Traces zum überprüfen des Traffic formatieren lassen.

[Raudi]

Hallo,

ich dachte mir letztens mal, lass in einer Ruhigen Minuten mal ein Router Trace laufen und schau mal was da so alles in Netz raus geschickt wird.

Aber selbst in einer Ruhigen Minute sind da so viele Geräte die irgendwelche Kleinigkeiten anfragen oder sonst was machen, dass das ganze sehr unübersichtlich und schwierig wird zu überprüfen. Und ich hatte schon die VPN und VoIP Gegenstellen ausgeklammert.

Da wäre es echt klasse wenn man einen Trace erstellen könnte, wo folgendes steht:

Datum/Uhrzeit | Quell-IP | über DNS aufgelöster Name der Quell-IP | Ziel-IP | über DNS aufgelöster Name der Ziel IP | Dienst | Port

Und das ganze in einer formatierten Tabelle, damit die Spalten immer an der gleichen Stelle sind.

Um einfach mal zu schauen was passiert da auf der Leitung ins Internet, sind da evtl. Geräte die einen Trojaner haben und permanent irgendwo hin kommunizieren?

Oder wie kann man sowas am besten prüfen? Evtl. gibt es da ja noch alternativen?

Viele Grüße
Stefan

[MariusP]

Hi,
Erstell dir doch mit LCOSCAP einen Wireshark Trace.
Damit solltest du genau rausfiltern können was du brauchst.
Gruß

[stefanbunzel]

Hallo Raudi,

Oder wie kann man sowas am besten prüfen? Evtl. gibt es da ja noch alternativen?

Ich würde das mittels Syslog und Firewall-Regel lösen. So kannst du das auch gut bei Bedarf auf bestimmte Gegenstelle und / oder User begrenzen. Auf deinem Syslog-Server (Bsp. Kiwi) kannst du dann noch einmal sehr schön die Meldungen nach bestimmten Kriterien sortieren und getrennt abspeichern. Die DNS-Auflösung klappt auch, wenn du Kiwi entsprechend konfigurierst.

Viele Grüße,
Stefan

[stefanbunzel]

Hallo Raudi,

wie Jirka in einem anderen Beitrag richtig anmerkte, funktioniert aktuell (LCOS 9.10.03xx) die Syslog-Funktion des LCOS nicht mehr richtig (vgl._ http://www.lancom-forum.de/syslog-ausga ... 14309.html). Daher wird meine Lösung / Vorschlag vermutlich aktuell leider nicht funktionieren.

Mit früheren LCOS-Versionen (gefühlt vor LCOS 9.x?) gab es da keine Probleme. Hoffen wir mal, dass LANCOM da schnell nachbessert.

Viele Grüße
Stefan

[Bernie137]

Hallo Raudi,

ich hatte so etwas ähnliches auch schon mal angeregt. http://www.lancom-forum.de/lancom-featu ... tml#p78807 Ich bin dann im weiteren Verlauf des Beitrags etwas vom Thema abgekommen. Meine ursprüngliche Idee war, ab damit in die Zwischenablage und dann im Excel weiter filtern/formatieren usw.

vg Bernie

[Raudi]

Hallo,

vielen Dank für die Tipps, das mit dem LCOSCAP Tool klappt ganz gut, leider muss man aber auf dem LAN Interface tracen und somit bekomme ich auch den ganzen lokal gerouteten kram mit rein. Da ist der Router Trace schon praktischer, da man dort ja ganze Netze und Gegenstellen ausschließen kann. Müsste nur etwas übersichtlicher formatiert sein.

Und eine Bitte an LANCOM, schreibt in das Readme und in die KB Artikel zum Tool doch auch mal rein, dass man hier noch eine Einstellung auf dem Router tätigen muss. Ich habe diese Einstellung zufällig durch Google gefunden...

Aber ist schon erschreckend was man da so alles findet. Ich habe hier zwar keine Trojaner gefunden, aber dafür gemerkt was Windows alles so nach Hause überträgt. Sogar auf den Servern wurde vor kurzem per Windows Update was installiert was alle paar Minuten nach Hause telefoniert. Auf der einen Seite schön dass die das wenigstens per HTTPS machen, aber auf der anderen Seite auch doof, denn so kann man nicht sehen was die schicken.

Viele Grüße
Stefan

[Dr.Einstein]

Und eine Bitte an LANCOM, schreibt in das Readme und in die KB Artikel zum Tool doch auch mal rein, dass man hier noch eine Einstellung auf dem Router tätigen muss. Ich habe diese Einstellung zufällig durch Google gefunden...

Bei -? sind doch alle Argumente inkl Beispiele aufgeführt?

z.B. steht auch im KB lcoscap -o output.pcap -i WLAN-1 -p PASSWORT 192.168.50.1

[Raudi]

Aber nicht das man auf dem Router unter "Setup > Paket-Capture > LCOSCap-In-Betrieb" den Wert auf "Ja" stellen muss, komisch ist nur, dass hier steht, dass der Default auf "Ja" steht, bei mir war er aber auf "Nein" und ich habe da garantiert nichts dran gestellt.

http://lancom-systems.de/docs/LCOS-Menu ... _63_1.html

Hat sich wohl irgendwann mal geändert...

Viele Grüße
Stefan

[alf29]

Moin,

korrekt, der Default für LCOScap-Operating hat sich in einer der letzten Versionen auf No geändert.

Gruß Alfred

[Raudi]

Moin Alfred,

ist es auch korrekt, dass man dieses nur in der WEB GUI und auf der CLI einstellen kann? Weil im LANconfig habe ich da nichts gefunden...

Viele Grüße
Stefan

[alf29]

Moin,

es gibt diverse Schalter, die als so 'exotisch' angesehen werden, daß sie nicht im LANconfig auftauchen, weil sie so wenige Kunden brauchen, und man der Meinung ist, daß man sich mehr Supportfälle als Nutzen damit einhandelt, wenn man sie im LANconfig zugänglich macht. Das ist immer eine Fall-zu-Fall Entscheidung, die sich auch über die Versionen ändern kann.

Im Fall 'LCOScap' ist es ja schon einmal so, daß man zum Nutzen dieses Features nicht nur einen Schalter umlegen, sondern auch ein Kommandozeilenprogramm (nämlich das LCOScap selber) bedienen können muß. Mit einer CLI wird man also so oder so konfrontiert. Außerdem gibt's alternativ zum Capturen ja noch den Knopf in der WEBconfig, sowie RPCap, sofern man gerade eine (Windows-)Version von Wireshark hat, mit der das mal funktioniert WObei ich nicht sicher bin, ob die RPCap-Einstellungen im LANconfig auftauchen.

Gruß Alfred