Sorun Giderme İçin Paket Monitör Özelliğinin Kurulumu ve Kullanımı

Sorun Giderme için Paket Monitör Özelliğinin Kurulumu ve Kullanımı

SonicWall’daki Paket İzleme Özelliği, çok çeşitli sorunları gidermek için en güçlü ve kullanışlı araçlardan biridir. SonicWall’dan geçen herhangi bir Paket, Wireshark gibi araçlara görüntülenebilir, incelenebilir ve hatta dışa aktarılabilir.

Bu makalede, bir Paket Monitörünün nasıl kurulacağı, çeşitli genel kullanım seçeneklerinin ve başarılı bir Paket Monitöründen nasıl okunacağının detayları açıklanacaktır.

Paket Monitörün Kurulumu

1. SonicWall Management GUI’ye giriş yapın ve Investigate | Packet Monitor’e gidin.

2. Paket İzleyicinin Trace Off ‘da olduğundan emin olun ve ardından Refresh’e tıklatın. Captured Packets Field’da herhangi bir Paket varsa, kaldırmak için Clear’a tıklayın.

İPUCU: Yeni bir Paket Monitör kurulumu gerçekleştirirken, Monitor Default  düğmesine tıklamanız önerilir, bu Paket Monitörünü varsayılan durumuna döndürür ve yanlış yapılandırmayı önler.

3. Configure (sayfanın altındaki) seçeneğine tıklayın ve aşağıdaki sekmeleri gerektiği gibi ayarlayın.

4.  OK‘e tıklayın ve ardından Start Capture tıklayın.

Ayarlar:

Settings Sekmesinde aşağıdakileri yapılandırabilirsiniz:

Paket Başına Yakalanacak Bayt Sayısı

Paket Monitor’ün, Tampon dolduğunda Paketleri yakalamayı durdurması veya üzerine yazması

GMS, Syslogs ve SonicPoint Management gibi Dahil Edilmeyecek trafik

Normalde Ayarlar sekmesinin varsayılan seçeneklerin çoğu Paket Monitörü için doğrudur, ancak yakalamak istediğiniz şey Management Traffic gibi ayarlar tarafından engelleniyorsa, Settings sekmesiden bunu çözebilirsiniz.

Monitor Filtresi:

Paket Monitörün yapılandırmasının büyük bir kısmı burada yapılır. Monitor Filtresi, Source ve Destination IP Adreslerini, Portlarını ayarlamanıza ve ele geçirmeleri, Arayüz ve Protokol’ü belirlemenize izin verir. Bu Field’lerin tümü, yakalanan paketleri etkileyebilir ve kurulumuna bağlı olarak trafik akışı hakkında farklı bir perspektif sunabilir.

Muhtemel giriş örnekleri elde etmek için her alanın sağındaki küçük üçgen okları hareket ettirebilirsiniz, bu her bir alanın içine ne konulacağını belirlemede çok yardımcı olabilir.

NOT: Monitör Filtresindeki Forwarded/Consumed/Dropped Paketlerin onay kutularına gelince, bunlar Paket Monitörü’nü yalnızca bu seçeneklerle eşleşen trafiği toplamaya zorlar. Varsayılan olarak bunlar işaretli değildir; yani SonicWall, Status’den  bağımsız olarak tüm trafiği yakalayacaktır. Bu çoğu yakalama için önerilir.

NOT: Monitör Filtresi yalnızca Captured Paketleri etkiler, bu nedenle burada yapılandırılan herhangi bir şey Paket Monitörü aracılığıyla toplanır. Display Filtresi, aşağıda detaylı olarak ele alınacak olan Packet Monitor Tool’u gösterilenleri daraltmak üzere yapılandırmak mümkündür.

İPUCU: Çoğu Packet Monitor Configurations Ether Type, IP Type ve bazı Source / Destination IP Address / Port kombinasyonlarının tamamı gereklidir. Bir sorunun giderilmesine katkıda bulunabilecek paketlerin eksik kalmaması için, istenmeyen trafiğe ihtiyaç duymadan, Capture’ı mümkün olduğunca açık tutmanız önerilir.

İPUCU: Bazı durumlarda, paketlere uygulanmakta olan Ingress / Egress NAT Politikalarını görmek yararlıdır. Bunu yapmak için, INgress NAT’larını görmek için SADECE Source IP ile yakalayın veya Egress NAT’ları görmek için SADECE Hedef IP ile yakalayın.

Örnek Monitor Filtresi Kurulumu:

Bir Internal Host’tan Bir External IP Addresine giden HTTPS Trafiğini Yakalama

 Harici External Host’tan Internal Server’a giden ICMP Trafiğini Yakalama

Bir External Host’tan giden VLAN Trafiğini Yakalama

Display Filtresi:

Görmek istediğinizden daha fazla trafik çekerken, ancak Monitor Filtresi kullanarak yakalamayı uygun şekilde daraltamazsanız, Display Filtresini belirli bir akışa odaklanmanıza yardımcı olabilir. Ekran Filtresi, Monitör Filtresi ile aynı Field’lara ve seçeneklere sahiptir, ancak bunlar, yalnızca Packet Monitörü tarafından gösterilen trafiği etkiler.

NOT: Çoğu fotoğraf için, başlangıçta Display Filtresinin varsayılan durumda bırakılması önerilir. İlk Monitör Filtresi sonuçlarını yorumlamada sorun yaşıyorsanız, Display Filtresi kullanımda olabilir. Display Filtresini yanlış yapılandırmak, Paket Monitör aracının kullanışlılığını olumsuz yönde etkileyebilir.

Loglama:

Logging sekmesi Paket Monitörün sonuçlarını bir FTP Server’ına göndermek için kullanılır, genellikle SonicWall Buffer Memory’nin alabileceği veya Paket Monitörün sonuçlarını korumak için daha fazla trafik yakalanması gerektiğinde yapılır.

Advanced Monitoring Filtresi:

Advanced Monitör Filtresi, SonicWall’un normalde toplayamayacağı belirli trafiğin yakalanmasına izin verir. Multicast ve IPSec gibi SonicWall’un kendisi tarafından üretilen paketler gibi belirli protokoller için birçok ara atlama içerir.

Belirli bir trafik akışında hiçbir şeyin eksik olmadığından emin olmak için Advanced Monitör Filtresi sekmesindeki tüm seçeneklerin etkinleştirilmesi genellikle önerilir. Advanced Monitör Filtresi seçeneğiyle ilgili bazı trafiğin yorumlanmasını zorlaştırması durumunda, devre dışı bırakılabilir.

Daha fazla bilgi için her Checkbox’ın sağındaki küçük üçgen okları hareket ettirebilirsiniz, bu her bir seçeneğin Paket Monitörü’nü nasıl etkilediğini anlamanıza yardımcı olabilir.

Mirror:

Bir Paket Monitöründen gelen trafiğin, doğrudan bağlantı veya IPSec VPN yoluyla başka bir SonicWall’a gönderilmesi gerektiğinde Mirror uygundur. Bu özelliği ayarlamak bu makalenin kapsamı dışındadır ancak daha fazla bilgi için lütfen SonicWall Help Menüsüne veya Overciew ve Configuration of Packet Mirror’a bakın.

Captured Paketler, Paket Detayları, and Hex Dump

Paket Monitörün yapılandırıldığında ve Trace açık olduğunda, Captured Paketler alanının dolmaya başladığını göreceksiniz. Bu, Display Filtresi’nde ve Monitör Filtresi’nde belirtilen kriterleri de karşılayan SonicWall’dan geçen her paketi içerecektir. Display Filtresi yapılandırılmamışsa, Monitör Filtresi yapılandırmasına göre paketler görüntülenir.

Paketler, SonicWall’a ulaştıkları sıraya ve / veya kendilerine uygulanan ayarlara göre yakalanır. Örneğin, trafiğiniz varsa, Network Address Translation (Ağ Adresi Çevirisi’ne) tabi olan SonicWall’a girerseniz, trafiğin geldiğini, NAT’a tabi tutulduğunu ve sonunda yoluna gönderildiğini göreceksiniz.

Belirli bir pakete tıklarsanız, Paket Detaylarını ve Hex Dumpları görebilirsiniz.

İPUCU: Kırmızı olarak görüntülenen paketler SonicWall tarafından düşürülüyor, nedenini bulmak için Paket Details’e bakın.

Packet Details

Bu Field Source/Destination IP Address, MAC Address, and Port, the TCP Flag (eğer uygunsa) ve Paket SonicWall tarafından düşürülmüşse Drop Code/Reason gibi ek değerleri gösterecektir.

Hex Dump

Bu Field, trafiğin şifreli olmadığı varsayılarak Paket Payload gösterir. Şifrelenmiş trafik burada gösterilmeye devam edecektir, ancak SonicWall yükü göstermemektedir.

İPUCU: Hex Dump’ın LDAP, FTP ve diğer şifrelenmemiş trafik akışlarıyla ilgili sorunları gidermek için incelenmesi, yapılandırma ve kullanıcı hatalarını tespit etmek için mükemmel bir yol olabilir.

Paket Monitörü Sonuçlarını Verme

Bazen bir Paket Monitörünün sonuçlarını başka bir formatta veya başka bir program aracılığıyla incelenmek üzere dışa aktarmak yararlı olur. Bu, Paket Monitörü sayfasındaki Export As seçeneği ile gerçekleştirilebilir. Seçenekler şunları içerir:

Libpcap (Wireshark)

Text (.wri)

HTML

App Data

PcapNG (Firmware Sürümleri 6.2.7.1 ve üzeri)