Vai al contenuto
Avanet

Utilizzare le categorie web e gli avvisi istantanei di Sophos Firewall

Sophos Firewall

Le categorie web su Sophos Firewall sono più di un semplice filtro web per siti indesiderati. Se utilizzate correttamente, aiutano a limitare comportamenti di navigazione rischiosi, a registrare accuratamente le categorie e a reagire più rapidamente agli accessi critici.

Con gli avvisi istantanei, il firewall può inviare notifiche e-mail per categorie web selezionate. Questo è particolarmente utile in scuole, aree aziendali sensibili o ambienti in cui determinati accessi web non dovrebbero emergere solo nei report mensili.

È importante avere aspettative chiare: le categorie web, i gruppi di URL, le politiche web, l’ispezione TLS, la gestione QUIC, il logging e i report devono essere coerenti. Se viene attivata solo una categoria ma la politica web non viene utilizzata in una regola del firewall, nel traffico produttivo non accade nulla.

Per la pianificazione generale delle politiche web, inizia con Configurare la protezione web di Sophos Firewall con le politiche web. Per la base delle regole, aiuta Comprendere e configurare correttamente le regole del firewall di Sophos. Questo articolo si concentra sulla parte operativa del web: categorie, gruppi di URL, avvisi istantanei, valutazione e reazione.

Separare chiaramente i termini

Sophos utilizza diversi oggetti web che possono essere facilmente confusi nella pratica quotidiana.

TermineCompitoUso tipico
Categoria webCategoria per domini, URL o parole chiave. Molte categorie provengono da Sophos, ma è possibile crearne di proprie.Consentire, bloccare, limitare o segnalare accessi web in base al rischio o al contenuto.
Gruppo di URLElenco di domini che può essere utilizzato in politiche web o eccezioni TLS.Liste di permessi o blocchi espliciti, quando domini specifici sono più importanti delle categorie.
Politica webInsieme di regole per utenti, gruppi, categorie, gruppi di URL, tipi di file, filtri di contenuto e azioni.Controllare gli accessi web e collegarli a una regola del firewall.
Avvisi istantaneiNotifica e-mail per accessi a categorie monitorate.Rapida segnalazione per categorie particolarmente sensibili o a rischio.
Visualizzatore di log e reportValutazione della decisione effettiva.Controllare se categoria, politica, utente e regola del firewall funzionano come previsto.

Una politica web ha effetto solo se selezionata in una regola del firewall appropriata sotto Security features > Web filtering. La politica web da sola non è quindi una regola produttiva.

Quando le categorie web sono utili

Le categorie web sono particolarmente utili quando gli accessi web non devono essere semplicemente consentiti o bloccati in generale. Scenari tipici:

  • Bloccare categorie di malware, phishing e frodi.
  • Limitare anonimizzatori, proxy e servizi di elusione.
  • Monitorare attentamente categorie di Command-and-Control o spyware.
  • Bloccare categorie come contenuti per adulti, gioco d’azzardo o sostanze controllate a seconda dell’ambiente.
  • Consentire applicazioni cloud critiche per il business, ma limitare servizi cloud privati o di condivisione file.
  • In scuole o ambienti controllati, monitorare categorie particolarmente sensibili con avvisi istantanei.
  • Limitare la larghezza di banda per determinate categorie web tramite shaping del traffico.

Le categorie non dovrebbero essere impostate indiscriminatamente su blocco o avviso. Altrimenti si generano molti risultati che nessuno può esaminare in modo significativo. È meglio avere un set piccolo e chiaro con proprietario, percorso di reazione e revisione.

Requisiti

Prima della configurazione, dovrebbero essere chiariti questi punti:

  • La protezione web o un pacchetto Sophos Firewall appropriato è concesso in licenza.
  • Esiste una regola client o utente che deve utilizzare il filtraggio web.
  • È pianificato il matching di utenti o gruppi, se le politiche devono essere applicate in base agli utenti.
  • Log firewall traffic è attivo nella regola del firewall pertinente.
  • I tipi di log appropriati sono attivati sotto System services > Log settings.
  • Le notifiche e-mail funzionano se si desidera utilizzare avvisi istantanei.
  • Per la valutazione a lungo termine è pianificato Sophos Central Firewall Reporting o Syslog.
  • QUIC e l’ispezione TLS sono decisioni consapevoli.

Per la valutazione centrale, consulta Attivare il Central Firewall Reporting. Se i log devono essere inviati a un proprio SIEM, l’articolo successivo è Inviare il Syslog di Sophos Firewall a SIEM.

Pianificare categorie e gruppi di URL

Per gli amministratori è importante sapere quando è meglio una propria categoria web e quando un gruppo di URL.

Una propria categoria web è utile quando:

  • Domini o parole chiave devono essere utilizzati come categoria in più politiche web.
  • La categoria deve essere visibile in report e log.
  • È pianificato un concetto di shaping del traffico per categoria.
  • Deve essere creata una categoria monitorata per avvisi istantanei.

Un gruppo di URL è generalmente migliore quando:

  • Vengono raccolti solo domini specifici.
  • È necessaria una piccola lista di permessi o blocchi.
  • La lista deve essere utilizzata anche per eccezioni TLS.
  • Si vuole evitare il matching delle parole chiave.

I gruppi di URL sono spesso più performanti e meno soggetti a falsi positivi rispetto alle categorie con parole chiave. Le categorie di parole chiave dovrebbero quindi essere utilizzate con parsimonia, specialmente per le regole di permesso.

Blocco, avviso o solo reporting?

Non tutte le categorie richiedono lo stesso trattamento. Un buon design di protezione web separa le decisioni di sicurezza rigide dagli avvisi e dalla semplice valutazione.

TrattamentoAdatto perRischio operativo
BloccoMalware, phishing, servizi di elusione noti, categorie chiaramente vietateun sito legittimo può essere bloccato se la categoria è errata
AvvisoAree grigie, ambienti di formazione, categorie consapevolmente consentitegli utenti si abituano agli avvisi e cliccano automaticamente
Avviso istantaneopoche categorie con obbligo di reazione realetroppi avvisi portano a stanchezza da allarme
Solo reportingAnalisi delle tendenze, rapporti di utilizzo, segnali debolii risultati diventano visibili solo successivamente

Per ambienti produttivi, spesso è meglio una selezione piccola e chiara rispetto a un catalogo massimo. Se nessuno valuta un avviso, la categoria non dovrebbe essere impostata come avviso istantaneo. Se una categoria deve sempre essere bloccata, un avviso aggiuntivo è utile solo se ne deriva un follow-up concreto.

Creare o modificare una categoria web

Il percorso del menu è:

Web > Categories

Procedura di base:

  1. Modificare una categoria esistente o scegliere Add.
  2. Assegnare un nome.
  3. Selezionare la classificazione.
  4. Facoltativamente, selezionare una politica di shaping del traffico.
  5. Scegliere il tipo di configurazione.
  6. Aggiungere domini o parole chiave.
  7. Facoltativamente, attivare Instant alerts.
  8. Salvare.

Per le categorie personalizzate, il nome dovrebbe descrivere chiaramente lo scopo. Nomi come Custom1 o Blocklist non aiutano in seguito. Meglio nomi come Alert_Self_Harm, Block_Proxy_Anonymizer o Allow_Business_Cloud_Exceptions.

I domini vengono confrontati con il nome di dominio nell’URL e includono automaticamente i sottodomini. Le parole chiave, invece, vengono confrontate con l’URL completo, inclusi percorso e query. Questo può essere utile, ma genera più facilmente falsi positivi.

Se viene utilizzato un database di URL esterno, il firewall controlla questa lista ogni 48 ore per gli aggiornamenti. Questo intervallo non può essere modificato. Per le liste di blocco pubbliche, è comunque consigliabile verificare se Configurare e gestire in sicurezza i Sophos Firewall Threat Feeds sia più adatto.

Configurare la politica web

Il percorso del menu è:

Web > Policies

Una politica web contiene regole per utenti, gruppi, attività, categorie, gruppi di URL, tipi di file, filtri di contenuto, azioni e pianificazioni.

Procedura di base:

  1. Creare una nuova politica web o modificare una politica esistente.
  2. Aggiungere una regola.
  3. Selezionare utenti o gruppi, se la politica deve essere basata sugli utenti.
  4. Selezionare categorie o gruppi di URL.
  5. Impostare l’azione per HTTP.
  6. Verificare l’azione separata per HTTPS.
  7. Impostare un programma, se necessario.
  8. Attivare lo stato della regola.
  9. Verificare la posizione della regola.
  10. Salvare.

L’ordine all’interno della politica web è cruciale. Le regole vengono valutate dall’alto verso il basso. Una regola di permesso ampia sopra una regola di blocco specifica può far sì che la regola di blocco non venga mai applicata.

Se gli utenti sono impostati nella regola del firewall e nella politica web, è necessario testare consapevolmente l’effetto. Gli utenti nelle regole del firewall possono avere la precedenza sugli utenti nelle politiche web. In caso di risultati poco chiari, è quindi necessario controllare non solo la politica web, ma anche la regola del firewall.

Attivare la politica web nella regola del firewall

Il percorso del menu è:

Rules and policies > Firewall rules > [Rule] > Security features > Web filtering

Procedura di base:

  1. Aprire la regola client o server pertinente.
  2. Controllare zona di origine, rete di origine, zona di destinazione e servizi.
  3. Attivare Log firewall traffic.
  4. Sotto Web filtering, selezionare la politica web desiderata.
  5. Attivare consapevolmente o disattivare giustificatamente Block QUIC protocol.
  6. Verificare le impostazioni di scansione malware e scansione HTTPS.
  7. Salvare.
  8. Testare con il tester delle politiche, il visualizzatore di log e il traffico reale del client.

QUIC è un fattore di disturbo comune per il filtraggio web. Quando i browser comunicano su UDP 443, la logica e la visibilità non sempre corrispondono alle aspettative del classico HTTPS su TCP. Per i dettagli, consulta Bloccare correttamente QUIC e HTTP/3 su Sophos Firewall.

Se i contenuti HTTPS o i percorsi URL completi sono rilevanti, la sola categorizzazione web potrebbe non essere sufficiente. In tal caso, deve essere pianificata l’ispezione TLS. Questo non dovrebbe essere fatto superficialmente, poiché coinvolge certificati, eccezioni, privacy, prestazioni e processi di supporto. Il rollout è descritto in Introdurre correttamente l’ispezione TLS su Sophos Firewall.

Attivare gli avvisi istantanei

Gli avvisi istantanei vengono attivati a livello di categoria.

Il percorso del menu è:

Web > Categories

Procedura di base:

  1. Modificare la categoria.
  2. Selezionare consapevolmente la categoria per il monitoraggio.
  3. Attivare Instant alerts.
  4. Salvare.
  5. Aprire System services > Notifications list.
  6. Cercare Web - Instant alerts.
  7. Attivare la casella di controllo sotto Email.
  8. Verificare l’invio e i destinatari delle e-mail.
  9. Generare un accesso di prova e controllare la notifica.

Il firewall invia notifiche e-mail per le categorie monitorate in batch ogni cinque minuti. Questo intervallo non può essere modificato. Un avviso non è quindi un allarme in tempo reale al secondo, ma una notifica e-mail rapida rispetto ai report puramente successivi.

Gli avvisi istantanei dovrebbero essere attivati solo per categorie in cui un destinatario definito può effettivamente reagire. Una lunga lista di avvisi senza responsabilità porta spesso a stanchezza da allarme.

Privacy e responsabilità interna

Gli avvisi di categoria web possono includere utente, IP sorgente, orario, categoria e, a seconda della visibilità, anche informazioni sulla destinazione. Questo è utile per la sicurezza e il funzionamento, ma può sollevare questioni legali o di privacy a seconda dell’organizzazione.

Prima dell’uso produttivo, dovrebbe essere chiarito:

  • Chi può vedere gli avvisi web?
  • Quali risultati vengono esaminati solo tecnicamente e quali vengono trattati come casi di sicurezza?
  • Per quanto tempo vengono conservate le e-mail di avviso, i report o gli eventi SIEM?
  • La valutazione è coordinata con HR, privacy o politiche interne?
  • Come si evita che singoli risultati innocui vengano sovrainterpretati?

Tecnicamente, l’impostazione è attivata rapidamente. Operativamente, dovrebbe essere trattata come un piccolo processo di monitoraggio: destinatari, scopo, percorso di reazione e conservazione devono essere coerenti.

Definire la triage degli avvisi

Gli avvisi istantanei non dovrebbero essere trattati tutti allo stesso modo. Un singolo risultato di categoria può essere un clic accidentale innocuo, un servizio classificato erroneamente, un problema di politica o un vero caso di sicurezza. Pertanto, dovrebbe essere definito in anticipo quali risultati devono essere esaminati immediatamente e quali vanno solo nella revisione normale.

Una semplice triage aiuta:

PrioritàCategoria o situazione tipicaReazione
AltaMalware, phishing, Command-and-Control, categorie di exploit o spywarecontrollare tempestivamente il visualizzatore di log, l’utente, lo stato dell’endpoint e altri log di sicurezza
MediaAnonimizzatori, proxy, condivisione file, archiviazione cloud privata o elusione ripetuta delle politichecontrollare i modelli, chiarire il contesto dell’utente e affinare la politica
Bassasingole aree grigie senza ripetizioneincludere nel reporting o nella revisione settimanale, non escalare immediatamente
Falso allarmesito necessario per il business classificato erroneamenteesaminare un gruppo di URL mirato o un adattamento della categoria, non impostare una regola di permesso ampia

Questa classificazione non dovrebbe esistere solo nella mente di un amministratore. È utile una breve nota operativa: categorie monitorate, destinatari, tempo di reazione, percorso di escalation, eccezioni consentite e data di revisione. In questo modo rimane chiaro se un avviso deve essere solo documentato, corretto tecnicamente o trattato come incidente.

Testare e valutare

Dopo ogni modifica, non solo bisogna salvare, ma anche verificare l’effetto.

Passi di verifica utili:

  1. Aprire Web > Policies > Policy tester.
  2. Testare utente, URL e politica.
  3. Su un client di prova, visitare un sito web appropriato.
  4. Aprire Log viewer.
  5. Controllare i log di filtraggio web, firewall, ispezione SSL/TLS e controllo delle applicazioni.
  6. Nella regola del firewall, controllare se il risultato si trova sulla regola prevista.
  7. Per gli avvisi istantanei, controllare la posta in arrivo delle e-mail.
  8. In Sophos Central o SIEM, controllare se gli eventi arrivano lì.

Il tester delle politiche è utile, ma non sostituisce un vero flusso di pacchetti. Se una regola non corrisponde, una rotta SD-WAN decide diversamente o TLS/QUIC modifica il percorso, spesso lo si vede solo nel visualizzatore di log o nel packet capture. Per tali casi, consulta Testare le regole del firewall con Log Viewer, Policy Test e Packet Capture.

Per l’assegnazione dei file di log, aiuta Risoluzione dei problemi di Sophos Firewall: Servizi e Log. Lì sono inclusi awarrenhttp.log, webproxy.log e nSXLd.log per domande su web e categorizzazione.

Errori comuni

SintomoCausa comuneVerifica
La politica web non funzionaLa politica non è selezionata nella regola del firewallControllare la regola del firewall sotto Web filtering
La categoria è consentita, anche se dovrebbe essere bloccataUna regola di permesso ampia è sopra la regola di bloccoControllare l’ordine nelle politiche web e nelle regole del firewall
Nessun avviso istantaneoCategoria non monitorata o notifica non attiva via e-mailControllare Web > Categories e System services > Notifications list
Nessuna indicazione dell’utente nel logL’utente non è riconosciuto o la regola non corrisponde in base all’utenteVerificare autenticazione, STAS, Captive Portal o utenti senza client
HTTPS è consentito inaspettatamenteNessuna ispezione TLS appropriata o azione HTTPSControllare politica web, regole di ispezione SSL/TLS e decrittazione
Il filtro web sembra incompletoQUIC o percorso di traffico erratoControllare Block QUIC protocol, servizi e visualizzatore di log
Troppi avvisiCategorie scelte troppo ampieRidurre la lista degli avvisi e assegnare un proprietario
Dominio mancante nel log/reportCategoria particolarmente critica è anonimizzataControllare categoria e comportamento di Sophos

Sophos blocca i siti web della categoria highly objectionable criminal activity in modo predefinito e oscura il nome del dominio nei log e nei report. Se un elemento in questa area appare anonimizzato, potrebbe essere intenzionale.

Stabilire la reazione agli avvisi istantanei

Un avviso istantaneo è utile solo se dopo è chiaro cosa deve accadere. Altrimenti si genera traffico e-mail aggiuntivo, ma non una maggiore sicurezza. Prima dell’attivazione, dovrebbe quindi essere definito un semplice flusso di reazione.

Per ogni tipo di categoria monitorata, dovrebbe essere stabilito almeno:

DomandaPerché è importante?
Chi riceve l’avviso?Evita distribuzioni senza responsabilità.
Quanto velocemente bisogna reagire?Distingue i risultati critici dalla semplice revisione.
Quali log vengono controllati?Log Viewer, Central Reporting, Syslog o log di servizio offrono profondità diverse.
Quando un risultato è un incidente?Non ogni risultato di categoria è automaticamente un incidente di sicurezza.
Chi può approvare un’eccezione?Evita regole di permesso rapide e ampie senza valutazione del rischio.
Quando viene rivista la selezione delle categorie?Riduce la stanchezza da allarme causata da set di avvisi troppo ampi.

Un flusso pragmatico appare così:

  1. Registrare l’avviso con utente, IP sorgente, categoria, URL o dominio e orario.
  2. Nel visualizzatore di log, controllare quale regola del firewall e politica web hanno avuto effetto.
  3. Se disponibile, utilizzare Central Reporting o SIEM per il contesto temporale.
  4. Determinare se è un caso isolato, un modello ripetuto o un falso allarme.
  5. In caso di classificazione errata, lavorare solo miratamente con un gruppo di URL o un adattamento della categoria.
  6. In caso di modello sospetto, valutare il contesto dell’utente, lo stato dell’endpoint e altri log di sicurezza.
  7. Documentare la decisione: ignorare, osservare, bloccare, eccezione, incidente.

Per l’analisi tecnica dettagliata, aiutano Risoluzione dei problemi di Sophos Firewall: Servizi e Log, Attivare il Central Firewall Reporting e Inviare il Syslog di Sophos Firewall a SIEM. Se non è chiaro se è stata colpita la regola del firewall corretta, consulta Testare le regole del firewall con Log Viewer, Policy Test e Packet Capture.

Raccomandazioni operative

Per ambienti produttivi, è utile un modello a tre livelli:

  1. Bloccare: Bloccare malware, phishing, frodi, Command-and-Control, anonimizzatori e altre categorie chiaramente rischiose.
  2. Monitorare: Fornire poche categorie sensibili con avvisi istantanei.
  3. Valutare: Controllare regolarmente i report web, Central Reporting o SIEM.

Il limite più importante è organizzativo: un avviso ha bisogno di un destinatario, un tempo di reazione e una decisione su cosa fare con i risultati. Altrimenti, gli avvisi istantanei diventano solo rumore e-mail aggiuntivo.

Lista di controllo

  • Verificata la licenza di protezione web.
  • Identificata la regola del firewall pertinente.
  • Creata o modificata la politica web.
  • Selezionata la politica web nella regola del firewall.
  • Attivato Log firewall traffic nella regola.
  • Deciso consapevolmente Block QUIC protocol.
  • Pianificata consapevolmente l’ispezione TLS o non utilizzata consapevolmente.
  • Definite categorie critiche.
  • Attivati avvisi istantanei solo per poche categorie chiare.
  • Attivato System services > Notifications list > Web - Instant alerts via e-mail.
  • Test eseguito con il tester delle politiche.
  • Test eseguito con traffico reale del client.
  • Verificato il visualizzatore di log.
  • Verificato Central Reporting o Syslog, se è prevista una valutazione centrale.
  • Documentato proprietario e percorso di reazione per gli avvisi.

Domande frequenti

Qual è la differenza tra categoria web e gruppo di URL?

Una categoria web assegna domini, URL o parole chiave a una categoria e può essere utilizzata in politiche web, report e avvisi istantanei. Un gruppo di URL è un elenco di domini esplicito, particolarmente adatto per liste di permessi o blocchi concreti.

Perché una politica web non funziona?

Spesso la politica web non è selezionata nella regola del firewall appropriata, la regola non corrisponde o una regola più generale è sopra. Inoltre, l’assegnazione degli utenti, i servizi, QUIC o l’ispezione TLS possono modificare l’effetto previsto.

Gli avvisi istantanei sono veri allarmi in tempo reale?

Non al secondo. Le notifiche e-mail per le categorie monitorate vengono inviate in batch ogni cinque minuti. Per molti casi operativi è abbastanza veloce, ma non sostituisce un SIEM o un monitoraggio SOC.

Dovrei fornire tutte le categorie a rischio con avvisi istantanei?

No. Troppi avvisi creano rumore. È meglio una piccola selezione con responsabilità chiara, ad esempio categorie particolarmente sensibili o con alto valore investigativo.

È necessaria l'ispezione TLS per le categorie web?

Non sempre. Molte categorie funzionano tramite valutazione di URL o domini. Per percorsi URL completi, contenuti, download e determinate funzioni di protezione, l’ispezione TLS può essere decisiva. L’uso dovrebbe essere pianificato e testato.