log گرفتن ازدستگاه های میکروتیک و سیسکو
مقدمه
گرفتن log برروی دستگاه های شبکه یکی از مهمترین کارها برای بالا بردن امنیت شبکه می باشد.معمولا از SYSlog برای این کار استفاده می شود.این log ها بسته به نوع حساسیت ها در دسته های مختلفی طبقه بندی می شوند.نگه داری و ثبت و بررسی همه اگ های دستگاه های مختلف کار بسیار سخت و وقت گیری می باشد و در صورت لزوم می بایست اطلاعاتی را لاگ گرفت که در مواجهه با تهدیدات باشد یا اینکه نیاز به عکس العمل مدیر شبکه داشته باشد.
در مرحله اول باید یک سروری به عنوان سرور SYSlog را پیاده سازی نمود. در اینجا برای این کار از توزیع Ubuntu استفاده می شود.
پیکربندی Ubuntu به عنوان سرور SYSlog :
1-در
این مرحله فایل rsyslog.conf را به منظور
اجازه به سوییچ ها و روترها (کلاینت ها) بصورت زیر ویرایش می کنیم.
ابتدا قسمت های $ModLoad imudp و $UDPServerRun 514 را Uncomment می کنیم ،
سپس در انتهای این فایل ، خطوط زیر را وارد میکنیم:
"/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
2- سرویس rsyslog را بصورت service rsyslog restart ریست می کنیم .
تنظیمات مربوط در سوییچ های سیسکو برای انداختن لاگ به سرور
SYSlog :
در مرحله اول باید ارتباط سوییچ با سرور SYSlog را چک کرد . مثلا با گرفتن Ping از ارتباط آنها با هم اطمیان پیدا نمود.در صورت موفقیت ادامه تنظیمات به شرح زیر می باشد.
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#logging host 192.168.168.2
Switch(config)# logging source-interface all
آدرس مربوطه که خطوط بالا آورده شده است مربوط به آدرس سرور SYSlog میباشد.
در سوییچ های سیسکو چند سطح برای به گرفتن لاگ ها وجود دارد که پیکربندی با Trap یا سطح بالاتر شامل سطوح پایینتر از آن را نیز میشود.بطور مثال وقتی سوییچ را با Trap ای برابر 5 قرار دادیم ، سطوح لاگ گیری خود را برابر و پایینتر از 5 قرار دادیم.
Switch#configure terminal
Switch(config)#logging trap 2
Switch(config)#end
Switch #
%SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.2.3 port 514 started
- CLI initiated
سطوح برای لاگ گیری در سیسکو
جدول زیر سطوح امنیت برای لاگ گیری و توضیح هر یک با شماره مربوط به هر سطح آورده شده است.
|
Severity Number |
description |
Logging severity level |
|
1 |
Immediate action needed |
alerts |
|
2 |
Critical conditions |
critical |
|
7 |
Debugging messages |
debugging |
|
0 |
System is unusable |
emergencies |
|
3 |
Error conditions |
errors |
|
6 |
Informational messages |
informational |
|
5 |
Normal but significant conditions |
notifications Normal |
|
4 |
Warning conditions |
warnings |
تنظیمات مربوط در روتربوردهای میکروتیک برای انداختن لاگ به سرور SYSlog :
در مرحله اول باید ارتباط روتر بورد با سرور SYSlog را چک کرد . مثلا با گرفتن Ping از ارتباط آنها
با هم اطمیان پیدا نمود.
در صورت موفقیت ادامه تنظیمات به شرح زیر می باشد:
در میکروتیک ابتدا به مسیر system/logging/action رفته و رول زیر را که در نقش یک Action می باشد ، وارد می کنیم.
add bsd-syslog=yes name=SYSlog remote=192.168.168.2 syslog-severity=critical target=remote
آدرس مربوطه که خطوط بالا آورده شده است مربوط به آدرس سرور SYSlog میباشد
در مرحله بعد در مسیر system/logging/rules رفته و رول زیر را تعریف میکنیم.
add action=SYSlog topics=critical