LPS:Bezpečnost/Monitoring síťového provozu
Je-li potřeba zachytit síťovou komunikaci např. pro odhalení podivného chování tiskárny, je možné společně s KPS nastavit mirrorování síťového provozu na stroj horus.
Činnost KPS
Nové páteřní prvky podporují ERSPAN, což je Encapsulated Remote Switched Port Analyzer. Funguje to tak, že potřebný provoz zabalí do GRE tunelu a ten je pak poslán IP sítí přímo na zadanou IP adresu. Na cíli pak stačí zadat filtr "ip proto 47" nebo hexa "ip proto 0x2f".
Jak zahájit odchytávání na horusu
# cd /root/RT# # screen ## tcpdump -i eth0 -nn -s 0 -w proto47.pcap ip proto 47 CTRL+A D
kde RT# je adresář, kam se bude ukládat odchytaná komunikace
kde proto47.pcap je soubor, kam se bude ukládat odchytaná komunikace
CTRL+A D - odpojení od screenu
Informace o souboru s odchytanou komunikací
# capinfos proto47.pcap
kde proto47.pcap je soubor, kam se ukládala odchytaná komunikace
Vyseparování dat v určitém časovém okně
# editcap -A '2018-10-28 20:00:00' -B '2018-10-28 21:30:00' proto47.pcap prot47-vyber.pcap
kde prot47-vyber.pcap je soubor, kde bude odchytaná komunikace pouze v uvedeném časovém rozmezí
Analýza dat WireSharkem
soubor prot47-vyber.pcap je nutno analyzovat Wiresharkem Follow -> TCP stream