Monitorando sem espelhamento de porta

Uma rápida visão geral do problema

Ultimamente, estamos enfrentando alguns problemas com o uso da largura de banda, que, receio, podem ser causados por uso indevido (intencional ou não) da nossa Internet no escritório. Quero poder monitorar o tráfego de rede para verificar se um determinado endereço IP interno está com falha. Nossa largura de banda deve ser mais que suficiente.

Nossa configuração

Temos um Switch 3Com Superstack 3 conectado a um firewall Cisco PIX 501, que depois se conecta ao nosso roteador fornecido pelo ISP.

O que eu tentei

Parece que nem o switch nem o firewall têm um recurso de espelhamento de porta disponível; portanto, não consigo manter um rastreamento permanente. O PIX oferece um rastreamento temporário em seu próprio buffer de memória, no entanto, não estou muito confiante usando isso.

Também tentei instalar o Wireshark em nosso servidor DNS (Windows 2000), mas os dados do pacote aqui não ajudaram.

Próximos passos

Alguma sugestão de vocês sobre como monitorar o tráfego seria ótimo. Ainda não estamos em condições de substituir o hardware existente. Analisei o custo de um Network Tap, que eu poderia colocar entre o switch e o firewall (ou firewall e roteador) e configurei uma máquina para monitorar os pacotes lá. Eu nunca tomei essa abordagem antes, então me perguntei se é realmente viável.

cisco monitoring wireshark packet-analysis pix aaroncatlin
fonte

Não familiarizado com esse switch, você pode desativar o aprendizado do MAC nele?

ytti

se você tiver (your_lan)---[your_switch]--[internet_router]alterado isso (your_lan)---[your_switch]--[a_hub]--[internet_router]e conecte o PC de monitoramento (ou um link secundário de um servidor de monitoramento) [a_hub]! Então você pode ver todo o tráfego de / para o roteador. É claro que é importante que este seja um hub , e não um switch ou roteador ^^ Caso contrário, você terá muito tráfego oculto, pois não é a origem / destino direto.

precisa

Hubs não são construídos há décadas, então onde ele deveria encontrar um? ("a caixa em uma prateleira no meu escritório"?) Além disso, os hubs têm colisões, o que pode tornar seus problemas ainda piores.

Ricky feixe

Você já pensou que talvez o PIX 501 seja muito lento? (Eu tenho que admitir que nunca aferido um.)

Ricky feixe

O PIX geralmente está bom. Agora, tenho minhas suspeitas sobre qual usuário está causando os problemas, mas preciso de provas, que posso obter sem a captura de pacotes.

aaroncatlin

Respostas:

Duas opções possíveis ... uma torneira de captura de pacote (que é bastante viável) ou captura de pacote no ASA.

Se você não está interessado em comprar uma torneira e inseri-la em linha, não deve ter medo de capturar no seu Cisco PIX. Para capturar o tráfego no PIX, primeiro defina uma ACL ... suponha que você esteja tentando capturar o tráfego de um host dentro do firewall em 10.10.10.1.

access-list CAPACL permit ip host 10.10.10.1 any
access-list CAPACL permit ip any host 10.10.10.1

Agora comece a capturar o tráfego que corresponde à ACL usando um buffer grande o suficiente para descobrir se esse host é legitimamente um problema ...

capture inside_capture interface INSIDE buffer <some buffer size> access-list CAPACL packet-length 1500

Você pode opcionalmente baixar a captura usando o tftp ...

copy /pcap capture:inside_capture tftp:

Este documento da Cisco possui muitas informações boas sobre a captura de tráfego em um PIX / Cisco ASA ... DOC 17345 Capturando o tráfego PIX

Mike Pennington
fonte

Eu diria "netflow", mas um pix501 não pode fazer isso. (upgrade para um ASA correndo 8.2.1+ e netflow estarão disponíveis)

Ricky feixe

Você pode facilmente fazer sua própria torneira Ethernet. Provavelmente não funcionará em uma interface de gigabit, mas funcionará em 10 ou 100mbit. Eu fiz uma antes, quando não queria esperar que uma já pronta fosse enviada.

http://hackaday.com/2008/09/14/passive-networking-tap/ escreveu um pouco sobre eles. Basicamente, tudo o que você precisa é de 4 conectores cat5 e um pouco de cabo.

Dois dos conectores ficam entre a conexão existente entre o switch e o firewall, ou o firewall e o roteador ISP.

Cada um dos dois conectores de derivação tem uma direção de sinal conectada. Você conecta um ao seu laptop (ou ambos, se você tiver um sistema com 2 placas de rede). Os pinos de transmissão da sua placa de rede não estão conectados, de modo que o laptop não pode transmitir dados acidentalmente.

Capturar apenas uma direção é provavelmente suficiente para dizer de onde vem o uso excessivo.

Eu testaria a torneira em alguma conexão menos importante antes de desconectar a conexão à Internet do escritório. Depois que você souber que funciona, você poderá conectá-lo e deixar o wireshark em execução em um laptop pelo tempo necessário para descobrir o problema.

Conceder
fonte

Eu quero votar isso para baixo, pois esses tipos de hacks de fiação que violam especificações são um acidente esperando para acontecer. Em uma pitada, ele funcionará, mas é o último recurso quando há uma arma apontada para sua cabeça. [também, tenho hubs, switches gerenciados e acesso a torneiras $$$-gig-e]]

Ricky Beam

@rickybeam Concordo se você tem (ou tem o $ for) um comutador ou torneiras gerenciadas adequado para obtê-los. Mas isso me salvou antes e, mesmo que não seja a melhor opção, ainda é uma opção quando as melhores não estão disponíveis.

Grant