Sniffen op een firewall

Soms is het nodig om een beter zicht te hebben op wat er nu juist gebeurt op het netwerk. De standaard logging is gewoonweg niet voldoende. Heb je nood aan een diepere analyse, dan kan je de daadwerkelijke trafiek gaan inspecteren. Los van het feit of het correct afgehandeld wordt of niet. Elke request komt toe op je firewall, en zal geweigerd worden of toegelaten worden.
Zo’n diepere analyse noemt men sniffing. Je ziet als het ware alles binnen komen, verwerkt worden en terug buiten gaan.

Bij checkpoint kan je dit doen met het commando fw monitor. Hieronder volgen enkele voorbeelden.

FW monitor
fw monitor -e ‘accept src=10.10.10.111 or dst=10.10.10.11;’ -u

Dit controleert alles van en naar het IP-adres 10.10.10.11
De -u optie zorgt ervoor dat je de ID ziet van het pakket (makkelijk voor samenhorende pakketten te bekijken).

fw monitor -e ‘accept src=10.10.10.11 or dst=10.10.10.11;’ -u -o 10101011.snif

Dit controleert alles van en naar het IP-adres 10.10.10.11
De -u optie zorgt ervoor dat je de ID ziet van het pakket (makkelijk voor samenhorende pakketten te bekijken).
De optie -o schrijft dan terug de volledig sniffing weg in het bestandje 10101011.snif

fw monitor -e ‘accept sport=80 or dport=80;’ -u

Dit controleert alles van en naar de poort 80 (internet trafiek)
De -u optie zorgt ervoor dat je de ID ziet van het pakket (makkelijk voor samenhorende pakketten te bekijken).

Je ziet, met enkele kleine optie kan je de sniffing vergemakkelijken. Je moet maar gewoon even ‘fw monitor’ opstarten. Veel geluk met je analyse. :wink:

TCP dump

Naast fw monitor, kan je ook gebruik maken van het welgekende ‘tcpdump’. Hiermee kan op een bepaalde interface alle (gefilterde) traffic analyzeren. Even opletten dat dit soms wel een pak informatie kan opleveren. Dus bezint vooraleer ge begint.

tpcdump -i eth-s1p4 -vvv -w dumpfile.cap ‘host 192.168.168.168’

Met dit commando filter je alle traffic op de interface 1/4 voor de machine 192.168.168.168.
Vervolgens schrijft dit het resultaat weg in een bestandje dumpfil.cap.
In mijn ogen geeft dit het beste resultaat.

tpcdump -i eth-s1p4 -vvv ‘host 192.168.168.168’

Dit doet juist hetzelfde, met dit verschil dat er bestandje wordt aangemaakt, maar dat je alles live op je scherm krijgt.
In geval van veel traffic, niet zo interessant natuurlijk…

Wireshark
Een handigheidje is dat je extra software gebruikt om de sniffing te analyseren. Dit kan je bv doen met wireshark. Wireshark laat je tevens toe een snif uit te voeren op de machine waarop dit geinstalleerd is. En laat je ook toe om andere snif bestanden in te lezen. Dus degene die je creeerde met de optie -o.

O ja, wens je de snif te stoppen? Hiervoor gebruik je de gewone break-sequence (in ons geval CTRL-C).