Naar de inhoud
Avanet

Sophos Firewall Application Control instellen en testen

Sophos Firewall

Application Control op Sophos Firewall herkent applicaties onafhankelijk van de pure poort. Hiermee kunnen bijvoorbeeld remote-control-tools, tunneling-applicaties, streaming, cloudopslag, messengers of risicovolle browseromzeilingen gericht worden toegestaan, geblokkeerd of gelogd.

Het praktische nut ontstaat echter pas wanneer Application Control actief is in de juiste firewallregel, de applicatie daadwerkelijk wordt herkend en logs worden geanalyseerd. Een opgeslagen Application Filter Policy blokkeert op zichzelf nog niets.

Kort antwoord

Application Control wordt in twee stappen gebruikt:

  1. Onder Protect > Applications > Application filter een Application Filter Policy plannen of maken.
  2. In de juiste firewallregel onder Other security features bij Identify and control applications (App control) selecteren.

Daarna moet met een echte testclient worden gecontroleerd of het verkeer via deze regel loopt en of de applicatie correct wordt herkend in de Log Viewer. Bij versleuteld verkeer kan TLS Inspection cruciaal zijn, omdat de firewall anders afhankelijk van de applicatie minder details ziet.

Wanneer Application Control zinvol is

Application Control is vooral nuttig wanneer poorten alleen niet voldoende zeggingskracht hebben. Veel applicaties gebruiken HTTPS, wisselende doelen of cloudinfrastructuur. Een pure poortregel ziet dan alleen 443, maar niet of daarachter een toegestane bedrijfsdienst, een remote-control-tool of een ongewenste cloudopslag zit.

Typische gebruikssituaties:

  • TeamViewer, AnyDesk, Tor of proxy-tools blokkeren
  • Streaming of sociale media in bepaalde netwerken beperken
  • Cloudopslag controleren
  • Messengers of spellen in gast- of schoolnetwerken beperken
  • Applicatieherkenning voor rapportage en analyse activeren
  • Traffic Shaping voor herkende applicaties voorbereiden

Als het niet gaat om herkenning of blokkering, maar om prioritering of bandbreedtebeperking, past daarnaast Application Traffic Shaping op Sophos Firewall configureren.

Vereisten

Voor de configuratie moeten deze punten worden gecontroleerd:

  • passende licentie met Web Protection of Application Control
  • betrokken firewallregel is bekend
  • Log firewall traffic is voor de testregel actief
  • gewenste applicatie of categorie is inhoudelijk duidelijk
  • testclient en testdoel zijn gedefinieerd
  • bij HTTPS-applicaties is duidelijk of TLS Inspection moet worden ingezet

De licentiestatus controleert men onder System > Administration > Licensing. In typische Sophos-firewallbundels met Web Protection is Application Control inbegrepen. De concrete licentielogica moet echter voor productieve invoering worden gecontroleerd, vooral bij verlopen abonnementen of testlicenties.

Application Filter plannen

Een goede Application Filter is niet zomaar een lange blokkeerlijst. Eerst moet duidelijk zijn wat bereikt moet worden.

DoelTypische aanpak
risicovolle remote-control-tools blokkerengerichte applicaties of categorie blokkeren
gasten-WLAN beperkenongewenste categorieën blokkeren, toegestane basisdiensten openlaten
applicatie alleen loggeneerst Allow met logging en rapporten gebruiken
false positive vermijdennauwere applicatiekeuze in plaats van brede categorie
bedrijfskritische applicatie prioriterenApplication Control met Traffic Shaping combineren

Voor productieve netwerken is een observatiemodus vaak zinvol: eerst Application Control activeren, logs en rapporten controleren, daarna gericht blokkeren. Zo ziet men welke applicaties echt voorkomen en of een blokkering legitieme processen zou verstoren.

Rollout in fasen plannen

Application Control moet niet in één grote stap voor alle netwerken worden ingeschakeld. Beter is een kleine rollout met een duidelijke testgroep, zichtbaar logging en een gedefinieerd besluit wanneer observatie een blokkering wordt.

Een praktische aanpak:

FaseDoelTypische instelling
Inventarisontdekken welke applicaties daadwerkelijk voorkomenApplication Filter met logging, nog zonder brede blokkering
Pilotgeselecteerde gebruikers of een testnetwerk controlerenenkele risicovolle applicaties blokkeren, Rule ID en logs nauwgezet controleren
Productiebevestigde policy op doelnetwerk toepassenFilter in productieve regel activeren, uitzonderingen documenteren
Bedrijfeffect en neveneffecten bewakenRapporten, Log Viewer, Central Reporting of Syslog regelmatig controleren

Voor de productie moet duidelijk zijn welke applicaties toegestaan moeten blijven. Dit omvat vaak update-diensten, remote-support, samenwerkingstools, cloudopslag, telefonie of branchespecifieke applicaties. Als deze afhankelijkheden pas na de blokkering zichtbaar worden, lijkt Application Control snel een storende factor in plaats van een beschermingsfunctie.

Voor de acceptatie is een korte beslissingslijst de moeite waard: Welke applicatie wordt geblokkeerd, welke gebruikersgroep is getroffen, welke uitzondering is toegestaan, wie is de inhoudelijke eigenaar en wanneer wordt de policy opnieuw beoordeeld? Deze documentatie is belangrijker dan een perfecte eerste filter.

Application Filter maken

Menupad:

Protect > Applications > Application filter

Aanpak:

  1. Add openen.
  2. Een duidelijke naam geven, bijvoorbeeld Block_Remote_Control_Tools.
  3. Een regel binnen de filter toevoegen.
  4. Applicatie, categorie, risico of Smart Filter selecteren.
  5. Actie instellen, bijvoorbeeld Deny, Allow of passende controle afhankelijk van de versie.
  6. Filter opslaan.

Bij categorieën moet men voorzichtig zijn. Een brede categorie kan meer applicaties treffen dan verwacht. Voor eerste tests zijn individuele applicaties of duidelijk afgebakende groepen vaak beter dan een grote verzamelblok.

In Firewall-regel activeren

Application Control werkt pas wanneer de filter in een firewallregel is geselecteerd.

Menupad:

Protect > Rules and policies > Firewall rules

Aanpak:

  1. De firewallregel openen, waarover het betrokken verkeer daadwerkelijk loopt.
  2. Het gedeelte Other security features openen.
  3. Bij Identify and control applications (App control) de Application Filter selecteren.
  4. Log firewall traffic activeren, ten minste voor test en acceptatie.
  5. Regel opslaan.
  6. Met een gedefinieerde client testen.

De regelvolgorde is cruciaal. Als het verkeer al door een algemenere regel hogerop wordt verwerkt, bereikt het de regel met Application Control niet. Dan lijkt de configuratie in WebAdmin correct, maar heeft geen effect.

De basisprincipes van Source, Destination, Services, Security Features en regelvolgorde staan in Sophos Firewall-regels begrijpen en veilig configureren.

TLS Inspection en herkenning

Application Control kan ook zonder volledige TLS Inspection bepaalde applicaties herkennen. Bij veel moderne HTTPS- en clouddiensten ziet de firewall zonder ontsleuteling echter alleen beperkte informatie zoals IP-adres, SNI, certificaatgegevens, hostnaam of verbindingsmetadata.

Dit is niet altijd voldoende voor betrouwbare herkenning. Als een applicatie via HTTPS niet zoals verwacht wordt herkend, moet men controleren:

  • loopt het verkeer via de juiste firewallregel?
  • is Application Control in deze regel actief?
  • wordt de applicatie in principe door Sophos herkend?
  • is TLS Inspection voor dit verkeer nodig en verantwoord?
  • is er QUIC of HTTP/3, dat de controle bemoeilijkt?
  • grijpen Web Policy, IPS of DNS Protection aanvullend in?

TLS Inspection moet stapsgewijs en met uitzonderingen worden ingevoerd. De passende aanpak staat in Sophos Firewall TLS Inspection correct invoeren. Voor QUIC en HTTP/3 past Sophos Firewall QUIC en HTTP/3 correct blokkeren.

Effect testen

Na het activeren moet men niet alleen op gebruikersfeedback wachten. Een grondige test bespaart veel tijd.

Praktische aanpak:

  1. Testclient en bron-IP vastleggen.
  2. Applicatie bewust starten of doel oproepen.
  3. In de Log viewer op bron-IP, bestemming, service en applicatie filteren.
  4. Controleren welke Firewall Rule ID werd geraakt.
  5. Controleren of Application Control de applicatie herkent.
  6. Bij blokkering controleren of de blokkering inhoudelijk gewenst is.
  7. Bij onduidelijke herkenning Packet Capture en Service-logs aanvullen.

Application Control gebruikt in het technische pad vaak ips.log. De logtoewijzing staat in Sophos Firewall Troubleshooting: Services en Logs. Voor de afbakening met Log Viewer en Packet Capture helpt Sophos Firewall Regel testen met Log Viewer, Policy Test en Packet Capture.

False Positives correct behandelen

Als Application Control legitiem verkeer blokkeert, moet men niet meteen de hele filter deactiveren.

Zinvolle volgorde:

  1. Betrokken applicatie en logvermelding documenteren.
  2. Controleren welke firewallregel en welke Application Filter betrokken zijn.
  3. Applicatie, categorie en actie in de filter controleren.
  4. Controleren of de applicatie door TLS Inspection anders wordt herkend.
  5. Uitzondering zo nauw mogelijk instellen: applicatie, bronnetwerk, gebruikersgroep of doel.
  6. Eigenaar en herzieningsdatum voor de uitzondering documenteren.

Een uitzondering voor Any of een brede categorie lost het huidige geval vaak snel op, maar verzwakt de controle blijvend. Beter is een kleine, begrijpelijke uitzondering met duidelijke reden.

Typische fouten

FoutEffectBetere aanpak
Application Filter gemaakt, maar niet in regel geselecteerdgeen effect op verkeerFilter in de echte firewallregel activeren
Verkeer loopt via andere regelFilter wordt nooit bereiktRule ID in Log Viewer controleren
te brede categorie geblokkeerdlegitieme cloud- of bedrijfsdiensten getroffenindividuele applicaties of nauwere groepen gebruiken
HTTPS-herkenning overschatApplicatie wordt niet betrouwbaar herkendTLS Inspection en QUIC-gedrag controleren
Logging ontbreektEffect blijft onzichtbaarRegel-logging voor test en bedrijf activeren
Uitzondering te breedBeschermingsfunctie wordt praktisch uitgeholdUitzondering nauw en met herzieningsdatum instellen

Bedrijfscontrole

Application Control moet regelmatig worden gecontroleerd. Applicaties veranderen, clouddiensten gebruiken nieuwe eindpunten, gebruikers gebruiken nieuwe tools en handtekeningen worden bijgewerkt.

Men moet documenteren:

  • Doel van de Application Filter
  • betrokken firewallregels
  • geblokkeerde of toegestane applicaties
  • bekende uitzonderingen
  • inhoudelijke eigenaar
  • herzieningsdatum
  • laatste relevante wijziging

Als Application Control wordt gebruikt voor kritische bedrijfsapplicaties, schoolnetwerken of nalevingsvereisten, moet daarnaast Central Reporting, Syslog of SIEM worden gecontroleerd. Voor centrale evaluatie past Central Firewall Reporting activeren of Sophos Firewall Syslog en SIEM instellen.

Checklist

  • Licentiestatus gecontroleerd.
  • Betrokken firewallregel duidelijk geïdentificeerd.
  • Application Filter met duidelijk doel gemaakt.
  • Filter in de juiste firewallregel geselecteerd.
  • Regel-logging actief.
  • Testclient en testapplicatie gedefinieerd.
  • Log Viewer op Rule ID en Application Control gecontroleerd.
  • TLS Inspection en QUIC beoordeeld, als HTTPS-herkenning onduidelijk is.
  • Uitzonderingen nauw gedocumenteerd.
  • Herzieningsdatum ingesteld.

Veelgestelde vragen

Waar activeer je Application Control op Sophos Firewall?

Men maakt of selecteert een Application Filter onder Protect > Applications > Application filter en activeert deze vervolgens in de juiste firewallregel onder Other security features > Identify and control applications (App control).

Waarom werkt Application Control niet?

Vaak loopt het verkeer via een andere firewallregel, is de Application Filter niet in de regel actief, ontbreekt logging of wordt de applicatie zonder TLS Inspection niet betrouwbaar herkend.

Heeft Application Control TLS Inspection nodig?

Niet altijd. Sommige applicaties kunnen ook zonder volledige ontsleuteling worden herkend. Bij moderne HTTPS- en clouddiensten kan TLS Inspection echter nodig zijn, zodat de firewall voldoende details ziet.

Is Application Control hetzelfde als Web Filtering?

Nee. Web Filtering beoordeelt websites, categorieën en URL’s. Application Control herkent applicaties en protocollen. In moderne HTTPS-omgevingen overlappen de onderwerpen, maar blijven het verschillende controlepunten.

Kan men Application Control voor Traffic Shaping gebruiken?

Ja. Application Control kan applicaties herkennen die daarna worden geprioriteerd of beperkt. De eigen aanpak staat in Application Traffic Shaping op Sophos Firewall configureren.