LANCOM Verbindungslogging

[FritzEDV]

Guten Morgen an alle!

Frage: Welche Möglichkeiten zur Analyse des Datentraffics habe ich mit LANCOM Routern?

Ich weiß, dass ich gezielt mit dem Tracer mithören kann. Das ist allerdings keine Option für den vorliegenden Fall, da hier ein langfristiger Mitschnitt notwendig ist.

Folgendes Problem:
Einer unserer Kunden bekommt immer mal wieder Post vom Telekom-Sicherheitsteam, da eins seiner Geräte Kontakt mit einem C&C Server aufzunehmen scheint. Wir haben die interne Infrastruktur bereits komplett mit div. Virentools abgescannt - ohne Erfolg. Ich vermute dass es sich hier entweder um ein mobiles Endgerät / Gastnetz handelt - oder um ein Gerät, von dem man bisher davon ausgeht, dass ein Virenbefall eher unwahrscheinlich ist bzw. keine AV Lösung existiert. (zB. ESXi Host)

Ich bräuchte also eine Art von rollierendem Logfile - Mitschnittzeit etwa 2 Wochen. Darin stehen sollten Quell und Ziel IP aller Verbindungen die in dieser Zeit statgefunden haben. Da die Telekom ja nicht ins interne Netz schauen kann, können die mir natürlich nicht sagen, von welchem Endgerät die Anfrage ausging. Die können mir nur Datum und Uhrzeit melden.

Habe mich mit der Thematik der Datenverkehrauswertung bisher noch nie befassen müssen. Daher weiß ich nicht, welche Möglichkeiten mit den LANCOMs habe. Lässt sich da evtl. was mit einem Syslog Server realisieren?

Bin gespannt auf die Antworten

[GrandDixence]

lcoscap in Kombination mit einem "Capture Filter". Der "Capture Filter" lässt nur TCP SYN-Pakete in Richtung LAN->WAN in die Aufzeichnungen durch. Aufzeichnungen landen als *.pcap/*.pcapng auf einem Raspberry Pi. Jeglicher UDP-Datenverkehr über den Internetanschluss ist mit einer BLOCK_ALL/DENY_ALL-Firewallregeln-Strategie zu unterbinden. Ausnahme für UDP gibt es nur für Grunddienste wie DNS, DHCP + NTP und zeitkritische Dienste wie Gaming und Sprachtelefonie (VoIP).

fragen-zur-lancom-systems-routern-und-g ... 17651.html

https://gitlab.com/wireshark/wireshark/ ... ureFilters

https://de.wikipedia.org/wiki/Transmiss ... l_Protocol

https://support.lancom-systems.com/know ... n+Skripten

fragen-zur-lancom-systems-routern-und-g ... ml#p101750

Vorgängig Firmennetzwerk mit VLAN auf Layer 2 segmentieren:

fragen-zur-lancom-systems-routern-und-g ... ml#p106568

fragen-zum-thema-firewall-f15/schulnetz ... 8890.html¨

Alternativ lässt sich vielleicht etwas mit Firewallregeln und:

Sende Syslog-Benachrichtigung

zusammenschustern. Siehe LCOS-Referenzhandbuch und LCOS-Menüreferenz.

[ua]

Hi,

erstelle doch eine "Allow"-Firewall-Regel für die Verkehrsbeziehung (any 2 any mit entsprechendem Zielport) und lass Dir bei Match einfach eine Mail schicken.

VG

[FritzEDV]

Habe es jetzt so gelöst, dass ich in der Firewall eine entsprechende ALLOW ALL Regel gebastelt habe, die bei Traffic aus oder in das Internet eine entsprechende Syslog Meldung an einen Server absetzt.

Via UDP funktioniert das ganz gut - sobald ich jedoch auf TCP umschalte, bleiben die Meldungen aus. Ist das ein Bug vom LANCOM?

Habe das Ganze mal mit iptraf-ng beobachtet. Sobald ich das Protokoll im LANConfig auf TCP umschalte (und die Config hochlade), kommen am Server keine Pakete mehr vom Router an.

[ua]

Hi,
mal ein TCP-Paket/eine neue TCP-Session vom Client aus provoziert?
TCP-Verbindungen werden nur beim Aufbau bewertet.
VG

[DanLo]

Du könntest NetFlow auf dem Router aktivieren, das zeichnet dir die Metadaten (Verbindungsdauer, Quell- und Ziel-IP, Protokolle, Datenmenge... aber KEINE Inhalte) aller Verbindungen auf, die über die Firewall gehen. Das Problem ist: Das Gerät kann die Daten nur aufzeichnen, nicht auswerten. Die Aufgezeichneten Daten werden stattdessen an einen Server (einen so genannten NetFlow Collector) geschickt, der die Daten dann speichert und im Nachgang auswerten muss.