Zugriffe von RDP und TV im LOG auslesen



  • Hallo,

    welche Möglichkeiten gibt es um Zugriffe über RDP und TeamViewer im LOG auszulesen ?

    Ob und wann es Zugriffe auf die Firewall gab, die über RDP und Teamviewer gekommen sind.

    Danke für eure Antworten.



  • Hallo,

    ausgehende Verbindungen kannst du über die Ports bestimmen. RDP nutzt 3389 als Zielport im Normalfall. Wenn du also eine Firewall Regel erstellt hast, dann logge den Verkehr und überprüfe auf diesen Zielport.

    Für eingehende Verbindungen gilt das gleiche, wobei man da sagen muss, dass du dann an deiner WAN Schnittstelle diesen Port freigegeben haben musst, was man normalerweise nicht macht.

    Teamviewer ist deutlich schwerer. Teamviewer hat - soweit ich weiss - auch einen speziellen Port, kommuniziert aber auch problemfrei über Port 443 - genauso wie https.

    Ich würde dir empfehlen, sämtliche Ports zu sperren, eingehend sowieso und ausgehend nur die, die du wirklich brauchst.
    Anschließend würde ich ausgehend die Ports 443 und 80 über einen Proxy filtern. So kann man evtl. mitbekommen, wenn eine Verbindung zu Teamviewer aufgebaut wird.

    Ich weiss nicht, ob man snort dafür vergewaltigen kann, solche Dinge zu erkennen. Ob es diesbezüglich Signaturen gibt.


  • LAYER 8 Moderator

    Teamviewer funktioniert ja über einen MITM Proxy, der die Verbindung aushandelt. Wenn man abgehende Verbindungen zu diesem Host (oder dem IP Range) loggt, sollte das ggf. auch einen Indikator bringen. Ansonsten kann man auch auf dem WAN einkommendes RDP loggen. Einfach eine zusätzliche Regel mit Block oder Reject mit aktiviertem Logging Häkchen anlegen. Da die Default Regel eine "Block IN on $IF" ist und ganz am Ende des Regelsatzes kommt, rutscht diese Regel als "Block IN QUICK on " vornedran und gilt damit vor dem Rest. Somit kann man dann auch das Logging für die Default Regel ausmachen und nur das Logging für die gewollten Blockregeln anlassen.

    Grüße



  • Hallo,

    ich wollte von der Firewall die Logs durchsehen. Leider fehlen mir Logeinträge aus Mai 2013. Hat jemand Erfahrung wie lange die Firewall die Logs speichert? Bleiben die Logs auch nach einem Neustart der Firewall erhalten oder sind die dann weg? Gibt es die Möglichkeit, dass man die kompletten Logs in eine TXT-Datei exportiert. Vielen Dank für die Informationen.
    Gruß



  • @illuminaten:

    Hallo,

    ich wollte von der Firewall die Logs durchsehen. Leider fehlen mir Logeinträge aus Mai 2013. Hat jemand Erfahrung wie lange die Firewall die Logs speichert? Bleiben die Logs auch nach einem Neustart der Firewall erhalten oder sind die dann weg? Gibt es die Möglichkeit, dass man die kompletten Logs in eine TXT-Datei exportiert. Vielen Dank für die Informationen.
    Gruß

    Auf der pfsense werden maximal die letzten 2000 Logeinträge gespeichert - je nach Einstellung den in Settings. Du hast lediglich die Möglichkeit, die Logeinträge an einen externen Syslog-Server zu senden um diese dort für längere Zeit zu speichern.

    Ein Neustart löscht glaube ich alle Einträge.



  • @Nachtfalke:

    @illuminaten:

    Hallo,

    ich wollte von der Firewall die Logs durchsehen. Leider fehlen mir Logeinträge aus Mai 2013. Hat jemand Erfahrung wie lange die Firewall die Logs speichert? Bleiben die Logs auch nach einem Neustart der Firewall erhalten oder sind die dann weg? Gibt es die Möglichkeit, dass man die kompletten Logs in eine TXT-Datei exportiert. Vielen Dank für die Informationen.
    Gruß

    Auf der pfsense werden maximal die letzten 2000 Logeinträge gespeichert - je nach Einstellung den in Settings. Du hast lediglich die Möglichkeit, die Logeinträge an einen externen Syslog-Server zu senden um diese dort für längere Zeit zu speichern.

    Ein Neustart löscht glaube ich alle Einträge.

    Also ich glaube, dass er dir Einträge überhaupt nicht löscht. Jedenfalls sind es definitiv mehr als 2000. Die 2000 ist nur die max. Anzeige auf der Weboberfläche. Wenn du allerdings nach Einträgen suchst, werden dir auf jeden Fall Einträge angezeigt, die älter sind als 2000 ;) Und da irgendein Experte mal hier auf irgendeiner Firewall die Logs für irgendeine Regel aktiviert hat und dannach die Festplatte fast vollgelaufen ist, denke ich, dass die Einträge solange bleiben, bis man sie löscht.
    Und nein, ein Neustart löscht die Logs nicht ;)



  • @MgT:
    Ich bin mir fast sicher, dass das nicht passiert - zumindest nicht wenn keine Fehlfunktion vorliegt.

    Man könnte aber sicherlich in /var/logs nachschauen, was man dort an Logdateien findet.


  • LAYER 8 Moderator

    @MgT Bei einer HD Installation ist es durchaus möglich, dass die pflogs gespeichert werden. Aber Nachtfalke hat recht, was embedded Systeme angeht, die werden meist nicht gespeichert sondern sind flüchtig.



  • @JeGr:

    @MgT Bei einer HD Installation ist es durchaus möglich, dass die pflogs gespeichert werden. Aber Nachtfalke hat recht, was embedded Systeme angeht, die werden meist nicht gespeichert sondern sind flüchtig.

    stimmt, sorry, daran habe ich gar nicht gedacht.


Log in to reply