Aller au contenu
Avanet

Tester les règles Sophos Firewall avec Log Viewer

Sophos Firewall

Une règle de firewall ne doit pas seulement être enregistrée, elle doit aussi être testée de manière ciblée. Avec le filtrage web, TLS Inspection, NAT, IPS ou User Matching, une règle peut sembler correcte dans WebAdmin et pourtant ne pas s’appliquer comme prévu.

Trois outils sont utiles pour le test:

  • Log viewer pour les événements réels et les décisions de règles
  • Policy tester pour la logique web, firewall et SSL/TLS
  • Packet capture pour le flux réel des paquets

Avant le test

Il faut d’abord définir précisément ce qui doit être testé:

PointExemple
Source IP172.16.10.25
Utilisateuruser@domain.local
Source zoneLAN
Destinationhttps://www.example.com
ServiceHTTPS
Règle attendueLAN_to_WAN_Clients
Action attendueautorisé, bloqué, déchiffré, non déchiffré

Ensuite, activer Log firewall traffic dans la règle concernée. Sans journalisation, le Log Viewer n’est utile que de manière limitée.

Règle Sophos Firewall avec l'option Log firewall traffic activée
L’option Log firewall traffic devrait être activée pour les règles que l’on souhaite tester ou analyser ultérieurement.

Étape 1: Vérifier la position de la règle

Ouvrir Rules and policies > Firewall rules et vérifier:

  • La règle se trouve-t-elle au-dessus de règles plus générales?
  • Est-elle active?
  • La bonne vue IPv4 ou IPv6 est-elle sélectionnée?
  • Se trouve-t-elle dans un Rule group logique?
  • Existe-t-il des Exclusions?
  • Une règle créée automatiquement se trouve-t-elle au-dessus?

Lorsqu’une nouvelle règle est testée, il est recommandé de réinitialiser son Usage Counter. Il est ensuite plus facile de voir si la règle a réellement été atteinte pendant le test.

Étape 2: Ouvrir Log Viewer

Ouvrir le Log viewer en haut à droite dans la console WebAdmin.

Filtres utiles:

  • Module: Firewall
  • Source IP
  • Destination IP
  • Destination port
  • Rule ID
  • Rule name
  • Action
  • User

Pour le trafic web, vérifier aussi:

  • Web filter
  • SSL/TLS inspection
  • Application filter
  • IPS

Le Log Viewer s’actualise automatiquement. Pour une analyse plus calme, il est possible de mettre la vue live en pause, d’appliquer des filtres, puis de la relancer.

Étape 3: Reproduire le test

Le test doit être exécuté depuis un client défini:

  • Ouvrir un site web
  • Envoyer un ping
  • Tester un port
  • Démarrer une application
  • Établir une connexion VPN
  • Télécharger un fichier

Si possible, n’effectuer qu’un seul test à la fois. Sinon les logs se mélangent rapidement.

Vérifier ensuite:

  • Le compteur de règle augmente-t-il?
  • Voit-on une entrée dans le Log Viewer?
  • Quelle Rule ID est affichée?
  • Quelle NAT Rule ID est affichée?
  • Le trafic est-il autorisé ou bloqué?
  • Une fonction de sécurité intervient-elle?

Étape 4: Utiliser Policy tester

Le Policy tester est utile pour vérifier quelle règle de firewall, SSL/TLS inspection rule ou Web Policy s’appliquerait théoriquement au trafic web.

Chemin de menu:

Diagnostics > Tools > Policy tester

Entrées typiques:

  • URL
  • Utilisateur
  • Heure et jour
  • Source IP
  • Source zone
  • Test method

Comme Test method, on choisit par exemple Firewall, SSL/TLS, and web si la combinaison règle de firewall, SSL/TLS inspection rule et Web Policy doit être vérifiée.

Sophos Firewall Policy tester avec résultat accepté
Le Policy tester indique ici que la connexion depuis la Source IP indiquée serait autorisée par la règle de firewall correspondante.

Le Policy tester n’affiche pas seulement Accepted ou Blocked, mais aussi la règle de firewall correspondante, la destination détectée, la Source zone et, selon la méthode de test, d’autres informations web ou SSL/TLS. On voit ainsi rapidement si le trafic arrive globalement dans la règle attendue.

Sophos Firewall Policy tester avec résultat Web Policy bloqué
Pour le trafic web, le Policy tester affiche aussi l’évaluation Web protection, la catégorie et la Web Policy correspondante.

Important:

⚠️ Le Policy tester ne remplace pas un test réel du flux de paquets. Sophos indique que les résultats du Policy tester ne reflètent pas les SD-WAN routes. Le comportement réel peut donc différer si SD-WAN, le routage ou des passerelles sont impliqués.

Le Policy tester est particulièrement utile pour:

  • Web Policy
  • Catégorisation d’URL
  • Contexte utilisateur
  • Schedule
  • SSL/TLS inspection rule
  • Matching de règles de firewall pour le trafic web

Il est moins adapté pour:

  • décisions de routage réelles
  • chemin retour NAT
  • pertes de paquets
  • problèmes de fournisseur ou de switch
  • applications avec plusieurs connexions et ports

Étape 5: Utiliser Packet Capture

Si Log Viewer et Policy tester ne suffisent pas, utiliser Diagnostics > Packet capture.

Définir un filtre étroit, par exemple:

  • Source IP du client
  • Destination IP du serveur
  • Destination port
  • Protocole

Ensuite:

  1. Démarrer Packet Capture.
  2. Reproduire le test.
  3. Arrêter Packet Capture.
  4. Comparer les événements Incoming et Forwarded.
  5. Comparer Rule ID et NAT ID avec Log Viewer.

Interprétation:

ObservationQue vérifier?
Aucun paquet n’arriveClient, VLAN, switch, gateway, fournisseur, Cloud Security Group
Le paquet arrive mais ne ressort pasRègle de firewall, NAT, routage, fonction de sécurité
Le paquet sort mais la réponse manqueRoute retour, système cible, NAT, firewall externe
Le paquet a le statut ViolationPolicy, IPS, filtre web, Application Control
La NAT ID est inattendueOrdre NAT et règles NAT génériques

Voir aussi: Utiliser Packet Capture dans WebAdmin.

Étape 6: Valider les fonctions de sécurité une par une

Si la bonne règle matche mais que le trafic ne fonctionne pas, vérifier les fonctions activées.

FonctionQue vérifier?
Web policyCatégorie, utilisateur, schedule, ordre des policies
Scan HTTP and decrypted HTTPSHTTPS n’est scanné que s’il a déjà été déchiffré
SSL/TLS inspectionRègle correspondante, Decryption Profile, certificat CA sur les clients
IPSSignature, policy, faux positif
Application ControlApplication détectée, catégorie, détection des cloud apps
Security HeartbeatEndpoint envoie le heartbeat, statut vert/jaune/rouge
Traffic ShapingPolicy active, bonne application ou bonne règle
NATBonne règle SNAT/DNAT/PAT, ordre

Pour HTTPS, une règle de firewall avec filtrage web ne suffit pas pour inspecter le contenu HTTPS. Il faut aussi une SSL/TLS inspection rule correspondante avec déchiffrement et certificat CA distribué.

Voir aussi: Déployer progressivement TLS Inspection sur Sophos Firewall.

Étape 7: Vérifier les fichiers logs

Si les outils WebAdmin ne suffisent pas, vérifier les fichiers logs correspondants.

Fichiers typiques:

SujetFichier log
Règle de firewallfirewall_rule.log
NATnat_rule.log
Connexions firewallfwlog.log
IPS et DPIips.log
Web Proxyawarrenhttp.log
IPsecstrongswan.log, charon.log
SSL VPNsslvpn.log
DNSdnsd.log, dnsgrabber.log
DHCPdhcpd.log

Une vue d’ensemble détaillée se trouve ici: Sophos Firewall Troubleshooting: Services et logs.

Exemple: tester une règle web LAN vers WAN

  1. Créer la règle de firewall LAN_to_WAN_Clients.
  2. Activer la journalisation.
  3. Définir Services sur HTTP et HTTPS.
  4. Sélectionner Web Policy.
  5. Laisser Block QUIC protocol activé.
  6. Activer Scan HTTP and decrypted HTTPS.
  7. Créer une SSL/TLS inspection rule pour le groupe de test.
  8. Installer le certificat CA sur le client de test.
  9. Réinitialiser le compteur de règle.
  10. Ouvrir un site web.
  11. Filtrer Log Viewer par Source IP.
  12. Exécuter Policy tester pour la même URL.
  13. En cas d’écart, démarrer Packet Capture.

Cela permet de voir si la règle matche, si HTTPS est réellement déchiffré et si Webfilter, IPS ou Application Control interviennent.

Informations complémentaires