Всім привіт! Протягом даної хочу розповісти вам докладніше про функціонал, який пропонує рішення Sophos XG Firewall та познайомити з веб-інтерфейсом. Комерційні статті та документи це добре, але ж завжди цікаво, а як же рішення виглядає живим? Як усе там влаштовано? Отже, приступимо до огляду.
У цій статті буде показано першу частину функціоналу Sophos XG Firewall – це «Моніторинг та аналітика». Повний огляд вийде як цикл статей. Іти ми будемо, відштовхуючись від веб-інтерфейсу Sophos XG Firewall та таблиці ліцензування
Центр управління безпекою
І ось, ми запустили браузер і відкрили веб-інтерфейс нашого NGFW, ми бачимо запрошення ввести логін і пароль для входу в адмінку
Вводимо логін та пароль, який ми задавали при початковій активації та потрапляємо до нашого центру управління. Виглядає він так
Майже кожен із даних віджетів клікабельний. Можна провалитися в інцидент і переглянути подробиці.
Давайте розберемо кожен із блоків, і почнемо ми з блоку System
Блок System
Цей блок відображає стан машини у реальному часі. Якщо натиснути на будь-яку з іконок, ми перейдемо на сторінку з більш детальною інформацією про стан системи
Якщо в системі є проблеми, то цей віджет про це просигналізує, а на сторінці інформації можна переглянути причину
Переходячи по вкладках, можна отримати більше інформації про різні аспекти роботи міжмережевого екрану
Блок Traffic insight
Даний розділ дає нам уявлення про те, що відбувається в нашій мережі на даний момент і що відбувалося за останні 24 години. Топ 5 веб категорій та додатків з трафіку, мережеві атаки (спрацювання IPS модуля) та топ 5 заблокованих додатків.
Також окремо варто виділити розділ Cloud Applications. У ньому можна переглянути наявність у локальній мережі програм, які використовують хмарні сервіси. Загальна їх кількість, вхідний та вихідний трафік. Якщо натиснути на цей віджет, то ми провалимося на сторінку інформації про хмарні програми, де зможемо докладніше подивитися, які хмарні програми є в мережі, хто ними користується та інформацію про трафік
Блок User & device insights
У цьому блоці показано інформацію про користувачів. Верхній рядок показує нам інформацію про заражені комп'ютери користувачів, збираючи інформацію з антивірусу від Sophos і передаючи її в Sophos XG Firewall. За цією інформацією Firewall може, при зараженні, відключати комп'ютер користувача від локальної мережі або сегмента мережі на рівні L2 блокуючи всі зв'язки з ним. Детальніше про Security Heartbeat було в . Далі два рядки - це контроль додатків та хмарна пісочниця. Оскільки це окремий функціонал, у цій статті він не розглядатиметься.
Варто звернути увагу на два нижні віджети. Це ATP (Advanced Threat Protection) та UTQ (User Threat Quotient).
Модуль ATP блокує з'єднання з C&C, керуючими серверами ботнет мереж. Якщо пристрій у вашій локальній мережі потрапив у ботнет мережу, цей модуль повідомить про це і не дасть підключитися до керуючого сервера. Виглядає це таким чином
Модуль UTQ надає кожному користувачеві індекс безпеки. Чим більше користувач намагається перейти на заборонені сайти або запустити заборонені програми, тим вищим стає його рейтинг. Спираючись на ці дані, можна заздалегідь провести навчання для таких користувачів, не чекаючи того, що, зрештою, його комп'ютер буде заражений шкідливим ПЗ. Виглядає це так
Далі йде розділ загальної інформації про активні фаєрвольні правила та гарячі звіти, які можна швидко завантажити у форматі pdf
Перейдемо до наступного розділу меню — Current activities
Поточна діяльність
Почнемо огляд із вкладки Live users. На цій сторінці ми можемо подивитися, хто з користувачів підключений на даний момент до Sophos XG Firewall, метод автентифікації, ip адреса машини, час підключення та обсяг трафіку.
Live connections
На цій вкладці відображаються активні сесії у реальному часі. Цю таблицю можна фільтрувати за програмами, користувачами та IP адресами клієнтських машин.
IPsec connections
На цій вкладці відображається інформація про активні з'єднання IPsec VPN
Вкладка Remote users
На вкладці Remote users міститься інформація про віддалених користувачів, які підключилися через SSL VPN
Також, на цій вкладці можна переглянути трафік по користувачам у реальному часі та примусово відключити будь-якого користувача.
Пропустимо вкладку Reports, оскільки система звітів у цьому продукті є дуже об'ємною і потребує окремої статті.
Діагностика
Відразу відкривається сторінка із різними утилітами пошуку проблеми. У них входить Ping, Traceroute, Name lookup, Route lookup.
Далі йде вкладка із системними графіками завантаження заліза та портів у реальному часі
System graphs
Потім вкладка, де можна перевірити категорію веб-ресурсу
URL category lookup
Наступна вкладка Packet capture - це, власне, вбудований в інтернет інтерфейс tcpdump. Можна також писати фільтри
Захоплення пакетів
З цікавого варто відзначити те, що пакети перетворюються на таблицю, де можна відключати і включати додаткові стовпці з інформацією. Цей функціонал дуже зручний для пошуку мережевих проблем, наприклад, можна швидко зрозуміти які правила фільтрації застосувалися на реальний трафік.
На вкладці Connection List можна переглянути всі існуючі коннекти в реальному часі та інформацію щодо них
Список з'єднань
Висновок
На цьому ми закінчимо першу частину огляду. Ми розглянули лише найменшу частину наявного функціоналу і взагалі не стосувалися модулів захисту. У наступній статті розберемо вбудований функціонал звітності та фаєрвольні правила, їх види та призначення.
Дякую за приділений час.
Якщо у Вас будуть питання щодо комерційної версії XG Firewall, Ви можете звертатися до нас — компанію , дистриб'ютору Sophos. Достатньо написати у вільній формі на .
Джерело: habr.com