+ Responder ao Tópico



  1. #1

    Padrão Política de monitoramento

    Bom dia pessoal.
    Estou com uma dúvida a respeito da política de monitoramento. Se a justiça pedir através de mandado judicial logs de acesso de algum usuário a uns 3 meses atrás, como vocês procederiam? Alguem daqui guarda isso? Pelo que eu reparei se eu fosse guardar os logs de FORWARD dos meus usuários, todos os dias dariam alguns MB.
    O que vocês pensam a respeito desse assunto.
    Digo isso pois já estou me vendo nessa situação e a coisa tá apertando.

  2. #2

    Padrão

    boa pergunta amigo é bom agente ir vendo isso...atraves de algum ad...vou até me irformar disso...

  3. #3

    Padrão

    Você pode fazer isto guardando os logs do mikrotik...
    Penso o seguinte:
    Como o log do mikrotik, depois de determinado tamanho começa a sobrescrever o log, fazer um script que salvaria o log no proprio mikrotik ou pelo syslog ou outros...

    Valeu amigos,
    Qualquer coisa...

  4. #4

    Padrão

    Pessoal Bom Dia, Gostaria D Uma Ajuda Tb Sobre Isso Como Eu FaÇo Pra Gravar O Log E Fazer Um Script Desses. Tenho Medo De Algum Cliente Fazer Alguma Merda (tipo Pedofilia Ou Algo Parecido) Na Net E Alguem Da JustiÇa Vim Atraz De Mim Ja Que O Link Esta No Meu Nome. Como Podeira Fazer???

    Vamo Puxar Mais Esse Assunto Porq Hoje Em Dia Q Esta Havendo Casos E Casos D Pedofilia E Outras Coisa Ref A Banco, Entao Acho Isso Muito Importante.


    Grato

  5. #5

    Padrão

    no meu servidor tenho o sarg instalado que faz o log de tudo ... acho que isso seria um bom começo !

  6. #6

    Padrão

    Citação Postado originalmente por admskill Ver Post
    no meu servidor tenho o sarg instalado que faz o log de tudo ... acho que isso seria um bom começo !
    Mas a solução não pode depender so squid ou outra coisa parecida.
    Minha idéia era guardar os ips que o usuário acessou, como eu havia sitado anteriormente, pelo forward.
    Contudo, o FORWARD será suficiente para darmos explicações suficientes à justiça quando solicitado? Ou teremos que nos valer de mais informações para satisfazer os peritos em segurança que nos cobrarão sobre o assunto?
    Como o colega sitou acima, fazer o log em uma máquina remota é muito válido, desde de que se destine uma interface somente para tal tarefa, visto que dependendo do tamanho do tráfego, poderia geram muito IO na interface, talvez não ...
    Mas qual a opnião dos graduados no assunto?
    Eu já me decidi por guardar os logs por 6 meses...

  7. #7

    Padrão

    Citação Postado originalmente por Mr. RG Ver Post
    Você pode fazer isto guardando os logs do mikrotik...
    Penso o seguinte:
    Como o log do mikrotik, depois de determinado tamanho começa a sobrescrever o log, fazer um script que salvaria o log no proprio mikrotik ou pelo syslog ou outros...

    Valeu amigos,
    Qualquer coisa...


    pelo mikrotik daria se usasse o web-proxy ?

    ou pelo pppoe ?

    ai forneceria apenas a data , o ip e o cliente que estava com aquele ip naquela data.
    mas nao teria o log dos acessos do cliente.

    é isso mesmo?

  8. #8

    Padrão

    Vejam bem, em 1 mês o meu squid gerou 7gb de dados...

    Imaginem então se precisar logar todas as conexões em todas as portas para fora... Em 1 dia vocês acabam com uns 30gb do disco.

    Tive uma idéia que talvez nao resolva o problema mas minimize, logar somente conexões com cabeçalho TCP SYN.
    Já ajuda bastante.

    Saudações,

  9. #9
    Avatar de renatocostas
    Ingresso
    Dec 2007
    Localização
    Av. Santos Dumont 119, centro -Montes Claros MG
    Posts
    288

    Padrão

    Amigo desculpe minha ingnorancia mas como faria isso???

    Renato Costa.

  10. #10

    Padrão

    agora que estou sem meu servidor com squid to sem log de acesso dos clientes!!

    mas quando ativo vo web-proxy do mikrotik com meu squid rodando por ele, o syslog do mikrotik filtra por mikrotik cada pagina aberta de cada cliente atraz do nat...isso ajuda e nao tenho relatorios muito grandes...
    mas nada que um hd grande de conta do recado e sempre fazer backups em dvd..

    melhor garantir gastando um pouco, do que depois leva bucha da justiça por algo que vc nao fez e nao sabe de fato que fez!

  11. #11

    Padrão

    Citação Postado originalmente por nandop1240 Ver Post
    pelo mikrotik daria se usasse o web-proxy ?

    ou pelo pppoe ?

    ai forneceria apenas a data , o ip e o cliente que estava com aquele ip naquela data.
    mas nao teria o log dos acessos do cliente.

    é isso mesmo?
    Pelo web-proxy tem sim como salvar os logs, só fazer estas configurações no mikrotik:
    /system logging add topics=web-proxy action=remote
    /system logging action set remote remote=192.168.100.*:514

    Note: * ip do computador onde o syslog será executado, computador windows ou linux(com wine).

    Libera a porta 514 no firewall do computador remoto.

    Depois é só executar o syslog e configurar com suas necessidades.

    Aí um trecho do arquivo:
    1 192.168.0.x TCP_IMS_HIT/304 243 GET http://tk2.stc.s-msn.com/br/hp/11/i/pipe1.gif - NONE/- image/gif in 11-Jun 14:54:49.79 from 192.168.100.254

    441 192.168.100.x TCP_MISS/200 3220 POST http://www.tupi.am/PopupPlayer.aspx - DIRECT/200.234.196.157 text/plain in 11-Jun 14:54:49.60 from 192.168.100.254

    Isto aqui já ajuda muito em uma investigação, pois a primeira mostra que a ação foi que o dono do ip pegou a informação e o segundo que ele postou a informação.

    Obs: os ips são fictícios e os dados tirados de máquinas virtuais.(ip cliente 192.168.100.x e server 192.168.100.254)

    Qualquer coisa...

  12. #12

    Padrão

    Sim, pelo web-proxy ou squid é muito fácil fazer. Contudo a questão vai mais a frente.
    Espaço físico é um ponto importante, pelo squid isso não é beneficiado, pelo contrário, temos somente logs dos acessos feito pelo WWW, perda em "grande" parte da "privacidade" do cliente e um consumo muito grande de espaço em disco.
    O que estou pensando é em fazer logs somente dos endereços ips requisitados pelo usuário. Se houver algum pedido judicial dos acessos do usuário, eu teria TODO o repertório de requisições do usuário e não somente o que sai para WWW. Todo o trabalho de tradução de nomes e outras coisas relacionadas, seria por conta que quem pediu o log.
    Sendo assim o log ficaria compacto, eficiente.
    Me ajudem a resolver esta questão de forma eficiente.

  13. #13

  14. #14

    Padrão

    até onde eu sei não é necessário guardar o que foi acessado ou feito pelo usuário na internet, basta apontar quem estava usando o IP em determinado dia/hora.

    Esta é uma vantagem de utilizar IP válido.

    Para quem trabalha com IPs falsos, é importante logar pra quem/quando foi entregue determinado IP e tb logar todo o tráfego.

    Logar pelo squid é loucura (ainda mais gerar relatórios com o Sarg), seria necessário um storage...

    A melhor opção seria mesmo logar todo o tráfego na FORWARD (creio que ip origem, ip destino bastariam) e claro, quem era o dono do IP naquele momento.

  15. #15

    Padrão

    Citação Postado originalmente por Jim Ver Post
    até onde eu sei não é necessário guardar o que foi acessado ou feito pelo usuário na internet, basta apontar quem estava usando o IP em determinado dia/hora.

    Esta é uma vantagem de utilizar IP válido.

    Para quem trabalha com IPs falsos, é importante logar pra quem/quando foi entregue determinado IP e tb logar todo o tráfego.

    Logar pelo squid é loucura (ainda mais gerar relatórios com o Sarg), seria necessário um storage...

    A melhor opção seria mesmo logar todo o tráfego na FORWARD (creio que ip origem, ip destino bastariam) e claro, quem era o dono do IP naquele momento.
    vc pode me ajudar como eu retorno o nome q ele logou no pppoe?
    muito grato

  16. #16

    Padrão

    Pessoal, coloquei o log pra funcionar, mas ainda me resta uma dúvida muito importante: Onde ele armazena os logs, já que o alvo é DISK?

  17. #17

    Padrão

    Citação Postado originalmente por bobdylan Ver Post
    vc pode me ajudar como eu retorno o nome q ele logou no pppoe?
    muito grato
    bobdylan,

    existe uma ferramenta para administração do freeradius que vem com o próprio freeradius, dá uma procurada pelo "dialupadmin".

    Exitem inúmeras outras, mas esta geralmente basta.

  18. #18

    Padrão

    Citação Postado originalmente por armc_2003 Ver Post
    Pessoal, coloquei o log pra funcionar, mas ainda me resta uma dúvida muito importante: Onde ele armazena os logs, já que o alvo é DISK?
    Poderia ser mais claro?