¿Qué router permite ver el log de web visitadas? ¿Alguna otra solución?

jpablogg · 11 Abril 2021, 17:41 PM

Cita de: Serapis en 11 Abril 2021, 16:24 PM
No existe.
En el diseño de un router, no se contempla almacenar el historial de sitios visitados. entre otras cosas, porque requiriría una memoria adicional que encarecería el aparato y además exigiría una gestión de la misma que a buen seguro consumiría muchos recursos. Lo limitan a bloquear Ips (seguramente de tamaño limitado) y a un breve historial de los bloqueos (eso sí suele permitir enviar el historial a un correo, para que el peso de mantener los ficheros recaiga en ti).

Hay un programa que cumple tus requisitos casi exactamente. Se llama PeerBlock (sucesor de PeerGuardian), que permite registrar (vía driver), las IPs (con su puerto) que se conectan a tu equipo, con la opción de poder bloquear listas de IPs, sueltas o por rango. (adjunto una captura más abajo).
Pero considera que un sitio web, puede tener una sola IP o recibir procedente de ella, muchas otras IPs (por ejemplo para cargar una imagen presentada ahí, pero alojada en otra web), por lo que tampoco quedaría como a tí te gustara, eso sí, permite guardar el historial acotando el tiempo que se almacena, el tamaño destinado , etc... y al tiempo te sirve para bloquear o permitir el flujo desde ciertas direcciones (ponerse tonto bloqueando a diestro y siniestro, tiene por resultado bloquearte el acceso a internet, por lo que es importante saber qué se hace).

https://en.wikipedia.org/wiki/PeerBlock

Gracias por la ayuda.

Para el ordenador sí que hay opciones, pero para la tablet/móvil no.
El problema viene cuando se conectan con la Tablet, ¿cómo puedo almacenar el historial web de la tablet?

El router asus que tengo guarda el HISTORY Web, pero solo el dominio, nada de la web visitada.

Gracias de nuevo.

Danielㅤ · 11 Abril 2021, 18:13 PM

Para el móvil podes usar alguna aplicación que haga esa tarea, por ejemplo si desde el móvil podes acceder al listado de IPs visitadas, entonces podrías usar -o crear- una aplicación que haga un DNS a todas esas IPs y te las muestre en por ejemplo un ListBox todos los nombres de las páginas web:

Saludos

AlbertoBSD · 11 Abril 2021, 19:21 PM

IDS, IDS es la respuesta, se puede configurar un sistema con snort para realizar ese trabajo.

jpablogg · 11 Abril 2021, 19:38 PM

Cita de: AlbertoBSD en 11 Abril 2021, 19:21 PM
IDS, IDS es la respuesta, se puede configurar un sistema con snort para realizar ese trabajo.

Sobre lo que me comentas no tengo ni idea.

Es algo parecido a lo que hace Pi-Hole con una raspberry-pi?

En resumen:
- Yo tengo los dominios visitados (me los proporciona el router).
- Me gustaría tener las URL (más precisión aún que con el dominio).

AlbertoBSD · 11 Abril 2021, 19:53 PM

Cita de: jpablogg en 11 Abril 2021, 19:38 PM
Sobre lo que me comentas no tengo ni idea.

Busca en google que es un IDS

Cita de: jpablogg en 11 Abril 2021, 19:38 PM
Es algo parecido a lo que hace Pi-Hole con una raspberry-pi?

No los he usado, tengo que leer que son y como se utilizan, lo cual voy a hacer en un momento mas.

Cita de: jpablogg en 11 Abril 2021, 19:38 PM
- Me gustaría tener las URL (más precisión aún que con el dominio).

El IDS puede hacer perfectamente eso para paginas por HTTP, por HTTPS ya no será posible por que la información viaja Cifrada, podrás ver todo el trafico cifrado, pero hasta ahi no mas.

Te recomendaria leer un poco mas sobre como china espia a sus ciudadanos y bloquea paginas web con con TSL1.3 y ESNI

https://unaaldia.hispasec.com/2020/08/china-esta-bloqueando-el-trafico-https-con-tls-1-3-y-esni.html

Saludos!

jpablogg · 17 Abril 2021, 19:21 PM

Cita de: AlbertoBSD en 11 Abril 2021, 19:53 PM
Busca en google que es un IDS

No los he usado, tengo que leer que son y como se utilizan, lo cual voy a hacer en un momento mas.

El IDS puede hacer perfectamente eso para paginas por HTTP, por HTTPS ya no será posible por que la información viaja Cifrada, podrás ver todo el trafico cifrado, pero hasta ahi no mas.

Te recomendaria leer un poco mas sobre como china espia a sus ciudadanos y bloquea paginas web con con TSL1.3 y ESNI

https://unaaldia.hispasec.com/2020/08/china-esta-bloqueando-el-trafico-https-con-tls-1-3-y-esni.html

Saludos!

Buenas tardes, Ya he visto lo que es un IDS y he visto algunos vídeos sobre SNORT. La verdad es que está muy bien de cara a controlar lo que pasa por tu red (ahora falta aprender a usarlo y entender lo que hay que tocar...).

¿Tendría que descargar las reglas de la web de snort? o tendría que crear mis propias reglas?
Creo que tendría que ser la segunda opción, ¿verdad?

He probado con wireshark, pero me captura solo el tráfico de mi pc y no de otros host de la red. En wireshark vero que puedo filtar por la dirección ip y por protocolo.

Muchas gracias por la ayuda.

AlbertoBSD · 19 Abril 2021, 14:55 PM

Cita de: jpablogg en 17 Abril 2021, 19:21 PM
He probado con wireshark, pero me captura solo el tráfico de mi pc y no de otros host de la red. En wireshark vero que puedo filtar por la dirección ip y por protocolo.

Para hacer que capture todo el trafico de red tienes que cambiar un poco la estructura de RED de donde estas, lo que se puede hacer es colocar un PC queño o grande depéndiendo de la catidad de recursos que tengas disponible, se trata de colocar este PC detras del router principal y hacer que todo el trafico de red pase primero por ese PC/Servidor y este saque el trafico al Router de principal.

Snort esta hecho principalmente para 2 Cosas sniffear trafico para diagnosticar si algo esta mal en la misma RED, y para Alertar sobre posibles paquetes sospechosos segun las reglas. Yo solo lo he utilizado para lo primero.

Si lo que quieres es una lista completa de que IP visito que pagina, tal ve si sea necesario crear las reglas manualmente he buscado pro si ya hay algo hecho como eso y no encuentro nada.

Se podria solo guardar trafico con destino a los puertos 80,443 y tal vez 8080 o algun otro puerto relacionado con trafico WEB.

En la siguiente pagina https://www.linuxtoday.com/blog/network-monitoring-with-snort.html

menciona lo siguiente:

CitarIf you want to monitor all network traffic, but don't want to sit glued to the screen, you can have Snort send its output to a log file instead. The -l option takes a log file directory as a parameter. You may also want to pass the -h option, which tells Snort the address of the home network. For example, the command

# snort -l /var/log/snort -h 192.168.1.0/24

creates a series of subdirectories under /var/log/snort, one for each IP address. These directories hold files named after the port numbers involved in a data transfer. For instance, /var/log/snort/192.168.1.3/TCP:54749-22 holds information on packets originating from port 54749 on host 192.168.1.3 and directed at port 22. This arrangement can help you track specific types of information. For instance, if you suspect a person who uses a particular computer is up to no good, you can monitor that system's traffic while ignoring other systems.

One disadvantage of logging everything, of course, is that the log files are likely to grow unmanageably large very quickly. Performing logging in this way may be helpful when diagnosing network problems, though. For instance, you can monitor the exchange of data between computers if a network protocol isn't working as you expect, then shut down Snort when you're done.

For ongoing security monitoring, you'll probably use Snort as a NIDS, and this use requires you to configure the system to log far less data.

Entonces loguear todo el trafico de esos puertos puede generar mucho trafico, tal vez con las reglas se pueda hacer que solo guarde cierta metadata pero con las reglas no tengo mucha experiencia.

Otra sugerencia seria utilizar squid proxy configurado de forma transparente.

https://plataforma.josedomingo.org/pledin/cursos/servicios2008/doc/Proxy_transparente_con_squid_e_iptables

Creo que también tiene opción de generarte logs de trafico, además de poder restringir paginas.

Saludos

jpablogg · 19 Abril 2021, 15:48 PM

@AlbertoBSD

Gracias por la ayuda. Seguiré investigando.

He visto alguno sistemas de control parental. Creo que lo que hacen es cambiar los servidores dns por los suyos, así monitorizan todas las web visitadas.

¿Sería más sencillo algo así? Es decir, cambiar los DNS de mi router por los de alguna aplicación q corra dentro de casa y que primero pasen por dicha aplicación para monitorizar el tráfico web?

Gracias de nuevo.

AlbertoBSD · 19 Abril 2021, 16:02 PM

Soluciones hay varias, el tema de los DNS si puede funcionar, sin embargo también seria fácil saltárselo.

Tambien ten en cuenta que muchos navegadores modernos ya están implementando DNS over HTTPS de forma nativa o de facil activacion, esto es lo siguiente el mismo navegador realiza una consulta DNS atreves de HTTPS (Cifrado TLS 1.3 ESNI) y la petición DNS no la vería el Servidor DNS de control parental.

Pero todo seria cuestión de probar las opciones fáciles hasta que encuentres tu configuración adecuada.

Saludos!

jpablogg · 19 Abril 2021, 16:08 PM

Cita de: AlbertoBSD en 19 Abril 2021, 16:02 PM
Soluciones hay varias, el tema de los DNS si puede funcionar, sin embargo también seria fácil saltárselo.

Tambien ten en cuenta que muchos navegadores modernos ya están implementando DNS over HTTPS de forma nativa o de facil activacion, esto es lo siguiente el mismo navegador realiza una consulta DNS atreves de HTTPS (Cifrado TLS 1.3 ESNI) y la petición DNS no la vería el Servidor DNS de control parental.

Pero todo seria cuestión de probar las opciones fáciles hasta que encuentres tu configuración adecuada.

Saludos!

¿Qué programas tendría q buscar para hacerlo así? El concepto lo entiendo, pero no sé por dónde buscar...

Gracias.