Marco31 33 Geschrieben 12. Dezember 2018 Melden Teilen Geschrieben 12. Dezember 2018 Ich habe mal eine Frage an die Spezialisten hier im Forum bezüglich Firewall/Netzwerk. Wir haben hier ein kleines Netzwerk in unserer Gemeindeverwaltung (ca. 30 User, 4 physische Hosts, 12 VM-Server), unsere Internet-Leitung läuft über eine Standleitung zum Proxy unseres Rechenzentrums. Da wird auch eine entsprechende Firewall betrieben, die aber logischerweise außerhalb unseres Zuständigkeitsbereiches läuft. Soweit sind wir bisher damit auch zufrieden und gut gefahren. Ein Problem ist unsere miese Internet-Leitung (2 Mbit) - ich hatte schon mehrfach Fälle, in denen die Leitung zum Internet und/oder Rechenzentrum überlastet war oder es andere Probleme gab. Das bedeutet für mich dann immer, beim Rechenzentrum anrufen und um Klärung bitten, wo das Problem liegen könnte. Da dauert dann schon mal ein paar Stunden oder einen halben Tag... Ich würde aber gerne unser Netzwerk dahingehend überwachen, dass ich zumindest sehen kann ob eine unserer Maschinen z.B. massive Leitungslast verursacht oder das Problem woanders zu suchen ist. Laut Aussage des RZ ist es nicht möglich, uns als Endkunden entsprechende Echtzeit-Daten nach IP Adressen zur Verfügung zu stellen. Mir wurde für diesen Fall empfohlen, ggf eine eigene Firewall zwischen unser Netzwerk und das RZ zu installieren. Die Leitung wird zwar (voraussichtlich) ab nächstem Jahr ein Upgrade erfahren, ich würde aber trotzdem gerne wissen was da so alles drüber läuft... Nicht falsch verstehen, ich will nicht wissen wer wohin surft, ich will nur wissen wo erhöhter Traffic verursacht wird um dann der Sache nachzugehen. Daher mal meine Frage: von welchem finanziellen und administrativem Aufwand ist hier auszugehen? Es muss nicht umsonst sein, Sicherheit kostet Geld. Es sollte aber möglichst einfach zu administrieren sein und sich höchstens im unteren 4-stelligen Bereich bewegen. Bin für alle Meinungen und Hinweise dankbar! Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 12. Dezember 2018 Melden Teilen Geschrieben 12. Dezember 2018 Sophos XG, WatchGuard, pfSense. Such dir was aus. Bei euren Anforderungen tut es echt JEDE Firewall. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 12. Dezember 2018 Melden Teilen Geschrieben 12. Dezember 2018 Wo ist denn die Leitung ins RZ angebunden? Eventuell liefert das Gerät ja schon die notwendigen Daten wenn man es nur fragt. Viele switch z. B. können diese Daten per SNMP ausgeben. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 12. Dezember 2018 Melden Teilen Geschrieben 12. Dezember 2018 Ergänzend als Empfehlung den Black Darf von Securepoint Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 12. Dezember 2018 Melden Teilen Geschrieben 12. Dezember 2018 (bearbeitet) Moin ob da wirklich eine Firewall auf einer extra Hardware benötigt wird? Sowas ja auch ein Router., es könnte schwierig werden den in die bestehende Infrastruktur zwischen Netz und Standleitung einzufügen. Jedenfall ging es mir mal so. Ich habe es dann mit PRTG gemacht, habe auf dem konfigurierbaren Switch den Port zum RZ gespiegelt auf einen Monitorport mit einem Rechner dran mit PRTG drauf. PRTG bietet kostenfrei 100 Sensoren. bearbeitet 12. Dezember 2018 von lefg Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 12. Dezember 2018 Autor Melden Teilen Geschrieben 12. Dezember 2018 Der Router gehört laut RZ der Telekom, ein Zugriff unsererseits ist nicht möglich. So zumindest die Aussage RZ. Sonst wäre das natürlich evtl ne Lösung gewesen. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 12. Dezember 2018 Melden Teilen Geschrieben 12. Dezember 2018 Dann monitore den switchPort an dem der Router hängt. Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 12. Dezember 2018 Autor Melden Teilen Geschrieben 12. Dezember 2018 vor 3 Stunden schrieb magheinz: Dann monitore den switchPort an dem der Router hängt. Hm. Aber da kann ich doch nur den Traffic insgesamt auslesen? Oder liege ich da falsch? Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 12. Dezember 2018 Melden Teilen Geschrieben 12. Dezember 2018 Auf der Leitung zwischen Router und switch sollte das gleiche Anliegen wie zwischen Router und Rechenzentrum. Ausser der router macht NAT, verschlüsselt o.ä. Schau dir den Traffic doch einfach einmal an. Z.b. Mit Wireshark. Im übrigen: Personalrat? Das ganze ist geeignet Mitarbeiter zu überwachen. Ohne Zustimmung würde ich da die Finger von lassen. Sicherlich lassen sich die User den IPs der Rechner zuordnen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 12. Dezember 2018 Melden Teilen Geschrieben 12. Dezember 2018 vor 3 Stunden schrieb Marco31: Hm. Aber da kann ich doch nur den Traffic insgesamt auslesen? Oder liege ich da falsch? Du hast meinen Beitrag betreffend PRTG nicht gelesen? Oder habe ich das unverständlich geschildert? Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 12. Dezember 2018 Melden Teilen Geschrieben 12. Dezember 2018 PRTG löst sein Problem in keinster Weise. Er wilö Verkehr pro IP. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 12. Dezember 2018 Melden Teilen Geschrieben 12. Dezember 2018 (bearbeitet) Ist den überhaupt ein managebarer, SNMP-fähiger Switch vorhanden? Falls ja würde ich die Daten in einem Elk-Stack sammeln und visualisieren. Eigentlich will er ja nicht den Traffic pro IP sehen, sondern statistische Ausreißer finden. bearbeitet 12. Dezember 2018 von magheinz Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 13. Dezember 2018 Autor Melden Teilen Geschrieben 13. Dezember 2018 Ja, es sind managebare Switches vorhanden (HP ProCurve 2824 und HP 1910V). Aber ich muss gestehen dass ich noch wie was von einem ELK-Stack gehört habe... Ich will primär sehen, welche IP welchen Traffic verursacht. Um dann im Fall der Fälle dem Problem an dem Rechner auf den Grund gehen zu können. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 13. Dezember 2018 Melden Teilen Geschrieben 13. Dezember 2018 vor 37 Minuten schrieb Marco31: ...ich noch wie was von einem ELK-Stack gehört habe.. Moin Ich auch nicht, also habe ich danach googled. Und ichempfehle ich https://www.de.paessler.com/prtg?utm_source=bing&utm_medium=cpc&utm_campaign=DEU_DE_Search-Brand_exact_2&utm_adgroup=paessler-prtg&utm_adnum={creative}&utm_keyword=paessler prtg&utm_device=c&utm_position={adposition}&utm_campaignid=284076208&utm_adgroupid=1258940895081791&utm_targetid=kwd-78683869025129:loc-72&utm_customerid=&utm_location=1408&msclkid=28650000c65b1a209f865c12c8ac8dac&utm_term=paessler prtg&utm_content=paessler-prtg Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 13. Dezember 2018 Melden Teilen Geschrieben 13. Dezember 2018 HP kennt Elk, oder jetzt den Elasticstak. Auch andere Anbieter haben da templates für wie z. B. Cisco, netapp etc. https://www.hpe.com/us/en/insights/articles/back-to-basics-what-sysadmins-must-know-about-logging-and-monitoring-1805.html Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.