Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 5783 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Feature Suggestion: Span or monitor port

PenTest
A suggestion for discussion.

SPAN ports or monitior ports on a switched network are extremmely handy things.

It would be equally handy for you to be able to aloocate an Astaro interface as a monitor interface which you can specify traffic to be mirrored to.

This could be as simple as "show me all traffic that is passing into and out of the DMZ1 port".

"It could also aggregate so you would have "show mw all the traffic into and out of DMZ1 and DMZ2"

Taking it all the way it could be used to "show me all the http traffic passing through the firewall".

There are many uses but it would be particularly helpful during fault finding and system abuse monitoring.

I realise there are other ways to do this but to be able to have one port that you could plug into to see any traffic passing the firewall would be very powerful.


This thread was automatically locked due to age.
  • 0
    Not really nessessary, and it would be a big bandwidth hog. Any firewall that is connected to a managed (intelligent) Ethernet switch, can easily be monitored via the port sniffing capabilities of the Ethernet switch. On the WAN side of the firewall, when you wish to connect a packet analyzer, you can always temporarily connect a little 5-port hub while you do your packet capture.
  • 0 in reply to VelvetFog
    i see your point but i did say that it could already be done by other means.

    pluggin in a hub is not always an option and in a network ith multiple DMZ's it never that simple to just plug in and find what you are looking for.

    As i said there are other ways to do it but i think this is as valid a way as any other and has several benefits over "dumber" solutions.
  • 0 in reply to PenTest
    Do you want to see how many traffic go over your firewall or do you know what for (illegal) packets do you transfer over your firewall ?! (with "illegal packets" I  mean hack attacks from inet, OK?!)
    By 1st answer I used to monitor the ports with snmp or with other things with a perl script. So I can monitor and analyse the packets automatical.
    For 2nd answer I used a sniffer for detailed infomation of the traffic how transfer over the net. I hope that this your question is.  [;)]
  • 0 in reply to Admin_for_hell
    Admin_for_hell i think some of the finer points of your post were lost in the translation [but your english is 1x10^99 better than my german]

    If i understand you then Option 2.

    The idea is that a SPAN port that could have arbitrary traffic forwarded to it would be excellent for sniffing etc.
  • 0 in reply to PenTest
    Long time ago I have implemented  a rule like your idea with span port at a cisco switch. We have many trouble with this function.
    So I take a sniffer like etherreal to analyse the packets. You can set filter to the analyse function, so you did not have too many traffic information. The informations was exported to a text format and with a perl script I can see the results at a webserver. I know that is not the best way for a anaylse, but it´s works for this time.
    I think that you must test the span at your switch. Hope it will help you.