Como posso saber se alguém copia arquivos através da VPN

3

Se alguém estiver conectado através da VPN em um servidor, é possível saber se ele está copiando e colando arquivos (do servidor no computador) dentro de uma sessão de Conexão de Área de Trabalho Remota?

malakrsnaslava
fonte
Se você controla o servidor VPN, pode observar a largura de banda na porta RDP para adivinhar. Você pode desativar a transferência de arquivos no servidor de terminal, bem ...
Alec Istomin

Respostas:

2

Se alguém estiver conectado via VPN à sua rede, ele age como se estivesse na Rede Local. Portanto, a principal questão é:

Podemos saber se alguém está copiando um arquivo da LAN?

Teoricamente, deve haver uma maneira de filtrar isso com um programa chamado Wire Shark (ou similar)


O que você deve fazer é filtrar o tráfego NFS:

Filtro de exibição

Uma lista completa dos campos de filtro de exibição do NFS pode ser encontrada na referência do filtro de exibição

Mostre apenas o tráfego NFS:
nfs

Você não pode filtrar diretamente o NFS durante a captura. No entanto, se você souber a porta usada (veja acima), poderá filtrar por essa.

Capture NFS traffic over the default port (2049)

https://wiki.wireshark.org/Network_File_System


Edit :
Encontrei uma resposta mais aprofundada aqui no Superusuário que confirma e completa minha teoria:

Como registrar o tráfego que está dentro de uma VPN?


Após algumas pesquisas, descobri que existe um software mais ideal para esse fim, chamado Microsoft Network Monitor

COMO: Capturar tráfego de rede no servidor VPN

Recomendamos o uso do Microsoft Network Monitor ao capturar tráfego de rede no servidor VPN, pois o Network Monitor parece ser melhor para interceptar todo o tráfego do filtro do servidor VPN.

O Wireshark parece apenas capturar pacotes enviados ao servidor VPN e não a partir do servidor VPN.

O formato do arquivo de captura do Network Monitor pode ser usado pelo Wireshark para que a captura possa ser visualizada usando o Wireshark, se você preferir.


Guia rápido do Monitor de rede

Crie um arquivador de exibição para um endereço IP específico:

- na guia Capturar - na janela Filtro de exibição - selecione Filtro de carga -> Filtros padrão -> Endereços -> Endereços IPv4 - modifique "IPv4.Address ==" para o endereço em que você está interessado e pressione Aplicar

Para mostrar endereços IP, não nomes de host em capturas:

- na guia Capturar - na janela Resumo do quadro - selecione Colunas -> Escolha colunas ... - substitua "Origem" por "Endereço de rede de origem" e "Destino" por "Endereço de rede de destino"

Divin3
fonte
AFAIK, os túneis da VPN são criptografados, portanto o WireShark não fará muito nesse caso.
NKn 8/09/2015
@nkn - Se eu estiver certo, a VPN só será criptografada enquanto estiver na Internet.
Divin3 08/09/2015