Network Traffic Monitoring
Hallo Zusammen
Ich bin ja völlig begeistert von der Administrator Community, also kommt mal wieder eine Frage von mir.
Ich möchte den kompletten Netzwerkverkehr überwachen und reporten. Grund dafür: Ich habe mehrere Netzwerkdevices, Dienste, Tools usw. im Einsatz und ich möchte prüfen, welche Webseiten aufgeruft werden, welche Verbindung von intern nach extern hergestellt wird und dies in einer Statistik aufzeigen lassen. Am liebsten mit benutzter Bandbreite nach Seite und nach Dienst.
Ich bin alleiniger Besitzer der Geräte und somit ist die Frage nach der legalität geklärt.
Habt ihr eine Idee?
Besitze einen Asus RT-ac87u Router mit dem Merlin Firmware.
Freundliche Grüsse
Fears313
Ich bin ja völlig begeistert von der Administrator Community, also kommt mal wieder eine Frage von mir.
Ich möchte den kompletten Netzwerkverkehr überwachen und reporten. Grund dafür: Ich habe mehrere Netzwerkdevices, Dienste, Tools usw. im Einsatz und ich möchte prüfen, welche Webseiten aufgeruft werden, welche Verbindung von intern nach extern hergestellt wird und dies in einer Statistik aufzeigen lassen. Am liebsten mit benutzter Bandbreite nach Seite und nach Dienst.
Ich bin alleiniger Besitzer der Geräte und somit ist die Frage nach der legalität geklärt.
Habt ihr eine Idee?
Besitze einen Asus RT-ac87u Router mit dem Merlin Firmware.
Freundliche Grüsse
Fears313
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 265905
Url: https://administrator.de/contentid/265905
Ausgedruckt am: 05.11.2024 um 20:11 Uhr
14 Kommentare
Neuester Kommentar
was dazwischenbauen wirst du so oder so müssen... wie willst du sonst den verkehr aller devices mitschneiden??
Mein Vorschlag wäre z.B. IPFire als transparenter Proxy im aktivem Logging
Mein Vorschlag wäre z.B. IPFire als transparenter Proxy im aktivem Logging
Wie sowas geht kannst du ansatzweise in diesem Forumsturorial nachlesen:
Netzwerk Management Server mit Raspberry Pi
nTop, Cacti, MRTG und Co sind deine Freunde
Netzwerk Management Server mit Raspberry Pi
nTop, Cacti, MRTG und Co sind deine Freunde
Hi
Kann die Merlin Firmware zufällig Port-Mirroring?
Wenn ja, dann reichts Wireshark auf einen beliebigen Rechner im promicous mode laufen zu lassen (brauchst keine zwei netzwerkkarten).
Hat die Merline Firmware vllt tcpdump eingebaut?
Wenn ja, dann tcpdump laufen lassen und auf eine Netzwerkfreigabe speichern lassen. Das so erzeugt dump kannst du dann mit Wireshark wieder analysieren.
mfg
Cthluhu
Zitat von @Fears313:
Wireshark ist ein sehr mächtiges Tool, nützt mir aber für meinen Anwendungsfall nichts. Es sei denn ich baue einen
Rechner vor den Router mit zwei Netzwerkkarten auf dem Wireshark läuft ...
Wireshark ist ein sehr mächtiges Tool, nützt mir aber für meinen Anwendungsfall nichts. Es sei denn ich baue einen
Rechner vor den Router mit zwei Netzwerkkarten auf dem Wireshark läuft ...
Kann die Merlin Firmware zufällig Port-Mirroring?
Wenn ja, dann reichts Wireshark auf einen beliebigen Rechner im promicous mode laufen zu lassen (brauchst keine zwei netzwerkkarten).
Hat die Merline Firmware vllt tcpdump eingebaut?
Wenn ja, dann tcpdump laufen lassen und auf eine Netzwerkfreigabe speichern lassen. Das so erzeugt dump kannst du dann mit Wireshark wieder analysieren.
mfg
Cthluhu
Noch besser wenn sein Switch oder Router sFlow kann. Dann braucht er nichts von alledem und bekommt die Daten frei Haus.
Der TO sollte erstmal spezifizieren WAS er genau will auf WELCHER Hardware.
Es ist ja klar das ein billiger Schrottrouter wie Speedport u. Co. usw. nichts von alledem kann ebenso der ungemanagte Dummswitch vom Blödmarkt Grabbeltisch und da jeder Versuch zwecklos wäre.
Also erstmal etwas spezifizieren und ein paar Details, dann kann man auch zielgerichtet helfen !
Der TO sollte erstmal spezifizieren WAS er genau will auf WELCHER Hardware.
Es ist ja klar das ein billiger Schrottrouter wie Speedport u. Co. usw. nichts von alledem kann ebenso der ungemanagte Dummswitch vom Blödmarkt Grabbeltisch und da jeder Versuch zwecklos wäre.
Also erstmal etwas spezifizieren und ein paar Details, dann kann man auch zielgerichtet helfen !
Zitat von @Fears313:
Wireshark ist ein sehr mächtiges Tool, nützt mir aber für meinen Anwendungsfall nichts. Es sei denn ich baue einen
Rechner vor den Router mit zwei Netzwerkkarten auf dem Wireshark läuft ...
Wireshark ist ein sehr mächtiges Tool, nützt mir aber für meinen Anwendungsfall nichts. Es sei denn ich baue einen
Rechner vor den Router mit zwei Netzwerkkarten auf dem Wireshark läuft ...
Hallo,
ein Switch mit einem Spiegel- oder Monitorport (mirrored Port) sollte das Problem
in Zusammenhang mit WireShark auch lösen.
Gruß
Dobby
- Eine AVM FB mit Email Benachrichtigung
- Ein MikroTik RouterBoard und Syslog auf ein anderes gerät
- Eine pfSense mit Squid als ReserveProxy
- Ein größerer Cisco Router der die Protokolldatei (Logfile) via Syslog auf ein anderes Gerät schreibt
- Ein RaspBerry PI mit Linux & WireShark oder TCPDUMP
- Ein PC oder Laptop mit WireShark und/oder TCPDUMP (WINDUMP)
- Eine Ethertab mit dazugehöriger Software (proprietär)
- Einfach Syslog auf dem Router aktivieren und speichern
- ..........
Such Dir etwas aus!
Gruß
Dobby
- Ein MikroTik RouterBoard und Syslog auf ein anderes gerät
- Eine pfSense mit Squid als ReserveProxy
- Ein größerer Cisco Router der die Protokolldatei (Logfile) via Syslog auf ein anderes Gerät schreibt
- Ein RaspBerry PI mit Linux & WireShark oder TCPDUMP
- Ein PC oder Laptop mit WireShark und/oder TCPDUMP (WINDUMP)
- Eine Ethertab mit dazugehöriger Software (proprietär)
- Einfach Syslog auf dem Router aktivieren und speichern
- ..........
Such Dir etwas aus!
Gruß
Dobby
Hallo nochmal,
- Suricata, Snort oder OSSec
Die meisten IDS/IPS Lösungen basieren auf einem Sensor / Server
Gespann, wie viele Sensoren willst Du denn laufen lassen!?
aber man bekommt eben nur den WAN Verkehr zu fassen!
Internetverkehr!!!
Kommt ja auch immer auf die Größe und die Last des Netzwerkes
an denn das kann man mittels eines Switches mit Monitorport und
WireShark oder TCPDUMP auch erfassen und auswerten.
Für den WAN Bereich gibt es auch noch den MRTG oder CACTI
was einen die Arbeit sicherlich aufteilen lässt.
Gruß
Dobby
Vielen Dank für eure Antworten, ich werde einen IDS/IPS "Server"
einbauen
Das ist nicht so einfach wie es sich anhört, was nimmst denn dazu?einbauen
- Suricata, Snort oder OSSec
Die meisten IDS/IPS Lösungen basieren auf einem Sensor / Server
Gespann, wie viele Sensoren willst Du denn laufen lassen!?
zwischen das Modem und den Router.
Dort ist es in einigen Fällen zwar auch gut zu schnorcheln,aber man bekommt eben nur den WAN Verkehr zu fassen!
Darauf überwache ich dann den Netzwerkverkehr.
Wohl eher weniger denn damit überwacht man nur den WAN bzw.Internetverkehr!!!
Kommt ja auch immer auf die Größe und die Last des Netzwerkes
an denn das kann man mittels eines Switches mit Monitorport und
WireShark oder TCPDUMP auch erfassen und auswerten.
Für den WAN Bereich gibt es auch noch den MRTG oder CACTI
was einen die Arbeit sicherlich aufteilen lässt.
Gruß
Dobby