Przejdz do tresci
Avanet

Sophos Firewall Spoof Protection i DoS Settings sprawdź

Sophos Firewall

Spoof Protection i DoS Settings należą do klasycznych funkcji hartowania Sophos Firewall. Funkcje te redukują proste, zaszumione lub wyraźnie nieprawidłowe pakiety, zanim staną się niepotrzebnym szumem w logach, regułach lub opublikowanych usługach. Jednocześnie ustawienia te nie stanowią magicznej ochrony przed każdym rodzajem ataku.

W artykule sklasyfikowano te funkcje jako ostrożne, podstawowe utwardzanie: najpierw zapoznaj się z projektem sieci i ścieżkami powrotnymi, następnie aktywuj, przetestuj i sprawdź logi. To rozróżnienie jest szczególnie ważne: funkcje te uzupełniają czyste reguły zapory ogniowej, IPS, Threat Feeds, WAF i rejestrowanie. Nie zastępują one tych elementów składowych.

Krótko wyjaśnione

Spoof Protection sprawdza, czy pakiety z wiarygodnym adresem źródłowym docierają do oczekiwanego interfejsu. Na przykład, jeśli z Internetu pojawi się pakiet z wewnętrznym adresem źródłowym, w większości projektów jest to podejrzane. Z drugiej strony DoS Settings reaguje na pewne wzorce ataków typu Flood lub Connection, na przykład zauważalne ilości ruchu SYN, UDP lub ICMP.

Typowa ścieżka menu, w zależności od wersji SFOS, mieści się w zakresie:

Protect > Intrusion prevention > DoS & spoof protection

Jeśli w nowszej wersji interfejs jest nieco inaczej oznaczony, powinieneś poszukać DoS, ochrony przed fałszowaniem lub zapobiegania włamaniom. Ważna jest nie dokładna ścieżka kliknięcia, ale to, aby funkcja była świadomie zaplanowana, przetestowana i później logowana.

Do czego służą funkcje

FunkcjaDo czego pomagaDo czego to nie wystarczy
Spoof ProtectionOdrzuca pakiety z nieprawdopodobnym źródłowym adresem IP, ogranicza proste próby fałszowania, uwidacznia błędnie przekierowane pakietynie zastępuje czystej strefy, interfejsu i planowania routingu
DoS Settingsogranicza proste wzorce zalewania, sprawia, że głośne ataki lub błędne konfiguracje stają się zauważalne wcześniejnie zastępuje ochrony dostawcy przed DDoS, nie ma WAF ani czysto zwymiarowanego projektu upstream

W praktyce funkcje te są szczególnie interesujące jako podstawowe wzmocnienie. Korzyścią jest ograniczenie oczywistych nonsensów. W rzeczywistych wolumetrycznych atakach DDoS połączenie internetowe często jest już w pełni obciążone, zanim zapora sieciowa może znacząco zareagować. W takim razie potrzebujesz ochrony ze strony dostawcy, czyszczenia nadrzędnego lub innej architektury.

Kiedy Spoof Protection ma sens

Spoof Protection pasuje szczególnie dobrze do wyraźnie podzielonych na segmenty sieci, w których sieci źródłowe, interfejsy i trasy są wyraźnie zaplanowane. Im jaśniejsza struktura sieci, tym łatwiej jest ocenić, czy adres źródłowy w interfejsie jest wiarygodny.

Przydatne aplikacje:

  • Internet WAN, na którym nie powinny pojawiać się żadne wewnętrzne źródła RFC1918.
  • DMZ lub strefy serwerów z przejrzystymi sieciami źródłowymi i docelowymi.
  • Strefy klienta, gościa lub IoT, w których jako źródła nie powinny pojawiać się żadne zewnętrzne sieci wewnętrzne.
  • Lokalizacje, w których trasy, VLAN i strefy są wyraźnie udokumentowane.
  • Środowiska, w których utracone pakiety muszą być później identyfikowalne za pomocą Packet Capture i dzienników.

Sprawy stają się trudniejsze w przypadku routingu asymetrycznego, złożonych sieci tranzytowych, tymczasowych ścieżek migracji, niepoprawnie udokumentowanych VLAN lub wielu zapór sieciowych na tej samej ścieżce danych. Prawidłowy strumień danych może wyglądać na podszywanie się, chociaż projekt routingu lub ścieżka zwrotna jest w rzeczywistości nieczysta.

Sprawdź przed aktywacją

Spoof Protection i DoS Settings nie powinny być aktywowane na ślepo w środowisku produkcyjnym. Z góry powinno być jasne, których sieci i usług dotyczy problem.

Ważne punkty kontrolne:

  1. Document zones, interfaces, VLANs, bridges and LAGs.
  2. Sprawdź trasy statyczne, trasy SD-WAN, trasy VPN i ścieżki asymetryczne.
  3. Zidentyfikuj opublikowane usługi poprzez DNAT lub WAF.
  4. Zwróć uwagę na usługi krytyczne, takie jak VoIP, monitorowanie, tworzenie kopii zapasowych, skanowanie, VPN i połączenia z witrynami.
  5. Przygotuj rejestrowanie i centralną ocenę, jeśli zdarzenia mają być później identyfikowalne.
  6. Ustaw okno konserwacji lub obszar pilotażowy dla pierwszej aktywacji.

Jeśli zwykłe reguły zapory sieciowej są trudne do zrozumienia, należy najpierw wyczyścić regułę i status routingu. W przypadku indywidualnych połączeń testowych lepszym początkiem będzie Przetestuj regułę zapory sieciowej za pomocą Log Viewer, Test zasad i Packet Capture.

Spoof Protection aktywuj ostrożnie

Podejście krok po kroku ma sens w przypadku Spoof Protection. Należy najpierw zabezpieczyć najjaśniejsze obszary, a nie od razu każdą strefę specjalną.

Proces praktyczny:

  1. Zapisz bieżącą konfigurację lub przynajmniej udokumentuj ustawienia, których to dotyczy.
  2. Zacznij od przejrzystej strefy lub interfejsu, na przykład WAN lub wyraźnie oddzielonej strefy klienta.
  3. Zapisz aktywację.
  4. Uruchom zaplanowane połączenia testowe: dostęp do Internetu, VPN, usługi opublikowane, serwery centralne, monitoring.
  5. Sprawdź Log Viewer i Packet Capture pod kątem nieoczekiwanych spadków.
  6. Nie zajmuj się od razu rzucającymi się w oczy, uzasadnionymi spadkami (z szerokimi wyjątkami), ale najpierw sprawdź routing, źródłowy adres IP i interfejs.

Częstym błędem jest traktowanie Spoof Protection jako czystego haka bezpieczeństwa. W rzeczywistości funkcja sprawdza założenia dotyczące projektu sieci. Jeśli to założenie nie jest poprawne, Spoof Protection niekoniecznie musi być błędne. Często interfejs, trasa, VLAN lub trasa powrotna nie są budowane zgodnie z oczekiwaniami.

DoS Settings plan

DoS Settings powinien pasować do środowiska. Rzadko ma sens przejmowanie wartości z innego przykładu bez sprawdzania. Witryna z kilkoma użytkownikami, VoIP i małym WAN zachowuje się inaczej niż centrum danych, sieć szkolna lub witryna z regularnym skanowaniem i monitorowaniem.

Przed adaptacją odpowiedz na następujące pytania:

  • Które usługi publiczne są narażone?
  • Czy występują uzasadnione szczyty obciążenia, skany, monitorowanie lub kontrole stanu?
  • Czy używany jest VoIP, VPN, WAF, DNAT lub transfer dużych plików?
  • Które zdarzenia powinny być tylko rejestrowane, a które naprawdę blokowane?
  • Kto sprawdza logi po aktywacji?

DoS Settings może pomóc w ograniczeniu prostych wzorców zalań. Jednak zbyt rygorystyczne progi mogą również wpływać na legalny ruch. Szczególną ostrożność należy zachować w przypadku VoIP, systemów monitorowania, zadań tworzenia kopii zapasowych, skanowania pod kątem luk w zabezpieczeniach i intensywnie używanych opublikowanych usług.

Czego te ustawienia nie rozwiązują

Spoof Protection i DoS Settings to ważne elementy składowe, ale nie rozwiązują każdego problemu bezpieczeństwa.

ProblemLepszy dodatkowy moduł
Serwer zostaje zaatakowany poprzez dozwolone żądania HTTPSprawdź regułę WAF i ochronę serwera WWW
Znane złośliwe źródło ataków IPThreat Feeds lub Sprawdź blokowanie kraju/adresu IP
Próba exploita w usłudzeAktywuj IPS-Policy zgodnie z regułą
Linia internetowa jest pełna z powodu DDoSUwzględnij dostawcę, czyszczenie lub ochronę przed DDoS
Reguła zapory sieciowej pozwala na zbyt wieleReguły czyszczenia, NAT i model obiektowy
Krople są niezrozumiałePopraw logowanie, Packet Capture, syslog lub raportowanie centralne

Artykuł Publikuj serwer z DNAT na Sophos Firewall ma również zastosowanie w przypadku serwerów dostępnych publicznie. Chodzi o NAT, reguły firewalla i typowe błędy wydawnicze.

Logi i kontrola następcza

Po aktywacji powinieneś nie tylko sprawdzić, czy normalny dostęp do Internetu nadal działa. Ważne jest, czy firewall wyraźnie pokazuje oczekiwane i nieoczekiwane zdarzenia.

Sprawdź:

  1. Log Viewer filtr dla zapory ogniowej i odpowiednich zdarzeń związanych z bezpieczeństwem.
  2. Uruchamiaj ruch testowy z wyraźnym źródłowym adresem IP, docelowym adresem IP i usługą.
  3. Użyj Packet Capture w przypadku niejasnych kropli.
  4. W przypadku dłuższego przechowywania zaplanuj syslog do SIEM lub serwera logów.
  5. Podczas uruchamiania Sophos Central sprawdź, czy Centralne raportowanie zapory ogniowej powoduje, że żądane zdarzenia są widoczne.

Jeśli pakiet zostanie upuszczony, ale przyczyna nie jest jasna, pomaga systematyczna analiza upuszczania pakietów w Sophos Firewall: sprawdź przyczyny. Opisuje także, dlaczego Log Viewer i Packet Capture odpowiadają na różne pytania.

Typowe błędy

BłądWpływLepsze podejście
Spoof Protection aktywuj bez zrozumienia routingulegalny ruch może zostać zablokowanySprawdź wcześniej strefy, interfejsy, trasy i ścieżki powrotne
Zastosuj progi DoS bez sprawdzaniaVoIP, monitorowanie, skanowanie lub opublikowane usługi mogą zostać zakłóconeZaplanuj fazę bazową i testową
Rozwiąż każdą anomalię z szerokim wyjątkiemHartowanie staje się nieskuteczne i myląceOgranicz przyczynę i dokładnie dokumentuj wyjątki
Sprzedawaj DoS Settings jako ochronę DDoSfałszywe oczekiwania co do ataków na przepustowośćZaplanuj osobno ochronę dostawcy i upstream
Nie sprawdzaj logówNiepoprawne bloki lub ataki pozostają niewidoczneZdefiniuj Log Viewer, centralne raportowanie lub syslog jako punkt operacyjny
Interpretuj fałszywe ataki jako czysty atakBłędy routingu lub VLAN są pomijanePorównaj źródłowy adres IP, interfejs, trasę i Packet Capture

Operacyjna lista kontrolna

Przed aktywacją: Strefy

  • , interfejsy i routing są zrozumiałe.
  • Zdefiniowano usługi krytyczne i przypadki testowe.
  • Dostępna jest kopia zapasowa lub zmiana dokumentacji.
  • Przygotowano rejestrowanie i ocenę.
  • Zestaw obszaru pilotażowego lub okna konserwacji.

Po aktywacji:

  • Internet, VPN, WAF, DNAT, VoIP i przetestowane monitorowanie.
  • Log Viewer sprawdzone pod kątem nieoczekiwanych spadków.
  • Packet Capture używany w co najmniej jednym wyraźnym przypadku testowym, gdy występują spadki.
  • Wyjątki są stosowane jedynie wąsko i mają ku temu powody.
  • Wynik zapisany w dokumentacji operacyjnej.

Regularnie:

  • Sprawdzaj DoS i fałszywe zdarzenia.
  • Sprawdź wyjątki pod kątem konieczności.
  • Przetestuj ponownie po modyfikacjach sieci, zmianach VPN lub nowych VLAN. Powiąż dzienniki
  • z IPS, kanałem zagrożeń, WAF i zdarzeniami reguł zapory sieciowej.

Często zadawane pytania

Czy zawsze należy aktywować Spoof Protection na Sophos Firewall?

Spoof Protection ma sens w wielu środowiskach, ale powinno pasować do projektu trasy i strefy. W przypadku asymetrycznego routingu, migracji czy niejasnych sieci tranzytowych należy najpierw przetestować i sprawdzić logi.

Czy DoS Settings powstrzymuje prawdziwy atak DDoS?

Tylko ograniczona. DoS Settings może zredukować proste wzorce zalewania. Jeśli samo łącze internetowe zostanie przeciążone, ochrona musi nastąpić przed lub u dostawcy.

Dlaczego legalny ruch jest blokowany po Spoof Protection?

Często źródłowy adres IP nie jest zgodny z oczekiwanym interfejsem lub ścieżka zwrotna jest asymetryczna. Należy najpierw sprawdzić routing, VLAN, bramę, ścieżkę VPN i Packet Capture przed utworzeniem szerokiego wyjątku.

Jakich wartości należy użyć dla DoS Settings?

Nie ma uniwersalnych wartości dla każdego środowiska. Warto zacząć ostrożnie od wartości bazowych, przetestować ruch, sprawdzić dzienniki i dostosować do rzeczywistych usług, takich jak VoIP, VPN, WAF, monitorowanie i skanowanie.

Które dzienniki pomagają w przypadku DoS lub fałszywych zdarzeń?

Log Viewer jest pierwszym punktem wejścia. Packet Capture pomaga w przypadku indywidualnych połączeń. W celu dłuższego przechowywania lub korelacji z innymi systemami rozważ raportowanie Syslog, SIEM lub Sophos Central.