Outils pour analyser le trafic via un pare-feu?

Nous avons une installation pfSense de 2 Connexions WAN (3 Mbit / avec moi 17 Mbit / de), Et nous utilisons tcpdump Pour enregistrer la configuration de la connexion et des demandes DNS. Nous aimerions analyser les endroits où nous nous connectons de garder une trace des chevaux de Troie et d'autres programmes de numérotation à la Chambre. Existe-t-il des outils pour une telle analyse?

J'ai vu
https://serverfault.com/questi ... eriod
Et les réponses semblent être liées à la surveillance du trafic entrant vers un serveur Web, où il y a plus d'aperçu du trafic sortant.

Nous n'utilisons pas squid, Parce qu'ils ne savaient pas comment le faire fonctionner en mode de commutation d'urgence. Avec des connexions asymétriques de bande passante, nous avons des choses qui sont toujours incluses / Hors de vitesse 3 Mbit / de (Par exemple, email), Mais nous voulons que des matériaux Web puissent passer par la connexion 17 Mbit / C S'il n'est pas désactivé, nous voulons que cela passe à une connexion à des vitesses 3 Mb / C, et nous n'avons pas compris comment le configurer.

Une autre caractéristique de ce paramètre est que nous souhaitons également suivre la circulation sur le Web. Nous aimerions voir quelles connexions sortantes sont installées (Clients de chat ssh ...). Usage de base - Observation des actions des fraudeurs. Quelque chose qui aidera cette activité à élever le drapeau rouge ...
Invité:

Giselle

Confirmation de:

Si vous souhaitez garder une trace du trafic pour des raisons de sécurité et avertir à ce sujet, l'outil est appelé pour cela.
http://en.wikipedia.org/wiki/I ... ystem
.

Un outil populaire pour cela est
http://www.snort.org/
. Vous pouvez le courir dans Windows ou Linux (et éventuellement dans BSD?). Je le mettreais sur une voiture séparée. Ensuite, il peut écouter le trafic WAN, Exécuter vos commutateurs.
http://en.wikipedia.org/wiki/Port_mirroring
Pour chacune des connexions WAN.

Alors connexions WAN passer à travers vos interrupteurs (Peut-être dans leur propre VLAN), Et chacun d'entre eux a un port miroir. Ces ports miroirs sont connectés à votre IDS, alors IDS Elle voit une copie de l'ensemble du trafic WAN. Si un IDS Quelque chose de drôle dans le trafic Wan, elle vous enverra un avertissement.

Alice

Confirmation de:

Squid ne peut pas être utilisé comme proxy transparent avec plusieurs connexions WAN sur pfsense. Le routeur a deux adresses, mais pfsense Il n'utilisera que la première connexion WAN, et non une interface WAN supplémentaire. Peu importe la façon dont vous essayez de router du trafic, squid Il ignorera toutes ces règles de routage et n'utilisera que la passerelle maître par défaut pour l'ensemble du trafic que cela traite.

Dominique

Confirmation de:

Squid Doit utiliser n'importe quelle interface, selon laquelle le routeur a une priorité plus élevée. Comment envoyez-vous du trafic à certaines interfaces? Utilisez-vous des règles de pare-feu? (Celles. Réglage de la passerelle au bas de la page de création de page)

Veuillez noter que si vous essayez d'équilibrer l'utilisation des règles et essayez d'utiliser squid Dans un mode de proxy transparent, le trafic sortant proviendra toujours de l'adresse du routeur, et non de la machine qui l'a initialement demandée.

Snort Disponible en tant que package pour pfSense, Si votre routeur est assez puissant pour faire face à son travail, ainsi que ses tâches habituelles.

Pour répondre aux questions, connectez-vous ou registre