Hoppa till innehållet
Avanet

Sophos Firewall - identifiera kasserade paket

Sophos Firewall

Sophos Firewalls kan kassera paket av olika skäl. Den här artikeln förklarar hur man identifierar kasserade paket, vilka verktyg som finns för detta och hur vanliga problem kan åtgärdas med rätt konfiguration.

Identifiera kasserade paket

För att identifiera kasserade paket använder man Log Viewer i Sophos Firewall. Den visar vilka moduler som ansvarar för att paket kasseras. De viktigaste modulerna är:

  • Firewall
  • Web-Filter
  • Application Filter
  • Intrusion Prevention System (IPS)
  • Advanced Threat Protection (ATP)
  • Web Server Protection

Genom att använda filter i Log Viewer kan man söka specifikt efter kasserade paket. Till exempel kan man sätta ett filter som bara visar paket som inte är tillåtna.

Steg-för-steg-guide

  1. Öppna Log Viewer.
  2. Välj motsvarande modul (till exempel Firewall).
  3. Lägg till ett filter som visar de kasserade paketen.
  • Sätt filtret för “Log Subtype” till “Is Not Allowed”.
  1. Analysera de kasserade paketen utifrån meddelandena i Log Viewer.

Observera att Log Viewer bara sparar ett begränsat antal loggar och inte lämpar sig för realtidsövervakning. För realtidsanalyser rekommenderas Packet Capture Tool.

Vanliga felmeddelanden vid kasserade paket

Kasserade paket kan ha olika orsaker som visas i Log Viewer. De vanligaste felmeddelandena är:

  • Invalid Packet: Avser avvisade TCP RST- eller TCP FIN-paket för att förhindra angrepp.
  • No ICMP Record Found: Ett ping-svar togs emot utan motsvarande förfrågan och kasserades.
  • Could Not Associate Packet to Any Connection: Paketet hör inte till någon känd anslutning och kasseras.

Ett annat scenario som kan leda till kasserade paket är asymmetrisk routing, där firewallen inte kan koppla paketen korrekt.

Använda Packet Capture Tool

Packet Capture Tool möjliggör en detaljerad analys av datatrafiken. Med detta kan administratörer se vilka firewall-regler och säkerhetsfunktioner som påverkar dataflödet. På så sätt kan man till exempel avgöra om Web-Filter eller en annan säkerhetsfunktion blockerar paketet.

Steg-för-steg-guide

  1. Navigera till Diagnose > Packet Capture.
  2. Konfigurera Packet Filters med relevanta IP-adresser och protokoll.
  3. Aktivera paketinsamlingen medan problemet reproduceras.
  4. Analysera de registrerade paketen med fokus på kasserade eller blockerade anslutningar.

Problemlösning med exempel

Nedan beskrivs några vanliga scenarier där paket kasseras, tillsammans med lämpliga lösningar.

Kasserade paket på grund av firewallregler

Exempel: En intern dator kan inte pinga en annan dator i nätverket.

  • Använd Packet Capture Tool för att kontrollera om paketen tas emot och vidarebefordras av firewallen.
  • Om paketen inte vidarebefordras kan en saknad firewallregel vara problemet. En ny regel som tillåter ping-trafik löser problemet.

Kasserade paket på grund av Web-Filter

Exempel: En webbplats som youtube.com blockeras.

  • Kontrollera Web-Filter Logs i Log Viewer.
  • Om webbplatsen blockeras på grund av en policy kan en ny URL-grupp skapas för att tillåta vissa webbplatser specifikt, medan andra fortsätter att vara blockerade.

Bästa praxis

  • Undvik överdrivna undantag: När undantag skapas för Web-Filter, ATP eller andra säkerhetsmoduler bör administratörer säkerställa att nätverkssäkerheten inte påverkas negativt.
  • Regelbunden loggövervakning: Eftersom Log Viewer bara sparar ett begränsat antal loggar bör man regelbundet kontrollera om kasserade paket är kritiska eller kan ignoreras.
  • Använd realtidsverktyg: För effektiv felsökning är Packet Capture Tool oumbärligt, eftersom det ger detaljerad information om pakettrafiken i realtid.

Video

Mer information och en detaljerad guide finns i den här videon

Video om kasserade paket i Sophos Firewall
Video om kasserade paket i Sophos Firewall