Configurar e testar Sophos Firewall IPS

Intrusion Prevention System (IPS) é uma das funções de protecção mais importantes no Sophos Firewall. O IPS verifica o tráfego à procura de padrões de ataque conhecidos, exploits e padrões de protocolo suspeitos. Usado correctamente, protege adicionalmente clientes, servidores, serviços publicados e ligações VPN, em conjunto com regras de firewall, Web Protection, Application Control e TLS Inspection.

Na prática, porém, o IPS não é um interruptor que se active em todo o lado no nível máximo. Uma IPS Policy errada ou demasiado ampla pode quebrar tráfego legítimo, perturbar VoIP, consumir desempenho ou gerar falsos alertas. Por isso, o IPS deve ser activado de forma planeada, escolhido de modo adequado por regra e depois controlado com logs e testes.

Que artigo de Security Inspection se aplica?

O IPS é apenas um componente de Security Inspection. Consoante o problema ou objectivo de rollout, outro artigo pode ser mais adequado:

Tarefa	Artigo adequado
Activar IPS, escolher uma policy e verificar falsos positivos	Este artigo
Controlar categorias web, Web Policies e tráfego web dos utilizadores	Configurar Sophos Firewall Web Protection com Web Policies
Desencriptar e verificar tráfego web cifrado	Introduzir correctamente Sophos Firewall TLS Inspection
Verificar ficheiros e downloads por sandbox ou ML	Compreender e operar Sophos Firewall Zero-Day Protection
Bloquear IPs, domínios ou URLs maliciosos conhecidos	Configurar e operar Sophos Firewall Threat Feeds em segurança
Reduzir padrões simples de spoofing ou flooding	Verificar Sophos Firewall Spoof Protection e DoS Settings
Proteger servidores públicos com NAT e IPS	Publicar servidores por DNAT no Sophos Firewall
Analisar drops inesperados, rule ID ou IPS policy ID	Analisar pacotes descartados no Sophos Firewall

Assim, a lógica de protecção mantém-se compreensível: as regras de firewall limitam o tráfego permitido, o IPS verifica esse tráfego quanto a padrões de ataque, Web Protection controla conteúdos web, TLS Inspection oferece mais visibilidade em HTTPS e Zero-Day Protection complementa a verificação de ficheiros e downloads.

Quando o IPS faz sentido

O IPS é especialmente útil onde o tráfego tem maior risco ou onde exploits conhecidos devem ser bloqueados cedo.

Áreas típicas de utilização:

Redes de clientes com acesso à Internet
Redes de servidores e DMZs
Regras DNAT para servidores internos
Tráfego VPN site-to-site entre locais
Tráfego Remote Access quando se acede a sistemas internos depois da ligação VPN
VoIP, apenas com escolha prudente da policy e testes
segmentos particularmente críticos, como redes de management, backup ou infraestrutura

Para servidores publicados, o IPS deve ser sempre considerado em conjunto com NAT limpo, regras de firewall estritas, logging e patch management. O artigo Publicar servidores por DNAT no Sophos Firewall explica o contexto adequado para NAT e regras de firewall. Para a estrutura base das regras, aplica-se Compreender e configurar correctamente regras Sophos Firewall.

Requisitos

O IPS só funciona se os requisitos necessários forem cumpridos.

Verificar antes do rollout:

Existe uma subscription Network Protection activa ou uma licença trial.
IPS Protection está activado em Intrusion prevention > IPS policies.
Os pattern updates funcionam e a firewall consegue alcançar os serviços de actualização Sophos.
As regras de firewall contêm IPS Policies adequadas em Detect and prevent exploits (IPS).
O logging está activo para as regras e tipos de log afectados.
Existe um processo para falsos positivos, excepções e ajustes de policy.

Se a subscription Network Protection expirar, o interruptor IPS pode continuar a parecer activo, embora o IPS já não seja aplicado. Se o IPS for desactivado manualmente ou após o fim de um trial, assinaturas, actualizações e opções de configuração podem ficar limitadas consoante o estado. Antes de o desligar, deve planear-se um backup ou export da configuração IPS.

Atenção: O IPS depende da licença e das actualizações. Uma regra de firewall com IPS Policy seleccionada não significa automaticamente que o IPS protege realmente. Estado da licença, activação global do IPS, assinaturas e logs têm de ser verificados.

Activar IPS globalmente

A activação global é feita na interface web do Sophos Firewall:

Abrir Intrusion prevention > IPS policies.
Activar IPS Protection.
Verificar avisos de licença.
Aguardar até que as assinaturas estejam disponíveis.
Verificar as policies padrão existentes.
Se necessário, clonar uma policy própria a partir de uma policy existente.

Alterações a determinadas funções de aceleração podem reiniciar o IPS. Por isso, essas alterações não devem ser feitas durante uma análise produtiva de problemas nem numa janela de manutenção apertada sem plano.

Escolher a IPS Policy correcta

As IPS Policies devem corresponder ao tráfego. A policy mais rígida não é automaticamente a melhor.

Tráfego	Orientação IPS típica	Verificação importante
Clientes para Internet	Policy de cliente ou LAN-to-WAN	Considerar também Web, Application Control e TLS Inspection
Internet para servidor interno por DNAT	Policy de servidor ou webserver	Observar cuidadosamente sistema de destino, portas e falsos positivos
VPN de local	Policy dependente dos sistemas de origem e destino	Testar desempenho, MTU/MSS e aplicações
VoIP	muito prudente e específica	SIP/RTP não pode falhar por assinaturas demasiado agressivas
Redes de management	direccionada e restritiva	Testar acessos admin, monitoring e tráfego de backup

Uma IPS Policy própria faz sentido se uma policy padrão for demasiado ampla ou se forem necessárias apenas determinadas assinaturas com acção ajustada. No entanto, não se deve desactivar assinaturas sem plano. Primeiro tem de ficar claro que tráfego é afectado, que assinatura disparou e se é realmente um falso positivo.

Construir IPS Policies próprias de forma limpa

As IPS Policies próprias devem ser clonadas a partir de uma policy existente e depois ajustadas de forma direccionada. As regras de IPS Policy contêm assinaturas e uma acção. A firewall avalia estas regras de cima para baixo. Assim, uma regra demasiado ampla acima de uma regra específica pode encobrir o comportamento pretendido.

Nas assinaturas, estes campos são especialmente importantes:

Campo	Significado operacional
SID	ID de assinatura único para logs, tickets e excepções
Category	área técnica, por exemplo browser, sistema operativo, DNS, RPC ou malware
Severity	gravidade da ameaça
Platform	plataforma alvo, por exemplo Windows, Linux ou componentes relacionados com browser
Target	assinatura relacionada com cliente ou servidor
Recommended action	acção padrão recomendada pela Sophos

A acção numa regra de policy pode sobrepor-se à acção recomendada da assinatura. Isso é útil, mas arriscado. Um Allow packet, Disable ou Bypass session genérico pode remover protecção sem que isso seja imediatamente visível no dia a dia.

Tratamento prático das acções:

Acção	Quando pode fazer sentido	Risco
Recommended	Padrão para a maioria das regras produtivas	O comportamento depende da assinatura
Allow packet	Observação sem bloqueio, por exemplo no piloto	O ataque não é impedido
Drop packet	Descartar pacotes individuais	Pode perturbar aplicações
Drop session	Terminar a sessão quando se pretende impedir um ataque	Intervenção mais forte no tráfego produtivo
Reset	Repor activamente a sessão TCP	Utilizador ou aplicação vê interrupções fortes
Disable	Desactivar assinatura	A protecção deixa de existir para esta assinatura
Bypass session	Não analisar mais o resto da sessão	Pode retirar mais tráfego da inspecção do que esperado

Para policies produtivas, uma breve nota de alteração é útil: que assinatura foi alterada, porquê, em que policy, para que regra de firewall e até quando a alteração será revista.

Usar IPS em regras de firewall

O IPS não é apenas activado globalmente. A policy também tem de ser usada na regra de firewall adequada.

Abrir Rules and policies > Firewall rules.
Editar ou criar a regra relevante.
Em Other security features, activar Detect and prevent exploits (IPS).
Seleccionar a IPS Policy adequada.
Activar o logging da regra.
Guardar a alteração.
Testar o tráfego de forma controlada.

Com várias regras sobrepostas, a ordem é decisiva. Se o tráfego corresponder a uma regra sem IPS, a IPS Policy numa regra posterior não ajuda. Para estes casos, Regra Sophos Firewall não corresponde: verificar causas é o melhor artigo de seguimento.

Rollout em ambientes produtivos

O IPS deve ser introduzido passo a passo.

1. Começar com regras piloto

Primeiro escolher uma regra pequena e bem conhecida, por exemplo uma rede cliente de teste ou uma única regra DNAT. Depois verificar logs e testar com aplicações reais.

2. Avaliar ocorrências

No Log viewer, filtrar eventos IPS. São importantes origem, destino, serviço, regra, assinatura, acção e hora. Se vários módulos de protecção estiverem envolvidos, Web, Application Control, SSL/TLS Inspection e logs de firewall devem ser analisados em conjunto.

3. Delimitar falsos positivos

Se tráfego legítimo for bloqueado, não se deve desactivar imediatamente o IPS globalmente. É melhor uma análise estreita:

Que assinatura disparou?
Que aplicação ou serviço foi afectado?
Afecta um host, uma rede ou apenas uma porta?
O sistema de destino está actualizado com patches?
É possível uma regra de firewall mais restrita?
Uma IPS Policy ajustada basta em vez de uma excepção global?

4. Expandir gradualmente

Só quando a regra piloto estiver estável se deve fazer rollout do IPS para outras regras. Especialmente com VoIP, sistemas ERP, protocolos industriais, ligações VPN e aplicações antigas, são necessárias janelas de teste e plano de reversão.

Controlar excepções e alterações de assinaturas

Excepções IPS são decisões de segurança. Se uma assinatura perturbar tráfego legítimo, um ajuste pode ser necessário. Mesmo assim, não se deve enfraquecer reflexivamente toda a IPS Policy nem desactivar IPS na regra. Primeiro tem de ficar claro se é realmente um falso positivo ou se a assinatura torna visível um risco real.

Antes de uma excepção, recolher pelo menos:

Informação	Porque é importante
ID e nome da assinatura	mostra que detecção disparou
Origem, destino, serviço e regra de firewall	delimita o tráfego afectado
Hora e frequência	separa evento isolado de padrão recorrente
Aplicação ou protocolo	ajuda a avaliar se o tráfego é legítimo
Nível de patch do sistema de destino	reduz o risco de permitir um exploit real
Packet Capture ou excerto de log	fornece evidência antes da alteração da policy

Se uma excepção for necessária, deve ser definida tão estreitamente quanto possível:

desactivar uma assinatura individual em vez de uma categoria completa
usar uma IPS Policy própria exactamente para a regra de firewall afectada
verificar a ordem das regras de policy para que regras específicas não sejam encobertas por regras amplas
restringir origem, destino e serviço na regra de firewall
documentar a excepção com motivo, owner e data de review
após a alteração, verificar se apenas o tráfego esperado é afectado

Uma excepção temporária é muitas vezes melhor do que uma desactivação permanente. Depois de uma actualização de aplicação, firmwareupdate ou patch do sistema de destino, a excepção deve ser revista novamente. Se muitas assinaturas perturbarem a mesma aplicação, normalmente uma policy própria ou uma segmentação limpa é melhor do que uma grande excepção global.

Logging e troubleshooting

Para análise IPS são necessárias várias perspectivas.

Ferramenta	Para que ajuda
`Log viewer`	ocorrências IPS, assinatura, acção, origem, destino, regra
`ips.log`	indicações mais profundas sobre decisões IPS, DPI e Application Control
Packet Capture	fluxo de pacotes, rule ID, NAT ID, IPS policy ID e direcção
Teste de regra	verificação de que regra de firewall corresponde realmente
Syslog ou Central Reporting	retenção mais longa e correlação

O artigo Troubleshooting Sophos Firewall: serviços e logs enquadra ips.log e ficheiros de log relacionados. Para a combinação de Log Viewer e Packet Capture, aplica-se Testar regra Sophos Firewall com Log Viewer e Packet Capture. Se pacotes forem descartados inesperadamente, Analisar pacotes descartados no Sophos Firewall ajuda.

Considerar o desempenho

O IPS consome recursos. A intensidade do aumento de carga depende do modelo, tráfego, assinaturas activas, TLS Inspection, Application Control, VPN, tamanho de pacote e throughput.

Antes e depois da activação, verificar:

Carga de CPU e memória
Carga relacionada com IPS e DPI
Throughput nas interfaces afectadas
Latência e retransmits em aplicações críticas
Volume de logs e carga syslog
Mensagens de utilizadores ou aplicações após a alteração

Se se suspeitar de um problema de throughput, não se deve simplesmente desactivar o IPS e encerrar o caso. É melhor uma comparação com método de teste claro, por exemplo através de Interpretar correctamente dados de desempenho do Sophos Firewall e Testar desempenho Sophos Firewall com iPerf.

Erros típicos

IPS Protection está desactivado globalmente.
Network Protection expirou ou não está activo.
Na regra de firewall não está seleccionada nenhuma IPS Policy.
O tráfego corresponde a uma regra diferente da esperada.
O logging está desactivado na regra afectada.
Uma policy de servidor é aplicada a tráfego de cliente ou vice-versa.
VoIP ou protocolos especiais são inspeccionados com policy agressiva sem fase piloto.
Falsos positivos são resolvidos com desactivação global em vez de ajuste estreito.
Assinaturas são desactivadas sem evidência, owner ou data de review.
Após o fim do trial, não se verifica se assinaturas ou policies ainda estão disponíveis.
Problemas de desempenho não são comparados com valores medidos antes e depois da alteração.

Checklist operacional

Network Protection ou licença trial verificada.
IPS Protection activado em Intrusion prevention > IPS policies.
Assinaturas e pattern updates verificados.
IPS Policy adequada escolhida por regra de firewall.
Logging da regra activado.
Regra piloto testada com tráfego real.
Log viewer e ips.log verificados.
Processo de falsos positivos definido.
Excepções IPS documentadas de forma estreita e revistas mais tarde.
IPS Policies próprias não contêm regras Allow, Disable ou Bypass session sem justificação.
Desempenho comparado antes e depois da activação.
Excepções críticas documentadas e com data de review.

FAQ

O IPS tem de ser activado globalmente e na regra de firewall?

Sim. IPS Protection tem de estar activo globalmente em Intrusion prevention > IPS policies. Além disso, a regra de firewall afectada precisa de uma IPS Policy seleccionada em Detect and prevent exploits (IPS).

Que licença requer o Sophos Firewall IPS?

IPS Protection requer uma subscription Network Protection activa ou uma licença trial. Se a subscription expirar, o IPS pode parecer activo, mas deixar de proteger.

Deve usar-se sempre a IPS Policy mais rígida?

Não. A policy tem de corresponder ao tráfego. Uma policy demasiado rígida pode bloquear aplicações legítimas, perturbar VoIP ou criar carga desnecessária.

Onde se vêem ocorrências IPS?

Os eventos IPS podem ser verificados no Log viewer. Para análise mais profunda, ips.log também é relevante. Packet Capture ajuda a classificar o fluxo de pacotes, a regra e a IPS policy ID.

Como lidar com falsos positivos IPS?

Primeiro verificar assinatura, origem, destino, serviço, aplicação afectada e nível de patch. Depois ajustar tão estreitamente quanto possível: IPS Policy própria, assinatura individual ou regra de firewall mais restrita em vez de desactivação global. Cada excepção precisa de motivo, owner e data de review.

Que acção IPS deve ser usada em policies próprias?

Para a maioria das regras produtivas, Recommended é o ponto de partida mais limpo. Acções diferentes como Allow packet, Disable ou Bypass session só devem ser usadas de forma consciente, documentada e estritamente limitada, porque se sobrepõem à acção recomendada da assinatura.

O IPS substitui patch management?

Não. O IPS pode bloquear padrões de ataque conhecidos, mas não substitui actualizações em servidores, clientes, aplicações ou firewalls. IPS é protecção adicional, não uma autorização para sistemas sem patches.