Saltar para o conteudo
Avanet

Sophos Firewall - recolher logs com TCPDump para análise

Sophos Firewall

TCPDump é uma ferramenta poderosa de análise de pacotes de rede, usada para gravar e analisar o tráfego que passa por uma interface de rede. Permite filtrar pacotes específicos e guardá-los num local externo. Isto é especialmente útil quando são necessárias análises mais profundas ou quando é preciso enviar dados ao Sophos Support para resolução de problemas.

Utilização do TCPDump na Sophos Firewall

Para usar TCPDump na Sophos Firewall, primeiro liga-se à firewall por SSH e depois usam-se comandos específicos para capturar e guardar o tráfego pretendido.

Exemplo de utilização: recolher logs para 3CX PBX

Imaginemos que deve ser gravado o tráfego VoIP de uma instalação 3CX PBX (com o endereço IP 192.168.100.220), para diagnosticar problemas relacionados com o tráfego de rede.

Comando para gravação

tcpdump -i any -nn host 192.168.100.220 -w /tmp/voip.pcap &

Os parâmetros individuais têm a seguinte utilidade:

  • -i any: garante que é capturado todo o tráfego que passa por todas as interfaces disponíveis.
  • -nn: desativa a resolução de nomes para hostnames e portas, acelerando e simplificando a saída.
  • host 192.168.100.220: filtra o tráfego de e para este endereço IP específico.
  • -w /tmp/voip.pcap: indica que os pacotes capturados devem ser escritos num ficheiro chamado voip.pcap no diretório /tmp.
  • &: executa o comando em segundo plano, permitindo continuar a usar a linha de comandos.

Parâmetros tcpdump úteis e exemplos

Limitar a saída a 50 pacotes

tcpdump -c 50

Limitar a uma interface de rede

sudo tcpdump -i eth1

Escrever a saída num ficheiro em formato pcap

sudo tcpdump -i wlan0 -p -w /tmp/tcpdump.pcap

Mostrar todo o tráfego de um IP específico

tcpdump host 51.154.9.190

Mostrar pacotes entre dois hosts

tcpdump icmp and host 10.32.42.2 and host 192.168.20.23

Parar o job em execução

Para parar o processo TCPDump em execução, use os comandos seguintes. Isto é importante porque, caso contrário, a firewall pode recolher tantos logs que o armazenamento fica cheio.

Mostrar jobs ativos:

jobs

Terminar jobs

kill %1
kill %2
...

ou

killall tcpdump

Consoante o número de processos em execução, pode executar vários comandos kill para garantir que todos os processos TCPDump relevantes terminam.

Análise dos logs

Assim que os logs forem recolhidos, podem ser descarregados para um computador local, por exemplo com WinSCP ou Cyberduck, e analisados com uma ferramenta como Wireshark. Em alternativa, podem ser enviados ao Sophos Support para apoio na análise e resolução do problema.

Resumo

TCPDump é uma ferramenta essencial para analisar em detalhe o tráfego de rede na Sophos Firewall. Permite recolher dados de log específicos, que podem ser usados para análises mais profundas ou para apoio pelo suporte. Com os comandos descritos acima, o TCPDump pode ser usado de forma eficiente e dirigida.