Sophos Firewall IPS instellen en veilig testen

Intrusion Prevention System (IPS) is een van de belangrijkste beschermingsfuncties op Sophos Firewall. IPS controleert verkeer op bekende aanvalspatronen, exploits en opvallende protocolpatronen. Correct ingezet beschermt het clients, servers, gepubliceerde diensten en VPN-verbindingen aanvullend op firewallregels, Web Protection, Application Control en TLS Inspection.

In de praktijk is IPS echter geen schakelaar die overal maximaal moet worden aangezet. Een verkeerde of te brede IPS Policy kan legitiem verkeer breken, VoIP verstoren, performance verbruiken of valse meldingen veroorzaken. Daarom moet IPS gepland worden geactiveerd, passend per regel worden gekozen en daarna met logs en tests worden gecontroleerd.

Welk Security Inspection-artikel past?

IPS is slechts één onderdeel van Security Inspection. Afhankelijk van het probleem of rolloutdoel past een ander artikel beter:

Taak	Passend artikel
IPS activeren, policy kiezen en false positives controleren	Dit artikel
Webcategorieën, Web Policies en gebruikerswebverkeer sturen	Sophos Firewall Web Protection met Web Policies instellen
Versleuteld webverkeer ontsleutelen en controleren	Sophos Firewall TLS Inspection correct invoeren
Bestanden en downloads via sandbox of ML controleren	Sophos Firewall Zero-Day Protection begrijpen en gebruiken
Bekende kwaadaardige IPs, domeinen of URL’s blokkeren	Sophos Firewall Threat Feeds veilig instellen en gebruiken
Eenvoudige spoofing- of floodingpatronen verminderen	Sophos Firewall Spoof Protection en DoS Settings controleren
Publiek bereikbare servers met NAT en IPS beveiligen	Servers via DNAT op Sophos Firewall publiceren
Onverwachte drops, rule ID of IPS policy ID analyseren	Gedropte pakketten op Sophos Firewall analyseren

Zo blijft de beschermingslogica begrijpelijk: firewallregels beperken toegestaan verkeer, IPS controleert dat verkeer op aanvalspatronen, Web Protection stuurt webinhoud, TLS Inspection geeft bij HTTPS meer zichtbaarheid en Zero-Day Protection vult bestands- en downloadcontroles aan.

Wanneer IPS zinvol is

IPS loont vooral waar verkeer een hoger risico heeft of waar bekende exploits vroeg moeten worden geblokkeerd.

Typische toepassingsgebieden:

Clientnetwerken met internettoegang
Servernetwerken en DMZ’s
DNAT-regels naar interne servers
Site-to-site-VPN-verkeer tussen locaties
Remote Access-verkeer wanneer na VPN-inbelverbinding interne systemen worden benaderd
VoIP, alleen met voorzichtige policykeuze en tests
bijzonder kritieke segmenten zoals management-, backup- of infrastructuurnetwerken

Voor gepubliceerde servers moet IPS altijd samen met nette NAT, strakke firewallregels, logging en patch management worden bekeken. Het artikel Servers via DNAT op Sophos Firewall publiceren legt de passende context voor NAT en firewallregels uit. Voor de basisstructuur van regels past Sophos Firewall-regels begrijpen en correct configureren.

Vereisten

IPS werkt alleen als aan de noodzakelijke vereisten is voldaan.

Controleer vóór de rollout:

Er is een actieve Network Protection subscription of triallicentie aanwezig.
IPS Protection is ingeschakeld onder Intrusion prevention > IPS policies.
Pattern updates werken en de firewall kan Sophos-updateservices bereiken.
Firewallregels bevatten passende IPS Policies onder Detect and prevent exploits (IPS).
Logging is actief voor de betreffende regels en logtypen.
Er is een proces voor false positives, uitzonderingen en policy-aanpassingen.

Als de Network Protection-subscription verloopt, kan de IPS-schakelaar nog steeds actief lijken, hoewel IPS niet meer wordt afgedwongen. Als IPS handmatig of na afloop van een trial wordt gedeactiveerd, kunnen signatures, updates en configuratiemogelijkheden afhankelijk van de toestand beperkt zijn. Voor het uitschakelen moet daarom een backup of export van de IPS-configuratie worden ingepland.

Let op: IPS is afhankelijk van licentie en updates. Een firewallregel met geselecteerde IPS Policy betekent niet automatisch dat IPS daadwerkelijk beschermt. Licentiestatus, globale IPS-activering, signatures en logs moeten worden gecontroleerd.

IPS globaal activeren

De globale activering gebeurt in de Sophos Firewall-webinterface:

Open Intrusion prevention > IPS policies.
Schakel IPS Protection in.
Controleer licentiemeldingen.
Wacht tot signatures beschikbaar zijn.
Controleer bestaande standaardpolicies.
Kloon indien nodig een eigen policy uit een bestaande policy.

Wijzigingen aan bepaalde acceleratiefuncties kunnen IPS herstarten. Zulke wijzigingen moeten daarom niet tijdens productieve foutanalyse of in een smal onderhoudsvenster zonder plan plaatsvinden.

De juiste IPS Policy kiezen

IPS Policies moeten bij het verkeer passen. De strengste policy is niet automatisch de beste policy.

Verkeer	Typische IPS-richting	Belangrijke controle
Clients naar internet	Client- of LAN-to-WAN-policy	Web, Application Control en TLS Inspection meenemen
Internet naar interne server via DNAT	Server- of webserverpolicy	Doelsysteem, poorten en false positives nauwkeurig observeren
Site-VPN	Policy afhankelijk van bron- en doelsystemen	Performance, MTU/MSS en applicaties testen
VoIP	zeer voorzichtig en specifiek	SIP/RTP mag niet door te agressieve signatures breken
Managementnetwerken	gericht en restrictief	Admin-toegang, monitoring en backupverkeer testen

Een eigen IPS Policy is zinvol als een standaardpolicy te breed is of als alleen bepaalde signatures met aangepaste actie nodig zijn. Signatures mogen echter niet planloos worden uitgeschakeld. Eerst moet duidelijk zijn welk verkeer is geraakt, welke signature is geactiveerd en of het werkelijk om een false positive gaat.

Eigen IPS Policies schoon bouwen

Eigen IPS Policies moeten uit een bestaande policy worden gekloond en daarna gericht worden aangepast. IPS Policy-regels bevatten signatures en een actie. De firewall evalueert deze regels van boven naar beneden. Daardoor kan een te brede regel boven een specifieke regel het gewenste gedrag afdekken.

Bij signatures zijn vooral deze velden belangrijk:

Veld	Betekenis in beheer
SID	unieke signature-ID voor logs, tickets en uitzonderingen
Category	technisch gebied, bijvoorbeeld browser, besturingssysteem, DNS, RPC of malware
Severity	ernst van de dreiging
Platform	doelplatform, bijvoorbeeld Windows, Linux of browsergerelateerde componenten
Target	client- of servergerelateerde signature
Recommended action	door Sophos aanbevolen standaardactie

De actie in een policyregel kan de aanbevolen signatureactie overschrijven. Dat is nuttig, maar riskant. Een algemene Allow packet, Disable of Bypass session kan bescherming verwijderen zonder dat dit later in het dagelijks gebruik direct opvalt.

Praktische omgang met acties:

Actie	Wanneer zinvol	Risico
Recommended	Standaard voor de meeste productieregels	Gedrag hangt af van de signature
Allow packet	Observatie zonder blokkade, bijvoorbeeld in de pilot	Aanval wordt niet voorkomen
Drop packet	Individuele pakketten droppen	Kan applicaties verstoren
Drop session	Sessie beëindigen wanneer een aanval moet worden voorkomen	Sterkere ingreep in productieverkeer
Reset	TCP-sessie actief resetten	Gebruiker of applicatie ziet harde onderbrekingen
Disable	Signature uitschakelen	Bescherming vervalt voor deze signature
Bypass session	Rest van de sessie niet meer scannen	Kan meer verkeer uit inspectie halen dan verwacht

Voor productiepolicies is daarom een korte wijzigingsnotitie zinvol: welke signature is gewijzigd, waarom, in welke policy, voor welke firewallregel en tot wanneer wordt de aanpassing opnieuw gecontroleerd?

IPS in firewallregels gebruiken

IPS wordt niet alleen globaal ingeschakeld. De policy moet ook in de passende firewallregel worden gebruikt.

Open Rules and policies > Firewall rules.
Bewerk of maak de relevante regel.
Activeer onder Other security features de optie Detect and prevent exploits (IPS).
Selecteer de passende IPS Policy.
Activeer regellogging.
Sla de wijziging op.
Test verkeer gecontroleerd.

Bij meerdere overlappende regels is de volgorde doorslaggevend. Als verkeer door een regel zonder IPS wordt geraakt, helpt de IPS Policy in een latere regel niet. Voor zulke gevallen is Sophos Firewall-regel grijpt niet: oorzaken controleren het betere vervolgartikel.

Rollout in productieomgevingen

IPS moet stapsgewijs worden ingevoerd.

1. Start met pilotregels

Kies eerst een kleine, goed bekende regel, bijvoorbeeld een clienttestnetwerk of één DNAT-regel. Controleer daarna logs en test met echte applicaties.

2. Hits evalueren

Filter in de Log viewer op IPS-events. Belangrijk zijn bron, doel, service, regel, signature, actie en tijdstip. Als meerdere beschermingsmodules betrokken zijn, moeten Web, Application Control, SSL/TLS Inspection en firewalllogs samen worden bekeken.

3. False positives inperken

Als legitiem verkeer wordt geblokkeerd, moet IPS niet meteen globaal worden gedeactiveerd. Een nauwe analyse is beter:

Welke signature is geactiveerd?
Welke applicatie of dienst was getroffen?
Betreft het een host, een netwerk of slechts één poort?
Is het doelsysteem actueel gepatcht?
Is een strakkere firewallregel mogelijk?
Volstaat een aangepaste IPS Policy in plaats van een globale uitzondering?

4. Stapsgewijs uitbreiden

Pas wanneer de pilotregel stabiel draait, moet IPS naar verdere regels worden uitgerold. Vooral bij VoIP, ERP-systemen, industriële protocollen, VPN-verbindingen en oudere applicaties zijn testvensters en een terugvalplan nodig.

Uitzonderingen en signaturewijzigingen controleren

IPS-uitzonderingen zijn beveiligingsbeslissingen. Als een signature legitiem verkeer stoort, kan een aanpassing nodig zijn. Toch moet niet reflexmatig de hele IPS Policy worden afgezwakt of IPS op de regel worden gedeactiveerd. Eerst moet duidelijk zijn of het echt om een false positive gaat of dat de signature een reëel risico zichtbaar maakt.

Voor een uitzondering minimaal verzamelen:

Informatie	Waarom belangrijk
Signature-ID en signaturenaam	toont welke detectie is geactiveerd
Bron, doel, service en firewallregel	bakent het getroffen verkeer af
Tijdstip en frequentie	onderscheidt een enkel event van een terugkerend patroon
Applicatie of protocol	helpt beoordelen of het verkeer legitiem is
Patchniveau van het doelsysteem	verlaagt het risico een echte exploit toe te staan
Packet Capture of logfragment	levert bewijs vóór de policywijziging

Als een uitzondering nodig is, moet die zo nauw mogelijk worden gezet:

individuele signature uitschakelen in plaats van een complete categorie
eigen IPS Policy gebruiken voor precies de betreffende firewallregel
policyregelvolgorde controleren, zodat specifieke regels niet door brede regels worden afgedekt
bron, doel en service in de firewallregel strakker maken
uitzondering documenteren met reden, owner en reviewdatum
na de wijziging controleren of alleen het verwachte verkeer is getroffen

Een tijdelijke uitzondering is vaak beter dan permanente uitschakeling. Na een applicatie-update, firmwareupdate of patch van het doelsysteem moet de uitzondering opnieuw worden gecontroleerd. Als veel signatures voor dezelfde applicatie storen, is meestal een eigen policy of nette segmentatie beter dan een grote globale uitzondering.

Logging en troubleshooting

Voor IPS-analyse zijn meerdere perspectieven nodig.

Tool	Waarvoor het helpt
`Log viewer`	IPS-hits, signature, actie, bron, doel, regel
`ips.log`	diepere aanwijzingen over IPS-, DPI- en Application Control-beslissingen
Packet Capture	pakketstroom, rule ID, NAT ID, IPS policy ID en richting
Regeltest	controle welke firewallregel überhaupt past
Syslog of Central Reporting	langere bewaartermijn en correlatie

Het artikel Sophos Firewall troubleshooting: services en logs plaatst ips.log en verwante logbestanden. Voor de combinatie van Log Viewer en Packet Capture past Sophos Firewall-regel testen met Log Viewer en Packet Capture. Als pakketten onverwacht worden gedropt, helpt Gedropte pakketten op Sophos Firewall analyseren.

Performance in het oog houden

IPS kost resources. Hoe sterk de belasting stijgt, hangt af van model, verkeer, geactiveerde signatures, TLS Inspection, Application Control, VPN, pakketgrootte en throughput.

Voor en na activering controleren:

CPU- en geheugenbelasting
IPS- en DPI-gerelateerde belasting
Throughput op getroffen interfaces
Latency en retransmits bij kritieke applicaties
Logvolume en syslogbelasting
Gebruikers- of applicatiemeldingen na de wijziging

Als een throughputprobleem wordt vermoed, moet IPS niet simpelweg worden gedeactiveerd en de case worden afgesloten. Beter is een vergelijking met een duidelijke testmethode, bijvoorbeeld via Sophos Firewall-prestatiegegevens correct interpreteren en Sophos Firewall-performance met iPerf testen.

Typische fouten

IPS Protection is globaal uitgeschakeld.
Network Protection is verlopen of niet actief.
In de firewallregel is geen IPS Policy geselecteerd.
Verkeer raakt een andere regel dan verwacht.
Logging is op de getroffen regel gedeactiveerd.
Een serverpolicy wordt op clientverkeer toegepast of omgekeerd.
VoIP of speciale protocollen worden zonder pilotfase met agressieve policy gecontroleerd.
False positives worden opgelost met globale deactivering in plaats van nauwe aanpassing.
Signatures worden zonder bewijs, owner of reviewdatum uitgeschakeld.
Na afloop van een trial wordt niet gecontroleerd of signatures of policies nog beschikbaar zijn.
Performanceproblemen worden niet met meetwaarden vóór en na de wijziging vergeleken.

Operationele checklist

Network Protection of triallicentie gecontroleerd.
IPS Protection onder Intrusion prevention > IPS policies geactiveerd.
Signatures en pattern updates gecontroleerd.
Passende IPS Policy per firewallregel gekozen.
Regellogging geactiveerd.
Pilotregel met echt verkeer getest.
Log viewer en ips.log gecontroleerd.
False-positive-proces gedefinieerd.
IPS-uitzonderingen nauw gedocumenteerd en later opnieuw gecontroleerd.
Eigen IPS Policies bevatten geen ongegronde Allow, Disable of Bypass session regels.
Performance vóór en na activering vergeleken.
Kritieke uitzonderingen gedocumenteerd en voorzien van reviewdatum.

FAQ

Moet IPS globaal en in de firewallregel worden geactiveerd?

Ja. IPS Protection moet globaal actief zijn onder Intrusion prevention > IPS policies. Daarnaast heeft de getroffen firewallregel een geselecteerde IPS Policy nodig onder Detect and prevent exploits (IPS).

Welke licentie heeft Sophos Firewall IPS nodig?

Voor IPS Protection is een actieve Network Protection subscription of triallicentie nodig. Als de subscription verloopt, kan IPS zichtbaar actief zijn, maar niet meer beschermen.

Moet altijd de strengste IPS Policy worden gebruikt?

Nee. De policy moet bij het verkeer passen. Een te strenge policy kan legitieme applicaties blokkeren, VoIP verstoren of onnodige belasting veroorzaken.

Waar ziet men IPS-hits?

In de Log viewer kunnen IPS-events worden gecontroleerd. Voor diepere analyse is daarnaast ips.log relevant. Packet Capture helpt de pakketstroom, de regel en de IPS policy ID te duiden.

Hoe moet men omgaan met IPS false positives?

Controleer eerst signature, bron, doel, service, getroffen applicatie en patchniveau. Pas daarna zo nauw mogelijk aan: eigen IPS Policy, individuele signature of strakkere firewallregel in plaats van globale deactivering. Elke uitzondering heeft reden, owner en reviewdatum nodig.

Welke IPS-actie moet men in eigen policies gebruiken?

Voor de meeste productieregels is Recommended het schoonste startpunt. Afwijkende acties zoals Allow packet, Disable of Bypass session mogen alleen bewust, gedocumenteerd en nauw begrensd worden gebruikt, omdat ze de aanbevolen signatureactie overschrijven.

Vervangt IPS patch management?

Nee. IPS kan bekende aanvalspatronen blokkeren, maar vervangt geen updates op servers, clients, applicaties of firewalls. IPS is extra bescherming, geen vrijbrief voor ongepatchte systemen.