سرویس audit یک سرویس امنیتی محسوب می شود که هدف از آن، بررسی رفتار کاربران در هنگام استفاده از روتر است. این رفتارها به صورت لاگ ذخیره می شوند. از جمله این رفتارها میتوان به ورود و خروج کاربران، لاگین های موفق و ناموفق، لیست دستورات اجرا شده توسط هر کاربر، نوع اتصال به روتر اعم از کنسول ، Telnet و SSH ، و زمان و آدرس IP کاربرخواهد بود که در ادامه به بررسی هر یک از این موارد خواهیم پرداخت.
ابزارهای مورد نیاز برای این تست عبارتند از :
- Syslog watcher
- Putty
- Bitvise SSH Client
این سرویس به دو صورت لاگ ها را مدیریت میکند.
به این صورت که میتواند لاگ ها را به یک سرور Syslog ارسال کند و یا 20 لاگ آخر را به صورت محلی ذخیره کند که البته این لاگ ها در حافظه RAM نگهداری شده و پس از ریبوت تجهیز پاک خواهند شد.
برای تست این سرویس ابتدا باید یک سرور Syslog را برای مسیریاب پیکربندی کنید و سپس سرویس Audit را فعال کنید:
1 2 3 4 |
Zharf (config)# logging host 192.168.0.61 Zharf (config)# logging trap debugging Zharf (config)# service audit enable |
با فعال شدن سرویس ، باید پیغام Audtit service enble به سرور Syslog ارسال شده باشد. با disable شدن آن نیز پیغام مناسب ثبت خواهد شد.
برای تست لاگین های موفق و ناموفق کاربران باید نمونه تست هایی با Telnet ، SSH و کنسول انجام شود به صورتی که در هر مرتبه رمز عبورهای صحیح و غلط برای هر تست وارد شود تا نتیجه لاگ آن قابل مشاهده باشد. به لاگ زیر دقت کنید.
سرویس Audit توانایی شناسایی عدم موفقیت لاگین در SSH را دارد. به این صورت که اگر کاربری الگوریتم های رمزنگاری متفاوتی به کار برده باشد که قادر به لاگین به مسیریاب نباشد آنگاه این سرویس تشخیص خواهد داد.
برای تست این مورد از ابزار Bitvise SSH Client میتوان استفاده کرد. ابتدا نرم افزار را باز کرده و به قسمت SSH مطابق شکل زیر بروید.
با کلیک بر روی هر از موارد Key exchange ، Host Key ، Encryption و … ، پنجره ای مشابه بالا باز خواهد شد که میتوان الگوریتم های مورد استفاده برای برقرای ارتباط SSH با مسیریاب را انتخاب کرد. برای تست میتوان هیچ یک از الگوریتم های رمزنگاری را انتخاب نکرد و سپس به روتر SSH زد. در این صورت پیغام مناسب Audit لاگ خواهد شد.
به تصویر زیر که در اثر عدم تطابق الگوریتم های رمزنگاری SSH client و SSH server ( مسیریاب) اتفاق افتاده است توجه کنید.
برای مشاهده 20 لاگ آخر که در حافظه موقت روتر ذخیره شده اند از دستور زیر میتوان استفاده کرد.
1 |
Zharf# show logging audit |