Le système d'exploitation pfSense orienté vers les pare-feu et pour fonctionner comme un routeur, permet de capturer tout le trafic réseau dans une certaine interface que nous avons configurée, à la fois à partir du WAN et du LAN, et, bien sûr, il permet également de capturer le trafic d'un certains VLAN si nous les avons configurés sur l'ordinateur. Nous pourrons capturer le trafic dans les deux sens, à la fois en téléchargement et en upload, et cela permet également de limiter par les adresses IP et même les ports TCP / UDP. Aujourd'hui, dans cet article, nous allons vous montrer comment capturer le trafic réseau pour effectuer une analyse approfondie et voir s'il y a un problème.
Pourquoi est-ce que je veux capturer le trafic réseau?
Il est très important d'effectuer une capture du trafic réseau pour détecter d'éventuels problèmes de communication. Imaginons qu'un ordinateur spécifique doive envoyer ou recevoir un certain trafic et ne le reçoive pas, il est possible qu'une règle dans le pare-feu l'empêche, ou que le problème ne vient pas du pare-feu mais des commutateurs que nous avons connectés. Il est très normal que les commutateurs soient configurés avec certaines ACL pour protéger davantage le réseau, et nous pourrions même activer différents types de contre-mesures pour les attaques DoS qui pourraient se produire dans le réseau local. Dans le cas où le trafic n'atteindrait pas le pfSense, il est possible que le problème soit au «milieu», c'est-à-dire dans les commutateurs, donc cela nous aidera à exclure les problèmes de configuration et à voir tout le flux de trafic.
Si nous avons un problème de communication et que nous ne pouvons pas trouver où le problème peut être, nous devons exclure qu'il s'agit d'un problème avec le pare-feu / routeur lui-même avec pfSense, puis passer en revue les différents commutateurs que nous avons entre les deux. . C'est là qu'intervient la «capture de paquets» de pfSense, qui nous permettra de capturer tout le trafic d'une certaine interface réseau.
Fonctionnement de la «capture de paquets» dans pfSense
Le dispositif de capture de trafic est installé par défaut dans le système d'exploitation pfSense, nous n'aurons pas à l'installer via la liste des logiciels disponibles que nous avons la possibilité d'installer. Nous devons aller à la » Diagnostics / Capture de paquets »Pour voir les options de configuration disponibles.
Dans cette section, nous aurons différentes options de configuration, pour «affiner» le capteur de paquets, quelque chose de fondamental pour ne pas capturer absolument tout le trafic réseau, mais uniquement le trafic que nous sélectionnons spécifiquement.
La première chose que nous devons faire est le « Interface «, Il faut ici choisir l'interface physique ou logique (si vous utilisez des VLAN) à utiliser pour capturer les paquets.
Le système d'exploitation pfSense nous permet d'activer le «mode promiscuité». En «mode non promiscuité», le système ne capturera que le trafic direct vers l'hôte qui passe par une interface donnée. Dans le «mode promiscuité», nous activerons le mode de reniflage, et il capturera toutes les informations que la carte réseau voit, cependant, il est possible que le matériel que vous utilisez dans pfSense ne prenne pas en charge cette fonctionnalité.
Nous pouvons également choisir et filtrer si nous voulons IPv4, IPv6 ou les deux protocoles réseau.
Ensuite, nous devons choisir le protocole que nous voulons capturer, nous pouvons capturer n'importe quel protocole (Any), ou filtrer par ICMP, TCP, UDP et bien plus encore.
D'autres options disponibles sont la possibilité de choisir l'option «Adresse hôte». Cette option nous permet de capturer uniquement le trafic qui a pour origine ou destination une adresse IP ou une adresse MAC spécifique (s'il est directement connecté au même sous-réseau). Si nous ne mettons rien, il capturera tous les paquets qui transitent par l'interface, sans filtrage du tout par IP ou MAC.
Nous pouvons également configurer le port source ou de destination si nous utilisons TCP et / ou UDP, idéal pour capturer uniquement le trafic qui nous intéresse. Tous les protocoles de la couche application utilisent des ports source et de destination spécifiques, par exemple, si nous voulons capturer le trafic HTTP, nous allons mettre le port 80 et filtrer par TCP, car c'est ce que le protocole de la couche application HTTP utilise.
Dans «Packet Length» il va falloir mettre 0 pour capturer toutes les trames et non pas limiter par taille de trame, et dans «Count» il est conseillé de mettre 0 pour capturer tout le trafic jusqu'à ce qu'on l'arrête manuellement, par défaut c'est le valeur de 100 qui pourrait être très faible selon l'équipement en question.
Dans la section «Niveau de détail», nous pouvons effectuer la capture du réseau affichée dans la partie inférieure avec plus ou moins de détails, mais dans la plupart des cas, nous allons télécharger la capture de données et l'examiner attentivement dans des programmes comme Wireshark.
Dans notre cas, nous allons capturer le trafic de notre smartphone pour vérifier quelles données nous envoyons sur Internet, nous filtrerons par protocole «Any» et n'importe quel port, c'est-à-dire que nous capturerons tout le trafic qui va vers ou vient de 10.11.1.4.
Dans cet exemple, nous capturerons avec n'importe quelle longueur de paquet, mais avec un maximum de 100 paquets. Le niveau de détail est «normal», et nous cliquons sur «Démarrer» pour commencer la saisie des données.
Pendant que le capteur de paquets est en cours d'exécution, nous verrons qu'il nous montrera un bouton «Arrêter» et juste en dessous, nous verrons «La capture de paquets est en cours».
Lorsque nous cliquons sur «Stop», il nous montrera quand la capture a commencé et quand elle s'est arrêtée. On peut voir la capture d'écran juste en dessous, mais on a très peu d'informations car le niveau de détail était «normal». Dans la grande majorité des cas, il est préférable de cliquer sur «Télécharger la capture» et de télécharger la capture de données pour une analyse plus approfondie.
Comme nous avons installé le programme Wireshark, ce que nous pourrons faire est d'ouvrir cette capture directement pour examiner la capture en détail.
Comme vous pouvez le voir ci-dessous, nous avons toutes les captures de données dans Wireshark et nous pouvons voir tout le trafic entrant et sortant vers notre smartphone.
Comme vous l'avez vu, capturer le trafic avec pfSense est vraiment facile et simple, et cela nous permettra de détecter d'éventuels problèmes de communication des différents équipements, et d'écarter les problèmes de configuration des commutateurs, du pfSense ou directement dans les PC.