blog de Sidewinder en Español

lista de blogs anteriores

Tcpdump y Sidewinder

Tcpdump es un arriamiento de linia de commando que se encuentra en Sidewinder. Permite al usuario capturar y mostrar a tiempo real los paquetes transmitidos y recibidos por el firewall. Cuando quieres verificar traffico en el Sidewinder el tcpdump es un arramiento muy bueno para assisit con "troubleshooting". Tcpdump se hace sobre linia de commando. Se puede hacer con telnet o un clinete de SSH, Putty o otro.

1. Tienes que identificar en que tarjeta de rede quieres ver el traffico.

Connecta a el Sidewinder y entra el commando "srole"para entrar a el role de administrador.

Identifica la trajeta de rede que queires monitoriar con el commando:

FIG 1.


El "output" de este commando te ensenia la informacion sobre las tarjetas de rede.

FIG 2.


Si examinamos este output, tenmos varios linias de texto. Si leamos la primara linia dice fxp0. Aqui se encentra la informacion de esta tarjeta de rede. Vemos que el ip de esta tarjeta es 24.205.228.155, y el burb que esta connectado a esta tarjeta es maclabel secureos/external que es el burb "external". Tambien vemos que la tarjeta esta en status "active" (activo).

Si quieres ver traffico en esta tarjeta hacemos lo siguente.

FIG 3.


Los letras representan:
tcpdump (el commando para levantar tcpdump) -npi

n = no resolver nombres sobre DNS
p = no entra a modo promiscuo
i = interface

fxp0 (el interface de el burb external)

FIG 4.


Aqui vemos que el ip 24.205.228.155(puerto source 62767), se esta communicando a el ip 69.26.180.32 (puerto destino 80 - HTTP) y mas para abajo, 69.26.180.32 esta respondiendo.

Esta ves lo hacemos para el tarjeta fxp1 que esta connectado a el burb internal

FIG 5.


FIG 6.


Aqui vemos que hay traffico desde el ip 10.1.1.2 (mi pc) a 10.1.1.1 fxp1 a puerto 22 (El servidor de SSH en el Sidewinder)

FIG 7.


Si quieres ver trafico que es mas specifico, puedes entrar commandos mas advansados. En este ejemplo, nada mas quiero ver el traffic de HTTP (puerto 80)

FIG 8.


Aqui vemos que hay traffico desde el ip 10.1.1.2 (mi pc) a 207.155.252.47 fxp1 a puerto 80 (un servidor de web en el internet). Tambien vemos que hay traffico desde el ip 10.1.1.55 (otro pc en la rede internal) a 66.94.234.72 a puerto 80 (otro servidor de web en el internet).

Tambien se puede hacer lo proximo para filtrar por un puerto y un host specifico.

FIG 9.


FIG 10.


Se nota que ahora solamente vemos traffico desde 10.1.1.55 a 64.233.167.104 sobre puerto 80.

Si tengo un usuario en una de las rede internas que dice que su traffico no puede salir para afuera, la primera cosa que yo hago es levantar un tcpdump en la rede de endonde viene el traffico, el puerto que desea, y el ip de el pc de endonde viene el traffico. Si no sale nada en el tcpdump, a la mejor es otro problema como:

Firewall de el PC (Windows firewall, etc)
DNS
Reglas de un Router interno
Configuracion de el browser (Mozilla, IE) para los proxys

Muchas Gracias,

- Frank Osgood

lista de blogs anteriores

Si tienes preguntas o recomendaciones para el blog, o para suscribir a ediciones nuevas, por favor manda un correo a fosgood@unsinc.com.

Gracias.

El Blog-ero: Hola. Soy Frank Osgood de Universal Network Solucions (UNS). Yo ha trabajado con el firewall de Sidewinder desde 1999. Este blog pertenesa a observaciones que ha tenido con funciones nuevos y tambien con configuraciones avanzados. Tambien ensenio la clase de certification de Sidewinder 6 y 7. UNS es un ATC de Sidewinder (Centro de Entrenamiento Autorizado). La información en este blog no es sancionada por Secure Computing de ninguna manera.