Comment faire pour la Capture des paquets (tcpdump) sur l’Interface de gestion
Resolution
Il peut y avoir des cas où l'analyse/vérification est nécessaire pour déterminer si le trafic est envoyé/reçu par l'intermédiaire de l'interface de gestion. Un tel exemple serait pendant le test d'Authentification pour vérifier si les demandes sont envoyées à partir du périphérique vers le serveur LDAP ou RADIUS. Un autre exemple serait de déterminer si un périphérique est interrogé/accessible via un serveur SNMP. En commençant par PAN-OS 5,0, il est possible de connaître le trafic PCAP vers/depuis l'interface de gestion. L'option est strictement basée sur CLI utilisant tcpdump.
Exemple ci-dessous :
Comme les captures sont strictement/implicitement en utilisant l'interface de gestion, il n'est pas nécessaire de spécifier manuellement les interfaces comme avec un tcpdump traditionnel. Par exemple :
admin @ myNGFW > tcpdump filtre "Host 10.16.0.106 et non port 22"
Appuyez sur Ctrl-C pour arrêter de capturer
tcpdump: écoute sur eth0, EN10MB de type de lien (Ethernet), taille de capture 96 octets
Remarque: les filtres doivent être placés entre guillemets, comme dans:
> tcpdump filtre "Host 10.16.0.106 et non port 22"
Lorsqu'une capture est terminée, appuyez sur Ctrl + C pour arrêter la capture:
admin @ myNGFW > tcpdump filtre "Host 10.16.0.106 et non port 22"
Appuyez sur Ctrl-C pour arrêter de capturer
tcpdump: écoute sur eth0, EN10MB de type Link (Ethernet), capture taille 96 octets
^ C 6 paquets capturés
12 paquets reçus par le filtre
0 paquets supprimés par le noyau
Pour afficher le PCAP sur le CLI, exécutez la commande View-PCAP. Par exemple :
admin @ myNGFW > View-PCAP Mgmt-PCAP Mgmt. PCAP
15:42:57.834414 IP 10.16.0.106. https > 10.192.1.0.61513: P 196197148:196197179 (31) ACK 2821691363 gagner 66 <nop,nop,timestamp 9463094="" 700166797="">
15:42:57.834477 IP 10.16.0.106. https > 10.192.1.0.61513: F 31:31 (0) ACK 1 Win 66 <nop,nop,timestamp 9463094="" 700166797="">
15:42:57.834910 IP 10.192.1.0.61513 > 10.16.0.106. https:.</nop,nop,timestamp> </nop,nop,timestamp> ACK 31 Win 4095 <nop,nop,timestamp 700231236="" 9463094="">
15:42:57.834933 IP 10.192.1.0.61513 > 10.16.0.106. https:.</nop,nop,timestamp> ACK 32 Win 4095 <nop,nop,timestamp 700231236="" 9463094="">
15:42:58.142807 IP 10.192.1.0.61513 > 10.16.0.106. https: F 1:1 (0) ACK 32 Win 4096 <nop,nop,timestamp 700231542="" 9463094="">
15:42:58.142831 IP 10.16.0.106. https > 10.192.1.0.61513:.</nop,nop,timestamp> </nop,nop,timestamp> ACK 2 Win 66<nop,nop,timestamp 9463125="" 700231542=""></nop,nop,timestamp>
Voici quelques exemples de filtres (mais non limités uniquement à ces options) qui peuvent être référencés/utilisés/appliqués:
- Filtrer par port
> tcpdump filtre "port 80" - Filtrer par source IP
> tcpdump filtre "src x. x. x. x" - Filtrer par destination IP
> tcpdump filtre "DST x. x . x. x" - Filtrer par hôte (SRC & DST) IP
> tcpdump filtre "Host x. x. x. x" - Filtrer par hôte (SRC & DST) IP, à l'exclusion du trafic SSH
> tcpdump filtre "Host x. x. x. x et non le port 22"
En outre, vous pouvez exporter manuellement le PCAP via SCP ou TFTP, c'est-à-dire:
> SCP Export Mgmt-PCAP de Mgmt. PCAP à
<value>Destination (nom d'utilisateur @ hôte: chemin d'accès)</value>
> TFTP Export Mgmt-PCAP de Mgmt. PCAP à
<value>hôte TFTP</value>
Note: par défaut, il y a une limite maximale de 68 octets (longueur D'alignement) par paquet sur PA-200, PA-500 et PA-2000. Pour les PA-3000, PA-4000 et PA-5000, la limite par défaut est 96 octets par paquet. Pour prolonger cette limite, utilisez l'option "snaplen".
admin @ myNGFW > tcpdump snaplen
<value> <0-65535>snarf snaplen octets de données de chaque paquet.</0-65535> </value> (0 signifie utiliser la longueur requise pour capturer des paquets entiers)
admin @ myNGFW> tcpdump Snaplen 0
Appuyez sur Ctrl-C pour arrêter de capturer
tcpdump: écoute sur eth0, EN10MB de type de liaison (Ethernet), taille de capture 65535 octets
Voir aussi
Capture de paquets tcpdump tronquée
propriétaire: Bryan