Getting Started: Paketerfassung
Symptom
Lassen Sie mich das für Sie beheben: Paket erfasst –
A Typische Situation, die ein Administrator trifft Minuten nach Abschluss eines Meisterwerks einer Sicherheit policy ist eine Frage darüber, warum eine obskure Anwendung ist lustig zu handeln, seit das neue Netzwerk thingamajig installiert wurde. Hier setzt Fehlerbehebung.
In den letzten Raten haben wir mehrere Aspekte firewall der Konfiguration und Neueinstellungen ausgecheckt.
Eines der fortgeschritteneren Tools, die einem Administrator zur Verfügung stehen, ist die Möglichkeit, Paketerfassungen durchzuführen und Sitzungszähler zu betrachten.
Hinweis:Einige der in diesem Artikel beschriebenen Details werden Auswirkungen auf die Leistung haben. Wenn Sie sich nicht sicher sind, arbeiten Sie bitte mit Palo Alto Support Personal, um die Pakete während eines Wartungsfensters zu erfassen.
Environment
- Jede PAN-OS .
- Palo Alto Firewall .
Resolution
Der erste Ort ist das Paketerfassungsmenü auf der GUI , in dem Sie Filter verwalten, Aufnahmestufen hinzufügen und Aufnahmen einfach herunterladen können.
Bevor wir loslegen, gibt es ein paar Dinge, die Sie kennen sollten:
- Vier Filter können mit einer Vielzahl von Attributen hinzugefügt werden.
- Paketerfassungen sind sitzungsbasiert, sodass ein einzelner Filter sowohl client2server als auch server2client erfassen kann.
- Pakete werden auf der Dataplane Vs auf der Oberfläche erfasst (Dies erklärt den nächsten Punkt).
- Pre-Parse-Match ist ein Feature, das alle Dateien erfasst werden kann, bevor sie verarbeitet werden, indem die Motoren laufen auf die Dataplane, die helfen können, Probleme zu beheben, wo ein Motor nicht richtig eine eingehende Paket akzeptiert werden kann. Diese Option sollte nur verwendet werden, wenn sie von der Unterstützung angewiesen wird und auf einer niedrigen Lautstärkezeit des Tages, da sie alleserfasst.
- Wenn die Filterung aktiviert ist, neue Sitzungen sind für die Filterung gekennzeichnet und erfasst werden können, aber vorhandene Sitzungen werden nicht gefiltert werden und muss möglicherweise neu gestartet werden, um sie zu fangen zu können.
- Abgeladene Sitzungen können nicht erfasst werden, so dass auslagern kann vorübergehend deaktiviert werden muss. Eine ausgelagerte Sitzung zeigt "layer7-Verarbeitung: abgeschlossen" in den Details der Show-Sitzung an. Beachten Sie, dass dies aufgrund der übereinstimmenden Pakete, die von der verarbeitet werden, zu Leistungseinbußen führen CPU kann. Führen Sie dies während eines Wartungsfensters aus, und nehmen Sie bei Bedarf die Hilfe des Supports in Anspruch.
Es ist eine Menge zu erinnern, aber es wird alles Sinn machen, nachdem Sie Ihre Hand an ein paar Paket-Captures von verschiedenen Protokollen versucht haben, I versprechen!
Lassen Sie uns ein paar Filter hinzufügen:
Die Filter 1 und 3 sind meine eigentlichen Filter: I Möchten Sie Verbindungen von meinem Client unter IP 192.168.0.34 überprüfen, die HTTP Verbindungen an Port 80 bis TCP 198.51.100.97 herstellen, und SSH Verbindungen an Port 22 bis TCP 198.51.100.1
Die Filter 2 und 4 sind meine "Backup"-Filter: die bereits erwähnt wurden, I dass die Paketerfassung sitzungsbewusst ist, aber nur für den Fall, dass etwas mit dem wiederkehrenden Paket upstream passiert, das dazu führt, dass es nicht mit meiner Regel übereinstimmt NAT (vielleicht mangles ein Upstream-Gerät den Quellport oder tut etwas Seltsames an der Sequenznummer), legen Sie in der Regel eine Rückgaberegel fest, I um alle streunenden Pakete abzufangen, die aufgrund ihrer Nichtübereinstimmung verworfen werden.
Hinweis: Stellen Sie sicher, dass der Filter so präzise wie möglich ist. Führen Sie niemals Filter aus, die den gesamten Subnetzen entsprechen, z. B. 192.168.0.0/16 oder 0.0.0.0/0, da dies zu Leistungseinbußen und -aussetzen kann.
Wenn wir nun die Filterschaltfläche auf ON wechseln, werden die Filter auf alle neuen Sitzungen angewendet, die den Kriterien entsprechen:
A Einfache Möglichkeit, zu überprüfen, ob der Filter funktioniert, besteht darin, zu überprüfen, ob globale Leistungsindikatoren steigen, wenn eine neue Sitzung initiiert wird.
Führen Sie im CLI I diesen Befehl aus:
> show counter global filter delta yes packet-filter yes Global counters: Elapsed time since last sampling: 2.647 seconds -------------------------------------------------------------------------------- Total counters shown: 0 --------------------------------------------------------------------------------
Und keine Leistungsindikatoren angezeigt.
- 'delta yes' gibt I an, dass Leistungsindikatoren angezeigt werden sollen, die seit der letzten Ausführung dieses Befehls inkrementiert I wurden.
- 'Paketfilter ja' gibt I an, dass nur globale Leistungsindikatoren angezeigt werden sollen, die mit meinen Filtern übereinstimmen.
Wenn I jetzt aktualisieren Sie meinen Browser und führen Sie den Befehl erneut aus:
> show counter global filter packet-filter yes delta yes Global counters: Elapsed time since last sampling: 2.630 seconds name value rate severity category aspect description -------------------------------------------------------------------------------- pkt_sent 22 8 info packet pktproc Packets transmitted pkt_outstanding 22 8 info packet pktproc Outstanding packet to be transmitted session_allocated 4 1 info session resource Sessions allocated session_installed 4 1 info session resource Sessions installed appid_proc 2 0 info appid pktproc The number of packets processed by Application identification appid_use_dfa_1 2 0 info appid pktproc The number of packets using the second DFA table nat_dynamic_port_xlat 4 1 info nat resource The total number of dynamic_ip_port NAT translate called dfa_sw 8 3 info dfa pktproc The total number of dfa match using software ctd_sml_opcode_set_file_type 1 0 info ctd pktproc sml opcode set file type aho_sw 5 1 info aho pktproc The total usage of software for AHO ctd_pkt_slowpath 4 1 info ctd pktproc Packets processed by slowpath -------------------------------------------------------------------------------- Total counters shown: 11 --------------------------------------------------------------------------------
Sie werden sehen, dass es eine Reihe von Leistungsindikatoren gibt. I"Haben Sie einen Link zu einigen weiteren Informationen über globale Leistungsindikatoren am Ende dieses Artikels hinzugefügt, und wir werden sie in einer zukünftigen Episode mehr abdecken. Denn jetzt, solange gibt es Indikatoren, wir sollten jedoch gut zu gehen.
Als nächstes wirst du die Stufen konfigurieren – es gibt 4:
- Drop-Phase ist, wo Pakete verworfen werden. Die Gründe können variieren, und für diesen Teil können die globalen Leistungsindikatoren helfen, festzustellen, ob der Rückgang auf eine Verweigerung, eine erkannte Bedrohung oder etwas anderes zurückzuführen policy ist.
- Empfangsstufe erfasst die Pakete, wenn sie in das Modul eindringen, firewall bevor sie in das Modul firewall gelangen. Wenn NAT konfiguriert, werden diese Pakete vor- NAT .
- Übertragungsstufe erfasst Pakete, wie sie aus dem firewall Motor herausgehen. Wenn NAT konfiguriert, werden diese post- NAT .
- firewall Stage erfasst Pakete in der firewall Bühne.
Sie können für jede Lebenslage vergeben Sie einen Namen für die Ausgabedatei und legen eine maximale Paket oder Byte-Anzahl:
Wenn alle gewünschten Phasen festgelegt sind, können Sie die Aufnahmeschaltfläche auf ON , oder Sie können die CLI verwenden, löschen Sie die vorhandenen Sitzungen, die den angegebenen Filtern entsprechen. Dadurch wird sichergestellt, dass seit der Aktivierung der Filter keine Sitzung aktiv war. Verwenden Sie dann den Befehl Capture on, um die Erfassung wie unten dargestellt zu starten.
> show session all => Note down the session number matching the configured filters. > clear session id <id#> => This is to clear any existing session that matches the filters configured. Example: > show session all -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 27240 web-browsing ACTIVE FLOW NS 192.168.0.34[61003]/trust/6 (198.51.100.230[31047]) vsys1 198.51.100.97[80]/ISP1 (198.51.100.97[80]) ....(output omitted).... > clear session id 27240 session 27240 cleared > debug dataplane packet-diag set capture on Packet capture is enabled
Sie können jetzt die Sessions starten, die Sie erfassen möchten. Um zu überprüfen, wenn die Sitzung gestartet hat, verwenden Sie den Befehl Show Session:
> show session all -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 32637 web-browsing ACTIVE FLOW NS 192.168.0.34[61903]/trust/6 (198.51.100.230[31547]) vsys1 198.51.100.97[80]/ISP1 (198.51.100.97[80]) 32635 ssh ACTIVE FLOW NS 192.168.0.34[61901]/trust/6 (198.51.100.230[52812]) vsys1 198.51.100.1[22]/ISP1 (198.51.100.1[22])
Wenn Sie fertig sind, kann die Erfassung deaktiviert werden, indem Sie die Schaltfläche zurück an die Position umschalten OFF oder den Befehl Debug verwenden:
> debug dataplane packet-diag set capture off Packet capture is disabled > debug dataplane packet-diag clear filter-marked-session all Unmark All sessions in packet debugHinweis: Vergessen Sie nicht, die Paketerfassung nach dem Debuggen zu deaktivieren. Andernfalls kann dies die CPU und kann Leistungsprobleme verursachen.
Es stehen nun erfasste Dateien zum Download zur Verfügung, die Sie mit Wireshark analysieren können:
Nachdem Sie die Pcaps herunterladen, müssen Sie möglicherweise verschmelzen das Senden und empfangen von Dateien zusammen:
- Die Empfangsphase hat die private des Clients IP an den Webserver public IP , und das zurücksendende Paket vom Webserver öffentlich IP an den externen firewall IP (Empfangsphase ist vor- NAT ).
- Die Übertragungsphase hat den firewall externen IP (Client NAT ) an den Server public und die IP zurückgebende öffentliche IP an den privaten Client IP .
Da dies ein wenig verwirrend sein kann, wenn Sie versuchen, dem Stream zu TCP folgen, sollten Sie diesen wichtigen Unterschied zwischen diesen beiden Dateien zur Kenntnis nehmen.
Diese beiden Phasen stellen sicher, dass Sie überprüfen können, ob NAT die ordnungsgemäße Anwendung durchgeführt wird. Sie können auch sehen, ob es einen Unterschied zwischen den Paketen gibt, die sowohl aus der Client- als auch aus der Serverperspektive gesendet und empfangen werden.
Das zusammengeführte Ergebnis sollte etwa wie folgt aussehen und ermöglicht es Ihnen, vergleichen Sie Paket-pro-Paket was gesendet wird und was empfangen wird.
A einige nützliche Artikel, die Ihnen helfen, besser zu verstehen, wie Pakete durch das System fließen:
Was ist die Bedeutung des globalen Zähler?
Managementebene
Um Verbindungsprobleme mit der Managementebene zu beheben, kann der eingebaute Tcpdump-Befehl verwendet werden, hilfreichen Informationen:
admin@myNGFW> tcpdump filter "port 53" Press Ctrl-C to stop capturing tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes ^C 16 packets captured 32 packets received by filter 0 packets dropped by kernel The resulting output is stored in a mgmt.pcap file on the management plane: admin@myNGFW> view-pcap mgmt-pcap mgmt.pcap 15:24:07.512889 IP 10.0.0.1.36606 > 10.0.0.98.domain: 49243+ PTR? 0.0.0.10.in-addr.arpa. (41) 15:24:07.513106 IP 10.0.0.98.domain > 10.0.0.1.36606: 49243 NXDomain 0/1/0 (100) 15:24:17.196515 IP 10.0.0.1.45455 > 10.0.0.98.domain: 3126+ PTR? 0.0.0.10.in-addr.arpa. (41) 15:24:17.196762 IP 10.0.0.98.domain > 10.0.0.1.45455: 3126 NXDomain 0/1/0 (100) 15:24:31.126186 IP 10.0.0.1.57230 > 10.0.0.98.domain: 2978+ A? panos.wildfire.paloaltonetworks.com. (53) 15:24:31.126196 IP 10.0.0.1.57230 > 10.0.0.98.domain: 55173+ AAAA? panos.wildfire.paloaltonetworks.com. (53) 15:24:31.161436 IP 10.0.0.98.domain > 10.0.0.1.57230: 2978 4/0/0[|domain] 15:24:31.194586 IP 10.0.0.98.domain > 10.0.0.1.57230: 55173 2/0/0[|domain] 15:25:56.746679 IP 10.0.0.1.46048 > 10.0.0.98.domain: 43532+ A? wildfire.paloaltonetworks.com. (47) 15:25:56.746689 IP 10.0.0.1.46048 > 10.0.0.98.domain: 16653+ AAAA? wildfire.paloaltonetworks.com. (47) 15:25:56.794940 IP 10.0.0.98.domain > 10.0.0.1.46048: 43532 1/0/0 (63) 15:25:56.795553 IP 10.0.0.98.domain > 10.0.0.1.46048: 16653 0/1/0 (131) 15:25:59.038459 IP 10.0.0.1.51804 > 10.0.0.98.domain: 23806+ A? panos.wildfire.paloaltonetworks.com. (53) 15:25:59.038471 IP 10.0.0.1.51804 > 10.0.0.98.domain: 31471+ AAAA? panos.wildfire.paloaltonetworks.com. (53) 15:25:59.071431 IP 10.0.0.98.domain > 10.0.0.1.51804: 23806 4/0/0[|domain] 15:25:59.113552 IP 10.0.0.98.domain > 10.0.0.1.51804: 31471 2/0/0[|domain]
Weitere Informationen finden Sie in diesem Artikel, wie Sie die Paketerfassung (tcpdump) auf der Verwaltungsschnittstelle erhalten.
Additional Information
1. Um die Größe der Paketerfassungsdatei zu steuern, wird eine einzelne Datei auf 200 mb begrenzt und eine zweite Datei wird automatisch erstellt, sobald die Größe überschritten wird, beide Dateien fungieren dann als Ringpuffer, bei dem die primäre pcap-Datei zum Schreiben aktiver Erfassungsdaten und die *.pcap.1-Datei als Puffer verwendet wird. Sobald die primäre pcap ihre Kapazität wieder erreicht hat, wird die Puffer Datei verworfen, die primäre Datei wird in *. pcap. 1 umbenannt und eine neue primäre Datei wird gestartet. Weitere Informationen finden Sie hier: Was ist die Begrenzung der Paketerfassungsdateigröße auf PAN-OS ?
2. Für kleine Aufnahmen könnte es praktisch sein, alles in einer einzigen Datei zu erfassen, so dass es möglich ist, jede Phase Capture auf den gleichen Dateinamen zu haben. Bitte beachten Sie die oben erwähnte Einschränkung in der Größe und die verminderte Sichtbarkeit für jede Stufe. Die empfohlene Methode ist, immer eine individuelle Datei pro Stufe zu haben.
Seit PAN-OS 8.1.0 können Filter für Quell- und Netzwerksubnetze hinzugefügt werden, dies ist nur über dieCLI und NOT WebGU verfügbar:I
admin@firewall> debug dataplane packet-diag set filter match + destination Destination IP address + destination-netmask Destination netmask <<<< new option for network + destination-port Destination port + ingress-interface Ingress traffic interface name + ipv6-only IPv6 packet only + lacp LACP packet + non-ip Non-IP packet + protocol IP protocol value + source Source IP address + source-netmask Source netmask <<<< new option for network + source-port Source port | Pipe through a command <Enter> Finish input
admin@firewall> debug dataplane packet-diag set filter match source 192.168.1.0 source-netmask 24
admin@firewall> debug dataplane packet-diag set filter match destination 192.168.2.0 destination-netmask 24
admin@firewall> debug dataplane packet-diag show setting
DP dp0:
--------------------------------------------------------------------------------
Packet diagnosis setting:
--------------------------------------------------------------------------------
Packet filter
Enabled: no
Match pre-parsed packet: no
Index 1: 192.168.1.0/24[0]->0.0.0.0/0[0], proto 0 <<<<<<<<< network is captured /24
ingress-interface any, egress-interface any, exclude non-IP
Index 2: 0.0.0.0/0[0]->192.168.2.0/24[0], proto 0 <<<<<<<<< network is captured /24
ingress-interface any, egress-interface any, exclude non-IP
-------------------------------------------------------------------------------- Hinweis: Seien Sie vorsichtig, wenn Sie netzwerkweite Erfassungen aktivieren, kann es viele Pakete geben, die zu einem hohen CPU Datenebenenverbrauch und möglichen Auswirkungen auf den Datenverkehr führen.