R1

!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.1.0.254
!
ip dhcp pool VOICE
network 10.1.0.0 255.255.255.0
domain-name voice.local
option 150 ip 10.1.0.254
default-router 10.1.0.254
!
!
interface Ethernet0/0
ip address 10.1.0.254 255.255.255.0
half-duplex
!
interface Serial1/0
ip address 1.3.3.6 255.255.255.252
serial restart-delay 0
!
dial-peer voice 1 voip
destination-pattern 2..
session target ipv4:1.3.3.5
!
!
!
telephony-service
max-ephones 10
max-dn 10
ip source-address 10.1.0.254 port 2000
auto assign 1 to 10
system message Welkom, Locatie 1
user-locale NL
network-locale NL
time-zone 23
time-format 24
date-format dd-mm-yy
max-conferences 4 gain -6
!
!
ephone-dn 1 dual-line
number 101
label Henk de Vries - 101
description 0123456777
name Henk de Vries
!
!
ephone 1
mac-address 000C.2997.AEEF
type CIPC
button 1:1
!


R2

!
interface Ethernet0/0
ip address 192.168.2.253 255.255.255.0
half-duplex
!
interface Serial1/0
ip address 1.3.3.5 255.255.255.252
serial restart-delay 0
!
dial-peer voice 1 voip
destination-pattern 1..
session target ipv4:1.3.3.6
!
!
!
telephony-service
max-ephones 10
max-dn 10
ip source-address 192.168.2.253 port 2000
auto assign 1 to 10
system message Welkom, Locatie 2
user-locale NL
network-locale NL
time-zone 23
time-format 24
date-format dd-mm-yy
max-conferences 4 gain -6
!
!
ephone-dn 1 dual-line
number 201
label Freerk Terpstra - 201
description 0123456789
name Freerk Tersptra
!
!
ephone 1
mac-address 0021.5CA1.08BF
type CIPC
button 1:1
!


De SNMP configuration
Voordat de gegevens uitlezen kunnen worden dient er eerst een SNMP community ingesteld te worden.

snmp-server community public RO

In dit voorbeeld is er gekozen voor “public” als community, echter is dit voor reallife natuurlijk niet aan te raden aangezien het dan voor “hackers” wel heel gemakkelijk wordt om informatie op te vragen . “RO” staat voor read-only, het is namelijk ook mogelijk om netwerkapparatuur te configureren met behulp van SNMP. Dan dient er gekozen te worden voor RW.

Het uitlezen van de gegevens met behulp van The Dude
Vervolgens voegen we de routers toe in een map in The Dude, tot slot maken we links tussen de verschillende elementen waarbij we aangeven van welke interface van de router we de informatie willen gebruiken. In The Dude is standaard de public SNMP string geconfigureerd dus hoeft er verder niets gedaan worden om de gegevens zichtbaar te maken.

Overzicht van het netwerk in The Dude

Statistieken van de link tussen R5 en R4
De spikes zijn de EIGRP hello packets die om de 5seconden verzonden worden .

Download (Zip, 52 KB)

De standaard firewall in zowel Windows XP, Windows Vista, Windows 7, Windows server 2003 en Windows server 2008 heeft de functionaliteit om al het verkeer te loggen. De output van deze logfile is niet erg gemakkelijk te lezen en je bent er snel het overzicht in kwijt. Om dit wat gemakkelijker te maken heb ik Visual Studio er even erbij gepakt en in VB.net een klein tooltje geschreven. Dit tooltje dient gestart te worden als administrator i.v.m de locatie van het logbestand, namelijk de system32 map.

Afbeelding 1

Inschakelen logging

Start via run wf.msc, klik in het nieuwe venster met de rechtermuisknop op Windows Firewall with Advanced Security on Local Computer en kies voor de optie Properties. Klik vervolgens op het tabblad van het firewall profiel waar logging voor in geschakeld dient te worden. Klik vervolgens op de knop customize in de logging groepbox, zie ook afbeelding 1. Pas de instellingen aan en klik op ok.

Tevens is het loggen van de Windows Firewall ook via policies te doen deze instellingen zijn te vinden onder Computer Configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security.

Het toolje

Het tooltje moet i.v.m de locatie van de logfile als administrator gestart worden. Het programma geeft naast de gegevens uit het logboek ook aan de hand van de uitgaande poort, een indicatie van het type connectie. Hier zitten bij lange na niet alle poorten in, maar het geeft globaal een indicatie. Hieronder worden de filter opties toegelicht.

Day
Kies hier de dag waarvan er gegevens opgehaald moeten worden, afhankelijk van de ingestelde log grote zijn er meestal alleen gegevens sinds de computer aan staat.

IPv6 connecties
Hier kan er gekozen worden wat er met IPv6 connecties gedaan moet worden. De mogelijk keuzes zijn; ja, nee en alleen IPv6 verkeer.

Automatisch refreshen
Het is mogelijk om het tootlje automatisch te laten refreshen, dit wordt hier aangegeven. Deze optie is het meest handig om realtime verkeer te monitoren in combinatie met de “full screen” instelling van max rows.

Max rows
Hier wordt aangegeven hoeveel rows er maximaal zichtbaar zijn, “full screen” is de standaard instelling en zorgt ervoor dat het scherm gevuld word zonder een scrollbalk.

Download (24,5KB)

Windows Firewall Log Analyzer