Skonfiguruj poprawnie Sophos Firewall po uruchomieniu kreatora instalacji
Po uruchomieniu kreatora konfiguracji można uzyskać dostęp do Sophos Firewall, zarejestrować go i w zasadzie przygotować do pracy. Jednak jego obsługa nie jest jeszcze bezpieczna. Kreator wykonuje uruchomienie, a nie architekturę produktywną.
W artykule podsumowano punkty, które należy sprawdzić po wstępnej konfiguracji: dostęp do Internetu, rejestracja, status licencji, oprogramowanie sprzętowe, kopia zapasowa, strefy, Device Access, DNS, DHCP, reguły zapory ogniowej, NAT, rejestrowanie i wstępne środki zabezpieczające. Ma służyć jako praktyczna lista kontrolna dotycząca nowego sprzętu XGS, wirtualnych zapór sieciowych i małych migracji.
W przypadku migracji z XG na XGS, ze sprzętu na platformę wirtualną albo przywracania na urządzenie zastępcze należy dodatkowo sprawdzić tworzenie lub przywracanie kopii zapasowej Sophos Firewall oraz Sophos XG vs. XGS: różnice, EOL i migracja.
Szybka ścieżka po pierwszym logowaniu
Jeśli zapora właśnie wychodzi z kreatora, nie każdy szczegół jest równie pilny. Pierwsze 30 minut polega na tym, aby nie stracić dostępu, zabezpieczyć sytuację i zidentyfikować największe ryzyka operacyjne.
Ta kolejność ma sens w przypadku większości nowych instalacji:
- Bezpieczny dostęp administratora: Hasło do dokumentu, Secure Storage Master Key i drugi dostęp administratora lub dostęp do stłuczenia szyby.
- Sprawdź licencję i rejestrację: Sprawdź w Administration > Licensing, czy model, numer seryjny, licencja podstawowa i subskrypcje są prawidłowe.
- Utwórz kopię zapasową: Pobierz ręczną kopię zapasową i przechowuj ją zewnętrznie przed wprowadzeniem dalszych zmian.
- Sprawdź oprogramowanie sprzętowe i wzorzec: Sprawdź stan oprogramowania sprzętowego, poprawki i aktualizacje sygnatur, ale instaluj aktualizacje tylko z oknem konserwacji i planem wycofywania.
- Device Access limit: nie pozwala na szeroką dostępność WebAdmin i SSH ze stref klienta, gościa, IoT lub WAN.
- Sprawdź strefy i interfejsy pod kątem wiarygodności: Sprawdź WAN, LAN, sieci VLAN, mosty, sieć zarządzania i późniejsze strefy bezpieczeństwa pod kątem planu sieci.
- Oceń reguły domyślne: Nie przyjmuj początkowych reguł zapory sieciowej i reguł NAT jako gotowego projektu zabezpieczeń.
- Aktywuj rejestrowanie: Aktywuj Log firewall traffic, aby uzyskać ważne reguły, aby można było prześledzić późniejsze testy w Log Viewer.
- Test akceptacji planu: Zwolnij ruch produktywny dopiero po krótkim planie testowym, a nie bezpośrednio po kreatorze.
Tylko wtedy, gdy te punkty są czyste, należy skonfigurować ruch produktywny, dostęp zdalny, WAF, SD-WAN, RED lub TLS Inspection. W przeciwnym razie rozwiązywanie problemów stanie się później niepotrzebnie trudne, ponieważ nie jest jasne, czy problem wynika z podstawowej konfiguracji, funkcji bezpieczeństwa czy aplikacji.
Skonfiguruj ścieżki według sytuacji
Po kreatorze praca szybko dzieli się na kilka obszarów. Te punkty wejścia mają sens w przypadku nowych zapór sieciowych:
- Połączenie centralne: Jeśli zapora sieciowa powinna być podłączona do Sophos Central lub granice Centrali powinny być zrozumiałe, Sophos Firewall połącz się z Sophos Central pasuje.
- Stan licencji: W przypadku licencji podstawowej, wsparcia i subskrypcji pomaga Sophos Firewall Zrozumienie licencji podstawowej.
- Kopia zapasowa i przywracanie: Przed pierwszą zmianą należy przygotować Sophos Firewall utworzenie lub przywrócenie kopii zapasowej.
- Dostęp zarządczy: WebAdmin, SSH, User Portal lub VPN Portal są wzmocnione poprzez Sophos Firewall Bezpieczny dostęp: odpowiednio skonfiguruj Device Access.
- Projekt sieci: W przypadku stref, interfejsów, sieci VLAN i mostów lepszym początkiem będzie Sophos Firewall Skonfiguruj strefy i interfejsy.
- Pierwsze zasady: W przypadku firewalla i podstaw NAT reguły Sophos Firewall są zrozumiałe i poprawnie skonfigurowane.
- DNS i DHCP: Rozpoznawanie nazw wewnętrznych staje się czystsze dzięki DNS Skonfiguruj trasy żądań na Sophos Firewall.
- Raportowanie: W przypadku dzienników, raportów i dłuższego przechowywania pomaga opcja Aktywuj raportowanie centralnej zapory.
- Health Check: Ustalenia dotyczące bezpieczeństwa zgodnie z SFOS 22 można poprawnie przypisać do priorytetu za pomocą Sophos Firewall Health Check.
- Planowanie aktualizacji: W przypadku aktualizacji oprogramowania sprzętowego lub aktualizacji SFOS-22, Sophos Firewall pasuje przed SFOS 22, sprawdź aktualizację.
To rozdzielenie jest ważne, ponieważ pomyślny kreator nie oznacza gotowej architektury bezpieczeństwa. Przed ruchem produktywnym należy dokładnie sprawdzić dostęp do zarządzania, kopię zapasową, licencję, strefy, reguły, funkcje rejestrowania i ochrony.
Przygotuj przed konfiguracją
Przed uruchomieniem kreatora dostęp, połączenie WAN, sieć zarządzania i kontekst licencji powinny być jasne. Zapobiega to improwizowaniu podczas konfiguracji i konieczności późniejszego poprawiania niejasnych podstawowych założeń.
Wymagania instalacyjne
Przed konfiguracją powinno być jasne, w jaki sposób zapora zostanie zintegrowana z siecią. Wiele późniejszych problemów pojawia się nie w samym kreatorze, ale w wyniku improwizacji WAN, LAN, DNS, dostępu do zarządzania lub danych licencyjnych.
Przygotuj się przed rozpoczęciem:
- Model zapory, numer seryjny i planowana lokalizacja.
- WAN dane dostępowe lub informacje o dostawcy, na przykład DHCP, statyczny adres IP, PPPoE, VLAN lub router nadrzędny.
- Wewnętrzna sieć docelowa dla pierwszego LAN lub dostępu zarządzającego.
- Serwery DNS pracują podczas instalacji.
- Sophos Central Dostęp lub osoba, która może wygenerować hasło jednorazowe do rejestracji.
- Zaplanowane hasło administratora i lokalizacja w menedżerze haseł.
- Decyzja, czy skonfigurować zaporę bezpośrednio, czy przywrócić ją za pomocą kopii zapasowej.
Zapora wymaga działającego połączenia internetowego do rejestracji, porównywania licencji, aktualizacji sygnatur i połączenia centralnego. Jeśli urządzenie nadrzędne filtruje ruch wychodzący, musi działać przynajmniej niezbędny dostęp HTTPS. W przypadku bardziej złożonych konfiguracji dostawców dostęp WAN należy najpierw zaplanować świadomie, a nie zgadywać podczas działania kreatora.
Połączenia i konfiguracja sieci
Nazwy portów i domyślne mapowanie różnią się w zależności od modelu. Wiele urządzeń sprzętowych umożliwia początkowy dostęp LAN poprzez standardowy adres, podczas gdy większe modele mogą również mieć dedykowany port zarządzania.
Typowe początkowe dostępy:
- LAN port z
https://172.16.16.16:4444: Wstępna konfiguracja poprzez lokalną sieć konfiguracyjną. - Port MGMT z
https://10.0.1.1:4444: dedykowanym dostępem do zarządzania w modelach z portem MGMT. - Konsola szeregowa lub dostęp lokalny: Scenariusze awaryjne lub ponowne uruchomienie obrazu.
Klient konfiguracji początkowej powinien być podłączony bezpośrednio lub poprzez kontrolowaną sieć konfiguracyjną. Stare serwery DHCP, nieprawidłowe sieci VLAN lub wydajny port przełącznika z nieoczekiwaną konfiguracją portów mogą niepotrzebnie utrudnić początkową konfigurację.
W przypadku modeli z dedykowanym portem zarządzania ta sieć powinna być naprawdę zarezerwowana dla administratorów. Użytkownicy nieadministracyjni, zwykli klienci lub urządzenia gościnne nie należą do tej samej podsieci portu zarządzania. W przeciwnym razie praktyczny dostęp początkowy szybko stanie się niepotrzebnym obszarem zarządzania.
Dostęp do interfejsu sieciowego
Aby skonfigurować, uzyskaj dostęp do konsoli WebAdmin za pośrednictwem przeglądarki internetowej. W zależności od interfejsu używany jest jeden z poniższych adresów:
- LAN port:
https://172.16.16.16:4444 - Port zarządzania:
https://10.0.1.1:4444
Zapora używa lokalnie podpisanego certyfikatu przy pierwszym dostępie. Ostrzeżenie przeglądarki jest w tym momencie normalne, ale nie należy go później ignorować. Należy zaplanować odpowiedni certyfikat dla produktywnego dostępu WebAdmin, szczególnie jeśli używanych jest wielu administratorów, centralne kierownictwo lub zarządzanie FQDN.
Tak długo jak domyślny użytkownik admin jest nadal używany z domyślnym hasłem, obowiązują dodatkowe ograniczenia. SSH ze strefy WAN nie jest normalnie odrzucany, ale zapora sieciowa cicho zamyka połączenie. WebAdmin ze strefy WAN wyświetla komunikat Zabronione. SCP nie może być używane z domyślnymi danymi dostępowymi w strefach LAN i WAN. Stan ten należy rozumieć jako fazę instalacji, a nie model działania.
Uruchom kreatora instalacji
Kreator instalacji konfiguruje podstawową zaporę sieciową. W tej fazie nie chodzi o ostateczny projekt zabezpieczeń, ale raczej o uruchomienie zapory sieciowej, zarejestrowanie jej i zarządzanie nią w kontrolowany sposób.
Konfiguracja wstępna przy użyciu kreatora instalacji
Kreator instalacji wysyła zapytanie do podstawowych danych i wprowadza zaporę do stanu umożliwiającego uruchomienie. Punkty te należy wyznaczać świadomie:
- Zaakceptuj Warunki użytkowania użytkownika końcowego Sophos.
- Rozpocznij instalację.
- Ustaw hasło administratora i przechowuj je bezpiecznie.
- Ustaw nazwę zapory sieciowej i strefę czasową.
- Podaj numer seryjny lub informacje o istniejącej licencji.
- Zezwalaj na automatyczną aktualizację oprogramowania sprzętowego podczas konfiguracji tylko wtedy, gdy odpowiedni jest dostęp do Internetu, okno czasowe i ścieżka powrotna.
- Utwórz Secure Storage Master Key i udokumentuj go w menedżerze haseł.
- Przeprowadź porównanie rejestracji i licencji lub celowo odłóż to na później.
Secure Storage Master Key jest ważny dla scenariuszy chronionych danych i przywracania. W przypadku nowych instalacji jest on tworzony w Asystencie ustawień. Nie należy do lokalnego pliku tekstowego w notatniku administratora, ale do kontrolowanego hasła lub procedury odzyskiwania. Jeśli zostanie utracony, technicznie można go zresetować, ale istniejących chronionych kopii zapasowych lub danych nie można automatycznie odszyfrować.
Połączenie internetowe i weryfikacja DNS
Kreator sprawdza, czy zapora sieciowa ma dostęp do Internetu. Jeśli sprawdzenie się nie powiedzie, nie powinieneś po prostu wprowadzać „dowolnego DNS”. Lepsza jest jasna definicja:
- Czy interfejs WAN ma prawidłowy adres IP?
- Czy brama domyślna jest poprawna?
- Czy wymagany jest routing PPPoE, VLAN lub routing statyczny?
- Czy zapora może rozpoznać DNS?
- Czy wychodzący ruch HTTPS jest blokowany przez urządzenie nadrzędne?
- Czy data, godzina i strefa czasowa są prawidłowe?
W środowiskach produkcyjnych DNS nie powinien przypadkowo wskazywać publicznych resolverów, jeśli potrzebne jest wewnętrzne rozpoznawanie nazw. Po wstępnej konfiguracji domeny wewnętrzne powinny być czysto kierowane do wewnętrznych serwerów DNS przez DNS Request Routes na Sophos Firewall.
Rejestracja Sophos Firewall
Rejestracja łączy zaporę sieciową z licencją Sophos i kontekstem centralnym. Możesz to zrobić bezpośrednio w kreatorze lub później w trakcie pracy. W przypadku wydajnych zapór ogniowych ten krok nie powinien być niepotrzebnie przedłużany, ponieważ od niego zależy status licencji, wsparcie, subskrypcje i funkcje centralne.
Sophos obsługuje wiele sposobów rejestracji. OTP jest szczególnie przydatne w środowiskach partnerów lub klientów, ponieważ nie każdy administrator musi znać dane uwierzytelniające Sophos Central Super Admin.
Typowy przepływ:
- Przygotuj numer seryjny zapory.
- Uzyskaj zaporę sieciową w Sophos Central lub zleć wygenerowanie OTP przez administratora Sophos Central.
- Wprowadź OTP w zaporze.
- Zakończ rejestrację.
- Następnie sprawdź w Administration > Licensing, czy zapora sieciowa jest poprawnie zarejestrowana.
Ważne: Sophos Central Zarządzanie zaporą sieciową wymaga aktywnej płatnej subskrypcji lub odpowiedniej umowy wsparcia. Sama licencja podstawowa na firewall nie jest wystarczająca dla wszystkich funkcji centralnego zarządzania. Dodatkowo zapora sieciowa do centralnego zarządzania musi być podłączona do Internetu poprzez IPv4.
Aktywacja licencji
Po rejestracji zapora sieciowa sprawdza Twoje licencje na serwerze licencji Sophos. Jeśli zapora sieciowa ma dostęp do Internetu, informacje o licencji są regularnie synchronizowane. Dodatkowo możesz uruchomić porównanie ręcznie w konsoli WebAdmin.
Pod Administration > Licensing powinieneś sprawdzić:
- Czy zarejestrowano właściwy model z prawidłowym numerem seryjnym?
- Czy licencja podstawowa jest aktywna?
- Czy pomoc techniczna, ochrona Xstream, ochrona standardowa lub indywidualne subskrypcje są poprawnie widoczne?
- Czy daty ważności są wiarygodne?
- Czy rzeczywiście zastosowano nowy klucz licencyjny, czy tylko zapisano go w portalu?
- Czy zapora sieciowa po
Synchronizewyświetla ten sam stan co Sophos Central?
Bez odpowiedniej licencji wiele funkcji ochronnych nie działa lub działa tylko w ograniczonym zakresie. W zależności od funkcji dotyczy to na przykład IPS, ochrony sieci Web, Zero-Day Protection, DNS Protection, centralnej orkiestracji, aktywnego reagowania na zagrożenia lub usług wsparcia. Podstawy wsparcia i modułów można znaleźć w Sophos Firewall Omówienie podstawowej licencji systemu operacyjnego i Jakie pakiety Sophos Firewall są tam dostępne?.
Połączenie z platformą Sophos Central
Sophos Central nie jest obowiązkowe w przypadku lokalnej obsługi pojedynczego Sophos Firewall. Zaporę można obsługiwać całkowicie poprzez WebAdmin. Sophos Central przynosi korzyści, jeśli świadomie korzystasz z tych funkcji:
- centralny przegląd jednego lub więcej firewalli,
- Centralne zarządzanie firewallem bez bezpośredniej publikacji WebAdmin z Internetu,
- Centralne kopie zapasowe,
- Centralne raportowanie zapory sieciowej,
- w zależności od licencji dłuższe przechowywanie logów i dodatkowe funkcje raportowania,
- Security Heartbeat i Synchronized Application Control w środowiskach punktów końcowych Sophos,
- Integracja z innymi procesami Sophos Central.
Ważne jest, aby mieć właściwe oczekiwania: Sophos Central nie zastępuje lokalnej dokumentacji operacyjnej ani czystego procesu administracyjnego. Każdy, kto aktywuje Centralne Zarządzanie, powinien świadomie zdefiniować role, MFA, dostęp, przechowywanie kopii zapasowych i przechowywanie raportów.
Więcej informacji można znaleźć w artykule Sophos Firewall łączenie się z Sophos Central: zalety i ograniczenia.
Kończenie konfiguracji
Po zakończeniu instalacji zapora sieciowa uruchamia się ponownie lub powoduje przekierowanie do ekranu logowania. Jeśli w kreatorze zostanie przeprowadzona aktualizacja oprogramowania sprzętowego i połączenie zostanie zerwane, nie należy od razu zakładać, że wystąpiła usterka: zapora sieciowa może się zrestartować i powrócić z dostarczoną wersją oprogramowania. Następnie nie powinieneś zaczynać bezpośrednio od ruchu produkcyjnego, ale raczej najpierw sprawdź stan podstawowy.
Sprawdź natychmiast po pierwszym logowaniu:
- Data, godzina i strefa czasowa.
- Wersja oprogramowania sprzętowego i aktualizacje wzorców.
- Stan licencji w Administration > Licensing.
- Status WAN i dostęp do Internetu.
- Hasło administratora i Secure Storage Master Key w menedżerze haseł.
- Konfiguracja kopii zapasowej.
- Dostępność konsoli WebAdmin tylko z wybranych sieci.
- Reguły domyślne, NAT i DNS.
- Pierwsze logowanie w Przeglądarce logów.
Przygotuj się do produkcji po użyciu Kreatora instalacji
Po uruchomieniu kreatora rozpoczyna się prawdziwa praca: zapora sieciowa musi zostać wzmocniona, zintegrowana z architekturą sieci, udokumentowana i przygotowana do rozwiązywania problemów. Kroki te mają większy wpływ na późniejszą obsługę niż sam kreator.
Dlaczego Kreator instalacji nie wystarczy
Kreator tworzy początkową konfigurację podstawową, ale nie gotową architekturę zabezpieczeń. Interfejsy, strefy, Device Access, DNS, DHCP, reguły firewalla, NAT, logi, kopie zapasowe i profile zabezpieczeń muszą być świadomie sprawdzane.
Sophos Firewall nie jest routerem konsumenckim, w którym wystarczy skorzystać z kreatora. Prawidłowo zaplanowany może bardzo dobrze zabezpieczyć sieć, ale tylko jeśli architektura jest odpowiednia: strefy muszą odpowiadać logice bezpieczeństwa, dostęp do zarządzania musi być ograniczony, reguły powinny być tworzone świadomie i udokumentowane, a funkcje ochrony, takie jak filtry sieciowe, IPS, Application Control lub TLS Inspection muszą być specjalnie aktywowane i przetestowane. Źle skonfigurowana zapora sieciowa może stworzyć fałszywe poczucie bezpieczeństwa.
Najpierw warto rzucić okiem na Control Center. Można tam zobaczyć stan systemu, ruch, informacje o użytkownikach i urządzeniach, aktywne reguły zapory sieciowej, raporty i informacje, takie jak nowe oprogramowanie sprzętowe lub wyniki kontroli stanu. Ostrzeżeń i uwag w tym obszarze nie należy po prostu ignorować, lecz należy je raczej wykorzystać jako praktyczną listę kontrolną do dalszych prac.
Sprawdź oprogramowanie sprzętowe, licencję i kopię zapasową
W Kopia zapasowa i oprogramowanie sprzętowe sprawdzasz, czy aktywne oprogramowanie sprzętowe jest aktualne. Aktualizacje oprogramowania sprzętowego są istotne z punktu widzenia bezpieczeństwa, ponieważ obejmują poprawki błędów, ulepszenia stabilności i poprawki zabezpieczeń. Aktualizacji nie należy odkładać na stałe, ale nie należy ich też instalować bez przygotowania.
Sophos Firewall współpracuje z dwoma gniazdami oprogramowania sprzętowego. Oznacza to, że w przypadku problemów można przywrócić poprzednie oprogramowanie sprzętowe. Niemniej jednak przed wprowadzeniem jakichkolwiek większych zmian należy utworzyć ręczną kopię zapasową. Dzięki produktywnym zaporom ogniowym planujesz okno konserwacji, sprawdzasz informacje o wersji, status HA, wolne miejsce na dysku, zależności VPN i dostępność zewnętrzną.
Regularną kopię zapasową należy także skonfigurować w obszarze Kopia zapasowa i oprogramowanie sprzętowe. W przypadku zaszyfrowanych kopii zapasowych wymagane jest hasło kopii zapasowej. Secure Storage Master Key jest również odpowiedni do przywracania wrażliwych danych. Ten klucz zdecydowanie należy do menedżera haseł. Jeśli zostanie utracony, możesz go zresetować za pomocą konsoli, ale istniejących chronionych kopii zapasowych nie można już normalnie przywrócić.
Następnie sprawdź w Administration > Licensing, czy rejestracja, licencja podstawowa i zarezerwowane subskrypcje są wyświetlane poprawnie. W temacie aktualizacji pomocne będą artykuły Sophos Firewall Aktualizacja oprogramowania sprzętowego: przygotowanie i najlepsze praktyki i Aktualizacja oprogramowania sprzętowego w Sophos Firewall. Kopie zapasowe wyjaśniono bardziej szczegółowo w artykule Sophos Firewall Tworzenie lub przywracanie kopii zapasowej.
Przejrzyście planuj strefy i interfejsy
Kreator może połączyć kilka portów LAN w mostek na urządzeniach sprzętowych. Jest to przydatne do szybkiego startu, ale nie zawsze jest najlepszą architekturą docelową. W Network > Interfaces powinieneś sprawdzić, które porty, sieci VLAN, mosty lub grupy LAG są naprawdę potrzebne.
Każdy interfejs jest przypisany do dokładnie jednej strefy. To przypisanie określa później sposób stosowania reguł zapory sieciowej, Device Access i profili ochrony. Typowe strefy produkcyjne to na przykład LAN, Server, DMZ, Guest, VoIP, Management lub VPN. Nie każdy VLAN koniecznie potrzebuje własnej strefy, ale każda strefa powinna mieć jasne znaczenie związane z bezpieczeństwem.
Więcej na ten temat można dowiedzieć się w artykule Sophos Firewall Planowanie i konfiguracja stref i interfejsów.
Bezpieczne Device Access
Częstym błędem występującym po wstępnej konfiguracji jest zbyt duży dostęp do zarządzania. Dostęp do lokalnych usług zapory sieciowej, takich jak WebAdmin, SSH, User Portal, VPN Portal, DNS lub Ping, nie jest kontrolowany za pomocą normalnych reguł zapory. Administration > Device access jest za to odpowiedzialny.
⚠️ WebAdmin, SSH, User Portal i VPN Portal nigdy nie powinny być dostępne tylko dlatego, że baza reguł zapory wygląda na „czystą”. Usługi te zależą od list ACL Device Access i usług lokalnych. Po każdej zmianie należy aktywnie testować, z jakich stref i sieci źródłowych dostęp jest rzeczywiście możliwy.
W przypadku systemów produkcyjnych HTTPS i SSH nie powinny być szeroko wypuszczane z niebezpiecznych stref. Jeśli konieczny jest dostęp zewnętrzny, należy zastosować Regułę wyjątku ACL usługi lokalnej i ograniczyć dostęp do stałych adresów IP lub zdefiniowanych sieci zarządzania. Alternatywnie, zarządzanie zaporą sieciową Sophos Central jest często czystszym rozwiązaniem.
Więcej informacji można znaleźć w artykule Sophos Firewall Zabezpieczanie dostępu: poprawnie skonfiguruj Device Access.
Ustaw konta administratora, MFA i rezerwę
Po pierwszym logowaniu współdzielony dostęp administratora nie powinien być używany na stałe. Dedykowani administratorzy, jasne role i udokumentowany dostęp awaryjny sprawdzają się lepiej w życiu codziennym. Dzięki temu można później zobaczyć, kto dokonał zmiany, a pojedyncze złamane hasło nie zapewnia automatycznie pełnego dostępu do zapory.
Ta kolejność ma sens w przypadku nowych zapór sieciowych:
- Przetestuj co najmniej drugi dostęp administracyjny, zanim MFA zostanie szeroko aktywowany.
- Traktuj domyślnego użytkownika lokalnego
adminjako konto typu break glass i nie używaj go jako użytkownika dziennego. - Aktywacja MFA zaplanowana dla WebAdmin, VPN Portal i dostępu zdalnego.
- Dokumentuj role i obowiązki, szczególnie w przypadku korzystania z zarządzania zaporą sieciową Sophos Central.
- Ustaw reset tokena, przechowywanie haseł i dostęp poza godzinami pracy.
MFA zmniejsza ryzyko kradzieży danych uwierzytelniających, ale nie zastępuje ograniczeń dostępu. Dlatego MFA dla Sophos Firewall WebAdmin, VPN Portal i dostęp zdalny i Device Access należą do siebie. Jeśli za pośrednictwem Sophos Central pracuje kilka osób, należy również sprawdzić role administracyjne Sophos Central.
DNS, DHCP i sprawdź wewnętrzne rozpoznawanie nazw
Network > DNS określa, w jaki sposób zapora odbiera serwery DNS: poprzez DHCP, poprzez informacje PPPoE od dostawcy lub statycznie. W przypadku domen wewnętrznych należy używać DNS tras żądań, aby żądania dotyczące stref wewnętrznych trafiały do właściwego wewnętrznego serwera DNS.
W przypadku nowych instalacji DNS należy przetestować z prawdziwymi nazwami wewnętrznymi i zewnętrznymi. Sam test z google.com nie wystarczy, jeśli później używane będą Active Directory, serwery plików, drukarki, systemy zarządzania lub aplikacje wewnętrzne. Szczególnie ważne jest to, czy klienci otrzymują właściwe serwery DNS i czy zapora sieciowa nie przekazuje przypadkowo domen wewnętrznych do publicznych programów rozpoznawania nazw.
Egzamin praktyczny DNS:
- Zapora rozpoznaje nazwy zewnętrzne: Rejestracja, porównywanie licencji, aktualizacje i połączenie centralne.
- Klient rozpoznaje nazwy zewnętrzne: DHCP, DNS serwer i reguła zapory są zgodne.
- Klient rozpoznaje nazwy wewnętrzne: Działa wewnętrzna trasa żądania DNS lub DNS.
- Klient VPN lub VLAN rozpoznaje nazwy wewnętrzne: Serwer DNS, domena wyszukiwania i reguła strefy pasują także poza pierwszą siecią LAN.
DHCP jest skonfigurowane w Network > DHCP dla każdego interfejsu. Ważne jest, aby obszary DHCP były czysto dostosowane do interfejsu i struktury VLAN. Serwer DHCP nie powinien przypisywać adresów, które są już używane statycznie dla serwerów, przełączników, punktów dostępowych, drukarek lub urządzeń zarządzających. Ponadto bramkę, serwer DNS, nazwę domeny i czas dzierżawy należy ustawić świadomie, aby klienci nie tylko otrzymali dowolny adres IP po pierwszym połączeniu, ale faktycznie pracowali w zamierzonej sieci.
Jeśli DHCP ma być przekazywane trasami VPN, zapora sieciowa może również działać jako przekaźnik DHCP. Dla opcji specjalnych DHCP dostępna jest opcja Sophos Firewall DHCP Konfiguracja opcji.
Sprawdź początkową zaporę sieciową i reguły NAT
Domyślnej reguły ruchu wychodzącego utworzonej przez kreatora nie należy przyjmować na ślepo. W Rules and policies > Firewall rules powinieneś sprawdzić, które strefy źródłowe są dozwolone, które miejsca docelowe powinny być dostępne i które zabezpieczenia są aktywne. Reguły są przetwarzane od góry do dołu; wygrywa pierwsza pasująca reguła.
Podczas uruchamiania powinna istnieć co najmniej jedna celowo nazwana reguła klient-internet. Ta reguła nie powinna po prostu zezwalać Any na Any, ale powinna wyraźnie pokazywać strefę źródłową, sieć źródłową, miejsca docelowe, usługi, rejestrowanie i funkcje bezpieczeństwa. Jeżeli reguła zostanie później rozszerzona, powinno pozostać jasne, czy jest ona przeznaczona dla zwykłych klientów, serwerów, gości, Internetu Rzeczy czy urządzeń zarządzających.
Pierwsza kontrola reguły może wyglądać następująco:
- Podłącz klienta testowego w wyznaczonej strefie.
- Sprawdź adres IP, bramę i DNS na kliencie.
- Wygeneruj zewnętrzne wywołanie HTTPS.
- Wyszukaj źródłowy adres IP, miejsce docelowe, usługę i Rule ID w przeglądarce logów.
- Sprawdź, czy została spełniona oczekiwana reguła zapory sieciowej i reguła NAT.
- Wykonywanie celowo niedozwolonego testu, na przykład ze strefy gościa lub strefy zarządzania.
- Dokument, która reguła pozostaje produktywna, a który kreator lub reguła testowa została usunięta.
Poniższe dotyczy NAT: NAT samo w sobie nie zezwala na ruch. Zawsze wymagana jest odpowiednia reguła zapory sieciowej. W przypadku zwykłych klientów w Internecie zwykle istotna jest reguła źródłowa NAT z MASQ. Do opublikowanych serwerów potrzebne są jednak DNAT oraz odpowiednie reguły firewalla, logowanie i zewnętrzny test spoza własnej sieci LAN. W przypadku nowych konfiguracji niezależne reguły NAT są zwykle bardziej przejrzyste niż połączone reguły NAT. Podstawy są w Sophos Firewall poprawnie zrozumieć i skonfigurować reguły i NAT na Sophos Firewall zrozumieć: SNAT, DNAT, MASQ, PAT. Jeśli ma zostać opublikowany serwer wewnętrzny, pasuje artykuł Publikuj serwer przez DNAT do Sophos Firewall.
Świadomie aktywuj funkcje ochronne
Reguła zapory nie jest automatycznie regułą pełnej ochrony. W zależności od licencji i celu IPS, ochrona sieci, Application Control, skanowanie złośliwego oprogramowania, TLS Inspection, Zero-Day Protection lub źródła zagrożeń powinny być świadomie aktywowane, testowane i dokumentowane.
Porządek praktyczny:
- Utwórz czyste strefy i reguły.
- Włącz rejestrowanie ważnych reguł.
- IPS i aktywuj ochronę sieciową tam, gdzie pasuje.
- Dodaj Application Control dla ryzykownych lub niechcianych aplikacji.
- TLS Inspection wprowadza tylko zaplanowane, z grupą testową, dystrybucją CA i wyjątkami.
- Aktywuj źródła zagrożeń, raport NDR lub aktywną reakcję na zagrożenia dopiero po wyjaśnieniu monitorowania i procesu fałszywie pozytywnego.
W szerszym kontekście wzmacniania, pasuje Sophos Firewall Najlepsze praktyki: sieć, reguły i bezpieczeństwo. Dla Zero-Day Protection jest Sophos Firewall zrozumienie i obsługa Zero-Day Protection, dla TLS Inspection Sophos Firewall wprowadzenie TLS Inspection.
Przygotuj rejestrowanie i rozwiązywanie problemów
Log firewall traffic powinien być aktywowany w ważnych regułach zapory sieciowej, w przeciwnym razie często brakuje później dokładnych informacji potrzebnych do rozwiązywania problemów. Wiele osób nie jest tego świadomych: jeśli reguła zapory nie jest rejestrowana, odpowiedni ruch w Log Viewer nie wydaje się znaczący. Możesz wtedy zobaczyć inne zdarzenia systemowe, ale nie konkretną decyzję dotyczącą reguły, której faktycznie szukasz.
W System services > Log settings możesz zdefiniować, które typy dzienników będą wysyłane lokalnie, do serwera Syslog lub do Sophos Central. Zapora sieciowa posiada lokalne pliki dziennika i wewnętrzną bazę danych raportów, ale nie są one przeznaczone do długoterminowego archiwum na tygodnie, miesiące czy lata. Jeśli logi mają być przechowywane na stałe lub przeszukiwane centralnie, wymagany jest zewnętrzny serwer Syslog lub raportowanie zapory Sophos Central.
Poniższe informacje dotyczą w przybliżeniu Sophos Central: W przypadku aktywnej subskrypcji zapory ogniowej raporty Centralnej zapory są dostępne przez ograniczony czas. Dłuższe oceny są możliwe dzięki Xstream Protection lub Central Orchestration. Dzięki Sophos Central Firewall Reporting Advanced zyskujesz dodatkową przestrzeń dyskową i znacznie dłuższe przechowywanie. Szczegóły opisano w Włącz raportowanie centralnej zapory sieciowej.
Do wstępnych analiz zwykle wystarczą Log Viewer, Policy tester i Packet capture. Do głębszej analizy można dodatkowo zabezpieczyć logi CLI, aktywować debug logs albo użyć tcpdump. Debug logs należy włączać tylko celowo i na ograniczony czas, ponieważ generują znacznie więcej danych. Sposób testowania reguł opisuje testowanie reguł firewall za pomocą Log Viewer, Policy Test i Packet Capture. Dla Packet Capture, nazw usług i plików logów dostępne są artykuły narzędzie Packet Capture w WebAdmin oraz Sophos Firewall Troubleshooting: Services i logi. Jeśli logi mają zostać zebrane dla supportu lub zewnętrznej analizy, pomaga zabezpieczanie logów Sophos Firewall do analizy zewnętrznej.
Test akceptacyjny przed ruchem produktywnym
Przed rozpoczęciem transmisji na żywo nie powinieneś po prostu sprawdzać, czy „Internet działa”. Mały, udokumentowany test akceptacyjny zapobiega wielu późniejszym przypadkom pomocy technicznej.
Przydatne testy:
- Logowanie administratora z sieci zarządzającej: WebAdmin jest osiągalne, ale nie jest otwarte z niepożądanych stref.
- Logowanie administratora z klienta, gościa lub strefy WAN: Dostęp jest blokowany, jeśli nie jest tam zapewniona sieć świadomego zarządzania.
- Dostęp drugiego administratora lub dostęp do Break Glass: Dostęp pozostaje możliwy w przypadku niepowodzenia MFA, SSO lub konta użytkownika.
- Klient z LAN do Internetu: Reguły zapory sieciowej, NAT, DNS i zasady bezpieczeństwa obowiązują zgodnie z oczekiwaniami.
- Wewnętrzna nazwa DNS: działają DNS Request Routes lub wewnętrzne resolvery.
- Zablokowany ruch testowy: Log Viewer pokazuje pasującą regułę lub oczekiwaną Drop.
- Pobieranie i przechowywanie kopii zapasowych: Kopia zapasowa jest nie tylko tworzona, ale także możliwa do wykrycia.
- Centrum lub miejsce docelowe Syslog: Dzienniki i raporty docierają poza zaporę sieciową, jeśli jest to zaplanowane.
Test powinien być krótko udokumentowany: data, wersja oprogramowania sprzętowego, lokalizacja, testowany źródłowy adres IP, cel, oczekiwany wynik i nierozwiązane problemy. Wydaje się to mało spektakularne, ale pozwala zaoszczędzić czas, gdy VPN, reguła NAT lub problem DNS wymagają zbadania kilka dni później.
Lista kontrolna po wstępnej konfiguracji
Sprawdź natychmiast
- Hasło administratora i Secure Storage Master Key są bezpiecznie przechowywane.
- Zapora została zarejestrowana i sprawdzono stan licencji.
- Sprawdzono status oprogramowania sprzętowego i aktualizacje wzorców.
- Utworzono ręczną kopię zapasową i zapisano ją zewnętrznie.
- WebAdmin i SSH można osiągnąć tylko z wybranych sieci.
- WebAdmin i SSH z niepożądanych stref aktywnie uzyskały wynik negatywny.
- Przetestowano drugi dostęp administratora i koncepcję rozbicia szyby.
- WAN, DNS i sprawdzona strefa czasowa.
- Celowo oceniono domyślną regułę zapory sieciowej.
Sprawdź w ciągu pierwszych kilku dni
- Strefy, sieci VLAN, mosty i grupy LAG zostały prawidłowo zaplanowane.
- DNS trasy żądań i kontrolowane obszary DHCP.
- Udokumentowano reguły zapory sieciowej i reguły NAT.
- Włączono ważne reguły logowania.
- Skonfigurowano proces tworzenia kopii zapasowej centralnej lub lokalnej.
- Zdecydowano o Central Reporting, Syslog lub innym miejscu docelowym dziennika.
- Pierwsze reguły sprawdzone za pomocą Log Viewer, Testu zasad i Packet Capture.
Sprawdź przed produktywną pracą lub uruchomieniem
- Utrudniony dostęp do zarządzania.
- Sprawdzono MFA i role administratora.
- IPS, Ochrona sieci, Application Control i inne funkcje zabezpieczające zostały celowo aktywowane.
- TLS Inspection zaplanowano tylko z procesem testowym i wyjątkiem.
- Dostęp zdalny, IPsec, WAF, RED lub SD-WAN testowane oddzielnie, jeśli są używane.
- Udokumentowano ścieżkę przywracania i wsparcia.
Typowe błędy
- Konfiguracja kreatora jest wykorzystywana bezpośrednio i produktywnie: Reguły, które są zbyt szerokie, nieprawidłowe strefy lub otwarte usługi zarządzania pozostają. Po uruchomieniu kreatora należy wypełnić własną operacyjną listę kontrolną.
- Secure Storage Master Key nieudokumentowane: Przywracanie lub migracja stają się niepotrzebnie trudne. SSMK należy natychmiast zapisać w menedżerze haseł.
- WebAdmin dostępny z WAN lub sieci klienckich: Boty, brutalna siła i niepotrzebne powierzchnie ataku stają się bardziej prawdopodobne. Device Access i usługa lokalna ACL Exception Rules powinny być ustawione blisko siebie.
- MFA bez aktywowanej funkcji awaryjnej: Administratorzy mogą się zablokować, jeśli występują problemy z tokenem, czasem lub grupą. Wcześniej przetestuj drugiego administratora, rozbij szybę i przeprowadź proces tokena.
- Zapomniane zasady logowania: Późniejsze rozwiązywanie problemów będzie niewidoczne.
Log firewall trafficpowinien być aktywny dla ważnych reguł. - DNS rozwiązany tylko za pomocą publicznego mechanizmu rozpoznawania nazw: Nazwy wewnętrzne nie działają niezawodnie. Zaplanuj wewnętrzne serwery DNS i trasy żądań DNS.
- Oczekiwano NAT bez odpowiedniej reguły zapory sieciowej: Nie można uzyskać dostępu do serwerów lub usług pomimo NAT. Zawsze sprawdzaj jednocześnie NAT i regułę zapory sieciowej.
- Aktualizacja oprogramowania sprzętowego zainstalowana bez kopii zapasowej: Brakuje możliwości powrotu w przypadku problemów. Przed aktualizacjami sprawdź kopie zapasowe, informacje o wydaniu i okna konserwacji.
Często zadawane pytania
Czy Sophos Firewall został bezpiecznie skonfigurowany po użyciu kreatora instalacji?
Czy musisz używać Sophos Central dla Sophos Firewall?
Jakiego adresu używasz, aby uzyskać pierwszy dostęp do Sophos Firewall?
https://172.16.16.16:4444. W przypadku modeli z dedykowanym portem zarządzania odpowiedni może być również https://10.0.1.1:4444. Dokładne zachowanie zależy od modelu i połączenia.