lug-bg: Re: lug-bg: Моля за консултация!
- Subject: lug-bg: Re: lug-bg: Моля за консултация!
- From: "sub" <sub@xxxxxxxxxxxxx>
- Date: Sun, 14 Mar 2004 20:52:56 -0500
----- Original Message -----
From: "atl" <atl@xxxxxxxxxxx>
To: <lug-bg@xxxxxxxxxxxxxxxxxx>
Sent: Sunday, March 14, 2004 3:48 AM
Subject: Re: lug-bg: Моля за консултация!
> Ivan Iliev wrote:
>
> > Здравейте,
> >
> > Ситуацията е следната. Администратор съм на малко ISP. Имаме един Linux
gateway с две мрежови карти. Едната лан карта има реален IP адрес а другата
е с адрес 192.168.0.1. Машината извършва traffic shaping, NAT, DNS и т.н.
Всичко си работи както трябва и е чудесно.
> > На последък ме мъчи една мисъл. Всичи потребители излизат с един реален
IP едрес. Какво ще се получи ако якой от вътрешната мрежа направи в Интернет
нещо нередно. В логовете на даденият сървър ще се запише IP адреса от който
излизат всички. По какъв начин аз мога да разбера кой е направил белята от
локалните потребители. Какво съм длъжен и имам право да логвам. Това което
ми хрумва е да използвам squid но той лотва само http трафика. Просто искам
да ми е така gateway-ят, че ако някой направи нещо да не бъда аз виновен и
да не подведат мен под отговорност и да мога да кажа кой е бил от
потребителите ми, които не са лалко, над 60 човека.
> >
> >Знам как постъпрат нормалните ISP-та. Имат определен блок IP адреси.
Мрежата е изградено на базата на PPPoE. Всеки клиент желаещ да използва
интернет се конектва към PPPoE сървъра с потребителско име и парола,
извършва се оторизация в радиус сървър и се дава на клиента динамичен реален
IP адрес. В логовете на радиуса се записва адреса с който е бил клиента,
трафика му и т.н. при което няма проблем да се коже кой е бил.
> >
> >При мен за съжаление на този етап няма възможност да не изгради по този
начин мрежата. Как бихте постъпили ако сте на мое място. Какви логове бихте
водили.
> >
> >Благодаря предварително за помоща.
> >
> >
> 1. Купуваш си яка машинка. Нещо от рода на Пентиум 4. 2 Мрежови карти.
> Adaptec 39320 SCSI Controler.
> 2. Купуваш си RAID масиви. Външни. По 3-4 Терабайта. 5-6 На брой.
> Лентово устройство с голям капацитет.
> 3. Настройваш мрежовите карти в bridge моде. (ask google как да го
> направиш, или питай тук)
> 4. Мушиш рутера в едната карта, а switch-а, към който досега е бил
> вързан рутера - в другата карта
> 5. Дъмпваш яко целия минал трафик на RAID масивите.
> 6. Бекъпваш циркуляро RAID масивите на лентите.
>
> Мисля че това ще ти реши проблема. Ако някой направи фал - анализираш
> терабайтите с трафик, виждаш кой е, и го предаваш на правосъдието.
>
>
============================================================================
> A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
> http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara
Zagora
> To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
>
============================================================================
Ако искаш по-евтино решение, сложи си Snort и го настрой да ти логва
sorce/destination IP на всяка сесия в MySQL database(или пък само неща които
не трябва да излизат - порт скан например, зависи колко място имаш). Ако
искаш да си още по-стриктен можеш да инсталираш снорт-а на самия линукс
рутер и да го конфигурираш като inline IDS - да спира трфик, който ти не
искаш да илзиза от тебе.
Записвай на лента за една седмица или месец назад.
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|