50٪ تخفیف روی تمام دوره‌ها!
پایان تخفیف تا:
مشاهده دوره‌ها
0

گرفتن لاگ اینترنت کاربران با استفاده از میکروتیک

با سلام و احترام خدمت همه عزیزان و همکاران گرامی

بنده چند وقتی هست که مشغول تحقیق در مورد روش‌های اعمال محدودیت ترافیک، پهنای باند و ذخیره لاگ عملکرد کاربران شرکت در اینترنت هستم. منتها چند سوال اساسی داشتم که در فروم و سایت‌های مختلف جواب واضحی پیدا نکردم.

آیا امکان کنترل ترافیک وبسایت‌هایی که با پروتکل HTTPS کار می‌کنند با استفاده از میکروتیک وجود دارد یا ابزار و زیرساخت خاصی مورد نیاز است. منظورم از کنترل اعمال محدودیت دسترسی به سایت‌های قابل بازدید برای گروه‌های مختلف کاربران و همچنین اعمال محدودیت بر روی ترافیک و پهنای باند است. ولی از اونجایی که اکثر وبسایت‌های مورد نظر HTTPS هستند می‌خواستم بدونم این کار چالش خاصی داره یا نه. البته در میکروتیک با استفاده از TLS HOST رول هایی نوشتم جهت بستن کلیه وبسایت‌ها (*.* در اولویت آخر) و بعد در اولویت‌های ابتدای رول‌ها سایت‌های مورد نظر رو باز گذاشتم ولی سرعت لود صفحات به شدت پایین اومد که دلیلش رو متوجه نشدم و احساس کردم این روش غیر کاربردی هست. ضمن اینکه ابزار WebProxy که به صورت transparent راه‌اندازی کردم ظاهرا لاگ HTTPS رو نمی‌تونه بگیره. آیا استفاده از روتر میکروتیک برای این منظور رو کاربردی می‌دونید یا خیر؟ ممکنه فایروال‌هایی مثل کریو بهتر باشند؟

با توجه به اینکه بنده در هر دو موضوع کریو و میکروتیک مبتدی هستم خواستم از تخصص و تجربه دوستان در این خصوص بهره بگیرم. لطفا بنده رو جهت انتخاب ابزار مناسب راهنمایی بفرمایید.

با تشکر فراوان

پرسیده شده در 1399/12/25 توسط

5 پاسخ

3

پس اگر هدفتون جلوگیری از ورود بد افزار به سازمان هست و از این بابت قراره نظارت بر روی کاربران داشته باشید پس میبایست سراغ ویژگی های دیگه برید مثله SSL Inspection که به واسطه اون شما میتونید بازرسی عمیقی رو بر روی ترافیک های Encrypted داشته باشید که لذا اگر این وسط به واسطه یک ارتباط امن سازی شده بخواد یک بد افزار وارد سازمان شود از این کار جلوگیری شود.
پیشنهاد میکنم این مقاله را که بنده  در رابطه با SSL Inspection نوشتم را مطالعه کنید هرچند پیکربندی اون بر روی فایروال FortiGate انجام دادم بر روی Kerio Control نیز با یک سرچ ساده به جواب میرسید والبته توضیحات معمولا مشترکه توی Vendor های مختلف
گزینه دوم سوالتون هم با راهکار های Web Filtering که گفتم قابل انجام هست که اکثرشم خوبیش اینه با URL میتونید انجام بدید و نیاز نیست صرفا IP وب سرور مورد نظر رو وارد کنید.
و سوال اخرتون - در ابتدا فکر میکردم فقط هدف Web Filtering و دیدن Log وب سایت های دیده شده هستش پس اینجا من Mikrotik و گزینه خوبی میدونم براتون اما درصورتی که شما بخواید عملیات بررسی امنیتی به منظور جلوگیری از ورود بد افزار ها انجام بدید قطعا نیاز به استفاده از UTM هست و معقول تره که از دیوایسی که وظیفه و کارش این هست استفاده بشه زیرا در مسائل امنیتی Mikrotik محدوده و نمیشه اعتنا کرد.

پاسخ در 1399/12/25 توسط
0

ممنون از توضیحاتتون، بسیار جامع و کامل بود.

در واقع دلیل اعمال محدودیت‌ها این است که گروهی از کاربران شاغل در حوزه مالی ممکن است با وبگردی و مراجعه به سایت‌های حاوی بدافزار سیستم مالی را دچار مشکل کنند که برای این گروه دسترسی به تعداد مشخصی از وبسایت‌ها باید اعمال شود (منتها همه HTTPS هستند)

گروه دوم کاربران نوجوان هستند و یکسری مراقبت‌ها شبیه Parental Control برای حفظ سلامتی اونها مورد نیاز است. منتها اگر روش مناسب‌تری وجود دارد ممنون می‌شوم راهنمایی بفرمایید.

و در خصوص اینکه برای این منظور استفاده از میکروتیک کاربردی تر هست یا کریو لطفا توضیح بفرمایید

با تشکر از شما

پاسخ در 1399/12/25 توسط
0

سلام برشما...

در پرسش مجزا که مطرح کردید پاسخ رو خدمتتون دادم. لینک پرسش برای دوستانی که سوال شمارا دارند: Link

 

پاسخ در 1399/12/27 توسط
1

سلام برشما خسته نباشید
ببینید برای اعمال محدودیت بر روی میزان Bandwidth کاربران شما روی میکروتیک میتونید از QoS Queue استفاده کنید.
برای اینکه بتونی دسترسی کاربران به سمت یک‌ وب سایت رو ببندید خب راه های متنوعی وجود از جمله:

پیاده سازی Static-DNS: بدین شکل که شما آدرس IP یک Domain خاص رو تغییر بدید و ترافیک رو بر روی مقصد خاصی هدایت کنید(برای مثال 127.0.0.1) بدین شکل که شما دارید کاربر رو به یک آدرس IP جعلی میفرستید که آدرس IP سیستم اصلی نیست‌.

/ip dns static add name=example.com address=127.0.0.1
/ip firewall nat add chain=dstnat dst-port=53 action=redirect to-ports=53 protocol=tcp
/ip firewall nat add chain=dstnat dst-port=53 action=redirect to-ports=53 protocol=udp

همه IP های یک سایت - بستن ترافیک سایت

پیاده سازی Web Proxy: در این شرایط شما میبایست یک Web Proxy درون میکروتیک راه اندازی کنید و فرآیند فیلتر سازی و Block کردن دامین های خاصی رو انجام بدید.

همه IP های یک سایت - بستن ترافیک سایت
پیاده سازی Layer 7 Firewall: همونطور که میدونید میکروتیک فایروال بسیار جالبی داره اما این فایروال ویژگی درونش وجود داره تحت عنوان L7 Firewall که یکی از توانایی هاش بحث Web Filtering هستش که به راحتی و با پشتیبانی از Regex میتونید پیاده سازی کنید. این ویژگی صرفا برای این موضوع نیست و وظیفه اون فعالیت در L7 شبکه و ترافیک های ماست و البت اگر میخواید به صورت مداوم از قوانین های L7 Firewall استفاده کنید میبایست توجه داشته باشید که این قوانین بر روی بورد اصلی قرار میگیره و میبایست دیوایسی مناسب داشته باشید.

پیاده سازی Content Filter: در بخش Advanded فایروال میکروتیک قسمتی وجود دارد تحت عنوان Content که میتوانید نام وب سایت مورد نظر را وارد کنید

همه IP های یک سایت - بستن ترافیک سایت

پیاده سازی Route Policy: در این شرایط دقیقا شما مشکل خودتون رو دارید که نمیتونید آدرس IP وب سرور سایت مورد نظر را داشته باشید زیرا در این بخش از Url و Domain Name پشتیبانی نمیشود برای مثال در شرایطی که قصد دارید آدرس خاصی برای مثال 8.8.8.8 را فیلترکنید میتونید به شکل زیر عمل کنید‌.

/ip route add dst-address=8.8.8.8 type=blackhole

همه IP های یک سایت - بستن ترافیک سایت

برای سوال اخرتون هم جا داره بگم طبیعیه چون Https ترافیک Encrypted هستش و ماهیتشم همینه که به راحتی نشه ردیابیش کرد و با Web Proxy راحت دیدش به همین سبب Web Proxy بیشتر دستش رو Http باز هست. برای اینکار که بتونید ترافیک های Https Encrypted رو ببینید راه های مختلفی هست اما دوتا نکته باید حتما رعایت شه: 
اول - از لحاظ قانونی دسترسی و اجازه Unencrypted کردن داده ها و داشتن Log اونهارو داشته باشید.
دوم - میبایست Certificate مورد نظر رو به دیوایس مد نظر وارد کنید تا بتونه دوباره داده هارو Encrypted کنه.
اما این بخش که شما بخواید داده های Https رو رصد کنید بیشتر میتونه جنبه امنیتی داشته باشه برای ویژگی های مثله SSL Inspection وگرنه اگر‌ میخواید فقط نظارت داشته باشید روی اینکه کاربران به چه سایت های دسترسی پیدا میکنند حالا اینش زیاد نمیشه گفت جالب باشه

پاسخ در 1399/12/25 توسط
1

مهندس جان منم دقیقا همین مشکل رو دارم 

سوالش رو که نوشتم دیدم یه دوست دیگه هم مثله من مشکل داره تو رصد سایتهای https

من متوجه نشدم بالاخره واسه اینکه لاگ های پورت 443 رو بفرستیم روی یه لاگ سرور چیکار بایدبکنیم؟

واسه فیلترکردن راههای بسیاری وجود داره که فرمودین 

اما اول باید ببینیم چه سایتهایی بازدید میشه که بتونیم یه پلن طراحی کنیم

درضمن مهندس جان الان خود کروم و*ی پ*ی ا*ن داره که اگه یه کاربر یکم کنجکاو باشه و بخواد یه سایت رو باز کنه براحتی میتونه ادمین رو دور بزنه مثلا من اینستا رو بستم ولی با zen mate کروم براحتی رکب می خوریم ، سوالم اینه که چطوری میشه آی پی وی پی ان ها رو بست

در ضمن مهندس تنگسیری عزیز میکروتیک من 1036 هستش (36 تا سی پی یو و  4 گیگ رم )

پاسخ در 1399/12/27 توسط

پاسخ شما