Capturez tout le trafic réseau dans pfSense pour détecter les problèmes

Pourquoi est-ce que je veux capturer le trafic réseau ?

La capture du trafic réseau est très importante pour détecter d’éventuels problèmes de communication. Imaginons qu’un ordinateur spécifique doit envoyer ou recevoir un certain trafic et ne le reçoit pas, il est possible qu’une règle dans le pare-feu l’empêche, ou que le problème ne soit pas dans le pare-feu mais dans les commutateurs que nous avons connectés. Il est tout à fait normal que les commutateurs soient configurés avec certaines ACL pour protéger davantage le réseau, et nous pourrions même activer différents types de contre-mesures pour les attaques DoS qui pourraient se produire sur le réseau local. Dans le cas où le trafic n’atteint pas le pfSense, il est possible que le problème se situe «au milieu», c’est-à-dire dans les commutateurs, cela nous aidera donc à écarter les problèmes de configuration et à voir tout le flux de trafic.

Si nous avons un problème de communication et que nous ne pouvons pas trouver où le problème peut être, nous devons exclure qu’il s’agit d’un problème avec le pare-feu / routeur lui-même avec pfSense, puis passer en revue les différents commutateurs que nous avons entre les deux. . C’est là qu’intervient la « Packet capture » de pfSense, qui va nous permettre de capturer tout le trafic d’une certaine interface réseau.

Comment fonctionne la «capture de paquets» dans pfSense

Le dispositif de capture de trafic est installé par défaut dans le système d’exploitation pfSense, nous n’aurons pas à l’installer via la liste des logiciels disponibles que nous avons la possibilité d’installer. Il faut se rendre dans la rubrique « Diagnostics / Capture de paquets » pour voir les options de configuration disponibles.

Dans cette section, nous aurons différentes options de configuration, pour «affiner» le captureur de paquets, quelque chose d’essentiel pour ne pas capturer absolument tout le trafic réseau, mais uniquement le trafic que nous sélectionnons spécifiquement.

La première chose que nous devons est la « Interface », ici nous devons choisir l’interface physique ou logique (si vous utilisez des VLAN) à utiliser pour capturer les paquets.

Le système d’exploitation pfSense nous permet d’activer le «mode promiscuité». En «mode non promiscuité», le système ne capturera que le trafic direct vers l’hôte qui passe par une interface donnée. Dans le «mode promiscuité», nous activerons le mode reniflage, et il capturera toutes les informations que la carte réseau voit, cependant, il est possible que le matériel que vous utilisez dans pfSense ne prenne pas en charge cette fonctionnalité.

Nous pouvons également choisir et filtrer si nous voulons IPv4, IPv6 ou les deux protocoles réseau.

Ensuite, nous devons choisir le protocole que nous voulons capturer, nous pouvons capturer n’importe quel protocole (Tous) ou filtrer par ICMP, TCP, UDP et bien plus encore.

D’autres options disponibles sont la possibilité de choisir l’option «Adresse hôte» Cette option nous permet de capturer uniquement le trafic qui a pour origine ou destination une adresse IP ou une adresse MAC spécifique (s’il est directement connecté au même sous-réseau). Si nous ne mettons rien, il capturera tous les paquets qui transitent par l’interface, sans aucun filtrage par IP ou MAC.

Nous pouvons également configurer le port source ou destination si nous utilisons TCP et/ou UDP, idéal pour ne capturer que le trafic qui nous intéresse. Tous les protocoles de couche application utilisent des ports source et destination spécifiques, par exemple, si nous voulons capturer le trafic HTTP, nous mettrons le port 80 et filtrerons par TCP, car c’est ce que le protocole de couche application HTTP utilise.

Dans «Packet Length» nous devrons mettre 0 pour capturer toutes les trames et ne pas limiter par taille de trame, et dans «Count» il est conseillé de mettre 0 pour capturer tout le trafic jusqu’à ce que nous l’arrêtions manuellement, par défaut c’est le valeur de 100 qui peut être très faible selon l’équipement considéré.

Dans la section «Niveau de détail», nous pouvons faire en sorte que la capture du réseau nous montre en bas avec plus ou moins de détails, mais dans la plupart des cas, nous allons télécharger la capture de données et l’examiner attentivement dans des programmes comme Wireshark.

Dans notre cas, nous allons capturer le trafic de notre smartphone pour vérifier quelles données nous envoyons sur Internet, nous allons filtrer par protocole «Tout» et tout port, c’est-à-dire que nous allons capturer tout le trafic qui va ou vient à partir du 10.11.1.4.

Dans cet exemple, nous allons capturer avec n’importe quelle longueur de paquet, mais avec un maximum de 100 paquets. Le niveau de détail est «normal», et nous cliquons sur «Démarrer» pour commencer la capture des données.

Pendant que le captureur de paquets est en cours d’exécution, nous verrons qu’il nous montrera un bouton «Arrêter» et juste en dessous, nous verrons «La capture de paquets est en cours d’exécution».

Lorsque nous cliquons sur « Stop », il nous montrera quand la capture a commencé et quand elle s’est arrêtée. On peut voir la capture d’écran juste en dessous, mais on a très peu d’informations car le niveau de détail était «normal». Dans la grande majorité des cas, il est préférable de cliquer sur «Télécharger la capture» et de télécharger la capture de données pour une analyse ultérieure.

Comme nous avons installé le programme Wireshark, nous pourrons ouvrir cette capture directement pour examiner la capture en détail.

Comme vous pouvez le voir ci-dessous, nous avons toutes les captures de données dans Wireshark et nous pouvons voir tout le trafic entrant et sortant vers notre smartphone.

Comme vous l’avez vu, capturer du trafic avec pfSense est vraiment facile et simple, et cela nous permettra de détecter d’éventuels problèmes de communication des différents équipements, et d’écarter les problèmes de configuration des switchs, du pfSense ou directement dans les PC.