Sophos Firewall Black Hole DNAT: bloccare IP
Appena dei servizi sono raggiungibili da Internet, di solito compare rapidamente traffico indesiderato: port scan, tentativi di login, botnet note o accessi da paesi da cui non ci si aspetta alcun utente. Su Sophos Firewall queste fonti possono essere bloccate su più livelli.
Questo articolo spiega due varianti tipiche:
- bloccare paesi o reti sorgente con una Firewall Rule
- tradurre fonti indesiderate nel vuoto con una Black Hole DNAT Rule
Inoltre consigliamo Sophos Firewall Threat Feeds, così IP, domini o URL malevoli conosciuti possono essere bloccati automaticamente.
Quale metodo usare e quando?
| Metodo | Adatto per | Uso tipico |
|---|---|---|
Firewall Rule con Drop | Bloccare traffico in base a Source Country, Source Network o Source Host | Bloccare paesi, bloccare singole reti, mantenere manualmente liste di Bad IP note |
| Black Hole DNAT | Reindirizzare traffico indesiderato verso un IP interno inesistente | Intercettare in anticipo traffico verso servizi pubblicati |
| WAF Blocked countries | Server web pubblicati tramite WAF | Bloccare paesi direttamente in una regola WAF |
| Threat Feeds | Liste dinamiche di fonti malevole conosciute | Bloccare automaticamente botnet, scanner, infrastruttura malware e IP di attaccanti noti |
Il metodo giusto dipende da dove viene elaborato tecnicamente il traffico. Sophos indica che le Firewall Rules non si applicano sempre al traffico diretto a una Hosted Address usata nel WAF. In questi casi una regola paese WAF o una Black Hole DNAT Rule è spesso più adatta.
Bloccare paesi con una Firewall Rule
Per un Country Blocking generale si può creare una Firewall Rule con Drop.
Percorso menu:
Rules and policies > Firewall rules
Campi consigliati:
| Campo | Valore |
|---|---|
| Rule name | nome descrittivo, per esempio BLOCK_COUNTRY_PANAMA |
| Rule position | Top |
| Action | Drop |
| Source zones | Any |
| Source networks and devices | paese, gruppo di paesi, lista IP o gruppo host |
| During scheduled time | All the time |
| Destination zones | Any |
| Destination networks | Any |
| Services | Any o un servizio definito |
Per il Country Blocking è importante non impostare Source zones e Destination zones in modo troppo restrittivo. Se come Source zone viene indicato solo WAN, la regola potrebbe non applicarsi a tutti i percorsi di traffico rilevanti.
Black Hole DNAT per fonti indesiderate
Una Black Hole DNAT Rule traduce il traffico verso una destinazione che non esiste nella rete. Il traffico finisce quindi nel vuoto e non raggiunge il servizio reale.
Questo è particolarmente utile quando un servizio viene pubblicato tramite DNAT e si vogliono intercettare determinate fonti prima del vero port forwarding.
Esempio:
| Campo | Valore |
|---|---|
| Rule name | BLOCK_BAD_IPS_COUNTRIES |
| Rule position | Top |
| Original source | lista Bad IP, paese o gruppo di paesi |
| Original destination | IP WAN pubblico o oggetto host WAN |
| Original service | Any o il servizio pubblicato |
| Translated source (SNAT) | Original |
| Translated destination (DNAT) | host fittizio inesistente |
| Translated service (PAT) | Original |
| Inbound interface | Any |
| Outbound interface | Any |
L’host fittizio dovrebbe usare un indirizzo IP che non esiste nella rete e non viene instradato. È importante che questa regola stia sopra le vere regole DNAT. Le regole NAT vengono elaborate dall’alto verso il basso. Se prima corrisponde la normale regola DNAT, la Black Hole DNAT Rule arriva troppo tardi.
Perché l’ordine è decisivo
Nelle regole NAT vince la prima regola che corrisponde. Una Black Hole DNAT Rule deve quindi stare molto in alto, di solito in cima alla tabella NAT.
Ordine di esempio:
- Black Hole DNAT per lista Bad IP e paesi bloccati
- regole DNAT specifiche per servizi pubblicati
- regole SNAT speciali
- regola MASQ generale per traffico in uscita
Lo stesso principio vale per le Firewall Rules: le regole di blocco specifiche devono stare sopra le regole allow generali. In caso contrario il traffico potrebbe essere già autorizzato prima che la regola Drop venga controllata.
Non lasciare Source su Any senza motivo
Per i servizi pubblicati, la Source va limitata il più possibile.
Fonti sensate possono essere:
- singoli indirizzi IP pubblici
- reti di partner o sedi remote
- paesi dai quali ci si aspetta accesso
- FQDN Hosts o DNS Host Groups, se appropriato
- Host Groups mantenuti con indirizzi IP amministrativi consentiti
Any ha senso solo se il servizio deve essere davvero raggiungibile in tutto il mondo. In quel caso bisogna attivare misure di protezione aggiuntive: logging, IPS, MFA dove possibile, autenticazione forte, sistemi di destinazione aggiornati e Threat Feeds.
Usare anche i Threat Feeds
Le liste manuali e le regole per paese sono statiche. L’infrastruttura degli attaccanti cambia però continuamente. Per questo consigliamo anche Sophos Firewall Threat Feeds.
I Threat Feeds aiutano soprattutto con:
- indirizzi IP di scanner conosciuti
- botnet
- infrastruttura malware
- host compromessi
- liste Bad IP mantenute dinamicamente
Così non bisogna mantenere manualmente ogni singolo IP. Il firewall può bloccare fonti note come malevole prima che raggiungano il servizio pubblicato.
Errori tipici
| Errore | Effetto |
|---|---|
| Black Hole DNAT si trova sotto la normale regola DNAT | La normale regola DNAT corrisponde per prima e la regola di blocco non si applica |
| La destinazione fittizia esiste davvero nella rete | Il traffico arriva inaspettatamente su un sistema reale |
| La Source viene mantenuta diversamente nella regola NAT e nella Firewall Rule | Le regole diventano difficili da capire e divergono |
| Country Blocking viene usato come unica protezione | Bot da paesi consentiti possono comunque attaccare |
| Il logging è disattivato | In Log Viewer non è chiaro quale regola abbia corrisposto |
Troubleshooting
Se una regola di blocco non si applica, bisogna controllare in questo ordine:
- La regola NAT o Firewall Rule si trova davvero sopra le regole allow?
- L’IP sorgente corrisponde alla lista Bad IP o al paese scelto?
- Il traffico viene elaborato da una regola WAF, DNAT o Firewall Rule?
- Il logging è attivo sulla Firewall Rule interessata?
- Log Viewer mostra il Firewall Rule ID o NAT Rule ID atteso?
- Il traffico è visibile in Diagnostics > Packet capture?
Per l’analisi aiutano anche Firewall Rule non corrisponde: verificare ordine, matching e log, Usare Packet Capture in WebAdmin e Capire NAT su Sophos Firewall: SNAT, DNAT, MASQ, PAT.