Tipps zu WPAD/Netzüberwachung (war: Re: Treffen im Testzentrum am Sonntag)
Am Donnerstag, 22. März 2007 schrieb Kurt Gramlich:
> Welche Dienste sollen wir fuer die Ueberwachung des Betriebes
> nutzen?
> - nagios,munin,calamaris,arpwatch,logcheck, smartd
> - wie sichern wir die Rechner gegen Angriffe von aussen
> file2ban, iptables, zweiter ssh daemon mit allowed users ...
> - wie ueberwachen wir die Windosen
> vnc, wie richten wir netlogon und wpat.dat ein
Für uns hat sich cacti [1] sehr bewährt, ein einfacher SNMP Deamon liefert
genug Informationen (bei Bedarf auch über Windows PCs).
Auch würde ich logdigest [2] empfehlen. Logdigest filtert aus den Logs
bestimmte, selbst definierbare Muster heraus und schickt den Rest z.B. per
Mail an den Administrator. Auf diese Art und Weise bleiben irrelevante Logs
versteckt und nur das Wichtige bzw. logdigest unbekannte kommt durch.
Bezüglich WPAD ist es ratsam so wenig wie Möglich auf DNS abfragen zu setzen.
Daher würde ich folgende "Strategie" vorschlagen: Erst versuchen ohne DNS
auszukommen, dann lokalen DNS und erst dann eventuell einen externe DNS
Abfragen starten (am besten auf das Letzte verzichten).
<wpad.dat>
function FindProxyForURL(url, host)
{
if (isPlainHostName (host) /* ->1 */
|| dnsDomainIs(host, ".xyz.lan") /* ->2 */
|| isInNet (host, "192.168.0.0", "255.255.0.0")) /* ->3 */
return "DIRECT";
else
return "PROXY proxy.xyz.lan:3128; SOCKS proxy.xyz.lan:1080";
}
</wpad.dat>
1. Der Host hat keine Domain angehangen bekommen. (z.B. http://proxy)
2. Die Domain der Adresse == <lokale Domain> ist (lokale DNS Abfrage)
3. Der angesprochende Host irgendwo zwischen: 192.168.0.0-192.168.255.255 (in
diesem Bereich befinden sich unsere lokalen Netze) (lokale reverse DNS
Abfrage)
Auf diese Art und Weise wird bei uns komplett vermieden, externe DNS Anfragen
zu starten. Dies spart vor allem Zeit.
Der SOCKS Proxy ist z.B. für Thunderbird, welches genauso wie Firefox den
Proxy automatisch erkennen kann und dann, da es nicht durch einen HTTP Proxy
hindurch arbeiten kann automatisch den SOCKS Proxy nimmt, dieser ist
allerdings so konfiguriert, dass er keine HTTP Anfragen durchlässt, sodass
kein Schlupfloch entsteht.
Zu guter Letzt ist ein symlink von proxy.pac auf wpad.dat sinnvoll, da manche
ältere Programm noch danach suchen.
Bezüglich der Apache Einstellungen ist folgendes zu beachten:
Eventuell muss in den Mime Einstellungen des Apache folgendes hinzugefügt
werden:
<mime.types>
application/x-ns-proxy-autoconfig dat
</mime.types>
> Viele Gruesse/Regards
> Kurt
[1] http://www.cacti.net/
[2] http://www.cmdline.net/logdigest/
--
Gruß
Alexander Schaber
http://www.alexanderschaber.de
GPG fingerprint = E61B 2945 512E 9DF4 69C3 20F5 0FA7 48BF 9413 40D8
Reply to: