Arquivar e analisar logs de rede do NetBSD em outra máquina

Navegue suas respostas
1

Eu quero usar o novo firewall NPF do NetBSD em um gateway que também tem a obrigação legal de registrar o tráfego por 1 ano. Para descarregar o gateway, eu pensei em colocar o material de registro (e IDS, gerenciamento de cota, ..) em outra máquina (provavelmente no Debian).

Eu pensei em duas soluções para fazer isso:

  1. recopiando o tráfego para a outra máquina
Ao contrário do FreeBSD e do OpenBSD, eu não tenho certeza se o NetBSD é capaz de configurar esse tipo de porta, e se for, eu não sei como. link indica

The bridge driver currently does not support snooping via bpf(4).

mas em uma versão anterior era

The bridge driver currently does not support snooping via bpf(4) or transparent filtering.

Então talvez tenha um jeito, mas eu não sei por onde começar, alguma ajuda?

  1. execute o tcpdump na máquina do NetBSD e sincronize continuamente o arquivo de log com a máquina de análise

Mas como? Tem que ser confiável e adaptado ao arquivo de log de rede (ou seja, escrito continuamente).

    
por u91317 11.11.2014 / 13:23

1 resposta

0

Suponho que esta máquina tenha uma porta de rede 'admin' adicional, além das portas usadas para rotear o tráfego?

npf.conf (5) menciona: 

 procedure "log" {
         # Note: npf_ext_log kernel module should be loaded, if not built-in.
         # Also, the interface created, e.g.: ifconfig npflog0 create
         log: npflog0
 }

que implica que você deve ser capaz de adicionar uma linha de registro apropriada para "registrar" uma cópia de todo o tráfego para a porta de administração

    
por 13.11.2014 / 15:43

Tags

systemd fora de controle iniciando o serviço nome do script dentro de um script de inicialização