Geekly articles weekly

Para quem escolhe um firewall


1. Introdução


Era uma vez, os momentos em que o único meio de proteger o perímetro da rede poderia ser um roteador de um computador antigo com algum tipo de sistema operacional livre semelhante ao UNIX, por exemplo, FreeBSD e um firewall comum.

Hoje, os administradores de sistema têm acesso a inúmeras distribuições especializadas para instalação no servidor, bem como sistemas de hardware e software prontos.

O desenvolvimento da oferta e demanda levou ao aumento da especialização.

Antes, organizar o acesso à rede e garantir a segurança era o negócio dos gurus escolhidos, agora o número de pontos com acesso à Internet cresce dia após dia, e qualquer aluno pode conectar um gateway, roteador, ponto de acesso e começar a distribuir o tráfego na rede.

As ameaças à rede também mudaram. Agora, o principal perigo não são os hackers da "velha escola", mas as infecções em massa com novos tipos de vírus e cavalos de Tróia. Na preparação de ataques, os atacantes podem usar recursos de terceiros, por exemplo, redes bot pré-criadas (redes zumbis) para enviar spam, organizar ataques DDOS e assim por diante.

Mas isso não é tudo. Com o desenvolvimento da rede, não apenas o nível de segurança no remetente e no destinatário desempenha um papel importante, mas como a informação é transmitida: de que forma, em qual rota etc.

Se você deixar essas perguntas sem resposta, precisará responder a outras perguntas, por exemplo: “Para onde foi o dinheiro da conta?”, “Como eles descobriram isso?” e "Quando no final algo funciona?!"

Agora você precisa saber exatamente do que e do que estamos protegendo e qual ferramenta é melhor escolher.

O que o Zyxel oferece: separação específica


Existem duas áreas principais que requerem proteção:

  1. Acesso a recursos de terceiros e acesso de usuários de terceiros a usuários corporativos (por exemplo, a um site). Essas soluções podem ser compartilhadas com os recursos da nuvem nos gateways da série ZyWALL ATP da Zyxel e na série USG totalmente fechada.
  2. A interconexão de nós individuais, por exemplo, ramifica-se com um centro ou indivíduos com um empregador. Isso geralmente é feito usando canais de comunicação VPN privados virtuais e a série VPN Zyxel ZyWALL é adequada aqui.

Tabela 1. Classificação dos gateways Zyxel ZyWALL VPN, USG e ZyWALL ATP Series.

Nota Há também uma família de gateway Zyxel que não abordaremos neste capítulo. Estes são dispositivos habilitados para nuvem do Zyxel Nebula. Mas como “é impossível compreender a imensidão”, agora vamos nos concentrar na versão clássica de dispositivos com controle local.

Note-se que, apesar das diferenças, existem algumas características comuns. Entre cada uma das áreas, podemos destacar soluções para grandes empresas e pequenas organizações. Isso impõe alguns recursos de design.


Figura 1. Gateway para uso corporativo da USG2200-VPN .

Por exemplo, alguns modelos de pequenas empresas possuem módulos WiFi integrados para uso como pontos de acesso sem fio.


Figura 2. Gateway para proteger redes em pequenas organizações USG60W.

Como as funções das três áreas se sobrepõem parcialmente, falaremos sobre o escopo recomendado.

Obviamente, se você tentar criar uma conexão VPN no gateway USG ou usar uma VPN para proteger a rede, nada de ruim acontecerá, mas não será muito eficaz.

Portanto, antes de passar para os recursos de cada direção, será útil estudar seus recursos comuns.

Quem é avisado está armado
O portal OneSecurity.com é usado como uma hospedagem única para informações operacionais. Este recurso especial contém boletins operacionais e recomendações sobre ameaças de segurança atuais. O OneSecurity oferece as informações e recomendações mais recentes para aprimorar a segurança da rede. Isso ajuda empresas e profissionais de TI a proteger suas redes, apesar do crescente número de ameaças.

Por conveniência, o acesso a este portal é integrado à interface gráfica dos produtos da série USG e ZyWALL VPN. Informações e recursos são pesquisados ​​com um clique no console da GUI desses produtos. Graças a essa abordagem, você pode descobrir rápida e facilmente as ameaças atuais e como eliminá-las. O material é apresentado na forma de um formato de FAQ bem estabelecido (Perguntas frequentes). Isso permite que você tome todas as medidas necessárias em tempo hábil para se proteger contra ameaças identificadas.

Filtragem de conteúdo
A Filtragem de Conteúdo é usada para bloquear o acesso a sites perigosos e não convencionais. A nova versão do Content Filtering 2.0, lançada recentemente, inclui aprimoramentos nos recursos de segurança HTTPS Domain Filter, Browser SafeSearch e Geo IP Blocking para melhorar a segurança da sua conexão com a Web.

Atualização rápida e segura
Esse recurso também é comum a todas as três áreas.
Para facilitar a pesquisa da atualização de firmware necessária (Firmware) da versão necessária, é usado o novo serviço Cloud Helper, que fornece informações sobre as versões mais recentes do firmware.

A versão mais recente está disponível imediatamente após o lançamento oficial, o que garante sua autenticidade e confiabilidade.

Zyxel ZyWALL VPN Series


Área de uso recomendada - Conexão VPN segura e confiável
O principal objetivo é o tunelamento de tráfego usando o algoritmo de criptografia segura Secure Hash Algorithm 2 (SHA-2).

Com o ZyWALL VPN 50/100/300, você pode implementar a troca de dados segura e de alta velocidade entre servidores locais, dispositivos remotos e aplicativos implementados na nuvem.


Figura 3. Gateway para estabelecer conexões confiáveis ​​do ZyWALL VPN300 VPN.

Separadamente, vale a pena notar o suporte ao failover e fallback da função de WAN dupla. Devido à presença de duas conexões WAN, uma das quais é usada como principal e o segundo backup, no caso de uma falha na conexão principal, o Zyxel VPN Firewall muda automaticamente para o backup.

Além disso, o ZyWALL VPN Series usa a função de balanceamento de carga / WAN de várias WANs e oferece suporte total a modems USB de redes celulares da lista de equipamentos compatíveis que podem ser usados ​​para reservar uma conexão WAN.
Para criar canais com altos requisitos de confiabilidade, o ZyWALL VPN Series fornece um modo operacional como parte de um cluster à prova de falhas (alta disponibilidade, alta disponibilidade) no modo ativo-passivo.

A série VPN do ZyWALL suporta balanceamento de carga e failover de IPSec, o que fornece tolerância a falhas adicional para alternar VPNs críticas para os negócios ao implementar a interface VTI.

Recursos VPN suportados e mais :

  • Conexão VPN com o balanceamento de carga e o failover da função VPN IPSec entre locais.
  • Acesso remoto usando SSL, IPSec e L2TP sobre VPN IPSec.
  • Um gateway localizado na sede da VPN também pode estabelecer uma conexão VPN IPSec com a nuvem Amazon VPC para acesso seguro a vários aplicativos em nuvem e expandir a rede corporativa conectando recursos de nuvem a ele. Isso pode ser usado tanto na interface gráfica quanto na interface da linha de comandos (CLI)
  • Gerenciamento Gerenciamento de hotspot (começando com VPN100) - fornecendo acesso à Internet, por exemplo, para visitantes de cafés, restaurantes, hóspedes de hotéis e assim por diante. Você pode fornecer diferentes níveis de serviço, manter um registro de eventos de acordo com os requisitos da lei.
  • Graças à integração do serviço Wi-Fi do Facebook no serviço ZyWALL VPN, pequenas lojas e restaurantes podem não apenas fornecer aos visitantes acesso à Internet, mas também melhorar sua popularidade no Facebook.
  • Um controlador de ponto de acesso integrado fornece gerenciamento centralizado para implantação sem fio flexível. O recurso AP Controller na série ZyWALL VPN permite gerenciar centralmente vários pontos de acesso usando uma única interface de usuário. Esse recurso facilita a implantação e a manutenção da rede WiFi de uma empresa.
  • Conectividade IPSec VPN site a site.
  • Cluster de Failover de IPSec VPN HA (balanceamento de carga e failover) para conexões VPN de alta disponibilidade.
  • Organize o acesso seguro aos recursos internos usando SSL, IPSec e L2TP sobre IPSec VPN.
  • Conexão USG / ZyWALL via canal VPN IPSec com o Microsoft Azure para acesso seguro a vários aplicativos em nuvem.

Para organizações maiores, gateways mais poderosos são mais adequados, como o USG110 / 210/310, que possui hardware mais poderoso, pode suportar um número maior de conexões e assim por diante.

Vale a pena notar que este dispositivo funciona com o princípio de "eu carrego tudo comigo". Aqui e VPN, e um bom nível de proteção e limite de largura de banda.

Mas se você precisar se concentrar especificamente nas funções de segurança, é melhor usar os gateways da série Zyxel ZyWALL ATP com suporte em face do serviço em nuvem Zyxel Cloud.

Zyxel ZyWall ATP Series


Uso recomendado - proteção aprimorada contra malware e otimização de aplicativos

O principal destaque dessa família de gateways seguros pode ser chamado de atração de recursos da nuvem para aumentar o nível de proteção.

Os recursos de um, mesmo o gateway mais poderoso, não são suficientes para analisar e diagnosticar muitas ameaças recebidas.

Portanto, atrair recursos adicionais da nuvem dentro da estrutura do acesso criptografado seguro parece ser uma etapa muito justificada.

Atenção! O Zyxel Cloud não está envolvido na troca de informações entre o gateway seguro e o acesso externo. Ou seja, o tráfego não passa por ele. O recurso de nuvem é usado principalmente para a troca rápida de informações sobre vulnerabilidades, bem como os resultados de verificação adicional de objetos suspeitos, por exemplo, como parte da sandbox (Sandboxing).

Em geral, a família de funções Zyxel ZyWall ATP é semelhante à versão Zyxel USG discutida anteriormente, mas o suporte a mecanismos de nuvem aprimora significativamente serviços como proteção antivírus, que sempre carecem de recursos.


Figura 4. Gateway habilitado para nuvem para proteger a rede ATP200.

A seguir, são apresentados alguns recursos distintos específicos dos gateways desta série - Zyxel ZyWall ATP.

Zyxel Cloud Machine Learning
O Zyxel Cloud identifica arquivos desconhecidos em todos os firewalls ATP, coleta resultados em um banco de dados e envia atualizações diariamente para todos os gateways da família ATP. Isso permite coletar conhecimento sobre novas ameaças e desenvolver o sistema usando o aprendizado de máquina. Assim, o ambiente em nuvem "aprende" a suportar novos ataques.

Sandbox - Sandbox
Este é um ambiente isolado baseado em nuvem, onde arquivos suspeitos são colocados para identificar novos tipos de código malicioso, incluindo o método de inicialização. O que o antivírus de streaming não pode detectar se manifesta no Sandbox.

Conclusão


Obviamente, em um pequeno artigo, é impossível descrever toda a ampla gama de possibilidades disponíveis para os gateways de segurança Zyxel modernos.
Para obter mais informações, leia nosso blog sobre Habr, materiais no site da Zyxel e, é claro, documentação do produto.

Fontes


[1] Construindo um sistema expandido de proteção antivírus para uma pequena empresa. Parte 1. Escolhendo uma estratégia e solução.
[2] Construindo um sistema expandido de proteção antivírus para uma pequena empresa. Parte 2. Gateway antivírus ZyWall USG40W da Zyxel.
[3] Construindo um sistema expandido de proteção antivírus para uma pequena empresa. Parte 3
[4] Tome seu café da manhã, compartilhe seu trabalho com a nuvem.
[5] Uma página no site oficial da Zyxel dedicada a firewalls.

Source: https://habr.com/ru/post/pt428477/

More articles:


All Articles