Schwierigkeiten beim nachvollziehen von Traffic bzw. DNS-Requests!?

Started by dsecure, July 11, 2020, 03:52:09 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
July 14, 2020, 11:00:19 AM #15
> Gibt es dazu eine Anleitung oder hast Präferenzen zu Software die das kann, am besten open source oder freeware?

Das hängt davon ab welchen Weg man gehen will. Bei Syslog würde ich ggf. zu Graylog tendieren, weil einfacher aufzusetzen als ein ganzer ELK Stack. Bei Netflows - puh, da muss man sich anschauen worauf das laufen soll und ob man was komplett Fertiges haben will oder sich selbst was zurecht baut. Wir haben da intern was mit nfsen/nfdump selbst konstruiert. Andere nutzen kostenlose (aber keine OSS) Software bspw. unter Windows von SolarWinds oder ManageEngine.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 15, 2020, 02:33:33 AM #16
Quote from: JeGr on July 14, 2020, 11:00:19 AM
> Gibt es dazu eine Anleitung oder hast Präferenzen zu Software die das kann, am besten open source oder freeware?

Das hängt davon ab welchen Weg man gehen will. Bei Syslog würde ich ggf. zu Graylog tendieren, weil einfacher aufzusetzen als ein ganzer ELK Stack. Bei Netflows - puh, da muss man sich anschauen worauf das laufen soll und ob man was komplett Fertiges haben will oder sich selbst was zurecht baut. Wir haben da intern was mit nfsen/nfdump selbst konstruiert. Andere nutzen kostenlose (aber keine OSS) Software bspw. unter Windows von SolarWinds oder ManageEngine.

Graylog schaue ich mir noch mal genauer an, auf dem ersten Blick fand ich die Website etwas unübersichtlich. Da gab bzw. gibt es doch noch ntopng käme das evtl. auch in Frage?

Wenn der Traffic eh über ein interface extern zur Analyse zur Verfühgung gestellt wird, könnte da nicht gleich ein IDS zum Einsatz kommen, als zusätzliches Feature?

July 15, 2020, 10:51:01 AM #17
> Wenn der Traffic eh über ein interface extern zur Analyse zur Verfühgung gestellt wird

Wird er nicht, das verstehst du falsch. Log Weiterleitung enthält lediglich Syslog Daten. Flow Collectoren arbeiten mit Netflows. Beides passiert erst, wenn es überhaupt eine Aktion auf der Firewall gab, also nachdem(!) ein potentielles IDS überhaupt was mitbekommen hat. IDS mach nachgestellt wenig Sinn bzw. nur zum Loggen vielleicht, aber dann bräuchte das System einen Mirror Port vom WAN um die Events korrekt abzubekommen. Ansonsten würde ein nachgestelltes System ja nur Daten abbekommen die bereits durch die FW gelaufen und/oder verändert wurden.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 15, 2020, 11:56:49 AM #18
Quote from: JeGr on July 15, 2020, 10:51:01 AM
> Wenn der Traffic eh über ein interface extern zur Analyse zur Verfühgung gestellt wird

Wird er nicht, das verstehst du falsch. Log Weiterleitung enthält lediglich Syslog Daten. Flow Collectoren arbeiten mit Netflows. Beides passiert erst, wenn es überhaupt eine Aktion auf der Firewall gab, also nachdem(!) ein potentielles IDS überhaupt was mitbekommen hat. IDS mach nachgestellt wenig Sinn bzw. nur zum Loggen vielleicht, aber dann bräuchte das System einen Mirror Port vom WAN um die Events korrekt abzubekommen. Ansonsten würde ein nachgestelltes System ja nur Daten abbekommen die bereits durch die FW gelaufen und/oder verändert wurden.

Super danke, jetzt kapier ich auch das mit dem Collector vom Netflow Output, Ntopng wurde hier wie ich gerade gesehen habe schon mal diskutiert. Für welche Software ich mich entscheiden soll, da bin ich gerade noch am Überlegen. Das mit dem IDS kann man sich offenhalten, scheint nur wirklich sinnvoll, wenn man auch weiß was man macht^^

Print
Go Up Pages 1 2
User actions