TIB5651Tr yazılımı (Static-Dynamic-Elle girilen kayıt dışı IP Raporlama)
-
-
teşekkürler bülent bey
-
Herşeyden önce Bülent Bey'e bir teşekkür etmek istedim.
Şöyle bir durumla karşılaşıyorum. SSH ile bağlanıp ARPrun'ı çalıştırdığımda TibDailyControl altında 4 dosya da oluşuyor. Yalnız cron ARPrun'ı çalıştırdığında sadece Arp.lst dosyası oluşuyor. Tahminen bir yetki hatası diye düşünüyorum ama nereden kaynaklı olduğunu çıkartamadım.
Böyle bir durum yaşayan oldu mu acaba?
-
Merhaba arkadaşlar,
Balığa gitmiştim. Cevaplamada geciktim kusura bakmayın.
Sevgili dnzz dediğin gibi 4 adet dosya oluşturacak sorun yok.
Arp.lst
Arp_Daily.log
Dhcpleases.lst
Dhcpleases.log:D
-
arkadaslar 5651 kanununa göre aşağıdaki durumda olan birisi ne yapmalı?
dhcp serverde otomatik degil statik olarak ip veriyorum.
otomatik ip verme kapalı.
her ip verdigim kişiyi GERÇEK IP adresiyle dışarı çıkarıyorum.mesela 192.168.1.2 olan ip 88.88.88.2
192.168.1.3 olan ip 88.88.88.3
192.168.1.4 olan ip 88.88.88.4
192.168.1.5 olan ip 88.88.88.5
192.168.1.6 olan ip 88.88.88.6vb…
mantıken dhcp logu pek bişey teşkil etmiyor zira ben mesela 192.168.1.5 ip alan kişinin dışarı çıktıgı ip adresini elle istedigim gibi değiştirebiliyorum.
saygılarımla.
-
arkadaslar 5651 kanununa göre aşağıdaki durumda olan birisi ne yapmalı?
dhcp serverde otomatik degil statik olarak ip veriyorum.
otomatik ip verme kapalı.
her ip verdigim kişiyi GERÇEK IP adresiyle dışarı çıkarıyorum.mesela 192.168.1.2 olan ip 88.88.88.2
192.168.1.3 olan ip 88.88.88.3
192.168.1.4 olan ip 88.88.88.4
192.168.1.5 olan ip 88.88.88.5
192.168.1.6 olan ip 88.88.88.6vb…
mantıken dhcp logu pek bişey teşkil etmiyor zira ben mesela 192.168.1.5 ip alan kişinin dışarı çıktıgı ip adresini elle istedigim gibi değiştirebiliyorum.
saygılarımla.
Hocam sizde bu kayıtları log layacaksınız o zaman. Burada resmi olarak istenene şey sizin bildiğiniz eğil. mevcut durum kaydını "resmi" olarak zaman damgası ile sunulacak halidir. Sizin bu zaman damgasız sabitlenmiş bile olsa kayıtlarınız bir geçerlilik ifade etmeyecek.
Durum itibari ile bu erişim kayıtlarını imzalatarak saklamanız gerekecek.saygılar.
-
Oncelikle Bülent Bey'e bu harika calismasi icin sonsuz ve samimi tesekkurlerimle,
sistemi test ettim gayet guzel calisiyor,
paket kurulumlarini asagidaki postta verilen linklere göre yaptim.
https://forum.pfsense.org/index.php/topic,70877.msg387566.html#msg387566Burda ilave etmek istediğim 3 nokta var;
1-Samba paylasimi ile ilgili;
–-------------------------------------------------------------
kurulumun anlatildiği word dosyasinda log dosyalarinin kopyalanacagi bilgisayarda paylasilmis klasorlere everyone icin full control verilmis tabi bu rahatsiz etti
Windows 7 oldugu icin word dosyasinda asagidaki gibi verilen samba linklerini;/usr/local/bin/smbclient \\\\xxx.xxx.xxx.xxx\\TIB5651log_BKP -U windowsbilgisayaradi%"sifresi" -W -N -c "prompt; put Tib5651LogAdmin-$tarih.tar.gz" Ve /usr/local/bin/smbclient \\\\ xxx.xxx.xxx.xxx\\TIB5651log_TMP -U windowsbilgisayaradi%" sifresi " -W -N -c "prompt; put Tib5651LogImza-$tarih.tar.gz" Satırlarında; xxx.xxx.xxx.xxx : Windows bilgisayarınızın IP nosu windowsbilgisayaradi : Windows sistem özelliklerindeki Tam bilgisayar adını sifresi : Windows bilgisayarınızın şifresi (Bilgisayarınızda Şifre olmak zorunda)bilgisayaradi kismini user_name olarak degistirdim.Boylece everyone-full control'un ortaya cikarttigi zaafiyetten kurtulmus olundu.
calisan .. dosyam;/usr/local/bin/smbclient \\\\192.168.2.20\\TIB5651log_BKP -U user%"eml4535" -W -N -c "prompt; put Tib5651LogAdmin-$tarih.tar.gz" tar -zcvf Tib5651LogImza-$tarih.tar.gz Tib5651_Yasal/ /usr/local/bin/smbclient \\\\192.168.2.20\\TIB5651log_TMP -U user%"eml4535" -W -N -c "prompt; put Tib5651LogImza-$tarih.tar.gz"user burda kullanici adi,siz sizdeki kullanici adiyla degisebilirsiniz.
tabi o kullaniciya full-control yetkisi vermek lazim.2.squid ve squidquard zorunluluğu;
–----------------------------------------------------------
Haliyle sistem bunlar olmadan calismiyor..
Proxy güzel harika,sirf windows updateleri cache'lemek icin bile kurulur,
ne yazikki Traffic Shapper ile duzgun calismiyor..
benim aktif sistemim 3 WAN ve 1 LAN (150 kullanici) seklinde ve Traffic Shapper uzerinden gitmeyi dusunuyordum, loglama icin proxy sarti tabi olayi biraz degistirecek
genede en kisa zamanda buna vmware makina hazirlayip gercek ortamda testi yapmayi dusunuyorum.sabit konularda selimakpinar'in yazdigi dhcp leases uzerinden giden bir cozum var.
onuda denedim ama leases dosyasindaki farkliliklar nedeniyle tam calismadi, python yazmayi ogrenip 1-2 hafta icinde selimakpinar dan once davranabilirsem :)
o betigi duzeltmeyi hedefliyorum.3-arp olayi.
arp guzel iyi, sistem elle girilen ipleri -yanlışım varsa duzeltin- arp ile ogreniyor
ama gene bana ozel bir durum ortaya cikiyor,
networkde bridge modda point to point calisan wireless cihazlar ve arkasinda bir ton makina var tabi bunlar hikayeyi nasil degistirecek,
arp orda nasil ates edicek pek umutlu degilim ama ..
canli sistemde testi yapinca yazarım.kolayliklar..
-
bende dhcp loglarını alıyorum
hiç bir paket'e gerek duymadan ftp olarak istediğim yere gönderiyorum ya da paylaşıma forumda konusu var
0 kurulmuş sisteme 3 dosya atıp direk çalışır hale getirebilirsin
kolay gelsin
-
Merhaba arkadaşlar
Sevgili Şevket Keser arkadaşım sizlere yardımcı olabildiysem ne mutlu bana. Ben de hepinize gösterdiğiniz ilgi ve alakadan dolayı teşekkür ederim.
everyone kullanıcısı yerine farklı bir kullanıcı ile de yetkilendirme yapabilirsiniz. Bu açıklama yerinde olmuş.
Arp meselesine gelince; internete çıkan kullanıcıları tespitlemek de dolayısı ile sistem yöneticisinin kullanıcıya tahsis ettiği ip dışında bir ip ile kullanıcın internete çıkması halinde bile arpın analiz edilmesi ile kullanıcın farklı bir ip ile interneti kullandığının tespitlenmesi mümkün hale gelmekte (Elle girilen Ip olayı). Benim sistem yapımda point to point yok sadece Access point var ancak tahmin ediyorum ki her ne şekilde olursa olsun kullanıcı hangi yollar gelirse gelsin PFSense sisteminden geçerken bir iz bırakacak ve arp'ında bunu tespitleyeceği kanaatindeyim.
Benim için esas olan iki konu var ki bunlar bana göre çok önemli paylaşmak isterim.
Squid http sitelerini logluyor. OK https siteleri ve mail çıkış-giriş logları yok. Oysa daha önce kullandığım basit sadece proxy özelliği olan bir yazılımda örneğin mail durumunu da logluyordu. Yani kullanıcın saat kaçta hangi mail servisinden mail aldığını veya hangi mail servisine mail atıığının loğlarını da görebiliyordum. PFSense de böyle bir özellik varsa ben bilmiyorum. Umarım bu konularda da ilerleyen zamanda ek yazılımlar çıkar.
Not. Kullanıcın ne mail attığını veya ne geldiğini görmüyordum. İçerik gizli sadece mail serverların kullanıldığı saat-tarih bazında loğunu alıyordum.
Bilişimciler https sitelerini de http de olduğu gibi filtrelemek istemekte. Umarım bu sıkıntılar ilerleyen süreçte çözüme kavuşur.Selam ve Sergilerimle
Bülent ÖZKAN -
evet bu konuda bende katılıyorum
squid sadece http trafiğini loglar
ama üstünden geçen tüm trafiği loglayacak bir squid ya da başka birşey lazım
80, 110 , 25 , 23, 995, 443, 3389, vs vs
bunlar mail smtp telnet ssl rdp portları kişi bunlar üstünden trafik oluşturduğunda bunlarıda loglayabilirsek çok güzel olur :)
-
Merhabalar,
kurulumlarım ve loglamalarım sorunsuz çalışıyor ancak aklıma takılan bir nokta var. Bizim logladığımız kayıtlar local için ip ler ve mac adresleri web içinse ip ve adresleri.
Burada gelgeç bir yere (cafe) veya bir öğrenci yurduna (ki ben kuruyorum) kullandığımızda mac adresleri ne kadar işimize yarayacak? Kullanıcı adı ve mac ilişkilendirmesi kurabileceğimiz bir yöntem var mdıır? Ki ayrıca asıl aradığım cevap aynı makina ile farklı kullanıcılar çalıştığında makinanın IP bazlı loglarının hangi kullanıcının olduğunu nereden anlayabiliriz?
-
Merhaba arkadaşlar
Evet fotocum internet çıkış logları IPve MAC bazında
MAC adreslerini TIB istemekte. Halka açık yerlerde aynı ip nosunu birden fazla kimse dhcp ile alsa da mac farklı olacaktır biliyorsun bu ayrımı yapmak için.
Kullanıcı adı ile mac ilişkilendirme yapabilirsin. PFSEnse DHCP server da mac adresine dayalı ıp numarası atayabilirsin ve buraya description alanına tanımlayıcı bilgi girebilirsin.
Esas amacın aynı makinayı birden fazla kimse kullanıyorsa bu biraz zorlayıcı.
1-Eğer kullanıcılar vardiya usulü ile çalışıyorsa bunda sorun kalmaz her kişinin çalışma saatleri bellidir.
2-Kullanıcılar gün içinde ortaklaşa kullanıyorlarsa bunu ayırman loglama açısından biraz zor. neredeyse imkansız.Selam ve Sevgilerimle
Bülent ÖZKAN -
yok BULO üstad arkadaşlar "lan işin varmı makinada?" diyip oturuyorlar birirlerinin laptplarının başına. Bu yüzden siisteme giren mac adresinin yanında kullanıcı adınıda loglamam daha mantıklı olacak. Zaten yönetiminde bu yönde talebi var. "Biz hangi mac kimin bilemeyiz ki" diyorlar. bende "özel yaşama müdahale etmeyin" diyip topu taç a yolluyorum. Ama bu soruna bir çare bulmam gerekecek.
yada aslında şimdi aklıma gelen birşey oturumları da loglatsak nasıl olur?? Evet loglamayı bizim işimize yarayan hale çevirebilen arkadaşlar aynı log dosyalarının içinden radius kullanıcı kontrollerini veya captiva portal oturumlarını da görebiliyor olmaları lazım. mutlaka bunlarda loglanıyordur.
-
Merhaba
Evet fotocum haklısın bu durumda captive portal kullanarak işe başlamak doğru olacaktır. Ancak ben kullanmadığım için ne gibi bir loglama (captive Portalın) yaptığını bilmiyorum. Gerçi bunu başarsakta kullanıcıların internet şifrelerini birbirlerine vermemeleri gerekmekte ve kullanıcı bilgisayar başından kaltığında kendi browser bağlantısını kapatmak zorundaki ki yeni kullanıcı kendi bağlantı adı ve şifresi ile giriş yapsın. Captive Portal konusunda daha önceleri bazı arkadaşarımdan istek talepleri almıştım. Bu konu ile ilgili bir çalışma yapmaya bugüne kadar fırsatım cidden olmadı. Ama kendim için olmasada en azından bunu denemeyi istiyorum.
Selam ve Sevgilerimle
Bülent ÖZKAN -
-
Merhabalar
Hocam öncelikle ellerinize sağlık, muhteşem bir özveri ürünü olmuş bu script. Umarım paket halde de sunabiliriz ileride ve pfSense hakettiği "özgür" güce ulaşır (tıpkı Wordpress gibi)
Şuan 2.1 Release üzerinde başarıyla çalıştırabildim. pfSense'te yeniyim. Çok araştırıyorum.
Karşılaştığım bir sorun olmuştu o da mesela Cron ile Squid'e müdahale edip Squid'i gece yarısı sıfırlamaktı. 23:45'te loglar alınıyor fakat 00:00'ta sıfırlanıyor, arada 15 dakikalık log kaybı oluyordu. Diyelim Squid sıfırlama kodunu 23:48'de çalıştırdım, yine de 2 dakika bile olsa bir kayıp zaman.Lightsquid'i de kurduğum için pfSense üzerinden geçmiş takibimi yapabileceğimi düşündüm ve TIB5651ANLrun.sh dosyasının en altına şu kodları ekledim:
/usr/bin/perl /usr/pbi/lightsquid-i386/www/lightsquid/lightparser.pl today rm -rf /var/squid/logs/*.* /usr/local/etc/rc.d/squid.sh stop rm -rf /var/squid/cache/ mkdir -p /var/squid/cache/ chown proxy:proxy /var/squid/cache/ chmod 777 /var/squid/cache/ squid -z /usr/local/etc/rc.d/squid.sh start cd /Bu sayede 23:45'te logları aldıktan hemen sonra aynı dosya içinden Squid'in cache'ini ve log'unu temizleyip bir sonraki gün raporunu sıfırdan başlatabildim.
Bu yönteme sizin de yorumunuzu rica ediyorum. Yanlış anladığım bir durum ya da müdahalem olmuş mudur?
Teşekkürler
-
Merhaba
Evet fotocum haklısın bu durumda captive portal kullanarak işe başlamak doğru olacaktır. Ancak ben kullanmadığım için ne gibi bir loglama (captive Portalın) yaptığını bilmiyorum. Gerçi bunu başarsakta kullanıcıların internet şifrelerini birbirlerine vermemeleri gerekmekte ve kullanıcı bilgisayar başından kaltığında kendi browser bağlantısını kapatmak zorundaki ki yeni kullanıcı kendi bağlantı adı ve şifresi ile giriş yapsın. Captive Portal konusunda daha önceleri bazı arkadaşarımdan istek talepleri almıştım. Bu konu ile ilgili bir çalışma yapmaya bugüne kadar fırsatım cidden olmadı. Ama kendim için olmasada en azından bunu denemeyi istiyorum.
Selam ve Sevgilerimle
Bülent ÖZKANbiraz araştırınca kullanıcı girişleri ve tahsis edilen ip ler ile ilgili /var/log/portalauth.log dosyasında kayıtların saklandığını buldum. Buna istinaden bizim kullandığımız (phyton olmayan) loglama dosyalarına nasıl entegre edileceği gibi bir ayrıntı var şimdi :) yada aslında oraya entegre edilmeyebilirde. ayrı bir log dosyası şeklinde de oluşturulabilir. Biraz deneyeyim bakalım birşeyler yapabilecekmiyim… tabi direk kodlama dilini bilen arkadaşlarıda konuya davet ediyorum :)
-
Merhaba arkadaşlar
Evet Wishrap haklısın 15 dakikalık veya farklı bir saat ayarı ile 00:00 saat dilimine kadarki süre kayıptır. Tabiki bu saatlerde iş yapan bilgisayarlarınız var ise yaptığınız son derece doğrudur. Ancak yaptığınız sıfırlama sonrasında 00:00 diliminde cron üzerinde squid sh dosyası tekrar sıfırlama yapmadığından emin olmalısınız. Yani sizin sıfırlamanız 23:45 de ise cronda 00:00 da tekrar sıfırlayacaktır buna dikkat et derim.
Sevgili fotocum sende haklısın /var/log/portalauth.log dosyasına captive portal ile ilgili loglar atılmakta. Sadece bu dosyaya değil /var/db/captiveportal.db ve captiveportal_online_users dosyalarına da aktif olunduğu süreç içerisinde de loglar aktarılmakta. Pasif olunduğunda db dosyasından pasif olan kullanıcı kaldırılmakta. Esasen bu konuya eğilmeyi cidden düşünüyorum. Ancak kendi ortamımda captive portal kullanmadığımdan detaylı iyi bir log yapısına sahip olamayacağım için yazılım esnasında olabilecek veri kayıplarından dolayı yanlış kodlama yapmaktan endişe duyuyorum.
Selam ve Sevgilerimle
Bülent ÖZKAN -
Merhaba Arkadaşlar,
Sistem anladığım kadarıyla Squid üzerindeki access.log üzeriden yürüyor, peki sistemde proxy ve proxy filter kullanmadığımızı varsayarsak ne gibi bir çözüm yoluna gidebiliriz?
yakın zamanda dhcp tarafını pfsense üzerine almayı düşünüyorum, proxy ve proxy filter işini bulut tabanlı çözüyorum daha stabil ve daha kullanışlı geliyor bana, buna göre proxy olmadan pfsense üzerinde nasıl log tutabiliriz?
-
hocam hem "sen birşey izleme&karışma" diyorsun hemde "sen bil" … biraz ilginç geldi doğrusu. Siz yinede kuralsız bir proxy ayarlayıp o şekilde kayıt altına alabilirsiniz bence. Üstadlar kesin açıklama yapacaktır.