utmshop Support-Portal - Sophos Firewall OS

Die Appliance bietet eine umfangreich Protokollfunktion für Datenverkehr, System- und Netzwerkschutz. Detaillierte Protokollinformationen und Berichte liefern historische und aktuelle Analysen der Netzwerkaktivität, die bei der Ermittlung von Sicherheitsproblemen und Verringerung von Netzwerkmissbrauch helfen. Um die Protokolle anzeigen zu können, müssen die entsprechenden Module abonniert werden.

Die Appliance kann viele verschiedene Netzwerkaktivitäten und unterschiedlichen Datenverkehr protokollieren, unter anderem:

• Firewallregel-Protokolle

• Anti-Virus Infektionen und Blockierungen

• Webfilterung, URL- und HTTP-Inhaltsblockierung

• Verhinderung von Angriffen auf Signaturbasis und Anomalien

• Spam-Filter

• Administrator-Protokolle

• Benutzerauthentifizierungsprotokolle

• SSL-VPN-Protokolle

• Protokoll der Web Server Protection

• Advanced Threat Protection-Protokolle

• Heartbeat-Protokolle

Die Appliance kann die Protokolle entweder lokal speichern oder an externe Syslog-Server zu Speicherung und Archivierung senden. Verkehrserkennungsprotokolle können nur lokal gespeichert werden.

Syslog ist ein Protokoll bzw. eine Methode auf Industriestandard zur Erfassung und Weiterleitung von Protokollen von einer Appliance an einen Server, auf dem ein Syslog-Daemon ausgeführt wird, in der Regel über den UDP-Port 514. Die Protokollierung auf einem zentralen Syslog-Server hilft bei der Zusammenführung von Protokollen und Alarmmeldungen.

Ist diese Funktion konfiguriert, sendet die Appliance zusätzlich zum Standard-Ereignisprotokoll ein detailliertes Protokoll an einen externen Syslog-Server. Zur Unterstützung von Syslog ist ein externer Server erforderlich, auf dem ein Syslog-Daemon an einem der UDP-Ports ausgeführt wird. Wenn Sie die Protokollierung auf einem Syslog-Server konfigurieren, müssen Sie die Facility, den Schweregrad und das Protokolldateiformat konfigurieren. Sie können außerdem einen Protokollspeicherort angeben, wenn mehrere Syslog-Server definiert sind.

Die Appliance protokolliert alle Aktivitäten und gibt die jeweilige Verbindungsquelle und IP-Adresse des Ziels (IPv4/IPv6), den IP-Dienst und die Anzahl der übertragenen Bytes an.

Ein Syslog-Dienst nimmt Meldungen an und speichert diese in Dateien oder Ausdrucken. Diese Art der Protokollierung ist optimal, da sie eine zentrale Protokollierungseinrichtung und einen geschützten Langzeitspeicher für Protokolle bietet. Dies ist sowohl bei routinemäßiger Fehlersuche und beim Umgang mit Vorfällen nützlich.

Auf dieser Seite können Sie folgende Einstellungen vornehmen:

• Syslog-Server – Konfigurieren Sie Syslog-Server zur Speicherung und Archivierung von Protokollen.

• Protokolleinstellungen – Konfigurieren Sie, welche Protokolle an den Syslog-Server versendet werden sollen.

Syslog-Server

Im Abschnitt Syslog-Server finden Sie eine Liste aller konfigurierten Syslog-Server. Sie können die Liste nach Servernamen filtern. Auf dieser Seite haben Sie auch die Möglichkeit, Server hinzuzufügen, zu aktualisieren oder zu löschen.

Protokolleinstellungen

Nachdem Sie den Syslog-Server konfiguriert haben, legen Sie fest, welche Protokolle an den Syslog-Server gesendet werden indem Sie unter Syslog das Kontrolllästchen für Protokolle aktivieren. Wenn mehrere Syslog-Server konfiguriert sind, können Sie verschiedene Protokolle an unterschiedliche Server senden.

Um Protokolle speichern zu können, müssen Sie das jeweilige Protokoll aktivieren und einen Speicherort für die Protokollierung angeben. Der Administrator kann zwischen der On-Device- (lokal) oder der Syslog-Protokollierung wählen. Der Administrator kann die Protokollierung außerdem vorübergehend deaktivieren. Im Folgenden finden Sie die verschiedenen Protokolltypen mit Beschreibung:

Firewall

Das Firewallprotokoll nimmt folgende Ereignisse auf:

• Firewallregeln

Das Protokoll zeichnet den gesamten Datenverkehr der Firewall auf.

• Ungültiger Datenverkehr

Das Protokoll zeichnet verworfenen Datenverkehr auf, der nicht den Protokollstandards entspricht, sowie ungültigen fragmentierten Datenverkehr und Datenverkehr, dessen Pakete oder Appliance sich mit keiner Verbindung verbinden kann.

• Lokale ACLs

Der gesamte (zugelassene und verworfene) eingehende Datenverkehr wird protokolliert.

• DoS-Angriff

Das DoS-Angriffsprotokoll protokolliert erkannte und von der Appliance verhinderte Angriffe, d. h. verworfene TCP-, UDP- und ICMP-Pakete.

Um Protokolle zu generieren, gehen Sie zu System > Systemdienste > DoS-& Täuschungsschutz und klicken Sie jeweils auf Flag übernehmen bei SYN Flood, UDP Flood, TCP Flood und ICMP/ICMPv6 Flood.

• Per ICMP umgeleitetes verworfenes Paket

Protokolliert alle verworfenen per ICMP umgeleitete Pakete.

Um das Protokoll zu generieren, gehen Sie zu System > Systemdienste > DoS-& Täuschungsschutz und klicken Sie auf Flag übernehmen bei ICMP/ICMPv6-Paketumleitung deaktivieren.

• Verworfenes quell-geroutetes Paket

Protokolliert alle verworfenen quell-gerouteten Pakete.

Um das Protokoll zu generieren, gehen Sie zu System > Systemdienste > DoS-& Täuschungsschutz und klicken Sie auf Flag übernehmen bei Verworfene quell-geroutete Pakete.

• Verworfener fragmentierter Verkehr

Protokolliert verworfenen fragmentierten Verkehr.

• MAC-Filterung

Protokolliert verworfene Pakete, wenn die Filterung über den Täuschungsschutz aktiviert ist.

• IP-MAC-Paar-Filterung

Protokolliert verworfene Pakete, wenn die Filterung über den Täuschungsschutz aktiviert ist.

• IP-Täuschungsschutz

Protokolliert verworfene Pakete, wenn die Filterung über den Täuschungsschutz aktiviert ist.

• SSL-VPN-Tunnel

Protokolliert SSL-VPN-Datenverkehr.

• Geschützter Anwendungsserver

Protokolliert Datenverkehr von geschützten Anwendungsservern.

• Heartbeat

Protokolliert Heartbeat-Datenverkehr.

• ICMP-Fehlermeldung

Protokolle von ICMP-Fehlermeldungen wie Netzwerk/Host/Port nicht erreichbar, Ziel-Netzwerk/Host unbekannt, etc.

IPS

Protokolliert auf Basis von unbekannten oder verdächtigen Mustern (Anomalie) und Signaturen erkannte und verworfene Angriffe.

Antivirus

Im HTTP, SMTP, FTP, POP3, IMAP4, HTTPS, SMTPS, IMAPS und POPS-Datenverkehr erkannter Virus.

Antispam

SMTP, POP3, IMAP4, SMTPS, POPS, IMAPS-Spam und mögliche Spam-E-Mails.

Inhaltsfilterung

Webfilter und Anwendungsfilterprotokolle

Protokolliert den Namen der Anwendungen/URLs, auf die zugegriffen wurde, sowie deren Kategorien.

So können Sie die Protokolle anzeigen:

• Richtlinien für Web- und Anwendungsfilter sollten in der Firewallregel aufgeführt werden.

• Firewallverkehr protokollieren auf der Seite Firewall sollte aktiviert sein.

Ereignisse

Admin-Ereignisse: Protokolle von Konfigurationen, die über die Admin-Konsole durchgeführt wurden.

Authentifizierungsereignisse: Protokolliert alle Authentifizierungsereignisse.

Systemereignisse: Protokolliert alle Systemereignisse wie Gateway nach oben/unten, Antiviren-Aktualisierungen usw.

Webserver Protection

Webserver Protection-Ereignisse

Webserver Protection-Protokolle sind nicht verfügbar für die Sophos Appliances CR10iNG, CR15i, CR15wi, CR15iNG, CR15wiNG, CR25ia, CR25wi, CR35ia und CR35wi.

Advanced Threat Protection

ATP-Ereignisse: Protokolliert verworfene Pakete und Alarmmeldungen.

WLAN

Access Points & SSID: Protokolle verbundener APs und SSID.

Heartbeat

Endpoint-Status: Protokolliert den Integritätsstatus des Endpoints.

Systemzustand

Nutzung: Protokolliert die CPU-Nutzung, Arbeitsspeichernutzung, Anzahl der Live-Benutzer sowie Informationen zur Schnittstelle und Festplattenpartition.

Sandstorm

Sandstorm-Ereignis: Protokolliert alle Sandstorm-Ereignisse.