Outils pour analyser le trafic via un pare-feu?
Nous avons une installation pfSense de 2 Connexions WAN (3 Mbit / avec moi 17 Mbit / de), Et nous utilisons tcpdump Pour enregistrer la configuration de la connexion et des demandes DNS. Nous aimerions analyser les endroits où nous nous connectons de garder une trace des chevaux de Troie et d'autres programmes de numérotation à la Chambre. Existe-t-il des outils pour une telle analyse?
J'ai vu
https://serverfault.com/questi ... eriod
Et les réponses semblent être liées à la surveillance du trafic entrant vers un serveur Web, où il y a plus d'aperçu du trafic sortant.
Nous n'utilisons pas squid, Parce qu'ils ne savaient pas comment le faire fonctionner en mode de commutation d'urgence. Avec des connexions asymétriques de bande passante, nous avons des choses qui sont toujours incluses / Hors de vitesse 3 Mbit / de (Par exemple, email), Mais nous voulons que des matériaux Web puissent passer par la connexion 17 Mbit / C S'il n'est pas désactivé, nous voulons que cela passe à une connexion à des vitesses 3 Mb / C, et nous n'avons pas compris comment le configurer.
Une autre caractéristique de ce paramètre est que nous souhaitons également suivre la circulation sur le Web. Nous aimerions voir quelles connexions sortantes sont installées (Clients de chat ssh ...). Usage de base - Observation des actions des fraudeurs. Quelque chose qui aidera cette activité à élever le drapeau rouge ...
J'ai vu
https://serverfault.com/questi ... eriod
Et les réponses semblent être liées à la surveillance du trafic entrant vers un serveur Web, où il y a plus d'aperçu du trafic sortant.
Nous n'utilisons pas squid, Parce qu'ils ne savaient pas comment le faire fonctionner en mode de commutation d'urgence. Avec des connexions asymétriques de bande passante, nous avons des choses qui sont toujours incluses / Hors de vitesse 3 Mbit / de (Par exemple, email), Mais nous voulons que des matériaux Web puissent passer par la connexion 17 Mbit / C S'il n'est pas désactivé, nous voulons que cela passe à une connexion à des vitesses 3 Mb / C, et nous n'avons pas compris comment le configurer.
Une autre caractéristique de ce paramètre est que nous souhaitons également suivre la circulation sur le Web. Nous aimerions voir quelles connexions sortantes sont installées (Clients de chat ssh ...). Usage de base - Observation des actions des fraudeurs. Quelque chose qui aidera cette activité à élever le drapeau rouge ...
Aucun résultat connexe trouvé
Invité:
Pour répondre aux questions, connectez-vous ou registre
3 réponses
Giselle
Confirmation de:
http://en.wikipedia.org/wiki/I ... ystem
.
Un outil populaire pour cela est
http://www.snort.org/
. Vous pouvez le courir dans Windows ou Linux (et éventuellement dans BSD?). Je le mettreais sur une voiture séparée. Ensuite, il peut écouter le trafic WAN, Exécuter vos commutateurs.
http://en.wikipedia.org/wiki/Port_mirroring
Pour chacune des connexions WAN.
Alors connexions WAN passer à travers vos interrupteurs (Peut-être dans leur propre VLAN), Et chacun d'entre eux a un port miroir. Ces ports miroirs sont connectés à votre IDS, alors IDS Elle voit une copie de l'ensemble du trafic WAN. Si un IDS Quelque chose de drôle dans le trafic Wan, elle vous enverra un avertissement.
Alice
Confirmation de:
Dominique
Confirmation de:
Veuillez noter que si vous essayez d'équilibrer l'utilisation des règles et essayez d'utiliser squid Dans un mode de proxy transparent, le trafic sortant proviendra toujours de l'adresse du routeur, et non de la machine qui l'a initialement demandée.
Snort Disponible en tant que package pour pfSense, Si votre routeur est assez puissant pour faire face à son travail, ainsi que ses tâches habituelles.