Gewusst wie: Paketerfassung (Tcpdump) auf Management-Schnittstelle
Resolution
Es kann Fälle geben, in denen eine Analyse/Verifizierung erforderlich ist, um festzustellen, ob der Verkehr über die Managementschnittstelle gesendet/empfangen wird. Ein solches Beispiel wäre während der Authentifizierungs Prüfung, um zu überprüfen, ob Anfragen vom Gerät an den LDAP oder RADIUS-Server gesendet werden. Ein weiteres Beispiel wäre, zu bestimmen, ob ein Gerät über einen SNMP-Server befragt/erreichbar ist. Beginnend mit PAN-OS 5,0 ist es möglich, PCAP Traffic an/von der Management-Schnittstelle zu kennen. Die Option ist streng CLI-basierte Nutzung von tcpdump.
Beispiel unten:
Da die Aufnahmen die Managementschnittstelle strikt/implizit nutzen, ist es nicht notwendig, Schnittstellen manuell zu spezifizieren, wie bei einem herkömmlichen tcpdump. Zum Beispiel:
admin @ myNGFW > tcpdump-Filter "Host 10.16.0.106 und nicht Port 22"
drücken Sie STRG-C, um die Aufnahme
von tcpdump zu stoppen: hören auf eth0, Link-Typ EN10MB (Ethernet ), Aufnahme Größe 96 Bytes
Hinweis: Filter müssen in Anführungszeichen eingeschlossen sein, wie in:
> tcpdump-Filter "Host 10.16.0.106 und nicht Port 22"
Wenn eine Aufnahme abgeschlossen ist, drücken Sie STRG-C, um die Erfassung zu stoppen:
admin @ myNGFW > tcpdump-Filter "Host 10.16.0.106 und nicht Port 22"
drücken Sie STRG-C, um die Aufnahme
von tcpdump zu stoppen: hören auf eth0, Link-Typ EN10MB (Ethernet), Aufnahme Größe 96 Bytes
^ C 6 Pakete erfasst
12 Pakete von Filter empfangen
0 Pakete vom Kernel fallen gelassen
Um die PCAP auf dem CLI zu sehen, führen Sie den Befehl View-pcap aus. Zum Beispiel:
admin @ myNGFW > View-pcap Mgmt-pcap Mgmt. pcap
15:42:57.834414 IP 10.16.0.106. HTTPS > 10.192.1.0.61513: P 196197148:196197179 (31) ACK 2821691363 Win 66 <nop,nop,timestamp 9463094="" 700166797="">
15:42:57.834477 IP 10.16.0.106. HTTPS > 10.192.1.0.61513: F 31:31 (0) ACK 1 Win 66 <nop,nop,timestamp 9463094="" 700166797="">
15:42:57.834910 IP 10.192.1.0.61513 > 10.16.0.106. https:.</nop,nop,timestamp> </nop,nop,timestamp> ACK 31 Win 4095 <nop,nop,timestamp 700231236="" 9463094="">
15:42:57.834933 IP 10.192.1.0.61513 > 10.16.0.106. https:.</nop,nop,timestamp> ACK 32 Win 4095 <nop,nop,timestamp 700231236="" 9463094="">
15:42:58.142807 IP 10.192.1.0.61513 > 10.16.0.106. https: F 1:1 (0) ACK 32 Win 4096 <nop,nop,timestamp 700231542="" 9463094="">
15:42:58.142831 IP 10.16.0.106. HTTPS > 10.192.1.0.61513:.</nop,nop,timestamp> </nop,nop,timestamp> ACK 2 Win 66<nop,nop,timestamp 9463125="" 700231542=""></nop,nop,timestamp>
Im folgenden finden Sie einige Filter Beispiele (wenn auch nicht nur auf diese Optionen beschränkt), die referenziert/genutzt/angewendet werden können:
- Filter von Port
> tcpdump-Filter "Port 80 " - Filter von Source IP
> tcpdump Filter "src x. x. x. x" - Filter nach Destination IP
> tcpdump-Filter "DST x. x. x. x " - Filter von Host (src & DST) IP
> tcpdump-Filter "Host x. x. x. x " - Filter von Host (src & DST) IP, ohne SSH-Traffic
> tcpdump-Filter "Host x. x. x. x und nicht Port 22"
Zusätzlich können Sie die PCAP manuell über SCP oder TFTP exportieren, d.h.:
> SCP Export Mgmt-pcap von Mgmt. pcap, um
<value>Reiseziel (Benutzername @ Host: Path)</value>
> TFTP Export Mgmt-pcap von Mgmt. pcap, um
<value>TFTP Host</value>
Hinweis: Standardmäßig gibt es eine maximale Grenze von 68 Bytes (Schnapp Länge) pro Paket auf PA-200, PA-500 und PA-2000. Für die PA-3000, PA-4000 und PA-5000 beträgt das Standard Limit 96 Bytes pro Paket. Um dieses Limit zu verlängern, verwenden Sie die Option "snaplen".
admin @ myNGFW > tcpdump snaplen
<value> <0-65535>snarf snaplen Bytes von Daten aus jedem Paket.</0-65535> </value> (0 bedeutet, die gewünschte Länge zu verwenden, um ganze Pakete zu fangen)
Admin @ Myngfw> tcpdump snaplen 0
drücken Sie STRG-C, um die Aufnahme
von tcpdump zu stoppen: hören auf eth0, Link-Typ EN10MB (Ethernet), Capture Größe 65535 Bytes
Siehe auch
Tcpdump-Paket Erfassung abgeschnitten
Besitzer: Bryan