Panier d’achat

Aucun produit dans le panier.

Sophos Firewall – Détection des paquets rejetés

Les Sophos Firewalls peuvent rejeter des paquets pour diverses raisons. Cet article explique comment détecter les paquets rejetés, quels outils sont disponibles pour cela et comment les problèmes courants peuvent être résolus par des configurations appropriées.

Identifier les paquets rejetés

Pour détecter les paquets rejetés, utilisez la visionneuse de journaux de Sophos Firewall. Celui-ci indique quels modules sont responsables du rejet d’un paquet. Les modules les plus importants sont

  • Firewall
  • Filtre web
  • Filtre d’application
  • Système de prévention des intrusions (IPS)
  • Protection avancée contre les menaces (ATP)
  • Protection des serveurs web

En utilisant des filtres dans la visionneuse de logs, vous pouvez rechercher spécifiquement les paquets rejetés. Par exemple, vous pouvez définir un filtre qui n’affiche que les paquets qui ne sont pas autorisés.

Instructions pas à pas

  1. Ouvrir le Log Viewer.
  2. Sélectionner le module approprié (par exemple, pare-feu).
  3. Ajouter un filtre qui affiche les paquets rejetés.
    • Définissez le filtre pour « Log Subtype » sur « Is Not Allowed ».
  4. Analyse des paquets rejetés à partir des messages dans le visualiseur de journaux.

Il convient de noter que le Log Viewer ne stocke qu’un nombre limité de logs et n’est pas adapté à la surveillance en temps réel. Pour une analyse en temps réel, il est recommandé d’utiliser l’outil de capture de paquets.

Messages d’erreur fréquents pour les paquets rejetés

Les paquets rejetés peuvent avoir différentes causes, qui sont affichées dans la visionneuse de journaux. Les messages d’erreur les plus courants sont les suivants

  • Invalid Packet: fait référence aux paquets TCP RST ou TCP FIN rejetés afin de prévenir les attaques.
  • No ICMP Record Found: un ping de réponse a été reçu sans demande correspondante et a été rejeté.
  • Could Not Associate Packet to Any Connection: le paquet n’appartient à aucune connexion connue et est rejeté.

Un autre scénario pouvant conduire à des paquets rejetés est le routage asymétrique, dans lequel le pare-feu ne peut pas attribuer correctement les paquets.

Utilisation de l’outil de capture de paquets

L’outil de capture de paquets permet une analyse détaillée du trafic. Il permet aux administrateurs de voir quelles règles de pare-feu et quelles fonctions de sécurité influencent le flux de données. Par exemple, ils peuvent déterminer si le filtre Web ou une autre fonction de sécurité bloque le paquet.

Instructions pas à pas

  1. Naviguez vers Diagnostic > Packet Capture.
  2. Configurer le filtre de paquets avec les adresses IP et les protocoles pertinents.
  3. Activer l’enregistrement des paquets pendant que le problème est reproduit.
  4. Analyse des paquets enregistrés en vue de détecter les connexions rejetées ou bloquées.

Résolution des problèmes à l’aide d’exemples

Les paragraphes suivants décrivent quelques scénarios courants dans lesquels des paquets sont rejetés, ainsi que les solutions correspondantes.

Paquets rejetés par les règles de pare-feu

Exemple : un ordinateur interne ne peut pas envoyer de ping à un autre ordinateur du réseau.

  • Utilisez l’outil de capture de paquets pour vérifier si les paquets sont reçus et transmis par le pare-feu.
  • Si les paquets ne sont pas transférés, une règle de pare-feu manquante peut être à l’origine du problème. Une nouvelle règle autorisant le trafic ping résout le problème.

Paquets rejetés par le filtre Web

Exemple : un site comme youtube.com est bloqué.

  • Examinez les journaux du filtre web dans la visionneuse de journaux.
  • Si le site est bloqué en raison d’une politique, il est possible de créer un nouveau groupe d’URL afin d’autoriser spécifiquement certains sites, tandis que d’autres restent bloqués.

Meilleures pratiques

  • Éviter les exceptions excessives : En créant des exceptions pour les filtres Web, ATP ou autres modules de sécurité, les administrateurs doivent s’assurer que la sécurité du réseau n’est pas compromise.
  • Surveillance régulière des journaux : étant donné que la visionneuse de journaux ne stocke qu’un nombre limité de journaux, il convient de vérifier régulièrement si les paquets rejetés sont critiques ou peuvent être ignorés.
  • Utilisation d’outils en temps réel : Pour un dépannage efficace, l’outil de capture de paquets est indispensable, car il fournit des informations détaillées sur le trafic de paquets en temps réel.

Vidéo

Pour plus d’informations et des instructions détaillées, regardez cette vidéo