Lancom Syslog

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
KD.Gundermann
Beiträge: 22
Registriert: 29 Mai 2012, 14:36

Lancom Syslog

Beitrag von KD.Gundermann »

Wir setzen in unserer Firma eine zentrale Logging Platform ein (Graylog + Elasticsearch)

Wir haben die Lancom Router so konfiguriert, das die Firewall (Router) Meldungen auch an diesen Server geschickt wird.

Leider wird im Syslog nur mitgeschickt "port filter" oder "connection refused" aber NICHT welche Firewall Regel das auslöst.
Im LanMonitor oder im Lancom Trace wird aber schön angezeigt z.B. "DENY_ALL"

Gibt es eine Möglichkeit das zu konfigurieren? Ansonsten @Lancom: könnt ihr die Firewall Regel bitte auch im Syslog mitsenden?

Vielen Dank

Klaus
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Lancom Syslog

Beitrag von backslash »

Hi KD.Gundermann

damit die Firewallregel im Syslog ausgegeben wird, muß du zum Einen in (Reject-) Aktion der jeweilgen Regel das Häkchen bei "Syslog Nachricht senden" setzen und zum anderen im Syslog für die Kathegorie "Router" sowohl "Alarm" als auch "Information" aktivieren. "Alarm" gibt das Paket und "port filter" aus, "Information" gibt Regel, Limit und Akltion aus.

"connection refused" kommt wenn das Paket ans LANCOM gerichet war, es aber keinen Listener dafür gab - d.h. dazu gibt es keine weiteren Informationen.

Gruß
Backslash
KD.Gundermann
Beiträge: 22
Registriert: 29 Mai 2012, 14:36

Re: Lancom Syslog

Beitrag von KD.Gundermann »

Hi Backslash,

die Daten kommen ja im GrayLog an:

21:44:05.585961 IP (tos 0x0, ttl 64, id 36342, offset 0, flags [none], proto UDP (17), length 145)
router4.intern.xxxxx.de.syslog > docker2.intern.xxxxxxx.de.syslog: SYSLOG, length: 117
Facility local3 (19), Severity alert (1)
Msg: PACKET_ALERT: Dst: 192.168.15.22:389 {winads1}, Src: 192.168.55.33:58801 {printserver} (TCP): port filter

aber enthalten leider keine Information darüber welche Regel hier getriggert hat.

Wenn ich dann noch den Level "Debug" aktiviere bekomme ich zwar eine Nachricht, wo die Firewall Regel drinsteht:
21:44:05.383356 IP (tos 0x0, ttl 64, id 36242, offset 0, flags [none], proto UDP (17), length 73)
router4.intern.xxxx.de.syslog > docker2.intern.xxxx.de.syslog: SYSLOG, length: 45
Facility local3 (19), Severity info (6)
Msg: PACKET_INFO: matched filter: DENY_LOCAL

aber hier weiss ich nicht auf welches Src-Dst Paket das zutreffen soll....

Schön wäre es doch, wenn nur eine Nachricht kommt, z.B.:
Msg: PACKET_ALERT: Dst: 192.168.15.22:389 {winads1}, Src: 192.168.55.33:58801 {printserver} (TCP): port filter: DENY_LOCAL
KD.Gundermann
Beiträge: 22
Registriert: 29 Mai 2012, 14:36

Re: Lancom Syslog

Beitrag von KD.Gundermann »

backslash hat geschrieben: 21 Jan 2021, 18:44 "connection refused" kommt wenn das Paket ans LANCOM gerichet war, es aber keinen Listener dafür gab - d.h. dazu gibt es keine weiteren Informationen.
Die Firewall meldet jedes Broadcast-Paket als "connection refused"
- ist das sinnvoll? Es ist ja IRGENDEIN Gerät im Netzwerk angesprochen und nicht zwingenderweise der Router
- kann man das durch eine Firewallregel abschalten ?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Lancom Syslog

Beitrag von backslash »

Hi KD.Gundermann
aber hier weiss ich nicht auf welches Src-Dst Paket das zutreffen soll....
die beiden Meldungen kommen direkt nacheinander - erst die ALERT-Meldung, dann die INFO-Meldung...
Die Firewall meldet jedes Broadcast-Paket als "connection refused"
- ist das sinnvoll? Es ist ja IRGENDEIN Gerät im Netzwerk angesprochen und nicht zwingenderweise der Router
gute frage... ggf. sollte man das bei Broadcasts wirklich unterdrücken
- kann man das durch eine Firewallregel abschalten ?
leider nein...

Gruß
Backslash
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Lancom Syslog

Beitrag von Jirka »

Hallo,

aber man kann es ab der 10.40 dann doch ausfiltern, wenn man es nicht mehr sehen will. (Also auf Syslog-Ebene meine ich.)
Ich weiß ja nicht, was hier das Problem ist, aber wenn man es nur nicht sehen will, dann wäre das doch eine Möglichkeit, oder?
Ich habe das noch nicht gemacht, aber freue mich schon darauf, davon mal Gebrauch zu machen...
Ist allerdings auch so ein Ding, wo man denn auch mal ein wenig Zeit investieren muss, wenn es richtig hübsch werden soll.

Viele Grüße,
Jirka
KD.Gundermann
Beiträge: 22
Registriert: 29 Mai 2012, 14:36

Re: Lancom Syslog

Beitrag von KD.Gundermann »

backslash hat geschrieben: 22 Jan 2021, 11:34
aber hier weiss ich nicht auf welches Src-Dst Paket das zutreffen soll....
die beiden Meldungen kommen direkt nacheinander - erst die ALERT-Meldung, dann die INFO-Meldung...
Leider nicht, es senden 5 Router, 18 AccessPoints, zwei Dutzend Switche und was sonst noch kreucht und fleucht im Netzwerk
ihre Meldungen zum zentralen Log-Server. Und da Syslog das UDP Protokoll nutzt, kann es sein, das die Nachrichten
hintereinander ankommen oder halt auch nicht.
Zudem hilft mir das nicht viel weiter, da GrayLog jede Nachricht einzeln behandelt und in ElasticSearch speichert.
backslash hat geschrieben: 22 Jan 2021, 11:34
Die Firewall meldet jedes Broadcast-Paket als "connection refused"
- ist das sinnvoll? Es ist ja IRGENDEIN Gerät im Netzwerk angesprochen und nicht zwingenderweise der Router
gute frage... ggf. sollte man das bei Broadcasts wirklich unterdrücken
- kann man das durch eine Firewallregel abschalten ?
leider nein...
Schade, unterdrücken kann ich die Nachrichten (wahrscheinlich) nicht, da diese zum Datev Lizenzmanager gehören.

Wie kann man den am besten Vorschläge/Wünsche bei der Lancom Entwicklungsabteilung einreichen?
(Oder lesen Sie schon mit?)

Viele Grüße
Klaus
Benutzeravatar
edvPlanet
Beiträge: 20
Registriert: 12 Jan 2021, 11:23

Re: Lancom Syslog

Beitrag von edvPlanet »

backslash hat geschrieben: 22 Jan 2021, 11:34 Hi KD.Gundermann
aber hier weiss ich nicht auf welches Src-Dst Paket das zutreffen soll....
die beiden Meldungen kommen direkt nacheinander - erst die ALERT-Meldung, dann die INFO-Meldung...
Die Firewall meldet jedes Broadcast-Paket als "connection refused"
- ist das sinnvoll? Es ist ja IRGENDEIN Gerät im Netzwerk angesprochen und nicht zwingenderweise der Router
gute frage... ggf. sollte man das bei Broadcasts wirklich unterdrücken
- kann man das durch eine Firewallregel abschalten ?
leider nein...

Gruß
Backslash
und bitte gleich an die zuständige Truppe für die UTM Firewall (z.B. UF-260) weiterleiten.
Dort ist es wohl genauso.

Oder sitzen die Kollegen in anderen Gebäuden (Städten, Länder, Planeten,...)?


Viele Grüße
Thomas
Lancom: 1906VA-4G , WLC4006+, L-1302acn, L-452agn, 1781EF+, UF-260
Provider: DeutschlandLAN IP Voice/Data S Premium,
Unitymedia/Vodafone Red Business I & P 500 Cable
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Lancom Syslog

Beitrag von backslash »

Hi edvPlanet,

ab der nächsten Firmware (>= 10.42.0371) werden die Broadcasts ignoriert...
Oder sitzen die Kollegen in anderen Gebäuden (Städten, Länder, Planeten,...)?
schon... das sind die R&S Leute - ich hab ihnen aber mal eine Mail gechickt...

Gruß
Backslash
Antworten