Как организовать учёт траффика?

Question

[partisan42]

Доброго дня.
Мне поставили задачу, реализовать инструмент, с помощью которого можно было бы посмотреть, кто и какие сайты посещает в нашей организации.
Имеется сеть на примерно 100 рабочих мест. Поднят контроллер домена.
Пока вижу единственный вариант это организовать связку Mikrotik+Squid+SqiudAnalyzer. Но пока не могу победить отслеживание https трафика.
Может быть кто нибудь уже решал подобное иными инструментами? Может есть более удачное решение?

Comments

[Keffer]

partisan42 В случае с https - нету таких решений. Только лютый MITM организовывать и троянить все машины. Что не есть хорошо и браузеры это пресекут. Прошли времена http когда можно было все посещенные сайты предоставить в отчет начальничку, любителю подглядывать. Так что только рандомный шпионаж, снимки экрана. А лучше всего убедить тех кто ставит задачи такие, чтобы перестали хренью заниматься и взялись за работу.

Answer 1

[CityCat4]

Я не знаю, кто такой SquidAnalyzer, но направление движения верное. Но для раскрытия https нужно чтобы squid работал в режиме бампинга. Для этого нужно немного начальных условий:
- в организации есть свой CA
- корневой сертификат этого CA находится в доверенных на всех компах сети
(иначе работать нифига не будет)
Дальше описано здесь (там в оглавлении есть статья про контроль https-соединения)

Comments

[partisan42]

SquidAnalyzer это по сути просто GUI для анализа логов Squid:)
За подсказку спасибо:) Значит не буду копать сторонние решения, а домучаю уже это. Заодно и нового узнаю:)

[Денис Юрьев]

partisan42, некоторые банкоские приложухи работают через https. При такой методике работать откажутся, так как увидят подмену сертификата.

Просто справка наперед)))

[Rsa97]

Но для раскрытия https нужно чтобы squid работал в режиме бампинга.

Это если нужен детальный анализ. Если хватит только имени сайта, то пока достаточно SNI. Вот когда начнут активно переходить на Encrypted SNI, тогда точно без бампинга никуда.

[Александр]

Не по теме - как на ваш взгляд журнал? Стоит читать? Для новичков пойдет?

[CityCat4]

Денис Юрьев, Да, есть такое. В статье это отражено :) Есть круче момент. Есть например такая шляпа как QUIK. У него свой протокол, работающий по порту 443. То есть там типо https, но не https. Так вот он просто не работает по такой схеме. Его надо "обводить" вокруг прокси (в то время как для остальных достаточно splice)

[CityCat4]

Александр, Читать стоит однозначно, но для новичков годится не все. Мне заказывали недавно серию нубских статей, но я пока ничего не сказал - просто потому что не знаю о чем писать - "маленьким" я был достаточно давно :)
Вот с точки зрения начинающего - о чем бы хотели там прочитать?

[CityCat4]

Rsa97, Ну да, так-то да, но для статистики обычно нужен полный урл, да и блокировка squiud-ом по нему делается, размер сгружаемого файла, его тип...

[Денис Юрьев]

CityCat4, вы с quic не путаете, который работает на 443/udp?
кстати про этот момент тоже надо не забывать, браузеры уже с http3 начинают дружить)))

[CityCat4]

Денис Юрьев, ну да, конечно же он - программа для бирж. Я тестовый логин на ММВБ брал, чтобы понять как эта шляпа работает и почему она хоть ты тресни не хочет ходить через squid с бампингом.

[Денис Юрьев]

CityCat4, есть еще кучка программ, которые через 443/tcp снуют) всякие там тимвиверы, скайпы и прочий бгмерзкий софт, хвастающийся способностью обхода фаерволов

[CityCat4]

Денис Юрьев, Ну, если тимвьюер работать не будет - не заплачу :) Я наоборот его специально блокирую :) И скайп туда же. А вот quic нужен финансистам

[Денис Юрьев]

CityCat4, все таки QUIC или QUIK ?) QUIC вообще не по TCP работает)

[CityCat4]

Денис Юрьев, Все-таки QUIK

[Александр]

CityCat4, ну например про настройку сервера с нуля (raid массивы, ad, dns, dhcp, терминалку, виртуалки и т.п.). В журнале есть? Я скачал с 2017 года до 2020. Пока не листал.
Понятно что все есть на ютубах и т.д.

[CityCat4]

Александр, Я с 2016 по 2018 там не печатался по не зависящим от меня причинам, да и потом написал всего три статьи, но сейчас видимо снова буду :)

[Александр]

CityCat4, оу, прям так, автор каких то статей? Пока только Бережной читаю, первую статью, в 1 выпуске.

[CityCat4]

Александр, Прям автор-автор :) c 2004 года по 2016 больше сотни статей.

[Александр]

CityCat4, великолепно =)
а на вопрос ответите?

ну например про настройку сервера с нуля (raid массивы, ad, dns, dhcp, терминалку, виртуалки и т.п.). В журнале есть? Я скачал с 2017 года до 2020. Пока не листал.
Понятно что все есть на ютубах и т.д.

[CityCat4]

Александр, Слишком общее описание. Какого сервера - Windows, Linux? Bare-metal или на виртуалке? Какие у сервера задачи? Где он находится? В каком он исполнении? Админство - не абстрактная математика, а набор конкретных практик. Кроме того, писать о настройке виндового софта мне неинтересно. Я пишу конечно иногда, но только в комплексе с чем-то другим - настройка VPN под виндой, например.

[Александр]

CityCat4, да, что то я загнул. В общем про Windows Server есть статьи (не важно о чем)?

P.S. Я так и не понял, это Ваш журнал или какие то статьи в разных номерах?

[CityCat4]

Александр, В смысле "мой"? Не владелец ли его я? Нет :) Я просто печатаюсь в нем с 2004 года (за исключением интервала 2016 - 2018 годов)

Есть архив номеров, где приводится оглавление каждого номера. Раньше и сводные оглавления были по всему году, но потом почему-то перестали делать.