Ir al contenido
Avanet

Sophos Firewall - Recopilar registros con TCPDump para analizarlos

Sophos Firewall

TCPDump es una potente herramienta de análisis de paquetes de red que se utiliza para grabar y analizar el tráfico de datos que circula por una interfaz de red. Ofrece la posibilidad de filtrar paquetes específicos y guardarlos en una ubicación externa. Esto es especialmente útil cuando se requieren análisis en profundidad o cuando necesitas enviar datos al servicio de asistencia de Sophos para solucionar problemas.

Uso de TCPDump en el Sophos Firewall

Para utilizar TCPDump en el Sophos Firewall, primero te conectas al cortafuegos mediante SSH y luego utilizas comandos específicos para capturar y almacenar el tráfico deseado.

Ejemplo de aplicación: recopilar registros de la centralita 3CX

Imaginemos que se quiere grabar el tráfico VoIP de un sistema PBX 3CX (con la dirección IP 192.168.100.220) para diagnosticar problemas relacionados con el tráfico de red.

Comando de grabación

tcpdump -i any -nn host 192.168.100.220 -w /tmp/voip.pcap &

Los parámetros individuales tienen las siguientes ventajas:

  • -i any: registra el tráfico que pasa por todas las interfaces disponibles.
  • -nn: desactiva la resolución de nombres de host y puertos para acelerar y simplificar la salida.
  • host 192.168.100.220: filtra el tráfico desde y hacia esa dirección IP específica.
  • -w /tmp/voip.pcap: escribe los paquetes capturados en un archivo llamado voip.pcap dentro del directorio /tmp.
  • &: ejecuta el comando en segundo plano para que puedas seguir usando la línea de comandos.

Parámetros útiles de tcpdump y ejemplos

Limitar la salida del paquete al 50

tcpdump -c 50

Límite a la interfaz de red

sudo tcpdump -i eth1

Escribe la salida en un archivo en formato pcap

sudo tcpdump -i wlan0 -p -w /tmp/tcpdump.pcap

Mostrar todo el tráfico de una IP específica

tcpdump host 51.154.9.190

Paquetes de salida entre dos hosts

tcpdump icmp and host 10.32.42.2 and host 192.168.20.23

Detener el trabajo en ejecución

Para detener el proceso TCPDump en ejecución, utiliza los siguientes comandos. Esto es importante ya que, de lo contrario, el cortafuegos recopila tantos registros que la memoria se llena.

Mostrar trabajos activos:

jobs

Detener la tarea

kill %1
kill %2
...

o

killall tcpdump

Dependiendo del número de procesos en ejecución, puedes ejecutar varios comandos kill para asegurarte de que se terminan todos los procesos TCPDump relevantes.

Analizar los registros

Una vez recopilados los registros, puedes descargarlos a un equipo local con herramientas como WinSCP o Cyberduck y analizarlos con Wireshark. También puedes enviar los registros al servicio de asistencia de Sophos para que te ayuden a analizarlos y solucionar problemas.

Resumen

TCPDump es una herramienta esencial para analizar en detalle el tráfico de red del Sophos Firewall. Permite recopilar datos de registro específicos que pueden utilizarse para análisis más profundos o para asistencia. Utilizando los comandos descritos anteriormente, TCPDump puede utilizarse de forma eficaz y específica.