Política de monitoramento

[armc_2003]

Bom dia pessoal.
Estou com uma dúvida a respeito da política de monitoramento. Se a justiça pedir através de mandado judicial logs de acesso de algum usuário a uns 3 meses atrás, como vocês procederiam? Alguem daqui guarda isso? Pelo que eu reparei se eu fosse guardar os logs de FORWARD dos meus usuários, todos os dias dariam alguns MB.
O que vocês pensam a respeito desse assunto.
Digo isso pois já estou me vendo nessa situação e a coisa tá apertando.

[talesanselmo]

boa pergunta amigo é bom agente ir vendo isso...atraves de algum ad...vou até me irformar disso...

[Raniel]

Você pode fazer isto guardando os logs do mikrotik...
Penso o seguinte:
Como o log do mikrotik, depois de determinado tamanho começa a sobrescrever o log, fazer um script que salvaria o log no proprio mikrotik ou pelo syslog ou outros...

Valeu amigos,
Qualquer coisa...

[GILVANRODRIGUEZ]

Pessoal Bom Dia, Gostaria D Uma Ajuda Tb Sobre Isso Como Eu FaÇo Pra Gravar O Log E Fazer Um Script Desses. Tenho Medo De Algum Cliente Fazer Alguma Merda (tipo Pedofilia Ou Algo Parecido) Na Net E Alguem Da JustiÇa Vim Atraz De Mim Ja Que O Link Esta No Meu Nome. Como Podeira Fazer???

Vamo Puxar Mais Esse Assunto Porq Hoje Em Dia Q Esta Havendo Casos E Casos D Pedofilia E Outras Coisa Ref A Banco, Entao Acho Isso Muito Importante.


Grato

[admskill]

no meu servidor tenho o sarg instalado que faz o log de tudo ... acho que isso seria um bom começo !

[armc_2003]

no meu servidor tenho o sarg instalado que faz o log de tudo ... acho que isso seria um bom começo !

Mas a solução não pode depender so squid ou outra coisa parecida.
Minha idéia era guardar os ips que o usuário acessou, como eu havia sitado anteriormente, pelo forward.
Contudo, o FORWARD será suficiente para darmos explicações suficientes à justiça quando solicitado? Ou teremos que nos valer de mais informações para satisfazer os peritos em segurança que nos cobrarão sobre o assunto?
Como o colega sitou acima, fazer o log em uma máquina remota é muito válido, desde de que se destine uma interface somente para tal tarefa, visto que dependendo do tamanho do tráfego, poderia geram muito IO na interface, talvez não ...
Mas qual a opnião dos graduados no assunto?
Eu já me decidi por guardar os logs por 6 meses...

[nandop1240]

Você pode fazer isto guardando os logs do mikrotik...
Penso o seguinte:
Como o log do mikrotik, depois de determinado tamanho começa a sobrescrever o log, fazer um script que salvaria o log no proprio mikrotik ou pelo syslog ou outros...

Valeu amigos,
Qualquer coisa...

pelo mikrotik daria se usasse o web-proxy ?

ou pelo pppoe ?

ai forneceria apenas a data , o ip e o cliente que estava com aquele ip naquela data.
mas nao teria o log dos acessos do cliente.

é isso mesmo?

[GrayFox]

Vejam bem, em 1 mês o meu squid gerou 7gb de dados...

Imaginem então se precisar logar todas as conexões em todas as portas para fora... Em 1 dia vocês acabam com uns 30gb do disco.

Tive uma idéia que talvez nao resolva o problema mas minimize, logar somente conexões com cabeçalho TCP SYN.
Já ajuda bastante.

Saudações,

[renatocostas]

Amigo desculpe minha ingnorancia mas como faria isso???

Renato Costa.

[thenet]

agora que estou sem meu servidor com squid to sem log de acesso dos clientes!!

mas quando ativo vo web-proxy do mikrotik com meu squid rodando por ele, o syslog do mikrotik filtra por mikrotik cada pagina aberta de cada cliente atraz do nat...isso ajuda e nao tenho relatorios muito grandes...
mas nada que um hd grande de conta do recado e sempre fazer backups em dvd..

melhor garantir gastando um pouco, do que depois leva bucha da justiça por algo que vc nao fez e nao sabe de fato que fez!

[Raniel]

pelo mikrotik daria se usasse o web-proxy ?

ou pelo pppoe ?

ai forneceria apenas a data , o ip e o cliente que estava com aquele ip naquela data.
mas nao teria o log dos acessos do cliente.

é isso mesmo?

Pelo web-proxy tem sim como salvar os logs, só fazer estas configurações no mikrotik:
/system logging add topics=web-proxy action=remote
/system logging action set remote remote=192.168.100.*:514

Note: * ip do computador onde o syslog será executado, computador windows ou linux(com wine).

Libera a porta 514 no firewall do computador remoto.

Depois é só executar o syslog e configurar com suas necessidades.

Aí um trecho do arquivo:
1 192.168.0.x TCP_IMS_HIT/304 243 GET http://tk2.stc.s-msn.com/br/hp/11/i/pipe1.gif - NONE/- image/gif in 11-Jun 14:54:49.79 from 192.168.100.254

441 192.168.100.x TCP_MISS/200 3220 POST http://www.tupi.am/PopupPlayer.aspx - DIRECT/200.234.196.157 text/plain in 11-Jun 14:54:49.60 from 192.168.100.254

Isto aqui já ajuda muito em uma investigação, pois a primeira mostra que a ação foi que o dono do ip pegou a informação e o segundo que ele postou a informação.

Obs: os ips são fictícios e os dados tirados de máquinas virtuais.(ip cliente 192.168.100.x e server 192.168.100.254)

Qualquer coisa...

[armc_2003]

Sim, pelo web-proxy ou squid é muito fácil fazer. Contudo a questão vai mais a frente.
Espaço físico é um ponto importante, pelo squid isso não é beneficiado, pelo contrário, temos somente logs dos acessos feito pelo WWW, perda em "grande" parte da "privacidade" do cliente e um consumo muito grande de espaço em disco.
O que estou pensando é em fazer logs somente dos endereços ips requisitados pelo usuário. Se houver algum pedido judicial dos acessos do usuário, eu teria TODO o repertório de requisições do usuário e não somente o que sai para WWW. Todo o trabalho de tradução de nomes e outras coisas relacionadas, seria por conta que quem pediu o log.
Sendo assim o log ficaria compacto, eficiente.
Me ajudem a resolver esta questão de forma eficiente.

[Jonatanmcc]

Amigo este syslog tem para abaixar a onde ?

[Jim]

até onde eu sei não é necessário guardar o que foi acessado ou feito pelo usuário na internet, basta apontar quem estava usando o IP em determinado dia/hora.

Esta é uma vantagem de utilizar IP válido.

Para quem trabalha com IPs falsos, é importante logar pra quem/quando foi entregue determinado IP e tb logar todo o tráfego.

Logar pelo squid é loucura (ainda mais gerar relatórios com o Sarg), seria necessário um storage...

A melhor opção seria mesmo logar todo o tráfego na FORWARD (creio que ip origem, ip destino bastariam) e claro, quem era o dono do IP naquele momento.

[bobdylan]

até onde eu sei não é necessário guardar o que foi acessado ou feito pelo usuário na internet, basta apontar quem estava usando o IP em determinado dia/hora.

Esta é uma vantagem de utilizar IP válido.

Para quem trabalha com IPs falsos, é importante logar pra quem/quando foi entregue determinado IP e tb logar todo o tráfego.

Logar pelo squid é loucura (ainda mais gerar relatórios com o Sarg), seria necessário um storage...

A melhor opção seria mesmo logar todo o tráfego na FORWARD (creio que ip origem, ip destino bastariam) e claro, quem era o dono do IP naquele momento.

vc pode me ajudar como eu retorno o nome q ele logou no pppoe?
muito grato

[armc_2003]

Pessoal, coloquei o log pra funcionar, mas ainda me resta uma dúvida muito importante: Onde ele armazena os logs, já que o alvo é DISK?

[Jim]

vc pode me ajudar como eu retorno o nome q ele logou no pppoe?
muito grato

bobdylan,

existe uma ferramenta para administração do freeradius que vem com o próprio freeradius, dá uma procurada pelo "dialupadmin".

Exitem inúmeras outras, mas esta geralmente basta.

[Jim]

Pessoal, coloquei o log pra funcionar, mas ainda me resta uma dúvida muito importante: Onde ele armazena os logs, já que o alvo é DISK?

Poderia ser mais claro?