Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   сниффинг http и декодирование файлов (http://forum.oszone.net/showthread.php?t=84552)

TuGrik 25-05-2007 20:12 591042
сниффинг http и декодирование файлов
 
Доброго времени суток.
уважаемые, прошу дельного совета.
есть задача: нужно мониторить весь трафик в локалке. все. аська, письма, скачиваемые файлы. особо интересует отправка файлов. примером, через веб-интерфейс внешних почтовых сервисов.
использовал различные утилиты - Iris network traffic analyzer, commview, Ufasoft IM Snif, Cain & Abel..
каждая по своему хороша. оценил. вот только файлы (опять же, при отправке через веб), предоставляются в бинарном виде.
а вот есть ли что то, что может не только перехватывать пакеты, а ещё декодировать все из них..?
весь трафик идет через прокси. squid. возможно конечно, его "приручить", но для меня ето немного "темно". хотя за информацию и про ето, буду благодарен, постараюсь разобраться.
p.s.: вопрос очень важен..

VladimirB 26-05-2007 09:08 591147
Может сочтете совет "не по делу", однако вопрос.
У вас принята политика безопасности?
В ней есть слова о том, что вся почта, сообщения и т.д. принадлежат фирме?
Пользователи уведомлены под роспись, что их трафик перехватывается и может читаться?
С юристами согласовано?
Судя по тому что ваши пользователи могут пользоваться внешней почтой - этого ничего нет!
Если нет, то вы рискуете попасть под уголовное дело за нарушение статьи Конституции о тайне личной переписки.
Советую вначале подумать и привести все в порядок. Мониторинг "всего" - дело последнее.

PS
У вас есть письменный приказ руководства о проведении мониторинга?
От устного легко отказаться в случае обращения правоохранительных органов!
Думайте прежде всего о собственной безопасности!

TuGrik 29-05-2007 10:11 592337
VladimirB
..ех, товарищ, товарищ... не от "легкой жизни", за советом к Вам обратился.
в конторе крыса. на кону, многа-многа денёг. не моих. и не мне. ничья личная жизнь-online просматриваться и не собираеться. но факты "крысятничества" выявиться нужно.
по факту - политики нету, ничего не с кем не согласовано. во всяком случае, пока. как раз в процесе. но есть прямой приказ, высшего руководства. и внутренняя политика, во всяком случае моего начальства, не предполагает вариантов отмахивания от собственных, и тем более таких деликатных приказов (не в первой:)))
и всё таки, оставив лирику ( VladimirB спасибо за беспокойство :beer: ), и перейдя к техническому аспекту вопроса - somebody help me?))

Greyman 29-05-2007 11:04 592377
TuGrik
Готовых бесплатных решений не видел. Однако рабочие платные схемы рядом фирм предлагаются, например продукты "Инфосистемы Джет":
http://www.jetinfosoft.ru/product/do...t/purpose.html
http://www.jetinfosoft.ru/product/dozor/purpose.html
Правда у этих вроде аська и подобные не предусмотрены для мониторинга, но вроде есть схемы от других фирм, учитывающие и эти каналы распространения. Есть даже системы использующие анализ стеганографии, тоже один из каналов утечки информации, к-ый щас получает развитие при политике блокирования шифрованного трафика, да и скрытность растпространения у него больше

TuGrik 29-05-2007 15:36 592511
Greyman, сенкс))
"тяжёлая" штука.. посмотрим.
а аську Ufasoft IM Snif слушаю. хотя ето и не принципиально. за стеганографию пока и не пытался браться (жа и умников аж таких, не наблюдается ).
готов рассмотреть ещё возможные варианты.

TuGrik 30-05-2007 17:14 592981
Greyman, обсмотрел творения я сиё. мож я чёто не понял, но максимум что она для меня может, програма ета, так ето показать названия файлов, скачанные-отправленные. а мне как раз нужно, что бы их содержимое.
продолжаем поиски..

Greyman 30-05-2007 22:47 593070
TuGrik
Цитата:
мож я чёто не понял, но максимум что она для меня может, програма ета, так ето показать названия файлов, скачанные-отправленные. а мне как раз нужно, что бы их содержимое.
Насколько я знаю, там предусмотрен мониторинг, в т. ч. архивированием. Поэтому подозрительные файлы могут быть просмотрены из сделанного архива.

dmon_s 31-05-2007 19:24 593511
A ethereal пробовали? Мощная штукенция.

VladimirB 31-05-2007 19:31 593513
Как вариант - www.bezpeka.biz Программа Coba PC Но предупреждаю. Пишет все, включая пароли+очень большой объем информации, хотя грамотное построение запросов помогает. Демо-версия отличается от рабочей только тем что каждые 15 минут выкидывает сообщение что компьютер под наблюдением!

TuGrik 01-06-2007 17:06 593971
dmon_s пробовал конечно)) моцно, не спорю.. но мож есть опыт, как составить фильтр, что бы он вычленял с потока GET и POST запросы, с последующей декодировкой того, что было передано, в теле етих запросов..?))
VladimirB, ну ето ж не то, немного. мне как раз сниферить нужно. в одном оифисе 130 чел. да и ещё, есть пара, офисов...
хм.. вот так вот поупражняться, а птом как в матрице буду - смотрю на бегущие циферки, буковки, и ток я понимаю что вот там то - на картинке, блондинка, шикарная. а вон кто то и документик отослал... но, я так не хочу. вот и стараюсь, как то автоматизировать сей процес.

VladimirB 02-06-2007 23:11 594392
TuGrik
тогда прямая дорога в InfoWatch Но там решение далеко не бесплатное, да и настраивается достаточно сложно

TuGrik 20-06-2007 17:39 601904
VladimirB
есть решение немного другое
http://www.tamos.ru/products/netresident/
весьма, и весьма интересное..))
осталось только опробывать на большом потоке.


Время: 22:27.

Время: 22:27.
© OSzone.net 2001-2025