Przejdz do tresci
Avanet

Wykorzystanie kategorii internetowych i natychmiastowych alertów w Sophos Firewall

Sophos Firewall

Kategorie internetowe w Sophos Firewall to więcej niż prosty filtr internetowy dla niepożądanych stron. Odpowiednio używane pomagają ograniczać ryzykowne zachowania w sieci, dokładnie rejestrować kategorie i szybciej reagować na krytyczne dostępy.

Dzięki natychmiastowym alertom firewall może wysyłać powiadomienia e-mail dla wybranych kategorii internetowych. Jest to szczególnie przydatne w szkołach, wrażliwych obszarach firmowych lub środowiskach, gdzie pewne dostępy internetowe nie powinny być zauważane dopiero w miesięcznych raportach.

Ważne jest oczekiwanie: kategorie internetowe, grupy URL, polityki internetowe, inspekcja TLS, obsługa QUIC, logowanie i raporty muszą być ze sobą zgodne. Jeśli aktywowana zostanie tylko jedna kategoria, ale polityka internetowa nie jest używana w regule firewalla, w ruchu produkcyjnym nic się nie dzieje.

Dla ogólnego planowania polityki internetowej najpierw pasuje Konfigurowanie ochrony internetowej Sophos Firewall z politykami internetowymi. Dla podstawy reguł pomaga Zrozumienie i prawidłowa konfiguracja reguł Sophos Firewall. Ten artykuł koncentruje się na operacyjnej części internetowej: kategoriach, grupach URL, natychmiastowych alertach, ocenie i reakcji.

Wyraźne rozdzielenie pojęć

Sophos używa kilku obiektów internetowych, które w codziennym użytkowaniu łatwo się mieszają.

PojęcieZadanieTypowe zastosowanie
Kategoria internetowaKategoria dla domen, URL lub słów kluczowych. Wiele kategorii pochodzi od Sophos, możliwe są własne kategorie.Pozwalanie, blokowanie, ograniczanie lub raportowanie dostępu do internetu według ryzyka lub treści.
Grupa URLLista domen, które można używać w politykach internetowych lub wyjątkach TLS.Wyraźne listy dozwolonych lub blokowanych, gdy konkretne domeny są ważniejsze niż kategorie.
Polityka internetowaZestaw reguł dla użytkowników, grup, kategorii, grup URL, typów plików, filtrów treści i działań.Sterowanie dostępem do internetu i połączenie z regułą firewalla.
Natychmiastowe alertyPowiadomienie e-mail dla dostępu do monitorowanych kategorii.Szybkie powiadomienie w przypadku szczególnie wrażliwych lub ryzykownych kategorii.
Log Viewer i raportyOcena rzeczywistej decyzji.Kontrola, czy kategoria, polityka, użytkownik i reguła firewalla działają zgodnie z oczekiwaniami.

Polityka internetowa działa dopiero wtedy, gdy jest wybrana w odpowiedniej regule firewalla pod Security features > Web filtering. Sama polityka internetowa nie jest więc jeszcze produktywną regułą.

Kiedy kategorie internetowe są przydatne

Kategorie internetowe są szczególnie przydatne, gdy dostęp do internetu nie powinien być tylko ogólnie dozwolony lub blokowany. Typowe scenariusze:

  • Blokowanie kategorii złośliwego oprogramowania, phishingu i oszustw.
  • Ograniczanie anonimizerów, proxy i usług obejścia.
  • Szczególne monitorowanie kategorii Command-and-Control lub spyware.
  • Blokowanie kategorii takich jak treści dla dorosłych, hazard lub substancje kontrolowane w zależności od środowiska.
  • Pozwalanie na krytyczne aplikacje chmurowe, ale ograniczanie prywatnych usług chmurowych lub udostępniania plików.
  • Monitorowanie szczególnie wrażliwych kategorii z natychmiastowymi alertami w szkołach lub środowiskach nadzorowanych.
  • Ograniczanie przepustowości dla określonych kategorii internetowych za pomocą kształtowania ruchu.

Kategorie nie powinny być bezmyślnie ustawiane na blokowanie lub alert. W przeciwnym razie powstaje wiele trafień, których nikt nie może sensownie sprawdzić. Lepiej jest mieć mały, jasny zestaw z właścicielem, ścieżką reakcji i przeglądem.

Wymagania

Przed konfiguracją należy wyjaśnić następujące kwestie:

  • Ochrona internetowa lub odpowiedni pakiet Sophos Firewall jest licencjonowany.
  • Istnieje reguła klienta lub użytkownika, która ma używać filtrowania internetowego.
  • Planowane jest dopasowanie użytkowników lub grup, jeśli polityki mają działać na podstawie użytkowników.
  • Log firewall traffic jest aktywne w odpowiedniej regule firewalla.
  • Odpowiednie typy logów są aktywowane w System services > Log settings.
  • Powiadomienia e-mail działają, jeśli mają być używane natychmiastowe alerty.
  • Dla długoterminowej oceny planowane jest Sophos Central Firewall Reporting lub Syslog.
  • QUIC i inspekcja TLS są świadomie zdecydowane.

Dla centralnej oceny pasuje Aktywacja Central Firewall Reporting. Jeśli logi mają być wysyłane do własnego SIEM, lepszym artykułem jest Wysyłanie Syslog Sophos Firewall do SIEM.

Planowanie kategorii i grup URL

Dla administratorów ważne jest, kiedy lepiej pasuje własna kategoria internetowa, a kiedy grupa URL.

Własna kategoria internetowa jest sensowna, gdy:

  • Domeny lub słowa kluczowe mają być używane jako kategoria w kilku politykach internetowych.
  • Kategoria ma być świadomie widoczna w raportach i logach.
  • Planowane jest kształtowanie ruchu według kategorii.
  • Ma powstać monitorowana kategoria dla natychmiastowych alertów.

Grupa URL jest zazwyczaj lepsza, gdy:

  • Zbierane są tylko konkretne domeny.
  • Potrzebna jest mała lista dozwolonych lub blokowanych.
  • Lista ma być używana również dla wyjątków TLS.
  • Unika się dopasowania słów kluczowych.

Grupy URL są często bardziej wydajne i mniej podatne na fałszywe pozytywy niż kategorie ze słowami kluczowymi. Kategorie słów kluczowych powinny być używane z umiarem, szczególnie dla reguł dozwolonych.

Blokowanie, alert czy tylko raportowanie?

Nie każda kategoria wymaga tego samego traktowania. Dobre projektowanie ochrony internetowej oddziela twarde decyzje bezpieczeństwa od wskazówek i czystej oceny.

TraktowanieOdpowiednie dlaRyzyko operacyjne
BlokowanieZłośliwe oprogramowanie, phishing, znane usługi obejścia, wyraźnie zabronione kategorielegalna strona może zostać zablokowana, jeśli kategoria jest błędna
OstrzeżenieSzare obszary, środowiska szkoleniowe, świadomie dozwolone kategorieużytkownicy przyzwyczajają się do ostrzeżeń i klikają dalej odruchowo
Natychmiastowy alertkilka kategorii z rzeczywistym obowiązkiem reakcjizbyt wiele alertów prowadzi do zmęczenia alarmami
Tylko raportowanieAnaliza trendów, raporty użytkowania, słabe sygnałytrafienia są widoczne dopiero później

Dla środowisk produkcyjnych często lepsza jest mała, jasna selekcja niż maksymalny katalog. Jeśli nikt nie ocenia alertu, kategoria nie powinna być ustawiona jako natychmiastowy alert. Jeśli kategoria zawsze ma być blokowana, alert dodatkowo ma sens tylko wtedy, gdy z tego wynika konkretne działanie.

Tworzenie lub dostosowywanie kategorii internetowej

Ścieżka menu to:

Web > Categories

Podstawowy przebieg:

  1. Edytuj istniejącą kategorię lub wybierz Add.
  2. Nadaj nazwę.
  3. Wybierz klasyfikację.
  4. Opcjonalnie wybierz politykę kształtowania ruchu.
  5. Wybierz typ konfiguracji.
  6. Dodaj domeny lub słowa kluczowe.
  7. Opcjonalnie aktywuj Instant alerts.
  8. Zapisz.

W przypadku własnych kategorii nazwa powinna jasno opisywać cel. Nazwy takie jak Custom1 lub Blocklist później niewiele pomagają. Lepsze są nazwy takie jak Alert_Self_Harm, Block_Proxy_Anonymizer lub Allow_Business_Cloud_Exceptions.

Domeny są sprawdzane względem nazwy domeny w URL i automatycznie obejmują subdomeny. Słowa kluczowe są natomiast sprawdzane względem pełnego URL, w tym ścieżki i zapytania. Może to być pomocne, ale łatwiej generuje fałszywe trafienia.

Jeśli używana jest zewnętrzna baza danych URL, firewall sprawdza tę listę co 48 godzin pod kątem aktualizacji. Tego interwału nie można zmienić. Dla publicznych list blokowania warto jednak sprawdzić, czy Konfigurowanie i bezpieczne zarządzanie Sophos Firewall Threat Feeds lepiej pasuje.

Konfiguracja polityki internetowej

Ścieżka menu to:

Web > Policies

Polityka internetowa zawiera reguły dla użytkowników, grup, aktywności, kategorii, grup URL, typów plików, filtrów treści, działań i harmonogramów.

Podstawowy przebieg:

  1. Utwórz nową politykę internetową lub edytuj istniejącą politykę.
  2. Dodaj regułę.
  3. Wybierz użytkowników lub grupy, jeśli polityka ma być oparta na użytkownikach.
  4. Wybierz kategorie lub grupy URL.
  5. Ustal działanie dla HTTP.
  6. Sprawdź oddzielne działanie dla HTTPS.
  7. Ustal harmonogram, jeśli to konieczne.
  8. Aktywuj status reguły.
  9. Sprawdź pozycję reguły.
  10. Zapisz.

Kolejność w polityce internetowej ma kluczowe znaczenie. Reguły są oceniane od góry do dołu. Szeroka reguła dozwolona powyżej specyficznej reguły blokującej może spowodować, że reguła blokująca nigdy nie zadziała.

Jeśli użytkownicy są ustawieni w regule firewalla i w polityce internetowej, należy świadomie przetestować działanie. Użytkownicy w regułach firewalla mogą mieć pierwszeństwo przed użytkownikami w politykach internetowych. W przypadku niejasnych trafień należy więc sprawdzić nie tylko politykę internetową, ale także regułę firewalla.

Aktywacja polityki internetowej w regule firewalla

Ścieżka menu to:

Rules and policies > Firewall rules > [Rule] > Security features > Web filtering

Podstawowy przebieg:

  1. Otwórz odpowiednią regułę klienta lub serwera.
  2. Sprawdź strefę źródłową, sieć źródłową, strefę docelową i usługi.
  3. Aktywuj Log firewall traffic.
  4. Pod Web filtering wybierz żądaną politykę internetową.
  5. Świadomie aktywuj lub uzasadnionie dezaktywuj Block QUIC protocol.
  6. Sprawdź ustawienia skanowania złośliwego oprogramowania i skanowania HTTPS.
  7. Zapisz.
  8. Przetestuj za pomocą testera polityki, Log Viewer i rzeczywistego ruchu klienta.

QUIC jest częstym czynnikiem zakłócającym filtrowanie internetowe. Gdy przeglądarki komunikują się przez UDP 443, logika i widoczność nie zawsze odpowiadają oczekiwaniom klasycznego HTTPS przez TCP. Dla szczegółów pasuje Blokowanie QUIC i HTTP/3 w Sophos Firewall.

Jeśli treści HTTPS lub pełne ścieżki URL są istotne, sama kategoryzacja internetowa nie zawsze wystarcza. Wtedy należy zaplanować inspekcję TLS. Nie powinno to być robione przypadkowo, ponieważ dotyczy certyfikatów, wyjątków, ochrony danych, wydajności i procesów wsparcia. Wdrożenie opisano w Wprowadzenie inspekcji TLS w Sophos Firewall.

Aktywacja natychmiastowych alertów

Natychmiastowe alerty są aktywowane na poziomie kategorii.

Ścieżka menu to:

Web > Categories

Podstawowy przebieg:

  1. Edytuj kategorię.
  2. Świadomie wybierz kategorię do monitorowania.
  3. Aktywuj Instant alerts.
  4. Zapisz.
  5. Otwórz System services > Notifications list.
  6. Wyszukaj Web - Instant alerts.
  7. Aktywuj pole wyboru pod Email.
  8. Sprawdź wysyłkę maili i odbiorców.
  9. Wygeneruj testowy dostęp i sprawdź powiadomienie.

Firewall wysyła powiadomienia e-mail dla monitorowanych kategorii w partiach co pięć minut. Tego interwału nie można zmienić. Alert nie jest więc sekundowym alarmem w czasie rzeczywistym, ale szybkim powiadomieniem e-mail w porównaniu do czysto późniejszych raportów.

Natychmiastowe alerty powinny być aktywowane tylko dla kategorii, dla których zdefiniowany odbiorca może faktycznie zareagować. Duża lista alertów bez odpowiedzialności zazwyczaj prowadzi do zmęczenia alarmami.

Ochrona danych i wewnętrzna odpowiedzialność

Alerty kategorii internetowych mogą zawierać użytkownika, adres IP źródłowy, czas, kategorię i w zależności od widoczności również informacje o celu. Jest to przydatne dla bezpieczeństwa i operacji, ale w zależności od organizacji może wywołać pytania dotyczące prawa pracy lub ochrony danych.

Przed wdrożeniem produkcyjnym należy więc wyjaśnić:

  • Kto może zobaczyć alerty internetowe?
  • Które trafienia są sprawdzane tylko technicznie, a które są traktowane jako przypadki bezpieczeństwa?
  • Jak długo przechowywane są e-maile alertów, raporty lub zdarzenia SIEM?
  • Czy ocena jest uzgadniana z HR, ochroną danych lub wewnętrznymi politykami?
  • Jak zapobiegać nadinterpretacji pojedynczych nieszkodliwych trafień?

Technicznie ustawienie jest szybko aktywowane. Operacyjnie powinno być jednak traktowane jak mały proces monitorowania: odbiorca, cel, ścieżka reakcji i przechowywanie muszą być zgodne.

Ustalanie triage alertów

Natychmiastowe alerty nie powinny być traktowane jednakowo. Pojedyncze trafienie kategorii może być nieszkodliwym błędnym kliknięciem, błędnie sklasyfikowaną usługą, problemem z polityką lub rzeczywistym przypadkiem bezpieczeństwa. Dlatego należy wcześniej zdefiniować, które trafienia są sprawdzane natychmiast, a które trafiają tylko do normalnego przeglądu.

Prosta triage pomaga:

PriorytetTypowa kategoria lub sytuacjaReakcja
WysokiZłośliwe oprogramowanie, phishing, Command-and-Control, kategorie exploitów lub spywarew krótkim czasie sprawdź Log Viewer, użytkownika, status Endpoint i inne logi bezpieczeństwa
ŚredniAnonimizery, proxy, udostępnianie plików, prywatne chmury lub powtarzające się obejścia politykisprawdź wzorce, wyjaśnij kontekst użytkownika i doprecyzuj politykę
Niskipojedyncze szare obszary bez powtórzeńuwzględnij w raportowaniu lub przeglądzie tygodniowym, nie eskaluj natychmiast
Fałszywy alarmbłędnie sklasyfikowana strona biznesowasprawdź celową grupę URL lub dostosowanie kategorii, nie ustawiaj szerokiej reguły dozwolonej

To przyporządkowanie nie powinno istnieć tylko w głowie administratora. Sensowna jest krótka notatka operacyjna: monitorowane kategorie, odbiorcy, czas reakcji, ścieżka eskalacji, dozwolone wyjątki i data przeglądu. Dzięki temu jest jasne, czy alert ma być tylko udokumentowany, technicznie skorygowany czy traktowany jako incydent.

Testowanie i ocena

Po każdej zmianie należy nie tylko zapisać, ale także sprawdzić działanie.

Sensowne kroki testowe:

  1. Otwórz Web > Policies > Policy tester.
  2. Przetestuj użytkownika, URL i politykę.
  3. Na kliencie testowym otwórz odpowiednią stronę internetową.
  4. Otwórz Log viewer.
  5. Sprawdź logi filtrowania internetowego, firewalla, inspekcji SSL/TLS i kontroli aplikacji.
  6. W regule firewalla sprawdź, czy trafienie znajduje się na oczekiwanej regule.
  7. W przypadku natychmiastowych alertów sprawdź skrzynkę odbiorczą e-mail.
  8. W Sophos Central lub SIEM sprawdź, czy zdarzenia tam docierają.

Tester polityki jest pomocny, ale nie zastępuje rzeczywistego przepływu pakietów. Jeśli reguła nie pasuje, trasa SD-WAN decyduje inaczej lub TLS/QUIC zmienia ścieżkę, często widać to dopiero w Log Viewer lub Packet Capture. Dla takich przypadków pasuje Testowanie reguły firewalla za pomocą Log Viewer, Policy Test i Packet Capture.

Dla przyporządkowania plików logów pomaga Rozwiązywanie problemów z Sophos Firewall: Usługi i logi. Tam są między innymi awarrenhttp.log, webproxy.log i nSXLd.log dla pytań dotyczących internetu i kategoryzacji.

Typowe błędy

ObjawCzęsta przyczynaSprawdzenie
Polityka internetowa nie działaPolityka nie jest wybrana w regule firewallaSprawdź regułę firewalla pod Web filtering
Kategoria jest dozwolona, chociaż powinna być zablokowanaSzeroka reguła dozwolona znajduje się powyżej reguły blokującejSprawdź kolejność w polityce internetowej i regułach firewalla
Brak natychmiastowego alertuKategoria nie jest monitorowana lub powiadomienie nie jest aktywne przez e-mailSprawdź Web > Categories i System services > Notifications list
Brak informacji o użytkowniku w loguUżytkownik nie jest rozpoznawany lub reguła nie pasuje na podstawie użytkownikaSprawdź uwierzytelnianie, STAS, Captive Portal lub użytkowników bezklientowych
HTTPS jest nieoczekiwanie dozwolonyBrak odpowiedniej inspekcji TLS lub działania HTTPSSprawdź politykę internetową, reguły inspekcji SSL/TLS i deszyfrowanie
Filtrowanie internetowe działa niekompletnieQUIC lub błędna ścieżka ruchuSprawdź Block QUIC protocol, usługi i Log Viewer
Zbyt wiele alertówKategorie wybrane zbyt szerokoZmniejsz listę alertów i ustal właściciela
Brak domeny w logu/raporcieSzczególnie krytyczna kategoria jest anonimizowanaSprawdź kategorię i zachowanie Sophos

Sophos blokuje strony internetowe kategorii highly objectionable criminal activity zasadniczo i ukrywa nazwę domeny w logach i raportach. Jeśli wpis w tym obszarze jest anonimizowany, może to być zamierzone.

Ustalanie reakcji na natychmiastowe alerty

Natychmiastowy alert jest pomocny tylko wtedy, gdy wiadomo, co ma się wydarzyć. W przeciwnym razie powstaje dodatkowy ruch e-mailowy, ale nie lepsze bezpieczeństwo. Przed aktywacją należy więc zdefiniować prosty proces reakcji.

Dla każdego monitorowanego typu kategorii powinno być przynajmniej ustalone:

PytanieDlaczego ważne?
Kto otrzymuje alert?Zapobiega dystrybucji bez odpowiedzialności.
Jak szybko trzeba zareagować?Oddziela krytyczne trafienia od czystej obróbki późniejszej.
Jakie logi są sprawdzane?Log Viewer, Central Reporting, Syslog lub logi usług dostarczają różnej głębokości.
Kiedy trafienie jest incydentem?Nie każde trafienie kategorii jest automatycznie przypadkiem bezpieczeństwa.
Kto może zatwierdzić wyjątek?Zapobiega szybkim, szerokim regułom dozwolonym bez oceny ryzyka.
Kiedy wybór kategorii jest przeglądany?Redukuje zmęczenie alarmami przez zbyt szerokie zestawy alertów.

Pragmatyczny przebieg wygląda tak:

  1. Zarejestruj alert z użytkownikiem, adresem IP źródłowym, kategorią, URL lub domeną i czasem.
  2. W Log Viewer sprawdź, która reguła firewalla i polityka internetowa zadziałały.
  3. Jeśli dostępne, użyj Central Reporting lub SIEM do czasowego umiejscowienia.
  4. Określ, czy to pojedynczy przypadek, powtarzający się wzorzec czy fałszywy alarm.
  5. W przypadku błędnej kategoryzacji pracuj tylko celowo z grupą URL lub dostosowaniem kategorii.
  6. W przypadku zauważalnego wzorca oceń kontekst użytkownika, status Endpoint i inne logi bezpieczeństwa.
  7. Udokumentuj decyzję: ignoruj, obserwuj, blokuj, wyjątek, incydent.

Dla technicznej analizy szczegółowej pomagają Rozwiązywanie problemów z Sophos Firewall: Usługi i logi, Aktywacja Central Firewall Reporting i Wysyłanie Syslog Sophos Firewall do SIEM. Jeśli nie jest jasne, czy trafiona została właściwa reguła firewalla, pasuje Testowanie reguły firewalla za pomocą Log Viewer, Policy Test i Packet Capture.

Rekomendacje operacyjne

Dla środowisk produkcyjnych sensowny jest trzystopniowy model:

  1. Blokowanie: Blokuj złośliwe oprogramowanie, phishing, oszustwa, Command-and-Control, anonimizerów i inne wyraźnie ryzykowne kategorie.
  2. Monitorowanie: Opatrz kilka wrażliwych kategorii natychmiastowymi alertami.
  3. Ocena: Regularnie sprawdzaj raporty internetowe, Central Reporting lub SIEM.

Najważniejsza granica jest organizacyjna: Alert potrzebuje odbiorcy, czasu reakcji i decyzji, co zrobić z trafieniami. W przeciwnym razie z natychmiastowych alertów powstaje tylko dodatkowy hałas e-mailowy.

Lista kontrolna

  • Sprawdzono licencję ochrony internetowej.
  • Zidentyfikowano odpowiednią regułę firewalla.
  • Utworzono lub dostosowano politykę internetową.
  • Wybrano politykę internetową w regule firewalla.
  • Aktywowano Log firewall traffic w regule.
  • Świadomie zdecydowano o Block QUIC protocol.
  • Świadomie zaplanowano inspekcję TLS lub świadomie jej nie zastosowano.
  • Zdefiniowano krytyczne kategorie.
  • Aktywowano natychmiastowe alerty tylko dla kilku jasnych kategorii.
  • Aktywowano System services > Notifications list > Web - Instant alerts przez e-mail.
  • Przeprowadzono test za pomocą testera polityki.
  • Przeprowadzono test z rzeczywistym ruchem klienta.
  • Sprawdzono Log Viewer.
  • Sprawdzono Central Reporting lub Syslog, jeśli oczekiwana jest centralna ocena.
  • Udokumentowano właściciela i ścieżkę reakcji dla alertów.

Często zadawane pytania

Jaka jest różnica między kategorią internetową a grupą URL?

Kategoria internetowa przypisuje domeny, URL lub słowa kluczowe do kategorii i może być używana w politykach internetowych, raportach i natychmiastowych alertach. Grupa URL to wyraźna lista domen, która szczególnie nadaje się do konkretnych list dozwolonych lub blokowanych.

Dlaczego polityka internetowa nie działa?

Często polityka internetowa nie jest wybrana w odpowiedniej regule firewalla, reguła nie pasuje lub ogólniejsza reguła znajduje się powyżej. Dodatkowo przypisanie użytkowników, usługi, QUIC lub inspekcja TLS mogą zmienić oczekiwane działanie.

Czy natychmiastowe alerty to prawdziwe alarmy w czasie rzeczywistym?

Nie sekundowo. Powiadomienia e-mail dla monitorowanych kategorii są wysyłane w partiach co pięć minut. Dla wielu przypadków operacyjnych jest to wystarczająco szybkie, ale nie zastępuje SIEM ani monitoringu SOC.

Czy powinno się opatrzyć wszystkie ryzykowne kategorie natychmiastowymi alertami?

Nie. Zbyt wiele alertów generuje szum. Lepiej jest mieć mały wybór z jasną odpowiedzialnością, na przykład szczególnie wrażliwe kategorie lub kategorie o wysokiej wartości badawczej.

Czy potrzebna jest inspekcja TLS dla kategorii internetowych?

Nie zawsze. Wiele kategorii działa na podstawie oceny URL lub domeny. Dla pełnych ścieżek URL, treści, pobrań i niektórych funkcji ochronnych inspekcja TLS może być jednak kluczowa. Jej zastosowanie powinno być zaplanowane i przetestowane.