Naar de inhoud
Avanet

Sophos Firewall - logs met TCPDump verzamelen voor analyse

Sophos Firewall

TCPDump is een krachtig analysetool voor netwerkpakketten. Je gebruikt het om dataverkeer dat via een netwerkinterface loopt op te nemen en te analyseren. Het biedt de mogelijkheid om specifieke pakketten te filteren en op een externe locatie op te slaan. Dat is vooral nuttig wanneer diepere analyses nodig zijn of wanneer je data naar Sophos Support moet doorsturen voor troubleshooting.

TCPDump gebruiken op de Sophos Firewall

Om TCPDump op de Sophos Firewall te gebruiken, verbind je eerst via SSH met de firewall. Daarna gebruik je specifieke opdrachten om het gewenste dataverkeer vast te leggen en op te slaan.

Voorbeeld: logs verzamelen voor 3CX PBX

Stel dat je het VoIP-verkeer van een 3CX PBX-installatie met IP-adres 192.168.100.220 wilt opnemen om problemen met netwerkverkeer te diagnosticeren.

Opdracht voor opname

tcpdump -i any -nn host 192.168.100.220 -w /tmp/voip.pcap &

De afzonderlijke parameters hebben de volgende functie:

  • -i any: neemt verkeer op dat via alle beschikbare interfaces loopt.
  • -nn: schakelt naamresolutie voor hostnamen en poorten uit, zodat de output sneller en eenvoudiger wordt.
  • host 192.168.100.220: filtert verkeer van en naar dit specifieke IP-adres.
  • -w /tmp/voip.pcap: schrijft de opgenomen pakketten naar het bestand voip.pcap in de map /tmp.
  • &: voert de opdracht op de achtergrond uit, zodat je de command line kunt blijven gebruiken.

Nuttige tcpdump-parameters en voorbeelden

Pakketoutput beperken tot 50

tcpdump -c 50

Beperken tot een netwerkinterface

sudo tcpdump -i eth1

Output naar een bestand in pcap-formaat schrijven

sudo tcpdump -i wlan0 -p -w /tmp/tcpdump.pcap

Output voor een bepaalde IP

tcpdump host 51.154.9.190

Pakketten tussen twee hosts weergeven

tcpdump icmp and host 10.32.42.2 and host 192.168.20.23

Lopende job stoppen

Gebruik de volgende opdrachten om een actief TCPDump-proces te stoppen. Dit is belangrijk, omdat de firewall anders zoveel logs kan verzamelen dat de opslag volloopt.

Actieve jobs weergeven:

jobs

Jobs stoppen

kill %1
kill %2
...

of

killall tcpdump

Afhankelijk van het aantal lopende processen kun je meerdere kill-opdrachten uitvoeren om zeker te zijn dat alle relevante TCPDump-processen zijn beëindigd.

Analyse van de logs

Zodra de logs zijn verzameld, kun je ze naar een lokale computer downloaden met bijvoorbeeld WinSCP of Cyberduck en daarna analyseren met een tool zoals Wireshark. Je kunt de logs ook naar Sophos Support doorsturen voor ondersteuning bij analyse en troubleshooting.

Samenvatting

TCPDump is een essentieel hulpmiddel om netwerkverkeer op de Sophos Firewall gedetailleerd te analyseren. Het maakt het mogelijk om specifieke logdata te verzamelen die voor diepere analyses of supportcases gebruikt kan worden. Met de hierboven beschreven opdrachten kun je TCPDump efficiënt en gericht inzetten.