Hướng dẫn troubleshoot sử dụng Packet Capture trên Sophos Firewall

Khi cấu hình hoặc hệ thống gặp lỗi, việc kiểm tra traffic là bước quan trọng. Hướng dẫn này giúp bạn tận dụng Packet Capture trên Sophos Firewall để tìm nguyên nhân nhanh chóng và xử lý xử cố traffic trong hệ thống.

1. Nội dung bài viết

Bài viết sẽ hướng dẫn mọi người:

• Cách để dùng Packet Capture trên GUI.
• Bắt gói tcpdump và download file pcap.

Mô hình: <PC1: 192.168.1.94>  –  <Sophos firewall: 10.100.100.13>  –  <PC2: 176.16.4.4>

2. Packet Capture trên Sophos Firewall GUI

– Login vào firewall > Diagnostics > Packet Capture.

– Điền thông tin:

• Trace ON: bật công tắt để bắt gói.
• Trace OFF: nhấn công tắt để ngừng bắt gói.
• Buffer size: 2048 KB
• Buffer used: 0 to 2048 KB

Nếu đặt buffer size là 2048KB thì khi dung lượng bộ đệm vượt quá 2048KB thì sẽ tự động tắt tính năng bắt gói. Để bắt gói liên tục thì nhấp vào xóa Buffer size.

– Ping từ PC1 sang PC2, thì ta sẽ điền thông tin như sau: host 172.16.4.4 and proto ICMP

– Bấm Save và bật ON, sau đó lên PC1 thực hiện ping PC2.

**Lưu ý: nếu bạn bật ON không được hãy kiểm tra lại BPF string bạn nhập đã đúng cú pháp chưa.

– Ping xong qua firewall để check, bấm refresh để cập nhật.

– Dựa theo gói tin bắt được khi qua firewall ta có thể thấy:

• Có gói tin Incoming và Forwarding
• Incoming đi vào Port 2 và ra Port 3
• Port source and destionation (trường hợp này không có port nên không hiện)
• NAT ID: 0 (tức là không có ăn rule NAT nào)
• Rule ID: 15 (gói tin này ăn vào rule ID 15)

3. Packet Capture trên Sophos Firewall Console

– Dùng putty kết nối vào console của firewall

– Vào số 5 Device Management > số 3 Advanced Shell

– Với công cụ tcpdump được tích hợp sẵn, bạn có thể dùng để bắt gói tin.

– Có thể thấy có nhiều thuộc tính bạn có thể dùng như -w file để ghi vào file hoặc -c count, …. (có thể tham khảo link ở dưới)

– Ta sẽ dùng câu lệnh cơ bản: tcpdump host 172.16.4.4 and proto ICMP

– Sau khi gõ lệnh thì firewall sẽ ở chế độ listening on any,…

– Và lên PC1 lên PC2 để thực hiện PING

– Với các gói tin bắt được, ta cũng có thể thấy interface, IN/OUT, IP address, protocol request/replay, seg, length.

– Khi muốn dừng bắt gói thì CTRL + C.

4. Tổng kết

– Trong troubleshoot thì Packet Capture là tính năng quan trọng để xác định được gói tin đi đâu và đi như thế nào, có đi qua thiết bị đó hay không.

– Với Sophos firewall thì sẽ có 2 cách như trên để có thể bắt gói tin. Nếu vẫn không tìm ra nguyên nhân, bạn có thể liên hệ hotline DASS để được hỗ trợ SOPHOS.

** Lưu ý: Nếu bạn bắt gói tin mà chờ không thấy gói tin, thì tức là gói tin đó không đi qua Sophos Firewall.

– Chúc bạn troubleshoot thành công.

5. Tham khảo

Hướng dẫn chi tiết của Sophos: Packet capture – Sophos Firewall

Hướng dẫn tcpdump của Sophos: Device console – Sophos Firewall

Hướng dẫn triển khai Zero Touch: Triển khai Sophos Firewall bằng Zero Touch Deployment – DASS

CÔNG TY CỔ PHẦN DASS – NHÀ PHÂN PHỐI HÀNG ĐẦU GIẢI PHÁP BẢO MẬT SOPHOS

♦ HCM: 55/10 Trần Đình Xu, Phường Cầu Ông Lãnh, TP. HCM

♦ 028 2055 2868

♦ Hà Nội: Số 29, Lê Đại Hành, Phường Hai Bà Trưng, Hà Nội

♦ 024 3555 3030

♦ Email: info@dass.vn

♦ Fanpage: DASS – Sophos Việt Nam