Auditorias de acceso seguridad Pfsense
-
Hola.
El scripting esta muy bien para ciertas cosas, pero si ya usas el paquete Email Reports…
Añade un Report Commands, tal que ejecute (ver img)
clog /var/log/filter.log | grep ,443, | grep in | grep 192.168.1.254 | grep blockObtiene el tráfico bloqueado entrante al puerto 443 a la ip 192.168.1.254, si el acceso a tu gui no es https,y es http pon grep ,80, en lugar de grep ,443, . Y en IP la IP que quieras monitorizar (la de tu interfaz, wan, lan, etc)
Salu2
nota: ojo que si en tus reglas del firewall no especificas que conjunto de IPs permitidas que solo puedan acceder a la GUI de tu pfSense no obtendras los intentos de acceso fallidos mediante este método, y despues de esa regla debe haber una regla a continuación que niegue el acceso a todas las demás IPs y deberia ser block, no reject, sino tampoco filtrarias correctamente eso del log (aunque creo que con la default any block, que es transparente, es decir no se ve en las reglas, bastaria).
Otra cosa seria averiguar los intentos fallidos (error de usuario:clave) a la GUI del pfSense desde IPs legitimadas por las reglas del cortafuegos … Lo miro en otro momento :)
-
ok
lo del script lo voy quitando y dejo esto habilitado, todo lo que se te ocurra lo voy probando y asi me entero de algo :)
un saludo y gracias
-
Hola.
Era tan simple como filtrar en system.log :)
clog /var/log/system.log | grep "authentication error"
Mar 6 01:10:46 vra1 php-fpm[19196]: /index.php: webConfigurator authentication error for 'admin' from 192.168.88.135Resumiendo:
Añade un Report Commands en Email Reports, tal que ejecute
clog /var/log/system.log | grep "authentication error"Salu2
=== añadido ===
Y para monitorizar los accesos exitosos
clog /var/log/system.log | grep "Successful login" -
me funciona , me llegan los intentos acertados desde mi ip
lo que me tiene mosca es que habilito la opcion de escritura del nano ( captura) y todo va bien rapido, pero si la dejo por defecto el PF se ralentiza bastante a la hora de generar eglas sobre todo al aplicar cambios,
sera la opcion de escritura para configurar los PF al principio y luego cambiar a solo lectura? para no cargar mucho la vida de este tipo de memorias
un saludo
-
Hola.
Claro, si se evita hacer escritura en discos tipo flash para alargar su ciclo de vida, tendrá que recurrir a la ram, puede que ampliando la ram mejore el rendimiento, pero no tengo experiencia con nanoBSD, no podría asegurarlo.
Salu2
-
Esa "lentitud" es algo inherente a ciertas CF….
Busquen posts de cmb, al respecto ;)
https://forum.pfsense.org/index.php?topic=104906.msg584944#msg584944
The slow rw->ro mount times are the same as in recent versions after removal of forcesync patch. For drives that are slow there, keep it permanently rw mounted. Noted here, search forcesync.
https://doc.pfsense.org/index.php?title=2.2.4_New_Features_and_Changes
The forcesync patch for #2401 is still considered harmful to the filesystem and has been kept out. As such, there may be some noticeable slowness with NanoBSD on certain slower disks, especially CF cards and to a lesser extent, SD cards. If this is a problem, the filesystem may be kept read-write on a permanent basis using the option on Diagnostics > NanoBSD. With the other above changes, risk is minimal. We advise replacing the affected CF/SD media by a new, faster card as soon as possible. #4814
-
o sea que no pasa nada si la dejo activada segun el ultimo comentario, hasta que saquen algo, parche o algun fix
pues lo dejare en RW si asi va mucho mejor, total esas memorias CF son muy baratas ahora, lo malo es que desaparezcan, en amazon las vi a 6 euros parecidas.
gracias
-
Hola.
Gracias ptt por la info.
Tengo que probar pfsense nanoBSD más a fondo, imagino que para máquinas "old" (o HW muy limitado) con poca ram y cpu "old" y que haga estrictamente de cortafuegos, sin proxy y otros servicios similares, es lo ideal
salu2
-
la mia es esta: http://www.pcengines.ch/alix2d13.htm
la tengo hace 3 años y ningún problema, la compre de segunda mano a un aleman en ebay. he llegado a tener uptime de más de 200 dias y esta con radius, entidad certificadora, VPN de acceso remoto, squid y sarg reportes, eso si no le metas ntop o snort. y lo mejor consumo minimo, ( un raton usb de pilas gasta más) :)
-
Hola, tiene buena pinta ese HW, solo no me gusta que sean fastethernet las nics … imagino que habrá HW similar con gigabitethernet y con un procesador algo mejor (dual core a 1GHZ mínimo , 2GB ram... y ya tienes un "maquinón" ) :)
Salu2 y gracias por la info.
-
lo ideal seria saber como mandar los report de bloqueos en el FW y las ip publicas, o sea lo que aparece en los logs normal view o dinamic view, es posible con los filtros?
no veo la forma
a que log corresponde los intentos de accesos a la ip publica?
clog /var/log/?.log | grep "cadena"
entiendo que seria el filter.log de la opcion 10
clog /var/log/filter.log | grep "block"
-
Hola
Configura las reglas del firewall en las interfaces WAN que quieras que aparezcan "normal view" o "dynamic view" con la opción log activada.
De todas formas en /var/log/filter.log aparece toda la info sin filtrar, pfSense filtra ese fichero vía php hacia la gui de acceso web.
Así que con añadir al paquete mailreport, algo así como:
clog /var/log/filter.log | grep "Mar " | grep "vmx0" | grep "block" | grep "in"Obtendrias el log de Marzo para la interfaz vmx0
(donde vmx0 = interfaz WAN del pfSense , puediera ser em0, etc, depende del HW y cada instalación)
con el tráfico bloqueado en sentido entrante (desde Inet o el router frontera hacia el interfaz wan del pfSense)Salu2
-
es correcto salen las del mismo dia que lanzas la consula o el test now, en mi caso el dia 28 mar hoy.
ahora seria pasar a excel y meter en una base de datos o algo asi no? -
Hola.
Sí, es una forma, miralo en una hoja de cálculo
Otra seria instalar el cliente mysql,pkg install mysql56-client /usr/local/bin/mysql --helpobtener el fichero filtrado clog … > /tmp/loquesea.dat , y con un script sh lanzar el cliente mysql y enlazar a una bbdd e ir creando registros en una tabla, pero esto seria una solución que requiere a un desarrollador y meterle horas …
Para hacerlo rápido con hoja de cálculo:
Yo haria:
Para interfaz WAN denominada = em0
clog /var/log/filter.log | grep `date +%b` | grep ",em0," | grep ",block," | grep ",in," > /tmp/blockWanMes.csvgrep
date +%b, te calcula el mes al corriente.> /tmp/blockWanMes.csv , te canaliza la info al fichero > /tmp/blockWanMes.csv
Luego me bajo /tmp/blockWanMes.csv (desde un cliente sftp como filezilla o copiando y pegando desde el Diagnostigs > edit file, etc) y desde hoja de cálculo (ver img) se analiza.
Salu2
-
gracias por la info, lo dejo para que salte el dia 1 de cada mes, y veremos si purula el 1 de abril.
todas estas cosas ya la mayoria de soluciones firewall lo traen ya automatizado, por ejemplo sophos te manda un pdf con toda la información bien formateada incluso con la procedencia pais etc de las ips publicas que aparecen en los greatest hits.
un saludo
-
Hola
Lo bonito de pfSense es que (a parte de free) es open, y puedes hacer lo que freeBSD + PhP + BashShell ,etc te permita y quieras.
He probado muchos cortafuegos (watchGuard, Cisco ASA, IPcop, ipfw, etc) y al final se trata de lo que hay "abajo corriendo" o IPtables o pfw , etc, y por ahora me quedo con pfSense, un lujo.
Por cierto, en mailreport puedes configurar muchos más informes, uno por hora si te place, y sino quieres tanto mail, me remito al principio del hilo, paquete Cron y que ejecute lo que desees y te filtre, y si hay una salida no nula que la envie por mail, simple scripting que puedes personalizar al gusto
Por cierto, para logs y ciertos informes, prefiero ascii plano que no pdf, es mejor toda esa info en txt,csv,dat, etc para ser tratada, que no para tener pdfs que nadie se lee :) jaja
Salu2
