Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Traffic logging und Analyse

    Scheduled Pinned Locked Moved Deutsch
    3 Posts 2 Posters 102 Views 3 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G Offline
      gtrdriver
      last edited by

      Hallo zusammen.

      Ich habe eine pfsense in einem rzals Router und Firewall für verschiedene virtuelle Test Maschinen laufen

      Vom noc des rz Providers habe ich nun die Info erhalten dass deren Monitor Tools kurzzeitig einen netscannvon meiner IP Adresse detektiert haben was als Angriffszenario wahrgenommen wird.

      Da es sich hier nur um eine Test Umgebung handelt war die kurzfristige Maßnahme relativ einfach Mal alles dicht machen ....

      Dennoch wäre in einer produktiv Umgebung natürlich wichtig herauszufinden von welcher internen VM und IP das ausgegangen ist.

      Kann mir jemand sagen mit welchem Tool oder Paket ich hier eine Art logging realisieren kann um solche Szenarien im Nachhinein besser zu klären?

      Grüße
      Gtr

      W 1 Reply Last reply Reply Quote 0
      • W Offline
        Woodsomeister @gtrdriver
        last edited by Woodsomeister

        @gtrdriver

        Moin,

        wenn du eine deiner VM's im Verdacht hast, dann aktiviere doch einfach mal Logging auf den Firewall Regeln für ausgehenden Verkehr.

        68698c5b-0973-484b-8bfd-e5f32d6bc6ce-image.png

        Danach kannst du über Status > System Logs > Firewall die Nachrichten durchsuchen. Ein Portscan sollte sehr viele TCP:S aka SYN Anfragen von einer einzelnen VM IP an eine andere IP ergeben. Das wäre ein Indikator.

        Automatisiert auswerten (und ggf. auch blockieren) kann so etwas sonst auch Suricata. Die Frage ist aber warum du deinen VM's eigentlich nicht vertrauen kannst...

        LG

        G 1 Reply Last reply Reply Quote 0
        • G Offline
          gtrdriver @Woodsomeister
          last edited by

          @Woodsomeister

          Hi

          Vielen Dank für den Tipp...

          Ja das ist eine sehr gute Frage warum ich den VMs nicht trauen kann ...

          Das sind Webserver ein colaboration Server und ein virotualisiertes Synology....

          Ich habe aktuell am ehesten das Synology in Verdacht...

          In den Web Serverogs und den ssh logs ist nix ungewöhnliches zu sehen ...

          Wie gesagt am ehesten das Synology oder einer der Webserver....

          Ich schaue mir das an

          Ich melde .ich wieder

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.