Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 3 replies
  • Answers 1 answer
  • Subscribers 6 subscribers
  • Views 2450 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

LAN/WAN Verkehr aufzeichnen/analysieren

Oliver J

Moin in die Runde,

unsere UTM läuft nun schon seit einiger Zeit. Die FW Regeln wurden mehrmals angepasst, neue hinzugefügt, etwas ausprobiert, etc....

Jetzt habe ich das Gefühl, dass einige Regeln entweder gar keinen Sinn mehr machen, sich gegenseitig vielleicht aufheben oder Ports offen sind, obwohl die entsprechende Anwendung gar nicht mehr existiert (Waren halt im Laufe der Zeit verschiedene Admins am Werk).

Hat jemand eine hilfreiche Idee, mit welchen internen oder externen Mitteln ich den IP Verkehr über eine gewissen Zeit sinnvoll analysieren und darstellen kann?

Quasi IP XY zum Ziel Port 123 zur IP XX

Damit man diese Ergebnisse mit den FW Regel abgleichen und somit nicht notwendige löschen kann.

Würde mich freuen, wenn hier jemand ne gute Idee hat ;-)

Danke schon mal..

Grüße Oliver



This thread was automatically locked due to age.
  • 0

    Halo  ,

    Vielen Dank, dass Sie sich an die Community gewandt haben. Nachfolgend finden Sie die nützlichen Links:

    # Intern ist das lokale LAN und extern ist WAN hier als Referenz.

    # Sophos UTM: Best Practice für Uplink-Balancing und Multipath-Regeln

    # Rules

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Global Support & Services 

    Log a Support Case | Sophos Service Guide
    Best Practices – Support Case


    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

  • 0

    Um herauszufinden, ob eine Rule überhaupt etwas tut, gehe ich in logfiles durchsuchen ... wähle einen sinnvollen Zeitraum und verwende für die rule 22 den Filter  fwrules="22"

    - Logging muss natürlich aktiv sein
    - ich deaktiviere die rules im ersten Schritt ... so lassen sich Fehler schnell finden/korrigieren und die nummerierung bleibt erhalten ... sonst sind u.U. die logs von gestern nicht mehr mit der erwarteten rule-ID zu finden

    Man könnte die Rule-nutzung auch in Excel / Splunk analysieren


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0

    Hallo Oliver,

    wir machen das in der Regel ähnlich wie dirkkotte. Wir nutzen Graylog oder den ELK Stack um die Sophos Logs der Kunden einzusammeln und diese dann zu analysieren (z.b. welche IP hat in den letzen x Tagen mit welchen IPs oder Protokollen gesprochen). Damit lassen sich auch wunderbar Auswertungen machen wie: "Welche Regel wurde wie oft getriggert?" 

    Alternativ / ergänzend dazu analysieren wir den Traffic via Netflow (kann im Reporting aktiviert werden)

    Bis dann

    Daniel

Unfiltered HTML