Packet_Monitor
Para maior conveniência e acessibilidade, a página Monitor de pacotes pode ser acessada em Painel > Monitor de pacotes ou Sistema > Monitor de pacotes. A página é idêntica, independentemente da guia por meio da qual é acessada.
As seções a seguir descrevem como usar o Monitor de pacotes:
• Visão geral do Monitor de pacotes
• Tarefas de configuração dos relatórios de ameaças Dell SonicWALL
• Usando o monitor de pacotes e o espelho de pacotes
Visão geral do Monitor de pacotes
Esta seção fornece uma apresentação do recurso monitor de pacotes do SonicOS. Esta seção contém as seguintes subseções:
• O quê são Relatórios de ameaças?
• Como funcionam os relatórios de ameaças?
• Definição de Espelhos de pacotes
• Como funciona o Espelho de pacotes?
O que é o Monitor de pacotes?
O Monitor de pacotes é um mecanismo que permite o monitoramento de pacotes individuais de dados que atravessam o dispositivo Dell SonicWALL. Os pacotes podem ser monitorados ou espelhados. Os pacotes monitorados contêm informações de dados e de endereçamento. As informações de endereçamento do cabeçalho do pacote incluem os seguintes itens:
• Identificação da interface
• Endereços MAC
• Tipo de Ethernet
• Tipo de Protocolo de Internet (IP)
• Endereços IP de origem e destino
• Números de portas
• Detalhes da carga L2TP
• Detalhes das negociações PPP
É possível configurar o recurso Monitor de pacotes na interface de gerenciamento do SonicOS. A interface de gerenciamento fornece uma maneira de configurar os critérios do monitor, configurações de exibição, configurações de espelho e configurações do arquivo de exportação, além de exibir os pacotes capturados.
Vantagens do Monitor de pacotes
O recurso Monitor de pacotes do SonicOS fornece a funcionalidade e a flexibilidade que você precisa para examinar o tráfego da rede sem o uso de utilitários externos, como o Wireshark (anteriormente conhecido como Ethereal). O Monitor de pacotes inclui os seguintes recursos:
• Mecanismo de controle com granularidade avançada para filtragem personalizada (Filtro do monitor)
• Configurações de filtro de exibição independentes das configurações do filtro do monitor
• O status do pacote indica se o pacote foi descartado, encaminhado, gerado ou consumido pelo firewall
• Saída com três janelas na interface de gerenciamento:
– Lista de pacotes
– Saída decodificada do pacote selecionado
– Despejo hexadecimal do pacote selecionado
• Os recursos de exportação incluem formato de texto ou HTML com despejo hexadecimal dos pacotes, além do formato de arquivo CAP
• Exportação automática para o servidor FTP quando o buffer estiver cheio
• Monitor de pacotes bidirecional com base na porta e endereço IP
• Delimitação configurável do buffer do Monitor de pacotes quando estiver cheio
Como funciona o Monitor de pacotes?
Como administrador, é possível definir as configurações gerais, filtro do monitor, filtro de exibição, configurações avançadas de filtro e configurações de FTP da ferramenta do Monitor de pacotes. Conforme os pacotes da rede forem inseridos no subsistema do Monitor de pacotes, as configurações de filtro do monitor são aplicadas e os pacotes resultantes são gravados no buffer de captura. As configurações de filtro de exibição são aplicadas conforme o conteúdo do buffer é exibido na interface de gerenciamento. É possível registrar o buffer de captura para ser exibido na interface de gerenciamento ou configurar a transferência automática para o servidor FTP quando o buffer estiver cheio.
As configurações padrão são fornecidas para que você possa começar a usar o Monitor de pacotes sem configurá-lo primeiro. A funcionalidade básica é a seguinte:
|
Consulte a figura abaixo para exibir uma visualização de alto nível do subsistema do Monitor de pacotes. Ela mostra os diferentes filtros e como eles são aplicados.
Definição de Espelhos de pacotes
O espelhamento de pacotes é o processo de envio de uma cópia de pacotes visualizados em uma interface para outra interface ou para um dispositivo Dell SonicWALL remoto.
Existem dois aspectos de espelhamento:
Classificação – Refere-se à identificação de um conjunto selecionado de pacotes que serão espelhados. Os pacotes de entrada e saída para e de uma interface são comparados com um filtro. Se eles não forem correspondentes, a ação de espelhamento será aplicada.
Ação – Refere-se ao envio de uma cópia dos pacotes selecionados para uma porta ou um destino remoto. Os pacotes que correspondem a um filtro de classificação são enviados a um dos destinos de espelhamento. Um destino específico de espelho faz parte do identificador de ação.
Plataformas suportadas para espelhamento de pacotes
Em todos os dispositivos da série Dell SonicWALL NSA executando o SonicOS Enhanced 5.6 ou superior, o espelhamento de pacotes é totalmente suportado.
Em todos os dispositivos da série Dell SonicWALL TZ executando o SonicOS Enhanced 5.6 ou superior, o espelhamento de pacotes é parcialmente suportado da seguinte forma:
• O espelhamento local não é suportado.
• O espelhamento remoto é suportado para o envio e recepção de pacotes espelhados.
Como funciona o Espelho de pacotes?
Cada filtro de classificação está associado a um identificador de ação. Até dois identificadores de ação podem ser definidos, que suportam dois destinos de espelho (uma porta física no mesmo firewall e/ou um firewall Dell SonicWALL remoto). Os identificadores de ação determinam o modo como um pacote é espelhado. Os seguintes tipos de identificadores de ação são suportados:
• Enviar uma cópia para uma porta física.
• Encapsular o pacote e enviá-lo para um dispositivo Dell SonicWALL remoto.
• Enviar uma cópia para uma porta física com uma VLAN configurada.
A classificação é realizada nas guias Filtro do monitor e Filtro avançado do monitor da janela Configuração do Monitor de pacotes.
Um firewall Dell Sonicwall local pode ser configurado para receber o tráfego espelhado remotamente de um firewall Dell SonicWALL remoto. No firewall local, o tráfego espelhado recebido pode ser salvo no buffer de captura ou enviado para outra interface local. Isso é configurado na seção Configurações remotas do espelho (Receptor), na guia Espelho da janela de Configuração do Monitor de pacotes.
O SonicOS Enhanced 5.6 e superior suporta as seguintes opções de espelhamento de pacotes:
• Espelhamento de pacotes para uma interface especificada (Espelhamento local).
• Espelhamento do tráfego selecionado apenas.
• Espelhamento do tráfego decodificado SSL.
• Espelhamento completo de pacotes, incluindo os cabeçalhos das Camadas 2 e 3, bem como a carga.
• Espelhar pacotes para um dispositivo de segurança de rede Dell SonicWALL remoto (Transmissão do espelhamento remoto).
• Receba pacotes espelhados de um dispositivo Dell SonicWALL remoto (Recepção do espelhamento remoto).
Configurando o Monitor de pacotes
É possível acessar a ferramenta do Monitor de pacotes na página Painel > Monitor de pacotes da interface de gerenciamento do SonicOS. Existem seis áreas principais de configuração para o Monitor de pacotes, uma das quais serve especificamente para o espelhamento de pacotes. As seções a seguir descrevem as opções de configuração e fornecem procedimentos para o acesso e definição das configurações do filtro, configurações do registro e configurações do espelho:
• Definindo as configurações gerais
• Configurando o monitoramento com base em regras do firewall
• Definindo as configurações de filtro do monitor
• Definindo as configurações do filtro de exibição
• Definindo as configurações do registro em log
• Definindo as configurações avançadas de filtro do monitor
• Definindo as configurações do espelho
Definindo as configurações gerais
Esta seção descreve como definir as configurações gerais do Monitor de pacotes, incluindo o número de bytes que serão capturados por pacote e a opção de encapsulamento do buffer. É possível especificar o número de bytes usando decimais ou hexadecimais, com um valor mínimo de 64. A opção de encapsulamento do buffer permite que a captura de pacotes continue mesmo quando o buffer se tornar cheio, substituindo o buffer desde o início.
Para definir as configurações gerais, siga as etapas a seguir:
1. Vá até a página Painel > Monitor de pacotes e clique em Configurar.
2. Na janela Configuração do Monitor de pacotes, clique na guia Configurações.
Em Configurações gerais na caixa Número de bytes que serão capturados (por pacote), digite o número de bytes que serão capturados de cada pacote. O valor mínimo é 64.
4. Para continuar a captura de pacotes após o preenchimento do buffer, selecione a caixa de seleção Encapsular buffer de captura quanto estiver cheio. Selecionar esta opção fará com que a captura de pacotes comece a registrar os pacotes capturados no início do buffer novamente após o preenchimento total do buffer. Esta opção não terá nenhum efeito se o registro em log do servidor FTP estiver habilitado na guia Registro em log, porque o buffer é automaticamente encapsulado quando o FTP estiver habilitado.
5. Em Excluir filtro, selecione Excluir tráfego de GMS criptografado para impedir a captura ou o espelhamento do gerenciamento do tráfego criptografado ou tráfego do syslog de ou para o Dell SonicWALL GMS. Esta configuração afeta somente o tráfego criptografado em um túnel de GMS primário ou secundário configurado. O tráfego de gerenciamento de GMS não será excluído se ele for enviado por meio de um túnel separado.
6. Use as configurações Excluir o tráfego de gerenciamento para impedir a captura ou o espelhamento do tráfego de gerenciamento para o dispositivo. Marque a caixa de seleção para cada tipo de tráfego (HTTP/HTTPS, SNMP ou SSH) que será excluído. Se o tráfego de gerenciamento for enviado por meio de um túnel, os pacotes não serão excluídos.
7. Use as configurações Excluir o tráfego do syslog para impedir a captura ou o espelhamento do tráfego de syslog para os servidores do registro em log. Marque a caixa de seleção para cada tipo de servidor (Servidores do syslog ou Servidor do GMS) que serão excluídos. Se o tráfego do syslog for enviado por meio de um túnel, os pacotes não serão excluídos.
8. Use as configurações Excluir o tráfego interno para impedir a captura ou o espelhamento do tráfego interno entre o dispositivo Dell SonicWALL e seu parceiro de Alta Disponibilidade ou um SonicPoint conectado. Marque a caixa de seleção para cada tipo de tráfego (HA ou SonicPoint) que será excluído.
9. Para salvar suas configurações e sair da janela de configuração, clique em OK.
Configurando o monitoramento com base em regras do firewall
Os recursos do Monitor de pacotes e Relatórios de fluxo permitem que o tráfego seja monitorado com base em regras do firewall para fluxos de tráfego de entrada ou saída específicos. Esse conjunto de recursos é habilitado ao selecionar o monitoramento de fluxos na área Firewall > Regras de acesso da interface de gerenciamento do SonicOS.
Para definir as configurações gerais, siga as etapas a seguir:
1. Vá até a página Firewall > Regras de acesso e clique no ícone Configurar para a(s) regra(s) para as quais deseja habilitar o Monitoramento de pacotes ou o relatório de fluxo.
2. Selecione a caixa de seleção Habilitar monitor de pacotes para enviar as estatísticas de Monitoramento dos pacotes para esta regra.
3. Clique no botão OK para salvar as alterações.
Note Um maior número de configurações de filtro do monitor é necessário na página Painel > Monitor de pacotes para habilitar o monitoramento com base em regras do firewall.
Definindo as configurações de filtro do monitor
Todos os filtros definidos nesta página aplicam-se à captura de pacotes e ao espelhamento de pacotes. Para definir as configurações do Filtro do monitor, siga as etapas a seguir:
1. Vá até a página Painel > Monitor de pacotes e clique em Configurar.
2. Na janela Configuração do Monitor de pacotes, clique na guia Filtro do monitor.
Selecione Habilitar filtro com base em regras do firewall se você estiver usando regras do firewall para capturar o tráfego específico.
Note Antes que a opção “Habilitar filtro com base em regras do firewall” seja selecionada, verifique se você selecionou uma ou mais regras de acesso para o monitoramento do tráfego de pacotes. Esta configuração é feita na página Firewall > Regras de acesso da interface de gerenciamento do SonicOS.
4. Especifique o modo como o Monitor de pacotes filtrará os pacotes usando as opções a seguir:
• Nome(s) da interface – É possível especificar até dez interfaces separadas por vírgulas. Consulte a tela Rede > Interfaces na interface de gerenciamento para obter os nomes de interface disponíveis. É possível usar um valor negativo para configurar todas as interfaces exceto a(s) especificada(s); por exemplo: !X0 ou !LAN.
• Tipos de Ethernet – É possível especificar até dez tipos de Ethernet separadas por vírgulas. Atualmente, existe suporte para os seguintes tipos de Ethernet: ARP, IP, PPPoE-SES e PPPoE-DIS. As duas últimas podem ser especificadas somente pela PPPoE. Esta opção não diferencia maiúsculas de minúsculas. Por exemplo, para capturar todos os tipos suportados, você poderia inserir: ARP, IP, PPPOE. É possível usar um ou mais valores negativos para capturar todos os tipos de Ethernet, exceto aqueles especificados; por exemplo: !ARP, !PPPoE. Também é possível usar valores hexadecimais para representar os tipos de Ethernet ou misturar valores hexadecimais com as representações padrão; por exemplo: ARP, 0x800, IP. Geralmente, você usaria somente valores hexadecimais para os tipos de Ethernet que não são suportados por acrônimo no SonicOS Enhanced. Consulte Tipos de pacotes suportados.
• Tipo(s) de IP – É possível especificar até dez tipos de IP separados por vírgulas. Os seguintes tipos IP são suportados: TCP, UDP, ICMP, GRE, IGMP, AH, ESP. Esta opção não diferencia maiúsculas de minúsculas. É possível usar um ou mais valores negativos para capturar todos os tipos de IP, exceto aqueles especificados; por exemplo: !TCP, !UDP. Também é possível usar valores hexadecimais para representar os tipos de IP ou misturar valores hexadecimais com as representações padrão; por exemplo: TCP, 0x1, 0x6. Consulte Tipos de pacotes suportados.
• Endereço(s) IP de origem – É possível especificar até dez endereços IP separados por vírgulas; por exemplo: 10.1.1.1, 192.2.2.2. É possível usar um ou mais valores negativos para capturar pacotes de todos os endereços, exceto os especificados; por exemplo: !10.3.3.3, !10.4.4.4.
• Porta(s) de origem – É possível especificar até dez números de porta TCP ou UDP separadas por vírgulas; por exemplo: 20, 21, 22, 25. É possível usar um ou mais valores negativos para capturar pacotes de todas as portas, exceto as especificadas; por exemplo: !80, !8080.
• Endereço(s) IP de destino – É possível especificar até dez endereços IP separados por vírgulas; por exemplo: 10.1.1.1, 192.2.2.2. É possível usar um ou mais valores negativos para capturar pacotes destinados para todos os endereços, exceto os especificados; por exemplo: !10.3.3.3, !10.4.4.4.
• Porta(s) de destino – É possível especificar até dez números de porta TCP ou UDP separadas por vírgulas; por exemplo: 20, 21, 22, 25. É possível usar um ou mais valores negativos para capturar pacotes destinados para todas as portas, exceto as especificadas; por exemplo: !80, !8080.
• Correspondência de portas e endereço bidirecional – Quando essa opção é selecionada, as portas e endereços IP especificados nos campos de Origem ou Destino nesta página serão comparados com os campos de origem e destino em cada pacote.
• Somente pacotes encaminhados – Selecione esta opção para monitorar todos os pacotes que são encaminhados pelo firewall.
• Somente pacotes consumidos – Selecione esta opção para monitorar todos os pacotes que são consumidos por fontes internas dentro do firewall.
• Somente pacotes descartados – Selecione esta opção para monitorar todos os pacotes que são descartados no perímetro.
Note Se um campo for deixado em branco, nenhuma filtragem é feita nesse campo. Os pacotes são capturados ou espelhados sem considerar o valor contido no campo de seus cabeçalhos.
5. Para salvar suas configurações e sair da janela de configuração, clique em OK.
Definindo as configurações do filtro de exibição
Esta seção descreve como definir as configurações do filtro de exibição do Monitor de pacotes. Os valores fornecidos aqui são comparados com os campos correspondentes nos pacotes capturados e somente os pacotes correspondentes são exibidos. Essas configurações se aplicam somente à exibição dos pacotes capturados na interface de gerenciamento e não afetam o espelhamento de pacotes.
Note Se um campo for deixado em branco, nenhuma filtragem é feita nesse campo. Os pacotes são exibidos sem considerar o valor contido no campo de seus cabeçalhos.
Para definir as configurações do filtro de exibição do Monitor de pacotes, siga as etapas a seguir:
1. Vá até a página Painel > Monitor de pacotes e clique em Configurar.
2. Na janela Configuração do Monitor de pacotes, clique na guia Filtro de exibição.
Na caixa Nome(s) da interface, insira as interfaces do dispositivo Dell SonicWALL para as quais os pacotes deverão ser exibidos ou use o formato negativo (!X0) para exibir os pacotes capturados de todas as interfaces, exceto aquelas especificadas. É possível especificar até dez interfaces separadas por vírgulas. Consulte a tela Rede > Interfaces na interface de gerenciamento para obter os nomes de interface disponíveis.
4. Na caixa Tipo(s) de Ethernet, insira os tipos de Ethernet para os quais você deseja exibir os pacotes ou use o formato negativo (!ARP) para exibir os pacotes de todos os tipos de Ethernet, exceto aqueles especificados. É possível especificar até dez tipos de Ethernet separados por vírgulas. Atualmente, existe suporte para os seguintes tipos de Ethernet: ARP, IP, PPPoE-SES e PPPoE-DIS. As duas últimas podem ser especificadas somente pela PPPoE. Também é possível usar valores hexadecimais para representar os tipos de Ethernet ou misturar valores hexadecimais com as representações padrão; por exemplo: ARP, 0x800, IP. Geralmente, você usaria somente valores hexadecimais para os tipos de Ethernet que não são suportados por acrônimo no SonicOS Enhanced. Consulte Tipos de pacotes suportados.
5. Na caixa Tipo(s) de IP, insira os tipos de pacotes IP para os quais você deseja exibir os pacotes ou use o formato negativo (!UDP) para exibir os pacotes de todos os tipos de IP, exceto aqueles especificados. É possível especificar até dez tipos de IP separados por vírgulas. Os seguintes tipos IP são suportados: TCP, UDP, ICMP, GRE, IGMP, AH, ESP. Também é possível usar valores hexadecimais para representar os tipos de IP ou misturar valores hexadecimais com as representações padrão; por exemplo: TCP, 0x1, 0x6. Consulte Tipos de pacotes suportados. Para exibir todos os tipos de IP, deixe o campo em branco.
6. Na caixa Endereço(s) IP de origem, insira os endereços IP dos quais você deseja exibir os pacotes ou use o formato negativo (!10.1.2.3) para exibir os pacotes capturados de todos os endereços de origem, exceto aqueles especificados.
7. Na caixa Porta(s) de origem, insira os números de porta das quais você deseja exibir os pacotes ou use o formato negativo (!25) para exibir os pacotes capturados de todas as portas de origem, exceto aquelas especificadas.
8. Na caixa Endereço(s) IP de destino, insira os endereços IP para os quais você deseja exibir os pacotes ou use o formato negativo (!10.1.2.3) para exibir os pacotes com todos os endereços de destino, exceto aqueles especificados.
9. Na caixa Porta(s) de destino, insira os números de porta para as quais você deseja exibir os pacotes ou use o formato negativo (!80) para exibir os pacotes com todas as portas de destino, exceto aquelas especificadas.
10. Para a correspondência dos valores nos campos de origem e destino com as informações de origem ou destino de cada pacote capturado, selecione a caixa de seleção Habilitar Correspondência de portas e endereço bidirecional.
11. Para exibir os pacotes capturados encaminhados pelo dispositivo Dell SonicWALL, selecione a caixa de seleção Encaminhados.
12. Para exibir os pacotes capturados gerados pelo dispositivo Dell SonicWALL gerado, selecione a caixa de seleção Gerados.
13. Para exibir os pacotes capturados consumidos pelo dispositivo Dell SonicWALL consumido, selecione a caixa de seleção Consumidos.
14. Para exibir os pacotes capturados descartados pelo dispositivo Dell SonicWALL descartado, selecione a caixa de seleção Descartados.
15. Para salvar suas configurações e sair da janela de configuração, clique em OK.
Definindo as configurações do registro em log
Esta seção descreve como definir as configurações do registro em log do Monitor de pacotes. Essas configurações fornecem uma maneira de configurar o registro automático em log do buffer de captura para um servidor FTP externo. Quando o buffer estiver cheio, os pacotes são transferidos para o servidor FTP. A captura continua sem interrupção.
Se você configurar o registro automático em log do FTP, isso substituirá a configuração de encapsulamento do buffer quando ele estiver cheio. Com o registro automático em log do FTP, o buffer de captura é encapsulado de forma eficaz quando ele estiver cheio, mas também é possível manter todos os dados em vez de substituí-los sempre que o buffer for encapsulado.
Para definir as configurações do registro em log, siga as próximas etapas:
1. Vá até a página Painel > Monitor de pacotes e clique em Configurar.
2. Na janela Configuração do Monitor de pacotes, clique na guia Registro em log.
Na caixa Endereço IP do servidor FTP, insira o endereço IP do servidor FTP.
Note Verifique se o endereço IP do servidor FTP é alcançável pelo dispositivo Dell SonicWALL. Não há suporte para um endereço IP que seja alcançável somente por meio de um túnel VPN.
4. Na caixa ID de login, insira o nome do login que o dispositivo Dell SonicWALL deve usar para se conectar ao servidor FTP.
5. Na caixa ID de senha, insira o nome da senha que o dispositivo Dell SonicWALL deve usar para se conectar ao servidor FTP.
6. Na caixa Caminho do diretório, insira o local do diretório para os arquivos transferidos. Os arquivos são registrados neste local, referentes ao diretório raiz do FTP padrão. Para o formato libcap, os arquivos são nomeados “packet-log--<>.cap”, onde o <> contém um número de execução e data, incluindo hora, dia, mês e ano. Por exemplo, packet-log--3-22-08292006.cap. Para o formato HTML, os nomes dos arquivo estão no formulário: “packet-log_h-<>.html”. Um exemplo de um nome de arquivo HTML é: packet-log_h-3-22-08292006.html.
7. Para ativar a transferência automática do arquivo de captura para o servidor FTP quando o buffer estiver cheio, selecione a caixa de seleção Registrar em log no servidor FTP automaticamente. Os arquivos são transferidos nos formatos libcap e HTML.
8. Para habilitar a transferência do arquivo no formato HTML, bem como no formato libcap, selecione Registrar em log o arquivo HTML junto com o arquivo .cap (FTP).
9. Para testar a conexão com o servidor FTP e transferir o conteúdo do buffer de captura para ele, clique em Registrar em log agora. Nesse caso, o nome do arquivo conterá um ‘F’. Por exemplo, packet-log-F-3-22-08292006.cap ou packet-log_h-F-3-22-08292006.html.
10. Para salvar suas configurações e sair da janela de configuração, clique em OK.
Reiniciar o registro em log do FTP
Se o registro automático em log do FTP estiver desativado devido a uma falha de conexão ou uma conexão simplesmente desativada, é possível reiniciá-lo em Configurar > Registro em log.
1. Vá até a página Painel > Monitor de pacotes e clique em Configurar.
2. Na janela Configuração do Monitor de pacotes, clique na guia Registro em log.
3. Verifique se as configurações estão corretas para todos os itens da página. Consulte Definindo as configurações do registro em log.
4. Para alterar o status do registro em log do FTP na página principal do Monitor de pacotes para “ativo”, selecione a caixa de seleção Registrar em log no servidor FTP automaticamente.
5. Para salvar suas configurações e sair da janela de configuração, clique em OK.
Definindo as configurações avançadas de filtro do monitor
Esta seção descreve como configurar o monitoramento dos pacotes gerados pelo dispositivo Dell SonicWALL e para o tráfego intermediário.
1. Vá até a página Painel > Monitor de pacotes e clique em Configurar.
2. Na janela Configuração do Monitor de pacotes, clique na guia Filtro avançado do monitor.
Para monitorar os pacotes gerados pelo dispositivo Dell SonicWALL, selecione a caixa de seleção Monitorar pacotes gerados pelo firewall.
Mesmo quando outros filtros do monitor não forem correspondentes, essa opção garante que os pacotes gerados pelo dispositivo Dell SonicWALL sejam capturados. Isto inclui os pacotes gerados por servidores HTTP(S), L2TP, DHCP, PPP, PPPOE e protocolos de roteamento. Os pacotes capturados são marcados com ‘s’ na área de interface de entrada quando eles são provenientes da pilha do sistema. Caso contrário, a interface de entrada não será especificada.
4. Para monitorar os pacotes intermediários gerados pelo dispositivo Dell SonicWALL, selecione a caixa de seleção Monitorar pacotes intermediários. Selecionar esta caixa de seleção habilita, mas não seleciona, as caixas de seleção subsequentes para o monitoramento de tipos específicos de tráfego intermediário.
5. Selecione a caixa de seleção para qualquer uma das opções a seguir para monitorar esse tipo de tráfego intermediário:
• Monitorar tráfego intermediário de multicast – Captura ou espelha o tráfego de multicast replicado.
• Monitorar tráfego auxiliar intermediário do IP – Captura ou espelha Pacotes auxiliares do IP replicados.
• Monitorar tráfego intermediário reagrupado – Captura ou espelha pacotes do IP reagrupados.
• Monitorar tráfego intermediário fragmentado – Captura ou espelha pacotes fragmentados pelo firewall.
• Monitorar tráfego espelhado intermediário remoto – Captura ou espelha pacotes espelhados remotos após o desencapsulamento.
• Monitorar tráfego intermediário do IPsec – Captura ou espelha pacotes do IPSec após a criptografia e decodificação.
• Monitorar tráfego intermediário decodificado do SSL – Captura ou espelha pacotes SSL decodificados. Alguns campos do cabeçalho do IP e TCP podem não ser precisos nos pacotes monitorados, incluindo as somas de verificação do IP e TCP e os números de porta TCP (remapeados para a porta 80). O DPI-SSL deve estar habilitado para decodificar os pacotes.
• Monitorar tráfego intermediário decodificado do LDAP sobre os pacotes TLS – Captura ou espelha os pacotes LDAPS decodificados. Os pacotes são marcados com “(ldp)” nos campos de interface de entrada/saída e terão cabeçalhos Ethernet, IP e TCP fictícios com alguns campos não precisos. O servidor do LDAP está definido para 389. As senhas de solicitações de ligação LDAP capturadas são confusas.
• Monitorar mensagens decodificadas de agentes intermediários de Login Único – Captura ou espelha mensagens decodificadas de ou para o Agente SSO. Os pacotes são marcados com “(sso)” nos campos de interface de entrada/saída e terão cabeçalhos Ethernet, IP e TCP fictícios com alguns campos não precisos.
Note Os filtros do monitor ainda são aplicados a todos os tipos de tráfego intermediário.
6. Para salvar suas configurações e sair da janela de configuração, clique em OK.
Definindo as configurações do espelho
Esta seção descreve como definir as configurações do espelho do Monitor de pacotes. As configurações do espelho fornecem uma maneira de enviar pacotes a uma porta física diferente do mesmo firewall ou de enviar ou receber pacotes de um firewall Dell SonicWALL remoto.
Para definir as configurações do espelho, siga as etapas a seguir:
1. Vá até a página Painel > Monitor de pacotes e clique em Configurar.
2. Na janela Configuração do Monitor de pacotes, clique na guia Espelho.
Em Configurações do espelho, insira a taxa máxima do espelho desejada no campo Taxa máxima do espelho (em quilobits por segundo). Se essa taxa for ultrapassada durante o espelhamento, os pacotes em excesso não serão espelhados e serão contados como pacotes ignorados. Esta configuração aplica-se ao espelhamento local e remoto. O valor padrão e mínimo é de 100 kbps e o valor máximo é de 1 Gbps.
4. Selecione a caixa de seleção Espelhar somente pacotes do IP para impedir o espelhamento de outros pacotes do tipo Ethernet, como ARP ou PPPoE. Se for selecionada, esta opção substitui todos os tipos de Ethernet fora do IP selecionados na guia Filtro do monitor.
5. Em Configurações do espelho local, selecione a interface de destino para os pacotes espelhados localmente na lista suspensa Espelhar pacotes filtrados para a interface (somente plataformas NSA).
6. Em Configurações do espelho remoto (Remetente), no campo Espelhar pacotes filtrados para o firewall Dell SonicWALL remoto (Endereço IP) insira o endereço IP do SonicWALL remoto para o qual os pacotes espelhados serão enviados.
Note O Dell SonicWALL remoto deve ser configurado para receber os pacotes espelhados.
7. No campo Criptografar pacotes espelhados remotos via IPSec (chave IKE pré-compartilhada), insira a chave pré-compartilhada que será utilizada para criptografar o tráfego ao enviar pacotes espelhados para o Dell SonicWALL remoto. Configurar este campo habilitará o túnel do modo de transporte IPSec entre este dispositivo e o Dell SonicWALL remoto. Esta chave pré-compartilhada é utilizada pelo IKE para negociar as chaves do IPSec.
Note A opção Criptografar pacotes espelhados remotos via IPSec (chave IKE pré-compartilhada) está inativa no SonicOS Enhanced 5.6 e será suportada em uma versão futura.
8. Em Configurações do espelho remoto (Receptor), no campo Receber pacotes espelhados para o firewall Dell SonicWALL remoto (Endereço IP) insira o endereço IP do Dell SonicWALL remoto para o qual os pacotes espelhados serão enviados.
Note O Dell SonicWALL remoto deve ser configurado para enviar os pacotes espelhados.
9. No campo Decodificar pacotes espelhados remotos via IPSec (chave IKE pré-compartilhada), insira a chave pré-compartilhada que será utilizada para decodificar o tráfego ao receber pacotes espelhados do Dell SonicWALL remoto. Configurar este campo habilitará o túnel do modo de transporte IPSec entre este dispositivo e o Dell SonicWALL remoto. Esta chave pré-compartilhada é utilizada pelo IKE para negociar as chaves do IPSec.
Note A opção Criptografar pacotes espelhados remotos via IPSec (chave IKE pré-compartilhada) está inativa no SonicOS Enhanced 5.6 e será suportada em uma versão futura.
10. Para espelhar os pacotes recebidos para outra interface no Dell SonicWALL local, selecione a interface na lista suspensa Enviar pacotes espelhados remotos recebidos para a interface (somente plataformas NSA).
11. Para salvar os pacotes recebidos no buffer de captura local, selecione a caixa de seleção Enviar pacotes espelhados remotos recebidos para o buffer de captura. Essa opção não depende do envio dos pacotes recebidos para outra interface e as duas podem ser ativadas, se desejado.
12. Para salvar suas configurações e sair da janela de configuração, clique em OK.
Usando o monitor de pacotes e o espelho de pacotes
Além do botão Configurar, a parte superior da página Painel > Monitor de pacotes oferece vários botões para o controle geral de recurso e exibição do Monitor de pacotes. Eles incluem o seguinte:
• Monitorar tudo – redefine as configurações atuais do filtro de monitor e configurações avançadas de página para que o tráfego em todas as interfaces locais seja monitorado. Uma caixa de diálogo de confirmação será exibida ao clicar neste botão.
• Monitor padrão - redefine as configurações atuais do filtro do monitor e as configurações avançadas de página para as configurações padrão de fábrica. Uma caixa de diálogo de confirmação será exibida ao clicar neste botão.
• Limpar – limpa a fila de Monitores de pacotes e as estatísticas exibidas para o buffer de captura, espelhamento e criação de log FTP. Uma caixa de diálogo de confirmação será exibida ao clicar neste botão.
• Atualizar – atualiza as janelas de exibição de pacotes nesta página para mostrar novos dados de buffer.
A página Painel > Monitor de pacotes é mostrada abaixo:
Para obter explicações sobre os indicadores de status na parte superior da página, consulte Noções básicas sobre os indicadores de status.
Os outros botões e exibições nesta página são descritos nas seções a seguir:
• Iniciando e interrompendo a captura de pacotes
• Iniciando e parando o espelho de pacotes
Iniciando e interrompendo a captura de pacotes
É possível iniciar uma captura de pacotes que usa configurações padrão sem configurar critérios específicos para captura de pacotes, exibição, exportação de FTP e outras configurações. Se você iniciar uma captura de pacotes padrão, o dispositivo Dell SonicWALL capturará todos os pacotes, exceto aqueles para comunicação interna e será interrompido quando o buffer estiver completo ou ao clicar em Parar captura.
1. Vá até a página Painel > Monitor de pacotes.
2. Opcionalmente, clique em Limpar para definir as estatísticas de volta a zero.
3. Em Monitor de pacotes, clique em Iniciar captura.
4. Para atualizar as janelas de exibição de pacotes para mostrar novos dados de buffer, clique em Atualizar.
5. Para parar a captura de pacotes, clique em Parar captura.
É possível exibir os pacotes capturados nas seções Pacotes capturados, Detalhes do pacote e Despejo hexa da tela. Consulte Exibindo pacotes capturados.
Iniciando e parando o espelho de pacotes
É possível iniciar o espelhamento de pacotes que usa as configurações do espelho configurado clicando em Iniciar espelho. Não é necessário configurar primeiro os critérios específicos para exibição, criação de log, exportação de FTP e outras configurações. O espelhamento de pacotes será interrompido ao clicar em Parar espelho.
1. Vá até a página Painel > Monitor de pacotes.
2. Em Monitor de pacotes, clique em Iniciar espelho para iniciar o espelhamento de pacotes de acordo com as configurações definidas.
3. Para parar o espelhamento de pacotes, clique em Parar espelho.
A página Painel > Monitor de pacotes fornece três janelas para exibir diferentes visões de pacotes capturados. As seções a seguir descrevem as janelas de exibição:
• Sobre a janela de pacotes capturados
• Sobre a janela Detalhes do pacote
• Sobre a janela Transbordo hexa
Sobre a janela de pacotes capturados
A janela Pacotes capturados exibe as seguintes estatísticas sobre cada pacote:
• Nº - O número do pacote em relação ao início da captura
• Hora - a data e a hora em que o pacote foi capturado
• Entrada - a interface do firewall na qual o pacote que chegou é marcado com um asterisco (*). A abreviação de tipo de subsistema é mostrada entre parênteses. As abreviações de tipo de subsistema são definidas na tabela a seguir.
|
• Saída - a interface do dispositivo Dell SonicWALL no qual o pacote foi capturado quando enviado
– A abreviação de tipo de subsistema é mostrada entre parênteses. Consulte a tabela acima para definições de abreviações de tipo de subsistema
• IP de origem - o endereço IP de origem do pacote
• IP de destino - o endereço IP de destino do pacote
• Tipo de Ether - o tipo de Ethernet do pacote de seu cabeçalho Ethernet
• Tipo de pacote - O tipo do pacote dependendo do tipo Ethernet, por exemplo:
– Para os pacotes de IP, o tipo de pacote pode ser TCP, UDP ou outro protocolo executado por IP
– Para os pacotes de PPPoE, o tipo de pacote pode ser PPPoE Discovery ou PPPoE Session
– Para os pacotes ARP, o tipo de pacote pode ser Solicitação ou Resposta
• Portas [Orig., Dest.] - as portas TCP ou UDP de origem e destino do pacote
• Status - o campo de status para o pacote
O campo status mostra o estado do pacote em relação ao firewall. Um pacote pode ser descartado, gerado, consumido ou encaminhado pelo dispositivo Dell SonicWALL. É possível posicionar o ponteiro do mouse sobre os pacotes descartados ou consumidos para mostrar as informações a seguir.
|
• Comprimento [real] - o valor de comprimento é o número de bytes capturados no buffer para este pacote. Valor real, entre colchetes, é o número de bytes transmitidos no pacote. É possível configurar o número de bytes a capturar. Consulte Definindo as configurações gerais.
Sobre a janela Detalhes do pacote
Ao clicar em um pacote na janela Pacotes capturados, os campos de cabeçalho de pacote serão exibidos na janela Detalhes do pacote. A exibição variará dependendo do tipo de pacote selecionado.
Sobre a janela Transbordo hexa
Ao clicar em um pacote na janela Pacotes capturados, os dados do pacote serão exibidos no formato hexadecimal e ASCII na janela Despejo hexa. O formato hexadecimal é mostrado no lado esquerdo da janela, com os caracteres ASCII correspondentes exibidos à direita de cada linha. Quando o valor hexadecimal for zero, o valor ASCII será exibido como um ponto.
Verificando as atividades do Monitor de pacotes
Esta seção descreve como saber se seu Monitor de pacotes, espelhamento ou registro em log do FTP está funcionando corretamente de acordo com a configuração. Ela contém as seguintes seções:
• Noções básicas sobre os indicadores de status
• Limpando as informações de status
Noções básicas sobre os indicadores de status
A página principal do Monitor de pacotes exibe os indicadores de status para a captura de pacotes, espelhamento e registro em log do FTP. Dicas de ferramentas com informações em pop-up estão disponíveis para a exibição rápida das definições de configuração.
Consulte as seções a seguir:
• Status da captura de pacotes
• Status de registro em log do FTP
• Estatísticas atuais do buffer
O indicador de status da captura de pacotes é rotulado como Rastreamento e mostra uma das três condições a seguir:
• Vermelho – A captura foi interrompida
• Verde – A captura está sendo executada e o buffer não está cheio
• Amarelo – A captura está sendo executada, mas o buffer está cheio
A interface de gerenciamento também exibe o tamanho do buffer, o número de pacotes capturados, a porcentagem de espaço utilizada no buffer e a quantidade de perda do buffer. Pacotes perdidos ocorrem quando o registro automático em log do FTP está ativado, mas a transferência de arquivos está lenta, por algum motivo. Se a transferência não estiver concluída no momento em que o buffer estiver cheio novamente, os dados no buffer preenchido recentemente serão perdidos.
Note Embora a opção de encapsulamento do buffer limpe o buffer após o encapsulamento automático até o início, isso não é considerado perda de dados.
Existem três indicadores de status do espelhamento de pacotes:
Espelhamento local – Pacotes enviados a outra interface física no mesmo Dell SonicWALL
Para o espelhamento local, o indicador de status mostra uma das três condições a seguir:
• Vermelho – O espelhamento está desativado
• Verde – O espelhamento está ativado
• Amarelo – O espelhamento está ativado, mas foi desativado porque a interface de espelhamento local não foi especificada
A linha do espelhamento local também exibe as estatísticas a seguir:
• Espelhamento para interface – A interface de espelhamento local especificada
• Pacotes espelhados – O número total de pacotes espelhados localmente
• Pacotes ignorados – O número total de pacotes que ignoraram o espelhamento devido a pacotes de entrada/saída na interface para a qual o monitoramento está configurado
• Taxa de pacotes ultrapassados – O número total de pacotes que ignoraram o espelhamento devido ao limite da taxa
Transmissão do espelhamento remoto – Pacotes enviados a um Dell SonicWALL remoto
Para a Transmissão do espelhamento remoto, o indicador de status mostra uma das três condições a seguir:
• Vermelho – O espelhamento está desativado
• Verde – O espelhamento está ativado e um endereço IP do Dell SonicWALL remoto está configurado
• Amarelo – O espelhamento está ativado, mas foi desativado porque o dispositivo remoto rejeita os pacotes espelhados e envia mensagens do ICMP de porta inacessível
A linha Transmissão do espelhamento remoto também exibe as seguintes estatísticas:
• Espelhamento para – O endereço IP remoto especificado do Dell SonicWALL
• Pacotes espelhados – O número total de pacotes espelhados para um dispositivo remoto do Dell SonicWALL
• Pacotes ignorados – O número total de pacotes que ignoraram o espelhamento devido a pacotes de entrada/saída na interface para a qual o monitoramento está configurado
• Taxa de pacotes ultrapassados – O número total de pacotes que não foram capazes de serem espelhados para um SonicWALL remoto, devido a uma porta inacessível ou a outros problemas de rede
Recepção do espelhamento remoto – Pacotes recebidos de um Dell SonicWALL remoto
Para a Recepção do espelhamento remoto, o indicador de status mostra uma das duas condições a seguir:
• Vermelho – O espelhamento está desativado
• Verde – O espelhamento está ativado e um endereço IP do Dell SonicWALL remoto está configurado
A linha Recepção do espelhamento remoto também exibe as seguintes estatísticas:
• Recepção de – O endereço IP remoto especificado do Dell SonicWALL
• Espelhar pacotes recebidos – O número total de pacotes recebidos de um dispositivo remoto do Dell SonicWALL
• Espelhar pacotes recebidos, mas ignorados – O número total de pacotes recebidos de um dispositivo Dell SonicWALL remoto que não foram capazes de serem espelhados localmente devido a erros nos pacotes
Status de registro em log do FTP
O indicador de status de registro em log do FTP mostra uma das três condições a seguir:
• Vermelho – O registro automático em log do FTP está desativado
• Verde – O registro automático em log do FTP está ativado
• Amarelo – Falha na última tentativa de contatar o servidor FTP e o registro em log está desativado no momento
Para reiniciar o registro automático em log do FTP, consulte Reiniciar o registro em log do FTP.
Ao lado do indicador de registro em log do FTP, a interface de gerenciamento também exibe o número de tentativas com falhas e com êxito de transferir o conteúdo do buffer para o servidor FTP, o estado atual do segmento do processo do FTP e o status do buffer de captura.
Abaixo do indicador de registro em log do FTP, na linha Estatísticas atuais do buffer, a interface de gerenciamento exibe o número de pacotes descartados, encaminhados, consumidos, gerados ou desconhecidos.
Na linha Configurações atuais, é possível passar o mouse sobre Filtros, Geral ou Registro em log para exibir o valor atualmente configurado para cada configuração nessa categoria. A exibição de Filtros inclui as configurações do filtro de captura e do filtro de exibição. A exibição de Geral inclui as configurações geral e avançada. A exibição de Registro em log mostra as configurações de registro em log do FTP.
A linha Estatísticas atuais do buffer resume o conteúdo atual do buffer de captura local. Ela mostra o número de pacotes descartados, encaminhados, consumidos, gerados e desconhecidos.
A linha Configurações atuais fornece exibições de informações dinâmicas para as configurações de filtro, geral, registro em log e espelhamento definidas. Ao passar o mouse sobre um dos ícones de informações ou sobre seu rótulo, uma dica de ferramenta em pop-up exibe as configurações atuais para essa seleção.
Limpando as informações de status
É possível limpar a fila do Monitor de pacotes e as estatísticas exibidas do buffer de captura, espelhamento e registro em log do FTP.
1. Vá até a página Painel > Monitor de pacotes.
2. Clique em Limpar.
3. Clique em OK na caixa de diálogo de confirmação.
Esta seção contém as seguintes subseções:
• Formatos de arquivo para Exportar como
Ao especificar os tipos de pacote Ethernet ou IP que você deseja monitorar ou exibir, é possível usar o acrônimo padrão para o tipo, se houver suporte, ou a representação hexadecimal correspondente. Para determinar o valor hexadecimal de um protocolo, consulte a RFC para obter o número atribuído a ele pela IANA. Os acrônimos dos protocolos que a SonicOS Enhanced atualmente suporta são os seguintes:
|
Formatos de arquivo para Exportar como
A opção Exportar como da página Painel > Monitor de pacotes permite que você exiba ou salve um instantâneo do buffer atual no formato de arquivo selecionado na lista suspensa. Os arquivos salvos são colocados no sistema de gerenciamento local (onde a interface de gerenciamento está sendo executada). Escolha um dos formatos a seguir:
• Libpcap – Selecione o formato Libpcap se deseja exibir os dados com o analisador de protocolos de rede Wireshark. Ele também é conhecido como formato libcap ou pcap. Uma caixa de diálogo permite que você abra o arquivo do buffer com o Wireshark ou salvá-lo no disco rígido local com a extensão .pcap.
• HTML – Selecione Html para exibir os dados com um navegador. É possível usar Arquivo > Salvar como para salvar uma cópia do buffer no disco rígido.
• Texto – Selecione Texto para exibir os dados em um editor de texto. Uma caixa de diálogo permite que você abra o arquivo do buffer com o editor de texto registrado ou salvá-lo no disco rígido local com a extensão .wri.
• Dados de aplicativos – Selecione Dados de aplicativos para exibir apenas os dados de aplicativo contidos no pacote. Os pacotes que não contêm nenhum dado de aplicativo são ignorados durante a captura. Dados de aplicativos = pacote capturado menos os cabeçalhos L2, L3 e L4.
Alguns exemplos de formatos de Texto e HTML são mostrados nas seções a seguir:
É possível exibir o formato HTML em um navegador. Segue abaixo um exemplo que mostra o cabeçalho e parte dos dados para o primeiro pacote no buffer.
É possível exibir a saída do formato de texto em um editor de texto. Segue abaixo um exemplo que mostra o cabeçalho e parte dos dados para o primeiro pacote no buffer.