syslog-ng با TLS: راهنمای نصب

بیشترین پورت مشاهده شده برای این TCP/514 بوده است که در واقع به پروتکل Shell اختصاص داده شده است. اپراتورها باید با دقت انتخاب کنند که از کدام پورت در استقرار خود استفاده کنند و آماده برخورد با تکالیف پیش فرض پورت پیش فرض در اجرای برنامه ها باشند. آن را به عنوان syslog تشخیص می دهد. ؛) نظرسنجی توییتر از من همین نتیجه را داد:

سلام مدیران شبکه: از کدام پورت برای Syslog در TCP استفاده می کنید؟ (هیچ پورت شناخته شده ای برای آن وجود ندارد …)

-یوهانس وبر 🎸 (webernetz) 7 ژوئن 2021

تأیید/عیب یابی

شما چندین روش برای عیب یابی سرور و به ویژه پیکربندی TLS آن دارید. به عنوان مثال ، می توانید از tcpdump برای بررسی اینکه آیا اتصالات به پورت 514 یا 6514 اصلاً وارد می شود یا نه (جایگزین "ens160" با نام NIC خود شوید):

 sudo tcpdump -i ens160 پورت 6514 یا پورت 514 

اتصال مثال در TCP 514:

 weberjoh@vm32 -test2: su $ sudo tcpdump -i ens160 پورت 6514 یا پورت 514
tcpdump: خروجی مفصل سرکوب شده ، برای رمزگشایی کامل پروتکل از -v یا -vv استفاده کنید
گوش دادن در ens160 ، نوع پیوند EN10MB (اترنت) ، اندازه ضبط 262144 بایت
07: 40: 14.079021 IP6 2001: 470: 7250 :: 1.43697> vm32-test2.shell: Flags [P.] ، Seq 2469074641: 2469075198 ، ack 2549261998 ، برد 113 ، طول 557
07: 40: 14.079077 IP6 vm32-test2.shell> 2001: 470: 7250 :: 1.43697: Flags [.] ، 557 ack ، برد 501 ، طول 0
07: 40: 16.082117 IP6 2001: 470: 7250 :: 1.43697> vm32-test2. پوسته: پرچم ها [P.] ، سک 557: 1099 ، 1 آک ، برد 113 ، طول 542
07: 40: 16.082154 IP6 vm32-test2.shell> 2001: 470: 7250 :: 1.43697: Flags [.] ، 1099 ack ، برد 501 ، طول 0
07: 40: 19.889419 IP6 2001: 470: 7250 :: 1.43697> vm32-test2. پوسته: پرچم ها [P.] ، Seq 1099: 1657 ، 1 آک ، برد 113 ، طول 558
07: 40: 19.889466 IP6 vm32-test2.shell> 2001: 470: 7250 :: 1.43697: Flags [.] ، ack 1657 ، برد 501 ، طول 0
07: 40: 22.079816 IP6 2001: 470: 7250 :: 1.43697> vm32-test2. پوسته: پرچم ها [P.] ، 1657: 2190 ، Ack 1 ، برد 113 ، طول 533
07: 40: 22.079857 IP6 vm32-test2.shell> 2001: 470: 7250 :: 1.43697: Flags [.] ، Ack 2190 ، برد 501 ، طول 0
07: 40: 22.904173 IP6 2001: 470: 7250 :: 1.43697> vm32-test2. پوسته: پرچم ها [P.] ، Sequ 2190: 2794 ، Ack 1 ، برد 113 ، طول 604
07: 40: 22.904234 IP6 vm32-test2.shell> 2001: 470: 7250 :: 1.43697: Flags [.] ، ack 2794 ، برد 501 ، طول 0
07: 40: 24.907202 IP6 2001: 470: 7250 :: 1.43697> vm32-test2. پوسته: پرچم ها [P.] ، Seq 2794: 3361 ، 1 آک ، برد 113 ، طول 567
07: 40: 24.907286 IP6 vm32-test2.shell> 2001: 470: 7250 :: 1.43697: Flags [.] ، ack 3361 ، برد 501 ، طول 0 

مثال اتصال در TLS از طریق TCP 6514:

 weberjoh@ vm32 -test2: su $ sudo tcpdump -i ens160 پورت 6514
tcpdump: خروجی مفصل سرکوب شده ، برای رمزگشایی کامل پروتکل از -v یا -vv استفاده کنید
گوش دادن در ens160 ، نوع پیوند EN10MB (اترنت) ، اندازه ضبط 262144 بایت
07: 57: 10.756095 IP6 ib2.weberdns.de.37703> vm32-test2.syslog-tls: Flags [S] ، Seq 3652917499 ، برد 28800 ، گزینه ها [mss 1440,sackOK,TS val 721716289 ecr 0,nop,wscale 8] ، طول 0
07: 57: 10.756171 IP6 vm32-test2.syslog-tls> ib2.weberdns.de.37703: پرچم ها [S.] ، Seq 1815308753 ، ack 3652917500 ، برد 64260 ، گزینه ها [mss 1440,sackOK,TS val 527693389 ecr 721716289,nop,wscale 7] ، طول 0
07: 57: 10.756420 IP6 ib2.weberdns.de.37703> vm32-test2.syslog-tls: Flags [.] ، ack 1، win 113، options [nop,nop,TS val 721716289 ecr 527693389]، length 0
07: 57: 10.756801 IP6 ib2.weberdns.de.37703> vm32-test2.syslog-tls: Flags [P.] ، Seq 1: 160 ، ack 1، win 113 ، options [nop,nop,TS val 721716289 ecr 527693389] ، طول 159
07: 57: 10.756825 IP6 vm32-test2.syslog-tls> ib2.weberdns.de.37703: پرچم ها [.] ، 160 آک ، برد 501 ، گزینه ها [nop,nop,TS val 527693389 ecr 721716289] ، طول 0
07: 57: 10.762989 IP6 vm32-test2.syslog-tls> ib2.weberdns.de.37703: پرچم ها [P.] ، Seq 1: 1359 ، 160 Ack ، برد 501 ، گزینه ها [nop,nop,TS val 527693395 ecr 721716289] ، طول 1358
07: 57: 10.763184 IP6 ib2.weberdns.de.37703> vm32-test2.syslog-tls: Flags [.] ، 1359 ack ، برنده 124 ، گزینه ها [nop,nop,TS val 721716290 ecr 527693395] ، طول 0
07: 57: 10.764690 IP6 ib2.weberdns.de.37703> vm32-test2.syslog-tls: پرچم ها [P.] ، Seq 160: 286 ، Ack 1359 ، برد 124 ، گزینه ها [nop,nop,TS val 721716290 ecr 527693395] ، طول 126
07: 57: 10.764713 IP6 vm32-test2.syslog-tls> ib2.weberdns.de.37703: پرچم ها [.] ، 286 آک ، برد 501 ، گزینه ها [nop,nop,TS val 527693397 ecr 721716290] ، طول 0
07: 57: 10.765486 IP6 vm32-test2.syslog-tls> ib2.weberdns.de.37703: پرچم ها [P.] ، Seq 1359: 1585 ، Ack 286 ، برد 501 ، گزینه ها [nop,nop,TS val 527693398 ecr 721716290] ، طول 226
07: 57: 10.765764 IP6 ib2.weberdns.de.37703> vm32-test2.syslog-tls: Flags [P.] ، Seq 286: 408 ، Ack 1585 ، برد 135 ، گزینه ها [nop,nop,TS val 721716290 ecr 527693398] ، طول 122
07: 57: 10.765791 IP6 vm32-test2.syslog-tls> ib2.weberdns.de.37703: پرچم ها [.] ، ack 408 ، برد 501 ، گزینه ها [nop,nop,TS val 527693398 ecr 721716290] ، طول 0
07: 57: 10.765871 IP6 ib2.weberdns.de.37703> vm32-test2.syslog-tls: Flags [P.] ، Seq 408: 620 ، Ack 1585 ، برد 135 ، گزینه ها [nop,nop,TS val 721716290 ecr 527693398] ، طول 212
07: 57: 10.765891 IP6 vm32-test2.syslog-tls> ib2.weberdns.de.37703: پرچم ها [.] ، 620 ack ، برد 500 ، گزینه ها [nop,nop,TS val 527693398 ecr 721716290] ، طول 0
07: 57: 13.768417 IP6 ib2.weberdns.de.37703> vm32-test2.syslog-tls: Flags [P.] ، Seq 620: 750 ، Ack 1585 ، برد 135 ، گزینه ها [nop,nop,TS val 721716591 ecr 527693398] ، طول 130
07: 57: 13.768475 IP6 vm32-test2.syslog-tls> ib2.weberdns.de.37703: پرچم ها [.] ، ack 750 ، برد 501 ، گزینه ها [nop,nop,TS val 527696401 ecr 721716591] ، طول 0
07: 57: 13.768527 IP6 ib2.weberdns.de.37703> vm32-test2.syslog-tls: Flags [FP.] ، SEQ 750: 874 ، 1585 Ack ، برد 135 ، گزینه ها [nop,nop,TS val 721716591 ecr 527693398] ، طول 124
07: 57: 13.768954 IP6 vm32-test2.syslog-tls> ib2.weberdns.de.37703: پرچم ها [F.] ، Seq 1585 ، 875 Ack ، برد 501 ، گزینه ها [nop,nop,TS val 527696401 ecr 721716591] ، طول 0
07: 57: 13.769085 IP6 ib2.weberdns.de.37703> vm32-test2.syslog-tls: پرچم ها [.] ، 1586 آک ، برد 135 ، گزینه ها [nop,nop,TS val 721716591 ecr 527696401] ، طول 0 

تا پورت های باز را بررسی کنید ، از Nmap از یک دستگاه دیگر استفاده کنید:

 sudo nmap -Pn -sS -sU -p 514،6514  

نمونه هایی برای IPv6 و IP قدیمی :

 weberjoh@nb17 -lx2: su $ sudo nmap -6 -Pn -sS -sU -p 514،6514 test2.weberlab.de

شروع Nmap 7.60 (https://nmap.org) در 2021-06-23 07:48 UTC
گزارش اسکن Nmap برای test2.weberlab.de (2001: 470: 1f0b: 16b0: 20c: 29ff: fea8: 26f7)
میزبان بالا است (تاخیر 0.00055 ثانیه).
آدرس های دیگر برای test2.weberlab.de (اسکن نشده): 194.247.5.27

خدمات دولتی بندری
پوسته باز 514/tcp
6514/tcp syslog-tls باز کنید
514/udp باز | syslog فیلتر شده
6514/udp بسته syslog-tls
آدرس مک: 00: 0C: 29: A8: 26: F7 (VMware)

نقشه برداری انجام شد: 1 آدرس IP (1 میزبان بالا) در 2.19 ثانیه اسکن شد
weberjoh@nb17-lx2: ~ $
weberjoh@nb17-lx2: ~ $
weberjoh@nb17 -lx2: su $ sudo nmap -Pn -sS -sU -p 514،6514 test2.weberlab.de

شروع Nmap 7.60 (https://nmap.org) در 2021-06-23 07:48 UTC
گزارش اسکن Nmap برای test2.weberlab.de (194.247.5.27)
میزبان بالا است (تاخیر 0.00051s).
آدرس های دیگر برای test2.weberlab.de (اسکن نشده): 2001: 470: 1f0b: 16b0: 20c: 29ff: fea8: 26f7

خدمات دولتی بندری
پوسته باز 514/tcp
6514/tcp syslog-tls باز کنید
514/udp باز | syslog فیلتر شده
6514/udp بسته syslog-tls
آدرس مک: 00: 0C: 29: A8: 26: F7 (VMware)

نقشه برداری انجام شد: 1 آدرس IP (1 میزبان بالا) در 1.85 ثانیه اسکن شد 

درست است که UDP 514 "باز | فیلتر شده" و UDP 6514 بسته باشد.

تا گواهی X.509 شما می توانید از "openssl s_client" استفاده کنید:

 openssl s_client -connect : 6514 -showcerts 

در مورد من: (همانطور که می بینید از TLSv1.3 استفاده می کند.)

 weberjoh@nb17 -lx2 : ~ $ openssl s_client -connect test2.weberlab.de:6514 -شوره ها
متصل (00000005)
عمق = 0 CN = syslog.weberlab.de ، C = DE ، O = Webernetz.net
تأیید خطا: num = 18: گواهی خود امضا شده
بازگشت را تأیید کنید: 1
عمق = 0 CN = syslog.weberlab.de ، C = DE ، O = Webernetz.net
بازگشت را تأیید کنید: 1
---
زنجیره گواهی
 0 ثانیه: CN = syslog.weberlab.de ، C = DE ، O = Webernetz.net
   i: CN = syslog.weberlab.de ، C = DE ، O = Webernetz.net
----- شروع گواهینامه -----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----- گواهی پایان -----
---
گواهی سرور
موضوع = CN = syslog.weberlab.de ، C = DE ، O = Webernetz.net

صادر کننده = CN = syslog.weberlab.de ، C = DE ، O = Webernetz.net

---
هیچ گواهی سرویس گیرنده نام CA ارسال نشد
خلاصه امضای همتایان: SHA256
نوع امضای همتا: RSA-PSS
کلید دمای سرور: X25519 ، 253 بیت
---
دست دادن SSL 1486 بایت خوانده و 399 بایت نوشته است
خطای تأیید: گواهی خود امضا شده
---
جدید ، TLSv1.3 ، رمز TLS_AES_256_GCM_SHA384 است
کلید عمومی سرور 2048 بیت است
مذاکره امن پشتیبانی نمی شود
فشرده سازی: هیچ
گسترش: هیچ
هیچ ALPN مذاکره نکرده است
اطلاعات اولیه ارسال نشد
تأیید کد بازگشت: 18 (گواهی خود امضا شده)
---
---
بلیط جلسه بعد از دست دادن اعلام شد:
جلسه SSL:
    پروتکل: TLSv1.3
    رمزنگاری: TLS_AES_256_GCM_SHA384
    شناسه جلسه: C86198747196918F79D8672891201203F2C9C477EC6862A2DB3BAF9EB3E6D1C1
    Session-ID-ctx:
    PSK از سرگیری: E6F64A2948EF5D1071A2101A47ABAEAFB4CA7668B4D86441A2F992DF9C26EB3F50149A64DFD8B03321C42EB5D762C506
    هویت PSK: ندارد
    اشاره هویت PSK: ندارد
    نام کاربری SRP: ندارد
    نکته طول عمر بلیط جلسه TLS: 7200 (ثانیه)
    بلیط جلسه TLS:
    0000 - 11 a1 ff 4f e4 8c 05 98-4f 35 7e a4 33 f9 f1 58 ... O .... O5 ~ .3..X
    0010 - fb 6f 18 1a 5e 99 cd fa -bb 9a e6 63 f2 86 d6 62 .o ..^...... c ... b
    0020 - 04 8a 03 7a 4f 14 58 ee -2c e7 62 94 07 a8 46 7a ... zO.X.،. b ... Fz
    0030 - 5a f4 fd ec 33 55 95 b1 -f7 54 d6 3b e6 3e d3 bc Z ... 3U ... T.؛.> ..
    0040 - a0 8c c5 4b da c7 81 4f -1f ce c4 dd 32 3f 3c f5 ... K ... O .... 2؟ <.
    0050 - 35 ef 00 aa 00 af a9 f8-60 c8 a0 a7 a4 61 df 37 5 ....... `.... a.7
    0060 - 85 d8 0e 6b dd 78 8d 82 -dc e8 63 23 ee 61 9d 49 ... k.x .... c#.a.I
    0070 - a1 a6 a5 05 8c 5b 14 63 -a7 88 09 80 f8 3c 66 50 ..... [. c ..... <fP
    0080 - 6f 4c 16 b4 44 c6 12 cb -93 d5 38 1c 7c 0c 28 7d oL..D ..... 8. |. (}
    0090 - 18 6c 01 c4 66 8e 7d e5 -f3 74 8e bb fe f5 77 35 .l..f.} .. t .... w5
    00a0 - 4b 8f 0d 84 b9 2a 45 86-31 eb 9a a5 a6 ff 4b 4f K ....*E.1 ..... KO
    00b0 - fa 20 68 55 1a 68 56 15 -ef 30 e1 ed 05 90 0f 34. hU.hV..0 ..... 4
    00c0 - ec 6c ad 9c 48 39 e7 13-9d 5c c5 ea eb e6 ab b2 .l..H9 ...  ......

    زمان شروع: 1624434726
    مهلت زمانی: 7200 (ثانیه)
    تأیید کد بازگشت: 18 (گواهی خود امضا شده)
    راز اصلی توسعه یافته: خیر
    حداکثر اطلاعات اولیه: 0
---
R BLOCK را بخوانید
^C 

و برای شمارش رمزهای ارائه شده TLS ، دوباره از Nmap استفاده کنید. با این حال ، لطفاً توجه داشته باشید که Nmap در حال حاضر TLSv1.3 را پشتیبانی نمی کند (Nmap 7.91):

 nmap -اسکریپت ssl -enum -ciphers -Pn -p 6514  

مثال من:

 weberjoh @nb17-lx2: ~ $ nmap-اسکریپت ssl-enum-ciphers -Pn -p 6514 test2.weberlab.de
کشف میزبان غیرفعال شده است (-Pn). همه آدرسها علامت گذاری "بالا" و زمان اسکن کندتر خواهد بود.
شروع Nmap 7.91 (https://nmap.org) در 2021-06-23 08:31 UTC
گزارش اسکن Nmap برای test2.weberlab.de (194.247.5.27)
میزبان افزایش یافته است (تاخیر 0.00049 ثانیه).
آدرس های دیگر برای test2.weberlab.de (اسکن نشده): 2001: 470: 1f0b: 16b0: 20c: 29ff: fea8: 26f7

خدمات دولتی بندری
6514/tcp syslog-tls باز کنید
| ssl-enum-ciphers:
| TLSv1.2:
| رمزها:
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A
| TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (dh 2048) - A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (ecdh_x25519) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 2048) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (ecdh_x25519) - A
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 2048) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| کمپرسور:
| خالی
| ترجیح رمز: سرور
| _ حداقل قدرت: الف

نقشه برداری انجام شد: 1 آدرس IP (1 میزبان بالا) در 0.82 ثانیه اسکن شد 

کمی ضبط

و به هر حال: این چیزی است که در Wireshark به نظر می رسد. دست دادن استاندارد TLS ، یعنی: سلام مشتری ، سلام سرور ، گواهی نامه ، تبادل کلید سرور ، مبادله کلید مشتری و غیره ، در نهایت داده های برنامه (ناخواسته از زمان رمزگذاری) به دنبال آن:

می توانید پیدا کنید این بسته های گرفته شده در جدیدترین PCAP نهایی من.

با آرزوی موفقیت! خدا شما را برکت دهد.