Überwachung ohne Portspiegelung

7

Ein kurzer Überblick über das Problem

Wir haben in letzter Zeit einige Probleme mit unserer Bandbreitennutzung festgestellt, von denen ich befürchte, dass sie auf einen absichtlichen oder nicht beabsichtigten Missbrauch unseres Internets im Büro zurückzuführen sind. Ich möchte in der Lage sein, den Netzwerkverkehr zu überwachen, um festzustellen, ob eine bestimmte interne IP-Adresse fehlerhaft ist. Unsere Bandbreite sollte mehr als ausreichend sein.

Unser Setup

Wir haben einen 3Com Superstack 3-Switch, der mit einer Cisco PIX 501-Firewall verbunden ist und dann eine Verbindung zu unserem vom ISP bereitgestellten Router herstellt.

Was ich versucht habe

Es scheint, dass weder der Switch noch die Firewall über eine Port Mirroring-Funktion verfügen, sodass ich keine permanente Ablaufverfolgung durchführen kann. Die PIX bietet eine temporäre Ablaufverfolgung in ihren eigenen Speicherpuffer, ich bin jedoch nicht sicher, ob ich diese verwenden kann.

Ich habe auch versucht, Wireshark auf unserem (Windows 2000) DNS-Server zu installieren, aber die Paketdaten hier haben nicht geholfen.

Nächste Schritte

Irgendwelche Vorschläge von euch, wie man den Verkehr überwacht, wären großartig. Wir sind jedoch noch nicht in der Lage, die vorhandene Hardware zu ersetzen. Ich habe mir die Kosten für einen Network Tap angesehen, den ich zwischen Switch und Firewall (oder Firewall und Router) platzieren und einen Computer zur Überwachung der Pakete dort einrichten könnte. Ich habe diesen Ansatz noch nie zuvor gewählt und mich gefragt, ob er wirklich realisierbar ist.

cisco monitoring wireshark packet-analysis pix aaroncatlin
quelle
Können Sie das MAC-Lernen deaktivieren, wenn Sie mit diesem Schalter nicht vertraut sind?
Ytti
Wenn Sie dies (your_lan)---[your_switch]--[internet_router]geändert haben, schließen Sie (your_lan)---[your_switch]--[a_hub]--[internet_router]den Überwachungs-PC (oder eine sekundäre Verbindung eines Überwachungsservers) an [a_hub]! Dann können Sie jeden Verkehr zum / vom Router sehen. Natürlich ist es wichtig, dass dies ein Hub ist und kein Switch oder Router ^^ Andernfalls ist viel Verkehr verborgen, da Sie nicht die direkte Quelle / das direkte Ziel sind.
Olivier Dulac
Hubs wurden seit Jahrzehnten nicht mehr gebaut. Wo soll er also einen finden? ("Die Box in einem Regal in meinem Büro"?) Außerdem haben Hubs Kollisionen, die seine Probleme noch verschlimmern könnten.
Ricky Beam
Haben Sie darüber nachgedacht, dass die PIX 501 möglicherweise zu langsam ist? (Ich muss zugeben, dass ich noch nie einen Benchmark durchgeführt habe.)
Ricky Beam
Die PIX ist im Allgemeinen in Ordnung. Ich habe jetzt den Verdacht, welcher Benutzer die Probleme verursacht, aber ich brauche Beweise, die ich möglicherweise doch ohne Paketerfassung erhalten kann.
Aaroncatlin

Antworten:

9

Zwei mögliche Optionen ... ein Paketerfassungs-Tap (was durchaus praktikabel ist) oder eine Paketerfassung auf dem ASA.

Wenn Sie nicht daran interessiert sind, einen Wasserhahn zu kaufen und inline einzufügen, sollten Sie keine Angst haben, auf Ihrem Cisco PIX zu erfassen. Um den Datenverkehr auf dem PIX zu erfassen, definieren Sie zunächst eine ACL. Angenommen, Sie versuchen, den Datenverkehr von einem Host innerhalb der Firewall am 10.10.10.1 zu erfassen.

access-list CAPACL permit ip host 10.10.10.1 any
access-list CAPACL permit ip any host 10.10.10.1

Beginnen Sie nun mit der Erfassung des mit der ACL übereinstimmenden Datenverkehrs mithilfe eines Puffers, der groß genug ist, um festzustellen, ob dieser Host zu Recht ein Problem darstellt ...

capture inside_capture interface INSIDE buffer <some buffer size> access-list CAPACL packet-length 1500

Sie können das Capture optional mit tftp ...

copy /pcap capture:inside_capture tftp:

Dieses Cisco-Dokument enthält viele gute Informationen zum Erfassen des Datenverkehrs auf einem PIX / Cisco ASA ... DOC 17345 Erfassen des PIX-Datenverkehrs

Mike Pennington
quelle
1
Ich würde "netflow" sagen, aber ein pix501 kann das nicht. (Upgrade auf einen ASA mit 8.2.1+ und Netflow wird verfügbar sein)
Ricky Beam
1

Sie können ganz einfach Ihr eigenes Ethernet-Tap erstellen. Es funktioniert wahrscheinlich nicht auf einer Gigabit-Schnittstelle, aber auf 10 oder 100 MBit. Ich habe schon einmal einen gemacht, als ich nicht auf den Versand eines vorgefertigten warten wollte.

http://hackaday.com/2008/09/14/passive-networking-tap/ hat ein wenig darüber geschrieben. Grundsätzlich benötigen Sie nur 4 Cat5-Buchsen und ein Stück Kabel.

Zwei der Buchsen befinden sich zwischen der vorhandenen Verbindung zwischen Switch und Firewall oder zwischen Firewall und ISP-Router.

An die beiden Abzweigbuchsen ist jeweils eine Signalrichtung angeschlossen. Sie schließen einen an Ihren Laptop an (oder beides, wenn Sie ein System mit 2 Netzwerkkarten haben). Die Übertragungsstifte Ihrer Netzwerkkarte sind überhaupt nicht verbunden, sodass der Laptop keine Daten versehentlich übertragen kann.

Es reicht wahrscheinlich aus, nur eine Richtung zu erfassen, um festzustellen, woher die übermäßige Nutzung stammt.

Ich würde den Wasserhahn auf eine weniger wichtige Verbindung testen, bevor ich die Internetverbindung des Büros trenne. Sobald Sie wissen, dass es funktioniert, können Sie es anschließen und Wireshark auf einem Laptop laufen lassen, solange Sie das Problem herausfinden müssen.

Gewähren
quelle
1
Ich möchte dies ablehnen, da diese Art von spezifikationsverletzenden Verkabelungshacks ein Unfall ist, der darauf wartet, passiert zu werden. Zur Not wird es funktionieren, aber es ist ein letzter Ausweg, wenn eine Waffe auf Ihren Kopf gerichtet ist. [Außerdem habe ich Hubs, verwaltete Switches und Zugriff auf $$$$ Gig-E-Taps]
Ricky Beam
@rickybeam Ich stimme zu, wenn Sie einen ordnungsgemäß verwalteten Switch haben (oder das $ dafür haben) oder Taps bekommen. Aber das hat mich schon früher gerettet und selbst wenn es nicht die beste Option ist, ist es immer noch eine Option, wenn die besseren nicht verfügbar sind.
Grant