Linux firewall/proxy

honeypot
http://www.tracking-hackers.com/solutions/

Det kan du, men det kræver at du kan konfigurere selv og det er faktisk lettere end du tror. du kan kikke på følgende ting

Netfilter (den indbyggede firewall som bl.a. smoothwall bruger. Lær dig at konfigurere denne, så kan du faktisk alt.
Squid der er en http proxy add-on til netfilter
Snort der er et IDS system og vil give dig intilligent loging og advarsels mulighed.
Jeanna, forøget funktionalitet til netfilter (og squid)

Hvis det "kun" er intilligent logging du er ude efter, så kik også på muligheden for at bruge tripwire på dine servere og evt indsætte en central syslogserver, der samler alle loggene til central behandling

Jeg kigger lige på det når jeg kommer hjem.

Den 14 juni afholder SSLUG foredrag om IPTables/Netfilter. Det kommer vist til at foregå i Symbion i København. Adgang er gratis

http://www.sslug.dk/adict/mgroup.php?showfuture=1

Detaljert framgangsmåte for logging av vilkårlig trafikk ble svart ut her på Eksperten for et par år siden eller noe slikt. Forsøk å finn den, for det fungerte den gang.

Det er vel ellers slik at en slik logging som oftest kombineres med en firewall funksjon slik at man ikke logger "normaltrafikken" men der i mot den trafikken som firewall fanger opp som "alarmerende".

Fortløpende logging av "normaltrafikk" fyller opp med data i "bøtter og spand" slik at det vil belaste både prosessor og filsystem en hel del. (Men det kan godt la seg gjøre, da skirves det kopi av alle ip pakker til fil.)

Fant noe her. Ikke egentlig så veldig detaljert, men det nødvendigste ..
http://eksperten.dk/spm/333357

undskyld, men jeg får ikke rigtig set på det før til weekenden

Hej igen,

Har installeret Smoothwall, og vil gerne have ændret den så den logger på alle porte.
Jeg har ingen anelse om hvad jeg skal bruge, og hvordan jeg skal bruge det, så det skal være helt fra bunden af, og i bliver nok nødt til at have tålmodighed har aldrig rigtig prøvet linux før.

Det lar seg ikke i praksis gjøre å logge all trafikken i en packet filtering firewall medmindre man har en trafikk som er tilnærmet lik null.

Man kan selvflgelig sette det off som en demonstrasjon på at det ikke kan fungere (logfilen vil ese opp til uante størrelser på 0,0 tid.)

Måten man vanligvis løser dette på i praksis det er at man ikke logger pakketrafikken gjennom firewall, men at man følger med i loggene til de enkelte serverne man måtte ha.

Man kan også lese ut loggen fra access log til Squid, hvis man benytter en proxy.

Ønsker man å ha et noenlunde koplett trafikkbilde så kan man bruke en Linux utility som heter iptraf, som gir et slags øyebliksbilde. Alternativt så kan man gjøre en detaljlogging av data ved hjelp av en trafic analyzer som http://www.ethereal.com

Logger man trafikken i for eksempel 10 minutter så ser man hurtig at det produseres metervis med utskrift. Ethereal passer vel best på en installasjon med Xwindows, altså ikke Smoothwall.

Man kan også kjøre Ethereal på Windows pc, men da får man jo bare trafikken til fra denne PC'en. Kjører man Ethereal på firewall/gateway så får man hele trafikken til fra internett.

Det skal bruges til at tjekke om der bliver brugt fildelings programmer på et netværk. Og evt. hvad der bliver hentet, hvad vil du forslå man skal gøre til det?

bufferzone snakkede noget om at ændre i smoothwall, ville det være en ide?

Pakkelogging eller Ethereal vil ikke klare å følge opp dette. Datamengden blir for stor.

Den enkle løsningen det er å benytte "iptraf". Denne gir et slags øyeblikksbilde av trafikken "her og nå". Fungerer hanske effektivt, men det avhenger jo av at noen sitter og følger med på det aktuelle tidspunkt. Iptraf beslaglegger bare små ressurser.

Eller så kan man jo la all uttrafikk kjøre via Suid proxy slik at den blir logget på den måte. Det finnes også ad ons for Smoothwall/Squid som gjør at man kan filtrere og begrense hva som får lov til å passere via proxyen.

Smoothwall har sitt eget forum (på engelsk) der man kan få en omfattende hjelp i forhold til slike problemstillinger.

http://community.smoothwall.org/forum/

Jeg siger tak for hjælpen...