fbpx

22T36 Logowanie ruchu sieciowego [konfiguracja MikroTik]

Logowanie Firewall DNS MikroTik

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

0:41 Analiza Ruchu Sieciowego

4:41 Dodanie do monitorowania usługi DNS

6:29 Podsumowanie

Transkrypcja

Cześć. Chciałbyś dowiedzieć w jaki sposób monitorować ruch w sieci lokalnej? Jeśli tak to dobrze trafiłeś. W tym odcinku pokażę, jak wykorzystując logi, można monitorować ruch. Sposób, który pokażę w tym odcinku, wykorzystuje zainstalowany w poprzednim odcinku serwer logów Graylog i dodatkowo oprócz adresów IP pokazuję również nazwy domenowe stron internetowych odwiedzanych przez użytkowników. Zapraszam.

W celu monitorowania ruchu sieciowego, zostanie wykorzystany Graylog, który został zainstalowany w poprzednim odcinku. Przykładowo pokażę jak analizować ruch sieciowy wykorzystując logi DNS i logi TCP. Aby móc monitorować ruch sieciowy należy przejść do konfiguracji MikroTika wykorzystując WinBox, połączyć się z routerem. Rozpocznę najpierw monitorowanie ruchu TCP. Należy przejść do IP –> Firewall –> Filter Rules. Dodać regułę na łańcuchu forward, protokołem TCP, port docelowy: 80,443 Interesować będzie nas jeszcze stan połączenia. Nowe połączenie. Akcja jaka ma zostać wykonana, to ruch ma być zalogowany. Prefix w takim logu: Web. Naciskamy ok. Tak samo u góry przenosimy tą regułę, przechodzimy do system –> Logging, następnie Actions. Tworzymy nową akcję. Akcja ma przekazywać informację z logami do zewnętrznego serwera logów. Dlatego możemy tutaj wpisać np. Graylog. Typ: zdalny, w polu remote adres wpisujemy adres IP serwera Syslog. W naszym przypadku będzie to adres IP Dociera: 10.253.253.6 na porcie 1514. Gdy już mamy utworzoną akcję przechodzimy do zakładki Rules i tworzymy nową regułę. W polu Topic wybieramy Firewall i w polu action wybieramy Graylog i ok. Zobaczmy czy konfiguracja działa. Wykonam jakiś ruch sieciowy. Połączę się z systemem Linux. Przejdźmy do Grayloga. Tutaj już widać jest informacja o adresie IP. Więc widać, że logi są zapisywane. 10.253.253.103 to jest adres routera. Wszystko jest zapisywane w jego imieniu. Zobaczmy wszystkie eventy. Tutaj mamy informację o ruchu. Brakuje tutaj tylko jeszcze informacji o nazwie domenowej strony.

Teraz dodam do monitorowania usługę DNS. Należy utworzyć nową regułę, która będzie logowała informacje DNS a odrzucała logi z wszystkich innych pakietów. Można dodać Prefiks DNS. W Action wybieramy poprzedni wybieramy poprzedni utworzony Graylog i ok. Teraz powinny pojawiać się dodatkowe informacje. Odświeżmy stronę. Jak widać mamy tutaj zapytania DNS. Jeśli w taki sposób chcemy sprawdzić domeny jakie były odpytywane przez konkretne urządzenie, to w polu wyszukiwania Graylog wystarczy wpisać np. dns AND 10.0.10.254. To też trzeba wziąć w cudzysłowy. Teraz powinny się tylko wyświetlić rekordy DNS. Wpisy z informacją z prefiksem Web zostały ukryte. Możemy skonfigurować tylko samo filtrowanie DNS ale nie byłoby to za bardzo miarodajne. Z tego względu, że użytkownicy mogą też korzystać z sieci po adresach IP. Wtedy samo monitorowanie DNS nie miałoby sensu.

Jak mogłeś zauważyć istnieje możliwość logowania ruchu w pamięci routera. Nie zalecam korzystania z tego typu opcji z tego względu, że bardzo szybko można zniszczyć pamięć urządzenia. Aby zbierać taki duży ruch z logów, najlepiej właśnie korzystać z zewnętrznego serwera logów, którego instalację przedstawiłem w poprzednim odcinku. Do następnego razu.


Kliknij w obrazek, aby przejść do zapisu na warsztaty