Назад | Перейти на главную страницу

Инструменты для анализа трафика через брандмауэр?

У нас есть установка pfSense с 2 подключениями WAN (3 Мбит / с и 17 Мбит / с), и мы используем tcpdump для регистрации настройки подключения и запросов DNS. Мы хотели бы проанализировать места, к которым мы подключаемся, чтобы следить за троянами и другими программами дозвона до дома. Есть ли какие-нибудь инструменты для такого анализа?

я видел Инструмент анализирует веб-трафик для каждого файла и периода времени? и ответы, похоже, связаны с просмотром входящего трафика на веб-сервер, где это больше обзор исходящего трафика.

Мы не используем squid, потому что не выяснили, как заставить его работать в режиме аварийного переключения. С асимметричными соединениями пропускной способности у нас есть некоторые вещи, которые всегда входят / выходят со скоростью 3 Мбит / с (например, электронная почта), но мы хотим, чтобы веб-материалы выходили через соединение 17 Мбит / с, если оно не отключено, тогда мы хотим, чтобы он переключиться на соединение со скоростью 3 Мб / с, и мы еще не выяснили, как его настроить.

Еще одна особенность этой настройки заключается в том, что мы также хотели бы отслеживать не веб-трафик. Мы хотели бы видеть, какие исходящие соединения устанавливаются (клиенты чата, ssh ...). Основное использование - наблюдение за действиями мошенников. Что-то, что поможет этой деятельности поднять красный флаг ...

Если вы хотите отслеживать трафик по соображениям безопасности и предупреждать об этом, инструмент для этого называется Система обнаружения вторжений (IDS).

Популярным инструментом для этого является Фырканье. Вы можете запустить его в Windows или Linux (и, возможно, в BSD?). Я бы поставил это на отдельную машину. Затем он может прослушивать трафик WAN, запустив ваши коммутаторы. Зеркальные порты для каждого из WAN-соединений.

Таким образом, подключения WAN проходят через ваши коммутаторы (возможно, в их собственной VLAN), и у каждого из них есть зеркальный порт. Эти зеркальные порты подключены к вашему IDS, поэтому IDS видит копию всего WAN-трафика. Если IDS увидит в WAN-трафике что-то забавное, она отправит вам предупреждение.

Squid не может использоваться в качестве прозрачного прокси с несколькими WAN-соединениями на pfsense. Маршрутизатор имеет два адреса, но pfsense будет использовать только первое WAN-соединение, а не какой-либо дополнительный WAN-интерфейс. Независимо от того, как вы пытаетесь маршрутизировать трафик, squid будет игнорировать все эти правила маршрутизации и будет использовать только основной шлюз по умолчанию для всего трафика, который он обрабатывает.

Squid должен использовать любой интерфейс, в зависимости от того, какой маршрутизатор имеет более высокий приоритет. Как вы направляете трафик на определенные интерфейсы? Вы используете правила брандмауэра? (Т.е. настройка шлюза внизу страницы создания правила)

Обратите внимание, что если вы пытаетесь сбалансировать его с помощью правил и пытаетесь использовать squid в режиме прозрачного прокси, исходящий трафик от него всегда будет исходить с адреса маршрутизатора, а не с машины, которая изначально его запросила.

Snort доступен как пакет для pfSense, если ваш маршрутизатор достаточно мощный, чтобы справиться с его работой, а также выполнять свои обычные обязанности.