Vai al contenuto
Avanet

Configurare e testare il controllo delle applicazioni su Sophos Firewall

Sophos Firewall

Application Control su Sophos Firewall riconosce le applicazioni indipendentemente dal semplice porto. Ciò consente, ad esempio, di consentire, bloccare o registrare in modo mirato strumenti di controllo remoto, applicazioni di tunneling, streaming, archiviazione cloud, messenger o bypass del browser rischiosi.

Il vantaggio pratico si manifesta solo quando Application Control è attivo nella regola del firewall corretta, l’applicazione viene effettivamente riconosciuta e i log vengono analizzati. Una policy di filtro delle applicazioni salvata da sola non blocca nulla.

Risposta breve

Application Control viene utilizzato in due passaggi:

  1. Pianificare o creare una policy di filtro delle applicazioni sotto Protect > Applications > Application filter.
  2. Nella regola del firewall appropriata, selezionare Identify and control applications (App control) sotto Other security features.

Successivamente, è necessario verificare con un client di test reale se il traffico passa attraverso questa regola e se l’applicazione viene riconosciuta correttamente nel Log Viewer. In caso di traffico crittografato, l’ispezione TLS può essere decisiva, poiché altrimenti il firewall vede meno dettagli a seconda dell’applicazione.

Quando è utile Application Control

Application Control è particolarmente utile quando i porti da soli non sono sufficientemente indicativi. Molte applicazioni utilizzano HTTPS, destinazioni variabili o infrastrutture cloud. Una regola basata solo sui porti vede quindi solo 443, ma non se dietro c’è un servizio aziendale consentito, uno strumento di controllo remoto o un archivio cloud indesiderato.

Casi d’uso tipici:

  • Bloccare TeamViewer, AnyDesk, Tor o strumenti proxy
  • Limitare lo streaming o i social media in determinate reti
  • Controllare l’archiviazione cloud
  • Limitare messenger o giochi in reti ospiti o scolastiche
  • Attivare il riconoscimento delle applicazioni per report e analisi
  • Preparare il Traffic Shaping per le applicazioni riconosciute

Se non si tratta di riconoscimento o blocco, ma di prioritizzazione o limitazione della larghezza di banda, è possibile configurare anche Application Traffic Shaping su Sophos Firewall.

Prerequisiti

Prima della configurazione, dovrebbero essere verificati i seguenti punti:

  • licenza appropriata con Web Protection o Application Control
  • regola del firewall interessata è nota
  • Log firewall traffic è attivo per la regola di test
  • applicazione o categoria desiderata è chiaramente definita
  • client di test e obiettivo di test sono definiti
  • per le applicazioni HTTPS è chiaro se utilizzare l’ispezione TLS

Lo stato della licenza può essere verificato sotto System > Administration > Licensing. Nei tipici pacchetti Sophos Firewall con Web Protection è incluso Application Control. Tuttavia, la logica della licenza specifica dovrebbe essere controllata prima dell’introduzione in produzione, specialmente in caso di abbonamenti scaduti o licenze di prova.

Pianificare il filtro delle applicazioni

Un buon filtro delle applicazioni non è semplicemente una lunga lista di blocco. Prima di tutto, dovrebbe essere chiaro cosa si vuole ottenere.

ObiettivoApproccio tipico
bloccare strumenti di controllo remoto rischiosibloccare applicazioni o categorie mirate
limitare il Wi-Fi per gli ospitibloccare categorie indesiderate, lasciare aperti i servizi di base consentiti
solo registrare l’applicazioneutilizzare inizialmente Allow con logging e report
evitare falsi positiviselezione più ristretta delle applicazioni invece di una categoria ampia
prioritizzare applicazioni critiche per il businesscombinare Application Control con Traffic Shaping

Per le reti produttive, una modalità di osservazione è spesso utile: attivare prima Application Control, controllare i log e i report, quindi bloccare in modo mirato. In questo modo si vede quali applicazioni sono effettivamente presenti e se un blocco disturberebbe processi legittimi.

Pianificare il rollout in fasi

Application Control non dovrebbe essere attivato in un unico grande passo per tutte le reti. È meglio un rollout graduale con un gruppo di test chiaro, logging visibile e una decisione definita su quando passare dall’osservazione al blocco.

Un processo praticabile:

FaseObiettivoImpostazione tipica
Inventarioscoprire quali applicazioni sono effettivamente presentiFiltro delle applicazioni con logging, ancora senza blocco ampio
Pilotaverificare utenti selezionati o una rete di testbloccare singole applicazioni rischiose, controllare attentamente ID regola e log
Messa in produzioneapplicare la policy confermata alla rete di destinazioneattivare il filtro nella regola produttiva, documentare le eccezioni
Operativitàmonitorare effetti e effetti collateralicontrollare regolarmente report, Log Viewer, Central Reporting o Syslog

Prima della messa in produzione, dovrebbe essere chiaro quali applicazioni devono rimanere consentite. Questi includono spesso servizi di aggiornamento, supporto remoto, strumenti di collaborazione, archiviazione cloud, telefonia o applicazioni specifiche del settore. Se queste dipendenze diventano visibili solo dopo il blocco, Application Control appare rapidamente come un fattore di disturbo anziché una funzione di protezione.

Per l’accettazione, vale la pena avere una breve lista di decisioni: quale applicazione viene bloccata, quale gruppo di utenti è interessato, quale eccezione è consentita, chi è il proprietario tecnico e quando la policy verrà riesaminata? Questa documentazione è più importante di un primo filtro perfetto.

Creare un filtro delle applicazioni

Percorso del menu:

Protect > Applications > Application filter

Procedura:

  1. Aprire Add.
  2. Assegnare un nome significativo, ad esempio Block_Remote_Control_Tools.
  3. Aggiungere una regola all’interno del filtro.
  4. Selezionare applicazione, categoria, rischio o filtro intelligente.
  5. Impostare l’azione, ad esempio Deny, Allow o controllo appropriato a seconda della versione.
  6. Salvare il filtro.

Con le categorie bisogna essere cauti. Una categoria ampia può colpire più applicazioni del previsto. Per i primi test, singole applicazioni o gruppi chiaramente definiti sono spesso migliori di un grande blocco collettivo.

Attivare nella regola del firewall

Application Control ha effetto solo quando il filtro è selezionato in una regola del firewall.

Percorso del menu:

Protect > Rules and policies > Firewall rules

Procedura:

  1. Aprire la regola del firewall attraverso cui passa effettivamente il traffico interessato.
  2. Aprire la sezione Other security features.
  3. Selezionare il filtro delle applicazioni in Identify and control applications (App control).
  4. Attivare Log firewall traffic, almeno per test e accettazione.
  5. Salvare la regola.
  6. Testare con un client definito.

L’ordine delle regole è cruciale. Se il traffico viene già elaborato da una regola più generale in alto, non raggiunge la regola con Application Control. In tal caso, la configurazione nel WebAdmin sembra corretta, ma non ha effetto.

Le basi su Source, Destination, Services, Security Features e ordine delle regole sono disponibili in Comprendere e configurare in modo sicuro le regole del firewall Sophos.

Ispezione TLS e riconoscimento

Application Control può riconoscere determinate applicazioni anche senza un’ispezione TLS completa. Tuttavia, con molti servizi moderni HTTPS e cloud, il firewall senza decrittazione vede solo informazioni limitate come indirizzo IP, SNI, dati del certificato, nome host o metadati della connessione.

Questo non è sufficiente in ogni caso per un riconoscimento affidabile. Se un’applicazione tramite HTTPS non viene riconosciuta come previsto, si dovrebbe verificare:

  • il traffico passa attraverso la regola del firewall corretta?
  • Application Control è attivo in questa regola?
  • l’applicazione è generalmente riconosciuta da Sophos?
  • l’ispezione TLS è necessaria e accettabile per questo traffico?
  • ci sono QUIC o HTTP/3 che rendono il controllo più difficile?
  • Web Policy, IPS o DNS Protection intervengono ulteriormente?

L’ispezione TLS dovrebbe essere introdotta gradualmente e con eccezioni. La procedura appropriata è descritta in Introdurre correttamente l’ispezione TLS su Sophos Firewall. Per QUIC e HTTP/3, vedere Bloccare correttamente il protocollo QUIC e HTTP/3 su Sophos Firewall.

Testare l’efficacia

Dopo l’attivazione, non si dovrebbe solo aspettare il feedback degli utenti. Un test accurato risparmia molto tempo.

Procedura pratica:

  1. Definire il client di test e l’IP di origine.
  2. Avviare consapevolmente l’applicazione o accedere all’obiettivo.
  3. Nel Log viewer, filtrare per IP di origine, destinazione, servizio e applicazione.
  4. Verificare quale ID regola del firewall è stato colpito.
  5. Verificare se Application Control riconosce l’applicazione.
  6. In caso di blocco, verificare se il blocco è voluto tecnicamente.
  7. In caso di riconoscimento incerto, integrare Packet Capture e log dei servizi.

Application Control utilizza frequentemente ips.log nel percorso tecnico. L’assegnazione dei log è descritta in Risoluzione dei problemi di Sophos Firewall: Servizi e log. Per la delimitazione con Log Viewer e Packet Capture, vedere Testare le regole del firewall Sophos con Log Viewer, Policy Test e Packet Capture.

Gestire correttamente i falsi positivi

Se Application Control blocca il traffico legittimo, non si dovrebbe disattivare immediatamente l’intero filtro.

Ordine sensato:

  1. Documentare l’applicazione interessata e la voce di log.
  2. Verificare quale regola del firewall e quale filtro delle applicazioni sono coinvolti.
  3. Verificare applicazione, categoria e azione nel filtro.
  4. Verificare se l’applicazione viene riconosciuta diversamente tramite ispezione TLS.
  5. Impostare l’eccezione il più strettamente possibile: applicazione, rete di origine, gruppo di utenti o destinazione.
  6. Documentare il proprietario e la data di revisione per l’eccezione.

Un’eccezione per Any o una categoria ampia risolve spesso rapidamente il caso attuale, ma indebolisce il controllo in modo permanente. È meglio un’eccezione piccola e giustificabile con una chiara motivazione.

Errori tipici

ErroreEffettoApproccio migliore
Filtro delle applicazioni creato, ma non selezionato nella regolanessun effetto sul trafficoAttivare il filtro nella vera regola del firewall
Il traffico passa attraverso un’altra regolaIl filtro non viene mai raggiuntoVerificare l’ID regola nel Log Viewer
Categoria troppo ampia bloccataServizi cloud o aziendali legittimi colpitiUtilizzare singole applicazioni o gruppi più ristretti
Riconoscimento HTTPS sopravvalutatoL’applicazione non viene riconosciuta in modo affidabileVerificare ispezione TLS e comportamento QUIC
Mancanza di loggingL’effetto rimane invisibileAttivare il logging delle regole per test e operatività
Eccezione troppo ampiaLa funzione di protezione viene praticamente annullataImpostare eccezioni strette e con data di revisione

Controllo operativo

Application Control dovrebbe essere controllato regolarmente. Le applicazioni cambiano, i servizi cloud utilizzano nuovi endpoint, gli utenti utilizzano nuovi strumenti e le firme vengono aggiornate.

Dovrebbe essere documentato:

  • Scopo del filtro delle applicazioni
  • Regole del firewall interessate
  • Applicazioni bloccate o consentite
  • Eccezioni conosciute
  • Proprietario tecnico
  • Data di revisione
  • Ultima modifica rilevante

Se Application Control viene utilizzato per applicazioni aziendali critiche, reti scolastiche o requisiti di conformità, dovrebbero essere controllati anche Central Reporting, Syslog o SIEM. Per la valutazione centrale, vedere Attivare Central Firewall Reporting o Configurare Syslog e SIEM su Sophos Firewall.

Checklist

  • Stato della licenza verificato.
  • Regola del firewall interessata chiaramente identificata.
  • Filtro delle applicazioni creato con uno scopo chiaro.
  • Filtro selezionato nella regola del firewall corretta.
  • Logging delle regole attivo.
  • Client di test e applicazione di test definiti.
  • Log Viewer controllato per ID regola e Application Control.
  • Ispezione TLS e QUIC valutati, se il riconoscimento HTTPS è incerto.
  • Eccezioni documentate in modo stretto.
  • Data di revisione impostata.

Domande frequenti

Dove si attiva Application Control su Sophos Firewall?

Si crea o si seleziona un filtro delle applicazioni sotto Protect > Applications > Application filter e lo si attiva successivamente nella regola del firewall appropriata sotto Other security features > Identify and control applications (App control).

Perché Application Control non funziona?

Spesso il traffico passa attraverso un’altra regola del firewall, il filtro delle applicazioni non è attivo nella regola, manca il logging o l’applicazione non viene riconosciuta in modo affidabile senza ispezione TLS.

Application Control necessita di ispezione TLS?

Non sempre. Alcune applicazioni possono essere riconosciute anche senza decrittazione completa. Tuttavia, con servizi moderni HTTPS e cloud, l’ispezione TLS può essere necessaria affinché il firewall veda abbastanza dettagli.

Application Control è lo stesso del Web Filtering?

No. Il Web Filtering valuta siti web, categorie e URL. Application Control riconosce applicazioni e protocolli. In ambienti HTTPS moderni, i temi si sovrappongono, ma rimangono punti di controllo distinti.

Si può utilizzare Application Control per il Traffic Shaping?

Sì. Application Control può riconoscere applicazioni che possono poi essere priorizzate o limitate. La procedura è descritta in Configurare Application Traffic Shaping su Sophos Firewall.