Treinamento Sonicwall

49.855 visualizações

Publicada em

Treinamento Sonicwall

by
OS&T Informática
Léo Costa

Publicada em: Educação, Tecnologia
17 comentários
92 gostaram
Estatísticas
Notas
Sem downloads
Visualizações
Visualizações totais
49.855
No SlideShare
0
A partir de incorporações
0
Número de incorporações
109
Ações
Compartilhamentos
0
Downloads
0
Comentários
17
Gostaram
92
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Treinamento Sonicwall

  1. 1. Treinamento Sonicwall<br />Treinamento básico de Administração do SonicOS<br />
  2. 2. Visão geral do treinamento:<br />Parte 1: Overview do SonicOS<br />Parte 2: Apresentação das principais funcionalidades<br />Parte 3: Conceito de Address Objects e Address Groups<br />Parte 4: Conceito de Service Objects e Service Groups<br />Parte 5: Status do Equipamento e Configurações de Rede<br />Parte 6: Firewall: Regras<br />Parte 7: NAT Policies<br />Parte 8: DNS, DHCP Server e Web Proxy<br />Parte 9: Recursos de usuário, integração com LDAP e SSO (Single Sign-On)<br />Parte 10: HA (High Availability)<br />Parte 11: Security Services: Content Filter<br />Parte 12: Security Services: Intrusion Prevention<br />Parte 13: Referências<br />Parte 14: Considerações Finais e Perguntas<br />
  3. 3. Parte 1: Overview do SonicOS<br />
  4. 4. Parte 1<br />Interface de gerenciamento:<br /> Menu Principal – Lado esquerdo da tela<br /> Menu Detalhado – Sub-Itens do Menu Principal<br />Contéudo dos itens – Lado direito da tela, exibido ao clicar em um dos Sub-Itens<br />Itens abordados no treinamento:<br />- System<br />- Network<br />- Firewall<br />- VPN<br />- Users<br />- High Availability<br />- Security Services<br />- Log<br />
  5. 5. Parte 2: Apresentação das principais funcionalidades<br />
  6. 6. Parte 2<br />Menu System<br />Security Dashboard: fornece informações da principais ameaças ao redor do mundo e do seu appliance.<br />Status: Resumo das informações do seu equipamento, tais como utilização de CPU, status de rede, informações de versão de firmware e SonicOS <br />Licenses: Informações de licenciamento de serviços<br />Administration: Informações de Administração, tais como senha do administrador, configurações de login, inclusão de um usuário administrador, portas de acesso à interface de gerenciamento<br />Settings: Local onde se faz backup/update de Firmware/SonicOS e exportação das configurações do equipamento<br />Packet Monitor: Monitora os pacotes trafegando em tempo real<br />Diagnostics: Ferramentas tais como Ping, Tracert, etc<br />Restart: Reinicialização do equipamento<br />
  7. 7. Parte 2<br />Menu Network<br />Interfaces: configuração e status das interfaces de rede. Por padrão, a interface X0 é LAN, a interface X1 e WAN, as interfaces X2,X3 e X4 são customizáveis e a interface X5 é para HA (High Availability). Para configurar ou editar um interface, basta clicar no “lápis” ao lado da mesma. <br />DNS: o Sonicwall não é um Servidor DNS. Sendo assim, ele deve ter os DNS cadastrados para poder resolver nomes externos ou internos.<br />Address Objects: Address Objects criados. Falaremos deles na Parte 3 do treinamento<br />Services: Serviços/Portas criados. Falaremos deles na Parte 4<br />Routing: o roteamento dos pacotes. Falaremos delesna Parte 5 NAT Policies: Redirecionamento. Falaremos deles na Parte 5. <br />DHCP Server e Web Proxy: o Sonicwall possui seu DHCP e pode se integrar a um Servidor Proxy. Falaremos deles na Parte 6.<br />
  8. 8. Parte 2<br />Menu Firewall<br />Access Rules: Exibido em modo matriz, permite cadastramento de acesso liberado ou negado a determinado IP e/ou Porta<br />Connections Monitor: Monitoramento em tempo real, com possibiliade de filtro de origem, destino, porta, etc<br />Menu VPN<br />Settings: Possibilita a criação de VPNs Client-to-Site, Site-to-Site, etc. Possibilita também visualizar o status do túneis.<br />
  9. 9. Parte 2<br />Menu Users<br />Status: Exibe informações dos usuários autenticados, tempo de conexão e tempo restante, método de autenticação e permite fazer logoff da sessão de usuários<br />Settings: Permite configuração de integração com LDAP e SSO (Single Sign-On) e configuração de tempo de conexão do usuário<br />Local Groups: Muito utilização quando integrado com o Content Filter (regras de Content Filter por grupo)<br />Menu High Availability<br />Settings: Exibe o status do HA de Hardware<br />Advanced: Permite configurações adicionais do HA<br />
  10. 10. Parte 2<br />Menu Security Services<br />Content Filter: Filtro de conteúdo para navegação na web, ou seja, conteúdo acessado via browser. Falaremos dele na Parte 10.<br />Gateway Antivirus: Filtro de Antivirus de borda, ou seja, bloqueia ameaças quando chegam ao Sonicwall apenas. Falaremos dele na Parte 10.<br />Intrusion Prevention: Filtro para programas que utilizam portas para navegação. Exemplo: Instant Messengers e P2Ps. Falaremos dele na Parte 10.<br /> Anti-Spyware: Filtro de Anti-Spyware de borda, ou seja, bloqueia ameaças quando chegam ao Sonicwall apenas. Falaremos dele na Parte 10.<br />
  11. 11. Parte 2<br />Menu Log<br />View: Visualização dos logs do sistema em tempo real, com opções de filtros<br />Categories: Configurações do que deve ser filtrado para os logs<br />Syslog: Sistema automatizado de logs (GMS, ViewPoint, Local, etc)<br />Automation: Configuração do Syslog Local<br />Name Resolution: Informações do DNS Server<br />Reports: Exibe algumas pequenos relatórios, filtrados por categoria<br />ViewPoint: Local onde se configura os aplicativos de Gerenciamento ViewPoint ou GMS (Global Management System)<br />
  12. 12. Parte 3: Conceito de Address Objects e Address Groups<br />
  13. 13. Parte 3<br />Noção Geral<br />Para facilitar a administração do sistema, o Sonicwall trabalha com o conceito de objeto. <br />Ou seja, ao invés de você cadastrar uma rede, um host, um range (intervalo de Ips), você deve cadastrar um objeto.<br />Quais as vantagens?<br />- Facilidade na alteração do contéudo do objeto<br />- Facilidade na visualização de regras<br /> Para unir vários objetos, existe a possibilidade de criar um grupo.<br />
  14. 14. Parte 3<br />Address Object<br />O nome já define bem: <br /> Address Object = Object de Endereço<br />Um Address Object pode definir um Host (IP), uma Network (IP/Máscara), um Range (intervalo de IP), MAC (Endereço Físico)<br /> No Address Object, deve se definir a Zona do objeto (WAN, LAN, DMZ, VPN, MULTICAST, WLAN ou SSLVPN)<br />
  15. 15. Parte 3<br />Address Object<br /> Para adicionar um novo Address Object, utilize o Menu Network > Address Object > Address Object Add<br />Ao clicar em “Add” uma nova janela será exibida. Veja:<br />Tipo de Zona<br />Nome<br />Endereço<br />Tipo<br />
  16. 16. Parte 3<br />Address Group<br />Possibilidade de criar um grupo para unir diversos objetos.<br />Vantagens:<br />- Criação de menos regras<br />- Facilidade de visualização das regras<br />Um Address Group pode reunir vários Address Objects<br />
  17. 17. Parte 3<br />Address Group<br /> Para adicionar um novo Address Group, utilize o Menu Network > Address Group > Address Group Add<br />Ao clicar em “Add” uma nova janela será exibida. Veja:<br />Adicionar ao Grupo<br />Nome<br />Remover do Grupo<br />Address Objects disponíveis<br />Address Objects adicionados ao Address Group<br />
  18. 18. Parte 4: Conceito de Service Objects e Service Groups<br />
  19. 19. Parte 4<br />Noção Geral<br />Mantendo o mesmo conceito utilizado nos Address Objects e nos Address Groups, o Sonicwall possui os Service Objects e os Service Groups.<br />Por padrão, ao invés de utilizar portas (com seus determinados números), o Sonicwall utiliza objetos.<br />Os principais serviços (dentre eles POP3, SMTP, Terminal Services, etc) já vêm associado à um Service Object. No entanto, nada impede que o seu conteúdo seja modificado e que novos Service Objects sejam criados de acordo com a sua necessidade.<br />
  20. 20. Parte 4<br />Service Object<br />Como já possuimos o conhecimento do funcionamento dos Address Objects, vamos direto à criação de um Service Object.<br />Menu Firewall > Services > Add Service Object<br />Nome<br />Protocolo<br />Porta <br />ou<br /> Intervalo de Portas<br />
  21. 21. Parte 4<br />Service Group<br />Menu Firewall > Services > Add Service Group<br />Service Objects adicionados ao Service Group<br />Nome<br />Adicionar ao Grupo<br />Service Objects disponíveis<br />Remover do Grupo<br />
  22. 22. Parte 5: Status do Equipamento e Configurações de Rede<br />
  23. 23. Parte 5<br />Status do Equipamento<br />Podemos verificar o status do equipamento através do Menu System > Status.<br /> Ao clicar no caminho acima indicado, poderemos ver as informações do sistema (System Information), o Sistema de Segurança (Securitu Services) – Licenças – e os Alertas do equipamento.<br />
  24. 24. Parte 5<br />Alertas do Sistema<br />Informações do Sistema<br />Sistemas de Segurança<br />
  25. 25. Parte 5<br />Configurações de Rede<br />Podemos verificar as configurações de rede e status de conectividade através do Menu Network> Interfaces.<br /> Ao clicar no caminho acima indicado, poderemos ver as informações de identificação da porta do Sonicwall, Zona, IP, Máscara de Rede, Tipo de Conexão e Status. <br />Além disso podemos editar as configurações.<br />
  26. 26. Parte 5<br />
  27. 27. Parte 5<br />Editando as configurações<br />Ao clicar em Network > Interfaces > Configure (na mesma linha da interface que deseja editar), uma nova caixa será aberta:<br />Zona <br />IP<br />Permissão de Gerenciamento<br />Máscara de Rede<br />Gateway<br />Permissão de Login<br />DNS Preferencial<br />DNS Alternativo<br />Redirecionar HTTP para HTTPS<br />
  28. 28. Parte 6: Firewall: Regras<br />
  29. 29. Parte 6<br />Noção Geral<br />O padrão de regras de Firewall é simples e divido por Zona de Origem e Zona de Destino. <br />Exemplo: uma regra “de WAN para LAN”, significa regras originadas na internet (Zona WAN) que têm como destino a sua rede interna (Zona LAN).<br />Basicamente, regras utilizarão Address Objects (ou Groups), Service Objects (ou Groups), “Alow” (permitido) ou “Deny” (negado)<br /> Vamos criar regras! Firewall > Access Rules<br />
  30. 30. Parte 6<br />Destino<br />Criando uma Regra<br />Para melhor visualização, utilize a visualização tipo “Matrix”.<br />A coluna horizontal é a origem e a vertical o destino.<br />Origem<br />
  31. 31. Parte 6<br />Criando uma Regra<br />Allow = Aceita<br />Deny = Nega<br />Serviço<br />Source = Origem<br />Destino = Destination<br />Users Allowed = Usuários Permitidos<br />Scheduled = Período Liberado<br />
  32. 32. Parte 7: NAT e Roteamento<br />
  33. 33. Parte 7<br />NAT Policies<br />No item anterior, vimos a criação de uma regra de Firewall.<br />No entanto, vale lembrar que uma regra de Firewall simples permite (ou nega) acesso à um local e à um serviço. <br />Como quase todos os serviços não estão no Sonicwall e sim em um Local da Rede (Servidor, Roteador, etc), precisaremos redirecionar os pacotes para o destino correto.<br /> Para isso, deveremos “amarrar” as “Firewall Rules” (Regras de Firewall) com as “NAT Policies” (Políticas de NAT)<br />
  34. 34. Parte 7<br />NAT Policies<br />Para exemplificar, vamos liberar o acesso Terminal Services da OS&T e redirecionar para um Servidor TS da Rede Local.<br />Passo 1 – Criar Regra de Firewall<br />Firewall > Access Rules > WAN to LAN > Add...<br />Passo 2 – Criar Política de NAT<br />Network > Nat Policies > Add...<br />
  35. 35. Parte 7<br />NAT Policies<br />Passo 1:<br />Action: Allow <br /> From Zone: WAN (não permite mudar) To Zone: LAN (não permite mudar)<br /> Service: Terminal Services<br /> Source: Any<br /> Destination: Any Users Allowed: All Scheduled: Always On<br />
  36. 36. Parte 7<br />NAT Policies<br />Passo 2:<br />Original Source: OS&T<br /> Translated Source: Original Original Destination: WAN Interface IP<br />Translated Destination: Servidor TS<br />Original Service: Terminal Services<br />Original Destination: Original Inbound Interface: Any Outbound Interface: Any<br />
  37. 37. Parte 8: DNS, DHCP Server e Web Proxy<br />
  38. 38. Parte 8<br />DNS<br />- O Sonicwall não trabalha com um Servidor DNS.<br /> - Utilize Servidores DNS internos e externo<br /> - Configurações em Network > DNS<br />
  39. 39. Parte 8<br />DHCP<br />- O Sonicwall trabalha com um Servidor DHCP.<br /> - Você pode definir um intervalo de Ips para serem distribuidos pelo Sonicwall DHCP Server<br /> - Não existe opção de reserva e vínculo de MAC Address<br /> - Configurações em Network > DHCP Server<br />
  40. 40. Parte 8<br />Web Proxy<br />O Sonicwall pode ser vinculado a um Web Proxy da rede<br /> Configurações em Network > Web Proxy<br />
  41. 41. Parte 9: Recursos de usuário, integração com LDAP e SSO (Single Sign-On)<br />
  42. 42. Parte 9<br />Recursos de Usuário<br />O Sonicwall pode trabalhar com:<br /> - Usuários Locais<br />- Usuários importados de um Servidor LDAP<br />- Ambos, simultâneamente<br /> Status e Configurações no menu Users<br />
  43. 43. Parte 9<br />Integração com um Servidor LDAP<br />O Sonicwall pode trabalhar integrado com o LDAP e os usuários podem ser importados do mesmo.<br />As configurações são definidas em Users > Settings > Authentication Metod for Login > Configure...<br />
  44. 44. Parte 9<br />SSO – Single Sign-On<br />A função SSO (Single Sign-On) é realizar a autenticação de forma transparente, utilizando recursos importados de um Servidor LDAP<br />Ao abrir o navegador (estando logado na estação como um usuário de domínio, APENAS) a autenticação é processada no Sonicwall<br /> Necessita de um agente instalado no Servidor LDAP e só funciona para estações logadas no domínio<br /> As configurações são definidas em Users > Settings > Single-sign-on method > Configure...<br />
  45. 45. Parte 10: HA (High Availability)<br />
  46. 46. Parte 10<br />HA – High Availability<br />Permite transferência automática de todos os serviços de um hardware para outro hardware (mesmo modelo)<br />Configurações são sincronizadas entre os hardwares através de heartbeat<br /> A ligação física para o sincronismo é um cabo cross-over ligando as interfaces X5 dos equipamentos<br /> É necessário licenciamento específico<br />
  47. 47. Parte 11: Security Services: Content Filter<br />
  48. 48. Parte 11<br />Content Filter<br />Permite criação de filtros de contéudo para os protocolos HTTP e HTTPS<br />Cada filtro pode ser aplicado para determinados grupos<br />Os filtros são definidos por categoria e não por domínios ou palavras. <br />Domínios e palavras podem ser liberados ou negados, porém são considerados excessões e não são aplicados por grupo.<br /> Configurações em Security Services > Content Filter > Configure...<br />
  49. 49. Parte 11<br />Content Filter<br /> Vários filtros podem ser criados. O filtro “Default” vem com o SonicOS, não pode ser excluído e é aplicado para todos os grupos automaticamente (não pode ser removido do grupo)<br /> Quando um grupo possui mais de um filtro ou um usuário participa de mais de um grupo, o filtro aplicado é o mais permissivo<br />Quando temos um filtro por grupo, podemos marcar todas as categorias do filtro “Default”, evitando assim que ele seja considerado o mais permissivo e negando tudo para um usuário que não esteja dentro de um grupo <br />
  50. 50. Parte 11<br />Content Filter<br /> Para criar um novo filtro: <br />- Security Services > Content Filter > Configure... > Policy > Add... - Marque as categorias desejadas<br />- Para saber em quais categorias um site está listado acesse<br />Para criar um lista customizada:<br /> - Security Services > Content Filter > Configure... > Custom List<br />- Insira os domínios e/ou palavras<br />http://cfssupport.sonicwall.com/eng/<br />
  51. 51. Parte 11<br />Content Filter<br /> Para usar ou não as excessões em cada filtro:<br />- Security Services > Content Filter > Configure... > Policy > Add... > Settings <br /> - Marque as categorias aplicáveis para o filtro<br />Para definir períodos do dia que o filtro será aplicado:<br /> - Security Services > Content Filter > Configure... > Police > Add ... ><br />Settings > Filter Forbidden URLs by time of day<br /> - Selecione a opção desejada<br />
  52. 52. Parte 11<br />Content Filter<br /> Para determinar IPs que não passarão pelos filtros (excessões):<br />- Security Services > CFS Exclusion List<br />- Habilite a opção “Enable CFS Exclusion List”<br />- Insira os IPs que não utilizarão os filtros<br />
  53. 53. Parte 12: Security Services: Intrusion Prevention<br />
  54. 54. Parte 12<br />Intrusion Prevention<br />Permite controle sobre qualquer aplicativo instalado em um client. Exemplo: Instant Messenger, SSH client, P2P, etc<br />Política (e execessões) pode ser definida para tudo, por categoria ou por client em específico (caso o mesmo esteja na lista)<br />Por padrão utiliza-se apenas detecção habilitada. A prevenção deve ser aplicada por grupo, eviatando bloqueio de aplicativos como ERP.<br /> Configurações em Security Services > Intrusion Prevention > Configure IPS Settings<br />
  55. 55. Parte 13: Referências<br />
  56. 56. Parte 13<br />Documentação<br />http://www.sonicwall.com/us/support/6832.html<br />Base de Conhecimento<br /> http://www.sonicwall.com/us/support/kb.asp<br />Linha de Produtos Sonicwall<br /> http://www.sonicwall.com/us/Products_Solutions.html<br />
  57. 57. Parte 14: Considerações Finais e Perguntas<br />

×