[PaloAlto] Firewall Packet Capture (패킷 캡쳐) 종류 및 12단계 순서 - pcap, 커스텀 패킷, 위협 패킷, 애플리케이션 패킷, 관리 인터페이스 패킷

 

All PaloAlto Networks firewalls allow you to take packet captures (pcaps) of traffic that traverses the management interface and network interfaces on the firewall.

 

When taking packet captures on the dataplane, you may need to Disable Hardware Offload to ensure that the firewall captures all traffic.

 

1.Types of Packet Captures ( 패킷 캡처 유형 )

 

There are different types of packet captures you can enable, depending on what you need to do:

• Custom Packet Capture (사용자 지정 패킷 캡처) - The firewall captures packets for all traffic or for specific traffic based on filters that you define. For example, you can configure the firewall to only capture packets to and from a specific source and destination IP address or port. You then use the packet captures for troubleshooting network‑related issues or for gathering application attributes to enable you to write custom application signatures or to request an application signature from Palo Alto Networks.

방화벽은 사용자가 정의한 필터에 따라 모든 트래픽 또는 특정 트래픽에 대한 패킷을 캡처합니다. 예를 들어, 특정 소스 및 대상 IP 주소 또는 포트로 들어오고 나가는 패킷만 캡처하도록 방화벽을 구성할 수 있습니다. 그런 다음 패킷 캡처를 사용하여 네트워크 관련 문제를 해결하거나 애플리케이션 속성을 수집하여 사용자 지정 애플리케이션 시그니처를 작성하거나 Palo Alto Networks에 애플리케이션 시그니처를 요청할 수 있습니다.

 

 

• Threat Packet Capture (위협 패킷 캡처) - The firewall captures packets when it detects a virus, spyware, or vulnerability. You enable this feature in Antivirus, Anti-Spyware, and Vulnerability Protection security profiles. A link to view or export the packet captures will appear in the second column of the Threat log. These packet captures provide context around a threat to help you determine if an attack is successful or to learn more about the methods used by an attacker. You can also submit this type of pcap to Palo Alto Networks to have a threat re-analyzed if you feel it’s a false-positive or false-negative.

방화벽은 바이러스, 스파이웨어 또는 취약점을 감지하면 패킷을 캡처합니다. 이 기능은 바이러스 백신, 스파이웨어 차단 및 취약점 보호 보안 프로필에서 활성화할 수 있습니다. 패킷 캡처를 보거나 내보낼 수 있는 링크가 위협 로그의 두 번째 열에 나타납니다. 이러한 패킷 캡처는 위협에 대한 맥락을 제공하여 공격 성공 여부를 판단하거나 공격자가 사용한 공격 방법에 대해 자세히 알아보는 데 도움이 됩니다. 또한, 이러한 유형의 pcap을 Palo Alto Networks에 제출하여 위양성 또는 위음성으로 판단되는 위협을 재분석할 수 있습니다.

 

• Application Packet Capture (애플리케이션 패킷 캡처) - The firewall captures packets based on a specific application and filters that you define. A link to view or export the packet captures will appear in the second column of the Traffic logs for traffic that matches the packet capture rule.

방화벽은 사용자가 정의한 특정 애플리케이션 및 필터를 기반으로 패킷을 캡처합니다. 패킷 캡처 규칙과 일치하는 트래픽의 경우, 트래픽 로그의 두 번째 열에 패킷 캡처를 보거나 내보낼 수 있는 링크가 나타납니다.

 

• Management Interface Packet Capture (관리 인터페이스 패킷 캡처) - The firewall captures packets on the management interface (MGT). The packet captures are useful when troubleshooting services that traverse the interface, such as firewall management authentication to External Authentication Services, software and content updates, log forwarding, communication with SNMP servers, and authentication requests for GlobalProtect and Authentication Portal.

방화벽은 관리 인터페이스(MGT)에서 패킷을 캡처합니다. 패킷 캡처는 외부 인증 서비스에 대한 방화벽 관리 인증, 소프트웨어 및 콘텐츠 업데이트, 로그 전달, SNMP 서버와의 통신, GlobalProtect 및 인증 포털에 대한 인증 요청 등 인터페이스를 통과하는 서비스의 문제를 해결하는 데 유용합니다.

 

• GTP Event Packet Capture (GTP 이벤트 패킷 캡처) - The firewall captures a single GTP event, such as GTP-in-GTP, end user IP spoofing, and abnormal GTP messages, to make GTP troubleshooting easier for mobile network operators. Enable packet capture in a Mobile Network Protection profile.

방화벽은 GTP-in-GTP, 최종 사용자 IP 스푸핑, 비정상적인 GTP 메시지 등 단일 GTP 이벤트를 캡처하여 모바일 네트워크 운영자가 GTP 문제를 더 쉽게 해결할 수 있도록 지원합니다.

 

2. Take a Custom Packet Capture ( 사용자 정의 패킷 캡처 수행 )

 

사용자 지정 패킷 캡처를 사용하면 방화벽이 캡처할 트래픽을 정의할 수 있습니다. 모든 트래픽을 캡처하려면 하드웨어 오프로드를 비활성화 해야 할 수 있습니다 .

1. 패킷 캡처를 시작하기 전에 캡처하려는 트래픽의 속성을 확인하세요.

   예를 들어, 두 시스템 간 트래픽의 소스 IP 주소, 소스 NAT IP 주소, 그리고 목적지 IP 주소를 확인하려면 소스 시스템에서 목적지 시스템으로 ping을 실행하세요. ping이 완료되면 " 트래픽 모니터링"으로 이동하여 두 시스템의 트래픽 로그를 확인하세요. 로그의 첫 번째 열에 있는 "자세한 로그 보기" 아이콘을 클릭하고 소스 주소, 소스 NAT IP, 그리고 목적지 주소를 확인하세요.

   

   Detailed Log view

    

   다음 예제에서는 패킷 캡처를 사용하여 신뢰 영역의 사용자에서 DMZ 영역의 서버로의 Telnet 연결 문제를 해결하는 방법을 보여줍니다.

   

   Packet Capture Example

    

2. 패킷 캡처 필터를 설정하여 방화벽이 관심 있는 트래픽만 캡처하도록 합니다.

   필터를 사용하면 패킷 캡처에서 필요한 정보를 더 쉽게 찾을 수 있고, 방화벽이 패킷 캡처를 처리하는 데 필요한 처리 능력을 줄일 수 있습니다. 모든 트래픽을 캡처하려면 필터를 정의하지 말고 필터 옵션을 해제하세요.

   예를 들어 방화벽에 NAT를 구성한 경우 두 개의 필터를 적용해야 합니다. 첫 번째 필터는 NAT 이전 소스 IP 주소에서 대상 IP 주소로의 트래픽을 필터링하고, 두 번째 필터는 대상 서버에서 소스 NAT IP 주소로의 트래픽을 필터링합니다.

   1. )패킷 캡처 모니터링을선택합니다 .
   2. )창 하단의 모든 설정 지우기를 클릭하면 기존 캡처 설정이 모두 지워집니다.
   3. )필터 관리를 클릭 하고 추가를 클릭합니다 .
   4. )ID 1을 선택 하고 소스 필드 에 관심 있는 소스 IP 주소를 입력하고 대상 필드에 대상 IP 주소를 입력합니다.

      예를 들어, 출발지 IP 주소 192.168.2.10 과 목적지 IP 주소 10.43.14.55를 입력합니다 . 캡처를 더욱 필터링하려면 '비IP'를 설정하여 브로드캐스트 트래픽과 같은 비IP 트래픽을 제외 합니다 .
   5. )두 번째 필터를 추가 하고 ID 2를 선택합니다.

      예를 들어, 소스 필드 에 10.43.14.55를 입력하고 대상 필드 에 10.43.14.25를 입력합니다 . 비IP 드롭다운 메뉴 에서 제외를 선택합니다 .

      

      Configure Filtering

   6. )확인을 클릭하세요 .
3. 필터링을 켜짐 으로 설정합니다 .
4. 패킷 캡처를 트리거하는 트래픽 단계와 캡처된 콘텐츠를 저장하는 데 사용할 파일 이름을 지정하세요. 각 단계에 대한 정의는 패킷 캡처 페이지의 ' 도움말' 아이콘을 클릭하세요.

   예를 들어, 모든 패킷 캡처 단계를 구성하고 각 단계에 대한 파일 이름을 정의하려면 다음 절차를 수행합니다.

   1. )패킷 캡처 구성에 스테이지 를 추가하고 결과 패킷 캡처에 대한 파일 이름을 정의합니다.

      예를 들어, 스테이지 로 receive를 선택하고 파일 이름을 telnet-test-received로 설정합니다 .

      

      Packet Capture Stage

       

   2. )캡처하려는 각 단계 ( 수신, 방화벽 , 전송 , 삭제 ) 를 계속 추가 하고 각 단계에 대해 고유한 파일 이름을 설정합니다.

      

      Confiure Capturing

5. 패킷 캡처를 켜짐 으로 설정합니다 .

   방화벽이나 어플라이언스에서 시스템 성능이 저하될 수 있다는 경고가 표시됩니다. 경고를 확인하려면 '확인'을 클릭하세요 . 필터를 정의하면 패킷 캡처가 성능에 미치는 영향은 거의 없지만, 방화벽이 분석하려는 데이터를 캡처한 후에는 항상 패킷 캡처를 해제 해야 합니다.

    

   

   Confiure Capturing

    

6. 정의한 필터와 일치하는 트래픽을 생성합니다.

   이 예제에서는 소스 시스템(192.168.2.10)에서 다음 명령을 실행하여 소스 시스템에서 Telnet 지원 서버로 트래픽을 생성합니다.

   텔넷 10.43.14.55
7. 패킷 캡처를 끄고 새로 고침 아이콘을 클릭하여 패킷 캡처 파일을 확인하세요.

   

   Captured FIles

    

   이 경우에는 삭제된 패킷이 없었으므로 방화벽이 삭제 단계에 대한 파일을 생성하지 않았습니다.
8. 파일 이름 열에서 파일 이름을 클릭하여 패킷 캡처를 다운로드합니다.

   

   Captured FIles

9. 네트워크 패킷 분석기를 사용하여 패킷 캡처 파일을 봅니다.

   이 예에서 received.pcap 패킷 캡처는 192.168.2.10의 소스 시스템에서 10.43.14.55의 Telnet 지원 서버로의 Telnet 세션이 실패했음을 보여줍니다. 소스 시스템이 서버에 Telnet 요청을 보냈지만 서버는 응답하지 않았습니다. 이 예에서 서버에 Telnet이 활성화되어 있지 않을 수 있으므로 서버를 확인하십시오.

   

   received.pcap

10. 대상 서버(10.43.14.55)에서 Telnet 서비스를 활성화하고 패킷 캡처를 켜서 새로운 패킷 캡처를 수행합니다.
11. 패킷 캡처를 트리거하는 트래픽을 생성합니다.

    소스 시스템에서 Telnet 지원 서버로 Telnet 세션을 다시 실행합니다.

    텔넷 10.43.14.55
12. received.pcap 파일을 다운로드하여 열고 네트워크 패킷 분석기를 사용하여 확인합니다.

    다음 패킷 캡처는 192.168.2.10의 호스트 사용자에서 10.43.14.55의 Telnet 지원 서버로의 성공적인 Telnet 세션을 보여줍니다.

    

    received.pcap

     

NAT 주소 10.43.14.25도 표시됩니다. 서버가 응답하면 NAT 주소로 응답합니다. 
호스트와 서버 간의 3방향 핸드셰이크를 통해 세션이 성공적으로 완료되었음을 확인할 수 있으며, 그 후 Telnet 데이터가 표시됩니다.

 

 

https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/monitoring/take-packet-captures/take-a-custom-packet-capture

 

Take a Custom Packet Capture

 

---

 

[PaloAlto] Firewall Timeout 종류 및 설정 방법 - Session, Authentication, Web Server

[PaloAlto] Firewall Timeout 종류 및 설정 방법 - Session, Authentication, Web Server

 

[PaloAlto] Firewall Monitor Log 분석 - Traffic Session End Reason ( 방화벽 세션 로그 의미 )

[PaloAlto] Firewall Monitor Log 분석 - Traffic Session End Reason ( 방화벽 세션 로그 의미 )