Anda di halaman 1dari 13

Sophos XG Firewall-Parte 1 - O Básico

Tendo sido afetado por problemas de segurança no passado, estou


sempre à procura de novos e esperançosos produtos de segurança de
rede. Por um tempo agora eu tenho ouvido sobre o Sophos UTM e fiquei
intrigado com o que ele trazia para recursos padrão. Recentemente eles
lançaram um novo produto chamado Sophos XG Firewall, que promete
tornar a segurança um pouco mais fácil, e esperançosamente mais
segura do que muitas outras soluções. Incluem-se antivírus, filtragem da
Web, bloqueio de aplicativos e um firewall baseado em regras que deve
ser suficiente para a maioria dos usuários quando você ultrapassa a
curva de aprendizado. Você pode argumentar que existem produtos
melhores por aí, até mesmo sua versão antiga, porém em comparação
com roteadores de prateleira e outros produtos nesta categoria, essa é
uma maneira muito melhor de ir e é gratuita para usuários domésticos
sem restrições de IP.

Para definir o cenário, eu estava executando o Untangle e pagando pelo


serviço de assinatura de dois de seus aplicativos (antivírus e bloqueador
de aplicativos) a um custo de US $ 54 / mês. Como essa licença é
limitada a 10 endereços IP, essa é uma quantia significativa de dinheiro
para pagar pela segurança. Com base no que aconteceu no passado,
senti que precisava da segurança extra, no entanto, se conseguisse
encontrar um produto que me desse resultados comparáveis sem o
custo, eu certamente ficaria satisfeito. Depois de ver o que o Sophos XG
Firewall tinha a oferecer, achei que seria vale a pena uma foto com base
em recursos e capacidades. Como há uma curva de aprendizado com
esse e outros produtos similares, tentei capturar o processo pelo qual
passei desde o início da minha jornada, na esperança de que isso
ajudaria alguns de vocês a chegarem um pouco mais rápido do que
eu. Esta não é a única maneira de fazer isso,

Preparação e planejamento antes da instalação

Na minha maneira de fazer as coisas, acho que vale a pena planejar as


coisas, bem como preparar, fazendo uma lição de casa antes de iniciar
um projeto. A menos que você seja o único usando a internet, você tem
que estar preparado para fazer as coisas funcionarem para evitar o
tempo de inatividade da família. Além disso, como eu moro em uma área
montanhosa, dependemos de Repetidores de Célula conectados ao
roteador. Trazendo a internet também derruba todos os telefones
celulares. Eu listei algumas coisas que fiz antecipadamente para
minimizar o possível tempo de inatividade e para estar um pouco mais
preparado.
1. Layout de rede básico (entender o que você quer e um esboço da
configuração. Não precisa ser chique, mas ajuda a pensar nisso).
2. Determine quantas NICs você usará para planejar sua rede. Dois é
o mínimo e tudo o que é necessário na maioria dos casos. Você
pode querer um terceiro ou quarto para uma rede separada, DMZ,
rede sem fio ou qualquer outra finalidade. Você pode adicionar
quantas cartas precisar, dependendo da complexidade.
3. Listar os itens que você vai precisar de um "endereço IP estático"
para começar. Minha sugestão é manter o mínimo, mas entenda
que isso facilita a aplicação de filtros e controles no nível da
estação mais tarde. Você não precisa começar com nenhum, pois
eles podem ser adicionados mais tarde, mas você deve ter um
conceito em mente. PC / Servidor que você não quer que o IP
mude, como NAS, servidor de mídia, controlador de automação
residencial é normalmente uma obrigação. (Veja dicas abaixo
sobre como acelerar a entrada de IP estático)
4. Tente listar as necessidades especiais de qualquer um dos
dispositivos, como encaminhamento de porta (para câmeras,
controladores de automação residencial ou servidores de mídia),
restrições, filtragem extra, controle de largura de banda ou
qualquer outra meta do projeto. Dispositivos que exigem algo
especial devem, em algum momento, ter um IP fixo antes de criar
qualquer regra.
5. É claro que o óbvio é construir sua caixa e instalar o software
“antes” para desconectar o roteador existente novamente para
evitar tempo de inatividade.

Instalação ( instruções de instalação de software )

1. Depois de ter sua caixa pronta e o software instalado, conecte seu


modem a cabo à porta nº 2. Normalmente, essa é a segunda porta
da cadeia e geralmente começa com a placa NIC interna, a menos
que você a tenha desativado em seu BIOS.
2. Para configurar seu roteador, você precisa conectar seu
computador à porta # A, usando seu switch existente ou um cabo
cross-over diretamente de seu laptop. Se você estiver usando seu
adaptador de rede interno, ele se tornará na maioria dos casos a
Porta A automaticamente. Se você planeja usar somente o
adaptador multi-porta da Intel, como eu fiz, o adaptador interno
ainda será sua porta padrão A, a menos que você a desative no
BIOS primeiro. Eu tive que jogar com isso por algum tempo antes
de descobrir isso e acabei desativando a placa interna e só usei
meu plug in card. Agora você está pronto para fazer logon na tela
do administrador usando o padrão https://172.16.16.16:4444para
iniciar sua configuração. Isso soa como um monte de etapas e
pode demorar um pouco na primeira vez que você fizer isso. Eu fiz
algumas vezes e realmente só me levou cerca de 10-15 minutos,
incluindo a instalação, uma vez que eu entendi melhor o
processo. Eu arranhei e apaguei um par de vezes do teste que eu
fiz bem.

Configuração

Depois de efetuar login, execute o Assistente de Rede, caso ainda não


tenha feito isso durante a instalação, pois ele faz muito do trabalho
inicial para você. Em um caso básico, apenas executar o assistente fará
com que você se conecte se tiver tudo conectado corretamente. Tenha
em mente que, mesmo se você estiver conectado, você ainda tem regras
para criar e coisas para configurar para tirar o máximo proveito dela.
Uma vez conectado, você está pronto para ajustar a configuração e fazer
as coisas do jeito que você deseja. Isso pode ser feito de várias
maneiras, mas foi o que fiz.

1. Configure / Revise as placas de interface de rede (Sistema> Rede>


Interfaces) e certifique-se de que é o que você deseja. Se você
mudou de idéia ou cometeu um erro no assistente, pode consertar
muito disso aqui. É aqui que você reatribuiria as portas se não
gostasse da configuração padrão.
2. Em seguida, configure o DHCP (Sistema> Rede> DHCP) e
configure a sua rede principal. Defina o intervalo de endereços IP
que você deseja que o DHCP emita. Lembre-se de reservar algum
espaço para IP estático e um intervalo para dinâmico. O XG não
permitirá que você atribua um IP estático ao intervalo de
DHCP. Observe também que o XG age apenas como um roteador
até que você configure alguns filtros / varreduras da Web / de
aplicativos, que é onde o poder real do XG é explorado.
3. Depois de concluir tudo na sua configuração, reinicialize todos os
sistemas e verifique se funcionou da maneira desejada.

Atalho para inserir endereços IP estáticos

 Maneira rápida de inserir endereços IP estáticos

o Inicialize todos os seus sistemas e vá para a seção DHCP


(Sistema> Rede> DHCP). Aguarde até que a seção IP4 Lease
preencha e use a linha superior para classificar a lista da
maneira que desejar. Realce a lista de entries e copie e cole
no Excel.
o Agora vá para a seção DHCP e ao configurar seu endereço
IP estático, copie e cole o endereço MAC da planilha do
Excel na tela de entrada do Sophos. Isso ajudará a inserir o
endereço IP estático muito rapidamente, já que requer o
endereço MAC. Ao fazer isso, você não precisará digitar
cada endereço MAC, o que consome muito tempo. Fazendo
assim, consegui fazer cerca de 20 IPs estáticos em menos
de 15 minutos.
o Depois de concluir e reinicializar todos os dispositivos,
exporte a lista novamente para documentação e referência
futura ao criar regras futuras.

Nota importante: Lembre-se de executar com freqüência o backup da


configuração em (Sistema> Administração> Backup / Restaurar). Isso é
especialmente importante à medida que você faz alterações e
experimenta diferentes configurações, pois dá a oportunidade de voltar
no caso de cometer um erro. Eu usei o backup automático via e-mail,
pois não gosto de usar o FTP e fazer backup de uma vez por dia. Uma
vez que eu recebo as coisas do jeito que quero e terminei de
experimentar, mudarei para semanal ou mensalmente. O arquivo de
anexo é menor que 400K.

Conceito de regras

Na superfície, o modelo de regras é bastante simples, mas na prática


pode exigir um pouco mais de tentativa e erro. Embora seja muito fácil, o
comportamento nem sempre é o que você espera. A premissa das regras
é que você está realizando uma ação em sua rede usando o conceito de
"Origem" e "Destino". Em outras palavras, digamos que você queira
aplicar filtragem extra a apenas um sistema e não aos outros. Você
criaria uma regra que informaria ao XG que solicitações provenientes de
(fonte) IP xxx.xxx.xxx.xxx e indo para a WAN (destino) usarão essa regra,
enquanto as outras estariam usando a regra padrão. Ou se você precisar
de um encaminhamento de porta para um controlador ou câmera, você
criaria uma regra que recebesse uma solicitação de porta da “WAN”
(fonte) e a enviasse para um computador “LAN” com IP xxx.xxx.xxx.xxx
(destino).

Visão geral das regras

Antes de entrarmos em alguns exemplos, ajuda se entendermos um


pouco sobre como o XG trata as coisas. “A maior parte do dia a dia as
coisas que queremos fazer começam de dois tipos básicos de modelos,
uma regra de rede / usuário ou uma regra de aplicativo de
negócios. Abaixo está uma visão geral da terminologia que a princípio
pode ser confusa. Esses termos não estão em todos os modelos,
portanto, você não verá todos eles em uma determinada regra, mas o
significado será o mesmo em todo o software sempre que o termo for
usado. Também anexei amostras de algumas regras que criei para
ajudar você a entender melhor.

Sobre esta regra


Nome da regra: é aqui que você deseja nomear a regra com algo
significativo
Descrição: descrição opcional da regra que pode ajudá-lo a
lembrar no futuro por que você criou a regra.

Identidade

Regra de correspondência baseada na identidade do usuário: Em meu


aplicativo, isso é sempre definido como "OFF". (Se você quiser usar isso,
você terá que configurar usuários e logons para permitir que isso seja
usado.)

Fonte

Host: um dispositivo, porta ou rede específica de onde a


regra é originária. Em uma regra média de encaminhamento
de porta, isso seria deixado em "Qualquer".
Zona: Aqui você seleciona a regra como WAN, LAN etc. Por
exemplo, se eu estivesse criando uma regra de
encaminhamento de porta, a WAN seria minha fonte na
maioria das vezes que você está encaminhando “de
(origem)” para o seu destino.
Redes: normalmente, é uma maneira de restringir a origem
e pode ser uma rede específica, como VPN, ou pode ser
deixada em "Qualquer"
Serviços: normalmente deixados para "ANY"
Programação: o padrão é "o tempo todo". Você pode criar
agendas personalizadas, se precisar. Um exemplo seria
criar uma regra que permita o acesso à Internet a um ponto
de acesso ou sistema e, em seguida, desligá-lo em um
determinado momento.

Destino

Zona: O mesmo que acima, mas o extremo oposto da


regra. Usando o mesmo exemplo acima, se você estivesse
encaminhando uma câmera para a porta, a fonte seria WAN, mas a
zona de destino LAN seria como você está indo para algo em sua
rede.
Zona de origem: geralmente definida como "Qualquer", a menos
que você tenha vários servidores
Endereço Hospedado: normalmente definido para a porta WAN nº
2 em uma regra de encaminhamento de porta, mas outras regras
podem ser diferentes.
Servidores de Aplicativos Protegidos:
Zona Protegida: Geralmente, é definida como LAN em uma regra
de encaminhamento de porta.
Servidores de Aplicativos Protegidos: No encaminhamento de
porta, este seria o “dispositivo” para o qual você está
encaminhando a porta. Por exemplo, a câmera da sala de estar.
Roteamento

Reescreva o endereço de origem (mascaramento): normalmente,


isso é definido para a maioria das coisas

Use Outbound Address: Principalmente definido como MASQ


Depois de ter concluído sua primeira regra, você deve testá-lo com
cuidado. Em seguida, crie cada regra uma por vez e teste-a após cada
vez. Como a regra padrão deveria ter sido criada durante o assistente
(você provavelmente terá que entrar e adicionar um pouco de filtragem
da Web e bloqueio de aplicativos mais tarde), terá que determinar o que
deseja realizar com o restante das regras. No meu caso, esse é o
processo que usei.

1. Criei uma regra de “Port Forward” para cada câmera, já que tenho
minha câmera em portas diferentes (atualmente 6 câmeras)
2. Criei uma regra de "Port Forward" para meu servidor Plex e
servidor de vídeo aéreo.
3. Criei um filtro restrito para a rede secundária que contém sites
P2P de bloqueio, sites de torrent, sites de acesso remoto, sites de
spam e sites de hackers.
4. Como tenho duas redes separadas, criei uma regra que me
permite acessar certos recursos da minha rede para a rede
secundária, pois ela é bloqueada por padrão.
5. Eu permiti que determinados sistemas na rede secundária
acessassem a unidade NAS na rede primária e bloqueiasse o
restante.
6. Criado a regra que ignora o Xbox, o Roku e o Apple TV da
filtragem para resolver o problema de transmissão de vídeo.

Não fique louco até que você tenha a chance de garantir que não haja
efeitos colaterais dos filtros. Lembre-se de que as regras são aplicadas
de cima para baixo, portanto, verifique se você não tem uma regra de
abertura total antes de uma regra que bloqueia o acesso.

Regra 1
Essa regra foi criada para ignorar os filtros XBox, Roku e Apple da
filtragem da Web.

Este é o Grupo IP que é chamado na seção “NETWORKS”. Você pode


editar o grupo sem precisar alterar a regra para poder adicionar ou
remover dispositivos facilmente.

Regra nº 2
Essa regra é usada para encaminhar minha câmera de garagem da WAN
para um endereço IP e porta específicos para que eu possa acessar a
câmera da estrada.

Regra nº 3 (filtragem pesada na rede secundária)


Política de filtro da Web que é chamada na seção "Política para
aplicativos do usuário" da regra

Este é o "Filtro de aplicativo chamado na mesma seção da regra. Parece


complicado, mas na verdade é muito fácil. Tudo o que você precisa fazer
ao adicionar é selecionar categorias.

Problemas

Esta é uma ferramenta extremamente poderosa e, para a maioria, será


mais do que você jamais precisará. Este produto continuará sendo
atualizado e melhorará com o tempo, mas, como tudo, tem algumas
falhas. Para começar, há o problema de streaming de vídeo. Não é um
grande negócio se tudo que você tem é Roku e Xbox em sua casa, no
entanto, se você tiver telefones ou tablets e precisar deles para jogar
Netflix, pode haver um problema. Para ativar a transmissão no Android e
no IOS, você terá que ignorar bloqueios de filtragem, verificação e
aplicação para esses dispositivos, o que significa que você tem
aproximadamente a mesma proteção que um roteador de prateleira para
esses dispositivos específicos. Para tablets e telefones, pode ou não ser
um problema, dependendo de você ter filhos ou não. Se você tem filhos
ou outros na casa que não são cuidadosos, você pode ter que adicionar
um ponto de acesso Wi-Fi dedicado que tenha filtragem para poder
controlar qualquer criança que possa ter em casa. De qualquer forma, há
uma solução, desde que você saiba que terá que fazer alguma coisa. O
outro problema que eu encontrei foi SSL VPN. Eu tentei e tentei fazer
isso funcionar e nunca consegui. Felizmente, acabei usando o OpenVPN
no meu QNAP, que acabou por funcionar muito facilmente e foi
consideravelmente melhor do que o construído em Untangle. Por último,
foi a curva de aprendizado. Dependendo do seu nível de experiência,
descobrir o material do firewall pode levar algum tempo. Acrescente a
isso a abordagem baseada em objetos que eles estão usando no XG e
você terá que experimentar um pouco antes de ficar confortável. De
qualquer forma, há uma solução, desde que você saiba que terá que
fazer alguma coisa. O outro problema que eu encontrei foi SSL VPN. Eu
tentei e tentei fazer isso funcionar e nunca consegui. Felizmente, acabei
usando o OpenVPN no meu QNAP, que acabou por funcionar muito
facilmente e foi consideravelmente melhor do que o construído em
Untangle. Por último, foi a curva de aprendizado. Dependendo do seu
nível de experiência, descobrir o material do firewall pode levar algum
tempo. Acrescente a isso a abordagem baseada em objetos que eles
estão usando no XG e você terá que experimentar um pouco antes de
ficar confortável. De qualquer forma, há uma solução, desde que você
saiba que terá que fazer alguma coisa. O outro problema que eu
encontrei foi SSL VPN. Eu tentei e tentei fazer isso funcionar e nunca
consegui. Felizmente, acabei usando o OpenVPN no meu QNAP, que
acabou por funcionar muito facilmente e foi consideravelmente melhor
do que o construído em Untangle. Por último, foi a curva de
aprendizado. Dependendo do seu nível de experiência, descobrir o
material do firewall pode levar algum tempo. Acrescente a isso a
abordagem baseada em objetos que eles estão usando no XG e você
terá que experimentar um pouco antes de ficar confortável. foi a curva de
aprendizado. Dependendo do seu nível de experiência, descobrir o
material do firewall pode levar algum tempo. Acrescente a isso a
abordagem baseada em objetos que eles estão usando no XG e você
terá que experimentar um pouco antes de ficar confortável. foi a curva de
aprendizado. Dependendo do seu nível de experiência, descobrir o
material do firewall pode levar algum tempo. Acrescente a isso a
abordagem baseada em objetos que eles estão usando no XG e você
terá que experimentar um pouco antes de ficar confortável.

Resumo e Resultados

Para ser honesto quando comecei a experimentar o Sophos, quase


joguei a toalha e desisti principalmente por causa da VPN. Simplesmente
faz as coisas de maneira diferente do que estou acostumado e a lógica
simplesmente me escapou no começo. Às vezes, ter que desaprender
algo primeiro é um desafio. Mas, no interesse de possivelmente
economizar US $ 54 por mês, achei que iria ficar de fora. Além disso, a
perspectiva de ser derrotado por software era mais do que eu poderia
suportar. No final, estou feliz por ter feito, no geral estou muito feliz com
os resultados. Eu sinto que ainda há muito a aprender, mas cheguei a
um nível de conforto que me permite, pelo menos, estabelecer um bom
nível de segurança com efeitos colaterais mínimos. Eu trabalhei com
minhas maiores preocupações, como o encaminhamento de porta e,
acima de tudo, a VPN. Eu confio fortemente na minha conexão VPN para
a Área de Trabalho Remota, acesso aos meus arquivos em casa, e para o
tunelamento de internet, e uma vez que consegui descobrir esses
problemas, me senti confortável o suficiente para implantar em meu
ambiente doméstico. Como é gratuito para uso doméstico, cheio de
recursos, muito poderoso e sem limites de IP, vale a pena investir algum
tempo se você se preocupa com segurança e sabe que esse produto
continuará melhorando. É claro que quando você viaja por esse caminho,
aprende algo no processo. Se você é como eu e não como administrador
de rede, pode levar um pouco mais de tempo para aprender, mas, por
acaso, você receberá o pagamento e terá uma rede segura e
poderosa. De fato, estou muito impressionado com isso e, na primeira
semana de implantação, ele bloqueou três vezes a quantidade de itens
que o Untangle já fez, apesar de ser um aplicativo pago. Após os
primeiros dias, cancelei imediatamente minha assinatura e, se a verdade
fosse dita, Eu nunca posso voltar para Untangle depois de ver o poder
que está no XG. Eu nunca usei o produto UTM, então não posso
comparar, mas eu executei Untangle, pfSense, e um monte de
roteadores convencionais e eu honestamente digo que isso é muito
melhor. Apesar de algumas falhas, eu realmente gosto desse produto e
estou aderindo a ele.

Observação: estarei postando mensagens adicionais sobre Filtragem da


Web, Filtragem por País, DNS Dinâmico e outros recursos, conforme o
tempo permitir, por isso, continue verificando as atualizações