Politicas Sniffer

[foraneo]

Hola Buenas Tardes, Saludos a todos. Mi pregunta es la siguiente:

Quisiera poder Realizar Sniffer a una politica de firewall en parrticular el os del forti es 4.0 v 3. Por ejemplo a la politica id1487, ya que la misma es muy generalizada y tengo demasiado tráfico por la misma y quisiera disgregarlo. Hay forma de poder realizar sniffer de una politica especifica, para no realizar filtrado de puertos y hosts????

Desde Ya agradezco mucho su lectura, y por supuesto bien ponderada respuesta.

[Felipe]

Hola,

Podrías utilizar el syslog o lo que utilices para recopilar los logs del firewall para filtrar y recopilar los registros que de verdad te interesen. Por ejemplo este es un log generado por mi firewall

Jun 4 09:52:19 10.128.254.254 date=2013-06-04,time=09:52:04,devname=pepito,devid=esemismo,logid=0000000013,type=traffic,subtype=forward,level=notice,vd=root,srcip=X.X.X.X,srcport=32655,srcintf="amc-dw1/2",dstip=X.X.X:X,dstport=3389,dstintf="port4",sessionid=97567117,status=deny,policyid=57,dstcountry="Spain",srccountry="Sweden",trandisp=dnat,tranip=10.128.3.4,tranport=3389,service=RDP,proto=6,duration=0,sentbyte=0,rcvdbyte=0

Si te das cuenta hay un campo que es el identificador de política. Puedes usar como he comentado syslog para filtrar los logs de muchas maneras.

Saludos.

[foraneo]

Vos sabes que no la habia pensado a esa Felipe..! un groso voy a probar esa opcion!! Muchisimas gracias!!!!!

[gabyrossi]

hola, forma es separar esa politica en rangos de ip o grupos, o subredes, dependiendo del origen de la politica.

saludos.