fbpx

Analizowanie logów FW i DNS MikroTik na zewnętrznym serwerze GrayLog

W tym artykule pokażę, jak monitorować aktywność sieciową użytkowników wykorzystując do tego celu router MikroTik i serwer logów na przykładzie Graylog.

Konfiguracja routera MikroTik

  1. Zaloguj się do routera wykorzystując WinBox.
  2. Przejdź do IP > Firewall.
  3. W zakładce Filter Rules naciśnij przycisk Ikona MikroTik Add.
  4. W wyświetlonym oknie na karcie General wypełnij formularz według wzoru:
  5. Przejdź do karty Action.
  6. Ustawienie prefiksu logu:
    Mikrotik Firewall Log PrefixAkceptujemy ustawienia przyciskiem OK
  7. Wracamy do zakładki General i przesuwamy utworzoną regułę na miejsce jako linię „0 w liście przetwarzania reguł FW.
    Mikrotik Firewall Filter Rules Kolejność
  8. Teraz przejdźmy do ustawień systemowych logowania:Mikrtotik System Logging
  9. Tworzymy nową akcję logowania w zakładce Actions, tutaj wskazujemy parametry naszego zdalnego serwera logów:Mikrotik New Log Action
  10. Teraz przechodzimy do zakładki logowania Rules, tutaj wybieramy regułę logowania dla firewall’a i akcję uprzednio zdefiniowaną jako Graylog:Mikrotkik New Rule Log
  11. Sprawdźmy teraz działanie konfiguracji, będziemy generować zapytanie WWW do serwera w internecie z klienta Linux:Mikrotik Topologia LABWygenerowanie ruchu klienta
  12. Teraz sprawdźmy logi na naszym GrayLog’u, wybierzmy wszystkie wiadomości do wyświetlenia:Graylog Streams
  13. Możemy wyświetlić szczegółowe informacje na temat każdego zarejestrowanego logu:Graylog Firewall Logs
  14. Teraz dodajmy logowanie zapytań DNS, w zakładce Rules dodajemy Ikona MikroTik Add wpisujemy Topic dns i będziemy logować wszystko oprócz pakietów, dodatkowo dodamy prefix DNS do tego typu logu, będzie nam łatwiej filtrować logi w przyszłości jeżeli będzie to potrzebne.Mikrotik DNS Logging Rule
  15. Generujemy jeszcze raz zapytanie WWW z klienta:Wygenerowanie ruchu klienta
  16. Sprawdzamy logi DNS na serwerze Graylog i filtrujemy logi po typie dns oraz po adresie IP prowadzącego do bramy sieciowej w naszej topologii, bo korzystamy z DNS’a publicznego:Greylog DNS Logging

Możemy zauważyć że analizując logi możemy korelować różne zdarzenia i wyciągać wnioski na ich temat. Takie podejście sprawdza się w małych sieciach gdzie nie mamy dostępu do bardziej zaawansowanych narzędzi korelacji zdarzeń w sieci.


Kliknij w obrazek, aby przejść do zapisu na warsztaty

Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.