En esta entrada abordaremos como aprovechar las bondades de estas dos poderosas herramientas en el nuevo sistema operativo de WatchGuard para desplegarlo en nuestras redes corporativas.
Dispositivos WatchGuard: T Series, M Series.
Sistema Operativo: 11.11.X
Licenciamiento:
Network Discovery forma parte de las suites: Total Security y Basic Security
Mobile Security: es un licenciamiento adicional, suministrado por número de usuarios conectados (no recurrentes) a estos usuarios se les concede el nombre de FireClient, el licenciamiento es basado en número de usuarios que varían desde 5 hasta 500 usuarios. Licenciamiento anual.
 |
| Visual de las dos principales suites de seguridad de WatchGuard para sus dispositivos y sus respectivos componentes. |
En el laboratorio de Operaciones SGSI 0526, nos hemos dedicado a desarrollar no solo el despliegue de estas herramientas, también hemos profundizado su utilidad y llevado a recomendar en la gestión de las infraestructuras de nuestros clientes y usuarios de dispositivos y tecnologías WatchGuard.
Comenzaremos con el Network Discovery:
El Network Discovery es un servicio ofrecido desde la versión de SO 11.11 que nos ayuda a visualizar todos los elementos de la red, definitivamente no se puede asegurar lo que no se conoce, por esa razón lo valioso de comprender el uso y alcance de esta poderosa herramienta. Quizá, haya escuchado la terminología "Shadow IT" ó "Sombra de IT" el 29 de agosto hicimos referencia a una lectura a través de nuestras redes sociales de esta, nada nueva tendencia, lea la noticia acá: https://www.facebook.com/ProyectosSGSI/posts/1768879500035312 fuente CIOAL
¿Que usuarios de una organización no ha pretendido llevar dispositivos a la red corporativa, hacer uso de aplicaciones no autorizados y descarga indebidas?
¿Desde cuando no se hace una revisión de ese servidor que lleva meses sin administrar y no sabe que tipo de conexiones esta estableciendo?
¿Tiene control de los puntos de acceso a la red y desconoce aquellos que pretenden ofrecer accesos falsos al que deben establecer los usuarios?
Network Discovery pretender ser más allá de un simple escanner de redes, pues nos permite a través de la interfaz Web-UI del Firebox establecer identidad de dispositivos para ser recordados y de esta forma, tener control de los elementos de red, mitigando de esta forma, el uso no autorizado de dispositivos, manteniendo a su vez un control de las conexiones de los principales elementos de la red para tomar las acciones necesarias.
Todos los elementos a ser escaneados deben estar detrás de la red: Interfaces Optional, LAN, Custom.
Nos permitirá conocer:
- Nombre del Host.
- Dirección IP.
- Dirección MAC.
- Tipo de dispositivo (Windows, Linux, iOS, Android, Otro)
- Puertos de conexión abiertos (TCP-UDP)
Algunas observaciones adicionales:
- Servicio no disponible para dispositivos XTM
- Sugerimos establecer escaneos programados por interfaces, no a todos los segmentos de red de manera recurrente, ya que el consumo de procesamiento en el dispositivo se incrementa considerablemente.
- Si usted cuenta con un dispositivo T Series o M Series, le sugerimos aprovechar estas bondades de la versión a partir de SO 11.11.
- La customización de Network Discovery es a través de la interfaz Web-UI.
Algunas capturas de pantalla:
 |
| Network Discovery escaneando dos segmentos de red internos |
 |
| Resultados de escaneos de puerto de switch Cisco SG300 |
 |
| Opciones de resultado de un dispositivo de la red |
Mobile Security:
Este nuevo servicio de seguridad dará mucho de que hablar, de la mano de kaspersky, WatchGuard nos ha traido un excelente recurso para la fuerza laboral móvil y usuarios itinerantes de la red empresarial, no pertenece a las suites de seguridad Total Security ni Basic Security, su licenciamiento es basado en número de usuarios Fire Client que establezcan conexión (no recurrentes como mencioné en el principio de este artículo) consta de dos componentes:
- Mobile Security (componente o demonio que trabaja en el dispositivo Firebox)
- Fire Cliente (cliente a ser instalado en el dispositivo móvil dispositivos: Andoid iOS)
Para que los usuarios se puedan conectar a la red deben hacer cumplimiento de:
- Versión del SO de sus dispositivos iOS y Android. (Usted determina a partir de que versión pueden conectarse a la red)
- No permite conexiones de dispositivos Android en modo root.
- No permitir conexiones de dispositivos Android con la opción de USB Debug habilitado.
- No permitir conexiones de dispositivos Android con la opción habilitada: instalar aplicaciones de fuentes desconocidas.
- No permitir dispositivos con aplicaciones tipo malware/ riskware.
- Dispositivos iOS con jailbroken.
Manos a la obra:
1.- Configurar el dispositivo Firebox la licencia correspondiente al Mobile Security, una vez adquirida con su reseller, regístrela en su respectivo perfil Live Security, índicando el dispositivo al que será aplicado.
Es importante tomar en cuenta que el Firebox le preguntará que interfaces internas adoptarán el escaneo de dispositivos móviles. En este sección debe agregar las interfaces correspondientes para tal fín (muy útil por si existe la situación de que alguién conecte un dispositivo inalámbrico en la red para conectar dispositivos móviles basados en iOS y Android)
Es importante tomar en cuenta que si no agregamos una interfaz interna en esta sección, entonces el servicio no trabajará en la misma.
Para habilitar Mobile Security en dispositivos que requieran establecer conexión VPN, podrá hacerlo siempre y cuando las conexiones sean tipo: SSL y Mobile VPN con protocolo Ipsec, excluyendo conexiones PPTP y L2TP en esta sección.
Las siguientes líneas de logs, se tomarón como muestra de un dispositivo con USB Debug habilitado, entre otras características los resultados fueron: "Conexión no establecida"
Apply profile and compliance now. --- Current ---: Profile: [Interval: Keepalive:30s, compliance check:14400s, SDK update:24h. Monitor: App Installation:true Folder Monitor:true, folders:Root folder of Download, Documents] Compliance check list: [. Allowed: Versions:4.1.2 Not allowed: Device: [rooted:true, USB debug on:true, Unknown source on:true] App : [Malware:true, Adware:true, Riskware:true, Suspicious:false, Unsigned:false] Grace peroid:0s] --- To ---: Profile: [Interval: Keepalive:30s, compliance check:14400s, SDK update:24h. Monitor: App Installation:true Folder Monitor:true, folders:Root folder of Download, Documents] Compliance check list: [Allowed: Versions:4.1.2. Not allowed: Device: [rooted:true, USB debug on:true, Unknown source on:true] App : [Malware:true, Adware:true, Riskware:true, Suspicious:false, Unsigned:false] Grace peroid:0s] D 2016-07-18 16:02:10.794: AppService : Turn on App installation monitor D 2016-07-18 16:02:10.797: AppService : Enable application install monitor D 2016-07-18 16:02:11.089: AppService : Turn on Folder monitor D 2016-07-18 16:02:11.198: AppApplication : Start compliance check: Init complete. [2] D 2016-07-18 16:02:11.246: KavAntivirus : Starting compliance check... D 2016-07-18 16:02:11.364: CheckBaseRunnable : Thread 0, have 0, append 1 D 2016-07-18 16:02:11.397: CheckBaseRunnable : Thread 1, have 0, append 1 D 2016-07-18 16:02:11.442: CheckBaseRunnable : Thread [0] started: tasks:0 D 2016-07-18 16:02:11.445: CheckBaseRunnable : Thread [1] started: tasks:0 D 2016-07-18 16:02:18.646: CheckManager : Dispatch thread started D 2016-07-18 16:02:18.649: ComplianceCheckStateListener : Progress: Total:56 D 2016-07-18 16:02:18.653: CheckManager : Wait finish D 2016-07-18 16:02:20.396: CheckBaseRunnable : Thread 1, have 0, append 1 D 2016-07-18 16:02:20.399: CheckManager : Notify thread 1 D 2016-07-18 16:02:20.603: CheckBaseRun
Algunas pantallas de conectividad desde smartphone con Android:
 |
| App disponible en la tienda correspondiente. |
 |
| Información del dispositivo, usuario validado e información adicional. |
Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526
No hay comentarios:
Publicar un comentario