Sophos Firewall - zbieranie logów tcpdump do analizy
tcpdump to wydajne narzędzie do analizy pakietów sieciowych. Służy do rejestrowania i analizowania ruchu przechodzącego przez interfejs sieciowy. Pozwala filtrować konkretne pakiety i zapisywać je w zewnętrznej lokalizacji. Jest to szczególnie przydatne, gdy potrzebna jest dokładniejsza analiza lub gdy dane trzeba przekazać do Sophos Support w celu rozwiązania problemu.
Używanie tcpdump na Sophos Firewall
Aby użyć tcpdump na Sophos Firewall, połącz się najpierw z firewallem przez SSH, a następnie wykonaj odpowiednie polecenia, aby przechwycić i zapisać wybrany ruch sieciowy.
Przykład: zbieranie logów dla centrali 3CX PBX
Załóżmy, że trzeba zarejestrować ruch VoIP z centrali 3CX PBX o adresie IP 192.168.100.220, aby zdiagnozować problem związany z ruchem sieciowym.
Polecenie do przechwytywania ruchu
tcpdump -i any -nn host 192.168.100.220 -w /tmp/voip.pcap &
Znaczenie poszczególnych parametrów:
- -i any: przechwytuje ruch ze wszystkich dostępnych interfejsów.
- -nn: wyłącza rozwiązywanie nazw hostów i portów, dzięki czemu wynik jest szybszy i czytelniejszy.
- host 192.168.100.220: filtruje ruch przychodzący i wychodzący dla wskazanego adresu IP.
- -w /tmp/voip.pcap: zapisuje przechwycone pakiety do pliku
voip.pcapw katalogu/tmp. - &: uruchamia polecenie w tle, dzięki czemu nadal można korzystać z wiersza poleceń.
Przydatne parametry tcpdump i przykłady
Ograniczenie wyniku do 50 pakietów
tcpdump -c 50
Ograniczenie do interfejsu sieciowego
sudo tcpdump -i eth1
Zapis wyniku do pliku w formacie pcap
sudo tcpdump -i wlan0 -p -w /tmp/tcpdump.pcap
Wyświetlenie całego ruchu dla określonego adresu IP
tcpdump host 51.154.9.190
Wyświetlenie pakietów między dwoma hostami
tcpdump icmp and host 10.32.42.2 and host 192.168.20.23
Zatrzymanie działającego zadania
Aby zatrzymać uruchomiony proces tcpdump, użyj poniższych poleceń. Jest to ważne, ponieważ w przeciwnym razie firewall może zebrać tak dużo logów, że zabraknie miejsca na dysku.
Wyświetlenie aktywnych zadań:
jobs
Zakończenie zadań:
kill %1
kill %2
...
albo:
killall tcpdump
W zależności od liczby działających procesów może być konieczne wykonanie kilku poleceń kill, aby zakończyć wszystkie odpowiednie procesy tcpdump.
Analiza logów
Po zebraniu logów można pobrać je na lokalny komputer, na przykład za pomocą WinSCP lub Cyberduck, a następnie przeanalizować w narzędziu takim jak Wireshark. Alternatywnie można przekazać logi do Sophos Support, aby uzyskać pomoc przy analizie i rozwiązywaniu problemu.
Podsumowanie
tcpdump to podstawowe narzędzie do szczegółowej analizy ruchu sieciowego na Sophos Firewall. Umożliwia zebranie konkretnych danych pakietowych, które można wykorzystać do głębszej analizy lub przekazać do wsparcia technicznego. Dzięki opisanym wyżej poleceniom tcpdump można stosować w sposób celowy i kontrolowany.