Sophos XG-Firewall: Einrichtung des Discover Modes

Übersicht

In diesem Artikel wird erklärt, wie Sie den Discover Mode mithilfe des TAP-Intefaces aktivieren und Sicherheitsüberprüfungsberichte (SAR) planen.

Dieses Kapitel umfasst folgende Themen:

  • Aktivierung des Discover Modus
  • Planung der Sicherheitsüberprüfungsberichte (SAR)


Szenario

Verbinden Sie eine (1) Schnittstelle von SF mit dem Netzwerk-Switch (den der gesamte Netzwerkverkehr durchlaufen muss).

12Bx5bdeRysAWL

 

Aktivierung des Discover Modus

Bevor Sie beginnen, stellen Sie Folgendes sicher:

  • Das Gerät ist mit dem Internet verbunden, um Web-Klassifizierungen, IPS-Updates und die SAR-Generierung in der Cloud zu ermöglichen.
  • Sie sind bei der Admin-Konsole als Administrator mit Lese- / Schreibberechtigungen für die relevanten Funktionen angemeldet.

Um benutzerspezifische Daten im SAR zu erhalten, muss das Gerät außerdem in externen Authentifizierungsservern wie Active Directory (AD), RADIUS, LDAP, Apple Directory oder Novell eDirectory eingebunden werden.

1. Verbindung und Zugriff auf die Sophos Firewall

1. Verbinden Sie ein Ende des Straight-Through-Kabels mit Port A des Geräts und das andere Ende mit dem Ethernet-Adapter-Port des Network Switches.

2. Ändern Sie die IP-Adresse des LAN-Computers, von dem Sie auf die SF zugreifen möchten, auf 172.16.16.2 und die Subnetzmaske auf 255.255.255.0

3. Öffnen Sie einen Webbrowser und öffnen Sie folgenden Link https://172.16.16.16:4444. Melden Sie sich mit dem Standardbenutzernamen "admin" und dem Kennwort "admin" in der Admin-Konsole an.

 

2. Verbinden und aktivieren Sie den Discover Mode für jede ungebundene Schnittstelle

Bitte beachten Sie, dass der Discover Mode nur auf einer ungebundenen Schnittstelle aktiviert werden kann.

Standardmäßig sind die Ports A, B und C an LAN-, DMZ- bzw. WAN-Zonen gebunden, während die übrigen Ports nicht gebunden sind. Ein Administrator kann jeden Port, einschließlich der Ports A, B und C, jederzeit an andere Zonen binden. Sie können den Discovery Mode für jeden ungebundenen Port aktivieren.

In unserem Beispiel haben wir den Discovery Mode auf dem Port D aktiviert.

1. Verbinden Sie ein anderes Kabel mit einem ungebundenen SF-Port und einem Port des Network Switch, auf dem Sie Port Mirroring konfigurieren möchten (siehe Schritt 3).

2. Melden Sie sich über Telnet oder SSH bei der CLI Konsole an. Sie können auch auf die CLI-Konsole zugreifen, indem Sie in der oberen rechten Ecke des Control Center auf die Registerkarte "Verwaltung" klicken und dann auf "Konsole" klicken.

3. Wählen Sie die Option 4. Gerätekonsole

4. Führen Sie den folgenden Befehl aus, um den Erkennungsmodus für das ungebundene PortD zu aktivieren

console> system discover-mode tap add PortD

Greifen Sie auf den Netzwerk-Switch zu und konfigurieren Sie die Port-Mirroring-Funktion an dem Port, der mit dem aktivierten Discover Mode-Port von der SF verbunden ist. Details hierzu finden Sie in der Dokumentation des jeweiligen Artikels.

Hinweis: Wenn Sie den Discover mode für eine zuvor gebundene Schnittstelle aktivieren möchten, müssen Sie die Verbindung unterbrechen. Um die Verbindung zu unterbrechen, gehen Sie zu System> Netzwerk> Schnittstelle, wählen Sie die Schnittstelle aus und setzen Sie die Netzwerkzone auf None.

3. Aktivieren Sie die Portspiegelung auf dem Netzwerkswitch

Greifen Sie auf den Netzwerk-Switch zu und konfigurieren Sie die Port-Mirroring-Funktion an dem Port, der mit dem aktivierten Discover Mode-Port von der SF verbunden ist. Details hierzu finden Sie in der Dokumentation des jeweiligen Artikels.

Die obige Konfiguration implementiert eine SF-Appliance im Discovery Mode. Für die im Discovery Mode konfigurierte Schnittstelle wird "Discover, Physical (TAP)" auf der Seite "Interface Manage" angezeigt.

Hinweis: Bei der Implementierung im Discover-Mode agiert SF im Promiscuous-Mode und daher werden keine Sicherheitsrichtlinien angewendet

2kv7Ywa5NadtoY

Planung der Sicherheitsüberprüfungsberichte (SAR)

1. Gehen Sie zu Reports > Settings > Report Notification und klicken Sie auf Hinzufügen, um eine Report Notification hinzuzufügen. Wählen Sie auf der Seite Report Notification Security Audit Report aus und geben Sie die Details wie unten dargestellt ein.

3cEX5XZO9JVzAx

2. Klicken Sie auf Speichern, um die Benachrichtigungseinstellungen zu speichern.

Hinweis: SARs können auch von der SF-Appliance generiert werden, wenn sie in einem der Inline-Modi eingesetzt wird: Gateway-Modus, Bridge-Modus oder Mixed-Modus.

 

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.