Sophos Firewall Spoof Protection und DoS Settings prüfen
Spoof Protection und DoS Settings gehören zu den klassischen Hardening-Funktionen einer Sophos Firewall. Die Funktionen reduzieren einfache, laute oder offensichtlich falsche Pakete, bevor daraus unnötiges Rauschen in Logs, Regeln oder veröffentlichten Diensten entsteht. Gleichzeitig sind diese Einstellungen kein magischer Schutz gegen jede Art von Angriff.
Der Artikel ordnet die Funktionen als vorsichtige Basishärtung ein: erst Netzdesign und Rückwege verstehen, dann aktivieren, testen und die Logs prüfen. Besonders wichtig ist die Abgrenzung: Diese Funktionen ergänzen saubere Firewall-Regeln, IPS, Threat Feeds, WAF und Logging. Ein Ersatz für diese Bausteine sind sie nicht.
Kurz erklärt
Spoof Protection prüft, ob Pakete mit einer plausiblen Quelladresse auf dem erwarteten Interface ankommen. Wenn zum Beispiel ein Paket mit interner Quelladresse aus Richtung Internet erscheint, ist das in den meisten Designs verdächtig. DoS Settings reagieren dagegen auf bestimmte Flooding- oder Verbindungsangriffsmuster, zum Beispiel auffällige Mengen an SYN-, UDP- oder ICMP-Traffic.
Der typische Menüpfad liegt je nach SFOS-Version im Bereich:
Protect > Intrusion prevention > DoS & spoof protection
Wenn die Oberfläche in einer neueren Version leicht anders beschriftet ist, sollte man nach DoS, spoof protection oder intrusion prevention suchen. Entscheidend ist nicht der exakte Klickpfad, sondern dass die Funktion bewusst geplant, getestet und später geloggt wird.
Was die Funktionen leisten
| Funktion | Wofür sie hilft | Wofür sie nicht reicht |
|---|---|---|
| Spoof Protection | Pakete mit unplausibler Source-IP verwerfen, einfache Spoofing-Versuche reduzieren, falsch geroutete Pakete sichtbar machen | ersetzt keine saubere Zonen-, Interface- und Routingplanung |
| DoS Settings | einfache Flooding-Muster begrenzen, laute Angriffe oder Fehlkonfigurationen früher auffällig machen | ersetzt keinen Provider-DDoS-Schutz, keine WAF und kein sauber dimensioniertes Upstream-Design |
In der Praxis sind diese Funktionen vor allem als Basishärtung interessant. Der Nutzen liegt darin, offensichtlichen Unsinn zu reduzieren. Bei echten volumetrischen DDoS-Angriffen ist die Internetleitung oft schon ausgelastet, bevor die Firewall sinnvoll reagieren kann. Dann braucht es Schutz beim Provider, ein vorgelagertes Scrubbing oder eine andere Architektur.
Wann Spoof Protection sinnvoll ist
Spoof Protection passt besonders gut zu klar segmentierten Netzen, bei denen Source-Netze, Interfaces und Routen sauber geplant sind. Je eindeutiger die Netzstruktur, desto einfacher lässt sich beurteilen, ob eine Quelladresse auf einem Interface plausibel ist.
Sinnvolle Einsatzfälle:
- Internet-WAN, auf dem keine internen RFC1918-Quellen auftauchen sollten.
- DMZ- oder Serverzonen mit klaren Quell- und Zielnetzen.
- Client-, Gast- oder IoT-Zonen, in denen keine fremden internen Netze als Source auftreten sollen.
- Standorte, bei denen Routing, VLANs und Zonen sauber dokumentiert sind.
- Umgebungen, in denen Paketdrops später mit Packet Capture und Logs nachvollziehbar sein müssen.
Schwieriger wird es bei asymmetrischem Routing, komplexen Transitnetzen, temporären Migrationspfaden, falsch dokumentierten VLANs oder mehreren Firewalls im selben Datenpfad. Dort kann ein legitimer Datenstrom wie Spoofing aussehen, obwohl eigentlich das Routingdesign oder der Rückweg unsauber ist.
Vor der Aktivierung prüfen
Spoof Protection und DoS Settings sollten nicht blind in einer produktiven Umgebung aktiviert werden. Vorher sollte klar sein, welche Netze und Dienste betroffen sind.
Wichtige Prüfpunkte:
- Zonen, Interfaces, VLANs, Bridges und LAGs dokumentieren.
- Statische Routen, SD-WAN Routes, VPN-Routen und asymmetrische Pfade prüfen.
- Veröffentlichte Dienste über DNAT oder WAF identifizieren.
- Kritische Dienste wie VoIP, Monitoring, Backup, Scans, VPN und Standortverbindungen notieren.
- Logging und zentrale Auswertung vorbereiten, falls Ereignisse später nachvollziehbar sein müssen.
- Wartungsfenster oder Pilotbereich für die erste Aktivierung festlegen.
Wenn schon normale Firewall-Regeln schwer nachvollziehbar sind, sollte zuerst der Regel- und Routingzustand bereinigt werden. Für einzelne Testverbindungen ist Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture der bessere Einstieg.
Spoof Protection vorsichtig aktivieren
Für Spoof Protection ist ein schrittweiser Ansatz sinnvoll. Zuerst sollte man die eindeutigsten Bereiche absichern, nicht sofort jede Sonderzone.
Praktischer Ablauf:
- Aktuelle Konfiguration sichern oder mindestens die betroffenen Einstellungen dokumentieren.
- Mit einer klaren Zone oder einem klaren Interface starten, zum Beispiel WAN oder einer sauber getrennten Clientzone.
- Aktivierung speichern.
- Geplante Testverbindungen ausführen: Internetzugriff, VPN, veröffentlichte Dienste, zentrale Server, Monitoring.
- Log Viewer und Packet Capture auf unerwartete Drops prüfen.
- Auffällige legitime Drops nicht sofort mit breiten Ausnahmen umgehen, sondern zuerst Routing, Source-IP und Interface prüfen.
Ein häufiger Fehler ist, Spoof Protection als reinen Sicherheits-Haken zu behandeln. In Wirklichkeit prüft die Funktion eine Annahme über das Netzdesign. Wenn diese Annahme nicht stimmt, muss nicht zwingend Spoof Protection falsch sein. Häufig ist dann ein Interface, eine Route, ein VLAN oder ein Rückweg nicht so gebaut, wie man es erwartet.
DoS Settings planen
DoS Settings sollten zur Umgebung passen. Es ist selten sinnvoll, ungeprüft Werte aus einem fremden Beispiel zu übernehmen. Ein Standort mit wenigen Benutzern, VoIP und einem kleinen WAN verhält sich anders als ein Rechenzentrum, ein Schulnetz oder ein Standort mit regelmässigen Scans und Monitoring.
Vor der Anpassung sollte man diese Fragen beantworten:
- Welche öffentlichen Dienste sind exponiert?
- Gibt es legitime Lastspitzen, Scans, Monitoring oder Health Checks?
- Werden VoIP, VPN, WAF, DNAT oder grosse Dateiübertragungen genutzt?
- Welche Ereignisse sollen nur geloggt und welche wirklich blockiert werden?
- Wer prüft nach der Aktivierung die Logs?
DoS Settings können helfen, einfache Flooding-Muster zu begrenzen. Zu strenge Schwellenwerte können aber auch legitimen Traffic treffen. Besonders vorsichtig sollte man bei VoIP, Monitoring-Systemen, Backup-Jobs, Schwachstellenscans und stark genutzten veröffentlichten Diensten sein.
Was diese Einstellungen nicht lösen
Spoof Protection und DoS Settings sind wichtige Bausteine, aber sie lösen nicht jedes Sicherheitsproblem.
| Problem | Besserer zusätzlicher Baustein |
|---|---|
| Server wird über erlaubte HTTP-Anfragen angegriffen | WAF-Regel und Webserver Protection prüfen |
| Bekannt bösartige Quell-IP greift an | Threat Feeds oder Länder-/IP-Blocking prüfen |
| Exploit-Versuch gegen einen Dienst | IPS-Policy passend zur Regel aktivieren |
| Internetleitung ist durch DDoS voll | Provider, Scrubbing oder vorgelagerten DDoS-Schutz einbeziehen |
| Firewall-Regel erlaubt zu viel | Regelwerk, NAT und Objektmodell bereinigen |
| Drops sind nicht nachvollziehbar | Logging, Packet Capture, Syslog oder Central Reporting verbessern |
Für öffentlich erreichbare Server ist auch der Artikel Server mit DNAT auf Sophos Firewall veröffentlichen relevant. Dort geht es um NAT, Firewall-Regeln und typische Veröffentlichungsfehler.
Logs und Nachkontrolle
Nach der Aktivierung sollte man nicht nur prüfen, ob der normale Internetzugang noch funktioniert. Wichtig ist, ob die Firewall erwartete und unerwartete Ereignisse nachvollziehbar zeigt.
Prüfen:
- Log Viewer nach Firewall- und relevanten Security-Ereignissen filtern.
- Testtraffic mit klarer Source-IP, Destination-IP und Service auslösen.
- Bei unklaren Drops Packet Capture verwenden.
- Bei längerer Aufbewahrung Syslog an SIEM oder Logserver einplanen.
- Bei Sophos-Central-Betrieb prüfen, ob Central Firewall Reporting die gewünschten Ereignisse sichtbar macht.
Wenn ein Paket verworfen wird, aber der Grund nicht klar ist, hilft die systematische Drop-Analyse in Sophos Firewall verwirft Pakete: Ursachen prüfen. Dort ist auch beschrieben, warum Log Viewer und Packet Capture unterschiedliche Fragen beantworten.
Typische Fehler
| Fehler | Auswirkung | Bessere Vorgehensweise |
|---|---|---|
| Spoof Protection ohne Routingverständnis aktivieren | legitimer Traffic kann blockiert werden | Zonen, Interfaces, Routen und Rückwege vorher prüfen |
| DoS-Schwellen ungeprüft übernehmen | VoIP, Monitoring, Scans oder veröffentlichte Dienste können gestört werden | Baseline und Testphase einplanen |
| Jede Auffälligkeit mit breiter Ausnahme lösen | Härtung wird wirkungslos und unübersichtlich | Ursache eingrenzen und Ausnahmen eng dokumentieren |
| DoS Settings als DDoS-Schutz verkaufen | falsche Erwartung bei Bandbreitenangriffen | Provider- und Upstream-Schutz separat planen |
| Keine Logs prüfen | Fehlblockaden oder Angriffe bleiben unsichtbar | Log Viewer, Central Reporting oder Syslog als Betriebspunkt definieren |
| Spoofing-Drops als reinen Angriff interpretieren | Routing- oder VLAN-Fehler werden übersehen | Source-IP, Interface, Route und Packet Capture vergleichen |
Betriebscheckliste
Vor der Aktivierung:
- Zonen, Interfaces und Routing verstanden.
- Kritische Dienste und Testfälle definiert.
- Backup oder Change-Dokumentation vorhanden.
- Logging und Auswertung vorbereitet.
- Pilotbereich oder Wartungsfenster festgelegt.
Nach der Aktivierung:
- Internet, VPN, WAF, DNAT, VoIP und Monitoring getestet.
- Log Viewer auf unerwartete Drops geprüft.
- Packet Capture für mindestens einen klaren Testfall verwendet, wenn Drops auftreten.
- Ausnahmen nur eng und mit Begründung gesetzt.
- Ergebnis in der Betriebsdokumentation festgehalten.
Regelmässig:
- DoS- und Spoof-Ereignisse prüfen.
- Ausnahmen auf Notwendigkeit kontrollieren.
- Nach Netzumbauten, VPN-Änderungen oder neuen VLANs erneut testen.
- Logs mit IPS-, Threat-Feed-, WAF- und Firewall-Regelereignissen korrelieren.