Konfiguracja i testy Sophos Firewall IPS

Intrusion Prevention System (IPS) to jedna z najważniejszych funkcji ochronnych w Sophos Firewall. IPS sprawdza ruch pod kątem znanych wzorców ataków, exploitów i nietypowych wzorców protokołów. Przy właściwym użyciu dodatkowo chroni klientów, serwery, opublikowane usługi i połączenia VPN obok reguł firewall, Web Protection, Application Control i TLS Inspection.

W praktyce IPS nie jest jednak przełącznikiem, który należy wszędzie ustawić na maksimum. Nieprawidłowa lub zbyt szeroka IPS Policy może przerwać prawidłowy ruch, zakłócić VoIP, zużyć zasoby wydajnościowe albo generować fałszywe alarmy. Dlatego IPS należy włączać planowo, dobierać odpowiednio dla każdej reguły, a potem kontrolować za pomocą logów i testów.

Który artykuł Security Inspection pasuje?

IPS jest tylko jednym elementem Security Inspection. W zależności od problemu lub celu rollout lepiej może pasować inny artykuł:

Zadanie	Pasujący artykuł
Włączyć IPS, wybrać policy i sprawdzić false positives	Ten artykuł
Sterować kategoriami web, Web Policies i ruchem web użytkowników	Konfiguracja Sophos Firewall Web Protection z Web Policies
Odszyfrować i sprawdzać szyfrowany ruch web	Prawidłowe wdrożenie Sophos Firewall TLS Inspection
Sprawdzać pliki i pobrania przez sandbox lub ML	Zrozumieć i obsługiwać Sophos Firewall Zero-Day Protection
Blokować znane złośliwe IP, domeny lub URL	Bezpieczna konfiguracja i obsługa Sophos Firewall Threat Feeds
Ograniczać proste wzorce spoofingu lub floodingu	Sprawdzić Sophos Firewall Spoof Protection i DoS Settings
Zabezpieczać publicznie dostępne serwery z NAT i IPS	Publikowanie serwerów przez DNAT na Sophos Firewall
Analizować nieoczekiwane drops, rule ID lub IPS policy ID	Analiza odrzuconych pakietów na Sophos Firewall

Dzięki temu logika ochrony pozostaje zrozumiała: reguły firewall ograniczają dozwolony ruch, IPS sprawdza ten ruch pod kątem wzorców ataków, Web Protection steruje treściami web, TLS Inspection daje większą widoczność dla HTTPS, a Zero-Day Protection uzupełnia kontrolę plików i pobrań.

Kiedy IPS ma sens

IPS jest szczególnie przydatny tam, gdzie ruch wiąże się z wyższym ryzykiem albo gdzie znane exploity mają być blokowane wcześnie.

Typowe obszary zastosowania:

Sieci klienckie z dostępem do Internetu
Sieci serwerowe i DMZ
Reguły DNAT do serwerów wewnętrznych
Ruch VPN site-to-site między lokalizacjami
Ruch Remote Access, gdy po połączeniu VPN uzyskuje się dostęp do systemów wewnętrznych
VoIP, tylko przy ostrożnym doborze policy i testach
szczególnie krytyczne segmenty, takie jak sieci management, backup lub infrastruktura

Dla opublikowanych serwerów IPS należy zawsze rozpatrywać razem z czystym NAT, ścisłymi regułami firewall, loggingiem i patch management. Artykuł Publikowanie serwerów przez DNAT na Sophos Firewall wyjaśnia właściwy kontekst dla NAT i reguł firewall. Dla podstawowej struktury reguł pasuje Zrozumieć i poprawnie konfigurować reguły Sophos Firewall.

Wymagania

IPS działa tylko wtedy, gdy spełnione są niezbędne wymagania.

Sprawdzić przed rollout:

Dostępna jest aktywna subscription Network Protection albo licencja trial.
IPS Protection jest włączony w Intrusion prevention > IPS policies.
Pattern updates działają, a firewall może osiągać usługi aktualizacji Sophos.
Reguły firewall zawierają odpowiednie IPS Policies w Detect and prevent exploits (IPS).
Logging jest aktywny dla odpowiednich reguł i typów logów.
Istnieje proces dla false positives, wyjątków i zmian policy.

Jeśli subscription Network Protection wygaśnie, przełącznik IPS może nadal wyglądać na aktywny, chociaż IPS nie jest już egzekwowany. Jeśli IPS zostanie wyłączony ręcznie albo po wygaśnięciu trial, sygnatury, aktualizacje i możliwości konfiguracji mogą być ograniczone w zależności od stanu. Przed wyłączeniem warto więc zaplanować backup albo export konfiguracji IPS.

Uwaga: IPS zależy od licencji i aktualizacji. Reguła firewall z wybraną IPS Policy nie oznacza automatycznie, że IPS rzeczywiście chroni. Trzeba sprawdzić status licencji, globalne włączenie IPS, sygnatury i logi.

Włączyć IPS globalnie

Globalne włączenie wykonuje się w interfejsie web Sophos Firewall:

Otworzyć Intrusion prevention > IPS policies.
Włączyć IPS Protection.
Sprawdzić informacje licencyjne.
Poczekać, aż sygnatury będą dostępne.
Sprawdzić istniejące standardowe policies.
W razie potrzeby sklonować własną policy z istniejącej policy.

Zmiany określonych funkcji przyspieszania mogą restartować IPS. Dlatego takich zmian nie należy wykonywać podczas produkcyjnej analizy problemu ani w wąskim oknie serwisowym bez planu.

Wybrać właściwą IPS Policy

IPS Policies powinny pasować do ruchu. Najostrzejsza policy nie jest automatycznie najlepsza.

Ruch	Typowy kierunek IPS	Ważna kontrola
Klienci do Internetu	Policy klienta lub LAN-to-WAN	Uwzględnić także Web, Application Control i TLS Inspection
Internet do serwera wewnętrznego przez DNAT	Policy serwerowa lub webserver	Dokładnie obserwować system docelowy, porty i false positives
VPN lokalizacji	Policy zależna od systemów źródłowych i docelowych	Testować wydajność, MTU/MSS i aplikacje
VoIP	bardzo ostrożna i specyficzna	SIP/RTP nie może zostać uszkodzony przez zbyt agresywne sygnatury
Sieci management	celowana i restrykcyjna	Testować dostęp admin, monitoring i ruch backup

Własna IPS Policy ma sens, gdy standardowa policy jest zbyt szeroka albo gdy potrzebne są tylko określone sygnatury z dopasowaną akcją. Nie należy jednak bez planu wyłączać sygnatur. Najpierw musi być jasne, jaki ruch jest dotknięty, która sygnatura zadziałała i czy naprawdę chodzi o false positive.

Budować własne IPS Policies w czysty sposób

Własne IPS Policies powinny być klonowane z istniejącej policy, a następnie precyzyjnie dostosowane. Reguły IPS Policy zawierają sygnatury i akcję. Firewall ocenia te reguły od góry do dołu. Przez to zbyt szeroka reguła powyżej reguły specyficznej może przykryć oczekiwane zachowanie.

W przypadku sygnatur szczególnie ważne są te pola:

Pole	Znaczenie w eksploatacji
SID	jednoznaczny ID sygnatury dla logów, ticketów i wyjątków
Category	obszar techniczny, na przykład przeglądarka, system operacyjny, DNS, RPC albo malware
Severity	poziom zagrożenia
Platform	platforma docelowa, na przykład Windows, Linux albo komponenty związane z przeglądarką
Target	sygnatura dotycząca klienta lub serwera
Recommended action	domyślna akcja zalecana przez Sophos

Akcja w regule policy może nadpisać zalecaną akcję sygnatury. To przydatne, ale ryzykowne. Ogólne Allow packet, Disable lub Bypass session może usunąć ochronę bez tego, aby było to później od razu widoczne w codziennej pracy.

Praktyczne użycie akcji:

Akcja	Kiedy może mieć sens	Ryzyko
Recommended	Standard dla większości reguł produkcyjnych	Zachowanie zależy od sygnatury
Allow packet	Obserwacja bez blokowania, na przykład w pilotażu	Atak nie zostaje zatrzymany
Drop packet	Odrzucanie pojedynczych pakietów	Może zakłócać aplikacje
Drop session	Zakończenie sesji, gdy atak ma zostać zatrzymany	Silniejsza ingerencja w ruch produkcyjny
Reset	Aktywny reset sesji TCP	Użytkownik lub aplikacja widzi twarde przerwanie
Disable	Wyłączenie sygnatury	Ochrona dla tej sygnatury znika
Bypass session	Reszta sesji nie jest już skanowana	Może wyjąć z kontroli więcej ruchu niż oczekiwano

Dla produkcyjnych policies przydatna jest więc krótka notatka o zmianie: która sygnatura została zmieniona, dlaczego, w której policy, dla której reguły firewall i do kiedy adaptacja zostanie ponownie sprawdzona.

Używać IPS w regułach firewall

IPS nie jest tylko włączany globalnie. Policy musi być też użyta w odpowiedniej regule firewall.

Otworzyć Rules and policies > Firewall rules.
Edytować lub utworzyć odpowiednią regułę.
Pod Other security features włączyć Detect and prevent exploits (IPS).
Wybrać odpowiednią IPS Policy.
Włączyć logging reguły.
Zapisać zmianę.
Przetestować ruch w kontrolowany sposób.

Przy kilku nakładających się regułach decydująca jest kolejność. Jeśli ruch trafia w regułę bez IPS, IPS Policy w późniejszej regule nie pomaga. W takich przypadkach lepszym artykułem uzupełniającym jest Reguła Sophos Firewall nie pasuje: sprawdzić przyczyny.

Rollout w środowiskach produkcyjnych

IPS należy wprowadzać krok po kroku.

1. Start od reguł pilotażowych

Najpierw wybrać małą, dobrze znaną regułę, na przykład testową sieć kliencką albo pojedynczą regułę DNAT. Następnie sprawdzić logi i testować z realnymi aplikacjami.

2. Ocenić trafienia

W Log viewer filtrować zdarzenia IPS. Ważne są źródło, cel, usługa, reguła, sygnatura, akcja i czas. Jeśli uczestniczy kilka modułów ochrony, trzeba analizować razem Web, Application Control, SSL/TLS Inspection i logi firewall.

3. Zawęzić false positives

Jeśli prawidłowy ruch jest blokowany, nie należy od razu wyłączać IPS globalnie. Lepsza jest wąska analiza:

Która sygnatura zadziałała?
Która aplikacja lub usługa była dotknięta?
Czy dotyczy to hosta, sieci czy tylko portu?
Czy system docelowy jest aktualnie spatchowany?
Czy możliwa jest węższa reguła firewall?
Czy wystarczy dopasowana IPS Policy zamiast globalnego wyjątku?

4. Stopniowo rozszerzać

Dopiero gdy reguła pilotażowa działa stabilnie, IPS powinien być rozwijany na kolejne reguły. Szczególnie przy VoIP, systemach ERP, protokołach przemysłowych, połączeniach VPN i starszych aplikacjach potrzebne są okna testowe i plan wycofania.

Kontrolować wyjątki i zmiany sygnatur

Wyjątki IPS są decyzjami bezpieczeństwa. Jeśli sygnatura zakłóca prawidłowy ruch, adaptacja może być konieczna. Mimo to nie należy odruchowo osłabiać całej IPS Policy ani wyłączać IPS na regule. Najpierw musi być jasne, czy naprawdę chodzi o false positive, czy sygnatura pokazuje realne ryzyko.

Przed wyjątkiem zebrać co najmniej:

Informacja	Dlaczego jest ważna
ID sygnatury i nazwa sygnatury	pokazuje, które wykrycie zadziałało
Źródło, cel, usługa i reguła firewall	zawęża dotknięty ruch
Czas i częstotliwość	odróżnia pojedyncze zdarzenie od powtarzalnego wzorca
Aplikacja lub protokół	pomaga ocenić, czy ruch jest prawidłowy
Poziom patch systemu docelowego	zmniejsza ryzyko dopuszczenia prawdziwego exploita
Packet Capture albo wycinek logu	daje dowód przed zmianą policy

Jeśli wyjątek jest potrzebny, powinien być ustawiony możliwie wąsko:

wyłączyć pojedynczą sygnaturę zamiast całej kategorii
użyć własnej IPS Policy dokładnie dla dotkniętej reguły firewall
sprawdzić kolejność reguł policy, aby specyficzne reguły nie były przykryte przez szerokie reguły
zawęzić źródło, cel i usługę w regule firewall
udokumentować wyjątek z powodem, ownerem i datą review
po zmianie sprawdzić, czy dotknięty jest tylko oczekiwany ruch

Tymczasowy wyjątek jest często lepszy niż trwałe wyłączenie. Po aktualizacji aplikacji, firmwareupdate albo patchu systemu docelowego wyjątek należy sprawdzić ponownie. Jeśli wiele sygnatur zakłóca tę samą aplikację, zwykle własna policy albo czysta segmentacja jest lepsza niż duży globalny wyjątek.

Logging i troubleshooting

Do analizy IPS potrzebne są różne perspektywy.

Narzędzie	W czym pomaga
`Log viewer`	trafienia IPS, sygnatura, akcja, źródło, cel, reguła
`ips.log`	głębsze wskazówki dotyczące decyzji IPS, DPI i Application Control
Packet Capture	przepływ pakietów, rule ID, NAT ID, IPS policy ID i kierunek
Test reguły	sprawdzenie, która reguła firewall w ogóle pasuje
Syslog albo Central Reporting	dłuższe przechowywanie i korelacja

Artykuł Sophos Firewall troubleshooting: usługi i logi porządkuje ips.log i powiązane pliki logów. Dla kombinacji Log Viewer i Packet Capture pasuje Test reguły Sophos Firewall z Log Viewer i Packet Capture. Jeśli pakiety są nieoczekiwanie odrzucane, pomaga Analiza odrzuconych pakietów na Sophos Firewall.

Uwzględnić wydajność

IPS zużywa zasoby. To, jak bardzo wzrasta obciążenie, zależy od modelu, ruchu, aktywnych sygnatur, TLS Inspection, Application Control, VPN, wielkości pakietu i throughput.

Przed i po aktywacji sprawdzić:

Obciążenie CPU i pamięci
Obciążenie związane z IPS i DPI
Throughput na dotkniętych interfejsach
Latencję i retransmits w krytycznych aplikacjach
Wolumen logów i obciążenie syslog
Komunikaty użytkowników lub aplikacji po zmianie

Jeśli podejrzewa się problem z throughput, nie należy po prostu wyłączyć IPS i zamknąć sprawy. Lepsze jest porównanie z jasną metodą testową, na przykład przez Poprawnie interpretować dane wydajności Sophos Firewall i Testować wydajność Sophos Firewall z iPerf.

Typowe błędy

IPS Protection jest globalnie wyłączony.
Network Protection wygasł albo nie jest aktywny.
W regule firewall nie wybrano IPS Policy.
Ruch trafia w inną regułę niż oczekiwano.
Logging na dotkniętej regule jest wyłączony.
Policy serwerowa jest stosowana do ruchu klienckiego albo odwrotnie.
VoIP lub specjalne protokoły są sprawdzane agresywną policy bez fazy pilotażowej.
False positives są rozwiązywane globalnym wyłączeniem zamiast wąską adaptacją.
Sygnatury są wyłączane bez dowodu, ownera albo daty review.
Po wygaśnięciu trial nie sprawdza się, czy sygnatury lub policies są nadal dostępne.
Problemy z wydajnością nie są porównywane z pomiarami przed i po zmianie.

Checklist operacyjny

Network Protection albo licencja trial sprawdzona.
IPS Protection włączony w Intrusion prevention > IPS policies.
Sygnatury i pattern updates sprawdzone.
Odpowiednia IPS Policy wybrana dla każdej reguły firewall.
Logging reguły włączony.
Reguła pilotażowa przetestowana z realnym ruchem.
Log viewer i ips.log sprawdzone.
Proces false positives zdefiniowany.
Wyjątki IPS wąsko udokumentowane i później ponownie sprawdzone.
Własne IPS Policies nie zawierają nieuzasadnionych reguł Allow, Disable ani Bypass session.
Wydajność porównana przed i po aktywacji.
Krytyczne wyjątki udokumentowane i opatrzone datą review.

FAQ

Czy IPS musi być włączony globalnie i w regule firewall?

Tak. IPS Protection musi być globalnie aktywny w Intrusion prevention > IPS policies. Dodatkowo dotknięta reguła firewall potrzebuje wybranej IPS Policy w Detect and prevent exploits (IPS).

Jakiej licencji wymaga Sophos Firewall IPS?

IPS Protection wymaga aktywnej subscription Network Protection albo licencji trial. Jeśli subscription wygaśnie, IPS może być widocznie aktywny, ale już nie chronić.

Czy zawsze należy używać najostrzejszej IPS Policy?

Nie. Policy musi pasować do ruchu. Zbyt surowa policy może blokować prawidłowe aplikacje, zakłócać VoIP albo generować niepotrzebne obciążenie.

Gdzie widać trafienia IPS?

Zdarzenia IPS można sprawdzać w Log viewer. Do głębszej analizy istotny jest także ips.log. Packet Capture pomaga sklasyfikować przepływ pakietów, regułę i IPS policy ID.

Jak postępować z IPS false positives?

Najpierw sprawdzić sygnaturę, źródło, cel, usługę, dotkniętą aplikację i poziom patch. Potem dostosować możliwie wąsko: własna IPS Policy, pojedyncza sygnatura albo węższa reguła firewall zamiast globalnego wyłączenia. Każdy wyjątek wymaga powodu, ownera i daty review.

Jakiej akcji IPS używać we własnych policies?

Dla większości reguł produkcyjnych Recommended jest najczystszym punktem startowym. Odmienne akcje, takie jak Allow packet, Disable lub Bypass session, powinny być używane tylko świadomie, dokumentowane i wąsko ograniczone, ponieważ nadpisują zalecaną akcję sygnatury.

Czy IPS zastępuje patch management?

Nie. IPS może blokować znane wzorce ataków, ale nie zastępuje aktualizacji na serwerach, klientach, aplikacjach ani firewallach. IPS jest dodatkową ochroną, a nie przepustką dla niezałatanych systemów.