Um den HTTP-Verkehr nach URL zu protokollieren, können Sie zwei Methoden verwenden:
1) Inline: SQUID-Proxy verwenden Sie können einen transparenten Inline- Squid-Proxy einrichten, um den Web-Verkehr zu prüfen und weiterzuleiten. Dies funktioniert, indem der Proxy mit einer Firewall kombiniert wird, die den Datenverkehr zu den Proxy-Ports umleitet. Eine Basisversion dieses Setups finden Sie hier .
Für kompliziertere Setups kann das Cisco WCCP-Protokoll (Web Cache Communications Protocol) den Datenverkehr direkt von einem Router an Ihren Proxy (über GRE-Tunnel) weiterleiten, sodass der Router den Datenverkehr handhaben kann, ohne sich mit iptables befassen zu müssen. Diese Methode funktioniert auch für kommerzielle Systeme wie BlueCoat. Ein Beispiel .
2) Passiv: Bro IDS - Wenn Sie nur Websites protokollieren möchten, anstatt Websites zu filtern, möchten Sie vielleicht BroIDS anstelle eines vollständigen Proxy-Servers überprüfen. In diesem Fall richten Sie einen Server entweder über ein Netzwerk oder einen Port zwischen Router oder Switch ein. Dann sieht das IDS den gesamten Verkehr und generiert Protokolle. Beispiel-Bro-Protokolle sehen so aus .
Um die Einrichtung zu vereinfachen, können Sie ein System wie Security Onion als schlüsselfertige Lösung zum Einrichten von BroIDS oder eine der vorkonfigurierten Distributionen für Squid verwenden .