Vai al contenuto
Avanet

Sophos Firewall - Raccogliere log con TCPDump per l'analisi

Sophos Firewall

TCPDump è un potente strumento di analisi dei pacchetti di rete che serve a registrare e analizzare il traffico di dati in esecuzione su un’interfaccia di rete. Offre la possibilità di filtrare pacchetti specifici e di salvarli in una posizione esterna. Questo è particolarmente utile quando sono necessarie analisi approfondite o quando è necessario inoltrare i dati all’assistenza Sophos per la risoluzione dei problemi.

Utilizzare TCPDump su Sophos Firewall

Per utilizzare TCPDump su Sophos Firewall, devi prima collegarti al firewall tramite SSH e poi utilizzare comandi specifici per catturare e memorizzare il traffico desiderato.

Esempio di applicazione: raccogliere i log per il PBX 3CX

Immaginiamo di dover registrare il traffico VoIP di un sistema PBX 3CX (con indirizzo IP 192.168.100.220) per diagnosticare problemi legati al traffico di rete.

Comando di registrazione

tcpdump -i any -nn host 192.168.100.220 -w /tmp/voip.pcap &

I singoli parametri hanno il seguente significato:

  • -i any: questo parametro garantisce la registrazione di tutto il traffico che viaggia attraverso tutte le interfacce disponibili.
  • -nn: Questo parametro disattiva la risoluzione dei nomi degli host e delle porte per velocizzare e semplificare l’output.
  • host 192.168.100.220: il traffico dati da e verso l’indirizzo IP specifico viene filtrato qui.
  • -w /tmp/voip.pcap: questo parametro specifica che i pacchetti registrati devono essere scritti in un file chiamato voip.pcap nella directory /tmp.
  • &: Questo assicura che il comando venga eseguito in background in modo da poter continuare ad accedere alla riga di comando.

Parametri ed esempi utili di tcpdump

Limitare l’output a 50 pacchetti

tcpdump -c 50

Limitare la cattura a un’interfaccia di rete

sudo tcpdump -i eth1

Scrivere l’output in un file pcap

sudo tcpdump -i wlan0 -p -w /tmp/tcpdump.pcap

Mostrare tutto il traffico di un IP specifico

tcpdump host 51.154.9.190

Pacchetti in uscita tra due host

tcpdump icmp and host 10.32.42.2 and host 192.168.20.23

Terminare il job in corso

Per interrompere il processo TCPDump in corso, usa i seguenti comandi. Questo è importante perché altrimenti il firewall raccoglie così tanti log da riempire la memoria.

Mostrare i job attivi:

jobs

Terminare i job

kill %1
kill %2
...

o

killall tcpdump

A seconda del numero di processi in esecuzione, puoi eseguire diversi comandi kill per assicurarti che tutti i processi TCPDump interessati vengano terminati.

Analizzare i log

Una volta raccolti i log, è possibile scaricarli su un computer locale, ad esempio con WinSCP o Cyberduck, e analizzarli con uno strumento come Wireshark. In alternativa, i log possono essere inoltrati al Supporto Sophos per ricevere assistenza nell’analisi e nella risoluzione dei problemi.

Sintesi

TCPDump è uno strumento essenziale per analizzare nel dettaglio il traffico di rete di Sophos Firewall. Permette di raccogliere dati di log specifici che possono essere utilizzati per analisi più approfondite o per l’assistenza. Utilizzando i comandi descritti sopra, TCPDump può essere utilizzato in modo efficiente e specifico.