Re: [ml] creare una policy dall'analisi del traffico

Ing. Stefano Centineo - AMAP S.p.A. wrote:
> Ciao
>
>
> > Non è una barzelletta,
> > un cliente mi chiama e mi dice, "ho una rete interna piatta senza 
> > firewall ma i dati che gestisco su una lan di server sono importanti 
> > quindi voglio metterci davanti un firewall
> > Ok, no problem quanti client abbiamo?
> > circa 500 forse 1000"
> pero' due risate potevamo farcele lo stesso .. no ?
>
> > Eccoci al punto; creare una policy di firewalling per proteggere una 
> > lan da un mucchio di client senza bloccare l'operatività.
> mmm...
se si blocca minimamente, mi sa che si fermano anche i suoi pagamenti a 
me ;-)))

> > Pensando a come poter fare questo lavoro, dico metto una porta dello 
> > switch in mirror e vado di tcpdump;  e poi chi li guarda giga e giga 
> > di dati? allora ho pensato ad ntop, ma ce la farà a permettermi di 
> > tirare fuori una policy di firewalling?
> Perche' scomodare sempre il difficile ?
> un'analisi preliminare no ? prima di attaccarci una qualsiasi 
> soluzione SW
> o HW ecc.
Eccoci al nodo della questione, il cliente dentro la rete server ha 
messo un po' di tutto dal software proprietari a servizi vari su porte 
non standard magari usati anche raramente..... e documentazione zero

> A naso e considerando che non ti interessano tutti i dati ma, dall'uso di
> Ntop, ti servono solo dati aggregati mi vengono in mente le RegEx
Ottimo, non ci stavo pensando, la strada allora è giusta
> attraverso le quali puoi filtrare l'output dello sniffer 
> free/commerciale e
> i giga di dati si riducono a .... centinaia di mega ?
> Strumenti come MNTRG e RRDtools (integrati anche in NTop) se li
> configuri come vuoi potrebbero esserti ancora piu' congieniali e
> personalizzabili alla bisogna


Grazie!