Realtime Firewall Traffic Analyse mit Fireplotter

Heute stelle ich euch Fireplotter vor, ein Tool das in keiner Firewall Admin Sammlung fehlen darf, kompatible Firewall vorausgesetzt. Fireplotter zeigt nach Protokollen gruppiert in Echtzeit den Traffic an der durch die Firewall läuft und bietet so die Möglichkeit jederzeit zu checken welches Protkoll gerade den meisten Traffic verursacht und welche IP Adresse.

Heute stelle ich euch Fireplotter vor, ein Tool das in keiner Firewall Admin Sammlung fehlen darf, kompatible Firewall vorausgesetzt. Fireplotter zeigt nach Protokollen gruppiert in Echtzeit den Traffic an der durch die Firewall läuft  und bietet so die Möglichkeit jederzeit zu checken welches Protkoll gerade den meisten Traffic verursacht und welche IP Adresse. 

 IP Adressen können automatisch zum entsprechenden DNS Namen aufgelöst werden wenn vorhanden.
Über eine Session Recording Möglichkeit kann ein Mitschnitt für spätere Analyse erzeugt werden.  Zudem wird die genutzte Bandbreite auch noch graphisch angezeigt. Ich finde das Tool ist als erster Anhaltspunkt  wirklich wertvoll.
Man stelle sich folgende klassische Situation vor. Das Surfen im Internet ist kriechend langsam obwohl man doch eigentlich ein paar Mbit/s Bandbreite ins Web zur Verfügung hat. Woran liegt es? Mit Fireplotter verschafft man sich in wenigen Augenblicken einen Überblick und entdeckt z.B. einen großen Mailtraffic per SMTP oder einen großen Download aus dem Internet eines anderen Nutzers. Da die wenigsten wahrscheinlich auf der Internet Leitung QoS fahren kann so ein einzelner Nutzer schnell alle anderen ausbremsen.  QoS kann hier zwar Ansätze bieten indem eine Priorisierung auf Protokollebene gefahren wird. Innerhalb eines Protokolls wird es dann allerdings schon schwer. Wie will man unterscheiden zwischen einem HTTP Download und einem HTTP Seitenaufruf?  Fireplotter löst dieses Problem zwar nicht aber ich kann die IP Adresse identifizieren die in meinem LAN für den Traffic verantwortlich ist und so herausfinden ob es eine „legale Nutzung“ ist oder ungewöhnlich hoher Traffic unter Umständen auch auf einen Angriff oder ein SPAM Problem hindeutet. Sicherlich hat das Tool noch Verbesserungspotential – mir fehlt ein Langzeitmonitoring – ich würde gerne über einen längeren Zeitraum rückblickend nach bestimmten IP Adressen suchen können – hierzu fehlt dem Tool aber noch eine Datenbankanbindung und entsprechende Suchmasken. Aber vielleicht kommt das ja noch in einer zukünftigen Version.  Auf jeden Fall ist eine Analyse damit wesentlich einfacher als mit dem Syslog Output aus dem Realtime Log Viewer zu arbeiten. Fireplotter gibt es in einer freien und einer Bezahl-Version. Die freie Version ist aber stark eingeschränkt – so ist z.B. kein Drilldown in ein Protokoll hinein möglich um den Traffic nach IP Adresse analysieren zu können.
Fireplotter funktioniert derzeit mit den folgenden Firewalls:

– Cisco PIX/ASA (v6.x, v7.23 und höher sowie 8.x)
– Fortinet Fortigate (v2.8,v3.x,v4.x)

Mehr Informationen findet Ihr direkt bei Fireplotter

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.