Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Traffico LAN anomalo, Wireshark?

Malfunzionamenti della LAN, suggerimenti sulla condivisione e altro legato alle reti.

Traffico LAN anomalo, Wireshark?

Messaggioda Menteperversa » mar feb 22, 2011 12:17 pm

Premetto che di competenze di rete sono molto limitato...

Nell'azienda dove lavoro alcuni utenti scaricano dai vari megaupload, rapidshare ecc... utilizzando a volte anche p2p, e vorrei identificare quali computer sono.
Ho letto che Wireshark fa al caso mio, ma il problema è che non ho idea di come configurarlo per identificare il traffico internet "anomalo".

La rete è sotto dominio, ne fanno parte circa 60 computer, ho accesso ai server con relative password amministrative. (server Windows)

Posso analizzare il traffico da un pc qualsiasi collegato alla rete o wireshark deve girare nel server?
Ale
Avatar utente
Menteperversa
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: mer apr 14, 2004 3:51 pm
Località: Rovigo

Re: Traffico LAN anomalo, Wireshark?

Messaggioda zenith » mar feb 22, 2011 3:11 pm

Prima di pensare ad eventuali soluzioni, accertati che quello che intendi fare sia consentito. L'ente Garante della Privacy si è espresso numerose volte sulla faccenda del monitoraggio del traffico internet dei dipendenti. Sebbene non sia assolutamente il mio campo la giurisprudenza, sono certo che è meglio informarsi prima di correre inutili rischi legali.
La prima cosa che mi è capitata sotto mano con una rapida googlata, da La Stampa.
«Our philosophy at “New Scientist” is this: science is interesting, and if you don’t agree you can fu** off.»
Avatar utente
zenith
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2778
Iscritto il: lun ago 13, 2007 3:31 pm
Località: Mola di Bari

Re: Traffico LAN anomalo, Wireshark?

Messaggioda Menteperversa » mar feb 22, 2011 3:29 pm

[:-H] Hai ragione... allora sottopongo un problema che ho a casa mia. [:-H]

Ho una LAN PRIVATA composta da 4 postazioni e qualche componente della mia famiglia scarica dai vari megaupload, rapidshare ecc... utilizzando a volte anche p2p, e vorrei identificare quale computer mangia tutta la banda.
Ho letto che Wireshark fa al caso mio, ma il problema è che non ho idea di come configurarlo per identificare il traffico internet "anomalo".

La rete è sotto dominio, ho accesso ai server con relative password amministrative. (server Windows)

Posso analizzare il traffico da un pc qualsiasi collegato alla rete o wireshark deve girare nel server?
Ale
Avatar utente
Menteperversa
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: mer apr 14, 2004 3:51 pm
Località: Rovigo


Re: Traffico LAN anomalo, Wireshark?

Messaggioda zenith » mar feb 22, 2011 3:36 pm

Menteperversa ha scritto:[:-H] Hai ragione... allora sottopongo un problema che ho a casa mia. [:-H]

Il problema non è che non ne possiamo parlare nel forum [^]
Mi dispiace, ma io non posso aiutarti, non capisco molto di reti, e non conosco il software! [;)] Ho solo proposto una riflessione [brindisi]
So che qui nel forum bazzicano utenti che hanno a che fare con le reti, aspettiamo che passi qualcuno [:)]
«Our philosophy at “New Scientist” is this: science is interesting, and if you don’t agree you can fu** off.»
Avatar utente
zenith
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2778
Iscritto il: lun ago 13, 2007 3:31 pm
Località: Mola di Bari

Re: Traffico LAN anomalo, Wireshark?

Messaggioda Al3x » mar feb 22, 2011 6:16 pm

Credo che il problema vada affrontato in maniera differente. Con il computer che si usa sul posto di lavoro ci sono cose che si possono fare, altre che non è opportuno fare ed infine quelle per le quali c'è il divieto assoluto.
In queste ultime ricade sicuramente l'uso della banda e del tempo CPU per scopi non legati all'attività lavorativa e, peggio ancora, per commettere reati (scaricare contenuti protetti).
Visto che non è legale monitorare le connessioni altrui pena il rischio di beccarsi una denuncia, la soluzione più sensata è quella di agire in maniera pro attiva, ovvero filtrando i domini dei server di filehosting (megaupload, rapidshare ecc.), impedendo l'uso di protocolli di filesharing ed aprendo solo le porte necessarie alla navigazione (80, 8080, 443) e quella per la posta nel caso il vostro mailserver sia esterno (110, 25, 995)
Come ottenere tutto ciò? La soluzione più in voga è l'uso di un server proxy oppure di un firewall posto a monte della connessione (tra rete locale e l'ADSL), sono soluzioni a basso costo che ti mettono al riparo da critiche e denunce, meglio se sancite con una comunicazione a firma del datore di lavoro.
Sono comunque perplesso sull'uso che potresti fare dei risultati ottenuti con lo sniffing delle attività dei tuoi colleghi, cosa gli dici, che li hai beccati (occhio alla denuncia) mentre scaricano? E quali prove avresti in mano, i log di Wireshark? non credere che sia così semplice da gestire ed interpretare, tutt'altro [;)]
Mi chiedo poi come possa questa gente fare il proprio comodo, possono installarsi i programmi da soli? Sono amministratori delle loro macchine? Se è così una volta scoperti i "colpevoli" come gli impedisci di continuare?

Lo so, molte domande ma credimi, parlo per esperienza personale e se proprio vuoi toglierti di impaccio con semplicità ed in maniera pulita, un bel firewall ben configurato e vedrai che quelle cose poi potranno farle solo a casa [;)]
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7411
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: Traffico LAN anomalo, Wireshark?

Messaggioda Menteperversa » mer feb 23, 2011 8:52 am

Capisco.

Cercherò la soluzione altrove.
Ale
Avatar utente
Menteperversa
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: mer apr 14, 2004 3:51 pm
Località: Rovigo

Re: Traffico LAN anomalo, Wireshark?

Messaggioda Al3x » mer feb 23, 2011 10:58 am

Menteperversa ha scritto:Capisco.

Cercherò la soluzione altrove.

soluzioni per fare certo tipo di attività ci sono, Cain & Abel è una di queste, basta saperlo usare
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7411
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: Traffico LAN anomalo, Wireshark?

Messaggioda nickfury » mer ago 03, 2011 1:59 pm

Al3x ha scritto:Credo che il problema vada affrontato in maniera differente. Con il computer che si usa sul posto di lavoro ci sono cose che si possono fare, altre che non è opportuno fare ed infine quelle per le quali c'è il divieto assoluto.
In queste ultime ricade sicuramente l'uso della banda e del tempo CPU per scopi non legati all'attività lavorativa e, peggio ancora, per commettere reati (scaricare contenuti protetti).
Visto che non è legale monitorare le connessioni altrui pena il rischio di beccarsi una denuncia, la soluzione più sensata è quella di agire in maniera pro attiva, ovvero filtrando i domini dei server di filehosting (megaupload, rapidshare ecc.), impedendo l'uso di protocolli di filesharing ed aprendo solo le porte necessarie alla navigazione (80, 8080, 443) e quella per la posta nel caso il vostro mailserver sia esterno (110, 25, 995)
Come ottenere tutto ciò? La soluzione più in voga è l'uso di un server proxy oppure di un firewall posto a monte della connessione (tra rete locale e l'ADSL), sono soluzioni a basso costo che ti mettono al riparo da critiche e denunce, meglio se sancite con una comunicazione a firma del datore di lavoro.
Sono comunque perplesso sull'uso che potresti fare dei risultati ottenuti con lo sniffing delle attività dei tuoi colleghi, cosa gli dici, che li hai beccati (occhio alla denuncia) mentre scaricano? E quali prove avresti in mano, i log di Wireshark? non credere che sia così semplice da gestire ed interpretare, tutt'altro [;)]
Mi chiedo poi come possa questa gente fare il proprio comodo, possono installarsi i programmi da soli? Sono amministratori delle loro macchine? Se è così una volta scoperti i "colpevoli" come gli impedisci di continuare?

Lo so, molte domande ma credimi, parlo per esperienza personale e se proprio vuoi toglierti di impaccio con semplicità ed in maniera pulita, un bel firewall ben configurato e vedrai che quelle cose poi potranno farle solo a casa [;)]


Ho trovato questo thread navigando in internet e mi sono iscritto appositamente al forum; sono molto interessato all'argomento
della configurazione dei computer in una lan aziendale e dei blocchi che si possono effettuare per arginare il fenomeno del p2p, avete qualche link a tal proposito, oppure qualche altra testimonianza diretta?
Avatar utente
nickfury
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: mer ago 03, 2011 1:54 pm

Re: Traffico LAN anomalo, Wireshark?

Messaggioda Al3x » mer ago 03, 2011 4:58 pm

prima di tutto un benvenuto nel forum [^]

Nel quote che hai fatto in sostanza trovi parte delle soluzioni, considera che molti router commerciali tra le funzioni del firewall offrono strumentidi base per il contenimento di un certo tipo di problemi (p2p, blocco siti di filehosting, IM ecc.)
Un trucco artigianale che uso per bloccare alcuni siti è quello delle route statiche, in pratica faccio in modo che per raggiungere un certo indirizzo si debba passare per un IP di transito, tale indirizzo è un IP della mia LAN che non è in uso. Il risultato è che il client rimane in attesa di una risposta che non arriverà mai. La cosa interessante è che impatta sulla connessione di tutti i computer della LAN senza che si debba intervenire manualmente su ogni PC.

Le misure che puoi quindi prendere possono essere di tipo centralizzato oppure applicate singolarmente su ogni macchina (modifica del file hosts per esempio), tutto dipende da quante macchine si deve gestire e del livello di conoscenza dei tuoi utenti e non ultimo il livello di accesso loro assegnato (semplici utenti, power users o amministratori in una LAN gestita in modalità workgroup)

Un esempio: con questa tabella ho provato a bloccare FarmVille (i maledetti hanno decine di server!) e purtroppo non riesco a far funzionare le wild-cards e le maschere di rete, ma il ping verso gli IP in lista non rispondono più, segno che il depistaggio funziona

Codice: Seleziona tutto
Static Route
Static Routing
Valid    Destination    Netmask    Gateway/Interface         
   50.16.253.107    255.255.255.255    192.168.1.222/ iplan    Edit    Delete
   50.16.253.106    255.255.255.255    192.168.1.222/ iplan    Edit    Delete
   50.16.253.115    255.255.255.255    192.168.1.222/ iplan    Edit    Delete
   50.16.253.116    255.255.255.255    192.168.1.222/ iplan    Edit    Delete
   50.16.253.117    255.255.255.255    192.168.1.222/ iplan    Edit    Delete
   50.16.253.118    255.255.255.255    192.168.1.222/ iplan    Edit    Delete
   50.16.253.119    255.255.255.255    192.168.1.222/ iplan    Edit    Delete
   
nota: l'IP 192.168.1.222 non esiste nella mia rete, è ovviamente un fake come ho spiegato sopra
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7411
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: Traffico LAN anomalo, Wireshark?

Messaggioda Al3x » mer ago 03, 2011 5:14 pm

per la cronaca, visto che non mi andava giù di non riuscire ad includere un intero range di IP, mi son messo a fare delle prove ed alla fine ha funzionato impostando a ZERO l'ultimo ottetto di entrambi i valori:

Codice: Seleziona tutto
Static Route
Static Routing
Valid    Destination    Netmask    Gateway/Interface         
   50.16.253.0    255.255.255.0    192.168.1.222/ iplan    Edit    Delete


in origine avevo provato ad usare la logica dei cisco e non andava
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7411
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: Traffico LAN anomalo, Wireshark?

Messaggioda zenith » mer ago 03, 2011 6:23 pm

Al3x ha scritto:Un trucco artigianale che uso per bloccare alcuni siti è quello delle route statiche, in pratica faccio in modo che per raggiungere un certo indirizzo si debba passare per un IP di transito, tale indirizzo è un IP della mia LAN che non è in uso. Il risultato è che il client rimane in attesa di una risposta che non arriverà mai. La cosa interessante è che impatta sulla connessione di tutti i computer della LAN senza che si debba intervenire manualmente su ogni PC.

Forte Al3x! [^] Semplice ma efficace [std]
«Our philosophy at “New Scientist” is this: science is interesting, and if you don’t agree you can fu** off.»
Avatar utente
zenith
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2778
Iscritto il: lun ago 13, 2007 3:31 pm
Località: Mola di Bari


Torna a Reti e Internet

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising