Monitoreo sin duplicación de puertos

7

Una descripción rápida del problema.

Hemos estado experimentando algunos problemas con nuestro uso de ancho de banda últimamente, lo que me temo que puede deberse al mal uso (ya sea intencional o no) de nuestro Internet en la oficina. Quiero poder monitorear el tráfico de la red para ver si una determinada dirección IP interna tiene la culpa. Nuestro ancho de banda debería ser más que suficiente.

Nuestra configuración

Tenemos un conmutador 3Com Superstack 3 conectado a un firewall Cisco PIX 501, que luego se conecta a nuestro enrutador provisto por el ISP.

Lo que he intentado

Parece que ni el conmutador ni el firewall tienen una función de duplicación de puertos disponible, por lo que no puedo mantener un seguimiento permanente. El PIX ofrece una traza temporal en su propio búfer de memoria, sin embargo, no estoy muy seguro de usar esto.

También intenté instalar Wireshark en nuestro servidor DNS (Windows 2000), pero los datos del paquete aquí no ayudaron.

Próximos pasos

Cualquier sugerencia de ustedes acerca de cómo monitorear el tráfico sería genial. Sin embargo, todavía no estamos en condiciones de reemplazar el hardware existente. He examinado el costo de un Network Tap, que podría colocar entre el conmutador y el firewall (o firewall y enrutador) y configurar una máquina para monitorear los paquetes allí. Nunca antes había tomado este enfoque, por lo que me preguntaba si realmente es viable.

aaroncatlin
fuente
No está familiarizado con ese interruptor, ¿puede deshabilitar el aprendizaje de MAC en él?
ytti
¡si lo ha (your_lan)---[your_switch]--[internet_router]cambiado (your_lan)---[your_switch]--[a_hub]--[internet_router]y conecte la PC de monitoreo (o un enlace secundario de un servidor de monitoreo) [a_hub]! Luego puede ver todo el tráfico hacia / desde el enrutador. Por supuesto, es importante que este sea un concentrador , y no un conmutador o un enrutador ^^ De lo contrario, tendrá mucho tráfico oculto ya que no es el origen / destino directo.
Olivier Dulac
Los centros no se han construido en décadas, entonces, ¿dónde se supone que debe encontrar uno? ("¿La caja en un estante en mi oficina"?) Además, los centros tienen colisiones, lo que podría empeorar sus problemas.
Ricky Beam
¿Has considerado que tal vez el PIX 501 es demasiado lento? (Tengo que admitir que nunca he comparado uno.)
Ricky Beam
El PIX generalmente está bien. Tengo mis sospechas sobre qué usuario está causando los problemas, pero necesito pruebas, que puedo obtener sin captura de paquetes después de todo.
aaroncatlin

Respuestas:

9

Dos opciones posibles ... un toque de captura de paquetes (que es bastante viable) o captura de paquetes en el ASA.

Si no está interesado en comprar un grifo e insertarlo en línea, no debe temer capturarlo en su Cisco PIX. Para capturar el tráfico en el PIX, primero defina una ACL ... suponga que está tratando de capturar el tráfico de un host dentro del firewall en 10.10.10.1.

access-list CAPACL permit ip host 10.10.10.1 any
access-list CAPACL permit ip any host 10.10.10.1

Ahora comience a capturar el tráfico que coincide con la ACL utilizando un búfer lo suficientemente grande como para determinar si este host es un problema legítimo ...

capture inside_capture interface INSIDE buffer <some buffer size> access-list CAPACL packet-length 1500

Opcionalmente, puede descargar la captura usando tftp ...

copy /pcap capture:inside_capture tftp: 

Este documento de Cisco tiene mucha buena información sobre la captura de tráfico en un PIX / Cisco ASA ... DOC 17345 Captura de tráfico PIX

Mike Pennington
fuente
1
Yo diría "netflow", pero un pix501 no puede hacer eso. (actualice a un ASA con 8.2.1+ y netflow estará disponible)
Ricky Beam
1

Puedes hacer tu propio toque de ethernet con bastante facilidad. Probablemente no funcionará en una interfaz gigabit, pero funcionará en 10 o 100mbit. He hecho uno antes cuando no quería esperar a que se enviara uno prefabricado.

http://hackaday.com/2008/09/14/passive-networking-tap/ tiene un pequeño artículo sobre ellos. Básicamente, todo lo que necesita es un conector 4 cat5 y un poco de cable.

Dos de los conectores se encuentran entre la conexión existente entre el conmutador y el firewall, o el firewall y el enrutador ISP.

Las dos tomas de derivación tienen una dirección de señal conectada. Conecte uno a su computadora portátil (o ambos, si tiene un sistema con 2 NIC). Los pines de transmisión de su tarjeta de red no están conectados en absoluto, por lo que la computadora portátil no puede transmitir ningún dato accidentalmente.

Capturar solo una dirección es probablemente suficiente para saber de dónde proviene el uso excesivo.

Probaría el tap en alguna conexión menos importante antes de desconectar la conexión a Internet de la oficina. Una vez que sepa que funciona, puede conectarlo y dejar que Wirehark se ejecute en una computadora portátil durante el tiempo que necesite para resolver el problema.

Conceder
fuente
1
Quiero rechazar esto, ya que ese tipo de cortes de cableado que violan las especificaciones son un accidente a la espera de que suceda. En caso de apuro, funcionará, pero es un último recurso cuando hay un arma apuntando a tu cabeza. [también tengo concentradores, conmutadores administrados y acceso a $$$$ gig-e taps]
Ricky Beam
@rickybeam Estoy de acuerdo si tiene (o tiene $ para) un interruptor administrado adecuadamente o los grifos los obtienen. Pero esto me ha salvado antes e incluso si no es la mejor opción, sigue siendo una opción cuando las mejores no están disponibles.
Grant