Carrello

Nessun prodotto nel carrello.

Sophos Firewall: Rilevamento dei pacchetti caduti

I Sophos Firewall possono scartare i pacchetti per vari motivi. Questo articolo spiega come riconoscere i pacchetti scartati, quali sono gli strumenti disponibili per farlo e come risolvere i problemi più comuni attraverso le opportune configurazioni.

Identificare le confezioni scartate

Per riconoscere i pacchetti scartati, utilizza il visualizzatore di log di Sophos Firewall. Questo mostra quali moduli sono responsabili dell’abbandono di un pacchetto. I moduli più importanti sono

  • Firewall
  • Filtro web
  • Filtro di applicazione
  • Sistema di prevenzione delle intrusioni (IPS)
  • Protezione avanzata dalle minacce (ATP)
  • Protezione del server web

Utilizzando i filtri nel Visualizzatore di Log, puoi cercare in modo specifico i pacchetti scartati. Ad esempio, puoi impostare un filtro che visualizzi solo i pacchetti non consentiti.

Istruzioni passo dopo passo

  1. Apri il Visualizzatore di log.
  2. Seleziona il modulo corrispondente (ad esempio, il firewall).
  3. Aggiungi un filtro che visualizzi i pacchetti scartati.
    • Imposta il filtro per “Sottotipo di registro” su “Non è consentito”.
  4. Analizza i pacchetti scartati in base ai messaggi del Log Viewer.

Tieni presente che il Log Viewer salva solo un numero limitato di log e non è adatto al monitoraggio in tempo reale. Per le analisi in tempo reale, ti consigliamo di utilizzare lo strumento di cattura dei pacchetti.

Messaggi di errore frequenti per i pacchetti scartati

I pacchetti scartati possono avere varie cause, che vengono visualizzate nel Visualizzatore di Log. I messaggi di errore più comuni includono

  • Pacchetto non valido: si riferisce ai pacchetti TCP RST o TCP FIN rifiutati per prevenire gli attacchi.
  • No ICMP Record Found: è stato ricevuto un ping di risposta senza una richiesta corrispondente ed è stato scartato.
  • Could Not Associate Packet to Any Connection: il pacchetto non appartiene a nessuna connessione conosciuta e viene scartato.

Un altro scenario che può portare alla perdita di pacchetti è il routing asimmetrico, in cui il firewall non riesce ad assegnare correttamente i pacchetti.

Utilizzare lo strumento di cattura dei pacchetti

Lo strumento di cattura dei pacchetti consente un’analisi dettagliata del traffico dati. In questo modo gli amministratori possono vedere quali regole del firewall e quali funzioni di sicurezza influenzano il flusso di dati. Ad esempio, è possibile determinare se il filtro web o un’altra funzione di sicurezza sta bloccando il pacchetto.

Istruzioni passo dopo passo

  1. > Vai su Diagnostica Acquisizione pacchetti .
  2. Configura il filtro dei pacchetti con gli indirizzi IP e i protocolli pertinenti.
  3. Attiva la registrazione dei pacchetti mentre il problema viene riprodotto.
  4. Analisi dei pacchetti registrati per quanto riguarda le connessioni scartate o bloccate.

Risoluzione dei problemi con gli esempi

Di seguito vengono descritti alcuni scenari comuni in cui i pacchetti vengono scartati e le relative soluzioni.

Pacchetti scartati a causa delle regole del firewall

Esempio: un computer interno non può eseguire il ping di un altro computer della rete.

  • Usa lo strumento di cattura dei pacchetti per verificare se i pacchetti vengono ricevuti e inoltrati dal firewall.
  • Se i pacchetti non vengono inoltrati, il problema potrebbe essere una regola del firewall mancante. Una nuova regola che consenta il traffico ping risolve il problema.

Pacchetti scartati a causa del filtro web

Esempio: un sito web come youtube.com è bloccato.

  • Controlla i log del filtro web nel Log Viewer.
  • Se il sito web è bloccato a causa di un criterio, è possibile creare un nuovo gruppo di URL per consentire siti web specifici mentre altri rimangono bloccati.

Migliori pratiche

  • Evita le eccezioni eccessive: Creando eccezioni per i filtri web, l’ATP o altri moduli di sicurezza, gli amministratori devono assicurarsi che la sicurezza della rete non venga compromessa.
  • Monitoraggio regolare dei log: poiché il Log Viewer salva solo un numero limitato di log, è necessario controllare regolarmente se i pacchetti scartati sono critici o possono essere ignorati.
  • Utilizzo di strumenti in tempo reale: Lo strumento di cattura dei pacchetti è indispensabile per una risoluzione efficace dei problemi, in quanto fornisce informazioni dettagliate sul traffico dei pacchetti in tempo reale.

Video

Ulteriori informazioni e istruzioni dettagliate sono disponibili in questo video