- Настройка логирования
- Логи роутера история посещений
- История посещения сайтов через журналы маршрутизатора Mikrotik
- SysLog Keenetic Extra для просмотра истории посещений
- Идеальный способ узнать какие сайты Вы посещаете через открытый WiFi
- Установка и запуск WireShark
- Сбор информации
- Атака «Человек посередине»
- Заключение
Настройка логирования
Существует шесть способов сбора логов с cisco маршрутизаторов:
1.Console logging — вывод сообщений на консоль маршрутизатора, т.е. для их чтения нужно быть подключенным к консоли.
2.Buffered logging — в этом случае все сообщения будут размещаться в RAM памяти маршрутизатора. Для этого необходимо настроить буфер для логов в маршрутизаторе, так же следует помнить что буфер ограничен и при большом количестве сообщений старые записи будут затёрты более новыми и будут потеряны.
3.Terminal logging — используя команду terminal monitor можно заставить маршрутизатор выводить лог сообщения на VTY терминалы.
4.Syslog — маршрутизатор cisco будит посылать лог сообщения на один или несколько внешних syslog сервера.
5.SNMP traps — маршрутизатор может посылать SNMP сообщения (traps) на удалённый SNMP сервер для сбора событий происходящих на маршрутизаторе.
6.AAA accounting — если Вы используете AAA, то можете заставить маршрутизатор отправлять информацию о сетевых подключениях и командах выполненных на маршрутизаторе на NAS (Network Access Server) сервер.
Для простоты можно все эти способы насвать «приемниками» логов, т.к. они эти логи принимают.
Каждый из этих приемников можно включить, выключить, а также настроить на уровень логирования или критичности принимаемых сообщений.
Уровень Название Описание
0 Emergencies Система не работоспособна
1 Alerts Необходимо срочное вмешательство
2 Critical Критические события
3 Errors Сообщения о ошибках
4 Warning Всевозможные предупреждения
5 Notifications Различные важные уведомления
6 Informational Информационные сообшения
7 Debugging Отладочые сообщения
Проверка настройки сбора логов:
Router#show logging
Syslog logging: enabled (0 messages dropped, 3 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filtering disabled)
Console logging: level informational, 281 messages logged, xml disabled,
filtering disabled
Monitor logging: level debugging, 81584 messages logged, xml disabled,
filtering disabled
Logging to: vty644(24674)
Buffer logging: level warnings, 218 messages logged, xml disabled,
filtering disabled
Exception Logging: size (8192 bytes)
Count and timestamp logging messages: disabled
Persistent logging: disabled
Trap logging: level informational, 429 message lines logged
Таким образом, к примеру события изменения состояния интерфейсов (UP/DOWN) которые принадлежат уровню informational, будут оседать в приемниках Console logging и Monitor logging.
Если же мы включим дебаг, то все это повалится только в Monitor logging.
Рассмотрим пример настройки логирования:
! Настройка отображения текущего времени
service timestamps log datetime localtime
!
! Включение логирования
logging on
!
!
! Логи на консоль
logging console critical
logging monitor debugging
!
! Настройка логирования в буфер
logging buffered informational
logging buffered 16386
logging rate-limit 100 except 4
!
! Настройка сообщений на сервер syslog
logging 192.168.1.10
logging trap debugging
Для того чтобы посмотреть что упало в буфер:
router#show logging
Включение отображения monitor logging:
terminal monitor
Логи роутера история посещений
Несмотря на это, по российским законам история вашего браузера за последние 30 дней будет храниться у провайдера. Подробнее об этом можно узнать в постановлении РФ № 445 «Об утверждении Правил хранения операторами связи текстовых сообщений пользователей услугами связи, голосовой информации, изображений, звуков, видео- и иных сообщений пользователей услугами связи».
Постановление приняли для того, чтобы соответствующие службы смогли отследить преступную деятельность в интернете. Таким образом, во время следствия можно будет точно доказать, с какого компьютера человек заходил на конкретные страницы. Проще говоря, данные о трафике сохраняются только для правоохранительных органов и не доступны простым пользователям.
История посещения сайтов через журналы маршрутизатора Mikrotik
В своей работе мне часто приходится использовать данные маршрутизаторы для решения своих задач. В данном случае, необходимо было предоставить доступ в интернет через роутер RB450G, имея возможность блокировать определенные сайты по маске имени и сохранять историю посещений. Далее будет показан пример решения такой задачи с использованием бесплатного ПО.
Для начала было решено настроить прозрачный прокси. В роутере есть свой Web-proxy, чтобы сделать его прозрачным выполняем согласно примеру в документации
code>ip firewall nat add in-interface=ether1 dst-port=80 protocol=tcp action=redirect to-ports=8080 chain=dstnat
ip proxy set enabled=yes port=8080
что перебрасывает запросы по 80(HTTP) порту на порт прокси сервера 8080. Теперь можно добавить блокируемые адреса, например так
/ip proxy access add action=deny redirect-to=192.168.0.1/404 dst-host=:facebook
В данном случае будут блокироваться запросы содержащие слово «facebook» и переадресовываться на внутреннюю страницу 192.168.0.1/404 (что конечно же необязательно). После двоеточия в параметре dst-host можно использовать и регулярные выражения.
Далее встал вопрос, как же, собственно накапливать и обрабатывать журнал посещений. Встроенного или иного продукта от производителя предусмотрено не было. После чтения документации и поиска по тематическим форумам был найден продукт Webproxy-log. Продукт несколько топорный, но подсказывающий направление (хотя для небольшой нагрузки и он вполне сгодится). Как это работает:
1. В настройке назначения журналирования добавляется раздел для предачи в syslog сервер.
/system logging action add name=proxylog target=remote remote=192.168.0.1 src-address=192.168.0.3
192.168.0.1 — адрес syslog сервера, в который мы будем направлять журнал. 192.168.0.3 — внутренний адрес маршрутизатора.
2. Создадим раздел самого журнала, который будет использовать созданное назначение и направлять туда логи прокси сервера
.
/system logging add topics=web-proxy action=proxylog
На этом этапе роутер будет отсылать логи вида
web-proxy,account 192.168.0.59 GET imgcdn.ptvcdn.net/pan_img/appDownload/PandoraService/Service_Info.
xml action=allow cache=MISS
web-proxy,debug GET /pan_img/appDownload/PandoraService/Service_Info.xml HTTP/1.1
web-proxy,debug Cache-control: no-cache
web-proxy,debug Pragma: no-cache
web-proxy,debug Host: imgcdn.ptvcdn.net
web-proxy,debug Accept: text/html, */*
web-proxy,debug Accept-Encoding: identity
web-proxy,debug User-Agent: Mozilla/3.0 (compatible; Indy Library)
web-proxy,debug X-Proxy-ID: 1074695054
web-proxy,debug X-Forwarded-For: 192.168.0.59
web-proxy,debug Via: 1.1 192.168.0.3 (Mikrotik HttpProxy)
web-proxy,debug
где с префикса web-proxy,account будет записан адрес пользователя пославшего запрос, и сам запрос.
3. В качестве сервера можно использовать вышеуказанный продукт, который состоит из двух частей:
WebProxy Log Catcher — приложение (как служба не устанавливается) сам простой syslog сервер, собирающий логи для последующей обработки и добавляющий метки времени.
WebProxy Log — интерфейс просмотра журналов, при каждом запуске импортирующий накопленные сборщиком логи в локальную БД.
Настройка приложения сложностей не вызывает и достаточно описана в документации.
Учтя несложный формат логов, не сложно написать свой анализатор журналов отправляемых маршрутизатором и позже для собственных целей была написана небольшая служба с вэб-интерфейсом, используя Delphi и компоненты ICS, сохраняющая журналы в бд на базе SQL server express.
Возможно, всё перечисленное поможет Вам сэкономить время при решении подобных задач и немного познакомит с возможностями маршрутизаторов данного производителя.
SysLog Keenetic Extra для просмотра истории посещений
Низкая скорость соединения ноутбука с роутером Keenetic Extra
Приветствую. Помогите решить следующую задачку: Роутер Keenetiс Extra, несколько компьютеров.
Какой роутер лучше выбрать Tenda AC9 или Keenetic Extra?
Здравствуйте! Выбираю роутер для дома, соединение Ethernet, скорость 80 мбит/с, тип подключения.
Сохранение истории посещений и закладки в браузере
Доброго времени суток. Прошу помощи у Вас. В С++ только начинаю что то разбирать. Делаю курсовик по.
Отключение записи истории просмотра в WebBrowser
Добрый День! Можно ли как-то отключить историю просмотра компонента WebBrowser от истории.
Здравствуйте. Если Вы хотите блокировать, можете попробовать это: https://dns.yandex.ru/advanced
В свойствах сетевого адаптера просто прописать DNS сервера. Или в роутере, если ребенок что-то понимает в комьютере, да бы не смог убрать настройки.
P.S — Когда меня запалили за этим делом в детстве, сделали вывод, что я развиваюсь )
Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.
Сохранение истории просмотра сайтов во встроенном родительском контроле Windows 7
Здравствуйте! Скажите, пожалуйста, во встроенном родительском контроле этой операционки есть.
Как разместить для просмотра (только для просмотра!) скан книги на сайте?
Стоит задача по размещению для просмотра скана книги на сайте. Это можно сделать с помощью.
Самый дорогой компьютер в истории киберфорума, России и мировой истории. Рекомендовано Forbes
Не пытайтесь повторить. Выполненно профессионалами -.
Нужен WEB интерфейс для syslog-ng на Debian
Подскажите, пожалуйста, мне нужен web интерфейс для syslog-ng. В данный момент на сервере Debian.
Идеальный способ узнать какие сайты Вы посещаете через открытый WiFi
Установка и запуск WireShark
WireShark — это крайне полезная и мощная программа для перехвата трафика и анализа активности в локальных сетях. В Kali Linux эта программа уже установлена и готова к использованию, а в Windows её нужно установить дополнительно ( версия для windows ).
Если в Вашем линуксе программа не установлено, то её можно установить из менеджера пакетов или в терминале командой
Для запуска воспользуемся терминалом и запустим от имени Супер-пользователя.
Выбираем нужный нам интерфейс для анализа трафика. После выбора интерфейса мониторинга вид программы меняется
Прежде чем начать смотреть трафик в сети, попробуйте на себе. Перехватите Ваш трафик из Вашего браузер. Просто посетите несколько страница на ПК где запущен WireShark и посмотрите результат. Разберите пакеты, проанализируйте их содержимое.
Wireshark — Мощное средство, а сетевая активность может быть большой. По-этому в интерфейсе программы может оказаться 1000 записей. Для фильтрации можно использовать следующие параметры:
1. ip.proto — Сортировка по протоколу
2. ip.src — сортировка по отправителю
3. ip.dst — сортировка по получателю
4. ip.addr — сортировка по адресу
Между названием фильтра и значением нужно поставить логический символ. Условия можно объединять
== — равно
|| — или то или это (логическое или)
& — и то и то (логическое и)
> — больше
Сбор информации
Тренировка окончена, можно приступать к анализу. Получаем информацию о тех пользователях, которые сейчас активны. Команда netdiscover позволяет быстро получить этот список.
Такая, примерно, картина у Вас должна получиться.
Если список активных клиентов большой (например вы сидите в макдональдсе) можно список сохранить в файл, правда уже другой программой — fping.
Результат выполнения окажется в файле hosts_active.txt.
IP адреса нам нужны для подстановки в программу Wireshark, а именно в фильтры. Пример фильтра:
IP-адреса могут меняться при переподключении. Тогда фильтруем по MAC-адресу:
Никто не запрещает комбинировать фильтры:
Атака «Человек посередине»
В англоязычной литературе данная атака называется MITM. Суть этой атаки заключается в следующем — когда клиент подключается к серверу, то открывается канал связи и клиент доверяет и думает, что сервер настоящий. Перехватчик выступает транслирующим звеном и говорит клиенту «я настоящий сервер», а серверу — «я настоящий клиент». Тем самым транслирует трафик одного другому.
Чтобы реализовать у себя такую схему подключения мы выполним следующие команды.
sudo cat /proc/sys/net/ipv4/ip_forward #check forwarding packets, 1-on, 0-off
Если вывелось 1, то следующую команду пропустите
echo «1» > /proc/sys/net/ipv4/ip_forward #enable forwarding packets
Допишем несколько правил в сетевые настройки
iptables -t nat -A PREROUTING -p tcp —destination-port 80 -j REDIRECT —to-port 8282 #Redirecting traffic from 80 ports to 8282
iptables -t nat -A PREROUTING -p tcp —destination-port 443 -j REDIRECT —to-port 8282 #Redirecting traffic from 443 ports to 8282
Стартуем команду для перехвата трафика жертвы. Сначала запускаем wireshark, а лишь потом команду:
где, жертва — ip-адрес жертвы, шлюз — ip-адрес роутера
Например, для атаки на жертву с ip-адресом 192.168.0.100, а роутером 192.168.0.1 команда примет вид:
Завершающую работу по анализу перехваченных данных производим в программе wireshark.
Заключение
Если вы подключаетесь к открытым wifi сетям, то будьте очень внимательны при переда данных в них. Используйте зашифрованное соединение и другие методы защиты.
*Статья ни в коем случае не призывает к действиям, а лишь демонстрирует возможности программного обеспечения!