Ciao a tutti! In continuazione di questo Vorrei parlarvi più approfonditamente delle funzionalità offerte dalla soluzione Sophos XG Firewall e presentarvi l'interfaccia web. Articoli e documenti commerciali sono validi, ma è sempre interessante sapere come funziona la soluzione nella pratica. Come è organizzato il tutto? Quindi, passiamo alla recensione.
Questo articolo illustrerà la prima parte della funzionalità di Sophos XG Firewall: "Monitoraggio e analisi". La revisione completa sarà pubblicata in una serie di articoli. Procederemo basandoci sull'interfaccia web di Sophos XG Firewall e sulla tabella delle licenze.
Centro di controllo della sicurezza
E così, abbiamo avviato il browser e aperto l'interfaccia web del nostro NGFW, vediamo un invito a inserire login e password per entrare nel pannello di amministrazione
Inseriamo il login e la password che abbiamo impostato durante l'attivazione iniziale e arriviamo al nostro centro di controllo. Si presenta così
Quasi tutti questi widget sono cliccabili. È possibile approfondire l'incidente e visualizzarne i dettagli.
Diamo un'occhiata a ciascuno dei blocchi e inizieremo con il blocco Sistema.
Blocco di sistema
Questo blocco mostra lo stato della macchina in tempo reale. Cliccando su una qualsiasi delle icone, si accede a una pagina con informazioni più dettagliate sullo stato del sistema.
Se ci sono problemi nel sistema, questo widget lo segnalerà e nella pagina delle informazioni potrai vedere il motivo
Cliccando sulle schede è possibile ottenere maggiori informazioni sui diversi aspetti del funzionamento del firewall.
Blocco di informazioni sul traffico
Questa sezione ci fornisce un'idea di cosa sta accadendo nella nostra rete in questo momento e di cosa è successo nelle ultime 24 ore. Le 5 principali categorie e applicazioni web in base al traffico, agli attacchi di rete (attivazione del modulo IPS) e alle 5 principali applicazioni bloccate.
Vale la pena evidenziare separatamente anche la sezione Applicazioni Cloud. Qui è possibile visualizzare la presenza di applicazioni nella rete locale che utilizzano servizi cloud, il loro numero totale e il traffico in entrata e in uscita. Cliccando su questo widget, si accede alla pagina informativa sulle applicazioni cloud, dove è possibile visualizzare in modo più dettagliato quali applicazioni cloud sono presenti sulla rete, chi le utilizza e informazioni sul traffico.
Blocco di informazioni su utenti e dispositivi
Questo blocco mostra informazioni sugli utenti. La riga superiore mostra informazioni sui computer degli utenti infetti, raccogliendo informazioni dall'antivirus Sophos e trasmettendole al firewall Sophos XG. Sulla base di queste informazioni, il firewall può, in caso di infezione, disconnettere il computer dell'utente dalla rete locale o dal segmento di rete a livello L2, bloccando tutte le connessioni con esso. Ulteriori dettagli su Security Heartbeat sono disponibili in Le due righe successive riguardano il controllo delle applicazioni e il cloud sandbox. Trattandosi di funzionalità separate, non verranno prese in considerazione in questo articolo.
Vale la pena prestare attenzione ai due widget inferiori: ATP (Advanced Threat Protection) e UTQ (User Threat Quotient).
Il modulo ATP blocca le connessioni a C&C, i server di controllo delle reti botnet. Se un dispositivo nella tua rete locale entra in una rete botnet, questo modulo lo segnalerà e non ti consentirà di connetterti al server di controllo. Si presenta così:
Il modulo UTQ assegna un indice di sicurezza a ciascun utente. Più l'utente tenta di visitare siti vietati o di avviare applicazioni vietate, più alto sarà il suo punteggio. Sulla base di questi dati, è possibile addestrare in anticipo tali utenti senza attendere che il loro computer venga infettato da malware. Ecco come appare:
Segue una sezione con informazioni generali sulle regole del firewall attive e report importanti che possono essere scaricati rapidamente in formato PDF.
Passiamo alla sezione successiva del menu - Attività in corso
Attività correnti
Iniziamo la revisione con la scheda Utenti attivi. In questa pagina possiamo vedere quali utenti sono attualmente connessi a Sophos XG Firewall, il metodo di autenticazione, l'indirizzo IP della macchina, il tempo di connessione e il volume di traffico.
Collegamenti in tempo reale
Questa scheda mostra le sessioni attive in tempo reale. La tabella può essere filtrata per applicazioni, utenti e indirizzi IP dei computer client.
connessioni IPsec
Questa scheda visualizza informazioni sulle connessioni VPN IPsec attive.
Scheda Utenti remoti
La scheda Utenti remoti contiene informazioni sugli utenti remoti che si sono connessi tramite VPN SSL.
Inoltre, in questa scheda è possibile visualizzare il traffico degli utenti in tempo reale e disconnettere forzatamente qualsiasi utente.
Saltiamo la scheda Report, poiché il sistema di reporting di questo prodotto è molto esteso e richiede un articolo a parte.
Diagnostica Ultrasuoni
Si apre immediatamente una pagina con diverse utilità per la ricerca del problema, tra cui Ping, Traceroute, Ricerca nome, Ricerca percorso.
Segue una scheda con grafici di sistema relativi al caricamento di hardware e porte in tempo reale.
Grafici di sistema
Poi una scheda dove puoi controllare la categoria della risorsa web
Ricerca categoria URL
La scheda successiva, Acquisizione pacchetti, è essenzialmente un'interfaccia web tcpdump integrata. È anche possibile scrivere filtri
Acquisizione di pacchetti
La cosa interessante è che i pacchetti vengono convertiti in una tabella in cui è possibile attivare e disattivare colonne aggiuntive contenenti informazioni. Questa funzionalità è molto utile per individuare problemi di rete, ad esempio, consentendo di capire rapidamente quali regole di filtraggio sono state applicate al traffico reale.
Nella scheda Elenco connessioni puoi visualizzare tutte le connessioni esistenti in tempo reale e le informazioni su di esse
Elenco delle connessioni
conclusione
Con questo si conclude la prima parte della recensione. Abbiamo preso in considerazione solo una minima parte delle funzionalità disponibili e non abbiamo affrontato in alcun modo i moduli di protezione. Nel prossimo articolo analizzeremo le funzionalità di reporting integrate e le regole del firewall, le loro tipologie e finalità.
Grazie per il tuo tempo.
Se hai domande sulla versione commerciale di XG Firewall, puoi contattare noi, l'azienda , distributore Sophos. Tutto quello che devi fare è scrivere in forma libera a .
Fonte: habr.com
