Hallo,
leider handelt es sich bei dem "Firewall Report" bereits um die Auswertung der Logdateien.
Firewall-Ereignisse werden nach Zeit, IP-Adresse und Ports gruppiert, um
Ihnen einen Überblick über die Ereignisse zu geben. Die Spalten bedeuten im Einzelnen:
Code:
Date: Das Datum, an dem das Ereignis eintrat
Chain: Der Name der Firewall-Kette, die das Ereignis ausgelöst hat
Rule: Die Nummer der Regel innerhalb der Kette
Action: Was mit dem Paket geschehen ist (DROP = Das Paket wird ohne Fehlermeldung gelöscht)
Qty: Wie oft das Ereignis eintrat. Steht hier eine größere Zahl, so deutet das auf einen gezielten Angriff hin
Ext. Address: Die Adresse des Absenders des Pakets
Iface: Das Interface, auf dem das Paket hereinkam. ppp0 ist das DSL-Interface. eth0 bis eth2 sind interne Interfaces
Protocols: Quell- und Zielport und -protokoll. Hier können Sie ersehen, was das wahrscheinliche Ziel des Pakets war
Hostname: Da der Intranator aus Performance-Gründen keinen Reverse-DNS-Lookup macht, steht hier immer "Host not examined."
Genauere Informationen kann ich Ihnen leider nicht geben, da es sich hierbei
um die "nackten" Firewall-Logs handelt. Sie sehen hier das gewöhnliche
"Hintergrundrauschen" des Internets, das durch diverse Viren, Würmer und
Trojanische Pferde, die im Umlauf sind, hervorgerufen wird. Sollte bei "Qty"
ein höherer Wert stehen oder die selbe IP-Adresse als Absender häufiger
auftreten, deutet das auf einen gezielteren Angriff oder evtl. eine
Infektion eines Ihrer PCs mit einem Virus hin. Bei der Unterscheidung von
"Rauschen" und "echten" Meldungen ist aber eine Menge Intuition gefragt, die
sich leider nicht in einer Anleitung zusammenfassen läßt. :-)
Die beiden anderen Abschnitte "Security Violations" und "Unusual System
Events" werden ebenfalls direkt aus den Linux-Systemlogs erzeugt. "Security
Violations" enthält mutmaßliche Sicheheits-Probleme. Dort würden z.B.
fehlgeschlagene Logins und ähnliches erscheinen. Die Ereignisse, die in
diesem Fall dort erscheinen, sind jedoch nicht Besorgnis erregend.
Der dritte Abschnitt "Unusual System Events" schließlich enthält Ereignisse,
die weder Firewall-Ereignisse noch Sicherheitsprobleme oder "normale"
Meldungen sind. Dieser Abschnitt ist dort, damit der Systemadministrator
(Sie) die Logs selbst bewerten können um zu entscheiden ob ein Problem
vorliegt.
Wie gesagt, diese Informationen kann man leider nicht in eine kurze
Anleitung oder Legende gießen, da es sich hierbei um die direkte Ausgabe von
Logmeldungen handelt. Daher kann man auch nicht alle möglichen Ereignisse in
einer Liste zusammenfassen.
Sollten Sie mehr Informationen zum Thema Firewall wünschen, schauen Sie doch
einmal hier http://www.amazon.de/exec/obidos/ASI...ext_1/302-0758
901-0118459 .
Herzliche Grüsse,
Thomas Jarosch
Registered User
Berechtigungen
Zitieren