Saltar para o conteudo
Avanet

Testar regras Sophos Firewall com Log Viewer

Sophos Firewall

Uma regra de firewall não deve ser apenas guardada; deve ser testada de forma direcionada. Especialmente com Webfilter, TLS Inspection, NAT, IPS ou User Matching, uma regra pode parecer correta no WebAdmin e mesmo assim não funcionar como esperado.

Para o teste são úteis três ferramentas:

  • Log viewer para eventos reais e decisões de regras
  • Policy tester para lógica de web, firewall e SSL/TLS
  • Packet capture para o fluxo real dos pacotes

Antes do teste

Primeiro, deve definir-se exatamente o que será testado:

PontoExemplo
Source IP172.16.10.25
Utilizadoruser@domain.local
Source zoneLAN
Destinationhttps://www.example.com
ServiceHTTPS
Regra esperadaLAN_to_WAN_Clients
Action esperadapermitido, bloqueado, decrypted, não decrypted

Depois, ativar Log firewall traffic na regra afetada. Sem logging, o Log Viewer só ajuda de forma limitada.

Regra Sophos Firewall com a opção Log firewall traffic ativada
A opção Log firewall traffic deve estar ativada nas regras que se pretende testar ou analisar posteriormente.

Passo 1: Verificar a posição da regra

Abrir Rules and policies > Firewall rules e verificar:

  • A regra está acima de regras mais gerais?
  • Está ativa?
  • A vista IPv4 ou IPv6 correta está selecionada?
  • Está numa Rule group adequada?
  • Existem Exclusions?
  • Existe uma regra criada automaticamente acima dela?

Ao testar uma nova regra, convém repor o Usage Counter da regra. Assim é mais fácil perceber se a regra foi realmente atingida durante o teste.

Passo 2: Abrir o Log Viewer

Abrir o Log viewer no canto superior direito da consola WebAdmin.

Filtros úteis:

  • Module: Firewall
  • Source IP
  • Destination IP
  • Destination port
  • Rule ID
  • Rule name
  • Action
  • User

Para tráfego web, verificar também:

  • Web filter
  • SSL/TLS inspection
  • Application filter
  • IPS

O Log Viewer atualiza-se automaticamente. Para uma análise mais tranquila, pode pausar-se a vista live, aplicar filtros e retomá-la depois.

Passo 3: Reproduzir o teste

O teste deve ser executado a partir de um cliente definido:

  • Abrir um website
  • Enviar um ping
  • Testar uma porta
  • Iniciar uma aplicação
  • Estabelecer uma ligação VPN
  • Transferir um ficheiro

Se possível, executar apenas um teste de cada vez. Caso contrário, os logs misturam-se rapidamente.

Depois verificar:

  • O contador da regra aumenta?
  • Há um log no Log Viewer?
  • Que Rule ID é apresentada?
  • Que NAT Rule ID é apresentada?
  • O tráfego é permitido ou bloqueado?
  • Alguma função de segurança intervém?

Passo 4: Utilizar Policy tester

O Policy tester é útil para verificar que regra de firewall, SSL/TLS inspection rule ou Web Policy se aplicaria teoricamente ao tráfego web.

Caminho no menu:

Diagnostics > Tools > Policy tester

Entradas típicas:

  • URL
  • Utilizador
  • Hora e dia
  • Source IP
  • Source zone
  • Test method

Como Test method, selecionar por exemplo Firewall, SSL/TLS, and web se for necessário verificar a combinação de regra de firewall, SSL/TLS inspection rule e Web Policy.

Sophos Firewall Policy tester com resultado aceite
O Policy tester mostra aqui que a ligação a partir do Source IP indicado seria permitida pela regra de firewall correspondente.

O Policy tester não mostra apenas Accepted ou Blocked, mas também a regra de firewall correspondente, o destino detetado, a Source zone e, dependendo do método de teste, informações adicionais de web ou SSL/TLS. Assim percebe-se rapidamente se o tráfego cai na regra esperada.

Sophos Firewall Policy tester com resultado Web Policy bloqueado
Para tráfego web, o Policy tester mostra também a avaliação Web protection, a categoria e a Web Policy correspondente.

Importante:

⚠️ O Policy tester não substitui um teste real do fluxo de pacotes. A Sophos indica que os resultados do Policy tester não refletem SD-WAN routes. Por isso, o comportamento real pode divergir quando SD-WAN, routing ou gateways estão envolvidos.

O Policy tester é especialmente útil para:

  • Web Policy
  • Categorização de URL
  • Contexto do utilizador
  • Schedule
  • SSL/TLS inspection rule
  • Matching de regras de firewall para tráfego web

É menos adequado para:

  • decisões reais de routing
  • caminho de retorno NAT
  • perda de pacotes
  • problemas de operador ou switch
  • aplicações com várias ligações e portas

Passo 5: Utilizar Packet Capture

Se Log Viewer e Policy tester não forem suficientes, utilizar Diagnostics > Packet capture.

Definir um filtro específico, por exemplo:

  • Source IP do cliente
  • Destination IP do servidor
  • Destination port
  • Protocolo

Depois:

  1. Iniciar Packet Capture.
  2. Reproduzir o teste.
  3. Parar Packet Capture.
  4. Comparar eventos Incoming e Forwarded.
  5. Comparar Rule ID e NAT ID com Log Viewer.

Interpretação:

ObservaçãoO que verificar?
Nenhum pacote chegaCliente, VLAN, switch, gateway, operador, Cloud Security Group
O pacote chega, mas não saiRegra de firewall, NAT, routing, função de segurança
O pacote sai, mas falta respostaRota de retorno, sistema de destino, NAT, firewall externo
O pacote tem estado ViolationPolicy, IPS, filtro web, Application Control
NAT ID inesperadoOrdem NAT e regras NAT genéricas

Mais detalhes: Utilizar Packet Capture no WebAdmin.

Passo 6: Validar funções de segurança individualmente

Se a regra correta faz match, mas o tráfego não funciona, verificar as funções ativadas.

FunçãoO que verificar?
Web policyCategoria, utilizador, schedule, ordem das policies
Scan HTTP and decrypted HTTPSHTTPS só é analisado se já tiver sido decrypted
SSL/TLS inspectionRegra correspondente, Decryption Profile, certificado CA nos clientes
IPSAssinatura, policy, falso positivo
Application ControlAplicação detetada, categoria, deteção de cloud apps
Security HeartbeatEndpoint envia heartbeat, estado verde/amarelo/vermelho
Traffic ShapingPolicy ativa, aplicação ou regra correta
NATRegra SNAT/DNAT/PAT correta, ordem

Para HTTPS, uma regra de firewall com filtragem web não basta para inspecionar conteúdo HTTPS. Também é necessária uma SSL/TLS inspection rule adequada com decryption e certificado CA distribuído.

Mais detalhes: Implementar TLS Inspection na Sophos Firewall passo a passo.

Passo 7: Verificar ficheiros de log

Se as ferramentas WebAdmin não forem suficientes, verificar os ficheiros de log correspondentes.

Ficheiros típicos:

TemaFicheiro de log
Regra de firewallfirewall_rule.log
NATnat_rule.log
Ligações de firewallfwlog.log
IPS e DPIips.log
Web Proxyawarrenhttp.log
IPsecstrongswan.log, charon.log
SSL VPNsslvpn.log
DNSdnsd.log, dnsgrabber.log
DHCPdhcpd.log

Uma visão geral detalhada está disponível aqui: Sophos Firewall Troubleshooting: serviços e logs.

Exemplo: testar uma regra web LAN para WAN

  1. Criar a regra de firewall LAN_to_WAN_Clients.
  2. Ativar logging.
  3. Definir Services como HTTP e HTTPS.
  4. Selecionar Web Policy.
  5. Manter Block QUIC protocol ativado.
  6. Ativar Scan HTTP and decrypted HTTPS.
  7. Criar uma SSL/TLS inspection rule para o grupo de teste.
  8. Instalar o certificado CA no cliente de teste.
  9. Repor o contador da regra.
  10. Abrir um website.
  11. Filtrar o Log Viewer por Source IP.
  12. Executar Policy tester para o mesmo URL.
  13. Em caso de divergência, iniciar Packet Capture.

Assim percebe-se se a regra faz match, se HTTPS é realmente desencriptado e se Webfilter, IPS ou Application Control intervêm.

Mais informações