Photo

Network Monitoring в домашней сети

Что-то всяких "умных" устройств становится все больше и больше, и все хотят в интернет. И что самое обидное, без того интернета эти устройства внезапно становятся "глупыми". Утюг - становится просто утюгом, а телевизор - просто телевизором, не говоря о медиацентрах, которые вообще превращаются в тыкву.

В общем, для общего развития и для удовлетворения паранойи хочу собрать монитор активности. Никаких MITM, никакого прослушивания трафика, никаких перехватов информации не нужно, это не так тривиально, да мне и не сильно интересно. Хочется видеть сам факт передачи данных куда-либо или откуда-либо, лучше всего в виде статистики за последние секунды, минуты, часы по принципу "MAC или IP сетевого устройства, IP кому оно что-то посылает, количество данных за интервал". Что там за данные - неважно, это потом, но если окажется можно, то пускай будет.

Как люкс-вариант еще возможность эти устройства в их желаниях "обламывать", не давая "звонить домой", но не ограничивая остальные вещи. Фактически, мини-IP-файрвол. Но это не основная функция.

По идее, это все должно быть возможно сделать на домашнем рутере. Но он у меня не шибко умный. Статистику по трафику дает, но не показывает целей. Говорит, кто и сколько, но не говорит куда.

В общем, у меня идея взять мини-PC типа малинки, и сделать из нее нечто, что я пропишу как Default Gateway в DHCP на рутере, оно должно только прозрачно вести лог. Лучше еще, чтобы оно само не грузилось обработкой данных, ему надо только глянуть "кому и сколько", и разрешить.

Как такое делается? Transparent Proxy? Или можно проще? Хочется проще...
Микротик, точнее роутерОС

Edited at 2018-02-16 09:37 am (UTC)
Я могу его поставить на свой D-Link?
Пока что замены рутера в планах не было..
нет. на длинке максимум сможешь настроить зеркалирование в куда нибудь, и в этом куда нибудь ловить трафик и анализировать. Но я не настоящий сетевик. на длин можно дд-врт поставить, там наверняка что-оо есть.
О, опечатался :) у меня не d-link, a tp-link. Могу DD-WRT на него всунуть
Это не сильно меняет ситуацию. У микротика фаервол очень просто настраиваетс, а тут придется айпитейблс учить и я не уверен что получится сделать то что хочешь, потому что там обычно слабый проц может не потянуть всю красоту.
Если в реальном времени смотреть, то микротик это умеет. А если хочется писать логи, чтобы потом их анализировать, придется брать дешевенький компик и что-нибудь вроде wireshark запускать. Или настроить iptables на логгирование..
А прозрачный прокси нельзя — проблемы будут с торрентами и https/wss.
микротик вроде умеет в cap файлы все совать и куда-то их запихивать. То что он хочет насколько я понимаю можно сделать в фаерволе - там есть логирование, а логи в свою очередь или на флешку писать или еще куда и глядеть потом.

Edited at 2018-02-16 10:35 am (UTC)
Можно и на флешку, только придется раскошелиться на более дорогой микротик — с USB.
Да, торренты/wss мне побоку, но проблем с https мне не надо
А на всякие ddwrt/openwrt такое можно поставить?
Насчёт малинки не уверен, но подобное поднимал на маршрутизаторах и коммутаторах поддерживающих экспорт статистики по трафику в формате NetFlow и опрос по snmp.
Использовались OpenSource решения.
1. Статистика NetFlow собиралась с помощью Nfsen и показывала - "когда, кто, кому".
2. NetDisco проходился по коммутаторам и находил новые подключения к портам, MAC адреса - "когда, кто(на каком порту)"
3. В качестве IDS использовался SNORT. К нему же можно прикрутить IPS.
Немного погуглил.
1.
- Для DD-WRT есть RFlow
- Ntop можно поставить на малину

2. и 3. мне не нужны, но спасибо за информацию!

В случае, если я не смогу найти более простое решение (пока что вижу Gargoyle прошивку, которая делает практически все, что мне хочется), то попробую решение с "чистым DD-WRT / RFlow + Ntop на малине"
Удачи! Надеюсь, удасться впихнуть весь функционал в малинку :)
На любой вопрос по сетевым извращениям говори микротик и он это умеет :)

Или комп с двумя сетевухами и wireshark.
У меня на это слово аллергия, я живу в стране, где этой марки почти нет.

Комп с двумя сетевухами, получается, нужно будет воткнуть между рутером и внешним портом модема, чтобы и wifi-клиентов покрыть, и проводных. И интернет будет работать лишь тогда, когда этот самый комп рабо. Неидеально...

PS: И да, анализировать wireshark-логи из самого wireshark-а - то еще развлечение. Вот было бы интересно получить эдакий tool, цепляющийся через pcap и делающий не запись, а статистику/мониторинг. А может, оно уже существует?

Edited at 2018-02-16 01:27 pm (UTC)
Может и аллергию, но он правда хорош.

Ну а как ты предлагаешь иначе сделать firewall, если твой роутер это не умеет? Только где-то слушать и прозрачно перенаправлять.

Второй стандартный ответ это python. :)))
Ну, скажем, Firewall - это люкс-вариант, он необязателен. В первую очередь хочу смотреть за телевизором :)
Грубо говоря, есть у тебя на роутере порт 1, порт 2 и аплинк. Анализатор подключен к порт 1, а телевизор в порт 2.

Телевизор хочет отправить пакет. Для это делает широковещательный запрос - у кого ip такой-то? Роутер его перенаправляет в аплинк и порт 1. Аплинк отвечает. Но уже ответ направляется в порт 2. И все данные тоже уходят в порт 2.

Если ты не ставишь свой анализатор в разрыв всего трафика - ты кроме широковещательных ARP не увидишь ничего.
да, так работают свичи и это ОК
но можно же сварганить mirroring...
впрочем, это решение мне не нравится :)
FritzBox умеет достаточно много, правда стоит не так уж дешево
но там таки линух со всеми наворотами
микротика на немецком амазоне полно. Латвийский же продукт.
А мне больше нравится вариант с OpenWRT на стандартном роутере.
А что можно сделать на OpenWRT на стандартном роутере?
Я нашел решение на gargoyle - это форк OpenWRT, специализирующийся на мониторинге.
Это довольно стандартный linux, к которому подключаешься по ssh. Из плюсов - он у тебя сразу, с минимальной настройкой заработает как роутер. Потом уже будешь конфигурировать под свои нужды.
Да я знаю, что такое OpenWRT :)
Мне интересно, что под него есть из удобных пакетов для решения моего вопроса...
PfSense. но нужно железо уровня миниПК , и желательно сетевухи он интеля.
+ по словам "pfsense netflow collector" много интересного выгугливается.
А на ebay нету каких нибудь старых железяк (за недорого) от Cisco которые все это могут делать?

Edited at 2018-02-18 08:59 pm (UTC)