Цей блог особливий для мене, оскільки я завжди мріяв налаштувати домашню мережу та конфігурувати системи, хоча мережеві технології не є моїм улюбленим напрямом. Цього разу я вирішив дослідити налаштування брандмауера та тестування його можливостей за допомогою Sophos Firewall. Sophos пропонує безкоштовну ліцензію для свого XG Firewall без потреби вказувати кредитну картку. Альтернативно, вони надають безкоштовну версію XG Home Edition для домашніх користувачів, щоб вивчати функціональність брандмауера.
Спочатку я був розгублений щодо того, чи налаштовувати брандмауер на віртуальній машині в Azure, чи на своєму ноутбуці. Я спробував обидва підходи і зрозумів, що мережі справді є основою всього.
Ось логічна схема:
Методи VMware та Azure
Для початку я зареєструвався та завантажив ISO файл для Sophos XG Firewall. Оскільки Azure не приймає ISO файли, я використав пакетний скрипт для активації Hyper-V на моїй системі Windows 11 Home (дотримуючись цього посібника: Beebom — Enable Hyper-V on Windows 11 Home) та конвертував ISO у фіксований VHD файл.
У VMware я налаштував брандмауер, створивши віртуальну машину з двома мережевими адаптерами:
- NAT конфігурація для WAN трафіку.
- Host-only конфігурація для LAN трафіку.
Налаштування брандмауера як окремого пристрою потребує двох NIC (мережевих інтерфейсних карт). Однак через обмежені ресурси на моєму ноутбуці я не зміг повністю розгорнути цю конфігурацію.
Сторінка входу для брандмауера
NIC — LAN та WAN
В Azure існують два методи для налаштування Sophos Firewall:
- Індивідуальний образ: Завантажити VHD файл у контейнер блоб-складовища, створити з нього диск та налаштувати віртуальну машину та маршрутизацію мережі.
- Azure Marketplace: Розгорнути ресурсну групу Sophos XG Firewall, яка містить усі компоненти для роботи брандмауера. Потрібно лише налаштувати таблиці маршрутизації для асоціації LAN трафіку з віртуальною мережею (VNet).
Простими словами, LAN трафік маршрутизується через брандмауер перед тим, як відправити його в WAN. Таблиці маршрутизації гарантують, що дані будуть надіслані на правильні пристрої.
Доступ до брандмауера та конфігурація
Після того, як віртуальну машину (VM) та віртуальну мережу (VNet) було налаштовано, я отримав доступ до брандмауера через його публічну IP адресу на порту 4444. Під час першого завантаження система запросила серійний номер, який я ввів для XG або ми також можемо ввести серійний номер для Home Edition.
Реєстрація брандмауера
Однією з особливостей є можливість використання пробної версії Sophos Central, що дозволяє централізовано управляти продуктами безпеки. За допомогою пробної версії Intercept X можна тестувати X-Ops фіди загроз для брандмауера — вони надають оновлення безпеки в реальному часі для покращення захисту.
Sophos Central також моніторить серцебиття брандмауера кожні 30 секунд, щоб забезпечити підключення.
Central
Rules
У консолі брандмауера доступний широкий набір функцій, серед яких:
- Переглядач журналів (Log Viewer)
- Політики брандмауера (Firewall Policies)
- Захоплення пакетів (Packet Capture)
- Безпека електронної пошти (Email Security)
- Активні з'єднання (Live Connections) тощо
Log Viewer
Функції брандмауера, які я тестував
Я досліджував різноманітні можливості, такі як:
- Політика веб-фільтрації (Web Policy): Виконання фільтрації URL та сканування, а також політика ICMP (Ping).
- HTTPS сканування: Увімкнення дешифрування SSL/TLS шляхом завантаження сертифікату.
- IPS та контроль додатків (IPS and Application Control): Блокування небажаних додатків і створення користувацьких чорних списків.
- Переадресація портів (Port Forwarding): Дозволяє зовнішньому пристрою здійснити підключення через RDP до пристрою в LAN, перенаправивши публічну IP-адресу на приватну IP-адресу пристрою на Windows.
Packets
Джерела, на які я посилався
YouTube канали:
Підсумки
Цей досвід був дуже відмінний від мого звичайного дослідження інструментів SOC. Хоча є відкриті брандмауери, як-от pfSense, Untangle та OPNsense, створення швидкої домашньої лабораторії було захоплюючим процесом з Azure. Якщо Azure чи AWS не підходять для вас, я рекомендую спробувати Sophos XG Home Edition на ноутбуці, використовуючи VMware, Proxmox чи Hyper-V.
Дякую за прочитання цього блогу! Удачі!
Перекладено з: Sophos XG Firewall: Building a Lab in VMware and Azure