Userlogins auswerten opnsense

doomkopf · 21. Oktober 2019 um 05:47

hi forum,
habe dazu nichts gefunden, auch nicht in der off. docu der opnsense. hat hier jemand hinweise dazu? bin im menü bei „reporting“ auf netflow gestoßen, hier kann man mit ein paar klicks etwas anklicken, nur keine ahnung, wie man die log-datei einrichtet: ip:port
wohin das ganze?
gruß,
h.

Michael · 21. Oktober 2019 um 05:54

Hallo doomkopf (kein Klarname?)
Über Netflow steht im OPNSense-Praktiker etwas … wenn auch nicht allzu viel:
https://der-opnsense-praktiker.github.io/

–> dort Kapitel 13. Man kann sich unter LABS alle im Buch vorgestellten Konfigurationen ansehen.

hth
Michael

doomkopf · 21. Oktober 2019 um 08:59

@Michael danke, leider bisschen dürftig das kapitel, besteht das nur aus der überschrift???

zum klarnamen: habe ja schonmal diskussionen mitgelesen, wo es um die forumsnamen ging, die waren tw. recht hitzig, soweit ich mich erinnere. wenn das so gewünscht ist, habe ich es jedenfalls auch nicht mitbekommen oder wurde nicht gezwungen, mir alle forumsregeln genau anzugucken klarname steht im profil. was ist, wenn es den klarnamen schon gibt? wo ist dann die unterscheidung? doomkopf ist eindeutig hier, mein klarname nicht!

gruß,
hendrik

baumhof · 21. Oktober 2019 um 09:23

Hallo Hendrik,

zum klarnamen: habe ja schonmal diskussionen mitgelesen, wo es um die forumsnamen ging, die waren tw. recht hitzig, soweit ich mich erinnere. wenn das so gewünscht ist, habe ich es jedenfalls auch nicht mitbekommen oder wurde nicht gezwungen, mir alle forumsregeln genau anzugucken klarname steht im profil. was ist, wenn es den klarnamen schon gibt? wo ist dann die unterscheidung? doomkopf ist eindeutig hier, mein klarname nicht!

ich meine, du darfst dich nennen, wie du willst.
Einziges Problem ist eigentlich das Antworten auf Nachrichten von dir.
Du unterschreibst mit Hendrik: alles gut, dann kann ich mit „Hallo
Hendrik“ anfangen.
Ich glaube ich hab auf eine deiner ersten Nachrichten geantwortet: und
da stand nicht Hendrik drunter.
Da hab ich mich auch komisch gefühlt als ich „Hallo Doomkopf“
geschrieben habe …
Aber mit dem Gefühl komm ich zurecht, solange dich das nicht stört

LG

Holger

doomkopf · 21. Oktober 2019 um 09:36

sehr gerne „hallo h.“ (natürlich auch mit doomkopf)
so (h.) unterschreibe ich seit jahren an gute bekannte meine e-mails…und dann wäre die unterscheidung zum anderen hendrik gewahrt. kann auch gerne meinen profilnamen dahingehend ändern, wenn das möglich ist…

Michael · 21. Oktober 2019 um 09:51

Das Buch ist nicht komplett online verfügbar. Ich habe es mir gekauft. Aber man bekommt dort alle Dateien, die im Buch verwendet werden. So kann man z.B. einen genaueren Blick in die verwendeten FW-Regeln oder was auch immer werfen … Voraussetzung ist dann natürlich eine weitere OPNSense-Instanz zum Rumspielen.

(Was den Klarnamen angeht: Sehe ich so wie Holger (also gar nicht hitzig)… von mir aus kann sich jeder nennen wie er/sie/es will und muss dann damit leben, wenn er auch damit angesprochen wird )

Schöne Grüße,
Michael

MachtDochNix · 21. Oktober 2019 um 14:33

Hallo hendrik!

Das war aber bestimmt nicht in einer unserer Diskussionen, oder. Daran kann ich mich erinnern. Und wenn doch, dann Macht das Doch Nix!
Halte es seit Jahren so wie die meisten hier auch. Kein Namen unter dem Post dann halt forumnamen.

Beste Grüße

Thorsten

Michael · 21. Oktober 2019 um 15:06

Hallo h.

Guck mal hier … man kann das durchaus auch lokal analysieren lassen und muss nicht unbedingt einen Netflow-Kollektor installieren. Ob das aber empfehlenswert ist, kann ich nicht sagen.

Wenn du’s lieber nicht direkt auf der Firewall haben willst, könnte man den Kollektor (mal wieder) als docker-Container installieren. Steht aber nicht sehr weit oben auf der Dringlichkeitsliste, oder?

Schöne Grüße,
Michael

doomkopf · 21. Oktober 2019 um 21:19

Genau bei dem Link da habe ich geschaut. Als Destination steht da zwar dann der localhost, stimmt der Port??? Klappt das einfach so? Wo landen die Daten? Dringlichkeit wie man es nimmt: wenn jemand Unfug macht, bin ich verpflichtet nachzusehen, und momentan weiß ich nicht, ob wir überhaupt loggen.

Michael · 22. Oktober 2019 um 04:18

Ja, funktioniert ootb.
Habe es für alle Schnittstellen aktiviert. Aber die Frage, ob das auf der FW selbst stattfinden sollte, muss jemand anderes beantworten

doomkopf · 22. Oktober 2019 um 06:11

ok danke, dann probier ich einfach mal aus und berichte, falls ich log-files irgendwo sehe…

doomkopf · 22. Oktober 2019 um 19:07

also man kann alles mögliche analysieren, nur nicht aktionen zu usern zuordnen. kann auch sein, dass ich es nur nicht gefunden habe.

doomkopf · 26. Oktober 2019 um 08:59

hallo nochmal an alle.
ich denke, hier habe (nur?) ich ein rechtliches problem…im prinzip müssen wir die pc-nutzung zu privaten zwecken freigeben, dann darf man nicht mehr loggen. loggt keiner hier? oder sehe ich ein problem, wo keines ist?

jochen · 26. Oktober 2019 um 09:43

Hallo Hendrik,

doch, das wäre dann vermutlich schon ein (rechtliches) Problem. Imho gibt es nur zwei Alternativen: entweder nicht loggen (wobei gar nichts loggen vermutlich technisch auch schwierig umzusetzen sein wird) oder loggen und die private Nutzung (per Nutzungsordnung) zu untersagen. Dass der ein oder andere hier loggt UND die private Nutzung zumindest stillschweigend duldet, steht auf einem anderen Blatt und fällt in die Kategorie „wo kein Kläger, da kein Richter“, ist aber natürlich nicht sauber!

Frage: warum „müsst“ Ihr die private Nutzung zulassen?

Viele Grüße,
Jochen

doomkopf · 26. Oktober 2019 um 11:13

Meines Wissens: weil dann die Schule wie ein Provider fungiert und rechtlich erstmal nicht den User und seine Aktivitäten (dauerhaft) protokolliert. Kann aber auch wieder veraltetes Wissen sein.

baumhof · 26. Oktober 2019 um 11:25

Hallo,

es ist ein Dilemma: wir müssen loggen und wir dürfen es nicht.
Dieses Dilemma lößt nur eine NUtzungsvereinbarung.
Dafür verwende ich seit Jahren die Vorlage der KMK.

Wem das nicht paßt … der bekommt kein Login.
Die NUtzungsvereinbarungen werden vom Sekretariat verwaltet (kommen in
die Schülerakte): dann werde ich benachrichtigt, dass X/Y sie abgegeben hat.
Dann erstelle ich das Login und das Passwort bekommt derjenige von einem
beliebigen Lehrer.

LG

Holger

jochen · 26. Oktober 2019 um 11:33

Hallo,

wir machen das auch über eine Nutzungsordnung.
Dann ist jedem klar, dass wenn er (unerlaubterweise) was Privates macht, das geloggt wird und er dem Risiko unterliegt, dass das bei einer Auswertung der Logs (aus technischen Gründen zur Fehlerbehebung, NICHT, weil man nach privaten Daten sucht!) zu Tage kommen kann.

Dann besteht imho aber immer noch ein Problem mit dem Logging: auch wenn in den Logs (theoretisch) keine privaten Daten sein sollten, sind natürlich trotzdem personenbezogene, dienstliche Dinge darin zu finden. Das bedarf auch einer Klärung, wie damit umgegangen werden soll: 4-Augenprinzip? Finde ich unpraktisch…

LG,
Jochen

doomkopf · 26. Oktober 2019 um 12:06

Hallo Holger und Jochen,
das Vorgehen ist bei uns ähnlich. Nur mein Problem ist, dass ich technisch nicht in der Lage bin nachzusehen, welche Webseite User xy aufgesucht hat. Das ist der Grund für diesen Thread. Wenn ich es weiß/kann, markiere ich die Lösung. Vielleicht ist das Problem banal…
Gruß,
Hendrik

baumhof · 26. Oktober 2019 um 12:16

Hallo,

Meines Wissens: weil dann die Schule wie ein Provider fungiert und
rechtlich erstmal nicht den User und seine Aktivitäten (dauerhaft)
protokolliert. Kann aber auch wieder veraltetes Wissen sein.

ja: wir sind keien Provider … sonst müßten wir ja
Datenvoratsspeicherung betreiben …

LG

Holger

irrlicht · 27. Oktober 2019 um 21:43

Das Fass will ich gar nicht aufmachen, das interessiert mich ueberhaupt nicht - wird auch von uns nicht protokolliert.