Über Ethernet Bridge fehlerhafte SSH Loginversuche erkennen

[dom069]

Hallo zusammen,
im Rahmen meines Studiums habe ich einen Embedded PC, mit 6 Interfaces, zu einer virtuellen Ethernet-Bridge unter Debian eingerichten. Die Bridge ansich ist transparent und soll das Netzwerk überwachen. Ein wichtiger Punkt hierbei ist, dass ich fehlerhafte SSH Loginversuche schon auf der Bridge erkennen möchte. Jedoch werden in der Datei /var/log/auth.log, nur erfolgreiche bzw. nichterfolgreiche Logins gespeichert, wenn ich mich direkt auf die Bridge verbinde (irgendwie logisch ). D.h. von den anderen Verbindungen bekommt die Bridge gar nix mit. Gibt es eine Möglichkeit die auth.logs von allen, an der Bridge angeschlossenen, Devices in Echtzeit Zusammenzufassen? Oder habt ihr eine Idee wie ich mein Problem sonst lösen könnte?

Hoffe konnte mich einigermaßen verständlich ausdrücken und ihr könnt mit Helfen!

Mfg Dom069

[syssi]

Dir ist schon klar, dass auf deiner Bridge ein SSH-Daemon an einem definierten Port lauscht und lediglich Notizen macht, wenn auf diesem Port ein Login fehlgeschlagen ist? Dein SSH-Daemon wirst du nicht per Konfiguration dazu bewegen koennen, dass er den gesamten Netzwerkverkehr ueberwacht und Aussagen ueber den Traffic macht. Verstehe ich dich falsch? Ich hoffe.

[dom069]

Dir ist schon klar, dass auf deiner Bridge ein SSH-Daemon an einem definierten Port lauscht und lediglich Notizen macht, wenn auf diesem Port ein Login fehlgeschlagen ist? Dein SSH-Daemon wirst du nicht per Konfiguration dazu bewegen koennen, dass er den gesamten Netzwerkverkehr ueberwacht und Aussagen ueber den Traffic macht. Verstehe ich dich falsch? Ich hoffe.

Hallo syssi,
ja das ist mir schon klar. Zum überwachen des Netzwerkverkehrs benutze ich ngrep. Aber es muss doch eine Möglichkeit geben, fehlerhafte SSH Loginversuche schon auf der Bridge zu erkennen. Zumindest hat das mein Prof so angedeutet. Ich habe ihn schon vorgeschlagen auf jeden angeschlossen Rechner ein Programm (z.B fail2ban) zu installieren und es darüber zu realisieren, jedoch gibt er sich damit nicht zufrieden. Ist mein erstes Projekt in dieser Richtung also bitte keine zu harsche Kritik .

Mfg Dom069

[unitra]

Eine Ethernet Bridge ist wie der Name schon sagt, ein Layer 2 Device (Ethernet, ATM usw), zumidest verstehe ich das so.
In einem gewöhnlichen LAN kriegst du auch nichts mit wenn sich Endbenutzer falsch einloggen.
Ein SSH Login-Versuch ist Layer 3 (IP). Das hilft aber auch nicht weiter, ein Layer 3 device das ein Teil des Netzwerkes ist (ala Autobahn) kriegt auch nichts mit wenn sich ein Endanwender irgendwo falsch anmeldet usw.

Ein Layer 2 Device (Ethernet Bridge) versteht nicht Layer 3 (IP) oder layer 4 (TCP).
Für mich ist eine Bridge so etwas wie ein Switch, auch Multiport-Bridge genannt.
Ich weiß nicht ob ich die Fragestellung richtig verstanden habe.

Du kriegst auch nichts mit wenn sich im Internet ein Anwender irgendwo falsch anmeldet.
Du hast ein Stück Autobahn (Deine Layer 2 Ethernet Bridge), wenn auf der Autobahn irgendwo ein Unfall passiert, (Ein fehlerhafter Login Versuch), schreit die Autobahn auch nicht wo der Crash passsiert ist, sondern es geht einfach weiter.

Was du benötigst ist vermutlich eher ein syslog server, und nicht eine Ethernet Bridge. Alle Endgeräte im LAN sollten den Syslogtraffic an deinen Syslog Server hinschicken egal was passiert, dann siehst du auch, an einer zentralen Stelle wo was im Netzwerk passiert.

Du könntest auch deinen Endgeräten im LAN beibrigen SNMP Traps zu verschicken wenn ein fehlerhafter Login passiert, jedoch gibt es nich so viele SNMP Traps wie es Syslog Meldungen gibt. SNMP Traps sind also die 2-te Wahl nach syslog.

[dom069]

Eine Ethernet Bridge ist wie der Name schon sagt, ein Layer 2 Device (Ethernet, ATM usw), zumidest verstehe ich das so.
In einem gewöhnlichen LAN kriegst du auch nichts mit wenn sich Endbenutzer falsch einloggen.
Ein SSH Login-Versuch ist Layer 3 (IP). Das hilft aber auch nicht weiter, ein Layer 3 device das ein Teil des Netzwerkes ist (ala Autobahn) kriegt auch nichts mit wenn sich ein Endanwender irgendwo falsch anmeldet usw.

Ein Layer 2 Device (Ethernet Bridge) versteht nicht Layer 3 (IP) oder layer 4 (TCP).
Für mich ist eine Bridge so etwas wie ein Switch, auch Multiport-Bridge genannt.
Ich weiß nicht ob ich die Fragestellung richtig verstanden habe.

Du kriegst auch nichts mit wenn sich im Internet ein Anwender irgendwo falsch anmeldet.
Du hast ein Stück Autobahn (Deine Layer 2 Ethernet Bridge), wenn auf der Autobahn irgendwo ein Unfall passiert, (Ein fehlerhafter Login Versuch), schreit die Autobahn auch nicht wo der Crash passsiert ist, sondern es geht einfach weiter.

Was du benötigst ist vermutlich eher ein syslog server, und nicht eine Ethernet Bridge. Alle Endgeräte im LAN sollten den Syslogtraffic an deinen Syslog Server hinschicken egal was passiert, dann siehst du auch, an einer zentralen Stelle wo was im Netzwerk passiert.

Du könntest auch deinen Endgeräten im LAN beibrigen SNMP Traps zu verschicken wenn ein fehlerhafter Login passiert, jedoch gibt es nich so viele SNMP Traps wie es Syslog Meldungen gibt. SNMP Traps sind also die 2-te Wahl nach syslog.

Hallo unitra,
danke für die Hilfe!
Über eine Syslog Server habe ich bisher noch nicht nachgedacht, sieht aber auf den ersten Blick wirklich gut aus !
Ich versuche das mal Umzusetzen und gebe dann Feedback.

Danke Dom069

[syssi]

Schau dir mal "snort" an. Dann freut sich dein Dozent, dass er passiv Netzwerkverkehr untersuchen kann. Ob man mit snort in der Lage ist, etwas ueber SSH-Verbindungen auszusagen, bin ich mir nicht sicher.