[FUG-BR] Log de acesso do MPD5
Welkson Renny de Medeiros
welkson em focusautomacao.com.br
Quarta Junho 17 11:18:18 BRT 2009
Ricardo Souza escreveu:
> Entendi.Acho que este sets vao resolver. Vou testar aqui tambem.
> Voce usa PF ai? vc pode usar o conceito de bruteforce para te ajuda tambem.
>
> Falow
>
> 2009/6/17 Welkson Renny de Medeiros <welkson em focusautomacao.com.br>
>
>
>> Ricardo Souza escreveu:
>>
>>> Tambem estou precisando disso.Porem os logs do meu mpd5 mostram essas
>>> informacoes:
>>> Jun 15 14:17:23 Ajax mpd: [Clients-4] Name: "vilamariana"
>>> Jun 15 14:17:23 Ajax mpd: [Clients-4] AUTH: Trying INTERNAL
>>> Jun 15 14:17:23 Ajax mpd: [Clients-4] AUTH: INTERNAL returned: undefined
>>> Jun 15 14:17:23 Ajax mpd: [PPTP-3] IPCP: rec'd Configure Request #12
>>> (Req-Sent)
>>> Jun 15 14:17:23 Ajax mpd: [PPTP-3] IPADDR 172.16.0.2
>>> Jun 15 14:17:23 Ajax mpd: [PPTP-3] 172.16.0.2 is OK
>>> Jun 15 14:17:23 Ajax mpd: [PPTP-3] IPCP: SendConfigAck #12
>>> Jun 15 14:17:23 Ajax mpd: [PPTP-3] IPADDR 172.16.0.2
>>> Jun 15 14:17:23 Ajax mpd: [PPTP-3] IPCP: state change Req-Sent -->
>>>
>> Ack-Sent
>>
>>> Login: vilamariana
>>> IP: 172.16.0.2
>>>
>>> 2009/6/16 Welkson Renny de Medeiros <welkson em focusautomacao.com.br>
>>>
>>>
>>>
>>>> Boa noite amigos!
>>>>
>>>> Como devo configurar o MPD5 para mostrar mais detalhes sobre QUEM tá
>>>> acessando a vpn? (ip, login, etc)
>>>>
>>>> O mpd5.log mostra um monte de coisa, mas esses detalhes não.
>>>>
>>>> --
>>>> Welkson Renny de Medeiros
>>>> Focus Automação Comercial
>>>> Desenvolvimento / Gerência de Redes
>>>> welkson em focusautomacao.com.br
>>>>
>>>>
>>>>
>>>> Powered by ....
>>>>
>>>> (__)
>>>> \\\'',)
>>>> \/ \ ^
>>>> .\._/_)
>>>>
>>>> www.FreeBSD.org
>>>>
>>>>
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>>
>>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>>>
>>>
>> Ricardo,
>>
>> Eu alterei a opção de log e vi que ele mostra o login, mas o ip que
>> quero é o externo (internet)...
>> Quero por exemplo ver ips que estão 'chutando senha' (tentativa de
>> invasão, etc).
>>
>> Incluí uns parâmetros novos no MPD5 e estou testando:
>>
>>
>> # mais log
>> set log +all
>>
>> # desabilita windowing protocol (viola protoclo, mas melhora
>> performance)
>> set pptp disable windowing
>>
>> # melhora trafego em links INSTAVEIS
>> set pptp enable always-ack
>>
>>
>> --
>> Welkson Renny de Medeiros
>> Focus Automação Comercial
>> Desenvolvimento / Gerência de Redes
>> welkson em focusautomacao.com.br
>>
>>
>>
>> Powered by ....
>>
>> (__)
>> \\\'',)
>> \/ \ ^
>> .\._/_)
>>
>> www.FreeBSD.org
>>
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
>
Uso PF.
No PF tem alguma coisa sobre limite de conexões, brute-force, etc... eu
uso para o SSH.
# libera conexoes ssh (acima tem um block para brute force)
pass in on $ext_if proto tcp from any to any port 22222 flags S/SA keep
state \
(max-src-conn 15, max-src-conn-rate 5/30, overload <bruteforce>
flush global)
Na verdade HOJE não tenho problema de tentativa de invasão ao MPD... mas
no futuro, se ocorrer, não fica registrado o ip do atacante no log do MPD.
Eu sei que posso ativar o LOG na regra do pf... mas nunca consultei nada
em log do pf... só vejo em tempo real.... ele grava isso em algum lugar?
(tipo o /var/log/security do ipfw?)
[root em intranet:/etc/firewall] # cat /bin/pffocus
tcpdump -n -e -ttt -i pflog0
Abraço,
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br
Powered by ....
(__)
\\\'',)
\/ \ ^
.\._/_)
www.FreeBSD.org
Mais detalhes sobre a lista de discussão freebsd