Vai al contenuto
Avanet

Utilizzare la regola di bypass del firewall di Sophos in modo sicuro

Eine Bypass-Regel auf der Sophos Firewall ist kein normales Allow-Objekt und kein Ersatz für eine saubere Firewall-Regel. Der definierte Traffic umgeht damit den normalen Stateful-Firewall-Pfad. Dadurch werden auch viele Funktionen umgangen, auf die man sich im Alltag bewusst verlässt: Firewall-Regeln, Log Viewer, IPS, Webfilter, Application Control, Malware-Scanning oder andere Security Features.

Le regole di bypass sono quindi utili solo per casi speciali strettamente definiti, ad esempio per la risoluzione dei problemi a breve termine con guida, per un’eccezione di compatibilità molto specifica o per una soluzione alternativa chiaramente documentata. Per rilasci normali, problemi di prestazioni o falsi positivi, dovresti prima controllare regole, eccezioni o politiche specifiche.

⚠️ Una regola di bypass riduce notevolmente la visibilità e l’effetto protettivo del firewall. Le regole di aggiramento dovrebbero sempre essere definite in modo rigoroso, documentate, testate e rimosse dopo il completamento.

Le tipiche occasioni del mondo reale sono casi speciali con routing asimmetrico, comportamento insolito del protocollo o analisi del fornitore a breve termine. Una volta chiara la causa, la soluzione dovrebbe essere ripristinata alle normali regole del firewall, NAT, routing, IPS, eccezioni web o TLS.

Quale tipo di bypass si intende

Il termine “bypass” appare più volte negli ambienti Sophos. Questo articolo riguarda esclusivamente bypass-stateful-firewall-config nella Console dispositivo.

  • Bypass del firewall con stato: Configurazione CLI che instrada il traffico host o di rete definito oltre il normale percorso del firewall con stato.
  • Regola di bypass DoS: Eccezione in Protezione spoofing e Impostazioni DoS per i controlli DoS, diversa da Stateful Firewall Bypass.
  • IPS Bypass session: Azione della regola IPS che tratta un colpo IPS in modo diverso per la sessione.
  • Bypass LAN/fail-to-wire: Funzione hardware di apparecchi o moduli specifici, non una regola SFOS.
  • Eccezione normale del firewall: Personalizzazione di firewall, NAT, Web, TLS, IPS o controllo delle applicazioni in WebAdmin.

Questa separazione è importante perché le misure comportano rischi diversi. Un’eccezione DoS o un’azione IPS non sono automaticamente innocue, ma sono più strettamente correlate a una funzione. Un bypass del firewall con stato, d’altro canto, può aggirare la visibilità e la valutazione delle policy in modo molto ampio se l’origine o la destinazione vengono scelte troppo grandi.

Controlla in anticipo le alternative migliori

Prima di stabilire una regola di bypass, dovrebbe essere chiaro il motivo per cui i meccanismi normali non sono sufficienti.

Per l’analisi di regole e log, la guida Testare la regola di Sophos Firewall con visualizzatore di log e acquisizione di pacchetti, La regola del firewall non funziona: verificare le cause e Comprendere e configurare correttamente le regole del firewall Sophos.

Limiti operativi

Una regola di bypass dovrebbe essere impostata solo se tutti i punti sono soddisfatti:

  • L’origine e la destinazione sono reti o host specifici, non Any.
  • La direzione e la direzione del ritorno sono comprese.
  • C’è un biglietto, una ragione e una persona responsabile.
  • Viene definita una finestra di manutenzione o una finestra di test.
  • La configurazione esistente è stata precedentemente documentata.
  • È disponibile un comando di rollback.
  • Dopo il test viene verificato se la regola è stata nuovamente rimossa.

Una regola di bypass non è adatta per una “attivazione rapida” permanente tra reti. Se una connessione deve essere consentita in modo permanente, deve rientrare in una normale regola del firewall con registrazione e adeguate caratteristiche di sicurezza.

Connessione alla console del dispositivo

I comandi vengono eseguiti in Sophos Firewall Device Console. Per fare ciò, connettiti all’utente admin tramite SSH e apri la Console dispositivo nel menu della console.

L’accesso SSH deve essere consentito solo da una rete amministrativa attendibile. La preparazione è in Connetti Sophos Firewall tramite SSH.

Prima di apportare qualsiasi modifica, è necessario innanzitutto visualizzare e documentare lo stato attuale.

show advanced-firewall
Sophos Firewall Bypass Rules anzeigen lassen
Mit show advanced-firewall werden vorhandene Bypass-Regeln sichtbar.

Seleziona correttamente l’host o la rete

Sophos consente di ignorare le voci per singoli host o reti. Per la risoluzione dei problemi, un singolo host è quasi sempre migliore di un’intera sottorete perché significa che meno traffico è invisibile.

  • singolo host di origine all’host di destinazione: dest_host <Ziel-IP> source_host <Quell-IP>.
  • Dalla rete di origine all’host di destinazione: dest_host <Ziel-IP> source_network <Netz-IP> source_netmask <Maske>.
  • Host di origine per rete di destinazione: dest_network <Netz-IP> dest_netmask <Maske> source_host <Quell-IP>.
  • Rete di origine alla rete di destinazione: dest_network <Netz-IP> dest_netmask <Maske> source_network <Netz-IP> source_netmask <Maske>.

Reti ampie come zone client, server o VPN complete non sono quasi mai un buon punto di partenza. È meglio effettuare un test approfondito con un host di origine, un host di destinazione e un servizio chiaro. Solo se il caso di test riguarda realmente più host si può parlare di una piccola rete.

Anche la direzione è importante. Sophos spiega che le voci per entrambe le direzioni sono spesso necessarie per connessioni complete. Ma questo dovrebbe essere fatto consapevolmente: non ricreare automaticamente la logica Any, ma piuttosto comprendere lo specifico percorso di ritorno.

Imposta il cambio frame prima del bypass

Una regola di bypass non dovrebbe mai essere impostata spontaneamente mentre è in corso la risoluzione dei problemi. Prima di eseguire il comando add, dovrebbe essere chiaro a quale test individuale si intende rispondere e come verrà annullata la modifica.

Per garantire un periodo di manutenzione o test pulito, tenere presente questi punti:

  • Domanda di prova: Il traffico definito funziona senza un percorso firewall con stato?
  • Flusso interessato: 192.168.33.0/24 a 192.168.46.0/24.
  • Stato iniziale: Output di show advanced-firewall prima della modifica.
  • Itinerario di ritorno previsto: comando del appropriato per ciascuna direzione impostata.
  • Criterio di risoluzione: traffico imprevisto, nuova interruzione o zona target errata.
  • Ispezione di follow-up: show advanced-firewall, cattura pacchetti e test funzionale senza bypass.

L’ordine di ritiro è particolarmente importante. Dovrebbe essere preparato prima dell’impostazione, non cercato dopo il test. Ciò significa che la modifica rimane controllabile anche se si verifica pressione durante la finestra di manutenzione.

Esempio: creare una regola di bypass

Esempio:

  • Rete di origine: 192.168.33.0/24.
  • Rete di destinazione: 192.168.46.0/24.
  • Maschera di rete di origine: 255.255.255.0.
  • Maschera di rete di destinazione: 255.255.255.0.

La regola per la prima direzione:

set advanced-firewall bypass-stateful-firewall-config add dest_network 192.168.46.0 dest_netmask 255.255.255.0 source_network 192.168.33.0 source_netmask 255.255.255.0

Una seconda regola è necessaria per la direzione inversa se anche il traffico dalla rete di destinazione alla rete di origine deve utilizzare il bypass.

set advanced-firewall bypass-stateful-firewall-config add dest_network 192.168.33.0 dest_netmask 255.255.255.0 source_network 192.168.46.0 source_netmask 255.255.255.0

Quindi controlla di nuovo:

show advanced-firewall

Se viene testato solo un singolo client e un singolo server, è meglio utilizzare host anziché reti:

set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.46.20 source_host 192.168.33.10

Per la direzione opposta di conseguenza:

set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.33.10 source_host 192.168.46.20

Controlla l’effetto

Dopo l’impostazione, non dovresti solo verificare se l’applicazione funziona. Ciò che conta è se la tangenziale incide davvero solo sul traffico previsto.

Punti di controllo:

  1. show advanced-firewall mostra esattamente le reti previste.
  2. Non esistono reti più larghe del previsto.
  3. La direzione e il ritorno sono impostati consapevolmente.
  4. Il traffico di prova funziona solo tra sorgenti e destinazioni previste.
  5. Le reti non coinvolte non utilizzano il bypass.
  6. I normali log del firewall per questo traffico non sono più previsti come base per il processo decisionale.
  7. Packet Capture mostra il traffico solo durante il test pianificato.
  8. Il ritiro è stato effettuato subito dopo la prova.

Se improvvisamente il visualizzatore del registro e il contatore delle regole non mostrano più gli eventi, ciò potrebbe essere causato dal bypass stesso. In questa condizione, Packet Capture è più utile di Log Viewer.

Con il routing asimmetrico bisognerebbe verificare anche se il percorso di ritorno passa effettivamente attraverso il firewall previsto. Un bypass può mascherare i sintomi se la causa principale è un gateway predefinito errato, un percorso incompleto o un NAT sul lato sbagliato.

Elimina la regola di bypass

Per rimuovere, usa lo stesso comando con del invece di add.

Rimuovi la prima direzione:

set advanced-firewall bypass-stateful-firewall-config del dest_network 192.168.46.0 dest_netmask 255.255.255.0 source_network 192.168.33.0 source_netmask 255.255.255.0

Rimuovere la direzione inversa:

set advanced-firewall bypass-stateful-firewall-config del dest_network 192.168.33.0 dest_netmask 255.255.255.0 source_network 192.168.46.0 source_netmask 255.255.255.0

Quindi controlla di nuovo:

show advanced-firewall

L’output non dovrebbe più contenere voci di bypass impreviste.

Fissalo di nuovo in modo pulito dopo il test

Una regola di bypass rimossa non risolve automaticamente il problema originale. Il test mostra solo che probabilmente era coinvolto il normale percorso del firewall per il traffico testato. Dovresti quindi trasferire consapevolmente la causa in una configurazione supportata e visibile.

Domande utili di follow-up:

  • Una normale regola del firewall era troppo restrittiva o era nel posto sbagliato?: Controlla l’ordine delle regole, le zone, l’origine, la destinazione, il servizio e l’assegnazione degli utenti.
  • IPS, Protezione Web o Controllo Applicazioni sono bloccati?: Firma del documento, categoria, politica o eccezione mirata.
  • È stata coinvolta l’ispezione TLS?: Controllare in modo pulito la regola TLS, il certificato, l’eccezione e l’applicazione interessata.
  • È stato un problema di routing o NAT?: Confronta ID regola NAT, percorso di ritorno, percorso SD-WAN e acquisizione dei pacchetti.
  • Il traffico sarà necessario in modo permanente in futuro?: Crea una normale regola firewall con registrazione, proprietario e data di revisione.

Dopo il ritiro deve essere effettuato almeno un test di controllo senza bypass. Se il traffico funziona nuovamente solo con la tangenziale, il caso non è ancora chiuso. Allora hai bisogno di una regola pulita, una policy, un NAT o una regolazione dell’ispezione che rimanga visibile nel visualizzatore di log e possa essere controllata in seguito.

Per le modifiche permanenti, dovresti anche documentare quali funzionalità di sicurezza vengono lasciate deliberatamente attive e quale eccezione è realmente necessaria. Una regola di bypass temporaneo non deve diventare silenziosamente parte dell’architettura operativa.

Documentazione

Ogni regola di bypass dovrebbe essere documentata:

  • Data e ora
  • Amministratore
  • motivo
  • Rete di origine e rete di destinazione
  • applicazione interessata
  • durata prevista
  • Prove di prova
  • Momento della rimozione
  • Attività di follow-up nel caso in cui sia necessario creare una regola o un’eccezione pulita

Senza documentazione, le regole di aggiramento possono facilmente passare inosservate. Ciò è particolarmente pericoloso perché uno sguardo normale alle regole del firewall o ai visualizzatori di log non è sufficiente per identificare la lacuna nella protezione.

Lista di controllo

Prima del bypass:

  • Regola firewall normale, NAT, routing, IPS, Web, ispezione TLS e controllo delle applicazioni controllati.
  • Definizione della domanda di test specifica.
  • Origine, destinazione, direzione e ritorno documentati.
  • È stata selezionata la variante più ristretta possibile, preferendo l’host anziché la rete.
  • Stato attuale salvato con show advanced-firewall.
  • Comando del preparato per ogni direzione pianificata.
  • Determinazione del biglietto, del proprietario, della finestra temporale e del tempo di smontaggio.

Durante la prova:

  • Bypass attivo solo per il periodo previsto.
  • Testare il traffico documentato con origine, destinazione, servizio e ora.
  • Acquisizione di pacchetti o registro del sistema di destinazione utilizzati come prova.
  • Nessuna rete o applicazione aggiuntiva interessata involontariamente.

Dopo la prova:

  • Rimosse tutte le voci di bypass con del.
  • show advanced-firewall non mostra regole di bypass impreviste.
  • Test ripetuto senza bypass o successivo problema documentato.
  • Soluzione permanente pianificata come regola normale, policy, NAT, adeguamento del routing o dell’ispezione.
  • Aggiornata biglietteria e documentazione operativa.

Errori tipici

  • Reti usate troppo larghe: Più traffico del previsto bypassa il firewall.
  • Ho dimenticato la direzione inversa: L’applicazione funziona solo parzialmente o in modo asimmetrico.
  • Regola non rimossa: Si crea un divario di protezione permanente.
  • Nessun biglietto o commento: Successivamente non è chiaro il motivo per cui esiste la tangenziale.
  • È previsto il visualizzatore di log come prova: Il traffico non appare come le normali decisioni del firewall.
  • Bypass utilizzato al posto dell’eccezione mirata: Le funzionalità di sicurezza vengono disattivate inutilmente.
  • Finestra di modifica senza manutenzione: Gli errori hanno un effetto produttivo immediato.

Domande frequenti

Ist eine Bypass-Regel dasselbe wie eine Allow-Regel?

No. Una normale regola di autorizzazione consente il traffico all’interno delle regole del firewall e può applicare registrazione, IPS, filtro Web, controllo delle applicazioni o altre funzionalità di sicurezza. Una regola di bypass ignora il normale percorso del firewall con stato per le reti definite.

Sieht man Bypass-Traffic im Log Viewer?

Non come il normale traffico del firewall. Questo è esattamente il motivo per cui una regola di aggiramento non dovrebbe essere utilizzata come versione definitiva. L’acquisizione dei pacchetti è spesso un controllo migliore per i test.

Muss man beide Richtungen eintragen?

Se la tangenziale deve funzionare in entrambe le direzioni, sì. Ma la direzione dovrebbe essere decisa consapevolmente. Non tutte le eccezioni necessitano automaticamente di una regola generale.

Sollte man eine Bypass-Regel für Performance-Probleme verwenden?

Solo molto riservato. I problemi di prestazioni dovrebbero essere prima esaminati con l’analisi delle regole, l’ottimizzazione dell’ispezione IPS/filtro Web/TLS, il dimensionamento, FastPath, i registri e l’acquisizione dei pacchetti. Un bypass può nascondere un problema senza risolverne la causa.