In alcuni casi potrebbe essere necessario analizzare a fondo un allarme per identificare il problema che lo genera. Per fare questo lo Storsmhield ci mette a disposizione l'opzione dump attivabile su ogni allarme. Vediamo però nel dettaglio come questa opzione può aituarci ad analizzare in maniera completa il motivo per cui il FW genera un determinato allarme.
Per prima cosa assicuriamoci di aver configurato Wireshark come External tools sia sul Real Time Monitoring che su Event Reporter
sul Real-Time Montitoring dobbiamo cliccare su File → Application settings→ cliccare sul tab External tools e sotto Path inserire il link a whireshark.exe
sull'Event Reporter dobbiamo cliccare su File → Options→andare sul tab Tools e sotto Packet analyzer inserire il link a whireshark.exe
Ora dobbiamo identificare su quale Inspection profile l'allarme viene generato in modo da abilitare l'opzione dump in maniera corretta, per fare questo non dobbiamo far altro che andare sul Real Time Monitor e identificare il valore presente nalla colonna Config come potete vedere in questo esempio l'allarme in questione è Invalid SSL packet e viene generato dall'Inpsection profile chiamato Outgoing
Dopo aver identificato l'inspection profile apriamo la WEBGUI e andiamo sotto APPLICATION PROTECTION → Applications and protections → selezioniamo l'Inspection Profile corretto(nel nostro esempio Outgoing)
Inseriamo nel campo per la ricerca il testo dell'allarme (nel nostro esempio Invalid SSL packet)
selezioniamo la riga relativa all'allarme su cui dobbiamo fare l'analisi
clicchiamo su Edit e mettiamo il flag su Capture the packet that raised the alarm)
colleghiamoci in ssh al FW e lanciamo un tcpdump in background sulle due interfacce su cui passa il traffico che genere questo allarme utilizzando i filtri del tcpdump in modo da catturare solo il traffico che ci interessa(per maggiori info sul TCPDUMP clicca qui)
mentre il tcpdump via ssh sta girando apriamo il Real Time Monitor e filtriamo per l'allarme che stiamo analizzando
nel momento in cui compare l'allarme con l'icona presente sotto la colonna Packet possiamo aprire e salvare sul nostro pc questo dump(cliccando con il tasto destro e scegliendo l'opzione salva il pacchetto da wireshark)
chiudere il tcpdump sul FW lanciando il comando killall tcpdump
ora scarichiamo i tracciati(utilizzando winscp o similari) completi presi tramite tcpdump dal FW al nostro pc per procedere con l'analisi.
Il dump eseguito dall'ASQ contiene solo i primi 64 byte ma sono sufficenti per darci l'infomrazione che ci serve per identificare questo pacchetto all'interno del tracciato completo. L'informazione che ci serve si chiama Identification e la possiamo trovare aprendo il pacchetto di cui l'ASQ ha fatto il dump ed espandendo la sezione Internet Protocol
ora che abbiamo l'Identification possiamo aprire i tracciati completi con wireshark e lanciare il filtro ip.id == Identification (nel nostro esempio il filtro sarebbe ip.id == 56105)
una volta che abbiamo trovato il pacchetto nel tracciato completo possiamo cliccare con il tasto denstro e selezionare Follow TCP stream per avere tutti i pacchetti che compongono quella sessione
Uploading ....
