Tout comme la commande TCPdump, la commande “fw monitor” permet une inspection des paquets traversant les firewalls Checkpoint.
2 raisons principales d’utiliser cette commande, présente sur toutes les platerformes Checkpoint, plutôt que TCPdump :
-
- Sécurité accrue : à l’instar de TCPdump, fw monitor ne travaille pas en “promiscuous mode”, ce mode étant vulnérable à des attaques distantes.
- Inspection détaillée : fw monitor permet l’inspection des paquets, au niveau kernel, et à différents points de la chaine de filtrage.
Je ne vais pas rentrer dans le détail complet de la commande, mais seulement quelques paramètres utiles dans le cadre de debugging.
#fw monitor -h
Usage: fw monitor [- u|s] [-i] [-d] [-T] <{-e expr}+|-f <filter-file|->> [-l len] [-m mask] [-x offset[,len]] [-o <file>] <[-pi pos] [-pI pos] [-po pos] [-pO pos] | -p all [-a ]> [-ci count] [-co count]
Voici à quoi ressemble une sortie de fw monitor :
eth-s4p1c0:i[40]: 10.73.156.159 -> 10.73.252.3 (TCP) len=40 id=27240
TCP: 4576 -> 22 ….A. seq=2faa82e3 ack=0ae66a7f
eth-s4p1c0:I[40]: 10.73.156.159 -> 10.73.252.3 (TCP) len=40 id=27240
TCP: 4576 -> 22 ….A. seq=2faa82e3 ack=0ae66a7f
eth-s4p1c0:o[1420]: 10.73.252.3 -> 10.73.156.159 (TCP) len=1420 id=4929
TCP: 22 -> 4576 ….A. seq=0ae66a7f ack=2faa82e3
eth-s4p1c0:O[1420]: 10.73.252.3 -> 10.73.156.159 (TCP) len=1420 id=4929
TCP: 22 -> 4576 ….A. seq=0ae66a7f ack=2faa82e3