Hogar › Ajustes › Conexión a Active Directory o De dónde provienen los usuarios. Resolver problemas o encontrar una aguja en un pajar

Conexión a Active Directory o De dónde provienen los usuarios. Resolver problemas o encontrar una aguja en un pajar

Sophos Secure Email Gateway protege a los usuarios de las últimas formas robo de identidad, fraude de contraseñas, cuentas bancarias y de otros incidentes. La solución garantiza la eficiencia del usuario al interceptar todos los mensajes. correo electrónico con contenido sospechoso, archivos adjuntos y URL.

Usos de Secure Email Gateway el último antivirus y tecnologías de detección de phishing que se actualizan constantemente en tiempo real para una respuesta inmediata a últimas amenazas. La solución también bloquea contenido no deseado utilizando tipos MIME y extensiones de archivo.

Tormenta de arena de Sophos

La solución Sophos Sandstorm amplía las posibilidades sistema tradicional seguridad y proporciona protección mejorada contra ransomware y ataques dirigidos, así como visibilidad y análisis. Sandstorm complementa Sophos Email Appliance para detectar, bloquear y responder a amenazas de forma rápida y precisa mediante el sandboxing en la nube de última generación.

La tecnología Sophos Time-of-Click Protection bloquea las URL maliciosas en los mensajes de correo electrónico para proteger contra ataques de phishing ocultos y retrasados. Cada URL en cada mensaje postal gracias a esto se vuelve seguro. Cuando haces clic en un enlace en un mensaje de correo electrónico en cualquier dispositivo, se verifica la reputación de ese enlace. base de la nube Datos de Sophos SXL. No hay necesidad de cliente software- esto aumenta la velocidad de implementación y reduce la participación del usuario.

En Sophos ponemos mucho énfasis en mantener las cosas simples. Todo el conjunto de controles para todas las funciones de seguridad está en un solo lugar.

Hemos invertido mucho en optimizar la interfaz. De esta manera, no tendrá que consultar constantemente el manual del usuario para, por ejemplo, actualizar una política o cambiar una configuración. No necesitarás más de un par de clics para completar la tarea.

Protege tu buzones de correo de correo basura y ataques de phishing.

El filtrado de reputación bloquea el 90 % del spam en la puerta de enlace antes de que se consuman los recursos de la red.
El sistema antispam detecta las amenazas restantes, incluidos los últimos ataques de phishing.
Filtre los mensajes de correo electrónico entrantes utilizando una variedad de métodos de detección avanzados compatibles con una variedad de idiomas, incluido el ruso.

DLP transparente y cifrado

Cifre y firme correos electrónicos confidenciales de forma automática y transparente. Evite fugas accidentales de datos y simplifique el cumplimiento de nuestras tecnologías avanzadas DLP y cifrado basado en políticas.

Los mensajes y archivos adjuntos se analizan automáticamente en busca de datos confidenciales, configurando fácilmente políticas para bloquear o cifrar mensajes con solo unos pocos clics. Además, los usuarios tienen la posibilidad de cifrar mensajes ellos mismos mediante un complemento para Outlook.

El principal beneficio es el cifrado SPX, pendiente de patente, que permite a los usuarios administrar su correo cifrado de la forma que prefieran desde cualquier lugar. cliente de correo- en Internet, localmente, en una computadora o dispositivo móvil. Cifrar mensajes de correo electrónico nunca ha sido tan fácil para usuarios y administradores.

Solución integral de suministro seguridad de la información empresas. Al final del artículo, le espera un bono al migrar desde TMG o una solución similar.

¿Qué es Sophos UTM o definamos los términos?

Sophos UTM pertenece a la clase de soluciones de gestión unificada de subprocesos, solución integral para seguridad y organización infraestructura de red. Combina funciones de enrutamiento, cortafuegos, NGFW, IDS/IPS, organizaciones de acceso web, tecnología DPI, organización de canales VPN, WAF, protección antispam de correo electrónico, seguridad laboral. Cada uno de los módulos funcionales se combina en un dispositivo en una única interfaz web y se activa según las necesidades cambiantes. Soportes UTM de Sophos Hardware, Software o Virtual despliegue.

La historia de Sophos UTM se remonta a unos 15 años. En el año 2000 se fundó Astaro en Karlsruhe. Ofreció al mercado una visión visionaria de los problemas de proporcionar seguridad de la red. La arquitectura modular y la facilidad de uso permitieron a la empresa recibir 56.000 instalaciones en 60 países después de 10 años. En 2011, Astaro y Sophos se fusionaron para crear la solución Sophos UTM, ampliando la seguridad al lugar de trabajo. La solución se desarrolla y se mantiene hasta el día de hoy en Alemania.

En Rusia, el sistema funciona para más de 1.000 clientes, desde pequeñas organizaciones con un administrador hasta grandes empresas con oficinas en cada ciudad de nuestro país.

Hoy nos centraremos en la función de organizar el acceso a la web.

Preparación o Donde todo comienza

El proceso de instalación de Sophos UTM se reduce a 5 pasos y es similar a la instalación distribución de linux.
Todo lo que necesitas hacer es instalar e ir a la interfaz web. https://192.168.0.1:4444 (La dirección IP se establece durante la instalación).

Al finalizar, la interfaz web debería aparecer frente a nosotros en todo su esplendor:

La interfaz del sistema se puede cambiar a idioma ruso: Gestión -> Configuración de WebAdmin -> idioma.

Como puede ver, la pantalla principal proporciona información de alto nivel sobre el estado del sistema en su conjunto, la cantidad de incidentes de seguridad de la información y módulos habilitados.

Conexión a Active Directory o ¿De dónde vienen los usuarios?

El sistema cuenta con varios directorios ubicados en la sección Definiciones y usuarios, que le permite utilizar ciertos objetos en varios módulos. Al cambiar el valor en un lugar, el objeto cambiará en el resto.

Definiciones de red: contienen información sobre todos los elementos de la red (hosts, redes, etc.)

Definiciones de servicios: mapeo de puertos y protocolos

Usuarios y grupos: usuarios y grupos

Sophos UTM admite ambos base local usuarios y desde remoto ( Directorio activo, LDAP, eDirectory, Radius, Tacacs+). El sistema entiende nombres cirílicos usuarios.

Conectémonos a Active Directory

Para hacer esto, vaya al elemento del menú correspondiente y agregue un nuevo servidor:
Definiciones y usuarios -> Servidores de autenticación -> Servidores -> "Nuevo servidor de autenticación".

Primero agregamos el servidor, lo guardamos y luego lo probamos.
Si hay varios controladores de dominio, deberá agregarlos todos en este menú de la misma manera.

1) Agregar un servidor
Cree (signo más) o seleccione (carpeta) una definición de host de AD.

2) Configurar y guardar
El usuario con el que nos conectamos a AD ya debe estar creado.

Vincular DN: CN=sophos,CN=Usuarios,DC=lab,DC=fg
DN base: DC=laboratorio,DC=fg

3) Pruebas
Nuevamente, vaya a la configuración del servidor usando el botón Editar y pruebe la conexión.
Al hacer clic en el botón Probar, deberíamos recibir un pasaje exitoso: Aprobado.

Si ingresamos el nombre de usuario y su contraseña veremos el resultado de la autenticación y grupo de usuarios.
Antes de configurar grupos, solo veremos el grupo Usuarios de Active Directory, que incluye a todos los usuarios de AD.
El sistema admite nombres de usuario cirílicos.

Agregar grupos de seguridad de AD a Sophos UTM

Para hacer esto, vaya al elemento del menú correspondiente y agregue grupos:
Definiciones y usuarios -> Usuarios y grupos -> Grupos -> "Nuevo grupo".

Los nombres de los grupos, como tales, no son importantes. El anidamiento es importante, es decir. en lugar del grupo general "Usuarios de dominio", debe especificar grupo específico, en el que el usuario es miembro - Ventas, TI, Desarrollo,…
O utilice un grupo común, si no es necesaria la separación: "Usuarios de Active Directory".
Un usuario de AD no puede seleccionarse como miembro del grupo en UTM; el grupo debe seleccionarse en AD.

Como resultado, obtenemos el número requerido de grupos.

Ahora, si marcamos, veremos al usuario en su grupo:
Definiciones y usuarios -> Servidores de autenticación -> Servidores - Editar: Autenticar usuario de ejemplo: Prueba

Agregar SSO de anuncio

Para ello, basta con seguir dos pasos:

Como Servidores DNS deje solo DomainController: Servicios de red->DNS -> Reenviadores

Agregue UTM al controlador de dominio: Definiciones y usuarios -> Servicios de autenticación -> Inicio de sesión único
Necesita derechos que le permitan agregar computadoras al dominio.

Y finalmente, algunos pequeños detalles: agregaremos usuarios automáticamente:

En la pestaña Avanzado sincronizaremos grupos cada 2 horas, por si queremos mover un usuario de un grupo a otro:

Configurar el filtrado web o divide y conquistarás

Ahora vayamos directamente al origen de todo.
Para aclarar el proceso, aquí hay un diagrama de flujo:

Describiré el orden en el que se procesan las reglas:

Pestaña Excepciones - Opciones de filtrado -> Excepciones.

Pestaña Perfiles de autenticación: Perfiles de filtro web.

La pestaña de acción predeterminada es Filtrado web.

Si nada funciona, la conexión se bloquea.

Supongamos que tenemos una subred corporativa 192.168.1.0/24, donde las computadoras forman parte de AciveDirectory y se utiliza la autenticación AD SSO para acceder a Internet.

Perfil: crear un perfil de autenticación

Establecer un nombre.

Seleccione las subredes a las que se distribuirá este método autenticación.

Modo de funcionamiento:

Estándar: proxy estándar, los usuarios accederán a UTM como proxy en el puerto 8080.

Transparente: las solicitudes web serán interceptadas y el usuario ni siquiera necesitará realizar configuraciones de proxy.

Totalmente transparente: UTM funciona en el nivel L2 (modo en línea). Primero debe configurar un puente de red.

Describiré el método de autenticación utilizado con frecuencia:

Active Directory SSO: habla por sí solo, la computadora debe estar en un dominio.

Navegador: al usuario se le muestra un formulario que solicita un nombre de usuario y contraseña.

Agente: se debe instalar un agente de autenticación en la computadora. Se admiten Windows (EXE, MSI) y MAC (DMG). Su tarea es hacer coincidir el Usuario y la dirección IP detrás de la cual trabaja.
Puede distribuir el agente a través de AD utilizando una imagen MSI ( Definiciones y usuarios -> Autenticación de cliente).
El usuario puede descargar utilizando el Portal de Usuario personal (ver más abajo).

La siguiente pantalla nos pregunta qué modo de filtrado HTTPS usaremos:

Solo filtrado de URL: Sophos solo observará la metainformación del certificado y, si el usuario accede a un sitio prohibido, lo bloqueará.

Descifrar y escanear - revelar Tráfico HTTPS completamente: veremos la URL específica a la que accede el usuario. Funciona en modo MiTM. Para funcionamiento correcto debe distribuir el certificado raíz UTM a través de AD (ver más abajo).

Descifrar y escanear la siguiente- Mire la URL detallada solo para categorías específicas de sitios.

Políticas: comparación de grupos y acciones de filtrado

En la pestaña Políticas creamos una política de acción para filtrar reglas. Hacemos coincidir Grupo y Acción de filtrado, seleccionamos el grupo al que se aplicará esta política. También puede especificar el intervalo de tiempo para que esta política sea válida.

Acción de filtro: agregar acciones de filtrado

Para cada categoría de sitios podemos elegir diferentes acciones:

Bloquear - bloquear

Advertir: notificar que se está visitando un sitio incorrecto

Cuota - temporizador del sitio web

La base de URL contiene >35 millones de sitios en >100 categorías en >65 idiomas. La base de datos se actualiza periódicamente.
Sophos UTM le permite gestionar de forma flexible las categorías de sitios web; puede redefinir las categorías. También puede configurar etiquetas para sitios, lo que le permite crear sus propias categorías.

En la lista a continuación vemos categorías agrupadas que puedes editar o agregar las tuyas propias (en el menú Opciones de filtrado). Puede bloquear sitios con mala reputación, por ejemplo, sospechosos.

En la siguiente pestaña podemos configurar la lista de exclusión usando no solo dominios, sino también expresiones regulares:

Si necesita configurar lista de exclusión global, válido para todos los perfiles, puedes usar la pestaña más tarde Protección web -> Opciones de filtrado -> Excepciones.

Agreguemos acciones apropiadas para categorías redefinidas de sitios por etiquetas:

Para bloquear una descarga ciertos tipos archivos, utilice la siguiente pestaña.
De lo interesante Dos puntos dignos de mención:

UTM abre archivos y escanea archivos de archivos en busca de malware; si todo está bien, permite al usuario descargar.

Hay una función "Verdadero Tipo de archivo» detección, que utiliza desarrollos de motor antivirus definiendo tipos de archivos. No importa la extensión del archivo, sí importa el contenido. Las firmas tipográficas se actualizan periódicamente.

Como resultado de la detección, al archivo se le asigna el tipo MIME correspondiente. Para que esta función funcione correctamente debes habilitar la opción: Protección web -> Opciones de filtrado -> Misc: “El bloqueo MIME inspecciona el cuerpo HTTP”.

También podemos prohibir la visualización transmisión de audio y vídeo utilizando la siguiente lista.

Por ejemplo, queremos desactivar la descarga. archivos de música, independientemente de la extensión:

No olvides encenderlo escaneo antivirus. El primero es el antivirus Sophos, el segundo es Avira.

Realizamos acciones similares para el segundo grupo: Ventas.
Seleccione categorías y acciones específicas para este grupo de usuarios:

Como resultado, obtenemos la siguiente imagen:

Esto completa la configuración del acceso web. Quedan los toques finales

Distribuir configuraciones de proxy y certificado o llegar a todos

La configuración del proxy se puede especificar manualmente, pero si grandes cantidades computadoras, esto es difícil.
Cuando se utiliza AD SSO estándar, es conveniente distribuir políticas a través de Política de grupo:

Para navegadores IE 6, IE 7, IE 8, IE 9 y el sistema operativo correspondiente. Instrucciones detalladas en .
:
Gestión de políticas de grupo: Configuración de usuario – Políticas – Configuración de Windows – Explorador de Internet Mantenimiento – Conexión – Configuración de proxy.

Para navegadores IE 10, IE 11 y el sistema operativo correspondiente. Instrucciones detalladas: o
Todos los programas – Herramientas administrativas – Gestión de políticas de grupo:
Gestión de políticas de grupo: Configuración de usuario – Preferencia – Panel de control Configuración, Nuevo, Internet Explorer 10

Deshabilite la capacidad de cambiar la configuración del proxy (pestaña Conexiones):

Configuración del equipo – Políticas – Plantillas administrativas – Componentes de Windows – Internet Explorer – Panel de control de Internet: Deshabilite la página de Conexiones (Habilitado)

También en UTM se puede utilizar para ajustes automáticos Apoderado.
Más detalles sobre y.

Con el fin de Análisis MiTM HTTPS aprobado con éxito: en UTM debe tener un certificado raíz en el que confíen los clientes. Esto se puede hacer de varias maneras:

Si hay una autoridad de certificación en la estructura de AD, debe emitir un certificado raíz (CA raíz) para UTM y luego cargarlo en UTM. este tipo El certificado tiene la autoridad para firmar otros certificados. Más detalles en .

Puedes utilizar un certificado raíz ya generado en UTM y distribuirlo a través de AD.
Certificado en UTM: Protección web -> Opciones de filtrado -> CA HTTPS -> CA de firma: Descargar.
Distribuir desde AD: Configuración del ordenador | Políticas |Configuración de Windows|Configuración de seguridad|Políticas de clave pública -> Autoridades de certificación raíz de confianza.
El certificado se aceptará tanto en Windows 7 como en Windows 8 (8.1). Más detalles en .
Después de distribuir el certificado, debe:

ejecutar en la computadora: gpupdate /force

o cerrar sesión y volver a iniciar sesión en la computadora (eventos de inicio/cierre de sesión)

La configuración del sistema se recuperará los siguientes navegadores: Internet Explorer todas las versiones, Chrome, navegadores en A base de cromo(Yandex, Ópera, etc.). Navegador Firefox usos configuración propia y un almacén de certificados. Puedes bloquear esta aplicación o usarla. utilidades de terceros, por ejemplo o .

Filtrar a nivel de aplicación o Ver un gato negro

A menudo, es necesario bloquear o permitir el acceso ilimitado a una aplicación específica. Sophos UTM tiene motor DPI incorporado, lo que nos permite determinar aplicación específica. >1000 firmas de aplicaciones y protocolos compatibles. Dado que se utilizan diferentes protocolos varios puertos, UTM debería actuar como un GW predeterminado (no como un proxy) para manejar el tráfico L7 distinto de http(s).
Por ejemplo, bloqueemos todos los servidores proxy y torrents, pero permitamos que la mensajería instantánea funcione sin autenticación de usuario:

Informes integrados o Ojo que todo lo ve

uno de ventajas importantes Sophos UTM en comparación con soluciones similares es gran número(1000+) informes integrados. Todos ellos se encuentran en el menú "Registro e informes". Los informes admiten nombres de usuario cirílicos.

Por ejemplo, veamos el informe sobre usuarios de la semana pasada por filtrado web:

Guardemos el informe resultante y enviémoslo periódicamente por correo electrónico:

Personalización y autoservicio o Más cerca del corazón

en la pestaña Gestión -> Personalización Puede cambiar el logotipo de la empresa que se muestra en los mensajes:

Todos los mensajes que se muestran al usuario se pueden cambiar fácilmente:

Además, puede cambiar la plantilla web. Puede descargar la muestra utilizando el enlace de la ayuda (a la derecha esquina superior).

Portal de usuario

El usuario puede descargar los datos que necesita en su portal personal: "Portal de usuario".
Agente de autenticación, certificado de CA raíz o Configuración de VPN, dependiendo de la disponibilidad para usuario dado funcionalidad.
Configurado en el menú Gestión -> Portal de Usuario

Resultado

+ Autenticación de usuario transparente.
+ Diferentes políticas para diferentes grupos usuarios.
+ Filtrado de URL por categoría.
+ Escaneo HTTPS.
+ Escanear archivos descargados en busca de virus.
+ Detección correcta de tipos de archivos por firmas.
+ Informes periódicos y detallados.
+ Portal de usuario para autoservicio.

Resolver problemas o encontrar una aguja en un pajar

Si algo sale mal o no funciona en absoluto, recomiendo seguir el siguiente orden de solución de problemas:

Pruebe el servidor de autenticación y el usuario, en qué grupo se encuentra (consulte Pruebas en la sección Conexiones AD).

Consulte la política en Verificación de políticas.

Vea el archivo de registro, habrá información sobre qué FilterAction y Profile se activaron esta solicitud. Quizás simplemente se seleccionó el orden incorrecto de los perfiles o la acción incorrecta para este grupo.

Para la autenticación AS SSO (kerberos), verifique la hora en UTM y los clientes para que tomen la hora de la misma fuente NTP.

Bono o Esto es solo el comienzo)

Al migrar (reemplazar) desde soluciones como TMG, PaloAlto, Fortinet, StoneSoft, CheckPoint, etc., se ofrece un descuento del 20% hasta finales de 2015. Detalles en.

Una solución integral para garantizar la seguridad de la información empresarial. Al final del artículo, le espera un bono al migrar desde TMG o una solución similar.

¿Qué es Sophos UTM o definamos los términos?

Sophos UTM pertenece a la clase de soluciones Unified Thread Management, una solución integral para garantizar la seguridad y organizar la infraestructura de red. Combina las funciones de enrutamiento, firewall, NGFW, IDS/IPS, acceso web, tecnología DPI, canales VPN, WAF, protección antispam de correo electrónico y seguridad en el lugar de trabajo. Cada uno de los módulos funcionales se combina en un dispositivo en una única interfaz web y se activa según las necesidades cambiantes. Soportes UTM de Sophos Hardware, Software o Virtual despliegue.

La historia de Sophos UTM se remonta a unos 15 años. En el año 2000 se fundó Astaro en Karlsruhe. Ofreció al mercado una visión visionaria de los problemas de seguridad de la red. La arquitectura modular y la facilidad de uso permitieron a la empresa recibir 56.000 instalaciones en 60 países después de 10 años. En 2011, Astaro y Sophos se fusionaron para crear la solución Sophos UTM, ampliando la seguridad al lugar de trabajo. La solución se desarrolla y se mantiene hasta el día de hoy en Alemania.

En Rusia, el sistema funciona para más de 1.000 clientes, desde pequeñas organizaciones con un administrador hasta grandes empresas con oficinas en todas las ciudades de nuestro país.

Hoy nos centraremos en la función de organizar el acceso a la web.

Preparación o Donde todo comienza

El proceso de instalación de Sophos UTM se reduce a 5 pasos y es similar instalación de linux distribución.
Simplemente descargue la ISO, instálela y vaya a la interfaz web. https://192.168.0.1:4444 (La dirección IP se establece durante la instalación).

Al finalizar, la interfaz web debería aparecer frente a nosotros en todo su esplendor:

La interfaz del sistema se puede cambiar a idioma ruso: Gestión -> Configuración de WebAdmin -> idioma.

Conexión a Active Directory o ¿De dónde vienen los usuarios?

El sistema cuenta con varios directorios ubicados en la sección Definiciones y usuarios, que le permite utilizar ciertos objetos en diferentes módulos. Al cambiar el valor en un lugar, el objeto cambiará en el resto.

Definiciones de red: contienen información sobre todos los elementos de la red (hosts, redes, etc.)
Definiciones de servicios: mapeo de puertos y protocolos
Usuarios y grupos: usuarios y grupos

Sophos UTM admite trabajar tanto con una base de usuarios local como remota (Active Directory, LDAP, eDirectory, Radius, Tacacs+). El sistema entiende los nombres de usuario en cirílico.