Netwerktrafiek monitoren tussen vlan's - Netwerken

vrijdag 11 februari 2011 16:08

Acties:

Verwijderd

Topicstarter

Hoi,

Even kort samenvatten: Wij hebben op ons bedrijf 3 netwerken (vlan 1, 2 en 3), met elk zijn ip-range.

Vlan1: 172.20.80.0 / 20 => Default gw: 172.20.80.1
Vlan2: 172.20.96.0 / 20 => Default gw: 172.20.96.1
Vlan3: 172.20.112.0 / 20 => Default gw: 172.20.112.1

Deze netwerken worden gerouteerd door een Fortigate firewall (Fortigate 310B), waarbij (momenteel) alle trafiek nog toegelaten wordt.

Wat ik nu wil monotoren is welke type trafiek er van de ene vlan naar de andere gaat.
Voorbeeld: 172.20.83.21 => 172.20.98.12 (port 22)

Hoe kan ik dit het beste monitoren? Kan dit op de firewall zelf, of zijn hier applicaties voor?

vrijdag 11 februari 2011 19:02

Acties:

FatalError

Als ik zo even google lijkt het erop dat dat ding via sflow of netflow verkeersgegevens kan exporteren.. Ik zou daar eens naar kijken als ik jou was.

If it ain't broken, tweak it! | gasloos sinds oktober 2025, hoekwoning 1978 | 10kWp PV, Panasonic K serie 7kW, Atlantic Explorer V5 270L | Tesla Model Y

zaterdag 12 februari 2011 10:17

Acties:

Predator

Suffers from split brain

Wat wil je eigenlijk zien ?
Als je gewoon wilt zien wat voor communicatie er is om je rulebase mee op te starten zet dan gewoon een:

code:

1	allow any any log

Normaal heb je wel wat performance hit van die massa-logging maar volgens de specs is dat wel een redelijke Fw-doos

Check de loggings ...
Daarna rustig specifieke allow rules beginnen inbouwen tot je er vertrouwen in hebt dat je catch-all allow log rules enkel nog bad traffic matched.
Dan dichtzetten en geen verlof nemen de dag erna

PS:
• Hoeveel hosts zitten er in elke VLAN ? /20 is wel groot vind ik ...
• Wat zit er in elke VLAN ?

* Predator loves FW logging !!! Log everything if you can !

[ Voor 27% gewijzigd door Predator op 12-02-2011 10:20 ]

Everybody lies | BFD rocks ! | PC-specs

zaterdag 12 februari 2011 10:50

Acties:

Kabouterplop01

chown -R me base:all

Dan wil je wel een servertje hebben waar je die die log naartoe stuurt:9
zowiezo lijkt het me als je met flow gaat pielen of met syslog (of beide

) en SNMP dat je een extra servertje nodig hebt.

zaterdag 12 februari 2011 11:14

Acties:

CyBeR

💩

Log ook vooral alleen SYNs. Anders krijg je voor een file transfer van een paar MB al duizenden log entries.

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 13 februari 2011 08:41

Acties:

PcDealer

HP ftw \o/

Wil je ad-hoc loggen of voor langere periode? Mijn firewall kent beide opties. Jullie firewall heeft een hdd, als ik het goed zie. Uiteraard kun je per e-mail of bestand uitvoeren.

LinkedIn WoT Cash Converter

zondag 13 februari 2011 19:59

Acties:

gangisdewereld

Je kunt dit zijn door op de firewall in te loggen met ssh en het volgende commando in te voeren:

diag sniffer packet "naam van source interface" "host 172.20.83.21 and 172.20.98.12" [enter]

maandag 14 februari 2011 14:52

Acties:

Verwijderd

Topicstarter

Het is me gelukt om een logging op te zetten.

Wat mij niet bekend was, is dat de logging ook moest aangezet worden op een policy. Voor mij in dit geval de policy "allow any any all". Predator had het dus bij het rechte eind

Nu zie ik alle trafiek tussen de opgezette VLAN's. Net wat ik zocht.

De firewalls zelf beschikken niet over een HDD, maar ik heb er een Fortianalyzer 100C bijgeplaatst om de logfiles te stockeren. En dit werkt naar behoren. De logfile zelf is al snel 100MB van 1h trafiek te monitoren.
In elke VLAN zitten een 200 tal PC's, laptops, servers, ... maar ook PLC's.

Doelstelling is om dit een paar maanden te laten lopen, en dan te gaan filteren op port / protocol om de netwerken ten opzichte van elkaar dicht te schroeven, zonder dat er problemen ontstaan doordat plotseling bepaalde services niet meer werken. Daarom eerst de monitoring.

Bovendien ga ik nu veel te weten komen welk type trafiek er gegenereerd wordt op deze netwerken, en kan ik bekijken en bespreken of deze trafiek wel nodig is.

De fortianalyser staat op dit moment hier naast mij, en heeft al behoorlijk warm

maandag 14 februari 2011 16:47

Acties:

Predator

Suffers from split brain

Wat zie je in de logs allemaal ?
Zoals CyBeR zegt hoef je eigenlijk alleen de connectiestart te zien.

Ik log zelf alles (connecties) en heb +/- 100MB logs per 2 uur tijdens de piekuren.
Maar er zitten wel 2000 clients achter met constant dik 10K actieve sessies.
Nu ja, dat is eigenlijk geen vergelijking van het is niet hetzelfde product, en de logfiles syntax kan sterk verschillen.

Als je echt te veel logfiles hebt om werkbaar te zijn (of als je performantie een probleem wordt), dan kan je al beginnen met voor de meest gebruikte apps (DNS / HTTP / AD traffic enz ...) specifieke rules te maken die gewoon allow doen, maar zonder de log optie.
Dan zal al een groot verschil in log grootte uitmaken.

Everybody lies | BFD rocks ! | PC-specs

dinsdag 15 februari 2011 11:26

Acties:

DutchITMaster

Pay peanuts, get monkeys.

The Dude is ook een mooi programma wat als je het goed instelt veel informatie kan bieden

Netwerk Engineer

dinsdag 15 februari 2011 13:52

Acties:

Verwijderd

Topicstarter

Een voorbeeld van een regel in de logfile is het volgende:

code:

device_id=FG300B3909600362 log_id=2 subtype=allowed type=traffic timestamp=1297774226 pri=notice itime=1297774248 vd=root dir_disp=org tran_disp=noop src=172.20.122.57 srcname=172.20.122.57 src_port=4350 dst=172.20.85.12 dstname=172.20.85.12 dst_port=6000 tran_ip=0.0.0.0 tran_port=0 service=6000/tcp proto=6 app_type=N/A duration=0 rule=1 policyid=1 identidx=0 sent=48 rcvd=40 shaper_drop_sent=0 shaper_drop_rcvd=0 perip_drop=0 sent_pkt=1 rcvd_pkt=1 src_int="UPLINK - VLAN 4" dst_int="UPLINK - VLAN 5" SN=87358517 app=N/A app_cat=N/A carrier_ep=N/A vpn=N/A status=accept user=N/A group=N/A shaper_sent_name=N/A shaper_rcvd_name=N/A perip_name=N/A