Logi połączeń Temat rozwiązany

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
cesarks
wannabe
wannabe
Posty: 95
Rejestracja: 02 sie 2007, 14:51

Logi połączeń

#1

#1 Post autor: cesarks »

Witam,

Ostatnio w syslogu (ASA5510) zaczęło mi się pojawiać bardzo dożo wpisów typu:

Kod: Zaznacz cały

2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/52984 to Outside:x.x.x.x/52984 duration 0:01:00
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/55809 to Outside:x.x.x.x/55809 duration 0:00:30
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58773 to Outside:x.x.x.x/58773
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58776 to Outside:x.x.x.x/58776
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/55879 to Outside:x.x.x.x/55879 duration 0:00:30
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58781 to Outside:x.x.x.x/58781
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/52995 to Outside:x.x.x.x/52995 duration 0:01:00
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58788 to Outside:x.x.x.x/58788
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/53016 to Outside:x.x.x.x/53016 duration 0:01:00
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58797 to Outside:x.x.x.x/58797
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/55003 to Outside:x.x.x.x/55003 duration 0:00:39
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58811 to Outside:x.x.x.x/58811
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58823 to Outside:x.x.x.x/58823
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58839 to Outside:x.x.x.x/58839
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58840 to Outside:x.x.x.x/58840
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/52985 to Outside:x.x.x.x/52985 duration 0:01:00
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/53042 to Outside:x.x.x.x/53042 duration 0:01:00
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58849 to Outside:x.x.x.x/58849
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58853 to Outside:x.x.x.x/58853
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58857 to Outside:x.x.x.x/58857
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/53053 to Outside:x.x.x.x/53053 duration 0:01:00
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:01: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/53072 to Outside:x.x.x.x/53072 duration 0:01:00
Z jakiegoś powodu host 10.10.10.125 wykonuje bardzo dużo połączeń z sieci wewnętrznej do internetu podany przykład z okresu 1 sek.
W syslogu brak innych informacji na temat do jakiego adresu/strony są te połączenia.
Jak można sprawdzić gdzie faktycznie się dobija host 10.10.10.125 ?

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: Logi połączeń

#2

#2 Post autor: frontier »

A sprawdzales te adresy z jakimi sie host laczy? A jeszcze mozesz zlapac ruch i obejrzec w wiresharku.
Jeden konfig wart więcej niż tysiąc słów

cesarks
wannabe
wannabe
Posty: 95
Rejestracja: 02 sie 2007, 14:51

Re: Logi połączeń

#3

#3 Post autor: cesarks »

No właśnie problem w tym że w syslogu jest tylko że host 10.10.10.125 łączy się z x.x.x.x - jest to adres mojego interfejsu Outside na ASA. Na chwilę obecną nie mam możliwości podpięcia się wiresharkiem.

martino76
CCIE
CCIE
Posty: 883
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

Re: Logi połączeń

#4

#4 Post autor: martino76 »

cesarks pisze:No właśnie problem w tym że w syslogu jest tylko że host 10.10.10.125 łączy się z x.x.x.x - jest to adres mojego interfejsu Outside na ASA. Na chwilę obecną nie mam możliwości podpięcia się wiresharkiem.
Nie musisz sie podpinac wireshark, mozesz sobie zrobic to z CLI zerknij na https://www.cisco.com/c/en/us/support/d ... sa-00.html

Pozdro,

cesarks
wannabe
wannabe
Posty: 95
Rejestracja: 02 sie 2007, 14:51

Re: Logi połączeń

#5

#5 Post autor: cesarks »

Okazuje się że połączenia idą do rożnych adresów ale zawsze na port 445 (jakiś wirus ?), na razie wyłączyłem hosta z sieci.
Dzięki za pomoc, nie znałem tej funkcji na ASA.

ODPOWIEDZ