Sep 29 2010
Analyser et monitorer le trafic sur PIX/ASA
Comment analyser le trafic traversant votre firewall Cisco PIX ou ASA lorsque les temps de réponse deviennent extrêmement lents, la bande passante est saturée ou anormalement élevée, ou que les débits de téléchargement sont proches de 0?
Statistiques des access lists
Vous avez probablement mis en place des access lists pour restreindre le trafic sortant ou entrant sur votre matériel. C’est la fonction principale de tout firewall. Les statistiques des ACL permettent d’obtenir rapidement de bonnes indications sur la nature du trafic. Vous pouvez aussi ajouter des règles pour affiner la destination du trafic.
cisco_asa# show access-list acl_in
access-list acl_in; 17 elements
access-list acl_in line 1 permit tcp any any eq domain (hitcnt=7)
access-list acl_in line 2 permit udp any any eq domain (hitcnt=40379)
access-list acl_in line 3 permit tcp any any eq www (hitcnt=157103)
access-list acl_in line 4 permit tcp any any eq 8080 (hitcnt=466)
access-list acl_in line 5 permit tcp any any eq https (hitcnt=1910)
access-list acl_in line 6 permit tcp any any eq ftp (hitcnt=2)
access-list acl_in line 7 permit tcp any any eq smtp (hitcnt=550)
access-list acl_in line 8 permit tcp any any eq pop3 (hitcnt=14660)
Réinitialisez les compteurs depuis le mode de configuration pour avoir les dernières statistiques:
cisco_asa# configure terminal
cisco_asa(config)# clear access-list acl_in counters
Trafic
Il est possible d’afficher le trafic de chaque interface du PIX. Il vaut mieux remettre à 0 les données pour avoir des résultats plus récents et plus précis.
cisco_asa# clear traffic
Attendez un peu pour collecter les données sur cette période de temps avant d’afficher le trafic global.
cisco_asa# show traffic
outside:
received (in 9.570 secs):
133 packets 19918 bytes
13 pkts/sec 2081 bytes/sec
transmitted (in 9.570 secs):
199 packets 22997 bytes
20 pkts/sec 2403 bytes/sec
inside:
received (in 9.570 secs):
158 packets 14392 bytes
16 pkts/sec 1503 bytes/sec
transmitted (in 9.570 secs):
102 packets 14264 bytes
10 pkts/sec 1490 bytes/sec
Type de trafic
Pour afficher le nombre de connexions par seconde par type de trafic, des couches transport aux applications:
cisco_asa# show perfmon
PERFMON STATS: Current Average
Xlates 0/s 0/s
Connections 0/s 0/s
TCP Conns 0/s 0/s
UDP Conns 0/s 0/s
URL Access 0/s 0/s
URL Server Req 0/s 0/s
TCP Fixup 27/s 1/s
TCPIntercept 0/s 0/s
HTTP Fixup 5/s 2/s
FTP Fixup 0/s 0/s
AAA Authen 0/s 0/s
AAA Author 0/s 0/s
AAA Account 0/s 0/s
Détail des Sessions
Affichez le nombre de connexions actuelles et maximum comme ceci
cisco_asa# show conn count
35 in use, 195 most used
Ou de façon plus détaillée en affichant chaque connexion établie:
cisco_asa# show conn
33 in use, 195 most used
TCP out 172.18.0.1:23 in 192.168.9.101:1155 idle 0:00:32 Bytes 19354 flags UIO
TCP out 172.18.0.1:23 in 192.168.9.107:1151 idle 0:03:49 Bytes 156840 flags UIO
...
Très utile puisque l’on peut voir le nombre d’octets transférés pour chaque connexion.
Mémoire et processeur
Et bien sûr, contrôlez les ressources mémoire et CPU
cisco_asa# show cpu usage
CPU utilization for 5 seconds = 2%; 1 minute: 2%; 5 minutes: 6%
cisco_asa# show memory
Free memory: 5069344 bytes
Used memory: 11707872 bytes
------------- ----------------
Total memory: 16777216 bytes
Monitoring sur le long terme
De nombreux outils sont disponibles pour mesurer le trafic de chaque interface et l’exporter sous forme de graphiques. On n’est capable de détecter une anomalie qu’en comparant les données actuelles avec celles précédemment enregistrées. Un graphique est le meilleur moyen d’y parvenir.
Parmi les outils les plus populaires, j’ai retenu Cacti, MRTG ainsi que Smokeping. Ce dernier permet de visualiser la latence d’un lien.
Vous trouverez plus d’informations à ce sujet dans la documentation en ligne de Cisco