Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Watchguard XTM 505 Gesammten Traffic loggen

Mitglied: Arsimael.Inshan

Arsimael.Inshan (Level 1) - Jetzt verbinden

02.02.2011, aktualisiert 14:36 Uhr, 8604 Aufrufe, 9 Kommentare

Gesammten Traffic über alle TCP/UDP Ports loggen

Hallo,

Ich habe ein kleines Problem.
Zuerst mal die Gegebenheiten:

In unserem Betrieb haben wir eine 20 Mbit sync Leitung, die wir bezahlen aber neben uns noch eine andere Firma mit nutzt. Da unser Traffic in letzter Zeit hochgeschnellt ist (von 40 GB/Monat auf knapp 100 haben wir uns entschlossen mitzuloggen woher der Traffic kommt. Dafür haben wir uns eine Watchguard XTM 505 (v11.3.2) als Testgerät schicken lassen.

Ziel ist es den gesamten Internet-traffic mitzuloggen und erst mal herauszufinden welcher PC/ welche PCs den Traffic verursachen, und vor allem wie viel % davon auf die andere Firma entfällt. Das brauchen wir um dieser Firma eine anteilige Rechnung für den verursachten Traffic zu stellen.

Im Moment läuft die Watchguard in einem Getrennten Netz. die Watchguard hat einen Separaten Anschluss an das Internet, getrennt vom Restlichen Netzwerk. An dem Watchguard-Netzwerk hängt nun ein normaler PC, auf dem die Server (Logserver, Webblocker usw.) installiert ist. Als weiteren Rechner habe ich meinen Laptop angeschlossen und unser Gäste-Wlan (Das später auch über die Watchguard getrennt vom Firmenetz laufen soll.

Soweit so gut. Ich habe die Watchguard konfiguriert (auch mit HTTP-Proxy, Webblocker usw.) und habe eine weitere "Policy" erstellt. diese Policy ist ebenfalls ein Proxy und soll aber nicht nur Port 80, sondern Alle TCP und UDP Ports überwachen. Alles soll ungehindert durchgehen und eben nur geloggt werden welche IP wie viele Daten nach draußen schickt / empfängt.

Das mit dem HTTP klappt schon ganz gut. Ich habe mit meinem Laptop ein paar kleinere HTTP-Downloads gemacht und die werden auch geloggt. Aber alles andere (FTP, sFTP. Radiostream über port 13030 VPN-Datenübertragungen) werden eben nicht mitgerechnet. Ich habe gestern knapp 2GB und heute knapp 500MB an Traffic verursacht über die verschiedensten Ports - nichts. Er loggt mir nur den HTTP Traffic mit.

Mittlerweile habe ich mich durch sie KB von Watchguard gebissen, diverse Konfigurationen ausprobiert und bin immer noch keinen Schritt weiter. Am 16.2 müssen wir das Ding zurückgeben und wenn wir es nicht schaffen das so einzurichten wie wir das wollen, dann geht das Ding eben zurück und wir sehen uns nach einer anderen Lösung um.

Any Ideas?


*Edit 14:36Uhr: Schreibfehler
Mitglied: Neomatic
02.02.2011 um 15:33 Uhr
Hallo,

ruf doch beim Support an und lass dir die Schritte erklären. Die sind wirklich hilfsbereit und gehen das mit dir telefonisch durch.

Gruß

Neomatic
Bitte warten ..
Mitglied: Tommy70
02.02.2011 um 15:46 Uhr
Hallo,

hast du denn bei der Policy das Logging aktiviert. Denn soweit ich weiss werden bei neuen Regeln standardmäßig nur die Deny-Pakete geloggt.
Bitte warten ..
Mitglied: Tommy70
02.02.2011 um 15:53 Uhr
Hallo,

noch was. Solltest du als neue Policy den Standard TCP-UDP-proxy verwendet haben dann wäre diese Info aus der Watchguard Hilfe eventuell die Erklärung dafür.
The TCP-UDP-proxy can pass HTTP, HTTPS, SIP, and FTP traffic to proxy policies that you have already created when this traffic is sent over non-standard ports.
Das könnte heißen, dass du für die anderen Protokolle ebenfalls Regeln erstellen musst.
Habe mich aber noch nie weiter damit beschäftigt, da wir für alle bei uns verwendeten Protokolle Regeln erstellt haben und der Rest gesperrt ist.
Daher wird auch alles geloggt was über die Firewall läuft.
Bitte warten ..
Mitglied: Deepsys
02.02.2011 um 16:06 Uhr
Hi,

wenn ich mich nicht irre, dann loggt die WG nur den Verkehr der durch den Proxy geht.
Alles andere sind nur normale Filter.

Das würde ja auch zu deinen Aussagen passen ....

Da ich selber zwar WG habe, aber kein Traffic-Logging laufen lasse, kann ich dir dazu nicht mehr sagen.

VG
Deepsys
Bitte warten ..
Mitglied: Deepsys
02.02.2011 um 16:12 Uhr
Hi,

Update:
Gerade mal in die Regeln geguckt:

Nur in den Proxies gibt es den Punkt "Enable logging for reports" und der ist laut Hilfe für:

"To create a log message for each transaction, select the Enable logging for reports check box.
You must select this option to get detailed information on FTP traffic. "

In den normalen hast du den Punkt gar nicht, sondern nur den Log für Allowed Pakete; Denied werden immer gelogt.

So, damit das geht bleibt dir nur der "TCP-UDP-Proxy" übrig, den auf Any stellen, das "Enable logging for reports" an, und dann sollte (!!) das gehen.

Ohne Gewähr

VG
Deepsys

Edit 1: Hmm das gleiche hat doch eben schon einer gesagt, mist zu spät t
Bitte warten ..
Mitglied: Arsimael.Inshan
02.02.2011 um 18:45 Uhr
Genau das habe ich ja gemacht. Ich habe jetzt alle Proxy einstellungen gelöscht (Sicherheitskopie der Einstellungen) und einen neuen TCP/UDP Proxy erstellt der alles durchlässt und eben ALLES Loggen soll. bei HTTP usw kann ich ja trozdem die Webfblocker einstellungen usw machen.Aber: Fehlanzeige. Und der ganze Datenverkehr MUSS durch die Watchguard. Einen Anderen weg gibt es einfach nicht.
Bitte warten ..
Mitglied: Deepsys
03.02.2011 um 08:13 Uhr
Guten morgen,

>.Aber: Fehlanzeige. Und der ganze Datenverkehr MUSS durch die Watchguard. Einen Anderen weg
gibt es einfach nicht.

Was meinst du damit, das der ganze Datenverkehr durch die Watchguard muss?
Verstehe ich nicht .....

Klar, muss das alles da durch, wie soll die sonst loggen.

Und vom log bekommst du keine Daten?
Bitte warten ..
Mitglied: Arsimael.Inshan
03.02.2011 um 09:01 Uhr
Das meine Ich so:

Der Internetgateway hat die IP 192.168.1.254. Der geht in die Watchguard auf den "External" Port. Auf Port "Internal 1" Der WG läuft mein Testnetz. Im Testnetz ist die Watchguard als Gateway (192.168.2.241) angegeben. Ergo muss der gesammte verkehr über die Watchguard laufen.

Und scheinbar habe ich es jetzt geschafft das ich jetzt den Traffic geloggt bekomme. Jetzt muss ich nur noch an die auswertung
Bitte warten ..
Mitglied: Deepsys
03.02.2011 um 09:06 Uhr
Ah OK,

Und scheinbar habe ich es jetzt geschafft das ich jetzt den Traffic geloggt bekomme. Jetzt muss ich nur noch an die auswertung

Das schaffst du auch noch, leider kann ich dir da nicht helfen, ich habe den Server gar nicht installiert
Bitte warten ..
Ähnliche Inhalte
Firewall
Config von XTM 26 auf XTM 25
Frage von Huibuh2010Firewall4 Kommentare

Hey Leute, ich wollte gern für den Übergang meine defekte XTM 26 gegen eine XTM 25 austauschen und die ...

Firewall

Firewall mit IPTABLES - wiederkehrenden Traffic annehmen aber nicht loggen

gelöst Frage von NavigatoFirewall3 Kommentare

Hallo, ich suche eine Möglichkeit bestimmten Traffic der an der Firewall ankommt der auf keine ACCEPT Regel trifft zu ...

Router & Routing

Watchguard Router Firewall Model XTM 22 XP3E6 auch ohne Lizenz brauchbar?

gelöst Frage von Amboss77Router & Routing5 Kommentare

Hallo Leute, wir bekommen bei uns in der Firma bald eine Watchguard XTM 5 Serie. Jetzt wollte ich mal ...

Router & Routing

WatchGuard FireWatch XTM2 produziert mehr Traffic als effektiv genutzt wird

Frage von Reini82Router & Routing7 Kommentare

Hallo Leute, ich habe ein WatchGuard XTM2 mit dem unten aufgeführten Aufbau. Die Router und die Watchguard hängen per ...

Neue Wissensbeiträge
Server-Hardware
HP iLO ist gefährdet (iLO 4))
Tipp von AlFalcone vor 50 MinutenServer-Hardware

Gemäss Twitter und Heise gibt es eine Angriffsmöglichkeit auf iLO iLO ist gefährdet Copyright © und alle Rechte liegen ...

CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 9 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

Heiß diskutierte Inhalte
Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung27 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...

Router & Routing
Subnetzmaske vergrößern
gelöst Frage von groovesurferRouter & Routing17 Kommentare

Hallo, hat jemand schonmal getestet was passiert, wenn man die Subnetzmaske bei laufendem Betrieb (wenn user im Netzwerk verbunden ...