LINUX.ORG.RU
решено ФорумAdmin

Какой сайт смотрит компьютер локальной сети?

 


0

4

Задача узнать какой сайт посетил компьютер в локальной сети. В сети предприятия 50 компьютеров, необходимо знать куда они ходят. Все что требуется это адрес компьютера в сети и сайт к которому он подключился.


Ответ на: комментарий от easybreezy

КАК ТЕБЯ ЗАИГНОРИТЬ, ГОСПОДИ.

Никак, терпи.

Я, конечно, мог уже что-то забыть, последний раз админил корпоративную сетку лет 12 назад. Но все же: у меня был парк машин, выходящих в сеть через шлюз (в винде оно как-то так называлось в настройках сети, параметры выдавал DHCP). В качестве шлюза был прокси в прозрачном режиме — просто перекидывал все туда и обратно, при этом ведя логи кто куда ходил. Причем делал я это и как с помощью Squid, так и с помощью NetGate (или как он там называется?).

Что в этой схеме изменилось сейчас?

Zhbert ★★★★★
()
Ответ на: комментарий от Zhbert

Что в этой схеме изменилось сейчас?

Ну вот тебе домашнее задание - поднимаешь сквид на шлюзе, на клиентах не ставишь свой СА, потом ходишь в интернет. О результатах сообщи.

Ты там можешь сделать ход конем конечно, но он еще хуже.

Никак, терпи.

Да пошел ты.

easybreezy
()
Ответ на: комментарий от easybreezy

Позвольте спросить, как он будет смотреть dns запросы, если сейчас везде включен dns-over-https? Что помешает пользователю установить в браузер некий «ZenMate - Free VPN» и скрыть свои запросы? Или использовать proton-vpn на машине?

В крайнем случае, можно установить proton-vpn на мобилку, раздать с нее вайфай, переподключиться и уйти в плавание...

Благодарствую за ответы.

sfedosenko
()

DNS сервер свой использовать самый простой вариант, как уже написали, хоть с тем же pihole. Отдать клиентам по DHCP.

От сильно хитрой задницы это не спасёт, можно использовать другие DNS, можно DoH. Но в среднестатистическом случае поможет.

nebularia ★★★
()
Ответ на: комментарий от sfedosenko

Позвольте спросить, как он будет смотреть dns запросы, если сейчас везде включен dns-over-https? Что помешает пользователю установить в браузер некий «ZenMate - Free VPN» и скрыть свои запросы? Или использовать proton-vpn на машине?

Ничего не помешает. Но если пользователь так делает, это можно выявить хотя бы по статистике DNS-запросов.

можно установить proton-vpn на мобилку, раздать с нее вайфай

Бред, телефон (андроид, во всяком случае) не будет слать трафик точки доступа через VPN без обходных путей, требующих root-доступа.

nebularia ★★★
()
Ответ на: комментарий от easybreezy

Ты мне говоришь ‘никак, терпи’, что я должен ответить? Ты модератор, игнорить вас нельзя.

Сорян, дружище, не знал, что ты не умеешь в сарказм (ну или тупые шутки, хз). В следующий раз поставлю смайлик.

Я не настаиваю на том, что я прав. Просто помню, как подобная задача была решена в месте, где я работал админом около 15 лет назад.

У меня было тоже около 50 виндовых компов, между ними сетка: пара свитчей по кабелям, WiFi-роутер и два репитера к нему. Параметры сети выдавались по DHCP, в качестве интернет-шлюза был указан сервер в этой же сети, на котором был поднят виндовый же NetGate. Для компов он был совершенно прозрачен — они просто ходили в сеть без доп настроек прокси и так далее, при этом HTTPS работал, и никаких плясок с сертификатами не производилось. На сервере были подробные логи, кто куда коннектился. Единственный момент, что я не уже не помню, отображались ли там адреса сайтов или просто айпишники. Собственно, задачей сервера было обрезать скорость и выдавать лимиты трафика, логи были просто потому что сервер мог их писать, но никого не интересовали.

Если сейчас такой подходи неприменим — ок, был неправ. Но сходу выглядит похожим на то, что описал ТС.

Zhbert ★★★★★
()
Ответ на: комментарий от sfedosenko

Позвольте спросить, как он будет смотреть dns запросы, если сейчас везде включен dns-over-https

О, у нас первый победитель. Не понимаю только, почему вы меня спрашиваете, если я изначально об этом ему писал в этом же треде.

Ждем дальше.

easybreezy
()
Ответ на: комментарий от sfedosenko

В крайнем случае, можно установить proton-vpn на мобилку, раздать с нее вайфай, переподключиться и уйти в плавание...

Да что ж ты содомит делаешь.. Надо было попозже этот козырь кидать (протон правда бред, но тем не менее).

easybreezy
()
Ответ на: комментарий от sfedosenko

как он будет смотреть dns запросы, если сейчас везде включен dns-over-https? Что помешает пользователю установить в браузер некий «ZenMate - Free VPN» и скрыть свои запросы? Или использовать proton-vpn на машине?

А всю эту пакость надо блокировать. По айпи, они у них более менее фиксированные. Иногда можно устраивать проверки компов на предмет наличия на них ранее не учтённых обходных подключений и тоже вносить в чёрный список + наказывать тех кто установил.

firkax ★★★★★
()
Ответ на: комментарий от nebularia

Бред, телефон (андроид, во всяком случае) не будет слать трафик точки доступа через VPN без обходных путей, требующих root-доступа.

Не то что бы я с тобой не согласен, но можно дамп трафика или хоть что-то? Можно ссылку на сорцы андроида (ну да, они же ненастоящие).

easybreezy
()
Ответ на: комментарий от Zhbert

на котором был поднят виндовый же NetGate

Я не знаю, что такое «виндовый netgate», этого не было в условиях.

Я не настаиваю на том, что я прав.
при этом HTTPS работал, и никаких плясок с сертификатами не производилось.

Да мне вобще похер, кто тут прав. Насколько помню, ты ушел с завода в нормальное место на настоящую работу и решил заниматься интересными задачами.

Собственно, задачей сервера было обрезать скорость и выдавать лимиты трафика

Это вообще мимо, ну.

Хорошо, на какой ээ черт в вебе появился https? (и да, сайт хоббита не считается, ОН НЕ МОЖЕТ ДВА ГОДА ЗАПИЛИТЬ СЕБЕ ТЛС).

И про хоббита это не шутка, я пытался найти тред - но слишком долго искать. Он действительно не может.

easybreezy
()
Последнее исправление: easybreezy (всего исправлений: 2)
Ответ на: комментарий от firkax

А всю эту пакость надо блокировать. По айпи, они у них более менее фиксированные.

Забань клаудфларе, клоун. Вот подсети, пожалуйста - https://www.cloudflare.com/ips/

Только у тебя все сломается.

Ну да, я забыл, ты админ локалхоста со своим мнением.

easybreezy
()
Последнее исправление: easybreezy (всего исправлений: 1)
Ответ на: комментарий от firkax

Иногда можно устраивать проверки компов на предмет наличия на них ранее не учтённых обходных подключений и тоже вносить в чёрный список + наказывать тех кто установил.

И постепенно мы приходим к .... РЕШЕНИЮ АДМИНИСТРАТИВНЫХ ЗАДАЧ ТЕХНИЧЕСКИМ ПУТЕМ.

Если че, в условиях не было контроля клиентов.

easybreezy
()
Последнее исправление: easybreezy (всего исправлений: 2)
Ответ на: комментарий от firkax

Возможно вы правы, но это какая то лютая/дикая борьба. Не хочет работать? Уволили и взяли нового мотивированного человека, который будет соблюдать правила и работать.

А старый пусть дома сидит и листает интернет. Надоест листать - пойдет искать работу и будет уже мотивированным.

sfedosenko
()
Ответ на: комментарий от easybreezy

Можно погуглить «android wi-fi hotspot vpn» или самому проверить. У меня работает именно так. Трафик хотспота не отправляется через VPN by design.

Вот тут тоже написано:

https://protonvpn.com/support/share-vpn-connection-android-hotspot/

nebularia ★★★
()

Поставь dns сервер внутри предприятия и логируй все dns запросы на нем.

Только не очень понятно зачем все это надо. Современные сайты подкачивают ресурсы с кучи других. Плюс браузеры часто по ссылкам сами ходят, чтобы быстрее их открывать в случае надобности.

Какую задачу то решаете? Может стоит с другой стороны пойти?

adn ★★★★
()
Ответ на: комментарий от easybreezy

В смысле? Ты в любом случае будешь резолвить хост при первом обращении к нему. Если нужен только source ip и url сайта, то этого достаточно. А если тебе нужно время обращения и/или точный url, то да. Тогда только proxy.

adn ★★★★
()
Ответ на: комментарий от adn

В смысле? Ты в любом случае будешь резолвить хост при первом обращении к нему

В смысле что в 2023 году ты пососешь со своим снифом днс, потому что клиенты могут резолвить (и резолвят, внезапно) днс не как 20 лет назад в открытом виде.

easybreezy
()
Ответ на: комментарий от easybreezy

Если ты про DNS over HTTPS, то DoH серверов не так много и их можно заблокировать. (Тебе все-равно придется блокировать dns traffic). И я не предлагаю сниффить, а предлагаю логировать запросы.

Но да. Все это изначально бесполезно, так как есть мобильная связь через которую можно спокойно ходить на сайты с рабочего места.

Я поэтому и спрашиваю про решаемую задачу.

adn ★★★★
()
Ответ на: комментарий от make59

50 компьютеров
Не хочется пускать через прокси.

Очень зря. У нас 25 машин и только прокси спасает от всего, что водится в сети. Ну ок, не всего, но процентов 80 вирусни. Прокси легко настроить, в инете можно взять списки доменов с малварью, фишингом и прочим дерьмом и заблеклистить. Ну а еще узнаешь много нового о сотрудниках. У нас девушки в бухгалтерии иногда на такое забредают...

обойтись малой кровью

Вот когда пустишь всех через прокси - это и будет малая кровь.

Gonzo ★★★★★
()
Ответ на: комментарий от adn

Я поэтому и спрашиваю про решаемую задачу.

А задача идиотская, вот мы тут и развлекаемся.

Если ты про DNS over HTTPS, то DoH серверов не так много и их можно заблокировать.

Да нет же :)

easybreezy
()
Ответ на: комментарий от easybreezy

Ничего. Я решаю задачу в пределах того, что возможно. Отнесу эту пачку ip адресов тому, кто просил отчёт - пусть читают. Даже в этом отчёте что-то, но будет, иногда и этого достаточно. Задача идентифицировать 100% трафика нерешаемая, а вот если нужно собрать хоть какую-то статистику, то именно это мы и получим.

x-term ★★
()
Ответ на: комментарий от sfedosenko

то помешает пользователю установить в браузер некий «ZenMate - Free VPN» и скрыть свои запросы? Или использовать proton-vpn на машине?

То, что диапазоны известных VPN-сервисов в блокировке Связьнадзора? Надо городить свой частный VPS и никому не рассказывать, что ты там себе VPN-прокси забацал. В общем не сложно, но дополнительные телодвижения.

AS ★★★★★
()
Ответ на: комментарий от easybreezy

Если ты про DNS over HTTPS, то DoH серверов не так много и их можно заблокировать.

Да нет же :)

А потом резолвинг будет не 2-3 мс, а 200-300. Ага. Поставить всем браузеры без говна, и всё. :-)

AS ★★★★★
()

куда они ходят

vk youtube rutube redtube odnoklasniki yandex google consultant telegram whatsapp viber skype gosuslugi sber newsru tiktok instagram и еще один на лоре зависает.

неблагодари. с тебя полугодовая зп ))))

antech
()
Последнее исправление: antech (всего исправлений: 1)
Ответ на: комментарий от sfedosenko

ну тут только, концлагерь строгого режима с персональными надзирателями с плетками и то не факт что поможет. Может стоит улучшить условия труда, повысить з\п уволить 70% манагеров, глядишь и работники предпочтут работать а не игратся в новую русскую игру «протон-впн овер дох»

antech
()
Ответ на: комментарий от AS

Там совсем не 200-300, но неважно (от сети зависит конечно). Суть же в том, что если у него работники захотят ходить мимо его днс, то они без особых проблем это сделают. А контроль за клиентами он не запилил и хочет обойтись без этого, о чем тут и писали уже не раз.

easybreezy
()
Последнее исправление: easybreezy (всего исправлений: 1)
Ответ на: комментарий от AS

У моего домашнего провайдера в рф тут частная инициатива, примерно как в Китае. Если идёт поток трафика на один зарубежный ip (а у меня давно по привычке почти все в туннель до этого ip завернуто), то он его лочит на своем шлюзе на 2-3 часа. Причем тип трафика не важен, я проверял.

Доходит до смешного - могу играть в какую нибудь лигу легенд (это я в туннель не заворачиваю) несколько часов, и это потом тоже рубят.

А про диапазоны публичных впн не, там обычно банят ip или адреса апи впн сервисов, откуда ип впн серверов тянут клиенты, это намного проще.

easybreezy
()
Последнее исправление: easybreezy (всего исправлений: 3)
Ответ на: комментарий от easybreezy

Если идёт поток трафика на один зарубежный ip (а у меня давно по привычке почти все в туннель до этого ip завернуто), то он его лочит на своем шлюзе на 2-3 часа.

Сурово... А если это связь межофисная какая? Или удалёнка? Каждый раз предупреждать что ли и договариваться?

AS ★★★★★
()

Прозрачные прокси - зло. А если не они, то нюхать SNI со шлюза и ДНС, лучше локальный. Но это такое себе удовольствие. Во-первых, если клиент может настроить туннель для ДНС, поставить какую-нибудь Оперу или вообще просунуть полноценный ВПН наружу, то его не будет видно. Во-вторых, результатом будет несортированный список всякого мусора типа scontent-waw1-1.xx.fbcdn.net, в котором утонешь, а он не говорит ни о чем, даже о том, что клиент лазил именно на фейсбук.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)