 |
|
|
|
| Autor |
Nachricht |
cosoft
Anmeldungsdatum: 29.06.2005
Beiträge: 136
Wohnort: Nordrhein Westfalen
|
 Verfasst am:
Mi 07 Nov, 2007 19:12 |
  |
|
Ich verwende des öfteren in den Firewall-Regeln Trigger, um bestimmte Verbindungen zur protokollieren, bzw. zu überwachen.
Beispiel:
| Code:
|
Filter 0001 from Rule ALERT_RDP:
Protocol: 6
Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
Dst: 00:00:00:00:00:00 192.168.0.1 255.255.255.255 3389-3389
use routing tag 0000
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
send SNMP trap
send email to administrator
|
Nun sind die meisten Meldungen aber gar keine echten zustande gekommenen Verbindungen, sonder irgendwelche Einwahlversuche von völlig fremden IPs. (Entstehen wahrscheinlich durch Port-Scans oder Port-Prober)
Gibt es eine Möglichkeit, nur solche Verbindungen zu protokollieren, die auch wirklich zustande gekommen sind? Z.B. durch Überwachung des "Rückkanals" oder des Quellports? Kann das Firewall-Modul überhaupt erkennen, ob sich der User erfolgreich am Terminal-Server angemeldet hat?
Danke und Gruß.
EDIT: Betreff zu lang  |
_________________
4E 4F 20 53 49 47 |
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
|
|
|
|
| |
|
|
