Resolução de problemas de portas bloqueadas / descartadas nos firewalls Sonicwall

1

Falta de habilitar captura / monitoramento de pacotes em regras / políticas específicas, existe uma maneira mais fácil de ver ou configurar um Sonicwall para mostrar portas / serviços bloqueados (em tempo real ou como um relatório)?

Eu acho que a captura de pacotes é um exagero. Eu não quero ver o conteúdo dos pacotes, eu não quero ver pacotes aceitos / encaminhados, eu só quero ver alguns eventos "Dropped" com os detalhes src-ip, dst-ip, dst-proto e dst-port. / p>

Eu pesquisei on-line por isso, passei pelos itens de menu do dispositivo, verifiquei o Sonicwall Analyzer, nada. Existem logs e status de conexões bem-sucedidas, ataques detectados e bloqueados, etc., mas não apenas um relatório simples mostrando portas bloqueadas.

Eu costumava trabalhar com firewalls da Juniper, e os sabores ScreenOS e JunOS permitiam ativar o registro em uma política (por exemplo, a política de bloqueio global) e usar uma interface da Web ou uma linha de comando para verificar o que está bloqueado. / p>     

por Alex 02.09.2014 / 04:26

1 resposta

1

De acordo com o Manual de referência de eventos de registro da SonicWALL, o UTM registra somente até 32k e, em seguida, lave os logs.

Log Persistence

SonicOS currently allocates 32K to a rolling log buffer. When the log becomes full, it can be emailed to a defined recipient and flushed, or it can simply be flushed. Emailing provides a simple version of logging persistence, while GMS provides a more reliable and scalable method. By offering the administrator the option to deliver logs as either plain-text or HTML, the administrator has an easy method to review and replay events logged.

Portanto, se você não quiser reunir dados suficientes para solucionar problemas de portas bloqueadas / descartadas, precisará configurar um GMS / Analyzer (que exibe muitas informações em um console gráfico) ou seu daemon syslog favorito em um servidor.

O procedimento para ativar um servidor syslog é o mesmo que adicionar um dispositivo GMS / Analyzer: link

Atualização:

Para obter esse nível de detalhe com o SonicWALL, você definitivamente precisará implantar um servidor Syslog. Se você não quiser ver mais nada além dos relatórios de pacotes descartados / bloqueados, lembre-se de acessar a opção Registro > Categorias e desmarque todos os campos, exceto Acesso à Rede.

Para ter uma ideia de que tipo de informação você pode encontrar em seu servidor syslog, dê uma olhada neste filtro:

    
por 04.09.2014 / 01:31