Firewall-Logs: gewusst wie! (14:00 Uhr, Referat B) Firewall-Logs gezielt aufzeichnen und auswerten Hugo Bosshard IT Manager
Agenda Aussagen von IT-Verantwortlichen zu Firewall-Logs Erfahrungen aus dem Kurswesen Wichtige Grundlagen Methoden / Hilfsmittel Nützliche Zusatzdaten vom Hersteller Praxisbeispiele Fazit
Aussagen von IT-Verantwortlichen zu FW-Logs Fragestellung - Wie bearbeiten Sie das Thema «FW-Logs» in Ihrer Unternehmung?
Aussagen von IT-Verantwortlichen zu FW-Logs Aussagen - FW-Logs haben wir auch! - Dieser Bereich wurde ausgelagert, d. h. ich muss dort nachfragen, was mit den FW-Logs genau gemacht wird! - Mit den FW-Logs beschäftige ich mich nur, wenn ich muss! - Wir raportieren gegenüber der GL monatlich und haben die gewünschten Reports automatisiert! - Wir wissen, dass wir die FW-Logs gelegentlich auswerten sollten, uns fehlt aber die Zeit! - Unsere FW kann «Syslog»-Daten generieren, wir müssen das aber noch einrichten. - Die Informationen innerhalb des «Syslog» sind sehr umfangreich und enorm zeitaufwendig in der Beurteilung.
Erfahrungen aus dem Kurswesen USG-Kurse (die am besten belegten Kurse) - Die Kursteilnehmer sind am Anfang eines Kurses weniger an diesem Thema interessiert. - Bei Nutzenerkennung werden die Log-Informationen bei der Problemlösung sehr geschätzt. - Kursteilnehmer wünschen sich mehr Transparenz bei den Log-Einträgen.
Grundlagen (1)
Grundlagen (2)
Wichtige Grundlagen (3) Log-Files sind selbst für erfahrene IT-Spezialisten nicht einfach auszuwerten! Zu den noch verständlichsten Log-Files gehören «Traffic-Allowed»- Logs, kurz «TAL» genannt. Die «TALs» dokumentieren alle Aktivitäten im Netzwerk und zwar sowohl erlaubte als auch verbotene. «Traffic-Allowed-Logs» sind die umfangreichsten und am häufigsten übersehenen Log-Files!
Wichtige Grundlagen (4) Folgende grundlegende Anforderungen bezüglich IT-Sicherheit können «TALs» erfüllen: 1) Bestätigung böswilliger Aktivitäten, 2) Ermitteln von Richtlinienverletzungen, Missbrauch oder Umgehung von internen Kontrolleinrichtungen, 3) Erkennen von Denial-of-Service-Angriffen (DoS) oder einer ungewöhnlichen Anzahl von Verbindungen, 4) Identifizieren von verdächtigen Verbindungszielen, 5) Erstellen von Trendberichten zu Netzaktivitäten sowie 6) Optimieren von Regeln für verbesserte Netzwerkleistung.
Wichtige Grundlagen (5) Vertiefung «Erfassen von (DoS) Angriffen»: Eine steigende oder unerwartet hohe Anzahl von «akzeptierten Verbindungen» kann die Folge einer bösartigen Aktivität sein. Auch dies lässt sich in «TALs» feststellen. Wenn in diesen Fällen der Traffic nicht von der Firewall blockiert wird, sollte der Angriff ernst genommen werden!
Wichtige Grundlagen (6) Vertiefung «Optimierung von FW-Regeln zu Verbesserung der Netzwerkleistung»: Die Optimierung von Firewall-Richtlinien ist entscheidend für eine leistungsfähige Paket-Filterung. «TALs» enthalten die ID der Filter-Regeln, die dem Traffic entsprechen. Dies kann im Gegenzug dazu genutzt werden, die Regeln zu klassifizieren und so die Netzleistung zu optimieren.
Wichtige Grundlagen (7) Praxisbeispiel «Default-Regel» in der USG-Serie:
«Fiebermesser»-Methode Anwendung «reaktiv» - Bei sofort spürbaren Performance-Problemen! - Kein Zugriff mehr auf WEB!
«Blutdruckmesser»-Methode Anwendung «proaktiv» - Immer zur gleichen Zeit zur Tendenzenerkennung! - z. Bsp. automatisierte Reports!
Hilfsmittel (1)
Hilfsmittel (2)
Nützliche Zusatzdaten vom Hersteller (1) IKE-Logmeldungen
Nützliche Zusatzdaten vom Hersteller (2) AV-Logmeldungen
Praxis 1 «Standardreports generieren» (1.0)
Praxis 1 «Standardreports generieren» (1.1)
Praxis 1 «Standardreports generieren» (1.2)
Praxis 1 «Standardreports generieren» (1.3)
Praxis 1 «Standardreports generieren» (1.4)
Praxis 1 «Standardreports generieren» (1.5)
Praxis 1 «Standardreports generieren» (1.6)
Praxis 1 «Standardreports generieren» (1.7)
Praxis 2 «Infos ab System-Log» (2.0)
Praxis 2 «Infos ab System-Log» (2.1)
Praxis 2 «Infos ab System-Log» (2.2)
Praxis 2 «Infos ab System-Log» (2.3)
Praxis 2 «Infos ab System-Log» (2.4)
Praxis 2 «Infos ab System-Log» (2.5)
Praxis 3 «Syslog und Vantage-Report» (3.01)
Praxis 3 «Syslog und Vantage-Report» (3.02)
Praxis 3 «Syslog und Vantage-Report» (3.03) Vantage-Report - Gratis für die Unterstützung einer USG - Wird benötigt als Zielsystem der USG-Logs vom Typ (VRPT/syslog)
Praxis 3 «Syslog und Vantage-Report» (3.04) OS: W2000,XP,Vista,W7,2003,2008
Praxis 3 «Syslog und Vantage-Report» (3.05) USG 100 NSA320 (2 Bay)
Praxis 3 «Syslog und Vantage-Report» (3.06)
Praxis 3 «Syslog und Vantage-Report» (3.07)
Praxis 3 «Syslog und Vantage-Report» (3.08)
Praxis 3 «Syslog und Vantage-Report» (3.09)
Praxis 3 «Syslog und Vantage-Report» (3.10)
Praxis 3 «Syslog und Vantage-Report» (3.11)
Praxis 3 «Syslog und Vantage-Report» (3.12)
Praxis 3 «Syslog und Vantage-Report» (3.13)
Praxis 3 «Syslog und Vantage-Report» (3.14)
Praxis 3 «Syslog und Vantage-Report» (3.15) Storage server Mail server Checking User A: 1. User account (v) 2. Operating System (x) 3. Anti-Virus (x) 4. Personal Firewall (x) Internet SSL VPN User A Checking User B: 1. User account (v) 2. Operating System (v) 3. Anti-Virus (v) 4. Personal Firewall (v) SSL VPN User B
Praxis 3 «Syslog und Vantage-Report» (3.16)
Praxis 3 «Syslog und Vantage-Report» (3.17) Sie erhalten 135 Standardreports!
Praxis 3 «Syslog und Vantage-Report» (3.18)
Praxis 3 «Syslog und Vantage-Report» (3.19)
Fazit 1) Firewalls haben ein grosses Mitteilungsbedürfnis und teilen uns dies in diversesten Log-Varianten mit. 2) Firewall-Logs sollten nach Möglichkeit «proaktiv» ausgewertet werden. 3) Sofern vorhanden, sollten die Möglichkeiten des automatisierten Reportings genutzt werden. 4) Mit dem Informationsgehalt von Firewall-Logs können auch Optimierungen angegangen werden. 5) Der grosse Umfang der Log-Informationen erfordert den Einsatz von effizienten Auswertungs-Tools. 6) Es ist keine Schande, im Bedarfsfall Experten bei der Analyse beizuziehen. 7) Die etablierten Tasks sollten ausführlich dokumentiert sein.