Cómo comprobar qué sesiones descifradas se están portando espejadas

Cómo comprobar qué sesiones descifradas se están portando espejadas

14347
Created On 09/26/18 13:49 PM - Last Modified 06/15/23 21:47 PM


Resolution


Panos 6,0 y hasta

 

Lea el documento https://Live.paloaltonetworks.com/docs/DOC-6212 para configurar el puerto de Decrypt Mirror en los cortafuegos de Palo Alto Networks.

 

Cuando una sesión está marcada para espejado, el cortafuegos le agrega el marcador de espejo, por lo que todos los datos que se indican a continuación deben enviarse a la interfaz dedicada. Dado que la bandera se agrega a la sesión, es muy fácil buscar las sesiones que se someten a reenvío tanto en la tabla de sesión como en los logs.

 

Para comprobar qué sesiones activas se someten a reenvío al puerto de réplica, utilice este comando CLI:

 

admin @ PA-5050-ha-primaria > Mostrar sesión todo filtro desencriptar-espejo sí

 

--------------------------------------------------------------------------------

ID aplicación estado tipo bandera fuente [deporte] zona/Proto (traducido de IP[Port])

Vsys Dst [Dport] zona (traducido de IP[Port])

--------------------------------------------------------------------------------

33557825 web-navegación de flujo activo * NS 10.193.91.111 [55572]/Untrust/6 (10.193.88.91 [47276])

vsys1 74.125.71.139 [443]/Untrust (74.125.71.139 [443])

33557818 web-navegación de flujo activo * NS 10.193.91.111 [55564]/Untrust/6 (10.193.88.91 [2860])

vsys1 216.58.209.230 [443]/Untrust (216.58.209.230 [443])

33557822 web-navegación de flujo activo * NS 10.193.91.111 [55567]/Untrust/6 (10.193.88.91 [7089])

vsys1 173.194.78.100 [443]/Untrust (173.194.78.100 [443])

33557829 YouTube-base flujo activo * NS 10.193.91.111 [55576]/Untrust/6 (10.193.88.91 [31508])

vsys1 74.125.105.16 [443]/Untrust (74.125.105.16 [443])

33557814 YouTube-base flujo activo * NS 10.193.91.111 [55560]/Untrust/6 (10.193.88.91 [14969])

vsys1 216.58.209.238 [443]/Untrust (216.58.209.238 [443])

33557824 web-navegación de flujo activo * NS 10.193.91.111 [55571]/Untrust/6 (10.193.88.91 [42160])

vsys1 74.125.71.155 [443]/Untrust (74.125.71.155 [443])

33557816 YouTube-base flujo activo * NS 10.193.91.111 [55562]/Untrust/6 (10.193.88.91 [14877])

vsys1 74.125.105.16 [443]/Untrust (74.125.105.16 [443])

33557813 web-navegación de flujo activo * NS 10.193.91.111 [55558]/Untrust/6 (10.193.88.91 [48370])

vsys1 216.58.209.224 [443]/Untrust (216.58.209.224 [443])

33557817 YouTube-base flujo activo * NS 10.193.91.111 [55563]/Untrust/6 (10.193.88.91 [17210])

vsys1 74.125.105.16 [443]/Untrust (74.125.105.16 [443])

33557828 web-navegación de flujo activo * NS 10.193.91.111 [55575]/Untrust/6 (10.193.88.91 [15106])

vsys1 216.58.209.225 [443]/Untrust (216.58.209.225 [443])

8396 web-navegación de flujo activo * NS 10.193.91.111 [55568]/Untrust/6 (10.193.88.91 [6490])

vsys1 74.125.133.155 [443]/Untrust (74.125.133.155 [443])

 

 

El mismo efecto se puede lograr si la tabla de sesión se muestra a través del explorador de sesiones en el webGUI. Ir al monitor > App Scope > navegador de sesión.

 

Aquí el filtro necesita ser agregado para "descifrar el espejo" con el valor "sí".

Screen Shot 2014-12-31 en 11.25.45 AM. png

 

Cuando se cierran las sesiones, en caso de que la sesión en el extremo del registro esté activada, la sesión creará un log en los registros de tráfico. Usando el filtro "flags tiene descifrar-espejo" todas las sesiones que tenían la bandera "descifrar-espejo" se mostrarán en los logs.

Screen Shot 2014-12-31 en 11.20.33 AM. png

 

Ahora bien, si echamos un vistazo a una de las sesiones que están en la lista filtrada, también podemos ver la bandera:

 

Screen Shot 2014-12-31 en 11.17.03 AM. png

 

Informes personalizados 

En muchas ocasiones es necesario informar sobre qué tráfico se ha descifrado debido a las reglamentaciones, por lo que esta información también se puede utilizar para crear informes personalizados para el tráfico descifrado. Esto se puede hacer bajo el monitor > PDF informes > administrar informes personalizados.

  1. Cree un nuevo informe utilizando la base de datos detallada del registro de tráfico.
  2. Seleccione el marco de tiempo necesario y elija las columnas necesarias, donde se recomienda tener al menos la aplicación, la categoría App,-la IP de origen, el usuario de origen (si se utiliza el identificador de usuario) IP de destino y la cantidad de datos transferidos (bytes).
  3. Cree una consulta que incluya el indicador Decrypt-Mirror.Screen Shot 2015-01-03 en 12.42.25 PM. png
  4. Pruebe el informe con la opción ejecutar ahora y confirme que se muestran los datos. Screen Shot 2015-01-03 en 12.43.08 PM. png
    Después de que el informe se puede programar para ejecutarse en un intervalo. También hay una opción para enviar por correo electrónico.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClrbCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language