Warenkorb

keine Produkte im Warenkorb

Sophos Firewall – Erkennen von verworfenen Paketen

Sophos Firewalls können Pakete aus verschiedenen Gründen verwerfen. In diesem Artikel wird erläutert, wie man verworfene Pakete erkennt, welche Tools hierfür zur Verfügung stehen, und wie häufige Probleme durch entsprechende Konfigurationen behoben werden können.

Verworfene Pakete identifizieren

Um verworfene Pakete zu erkennen, verwendet man den Log Viewer der Sophos Firewall. Dieser zeigt, welche Module für das Verwerfen eines Pakets verantwortlich sind. Zu den wichtigsten Modulen gehören:

  • Firewall
  • Web-Filter
  • Anwendungs-Filter
  • Intrusion Prevention System (IPS)
  • Advanced Threat Protection (ATP)
  • Web Server Protection

Durch den Einsatz von Filtern im Log Viewer kann man gezielt nach verworfenen Paketen suchen. Beispielsweise kann man einen Filter setzen, der nur Pakete anzeigt, die nicht erlaubt sind.

Schritt-für-Schritt Anleitung

  1. Öffnen des Log Viewers.
  2. Auswählen des entsprechenden Moduls (z. B. Firewall).
  3. Hinzufügen eines Filters, der die verworfenen Pakete anzeigt.
    • Setze den Filter für „Log Subtype“ auf „Is Not Allowed“.
  4. Analyse der verworfenen Pakete anhand der Meldungen im Log Viewer.

Es ist zu beachten, dass der Log Viewer nur eine begrenzte Anzahl von Logs speichert und nicht für Echtzeit-Überwachung geeignet ist. Für Echtzeit-Analysen empfiehlt sich die Verwendung des Packet Capture Tools.

Häufige Fehlermeldungen bei verworfenen Paketen

Verworfene Pakete können verschiedene Ursachen haben, die im Log Viewer angezeigt werden. Zu den häufigsten Fehlermeldungen gehören:

  • Invalid Packet: Verweist auf abgelehnte TCP RST oder TCP FIN Pakete, um Angriffe zu verhindern.
  • No ICMP Record Found: Ein Antwort-Ping wurde ohne entsprechende Anfrage empfangen und verworfen.
  • Could Not Associate Packet to Any Connection: Das Paket gehört zu keiner bekannten Verbindung und wird verworfen.

Ein weiteres Szenario, das zu verworfenen Paketen führen kann, ist asymmetrisches Routing, bei dem die Firewall die Pakete nicht korrekt zuordnen kann.

Verwendung des Packet Capture Tools

Das Packet Capture Tool ermöglicht eine detaillierte Analyse des Datenverkehrs. Hiermit können Administratoren sehen, welche Firewall-Regeln und Sicherheitsfunktionen den Datenfluss beeinflussen. So kann z. B. festgestellt werden, ob der Web-Filter oder eine andere Sicherheitsfunktion das Paket blockiert.

Schritt-für-Schritt Anleitung

  1. Navigieren zu Diagnose > Packet Capture.
  2. Konfigurieren des Packet Filters mit den relevanten IP-Adressen und Protokollen.
  3. Aktivieren der Paketaufnahme, während das Problem reproduziert wird.
  4. Analyse der aufgezeichneten Pakete im Hinblick auf verworfene oder blockierte Verbindungen.

Problembehebung anhand von Beispielen

Im Folgenden werden einige gängige Szenarien beschrieben, bei denen Pakete verworfen werden, sowie entsprechende Lösungen.

Verworfene Pakete durch Firewall-Regeln

Beispiel: Ein interner Rechner kann einen anderen Rechner im Netzwerk nicht pingen.

  • Verwende das Packet Capture Tool, um zu prüfen, ob die Pakete von der Firewall empfangen und weitergeleitet werden.
  • Falls die Pakete nicht weitergeleitet werden, könnte eine fehlende Firewall-Regel das Problem sein. Eine neue Regel, die den Ping-Verkehr erlaubt, behebt das Problem.

Verworfene Pakete durch Web-Filter

Beispiel: Eine Website wie youtube.com wird blockiert.

  • Prüfe die Web-Filter Logs im Log Viewer.
  • Falls die Website aufgrund einer Policy blockiert wird, kann eine neue URL-Gruppe erstellt werden, um gezielt bestimmte Websites zuzulassen, während andere weiterhin blockiert bleiben.

Best Practices

  • Vermeiden von übermässigen Ausnahmen: Durch das Erstellen von Ausnahmen für Web-Filter, ATP oder andere Sicherheitsmodule sollten Administratoren sicherstellen, dass die Netzwerksicherheit nicht beeinträchtigt wird.
  • Regelmässige Log-Überwachung: Da der Log Viewer nur eine begrenzte Anzahl an Logs speichert, sollte regelmässig überprüft werden, ob verworfene Pakete kritisch sind oder ignoriert werden können.
  • Nutzung von Echtzeit-Tools: Für eine effektive Fehlersuche ist das Packet Capture Tool unverzichtbar, da es detaillierte Informationen über den Paketverkehr in Echtzeit bietet.

Video

Weitere Informationen und detaillierte Anleitung gibt es in diesem Video