Hallo Helga Helga Fischer schrieb:
Hallo Ulrich,
Am Montag, 23. Februar 2004 10:27 schrieb Ulrich Klenk:
Helga Fischer schrieb:
ich stehe gerade vor der Frage, wie sinnvoll ist es, den Firewall-Output mit zu loggen? Lohnt es sich, diese Logs auszuwerten? Oder ist es praktischer, sie zu unterdrücken?
Es ist praktischer, sie zu unterdrücken, denn dann hast Du keine Arbeit damit :-)
Meine Vorgänger im Amt haben sie gerne unterdrückt, aber ganz so sicher bin ich mir eben nicht, ob das sinnvoll ist.
Ich hoffe, dass der Smiley genügend zur Geltung kam.....
Allerdings bekommst Du dann auch nicht mit, wenn jemand versucht, bei der einzudringen oder ein Trojaner, Virus o.ä. versucht rauszukommen...
Eben. Deswegen habe ich mir schon überlegt, ob ich mir nicht ein Statistikskript schreibe, so daß ich wenigsten eine kleine Ahnung davon bekomme, was an der Firewall so aufschlägt. (Wenn's so etwas schon gäbe, würde ich das auch gerne nehmen).
logwatch http://www.logwatch.org snort http://www.snort.org/ u.v.m.
erst bei Portscans einsteigst, ist Deinem Sicherheitsbedürfnis überlassen.
Ob ich die so erkennen kann?
z.B. scanlogd http://www.openwall.com/scanlogd/
Wo könnte ich denn im Netz etwas zum Thema finden?
www.little-idiot.de www.chaostal.de --> Article --> Advanced Snorting Google mit Begriffen wie IDS intrusion detection portscan Vermutlich gibt es auch SuSE spezifisches im Rahmen der SuSEfirewall, habe aber damit noch nicht gearbeitet. Gruß, Uli