Hoppa till innehållet
Avanet

Sophos Firewall Spoof Protection och DoS Settings kontrollera

Sophos Firewall

Spoof Protection och DoS Settings är bland de klassiska härdningsfunktionerna hos en Sophos Firewall. Funktionerna reducerar enkla, bullriga eller uppenbart felaktiga paket innan de blir onödigt brus i loggar, regler eller publicerade tjänster. Samtidigt är dessa inställningar inte ett magiskt skydd mot alla slags attacker.

Artikeln klassificerar funktionerna som noggrann grundhärdning: först förstå nätverksdesignen och returvägarna, aktivera, testa och kontrollera sedan loggarna. Skillnaden är särskilt viktig: Dessa funktioner kompletterar rena brandväggsregler, IPS, Threat Feeds, WAF och loggning. De är inte en ersättning för dessa byggstenar.

Kort förklarat

Spoof Protection kontrollerar om paket med en rimlig källadress kommer till det förväntade gränssnittet. Till exempel, om ett paket med en intern källadress dyker upp från Internet, är detta misstänkt i de flesta konstruktioner. DoS Settings, å andra sidan, reagerar på vissa översvämnings- eller anslutningsattackmönster, till exempel märkbara mängder SYN-, UDP eller ICMP-trafik.

Beroende på SFOS-versionen ligger den typiska menysökvägen inom intervallet:

Protect > Intrusion prevention > DoS & spoof protection

Om gränssnittet är märkt något annorlunda i en nyare version bör du leta efter DoS, spoof-skydd eller intrångsskydd. Det som är viktigt är inte den exakta klickvägen, utan snarare att funktionen planeras, testas och senare loggas medvetet.

Vad funktionerna gör

fungeraVad det hjälper medVad det inte räcker till
Spoof ProtectionKassera paket med osannolik käll-IP, minska enkla försök till spoofing, gör felaktigt dirigerade paket synligaersätter inte ren zon, gränssnitt och ruttplanering
DoS SettingsBegränsa enkla översvämningsmönster och upptäck högljudda attacker eller felkonfigurationer tidigareersätter inte leverantörens DDoS-skydd, WAF och uppströmsdesign av ren storlek

I praktiken är dessa funktioner särskilt intressanta som grundhärdning. Fördelen är att minska uppenbart nonsens. I verkliga volymetriska DDoS-attacker är Internetanslutningen ofta redan vid kapacitet innan brandväggen kan svara meningsfullt. Då behöver du skydd från leverantören, uppströmsskrubbning eller annan arkitektur.

När Spoof Protection är vettigt

Spoof Protection passar särskilt bra med tydligt segmenterade nätverk där källnätverk, gränssnitt och rutter är tydligt planerade. Ju tydligare nätverksstrukturen är, desto lättare är det att bedöma om en källadress på ett gränssnitt är rimlig.

Användbara applikationer:

  • Internet WAN där inga interna RFC1918-källor ska visas.
  • DMZ eller serverzoner med tydliga käll- och destinationsnätverk.
  • Klient-, gäst- eller IoT-zoner där inga externa interna nätverk ska visas som källor.
  • Platser där routing, VLANs och zoner är tydligt dokumenterade.
  • Miljöer där paketsläpp senare måste kunna spåras med Packet Capture och loggar.

Saker och ting blir svårare med asymmetrisk routing, komplexa transitnätverk, tillfälliga migreringsvägar, felaktigt dokumenterade VLANs eller flera brandväggar i samma dataväg. En legitim dataström kan se ut som spoofing, även om routingdesignen eller returvägen faktiskt är oren.

Kontrollera före aktivering

Spoof Protection och DoS Settings ska inte aktiveras blint i en produktionsmiljö. Det bör vara klart i förväg vilka nät och tjänster som berörs.

Viktiga kontrollpunkter:

  1. Dokumentzoner, gränssnitt, VLANs, bryggor och LAGs.
  2. Check static routes, SD-WAN routes, VPN routes and asymmetric paths.
  3. Identifiera publicerade tjänster via DNAT eller WAF.
  4. Notera viktiga tjänster som VoIP, övervakning, säkerhetskopiering, skanningar, VPN och platsanslutningar.
  5. Prepare logging and central evaluation if events need to be traceable later.
  6. Ställ in underhållsfönster eller pilotområde för första aktivering.

Om normala brandväggsregler är svåra att förstå, bör regeln och routingstatus rengöras först. För individuella testanslutningar är Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture en bättre start.

Spoof Protection aktivera försiktigt

En steg-för-steg-strategi är vettig för Spoof Protection. Du bör säkra de tydligaste områdena först, inte varje specialzon omedelbart.

Praktisk process:

  1. Spara den aktuella konfigurationen eller åtminstone dokumentera de berörda inställningarna.
  2. Börja med en tydlig zon eller gränssnitt, till exempel WAN eller en rent separerad klientzon.
  3. Spara aktivering.
  4. Kör planerade testanslutningar: Internetåtkomst, VPN, publicerade tjänster, centrala servrar, övervakning.
  5. Kontrollera Log Viewer och Packet Capture för oväntade fall.
  6. Hantera inte omedelbart iögonfallande legitima droppar med breda undantag, utan kontrollera först routing, käll-IP och gränssnitt.

Ett vanligt misstag är att behandla Spoof Protection som en ren säkerhetskrok. I verkligheten testar funktionen ett antagande om nätverksdesignen. Om detta antagande inte är korrekt, behöver Spoof Protection inte nödvändigtvis vara fel. Ofta byggs inte ett gränssnitt, en rutt, en VLAN eller en returrutt som förväntat.

DoS Settings plan

DoS Settings bör passa miljön. Det är sällan meningsfullt att anta värden från ett annat exempel utan att kontrollera. En webbplats med ett fåtal användare, VoIP och en liten WAN beter sig annorlunda än ett datacenter, ett skolnätverk eller en webbplats med regelbundna skanningar och övervakning.

Innan du anpassar bör du svara på dessa frågor:

  • Vilka offentliga tjänster är utsatta?
  • Finns det legitima belastningstoppar, skanningar, övervakning eller hälsokontroller?
  • Används VoIP, VPN, WAF, DNAT eller stora filöverföringar?
  • Vilka händelser ska bara loggas och vilka ska egentligen blockeras?
  • Vem kontrollerar loggarna efter aktivering?

DoS Settings kan hjälpa till att begränsa enkla översvämningsmönster. Men trösklar som är för strikta kan också påverka legitim trafik. Särskild försiktighet bör iakttas med VoIP, övervakningssystem, säkerhetskopieringsjobb, sårbarhetssökningar och flitigt använda publicerade tjänster.

Vad dessa inställningar inte löser

Spoof Protection och DoS Settings är viktiga byggstenar, men de löser inte alla säkerhetsproblem.

problemBättre extra komponent
Server attackeras via tillåtna HTTP-förfrågningarKontrollera WAF regel och webbserverskydd.
Kända skadliga IP-attackerThreat Feeds eller kontrollera land/IP-blockering
Försök till utnyttjande mot en tjänstAktivera IPS-Policy för att matcha regeln
Internetlinjen är full på grund av DDoSInkludera leverantörer, skrubbning eller uppströms DDoS-skydd
Brandväggsregeln tillåter för mycketRensa upp regler, NAT och objektmodell
Droppar är obegripligaFörbättra loggning, Packet Capture, syslog eller central rapportering

För allmänt tillgängliga servrar är artikeln Publicera server med DNAT på Sophos Firewall också relevant. Det handlar om NAT, brandväggsregler och typiska publiceringsfel.

Loggar och uppföljning

Efter aktivering bör du inte bara kontrollera om normal internetåtkomst fortfarande fungerar. Det viktiga är om brandväggen tydligt visar förväntade och oväntade händelser.

Kontrollera:

  1. Filtrera Log Viewer för brandvägg och relevanta säkerhetshändelser.
  2. Utlösa testtrafik med tydlig käll-IP, destinations-IP och tjänst.
  3. Använd Packet Capture för oklara droppar.
  4. För längre lagring, planera för syslog till SIEM eller loggserver.
  5. För Sophos Central-drift, kontrollera om Central Firewall Reporting gör de önskade händelserna synliga.

Om ett paket tappas men orsaken inte är klar, hjälper den systematiska droppanalysen i Sophos Firewall tappar paket: kontrollera orsaker. Den beskriver också varför Log Viewer och Packet Capture svarar på olika frågor.

Typiska misstag

MisstaginverkanBättre tillvägagångssätt
Spoof Protection aktiveras utan routingförståelselegitim trafik kan blockerasKontrollera zoner, gränssnitt, rutter och returrutter i förväg
Anta DoS-trösklar utan att kontrolleraVoIP, övervakning, skanning eller publicerade tjänster kan störasPlanera baslinje och testfas
Lös alla anomalier med breda undantagHärdning blir ineffektiv och förvirrandeBegränsa orsaken och noggrant dokumentera undantag
Sälj DoS Settings som DDoS-skyddfalska förväntningar på bandbreddsattackerPlanera leverantör och uppströmsskydd separat
Kontrollera inte loggarFelaktiga blockeringar eller attacker förblir osynligaDefiniera Log Viewer, Central Reporting eller Syslog som driftpunkt
Tolka spoofing droppar som rena attackerRouting- eller VLAN-fel förbisesJämför käll-IP, gränssnitt, rutt och Packet Capture

Driftschecklista

Före aktivering:

  • Förstå zoner, gränssnitt och routing.
  • Kritiska tjänster och testfall definieras.
  • Säkerhetskopiering eller ändringsdokumentation tillgänglig.
  • Loggning och utvärdering förberedd.
  • Pilotområde eller underhållsfönsterset.

Efter aktivering:

  • Internet, VPN, WAF, DNAT, VoIP och övervakning testade.
  • Log Viewer kontrolleras för oväntade fall.
  • Packet Capture används för minst ett tydligt testfall när fall inträffar.
  • Undantag görs endast snävt och med motivering.
  • Resultatet registreras i driftdokumentationen.

Regelbundet:

  • Kontrollera DoS och spoof-händelser.
  • Kontrollera undantag för nödvändighet.
  • Testa igen efter nätverksändringar, VPN-ändringar eller nya VLANs.
  • Korrelera loggar med IPS, hotfeed, WAF och brandväggsregelhändelser.

FAQ

Ska du alltid aktivera Spoof Protection på Sophos Firewall?

Spoof Protection makes sense in many environments, but should fit routing and zone design. Vid asymmetrisk routing, migrationer eller oklara transitnätverk bör du testa och kontrollera loggar först.

Stoppar DoS Settings en riktig DDoS-attack?

Endast begränsad. DoS Settings kan minska enkla översvämningsmönster. Om själva internetlinjen blir överbelastad måste skydd ske före eller hos leverantören.

Varför blockeras legitim trafik efter Spoof Protection?

Ofta matchar käll-IP:en inte det förväntade gränssnittet eller så är returvägen asymmetrisk. Man bör först kontrollera routing, VLAN, gateway, VPN-sökväg och Packet Capture innan man skapar ett brett undantag.

Vilka värden ska du använda för DoS Settings?

Det finns inga universella värden för varje miljö. Det är vettigt att börja försiktigt med baslinje, testtrafik, loggkontroller och anpassning till verkliga tjänster som VoIP, VPN, WAF, övervakning och skanningar.

Vilka loggar hjälper till med DoS eller spoofhändelser?

Log Viewer är den första ingångspunkten. Packet Capture hjälper för individuella anslutningar. För längre lagring eller korrelation med andra system, överväg Syslog, SIEM eller Sophos Central-rapportering.