Panier d’achat

Aucun produit dans le panier.

Sophos Firewall – collecte des journaux avec TCPDump pour analyse

TCPDump est un puissant outil d’analyse de paquets réseau utilisé pour enregistrer et analyser le trafic passant par une interface réseau. Il offre la possibilité de filtrer des paquets spécifiques et de les stocker dans un emplacement externe. Ceci est particulièrement utile lorsque des analyses plus approfondies sont nécessaires ou lorsque vous devez transmettre des données au support technique Sophos pour le dépannage.

Application de TCPDump sur Sophos Firewall

Pour utiliser TCPDump sur Sophos Firewall, vous devez d’abord vous connecter au pare-feu via SSH, puis utiliser des commandes spécifiques pour capturer et enregistrer le trafic souhaité.

Exemple d’application : Collecter les logs pour 3CX PBX

Imaginons que l’on souhaite enregistrer le trafic VoIP d’un PBX 3CX (avec l’adresse IP 192.168.100.220) afin de diagnostiquer les problèmes liés au trafic réseau.

Commande d’enregistrement

tcpdump -i any -nn host 192.168.100.220 -w /tmp/voip.pcap &

Les paramètres individuels ont l’utilité suivante :

  • -i any: ce paramètre assure la collecte de tout le trafic passant par toutes les interfaces disponibles.
  • -nn: Ce paramètre désactive la résolution de nom pour les noms d’hôtes et les ports afin d’accélérer et de simplifier la sortie.
  • host 192.168.100.220: Le trafic en provenance et à destination de l’adresse IP spécifique est filtré ici.
  • -w /tmp/voip.pcap: ce paramètre indique que les paquets enregistrés doivent être écrits dans un fichier appelé voip.pcap dans le répertoire /tmp.
  • & : Cela permet d’exécuter la commande en arrière-plan, de sorte que vous puissiez toujours accéder à la ligne de commande.

Paramètres et exemples tcpdump utiles

Limiter l’émission de paquets à 50

tcpdump -c 50

limiter à l’interface réseau

sudo tcpdump -i eth1

Écrire la sortie dans un fichier au format pcap

sudo tcpdump -i wlan0 -p -w /tmp/tcpdump.pcap

Sortie de toutes les IP spécifiques

tcpdump host 51.154.9.190

Distribuer des paquets entre deux hôtes

tcpdump icmp and host 10.32.42.2 and host 192.168.20.23

Arrêter le travail en cours

Pour arrêter le processus TCPDump en cours, utilisez les commandes suivantes. Ceci est important, car sinon le pare-feu collectera tellement de logs que la mémoire sera pleine.

Afficher les emplois actifs :

jobs

Terminer les emplois

kill %1
kill %2
...

ou

killall tcpdump

En fonction du nombre de processus en cours d’exécution, vous pouvez exécuter plusieurs commandes kill pour vous assurer que tous les processus TCPDump concernés sont terminés.

Analyse des logs

Une fois les logs collectés, ils peuvent être téléchargés sur un ordinateur local avec, par ex : WinSCP ou Cyberduck et être analysés avec un outil comme Wireshark. Alternativement, les logs peuvent être envoyés au support technique Sophos pour obtenir de l’aide pour l’analyse et le dépannage.

Résumé

TCPDump est un outil essentiel pour analyser en détail le trafic réseau sur Sophos Firewall. Il permet de collecter des données de log spécifiques qui peuvent être utilisées pour une analyse plus approfondie ou pour aider le support technique. En utilisant les commandes décrites ci-dessus, TCPDump peut être utilisé de manière efficace et ciblée.