🚝 👼🏼 🔼 Recopilamos registros del cortafuegos Mikrotik en una base de datos 👴🏽 👩🏼‍🤝‍👨🏻 🀄️

Buenas tardes

Quiero decirle cuán fácil y naturalmente puede configurar un servidor de recopilación de metadatos de tráfico de red para enrutadores Mikrotik.

Propósito: El objetivo será almacenar los registros de firewall "masticados" en una base de datos para su posterior análisis.

Medios: cualquier distribución fresca de Linux con rsyslogd v8 y superior es adecuada para la implementación, tal vez la sintaxis propuesta también funcione en v7. También necesitamos un DBMS, elegí mariadb. El crecimiento de la base de datos variará dependiendo del número de reglas registradas, porque el tamaño de la unidad es a su discreción, en mi caso, se registran 30-40 reglas, que son aproximadamente 1200 mil líneas por día. Durante el mes de uso de la base de datos, incluidos los índices, creció a 3,8 GB.

Mecánica: el enrutador envía un registro al servidor remoto a través de UDP. Usando expresiones regulares, el servidor rsyslog limpia cadenas de información innecesaria, genera un inserto SQL y lo envía al DBMS. El DBMS, utilizando un disparador antes de la inserción, realiza una limpieza y separación adicional de los campos que no se pudieron analizar en rsyslog.

Configurar RSYSLOG

Edición del archivo /etc/rsyslog.conf
Agregue las siguientes líneas allí:

module(load="ommysql") module(load="imudp") input(type="imudp" port="514")

Por lo tanto, cargamos los módulos necesarios y abrimos el puerto UDP 514.

La línea de registro de Mikrotik se ve así:

 20180927155341 BLOCKSMKNETS forward: in:ether6 - LocalTORF out:VLAN55 - RT_INET, src-mac 00:15:17:31:b8:d7, proto TCP (SYN), 192.168.0.234:2457->192.168.6.14:65535, len 60

Como puede ver, será mucho más extra para el almacenamiento en la base de datos y una selección clara.
En teoría, necesito agregar tales datos:

 20180927155341 ether6 VLAN5 192.168.0.234 2457 192.168.6.14 65535 00:15:17:31:b8:d7 TCP SYN forward BLOCKSMKNETS 60

No pude obtener esa línea usando solo un rsyslog. Los clientes habituales de Rsyslog utilizan POSIX ERE / BRE, por lo que no hay forma de aplicar funciones como mirar hacia adelante o hacia atrás.

Hay una herramienta que le permite depurar los clientes habituales, probarlo, tal vez pueda separar el puerto de la dirección, así como el nombre de la interfaz de in: y out:. Solo tenga en cuenta que faltan algunos de los protocolos de deporte y dport.

En general, mi salida fue la siguiente:

 20180927155341 in:ether6 out:VLAN5 192.168.0.234:2457 192.168.6.14:65535 00:15:17:31:b8:d7 TCP (SYN) forward BLOCKSMKNETS 60

Existe documentación sobre cómo cocinar los clientes habituales de rsyslog.

En la forma final, el archivo de configuración para recibir el registro de Mikrotik /etc/rsyslog.d/20-remote.conf se verá así:

 $template tpl_traflog,"insert into traflog.traffic (datetime, inif, outif, src, dst, smac, proto, flags, chain, logpref, len) values ('%timereported:::date-mysql%', '%msg:R,ERE,0,DFLT,0:in:[a-zA-Z]+[0-9]+|in:<[a-zA-Z]+-[a-zA-Z]+>--end%', '%msg:R,ERE,0,BLANK,0:out:[a-zA-Z]+[0-9]+|out:<[a-zA-Z]+-[a-zA-Z]+>--end%', '%msg:R,ERE,0,DFLT,0:([0-9]+\.){3}[0-9]+[:]?([0-9]+)?--end%', '%msg:R,ERE,0,DFLT,1:([0-9]+\.){3}[0-9]+[:]?([0-9]+)?--end%', '%msg:R,ERE,0,BLANK:([0-f]+:){5}[0-f]+--end%', '%msg:R,ERE,0,BLANK:\b[AX]{3,4}\b--end%', '%msg:R,ERE,0,BLANK:\([AZ]+\)|\(([AZ]+\,){1,3}[AZ]+\)--end%', '%msg:R,ERE,0,DFLT:[ax]+--end%', '%msg:F,32:2%', '%msg:R,ERE,0,DFLT:[0-9]+$--end%' )",SQL if ($fromhost-ip == '192.168.0.230') and ($syslogtag contains "firewall") then {action(type="ommysql" server="localhost" serverport="3306" db="traflog" uid="rsyslogger" pwd="rsyslogger" template="tpl_traflog") stop}

En la primera línea, la descripción de la plantilla (plantilla) es una línea de código SQL para transferirla al DBMS.
La segunda línea es la condición cuando se producirá la acción, es decir, el registro en el DBMS.
La condición se ve así: si la fuente de registro = 192.168.0.230 ( if ($fromhost-ip == '192.168.0.230') ) Y si la línea msg contiene "firewall" (y ($ syslogtag contiene "firewall"), entonces usar el módulo ommysql con parámetros de conexión ( then {action(type="ommysql" server="localhost" serverport="3306" db="traflog" uid="rsyslogger" pwd="..." ) llamamos a la plantilla tpl_traflog ( template="tpl_traflog") ), y después de eso detenemos el procesamiento posterior de la línea ( stop} ).

Es posible que en su caso algo salga mal, puede deberse a los nombres de las interfaces o prefijos de registro, tal vez algo más. Para la depuración, haremos lo siguiente, comentaremos en la segunda línea, agregaremos una nueva plantilla y dos condiciones nuevas:

 $template tpl_traflog_test,"%timereported:::date-mysql% %msg:R,ERE,0,DFLT,0:in:[a-zA-Z]+[0-9]+|in:<[a-zA-Z]+-[a-zA-Z]+>--end% %msg:R,ERE,0,BLANK,0:out:[a-zA-Z]+[0-9]+|out:<[a-zA-Z]+-[a-zA-Z]+>--end% %msg:R,ERE,0,DFLT,0:([0-9]+\.){3}[0-9]+[:]?([0-9]+)?--end% %msg:R,ERE,0,DFLT,1:([0-9]+\.){3}[0-9]+[:]?([0-9]+)?--end% %msg:R,ERE,0,BLANK:([0-f]+:){5}[0-f]+--end% %msg:R,ERE,0,BLANK:\b[AX]{3,4}\b--end% %msg:R,ERE,0,BLANK:\([AZ]+\)|\(([AZ]+\,){1,3}[AZ]+\)--end% %msg:R,ERE,0,DFLT:[ax]+--end% %msg:F,32:2% %msg:R,ERE,0,DFLT:[0-9]+$--end%\n" if ($fromhost-ip == '192.168.0.230') then {action(type="omfile" file="/var/log/remote/192.168.0.230.log" )} if ($fromhost-ip == '192.168.0.230') then {action(type="omfile" file="/var/log/remote/192.168.0.230.log" template="tpl_traflog_test" ) stop}

Reinicie el registrador.

La plantilla tpl_traflog_test es similar a tpl_traflog, pero sin SQL INSERT.

La primera condición agrega la línea no procesada% msg% al archivo /var/log/remote/192.168.0.230.log, porque la plantilla no está especificada.

La segunda condición agrega la línea procesada al mismo archivo.
Por lo tanto, será más conveniente comparar.
A continuación, prepare la base de datos.

Preparamos un DB

Bajaremos la configuración de DBMS, aquí todo es estándar.

Iniciamos la consola mysql y ejecutamos el siguiente código:

 --   create database traflog character set utf8 collate utf8_bin; use traflog; --  create table traffic (id BIGINT UNSIGNED NOT NULL AUTO_INCREMENT PRIMARY KEY, datetime DATETIME, inif VARCHAR(20), outif VARCHAR(20), src VARCHAR(21), sport INT(5), dst VARCHAR(21), dport INT(5), smac VARCHAR(17), proto VARCHAR(4), flags VARCHAR(11), chain VARCHAR(8), logpref VARCHAR(24), len INT(5)) ENGINE=MYISAM; --  create user rsyslogger@localhost identified by '...'; grant all privileges on traflog.* to rsyslogger@localhost;

La mesa está lista, el usuario sí.

Ahora agregue un disparador, hará lo que el registrador no logró separar la dirección del puerto, limpiará los nombres de las interfaces, eliminará los corchetes de la bandera:

 --   traffic DELIMITER // create TRIGGER delim_ip_port_flags BEFORE insert ON traffic FOR EACH ROW begin set NEW.inif = REGEXP_REPLACE ((NEW.inif), 'in:', '' ); set NEW.outif = REGEXP_REPLACE ((NEW.outif), 'out:', '' ); set NEW.sport = REGEXP_REPLACE ((NEW.src), '([0-9]+\.){3}[0-9]+:|([0-9]+\.){3}[0-9]+', '' ); set NEW.src = REGEXP_REPLACE ((NEW.src), ':[0-9]+', '' ); set NEW.dport = REGEXP_REPLACE ((NEW.dst), '([0-9]+\.){3}[0-9]+:|([0-9]+\.){3}[0-9]+', '' ); set NEW.dst = REGEXP_REPLACE ((NEW.dst), ':[0-9]+', '' ); set NEW.flags = REGEXP_REPLACE ((NEW.flags), '\\(|\\)', '' ); end // delimiter ;

REGEXP_REPLACE busca el segundo parámetro después del punto decimal (temporada regular) y lo reemplaza con el tercer parámetro, en nuestro caso no hay nada entre comillas, por lo tanto, simplemente elimina lo que encuentra.

Hagamos un inserto de prueba, similar a cómo lo hará el registrador:

 --   insert into traffic (datetime, inif, outif, src, dst, smac, proto, chain, logpref) values (20180730075437, 'in:ether6', 'out:VLAN55', '192.168.0.234:4997', '192.168.6.18:65535', '00:15:17:31:b8:d7', 'TCP', '(SYN)', 'forward', 'BLOCKSMKNETS');

Veamos que pasó:

 select * from tarffic;

Si todo está correcto, entonces sigue adelante. Si no, busque el error.

Agregue al menos un índice. No soy un maestro en la creación de índices, pero según tengo entendido, en mysql es más correcto usar índices con diferentes campos de unión para diferentes consultas, ya que una consulta puede usar solo un índice (¿o me equivoco?). Si lo comprende, hágalo a su discreción.
A menudo tengo que hacer solicitudes con un prefijo específico, así que agregué este índice:

 --  create index traffic_index on traffic (datetime,logpref,src);

Listo

Ahora debe comenzar a enviar en el enrutador, agregar la configuración y la acción del servidor de registro remoto, agregar la opción de registro a una de las reglas del firewall, agregar un prefijo de no más de 24 caracteres.

En la consola Mikrotik, se ve más o menos así:

 /system logging action set 3 remote=192.168.0.94 src-address=192.168.0.230 add name=remote2 remote=192.168.0.19 syslog-facility=local6 target=remote /system logging add action=remote topics=error,account,critical,event,info add action=remote2 topics=firewall /ip firewall filter ... add action=drop chain=input comment="drop ssh brute forcers" dst-port=22,8291 log=yes log-prefix=DROP_SSH_BRUTE protocol=tcp src-address-list=ssh_blacklist ...

Donde 192.168.0.230 es la dirección del enrutador, 192.168.0.19 es la dirección del servidor de registro para los registros del firewall y 192.168.0.94 es otro servidor de registro, tengo registros del sistema Mikrotik allí, no lo necesitamos ahora. Nuestra configuración es remota2.

A continuación, vea lo que cae en el archivo:

 tail -f /var/log/remote/192.168.0.230.log

Las líneas del enrutador deben guardarse en el archivo, a menos que, por supuesto, su regla se active con bastante frecuencia.

Si faltan algunos campos, es decir, no se sigue la secuencia datetime, inif, outif, src, dst, smac, proto, flags, chain, logpref, len, puede intentar cambiar el parámetro en las plantillas de depuración del registrador, reemplazar BLANK con DLFT. Luego, en lugar del vacío de cualquier campo, aparecerán algunas letras, ya no recuerdo cuáles. Si esto sucede, entonces algo está mal con el horario regular y necesita arreglarlo.

Si todo salió como debería, apague las condiciones de prueba y la plantilla.

También necesita ejecutar la configuración predeterminada en /etc/rsyslog.d/ a continuación, le cambié el nombre a 50-default.conf para que los registros remotos no se viertan en el registro del sistema / var / log / message
Reinicie el registrador.

Esperemos un poco hasta que nuestra base de datos esté llena. Entonces podemos comenzar la selección.

Algunas consultas para un ejemplo:

Para ver el tamaño de la base de datos y el número de filas:

 MariaDB [traflog]> select table_schema as "database", round(sum(data_length + index_length)/1024/1024,2) as "size Mb", TABLE_ROWS as "count rows" from information_schema.tables group by table_schema; +--------------------+---------+------------+ | database | size Mb | count rows | +--------------------+---------+------------+ | information_schema | 0.17 | NULL | | traflog | 3793.39 | 21839553 | +--------------------+---------+------------+ 2 rows in set (0.48 sec)

Casi 4 GB han crecido en un mes, pero depende del número y las propiedades de las reglas de firewall registradas

Número de prefijos registrados

El número de prefijos registrados no es igual al número de reglas, algunas reglas funcionan con un prefijo, pero ¿cuántos prefijos totales hay? y cuántas reglas se han elaborado para ellos?

 MariaDB [traflog]> select logpref,count(logpref) from traffic group by logpref order by count(logpref) desc; +----------------------+----------------+ | logpref | count(logpref) | +----------------------+----------------+ | ACCEPT_TORF_INET | 14582602 | | ACCEPT_SMK_PPP | 1085791 | | DROP_FORWARD_INVALID | 982374 | | REJECT_BNK01 | 961503 | | ACCEPT_MMAX_TORF | 802455 | | ACCEPT_TORF_PPP | 736803 | | SMTP_DNAT | 689533 | | ACCEPT_SMK_INET | 451411 | | ACCEPT_INET_TORF | 389857 | | BLOCK_SMKNETS | 335424 | | DROP_SMTP_BRUTE | 285850 | | ACCEPT_ROZN_TORF | 154811 | | ACCEPT_TORF_MMAX | 148393 | | DROP_ETHALL_ETHALL | 80679 | | ACCEPT_SMTP | 48921 | | DROP_SMTP_DDOS | 32190 | | RDP_DNAT | 28757 | | ACCEPT_TORF_ROZN | 18456 | | SIP_DNAT | 15494 | | 1CWEB_DNAT | 6406 | | BLOCKSMKNETS | 5789 | | DROP_SSH_BRUTE | 3162 | | POP_DNAT | 1997 | | DROP_RDP_BRUTE | 442 | | DROP_BNK01 | 291 | | DROPALL | 138 | | ACCEPT_RTP_FORWARD | 90 | | REJECT_SMTP_BRUTE | 72 | | L2TP_INPUT_ACCEPT | 33 | +----------------------+----------------+ 29 rows in set (2 min 51.03 sec)

ACCEPT_TORF_INET es el líder, con este prefijo puede encontrar a todos los que ingresaron a Internet desde nuestra red local, se registran protocolos y puertos, llegará el momento y se cerrará el acceso para algunos. Hay datos de referencia para futuros trabajos sobre errores.

Smtp lanza líder

Veamos quién trató hoy de llegar al servidor smtp:

 MariaDB [traflog]> select src,count(dport) from traffic where logpref='SMTP_DNAT' and datetime > '2018101600000000' group by src order by count(dport) desc limit 10; +----------------+--------------+ | src | count(dport) | +----------------+--------------+ | 191.96.249.92 | 12440 | | 191.96.249.24 | 4556 | | 191.96.249.61 | 4537 | | 185.255.31.122 | 3119 | | 178.57.79.250 | 226 | | 185.36.81.174 | 216 | | 185.234.219.32 | 211 | | 89.248.162.145 | 40 | | 45.125.66.157 | 32 | | 188.165.124.31 | 21 | +----------------+--------------+ 10 rows in set, 1 warning (21.36 sec)

Claramente, el nodo 191.96.249.92 es el ganador hoy. Veamos en qué reglas registradas todavía apareció:

 MariaDB [traflog]> select src,dport,count(dport),logpref from traffic where src='191.96.249.92' group by logpref order by count(dport) desc; +---------------+-------+--------------+-----------------+ | src | dport | count(dport) | logpref | +---------------+-------+--------------+-----------------+ | 191.96.249.92 | 25 | 226989 | SMTP_DNAT | | 191.96.249.92 | 25 | 170714 | DROP_SMTP_BRUTE | | 191.96.249.92 | 25 | 2907 | DROP_SMTP_DDOS | | 191.96.249.92 | 25 | 2061 | ACCEPT_SMTP | +---------------+-------+--------------+-----------------+ 4 rows in set (10 min 44.21 sec)

Este se especializa solo en smtp, ~ 1% de aciertos por tratar de adivinar la contraseña o intentar enviar algo de basura, el resto fue a la casa de baños.

La solicitud tardó 10 minutos, esto es mucho, los índices actuales no son adecuados para ello, o puede reformular la solicitud, pero ahora no hablaremos de eso.

En el futuro, está previsto atornillar la interfaz web con consultas y formularios estándar.
El vector está dado, espero que este artículo sea útil.

Gracias a todos!

Referencias

Documentación de Rsyslog
Documentación de MySQL
Documentación de registro de Mikrotik

Gracias a la comunidad LOR por los consejos.

UPD.1
Se agregó el campo de banderas a la base de datos, ahora puede rastrear la duración de la conexión capturando SYN, FIN.
Se corrigieron algunos errores en los regulares de rsyslog, así como también en los desencadenantes de mysql.

Curiosamente, la regla predeterminada defconf: drop invalid deja todos los paquetes finales de conexiones TCP, como resultado, todos los nodos que intentan cerrar la conexión en ciencia fallan, enviando varios FIN. ¿Es esto correcto?

Agregué una regla que permite el recorrido TCP con ACK, banderas FIN.

Bajo el spoiler de SQL, un procedimiento que muestra el tiempo de las conexiones TCP en los últimos cinco minutos

connections_list ()

 DROP PROCEDURE IF EXISTS connections_list; DELIMITER // CREATE PROCEDURE connections_list() BEGIN DECLARE logid BIGINT UNSIGNED; DECLARE done INT DEFAULT FALSE; DECLARE datefin DATETIME; DECLARE datesyn DATETIME; DECLARE conntime TIME; DECLARE connsport INT; DECLARE conndport INT; DECLARE connsrc VARCHAR(21); DECLARE conndst VARCHAR(21); DECLARE cur CURSOR FOR SELECT id,datetime,src,sport,dst,dport FROM conn_syn_fin WHERE flags='SYN'; DECLARE CONTINUE HANDLER FOR NOT FOUND SET done=TRUE; DROP TABLE IF EXISTS conn_syn_fin; DROP TABLE IF EXISTS connless; CREATE temporary TABLE connless(datestart DATETIME,dateend DATETIME,duration TIME,src VARCHAR(21),sport INT,dst VARCHAR(21),dport INT); CREATE temporary TABLE conn_syn_fin (SELECT * from traffic WHERE datetime > now() - interval 5 minute and src in (select src from traffic where datetime > now() - interval 5 minute and logpref='TCP_FIN' and flags like '%FIN%') and (flags like '%SYN%' or flags like '%FIN%') order by id); OPEN cur; read_loop: LOOP FETCH cur INTO logid,datesyn,connsrc,connsport,conndst,conndport; IF done THEN LEAVE read_loop; END IF; set datefin=(SELECT datetime FROM conn_syn_fin WHERE id>logid and src=connsrc and sport=connsport and flags like '%FIN%' and dst=conndst and dport=conndport limit 1); set conntime=(SELECT timediff(datefin,datesyn)); INSERT INTO connless (datestart,dateend,duration,src,sport,dst,dport) value (datesyn,datefin,conntime,connsrc,connsport,conndst,conndport); END LOOP; CLOSE cur; select * from connless; END; // DELIMITER ;

Como resultado del procedimiento, se crearán dos tablas temporales.
La tabla conn_syn_fin contiene entradas de registro con los indicadores SYN y FIN, luego se realiza una búsqueda utilizando el cursor en esta tabla.
La tabla sinn contiene una lista de conexiones, abiertas y completadas, completadas tienen una duración de abierto, respectivamente, no.
Tenga en cuenta el tiempo de muestreo menos cinco minutos desde la hora actual. Mi pedido es lento Lentamente busca a través del cursor, procesa alrededor de 10 registros por segundo, intenta acelerarlo en todos los sentidos, pero el tiempo de ejecución es siempre el mismo.
También tenga en cuenta que este procedimiento es solo para fines de demostración. Si necesita hacer una selección para un src / sport / dst / dport específico, es mejor hacer un procedimiento separado similar a este. Si eres un maestro SQL, entonces puedes escribir mejor tu consulta.

llamar a connections_list ();

 MariaDB [traflog]> call connections_list(); +---------------------+---------------------+----------+---------------+-------+-----------------+-------+ | datestart | dateend | duration | src | sport | dst | dport | +---------------------+---------------------+----------+---------------+-------+-----------------+-------+ | 2019-03-20 14:12:19 | 2019-03-20 14:13:14 | 00:00:55 | 192.168.0.81 | 41868 | 87.250.250.207 | 443 | | 2019-03-20 14:12:25 | NULL | NULL | 192.168.0.65 | 49311 | 52.5.23.125 | 443 | | 2019-03-20 14:12:31 | 2019-03-20 14:12:51 | 00:00:20 | 192.168.0.104 | 54433 | 217.69.139.42 | 443 | | 2019-03-20 14:12:31 | 2019-03-20 14:12:51 | 00:00:20 | 192.168.0.104 | 54434 | 217.69.139.42 | 443 | | 2019-03-20 14:12:32 | NULL | NULL | 192.168.0.119 | 37977 | 209.85.233.95 | 443 | ... | 2019-03-20 14:17:12 | NULL | NULL | 192.168.0.119 | 39331 | 91.213.158.131 | 443 | | 2019-03-20 14:17:13 | NULL | NULL | 192.168.0.90 | 63388 | 87.240.185.236 | 443 | +---------------------+---------------------+----------+---------------+-------+-----------------+-------+ 399 rows in set (33.17 sec) Query OK, 0 rows affected (33.18 sec)

Una vez completado el procedimiento, las tablas temporales conn_syn_fin y connless permanecen, puede verlas con más detalle si encuentra algo sospechoso o no confiable. Después de comenzar el procedimiento, se eliminan las tablas antiguas y aparecen las nuevas. Escribe si encuentras un error.

Recopilamos registros del cortafuegos Mikrotik en una base de datos

Configurar RSYSLOG

Preparamos un DB

More articles: