sexta-feira, 22 de dezembro de 2006

Checkpoint Troubleshooting

Muitas vezes nos deparamos com alguns problemas difíceis de se diagnosticar somente com o SmartView Tracker (Logs das regras). Isso porque, nestas vezes, também nos deparamos com Firewalls de grande capacidade (leia-se: muito tráfego).

Existem dois procedimentos que podem ajudar no caso descrito acima:

1) Utilizar o fw monitor para capturar os pacotes e analisar onde está o problema. Este procedimento ajuda a encontrar problemas de tradução de endereços (NAT) e de regras erradas (drop verus accept, ordenação das regras, etc).

A utilização do fw monitor é descrita neste documento. Este documento é importante para entendermos como os pacotes são tratados nas filas de inbound/outbound e como interpretar as direções pré-estabelecidas (i: pre-In; I: post-In; o: pre-Out; O: post-Out). Exemplo de utização do fw monitor:

[Expert@cpmodule]# fw monitor -e "accept ((src=10.10.10.1) or (dst=172.16.0.1));" -o arquivo.cap

É possível também utilizar um Ethereal - atualmente Wireshark - modificado (chamado CPEthereal, disponível no web site do Checkpoint) para ler a captura de pacotes (arquivo.cap) de forma mais intuitiva e com algumas facilidades para o formato do fw monitor.

2) Outro procedimento que podemos utilizar para ajudar no diagnóstico de pacotes que são bloqueados pelo Firewall é o comando abaixo:

[Expert@cpmodule]# fw ctl zdebug drop > drops.txt

Deixe o programa executar por algum tempo (com tráfego passando pelo Firewall); após este período entrar com o comando Ctrl+C e no arquivo drops.txt existirá uma série de entradas com os pacotes que foram bloqueados pelo Firewall.

Mensagem de Boas Vindas!

Bem vindo ao Blog Nexthop.

Este Blog foi criado para manter uma coletânea de informações sobre redes e segurança de computadores. Os autores pretendem atualizar o Blog com dicas sobre tecnologias, procedimentos, notícias e eventos.

Existem duas formas para você interagir com o Blog: enviando comentários com dicas, perguntas, críticas ou elogios ou através do e-mail nexthopblog AT nexthop DOT com DOT br.