Przejdz do tresci
Avanet
Sophos Firewall: Najlepsze praktyki dla nowoczesnego bezpieczeństwa sieciowego

Sophos Firewall: Najlepsze praktyki dla nowoczesnego bezpieczeństwa sieciowego

Firewalle były przez długi czas miejscem, gdzie odpiera się ataki. Dziś same stały się jednym z najbardziej atrakcyjnych celów. To logiczne: Firewall znajduje się na uprzywilejowanej pozycji między Internetem, sieciami lokalnymi, usługami w chmurze, dostępami VPN i wewnętrznymi aplikacjami. Kto znajdzie tu lukę, słabe hasło lub błędną konfigurację, nie stoi już przed drzwiami, ale często już w środku budynku.

Dlatego nie wystarczy już traktować firewalla tylko jako silnika polityki dla reguł zezwalania i odmawiania. Nowoczesne bezpieczeństwo sieciowe potrzebuje trzech filarów: wzmocnienia, ochrony oraz wykrywania i reakcji. Trzeba zmniejszyć powierzchnię ataku przed atakiem, czysto blokować podczas ataku i szybko rozpoznać, co się stało po ataku.

Od wielu lat zajmuję się środowiskami Sophos Firewall w bardzo różnych rozmiarach i branżach. Poniższe zalecenia nie są więc teoretyczną listą funkcji, lecz tym, co wielokrotnie sprawdziło się w prawdziwych środowiskach klientów, migracjach, audytach i przypadkach wsparcia.

Dlaczego firewalle są tak bardzo w centrum uwagi

Firewall jest dla atakujących atrakcyjnym celem, ponieważ jest eksponowany, uprzywilejowany i często krytyczny dla biznesu. Do tego dochodzi fakt, że wiele środowisk obsługuje firewalle, portale VPN lub zdalne dostępy do zarządzania przez wiele lat. Nie każde środowisko jest czysto załatane, nie każda powierzchnia zarządzania jest naprawdę odizolowana, a nie każde logowanie jest zabezpieczone przez uwierzytelnianie wieloskładnikowe.

W praktyce ujawniają się przede wszystkim trzy powtarzające się przyczyny udanych ataków:

  • Luki w zabezpieczeniach firewalli i systemów brzegowych, szczególnie gdy poprawki są wdrażane z opóźnieniem lub wcale.
  • Kompromitowane dane dostępowe i ataki na tożsamość, często bez MFA lub z słabą konfiguracją MFA. Raport Sophos Active Adversary 2026 wymienia przyczyny związane z tożsamością jako główną przyczynę w 67,32% badanych przypadków.
  • Eksponowane systemy, takie jak RDP, portale VPN, portale użytkowników lub interfejsy administracyjne, które są bezpośrednio dostępne z Internetu.

Najważniejsza myśl za tym: Wiele ataków nie jest dziś spektakularnym “włamaniem”. Bardzo często atakujący po prostu się logują. Jeśli konto użytkownika, hasło administratora lub dostęp VPN są skompromitowane, pierwszy krok dla firewalla wygląda początkowo jak legalne użycie.

Trzy filary nowoczesnego bezpieczeństwa sieciowego

Nowoczesne bezpieczeństwo sieci można rozumieć jako spektrum od działań proaktywnych po reaktywne:

  1. Wzmocnienie: Redukcja powierzchni ataku, usuwanie przestarzałych systemów, stosowanie bezpiecznych produktów, sprawdzanie konfiguracji, ograniczanie dostępu.
  2. Ochrona: Blokowanie ataków, kontrola zaszyfrowanego ruchu, sensowne wykorzystanie funkcji Web, IPS, Zero-Day i Application Control.
  3. Wykrywanie i reakcja: Rozpoznawanie anomalii, izolowanie skompromitowanych urządzeń, korelacja danych o zagrożeniach i automatyczna reakcja.

Wiele firewalli tradycyjnie jest silnych w drugim filarze. Te systemy blokują ruch, sprawdzają pakiety, rozpoznają znane wzorce i egzekwują polityki. To ważne, ale już niewystarczające. Jeśli sam firewall jest źle skonfigurowany, jeśli zdalny dostęp działa bez MFA lub jeśli niezałatany system nadal jest produktywny, mamy strukturalny problem, którego żadna pojedyncza reguła IPS nie rozwiąże czysto.

Moje doświadczenie pokazuje: Najlepsze wyniki nie wynikają z jednej magicznej funkcji, ale z czystej podstawowej konfiguracji, regularnych przeglądów i firewalla, który jest zintegrowany z resztą procesu bezpieczeństwa.

Filar 1: Wzmocnienie przed atakiem

Wzmocnienie to część pracy nad bezpieczeństwem, która rzadko zbiera oklaski, ale w sytuacji kryzysowej robi różnicę. Chodzi o mniejszą powierzchnię ataku, mniej starych obciążeń, mniej otwartych dróg zarządzania i mniejszą zależność od ręcznych reakcji.

Redukcja infrastruktury i usuwanie starych systemów

Najprostszym sposobem na zmniejszenie powierzchni ataku jest czasami najbardziej niewygodny: wyłączenie rzeczy. Każda stara aplikacja, każda zapomniana usługa VPN, każde portal zarządzania i każdy nieobsługiwany już serwer to dodatkowy punkt ataku. Szczególnie krytyczne są systemy, które stoją na krawędzi sieci lub pośrednio umożliwiają uprzywilejowany dostęp do sieci wewnętrznych.

Dla administratorów Sophos Firewall oznacza to konkretnie:

  • Regularne sprawdzanie, które firewalle, RED-y, bramy VPN, kontrolery WLAN, reverse proxy i komponenty zdalnego dostępu są nadal produktywne.
  • Usuwanie systemów End-of-Life lub End-of-Support z uprzywilejowanych pozycji.
  • Konsolidacja funkcji, jeśli zmniejsza to złożoność: Firewall, SD-WAN, DNS Protection, ZTNA, Threat Feeds, raportowanie i centralne zarządzanie powinny być możliwie czysto zharmonizowane.
  • Dokumentowanie, które usługi naprawdę muszą być dostępne z Internetu.

Celem nie jest wciśnięcie jak najwięcej do jednego produktu. Celem jest unikanie ślepych starych obciążeń. Mała, aktualna i dobrze kontrolowana infrastruktura jest prawie zawsze bezpieczniejsza niż duże, historycznie rozwinięte środowisko z wieloma wyjątkami “tak było zawsze”.

Konsekwentne zabezpieczanie dostępu do zarządzania

Jedną z najważniejszych najlepszych praktyk jest prosta: Web Admin Console i User Portal nie powinny być niepotrzebnie dostępne z WAN. Jeśli zdalne zarządzanie jest konieczne, powinno odbywać się przez Sophos Central, dedykowaną sieć zarządzania, ZTNA lub inną kontrolowaną drogę.

W środowiskach klientów często widzę, że problemem nie jest najbardziej skomplikowana technika ataku, ale stary dostęp administratora, historycznie rozwinięty portal lub “tymczasowy” wyjątek, który nigdy nie został usunięty. Takie miejsca powinny być częścią regularnego przeglądu firewalla.

Widget Health Check Sophos Firewall w Control Center
Health Check sprawia, że ryzykowne konfiguracje są widoczne bezpośrednio w Control Center.

Następujące punkty powinny być sprawdzone w każdej konfiguracji Sophos Firewall:

  • Aktywacja MFA dla administratorów, szczególnie dla standardowego administratora i wszystkich kont z szerokimi uprawnieniami.
  • Wymuszenie MFA dla logowań VPN i portali, jeśli takie dostępy są nadal używane.
  • Unikanie dostępu WAN do Admin Console i User Portal lub silne ograniczenie do dedykowanych sieci źródłowych.
  • Konfiguracja silnych zasad haseł dla użytkowników i administratorów.
  • Zabezpieczenie SSH, najlepiej z uwierzytelnianiem kluczem publicznym i bez szerokiej dostępności WAN.
  • Aktywacja centralnych kopii zapasowych i ochrona dostępu do kopii zapasowych, ponieważ kopie zapasowe konfiguracji mogą zawierać wrażliwe informacje.
  • Aktywacja powiadomień i logowania, aby zdarzenia związane z bezpieczeństwem nie umknęły w trakcie działania.

Punkt dotyczący kopii zapasowych jest często niedoceniany. Kopia zapasowa firewalla zawiera nie tylko nieszkodliwe ustawienia, ale także informacje o sieciach, regułach, certyfikatach, VPN-ach i wewnętrznych strukturach. Dlatego kopie zapasowe muszą być szyfrowane, kontrolowane i regularnie testowane.

Świadome ustawianie Device Access i Local Service ACL

Kiedy mówimy o dostępie WAN, musimy konkretnie mówić o Device Access i Local Service ACL w Sophos Firewall. W macierzy Device Access ustala się strefowo, które lokalne usługi firewalla są dostępne: HTTPS Admin, User Portal, SSH, Ping, DNS, Captive Portal, portale VPN i inne usługi.

Najlepsza praktyka jest tutaj bardzo prosta, ale skuteczna: Ze strefy WAN powinno być dostępne tylko to, co naprawdę jest potrzebne. Dostęp administracyjny, SSH i User Portal nie powinny być szeroko dostępne w Internecie. Jeśli wyjątki są konieczne, powinny być ograniczone przez Local Service ACL Exception Rules do konkretnych adresów IP źródłowych lub sieci zarządzania.

Reguły krajowe jako minimalna ochrona

Jeśli stałe adresy IP źródłowe nie są realistyczne, zalecam przynajmniej pracę z regułami krajowymi. Dostęp tylko z kilku istotnych krajów jest nadal znacznie lepszy niż globalna dostępność. Alternatywnie można blokować kraje, z którymi firma nie ma związku i w których zazwyczaj nie przebywają pracownicy ani administratorzy. To nie zastępuje MFA, silnych ról i czystych ACL, ale redukuje niepotrzebny szum i wiele automatycznych prób dostępu.

Z mojego punktu widzenia jest to jeden z pierwszych punktów w każdym przeglądzie firewalla. Wiele ryzykownych konfiguracji nie wynika z złej intencji, ale dlatego, że usługa została otwarta na potrzeby migracji, przypadku wsparcia lub testu i nigdy później nie została zamknięta. Takie szczegóły odróżniają firewall, który po prostu działa, od firewalla, który jest naprawdę czysto zarządzany.

Sprawdzanie bezpieczeństwa logowania i ról administratora

MFA jest ważne, ale warstwa logowania składa się z więcej niż jednego drugiego czynnika. Administratorzy powinni używać własnych, śledzonych kont i nie pracować na stałe z wspólnym pełnym administratorem. Uprawnienia oparte na rolach pomagają oddzielić dostęp do wsparcia, raportowania lub helpdesku od właściwego administratora firewalla.

Dodatkowo należy ograniczyć nieudane próby logowania, kończyć sesje czysto i ograniczać dostęp administratorów do zdefiniowanych sieci. Disclaimer logowania może być prawnie sensowny w określonych środowiskach, ale nie zastępuje prawdziwych kontroli technicznych. Ważniejsze są silne zasady haseł, krótkie nieaktywne sesje, ochrona przed atakami brute-force i zasada najmniejszych uprawnień.

Unikanie zmęczenia poprawkami: Poprawki muszą działać szybko

Poprawki to jedno z tych tematów, gdzie teoria i praktyka są daleko od siebie. Oczywiście każdy administrator wie, że aktualizacje oprogramowania są ważne. W rzeczywistości oznaczają one jednak okna konserwacyjne, ocenę ryzyka, planowanie HA, komunikację z działami i czasami również przestoje. To prowadzi do zmęczenia poprawkami: aktualizacje są odkładane, ponieważ są pracochłonne.

Właśnie tutaj czas jest niebezpieczny. Ataki na tożsamość są obecnie dominującą przyczyną, ale wykorzystanie luk w zabezpieczeniach pozostaje realnym wektorem, szczególnie w przypadku systemów brzegowych, takich jak firewalle, VPN-y i inne usługi blisko internetu. Raport Sophos Active Adversary 2026 podaje jako przykład CVE-2024-40766 w SonicOS, która była widoczna w dużej części potwierdzonych przypadków wykorzystania w zbiorze danych. Jednocześnie mediana czasu między ogłoszeniem producenta a obserwowanym wykorzystaniem wynosiła 322 dni. To dość jasny sygnał: zmęczenie poprawkami to nie abstrakcyjny problem operacyjny, ale okno ataku.

Sophos Firewall robi tutaj ważny krok: Automatyczne poprawki umożliwiają wdrażanie poprawek bezpieczeństwa bez klasycznego okna konserwacyjnego. Dla administratorów jest to niezwykle cenne, ponieważ krytyczna ochrona nie wchodzi w życie dopiero wtedy, gdy pojawi się następne wolne okno konserwacyjne.

Mimo to obowiązuje zasada: Poprawki nie zastępują czystej strategii aktualizacji. Poprawki zamykają niebezpieczną lukę między odkrytą luką a regularną aktualizacją oprogramowania. Najlepsza praktyka to:

  • Pozostawienie aktywnych poprawek.
  • Regularne sprawdzanie wersji oprogramowania i dokumentowanie przygotowania do aktualizacji oprogramowania.
  • Czytanie ścieżek aktualizacji i kompatybilności z wyprzedzeniem.
  • Przygotowanie kopii zapasowych i planu przywracania.
  • Osobne planowanie klastrów HA i zdalnych lokalizacji.

VPN nie jako dowód zaufania

Zdalny dostęp VPN był przez lata standardem. Problem: Klasyczne VPN często myśli w kategoriach sieci, a nie aplikacji. Kto jest pomyślnie połączony, znajduje się z punktu widzenia wielu środowisk już w zaufanym obszarze. Jeśli urządzenie końcowe jest skompromitowane lub dane dostępowe zostały skradzione, atakujący może się stamtąd przemieszczać.

Zero Trust Network Access (ZTNA) rozwiązuje ten problem nie przez magię, ale przez lepszą zasadę: Nie ufaj niczemu, weryfikuj wszystko. Dostęp nie jest przyznawany ogólnie do sieci, ale oceniany na podstawie użytkownika, urządzenia, stanu i aplikacji. Urządzenie musi być zdrowe i zgodne, tożsamość musi być zweryfikowana, a polityka decyduje szczegółowo, która aplikacja jest dostępna.

ZTNA nie jest automatyczną decyzją Sophos

Ważne jest, aby ZTNA nie była decyzją, która automatycznie musi przemawiać za Sophos ZTNA. W zależności od środowiska, specjalistyczni dostawcy ZTNA, SSE lub SASE mogą być bardziej zaawansowani funkcjonalnie, oferować lepsze integracje lub lepiej pasować organizacyjnie. Decydujące nie jest nazwa producenta, ale to, czy tożsamość, stan urządzenia, dostęp do aplikacji, logowanie i działanie są czysto zintegrowane.

To także moje ogólne podejście w projektach Sophos: Nie stawiam automatycznie na Sophos w każdym temacie. Jeśli rozwiązanie innego dostawcy w zakresie ZTNA, SSE, Threat Intelligence, SIEM lub NDR lepiej pasuje, to właśnie to jest lepszą rekomendacją. Dobra architektura bezpieczeństwa nie powstaje przez maksymalne związanie z producentem, ale przez czysto zintegrowane komponenty z jasną odpowiedzialnością.

Dla czysto Sophosowych środowisk integracja może być jednak interesująca, ponieważ ZTNA, Endpoint, Firewall i Sophos Central mogą być używane razem. Skompromitowane lub niezgodne urządzenie może stracić dostęp, bez konieczności ręcznego przekształcania reguł firewalla przez administratora. Warto również spojrzeć na ZTNA Gateway na Sophos Firewall. W przypadku mieszanych lub większych środowisk warto jednak świadomie porównać i nie automatycznie ustawiać istniejącego producenta firewalla jako platformy ZTNA.

Kto dziś jeszcze mocno polega na SSL VPN lub IPsec Remote Access, powinien przynajmniej sprawdzić te punkty:

  • Wymuszenie MFA dla każdego dostępu zdalnego.
  • Usunięcie starych lub nieużywanych użytkowników VPN.
  • Kontrola importu grup z AD lub Entra ID, aby zdalny dostęp nie był niechcący aktywowany.
  • Redukcja split-tunnel, dozwolonych sieci i uprawnień do minimum.
  • Planowanie stopniowej migracji do odpowiedniego rozwiązania ZTNA, SSE lub SASE, szczególnie dla wewnętrznych aplikacji webowych, RDP, SSH, portali administracyjnych i aplikacji biznesowych.

Segmentacja przeciwko ruchowi bocznemu

Jeśli atakujący dostaną się z ważnymi danymi dostępowymi lub przez eksponowaną usługę, segmentacja wewnętrzna decyduje o tym, jak daleko mogą się poruszać. Firewall nie powinien być więc tylko bramą perymetralną, ale powinien czysto oddzielać wewnętrzne strefy: użytkowników, serwery, zarządzanie, IoT, sieć gościnną, produkcję, kopie zapasowe i szczególnie krytyczne systemy nie powinny być ślepo w tym samym modelu zaufania.

Praktycznie oznacza to: VLAN-y i strefy nie tylko z miłości do porządku, ale z prawdziwymi regułami firewalla. Między sieciami użytkowników a serwerami powinny być dozwolone tylko potrzebne aplikacje. Dostępy zarządzania należą do dedykowanych sieci administracyjnych. Sieci IoT i drukarek nie powinny swobodnie rozmawiać z serwerami. Kopie zapasowe i kontrolery domen zasługują na szczególnie restrykcyjne reguły i dobre logowanie.

Właśnie tutaj zamyka się krąg do stwierdzenia “atakujący się logują”. Jeśli skompromitowane konto ma dostęp tylko do jednej aplikacji, a nie do całej sieci, incydent nie staje się automatycznie pełnym kompromisem.

W nowych projektach planuję segmentację możliwie wcześnie. Później jest to nadal możliwe, ale znacznie bardziej uciążliwe, ponieważ aplikacje, wyjątki i historyczne zależności muszą być wtedy najpierw rozwikłane.

Uwidacznianie błędnych konfiguracji

Firewall może być technicznie bardzo wydajny, a mimo to przez błędną konfigurację stać się niebezpieczny. Zbyt szerokie reguły, obiekty “Any”, słabe uwierzytelnianie, brakujące polityki IPS, wyłączone aktualizacje wzorców lub otwarte portale to typowe przykłady. Trudność polega na tym, że w rozwiniętych środowiskach nie zawsze od razu widać takie ryzyka.

Sophos Firewall Health Check adresuje dokładnie ten problem. Sprawdza dziesiątki ustawień w porównaniu z najlepszymi praktykami i benchmarkami i pokazuje w Control Center, gdzie konfiguracje są ryzykowne lub odbiegają od zalecanych standardów. Wyniki są priorytetyzowane według ryzyka, prowadzą kliknięciem do dotkniętych ustawień i mogą być w zależności od sytuacji naprawione lub świadomie nadpisane.

Widok szczegółowy Sophos Firewall Health Check
Widok szczegółowy priorytetyzuje ryzyka i prowadzi bezpośrednio do dotkniętych ustawień.

Szczególnie pomocny jest Health Check dla powtarzających się procesów operacyjnych:

  • po nowym wdrożeniu firewalla,
  • po większych zmianach reguł,
  • przed i po aktualizacjach oprogramowania,
  • przed audytami,
  • po migracjach ze starego sprzętu,
  • jako regularny kwartalny przegląd.

Ważne jest jednak również: Health Check nie zwalnia administratorów z myślenia. Nie każda rekomendacja pasuje do każdego środowiska. Niektóre punkty mają powody związane z zgodnością lub operacjami, inne są wyraźnymi lukami w bezpieczeństwie. Kluczowe jest świadome ocenianie odstępstw i nie pozwalanie im rosnąć niezauważenie.

Z mojego punktu widzenia Health Check jest przede wszystkim silnym narzędziem operacyjnym. Nie jest to tylko coś na pierwszy Go-Live, ale dobry punkt wyjścia do kwartalnych przeglądów, przygotowania do audytu i oczyszczania starych reguł.

Secure by Design: Wzmocnienie samego firewalla

Z mojego punktu widzenia potrzebne są nie tylko produkty bezpieczeństwa, ale bezpieczne produkty bezpieczeństwa. To ważna różnica. Firewall nie powinien tylko blokować ataków na inne systemy, ale musi być sam odporny na ataki.

W przypadku Sophos Firewall obejmuje to kilka poziomów:

  • Wzmocniony kernel i zmodernizowana architektura: Nowsza architektura Xstream bardziej stawia na izolację, modularność, konteneryzację i separację uprawnień. Dzięki temu zmniejsza się liczba klas luk i ogranicza się skutki dzięki lepszej izolacji. Do tego dochodzą zabezpieczenia przed lukami typu side-channel i CPU. To sprawia, że platforma jest bardziej odporna, ale nie odporna na luki.
  • Automatyczne poprawki: Poprawki bezpieczeństwa mogą być dystrybuowane bardzo szybko i bez klasycznego okna konserwacyjnego.
  • Zdalne monitorowanie integralności: Zintegrowany czujnik Sophos XDR Linux może monitorować integralność systemu w czasie rzeczywistym, na przykład nieautoryzowane zmiany konfiguracji, eksporty reguł, podejrzane uruchomienia programów lub manipulacje plikami. Jest to jednak wartościowe tylko wtedy, gdy funkcja jest aktywowana, licencjonowana, podłączona i monitorowana w trakcie działania.
  • Bezpieczne centralne zarządzanie: Administracja może odbywać się przez Sophos Central, bez szerokiego otwierania portów zarządzania w Internecie.
  • Health Check: Ryzykowne konfiguracje są bezpośrednio widoczne.
  • Szyfrowane kopie zapasowe: Dane konfiguracyjne są chronione podczas przesyłania i przechowywania.

Dodatkowo Sophos stawia na proaktywne monitorowanie zainstalowanej bazy firewalla. Telemetria z firewalli może pomóc wcześniej wykryć wskazówki dotyczące ataków lub manipulacji. Jeśli wzorzec stanie się widoczny, Sophos może celowo wspierać klientów lub partnerów i szybko szeroko wdrażać poprawki.

Te punkty są w codziennym życiu mniej spektakularne niż nowa reguła firewalla lub zablokowany atak w logu. Długoterminowo są jednak decydujące. Wzmocniony produkt zmniejsza prawdopodobieństwo, że sam firewall stanie się punktem wejścia. Nie zastępuje to jednak czystego procesu aktualizacji, monitorowania i regularnego przeglądu konfiguracji.

Na co zwrócić uwagę przy wyborze producenta firewalla

Secure by Design to nie tylko cecha produktu, ale także kwestia producenta. Klienci powinni oczekiwać od producentów, że będą transparentnie traktować luki, jasno komunikować informacje o cyklu życia, szybko wdrażać poprawki bezpieczeństwa i budować swoje produkty tak, aby błędne konfiguracje i skompromitowane komponenty były wykrywane jak najwcześniej.

Odpowiedzialność jest tutaj podzielona. Producenci muszą dostarczać bezpieczne produkty i reagować transparentnie. Klienci muszą wdrażać aktualizacje, zastępować systemy EOL, korzystać z MFA i regularnie sprawdzać działanie. Oba elementy muszą współgrać.

Filar 2: Ochrona podczas ataku

Wzmocnienie to podstawa. Następnie firewall musi nadal robić to, do czego jest używany: kontrolować ruch i blokować ataki. W przypadku Sophos Firewall obejmuje to między innymi IPS, Web Protection, Application Control, Zero-Day Protection, TLS Inspection, DNS Protection i Threat Intelligence Feeds.

Sophos stawia na architekturę Xstream. Zaufany ruch może być przetwarzany bardziej efektywnie, zadania wymagające dużej mocy obliczeniowej, takie jak operacje kryptograficzne, są realizowane przez zoptymalizowane ścieżki, a dla ruchu o wyższym ryzyku pozostaje więcej rezerwy wydajności na głęboką inspekcję pakietów, TLS Inspection i Zero-Day Protection.

Inspekcja TLS jest dobrym przykładem równowagi między bezpieczeństwem a działaniem. Bez deszyfracji duża część nowoczesnego ruchu pozostaje niewidoczna. Z źle zaplanowanymi regułami TLS można jednak generować przypadki wsparcia, problemy z certyfikatami lub wąskie gardła wydajności. Najlepsza praktyka to nie “wszystko ślepo deszyfrować”, ale czysto klasyfikować:

  • najpierw krytyczne grupy użytkowników i serwery,
  • czysto wykluczać bankowość, zdrowie, prywatność i znane problematyczne kategorie,
  • testować strony blokady i ostrzeżeń,
  • dokumentować dystrybucję certyfikatów,
  • aktywnie analizować logi.

Moja rekomendacja to nie zaczynać inspekcji TLS jako projektu “wszystko albo nic”. Lepiej jest czysto wdrażać z jasnymi grupami użytkowników, wyjątkami, oknami testowymi i analizą logów. W ten sposób zwiększa się widoczność, bez przytłaczania helpdesku pierwszego dnia.

Również Threat Feeds należą do tego obszaru ochrony. Takie kanały pomagają blokować znane złośliwe IP, domeny lub URL-e bezpośrednio na granicy sieci. W nowszych wersjach Sophos Firewall są one znacznie bardziej zintegrowane z Active Threat Response i mechanizmami ochrony.

Szczególnie interesujące stają się Threat Feeds, gdy nie są używane tylko ogólne listy, ale kuratorowane kanały zewnętrzne z aktualnym kontekstem. Przykładem jest Cybora.io, gdzie złośliwe IP i domeny z różnych źródeł i telemetrii firewall są łączone w użyteczne kanały. Jak takie kanały mogą być używane na firewallach, opisałem bardziej szczegółowo w artykule Threat Intelligence Feeds dla firewalla.

Również tutaj obowiązuje zasada: Threat Feeds muszą być testowane i obserwowane. Zbyt agresywne kanały, brakujące procesy Allowlist lub niejasne odpowiedzialności mogą blokować legalny ruch i w działaniu przynosić więcej szkody niż pożytku. Dobre kanały nie zastępują przeglądu reguł, ale są dodatkowym elementem z własnym dostrojeniem.

Dodatkowo nie należy zapominać o klasycznych wzmocnieniach SFOS: Spoof Protection i odpowiednich ustawieniach DoS oraz Geo-IP-Blocking mogą redukować proste, głośne lub oczywiście niepożądane dostępy. To nie zastępuje czystej polityki, ale usuwa z firewalla niepotrzebny szum i blokuje ścieżki ataku, które w wielu środowiskach nie mają żadnego legalnego celu.

Zalecam tutaj podejście pragmatyczne: najpierw czysto kontrolować duże ryzyka, potem stopniowo zaostrzać funkcje ochrony i dokumentować w logach, co naprawdę działa. Przeładowana polityka, której nikt już nie rozumie, nie jest długoterminowo zyskiem bezpieczeństwa.

Filar 3: Wykrywanie i reakcja po pierwszym sygnale

Najbardziej ekscytującą częścią nowoczesnego bezpieczeństwa sieciowego jest reakcja. Firewall nie powinien działać w izolacji, ale wykorzystywać sygnały z Endpoint, Server, NDR, MDR, XDR i Threat Intelligence. Sophos może tutaj wykorzystać zalety ekosystemu, ale tylko wtedy, gdy te integracje naprawdę pasują do środowiska.

Ekosystemy pomagają tylko, jeśli pasują

Synchronized Security i Security Heartbeat to dobre pomysły: Firewall może uwzględniać stan Endpointów i ograniczać lub blokować komunikację w przypadku skompromitowanych urządzeń. W rzeczywistości jednak coraz więcej firm korzysta z Microsoft Defender lub innych rozwiązań Endpoint. Wtedy ta część ekosystemu Sophos działa tylko w ograniczonym zakresie lub wcale. Dlatego nie należy automatycznie brać wszystkiego od tego samego producenta, tylko dlatego, że jest oferowane jako zintegrowany ekosystem.

Moja rekomendacja jest tutaj jasna: Decydujące jest to, co pasuje do firmy i może być czysto wdrożone. Jeśli Microsoft Defender, inne EDR, zewnętrzny NDR lub zewnętrzne SIEM są lepszą bazą, to firewall powinien być czysto zintegrowany z tą architekturą. Ważniejsze niż cross-selling jest to, aby logi trafiały we właściwe miejsce, alarmy były rozumiane i ktoś regularnie sprawdzał, co systemy zgłaszają. Bez analizy logów, dostrojenia i procesu incydentów nawet najlepsza integracja niewiele pomoże.

Z Active Threat Response można automatycznie przetłumaczyć wykryte zagrożenia na decyzje sieciowe. A z NDR Essentials firewall zyskuje dodatkowy wgląd w podejrzany ruch sieciowy, nawet tam, gdzie nie jest zainstalowany klasyczny agent Endpoint.

Automatyzacja potrzebuje Runbooków

Automatyzacja potrzebuje jednak wytycznych. Powinno być jasne, które sygnały mogą być automatycznie blokowane, kto może przywrócić izolację, jak traktować fałszywe alarmy i jak testować takie procedury. Bez Runbooków, odpowiedzialności i regularnych ćwiczeń w sytuacji kryzysowej nikt nie wie, czy blokada była zamierzona, poprawna czy zbyt agresywna.

Co się dzieje w sytuacji kryzysowej? Skompromitowane urządzenie może być izolowane, komunikacja C2 może być przerwana, eksfiltracja może być zablokowana, a analityk MDR lub XDR może wywołać Active Threat Response, bez konieczności ręcznego budowania reguły w firewallu. To szczególnie cenne, gdy atak jest wykrywany poza normalnymi godzinami pracy.

Dla administratorów najważniejsze jest to, że reakcja musi być wystarczająco szybka. Jeśli analityk MDR lub XDR musi najpierw zadzwonić, napisać zgłoszenie, a lokalny administrator musi wtedy ręcznie zbudować regułę w piątkowy wieczór, czas reakcji jest zbyt długi. Automatyczna reakcja nie oznacza, że ludzie są zastępowani. Chodzi o to, że pierwsze ograniczenie następuje natychmiast, a zespół może potem czysto zbadać sytuację.

W mniejszych zespołach IT ta automatyzacja jest szczególnie wartościowa. Nie każda firma ma dostępnego specjalistę od firewalli przez całą dobę. Jeśli Endpoint, Firewall, NDR, MDR i SIEM współpracują sensownie między producentami, zyskuje się czas, a czas jest często najważniejszym czynnikiem przy aktywnych atakach.

Praktyczna lista kontrolna dla administratorów Sophos Firewall

Kto chce dziś wzmocnić swoją Sophos Firewall, może zacząć od tej listy:

Natychmiast sprawdzić

  • Czy poprawki są aktywowane?
  • Czy MFA dla administratorów jest aktywne?
  • Czy Web Admin Console i User Portal są dostępne z WAN?
  • Czy SSL VPN lub IPsec Remote Access są chronione przez MFA?
  • Czy są jeszcze nieużywane lokalne konta administratorów?
  • Czy kopie zapasowe są planowane, szyfrowane i testowane?
  • Czy Device Access i Local Service ACL są zredukowane do minimum?
  • Czy usługi dostępne z WAN są przynajmniej ograniczone do odpowiednich krajów lub znanych sieci źródłowych?
  • Czy aktualizacje wzorców i wersje oprogramowania są aktualne?

W ciągu najbliższych tygodni

  • Wykonać Health Check i priorytetyzować wyniki.
  • Sprawdzić stare reguły firewalla z “Any” w źródle, celu lub usłudze.
  • Sprawdzić role administratorów, bezpieczeństwo logowania, czas wygaśnięcia sesji i ochronę przed atakami brute-force.
  • Inwentaryzować eksponowane usługi, takie jak RDP, SSH, serwery webowe, portale i reguły NAT.
  • Sprawdzić wewnętrzne strefy i reguły VLAN przeciwko ruchowi bocznemu.
  • Porównać opcje ZTNA, SSE lub SASE dla typowych aplikacji zdalnego dostępu.
  • Sprawdzić Threat Feeds i DNS Protection.
  • Aktywować Spoof Protection, ochronę DoS i Geo-IP-Blocking w zależności od ryzyka.
  • Strukturalnie testować inspekcję TLS i wdrażać ją stopniowo.

Planować strategicznie

  • Zastąpić systemy End-of-Life.
  • Zharmonizować działanie firewalla, VPN, DNS, SD-WAN i ZTNA/SSE.
  • Standaryzować centralne zarządzanie, raportowanie i alertowanie, na przykład przez Sophos Central, SIEM lub istniejące platformy bezpieczeństwa.
  • Zdefiniować eksport Syslog/SIEM i retencję logów do analiz forensycznych.
  • Zintegrować sygnały MDR/XDR/NDR w procesie incydentów.
  • Wprowadzić regularne przeglądy wzmocnienia firewalla.

Podsumowanie

Najlepsze praktyki bezpieczeństwa sieciowego to nie jednorazowy projekt, ale model operacyjny. Właśnie dlatego, że firewalle są tak uprzywilejowane na granicy sieci, muszą być regularnie wzmacniane, aktualizowane, sprawdzane i zintegrowane z wykrywaniem.

Moja rekomendacja po wielu latach pracy z Sophos Firewall jest jasna: Nowoczesny firewall musi dziś być czymś więcej niż produktem ochronnym. Decydujące są bezpieczny design, widoczne błędne konfiguracje, szybkie poprawki bezpieczeństwa i reakcja, która w sytuacji kryzysowej współpracuje z Endpoint, NDR, XDR i MDR.

Albo mówiąc praktycznie: Jeśli firewall jest tak stary, że bardziej pasuje do muzeum niż do szafy, to nie tylko ryzyko operacyjne. To powierzchnia ataku. I właśnie tę powierzchnię ataku staram się utrzymać jak najmniejszą.

Wsparcie od Avanet

Jeśli potrzebne jest wsparcie przy wzmacnianiu Sophos Firewall, można skontaktować się z Avanet. Jako długoletni specjalista Sophos wspieram w audytach firewalla, przeglądach Health Check, oczyszczaniu reguł, zdalnym dostępie i planowaniu ZTNA/SSE, strategiach aktualizacji i szkoleniach dla zespołów IT.

Szczególnie warto zewnętrznie spojrzeć na dostępy zarządzania, konfigurację VPN, stare reguły, usługi eksponowane na WAN i status aktualizacji. Wiele ryzyk nie wynika z jednej błędnej konfiguracji, ale z rozwiniętych wyjątków, które nikt już nie kwestionuje.

W przypadku zainteresowania wystarczy krótka wiadomość przez formularz kontaktowy. Następnie można wspólnie ustalić, czy najbardziej sensowne będzie kompaktowe przegląd firewalla, audyt czy szkolenie dla danej infrastruktury.

FAQ

Jaka jest najważniejsza najlepsza praktyka bezpieczeństwa sieciowego dla administratorów Sophos Firewall?

Najważniejszą podstawą jest wzmocnienie: zabezpieczenie dostępu do zarządzania, aktywacja MFA, pozostawienie aktywnych poprawek, usunięcie starych systemów i regularne sprawdzanie błędnych konfiguracji za pomocą Health Check.

Czy Web Admin Console powinna być dostępna z Internetu?

Zazwyczaj nie. Jeśli zdalne zarządzanie jest konieczne, powinno odbywać się przez Sophos Central, dedykowaną sieć zarządzania, ZTNA lub silnie ograniczone sieci źródłowe.

Czy poprawki Sophos zastępują regularne aktualizacje oprogramowania?

Nie. Poprawki redukują krytyczny czas do korekty bezpieczeństwa, ale nie zastępują planowanej strategii aktualizacji oprogramowania i cyklu życia.

Dlaczego ZTNA jest bezpieczniejsze niż klasyczne zdalne VPN?

ZTNA przyznaje dostęp szczegółowo na podstawie użytkownika, urządzenia i aplikacji. Klasyczne VPN często przyznaje szerszy dostęp do sieci, co sprawia, że skompromitowane urządzenia lub skradzione dane dostępowe są bardziej niebezpieczne.

Co daje Sophos Firewall Health Check?

Health Check sprawdza kluczowe konfiguracje w porównaniu z najlepszymi praktykami i benchmarkami. Dzięki temu ryzykowne ustawienia stają się widoczne, zanim staną się prawdziwymi problemami bezpieczeństwa. Jest to przydatne po wdrożeniach, po większych zmianach, przed audytami i jako regularny kwartalny przegląd.

Jaką rolę odgrywają NDR i Active Threat Response?

NDR pomaga wykrywać podejrzane aktywności sieciowe. Active Threat Response może automatycznie przetłumaczyć wykryte zagrożenia na działania blokujące lub izolacyjne, aby pierwsze ograniczenie nastąpiło szybciej.

Jak często należy sprawdzać Sophos Firewall?

Przynajmniej po każdej większej zmianie i dodatkowo w stałym rytmie, na przykład kwartalnie. W krytycznych środowiskach warto zastosować krótszy cykl z udokumentowanym Health Check, przeglądem reguł i statusu aktualizacji.

Dalsze linki

Źródła

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.