Saltar para o conteudo
Avanet

Sophos Firewall - identificar pacotes descartados

Sophos Firewall

Sophos Firewalls podem descartar pacotes por vários motivos. Neste artigo explicamos como identificar pacotes descartados, que ferramentas estão disponíveis para isso e como problemas frequentes podem ser resolvidos com as configurações adequadas.

Identificar pacotes descartados

Para detetar pacotes descartados, usa-se o Log Viewer da Sophos Firewall. Este mostra que módulos são responsáveis por descartar um pacote. Entre os módulos mais importantes estão:

  • Firewall
  • Web-Filter
  • Anwendungs-Filter
  • Intrusion Prevention System (IPS)
  • Advanced Threat Protection (ATP)
  • Web Server Protection

Com filtros no Log Viewer, pode procurar especificamente pacotes descartados. Por exemplo, pode definir um filtro que mostra apenas pacotes que não são permitidos.

Guia passo a passo

  1. Abrir o Log Viewer.
  2. Selecionar o módulo correspondente (por exemplo, Firewall).
  3. Adicionar um filtro que apresenta os pacotes descartados.
  • Defina o filtro de “Log Subtype” para “Is Not Allowed”.
  1. Analisar os pacotes descartados com base nas mensagens no Log Viewer.

Tenha em atenção que o Log Viewer guarda apenas um número limitado de logs e não é adequado para monitorização em tempo real. Para análises em tempo real, recomenda-se usar o Packet Capture Tool.

Mensagens de erro frequentes em pacotes descartados

Pacotes descartados podem ter várias causas, apresentadas no Log Viewer. As mensagens de erro mais frequentes incluem:

  • Invalid Packet: Indica pacotes TCP RST ou TCP FIN rejeitados para prevenir ataques.
  • No ICMP Record Found: Foi recebida e descartada uma resposta ping sem pedido correspondente.
  • Could Not Associate Packet to Any Connection: O pacote não pertence a nenhuma ligação conhecida e é descartado.

Outro cenário que pode levar a pacotes descartados é routing assimétrico, em que a firewall não consegue associar corretamente os pacotes.

Utilização do Packet Capture Tool

O Packet Capture Tool permite uma análise detalhada do tráfego. Com ele, administradores podem ver que regras de firewall e funções de segurança influenciam o fluxo de dados. Assim é possível perceber, por exemplo, se o Web-Filter ou outra função de segurança está a bloquear o pacote.

Guia passo a passo

  1. Navegar para Diagnose > Packet Capture.
  2. Configurar o Packet Filter com os endereços IP e protocolos relevantes.
  3. Ativar a captura de pacotes enquanto o problema é reproduzido.
  4. Analisar os pacotes gravados quanto a ligações descartadas ou bloqueadas.

Resolução de problemas com exemplos

Em seguida descrevemos alguns cenários comuns em que pacotes são descartados, bem como as respetivas soluções.

Pacotes descartados por regras de firewall

Exemplo: Um computador interno não consegue fazer ping a outro computador na rede.

  • Use o Packet Capture Tool para verificar se os pacotes são recebidos e encaminhados pela firewall.
  • Se os pacotes não forem encaminhados, o problema pode ser uma regra de firewall em falta. Uma nova regra que permita tráfego ping resolve o problema.

Pacotes descartados pelo Web-Filter

Exemplo: Um site como youtube.com é bloqueado.

  • Verifique os logs do Web-Filter no Log Viewer.
  • Se o site for bloqueado devido a uma policy, pode criar um novo URL group para permitir especificamente determinados sites, mantendo outros bloqueados.

Boas práticas

  • Evitar exceções excessivas: Ao criar exceções para Web-Filter, ATP ou outros módulos de segurança, os administradores devem garantir que a segurança da rede não é comprometida.
  • Monitorização regular de logs: Como o Log Viewer guarda apenas um número limitado de logs, deve verificar regularmente se os pacotes descartados são críticos ou podem ser ignorados.
  • Usar ferramentas em tempo real: Para uma resolução de problemas eficaz, o Packet Capture Tool é indispensável, pois fornece informações detalhadas sobre o tráfego de pacotes em tempo real.

Vídeo

Mais informações e um guia detalhado estão neste vídeo.

Vídeo sobre pacotes descartados na Sophos Firewall
Vídeo sobre pacotes descartados na Sophos Firewall