Leg al het netwerkverkeer vast in pfSense om problemen te detecteren
Het firewall-georiënteerde pfSense-besturingssysteem dat werkt als een router, maakt het mogelijk om al het netwerkverkeer vast te leggen in een bepaalde interface die we hebben geconfigureerd, zowel van WAN als LAN, en natuurlijk ook om verkeer van bepaalde VLAN's vast te leggen als we ze hebben geconfigureerd op de computer. We zullen verkeer in beide richtingen kunnen vastleggen, zowel bij download als upload, en dit maakt het ook mogelijk om te beperken op IP-adressen en zelfs TCP / UDP-poorten. Vandaag gaan we u in RedesZone leren hoe u netwerkverkeer kunt vastleggen om een diepgaande analyse uit te voeren en te kijken of er een probleem is.
Waarom wil ik netwerkverkeer vastleggen?
Het vastleggen van netwerkverkeer is erg belangrijk om mogelijke communicatieproblemen op te sporen. Stel je voor dat een specifieke computer bepaald verkeer moet verzenden of ontvangen en het niet ontvangt, kan het zijn dat een regel in de firewall dit verhindert, of het probleem zit niet in de firewall maar in de switches die we hebben aangesloten. Het is heel normaal dat switches worden geconfigureerd met bepaalde ACL's om het netwerk verder te beschermen, en we kunnen zelfs verschillende soorten tegenmaatregelen inschakelen voor DoS-aanvallen die op het lokale netwerk kunnen plaatsvinden. Als het verkeer de pfSense niet bereikt, is het mogelijk dat het probleem "in het midden" zit, d.w.z. in de switches, dus dit zal ons helpen configuratieproblemen uit te sluiten en alle verkeersstromen te zien.
Als we een communicatieprobleem hebben en niet kunnen vinden waar het probleem kan zijn, moeten we uitsluiten dat het een probleem is met de firewall / router zelf met pfSense en dan door de verschillende switches gaan die we ertussen hebben. . Dit is waar pfSense Packet Capture van pas komt, waarmee we al het verkeer van een bepaalde netwerkinterface kunnen vastleggen.
Hoe werkt "packet capture" in pfSense
Het apparaat voor het vastleggen van verkeer is standaard geïnstalleerd in het pfSense-besturingssysteem, we hoeven het niet te installeren via de lijst met beschikbare software die we kunnen installeren. Je moet naar de sectie « Diagnostiek / Pakketopname Om de beschikbare configuratie-opties te zien.
In deze sectie zullen we verschillende configuratie-opties hebben om de pakketopname te "finetunen", iets wat essentieel is om niet absoluut al het netwerkverkeer vast te leggen, maar alleen het verkeer dat we specifiek selecteren.
Het eerste wat we nodig hebben is de " Interface "Hier moeten we de fysieke of logische interface kiezen (als u VLAN's gebruikt) om de pakketten vast te leggen.
Met het pfSense-besturingssysteem kunnen we de "promiscue modus" activeren. In de "niet-promiscue modus" zal het systeem alleen direct verkeer vastleggen naar de host dat door een bepaalde interface gaat. In de "promiscue modus" schakelen we de snuffelmodus in en wordt alle informatie vastgelegd die de netwerkkaart ziet, maar de hardware die u in pfSense gebruikt, ondersteunt deze functie mogelijk niet.
We kunnen ook kiezen en filteren of we IPv4, IPv6 of beide netwerkprotocollen willen.
Vervolgens moeten we het protocol kiezen dat we willen vastleggen, we kunnen elk protocol (Any) vastleggen of filteren op ICMP, TCP, UDP en nog veel meer.
Andere beschikbare opties zijn de mogelijkheid om de optie "Hostadres" te kiezen. Met deze optie kunnen we alleen het verkeer vastleggen dat afkomstig is van of een specifiek IP-adres of MAC-adres heeft (als het rechtstreeks is verbonden met hetzelfde subnetwerk). Als we niets plaatsen, zal het alle pakketten vastleggen die door de interface gaan, zonder enige filtering op IP of MAC.
We kunnen ook de bron- of bestemmingspoort configureren als we TCP en/of UDP gebruiken, ideaal om alleen het verkeer vast te leggen dat ons interesseert. Alle applicatielaagprotocollen gebruiken specifieke bron- en bestemmingspoorten. Als we bijvoorbeeld HTTP-verkeer willen vastleggen, zullen we poort 80 plaatsen en filteren op TCP, aangezien dit is wat het HTTP-applicatielaagprotocol gebruikt.
In "Packet Length" moeten we 0 plaatsen om alle frames vast te leggen en niet te beperken op framegrootte, en in "Count" is het raadzaam om 0 in te voeren om al het verkeer vast te leggen totdat we het handmatig stoppen, standaard is dit de waarde van 100, wat erg laag kan zijn, afhankelijk van de beschouwde apparatuur.
In de sectie "Niveau van detail" kunnen we de netwerkopname onderaan met meer of minder details laten zien, maar in de meeste gevallen zullen we de gegevensopname downloaden en er zorgvuldig naar kijken in programma's zoals Wireshark.
In ons geval zullen we het verkeer van onze smartphone vastleggen om te controleren welke gegevens we via internet verzenden, we zullen filteren op "Elk" protocol en elke poort, dat wil zeggen, we zullen al het verkeer vastleggen dat van 10.11.1.4 gaat of komt. .XNUMX.
In dit voorbeeld zullen we vastleggen met elke pakketlengte, maar met een maximum van 100 pakketten. Het detailniveau is "normaal" en we klikken op "Start" om te beginnen met het vastleggen van de gegevens.
Terwijl de pakketcaptor actief is, zullen we zien dat het ons een "Stop" -knop zal laten zien en net daaronder zullen we zien "Packet capture is in progress".
Wanneer we op "Stop" klikken, wordt ons getoond wanneer de opname is gestart en wanneer deze is gestopt. We kunnen de schermafbeelding net hieronder zien, maar we hebben heel weinig informatie omdat het detailniveau "normaal" was. In de overgrote meerderheid van de gevallen kunt u het beste op "Download Capture" klikken en de gegevensverzameling downloaden voor verdere analyse.
Omdat we het Wireshark-programma hebben geïnstalleerd, kunnen we deze opname direct openen om de opname in detail te bekijken.
Zoals je hieronder kunt zien, hebben we alle gegevens vastgelegd in Wireshark en kunnen we al het verkeer zien binnenkomen en uitgaan naar onze smartphone.
Zoals u hebt gezien, is het vastleggen van verkeer met pfSense heel eenvoudig en eenvoudig, en het stelt ons in staat mogelijke communicatieproblemen van de verschillende apparaten te detecteren en configuratieproblemen van switches, pfSense of rechtstreeks in de pc's uit te sluiten.
