Configurazione per utilizzare Whireshark ?

Moderatore: Federico.Lagni

Rispondi
spider21
Cisco fan
Messaggi: 46
Iscritto il: mar 08 mag , 2007 6:24 pm

Devo debuggare un PIX 501 perche' credo di avere un host in rete compromesso ma non riesco a capire quale.

Come posso fare ad intercettare tutto quello che passa sulle interfacce lan/wan con whireshark ?

Che cosa posso fare ?

Grazie
Avatar utente
rain3
Network Emperor
Messaggi: 266
Iscritto il: gio 31 lug , 2008 4:55 pm
Località: Battipaglia (SA)

Per catturare direttamente dal pix, leggi questo link:
http://supportwiki.cisco.com/ViewWiki/i ... re_feature

oppure puoi catturare tutto il traffico che passa attraverso la porta dello switch a cui è collegata l'interfaccia inside del pix:

colleghi un pc con wireshark sullo stesso switch da global config dai questi comandi:

monitor session 1 source interface fastethernet x/x both

in questo modo catturi tutto il traffico che entra ed esce da quella interfaccia; x/x e' il numero della porta dove è collegata l'inside del pix.

poi dai sempre da global config:

monitor session 1 destination interface fastethernet y/y

qui diciamo allo switch di inoltrare tutto il traffico che passa dall'interfaccia x/x sull'interfaccia y/y che sarebbe la porta dove hai attaccato il pc con wireshark.

Per quanto riguarda la workstation predisposta alla cattura devi settare il wireshark in modalità promiscua, e devi terer presente che arriverà un bel po' di traffico per cui potrebbe anche inchiodarsi :D

Dallo switch per visualizzare le porte in monitoring puoi fare :
show monitor
mentre per disattivare il port monitoring:
no monitor session 1

Ovviamente quanto detto puoi anche applicarlo ad un singolo host riducendo il carico di traffico verso la workstation predisposta alla cattura.

Spero di esserti stato utile, se vuoi maggiori info cerca in rete i termini port monitoring o span.
spider21
Cisco fan
Messaggi: 46
Iscritto il: mar 08 mag , 2007 6:24 pm

Ciao Rain3 e grazie per la risposta "festiva" :-)

Da come spieghi, mi sembra di capire che stai pensando io abbia uno switch Cisco.

Nella realta', lo switch dove e' attaccato il pix e' un banalissimo netgear da 16 porte senza funzionalita' di monitoring sulle porte.

Eventualmente potrei piazzare un hub tra il pix e lo switch e collegarci sopra anche il pc con wireshark ?

Grazie
Avatar utente
rain3
Network Emperor
Messaggi: 266
Iscritto il: gio 31 lug , 2008 4:55 pm
Località: Battipaglia (SA)

Se metti un Hub setti in promiscuo il wireshark dovresti catturare tutto senza problemi, con lo switch cambia un po la situazione, altrimenti segui il link che ti ho lasciato ed effetui la cattura direttamente dal pix, io l'ho fatto con l'asa ma credo anche dal pix hai la possibilita di avere un dump in .pcap da leggere con wireshark, unica cosa che ti consiglio e di creare un' access list ad hoc o meglio cattura solo quello che ti serve non vorrei si inkiodasse il pix in produzione poi.
spider21
Cisco fan
Messaggi: 46
Iscritto il: mar 08 mag , 2007 6:24 pm

rain3 ha scritto:Se metti un Hub setti in promiscuo il wireshark dovresti catturare tutto senza problemi, con lo switch cambia un po la situazione, altrimenti segui il link che ti ho lasciato ed effetui la cattura direttamente dal pix, io l'ho fatto con l'asa ma credo anche dal pix hai la possibilita di avere un dump in .pcap da leggere con wireshark, unica cosa che ti consiglio e di creare un' access list ad hoc o meglio cattura solo quello che ti serve non vorrei si inkiodasse il pix in produzione poi.
Ok.

Grazie ancora infinite per i consigli.

Poi ti faccio sapere com'e' andata.

A presto
Rispondi