Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 4282 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Packet Capture

skydiver
We have a vendor managed NAT Router/Authentication device for free WiFi attached to eth1 on our Astaro ASG-120.  I have a packet rule setup that blocks all traffic from this interface to all our internal network segments (eth0.1, eth0.2, eth0.3) at the top of my packet rules list.  I am periodically seeing IPS port scanning activity coming from the ip address we have assigned to the free WiFi NAT router with attempted scanning going on to external public internet addresses.  Is there a way capture all network traffic from the wifi hotspot network to a computer running wireshark on another network segment on demand?  Currently the WiFi Nat device connects straight to the ASG, not through my layer 3 switch otherwise I could setup a TAP on the port and capture that way.
I would like to capture the traffic to see exactly what kind of activity is being attempted when this is occurring so we can decides to take action if neccessary.


This thread was automatically locked due to age.
  • 0
    Hi, you could probably bridge eth0 to another, spare, interface and run Wireshark on a PC on the other interface. That should capture almost all of the traffic (I've found that uPnP broadcasts don't make it through an Astaro bridge for some reason).

    Or you could use a span port on a switch, or put a hub between the WiFi router and the firewall, and sniff from there.

    Or you could run tcpdump on Astaro, dump to files, and scp them to a workstation with Wireshark.
    Make sure you don't fill up the disk in Astaro though.

    Barry
  • 0 in reply to BarryG
    All my ASG 120 interfaces are active.  Could I do the do bridge to a VLAN for packet capture on eth0?  ETH0 is already set with three VLANS.  What would be the best way to setup the bridge?  Would it be best to just define it permanently making it available when need to do analysis or would this very likely cause too much extra CPU utilization?

    I kind of like the idea of doing packet capture on the device itself.  How would I need to implement this?  I wouldn't be doing huge amounts of packet captures, just when we are notified of out of term of use violations and for limited time.  I would probably limit the packet capture logs to 30-40 MB.  It would be ideal if I could set this as some kind of rule that I could activate/deactivate on demand from the ASG management interface.
  • 0 in reply to skydiver
    Hi, I don't know if you can bridge a VLAN. If you decide to try it, make sure you have a recent backup, and the install CD handy, in case it breaks.

    I suppose you would want to create a new VLAN first, and then try to bridge the DMZ to that VLAN.

    I don't think CPU usage will be a problem, but if it is, creating an IPS exception for that traffic would help greatly.

    You can login to the Astaro console, or use SSH, and run tcpdump.
    iirc, tcpdump does have options to limit the capture size.
    No way to do it from Webadmin currently.

    Barry
  • 0 in reply to BarryG
    Thanks. Until I can get a lab unit in place I am going to pass on bridging the VLAN.

    I will need to take a look at securely allowing access to SSH to our internal VPN network segments and will need to bone up on tcpdump.  I definitely don't want to inadvertently fill up the log partion.

    Thanks for the feedback