Sophos Firewall Black Hole DNAT: blockera IP
Så snart tjänster är åtkomliga från internet ser man oftast snabbt oönskad trafik: portskanningar, inloggningsförsök, kända botnät eller åtkomst från länder där inga användare förväntas. I Sophos Firewall kan sådana källor blockeras på flera nivåer.
Den här artikeln förklarar två vanliga varianter:
- blockera länder eller källnätverk med en Firewall Rule
- översätta oönskade källor till ingenstans med en Black Hole DNAT Rule
Dessutom rekommenderar vi Sophos Firewall Threat Feeds, så att kända skadliga IP-adresser, domäner eller URL:er kan blockeras automatiskt.
Vilken metod passar när?
| Metod | Passar för | Typisk användning |
|---|---|---|
Firewall Rule med Drop | Blockera trafik baserat på Source Country, Source Network eller Source Host | Blockera länder, blockera enskilda nätverk, underhålla kända Bad IP-listor manuellt |
| Black Hole DNAT | Omdirigera oönskad trafik till en icke-existerande intern IP | Fånga upp trafik till publicerade tjänster tidigt |
| WAF Blocked countries | Webbservrar som publiceras via WAF | Blockera länder direkt i en WAF-regel |
| Threat Feeds | Dynamiska listor med kända skadliga källor | Blockera botnät, skannrar, malware-infrastruktur och kända angripar-IP-adresser automatiskt |
Vilken metod som är lämplig beror på var trafiken tekniskt behandlas. Sophos påpekar att Firewall Rules inte alltid gäller för trafik som går till en Hosted Address som används i WAF. I sådana fall är en WAF-landregel eller en Black Hole DNAT Rule ofta mer lämplig.
Blockera länder med en Firewall Rule
För generell Country Blocking kan man skapa en Firewall Rule med Drop.
Menyväg:
Rules and policies > Firewall rules
Rekommenderade fält:
| Fält | Värde |
|---|---|
| Rule name | beskrivande namn, till exempel BLOCK_COUNTRY_PANAMA |
| Rule position | Top |
| Action | Drop |
| Source zones | Any |
| Source networks and devices | land, landgrupp, IP-lista eller hostgrupp |
| During scheduled time | All the time |
| Destination zones | Any |
| Destination networks | Any |
| Services | Any eller en definierad tjänst |
För Country Blocking är det viktigt att Source zones och Destination zones inte sätts för snävt. Om man bara anger WAN som Source zone kan regeln missa vissa relevanta trafikvägar.
Black Hole DNAT för oönskade källor
En Black Hole DNAT Rule översätter trafik till en destination som inte finns i nätverket. Trafiken går därmed ingenstans och når inte den verkliga tjänsten.
Detta är särskilt användbart när en tjänst publiceras via DNAT och vissa källor ska fångas upp före den egentliga portvidarebefordringen.
Exempel:
| Fält | Värde |
|---|---|
| Rule name | BLOCK_BAD_IPS_COUNTRIES |
| Rule position | Top |
| Original source | Bad IP-lista, land eller landgrupp |
| Original destination | publik WAN-IP eller WAN-hostobjekt |
| Original service | Any eller den publicerade tjänsten |
| Translated source (SNAT) | Original |
| Translated destination (DNAT) | dummy-host som inte finns |
| Translated service (PAT) | Original |
| Inbound interface | Any |
| Outbound interface | Any |
Dummy-hosten bör använda en IP-adress som inte finns i det egna nätverket och som inte routas. Det är viktigt att regeln ligger ovanför de egentliga DNAT-reglerna. NAT-regler behandlas uppifrån och ned. Om den normala DNAT-regeln matchar först kommer Black Hole DNAT Rule för sent.
Varför ordningen är avgörande
För NAT-regler vinner den första matchande regeln. En Black Hole DNAT Rule måste därför ligga mycket högt upp, oftast högst upp i NAT-regeltabellen.
Exempel på ordning:
- Black Hole DNAT för Bad IP-lista och blockerade länder
- specifika DNAT-regler för publicerade tjänster
- särskilda SNAT-regler
- generell MASQ-regel för utgående trafik
Samma princip gäller för Firewall Rules: specifika blockeringsregler ska ligga ovanför generella allow-regler. Annars kan trafiken redan ha tillåtits innan Drop-regeln kontrolleras.
Lämna inte Source på Any i onödan
För publicerade tjänster bör Source begränsas så mycket som möjligt.
Rimliga källor kan vara:
- enskilda publika IP-adresser
- nätverk från partner eller filialer
- länder där åtkomst förväntas
- FQDN Hosts eller DNS Host Groups, om det passar
- underhållna Host Groups med tillåtna admin-IP-adresser
Any är bara rimligt om tjänsten verkligen måste vara nåbar globalt. Då bör ytterligare skyddsåtgärder aktiveras: logging, IPS, MFA där det är möjligt, stark autentisering, uppdaterade målsystem och Threat Feeds.
Använd Threat Feeds som extra lager
Manuella listor och landregler är statiska. Angriparnas infrastruktur ändras däremot kontinuerligt. Därför rekommenderar vi även Sophos Firewall Threat Feeds.
Threat Feeds hjälper särskilt mot:
- kända scanner-IP-adresser
- botnät
- malware-infrastruktur
- komprometterade hosts
- dynamiskt underhållna Bad IP-listor
Då behöver man inte underhålla varje enskild IP-adress manuellt. Firewall kan blockera kända dåliga källor innan de når den publicerade tjänsten.
Typiska fel
| Fel | Effekt |
|---|---|
| Black Hole DNAT ligger under den normala DNAT-regeln | Den normala DNAT-regeln matchar först och blockeringsregeln gäller inte |
| Dummy-målet finns faktiskt i nätverket | Trafiken hamnar oväntat på ett riktigt system |
| Source underhålls olika i NAT-regeln och Firewall Rule | Reglerna blir svåra att förstå och glider isär |
| Country Blocking används som enda skydd | Botar från tillåtna länder kan fortfarande angripa |
| Logging är avstängt | I Log Viewer blir det oklart vilken regel som matchade |
Troubleshooting
Om en blockeringsregel inte gäller bör man kontrollera följande i den här ordningen:
- Ligger NAT- eller Firewall Rule verkligen ovanför allow-reglerna?
- Matchar source-IP mot Bad IP-listan eller valt land?
- Behandlas trafiken av en WAF-regel, DNAT-regel eller Firewall Rule?
- Är logging aktiverat på den berörda Firewall Rule?
- Visar Log Viewer förväntad Firewall Rule ID eller NAT Rule ID?
- Syns trafiken i Diagnostics > Packet capture?
För analys hjälper även Firewall Rule matchar inte: kontrollera ordning, matching och loggar, Använda Packet Capture i WebAdmin och Förstå NAT i Sophos Firewall: SNAT, DNAT, MASQ, PAT.