Sniffando pacotes em Firewalls Cisco PIX, ASA e FWSM
Uma ferramenta extremamente necessária para fazer um troubleshooting em uma rede é um sniffer.
Vejo muitas pessoas reclamando da falta de opções de se fazer isso em firewalls Cisco, uma coisa que não é verdade. Até mesmo porque utilizo diariamente em meu trabalho.
Tentarei explicar então como você pode sniffar pacotes dentro de Firewalls da Cisco.
Ex: Cisco Pix, Cisco ASA e FWSM. Gostaria de lembrar que o capture nao funciona corretamente em
Firewalls FWSM versões inferiores a 3. Pelo que pude perceber ele so faz sniffer de trafego direcionado a interface do próprio Firewall.
Criando ACL's
A Primeira coisa que deve ser feita é a criação da access-list para o trafego desejado. Basicamente a idéia é restrigir o sniffer a apenas o trafego que você realmente quer ver. Eu não recomendo utilizar
"any" em roteadores com grande Tráfego de dados.
PIX# config t
PIX(config)# access-list webcap line 1 extended permit tcp any host 192.168.1.1 eq 80
PIX(config)# access-list webcap line 2 extended permit tcp host 192.168.1.1 eq 80 any
PIX(config)# exit
No exemplo acima foi criado uma access-list chamada webcap e nela estou restringindo tudo que entra para o ip 192.168.1.1 na porta 80. E tudo sai da porta 80 do 192.168.1.1.
Listando sua Access-List
PIX# show access-list webcap access-list webcap; 2 elements access-list webcap line 1 extended permit tcp any host 192.168.1.1 eq www (hitcnt=0) access-list webcap line 2 extended permit tcp host 192.168.1.1 eq www any (hitcnt=0)
Como podem ver o hitcount da access-list é 0 e vai continuar assim pq essa access-list nao será aplicada na interface será usada apenas para o capture.
Criando o Capture para ver o trafego
PIX# capture webcapinside access-list webcap interface inside
PIX# capture webcapoutside access-list webcap interface outside
No exemplo acima eu criei 2 captures para serem vistos, 1 para interface inside e outro para interface outside. Ou