Sophos Firewall – Logs mit TCPDump für Analyse sammeln
TCPDump ist ein leistungsstarkes Netzwerkpaket-Analyse-Tool, das verwendet wird, um den Datenverkehr, der über eine Netzwerkschnittstelle läuft, aufzuzeichnen und zu analysieren. Es bietet die Möglichkeit, spezifische Pakete zu filtern und auf einem externen Speicherort zu speichern. Dies ist besonders nützlich, wenn tiefergehende Analysen erforderlich sind oder wenn man Daten an den Sophos Support zur Fehlerbehebung weiterleiten muss.
Themen
Anwendung von TCPDump auf der Sophos Firewall
Um TCPDump auf der Sophos Firewall zu verwenden, verbindet man sich zunächst über SSH mit der Firewall und verwendet dann spezifische Befehle, um den gewünschten Datenverkehr zu erfassen und zu speichern.
Beispielanwendung: Logs sammeln für 3CX PBX
Stellen wir uns vor, es soll der VoIP-Verkehr von einer 3CX PBX-Anlage (mit der IP-Adresse 192.168.100.220) aufgezeichnet werden, um Probleme im Zusammenhang mit dem Netzwerkverkehr zu diagnostizieren.
Befehl zur Aufzeichnung
tcpdump -i any -nn host 192.168.100.220 -w /tmp/voip.pcap &
Die Einzelnen Paramet haben folgenden nutzen:
- -i any: Dieser Parameter sorgt dafür, dass der gesamte Verkehr, der über alle verfügbaren Schnittstellen läuft, erfasst wird.
- -nn: Dieser Parameter deaktiviert die Namensauflösung für Hostnamen und Ports, um die Ausgabe zu beschleunigen und zu vereinfachen.
- host 192.168.100.220: Hier wird der Datenverkehr von und zu der spezifischen IP-Adresse gefiltert.
- -w /tmp/voip.pcap: Dieser Parameter gibt an, dass die aufgezeichneten Pakete in eine Datei namens voip.pcap im Verzeichnis /tmp geschrieben werden sollen.
- &: Dies sorgt dafür, dass der Befehl im Hintergrund ausgeführt wird, sodass man weiterhin auf die Kommandozeile zugreifen kann.
Nützliche tcpdump Parameter und Beispiele
Paketausgabe auf 50 begrenzen
tcpdump -c 50
auf Netzwerk Interface eingrenzen
sudo tcpdump -i eth1
Ausgabe in eine Datei schreiben im pcap-Format
sudo tcpdump -i wlan0 -p -w /tmp/tcpdump.pcap
Ausgabe aller einer bestimmten IP
tcpdump host 51.154.9.190
Pakete zwischen zwei Hosts ausgeben
tcpdump icmp and host 10.32.42.2 and host 192.168.20.23
Stoppen des laufenden Jobs
Um den laufenden TCPDump-Prozess zu stoppen, verwenden Sie die folgenden Befehle. Dies ist wichtig, da die Firewall sonst so viele Logs sammelt, dass der Speicher voll wird.
Aktive Jobs anzeigen:
jobs
Jobs beenden
kill %1
kill %2
...
oder
killall tcpdump
Je nach Anzahl der laufenden Prozesse kann man mehrere kill-Befehle ausführen, um sicherzustellen, dass alle relevanten TCPDump-Prozesse beendet sind.
Analyse der Logs
Sobald die Logs gesammelt wurden, können sie auf einen lokalen Rechner heruntergeladen mit z.B: WinSCP oder Cyberduck und mit einem Tool wie Wireshark analysiert werden. Alternativ können die Logs an den Sophos Support weitergeleitet werden, um Unterstützung bei der Analyse und Fehlerbehebung zu erhalten.
Zusammenfassung
TCPDump ist ein essenzielles Werkzeug, um den Netzwerkverkehr auf der Sophos Firewall detailliert zu analysieren. Es ermöglicht die Sammlung spezifischer Logdaten, die für tiefere Analysen oder zur Unterstützung durch den Support verwendet werden können. Durch die Verwendung der oben beschriebenen Befehle lässt sich TCPDump effizient und gezielt einsetzen.