Open Source im professionellen Einsatz
Linux-Magazin 12/2004

Analysetools für Firewall-Logfiles

Nur fürs Protokoll

Netfilter-Firewalls erzeugen sehr detaillierte Protokolle, die kaum jemand manuell auswerten will. Logfile- Analysetools wie IPtables Log Analyzer, Wallfire WFlogs und FWlogwatch helfen dem Admin dabei, den Überblick zu behalten und die relevanten Meldungen auszufiltern.

428

Für den sicheren Betrieb einer Firewall muss der Administrator im Bilde sein: Er sollte darum möglichst viele Vorgänge protokollieren lassen. Das darf aber nicht dazu führen, dass er in der Datenflut versinkt und in den täglich mehrere MByte großen Logfiles die relevanten Einträge übersieht.

Protokollhelfer

Einen Ausweg bieten Protokoll-Analysetools. Aus den vielen Programmen für diese Aufgabe hat das Linux-Magazin drei herausgepickt: IPtables Log Analyzer[1], WFlogs aus dem Wallfire-Projekt[2] und FWlogwatch[3]. Alle werten Logfiles in zahlreichen Formaten aus und präsentieren die Ergebnisse übersichtlich auf HTML-Seiten, WFlogs und FWlogwatch bieten zusätzlich einen Echtzeitmodus an. IPtables Log Analyzer nutzt als einziges der vorgestellten Tools eine Datenbank zum Speichern der Meldungen.

Was dort ein spezieller Feeder erledigt, beherrscht Harald Weltes Ulogd[4] bereits von Haus aus. Er ersetzt das klassische Syslog-System. Doch leider existieren bisher kaum freie Analysewerkzeuge, die auf der Ulog-Datenbank aufsetzen. Die Anwendung Ulogd-php[5] macht hier den Anfang. Im Gegensatz zu allen anderen Protokollsystemen kann Ulogd auch die Pakete, die zur Firewallmeldung geführt haben, in der Datenbank mitprotokollieren.

IPtables Log Analyzer

Der IPtables Log Analyzer präsentiert ein IPtables-Protokoll für Linux 2.4 oder 2.6 in Form einer übersichtlichen HTML-Seite (siehe Abbildung 1). Das Tool besteht aus drei Komponenten. Ein Database Feeder schreibt die Protokolleinträge in eine MySQL-Datenbank. Über ein Webinterface greift der Admin anschließend auf den Inhalt der Datenbank zu. Der Database Feeder, die Datenbank und das Webinterface lassen sich entweder gemeinsam auf demselben Rechner oder auf unterschiedlichen Hosts installieren. Bei letzterer Variante sammelt die Datenbank auf Wunsch die Protokolle mehrere Firewalls.

Abbildung 1: Der IPtables Log Analyzer bietet übersichtlichen Zugriff auf die Firewall-Protokolle.

Hat er sich für eine Architektur entschieden, erzeugt und initialisiert der Administrator in MySQL eine Datenbank namens »iptables« mit Zugriffsrechten für die Benutzer »iptables_admin« und »iptables_user« und legt darin Tabellen an (Listing 1). Damit Netfilter auch ein Protokoll erzeugt, sind passende IPtables-Regeln nötig. Sinnvoll sind zwei benutzerdefinierte Ketten (Listing 2).

Listing 1:
MySQL-Datenbank

01 # mysql -u root -p
02 mysql> create database iptables;
03 mysql> grant create,select,insert on iptables.* to iptables_admin@localhost identified by 'g3h31m';
04 mysql> grant create,select on iptables.* to iptables_user@localhost identified by 'auchgeheim';
05 mysql> quit
06 # cat sql/db.sql | mysql -u iptables_admin -p iptables

Listing 2: IPtables Log
Analyzer

01 iptables -N LOG_DROP
02 iptables -A LOG_DROP -j LOG --log-tcp-options  --log-ip-options --log-prefix '[IPTABLES DROP] : '
03 iptables -A LOG_DROP -j DROP
04 iptables -N LOG_ACCEPT
05 iptables -A LOG_ACCEPT -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES ACCEPT] : '
06 iptables -A LOG_ACCEPT -j ACCEPT

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Waldarbeiter

    Im Wald von zigtausend belanglosen Logfile-Einträgen die wertvollen Hölzer erkennen und einsammeln - das ist die schwere Pflicht des Firewall-Admin. Dazu braucht er passende Werkzeuge, die ihm einen Überblick geben und zudem die Details beschreiben. Dieser Artikel vergleicht zehn Tools.

  • Tux liest

    Firewalls sind ein bewährter Weg, die Sicherheit von Rechnersystemen zu erhöhen. Das Linux-Magazin stellt zwei Bücher vor, die sich dem komplexen Thema auf unterschiedlichen Wegen nähern.

  • Log-Hilfe

    Normalerweise senden IPtables-Firewalls ihre Protokolle an den Syslog-Daemon. Doch bei größeren Datenmengen wird der Dienst zum Engpass für System und Admin. Dann helfen der Log-Daemon Ulogd und das Analysetool Nulog, beide verwenden eine MySQL-Datenbank für die Protokolle.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.