Przejdz do tresci
Avanet

Używanie przechwytywania pakietów w Sophos Firewall WebAdmin

Przechwytywanie pakietów jest jednym z najważniejszych narzędzi do rozwiązywania problemów w WebAdmin Sophos Firewall. Pokazuje, czy pakiety docierają do interfejsu, czy są przekazywane dalej, jaka reguła lub NAT-ID jest zaangażowana i czy pakiet jest odrzucany.

Log Viewer pokazuje decyzję zapory. Przechwytywanie pakietów pokazuje przepływ pakietów. Oba razem często są najszybszą drogą do znalezienia przyczyny. Jeśli chcesz przetestować konkretną regułę zapory, dodatkowo pasuje procedura w Testowanie reguły Sophos Firewall za pomocą Log Viewer, Policy tester i Packet Capture.

Ważne jest zrozumienie: Ten artykuł opisuje wersję WebAdmin przechwytywania pakietów. Jest idealna do wstępnego sprawdzenia, ponieważ bezpośrednio w przeglądarce widać, czy pakiety docierają, są przekazywane dalej lub odrzucane. Do dłuższych nagrań, bardzo dokładnych filtrów, eksportu PCAP lub przypadków wsparcia często lepiej nadaje się tcpdump przez SSH.

Wybór narzędzia

Który artykuł pasuje?

Przechwytywanie pakietów jest szczególnie przydatne, gdy rzeczywisty przepływ pakietów jest niejasny. W przypadku powiązanych pytań czasami szybsze jest inne podejście:

SytuacjaLepsze podejście
Pojedyncza reguła zapory ma być zweryfikowana za pomocą Log Viewer, Policy tester i Packet CaptureTestowanie reguły Sophos Firewall za pomocą Log Viewer, Policy tester i Packet Capture
Reguła nie pasuje w ogóle lub pojawia się nieoczekiwane Rule IDSprawdzanie przyczyn niepasującej reguły Sophos Firewall
NAT ID, DNAT, SNAT, MASQ lub translacja adresów jest głównym tematemZrozumienie NAT w Sophos Firewall
Serwer wewnętrzny jest publikowany z internetuPublikowanie serwera przez DNAT
Przechwytywanie pokazuje Drop, Violation, Invalid traffic lub niejasny powód odrzuceniaAnaliza odrzuconych pakietów w Sophos Firewall
Ruch kończy się na WebAdmin, VPN Portal, SSH, DNS, SNMP lub innym serwisie zaporyPrawidłowa konfiguracja Device Access
Nagranie musi trwać dłużej, niż można zapisać PCAP lub analizować w WiresharkPrzechwytywanie pakietów za pomocą tcpdump w Sophos Firewall
Oprócz przechwytywania pakietów potrzebne są lokalne pliki dziennika dla wsparciaZabezpieczanie dzienników Sophos Firewall dla wsparcia i analizy

To rozróżnienie jest ważne: Przechwytywanie pakietów pokazuje pakiety i status na poziomie pakietów. Nie zastępuje jednak Log Viewer dla decyzji politycznych, artykułu NAT dla logiki translacji ani tcpdump, gdy potrzebny jest plik PCAP do analizy.

Kiedy przechwytywanie pakietów jest przydatne

Przechwytywanie pakietów pomaga szczególnie w pytaniach takich jak:

  • Czy ruch w ogóle dociera do zapory?
  • Czy ruch wychodzi na oczekiwanym interfejsie?
  • Czy reguła zapory działa?
  • Czy reguła NAT działa?
  • Czy pakiet jest odrzucany przez politykę, IPS lub routing?
  • Czy odpowiedź wraca z systemu docelowego?
  • Czy używany jest inny port lub protokół niż oczekiwano?

Jeśli w Log Viewer nic nie widać, przechwytywanie pakietów jest często kolejnym krokiem. Wtedy można zobaczyć, czy problem leży przed zaporą, czy zapora przetwarza ruch.

Jeśli skupiamy się na odrzuceniach, Violation, Rule ID, NAT ID lub odrzuconych pakietach, dodatkowo pasuje Analiza odrzuconych pakietów w Sophos Firewall.

Ścieżka menu

Narzędzie można znaleźć pod:

Diagnostics > Packet capture

Przechwytywanie pakietów otwiera się bezpośrednio w WebAdmin. W zależności od wersji SFOS i wyświetlania w przeglądarce wygląda jak osobne okno diagnostyczne w widoku WebAdmin.

Przed otwarciem powinien być już ustalony przypadek testowy. Narzędzie jest najskuteczniejsze, gdy można odtworzyć pojedynczy przepływ, a nie zastanawiać się, czego szukać podczas nagrywania.

Przed rozpoczęciem ustalPrzykład
Source IPKlient, serwer, klient VPN lub interfejs zapory
DestinationIP docelowe, opublikowany adres lub FQDN z aktualnie rozwiązanym IP
ServiceICMP, TCP 443, UDP 500, NTP lub konkretny port aplikacji
Oczekiwany kierunekLAN do WAN, WAN do DMZ, VPN do LAN lub klient do zapory
Oczekiwana decyzjaForwarded, Consumed, Generated, Violation, DNAT/SNAT lub trafienie funkcji bezpieczeństwa

Po otwarciu należy najpierw użyć Configure i ustawić filtr przechwytywania, zanim zostanie wywołany test. Jeśli Destination, cel CDN lub widok NAT są jeszcze niejasne, pierwszy filtr na Source IP często jest lepszy niż zbyt wąski filtr z błędnym adresem docelowym. Po odtworzeniu testu nagranie powinno zostać zatrzymane, aby widok nie zapełnił się ruchem w tle.

Log Viewer, Packet Capture czy tcpdump?

Log Viewer, Packet Capture w WebAdmin i tcpdump odpowiadają na różne pytania. Kto wybierze niewłaściwe narzędzie na początku, często szuka w niewłaściwym miejscu.

NarzędziePokazuje głównie
Log ViewerKtóra reguła zapory, reguła NAT, polityka web, Application Control, IPS lub inspekcja SSL/TLS podjęła decyzję
Packet Capture w WebAdminCzy pojedyncze pakiety docierają, są przekazywane, konsumowane, generowane lub odrzucane
tcpdump przez SSHDłuższe nagrania, pliki PCAP, przypadki wsparcia i bardzo precyzyjne filtry CLI

Dobrym przykładem jest ping. W Log Viewer często widać tylko jeden wpis lub podjętą decyzję o połączeniu. W Packet Capture widać natomiast pojedyncze pakiety ICMP: Echo Request do celu i Echo Reply z powrotem. Windows wysyła standardowo cztery ICMP Echo Requests za pomocą ping. W Packet Capture oczekuje się więc kilku pakietów w obie strony. Jeśli widoczne są tylko Requests, ale nie ma Replies, to inny problem niż gdy żaden Request nie dociera do zapory.

W praktyce oznacza to:

  • Log Viewer odpowiada: Która reguła lub moduł podjęły decyzję?
  • Packet Capture odpowiada: Czy pakiety naprawdę dotarły i jaką drogę przeszły?
  • W przypadku problemów z routingiem, NAT, VLAN, bramą lub powrotem Packet Capture często jest bardziej wymowne.
  • W przypadku decyzji dotyczących filtrowania web, Application Control, IPS lub inspekcji SSL/TLS potrzebny jest dodatkowo Log Viewer.
  • Do nagrań, które trafiają do wsparcia Sophos lub zewnętrznych partnerów analitycznych, tcpdump jest zazwyczaj lepszy niż zrzut ekranu z WebAdmin.

Przygotowanie przechwytywania

Przed rozpoczęciem dokładnie zawęź

Przechwytywanie pakietów nie powinno być uruchamiane bez filtra. W sieciach produkcyjnych powstaje w przeciwnym razie bardzo dużo danych, a wynik staje się nieczytelny.

⚠️ Przechwytywanie pakietów nie powinno być uruchamiane jako szerokie, długotrwałe nagranie na produkcyjnych zaporach. Wąski filtr, krótki test i jasny czas redukują ilość danych, ryzyko naruszenia prywatności i błędne interpretacje.

Przed rozpoczęciem należy zanotować:

  • Source IP
  • Destination IP lub FQDN
  • Protokół
  • Source Port, jeśli istotny
  • Destination Port
  • Interfejs lub strefa
  • Czas testu
  • Dotknięta aplikacja
  • Oczekiwana reguła zapory lub NAT, jeśli znana
  • Oczekiwany wynik: dozwolony, zablokowany, DNAT, SNAT, VPN, polityka web lub IPS

Dla testu webowego zawężenie mogłoby wyglądać na przykład tak:

PolePrzykład
Source IP172.16.10.25
Destination93.184.216.34
ProtocolTCP
Destination Port443
Oczekiwany kierunekLAN do WAN

W praktyce zawsze należy odtwarzać tylko jeden przypadek testowy na raz. Wiele równoległych zmian w regule zapory, NAT, routingu i konfiguracji klienta sprawia, że wynik przechwytywania jest trudny do analizy. Jeśli test dotyczy problemu użytkownika, należy dodatkowo zanotować zalogowanego użytkownika, dotknięte urządzenie i dokładny czas.

Konfiguracja filtra przechwytywania

Za pomocą Configure ustawia się możliwie wąski filtr.

Typowe filtry:

  • Source IP klienta
  • Destination IP serwera
  • Destination Port
  • Protokół TCP, UDP lub ICMP
  • Interfejs

Jeśli nie zna się serwera docelowego, można najpierw filtrować tylko według Source IP. Jeśli potem widoczne jest zbyt wiele pakietów, można dalej zawężać.

Sophos Firewall używa do tego składni Berkeley Packet Filter, w skrócie BPF. Filtr przechwytywania decyduje, które pakiety są w ogóle zapisywane do bufora przechwytywania. Dlatego powinien być możliwie dokładnie ustawiony przed testem.

Typowe przykłady BPF:

CelPrzykład BPF
Określony hosthost 10.10.10.1
Określone Source IPsrc host 10.10.10.1
Określone Destination IPdst host 10.10.10.1
Określona siećnet 10.10.10.0
Określony portport 443
Określony port docelowydst port 443
Określony host i porthost 10.10.10.1 and port 443
ICMP/Pingproto ICMP
TCPproto TCP
UDPproto UDP

Dla bardzo precyzyjnego testu webowego filtr może wyglądać na przykład tak:

host 172.16.10.25 and host 93.184.216.34 and port 443

Dla testu ping często wystarczy:

host 172.16.10.25 and proto ICMP

Jeśli filtr jest zbyt wąski

Wąski filtr przechwytywania jest ważny, ale nie może ukrywać błędu. Szczególnie przy DNS, NAT, CDN i powrotach należy świadomie zdecydować, czy najpierw filtrować szeroko, czy od razu bardzo precyzyjnie.

Typowe pułapki:

SytuacjaLepsze podejście do filtra
Cel znany tylko jako FQDNNajpierw sprawdź rozdzielczość DNS lub zacznij od Source IP, a potem zawęź do widocznego IP docelowego
Strona używa CDN lub wielu adresów IPNie używaj tylko jednego starego IP docelowego, ale obserwuj aktualny ruch testowy
Sprawdzany jest DNATW zależności od perspektywy uwzględnij publiczne IP docelowe, wewnętrzny serwer i port
SNAT lub MASQ jest zaangażowanyOddziel Source IP przed NAT i przetłumaczone Source na interfejsie wyjściowym
Brak odpowiedziWybierz filtr tak, aby widoczne były kierunki w obie strony
Problem użytkownika lub aplikacjiNajpierw ustaw Source IP i czas, a potem zawęź port, cel lub Rule ID

Dla pierwszego przebiegu filtr na Source IP często jest bardziej sensowny niż zbyt precyzyjny filtr z błędnym Destination IP. Jeśli widoczny jest odpowiedni przepływ, można w drugim przebiegu filtrować wężej. W przypadku błędów NAT należy również sprawdzić, czy patrzy się na widok przed czy po translacji.

W widoku WebAdmin po zapisaniu widać aktywny ciąg BPF nad listą pakietów. Pierwszy zrzut ekranu pokazuje konfigurację filtra, drugi zrzut ekranu listę wyników z aktywnym filtrem.

Konfiguracja filtra przechwytywania pakietów Sophos Firewall z ciągiem BPF dla hosta i portu 443
Sophos Firewall - Konfiguracja filtra przechwytywania pakietów z ciągiem BPF
Lista wyników przechwytywania pakietów Sophos Firewall z aktywnym filtrem BPF i przechwyconymi pakietami TCP
Sophos Firewall - Przechwytywanie pakietów z aktywnym filtrem BPF i przechwyconymi pakietami

⚠️ Dane PCAP mogą zawierać adresy IP, nazwy hostów, szczegóły protokołów, a w zależności od protokołu także dane użytkowe. Przechwytywania powinny być udostępniane tylko osobom lub partnerom, którzy mogą zobaczyć te dane.

Wykonanie przechwytywania

Rozpoczęcie przechwytywania i reprodukcja

  1. Ustaw filtr.
  2. Włącz przechwytywanie pakietów za pomocą suwaka.
  3. Celowo odtwórz problem.
  4. Zatrzymaj przechwytywanie.
  5. Analizuj wyniki.
  6. Wyczyść przechwytywanie, jeśli rozpoczynasz nowy test.

Sophos Firewall pokazuje status i bufor:

WyświetlanieZnaczenie
Trace OnPrzechwytywanie pakietów jest włączone
Trace OffPrzechwytywanie pakietów jest wyłączone
Buffer sizeRozmiar bufora przechwytywania, w dokumentacji Sophos 2048 KB
Buffer usedAktualnie używany bufor

Jeśli bufor jest pełny, przechwytywanie automatycznie się zatrzymuje. Następnie trzeba wyczyścić za pomocą Clear, zanim ponownie będzie można sensownie nagrywać. Dlatego ważny jest wąski filtr.

W ustawieniach filtra można dodatkowo określić, ile bajtów na pakiet jest przechwytywanych. Dla wielu pierwszych analiz wystarczają informacje nagłówkowe. Jeśli potrzebne są więcej danych użytkowych, trzeba przechwytywać więcej bajtów, ale należy mieć na uwadze prywatność i rozmiar bufora.

Interpretacja wyniku

Zrozumienie ważnych kolumn

Przechwytywanie pakietów pokazuje wiele pól. W praktyce szczególnie ważne są te:

PoleZnaczenie
TimeCzas pakietu
In interfaceInterfejs, na którym pakiet został odebrany
Out interfaceInterfejs, przez który pakiet wychodzi
Source IPAdres źródłowy
Destination IPAdres docelowy
Packet typeProtokół lub typ pakietu
Ports [src, dst]Port źródłowy i docelowy
NAT IDPasująca reguła NAT
Rule IDPasująca reguła zapory
StatusStatus pakietu
ReasonPowód odrzucenia lub naruszenia
Connection statusStan połączenia
Gateway IDUżywana brama
UsernameRozpoznany użytkownik
IPS policy IDZastosowana polityka IPS
Application filter IDZastosowana polityka Application Control

Te pola są wartościowe, ponieważ zamykają lukę między „reguła wygląda poprawnie” a „ruch rzeczywiście tak przebiega”.

Za pomocą Show additional properties lub widoku szczegółowego widać w zależności od wersji dodatkowe informacje, takie jak Connection ID, Web filter ID, Application ID, Web category ID, Gateway ID, Username lub inne ID polityk. Te szczegóły pomagają, gdy pakiet jest przetwarzany nie tylko przez regułę zapory, ale także przez Web, Application Control, IPS lub inne moduły.

Prawidłowa interpretacja statusu

StatusZnaczenie
IncomingPakiet został odebrany na interfejsie
ForwardedPakiet został przekazany dalej
ConsumedPakiet jest przeznaczony dla samej zapory
GeneratedPakiet został wygenerowany przez zaporę
ViolationPakiet został odrzucony z powodu naruszenia polityki

Jeśli widzisz tylko Incoming i brak Forwarded, pakiet prawdopodobnie zatrzymuje się na zaporze. Wtedy należy sprawdzić regułę zapory, NAT, routing i funkcje bezpieczeństwa.

Jeśli widoczny jest Forwarded, ale nie ma odpowiedzi, problem często leży w systemie docelowym, powrocie, NAT lub na przeciwległym końcu.

Przy udanym pingowaniu zazwyczaj widać pakiety w obu kierunkach. Jeśli Windows wysyła cztery pingi, widać kilka ICMP Echo Requests od klienta do celu i kilka Echo Replies z powrotem. Jeśli brakuje Replies, sprawdza się trasę powrotną, system docelowy, lokalną zaporę systemu docelowego, NAT lub przeciwległy koniec. Jeśli brakuje już Requests, sprawdza się klienta, bramę, VLAN, port przełącznika lub czy ruch w ogóle dociera do Sophos Firewall.

Prawidłowe odczytywanie Consumed i Generated

Consumed i Generated są łatwo błędnie interpretowane. Te statusy nie oznaczają automatycznie, że brakuje normalnej reguły zapory.

StatusTypowy przypadekCo sprawdzić dalej
ConsumedPakiet jest przeznaczony dla samej Sophos FirewallDevice Access, Local service ACL, konfiguracja usługi, uprawnienia administratora lub użytkownika
GeneratedPakiet został wygenerowany przez samą Sophos FirewallUsługa systemowa, DNS, NTP, VPN, aktualizacja, monitorowanie bramy lub odpowiedź zapory

Przykłady Consumed to dostęp do WebAdmin, User Portal, VPN Portal, SSH, DNS, SNMP, IPsec lub SSL VPN samej zapory. Taki ruch nie jest traktowany jak normalny ruch przechodzący przez regułę LAN-to-WAN lub WAN-to-DMZ. Jeśli pakiet w przechwytywaniu pokazuje Consumed, należy najpierw ustalić, czy klient naprawdę chciał dotrzeć do samej zapory.

Dla tych przypadków Administration > Device access i Local Service ACL są ważniejsze niż normalna reguła zapory. Utwardzanie tych dostępów opisano w Zabezpieczanie dostępu do Sophos Firewall: Prawidłowa konfiguracja Device Access.

Używanie filtra wyświetlania

Filtr przechwytywania ogranicza, które pakiety są nagrywane. Display filter filtruje natomiast już nagraną widoczność. To praktyczne, gdy celowo uruchomiono przechwytywanie nieco szerzej, a potem chce się wyświetlić tylko określone pakiety.

W Display Filter można filtrować między innymi według tych pól:

  • Nazwa interfejsu
  • Typ Ethernet, na przykład IPv4, IPv6 lub ARP
  • Typ pakietu
  • Source IP i Source port
  • Destination IP i Destination port
  • Reason
  • Status
  • Rule ID
  • User
  • Connection ID

Dla rozwiązywania problemów szczególnie pomocne są Status, Reason, Rule ID, Source IP, Destination IP i Destination port. Jeśli w przechwytywaniu jest bardzo dużo pakietów, można szybko zredukować do istotnej części, bez konieczności natychmiastowego ponownego uruchamiania testu.

Odczytywanie NAT w przechwytywaniu pakietów

Przy NAT należy pamiętać, że pakiet przed i po NAT wygląda inaczej. Przechwytywanie pakietów może pokazać NAT ID, Rule ID i zmienione adresy.

Przy problemach z NAT należy sprawdzić:

  • Czy widać pakiet z oryginalnym adresem?
  • Czy widać pakiet po translacji?
  • Czy wyświetlana jest oczekiwana NAT ID?
  • Czy pakiet przechodzi przez oczekiwany interfejs wyjściowy?
  • Czy odpowiedź wraca?

Dla DNAT dodatkowo: Reguła zapory używa strefy docelowej po NAT, ale IP docelowego przed NAT. Na pierwszy rzut oka wygląda to nietypowo.

Więcej na ten temat: Zrozumienie NAT w Sophos Firewall: SNAT, DNAT, MASQ, PAT.

Łączenie przechwytywania pakietów i Log Viewer

Najlepsza procedura to:

  1. Otwórz Log Viewer.
  2. Uruchom Packet Capture z wąskim filtrem.
  3. Odtwórz test.
  4. W Packet Capture sprawdź, czy pakiety docierają i są przekazywane dalej.
  5. W Log Viewer sprawdź, która reguła lub moduł podjęły decyzję.
  6. W razie potrzeby przejdź do odpowiedniego pliku dziennika.

Log Viewer pokazuje na przykład zdarzenia zapory, web, inspekcji SSL/TLS, IPS lub Application Control. Packet Capture pokazuje natomiast przepływ pakietów na poziomie interfejsu.

Szczególnie przy pingach lub prostych połączeniach TCP ważne jest połączenie. Log Viewer może tylko pokazać, że połączenie zostało dozwolone lub zablokowane. Packet Capture pokazuje dodatkowo, czy odpowiedzi wracają, czy NAT działa, czy używany jest właściwy interfejs wyjściowy i czy powrót jest prawidłowy.

Typowe przypadki analizy

Klient nie osiąga internetu: Ustaw przechwytywanie na Source IP i TCP 443. Jeśli żaden pakiet nie dociera, sprawdź klienta, VLAN, bramę lub przełącznik. Jeśli pakiet dociera, ale nie wychodzi, sprawdź regułę zapory, NAT lub routing.

DNAT nie działa: Ustaw przechwytywanie na publiczne IP docelowe i zewnętrzny port. Jeśli żaden pakiet nie dociera, sprawdź router dostawcy, przekierowanie portów, grupę bezpieczeństwa w chmurze lub WAN. Jeśli pakiet dociera, ale nie trafia do wewnętrznego serwera, sprawdź regułę DNAT i regułę zapory.

Ruch VPN nie działa: Ustaw przechwytywanie na interfejs tunelu, interfejs XFRM lub odpowiednie sieci źródłowe/docelowe. Dodatkowo sprawdź strongswan.log, charon.log lub xfrmi.log.

Webfilter blokuje nieoczekiwanie: W Packet Capture zazwyczaj widać tylko przepływ pakietów. Decyzję lepiej sprawdzić w Log Viewer pod web, Application Control lub inspekcją SSL/TLS.

Małe testy działają, duże transfery się zawieszają: Ustaw przechwytywanie na dotkniętego klienta i cel i zwróć uwagę na retransmisje, brakujące odpowiedzi lub nietypowe rozmiary pakietów. Jeśli ping, logowanie lub małe żądania HTTP działają, ale większe pobierania, RDP, VoIP lub aplikacje VPN się zawieszają, należy dodatkowo sprawdzić MTU, MSS, PPPoE, narzut VPN i fragmentację. Procedura jest opisana w Sprawdzanie MTU i MSS w Sophos Firewall przy problemach z VPN.

Typowe błędne interpretacje

Przechwytywanie pakietów pokazuje bardzo wiele, ale nie zawsze to, czego się najpierw oczekuje. Niektóre błędne interpretacje są szczególnie częste w przypadkach wsparcia.

ObserwacjaNie zakładaj od razuLepiej sprawdź
Pakiet jest IncomingZapora jest winnaCzy potem jest Forwarded, Consumed, Violation lub odpowiednia decyzja reguły?
Pakiet jest ForwardedPołączenie musi działaćSprawdź pakiet odpowiedzi, trasę powrotną, system docelowy i lokalną zaporę systemu docelowego
NAT ID jest pusteNAT jest błędnyNie każdy ruch potrzebuje NAT; najpierw sprawdź oczekiwany projekt NAT
Rule ID jest nieoczekiwaneŻądana reguła jest uszkodzonaSprawdź kolejność reguł, strefy, obiekty, dopasowanie użytkownika i grupę reguł
Brak widocznych pakietówZapora blokujeSprawdź filtr, interfejs, bramę klienta, VLAN, port przełącznika i urządzenia przed zaporą
Widoczne są tylko RequestsReguła wyjściowa nie wystarczaSprawdź trasę powrotną, NAT, przeciwległy koniec, zaporę docelową i asymetryczne routowanie

Jeśli przechwytywanie pakietów pokazuje nieoczekiwane Rule ID, nie należy od razu zmieniać wielu reguł. Lepiej najpierw porównać z Log Viewer i pozycją reguły. Dla systematycznego dopasowania pasuje Sprawdzanie przyczyn niepasującej reguły Sophos Firewall.

Ograniczenia, ochrona danych i udostępnianie

Prywatność i udostępnianie przechwytywań

Dane z przechwytywania pakietów są danymi operacyjnymi. Nawet jeśli często widoczne są tylko nagłówki, mogą ujawniać wewnętrzne adresy IP, publiczne cele, nazwy użytkowników, nazwy hostów, porty, protokoły i relacje komunikacyjne. W przypadku niezaszyfrowanych protokołów mogą być widoczne także dane użytkowe.

Przed udostępnieniem należy sprawdzić:

  • Czy nagranie zawiera nazwy klientów, wewnętrzne nazwy hostów lub publiczne adresy IP?
  • Czy użytkownicy, systemy lub aplikacje są rozpoznawalne?
  • Czy odbiorca jest uprawniony do zobaczenia tych informacji?
  • Czy wystarczy zrzut ekranu z odpowiednich wierszy, czy naprawdę potrzebny jest plik PCAP?
  • Czy nagranie musi być wcześniej skrócone lub zanonimizowane?

W przypadku wsparcia często lepszy jest celowy tcpdump z czystym filtrem niż szerokie przechwytywanie WebAdmin. Jeśli potrzebne są dodatkowo pliki dziennika, pomaga Zabezpieczanie dzienników Sophos Firewall dla wsparcia i analizy.

Kiedy tcpdump jest lepszy

Przechwytywanie pakietów w WebAdmin jest idealne do szybkich analiz bezpośrednio w przeglądarce. Szybko widać, czy pakiety docierają, są przekazywane, konsumowane, generowane lub odrzucane. Do wstępnego zawężenia to zazwyczaj właściwy start.

tcpdump jest lepszy, gdy nagranie nie jest potrzebne tylko jako widok ekranu, ale jako plik do analizy lub jako dłuższy ślad techniczny.

SytuacjaLepsze narzędzieDlaczego
Krótki test z widocznym Rule ID, NAT ID i statusemWebAdmin Packet Capturebezpośrednio w WebAdmin, dobrze łączy się z Log Viewer
Plik PCAP dla Wireshark, wsparcia Sophos lub zewnętrznej analizytcpdumpzapisuje plik, który można później dokładnie zbadać
Sporadyczny błąd, który nie jest reprodukowalny w kilka sekundtcpdumpmoże działać dłużej, ale powinien być ograniczony
Bardzo dokładne filtry na hosty, porty, protokoły lub porównanie interfejsówtcpdumpFiltry CLI-BPF są bardziej elastyczne i powtarzalne
Niejasna decyzja polityki lub NATWebAdmin Packet Capture plus Log Viewertcpdump nie pokazuje specyficznego dla Sophos Rule ID lub NAT ID

Najważniejsza różnica: tcpdump pokazuje pakiety, ale nie specyficzną dla Sophos decyzję. Jeśli trzeba wiedzieć, która reguła zapory, reguła NAT, polityka web, polityka IPS lub reguła inspekcji SSL/TLS była zaangażowana, nadal potrzebny jest Log Viewer, WebAdmin Packet Capture lub odpowiedni plik dziennika.

Przed tcpdump należy świadomie udostępnić SSH lub Advanced Shell. Nagranie powinno być wąsko filtrowane, czasowo ograniczone i po analizie usunięte. Szeroki PCAP na produkcyjnej zaporze może szybko zawierać wrażliwe dane i niepotrzebnie dużo ruchu pobocznego.

Więcej na ten temat: Przechwytywanie pakietów za pomocą tcpdump w Sophos Firewall.

Lista kontrolna

  • Zanotuj przypadek testowy z Source, Destination, Port, Protokół i czasem.
  • Znać oczekiwaną regułę zapory i NAT, jeśli to możliwe.
  • Ustaw wąski filtr przechwytywania.
  • Przy DNS, NAT lub celach CDN sprawdź, czy filtr naprawdę obejmuje kierunki w obie strony.
  • Odtwarzaj tylko jeden przypadek testowy na raz.
  • Zatrzymaj przechwytywanie pakietów po teście.
  • Świadomie rozróżniaj Incoming, Forwarded, Consumed, Generated i Violation.
  • Porównaj Rule ID i NAT ID z Log Viewer.
  • Przy braku odpowiedzi sprawdź trasę powrotną, NAT, system docelowy i przeciwległy koniec.
  • Przy zawieszających się dużych transferach sprawdź MTU/MSS, fragmentację i narzut VPN.
  • Przed udostępnieniem przechwytywań sprawdź wrażliwe dane.
  • Do dłuższych nagrań lub plików PCAP używaj tcpdump.

FAQ

Kiedy należy używać przechwytywania pakietów na Sophos Firewall?

Przechwytywanie pakietów jest przydatne, gdy rzeczywisty przepływ pakietów jest niejasny: Czy ruch dociera, jest przekazywany, odrzucany czy pozostaje na zaporze? Dla czysto politycznych decyzji często wystarczy najpierw Log Viewer.

Jaka jest różnica między Capture Filter a Display Filter?

Capture Filter decyduje, które pakiety są nagrywane. Display Filter filtruje tylko już zarejestrowany widok. Dla testów produkcyjnych Capture Filter powinien być możliwie wąsko ustawiony.

Dlaczego w Packet Capture widać tylko Incoming, ale nie Forwarded?

Wtedy pakiet został odebrany, ale nie przekazany dalej. Typowe przyczyny to reguła zapory, NAT, routing, funkcja bezpieczeństwa, błędna strefa lub pakiet przeznaczony dla samej zapory.

Co oznacza Consumed w Packet Capture?

Consumed oznacza, że pakiet jest przeznaczony dla samej Sophos Firewall. Wtedy należy sprawdzić Device Access, Local Service ACL i dotkniętą usługę zapory, a nie tylko normalne reguły zapory.

Kiedy tcpdump jest lepszy niż Packet Capture w WebAdmin?

tcpdump jest lepszy do dłuższych nagrań, plików PCAP, przypadków wsparcia, bardzo dokładnych filtrów CLI i analiz, które później są oceniane w Wireshark lub z pomocą wsparcia Sophos.

Czy można uruchomić Packet Capture bez filtra?

Technicznie jest to możliwe, ale w środowiskach produkcyjnych zazwyczaj nie jest to dobry pomysł. Bez wąskiego filtra powstaje wiele danych, bufor szybko się zapełnia, a wrażliwe dane komunikacyjne są niepotrzebnie rejestrowane.

Dlaczego Packet Capture nie widzi pakietów mimo poprawnego testu?

Często filtr jest zbyt wąski lub nie pasuje do aktualnego widoku zapory. Przy FQDN, celach CDN, NAT, DNAT lub asymetrycznym powrocie należy najpierw sprawdzić Source IP i czas, a potem stopniowo zawężać filtr.