Hallo,
bei uns tritt folgendes Problem beim Logging auf:
- Die Berichte, die angezeigt werden, gehören nicht zu der IP, unter der dieser Bericht erzeugt wird.
Beispielsweise werden unter der IP der FIRMA_1 die Berichte der FIRMA_2 angezeigt.
Aufgefallen ist mir das, als IP-Adressen geloggt wurden, die es in dem Netz der Appliance gar nicht gibt.
Weiß da jemand was genaueres?
Viele Grüße und hoffentlich bald Hilfe
SOC 1.9.9 Berichte
Moderator: Securepoint
Die Trennung der einzelnen Appliances erfolgt auf Basis der Quell-IP des UDP-Pakets. Sind also mehrere Geräte über die gleiche Internet-Verbindung mit dem Logserver "verbunden", tauchen all diese Geräte als eine Entität auf.
Das ist ... ehrhm... unglücklich. Vor allem, wenn man bedenkt, dass a) Syslog-Pakete unverschlüsselt übertragen werden und b) alle aufgerufenen Webseiten etc sichtbar sind.
Möglichkeit 2:
Die Firewall vor dem Logserver NATtet Pakete aus dem Internet auf eine interne IP. Das wird oft gemacht, damit die Windows-Firewall nicht konfiguriert werden muss. Oder man hat zwei Default-Routen. Und/oder zwei Netzwerkkarten. (Achtung Rant: Und genauso oft, bekommen die Leute von uns zu hören, dass es gerade beim Logging Probleme gibt :roll: )
Das ist ... ehrhm... unglücklich. Vor allem, wenn man bedenkt, dass a) Syslog-Pakete unverschlüsselt übertragen werden und b) alle aufgerufenen Webseiten etc sichtbar sind.
Möglichkeit 2:
Die Firewall vor dem Logserver NATtet Pakete aus dem Internet auf eine interne IP. Das wird oft gemacht, damit die Windows-Firewall nicht konfiguriert werden muss. Oder man hat zwei Default-Routen. Und/oder zwei Netzwerkkarten. (Achtung Rant: Und genauso oft, bekommen die Leute von uns zu hören, dass es gerade beim Logging Probleme gibt :roll: )