• Save
Treinamento Sonicwall
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Treinamento Sonicwall

on

  • 36,984 views

Treinamento Sonicwall

Treinamento Sonicwall

by
OS&T Informática
Léo Costa

Statistics

Views

Total Views
36,984
Views on SlideShare
36,897
Embed Views
87

Actions

Likes
27
Downloads
0
Comments
11

5 Embeds 87

http://www.slideshare.net 61
http://static.slidesharecdn.com 17
http://fernandogr.com.br 6
http://www.slashdocs.com 2
http://dell.sociview.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

15 of 11 Post a comment

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Treinamento Sonicwall Presentation Transcript

  • 1. Treinamento Sonicwall
    Treinamento básico de Administração do SonicOS
  • 2. Visão geral do treinamento:
    Parte 1: Overview do SonicOS
    Parte 2: Apresentação das principais funcionalidades
    Parte 3: Conceito de Address Objects e Address Groups
    Parte 4: Conceito de Service Objects e Service Groups
    Parte 5: Status do Equipamento e Configurações de Rede
    Parte 6: Firewall: Regras
    Parte 7: NAT Policies
    Parte 8: DNS, DHCP Server e Web Proxy
    Parte 9: Recursos de usuário, integração com LDAP e SSO (Single Sign-On)
    Parte 10: HA (High Availability)
    Parte 11: Security Services: Content Filter
    Parte 12: Security Services: Intrusion Prevention
    Parte 13: Referências
    Parte 14: Considerações Finais e Perguntas
  • 3. Parte 1: Overview do SonicOS
  • 4. Parte 1
    Interface de gerenciamento:
    Menu Principal – Lado esquerdo da tela
    Menu Detalhado – Sub-Itens do Menu Principal
    Contéudo dos itens – Lado direito da tela, exibido ao clicar em um dos Sub-Itens
    Itens abordados no treinamento:
    - System
    - Network
    - Firewall
    - VPN
    - Users
    - High Availability
    - Security Services
    - Log
  • 5. Parte 2: Apresentação das principais funcionalidades
  • 6. Parte 2
    Menu System
    Security Dashboard: fornece informações da principais ameaças ao redor do mundo e do seu appliance.
    Status: Resumo das informações do seu equipamento, tais como utilização de CPU, status de rede, informações de versão de firmware e SonicOS
    Licenses: Informações de licenciamento de serviços
    Administration: Informações de Administração, tais como senha do administrador, configurações de login, inclusão de um usuário administrador, portas de acesso à interface de gerenciamento
    Settings: Local onde se faz backup/update de Firmware/SonicOS e exportação das configurações do equipamento
    Packet Monitor: Monitora os pacotes trafegando em tempo real
    Diagnostics: Ferramentas tais como Ping, Tracert, etc
    Restart: Reinicialização do equipamento
  • 7. Parte 2
    Menu Network
    Interfaces: configuração e status das interfaces de rede. Por padrão, a interface X0 é LAN, a interface X1 e WAN, as interfaces X2,X3 e X4 são customizáveis e a interface X5 é para HA (High Availability). Para configurar ou editar um interface, basta clicar no “lápis” ao lado da mesma.
    DNS: o Sonicwall não é um Servidor DNS. Sendo assim, ele deve ter os DNS cadastrados para poder resolver nomes externos ou internos.
    Address Objects: Address Objects criados. Falaremos deles na Parte 3 do treinamento
    Services: Serviços/Portas criados. Falaremos deles na Parte 4
    Routing: o roteamento dos pacotes. Falaremos delesna Parte 5 NAT Policies: Redirecionamento. Falaremos deles na Parte 5.
    DHCP Server e Web Proxy: o Sonicwall possui seu DHCP e pode se integrar a um Servidor Proxy. Falaremos deles na Parte 6.
  • 8. Parte 2
    Menu Firewall
    Access Rules: Exibido em modo matriz, permite cadastramento de acesso liberado ou negado a determinado IP e/ou Porta
    Connections Monitor: Monitoramento em tempo real, com possibiliade de filtro de origem, destino, porta, etc
    Menu VPN
    Settings: Possibilita a criação de VPNs Client-to-Site, Site-to-Site, etc. Possibilita também visualizar o status do túneis.
  • 9. Parte 2
    Menu Users
    Status: Exibe informações dos usuários autenticados, tempo de conexão e tempo restante, método de autenticação e permite fazer logoff da sessão de usuários
    Settings: Permite configuração de integração com LDAP e SSO (Single Sign-On) e configuração de tempo de conexão do usuário
    Local Groups: Muito utilização quando integrado com o Content Filter (regras de Content Filter por grupo)
    Menu High Availability
    Settings: Exibe o status do HA de Hardware
    Advanced: Permite configurações adicionais do HA
  • 10. Parte 2
    Menu Security Services
    Content Filter: Filtro de conteúdo para navegação na web, ou seja, conteúdo acessado via browser. Falaremos dele na Parte 10.
    Gateway Antivirus: Filtro de Antivirus de borda, ou seja, bloqueia ameaças quando chegam ao Sonicwall apenas. Falaremos dele na Parte 10.
    Intrusion Prevention: Filtro para programas que utilizam portas para navegação. Exemplo: Instant Messengers e P2Ps. Falaremos dele na Parte 10.
    Anti-Spyware: Filtro de Anti-Spyware de borda, ou seja, bloqueia ameaças quando chegam ao Sonicwall apenas. Falaremos dele na Parte 10.
  • 11. Parte 2
    Menu Log
    View: Visualização dos logs do sistema em tempo real, com opções de filtros
    Categories: Configurações do que deve ser filtrado para os logs
    Syslog: Sistema automatizado de logs (GMS, ViewPoint, Local, etc)
    Automation: Configuração do Syslog Local
    Name Resolution: Informações do DNS Server
    Reports: Exibe algumas pequenos relatórios, filtrados por categoria
    ViewPoint: Local onde se configura os aplicativos de Gerenciamento ViewPoint ou GMS (Global Management System)
  • 12. Parte 3: Conceito de Address Objects e Address Groups
  • 13. Parte 3
    Noção Geral
    Para facilitar a administração do sistema, o Sonicwall trabalha com o conceito de objeto.
    Ou seja, ao invés de você cadastrar uma rede, um host, um range (intervalo de Ips), você deve cadastrar um objeto.
    Quais as vantagens?
    - Facilidade na alteração do contéudo do objeto
    - Facilidade na visualização de regras
    Para unir vários objetos, existe a possibilidade de criar um grupo.
  • 14. Parte 3
    Address Object
    O nome já define bem:
    Address Object = Object de Endereço
    Um Address Object pode definir um Host (IP), uma Network (IP/Máscara), um Range (intervalo de IP), MAC (Endereço Físico)
    No Address Object, deve se definir a Zona do objeto (WAN, LAN, DMZ, VPN, MULTICAST, WLAN ou SSLVPN)
  • 15. Parte 3
    Address Object
    Para adicionar um novo Address Object, utilize o Menu Network > Address Object > Address Object Add
    Ao clicar em “Add” uma nova janela será exibida. Veja:
    Tipo de Zona
    Nome
    Endereço
    Tipo
  • 16. Parte 3
    Address Group
    Possibilidade de criar um grupo para unir diversos objetos.
    Vantagens:
    - Criação de menos regras
    - Facilidade de visualização das regras
    Um Address Group pode reunir vários Address Objects
  • 17. Parte 3
    Address Group
    Para adicionar um novo Address Group, utilize o Menu Network > Address Group > Address Group Add
    Ao clicar em “Add” uma nova janela será exibida. Veja:
    Adicionar ao Grupo
    Nome
    Remover do Grupo
    Address Objects disponíveis
    Address Objects adicionados ao Address Group
  • 18. Parte 4: Conceito de Service Objects e Service Groups
  • 19. Parte 4
    Noção Geral
    Mantendo o mesmo conceito utilizado nos Address Objects e nos Address Groups, o Sonicwall possui os Service Objects e os Service Groups.
    Por padrão, ao invés de utilizar portas (com seus determinados números), o Sonicwall utiliza objetos.
    Os principais serviços (dentre eles POP3, SMTP, Terminal Services, etc) já vêm associado à um Service Object. No entanto, nada impede que o seu conteúdo seja modificado e que novos Service Objects sejam criados de acordo com a sua necessidade.
  • 20. Parte 4
    Service Object
    Como já possuimos o conhecimento do funcionamento dos Address Objects, vamos direto à criação de um Service Object.
    Menu Firewall > Services > Add Service Object
    Nome
    Protocolo
    Porta
    ou
    Intervalo de Portas
  • 21. Parte 4
    Service Group
    Menu Firewall > Services > Add Service Group
    Service Objects adicionados ao Service Group
    Nome
    Adicionar ao Grupo
    Service Objects disponíveis
    Remover do Grupo
  • 22. Parte 5: Status do Equipamento e Configurações de Rede
  • 23. Parte 5
    Status do Equipamento
    Podemos verificar o status do equipamento através do Menu System > Status.
    Ao clicar no caminho acima indicado, poderemos ver as informações do sistema (System Information), o Sistema de Segurança (Securitu Services) – Licenças – e os Alertas do equipamento.
  • 24. Parte 5
    Alertas do Sistema
    Informações do Sistema
    Sistemas de Segurança
  • 25. Parte 5
    Configurações de Rede
    Podemos verificar as configurações de rede e status de conectividade através do Menu Network> Interfaces.
    Ao clicar no caminho acima indicado, poderemos ver as informações de identificação da porta do Sonicwall, Zona, IP, Máscara de Rede, Tipo de Conexão e Status.
    Além disso podemos editar as configurações.
  • 26. Parte 5
  • 27. Parte 5
    Editando as configurações
    Ao clicar em Network > Interfaces > Configure (na mesma linha da interface que deseja editar), uma nova caixa será aberta:
    Zona
    IP
    Permissão de Gerenciamento
    Máscara de Rede
    Gateway
    Permissão de Login
    DNS Preferencial
    DNS Alternativo
    Redirecionar HTTP para HTTPS
  • 28. Parte 6: Firewall: Regras
  • 29. Parte 6
    Noção Geral
    O padrão de regras de Firewall é simples e divido por Zona de Origem e Zona de Destino.
    Exemplo: uma regra “de WAN para LAN”, significa regras originadas na internet (Zona WAN) que têm como destino a sua rede interna (Zona LAN).
    Basicamente, regras utilizarão Address Objects (ou Groups), Service Objects (ou Groups), “Alow” (permitido) ou “Deny” (negado)
    Vamos criar regras! Firewall > Access Rules
  • 30. Parte 6
    Destino
    Criando uma Regra
    Para melhor visualização, utilize a visualização tipo “Matrix”.
    A coluna horizontal é a origem e a vertical o destino.
    Origem
  • 31. Parte 6
    Criando uma Regra
    Allow = Aceita
    Deny = Nega
    Serviço
    Source = Origem
    Destino = Destination
    Users Allowed = Usuários Permitidos
    Scheduled = Período Liberado
  • 32. Parte 7: NAT e Roteamento
  • 33. Parte 7
    NAT Policies
    No item anterior, vimos a criação de uma regra de Firewall.
    No entanto, vale lembrar que uma regra de Firewall simples permite (ou nega) acesso à um local e à um serviço.
    Como quase todos os serviços não estão no Sonicwall e sim em um Local da Rede (Servidor, Roteador, etc), precisaremos redirecionar os pacotes para o destino correto.
    Para isso, deveremos “amarrar” as “Firewall Rules” (Regras de Firewall) com as “NAT Policies” (Políticas de NAT)
  • 34. Parte 7
    NAT Policies
    Para exemplificar, vamos liberar o acesso Terminal Services da OS&T e redirecionar para um Servidor TS da Rede Local.
    Passo 1 – Criar Regra de Firewall
    Firewall > Access Rules > WAN to LAN > Add...
    Passo 2 – Criar Política de NAT
    Network > Nat Policies > Add...
  • 35. Parte 7
    NAT Policies
    Passo 1:
    Action: Allow
    From Zone: WAN (não permite mudar) To Zone: LAN (não permite mudar)
    Service: Terminal Services
    Source: Any
    Destination: Any Users Allowed: All Scheduled: Always On
  • 36. Parte 7
    NAT Policies
    Passo 2:
    Original Source: OS&T
    Translated Source: Original Original Destination: WAN Interface IP
    Translated Destination: Servidor TS
    Original Service: Terminal Services
    Original Destination: Original Inbound Interface: Any Outbound Interface: Any
  • 37. Parte 8: DNS, DHCP Server e Web Proxy
  • 38. Parte 8
    DNS
    - O Sonicwall não trabalha com um Servidor DNS.
    - Utilize Servidores DNS internos e externo
    - Configurações em Network > DNS
  • 39. Parte 8
    DHCP
    - O Sonicwall trabalha com um Servidor DHCP.
    - Você pode definir um intervalo de Ips para serem distribuidos pelo Sonicwall DHCP Server
    - Não existe opção de reserva e vínculo de MAC Address
    - Configurações em Network > DHCP Server
  • 40. Parte 8
    Web Proxy
    O Sonicwall pode ser vinculado a um Web Proxy da rede
    Configurações em Network > Web Proxy
  • 41. Parte 9: Recursos de usuário, integração com LDAP e SSO (Single Sign-On)
  • 42. Parte 9
    Recursos de Usuário
    O Sonicwall pode trabalhar com:
    - Usuários Locais
    - Usuários importados de um Servidor LDAP
    - Ambos, simultâneamente
    Status e Configurações no menu Users
  • 43. Parte 9
    Integração com um Servidor LDAP
    O Sonicwall pode trabalhar integrado com o LDAP e os usuários podem ser importados do mesmo.
    As configurações são definidas em Users > Settings > Authentication Metod for Login > Configure...
  • 44. Parte 9
    SSO – Single Sign-On
    A função SSO (Single Sign-On) é realizar a autenticação de forma transparente, utilizando recursos importados de um Servidor LDAP
    Ao abrir o navegador (estando logado na estação como um usuário de domínio, APENAS) a autenticação é processada no Sonicwall
    Necessita de um agente instalado no Servidor LDAP e só funciona para estações logadas no domínio
    As configurações são definidas em Users > Settings > Single-sign-on method > Configure...
  • 45. Parte 10: HA (High Availability)
  • 46. Parte 10
    HA – High Availability
    Permite transferência automática de todos os serviços de um hardware para outro hardware (mesmo modelo)
    Configurações são sincronizadas entre os hardwares através de heartbeat
    A ligação física para o sincronismo é um cabo cross-over ligando as interfaces X5 dos equipamentos
    É necessário licenciamento específico
  • 47. Parte 11: Security Services: Content Filter
  • 48. Parte 11
    Content Filter
    Permite criação de filtros de contéudo para os protocolos HTTP e HTTPS
    Cada filtro pode ser aplicado para determinados grupos
    Os filtros são definidos por categoria e não por domínios ou palavras.
    Domínios e palavras podem ser liberados ou negados, porém são considerados excessões e não são aplicados por grupo.
    Configurações em Security Services > Content Filter > Configure...
  • 49. Parte 11
    Content Filter
    Vários filtros podem ser criados. O filtro “Default” vem com o SonicOS, não pode ser excluído e é aplicado para todos os grupos automaticamente (não pode ser removido do grupo)
    Quando um grupo possui mais de um filtro ou um usuário participa de mais de um grupo, o filtro aplicado é o mais permissivo
    Quando temos um filtro por grupo, podemos marcar todas as categorias do filtro “Default”, evitando assim que ele seja considerado o mais permissivo e negando tudo para um usuário que não esteja dentro de um grupo
  • 50. Parte 11
    Content Filter
    Para criar um novo filtro:
    - Security Services > Content Filter > Configure... > Policy > Add... - Marque as categorias desejadas
    - Para saber em quais categorias um site está listado acesse
    Para criar um lista customizada:
    - Security Services > Content Filter > Configure... > Custom List
    - Insira os domínios e/ou palavras
    http://cfssupport.sonicwall.com/eng/
  • 51. Parte 11
    Content Filter
    Para usar ou não as excessões em cada filtro:
    - Security Services > Content Filter > Configure... > Policy > Add... > Settings
    - Marque as categorias aplicáveis para o filtro
    Para definir períodos do dia que o filtro será aplicado:
    - Security Services > Content Filter > Configure... > Police > Add ... >
    Settings > Filter Forbidden URLs by time of day
    - Selecione a opção desejada
  • 52. Parte 11
    Content Filter
    Para determinar IPs que não passarão pelos filtros (excessões):
    - Security Services > CFS Exclusion List
    - Habilite a opção “Enable CFS Exclusion List”
    - Insira os IPs que não utilizarão os filtros
  • 53. Parte 12: Security Services: Intrusion Prevention
  • 54. Parte 12
    Intrusion Prevention
    Permite controle sobre qualquer aplicativo instalado em um client. Exemplo: Instant Messenger, SSH client, P2P, etc
    Política (e execessões) pode ser definida para tudo, por categoria ou por client em específico (caso o mesmo esteja na lista)
    Por padrão utiliza-se apenas detecção habilitada. A prevenção deve ser aplicada por grupo, eviatando bloqueio de aplicativos como ERP.
    Configurações em Security Services > Intrusion Prevention > Configure IPS Settings
  • 55. Parte 13: Referências
  • 56. Parte 13
    Documentação
    http://www.sonicwall.com/us/support/6832.html
    Base de Conhecimento
    http://www.sonicwall.com/us/support/kb.asp
    Linha de Produtos Sonicwall
    http://www.sonicwall.com/us/Products_Solutions.html
  • 57. Parte 14: Considerações Finais e Perguntas