Hallo Liste, ich stehe gerade vor der Frage, wie sinnvoll ist es, den Firewall-Output mit zu loggen? Lohnt es sich, diese Logs auszuwerten? Oder ist es praktischer, sie zu unterdrücken? Helga -- ## Netikette nein danke? -- http://www.suse-etikette.de.vu/ ## Mit vielen nützlichen Tipps -- Lesen lohnt sich ## Rückmeldungen erbeten und erwünscht
Guten Morgen! Helga Fischer schrieb:
Hallo Liste,
ich stehe gerade vor der Frage, wie sinnvoll ist es, den Firewall-Output mit zu loggen? Lohnt es sich, diese Logs auszuwerten? Oder ist es praktischer, sie zu unterdrücken?
Es ist praktischer, sie zu unterdrücken, denn dann hast Du keine Arbeit damit :-) Allerdings bekommst Du dann auch nicht mit, wenn jemand versucht, bei der einzudringen oder ein Trojaner, Virus o.ä. versucht rauszukommen... Deshalb gehört IMHO zu einer sauberen Firewall mit "guten" Regeln auch ein gutes logging mit Benachrichtigungssystem. Je nach Sicherheitsanforderung auch logging auf einem externen System usw..... Ob Du jetzt jeden Scan auf typische Windows-Ports mitschreibst (um zu sehen, was Deine Firewall so die ganze Zeit treibt) oder erst bei Portscans einsteigst, ist Deinem Sicherheitsbedürfnis überlassen. Gruß, Uli
Hallo Ulrich, Am Montag, 23. Februar 2004 10:27 schrieb Ulrich Klenk:
Helga Fischer schrieb:
ich stehe gerade vor der Frage, wie sinnvoll ist es, den Firewall-Output mit zu loggen? Lohnt es sich, diese Logs auszuwerten? Oder ist es praktischer, sie zu unterdrücken?
Es ist praktischer, sie zu unterdrücken, denn dann hast Du keine Arbeit damit :-)
Meine Vorgänger im Amt haben sie gerne unterdrückt, aber ganz so sicher bin ich mir eben nicht, ob das sinnvoll ist.
Allerdings bekommst Du dann auch nicht mit, wenn jemand versucht, bei der einzudringen oder ein Trojaner, Virus o.ä. versucht rauszukommen...
Eben. Deswegen habe ich mir schon überlegt, ob ich mir nicht ein Statistikskript schreibe, so daß ich wenigsten eine kleine Ahnung davon bekomme, was an der Firewall so aufschlägt. (Wenn's so etwas schon gäbe, würde ich das auch gerne nehmen).
Deshalb gehört IMHO zu einer sauberen Firewall mit "guten" Regeln auch ein gutes logging mit Benachrichtigungssystem. Je nach Sicherheitsanforderung auch logging auf einem externen System usw.....
So extrem ist das im Moment nicht. Mich würden halt Ereignisse interessieren, die aus dem Rahmen von eDonkey oder Windowsanfragen herausfallen.
Ob Du jetzt jeden Scan auf typische Windows-Ports mitschreibst (um zu sehen, was Deine Firewall so die ganze Zeit treibt)
Mach' ich manchmal bei meiner eigenen Firewall, ist aber eigentlich langweilig. Filesharing und gelegentlich mal ein Trojaner.
oder erst bei Portscans einsteigst, ist Deinem Sicherheitsbedürfnis überlassen.
Ob ich die so erkennen kann? Wo könnte ich denn im Netz etwas zum Thema finden? Helga -- ## Netikette nein danke? -- http://www.suse-etikette.de.vu/ ## Mit vielen nützlichen Tipps -- Lesen lohnt sich ## Rückmeldungen erbeten und erwünscht
Hallo Helga Helga Fischer schrieb:
Hallo Ulrich,
Am Montag, 23. Februar 2004 10:27 schrieb Ulrich Klenk:
Helga Fischer schrieb:
ich stehe gerade vor der Frage, wie sinnvoll ist es, den Firewall-Output mit zu loggen? Lohnt es sich, diese Logs auszuwerten? Oder ist es praktischer, sie zu unterdrücken?
Es ist praktischer, sie zu unterdrücken, denn dann hast Du keine Arbeit damit :-)
Meine Vorgänger im Amt haben sie gerne unterdrückt, aber ganz so sicher bin ich mir eben nicht, ob das sinnvoll ist.
Ich hoffe, dass der Smiley genügend zur Geltung kam.....
Allerdings bekommst Du dann auch nicht mit, wenn jemand versucht, bei der einzudringen oder ein Trojaner, Virus o.ä. versucht rauszukommen...
Eben. Deswegen habe ich mir schon überlegt, ob ich mir nicht ein Statistikskript schreibe, so daß ich wenigsten eine kleine Ahnung davon bekomme, was an der Firewall so aufschlägt. (Wenn's so etwas schon gäbe, würde ich das auch gerne nehmen).
logwatch http://www.logwatch.org snort http://www.snort.org/ u.v.m.
erst bei Portscans einsteigst, ist Deinem Sicherheitsbedürfnis überlassen.
Ob ich die so erkennen kann?
z.B. scanlogd http://www.openwall.com/scanlogd/
Wo könnte ich denn im Netz etwas zum Thema finden?
www.little-idiot.de www.chaostal.de --> Article --> Advanced Snorting Google mit Begriffen wie IDS intrusion detection portscan Vermutlich gibt es auch SuSE spezifisches im Rahmen der SuSEfirewall, habe aber damit noch nicht gearbeitet. Gruß, Uli
Helga Fischer wrote:
Hallo Ulrich,
[...]
Ob ich die so erkennen kann?
Wo könnte ich denn im Netz etwas zum Thema finden?
Helga
Hallo Helga, es gab im vergangenen Monat ein Sonderheft zum Thema Firewall. http://www.linux-magazin.de/Produkte/Bestellen/lms_2004_1.html Dort ist auch Snort recht gut von Ralf Spenneberg erklärt. Zur grafischen Analyse gibt es ACID. Alles auf der Snort-Seite: http://www.snort.org Wenn Du den Aufwand nicht scheust, sollte es Snort sein. Ich habe es noch nicht getan, habe es aber auf meiner ToDo-Liste. Grusz Mathias -- CU in www.meeloon.de --
Mathias Uebel wrote:
Helga Fischer wrote:
Hallo Ulrich,
[...]
Ob ich die so erkennen kann?
Wo könnte ich denn im Netz etwas zum Thema finden?
Helga
Hallo Helga, [...]
Nachtrag: Eine kurze Erklärung von Snort auf deutsch: http://www.netways.de/Snort.ids.0.html Ein Tutorial auf deutsch: http://www.pl-berichte.de/work/snort/ Wir haben es ja nicht so mit dem english ;-) Grusz Mathias -- CU in www.meeloon.de --
Helga Fischer schrieb:
Hallo Liste,
ich stehe gerade vor der Frage, wie sinnvoll ist es, den Firewall-Output mit zu loggen? Lohnt es sich, diese Logs auszuwerten? Oder ist es praktischer, sie zu unterdrücken?
Hallo Helga! Ich mache das so: Auswerten, nicht wirklich. Problem ist das du wirklich sehr viel Trash auf der Firewall hast. Wichtig sind aber abnorme Dinge zu Prüfen (durch Snort logwatch, tripwire, MRTG, aide). Dies sollte man nicht unterschätzen, ich Prüfe das jeden Tag, auch im Urlaub :-( Vereinfachung: Ich habe mir für jede Firewall eine "Script-Zusammenfassung" geschrieben, was mir das Auswerten vereinfacht. Schließlich kann man nicht "alles" Prüfen. Aber: Immer alles! Archivieren. Auch die Kernelmeldungen von IPtables. Im Falle eines Einbruchs kann man dem Täter und der Schwachstelle so besser auf die Spur kommen. Deswegen niemals ins /dev/null. In der Forensik ist soetwas sehr wichtig. Beweise sammlen sozusagen. Interessant: http://www.linux-magazin.de/Artikel/ausgabe/2002/03/incidentresponse/inciden... Einen Einbruch erkennst Du meist eh immer erst wenn er passiert ist. Und dann geht es darum: Wie und wo ist es passiert, wie sicher ich mich ab und was ist passiert. Also immer richtig loggen ;-) Stefan
*** Stefan Eggert (eggert@kaffeeschluerfer.com) schrieb am Feb 24, 2004 in...:
[...] Auswerten, nicht wirklich. Problem ist das du wirklich sehr viel Trash auf der Firewall hast. Wichtig sind aber abnorme Dinge zu Prüfen (durch Snort logwatch, tripwire, MRTG, aide). Dies sollte man nicht unterschätzen, ich Prüfe das jeden Tag, auch im Urlaub :-(
Umpf! /Insbesondere/ bei solchen Sachen macht es _keinen_ Sinn, äugisch zu prüfen. Die Logs sind zur Dokumentation, zum gelegentlichen äugischen Prüfen auf Unregelmäßigkeiten und als Ansatzpunkt für automatische Warnsysteme geeignet. Bei mir lief ein logsurfer auf einem FIFO, inzwischen logsurfer per stdin an einem syslog-ng, der mir Mail schickt, wenn etwas unerwünschtes in den Logs auftaucht. Dort wird wiederum per procmail entschieden, welche der Warnmeldungen per SMS an mein Handy geschickt werden. Alternativ kann man auch an der erst- oder zweitgenannten Stelle Scripte in Gang setzen, die bestimmte IPs sperren oder ähnliches tun. Auf jeden Fall ist das äugische Kontrollieren von Firewall-Meldungen etwas, wass man mit Recht belächeln darf :).
[...] Einen Einbruch erkennst Du meist eh immer erst wenn er passiert ist.
Aber nicht an den Logs, denn die sind dann typischerweise manipuliert...
[...]
MfG Henning Hucke --
Man sollte die Sprueche der MCSEs sammeln und als Witzbuch herausgeben. Das waere sicherlich ein Bestseller, meinst du nicht? Gibt's ein Beißholz gratis dazu? Nein, aber ein Schild mit der Aufschrift: "Die meinen das ernst" -- J. Ilse, MOW und Regina
participants (5)
-
Helga Fischer -
Henning Hucke -
Mathias Uebel -
Stefan Eggert -
Ulrich Klenk