Показать полную графическую версию : сниффинг http и декодирование файлов
Доброго времени суток.
уважаемые, прошу дельного совета.
есть задача: нужно мониторить весь трафик в локалке. все. аська, письма, скачиваемые файлы. особо интересует отправка файлов. примером, через веб-интерфейс внешних почтовых сервисов.
использовал различные утилиты - Iris network traffic analyzer, commview, Ufasoft IM Snif, Cain & Abel..
каждая по своему хороша. оценил. вот только файлы (опять же, при отправке через веб), предоставляются в бинарном виде.
а вот есть ли что то, что может не только перехватывать пакеты, а ещё декодировать все из них..?
весь трафик идет через прокси. squid. возможно конечно, его "приручить", но для меня ето немного "темно". хотя за информацию и про ето, буду благодарен, постараюсь разобраться.
p.s.: вопрос очень важен..
VladimirB
26-05-2007, 09:08
Может сочтете совет "не по делу", однако вопрос.
У вас принята политика безопасности?
В ней есть слова о том, что вся почта, сообщения и т.д. принадлежат фирме?
Пользователи уведомлены под роспись, что их трафик перехватывается и может читаться?
С юристами согласовано?
Судя по тому что ваши пользователи могут пользоваться внешней почтой - этого ничего нет!
Если нет, то вы рискуете попасть под уголовное дело за нарушение статьи Конституции о тайне личной переписки.
Советую вначале подумать и привести все в порядок. Мониторинг "всего" - дело последнее.
PS
У вас есть письменный приказ руководства о проведении мониторинга?
От устного легко отказаться в случае обращения правоохранительных органов!
Думайте прежде всего о собственной безопасности!
VladimirB
..ех, товарищ, товарищ... не от "легкой жизни", за советом к Вам обратился.
в конторе крыса. на кону, многа-многа денёг. не моих. и не мне. ничья личная жизнь-online просматриваться и не собираеться. но факты "крысятничества" выявиться нужно.
по факту - политики нету, ничего не с кем не согласовано. во всяком случае, пока. как раз в процесе. но есть прямой приказ, высшего руководства. и внутренняя политика, во всяком случае моего начальства, не предполагает вариантов отмахивания от собственных, и тем более таких деликатных приказов (не в первой:)))
и всё таки, оставив лирику ( VladimirB спасибо за беспокойство :beer: ), и перейдя к техническому аспекту вопроса - somebody help me?))
TuGrik
Готовых бесплатных решений не видел. Однако рабочие платные схемы рядом фирм предлагаются, например продукты "Инфосистемы Джет":
http://www.jetinfosoft.ru/product/dozorskvt/purpose.html
http://www.jetinfosoft.ru/product/dozor/purpose.html
Правда у этих вроде аська и подобные не предусмотрены для мониторинга, но вроде есть схемы от других фирм, учитывающие и эти каналы распространения. Есть даже системы использующие анализ стеганографии, тоже один из каналов утечки информации, к-ый щас получает развитие при политике блокирования шифрованного трафика, да и скрытность растпространения у него больше
Greyman, сенкс))
"тяжёлая" штука.. посмотрим.
а аську Ufasoft IM Snif слушаю. хотя ето и не принципиально. за стеганографию пока и не пытался браться (жа и умников аж таких, не наблюдается ).
готов рассмотреть ещё возможные варианты.
Greyman, обсмотрел творения я сиё. мож я чёто не понял, но максимум что она для меня может, програма ета, так ето показать названия файлов, скачанные-отправленные. а мне как раз нужно, что бы их содержимое.
продолжаем поиски..
TuGrikмож я чёто не понял, но максимум что она для меня может, програма ета, так ето показать названия файлов, скачанные-отправленные. а мне как раз нужно, что бы их содержимое.
Насколько я знаю, там предусмотрен мониторинг, в т. ч. архивированием. Поэтому подозрительные файлы могут быть просмотрены из сделанного архива.
A ethereal пробовали? Мощная штукенция.
VladimirB
31-05-2007, 19:31
Как вариант - www.bezpeka.biz Программа Coba PC Но предупреждаю. Пишет все, включая пароли+очень большой объем информации, хотя грамотное построение запросов помогает. Демо-версия отличается от рабочей только тем что каждые 15 минут выкидывает сообщение что компьютер под наблюдением!
dmon_s пробовал конечно)) моцно, не спорю.. но мож есть опыт, как составить фильтр, что бы он вычленял с потока GET и POST запросы, с последующей декодировкой того, что было передано, в теле етих запросов..?))
VladimirB, ну ето ж не то, немного. мне как раз сниферить нужно. в одном оифисе 130 чел. да и ещё, есть пара, офисов...
хм.. вот так вот поупражняться, а птом как в матрице буду - смотрю на бегущие циферки, буковки, и ток я понимаю что вот там то - на картинке, блондинка, шикарная. а вон кто то и документик отослал... но, я так не хочу. вот и стараюсь, как то автоматизировать сей процес.
VladimirB
02-06-2007, 23:11
TuGrik
тогда прямая дорога в InfoWatch Но там решение далеко не бесплатное, да и настраивается достаточно сложно
VladimirB
есть решение немного другое
http://www.tamos.ru/products/netresident/
весьма, и весьма интересное..))
осталось только опробывать на большом потоке.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.