Giám sát mà không cần phản chiếu cổng

7

Tổng quan nhanh về vấn đề

Gần đây chúng tôi đã gặp một số vấn đề với việc sử dụng băng thông mà tôi lo ngại có thể là do sử dụng sai (dù cố ý hay không) của internet trong văn phòng. Tôi muốn có thể theo dõi lưu lượng mạng để xem liệu một địa chỉ IP nội bộ nào đó có bị lỗi hay không. Băng thông của chúng tôi nên là quá đủ.

Thiết lập của chúng tôi

Chúng tôi có Bộ chuyển mạch 3Com Superstack 3 được kết nối với tường lửa Cisco PIX 501, sau đó kết nối với bộ định tuyến do ISP cung cấp.

Những gì tôi đã thử

Có vẻ như cả công tắc hoặc tường lửa đều không có tính năng Port Mirroring, vì vậy tôi không thể theo dõi được dấu vết vĩnh viễn. PIX cung cấp một dấu vết tạm thời vào bộ nhớ riêng của nó, tuy nhiên tôi không quá tự tin khi sử dụng nó.

Tôi cũng đã thử cài đặt Wireshark trên máy chủ DNS (Windows 2000) của chúng tôi, nhưng dữ liệu gói ở đây không giúp được gì.

Bước tiếp theo

Bất kỳ đề xuất nào từ các bạn về cách theo dõi lưu lượng sẽ là tuyệt vời. Tuy nhiên, chúng tôi chưa sẵn sàng thay thế phần cứng hiện có. Tôi đã xem xét chi phí của Network Tap, nơi tôi có thể đặt giữa công tắc và tường lửa (hoặc tường lửa và bộ định tuyến) và thiết lập một máy để giám sát các gói ở đó. Tôi chưa bao giờ thực hiện phương pháp này trước đây, vì vậy tự hỏi liệu nó có thực sự khả thi hay không.

cisco  monitoring  wireshark  packet-analysis  pix 
aaroncatlin
nguồn
Không quen thuộc với công tắc đó, bạn có thể vô hiệu hóa việc học MAC trên nó không?
ytti
nếu bạn đã (your_lan)---[your_switch]--[internet_router]thay đổi nó (your_lan)---[your_switch]--[a_hub]--[internet_router]và cắm PC giám sát (hoặc liên kết phụ của máy chủ giám sát) vào [a_hub]! Sau đó, bạn có thể thấy mọi lưu lượng đến / từ bộ định tuyến. Tất nhiên, điều quan trọng là đây là một trung tâm chứ không phải là bộ chuyển mạch hoặc bộ định tuyến ^^ Nếu không, bạn sẽ có nhiều lưu lượng truy cập bị ẩn vì bạn không phải là nguồn / đích trực tiếp.
Olivier Dulac
Các trung tâm đã không được xây dựng trong nhiều thập kỷ, vậy anh ta phải tìm một nơi nào? ("Chiếc hộp trên kệ trong văn phòng của tôi"?) Ngoài ra, các trung tâm có va chạm, điều này có thể làm cho vấn đề của anh ấy thậm chí còn tồi tệ hơn.
Ricky Beam
Bạn có nghĩ rằng PIX 501 quá chậm không? (Tôi phải thừa nhận rằng tôi chưa bao giờ điểm chuẩn.)
Ricky Beam
PIX nói chung là tốt. Bây giờ tôi có sự nghi ngờ về việc người dùng nào đang gây ra sự cố, nhưng tôi cần bằng chứng, điều mà tôi có thể có được mà không cần bất kỳ gói tin nào.
aaroncatlin

Câu trả lời:

9

Hai lựa chọn có thể ... một vòi chụp gói (khá khả thi) hoặc chụp gói trên ASA.

Nếu bạn không quan tâm đến việc mua một vòi và chèn nó vào dòng, bạn không nên sợ chụp trên Cisco PIX của mình. Để nắm bắt lưu lượng trên PIX, trước tiên hãy xác định ACL ... giả sử bạn đang cố gắng nắm bắt lưu lượng truy cập từ một máy chủ bên trong tường lửa vào ngày 10.10.10.1.

access-list CAPACL permit ip host 10.10.10.1 any
access-list CAPACL permit ip any host 10.10.10.1

Bây giờ hãy bắt đầu nắm bắt lưu lượng phù hợp với ACL bằng cách sử dụng bộ đệm đủ lớn để tìm xem liệu máy chủ này có phải là vấn đề chính đáng không ...

capture inside_capture interface INSIDE buffer <some buffer size> access-list CAPACL packet-length 1500

Bạn có thể tùy chọn tải xuống bản chụp bằng tftp ...

copy /pcap capture:inside_capture tftp:

Tài liệu này của Cisco có nhiều thông tin tốt về việc nắm bắt lưu lượng trên PIX / Cisco ASA ... DOC 17345 Nắm bắt lưu lượng truy cập PIX

Mike Pennington
nguồn
1
Tôi sẽ nói "netflow", nhưng pix501 không thể làm điều đó. (nâng cấp lên ASA chạy 8.2.1+ và luồng mạng sẽ khả dụng)
Ricky Beam
1

Bạn có thể dễ dàng tạo ra ethernet tap của riêng bạn. Nó có thể sẽ không hoạt động trên giao diện gigabit, nhưng sẽ hoạt động trên 10 hoặc 100mbit. Tôi đã từng làm một cái trước đây khi tôi không muốn chờ đợi một chiếc có sẵn.

http://hackaday.com/2008/09/14/passive-networking-tap/ có một chút viết về họ. Về cơ bản tất cả những gì bạn cần là một jack cắm 4 cat5 và một chút cáp.

Hai trong số các giắc cắm nằm giữa kết nối hiện có giữa công tắc và tường lửa hoặc tường lửa và bộ định tuyến ISP.

Hai giắc cắm mỗi cái có một hướng tín hiệu được kết nối. Bạn cắm một cái vào máy tính xách tay của bạn (hoặc cả hai, nếu bạn có một hệ thống có 2 NIC). Các chân truyền của card mạng của bạn hoàn toàn không được kết nối, vì vậy máy tính xách tay không thể vô tình truyền bất kỳ dữ liệu nào.

Nắm bắt chỉ một hướng có lẽ là đủ để cho biết việc sử dụng quá mức đến từ đâu.

Tôi sẽ kiểm tra nhấn vào một số kết nối ít quan trọng hơn trước khi rút kết nối internet của văn phòng. Một khi bạn biết nó hoạt động, bạn có thể treo nó lên và để wireshark chạy trên máy tính xách tay miễn là bạn cần tìm ra vấn đề.

Ban cho
nguồn
1
Tôi muốn bỏ phiếu này vì những kiểu hack dây vi phạm đặc biệt này là một tai nạn đang chờ xảy ra. Trong một nhúm, nó sẽ hoạt động, nhưng đó là phương sách cuối cùng khi có một khẩu súng chĩa vào đầu bạn. [ngoài ra, tôi có các trung tâm, công tắc được quản lý và quyền truy cập vào vòi gig gig e]
Ricky Beam
@rickybeam Tôi đồng ý nếu bạn có (hoặc có $ cho) một công tắc được quản lý phù hợp hoặc vòi có được chúng. Nhưng điều này đã cứu tôi trước đây và ngay cả khi nó không phải là lựa chọn tốt nhất thì nó vẫn là một lựa chọn khi những cái tốt hơn không có sẵn.
Cấp
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.