Источник Хабрахабр.ru, Москва
Заголовок Мой MikroTik – моя цифровая крепость (часть 3)
Дата 20210915

Этим цветом    обозначаются известные системе слова и выражения, принимавшие участие в анализе данного текста, а таким    - идентифицированные, то есть соотнесенные с каким-либо объектом онтологической базы

============= Обработанный текст:

Мой MikroTikмоя цифровая крепость (часть 3)

Мой MikroTikмоя цифровая крепость (часть 3)

Блог компании RUVDS.com Информационная безопасность• Информационные технологии » Информатика » Защита информации » Информационная безопасность * Сетевые технологии *

Статья является продолжением первой и второй частей, посвященных организации
практической безопасности сетей, построенных на оборудовании MikroTik. Ранее
были рассмотрены общие рекомендации, безопасность уровней L1, L2 и L3. Настало
время показать варианты реализации централизованного логирования. Поехали!

9. Централизованное логирование Rsyslog

Регулярный анализ логов – важная задача в поддержании должного уровня
информационной безопасности• Информационные технологии » Информатика » Защита информации » Информационная безопасность. Каждый раз заходить на MikroTik-и и
просматривать, что же там новенького, с учетом удаления старых записей, совсем
неинтересно, поэтому важно собирать все в едином месте. Со стороны RouterOS
это делается просто:

/system logging add action=remote topics=critical add action=remote
topics=error add action=remote topics=info add action=remote topics=warning
/system logging action set 3 remote=10.0.0.10

«3» означает формат отправляемых сообщений Syslof facility daemon (бывает еще
auth, authpriv, cron, daemon, ftp, kern, local0, local1, local2, local3,
local4, local5, local6, local7, lpr, mail, news, ntp, syslog, user, uucp),
10.0.0.10 – это адрес лог коллектора. В качестве него будем использовать
Rsyslog , системные требования• Информационные технологии » Информатика » Программирование » Программное обеспечение » Системные требования

• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Системные требования

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Системные требования
минимальны. Здесь остановимся подробнее и
немного отвлечемся от темы. С учетом того, что сетевая инфраструктура может
быть мультивендорная, то, возможно, в качестве первичного коллектора нельзя
будет выбрать устройство за пределами вашей LAN• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть: либо не будет необходимых
протоколов VPN или служб логирования, либо сложности с маршрутизацией• Телекоммуникации и связь » Компьютерная сеть. Поэтому
для начала сделаем так:

apt install rsyslog vi /etc/rsyslog.conf #provides UDP syslog reception
module(load="imudp") input(type="imudp" port• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » TCP/IP » Tcp-порт="514") if $fromhost-ip ==
'192.168.1.1' then { /var/log/mikrotik.log *.* @192.168.15.29:2000 } if
$fromhost-ip == '192.168.1.14' then { /var/log/cisco.log *.*
@192.168.15.29:2001 }

В качестве транспортного протокола выбран не шифрованный UDP, порт• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » TCP/IP » Tcp-порт 514.
Сообщения от роутера MikroTik (IP адрес 192.168.1.1) будут сохраняться на
коллекторе в файле /var/log/mikrotik.log , а также ретранслироваться по UDP на
коллектор второго уровня на порт• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » TCP/IP » Tcp-порт 2000. Сообщения от роутера, например, Cisco
(IP адрес 192.168.1.14) будут сохраняться на коллекторе в файле
/var/log/cisco.log , а также ретранслироваться по UDP на коллектор второго
уровня на порт• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » TCP/IP » Tcp-порт 2001. Гонять логи по открытому каналуплохая идея, ведь по
ним можно установить полную карту вашей сети, найти в ней слабые места или
даже изъяны в информационной безопасности• Информационные технологии » Информатика » Защита информации » Информационная безопасность. Поэтому передачу вложим в закрытый
VPN туннель. Особых требований к ресурсам сервера• Телекоммуникации и связь » Компьютерная сеть » Серверы не предъявляются, поэтому
для тестов можно использовать самый простой VPS :

Коллектор второго уровня будет собирать логи со всей администрируемой сети и
ориентироваться по доменному имени устройства, сохраненного коллектором
первого уровня:

vi /etc/rsyslog.conf module(load="imudp") input(type="imudp" port• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » TCP/IP » Tcp-порт="514")
$UDPServerAddress 192.168.15.41 if $source == 'cisco.lan• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть' then {
/var/log/cisco.log } if $source == 'router.lan• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть' then { /var/log/mikrotik.log }
systemctl restart rsyslog

В качестве переменных можно использовать:

msgтело сообщения;

hostnameимя хоста, отправившего сообщение;

sourceалиас hostname (как показано в примере);

fromhost – имя хоста, от которого было получено сообщение;

fromhost-ipто же самое, что и fromhost, только всегда ip-адрес;

programname – имя программы;

syslogfacility – источник лог сообщения в форме цифры;

syslogfacility-textисточник лог сообщения в текстовой форме;

syslogseverity – уровень важности в цифровом виде;

syslogseverity-textуровень важности в текстовом виде;

priисточник и приоритет в виде числа;

pri-textисточник и приоритет в текстовом формате• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Форматы данных » Формат файла » Форматы Текстовых Документов » Текстовый Формат Unix

• Информационные технологии » Информатика » Программирование » Программное обеспечение » Форматы данных » Формат файла » Форматы Текстовых Документов » Текстовый Формат Unix

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Форматы данных » Формат файла » Форматы Текстовых Документов » Текстовый Формат Unix
;

timegenerated – время, когда сообщение было получено.

Это скелет нашей модели, настало время нарастить его мышцами. Гонять открытые
логи даже по шифрованному VPN туннелю тоже не стоит, ведь и его кто-то где-то
может прослушивать. Поэтому организуем передачу по TLS протоколу, вместо
применяемого ранее UDP. Первым делом подготовим ключи и сертификаты:

apt install gnutls-bin rsyslog-gnutls

Центр сертификации• Информационные технологии » Информатика » Защита информации » Криптография » Центр сертификации:

certtool --generate-privkey --outfile /var/keys/ca-key.pem certtool
--generate-self-signed --load-privkey /var/keys/ca-key.pem --outfile
/var/keys/ca.pem Common name: ca The certificate will expire in (days): 3650
Does the certificate belong to an authority? (y/N): y Will the certificate be
used to sign other certificates? (y/N): y Is the above information ok? (Y/N):
y

Клиентский ключ:

certtool --generate-privkey --outfile /var/keys/rslclient-key.pem --bits 2048
We will generate now the certification request ---> TLS CLIENT Common name:
client.log.your_dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS_name.ru Will the certificate be used for signing (DHE and
RSA-EXPORT ciphersuites)? (Y/n): N Is this a TLS web client certificate?
(y/N): y Is this also a TLS web server certificate? (y/N): y

Клиентский сертификат:

certtool --generate-request --load-privkey /var/keys/rslclient-key.pem
--outfile /var/keys/request.pem Common name: client.log.your_dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS_name.ru Does
the certificate belong to an authority? (y/N): n Will the certificate be used
for signing (DHE and RSA-EXPORT ciphersuites)? (Y/n): N Is this a TLS web
client certificate? (y/N): y Is this also a TLS web server certificate? (y/N):
y

Подпись клиентского сертификата:

certtool --generate-certificate --load-request /var/keys/request.pem --outfile
/var/keys/rslclient-cert.pem --load-ca-certificate /var/keys/ca.pem
--load-ca-privkey /var/keys/ca-key.pem The certificate will expire in (days):
365 Will the certificate be used for signing (DHE and RSA-EXPORT
ciphersuites)? (Y/n): N Is this a TLS web client certificate? (y/N): y Is this
also a TLS web server certificate? (y/N): y rm /var/keys/request.pem

Серверный ключ (2048 бит нам вполне хватит):

certtool --generate-privkey --outfile /var/keys/rslserver-key.pem --bits 2048

Серверный сертификат:

certtool --generate-request --load-privkey /var/keys/rslserver-key.pem
--outfile /var/keys/request.pem Common name: log.your_dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS_name.ru Enter a
dnsName of the subject of the certificate: log.your_dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS_name.ru Will the
certificate be used for signing (DHE and RSA-EXPORT ciphersuites)? (Y/n): N Is
this a TLS web client certificate? (y/N): y Is this also a TLS web server
certificate? (y/N): y

Подпись серверного сертификата:

certtool --generate-certificate --load-request /var/keys/request.pem --outfile
/var/keys/rslserver-cert.pem --load-ca-certificate /var/keys/ca.pem
--load-ca-privkey /var/keys/ca-key.pem The certificate will expire in (days):
365 Enter a dnsName of the subject of the certificate: log.your_dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS_name.ru
Will the certificate be used for signing (DHE and RSA-EXPORT ciphersuites)?
(Y/n): N Is this a TLS web client certificate? (y/N): y Is this also a TLS web
server
certificate? (y/N): y rm /var/keys/request.pem chmod 644 /var/keys/*
chmod 400 /var/keys/ca-key.pem

Правим конфиг для первичного коллектора. Принимает сообщения от роутеров так
же по UDP (может оказаться единственным универсальным решением для всего
зоопарка), сохраняем в локальные файлы mikrotik.log и cisco.log и
ретранслируем уже по TLS за пределы охраняемого нами периметра на сервер• Телекоммуникации и связь » Компьютерная сеть » Серверы
log.your_dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS_name.ru:

vi /etc/rsyslog.conf module(load="imudp") input(type="imudp" port• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » TCP/IP » Tcp-порт="514")
$DefaultNetstreamDriver gtls $DefaultNetstreamDriverCAFile /var/keys/ca.pem
$DefaultNetstreamDriverCertFile /var/keys/rslclient-cert.pem
$DefaultNetstreamDriverKeyFile /var/keys/rslclient-key.pem
$ActionSendStreamDriverPermittedPeer log. your_dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS_name.ru
$ActionSendStreamDriverMode 1 $ActionSendStreamDriverAuthMode x509/name if
$fromhost-ip == '192.168.1.1' then { /var/log/mikrotik.log *.*
@@log.your_dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS_name.ru:514 } if $fromhost-ip == '192.168.1.14' then {
/var/log/cisco.log *.* @@log.your_dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS_name.ru:514 }

Вносим изменения на вторичном сервере• Телекоммуникации и связь » Компьютерная сеть » Серверы логирования log.your_dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS_name.ru:

vi /etc/rsyslog.conf $ModLoad imtcp $DefaultNetstreamDriver gtls
$DefaultNetstreamDriverCAFile /var/keys/ca.pem $DefaultNetstreamDriverCertFile
/var/keys/rslserver-cert.pem $DefaultNetstreamDriverKeyFile
/var/keys/rslserver-key.pem $InputTCPServerStreamDriverAuthMode anon
$InputTCPServerStreamDriverMode 1 $ActionSendStreamDriverAuthMode x509/name
$ActionSendStreamDriverPermittedPeer * $ActionSendStreamDriverMode 1
$InputTCPServerRun 514 $MaxOpenFiles 2048 if $source == 'cisco.lan• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть' then {
/var/log/cisco.log } if $source == 'router.lan• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть' then { /var/log/mikrotik.log }
systemctl restart rsyslog

Здесь уже, возможно, понадобится траблшутинг для обоих коллекторов. Для этого
можно воспользоваться анализатором сетевых пакетов tcpdump, попробовать
подключиться в нашему серверу• Телекоммуникации и связь » Компьютерная сеть » Серверы извне по TLS, а также просмотреть запущенные
демоны и прослушиваемые ими сетевые интерфейсы и порты• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » TCP/IP » Tcp-порт:

tcpdump -i eth0 -n "dst port• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » TCP/IP » Tcp-порт 514" openssl s_client -connect
graylog.your_dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS_name.ru:514 netstat –tlnp

Подведем промежуточный итог. Программное обеспечение настроили. Логи собираем
в два этапа. Коллектор первого уровня работает внутри защищаемого периметра,
коллектор второго уровня отвечает за всю сеть в целом. Логи просматриваем
примерно так:

cat /var/log/mikrotik.log | grep "login failure" Apr 20 18:21:18 192.168.15.13
system,error,critical login failure for user admin from 192.168.15.5 via
winbox

Результат есть, но админу работать так не хочется, поэтому пойдем еще дальше и
прикрутим в нашу историю красивый, удобный и функциональный интерфейс, а
именно развернем решение на базе Graylog .

10. Централизованное логирование Graylog

В идеале, конечно, архитектура должна быть похожа на рисунок ниже, но мы будем
придерживаться нашей схемы.

Самым простым сервером• Телекоммуникации и связь » Компьютерная сеть » Серверы здесь не обойдешься, рекомендуемый минимум выйдет 1 828
рублей в месяц . Важно отметить, что для развертывания необходимо использовать
архитектуру процессора AMD64:

Приступим к установке и настройке. База данных:

apt install apt-transport-https openjdk-11-jre• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Java » Java Runtime Environment

• Информационные технологии » Информатика » Программирование » Java » Java Runtime Environment

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Java » Java Runtime Environment
-headless uuid-runtime pwgen
dirmngr gnupg• Информационные технологии » Информатика » Защита информации » Криптография » PGP » GnuPG wget wget -qO -
https://www.mongodb.org/static/pgp• Информационные технологии » Информатика » Защита информации » Криптография » PGP/server• Телекоммуникации и связь » Компьютерная сеть » Серверы-4.2.asc | apt-key add - echo "deb• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » GNU » Debian » Deb (формат файлов)

• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » GNU » Debian » Deb (формат файлов)

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » GNU » Debian » Deb (формат файлов)

http://repo.mongodb.org/apt/debian• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » GNU » Debian

• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » GNU » Debian

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » GNU » Debian
buster/mongodb-org/4.2 main" | tee
/etc/apt/sources.list.d/mongodb-org-4.2.list apt update apt install -y
mongodb-org systemctl restart mongod

Elasticsearch:

wget -qO - https://artifacts.elastic.co/GPG• Информационные технологии » Информатика » Защита информации » Криптография » PGP » GnuPG-KEY-elasticsearch | apt-key add -
echo "deb• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » GNU » Debian » Deb (формат файлов)

• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » GNU » Debian » Deb (формат файлов)

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » GNU » Debian » Deb (формат файлов)
https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | tee
-a /etc/apt/sources.list.d/elastic-7.x.list apt update && apt install
elasticsearch-oss tee -a /etc/elasticsearch/elasticsearch.yml > /dev/null• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » UNIX » Fhs » /dev/null

• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » UNIX » Fhs » /dev/null

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » UNIX » Fhs » /dev/null

<<EOT cluster.name: graylog action.auto_create_index: false EOT systemctl
restart elasticsearch

Graylog:

wget
https://packages.graylog2.org/repo/packages/graylog-4.0-repository_latest.deb• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » GNU » Debian » Deb (формат файлов)

• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » GNU » Debian » Deb (формат файлов)

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » GNU » Debian » Deb (формат файлов)

dpkg -i graylog-4.0-repository_latest.deb• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » GNU » Debian » Deb (формат файлов)

• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » GNU » Debian » Deb (формат файлов)

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » GNU » Debian » Deb (формат файлов)
apt update apt install
graylog-server• Телекоммуникации и связь » Компьютерная сеть » Серверы graylog-enterprise-plugins graylog-integrations-plugins
graylog-enterprise-integrations-plugins vi /etc/graylog/server• Телекоммуникации и связь » Компьютерная сеть » Серверы/server• Телекоммуникации и связь » Компьютерная сеть » Серверы.conf
password_secret = verySTRONGsecret!! #pwgen -N 1 -s 96 root_username = RUVDS
root_password_sha2 = 2ce2e630e2…..a81521d0f77efa3fe9bc017 #echo -n
verySTRONGpassword!! | shasum -a 256 http_bind• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » BIND

• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение » BIND

• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » BIND

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » BIND
_address = our_IP_address:9000
http_publish_uri = https://graylog.your_dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS_name.ru:9000/ root_timezone =
Europe/Moscow http_enable_tls = true http_tls_cert_file =
/var/keys/graylog_cert.pem http_tls_key_file = /var/keys/graylog_pkcs8.pem

Генерируем ключи для доступа к web интерфейсу• Телекоммуникации и связь » Компьютерная сеть » Интернет » Веб-программирование » Веб-приложение по TLS:

vi openssl-graylog.cnf [req] distinguished_name = req_distinguished_name
x509_extensions = v3_req prompt = no [req_distinguished_name] C = US ST =
Some-State L = Some-City O = My Company OU = My Division CN = graylog.
your_dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS_name.ru [v3_req] extendedKeyUsage = serverAuth subjectAltName =
@alt_names [alt_names] IP.1 = our_IP_address DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS.1 = graylog. your_dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS_name.ru
openssl req -x509 -days 365 -nodes -newkey rsa:2048 -config
/root/openssl-graylog.cnf -keyout /var/keys/graylog_pkcs5.pem -out
/var/keys/graylog_cert.pem openssl pkcs8 -in /var/keys/graylog_pkcs5.pem
-topk8 -nocrypt -out /var/keys/graylog_pkcs8.pem chmod 644
/var/keys/graylog_pkcs8.pem cp -a "${JAVA• Информационные технологии » Информатика » Программирование » Java

• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Java

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Java
_HOME}/jre• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Java » Java Runtime Environment

• Информационные технологии » Информатика » Программирование » Java » Java Runtime Environment

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Java » Java Runtime Environment
/lib/security/cacerts"
/vat/keys/cacerts.jks cp -a /usr/share/elasticsearch/jdk• Информационные технологии » Информатика » Программирование » Java » Java Development Kit

• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Java » Java Development Kit

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Java » Java Development Kit
/lib/security/cacerts
/var/keys/cacerts.jks keytool -importcert -keystore /var/keys/cacerts.jks
-storepass changeit -alias graylog-self-signed -file
/var/keys/graylog_cert.pem keytool -keystore /var/keys/cacerts.jks -storepass
changeit -list | grep graylog-self-signed -A1 vi /etc/default/graylog-server• Телекоммуникации и связь » Компьютерная сеть » Серверы
GRAYLOG_SERVER• Телекоммуникации и связь » Компьютерная сеть » Серверы_JAVA• Информационные технологии » Информатика » Программирование » Java

• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Java

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Java
_OPTS="...
-Djavax.net.ssl.trustStore=/var/keys/cacerts.jks" systemctl restart
graylog-server• Телекоммуникации и связь » Компьютерная сеть » Серверы

Если все прошло корректно, то можно будет увидеть такой вот web интерфейс• Телекоммуникации и связь » Компьютерная сеть » Интернет » Веб-программирование » Веб-приложение,
протокол HTTPS (graylog.your_dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS_name.ru:9000):

На сайте получаем бесплатную лицензию и вставляем ее в свое приложение• Телекоммуникации и связь » Компьютерная сеть » Серверы (this
Graylog cluster ID is 674E8B34-224…):

Чтобы получать сообщения от первичного коллектора по UDP, необходимо настроить
вводы нашего Graylog, примерно так:

У нас уже все готово для общения по TLS, поэтому просто выбираем
соответствующий режим и заполняем необходимые поля. Как совет, не пытайтесь
перенести веб-морду на 443 порт• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » TCP/IP » Tcp-порт (ни NAT-ом, ни с помощью прокси• Телекоммуникации и связь » Компьютерная сеть » Интернет), столкнетесь
с проблемами на уровне API. В результате просматривать логи стало гораздо
приятнее:

В конечном итоге мы рекомендуем вкладывать получение сообщений от первичного
коллектора по TLS в VPN канал, тогда открытый TCP порт• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » TCP/IP » Tcp-порт не будет светиться в
интернет• Телекоммуникации и связь » Компьютерная сеть » Интернет
, и не будет сохраняться флуд, вроде такого:

Здесь нужно дополнительно рассказать не только о важности и способе, хранении
и анализе логов, но так же и о такой вещи, как развертывание «черного ящика»,
который будет собирать информацию обо всех сетевых соединениях• Телекоммуникации и связь » Компьютерная сеть. Это поможет
восстановить полную хронологию событий, в случае компрометации системы. Мы
рекомендуем использовать для этого протокол netflow .

Активируем его в RouterOS и указываем IP адрес коллектора:

/ip traffic-flow set enabled=yes interfaces=bridge /ip traffic-flow target add
dst-address=192.168.15.1 port• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » TCP/IP » Tcp-порт=1234 version=5

Настраиваем принимающую сторону – netflow коллектор:

mkdir /var/log/flow vi /etc/flow-tools/flow-capture.conf -w /var/log/flow -n
275 -N 3 192.168.15.1/0/1234 systemctl restart flow-capture

Просмотрим получаемую статистику:

flow-cat /var/log/flow/2020/2020-10/*/ft-* | flow-stat Total Flows : 324 Total
Octets : 59866191 Total Packets : 42896 Total Time (1/1000 secs) (flows):
3029440 Duration of data (realtime) : 290 Duration of data (1/1000 secs) :
340200 Average flow time (1/1000 secs) : 9350.1230 Average packet size
(octets) : 1395.6124 Average flow size (octets) : 184772.2031 Average packets
per flow : 132.3951 Average flows / second (flow) : 0.9529 Average flows /
second (real) : 1.1172 Average Kbits / second (flow) : 1408.6162 Average Kbits
/ second (real) : 1651.4812

Непосредственно результаты накопления можно увидеть таким образом:

flow-cat /var/log/flow/2020/2020-10/2020-10-31/ft-v05.2020-10-31.122757+0300 |
flow-export -f 2
1604136477,821825000,103238050,192.168.15.5,1,60,103221520,103221520,0,0,17.248.150.106,192.168.2.254,192.168.2.254,11,10,443,65448,6,104,18,0,0,0,0
1604136477,821825000,103238050,192.168.15.5,17,9395,103219730,103222300,0,0,17.248.150.51,192.168.2.254,192.168.2.254,11,10,443,65446,6,104,18,0,0,0,0
1604136480,821818000,103241050,192.168.15.5,20,8786,103221270,103224760,0,0,17.248.15

Сохраняемые объемы выходят небольшими. Своего рода биллинг сетевых соединений,
проходящих через маршрутизатор.

11. Заключение

На этом все. В нашем распоряжении полноценный графический анализатор логов• Телекоммуникации и связь » Компьютерная сеть » Интернет » Веб-аналитика » Инструменты Веб-Аналитики » Лог-анализатор,
который уже можно стилизовать под свои задачи, вкусы и предпочтения.
Функционала для этого предостаточно: Search, Streams, Alerts, Dashboards и
Enterprise функции. Настало время добавить в нашу сеть полноценную систему
обнаружения вторжений• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность
, но про это в следующей и завершающей части.

P/S

Часть 1. Настройка оборудования и вопросы безопасности L1 и L2 уровней

Часть 2. Настройка протокола Dot1X и работа Firewall

============= Итог: 7,2859 ; Телекоммуникации и связь#Компьютерная сеть#Серверы 6,9951 ; Телекоммуникации и связь#Компьютерная сеть#Интернет #Протокол передачи данных#TCP/IP#Tcp-порт 6,3902 ; Телекоммуникации и связь#Компьютерная сеть#Интернет#DNS#BIND 6,1859 ; Телекоммуникации и связь#Компьютерная сеть#Локальная вычислительная сеть 2,7402 ; Телекоммуникации и связь#Компьютерная сеть#Интернет#Веб-программирование #Веб-приложение 2,0576 ; Телекоммуникации и связь#Компьютерная сеть#Интернет#Веб-аналитика #Инструменты Веб-Аналитики#Лог-анализатор 4,7453 ; Информационные технологии#Информатика#Программирование#Java #Java Runtime Environment 4,7453 ; Информационные технологии#Информатика#Программирование#Java #Java Development Kit 3,9527 ; Информационные технологии#Информатика#Защита информации#Криптография#PGP #GnuPG 2,6616 ; Информационные технологии#Информатика#Программирование #Платформы программирования#Операционные системы #Юникс-подобные операционные системы#GNU#Debian#Deb (формат файлов) 2,5110 ; Информационные технологии#Информатика#Защита информации #Компьютерная безопасность#Информационная безопасность 2,5110 ; Информационные технологии#Информатика#Защита информации #Информационная безопасность#Компьютерная безопасность 2,5055 ; Информационные технологии#Информатика#Защита информации#Криптография #Центр сертификации 2,3766 ; Информационные технологии#Информатика#Программирование #Программное обеспечение#Системные требования 1,5002 ; Информационные технологии#Информатика#Программирование #Программное обеспечение#Форматы данных#Формат файла #Форматы Текстовых Документов#Текстовый Формат Unix 1,4670 ; Информационные технологии#Информатика#Программирование #Платформы программирования#Операционные системы#UNIX#Fhs#/dev/null

============= Ссылки на категории ru.wikipedia.org: 1.4670 /dev/null


Copyright © 2007-2021 ООО «RelTeam»