Re: logovani na routeru

[Jan Houstek]

On Mon, 10 May 2004, Vít Vomáčko wrote:

> Jeste jsem neprisel na to kde, spis by me zajimalo jak edy usporne
> logovat..myslite jen tcp/udp provoz..? vzdyt i icmp a pingy mohou byt
> soucasti utoku..

Ne, poznamenal jsem jen to, ze u tcp/udp paketu vas budou (prinejmensim)
zajimat cisla portu. Pokud vam celou dobu slo jen o detekci utoku a jinych
zakernosti, tak jste se s tim logovanim celeho provozu vydal opravdu
spatnou cestou, presne na to jsou urceny programy oznacovane jako IDS.

> No zrovna mame ted v siti nejakeho skina nebo co a musim zpetne
> zjistovat, kdo to je (udelal nejakej humbuk mailem nebo co) a diky NATU
> to neni nejjednodussi...

Pro monitorovani mailu je nejjednodussi vynutit pouzivani vami
kontrolovane relay (bud zakazem spojeni na 25/tcp ven, nebo transparentnim
proxyingem takovych spojeni). Z pruchozich mailu si pak muzete "logovat"
co libo (v drtive vetsine pripadu postaci IP adresa odesilatele, cas a
obalka, cimz ani neporusite "listovni tajemstvi", jestli je neco takoveho
na e-mail vubec pouzitelne). Zly uzivatel to pochopitelne muze obejit
(napr. pouzit nejaky relay na nestandardnim portu, nebo rovnou poslat mail
z nejakeho webmailu).

Jste-li v situaci, ze skutecne potrebujete monitorovat veskery provoz, tak
je asi nejjednodusi internet odstrihnout zcela a vsechny sluzby poskytovat
zprostredkovane na vami kontrolovanych strojich (a patricne je logovat),
DNS, http/ftp proxy a e-mail relay bude vetsine uzivatelu stacit.

-- Honza Houstek