Mode Debug sur PIX

user_icon admin | icon2 Net | icon4 5/9/2007 14h29| Type doc: article| Type File: txt| icon3 No Comment

Mode Debug sur PIX


1. Mode capture

Imaginons que nous ayons un PIX munis de 4 interfaces et que nous souhaitions vérifier que certains paquets transitent convenablement entre deux interfaces.

La première chose est de se connecter en ssh (ou telnet) au Pix. L'utilisateurs ' MyUser ' ayant les droits suffisants en modification des règles.

ssl -l Myuser @IP_PIX

Les versions du PIX inférieures à 6.2 disposait d'une commande ' debug ' qui permettait de sniffer simplement les paquets. Celle-ci ayant disparue une nouvelle méthode à vue le jour : access-list + capture . Pourquoi faire simple lorsque l'on peut compliquer les choses ;)

Tout dabord il est necessaire de créer une 'access-list' de ce que l'on souhaite vérifier. Par exemple le flux icmp entre deux machines 1.1.1.1 et 2.2.2.2 sur l'interface 'Production'

Le_PIX> en
Password: **********
Le_Pix# conf term
Le_Pix(config)# access-list test permit icmp 1.1.1.1 255.255.255.255 2.2.2.2 255.255.255.255

Celle-ci filtre tous les paquets icmp entre les machine 1.1.1.1 et 2.2.2.2 sur toutes les interfaces. Maintenant nous allons capturer le contenu de l'access-list sur l'interface 'Production'

Le_Pix(config)# capture macapture access-list test interface Production

Tout ce qui répond à l'access-list et qui transite par l'interface Production sera 'stocké' dans 'macapture'.

Testons immédiatement cela à partir de la machine 1.1.1.1 avec un ping à destination de 2.2.2.2. Vérifions le contenu de 'macapture'

Le_Pix(config)# show capture macapture
6 packets captured
   1: 12:53:16.476446 1.1.1.1 > 2.2.2.2: icmp: echo request
   2: 12:53:17.478017 1.1.1.1 > 2.2.2.2: icmp: echo request
...

Nous sommes donc sur que les paquets icmp traverse convenablement le PIX sur l'interface attendue.

En fin d'analyse ne pas oublier de supprimer l'access-list et la capture :

Le_Pix(config)# no access-list test permit icmp 1.1.1.1 255.255.255.255 2.2.2.2 255.255.255.255
Le_Pix(config)# no capture macapture

Conclusion : je regrette la simplicité de la méthode 'debug' des versions précédentes.

2. Packet Tracer

'Paquet Tracer' permet de s'assurer que les paquets traversent convenablement les règles du PIX.

Si on reprend le même exemple que précédement il suffit de remplir les champs adéquats:

Interface: l'interface d'ou sont issus les paquets que l'on souhaite controler

Packet Type: ICMP

SourceIP: 1.1.1.1

Destination IP: 2.2.2.2

Type: echo

code: 8

Et pour finir cliquer sur 'start'.

Les diverses règles sont alors appliquer aux paquets simulés. Si l'on arrive jusqu'à la dernière règle et que celle-ci est de couleur verte alors les paquets transiteront bien jusqu'à la machine de destination.

Par contre si l'une des règles est rouge, le test s'arrète sur celle-ci. Il est alors possible de visualiser l'explication de ce blocage.

En conclusion: le 'packet tracer' peut aider à expliquer pourquoi un paquet est bloqué et/ou transformés.


Add_a_comment

Validator_logo
Catapulse v0.06
( 0.079211 s)