Sophos Firewall correct configureren na de Setup Wizard
Na de Setup Wizard is een Sophos Firewall bereikbaar, geregistreerd en in principe operationeel. Echter, veilig is ze daarmee nog niet. De wizard verzorgt de start, niet de productieve architectuur.
Dit artikel bundelt de punten die na de eerste installatie gecontroleerd moeten worden: internettoegang, registratie, licentiestatus, firmware, backup, zones, Device Access, DNS, DHCP, firewallregels, NAT, logging en eerste hardeningmaatregelen. Het is bedoeld als praktische checklist voor nieuwe XGS-hardware, virtuele firewalls en kleine migraties.
Bij een migratie van XG naar XGS, hardware naar virtueel of een herstel op een vervangend apparaat, moet ook Sophos Firewall Backup maken of herstellen en Sophos XG vs. XGS: Verschillen, EOL en migratie worden gecontroleerd.
Snelle start na de eerste login
Wanneer de firewall net uit de wizard komt, is niet elk detail meteen dringend. In de eerste 30 minuten gaat het vooral om het behouden van toegang, het veiligstellen van de status en het herkennen van de grootste operationele risico’s.
Deze volgorde is voor de meeste nieuwe installaties zinvol:
- Admin-toegang beveiligen: Wachtwoord, Secure Storage Master Key en tweede admin- of Break-Glass-toegang documenteren.
- Licentie en registratie controleren: Onder Administration > Licensing controleren of model, serienummer, basislicentie en abonnementen kloppen.
- Backup maken: Voor verdere wijzigingen een handmatige backup downloaden en extern opslaan.
- Firmware en patroon controleren: Firmwarestatus, hotfixes en patroonupdates controleren, maar updates alleen installeren met onderhoudsvenster en rollback-plan.
- Device Access beperken: WebAdmin en SSH niet breed toegankelijk laten vanuit client-, gast-, IoT- of WAN-zones.
- Zones en interfaces plausibiliseren: WAN, LAN, VLANs, bridges, managementnetwerk en latere beveiligingszones controleren tegen het netwerkplan.
- Standaardregels beoordelen: Eerste firewall- en NAT-regels niet als definitief beveiligingsontwerp overnemen.
- Logging activeren: Bij belangrijke regels Log firewall traffic inschakelen, zodat latere tests in de Log Viewer te volgen zijn.
- Acceptatietest plannen: productief verkeer pas na een kort testplan vrijgeven, niet direct na de wizard.
Pas als deze punten in orde zijn, moet productief verkeer, Remote Access, WAF, SD-WAN, RED of TLS Inspection worden opgezet. Anders wordt het oplossen van problemen later onnodig moeilijk, omdat onduidelijk is of een probleem voortkomt uit de basisconfiguratie, een beveiligingsfunctie of een toepassing.
Setup-paden per situatie
Na de wizard vertakt het werk snel in meerdere gebieden. Voor nieuwe firewalls is deze volgorde zinvol:
- Central-koppeling: Als de firewall met Sophos Central verbonden moet worden of de grenzen van Central begrepen moeten worden, past Sophos Firewall met Sophos Central verbinden.
- Licentiestatus: Voor Base License, support en subscriptions helpt Sophos Firewall Base License begrijpen.
- Backup en restore: Vóór de eerste change moet Sophos Firewall backup maken of herstellen voorbereid zijn.
- Managementtoegang: WebAdmin, SSH, User Portal of VPN Portal worden gehard via Sophos Firewall toegang beveiligen: Device Access correct configureren.
- Netwerkdesign: Voor zones, interfaces, VLANs of bridges is Sophos Firewall zones en interfaces configureren het betere startpunt.
- Eerste regels: Voor firewall- en NAT-basis past Sophos Firewall-regels begrijpen en correct configureren.
- DNS en DHCP: Interne naamresolutie wordt netter met DNS Request Routes op Sophos Firewall configureren.
- Reporting: Voor logs, rapporten en langere retentie helpt Central Firewall Reporting activeren.
- Health Check: Security findings na SFOS 22 kunnen worden geprioriteerd met Sophos Firewall Health Check correct gebruiken.
- Upgradeplanning: Voor firmware updates of SFOS 22 upgrades past Sophos Firewall vóór SFOS 22 upgrade controleren.
Deze scheiding is belangrijk, omdat een succesvolle wizard nog geen voltooide beveiligingsarchitectuur betekent. Voor productief verkeer moeten managementtoegang, backup, licentie, zones, regels, logging en beveiligingsfuncties bewust worden gecontroleerd.
Voorbereiden vóór de installatie
Voordat de wizard wordt gestart, moeten toegang, WAN-verbinding, managementnetwerk en licentiecontext duidelijk zijn. Dit voorkomt improvisatie tijdens de installatie en latere correcties van onduidelijke uitgangspunten.
Vereisten voor de installatie
Voor de installatie moet duidelijk zijn hoe de firewall in het netwerk wordt geïntegreerd. Veel latere problemen ontstaan niet in de wizard zelf, maar omdat WAN, LAN, DNS, managementtoegang of licentiegegevens geïmproviseerd worden.
Voor de start gereed houden:
- Firewall-model, serienummer en geplande locatie.
- WAN-toegangsgegevens of providerinformatie, bijvoorbeeld DHCP, statisch IP, PPPoE, VLAN of voorgeschakelde router.
- Intern doelnetwerk voor de eerste LAN- of managementtoegang.
- DNS-servers die tijdens de installatie werken.
- Sophos Central toegang of een persoon die een OTP voor de registratie kan genereren.
- Gepland admin-wachtwoord en opslaglocatie in de wachtwoordmanager.
- Beslissing of de firewall direct opnieuw wordt ingesteld of via backup wordt hersteld.
De firewall heeft voor registratie, licentiecontrole, patroonupdates en Central-koppeling een werkende internetverbinding nodig. Als een upstream-apparaat het uitgaande verkeer filtert, moet ten minste de noodzakelijke HTTPS-toegang werken. Bij complexere provideropstellingen moet de WAN-toegang eerst bewust worden gepland, in plaats van tijdens de wizard te gokken.
Aansluitingen en netwerkconfiguratie
Afhankelijk van het model verschillen poortnamen en standaardtoewijzing. Bij veel hardware-appliances is de eerste LAN-toegang mogelijk via het standaardadres, terwijl grotere modellen ook een toegewijde managementpoort kunnen hebben.
Typische eerste toegang:
- LAN-poort met
https://172.16.16.16:4444: Eerste configuratie via het lokale setupnetwerk. - MGMT-poort met
https://10.0.1.1:4444: Dedicated managementtoegang voor modellen met MGMT-poort. - Seriële console of lokale toegang: Nood- of reimage-scenario’s.
De client voor de eerste installatie moet direct of via een gecontroleerd setup-netwerk verbonden zijn. Oude DHCP-servers, verkeerde VLANs of een productieve switchpoort met onverwachte poortconfiguratie kunnen de eerste installatie onnodig bemoeilijken.
Bij modellen met een dedicated managementpoort moet dit netwerk echt voor admins gereserveerd blijven. Niet-administratieve gebruikers, normale clients of gastapparaten horen niet in hetzelfde managementpoort-subnet. Anders wordt praktische eerste toegang al snel een onnodig beheeroppervlak.
Toegang tot de webinterface
Voor configuratie wordt via een webbrowser toegang verkregen tot de WebAdmin Console. Afhankelijk van de interface wordt een van deze adressen gebruikt:
- LAN-poort:
https://172.16.16.16:4444 - Management-poort:
https://10.0.1.1:4444
Bij de eerste toegang gebruikt de firewall een lokaal ondertekend certificaat. De browserwaarschuwing is op dat moment normaal, maar moet later niet genegeerd blijven. Voor de productieve WebAdmin-toegang moet een passend certificaat worden gepland, vooral als meerdere admins, Central Management of een management-FQDN worden gebruikt.
Zolang de standaardgebruiker admin met het standaardwachtwoord nog wordt gebruikt, gelden extra beperkingen. SSH vanuit de WAN-zone wordt niet normaal geweigerd; de firewall sluit de verbinding stil. WebAdmin vanuit de WAN-zone toont een Forbidden-melding. SCP met de standaardreferenties is in de LAN- en WAN-zone niet bruikbaar. Beschouw dit als installatiefase, niet als bedrijfsmodel.
De Setup Wizard uitvoeren
De Setup Wizard configureert de firewall op basisniveau. In deze fase gaat het nog niet om het definitieve beveiligingsontwerp, maar om de firewall gecontroleerd online, geregistreerd en beheerbaar te krijgen.
Eerste installatie met de Setup Wizard
De Setup Wizard vraagt de basisgegevens op en brengt de firewall in een startklare toestand. Hierbij moeten deze punten bewust worden ingesteld:
- Sophos End User Terms of Use accepteren.
- Setup starten.
- Admin-wachtwoord instellen en veilig opslaan.
- Firewall-naam en tijdzone vastleggen.
- Serienummer of bestaande licentiegegevens opgeven.
- Automatische firmware-update tijdens de installatie alleen toestaan als internettoegang, tijdvenster en terugweg daarvoor geschikt zijn.
- Secure Storage Master Key aanmaken en in de wachtwoordmanager documenteren.
- Registratie en licentiecontrole uitvoeren of bewust op later uitstellen.
De Secure Storage Master Key is belangrijk voor beschermde gegevens en herstelscenario’s. Bij nieuwe installaties wordt hij in de Setup Assistant aangemaakt. Hij hoort niet in een lokaal tekstbestand op de admin-laptop, maar in een gecontroleerd wachtwoord- of herstelproces. Als hij verloren gaat, kan hij technisch worden gereset, maar bestaande beschermde backups of gegevens kunnen daardoor niet automatisch opnieuw worden ontsleuteld.
Internetverbinding en DNS-controle
In de wizard wordt gecontroleerd of de firewall het internet bereikt. Als de controle mislukt, moet niet zomaar “een of andere DNS” worden ingevoerd. Beter is een duidelijke afbakening:
- Heeft de WAN-interface een geldig IP-adres?
- Is de standaardgateway correct?
- Is PPPoE, VLAN of statische routing nodig?
- Kan de firewall DNS oplossen?
- Wordt uitgaand HTTPS-verkeer door een voorgeschakeld apparaat geblokkeerd?
- Kloppen datum, tijd en tijdzone?
Voor productieve omgevingen moet DNS niet willekeurig op openbare resolvers worden gezet als interne naamresolutie nodig is. Na de eerste installatie moeten interne domeinen via DNS request routes op Sophos Firewall correct naar interne DNS-servers worden doorgestuurd.
Registratie van de Sophos Firewall
De registratie verbindt de firewall met de Sophos licentie- en Central-context. Dit kan direct in de wizard of later tijdens de werking worden uitgevoerd. Voor productieve firewalls moet deze stap niet onnodig lang open blijven, omdat licentiestatus, support, abonnementen en Central-functies daarvan afhangen.
Sophos ondersteunt meerdere manieren voor registratie. In partner- of klantomgevingen is OTP bijzonder praktisch, omdat niet elke admin de Sophos-Central-Super-Admin-inloggegevens hoeft te kennen.
Typische procedure:
- Serienummer van de firewall gereed houden.
- Firewall in Sophos Central claimen of OTP door een Sophos Central Administrator laten genereren.
- OTP in de firewall invoeren.
- Registratie voltooien.
- Daarna onder Administration > Licensing controleren of de firewall correct geregistreerd is.
Belangrijk: Sophos Central Firewall Management vereist een actief betaald abonnement of een passend supportcontract. De pure basis firewall licentie is niet voldoende voor alle Central Management-functies. Daarnaast moet de firewall voor Central Management via IPv4 het internet kunnen bereiken.
Activering van licenties
Na de registratie controleert de firewall haar licenties bij de Sophos licentieserver. Als de firewall internettoegang heeft, worden licentie-informatie regelmatig gesynchroniseerd. Daarnaast kan de synchronisatie handmatig worden gestart in de WebAdmin Console.
Onder Administration > Licensing moet men controleren:
- Is het juiste model met correct serienummer geregistreerd?
- Is de basislicentie actief?
- Zijn support, Xstream Protection, Standard Protection of afzonderlijke abonnementen correct zichtbaar?
- Zijn vervaldatums plausibel?
- Is een nieuwe licentiesleutel echt toegepast of alleen in het portal opgeslagen?
- Toont de firewall na
Synchronizedezelfde status als Sophos Central?
Zonder passende licentie werken veel beveiligingsfuncties niet of slechts beperkt. Dit betreft afhankelijk van de functie bijvoorbeeld IPS, Web Protection, Zero-Day Protection, DNS Protection, Central Orchestration, Active Threat Response of supportdiensten. De basisprincipes van support en modules staan in Sophos Firewall OS Basislicentie begrijpen en Welke Sophos Firewall Bundels zijn er?.
Verbinding met het Sophos Central Platform
Voor de lokale werking van een enkele Sophos Firewall is Sophos Central niet noodzakelijk. De firewall kan volledig via WebAdmin worden beheerd. Sophos Central biedt echter voordelen als men deze functies bewust gebruikt:
- centrale overzicht van een of meerdere firewalls,
- Central Firewall Management zonder directe WebAdmin-publicatie vanuit het internet,
- Central Backups,
- Central Firewall Reporting,
- afhankelijk van licentie langere logbewaring en extra rapportagefuncties,
- Security Heartbeat en Synchronized Application Control in Sophos-endpointomgevingen,
- integratie in andere Sophos-Central-processen.
Belangrijk is de juiste verwachting: Sophos Central vervangt geen lokale bedrijfsdocumentatie en geen goed admin-proces. Wie Central Management activeert, moet rollen, MFA, toegang, backup-opslag en rapportagebewaring bewust vastleggen.
Meer hierover staat in het artikel Sophos Firewall met Sophos Central verbinden: Voordelen en grenzen.
Afronding van de installatie
Na afronding van de installatie start de firewall opnieuw op of leidt naar het inlogscherm. Als tijdens de wizard een firmware-update wordt uitgevoerd en de verbinding wegvalt, moet men niet meteen van een defect uitgaan: de firewall kan opnieuw starten en weer met de meegeleverde firmwarestand opkomen. Daarna moet men niet direct met productief verkeer starten, maar eerst de basisstatus controleren.
Direct na de eerste login controleren:
- Datum, tijd en tijdzone.
- Firmwareversie en patroonupdates.
- Licentiestatus onder Administration > Licensing.
- WAN-status en internettoegang.
- Admin-wachtwoord en Secure Storage Master Key in de wachtwoordmanager.
- Backup-configuratie.
- Bereikbaarheid van de WebAdmin Console alleen vanuit gewenste netwerken.
- Standaardregels, NAT en DNS.
- Eerste logs in de Log viewer.
De firewall na de Setup Wizard productieklaar maken
Na de wizard begint het echte werk: de firewall moet worden gehard, in de netwerkarchitectuur worden geïntegreerd, gedocumenteerd en voorbereid op troubleshooting. Deze stappen bepalen de latere werking sterker dan de wizard zelf.
Waarom de Setup Wizard niet voldoende is
De wizard creëert een eerste basisconfiguratie, maar geen voltooide beveiligingsarchitectuur. Interfaces, zones, Device Access, DNS, DHCP, firewallregels, NAT, logs, backups en beveiligingsprofielen moeten bewust worden gecontroleerd.
Een Sophos Firewall is geen consumentenrouter, waarbij men na de wizard klaar is. Goed gepland kan ze een netwerk zeer goed beveiligen, maar alleen als de architectuur klopt: zones moeten bij de beveiligingslogica passen, managementtoegang moet beperkt zijn, regels moeten bewust en gedocumenteerd worden opgesteld, en beveiligingsfuncties zoals webfilter, IPS, Application Control of TLS Inspection moeten gericht worden geactiveerd en getest. Een verkeerd geconfigureerde firewall kan een vals gevoel van veiligheid geven.
Als eerste is een blik in het Control Center de moeite waard. Daar ziet men systeemstatus, verkeer, gebruikers- en apparaatinformatie, actieve firewallregels, rapporten en meldingen zoals nieuwe firmware of Health-Check-bevindingen. Waarschuwingen en meldingen in dit gebied moet men niet zomaar wegklikken, maar als praktische checklist voor de nabewerking gebruiken.
Firmware, licentie en backup controleren
Onder Backup & firmware controleert men of de actieve firmware actueel is. Firmware-updates zijn beveiligingsrelevant, omdat daarmee foutoplossingen, stabiliteitsverbeteringen en beveiligingsfixes worden doorgevoerd. Updates moeten niet permanent worden uitgesteld, maar ook niet onvoorbereid worden geïnstalleerd.
Sophos Firewall werkt met twee firmware-slots. Hierdoor kan bij problemen weer op een eerdere firmware worden geboot. Toch moet voor elke grotere wijziging een handmatige backup worden gemaakt. Bij productieve firewalls plant men een onderhoudsvenster, controleert men release-opmerkingen, HA-status, vrije opslagruimte, VPN-afhankelijkheden en externe bereikbaarheid.
Onder Backup & firmware moet bovendien een regelmatige backup worden ingesteld. Voor versleutelde backups is een backuppassword nodig. Voor het herstellen van gevoelige gegevens is daarnaast de Secure Storage Master Key relevant. Deze sleutel hoort absoluut in een wachtwoordmanager. Als hij verloren gaat, kan men hem weliswaar via de console resetten, maar bestaande beschermde backups kunnen daardoor niet meer normaal worden hersteld.
Vervolgens controleert men onder Administration > Licensing of registratie, basislicentie en geboekte abonnementen correct worden weergegeven. Voor het update-thema helpen de artikelen Sophos Firewall Firmware Update: Voorbereiding en Best Practices en Firmware bijwerken op de Sophos Firewall. Backups worden in het artikel Sophos Firewall Backup maken of herstellen nader uitgelegd.
Zones en interfaces goed plannen
De wizard kan bij hardware-appliances meerdere LAN-poorten tot een bridge samenvoegen. Dit is voor de snelle start praktisch, maar niet altijd de beste doelarchitectuur. Onder Network > Interfaces moet worden gecontroleerd welke poorten, VLANs, bridges of LAGs echt nodig zijn.
Elke interface is precies aan één zone toegewezen. Deze toewijzing bepaalt later hoe firewallregels, Device Access en beveiligingsprofielen van toepassing zijn. Typische productieve zones zijn bijvoorbeeld LAN, Server, DMZ, Guest, VoIP, Management of VPN. Niet elk VLAN heeft per se een eigen zone nodig, maar elke zone moet een duidelijke beveiligingsbetekenis hebben.
Meer hierover staat in het artikel Sophos Firewall Zones en Interfaces plannen en configureren.
Device Access beveiligen
Een veelgemaakte fout na de eerste installatie is te veel managementtoegang. Toegang tot lokale diensten van de firewall, zoals WebAdmin, SSH, User Portal, VPN Portal, DNS of Ping, wordt niet via normale firewallregels geregeld. Hiervoor is Administration > Device access verantwoordelijk.
Voor productieve systemen moeten HTTPS en SSH niet breed vanuit onveilige zones worden toegestaan. Als externe toegang nodig is, moet men met een Local service ACL exception rule werken en de toegang beperken tot vaste IP-adressen of gedefinieerde managementnetwerken. Alternatief is Sophos Central Firewall Management vaak de nettere oplossing.
⚠️ WebAdmin, SSH, User Portal en VPN Portal mogen nooit bereikbaar zijn alleen omdat de firewallregelbasis er netjes uitziet. Deze services hangen af van Device Access en Local Service ACLs. Test na elke wijziging actief vanuit welke zones en bronnetwerken toegang werkelijk mogelijk is.
Meer hierover staat in het artikel Sophos Firewall toegang beveiligen: Device Access correct configureren.
Admin-accounts, MFA en fallback instellen
Na de eerste login moet niet permanent met een gedeelde admin-toegang worden gewerkt. Voor het dagelijks gebruik zijn eigen beheerders, duidelijke rollen en een gedocumenteerde noodtoegang beter. Zo kan later worden nagegaan wie een wijziging heeft aangebracht, en een enkel gecompromitteerd wachtwoord leidt niet automatisch tot volledige toegang tot de firewall.
Voor nieuwe firewalls is deze volgorde zinvol:
- Minstens een tweede administratieve toegang testen voordat MFA breed wordt geactiveerd.
- De lokale standaardgebruiker
adminals Break-Glass-account behandelen en niet als daggebruiker gebruiken. - MFA voor WebAdmin, VPN Portal en Remote Access gepland activeren.
- Rollen en verantwoordelijkheden documenteren, vooral als Sophos Central Firewall Management wordt gebruikt.
- Token-reset, wachtwoordopslag en toegang buiten kantooruren vastleggen.
MFA vermindert het risico van gestolen inloggegevens, maar vervangt geen toegangsbeperking. Daarom horen MFA voor Sophos Firewall WebAdmin, VPN Portal en Remote Access en Device Access samen. Als meerdere personen via Sophos Central werken, moeten bovendien de Sophos Central Administratieve Rollen worden gecontroleerd.
DNS, DHCP en interne naamresolutie controleren
Onder Network > DNS wordt bepaald hoe de firewall DNS-servers ontvangt: via DHCP, via PPPoE-gegevens van de provider of statisch. Voor interne domeinen moet men DNS request routes gebruiken, zodat verzoeken voor interne zones naar de juiste interne DNS-server gaan.
Bij nieuwe installaties moet DNS met echte interne en externe namen worden getest. Een test alleen met google.com is niet voldoende als later Active Directory, fileservers, printers, managementsystemen of interne toepassingen worden gebruikt. Belangrijk is vooral of clients de juiste DNS-servers ontvangen en of de firewall interne domeinen niet per ongeluk naar openbare resolvers doorstuurt.
Praktische DNS-controle:
- Firewall resolveert externe namen: Registratie, licentiesynchronisatie, updates en Central-koppeling werken.
- Client resolveert externe namen: DHCP, DNS-server en firewallregel passen samen.
- Client resolveert interne namen: Interne DNS of DNS request route werkt.
- VPN- of VLAN-client resolveert interne namen: DNS-server, search domain en zoneregel kloppen ook buiten het eerste LAN.
DHCP wordt onder Network > DHCP per interface ingesteld. Belangrijk is dat DHCP-bereiken goed worden aangepast aan de interface- en VLAN-structuur. De DHCP-server moet geen adressen toewijzen die al statisch worden gebruikt voor servers, switches, access points, printers of managementapparaten. Daarnaast moeten gateway, DNS-server, domeinnaam en leasetijd bewust worden ingesteld, zodat clients na de eerste verbinding niet zomaar een IP-adres krijgen, maar echt in het beoogde netwerk werken.
Als DHCP over VPN-verbindingen moet worden doorgegeven, kan de firewall ook als DHCP Relay werken. Voor DHCP-speciale opties is er Sophos Firewall DHCP Opties configureren.
Eerste firewall- en NAT-regels controleren
De door de wizard aangemaakte standaard-uitgaande regel moet niet blind worden overgenomen. Onder Rules and policies > Firewall rules moet men controleren welke bronzones zijn toegestaan, welke doelen bereikbaar moeten zijn en welke beveiligingsfuncties actief zijn. Regels worden van boven naar beneden verwerkt; de eerste passende regel wint.
Voor de start moet minstens één bewust benoemde client-naar-internet-regel bestaan. Deze regel moet niet zomaar Any naar Any toestaan, maar bronzone, bronnetwerk, doelen, diensten, logging en beveiligingsfuncties duidelijk tonen. Als de regel later wordt uitgebreid, moet het duidelijk blijven of deze bedoeld is voor normale clients, servers, gasten, IoT of managementapparaten.
Een eerste regelcontrole kan er zo uitzien:
- Testclient in de beoogde zone aansluiten.
- IP-adres, gateway en DNS bij de client controleren.
- Een externe HTTPS-oproep genereren.
- In de Log viewer zoeken naar bron-IP, doel, service en regel-ID.
- Controleren of de verwachte firewallregel en NAT-regel zijn geraakt.
- Een opzettelijk niet toegestane test uitvoeren, bijvoorbeeld vanuit een gast- of managementzone.
- Documenteren welke regel productief blijft en welke wizard- of testregel wordt verwijderd.
Voor NAT geldt: NAT staat geen verkeer van zichzelf toe. Er is altijd ook een passende firewallregel nodig. Voor normale clients naar het internet is meestal een Source-NAT-regel met MASQ relevant. Voor gepubliceerde servers is daarentegen DNAT plus een passende firewallregel, logging en een externe test van buiten het eigen LAN nodig. Voor nieuwe configuraties zijn zelfstandige NAT-regels meestal overzichtelijker dan gekoppelde NAT-regels. De basisprincipes staan in Sophos Firewall-regels begrijpen en correct configureren en NAT op Sophos Firewall begrijpen: SNAT, DNAT, MASQ, PAT. Als een interne server moet worden gepubliceerd, past het artikel Server per DNAT op Sophos Firewall publiceren.
Beveiligingsfuncties bewust activeren
Een firewallregel is niet automatisch een volledige beveiligingsregel. Afhankelijk van licentie en doel moeten IPS, Web Protection, Application Control, Malware-Scanning, TLS Inspection, Zero-Day Protection of Threat Feeds bewust worden geactiveerd, getest en gedocumenteerd.
Praktische volgorde:
- Schone zones en regels maken.
- Logging voor belangrijke regels activeren.
- IPS en Web Protection daar activeren waar ze functioneel passen.
- Application Control voor risicovolle of ongewenste toepassingen aanvullen.
- TLS Inspection alleen gepland invoeren, met testgroep, CA-distributie en uitzonderingen.
- Threat Feeds, NDR of Active Threat Response pas activeren als monitoring en false-positive-proces zijn uitgeklaard.
Voor de bredere hardeningcontext past Sophos Firewall Best Practices: Netwerk, regels en beveiliging. Voor Zero-Day Protection is er Sophos Firewall Zero-Day Protection begrijpen en beheren, voor TLS Inspection Sophos Firewall TLS Inspection invoeren.
Logging en troubleshooting voorbereiden
In belangrijke firewallregels moet Log firewall traffic worden geactiveerd, anders ontbreken later vaak precies de informatie die men voor het oplossen van problemen nodig heeft. Dit is veel mensen niet bewust: Als een firewallregel niet logt, verschijnt het bijbehorende verkeer ook niet zinvol in de Log Viewer. Men ziet dan misschien wel andere systeemgebeurtenissen, maar niet de specifieke regelbeslissing die men eigenlijk zoekt.
Onder System services > Log settings kan worden gedefinieerd welke logtypen lokaal, naar Syslog-servers of naar Sophos Central worden verzonden. De firewall heeft lokale logbestanden en een interne rapportagedatabase, maar deze zijn niet bedoeld als langetermijnarchief voor weken, maanden of jaren. Als logs permanent moeten worden bewaard of centraal moeten worden doorzocht, is een externe Syslog-server of Sophos Central Firewall Reporting nodig.
Voor Sophos Central geldt grofweg: Met een actieve firewallabonnement zijn Central Firewall Reports voor een beperkte periode beschikbaar. Met Xstream Protection of Central Orchestration zijn langere analyses mogelijk. Met Sophos Central Firewall Reporting Advanced krijgt men extra opslag en een aanzienlijk langere bewaring. De details zijn beschreven in Central Firewall Reporting activeren.
Voor eerste analyses zijn meestal Log viewer, Policy tester en Packet capture voldoende. Voor diepere analyses kan men daarnaast CLI-logs opslaan, debug-logs activeren of tcpdump gebruiken. Debug-logs moeten alleen gericht en tijdelijk worden ingeschakeld, omdat ze aanzienlijk meer gegevens genereren. Hoe men regels test, wordt getoond in Firewall-regel testen met Log Viewer, Policy Test en Packet Capture. Voor Packet Capture, servicenamen en logbestanden zijn er de artikelen Packet Capture Tool in WebAdmin gebruiken en Sophos Firewall Troubleshooting: Services en Logs. Als logs voor support of externe analyse moeten worden verzameld, helpt Sophos Firewall Logs voor externe analyse opslaan.
Acceptatietest voor productief verkeer
Voor de Go-live moet men niet alleen controleren of “internet werkt”. Een kleine, gedocumenteerde acceptatietest voorkomt veel latere supportgevallen.
Zinvolle tests:
- Admin-login vanuit managementnetwerk: WebAdmin is bereikbaar, maar niet open vanuit ongewenste zones.
- Admin-login vanuit client-, gast- of WAN-zone: Toegang wordt geblokkeerd als daar geen bewust managementnetwerk is voorzien.
- Tweede admin of break-glass-toegang: Toegang blijft mogelijk als MFA, SSO of een gebruikersaccount uitvalt.
- Client vanuit LAN naar internet: Firewallregel, NAT, DNS en security policy werken zoals verwacht.
- Interne DNS-naam: DNS request routes of interne resolvers werken.
- Geblokkeerd testverkeer: Log Viewer toont de passende regel of de verwachte drop.
- Backupdownload en opslag: Backup is niet alleen gemaakt, maar ook terug te vinden.
- Central- of Syslog-doel: Logs en rapporten komen buiten de firewall aan, indien gepland.
De test moet kort worden gedocumenteerd: Datum, firmwareversie, locatie, geteste bron-IP, doel, verwacht resultaat en openstaande punten. Dit lijkt onopvallend, maar bespaart tijd als dagen later een VPN, een NAT-regel of een DNS-probleem moet worden onderzocht.
Checklist na de eerste installatie
Direct controleren
- Admin-wachtwoord en Secure Storage Master Key veilig opgeslagen.
- Firewall geregistreerd en licentiestatus gecontroleerd.
- Firmwarestatus en patroonupdates gecontroleerd.
- Handmatige backup gemaakt en extern opgeslagen.
- WebAdmin en SSH alleen vanuit gewenste netwerken bereikbaar.
- WebAdmin en SSH actief negatief getest vanuit ongewenste zones.
- Tweede admin-toegang en Break-Glass-concept getest.
- WAN, DNS en tijdzone gecontroleerd.
- Standaard-firewallregel bewust beoordeeld.
In de eerste dagen controleren
- Zones, VLANs, bridges en LAGs goed gepland.
- DNS request routes en DHCP-bereiken gecontroleerd.
- Firewallregels en NAT-regels gedocumenteerd.
- Logging op belangrijke regels geactiveerd.
- Central Backup of lokaal backupproces ingesteld.
- Central Reporting, Syslog of ander logdoel besloten.
- Eerste regels met Log Viewer, Policy Test en Packet Capture gevalideerd.
Voor productieve werking of Go-live controleren
- Managementtoegang gehard.
- MFA en admin-rollen gecontroleerd.
- IPS, Web Protection, Application Control en andere beveiligingsfuncties bewust geactiveerd.
- TLS Inspection alleen met test- en uitzonderingsproces gepland.
- Remote Access, IPsec, WAF, RED of SD-WAN apart getest, indien gebruikt.
- Rollback- en supportpad gedocumenteerd.
Typische fouten
- Wizardconfiguratie direct productief gebruikt: Te brede regels, verkeerde zones of open managementdiensten blijven bestaan. Na de wizard een eigen operationele checklist doorlopen.
- Secure Storage Master Key niet gedocumenteerd: Restore of migratie wordt onnodig moeilijk. SSMK direct in de wachtwoordmanager opslaan.
- WebAdmin bereikbaar vanaf WAN of clientnetwerken: Bots, brute force en onnodige attack surface worden waarschijnlijker. Device Access en Local Service ACL Exception Rules moeten strak staan.
- MFA zonder fallback geactiveerd: Admins kunnen zichzelf buitensluiten bij token-, tijd- of groepsproblemen. Tweede admin, break-glass-toegang en tokenproces vooraf testen.
- Logging in regels vergeten: Latere troubleshooting wordt blind.
Log firewall traffichoort bij belangrijke regels actief te zijn. - DNS alleen via publieke resolver opgelost: Interne namen werken niet betrouwbaar. Interne DNS-servers en DNS request routes plannen.
- NAT verwacht zonder passende firewallregel: Servers of diensten zijn ondanks NAT niet bereikbaar. NAT en firewallregel altijd samen controleren.
- Firmware update zonder backup geïnstalleerd: De terugweg ontbreekt bij problemen. Backup, release notes en onderhoudsvenster vóór updates controleren.
FAQ
Is de Sophos Firewall na de Setup Wizard veilig geconfigureerd?
Moet men Sophos Central voor een Sophos Firewall gebruiken?
Welke adres gebruikt men voor de eerste toegang tot Sophos Firewall?
https://172.16.16.16:4444. Bij modellen met een toegewijde managementpoort kan ook https://10.0.1.1:4444 relevant zijn. Het exacte gedrag hangt af van het model en de aansluiting.