Geekly articles weekly

Création d'un système de protection antivirus étendu pour une petite entreprise. 3e partie


Dans cette partie, nous continuerons à décrire la solution de sécurité multi-étapes basée sur les passerelles USG Performance Series, en particulier le Zyxel USG40W. Parties précédentes: première et deuxième . Mais au début, il convient de rappeler les raisons qui poussent les administrateurs système, spécialistes de la sécurité informatique à utiliser de tels appareils.

Ensuite, nous allons décrire le Zyxel USG40W, en prenant comme base les deux options pour l'interface Web: «Mode simple» et «Mode utilisateur expérimenté».

Pourquoi avez-vous besoin d'une protection multi-étapes?


Parfois, vous pouvez entendre une opinion sur le sujet: que la protection à plusieurs niveaux appartient plus à la catégorie du luxe qu'aux choses nécessaires.

«Notre bureau est petit, il y a un antivirus d'entreprise (version Entreprise, soit dit en passant), et cela semble être suffisant pour l'instant» ...

Pour défendre cette position, diverses déclarations sont faites. Par exemple, le fait que le trafic chiffré sur le flux ne puisse pas être vérifié de tous les côtés est exagéré (et c'est naturel, il est juste chiffré pour ne pas être lu sur les nœuds intermédiaires).

REMARQUE Sur les appareils modernes, toute une gamme d'outils est installée pour augmenter le niveau de sécurité, ce qui peut inclure: antivirus, antispam, filtrage contextuel et système de protection contre les intrusions.

Un autre argument est parfois avancé que lors de la vérification avec une passerelle antivirus matériel-logiciel, vous ne pouvez pas utiliser un analyseur de comportement. Mais les antivirus locaux cette méthode est largement utilisée.

Franchement, il serait étrange d'introduire un tel mécanisme sur une passerelle Internet. En gros, imaginez une image lorsque chaque fichier exécutable, une image, en un mot, tout objet est d'abord stocké sur un périphérique intermédiaire, vérifié dans un environnement de test sur une machine dédiée, puis seulement, après un certain temps, par exemple deux jours, est délivré à l'utilisateur. Tel est le "Tetris par correspondance".

Il convient de noter que la méthode hors ligne décrite est toujours utilisée, mais pour des tâches complètement différentes. Par exemple, lors de l'introduction de nouveaux logiciels, des tests de mises à jour, etc. La présence de sandbox dans un environnement de test fermé sur un serveur séparé est également l'une des parties de la protection multi-étapes. Pour les passerelles Internet, cette option de test ne convient pas.

REMARQUE Afin de réduire les risques sur Internet, vous pouvez utiliser un système de filtrage de contenu qui restreint l'accès aux produits pornographiques, aux ressources piratées et aux autres habitats de logiciels malveillants les plus probables.

Il est très important de comprendre que la protection à plusieurs niveaux est exactement DEUX et PLUS (!) Niveaux de protection. Une passerelle Internet antivirus n'est en aucun cas un remplacement de l'antivirus sur le terminal. La tâche principale de la passerelle antivirus est de supprimer la charge de l'antivirus local.

Par exemple, un grand nombre de pièces jointes malveillantes et d'hameçonnage proviennent toujours du courrier électronique indésirable. Si l'antivirus local sur l'ordinateur de l'utilisateur vérifie tous les courriers non filtrés - lui, pour le dire doucement, aura du mal. La présence d'une passerelle anti-spam élimine la nécessité pour le système de protection sur un ordinateur séparé de vérifier la plupart de ces messages. L'antivirus sur la passerelle peut couper une partie importante des lettres avec des «surprises». Et la part des antivirus locaux n'aura pas beaucoup de travail.

Il est important de noter que le danger peut se produire sur chaque ordinateur du réseau. Peu importe que pour des centaines d'utilisateurs, tout soit parfaitement vérifié, et pour un seul antivirus, il n'a pas reçu les mises à jour à temps et a raté le code malveillant. En fin de compte, c'est tout de même d'où vient le problème - à partir d'un seul ordinateur, où l'utilisateur a ouvert un e-mail avec un cheval de Troie ou de tout à la fois. Une coupure centralisée de ces «cadeaux» avec anti-spam et anti-virus sur la passerelle peut protéger tous les utilisateurs couverts par la politique de protection.

REMARQUE Utilisez une protection à plusieurs étapes pour décharger l'antivirus local. Cela est particulièrement vrai avec un grand nombre de réponses à de simples menaces. L'installation d'une passerelle de sécurité prendra en charge une partie de l'analyse des cas simples, ce qui affectera positivement la vitesse du système dans son ensemble.

Afin de comprendre une fois pour toutes la différence entre une solution d'un antivirus d'entreprise et une protection à plusieurs niveaux, vous pouvez comparer l'infrastructure informatique avec un immeuble résidentiel.

Dans les maisons modernes partout, il y a une serrure électronique avec interphone. Ceci est fait afin de restreindre l'accès à l'entrée de divers types de «personnalités incompréhensibles». Et une méthode similaire pour couper les visiteurs indésirables est justifiée.

Oui, toute méthode de défense est imparfaite. Dans le cas du même interphone, un attaquant peut se faufiler dans la porte ouverte après le locataire, obtenir le code de l'interphone ou obtenir la clé. Par conséquent, il est toujours nécessaire d'avoir une bonne porte solide et une serrure fiable pour protéger l'appartement. Mais si vous évaluez la situation dans son ensemble, la vie avec des interphones est beaucoup plus confortable que lorsque les portes de la porte sont grandes ouvertes et que chaque résident est obligé de prendre soin de sa propre sécurité.

Ce sont les "super-interphones" pour l'infrastructure informatique de Zyxel et seront discutés ci-dessous.

Passerelles USG Performance Series USG40 / USG40W / USG60 / USG40W - Interface et fonctionnalités


Dans la partie précédente, nous avons examiné le processus de configuration de la connexion à l'interface Web, sa division en modes principaux et la mise à jour du firmware.

L'objectif principal du contenu de cet article est d'aider à naviguer lors de la gestion et de la configuration de ces passerelles.

Rappelez-vous qu'il existe deux options de contrôle: «Mode simple» et «Mode utilisateur avancé».

Mode simplifié


La gestion en mode simple est principalement basée sur l'utilisation de "wizards" (assistant) et est une configuration pas à pas. De cette façon, vous pouvez configurer la connexion à un réseau externe (interface WAN), VPN, Wi-Fi, etc.


Figure 1. Vue générale de l'interface en mode simple.

Les avantages de cette méthode de contrôle sont la simplicité de la configuration initiale, car ils disent «sans plus tarder». En même temps, c'est une limitation - certains paramètres restent «en coulisses» et pour les modifier, vous devez passer en mode «Utilisateur avancé».


Figure 2. Un fragment de l'assistant de configuration initiale.

REMARQUE Si vous ne parvenez pas à trouver rapidement tel ou tel paramètre dans le mode "Utilisateur expérimenté", essayez de passer en "Mode simple" et effectuez l'action nécessaire via l'assistant de configuration. Ensuite, vous pouvez utiliser les paramètres créés comme modèle pour un réglage plus fin.

Mode utilisateur avancé


Comme mentionné ci-dessus, ce mode est conçu pour effectuer l'adaptation la plus complète aux besoins existants.

Il y a vraiment beaucoup de paramètres. Par conséquent, il est fortement recommandé de lire la documentation avant de commencer le travail.

La gamme USG Performance Series dispose d'un ensemble de fonctionnalités très riche. Et dans le cadre d'un petit article, il ne sera pas possible de plonger profondément dans ce domaine. Nous nous limitons à une description des principes généraux, afin de faciliter la navigation dans l'interface Web. Nous considérons également certaines des actions qui valent la peine d'être exécutées, comme on dit "immédiatement après la réunion".

L'interface Web des appareils USG Performance Series se compose de 4 sections principales.
La commutation entre les modes se fait en utilisant les éléments actifs sur le côté gauche de l'écran.

Il convient de noter que la séparation des fonctions dans ces sections est plutôt conditionnelle. Voici une brève description de chacun.

1. Moniteur système


C'est la toute première chose qu'un utilisateur voit après être entré dans le système en mode "Utilisateur avancé".

Cette section est destinée au contrôle express et à l'obtention d'informations sur les événements qui se sont produits. Le nom anglais est Dashboard, c'est-à-dire une fenêtre pour un accès rapide aux fonctions les plus utilisées et aux informations importantes.


Figure 3. Section System Monitor. De plus, les «boutons à l'écran» sont surlignés en rouge pour se déplacer entre les sections.

En principe, tout ce qui est présenté ici est dupliqué dans d'autres sections. Le moniteur système vous permet d'accélérer l'accès aux fonctions nécessaires, mais ne remplace pas les méthodes standard de surveillance des paramètres. Dashboard, il est en Afrique - Dashboard.

2. Suivi


Cette zone étendue de l'interface permet d'obtenir des informations opérationnelles sur l'état du système et les événements qui se sont produits.

Cette section comprend plusieurs sous-sections:

  • État du système;
  • Réseau sans fil;
  • Statut VPN
  • Statistiques UTM;
  • Journal

Chacun de ces éléments contient à son tour des sous-paragraphes supplémentaires. En général, la section de surveillance contient une grande quantité d'informations sur un large éventail d'événements.


Figure 4. Surveillance de section.

Pour une description plus détaillée, reportez-vous à la documentation.

3. Configuration


Le but principal est d'effectuer un réglage fin du système de sécurité, de l'accès VPN, des règles de filtrage sur le pare-feu et bien d'autres choses utiles.

La section "Configuration" comprend les sous-sections:

  • Un ensemble d'assistants "Quick Setup";
  • Licence
  • Réseau sans fil;
  • Réseau
  • Authentification Web
  • Politique de sécurité;
  • Cloud CNM
  • VPN
  • BWM;
  • Profil UTM;
  • Objet;
  • Système;
  • Journaux et rapports.


Figure 5. Section «Configuration».

Nous reviendrons sur cette section lorsque nous considérerons les actions nécessaires.

4. Service


Conçu pour effectuer des travaux afin de maintenir l'état de fonctionnement du système.

Contient des sous-sections:

  • Gestionnaire de fichiers;
  • Diagnostics
  • Présentation du routage
  • Arrêtez.

Comme je l'ai écrit ci-dessus, la division de l'attribution d'une fonction particulière dans l'une des sections est une chose conditionnelle. Mais, en général, une telle répartition en sections vous permet de systématiser les nombreuses fonctions de ces appareils et vous aide à naviguer plus rapidement.


Figure 6. Section de service.

Action initiale

La première chose à faire après l'achat de l'appareil est de vous inscrire. Vous pouvez le faire à partir de l'interface Web en accédant à la section «Configuration» - la sous-section «Licence» - puis à l'élément «Enregistrement».


Figure 7. Section «Configuration» - Enregistrement du périphérique.

Après l'enregistrement, vous devez installer des licences pour les services requis: antivirus, antispam, protection contre les intrusions, filtrage de contenu.

Pour ce faire, dans la même fenêtre (section «Configuration» - sous-section «Licence» - «Enregistrement»), sélectionnez l'élément «Service» et activez tour à tour les services nécessaires en utilisant l'élément actif sous la forme d'un lien «Activer».


Figure 8. Section «Configuration» - Activation de l'antivirus.

Maintenant, après vous être familiarisé avec l'interface et enregistré le produit, vous pouvez procéder à la configuration de la passerelle pour votre infrastructure.

L'administrateur dispose d'une documentation détaillée, d'une base de connaissances et d'un service d'assistance technique Zyxel avancé.

Conclusion


Les passerelles Zyxel USG Performance Series peuvent être comparées à un navire de guerre polyvalent capable de résoudre un large éventail de tâches de sécurité dans une région donnée.

Cependant, pour gérer une telle unité de combat, il est nécessaire de s'approvisionner en connaissances et compétences nécessaires. Par conséquent, le stade de familiarisation avec la documentation ne sera pas mal.
Dans le même temps, l'interface Web conviviale et l'interface de ligne de commande (CLI) développées faciliteront l'adaptation à la fois aux spécialistes ayant une expérience de travail avec les équipements réseau d'autres fournisseurs, ainsi qu'aux nouveaux arrivants.

Sources:


  1. Page USG Performance Series sur Zyxel.ru
  2. Guides d'utilisation des produits USG Performance Series
  3. Informations sur la licence USG Performance Series

Source: https://habr.com/ru/post/fr413977/

More articles:


All Articles