Jump to content

Recommended Posts

Добрый день!
Не появилась ли в 4 версии ViPNet трассировка маршрутов через координаторы с отображением IP-адресов? Пытаюсь распутать сложную ситуацию, без трассы непонятно как справляться.

Share this post


Link to post
Share on other sites
1 час назад, diis сказал:

Не появилась ли в 4 версии ViPNet трассировка маршрутов через координаторы с отображением IP-адресов?

И не появится. Журнал пакетов и конфигурации iplir с узлов обычно бывает достаточно.

Share this post


Link to post
Share on other sites

Ну да... Можно и воду дуршлагом черпать... В ситуации, когда трафик улетает неведомо куда, бродить по координаторам и искать пакеты в журналах вместо одной команды  trace - это хорошо и правильно, конечно.

Share this post


Link to post
Share on other sites

Какие-то видимо трудности в поддержке TTL в данном случае у разработчиков...
Можно разрешить пинг координатора из незащищенной сети (да и не только пинг), а вот виндовый трейс через icmp - не прожевывается увы.

И это действительно утомляет иногда.

Share this post


Link to post
Share on other sites

 Ну допустим штатный tracert бы работал. Что-бы он показывал? Виртуальные адреса хопов, через которые проходил трафик. Причем эти адреса сильно зависели бы от того, как видят друг друга узлы, через которые он прошел. 192.168.1.1 - 11.0.1.251 - 11.0.1.10 - 10.0.1.2  и т.д.

 Чтобы понять что это за узлы придется на каждый промежуточный все равно заходить и смотреть в конфиге. Слабое утешение.

Так Вам сразу проще так сделать, посмотрите конфиги, журналы, может и сразу поймете куда трафик "улетает".

 Идея сделать все просто и красиво понятна, если бы её было также просто реализовать, то это было бы давно сделано.

Share this post


Link to post
Share on other sites

Поддержу коллег, однако здесь много нюансов. Для открытого трафика мне действительно не очень понятна проблема, а вот с шифрованным все намного сложнее.

Допустим при полном туннеле трафик шифруется и инкапсулируется, обратный же процесс происходит только на конечном координаторе, который выплевывает трафик в свой туннель. Как вы себе представляете ответы промежуточных устройств? Ведь к ним приходит зашифрованный udp пакет. То что внутри него, какой-то продовый трафик, icmp или еще что-то им неведомо. Очевидно, что тут нужно городить целую новую систему, какие то флаги в заголовок добавлять итд итп.

Share this post


Link to post
Share on other sites

Спасибо за разъяснения,  коллеги, я действительно упускаю сложности. Моя проблема мне стала понятна: в пути между координаторами есть роутер, который пытается раскидывать трафик в разные стороны, а зашифрованные пакеты он не понимает куда отправлять и конечно отправляет не туда. Будем думать с админом роутера

Share this post


Link to post
Share on other sites

Очень хотелось бы именно открытый трафик, пусть ответит один раз ближайший координатор, потом тот из которого трафик вывалился...

Share this post


Link to post
Share on other sites

 Когда посылается пакет от одного узла к другому, то расшифровать этот пакет промежуточные узлы не могут и что в нём записано они не знают, поэтому штатный tracert никогда не сможет работать корректно в защищенной сети.

Как уже было написано стандартными утилитами проблему трассировки в защищённой сети решить невозможно. Нужна своя отдельная экосистема, затрагивающая всю линейку продуктов. Это глубокие доработки с совсем неявным эффектом.

 В большинстве случаев уже имеющиеся средства позволяют быстро и эффективно  находить проблемы, что кстати подтверждает и текущая ветка форума:

5 часов назад, diis сказал:

Моя проблема мне стала понятна: в пути между координаторами есть роутер, который пытается раскидывать трафик в разные стороны

Поэтому на текущий момент нужно оттачивать скилл в анализе конфигов и журналов пакетов. В ближайшей перспективе это будут востребованные качества.

Share this post


Link to post
Share on other sites

Вот официальный ответ от поддержки,

> по требованию регулирующих органов ПО HW не поддерживает работу утилиты tracert.

> В текущих версиях программного обеспечения такая возможность не заложена.

Share this post


Link to post
Share on other sites
4 минуты назад, cypma4 сказал:

по требованию регулирующих органов ПО HW не поддерживает работу утилиты tracert.

Улыбнуло, спасибо!

А traceroute? tracepath? )))

Share this post


Link to post
Share on other sites
9 минут назад, volosnikov сказал:

Улыбнуло, спасибо!

А traceroute? tracepath? )))

я думаю аналогично

Share this post


Link to post
Share on other sites
30 минут назад, cypma4 сказал:

по требованию регулирующих органов

Имеется виду, что любая штатная утилита из состава ОС будет передавать данные в открытой части ip-пакета, т.е. информация о трассировке (топологии) защищённой сети может быть доступна злоумышленнику.

Share this post


Link to post
Share on other sites

Вставлю свои 5 копеек: а вот централизованное хранение журналов пакетов с нескольких координаторов помогло бы избавиться от удовольствия подключаться к каждому координатору и анализировать журналы пакетов на каждом отдельно.

Share this post


Link to post
Share on other sites
1 час назад, KIV сказал:

Вставлю свои 5 копеек: а вот централизованное хранение журналов пакетов с нескольких координаторов помогло бы избавиться от удовольствия подключаться к каждому координатору и анализировать журналы пакетов на каждом отдельно.

Вы из любого випнет клиента в режиме администратора можете посмотреть журнал пакетов любого связанного узла. Чем не централизация?

Share this post


Link to post
Share on other sites
2 часа назад, KIV сказал:

централизованное хранение журналов пакетов с нескольких координаторов помогло бы избавиться

Механизм передачи журнала пакетов на удаленный узел по протоколу CEF будет реализован в следующих версиях HW. Сейчас он уже реализован в xFirewall.

Share this post


Link to post
Share on other sites
9 часов назад, zero сказал:

Механизм передачи журнала пакетов на удаленный узел по протоколу CEF будет реализован в следующих версиях HW. Сейчас он уже реализован в xFirewall.

Вот это круто.

10 часов назад, R.Sheyn сказал:

Вы из любого випнет клиента в режиме администратора можете посмотреть журнал пакетов любого связанного узла. Чем не централизация?

Да неудобно это. Сначала к одному подключится посмотреть, потом к другому. 

Share this post


Link to post
Share on other sites
10 часов назад, KIV сказал:

Да неудобно это. Сначала к одному подключится посмотреть, потом к другому

А как вы себе видите другую реализацию. Ну ок, слились все журналы пакетов в одно место, а дальше? Все равно между ними переключаться. Или вы хотите, чтобы и анализировалось все за вас?

Share this post


Link to post
Share on other sites
18 часов назад, R.Sheyn сказал:

А как вы себе видите другую реализацию. Ну ок, слились все журналы пакетов в одно место, а дальше? Все равно между ними переключаться. Или вы хотите, чтобы и анализировалось все за вас?

Ну как минимум хочу чтобы была возможность делать поиск со след критериями: адрес источника, адрес назначения, диапазон времени и координаторы в журналах которых мы ищем проходящий пакет. А вы видите это как журналов пакетов и дальше как хотите так и ищите?

Share this post


Link to post
Share on other sites

Ну я так и понял, вы хотите, чтобы еще и аналитику за вас проводил. Много хотите)

Share this post


Link to post
Share on other sites
30 минут назад, KIV сказал:

21 век - имею право. 

Думаю максимум, что инфотекс сделает, это как уже писали выгрузку. А вот аналитику придется все-таки проводить сторонними средствами. Очевидно, что затрат человекочасов эта сомнительная перспектива не окупит. Да оно и не нужно. Удобно? Да. Жизненно необходимо? Нет.

Share this post


Link to post
Share on other sites

Предполагается, что  выгрузка журнала происходит не в пустоту, а в некий коннектор к весьма мощной и большой системе, где есть и средства аналитики и мастера преобразования получаемых данных в человекочитабельный вид и различные выборки по параметрам. Вероятно, что-то в этой системе придётся доработать и настроить под журнал, но писать свою систему для этих целей вряд ли целесообразно. Даже если планы такие и есть, то появится она не завтра и не послезавтра.

Share this post


Link to post
Share on other sites

Коллеги, надеюсь вы видели такие продукты как SmartLog от CheckPoint, или Pamorama от PaloAlto. Ну ведь очень удобная штука. Последняя продается за отдельные деньги, у ЧП другая концепция, но тоже монетизированная. Я глубоко убежден, что сети в которых используется несколько 10ов координаторов смогут позволить себе платный, вендорский софт для хранения и обработки журналов.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.