Netzwerkverkehr komplett mitloggen

[Sequoia]

Hallo,

ich bin u.a. Admin von einem kleinen Firmennetzwerk. Wirklich klein (ca. 15PCs). Diese sind alle über einen handelsüblichen Router (Netgear RP614v2) im Netz. Das klappt alles hervorragend mit der DSL6000 Leitung, da es primär für emails genutzt wird.

Nun wurde ich jedoch gebeten, über einen Zeitraum von 14 Tagen, den kompletten Netzwerkverkehr (besuchte Webseiten, Daten, usw) zu protokollieren, einfach, weil der Verdacht besteht, dass einige Mitarbeiter andere Dinge tun.

Da dies ja für Firmen nach der deutschen Rechtssprechung erlaubt ist, suche ich nun eine Möglichkeit.

Der Router eigene Log gibt leider zu wenig Auskunft darüber.

Also, wie stelle ich das am besten an?
Besten Dank schon ein mal im Voraus!

 

[luky37]

Da das alles über den Router läuft, kommt ein Sniffer wie Ethereal wohl nicht in Frage (außer vielleicht mit Man-in-the-Middle). Wäre ja auch viel zu kompliziert 14 Tage Netzwerk Traffic auszuwerten...


Ich würde aufn den Rechnern einfach Keylogger installieren! Muss halt im Virenscanner und der Firewall (auf den PCs, wenn vorhanden) erlaubt werden.


EDIT: Außerdem kannst du auch mit einem Sniffer nicht sehen, wenn deine Leute über einen externen Proxy (siehe HTTP-Tunnel) surfen oder was auch immer

 

[opoderoso]

Also ich glaube kaum dass Keylogger legal sind.
Wenn sich z.b ein Mitarbeiter nebenbei mit seinen privaten email daten anmelden würde, hätte man sein passwort gesniffed

Traffic loggen usw. ok, aber keylogger..

 

[Der Turl]

richtige hardwarefirewalls loggen die internen ip´s + extern aufgerufene seiten mit.

ich kenn das zb.: von einer "fortigate 50a" das ist recht einfach ( mit DNS auflösung )

ansonsten würde mir auch nur ethereal einfallen. mit entsprechenden "filtern" ausgestattet sollte das auswerten keine zu große mühe werden. go go go !!!

 

[Tankred]

...

Da dies ja für Firmen nach der deutschen Rechtssprechung erlaubt ist, suche ich nun eine Möglichkeit.

...

Dann habt ihr entweder keinen Betriebsrat und/oder keinen Datenschutzbeauftragten. Das inhaltliche Mitloggen durch den Arbeitsgeber ohne Kenntnis des Arbeitnehmers ist in Deutschland nicht erlaubt. Ausnahmen können nur durch den Betriebsrat durchgeführt werden und auch nur dann, wenn ein begründeter Verdacht hinsichtlich einer Straftat vorliegt.

 

[easy.2ci]

Ethereal ist meiner Meinung nach ungeeignet für solche Zwecke. Damit erzeugt man nur riesige Datenhalden und muss gezielt im Output suchen, ohne zu wissen, wonach eigentlich.

Um herauszufinden, welche Programme und wielange welcher prozess läuft, kannst du gut Miss Marple nehmen, das protokolliert auf jedem Rechner alles mit und schickt die Daten zu einer zentralen Datenbank.

Ansonsten fällt mir nur noch ein Proxy Server ein. Diesen kannst du zwischen Router und eurem internen Netz hängen. Proxys sind einfach einzurichten und unter Linux auch kostenlos. Außerdem bieten dir alle Proxys Protokolle und Graphen an, um über alles im Bilde zu sein.


Grüße

 

[Simon]

Proxy sehe ich auch als die beste Möglichkeit.
Gibt für Squid z.B. viele Erweiterungen, um den Traffic genau nach Usern zuzuordnen.

Ein weitere Möglichkeit wäre, zwischen Router und den Clients einen Hub zu schalten und an einem Hub-Port einen Sniffer mitlaufen lassen. (Wildpackets Etherpeek oder Ethereal/Wireshark etc.)
Mittels Filter könnte man dann den HTTP Traffic gut anschauen.

mfg Simon