ComputerBase Menü
Aktuelles

Network access logging

S

Skysnake

Commander
Registriert
Feb. 2012
Beiträge
3.032
Hi,

Ich sollte mich mal damit beschäftigen, wie man unter Linux am geschicktesten alle Verbindungen über ein Interface loggen kann.

Es geht am Ende darum zu schauen, wer alles von außen auf den Server will und wer von innen nach außen will. Damit soll auf der einen Seite erkannt werden, ob eventuell Leute port Scans etc machen oder ob installierte Software nach Hause telefonieren will.

Ich bin bei meiner Recherche darauf gestoßen, das an sich iptables LOG das kann, aber soweit keine Analysewerkzeuge bereitstellt.

Ansonsten bin ich nich auf Sigol gestoßen, aber der Einstieg ist jetzt nicht gerade einfach um es mal nett zu sagen....

Habt ihr da vielleicht gute Vorschläge für Software und entsprechende Guides wie man das benutzt?

Ich möchte das an sich gerne als Appliance in einen oder mehrere Container packen die sich aus ner BD selbst konfigurieren um möglichst viel zulässigen Traffic herausfiltern zu können.

Ziel wäre es mal das 24/7 laufen zu lassen. Für den Anfang wäre es aber schon hilfreich, wenn man das einfach mal nen Tag/Woche laufen lassen würde um zu sehen wo man nochmals nachschauen muss wer da wo hin will.

Danke schon mal für die Hilfe.
 
Wireshark kenne ich, aber das nutze ich mir nur um z.b. den DHCP traffic an zu schauen oder sonst irgend ein Protokoll zu analysieren.

Ich wüsste aber nicht, das man wireshark so nutzen kann, das man so ne Liste bekommt

Src IP:port - Dst IP:port

Und das halt wenn möglich durch eine whitelist gefiltert und vielleicht sogar schon nur uniq Verbindungen aufgeführt.

Wenn zusätzlich noch die Transferverierten Bytes dastehen wäre es natürlich gut, genau wie nen Country für die Anzahl der Verbindungen.
 
Da die Rede ist von iptables, gehe ich jetzt mal von einem Linux-System aus. Mit tcpdump lässt sich ein rotierendes Log erstellen (Option: -G). Wenn du dabei die Filterparameter so setzt wie du es möchtest, enthält das Log am Ende nur die gewünschten Einträge und kann bei Bedarf im Nachhinein mit einem Skript aufbereitet werden.

-G

If specified, rotates the dump file specified with the -w option every rotate_seconds seconds.
[..]
Zum Vergrößern anklicken....
Quelle: tcpdump man

Mir ist klar, dass das nicht ganz das ist was du suchst, aber mehr fällt mir dazu leider nicht ein. Bei besonders komplexen Beobachtungssituationen, lohnt es sich vielleicht, dies mit verschiedenen Filtern in mehreren Instanzen parallel laufen zu lassen, anstatt am Ende einen Satz riesiger Log-Files zu haben, in denen so ziemlich alles drinsteht.
 
Das logging von iptables dafür zu verwenden oder einen tcpdump konstant mitschneiden und dann zu Fuß auswerten kann man machen, frisst aber unfassbar viel Ressourcen und Zeit.

Wenn ich deine Anforderungen richtig deute willst du Kommunikationsbeziehungen untereinander darstellen und auswerten können. Gibt's schon als fertiges Protokoll und nennt sich NetFlow und es gibt mehrere kommerzielle als auch freie Lösungen zur Aufbereitung der Daten und Analyse.
Entweder die großen Netzwerkausrüster abklappern oder einen Blick auf das Portfolio von https://www.ntop.org/ werfen bei kleineren Umgebungen. Manche der Produkte gibt's auch in einer Community Edition für lau.
Am Ende kochen die auch nur mit Wasser und verwenden die libpcap an Hostinterfaces zum mitlesen bzw. netflow auf Netzwerkebene und man zahlt für das fertige Tool zur Analyse und Aufbereitung. Vermutlich gibt es auch einige Open Source Tools in dem Bereich aber da müsstest du selbst recherchieren, aus dem Kopf ist mir keins bekannt.
 
  • Gefällt mir
Reaktionen: Skysnake und Raijin
Ja, händisch das durch zu ackern ist keine Option. Allerdings sind die kommerziellen Lösungen meist ziemlich schnell ziemlich teuer...

Der Hinweis mit libpcap ist sehr gut. Vielleicht kann man da was für unsere Monitoringlösung basteln.

Wie gesagt, ich habe einige open source Tools gefunden, aber die Doku ist ein Graus für jemanden der sich in dem Bereich normal nicht bewegt...

Ntopng sieht ganz gut aus. Allerdings sind da einige Features gleich in der Bezahlversion. Also weniger wegen der Anzahl der Interfaces, da würden 1-3 völlig ausreichend sein sondern wegen den Analysten

Wenn jemand noch nen Vorschlag für open source Software ohne Lizenz hat, wäre das cool.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

websurferin83
Zusätzlicher Access Switch benötigt: Cisco vs. Juniper vs. Aruba
Antworten
7
Aufrufe
694
websurferin83
websurferin83
I
UniFi Software für Windows konfigurieren / welche Portfreigaben nötig?
Antworten
13
Aufrufe
2.421
iNetw0rker
I
S
Immutable Snapshots auf der NAS speichern?
2
Antworten
29
Aufrufe
1.048
M@rsupil@mi
M
G
Proxmox und Windows Container
Antworten
6
Aufrufe
724
GlockMane88
G
ThePlayer
FritzBox Fehler Monitoren
Antworten
8
Aufrufe
551
ThePlayer
ThePlayer
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz