Ahojte všetci! V pokračovaní tohto Chcem vám povedať viac o funkcionalite, ktorú riešenie Sophos XG Firewall ponúka a predstaviť vám webové rozhranie. Komerčné články a dokumenty sú dobré, ale vždy je to zaujímavé, ako vyzerá riešenie v reálnom živote? Ako tam všetko funguje? Začnime teda s recenziou.
Tento článok ukáže prvú časť funkcie brány Sophos XG Firewall – „Monitorovanie a analýza“. Celá recenzia bude publikovaná ako séria článkov. Postupovať budeme na základe webového rozhrania Sophos XG Firewall a licenčnej tabuľky
Centrum kontroly zabezpečenia
A tak sme spustili prehliadač a otvorili webové rozhranie nášho NGFW, vidíme výzvu na zadanie používateľského mena a hesla na vstup do oblasti správcu
Zadáme prihlasovacie meno a heslo, ktoré sme nastavili pri úvodnej aktivácii a dostávame sa do nášho riadiaceho centra. Vyzerá takto
Takmer na každý z týchto widgetov sa dá kliknúť. Môžete spadnúť do incidentu a vidieť detaily.
Pozrime sa na každý z blokov a začneme blokom Systém
Blokový systém
Tento blok zobrazuje stav stroja v reálnom čase. Ak kliknete na niektorú z ikon, prejdeme na stránku s podrobnejšími informáciami o stave systému
Ak sa v systéme vyskytnú problémy, tento widget to signalizuje a na informačnej stránke môžete vidieť dôvod
Kliknutím na jednotlivé karty získate ďalšie informácie o rôznych aspektoch brány firewall.
Blok prehľadu premávky
Táto sekcia nám poskytuje predstavu o tom, čo sa momentálne deje v našej sieti a čo sa stalo za posledných 24 hodín. 5 najlepších webových kategórií a aplikácií podľa návštevnosti, sieťových útokov (spustený modul IPS) a 5 najlepších blokovaných aplikácií.
Samostatne stojí za to vyzdvihnúť aj sekciu Cloudové aplikácie. V ňom môžete vidieť prítomnosť aplikácií v lokálnej sieti, ktoré využívajú cloudové služby. Ich celkový počet, prichádzajúca a odchádzajúca prevádzka. Ak kliknete na tento widget, dostaneme sa na informačnú stránku o cloudových aplikáciách, kde môžeme podrobnejšie vidieť, aké cloudové aplikácie sú v sieti, kto ich používa a informácie o premávke
Blokovanie štatistík používateľov a zariadení
Tento blok zobrazuje informácie o používateľoch. V hornom riadku sa nám zobrazujú informácie o infikovaných počítačoch používateľov, zbieranie informácií z antivírusu Sophos a ich prenos do brány Sophos XG Firewall. Na základe týchto informácií môže Firewall v prípade infekcie odpojiť počítač používateľa od lokálnej siete alebo sieťového segmentu na úrovni L2 a zablokovať s ním všetku komunikáciu. Ďalšie informácie o funkcii Security Heartbeat boli v . Ďalšie dva riadky sú ovládanie aplikácií a cloud sandbox. Keďže ide o samostatnú funkciu, v tomto článku sa ňou nebudeme zaoberať.
Za pozornosť stojí dva spodné widgety. Ide o ATP (Advanced Threat Protection) a UTQ (User Threat Quotient).
Modul ATP blokuje spojenia s C&C, riadiacimi servermi sietí botnetov. Ak je zariadenie vo vašej lokálnej sieti v sieti botnetu, tento modul to ohlási a nedovolí vám pripojiť sa k riadiacemu serveru. Vyzerá to takto
Modul UTQ priraďuje každému používateľovi bezpečnostný index. Čím viac sa používateľ pokúša prejsť na zakázané stránky alebo spustiť zakázané aplikácie, tým vyššie bude jeho hodnotenie. Na základe týchto údajov je možné takýmto používateľom poskytnúť školenie vopred bez toho, aby sa čakalo na to, že v konečnom dôsledku bude ich počítač napadnutý malvérom. Vyzerá to takto
Nasleduje časť všeobecných informácií o aktívnych pravidlách brány firewall a aktuálnych správach, ktoré je možné rýchlo stiahnuť vo formáte pdf
Prejdime k ďalšej časti menu – Aktuálne aktivity
Aktuálne aktivity
Začnime recenziu kartou Živí používatelia. Na tejto stránke môžeme vidieť, ktorí používatelia sú momentálne pripojení k Sophos XG Firewall, spôsob overovania, IP adresu zariadenia, čas pripojenia a objem prevádzky.
Živé spojenia
Táto karta zobrazuje aktívne relácie v reálnom čase. Táto tabuľka môže byť filtrovaná podľa aplikácií, používateľov a IP adries klientskych počítačov.
Pripojenia IPsec
Táto karta zobrazuje informácie o aktívnych pripojeniach IPsec VPN
Karta Vzdialení používatelia
Karta Vzdialení používatelia obsahuje informácie o vzdialených používateľoch, ktorí sa pripojili cez SSL VPN
Na tejto karte tiež môžete zobraziť návštevnosť podľa používateľa v reálnom čase a násilne odpojiť akéhokoľvek používateľa.
Preskočme kartu Prehľady, pretože systém podávania správ v tomto produkte je veľmi rozsiahly a vyžaduje si samostatný článok.
Diagnostika
Okamžite sa otvorí stránka s rôznymi nástrojmi na vyhľadávanie problémov. Patria sem Ping, Traceroute, Name lookup, Route search.
Ďalej je záložka so systémovými grafmi hardvéru a načítavania portov v reálnom čase
Systémové grafy
Potom karta, kde môžete skontrolovať kategóriu webového zdroja
vyhľadávanie kategórií URL
Ďalšia karta, Packet capture, je v podstate rozhranie tcpdump zabudované do webu. Môžete tiež písať filtre
Zachytávanie paketov
Zaujímavosťou je, že balíčky sa skonvertujú na tabuľku, v ktorej môžete zakázať a povoliť ďalšie stĺpce s informáciami. Táto funkcionalita je veľmi vhodná napríklad na nájdenie problémov so sieťou – môžete rýchlo pochopiť, ktoré pravidlá filtrovania boli aplikované na skutočnú premávku.
Na karte Zoznam pripojení môžete zobraziť všetky existujúce pripojenia v reálnom čase a informácie o nich
Zoznam pripojení
Záver
Týmto sa končí prvá časť recenzie. Preskúmali sme len najmenšiu časť dostupnej funkcionality a bezpečnostných modulov sme sa vôbec nedotkli. V nasledujúcom článku budeme analyzovať vstavanú funkcionalitu reportingu a pravidlá brány firewall, ich typy a účely.
Ďakujem za Tvoj čas.
Ak máte akékoľvek otázky týkajúce sa komerčnej verzie brány XG Firewall, môžete nás, spoločnosť, kontaktovať , distribútor Sophos. Stačí, ak napíšete voľnou formou na .
Zdroj: hab.com