logowanie ruchu dla policji etc

Marek Guevara Braun marek.guevara w atm.com.pl
Wto, 18 Kwi 2006, 11:25:16 CEST


Przemysław Backiel wrote:
> 
> stanąłem przed zadaniem logowania ruchu dla policji, etc.
[...]
> tzn, chce miec liste
> kto, gdzie się łaczył, i dokładny timestamp.

Co do timestampa to powinieneś mieć synchronizację z dobrymi serwerami
ntp. Jeżeli policji wystarczy tylko informacja o inicjacji sesji tcp to
zwykły log z iptables powinien wystarczyć - nie daje to co prawda żadnej
innej wiedzy poza czasem transmisji, wykorzystanymi adresami ip,
portami, wielkością transmisji (logowanej), flagami, lokalnym
interfejsem sieciowym i o ile masz maszyny w LAN to ich MAC-adresami.
Można tu zaznaczyć że w takim logu znajdują się tylko dane na temat
adresów jakimi przedstawia się dany komputer - nie muszą być one
powiązane fizycznie z danym komputerem (np. ktoś może podszywać się pod
sąsiada, podstawiając jego MAC adres itp.) no i oczywiście z konkretną
osobą (no chyba że pracujesz w więziennictwie i masz sytuację jeden
komputer - jedna cela - jeden osadzony ;-).

Aby mieć logi z iptables musisz używać reguł z '-j LOG' przed każdą
regułką puszczającą ruch - najlepiej na wszystkie łańcuchy
INPUT/OUTPUT/FORWARD daj politykę typu DROP - wtedy każdy puszczany ruch
będzie musiał mieć odpowiednią  regułe i odpowiadającą jej regułę
logowania.

Jeśli chciałbyś logować całą (wybraną) transmisję to polecam moduł
iptables ulog i ulogd (lub logowanie z Open/FeeBSDowego pf-a), snorta,
tcpdump z odpowiednim filtrem + duży dysk bo pliki mogą być duże.

Inną sprawą jest zapewnienie że gromadzone przez ciebie logi są
nienaruszone (tj. nikt w międzyczasie ich nie modyfikował, niczego nie
kasował, lub dopisywał).

Być może rozsądną rzeczą jest logowanie/trzymanie logów na dedykowanej
maszynie - w momencie gdy smutni panowie zapukają do Twych drzwi w celu
zabezpieczenia logów, to wyrwą Ci tylko serwer z logami, a nie cały
firewall.

Pozdrawiam,
Marek


Więcej informacji o liście dyskusyjnej pld-users-pl