Naar de inhoud
Avanet

Sophos Firewall na de Setup Wizard configureren

Sophos Firewall

Sophos Firewall vormt het hart van een van de beste netwerkbeveiligingsplatformen ter wereld. Dit artikel beschrijft de stappen om een nieuwe Sophos Firewall in gebruik te nemen en correct te configureren. Daarbij komen de voorwaarden voor de inrichting, de registratie van de firewall, de integratie met Sophos Central en het activeren van licenties aan bod.

Met een video is het natuurlijk eenvoudiger, en Sophos heeft hiervoor al een goede video gemaakt.

Sophos Firewall: basisconfiguratie en registratie

Voorwaarden voor de inrichting

Voordat men met de inrichting van Sophos Firewall begint, moet aan enkele voorwaarden zijn voldaan:

  1. Actieve internetverbinding: de firewall heeft een werkende internetverbinding nodig voor registratie en licentiesynchronisatie.
  2. DNS-configuratie: een publieke DNS-server, zoals 8.8.8.8 (Google DNS), moet geconfigureerd zijn.
  3. Toegestane poort 443: uitgaand verkeer via poort 443 moet op alle upstream-apparaten toegestaan zijn.

Het is optioneel om vooraf een Sophos Central-account aan te maken. Dit artikel laat ook zien hoe deze stap tijdens de inrichting kan worden uitgevoerd.

Aansluitingen en netwerkconfiguratie

Na het uitpakken van de Sophos Firewall, bijvoorbeeld model XGS 118, moet op het volgende worden gelet:

  1. WAN-verbinding: sluit de WAN-interface aan op poort 2 om de internetverbinding tot stand te brengen.
  2. LAN-verbinding: verbind de LAN-interface op poort 1 met een lokaal apparaat. Het apparaat krijgt automatisch een IP-adres in het 172.16.16.x-subnet.
  3. Managementinterface (indien aanwezig): bij hogere modellen is er vaak een dedicated managementpoort (MGMT) met het standaard-IP-adres 10.0.1.1. Het is aanbevolen deze poort voor de basisinrichting te gebruiken.

Toegang tot de webinterface

Om Sophos Firewall te configureren, wordt via een webbrowser toegang verkregen tot de Web UI. Afhankelijk van de gebruikte interface wordt een van de volgende URL’s gebruikt:

  • LAN-poort: https://172.16.16.16:4444
  • Managementpoort: https://10.0.1.1:4444

Bij de eerste toegang verschijnt een waarschuwing over het self-signed certificate, die moet worden geaccepteerd. Daarna opent de welkomstpagina.

Eerste configuratie met de Setup Wizard

  1. Admin-wachtwoord instellen: er moet een nieuw wachtwoord voor de admin-gebruiker worden ingesteld en bevestigd.
  2. Firmware-update: indien nodig wordt de nieuwste firmware tijdens de inrichting automatisch geïnstalleerd.
  3. Secure Storage Master Key: men maakt een Master Key aan voor secure storage, die wordt gebruikt voor het versleutelen van gevoelige gegevens. Deze sleutel moet veilig in een wachtwoordmanager worden bewaard. Hij is onder andere nodig wanneer een versleutelde back-up op een nieuwe firewall moet worden teruggezet. Als de Master Key verloren gaat, kan hij met admin-wachtwoord en SSH-toegang worden gereset. Gegevens of back-ups die met de oude sleutel beschermd zijn, kunnen daardoor echter niet automatisch zonder verdere stappen worden hersteld.

Internetverbinding en DNS controleren

In de volgende stap wordt gecontroleerd of de firewall een werkende internetverbinding heeft. Als er problemen optreden, kunnen de instellingen handmatig worden aangepast. Het gebruik van een publieke DNS-server zoals 8.8.8.8 wordt aanbevolen.

Sophos Firewall registreren

Sophos Firewall kan direct of op een later moment worden geregistreerd. Zonder registratie kan de firewall tot 30 dagen worden gebruikt. Registratie gebeurt via het Sophos Central-platform.

Registratiestappen

  1. Firewall in Sophos Central claimen: na registratie van de firewall wordt deze in Sophos Central geclaimd. Als er nog geen Sophos Central-account bestaat, kan dit direct tijdens de inrichting worden aangemaakt.
  2. OTP-registratie: voor de registratie wordt een One-Time Password (OTP) gebruikt dat door Sophos Central beschikbaar wordt gesteld.

Licenties activeren

Na de registratie controleert Sophos Firewall de licenties bij de Sophos-licentieserver. Sinds oktober 2024 worden licenties bij aankoop normaal gesproken direct door Sophos geactiveerd. Als de firewall internettoegang heeft, haalt hij de actuele licentie-informatie automatisch op.

Bij Avanet is het vergelijkbaar: wanneer een Sophos Firewall-abonnement wordt gekocht, activeren wij de licenties normaal gesproken. Als bij de bestelling een bepaalde startdatum gewenst is, kan daarmee rekening worden gehouden. De Sophos-licentieserver weet dan al Bescheid en de firewall kan de licentie na registratie automatisch overnemen.

Controleer na de inrichting onder Administration > Licensing of Base License, Support en de geboekte subscriptions correct worden weergegeven. Als de weergave niet actueel is, kan de licentiesynchronisatie handmatig via de synchronisatieknop worden gestart.

Verbinding met Sophos Central

Voor het gebruik van één enkele Sophos Firewall is Sophos Central niet verplicht. De firewall kan volledig lokaal via WebAdmin worden beheerd. Sophos Central biedt echter meerdere voordelen wanneer men deze functies bewust wil gebruiken:

  • centraal overzicht van één of meerdere firewalls
  • managementtoegang via Sophos Central zonder WebAdmin direct op internet te publiceren
  • opslag van configuratieback-ups in Sophos Central
  • Central Firewall Reporting met log- en rapportgegevens in de cloud
  • afhankelijk van de licentie langere logretentie en extra reportingfuncties
  • Synchronized Security met Sophos Endpoint, bijvoorbeeld Security Heartbeat en geautomatiseerde reacties bij gecompromitteerde apparaten

Belangrijk: een cloudkoppeling is geen verplichting. Wie slechts één firewall lokaal wil beheren, kan dat blijven doen. Wie meerdere Sophos-producten of meerdere firewalls gebruikt, krijgt met Sophos Central duidelijk meer overzicht.

Meer informatie staat in Sophos Firewall met Sophos Central verbinden: voordelen en grenzen.

Stappen voor verbinding met Sophos Central

  1. Firewall Management in Sophos Central: in het Sophos Central-dashboard onder “Firewall Management” kan de firewall worden toegevoegd door het serienummer in te voeren.
  2. OTP-authenticatie: een OTP-code wordt gebruikt om de registratie af te ronden.
  3. Diensten activeren: tot slot worden de Sophos Central-diensten op de firewall geactiveerd.

Afronding van de inrichting

Na voltooiing van de inrichting start de firewall opnieuw op. Na de herstart kunnen de licenties opnieuw worden gecontroleerd en geactiveerd. Daarnaast worden automatische configuratieback-ups ingericht, die wekelijks per e-mail worden verzonden.

Wat na de Setup Wizard nog moet gebeuren

Na de Setup Wizard is Sophos Firewall bereikbaar, geregistreerd en in principe klaar voor gebruik. Dat betekent echter niet dat de omgeving al netjes gesegmenteerd of volledig beveiligd is. De wizard maakt een eerste basisconfiguratie, maar het echte productiewerk begint daarna: interfaces, zones, Device Access, DNS, DHCP, Firewall Rules, NAT, logs, back-ups en beveiligingsprofielen moeten bewust worden gecontroleerd.

Sophos Firewall is geen consumentenrouter waarbij men na de wizard klaar is. Hij kan een netwerk zeer goed beveiligen, maar alleen als de architectuur klopt: zones moeten bij de beveiligingslogica passen, managementtoegang moet beperkt zijn, regels moeten bewust en gedocumenteerd worden aangemaakt, en functies zoals webfiltering, IPS, Application Control of TLS Inspection moeten gericht worden geactiveerd en getest. Een verkeerd geconfigureerde firewall kan een misleidend gevoel van veiligheid geven.

Als eerste is een blik in het Control Center nuttig. Daar ziet men systeemstatus, traffic, gebruikers- en apparaatinformatie, Active Threat Response, actieve Firewall Rules, rapporten en meldingen zoals nieuwe firmware. Waarschuwingen en meldingen in dit gebied moeten niet zomaar worden weggeklikt, maar als praktische checklist voor de nabewerking worden gebruikt.

Firmware, licentie en back-up controleren

Open Backup & firmware en controleer of de actieve firmware actueel is. Firmware-updates zijn relevant voor de veiligheid omdat hiermee bugfixes, stabiliteitsverbeteringen en security fixes worden geïnstalleerd. Updates moeten niet permanent worden uitgesteld, maar ook niet onvoorbereid worden geïnstalleerd.

Sophos Firewall werkt met twee firmware-slots. Daardoor kan bij problemen weer naar een eerdere firmware worden opgestart. Toch moet vóór elke grotere wijziging een handmatige back-up worden gemaakt. Bij productieve firewalls plant men een onderhoudsvenster en controleert men release notes, HA-status, vrije opslagruimte, VPN-afhankelijkheden en externe bereikbaarheid.

Onder Backup & firmware moet ook een regelmatige back-up worden ingericht. Voor versleutelde back-ups is een back-upwachtwoord nodig. Voor het herstellen van gevoelige gegevens is daarnaast de Secure Storage Master Key relevant. Deze sleutel hoort absoluut in een wachtwoordmanager. Als hij verloren gaat, kan hij wel via de console worden gereset, maar bestaande beschermde back-ups kunnen daarmee niet meer normaal worden hersteld.

Controleer daarna onder Administration > Licensing of registratie, Base License en geboekte subscriptions correct worden weergegeven. Zonder passende licentie werken veel beveiligingsfuncties niet of slechts beperkt. Voor updates helpen Sophos Firewall Firmware Update - voorbereiding en best practices en Firmware op Sophos Firewall bijwerken. Back-ups worden uitgebreider uitgelegd in Sophos Firewall back-up maken of herstellen.

Zones en interfaces netjes plannen

De wizard kan bij hardware-appliances meerdere LAN-poorten tot een bridge samenvoegen. Dat is handig voor een snelle start, maar niet altijd de beste doelarchitectuur. Controleer onder Network > Interfaces welke poorten, VLANs, bridges of LAGs werkelijk nodig zijn.

Elke interface is exact aan één zone toegewezen. Deze toewijzing bepaalt later hoe Firewall Rules, Device Access en beveiligingsprofielen werken. Typische productieve zones zijn bijvoorbeeld LAN, Server, DMZ, Guest, VoIP, Management of VPN. Niet elke VLAN heeft noodzakelijk een eigen zone nodig, maar elke zone moet een duidelijke beveiligingsbetekenis hebben.

Meer informatie staat in Sophos Firewall zones en interfaces plannen en configureren.

Device Access beveiligen

Een veelgemaakte fout na de eerste inrichting is te veel managementtoegang. Toegang tot lokale diensten van de firewall, zoals Web Admin, SSH, User Portal, DNS of Ping, wordt niet via normale Firewall Rules geregeld. Daarvoor is Administration > Device access verantwoordelijk.

Voor productiesystemen moeten HTTPS en SSH niet breed vanuit onveilige zones worden toegestaan. Als externe toegang nodig is, moet men met een Local service ACL exception rule werken en de toegang beperken tot vaste IP-adressen of gedefinieerde managementnetwerken. Als alternatief is Sophos Central Firewall Management vaak de nettere oplossing.

Meer informatie staat in Sophos Firewall toegang beveiligen: Device Access correct configureren.

DNS, DHCP en interne naamresolutie controleren

Onder Network > DNS wordt bepaald hoe de firewall DNS-servers ontvangt: via DHCP, PPPoE-gegevens van de provider of statisch. Voor interne domeinen moeten DNS request routes worden gebruikt, zodat aanvragen voor interne zones naar de juiste interne DNS-server gaan.

DHCP wordt onder Network > DHCP per interface ingericht. Het is belangrijk DHCP-bereiken netjes af te stemmen op de interface- en VLAN-structuur. Als DHCP over VPN-verbindingen moet worden doorgestuurd, kan de firewall ook als DHCP Relay werken. Voor interne domeinen is DNS request routes op Sophos Firewall configureren nuttig. DHCP-speciale opties staan beschreven in Sophos Firewall DHCP Options configureren.

Eerste Firewall en NAT Rules controleren

De door de wizard aangemaakte Default-Outbound-regel moet niet blind worden overgenomen. Onder Rules and policies > Firewall rules moet worden gecontroleerd welke bronzones toegestaan zijn, welke doelen bereikbaar moeten zijn en welke Security Features actief zijn. Regels worden van boven naar beneden verwerkt; de eerste passende regel wint.

Voor NAT geldt: NAT staat op zichzelf geen traffic toe. Er is altijd ook een passende Firewall Rule nodig. Voor nieuwe configuraties zijn zelfstandige NAT-regels meestal overzichtelijker dan Linked NAT Rules. De basis staat in Sophos Firewall Rules begrijpen en correct configureren en NAT op Sophos Firewall begrijpen: SNAT, DNAT, MASQ, PAT. Als een interne server gepubliceerd moet worden, past Server met DNAT op Sophos Firewall publiceren.

Logging en troubleshooting voorbereiden

Activeer in belangrijke Firewall Rules Log firewall traffic, anders ontbreken later vaak precies de gegevens die nodig zijn voor troubleshooting. Veel beheerders weten dit niet: als een Firewall Rule niet logt, verschijnt het bijbehorende traffic ook niet zinvol in Log Viewer. Er zijn misschien andere systeemgebeurtenissen zichtbaar, maar niet de concrete regelbeslissing die men zoekt.

Onder System services > Log settings kan worden gedefinieerd welke logtypen lokaal, naar syslog-servers of naar Sophos Central worden gestuurd. De firewall heeft lokale logbestanden en een interne reportingdatabase, maar die zijn niet bedoeld als langdurig archief voor weken, maanden of jaren. Als logs langdurig bewaard of centraal doorzocht moeten worden, is een externe syslog-server of Sophos Central Firewall Reporting nodig.

Voor Sophos Central geldt grofweg: met een actieve firewall subscription zijn Central Firewall Reports gedurende een beperkte periode beschikbaar. Met Xstream Protection of Central Orchestration zijn langere analyses mogelijk. Met Sophos Central Firewall Reporting Advanced krijgt men extra opslag en een duidelijk langere bewaartermijn. De details staan in het aparte reportingartikel.

Voor eerste analyses zijn Log viewer, Policy tester en Packet capture meestal voldoende. Voor diepere analyses kunnen CLI-logs worden verzameld, debug-logs worden geactiveerd of tcpdump worden gebruikt. Debug-logs moeten alleen gericht en tijdelijk worden ingeschakeld, omdat ze veel meer data genereren. Firewall Rules testen met Log Viewer, Policy Test en Packet Capture laat zien hoe regels getest worden. Voor Packet Capture, servicenamen en logbestanden zijn er Packet Capture Tool in WebAdmin gebruiken en Sophos Firewall services en logbestanden begrijpen. Als logs naar Sophos Central moeten worden gestuurd of voor support verzameld worden, helpen Central Firewall Reporting activeren en Sophos Firewall logs voor externe analyse opslaan.

Support

Na de basisinrichting is Sophos Firewall functioneel en klaar voor gebruik. Toch moet men erop letten dat de firewall in deze staat nog lang niet volledig veilig is. Het echte werk begint nu: de configuratie van interfaces, zones, Firewall Rules, Intrusion Prevention Systems (IPS), policies en meer is noodzakelijk voor een veilige en robuuste netwerkbeveiligingsoplossing.

Ons langetermijnplan is om voor elk van deze stappen gedetailleerde video’s te maken, zodat configuratie eenvoudiger wordt en de best mogelijke veiligheid wordt gegarandeerd. In de tussentijd staat ons supportteam klaar om te helpen bij inrichting, optimalisatie of migratie van Sophos Firewall.