Sophos Firewall – Recoge registros con TCPDump para analizarlos
TCPDump es una potente herramienta de análisis de paquetes de red que se utiliza para grabar y analizar el tráfico de datos que circula por una interfaz de red. Ofrece la posibilidad de filtrar paquetes específicos y guardarlos en una ubicación externa. Esto es especialmente útil cuando se requieren análisis en profundidad o cuando necesitas enviar datos al servicio de asistencia de Sophos para solucionar problemas.
Temas
Uso de TCPDump en el Sophos Firewall
Para utilizar TCPDump en el Sophos Firewall, primero te conectas al cortafuegos mediante SSH y luego utilizas comandos específicos para capturar y almacenar el tráfico deseado.
Ejemplo de aplicación: Recopilar registros de la centralita 3CX
Imaginemos que se quiere grabar el tráfico VoIP de un sistema PBX 3CX (con la dirección IP 192.168.100.220) para diagnosticar problemas relacionados con el tráfico de red.
Comando de grabación
tcpdump -i any -nn host 192.168.100.220 -w /tmp/voip.pcap &
Los parámetros individuales tienen las siguientes ventajas:
- -i cualquiera: Este parámetro garantiza que se registra todo el tráfico que viaja por todas las interfaces disponibles.
- -nn: Este parámetro desactiva la resolución de nombres de host y puertos para acelerar y simplificar la salida.
- host 192.168.100.220: Aquí se filtra el tráfico de datos desde y hacia la dirección IP específica.
- -w /tmp/voip.pcap: Este parámetro especifica que los paquetes grabados deben escribirse en un archivo llamado voip.pcap en el directorio /tmp.
- &: Esto garantiza que el comando se ejecute en segundo plano para que puedas seguir accediendo a la línea de comandos.
Parámetros útiles de tcpdump y ejemplos
Limitar la salida del paquete al 50
tcpdump -c 50
Límite a la interfaz de red
sudo tcpdump -i eth1
Escribe la salida en un archivo en formato pcap
sudo tcpdump -i wlan0 -p -w /tmp/tcpdump.pcap
Salida de todos los de una IP específica
tcpdump host 51.154.9.190
Paquetes de salida entre dos hosts
tcpdump icmp and host 10.32.42.2 and host 192.168.20.23
Detener el trabajo en ejecución
Para detener el proceso TCPDump en ejecución, utiliza los siguientes comandos. Esto es importante ya que, de lo contrario, el cortafuegos recopila tantos registros que la memoria se llena.
Mostrar trabajos activos:
jobs
Dejar el trabajo
kill %1
kill %2
...
o
killall tcpdump
Dependiendo del número de procesos en ejecución, puedes ejecutar varios comandos kill para asegurarte de que se terminan todos los procesos TCPDump relevantes.
Analizar los registros
Una vez recogidos los registros, pueden descargarse a un ordenador local utilizando, por ejemplo WinSCP o Cyberduck y analizarlos con una herramienta como Wireshark. También puedes enviar los registros al servicio de asistencia de Sophos para que te ayuden a analizarlos y solucionar problemas.
Resumen
TCPDump es una herramienta esencial para analizar en detalle el tráfico de red del Sophos Firewall. Permite recopilar datos de registro específicos que pueden utilizarse para análisis más profundos o para asistencia. Utilizando los comandos descritos anteriormente, TCPDump puede utilizarse de forma eficaz y específica.