Recientemente he tenido la necesidad de visualizar las conexión que se están realizando en un firewall y filtrar aquellas que se están permitiendo y aquellas que se están denegando.
Hay equipos que esta funcionalidad la tienen integrada de forma nativa y es fácil de realizar un análisis, pero hay otros que no la tienen y hacer un seguimiento de las conexiones resulta más difícil. En estos casos una herramienta que ayuda a tener un listado de la conexiones es un servidor de syslogs. Mediante este servicio podemos configurar los equipos de red para que envíen un registro de conexiones al servidor de logs y ya podemos las analizar conforme se están realizando junto con otra información complementaria que nos puede ser de utilidad en un futuro para analizar problemas de red.
El servidor de log permite a su vez tener un histórico más largo que los que pueden almacenar los dispositivos finales ya que la capacidad de almacenamiento puede ser superior.
El primer servidor que he probado se basa en linux y se llama rsyslog. Por defecto viene instalado en las distribuciones ubuntu y se puede usar incluso en una Raspberry. En caso de no estar instalado se puede realizar mediante el siguiente comando:
sudo apt install rsyslog
Seguidamente hemos de habilitar el fichero de configuración con nuestro editor favorito y quitar el simbolo de comentario al inicio de las siguientes líneas:
sudo nano /etc/rsyslog.conf
Acto seguido solo queda reiniciar los servicios mediante los siguientes comandos:
sudo service rsyslog restart
sudo systemctl restart rsyslog
Para ver si el servicio se ha reiniciado correctamente podemos ejecutar el comando
sudo service status rsyslog
El comando debería devolvernos un mensaje como este:
Para terminar de verificar que se encuentra operativo podemos ejecutar el comando
netstat -plan | grep udp
Podremos ver que hay una conexión a la escucha en el puerto 514
Acto seguido podemos configurar el dispositivo final para enviar los logs al servidor, en mi caso el equipo es un Meraki y la configuración se realiza desde el dashboard desde el Menú Network Wide--> General
Los logs se almacenan en la carpeta /var/logs/syslog
La otra aplicación para poder recibir los en Windows es el programa tftpd64.
Únicamente hemo de verificar el checkbox del syslog server está seleccionado.
En caso de no estarlo se activa y se reinicia la aplicacion y ya está listo para recibir logs.