Dead Packets

22/09/2011

Verificando e limpando a tabela de sessões no CheckPoint

Filed under: checkpoint,dicas e truques — drak @ 10:23 PM

Post rápido sobre tabela de sessões no Checkpoint, para manipular a tabela de conexões segue:

CONEXÕES:
fw tab -t connections -s (para sumário)
fw tab -t connections -x (para limpar)

A tabela de sessões acima não leva em consideração os NATs, eles estão em outra tabela específica (fwx_alloc):

NAT:
fw tab -t fwx_alloc -s
fw tab -t fwx_alloc -x

Referências
CPshared Forum

Anúncios

02/09/2011

Traceroute passando pelo firewall Cisco ASA

Filed under: cisco,dicas e truques — drak @ 8:40 PM

Depois de um tempo inativo, finalmente um post novo, pequeno para começar com calma 😛

Um recurso muito útil para analisar se determinado tráfego está passando pelos firewalls que você administra é o traceroute, este comando envia pacotes (geralmente UDP se for Linux, ICMP se Windows) com TTL iniciando em 1 e incrementando-os a cada 3 pacotes, ele espera como retorno um pacote ICMP Time Exceeded (type 11, code 0).

Quando um equipamento L3 recebe um pacote antes de roteá-lo ele irá subtrair 1 do TTL do pacote a ser roteado, caso esse valor chegue a zero o roteador irá devolver um pacote de erro ICMP Time Exceeded e o IP da interface que entrou o pacote erá o visto nesse retorno.

Uma dificuldade associada a realizar um traceroute num ambiente que possui firewalls Cisco (tanto PIX quanto ASA) é que, devido à configuração padrão destes equipamentos não subtrairem TTL como um outro device que roteia qualquer os mesmos não aparecem no traceroute, ou seja, ao fazer um traceroute entre a rede interna e a DMZ você não irá ver nenhum IP da interface do firewall no resultado.

Essa tecnologia funciona dessa maneira pois provê uma segurança adicional, tornando o firewall “invisível” na rede, porém há casos de redes complexas em que a necessidade de facilitar o troubleshooting é maior do que o risco de expor o IP do firewall em um traceroute, e para esse caso é possível implementar uma configuração no ASA para que ele apareça no traceroute, basta seguir o seguinte artigo da Cisco: Make the Firewall Show Up in a Traceroute in ASA/PIX

Referências
ICMPv4 Traceroute Messages
Traceroute
ASA/PIX/FWSM: Handling ICMP Pings and Traceroute

Blog no WordPress.com.