Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Imparare a leggere un log

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
Liverpaol
Ospite





MessaggioInviato: Dom Mar 14, 2010 5:43 pm    Oggetto: Imparare a leggere un log Rispondi citando

Se vado su (captive portal -> show log) mi viene fuori questo:

15:55:13 AS: Success: Captive Portal Authentication Server started
15:55:14 GW: Success: Captive Portal Gateway started (0 clients connected)
15:59:10 AS: http session (Client: 192.168.1.100) captured for authentication (AS: 192.168.1.75)
15:59:10 AS: http session (Client: 192.168.1.100) captured for authentication (AS: 192.168.1.75)
15:59:19 AS: trying Kerberos 5 (Local KDC) authentication for admin@EXAMPLE.COM (Client: 192.168.1.100)
15:59:21 AS: Success: user admin@EXAMPLE.COM (Client: 192.168.1.100) successfully authenticated (Username,Password)
15:59:24 AS: http session (Client: 192.168.1.100) captured for authentication (AS: 192.168.1.75)
15:59:29 GW: Success: user admin@EXAMPLE.COM (IP: 192.168.1.100 MAC: 00:21:5D:C0:33:ECool connected
15:59:46 GW: disconnection request from the user admin@EXAMPLE.COM (Client: 192.168.1.100)
15:59:46 GW: Success: user admin@EXAMPLE.COM (IP: 192.168.1.100 MAC: 00:21:5D:C0:33:ECool disconnected
15:59:50 AS: http session (Client: 192.168.1.100) captured for authentication (AS: 192.168.1.75)
16:00:01 AS: http session (Client: 192.168.1.100) captured for authentication (AS: 192.168.1.75)
16:00:10 AS: trying Kerberos 5 (Local KDC) authentication for paolo@EXAMPLE.COM (Client: 192.168.1.100)
16:00:11 AS: Success: user paolo@EXAMPLE.COM (Client: 192.168.1.100) successfully authenticated (Username,Password)
16:00:11 GW: Success: user paolo@EXAMPLE.COM (IP: 192.168.1.100 MAC: 00:21:5D:C0:33:ECool connected
16:00:18 GW: disconnection request from the user paolo@EXAMPLE.COM (Client: 192.168.1.100)
16:00:19 GW: Success: user paolo@EXAMPLE.COM (IP: 192.168.1.100 MAC: 00:21:5D:C0:33:ECool disconnected
16:00:23 AS: http session (Client: 192.168.1.100) captured for authentication (AS: 192.168.1.75)
16:00:30 AS: trying Kerberos 5 (Local KDC) authentication for admin@EXAMPLE.COM (Client: 192.168.1.100)
16:00:30 AS: Success: user admin@EXAMPLE.COM (Client: 192.168.1.100) successfully authenticated (Username,Password)
16:00:31 GW: Success: user admin@EXAMPLE.COM (IP: 192.168.1.100 MAC: 00:21:5D:C0:33:ECool connected
16:55:58 AS: http session (Client: 192.168.1.102) captured for authentication (AS: 192.168.1.75)
16:56:23 AS: trying Kerberos 5 (Local KDC) authentication for paolo@EXAMPLE.COM (Client: 192.168.1.102)
16:56:24 AS: Success: user paolo@EXAMPLE.COM (Client: 192.168.1.102) successfully authenticated (Username,Password)
16:56:26 GW: Success: user paolo@EXAMPLE.COM (IP: 192.168.1.102 MAC: EC:9B:5B:4D:61:5B) connected
17:02:40 GW: warning: authenticator expired for paolo@EXAMPLE.COM (Client: 192.168.1.102)
17:02:40 GW: Success: user paolo@EXAMPLE.COM (IP: 192.168.1.102 MAC: EC:9B:5B:4D:61:5B) disconnected

Mi sono connesso come admin, e alle 16:55 mi sono connesso anche con il telefonino wifi con l'account paolo.
Ecco la domanda:
Facciamo finta che paolo sia un malintenzionato e che abbia fatto una cosa perseguibile e la polizia se ne sia accorta.
Come fa la polizia a capire da questo log chi tra l'admin e paolo è il malintezionato?
Ditemi se sbaglio: loro quando vengono a chiedere il log sanno solo che il malintenzionato ha fatto la cazzata alle 17:00 con l'ip 192.168.102 ?
Top
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Dom Mar 14, 2010 10:25 pm    Oggetto: Rispondi citando

non con l'ip 192.168.xxxx ma risalgono al tuo ip pubblico e all'ip del sito visitato.

Ora da questo log hai l'ip sia di paolo che di admin.

Vai sul log del connection tracking e cerchi l'indirizzo ip visitato a cui è associato se non erro solo il mac address della macchina da cui è stato visitato il sito.

Nel log del dhcp cerchi l'associazione tra ip e mac. Con queste informazioni sei in grado di risalire all'utente che ha eseguito l'operazione illecita.

Ciao.
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Lun Mar 15, 2010 10:23 am    Oggetto: Rispondi citando

Se le connessioni fossero state simultanee, e tu non avessi il connection tracking attivo (ed essendo decaduto il decreto Urbani, non sei tenuto ad averlo attivo), potresti anche semplicemente indicare che erano connessi gli utenti "admin" e "paolo", corrispondenti a Tizio e Caio. Non è tuo compito indicare con precisione l'utente. Anche perché, a quanto mi risulta, non vengono a chiederti "chi si è connesso al tale sito il tal giorno alla tal ora" (altrimenti ti fornirebbero informazioni su un'indagine in corso), ma semplicemente "chi era connesso il tal giorno dalle ... alle ...", così che tu impari solo che stanno indagando, ma non sai (in generale) su cosa (e, comunque, non puoi parlarne in giro).
In ogni caso, quando ti informi per effettuare la comunicazione di inizio attività chiedigli anche che tipo di informazioni possono chiederti... Le Questure sono simili a feudi, ed ogni Questore può avere idee diverse per diversa interpretazione della legge e di eventuali circolari.
Top
Profilo Invia messaggio privato
Liverpaol
Ospite





MessaggioInviato: Lun Mar 15, 2010 10:41 am    Oggetto: Rispondi citando

Proprio questo volevo sentirmi dire!
Grazie mille ragazzi! Mr. Green
Un giorno, forse venerdì, vado in questura e vi faro sapere cosa mi diranno.
Top
Liverpaol
Ospite





MessaggioInviato: Ven Mar 19, 2010 10:26 pm    Oggetto: e te pareva! Rispondi citando

Sono andato in questura Sad
Mi han detto che devo dirgli tra mille cose anche quant'è il numero massimo di utenti collegabili simultaneamente.
...non ho mica voglia di cercare con il tasto cerca,la questura mi ha un po' abbattuto,qualcuno mi potrebbe dire o indicare come si fa.

Ma la cosa peggiore è che vogliono una certificazione di chi ha fatto l'impianto Sad
Top
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Lun Mar 22, 2010 10:23 am    Oggetto: Rispondi citando

Certificazione DI COSA? Dell'impianto elettrico? ROFL!
Ma sei sicuro che abbiano capito di cosa stavi parlando?
Comunque, come numero massimo di utenti, dagli il numero di indirizzi del pool DHCP (se hai un solo AP, è abbastanza inutile tentare di far navigare contemporaneamente 100 persone... Più credibile 20...).
Top
Profilo Invia messaggio privato
Liverpaol
Ospite





MessaggioInviato: Lun Mar 22, 2010 10:37 am    Oggetto: Rispondi citando

NdK ha scritto:

Comunque, come numero massimo di utenti, dagli il numero di indirizzi del pool DHCP (se hai un solo AP, è abbastanza inutile tentare di far navigare contemporaneamente 100 persone... Più credibile 20...).


Pfff... Sono furbo come una volpe, come ho fatto a non pensarci!
Per il baretto ne metto 10 e son più che sufficienti. Anzi, ne metto 5,così ci sono meno probabilità che in questura mi dicano che son troppi.

Per la certificazione ti confermo che in provincia di Treviso la vogliono.
Stavo per rinunciare, ma grazie a giancagianca ho ripreso un po' di entusiasmo grazie all'idea di limitare gli utenti ad usare solo la navigazione.
Devo usare opendns come forwader.
Giancagianca mi consiglia di:
"Apro nella catena di forward solo i servizi che mi servono (80 e 443) e blocco tutto il resto. In questo modo si puo solo navigare sui siti che decidi tu.
Con questa configurazione si può solo navigare, no posta no ftp no siti strani no file sharing ecc. "

Penso che con un "blocco" del genere posso anche prendermi la responsabilità di fare una certificazione a mio nome. Che ne pensi?
Top
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Lun Mar 22, 2010 11:05 am    Oggetto: Rispondi citando

Il problema è cosa certificare...
La sicurezza (di cosa?)? Il non inquinamento? Di essere proprietario del bar? Che l'impianto elettrico è a norma? Che l'acqua nello sciacquone del WC non supera i 5l? Che l'impianto antincendio funziona?
Si può certificare di tutto, basta che ci sia una norma al riguardo (e ce ne sono veramente di tutti i tipi). Quindi ti devono dire quale certificazione gli serve. Poi si può vedere se è possibile l'autocertificazione (non sempre puoi autocertificare).
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it