Как Zyxel Secureporter облегчает мониторинг безопасности корпоративной сети

Крупные современные IT-вендоры стремятся зарабатывать не только на продаже железа, но и на различных подписках и сервисах, и компания Zyxel - явный тому пример. Сегодня компания активно продвигает свою облачную систему управления сетевым стеком, Nebula Control Center (NCC), которой у нас посвящено множество статей. Сам по себе сервис - бесплатный, и очень удобный с точки зрения инсталляции/обслуживания сетей с филиалами, однако со временем Nebula Control Center стала обрастать дополнительными платными сервисами, об одном из которых мы сегодня и поговорим.

Zyxel SecuReporter - это единая точка сборки для отчётов, дэшбордов и статистики по работе шлюза безопасности вашей сети. Естественно, поддерживаются только шлюзы Zyxel серии USG Flex и ATP для малого и среднего бизнеса. По замыслу разработчиков, Secureporter позволит сисадминам лучше исследовать и предсказывать аномалии трафика, блокировать нежелательные соединения и более эффективно настраивать политики безопасности. Чтобы проверить, насколько всё удобно, возьмём самый простой шлюз семейства NGFW, Zyxel ATP100 и произведём настройку политик безопасности.

Обязательные условия - подключение к Nebula

Сервис Secureporter плотно связан с облачной системой Nebula Control Center, и работает как со шлюзами, которые управляются через облако, так и с теми, что находятся в автономном режиме, но конечно же только с моделями производства Zyxel. Сегодня это все USG Flex и ATP: для одних поддержка NCC сразу при запуске, а для других была добавлена с обновлениями прошивок. Если вы всё ещё не знакомы с возможностями Zyxel ATP, то рекомендуем наш обзор топовой модели ATP800. Это полноценные NGFW, имеющие на борту антивирусное сканирование, режим «песочницы», системы предотвращения вторжений, контентные фильтры, сигнатуры приложений, дешифровку HTTPs и многое-многое другое. На сегодняшний день все функции UTM, кроме SSL Inspection и антиспама доступны в Nebula, так что вопрос целесообразности миграции в облако уже можно не ставить.

В логическом представлении Nebula Control Center, у вас есть организации и площадки, на которых развёрнуты сети. Площадка может иметь только один сетевой шлюз, и для неё отдельно задаются политики безопасности и настраиваются фильтры NGFW. Плюс облачного контроля в том, что здесь вы организуете вашу сеть и мониторите трафика от шлюза и до конечного устройства в едином окне. В случае если ваши филиалы связаны между собой VPN туннелями, то их топологию вы будете видеть здесь же, на карте местности (читайте статью об оркестрации VPN туннелей через Zyxel Nebula).

После того, как вы добавили интернет-шлюз Zyxel на площадку, переходите на портал MyZyxel.com и активируйте соответствующую лицензию. Для для ATP используется лицензия Gold Security Pack, которая включает в себя все подписки, в том числе и SecuReporter. Чтобы легче было выбрать лицензию именно для вашего оборудования, у Zyxel есть удобный онлайн-магазин с функцией автопродления. Спустя какое-то время (в нашем случае - несколько часов), площадка была добавлена в сервис. Если в дальнейшем мы захотим произвести апгрейд простого ATP100 на ATP500, то все настройки и вся телеметрия сохранятся и автоматически перенесутся на новый шлюз.

Настройка правил безопасности

Логика работы NGFW следующая: сначала нужно настроить решения для фильтрации трафика, а затем на их основе сформировать политики безопасности для площадки. Такой подход позволяет гибко оперировать различными диапазонами IP-адресов и аккаунтами пользователей, гранулярно настраивая фильтрацию и блокировку. Например, можно запрещать любой трафик на финансовые сервисы из Афганистана (если там такие есть) по четвергам в обед, а не просто фильтровать веб-сайты и серверы банков и криптовалютных бирж.

Начинаем с того, что определяем правила контентной фильтрации для Web-сёрфинга. В качестве хороших примеров, нам предлагаются шаблоны Parental Control и Productivity, а если вы не знаете, к какой категории относится нужный веб-сайт - просто введите его адрес в соответствующее поле. Аналогично, через App Patrol создаём список мессенджеров, которые в дальнейшем будем блокировать в нашей сети.

Переходим в раздел политик безопасности и создаём простые и понятные правила ограничений на исходящий трафик в нашей сети.

Отчёты безопасности SecuReporter

Сразу обращает на себя внимание полное отсутствие настроек: кроме переключения яркой/тёмной темы, больше ничего нет: даже язык пока что здесь только английский, а локализация ожидается в этом году.

На дашборде отображаются данные только по одной площадке, то есть с одного шлюза. Почему-то возможности видеть всю организацию сразу здесь нет. В правой части карта, на которой отражаются географические координаты угроз. Доплачивать за GoIP не нужно - всё включено в базовую подписку шлюза.

Вся информация по обнаруживаемым атакам выводится на временную шкалу в виде графиков, между которыми можно переключаться по вкладкам. Таким образом, администратору хватит одного взгляда, чтобы определить какого типа атаки с каких регионов идут, и если необходимо - просто блокировать целиком проблемную страну или даже континент, если там нет интересов вашей компании.

Для чего вы можете использовать отчёт по блокировке IP-адресов?

Некоторые специалисты считают, что блокировка IP адресов себя изжила, так как многие нежелательные сервисы перешли в облака и динамически меняют свои IP. Но при составлении собственных списков нежелательных IP, вам будет важно знать, продолжается ли атака из подсети, которая вам важна. Например, из публичной провайдерской сети, в которой потенциально могут находиться ваши контрагенты.

Плюс, через IP вы будете блокировать адреса, генерирующие алерты в IDP системе.

Для чего использовать отчёты IDP?

Система предотвращения вторжения очень сложна в настройке, поскольку даже самые лучшие сигнатуры на начальном этапе дают много ложных срабатываний. На этапе первоначального конфигурирования, на который могут уйти дни и даже недели, отчёт IDP может поможет максимально подстроить сигнатуры под вашу сеть.

Уже в процессе эксплуатации сработавший алерт IDP наверняка означает наличие вируса или зловреда внутри периметра, и требует от администратора провести проверку устройства, вызвавшего тревогу. Если же система сработала на входящее подключение извне, то это вероятнее всего просто роботы, ищущие открытые уязвимости на серверах по всему интернету.

Те же графики, но с указанием списка топовых источников угроз доступны во вкладке «аналитика». Помимо IP-адресов и времени хитов, вы можете видеть списки самых часто посещаемых вебсайтов, самых активных клиентов в вашей сети и самые часто запрашиваемые IP-адреса. Всё то же самое доступно для статистики использования приложений.

Для чего нужна расширенная информация Патруля Приложений?

Это полезнейшая опция, которая позволит отслеживать установки несанкционированного ПО на рабочие компьютеры, а так же прогнозировать изменения трафика после обновления версий программ.

В случаях, если в компании дозволяется приносить в офис свой ноутбук и работать в изолированной сети, вы по-прежнему сможете отслеживать и блокировать работу игр, качалок, майнеров и прочих ненужных приложений на устройствах, к которым у вас нет доступа.

Очень полезным при настройке фильтров будет информация о запрашиваемых доменах, причём как о разрешённых, так и о заблокированных встроенным DNS-фильтром. Например, можно видеть куда отправляется телеметрия, в какой отрезок времени к какой категории серверов происходили запросы, а кликнув на любой домен, можно увидеть историю исходящих подключений, естественно, с графиком частоты обращений.Если вас интересует суммарная статистика по трафику и загрузка процессора/памяти, то эту информацию нужно смотреть прямо в Nebula Control Center, без перехода в SecuReporter.

Для чего потребуются отчёты о блокировке DNS и URL?

Собственно, статистика запросов доменов покажет, на какие сайты чаще всего заходят сотрудники вашей компании, и куда именно стучатся различные сетевые устройства. Если вы вдруг заметили, что после очередного обновления, образно говоря, сетевой принтер стал стучаться на подозрительные адреса, возможно он отсылает телеметрию, к чему вы не готовы, и лучше его заблокировать.

Вы можете с удивлением обнаружить запросы в доменные зоны стран, с которыми у вашей компании нет никаких отношений, особенно к зонам .io, .cc, .to и тому подобным. Скорее всего, это подозрительное ПО или вирус, который следует найти и очистить.

Для чего потребуется информация о работе антивируса?

Если вы видите в отчёте постоянные тревоги, вызванные антивирусом, то вам нужно проверить компьютеры и любые устройства, с которых формируются запросы в сеть, а если это - рабочее место, то провести беседу с сотрудником об основах безопасности в интернете, напомнив что нельзя открывать файлы в письмах от незнакомцев, кликать на подозрительные ссылки и ходить по странным веб-адресам.

Помните, что около 37% всех взломов проводятся с помощью методов социальной инженерии.

Периодические отчёты по почте

Сервис Secureporter не только имеет красивый современный дашборд, но и еженедельно высылает на почту администратора отчёт о том, что происходило в сети.

В этом отчёте на 13 страницах размещена вся та же информация, которая доступна вам на веб-сайте, включая самые часто запрашиваемые адреса и источники трафика. Согласитесь, распечатанный отчёт - отличный аргумент на совещаниях или других митингах. Как жаль, что не все сервисы имеют такую функцию. Помимо этого, Secureporter сообщает об изменениях в вашем оборудовании: если в сети зарегистрировалось новое устройство Zyxel или если кто-то отключил шлюз от вашей организации - в этих случаях вам придёт E-Mail оповещение, и вы сможете среагировать.

Выводы

Прежде всего, SecuReporter расчитан на новое поколение администраторов, которые наверняка будут обслуживать сеть клиента удалённо, или имеют в подряде несколько офисов, где сеть построена на оборудовании Zyxel. Для обоснования покупки платной подписки на сервис, достаточно знать, что добавляя шлюз в "Небулу", вы теряете доступ к его Web-интерфейсу, поэтому вам нужно как-то отслеживать события NGFW. А на всё, что связано с защитой сети и безопасностью, владельцы бизнеса с радостью подписывают любые расходники.

С другой стороны, никто не заставляет подключать шлюз Zyxel в Nebula: можно настраивать правила встроенных сервисов вручную, мониторить события через экспорт логов и VPN-тоннели соединять так же руками, прописывая адреса роутеров в других филиалах. Так что нельзя сказать, что Zyxel "такие-рассякие, вымогают деньги за то, что должно быть бесплатно". К счастью, компания всегда оставляет вам выбор.

Михаил Дегтярёв (aka LIKE OFF)
09/03.2022


Теги безопасность Zyxel Nebula Secureporter

Новые статьи

Похожие статьи:

Изучаем особенности Zyxel XMG1930-30HP, коммутатора c 2.5G/10G PoE портами и лицензируемыми функциями L3

Zyxel рассудил так: если L3 функционал уже определяется только прошивкой, 99% выбирают коммутатор доступа ради плотности портов, PoE, VLAN, Multicast и реже - для статической маршрутизации, то вот вам базовая модель XMG1930, кот...

Изучаем Zyxel Connect & Protect и отвечаем на основные вопросы: можно ли обойтись без шлюза безопасности?

С точки зрения сети, современный объект может и вовсе представлять собой одну лишь точку доступа, подключённую напрямую в WAN от провайдера, и на этой точке доступа хватит ресурсов и для поднятия VPN-тоннеля до штаб-квартиры, и...

Zyxel XGS2220-30HP - L3 Access коммутатор для современных конвергентных сетей

Этот коммутатор уровня L3 имеет 4 x 10-гигабитных SFP+ слота, 1-гигабитные PoE+ порты для основного парка устройств, NVR/VoIP оптимизированный интерфейс, поддержку облачного сервиса Nebula и мульти-гигабитные PoE+ порты для точе...

Будет ли работать сеть на Zyxel Nebula, если опустят железный занавес?

Что станет с вашей сетью, если вдруг опустится железный занавес, и российский интернет превратится в нечто суверенное и перекроют все трансграничные каналы? Смоделируем эту ситуацию и расскажем, как "отвязать" устройства от Nebu...