fears313
Goto Top

Network Traffic Monitoring

Hallo Zusammen

Ich bin ja völlig begeistert von der Administrator Community, also kommt mal wieder eine Frage von mir.

Ich möchte den kompletten Netzwerkverkehr überwachen und reporten. Grund dafür: Ich habe mehrere Netzwerkdevices, Dienste, Tools usw. im Einsatz und ich möchte prüfen, welche Webseiten aufgeruft werden, welche Verbindung von intern nach extern hergestellt wird und dies in einer Statistik aufzeigen lassen. Am liebsten mit benutzter Bandbreite nach Seite und nach Dienst.

Ich bin alleiniger Besitzer der Geräte und somit ist die Frage nach der legalität geklärt.

Habt ihr eine Idee?

Besitze einen Asus RT-ac87u Router mit dem Merlin Firmware.

Freundliche Grüsse

Fears313

Content-ID: 265905

Url: https://administrator.de/contentid/265905

Ausgedruckt am: 05.11.2024 um 20:11 Uhr

brammer
brammer 11.03.2015 um 13:55:14 Uhr
Goto Top
Hallo,

Wireshark und dann schön selber auswerten....

brammer
Fears313
Fears313 11.03.2015 aktualisiert um 14:37:36 Uhr
Goto Top
Wireshark ist ein sehr mächtiges Tool, nützt mir aber für meinen Anwendungsfall nichts. Es sei denn ich baue einen Rechner vor den Router mit zwei Netzwerkkarten auf dem Wireshark läuft ...
117643
117643 11.03.2015 um 15:03:06 Uhr
Goto Top
was dazwischenbauen wirst du so oder so müssen... wie willst du sonst den verkehr aller devices mitschneiden??

Mein Vorschlag wäre z.B. IPFire als transparenter Proxy im aktivem Logging
aqui
aqui 11.03.2015 aktualisiert um 15:06:16 Uhr
Goto Top
Wie sowas geht kannst du ansatzweise in diesem Forumsturorial nachlesen:
Netzwerk Management Server mit Raspberry Pi
nTop, Cacti, MRTG und Co sind deine Freunde face-wink
Fears313
Fears313 11.03.2015 um 17:57:42 Uhr
Goto Top
Gäbe es keine Möglichkeit eine solche Auswertung auf dem Router vorzunehmen?
aqui
aqui 11.03.2015 um 18:41:59 Uhr
Goto Top
Ja, natürlich. Warum sollte es die nicht geben ?
Ist alles im Tutorial beschrieben ! face-wink
Cthluhu
Cthluhu 11.03.2015 um 18:49:45 Uhr
Goto Top
Hi
Zitat von @Fears313:

Wireshark ist ein sehr mächtiges Tool, nützt mir aber für meinen Anwendungsfall nichts. Es sei denn ich baue einen
Rechner vor den Router mit zwei Netzwerkkarten auf dem Wireshark läuft ...

Kann die Merlin Firmware zufällig Port-Mirroring?
Wenn ja, dann reichts Wireshark auf einen beliebigen Rechner im promicous mode laufen zu lassen (brauchst keine zwei netzwerkkarten).

Hat die Merline Firmware vllt tcpdump eingebaut?
Wenn ja, dann tcpdump laufen lassen und auf eine Netzwerkfreigabe speichern lassen. Das so erzeugt dump kannst du dann mit Wireshark wieder analysieren.

mfg

Cthluhu
aqui
aqui 11.03.2015 aktualisiert um 18:54:55 Uhr
Goto Top
Noch besser wenn sein Switch oder Router sFlow kann. Dann braucht er nichts von alledem und bekommt die Daten frei Haus.
Der TO sollte erstmal spezifizieren WAS er genau will auf WELCHER Hardware.
Es ist ja klar das ein billiger Schrottrouter wie Speedport u. Co. usw. nichts von alledem kann ebenso der ungemanagte Dummswitch vom Blödmarkt Grabbeltisch und da jeder Versuch zwecklos wäre.
Also erstmal etwas spezifizieren und ein paar Details, dann kann man auch zielgerichtet helfen !
108012
108012 12.03.2015 um 12:54:34 Uhr
Goto Top
Zitat von @Fears313:

Wireshark ist ein sehr mächtiges Tool, nützt mir aber für meinen Anwendungsfall nichts. Es sei denn ich baue einen
Rechner vor den Router mit zwei Netzwerkkarten auf dem Wireshark läuft ...

Hallo,


ein Switch mit einem Spiegel- oder Monitorport (mirrored Port) sollte das Problem
in Zusammenhang mit WireShark auch lösen.

Gruß
Dobby
108012
Lösung 108012 12.03.2015, aktualisiert am 17.03.2015 um 11:34:36 Uhr
Goto Top
Zitat von @Fears313:

Gäbe es keine Möglichkeit eine solche Auswertung auf dem Router vorzunehmen?
- Eine AVM FB mit Email Benachrichtigung
- Ein MikroTik RouterBoard und Syslog auf ein anderes gerät
- Eine pfSense mit Squid als ReserveProxy
- Ein größerer Cisco Router der die Protokolldatei (Logfile) via Syslog auf ein anderes Gerät schreibt
- Ein RaspBerry PI mit Linux & WireShark oder TCPDUMP
- Ein PC oder Laptop mit WireShark und/oder TCPDUMP (WINDUMP)
- Eine Ethertab mit dazugehöriger Software (proprietär)
- Einfach Syslog auf dem Router aktivieren und speichern
- ..........

Such Dir etwas aus!

Gruß
Dobby
Fears313
Fears313 17.03.2015 um 11:35:47 Uhr
Goto Top
Vielen Dank für eure Antworten, ich werde einen IDS/IPS "Server" einbauen zwischen das Modem und den Router. Darauf überwache ich dann den Netzwerkverkehr.

Freundliche Grüsse

Fears313
aqui
aqui 18.03.2015 um 14:11:35 Uhr
Goto Top
Wär für die Forums Community ja nochmal ganz spannend zu wissen was für eine SW du dann auf dem IDS/IPS "Server" rennen hast ?!
108012
108012 18.03.2015 um 15:07:34 Uhr
Goto Top
Hallo nochmal,

Vielen Dank für eure Antworten, ich werde einen IDS/IPS "Server"
einbauen
Das ist nicht so einfach wie es sich anhört, was nimmst denn dazu?
- Suricata, Snort oder OSSec

Die meisten IDS/IPS Lösungen basieren auf einem Sensor / Server
Gespann, wie viele Sensoren willst Du denn laufen lassen!?

zwischen das Modem und den Router.
Dort ist es in einigen Fällen zwar auch gut zu schnorcheln,
aber man bekommt eben nur den WAN Verkehr zu fassen!

Darauf überwache ich dann den Netzwerkverkehr.
Wohl eher weniger denn damit überwacht man nur den WAN bzw.
Internetverkehr!!!

Kommt ja auch immer auf die Größe und die Last des Netzwerkes
an denn das kann man mittels eines Switches mit Monitorport und
WireShark oder TCPDUMP auch erfassen und auswerten.

Für den WAN Bereich gibt es auch noch den MRTG oder CACTI
was einen die Arbeit sicherlich aufteilen lässt.

Gruß
Dobby
Fears313
Fears313 20.03.2015 um 14:36:09 Uhr
Goto Top
Also für den richtigen Ort ... wie soll ich sagen, habe ich mich noch nicht 100% entschieden. Ich muss da noch ein bisschen rechechieren, wo das am meisten Sinn macht.

Ich bin auf ein ziemlich cooles Out-of-the-Box Paket gestossen namens SELKS:

https://github.com/StamusNetworks/SELKS

Dies basiert unter umständen auf Suricata. Das coole daran, ohne viel einzurichten läuft es einfach mal. Ich werde euch gerne von meiner Erfahrung berichten. Aktuell habe ich das Paket bloss mal auf einer VM im Live Mode angeschaut und gestern auf der Maschine installiert. Jetzt schau ich mal, wie ich das hinkriege, dass der Netzwerkverkehr von der einen Netzwerkkarte auf die andere weitergeleitet wird, aber da gibts bestimmt ein paar gute Tutorials.

Das tolle an diesem Paket ist halt auch, dass bereits extrem vieles vordefiniert ist. Für den kleinen KMU bereitch optimal. So kann ich mich langsam immer mehr damit auseinander setzten.

Wahrscheinlich wird das ganze am Ende wirklich so aufgebaut:

Kabelmodem -> Router -> SELKS(IDS/IPS) -> der Rest.