Baixe o app para aproveitar ainda mais
Prévia do material em texto
Uma das principais funções de um dispositivo de borda é a capacidade de rotear pacotes de um local de rede para outro. Embora o roteamento seja frequentemente considerado uma função básica de um dispositivo como o firewall XG, existem inúmeras opções para rotear dentro do dispositivo. Existem rotas estáticas simples que apenas examinam o endereço de destino do tráfego. Geralmente são usados internamente para controlar o fluxo de tráfego dentro de uma rede. O firewall XG também oferece roteamento baseado em políticas, o que permite ao dispositivo se aprofundar no tráfego e tomar decisões mais inteligentes com base em fatores que não sejam apenas o destino, como o endereço ou os serviços de origem. Protocolos de roteamento dinâmico também são suportados para permitir que o firewall XG se comunique com os vizinhos e preencha suas tabelas de roteamento interno com interação mínima do administrador. Diferentemente do roteamento do kernel, a precedência do roteamento XG pode ser modificada no console usando o comando rota_precedência do sistema comando.rota_precedência do sistema comando. Encaminhamento Roteamento do Kernel Roteamento XG 1. Redes localmente conectadas 2. Protocolos de roteamento dinâmico 3. Rotas políticas 4. rotas de VPN 5. Rotas estáticas BGP OPSF PIM-SM A ordem da precedência de roteamento do SFOS pode ser modificada Engenheiro de firewall XG - 137 E n c a m i n h a m e n t o Configuração de rota estática Vamos dar uma olhada em um exemplo: se tivéssemos uma rede privada não conectada diretamente a uma interface no firewall XG, o XG não teria como determinar para onde enviar o tráfego destinado a essa rede. Pode ser, por exemplo, redes conectadas a um comutador principal e o comutador principal ao firewall por meio de uma LAN privada separada. A maneira mais simples de configurar a comunicação seria configurar algumas rotas estáticas. Para fazer isso, navegue primeiro para CONFIGURAR> Roteamento> Roteamento estático e clique no Adicionar para a rota Unicast que você deseja criar.CONFIGURAR> Roteamento> Roteamento estático e clique no Adicionar para a rota Unicast que você deseja criar.CONFIGURAR> Roteamento> Roteamento estático e clique no Adicionar para a rota Unicast que você deseja criar.CONFIGURAR> Roteamento> Roteamento estático e clique no Adicionar para a rota Unicast que você deseja criar. Engenheiro de firewall XG - 138 E n c a m i n h a m e n t o Na tela Adicionar rota de difusão ponto a ponto, comece digitando as informações de destino. Ele precisa estar no formato de um endereço IP e, em seguida, selecione uma máscara de sub-rede nas opções disponíveis na lista suspensa. Em seguida, insira o endereço IP do gateway que será o próximo salto na rota. Isso deve ser digitado e não é um objeto pré-criado. Em seguida, selecione a porta ou interface na qual o firewall XG enviará o tráfego. A interface selecionada deve poder se comunicar com o endereço do gateway listado na etapa anterior. E, finalmente, selecione uma métrica de distância para esta rota. Isso será usado ao decidir qual rota usar se o XG tiver várias opções. Configuração de rota estática Destino Próximo salto Porta ou interface Valor métrico Engenheiro de firewall XG - 139 E n c a m i n h a m e n t o Laboratório 2: Introdução ao XG Firewall O Manual do Laboratório deve ser baixado do conteúdo da lição, Introdução ao Curso módulo no portal de treinamento Use o Iniciar ambiente de laboratório no conteúdo da lição do módulo Introdução ao curso em Use o Iniciar ambiente de laboratório no conteúdo da lição do módulo Introdução ao curso em Use o Iniciar ambiente de laboratório no conteúdo da lição do módulo Introdução ao curso em o portal de treinamento para acessar o ambiente de laboratório no CloudShare Você tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessaVocê tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessaVocê tem 5 dias para concluir os laboratórios desde a primeira vez que você os acessa A pasta de trabalho do laboratório deve ser baixada do conteúdo da lição do módulo Introdução ao Curso no portal de treinamento. Quando chegar a hora de iniciar os laboratórios, use o link Ambiente do laboratório de lançamento no conteúdo da lição do módulo Introdução ao curso no portal de treinamento para acessar o ambiente de laboratório no CloudShare. Você tem 5 dias para concluir os laboratórios desde a primeira vez que os acessa. Engenheiro de firewall XG - 140 Laboratório 2: Introdução ao XG Firewall • Conclua as seguintes tarefas em Laboratório 2Conclua as seguintes tarefas em Laboratório 2 ▪ Tarefa 2.1: Use o Assistente de configuração inicial para configurar um firewall Sophos XG ▪ Tarefa 2.2: Configurar um novo Sophos XG Firewall importando um backup de configuração ▪ Tarefa 2.3: Navegue no WebAdmin ▪ Tarefa 2.4: Configurar zonas e interfaces ▪ Tarefa 2.5: Criar rotas estáticas ▪ Tarefa 2.6: Criar definições ▪ Tarefa 2.7: Configurar rotas de solicitação de DNS ▪ Tarefa 2.8: Importar certificados de CA ▪ Tarefa 2.9: Criar um backup de configuração ▪ Tarefa 2.10: Restaurar um backup de configuração em um firewall XG Certifique-se de ler as anotações incluídas na pasta de trabalho do laboratório. como você pode ser testado em qualquer coisa nos laboratórios, bem como na teoria Conclua as seguintes tarefas em Laboratório 2Conclua as seguintes tarefas em Laboratório 2 • Tarefa 2.1: Use o Assistente de configuração inicial para configurar um firewall Sophos XG • Tarefa 2.2: Configurar um novo Sophos XG Firewall importando um backup de configuração • Tarefa 2.3: Navegue no WebAdmin • Tarefa 2.4: Configurar zonas e interfaces • Tarefa 2.5: Criar rotas estáticas • Tarefa 2.6: Criar definições • Tarefa 2.7: Configurar rotas de solicitação de DNS • Tarefa 2.8: Importar certificados de CA • Tarefa 2.9: Criar um backup de configuração • Tarefa 2.10: Restaurar um backup de configuração em um firewall XG Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa do Laboratório 1 1.1 Certifique-se de reservar um tempo para ler as anotações incluídas na pasta de trabalho do laboratório, pois pode ser testado em qualquer coisa dos laboratórios, bem como na teoria. Engenheiro de firewall XG - 141 142 Revisão do módulo • Na conclusão deste módulo, você pode agora: ✓ Descrever os modos de implantação do XG Firewall✓ Descrever os modos de implantação do XG Firewall ✓ Configurar um firewall XG usando o Assistente de configuração inicial✓ Configurar um firewall XG usando o Assistente de configuração inicial ✓ Navegue no WebAdmin e gerencie objetos✓ Navegue no WebAdmin e gerencie objetos ✓ Explique o que são zonas e liste as zonas padrão do sistema✓ Explique o que são zonas e liste as zonas padrão do sistema ✓ Configurar rede básica✓ Configurar rede básica ✓ Gerenciar acesso e certificados do dispositivo✓ Gerenciar acesso e certificados do dispositivo ✓ Listar os tipos de roteamento suportados no XG Firewall✓ Listar os tipos de roteamento suportados no XG Firewall ✓ Configurar roteamento estático✓ Configurar roteamento estático Ao concluir este módulo, agora você poderá executar as ações mostradas aqui. Reserve um momento para analisá-las. Se você não tem certeza de que alcançou esses objetivos, revise o material abordado neste módulo. Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir. Engenheiro de firewall XG - 142 Olá, este é o curso de treinamento certificado pela Sophos para o Sophos XG Firewall. Este é o Módulo 3: Proteção de rede. Engenheiro Certificado Sophos Sophos XG Firewall ET80 - Proteção de rede ET803 Versão de março de 2019: 17.5v1 Versão do produto: Sophos XG Firewall 17.5 © 2019 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documentopode ser usada ou reproduzida de qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos. Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados neste documento podem ser marcas comerciais ou marcas comerciais registradas da Sophos Limited ou de seus respectivos proprietários. Embora tenha sido tomado um cuidado razoável na preparação deste documento, a Sophos não oferece garantias, condições ou representações (expressas ou implícitas) quanto à sua completude ou precisão. Este documento está sujeito a alterações a qualquer momento sem aviso prévio. A Sophos Limited é uma empresa registrada na Inglaterra, número 2096520, com sede no Pentágono, Abingdon Science Park, Abingdon, Oxfordshire, OX14 3YP. Engenheiro Certificado Sophos Sophos XG Firewall Módulo 3: Proteção de rede Versão 17.5 Engenheiro de firewall XG - 145 Proteção de rede Batimento cardíaco de segurança Regras de firewall Prevenção de intrusões Proteção avançada contra ameaças • Configuração avançada de proteção contra ameaças • Regras de Usuário / Rede • Regras de Aplicativo de Negócios • Gerenciando regras de firewall • Como funciona a pulsação do coração de segurança • Habilitando a pulsação de segurança • Configuração de pulsação de segurança • Políticas de IPS • Proteção contra DoS e Spoof Os recursos de proteção do XG Firewall são reunidos e gerenciados nas regras do firewall. Neste módulo, você aprenderá os diferentes tipos de regras de firewall que podem ser criadas no XG Firewall e como configurá-las e gerenciá-las. Você também aprenderá como habilitar e configurar recursos e políticas de proteção adicionais, incluindo prevenção de intrusões e pulsação de segurança, e utilizá-los para melhorar a segurança fornecida pelas regras básicas de firewall. Engenheiro de firewall XG - 146 Regras de firewall Engenheiro de firewall XG - 148 R e g r a s d e f i r e w a l l Regras de firewall Regra de rede Regra de Aplicativo de Negócios Regra do Usuário O Sophos XG Firewall é desenvolvido com base nas regras de firewall, que reúnem políticas para filtragem da Web, filtragem de email, proteção de servidor da Web e modelagem de tráfego, em um único conjunto de regras. Isso fornece aos administradores um único local para configurar como todo o tráfego é processado pelo firewall. Todas essas políticas são criadas usando zonas e objetos para tornar a configuração e o gerenciamento o mais simples possível. Além de mostrar a origem, o destino, os serviços e as ações de cada regra de firewall, no lado direito há uma seção de indicadores que mostra quais áreas de uma política estão ativadas. Ao passar o mouse sobre o indicador, um pop-up mostra mais detalhes sobre cada seção da regra do firewall. Você notará que existem ícones diferentes para as regras de firewall que indicam se são uma regra de aplicativo de negócios, uma regra de rede ou uma regra de usuário. Engenheiro de firewall XG - 149 R e g r a s d e f i r e w a l l As regras de firewall são regras de usuário / rede ou regras de aplicativo comercial. As regras de usuário ou de rede são muito semelhantes, com a principal diferença: as regras de usuário controlarão o tráfego com base na identidade do usuário, e não apenas no endereço IP ou MAC. Nas regras de usuário ou de rede, você pode aplicar políticas para filtragem da Web, controle de aplicativos, prevenção de intrusões e modelagem de tráfego. As Regras de Aplicativo de Negócios são usadas para publicar e proteger aplicativos e servidores de negócios internos ou hospedados publicamente, como SharePoint ou servidores de email. Para tornar a proteção dos recursos comuns de negócios o mais simples possível, o firewall Sophos XG vem com vários modelos pré-configurados. Tipos de regra de firewall • Regras baseadas em identidade • Regras baseadas em endereço IP / MAC • Filtragem da Web • Controle de aplicação • Modelagem de tráfego • Prevenção de intrusões Regra de usuário / rede • Servidores da Web com WAF (Web Application Firewall) • Servidores de email com proteção de email • Servidores / serviços internos usando NAT • Configuração baseada em modelo Regra de Aplicativo de Negócios Engenheiro de firewall XG - 150 R e g r a s d e f i r e w a l l Regras de firewall Ícone vermelho de forma diferente para soltar e rejeitar Acinzentado com texto tachado para desativado A cor e a forma do plano de fundo do ícone da regra de firewall indica se a regra permite ou bloqueia o tráfego ou se a regra está desabilitada. As regras desativadas também usam um texto tachado acinzentado para facilitar a distinção das regras ativas. Engenheiro de firewall XG - 151 R e g r a s d e f i r e w a l l Regras de firewall Arraste as regras de firewall para reordená-las Clique nas elipses para abrir o menu As regras do firewall podem ser reordenadas mais facilmente, basta pegar o ícone de movimentação no lado esquerdo da regra e arrastá-lo para a nova posição. A ordem dos firewalls é importante porque o XG Firewall testará pacotes contra as regras em ordem e a primeira regra a ser usada. Pacotes que não correspondem a uma regra estão bloqueados. Na extremidade direita da regra do firewall, clicar nas reticências abrirá o menu onde você pode ativar e desativar as regras, editá-las, cloná-las e muito mais. Engenheiro de firewall XG - 152 R e g r a s d e f i r e w a l l Regras de firewall Selecione um grupo existente Crie um novo grupo Você também pode agrupar regras de firewall para facilitar ainda mais o gerenciamento de grandes conjuntos de regras. Para adicionar uma regra a um grupo, use o menu para criar um novo grupo para a regra ou selecione um grupo existente. Engenheiro de firewall XG - 153 R e g r a s d e f i r e w a l l Regras de firewall • Regra de usuário / rede • Regra de rede • Regra do usuário • Regra de aplicativo de negócios Ao criar um novo grupo, você só precisa fornecer um nome, embora também recomendamos a inclusão de uma descrição clara. Além disso, você pode especificar propriedades para o grupo usando o tipo de regra de firewall e as zonas de origem e destino das regras que ele conterá. Essas propriedades são usadas para tentar corresponder automaticamente as novas regras de firewall ao grupo relevante. Engenheiro de firewall XG - 154 R e g r a s d e f i r e w a l l Regras de firewall Arraste grupos para reordená-los Mostra o número de regras no grupo Expandir e recolher grupos O ícone do grupo mostra o número de regras que estão no grupo e os grupos podem ser facilmente expandidos e recolhidos para controlar o que está na tela. Grupos inteiros de regras também podem ser arrastados para novas posições da mesma maneira que regras de firewall individuais. Engenheiro de firewall XG - 155 R e g r a s d e f i r e w a l l Regras de firewall Desanexar uma regra de um grupo As regras também podem ser removidas dos grupos selecionando Destacar no menuAs regras também podem ser removidas dos grupos selecionando Destacar no menuAs regras também podem ser removidas dos grupos selecionando Destacar no menu Engenheiro de firewall XG - 156 R e g r a s d e f i r e w a l l Regras de firewall Filtrar regras usando as opções suspensas Procure um ID de regra A filtragem de regras de firewall e a pesquisa por ID da regra oferecem suporte total a grupos e apresentam resultados de uma maneira que mantém a estrutura do grupo. Engenheiro de firewall XG - 157 R e g r a s d e f i r e w a l l Atividade Combine os ícones de regra de firewall com seus significados Permitir regra de rede Eliminar regra do usuário Grupo de Regras Regra de rede desativada Regra de usuário desativado Permitir regra de aplicativo de negócios Rejeitar regra de rede Permitir regra do usuário Engenheiro de firewall XG - 158 R e g r a sd e f i r e w a l l junio Seta junio Seta junio Seta junio Seta junio Seta junio Seta junio Seta junio Seta Como já mencionamos, o XG Firewall é um firewall orientado a objetos baseado em zona. Isso torna a criação de regras e políticas no firewall XG fácil e flexível. Regras básicas de rede podem ser criadas para controlar o tráfego entre diferentes zonas ou entre redes e hosts dentro das zonas. O tráfego permitido por uma regra básica de filtro de pacotes pode ser examinado posteriormente por módulos como o O módulo IPS e a pulsação de segurança do cliente para determinar se esse tráfego será permitido ou bloqueado. Regras de firewall Tráfego Filtro de pacotes Regras IPS Batimento cardíaco de segurança Permitido Bloqueado Engenheiro de firewall XG - 160 R e g r a s d e f i r e w a l l O Assistente de configuração inicial cria uma regra de diretiva de rede padrão no XG Firewall para permitir o tráfego da LAN para a WAN. Dependendo das opções selecionadas durante o Assistente de Configuração Inicial, várias opções de segurança serão ativadas para esta regra, incluindo a ativação de uma verificação de malware e uma política da Web básica. Você também notará uma regra de firewall automática criada para permitir que o XG Firewall execute a filtragem de email. Diretiva de rede padrão Engenheiro de firewall XG - 161 R e g r a s d e f i r e w a l l Criando uma regra de usuário / rede Para começar a criar uma nova regra, comece clicando no Adicionar regra de firewall botão localizado no canto superior direito do PROTEGER> Para começar a criar uma nova regra, comece clicando no Adicionar regra de firewall botão localizado no canto superior direito do PROTEGER> Para começar a criar uma nova regra, comece clicando no Adicionar regra de firewall botão localizado no canto superior direito do PROTEGER> Para começar a criar uma nova regra, comece clicando no Adicionar regra de firewall botão localizado no canto superior direito do PROTEGER> Firewall seção do WebAdmin no firewall XG. Firewall seção do WebAdmin no firewall XG. Em seguida, clique no Regra de usuário / rede opção.Em seguida, clique no Regra de usuário / rede opção.Em seguida, clique no Regra de usuário / rede opção. Engenheiro de firewall XG - 162 R e g r a s d e f i r e w a l l Criando uma regra de usuário / rede Nome da regra, posição e grupo Definir onde o tráfego se origina e agendar Destino de tráfego e serviços monitorados Ao criar uma nova regra, é útil, mas não obrigatório, que todos os seus objetos e serviços sejam criados com antecedência. Comece nomeando a regra e adicionando uma descrição para ajudar outras pessoas a entender o objetivo da regra. Em seguida, selecione onde a regra é colocada na lista atual de regras de firewall existentes. Você também pode selecionar manualmente um grupo ou permitir que o XG Firewall tente atribuí-lo automaticamente a um grupo com base na configuração selecionada ao longo da regra. Usando uma das três opções, selecione se deseja que esta regra permita, elimine ou rejeite o tráfego que será processado pela regra. Na seção Fonte, use o Adicionar novo item para selecionar as zonas que contêm as redes de origem. Certifique-se de clicar Na seção Fonte, use o Adicionar novo item para selecionar as zonas que contêm as redes de origem. Certifique-se de clicar Na seção Fonte, use o Adicionar novo item para selecionar as zonas que contêm as redes de origem. Certifique-se de clicar no Aplique botão verde quando você desmarcou as zonas a serem incluídas. Se você deseja isolar redes ou hosts específicos, no Aplique botão verde quando você desmarcou as zonas a serem incluídas. Se você deseja isolar redes ou hosts específicos, no Aplique botão verde quando você desmarcou as zonas a serem incluídas. Se você deseja isolar redes ou hosts específicos, selecione-os em Redes e dispositivos de origem. Uma programação também pode ser aplicada a esta regra para que ela seja processada apenas em determinados horários da semana; o padrão é processar a regra sempre. Por fim, na seção Destino e serviços, selecione as zonas e redes de destino para as quais o tráfego estará indo e, finalmente, os serviços que você deseja permitir ou bloquear. Lembre-se de clicar e clicar no botão Salvar no canto inferior esquerdo para concluir a regra. Dica: Você pode visualizar facilmente a configuração de objetos de zona, rede e serviço passando o mouse sobre eles.Dica: Você pode visualizar facilmente a configuração de objetos de zona, rede e serviço passando o mouse sobre eles. Engenheiro de firewall XG - 163 R e g r a s d e f i r e w a l l Criando uma regra de usuário / rede Mais abaixo na regra do firewall, você pode ativar a correspondência do usuário. Isso a torna uma regra de usuário e não apenas uma regra de rede. Veremos isso no módulo de autenticação. Você também pode ativar a verificação de malware de FTP, HTTP e HTTPS., Bloquear o Google QUIC e ativar a verificação Sophos Sandstorm. O Google QUIC fornece HTTPS sobre UDP, no entanto, para o XG Firewall poder executar uma inspeção SSL completa, é necessário bloquear o QUIC forçando um fallback ao TCP. Observe que, se você ativar a verificação HTTPS, precisará garantir que o certificado CA XG tenha sido instalado em seus clientes para evitar erros de certificado nos navegadores do usuário. Na seção Avançado, você pode: • Selecione quais políticas você deseja aplicar ao tráfego que corresponde à regra do firewall • Ativar segurança sincronizada (veremos isso com mais detalhes posteriormente neste módulo) • Habilitar e configurar NAT e roteamento Por fim, você pode optar por registrar o tráfego que corresponde à regra do firewall. Engenheiro de firewall XG - 164 R e g r a s d e f i r e w a l l Na maioria dos casos, o tráfego através de um firewall precisa ser bidirecional, ou seja, não apenas permitimos que as pessoas se comuniquem internamente com o mundo externo, mas também pessoas e servidores na Internet se comuniquem com alguns de nossos servidores internos. Pode haver muitos motivos para isso, desde o recebimento de emails de servidores externos até o acesso dos usuários aos recursos dentro da rede quando estão fora do escritório. Qualquer que seja o motivo, os servidores precisam ser publicados através do firewall para fornecer serviços e receber informações. Regra de Aplicativo de Negócios Firewall XG Internet Servidor Servidor Servidor SMTP SMTP RDP RDP Engenheiro de firewall XG - 165 R e g r a s d e f i r e w a l l Regra de Aplicativo de Negócios No firewall XG, a opção para permitir tráfego externo para o dispositivo que não se origina de uma fonte interna é feita com uma Regra de Aplicativo de Negócios. Vamos dar uma olhada na criação de uma regra básica de NAT ou DNAT de destino no firewall do Sophos XG. Isso é feito navegando primeiro para PROTEGER> Firewall e depois clicando no Adicionar regra de firewall , como se você estivesse adicionando uma nova regra de firewall, PROTEGER> Firewall e depois clicando no Adicionar regra de firewall , como se você estivesse adicionando uma nova regra de firewall, PROTEGER> Firewall e depois clicando no Adicionar regra de firewall , como se você estivesse adicionando uma nova regra de firewall, PROTEGER> Firewall e depois clicando no Adicionar regra de firewall , como se você estivesse adicionando uma nova regra de firewall, somente desta vez selecionaremos a opção para Regra de Aplicativo de Negócios.somente desta vez selecionaremos a opção para Regra de Aplicativo de Negócios. Engenheiro de firewall XG - 166 R e g r a s d e f i r e w a l l Regra de Aplicativo de Negócios Na tela Adicionar Regra de Aplicativo de Negócios, primeiro selecione um modelo de aplicativo. Existem vários modelos de aplicativos pré-configurados que podem ser usados, no entanto, veremos a criação de uma regra DNAT básica. Engenheiro de firewall XG - 167 R e g r a s d e fi r e w a l l Após a seleção do Modelo de aplicativo, podemos dar à regra um nome e uma descrição e selecionar a Posição da regra. Em seguida, selecione a zona da qual o tráfego será proveniente. Isso ajudará a definir onde o XG espera que as solicitações sejam originadas. Em seguida, defina as redes de clientes permitidas selecionando objetos IP, isso geralmente é definido como QUALQUER, e defina quaisquer objetos IP bloqueados que não poderão acessar o serviço. Selecione o Host / rede de destino, que é o endereço no firewall XG que aceitará a solicitação e selecione o serviço ou serviços a serem encaminhados. Regra de Aplicativo de Negócios Nome, cargo e grupo O tráfego da zona é originado de IPs de cliente permitidos e bloqueados Escuta externa endereço Serviços) Engenheiro de firewall XG - 168 R e g r a s d e f i r e w a l l Na seção Encaminhar para, o servidor para o qual os pacotes serão encaminhados é definido. Nos servidores protegidos, selecione um ou mais servidores para os quais encaminhar as informações e, opcionalmente, você pode alterar a porta usada quando o tráfego é encaminhado para o servidor protegido. Nota: se você selecionar vários serviços ou um serviço que não seja uma única porta ou intervalo ou portas, não Nota: se você selecionar vários serviços ou um serviço que não seja uma única porta ou intervalo ou portas, não poderá alterar o destino. Nesse caso, para poder alterar as portas, você precisaria criar regras separadas para cada serviço. Selecione a zona em que o servidor reside. Isso é usado para aplicar políticas para proteger o servidor. Na seção Avançado, podemos aplicar uma política IPS à regra para verificar qualquer tráfego e, finalmente, há uma opção para registrar todo o tráfego e não apenas os pacotes descartados. Como sempre, certifique-se de clicar no Salve • quando terminar de fazer tráfego e não apenas os pacotes descartados. Como sempre, certifique-se de clicar no Salve • quando terminar de fazer tráfego e não apenas os pacotes descartados. Como sempre, certifique-se de clicar no Salve • quando terminar de fazer alterações na regra. Regra de Aplicativo de Negócios Servidor Interno Altere opcionalmente o Porto de destino Zona para o servidor Política de IPS Registrar todo o tráfego Engenheiro de firewall XG - 169 R e g r a s d e f i r e w a l l Prevenção de intrusões Engenheiro de firewall XG - 170 P r e v e n ç ã o d e i n t r u s õ e s Visão geral do sistema de prevenção de intrusões O firewall XG vem com várias políticas de segurança IPS predefinidas que podem ser encontradas em PROTEGER> Prevenção de intrusões> Políticas de IPS. Essas políticas abrangem a maioria dos cenários cotidianos PROTEGER> Prevenção de intrusões> Políticas de IPS. Essas políticas abrangem a maioria dos cenários cotidianos que um administrador encontraria em uma rede média. As seis primeiras políticas não podem ser modificadas, mas são muito úteis para segurança de zona a zona enquanto as quatro últimas políticas podem ser usadas como estão, mas podem ser personalizadas para melhor atender às necessidades de segurança de uma rede. Um administrador também pode criar suas próprias políticas de IPS clicando no Adicionarsegurança de uma rede. Um administrador também pode criar suas próprias políticas de IPS clicando no Adicionar botão. Engenheiro de firewall XG - 171 P r e v e n ç ã o d e i n t r u s õ e s Uma política IPS consiste em um nome para identificar a política. O nome é limitado a quinze caracteres, incluindo espaços. A descrição deve ser usada para identificar melhor o objetivo da política. Opcionalmente, você pode clonar uma política existente para incluir todas as regras existentes. Quando essas informações forem preenchidas, clique no botão Salvar e ele retornará à tela principal. A partir daí, edite a política para começar a adicionar regras. Política do Sistema de Prevenção de Intrusões Nome de 15 caracteres Longa descrição Clonar política existente Engenheiro de firewall XG - 172 P r e v e n ç ã o d e i n t r u s õ e s Após clicar na sua política de IPS recém-criada, você poderá começar a adicionar regras de IPS ou editar as regras existentes se tiver clonado outra política. Neste exemplo, estamos adicionando uma regra para proteger os usuários do Windows que navegam na Internet. Como na maioria dos itens, atribua à nova regra um nome descritivo. Usando o editor de regras de política, você pode selecionar rápida e facilmente os padrões IPS desejados por categoria, gravidade, plataforma e tipo de destino, com suporte para listas de filtros inteligentes persistentes que serão atualizadas automaticamente à medida que novos padrões forem adicionados, que correspondam aos critérios selecionados. Por exemplo, você pode usar o filtro inteligente para selecionar todas as assinaturas relacionadas a um aplicativo específico. O XG Firewall inclui a biblioteca comercial de assinaturas IPS da Talos da Cisco. Aumentamos a biblioteca do Talos com assinaturas adicionais, conforme necessário, para garantir a proteção ideal contra invasões. Para aqueles que se perguntam, o Talos é um grupo de análise de segurança de rede altamente respeitado que trabalha o tempo todo para responder às últimas tendências em hackers, invasões e malware ... assim como nossos próprios SophosLabs. Portanto, essa é uma ótima parceria que reforça nossa proteção IPS e também fornece controles de política IPS mais granulares. Regras do sistema de prevenção de intrusões Selecione os critérios de filtro no menu suspenso ou insira o texto filtro Inclusão de assinaturas do Talos IPS Engenheiro de firewall XG - 173 P r e v e n ç ã o d e i n t r u s õ e s Para aplicar uma política IPS a uma regra de rede de firewall, edite a regra existente e role para baixo até a seção Avançado. As políticas de IPS podem ser aplicadas às regras de usuário / rede e regras de aplicativos de negócios. Aplicação do Sistema de Prevenção de Intrusões Engenheiro de firewall XG - 174 P r e v e n ç ã o d e i n t r u s õ e s Proteção contra DoS e Spoof Além da proteção que pode ser configurada nas políticas de segurança, existem serviços globais de proteção que podem ser ativados, incluindo proteção contra negação de serviço (DoS) e falsificação de IP. Começaremos com a proteção contra falsificação. Antes de ativar a proteção contra spoof, você precisa adicionar pelo menos uma entrada na lista MAC confiável. Isso mapeia um endereço MAC para um ou mais endereços IP estáticos ou para um endereço IP DHCP, que são considerados válidos. Você pode ativar a proteção contra spoof de três maneiras por zona: • Falsificação de IP - os pacotes serão descartados se a entrada de rota correspondente não estiver disponível • Filtro MAC - os pacotes serão descartados se os endereços MAC não estiverem configurados como MACs confiáveis • Filtro de par IP-MAC - os pacotes serão descartados se o IP e o MAC não corresponderem a nenhuma entrada na lista confiável de IP-MAC Além desses três modos, há a opção de restringir o IP desconhecido no MAC confiável. Com essa opção ativada, qualquer tráfego de um endereço IP que não esteja na lista confiável do endereço MAC de origem é eliminado. Portanto, é necessário ter cuidado com essa opção. Engenheiro de firewall XG - 175 P r e v e n ç ã o d e i n t r u s õ e s Um ataque de negação de serviço (DoS) é um método usado por hackers para impedir ou negar o acesso de usuários legítimos a um serviço. Os ataques de DoS geralmente são executados enviando muitos pacotes de solicitação para um servidor de destino (geralmente um servidor da Web, FTP ou correio) que inunda os recursos do servidor, tornando o sistema inutilizável. O objetivo deles não é roubar as informações, mas desativar ou privar um dispositivo ou rede para que os usuários não tenham mais acesso aos serviços / recursos de rede. Todos os servidorespodem lidar com o volume de tráfego até o máximo, além do qual eles ficam desativados. Portanto, os invasores enviam um volume muito alto ou tráfego redundante para um sistema, para que ele não possa acompanhar o tráfego ruim e permitir o tráfego de rede permitido. A melhor maneira de proteger contra um ataque de negação de serviço é identificar e bloquear esse tráfego redundante. Aqui podemos ver a configuração para um ataque de inundação SYN. O administrador pode definir a taxa de pacotes permitida por minuto para cada fonte e destino, bem como uma taxa de burst para cada fonte e destino em pacotes por segundo. Quando a taxa de burst é ultrapassada, o Sophos XG Firewall o considera um ataque e fornece proteção contra ataques de DoS eliminando todos os pacotes em excesso da origem ou destino específico. O firewall continuará descartando os pacotes até o ataque diminuir. Como o dispositivo aplica valores limite por endereço IP, apenas o tráfego da origem ou destino específico será descartado. O restante do tráfego da rede continuará sendo processado normalmente. Proteção contra DoS e Spoof Engenheiro de firewall XG - 176 P r e v e n ç ã o d e i n t r u s õ e s Batimento cardíaco de segurança Engenheiro de firewall XG - 177 B a t i m e n t o c a r d í a c o d e s e g u r a n ç a O Security Heartbeat fornece comunicação inteligente entre os terminais gerenciados no Sophos Central e o XG Firewall, para que possam coordenar sua resposta a ameaças. O computador envia uma pequena pulsação regular ao XG Firewall para se identificar e mostrar que ainda está ativo e protegido. Quando ocorre um evento, como uma detecção de malware, as informações sobre o evento são compartilhadas com o XG Firewall. O computador anuncia seu status de integridade ao XG Firewall, que pode ser VERDE, AMARELO ou VERMELHO. Se o XG Firewall detectar um ataque avançado, ele poderá solicitar detalhes adicionais do terminal, como o nome do processo. O XG Firewall pode usar as informações de pulsação e integridade dos terminais para controlar o acesso a hosts e redes. Visão geral da pulsação de segurança • Requer computadores gerenciados Sophos Central • Comunicação entre computador e firewall o Batimento cardiacoo Batimento cardiaco o Eventoso Eventos o Estado de saúdeo Estado de saúde o Identificação da fonte da ameaçao Identificação da fonte da ameaça • Controle de acesso baseado em informações de pulsação Engenheiro de firewall XG - 178 B a t i m e n t o c a r d í a c o d e s e g u r a n ç a Aqui você pode ver o que significa cada status de pulsação. Se um computador tiver um status VERDE, isso significa que o Endpoint Agent está em execução (para que o computador esteja protegido) e que nenhum malware ativo ou inativo ou PUAs (aplicativos potencialmente indesejados) tenham sido detectados. Se o computador tiver um status AMARELO, o Endpoint Agent estará em execução para que o computador ainda esteja protegido, mas um malware inativo ou um PUA foi detectado. Quando um computador tem um status VERMELHO, isso pode indicar que o Endpoint Agent pode não estar em execução, portanto, o computador pode não estar protegido. Como alternativa, isso pode significar que malware ativo foi detectado ou malware que não foi limpo, tráfego de rede malicioso foi detectado ou comunicação com um host inválido conhecido. Status de pulsação de segurança VERDE Sem risco - nenhuma ação é necessária O Endpoint Agent está em execução Nenhum malware ativo ou inativo Nenhum PUA detectado AMARELO Risco médio - pode ser necessária uma ação O Endpoint Agent está em execução Malware inativo detectado ou PUA detectado VERMELHO Alto risco - é necessária ação O Endpoint Agent pode não estar em execução / os dispositivos podem não estar protegidos Malware ativo ou malware não limpo, tráfego de rede mal-intencionado (por exemplo, para uma rede de comando e controle conhecida) ou comunicação com um host inválido conhecido Engenheiro de firewall XG - 179 B a t i m e n t o c a r d í a c o d e s e g u r a n ç a Vamos dar uma olhada em como o Security Heartbeat funciona. Como mencionamos no slide anterior, o Security Heartbeat trabalha com computadores que executam a Proteção ao Usuário do Sophos e estão sendo gerenciados pelo Sophos Central. O XG Firewall precisa ser registrado no Sophos Central, que fornecerá uma lista de computadores que está gerenciando. O computador iniciará uma conexão com o XG Firewall e, se for um computador gerenciado pela mesma conta do Sophos Central, será estabelecido um canal de comunicação bidirecional. Observe que o Security Heartbeat é suportado apenas quando os computadores estão conectados à rede local ou ao XG Firewall por meio de uma VPN. O Heartbeat de segurança não é suportado na zona WAN. Firewall XG Como funciona a pulsação do coração de segurança Computador Sophos Central O computador deve ser gerenciado por Sophos Central O XG Firewall se registra no Sophos Central e obtém uma lista de computadores O computador estabelece um canal de comunicação bidirecional com o XG Firewall Os computadores devem estar conectados à rede local ou ao XG Firewall via VPN Engenheiro de firewall XG - 180 B a t i m e n t o c a r d í a c o d e s e g u r a n ç a Vejamos o que aconteceria se um malware fosse detectado em um computador com Security Heartbeat. Quando um malware é detectado no computador, o Security Heartbeat envia informações de eventos e seu novo status de integridade ao XG Firewall. O XG Firewall pode impedir o computador comprometido de se conectar a outros computadores ou servidores, protegendo-os de uma possível infecção. Depois que o Sophos Endpoint Agent tiver limpado o malware; O Heartbeat de segurança enviará seu status de integridade atualizado ao XG Firewall, e o XG Firewall pode permitir que ele acesse hosts e redes normalmente. ZONA DE SUPORTE Como funciona a pulsação do coração de segurança Computador Firewall XG Internet Protegido Protegido INTRANET ZONA ZONA DE VENDAS Servidor Servidor Servidor Computador Computador Computador Engenheiro de firewall XG - 181 B a t i m e n t o c a r d í a c o d e s e g u r a n ç a No XG Firewall Control Center, você pode ver o número de computadores que têm cada nível de status de integridade do Security Heartbeat na seção 'User & Device Insights' no lado direito. Neste exemplo, podemos ver que temos um computador com um status de risco RED. Alertas de pulsação de segurança Engenheiro de firewall XG - 182 B a t i m e n t o c a r d í a c o d e s e g u r a n ç a Ao clicar no widget Security Heartbeat no Centro de Controle, você pode obter mais informações, incluindo o nome do host e o endereço IP dos computadores, e o usuário que efetuou login. Há também um link para o Sophos Central, onde você pode obter mais detalhes e tomar medidas para remediar a causa do alerta. Nos casos em que o XG Firewall detectou que um computador foi comprometido por um ataque avançado, ele pode ter solicitado informações mais detalhadas, que estarão disponíveis na seção ATP. Aqui podemos ver a ameaça que foi detectada e o nome do processo envolvido. Alertas de pulsação de segurança Link para Sophos Central Usuário e computador com o alerta Ameaça e processo em formação Engenheiro de firewall XG - 183 B a t i m e n t o c a r d í a c o d e s e g u r a n ç a Ativar pulsação de segurança Nos próximos slides, veremos como habilitar e configurar o Security Heartbeat no XG Firewall. Antes de começar a usar o Security Heartbeat, o XG Firewall precisa ser registrado com uma conta Sophos Central. Isso pode ser feito no Centro de Controle, usando o widget Security Heartbeat. Isso levará você a PROTEGER> Sincronização central. Aqui você precisa digitar o nome de usuário e a senha de um Isso levará você a PROTEGER> Sincronização central. Aqui você precisa digitar o nome de usuário ea senha de um Isso levará você a PROTEGER> Sincronização central. Aqui você precisa digitar o nome de usuário e a senha de um administrador da sua conta do Sophos Central. Depois que o XG Firewall se registrar no Sophos Central, você poderá selecionar para quais zonas deseja que o XG Firewall detecte batimentos cardíacos ausentes e ativar o Controle de Aplicativo Sincronizado. Engenheiro de firewall XG - 184 B a t i m e n t o c a r d í a c o d e s e g u r a n ç a Ativar pulsação de segurança • Registre o XG Firewall no Sophos Central o Um firewall XG pode ser associado apenas a uma conta Centralo Um firewall XG pode ser associado apenas a uma conta Central o Uma conta Central pode ter vários XG Firewallso Uma conta Central pode ter vários XG Firewalls No Sophos Central, você pode ver os XG Firewalls registrados em Configurações globais> Dispositivos de firewall registrados.No Sophos Central, você pode ver os XG Firewalls registrados em Configurações globais> Dispositivos de firewall registrados. Um XG Firewall pode ser registrado apenas com uma conta Sophos Central. Se você tiver vários sites, poderá registrar vários XG Firewalls na sua conta Sophos Central, e os computadores estabelecerão um batimento cardíaco com o que o XG Firewall estiver a caminho da Internet. Engenheiro de firewall XG - 185 B a t i m e n t o c a r d í a c o d e s e g u r a n ç a Agora que o XG Firewall está registrado no Sophos Central, os computadores estabelecerão automaticamente um batimento cardíaco, mas o XG Firewall não executará nenhuma ação com essas informações. Para executar uma ação com base no status Security Heartbeat, aplique as restrições nas regras do firewall. As restrições podem se basear no status de pulsação de segurança da origem ou do destino. Isso significa que você pode usar o Security Heartbeat para impedir que um computador comprometido acesse outros hosts ou redes, mas também pode impedir que os computadores acessem hosts que foram comprometidos. As restrições são configuradas com base no status mínimo de integridade da origem ou destino, VERDE, AMARELO ou Sem restrição. Você também pode exigir um batimento cardíaco. Isso significa que um computador que não esteja executando o Endpoint Agent da Sophos e não seja gerenciado pela sua conta do Sophos Central não atenderia aos critérios. Isso pode ser usado para bloquear prestadores de serviços e dispositivos rouge. Observe que as restrições de pulsação de segurança de destino não podem ser aplicadas a computadores na zona WAN. Configuração de pulsação de segurança • Configurar restrições de pulsação de segurança nas regras de firewall • Regras de origem e destino • Estado mínimo de saúde • Exigir batimentos cardíacos Engenheiro de firewall XG - 186 B a t i m e n t o c a r d í a c o d e s e g u r a n ç a Aqui estão três regras de firewall que foram configuradas com restrições de pulsação de segurança. Na primeira regra, o indicador 'HB' do batimento cardíaco é amarelo; portanto, é necessário um batimento cardíaco de origem mínimo em amarelo. Na segunda regra, o indicador 'HB' para o batimento cardíaco é verde; portanto, é necessário um batimento cardíaco de origem mínimo em verde. Na última regra, o indicador 'HB' para a pulsação é verde e possui um sinal de adição, portanto, é necessária uma pulsação mínima de origem de verde. E os clientes sem pulsação serão bloqueados. O indicador de pulsação nas regras de firewall mostra apenas restrições baseadas na origem, não restrições baseadas no destino. Regras de firewall com pulsação de segurança • Indicador para restrições de pulsação com base na fonte Pulsação mínima da fonte AMARELO Pulsação mínima da fonte VERDE Pulsação mínima da fonte Clientes GREEN Block sem pulsação Engenheiro de firewall XG - 187 B a t i m e n t o c a r d í a c o d e s e g u r a n ç a Se uma solicitação da Web dos usuários for bloqueada devido a restrições de pulsação de segurança baseadas na origem, elas verão a página de bloqueio mostrada aqui. Isso explica claramente que o acesso à rede dos usuários foi restrito devido ao status de pulsação de segurança. Se o acesso for bloqueado devido a restrições de pulsação de segurança baseadas no destino, a página de bloqueio explicará que o destino está sendo bloqueado. Página de bloqueio de pulsação de segurança Engenheiro de firewall XG - 188 B a t i m e n t o c a r d í a c o d e s e g u r a n ç a Regras do IPS para status de integridade vermelho Firewall XG Ponto final 1. Regra IPS acionada no XG Firewall 2. O XG Firewall envia uma mensagem ao terminal para alterar seu status de integridade para vermelho 3. O endpoint reporta informações sobre o processo que acionou o IPS regra Uma pulsação vermelha pode ser acionada por detecção de tráfego malicioso, tentativas de ligar para casa, o mecanismo ATP ou o terminal que identifica uma ameaça. As detecções de IPS de terminais comprometidos que tentam explorar uma vulnerabilidade também podem desencadear uma condição de batimento cardíaco vermelho e proteção lateral de movimento, melhorando ainda mais a proteção contra ameaças na rede. Engenheiro de firewall XG - 189 S a ú d e v e r m e l h a s t a t u s P r o c e s s o d e i n f o r m a ç ã o B a t i m e n t o c a r d í a c o d e s e g u r a n ç a Proteção de movimento lateral Security Heartbeat ™ Servidor do Active Directory Firewall XG Internet Pontos finais da Sophos O XG informa instantaneamente todos os endpoints saudáveis para ignorar qualquer tráfego de um dispositivo comprometido Os pontos de extremidade com integridade verde ainda têm acesso normal à rede A Segurança sincronizada também pode isolar pontos de extremidade não íntegros de outros pontos de extremidade no mesmo domínio de broadcast ou segmento de rede. Em muitas redes, vários pontos de extremidade geralmente são conectados por meio de um switch ao firewall e têm acesso irrestrito um ao outro nesse segmento de rede sem nenhum controle de firewall. Isso tornou impossível para o firewall intervir e impedir que ameaças se movessem lateralmente pelo switch. Com a proteção de movimento lateral, todos os endpoints saudáveis são instruídos automaticamente a ignorar qualquer tráfego proveniente de endpoints não saudáveis, isolando-os completamente até que possam ser limpos. Depois de limpo, o status do Security Heartbeat ™ retornará ao verde e a conectividade com outros sistemas na rede será restaurada automaticamente. Engenheiro de firewall XG - 190 B a t i m e n t o c a r d í a c o d e s e g u r a n ç a Proteção de movimento lateral Firewall XG Internet Switch Switch 2 nd Roteador 2 nd Roteador 2 nd Roteador de piso 1 st Roteador 1 st Roteador 1 st Roteador de piso Computador com status de integridade vermelho 1 st Piso 2 nd Chão1 st Piso 2 nd Chão1 st Piso 2 nd Chão1 st Piso 2 nd Chão1 st Piso 2 nd Chão Não protegido Não encontra o endereço MAC de computador com saúde vermelho O XG Firewall compartilha o endereço MAC do computador com estado de saúde vermelho Protegido Pode ver o endereço MAC do computador com integridade vermelha Quando um ponto de extremidade tem um status de integridade vermelho, o XG Firewall o compartilha com todos os outros pontos de extremidade com os quais possui uma pulsação, para que eles saibam ignorar o tráfego desse ponto de extremidade. Como mencionamos, isso significa que mesmo os computadores no mesmo segmento de rede podem ser protegidos. Neste diagrama, é possível ver os computadores no primeiro andar conectados por um comutador e protegidos do computador com o status de integridade vermelho, pois podem ver seu endereço MAC. No entanto, neste exemplo, os computadores no segundo andar estão conectados via roteadores e, como o roteador modifica o endereço MAC no cabeçalho do empacotador da camada 2, os pontos de extremidade nãopodem ver o endereço MAC original do tráfego do ponto de extremidade com um status de integridade vermelho no primeiro andar. Como eles não podem ver o endereço MAC original, eles não descartam o tráfego e não são protegidos. Para remediar isso, o tráfego precisaria ser roteado através do XG Firewall com regras de firewall que impedem o tráfego do terminal com um status de integridade vermelho cruzando os segmentos de rede. Engenheiro de firewall XG - 191 B a t i m e n t o c a r d í a c o d e s e g u r a n ç a Proteção de movimento lateral A proteção lateral do movimento é ativada e configurada no Sophos Central em Configurações globais> Rejeitar conexões de A proteção lateral do movimento é ativada e configurada no Sophos Central em Configurações globais> Rejeitar conexões de rede. Aqui você pode ativar a proteção de movimento lateral e também optar por excluir computadores específicos do rede. Aqui você pode ativar a proteção de movimento lateral e também optar por excluir computadores específicos do isolamento, por exemplo, para poder usar um computador para acessar remotamente o terminal com um status vermelho para correção. Vamos dar uma olhada rápida na proteção do movimento lateral em ação. Engenheiro de firewall XG - 192 B a t i m e n t o c a r d í a c o d e s e g u r a n ç a Demonstração da proteção do movimento lateral Demonstração da proteção do movimento lateral Aqui temos quatro computadores, todos com um status de saúde verde. Vamos nos conectar a um desses computadores. Se abrirmos esse atalho para um compartilhamento em outro computador, podemos ver que ele é aberto sem problemas. Desativamos a proteção contra adulteração neste computador, portanto, executaremos esse script para interromper alguns dos serviços da Sophos. Você pode ver os serviços interrompidos sendo relatados. Se voltarmos para o XG Firewall, podemos ver que um dos computadores agora está relatando como status de integridade vermelho. Vamos nos conectar ao computador novamente. Se tentarmos abrir o compartilhamento novamente, não conseguiremos, porque o outro computador está descartando todo o tráfego desse computador. Se iniciarmos os serviços da Sophos novamente, nosso status de saúde voltará a verde e poderemos acessar o compartilhamento novamente. Engenheiro de firewall XG - 193 B a t i m e n t o c a r d í a c o d e s e g u r a n ç a Proteção avançada contra ameaças Engenheiro de firewall XG - 194 P r o t e ç ã o C o n t r a A m e a ç a s A d v n a c e d O IPS é um módulo de segurança crítico, pois monitora o tráfego para qualquer conteúdo malicioso. O IPS é mais comumente usado para monitorar o tráfego de entrada, embora as políticas do IPS possam ser aplicadas a qualquer regra de firewall e varrer o tráfego correspondente. Sempre existe a chance de um usuário introduzir código malicioso na rede a partir de uma fonte que não seja a Internet, como uma unidade USB. Nesse caso, se o código malicioso tentar entrar em contato com o mundo exterior, um administrador poderá tirar proveito do ATP da Sophos ou da Proteção Avançada contra Ameaças, a fim de monitorar o tráfego de saída. ATP é uma configuração global que monitora todo o tráfego de saída por padrão quando configurado. Isso é feito analisando dados de todos os serviços ativados em execução no Sophos XG Firewall, incluindo solicitações DNS e HTTP, tráfego passando pelo firewall e Prevenção de Intrusões. Visão geral da proteção avançada contra ameaças • IPS vs ATP Firewall XG Computador Módulo IPS Módulo ATP Internet Engenheiro de firewall XG - 195 P r o t e ç ã o C o n t r a A m e a ç a s A d v n a c e d Configuração avançada de proteção contra ameaças Ativar / Desativar ATP Registrar apenas ou reduzir tráfego Não verifique essas redes ou anfitriões Ignorar regras do ATP A configuração do ATP é muito simples. De PROTEGER> Ameaça avançada> Proteção avançada contra ameaças no WebAdmin, primeiro A configuração do ATP é muito simples. De PROTEGER> Ameaça avançada> Proteção avançada contra ameaças no WebAdmin, primeiro A configuração do ATP é muito simples. De PROTEGER> Ameaça avançada> Proteção avançada contra ameaças no WebAdmin, primeiro ative a proteção avançada contra ameaças clicando no controle deslizante para o estado LIGADO. Em seguida, selecione se você deseja registrar apenas o tráfego, o que não impedirá que nenhum tráfego potencialmente perigoso saia da rede ou Registre e solte o tráfego para proteger totalmente qualquer tráfego de saída. Ao configurar o ATP pela primeira vez, pode ser útil registrar apenas por um tempo limitado em novas instalações para garantir que não haja falsos positivos sendo acionados por aplicativos na rede. Se algum host ou rede estiver causando respostas falsas positivas, elas podem ser excluídas adicionando seus endereços IP ou você pode optar por ignorar as regras que estão causando problemas. Depois de ativar o serviço e definir suas opções, clique no botão Aplicar no canto inferior esquerdo e a configuração do ATP estará concluída. Engenheiro de firewall XG - 196 P r o t e ç ã o C o n t r a A m e a ç a s A d v n a c e d Se o ATP detectar uma ameaça, seja apenas no log ou no log e drop, um alerta será registrado e o número de detecções mostradas no centro de controle. Ao clicar no alerta no centro de controle, informações adicionais podem ser mostradas, incluindo o endereço IP e o nome do host ofensivos, bem como a ameaça e o número de vezes que a regra foi acionada. Detecção avançada de proteção contra ameaças Engenheiro de firewall XG - 197 P r o t e ç ã o C o n t r a A m e a ç a s A d v n a c e d Laboratório 3: Proteção de rede • Conclua as seguintes tarefas em Laboratório 3Conclua as seguintes tarefas em Laboratório 3 ▪ Tarefa 3.1: Configurar log ▪ Tarefa 3.2: Criar regras de firewall de rede ▪ Tarefa 3.3: Instalar os certificados de CA SSL ▪ Tarefa 3.4: Instalar o Sophos Central ▪ Tarefa 3.5: Publicar servidores usando regras de aplicativos de negócios ▪ Tarefa 3.6: Configurar diretivas IPS ▪ Tarefa 3.7: Ativar proteção avançada contra ameaças ▪ Tarefa 3.8: Habilitar DoS (negação de serviço) e proteção contra falsificação ▪ Tarefa 3.9: Configurar pulsação de segurança • Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa 2.10 do Laboratório 2 Certifique-se de ler as anotações incluídas na pasta de trabalho do laboratório. como você pode ser testado em qualquer coisa nos laboratórios, bem como na teoria Conclua as seguintes tarefas em Laboratório 3Conclua as seguintes tarefas em Laboratório 3 • Tarefa 3.1: Configurar log • Tarefa 3.2: Criar regras de firewall de rede • Tarefa 3.3: Instalar os certificados de CA SSL • Tarefa 3.4: Instalar o Sophos Central • Tarefa 3.5: Publicar servidores usando regras de aplicativos de negócios • Tarefa 3.6: Configurar diretivas IPS • Tarefa 3.7: Ativar proteção avançada contra ameaças • Tarefa 3.8: Habilitar DoS (negação de serviço) e proteção contra falsificação • Tarefa 3.9: Configurar pulsação de segurança Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa do Laboratório 2 10) Engenheiro de firewall XG - 199 200 Revisão do módulo • Na conclusão deste módulo, você pode agora: ✓ Identifique os tipos de firewall e entenda a finalidade de cada✓ Identifique os tipos de firewall e entenda a finalidade de cada ✓ Criar e gerenciar regras de firewall✓ Criar e gerenciar regras de firewall ✓ Configurar e aplicar políticas de prevenção de intrusões✓ Configurar e aplicar políticas de prevenção de intrusões ✓ Configurar proteção contra DoS e falsificação✓ Configurar proteção contra DoS e falsificação ✓ Ative a pulsação de segurança e aplique restrições nas regras de firewall✓ Ative a pulsação de segurança e aplique restrições nas regras de firewall ✓ Configurar proteção avançada contra ameaças✓ Configurarproteção avançada contra ameaças Ao concluir este módulo, agora você poderá executar as ações mostradas aqui. Reserve um momento para analisá-las. Se você não tem certeza de que alcançou esses objetivos, revise o material abordado neste módulo. Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir. Engenheiro de firewall XG - 200 Olá, este é o curso de treinamento certificado pela Sophos para o Sophos XG Firewall. Este é o Módulo 4: Conexões site a site. Engenheiro Certificado Sophos Sophos XG Firewall ET80 - Conexões site a site ET804 Versão de março de 2019: 17.5v1 Versão do produto: Sophos XG Firewall 17.5 © 2019 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida de qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos. Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados neste documento podem ser marcas comerciais ou marcas comerciais registradas da Sophos Limited ou de seus respectivos proprietários. Embora tenha sido tomado um cuidado razoável na preparação deste documento, a Sophos não oferece garantias, condições ou representações (expressas ou implícitas) quanto à sua completude ou precisão. Este documento está sujeito a alterações a qualquer momento sem aviso prévio. A Sophos Limited é uma empresa registrada na Inglaterra, número 2096520, com sede no Pentágono, Abingdon Science Park, Abingdon, Oxfordshire, OX14 3YP. Engenheiro Certificado Sophos Sophos XG Firewall Módulo 4: Conexões site a site Versão 17.5 Engenheiro de firewall XG - 203 Conexões site a site VPNs site a site Dispositivo Ethernet remoto (RED) Em muitas empresas, é necessário criar acesso seguro entre a matriz e as filiais, e dar aos trabalhadores remotos e em roaming acesso a sistemas e dados internos de qualquer lugar, a qualquer momento. O Sophos XG Firewall suporta isso fornecendo encapsulamento livre de ameaças usando VPNs (redes privadas virtuais) ou dispositivos Ethernet remotos (REDs) para acesso seguro controlado aos recursos corporativos pela Internet. Os protocolos VPN funcionam criptografando os dados em uma extremidade da conexão e enviando-os para a outra extremidade, onde são descriptografados e roteados para o destino final. De fato, os dados criptografados viajam através de um túnel entre as duas extremidades da conexão, onde o conteúdo dos dados não pode ser visto, e o Sophos RED fornece isso em uma forma simples de hardware plug and play. Neste módulo, veremos como configurar VPNs IPsec e SSL, assim como como os REDs podem ser implantados. Engenheiro de firewall XG - 204 VPN site a site Engenheiro de firewall XG - 206 V P N s i t e a s i t e VPNs site a site Por que escolher o IPsec? • Pode ser mais seguro, se configurado corretamente • Largura de banda mais rápida / mais eficiente • Suporta grupos de failover • Maior compatibilidade com outros dispositivos IPsec Por que escolher SSL? • Simples de configurar • Conectividade site a site eficaz SSL Detalhes técnicos Usos: Criptografia de chave pública; Porta UDP 500; Protocolos IP Detalhes técnicos Usos: Criptografia de chave pública; Porta UDP 500; Protocolos IP 50 e 51 Autenticação: Chave Pré-Compartilhada; Chave RSA; Certificados DigitaisAutenticação: Chave Pré-Compartilhada; Chave RSA; Certificados Digitais Modo: Modo de túnel (site a site); Modo de Transporte (acesso remoto e Modo: Modo de túnel (site a site); Modo de Transporte (acesso remoto e host a host) Detalhes técnicos Usos: HTTPS (TLS) na Detalhes técnicos Usos: HTTPS (TLS) na porta 8443 Autenticação: Chave Pré-CompartilhadaAutenticação: Chave Pré-Compartilhada O XG Firewall suporta VPNs site a site usando dois protocolos diferentes, IPsec e SSL. O IPsec fornece uma estrutura de protocolos e algoritmos amplamente utilizados para fornecer segurança de ponta a ponta em redes de área ampla. O IPsec pode fornecer uma conexão mais segura, se estiver configurado corretamente, no entanto, é mais complexo de configurar que o SSL. Como o IPsec é amplamente usado por outros fornecedores de segurança de rede, ele oferece maior compatibilidade se você precisar criar uma VPN com um site que esteja usando hardware de outro fornecedor. O IPsec também oferece suporte a grupos de failover; portanto, em cenários em que há vários links da Internet que podem ser usados para rotear a conexão por caminhos alternativos, pode fornecer redundância. É muito comum usar VPNs SSL para acesso remoto, pois eles usam HTTPS e geralmente funcionam em praticamente qualquer lugar; no entanto, a Sophos é um dos poucos fornecedores que implementa VPNs SSL para conectividade site-site, mas fornece uma maneira simples e eficaz de configurar o acesso seguro entre sites. Quando uma VPN site a site é estabelecida, seja IPsec ou SSL, as rotas entre as redes local e remota são automaticamente configuradas no XG Firewall. Nenhuma rota manual precisa ser criada. Engenheiro de firewall XG - 207 V P N s i t e a s i t e Zona VPN Zona VPN não atribuída a um interface física Há uma zona VPN padrão para simplificar a conectividade remota segura e é a única zona que não possui uma porta ou interface física. Sempre que uma conexão VPN é estabelecida, a porta ou interface usada pela conexão é adicionada automaticamente a esta zona e, quando a VPN é desconectada, a porta é removida automaticamente da zona. Como todas as outras zonas padrão, as políticas de varredura e acesso podem ser aplicadas ao tráfego dessa zona. Você não pode, no entanto, editar esta zona. Engenheiro de firewall XG - 208 V P N s i t e a s i t e Configuração de VPN IPsec: políticas de VPN • Parâmetros de segurança usados para estabelecer e manter a conexão VPN entre dois pares • Configurar em CONFIGURAR> VPN> perfis IPsecConfigurar em CONFIGURAR> VPN> perfis IPsec • Ambos os lados da VPN devem ter as mesmas configurações Diretiva IPsec Quando usar DefaultPolicy Uma política de uso geral DefaultBranchOffice Dispositivo de filial para iniciar o túnel VPN DefaultHeadOffice Dispositivo da matriz para responder ao túnel VPN DefaultL2TP Túnel VPN de usuário remoto L2TP DefaultRemoteAccess Túnel VPN de usuário remoto IPsec IKEv2 Uma política configurada para usar IKEv2 MicrosoftAzure Uma política para conectar-se ao Azure Antes de poder configurar uma conexão IPsec, é necessário criar uma política IPsec que defina os algoritmos de criptografia e autenticação e outras configurações que serão usadas. O Sophos XG Firewall inclui várias diretivas IPsec pré-configuradas que podem ser usadas imediatamente para simplificar isso. As políticas de VPN IPsec podem ser configuradas em CONFIGURAR> VPN> perfis IPsec. Ao criar diretivas IPsec em As políticas de VPN IPsec podem ser configuradas em CONFIGURAR> VPN> perfis IPsec. Ao criar diretivas IPsec em As políticas de VPN IPsec podem ser configuradas em CONFIGURAR> VPN> perfis IPsec. Ao criar diretivas IPsec em nível global, torna mais rápido configurar várias VPNs e facilita a atualização ou modificação da configuração. Ao criar uma política, é importante lembrar que os dois lados da conexão VPN devem ter as mesmas configurações para poder negociar com êxito uma conexão. A tabela aqui mostra as políticas IPsec pré-configuradas incluídas no XG Firewall. As políticas personalizadas também podem ser criadas para compatibilidade com outros produtos ou se as políticas de segurança predefinidas não atenderem aos requisitos de segurança da sua empresa. O XG Firewall inclui um Assistente de conexão VPN que o guiará passo a passo na configuração, exibindo informações adicionais sobre os parâmetros de configuração. Você passará pela configuração das conexões VPN durante os laboratórios deste módulo.Para obter mais informações sobre como configurar políticas de VPN IPsec, consulte o documento complementar no conteúdo da lição deste módulo. Engenheiro de firewall XG - 209 V P N s i t e a s i t e Assistente de configuração de VPN IPsec • Nome • Tipo de conexão • Tipo de Autenticação • Rede local • Rede remota • Xauth • Sumário O XG Firewall inclui um Assistente de conexão VPN que o guiará passo a passo na configuração, exibindo informações adicionais sobre os parâmetros de configuração no lado esquerdo da janela. Engenheiro de firewall XG - 210 V P N s i t e a s i t e Demonstração: Assistente de VPN Engenheiro de firewall XG - 211 V P N s i t e a s i t e Clique no bruxo botão para iniciarClique no bruxo botão para iniciarClique no bruxo botão para iniciar Engenheiro de firewall XG - 213 Digite um nome para a VPN Engenheiro de firewall XG - 214 Como opção, você também pode adicionar uma descrição. Começar Como opção, você também pode adicionar uma descrição. Começar continuar Engenheiro de firewall XG - 215 O IPsec pode ser usado para criar acesso remoto, conexões site a site e host a host. Neste exemplo, selecione Site para site Engenheiro de firewall XG - 216 As opções padrão foram selecionadas abaixo da imagem, incluindo a diretiva IPsec; isso será alterado se você selecionar Sede ou Filial. Neste exemplo, usaremos as configurações padrão Clique no botão azul Próximo para continuarFilial. Neste exemplo, usaremos as configurações padrão Clique no botão azul Próximo para continuarFilial. Neste exemplo, usaremos as configurações padrão Clique no botão azul Próximo para continuar Engenheiro de firewall XG - 217 As VPNs IPsec suportam três métodos de autenticação, chave pré-compartilhada, certificados digitais e chave RSA. Neste exemplo, usaremos a chave pré-compartilhada, portanto, é necessário inserir uma chave de confirmação Engenheiro de firewall XG - 218 Clique no azul Próximo para continuarClique no azul Próximo para continuarClique no azul Próximo para continuar Engenheiro de firewall XG - 219 Selecione a interface WAN que o XG Firewall usará para estabelecer a VPN Engenheiro de firewall XG - 220 Selecione as redes que estarão acessíveis neste lado da VPN Engenheiro de firewall XG - 221 Cada lado de uma VPN precisa de um ID para se identificar; pode ser um endereço IP, nome DNS, endereço de email ou um Nome do certificado X.509 Engenheiro de firewall XG - 222 Clique no azul Próximo para continuarClique no azul Próximo para continuarClique no azul Próximo para continuar Engenheiro de firewall XG - 223 Nos locais em que a filial possui um endereço IP DHCP, um curinga pode ser usado para que a matriz aceite conexões de qualquer endereço IP Neste exemplo, forneceremos o endereço IP do lado remoto da VPN Engenheiro de firewall XG - 224 Selecione as redes que estarão disponíveis na VPN Engenheiro de firewall XG - 225 Cada lado de uma VPN precisa de um ID para se identificar; pode ser um endereço IP, nome DNS, endereço de email ou um Nome do certificado X.509 Engenheiro de firewall XG - 226 Clique no azul Próximo para continuarClique no azul Próximo para continuarClique no azul Próximo para continuar Engenheiro de firewall XG - 227 Como se trata de uma VPN site a site, não precisamos configurar a autenticação do usuário Clique no botão azul Próximo Como se trata de uma VPN site a site, não precisamos configurar a autenticação do usuário Clique no botão azul Próximo para continuar Engenheiro de firewall XG - 228 Revise o resumo das informações e clique em TerminarRevise o resumo das informações e clique em Terminar Engenheiro de firewall XG - 229 Clique no Ativo ícone de indicador para ativar a VPNClique no Ativo ícone de indicador para ativar a VPNClique no Ativo ícone de indicador para ativar a VPN Engenheiro de firewall XG - 230 Clique Está bemClique Está bem Engenheiro de firewall XG - 231 Para VPNs de filiais que iniciam a conexão, clique no ícone Conexão ícone indicador para estabelecer a VPNPara VPNs de filiais que iniciam a conexão, clique no ícone Conexão ícone indicador para estabelecer a VPNPara VPNs de filiais que iniciam a conexão, clique no ícone Conexão ícone indicador para estabelecer a VPN Engenheiro de firewall XG - 232 Como você pode ver nos ícones indicadores verdes, a VPN agora está conectada Engenheiro de firewall XG - 233 Como você pode ver nos ícones indicadores verdes, a VPN agora está conectada Engenheiro de firewall XG - 234 Configuração de VPN SSL Selecione local e remoto redes 1 Download da configuração Arquivo 2 Carregar arquivo de configuração 3 As VPNs site a site SSL são implementadas usando uma configuração de cliente / servidor em que cada extremidade do túnel tem uma função distinta. O cliente final sempre iniciará a conexão com o servidor, e o servidor sempre responderá às solicitações do cliente. Isso é diferente do IPsec, onde normalmente uma das extremidades pode iniciar uma conexão. A configuração é feita em três etapas. 1. No servidor, crie uma conexão selecionando as redes que serão locais e remotas para o servidor 2. Faça o download do arquivo de configuração 3. No site do cliente, crie uma conexão carregando o arquivo de configuração Você trabalhará na configuração das VPNs site a site durante os laboratórios deste módulo. Engenheiro de firewall XG - 235 V P N s i t e a s i t e Dispositivo Ethernet remoto (RED) Engenheiro de firewall XG - 236 D i s p o s i t i v o E t h e r n e t r e m o t o ( R E D ) Visão geral do RED • Conexão plug and play para escritórios remotos o Nenhuma configuração ou conhecimento para instalar no localo Nenhuma configuração ou conhecimento para instalar no local o Cria túnel da camada 2 para o firewall Sophos XGo Cria túnel da camada 2 para o firewall Sophos XG • Requer o Podero Poder o Roteador executando DHCPo Roteador executando DHCP - endereço de IP - Servidor dns - Gateway padrão Porta Usado para TCP 3400 Controlar a conexão usando SSL e autenticado com uma verificação mútua de certificado X.509 UDP 3400 (RED10, descontinuado) UDP 3410 (RED50 e RED15) Tráfego encapsulado usando criptografia AES-256 e autenticação SHA1HMAC Os dispositivos Sophos Remote Ethernet ou RED oferecem uma maneira simples de conectar sites remotos a uma rede central com segurança, criando um túnel de camada 2. A instalação do dispositivo RED no local não requer configuração ou conhecimento técnico. As conexões RED usam um pequeno dispositivo RED de hardware no local remoto e toda a configuração desse dispositivo é feita localmente no firewall XG. No local remoto, o RED exige: • Uma conexão de energia • Uma conexão de rede • Um servidor DHCP para fornecer um endereço IP, servidor DNS e gateway padrão • Porta 3400 TCP • Porta 3400 UDP (RED 10) • Porta 3410 UDP (RED 50 e RED 15) Engenheiro de firewall XG - 237 D i s p o s i t i v o E t h e r n e t r e m o t o ( R E D ) Modelos RED RED 10 (descontinuado) VERMELHO 15 VERMELHO 15 W RED 50 Máximo de usuários Irrestrito Irrestrito Irrestrito Irrestrito Rendimento máximo 30 Mbit / s 90 Mbit / s 90 Mbit / s 360 Mbit / s Portas LAN 4 x 10/100 4 x Gbit 4 x Gbit 4 X Gbit Portas WAN 1 x 10/100 1 x Gbit 1 X Gbit 2 x Gbit Portas USB 1 1 1 2 Criptografia acelerada por hardware x x x ✓ Configurar VLANs em portas LAN x x x ✓ Compressão de dados ✓ ✓ ✓ ✓ Ponto de acesso sem fio embutido x x ✓ x O RED 10 cessou a venda em 1 st Novembro de 2015, no entanto, eles ainda podem ser usados com o Sophos XG Firewall.O RED 10 cessou a venda em 1 st Novembro de 2015, no entanto, eles ainda podem ser usados com o Sophos XG Firewall.O RED 10 cessou a venda em 1 st Novembro de 2015, no entanto, eles ainda podem ser usados com o Sophos XG Firewall. O RED 15 é o substituto atualizado do RED 10, que oferece até três vezes a taxa de transferência e portasde gigabit. O RED 15w possui todos os recursos do RED 15 e também inclui um ponto de acesso sem fio embutido. O RED 50 possui duas portas WAN que podem ser configuradas para balanceamento de carga e failover, e duas portas USB que podem ser usadas para fornecer conectividade de backup usando UMTS (outros modelos RED possuem uma única porta USB). As portas LAN RED 50s também podem ser configuradas para suportar VLANs. O número de usuários que podem ser usados com todos os modelos RED é ilimitado, e o modelo selecionado é direcionado pela taxa de transferência máxima e outros recursos. Engenheiro de firewall XG - 238 D i s p o s i t i v o E t h e r n e t r e m o t o ( R E D ) Serviço de provisionamento RED: red.astaro.com Escritório Central Filial Roteador 1. Configure o dispositivo RED 3. Implante o dispositivo RED 4. Receba RED local IP (DHCP) Implantação do RED Firewall XG 7. Estabeleça o túnel da camada 2 O administrador configura o RED no Sophos XG Firewall, definindo seu nome de host resolvível publicamente, endereço IP e máscara de rede da interface RED no Firewall e o RED ID - que é uma cadeia de 15 caracteres impressa em um adesivo na base do RED . O Sophos XG Firewall envia a configuração ao servidor de provisionamento baseado em nuvem. Em seguida, o RED é conectado ao escritório remoto e obtém um endereço IP, servidor DNS e gateway do servidor DHCP local. O RED então se conecta ao servidor de provisionamento com seu ID e o servidor de provisionamento envia de volta a configuração necessária para o RED se conectar ao Sophos XG Firewall no escritório central. O servidor de provisionamento não é mais usado deste ponto em diante. Por fim, o RED estabelece um túnel de camada 2 para o Sophos XG Firewall usando as portas TCP 3400 e UDP 3400 ou 3410. Engenheiro de firewall XG - 239 D i s p o s i t i v o E t h e r n e t r e m o t o ( R E D ) Servidor DHCP GW padrão Cliente DHCP Modos de implantação do RED Padrão / Unificado Padrão / Split Transparente / Dividido Tráfego roteado pelo túnel RED Tráfego roteado diretamente para a Internet Servidor DHCP GW padrão Servidor DHCP GW padrão Existem três modos de implantação para o RED: No modo Padrão / Unificado, a rede remota é gerenciada pelo Sophos XG Firewall, que serve como servidor DHCP e gateway padrão para todos os clientes que se conectam através do RED. Tudogateway padrão para todos os clientes que se conectam através do RED. Tudo o tráfego gerado na rede remota é enviado pelo RED ao Sophos XG Firewall. No modo Standard / Split, o Sophos XG Firewall ainda gerencia a rede remota, atuando como servidor DHCP e gateway padrão. No entanto, nessa configuração, apenas o tráfego para redes definidas é enviado pelo RED para o Sophos XG Firewall, e todo o restante tráfego é enviado diretamente para a Internet. No modo Transparente / Dividido, o Sophos XG Firewall não gerencia a rede remota, mas é um membro dela. O Firewall obtém seu endereço IP de um servidor DHCP em execução na rede remota. Somente o tráfego para redes definidas é enviado através do RED para o Sophos XG Firewall, e todo o outro tráfego é enviado diretamente para a Internet. Como esse modo de implantações não requer nenhum readdressing, é uma maneira fácil de conectar redes após uma aquisição ou similar. No caso dos modos de implantação Padrão / Dividir e Transparente / Dividir, o XG Firewall não fornece nenhuma filtragem da Web ou outra segurança aos clientes na rede remota. Observe que você ainda precisa criar políticas de segurança para que os computadores conectados à rede remota possam interagir com os computadores na rede da central. Engenheiro de firewall XG - 240 D i s p o s i t i v o E t h e r n e t r e m o t o ( R E D ) Atividade Combine o modo de implantação com sua descrição Padrão / Unificado Padrão / Split Transparente / Dividido O XG Firewall fornece DHCP à rede remota e direciona o tráfego para redes selecionadas no túnel RED A interface RED no XG Firewall obtém seu endereço IP de um servidor DHCP na rede remota Todo o tráfego é roteado de volta pelo túnel RED para o XG Firewall Engenheiro de firewall XG - 241 D i s p o s i t i v o E t h e r n e t r e m o t o ( R E D ) js Linha js Linha js Linha Ativando o RED • O gerenciamento de RED deve estar ativado em CONFIGURAR> Serviços do sistema> VERMELHOO gerenciamento de RED deve estar ativado em CONFIGURAR> Serviços do sistema> VERMELHO Os códigos de desbloqueio RED são enviados para este endereço de email Antes que os REDs possam ser adicionados, o gerenciamento de RED deve ser ativado no Sophos XG Firewall no CONFIGURAR> Serviços do sistema> VERMELHO. A ativação do RED no Sophos XG Firewall o registra no serviço de provisionamento. Você deve incluir um endereço de email válido ao ativar o RED, porque os códigos de desbloqueio dos REDs que você conectar serão enviados a ele. Um código de desbloqueio é uma senha que impede que alguém não autorizado conecte seu RED ao firewall do Sophos XG. Se você perder um código de desbloqueio, precisará entrar em contato com a Sophos para obter assistência. Uma vez ativado, há duas configurações adicionais que podem ser definidas: Você pode forçar os REDs a usar o TLS 1.2, e isso é recomendado para segurança. Forçar o TLS 1.2 é desativado por padrão, pois os novos REDs podem não ter uma versão do firmware compatível. Você deve conectar seus REDs e permitir que o firmware deles seja atualizado antes de retornar para ativar esta opção. A desativação do dispositivo impedirá que qualquer RED desconectado do Sophos XG Firewall por mais tempo que a duração definida seja capaz de se reconectar. Isso evita que um RED roubado seja conectado a outra rede, potencialmente fornecendo acesso não autorizado à sua rede. Engenheiro de firewall XG - 243 D i s p o s i t i v o E t h e r n e t r e m o t o ( R E D ) Adicionando uma interface RED • Os REDs são adicionados como uma interface no Sophos XG Firewall o CONFIGURAR> Rede> Interfaceso CONFIGURAR> Rede> Interfaces Os REDs são adicionados como uma interface no Sophos XG Firewall. Isso é feito em CONFIGURAR> Rede> Interfaces.Os REDs são adicionados como uma interface no Sophos XG Firewall. Isso é feito em CONFIGURAR> Rede> Interfaces. Nos próximos slides, veremos como configurar o RED para os três modos de implantação diferentes. Engenheiro de firewall XG - 244 D i s p o s i t i v o E t h e r n e t r e m o t o ( R E D ) Configurando uma interface RED Do adesivo na base do Dispositivo RED Necessário se o RED tiver sido usado antes do nome publicamente resolvível ou endereço de IP Segundo uplink no XG Firewall (Não disponível para o RED 10) Modo de implantação Servidor RED Firewall Cliente RED RED Firewall RED 10 RED 15 RED 15W RED 50 Interface RED WAN configuração Comece selecionando o modelo do RED que você está configurando. O modelo selecionado determina os recursos disponíveis. Digite o ID VERMELHO do adesivo na base do dispositivo. Esta é uma cadeia de 15 caracteres. Se não for a primeira vez que o RED for conectado a um firewall Sophos XG, será necessário inserir o código de desbloqueio. Novos dispositivos não possuem um código de desbloqueio. Você precisa fornecer o IP público ou o nome do host do Sophos XG Firewall para o RED se conectar. Opcionalmente, você pode especificar um segundo endereço IP ou nome de host para todos, exceto o RED10. Essa deve ser uma segunda interface no mesmo XG Firewall. Você pode configurar se o segundo IP ou nome do host deve ser usado para failover ou balanceamento de carga no RED. Se você estiver implantando o RED em um cenário em que ele não pode acessar o serviço de provisionamento, você pode optar por configurar manualmente o RED por meio de um dispositivo USB. Nesse caso, você faria o download do arquivo de configuração de provisionamento
Compartilhar