Saltar para o conteudo
Avanet

Configurar Sophos Firewall após o Setup Wizard

Sophos Firewall

A Sophos Firewall é o coração de uma das melhores plataformas de segurança de rede do mundo. Este artigo descreve os passos para colocar uma nova Sophos Firewall em funcionamento e configurá-la corretamente. São abordados os requisitos de configuração, o registo da firewall, a integração com Sophos Central e a ativação das licenças.

Naturalmente, com um vídeo é mais simples, e a Sophos já criou um bastante útil.

Sophos Firewall: configuração básica e registo

Requisitos para a configuração

Antes de iniciar a configuração da Sophos Firewall, alguns requisitos devem estar cumpridos:

  1. Ligação ativa à Internet: a firewall precisa de uma ligação funcional à Internet para o registo e sincronização das licenças.
  2. Configuração DNS: deve estar configurado um servidor DNS público, por exemplo 8.8.8.8 (Google DNS).
  3. Porta 443 permitida: o tráfego de saída pela porta 443 deve ser permitido em todos os equipamentos upstream.

É opcional criar previamente uma conta Sophos Central. Este artigo também mostra como realizar este passo durante a configuração.

Ligações e configuração de rede

Depois de desembalar a Sophos Firewall, por exemplo o modelo XGS 118, deve ter-se em conta o seguinte:

  1. Ligação WAN: ligar a interface WAN à porta 2 para estabelecer a ligação à Internet.
  2. Ligação LAN: ligar a interface LAN na porta 1 a um dispositivo local. O dispositivo recebe automaticamente um endereço IP na sub-rede 172.16.16.x.
  3. Interface de gestão (se disponível): em modelos superiores existe frequentemente uma porta de gestão dedicada (MGMT) com o IP predefinido 10.0.1.1. Recomenda-se usar esta porta para a configuração básica.

Acesso à interface web

Para configurar a Sophos Firewall, acede-se ao Web UI através de um browser. Dependendo da interface usada, utiliza-se um dos seguintes URLs:

  • Porta LAN: https://172.16.16.16:4444
  • Porta Management: https://10.0.1.1:4444

No primeiro acesso surge um aviso sobre o certificado self-signed, que deve ser aceite. Em seguida, abre-se a página de boas-vindas.

Configuração inicial com o Setup Wizard

  1. Definir a palavra-passe de admin: deve ser atribuída e confirmada uma nova palavra-passe para o utilizador admin.
  2. Atualização de firmware: se necessário, o firmware mais recente é instalado automaticamente durante a configuração.
  3. Secure Storage Master Key: cria-se um Master Key para o armazenamento seguro, usado para cifrar dados sensíveis. Esta chave deve ser guardada em segurança num gestor de palavras-passe. É necessária, entre outras coisas, quando um backup cifrado tem de ser restaurado numa nova firewall. Se o Master Key for perdido, pode ser reposto com a palavra-passe de admin e acesso SSH. No entanto, dados ou backups protegidos com a chave antiga não podem ser automaticamente restaurados sem passos adicionais.

Verificação da ligação à Internet e DNS

No passo seguinte, verifica-se se a firewall tem uma ligação funcional à Internet. Se ocorrerem problemas, as definições podem ser ajustadas manualmente. Recomenda-se usar um servidor DNS público como 8.8.8.8.

Registo da Sophos Firewall

A Sophos Firewall pode ser registada imediatamente ou mais tarde. Sem registo, a firewall pode ser usada durante até 30 dias. O registo é feito através da plataforma Sophos Central.

Passos de registo

  1. Claim da firewall no Sophos Central: após o registo, a firewall é reivindicada no Sophos Central. Se ainda não existir uma conta Sophos Central, esta pode ser criada diretamente durante a configuração.
  2. Registo OTP: para o registo é usada uma One-Time Password (OTP) disponibilizada pelo Sophos Central.

Ativação das licenças

Após o registo, a Sophos Firewall verifica as licenças no servidor de licenças da Sophos. Desde outubro de 2024, a Sophos normalmente ativa as licenças diretamente no momento da compra. Se a firewall tiver acesso à Internet, obtém automaticamente as informações de licença atuais.

Na Avanet, o processo é semelhante: quando é comprada uma subscrição Sophos Firewall, normalmente ativamos as licenças. Se, no momento da encomenda, for solicitada uma data de início específica, isso pode ser considerado. Assim, o servidor de licenças da Sophos já tem a informação e a firewall pode assumir automaticamente a licença após o registo.

Depois da configuração, verificar em Administration > Licensing se Base License, Support e as subscriptions contratadas são apresentadas corretamente. Se a informação não estiver atualizada, a sincronização de licenças pode ser iniciada manualmente com o botão de sincronização.

Ligação ao Sophos Central

Para operar uma única Sophos Firewall, o Sophos Central não é obrigatório. A firewall pode ser gerida totalmente de forma local através do WebAdmin. No entanto, o Sophos Central traz várias vantagens quando estas funções são usadas conscientemente:

  • visão central de uma ou várias firewalls
  • acesso de gestão através do Sophos Central sem publicar diretamente o WebAdmin na Internet
  • armazenamento de backups de configuração no Sophos Central
  • Central Firewall Reporting com dados de logs e relatórios na cloud
  • dependendo da licença, maior retenção de logs e funções adicionais de reporting
  • Synchronized Security com Sophos Endpoint, por exemplo Security Heartbeat e reações automatizadas em dispositivos comprometidos

Importante: a ligação à cloud não é obrigatória. Quem quiser gerir apenas uma firewall localmente pode continuar a fazê-lo. Quem opera vários produtos Sophos ou várias firewalls obtém com o Sophos Central uma visão muito mais clara.

Mais informação no artigo Ligar Sophos Firewall ao Sophos Central: vantagens e limites.

Passos para ligar ao Sophos Central

  1. Firewall Management no Sophos Central: no dashboard Sophos Central, em “Firewall Management”, a firewall pode ser adicionada introduzindo o número de série.
  2. Autenticação OTP: é usado um código OTP para concluir o registo.
  3. Ativar serviços: por fim, os serviços Sophos Central são ativados na firewall.

Conclusão da configuração

Depois de concluída a configuração, a firewall reinicia. Após o reinício, as licenças podem ser novamente verificadas e ativadas. Além disso, são configurados backups automáticos da configuração, enviados semanalmente por e-mail.

O que deve ser feito depois do Setup Wizard

Depois do Setup Wizard, a Sophos Firewall está acessível, registada e basicamente pronta a usar. Isso não significa, porém, que o ambiente já esteja bem segmentado ou totalmente protegido. O wizard cria uma configuração base inicial, mas o trabalho produtivo começa depois: interfaces, zonas, Device Access, DNS, DHCP, Firewall Rules, NAT, logs, backups e perfis de proteção devem ser verificados conscientemente.

A Sophos Firewall não é um router doméstico em que se termina depois do wizard. Ela pode proteger muito bem uma rede, mas apenas se a arquitetura estiver correta: as zonas devem corresponder à lógica de segurança, os acessos de gestão devem ser restringidos, as regras devem ser criadas e documentadas de forma consciente, e funções como Webfilter, IPS, Application Control ou TLS Inspection devem ser ativadas e testadas de forma direcionada. Uma firewall mal configurada pode criar uma falsa sensação de segurança.

O primeiro ponto útil a verificar é o Control Center. Aí veem-se o estado do sistema, tráfego, informações de utilizadores e dispositivos, Active Threat Response, Firewall Rules ativas, reports e avisos como novo firmware. Avisos e mensagens nesta área não devem ser simplesmente ignorados, mas usados como checklist prática para o trabalho seguinte.

Verificar firmware, licença e backup

Abrir Backup & firmware e verificar se o firmware ativo está atualizado. As atualizações de firmware são relevantes para a segurança porque instalam correções de erros, melhorias de estabilidade e security fixes. As atualizações não devem ser adiadas indefinidamente, mas também não devem ser instaladas sem preparação.

A Sophos Firewall trabalha com dois slots de firmware. Assim, em caso de problemas, é possível arrancar novamente com uma versão anterior. Ainda assim, antes de qualquer alteração maior deve ser criado um backup manual. Em firewalls produtivas, planeia-se uma janela de manutenção e verificam-se release notes, estado HA, espaço livre, dependências VPN e acessibilidade externa.

Em Backup & firmware deve também ser configurado um backup regular. Backups cifrados requerem uma palavra-passe de backup. Para restaurar dados sensíveis, o Secure Storage Master Key também é relevante. Esta chave deve ficar obrigatoriamente num gestor de palavras-passe. Se for perdida, pode ser reposta pela consola, mas backups protegidos existentes deixam de poder ser restaurados normalmente com a nova chave.

Depois, verificar em Administration > Licensing se registo, Base License e subscriptions contratadas são apresentados corretamente. Sem a licença adequada, muitas funções de proteção não funcionam ou funcionam apenas de forma limitada. Para atualizações, ajudam Sophos Firewall Firmware Update - preparação e boas práticas e Atualizar firmware na Sophos Firewall. Backups são explicados em detalhe em Criar ou restaurar backup da Sophos Firewall.

Planear bem zonas e interfaces

Em appliances de hardware, o wizard pode agrupar várias portas LAN numa bridge. Isto é prático para começar rapidamente, mas nem sempre é a melhor arquitetura final. Em Network > Interfaces, verificar que portas, VLANs, bridges ou LAGs são realmente necessários.

Cada interface é atribuída exatamente a uma zona. Esta atribuição determina depois como se aplicam Firewall Rules, Device Access e perfis de proteção. Zonas produtivas típicas são, por exemplo, LAN, Server, DMZ, Guest, VoIP, Management ou VPN. Nem todas as VLAN precisam necessariamente de uma zona própria, mas cada zona deve ter um significado de segurança claro.

Mais informação em Planear e configurar zonas e interfaces da Sophos Firewall.

Proteger Device Access

Um erro frequente após a configuração inicial é deixar demasiado acesso de gestão. O acesso a serviços locais da firewall, como Web Admin, SSH, User Portal, DNS ou Ping, não é controlado por Firewall Rules normais. Para isso existe Administration > Device access.

Em sistemas produtivos, HTTPS e SSH não devem ser permitidos de forma ampla a partir de zonas não confiáveis. Se for necessário acesso externo, deve usar-se uma Local service ACL exception rule e limitar o acesso a endereços IP fixos ou redes de gestão definidas. Em alternativa, Sophos Central Firewall Management é muitas vezes a solução mais limpa.

Mais informação em Proteger o acesso à Sophos Firewall: configurar corretamente Device Access.

Verificar DNS, DHCP e resolução interna de nomes

Em Network > DNS define-se como a firewall recebe servidores DNS: por DHCP, dados PPPoE do fornecedor ou configuração estática. Para domínios internos devem usar-se DNS request routes, para que pedidos de zonas internas sigam para o servidor DNS interno correto.

DHCP é configurado por interface em Network > DHCP. É importante alinhar corretamente os intervalos DHCP com a estrutura de interfaces e VLANs. Se DHCP tiver de ser encaminhado através de ligações VPN, a firewall também pode funcionar como DHCP Relay. Para domínios internos, Configurar DNS request routes na Sophos Firewall é útil. Opções DHCP especiais são descritas em Configurar Sophos Firewall DHCP Options.

Verificar as primeiras Firewall e NAT Rules

A regra Default-Outbound criada pelo wizard não deve ser aceite cegamente. Em Rules and policies > Firewall rules, verificar que zonas de origem são permitidas, que destinos devem ser alcançáveis e que Security Features estão ativas. As regras são processadas de cima para baixo; a primeira regra correspondente vence.

Para NAT aplica-se: NAT não permite tráfego por si só. É sempre necessária também uma Firewall Rule correspondente. Para novas configurações, regras NAT independentes são geralmente mais claras do que Linked NAT Rules. As bases estão em Compreender e configurar corretamente Sophos Firewall Rules e Compreender NAT na Sophos Firewall: SNAT, DNAT, MASQ, PAT. Se for necessário publicar um servidor interno, ver Publicar servidor com DNAT na Sophos Firewall.

Preparar logging e troubleshooting

Ativar Log firewall traffic em Firewall Rules importantes, caso contrário faltam mais tarde muitas vezes exatamente as informações necessárias para troubleshooting. Isto nem sempre é claro: se uma Firewall Rule não fizer log, o tráfego correspondente também não aparece de forma útil no Log Viewer. Podem surgir outros eventos do sistema, mas não a decisão concreta da regra que se procura.

Em System services > Log settings pode definir-se que tipos de log são enviados localmente, para servidores syslog ou para Sophos Central. A firewall possui ficheiros de log locais e uma base de dados interna de reporting, mas estes não foram pensados como arquivo de longo prazo para semanas, meses ou anos. Se os logs tiverem de ser mantidos permanentemente ou pesquisados centralmente, é necessário um servidor syslog externo ou Sophos Central Firewall Reporting.

Para Sophos Central, em termos gerais: com uma firewall subscription ativa, Central Firewall Reports fica disponível durante um período limitado. Com Xstream Protection ou Central Orchestration são possíveis análises mais longas. Com Sophos Central Firewall Reporting Advanced obtém-se armazenamento adicional e retenção significativamente mais longa. Os detalhes estão descritos no artigo próprio de reporting.

Para as primeiras análises, Log viewer, Policy tester e Packet capture são normalmente suficientes. Para análises mais profundas, podem ser recolhidos CLI logs, ativados debug logs ou usado tcpdump. Debug logs devem ser ativados apenas de forma direcionada e por tempo limitado, porque geram muito mais dados. Testar Firewall Rules com Log Viewer, Policy Test e Packet Capture mostra como testar regras. Para Packet Capture, nomes de serviços e ficheiros de log, ver Usar Packet Capture no WebAdmin e Compreender serviços e ficheiros de log da Sophos Firewall. Se os logs tiverem de ser enviados para Sophos Central ou recolhidos para suporte, ajudam Ativar Central Firewall Reporting e Guardar logs da Sophos Firewall para análise externa.

Suporte

Após a configuração básica, a Sophos Firewall está funcional e pronta a usar. No entanto, deve notar-se que neste estado está longe de estar totalmente segura. O verdadeiro trabalho começa agora: configurar interfaces, zonas, Firewall Rules, Intrusion Prevention Systems (IPS), criar policies e muito mais é essencial para uma solução de segurança de rede robusta.

O nosso plano a longo prazo é criar vídeos detalhados para cada um destes passos, para facilitar a configuração e garantir a melhor segurança possível. Entretanto, a nossa equipa de suporte está disponível para ajudar na configuração, otimização ou migração da Sophos Firewall.