Naar de inhoud
Avanet

Sophos Firewall Veilig gebruik maken van de bypass-regel

Een bypassregel op Sophos Firewall is geen normaal allow-object en is geen vervanging voor een schone firewallregel. Het gedefinieerde verkeer omzeilt dus het normale stateful firewallpad. Dit omzeilt ook veel functies waar u in het dagelijks leven bewust op vertrouwt: firewallregels, Log Viewer, IPS, webfilters, Application Control, scannen op malware of andere beveiligingsfuncties.

Bypass-regels zijn daarom alleen nuttig voor nauw gedefinieerde speciale gevallen, bijvoorbeeld voor het op korte termijn oplossen van problemen met begeleiding, voor een zeer specifieke compatibiliteitsuitzondering of voor een duidelijk gedocumenteerde oplossing. Voor normale releases, prestatieproblemen of false positives moet u eerst specifieke regels, uitzonderingen of beleid controleren.

⚠️ Een bypass-regel vermindert de zichtbaarheid en beschermende werking van de firewall enorm. Bypass-regels moeten altijd nauwkeurig worden gedefinieerd, gedocumenteerd, getest en na voltooiing worden verwijderd.

Typische gelegenheden in de echte wereld zijn speciale gevallen met asymmetrische routering, ongebruikelijk protocolgedrag of een leveranciersanalyse op de korte termijn. Zodra de oorzaak duidelijk is, moet de oplossing worden teruggezet naar de normale firewallregels, NAT, routing, IPS, web- of TLS-uitzonderingen.

Welk type bypass wordt bedoeld

De term ‘bypass’ komt meerdere keren voor in Sophos-omgevingen. Dit artikel gaat uitsluitend over bypass-stateful-firewall-config in de Device Console.

  • Stateful Firewall Bypass: CLI-configuratie die gedefinieerd host- of netwerkverkeer omzeilt via het normale stateful firewallpad.
  • DoS bypass-regel: Uitzondering onder Spoof Protection en DoS Instellingen voor DoS-controles, niet hetzelfde als stateful firewall bypass.
  • IPS Bypass session: IPS-regelactie waarbij een IPS-hit anders wordt behandeld voor de sessie.
  • FastPath/Firewall-versnelling: normale versnelling van vertrouwde stromen op ondersteunde apparaten of platforms. Dit is geen handmatige stateful firewall-bypass en mag niet worden opgevat als een tijdelijke oplossing voor regelproblemen.
  • LAN bypass / fail-to-wire: Hardwarefunctie van bepaalde apparaten of modules, geen SFOS-regel.
  • Normale firewall-uitzondering: Firewall, NAT, web, TLS, IPS of aanpassing van applicatiebeheer in WebAdmin.

Deze scheiding is van belang omdat de maatregelen verschillende risico’s met zich meebrengen. Een DoS-uitzondering of een IPS-actie is niet automatisch onschadelijk, maar houdt nauwer verband met een functie. Een stateful firewall-bypass kan daarentegen de zichtbaarheid en beleidsevaluatie in grote lijnen omzeilen als de bron of het doel te groot wordt gekozen.

Controleer vooraf betere alternatieven

Voordat een bypass-regel wordt ingesteld, moet duidelijk zijn waarom normale mechanismen niet voldoende zijn.

Sophos Firewall Testregel met Log Viewer en Packet Capture, Firewallregel werkt niet: controleer oorzaken en Begrijp en correct configureer Sophos firewallregels hulp voor regel- en loganalyse.

Bedrijfslimieten

Een bypass-regel mag alleen worden ingesteld als aan alle punten is voldaan:

  • Bron en bestemming zijn specifieke netwerken of hosts, niet Any.
  • Richting en retourrichting worden begrepen.
  • Er is een ticket, een reden en een verantwoordelijke persoon.
  • Er is een onderhoudsvenster of testvenster gedefinieerd.
  • De bestaande configuratie was eerder gedocumenteerd.
  • Er is een terugdraaiopdracht beschikbaar.
  • Na de test wordt gecontroleerd of de regel weer is verwijderd.

Een bypass-regel is niet geschikt voor permanente “snelle activering” tussen netwerken. Als een verbinding permanent moet worden toegestaan, hoort deze thuis in een normale firewallregel met logboekregistratie en passende beveiligingsfuncties.

U moet bijzonder voorzichtig zijn met NAT-paden. Als SNAT, DNAT, VPN NAT of een andere vertaling vereist is voor de stroom, kan een stateful firewall-bypass de feitelijke NAT-beslissing omzeilen of de test vervormen. In dergelijke gevallen moet u eerst controleren met NAT Rule ID, Firewall Rule ID, Packet Capture en routering in plaats van eenvoudigweg het stateful pad te omzeilen.

Verbinding met apparaatconsole

De opdrachten worden uitgevoerd in de Device Console van Sophos Firewall. Maak hiervoor verbinding met de gebruiker admin via SSH en open de Device Console in het consolemenu.

SSH-toegang mag alleen worden toegestaan vanaf een vertrouwd beheerdersnetwerk. De voorbereiding is in Sophos Firewall verbinden via SSH.

Voordat u wijzigingen aanbrengt, moet u eerst de huidige status weergeven en documenteren.

show advanced-firewall
Sophos Firewall Bypassregels weergeven
Met show advanced-firewall worden bestaande bypass-regels zichtbaar.

Selecteer de host of het netwerk correct

Sophos staat bypass-invoer toe voor individuele hosts of netwerken. Voor het oplossen van problemen is één enkele host bijna altijd beter dan een heel subnet, omdat er dan minder verkeer onzichtbaar is.

  • Enkele bronhost naar bestemmingshost: dest_host <Ziel-IP> source_host <Quell-IP>
  • Bronnetwerk naar bestemmingshost: dest_host <Ziel-IP> source_network <Netz-IP> source_netmask <Maske>
  • Bronhost naar doelnetwerk: dest_network <Netz-IP> dest_netmask <Maske> source_host <Quell-IP>
  • Bronnetwerk naar bestemmingsnetwerk: dest_network <Netz-IP> dest_netmask <Maske> source_network <Netz-IP> source_netmask <Maske>

Brede netwerken zoals complete client-, server- of VPN-zones zijn vrijwel nooit een goed startpunt. Het is beter om een ​​strakke test te doen met een bronhost, een bestemmingshost en een duidelijke service. Alleen als de testcase echt meerdere hosts betreft, mag er sprake zijn van een klein netwerk.

Ook de richting is belangrijk. Sophos beschrijft dat voor volledige verbindingen vaak invoer voor beide richtingen nodig is. Maar dit moet bewust gebeuren: niet automatisch de logica van Any herscheppen, maar de specifieke weg terug begrijpen.

Sophos specificeert geen praktische limiet voor het aantal hosts of netwerken voor deze bypass-lijst. Dit is precies wat riskant is in het bedrijfsleven: veel kleine invoeringen zijn technisch mogelijk, maar ze worden al snel verwarrend. Als meerdere bypass-invoeren nodig lijken, is dit meestal een teken dat het feitelijke routerings-, NAT-, beleids- of applicatieprobleem nog niet duidelijk wordt begrepen.

Stel wisselframe in vóór bypass

Een bypass-regel mag nooit spontaan worden ingesteld terwijl het oplossen van problemen aan de gang is. Voordat het commando add wordt uitgevoerd, moet het duidelijk zijn welke individuele test het moet beantwoorden en hoe de wijziging ongedaan wordt gemaakt.

Houd rekening met de volgende punten om een schoon onderhouds- of testvenster te garanderen:

  • Testvraag: Werkt het gedefinieerde verkeer zonder een stateful firewallpad?
  • Beïnvloede stroom: bijvoorbeeld 192.168.33.0/24 tot 192.168.46.0/24
  • Startstatus: Uitvoer van show advanced-firewall vóór de wijziging.
  • Geplande terugreis: passend del commando voor elke ingestelde richting.
  • Afbreekcriteria: onverwacht verkeer, nieuwe verstoring of onjuist doelgebied.
  • Vervolginspectie: show advanced-firewall, Packet Capture en functietest zonder bypass.

Het opnamebevel is bijzonder belangrijk. Het moet vóór het uitharden worden voorbereid en niet na de test worden gezocht. Dit betekent dat de verandering beheersbaar blijft, zelfs als er druk ontstaat tijdens het onderhoudsvenster.

Voorbeeld: Maak een bypass-regel

Voorbeeld:

  • Bronnetwerk: 192.168.33.0/24
  • Doelnetwerk: 192.168.46.0/24
  • Bron Netmasker: 255.255.255.0
  • Doelnetmasker: 255.255.255.0

De regel voor de eerste richting:

set advanced-firewall bypass-stateful-firewall-config add dest_network 192.168.46.0 dest_netmask 255.255.255.0 source_network 192.168.33.0 source_netmask 255.255.255.0

Er is een tweede regel nodig voor de omgekeerde richting als het verkeer van het bestemmingsnetwerk terug naar het bronnetwerk ook gebruik moet maken van de bypass.

set advanced-firewall bypass-stateful-firewall-config add dest_network 192.168.33.0 dest_netmask 255.255.255.0 source_network 192.168.46.0 source_netmask 255.255.255.0

Controleer dan nogmaals:

show advanced-firewall

Als er slechts één client en één server worden getest, is het beter om hosts te gebruiken in plaats van netwerken:

set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.46.20 source_host 192.168.33.10

Voor de tegenovergestelde richting dienovereenkomstig:

set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.33.10 source_host 192.168.46.20

Controleer effect

Na het instellen moet je niet alleen testen of de applicatie werkt. Cruciaal is of de bypass werkelijk alleen het geplande verkeer beïnvloedt.

Controlepunten:

  1. show advanced-firewall toont precies de verwachte netwerken.
  2. Er zijn geen bredere netten dan gepland.
  3. Richting en terugkeer worden bewust bepaald.
  4. Testverkeer werkt alleen tussen verwachte bronnen en bestemmingen.
  5. Niet-betrokken netwerken maken geen gebruik van de bypass.
  6. Normale firewalllogboeken voor dit verkeer worden niet langer verwacht als basis voor besluitvorming.
  7. Packet Capture toont alleen verkeer tijdens de geplande test.
  8. De opname werd onmiddellijk na de test uitgevoerd.

Als Log Viewer en regeltellers plotseling geen gebeurtenissen meer weergeven, kan dit door de bypass zelf worden veroorzaakt. In deze toestand is Packet Capture nuttiger dan Log Viewer.

Bij asymmetrische routing moet je ook controleren of het retourpad daadwerkelijk door de verwachte firewall gaat. Een bypass kan symptomen maskeren als de hoofdoorzaak een onjuiste standaardgateway, een onvolledige route of NAT aan de verkeerde kant is.

Als u prestaties of ontlading vermoedt, moet u Bypass niet verwarren met FastPath. FastPath, Firewall-versnelling, PKI-versnelling en IPsec-versnelling zijn afzonderlijke mechanismen. Afhankelijk van het verkeer en platform kan normaal verkeer worden versneld zonder een bypass-regel in te stellen. Omgekeerd verandert een bypass-regel een slecht ontwerp niet in een architectuur met schone prestaties.

Overbruggingsregel verwijderen

Om te verwijderen gebruikt u hetzelfde commando met del in plaats van add.

Eerste richting verwijderen:

set advanced-firewall bypass-stateful-firewall-config del dest_network 192.168.46.0 dest_netmask 255.255.255.0 source_network 192.168.33.0 source_netmask 255.255.255.0

Omgekeerde richting verwijderen:

set advanced-firewall bypass-stateful-firewall-config del dest_network 192.168.33.0 dest_netmask 255.255.255.0 source_network 192.168.46.0 source_netmask 255.255.255.0

Controleer dan nogmaals:

show advanced-firewall

De uitvoer mag geen onverwachte bypass-vermeldingen meer bevatten.

Na de test weer netjes vastzetten

Een verwijderde bypass-regel lost niet automatisch het oorspronkelijke probleem op. Uit de test blijkt alleen dat het normale firewallpad voor het geteste verkeer waarschijnlijk hierbij betrokken was. Je moet de oorzaak dan bewust omzetten in een gedragen, zichtbare configuratie.

Nuttige vervolgvragen:

  • Was een normale firewallregel te smal of op de verkeerde plaats? Controleer de regelvolgorde, zones, bron, bestemming, service en gebruikerstoewijzing.
  • Is IPS, Web Protection of Application Control geblokkeerd? Documenthandtekening, categorie, beleid of gerichte uitzondering.
  • Was TLS Inspection hierbij betrokken? Controleer de TLS-regel, het certificaat, de uitzondering en de betrokken applicatie nauwkeurig.
  • Was het een routerings- of NAT-probleem? Vergelijk NAT Rule ID, retourroute, SD-WAN-route en Packet Capture.
  • Zal het verkeer in de toekomst permanent nodig zijn? Maak een normale firewallregel met logboekregistratie, eigenaar en beoordelingsdatum.

Na het terugtrekken moet er minimaal één controletest zonder bypass worden uitgevoerd. Als het verkeer weer alleen met bypass werkt, is de zaak nog niet afgesloten. Dan heeft u een schone regel, beleid, NAT of inspectieaanpassing nodig die zichtbaar blijft in Log Viewer en later kan worden gecontroleerd.

Bij permanente wijzigingen dient u tevens te documenteren welke echtheidskenmerken bewust actief zijn gelaten en welke uitzondering echt noodzakelijk is. Een tijdelijke bypass-regel mag niet stilletjes onderdeel worden van de operationele architectuur.

Documentatie

Elke omzeilingsregel moet worden gedocumenteerd:

  • Datum en tijd
  • Beheerder
  • reden
  • Bronnetwerk en bestemmingsnetwerk
  • betrokken toepassing
  • geplande duur
  • Test bewijs
  • Tijdstip van verwijdering
  • Vervolgtaak voor het geval er een schone regel of uitzondering moet worden gemaakt

Zonder documentatie kunnen omzeilingsregels gemakkelijk onopgemerkt blijven. Dit is vooral gevaarlijk omdat een normale blik op de firewallregels of Log Viewer niet voldoende is om het beveiligingslek te identificeren.

Controlelijst

Vóór bypass:

  • Normale firewallregel, NAT, routing, IPS, web, TLS Inspection en Application Control aangevinkt.
  • Specifieke testvraag gedefinieerd.
  • Bron, bestemming, richting en terugkeer gedocumenteerd.
  • Smalst mogelijke variant geselecteerd, waarbij de voorkeur wordt gegeven aan host in plaats van netwerk.
  • Huidige status beveiligd met show advanced-firewall.
  • del commando voorbereid voor elke geplande richting.
  • Ticket, eigenaar, tijdvenster en demontagetijd bepaald.

Tijdens de test:

  • Bypass alleen actief voor de geplande periode.
  • Testverkeer gedocumenteerd met bron, bestemming, service en tijd.
  • Packet Capture of doelsysteemlogboek gebruikt als bewijs.
  • Er worden geen onbedoelde extra netwerken of applicaties beïnvloed.

Na de test:

  • Alle overbruggingsgegevens verwijderd met del.
  • show advanced-firewall toont geen onverwachte bypass-regels.
  • Test herhaald zonder bypass of later gedocumenteerd probleem.
  • Permanente oplossing gepland als normale regel, beleid, NAT, routing of inspectie-aanpassing.
  • Ticket- en operationele documentatie bijgewerkt.

Typische fouten

  • Te brede netwerken gebruikt: Meer verkeer dan gepland omzeilt de firewall.
  • Omgekeerde richting vergeten: De applicatie werkt slechts gedeeltelijk of asymmetrisch.
  • Regel niet verwijderd: Er ontstaat een permanente beschermingsopening.
  • Geen ticket of commentaar: Later is onduidelijk waarom de bypass bestaat.
  • Log Viewer verwacht als bewijs: Het verkeer lijkt niet op normale firewallbeslissingen.
  • Omzeiling gebruikt in plaats van gerichte uitzondering: Beveiligingsfuncties zijn onnodig uitgeschakeld.
  • Wijziging zonder onderhoudsvenster: Fouten hebben onmiddellijk een productief effect.

Veelgestelde vragen

Is een Bypass-regel hetzelfde als een Allow-regel?

Nee. Een normale toestemmingsregel staat verkeer binnen de firewallregels toe en kan loggen, IPS, webfiltering, Application Control of andere beveiligingsfuncties toepassen. Een bypass-regel omzeilt het normale stateful firewall-pad voor de gedefinieerde netwerken.

Kunt u omleidingsverkeer zien in Log Viewer?

Niet zoals normaal firewallverkeer. Dit is precies de reden waarom een ​​bypass-regel niet mag worden gebruikt als permanente vrijgave. Voor testen is Packet Capture vaak een betere controle.

Moet je beide richtingen in?

Als de bypass in beide richtingen zou moeten werken, ja. Maar de richting moet bewust worden bepaald. Niet elke uitzondering heeft automatisch een brede back-regel nodig.

Moet u een bypass-regel gebruiken voor prestatieproblemen?

Gewoon heel gereserveerd. Prestatieproblemen moeten eerst worden onderzocht met regelanalyse, afstemming van IPS/webfilter/TLS Inspection, dimensionering, FastPath, logs en Packet Capture. Een bypass kan een probleem verbergen zonder de oorzaak op te lossen.