Przejdz do tresci
Avanet

Rozpoznawanie odrzuconych pakietów w Sophos Firewall

Sophos Firewall

Sophos Firewall może odrzucać pakiety z różnych powodów. W tym artykule wyjaśniamy, jak rozpoznawać odrzucone pakiety, jakich narzędzi do tego używać i jak usuwać częste problemy przez odpowiednią konfigurację.

Identyfikowanie odrzuconych pakietów

Do rozpoznawania odrzuconych pakietów używa się Log Viewer w Sophos Firewall. Pokazuje on, który moduł odpowiada za odrzucenie pakietu. Do najważniejszych modułów należą:

  • Firewall
  • Web Filter
  • Application Filter
  • Intrusion Prevention System (IPS)
  • Advanced Threat Protection (ATP)
  • Web Server Protection

Za pomocą filtrów w Log Viewer można celowo wyszukiwać odrzucone pakiety. Przykładowo można ustawić filtr, który pokazuje tylko pakiety niedozwolone.

Instrukcja krok po kroku

  1. Otwórz Log Viewer.
  2. Wybierz odpowiedni moduł, na przykład Firewall.
  3. Dodaj filtr pokazujący odrzucone pakiety.
  • Ustaw filtr dla „Log Subtype” na „Is Not Allowed”.
  1. Przeanalizuj odrzucone pakiety na podstawie komunikatów w Log Viewer.

Należy pamiętać, że Log Viewer przechowuje tylko ograniczoną liczbę logów i nie nadaje się do monitorowania w czasie rzeczywistym. Do analiz w czasie rzeczywistym zalecane jest Packet Capture Tool.

Częste komunikaty błędów przy odrzuconych pakietach

Odrzucone pakiety mogą mieć różne przyczyny widoczne w Log Viewer. Do najczęstszych komunikatów należą:

  • Invalid Packet: Wskazuje odrzucone pakiety TCP RST lub TCP FIN w celu ochrony przed atakami.
  • No ICMP Record Found: Odpowiedź ping została odebrana bez pasującego zapytania i została odrzucona.
  • Could Not Associate Packet to Any Connection: Pakiet nie należy do żadnego znanego połączenia i zostaje odrzucony.

Kolejnym scenariuszem prowadzącym do odrzucania pakietów może być routing asymetryczny, w którym firewall nie potrafi poprawnie przypisać pakietów do połączenia.

Używanie Packet Capture Tool

Packet Capture Tool umożliwia szczegółową analizę ruchu. Administratorzy mogą dzięki temu sprawdzić, które reguły firewall i funkcje bezpieczeństwa wpływają na przepływ danych. Można na przykład ustalić, czy pakiet blokuje Web Filter albo inna funkcja ochronna.

Instrukcja krok po kroku

  1. Przejdź do Diagnose > Packet Capture.
  2. Skonfiguruj Packet Filter z odpowiednimi adresami IP i protokołami.
  3. Włącz przechwytywanie pakietów podczas odtwarzania problemu.
  4. Przeanalizuj zapisane pakiety pod kątem odrzuconych lub zablokowanych połączeń.

Rozwiązywanie problemów na przykładach

Poniżej opisujemy kilka typowych scenariuszy, w których pakiety są odrzucane, oraz odpowiednie rozwiązania.

Pakiety odrzucane przez reguły firewall

Przykład: komputer wewnętrzny nie może pingować innego komputera w sieci.

  • Użyj Packet Capture Tool, aby sprawdzić, czy pakiety są odbierane i przekazywane przez firewall.
  • Jeżeli pakiety nie są przekazywane, przyczyną może być brakująca reguła firewall. Nowa reguła zezwalająca na ruch ping rozwiązuje problem.

Pakiety odrzucane przez Web Filter

Przykład: blokowana jest strona taka jak youtube.com.

  • Sprawdź logi Web Filter w Log Viewer.
  • Jeżeli strona jest blokowana przez politykę, można utworzyć nową grupę URL, aby dopuścić wybrane strony, podczas gdy pozostałe pozostaną zablokowane.

Dobre praktyki

  • Unikaj nadmiernych wyjątków: Tworząc wyjątki dla Web Filter, ATP lub innych modułów bezpieczeństwa, administratorzy powinni upewnić się, że nie osłabiają bezpieczeństwa sieci.
  • Regularnie monitoruj logi: Ponieważ Log Viewer przechowuje tylko ograniczoną liczbę logów, trzeba regularnie sprawdzać, czy odrzucone pakiety są krytyczne, czy można je zignorować.
  • Korzystaj z narzędzi czasu rzeczywistego: Do skutecznej diagnostyki Packet Capture Tool jest niezbędny, ponieważ dostarcza szczegółowych informacji o ruchu pakietów w czasie rzeczywistym.

Video

Dodatkowe informacje i szczegółową instrukcję znajdziesz w tym materiale wideo.

Sophos Firewall Dropped Packets - wideo
Sophos Firewall Dropped Packets - wideo