Saltar para o conteudo
Avanet

Sophos Firewall Hardening: melhores práticas para uma configuração segura

O hardening do Sophos Firewall significa reduzir conscientemente a superfície de ataque desnecessária em torno da própria firewall e dos serviços publicados através dela. Não é uma única definição mágica, mas um processo operacional repetível: limitar o acesso administrativo, impor MFA, manter o firmware atualizado, rever regras, ativar funções de proteção e analisar logs.

Este artigo é o ponto de entrada central. Não substitui os guias detalhados, mas organiza as melhores práticas mais importantes e liga aos artigos adequados da Avanet KB.

O que verificar primeiro

No hardening, a ordem importa. Uma política IPS perfeitamente ajustada ajuda pouco se o WebAdmin estiver acessível globalmente via WAN ou se um portal VPN antigo estiver exposto sem MFA.

Verificações imediatas mais importantes:

  • O WebAdmin está acessível a partir da zona WAN?
  • SSH só é permitido a partir de redes de gestão confiáveis?
  • MFA está ativo para administradores, VPN Portal e Remote Access?
  • Firmware, hotfixes e pattern updates estão atualizados?
  • Existem acessos DNAT, WAF ou VPN que já não são necessários?
  • Serviços publicados têm IPS, WAF, Threat Feeds, logging e responsabilidade clara?
  • Logs relevantes para segurança são armazenados centralmente ou pelo menos revistos regularmente?
  • Existe um backup atual e testado, incluindo o Secure Storage Master Key?

Proteger o acesso administrativo

A área de hardening mais importante é o acesso à própria firewall. WebAdmin, SSH, User Portal, VPN Portal, Captive Portal e serviços locais não são regras de firewall normais, mas serviços locais da firewall. Devem ser limitados conscientemente por Device Access e Local Service ACL.

Device Access e Local Service ACL

Em Administration > Device access, define-se por zona quais serviços locais estão acessíveis. Para a zona WAN, só deve estar ativo o que é realmente necessário. Acesso admin e SSH normalmente não devem ser expostos amplamente à Internet.

Se a administração remota for necessária, estas variantes são mais limpas:

  • Gestão através do Sophos Central.
  • Acesso através de uma rede de gestão dedicada.
  • Acesso através de VPN ou ZTNA.
  • Local Service ACL Exception Rules restritas a endereços IP de origem administrativos fixos.

A implementação concreta está descrita em Proteger acesso ao Sophos Firewall: configurar Device Access corretamente. Se SSH for necessário, Ligar ao Sophos Firewall via SSH também ajuda.

MFA, funções e segurança de login

MFA deve ser obrigatório para administradores e utilizadores Remote Access. Contas admin locais, VPN Portal, User Portal e Remote Access VPN são particularmente críticos. MFA é apenas uma parte do hardening de login. Contas admin nominais, funções claras, políticas de password fortes, tentativas de login limitadas e session timeouts curtos são igualmente importantes.

A configuração prática está em Ativar MFA para Sophos Firewall WebAdmin, VPN Portal e Remote Access. Para cenários WAF com login de utilizador, Proteger Sophos Firewall WAF com MFA é adequado.

Firmware, hotfixes e recovery

Uma firewall é um sistema de borda. Atualizações atrasadas não são um detalhe menor, mas uma janela real de ataque. Ao mesmo tempo, atualizações não devem ser feitas às cegas, porque sites remotos, clusters HA, VPNs e regras NAT produtivas podem ser afetados.

Tornar atualizações planeáveis

Atualizações de firmware devem ser preparadas com backup, janela de manutenção, revisão de release notes, planeamento HA e critérios de rollback. Nas versões atuais do SFOS 22, a página WebAdmin Backup & Firmware > Firmware já não mostra uma secção Hotfix separada. A função hotfix continua a existir: a Sophos instala hotfixes automaticamente por padrão e recomenda não alterar esta configuração. Se for necessário verificar o estado, usar system hotfix show na Device Console. Hotfixes não substituem um processo regular de update. O processo está descrito em Sophos Firewall firmware update: preparação e melhores práticas.

Visão geral do firmware Sophos Firewall SFOS 22
A visão geral do firmware no SFOS 22 mostra o firmware ativo, a imagem anterior e a verificação de novo firmware. Uma secção Hotfix separada já não é visível nesta vista.

Para saltos maiores de versão, verificar também caminho de upgrade, licença, plataforma e limitações conhecidas. Verificar Sophos Firewall antes do upgrade SFOS 22 é adequado.

Verificar backup e restore

Hardening não termina na prevenção. Uma firewall endurecida também tem de ser recuperável. Isto inclui um backup atual, a password do backup, o Secure Storage Master Key, um caminho de acesso documentado após restore e um teste de aceitação.

Os detalhes estão em Criar ou restaurar backup do Sophos Firewall. Um pacote de recovery completo é obrigatório especialmente antes de firmware updates, migrações, reimage e substituição de hardware.

Reduzir a superfície de ataque nas regras

Muitos riscos não vêm de ataques exóticos, mas de regras demasiado amplas, exceções antigas e serviços publicados que já não têm um responsável claro.

NAT, WAF e serviços publicados

Cada serviço publicado por DNAT ou WAF é uma entrada aberta deliberadamente. Pode ser necessário, mas tem de ser planeado de forma restrita: source, destination, service, ordem NAT, regra firewall, política IPS/WAF, logging, teste e owner pertencem juntos.

Para servidores publicados, ajudam Publicar servidor com DNAT no Sophos Firewall e Compreender NAT no Sophos Firewall. Quando se publicam servidores web, Sophos Firewall WAF: publicar servidores web em segurança é a melhor base.

Regras firewall e segmentação

Regras com Any em source, destination ou service não estão automaticamente erradas, mas precisam sempre de explicação. Para hardening, estas perguntas são importantes:

  • A regra ainda é necessária?
  • Logging está ativo?
  • Existe source ou destination mais clara?
  • A regra está corretamente posicionada antes de regras mais amplas?
  • Redes admin, servidor, cliente, IoT, guest e backup estão bem separadas?

As bases estão em Compreender e configurar regras Sophos Firewall em segurança. Para testar uma regra concreta, Testar regras Sophos Firewall corretamente é adequado.

Ativar funções de proteção conscientemente

Funções de proteção só ajudam quando combinam com a regra, o tráfego e o processo operacional. Ativadas às cegas, geram falsos positivos, problemas de performance ou casos de suporte. Desativadas, deixam superfície de ataque desnecessária aberta.

IPS, Spoof Protection e DoS

IPS deve ser usado em tráfego de entrada não confiável e em transições internas relevantes. São importantes políticas IPS adequadas, logging, processo de falsos positivos e visão de performance. A implementação está em Configurar e testar Sophos Firewall IPS em segurança.

Spoof Protection e DoS Settings reduzem fontes não plausíveis e padrões simples de flooding. Devem ser testados com cuidado, especialmente com VoIP, VPN, carga elevada de pacotes ou designs especiais de routing. O artigo adequado é Verificar Sophos Firewall Spoof Protection e DoS Settings.

Threat Feeds para WAF e DNAT

Threat Feeds são uma adição muito útil quando serviços estão acessíveis via WAF, DNAT, VPN Portal ou outros acessos públicos. Podem bloquear IPs, domínios ou URLs maliciosos conhecidos mais cedo, antes de chegarem à aplicação ou regra real.

São especialmente úteis para:

  • servidores web públicos atrás de WAF ou DNAT,
  • acessos RDP, SSH ou admin ainda não substituídos por ZTNA,
  • acessos VPN e portais com muito ruído da Internet,
  • ambientes onde bloqueio por país é demasiado grosseiro,
  • clientes que querem usar feeds de terceiros curados além do Sophos X-Ops.

A operação é decisiva: qualidade do feed, ação Monitor ou Block, allowlist, falsos positivos, logging e responsabilidade devem estar claros. A configuração está descrita em Configurar e operar Sophos Firewall Threat Feeds em segurança. Para feeds curados, Cybora pode ser um componente útil, especialmente quando serviços publicados devem ser protegidos de forma consistente contra fontes maliciosas conhecidas.

Web, DNS, TLS e Zero-Day Protection

Web Protection, DNS Protection, TLS Inspection e Zero-Day Protection aumentam visibilidade e bloqueio, mas exigem planeamento limpo. TLS Inspection não deve começar como projeto tudo-ou-nada. DNS Protection deve corresponder aos caminhos DNS usados. Zero-Day Protection só ajuda quando tipos de ficheiro e políticas relevantes estão bem integrados.

Artigos detalhados adequados são Criar Sophos Firewall Web Protection com Web Policies, Configurar Sophos DNS Protection com Sophos Firewall, Introduzir Sophos Firewall TLS Inspection corretamente e Compreender e operar Sophos Firewall Zero-Day Protection.

Deteção, logging e review

Hardening não é uma tarefa única. Regras, utilizadores, portais, exceções NAT e versões de firmware mudam. Por isso são necessárias revisões regulares e logs disponíveis antes de um incidente.

Health Check como ponto de partida

O Sophos Firewall Health Check é um bom ponto de partida porque torna visíveis configurações arriscadas. Findings não devem ser aplicados às cegas, mas avaliados por risco, impacto operacional e arquitetura local.

Bons momentos para um Health Check:

  • após o setup inicial,
  • após migrações,
  • antes e depois de firmware upgrades,
  • após grandes alterações de regras,
  • antes de auditorias,
  • trimestralmente em operação.

Logging, alertas e SIEM

Regras firewall sem logging são muitas vezes inúteis para troubleshooting e incident response. Para retenção mais longa, o Log Viewer local normalmente não basta. Dependendo do ambiente, Sophos Central Reporting, Syslog, SIEM, MDR, XDR ou NDR são úteis.

A configuração técnica de Syslog está descrita em Enviar Sophos Firewall Syslog em segurança para SIEM. Para relatórios centrais, Ativar e operar Sophos Firewall Central Reporting é adequado. Se NDR e Active Threat Response forem relevantes, Operar Sophos Firewall NDR e Active Threat Response ajuda.

Checklist compacta de hardening

Para uma primeira revisão, usar esta ordem:

  1. Verificar acesso WAN a WebAdmin, SSH, User Portal e VPN Portal.
  2. Ativar MFA para admins e Remote Access.
  3. Limpar contas admin locais, funções e políticas de password.
  4. Verificar firmware, hotfixes, pattern updates e estado de suporte.
  5. Documentar backup, SSMK, caminho de restore e teste de recovery.
  6. Rever publicações DNAT, WAF e VPN quanto à necessidade.
  7. Limpar regras com Any, sem logging ou sem owner claro.
  8. Ativar IPS, Spoof Protection, DoS Settings e Threat Feeds de forma direcionada.
  9. Introduzir Web, DNS, TLS e Zero-Day Policies por fases.
  10. Estabelecer Health Check, Syslog, alertas e revisões regulares como processo operacional.

Erros frequentes

Acesso WAN fica aberto por conveniência

Acesso WebAdmin ou SSH é aberto para um caso de suporte e depois esquecido. Estas exceções temporárias devem ser documentadas com data de expiração, owner e verificação posterior.

Threat Feeds são ativados sem conceito operacional

Threat Feeds são fortes, mas não livres de manutenção. Sem monitorização, allowlist e processo de falsos positivos, um parceiro, fornecedor ou serviço cloud legítimo pode ser bloqueado. Primeiro testar com Monitor ou escopo limitado, depois mudar limpo para Block.

Falta logging em regras críticas

Se uma regra DNAT pública, WAF ou VPN não regista logs, durante um incidente vê-se pouco. Pelo menos entradas relevantes para segurança, acessos admin, regras deny e transições críticas de segmentos devem ser rastreáveis.

Health Check é tratado como tarefa única

Uma boa pontuação após setup não é estado permanente. Novas regras, novos utilizadores VPN, exceções temporárias e alterações de firmware podem mudar a situação. Hardening precisa de ritmo de review.

FAQ

O que é Sophos Firewall hardening?

Sophos Firewall hardening é a redução direcionada da superfície de ataque. Inclui acesso administrativo restrito, MFA, firmware atual, regras restritas, funções de proteção, logging, backups e revisões regulares.

O que deve ser endurecido primeiro no Sophos Firewall?

Primeiro verificar WebAdmin, SSH, User Portal, VPN Portal e outros serviços locais. Depois vêm MFA, versão de firmware, backups, serviços publicados, funções de proteção e logs centrais.

Threat Feeds são uma best practice para DNAT e WAF?

Sim, especialmente para serviços publicamente acessíveis. Threat Feeds podem bloquear cedo fontes maliciosas conhecidas. Não substituem uma regra WAF ou firewall limpa, patch management nem logging.

Sophos Firewall Health Check basta para hardening?

Não. Health Check é um ótimo ponto de partida, mas não um processo operacional completo. Findings devem ser avaliados, implementados, documentados e revistos regularmente.

Com que frequência rever Sophos Firewall hardening?

Pelo menos após setup, migrações, firmware upgrades e grandes alterações de regras. Em ambientes produtivos, uma revisão trimestral adicional é útil.