CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

Configurazione per utilizzare Whireshark ?

https://www.ciscoforums.it/viewtopic.php?f=7&t=10820

Pagina 1 di 1

Configurazione per utilizzare Whireshark ?

Inviato: sab 30 mag , 2009 11:18 pm
da spider21
Devo debuggare un PIX 501 perche' credo di avere un host in rete compromesso ma non riesco a capire quale.

Come posso fare ad intercettare tutto quello che passa sulle interfacce lan/wan con whireshark ?

Che cosa posso fare ?

Grazie

Inviato: dom 31 mag , 2009 8:44 am
da rain3
Per catturare direttamente dal pix, leggi questo link:
http://supportwiki.cisco.com/ViewWiki/i ... re_feature

oppure puoi catturare tutto il traffico che passa attraverso la porta dello switch a cui è collegata l'interfaccia inside del pix:

colleghi un pc con wireshark sullo stesso switch da global config dai questi comandi:

monitor session 1 source interface fastethernet x/x both

in questo modo catturi tutto il traffico che entra ed esce da quella interfaccia; x/x e' il numero della porta dove è collegata l'inside del pix.

poi dai sempre da global config:

monitor session 1 destination interface fastethernet y/y

qui diciamo allo switch di inoltrare tutto il traffico che passa dall'interfaccia x/x sull'interfaccia y/y che sarebbe la porta dove hai attaccato il pc con wireshark.

Per quanto riguarda la workstation predisposta alla cattura devi settare il wireshark in modalità promiscua, e devi terer presente che arriverà un bel po' di traffico per cui potrebbe anche inchiodarsi :D

Dallo switch per visualizzare le porte in monitoring puoi fare :
show monitor
mentre per disattivare il port monitoring:
no monitor session 1

Ovviamente quanto detto puoi anche applicarlo ad un singolo host riducendo il carico di traffico verso la workstation predisposta alla cattura.

Spero di esserti stato utile, se vuoi maggiori info cerca in rete i termini port monitoring o span.

Inviato: dom 31 mag , 2009 12:42 pm
da spider21
Ciao Rain3 e grazie per la risposta "festiva" :-)

Da come spieghi, mi sembra di capire che stai pensando io abbia uno switch Cisco.

Nella realta', lo switch dove e' attaccato il pix e' un banalissimo netgear da 16 porte senza funzionalita' di monitoring sulle porte.

Eventualmente potrei piazzare un hub tra il pix e lo switch e collegarci sopra anche il pc con wireshark ?

Grazie

Inviato: dom 31 mag , 2009 5:39 pm
da rain3
Se metti un Hub setti in promiscuo il wireshark dovresti catturare tutto senza problemi, con lo switch cambia un po la situazione, altrimenti segui il link che ti ho lasciato ed effetui la cattura direttamente dal pix, io l'ho fatto con l'asa ma credo anche dal pix hai la possibilita di avere un dump in .pcap da leggere con wireshark, unica cosa che ti consiglio e di creare un' access list ad hoc o meglio cattura solo quello che ti serve non vorrei si inkiodasse il pix in produzione poi.

Inviato: lun 01 giu , 2009 10:12 am
da spider21
rain3 ha scritto:Se metti un Hub setti in promiscuo il wireshark dovresti catturare tutto senza problemi, con lo switch cambia un po la situazione, altrimenti segui il link che ti ho lasciato ed effetui la cattura direttamente dal pix, io l'ho fatto con l'asa ma credo anche dal pix hai la possibilita di avere un dump in .pcap da leggere con wireshark, unica cosa che ti consiglio e di creare un' access list ad hoc o meglio cattura solo quello che ti serve non vorrei si inkiodasse il pix in produzione poi.
Ok.

Grazie ancora infinite per i consigli.

Poi ti faccio sapere com'e' andata.

A presto
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it