Мониторинг веб активности

Только если все юзеры будут через один шлюз (или прокси) выходить и на шлюзе ставить соответствующий софт

если нет шлюза и сеть под твоей властью, то можно
- зеркалировать трафик на свитче
- arp-spoofing

Спасибо, просто стало интересно, недавно опробовал такую систему на винде, там она работает без зеркалирования и установки на шлюзе.

вот видишь, что ты не видишь, как работает вендософт.

я предполагаю, что это arp-spoofing

А какой способ наименее ресурсозатратный? (в смысле меньше проца и памяти)?

а сквид отменили что ли? он же дает статистику

это были способы доставки трафика на твой снифер. дальше думай сам и выбирай нужные тебе инструменты

недавно опробовал такую систему на винде

Всмысле, на винде, с которой сидит наблюдаемый пользователь?

и временем прибывания на определенном сайте.

Ну тут только зонды для браузеров помогут.

а сквид отменили что ли? он же дает статистику

Сквид это епархия админа, а arp-spoofing подойдёт для любого кульхацкера, решившего последить с кем переписывается в очередной раз отшившая его девонька из соседнего кабинета.

Присоеденяюсь к вопросу.
В принципе понимаю как настроить прозрачное проксирование через squid, но интересно есть ли готовые системы мониторинга.

Извините, не мог ответить раньше, segfault, всмысле на винде пользователя и на своей:) Тоесть, если я вас правильно понял, то не получится сделать всё максимально прозрачно для пользователя и быстро? При этом не выстраивая вандервафли.

Готовых систем не видел. Squid считаю в этом деле избыточным, сам использовал бы TCPdump + самопальные скрипты.

А вообще, не мешало бы рассмотреть правовую сторону слежки за людьми.

интересно есть ли готовые системы мониторинга.

по сути squid + (sams | sarg| LightSquid) уже готовое решение для мониторинга.

TCPdump + самопальные скрипты.

лучше urlsnarf

всмысле на винде пользователя и на своей:)

так и думал. под виндой не способны напейсать кроме как локального зонда...

не получится сделать всё максимально прозрачно для пользователя и быстро? При этом не выстраивая вандервафли.

какие вандервафли? Если у тебя не хитро-умные юзеры, тебе хватит прозрачного squid + sarg + iptables REDIRECT - хорошо настраивается за 20 минут, попивая чай.

uspen, спасибо большое за ответы. Еще такой вопрос по этой теме: если я к примеру хочу видеть как утекли документы из моей локальной сети постфактум (т.е. уже после того как утекли) - возможно ли это через squid? к примеру чтобы squid запысывал еще и некоторую метаинформацию о траффике - название загружаемого файла, размер - куда-нибудь в БД чтобы можно было затем посмотреть.

если это серьезное дело, а не бололовство, то:
-я не знаю готовых решений и, подозреваю, стоить их разработка будет оч.много.
-административные меры не решаются техническими.

Пока каждый сотрудник не будет приседать голый перед охраной после рабочего дня, такая система, которую ты хочешь, не нужна.

хотя не, вспомнил - есть ideco software (http://www.ideco-software.ru/products/ideco_ics.html?men2=str_prod) DLP модуль.

iftop

Может я глупость написал, но почему бы не написать такой модуль для squid: Человек отправляет «енот.docx» по почте в «Аргентину». Становится ясно, что енот утек. (появился на викиликсе, к примеру). Админы смотрят БД - кто отправлял файл размером 6,66 мб - видят ip компа и применяют криптоарабский анализ.

Это технически возможно же как модуль для сквида?

да, я гуглил перед тем как тебя спросить и тоже его нашел. Интересно, сложно ли такое самому написать...

при чем squid и почта?

для почты свой модуль надо.

реально самому, только уметь надо. Там столько подводных камней, что задумка отпадет почти сразу.

Еще раз. Пока голыми сотрудники не будут проверяться - это все фигня. Даже после такой проверки документ можно извлечь из своей головы - из памяти.

при чем squid и почта?

почта через веб-интерфейс, потому что.

Еще раз. Пока голыми сотрудники не будут проверяться

это мне по барабуну. На утечку тоже. Я хочу свое мягкое место свою душу предостеречь от начальства.

инициатива наказуема. запомни это.

А если пользователь зарарит документ, и назовет его сиськи.rar ?

почта через веб-интерфейс, потому что.

А если там https? А если сотрудник отправит файл по жабберу или асечке? А если прокинет шифрованный туннель поверх http?

Оградиться от утечек сможешь только при помощи изоляции документов в отдельной сети, никак со внешним миром не контактирующей, в том числе через флешки-хуешки. Ну и конечно по одиночке с документами не работать, и подписывать соглашение о неразглашении. Можно ещё записывать видео с рабочих столов по vnc, но с большой вероятностью никто это видео смотреть не будет, да и вскроется утечка когда у тебя запись 10 раз перезатрётся из-за ограниченного места в архиве.