Fortigate, sniffers …

Con estos cacharros (si no compras el log server) te vas a pasar el día con el sniffer. Hay varias formas de hacerlo.

Con estos cacharros (si no compras el log server) te vas a pasar el día con el sniffer.

Hay varias formas de hacerlo. El sniffer de «toda la vida» … diagnose sniffer packet La documentación completa se puede leer desde aquí y aquí.

Normalmente con algo parecido a esto es suficiente… diag sniffer packet internal ‘src host x.x.x.x and dst host x.x.x.x’ 1 aunque puedes empezar con las combinaciones que necesites (and, or, port, etc). Es bastante potente y no carga mucho el equipo…

El resultado es como el de un tcpdump y con un script que se descarga desde el enlace anterior se puede convertir el formato a pcap para abrirlo con un wireshark.

Y después se pueden monitorizar los «Flows».

diag debug reset

diag debug console timestamp enable

diag debug flow filter add

diag debug flow filter port

diag debug flow show console enable

diag debug console timestamp enable

diag debug flow trace start 100 <== this will display 100 packets for this flow diag debug enable

Esto te va mostrando por donde pasa el paquete (interfaces, reglas, rutas), vamos algo que si tuvieras un log en condiciones seria rápido de ver …

Los flows tienen esta pinta …

2014-06-24 16:57:12 id=13 trace_id=120 msg=»vd-root received a packet(proto=17, x.x.x.x:65417->y.y.y.y:161) from vpn1.» 2014-06-24 16:57:12 id=13 trace_id=120 msg=»allocate a new session-256b9020″ 2014-06-24 16:57:12 id=13 trace_id=120 msg=»find a route: gw-x.x.x.x via Enlace_1″ 2014-06-24 16:57:12 id=13 trace_id=120 msg=»use addr/intf hash, len=8″ 2014-06-24 16:57:12 id=13 trace_id=120 msg=»Allowed by Policy-508:» 2014-06-24 16:57:12 id=13 trace_id=120 msg=»insert vlan cos:0 id:801″ 2014-06-24 16:57:12 id=13 trace_id=121 msg=»vd-root received a packet(proto=17, x.x.x.x:161->y.y.y.y:65417) from Enlace_1.» 2014-06-24 16:57:12 id=13 trace_id=121 msg=»Find an existing session, id-256b9020, reply direction» 2014-06-24 16:57:12 id=13 trace_id=121 msg=»find a route: gw-192.168.80.144 via vpn1″ 2014-06-24 16:57:12 id=13 trace_id=121 msg=»enter IPsec interface-vpn1″ 2014-06-24 16:57:12 id=13 trace_id=121 msg=»encrypting, and send to x.x.x.x with source y.y.y.y» 2014-06-24 16:57:12 id=13 trace_id=121 msg=»send to x.x.x.x via intf-Internet» 2014-06-24 16:57:12 id=13 trace_id=121 msg=»insert vlan cos:1 id:803″ Muy útil …

Y ademas puedes hacer trazas de las sesiones …

diagnose system session filter : filter session based on destination

diagnose system session list : show sessions

diagnose system session clear

Para hacer trazas de conexiones VPN

diagnose vpn ike log filter dst-addr4 x.x.x.x

diagnose debug enable

O para la negociacion IKE.

diagnose debug application ike -1

diagnose debug enable

Vamos, que no sera por trazas … a ver si cambian el gui ese que es malo … de lo peor …