Configurare e testare Sophos Firewall IPS
Intrusion Prevention System (IPS) è una delle funzioni di protezione più importanti su Sophos Firewall. IPS controlla il traffico alla ricerca di pattern di attacco noti, exploit e schemi di protocollo sospetti. Usato correttamente, protegge ulteriormente client, server, servizi pubblicati e collegamenti VPN insieme a regole firewall, Web Protection, Application Control e TLS Inspection.
Nella pratica, però, IPS non è un interruttore da attivare ovunque al massimo livello. Una IPS Policy errata o troppo ampia può interrompere traffico legittimo, disturbare il VoIP, consumare prestazioni o generare falsi allarmi. IPS va quindi attivato in modo pianificato, selezionato in modo adeguato per ogni regola e poi controllato con log e test.
Quale articolo di Security Inspection è adatto?
IPS è solo un elemento di Security Inspection. A seconda del problema o dell’obiettivo di rollout, un altro articolo può essere più adatto:
| Attività | Articolo adatto |
|---|---|
| Attivare IPS, scegliere una policy e verificare i falsi positivi | Questo articolo |
| Gestire categorie web, Web Policies e traffico web degli utenti | Configurare Sophos Firewall Web Protection con Web Policies |
| Decifrare e controllare il traffico web cifrato | Introdurre correttamente Sophos Firewall TLS Inspection |
| Verificare file e download tramite sandbox o ML | Comprendere e gestire Sophos Firewall Zero-Day Protection |
| Bloccare IP, domini o URL malevoli noti | Configurare e gestire in sicurezza Sophos Firewall Threat Feeds |
| Ridurre semplici pattern di spoofing o flooding | Verificare Sophos Firewall Spoof Protection e DoS Settings |
| Proteggere server raggiungibili pubblicamente con NAT e IPS | Pubblicare server tramite DNAT su Sophos Firewall |
| Analizzare drop inattesi, rule ID o IPS policy ID | Analizzare i pacchetti scartati su Sophos Firewall |
La logica di protezione resta così comprensibile: le regole firewall limitano il traffico consentito, IPS controlla questo traffico alla ricerca di pattern di attacco, Web Protection gestisce i contenuti web, TLS Inspection aumenta la visibilità su HTTPS e Zero-Day Protection completa i controlli su file e download.
Quando IPS è utile
IPS è particolarmente utile dove il traffico presenta un rischio maggiore o dove gli exploit noti devono essere bloccati tempestivamente.
Ambiti di utilizzo tipici:
- Reti client con accesso Internet
- Reti server e DMZ
- Regole DNAT verso server interni
- Traffico VPN site-to-site tra sedi
- Traffico Remote Access quando, dopo la connessione VPN, si accede a sistemi interni
- VoIP, solo con scelta prudente della policy e test
- segmenti particolarmente critici come reti di management, backup o infrastruttura
Per i server pubblicati, IPS deve sempre essere considerato insieme a NAT pulito, regole firewall strette, logging e patch management. L’articolo Pubblicare server tramite DNAT su Sophos Firewall spiega il contesto corretto per NAT e regole firewall. Per la struttura di base delle regole è adatto Comprendere e configurare correttamente le regole Sophos Firewall.
Requisiti
IPS funziona solo se sono soddisfatti i requisiti necessari.
Da verificare prima del rollout:
- È disponibile una subscription Network Protection attiva o una licenza trial.
- IPS Protection è attivo in Intrusion prevention > IPS policies.
- I pattern updates funzionano e il firewall può raggiungere i servizi di aggiornamento Sophos.
- Le regole firewall contengono IPS Policies adatte in Detect and prevent exploits (IPS).
- Il logging è attivo per le regole e i tipi di log interessati.
- Esiste un processo per falsi positivi, eccezioni e adattamenti delle policy.
Se la subscription Network Protection scade, l’interruttore IPS può continuare a sembrare attivo anche se IPS non viene più applicato. Se IPS viene disattivato manualmente o dopo la scadenza di un trial, firme, aggiornamenti e possibilità di configurazione possono essere limitati a seconda dello stato. Prima della disattivazione conviene quindi pianificare un backup o un export della configurazione IPS.
Attenzione: IPS dipende da licenza e aggiornamenti. Una regola firewall con IPS Policy selezionata non significa automaticamente che IPS stia realmente proteggendo. Stato della licenza, attivazione globale di IPS, firme e log devono essere verificati.
Attivare IPS globalmente
L’attivazione globale avviene nell’interfaccia web di Sophos Firewall:
- Aprire Intrusion prevention > IPS policies.
- Attivare IPS Protection.
- Verificare gli avvisi di licenza.
- Attendere che le firme siano disponibili.
- Controllare le policy standard esistenti.
- Se necessario, clonare una policy personalizzata da una policy esistente.
Modifiche a determinate funzioni di accelerazione possono riavviare IPS. Per questo tali modifiche non dovrebbero essere effettuate durante un’analisi di errore in produzione o in una finestra di manutenzione stretta senza un piano.
Scegliere la IPS Policy corretta
Le IPS Policies devono corrispondere al traffico. La policy più severa non è automaticamente la migliore.
| Traffico | Orientamento IPS tipico | Verifica importante |
|---|---|---|
| Client verso Internet | Policy client o LAN-to-WAN | Considerare anche Web, Application Control e TLS Inspection |
| Internet verso server interno tramite DNAT | Policy server o web server | Osservare attentamente sistema di destinazione, porte e falsi positivi |
| VPN di sede | Policy in base a sistemi sorgente e destinazione | Testare prestazioni, MTU/MSS e applicazioni |
| VoIP | molto prudente e specifica | SIP/RTP non deve rompersi a causa di firme troppo aggressive |
| Reti di management | mirata e restrittiva | Testare accessi admin, monitoring e traffico di backup |
Una IPS Policy personalizzata è utile quando una policy standard è troppo ampia o quando servono solo determinate firme con un’azione adattata. Tuttavia non bisogna disattivare firme senza criterio. Prima deve essere chiaro quale traffico è interessato, quale firma si è attivata e se si tratta davvero di un falso positivo.
Creare in modo pulito IPS Policies personalizzate
Le IPS Policies personalizzate devono essere clonate da una policy esistente e poi adattate in modo mirato. Le regole di IPS Policy contengono firme e un’azione. Il firewall valuta queste regole dall’alto verso il basso. Una regola troppo ampia sopra una regola specifica può quindi coprire il comportamento desiderato.
Per le firme sono particolarmente importanti questi campi:
| Campo | Significato operativo |
|---|---|
| SID | ID firma univoco per log, ticket ed eccezioni |
| Category | area tecnica, per esempio browser, sistema operativo, DNS, RPC o malware |
| Severity | gravità della minaccia |
| Platform | piattaforma target, per esempio Windows, Linux o componenti legati al browser |
| Target | firma relativa a client o server |
| Recommended action | azione standard raccomandata da Sophos |
L’azione in una regola di policy può sovrascrivere l’azione raccomandata della firma. È utile, ma rischioso. Un Allow packet, Disable o Bypass session generico può rimuovere protezione senza che ciò sia subito evidente nella gestione quotidiana.
Gestione pratica delle azioni:
| Azione | Quando può avere senso | Rischio |
|---|---|---|
| Recommended | Standard per la maggior parte delle regole produttive | Il comportamento dipende dalla firma |
| Allow packet | Osservazione senza blocco, per esempio in pilot | L’attacco non viene impedito |
| Drop packet | Scartare singoli pacchetti | Può disturbare applicazioni |
| Drop session | Terminare la sessione quando si vuole impedire un attacco | Intervento più forte nel traffico produttivo |
| Reset | Resettare attivamente la sessione TCP | Utente o applicazione vede interruzioni nette |
| Disable | Disattivare la firma | La protezione viene meno per questa firma |
| Bypass session | Non analizzare più il resto della sessione | Può escludere dall’ispezione più traffico del previsto |
Per le policy produttive è quindi utile una breve nota di modifica: quale firma è stata cambiata, perché, in quale policy, per quale regola firewall e fino a quando l’adattamento verrà riesaminato.
Usare IPS nelle regole firewall
IPS non viene solo attivato globalmente. La policy deve essere usata anche nella regola firewall corretta.
- Aprire Rules and policies > Firewall rules.
- Modificare o creare la regola rilevante.
- In Other security features, attivare Detect and prevent exploits (IPS).
- Selezionare la IPS Policy adatta.
- Attivare il logging della regola.
- Salvare la modifica.
- Testare il traffico in modo controllato.
Con più regole sovrapposte, l’ordine è decisivo. Se il traffico viene intercettato da una regola senza IPS, l’IPS Policy in una regola successiva non aiuta. In questi casi, La regola Sophos Firewall non viene applicata: verificare le cause è l’articolo successivo più adatto.
Rollout in ambienti produttivi
IPS dovrebbe essere introdotto gradualmente.
1. Iniziare con regole pilota
Prima scegliere una regola piccola e ben conosciuta, per esempio una rete client di test o una singola regola DNAT. Poi controllare i log e testare con applicazioni reali.
2. Valutare gli eventi
Nel Log viewer, filtrare gli eventi IPS. Sono importanti sorgente, destinazione, servizio, regola, firma, azione e ora. Se sono coinvolti più moduli di protezione, occorre considerare insieme Web, Application Control, SSL/TLS Inspection e log firewall.
3. Delimitare i falsi positivi
Se viene bloccato traffico legittimo, non bisogna disattivare subito IPS globalmente. È meglio un’analisi stretta:
- Quale firma si è attivata?
- Quale applicazione o servizio era interessato?
- Riguarda un host, una rete o solo una porta?
- Il sistema di destinazione è aggiornato?
- È possibile una regola firewall più stretta?
- Basta una IPS Policy adattata invece di un’eccezione globale?
4. Estendere gradualmente
Solo quando la regola pilota è stabile, IPS dovrebbe essere esteso ad altre regole. Soprattutto per VoIP, sistemi ERP, protocolli industriali, collegamenti VPN e applicazioni datate servono finestre di test e un piano di rollback.
Controllare eccezioni e modifiche delle firme
Le eccezioni IPS sono decisioni di sicurezza. Se una firma disturba traffico legittimo, può essere necessario un adattamento. Tuttavia non bisogna indebolire di riflesso l’intera IPS Policy o disattivare IPS sulla regola. Prima deve essere chiaro se si tratta davvero di un falso positivo o se la firma rende visibile un rischio reale.
Prima di un’eccezione raccogliere almeno:
| Informazione | Perché è importante |
|---|---|
| ID firma e nome firma | mostra quale rilevamento si è attivato |
| Sorgente, destinazione, servizio e regola firewall | delimita il traffico interessato |
| Ora e frequenza | distingue un evento singolo da uno schema ricorrente |
| Applicazione o protocollo | aiuta a valutare se il traffico è legittimo |
| Livello patch del sistema di destinazione | riduce il rischio di consentire un exploit reale |
| Packet Capture o estratto log | fornisce evidenza prima della modifica della policy |
Se un’eccezione è necessaria, deve essere impostata nel modo più stretto possibile:
- disattivare una singola firma invece di un’intera categoria
- usare una IPS Policy personalizzata esattamente per la regola firewall interessata
- verificare l’ordine delle regole della policy, affinché regole specifiche non siano coperte da regole ampie
- restringere sorgente, destinazione e servizio nella regola firewall
- documentare l’eccezione con motivo, owner e data di review
- dopo la modifica, verificare che sia interessato solo il traffico atteso
Un’eccezione temporanea è spesso migliore di una disattivazione permanente. Dopo un update applicativo, firmware update o patch del sistema di destinazione, l’eccezione deve essere verificata di nuovo. Se molte firme disturbano la stessa applicazione, di solito una policy dedicata o una segmentazione pulita è meglio di una grande eccezione globale.
Logging e troubleshooting
Per l’analisi IPS servono più prospettive.
| Strumento | A cosa serve |
|---|---|
Log viewer | Eventi IPS, firma, azione, sorgente, destinazione, regola |
ips.log | indicazioni più profonde su decisioni IPS, DPI e Application Control |
| Packet Capture | flusso pacchetti, rule ID, NAT ID, IPS policy ID e direzione |
| Test regola | verifica quale regola firewall corrisponde davvero |
| Syslog o Central Reporting | conservazione più lunga e correlazione |
L’articolo Troubleshooting Sophos Firewall: servizi e log inquadra ips.log e i file di log correlati. Per la combinazione di Log Viewer e Packet Capture è adatto Testare una regola Sophos Firewall con Log Viewer e Packet Capture. Se i pacchetti vengono scartati in modo inatteso, aiuta Analizzare i pacchetti scartati su Sophos Firewall.
Considerare le prestazioni
IPS consuma risorse. L’aumento del carico dipende da modello, traffico, firme attive, TLS Inspection, Application Control, VPN, dimensione dei pacchetti e throughput.
Prima e dopo l’attivazione verificare:
- Carico CPU e memoria
- Carico relativo a IPS e DPI
- Throughput sulle interfacce interessate
- Latenza e retransmit nelle applicazioni critiche
- Volume dei log e carico syslog
- Messaggi di utenti o applicazioni dopo la modifica
Se si sospetta un problema di throughput, non bisogna semplicemente disattivare IPS e chiudere il caso. È meglio un confronto con un metodo di test chiaro, per esempio tramite Interpretare correttamente i dati prestazionali di Sophos Firewall e Testare le prestazioni Sophos Firewall con iPerf.
Errori tipici
- IPS Protection è disattivato globalmente.
- Network Protection è scaduto o non attivo.
- Nella regola firewall non è selezionata alcuna IPS Policy.
- Il traffico corrisponde a una regola diversa da quella prevista.
- Il logging è disattivato sulla regola interessata.
- Una policy server viene applicata a traffico client o viceversa.
- VoIP o protocolli speciali vengono ispezionati con una policy aggressiva senza fase pilota.
- I falsi positivi vengono risolti con disattivazione globale invece che con adattamento mirato.
- Le firme vengono disattivate senza evidenza, owner o data di review.
- Dopo la scadenza del trial non si verifica se firme o policies sono ancora disponibili.
- I problemi di performance non vengono confrontati con misure prima e dopo la modifica.
Checklist operativa
- Network Protection o licenza trial verificata.
- IPS Protection attivato in Intrusion prevention > IPS policies.
- Firme e pattern updates verificati.
- IPS Policy adatta scelta per ogni regola firewall.
- Logging della regola attivato.
- Regola pilota testata con traffico reale.
Log viewereips.logverificati.- Processo per falsi positivi definito.
- Eccezioni IPS documentate in modo stretto e poi riesaminate.
- Le IPS Policies personalizzate non contengono regole
Allow,DisableoBypass sessionnon motivate. - Performance confrontate prima e dopo l’attivazione.
- Eccezioni critiche documentate e provviste di data di review.
FAQ
IPS deve essere attivato globalmente e nella regola firewall?
Quale licenza richiede Sophos Firewall IPS?
Bisogna sempre usare la IPS Policy più severa?
Dove si vedono gli eventi IPS?
Log viewer. Per un’analisi più approfondita è rilevante anche ips.log. Packet Capture aiuta a classificare il flusso pacchetti, la regola e l’IPS policy ID.