Configurando certificado digital válido no firewall SonicWall

No artigo de hoje iremos explicar como importar um certificado válido e como utilizá-lo para acabar de uma vez com o chato erro de certificado digital não válido exibido no navegador em uma autenticação web no SonicWall.

Esse erro de certificado digital ocorre porque o certificado digital interno no firewall SonicWall não é validado por uma unidade certificadora válida.

Para efetuarmos a configuração necessitamos de um certificado válido, nesse artigo iremos usar um certificado emitido pela unidade certificadora SSL For Free. O certificado emitido é gratuito e válido por 3 meses, muito bom para você fazer testes, inclusive para servidores web da sua rede.

Então vamos lá por a mão na massa, acesse o endereço https://www.sslforfree.com/ , clique em Login e crie uma conta utilizando um endereço de e-mail com o mesmo domínio que você irá utilizar para o certificado digital, isso irá facilitar no gerenciamento dos certificados emitidos.

Tela portal SSL For Free.

Após a autenticação você será direcionado para a página onde será possível visualizar todos os certificados já emitidos, é aqui podemos verificar a validade do certificado e solicitar a renovação. No nosso caso iremos solicitar um novo certificado, para isso temos que voltar para a página home, clique no ícone direito superior do SSL For Free para voltar para o Home Page.

Tela gestão de certificados.

Voltando para o Home Page, no campo central “Secure | https://enter your website to secure” você irá colocar o nome do certificado que será utilizado no SonicWall. No nosso exemplo eu irei utilizar o nome sonicwall.yessecurity.net.br.

O importante aqui é usar um domínio do qual você tem autoridade, pois nos próximos passos o uso do DNS para esse domínio será exigido.

Após inserir o nome clique no botão “Create Free SSL Certificate”.

Tela definindo nome do certificado válido.

Na próxima etapa temos que provar para a unidade certificadora SSL For Free que temos autoridade no domínio que estamos solicitando o certificado. Existem três opções: “Automatic FTP Verification”, “Manual Verification” e “Manual Verification (DNS)”. Nós iremos utilizar a opção “Manual Verification (DNS)”.

Primeiro clique em “Manual Verification (DNS)” e seguida clique em “Manually Verify Domain”.

Tela verificação manual via DNS.

Quando você clicar em “Manually Verify Domain” será solicitado a criação de um registro do tipo TXT no DNS autorizado para o domínio em questão que o certificado será gerado com nome e valor indicado pelo SSL For Free.

Tela dados para cadastro entrada TXT no servidor DNS.

Acesse o seu DNS autorizado para criação do registro TXT, no meu exemplo eu irei criar o registro no DNS que utilizo no Registro.BR.

Tela DNS Registro.br.

Criado o registro TXT no seu servidor DNS aguarde alguns minutos para replicação do DNS, pode acontecer de demorar até 15 minutos.

Volte para a página do SSL For Free e clique na opção “Verify _acme challenge.NomeSeuCertificado”.

Tela validando registro DNS.

Quando você clicar no link de “Verify” será aberto uma nova página com as informações validadas, não se assuste com o Warning em vermelho, ele só está reclamando do TTL e isso não irá impactar em nada.

O importante é ter o resultado “TXT Record(s) Found”, que são as informações cadastrada no registro TXT criado.

Tela registro TXT validado.

Validado o registro TXT, volte para a página do SSL For Free e clique no botão “Download SSL Certificate”.

Tela geração de certificado digital.

A ferramenta SSL For Free irá gerar o conjunto de certificado, na próxima página que será exibida clique no botão “Download All SSL Certificate Files” e salve o arquivo no seu computador.

Tela download certificado digital.

Antes de importamos o certificado no SonicWall temos que gerar um certificado do tipo PFX, esse certificado terá toda a estrutura necessária para importar para o equipamento.

Iremos utilizar o serviço web SSL Shopper para converter o certificado, acesse a página https://www.sslshopper.com/ssl-converter.html.

No home para página SSL Shopper na opção “Type of Current Certificate” mantenha a opção “Standard PEM” e na opção “Type of Current Certificate” selecione a opção PFX/PKCS#12.

Tela SSL Shopper converter.

Vamos carregar a estrutura de certificado para geração do certificado do tipo PFX/PKCS#12.

  • Em “Certificate File to Convert” selecione o arquivo certificate.crt que você gerou no SSL For Free;
  • Na opção “Private Key File” selecione o arquivo private.key;
  • Na opção “Chain Certificate File (optional) selecione o arquivo ca_bundle.crt;
  • No campo “PFX Password” defina a senha que será utilizada na importação, não deixe essa senha em branco, quando você for importar o arquivo no SonicWall o SonicOS irá exigir que o certificado tenha senha.

Observação! Quando você selecionar certificate.crt em “Certificate File to Convert” a página irá perder a configuração, cliente novamente nas opções conforme print anterior.

Selecionado todos os arquivos clique no botão “Convert Certificate”, o dowload do arquivo certificate.pfx será realizado para o seu computador.

Tela carregando cadeia de certificado.

OK, agora que temos o certificado em mãos vamos acabar com aquela tela chata de erro de certificado!

Tela exemplo erro de certificado.

Primeiro iremos importar o certificado para o firewall, nesse artigo eu estou utilizando a firmware versão 6.5.4.4-44n, dependendo da versão que estiver utilizando há necessidade de reinicialização do SonicOS após a importação do certificado.

Clique em Manage/Appliance/Certificates, mude o “View Style” para “Imported certificates and request” e clique em “IMPORT”.

Tela importando certificado digital.

Em “Import Certificate”, mantenha a primeira opção “Import a local end-user certificate with key from a PKCS#12(.p12 or .pfx) encoded file” selecionado, defina um nome para o certificado em “Certificate Name”, insira a senha (cadastrado lá no SSLShopper) e selecione o arquivo certificate.pfx em “Please select a file to import:” e clique em “Import”.

Tela selecionado certificado a importar.

Você verá na tela de “Certificates and Certificate Requests” duas novas entradas, repare que o certificado importado sonicwall.yessecurity.net.br na coluna “Validated” está como “Yes”, o certificado foi importado com sucesso.

Tela certificado importado e validado.

Ainda em “Appliance”, vá na opção “Base Settings” no campo “Firewall’s Domain Name:” coloque o mesmo nome que foi utilizado para a geração do certificado, no nosso exemplo utilizamos sonicwall.yessecurity.net.br, em seguida clique em “ACCEPT”.

Tela alterando nome do firewall.

Ainda em Appliance/Base Settings vá nas opções “Web Management Settings”, na opção “Certificate Selection:” selecione o certificado que foi importado e clique em “ACCEPT”, quando você fizer isso há necessidade de autenticar no firewall novamente.

Tela alterado certificado utilizado no firewall.

Agora vamos clicar em MANAGE/User/Settings/Web Login, nas opções de “User Web Login Settings” selecione a opção “The name from the administration certificate” e clique em “ACCEPT”.

Tela alterando exibição de nome Web Portal.

A última etapa é criar o registro de DNS do tipo A no servidor DNS que irá resolver nome para a rede que será entregue a autenticação Web Login SonicWall. Nesse exemplo eu irei mostrar a configuração para a X0 (LAN), caso você for usar múltiplas redes como LAN e Visitante (WIFI Guest) você precisará de multiplos servidores DNS.

Nesse exemplo eu irei utilizar o DNS Proxy do próprio SonicWall, eu irei criar uma entrada estática para o endereço sonicwall.yessecurity.net.br para o IP da interface X0 192.168.168.168.

Tela criando registro estático DNS Proxy.
Tela registro DNS estático criado.

Se você disparar um teste de ping para o endereço utilizado no certificado verá a resolução de nome para o IP cadastrado.

Tela teste de ping nome do certificado.

Ao teste agora, faça um log off da sessão atual e acesse o firewall com o nome do certificado, no meu caso é https://sonicwall.yessecurity.net.br, se tudo foi feito corretamente não será exibido o erro de certificado.

Tela Web Login sem erro de certificado.

Quando clicamos no ícone cadeado é exibido que o certificado é válido, se clicar em “Certificado (válido)” no meu caso estou usando o Google Chrome, será exibido as propriedades do certificado que geramos e utilizamos nessa configuração.

Tela verificando dados certificado.
Tela propriedades certificado válido.

E é isso, acabamos de configurar um certificado válido para Web Login no firewall SonicWall, esperamos ter ajudado com esse artigo.

Ah, não esqueça de nos seguir em nossas medias sociais:

Muito Obrigado!

Equipe Yes Security

yessecurity.com.br

Safetica DLP – Prevenção contra vazamento de dados

Olá pessoal, hoje iremos abordar a tecnologia DLP (Data loss prevention / Prevenção contra vazamento de dados) do fabricante Safetica.

Safetica DLP é uma solução completa que protege os dados da empresa contra vazamento acidentais e intencionais, além de disponibilizar uma “fotografia” detalhada do uso dos recursos de TI como: sites acessados, volume de impressão, softwares instalados, identificação de atividades suspeitas e muito mais.

A tecnologia oferecida compreende 3 pilares: Monitoramento, Auditoria e DLP.

Pilar Monitoramento

No pilar Monitoramento, o Safetica oferece uma completa visibilidade de como os recursos estão sendo utilizados na rede, de forma simples e rápida é possível identificar:

  • O que as pessoas estão acessando na Internet;
  • Quanto e o que cada;
  • usuário está imprimindo;
  • Softwares instalados e mais utilizados;
  • Dados recebidos e enviados para fora da corporação.

Pilar Auditoria

Com o pilar Auditoria temos a capacidade de controlar o acesso à Internet e o uso de aplicativos, com base em categorias podemos criar múltiplas políticas de acesso.

Tem também a gestão de impressão, onde há possibilidade de determinar cota, impressora permitida e quem está autorizado a imprimir.

Pilar DLP

Já no pilar DLP temos um robusto controle dos dados. Com o Safetica DLP é possível criar regras para informações confidenciais e sensíveis de toda corporação como:

  • Envio de e-mail com análise de conteúdo e anexo, permitindo somente para o domínio da sua empresa ou domínio previamente cadastrado como confiável;
  • Bloqueio de envio de arquivos via software de mensageria como Microsoft Teams, Skype e WhatsApp;
  • Restrição de upload e download de arquivos de fontes como Web, FTP, Cloud, compartilhamento de rede;
  • Bloqueio de impressão de documentos (Impressoras físicas e lógicas);
  • Impedimento de Print Screen e cópia de conteúdo do arquivo (Ctrl+C, Crtl+V);
  • Controle de portas USB, Bluetooth, IR, porta COM, leitores e gravadores de CD/DVD/BlueRay;
  • Uso de criptografia de discos e pendrive.
Recursos controlados pelo Safetica DLP

Todas as políticas aplicadas sempre serão executadas no computador cliente, independente se o colaborador está trabalhando na empresa ou de casa.

Como o Safetica funciona

A gestão da ferramenta é realizada através de um console web central, onde é possível criar regras e visualizar as informações de modo analítico e gráfico.

Console web Safetica DLP

A Solução Safetica DLP vem ao encontro da Lei Geral de Proteção de Dados (LGPD), e é uma ferramenta completa e acessível para pequenas, médias e grandes empresas.

Simples e funcional, como uma ferramenta deve ser!

Caso tenha interesse de conhecer melhor o produto a equipe técnica e comercial da Yes Security está à disposição para atendê-los.

Configurando segundo fator de autenticação Google no SonicWall SSLVPN

No artigo de hoje iremos explicar como configurar o segundo fator de autenticação com o Google Authenticator no SSL-VPN  firewall UTM SonicWall.

Google Authenticator é um software gerador de token para verificação de autenticação em duas etapas: O que você sabe (usuário e senha) e o que você possuí (token).

Antes da firmware 6.5.3.1 era possível habilitar a dupla autenticação usando o código via e-mail, a partir dessa versão o firewall SonicWall também suporta Google Authenticator.

O legal dessa solução é que você irá melhorar a segurança na autenticação de usuários sem ter que fazer investimento extra na compra de software ou licenciamento no seu firewall.

Vale lembrar que no SonicWall modelo SOHO, SOHO 250 e TZ300 o equipamento contém uma licença SSL-VPN e a partir do TZ400 a SonicWall disponibiliza 2 licenças.

Caso necessite de licenciamento adicional existe a possibilidade de compra a partir de 1 unidade, nossa equipe comercial está de prontidão para atende-ló: [email protected]

OK, então vamos lá para a configuração:

Primeiro você terá que habilitar o TOTP (Token One-Time Password) no grupo SSLVPN Services, uma vez ativado esse recurso todos os usuários que utilizarem a conexão SSL-VPN obrigatoriamente terão que informar o token após a validação de usuário e senha.

Para isso clique em Manage/Users/Local Users & Groups/Guia Local Groups/Editar SSLVPN Services.

editando grupo SSLVPN Services
Tela editando grupo SSLVPN Services

Nas propriedades do grupo SSLVPN Services em Settings, na opção One-time password method: selecione a opção TOTP.

ativando fator dupla autenticacao (TOTP)
Tela ativando fator dupla autenticação (TOTP)

Instale o Google Authenticator no seu celular, nesse exemplo iremos utilizar o Android.

instalacao Google Authenticator sistema Android
Tela instalação Google Authenticator sistema Android

Agora iremos acessar o portal do SonicWall SSL-VPN para associar o Google Authenticator ao usuário utilizado no acesso a VPN.

portal SonicWall Virtual Office
Tela portal SonicWall Virtual Office

Assim que você fizer o logon no portal Virtual Office será exibida a tela para inserir o token gerado no App do Google Authenticator.

Tela inicial Google Authenticator
Tela inicial Google Authenticator

Acesse o seu celular, abra o Google Authenticator, clique em Iniciar e em seguida clique em Ler um código de barras.

Associar conta no Google Authenticator
Tela Associar conta no Google Authenticator

Faça a leitura do QR Code com o seu celular, após a leitura a tela de geração de token será exibida.

geracao de token no Google Authenticator
Tela geração de token no Google Authenticator

Insira o código na tela exibida após a autenticação de usuário e senha no Virtual Office, clique em OK e em seguida em Clique here to continue…

conta associada no Google Authenticator
Tela conta associada no Google Authenticator

Após associar o usuário ao aplicativo Google Authenticator na próxima autenticação no SSL-VPN NetExtender será solicitado o token após a validação do usuário e senha, veja nas telas abaixo:

autenticacao SonicWall Netextender
Tela autenticação SonicWall NetExtender
solicitacao token Google Authenticator
Tela solicitação token Google Authenticator
autenticacao concluida
Tela autenticação concluída
user status logon SSL-VPN
Tela User Status logon SSL-VPN

E é isso, você acabou de configurar o duplo fator de autenticação no seu equipamento SonicWall.

Esperamos ter ajudado com esse passo a passo!

Até a próxima

Equipe Yes Security

yessecurity.com.br

Backup automático das configurações firewall SonicWall na nuvem

Reduza custos eliminando os caros links MPLS

O SonicWall Secure SD-WAN permite que você tenha uma comunicação segura e com performance utilizando links de Internet de baixo custo ao invés dos links de tecnologia MPLS, auxiliando a sua TI a reduzir expressivamente os gastos da sua empresa.

Além do tradicional Failover & Load Balacing, a tecnologia Secure SD-WAN da SonicWall permite você criar regras de roteamento por aplicação, considerando latência, jitter e perda de pacotes como tomada de decisão de qual link ou túnel VPN utilizar.

Você pode criar, por exemplo, uma regra para o seu aplicativo de telefonia VoIP utilizar automaticamente e em tempo real, o melhor link disponível através de análise de jitter e criar regras para aplicações críticas considerando latência.

Toda comunicação, seja ela criptografada ou não, será inspecionada pelos avançados filtros de segurança do firewall SonicWall, garantindo a proteção do seu ambiente de rede contra ameaças avançadas como ransomware.

Se você tem hoje um equipamento SonicWall família TZ ou NSa com firmware 6.5.3 ou superior, é possível utilizar a tecnologia Secure SD-WAN sem nenhum custo adicional de licenciamento. Agora vamos ver um pouco do SonicWall Secure SD-WAN na prática.

A tela abaixo ilustra os gráficos com os resultados da análise de latência, jitter e perda de pacotes:

SD-WAN-Teste-qualidade-link
Tela Performance Probes

Nessa tela você pode ver os parâmetros definidos para análise da qualidade do link:

SD-WAN-Analise-performace-link
Tela Performance Class Objects

E, nessa tela você pode ver se o link está ou não qualificado para o tráfego da aplicação:

SD-WAN-Selecao-caminho
Tela Path Selection Profiles

E por fim, a regra de roteamento para aplicação VoIP SIP:

SD-WAN-Politica-Roteamento
Tela SD-WAN Route Policies

A Yes Security tem uma equipe técnica especializada e certificada que poderá auxiliá-lo na configuração e uso da tecnologia SD-WAN ou, no desenvolvimento de novos projetos, fale com a Yes Security: [email protected].

Até a próxima,

Equipe Yes Security

yessecurity.com.br

O que é LGPD?

Lei Geral de Proteção aos Dados, ou ainda LGPDP – Lei Geral de Proteção aos Dados Pessoais – nada mais é do que a política de segurança da informação estabelecida e regulamentada pela legislação brasileira. Seu principal objetivo é definir as formas como as informações das pessoas serão coletadas e tratadas, prevendo punições quando não forem devidamente respeitadas.

A segurança da informação é indispensável no contexto virtual. Recentemente, devido a muitos casos que vieram à tona sobre a quebra de privacidade, como, por exemplo, o Facebook nas eleições americanas, evidenciou-se a necessidade de discutir o tema e torná-lo uma Lei.

Até mesmo porque, até então, o Brasil carecia de uma legislação sobre o assunto. Apesar de algumas pautas transitarem paralelamente, é com a LGPD que o tema realmente ganha forma.

Quer entender mais sobre a Lei Geral de Proteção aos Dados, o que a nova legislação está dizendo e quais são os impactos para as empresas frente às novas regras? Precisa entender mais sobre a política de segurança da informação? Continue sua leitura e descubra mais!

A nova legislação brasileira LGPD

A Lei nº 13.709/18 é bastante nova e por isso nem todos sabem ainda sobre o que ela trata e qual a sua importância. Já no capítulo inicial, nas disposições preliminares, esclarece-se que a Lei tem como objetivo proteger direitos considerados como fundamentais, tanto no quesito liberdade quanto privacidade. Tudo isso no ambiente virtual e também no físico.

No artigo 2º, inclusive, é ressaltado mais uma vez para quais fins a LGPD foi criada, sendo alguns dos incisos:  respeito à privacidade, à liberdade de expressão, informação, comunicação e opinião, inviolabilidade à intimidade, entre outros.

No corpo da Lei, no artigo 5º, também se especificam os fins da legislação levando em conta as definições do que é dado pessoal, dado pessoal sensível – ou seja, informações específicas e particulares – dado anonimizado, banco de dados, titular, controlador, entre outros.

Ainda no primeiro capítulo é mencionada a importância da boa-fé no tratamento dos dados, sempre considerando princípios como: finalidade, necessidade, prevenção, transparência e etc.

A proteção de dados deve estar atenta também ao que está proposto no Capítulo II, art. 7º, onde é reafirmada a importância do consentimento pelo titular dos dados antes que qualquer tipo de tratamento ou utilização seja feita. Antes disso, é essencial que os dados estejam devidamente resguardados através de um bom controle de acesso.

Em outras palavras, a segurança da informação deve desempenhar seu papel de modo que os dados fiquem realmente guardados em segurança, sem qualquer tipo de aplicação, a não ser em caso expresso de autorização por parte do titular.

Empresas e áreas impactadas pelas novas regras

Todas as empresas precisam entender a LGPD para que as regras funcionem e para que seja possível levar mais segurança. Seja privada ou até mesmo pública, já que antes até mesmo os órgãos governamentais se beneficiavam da antiga falta de legislação sobre o tema, para utilizar dados pessoais dos usuários será necessário pedir permissão e ter responsabilidade.

Essa responsabilidade diz respeito ao fato de solicitar informações de forma clara. Além disso, também deverá ser especificado o que será feito com tais informações obtidas e sua possível forma de compartilhamento. Não será aceitável mais o repasse de informações para terceiros, a não ser em casos expressos em que o titular seja consultado e autorize esse repasse consciente.

O objetivo é diminuir os casos de vazamentos de dados que podem trazer prejuízos irreparáveis para a vida dos cidadãos. Para se adequar, as empresas deverão investir em um bom controle de acesso, além de um sistema de informação de ponta, é claro.

Prazo para adequação e multas

A Lei mencionada ao longo deste conteúdo foi sancionada em 14 de agosto de 2018, por isso ela ainda está no estágio “vacatio legis”, ou seja, dentro de um período destinado à adequação das pessoas e das empresas a nova legislação que se fará vigente.

O prazo para esta adequação é de 18 meses, sendo assim a Lei ganhará força a partir de agosto de 2020, quando controladores deste tipo de dados, bem como operadores, poderão ser responsabilizados pelo uso indevido das informações pessoais de outrem.

Neste contexto, inclusive, será cabível a punição com multa para aqueles que infringirem a Lei.

Em um primeiro momento, as multas serão aplicadas pela recém-criada Autoridade Nacional de Proteção de Dados, uma espécie de medida provisória, criada às vésperas da troca de presidência no Brasil, no dia 27 de dezembro de 2018.

O papel da segurança da informação para a nova legislação

A segurança da informação sempre foi um fator de importância dentro do ambiente virtual, entretanto agora, mais do que nunca, é perceptível o quanto é válido investir em bons sistemas capazes de suprimir necessidades que são básicas.

Aproveite para tirar suas dúvidas sobre a LGPD e verifique sua política de segurança da informação a fim de resguardar melhor os dados e não ter prejuízos, como o pagamento de multas. Fale com a Yes Security agora mesmo, https://yessecurity.com.br .