Vai al contenuto
Avanet

Sophos Firewall Spoof Protection e DoS Settings controlla

Sophos Firewall

Spoof Protection e DoS Settings rientrano tra le classiche funzioni di hardening di un Sophos Firewall. Le funzionalità riducono i pacchetti semplici, rumorosi o ovviamente errati prima che diventino rumore inutile nei log, nelle regole o nei servizi pubblicati. Allo stesso tempo queste impostazioni non costituiscono una protezione magica contro ogni tipo di attacco.

L’articolo classifica le funzioni come un accurato rafforzamento di base: comprendere prima la progettazione della rete e i percorsi di ritorno, quindi attivare, testare e controllare i log. La distinzione è particolarmente importante: queste funzioni completano le regole del firewall, IPS, Threat Feeds, WAF pulite e logging. Non sostituiscono questi elementi costitutivi.

Breve spiegazione

Spoof Protection controlla se i pacchetti con un indirizzo di origine plausibile arrivano sull’interfaccia prevista. Ad esempio, se un pacchetto con un indirizzo di origine interno appare dalla direzione di Internet, ciò è sospetto nella maggior parte dei progetti. DoS Settings, d’altro canto, rispondono a determinati modelli di Flooding o di attacco alla connessione, ad esempio quantità notevoli di traffico SYN, UDP o ICMP.

Il tipico percorso del menu, a seconda della versione SFOS, è nell’intervallo:

Protect > Intrusion prevention > DoS & spoof protection

Se l’interfaccia è etichettata in modo leggermente diverso in una versione più recente, dovresti cercare DoS, protezione spoof o prevenzione delle intrusioni. Ciò che è importante non è l’esatto percorso del clic, ma piuttosto che la funzione sia pianificata, testata e successivamente registrata consapevolmente.

Cosa fanno le funzioni

FunzioneA cosa serveA cosa non basta
Spoof ProtectionScarta i pacchetti con IP di origine non plausibile, riduce i semplici tentativi di spoofing, rende visibili i pacchetti instradati in modo erratonon sostituisce la zona pulita, l’interfaccia e la pianificazione del routing
DoS Settingslimita semplici schemi di allagamento, rende evidenti attacchi rumorosi o configurazioni errate in precedenzanon sostituisce la protezione DDoS del provider, nessun WAF e nessun design a monte ben dimensionato

In pratica, queste funzioni sono particolarmente interessanti come rafforzamento di base. Il vantaggio è ridurre le ovvie sciocchezze. Nei veri attacchi DDoS volumetrici, la connessione Internet è spesso già al completo prima che il firewall possa rispondere in modo significativo. Quindi è necessaria la protezione da parte del provider, lo scrubbing a monte o un’altra architettura.

Quando Spoof Protection ha senso

Spoof Protection si adatta particolarmente bene a reti chiaramente segmentate in cui le reti di origine, le interfacce e i percorsi sono chiaramente pianificati. Quanto più chiara è la struttura della rete, tanto più facile è valutare se un indirizzo sorgente su un’interfaccia è plausibile.

Applicazioni utili:

  • Internet WAN su cui non dovrebbero apparire fonti interne RFC1918.
  • DMZ o zone server con reti di origine e destinazione libere.
  • Zone client, ospiti o IoT in cui nessuna rete interna esterna deve apparire come origine.
  • Luoghi in cui il percorso, VLAN e zone sono chiaramente documentati.
  • Gli ambienti in cui i pacchetti vengono rilasciati devono essere successivamente tracciabili con Packet Capture e registri.

Le cose diventano più difficili con routing asimmetrico, reti di transito complesse, percorsi di migrazione temporanei, VLANs documentati in modo errato o più firewall nello stesso percorso dati. Un flusso di dati legittimo può sembrare uno spoofing, sebbene la progettazione del routing o il percorso di ritorno siano in realtà impuri.

Controllo prima dell’attivazione

Spoof Protection e DoS Settings non devono essere attivati ​​alla cieca in un ambiente di produzione. Dovrebbe essere chiaro in anticipo quali reti e servizi sono interessati.

Punti di controllo importanti:

  1. Zone documento, interfacce, VLAN, bridge e LAG.
  2. Controlla i percorsi statici, i percorsi SD-WAN, i percorsi VPN e i percorsi asimmetrici.
  3. Identificare i servizi pubblicati tramite DNAT o WAF.
  4. Nota servizi critici come VoIP, monitoraggio, backup, scansioni, VPN e connessioni al sito.
  5. Preparare la registrazione e la valutazione centrale se gli eventi devono essere tracciabili in un secondo momento.
  6. Imposta la finestra di manutenzione o l’area pilota per la prima attivazione.

Se le normali regole del firewall sono difficili da comprendere, è necessario prima ripulire la regola e lo stato del routing. Per le singole connessioni di test, Test della regola firewall con Log Viewer, Policy Test e Packet Capture è un inizio migliore.

Spoof Protection attivare con attenzione

Un approccio graduale ha senso per Spoof Protection. Dovresti proteggere prima le aree più libere, non tutte le zone speciali immediatamente.

Processo pratico:

  1. Salvare la configurazione corrente o almeno documentare le impostazioni interessate.
  2. Iniziare con una zona o interfaccia libera, ad esempio WAN o una zona client nettamente separata.
  3. Salva attivazione.
  4. Esegui test di connessione pianificati: accesso a Internet, VPN, servizi pubblicati, server centrali, monitoraggio.
  5. Controllare Log Viewer e Packet Capture per eventuali cadute impreviste.
  6. Non gestire immediatamente evidenti cali legittimi con ampie eccezioni, ma prima controlla il routing, l’IP di origine e l’interfaccia.

Un errore comune è considerare Spoof Protection come un puro e semplice gancio di sicurezza. In realtà, la funzione verifica un’ipotesi sulla progettazione della rete. Se questa ipotesi non è corretta, Spoof Protection non deve necessariamente essere sbagliato. Spesso un’interfaccia, un percorso, un VLAN o un percorso di ritorno non vengono costruiti come previsto.

DoS Settings piano

DoS Settings dovrebbe adattarsi all’ambiente. Raramente ha senso adottare i valori di un altro esempio senza verificarli. Un sito con pochi utenti, VoIP e un piccolo WAN si comporta in modo diverso rispetto a un data center, una rete scolastica o un sito con scansioni e monitoraggio regolari.

Prima di adattarsi, rispondi a queste domande:

  • Quali servizi pubblici sono esposti?
  • Sono presenti picchi di carico, scansioni, monitoraggio o controlli di integrità legittimi?
  • Vengono utilizzati VoIP, VPN, WAF, DNAT o trasferimenti di file di grandi dimensioni?
  • Quali eventi dovrebbero essere solo registrati e quali dovrebbero essere realmente bloccati?
  • Chi controlla i log dopo l’attivazione?

DoS Settings può contribuire a limitare semplici schemi di allagamento. Tuttavia, soglie troppo rigide possono incidere anche sul traffico legittimo. È necessario prestare particolare attenzione a VoIP, ai sistemi di monitoraggio, ai processi di backup, alle scansioni di vulnerabilità e ai servizi pubblicati molto utilizzati.

Cosa non risolvono queste impostazioni

Spoof Protection e DoS Settings sono elementi costitutivi importanti, ma non risolvono tutti i problemi di sicurezza.

ProblemaModulo aggiuntivo migliore
Il server viene attaccato tramite richieste HTTP consentiteControlla WAF protezione regole e server web
Attacchi IP di origine dannosa notiThreat Feeds o Controlla paese/blocco IP
Tentativo di exploit contro un servizioAttiva IPS-Policy secondo la regola
La linea Internet è piena a causa di DDoSIncludi provider, scrubbing o protezione DDoS upstream
La regola del firewall consente troppoRegole di pulizia, NAT e modello a oggetti
I drop sono incomprensibiliMigliora la registrazione, Packet Capture, syslog o reporting centrale

L’articolo Pubblica server con DNAT su Sophos Firewall è rilevante anche per i server accessibili pubblicamente. Riguarda NAT, le regole del firewall e gli errori tipici di pubblicazione.

Log e controlli successivi

Dopo l’attivazione non dovresti solo controllare se il normale accesso a Internet funziona ancora. Ciò che è importante è se il firewall mostra chiaramente gli eventi attesi e imprevisti.

Controllare:

  1. Log Viewer filtro per firewall ed eventi di sicurezza rilevanti.
  2. Attiva il traffico di test con IP di origine, IP di destinazione e servizio chiari.
  3. Utilizzare Packet Capture per gocce poco chiare.
  4. Per un’archiviazione più lunga, pianificare syslog su SIEM o server di registro.
  5. Quando si esegue Sophos Central, verificare se Central Firewall Reporting rende visibili gli eventi desiderati.

Se un pacchetto viene scartato ma il motivo non è chiaro, l’analisi sistematica della caduta in Sophos Firewall perde pacchetti: controlla le cause aiuta. Descrive inoltre perché Log Viewer e Packet Capture rispondono a domande diverse.

Errori tipici

ErroreImpattoApproccio migliore
Spoof Protection attivare senza comprendere il routingil traffico legittimo può essere bloccatoControllare in anticipo zone, interfacce, percorsi e percorsi di ritorno
Applicare soglie DoS senza controllareVoIP, il monitoraggio, le scansioni o i servizi pubblicati possono essere interrottiPianificare la linea di base e la fase di test
Risolvere ogni anomalia con un’eccezione generaleL’hardening diventa inefficace e confusoLimitare la causa e documentare attentamente le eccezioni
Vendere DoS Settings come protezione DDoSfalse aspettative per attacchi alla larghezza di bandaPianificare separatamente la protezione del provider e quella upstream
Non controllare i registriI blocchi o gli attacchi errati rimangono invisibiliDefinire Log Viewer, reporting centrale o syslog come punto operativo
Interpretare le eliminazioni di spoofing come un puro attaccoGli errori di routing o VLAN vengono trascuratiConfrontare IP sorgente, interfaccia, percorso e Packet Capture

Lista di controllo operativa

Prima dell’attivazione:

  • zone, interfacce e routing compresi.
  • Servizi critici e casi di test definiti.
  • Backup o modifica della documentazione disponibile.
  • Registrazione e valutazione preparate.
  • Area pilota o finestra di manutenzione impostata.

Dopo l’attivazione:

  • Internet, VPN, WAF, DNAT, VoIP e monitoraggio testati.
  • Log Viewer controllato per cadute impreviste.
  • Packet Capture utilizzato per almeno un caso di test chiaro in caso di cadute.
  • Le eccezioni vengono fatte solo in modo limitato e motivato.
  • Risultato registrato nella documentazione operativa.

Regolarmente:

  • Controlla gli eventi DoS e spoofing.
  • Controlla le eccezioni per necessità.
  • Eseguire nuovamente il test dopo modifiche alla rete, modifiche alla VPN o nuovi VLAN. Correlare i registri
  • con IPS, feed delle minacce, WAF ed eventi delle regole firewall.

Domande frequenti

È opportuno attivare sempre Spoof Protection su Sophos Firewall?

Spoof Protection ha senso in molti ambienti, ma dovrebbe adattarsi al routing e alla progettazione della zona. In caso di routing asimmetrico, migrazioni o reti di transito poco chiare, è necessario testare e controllare prima i log.

DoS Settings ferma un vero attacco DDoS?

Solo limitato. DoS Settings può ridurre semplici schemi di allagamento. Se la linea Internet stessa viene sovraccaricata, la protezione deve avvenire prima o presso il provider.

Perché il traffico legittimo viene bloccato dopo Spoof Protection?

Spesso l’IP di origine non corrisponde all’interfaccia prevista oppure il percorso di ritorno è asimmetrico. È necessario controllare innanzitutto il routing, VLAN, il gateway, il percorso VPN e Packet Capture prima di creare un’eccezione ampia.

Quali valori dovresti usare per DoS Settings?

Non esistono valori universali per ogni ambiente. È opportuno iniziare con cautela con la linea di base, il traffico di prova, i controlli dei log e l’adattamento a servizi reali come VoIP, VPN, WAF, monitoraggio e scansioni.

Quali registri sono utili in caso di eventi DoS o spoofing?

Log Viewer è il primo punto di ingresso. Packet Capture aiuta per le connessioni individuali. Per una conservazione più lunga o una correlazione con altri sistemi, prendi in considerazione il reporting Syslog, SIEM o Sophos Central.