Traffic am Internet Anschluss überwachen und protokollieren?

[Weckmann]

Hallo,
ich nutze bei mir einen Anschluss der Deutschen Glasfaser (Genexis Router) dieser Router ist im Bridge Mode geschaltet. Meine Fritzbox 4790 baut über LAN1 das Internet auf. Jetzt würde ich gerne die Traffic überwachen und protokollieren. Geht das nur mit einer Firewall?

 

[Harrdy]

Ich vermute du hast eine Fritzbox 7490 und keine 4790 Es kommt drauf an was du genau machen willst. Die Fritzbox bietet schon out of the Box die Möglichkeit Traffic der einzelnen Interfaces mitzuschneiden. Diese Mitschnitte können mit Wireshark angeschaut werden.

Dazu muss einfach die Seite http://fritz.box/html/capture.html aufgerufen werden. Ansonsten bieten dedizierte Firewalls natürlich im Regelfall ebenfalls die Möglichkeit Traffic mitzuschneiden. Die Frage die sich mich hier eher Stellen würde: Kannst du mit den erzeugten Logfiles überhaupt was Anfangen und Schlüsse daraus ziehen?

Oder geht es beim Traffic überwachen und Protokollieren möglicherweise um reine Protokollierung von abgerufenen Webseiten? Sprich http/https Traffic?

 

[leipziger1979]

Meine Fritzbox 4790 baut über LAN1 das Internet auf.

Du meinst wohl WAN und am LAN/WLAN hängen deine Geräte.
Wenn du sämtlichen Traffic Logen wollen würdest muss hinter der Fritzbox eine, zb. Hardwarefirewall, die sowas auch kann.

 

[Raijin]

Was genau willst denn "überwachen"? Soweit ich weiß bietet die Fritzbox im Expertenmodus sogar eine Möglichkeit, ein Wireshark-Log aufzuzeichnen. Wie genau das geht oder ob das überhaupt (noch) geht (Hörensagen, hab keine Fritzbox), kann ich dir aber nicht sagen, sorry. Ich glaube aber auch nicht, dass es das ist was du willst.

*edit
2late..

 

[iSight2TheBlind]

Wie Harrdy schon sagte gibt es bei Fritzboxen die Möglichkeit ein Log für Wireshark zu erstellen.
Diese Logs sind jedoch sehr schnell sehr groß (da auch die Inhalte der Verbindungen mitgeschnitten werden, d.h. wenn du 100mbit/s Downstream hast wächst das Log auch mindestens so schnell, soweit ich mich erinnere auch noch größer) und sehr kompliziert.

Das ist nichts um nur mal zu gucken welche Geräte in deinem WLAN angemeldet sind oder wie viel Traffic du verbrauchst, das ist professionelle Analyse.

 

[Harrdy]

Du meinst wohl WAN und am LAN/WLAN hängen deine Geräte.
Wenn du sämtlichen Traffic Logen wollen würdest muss hinter der Fritzbox eine, zb. Hardwarefirewall, die sowas auch kann.

Des ist schon soweit Korrekt. Er hat ja geschrieben das er ein vorgeschaltenen ONT mit Modem hat und deswegen die Fritzbox über Port1 verwendet und nicht über das Verbaute Modem vom WAN Port geht

 

[Weckmann]

Sorry, natürlich die 7490
Was ich gerne überwachen und protokollieren möchte, sind die Verbindungen der Internen Geräte. Wohin verbindet sich zB. mein PC überall hin. Wohin verbindet sich der Receiver, IP-Kameras, mein NAS usw.
Interessant zu wissen wäre noch, welche Anfragen kommen von aussen? Welche Ports werden abgefragt usw.

 

[hpxw]

installiere nach dem Modem eine Firewall, z.B. Sophos Home. Dann kannst du alle Verbindungen und Geräte nachverfolgen

 

[Weckmann]

Ok, welche Hardware benötige ich für eine Firewall?

 

[Boxenlude]

Raspberry Pi3 o.ä. und alles per WLAN anbinden. Oder mit zweiter LAN Buchse(USB) für Kabel Gerätschaften.
Den Raspi an die Fritzbox. So kannst du jeden Traffic im Raspi mitscheiden.
Vielleicht nicht gut für den Dauerbetrieb geeignet, der war aber auch glaube ich nicht gefordert.

Für den Dauerbetrieb solltest du dir überlegen einen ordentlichen Router zu kaufen der die Daten entsprechend ausleiten kann.

 

[Weckmann]

Allso ich würde es schon gerne für den Dauerbetrieb einsetzen wollen. Ich möchte halt sehen können, was raus geht und welche Anfragen geblockt werden?!

 

[Boxenlude]

Manche Draytek Router können Port Mirroring... das wäre dann was du suchst.
Musst halt noch ein System haben was genügend Plattenplatz hat um die gecaptureten Daten zu speichern.

 

[Harrdy]

Du willst also eine Liste haben von jeder TCP Verbindung ob, ob nicht und wie lange diese Bestand inkl. Nutzdaten? Oder was sind Anfragen für dich?

// Edit:
Da bereits Router vorhanden ist würds auch nen Smart Managed 5 Port Switch tun der Port Mirroring kann.

 

[Weckmann]

Nein, ich möchte einfach wissen, wohin mein PC, Tablet, Smartphone, IP-Cams, IP-Telefon sich verbinden. Dann möchte ich die Möglichkeit haben, dass ganze einzuschränken. Als Beispiel mein Windows 10 PC, da möchte ich die Kommunikation mit Microsoft eingrenzen. Wenn alle Ports geschlossen sind, würde es mich einfach mal interessieren, was am Tag so für Anfragen von aussen kommen.

 

[snaxilian]

Du hast grob 3 Möglichkeiten:

1. Selbstbau-günstig-Lösung mit einem Raspberry Pi (3) o.ä. dann Wireshark und dann sehr viel einlesen. Günstig in der Anschaffung und wirst du nach wenigen Tagen wieder verkaufen weil du nicht so voran kommst wie du dir das vorstellst.
2. Mehr Geld investieren z.B. in einen NUC/Brix/etc mit mind. 2 Intel-NICs oder von PC-Engines eine apu2c4, Kosten: ab ca 170€. Dann eine der vielen Firewall-Appliances drauf installieren. Die bekanntesten sind pfSense, OPNsense, IPCop, IPfire, Sophos Home UTM, etc. Erleichtert dir zwar die initiale Einrichtung, erfordert aber ebenfalls einiges an Einarbeitung
3. Ubiquiti EdgeRouter: Kostet ab ca 55-60 €, recht gute Anleitung und Dokumentation direkt im Forum des Herstellers (auf englisch). Bietet Traffic Analyse und stellt das Ganze gleich hübsch in Graphen.

 

[Harrdy]

Nein, ich möchte einfach wissen, wohin mein PC, Tablet, Smartphone, IP-Cams, IP-Telefon sich verbinden. Dann möchte ich die Möglichkeit haben, dass ganze einzuschränken. Als Beispiel mein Windows 10 PC, da möchte ich die Kommunikation mit Microsoft eingrenzen. Wenn alle Ports geschlossen sind, würde es mich einfach mal interessieren, was am Tag so für Anfragen von aussen kommen.

Je nach gewünschten Durchsatz würd ich dann wohl eine Sophos SG 105 bzw. SG115 verwenden. Bietet alle Anforderungen bzw. wenns günstiger sein soll eine Sophos Home UTM 9 auf eigener Hardware

 

[Weckmann]

Je nach gewünschten Durchsatz würd ich dann wohl eine Sophos SG 105 bzw. SG115 verwenden. Bietet alle Anforderungen bzw. wenns günstiger sein soll eine Sophos Home UTM 9 auf eigener Hardware

Da ich einen 200Mbit Glasfaseranschluss nutze und die Sophos UTM auch VPN machen soll, benötige ich schon was flottes und zeitgleich stromsparendes. Ich bin mir nur nicht ganz sicher, ob ich jetzt ~150,-€ für eine einfache Hardware mit Sophos ausgeben soll oder gleich für ~300,-€ Sophos als FW virtuell auf ESXi Hardware betreiben soll?!?

 

[Harrdy]

Und welchen Vorteil versprichst du dir vom Betrieb unter ESXi im Vergleich zum direkten Betrieb auf inoffizieler Hardware? Sofern du nicht planst noch weitere virtuelle Maschinen zu betreiben kannst du also auch direkt auf der Hardware Sophos laufen lassen.

 

[Weckmann]

Ich würde gerne noch 2-3 andere Systeme parallel betreiben. Da ich nebenbei noch SmartHome, IP-Kameras, NAS, Sat-Server usw in Betrieb habe, könnte ich noch das ein oder andere System gebrauchen

 

[snaxilian]

Schnell, stromsparend, 200 MBit Durchsatz (mit firewalling, nicht nur routing), VPN mit guter Performance und günstig? Träum weiter

Die Sophos-HW Kisten find ich persönlich für privat zu teuer, da würde ich persönlich eher zu einem der etwas potenteren Ubiquiti EdgeRouter greifen, die haben afaik auch einen VPN-Server dabei, kommt dann aber preislich aufs Gleiche raus wie ne Selbstbau-Lösung.