Sophos Firewall Hardening

Sophos Firewall Hardening

Der folgende Artikel stellt einige Empfehlungen von Sophos bereit, um die allgemeine Sicherheit Ihrer Sophos Firewall zu härten. 

Halten Sie ihre Firmware auf dem neuesten Stand und Hotfixes aktiviert

Jedes Update für das Sophos Firewall OS enthält wichtige Sicherheitsverbesserungen und in manchen Fällen werden wichtige Hotfixes zwischen den Updates veröffentlicht. Stellen Sie sicher, dass ihre Firmware auf dem neuesten Stand ist und Sie unter „Sicherung & Firmware à Firmware“ den Punkt „Automatische Installation von Hotfixes zulassen“ aktiviert haben.

SFHardening-Bild01

Limiteren des Appliance-Zugriffs

Es ist außerordentlich wichtig, dass alle nicht-essentiellen Services auf dem WAN-Interface deaktiviert sind, im Besonderen HTTPs- und SSH-Admin-Dienste. Um die Firewall von der Ferne zu verwalten, bietet Sophos Central eine deutlich sicherere Lösung als WAN-seitig den Admin-Zugang zu ermöglichen. Wird das User-Portal nicht genutzt, empfiehlt Sophos ebenfalls, dieses für die WAN-Seite zu deaktivieren 

SFHardening-Bild02

 

Sperren Sie den Fernzugriff auf andere Netzwerksysteme

Machen Sie ihre Systeme unter keinen Umständen direkt aus dem Internet erreichbar, indem Sie per Firewall- oder NAT-Regel Zugriffe von außen zulassen! Das gilt auch für IoT-Geräte. Prüfen Sie ihre Firewall- und NAT-Regeln und stellen Sie sicher, dass keine WAN-zu-LAN-Regeln existieren. Nutzen Sie ausschließlich ZTNA oder VPN, um ihre Systeme von außen administrierbar zu machen oder Zugriff auf interne Ressourcen freizugeben. Für IoT-Geräte empfiehlt sich, alle Geräte zu deaktivieren, die direkten Zugang über NAT benötigen und keine Cloud-Proxy-Alternative bieten.

 

Nutzen Sie Multi-Faktor-Authentifizierung und starke Passwörter

Aktivieren Sie Multi-Faktor-Authentifizierung oder One Time Passwords (OTP) und erzwingen Sie die Nutzung starker Passwörter. Sie schützen die Firewall dadurch vor unauthorisiertem Zugriff durch gestohlene Zugangsdaten oder Brute-Force-Angriffen.

 

Nutzen Sie Rollen-basierte Administration

Ziehen Sie einen Vorteil aus Sophos Firewalls granularen, rollenbasierten Administrations-Profilen, um den Zugriff von Administratoren auf die Firewall auf das wirklich nötige zu reduzieren. Geben Sie allen Administratoren, die nicht absolut die Kontrolle über die unterschiedlichen Firewall-Funktionen haben müssen, ausschließlich Read-Only-Rechte.

 

Aktivieren Sie TLS Inspection und Intrusion Prevention

Die Intrusion Prevention (IPS) bietet Schutz gegen unerwünschtes Eindringen und Denial-of-Service (DOS) Angriffe, aber nur wenn der entsprechende verschlüsselte Datenverkehr überprüft werden kann. Aktivieren Sie die TLS Inspection und IPS und stellen Sie sicher, dass die Einstellungen zum automatischen Update, sowie die DOS-Einstellungen aktiviert sind.

 

Aktivieren Sie Firewall-Systembenachrichtigungen

Sophos Firewall kann so konfiguriert werden, dass Administratoren informiert werden, wenn Sie System-generierte Events stattfinden. Administratoren sollten die Liste der Events prüfen und sicherstellen, dass wichtige Events überwacht werden, um sicherzustellen das schnell auf etwaige Probleme reagiert werden kann. Sophos empfiehlt eine regelmäßige Triage und Überwachungsroutine zu entwickeln, um sicherzustellen das keine Events verpasst werden oder zu lange auf eine Reaktion warten. Benachrichtigungen werden entweder per Mail und/oder über SMTP-Traps versendet. Um Benachrichtigungen zu konfigurieren, navigieren Sie zu „Systemdienste à Benachrichtigungsliste“.

 

Richten Sie Country-Blocking ein

Als Best-Practice können Sie die Angriffsvektoren weiter reduzieren, indem Sie Country Blocking nutzen, um Regionen sperren, mit denen Sie keine Geschäfte machen.