14
Network Traffic Monitoring
Hallo Zusammen
Ich bin ja völlig begeistert von der Administrator Community, also kommt mal wieder eine Frage von mir.
Ich möchte den kompletten Netzwerkverkehr überwachen und reporten. Grund dafür: Ich habe mehrere Netzwerkdevices, Dienste, Tools usw. im Einsatz und ich möchte prüfen, welche Webseiten aufgeruft werden, welche Verbindung von intern nach extern hergestellt wird und dies in einer Statistik aufzeigen lassen. Am liebsten mit benutzter Bandbreite nach Seite und nach Dienst.
Ich bin alleiniger Besitzer der Geräte und somit ist die Frage nach der legalität geklärt.
Habt ihr eine Idee?
Besitze einen Asus RT-ac87u Router mit dem Merlin Firmware.
Freundliche Grüsse
Fears313
Ich bin ja völlig begeistert von der Administrator Community, also kommt mal wieder eine Frage von mir.
Ich möchte den kompletten Netzwerkverkehr überwachen und reporten. Grund dafür: Ich habe mehrere Netzwerkdevices, Dienste, Tools usw. im Einsatz und ich möchte prüfen, welche Webseiten aufgeruft werden, welche Verbindung von intern nach extern hergestellt wird und dies in einer Statistik aufzeigen lassen. Am liebsten mit benutzter Bandbreite nach Seite und nach Dienst.
Ich bin alleiniger Besitzer der Geräte und somit ist die Frage nach der legalität geklärt.
Habt ihr eine Idee?
Besitze einen Asus RT-ac87u Router mit dem Merlin Firmware.
Freundliche Grüsse
Fears313
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 265905
Url: https://administrator.de/contentid/265905
Printed on: April 25, 2024 at 07:04 o'clock
14 Comments
Latest comment
Hallo,
Wireshark und dann schön selber auswerten....
brammer
Wireshark und dann schön selber auswerten....
brammer
Wireshark ist ein sehr mächtiges Tool, nützt mir aber für meinen Anwendungsfall nichts. Es sei denn ich baue einen Rechner vor den Router mit zwei Netzwerkkarten auf dem Wireshark läuft ...
was dazwischenbauen wirst du so oder so müssen... wie willst du sonst den verkehr aller devices mitschneiden??
Mein Vorschlag wäre z.B. IPFire als transparenter Proxy im aktivem Logging
Mein Vorschlag wäre z.B. IPFire als transparenter Proxy im aktivem Logging
Wie sowas geht kannst du ansatzweise in diesem Forumsturorial nachlesen:
Netzwerk Management Server mit Raspberry Pi
nTop, Cacti, MRTG und Co sind deine Freunde
Netzwerk Management Server mit Raspberry Pi
nTop, Cacti, MRTG und Co sind deine Freunde
Gäbe es keine Möglichkeit eine solche Auswertung auf dem Router vorzunehmen?
Ja, natürlich. Warum sollte es die nicht geben ?
Ist alles im Tutorial beschrieben !
Ist alles im Tutorial beschrieben !
Hi
Kann die Merlin Firmware zufällig Port-Mirroring?
Wenn ja, dann reichts Wireshark auf einen beliebigen Rechner im promicous mode laufen zu lassen (brauchst keine zwei netzwerkkarten).
Hat die Merline Firmware vllt tcpdump eingebaut?
Wenn ja, dann tcpdump laufen lassen und auf eine Netzwerkfreigabe speichern lassen. Das so erzeugt dump kannst du dann mit Wireshark wieder analysieren.
mfg
Cthluhu
Zitat von @Fears313:
Wireshark ist ein sehr mächtiges Tool, nützt mir aber für meinen Anwendungsfall nichts. Es sei denn ich baue einen
Rechner vor den Router mit zwei Netzwerkkarten auf dem Wireshark läuft ...
Wireshark ist ein sehr mächtiges Tool, nützt mir aber für meinen Anwendungsfall nichts. Es sei denn ich baue einen
Rechner vor den Router mit zwei Netzwerkkarten auf dem Wireshark läuft ...
Kann die Merlin Firmware zufällig Port-Mirroring?
Wenn ja, dann reichts Wireshark auf einen beliebigen Rechner im promicous mode laufen zu lassen (brauchst keine zwei netzwerkkarten).
Hat die Merline Firmware vllt tcpdump eingebaut?
Wenn ja, dann tcpdump laufen lassen und auf eine Netzwerkfreigabe speichern lassen. Das so erzeugt dump kannst du dann mit Wireshark wieder analysieren.
mfg
Cthluhu
Noch besser wenn sein Switch oder Router sFlow kann. Dann braucht er nichts von alledem und bekommt die Daten frei Haus.
Der TO sollte erstmal spezifizieren WAS er genau will auf WELCHER Hardware.
Es ist ja klar das ein billiger Schrottrouter wie Speedport u. Co. usw. nichts von alledem kann ebenso der ungemanagte Dummswitch vom Blödmarkt Grabbeltisch und da jeder Versuch zwecklos wäre.
Also erstmal etwas spezifizieren und ein paar Details, dann kann man auch zielgerichtet helfen !
Der TO sollte erstmal spezifizieren WAS er genau will auf WELCHER Hardware.
Es ist ja klar das ein billiger Schrottrouter wie Speedport u. Co. usw. nichts von alledem kann ebenso der ungemanagte Dummswitch vom Blödmarkt Grabbeltisch und da jeder Versuch zwecklos wäre.
Also erstmal etwas spezifizieren und ein paar Details, dann kann man auch zielgerichtet helfen !
Zitat von @Fears313:
Wireshark ist ein sehr mächtiges Tool, nützt mir aber für meinen Anwendungsfall nichts. Es sei denn ich baue einen
Rechner vor den Router mit zwei Netzwerkkarten auf dem Wireshark läuft ...
Wireshark ist ein sehr mächtiges Tool, nützt mir aber für meinen Anwendungsfall nichts. Es sei denn ich baue einen
Rechner vor den Router mit zwei Netzwerkkarten auf dem Wireshark läuft ...
Hallo,
ein Switch mit einem Spiegel- oder Monitorport (mirrored Port) sollte das Problem
in Zusammenhang mit WireShark auch lösen.
Gruß
Dobby
- Eine AVM FB mit Email Benachrichtigung
- Ein MikroTik RouterBoard und Syslog auf ein anderes gerät
- Eine pfSense mit Squid als ReserveProxy
- Ein größerer Cisco Router der die Protokolldatei (Logfile) via Syslog auf ein anderes Gerät schreibt
- Ein RaspBerry PI mit Linux & WireShark oder TCPDUMP
- Ein PC oder Laptop mit WireShark und/oder TCPDUMP (WINDUMP)
- Eine Ethertab mit dazugehöriger Software (proprietär)
- Einfach Syslog auf dem Router aktivieren und speichern
- ..........
Such Dir etwas aus!
Gruß
Dobby
- Ein MikroTik RouterBoard und Syslog auf ein anderes gerät
- Eine pfSense mit Squid als ReserveProxy
- Ein größerer Cisco Router der die Protokolldatei (Logfile) via Syslog auf ein anderes Gerät schreibt
- Ein RaspBerry PI mit Linux & WireShark oder TCPDUMP
- Ein PC oder Laptop mit WireShark und/oder TCPDUMP (WINDUMP)
- Eine Ethertab mit dazugehöriger Software (proprietär)
- Einfach Syslog auf dem Router aktivieren und speichern
- ..........
Such Dir etwas aus!
Gruß
Dobby
Vielen Dank für eure Antworten, ich werde einen IDS/IPS "Server" einbauen zwischen das Modem und den Router. Darauf überwache ich dann den Netzwerkverkehr.
Freundliche Grüsse
Fears313
Freundliche Grüsse
Fears313
Wär für die Forums Community ja nochmal ganz spannend zu wissen was für eine SW du dann auf dem IDS/IPS "Server" rennen hast ?!
Hallo nochmal,
- Suricata, Snort oder OSSec
Die meisten IDS/IPS Lösungen basieren auf einem Sensor / Server
Gespann, wie viele Sensoren willst Du denn laufen lassen!?
aber man bekommt eben nur den WAN Verkehr zu fassen!
Internetverkehr!!!
Kommt ja auch immer auf die Größe und die Last des Netzwerkes
an denn das kann man mittels eines Switches mit Monitorport und
WireShark oder TCPDUMP auch erfassen und auswerten.
Für den WAN Bereich gibt es auch noch den MRTG oder CACTI
was einen die Arbeit sicherlich aufteilen lässt.
Gruß
Dobby
Vielen Dank für eure Antworten, ich werde einen IDS/IPS "Server"
einbauen
Das ist nicht so einfach wie es sich anhört, was nimmst denn dazu?einbauen
- Suricata, Snort oder OSSec
Die meisten IDS/IPS Lösungen basieren auf einem Sensor / Server
Gespann, wie viele Sensoren willst Du denn laufen lassen!?
zwischen das Modem und den Router.
Dort ist es in einigen Fällen zwar auch gut zu schnorcheln,aber man bekommt eben nur den WAN Verkehr zu fassen!
Darauf überwache ich dann den Netzwerkverkehr.
Wohl eher weniger denn damit überwacht man nur den WAN bzw.Internetverkehr!!!
Kommt ja auch immer auf die Größe und die Last des Netzwerkes
an denn das kann man mittels eines Switches mit Monitorport und
WireShark oder TCPDUMP auch erfassen und auswerten.
Für den WAN Bereich gibt es auch noch den MRTG oder CACTI
was einen die Arbeit sicherlich aufteilen lässt.
Gruß
Dobby
Also für den richtigen Ort ... wie soll ich sagen, habe ich mich noch nicht 100% entschieden. Ich muss da noch ein bisschen rechechieren, wo das am meisten Sinn macht.
Ich bin auf ein ziemlich cooles Out-of-the-Box Paket gestossen namens SELKS:
https://github.com/StamusNetworks/SELKS
Dies basiert unter umständen auf Suricata. Das coole daran, ohne viel einzurichten läuft es einfach mal. Ich werde euch gerne von meiner Erfahrung berichten. Aktuell habe ich das Paket bloss mal auf einer VM im Live Mode angeschaut und gestern auf der Maschine installiert. Jetzt schau ich mal, wie ich das hinkriege, dass der Netzwerkverkehr von der einen Netzwerkkarte auf die andere weitergeleitet wird, aber da gibts bestimmt ein paar gute Tutorials.
Das tolle an diesem Paket ist halt auch, dass bereits extrem vieles vordefiniert ist. Für den kleinen KMU bereitch optimal. So kann ich mich langsam immer mehr damit auseinander setzten.
Wahrscheinlich wird das ganze am Ende wirklich so aufgebaut:
Kabelmodem -> Router -> SELKS(IDS/IPS) -> der Rest.
Ich bin auf ein ziemlich cooles Out-of-the-Box Paket gestossen namens SELKS:
https://github.com/StamusNetworks/SELKS
Dies basiert unter umständen auf Suricata. Das coole daran, ohne viel einzurichten läuft es einfach mal. Ich werde euch gerne von meiner Erfahrung berichten. Aktuell habe ich das Paket bloss mal auf einer VM im Live Mode angeschaut und gestern auf der Maschine installiert. Jetzt schau ich mal, wie ich das hinkriege, dass der Netzwerkverkehr von der einen Netzwerkkarte auf die andere weitergeleitet wird, aber da gibts bestimmt ein paar gute Tutorials.
Das tolle an diesem Paket ist halt auch, dass bereits extrem vieles vordefiniert ist. Für den kleinen KMU bereitch optimal. So kann ich mich langsam immer mehr damit auseinander setzten.
Wahrscheinlich wird das ganze am Ende wirklich so aufgebaut:
Kabelmodem -> Router -> SELKS(IDS/IPS) -> der Rest.
