ubuntuusers.de

Moin,

um herauszufinden welche Dienste (ntp, Apt Update, etc.) auf einem Server (auch während des Bootens bereits schon) ins Internet oder ins LAN funken, Daten abrufen, Ports und IPs, URLs, etc. ... möchte ich eine Art Log einsehen, welches das aufführt, also eine Netzwerküberwachung durchführen.

Jetzt weiß ich nicht so recht wo ich da nachforschen/nachlesen soll. Syslog ist ja größtenteils passé, also gehe ich mal von journald aus. Liegt das im Kernel? Iptables ist ja nur ein Frontend. Oder muss ich da irgendwas aktivieren? Wie kann ich danach filtern? journalctl ...?

Oder bin ich damit ganz falsch unterwegs?

Hinweis: Ich meine wirklich alle Verbindungen, nicht nur Ports oder so per nmap einsehen.

Danke!

Du meinst sowas wie Netzwerk-Monitoring?

Das ist auf jeden Fall interessant. Aber dann hätte ich wahrscheinlich netstat genommen. Das zeigt ja aber, wenn ich es richtig verstanden habe, nur den aktuellen Status an, bzw. seit es gestartet wurde.

Worum es mir geht ist halt eine Aufzeichnung de Verbindungsdaten im Sinne von Metadaten, also von wo nach wo auf welchem Port, von welchem Programm, etc. Den Inhalt der Datenpakete brauche ich nicht, nur die Verbindungsdaten.

Zu beachten ist auch, dass ich alle Verbindungsdaten sehen möchte, die gesammelt werden noch während networking startet.

Hintergrund ist, dass ich einen Server darauf beschränken möchte. Er soll nur ins Internet oder LAN mit gewissen Diensten und zu gewissen IPs verbinden dürfen, aber nicht mehr. Ich möchte aber sicherstellen, dass diese Standardfunktionalitäten, und ggf. andere Dienste nicht durch die Firewall abgeklemmt werden.

MultiUser schrieb:

Worum es mir geht ist halt eine Aufzeichnung de Verbindungsdaten im Sinne von Metadaten, also von wo nach wo auf welchem Port, von welchem Programm, etc. Den Inhalt der Datenpakete brauche ich nicht, nur die Verbindungsdaten.

Dann solltest Du Dir mal Wireshark/tcpdump ansehen.

Hintergrund ist, dass ich einen Server darauf beschränken möchte. Er soll nur ins Internet oder LAN mit gewissen Diensten und zu gewissen IPs verbinden dürfen, aber nicht mehr. Ich möchte aber sicherstellen, dass diese Standardfunktionalitäten, und ggf. andere Dienste nicht durch die Firewall abgeklemmt werden.

D.h. Du möchtest bestimmte Protokolle/Dienste/Ports nur zulassen?

Into_the_Pit

Wireshark/tcpdump

So weit, so gut, aber hast du noch einen Tipp für mich wo ich das Mitschneiden aufrufen kann, damit beim Boot, gleich nachdem das Netzwerk startet, das Ding losgeht? Sollte ich das in die Start-Routine von /etc/init.d/networking einfügen?

D.h. Du möchtest bestimmte Protokolle/Dienste/Ports nur zulassen?

Jein. Ich möchte zulassen, dass der Server über Port 80 oder 21 raus darf, aber nur zu bestimmten IPs / URLs. Hauptsächlich die Update-Server von Ubuntu. Und der NTP-Dienst soll sich synchronisieren. Port weiß ich gerade nicht mehr auswendig. Dazu kommt noch, dass SSH über 22 reindarf, aber SSH vom Server nicht rausdarf. Da kenne ich ja aber die IPs und so weiter. Die Beschränkungen werden dann aber mit einem vorgeschalteten Firewall-Server gemacht, so dass ich auf dem eigentlichen Server gar nix in Iptables und so weiter konfigurieren muss, sondern dass dann auf der Firewall vom Firewall-Server mache. Der eigentliche Server soll halt zukünftig genau freigeschaltete -bestimmte- Dienste bereitstellen, aber mehr nicht. Er soll sich aber auch updaten und per SSH administrierbar sein. Sollte mal jemand wider Erwarten doch in den Server einbrechen, dann soll er das restliche LAN nicht kompromittieren können.