Securepoint Support Forum

Securepoint Security Solutions Support Forum
https://support.securepoint.de/

SOC 1.9.9 Berichte

https://support.securepoint.de/viewtopic.php?t=1524

Seite 1 von 1

SOC 1.9.9 Berichte

Verfasst: Mo 05.09.2011, 11:39
von itAdmin
Hallo,
bei uns tritt folgendes Problem beim Logging auf:
- Die Berichte, die angezeigt werden, gehören nicht zu der IP, unter der dieser Bericht erzeugt wird.

Beispielsweise werden unter der IP der FIRMA_1 die Berichte der FIRMA_2 angezeigt.

Aufgefallen ist mir das, als IP-Adressen geloggt wurden, die es in dem Netz der Appliance gar nicht gibt.

Weiß da jemand was genaueres?

Viele Grüße und hoffentlich bald Hilfe

SOC 1.9.9 Berichte

Verfasst: Mo 05.09.2011, 14:49
von Erik
Die Trennung der einzelnen Appliances erfolgt auf Basis der Quell-IP des UDP-Pakets. Sind also mehrere Geräte über die gleiche Internet-Verbindung mit dem Logserver "verbunden", tauchen all diese Geräte als eine Entität auf.
Das ist ... ehrhm... unglücklich. Vor allem, wenn man bedenkt, dass a) Syslog-Pakete unverschlüsselt übertragen werden und b) alle aufgerufenen Webseiten etc sichtbar sind.

Möglichkeit 2:
Die Firewall vor dem Logserver NATtet Pakete aus dem Internet auf eine interne IP. Das wird oft gemacht, damit die Windows-Firewall nicht konfiguriert werden muss. Oder man hat zwei Default-Routen. Und/oder zwei Netzwerkkarten. (Achtung Rant: Und genauso oft, bekommen die Leute von uns zu hören, dass es gerade beim Logging Probleme gibt :roll: )

SOC 1.9.9 Berichte

Verfasst: Di 06.09.2011, 07:20
von itAdmin
Hallo,
die Appliances haben alle unterschiedliche externe IP-Adressen. Es sind ja auch nicht mehrere Logfiles unter einer Appliance, sondern einfach nur bunt gemischt.

Grüße
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de