R: Analisi delle connessioni in real time

Esiste Netforensics ... ha un agente,
Universal Agent che raccoglie informazioni
da tutto quello che è tecnologia syslog,
a patto di creare regole di parsing ad-hoc.
E' molto di piu' di una real time console,
ma fa anche quello che ti serve.

Daniele

> -----Messaggio originale-----
> Da: Dido [mailto:dido@sicurweb.com] 
> Inviato: giovedì 19 settembre 2002 1.27
> A: ml@sikurezza.org
> Oggetto: Re: Analisi delle connessioni in real time
> 
> 
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> Innanzi tutto, grazie 1K a tutti dei consigli...
> 
> Visto che è passato un po' di tempo, mi permetto di 
> riassumere quello che 
> avrei vuoluto (scusa Koba, ma mi sembra possa essere comodo 
> un riassuntino): 
> un modo "real-time" per analizzare il traffico che attraversa 
> il firewall 
> (possibilmente tramite web), ed uno strumento per dirmi, 
> sempre real-time, i 
> client connessi al proxy ed eventualmente la loro attività.
> Da quanto ho potuto leggere, direi che non esiste nulla di 
> già fatto che possa
> soddisfare le mie richieste in maniera "totale"...Per cui, 
> penso opererò così: 
> sullo switch userò una mirror port, e amalizzerò il traffico 
> tramite NTOP, 
> sfruttando un secondo server. In questo modo, ho risolto il 
> primo problema...
> Per quanto riguarda l'analisi dell'utilizzo di Squid, 
> hoescluso webalizer, in 
> quanto non mi fornisce dati in tempo reale... Ho pensato a 
> due soluzioni: la 
> prima è tramite il cgi di squid "cachemgr.cgi", che se ben 
> ricordo fa anche 
> qualcosa di molto vicino a quello che vorrei io (qualcuno può 
> confermarmelo?). La seconda possibilità è usare rdist per scrivere in 
> real-time i log del proxy anche sulla seconda macchina (tramite una 
> directrory sincronizzata), e su questa (il secondo server) 
> fare uno script in 
> perl che eventualmente possa farmi una statistica di quanto 
> sta avvenendo....
> Che dite, non ho mai usato rdist: ci sono controindicazioni note?
> Grazie ancora per l'aiuto....
> Ciao!
> Dido
> 
> > Io (per quanto riguarda il monitoraggio delle connessioni) 
> installerei
> > proprio NTOP visto che fa proprio quello che vuoi tu ed 
> anche via web,
> > sul fatto poi di installarlo sul fw, beh non lo farei nemmeno io.
> >
> > La soluzione che io ho scelto e' quella di installarlo su 
> un vecchio pc
> > recuperato, attaccarlo ad uno switch dietro al fw, su cui 
> lo stesso fw
> > e' attaccato, e mirrorare il traffico della porta diretta 
> al fw sulla
> > porta del pc con ntop (ovviamente lo switch deve poter avere tale
> > funzionalità).
> >
> > Per il web invece uso webalizer il cui solo problema e' quello di
> > configurarlo in modo da ottenere dati e statistiche significativi.
> 
> - -- 
> - -------------------------------------
> Dido
> 
> PGP Public Key
> http://web.tiscali.it/di_do/dido.asc
> - -------------------------------------
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.0.6 (GNU/Linux)
> Comment: For info see http://www.gnupg.org
> 
> iD8DBQE9iQvdQe/GGXXd6zQRAnKTAKCsip3pUPmvYz99LhFGF4fPtnLukACfcqi6
> wVH7cfxTtlnzxz46Xit692Q=
> =dP00
> -----END PGP SIGNATURE-----
> 
> 
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
> 
> 


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List