Naar de inhoud
Avanet

Sophos Firewall Spoof Protection en DoS Settings controleren

Sophos Firewall

Spoof Protection en DoS Settings behoren tot de klassieke verhardingsfuncties van een Sophos Firewall. De functies verminderen eenvoudige, luidruchtige of duidelijk onjuiste pakketten voordat ze onnodige ruis worden in logs, regels of gepubliceerde services. Tegelijkertijd bieden deze instellingen geen magische bescherming tegen elke vorm van aanval.

Het artikel classificeert de functies als zorgvuldige basisverharding: begrijp eerst het netwerkontwerp en de retourpaden, activeer, test en controleer vervolgens de logbestanden. Het onderscheid is bijzonder belangrijk: deze functies vormen een aanvulling op het opschonen van firewallregels, IPS, Threat Feeds, WAF en loggen. Ze zijn geen vervanging voor deze bouwstenen.

Kort uitgelegd

Spoof Protection controleert of pakketten met een plausibel bronadres op de verwachte interface aankomen. Als er bijvoorbeeld een pakketje met een intern bronadres uit de richting van internet verschijnt, is dit bij de meeste ontwerpen verdacht. DoS Settings reageert daarentegen op bepaalde flooding- of verbindingsaanvalpatronen, bijvoorbeeld merkbare hoeveelheden SYN-, UDP- of ICMP-verkeer.

Het typische menupad, afhankelijk van de SFOS-versie, ligt in het bereik:

Protect > Intrusion prevention > DoS & spoof protection

Als de interface in een nieuwere versie iets anders is gelabeld, moet u zoeken naar DoS, spoofbescherming of inbraakpreventie. Belangrijk is niet het exacte klikpad, maar dat de functie bewust wordt gepland, getest en later gelogd.

Wat de functies doen

FunctieWaar het helptWaar het niet genoeg is voor
Spoof ProtectionPakketten met ongeloofwaardig bron-IP weggooien, eenvoudige spoofing-pogingen verminderen, verkeerd gerouteerde pakketten zichtbaar makenvervangt geen schone zone, interface en routeringsplanning
DoS Settingseenvoudige overstromingspatronen beperken, luide aanvallen of verkeerde configuraties eerder merkbaar makenvervangt de DDoS-bescherming van de provider niet, geen WAF en geen strak gedimensioneerd upstream-ontwerp

In de praktijk zijn deze functies bijzonder interessant als basisverharding. Het voordeel is dat voor de hand liggende onzin wordt verminderd. Bij echte volumetrische DDoS-aanvallen is de internetverbinding vaak al vol voordat de firewall zinvol kan reageren. Dan heb je bescherming nodig van de provider, upstream scrubbing of een andere architectuur.

Als Spoof Protection zinvol is, past

Spoof Protection bijzonder goed bij duidelijk gesegmenteerde netwerken waarin bronnetwerken, interfaces en routes duidelijk gepland zijn. Hoe duidelijker de netwerkstructuur, hoe gemakkelijker het is om te beoordelen of een bronadres op een interface plausibel is.

Nuttige toepassingen:

  • Internet WAN waarop geen interne RFC1918-bronnen mogen verschijnen.
  • DMZ of serverzones met duidelijke bron- en bestemmingsnetwerken.
  • Client-, gast- of IoT-zones waarin geen externe interne netwerken als bron mogen verschijnen.
  • Locaties waar routing, VLANs en zones duidelijk gedocumenteerd zijn.
  • Omgevingen waarin pakketdroppingen later traceerbaar moeten zijn met Packet Capture en logboeken.

Het wordt moeilijker met asymmetrische routing, complexe transitnetwerken, tijdelijke migratiepaden, onjuist gedocumenteerde VLANs of meerdere firewalls in hetzelfde datapad. Een legitieme datastroom kan op spoofing lijken, ook al is het routeringsontwerp of het retourpad feitelijk onrein.

Controleer vóór activering

Spoof Protection en DoS Settings mogen niet blindelings worden geactiveerd in een productieomgeving. Het moet vooraf duidelijk zijn om welke netwerken en diensten het gaat.

Belangrijke controlepunten:

  1. Documentzones, interfaces, VLANs, bruggen en LAGs.
  2. Controleer statische routes, SD-WAN routes, VPN-routes en asymmetrische paden.
  3. Identificeer gepubliceerde services via DNAT of WAF.
  4. Let op kritische services zoals VoIP, monitoring, back-up, scans, VPN en siteverbindingen.
  5. Registratie en centrale evaluatie voorbereiden als gebeurtenissen later traceerbaar moeten zijn.
  6. Onderhoudsvenster of pilotgebied instellen voor eerste activering.

Als normale firewallregels moeilijk te begrijpen zijn, moeten de regel- en routeringsstatus eerst worden opgeschoond. Voor individuele testverbindingen is Test firewallregel met Log Viewer, Policy Test en Packet Capture een beter begin.

Spoof Protection voorzichtig activeren

Een stapsgewijze aanpak is zinvol voor Spoof Protection. U moet eerst de duidelijkste gebieden beveiligen, en niet onmiddellijk elke speciale zone.

Praktisch proces:

  1. Sla de huidige configuratie op of documenteer in ieder geval de betreffende instellingen.
  2. Begin met een duidelijke zone of interface, bijvoorbeeld WAN of een netjes gescheiden klantenzone.
  3. Activering opslaan.
  4. Voer geplande testverbindingen uit: internettoegang, VPN, gepubliceerde services, centrale servers, monitoring.
  5. Controleer Log Viewer en Packet Capture op onverwachte dalingen.
  6. Ga niet meteen om met opvallende legitieme drops met brede uitzonderingen, maar controleer eerst de routing, het bron-IP en de interface.

Een veelgemaakte fout is om Spoof Protection te behandelen als een pure beveiligingshaak. In werkelijkheid test de functie een aanname over het netwerkontwerp. Als deze veronderstelling niet juist is, hoeft Spoof Protection niet noodzakelijkerwijs verkeerd te zijn. Vaak wordt een interface, een route, een VLAN of een retourroute niet gebouwd zoals verwacht.

DoS Settings abonnement

DoS Settings moet bij de omgeving passen. Het heeft zelden zin om zonder controle waarden uit een ander voorbeeld over te nemen. Een site met een paar gebruikers, VoIP en een kleine WAN gedraagt ​​zich anders dan een datacenter, een schoolnetwerk of een site met regelmatige scans en monitoring.

Beantwoord deze vragen voordat u zich aanpast:

  • Welke openbare diensten zijn zichtbaar?
  • Zijn er legitieme belastingpieken, scans, monitoring of gezondheidscontroles?
  • Worden VoIP, VPN, WAF, DNAT of grote bestandsoverdrachten gebruikt?
  • Welke evenementen mogen alleen worden geregistreerd en welke moeten echt worden geblokkeerd?
  • Wie controleert de logs na activatie?

DoS Settings kan eenvoudige overstromingspatronen helpen beperken. Te strenge drempels kunnen echter ook van invloed zijn op legitiem verkeer. Er moet bijzondere aandacht worden besteed aan VoIP, monitoringsystemen, back-uptaken, kwetsbaarheidsscans en intensief gebruikte gepubliceerde services.

Wat deze instellingen niet oplossen

Spoof Protection en DoS Settings zijn belangrijke bouwstenen, maar ze lossen niet elk beveiligingsprobleem op.

ProbleemBetere extra module
Server wordt aangevallen via toegestane HTTP verzoekenControleer WAF regel en webserverbeveiliging
Bekende kwaadaardige bron IP-aanvallenThreat Feeds of Controleer land/IP-blokkering
Exploitpoging tegen een dienstActiveer IPS-Policy volgens de regel
Internetlijn is vol vanwege DDoSInclusief provider, scrubbing of upstream DDoS-bescherming
Firewallregel staat te veel toeOpruimregels, NAT en objectmodel
Drops zijn onbegrijpelijkVerbeter logging, Packet Capture, syslog of centrale rapportage

Het artikel Publiceer server met DNAT op Sophos Firewall is ook relevant voor publiek toegankelijke servers. Het gaat over NAT, firewallregels en typische publicatiefouten.

Logboeken en vervolgcontrole

Na activatie moet u niet alleen controleren of de normale internettoegang nog werkt. Belangrijk is of de firewall verwachte en onverwachte gebeurtenissen duidelijk weergeeft.

Controleer:

  1. Log Viewer filter voor firewall en relevante beveiligingsgebeurtenissen.
  2. Trigger testverkeer met duidelijk bron-IP, bestemmings-IP en service.
  3. Gebruik Packet Capture voor onduidelijke druppels.
  4. Voor langere opslag kunt u syslog naar SIEM of logserver plannen.
  5. Controleer bij het uitvoeren van Sophos Central of Central Firewall Reporting de gewenste gebeurtenissen zichtbaar maakt.

Als een pakket wordt verwijderd maar de reden niet duidelijk is, kan de systematische uitvalanalyse in Sophos Firewall pakketten laten vallen: controleer de oorzaken helpen. Het beschrijft ook waarom Log Viewer en Packet Capture verschillende vragen beantwoorden.

Typische fouten

FoutImpactBeter benaderen
Spoof Protection activeren zonder routering te begrijpenlegitiem verkeer kan worden geblokkeerdControleer zones, interfaces, routes en retourpaden vooraf
Pas DoS-drempels toe zonder te controlerenVoIP, monitoring, scans of gepubliceerde services kunnen worden verstoordPlan baseline en testfase
Oplossen elke anomalie met een brede uitzonderingHardening wordt ineffectief en verwarrendBeperk de oorzaak en documenteer uitzonderingen nauwkeurig
Verkoop DoS Settings als DDoS-beschermingvalse verwachtingen voor bandbreedte-aanvallenPlan provider en upstream-bescherming afzonderlijk
Controleer logs nietOnjuiste blokken of aanvallen blijven onzichtbaarDefinieer Log Viewer, centrale rapportage of syslog als werkpunt
Interpreteer spoofing drops als een pure aanvalRouting- of VLAN-fouten worden over het hoofd gezienVergelijk bron-IP, interface, route en Packet Capture

Operationele checklist

Vóór activering:

  • zones, interfaces en routing begrepen.
  • Kritieke services en testgevallen gedefinieerd.
  • Back-up- of wijzigingsdocumentatie beschikbaar.
  • Logging en evaluatie voorbereid.
  • Proefgebied of onderhoudsvenster ingesteld.

Na activering:

  • Internet, VPN, WAF, DNAT, VoIP en monitoring getest.
  • Log Viewer gecontroleerd op onverwachte dalingen.
  • Packet Capture gebruikt voor ten minste één duidelijke testcase wanneer er druppels optreden.
  • Uitzonderingen worden slechts beperkt en gemotiveerd gemaakt.
  • Resultaat vastgelegd in de bedrijfsdocumentatie.

Regelmatig:

  • Controleer DoS en spoof-gebeurtenissen.
  • Controleer uitzonderingen op noodzaak.
  • Test opnieuw na netwerkwijzigingen, VPN-wijzigingen of nieuwe VLANs. Correleer
  • -logboeken met IPS, bedreigingsfeed, WAF en firewallregelgebeurtenissen.

FAQ

Moet u Spoof Protection altijd activeren op Sophos Firewall?

Spoof Protection is zinvol in veel omgevingen, maar zou moeten passen bij het routerings- en zoneontwerp. Bij asymmetrische routering, migraties of onduidelijke transitnetwerken dient u eerst de logs te testen en te controleren.

Houdt DoS Settings een echte DDoS-aanval tegen?

Alleen beperkt. DoS Settings kan eenvoudige overstromingspatronen verminderen. Als de internetlijn zelf overbelast raakt, moet de beveiliging vóór of bij de aanbieder plaatsvinden.

Waarom wordt legitiem verkeer geblokkeerd na Spoof Protection?

Vaak komt het bron-IP niet overeen met de verwachte interface of is het retourpad asymmetrisch. U moet eerst de routering, VLAN, gateway, VPN-pad en Packet Capture controleren voordat u een brede uitzondering maakt.

Welke waarden moet u gebruiken voor DoS Settings?

Er zijn geen universele waarden voor elke omgeving. Het is zinvol om voorzichtig te beginnen met baseline, testverkeer, logcontroles en aanpassing aan echte diensten zoals VoIP, VPN, WAF, monitoring en scans.

Welke logs helpen bij DoS- of spoof-gebeurtenissen?

De Log Viewer is het eerste toegangspunt. Packet Capture helpt bij individuele verbindingen. Voor langere retentie of correlatie met andere systemen kunt u Syslog-, SIEM- of Sophos Central-rapportage overwegen.