Определение IP-адреса инициатора L2TP-подключения (Windows 2003)?

Question

[bugaga0112358]

Доброго времени суток.


Возникла такая ситуация.

На одном из серверов в сети, там где его не должно быть, обнаружен VPN-сервер. В логах периодически появляется следующее сообщение:

Не удалось найти сертификат.<br/>
Подключениям, которые используют этот протокол L2TP через IPSec, требуется установка на компьютере сертификата компьютера.<br/>
L2TP-вызовы приниматься не будут.

Просто отключить VPN неинтересно. Интересно определить, что же к нему пытается подключиться. Сервер не смотрит в интернет, следовательно инициатор подключения находится в локальной сети.


Включил подробный журнал на VPN-сервере. После этого было инициировано подключение, но адрес источника в этих подрбных логах я не заметил. Зато заметил тонну отладочной информации.


Собственно, вопрос. Можно ли средствами винды, без развертывания ISA (рекомендовалось на technet'е) и тому подобных тяжестей, определить IP-адрес инициатора подключения?

Comments

[bugaga0112358]

Вопрос вырос из чего…
Как бы я это сделал в Linux.
1) last
2) syslog
3) iptables [...] -j LOG
[жуткий полет фантазии]
n) etc…

А вот в Windows, хотя она и Server, и в ней предусмотрен VPN-сервер, нашелся только «расширенный» журнал подключений, в который тоннами валится отладочная информация более для разработчиков, нежели для админов.

[bugaga0112358]

Пока я вижу только один вариант: спрятать этот сервер за linux'овый NAT, на котором iptables'ом пробросить необходимые порты до сервера, и на этом linux'овом шлюзике логгировать попытки подключения.

[1010101001000100110100111]

Есть еще способ: остановить тот «левый» VPN-сервер, и поднять свой вело-VPN-сервер (написанный например, на PHP), который будет слушать 1701 порт. Он сам отследит и запишет в свой собственный лог адрес того, кто к нему приконнектится.

Answer 1

[Naps]

C:\Windows\System32\LogFiles

Comments

[bugaga0112358]

Есть директории Cluster(не то), HTTPERR(не то), Shutdown(пустая), W3SVC1(за этот год ни одного файла).

[Naps]

VPN сервер, стандартный, виндовый? Если да, то олжны быть файлы IN****.log, где фиксируются подключения.

[Naps]

Извиняюсь, это на 2008 винде так. 2003 пишет кучу файлов в windows\tracing, но ip там вроде нет.

[Naps]

Пользователи подключившиеся к VPN серверу, логируются в IASSAM.LOG

[Naps]

А ip-шники в RTM.LOG

[bugaga0112358]

Спасибо за RTM.LOG. Но то ли я туплю, то ли… Там такие записи:
Adding Route with address:
[2796] 09:39:11: Dest: 0.0.0.0 Mask: 0.0.0.0
[2796] 09:39:11: Dest = 01D433E0 and Route = 01D43390
[2796] 09:39:11: Adding dest 01D43568 to change list 8:
[2796] 09:39:11: Dest: 192.168.0.0 Mask: 255.255.255.0

Notifying CN 1 END
[2252] 09:39:12: Next dest 01D43568 in list 8:
[2252] 09:39:12: Dest: 192.168.0.0 Mask: 255.255.255.0

IP часом не в HEX-формате записывается?

[bugaga0112358]

Что-то как я ни переворачиваю эти байты, ничего путного из них не получается.

[Naps]

Нет, у меня тупо айпишник пишет. С которого подключались и какой был назначен внутренний.

[bugaga0112358]

А тут до назначения IP'шника дело не доходит. Зато всякая муть валится :)

Answer 2

[egorinsk]

Может просто делать netstat -al | grep (portnumber) >> log каждые 5 секнуд? Или там не TCP используется?

Comments

[1010101001000100110100111]

VPN-сервер L2TP висит на 1701 порту UDP

Answer 3

[shadowalone]

Закрыть на файрволе port 500 и port 1701 и логировать. не?

Comments

[bugaga0112358]

Вы имеете ввиду фаерволл от Windows 2003?

Вообще, я не хочу закрывать. Я хочу увидеть :)

P.S. Там используется только порт 1723.

[shadowalone]

Странно, Вы пишите от l2tp и IPSec и вдруг 1723… это pptp вообще-то.
Ну так, если закроете, в логах и увидите, кто пытался подключиться.

[bugaga0112358]

Это не я пишу, это Винда пишет :) Я только процитировал :)
А закрывать не хочу, ну потому что вдруг чего. Просто интересная задачка из области безопасности, на которую не нашлось четкого внятного ответа.

[bugaga0112358]

Меня тоже смущает L2TP, но я проверил, nmap выдает только порт 1723, при попытке подключиться со своего компа формируется то же самое сообщение в логах, к сожалению, ни в основных логах, ни в «расширенных» (в формулировке Windows) IP-адреса инициатора подключения не видно.

[shadowalone]

Вообще-то l2tp это udp, это раз.
Как Вы пытаетесь подключиться, чем, по какому протоколу?
Закройте порты, попробуйте сами подключиться, посмотрите логи. Если есть запись о Вас, значит смело оставляйте порты закрытыми, и периодически проверяйте логи на предмет новых отклоненных подключений.

[bugaga0112358]

Пытаюсь подключиться стандартным виндовым клиентом, выставив там вариант «L2TP-подключение». Запись в логах появляется, но я знаю, что она обо мне просто потому, что я знаю, что в это время пытался подключиться я. Других идентификаторов, указывающих на меня я не вижу: ни логина, ни IP-адреса.

Я допускаю, что долбится вирусня, и никакого отношения к самому серверу она не имеет.

Я мог бы тупо убрать эту роль с сервера и забыть про всю эту кашу.

Но я не хочу останавливать сервер/запрещать подключения, потому что я нарушу эту непонятную мне инфраструктуру. Я хочу разобраться в ситуации, установив, что пытается присоединиться к этому серверу.

[shadowalone]

запись в логах чего появляется? файрвола?

[bugaga0112358]

Журналы событий -> Система

[bugaga0112358]

Кстати, я не могу настроить стандартный виндявый фаерволл (брандмауэр) на этой машине, потому что при запущенном драйвере IPNAT.SYS (на котором завязана роль VPN-сервера) брандмауэр функционировать не в состоянии :)

Answer 4

[scatmanoleg]

Например использовать сниффер трафика на машине, самое простое и удобное — WireShark. В нем точно можно получить всю информацию.

Comments

[bugaga0112358]

Конечно, вариант. Но ждать подключения пришлось два дня. Когда будет следующее — неизвестно, появится ли запись в логах от этой попытки — неизвестно. В таких условиях WireShark может свалиться/закрыться кем-нибудь, в конце концов, там таймаут на RDP-сессии.