Salut tout le monde! Dans la continuité de ceci Je souhaite vous en dire plus sur les fonctionnalités offertes par la solution Sophos XG Firewall et vous présenter l'interface Web. Les articles et documents commerciaux, c’est bien, mais c’est toujours intéressant, à quoi ressemble la solution dans la vraie vie ? Comment ça marche là-bas ? Commençons donc par l'examen.
Cet article présentera la première partie de la fonctionnalité du pare-feu Sophos XG - « Surveillance et analyses ». La revue complète sera publiée sous forme d’une série d’articles. Nous procéderons en fonction de l'interface Web et du tableau des licences de Sophos XG Firewall.
Centre de contrôle de la sécurité
Et ainsi, nous avons lancé le navigateur et ouvert l'interface Web de notre NGFW, nous voyons une invite pour saisir votre nom d'utilisateur et votre mot de passe pour accéder à la zone d'administration.
Nous entrons le login et le mot de passe que nous avons définis lors de l'activation initiale et accédons à notre centre de contrôle. Il ressemble à ça
Presque chacun de ces widgets est cliquable. Vous pouvez tomber dans l'incident et voir les détails.
Examinons chacun des blocs, et nous commencerons par le bloc Système
Système de blocage
Ce bloc affiche l'état de la machine en temps réel. Si vous cliquez sur l'une des icônes, nous accéderons à une page contenant des informations plus détaillées sur l'état du système.
S'il y a des problèmes dans le système, ce widget le signalera et sur la page d'informations, vous pourrez en voir la raison.
En cliquant sur les onglets, vous pouvez obtenir plus d'informations sur les différents aspects du pare-feu.
Bloc d'informations sur le trafic
Cette section nous donne une idée de ce qui se passe actuellement sur notre réseau et de ce qui s'est passé au cours des dernières 24 heures. Top 5 des catégories et applications web par trafic, attaques réseau (module IPS déclenché) et top 5 des applications bloquées.
En outre, la section Applications cloud mérite d'être soulignée séparément. Vous pouvez y voir la présence d'applications sur le réseau local qui utilisent les services cloud. Leur nombre total, trafic entrant et sortant. Si vous cliquez sur ce widget, nous serons redirigés vers la page d'informations sur les applications cloud, où nous pourrons voir plus en détail quelles applications cloud se trouvent sur le réseau, qui les utilise et des informations sur le trafic.
Bloc d'informations sur les utilisateurs et les appareils
Ce bloc affiche des informations sur les utilisateurs. La ligne supérieure nous montre des informations sur les ordinateurs des utilisateurs infectés, collectant des informations de l'antivirus Sophos et les transmettant à Sophos XG Firewall. Sur la base de ces informations, le pare-feu peut, en cas d'infection, déconnecter l'ordinateur de l'utilisateur du réseau local ou du segment de réseau au niveau L2, bloquant ainsi toutes les communications avec celui-ci. Plus d’informations sur Security Heartbeat étaient disponibles . Les deux lignes suivantes sont le contrôle des applications et le bac à sable cloud. Puisqu’il s’agit d’une fonctionnalité distincte, elle ne sera pas abordée dans cet article.
Il convient de prêter attention aux deux widgets inférieurs. Il s’agit de l’ATP (Advanced Threat Protection) et de l’UTQ (User Threat Quotient).
Le module ATP bloque les connexions avec C&C, les serveurs de contrôle des réseaux botnet. Si un appareil de votre réseau local se trouve dans un réseau botnet, ce module le signalera et ne vous permettra pas de vous connecter au serveur de contrôle. Ça ressemble à ça
Le module UTQ attribue un indice de sécurité à chaque utilisateur. Plus un utilisateur essaie d'accéder à des sites interdits ou d'exécuter des applications interdites, plus sa note augmente. Sur la base de ces données, il est possible de former à l'avance ces utilisateurs sans attendre que leur ordinateur finisse par être infecté par un logiciel malveillant. Ça ressemble à ça
Vient ensuite une section d'informations générales sur les règles de pare-feu actives et les rapports chauds, qui peuvent être rapidement téléchargés au format PDF.
Passons à la section suivante du menu - Activités en cours
Activités actuelles
Commençons l'examen avec l'onglet Utilisateurs Live. Sur cette page, nous pouvons voir quels utilisateurs sont actuellement connectés à Sophos XG Firewall, la méthode d'authentification, l'adresse IP de la machine, le temps de connexion et le volume du trafic.
Connexions en direct
Cet onglet affiche les sessions actives en temps réel. Ce tableau peut être filtré par applications, utilisateurs et adresses IP des machines clientes.
Connexions IPsec
Cet onglet affiche des informations sur les connexions VPN IPsec actives
Onglet Utilisateurs distants
L'onglet Utilisateurs distants contient des informations sur les utilisateurs distants connectés via SSL VPN.
De plus, sur cet onglet, vous pouvez visualiser le trafic par utilisateur en temps réel et déconnecter de force n'importe quel utilisateur.
Ignorons l'onglet Rapports, car le système de reporting de ce produit est très volumineux et nécessite un article séparé.
Diagnostics
Une page avec différents utilitaires de recherche de problèmes s'ouvre immédiatement. Ceux-ci incluent Ping, Traceroute, recherche de nom, recherche d'itinéraire.
Vient ensuite un onglet avec des graphiques système du matériel et du chargement des ports en temps réel.
Graphiques système
Puis un onglet où vous pouvez vérifier la catégorie de la ressource web
Recherche de catégorie d'URL
L'onglet suivant, Packet Capture, est essentiellement une interface tcpdump intégrée au Web. Vous pouvez également écrire des filtres
Capture de paquets
Une chose intéressante à noter est que les packages sont convertis en un tableau dans lequel vous pouvez désactiver et activer des colonnes supplémentaires contenant des informations. Cette fonctionnalité est très pratique pour rechercher des problèmes de réseau, par exemple : vous pouvez rapidement comprendre quelles règles de filtrage ont été appliquées au trafic réel.
Dans l'onglet Liste des connexions, vous pouvez visualiser toutes les connexions existantes en temps réel et leurs informations.
Liste de connexion
Conclusion
Ceci conclut la première partie de la revue. Nous n'avons examiné que la plus petite partie des fonctionnalités disponibles et n'avons pas du tout abordé les modules de sécurité. Dans le prochain article, nous analyserons la fonctionnalité de reporting intégrée et les règles de pare-feu, leurs types et objectifs.
Merci pour votre temps.
Si vous avez des questions sur la version commerciale de XG Firewall, vous pouvez nous contacter, la société , distributeur Sophos. Il vous suffit d'écrire sous forme libre à .
Source: habr.com