процессы не смогут. Вся левая живность, каким-то
> образом пролезшая на комп, там и остается.

скажи еще что начальник по умолчанию на http-proxy не имеет доступа ко всему подряд.

> всю рекламу все равно не отфильтруешь, встроенных правил
> блокировки в Outpost мне как правило хватает )

наверное я слишком склонен к минимализму и мало доверяю такого рода софту, чтобы фильтровать непосредственно на клиенте.

> > 2) еще проще - на внутренней сетевухе гейта считать трафик
> > между хостами своей приватной сети и внешними хостами +
> > трафик между хостами своей приватной сети и гейт:3128.
> > соответственно если почта, считать ее отдельно, при особой
> > жадности можно и DNS посчитать, и т.д.
> у меня все как раз и считатется )

да.... что, и обращения к файловым/принтерным шарингам винраутовской машины тоже?!
Возможно 08.12.03 19:25  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
> > На машинах, которым разрешено везде ходить стоит
> > AgnutumOutpost Firewall в режиме блокировки под
> паролем,
>
> согласись, нелогично выполнять одно и то же на всех машинах
> кроме сервера. да и настройки лучше в одном месте
> выставлять чем во всех остальных. и процессоры с памятью у
> клиентов освободятся, и статистика фигни под рукой будет, и

процессорной мощности пользователям хватает, памяти компов тоже, возникающие проблемы настройки - есть РАдмин, рулю таким образом десятью подразделениями, настроенными именно по этой схеме (все в разных городах, от 50 до 350 км от моего местоположения).

> куда увереннее себя чуствуешь, даже если кто-то принесет
> ноутбук или сам винду переставит.

несоглашусь
принес кто-то ноут - это его проблемы, а винду кроме меня ставить никто не будет =)
кстати, в случае, если в ноуте будет червь или какая-нибудь дрянь вроде blaster'a, настройки сервера тебя не спасут, а локальные фаерволы - вполне

> скажи еще что начальник по умолчанию на http-proxy не имеет
> доступа ко всему подряд.

У начальника открыт доступ по приложениям - IE, icq, jabber, outlook, еще пара корпоративных программ. Все.

> > > жадности можно и DNS посчитать, и т.д.
> > у меня все как раз и считатется )
>
> да.... что, и обращения к файловым/принтерным шарингам
> винраутовской машины тоже?!

Tmeter считает трафик по правилу:
192.0.0.0 - 192.0.0.255 = локальная сеть
все остальное - инет
соответственно, все, что туда-сюда ходит, учитывается
"локаль <-> инет"

емайл-трафик и трафик винраутовой машины учитывается правилом
"сервак (локальный комп) <-> инет"

вроде понятно написал.. для лучшего понимания учета трафика Тметером лучше почитать тебе мануаль на tmeter.ru
время тратится на фильтрацию многократно. 09.12.03 17:14  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> процессорной мощности пользователям хватает, памяти компов

время тратится на фильтрацию многократно.

> тоже, возникающие проблемы настройки - есть РАдмин, рулю

в котором ты с деловитым выражением лица повторяешь одно и то же.

> таким образом десятью подразделениями, настроенными именно
> по этой схеме (все в разных городах, от 50 до 350 км от
> моего местоположения).

ты крут :)

> > куда увереннее себя чуствуешь, даже если кто-то принесет
> > ноутбук или сам винду переставит.
> несоглашусь
> принес кто-то ноут - это его проблемы, а винду кроме меня
> ставить никто не будет =)

накачали фигни, трафика и троянов в сеть привнесли, а могут и попросить потом восстанавливать.

> кстати, в случае, если в ноуте будет червь или какая-нибудь
> дрянь вроде blaster'a, настройки сервера тебя не спасут, а
> локальные фаерволы - вполне

настройки сервера помогают избежать скачки такого шита.

> > скажи еще что начальник по умолчанию на http-proxy не имеет
> > доступа ко всему подряд.
> У начальника открыт доступ по приложениям - IE, icq,
> jabber, outlook, еще пара корпоративных программ. Все.

значит тем же IE сольет все что угодно, как на очередном порносайте попросят.

> > > > жадности можно и DNS посчитать, и т.д.
> > > у меня все как раз и считатется )
> > да.... что, и обращения к файловым/принтерным шарингам
> > винраутовской машины тоже?!
> Tmeter считает трафик по правилу:
> 192.0.0.0 - 192.0.0.255 = локальная сеть
> все остальное - инет
> соответственно, все, что туда-сюда ходит, учитывается
> "локаль <-> инет"

ты хочешь сказать, что DNS-запросы от рядовых пользователей ты NAT-ишь к своему провайдеру? вааааааау... и потом, прокси-трафик весь внутри твоей 192.0.0.0/24 - а то что снаружи не отличишь для кого качается.

> вроде понятно написал.. для лучшего понимания учета трафика
> Тметером лучше почитать тебе мануаль на tmeter.ru

эту поделку я уже пощупал... логи у нее жыыырные получаются.
о червях и файрволлах 09.12.03 18:13  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
> > кстати, в случае, если в ноуте будет червь или какая-нибудь
> > дрянь вроде blaster'a, настройки сервера тебя не спасут, а

msblast -- тоже червь

> настройки сервера помогают избежать скачки такого шита.

Но не для ноутов, которыми скачивают не только в подконтрольной сети, а потом в нее приносят. Именно так мы летом у себя в конторе бласта огребли, не почесавшись вовремя винды залатать, уповая на корпоративную сеть, недоступную снаружи ;-)

> значит тем же IE сольет все что угодно, как на очередном
> порносайте попросят.

Зато попытки слитого ломиться в сеть будут блокированы локальным файрволлом.
Насчет TMeter-а категорически не согласен 09.12.03 17:23  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> эту поделку я уже пощупал... логи у нее жыыырные
> получаются.
Логи как логи (если я правильно понял, то логи это именно учет пакетов). Очень даже компактные. Разве что не пакованные (плейнтекст). Дык ничто не мешает сделать ротацию (или архивирование) по шедулеру
c этим никто не спорит 09.12.03 17:53  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> > эту поделку я уже пощупал... логи у нее жыыырные
> > получаются.
> Логи как логи (если я правильно понял, то логи это именно
> учет пакетов). Очень даже компактные. Разве что не
> пакованные (плейнтекст). Дык ничто не мешает сделать
> ротацию (или архивирование) по шедулеру

ага, как только нашел... увидел что ничто не мешает и даже по быстрому следует настроить, пока есть место :)
А че его искать :-) 10.12.03 14:41  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> ага, как только нашел... увидел что ничто не мешает и даже
> по быстрому следует настроить, пока есть место :)
По умолчанию все логи выключены для всех фильтров, а при включении надо явно указать куда их складывать :-)

А насчет персональных файрволов, я все таки согласен с Imm0rtal-ом. У себя в домашней сетке я сначала поставил файрвол и сидел с ним. Потом, когда увидел, что ближайшее окружение беззлобное, а от инета я спрятан за NAT-ом, решил снести (чтоб ресурсы освободить). Первый звонок был тогда, когда я впервые в жизни подхватил трояна: чувак, который живет чуть ли не в соседнем доме по ирке прислал exe-шник, и не сообщил, СВОЛОЧЬ, что этот экзешник пришел к нему аттачем (такой бы я или не запустил или запустил бы в виртуальной машине). До сих пор удивляюсь почему у меня не украли аськи/мыла, ну а потом то я пароли сменил.

Но после того, как кто то затащил к нам в сетку бласта мое терпение лопнуло и я таки поставил outpost опять.
[Win32] NAT - решение по подсчету трафика 14.11.03 12:59  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
Особенности программы - возможность установки на любой машине в сети(сетевая карта переводится в promiscuos mode и логгится весь трафик, ее достигающий).
При работе сети на свичах, необходимо ставить счетчик трафика на шлюз )

Оффсайт программы: http://tmeter.ru/tmeter

При записи всего трафика необязательно регистрировать Tmeter, т.к. для этого достаточно лишь одного фильтра (незарегистрированная версия использует максимум 3 фильтра). Полученный лог-файл обрабатывается анализатором который выдает любые необходимые данные практически в любом виде (фильтрация по IP, времени, графическое представление данных).
Порядок созданий правил и настройки программы подробно описаны в прилагающемся thelp.chm.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach