Hallo,
ich versuche gerade einem Fehler auf die Schliche zu kommen und benutze dazu das Logging. Dazu habe ich jetzt folgende Fragen:
Im aktuellen Handbuch_Securepoint2007nxSecurity_Manager.pdf werden hier unter Log die Zustände NONE, MEDIUM und ALL beschrieben (Seite 75). Sind die identisch zu NONE, SHORT und LONG, wie sie im Security Manager zu finden sind?
Falls LONG und ALL identisch sind, habe ich dazu folgende Frage:
In der Beschreibung steht, dass ALL bedeutet, dass alle Pakete geloggt werden.
Ich habe die Einstellung LONG auf den Server vorgenommen und dann eine E-Mail versendet, weil wir Probleme dem Senden mit E-Mails haben. Parallel dazu lief ein Netzwerk-Sniffer auf unserem Exchange Server.
Anschließend habe ich die beiden Ergebnisse verglichen (dabei kann ich Frame für Frame sehr gut an der IP-ID erkennen und vergleichen). Auf unserem Exchange-Server sind mehr Pakete angekommen als vom LOG der RC300 angezeigt wurden.
Das heißt, dass nicht alle Pakete geloggt wurden.
Welche Bedeutung hat LONG beim Logging? Und was bedeutet SHORT (ist das identisch zu MEDIUM, 3 Pakete pro Minute zu jeder Verbindung)?
Danke und bis dann,
Stephan
Logging: Bedeutung von SHORT und LONG
Moderator: Securepoint
Logging: Bedeutung von SHORT und LONG
Bis dann,
Stephan
Stephan
Hallo, Stephan,
ich bin bisher immer davon ausgegangen, dass
- bei "long" ebenfalls die zurückkommenden "Antwort"-Pakete geloggt werden (3-Way-Handshake halt - mit syn, ack, fin etc. in beide Richtungen)
- bei "medium" nur die Verbindungsinitialisierung (aus welcher Richtung sie auch kommen mag) bzw. -finalisierung (ein Log-Eintrag pro "finalisierter Verbindung"?) geloggt wird. Zudem müssten alle Pakete, die out-of-state sind durch die letzte Regel gedropt und geloggt werden (je nachdem, ob hierfür das Logging aktiv ist).
Die Begriffe none, short, long bzw. none, medium, all wurden soweit ich weiß nur im Manager-Release X angepasst, da diese nicht einheitlich waren und bedeuten das gleiche. (oder?)
Ist denn in jeder (entsprechenden) Regel dass Logging (auf Long) eingestellt?
Da ich dass ganze noch nicht untersucht habe, ist dies nur meine Vermutung und werde gerne eines Besseren belehrt.
By the way... ich hatte auch schon öfter das Gefühl, dass das Securepoint-Log etwas wählerisch ist und nicht jedem "admin" alle Logs offenbart...
Achim
ich bin bisher immer davon ausgegangen, dass
- bei "long" ebenfalls die zurückkommenden "Antwort"-Pakete geloggt werden (3-Way-Handshake halt - mit syn, ack, fin etc. in beide Richtungen)
- bei "medium" nur die Verbindungsinitialisierung (aus welcher Richtung sie auch kommen mag) bzw. -finalisierung (ein Log-Eintrag pro "finalisierter Verbindung"?) geloggt wird. Zudem müssten alle Pakete, die out-of-state sind durch die letzte Regel gedropt und geloggt werden (je nachdem, ob hierfür das Logging aktiv ist).
Die Begriffe none, short, long bzw. none, medium, all wurden soweit ich weiß nur im Manager-Release X angepasst, da diese nicht einheitlich waren und bedeuten das gleiche. (oder?)
Ist denn in jeder (entsprechenden) Regel dass Logging (auf Long) eingestellt?
Da ich dass ganze noch nicht untersucht habe, ist dies nur meine Vermutung und werde gerne eines Besseren belehrt.
By the way... ich hatte auch schon öfter das Gefühl, dass das Securepoint-Log etwas wählerisch ist und nicht jedem "admin" alle Logs offenbart...
Achim
Hallo Achim,
vielen Dank für die Antwort.
Ich hatte bisher gedacht, dass bei LONG alle Pakete aufgezeichnet werden.
Da wir Probleme mit E-Mails haben, haben wir für genau diese Verbindung das Log auf LONG gesetzt. Dann haben wir einen Wireshark-Trace auf dem Exchange-Server parallel laufen lassen.
Anschließend kann ich genau die einzelnen Frames vergleichen die vom/ zum Exchange gehen und über die RC300 laufen.
Die SMTP bzw. TCP-Frames (mit dem SYN, ACK, FIN) kann ich gut über den Source- bzw. Destination-Port zuordnen und selektieren. Beide Traces zeigen auch die IP-Identification an, so dass ich die Pakete wirklich 1:1 zuordnen kann.
Die ersten 30 Pakete kann ich auch wirklich direkt zuordnen. Genau das Paket, das der Exchange sendet bzw. empfängt erscheint auch im Log der RC 300.
Dann läuft es irgendwann auseinander. Ich sehe, dass der Exchange Server mehr Pakete bekommt und sendet als das Log der RC 300 anzeigt (und das blöderweise ziemlich genau dann, wenn die Verbindung abbricht, das ist ja das Problem, das ich lösen will).
Jetzt zu deiner Frage:
Dadurch, dass die Log-Einträge bis zu einem bestimmten Zeitpunkt synchron sind, glaube ich, dass die Regeleinstellungen korrekt eingetragen sind.
Ich frage mich nur, ob es eine Grund gibt, dass später das Logging auseinanderläuft.
Aber nochmal vielen Dank für die Erklärung, was SHORT bedeutet.
Das LONG-Logging macht unsere Zugriffe viel langsamer, deshalb wollte ich SHORT mal ausprobieren.
In der Beschreibung steht nur folgendes: "Die ersten drei Pakete einer neuen Verbindung werden geloggt. Nach einer Minute werden die nächsten Pakete der gleichen Verbindung geloggt."
Da ist nirgendwo beschrieben, ob alle Drops geloggt werden oder auch nur bestimmte.
Bis dann,
Stephan
vielen Dank für die Antwort.
Ich hatte bisher gedacht, dass bei LONG alle Pakete aufgezeichnet werden.
Da wir Probleme mit E-Mails haben, haben wir für genau diese Verbindung das Log auf LONG gesetzt. Dann haben wir einen Wireshark-Trace auf dem Exchange-Server parallel laufen lassen.
Anschließend kann ich genau die einzelnen Frames vergleichen die vom/ zum Exchange gehen und über die RC300 laufen.
Die SMTP bzw. TCP-Frames (mit dem SYN, ACK, FIN) kann ich gut über den Source- bzw. Destination-Port zuordnen und selektieren. Beide Traces zeigen auch die IP-Identification an, so dass ich die Pakete wirklich 1:1 zuordnen kann.
Die ersten 30 Pakete kann ich auch wirklich direkt zuordnen. Genau das Paket, das der Exchange sendet bzw. empfängt erscheint auch im Log der RC 300.
Dann läuft es irgendwann auseinander. Ich sehe, dass der Exchange Server mehr Pakete bekommt und sendet als das Log der RC 300 anzeigt (und das blöderweise ziemlich genau dann, wenn die Verbindung abbricht, das ist ja das Problem, das ich lösen will).
Jetzt zu deiner Frage:
Dadurch, dass die Log-Einträge bis zu einem bestimmten Zeitpunkt synchron sind, glaube ich, dass die Regeleinstellungen korrekt eingetragen sind.
Ich frage mich nur, ob es eine Grund gibt, dass später das Logging auseinanderläuft.
Aber nochmal vielen Dank für die Erklärung, was SHORT bedeutet.
Das LONG-Logging macht unsere Zugriffe viel langsamer, deshalb wollte ich SHORT mal ausprobieren.
In der Beschreibung steht nur folgendes: "Die ersten drei Pakete einer neuen Verbindung werden geloggt. Nach einer Minute werden die nächsten Pakete der gleichen Verbindung geloggt."
Da ist nirgendwo beschrieben, ob alle Drops geloggt werden oder auch nur bestimmte.
Bis dann,
Stephan
Bis dann,
Stephan
Stephan
Hallo, Stephan,
>> Ich hatte bisher gedacht, dass bei LONG alle Pakete aufgezeichnet werden.
Genau das wollte ich eigentlich auch damit sagen.
Es wird alles komplett geloggt, was per Regel erlaubt/verboten ist, wenn die Regel das "Long"-Log aktiviert hat.
Wenn keine Regel greift, wird gedroppt und geloggt, wie es unter Netzwerk -> Appliance-Einstellungen eingestellt ist.
>> Da ist nirgendwo beschrieben, ob alle Drops geloggt werden oder auch nur bestimmte.
s.o.
>> In der Beschreibung steht nur folgendes: "Die ersten drei Pakete einer neuen Verbindung
OK, das hatte ich nicht so richtig gelesen und hier müsste die Definition "Pakete" einmal von einem Moderator geklärt werden.
Wie gesagt, waren meine Schlussfolgerungen zum Logging nur Vermutungen.
Wenn Du ganz sicher sein willst, ob die Securepoint oder eine andere Netzwerkkomponente Pakete "verschluckt", hast Du ja noch mindestens zwei weitere Ansatzpunkte für Wireshark (jeweils per Hub bzw. Switch Port-Mirroring):
- zwischen "Internet" und Firewall
- zwischen Firewall und "Switch", die zwischen FW/Exchange hängt
Vielleicht kommt ja noch was von den Mod's...
PS: nicht dass das ganze auf den falschen Weg gerät...
>> weil wir Probleme dem Senden mit E-Mails haben
(Also ausgehender SMTP-Traffic)
Wird das SMTP-Relay der Securepoint genutzt (Virenscanner/Spamfilter/Mailrouting,...)
Dann könnte es u.U. sein, dass Du im Log der Securepoint abweichende Log-Einträge zu sehen bekommst...
Achim
>> Ich hatte bisher gedacht, dass bei LONG alle Pakete aufgezeichnet werden.
Genau das wollte ich eigentlich auch damit sagen.
Es wird alles komplett geloggt, was per Regel erlaubt/verboten ist, wenn die Regel das "Long"-Log aktiviert hat.
Wenn keine Regel greift, wird gedroppt und geloggt, wie es unter Netzwerk -> Appliance-Einstellungen eingestellt ist.
>> Da ist nirgendwo beschrieben, ob alle Drops geloggt werden oder auch nur bestimmte.
s.o.
>> In der Beschreibung steht nur folgendes: "Die ersten drei Pakete einer neuen Verbindung
OK, das hatte ich nicht so richtig gelesen und hier müsste die Definition "Pakete" einmal von einem Moderator geklärt werden.
Wie gesagt, waren meine Schlussfolgerungen zum Logging nur Vermutungen.
Wenn Du ganz sicher sein willst, ob die Securepoint oder eine andere Netzwerkkomponente Pakete "verschluckt", hast Du ja noch mindestens zwei weitere Ansatzpunkte für Wireshark (jeweils per Hub bzw. Switch Port-Mirroring):
- zwischen "Internet" und Firewall
- zwischen Firewall und "Switch", die zwischen FW/Exchange hängt
Vielleicht kommt ja noch was von den Mod's...
PS: nicht dass das ganze auf den falschen Weg gerät...
>> weil wir Probleme dem Senden mit E-Mails haben
(Also ausgehender SMTP-Traffic)
Wird das SMTP-Relay der Securepoint genutzt (Virenscanner/Spamfilter/Mailrouting,...)
Dann könnte es u.U. sein, dass Du im Log der Securepoint abweichende Log-Einträge zu sehen bekommst...
Achim