информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеЗа кого нас держат?Портрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Шестой Perl превратится в Raku,... 
 Kik закрывается, все ушли на криптофронт 
 Sophos открывает Sandboxie 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
А че его искать :-) 10.12.03 14:41  Число просмотров: 2163
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> ага, как только нашел... увидел что ничто не мешает и даже
> по быстрому следует настроить, пока есть место :)
По умолчанию все логи выключены для всех фильтров, а при включении надо явно указать куда их складывать :-)

А насчет персональных файрволов, я все таки согласен с Imm0rtal-ом. У себя в домашней сетке я сначала поставил файрвол и сидел с ним. Потом, когда увидел, что ближайшее окружение беззлобное, а от инета я спрятан за NAT-ом, решил снести (чтоб ресурсы освободить). Первый звонок был тогда, когда я впервые в жизни подхватил трояна: чувак, который живет чуть ли не в соседнем доме по ирке прислал exe-шник, и не сообщил, СВОЛОЧЬ, что этот экзешник пришел к нему аттачем (такой бы я или не запустил или запустил бы в виртуальной машине). До сих пор удивляюсь почему у меня не украли аськи/мыла, ну а потом то я пароли сменил.

Но после того, как кто то затащил к нам в сетку бласта мое терпение лопнуло и я таки поставил outpost опять.
<networking>
[WinNT4] WinRoute, кто как трафик считает? что посоветуете? 06.11.03 15:31  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
Как корпоративный стандарт должен стоять Win2k и ISA, но на более мощную машинку адаптер поставить не получится - ISA-слотовый Cronyx Sigma 22.
Сейчас стоит NT4, WinRoute, народ ходит по NAT-у, до сего времени меня устраивала статистика по интерфейсу, с провайдером проблем относительно его честности нет, так что тут как-бы все Ок.

Потребовалась статистика по трафику двух машин из внутренней локалки. Ходят они по https, можно с принципе натравить их на WinRout-евый прокси, но если уж потребовался трафик двух машин, лучше сразу ставить нечто более серьезное, чем счетчик трафика прокси.

Кто работал со статистикой по NATу, или что-то более другое может посоветуете?
а кеширование и фильтрование контента не привлекает? 06.12.03 02:50  
Автор: jammer <alex naumov> Статус: Elderman
Отредактировано 06.12.03 05:42  Количество правок: 2
<"чистая" ссылка>
> Сейчас стоит NT4, WinRoute, народ ходит по NAT-у, до сего

а кеширование и фильтрование контента не привлекает? у меня в конторе бОльшую часть трафика ест именно http - т.е. как бы имеет смысл думать.

> Потребовалась статистика по трафику двух машин из
> внутренней локалки. Ходят они по https, можно с принципе

считалок же много? я так понимаю, нужно считать все что уходит и приходит с указанных локальных хостов наружу на *:443 - прямо на внутреннем интерфейсе.

> натравить их на WinRout-евый прокси, но если уж
> потребовался трафик двух машин, лучше сразу ставить нечто
> более серьезное, чем счетчик трафика прокси.

тут твой аргумент не совсем понял.

может ты сможешь помочь с этим?
домашний фильтр
нет, ставилась задача считать не только http 06.12.03 17:49  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
> а кеширование и фильтрование контента не привлекает? у меня
> в конторе бОльшую часть трафика ест именно http - т.е. как
> бы имеет смысл думать.

кэш хттп-трафика работает, но фильтрование выключено - пользователей не так много и не вижу смысла с этим заморачиваться.
каждому пользователю разрешено ходить туда, куда надо по работе, остальное - закрыто, за исключением тех, кому надо всё (меня например ;))
следовательно, учет только http будет неполным

> считалок же много? я так понимаю, нужно считать все что
> уходит и приходит с указанных локальных хостов наружу на
> *:443 - прямо на внутреннем интерфейсе.

см.выше

> > натравить их на WinRout-евый прокси, но если уж
> > потребовался трафик двух машин, лучше сразу ставить
> > нечто
> > более серьезное, чем счетчик трафика прокси.

> тут твой аргумент не совсем понял.

я имел ввиду, что если понадобился учет хттп-трафика с двух машин, будет лучше подумать о будущем и настроить учет ВСЕГО трафика.
это я вполне понимаю. 08.12.03 17:55  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> > а кеширование и фильтрование контента не привлекает? у меня
> > в конторе бОльшую часть трафика ест именно http - т.е. как
> > бы имеет смысл думать.
> кэш хттп-трафика работает, но фильтрование выключено -
> пользователей не так много и не вижу смысла с этим заморачиваться.

причем тут количество пользователей? я не про порно и чаты. я про баннеры/счетчики и типичные запросы червей-вирусов, которых с ходу не отследишь. про рекламные pop-up в конце концов. бывает как начальник пошастает по некоторым сайтам, так потом с него запросы идут по ночам, он об этом понятия не имеет, а трафик жрется.

> каждому пользователю разрешено ходить туда, куда надо по
> работе, остальное - закрыто, за исключением тех, кому надо
> всё (меня например ;))

логично, я правда имел в виду фильтрование не по сайтам, а по контенту. то есть например если разрешено ходить на mail.ru, но ты забыл закрыть r.mail.ru/b* - ты стабильно выкачиваешь некешируемые флешовые ролики с раздражающей рекламой - и оно тебе скрашивает жизнь?

конечно я может обчитался духа и буквы http://www.squid-cache.org/, да и вообще это ответ не на твой вопрос о трафике, просто мысли, побочный эффект, совет, если хочешь.


> следовательно, учет только http будет неполным

конечно. 1) суммировать с цифрами от анализатора логов http-proxy.
2) еще проще - на внутренней сетевухе гейта считать трафик между хостами своей приватной сети и внешними хостами + трафик между хостами своей приватной сети и гейт:3128. соответственно если почта, считать ее отдельно, при особой жадности можно и DNS посчитать, и т.д.

> > считалок же много? я так понимаю, нужно считать все что
> > уходит и приходит с указанных локальных хостов наружу на
> > *:443 - прямо на внутреннем интерфейсе.
> см.выше

на этот раз я правильно все объяснил? ;)

> > > натравить их на WinRout-евый прокси, но если уж
> > > потребовался трафик двух машин, лучше сразу ставить
> > > нечто более серьезное, чем счетчик трафика прокси.
> > тут твой аргумент не совсем понял.
> я имел ввиду, что если понадобился учет хттп-трафика с двух
> машин, будет лучше подумать о будущем и настроить учет
> ВСЕГО трафика.

вообще считалка трафика и WinRoute (да и любой другой прокси/шлюз) не обязаны взаимодействовать. так что и винраут можно напрячь, и трафик считать не по его логам. хотя хозяин барин...

"To provide operational hierarchical caching" (с)
На машинах, которым разрешено везде ходить стоит... 08.12.03 18:28  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
> > кэш хттп-трафика работает, но фильтрование выключено -
> > пользователей не так много и не вижу смысла с этим
> заморачиваться.
>
> причем тут количество пользователей? я не про порно и чаты.
> я про баннеры/счетчики и типичные запросы червей-вирусов,
> которых с ходу не отследишь. про рекламные pop-up в конце
> концов. бывает как начальник пошастает по некоторым сайтам,
> так потом с него запросы идут по ночам, он об этом понятия
> не имеет, а трафик жрется.

На машинах, которым разрешено везде ходить стоит AgnutumOutpost Firewall в режиме блокировки под паролем, плюс AVP 4.5.. У пользователей (в т.ч. и у начальника) админских прав нет даже на своей машине, прибить фаервол они и их процессы не смогут. Вся левая живность, каким-то образом пролезшая на комп, там и остается.

> логично, я правда имел в виду фильтрование не по сайтам, а
> по контенту. то есть например если разрешено ходить на
> mail.ru, но ты забыл закрыть r.mail.ru/b* - ты стабильно
> выкачиваешь некешируемые флешовые ролики с раздражающей
> рекламой - и оно тебе скрашивает жизнь?

всю рекламу все равно не отфильтруешь, встроенных правил блокировки в Outpost мне как правило хватает )

> > следовательно, учет только http будет неполным
>
> конечно. 1) суммировать с цифрами от анализатора логов
> http-proxy.
> 2) еще проще - на внутренней сетевухе гейта считать трафик
> между хостами своей приватной сети и внешними хостами +
> трафик между хостами своей приватной сети и гейт:3128.
> соответственно если почта, считать ее отдельно, при особой
> жадности можно и DNS посчитать, и т.д.

у меня все как раз и считатется )

> на этот раз я правильно все объяснил? ;)

угу )
согласись, нелогично выполнять одно и то же на всех машинах... 08.12.03 19:05  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> На машинах, которым разрешено везде ходить стоит
> AgnutumOutpost Firewall в режиме блокировки под паролем,

согласись, нелогично выполнять одно и то же на всех машинах кроме сервера. да и настройки лучше в одном месте выставлять чем во всех остальных. и процессоры с памятью у клиентов освободятся, и статистика фигни под рукой будет, и куда увереннее себя чуствуешь, даже если кто-то принесет ноутбук или сам винду переставит.

> плюс AVP 4.5.. У пользователей (в т.ч. и у начальника)
> админских прав нет даже на своей машине, прибить фаервол
> они и их процессы не смогут. Вся левая живность, каким-то
> образом пролезшая на комп, там и остается.

скажи еще что начальник по умолчанию на http-proxy не имеет доступа ко всему подряд.

> всю рекламу все равно не отфильтруешь, встроенных правил
> блокировки в Outpost мне как правило хватает )

наверное я слишком склонен к минимализму и мало доверяю такого рода софту, чтобы фильтровать непосредственно на клиенте.

> > 2) еще проще - на внутренней сетевухе гейта считать трафик
> > между хостами своей приватной сети и внешними хостами +
> > трафик между хостами своей приватной сети и гейт:3128.
> > соответственно если почта, считать ее отдельно, при особой
> > жадности можно и DNS посчитать, и т.д.
> у меня все как раз и считатется )

да.... что, и обращения к файловым/принтерным шарингам винраутовской машины тоже?!
Возможно 08.12.03 19:25  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
> > На машинах, которым разрешено везде ходить стоит
> > AgnutumOutpost Firewall в режиме блокировки под
> паролем,
>
> согласись, нелогично выполнять одно и то же на всех машинах
> кроме сервера. да и настройки лучше в одном месте
> выставлять чем во всех остальных. и процессоры с памятью у
> клиентов освободятся, и статистика фигни под рукой будет, и

процессорной мощности пользователям хватает, памяти компов тоже, возникающие проблемы настройки - есть РАдмин, рулю таким образом десятью подразделениями, настроенными именно по этой схеме (все в разных городах, от 50 до 350 км от моего местоположения).

> куда увереннее себя чуствуешь, даже если кто-то принесет
> ноутбук или сам винду переставит.

несоглашусь
принес кто-то ноут - это его проблемы, а винду кроме меня ставить никто не будет =)
кстати, в случае, если в ноуте будет червь или какая-нибудь дрянь вроде blaster'a, настройки сервера тебя не спасут, а локальные фаерволы - вполне

> скажи еще что начальник по умолчанию на http-proxy не имеет
> доступа ко всему подряд.

У начальника открыт доступ по приложениям - IE, icq, jabber, outlook, еще пара корпоративных программ. Все.

> > > жадности можно и DNS посчитать, и т.д.
> > у меня все как раз и считатется )
>
> да.... что, и обращения к файловым/принтерным шарингам
> винраутовской машины тоже?!

Tmeter считает трафик по правилу:
192.0.0.0 - 192.0.0.255 = локальная сеть
все остальное - инет
соответственно, все, что туда-сюда ходит, учитывается
"локаль <-> инет"

емайл-трафик и трафик винраутовой машины учитывается правилом
"сервак (локальный комп) <-> инет"

вроде понятно написал.. для лучшего понимания учета трафика Тметером лучше почитать тебе мануаль на tmeter.ru
время тратится на фильтрацию многократно. 09.12.03 17:14  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> процессорной мощности пользователям хватает, памяти компов

время тратится на фильтрацию многократно.

> тоже, возникающие проблемы настройки - есть РАдмин, рулю

в котором ты с деловитым выражением лица повторяешь одно и то же.

> таким образом десятью подразделениями, настроенными именно
> по этой схеме (все в разных городах, от 50 до 350 км от
> моего местоположения).

ты крут :)

> > куда увереннее себя чуствуешь, даже если кто-то принесет
> > ноутбук или сам винду переставит.
> несоглашусь
> принес кто-то ноут - это его проблемы, а винду кроме меня
> ставить никто не будет =)

накачали фигни, трафика и троянов в сеть привнесли, а могут и попросить потом восстанавливать.

> кстати, в случае, если в ноуте будет червь или какая-нибудь
> дрянь вроде blaster'a, настройки сервера тебя не спасут, а
> локальные фаерволы - вполне

настройки сервера помогают избежать скачки такого шита.

> > скажи еще что начальник по умолчанию на http-proxy не имеет
> > доступа ко всему подряд.
> У начальника открыт доступ по приложениям - IE, icq,
> jabber, outlook, еще пара корпоративных программ. Все.

значит тем же IE сольет все что угодно, как на очередном порносайте попросят.

> > > > жадности можно и DNS посчитать, и т.д.
> > > у меня все как раз и считатется )
> > да.... что, и обращения к файловым/принтерным шарингам
> > винраутовской машины тоже?!
> Tmeter считает трафик по правилу:
> 192.0.0.0 - 192.0.0.255 = локальная сеть
> все остальное - инет
> соответственно, все, что туда-сюда ходит, учитывается
> "локаль <-> инет"

ты хочешь сказать, что DNS-запросы от рядовых пользователей ты NAT-ишь к своему провайдеру? вааааааау... и потом, прокси-трафик весь внутри твоей 192.0.0.0/24 - а то что снаружи не отличишь для кого качается.

> вроде понятно написал.. для лучшего понимания учета трафика
> Тметером лучше почитать тебе мануаль на tmeter.ru

эту поделку я уже пощупал... логи у нее жыыырные получаются.
о червях и файрволлах 09.12.03 18:13  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
> > кстати, в случае, если в ноуте будет червь или какая-нибудь
> > дрянь вроде blaster'a, настройки сервера тебя не спасут, а

msblast -- тоже червь

> настройки сервера помогают избежать скачки такого шита.

Но не для ноутов, которыми скачивают не только в подконтрольной сети, а потом в нее приносят. Именно так мы летом у себя в конторе бласта огребли, не почесавшись вовремя винды залатать, уповая на корпоративную сеть, недоступную снаружи ;-)

> значит тем же IE сольет все что угодно, как на очередном
> порносайте попросят.

Зато попытки слитого ломиться в сеть будут блокированы локальным файрволлом.
Насчет TMeter-а категорически не согласен 09.12.03 17:23  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> эту поделку я уже пощупал... логи у нее жыыырные
> получаются.
Логи как логи (если я правильно понял, то логи это именно учет пакетов). Очень даже компактные. Разве что не пакованные (плейнтекст). Дык ничто не мешает сделать ротацию (или архивирование) по шедулеру
c этим никто не спорит 09.12.03 17:53  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> > эту поделку я уже пощупал... логи у нее жыыырные
> > получаются.
> Логи как логи (если я правильно понял, то логи это именно
> учет пакетов). Очень даже компактные. Разве что не
> пакованные (плейнтекст). Дык ничто не мешает сделать
> ротацию (или архивирование) по шедулеру

ага, как только нашел... увидел что ничто не мешает и даже по быстрому следует настроить, пока есть место :)
А че его искать :-) 10.12.03 14:41  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> ага, как только нашел... увидел что ничто не мешает и даже
> по быстрому следует настроить, пока есть место :)
По умолчанию все логи выключены для всех фильтров, а при включении надо явно указать куда их складывать :-)

А насчет персональных файрволов, я все таки согласен с Imm0rtal-ом. У себя в домашней сетке я сначала поставил файрвол и сидел с ним. Потом, когда увидел, что ближайшее окружение беззлобное, а от инета я спрятан за NAT-ом, решил снести (чтоб ресурсы освободить). Первый звонок был тогда, когда я впервые в жизни подхватил трояна: чувак, который живет чуть ли не в соседнем доме по ирке прислал exe-шник, и не сообщил, СВОЛОЧЬ, что этот экзешник пришел к нему аттачем (такой бы я или не запустил или запустил бы в виртуальной машине). До сих пор удивляюсь почему у меня не украли аськи/мыла, ну а потом то я пароли сменил.

Но после того, как кто то затащил к нам в сетку бласта мое терпение лопнуло и я таки поставил outpost опять.
[Win32] NAT - решение по подсчету трафика 14.11.03 12:59  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
Особенности программы - возможность установки на любой машине в сети(сетевая карта переводится в promiscuos mode и логгится весь трафик, ее достигающий).
При работе сети на свичах, необходимо ставить счетчик трафика на шлюз )

Оффсайт программы: http://tmeter.ru/tmeter

При записи всего трафика необязательно регистрировать Tmeter, т.к. для этого достаточно лишь одного фильтра (незарегистрированная версия использует максимум 3 фильтра). Полученный лог-файл обрабатывается анализатором который выдает любые необходимые данные практически в любом виде (фильтрация по IP, времени, графическое представление данных).
Порядок созданий правил и настройки программы подробно описаны в прилагающемся thelp.chm.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach