Naar de inhoud
Avanet

Sophos Firewall Hardening: best practices voor een veilige configuratie

Sophos Firewall hardening betekent dat de aanvalsvlakte rond de firewall zelf en de diensten die via de firewall worden gepubliceerd bewust wordt verkleind. Het is geen enkele magische instelling, maar een herhaalbaar beheerproces: beheerstoegang beperken, MFA afdwingen, firmware actueel houden, regels beoordelen, beveiligingsfuncties inschakelen en logs analyseren.

Dit artikel is het centrale startpunt. Het vervangt de detailhandleidingen niet, maar ordent de belangrijkste best practices en verwijst naar de passende Avanet KB-artikelen.

Wat eerst gecontroleerd moet worden

Bij hardening telt de volgorde. Een perfect afgestemde IPS-policy helpt weinig als WebAdmin wereldwijd via WAN bereikbaar is of een oud VPN Portal zonder MFA openstaat.

De belangrijkste directe controles:

  • Is WebAdmin bereikbaar vanuit de WAN-zone?
  • Is SSH alleen toegestaan vanuit vertrouwde beheernetwerken?
  • Is MFA actief voor administrators, VPN Portal en Remote Access?
  • Zijn firmware, hotfixes en pattern updates actueel?
  • Zijn er DNAT-, WAF- of VPN-toegangen die niet meer nodig zijn?
  • Hebben gepubliceerde diensten IPS, WAF, Threat Feeds, logging en een duidelijke eigenaar?
  • Worden security-relevante logs centraal opgeslagen of minstens regelmatig gecontroleerd?
  • Is er een actuele, geteste backup inclusief Secure Storage Master Key?

Beheerstoegang beveiligen

Het belangrijkste hardening-gebied is toegang tot de firewall zelf. WebAdmin, SSH, User Portal, VPN Portal, Captive Portal en lokale diensten zijn geen normale firewallregels, maar lokale diensten van de firewall. Ze moeten bewust worden beperkt via Device Access en Local Service ACL.

Device Access en Local Service ACL

Onder Administration > Device access wordt per zone bepaald welke lokale diensten bereikbaar zijn. Voor de WAN-zone hoort alleen actief te zijn wat echt nodig is. Admin-toegang en SSH horen normaal niet breed op internet te staan.

Als remote beheer nodig is, zijn deze varianten netter:

  • Beheer via Sophos Central.
  • Toegang via een apart beheernetwerk.
  • Toegang via VPN of ZTNA.
  • Strakke Local Service ACL Exception Rules voor vaste admin-bron-IP-adressen.

De concrete uitvoering staat in Sophos Firewall toegang beveiligen: Device Access correct configureren. Als SSH nodig is, helpt ook Sophos Firewall via SSH verbinden.

MFA, rollen en login security

MFA hoort verplicht te zijn voor administrators en Remote Access-gebruikers. Vooral lokale adminaccounts, VPN Portal, User Portal en Remote Access VPN zijn kritisch. MFA is echter maar één onderdeel van login-hardening. Net zo belangrijk zijn named admin accounts, duidelijke rollen, sterke wachtwoordregels, beperkte loginpogingen en korte session timeouts.

De praktische inrichting staat in MFA voor Sophos Firewall WebAdmin, VPN Portal en Remote Access activeren. Voor WAF-scenario’s met gebruikerslogin past Sophos Firewall WAF met MFA beveiligen.

Firmware, hotfixes en recovery

Een firewall is een edge-systeem. Uitgestelde updates zijn daarom geen klein detail, maar een echt aanvalsvenster. Tegelijk mogen updates niet blind worden uitgevoerd, omdat remote locaties, HA-clusters, VPNs en productieve NAT-regels geraakt kunnen worden.

Updates planbaar maken

Firmware-updates moeten worden voorbereid met backup, onderhoudsvenster, release-notescontrole, HA-planning en rollbackcriteria. In actuele SFOS 22-versies toont de WebAdmin-pagina Backup & Firmware > Firmware geen aparte Hotfix-sectie meer. De hotfixfunctie bestaat nog steeds: Sophos installeert hotfixes standaard automatisch en raadt aan deze instelling niet te wijzigen. Als de status moet worden gecontroleerd, gebruik dan system hotfix show in de Device Console. Hotfixes vervangen geen regulier updateproces. Het proces staat in Sophos Firewall firmware update: voorbereiding en best practices.

Sophos Firewall SFOS 22 firmwareoverzicht
Het firmwareoverzicht in SFOS 22 toont de actieve firmware, de vorige image en de controle op nieuwe firmware. Een aparte Hotfix-sectie is in deze weergave niet meer zichtbaar.

Bij grotere versiesprongen moeten ook upgradepad, licentie, platform en bekende beperkingen worden gecontroleerd. Sophos Firewall vóór SFOS 22 upgrade controleren past hierbij.

Backup en restore controleren

Hardening stopt niet bij preventie. Een geharde firewall moet ook herstelbaar zijn. Daarvoor zijn een actuele backup, het backupwachtwoord, de Secure Storage Master Key, een gedocumenteerd toegangspad na restore en een acceptatietest nodig.

De details staan in Sophos Firewall backup maken of herstellen. Vooral vóór firmware-updates, migraties, reimage en hardwarevervanging is een compleet recoverypakket verplicht.

Aanvalsvlakte in de regels verminderen

Veel risico’s ontstaan niet door exotische aanvallen, maar door te brede regels, oude uitzonderingen en gepubliceerde diensten waar niemand nog echt eigenaar van is.

NAT, WAF en gepubliceerde diensten

Elke dienst die via DNAT of WAF wordt gepubliceerd, is een bewust geopende ingang. Dat kan nodig zijn, maar moet strak worden gepland: source, destination, service, NAT-volgorde, firewallregel, IPS/WAF-policy, logging, test en eigenaar horen bij elkaar.

Voor gepubliceerde servers helpen Server met DNAT op Sophos Firewall publiceren en NAT op Sophos Firewall begrijpen. Als webservers worden gepubliceerd, is Sophos Firewall WAF: webservers veilig publiceren de betere basis.

Firewallregels en segmentatie

Regels met Any bij source, destination of service zijn niet automatisch fout, maar moeten altijd verklaarbaar zijn. Voor hardening zijn deze vragen belangrijk:

  • Is de regel nog nodig?
  • Is logging actief?
  • Is er een duidelijkere source of destination?
  • Staat de regel correct vóór bredere regels?
  • Zijn admin-, server-, client-, IoT-, gast- en backupnetwerken netjes gescheiden?

De basis staat in Sophos Firewall-regels begrijpen en veilig configureren. Voor het controleren van een concrete regel past Sophos Firewall-regel netjes testen.

Beveiligingsfuncties bewust activeren

Beveiligingsfuncties helpen alleen wanneer ze passen bij regel, verkeer en beheerproces. Blind ingeschakelde functies veroorzaken false positives, performanceproblemen of supportcases. Uitgeschakelde functies laten juist onnodige aanvalsvlakte open.

IPS, Spoof Protection en DoS

IPS hoort te worden gebruikt op inkomend onbetrouwbaar verkeer en op relevante interne overgangen. Belangrijk zijn passende IPS Policies, logging, een false-positive-proces en aandacht voor performance. De uitvoering staat in Sophos Firewall IPS instellen en veilig testen.

Spoof Protection en DoS Settings verminderen onwaarschijnlijke bronnen en eenvoudige floodingpatronen. Ze moeten voorzichtig worden getest, vooral bij VoIP, VPN, hoge pakketbelasting of speciale routingdesigns. Het passende artikel is Sophos Firewall Spoof Protection en DoS Settings controleren.

Threat Feeds voor WAF en DNAT

Threat Feeds zijn een zeer nuttige aanvulling wanneer diensten via WAF, DNAT, VPN Portal of andere publieke toegangspaden bereikbaar zijn. Ze kunnen bekende kwaadaardige IPs, domeinen of URLs vroeg blokkeren, voordat ze de eigenlijke applicatie of regel bereiken.

Ze zijn vooral waardevol voor:

  • publieke webservers achter WAF of DNAT,
  • RDP-, SSH- of admin-toegang die nog niet volledig door ZTNA is vervangen,
  • VPN- en portaltoegang met veel internetruis,
  • omgevingen waarin landenblokkering te grof is,
  • klanten die naast Sophos X-Ops ook gecureerde third-party feeds willen gebruiken.

De operatie is doorslaggevend: feedkwaliteit, actie Monitor of Block, allowlist, false positives, logging en eigenaarschap moeten helder zijn. De configuratie staat in Sophos Firewall Threat Feeds instellen en veilig beheren. Voor gecureerde feeds kan Cybora een zinvolle bouwsteen zijn, vooral wanneer gepubliceerde diensten consequent tegen bekende slechte bronnen moeten worden beschermd.

Web, DNS, TLS en Zero-Day Protection

Web Protection, DNS Protection, TLS Inspection en Zero-Day Protection verhogen zichtbaarheid en blokkeerwerking, maar vragen om nette planning. TLS Inspection mag geen alles-of-niets-project zijn. DNS Protection moet passen bij de gebruikte DNS-paden. Zero-Day Protection helpt alleen wanneer relevante bestandstypen en policies zinvol zijn geïntegreerd.

Passende detailartikelen zijn Sophos Firewall Web Protection met Web Policies maken, Sophos DNS Protection met Sophos Firewall instellen, Sophos Firewall TLS Inspection correct introduceren en Sophos Firewall Zero-Day Protection begrijpen en beheren.

Detectie, logging en review

Hardening is geen eenmalige projecttaak. Regels, gebruikers, portals, NAT-uitzonderingen en firmwareversies veranderen. Daarom zijn regelmatige reviews nodig en logs die niet pas na een incident gezocht hoeven te worden.

Health Check als startpunt

De Sophos Firewall Health Check is een goed startpunt omdat hij risicovolle configuraties zichtbaar maakt. Findings moeten niet blind worden toegepast, maar beoordeeld op risico, operationele impact en lokale architectuur.

Goede momenten voor een Health Check:

  • na de eerste setup,
  • na migraties,
  • vóór en na firmware-upgrades,
  • na grotere regelwijzigingen,
  • vóór audits,
  • elk kwartaal tijdens beheer.

Logging, alerts en SIEM

Firewallregels zonder logging zijn vaak waardeloos voor troubleshooting en incident response. Voor langere bewaartermijn is de lokale Log Viewer meestal niet genoeg. Afhankelijk van de omgeving zijn Sophos Central Reporting, Syslog, SIEM, MDR, XDR of NDR nuttig.

De technische Syslog-inrichting staat in Sophos Firewall Syslog veilig naar SIEM sturen. Voor centrale rapporten past Sophos Firewall Central Reporting activeren en beheren. Als NDR en Active Threat Response relevant zijn, helpt Sophos Firewall NDR en Active Threat Response beheren.

Compacte hardening-checklist

Gebruik voor een eerste review deze volgorde:

  1. WAN-toegang tot WebAdmin, SSH, User Portal en VPN Portal controleren.
  2. MFA voor admins en Remote Access activeren.
  3. Lokale adminaccounts, rollen en wachtwoordregels opschonen.
  4. Firmware, hotfixes, pattern updates en supportstatus controleren.
  5. Backup, SSMK, restore-pad en recoverytest documenteren.
  6. DNAT-, WAF- en VPN-publicaties op noodzaak beoordelen.
  7. Regels met Any, ontbrekende logging of onduidelijke eigenaar opschonen.
  8. IPS, Spoof Protection, DoS Settings en Threat Feeds gericht activeren.
  9. Web-, DNS-, TLS- en Zero-Day Policies gefaseerd invoeren.
  10. Health Check, Syslog, alerts en regelmatige reviews als beheerproces vastleggen.

Veelvoorkomende fouten

WAN-toegang blijft open uit gemak

WebAdmin- of SSH-toegang wordt geopend voor een supportcase en daarna vergeten. Juist zulke tijdelijke uitzonderingen moeten met einddatum, eigenaar en nacontrole worden gedocumenteerd.

Threat Feeds worden zonder beheerconcept geactiveerd

Threat Feeds zijn sterk, maar niet onderhoudsvrij. Zonder monitoring, allowlist en false-positive-proces kan een legitieme partner, dienstverlener of clouddienst worden geblokkeerd. Daarom eerst met Monitor of beperkte scope testen en daarna netjes naar Block overschakelen.

Logging ontbreekt bij kritieke regels

Als een publieke DNAT-regel, WAF-regel of VPN-regel niet logt, is er tijdens een incident te weinig zichtbaarheid. Minstens security-relevante ingangen, admin-toegang, deny-regels en kritieke segmentovergangen moeten traceerbaar zijn.

Health Check wordt als eenmalige taak gezien

Een goede score na setup is geen permanente toestand. Nieuwe regels, nieuwe VPN-gebruikers, tijdelijke uitzonderingen en firmwarewijzigingen kunnen de situatie veranderen. Hardening heeft een reviewritme nodig.

FAQ

Wat is Sophos Firewall hardening?

Sophos Firewall hardening is de gerichte vermindering van aanvalsvlakte. Het omvat beperkte beheerstoegang, MFA, actuele firmware, smalle regels, beveiligingsfuncties, logging, backups en regelmatige reviews.

Wat moet eerst worden gehard op Sophos Firewall?

Eerst worden WebAdmin, SSH, User Portal, VPN Portal en andere lokale diensten gecontroleerd. Daarna volgen MFA, firmwareversie, backups, gepubliceerde diensten, beveiligingsfuncties en centrale logs.

Zijn Threat Feeds een best practice voor DNAT en WAF?

Ja, vooral voor publiek bereikbare diensten. Threat Feeds kunnen bekende kwaadaardige bronnen vroeg blokkeren. Ze vervangen geen nette WAF- of firewallregel, patchmanagement of logging.

Is Sophos Firewall Health Check genoeg voor hardening?

Nee. Health Check is een zeer goed startpunt, maar geen volledig beheerproces. Findings moeten worden beoordeeld, uitgevoerd, gedocumenteerd en regelmatig opnieuw gecontroleerd.

Hoe vaak moet Sophos Firewall hardening worden gecontroleerd?

Minstens na setup, migraties, firmware-upgrades en grotere regelwijzigingen. Voor productieve omgevingen is daarnaast een kwartaalreview zinvol.