LINUX.ORG.RU
ФорумAdmin

Слежение за http и https БЕЗ видимой подмены сертификатов

 , ,


1

2

Собственно сабж. В сети одной небольшой организации у руководства появилась навязчивая идея отслеживать кто посещает соцсети. Устройство сети: Микротик -> клиенты (около 100+ компьютеров)

Как это лучше сделать? В голове крутится squid+sams либо netflow с микротика + чем то смотреть(кстати чем?)

Сейчас покрутил сквид (не centos 7), но у меня получилось извращение. У него один локальный интерфейс. И не работают у него в прозрачном режиме порты: Выдержка с логов:

1482087494.521     77 192.168.5.182 TCP_MISS/503 4455 GET http://linux-admin.tk/ - ORIGINAL_DST/192.168.5.15 text/html
1482087494.588      0 192.168.5.182 TCP_MEM_HIT/200 13099 GET http://monitoring-srv.local:3130/squid-internal-static/icons/SN.png - HIER_NONE/- image/png
1482087494.617      0 192.168.5.182 TCP_MISS/503 4376 GET http://linux-admin.tk/favicon.ico - ORIGINAL_DST/192.168.5.15 text/html
1482087494.672      0 192.168.5.182 TCP_MISS/503 4450 GET http://linux-admin.tk/favicon.ico - ORIGINAL_DST/192.168.5.15 text/html

Пока что вручную прописал проксю в браузере на 80 и 443 порт. Делал я это на скорую руку по мануалу https://habrahabr.ru/post/267851/ Сам сквид до этого не крутил, так что прошу не ругаться. Опыт подсказывает, что гуглежка + тема на лоре дает весомый результат.

Мне вообщем то и не важно, как это будет выглядеть (идея со сквидом мне не нравится). Задача сделать так, что бы я имел статистику ип клиента:история посещений желательно по дате.


Ответ на: комментарий от ArcFi

Спасибо.
Понял. Суть в том что имя требуемого виртуального хоста не шифруется.
А насколько вообще этот SNI распространен? И как будет себя вести squid, если SNI на том сервере к которому подключается клиент будет отключен?

rumgot ★★★★★
()

Задачу можно решить без squid'а. Я как-то писал и на лоре, и на хабре как можно мониторить пользовательский трафик по-доменно без проксирования ( https://habrahabr.ru/post/272565/ ). Хотя, сисадмины редко отходят от линии партии - пишут в интернетах что мониторить можно только сквидом, будут мониторить только сквидом (хоть для этого и придется нагнуть пользователей).

Идея в статье очень простая - пользователи, прежде чем попасть на сайт (ну или как-то еще обратиться к хосту), резолвят его DNS'ом. Даже если они резолвят его не на вашем DNS-сервере, ответы можно перехватить и распарсить. У вас появляется список IP-адресов нужного домена (или группы доменов), а дальше можете мониторить уже традиционными средствами для IP-мониторинга.

В вашем случае можно даже обойтись без netflow. Просто считать трафик от хостов с соц.сетей во внутренние хосты. Я бы попробовал сделать ipset со счетчиками, в котором все хосты внутренней подсети (прямо все /24 или сколько там у вас). Пропускал бы через этот ipset трафик от соцсетей и дампил счетчики раз в сутки. Но у вас необычная конфигурация, это придется делать на отзеркалированном с микротика трафике, может быть придется повозиться

Deleted
()
Ответ на: комментарий от Deleted

кеш DNS'а порушит систему. Также есть кнопки соцсетей на обычны сайтах, также оттуда могут картинку тянуть или такая картинка придёт другим путём. Решение проблемы - это или руководство лечит мозг или валить оттуда. Если хочется потренироваться в подсчёте статистики, достаточно прозрачного сквида, да. Если достаточно информации о том на какой домен кто сходил и сколько скачал, достаточно маленького скрипта на awk. Можно объяснить руководству что они заменяют работу с кадрами анонизмом. Последнее более честно.

slapin ★★★★★
()
Ответ на: комментарий от Deleted

чезабред. благодаря социальным кнопкам, всяким встройкам видео на сайтах и прочему говну, юзер будет числиться заядлым посетителем вконтакта,пейсбука и ютуба, даже если он их ни разу в жизни не видел.

Deleted
()
Ответ на: комментарий от slapin

кеш DNS'а порушит систему

bdfy

чезабред

Ну, вот об этом я, собственно, и писал. Сетевые эксперты со сквидом наперевес, всегда готовы объяснить как нужно правильно делать

Deleted
()
Ответ на: комментарий от Deleted

Неа, если делать выборку по обьему, то будет понятно кто реально не вылезает из соц сетей а у кого это только косвенно - «кнопочки и т.п.»

anc ★★★★★
()
Ответ на: комментарий от Deleted

вещь хорошая, но вывода как такового нету. Т.е. как мне с этого вывести адекватную таблицу посещений - я не понял. В конце концов не буду же я логиначальству кидать.. ) Тема с коллектором, умеющим адекватно отображать ип клиента -> домен (скачано в байтах) - по-прежнему актуальна..

Rockon
() автор топика
Ответ на: комментарий от Rockon

вывода как такового нету

Так это и не задумывалось как утилита для отображения отчетов. Задумывалось просто как вспомогательная утилита, чтобы держать соответствия IP-адресов и доменов (с оговорками, конечно, особенно для виртуального хостинга и всяких балансировщиков).

То есть если вам нужно, скажем, знать сколько какой адрес из вашей сети слил с vk.com и поддоменов за сутки - это можно сделать (и без netflow) довольно просто, счетчиками iptables/ipset.

Тема с коллектором, умеющим адекватно отображать ип клиента -> домен (скачано в байтах) - по-прежнему актуальна

А вот такое не факт что вообще есть в опен сорц. Хотя, кто знает. Ну, если http/https вам достаточно, берите сквид

Мы делали netflow-коллектор для внутренних нужд ( http://xenoeye.com ), пока компания не, э-э, перепрофилировалась от кризиса.

После долгих размышлений и разговоров с админами заказчиков решили что генератор отчетов должен вести себя так: пользователь (который смотрит отчеты) медитирует в графики, потом внезапно видит что-то необычное. Говорит «хренасе, а это еще что?», тыкает в это мышкой, а ему отдаются домены из которых этот IP-адрес получился (и/или whois/rDNS на текущий момент). Лучше ничего не придумали, все-таки информация о доменах к netflow прикладывается довольно сильно сбоку.

Может быть (а может быть и нет) я как-нибудь соберусь с силами и что-нибудь с этим нашим заброшенным коллектором сделаю (были мысли прикрутить выделение кластеров трафика и поиск аномалий), но пока совсем не до этого.

Если найдете коллектор, который хорошо интегрируется с DNS, было бы интересно посмотреть как это сделали.

Deleted
()
Ответ на: комментарий от Deleted

впринцепи я нашел только http://nfsen.sourceforge.net/ там это сделано, только сделано не там. Я пока изучаю местный кодинг, думаю, как бы заставить логи переделываться на ходу под него (из nfdump)

Rockon
() автор топика
Ответ на: комментарий от Rockon

ну и паралельно смотрю сквид, но пока я его не заставил проксировать https.. У меня вылезает предупреждение о левом сертификате, как обойти - не знаю. Кароче в процессе обзавелся считалкой трафика, а вариант с проксированием 100+ клиентов через виртуальную машину, вариант так себе, ибо машина под виртуалкой.. Но если вариантов не останется - сделаю

Rockon
() автор топика
Ответ на: комментарий от Rockon

Господи, неужели так сложно пускать юзеров на сквид через http CONNECT? Там даже конфиг-то трогать не надо для этого! Я конечно понимаю что по сети ходят мануалы сплошь с перехватом https... Или вам одного SNI недостаточно?

anonymous
()
Ответ на: комментарий от Deleted

Лучше ничего не придумали, все-таки информация о доменах к netflow прикладывается довольно сильно сбоку.

Я пользовал следующую схему, хранение данных в муське, а потом агрегация за определенное время (например раз в сутки) и вот уже в агрегированную таблицу добавил поля с именами хостов, т.е. при заполнении заодно и имя по ip получал. Как говориться «тупо и злобно». Для небольшого кол-ва пользователей 30-40 которые в том числе и инетрадио пользовали вполне норм работало.

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.