Alert-Trigger; nur "erfolgreiche" Verbindungen

cosoft · Beitrag von **cosoft** » 07 Nov 2007, 18:12

Ich verwende des öfteren in den Firewall-Regeln Trigger, um bestimmte Verbindungen zur protokollieren, bzw. zu überwachen.

Beispiel:

Code: Alles auswählen

Filter 0001 from Rule ALERT_RDP:
  Protocol: 6
  Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
  Dst: 00:00:00:00:00:00 192.168.0.1 255.255.255.255 3389-3389
  use routing tag 0000
  Limit per conn.:  after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept
      send SNMP trap
      send email to administrator

Nun sind die meisten Meldungen aber gar keine echten zustande gekommenen Verbindungen, sonder irgendwelche Einwahlversuche von völlig fremden IPs. (Entstehen wahrscheinlich durch Port-Scans oder Port-Prober)

Gibt es eine Möglichkeit, nur solche Verbindungen zu protokollieren, die auch wirklich zustande gekommen sind? Z.B. durch Überwachung des "Rückkanals" oder des Quellports? Kann das Firewall-Modul überhaupt erkennen, ob sich der User erfolgreich am Terminal-Server angemeldet hat?

Danke und Gruß.

EDIT: Betreff zu lang