LPS:Bezpečnost/Monitoring síťového provozu

Z HelpDesk

Je-li potřeba zachytit síťovou komunikaci např. pro odhalení podivného chování tiskárny, je možné společně s KPS nastavit mirrorování síťového provozu na stroj horus.

Činnost KPS

Nové páteřní prvky podporují ERSPAN, což je Encapsulated Remote Switched Port Analyzer. Funguje to tak, že potřebný provoz zabalí do GRE tunelu a ten je pak poslán IP sítí přímo na zadanou IP adresu. Na cíli pak stačí zadat filtr "ip proto 47" nebo hexa "ip proto 0x2f".

Jak zahájit odchytávání na horusu

# cd /root/RT#
# screen
## tcpdump -i eth0 -nn -s 0 -w proto47.pcap ip proto 47
CTRL+A D

kde RT# je adresář, kam se bude ukládat odchytaná komunikace

kde proto47.pcap je soubor, kam se bude ukládat odchytaná komunikace

CTRL+A D - odpojení od screenu

Informace o souboru s odchytanou komunikací

# capinfos proto47.pcap

kde proto47.pcap je soubor, kam se ukládala odchytaná komunikace

Vyseparování dat v určitém časovém okně

# editcap -A '2018-10-28 20:00:00' -B '2018-10-28 21:30:00' proto47.pcap prot47-vyber.pcap

kde prot47-vyber.pcap je soubor, kde bude odchytaná komunikace pouze v uvedeném časovém rozmezí

Analýza dat WireSharkem

soubor prot47-vyber.pcap je nutno analyzovat Wiresharkem
Follow -> TCP stream