Tutoriale

Palo Alto – Captura de pachete

Captura de pachete se face in urmatorii pasi :

Identificare trafic si create filtre.
Este foarte important de stiut ca functia de captura de pachete foloseste foarte mult CPU (in functie de volumul de trafic) si este imperativ sa cream filtre , altfel riscand sa impactam grav infrastructura.

Ca sa fim siguri ca vom captam traficul in ambele directii configuram urmatoarele filtre .
In exemplul de mai jos voi folosi traficul de la host-ul intern 10.0.0.3 catre 8.8.8.8

Filtrele se creaza de la Monitor – Capture – Manage Filters

Palo Alto Filters

Palo Alto Filters

In cazul nostru cream filtru in ambele directii si ca ingress interface setam interfata de LAN. De obicei in cazul in care userii se plang  ca „merge greu ” personal setez captura pe „inside” – cat mai aproape de user.

.

Configuram captura si avem 4 stadii pe care voi incerca sa le explic mai jos

drop stage – este stadiul in care pachetele sunt „discarded” din varii motive.  Ca sa aflam motivul exact folosim urmatoarea comanda in CLI (de mai multe ori pentru ca ne arata doar counterele ce se incrementeaza)

 show counter global filter packet-filter yes delta yes

receive stage – pachetele care intra in interfata inainte sa intre in „engine-ul”de firewall . In cazul in care NAT este configurat aceste pachete vor fi pre-NAT.

transmit stage : – pachetele care ies din firewall „engine”. Daca NAT-ul este configurat aceste pachete vor fi post-NAT.
firewall stage –  captureaza pachetele in  „firewall engine”

Stiu , stiu , stiu pare confuz , desi le configurez pe toate , cele mai importante sunt  transmit si receive.
Configuram 4 fisiere :

Stage trasmit – file name <transmit>
Stage drop – filename <drop>
Stage receive – filename <receive>
Stage firewall – filename <firewall>

*la filename putem pune orice dorim

Inainte sa dam drumul capturii , activam filterele (click pe butonul de ON) dupa care activam captura . (click ON dupa care OK)

Fisierele de captura vor aparea in partea din dreapta (eventual trebuie un refresh)

Le putem descarca prin click pe ele.

Le deschid cu Wireshark si folosesc optiunea de „merge files” pentru fisierele transmit si receive.
Se poate observa in poza de mai jos ca traficul este intre sursa 10.0.0.3 si destinatia 8.8.8.8 indiferent de port si protocol.

O captura poate sa aibe maximul 200mb ,odata ajunsa aceasta marime , un al doilea fisier pcap va fi creat , continutul recent va fi creat in pcap-ul principal iar in fisierul numit pcap1 va fi folosit ca buffer. (suna confuz ? ? )

Daca pentru fiecare „stage”folosim acelasi filename vom avea o singura captura , firewall-ul v-a face merge automat , desi intotdeauna recomand sa facem capturi individuale.

Nu uitati sa opriti captura de la butonul „de OFF” si doar dupa aceea sa stergeti filtrele. Palo Alto ofera optiunea de „clear all settings”dar personal recomand sa o opriti manual.

Cum a spune doamnele , nu lasati captura aprinsa :))

Spor la analiza capturilor si in a convinge user-ul ca nu e de la Palo Alto 🙂

 

 

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *