Sophos Firewall: Länder und bösartige IPs blockieren
Sobald Dienste aus dem Internet erreichbar sind, sieht man meist schnell unerwünschten Traffic: Portscans, Login-Versuche, bekannte Bot-Netze oder Zugriffe aus Ländern, aus denen gar keine Benutzer erwartet werden. Auf der Sophos Firewall kann man solche Quellen auf mehreren Ebenen blockieren.
Dieser Artikel erklärt zwei typische Varianten:
- Länder oder Quellnetze mit einer Firewall Regel blockieren
- unerwünschte Quellen mit einer Black Hole DNAT Rule ins Leere übersetzen
Zusätzlich empfehlen wir Sophos Firewall Threat Feeds, damit bekannte bösartige IPs, Domains oder URLs automatisch blockiert werden können.
Welche Methode passt wann?
| Methode | Geeignet für | Typischer Einsatz |
|---|---|---|
Firewall Rule mit Drop | Traffic anhand von Source Country, Source Network oder Source Host blockieren | Länder sperren, einzelne Netze blockieren, bekannte Bad-IP-Listen manuell pflegen |
| Black Hole DNAT | Unerwünschten Traffic auf eine nicht existierende interne IP umleiten | Traffic zu veröffentlichten Diensten früh abfangen |
| WAF Blocked countries | Webserver, die über WAF veröffentlicht werden | Länder direkt in einer WAF-Regel blockieren |
| Threat Feeds | Dynamische Listen bekannter bösartiger Quellen | Bot-Netze, Scanner, Malware-Infrastruktur und bekannte Angreifer-IP-Adressen automatisch blockieren |
Welche Methode sinnvoll ist, hängt davon ab, wo der Traffic technisch verarbeitet wird. Sophos weist darauf hin, dass die Firewall Regeln nicht in jedem Fall für Traffic greifen, der zu einer in WAF verwendeten Hosted Address geht. In solchen Fällen ist eine WAF-Länderregel oder eine Black Hole DNAT Rule oft besser geeignet.
Länder mit einer Firewall Regel blockieren
Für allgemeines Country Blocking kann man eine Firewall Regel mit Drop erstellen.
Menüpfad:
Rules and policies > Firewall rules
Empfohlene Felder:
| Feld | Wert |
|---|---|
| Rule name | sprechender Name, zum Beispiel BLOCK_COUNTRY_PANAMA |
| Rule position | Top |
| Action | Drop |
| Source zones | Any |
| Source networks and devices | Land, Ländergruppe, IP-Liste oder Host-Gruppe |
| During scheduled time | All the time |
| Destination zones | Any |
| Destination networks | Any |
| Services | Any oder ein definierter Service |
Für Country Blocking ist wichtig, dass Source zones und Destination zones nicht zu eng gesetzt werden. Wenn man nur WAN als Source zone einträgt, greift die Regel möglicherweise nicht für alle relevanten Traffic-Pfade.
Black Hole DNAT für unerwünschte Quellen
Eine Black Hole DNAT Rule übersetzt Traffic auf ein Ziel, das es im Netzwerk nicht gibt. Der Traffic läuft damit ins Leere und erreicht den eigentlichen Dienst nicht.
Das ist besonders nützlich, wenn ein Dienst per DNAT veröffentlicht wird und man bestimmte Quellen vor der eigentlichen Portweiterleitung abfangen möchte.
Beispiel:
| Feld | Wert |
|---|---|
| Rule name | BLOCK_BAD_IPS_COUNTRIES |
| Rule position | Top |
| Original source | Bad-IP-Liste, Land oder Ländergruppe |
| Original destination | öffentliche WAN-IP oder WAN-Host-Objekt |
| Original service | Any oder der veröffentlichte Service |
| Translated source (SNAT) | Original |
| Translated destination (DNAT) | Dummy-Host, der nicht existiert |
| Translated service (PAT) | Original |
| Inbound interface | Any |
| Outbound interface | Any |
Der Dummy-Host sollte eine IP-Adresse verwenden, die im eigenen Netzwerk nicht existiert und nicht geroutet wird. Wichtig ist, dass diese Regel oberhalb der eigentlichen DNAT-Regeln steht. NAT-Regeln werden von oben nach unten verarbeitet. Wenn zuerst die normale DNAT-Regel matcht, kommt die Black Hole DNAT Rule zu spät.
Warum die Reihenfolge entscheidend ist
Bei NAT-Regeln gewinnt die erste passende Regel. Eine Black Hole DNAT Rule muss daher sehr weit oben stehen, meist ganz oben in der NAT-Regeltabelle.
Beispielhafte Reihenfolge:
- Black Hole DNAT für Bad-IP-Liste und gesperrte Länder
- spezifische DNAT-Regeln für veröffentlichte Dienste
- spezielle SNAT-Regeln
- allgemeine MASQ-Regel für ausgehenden Traffic
Bei Firewall Rules gilt dasselbe Prinzip: spezifische Block-Regeln stehen oberhalb allgemeiner Allow-Regeln. Sonst kann es passieren, dass der Traffic bereits erlaubt wurde, bevor die Drop-Regel geprüft wird.
Source nicht unnötig auf Any lassen
Bei veröffentlichten Diensten sollte man die Source so weit wie möglich einschränken.
Sinnvolle Quellen können sein:
- einzelne öffentliche IP-Adressen
- Netze von Partnern oder Filialen
- Länder, aus denen der Zugriff erwartet wird
- FQDN Hosts oder DNS Host Groups, wenn passend
- gepflegte Host Groups mit erlaubten Admin-IP-Adressen
Any ist nur dann sinnvoll, wenn der Dienst wirklich weltweit erreichbar sein muss. Dann sollte man zusätzliche Schutzmassnahmen aktivieren: Logging, IPS, MFA wo möglich, starke Authentifizierung, aktuelle Zielsysteme und Threat Feeds.
Threat Feeds zusätzlich verwenden
Manuelle Listen und Länderregeln sind statisch. Angreifer-Infrastruktur ändert sich aber laufend. Darum empfehlen wir zusätzlich Sophos Firewall Threat Feeds.
Threat Feeds helfen besonders bei:
- bekannten Scanner-IP-Adressen
- Bot-Netzen
- Malware-Infrastruktur
- kompromittierten Hosts
- dynamisch gepflegten Bad-IP-Listen
So muss man nicht jede einzelne IP manuell pflegen. Die Firewall kann bekannte schlechte Quellen bereits blockieren, bevor sie den veröffentlichten Dienst erreichen.
Typische Fehler
| Fehler | Auswirkung |
|---|---|
| Black Hole DNAT steht unterhalb der normalen DNAT-Regel | Die normale DNAT-Regel matcht zuerst, die Block-Regel greift nicht |
| Dummy-Ziel existiert doch im Netzwerk | Traffic landet unerwartet auf einem echten System |
| Source wird in NAT und Firewall Rule unterschiedlich gepflegt | Regeln werden schwer nachvollziehbar und driften auseinander |
| Country Blocking wird als einzige Schutzmassnahme verwendet | Bots aus erlaubten Ländern können weiterhin angreifen |
| Logging ist deaktiviert | Im Log Viewer ist nicht klar, welche Regel gegriffen hat |
Troubleshooting
Wenn eine Block-Regel nicht greift, sollte man in dieser Reihenfolge prüfen:
- Steht die NAT- oder Firewall-Regel wirklich oberhalb der Allow-Regeln?
- Matcht die Source IP zur Bad-IP-Liste oder zum gewählten Land?
- Wird der Traffic durch eine WAF-Regel, DNAT-Regel oder Firewall Regel verarbeitet?
- Ist Logging auf der betroffenen Firewall Regel aktiv?
- Zeigt der Log Viewer die erwartete Firewall Rule ID oder NAT Rule ID?
- Sieht man den Traffic in Diagnostics > Packet capture?
Für die Analyse helfen auch Firewall-Regel greift nicht: Reihenfolge, Matching und Logs prüfen, Packet Capture Tool im WebAdmin verwenden und NAT auf Sophos Firewall verstehen: SNAT, DNAT, MASQ, PAT.