Przejdz do tresci
Avanet

Konfigurowanie i testowanie kontroli aplikacji w Sophos Firewall

Sophos Firewall

Kontrola aplikacji w Sophos Firewall rozpoznaje aplikacje niezależnie od samego portu. Dzięki temu można celowo zezwalać, blokować lub rejestrować narzędzia zdalnego sterowania, aplikacje tunelujące, streaming, przechowywanie w chmurze, komunikatory lub ryzykowne obejścia przeglądarek.

Praktyczne korzyści pojawiają się jednak dopiero wtedy, gdy kontrola aplikacji jest aktywna w odpowiedniej regule zapory, aplikacja jest rzeczywiście rozpoznawana, a logi są analizowane. Sam zapisany filtr aplikacji jeszcze niczego nie blokuje.

Krótka odpowiedź

Kontrola aplikacji jest używana w dwóch krokach:

  1. W Protect > Applications > Application filter zaplanuj lub utwórz politykę filtra aplikacji.
  2. W odpowiedniej regule zapory wybierz Identify and control applications (App control) w sekcji Other security features.

Następnie należy sprawdzić za pomocą rzeczywistego klienta testowego, czy ruch przechodzi przez tę regułę i czy aplikacja jest poprawnie rozpoznawana w Log Viewer. W przypadku zaszyfrowanego ruchu kluczowe może być TLS Inspection, ponieważ w przeciwnym razie zapora widzi mniej szczegółów w zależności od aplikacji.

Kiedy kontrola aplikacji jest przydatna

Kontrola aplikacji jest szczególnie przydatna, gdy same porty nie są wystarczająco wymowne. Wiele aplikacji używa HTTPS, zmieniających się celów lub infrastruktury chmurowej. Sama reguła portu widzi wtedy tylko 443, ale nie, czy za nią kryje się dozwolona usługa biznesowa, narzędzie zdalnego sterowania czy niepożądane przechowywanie w chmurze.

Typowe przypadki użycia:

  • Blokowanie TeamViewer, AnyDesk, Tor lub narzędzi proxy
  • Ograniczanie streamingu lub mediów społecznościowych w określonych sieciach
  • Kontrola przechowywania w chmurze
  • Ograniczanie komunikatorów lub gier w sieciach gości lub szkolnych
  • Aktywacja rozpoznawania aplikacji do raportowania i analizy
  • Przygotowanie kształtowania ruchu dla rozpoznanych aplikacji

Jeśli nie chodzi o rozpoznawanie lub blokowanie, ale o priorytetyzację lub ograniczenie przepustowości, dodatkowo pasuje Konfigurowanie kształtowania ruchu aplikacji na Sophos Firewall.

Wymagania

Przed konfiguracją należy sprawdzić następujące punkty:

  • odpowiednia licencja z Web Protection lub Application Control
  • znana jest dotknięta reguła zapory
  • Log firewall traffic jest aktywne dla reguły testowej
  • pożądana aplikacja lub kategoria jest jasno określona
  • zdefiniowany jest klient testowy i cel testowy
  • w przypadku aplikacji HTTPS jest jasne, czy ma być używana TLS Inspection

Status licencji można sprawdzić w System > Administration > Licensing. W typowych pakietach Sophos Firewall z Web Protection zawarta jest kontrola aplikacji. Mimo to, przed wprowadzeniem do produkcji należy sprawdzić konkretną logikę licencji, zwłaszcza w przypadku wygasłych subskrypcji lub licencji testowych.

Planowanie filtra aplikacji

Dobry filtr aplikacji to nie tylko długa lista blokad. Najpierw należy jasno określić, co ma zostać osiągnięte.

CelTypowe podejście
Blokowanie ryzykownych narzędzi zdalnego sterowaniaBlokowanie wybranych aplikacji lub kategorii
Ograniczenie sieci Wi-Fi dla gościBlokowanie niepożądanych kategorii, pozostawienie otwartych podstawowych usług
Tylko rejestrowanie aplikacjiNajpierw użyj Allow z logowaniem i raportami
Unikanie fałszywych alarmówWęższy wybór aplikacji zamiast szerokiej kategorii
Priorytetyzacja aplikacji krytycznej dla biznesuPołączenie kontroli aplikacji z kształtowaniem ruchu

Dla sieci produkcyjnych często warto zastosować tryb obserwacji: Najpierw aktywuj kontrolę aplikacji, sprawdź logi i raporty, a następnie celowo blokuj. W ten sposób można zobaczyć, które aplikacje rzeczywiście występują i czy blokada zakłóciłaby legalne procesy.

Planowanie wdrożenia w fazach

Kontrola aplikacji nie powinna być aktywowana w jednym dużym kroku dla wszystkich sieci. Lepszym rozwiązaniem jest małe wdrożenie z wyraźną grupą testową, widocznym logowaniem i zdefiniowaną decyzją, kiedy obserwacja przechodzi w blokadę.

Praktyczny przebieg:

FazaCelTypowe ustawienie
InwentaryzacjaUstalenie, które aplikacje rzeczywiście występująFiltr aplikacji z logowaniem, jeszcze bez szerokiej blokady
PilotSprawdzenie wybranych użytkowników lub sieci testowejBlokowanie pojedynczych ryzykownych aplikacji, ścisła kontrola Rule ID i logów
Wdrożenie produkcyjneZastosowanie potwierdzonej polityki w docelowej sieciAktywacja filtra w regule produkcyjnej, dokumentowanie wyjątków
EksploatacjaMonitorowanie efektów i skutków ubocznychRegularne sprawdzanie raportów, Log Viewer, Central Reporting lub Syslog

Przed wdrożeniem produkcyjnym należy jasno określić, które aplikacje muszą pozostać dozwolone. Często należą do nich usługi aktualizacji, zdalne wsparcie, narzędzia współpracy, przechowywanie w chmurze, telefonia lub aplikacje specyficzne dla branży. Jeśli te zależności staną się widoczne dopiero po blokadzie, kontrola aplikacji szybko staje się czynnikiem zakłócającym zamiast funkcją ochronną.

Dla zatwierdzenia warto przygotować krótką listę decyzji: Która aplikacja jest blokowana, która grupa użytkowników jest dotknięta, jaki wyjątek jest dozwolony, kto jest właścicielem merytorycznym i kiedy polityka zostanie ponownie sprawdzona? Ta dokumentacja jest ważniejsza niż perfekcyjny pierwszy filtr.

Tworzenie filtra aplikacji

Ścieżka menu:

Protect > Applications > Application filter

Procedura:

  1. Otwórz Add.
  2. Nadaj znaczącą nazwę, na przykład Block_Remote_Control_Tools.
  3. Dodaj regułę w ramach filtra.
  4. Wybierz aplikację, kategorię, ryzyko lub Smart Filter.
  5. Ustaw akcję, na przykład Deny, Allow lub odpowiednią kontrolę w zależności od wersji.
  6. Zapisz filtr.

Przy kategoriach należy być ostrożnym. Szeroka kategoria może obejmować więcej aplikacji, niż się spodziewano. Do pierwszych testów lepsze są pojedyncze aplikacje lub jasno określone grupy niż duży blok zbiorczy.

Aktywacja w regule zapory

Kontrola aplikacji działa dopiero wtedy, gdy filtr jest wybrany w regule zapory.

Ścieżka menu:

Protect > Rules and policies > Firewall rules

Procedura:

  1. Otwórz regułę zapory, przez którą rzeczywiście przechodzi dotknięty ruch.
  2. Otwórz sekcję Other security features.
  3. Wybierz filtr aplikacji w Identify and control applications (App control).
  4. Aktywuj Log firewall traffic, przynajmniej dla testu i zatwierdzenia.
  5. Zapisz regułę.
  6. Przetestuj za pomocą zdefiniowanego klienta.

Kolejność reguł jest kluczowa. Jeśli ruch jest już przetwarzany przez bardziej ogólną regułę wyżej, nie dotrze do reguły z kontrolą aplikacji. Wtedy konfiguracja w WebAdmin wygląda poprawnie, ale nie ma efektu.

Podstawy dotyczące źródła, celu, usług, funkcji bezpieczeństwa i kolejności reguł znajdują się w Zrozumienie i bezpieczna konfiguracja reguł Sophos Firewall.

TLS Inspection i rozpoznawanie

Kontrola aplikacji może rozpoznawać niektóre aplikacje nawet bez pełnej inspekcji TLS. W przypadku wielu nowoczesnych usług HTTPS i chmurowych zapora widzi jednak tylko ograniczone informacje, takie jak adres IP, SNI, dane certyfikatu, nazwa hosta lub metadane połączenia bez deszyfracji.

To nie zawsze wystarcza do niezawodnego rozpoznawania. Jeśli aplikacja przez HTTPS nie jest rozpoznawana zgodnie z oczekiwaniami, należy sprawdzić:

  • czy ruch przechodzi przez właściwą regułę zapory?
  • czy kontrola aplikacji jest aktywna w tej regule?
  • czy aplikacja jest zasadniczo rozpoznawana przez Sophos?
  • czy TLS Inspection jest konieczna i akceptowalna dla tego ruchu?
  • czy istnieje QUIC lub HTTP/3, które utrudniają kontrolę?
  • czy dodatkowo działają Web Policy, IPS lub DNS Protection?

TLS Inspection powinna być wprowadzana stopniowo i z wyjątkami. Odpowiedni przebieg znajduje się w Prawidłowe wprowadzenie TLS Inspection w Sophos Firewall. Dla QUIC i HTTP/3 pasuje Prawidłowe blokowanie protokołów QUIC i HTTP/3 w Sophos Firewall.

Testowanie efektów

Po aktywacji nie należy czekać tylko na opinie użytkowników. Czysty test oszczędza dużo czasu.

Praktyczny przebieg:

  1. Ustal klienta testowego i źródłowy adres IP.
  2. Świadomie uruchom aplikację lub wywołaj cel.
  3. W Log viewer filtruj według Source-IP, Destination, Service i Application.
  4. Sprawdź, która ID reguły zapory została trafiona.
  5. Sprawdź, czy kontrola aplikacji rozpoznaje aplikację.
  6. W przypadku blokady sprawdź, czy blokada jest merytorycznie uzasadniona.
  7. W przypadku niejasnego rozpoznania dodaj Packet Capture i logi usług.

Kontrola aplikacji często używa w ścieżce technicznej ips.log. Przypisanie logów znajduje się w Rozwiązywanie problemów z Sophos Firewall: Usługi i logi. Dla rozgraniczenia z Log Viewer i Packet Capture pomocne jest Testowanie reguł Sophos Firewall za pomocą Log Viewer, Policy Test i Packet Capture.

Czyste obsługiwanie fałszywych alarmów

Jeśli kontrola aplikacji blokuje legalny ruch, nie należy od razu dezaktywować całego filtra.

Sugerowana kolejność:

  1. Udokumentuj dotkniętą aplikację i wpis w logu.
  2. Sprawdź, która reguła zapory i który filtr aplikacji są zaangażowane.
  3. Sprawdź aplikację, kategorię i akcję w filtrze.
  4. Sprawdź, czy aplikacja jest inaczej rozpoznawana przez TLS Inspection.
  5. Ustaw wyjątek możliwie wąsko: aplikacja, sieć źródłowa, grupa użytkowników lub cel.
  6. Udokumentuj właściciela i datę przeglądu dla wyjątku.

Wyjątek dla Any lub szerokiej kategorii często szybko rozwiązuje bieżący przypadek, ale osłabia kontrolę na stałe. Lepszy jest mały, zrozumiały wyjątek z jasnym uzasadnieniem.

Typowe błędy

BłądEfektLepsze podejście
Utworzono filtr aplikacji, ale nie wybrano w reguleBrak wpływu na ruchAktywuj filtr w rzeczywistej regule zapory
Ruch przechodzi przez inną regułęFiltr nigdy nie jest osiąganySprawdź Rule ID w Log Viewer
Zbyt szeroka kategoria blokujeDotknięte są legalne usługi chmurowe lub biznesoweUżyj pojedynczych aplikacji lub węższych grup
Przeceniona rozpoznawalność HTTPSAplikacja nie jest niezawodnie rozpoznawanaSprawdź TLS Inspection i zachowanie QUIC
Brak logowaniaEfekt pozostaje niewidocznyAktywuj logowanie reguł dla testu i eksploatacji
Zbyt szeroki wyjątekFunkcja ochronna jest praktycznie wyłączonaUstaw wyjątek wąsko i z datą przeglądu

Kontrola operacyjna

Kontrola aplikacji powinna być regularnie sprawdzana. Aplikacje się zmieniają, usługi chmurowe używają nowych punktów końcowych, użytkownicy korzystają z nowych narzędzi, a sygnatury są aktualizowane.

Należy udokumentować:

  • Cel filtra aplikacji
  • Dotknięte reguły zapory
  • Blokowane lub dozwolone aplikacje
  • Znane wyjątki
  • Właściciel merytoryczny
  • Data przeglądu
  • Ostatnia istotna zmiana

Jeśli kontrola aplikacji jest używana dla krytycznych aplikacji biznesowych, sieci szkolnych lub wymogów zgodności, dodatkowo należy sprawdzić Central Reporting, Syslog lub SIEM. Do centralnej analizy pasuje Aktywacja Central Firewall Reporting lub Konfigurowanie Syslog i SIEM w Sophos Firewall.

Lista kontrolna

  • Sprawdzono status licencji.
  • Jednoznacznie zidentyfikowano dotkniętą regułę zapory.
  • Utworzono filtr aplikacji z jasnym celem.
  • Wybrano filtr w odpowiedniej regule zapory.
  • Logowanie reguł aktywne.
  • Zdefiniowano klienta testowego i aplikację testową.
  • Sprawdzono Log Viewer pod kątem Rule ID i Application Control.
  • Oceniono TLS Inspection i QUIC, jeśli rozpoznawalność HTTPS jest niejasna.
  • Udokumentowano wąskie wyjątki.
  • Ustalono termin przeglądu.

Często zadawane pytania

Gdzie aktywować kontrolę aplikacji w Sophos Firewall?

Tworzy się lub wybiera filtr aplikacji w Protect > Applications > Application filter i aktywuje go następnie w odpowiedniej regule zapory w Other security features > Identify and control applications (App control).

Dlaczego kontrola aplikacji nie działa?

Często ruch przechodzi przez inną regułę zapory, filtr aplikacji nie jest aktywny w regule, brakuje logowania lub aplikacja nie jest niezawodnie rozpoznawana bez TLS Inspection.

Czy kontrola aplikacji wymaga TLS Inspection?

Nie zawsze. Niektóre aplikacje można rozpoznać również bez pełnego deszyfrowania. W przypadku nowoczesnych usług HTTPS i chmurowych TLS Inspection może być jednak konieczna, aby zapora widziała wystarczająco dużo szczegółów.

Czy kontrola aplikacji to to samo co filtrowanie sieci?

Nie. Filtrowanie sieci ocenia strony internetowe, kategorie i URL-e. Kontrola aplikacji rozpoznaje aplikacje i protokoły. W nowoczesnych środowiskach HTTPS tematy te się pokrywają, ale pozostają różnymi punktami kontrolnymi.

Czy można używać kontroli aplikacji do kształtowania ruchu?

Tak. Kontrola aplikacji może rozpoznawać aplikacje, które następnie są priorytetyzowane lub ograniczane. Własny przebieg znajduje się w Konfigurowanie kształtowania ruchu aplikacji na Sophos Firewall.