Geekly articles weekly

Construindo um sistema de proteção antivírus expandido para uma pequena empresa. Parte 3


Nesta parte, continuaremos a descrever a solução de segurança em vários estágios com base nos gateways USG Performance Series, em particular o Zyxel USG40W. Peças anteriores: primeiro e segundo . Porém, no começo, vale lembrar os motivos que levam os administradores de sistemas, especialistas em segurança de TI a usar esses dispositivos.

A seguir, descreveremos o Zyxel USG40W, tendo como base as duas opções para a interface da web: “Modo Simples” e “Modo de Usuário Experiente”.

Por que você precisa de proteção em vários estágios?


Às vezes, você pode ouvir uma opinião sobre o tópico: é mais provável que a proteção em várias etapas pertença à categoria de luxo do que às coisas necessárias.

“Nossa mesa é pequena, existe um antivírus corporativo (versão Enterprise, a propósito), e parece suficiente por enquanto” ...

Como argumentos em defesa desta posição, são feitas várias declarações. Por exemplo, o fato de o tráfego criptografado não poder ser verificado no fluxo é invadido por todos os lados (e isso é natural, é criptografado para não ser lido em nós intermediários).

NOTA Em dispositivos modernos, uma gama completa de ferramentas é instalada para aumentar o nível de segurança, que pode incluir: antivírus, antispam, filtragem contextual e sistema de proteção contra intrusões.

Às vezes, é apresentado outro argumento de que, ao verificar com um gateway antivírus de hardware / software, você não pode usar um analisador comportamental. Mas antivírus locais, esse método é amplamente utilizado.

Francamente falando, seria estranho introduzir esse mecanismo em um gateway da Internet. Grosso modo, imagine uma imagem quando cada arquivo executável, uma imagem, em uma palavra, qualquer objeto é armazenado pela primeira vez em um dispositivo intermediário, verificado em um ambiente de teste em uma máquina dedicada e somente depois de algum tempo, por exemplo, dois dias, ser emitido para o usuário. Tal é o "Tetris por correspondência".

Deve-se notar que o método off-line descrito ainda é usado, mas para tarefas completamente diferentes. Por exemplo, ao introduzir novo software, testar atualizações e assim por diante. A presença de sandbox em um ambiente de teste fechado em um servidor separado também é uma das partes da proteção de vários estágios. Para gateways da Internet, essa opção de teste não é adequada.

NOTA Para reduzir os riscos na Internet, você pode usar um sistema de filtragem de conteúdo que restrinja o acesso a produtos pornográficos, recursos pirateados e outros habitats de malware mais prováveis.

É muito importante entender que a proteção em vários estágios é exatamente DOIS e MAIS (!) Níveis de proteção. Um gateway de antivírus da Internet não substitui o antivírus no dispositivo final. A principal tarefa do gateway antivírus é remover a carga do antivírus local.

Por exemplo, um grande número de anexos maliciosos e de phishing ainda são enviados por email. Se o antivírus local no computador do usuário verificar todas as mensagens não filtradas - ele, para dizer o mínimo, terá dificuldades. A presença de um gateway anti-spam elimina a necessidade do sistema de proteção em um computador separado para verificar a maioria dessas mensagens. O antivírus no gateway pode cortar uma parte significativa das cartas com "surpresas". E a parcela de antivírus local não terá muito trabalho.

É importante observar o ponto em que o perigo pode ocorrer em todos os computadores da rede. Não importa que, para centenas de usuários, tudo seja verificado perfeitamente e, para um único antivírus, ele não recebia atualizações no prazo e perdia o código malicioso. No final, é o mesmo de onde veio o problema - em um único computador, onde o usuário abriu um email com um cavalo de Tróia ou de uma só vez. Um corte centralizado desses “presentes” com anti-spam e antivírus no gateway pode proteger todos os usuários cobertos pela política de proteção.

NOTA Use a proteção de vários estágios para descarregar o antivírus local. Isto é especialmente verdade com um grande número de respostas a ameaças simples. A instalação de um gateway de segurança assumirá parte da análise de casos simples, o que afetará positivamente a velocidade do sistema como um todo.

Para entender de uma vez por todas a diferença entre uma solução de um antivírus corporativo e proteção multinível, você pode comparar a infraestrutura de TI com um edifício residencial.

Nas casas modernas em todos os lugares, há uma trava eletrônica com interfone. Isso é feito para restringir o acesso à entrada de vários tipos de "personalidades incompreensíveis". E um método semelhante de cortar visitantes indesejados é justificado.

Sim, qualquer método de defesa é imperfeito. No caso do mesmo interfone, um invasor pode entrar furtivamente na porta aberta após o inquilino, obter o código do interfone ou obter a chave. Portanto, ainda é necessário ter uma boa porta forte e uma trava confiável para proteger o apartamento. Mas se você avaliar a situação como um todo, a vida com os interfones é muito mais confortável do que onde as portas estão abertas e todo residente é forçado a cuidar da segurança por conta própria.

Esses são os "supercomputadores" para a infraestrutura de TI da Zyxel e serão discutidos abaixo.

Gateways USG Performance Series USG40 / USG40W / USG60 / USG40W - Interface e recursos


Na parte anterior, examinamos o processo de configuração do login na interface da Web, sua divisão nos modos principais e atualização do firmware.

O principal objetivo do material neste artigo é ajudar a navegar ao gerenciar e configurar esses gateways.

Lembre-se de que existem duas opções de controle: “Modo Simples” e “Modo Avançado do Usuário”.

Modo Fácil


O gerenciamento no modo simples baseia-se principalmente no uso de "assistentes" (assistente) e é uma configuração passo a passo. Dessa forma, você pode configurar a conexão com uma rede externa (interface WAN), VPN, Wi-Fi e assim por diante.


Figura 1. Visão geral da interface do Modo Simples.

As vantagens deste método de controle são a simplicidade da configuração inicial, como se costuma dizer "sem mais delongas". Ao mesmo tempo, isso é uma limitação - alguns dos parâmetros permanecem "nos bastidores" e, para alterá-los, você precisa alternar para o modo "Usuário avançado".


Figura 2. Um fragmento do assistente de configuração inicial.

NOTA Se você não conseguir encontrar rapidamente essa ou aquela configuração no modo "Usuário experiente", tente alternar para o "Modo simples" e execute a ação necessária no assistente de configurações. Em seguida, você pode usar as configurações criadas como modelo para um ajuste mais preciso.

Modo de Usuário Avançado


Como mencionado acima, este modo foi projetado para executar a adaptação mais completa às necessidades existentes.

Realmente existem muitas configurações. Portanto, é altamente recomendável que você leia a documentação antes de iniciar o trabalho.

A gama USG Performance Series tem um conjunto de recursos muito rico. E dentro da estrutura de um pequeno artigo, não será possível mergulhar profundamente nessa área. Nós nos restringimos a uma descrição de princípios gerais, para que seja mais fácil navegar na interface da web. Também consideramos algumas das ações que valem a pena ser executadas, como dizem "imediatamente após a reunião".

A interface da web dos dispositivos USG Performance Series consiste em 4 seções principais.
A alternância entre os modos ocorre usando os elementos ativos no lado esquerdo da tela.

Vale a pena notar que a separação de funções nessas seções é bastante condicional. A seguir, é apresentada uma breve descrição de cada um.

1. Monitor do Sistema


Essa é a primeira coisa que um usuário vê após entrar no sistema no modo "Usuário avançado".

Esta seção destina-se ao controle expresso e à obtenção de informações sobre eventos que ocorreram. O nome em inglês é Painel, ou seja, uma janela para acesso rápido às funções mais usadas e informações importantes.


Figura 3. Seção System Monitor. Além disso, os "botões na tela" são destacados em vermelho para se mover entre as seções.

Em princípio, tudo o que é apresentado aqui é duplicado em outras seções. O monitor do sistema permite acelerar o acesso às funções necessárias, mas não substitui os métodos padrão de monitoramento das configurações. Dashboard, ele está na África - Dashboard.

2. Monitoramento


Essa área extensa da interface serve para obter informações operacionais sobre o estado do sistema e os eventos que ocorreram.

Esta seção consiste em várias subseções:

  • Status do sistema;
  • Rede sem fio;
  • Status da VPN
  • Estatísticas UTM;
  • Log

Cada um desses itens, por sua vez, contém parágrafos adicionais. Em geral, a seção de monitoramento contém uma grande quantidade de informações sobre uma ampla variedade de eventos.


Figura 4. Monitoramento de seção.

Para uma descrição mais detalhada, consulte a documentação.

3. Configuração


O principal objetivo é realizar o ajuste fino do sistema de segurança, acesso à VPN, regras de filtragem no firewall e muitas outras coisas úteis.

A seção "Configuração" inclui as subseções:

  • Um conjunto de assistentes "Configuração rápida";
  • Licenciamento
  • Rede sem fio;
  • Rede
  • Autenticação na Web
  • Política de segurança;
  • Cloud CNM
  • VPN
  • BWM;
  • Perfil UTM;
  • Objeto;
  • Sistema;
  • Logs e relatórios.


Figura 5. Seção “Configuração”.

Voltaremos a esta seção quando considerarmos as ações necessárias.

4. Serviço


Projetado para executar o trabalho para manter a condição de trabalho do sistema.

Contém subseções:

  • Gerenciador de arquivos;
  • Diagnóstico
  • Visão geral de roteamento
  • Desligamento.

Como escrevi acima, a divisão da atribuição de uma função específica em qualquer uma das seções é uma coisa condicional. Mas, em geral, essa divisão em seções permite sistematizar as inúmeras funções desses dispositivos e ajuda a navegar mais rapidamente.


Figura 6. Seção de serviço.

Ação inicial

A primeira coisa a fazer após a compra do dispositivo é se registrar. Você pode fazer isso na interface da web, indo para a seção “Configuração” - a subseção “Licenciamento” - e depois o item “Registro”.


Figura 7. Seção “Configuração” - Registro do dispositivo.

Após o registro, você precisa instalar licenças para os serviços necessários: antivírus, antispam, proteção contra intrusões, filtragem de conteúdo.

Para isso, na mesma janela (seção “Configuração” - subseção “Licenciamento” - “Registro”), selecione o item “Serviço” e ative os serviços necessários, por sua vez, usando o elemento ativo na forma de um link “Ativar”.


Figura 8. Seção “Configuração” - Ativação do antivírus.

Agora, depois de se familiarizar com a interface e registrar o produto, você pode prosseguir para configurar o gateway para sua infraestrutura.

O administrador recebe documentação detalhada, uma Base de Conhecimento e um serviço de suporte técnico avançado da Zyxel.

Conclusão


Os gateways Zyxel USG Performance Series podem ser comparados a um navio de guerra multiuso capaz de resolver uma ampla gama de tarefas de segurança em uma determinada região.

No entanto, para gerenciar uma unidade de combate, é necessário estocar o conhecimento e as habilidades necessárias. Portanto, o estágio de familiarização com a documentação não será errado.
Ao mesmo tempo, a interface da Web e a interface de linha de comando (CLI) desenvolvidas para o usuário facilitarão a adaptação tanto a especialistas com experiência em trabalhar com equipamentos de rede de outros fornecedores quanto a novatos em geral.

Fontes:


  1. Página USG Performance Series no Zyxel.ru
  2. Guias do usuário do produto USG Performance Series
  3. Informações de licença do USG Performance Series

Source: https://habr.com/ru/post/pt413977/

More articles:


All Articles