Naar de inhoud
Avanet

Sophos Firewall - dropped packets herkennen

Sophos Firewall

Sophos Firewalls kunnen pakketten om verschillende redenen droppen. In dit artikel leggen we uit hoe je dropped packets herkent, welke tools hiervoor beschikbaar zijn en hoe veelvoorkomende problemen met passende configuraties kunnen worden opgelost.

Dropped packets identificeren

Om dropped packets te herkennen, gebruik je de Log Viewer van Sophos Firewall. Deze laat zien welke modules verantwoordelijk zijn voor het droppen van een pakket. Tot de belangrijkste modules behoren:

  • Firewall
  • Web-Filter
  • Anwendungs-Filter
  • Intrusion Prevention System (IPS)
  • Advanced Threat Protection (ATP)
  • Web Server Protection

Door filters in de Log Viewer te gebruiken, kun je gericht naar dropped packets zoeken. Je kunt bijvoorbeeld een filter zetten dat alleen pakketten toont die niet zijn toegestaan.

Stap-voor-stap-handleiding

  1. Openen van de Log Viewer.
  2. Selecteren van de betreffende module (bijv. Firewall).
  3. Toevoegen van een filter dat de dropped packets weergeeft.
  • Zet de filter voor “Log Subtype” op “Is Not Allowed”.
  1. Analyse van de dropped packets aan de hand van de meldingen in de Log Viewer.

Let erop dat de Log Viewer slechts een beperkt aantal logs bewaart en niet geschikt is voor realtime monitoring. Voor realtime analyses raden we het gebruik van de Packet Capture Tool aan.

Veelvoorkomende foutmeldingen bij dropped packets

Dropped packets kunnen verschillende oorzaken hebben, die in de Log Viewer worden weergegeven. Tot de meest voorkomende foutmeldingen behoren:

  • Invalid Packet: Verwijst naar geweigerde TCP RST- of TCP FIN-pakketten om aanvallen te voorkomen.
  • No ICMP Record Found: Een antwoord-ping werd zonder bijbehorende aanvraag ontvangen en gedropt.
  • Could Not Associate Packet to Any Connection: Het pakket hoort bij geen bekende verbinding en wordt gedropt.

Een ander scenario dat tot dropped packets kan leiden, is asymmetrische routing, waarbij de firewall de pakketten niet correct kan toewijzen.

Gebruik van de Packet Capture Tool

De Packet Capture Tool maakt een gedetailleerde analyse van dataverkeer mogelijk. Hiermee kunnen beheerders zien welke firewallregels en beveiligingsfuncties de datastroom beïnvloeden. Zo kan bijvoorbeeld worden vastgesteld of het Web-Filter of een andere securityfunctie het pakket blokkeert.

Stap-voor-stap-handleiding

  1. Navigeren naar Diagnose > Packet Capture.
  2. Configureren van de Packet Filter met de relevante IP-adressen en protocollen.
  3. Activeren van packet capture terwijl het probleem wordt gereproduceerd.
  4. Analyse van de opgenomen pakketten met betrekking tot gedropte of geblokkeerde verbindingen.

Troubleshooting aan de hand van voorbeelden

Hieronder beschrijven we enkele gangbare scenario’s waarin pakketten worden gedropt, plus passende oplossingen.

Dropped packets door firewallregels

Voorbeeld: een interne computer kan een andere computer in het netwerk niet pingen.

  • Gebruik de Packet Capture Tool om te controleren of de pakketten door de firewall worden ontvangen en doorgestuurd.
  • Als de pakketten niet worden doorgestuurd, kan een ontbrekende firewallregel het probleem zijn. Een nieuwe regel die pingverkeer toestaat, lost het probleem op.

Dropped packets door Web-Filter

Voorbeeld: een website zoals youtube.com wordt geblokkeerd.

  • Controleer de Web-Filter Logs in de Log Viewer.
  • Als de website vanwege een policy wordt geblokkeerd, kan een nieuwe URL-groep worden gemaakt om specifieke websites gericht toe te staan, terwijl andere geblokkeerd blijven.

Aanbevolen werkwijzen

  • Vermijd overmatige uitzonderingen: bij het maken van uitzonderingen voor Web-Filter, ATP of andere securitymodules moeten beheerders ervoor zorgen dat de netwerkbeveiliging niet wordt verzwakt.
  • Regelmatige logmonitoring: omdat de Log Viewer slechts een beperkt aantal logs bewaart, moet regelmatig worden gecontroleerd of dropped packets kritisch zijn of genegeerd kunnen worden.
  • Gebruik van realtime tools: voor effectieve troubleshooting is de Packet Capture Tool onmisbaar, omdat deze gedetailleerde informatie over pakketverkeer in realtime biedt.

Video

Meer informatie en een gedetailleerde handleiding vind je in deze video

Video over dropped packets in Sophos Firewall
Video over dropped packets in Sophos Firewall