Traffic am Internet Anschluss überwachen und protokollieren?

[Matusalem]

Hier noch eine Alternative:

1) Einen günstigen 5 Port Smart Ethernet-Switch z.B. von TP-Link oder Netgear zwischen die Fritz!Box und dem Internetzugang schalten. Solche Switches unterstützen die Möglichkeit den Traffic von einem Port auf einen anderen zu spiegeln, ohne den eigentlichen Datenverkehr zu stören.

2) An dem gespiegelten Ethernet Port kann nun ein beliebiger Rechner angeschlossen werden auf welchem Wireshark läuft. Wireshark ist eine SW welche Datenverkehr aufzeichnet und komfortabel strukturiert anzeigt.

 

[hpxw]

Ich habe Sophos als VM auf meinem ESXi laufen.

Habe noch 2012 R2 Core DC VM, 2012 R2 MGMT (Plex) VM, 2012 R2 Core Fileserver mit Deduplication VM, Owncloud VM und Windows 10 VM am laufen

Verbrauch ca. 30 Watt. Bin sehr zufrieden damit.


Mit Sophos kannst du ganz einfach alles nachverfolgen, genauso den WebTraffic. Zudem werdeb dir noch Reports generiert

 

[leipziger1979]

Was ich gerne überwachen und protokollieren möchte, sind die Verbindungen der Internen Geräte. Wohin verbindet sich zB. mein PC überall hin. Wohin verbindet sich der Receiver, IP-Kameras, mein NAS usw.
Interessant zu wissen wäre noch, welche Anfragen kommen von aussen? Welche Ports werden abgefragt usw.

Glaub mir, das willst du weder wissen noch hast die Zeit das alles Punkt für Punkt zu überprüfen!
Du brauchst dir ja nur mal auf deinem PC Wireshark installieren und einfach damit mal den Traffic mitschneiden.
Schon da wirst in relativ kurzer Zeit so viel mitgeschnitten haben das dir die Lust vergeht das auszuwerten.

 

[Raijin]

Man kann zumindest schon mal mit Windows Bordmitteln anfangen.

Start --> cmd
--> netstat -a

Netstat zeigt alle aktiven Verbindungen an. Mit weiteren Schaltern kann man die Ausgabe beinflussen. -af löst zB den Namen zur remote IP auf, -afb fügt die dazugehörige Anwendung hinzu (zB Firefox.exe), etc.. -? zeigt alle Schalter.

Das sind aber "nur" die Verbindungen an sich. Mit WireShark sieht man die einzelnen Pakete, die darüber laufen. Wenn man WireShark nicht ordentlich filtert, kann man binnen kürzester Zeit den Speicher vollballern...... Deswegen wird WireShark normalerweise auch nur gezielt eingesetzt, um zB die Kommunikation zwischen zwei Geräten auf einem ganz bestimmten Port mitzuschneiden. "Capture all" ist nicht gut für's Herz-Kreislaufsystem...

Von daher wirst du diesbezüglich mit einer Bastellösung wohl nur wenig Spaß haben und kaum Nutzen daraus ziehen können. Traffic Analyse Tools in Firewalls sind schon weitestgehend darauf ausgelegt, nur die relevanten Informationen zu filtern. Wer wohin und wieviel. Die einzelnen Pakete, die dir WireShark ausspuckt, bringen dir sowieso nichts, wenn du nicht weißt wie du die Nutzdaten interpretieren musst. Das wird erst dann interessant, wenn du Datenprotokolle im Detail analysieren willst, um beispielsweise Fehler in der Kommunikation zu finden, hat mit deinem Anwendungsfall aber herzlich wenig zu tun.

 

[Weckmann]

Vielen Dank für eure Unterstützung, mal eine andere Frage. Wenn ich mir die Hardware für ein ESXi zusammenstelle und dort dann Sophos als VM läuft, wie kann ich dann den ESXi absichern? Eigentlich hängt die Hardware ja dann vor Sophos?
Noch eine andere Sache, wenn ich Sophos konfiguriert habe, kann ich dann die Netze aufteilen? Funktionieren die Fritzboxen dann noch als WLan AP ?

 

[SilasHammig]

Meinst du VLAN?

 

[Weckmann]

Ja genau, ich habe aber noch einen NETGEAR GS108GE 8-Port Unmanaged Gigabit Switch. Der sollte das doch können..?

 

[Harrdy]

Nein, ein GS108GE kann gar nichts. Wie du schon selbst geschrieben hast ist dieser "Unmanaged". Es ist also nicht möglich VLAns am Switch zu konfigurieren. Einzig und allein eine Stumpfe weiterleitungen wäre möglich. Damit sind Netze nicht trennbar. Wenn du getrennte Netze haben willst müssen die zentralen Komponenten ala Switch, Firewall und ggf. Router mit VLANs umgehen können. Bei letzten könnte man ggf. auch ne Fritzbox nehmen obwohl sie zwar nichts mit VANs anzufangen weiß besteht die Möglichkeit 2 getrennte Netze ins Internet zu bekommen (Stichwort: Gästenetzwerk auf Port 4) bzw. separierte VPN Connections auf Port 1-3 zu konfigurieren.

Was du dafür bräuchtest wär nen Managed oder zumindest Smart Managed Switch der mit VLANs umgehen kann.

 

[leipziger1979]

Wenn ich mir die Hardware für ein ESXi zusammenstelle und dort dann Sophos als VM läuft

Warum Sophos nicht gleich auf die Hardware installieren ?
Oder sollen noch weitere VMs drauf ?

 

[Harrdy]

Warum Sophos nicht gleich auf die Hardware installieren ?
Oder sollen noch weitere VMs drauf ?

Hat er bereits geschrieben.

Ich würde gerne noch 2-3 andere Systeme parallel betreiben. Da ich nebenbei noch SmartHome, IP-Kameras, NAS, Sat-Server usw in Betrieb habe, könnte ich noch das ein oder andere System gebrauchen

 

[Weckmann]

Gerade bestellt https://de.aliexpress.com/item/Barebone-Mini-Pc-Qotom-Q190G4N-S08-Quad-Core-J1900-VGA-4-usb-Fanless-X86-apply-to/32776255717.html?spm=2114.13010608.0.0.Ksy6FO
Ich werde die UTM einzeln nutzen und nur als Firewall betreiben.

 

[Boxenlude]

...

 

[M-X]

Würde mich über Feedback freuen ob die kleine Kiste die 200 MBit/s schafft.

 

[DFFVB]

ich hätte ne zotac c323 nano bestellt...

 

[snaxilian]

Prinzipiell sind die kleinen Zotacs interessant haben aber einen gravierenden Nachteil für pfSense: Realtek-NICs die unter Last nur Probleme verursachen.
Quelle: https://forum.pfsense.org/index.php?topic=103841.90

 

[DFFVB]

Gut zu wissen - und wieder was gelernt! Kennt jemand noch alternative Hardware zu Sophos?

 

[Weckmann]

Ja, https://m.de.aliexpress.com/s/item/...ess-X86-apply-to&spm=2114.13010608.0.0.Ksy6FO
Da kann Zotac einfach nicht mithalten....

 

[Sebbi]

ich würde über Aliexpress oder von einen chinesischen Händler direkt etc. nichts an Eletronik etc bestellen, da da nicht wirklich garantiert werden kann, das das nicht ein billiges Plagiat sein wird und oder schon verseucht hier ankommt wie teilweise bei Smartphones vorgekommen:

https://www.netzwelt.de/news/160445-android-smartphones-vorinstallierter-malware-verkauft.html

p.s. wäre auch allgemein Vorsichtig mit den Herstellerfirmen aus China, man sieht die Qualität an den Billig Netzteilen.

 

[Weckmann]

Das mag ja sicherlich richtig sein, aber auch die Hardware von Dell oder HP kommt aus China und auch hier wird zum Teil No-Name Hardware verbaut.

 

[Sebbi]

aber auch die Hardware von Dell oder HP kommt aus China und auch hier wird zum Teil No-Name Hardware verbaut.

mag sein, aber die HW wird oft dann nicht in China programmiert, sondern beim Hersteller / Distributer, wo dann idR weniger Kriminelle Energie möglich ist.