Ajuda - Monitoramento de Trafego [RESOLVIDO]

dokimos
(usa Debian)

Enviado em 01/08/2012 - 16:34h

Iae pessoal,

Sou novo por aqui, mas acompanho o forum e já usei as dicas do VOL diversas vezes...
Meu cenário é um pouco confuso, onde tenho 2 redes distinas, 2 servidores (ServerA e ServerB) e 2 links de dados (Diretoria e Geral).

As redes rodam sob a mesma infraestrutura por terem serviços essenciais nas duas faixas.
No ServerA tenho apenas um proxy, e no ServerB tenho um router/firewall/proxy. (conforme "layout" abaixo)

Rede A ---> ServerA ---> Internet Diretoria
||
Serviços na RedeA
||
Rede B ---> (ServerB) ---> Internet Geral

RedeA = IP Fixo = Todos Acessam Web -> ServerA = Filtro Via Proxy
RedeB = DHCP = Alguns Acessam Web -> ServerB = Filtro Via Proxy/Firewall

A RedeA roda beleza... minha dificuldade é quanto ao monitoramento do trafego entre as redes, pois por diversas vezes alguns terminais da RedeB reclamam de lentidao quando acessam a net.

Uso Debian e nao consegui rodar o BitMeter... estou usando o ntop mas nao entendi muita coisa.
Gostaria da indicação de alguma ferramenta para monitorar tráfego, para ver se algum usuário esta acessando indevidamente a internet.

Desde já agradeço!

danniel-lara
(usa Fedora)

Enviado em 01/08/2012 - 16:38h

bom tu tem proxy transparente ?
pode instalar o sarg para verificar
e monitorar o que o pessoal esta acessando

alexhctp
(usa Linux Mint)

Enviado em 01/08/2012 - 16:41h

Amigo, pra ver se estão acessando a internet indevidamente, usa o sqstat, um script em PHP excelente para isso. Ele montitora em tempo real acessando diretamente os logs do squid. http://samm.kiev.ua/sqstat/ ou http://www.vivaolinux.com.br/dica/SqStat-Monitorando-logs-do-Squid-em-tempo-real/ ou ainda
http://www.pedropereira.net/visualizando-acessos-dos-usuarios-em-tempo-real-no-squid/

Fica a dica!

dokimos
(usa Debian)

Enviado em 01/08/2012 - 16:46h

Não uso proxy transparente...
bloqueei as portas 80, 8080, 443 e algumas outras usadas por serviços comuns, liberei a porta 3128 e as usadas por clientes de email.
quanto ao sarg... vi que ele só relata o que tem no log do squid e eu gostaria de ver tudo que passa pelo ServerB e nao somente o que passa pelo proxy.
acho que tem gente usando ultrasurf ou alguma coisa baixando em p2p aproveitando alguma falha, mas nao sei como monitorar isso.

alexhctp
(usa Linux Mint)

Enviado em 01/08/2012 - 16:55h

Nesse caso, sugiro que você estude um pouco sobre o tcpdump e o wireshark pra analisar os pacotes que circulam na sua rede. Alem disso, caso confirme a presença do ultrasurf ou do TOR, você terá de implementar um IDS/IPS (snort) e criar uma regra que bloqueie os tráfegos oriundos desses burla-proxyes.

Segue um link para o blog do Guto Carvalho, no qual instrui a detecção e o bloqueio do ultrasurf com o auxilio do SNORT. Encontrei esse artigo ha um tempo quando passei pelo mesmo problema: http://gutocarvalho.net/wordpress/2008/08/29/bloqueando-ultrasurf-em-sua-rede/

Abraço!

johnnyb
(usa Fedora)

Enviado em 01/08/2012 - 20:20h

intao amigo tem os comandos que vc pode executar direto no terminal do linux
tipo
tcpdump -i eth1 asssim vc vera todas as requisiçõ0es em tempo real (DE todos os ips)

tcpdump -i ethi tcp port 443 vera todas as requisições da porta

tcpdump -i ethi src 192.168.1.25 vera todas as saidas do ip

tcpdump -i ethi dst 192.168.1.25 vera todas as entras de pacotes para esse ip

e tambem tem o netsat -a e por aqi vai :D amigo da uma pesquisada sobre esses comandos ;) pois eles te ajudaram muitooooo :D

andrecanhadas
(usa Debian)

Enviado em 01/08/2012 - 20:36h

Uso o iptraf para monitorar em tempo real ele monitora todas portas TCP

dokimos
(usa Debian)

Enviado em 02/08/2012 - 15:38h

Valeu mesmo galera...
nunca tinha usado o tcpdump ou o iptraf, mas pelo que vi vao ajudar bastante!