Internetnutzung protokollieren (WinServer+ManagedSwitches)

Technik, Setup, LAN-Probleme etc.
Antworten
Benutzeravatar
Michel
Lieutenant
Beiträge: 127
Registriert: 30.04.2004, 14:09
Wohnort: Thailand

Internetnutzung protokollieren (WinServer+ManagedSwitches)

Ungelesener Beitrag von Michel » 07.05.2016, 13:02

Ich hab hier folgende Aufgabenstellung:

Protokollierung welcher Client wann welche Adresse im Internet aufgerufen hat.

Es läuft ein Windows Server 2008 R2 mit DHCP (Lan) und NAT (Internet).
Die ganzen Clients hängen an 2 managed Switches (http://www.manualslib.com/manual/443529 ... l2428.html).

Ich kann zwar auf dem Server IP+Zeitpunkt+Weburl protokollieren, aber dann fehlt mir immer noch die Zuordnung zu den Clients (Switch-Port).
Am optimalsten wäre ein Logging wie folgend: Zeitpunkt, Switch-Port, MAC-Adresse, IP, Weburl

Mit welcher Software ist dies realisierbar und welche Funktionen müssen die Switches können?

Schon mal vielen Dank für jede Hilfestellung!

Benutzeravatar
Jaegerschnitzel
Hartware.net
Beiträge: 1043
Registriert: 08.03.2004, 14:27

Re: Internetnutzung protokollieren (WinServer+ManagedSwitche

Ungelesener Beitrag von Jaegerschnitzel » 08.05.2016, 00:18

Naja so gesehen fehlen dir ja nur MAC-Adresse und Switch-Port. Die MAC-Adresse kannst du relativ einfach vom DHCP Server abfragen, du kennst ja die IP. Den Switchport kannst du nur am Switch selber herausfinden, idealerweise anhand er MAC.

Das alles zu automatisieren ist aber schwieriger, da würde mir jetzt auf den ersten Blick nichts praktikables einfallen.

Benutzeravatar
Michel
Lieutenant
Beiträge: 127
Registriert: 30.04.2004, 14:09
Wohnort: Thailand

Re: Internetnutzung protokollieren (WinServer+ManagedSwitche

Ungelesener Beitrag von Michel » 08.05.2016, 06:28

Angeblich soll man über den Switch per DHCP Snooping den Port in die Pakete eintragen können
und z.b. mit Wireshark müsste man dann doch dass von mir gewünschte Protokollformat erstellen können?

Dynamic Host Configuration Protocol (DHCP) Snooping: http://www.ciscopress.com/articles/arti ... 2&seqNum=6

Dino
Commander
Beiträge: 468
Registriert: 25.10.2012, 14:15
Wohnort: Keller

Re: Internetnutzung protokollieren (WinServer+ManagedSwitche

Ungelesener Beitrag von Dino » 08.05.2016, 08:43

Über Sinnhaftigkeit so eines Vorhabens lässt sich streiten (wozu Switchport? von welchem Switch kann ich ja noch nachvollziehen aber Port ... really?) Je nach Switch sollte es möglich sein per SNMP die Routingtabelle auszulesen. Da steht dann drin auf welchem Port welche MAC zu erreichen ist. Du brauchst halt theoretisch einen zeitlichen Abgleich aller deiner Informationsquellen um nutzbare Daten zu erhalten, da du von permanent Wiresharking redest, solltest du auch permanent DHCP & Switch-Tracking betreiben. An diesem Punkt frage ich mich ob du dir wirklich bewusst bist was für Datenmengen du verarbeiten willst. Dabei ist völlig egal ob du erstmal alles auf Disk schreibst und dann analysierst oder on the fly analysieren willst ... passiert bissl mehr als beim 1080p streamen so was Performance Ansprüche an die HW dahinter geht ... Oo

Immerhin wissen auch bei mehreren DHCP Servern die DHCP Server selbst welcher Client an welchem Switch hängt sobald du nämlich dein DHCP-Spoofing nimmst um den anderen DHCP Broadcast von dem remote Switch fern zu halten...

€dith meint:

Du kannst ja mal pps zählen so für den Anfang. Das Dokument ist zwar älter aber oftmals sind solche Projekte bei solchen Perspektiven (HW Resourcen benötigt) dann doch eher schnell gegessen.
Zuletzt geändert von Dino am 08.05.2016, 08:55, insgesamt 1-mal geändert.

Benutzeravatar
Michel
Lieutenant
Beiträge: 127
Registriert: 30.04.2004, 14:09
Wohnort: Thailand

Re: Internetnutzung protokollieren (WinServer+ManagedSwitche

Ungelesener Beitrag von Michel » 08.05.2016, 09:35

Ich weiß zwar dass die IP x.x.x.x vor x Tagen um xx:xx Uhr auf der Webseite http://www.xxx.com war, aber ich kann diese Info ohne die dazugehörige Portnummer des Switches keinem Client rückwirkend zuordnen. Und genau darum geht es bei der Aufgabenstellung.

Deshalb wäre es sinnvoll wenn die Portnummer vom Switch irgendwie in die Datenpakete geschrieben wird, damit man dann ein Protokoll wie beispielsweise "Zeitpunkt, Switch-Port, MAC-Adresse, IP, Weburl" auf dem Server erstellen kann.

Ich will ja keine kompletten Datenpakete des Netzwerktraffics speichern, sondern nur die obigen Infos.
Ob ich dies mit WireShark oder einem anderen Tool lösen kann spielt keine Rolle.
Hauptsache die obigen Daten können geloggt werden.

Bei dem heutigen Stand der der Servertechnik müsste ein solch "einfaches" Vorhaben doch möglich sein, oder?
Ich geb mal so schnell nicht auf ;-)

Benutzeravatar
PatkIllA
Admiral
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 14630
Registriert: 08.03.2004, 11:07
Wohnort: Dortmund

Re: Internetnutzung protokollieren (WinServer+ManagedSwitche

Ungelesener Beitrag von PatkIllA » 08.05.2016, 09:41

Den Port/MAC usw brauchst du ja nur bei einer DHCP Anfrage einmalig zu protokollieren und kannst das dann mit dem anderen log verknüpfen. Das vermeidet auch jede Menge redundante Daten.
Wir haben auf unserer Linux Kiste ein Tool laufen was das syslog auf Ausgaben des DHCP Deamons per regex prüft und dann Skripte ausführt. Damit loggen wir aber nur wann welcher Rechner im Netz war und schauen ob unbekannte Rechner auftauchen.
Zuletzt geändert von PatkIllA am 08.05.2016, 09:42, insgesamt 1-mal geändert.

Benutzeravatar
Jaegerschnitzel
Hartware.net
Beiträge: 1043
Registriert: 08.03.2004, 14:27

Re: Internetnutzung protokollieren (WinServer+ManagedSwitche

Ungelesener Beitrag von Jaegerschnitzel » 08.05.2016, 14:07

Oder du beziehst die User-Ebene mit ein, wenn das möglich ist. Jeder IP wird dann eindeutig ein AD-User zugeordnet. Dann würdest du z.B. auch sehen, wenn ein User mit mehreren Geräten im Internet surft.
Zuletzt geändert von Jaegerschnitzel am 08.05.2016, 14:07, insgesamt 2-mal geändert.

Benutzeravatar
Michel
Lieutenant
Beiträge: 127
Registriert: 30.04.2004, 14:09
Wohnort: Thailand

Re: Internetnutzung protokollieren (WinServer+ManagedSwitche

Ungelesener Beitrag von Michel » 08.05.2016, 14:58

PatkIllA hat geschrieben:Den Port/MAC usw brauchst du ja nur bei einer DHCP Anfrage einmalig zu protokollieren und kannst das dann mit dem anderen log verknüpfen.
Mit welchem Tool kann ich das unter Windows bewerkstelligen? ;-)

Momentan hab ich auf dem Server die Software "Visual Syslog Server" laufen, welche mir von beiden Switches alle Log-Messages protokolliert,
wie z.b. "The switch has learned a new MAC address xx:xx:xx:xx:xx:xx, vid:1, interface:port 3.".
Damit hab ich dann schon mal MAC<->Port zusammen.

Desweiteren läuft das Tool "BinaryPlant ARP Monitor" und somit hab ich MAC<->IP.

Jetzt bräuchte ich noch ein geeignetes Monitortool um nur "Zeitpunkt, IP, Weburl" zu protokollieren.

Dann könnte ich damit bei einer Anfrage schon was brauchbares vorweisen.

Perfekt wäre natürlich ein Tool welches das Protokoll "Zeitpunkt, Switch-Port, MAC-Adresse, IP, Weburl" erstellt...
Jaegerschnitzel hat geschrieben:Oder du beziehst die User-Ebene mit ein, wenn das möglich ist.
AD-User gibts hier keine. Die Clients welche im Netzwerk an den Ports hängen kommen und gehen.
Deshalb werden unbedingt "Zeitpunkt, Switch-Port, MAC-Adresse, IP, Weburl" benötigt,
damit wir rückwirkend diese Infos nutzen können um Sie einer realen Person zuzuordnen,
welcher zu diesem Zeitpunkt den Port am Switch genutzt hatte.

Dino
Commander
Beiträge: 468
Registriert: 25.10.2012, 14:15
Wohnort: Keller

Re: Internetnutzung protokollieren (WinServer+ManagedSwitche

Ungelesener Beitrag von Dino » 08.05.2016, 19:37

naja Weburl & IP geht über einen Proxy immer am einfachsten den man in die DHCP-Options sauber einträgt. Ich würde ja jetzt sagen squid und an der FW alles zu was nicht vom Proxy kommt, bin mir aber nicht sicher ob du die FW Regeln in der Windows Firewall so anständig gesetzt bekommst. Theoretisch ja, praktisch who knows? :D

Man könnte jetzt auch gegen Windows und für RouterOS oder einen weiteren dedizierten Host der als echte Firewall + Proxy fungieren kann oder einen Host mit einer VM wo RouterOS drin ist, eine weitere mit Nagios zum Monitoren von nicht nur Switches sondern eben alles auch in einem zentralen Ort kombinieren ... ich selbst überwache meine Switches auf Latenz mit System Center Operations Manager 2012 R2 damit kann man sicherlich auch einen Windows Router mit überwachen oder auch RouterOS SNMP Traffic abgreifen ... Es gibt die Meraki Switches von Cisco, die Frage ist ob man Cloud based Management will bzw. was so ein Controller für "lokal" kosten würde (gibt's bestimmt als VM Image ähnlich wie F4 oder Ciscos eigene SDN UC FW). Das Problem ist einfach nur das was bisher so eingesetzt wird, sieht nicht aus als wäre da ein CCR, Meraki oder einfach ein neuer Host für (auch wenn wir z.B. von 100 MBit/s ausgehend fast schon mit einem J1900 auskommen könnten, besser jedoch D1500er Serie / Dual- bzw. Quad Core mit hohem Takt) drin.
Zuletzt geändert von Dino am 08.05.2016, 19:39, insgesamt 1-mal geändert.

Benutzeravatar
Jaegerschnitzel
Hartware.net
Beiträge: 1043
Registriert: 08.03.2004, 14:27

Re: Internetnutzung protokollieren (WinServer+ManagedSwitche

Ungelesener Beitrag von Jaegerschnitzel » 08.05.2016, 23:32

Michel hat geschrieben:
Jaegerschnitzel hat geschrieben:Oder du beziehst die User-Ebene mit ein, wenn das möglich ist.
AD-User gibts hier keine. Die Clients welche im Netzwerk an den Ports hängen kommen und gehen.
Deshalb werden unbedingt "Zeitpunkt, Switch-Port, MAC-Adresse, IP, Weburl" benötigt,
damit wir rückwirkend diese Infos nutzen können um Sie einer realen Person zuzuordnen,
welcher zu diesem Zeitpunkt den Port am Switch genutzt hatte.
Sieht fast so aus, als ob du ein Gästeportal benötigst ;-)

Benutzeravatar
Michel
Lieutenant
Beiträge: 127
Registriert: 30.04.2004, 14:09
Wohnort: Thailand

Re: Internetnutzung protokollieren (WinServer+ManagedSwitche

Ungelesener Beitrag von Michel » 09.05.2016, 12:34

Jaegerschnitzel hat geschrieben:Sieht fast so aus, als ob du ein Gästeportal benötigst ;-)
Gut geraten! Pro Port ein Zimmer und ein Kunde für eine bestimmten Zeitraum.
Deshalb die benötigte Zuordnung pro Port und Zeitpunkt!

Gesucht wird eine transparente Lösung welche im Hintergrund läuft ohne Anmeldeschnickschnack und zusätzlichen Verwaltungsaufwand für Logins
und ganz zu schweigen von dem Verwaltungsaufwand der Konfiguration von Proxy und Firewall...stöhn..ächz...

Im Prinzip sind ja allen benötigten Informationen da und müssen nur zusammengetragen werden.
Momentan bin ich soweit und sauge per SNMP vom Server aus die MAC-Port Forwarding Tabelle aus dem Switch.
Hab mir eine bib datei für den switch geschrieben, welche genau diese Daten für mich extrahiert.
Immerhin habe ich damit schonmal diese Infos für den Zeitpunkt der Abfrage.
Diese Abfrage müsste man jetzt in Intervallen immer wieder durchführen und die gesammelten Daten abgleichen.
Pro Port kann es ja x MAC-adressen in einem Zeitraum geben, welche dann einem Kunden zugeordnet werden können.

Es läuft wohl darauf hinaus, das ich mir ein tool programmieren muss, welches dann bei bedarf alle Daten zusammenlegt und analysiert.

Ich habe irgendwie gehofft, dass ich nicht der Erste bin der solchen Daten benötigt und es dafür schon zig Monitorprogramme/Logger usw. gibt...

Kennt jemand von euch die Software "PRTG Network Monitor"? Eventuell lässt sich damit was anfangen...mal testen

Dino
Commander
Beiträge: 468
Registriert: 25.10.2012, 14:15
Wohnort: Keller

Re: Internetnutzung protokollieren (WinServer+ManagedSwitche

Ungelesener Beitrag von Dino » 09.05.2016, 18:54

Naja von dem bereits genannten Nagios gibt es einen Fork den es Wahlweise für Windows, als fertige VM oder Source Code gibt, schon mal da reingeschaut? Ich habe mal mit Nagios gearbeitet (was für dich höchstens in einer VM in Frage kommt) oder den Luxus von System Center genossen, reinschauen lohnt sich glaube ich trotzdem bei Icinga.

Antworten