Geekly articles weekly

Creación de un sistema de protección antivirus ampliado para una pequeña empresa. Parte 3


En esta parte, continuaremos describiendo la solución de seguridad de múltiples etapas basada en las puertas de enlace de la serie USG Performance, en particular la Zyxel USG40W. Partes anteriores: primera y segunda . Pero al principio vale la pena recordar las razones por las cuales los administradores de sistemas, especialistas en seguridad de TI, deben usar dichos dispositivos.

A continuación, describiremos el Zyxel USG40W, tomando como base las dos opciones para la interfaz web: "Modo simple" y "Modo de usuario experimentado".

¿Por qué necesita protección en varias etapas?


A veces puede escuchar una opinión sobre el tema: es más probable que la protección en varias etapas pertenezca a la categoría de lujo que a las cosas necesarias.

"Nuestro escritorio es pequeño, hay un antivirus corporativo (versión Enterprise, por cierto), y parece ser suficiente por ahora" ...

Como argumentos en defensa de esta posición, se hacen una variedad de declaraciones. Por ejemplo, el hecho de que el tráfico encriptado en la transmisión no puede verificarse en todos los lados es exagerado (y esto es natural, solo está encriptado para que no se lea en los nodos intermedios).

NOTA En los dispositivos modernos, se instala una amplia gama de herramientas para aumentar el nivel de seguridad, que puede incluir: antivirus, antispam, filtrado contextual y sistema de protección contra intrusos.

A veces se hace otro argumento de que cuando se verifica con una puerta de enlace antivirus de hardware y software, no se puede usar un analizador de comportamiento. Pero los antivirus locales utilizan ampliamente este método.

Hablando francamente, sería extraño introducir dicho mecanismo en una puerta de enlace de Internet. Hablando en términos generales, imagine una imagen cuando cada archivo ejecutable, una imagen, en una palabra, cualquier objeto se almacena primero en un dispositivo intermedio, se verifica en un entorno de prueba en una máquina dedicada, y solo después de un tiempo, por ejemplo, dos días, se emite al usuario. Tal es el "Tetris por correspondencia".

Cabe señalar que el método fuera de línea descrito todavía se utiliza, pero para tareas completamente diferentes. Por ejemplo, al presentar un nuevo software, probar actualizaciones, etc. La presencia de sandbox en un entorno de prueba cerrado en un servidor separado también es una de las partes de la protección de etapas múltiples. Para las puertas de enlace de Internet, esta opción de prueba no es adecuada.

NOTA Para reducir los riesgos en Internet, puede usar un sistema de filtrado de contenido que restrinja el acceso a productos pornográficos, recursos pirateados y otros hábitats de malware más probables.

Es muy importante comprender que la protección de etapas múltiples es exactamente DOS y MÁS (!) Niveles de protección. Una puerta de enlace de Internet antivirus no es en modo alguno un reemplazo para el antivirus en el dispositivo final. La tarea principal de la puerta de enlace antivirus es eliminar la carga del antivirus local.

Por ejemplo, una gran cantidad de archivos adjuntos maliciosos y de suplantación de identidad siguen llegando a través del correo no deseado. Si el antivirus local en la computadora del usuario verificará todo el correo sin filtrar, él, por decirlo suavemente, lo pasará mal. La presencia de una puerta de enlace antispam elimina la necesidad del sistema de protección en una computadora separada para verificar la mayoría de estos mensajes. El antivirus en la puerta de enlace puede cortar una parte significativa de las letras con "sorpresas". Y la cuota de antivirus local no tendrá mucho trabajo.

Es importante tener en cuenta que puede ocurrir peligro en todas las computadoras de la red. No importa que para cientos de usuarios todo esté verificado a la perfección, y para un solo antivirus, no recibió actualizaciones a tiempo y perdió el código malicioso. Al final, todo es lo mismo de dónde vino el problema: desde una sola computadora, donde el usuario abrió un correo electrónico con un troyano o de todos a la vez. Un corte centralizado de tales "obsequios" con antispam y antivirus en la puerta de enlace puede proteger a todos los usuarios que están cubiertos por la política de protección.

NOTA Utilice la protección en varias etapas para descargar el antivirus local. Esto es especialmente cierto con una gran cantidad de respuestas a amenazas simples. La instalación de una puerta de enlace de seguridad se hará cargo de parte del análisis de casos simples, lo que afectará positivamente la velocidad del sistema en su conjunto.

Para comprender de una vez por todas la diferencia entre una solución de un antivirus corporativo y protección multinivel, puede comparar la infraestructura de TI con un edificio residencial.

En los hogares modernos en todas partes hay una cerradura electrónica con intercomunicador. Esto se hace para restringir el acceso a la entrada de varios tipos de "personalidades incomprensibles". Y se justifica un método similar para cortar visitantes no deseados.

Sí, cualquier método de defensa es imperfecto. En el caso del mismo interfono, un atacante puede colarse por la puerta abierta después del inquilino, obtener el código del interfono u obtener la llave. Por lo tanto, aún es necesario tener una puerta fuerte y buena y una cerradura confiable para proteger el apartamento. Pero si evalúa la situación como un todo, entonces la vida con intercomunicadores es mucho más cómoda que cuando las puertas de la puerta están abiertas de par en par y cada residente se ve obligado a cuidar de la seguridad por su cuenta.

Estos son los "súper intercomunicadores" para la infraestructura de TI de Zyxel y se analizarán a continuación.

Puertas de enlace de la serie USG Performance USG40 / USG40W / USG60 / USG40W - Interfaz y características


En la parte anterior, examinamos el proceso de configuración del inicio de sesión en la interfaz web, su división en los modos principales y la actualización del firmware.

El objetivo principal del material de este artículo es ayudar a navegar al administrar y configurar dichas puertas de enlace.

Recuerde que hay dos opciones de control: "Modo simple" y "Modo de usuario avanzado".

Modo fácil


La gestión en modo simple se basa principalmente en el uso de "asistentes" (asistente) y es una configuración paso a paso. De esta manera, puede configurar la conexión a una red externa (interfaz WAN), VPN, Wi-Fi, etc.


Figura 1. Vista general de la interfaz del Modo simple.

Las ventajas de este método de control son la simplicidad de la configuración inicial, ya que dicen "sin más preámbulos". Al mismo tiempo, esto es una limitación: algunos de los parámetros permanecen "detrás de escena" y para cambiarlos debe cambiar al modo "Usuario avanzado".


Figura 2. Un fragmento del asistente de configuración inicial.

NOTA Si no puede encontrar rápidamente esta o aquella configuración en el modo "Usuario experimentado", intente cambiar al "Modo simple" y realice las acciones necesarias a través del asistente de configuración. Luego, puede utilizar la configuración creada como plantilla para un ajuste más preciso.

Modo de usuario avanzado


Como se mencionó anteriormente, este modo está diseñado para realizar la adaptación más completa a las necesidades existentes.

Realmente hay muchas configuraciones. Por lo tanto, es muy recomendable que lea la documentación antes de comenzar a trabajar.

La gama USG Performance Series tiene un conjunto de características muy rico. Y dentro del marco de un pequeño artículo, no será posible profundizar en esta área. Nos limitamos a una descripción de los principios generales, para que sea más fácil navegar en la interfaz web. También consideramos algunas de las acciones que vale la pena realizar, ya que dicen "inmediatamente después de la reunión".

La interfaz web de los dispositivos USG Performance Series consta de 4 secciones principales.
El cambio entre los modos ocurre usando los elementos activos en el lado izquierdo de la pantalla.

Vale la pena señalar que la separación de funciones en estas secciones es bastante condicional. La siguiente es una breve descripción de cada uno.

1. Monitor del sistema


Esto es lo primero que ve un usuario después de ingresar al sistema en el modo "Usuario avanzado".

Esta sección está destinada para el control expreso y la obtención de información sobre eventos que han ocurrido. El nombre en inglés es Dashboard, es decir, una ventana para acceder rápidamente a las funciones más utilizadas e información importante.


Figura 3. Sección Monitor del sistema. Además, los "botones en pantalla" se resaltan en rojo para moverse entre las secciones.

En principio, todo lo presentado aquí está duplicado en otras secciones. El monitor del sistema le permite acelerar el acceso a las funciones necesarias, pero no reemplaza los métodos estándar de configuración de monitoreo. Dashboard, él está en África - Dashboard.

2. Monitoreo


Esta área extensa de la interfaz sirve para obtener información operativa sobre el estado del sistema y los eventos que han ocurrido.

Esta sección consta de varias subsecciones:

  • Estado del sistema;
  • Red inalámbrica;
  • Estado de la VPN
  • Estadísticas UTM;
  • Registro

Cada uno de estos elementos a su vez contiene subpárrafos adicionales. En general, la sección de monitoreo contiene una gran cantidad de información sobre una amplia gama de eventos.


Figura 4. Sección de Monitoreo.

Para una descripción más detallada, consulte la documentación.

3. Configuración


El objetivo principal es realizar un ajuste fino del sistema de seguridad, acceso VPN, reglas de filtrado en el firewall y muchas otras cosas útiles.

La sección "Configuración" incluye las subsecciones:

  • Un conjunto de asistentes "Configuración rápida";
  • Licencia
  • Red inalámbrica;
  • Red
  • Autenticación web
  • Política de seguridad;
  • Cloud CNM
  • VPN
  • BWM;
  • Perfil UTM;
  • Objeto;
  • Sistema;
  • Registros e informes.


Figura 5. Sección "Configuración".

Volveremos a esta sección cuando consideremos las acciones necesarias.

4. Servicio


Diseñado para realizar trabajos para mantener las condiciones de trabajo del sistema.

Contiene subsecciones:

  • Administrador de archivos;
  • Diagnósticos
  • Descripción general del enrutamiento
  • Apagado

Como escribí anteriormente, la división de la asignación de una función particular en cualquiera de las secciones es algo condicional. Pero, en general, este desglose en secciones le permite sistematizar las numerosas funciones de estos dispositivos y lo ayuda a navegar más rápido.


Figura 6. Sección de servicio.

Acción inicial

Lo primero que debe hacer después de comprar el dispositivo es registrarse. Puede hacerlo desde la interfaz web yendo a la sección "Configuración", la subsección "Licencia", y luego al elemento "Registro".


Figura 7. Sección "Configuración" - Registro del dispositivo.

Después del registro, debe instalar licencias para los servicios requeridos: antivirus, antispam, protección contra intrusiones, filtrado de contenido.

Para hacer esto, en la misma ventana (sección "Configuración" - subsección "Licencia" - "Registro"), seleccione el elemento "Servicio" y active los servicios necesarios a su vez utilizando el elemento activo en forma de un enlace "Activar".


Figura 8. Sección "Configuración" - Activación del antivirus.

Ahora, después de familiarizarse con la interfaz y registrar el producto, puede proceder a configurar la puerta de enlace para su infraestructura.

El administrador cuenta con documentación detallada, una base de conocimiento y un servicio avanzado de soporte técnico de Zyxel.

Conclusión


Las puertas de enlace Zyxel USG Performance Series se pueden comparar con un buque de guerra multipropósito capaz de resolver una amplia gama de tareas de seguridad en una región determinada.

Sin embargo, para gestionar una unidad de combate de este tipo, es necesario abastecerse de los conocimientos y habilidades necesarios. Por lo tanto, la etapa de familiarización con la documentación no estará mal.
Al mismo tiempo, la interfaz web y la interfaz de línea de comandos (CLI) fáciles de usar y desarrolladas facilitarán la adaptación tanto a especialistas que tienen experiencia trabajando con equipos de red de otros proveedores, como a los recién llegados.

Fuentes:


  1. Página de la serie USG Performance en Zyxel.ru
  2. Guías de usuario del producto USG Performance Series
  3. Información de licencia de la serie USG Performance

Source: https://habr.com/ru/post/es413977/

More articles:


All Articles