Merhabalar,
Bugün sizlerle Palo Alto Firewall üzerinde yaşanan paket düşüşlerini (drop) ve bu düşüşlere dair tutulan “counter” değerlerini konuşacağız. Palo Alto’nun sunduğu bu counter değerleri sayesinde bir paket neden düştü ve ne sıklıkla düşüğüne yanıt verebiliyor olacağız.
Özellikle sorun giderme süreçlerinde paketlerin neden engellendiğini veya sistem tarafından hangi sebeple düşürüldüğünü öğrenmek, ağ yapımızın sağlığı için kritik öneme sahip.
Öncelikle paket düşmesi (drop) dendiğinde akla farklı senaryolar gelebilir. Güvenlik politikaları (Security Policies) paketleri engelleyebilir, paket içerisindeki zararlı aktivite tespiti (Threat/Antivirus/Anti-Spyware) söz konusu olabilir veya basitçe yapılandırma hataları yüzünden paketleriniz istenilen hedefe ulaşamayabilir. Palo Alto Firewall, bu çeşit olayları counters değerlerini takip ederek anlık veya geçmişe dönük analizler yapmamıza imkan sağlar.
Cihazın üzerindeki counter değerleri, aslında bir nevi firewall ımızın skor tablosu veya firewall ımızın karnesidir. Bir paketin ne zaman, hangi sebeple ve ne ölçüde engellendiğini ya da yönlendirildiğini bu counter üzerinden okuyabiliyoruz. Mesela belirli bir zaman diliminde “drop” sayaçlarında ani yükseliş görüyorsanız, ağda normal dışı bir etkinlik veya yanlış yapılandırma söz konusu olabilir.
Peki bu gibi durumlarda ne yapabiliriz ?
show counter global filter severity drop delta yes komutu, işte bu noktada hayat kurtarıyor.
• filter severity drop parametresi, sadece “drop” ile ilgili sayaçları ekrana getirmemizi sağlarken,
• delta yes eklemesi ise daha önce alınan çıktıya göre sayaçların ne kadar artış gösterdiğini vurguluyor.
Bu sayede, komutu farklı zamanlarda çalıştırıp, iki çıktı arasında ne kadar artış yaşanmış hemen anlayabiliyoruz.
- Name: Counter adı
- Value: Counter anlık toplam değer
- Last: Bir önceki komut çalıştırıldığında ölçülen değer
- Delta: “Value” ile “Last” arasındaki fark (örneğin bir önceki ölçümden sonra artan veya azalan miktar)
Diyelim ki belirli bir counter değeri, kısa süre içinde normalin çok üzerinde artış gösterdi. Bu, ilgili politika veya modülün sürekli paket düşürmeye başladığını işaret eder. Bu durumda:
Log Kayıtlarını İnceleyerek, hangi IP, hangi port ve hangi uygulamanın sürekli olarak drop olduğunu tespit edebilirsiniz.
Bu adımlar sayesinde, sorunların kaynağına hızla inebilir ve gerekli yapılandırma değişikliklerini yapabilirsiniz.
Bir sonraki makalede görüşmek üzere…
