Forum

Loglama hakkında
 
Bildirimler
Hepsini Temizle

Loglama hakkında

11 Yazılar
4 Üyeler
0 Reactions
1,353 Görüntüleme
(@AdemKIRBIC)
Gönderiler: 154
Estimable Member
Konu başlatıcı
 

Merhaba.

Şirket bünyesinde 200 den fazla çalışan bulunmakta.Sanal olarak Server 2008 32bit çalışmakta.Antivirüs olarak symantec norton endpoint protection 11 kullanmaktayız.Firewall olarak Cisco ASA 5520 var.Bu sekilde olan bir sistemde nasıl bir loglama yapabilirim ? istediğim tam kapsamlı bir şey.Özellikle bu 5651 nolu Yasa içeriği hakkındadır.

Yardımlarınız için şimdiden teşekkürler..

 

 
Gönderildi : 23/10/2009 01:49

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

merhabalar


intercomp'un bu alanda Türkiyeye sunduğu ürünler var oradan bilgi alabilirsiniz.


Labris'i önerebilirim ayrıca... Bir ürün daha geliyor tamamlanmasına çok az kaldı, isterseniz sadece loglama yapacak cihazı alırsınız ve sadece logları tutar firewall görevi görmez. maliyet açısından tabi uygun olabiliyor.


ancak ürün henüz tamamlanmadı, çok yakında tamamlanacak. şuan 1000 kullanıcının olduğu ortamda testini yapıyoruz ve gayet başarılı sonuçlar veriyor.


kolay gelsin

 
Gönderildi : 23/10/2009 14:46

(@AdemKIRBIC)
Gönderiler: 154
Estimable Member
Konu başlatıcı
 

Merhaba.


Cevvap için teşekkürler.Açıkçası bir cihazdan ziyade bunu bedava yazılım yada açık kaynak kodlu yazılımlar vasıtasıyla yapabilmem mümkünmü ? inanın bu konuda hiçbir bilgim yok..Bir log sunucusu nasıl kurabilirim önereceginiz yazılımlar varmı ? (freeware olması tercih sebebi)


yada bu konuyu tam olarak anlatan bir site bir kitap v.b kaynak mevcutmu ? Yardımlarınız için şimdiden teşekkür ederim..

 
Gönderildi : 23/10/2009 17:08

(@omeralbayrak)
Gönderiler: 203
Estimable Member
 

Bunu OpenSource ürünler ile yapman tabi ki mümkün.Ancak biraz araştırma ve biraz da *nix sistemlere aşina olmak gerekiyor. Çünkü yapılacak işlemler ileri seviye işlemleri olacağı için ilk başlarda bir alt yapı gerekebilir. ancak yine olmayacak şeyler değil. Pfsense,IPCop,PF, gibi firewallar ile birlikte çalışacak olan Squid,SquidGuard,Dansguardin proxy sistemleri ve imzalamak için de kullanacağın OpenSSL sistemi ile de imzalayabilir hash damgası yapabilirsin.ama dediğim gibi komplike bir sistem gibi görünebilir ancak deneme yanılma her zaman için bir sorun olabilir. çünkü yapını ve sistemlerini bilmediğim için bunları sistemine nasıl entegre edebilirsin ya da ne gibi sorunlar çıkar bilemiyorum. Aşağıdaki linkleri inceleyebilirsin.

http://www.syslogs.org/2009/08/openssl-ile-5651-sayili-kanun-geregi-log-imzalamak/

http://www.syslogs.org/tag/openssl/

http://www.syslogs.org/2009/10/openssl-ve-tsa-ile-otomatik-log-imzalayici-shell-script/

http://www.syslogs.org/2009/07/ncsa_auth-sifreli-squid-proxy-kurulumu/

http://www.syslogs.org/2008/11/squid-ve-ipfirewall-ile-transparan-proxy-kurulumu/

 
Gönderildi : 31/10/2009 12:59

(@esersolmaz)
Gönderiler: 3204
Illustrious Member Yönetici
 

Merhaba;

Opensource bir yazılım olan ossim incelenebilir.

http://www.alienvault.com/community.php?section=Home

İyi çalışmalar.

 

 
Gönderildi : 31/10/2009 14:57

(@AdemKIRBIC)
Gönderiler: 154
Estimable Member
Konu başlatıcı
 

cevaplar için teşekkürler.Yapı;


Server 2008 Standart Sanal olarak Vmware ESX 3.5 üzerine kurulu.Firewall, Cisco ASA 5520.Antivirüs Programı olarakta Symantec Endpoint Protection 11.0 mevcut.ASA 5520' den ve antivirüs programından bu logları alıp log sunucusuna kaydedebilirmiyim ? Hepsini toplu bir şekilde ve tek seferde görüntüleyip gerektiğinde çıktı almak istiyorum..


Kolay Gelsin.

 
Gönderildi : 06/11/2009 12:23

(@omeralbayrak)
Gönderiler: 203
Estimable Member
 

symantec tarafını bilemiyorum ama onun loglama ile bir ilgisi olduğunu düşünmüyorum. ASA tarafına gelirsek eğer firewallar source ipsini ve destination iplerini tutar ve buradan bu ip ye istek gelmiş şeklinde bir loglama yapar. url bazda bir loglama (eğer firewall da url filtering ya da content filtering özelliği yoksa) yapmazlar. sisteminize bir proxy kurmak hem log yönetimi anlamında hem de içeriden dışarıya doğru giden trafiği daha etkin yönetmek anlamında faydalı olacaktır. ayrıca hash damgası ve değiştirilmeyecek tarzda bir imzalama için proxy server kullanmanız daha iyi olacaktır. cisco nun loglarını piyasada ki birçok management araçlar ile görebilir ve bunları kaydedebilirsiniz. http://www.cozumpark.com/forums/thread/106235.aspx bu linkte farklı bir yönetem ile nasıl yapabileceğiniz noktasında yardımcı olacaktır diye umuyorum.

 
Gönderildi : 06/11/2009 12:49

(@AdemKIRBIC)
Gönderiler: 154
Estimable Member
Konu başlatıcı
 

Peki önereceğiniz windows tabanlı proxy sistemleri varmı ? Cisco ASA içerisinden ASDM yönetim aracını kullanarak logların bir syslog sunucusuna gönderimi için gereken ayarı verdiğiniz linkten öğrendim.Peki bu logları farklı bir makinada bir Linux dağıtımı kurarak üzerinede bahsettiğiniz squid v.b proxy sistemi kurarakmı yapıcaz ? ikisi birlikte bir bütün olarak problemsiz çalışabilirmi ? syslog.org sitesinde freebsd,centos gibi makinalar üzerine rsyslog yazılımının nasıl kurulacağını anlatmış.Faydalı bilgiler içeren bir siteymiş,teşekkürler.


Not:ASA üzerinde CSC (Mcafee content security,url filtering,content filtering) kart mevcuttur.


 


Kolay Gelsin..

 
Gönderildi : 06/11/2009 17:15

(@omeralbayrak)
Gönderiler: 203
Estimable Member
 

microsoft tarafında ISA server ı proxy server olarak kullanabilir firewalldan yönlendirme yaparak aktif halde kullanabilirsiniz. ayrıca ISA server üzerine çalışan birçok içerik filtreleme araçları da mevcuttur.bunun yanında CC Proxy ve  Wingate proxylerde mevcuttur microsoft için. OpenSource tarafın da ise Squid+Dansguardian+Sarg ile detaylı raporlama ve filtreleme yapabilir loglarınızı syslog a entegre edebilirsiniz. ASA nın loglarını daha önce linkini vermiş olduğum syslog.org sitesindeki makalelerin yardımı ile yapabilirsiniz. bunun için squid vs kurmanıza gerek yok.makaledeki adımları yapmanız yeterli olacaktır. benim squid tarzı proxy kullanmanızı önermemde ki amaç sistemi daha ne görebilmek ve performans, yönetim,kontrol ve güvenlik anlamında daha fazla insiyatif sahibi olmanızı kolaylaştırmak içindi.

Squid ile ilgili yazılardan oluşan birkaç link vereceğim.umarım işinize yarar.

http://www.belgeler.org/howto/proxy-fw_squid.html

  http://www.debian-turkiye.org/arsiv-konu-288.0-proxy-server-kurulumu-squid-dansguardian-clamav.html

  http://web.deu.edu.tr/doc/yardim/squid/elkitabi-1.html

  http://www.enderunix.org/docs/squid.pdf

 
Gönderildi : 06/11/2009 17:31

(@AdemKIRBIC)
Gönderiler: 154
Estimable Member
Konu başlatıcı
 

Doyurucu bilgilendirme için çok teşekkür ederim.

 
Gönderildi : 06/11/2009 18:51

(@omeralbayrak)
Gönderiler: 203
Estimable Member
 

rica ederim.eğer yardımcı olabildiysek ne mutlu..

 
Gönderildi : 06/11/2009 19:29

Paylaş: