Surveillance de Flux.

[HallaanLoske]

Bonjour à tous.

J 'ai installer IPCOP il y a quelques mois sur mon réseau.
Version 1.3.8

Je voudrais aujourd'hui y ajouter un outils de surveillance de flux, à savoir les connexions entrantes et sortantes par heures, (IP+Ports), les temps de connexions etc. ...

J'ai cru comprendre qu'il y avait differents produits, mais je ne sais pas trop les differences entre chacuns. Si quelqu'un pouvait m'indiquer un liens vers les differents outils, leurs avantages et inconveignants respectifs ...

De même, existe t'il un outils d'analyse de mail entrant, à savoir analyse de pieces jointes, de domaines, etc. ...

Merci.

@++

Hallaan

[koilito]

Salut,

pour la surveillance de flux, y'a IPFMLA ("IP Flow Meter Log Analyse") qui fait ça très bien.

ça t'indique par adresse IP la quantité en download et en upload. Y'a même un men,u "Top of the Month"


Tout les infos sont sur ce site :
http://www.fesch.lu/ipfmla/

[HallaanLoske]

Oui, j'ai vu le projet qu'a devellopé Fesh, j'ai consulté son site fin de semaine dernière il me semble ...

Cependant si je ne me trompe pas, cette outils est plus une interface web de visualisation de LOG que de surveillance même.

Quels est ton avis sur cet outils, qu'en penses tu ? quels sont les qualités que tu lui trouve, les defaults ?

[koilito]

outils est plus une interface web de visualisation de LOG que de surveillance même

Oui, c'est un outil d'analyse de fichiers logs.

Personnellement c'est ce que je cherchais. J'avais des problèmes de téléchargements sauvages en p2p, et j'avais quelques adresses IP à surveiller de près. Cela m' a permis d'aller voir certains utilisateurs et de leur demander pourquoi leur machine avait téléchargé 650 Mo dans la même journée (difficile à croire que c'est pour le boulot)...


Cet outil me permet juste de constater qu'il n'y a pas "d'anomalies" concernant les flux.

- qualité : interface web, tout est paramétrable d'un clic de souris, c'est ce qu'il faut pour un fainéant comme moi . Avantage de la page web, tu peux accorder l'accès à la page à ton collègue sans pour autant donner les clès d'IPCOP.
- inconvénient : que dire ? que j'ai mis du temps à l'installer parce je suis débutant sous Linux. Si on pouvait savoir si c'est du p2p qui est échangé ce serait le pied (intégration d'un outil comme p2pwatchdog http://www.p2pwatchdog.com/home.html). Mais c'est vraiment histoire de demander une amélioration.


Si tu veux agir sur les flux, il faut passer par des modifications des régles sur le firewall (par exemple pour bloquer le p2p), et tout dépend de tes besoins dans ce cas là.


Voilà, si mon témoignage peut t'éclairer

[HallaanLoske]

Salut koilito


Oui, ton temoignage m'eclaire beaucoup, j'ai un peu la même volonté que toi, voir qui telecharge, et surtout combien.
Merci pour ta description, en tous cas. Je vais regarder plus en detail cette solution.

Juste une question supplementaire : est ce que tu peux surveillé en temps reel : c'est a dire determinté à un instant T les connexions ouvertes ?

Sinon, j'ai une autre questions plus generale : quelqu'un connait 'il une solution sur IPCOP pour repartir les flux entre les utilisateurs ? en fonction du protocole par exemple, du nombre de connexions ouvertes etc ?

par exemple : la consultation de pages web est prioritaire sur un emule, chaque utilisateurs peut telecharger a vitesse partagé, etc. ...

merci pour vos reponses encore une fois.

[nemesis]

outils est plus une interface web de visualisation de LOG que de surveillance même

Personnellement c'est ce que je cherchais. J'avais des problèmes de téléchargements sauvages en p2p, et j'avais quelques adresses IP à surveiller de près. Cela m' a permis d'aller voir certains utilisateurs et de leur demander pourquoi leur machine avait téléchargé 650 Mo dans la même journée (difficile à croire que c'est pour le boulot)...

heu j'espère que tu avais une charte ou un document précisant que tu métais en place des moyens de surveillance sinon je me permet de te sgnaler que ce que tu as fais et vraiment très limite au vu du droit actuel.

Et oui l'ateinte à la vie privée est encore invocable et invoquée dans le cadre de la surveillance des réseaux (même d'entreprise) et out moyen de surveillance mis en place doit être déclaré aux utilisateurs.

D'ailleur c'est la même chose que les caméras de surveillances ça me rapelle le coup d'un chef de projet qui avait collé sa web cam sur le haut de son écran pour nous surveiller (les développeurs) et qui est venu me faire une reflexion sur le nombres de 'pause' que je faisait dans la journée.

Actuellement il ne fait plus partie des effectifs de la société .....

Donc vaut mieux faire gaffe à ce qu'on fait car on est toujours le fusible de la direction qud ça chauffe....

Cdt

Nem.

[HallaanLoske]

Salut Nemesis.

Effectivement, tu as raison de mettre en avant ce point dans un topic comme celui ci.
J'avoue ne pas avoir pensé à ces points.

Merci pour ta vigilance.

++

Hallaan

[Skyhawk]

Bonjour,

Sur qelle version d'ipcop l'avez vous installé ? L'avez vous testé sur la 1.4.b3

[Fesch]

Sur qelle version d'ipcop l'avez vous installé ? L'avez vous testé sur la 1.4.b3

=> Il *devrait* tourner sur toutes les version d'IpCOP. C'est à tester. Je suis preneur pour une réponse comme celà je pourrais l'indiquer sur mon site

Juste une question supplementaire : est ce que tu peux surveillé en temps reel : c'est a dire determinté à un instant T les connexions ouvertes ?

=> Oui. L'unité minimale est la minute. Donc toutes les minutes les valeurs sont mises à jour.

[Fesch]

Si on pouvait savoir si c'est du p2p qui est échangé ce serait le pied (intégration d'un outil comme p2pwatchdog http://www.p2pwatchdog.com/home.html). Mais c'est vraiment histoire de demander une amélioration.

=> Vilain! Méchant! Gargamel .....



Mais t'as raison. Ce serait d'avoir cela. Je viens tout juste d'essayer, mais "p2pmon" me donne que

Code: Tout sélectionner

./p2pmon: relocation error: ./p2pmon: undefined symbol: pcap_findalldevs


comme message d'erreur. Mais je vais continuer ... et vous tenir au courant ....

[EDIT]

D'accord, ça roule maintenant. J'ai dû mettre à jour "libpcap.so". Maintenant il faut que je lance quelques testes pour voir si cela bouffe mon mule, puis d'interprêter la sortie et finalement mettre à jour l'interface WEB.

a++

[Skyhawk]

Je viens de l'installer sur une version 1.4.b3.

Première chose, c'est en PHP, cool

D'ou sort cette version du binaire php ? compilé sous ipcop ? une version existante sous une autre distrib ?

Autre chose, quel est le principe de fonctionnement de l'analyseur ? Est-ce une analyse en temps réels des logs avec génération des png ? ou est-ce une analyse des logs existants et création de logs maisons pour génération des png.

D'apres ce que j'ai vu vite fait, il s'agit de la deuxième solution.

Dans ce cas comment forcer le regénération afin qu'il prenne en compte les logs existants sur les jours passés ?

[Fesch]

D'ou sort cette version du binaire php ?

=> je l'ai compilé moi-même.

compilé sous ipcop ?

=> non

une version existante sous une autre distrib ?

=> oui, sous une debian woody (même GCLIB)

Autre chose, quel est le principe de fonctionnement de l'analyseur ?

=> L'ensemble des pages web et scripts gère différents daemon «ipfm» avec des fichiers de configurations spécifiques à l'application. «ipfm» ne fait que générer les fichiers log. C'est l'analyseur (donc la partie scripts PHP) qui génère les PNG à chaque demande.

Est-ce une analyse en temps réels des logs avec génération des png ?

=> Donc non. «ipfm» ne génère que les fichier logs.

ou est-ce une analyse des logs existants et création de logs maisons pour génération des png.

=> Donc oui. il s'agit de fichier logs standards à «ipfm», mais configués de telle manière à ce que cela soit adapté aux besoins.

Dans ce cas comment forcer le regénération afin qu'il prenne en compte les logs existants sur les jours passés ?

=> He? Là, je ne comprends pas la question, car sur chaque page d'analyse il y a une liste dans laquelle on peut choisir une date. Bon, faut savoir que les fichiers logs ne sont créé qu'à partir du moment où un daemon est lancé. Donc pas possible d'installé IpfmLA aujourd'hui et de s'attendre à pouvoir analyser les fichiers logs inexistant de hier

[Skyhawk]

ok, merci pour tes réponses.

Je ne connaissais pas ipfm.

En ce qui concerne les logs, j'avais juste cru que ipfm utilisait les logs existants standards à ipcop afin de générer stats et les png.

Je te confirme donc que je cela marche sous ipcop 1.4.b3

Y a t'il des précautions particulière à prendre pour compiler un binaire avec une autre dustrib (genre mandrake, fedora ou autres) à destination de ipcop ?

[Fesch]

En ce qui concerne les logs, j'avais juste cru que ipfm utilisait les logs existants standards à ipcop afin de générer stats et les png.

=> Non. «ipfm» ne fait pas partie par défaut d'IpCOP.

Je te confirme donc que je cela marche sous ipcop 1.4.b3

=> C'est noté. Merci!

Y a t'il des précautions particulière à prendre pour compiler un binaire avec une autre dustrib (genre mandrake, fedora ou autres) à destination de ipcop ?

=> À priori non. Il faut juste faire attention à ce que le noyau soit compatible ("unamr -r" => 2.4.x) et que la librairie GCLIB soit la même version. Cette dernière étant très importante!!! Ne pas essayer de la mettre à jour sur IpCOP ... j'avais fait cela au début de mes expériences. C'était la cata puis la réinstalle .

[Skyhawk]

ok, merci pour l'info .... car je travaille avec ipcop depuis 1 an environ et j'ai vraiment envie de le faire evoluer.

Dans ton binaire php, qu'as tu inclus comme librairie ?

Au fait dits moi si je t'embête avec mes questions ......