گرفتن لاگ اینترنت کاربران با استفاده از میکروتیک
با سلام و احترام خدمت همه عزیزان و همکاران گرامی
بنده چند وقتی هست که مشغول تحقیق در مورد روشهای اعمال محدودیت ترافیک، پهنای باند و ذخیره لاگ عملکرد کاربران شرکت در اینترنت هستم. منتها چند سوال اساسی داشتم که در فروم و سایتهای مختلف جواب واضحی پیدا نکردم.
آیا امکان کنترل ترافیک وبسایتهایی که با پروتکل HTTPS کار میکنند با استفاده از میکروتیک وجود دارد یا ابزار و زیرساخت خاصی مورد نیاز است. منظورم از کنترل اعمال محدودیت دسترسی به سایتهای قابل بازدید برای گروههای مختلف کاربران و همچنین اعمال محدودیت بر روی ترافیک و پهنای باند است. ولی از اونجایی که اکثر وبسایتهای مورد نظر HTTPS هستند میخواستم بدونم این کار چالش خاصی داره یا نه. البته در میکروتیک با استفاده از TLS HOST رول هایی نوشتم جهت بستن کلیه وبسایتها (*.* در اولویت آخر) و بعد در اولویتهای ابتدای رولها سایتهای مورد نظر رو باز گذاشتم ولی سرعت لود صفحات به شدت پایین اومد که دلیلش رو متوجه نشدم و احساس کردم این روش غیر کاربردی هست. ضمن اینکه ابزار WebProxy که به صورت transparent راهاندازی کردم ظاهرا لاگ HTTPS رو نمیتونه بگیره. آیا استفاده از روتر میکروتیک برای این منظور رو کاربردی میدونید یا خیر؟ ممکنه فایروالهایی مثل کریو بهتر باشند؟
با توجه به اینکه بنده در هر دو موضوع کریو و میکروتیک مبتدی هستم خواستم از تخصص و تجربه دوستان در این خصوص بهره بگیرم. لطفا بنده رو جهت انتخاب ابزار مناسب راهنمایی بفرمایید.
با تشکر فراوان
5 پاسخ
پس اگر هدفتون جلوگیری از ورود بد افزار به سازمان هست و از این بابت قراره نظارت بر روی کاربران داشته باشید پس میبایست سراغ ویژگی های دیگه برید مثله SSL Inspection که به واسطه اون شما میتونید بازرسی عمیقی رو بر روی ترافیک های Encrypted داشته باشید که لذا اگر این وسط به واسطه یک ارتباط امن سازی شده بخواد یک بد افزار وارد سازمان شود از این کار جلوگیری شود.
پیشنهاد میکنم این مقاله را که بنده در رابطه با SSL Inspection نوشتم را مطالعه کنید هرچند پیکربندی اون بر روی فایروال FortiGate انجام دادم بر روی Kerio Control نیز با یک سرچ ساده به جواب میرسید والبته توضیحات معمولا مشترکه توی Vendor های مختلف
گزینه دوم سوالتون هم با راهکار های Web Filtering که گفتم قابل انجام هست که اکثرشم خوبیش اینه با URL میتونید انجام بدید و نیاز نیست صرفا IP وب سرور مورد نظر رو وارد کنید.
و سوال اخرتون - در ابتدا فکر میکردم فقط هدف Web Filtering و دیدن Log وب سایت های دیده شده هستش پس اینجا من Mikrotik و گزینه خوبی میدونم براتون اما درصورتی که شما بخواید عملیات بررسی امنیتی به منظور جلوگیری از ورود بد افزار ها انجام بدید قطعا نیاز به استفاده از UTM هست و معقول تره که از دیوایسی که وظیفه و کارش این هست استفاده بشه زیرا در مسائل امنیتی Mikrotik محدوده و نمیشه اعتنا کرد.
ممنون از توضیحاتتون، بسیار جامع و کامل بود.
در واقع دلیل اعمال محدودیتها این است که گروهی از کاربران شاغل در حوزه مالی ممکن است با وبگردی و مراجعه به سایتهای حاوی بدافزار سیستم مالی را دچار مشکل کنند که برای این گروه دسترسی به تعداد مشخصی از وبسایتها باید اعمال شود (منتها همه HTTPS هستند)
گروه دوم کاربران نوجوان هستند و یکسری مراقبتها شبیه Parental Control برای حفظ سلامتی اونها مورد نیاز است. منتها اگر روش مناسبتری وجود دارد ممنون میشوم راهنمایی بفرمایید.
و در خصوص اینکه برای این منظور استفاده از میکروتیک کاربردی تر هست یا کریو لطفا توضیح بفرمایید
با تشکر از شما
سلام برشما...
در پرسش مجزا که مطرح کردید پاسخ رو خدمتتون دادم. لینک پرسش برای دوستانی که سوال شمارا دارند: Link
سلام برشما خسته نباشید
ببینید برای اعمال محدودیت بر روی میزان Bandwidth کاربران شما روی میکروتیک میتونید از QoS Queue استفاده کنید.
برای اینکه بتونی دسترسی کاربران به سمت یک وب سایت رو ببندید خب راه های متنوعی وجود از جمله:
پیاده سازی Static-DNS: بدین شکل که شما آدرس IP یک Domain خاص رو تغییر بدید و ترافیک رو بر روی مقصد خاصی هدایت کنید(برای مثال 127.0.0.1) بدین شکل که شما دارید کاربر رو به یک آدرس IP جعلی میفرستید که آدرس IP سیستم اصلی نیست.
/ip dns static add name=example.com address=127.0.0.1
/ip firewall nat add chain=dstnat dst-port=53 action=redirect to-ports=53 protocol=tcp
/ip firewall nat add chain=dstnat dst-port=53 action=redirect to-ports=53 protocol=udp
پیاده سازی Web Proxy: در این شرایط شما میبایست یک Web Proxy درون میکروتیک راه اندازی کنید و فرآیند فیلتر سازی و Block کردن دامین های خاصی رو انجام بدید.
پیاده سازی Layer 7 Firewall: همونطور که میدونید میکروتیک فایروال بسیار جالبی داره اما این فایروال ویژگی درونش وجود داره تحت عنوان L7 Firewall که یکی از توانایی هاش بحث Web Filtering هستش که به راحتی و با پشتیبانی از Regex میتونید پیاده سازی کنید. این ویژگی صرفا برای این موضوع نیست و وظیفه اون فعالیت در L7 شبکه و ترافیک های ماست و البت اگر میخواید به صورت مداوم از قوانین های L7 Firewall استفاده کنید میبایست توجه داشته باشید که این قوانین بر روی بورد اصلی قرار میگیره و میبایست دیوایسی مناسب داشته باشید.
پیاده سازی Content Filter: در بخش Advanded فایروال میکروتیک قسمتی وجود دارد تحت عنوان Content که میتوانید نام وب سایت مورد نظر را وارد کنید
پیاده سازی Route Policy: در این شرایط دقیقا شما مشکل خودتون رو دارید که نمیتونید آدرس IP وب سرور سایت مورد نظر را داشته باشید زیرا در این بخش از Url و Domain Name پشتیبانی نمیشود برای مثال در شرایطی که قصد دارید آدرس خاصی برای مثال 8.8.8.8 را فیلترکنید میتونید به شکل زیر عمل کنید.
/ip route add dst-address=8.8.8.8 type=blackhole
برای سوال اخرتون هم جا داره بگم طبیعیه چون Https ترافیک Encrypted هستش و ماهیتشم همینه که به راحتی نشه ردیابیش کرد و با Web Proxy راحت دیدش به همین سبب Web Proxy بیشتر دستش رو Http باز هست. برای اینکار که بتونید ترافیک های Https Encrypted رو ببینید راه های مختلفی هست اما دوتا نکته باید حتما رعایت شه:
اول - از لحاظ قانونی دسترسی و اجازه Unencrypted کردن داده ها و داشتن Log اونهارو داشته باشید.
دوم - میبایست Certificate مورد نظر رو به دیوایس مد نظر وارد کنید تا بتونه دوباره داده هارو Encrypted کنه.
اما این بخش که شما بخواید داده های Https رو رصد کنید بیشتر میتونه جنبه امنیتی داشته باشه برای ویژگی های مثله SSL Inspection وگرنه اگر میخواید فقط نظارت داشته باشید روی اینکه کاربران به چه سایت های دسترسی پیدا میکنند حالا اینش زیاد نمیشه گفت جالب باشه
مهندس جان منم دقیقا همین مشکل رو دارم
سوالش رو که نوشتم دیدم یه دوست دیگه هم مثله من مشکل داره تو رصد سایتهای https
من متوجه نشدم بالاخره واسه اینکه لاگ های پورت 443 رو بفرستیم روی یه لاگ سرور چیکار بایدبکنیم؟
واسه فیلترکردن راههای بسیاری وجود داره که فرمودین
اما اول باید ببینیم چه سایتهایی بازدید میشه که بتونیم یه پلن طراحی کنیم
درضمن مهندس جان الان خود کروم و*ی پ*ی ا*ن داره که اگه یه کاربر یکم کنجکاو باشه و بخواد یه سایت رو باز کنه براحتی میتونه ادمین رو دور بزنه مثلا من اینستا رو بستم ولی با zen mate کروم براحتی رکب می خوریم ، سوالم اینه که چطوری میشه آی پی وی پی ان ها رو بست
در ضمن مهندس تنگسیری عزیز میکروتیک من 1036 هستش (36 تا سی پی یو و 4 گیگ رم )