Sophos Firewall Black Hole DNAT: Bad IPs blokkeren
Zodra diensten vanaf internet bereikbaar zijn, zie je meestal snel ongewenst verkeer: poortscans, loginpogingen, bekende botnets of toegang vanuit landen waaruit geen gebruikers worden verwacht. Op Sophos Firewall kun je zulke bronnen op meerdere niveaus blokkeren.
Dit artikel legt twee typische varianten uit:
- landen of bronnetwerken blokkeren met een Firewall Rule
- ongewenste bronnen met een Black Hole DNAT Rule naar nergens vertalen
Daarnaast raden we Sophos Firewall Threat Feeds aan, zodat bekende kwaadaardige IP’s, domeinen of URL’s automatisch kunnen worden geblokkeerd.
Welke methode past wanneer?
| Methode | Geschikt voor | Typisch gebruik |
|---|---|---|
Firewall Rule met Drop | Verkeer blokkeren op basis van Source Country, Source Network of Source Host | Landen blokkeren, afzonderlijke netwerken blokkeren, bekende Bad-IP-lijsten handmatig beheren |
| Black Hole DNAT | Ongewenst verkeer naar een niet-bestaand intern IP-adres omleiden | Verkeer naar gepubliceerde diensten vroeg afvangen |
| WAF Blocked countries | Webservers die via WAF gepubliceerd worden | Landen direct in een WAF-regel blokkeren |
| Threat Feeds | Dynamische lijsten met bekende kwaadaardige bronnen | Botnets, scanners, malware-infrastructuur en bekende aanvallers-IP-adressen automatisch blokkeren |
Welke methode zinvol is, hangt af van waar het verkeer technisch wordt verwerkt. Sophos wijst erop dat Firewall Rules niet in alle gevallen gelden voor verkeer naar een Hosted Address die in WAF wordt gebruikt. In zulke gevallen is een WAF-landenregel of een Black Hole DNAT Rule vaak geschikter.
Landen blokkeren met een Firewall Rule
Voor algemene Country Blocking kun je een Firewall Rule met Drop maken.
Menupad:
Rules and policies > Firewall rules
Aanbevolen velden:
| Veld | Waarde |
|---|---|
| Rule name | duidelijke naam, bijvoorbeeld BLOCK_COUNTRY_PANAMA |
| Rule position | Top |
| Action | Drop |
| Source zones | Any |
| Source networks and devices | land, landengroep, IP-lijst of hostgroep |
| During scheduled time | All the time |
| Destination zones | Any |
| Destination networks | Any |
| Services | Any of een gedefinieerde service |
Voor Country Blocking is het belangrijk om Source zones en Destination zones niet te strak in te stellen. Als je alleen WAN als Source zone invult, geldt de regel mogelijk niet voor alle relevante verkeerspaden.
Black Hole DNAT voor ongewenste bronnen
Een Black Hole DNAT Rule vertaalt verkeer naar een bestemming die niet in het netwerk bestaat. Het verkeer loopt daarmee dood en bereikt de eigenlijke dienst niet.
Dit is vooral nuttig wanneer een dienst via DNAT wordt gepubliceerd en bepaalde bronnen al vóór de echte port forwarding moeten worden afgevangen.
Voorbeeld:
| Veld | Waarde |
|---|---|
| Rule name | BLOCK_BAD_IPS_COUNTRIES |
| Rule position | Top |
| Original source | Bad-IP-lijst, land of landengroep |
| Original destination | publiek WAN-IP of WAN-hostobject |
| Original service | Any of de gepubliceerde service |
| Translated source (SNAT) | Original |
| Translated destination (DNAT) | dummy-host die niet bestaat |
| Translated service (PAT) | Original |
| Inbound interface | Any |
| Outbound interface | Any |
De dummy-host moet een IP-adres gebruiken dat niet in het eigen netwerk bestaat en niet gerouteerd wordt. Belangrijk is dat deze regel boven de echte DNAT-regels staat. NAT-regels worden van boven naar beneden verwerkt. Als eerst de normale DNAT-regel matcht, komt de Black Hole DNAT Rule te laat.
Waarom de volgorde beslissend is
Bij NAT-regels wint de eerste passende regel. Een Black Hole DNAT Rule moet daarom heel hoog staan, meestal helemaal bovenaan in de NAT-regeltabel.
Voorbeeldvolgorde:
- Black Hole DNAT voor Bad-IP-lijst en geblokkeerde landen
- specifieke DNAT-regels voor gepubliceerde diensten
- speciale SNAT-regels
- algemene MASQ-regel voor uitgaand verkeer
Voor Firewall Rules geldt hetzelfde principe: specifieke block-regels staan boven algemene allow-regels. Anders kan verkeer al toegestaan zijn voordat de Drop-regel wordt gecontroleerd.
Source niet onnodig op Any laten
Bij gepubliceerde diensten moet de Source zo veel mogelijk worden beperkt.
Zinvolle bronnen kunnen zijn:
- afzonderlijke publieke IP-adressen
- netwerken van partners of vestigingen
- landen waaruit toegang verwacht wordt
- FQDN Hosts of DNS Host Groups, indien passend
- onderhouden Host Groups met toegestane admin-IP-adressen
Any is alleen zinvol als de dienst echt wereldwijd bereikbaar moet zijn. Dan moeten extra beschermingsmaatregelen worden ingeschakeld: logging, IPS, MFA waar mogelijk, sterke authenticatie, actuele doelsystemen en Threat Feeds.
Threat Feeds aanvullend gebruiken
Handmatige lijsten en landenregels zijn statisch. Aanvallersinfrastructuur verandert echter voortdurend. Daarom raden we daarnaast Sophos Firewall Threat Feeds aan.
Threat Feeds helpen vooral bij:
- bekende scanner-IP-adressen
- botnets
- malware-infrastructuur
- gecompromitteerde hosts
- dynamisch onderhouden Bad-IP-lijsten
Zo hoef je niet elk afzonderlijk IP-adres handmatig te beheren. De firewall kan bekende slechte bronnen al blokkeren voordat ze de gepubliceerde dienst bereiken.
Typische fouten
| Fout | Gevolg |
|---|---|
| Black Hole DNAT staat onder de normale DNAT-regel | De normale DNAT-regel matcht eerst, de block-regel werkt niet |
| Dummy-bestemming bestaat toch in het netwerk | Verkeer komt onverwacht op een echt systeem terecht |
| Source wordt in NAT en Firewall Rule verschillend beheerd | Regels worden lastig te begrijpen en gaan uit elkaar lopen |
| Country Blocking wordt als enige bescherming gebruikt | Bots uit toegestane landen kunnen nog steeds aanvallen |
| Logging is uitgeschakeld | In Log Viewer is niet duidelijk welke regel gematcht heeft |
Troubleshooting
Als een block-regel niet werkt, controleer dan in deze volgorde:
- Staat de NAT- of Firewall Rule echt boven de allow-regels?
- Matcht het source-IP met de Bad-IP-lijst of het gekozen land?
- Wordt het verkeer verwerkt door een WAF-regel, DNAT-regel of Firewall Rule?
- Is logging op de betreffende Firewall Rule actief?
- Toont Log Viewer de verwachte Firewall Rule ID of NAT Rule ID?
- Zie je het verkeer in Diagnostics > Packet capture?
Voor analyse helpen ook Firewall Rule matcht niet: volgorde, matching en logs controleren, Packet Capture Tool in WebAdmin gebruiken en NAT op Sophos Firewall begrijpen: SNAT, DNAT, MASQ, PAT.