Toon posts:

Firewall log analyseren

Pagina: 1
Acties:

woensdag 18 januari 2006 23:29

Acties:

Verwijderd

Topicstarter
Ik ben bezig met het analyseren van een firewall log van een Netscreen firewall

Jun 13 04:20:15 sxn-ns1.hen.nl sxn-ns1: NetScreen device_id=sxn-ns1 system-notification-00257(traffic): start_time="2004-06-13 05:20:14" duration=0 policy_id=138 service=NETBIOS (NS) proto=17 src zone=Untrust dst zone=Trust action=Deny sent=0 rcvd=0 src=80.53.143.26 dst=145.76.91.232 src_port=1026 dst_port=137
Jun 13 04:22:57 sxn-ns1.hen.nl sxn-ns1: NetScreen device_id=sxn-ns1 system-notification-00257(traffic): start_time="2004-06-13 05:22:56" duration=0 policy_id=265 service=tcp/port:445 proto=6 src zone=Untrust dst zone=Trust action=Deny sent=0 rcvd=0 src=219.165.208.172 dst=145.76.48.95 src_port=4402 dst_port=445
Jun 13 04:25:21 sxn-ns1.hen.nl sxn-ns1: NetScreen device_id=sxn-ns1 system-notification-00257(traffic): start_time="2004-06-13 05:25:21" duration=0 policy_id=138 service=NETBIOS (NS) proto=17 src zone=Untrust dst zone=Trust action=Deny sent=0 rcvd=0 src=4.10.132.107 dst=145.76.75.228 src_port=1031 dst_port=137

Ik heb hier 3 voorbeeld regels. Mogelijke aanvallen moet ik eruit filteren. Kan iemand mij vertellen wat policy_id inhoud en waar ik de betekenis kan vinden van bijv policy_id=138 of is dit helemaal niet belangrijk. Alle informatie is welkom.

woensdag 18 januari 2006 23:47

Acties:
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

Ok dan logs lezen voor beginners. Les 1
Verwijderd schreef op woensdag 18 januari 2006 @ 23:29:
Jun 13 04:20:15 sxn-ns1.hen.nl sxn-ns1: NetScreen device_id=sxn-ns1 system-notification-00257(traffic): start_time="2004-06-13 05:20:14" duration=0 policy_id=138 service=NETBIOS (NS) proto=17 src zone=Untrust dst zone=Trust action=Deny sent=0 rcvd=0 src=80.53.143.26 dst=145.76.91.232 src_port=1026 dst_port=137
Op 13 Juni om 04:20:15 op server sxn-ns1.hen.nl ( Oftewel netscreen ) met device_id sxn_ns1 werd er verkeer geconstateerd om 2004-06-13 om 05:20:14 ( oftewel kijk je tijdzones eens na en je tijd in het algemeen, 1 sec verschil kan zeer irri zijn bij logs van 10 verschillende servers , 1 uur en 1 sec is nog vervelender ). Het ging over hetgeen wat in policy 138 beschreven staat ( dus zelf ingesteld / standaard instelling, maar is terug te zoeken in de netscreen ) met als service Netbios ( woehoe, policy 138 gaat over netbios ) en als protocol-id 17 waarbij de verzendende zone ( internet adres ) niet vertrouwd werd waardoor er als actie een deny antwoord gegeven is met een grootte van 0. Het verzendende adres was 80.53.143.26 en het ontvangende adres ( dus waarschijnlijk jouw netscreen ) was 145.76.91.232, de poort waarvan het verstuurd was is 1026( onbelangrijk zie tcp/ip documentatie over netbios ) , de poort waarop het ontvangen was is 137 ( he kijk een netbios port wat mooi dat dat beschreven staat in de policy_id )
Ik heb hier 3 voorbeeld regels. Mogelijke aanvallen moet ik eruit filteren. Kan iemand mij vertellen wat policy_id inhoud en waar ik de betekenis kan vinden van bijv policy_id=138 of is dit helemaal niet belangrijk. Alle informatie is welkom.
Volledige tekstuele uitleg ook goed ( oftewel zoek zelf eens naar de termen en je vind een berg aan info en kijk voor de grap ook eens naar de instellingen van je netscreen )
Reageer