Monitoramento de acessos [RESOLVIDO] [netfilter/iptables]

verovan

Discussão no fórum: Monitoramento de acessos [RESOLVIDO] — Viva o Linux, a maior comunidade GNU/Linux da América Latina.

1. Monitoramento de acessos [RESOLVIDO]

Enviado em 02/05/2012 - 11:08h

Bom dia galera do VOL

Bom estou com um processo um pouco complicado de resolver, seguinte, preciso fazer um monitoramento dos acessos ssh de minha rede, por exemplo, tenho várias máquina na rede que fazem acesso ssh aos servidores que estão remoto e tenho o firewall em minha rede, assim a máquina 192.168.0.x acessa um servidor remotamente, eu preciso de um relatório ou algo que me mostre que essa máquina fez essa conexão.

Se alguem conhecer alguma ferramenta que possa gerar esse relatorio, desde já agradeço.

2. Re: Monitoramento de acessos [RESOLVIDO]

Melhor resposta

Enviado em 10/05/2012 - 12:01h

qual regra você colocou no teu firewall ?

Em que nivel você está salvando os logs do firewall e em qual arquivo ?

Tenta as regras abaixo:

# iptables -I FORWARD -p tcp --dport 22 -j LOG --log-level crit --log-prefix "eth2 FORWARD SSH"
# iptables -I FORWARD -p tcp --dport 22 -j ACCEPT

Ou

# iptables -I FORWARD -o eth2 -p tcp --dport 22 -j LOG --log-level crit --log-prefix "eth2 FORWARD SSH"
# iptables -I FORWARD -o eth2 -p tcp --dport 22 -j ACCEPT

Depois gera o relatório via linha de comando ou se quiser automaticamente como explicado no artigo

*** abaixo vou fazer via linha de comando um relatorio da porta 22 do ssh ***

NO EXEMPLO: estou supondo que o arquivo que contém os logs é /var/log/firewall/firewall.log e o nível do log está configurado como crit (mas mude conforme sua configuração) e será um relatório das ultimas duas horas e das ultimas 100 linhas "-M 100"

Gerando relatório detalhado da porta 80:

# fwlogwatch /var/log/firewall/firewall.log -l 2h -d -s -t -e -y -M 100 -Eipd22 -U "Relatorio da Porta 22 ssh externo" -w -o ssh.html

3. Re: Monitoramento de acessos [RESOLVIDO]

Enviado em 02/05/2012 - 11:12h

Tem sim amigo, começando pelos logs do sistema?

Arquivo: /var/log/auth.log

você pode usar serviços também como os que estão descritos nos links abaixo:

http://www.vivaolinux.com.br/artigo/Incron-supervisionando-sistemas-de-arquivos/
http://segurancalinux.com/artigo/Snoopy-e-Auditd-fazendo-auditoria-no-Linux?pagina=1
http://www.vivaolinux.com.br/artigo/AUDIT-Auditoria-de-arquivos-no-Linux-para-conhecer-quem-fez-alte...

bom... qualquer pergunta estamos ai.

4. Re: Monitoramento de acessos [RESOLVIDO]

Enviado em 05/05/2012 - 10:56h

iai cara dá um retorno ai, conseguiu ?

5. Re: Monitoramento de acessos [RESOLVIDO]

Enviado em 09/05/2012 - 17:13h

Bom,

Esse terceiro link que me mandou ajudou, mas acho que não ficou muito claro o que seria preciso e também vendo melhor seria impossível da forma que está hoje, é o seguinte, em nossa temos um firewall e em nossas máquinas fazemos acesso ssh para servidores remotos, ai teria que gerar um relatório em nosso firewall das nossas máquina que fizeram acesso ssh e em qual servidor eles acessaram, seria dessa forma: Rede --->>> firewall --->>> Internet --->> Servidor do cliente, ai ali no firewall gerar uma relatório informando que por exemplo a máquina 192.168.1.x acesso o ip 200.150.120.x.

Pelo que pesquisei isso seria possível somente se configurasse no firewall um servidor de ssh, ai o pessoal teria que logar no firewall e do firewall fazer um ssh para os servidores e assim eu poderia gerar o relatório.

Não conheço uma forma de monitar isso no firewall, seria possível da forma que está hoje?

6. Re: Monitoramento de acessos [RESOLVIDO]

Enviado em 09/05/2012 - 17:22h

Que tal implantar o que tem no terceiro link no servidor que é acessado pelo cliente via ssh e os logs serem enviados para o servidor de firewall via ssh ?

7. Re: Monitoramento de acessos [RESOLVIDO]

Enviado em 09/05/2012 - 17:26h

Poderia fazer também é monitorar os logs do firewall, assim saberia que sua máquina cliente que está atrás do firewall acessou tal ip pela porta do ssh.

abaixo tem esse link olha ai e vê se ajuda essa opção que postei agora ou a anterior :

http://www.vivaolinux.com.br/artigo/FwLogWatch-Analisando-Registros-do-IPtables/

você pode até aplicar um filtro, e só monitorar e gerar um relatório da porta do ssh e enviar para uma pasta especifica esse relatório

8. Re: Monitoramento de acessos [RESOLVIDO]

Enviado em 09/05/2012 - 17:37h

Cara, parece que esse fwlogwatch é a solução, vou instalar e realizar os testes.

9. Re: Monitoramento de acessos [RESOLVIDO]

Enviado em 09/05/2012 - 18:06h

a solução é essa mesmo, consegui configurar e gerar os relatórios que precisava, porém ele pegou somente da rede interna e preciso do acesso externo, postei lá no artigo dele para ver se alguem ajuda, mas muito obrigado, valeu mesmo.

10. Re: Monitoramento de acessos [RESOLVIDO]

Enviado em 09/05/2012 - 18:16h

por nada amigo, rsrsrs, o artigo é meu cara.

olha só, no caso de conexões vindas de fora(externas) ou saindo (internas) você tem que fazer uma regra de log antes para gerar o registro para então o fwlogwatch poder listar, entendeu ?

ou interpretei errado sua pergunta ? caso interpretei errado explica melhor.

11. Re: Monitoramento de acessos [RESOLVIDO]

Enviado em 10/05/2012 - 10:23h

é isso mesmo, preciso dos logs no caso de saida do ssh.

12. Re: Monitoramento de acessos [RESOLVIDO]

Enviado em 10/05/2012 - 10:40h

Você poderia me ajudar nessas regras? minha placa interna é a eth0 e a externa a eth2, porém preciso registrar todos os acessos externo feito pelo ssh, nesse caso são vários ips.

Monitoramento de acessos [RESOLVIDO]

Responder tópico