Sophos Firewall – collecte des journaux avec TCPDump pour analyse
TCPDump est un puissant outil d’analyse de paquets réseau utilisé pour enregistrer et analyser le trafic passant par une interface réseau. Il offre la possibilité de filtrer des paquets spécifiques et de les stocker dans un emplacement externe. Ceci est particulièrement utile lorsque des analyses plus approfondies sont nécessaires ou lorsque vous devez transmettre des données au support technique Sophos pour le dépannage.
Thèmes
Application de TCPDump sur Sophos Firewall
Pour utiliser TCPDump sur Sophos Firewall, vous devez d’abord vous connecter au pare-feu via SSH, puis utiliser des commandes spécifiques pour capturer et enregistrer le trafic souhaité.
Exemple d’application : Collecter les logs pour 3CX PBX
Imaginons que l’on souhaite enregistrer le trafic VoIP d’un PBX 3CX (avec l’adresse IP 192.168.100.220) afin de diagnostiquer les problèmes liés au trafic réseau.
Commande d’enregistrement
tcpdump -i any -nn host 192.168.100.220 -w /tmp/voip.pcap &
Les paramètres individuels ont l’utilité suivante :
- -i any: ce paramètre assure la collecte de tout le trafic passant par toutes les interfaces disponibles.
- -nn: Ce paramètre désactive la résolution de nom pour les noms d’hôtes et les ports afin d’accélérer et de simplifier la sortie.
- host 192.168.100.220: Le trafic en provenance et à destination de l’adresse IP spécifique est filtré ici.
- -w /tmp/voip.pcap: ce paramètre indique que les paquets enregistrés doivent être écrits dans un fichier appelé voip.pcap dans le répertoire /tmp.
- & : Cela permet d’exécuter la commande en arrière-plan, de sorte que vous puissiez toujours accéder à la ligne de commande.
Paramètres et exemples tcpdump utiles
Limiter l’émission de paquets à 50
tcpdump -c 50
limiter à l’interface réseau
sudo tcpdump -i eth1
Écrire la sortie dans un fichier au format pcap
sudo tcpdump -i wlan0 -p -w /tmp/tcpdump.pcap
Sortie de toutes les IP spécifiques
tcpdump host 51.154.9.190
Distribuer des paquets entre deux hôtes
tcpdump icmp and host 10.32.42.2 and host 192.168.20.23
Arrêter le travail en cours
Pour arrêter le processus TCPDump en cours, utilisez les commandes suivantes. Ceci est important, car sinon le pare-feu collectera tellement de logs que la mémoire sera pleine.
Afficher les emplois actifs :
jobs
Terminer les emplois
kill %1
kill %2
...
ou
killall tcpdump
En fonction du nombre de processus en cours d’exécution, vous pouvez exécuter plusieurs commandes kill pour vous assurer que tous les processus TCPDump concernés sont terminés.
Analyse des logs
Une fois les logs collectés, ils peuvent être téléchargés sur un ordinateur local avec, par ex : WinSCP ou Cyberduck et être analysés avec un outil comme Wireshark. Alternativement, les logs peuvent être envoyés au support technique Sophos pour obtenir de l’aide pour l’analyse et le dépannage.
Résumé
TCPDump est un outil essentiel pour analyser en détail le trafic réseau sur Sophos Firewall. Il permet de collecter des données de log spécifiques qui peuvent être utilisées pour une analyse plus approfondie ou pour aider le support technique. En utilisant les commandes décrites ci-dessus, TCPDump peut être utilisé de manière efficace et ciblée.