TIB5651Tr yazılımı (Static-Dynamic-Elle girilen kayıt dışı IP Raporlama)
-
Merhaba arkadaşlar,
Balığa gitmiştim. Cevaplamada geciktim kusura bakmayın.
Sevgili dnzz dediğin gibi 4 adet dosya oluşturacak sorun yok.
Arp.lst
Arp_Daily.log
Dhcpleases.lst
Dhcpleases.log:D
-
arkadaslar 5651 kanununa göre aşağıdaki durumda olan birisi ne yapmalı?
dhcp serverde otomatik degil statik olarak ip veriyorum.
otomatik ip verme kapalı.
her ip verdigim kişiyi GERÇEK IP adresiyle dışarı çıkarıyorum.mesela 192.168.1.2 olan ip 88.88.88.2
192.168.1.3 olan ip 88.88.88.3
192.168.1.4 olan ip 88.88.88.4
192.168.1.5 olan ip 88.88.88.5
192.168.1.6 olan ip 88.88.88.6vb…
mantıken dhcp logu pek bişey teşkil etmiyor zira ben mesela 192.168.1.5 ip alan kişinin dışarı çıktıgı ip adresini elle istedigim gibi değiştirebiliyorum.
saygılarımla.
-
arkadaslar 5651 kanununa göre aşağıdaki durumda olan birisi ne yapmalı?
dhcp serverde otomatik degil statik olarak ip veriyorum.
otomatik ip verme kapalı.
her ip verdigim kişiyi GERÇEK IP adresiyle dışarı çıkarıyorum.mesela 192.168.1.2 olan ip 88.88.88.2
192.168.1.3 olan ip 88.88.88.3
192.168.1.4 olan ip 88.88.88.4
192.168.1.5 olan ip 88.88.88.5
192.168.1.6 olan ip 88.88.88.6vb…
mantıken dhcp logu pek bişey teşkil etmiyor zira ben mesela 192.168.1.5 ip alan kişinin dışarı çıktıgı ip adresini elle istedigim gibi değiştirebiliyorum.
saygılarımla.
Hocam sizde bu kayıtları log layacaksınız o zaman. Burada resmi olarak istenene şey sizin bildiğiniz eğil. mevcut durum kaydını "resmi" olarak zaman damgası ile sunulacak halidir. Sizin bu zaman damgasız sabitlenmiş bile olsa kayıtlarınız bir geçerlilik ifade etmeyecek.
Durum itibari ile bu erişim kayıtlarını imzalatarak saklamanız gerekecek.saygılar.
-
Oncelikle Bülent Bey'e bu harika calismasi icin sonsuz ve samimi tesekkurlerimle,
sistemi test ettim gayet guzel calisiyor,
paket kurulumlarini asagidaki postta verilen linklere göre yaptim.
https://forum.pfsense.org/index.php/topic,70877.msg387566.html#msg387566Burda ilave etmek istediğim 3 nokta var;
1-Samba paylasimi ile ilgili;
–-------------------------------------------------------------
kurulumun anlatildiği word dosyasinda log dosyalarinin kopyalanacagi bilgisayarda paylasilmis klasorlere everyone icin full control verilmis tabi bu rahatsiz etti
Windows 7 oldugu icin word dosyasinda asagidaki gibi verilen samba linklerini;/usr/local/bin/smbclient \\\\xxx.xxx.xxx.xxx\\TIB5651log_BKP -U windowsbilgisayaradi%"sifresi" -W -N -c "prompt; put Tib5651LogAdmin-$tarih.tar.gz" Ve /usr/local/bin/smbclient \\\\ xxx.xxx.xxx.xxx\\TIB5651log_TMP -U windowsbilgisayaradi%" sifresi " -W -N -c "prompt; put Tib5651LogImza-$tarih.tar.gz" Satırlarında; xxx.xxx.xxx.xxx : Windows bilgisayarınızın IP nosu windowsbilgisayaradi : Windows sistem özelliklerindeki Tam bilgisayar adını sifresi : Windows bilgisayarınızın şifresi (Bilgisayarınızda Şifre olmak zorunda)bilgisayaradi kismini user_name olarak degistirdim.Boylece everyone-full control'un ortaya cikarttigi zaafiyetten kurtulmus olundu.
calisan .. dosyam;/usr/local/bin/smbclient \\\\192.168.2.20\\TIB5651log_BKP -U user%"eml4535" -W -N -c "prompt; put Tib5651LogAdmin-$tarih.tar.gz" tar -zcvf Tib5651LogImza-$tarih.tar.gz Tib5651_Yasal/ /usr/local/bin/smbclient \\\\192.168.2.20\\TIB5651log_TMP -U user%"eml4535" -W -N -c "prompt; put Tib5651LogImza-$tarih.tar.gz"user burda kullanici adi,siz sizdeki kullanici adiyla degisebilirsiniz.
tabi o kullaniciya full-control yetkisi vermek lazim.2.squid ve squidquard zorunluluğu;
–----------------------------------------------------------
Haliyle sistem bunlar olmadan calismiyor..
Proxy güzel harika,sirf windows updateleri cache'lemek icin bile kurulur,
ne yazikki Traffic Shapper ile duzgun calismiyor..
benim aktif sistemim 3 WAN ve 1 LAN (150 kullanici) seklinde ve Traffic Shapper uzerinden gitmeyi dusunuyordum, loglama icin proxy sarti tabi olayi biraz degistirecek
genede en kisa zamanda buna vmware makina hazirlayip gercek ortamda testi yapmayi dusunuyorum.sabit konularda selimakpinar'in yazdigi dhcp leases uzerinden giden bir cozum var.
onuda denedim ama leases dosyasindaki farkliliklar nedeniyle tam calismadi, python yazmayi ogrenip 1-2 hafta icinde selimakpinar dan once davranabilirsem :)
o betigi duzeltmeyi hedefliyorum.3-arp olayi.
arp guzel iyi, sistem elle girilen ipleri -yanlışım varsa duzeltin- arp ile ogreniyor
ama gene bana ozel bir durum ortaya cikiyor,
networkde bridge modda point to point calisan wireless cihazlar ve arkasinda bir ton makina var tabi bunlar hikayeyi nasil degistirecek,
arp orda nasil ates edicek pek umutlu degilim ama ..
canli sistemde testi yapinca yazarım.kolayliklar..
-
bende dhcp loglarını alıyorum
hiç bir paket'e gerek duymadan ftp olarak istediğim yere gönderiyorum ya da paylaşıma forumda konusu var
0 kurulmuş sisteme 3 dosya atıp direk çalışır hale getirebilirsin
kolay gelsin
-
Merhaba arkadaşlar
Sevgili Şevket Keser arkadaşım sizlere yardımcı olabildiysem ne mutlu bana. Ben de hepinize gösterdiğiniz ilgi ve alakadan dolayı teşekkür ederim.
everyone kullanıcısı yerine farklı bir kullanıcı ile de yetkilendirme yapabilirsiniz. Bu açıklama yerinde olmuş.
Arp meselesine gelince; internete çıkan kullanıcıları tespitlemek de dolayısı ile sistem yöneticisinin kullanıcıya tahsis ettiği ip dışında bir ip ile kullanıcın internete çıkması halinde bile arpın analiz edilmesi ile kullanıcın farklı bir ip ile interneti kullandığının tespitlenmesi mümkün hale gelmekte (Elle girilen Ip olayı). Benim sistem yapımda point to point yok sadece Access point var ancak tahmin ediyorum ki her ne şekilde olursa olsun kullanıcı hangi yollar gelirse gelsin PFSense sisteminden geçerken bir iz bırakacak ve arp'ında bunu tespitleyeceği kanaatindeyim.
Benim için esas olan iki konu var ki bunlar bana göre çok önemli paylaşmak isterim.
Squid http sitelerini logluyor. OK https siteleri ve mail çıkış-giriş logları yok. Oysa daha önce kullandığım basit sadece proxy özelliği olan bir yazılımda örneğin mail durumunu da logluyordu. Yani kullanıcın saat kaçta hangi mail servisinden mail aldığını veya hangi mail servisine mail atıığının loğlarını da görebiliyordum. PFSense de böyle bir özellik varsa ben bilmiyorum. Umarım bu konularda da ilerleyen zamanda ek yazılımlar çıkar.
Not. Kullanıcın ne mail attığını veya ne geldiğini görmüyordum. İçerik gizli sadece mail serverların kullanıldığı saat-tarih bazında loğunu alıyordum.
Bilişimciler https sitelerini de http de olduğu gibi filtrelemek istemekte. Umarım bu sıkıntılar ilerleyen süreçte çözüme kavuşur.Selam ve Sergilerimle
Bülent ÖZKAN -
evet bu konuda bende katılıyorum
squid sadece http trafiğini loglar
ama üstünden geçen tüm trafiği loglayacak bir squid ya da başka birşey lazım
80, 110 , 25 , 23, 995, 443, 3389, vs vs
bunlar mail smtp telnet ssl rdp portları kişi bunlar üstünden trafik oluşturduğunda bunlarıda loglayabilirsek çok güzel olur :)
-
Merhabalar,
kurulumlarım ve loglamalarım sorunsuz çalışıyor ancak aklıma takılan bir nokta var. Bizim logladığımız kayıtlar local için ip ler ve mac adresleri web içinse ip ve adresleri.
Burada gelgeç bir yere (cafe) veya bir öğrenci yurduna (ki ben kuruyorum) kullandığımızda mac adresleri ne kadar işimize yarayacak? Kullanıcı adı ve mac ilişkilendirmesi kurabileceğimiz bir yöntem var mdıır? Ki ayrıca asıl aradığım cevap aynı makina ile farklı kullanıcılar çalıştığında makinanın IP bazlı loglarının hangi kullanıcının olduğunu nereden anlayabiliriz?
-
Merhaba arkadaşlar
Evet fotocum internet çıkış logları IPve MAC bazında
MAC adreslerini TIB istemekte. Halka açık yerlerde aynı ip nosunu birden fazla kimse dhcp ile alsa da mac farklı olacaktır biliyorsun bu ayrımı yapmak için.
Kullanıcı adı ile mac ilişkilendirme yapabilirsin. PFSEnse DHCP server da mac adresine dayalı ıp numarası atayabilirsin ve buraya description alanına tanımlayıcı bilgi girebilirsin.
Esas amacın aynı makinayı birden fazla kimse kullanıyorsa bu biraz zorlayıcı.
1-Eğer kullanıcılar vardiya usulü ile çalışıyorsa bunda sorun kalmaz her kişinin çalışma saatleri bellidir.
2-Kullanıcılar gün içinde ortaklaşa kullanıyorlarsa bunu ayırman loglama açısından biraz zor. neredeyse imkansız.Selam ve Sevgilerimle
Bülent ÖZKAN -
yok BULO üstad arkadaşlar "lan işin varmı makinada?" diyip oturuyorlar birirlerinin laptplarının başına. Bu yüzden siisteme giren mac adresinin yanında kullanıcı adınıda loglamam daha mantıklı olacak. Zaten yönetiminde bu yönde talebi var. "Biz hangi mac kimin bilemeyiz ki" diyorlar. bende "özel yaşama müdahale etmeyin" diyip topu taç a yolluyorum. Ama bu soruna bir çare bulmam gerekecek.
yada aslında şimdi aklıma gelen birşey oturumları da loglatsak nasıl olur?? Evet loglamayı bizim işimize yarayan hale çevirebilen arkadaşlar aynı log dosyalarının içinden radius kullanıcı kontrollerini veya captiva portal oturumlarını da görebiliyor olmaları lazım. mutlaka bunlarda loglanıyordur.
-
Merhaba
Evet fotocum haklısın bu durumda captive portal kullanarak işe başlamak doğru olacaktır. Ancak ben kullanmadığım için ne gibi bir loglama (captive Portalın) yaptığını bilmiyorum. Gerçi bunu başarsakta kullanıcıların internet şifrelerini birbirlerine vermemeleri gerekmekte ve kullanıcı bilgisayar başından kaltığında kendi browser bağlantısını kapatmak zorundaki ki yeni kullanıcı kendi bağlantı adı ve şifresi ile giriş yapsın. Captive Portal konusunda daha önceleri bazı arkadaşarımdan istek talepleri almıştım. Bu konu ile ilgili bir çalışma yapmaya bugüne kadar fırsatım cidden olmadı. Ama kendim için olmasada en azından bunu denemeyi istiyorum.
Selam ve Sevgilerimle
Bülent ÖZKAN -
-
Merhabalar
Hocam öncelikle ellerinize sağlık, muhteşem bir özveri ürünü olmuş bu script. Umarım paket halde de sunabiliriz ileride ve pfSense hakettiği "özgür" güce ulaşır (tıpkı Wordpress gibi)
Şuan 2.1 Release üzerinde başarıyla çalıştırabildim. pfSense'te yeniyim. Çok araştırıyorum.
Karşılaştığım bir sorun olmuştu o da mesela Cron ile Squid'e müdahale edip Squid'i gece yarısı sıfırlamaktı. 23:45'te loglar alınıyor fakat 00:00'ta sıfırlanıyor, arada 15 dakikalık log kaybı oluyordu. Diyelim Squid sıfırlama kodunu 23:48'de çalıştırdım, yine de 2 dakika bile olsa bir kayıp zaman.Lightsquid'i de kurduğum için pfSense üzerinden geçmiş takibimi yapabileceğimi düşündüm ve TIB5651ANLrun.sh dosyasının en altına şu kodları ekledim:
/usr/bin/perl /usr/pbi/lightsquid-i386/www/lightsquid/lightparser.pl today rm -rf /var/squid/logs/*.* /usr/local/etc/rc.d/squid.sh stop rm -rf /var/squid/cache/ mkdir -p /var/squid/cache/ chown proxy:proxy /var/squid/cache/ chmod 777 /var/squid/cache/ squid -z /usr/local/etc/rc.d/squid.sh start cd /Bu sayede 23:45'te logları aldıktan hemen sonra aynı dosya içinden Squid'in cache'ini ve log'unu temizleyip bir sonraki gün raporunu sıfırdan başlatabildim.
Bu yönteme sizin de yorumunuzu rica ediyorum. Yanlış anladığım bir durum ya da müdahalem olmuş mudur?
Teşekkürler
-
Merhaba
Evet fotocum haklısın bu durumda captive portal kullanarak işe başlamak doğru olacaktır. Ancak ben kullanmadığım için ne gibi bir loglama (captive Portalın) yaptığını bilmiyorum. Gerçi bunu başarsakta kullanıcıların internet şifrelerini birbirlerine vermemeleri gerekmekte ve kullanıcı bilgisayar başından kaltığında kendi browser bağlantısını kapatmak zorundaki ki yeni kullanıcı kendi bağlantı adı ve şifresi ile giriş yapsın. Captive Portal konusunda daha önceleri bazı arkadaşarımdan istek talepleri almıştım. Bu konu ile ilgili bir çalışma yapmaya bugüne kadar fırsatım cidden olmadı. Ama kendim için olmasada en azından bunu denemeyi istiyorum.
Selam ve Sevgilerimle
Bülent ÖZKANbiraz araştırınca kullanıcı girişleri ve tahsis edilen ip ler ile ilgili /var/log/portalauth.log dosyasında kayıtların saklandığını buldum. Buna istinaden bizim kullandığımız (phyton olmayan) loglama dosyalarına nasıl entegre edileceği gibi bir ayrıntı var şimdi :) yada aslında oraya entegre edilmeyebilirde. ayrı bir log dosyası şeklinde de oluşturulabilir. Biraz deneyeyim bakalım birşeyler yapabilecekmiyim… tabi direk kodlama dilini bilen arkadaşlarıda konuya davet ediyorum :)
-
Merhaba arkadaşlar
Evet Wishrap haklısın 15 dakikalık veya farklı bir saat ayarı ile 00:00 saat dilimine kadarki süre kayıptır. Tabiki bu saatlerde iş yapan bilgisayarlarınız var ise yaptığınız son derece doğrudur. Ancak yaptığınız sıfırlama sonrasında 00:00 diliminde cron üzerinde squid sh dosyası tekrar sıfırlama yapmadığından emin olmalısınız. Yani sizin sıfırlamanız 23:45 de ise cronda 00:00 da tekrar sıfırlayacaktır buna dikkat et derim.
Sevgili fotocum sende haklısın /var/log/portalauth.log dosyasına captive portal ile ilgili loglar atılmakta. Sadece bu dosyaya değil /var/db/captiveportal.db ve captiveportal_online_users dosyalarına da aktif olunduğu süreç içerisinde de loglar aktarılmakta. Pasif olunduğunda db dosyasından pasif olan kullanıcı kaldırılmakta. Esasen bu konuya eğilmeyi cidden düşünüyorum. Ancak kendi ortamımda captive portal kullanmadığımdan detaylı iyi bir log yapısına sahip olamayacağım için yazılım esnasında olabilecek veri kayıplarından dolayı yanlış kodlama yapmaktan endişe duyuyorum.
Selam ve Sevgilerimle
Bülent ÖZKAN -
Merhaba Arkadaşlar,
Sistem anladığım kadarıyla Squid üzerindeki access.log üzeriden yürüyor, peki sistemde proxy ve proxy filter kullanmadığımızı varsayarsak ne gibi bir çözüm yoluna gidebiliriz?
yakın zamanda dhcp tarafını pfsense üzerine almayı düşünüyorum, proxy ve proxy filter işini bulut tabanlı çözüyorum daha stabil ve daha kullanışlı geliyor bana, buna göre proxy olmadan pfsense üzerinde nasıl log tutabiliriz?
-
hocam hem "sen birşey izleme&karışma" diyorsun hemde "sen bil" … biraz ilginç geldi doğrusu. Siz yinede kuralsız bir proxy ayarlayıp o şekilde kayıt altına alabilirsiniz bence. Üstadlar kesin açıklama yapacaktır.
-
Merhaba
Evet fotocum haklısın bu durumda captive portal kullanarak işe başlamak doğru olacaktır. Ancak ben kullanmadığım için ne gibi bir loglama (captive Portalın) yaptığını bilmiyorum. Gerçi bunu başarsakta kullanıcıların internet şifrelerini birbirlerine vermemeleri gerekmekte ve kullanıcı bilgisayar başından kaltığında kendi browser bağlantısını kapatmak zorundaki ki yeni kullanıcı kendi bağlantı adı ve şifresi ile giriş yapsın. Captive Portal konusunda daha önceleri bazı arkadaşarımdan istek talepleri almıştım. Bu konu ile ilgili bir çalışma yapmaya bugüne kadar fırsatım cidden olmadı. Ama kendim için olmasada en azından bunu denemeyi istiyorum.
Selam ve Sevgilerimle
Bülent ÖZKANbiraz araştırınca kullanıcı girişleri ve tahsis edilen ip ler ile ilgili /var/log/portalauth.log dosyasında kayıtların saklandığını buldum. Buna istinaden bizim kullandığımız (phyton olmayan) loglama dosyalarına nasıl entegre edileceği gibi bir ayrıntı var şimdi :) yada aslında oraya entegre edilmeyebilirde. ayrı bir log dosyası şeklinde de oluşturulabilir. Biraz deneyeyim bakalım birşeyler yapabilecekmiyim… tabi direk kodlama dilini bilen arkadaşlarıda konuya davet ediyorum :)
Selam arkadaşlar,
Forumu çoktandır takip ediyorum.
Forumdaki arkadaşlar çok güzel paylaşımlarda bulunuyorlar.
Bende ufakta olsa katkıda bulunmak istiyorum.Bulent ÖZKAN arkadaşımızın yazdığı 5651 loglama ile birlikte portal kullanıcılarının girişlerini günlük logluyorum;
Bu loglamayı yapmak isteyen arkadaşlar var ise aşağıdaki kodu kullanarak yapabilirler.
Bu arada kod Bulent ÖZKAN arkadaşımızın yazmış olduğu kodun modifiyesidir, kendisine teşekkür ederiz :)###############################################################################
tarih=date "+%Y%m%d-%H%M%S"
cd /
cd /var/log
tar cvzf portalauth-$tarih.tar.gz portalauth.log
/usr/local/bin/smbclient \\XXX.XXX.XXX.XXX\TIB5651log_TMP$ -U Kullanici_Adi%"Sifre" -W -N -c "prompt; put portalauth-$tarih.tar.gz"
rm -rf portalauth-$tarih.tar.gz
cd /
###############################################################################NOTLAR :
1 - Oncelikle, islemin gerceklesmesi icin, portal girislerini logluyor olmaniz gerekmekte. Eger, /var/log/portalauth.log dosyası yoksa veya ici bos ise loglama aktif degildir. Bunun icin, ( SERVICES > FREERADIUS > SETTINGS > Log good authentication attempts -> "Log" ve Log Bad Authentication Attempts -> "Log" seklinde loglamayi aktif edebilirsiniz.)
2 - Yukarıdaki kodları /sbin altına "portal_log_kopyala.sh" dosyası oluşturup gerekli ayarları yaparak (kopyalanacak bilg. ip si , kullanıcı adı, şifresi v.s.) kaydedin.
3 - Dosyayı çalıştırılabilir dosya olarak ayarlayın, komut : chmod +x /sbin/portal_log_kopyala.sh
4 - Deneme yapalım, komut : /sbin/portal_log_kopyala.sh
5 - Dosyalar Windows makinaya geldiyse Cron'a ekleyelim (Her akşam 23:45 çalışsın gibi)Not : Log dosyasının yeri Pfsense 2.1 e göre ayarlanmıştır. Diğer versiyonlarda log dosyası farklı yerde ise, portal_log_kopyala.sh dosyasındaki log yerini düzenleyebilirsiniz.
Saygılarımla.
-
Merhaba Arkadaşlar
Evet sistem backdemir06 arkadaşımın belirttiği gibi Squid üzerindeki access.log üzerinden yürüyor. Squid olmadan kullanıcı web istek url loglarının tutulması benim bildiğim kadarıyla mümkün değil. Captive Portal da ise kullanıcıların login olduğu tarih-saat ile aynı kullanıcın (normal şartlarda) timeout-disconnect tarih ve saatleri mevcut. Ancak o kullanıcın hangi siteleri kullandığı bilgisi squid ile gelmekte.
Kemalgok arkadaşımızın yaptığı güzel bir çalışma olmuş Captive Portal kullanıcılarının portalauth.log dosyasının sıkıştırılarak istenilen bilgisayar kopyalanması.
Yakın bir süreçte yeni bir uygulamayı yani TIB5651 yazılımına Captive Portalı dahil etmeyi düşünüyorum. Şu anda log yapılarını incelemekle meşgulüm. Amacım aynı bilgisayarı birden fazla kullanan kullanıcıların Access loglarını ayırmak ve bununla ilgili detaylı bilgi vermek. Ancak şu anda portalauth.log dosyasının tek başına yeterli olmadığı düşüncesindeyim. İnşaallah iyi bir yapı kurar ve Captive Portal Logları ile Squid loglarını analiz ederim.
Bu konuda fotocum arkadaşıma bana destekleri için teşekkür ederim.Selam ve Sevgilerimle
Bülent ÖZKAN -
Tekrar Merhaba Arkadaşlar, ben 5651 için kasdetmiştim yanlış anlaşıldım galiba :) her neyse dhcp leased logunu squid olmadan alıyorum
şuan.ayrıca squid olmadan ayrıntılı log alma işinide "ntop" paketi ile çözdüm.en azından benim işimi görüyor :)
tek sıkıntım şuan dhcp excluded. yani her şeyi becerebilen pfsense dhcp'de şu ip yi dağıtma diyemiyor :))
yinede araştırıyorum.çözüm bulursam paylaşırım..
İyi Akşamlar…