Netwerk monitoren

[Btech]

Hallo allemaal.

ik heb de laatste tijd een probleem met mensen binnen mijn netwerk die zich aardig misdragen.
ik ben dus opzoek naar een tool waarmee ik mijn netwerk kan monitoren. ik heb al een bericht gekregen van mijn provider dat iemand binnen het netwerk met zwaar illegale dingen bezig is maar ik kan niets vinden bij hun want ik denk dat ze het direct verwijderen of via usb sticks verplaatsen.

het gaat hier over 8 gebruikers.

ik weet niet welke tool er geschikt voor is.
cisco network magic had te weinig mogelijkheden en Spiceworks krijg ik om een of andere reden niet goed geconfigureerd.

alvast bedankt

 

[Qtex]

ik denk dat je total netwerk monitoring dient te gebruiken , daar boven op is deze nog eens gratis ook .

 

[DDragon80]

ik denk dat je total netwerk monitoring dient te gebruiken , daar boven op is deze nog eens gratis ook .

Is te beperkt in mogelijkheden. Kan enkel een aantal vaste services monitoren en dan nog via "probes" en een network discovery via ping... Een firewall gaat dit zo blokkeren.

Als je echt alles wilt bekijken wat er in je netwerk binnen en buiten gaat; installeer een goeie firewall als gateway/router (Ik gebruik Astaro Security Gateway (ASG) V8; gratis home license). Of clone je gateway poort op je router/switch naar een workstation PC met Wireshark geinstalleerd. Die logged ALLES. Natuurlijk moet je dan wel een goede kennis hebben van netwerking protocollen.

Ik ben onlangs nog wel een enterpise level tracker/analyzer tegengekomen die er op papier zeer belovend uitzag. Die kon in een netwerk elk issue traceren en oorzaken achterhalen etc... maar ik weet de naam nietmeer.

ps: Stel je firewall in dat je Outbound traffic beperkt. Ik heb al men Outbound traffic geblocked buiten de standaard services en enkele externe gameservers. Gaat geen data naar buiten die normaal niet naar buiten hoort te gaan. Ik heb ook portscanner detectie etc aanwezig op men ASG.

 

[Btech]

ik heb net bij het log op mijn router gekeken. er worden telkens administrator logouts gemeld. op tijden dat er niemand op het netwerk was. niemand binnenshuis dan. tevens werden er instellingen aangepast op de router.
ik weet uit oude ervaringen dat deze doormiddel van het modem ongemerkt binnen kunnen komen. maar aan deze kan ik niks aanpassen omdat het zo een typische davolink modem is van tele2. die is helemaal dichtgetimmerd.
wat kan ik hier het beste tegen doen?

 

[DDragon80]

Welke instellingen werden er aangepast? Is deze modem tevens die router?

 

[Btech]

het gaat hier over een DV202 modem/router van tele2 met daarboven een Sitecom WL 309 router. het heeft een lange tijd goed gewerkt.

met de aangepaste instellingen bedoel ik dan de tijd, mac filters (blokkeert mac adressen binnen het netwerk), ssid (netwerk namen worden veranderd), port forwarding (worden vele poorten voor geforward die bepaalde tools nodig hebben). verder wordt het draadloos signaal van de davolink modem/router telkens ingeschakeld terwijl ik die altijd uitgeschakeld heb omdat ik die router eraan heb gekoppeld.

of dit nou van buiten uit komt of van binnenaf probeer ik nog uit de vinden. daarom zoek ik ook een netwerk monitor tool zodat ik de mensen die erop zitten in de gaten kan houden.

 

[DDragon80]

Zal waarschijnlijk wel aangepast worden door iemand op het interne netwerk. Mijn mening, plaats een goeie router/firewall ertussen en scherm die modem volledig af. Zowel via het netwerk als fysiek. Gebruik die sitecom router enkel als Access Point. Gaat je wel wat kosten aan hardware, maar dan heb je wel een beter beheer.
Bekijk ook even deze hier: Sophos UTM Home Edition - Sophos products - Sophos
Ik heb hiervoor een ITX samengesteld met een dual core Intel Atom CPU, 2GB geheugen en een 2.5" 80GB Sata HDD. Dit in een ITX casing voor wallmount montage. Heeft me 300EUR gekost denk ik en heeft de mogelijkheden van een dure enterprise UTM die minstens 1000EUR kost.
Hier een screenshot van deze Sophos (ASGv8), firewall settings.

 

[Btech]

ik moet een gratis manier vinden. ik beheer het netwerk wel maar als het netwerk van binnenuit wordt aangevallen dan laat ik de schuldige er ook voor betalen. maar ik maak me zorgen om het feit dat ik weer een waarschuwing krijg van mijn provider (die ik tevens niet mag omruilen voor een betere) dat er teveel illegale dingen gebeuren, want ik krijg natuurlijk de schuld als beheerder.
als de situatie nou anders lag en ik zowel de provider als de hardware binnen het netwerk mocht kiezen en beheren dan zou ik er wel wat geld in steken.

en zover ik weet is het probleem aan tele2 zijn modem te danken. want door een of andere lek kom je heel erg gemakkelijk in die davolink modem en van daar uit naar mijn sitecom router die wel wat beter beschermt is. op de davolink modem is tevens geen controle en daardoor kan ik moeilijk apparaten blokkeren of detecteren.

 

[DDragon80]

Gebruik dan de mogelijkheden van die sitecom router. Meestal zit er wel een primitieve firewall op, genoeg om outbound traffic in te dijken. Geen admin access naar die modem/router van intern je netwerk, tenzij je een fysieke connectie maakt aan het toestel. Scherm dus poort 80 (http), 443 (https) en 22 (ssh) sowieso af. Gebruik NAT op je sitecom naar intern (ander segment/netwerk) zodat port forwarding op je modem/router geen zin heeft.

 

[Btech]

@ddragon80
wat voor behuizing heb je gekozen voor je itx? ik kan namelijk met moeite een itx behuizing vinden waarbij ik een extra netwerkkaart kan aansluiten.

 

[DDragon80]

@ddragon80
wat voor behuizing heb je gekozen voor je itx? ik kan namelijk met moeite een itx behuizing vinden waarbij ik een extra netwerkkaart kan aansluiten.

BlackBox Vented Mini/ITX case | 5658
Hier zijn wel meer leuke casings te vinden. Maar deze had een goede ventilatie, muurmontage en de mogelijkheid dus om een extra slot te installeren (wel via een riser kaartje voor parallelle montage met je mainboard)

 

[Btech]

heb ook wel een goede casing gevonden en ik gebruik ook een riser kaartje voor hem te monteren maar ik dacht dat er een wat fijnere oplossing voor was. deze lijkt wat losjes.
ik ben hem van plan in de kelder neer te zetten. mijn modem was jammer genoeg ook daar geplaatst dus ik heb weinig keuze
het temperatuur daar is goed voor de extra koeling op systemen, mijn NAS en Pogoplug zitten daar ook alleen mijn router zit net een verdieping hoger.

 

[DDragon80]

Je moet wel erg voorzichtig zijn met electronica te plaatsen in een kelder omwille van de doorgaans hogere vochtigheidsgraad. Dit kan op langere termijn voor oxidatie zorgen op je printen. Maw, de levensduur gaat erop achteruit.

 

[Btech]

ik heb momenteel geen keuze. zit nog steeds in het ouderlijk huis en kan/mag geen kabels trekken dus moet alles rondom mijn modem zetten. ben pas begin augustus 2013 op mezelf en dan kan ik zorgen voor een betere omgeving.
en de kelder is totaal geïsoleerd en het vochtigheidsgraad is minimaal/verholpen.
mijn nas en pogoplug staan er ook al een jaar of 2. de nas 1 jaar en de pogoplug 2 jaar. en heb alleen last van wat dode spinnen als ik ze open maak voor de rest nergens enige teken van kwaliteits verlies/ kortere levensduur. dus dat extra klein jaartje zal ook niet veel uitmaken.