orm@doc-tcpip.org

Erstellt: Mai 2003 - Letzte Modifikation: August 2003

[ Main | Local ]


Zusammenfassung des Logging der AIX Firewall

Wer hat noch eine?

Die Firewall loggt in das Syslog der Firewall Maschine. Das Logging erfolgt in eine dafür konfigurierte Klasse, local4. Der Eintrag ist anhand der ICA-Nummer leicht zu erkennen. Diese Nummern sind Firewall-interne Fehlerbeschriebung, die teilweise durch den Administrator belegt werden können. Man findet die Nummern im Referenz-Guide oder man kann sie per strings Kommando aus der Datei /usr/lib/nls/msg/en_US/fw_log.cat herauslesen.

Die Firewall-Software übermittelt den von ihr generierten Eintrag an das Syslog. Das erfolgt über die normale System-Schnittstelle. Das Syslog fügt Datum und Zeit ein und loggt den Eintrag der konfigurierten Facility entsprechend. Erfolgt das Logging über das Netz zu einem Log-Host, so fügt Syslog auch noch den Namen der Quelle des Eintrages ein.

Ein Eintrag in das Syslog besteht also aus 3 Teilen. Einmal schreibt der Syslog-Deamon der loggenden Maschine ein Datum, einen Zeitstempel und einen Hostnamen vor den Eintrag. Vom Firewall-Logdeamon kommt die Jahreszahl, die PID des Firewall-Logdeamons und die interne Nummer der Fehlermeldung sowie die externe ICA-Nummer. Danach folgt ein String mit Informationen, die von Meldung zu Meldung unterschiedlich ist und nur anhand der Dokumentation entschlüßelt werden kann (Problem Determination Guide).

Aufgrund der eher bescheidenen Dokumentation ist das recht frustrierend, einige Dinge muß man mehr erraten. Praktisch ist auch noch folgendes Feature: Die ICA-Nummern haben einen Code (z.B. sind alle ICA3xxx Messages SOCKS-Messages). Ist aber so auch nicht richtig dokumentiert.

 
Feb 25 10:20:55 speth05 : 2003;15256: 2151;ICA1075i;1;505;506;1;p;o;10.10.30.3;217.6.210.30;10.10.30.4;udp;sp:;1645;dp:;1645;r;s;n;0;72;
Datum, Maschine, Jahr ; PID fwlogd, Nummer in fw_log.cat; ICA-Nummer,
Priorität; Filter Typ; Connection ID (tid); Service ID (sid);
Regelnummer im Service; Aktivität (permit/deny); Richtung
(inbound/outbound); phys. Interface; Source IP, Destination IP,
Protokoll; Source Port; #sp; Destination Port; #dp; Routing
(route/local); Art des IF (secure/non-secure); Fragmentierung (yes/no); 
Tunnel ID; Größe des Paket; 

Vom Syslog kommen Datum und Zeit, eventuell der Name der loggenden Firewall.

Der auf der Firewall generierte Eintrag beginnt mit der Jahreszahl.

Die PID des fwlogd.

Die Nummer im File /usr/lib/nls/msg/en_US/fw_log.cat. Das ist die interne Nummer dieser Meldung.

Die ICA-Nummer findet sich im Referenz-Guide. Die ICA-Nummer ist die externe Nummer der Meldung. Ihr sind Buchstaben zur Kennzeichnung der Priorität angehängt (info, emerg, warn ..). Diese Kennzeichnung deckt sich nicht mit der des Syslog, wird also durch Syslog-Einstellungen nicht immer abgefangen.

Der Filter- (oder Connection)-Type (ft). Hier werden Regeln in größere Gruppen geordnet und hierarchisch abgearbeitet. Die folgende Aufstellung zeigt den Filtertyp und seine Stellung. Die Liste wird von oben nach unten abgearbeitet.

 
Filtertypen:
1 Upper Layer
2 IPSEC Dyn. Layer
3 Real Audio
4 Command Line Dyn. Layer
5 Dynamic FTP
6 Lower Layer
0 AIX OS

Die Connection ID (tid). Jeder Verbindung (Connection) wird bei der Aktivierung des Regelwerkes eine Nummer zugeordnet. Man sieht diese Nummern im File /etc/security/fwconns.cfg oder mit dem fwconns-Kommando.

Die Service ID (sid). Jedem Service wird bei der Definition des Service eine Nummer zugeordnet. Man findet diese Nummern im File /etc/security/fwservices.cfg oder mit dem fwfilter-Kommando.

Die Position der Regel innerhalb eines Service (#). Die betroffene Regel steht im referenzierten Service an der angegeben Stelle.

Die für die Regel vorgesehene Maßname (Aktion). Das ist entweder Zulassen (permit) oder Blocken (deny) des Paketes.

Die Richtung des Paketes (inbound/outbound). Das bezieht sich jeweils auf das Interface, also inbound ist immer in die Firewall hinein, während outbound aus der Firewall heraus ist - unabhängig davon, ob es sich um die Sichere oder Unsichere Seite handelt.

Das phys. Interface, auf das diese Regel bezogen ist.

Die Quell IP (Source IP) des Paketes.

Die Ziel IP (Destination IP) des Paketes.

Das Protokoll des Paketes.

Kennzeichen für den Quell-Port.

Nummer des Quell-Ports.

Kennzeichen für den Ziel-Port.

Nummer des Ziel-Ports.

Art des Routing (route/local).

Die Art des Adapters/Interfaces, secure oder non-secure.

Fragmentierung erfolgt oder nicht (yes/no).

Die Nummer des der Regel zugeordneten Tunnels.

Größe es Paketes in Byte ohne IP-Header.


[ Main | Local ]

[ Allgemein | UNIX | AIX | TCP-IP | TCP | ROUTING | DNS | NTP | NFS | FreeBSD | Linux | SMTP | Tracing | GPS ]

Copyright 2001-2014 by Orm Hager - Es gilt die GPL
Feedback bitte an: Orm Hager (orm@doc-tcpip.org )