Naar de inhoud
Avanet

Sophos Firewall regels testen met Log Viewer

Sophos Firewall

Een firewallregel moet niet alleen worden opgeslagen, maar ook gericht worden getest. Vooral bij webfiltering, TLS Inspection, NAT, IPS of User Matching kan een regel er in WebAdmin correct uitzien en toch niet werken zoals verwacht.

Voor de test zijn drie tools handig:

  • Log viewer voor echte events en regelbeslissingen
  • Policy tester voor web-, firewall- en SSL/TLS-policylogica
  • Packet capture voor de daadwerkelijke pakketstroom

Voor de test

Eerst moet duidelijk worden vastgelegd wat er getest wordt:

PuntVoorbeeld
Source IP172.16.10.25
Gebruikeruser@domain.local
Source zoneLAN
Destinationhttps://www.example.com
ServiceHTTPS
Verwachte regelLAN_to_WAN_Clients
Verwachte actiontoegestaan, geblokkeerd, decrypted, niet decrypted

Activeer daarna Log firewall traffic in de betreffende firewallregel. Zonder logging is de Log Viewer slechts beperkt bruikbaar.

Sophos Firewall regel met ingeschakelde optie Log firewall traffic
De optie Log firewall traffic moet ingeschakeld zijn voor regels die getest of later geanalyseerd moeten worden.

Stap 1: Regelpositie controleren

Open Rules and policies > Firewall rules en controleer:

  • Staat de regel boven algemenere regels?
  • Is de regel actief?
  • Is de juiste IPv4- of IPv6-weergave geselecteerd?
  • Staat de regel in een logische Rule group?
  • Zijn er Exclusions?
  • Staat er een automatisch aangemaakte regel boven?

Wanneer een nieuwe regel wordt getest, is het verstandig de Usage Counter van de regel te resetten. Daarna is beter zichtbaar of de regel tijdens de test echt geraakt werd.

Stap 2: Log Viewer openen

Open rechtsboven in de WebAdmin-console de Log viewer.

Handige filters:

  • Module: Firewall
  • Source IP
  • Destination IP
  • Destination port
  • Rule ID
  • Rule name
  • Action
  • User

Controleer bij webverkeer ook:

  • Web filter
  • SSL/TLS inspection
  • Application filter
  • IPS

De Log Viewer wordt automatisch bijgewerkt. Voor rustige analyse kan de liveweergave worden gepauzeerd, gefilterd en daarna weer hervat.

Stap 3: Test reproduceren

De test moet vanaf een gedefinieerde client worden uitgevoerd:

  • Website openen
  • Ping versturen
  • Poort testen
  • Applicatie starten
  • VPN-verbinding opbouwen
  • Bestand downloaden

Voer indien mogelijk slechts één test tegelijk uit. Anders lopen de logs snel door elkaar.

Controleer daarna:

  • Loopt de regelteller op?
  • Is er een log zichtbaar in Log Viewer?
  • Welke Rule ID wordt weergegeven?
  • Welke NAT Rule ID wordt weergegeven?
  • Wordt het verkeer toegestaan of geblokkeerd?
  • Grijpt een securityfunctie in?

Stap 4: Policy tester gebruiken

De Policy tester is handig om te controleren welke firewallregel, SSL/TLS inspection rule of Web Policy theoretisch op webverkeer van toepassing zou zijn.

Menupad:

Diagnostics > Tools > Policy tester

Typische invoer:

  • URL
  • Gebruiker
  • Tijd en dag
  • Source IP
  • Source zone
  • Test method

Kies als Test method bijvoorbeeld Firewall, SSL/TLS, and web als de combinatie van firewallregel, SSL/TLS inspection rule en Web Policy gecontroleerd moet worden.

Sophos Firewall Policy tester met geaccepteerd resultaat
De Policy tester toont hier dat de verbinding vanaf de opgegeven Source IP via de gematchte firewallregel toegestaan zou worden.

De Policy tester toont niet alleen Accepted of Blocked, maar ook de gematchte firewallregel, de herkende bestemming, de Source zone en afhankelijk van de testmethode aanvullende web- of SSL/TLS-informatie. Zo wordt snel duidelijk of het verkeer in principe in de verwachte regel terechtkomt.

Sophos Firewall Policy tester met geblokkeerd Web Policy resultaat
Bij webverkeer toont de Policy tester ook de Web protection beoordeling, categorie en gematchte Web Policy.

Belangrijk:

⚠️ De Policy tester vervangt geen echte pakketstroomtest. Sophos geeft aan dat Policy tester-resultaten geen SD-WAN routes weergeven. Het daadwerkelijke gedrag kan daarom afwijken wanneer SD-WAN, routing of gateways betrokken zijn.

De Policy tester is vooral nuttig voor:

  • Web Policy
  • URL-categorisatie
  • User-context
  • Schedule
  • SSL/TLS inspection rule
  • Firewallregelmatching voor webverkeer

Minder geschikt is hij voor:

  • echte routingbeslissingen
  • NAT-retourpad
  • pakketverlies
  • provider- of switchproblemen
  • applicaties met meerdere verbindingen en poorten

Stap 5: Packet Capture gebruiken

Als Log Viewer en Policy tester niet genoeg zijn, gebruik dan Diagnostics > Packet capture.

Zet een nauw filter, bijvoorbeeld:

  • Source IP van de client
  • Destination IP van de server
  • Destination port
  • Protocol

Daarna:

  1. Packet Capture starten.
  2. Test reproduceren.
  3. Packet Capture stoppen.
  4. Incoming en Forwarded events vergelijken.
  5. Rule ID en NAT ID met Log Viewer vergelijken.

Interpretatie:

ObservatieWat controleren?
Er komt geen pakket aanClient, VLAN, switch, gateway, provider, Cloud Security Group
Pakket komt binnen, maar gaat niet naar buitenFirewallregel, NAT, routing, securityfunctie
Pakket gaat naar buiten, maar antwoord ontbreektRetourroute, doelsysteem, NAT, externe firewall
Pakket heeft status ViolationPolicy, IPS, webfilter, Application Control
NAT ID is onverwachtNAT-volgorde en generieke NAT-regels

Meer hierover: Packet Capture in WebAdmin gebruiken.

Stap 6: Securityfuncties apart valideren

Als de juiste regel matcht maar het verkeer niet werkt, controleer dan de ingeschakelde functies.

FeatureWat controleren?
Web policyCategorie, gebruiker, schedule, policyvolgorde
Scan HTTP and decrypted HTTPSHTTPS wordt alleen gescand als het al decrypted is
SSL/TLS inspectionPassende regel, Decryption Profile, CA-certificaat op clients
IPSSignature, policy, false positive
Application ControlGedetecteerde applicatie, categorie, cloud-appdetectie
Security HeartbeatEndpoint stuurt heartbeat, status groen/geel/rood
Traffic ShapingPolicy actief, juiste applicatie of regel
NATCorrecte SNAT/DNAT/PAT-regel, volgorde

Voor HTTPS is een firewallregel met webfiltering niet genoeg om HTTPS-inhoud te inspecteren. Er is ook een passende SSL/TLS inspection rule met decryption en een uitgerold CA-certificaat nodig.

Meer hierover: TLS Inspection op Sophos Firewall stapsgewijs uitrollen.

Stap 7: Logbestanden controleren

Als de WebAdmin-tools niet genoeg zijn, controleer dan de bijbehorende logbestanden.

Typische bestanden:

OnderwerpLogbestand
Firewallregelfirewall_rule.log
NATnat_rule.log
Firewallverbindingenfwlog.log
IPS en DPIips.log
Web Proxyawarrenhttp.log
IPsecstrongswan.log, charon.log
SSL VPNsslvpn.log
DNSdnsd.log, dnsgrabber.log
DHCPdhcpd.log

Een uitgebreide uitleg staat hier: Sophos Firewall Troubleshooting: services en logs.

Voorbeeld: LAN naar WAN webregel testen

  1. Firewallregel LAN_to_WAN_Clients maken.
  2. Logging inschakelen.
  3. Services op HTTP en HTTPS zetten.
  4. Web Policy selecteren.
  5. Block QUIC protocol ingeschakeld laten.
  6. Scan HTTP and decrypted HTTPS inschakelen.
  7. SSL/TLS inspection rule voor de testgroep maken.
  8. CA-certificaat op de testclient installeren.
  9. Regelteller resetten.
  10. Website openen.
  11. Log Viewer filteren op Source IP.
  12. Policy tester voor dezelfde URL uitvoeren.
  13. Bij afwijking Packet Capture starten.

Zo wordt zichtbaar of de regel matcht, of HTTPS echt ontsleuteld wordt en of Webfilter, IPS of Application Control ingrijpen.

Meer informatie