Vai al contenuto
Avanet

Configurare Sophos Firewall dopo il Setup Wizard

Sophos Firewall

Sophos Firewall è il cuore di una delle migliori piattaforme di sicurezza di rete al mondo. Questo articolo descrive i passaggi per mettere in funzione una nuova Sophos Firewall e configurarla correttamente. Vengono trattati i requisiti per la configurazione, la registrazione della firewall, l’integrazione con Sophos Central e l’attivazione delle licenze.

Naturalmente con un video è più semplice, e Sophos ne ha già creato uno utile.

Sophos Firewall: configurazione di base e registrazione

Requisiti per la configurazione

Prima di iniziare la configurazione della Sophos Firewall, devono essere soddisfatti alcuni requisiti:

  1. Connessione Internet attiva: la firewall ha bisogno di una connessione Internet funzionante per registrazione e sincronizzazione delle licenze.
  2. Configurazione DNS: deve essere configurato un server DNS pubblico, ad esempio 8.8.8.8 (Google DNS).
  3. Porta 443 consentita: il traffico in uscita sulla porta 443 deve essere consentito su tutti i dispositivi upstream.

È facoltativo creare in anticipo un account Sophos Central. Questo articolo mostra anche come completare questo passaggio durante la configurazione.

Connessioni e configurazione di rete

Dopo aver disimballato la Sophos Firewall, ad esempio un modello XGS 118, è necessario considerare quanto segue:

  1. Connessione WAN: collegare l’interfaccia WAN alla porta 2 per stabilire la connessione Internet.
  2. Connessione LAN: collegare l’interfaccia LAN sulla porta 1 a un dispositivo locale. Il dispositivo riceve automaticamente un indirizzo IP nella subnet 172.16.16.x.
  3. Interfaccia di management (se disponibile): sui modelli di fascia più alta è spesso presente una porta di management dedicata (MGMT) con IP predefinito 10.0.1.1. È consigliato usare questa porta per la configurazione di base.

Accesso all’interfaccia web

Per configurare Sophos Firewall si accede al Web UI tramite browser. A seconda dell’interfaccia utilizzata, si usa uno dei seguenti URL:

  • Porta LAN: https://172.16.16.16:4444
  • Porta Management: https://10.0.1.1:4444

Al primo accesso viene visualizzato un avviso relativo al certificato self-signed, che deve essere accettato. Successivamente si arriva alla pagina di benvenuto.

Configurazione iniziale con il Setup Wizard

  1. Impostare la password admin: deve essere assegnata e confermata una nuova password per l’utente admin.
  2. Aggiornamento firmware: se necessario, durante la configurazione viene installato automaticamente il firmware più recente.
  3. Secure Storage Master Key: viene creato un Master Key per l’archiviazione sicura, usato per cifrare dati sensibili. Questa chiave deve essere salvata in modo sicuro in un password manager. Serve, tra l’altro, quando un backup cifrato deve essere ripristinato su una nuova firewall. Se il Master Key viene perso, può essere reimpostato con password admin e accesso SSH. Tuttavia, dati o backup protetti con la vecchia chiave non possono essere automaticamente ripristinati senza ulteriori passaggi.

Verifica della connessione Internet e DNS

Nel passaggio successivo viene verificato se la firewall dispone di una connessione Internet funzionante. In caso di problemi, le impostazioni possono essere adattate manualmente. È consigliato usare un server DNS pubblico come 8.8.8.8.

Registrazione della Sophos Firewall

Sophos Firewall può essere registrata subito o in un secondo momento. Senza registrazione, la firewall può essere usata fino a 30 giorni. La registrazione avviene tramite la piattaforma Sophos Central.

Passaggi per la registrazione

  1. Claim della firewall in Sophos Central: dopo la registrazione, la firewall viene rivendicata in Sophos Central. Se non esiste ancora un account Sophos Central, può essere creato direttamente durante la configurazione.
  2. Registrazione OTP: per la registrazione viene usata una One-Time Password (OTP) fornita da Sophos Central.

Attivazione delle licenze

Dopo la registrazione, Sophos Firewall controlla le licenze presso il server licenze Sophos. Da ottobre 2024, di norma Sophos attiva direttamente le licenze al momento dell’acquisto. Se la firewall ha accesso a Internet, recupera automaticamente le informazioni di licenza aggiornate.

Con Avanet il processo è simile: quando viene acquistato un abbonamento Sophos Firewall, normalmente attiviamo noi le licenze. Se al momento dell’ordine viene richiesto un determinato momento di inizio, questo può essere considerato. Il server licenze Sophos è quindi già informato e la firewall può acquisire automaticamente la licenza dopo la registrazione.

Dopo la configurazione, verificare sotto Administration > Licensing che Base License, Support e le subscription acquistate siano visualizzati correttamente. Se la visualizzazione non è aggiornata, la sincronizzazione delle licenze può essere avviata manualmente con il pulsante di sincronizzazione.

Collegamento a Sophos Central

Per il funzionamento di una singola Sophos Firewall, Sophos Central non è obbligatorio. La firewall può essere gestita completamente in locale tramite WebAdmin. Sophos Central offre però diversi vantaggi quando queste funzioni vengono usate consapevolmente:

  • panoramica centrale di una o più firewall
  • accesso di management tramite Sophos Central senza pubblicare WebAdmin direttamente su Internet
  • archiviazione dei backup di configurazione in Sophos Central
  • Central Firewall Reporting con dati di log e report nel cloud
  • a seconda della licenza, maggiore conservazione dei log e funzioni di reporting aggiuntive
  • Synchronized Security con Sophos Endpoint, ad esempio Security Heartbeat e reazioni automatizzate per dispositivi compromessi

Importante: il collegamento al cloud non è obbligatorio. Chi desidera gestire localmente una sola firewall può continuare a farlo. Chi usa più prodotti Sophos o più firewall ottiene però con Sophos Central una visibilità nettamente migliore.

Maggiori informazioni sono disponibili in Collegare Sophos Firewall a Sophos Central: vantaggi e limiti.

Passaggi per il collegamento a Sophos Central

  1. Firewall Management in Sophos Central: nel dashboard Sophos Central, sotto “Firewall Management”, la firewall può essere aggiunta inserendo il numero di serie.
  2. Autenticazione OTP: un codice OTP viene usato per completare la registrazione.
  3. Attivare i servizi: infine vengono attivati i servizi Sophos Central sulla firewall.

Completamento della configurazione

Al termine della configurazione, la firewall si riavvia. Dopo il riavvio, le licenze possono essere controllate e attivate nuovamente. Inoltre vengono configurati backup automatici della configurazione, inviati settimanalmente via e-mail.

Cosa fare dopo il Setup Wizard

Dopo il Setup Wizard, Sophos Firewall è raggiungibile, registrata e sostanzialmente pronta all’uso. Questo però non significa che l’ambiente sia già segmentato correttamente o completamente sicuro. Il wizard crea una prima configurazione di base, ma il lavoro produttivo inizia dopo: interfacce, zone, Device Access, DNS, DHCP, Firewall Rules, NAT, log, backup e profili di protezione devono essere verificati consapevolmente.

Sophos Firewall non è un router consumer con cui si è finito dopo il wizard. Può proteggere molto bene una rete, ma solo se l’architettura è corretta: le zone devono rispecchiare la logica di sicurezza, gli accessi di management devono essere limitati, le regole devono essere create e documentate in modo consapevole, e funzioni come Webfilter, IPS, Application Control o TLS Inspection devono essere attivate e testate in modo mirato. Una firewall configurata male può generare un falso senso di sicurezza.

Il primo controllo utile è nel Control Center. Qui si vedono stato del sistema, traffico, informazioni su utenti e dispositivi, Active Threat Response, Firewall Rules attive, report e avvisi come nuovo firmware. Gli avvisi in quest’area non devono essere semplicemente ignorati, ma usati come checklist pratica per le attività successive.

Verificare firmware, licenza e backup

Aprire Backup & firmware e verificare se il firmware attivo è aggiornato. Gli aggiornamenti firmware sono rilevanti per la sicurezza perché includono bug fix, miglioramenti di stabilità e security fixes. Gli aggiornamenti non devono essere rimandati indefinitamente, ma non devono nemmeno essere installati senza preparazione.

Sophos Firewall lavora con due slot firmware. In caso di problemi è quindi possibile avviare una versione precedente. Tuttavia, prima di ogni modifica importante deve essere creato un backup manuale. Sulle firewall produttive si pianifica una finestra di manutenzione e si controllano release notes, stato HA, spazio libero, dipendenze VPN e raggiungibilità esterna.

Sotto Backup & firmware deve inoltre essere configurato un backup regolare. I backup cifrati richiedono una password di backup. Per il ripristino di dati sensibili è rilevante anche il Secure Storage Master Key. Questa chiave deve essere salvata in un password manager. Se viene persa, può essere reimpostata tramite console, ma i backup protetti esistenti non possono più essere ripristinati normalmente con la nuova chiave.

Verificare poi sotto Administration > Licensing che registrazione, Base License e subscription acquistate siano visualizzate correttamente. Senza la licenza corretta, molte funzioni di protezione non funzionano o funzionano solo con limitazioni. Per il tema aggiornamenti aiutano Sophos Firewall Firmware Update - preparazione e best practice e Aggiornamento firmware su Sophos Firewall. I backup sono spiegati in dettaglio in Creare o ripristinare un backup Sophos Firewall.

Pianificare correttamente zone e interfacce

Sulle appliance hardware, il wizard può raggruppare più porte LAN in una bridge. Questo è pratico per iniziare rapidamente, ma non è sempre la migliore architettura finale. Sotto Network > Interfaces, verificare quali porte, VLAN, bridge o LAG sono davvero necessari.

Ogni interfaccia è assegnata esattamente a una zona. Questa assegnazione determina poi come si applicano Firewall Rules, Device Access e profili di protezione. Zone produttive tipiche sono ad esempio LAN, Server, DMZ, Guest, VoIP, Management o VPN. Non ogni VLAN deve necessariamente avere una zona propria, ma ogni zona deve avere un significato di sicurezza chiaro.

Maggiori informazioni sono disponibili in Pianificare e configurare zone e interfacce Sophos Firewall.

Mettere in sicurezza Device Access

Un errore frequente dopo la configurazione iniziale è lasciare troppo accesso di management. Gli accessi ai servizi locali della firewall, come Web Admin, SSH, User Portal, DNS o Ping, non vengono controllati dalle normali Firewall Rules. La sezione corretta è Administration > Device access.

Per i sistemi produttivi, HTTPS e SSH non devono essere ampiamente consentiti da zone non sicure. Se è necessario un accesso esterno, si dovrebbe usare una Local service ACL exception rule e limitare l’accesso a indirizzi IP fissi o reti di management definite. In alternativa, Sophos Central Firewall Management è spesso la soluzione più pulita.

Maggiori informazioni sono disponibili in Proteggere l’accesso a Sophos Firewall: configurare correttamente Device Access.

Verificare DNS, DHCP e risoluzione nomi interna

Sotto Network > DNS viene definito come la firewall ottiene i server DNS: tramite DHCP, informazioni PPPoE del provider o impostazioni statiche. Per i domini interni si devono usare DNS request routes, in modo che le richieste per zone interne vadano al server DNS interno corretto.

DHCP viene configurato per interfaccia sotto Network > DHCP. È importante adattare correttamente i range DHCP alla struttura di interfacce e VLAN. Se DHCP deve essere inoltrato attraverso connessioni VPN, la firewall può lavorare anche come DHCP Relay. Per domini interni è utile Configurare DNS request routes su Sophos Firewall. Le opzioni DHCP speciali sono descritte in Configurare Sophos Firewall DHCP Options.

Verificare le prime Firewall e NAT Rules

La regola Default-Outbound creata dal wizard non deve essere accettata alla cieca. Sotto Rules and policies > Firewall rules, verificare quali zone sorgente sono consentite, quali destinazioni devono essere raggiungibili e quali Security Features sono attive. Le regole vengono elaborate dall’alto verso il basso; la prima regola corrispondente vince.

Per NAT vale: NAT da solo non consente il traffico. Serve sempre anche una Firewall Rule corrispondente. Per nuove configurazioni, le regole NAT autonome sono di solito più chiare delle Linked NAT Rules. Le basi sono in Capire e configurare correttamente le Sophos Firewall Rules e Capire NAT su Sophos Firewall: SNAT, DNAT, MASQ, PAT. Se deve essere pubblicato un server interno, vedere Pubblicare un server con DNAT su Sophos Firewall.

Preparare logging e troubleshooting

Attivare Log firewall traffic nelle Firewall Rules importanti, altrimenti spesso mancano proprio le informazioni necessarie per il troubleshooting. Non sempre è chiaro: se una Firewall Rule non genera log, il traffico corrispondente non appare in modo utile nel Log Viewer. Si possono vedere altri eventi di sistema, ma non la decisione della regola che serve davvero.

Sotto System services > Log settings si definisce quali tipi di log vengono inviati localmente, a server syslog o a Sophos Central. La firewall dispone di file di log locali e di un database interno di reporting, ma questi non sono pensati come archivio a lungo termine per settimane, mesi o anni. Se i log devono essere conservati a lungo o ricercati centralmente, serve un server syslog esterno o Sophos Central Firewall Reporting.

Per Sophos Central vale in linea generale: con una subscription firewall attiva, Central Firewall Reports è disponibile per un periodo limitato. Con Xstream Protection o Central Orchestration sono possibili analisi più lunghe. Con Sophos Central Firewall Reporting Advanced si ottiene spazio aggiuntivo e una conservazione molto più lunga. I dettagli sono descritti nell’articolo dedicato al reporting.

Per le prime analisi bastano di solito Log viewer, Policy tester e Packet capture. Per analisi più approfondite si possono raccogliere log CLI, attivare debug log o usare tcpdump. I debug log devono essere attivati solo in modo mirato e per un tempo limitato, perché generano molti più dati. Testare Firewall Rules con Log Viewer, Policy Test e Packet Capture mostra come testare le regole. Per Packet Capture, nomi dei servizi e file di log, vedere Usare Packet Capture in WebAdmin e Capire servizi e file di log Sophos Firewall. Se i log devono essere inviati a Sophos Central o raccolti per il supporto, aiutano Attivare Central Firewall Reporting e Salvare i log Sophos Firewall per analisi esterna.

Supporto

Dopo la configurazione di base, Sophos Firewall è funzionante e pronta all’uso. Tuttavia bisogna ricordare che in questo stato è tutt’altro che completamente sicura. Il vero lavoro inizia ora: configurazione di interfacce, zone, Firewall Rules, Intrusion Prevention Systems (IPS), creazione di policy e altro sono essenziali per una soluzione di sicurezza di rete sicura e robusta.

Il nostro piano a lungo termine è creare video dettagliati per ciascuno di questi passaggi, così da facilitare la configurazione e garantire la migliore sicurezza possibile. Nel frattempo il nostro team di supporto è disponibile per aiutare con configurazione, ottimizzazione o migrazione di Sophos Firewall.