Ahoj všichni! V pokračování tohoto Chci vám říci více o funkcionalitách, které řešení Sophos XG Firewall nabízí, a seznámit vás s webovým rozhraním. Komerční články a dokumenty jsou dobré, ale vždy je to zajímavé, jak vypadá řešení v reálném životě? Jak to tam všechno funguje? Začněme tedy s recenzí.
Tento článek ukazuje první část funkce brány Sophos XG Firewall – „Monitorování a analýza“. Celá recenze bude publikována jako série článků. Budeme postupovat na základě webového rozhraní Sophos XG Firewall a licenční tabulky
Bezpečnostní kontrolní centrum
A tak jsme spustili prohlížeč a otevřeli webové rozhraní našeho NGFW, vidíme výzvu k zadání uživatelského jména a hesla pro vstup do administračního panelu
Zadáme přihlašovací jméno a heslo, které jsme nastavili při prvotní aktivaci a dostáváme se do našeho ovládacího centra. Vypadá takhle
Téměř na každý z těchto widgetů lze kliknout. Můžete spadnout do incidentu a vidět podrobnosti.
Podívejme se na každý z bloků a začneme blokem Systém
Blokový systém
Tento blok zobrazuje stav stroje v reálném čase. Pokud kliknete na některou z ikon, přejdeme na stránku s podrobnějšími informacemi o stavu systému
Pokud jsou v systému problémy, tento widget to signalizuje a na informační stránce můžete vidět důvod
Kliknutím na jednotlivé karty získáte další informace o různých aspektech brány firewall.
Blok přehledu provozu
Tato sekce nám poskytuje představu o tom, co se v současné době děje v naší síti a co se stalo za posledních 24 hodin. 5 nejlepších webových kategorií a aplikací podle provozu, síťových útoků (spuštěn IPS modul) a 5 nejlepších blokovaných aplikací.
Samostatně stojí za to zdůraznit také sekci Cloudové aplikace. V něm je vidět přítomnost aplikací v lokální síti, které využívají cloudové služby. Jejich celkový počet, příchozí a odchozí provoz. Pokud na tento widget kliknete, dostanete se na informační stránku o cloudových aplikacích, kde můžeme podrobněji vidět, jaké cloudové aplikace jsou v síti, kdo je používá a dopravní informace
Blokování statistik uživatelů a zařízení
Tento blok zobrazuje informace o uživatelích. Horní řádek zobrazuje informace o infikovaných uživatelských počítačích, shromažďuje informace z antiviru Sophos a přenáší je do brány Sophos XG Firewall. Na základě těchto informací může Firewall v případě infekce odpojit počítač uživatele od místní sítě nebo síťového segmentu na úrovni L2 a zablokovat s ním veškerou komunikaci. Další informace o Security Heartbeat byly v . Další dva řádky jsou ovládání aplikací a cloud sandbox. Vzhledem k tomu, že se jedná o samostatnou funkci, nebude v tomto článku probírána.
Za pozornost stojí dva spodní widgety. Jedná se o ATP (Advanced Threat Protection) a UTQ (User Threat Quotient).
Modul ATP blokuje spojení s C&C, řídícími servery sítí botnetů. Pokud je zařízení ve vaší místní síti v síti botnet, tento modul to oznámí a neumožní vám připojit se k řídicímu serveru. Vypadá to takto
Modul UTQ přiřadí každému uživateli bezpečnostní index. Čím více se uživatel snaží přejít na zakázané stránky nebo spouštět zakázané aplikace, tím vyšší bude jeho hodnocení. Na základě těchto dat je možné takovým uživatelům zajistit školení předem, aniž by se čekalo na to, že nakonec bude jejich počítač napaden malwarem. Vypadá to takto
Následuje část obecných informací o aktivních pravidlech firewallu a horkých zprávách, které lze rychle stáhnout ve formátu pdf
Přejdeme k další části nabídky – Aktuální aktivity
Aktuální aktivity
Začněme recenzi na kartě Živí uživatelé. Na této stránce můžeme vidět, kteří uživatelé jsou aktuálně připojeni k Sophos XG Firewall, metodu ověřování, IP adresu stroje, dobu připojení a objem provozu.
Živá spojení
Tato karta zobrazuje aktivní relace v reálném čase. Tato tabulka může být filtrována podle aplikací, uživatelů a IP adres klientských počítačů.
IPsec připojení
Tato karta zobrazuje informace o aktivních připojeních IPsec VPN
Záložka Vzdálení uživatelé
Záložka Vzdálení uživatelé obsahuje informace o vzdálených uživatelích, kteří se připojili přes SSL VPN
Na této záložce také můžete zobrazit provoz podle uživatelů v reálném čase a násilně odpojit libovolného uživatele.
Přeskočme kartu Zprávy, protože systém hlášení v tomto produktu je velmi obsáhlý a vyžaduje samostatný článek.
Diagnostika
Okamžitě se otevře stránka s různými nástroji pro vyhledávání problémů. Patří mezi ně Ping, Traceroute, Name lookup, Route lookup.
Následuje záložka se systémovými grafy hardwaru a načítání portů v reálném čase
Systémové grafy
Poté záložka, kde můžete zkontrolovat kategorii webového zdroje
vyhledávání kategorií URL
Další karta, Packet capture, je v podstatě rozhraní tcpdump zabudované do webu. Můžete také psát filtry
Zachycování paketů
Zajímavostí je, že balíčky jsou převedeny na tabulku, kde můžete zakázat a povolit další sloupce s informacemi. Tato funkcionalita je velmi vhodná například pro hledání síťových problémů – můžete rychle pochopit, jaká pravidla filtrování byla aplikována na skutečný provoz.
Na záložce Seznam připojení můžete zobrazit všechna existující připojení v reálném čase a informace o nich
Seznam připojení
Závěr
Tím končí první část recenze. Prozkoumali jsme jen nejmenší část dostupné funkčnosti a bezpečnostních modulů jsme se vůbec nedotkli. V příštím článku budeme analyzovat vestavěnou funkci reportování a pravidla brány firewall, jejich typy a účely.
Děkuji vám za Váš čas.
Máte-li jakékoli dotazy ohledně komerční verze XG Firewallu, můžete nás, společnost, kontaktovat , distributor Sophos. Stačí, když napíšete volnou formou na .
Zdroj: www.habr.com