2. Visão geral do treinamento: Parte 1: Overview do SonicOS Parte 2: Apresentação das principais funcionalidades Parte 3: Conceito de Address Objects e Address Groups Parte 4: Conceito de Service Objects e Service Groups Parte 5: Status do Equipamento e Configurações de Rede Parte 6: Firewall: Regras Parte 7: NAT Policies Parte 8: DNS, DHCP Server e Web Proxy Parte 9: Recursos de usuário, integração com LDAP e SSO (Single Sign-On) Parte 10: HA (High Availability) Parte 11: Security Services: Content Filter Parte 12: Security Services: Intrusion Prevention Parte 13: Referências Parte 14: Considerações Finais e Perguntas
4. Parte 1 Interface de gerenciamento: Menu Principal – Lado esquerdo da tela Menu Detalhado – Sub-Itens do Menu Principal Contéudo dos itens – Lado direito da tela, exibido ao clicar em um dos Sub-Itens Itens abordados no treinamento: - System - Network - Firewall - VPN - Users - High Availability - Security Services - Log
6. Parte 2 Menu System Security Dashboard: fornece informações da principais ameaças ao redor do mundo e do seu appliance. Status: Resumo das informações do seu equipamento, tais como utilização de CPU, status de rede, informações de versão de firmware e SonicOS Licenses: Informações de licenciamento de serviços Administration: Informações de Administração, tais como senha do administrador, configurações de login, inclusão de um usuário administrador, portas de acesso à interface de gerenciamento Settings: Local onde se faz backup/update de Firmware/SonicOS e exportação das configurações do equipamento Packet Monitor: Monitora os pacotes trafegando em tempo real Diagnostics: Ferramentas tais como Ping, Tracert, etc Restart: Reinicialização do equipamento
7. Parte 2 Menu Network Interfaces: configuração e status das interfaces de rede. Por padrão, a interface X0 é LAN, a interface X1 e WAN, as interfaces X2,X3 e X4 são customizáveis e a interface X5 é para HA (High Availability). Para configurar ou editar um interface, basta clicar no “lápis” ao lado da mesma. DNS: o Sonicwall não é um Servidor DNS. Sendo assim, ele deve ter os DNS cadastrados para poder resolver nomes externos ou internos. Address Objects: Address Objects criados. Falaremos deles na Parte 3 do treinamento Services: Serviços/Portas criados. Falaremos deles na Parte 4 Routing: o roteamento dos pacotes. Falaremos delesna Parte 5 NAT Policies: Redirecionamento. Falaremos deles na Parte 5. DHCP Server e Web Proxy: o Sonicwall possui seu DHCP e pode se integrar a um Servidor Proxy. Falaremos deles na Parte 6.
8. Parte 2 Menu Firewall Access Rules: Exibido em modo matriz, permite cadastramento de acesso liberado ou negado a determinado IP e/ou Porta Connections Monitor: Monitoramento em tempo real, com possibiliade de filtro de origem, destino, porta, etc Menu VPN Settings: Possibilita a criação de VPNs Client-to-Site, Site-to-Site, etc. Possibilita também visualizar o status do túneis.
9. Parte 2 Menu Users Status: Exibe informações dos usuários autenticados, tempo de conexão e tempo restante, método de autenticação e permite fazer logoff da sessão de usuários Settings: Permite configuração de integração com LDAP e SSO (Single Sign-On) e configuração de tempo de conexão do usuário Local Groups: Muito utilização quando integrado com o Content Filter (regras de Content Filter por grupo) Menu High Availability Settings: Exibe o status do HA de Hardware Advanced: Permite configurações adicionais do HA
10. Parte 2 Menu Security Services Content Filter: Filtro de conteúdo para navegação na web, ou seja, conteúdo acessado via browser. Falaremos dele na Parte 10. Gateway Antivirus: Filtro de Antivirus de borda, ou seja, bloqueia ameaças quando chegam ao Sonicwall apenas. Falaremos dele na Parte 10. Intrusion Prevention: Filtro para programas que utilizam portas para navegação. Exemplo: Instant Messengers e P2Ps. Falaremos dele na Parte 10. Anti-Spyware: Filtro de Anti-Spyware de borda, ou seja, bloqueia ameaças quando chegam ao Sonicwall apenas. Falaremos dele na Parte 10.
11. Parte 2 Menu Log View: Visualização dos logs do sistema em tempo real, com opções de filtros Categories: Configurações do que deve ser filtrado para os logs Syslog: Sistema automatizado de logs (GMS, ViewPoint, Local, etc) Automation: Configuração do Syslog Local Name Resolution: Informações do DNS Server Reports: Exibe algumas pequenos relatórios, filtrados por categoria ViewPoint: Local onde se configura os aplicativos de Gerenciamento ViewPoint ou GMS (Global Management System)
13. Parte 3 Noção Geral Para facilitar a administração do sistema, o Sonicwall trabalha com o conceito de objeto. Ou seja, ao invés de você cadastrar uma rede, um host, um range (intervalo de Ips), você deve cadastrar um objeto. Quais as vantagens? - Facilidade na alteração do contéudo do objeto - Facilidade na visualização de regras Para unir vários objetos, existe a possibilidade de criar um grupo.
14. Parte 3 Address Object O nome já define bem: Address Object = Object de Endereço Um Address Object pode definir um Host (IP), uma Network (IP/Máscara), um Range (intervalo de IP), MAC (Endereço Físico) No Address Object, deve se definir a Zona do objeto (WAN, LAN, DMZ, VPN, MULTICAST, WLAN ou SSLVPN)
15. Parte 3 Address Object Para adicionar um novo Address Object, utilize o Menu Network > Address Object > Address Object Add Ao clicar em “Add” uma nova janela será exibida. Veja: Tipo de Zona Nome Endereço Tipo
16. Parte 3 Address Group Possibilidade de criar um grupo para unir diversos objetos. Vantagens: - Criação de menos regras - Facilidade de visualização das regras Um Address Group pode reunir vários Address Objects
17. Parte 3 Address Group Para adicionar um novo Address Group, utilize o Menu Network > Address Group > Address Group Add Ao clicar em “Add” uma nova janela será exibida. Veja: Adicionar ao Grupo Nome Remover do Grupo Address Objects disponíveis Address Objects adicionados ao Address Group
19. Parte 4 Noção Geral Mantendo o mesmo conceito utilizado nos Address Objects e nos Address Groups, o Sonicwall possui os Service Objects e os Service Groups. Por padrão, ao invés de utilizar portas (com seus determinados números), o Sonicwall utiliza objetos. Os principais serviços (dentre eles POP3, SMTP, Terminal Services, etc) já vêm associado à um Service Object. No entanto, nada impede que o seu conteúdo seja modificado e que novos Service Objects sejam criados de acordo com a sua necessidade.
20. Parte 4 Service Object Como já possuimos o conhecimento do funcionamento dos Address Objects, vamos direto à criação de um Service Object. Menu Firewall > Services > Add Service Object Nome Protocolo Porta ou Intervalo de Portas
21. Parte 4 Service Group Menu Firewall > Services > Add Service Group Service Objects adicionados ao Service Group Nome Adicionar ao Grupo Service Objects disponíveis Remover do Grupo
23. Parte 5 Status do Equipamento Podemos verificar o status do equipamento através do Menu System > Status. Ao clicar no caminho acima indicado, poderemos ver as informações do sistema (System Information), o Sistema de Segurança (Securitu Services) – Licenças – e os Alertas do equipamento.
24. Parte 5 Alertas do Sistema Informações do Sistema Sistemas de Segurança
25. Parte 5 Configurações de Rede Podemos verificar as configurações de rede e status de conectividade através do Menu Network> Interfaces. Ao clicar no caminho acima indicado, poderemos ver as informações de identificação da porta do Sonicwall, Zona, IP, Máscara de Rede, Tipo de Conexão e Status. Além disso podemos editar as configurações.
27. Parte 5 Editando as configurações Ao clicar em Network > Interfaces > Configure (na mesma linha da interface que deseja editar), uma nova caixa será aberta: Zona IP Permissão de Gerenciamento Máscara de Rede Gateway Permissão de Login DNS Preferencial DNS Alternativo Redirecionar HTTP para HTTPS
29. Parte 6 Noção Geral O padrão de regras de Firewall é simples e divido por Zona de Origem e Zona de Destino. Exemplo: uma regra “de WAN para LAN”, significa regras originadas na internet (Zona WAN) que têm como destino a sua rede interna (Zona LAN). Basicamente, regras utilizarão Address Objects (ou Groups), Service Objects (ou Groups), “Alow” (permitido) ou “Deny” (negado) Vamos criar regras! Firewall > Access Rules
30. Parte 6 Destino Criando uma Regra Para melhor visualização, utilize a visualização tipo “Matrix”. A coluna horizontal é a origem e a vertical o destino. Origem
31. Parte 6 Criando uma Regra Allow = Aceita Deny = Nega Serviço Source = Origem Destino = Destination Users Allowed = Usuários Permitidos Scheduled = Período Liberado
33. Parte 7 NAT Policies No item anterior, vimos a criação de uma regra de Firewall. No entanto, vale lembrar que uma regra de Firewall simples permite (ou nega) acesso à um local e à um serviço. Como quase todos os serviços não estão no Sonicwall e sim em um Local da Rede (Servidor, Roteador, etc), precisaremos redirecionar os pacotes para o destino correto. Para isso, deveremos “amarrar” as “Firewall Rules” (Regras de Firewall) com as “NAT Policies” (Políticas de NAT)
34. Parte 7 NAT Policies Para exemplificar, vamos liberar o acesso Terminal Services da OS&T e redirecionar para um Servidor TS da Rede Local. Passo 1 – Criar Regra de Firewall Firewall > Access Rules > WAN to LAN > Add... Passo 2 – Criar Política de NAT Network > Nat Policies > Add...
35. Parte 7 NAT Policies Passo 1: Action: Allow From Zone: WAN (não permite mudar) To Zone: LAN (não permite mudar) Service: Terminal Services Source: Any Destination: Any Users Allowed: All Scheduled: Always On
36. Parte 7 NAT Policies Passo 2: Original Source: OS&T Translated Source: Original Original Destination: WAN Interface IP Translated Destination: Servidor TS Original Service: Terminal Services Original Destination: Original Inbound Interface: Any Outbound Interface: Any
38. Parte 8 DNS - O Sonicwall não trabalha com um Servidor DNS. - Utilize Servidores DNS internos e externo - Configurações em Network > DNS
39. Parte 8 DHCP - O Sonicwall trabalha com um Servidor DHCP. - Você pode definir um intervalo de Ips para serem distribuidos pelo Sonicwall DHCP Server - Não existe opção de reserva e vínculo de MAC Address - Configurações em Network > DHCP Server
40. Parte 8 Web Proxy O Sonicwall pode ser vinculado a um Web Proxy da rede Configurações em Network > Web Proxy
41. Parte 9: Recursos de usuário, integração com LDAP e SSO (Single Sign-On)
42. Parte 9 Recursos de Usuário O Sonicwall pode trabalhar com: - Usuários Locais - Usuários importados de um Servidor LDAP - Ambos, simultâneamente Status e Configurações no menu Users
43. Parte 9 Integração com um Servidor LDAP O Sonicwall pode trabalhar integrado com o LDAP e os usuários podem ser importados do mesmo. As configurações são definidas em Users > Settings > Authentication Metod for Login > Configure...
44. Parte 9 SSO – Single Sign-On A função SSO (Single Sign-On) é realizar a autenticação de forma transparente, utilizando recursos importados de um Servidor LDAP Ao abrir o navegador (estando logado na estação como um usuário de domínio, APENAS) a autenticação é processada no Sonicwall Necessita de um agente instalado no Servidor LDAP e só funciona para estações logadas no domínio As configurações são definidas em Users > Settings > Single-sign-on method > Configure...
46. Parte 10 HA – High Availability Permite transferência automática de todos os serviços de um hardware para outro hardware (mesmo modelo) Configurações são sincronizadas entre os hardwares através de heartbeat A ligação física para o sincronismo é um cabo cross-over ligando as interfaces X5 dos equipamentos É necessário licenciamento específico
48. Parte 11 Content Filter Permite criação de filtros de contéudo para os protocolos HTTP e HTTPS Cada filtro pode ser aplicado para determinados grupos Os filtros são definidos por categoria e não por domínios ou palavras. Domínios e palavras podem ser liberados ou negados, porém são considerados excessões e não são aplicados por grupo. Configurações em Security Services > Content Filter > Configure...
49. Parte 11 Content Filter Vários filtros podem ser criados. O filtro “Default” vem com o SonicOS, não pode ser excluído e é aplicado para todos os grupos automaticamente (não pode ser removido do grupo) Quando um grupo possui mais de um filtro ou um usuário participa de mais de um grupo, o filtro aplicado é o mais permissivo Quando temos um filtro por grupo, podemos marcar todas as categorias do filtro “Default”, evitando assim que ele seja considerado o mais permissivo e negando tudo para um usuário que não esteja dentro de um grupo
50. Parte 11 Content Filter Para criar um novo filtro: - Security Services > Content Filter > Configure... > Policy > Add... - Marque as categorias desejadas - Para saber em quais categorias um site está listado acesse Para criar um lista customizada: - Security Services > Content Filter > Configure... > Custom List - Insira os domínios e/ou palavras http://cfssupport.sonicwall.com/eng/
51. Parte 11 Content Filter Para usar ou não as excessões em cada filtro: - Security Services > Content Filter > Configure... > Policy > Add... > Settings - Marque as categorias aplicáveis para o filtro Para definir períodos do dia que o filtro será aplicado: - Security Services > Content Filter > Configure... > Police > Add ... > Settings > Filter Forbidden URLs by time of day - Selecione a opção desejada
52. Parte 11 Content Filter Para determinar IPs que não passarão pelos filtros (excessões): - Security Services > CFS Exclusion List - Habilite a opção “Enable CFS Exclusion List” - Insira os IPs que não utilizarão os filtros
54. Parte 12 Intrusion Prevention Permite controle sobre qualquer aplicativo instalado em um client. Exemplo: Instant Messenger, SSH client, P2P, etc Política (e execessões) pode ser definida para tudo, por categoria ou por client em específico (caso o mesmo esteja na lista) Por padrão utiliza-se apenas detecção habilitada. A prevenção deve ser aplicada por grupo, eviatando bloqueio de aplicativos como ERP. Configurações em Security Services > Intrusion Prevention > Configure IPS Settings
56. Parte 13 Documentação http://www.sonicwall.com/us/support/6832.html Base de Conhecimento http://www.sonicwall.com/us/support/kb.asp Linha de Produtos Sonicwall http://www.sonicwall.com/us/Products_Solutions.html