Я раздаю нескольким людям интернет с помощью NAT на обычном Микротике. И в свете политического произвола в стране, боюсь, что ко мне могут прийти с обвинениями в каком-нибудь, например, плохом комментарии Вконтакте, хотя я его и не оставлял, а сделал это мой "клиент".
Поэтому вопрос номер раз: как отследить кто именно из внутренней локальной сети оставил коммент в такой-то день, в такую-то секунду много лет назад.
Первое, что мне приходит на ум - хранить записи Netflow. То есть, подняв потоки за это время я увижу какой локальный IP обращался к внешним IP ВК в это время. Поправьте, если я не прав.
Зацепившись за эту мысль, я успешно настроил Netflow IPFIX на микротике, поставил nfdump на сервачке с Ubuntu и теперь у меня полно файликов с двоичными данными. А вот для их простого анализа никак не могу подобрать инструмент. И это вопрос номер два.
Если я прав в первой части своего вопроса, то подскажите, пожалуйста, какой-нибудь анализатор или коллектор/анализатор Netflow с веб-интерфейсом под линукс для простого и понятного поиска запросов пользователей. Ну или любой другой способ наглядного представления данных не через CLI.
поставил nfdump на сервачке с Ubuntu и теперь у меня полно файликов с двоичными данными. А вот для их простого анализа никак не могу подобрать инструмент
Поставьте туда же nfsen, это как раз тиаки веб морда и анализатор для nfdump
А как IP Адреса должны помочь? Ну простая ситуация, как вы её уже описали:
- Кто-то оставляет комментарий на сайте Х.
- "Хороший" дядя это замечает и узнаёт внешний IP
- Приходят к вам и делают обыск или что они там делают, может ещё дело заводят (к счастью с этим не сталкивался, т.к. живу не в России)
- А вы говорите, это не я, это пользователь с IP 192.168.x.y
Сразу вопрос: А как вы докажите в какой-либо инстанции, что это не вы? Что это именно этот человек?
Если вы скажите у меня есть все логи? Ну тогда я вам скажу, что с генерирую любые логи, какие нужно.
Есть ли у вас договор с "пользователями"? Если есть, то получается, что вы как-бы провайдер, и должны например что-то, кому-то платить.
Ну и так далее, как мне кажется в такой ситуации будет сложно выпутаться. Поправьте меня, если я не прав.
UPDATE:
"Если критикуешь, предлагай свой вариант!" (Или как-то так)
Что-бы от всего этого действительно себя попробовать обезопасить, стоит использовать VPN для всех пользователей (хотя вроде все VPN сейчас под запретом?)
Я думал над похожим вопросом, только немного в другом ключе, если ко мне в сеть кто-то "залезет" и натворит делов, как мне от этого отмазаться. Единственное, что мне пришло в голову, это договориться с каким-нибудь нотариусом, отправлять ему все логи. Смысл в том, что-бы в случае чего, сказать что все логи лежат у товарища "Петрова", логи настоящие, не изменённые. MAC Адреса моих приборов такие-то.
Я не юрист и всех тонкостей не знаю, поможет ли такая практика или нет.
Дмитрий, как вы заметили, в свете политического произвола, в сочетании с вопиющей некомпетентностью в ИТ-вопросах государственных псов - вряд ли вам помогут любые разумные технические решения. Наглядный пример - широко известное дело Дмитрия Богатова.
В такой ситуации, маловероятно, что у вас получится довести до "хороших" дядей вашу непричастность к тому или иному трафику, сгенерированному с вашего ип-адреса. Остается только одно - избежать визита этих недоучек, всеми доступными способами, коих, кстати, помимо впн, великое множество. Просто на вскидку - не регистрировать услуги связи на себя, организовать работу сети таким образом, чтобы ничто не могло явно указывать на вас.
А если, к примеру такая ситуация. К1-клиент 1, К2 - клиент 2, ВК - Вконтакте
К1 зашел на ресурс ВК в 8 00 15 и оставил нехороший пост
К2 зашел на ресурс ВК в 8 00 30 и сидел листал ленту\писал комменты и тд и тп.
У сервера ВК, в этот день произошел десинхрон с ntp и временной лаг составил +15 сек
Вам показывают отбивку, что с такого-то IP, в 8 00 30 было оставлено плохое сообщение, вы начинаете судорожно искать виновника и видите что в 8 00 30 заходил в ВК К2. Хотя плохой пост оставил К1.
Без расшифровки трафика, всё равно нельзя будет утверждать что это сделал К1, это можно будет предположить. Да и плюс ко всему, IP наверное не так интересен как тот же профиль соц.сети. А тот же ВК например обязательно требует номер мобильного, по которому скорее всего и будут искать нарушителя.
Или другой пример, что если К1 и К2 одновременно заходили на ресурс? Как понять кто из них?
По факту, если вы предоставляете доступ в интернет через своё оборудование, то Вам нужен СОРМ ставить, получать разрешение в ФСБ и прочая волокита. Даже если Вы не провайдер, но предоставляете услуги доступа к ИС, Вам нужен будет ЦОД, который также нужно будет сертифицировать в ФСБ(не знаю как сейчас но 3 года назад было так) Если Вы предоставляете такого рода услуги как физ.лицо физ.лицу, то вероятнее всего, по договору с Вашим провайдерам конечная ответственность ляжет на Вас, и разбираться никто не будет. Сделать тот-же открытый WiFi (если клиенты по вифи сидят) - не вариант, это будет протеворечить договору с провайдером о предоставлении доступа третьим лицам (или субпровайдерству).
В общем и целом - стать провайдером или юр.лицом предоставляющим услуги связи, сертифицировать ЦОД, ставить СОРМ2, заключать договора с клиентами и тогда перед законом будут взятки-гладки. В любом другом случае, до Вас могут докопаться не за одно, так за другое.
Maksim Herasim, вот вы здесь жути нагоняете, а как, например, провайдер сможет определять передачу трафика третьим лицам или наличие пароля на домашней точке доступа? В договорах страшилки написаны, доказать которые законными способами невозможно. Второй момент, пусть даже я нарушил договор с провайдером, пусть провайдер это докажет и накажет меня за нарушение договора (расторгнет его в одностороннем порядке) - это вовсе не означает, что именно я заходил на свою точку без пароля и оставлял где-то какие-то плохие комменты. Доказывать что-то правоохранительным органам - это отдельная тема, но ведь с позиции разума - никто не может нести ответственности за то, чего не совершал.
можно просто поставить биллинг, микро-билл (не реклама, потому без ссылок). до 10 бесплатный.
там есть и сборщик нетфлоу и интерфейс для анализа. Вот есть ньюанс правда, яровую собираетесь исполнять? Надо не только статистику но сами данные теперь хранить.