Frage an die Linux Cracks...

[HyBird]

Hallo Linux Cracks. Ich da ich in der Firma neben meiner normalen Arbeit auch noch die gesamte EDV am hals habe, muß euch mal fragen was ihr an meiner stelle machen würdet.

Wir sind im Büro 20 MA die alle über einen Router via Kabel ins Internet gehen.
Wir haben 22 Rechner in diesem Netzwerk.

Um die Kollegen von all dem Müll im Internet fern zu halten, filtere ich via opendns alles raus was nicht mit der Arbeit zu tuhen hat raus. OpenDNS bietet ferner auch die Möglichkeit den Zugriff auf bekannte Botnetze zu blockieren. Nun kommt es halt hin und wieder vor das mich ODNS auf Malware aktivität hinweist.

Das dumme ist nur ich kann damit nicht lokalisieren auf welchem der 21 Windows Rechner sich diese Malware eingenistet hat. Bisherige Vorgehensweise war das dann alle Rechner aufwendig mit Antivirussoftware und AdAware gescannt wurden.

Nun möchte ich auf dem 22 Rechner (Debian Lenny) eine Software installieren, die in der Lage ist DNS-anfragen der Clients entgegenzunehmen und diese anfrage an den Nat-Router weiterzuleiten. Während er das macht, soll die IP adresse des Clients und die dnsanfrage in einer Log festgehalten werden.

das log soll aussehen wie folgt.


Datum Uhrzeit IPAdresse DNSanfrage
12.03.2010 13:57:12 192.168.45.2 www.zielurl.hot

also prinziepiell möchte ich wissen welcher client hat wann welche url angesurft.
So kann ich mich direkt auf den verseuchten rechner stürzen und muss nicht 21 rechner durchsuchen.


Danke für eure tips!

 

[Ohrenschmalz]

man squid

 

[HyBird]

squit ist bestimmt ne tolle software, jedoch möchte ich ohne proxy einstellungen dies erreichen.

das heist ich möchte einfach in windows den linux rechner als dns server eingeben, und das ganze soll fluppen. quasi ohne einen kompletten dns server oder proxy zu betreiben.

 

[Marsupilami]

Behalt den rechtlichen Aspekt im Auge. Mitloggen besuchter Internetseiten dürfte nicht so ohne weiteres zulässig sein - selbst wenn der Besuch der Seiten nicht statthaft ist.
Klären sollte das in jedem Fall der Arbeitgeber.

 

[RalfFriedl]

das log soll aussehen wie folgt.

Datum        Uhrzeit    IPAdresse      DNSanfrage
12.03.2010 13:57:12 192.168.45.2   [url]www.zielurl.hot[/url]

Der Standard Nameserver (bind), der schon beim Linux-System dabei ist, bietet so ein Protokoll. Vermutlich wird es nicht eingeschaltet sein in der Voreinstellung, aber in der Beschreibung sollte die notwendige Konfiguration zu finden sein.

 

[woprr]

Das dumme ist nur ich kann damit nicht lokalisieren auf welchem der 21 Windows Rechner sich diese Malware eingenistet hat.

Nun möchte ich auf dem 22 Rechner (Debian Lenny) eine Software installieren, die in der Lage ist DNS-anfragen der Clients entgegenzunehmen und diese anfrage an den Nat-Router weiterzuleiten. Während er das macht, soll die IP adresse des Clients und die dnsanfrage in einer Log festgehalten werden.

man iptables, LOG target. Aber denk dran dass Windows cached.

 

[kritter]

Ich würde auch sagen: BIND nehmen. Der _ist_ ein DNS-Server, macht von Natur aus selbst das DNS-Caching für Client-Anfragen, loggt über eine eigene Logsektion und dann schaust Du noch nach den Optionen "forwarders" und "forward", wenn er die Anfragen just an den DSL-Router weiterreichen soll, statt selbst im Inet zu kramen.

_Alles_ konfigurierbar in _einer_ Datei: Schau nach und beschäftige Dich mit /etc/named.conf.

Macht also genau, was Du willst.

Wenns zum Beispiel um Webbrowsergeschichten geht, und Du die fragwürdige URL kennst, geht da noch etwas viel geileres: Mittels gefakter Zonendatei Anfragen auf Deine Lenny-Kiste selbst umlenken (Apache konfigurieren) und warten, wer in der Firma "Da kommt ja nen Bild von HyBird, der mir den Stinkefinger zeigt!" ruft...

 

[woprr]

Nun möchte ich auf dem 22 Rechner (Debian Lenny) eine Software installieren, die in der Lage ist DNS-anfragen der Clients entgegenzunehmen und diese anfrage an den Nat-Router weiterzuleiten.

Versteh ich nicht. Externer NAT-Router? Wieso macht debian nicht den NAT-router?

dnsmasq und iptables und fertig.

Den bind-overkill tut man sich doch wegen so einem kleinen LAN nicht an.

Mit der Kanone auf Spatzen geschossen.

 

[kritter]

Versteh ich nicht.
Den bind-overkill tut man sich doch wegen so einem kleinen LAN nicht an.
Mit der Kanone auf Spatzen geschossen.

Ich hasse solche Rückfragen, weil sie sinnlose Debatten unter Evangelisten hervorrufen können, aber ich muss sie stellen, um Objektivität herbeizurufen:

Was bitte ist an BIND der Overkill? Den Nameserver (ohne eigene Zonen; nur zum Zwecke des Cachings und Loggings) einzurichten dauert 240sek. Editieren in der named.conf, und ein oder zwei Kommandos auf Shellebene. Dann schaut man noch in der Firewall (sofern eingerichtet) nach der Erreichbarkeit von 53/udp. Fertig.

Externer NAT-Router? Wieso macht debian nicht den NAT-router?
dnsmasq und iptables und fertig.

Ich nehme an, der NAT-Router bei HyBird ist das Bordergateway des ganzen Firmennetzes (wie Du schon sagst: "kleines LAN"). DSL-Zugang also auf den Lenny verlegen, Masquerading, Logging, Geöffnete Ports, Konfigurationen/Logging und Weiterleitungen des NAT-Routers auf den Lenny übertragen, nur...

...bis alles wieder so funktioniert, wie es vorher schon war... hhm. Anschliessend ja erst noch das Logging so trimmen, bis die von HyBird erwähnten Abfragen so geloggt werden, wie gewünscht.

Ich mag mich irren, aber für mich klingt das nach mehr Arbeit als die vier Minuten Nameserver-an-den-Start-bringen. Und wir haben noch nicht darüber gesprochen, was es bedeutet, sofern der NAT-Router auch noch das DHCP für die Firma übernimmt, VoIP dengelt und routet etc.

Man kann das alles so machen, wie von Dir vorgeschlagen. Ich bin sogar großer Fan davon. In allen von mir betreuten Einrichtungen werden als erstes DNS und DHCP aus den kleinen embedded Boxen redundant auf Server verlegt, weil es dann damit die wenigsten Probleme gibt. Aber hier wollte HyBird doch nur eine Möglichkeit zum Loggen, und nicht das ganze Bordergateway verlegen...

 

[HyBird]

Klingt ja alles Super und danke für die Denkanstösse.

Nun ganz einfach die Debiankiste ist interner Fileserver und Askerisk Telefonanlage und die stelle ich bestimmt nicht mit ner öffentlichen IP ins Netz ohne mich mit der Konfiguration der Firewall auszukennen.
IP Tables ist zwar super aber recht kompliziert.
Daher macht unser RV042 NAT Zwischen 2 Internetanschlüsssen und Internem netzwerk. Der lasst sich auch bequemer mit VPN zwischen den Firmenstandorten Vernetzen.

Ich werd nun mal bind9 installieren und konfigurieren. Und schauen ob mich das Logging glücklich macht.

 

[woprr]

@Kritter
Mag sein, ich bin kein Full-Time- Netzwerkonkel.
Und iptables LOG loggt ja.
Machs ihm dann doch schnell über SSH?

Nun ganz einfach die Debiankiste ist interner Fileserver und Askerisk Telefonanlage und die stelle ich bestimmt nicht mit ner öffentlichen IP ins Netz ohne mich mit der Konfiguration der Firewall auszukennen.

Da vertraut man dann lieber der Firewallqualität von so ner Kaufbox und gerät in überflüssige und unwirtschaftliche Komplexität die zu diesem Thread geführt hat? OK. Wusst ich nicht.

 

[RalfFriedl]

Und iptables LOG loggt ja.

Hast Du auch die Anweisung parat, mit der iptables den Inhalt der DNS-Anfrage logt? Es ging hier ja nicht darum, festzustellen, daß ein Rechner DNS-Anfragen macht, das tut vermutlich jeder Rechner. Es ging darum, welcher Rechner DNS-Anfragen mit konkreten Inhalten schickt.

 

[HyBird]

bind9 rennt und loggt!

super. nochmal danke für den tip!

was mir nun noch fehlt, ist ein Tip wie ich dem Router Linksys RV042
beibringe allen Traffic zu verbieten und einzelne dienste zu erlauben.
hat jemand so ein Teil am laufen?

Gruß Marco

 

[woprr]

Hoppla, von ner cisco-kaufbox hätt ich das aber jetzt erwartet :mrgreen:
Sieht so aus als müsste doch debian und iptables das machen.

 

[HyBird]

Vernehme ich etwa Schadenfreude? tztz!

Nun Egal zurück zum Thema: Bind overkill??? mit nichten! Ich habe vielleicht 10 Zeilen Code in ne config Datei eingetragen. Und rockt prima!
IP Tables ist da wesentlich komplexer und wenn man da Fehler macht, was ich als LL (LinuxLamer) garantiert machen werde, ist das Netzwerk nicht mehr sicher. Also muß der RV042 das erledigen.

Interessant ist nur das der RV042 bei Anlegen der Firewalll Access Rules
den VPN Verkehr aussperrt.

Dazu Habe ich mal ne Mail an den Support geschickt für den den es interessiert. Die Lösung werde ich dann auch hier Posten.

 

[bruma74]

Sich dass Dein RDP funktioniert?

Schau dir mal IP-Cop an, den sollte man auch ohne viel Wissen hinbekommen. Zum Thema Surfverhalten:
Squid
Squidguard
SARG

 

[woprr]

Interessant ist nur das der RV042 bei Anlegen der Firewalll Access Rules
den VPN Verkehr aussperrt.

Initialprinzip der geringsten Rechte. Musste explizit freigeben.

 

[HyBird]

Raff ich nicht.

auch wenn ich ipsec freigebe luppt das nicht.

gebe ipsec von jedem rj11 port von jeder ip zu jeder ip frei gibt keinen.

 

[HyBird]

Wie angedroht der Mail Verker mit Cisco!

Von unten nach oben Lesen! Ich warte auf die Lösung und werde Sie dann Posten.

Sehr geehrter Herr W., 

danke fuer die Aktualisierung. Ab heute bespreche ich schon das Problem mit dem Eskalationsingenieur. Erwarten Sie mehr Information von ihm oder mir in den naechsten Tagen.

Mit freundlichen Gruessen, 

Marco W. wrote: 
Ich habe am WE den Router in Werkseinstellungen zurückgesetzt. Leider
> ergab das keine veränderung. Ich schätze das die Firmwareentwikler doch
> noch einmal ran müssen.
> Für Rückfragen, erreichen Sie mich von 8 bis 17 Uhr unter Telefon
> 02225****** nach 17 Uhr 0177*******.
> 
> MFG Marco W.
> 
> Am Dienstag, den 16.02.2010, 14:04 +0200 schrieb Cisco MA:
>   
> Sehr geehrter Herr W., 
> > 
> > ich habe das Problem in unserem Labor reproduziert und das Ergebnis
> > war genau das gleiche. Falls Sie den Router schon in
> > Werkseinstellungen zurueckgesetzt haben und das Problem noch besteht,
> > lassen Sie mich wissen, um den Fall zu eskalieren.
> > 
> > Mit freundlichen Gruessen, 
> > 
> > Marco Wolff wrote: 
> >     
> > Sehr geehrter Herr ******,
> > > 
> > > erstmal Danke für das freundliche Gepräch mit Ihnen.
> > > Anbei nochmal eine kleine Zusammenfassung des Problems.
> > > 
> > > Werden Firewall Regeln erstellt wie auf dem Screenshot ersichtlich,
> > > lässt der RV042 keinen Netzwerkverkehr mehr durch den IPSEC Tunnel.
> > > Das Lan hinter dem RV042 ist dann via VPN nicht mehr erreichbar.
> > > Das Gateway also der RV042 bleibt erreichbar via VPN.
> > > 
> > > Ich werde Morgen nochmal den Router in Werkseinstellungen zurücksetzen
> > > und neu Konfigurieren. Dann sehen wir weiter.
> > > 
> > > Mein Cisco Login ist: ********
> > > 
> > > ich hoffe Sie können nun einen Supportfall daraus machen.

 

[kritter]

Nun Egal zurück zum Thema: Bind overkill??? mit nichten! Ich habe vielleicht 10 Zeilen Code in ne config Datei eingetragen. Und rockt prima!

Hat deine DNS-Recherche (das Ausgangsproblem) schon etwas zutage gefördert seitens der Clients? Auffälligkeiten, die Du hier anonymisiert berichten kannst? Immerhin klang das doch recht spannend...