Hoppa till innehållet
Avanet

Konfigurera och testa Sophos Firewall Application Control

Sophos Firewall

Application Control på Sophos Firewall identifierar applikationer oberoende av enbart port. Detta gör det möjligt att specifikt tillåta, blockera eller logga fjärrkontrollverktyg, tunneling-applikationer, streaming, molnlagring, meddelandeappar eller riskabla webbläsaromgåenden.

Den praktiska nyttan uppstår dock först när Application Control är aktiv i rätt brandväggsregel, applikationen verkligen identifieras och loggar utvärderas. En sparad Application Filter Policy blockerar inget på egen hand.

Kort svar

Application Control används i två steg:

  1. Under Protect > Applications > Application filter planera eller skapa en Application Filter Policy.
  2. I den lämpliga brandväggsregeln under Other security features välj Identify and control applications (App control).

Därefter måste man med en riktig testklient kontrollera om trafiken går genom denna regel och om applikationen korrekt identifieras i Log Viewer. Vid krypterad trafik kan TLS Inspection vara avgörande, eftersom brandväggen annars ser färre detaljer beroende på applikationen.

När Application Control är användbart

Application Control är särskilt användbart när portar ensamma inte ger tillräcklig information. Många applikationer använder HTTPS, varierande mål eller molninfrastruktur. En ren portregel ser då bara 443, men inte om det är en tillåten affärstjänst, ett fjärrkontrollverktyg eller en oönskad molnlagring bakom.

Typiska användningsfall:

  • Blockera TeamViewer, AnyDesk, Tor eller proxyverktyg
  • Begränsa streaming eller sociala medier i vissa nätverk
  • Kontrollera molnlagring
  • Begränsa meddelandeappar eller spel i gäst- eller skolnätverk
  • Aktivera applikationsigenkänning för rapportering och analys
  • Förbereda Traffic Shaping för identifierade applikationer

Om det inte handlar om identifiering eller blockering, utan om prioritering eller bandbreddsbegränsning, passar det att även konfigurera Application Traffic Shaping på Sophos Firewall.

Förutsättningar

Innan konfigurationen bör dessa punkter kontrolleras:

  • lämplig licens med Web Protection eller Application Control
  • berörd brandväggsregel är känd
  • Log firewall traffic är aktiv för testrule
  • önskad applikation eller kategori är tydligt definierad
  • testklient och testmål är definierade
  • vid HTTPS-applikationer är det klart om TLS Inspection ska användas

Licensstatus kontrolleras under System > Administration > Licensing. I typiska Sophos Firewall-paket med Web Protection ingår Application Control. Den specifika licenslogiken bör ändå kontrolleras innan produktiv användning, särskilt vid utgångna prenumerationer eller testlicenser.

Planera applikationsfilter

Ett bra applikationsfilter är inte bara en lång blocklista. Först bör det vara klart vad som ska uppnås.

MålTypisk strategi
blockera riskabla fjärrkontrollverktygblockera specifika applikationer eller kategori
begränsa gäst-WLANblockera oönskade kategorier, lämna tillåtna basstjänster öppna
endast logga applikationanvänd Allow med loggning och rapporter först
undvika falska positivasmalare applikationsval istället för bred kategori
prioritera affärskritisk applikationkombinera Application Control med Traffic Shaping

För produktiva nätverk är ett observationsläge ofta meningsfullt: Aktivera först Application Control, granska loggar och rapporter, blockera sedan specifikt. På så sätt ser man vilka applikationer som verkligen förekommer och om en blockering skulle störa legitima processer.

Planera utrullning i faser

Application Control bör inte aktiveras i ett stort steg för alla nätverk. Bättre är en liten utrullning med en tydlig testgrupp, synlig loggning och ett definierat beslut när observation blir blockering.

En praktisk process:

FasMålTypisk inställning
Inventeringta reda på vilka applikationer som faktiskt förekommerApplication Filter med loggning, ännu utan bred blockering
Pilotgranska utvalda användare eller ett testnätverkblockera enskilda riskabla applikationer, kontrollera Rule ID och loggar noggrant
Produktiv användningtillämpa bekräftad policy på mål-nätverkaktivera filter i produktiv regel, dokumentera undantag
Driftövervaka effekt och bieffektergranska rapporter, Log Viewer, Central Reporting eller Syslog regelbundet

Innan produktiv användning bör det vara klart vilka applikationer som måste förbli tillåtna. Dessa inkluderar ofta uppdateringstjänster, fjärrsupport, samarbetsverktyg, molnlagring, telefoni eller branschspecifika applikationer. Om dessa beroenden först blir synliga efter blockeringen, kan Application Control snabbt uppfattas som en störning istället för en skyddsfunktion.

För godkännande är en kort beslutslista värdefull: Vilken applikation blockeras, vilken användargrupp påverkas, vilket undantag är tillåtet, vem är ansvarig ägare och när ska policyn granskas igen? Denna dokumentation är viktigare än ett perfekt första filter.

Skapa applikationsfilter

Menypath:

Protect > Applications > Application filter

Förfarande:

  1. Öppna Add.
  2. Ge ett beskrivande namn, till exempel Block_Remote_Control_Tools.
  3. Lägg till en regel inom filtret.
  4. Välj applikation, kategori, risk eller Smart Filter.
  5. Sätt åtgärd, till exempel Deny, Allow eller lämplig kontroll beroende på version.
  6. Spara filtret.

Vid kategorier bör man vara försiktig. En bred kategori kan påverka fler applikationer än väntat. För första tester är enskilda applikationer eller tydligt avgränsade grupper ofta bättre än ett stort samlingsblock.

Aktivera i brandväggsregel

Application Control har effekt först när filtret är valt i en brandväggsregel.

Menypath:

Protect > Rules and policies > Firewall rules

Förfarande:

  1. Öppna brandväggsregeln genom vilken den berörda trafiken verkligen går.
  2. Öppna avsnittet Other security features.
  3. Välj Application Filter vid Identify and control applications (App control).
  4. Aktivera Log firewall traffic, åtminstone för test och godkännande.
  5. Spara regeln.
  6. Testa med en definierad klient.

Regelordningen är avgörande. Om trafiken redan hanteras av en mer generell regel högre upp, når den inte regeln med Application Control. Då ser konfigurationen i WebAdmin korrekt ut, men har ingen effekt.

Grunderna för Source, Destination, Services, Security Features och regelordning finns i Förstå och säkert konfigurera Sophos Firewall-regler.

TLS Inspection och identifiering

Application Control kan även utan fullständig TLS Inspection identifiera vissa applikationer. Vid många moderna HTTPS- och molntjänster ser brandväggen utan dekryptering dock bara begränsad information som IP-adress, SNI, certifikatsdata, värdnamn eller anslutningsmetadata.

Det räcker inte alltid för tillförlitlig identifiering. Om en applikation över HTTPS inte identifieras som förväntat bör man kontrollera:

  • går trafiken genom rätt brandväggsregel?
  • är Application Control aktiv i denna regel?
  • identifieras applikationen i grunden av Sophos?
  • är TLS Inspection nödvändig och acceptabel för denna trafik?
  • finns det QUIC eller HTTP/3 som försvårar kontrollen?
  • påverkar Web Policy, IPS eller DNS Protection dessutom?

TLS Inspection bör införas stegvis och med undantag. Den lämpliga processen finns i Införa Sophos Firewall TLS Inspection korrekt. För QUIC och HTTP/3 passar Blockera Sophos Firewall QUIC och HTTP/3 korrekt.

Testa effekten

Efter aktivering bör man inte bara vänta på användarfeedback. Ett noggrant test sparar mycket tid.

Praktisk process:

  1. Definiera testklient och käll-IP.
  2. Starta applikationen medvetet eller anropa målet.
  3. Filtrera i Log viewer efter Source-IP, Destination, Service och applikation.
  4. Kontrollera vilken Firewall Rule ID som träffades.
  5. Kontrollera om Application Control identifierar applikationen.
  6. Vid blockering, kontrollera om blockeringen är önskad.
  7. Vid oklar identifiering, komplettera med Packet Capture och Service-Logs.

Application Control använder ofta ips.log i den tekniska vägen. Loggtilldelningen finns i Felsökning av Sophos Firewall: Tjänster och loggar. För avgränsning med Log Viewer och Packet Capture hjälper Testa Sophos Firewall-regel med Log Viewer, Policy Test och Packet Capture.

Hantera falska positiva korrekt

Om Application Control blockerar legitim trafik bör man inte omedelbart inaktivera hela filtret.

Lämplig ordning:

  1. Dokumentera berörd applikation och loggpost.
  2. Kontrollera vilken brandväggsregel och vilket applikationsfilter som är inblandade.
  3. Granska applikation, kategori och åtgärd i filtret.
  4. Kontrollera om applikationen identifieras annorlunda genom TLS Inspection.
  5. Sätt undantag så snävt som möjligt: applikation, källnät, användargrupp eller mål.
  6. Dokumentera ägare och granskningsdatum för undantaget.

Ett undantag för Any eller en bred kategori löser ofta det aktuella fallet snabbt, men försvagar kontrollen permanent. Bättre är ett litet, spårbart undantag med tydlig motivering.

Vanliga fel

FelEffektBättre strategi
Applikationsfilter skapat, men inte valt i regelingen effekt på trafikAktivera filter i den verkliga brandväggsregeln
Trafik går genom annan regelfiltret nås aldrigKontrollera Rule ID i Log Viewer
för bred kategori blockeraslegitima moln- eller affärstjänster påverkasanvänd enskilda applikationer eller snävare grupper
överskattad HTTPS-igenkänningapplikation identifieras inte tillförlitligtkontrollera TLS Inspection och QUIC-beteende
loggning saknaseffekt förblir osynligaktivera regel-loggning för test och drift
för brett undantagskyddsfunktion urholkas praktisktsätt undantag snävt och med granskningsdatum

Driftkontroll

Application Control bör regelbundet granskas. Applikationer förändras, molntjänster använder nya slutpunkter, användare använder nya verktyg och signaturer uppdateras.

Man bör dokumentera:

  • syftet med applikationsfiltret
  • berörda brandväggsregler
  • blockerade eller tillåtna applikationer
  • kända undantag
  • ansvarig ägare
  • granskningsdatum
  • senaste relevanta ändring

Om Application Control används för kritiska affärsapplikationer, skolnätverk eller efterlevnadskrav bör dessutom Central Reporting, Syslog eller SIEM granskas. För central utvärdering passar Aktivera Central Firewall Reporting eller Konfigurera Sophos Firewall Syslog och SIEM.

Checklista

  • Licensstatus kontrollerad.
  • Berörd brandväggsregel tydligt identifierad.
  • Applikationsfilter med klart syfte skapat.
  • Filter valt i rätt brandväggsregel.
  • Regel-loggning aktiv.
  • Testklient och testapplikation definierade.
  • Log Viewer kontrollerad för Rule ID och Application Control.
  • TLS Inspection och QUIC utvärderade om HTTPS-igenkänning är oklar.
  • Undantag dokumenterade snävt.
  • Granskningsdatum satt.

Vanliga frågor

Var aktiverar man Application Control på Sophos Firewall?

Man skapar eller väljer ett applikationsfilter under Protect > Applications > Application filter och aktiverar det sedan i den lämpliga brandväggsregeln under Other security features > Identify and control applications (App control).

Varför fungerar inte Application Control?

Ofta går trafiken genom en annan brandväggsregel, applikationsfiltret är inte aktivt i regeln, loggning saknas eller applikationen identifieras inte tillförlitligt utan TLS Inspection.

Behöver Application Control TLS Inspection?

Inte alltid. Vissa applikationer kan identifieras även utan fullständig dekryptering. Vid moderna HTTPS- och molntjänster kan TLS Inspection dock vara nödvändig för att brandväggen ska se tillräckligt med detaljer.

Är Application Control samma sak som Web Filtering?

Nej. Web Filtering utvärderar webbplatser, kategorier och URL:er. Application Control identifierar applikationer och protokoll. I moderna HTTPS-miljöer överlappar ämnena, men förblir olika kontrollpunkter.

Kan man använda Application Control för Traffic Shaping?

Ja. Application Control kan identifiera applikationer som sedan prioriteras eller begränsas. Den egna processen finns i Konfigurera Application Traffic Shaping på Sophos Firewall.