[Step-by-Step] 포티넷 Fortigate "패킷캡쳐" 및 간단 분석하기

안녕하세요~

너무나 추운 하루 입니다. 바람이 제 볼을 찢어놓는 듯 하네요 ㅠㅠ

다들 겨울내내 따뜻하게 지내시기 바랍니다.

 

오늘은 "포티넷 방화벽"에서 패킷캡쳐하는 방법을 설명드리고, 간단하게 분석하는 방법을 공유드려볼께요.

 

참고로, Wireshark를 사용해서 패킷을 분석해보시는 건 엔지니어의 기본 역량 인거 아시죠? ^^

 

Step 1. "Network" > "Packet Capture" 매뉴로 이동하셔서 "Create New" 버튼을 클릭해주세요.

 

 

Step 2. 우선 패킷을 수집하고자 하시는 인터페이스를 선택해주세요. 모든 패킷을 수집할 필요가 없다면 "Enable Filters"를 선택하시고, 원하시는 정보를 입력해주세요.

(저는 10.10.110.30와 통신하는 Radius 프로토콜을 수집해보겠습니다.)

 

 

Step 3. 아래와 같이 제가 원하는 캡쳐 프로파일이 생성되었습니다. Play 버튼을 눌러서 시작해주세요.

 

 

Step 4. 시간이 좀 지나고 패킷이 어느정도 수집이 되었다면 다운로드 버튼을 눌러서 캡쳐파일을 다운로드 해주세요.

 

 

Step 5. 파일을 더블클릭해서 열어주세요. (Wireshark 프로그램 설치된 상태에서)

 

 

Step 6. SSL VPN이 Radius 서버와 연동되어 있고, 사용자가 접속에 실패한 경우 어떤 이유때문에 한번 간단 분석해볼께요. 

 

> Access-Request가 있었지만, Access-Reject 된 것을 확인할 수 있습니다.

 

> 입력된 Username이 vpnuser 인 것을 확인했습니다.

 

> Reject 된 이유는 Invalid user 이기 때문이었습니다. (사용자 정보 없음)

 

 

정말 간단하죠? ^^ 

이처럼 엔지니어라면 패킷캡쳐하는 습관 필수!! 짐작이 아닌 근거로써 대응하자!!

 

오늘도 행복한 하루 되세요~