Uživatelské nástroje

Nástroje pro tento web


Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
cs:howto:pakon [2018/06/13 16:02]
jschlehofer Webové rozhraní Pakone je možné nainstalovat jako plugin do Forise od verze Turris OS 3.10.1
cs:howto:pakon [2018/08/14 16:21] (aktuální)
jschlehofer Přidání admin. rozhraní Foris (náhled + demo) + doplněny 2 FAQ
Řádek 8: Řádek 8:
 {{ cs:​howto:​wildebeest.png?​200|}} {{ cs:​howto:​wildebeest.png?​200|}}
  
-PaKon využívá data ze **Suricaty - open-sourcového systém pro detekci a prevenci průniku do sítě.** \\+PaKon využívá data ze **Suricaty - open-sourcového systém pro detekci a prevenci průniku do sítě.**\\
 **[[https://​suricata-ids.org/​|Suricata]]** odvede velkou část úkolu při zpracování základních hrubých dat o provozu v síti a **poskytuje zpracované informace** (o toku dat, dotazů a odpovědí DNS, podrobnosti TLS, atd.). **[[https://​suricata-ids.org/​|Suricata]]** odvede velkou část úkolu při zpracování základních hrubých dat o provozu v síti a **poskytuje zpracované informace** (o toku dat, dotazů a odpovědí DNS, podrobnosti TLS, atd.).
  
Řádek 29: Řádek 29:
 Především je nutné zmínit, že jednotlivé toky jsou **agregovány**. **Agregace** v tomto případě znamená, že na místo uložení jednotlivých síťových toků, které směřují na stejného hostitele jsou toky sloučeny dohromady v daném časovém rámci. Množství odeslaných nebo přijatých dat je zachováno, ale některé detaily (jako je např. doba trvání a začátek jednotlivých toků) jsou ztraceny. Především je nutné zmínit, že jednotlivé toky jsou **agregovány**. **Agregace** v tomto případě znamená, že na místo uložení jednotlivých síťových toků, které směřují na stejného hostitele jsou toky sloučeny dohromady v daném časovém rámci. Množství odeslaných nebo přijatých dat je zachováno, ale některé detaily (jako je např. doba trvání a začátek jednotlivých toků) jsou ztraceny.
  
-**Turris OS 3.9 jsou záznamy zachovány po dobu 4 týdnů**, ale rádi bychom v budoucnu umožnili je uchovávat delší dobu.+**Od verze Turris OS 3.9 jsou záznamy zachovány po dobu 4 týdnů, ale rádi bychom v budoucnu umožnili je uchovávat delší dobu.**
  
-===== Použití ​=====+===== Instalace ​===== 
 + 
 +==== Ve Forisu ​====
  
 +Je nutné se přihlásit do administrační rozhraní Foris, které se ve výchozím nastavení nachází na adrese http://​192.168.1.1,​ přejděte do záložky Aktualizace,​ zaškrtněte volbu u Pakoně a následně uložte změny.
  
-==== Instalace ​====+==== V příkazové řádce ​====
  
 Připojte se přes SSH k routeru a proveďte následující příkazy: Připojte se přes SSH k routeru a proveďte následující příkazy:
Řádek 43: Řádek 46:
 </​code>​ </​code>​
  
-Tento postup je dostatečný k provedení všech kroků potřebných ke spuštění sběru dat tzn. instalace balíčku PaKon, zapnutí Suricaty a sledování služeb. ​\\ +Tento postup je dostatečný k provedení všech kroků potřebných ke spuštění sběru dat tzn. instalace balíčku PaKon, zapnutí Suricaty a sledování služeb. Než se data zobrazí může nějakou dobu trvat. 
-Než se data zobrazí může nějakou dobu trvat.+ 
 +===== Použití ===== 
 + 
 +==== Administrační rozhraní Foris ==== 
 + 
 +Po nainstalování Pakoně najdete záložku Pakoň po jejím rozkliknutí uvidíte statistiky, výsledky a možnost filtrování. 
 + 
 +{{ :​cs:​howto:​pakon-nahled.png?​direct&​500 |}} 
 + 
 +Demo je možné nalézt na https://​demo.turris.cz/​
  
 ==== Příkazová řádka ==== ==== Příkazová řádka ====
Řádek 93: Řádek 105:
 Tedy ''​pakon-show --no-filter''​. Seznam filtrovaných domén najdete v ''/​usr/​share/​pakon-light/​domains_ignore/''​. Tedy ''​pakon-show --no-filter''​. Seznam filtrovaných domén najdete v ''/​usr/​share/​pakon-light/​domains_ignore/''​.
  
-==== Pár poznámek na závěr ====+===== Pár poznámek na závěr ​=====
  
   * V některých případech je aplikační level neznámý - ''?''​. Tato situace může nastat v případě selhání připojení nebo neznámého protokolu, i přes to můžete získat nějakou představu o daném spojení z cílového portu.   * V některých případech je aplikační level neznámý - ''?''​. Tato situace může nastat v případě selhání připojení nebo neznámého protokolu, i přes to můžete získat nějakou představu o daném spojení z cílového portu.
Řádek 100: Řádek 112:
   * Délka trvání jednotlivých datových toků může být zavádějící. Jedná se o dobu připojení tedy o čas mezi připojením a zavřením. Neznamená to, že spojení bylo aktivní celou dobu. Zjistili jsme, že prohlížeče obvykle nechávají otevřené připojení několik minut, i když byl proveden jen jeden požadavek HTTP.   * Délka trvání jednotlivých datových toků může být zavádějící. Jedná se o dobu připojení tedy o čas mezi připojením a zavřením. Neznamená to, že spojení bylo aktivní celou dobu. Zjistili jsme, že prohlížeče obvykle nechávají otevřené připojení několik minut, i když byl proveden jen jeden požadavek HTTP.
  
-==== FAQ (Často kladené otázky) ====+===== FAQ (Často kladené otázky) ​=====
  
   * **Jaký je rozdíl mezi službou Majordomo a PaKoněm?**   * **Jaký je rozdíl mezi službou Majordomo a PaKoněm?**
  
 PaKon je lepší v rozpoznávání skutečných názvů hostitelů, které by měly odpovídat skutečným názvům, tak jak je vnímá člověk (ne počítač). Majordomo se dotazuje pouze na reverzní záznamy, kdežto PaKon používá i názvy z DNS/app vrsty. Majordomo navíc data agreguje mnohem drastičtěji a nezaznamenává čas, takže není možné data sledovat v časové ose. PaKon je lepší v rozpoznávání skutečných názvů hostitelů, které by měly odpovídat skutečným názvům, tak jak je vnímá člověk (ne počítač). Majordomo se dotazuje pouze na reverzní záznamy, kdežto PaKon používá i názvy z DNS/app vrsty. Majordomo navíc data agreguje mnohem drastičtěji a nezaznamenává čas, takže není možné data sledovat v časové ose.
- 
  
   * **Kam se data ukládají?​**   * **Kam se data ukládají?​**
Řádek 122: Řádek 133:
  
 V případě jiných protokolů spoléhá detekce jen na názvy DNS. Nutno dodat, že používání **síťových tunelů jako jsou VPNky, SSH, proxy a Tor, které zcela skryjí aktivitu** umožnuje sledovat pouze datový tok k proxy/k bráně, ale ne informace o skutečném toku dat. S tím bohužel nedokážeme nic udělat. ​ V případě jiných protokolů spoléhá detekce jen na názvy DNS. Nutno dodat, že používání **síťových tunelů jako jsou VPNky, SSH, proxy a Tor, které zcela skryjí aktivitu** umožnuje sledovat pouze datový tok k proxy/k bráně, ale ne informace o skutečném toku dat. S tím bohužel nedokážeme nic udělat. ​
 +
 +  * **Je možné nastavit hostname namísto jejich MAC adres?**
 +
 +Ano, ale v tuto chvíli je to možné nastavit v pokročilém administračním rozhraní LuCI, které se ve výchozím nastavení nachází na adrese http://​192.168.1.1/​cgi-bin/​luci/​. Z horní lišty vyberte Síť → DHCP a DNS, ve spodní části stránky uvidíte Statické zápůjčky,​ kde je nutné kliknout na tlačítko Přidat.
 +
 +{{ :​en:​howto:​pakon-static-leases-luci.png?​direct&​500 |}}
 +
 +Pro zobrazení názvu klientů pro Pakoně stačí pouze vyplnit název a zvolit MAC adresu, pokud vyplníte také IP adresu, tak vytvoříte statickou zápůjčku,​ co znamená, že zařízení dostane vždy tu samou lokální IP adresu.
 +
 +  * **Mohu nastavit Pakoně pouze pro specifická rozhraní?​**
 +
 +Ano, můžete změnit seznam rozhraní v konfiguračním souboru ''/​etc/​config/​pakon''​. \\
 +Ve výchozím nastavení seznam zahrnuje dvě rozhraní **br-lan** a WiFi síť pro hosty **br-guest_turris**.
 +
 +Můžete přidat nebo upravit rozhraní, které chcete sledovat a po uložení je nutné restartovat následující dvě služby provedením následujících příkazů:
 +<​code>​
 +/​etc/​init.d/​suricata-pakon restart
 +/​etc/​init.d/​pakon-monitor restart
 +</​code>​