Domain Abfragen monitoren

[marsbewohner]

Hallo zusammen,

ich bin mir nicht sicher ob ich die Frage hier schon mal gestellt habe, habe aber auch nichts dazu gefunden, daher einfach noch mal

Ich würde an einem Standort gerne alle Anfragen an Google mitprotokollieren, da Google hier regelmäßig den Usern Captcha-Meldungen über automatisierte Suchabfragen bzw. Malicious-Traffic präsentiert, wir diesen aber nicht weiter eingrenzen können.

Ziel soll es sein die interne Quelle der Anfrage und den Zeitpunkt zu identifizieren. Ich habe dazu schon entsprechend in den FW Objekten und Möglichkeiten geschaut, es aber nicht verstanden wie ich ein Objekt auf eine bestimmte Domain erstellen kann (Google.de/Google.com), daher die Bitte um einen entsprechenden Gedankenanstoß.

Danke!

Gruß,

[stefanbunzel]

Hallo Marsbewohner,

alleine mit LANCOM-Mitteln wirst du das meiner Meinung nach wohl nicht schaffen.
Ich denke aber, dass du dieses Problem vielleicht auch wieder mittels Syslog realisieren kannst (hatte ich heute hier erst ähnlich vorgeschlagen...).
Einfach Firewall-Regel (Aktion: übertragen, Syslog senden) ggf. beschränkt auf bestimmte Gegenstelle und / oder User. Und dann mittels Syslog-Server (Bsp. Kiwi) inkl. eingerichteter DNS-Auflösung in Kiwi dann entsprechend nach "google" filtern und in Datei loggen. Das müsste dir dann eigentlich Zeit, Quelle und Ziel liefern.

Viele Grüße,
Stefan

[Jirka]

Hallo marsbewohner,

da Google hier regelmäßig den Usern Captcha-Meldungen über automatisierte Suchabfragen bzw. Malicious-Traffic präsentiert, wir diesen aber nicht weiter eingrenzen können.

das habe ich auch schon mal alleine geschafft...

es aber nicht verstanden wie ich ein Objekt auf eine bestimmte Domain erstellen kann (Google.de/Google.com), daher die Bitte um einen entsprechenden Gedankenanstoß.

Das kannst Du auch nicht. Du müsstest also Deine Domains auf IPs auflösen und dann kannst Du mit der Firewall entsprechend protokollieren. Ich nehme an, dass eine Regel, die auf das Ziel-Netz 194.122.80.0/255.255.255.0 greift, hinreichend genau sein sollte. Dann kannst Du entsprechend konfigurieren, dass z. B. ein SNMP-Trap abgesendet werden soll, wenn die Regel gegriffen hat, oder dass z. B. eine Syslog-Nachricht erzeugt werden soll (bei der Konfiguration der Syslog-Server im LANCOM muss für die Quelle Router mind. die Priorität Information angehakt sein, damit die Syslog-Nachricht verschickt wird).

Viele Grüße,
Jirka

EDIT: Hinweis zu Syslog ergänzt, damit es dann auch wie gewünscht funktioniert.

[marsbewohner]

Hallo,

danke für eure Tipps!

Ich habe jetzt mal die gebräuchlichen Google IP Ranges recherchiert und entsprechend eine Regel dazu angelegt, wer auch mal vor dem "Problem" steht kann sich gerne dieser Liste bedienen:

Code: Alles auswählen

64.233.160.0 - 64.233.191.255
66.102.0.0 - 66.102.15.255
66.249.64.0 - 66.249.95.255
72.14.192.0 - 72.14.255.255
74.125.0.0 - 74.125.255.255
209.85.128.0 - 209.85.255.255
216.239.32.0 - 216.239.63.255
173.194.112.160 - 173.194.112.255

@Lancom: was spricht dagegen auch Domains als FW Objekt anzulegen? Wundert mich dass das noch niemand vermisst hat...?

Gruß,

[Bernie137]

Hallo,

@Lancom: was spricht dagegen auch Domains als FW Objekt anzulegen? Wundert mich dass das noch niemand vermisst hat...?

Doch, das haben schon viele vermisst. So weit ich mich erinnere gab es eine Begründung, warum es nicht so ist - nur weis ich sie nicht mehr.

vg Bernie