Re: logs do ipchains

2002-01-06 Por tôpico Hélio Alexandre Lopes Loureiro 
> Estou utilizando o ipchains (dentre sua finalidade principal) para gerar 
> logs de invasao. 
>  
> O problema e que nao estou encontrando uma maneira de configurar o nome do 
> arquivo do log gerado, para /var/log/invasoes por exemplo !!! 

Veja no "/etc/syslog.conf".  Os logs saem em "kern.info".  Outra
opção é criar um arquivo pipe para ser direcionado o log e ler com um
"daemon" em perl, ou algo assim, para ir filtrando o logs que entram (pois
em kern.info não são somente mensagens de firewall).

[]'s
+++
| Hélio Alexandre Lopes Loureiro | [EMAIL PROTECTED]  |
|  http://helio.loureiro.eng.br  | Debian/FreeBSD/OpenBSD |
+++

Re: logs do ipchains

2002-01-06 Por tôpico Pedro Zorzenon Neto 
On Fri, Jan 04, 2002 at 04:56:03PM -0200, Giuliano Cardozo Medalha wrote:
> Pessoal
 
> 
 
> Estou utilizando o ipchains (dentre sua finalidade principal) para gerar 
> logs de invasao.
 
> 
 
> O problema e que nao estou encontrando uma maneira de configurar o nome do 
> arquivo do log gerado, para /var/log/invasoes por exemplo !!!
 
> 
 
> 
 
> Voces sabem como fazer isso ?
 
> 
 
> Obrigado
 
> 
 
> Giuliano

Oi Giuliano,

No caso do ipchains, é o kernel que gera o log, e não o próprio
ipchains. As configurações do log são feitas em /etc/syslog.conf
"man syslog", "man syslog.conf", "man syslogd" podem ajudar.

Um método de ler apenas os logs do ipchains é:

  cat /var/log/syslog.0 /var/log/syslog | grep "kernel: Packet log:"

Somente uma questão que você deve tomar cuidado... se você optar por
logar muitas coisas, os logs podem ficar grandes demais e atrapalhar o
uso normal da máquina. Ex: se eu descubro que você está logando pacotes
de tentativas ao uso do telnet (-s 0/0 -d suamaquina 23 -p tcp -l -y)
então posso fazer um programa que gera + ou - 100 pacotes destes por
segundo para sua máquina... isso vai gerar aprox 50MB de logs por hora
no seu servidor. Eu posso derrubar o seu servidor a partição /var/log
estiver junto com a partição principal simplesmente pois ele ficou com o
hd cheio...

--- citado de [1] --- Chapter 1 Introduction
One of the hardest things about writing security documents is that every
case is unique. Two things you have to pay attention to are the threat
environment and the security needs of the individual site, host, or
network. For instance, the security needs of a home user are completely
different from a network in a bank. While the primary threat a home user
needs to face is the script kiddie type of cracker, a bank network has
to worry about directed attacks. Additionally, the bank has to protect
their customer's data with arithmetic precision. In short, every user
has to consider the tradeoff between usability and security/paranoia.

Note that this HOWTO only covers issues relating to software. The best
software in the world can't protect you if someone can physically access
the machine. You can place it under your desk, or you can place it in a
hardened bunker with an army in front of it. Nevertheless the desktop
computer can be much more secure (from a software point of view) than a
physically protected one if the desktop is configured properly and the
software on the protected machine is full of security holes. Obviously,
you must consider both issues.
--- fim da citação ---

Sobre logs de invasão, veja também outras ferramentas NIDS, IDS
([Network] Intrusion Detection System) como o "snort". A ref [1] fala
do "snort" também.

E o mais importante: de nada adianta logar o que acontece se ninguém
vai ler isso frequentemente... adote uma política de envio automatico
dos logs para e-mails e assegure-se de que as pessoas vão ler :-)

Espero que esta resposta ajude :-)

Abraços,
  Pedro

Duas referencias que podem ajudar:
   [1] http://www.debian.org/doc/admin-manuals#securing
   [2] http://helio.loureiro.eng.br/firewall/

Re: logs do ipchains

2002-01-05 Por tôpico Marinho Paiva Duarte 
Olá!!
É preciso fazer isso no syslog.
Edita o syslog.conf e coloca aa linhaa abaixo no final do arquivo:
# Teste com log do firewall
kern.=alert /var/log/firewall.log
# Fim das linhas de teste do firewall

Depois disso reinicia o syslog e faz um teste básico: 
(vou mostrar com o iptables mas deve ser parecido com o ipchains)
iptables -A INPUT -s 0/0 -d 0/0 -p icmp -j LOG 

E dá ping de outra máquina pra ver se os logs vão para p arquivo
/var/log/firewall.log.

Agora é só moficar para adequar à tua necessidade.
Se ainda tiver dúvidas estou à disposição.
Boa Sorte!!

---
Marinho Paiva Duarte
Usuário Linux #229528

 /"\
 \ /  CAMPANHA DA FITA ASCII - CONTRA MAIL HTML
  X   ASCII RIBBON CAMPAIGN - AGAINST HTML MAIL
 / \




On Fri, 4 Jan 2002 16:56:03 -0200
Giuliano Cardozo Medalha <[EMAIL PROTECTED]> wrote:

> Pessoal 
>  
> Estou utilizando o ipchains (dentre sua finalidade principal) para gerar 
> logs de invasao. 
>  
> O problema e que nao estou encontrando uma maneira de configurar o nome do 
> arquivo do log gerado, para /var/log/invasoes por exemplo !!! 
>  
>  
> Voces sabem como fazer isso ? 
>  
> Obrigado 
>  
> Giuliano 


_
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com

Re: logs do ipchains

2001-06-12 Por tôpico Hélio Alexandre Lopes Loureiro 
> Estou fazendo um mini firewall pra minha máquina e gostaria de saber se
> tem como direcionar os logs do ipchains para um arquivo específico.
> Estou tendo de analisar o /var/log/messages. Tem de tudo lá, fazendo a
> tarefa mais dispendiosa. Queria facilitar um pouco.


Redirecione no "syslog" as saídas de "kern.info" para o arquivo que 
desejar.
-- 
[]'s
Hélio Alexandre Lopes Loureiro
e-mail:[EMAIL PROTECTED]
Tel.: + 55 11 6224-1795
Division Multiservice Networks - First Deployments
Public Key =>   http://cipsga.procempa.com.br/oks/pt_BR/
(pgp-i 2.6.3)   http://www.engnux.ufsc.br/helio/identity.pub.txt

/"\
\ /  Campanha da fita ASCII - Contra mail HTML
 X   ASCII ribbon campaign  - Against HTML mail
/ \

Re: logs do ipchains

2001-06-11 Por tôpico Gustavo Noronha Silva 
Em Mon, 11 Jun 2001 20:09:03 -0300
Celso Andrade <[EMAIL PROTECTED]> escreveu:

> Olá pessoal,
> 
> cá estou novamente.
> 
> Estou fazendo um mini firewall pra minha máquina e gostaria de saber se
> tem como direcionar os logs do ipchains para um arquivo específico.
> Estou tendo de analisar o /var/log/messages. Tem de tudo lá, fazendo a
> tarefa mais dispendiosa. Queria facilitar um pouco.
bom cara.. você pode fazer isso com um joguinho de tail e grep...
faz um tail -f /var/log/messages | grep "Packet Log" > arquivo_de_config.txt

ou você pode usar o gklog, que foi feito pra isso mesmo... 

deb http://people.debian.org/~kov/debian/dists stable/

apt-get install gklog

e leia o /usr/share/doc/gklog/README

[]s!

-- 
   Gustavo Noronha Silva - kov 
*--*
|  .''`.  | Debian GNU/Linux: |  (___)  |
| : :'  : | Debian BR...:  | < o o > |
| `. `'`  |  Be Happy! Be FREE!  |  \ ^ /  |
|   `-| "Think globally, act locally!"   |   (")   |
*--*