Sophos Firewall – Raccogli i log con TCPDump per analizzarli
TCPDump è un potente strumento di analisi dei pacchetti di rete che serve a registrare e analizzare il traffico di dati in esecuzione su un’interfaccia di rete. Offre la possibilità di filtrare pacchetti specifici e di salvarli in una posizione esterna. Questo è particolarmente utile quando sono necessarie analisi approfondite o quando è necessario inoltrare i dati all’assistenza Sophos per la risoluzione dei problemi.
Argomenti
Utilizzare TCPDump su Sophos Firewall
Per utilizzare TCPDump su Sophos Firewall, devi prima collegarti al firewall tramite SSH e poi utilizzare comandi specifici per catturare e memorizzare il traffico desiderato.
Esempio di applicazione: raccogliere i log per il PBX 3CX
Immaginiamo di dover registrare il traffico VoIP di un sistema PBX 3CX (con indirizzo IP 192.168.100.220) per diagnosticare problemi legati al traffico di rete.
Comando di registrazione
tcpdump -i any -nn host 192.168.100.220 -w /tmp/voip.pcap &
I parametri individuali hanno i seguenti vantaggi:
- -i any: questo parametro garantisce la registrazione di tutto il traffico che viaggia attraverso tutte le interfacce disponibili.
- -nn: Questo parametro disattiva la risoluzione dei nomi degli host e delle porte per velocizzare e semplificare l’output.
- host 192.168.100.220: il traffico dati da e verso l’indirizzo IP specifico viene filtrato qui.
- -w /tmp/voip.pcap: questo parametro specifica che i pacchetti registrati devono essere scritti in un file chiamato voip.pcap nella directory /tmp.
- &: Questo assicura che il comando venga eseguito in background in modo da poter continuare ad accedere alla riga di comando.
Parametri ed esempi utili di tcpdump
Limita l’uscita dei pacchi al 50
tcpdump -c 50
Limite all’interfaccia di rete
sudo tcpdump -i eth1
Scrivi l’output in un file in formato pcap
sudo tcpdump -i wlan0 -p -w /tmp/tcpdump.pcap
Uscita di tutti i dati di uno specifico IP
tcpdump host 51.154.9.190
Pacchetti in uscita tra due host
tcpdump icmp and host 10.32.42.2 and host 192.168.20.23
Arresto del lavoro in corso
Per interrompere il processo TCPDump in corso, usa i seguenti comandi. Questo è importante perché altrimenti il firewall raccoglie così tanti log da riempire la memoria.
Mostra i lavori attivi:
jobs
Lasciare il lavoro
kill %1
kill %2
...
o
killall tcpdump
A seconda del numero di processi in esecuzione, puoi eseguire diversi comandi kill per assicurarti che tutti i processi TCPDump interessati vengano terminati.
Analizzare i log
Una volta raccolti i log, è possibile scaricarli su un computer locale utilizzando ad es: WinSCP o Cyberduck e analizzati con uno strumento come Wireshark. In alternativa, i log possono essere inoltrati al Supporto Sophos per ricevere assistenza nell’analisi e nella risoluzione dei problemi.
Sintesi
TCPDump è uno strumento essenziale per analizzare nel dettaglio il traffico di rete di Sophos Firewall. Permette di raccogliere dati di log specifici che possono essere utilizzati per analisi più approfondite o per l’assistenza. Utilizzando i comandi descritti sopra, TCPDump può essere utilizzato in modo efficiente e specifico.