Относно възможност за добавяне в log при достъп на PC с неописан ARP запис

[Стайков]

Здрвайте,

от скоро притежавам ccr1009-8g-1s-1s+.

Всички портове са настроени да не добавят ARP записите динамично, а това да се прави от администратор (reply-only).

Всичко работи много добре, но бих искал да разбера има ли възможност, когато даден клиент реши да импровизира с различни IP адреси,различни от описания за дадения MAC адрес, то това събитие да се отбележи в LOG файл?

[dobria]

Здравей,

 

Изискването ти е по-специфично и няма директно решение (или аз не го знам) за конфигурация през CLI, а се изисква да се напише скрипт (http://wiki.mikrotik.com/wiki/Manual:Scripting) или да се използва API-то (http://wiki.mikrotik.com/wiki/Manual:API) през външен софтуер, но това изисква повече внимание и време. 

 

Експериментално (тестово), можеш да събираш, да логваш информация, ако дойде заявка от даден клиент и неговият MAC адрес е различен от очаквания чрез прости правила в /ip firewall filter (използвай повече мачъри в първите 3 таба).

 

Да приемем, че те притеснява даден клиент, за който имаш записано статично в ARP таблицата на ROS 3-те параметъра: IP, MAC и интерфейс, за който се отнася връзката са 10.10.10.77 9C:2A:70:32:29:B7 ether2

Ако се добави в защитната стена:

/ip firewall filter
add action=log chain=input connection-state=new in-interface=ether2 log-prefix=PROBLEM_9C:2A:70:32:29:B7_ src-address=!10.10.10.77 src-mac-address=9C:2A:70:32:29:B7

Правилото ще запише всичко в memory (/log print), т.к. екшъна е log (тук нямаме екшън, който да записва във файл). 

 

За да е във файл, както искаш, би могъл да запишеш събитията от защитната стена в лог файл (може и на USB флашка, т.к. имаш USB порт J).

/system logging action
add disk-file-name=firewall_log.txt name=ExampleAction target=disk

/system logging
add action=ExampleAction topics=firewall

 

Ако имаш повече правила в защитата стена файлът ще расте бързо (първи основен проблем).

 

Във файла firewall_log.txt ще има редове, които ще имат структура като тази:

Дата Час firewall,info PROBLEM_9C:2A:70:32:29:B7_ input: in:ether2, src-mac 9C:2A:70:32:29:B7 ....10.10.10.100 (src ip адрес различен от 10.10.10.77)

От тях лесно можеш да се ориентираш кога се е случило събитието и кой MAC се е пробвал с друго IP и какво е било то. В общи линии можеш да си играеш с доста налични неща като маркиране на пакети, връзки, адресни списъци (ако имаш повече от 1 IP адрес за даден MAC в ARP таблицата), записване на SYSLOG сървър или по-добре чрез SNMP на някакъв мониторинг инструмент като NetXMS (препоръчвам ти го) вместо на файл. Втори проблем на моя пример е, че не е динамично решение и изисква правило в защитната стена за всеки клиент, а с този CCR сигурно имаш много клиенти.

 

Може би е добре да тестваш с някой клиент (с няколко правила) и да видиш дали ще има подобна информация и какво ще е нейното приложение, дори да я събереш.

Редактирано 2 Април, 2015 от dobria

[kokaracha]

Много сложно и не толкова удобно.

Може би ще е по уместно да се ползва някои линукс със статичен арп записи или направо ipguard,ipsentinel

19:37:29 router kernel: arp: 172.17.24.155 moved from 00:0f:ea:3b:34:91 to 00:0f:ea:f6:c3:de on vlan11
19:37:29 router kernel: arp: 172.17.24.183 moved from 00:0f:ea:3b:34:91 to 00:11:5b:7a:85:c5 on vlan11
19:37:29 router kernel: arp: 172.17.24.192 moved from 00:0f:ea:3b:34:91 to 00:02:2a:e1:e8:bf on vlan11
19:37:29 router kernel: arp: 172.17.24.218 moved from 00:0f:ea:3b:34:91 to 00:19:e0:13:cb:ee on vlan11
19:37:29 router kernel: arp: 172.17.24.220 moved from 00:0f:ea:3b:34:91 to 00:14:2a:84:be:94 on vlan11
19:37:29 router kernel: arp: 172.17.24.231 moved from 00:0f:ea:3b:34:91 to 00:0f:ea:c1:7e:41 on vlan11

В допълнение лога може периодично да се изпраща на някоя поща:

echo "IP changes" | mutt -a /var/log/messages -s "Ip chages" --   sys@domain.com

[dobria]

Да, ipsentinel и еквивалентни са добра възможност (имам добри впечатления от аrpwatch), ако ще използваш допълнителен софтуер, извън ROS.

 

Стайков, ще е чудесно да споделиш дали си интегрирал решение и какви са резултатите.

 

Аз ще помисля, когато имам време, за скрипт ... може да излезе полезен и за други потребители.

[111111]

За сега хотспота може да вади такива съобщения

единствено неговия каптив портал прави връзка с ARP при Микротик

[Стайков]

Здравейте, благодаря за отговорите.За съжаление целта е всичко да се обработва директно от рутера и използването на допълнителни машини за следене на трафика не е вариант.

Към момента освен статични мрежи, рутера обслужва и една динамична, която е изолирана от външния свят. При свързване на ново устройство,то си взима динамичен адрес.DHCP-то въвежда Mac адреса в арп таблицата, от където след оторизация мога директно да редактирам записа като статичен със съответното му статично IP. В моя случай по процедура преди да се свърже ново устройство в мрежата то трябва да се оторизира (да се даде разрешение от ръководство, да се уточни за какво и от кого ще се използва и т.н). Мисля, че ако се използва скрипт трябва да се прави скан на мрежата, резултата да се извежда в табличен вид, примерно и да се сравнява с резултата от предходното сканиране,а като доклад да се изведат само разликите в резултатите от двете сканирания. Това обаче мисля, че mikrotika няма да може да го направи и пак се връщаме на вариант допълнителен софт.

[111111]

има и един друг варянт възможен за сега само на рутерборд

metarouter с линукс за жалост микротик махнаха LUA поддръжката