Sophos Firewall Black Hole DNAT: bloquear IPs
Assim que os serviços ficam acessíveis a partir da Internet, normalmente surge rapidamente tráfego indesejado: port scans, tentativas de login, botnets conhecidas ou acessos a partir de países onde não se esperam utilizadores. Na Sophos Firewall, estas fontes podem ser bloqueadas em vários níveis.
Este artigo explica duas variantes típicas:
- bloquear países ou redes de origem com uma Firewall Rule
- traduzir fontes indesejadas para lado nenhum com uma Black Hole DNAT Rule
Além disso, recomendamos Sophos Firewall Threat Feeds, para que IPs, domínios ou URLs maliciosos conhecidos possam ser bloqueados automaticamente.
Que método usar em cada caso?
| Método | Adequado para | Utilização típica |
|---|---|---|
Firewall Rule com Drop | Bloquear tráfego com base em Source Country, Source Network ou Source Host | Bloquear países, bloquear redes individuais, manter manualmente listas de Bad IP conhecidas |
| Black Hole DNAT | Encaminhar tráfego indesejado para um IP interno inexistente | Intercetar cedo tráfego para serviços publicados |
| WAF Blocked countries | Servidores web publicados através de WAF | Bloquear países diretamente numa regra WAF |
| Threat Feeds | Listas dinâmicas de fontes maliciosas conhecidas | Bloquear automaticamente botnets, scanners, infraestrutura de malware e endereços IP de atacantes conhecidos |
O método correto depende de onde o tráfego é processado tecnicamente. A Sophos indica que as Firewall Rules nem sempre se aplicam ao tráfego destinado a uma Hosted Address usada no WAF. Nesses casos, uma regra de países no WAF ou uma Black Hole DNAT Rule costuma ser mais adequada.
Bloquear países com uma Firewall Rule
Para Country Blocking geral, pode criar-se uma Firewall Rule com Drop.
Caminho de menu:
Rules and policies > Firewall rules
Campos recomendados:
| Campo | Valor |
|---|---|
| Rule name | nome descritivo, por exemplo BLOCK_COUNTRY_PANAMA |
| Rule position | Top |
| Action | Drop |
| Source zones | Any |
| Source networks and devices | país, grupo de países, lista de IPs ou grupo de hosts |
| During scheduled time | All the time |
| Destination zones | Any |
| Destination networks | Any |
| Services | Any ou um serviço definido |
Para Country Blocking, é importante não definir Source zones e Destination zones de forma demasiado restritiva. Se apenas se indicar WAN como Source zone, a regra pode não se aplicar a todos os caminhos de tráfego relevantes.
Black Hole DNAT para fontes indesejadas
Uma Black Hole DNAT Rule traduz o tráfego para um destino que não existe na rede. O tráfego fica assim sem destino útil e não chega ao serviço real.
Isto é particularmente útil quando um serviço é publicado por DNAT e determinadas fontes devem ser intercetadas antes do verdadeiro port forwarding.
Exemplo:
| Campo | Valor |
|---|---|
| Rule name | BLOCK_BAD_IPS_COUNTRIES |
| Rule position | Top |
| Original source | lista de Bad IPs, país ou grupo de países |
| Original destination | IP WAN público ou objeto de host WAN |
| Original service | Any ou o serviço publicado |
| Translated source (SNAT) | Original |
| Translated destination (DNAT) | host fictício que não existe |
| Translated service (PAT) | Original |
| Inbound interface | Any |
| Outbound interface | Any |
O host fictício deve usar um endereço IP que não exista na própria rede e que não seja encaminhado. É importante que esta regra fique acima das regras DNAT reais. As regras NAT são processadas de cima para baixo. Se a regra DNAT normal corresponder primeiro, a Black Hole DNAT Rule chega tarde demais.
Porque é que a ordem é decisiva
Nas regras NAT, ganha a primeira regra correspondente. Por isso, uma Black Hole DNAT Rule deve estar muito acima, geralmente no topo da tabela de regras NAT.
Ordem de exemplo:
- Black Hole DNAT para lista de Bad IPs e países bloqueados
- regras DNAT específicas para serviços publicados
- regras SNAT especiais
- regra MASQ geral para tráfego de saída
O mesmo princípio aplica-se às Firewall Rules: regras de bloqueio específicas devem ficar acima de regras allow gerais. Caso contrário, o tráfego pode já ter sido permitido antes de a regra Drop ser verificada.
Não deixar Source em Any sem necessidade
Em serviços publicados, a Source deve ser restringida tanto quanto possível.
Fontes úteis podem ser:
- endereços IP públicos individuais
- redes de parceiros ou filiais
- países de onde se espera acesso
- FQDN Hosts ou DNS Host Groups, quando fizer sentido
- Host Groups mantidos com endereços IP de administração permitidos
Any só faz sentido se o serviço tiver mesmo de estar acessível globalmente. Nesse caso, devem ser ativadas medidas adicionais de proteção: logging, IPS, MFA quando possível, autenticação forte, sistemas de destino atualizados e Threat Feeds.
Usar também Threat Feeds
Listas manuais e regras por país são estáticas. A infraestrutura dos atacantes muda constantemente. Por isso, recomendamos também Sophos Firewall Threat Feeds.
Os Threat Feeds ajudam especialmente com:
- endereços IP conhecidos de scanners
- botnets
- infraestrutura de malware
- hosts comprometidos
- listas de Bad IPs mantidas dinamicamente
Assim, não é necessário manter cada IP manualmente. A firewall pode bloquear fontes conhecidas como maliciosas antes de estas chegarem ao serviço publicado.
Erros típicos
| Erro | Impacto |
|---|---|
| Black Hole DNAT está abaixo da regra DNAT normal | A regra DNAT normal corresponde primeiro e a regra de bloqueio não se aplica |
| O destino fictício existe afinal na rede | O tráfego chega inesperadamente a um sistema real |
| Source é mantida de forma diferente na regra NAT e na Firewall Rule | As regras tornam-se difíceis de compreender e divergem |
| Country Blocking é usado como única proteção | Bots de países permitidos podem continuar a atacar |
| Logging está desativado | No Log Viewer não fica claro que regra correspondeu |
Troubleshooting
Se uma regra de bloqueio não se aplicar, deve verificar-se nesta ordem:
- A regra NAT ou Firewall Rule está realmente acima das regras allow?
- O IP de origem corresponde à lista de Bad IPs ou ao país selecionado?
- O tráfego é processado por uma regra WAF, regra DNAT ou Firewall Rule?
- O logging está ativo na Firewall Rule afetada?
- O Log Viewer mostra o Firewall Rule ID ou NAT Rule ID esperado?
- O tráfego aparece em Diagnostics > Packet capture?
Para a análise, também ajudam Firewall Rule não corresponde: verificar ordem, matching e logs, Usar Packet Capture no WebAdmin e Compreender NAT na Sophos Firewall: SNAT, DNAT, MASQ, PAT.