3 de fev. de 2010

DEBUG EM FIREWALLS JUNIPER - PARTE I

Olá galera. Aproveitando os últimos excelentes posts da Thais e do Bruno, vou dar uma dica muito legal sobre o debug em Firewall Juniper :)

Muitas vezes durante um troubleshooting nos deparamos em situações em que o tráfego não aparece nos logs, e não sabemos realmente se esses pacotes estão chegando até o equipamento ou não estão.

Como saber se esses tráfegos chegam até o Firewall e porque eles estão sendo descartados?

Em primeiro lugar é preciso entender como funciona o tráfego de pacotes dentro do equipamento, e é isto que eu vou explicar neste por.


Segue abaixo os passos que o pacote segue até que seja gerada a sessão:


1 - Interface de origem - O modulo de interface identifica a interface de origem do pacote e, consequentemente a zona de origem.

2- Screen Filter - Primeira verificação de segurança de um pacote, se a opção SCREEN estiver associada a esta zona o firewall irá verificar algumas anomalias de pacotes assim como alguns tipos de ataques mais comuns (como o spoofing ou ICMP flood)

3 - Session Lookup - Este é o momento em que o firewall verifica se esse pacote pertence a uma sessão já existente, se sim ele permite a passagem do pacote sem ter que passar pelos próximos passos, economizando recursos do equipamento como CPU e memória.

4 - MIP/VIP - Nesta etapa o firewall verifica se tem algum nat (do tipo MIP ou VIP) associado aos IPs de destino do pacote.

5 - Rota - Momento em que o Firewall verifica se existe rota para esse tráfego, sendo ela PBR, rota por destino, interface ou zona.Se não houver rota válida em nenhuma dessas tabelas o pacote é descartado já neste passo.

6- Política - O Firewall verifica se o tráfego bate em alguma regra de acesso (policy) configurada. Se bater em política de Deny o pacote é bloqueado e o firewall gera um log, desde que exista a polícita implícita de Deny, se bater em uma regra de Permit então o Firewall passa para o passo seguinte.

7- Nat de origem ou Nat destino - Aqui o firewall verifica se existe NAT (tanto de origem quanto de destino) configurado na regra de acesso.É diferente do ítem 4 onde ele verifica se existe apenas nats do tipo MIP ou VIP, que são associados a IPs e não na regra de acesso.

8- Criando sessão - A sessão é criada e adicionada a tabela de sessão com o resultado dos passos 1 a 7.

9- Operação - O Firewall então realiza algumas funções específica da sessão, como por exemplo: realização do NAT, tunnel VPN, encriptação, decriptação e packet forwarding.

Apenas após a passagem do pacote por esses 9 passos será possível verificar o mesmo no arquivo de logs, se por algum motivo o pacote parar em outros passos só será possível verificar a causa do descarte através do comando debug.

Veremos opções do comando debug na segunda parte deste post.

Abraços!

Ricardo Nilsen Moreno

Nenhum comentário:

Postar um comentário