Чем мониторить трафик копроративной сети?

День добрый.

Дано: Офисная сеть на 40 устроиств. Mikrotik Router > Switch > Unifi AP > Notebooks

Собственно вопрос: Чем можно мониторить трафик в сети? На какие сайты заходят компьютеры?
Через микротиковский Torch видно на какие внешнии IP идут запросы. Но хотелось более комплексное решение, что-бы можно было видеть к слову что это за сайт. Очень нужно что-бы это было бесплатно + selfhosted

Пока-что придумал посылать данные через Mikrotik NetFlow либо на Zabbix + netflow plugin или ElastiFlow.
В идее было на proxmox поставить виртуалку и там запустить уже выше сказанное.
Смотрел в сторону SquidProxy, но не уверен что смогу его правильно настроить,

В идее задача следущая: Смотреть куда идет трафик и блокировать саиты по типу Youtube, Сериалы, Кино.
Блокировать буду либо штатными средствави Mikrotik либо PiHole.

Поделитесь опытом кто и как решает такие задачи?
  • Вопрос задан
  • 4201 просмотр
Пригласить эксперта
Ответы на вопрос 7
ky0
@ky0 Куратор тега Системное администрирование
Миллиардер, филантроп, патологический лгун
Squid настраивается очень просто, рекомендую его.
Ответ написан
CityCat4
@CityCat4 Куратор тега Сетевое администрирование
//COPY01 EXEC PGM=IEBGENER
squid - стандартное решение для такой вещи. Ставится в локалке, прописывается политиками (для FF/WF иже с ними - руками), на микротике банится выход на 80/443 (хотя вообще говоря нормально - банить все, что не разрешено, потому что есть множество хитровыделанных юзеров).
Можно использовать бампинг, можно нет. Без бампинга статистика будет кривенькая, потому что основана будет только на первоначальном запросе (например https://mail.ru). Потом, уже находясь на mail.ru юзер перейдет на "Знакомства" (если они там есть) - и все, ты видишь, что он на почтовике, а он на самом деле деффок шшупает.
У бампинга есть правда и оборотные стороны - в бухгалтерии могут быть проблемы (сайты клиент-банков обычно защищают посильнее, чем обычные, QUIK опять же), да и сертификаты разворачивать надо, но если нужна относительно точная статистика - без него никак.
Ответ написан
Комментировать
@alex_ak1
Вопрос-а зачем это надо? У каждого в кармане есть телефон, который точно не фильтруется корпоративными фильтрами.
Кто эту всю эту статистику будет отсматривать?
Зачем вообще запрещать сотрудникам ходить по ресурсам?
Ответ написан
@aleks-th
Ну Ютуб уже за тебя заблокировали....
Проще чем squid, придумать что-то сложно.
Просто запрещаешь траффик через микротик, всем кроме сквида.
Либо сквид ставишь между сеткой и микротиком.
Всем прописывает прокси и все.

Лучше прописать прокси чем транспарант прокси использовать, тогда более четко можно ограничения сделать.
Ответ написан
Комментировать
@NAI
Можно воткнуть IDS/IDP, посмотрите в сторону Surikata / Snort (под капотом будет ELK), запланированный траффик шлете в surikatu (хоть с микрота, хоть с коммута, хоть с ТД если поддерживается)
Ответ написан
Комментировать
@alicab
Если нужда исключительно блокировать ресурсы, то мне кажется хорошая идея это использовать, suricata+evebox. С суриката будет приходить информация на веб панель evebox и Вы сможете в прямом эфире смотреть какие запросы были забанены или какие прошли, но с оповещением. Еще плюс в том, что сурикат по умолчанию, содержит около 30тыщ готовых правил для защиты сети и ставится он довольно просто и быстро. Единственная трудность - это разобраться как писать правила
Ответ написан
Комментировать
@pensecfort
Попробуй SELKS (https://www.stamus-networks.com/selks)
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы