Como obter uma conexão segura com o Sophos RED

Leonardo Gorczeski

O Sophos Remote Ethernet Device (RED) é um pequeno dispositivo de rede, criado para facilidade na implantação, a conhecida Plug-and-Play, não exigindo uma equipe de TI no local.

O RED fornece um túnel seguro do local de implantação para um Sophos Firewall. Por exemplo: Uma empresa possui a matriz e mais seis filiais, não é necessário contratar 7 firewalls para criar uma VPN (Virtual Private Network), entre eles, basta a contratação de um único firewall e nas outras seis filiais adicionar o RED, para criar túneis seguros entre elas.

O RED estabelece uma VPN de volta ao firewall para que tudo conectado ao RED seja visto como parte da rede. Todo o tráfego de entrada e saída da filial é roteado pelo RED. É possível aplicar as mesmas políticas no tráfego local e remoto ou criar políticas personalizadas por local. A maior vantagem de contratar os dispositivos RED ao invés de firewalls em cada unidade, é o custo-benefício.

Além disso, o RED dispensa interface de usuário, basta inserir o ID do dispositivo em seu firewall Sophos. Todas as configurações e gerenciamento são realizados diretamente pelo Sophos Firewall. O RED pode ser enviado para um local remoto, conectado a qualquer conexão DHCP à Internet e totalmente configurado por um administrador remoto sem necessidade de orientar a equipe local pelas etapas de configuração técnica.

Configuração

Ao adicionar o RED em um Sophos Firewall, as opções de configuração são carregadas nos servidores de provisionamento Sophos. Configure o RED para encapsular todo o tráfego do local remoto de volta para o firewall, controlando DHCP e outros elementos da rede remota. É possível também rotear apenas o tráfego de rede entre filiais por meio de seu RED, enquanto habilita o tráfego direto de acesso à Internet a partir do local remoto, criptografado com segurança, gerenciado centralmente. Todos os dados entre o RED e seu firewall Sophos são criptografados usando níveis AES-256, garantindo uma conexão segura à prova de adulteração e hackers. A gestão central do firewall é completamente transparente em toda a sua rede e pode ser personalizado ou replicado para atender às suas necessidades.

Conectividade Wi-Fi e WAN flexível

Opcionalmente, é possível adicionar um módulo Wi-Fi-5 ou 3G/4G para fornecer conectividade para clientes sem fio ou para usar conexões de internet 3G/4G.

Código de desbloqueio (ID)

O código de desbloqueio não é armazenado no dispositivo RED, mas é usado para evitar que um RED em uso seja redirecionado de forma acidental ou maliciosa. O código de desbloqueio correto deve ser fornecido para que os servidores de provisionamento aceitem a nova configuração para um RED. Inicialmente, o código fica em branco, até que um RED seja conectado a um Sophos Firewall. Ao conectar o RED na primeira utilização, o código de desbloqueio deve ser deixado em branco. Toda vez que um RED se conecta a um novo firewall, o código de desbloqueio antigo deve ser inserido para mover o RED. Depois que as configurações são enviadas para o servidor de provisionamento, ele emite um novo código de desbloqueio e é exibido no Admin Console do Sophos Firewall.
Os dispositivos RED são configurados centralmente devido a esse mecanismo. Quando um dispositivo RED não tem configuração ou ela não tem êxito, ele procura nos servidores de provisionamento instruções atualizadas. Uma pesquisa de DNS de red.astaro.com retorna o servidor de provisionamento mais próximo, ao qual ele se conectará com segurança e verificará se há novas instruções dos servidores de provisionamento. Enquanto um RED tiver uma configuração de trabalho, ele não se conectará aos servidores de provisionamento novamente.

Modos de operação RED

O dispositivo RED pode operar em vários modos. Vemos a seguir, como cada um desses modos opera e a decidir quais modos são mais adequados para quais circunstâncias.

Esses cenários fazem referência a dois dispositivos Sophos diferentes. Um é o dispositivo RED, que fica no local remoto. O outro é o Sophos Firewall com o qual o RED estabelece um túnel. Ambos possuem conexão com a internet.

[+] Veja mais artigos sobre a Sophos e suas soluções

Layout Geral RED

Modo padrão/unificado

Padrão/Unificado é o modo mais utilizado. Neste modo, a rede remota é totalmente gerenciada pelo Sophos Firewall, via RED. O DHCP pode ser oferecido para a LAN remota pelo Sophos Firewall, e o RED pode ser o único dispositivo que conecta a LAN à Internet. Enquanto outro roteador pode ficar na frente do RED, não há um caminho paralelo ao redor do RED para a internet. A figura ilustra o fluxo de dados neste modo operacional. Todo o tráfego da LAN remota passa pelo túnel RED, seja indo para a LAN local ou para a Internet. Isso permite que o Sophos Firewall aceite ou negue solicitações da mesma maneira que faz para o tráfego proveniente da LAN local. O tráfego entre LANs locais e remotas pode ser bloqueado ou permitido usando regras de firewall. O tráfego da Web pode ser filtrado usando o módulo de segurança da Web. Isso fornece o mais alto nível de segurança e capacidade de gerenciamento para redes remotas.

Modo padrão/dividido

O modo Padrão / Dividido é fisicamente semelhante ao Padrão / Unificado. A rede remota é gerenciada pelo Sophos Firewall e fornece DHCP à LAN remota. O RED é o único dispositivo entre a LAN e a Internet, apenas o tráfego para redes selecionadas é enviado via túnel. Todo o resto do tráfego é enviado diretamente pela conexão de internet local. O RED mascara o tráfego de saída para vir de seu endereço IP público, minimizando o uso de largura de banda no túnel e reduzindo os requisitos de largura de banda no Sophos Firewall, e reduz a capacidade de gerenciamento da rede remota. O tráfego de/ou para a Internet não pode ser filtrado ou protegido contra ameaças. A segurança só pode ser aplicada entre as LANs remotas e locais.

Modo transparente/dividido

No modo transparente/dividido, o Sophos XG Firewall não gerencia a rede remota. Ele está conectado à LAN remota e ao gateway da LAN remota e recebe um endereço na LAN remota via DHCP. Semelhante à opção Padrão/Dividido, apenas o tráfego destinado a determinadas redes é transmitido pelo túnel. Nesse caso, o RED não atua como gateway, mas está alinhado com o gateway e pode redirecionar pacotes de forma transparente pelo túnel. Esta opção não requer reconfiguração da rede remota e não permite qualquer gerenciamento da LAN remota. Ele fornece segurança entre a LAN remota e quaisquer sub-redes locais acessíveis através do túnel. Se o túnel RED falhar, a Internet fica inacessível para qualquer dispositivo atrás do RED. Isso ocorre porque o dispositivo RED continua a reinicializar para ativar o túnel e todo o tráfego que passa pelo RED é descartado até que o túnel seja restabelecido.

Conclusão

Neste artigo conhecemos a incrível ferramenta que é o Sophos RED, uma VPN “portátil” de fácil implantação, configuração e possui vários modos de utilização, facilitando o uso, a mobilidade e estabelecendo túneis seguros entre as unidades de uma empresa.