Sophos Firewall Black Hole DNAT: blokowanie IP
Gdy tylko usługi są dostępne z Internetu, zwykle szybko pojawia się niechciany ruch: skanowanie portów, próby logowania, znane botnety albo dostęp z krajów, z których nie oczekuje się żadnych użytkowników. W Sophos Firewall takie źródła można blokować na kilku poziomach.
Ten artykuł wyjaśnia dwa typowe warianty:
- blokowanie krajów lub sieci źródłowych za pomocą Firewall Rule
- przekierowanie niechcianych źródeł w pustkę za pomocą Black Hole DNAT Rule
Dodatkowo zalecamy Sophos Firewall Threat Feeds, aby znane złośliwe adresy IP, domeny lub URL-e mogły być blokowane automatycznie.
Która metoda pasuje do danego przypadku?
| Metoda | Zastosowanie | Typowy przypadek |
|---|---|---|
Firewall Rule z Drop | Blokowanie ruchu według Source Country, Source Network lub Source Host | Blokowanie krajów, pojedynczych sieci, ręczne utrzymywanie znanych list Bad IP |
| Black Hole DNAT | Przekierowanie niechcianego ruchu na nieistniejący wewnętrzny adres IP | Wczesne przechwytywanie ruchu do opublikowanych usług |
| WAF Blocked countries | Serwery WWW publikowane przez WAF | Blokowanie krajów bezpośrednio w regule WAF |
| Threat Feeds | Dynamiczne listy znanych złośliwych źródeł | Automatyczne blokowanie botnetów, skanerów, infrastruktury malware i znanych adresów IP atakujących |
Właściwa metoda zależy od tego, gdzie technicznie przetwarzany jest ruch. Sophos wskazuje, że Firewall Rules nie zawsze działają dla ruchu kierowanego do Hosted Address używanego w WAF. W takich przypadkach reguła krajów w WAF albo Black Hole DNAT Rule jest często lepszym rozwiązaniem.
Blokowanie krajów za pomocą Firewall Rule
Do ogólnego Country Blocking można utworzyć Firewall Rule z Drop.
Ścieżka menu:
Rules and policies > Firewall rules
Zalecane pola:
| Pole | Wartość |
|---|---|
| Rule name | opisowa nazwa, na przykład BLOCK_COUNTRY_PANAMA |
| Rule position | Top |
| Action | Drop |
| Source zones | Any |
| Source networks and devices | kraj, grupa krajów, lista IP lub grupa hostów |
| During scheduled time | All the time |
| Destination zones | Any |
| Destination networks | Any |
| Services | Any albo zdefiniowana usługa |
Przy Country Blocking ważne jest, aby Source zones i Destination zones nie były ustawione zbyt wąsko. Jeśli jako Source zone wpisze się tylko WAN, reguła może nie objąć wszystkich istotnych ścieżek ruchu.
Black Hole DNAT dla niechcianych źródeł
Black Hole DNAT Rule tłumaczy ruch na cel, który nie istnieje w sieci. Ruch trafia więc w pustkę i nie dociera do właściwej usługi.
To szczególnie przydatne, gdy usługa jest publikowana przez DNAT i określone źródła mają zostać przechwycone przed właściwym przekierowaniem portu.
Przykład:
| Pole | Wartość |
|---|---|
| Rule name | BLOCK_BAD_IPS_COUNTRIES |
| Rule position | Top |
| Original source | lista Bad IP, kraj albo grupa krajów |
| Original destination | publiczny WAN IP albo obiekt hosta WAN |
| Original service | Any albo opublikowana usługa |
| Translated source (SNAT) | Original |
| Translated destination (DNAT) | fikcyjny host, który nie istnieje |
| Translated service (PAT) | Original |
| Inbound interface | Any |
| Outbound interface | Any |
Fikcyjny host powinien używać adresu IP, który nie istnieje we własnej sieci i nie jest routowany. Ważne, aby ta reguła znajdowała się powyżej właściwych reguł DNAT. Reguły NAT są przetwarzane od góry do dołu. Jeśli najpierw dopasuje się normalna reguła DNAT, Black Hole DNAT Rule zadziała za późno.
Dlaczego kolejność jest kluczowa
W regułach NAT wygrywa pierwsza pasująca reguła. Black Hole DNAT Rule musi więc znajdować się bardzo wysoko, zwykle na samej górze tabeli reguł NAT.
Przykładowa kolejność:
- Black Hole DNAT dla listy Bad IP i blokowanych krajów
- konkretne reguły DNAT dla opublikowanych usług
- specjalne reguły SNAT
- ogólna reguła MASQ dla ruchu wychodzącego
Ta sama zasada dotyczy Firewall Rules: konkretne reguły blokujące powinny znajdować się powyżej ogólnych reguł allow. W przeciwnym razie ruch może zostać dozwolony, zanim reguła Drop zostanie sprawdzona.
Nie zostawiać Source na Any bez potrzeby
Dla opublikowanych usług Source należy ograniczyć tak bardzo, jak to możliwe.
Sensowne źródła to na przykład:
- pojedyncze publiczne adresy IP
- sieci partnerów lub oddziałów
- kraje, z których oczekiwany jest dostęp
- FQDN Hosts albo DNS Host Groups, jeśli pasują
- utrzymywane Host Groups z dozwolonymi adresami IP administratorów
Any ma sens tylko wtedy, gdy usługa rzeczywiście musi być dostępna globalnie. Wtedy należy włączyć dodatkowe zabezpieczenia: logging, IPS, MFA tam, gdzie to możliwe, silne uwierzytelnianie, aktualne systemy docelowe i Threat Feeds.
Dodatkowo używać Threat Feeds
Listy ręczne i reguły krajów są statyczne. Infrastruktura atakujących zmienia się jednak stale. Dlatego dodatkowo zalecamy Sophos Firewall Threat Feeds.
Threat Feeds pomagają szczególnie przy:
- znanych adresach IP skanerów
- botnetach
- infrastrukturze malware
- skompromitowanych hostach
- dynamicznie utrzymywanych listach Bad IP
Dzięki temu nie trzeba ręcznie utrzymywać każdego pojedynczego adresu IP. Firewall może blokować znane złe źródła, zanim dotrą do opublikowanej usługi.
Typowe błędy
| Błąd | Skutek |
|---|---|
| Black Hole DNAT znajduje się poniżej normalnej reguły DNAT | Normalna reguła DNAT dopasowuje się jako pierwsza, więc reguła blokująca nie działa |
| Fikcyjny cel naprawdę istnieje w sieci | Ruch niespodziewanie trafia na prawdziwy system |
| Source jest utrzymywane inaczej w regule NAT i Firewall Rule | Reguły stają się trudne do zrozumienia i zaczynają się rozjeżdżać |
| Country Blocking jest używany jako jedyna ochrona | Boty z dozwolonych krajów nadal mogą atakować |
| Logging jest wyłączony | W Log Viewer nie widać jasno, która reguła została dopasowana |
Troubleshooting
Jeśli reguła blokująca nie działa, należy sprawdzić kolejno:
- Czy reguła NAT albo Firewall Rule naprawdę znajduje się powyżej reguł allow?
- Czy źródłowy adres IP pasuje do listy Bad IP albo wybranego kraju?
- Czy ruch jest przetwarzany przez regułę WAF, regułę DNAT albo Firewall Rule?
- Czy logging jest włączony na danej Firewall Rule?
- Czy Log Viewer pokazuje oczekiwany Firewall Rule ID albo NAT Rule ID?
- Czy ruch widać w Diagnostics > Packet capture?
W analizie pomagają też Firewall Rule nie pasuje: sprawdzanie kolejności, dopasowania i logów, Używanie Packet Capture w WebAdmin oraz NAT w Sophos Firewall: SNAT, DNAT, MASQ, PAT.