Carrello

Nessun prodotto nel carrello.

Sophos Firewall – Raccogli i log con TCPDump per analizzarli

TCPDump è un potente strumento di analisi dei pacchetti di rete che serve a registrare e analizzare il traffico di dati in esecuzione su un’interfaccia di rete. Offre la possibilità di filtrare pacchetti specifici e di salvarli in una posizione esterna. Questo è particolarmente utile quando sono necessarie analisi approfondite o quando è necessario inoltrare i dati all’assistenza Sophos per la risoluzione dei problemi.

Utilizzare TCPDump su Sophos Firewall

Per utilizzare TCPDump su Sophos Firewall, devi prima collegarti al firewall tramite SSH e poi utilizzare comandi specifici per catturare e memorizzare il traffico desiderato.

Esempio di applicazione: raccogliere i log per il PBX 3CX

Immaginiamo di dover registrare il traffico VoIP di un sistema PBX 3CX (con indirizzo IP 192.168.100.220) per diagnosticare problemi legati al traffico di rete.

Comando di registrazione

tcpdump -i any -nn host 192.168.100.220 -w /tmp/voip.pcap &

I parametri individuali hanno i seguenti vantaggi:

  • -i any: questo parametro garantisce la registrazione di tutto il traffico che viaggia attraverso tutte le interfacce disponibili.
  • -nn: Questo parametro disattiva la risoluzione dei nomi degli host e delle porte per velocizzare e semplificare l’output.
  • host 192.168.100.220: il traffico dati da e verso l’indirizzo IP specifico viene filtrato qui.
  • -w /tmp/voip.pcap: questo parametro specifica che i pacchetti registrati devono essere scritti in un file chiamato voip.pcap nella directory /tmp.
  • &: Questo assicura che il comando venga eseguito in background in modo da poter continuare ad accedere alla riga di comando.

Parametri ed esempi utili di tcpdump

Limita l’uscita dei pacchi al 50

tcpdump -c 50

Limite all’interfaccia di rete

sudo tcpdump -i eth1

Scrivi l’output in un file in formato pcap

sudo tcpdump -i wlan0 -p -w /tmp/tcpdump.pcap

Uscita di tutti i dati di uno specifico IP

tcpdump host 51.154.9.190

Pacchetti in uscita tra due host

tcpdump icmp and host 10.32.42.2 and host 192.168.20.23

Arresto del lavoro in corso

Per interrompere il processo TCPDump in corso, usa i seguenti comandi. Questo è importante perché altrimenti il firewall raccoglie così tanti log da riempire la memoria.

Mostra i lavori attivi:

jobs

Lasciare il lavoro

kill %1
kill %2
...

o

killall tcpdump

A seconda del numero di processi in esecuzione, puoi eseguire diversi comandi kill per assicurarti che tutti i processi TCPDump interessati vengano terminati.

Analizzare i log

Una volta raccolti i log, è possibile scaricarli su un computer locale utilizzando ad es: WinSCP o Cyberduck e analizzati con uno strumento come Wireshark. In alternativa, i log possono essere inoltrati al Supporto Sophos per ricevere assistenza nell’analisi e nella risoluzione dei problemi.

Sintesi

TCPDump è uno strumento essenziale per analizzare nel dettaglio il traffico di rete di Sophos Firewall. Permette di raccogliere dati di log specifici che possono essere utilizzati per analisi più approfondite o per l’assistenza. Utilizzando i comandi descritti sopra, TCPDump può essere utilizzato in modo efficiente e specifico.