Tipps zu WPAD/Netzüberwachung (war: Re: Treffen im Testzentrum am Sonntag)

To: user@skolelinux.de
Subject: Tipps zu WPAD/Netzüberwachung (war: Re: Treffen im Testzentrum am Sonntag)
From: Alexander Schaber <lists@alexanderschaber.de>
Date: Mon, 26 Mar 2007 18:31:02 +0200
Message-id: <[🔎] 200703261831.02528.lists@alexanderschaber.de>
In-reply-to: <[🔎] 20070322123836.GZ29563@gnu-tec.de>
References: <[🔎] 20070322123836.GZ29563@gnu-tec.de>

Am Donnerstag, 22. März 2007 schrieb Kurt Gramlich:
> Welche Dienste sollen wir fuer die Ueberwachung des Betriebes
> nutzen?
> - nagios,munin,calamaris,arpwatch,logcheck, smartd
> - wie sichern wir die Rechner gegen Angriffe von aussen
>   file2ban, iptables, zweiter ssh daemon mit allowed users ...
> - wie ueberwachen wir die Windosen
>   vnc, wie richten wir netlogon und wpat.dat ein

Für uns hat sich cacti [1] sehr bewährt, ein einfacher SNMP Deamon liefert 
genug Informationen (bei Bedarf auch über Windows PCs). 

Auch würde ich logdigest [2] empfehlen. Logdigest filtert aus den Logs 
bestimmte, selbst definierbare Muster heraus und schickt den Rest z.B. per 
Mail an den Administrator. Auf diese Art und Weise bleiben irrelevante Logs 
versteckt und nur das Wichtige bzw. logdigest unbekannte kommt durch.

Bezüglich WPAD ist es ratsam so wenig wie Möglich auf DNS abfragen zu setzen. 
Daher würde ich folgende "Strategie" vorschlagen: Erst versuchen ohne DNS 
auszukommen, dann lokalen DNS und erst dann eventuell einen externe DNS 
Abfragen starten (am besten auf das Letzte verzichten).

<wpad.dat>
function FindProxyForURL(url, host)
{
        if      (isPlainHostName (host)  /* ->1 */
        ||      dnsDomainIs(host, ".xyz.lan") /* ->2 */
        ||      isInNet (host, "192.168.0.0", "255.255.0.0")) /* ->3 */
                return "DIRECT";
        else
                return "PROXY proxy.xyz.lan:3128; SOCKS proxy.xyz.lan:1080";
}
</wpad.dat>
1. Der Host hat keine Domain angehangen bekommen. (z.B. http://proxy)
2. Die Domain der Adresse == <lokale Domain> ist (lokale DNS Abfrage)
3. Der angesprochende Host irgendwo zwischen: 192.168.0.0-192.168.255.255 (in 
diesem Bereich befinden sich unsere lokalen Netze) (lokale reverse DNS 
Abfrage)

Auf diese Art und Weise wird bei uns komplett vermieden, externe DNS Anfragen 
zu starten. Dies spart vor allem Zeit.

Der SOCKS Proxy ist z.B. für Thunderbird, welches genauso wie Firefox den 
Proxy automatisch erkennen kann und dann, da es nicht durch einen HTTP Proxy 
hindurch arbeiten kann automatisch den SOCKS Proxy nimmt, dieser ist 
allerdings so konfiguriert, dass er keine HTTP Anfragen durchlässt, sodass 
kein Schlupfloch entsteht.

Zu guter Letzt ist ein symlink von proxy.pac auf wpad.dat sinnvoll, da manche 
ältere Programm noch danach suchen.

Bezüglich der Apache Einstellungen ist folgendes zu beachten:
Eventuell muss in den Mime Einstellungen des Apache folgendes hinzugefügt 
werden:
<mime.types>
application/x-ns-proxy-autoconfig     dat
</mime.types>

> Viele Gruesse/Regards
> Kurt

[1] http://www.cacti.net/
[2] http://www.cmdline.net/logdigest/ 
-- 
Gruß
 Alexander Schaber
 http://www.alexanderschaber.de
 GPG fingerprint = E61B 2945 512E 9DF4 69C3 20F5 0FA7 48BF 9413 40D8

Reply to:

References:
- Treffen im Testzentrum am Sonntag
  - From: Kurt Gramlich <kurt@skolelinux.de>

Prev by Date: Nach Anmeldung der Thinclients bleibt beim Laden von KDE Bilschirm grau
Next by Date: italc kann keine Verbindung aufbauen
Previous by thread: Treffen im Testzentrum am Sonntag
Next by thread: Hilfe bei der Uebersetzung
Index(es):
- Date
- Thread