¡Hola a todos! A continuación de este
Este artículo mostrará la primera parte de la funcionalidad de Sophos XG Firewall: "Monitoreo y análisis". La revisión completa se publicará como una serie de artículos. Procederemos según la interfaz web y la tabla de licencias de Sophos XG Firewall.
Centro de control de seguridad
Y así, iniciamos el navegador y abrimos la interfaz web de nuestro NGFW, vemos un mensaje para ingresar su nombre de usuario y contraseña para ingresar al panel de administración.
Ingresamos el nombre de usuario y la contraseña que configuramos durante la activación inicial y llegamos a nuestro centro de control. Él se parece a esto
Se puede hacer clic en casi todos estos widgets. Puedes caer en el incidente y ver los detalles.
Veamos cada uno de los bloques y comenzaremos con el bloque Sistema.
Sistema de bloques
Este bloque muestra el estado de la máquina en tiempo real. Si hace clic en cualquiera de los iconos, accederemos a una página con información más detallada sobre el estado del sistema.
Si hay problemas en el sistema, este widget lo indicará y en la página de información podrá ver el motivo.
Al hacer clic en las pestañas, puede obtener más información sobre diferentes aspectos del firewall.
Bloque de información de tráfico
Esta sección nos da una idea de lo que está sucediendo en nuestra red en este momento y de lo que ha sucedido durante las últimas 24 horas. Las 5 principales categorías web y aplicaciones por tráfico, ataques de red (módulo IPS activado) y las 5 principales aplicaciones bloqueadas.
Además, cabe destacar por separado la sección Aplicaciones en la nube. En él se puede ver la presencia de aplicaciones en la red local que utilizan servicios en la nube. Su número total, tráfico entrante y saliente. Si hace clic en este widget, accederemos a la página de información sobre aplicaciones en la nube, donde podremos ver con más detalle qué aplicaciones en la nube hay en la red, quién las usa e información del tráfico.
Bloque de información sobre usuarios y dispositivos
Este bloque muestra información sobre los usuarios. La línea superior nos muestra información sobre los equipos de los usuarios infectados, recopilando información del antivirus Sophos y transmitiéndola a Sophos XG Firewall. Según esta información, el Firewall puede, cuando está infectado, desconectar la computadora del usuario de la red local o del segmento de red en el nivel L2, bloqueando todas las comunicaciones con ella. Más información sobre Security Heartbeat estaba en
Vale la pena prestar atención a los dos widgets inferiores. Estos son ATP (Protección avanzada contra amenazas) y UTQ (Cociente de amenazas del usuario).
El módulo ATP bloquea las conexiones con C&C, los servidores de control de las redes de botnets. Si un dispositivo en su red local está en una red de botnet, este módulo lo informará y no le permitirá conectarse al servidor de control. Se parece a esto
El módulo UTQ asigna un índice de seguridad a cada usuario. Cuanto más intenta un usuario ir a sitios prohibidos o ejecutar aplicaciones prohibidas, mayor será su calificación. A partir de estos datos, es posible impartir formación a dichos usuarios con antelación, sin esperar a que, al final, su ordenador quede infectado con malware. Se parece a esto
A continuación se incluye una sección de información general sobre reglas de firewall activas e informes de actualidad, que se pueden descargar rápidamente en formato pdf.
Pasemos a la siguiente sección del menú: Actividades actuales
Actividades actuales
Comencemos la revisión con la pestaña Usuarios en vivo. En esta página podemos ver qué usuarios están conectados actualmente a Sophos XG Firewall, el método de autenticación, la dirección IP de la máquina, el tiempo de conexión y el volumen de tráfico.
Conexiones en vivo
Esta pestaña muestra las sesiones activas en tiempo real. Esta tabla se puede filtrar por aplicaciones, usuarios y direcciones IP de las máquinas cliente.
Conexiones IPsec
Esta pestaña muestra información sobre las conexiones VPN IPsec activas
Pestaña de usuarios remotos
La pestaña Usuarios remotos contiene información sobre los usuarios remotos que se conectaron a través de SSL VPN
Además, en esta pestaña puedes ver el tráfico por usuario en tiempo real y desconectar forzosamente a cualquier usuario.
Saltemos la pestaña Informes, ya que el sistema de informes de este producto es muy voluminoso y requiere un artículo aparte.
Diagnóstico
Inmediatamente se abre una página con diferentes utilidades para encontrar problemas. Estos incluyen Ping, Traceroute, búsqueda de nombre, búsqueda de ruta.
La siguiente es una pestaña con gráficos del sistema de hardware y carga de puertos en tiempo real.
Gráficos del sistema
Luego una pestaña donde puedes consultar la categoría del recurso web.
Búsqueda de categorías de URL
La siguiente pestaña, Captura de paquetes, es esencialmente una interfaz tcpdump integrada en la web. También puedes escribir filtros.
Captura de paquetes
Una cosa interesante a tener en cuenta es que los paquetes se convierten en una tabla donde puedes deshabilitar y habilitar columnas adicionales con información. Esta funcionalidad es muy conveniente para encontrar problemas de red, por ejemplo: puede comprender rápidamente qué reglas de filtrado se aplicaron al tráfico real.
En la pestaña Lista de conexiones puede ver todas las conexiones existentes en tiempo real e información sobre ellas.
Lista de conexiones
Conclusión
Con esto concluye la primera parte de la revisión. Examinamos solo la parte más pequeña de la funcionalidad disponible y no tocamos los módulos de seguridad en absoluto. En el próximo artículo analizaremos la funcionalidad de informes integrada y las reglas de firewall, sus tipos y propósitos.
Gracias por su tiempo
Si tienes alguna duda sobre la versión comercial de XG Firewall, puedes contactar con nosotros, la empresa
Fuente: habr.com