Блокируется ли syslog на фаерволе SonicWall?

Вопрос или проблема

Я попытался интегрировать SonicWall с инструментом Rapid7 SIEM. Мы настроили Windows Server, на котором развернут Rapid7 collector.

Мы настроили сервер syslog в межсетевом экране. Логи все еще не поступают. Входящие/исходящие правила созданы на сервере.

На межсетевом экране мы создали политику правила доступа Lan to Lan, указывая в качестве пункта назначения IP-адрес сервера и службу UDP.

Кроме того, я пытался сделать захват пакетов на FW, указав в фильтре мониторинга пункт назначения – IP-адрес сервера, порт 514.

Я видел, что пакеты отбрасываются, код сброса – 17.

Когда я указываю только номер порта вместо IP-адреса, я не вижу захваченных пакетов!

Есть ли способ устранить эту проблему? Увидеть, почему трафик межсетевого экрана недоступен для сервера syslog? Любые другие предложения были бы полезны.

Ответ или решение

Теория: Syslog — это стандартный протокол для передачи сообщений журнала в сети, обычно используемый для централизованного сбора и управления логами на различных устройствах, включая сетевые межсетевые экраны, такие как SonicWall. Однако иногда конфигурационные ошибки или политики безопасности могут блокировать передачу таких данных.

Пример: Ваша ситуация включает в себя настройку SonicWall для интеграции с SIEM (Security Information and Event Management) инструментом Rapid7, установленным на Windows Server. Вы уже настроили на SonicWall сервер syslog и создали политики доступа на самом сервере и межсетевом экране, включая правила LAN-to-LAN и мониторинг трафика по UDP-порту 514 — стандартному порту для syslog.

Применение: Для устранения проблемы, вам следует:

  1. Проверить конфигурацию межсетевого экрана:

    • Убедитесь, что в SonicWall указаны корректные IP-адреса как источника, так и пункта назначения.
    • Проверьте, что правило LAN-to-LAN корректно настроено и что в нем явно разрешен трафик на порт 514.
    • Убедитесь, что нет конфликтующих правил, которые могли бы перехватывать этот трафик.
  2. Проанализировать сообщение об ошибке Drop Code-17:

    • Используйте документацию SonicWall. Этот код может указывать на определенное правило или политику, настроенные в межсетевом экране, которые вызывают блокировку.
  3. Проверить конфигурации на Windows Server:

    • Убедитесь, что брандмауэр Windows не блокирует входящий трафик на порт 514 или исходящий на порт, настроенный для syslog.
    • Проверьте логи сервера, чтобы увидеть, поступают ли какие-либо сообщения об ошибках.
  4. Исследовать сетевую инфраструктуру:

    • Убедитесь, что по пути от межсетевого экрана до коллектора Rapid7 нет других устройств, блокирующих трафик.
    • Проведение трейсрута может помочь выявить ошибки на уровне сети.
  5. Использовать возможности мониторинга SonicWall:

    • Продолжите использовать функции мониторинга межсетевого экрана для регистрации попыток передачи пакетов и выявления, какие правила применяются к этим попыткам.

Дополнительные методы включают использование сторонних инструментов для дополнительной диагностики сетевого трафика и исследования журнала событий. Каждый шаг поможет вам еще более точно определить место блокировки и устранить его.

Оцените материал
Добавить комментарий

Капча загружается...