Moin in die Runde,
unsere UTM läuft nun schon seit einiger Zeit. Die FW Regeln wurden mehrmals angepasst, neue hinzugefügt, etwas ausprobiert, etc....
Jetzt habe ich das Gefühl, dass einige Regeln entweder gar keinen Sinn mehr machen, sich gegenseitig vielleicht aufheben oder Ports offen sind, obwohl die entsprechende Anwendung gar nicht mehr existiert (Waren halt im Laufe der Zeit verschiedene Admins am Werk).
Hat jemand eine hilfreiche Idee, mit welchen internen oder externen Mitteln ich den IP Verkehr über eine gewissen Zeit sinnvoll analysieren und darstellen kann?
Quasi IP XY zum Ziel Port 123 zur IP XX
Damit man diese Ergebnisse mit den FW Regel abgleichen und somit nicht notwendige löschen kann.
Würde mich freuen, wenn hier jemand ne gute Idee hat ;-)
Danke schon mal..
Grüße Oliver
Halo Oliver J ,
Vielen Dank, dass Sie sich an die Community gewandt haben. Nachfolgend finden Sie die nützlichen Links:
# Intern ist das lokale LAN und extern ist WAN hier als Referenz.# Sophos UTM: Best Practice für Uplink-Balancing und Multipath-Regeln# Rules
Thanks & Regards,_______________________________________________________________
Vivek Jagad | Technical Account Manager 3 | Cyber Security Evolved
Sophos Community | Product Documentation | Sophos Techvids | SMSIf a post solves your question please use the 'Verify Answer' button.
Um herauszufinden, ob eine Rule überhaupt etwas tut, gehe ich in logfiles durchsuchen ... wähle einen sinnvollen Zeitraum und verwende für die rule 22 den Filter fwrules="22"
- Logging muss natürlich aktiv sein- ich deaktiviere die rules im ersten Schritt ... so lassen sich Fehler schnell finden/korrigieren und die nummerierung bleibt erhalten ... sonst sind u.U. die logs von gestern nicht mehr mit der erwarteten rule-ID zu finden
Man könnte die Rule-nutzung auch in Excel / Splunk analysieren
Dirk
Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum PartnerSophos Solution Partner since 2003 If a post solves your question, click the 'Verify Answer' link at this post.
Hallo Oliver,
wir machen das in der Regel ähnlich wie dirkkotte. Wir nutzen Graylog oder den ELK Stack um die Sophos Logs der Kunden einzusammeln und diese dann zu analysieren (z.b. welche IP hat in den letzen x Tagen mit welchen IPs oder Protokollen gesprochen). Damit lassen sich auch wunderbar Auswertungen machen wie: "Welche Regel wurde wie oft getriggert?"
Alternativ / ergänzend dazu analysieren wir den Traffic via Netflow (kann im Reporting aktiviert werden)
Bis dann
Daniel