Hallo Ulrich, Am Montag, 23. Februar 2004 10:27 schrieb Ulrich Klenk:
Helga Fischer schrieb:
ich stehe gerade vor der Frage, wie sinnvoll ist es, den Firewall-Output mit zu loggen? Lohnt es sich, diese Logs auszuwerten? Oder ist es praktischer, sie zu unterdrücken?
Es ist praktischer, sie zu unterdrücken, denn dann hast Du keine Arbeit damit :-)
Meine Vorgänger im Amt haben sie gerne unterdrückt, aber ganz so sicher bin ich mir eben nicht, ob das sinnvoll ist.
Allerdings bekommst Du dann auch nicht mit, wenn jemand versucht, bei der einzudringen oder ein Trojaner, Virus o.ä. versucht rauszukommen...
Eben. Deswegen habe ich mir schon überlegt, ob ich mir nicht ein Statistikskript schreibe, so daß ich wenigsten eine kleine Ahnung davon bekomme, was an der Firewall so aufschlägt. (Wenn's so etwas schon gäbe, würde ich das auch gerne nehmen).
Deshalb gehört IMHO zu einer sauberen Firewall mit "guten" Regeln auch ein gutes logging mit Benachrichtigungssystem. Je nach Sicherheitsanforderung auch logging auf einem externen System usw.....
So extrem ist das im Moment nicht. Mich würden halt Ereignisse interessieren, die aus dem Rahmen von eDonkey oder Windowsanfragen herausfallen.
Ob Du jetzt jeden Scan auf typische Windows-Ports mitschreibst (um zu sehen, was Deine Firewall so die ganze Zeit treibt)
Mach' ich manchmal bei meiner eigenen Firewall, ist aber eigentlich langweilig. Filesharing und gelegentlich mal ein Trojaner.
oder erst bei Portscans einsteigst, ist Deinem Sicherheitsbedürfnis überlassen.
Ob ich die so erkennen kann? Wo könnte ich denn im Netz etwas zum Thema finden? Helga -- ## Netikette nein danke? -- http://www.suse-etikette.de.vu/ ## Mit vielen nützlichen Tipps -- Lesen lohnt sich ## Rückmeldungen erbeten und erwünscht