[debian/ubuntu] Network logging

donderdag 2 april 2009 09:13

Acties:

0 Henk 'm!

Turbulence!

Topicstarter

Beste tweakers,

Ik wil het volgende bereiken:
Tussen de internet aansluiting en het netwerk (router) moet een simpel debina/ubuntu bakje komen die al het verkeer logd.

Dus:

WAN - LOGBAK - ROUTER - NETWERK

Ik heb een mooi systeempje al draaien met twee keer een netwerkkaart. Maar het is de bedoeling dat het logbakje niet opgemekt kan worden!

Nu weet ik dat het mogelijk is om een loop/bridge te maken van NIC1 naar NIC2, maar dat logging gedeelte ben ik niet bekend mee.

Iemand tips/ideeen?

donderdag 2 april 2009 09:38

Acties:

0 Henk 'm!

Verwijderd

je zou eens kunnen kijken naar:
https://projects.honeynet.org/honeywall/

deze zou dat "eenvoudig" moeten kunnen.
met een tcpdump erbij zou het moeten voldoen aan je eisen.

donderdag 2 april 2009 09:47

Acties:

0 Henk 'm!

Room42

Je moet eerst bepalen wat je wilt loggen. Alles loggen lijkt me, zeker op een drukke lijn niet haalbaar/handig.

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

donderdag 2 april 2009 09:56

Acties:

0 Henk 'm!

tim427

Turbulence!

Topicstarter

Room42 schreef op donderdag 02 april 2009 @ 09:47:
Je moet eerst bepalen wat je wilt loggen. Alles loggen lijkt me, zeker op een drukke lijn niet haalbaar/handig.

Inprinsipe gaat het meer om HTTP in eerst instantie,bijv. in een apparte log. Die is niet zo spannend..

Maar het gaat bijv. om DATA-overdracht of er eventueel bestanden naar buiten worden gestuurd wat niet zou mogen.. (dat blokkeren is geen optie)

donderdag 2 april 2009 10:07

Acties:

0 Henk 'm!

tim427

Turbulence!

Topicstarter

Verwijderd schreef op donderdag 02 april 2009 @ 09:38:
je zou eens kunnen kijken naar:
https://projects.honeynet.org/honeywall/

deze zou dat "eenvoudig" moeten kunnen.
met een tcpdump erbij zou het moeten voldoen aan je eisen.

Die TCPDUMP kan ik dan toch met iedere linux draaine

Hoeft toch niet perse Honeywall

donderdag 2 april 2009 10:52

Acties:

0 Henk 'm!

Verwijderd

klopt, maar honeywall maakt het eenvoudig mogelijk om een bridge te bouwen.

donderdag 2 april 2009 15:08

Acties:

0 Henk 'm!

Verwijderd

ntop zou je hier voor kunnen gebruiken: http://www.ntop.org/

donderdag 2 april 2009 16:07

Acties:

0 Henk 'm!

tim427

Turbulence!

Topicstarter

Verwijderd schreef op donderdag 02 april 2009 @ 15:08:
ntop zou je hier voor kunnen gebruiken: http://www.ntop.org/

Die is ook best interessant, die wordt silent in het netwerk gehang (ff snel gekeken), maar heb je wel een mirrored-port voor nodig..

donderdag 2 april 2009 16:53

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

Als je een switch hebt met een mirror optie is het makkelijk, dan kun je ook gewoon tcpdump gebruiken. Als je dat niet hebt, moet je een bridge opzetten, en dan kun je gewoon op die bak tcpdump draaien.

Let wel dat het redelijk wat verkeer kan opleveren; als ik het op tweakers.net doe zit ik zo op ~9-10 TB per maand wat redelijk veel is.

Als je de bridge eenmaal opgezet hebt kun je inderdaad met jtop/tcpdump/ntop etc sniffen, maar als je gewoon datastromen wil zien kun je beter met (net/s)flow data gaan werken

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

donderdag 2 april 2009 22:58

Acties:

0 Henk 'm!

Rainmaker

RHCDS

Wat bedoel je met "niet opgemerkt worden"?

Want volgens mij krijg je bij dergelijke configuraties toch echt het MAC e.d. binnen van de logbak, ipv de router.

Ook portforwarding moet je op deze manier op 2 machines uitvoeren.

Ik zou trouwens stemmen voor de LOG target van iptables.

We are pentium of borg. Division is futile. You will be approximated.

vrijdag 3 april 2009 08:12

Acties:

0 Henk 'm!

Seth4Chaos

that's me...

Rainmaker schreef op donderdag 02 april 2009 @ 22:58:
Wat bedoel je met "niet opgemerkt worden"?

Want volgens mij krijg je bij dergelijke configuraties toch echt het MAC e.d. binnen van de logbak, ipv de router.

nope, als je je bridge goed opzet zie je hem nergens terug in netwerk scans/traceroute's e.d
Hij faked gewoon het mac-adres van de router en andersom.

Ook portforwarding moet je op deze manier op 2 machines uitvoeren.

Ik zou trouwens stemmen voor de LOG target van iptables.

De TS gaf aan dat die wilt weten als er bestanden naar buiten gaan, dat kan je met het LOG target van iptables niet zo snel zien.

@TS: waarom timmer je de firewall niet gewoon helemaal dicht. Alle email alleen via jouw mailserver(kan je alles filteren/copieen maken) en HTTP via een proxy (kan je ook filteren). De rest gewoon dicht zetten.

Mistakes are proof that you are trying...

vrijdag 3 april 2009 08:52

Acties:

0 Henk 'm!

tim427

Turbulence!

Topicstarter

Seth4Chaos schreef op vrijdag 03 april 2009 @ 08:12:
[...]

nope, als je je bridge goed opzet zie je hem nergens terug in netwerk scans/traceroute's e.d
Hij faked gewoon het mac-adres van de router en andersom.

[...]

De TS gaf aan dat die wilt weten als er bestanden naar buiten gaan, dat kan je met het LOG target van iptables niet zo snel zien.

@TS: waarom timmer je de firewall niet gewoon helemaal dicht. Alle email alleen via jouw mailserver(kan je alles filteren/copieen maken) en HTTP via een proxy (kan je ook filteren). De rest gewoon dicht zetten.

Vraag 1: Wat is de Best-Practise birdge configuratie? Ik kan uit deze post opmaken dat je dit vaker hebt gedaan

misschien een linkje/bron voor me

Antwoord @TS: Bij ons is het wel goed ingericht... Maar het is meer in opdracht voor een ander bedrijfje. Eigenaar van dat bedrijfje vertrouwd het niet... Dus moet er "stiekem" gekeken worden

Daar hebben ze gewoon een kabelmodem (1x lan port) met een kabeltje naar een linksys routertje... Tussen dat stukje moet hij inkomen

In het logbakje zit momenteel 1TB schijf... dus dat moet opzich wel lukken voor twee/vier weken?

vrijdag 3 april 2009 10:45

Acties:

0 Henk 'm!

Seth4Chaos

that's me...

Ik heb het eigenlijk nog nooit gedaan (exact wat jij wilt), bij ons loopt alles al over een (linux-)firewall dus kan ik altijd al sniffen.

Het idee is vrij simpel, maar een bridge en voeg de twee netwerk kaarten hieraan toe. vervolgens kan je sniffen op je bridge.
Indien die machine zelf ook het netwerk op moet kan je nog een ip adres aan je bridge toevoegen maar als die echt stealth moet zijn zou ik het niet doen (moet je wel alles via de console doen) of je voegt een 3e netwerk kaart toe die je wel een ip adres geeft.

Met de volgende twee linkjes kan je een eind komen denk ik:
- http://tldp.org/HOWTO/htm...netfilter-HOWTO.html#toc3
- http://dkprojects.wordpress.com/transparent-ethernet-bridge/

Ik zou het wel eerst even testen in een aparte omgeving, als het namelijk fout gaat is die niet echt stealth meer, dan moetje uitleggen waarom het internet het niet doet

Mistakes are proof that you are trying...

vrijdag 3 april 2009 15:18

Acties:

0 Henk 'm!

tim427

Turbulence!

Topicstarter

Seth4Chaos schreef op vrijdag 03 april 2009 @ 10:45:
Ik heb het eigenlijk nog nooit gedaan (exact wat jij wilt), bij ons loopt alles al over een (linux-)firewall dus kan ik altijd al sniffen.

Het idee is vrij simpel, maar een bridge en voeg de twee netwerk kaarten hieraan toe. vervolgens kan je sniffen op je bridge.
Indien die machine zelf ook het netwerk op moet kan je nog een ip adres aan je bridge toevoegen maar als die echt stealth moet zijn zou ik het niet doen (moet je wel alles via de console doen) of je voegt een 3e netwerk kaart toe die je wel een ip adres geeft.

Met de volgende twee linkjes kan je een eind komen denk ik:
- http://tldp.org/HOWTO/htm...netfilter-HOWTO.html#toc3
- http://dkprojects.wordpress.com/transparent-ethernet-bridge/

Ik zou het wel eerst even testen in een aparte omgeving, als het namelijk fout gaat is die niet echt stealth meer, dan moetje uitleggen waarom het internet het niet doet

Die is handig

(bovesten link werkt niet

)

vrijdag 3 april 2009 18:17

Acties:

0 Henk 'm!

tim427

Turbulence!

Topicstarter

Dit geïnstalleerd:

code:

1	apt-get install bridge-utils

Ik heb nu het volgende opgeslagen in /etc/init.d/bridge
[code#!/bin/bash
ifconfig eth0 0.0.0.0 && ifconfig eth1 0.0.0.0 && brctl addbr bridge0 && brctl addif bridge0 eth0 && brctl addif bridge0 eth1 && ifconfig bridge0 up[/code]

vervolgens dit uitgevoerd:

code:

1 2	chmod +x bridge update-rc.d bridge start 99 2 3 4 5 .

/etc/network/interfaces:

code:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static

auto eth1
iface eth1 inet static

Als het goed is werkt dit nu als een trein (heb dit nu gedaan in een VMware, dus kan niet fysiek testen)..

Nu eventjes kijken wat tcpdump allemaal kan, en hoe zit het met UDP-pakketjes? Iemand tips/howto's

[ Voor 23% gewijzigd door tim427 op 03-04-2009 20:19 . Reden: minder code, is sneller bij booten ]

zondag 5 april 2009 10:05

Acties:

0 Henk 'm!

tim427

Turbulence!

Topicstarter

Kleine update:

-Ubuntu Server 8.10 geïnstalleerd

code:

1	apt-get update

code:

1	apt-get upgrade

code:

1	apt-get install bridge-utils

code:

1	apt-get install tshark

-/etc/network/interfaces:

code:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static

auto eth1
iface eth1 inet static

/etc/init.d/bridge (aangemaakt):

code:

1 2	#!/bin/bash ifconfig eth0 0.0.0.0 && ifconfig eth1 0.0.0.0 && brctl addbr bridge0 && brctl addif bridge0 eth0 && brctl addif bridge0 eth1 && ifconfig bridge0 up && tshark -w /etc/tsharklog.pcap

code:

1	chmod +x /etc/init.d/bridge

code:

1	update-rc.d bridge start 99 2 3 4 5 .

code:

reboot

Op het moment dat de machine dan boot, wordt de bridge aangemaakt en begint tshark met ALLES te loggen!

Echter start ubuntu NIET door totdat het "login" venster komt. Opzich zou /etc/init.d/bridge dus als deamon starten

Maar tot dus ver werkt het > om de bestanden te bekijken reboot ik de machine en start ik Ubuntu op in Revocery mode

Iemand nog tips dat ik /etc/init.d/bridge op de "achtergrond" kan laten starten

zondag 5 april 2009 10:58

Acties:

0 Henk 'm!

Verwijderd

Als je nu eens de documentatie in /usr/share/doc/bridge-utils leest zal je waarschijnlijk zien dat je de boel verkeerd hebt geconfigureerd. Je moet namelijk alles in stellen via /etc/network/interfaces

zondag 5 april 2009 11:13

Acties:

0 Henk 'm!

BarthezZ

anti voetbal en slechte djs!

&& tshark -w /etc/tsharklog.pcap

Het script geeft geen exit code door aan init en dus blijft init daarop wachten... Je kan een & achter tshark zetten, dan zou die hem moeten forken. Maar volgens mij moet je daarna nog exit 0 erin zetten.

zondag 5 april 2009 12:11

Acties:

0 Henk 'm!

tim427

Turbulence!

Topicstarter

Verwijderd schreef op zondag 05 april 2009 @ 10:58:
Als je nu eens de documentatie in /usr/share/doc/bridge-utils leest zal je waarschijnlijk zien dat je de boel verkeerd hebt geconfigureerd. Je moet namelijk alles in stellen via /etc/network/interfaces

https://help.ubuntu.com/community/NetworkConnectionBridge

Die zegt van niet

Maar het zou wel mooier zijn idd

Vanmiddag maar eventjes naar kijken

Of weet jij 1-2-3 hoe het moet

BarthezZ schreef op zondag 05 april 2009 @ 11:13:
&& tshark -w /etc/tsharklog.pcap
Het script geeft geen exit code door aan init en dus blijft init daarop wachten... Je kan een & achter tshark zetten, dan zou die hem moeten forken. Maar volgens mij moet je daarna nog exit 0 erin zetten.

Hmmm... Ik wil inprinsipe helemaal van die init.d script af zegmaar.. het moet gewoon starten in de achtergrond.
Dus geen werkeromheen. Vanmiddag dus ff uitzoeken hoe ik het beste een deamon kan aannmaken (is deamon toch

)

zondag 5 april 2009 14:57

Acties:

0 Henk 'm!

Verwijderd

Zo moet dat in Debian en Ubuntu. Even goed het artikel en het vooral het commentaar daarop lezen:

http://winlintips.blogspo...bridge-in-debian-and.html

Btw de Ubuntu community docs zijn in mijn ogen vaak geschreven door een stel prutsers

zondag 5 april 2009 15:04

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

tim427 schreef op zondag 05 april 2009 @ 12:11:
[...]

https://help.ubuntu.com/community/NetworkConnectionBridge

Die zegt van niet

Maar het zou wel mooier zijn idd

Vanmiddag maar eventjes naar kijken Of weet jij 1-2-3 hoe het moet ?

[...]

Hmmm... Ik wil inprinsipe helemaal van die init.d script af zegmaar.. het moet gewoon starten in de achtergrond.
Dus geen werkeromheen. Vanmiddag dus ff uitzoeken hoe ik het beste een deamon kan aannmaken (is deamon toch )

daemon aanmaken doe je door er & achter te zetten. Maar het beste is om de bridge gewoon in interfaces aan te maken, en dan een apart init script te maken voor de logger, waar je overigens beter gewoon een skeleton init script voor kan pakken.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

zondag 5 april 2009 17:11

Acties:

0 Henk 'm!

tim427

Turbulence!

Topicstarter

Verwijderd schreef op zondag 05 april 2009 @ 14:57:
Zo moet dat in Debian en Ubuntu. Even goed het artikel en het vooral het commentaar daarop lezen:

http://winlintips.blogspo...bridge-in-debian-and.html

Btw de Ubuntu community docs zijn in mijn ogen vaak geschreven door een stel prutsers

Lol @ prutsers!

Thnx voor de info! (die had ik overigens al gevolgd) maar het gaat erom dat dat de hele bridge machine GEEN ip krijg, en dus op die manier stealth is in het netwerk.

Na mijn weten is op mijn manier met tracert niks anders te zien

en dat moet

Kees schreef op zondag 05 april 2009 @ 15:04:
[...]

daemon aanmaken doe je door er & achter te zetten. Maar het beste is om de bridge gewoon in interfaces aan te maken, en dan een apart init script te maken voor de logger, waar je overigens beter gewoon een skeleton init script voor kan pakken.

Ik heb het vanmiddag geprobeerd door het volgende te gebruiken:

pre-up en post-down...

Alleen wil /etc/init.d/networking NIET succesvol starten als ik GEEN ip toeken..

en dat moet juist niet gebeuren..

Ik heb zelf geprobeerd:

/etc/network/interfaces:

code:

auto lo
iface lo inet loopback
pre-up ifconfig eth0 0.0.0.0
pre-up ifconfig eth1 0.0.0.0
pre-up brctl addbr bridge0
pre-up brctl addif bridge0 eth0
pre-up brctl addif bridge0 eth1
pre-up ifconfig bridge0 up

helaas voert hij dan die pre-ups niet uit

en als ik hetzelfde doe bij bijv. eth0 en dan static... dan zegt hij: niet alle gegevens voor static bekend.

UPDATE:

/etc/network/interfaces:

code:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual

auto eth1
iface eth1 inet manual

auto br0
iface br0 inet manual
    bridge_ports eth0 eth1
    bridge_fd 4
    bridge_hello 1
    bridge_maxage 6
    bridge_stp on

Maar dan krijgen eth0, eth1 en br0 wel een ipv6 address....

[ Voor 9% gewijzigd door tim427 op 05-04-2009 17:25 ]

maandag 6 april 2009 09:18

Acties:

0 Henk 'm!

Seth4Chaos

that's me...

tim427 schreef op zondag 05 april 2009 @ 17:11:
[...]
Maar dan krijgen eth0, eth1 en br0 wel een ipv6 address....

http://www.debian-administration.org/articles/409

Mistakes are proof that you are trying...

Pagina: 1

Reageer

Onderwerpen