Sophos Firewall Black Hole DNAT : bloquer les IP
Dès que des services sont accessibles depuis Internet, du trafic indésirable apparaît généralement très vite : scans de ports, tentatives de connexion, botnets connus ou accès depuis des pays où aucun utilisateur n’est attendu. Sur Sophos Firewall, ces sources peuvent être bloquées à plusieurs niveaux.
Cet article explique deux variantes fréquentes :
- bloquer des pays ou des réseaux source avec une Firewall Rule
- rediriger les sources indésirables vers une destination inexistante avec une Black Hole DNAT Rule
Nous recommandons en plus les Sophos Firewall Threat Feeds, afin de bloquer automatiquement les IP, domaines ou URL malveillants connus.
Quelle méthode choisir ?
| Méthode | Adaptée à | Utilisation typique |
|---|---|---|
Firewall Rule avec Drop | Bloquer le trafic selon Source Country, Source Network ou Source Host | Bloquer des pays, bloquer certains réseaux, gérer manuellement des listes de Bad IP connues |
| Black Hole DNAT | Rediriger le trafic indésirable vers une IP interne inexistante | Intercepter tôt le trafic vers des services publiés |
| WAF Blocked countries | Serveurs web publiés via WAF | Bloquer des pays directement dans une règle WAF |
| Threat Feeds | Listes dynamiques de sources malveillantes connues | Bloquer automatiquement botnets, scanners, infrastructures malware et IP d’attaquants connues |
La bonne méthode dépend de l’endroit où le trafic est traité techniquement. Sophos indique que les Firewall Rules ne s’appliquent pas toujours au trafic envoyé vers une Hosted Address utilisée dans le WAF. Dans ces cas, une règle pays WAF ou une Black Hole DNAT Rule est souvent plus adaptée.
Bloquer des pays avec une Firewall Rule
Pour un Country Blocking général, on peut créer une Firewall Rule avec Drop.
Chemin de menu :
Rules and policies > Firewall rules
Champs recommandés :
| Champ | Valeur |
|---|---|
| Rule name | nom parlant, par exemple BLOCK_COUNTRY_PANAMA |
| Rule position | Top |
| Action | Drop |
| Source zones | Any |
| Source networks and devices | pays, groupe de pays, liste d’IP ou groupe d’hôtes |
| During scheduled time | All the time |
| Destination zones | Any |
| Destination networks | Any |
| Services | Any ou un service défini |
Pour le Country Blocking, il est important de ne pas définir Source zones et Destination zones de manière trop restrictive. Si seule la zone source WAN est renseignée, la règle peut ne pas s’appliquer à tous les chemins de trafic pertinents.
Black Hole DNAT pour les sources indésirables
Une Black Hole DNAT Rule traduit le trafic vers une destination qui n’existe pas dans le réseau. Le trafic part donc dans le vide et n’atteint pas le service réel.
C’est particulièrement utile lorsqu’un service est publié par DNAT et que certaines sources doivent être interceptées avant la vraie redirection de port.
Exemple :
| Champ | Valeur |
|---|---|
| Rule name | BLOCK_BAD_IPS_COUNTRIES |
| Rule position | Top |
| Original source | liste de Bad IP, pays ou groupe de pays |
| Original destination | IP WAN publique ou objet hôte WAN |
| Original service | Any ou le service publié |
| Translated source (SNAT) | Original |
| Translated destination (DNAT) | hôte fictif qui n’existe pas |
| Translated service (PAT) | Original |
| Inbound interface | Any |
| Outbound interface | Any |
L’hôte fictif doit utiliser une adresse IP qui n’existe pas dans le réseau local et qui n’est pas routée. Il est important que cette règle se trouve au-dessus des vraies règles DNAT. Les règles NAT sont traitées de haut en bas. Si la règle DNAT normale correspond en premier, la Black Hole DNAT Rule arrive trop tard.
Pourquoi l’ordre des règles est déterminant
Pour les règles NAT, la première règle correspondante gagne. Une Black Hole DNAT Rule doit donc être placée très haut, généralement tout en haut de la table NAT.
Ordre d’exemple :
- Black Hole DNAT pour liste de Bad IP et pays bloqués
- règles DNAT spécifiques pour les services publiés
- règles SNAT spéciales
- règle MASQ générale pour le trafic sortant
Le même principe s’applique aux Firewall Rules : les règles de blocage spécifiques doivent être au-dessus des règles d’autorisation générales. Sinon, le trafic peut déjà être autorisé avant que la règle Drop soit évaluée.
Ne pas laisser Source sur Any inutilement
Pour les services publiés, il faut restreindre la Source autant que possible.
Les sources utiles peuvent être :
- adresses IP publiques individuelles
- réseaux de partenaires ou de filiales
- pays depuis lesquels l’accès est attendu
- FQDN Hosts ou DNS Host Groups, si adapté
- Host Groups maintenus avec les IP d’administration autorisées
Any n’a de sens que si le service doit réellement être accessible dans le monde entier. Dans ce cas, il faut activer des mesures de protection supplémentaires : journalisation, IPS, MFA si possible, authentification forte, systèmes cibles à jour et Threat Feeds.
Utiliser aussi les Threat Feeds
Les listes manuelles et règles par pays sont statiques. L’infrastructure des attaquants change cependant en permanence. C’est pourquoi nous recommandons aussi les Sophos Firewall Threat Feeds.
Les Threat Feeds aident surtout contre :
- adresses IP de scanners connues
- botnets
- infrastructures malware
- hôtes compromis
- listes de Bad IP maintenues dynamiquement
Il n’est ainsi pas nécessaire de gérer chaque IP manuellement. Le firewall peut bloquer les sources connues comme malveillantes avant qu’elles atteignent le service publié.
Erreurs fréquentes
| Erreur | Effet |
|---|---|
| Black Hole DNAT se trouve sous la règle DNAT normale | La règle DNAT normale correspond en premier et la règle de blocage ne s’applique pas |
| La destination fictive existe réellement dans le réseau | Le trafic arrive par erreur sur un vrai système |
| La Source est maintenue différemment dans la règle NAT et la Firewall Rule | Les règles deviennent difficiles à comprendre et divergent |
| Le Country Blocking est utilisé comme seule protection | Des bots de pays autorisés peuvent toujours attaquer |
| La journalisation est désactivée | Log Viewer ne montre pas clairement quelle règle a correspondu |
Troubleshooting
Si une règle de blocage ne s’applique pas, il faut vérifier dans cet ordre :
- La règle NAT ou Firewall Rule est-elle vraiment au-dessus des règles d’autorisation ?
- L’IP source correspond-elle à la liste de Bad IP ou au pays choisi ?
- Le trafic est-il traité par une règle WAF, une règle DNAT ou une Firewall Rule ?
- La journalisation est-elle active sur la Firewall Rule concernée ?
- Log Viewer affiche-t-il le Firewall Rule ID ou le NAT Rule ID attendu ?
- Voit-on le trafic dans Diagnostics > Packet capture ?
Pour l’analyse, voir aussi Firewall rule ne correspond pas : vérifier l’ordre, le matching et les logs, Utiliser Packet Capture dans WebAdmin et Comprendre NAT sur Sophos Firewall : SNAT, DNAT, MASQ, PAT.