Ausgehende Netzwerkverbindungen über 24h in Datei schreiben

Hallo zusammen,

ich suche nach einer Möglichkeit ausgehende Netzwerkverbindungen (tcp und udp) über 24h in eine Datei zu schreiben. Da die Datei nicht unglaublich groß werden soll, würde sich anbieten die Daten irgendwie zu verarbeiten und dann erst zu schreiben.

Idee:
tcpdump?
Script loopt über den Output und schreibt in eine Datei, falls die Kombination destination, protocol, port noch nicht vorhanden ist.

Problem:
Keine Ahnung wie ich das machen soll, ohne dass das aus allen Nähten platzt.

Warum?
Umzug in DMZ, Anforderung der Firewallfreischaltungen

Einfachere Lösung. Einfach bei jedem System live ins Firewall Log schauen und entscheiden
Im Grunde sollte ja klar sein was für ne Anwendung auf einem System läuft und auch auf welchen Ports diese Anfragen entgegen nimmt. Auch sollte klar sein mit welchen Gegenüber die jeweiligen Systeme kommunizieren müssen. Diese Daten werden eh für die Dokumentation gebraucht und sind somit vorhanden. Damit wäre ja schon der Hauptteil der Arbeit getan.
Danach ist das Firewall Log nur noch für die Feinarbeit.

Für TCP könntest du beim Mitschinitt auf das SYN Flag filtern. Dürfte die Datenmenge erheblich begrenzen. Das Beispiel filtert auf SYN, FIN und Reset. Einfach anpassen wie du es brauchst.

sudo tcpdump -nn "tcp[tcpflags] & (tcp-syn|tcp-fin|tcp-rst) != 0"

sieht dann so aus:

09:55:58.697275 IP 192.168.10.13.36068 > 192.168.10.145.6556: Flags [S], seq 3132005813, win 64240, options [mss 1460,sackOK,TS val 3445143789 ecr 0,nop,wscale 7], length 0
09:55:58.697290 IP 192.168.10.145.6556 > 192.168.10.13.36068: Flags [S.], seq 670885059, ack 3132005814, win 65160, options [mss 1460,sackOK,TS val 3975183719 ecr 3445143789,nop,wscale 7], length 0
09:55:58.701512 IP 192.168.10.13.38816 > 192.168.10.15.6556: Flags [S], seq 3540819785, win 64240, options [mss 1460,sackOK,TS val 3632065911 ecr 0,nop,wscale 7], length 0
09:55:58.701608 IP 192.168.10.15.6556 > 192.168.10.13.38816: Flags [S.], seq 3693494490, ack 3540819786, win 65160, options [mss 1460,sackOK,TS val 1281408408 ecr 3632065911,nop,wscale 7], length 0
09:55:59.747669 IP 192.168.10.15.6556 > 192.168.10.13.38816: Flags [F.], seq 64464, ack 1, win 510, options [nop,nop,TS val 1281409454 ecr 3632066582], length 0
09:55:59.748425 IP 192.168.10.13.38816 > 192.168.10.15.6556: Flags [F.], seq 1, ack 64465, win 998, options [nop,nop,TS val 3632066958 ecr 1281409454], length 0
09:55:59.784049 IP 192.168.10.145.6556 > 192.168.10.13.36068: Flags [F.], seq 68523, ack 1, win 510, options [nop,nop,TS val 3975184806 ecr 3445144494], length 0
09:55:59.784824 IP 192.168.10.13.36068 > 192.168.10.145.6556: Flags [F.], seq 1, ack 68524, win 830, options [nop,nop,TS val 3445144877 ecr 3975184806], length 0

mit den Optionen -q (Quite) und -t (no Timestamp) kannst du das weiter eindampfen.

IP 192.168.10.136.57309 > 192.168.10.254.53: tcp 0
IP 192.168.10.254.53 > 192.168.10.136.57309: tcp 0
IP 192.168.10.12.9060 > 192.168.10.121.53: tcp 0
IP 192.168.10.121.53 > 192.168.10.12.9060: tcp 0
IP 192.168.10.136.57309 > 192.168.10.254.53: tcp 0
IP 192.168.10.254.53 > 192.168.10.136.57309: tcp 0

Für UDP und alle anderen Protokolle dürfte der Ansatz spannend werden. Da bin ich dann bei @andreas-doehler, eine gute Doku hilft .

Eine andere Option wäre es die Systeme in die DMZ umzuziehen, mit einer mehr oder weniger permit any Policy für die betroffenen Systeme und dann das Firewall Log zu nutzen um die Policy einzugrenzen.

Wenn Deine Geräte das können, schau Dir Netflow an. Macht genau solche Protokollierungen.

ttr

Ich hab hier die Appliance. Da läuft keine Firewall drauf, oder?
Bisher fast alle Hosts ohne Firewall erreichbar
Und rede von viiiielen tausend Hosts und von viiielen Sites.
Das muss schneller und automatischer gehen, deshalb die Frage in die Runde

sowas in der Art dachte ich auch. Probiere ich aus. Danke!

This topic was automatically closed 365 days after the last reply. New replies are no longer allowed. Contact an admin if you think this should be re-opened.