Idee zur Trafficüberwachung gesucht

[factorx]

Hallo,

ich würde gerne in meinem Netzwerk ein Programm wie ntop zur Trafficüberwachung verwenden. Leider fällt mir zur Zeit kein intelligenter Weg ein, wie ich alle Rechner gleichzeitig überwachen kann. Meine momentane Infrastruktur sieht in etwa so aus:

                   |
             +-----------+
             | M o d e m |
             +-----------+
                   |
                   |
               WAN-Netz (84.61.0.0/16) ...
                   |
            +-------------+
            | R o u t e r |
            +-------------+
               |       |
               |       |
               |       +--- WLAN-Netz (192.168.2.0/24)
               |
               +--- LAN-Netz (192.168.1.0/24)

Im Netzwerk 192.168.1.0/24 steht ein Unix-Rechner bereit, auf dem ich das ntop laufen lassen könnte. Leider unterstützt mein Router allerdings keinen Mirror-Port, so dass ich den gesamten Netzwerktraffic nicht über diesen an den Server zur Auswertung weiterleiten kann. Auch per ARP-Cache Poisoning kann ich nicht den ganzen Netzwerkverkehr durch den Server leiten, da er im 192.168.1.0/24er Netz ist, und somit den ARP-Speicher der Rechner im WLAN-Netz nicht manipulieren kann.

Ich möchte auf keinen Fall einen weiteren Rechner einsetzen, und auf dem Router ließe sich entsprechende Trafficüberwachungssoftware nicht installieren, da er ein Embedded System mit begrenztem Speicher ist.

Habt ihr vielleicht irgendwelche Ideen?

 

[SkydiverBS]

Hallo!

Ich hab spontan schon so die ein oder andere Idee, allerdings müsstest du uns erstmal sagen was für einen Router du einsetzt, damit wir wissen wie dort die Konfiguration aussieht und was man da einstellen kann.

Gruß,
Philip

 

[factorx]

Der Router ist ein WRAP mit m0n0wall als Betriebssystem. Wie aus der Grafik zu entnehmen ist, besitzt er drei Netzwerkschnittstellen.

 

[ulf]

moin factorx,

ich denke der Router ist per SNMP zu erreichen oder?
du kannst bestimmt die interfaces per snmp pollen und die daten mit
tools einsammeln die auf die rrdtools aufsetzten so wie z.B. cacti, cricket
oder mrtg, dataGrapher oder aehnliche frontends.

falls der router kein snmp unterstuetzt (was ich nicht glaube) wird es ein bischen schwieriger.
man koennte aber den traffic der rechner im LAN-Netz moeglicherweise ueber den switch
abgreifen an dem die haengen, vorrausgesetzt der switch unterstuetzt snmp.

ansonsten bleibt noch die unschoene moeglichkeit auf allen clients in beiden netzen
jeweils einen snmp deamon zu installieren und diese direkt zu pollen.
das haette den vorteil das man gleich noch andere daten der clients ueberwachen kann
wie z.B. plattenplatz, temperatur usw. (snmp deamons gibt es fuer alle betriebssysteme soweit ich weiss)
mit saemtlichen oben genannten rrd frontends kann man recht einfach summarys aus
mehreren graphen erstellen.

gruss ulf

 

[factorx]

Aber klar, SNMP!
Natürlich kann er das. Dass ich darauf nicht gekommen bin - Asche auf mein Haupt.

Danke für die hilfreichen Ratschläge, ulf. Werde das mal probieren.