Le premier endroit où aller est le menu Capture de paquets sur GUI le , où vous pouvez gérer les filtres, ajouter des étapes de capture, et facilement télécharger des captures.
Avant que nous commencions, il y a quelques choses que vous devez savoir :
- Quatre filtres peuvent être ajoutés avec une variété d’attributs.
- Les captures de paquets sont basées sur des sessions, de sorte qu’un seul filtre est capable de capturer à la fois client2server et server2client.
- Les paquets sont capturés sur le vs dataplane sur l’interface (ce qui explique la prochaine balle).
- Analyse de la correspondance est une fonctionnalité qui permet de capturer tous les fichiers avant qu’ils soient traités par les moteurs en marche sur le dataplane, qui peut aider à résoudre les problèmes où un moteur peut ne pas être correctement accepter un paquet entrant. Cette option ne doit être utilisée que si elle est instruite par le support et à un faible volume de temps de la journée car elle capturera tout.
- Lorsque le filtrage est activé, nouvelles sessions sont marquées pour le filtrage et peuvent être capturées, mais les sessions existantes ne sont pas filtrées et peuvent être nécessaire de redémarrer pour pouvoir les capturer.
- Déchargés des séances ne peuvent pas être capturés déchargement devrez peut-être être temporairement désactivée. Une session déchargée affichera le traitement de la couche7 : terminé dans les détails de la session d’affichage. Notez que cela peut avoir un impact sur les performances en raison des paquets correspondants manipulés par le CPU . Exécutez ceci pendant une fenêtre de maintenance et prenez l’aide du support si nécessaire.
C’est beaucoup à retenir, mais tout cela aura du sens après avoir essayé votre main à un couple de captures de paquets de divers protocoles, I promesse!
Nous allons ajouter un couple de filtres :
Filtres 1 et 3 sont mes filtres réels: I vous voulez vérifier les connexions de mon client au IP 192.168.0.34 faire HTTP des connexions sur le port 80 TCP à 198.51.100.97 et SSH les connexions sur le port 22 TCP à 198.51.100.1
Les filtres 2 et 4 sont mes filtres de sauvegarde : mentionnés précédemment que la capture de paquets est consciente de la session, mais juste au cas où quelque chose arriverait au paquet de retour en amont qui le I fait ne pas correspondre à ma règle NAT (peut-être qu’un périphérique en amont mutile le port source ou fait quelque chose d’étrange au nombre de séquence), définissez généralement une règle de retour I pour attraper tous les paquets errants qui seraient abandonnés en raison de leur correspondance.
Remarque: Assurez-vous que le filtre est aussi précis que possible. N’exécutez jamais de filtres correspondant à l’ensemble des sous-réseaux tels que 192.168.0.0/16 ou 0.0.0.0/0 car cela peut provoquer un impact sur les performances et une panne.
Si nous passons maintenant le bouton de ON filtrage à , les filtres seront appliqués à toutes les nouvelles sessions qui correspondent aux critères:
A la manière simple de vérifier si le filtre fonctionne est de vérifier si les compteurs mondiaux augmentent si une nouvelle session est lancée.
De la CLI , I exécuter cette commande:
> show counter global filter delta yes packet-filter yes
Global counters:
Elapsed time since last sampling: 2.647 seconds
--------------------------------------------------------------------------------
Total counters shown: 0
--------------------------------------------------------------------------------
Et aucun compteur ne s’affichent.
- « delta oui » indique I vouloir afficher les compteurs qui ont incrémenté depuis la dernière fois I exécuté cette commande.
- « paquet-filtre oui » indique que I vous voulez voir uniquement les compteurs mondiaux qui correspondent à mes filtres.
Si I vous actualisez mon navigateur et exécutez à nouveau la commande :
> show counter global filter packet-filter yes delta yes
Global counters:
Elapsed time since last sampling: 2.630 seconds
name value rate severity category aspect description
--------------------------------------------------------------------------------
pkt_sent 22 8 info packet pktproc Packets transmitted
pkt_outstanding 22 8 info packet pktproc Outstanding packet to be transmitted
session_allocated 4 1 info session resource Sessions allocated
session_installed 4 1 info session resource Sessions installed
appid_proc 2 0 info appid pktproc The number of packets processed by Application identification
appid_use_dfa_1 2 0 info appid pktproc The number of packets using the second DFA table
nat_dynamic_port_xlat 4 1 info nat resource The total number of dynamic_ip_port NAT translate called
dfa_sw 8 3 info dfa pktproc The total number of dfa match using software
ctd_sml_opcode_set_file_type 1 0 info ctd pktproc sml opcode set file type
aho_sw 5 1 info aho pktproc The total usage of software for AHO
ctd_pkt_slowpath 4 1 info ctd pktproc Packets processed by slowpath
--------------------------------------------------------------------------------
Total counters shown: 11
--------------------------------------------------------------------------------
Vous verrez qu’il y a un tas de compteurs. I« ont ajouté un lien vers quelques informations supplémentaires sur les compteurs mondiaux au bas de cet article, et nous allons les couvrir davantage dans un prochain épisode. Mais pour l’instant, tant qu’il y a des compteurs, nous devrions être bons d’aller.
Ensuite, vous allez configurer les étapes — il y a 4 :
- étape de drop est l’endroit où les paquets sont jetés. Les raisons peuvent varier et, pour cette partie, les compteurs mondiaux peuvent aider à identifier si la baisse était due à un policy refus, une menace détectée, ou autre chose.
- recevoir l’étape capture les paquets comme ils entrent avant firewall qu’ils n’entrent dans le firewall moteur. NATLorsqu’ils sont configurés, ces paquets seront pré- NAT .
- transmettre l’étape capture les paquets comment ils sortent du firewall moteur. Si NAT elle est configurée, celles-ci seront NAT post-.
- firewall l’étape capture les paquets dans la firewall scène.
Pour chaque étape, vous pouvez attribuer un nom pour le fichier de sortie et définir un nombre maximal de paquets ou de l’octet :
Lorsque toutes les étapes souhaitées sont définies, vous pouvez passer le bouton de capture ON à , ou vous pouvez utiliser le , effacer les sessions existantes qui correspondent aux CLI filtres spécifiés. Il s’agit de s’assurer qu’aucune session n’a été active depuis avant que les filtres ne soient activés. Ensuite, utilisez la capture sur commande pour démarrer la capture comme affiché ci-dessous.
> show session all => Note down the session number matching the configured filters.
> clear session id <id#> => This is to clear any existing session that matches the filters configured.
Example:
> show session all
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
27240 web-browsing ACTIVE FLOW NS 192.168.0.34[61003]/trust/6 (198.51.100.230[31047])
vsys1 198.51.100.97[80]/ISP1 (198.51.100.97[80])
....(output omitted)....
> clear session id 27240
session 27240 cleared
> debug dataplane packet-diag set capture on
Packet capture is enabled
Vous pouvez maintenant lancer des sessions que vous souhaitez capturer. Pour vérifier si la session a commencé, utilisez la commande session de show :
> show session all
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
32637 web-browsing ACTIVE FLOW NS 192.168.0.34[61903]/trust/6 (198.51.100.230[31547])
vsys1 198.51.100.97[80]/ISP1 (198.51.100.97[80])
32635 ssh ACTIVE FLOW NS 192.168.0.34[61901]/trust/6 (198.51.100.230[52812])
vsys1 198.51.100.1[22]/ISP1 (198.51.100.1[22])
Lorsque vous avez terminé, la capture peut être désactivée en gglant le bouton vers la OFF position ou en utilisant la commande de débogage :
> debug dataplane packet-diag set capture off
Packet capture is disabled
> debug dataplane packet-diag clear filter-marked-session all
Unmark All sessions in packet debug
Remarque: N’oubliez pas d’éteindre la capture du paquet après le débogage. Ne pas le faire peut taxer le CPU et peut causer des problèmes de performances.
Il y aura maintenant des fichiers capturés disponibles pour téléchargement que vous pouvez analyser avec Wireshark :
Après avoir téléchargé le pcaps, vous devrez peut-être fusionner la transmettre et recevoir des fichiers ensemble :
- L’étape de recevoir aura le client privé IP pour le public webserver , et le paquet de retour du serveur web public à IP IP firewall l’externe IP (étape de recevoir est pré- NAT ).
- L’étape de transmission aura firewall IP l’externe (client NAT ) au serveur public , et le public de retour au client privé IP IP IP .
Comme cela peut être un peu déroutant lorsque vous essayez de suivre le TCP flux, vous voudrez prendre note de cette différence importante entre ces deux fichiers.
Ces deux étapes vous permettront de vérifier si NAT elles sont appliquées correctement. Vous pouvez également voir s’il y a une différence entre les paquets envoyés et reçus des perspectives du client et du serveur.
Le résultat fusionné devrait ressembler à ceci et vous permet de comparer ce qui est envoyé aux paquet par paquet et ce qui est reçu.
A quelques articles utiles pour vous aider à mieux comprendre comment les paquets circulent à travers le système:
Quelle est la signification des compteurs globaux ?
Séquence de flux de paquets dans PAN-OS
Plan de gestion
Pour résoudre les problèmes de connectivité avec le plan de gestion, la commande tcpdump intégré permet de capturer des informations utiles :
admin@myNGFW> tcpdump filter "port 53"
Press Ctrl-C to stop capturing
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
^C
16 packets captured
32 packets received by filter
0 packets dropped by kernel
The resulting output is stored in a mgmt.pcap file on the management plane:
admin@myNGFW> view-pcap mgmt-pcap mgmt.pcap
15:24:07.512889 IP 10.0.0.1.36606 > 10.0.0.98.domain: 49243+ PTR? 0.0.0.10.in-addr.arpa. (41)
15:24:07.513106 IP 10.0.0.98.domain > 10.0.0.1.36606: 49243 NXDomain 0/1/0 (100)
15:24:17.196515 IP 10.0.0.1.45455 > 10.0.0.98.domain: 3126+ PTR? 0.0.0.10.in-addr.arpa. (41)
15:24:17.196762 IP 10.0.0.98.domain > 10.0.0.1.45455: 3126 NXDomain 0/1/0 (100)
15:24:31.126186 IP 10.0.0.1.57230 > 10.0.0.98.domain: 2978+ A? panos.wildfire.paloaltonetworks.com. (53)
15:24:31.126196 IP 10.0.0.1.57230 > 10.0.0.98.domain: 55173+ AAAA? panos.wildfire.paloaltonetworks.com. (53)
15:24:31.161436 IP 10.0.0.98.domain > 10.0.0.1.57230: 2978 4/0/0[|domain]
15:24:31.194586 IP 10.0.0.98.domain > 10.0.0.1.57230: 55173 2/0/0[|domain]
15:25:56.746679 IP 10.0.0.1.46048 > 10.0.0.98.domain: 43532+ A? wildfire.paloaltonetworks.com. (47)
15:25:56.746689 IP 10.0.0.1.46048 > 10.0.0.98.domain: 16653+ AAAA? wildfire.paloaltonetworks.com. (47)
15:25:56.794940 IP 10.0.0.98.domain > 10.0.0.1.46048: 43532 1/0/0 (63)
15:25:56.795553 IP 10.0.0.98.domain > 10.0.0.1.46048: 16653 0/1/0 (131)
15:25:59.038459 IP 10.0.0.1.51804 > 10.0.0.98.domain: 23806+ A? panos.wildfire.paloaltonetworks.com. (53)
15:25:59.038471 IP 10.0.0.1.51804 > 10.0.0.98.domain: 31471+ AAAA? panos.wildfire.paloaltonetworks.com. (53)
15:25:59.071431 IP 10.0.0.98.domain > 10.0.0.1.51804: 23806 4/0/0[|domain]
15:25:59.113552 IP 10.0.0.98.domain > 10.0.0.1.51804: 31471 2/0/0[|domain]
S’il vous plaît consulter cet article pour plus d’informations Comment saisir les paquets (tcpdump) sur l’interface de gestion