Чем мониторить трафик копроративной сети?

Question

[datka]

День добрый.

Дано: Офисная сеть на 40 устроиств. Mikrotik Router > Switch > Unifi AP > Notebooks

Собственно вопрос: Чем можно мониторить трафик в сети? На какие сайты заходят компьютеры?
Через микротиковский Torch видно на какие внешнии IP идут запросы. Но хотелось более комплексное решение, что-бы можно было видеть к слову что это за сайт. Очень нужно что-бы это было бесплатно + selfhosted

Пока-что придумал посылать данные через Mikrotik NetFlow либо на Zabbix + netflow plugin или ElastiFlow.
В идее было на proxmox поставить виртуалку и там запустить уже выше сказанное.
Смотрел в сторону SquidProxy, но не уверен что смогу его правильно настроить,

В идее задача следущая: Смотреть куда идет трафик и блокировать саиты по типу Youtube, Сериалы, Кино.
Блокировать буду либо штатными средствави Mikrotik либо PiHole.

Поделитесь опытом кто и как решает такие задачи?

Comments

[Alexey Dmitriev]

Своеобразный подход к постановке вопроса - знаю, что нужно использовать, "но не уверен что смогу его правильно настроить" - дай-ка пойду задам вопрос, но не как настроить - а типа вопрос ради вопроса.

[datka]

Alexey Dmitriev, В том то и дело, я не знаю что использовать. Что вообще подходит для решение такой задачи? Так как не имею большого опыта в теме мониторинга трафика по этому и спрашиваю совета.

Хорошо допустим это будет Squid. Как мне его подключать к сети? Mikrotik -> Squid > Switch > AP?
В какой режим его ставить? transperant? Чем это всё мониторить? Есть вебморда?

[Ziptar]

datka,

Как мне его подключать к сети?

Патчкордом. Блокируешь рабочим местам доступ в интернет, прописываешь адрес прокси.

В какой режим его ставить? transperant? Чем это всё мониторить? Есть вебморда?

https://habr.com/ru/articles/267851/ ~
Сам статью не читал, правда, но, кажется, то что надо.

[Drno]

datka, на squid всех отправляйте, и там уже настраиваете блокировки \ acl
либо на основе DNS - тот же Ваш PiHole
и с них уже собирайте мониторинг, а не с микротика

[shurshur]

datka, transparent в век повсеместного https очень неудобно использовать.

[Valentin Barbolin]

либо PiHole.

Это самое просто, заворачиваем все DNS запросы через PiHole, и видим доменные имена куда ходят сотрудники там же и блокируем. Я бы в DHCP указал в качестве DNS адрес PiHole, что бы было видно IP адрес сотрудника и иметь возможность блокировать не всем, а избранным. Ушлые сотрудники могут руками прописать кастомные DNS, но у правильного админа сотрудники не имеют административных прав на ПК. Но все равно на самом микротике блокируем 53 порт, публичные DNS сервера, разные DOH, списки можно поискать в интернет, типа https://github.com/ncravino/mikrotik_enforce_dns_b...
https://github.com/oneoffdallas/dohservers/blob/ma...

Если сотрудник админ на ПК и настроил VLESS, то подходим к стене и начинаем об нее стучаться головой)

Answer 1

[ky0]

Squid настраивается очень просто, рекомендую его.

Comments

[Kil1J0y]

Ну либо делать зеркалирование трафика на отдельную машину, и такое есть применение для ids/ips хотя скорее только информирование об угрозах будет а не активное противодействие, собственно dpi контроль трафика получите, а вот что вы развернёте это уже на ваш выбор.

Answer 2

[CityCat4]

squid - стандартное решение для такой вещи. Ставится в локалке, прописывается политиками (для FF/WF иже с ними - руками), на микротике банится выход на 80/443 (хотя вообще говоря нормально - банить все, что не разрешено, потому что есть множество хитровыделанных юзеров).
Можно использовать бампинг, можно нет. Без бампинга статистика будет кривенькая, потому что основана будет только на первоначальном запросе (например https://mail.ru). Потом, уже находясь на mail.ru юзер перейдет на "Знакомства" (если они там есть) - и все, ты видишь, что он на почтовике, а он на самом деле деффок шшупает.
У бампинга есть правда и оборотные стороны - в бухгалтерии могут быть проблемы (сайты клиент-банков обычно защищают посильнее, чем обычные, QUIK опять же), да и сертификаты разворачивать надо, но если нужна относительно точная статистика - без него никак.

Answer 3

[alex_ak1]

Вопрос-а зачем это надо? У каждого в кармане есть телефон, который точно не фильтруется корпоративными фильтрами.
Кто эту всю эту статистику будет отсматривать?
Зачем вообще запрещать сотрудникам ходить по ресурсам?

Comments

[datka]

Затем что, сотрудники должны работать не в тикток влипать. То что они делают на своем телефоне, на своем интернете это их проблема.

[alex_ak1]

datka, я пришел на работу и залип в тикток. Какая разница, где-компьютер, личный телефон, курилка и журнал с кроссвордами (там вообще электричество не нужно), время прошло, работа не выполнена.
Может лучше оценивать сотрудников не по залипанию в тикток, а по итогам работы?

[datka]

alex_ak1, У каждой компании свои требования...

[alex_ak1]

datka, Ну так то да, начальник сказал копать-надо копать. Но как по мне, эта позиция ущербна. Как будто человеку платят за 8 часов времени, а не за выполненную работу.

[NekoGami]

alex_ak1,
Ну есть работы где тебе действительно платят просто за время. Когда нужно что бы человек был на месте если вдруг что случится, а какой то постоянной работы нет.
Но и в этом случае я не вижу смысла в блокировках.

[Kil1J0y]

Ставите глушилку gsm в офисе. И оставляете wifi если нужен строгий контроль, вы великолепны

[alex_ak1]

Kil1J0y, против журнала с кроссвордами ваша глушилка бесполезна.

Answer 4

[aleks-th]

Ну Ютуб уже за тебя заблокировали....
Проще чем squid, придумать что-то сложно.
Просто запрещаешь траффик через микротик, всем кроме сквида.
Либо сквид ставишь между сеткой и микротиком.
Всем прописывает прокси и все.

Лучше прописать прокси чем транспарант прокси использовать, тогда более четко можно ограничения сделать.

Answer 5

[NAI]

Можно воткнуть IDS/IDP, посмотрите в сторону Surikata / Snort (под капотом будет ELK), запланированный траффик шлете в surikatu (хоть с микрота, хоть с коммута, хоть с ТД если поддерживается)

Answer 6

[alicab]

Если нужда исключительно блокировать ресурсы, то мне кажется хорошая идея это использовать, suricata+evebox. С суриката будет приходить информация на веб панель evebox и Вы сможете в прямом эфире смотреть какие запросы были забанены или какие прошли, но с оповещением. Еще плюс в том, что сурикат по умолчанию, содержит около 30тыщ готовых правил для защиты сети и ставится он довольно просто и быстро. Единственная трудность - это разобраться как писать правила

Answer 7

[pensecfort]

Попробуй SELKS (https://www.stamus-networks.com/selks)