Вопрос или проблема
Я попытался интегрировать SonicWall с инструментом Rapid7 SIEM. Мы настроили Windows Server, на котором развернут Rapid7 collector.
Мы настроили сервер syslog в межсетевом экране. Логи все еще не поступают. Входящие/исходящие правила созданы на сервере.
На межсетевом экране мы создали политику правила доступа Lan to Lan, указывая в качестве пункта назначения IP-адрес сервера и службу UDP.
Кроме того, я пытался сделать захват пакетов на FW, указав в фильтре мониторинга пункт назначения – IP-адрес сервера, порт 514.
Я видел, что пакеты отбрасываются, код сброса – 17.
Когда я указываю только номер порта вместо IP-адреса, я не вижу захваченных пакетов!
Есть ли способ устранить эту проблему? Увидеть, почему трафик межсетевого экрана недоступен для сервера syslog? Любые другие предложения были бы полезны.
Ответ или решение
Теория: Syslog — это стандартный протокол для передачи сообщений журнала в сети, обычно используемый для централизованного сбора и управления логами на различных устройствах, включая сетевые межсетевые экраны, такие как SonicWall. Однако иногда конфигурационные ошибки или политики безопасности могут блокировать передачу таких данных.
Пример: Ваша ситуация включает в себя настройку SonicWall для интеграции с SIEM (Security Information and Event Management) инструментом Rapid7, установленным на Windows Server. Вы уже настроили на SonicWall сервер syslog и создали политики доступа на самом сервере и межсетевом экране, включая правила LAN-to-LAN и мониторинг трафика по UDP-порту 514 — стандартному порту для syslog.
Применение: Для устранения проблемы, вам следует:
-
Проверить конфигурацию межсетевого экрана:
- Убедитесь, что в SonicWall указаны корректные IP-адреса как источника, так и пункта назначения.
- Проверьте, что правило LAN-to-LAN корректно настроено и что в нем явно разрешен трафик на порт 514.
- Убедитесь, что нет конфликтующих правил, которые могли бы перехватывать этот трафик.
-
Проанализировать сообщение об ошибке Drop Code-17:
- Используйте документацию SonicWall. Этот код может указывать на определенное правило или политику, настроенные в межсетевом экране, которые вызывают блокировку.
-
Проверить конфигурации на Windows Server:
- Убедитесь, что брандмауэр Windows не блокирует входящий трафик на порт 514 или исходящий на порт, настроенный для syslog.
- Проверьте логи сервера, чтобы увидеть, поступают ли какие-либо сообщения об ошибках.
-
Исследовать сетевую инфраструктуру:
- Убедитесь, что по пути от межсетевого экрана до коллектора Rapid7 нет других устройств, блокирующих трафик.
- Проведение трейсрута может помочь выявить ошибки на уровне сети.
-
Использовать возможности мониторинга SonicWall:
- Продолжите использовать функции мониторинга межсетевого экрана для регистрации попыток передачи пакетов и выявления, какие правила применяются к этим попыткам.
Дополнительные методы включают использование сторонних инструментов для дополнительной диагностики сетевого трафика и исследования журнала событий. Каждый шаг поможет вам еще более точно определить место блокировки и устранить его.