Início > Fore Front TMG/ISA Server 2006, Proxy Reverso, Proxy/Firewall, Segurança > Planejando a migração de sua infraestrutura TMG com Sophos

Planejando a migração de sua infraestrutura TMG com Sophos

Saudações,

Hoje chegamos ao último post da série sobre o planejamento da migração de sua infraestrutura TMG.

Se ainda não leu, clique nos links abaixo e reveja o que foi anteriormente publicado:

1. Mais uma opção ao Forefront TMG – Kemp LoadMaster

2. Planejando a migração de sua infraestrutura TMG com Web Application Proxy

3. Planejando a migração de sua infraestrutura TMG com Fortinet

O Sophos entrou forte no mercado como uma opção ao TMG em virtude de cobrir todos os serviços e ainda oferecer muitos outros benefícios.

Em recentes feedbacks de colegas que testaram 2 ou três soluções, o Sophos foi o que mais se adeqou as necessidades cobertas pelo TMG.

O primeiro ponto em que o Sophos chama atenção é o de oferecer todas a features do produto em todos as versões de appliance, ou seja, desde o mais simples, até nos mais completos devices você usufrui de todos os serviços oferecidos. Em um único device, você tem tudo que o Next Generation Firewall dispôe.

Veja no quadro abaixo, os serviços que o Sophos cobre em relação ao Forefront TMG:

image

Métodos de deployment

A solução Sophos UTM não se limita a um único método de implementação. Você tem a escolha de seguir aquele que vai de encontro a sua necessidade e disponibilidade de investimentos:

image

Hardware – Os appliances Sophos UTM estão disponíveis para todos os tipos de infraestrutura. O design da solução se baseia nos parâmetros Small Desktop, Medium – 1U e Large 2U. No link abaixo você pode consultar todos os modelos e baixar a documentação de todos:

https://www.sophos.com/en-us/products/unified-threat-management/tech-specs.aspx#start

Virtual – As soluções de UTM da Sophos funcionam também em ambiente virtualizado. Você pode usar sua infra Hyper-V, VMWare e até mesmo Citrix.

Software – Se você tem uma boa infra de servidores disponível, mas, não tem condições de adquirir um appliance, você pode baixar a solução em software. Você terá todos os benefícios sem precisar gastar nada a mais do que a compra da licença do produto.

Para avaliar as versões para ambiente virtualizado e software clique no link abaixo:

https://secure2.sophos.com/en-us/products/unified-threat-management/free-utm-trial.aspx#start

Cloud-Based Appliances – Este ponto divide opiniões as quais coletei nos últimos dias antes de escrever este post. Todos que conversei me deram excelentes feedbacks do produto, porém, disseram terem ficado decepcionados com um único ponto…o UTM Sophos não possui suporte nativo para VPN Site-to-Site com Microsoft Azure. Além do que, o produto não dá suporte ao protocolo IKEV2, tal qual o TMG. Entretanto, os usuários do serviço de Cloud da Amazon (AWS) contam com suporte nativo no produto.

Ao consultar alguns fóruns e o site da Sophos, falei com um dos program managers que me garantiu o suporte ao Azure na próxima versão do produto. Então, vamos aguardar.

Console Administrativa

A UTM Sophos conta com uma console administrativa que lembra muito a parte de firewall rules do Forefront TMG. Dessa forma, a tendência é de um aprendizado mais rápido e uma transição menos complicada:

image

Proteção contra ataques

Conforme listado na primeira figura deste post, o UTM Sophos vem com serviços de IPS, Malware e Network Inspection. Além disso, um serviço interessante no qual você pode bloquear o tráfego inbound e outbound de IP´s de um determinado País:

image

Neste caso é importante levar em consideração que uma vez bloqueado o tráfego para as ranges de IP de um determinado País, você não poderá acessar nenhum conteúdo (seja permitido ou não). Portanto, antes de usar este recurso, analise bem os prós e contras.

Maior granularidade nas permissões de acesso

O serviço de content filter do UTM Sophos pode ser administrado com maior facilidade e maior granularidade. Por exemplo, é possível bloquear postagens do Facebook e liberar acesso ao chat, caso seja do interesse da organização, ou determinado setor da sua empresa.

Outro benefício que pode reduzir seu custo com armazenamento é o fato de você poder liberar um canal do Youtube para vídeos institucionais e proibir o acesso ao restante do conteúdo, ou seja, só vai ter acesso naquilo que realmente interessa pra você.

Quem administra o Forefront TMG sabe que um site ou categoria é bloqueado ou liberado por inteiro. Essa funcionalidade vem confirmar o que falei acima sobre o fato da UTM Sophos cobrir todos os serviços do TMG com benefícios exclusivos.

image

Como é possivel ver na imagem acima, o serviço de Content Filter é bem simples de entender e usar.

Mais funcionalidades no uso de VPN

Para que usa o Forefront TMG, sabe que o produto oferece a possibilidade de criar um acesso VPN Site-to-Site usando IPSec, além da viabilidade de conectar usuários remotos com dois protocolos legados – PPTP  IPSEC.

A UTM Sophos traz uma quantidade maior de opções. Além de oferecer os métodos citados no parágrafo anterior, traz um Layer-2 VPN que possibilita a comunicação de seus clientes com serviços como DHCP, algo inviável para que usa Forefront TMG.

image

Proxy Reverso

Um dos serviços mais usados por administradores do Forefront TMG é o Proxy Reverso, que possibilita o acesso externo a aplicações internas de modo seguro.

O IP da URL externa é apontado para o servidor do TMG e o mesmo, a partir de regras de publishing, aponta a requisição para o webserver onde a aplicação está.

No TMG também é possível o uso de certificados digitais para tráfego SSL e também trabalha com SSL OffLoading, aumentando a segurança no acesso.

A UTM Sophos oferece este serviço com adicionais muito interessantes. Além do que foi exposto em matéria de proxy reverso, o produto oferece scan da requisição evitando entrada de virus através da mesma, inspeção de SQL Injection e Cross-Site Scripting Attacks. Dessa forma você gasta menos tempo no planejamento do seu reverse proxy, principalmente em hardening de servidor e banco de dados.

image 

No link abaixo você poderá entender o passo a passo da publicação de um web server no Sophos:

http://fastvue.co/sophos/blog/how-to-publish-websites-with-sophos-utm-web-server-protection/

DHCP no UTM Sophos!

Este é um dos pontos que provam ser o UTM Sophos uma solução completa, não só em matéria de firewall, proxy, reverse proxy e secure web gateway. Além de tudo que listamos neste artigo, você também pode usar o Sophos como seu servidor DHCP.

É importante citar, principalmente para administradores do Windows Server, que as terminologias no Sophos são diferentes das usadas pelo DHCP Server Microsoft:

image

Abaixo a console Sophos com as opções de configuração DHCP:

image

Para localidades em que você não tenha um servidor DHCP (localidades remotas pequenas), também pode usar o UTM Sophos como um DHCP Relay, redirecionando as requisições para seu DHCP Server.

Para conhecer este serviço em detalhes, leia o post no link abaixo:

http://fastvue.co/sophos/blog/unlocking-sophos-utm-dhcp-capabilities/?utm_content=buffer7155f&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

Relatórios – pelo próprio UTM Sophos ou via FastVue

Um ponto falho no Forefront TMG era a emissão de relatórios. Tanto que, diversas empresas lucraram (e muito) com essa deficiência. Seja em oferecer um produto externo com um add-on para as bases do TMG, ou simplesmente em oferecer outros produtos opcionais ao TMG pelo simples fato de este não emitir relatórios de qualidade.

A UTM Sophos oferece uma variedade de relatórios que trazem todas as informações que sua gestão precisa para ter a visão de como está o acesso internet em sua empresa.

image

Se você precisa de uma qualidade de relatórios ainda maior, a FastVue Inc, oferece uma gama de produtos que podem ajuda-lo de forma eficaz.

A empresa oferceu durante muito tempo o TMG Reporter que supriu muito das necessidades em relatórios para Forefront TMG. O produto ainda pode ser adquirido para quem usa TMG.

Também oferecem uma ferramenta de relatórios bem completa para quem usa WebSpy, Barracuda e Content Keeper.

Por último, porém, não menos importante, você também pode usar o Sophos Reporter e o Sophos Reporter for Web Appliance. Para ter maiores detalhes, clique na figura abaixo:

image 

Encerramos aqui nossa série de artigos que visam ajudar os TMG Admins na melhor ferramenta para seu ambiente.

Espero que todos os posts possam ter ajudado na sua decisão.

Qualquer dúvida, favor deixar seu comentários que entro em contato.

Abraços

Uilson

  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: