Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Re: Logging: Wireshark oder aehnlich? (Windows)

7 views
Skip to first unread message
Message has been deleted

Burkhard Ott

unread,
Mar 22, 2012, 12:54:43 PM3/22/12
to
On Thu, 22 Mar 2012 16:17:01 +0000, Stefan Ram wrote:

> Es geht um die Überwachung der Funktion einer Firewall.
> Dazu suche ich ein Programm für Windows, das alle erfolgreich
> erstellten TCP-Verbindungen und alle UDP-Übertragungen in eine
> Logdatei in Form einer Textdatei einträgt (Mit IP-Adresse [optional
> plus reverse name lookup] und Ports), z.B.: Zeilenformat:
> date local remote
> 2012-03-22T17:13:05+01:00 123.45.67.8 1323 9.8.76.54 80

Sollte jede firewall via logging optionen ohnehin koennen, aber was wenn
man fragen darf, erhoffst Du dir davon den ohnehin erlaubten Verkehr zu
loggen?

> Wireshark geht etwa in diese Richtung, da man damit wohl alle Pakete
> sehen kann, aber es stört mich noch, daß es WIMRE eine große GUI hat
> und "zu viel" Informationen speichert (nämlich auch die Inhalte der
> Pakete).

Filter unnoetige Information einfach aus bevor Du sie loggst, wenn das
das Programm nicht hergibt zeige sie nicht and oder entferne sie
hinterher.

> Gibt es da noch etwas anderes? Ob GUI oder Kommandozeilenstart ist
> eigentlich egal, hauptsache es schreibt eine Log-Datei ungefähr wie
> oben.

tcpdump, tshark und Konsorten koennen das.

cheers
Message has been deleted

Burkhard Ott

unread,
Mar 22, 2012, 1:17:40 PM3/22/12
to
On Thu, 22 Mar 2012 17:03:37 +0000, Stefan Ram wrote:

> Burkhard Ott <news...@derith.de> writes:
>>Sollte jede firewall via logging optionen ohnehin koennen, aber was wenn
>>man fragen darf, erhoffst Du dir davon den ohnehin erlaubten Verkehr zu
>>loggen?
>
> Es könnte ja sein, daß Verkehr versehentlich erlaubt wurde.

Wie soll das denn gehen, entweder Du erlaubst was oder Du verbietest es,
bei beiden Einstellungen weisst Du doch sicher was Du machen moechtest,
oder?

>>Filter unnoetige Information einfach aus bevor Du sie loggst, wenn das
>>das Programm nicht hergibt zeige sie nicht and oder entferne sie
>>hinterher.
>
> Das Programm soll ohne Zeitbeschränkung ständig im Hintergrund laufen.
> Da ist es mir wichtig, daß dann nicht ständig immer mehr Speicher
> angefordert wird.

Warum nicht das folgende Konstrukt: Logge auf der Firewall was immer Du
willst und sende es an syslog o.ae., syslog schmeisst es in eine DB in
der Du relativ schnell das findest was Du suchst.

cheers
Message has been deleted

Burkhard Ott

unread,
Mar 22, 2012, 1:58:17 PM3/22/12
to
On Thu, 22 Mar 2012 17:36:37 +0000, Stefan Ram wrote:

> Burkhard Ott <news...@derith.de> writes:
>>>Es könnte ja sein, daß Verkehr versehentlich erlaubt wurde.
>>Wie soll das denn gehen, entweder Du erlaubst was oder Du verbietest es,
>>bei beiden Einstellungen weisst Du doch sicher was Du machen moechtest,
>>oder?
>
> Demnach sollte es ja auch nie zu Bugs in Software kommen, weil die
> Programmierer doch sicher wissen, was sie machen möchten.

Musst Du selber wissen, ich kenne die Groesse Deines Netzes nicht aber da
koennen eine paar GB logfiles pro Tag anfallen.

>>Warum nicht das folgende Konstrukt: Logge auf der Firewall was immer Du
>>willst und sende es an syslog o.ae., syslog schmeisst es in eine DB in
>>der Du relativ schnell das findest was Du suchst.
>
> Wenn das Log-Programm von einem anderen Anbieter kommt als die
> Firewall, erlaubt es noch einmal eine (wenigstens teilweise)
> unabhängige Kontrolle.

Well, eigentlich loggst Du nicht sondern Du sniffst. Loggen dient primaer
dem debugging, also ob und wann eine Regel/config greift etc.
Wenn Du also einen Sniffer zum loggen nimmst kannst Du entweder alles
loggen was da ankommt/rausgeht oder auf bestimmte Ports, hosts,
Protokolle filteren. Weiss nicht was das bringen soll, aber muss ich auch
nicht.

cheers

Juergen Ilse

unread,
Mar 22, 2012, 2:55:04 PM3/22/12
to
Hallo,

Burkhard Ott <news...@derith.de> wrote:
> On Thu, 22 Mar 2012 17:36:37 +0000, Stefan Ram wrote:
>> Burkhard Ott <news...@derith.de> writes:
>>>>Es könnte ja sein, daß Verkehr versehentlich erlaubt wurde.
>>>Wie soll das denn gehen, entweder Du erlaubst was oder Du verbietest es,
>>>bei beiden Einstellungen weisst Du doch sicher was Du machen moechtest,
>>>oder?
>> Demnach sollte es ja auch nie zu Bugs in Software kommen, weil die
>> Programmierer doch sicher wissen, was sie machen möchten.
> Musst Du selber wissen, ich kenne die Groesse Deines Netzes nicht aber da
> koennen eine paar GB logfiles pro Tag anfallen.

Je nach Netzdurchsatz kann das auch noch um ein paar 10er-Potenzen
hoeher liegen, und im Nprmalfall wird erfahrungsgemaess nie wieder
jemand in diesen Datenwist hineinsehen, also wuerde ich mich auf
das loggen der Informationen beschraenken, bei denen zumindest
eine reelle Chance besteht, dass die gesannelten Daten noch mal
benoetigt werden. Wenn du bei einer Firewall-Regel unsicher bist,
ob sie "zuviel zulaesst", solltest du die Firewall einfach die
matches dieser Regel mitprotokollieren zu lassen.

Tschuess,
Juergen Ilse (jur...@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Ansgar -59cobalt- Wiechers

unread,
Mar 22, 2012, 3:58:11 PM3/22/12
to
Stefan Ram <r...@zedat.fu-berlin.de> wrote:
> Es geht um die Überwachung der Funktion einer Firewall.
>
> Dazu suche ich ein Programm für Windows, das alle
> erfolgreich erstellten TCP-Verbindungen und alle
> UDP-Übertragungen in eine Logdatei in Form einer Textdatei
> einträgt (Mit IP-Adresse [optional plus reverse name lookup]
> und Ports), z.B.: Zeilenformat:
>
> date local remote
> 2012-03-22T17:13:05+01:00 123.45.67.8 1323 9.8.76.54 80
>
> Wireshark geht etwa in diese Richtung, da man damit wohl
> alle Pakete sehen kann, aber es stört mich noch, daß es
> WIMRE eine große GUI hat und "zu viel" Informationen
> speichert (nämlich auch die Inhalte der Pakete).
>
> Gibt es da noch etwas anderes? Ob GUI oder
> Kommandozeilenstart ist eigentlich egal, hauptsache es
> schreibt eine Log-Datei ungefähr wie oben.

http://support.microsoft.com/kb/837243

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq

Stefan Kanthak

unread,
Mar 22, 2012, 4:11:01 PM3/22/12
to
"Stefan Ram" <r...@zedat.fu-berlin.de> schrieb:

> Es geht um die Überwachung der Funktion einer Firewall.
>
> Dazu suche ich ein Programm für Windows, das alle
> erfolgreich erstellten TCP-Verbindungen und alle
> UDP-Übertragungen in eine Logdatei in Form einer Textdatei
> einträgt

Was missfaellt Dir an der "%SystemRoot%\Firewall.log"?

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)


Bernd Eckenfels

unread,
Mar 23, 2012, 6:44:20 AM3/23/12
to
Stefan Ram <r...@zedat.fu-berlin.de> wrote:
> Dazu suche ich ein Programm für Windows, das alle
> erfolgreich erstellten TCP-Verbindungen und alle
> UDP-Übertragungen in eine Logdatei in Form einer Textdatei
> einträgt (Mit IP-Adresse [optional plus reverse name lookup]
> und Ports), z.B.: Zeilenformat:

Eventuell hilft portmon auf der API ebene weiter. Auf der reinen Netz ebene
wäre es tcpview. Beide von sysinternals.

Gruss
Bernd

Ansgar -59cobalt- Wiechers

unread,
Mar 23, 2012, 9:14:37 AM3/23/12
to
Ich bezweifle, dass Monitoring von seriellen oder parallelen Ports
irgendeinen sinnvollen Beitrag zur Sache leisten würde.

Burkhard Ott

unread,
Mar 23, 2012, 11:54:04 AM3/23/12
to
On Fri, 23 Mar 2012 13:14:37 +0000, Ansgar -59cobalt- Wiechers wrote:

> Bernd Eckenfels <bernd...@eckenfels.net> wrote:
>> Stefan Ram <r...@zedat.fu-berlin.de> wrote:
>>> Dazu suche ich ein Programm für Windows, das alle erfolgreich
>>> erstellten TCP-Verbindungen und alle UDP-Übertragungen in eine
>>> Logdatei in Form einer Textdatei einträgt (Mit IP-Adresse [optional
>>> plus reverse name lookup] und Ports), z.B.: Zeilenformat:
>>
>> Eventuell hilft portmon auf der API ebene weiter. Auf der reinen Netz
>> ebene wäre es tcpview. Beide von sysinternals.
>
> Ich bezweifle, dass Monitoring von seriellen oder parallelen Ports
> irgendeinen sinnvollen Beitrag zur Sache leisten würde.

Ausser er hat Netz Verbindungen ueber RS232 etc. :D.

cheers
Message has been deleted

Bernd Eckenfels

unread,
Mar 24, 2012, 6:37:49 PM3/24/12
to
Ansgar -59cobalt- Wiechers <usene...@planetcobalt.net> wrote:
>> Eventuell hilft portmon auf der API ebene weiter. Auf der reinen Netz
>> ebene wäre es tcpview. Beide von sysinternals.
>
> Ich bezweifle, dass Monitoring von seriellen oder parallelen Ports
> irgendeinen sinnvollen Beitrag zur Sache leisten würde.

Lach ja, tcpview war das tool, ich hatte es nachgeschlagen aber den namen
dann nicht geaendert. Es kann - gegen seinen namen - auch udp und es gibt ne
consoleversion von.

Gruss
bernd

Juergen P. Meier

unread,
Mar 28, 2012, 12:53:55 AM3/28/12
to
Bernd Eckenfels <bernd...@eckenfels.net>:
> Lach ja, tcpview war das tool, ich hatte es nachgeschlagen aber den namen
> dann nicht geaendert. Es kann - gegen seinen namen - auch udp und es gibt ne
> consoleversion von.

tcpview ist kein Monitor - es ist immer nur die Momentaufnahme.
Netstat.exe in Bunt sozusagen.

Eine Protokollierung von Winsock-Calls waere hilfreicher, sofern die
zu beobachtenden Anwendungen auch nur diese API nutzten.
0 new messages