Come impostare RED 50

  • ID dell'articolo: 118916
  • Aggiornato: 14 mag 2013

Questo articolo descrive come impostare RED 50

Applicabile ai seguenti prodotti e versioni di Sophos

Sophos RED 50

Sistemi operativi

Sophos UTM 9.100 o superiore

 

In questo articolo

Informazioni su RED 50

Scenari di distribuzione

Come impostare RED 50


Informazioni su RED 50

  • Modalità semplice ed economica per collegare uffici
  • Una piccola unità viene inviata al personale non tecnico della filiale
  • Basta collegarsi e le impostazione di protezione verranno configurate automaticamente
  • Crea un collegamento sicuro fra filiali e sede centrale
  • Inoltra e filtra il traffico della filiale
  • Gestito centralmente da Sophos UTM

Nuove funzioni:

  • Cifratura: accelerazione hardware
  • Larghezza di banda: bilanciata
  • Backup: failover

Specifiche tecniche:

  • Velocità effettiva VPN: 360 Mbit
  • Porte WAN: 2x Gbit
  • Porte LAN: 4x Gbit
  • Porte USB: 2

Scenari di distribuzione

Nome host UTM = Failover

Uplink RED = Failover

 

RED stabilisce una connessione fra RED_WAN1 e UTM_WAN1.

 

 

Se UTM_WAN1 è disattivato: RED_WAN1 si connetterà a UTM_WAN2

 

 

Se UTM_WAN1 e RED_WAN1 sono disattivati: RED_WAN2 si connetterà a UTM_WAN2

 

 

 

 

Nome host UTM = Bilanciamento

Uplink RED = Failover


RED stabilisce una connessione fra RED_WAN1 e UTM_WAN1/ UTM_WAN2

 

RED_WAN1 e disattivato: RED_WAN2 si connetterà a UTM_WAN1 / UTM_WAN2

 

 

 

 

Nome host UTM = Failover

Uplink RED = Bilanciamento

 

RED stabilisce una connessione fra RED_WAN1 / RED_WAN2 e UTM_WAN1

 

Se UTM_WAN1 è disattivato: RED_WAN1 / RED_WAN2 si connetterà a UTM_WAN2

 

 

 

Nome host UTM = Bilanciamento

Uplink RED = Bilanciamento

RED stabilisce una connessione fra RED_WAN1 / RED_WAN2 e UTM_WAN1 / UTM_WAN2


 

Nota:

nel caso in cui un'interfaccia si disconnetta, verrà monitorata fino a quando non sarà nuovamente operativa. La connessione con l'interfaccia originale verrà ripristinata, nel caso in cui torni ad essere disponibile.

Porte utilizzate da RED 50

Porta TCP 3400 (verifica connessione, tramite SSL, autenticata con verifica cert X509 reciproca)

Porta UDP 3410 (traffico incapsulato, AES256 (inc.), SHA1-HMAC (aut.)) 

Upgrade del firmware

RED può eseguire l'aggiornamento del firmware sia tramite connessioni WAN che tramite connessioni 3G/4G.

Il firmware verrà scaricato direttamente da UTM e non tramite server di provisioning (valido solo per UTM v. 9.1 o superiore). 

Come impostare RED 50

Importante: è fondamentale conservare il codice di sblocco inviato istantaneamente via e-mail all'indirizzo fornito nella scheda Impostazioni globali (durante l'attivazione di RED), non appena l'appliance RED si registra con RPS. Il codice di sblocco è necessario quando si desidera utilizzare l'appliance RED con un altro dispositivo UTM. Se non si dispone del codice di sblocco, sarà necessario contattare il supporto di Sophos per poter sbloccare l'appliance RED.

1. Andare a Gestione di RED | [Server] Gestione client e cliccare su "Aggiungi dispositivo RED". 
2. Quando si apre la finestra di dialogo "Aggiungi dispositivo RED", completarla nel modo seguente: 
Interfaccia Opzioni di configurazione

Nome filiale: inserire il nome della filiale in cui si trova l'appliance RED, per es. "Ufficio Monaco".

Tipo client: selezionare RED 10 o RED 50 dall'elenco a discesa, a seconda del tipo di appliance RED che si desidera connettere.

ID RED: inserire l'ID dell'appliance RED che si sta configurando. Questa ID può essere trovata nel retro dell'appliance RED o nell'imballaggio.

ID Tunnel: per impostazione predefinita è selezionata l'opzione Automatico. I tunnel verranno numerati consecutivamente. Nel caso di ID in conflitto, scegliere un'altra ID dall'elenco a discesa.

Codice di sblocco (opzionale): durante la prima distribuzione dell'appliance RED, viene generato un codice di sblocco che rappresenta una funzione di protezione, in quanto impedisce la disinstallazione dell'appliance RED e la sua reinstallazione altrove. Se l'appliance RED che si sta configurando è già stata distribuita, sarà necessario fornirne il codice di sblocco (se non si dispone del codice di sblocco, sarà necessario contattare il supporto di Sophos per poter sbloccare l'appliance RED).

Nome host apparato UTM: è necessario inserire un indirizzo IP pubblico o un nome host in cui UTM è accessibile.

Nome host del secondo UTM: nello stesso apparato UTM è possibile inserire un altro indirizzo IP pubblico o nome host. Non è possibile inserire l'indirizzo IP o il nome host di un apparato UTM diverso.

Utilizza il secondo nome host per: è possibile stabilire in quale situazioni utilizzare il secondo nome host:

Failover: selezionare questa opzione se si desidera utilizzare il secondo nome host nel caso in cui il primo nome host non funzioni.

Bilanciamento: selezionare questa opzione per attivare il bilanciamento dei carichi attivo fra entrambi i nomi host. Utilizzare questa funzione quando le interfacce esterne a cui si riferiscono il primo e il secondo nome host, hanno le medesime latenza e velocità effettiva.

Modalità uplink/Seconda modalità uplink: è possibile stabilire in che modo l'applinace RED riceva un indirizzo IP, vale a dire o tramite DHCP oppure tramite assegnazione automatica di un indirizzo IP statico. È possibile scegliere separatamente una modalità uplink per tutte le porte uplink Ethernet di RED.

Client DHCP: RED ricava l'indirizzo IP dal server DHCP.

Indirizzo statico: inserire un indirizzo IPv4, la netmask corrispondente,un gateway predefinito e un server DNS. 

Nota: non esiste nessuna associazione uno a uno fra il nome host di UTM e la porta dell'uplink Ethernet RED. Ciascuna porta di RED cercherà di connettersi a ciascun nome host di UTM definito. 

Utilizza il secondo uplink per: è possibile configurare in quale situazioni utilizzare il secondo uplink: 

Failover: scegliere di utilizzare il secondo uplink solo nel caso in cui il primo uplink non funzioni.

Bilanciamento: scegliere di attivare il bilanciamento dei carichi attivo fra entrambi i nomi host. Utilizzare questa funzione quando le interfacce esterne, a cui si riferiscono il primo e il secondo nome host, hanno le medesime latenza e velocità effettiva.

Modalità di funzionamento: è possibile stabilire in che modo integrare una rete remota nella rete locale.

Standard / Unificato: UTM controlla completamente il traffico di rete della rete remota. Funziona, inoltre, come server DHCP e gateway predefinito. Tutto il traffico della rete remota verrà distribuito tramite UTM.
Standard / Suddiviso: UTM controlla completamente il traffico di rete della rete remota. Funziona, inoltre, come server DHCP e gateway predefinito. Contrariamente al modo Unificato, UTM distribuirà solo una parte del traffico. Definire le reti locali, nella casella Reti suddivise, a cui possano accedere i client remoti.
Trasparente/suddiviso: UTM non controlla il traffico di rete della rete remota, non funziona né come server DHCP né gateway predefinito. Al contrario, produce un indirizzo IP dal server DHCP della rete remota che diventa parte di tale rete. È tuttavia possibile abilitare l'accesso alla rete locale da parte di client remoti. In questo caso è necessario definire Reti suddivise a cui possa accedere la rete remota. È inoltre possibile definire Domini suddivisi a cui sarà possibile accedere. Se i domini locali non sono risolvibili pubblicamente, sarà necessario definire un Server DNS suddiviso, a cui i client remoti possano inviare query.

È possibile visionari esempi di tutte le modalità operative nella scheda Guida all'implementazione.

In alternativa, sono disponibili le seguenti impostazioni avanzate:

Tipo di filtro MAC: (disponibile in UTM v. 9.1 e superiore) per limitare gli indirizzi MAC a cui è consentito connettersi all'appliance RED, scegliere Blacklist o Whitelist. 

Se si seleziona Blacklist, è possibile creare una blacklist nel campo Indirizzi MAC (sotto); gli indirizzi lì elencati verranno bloccati, mentre tutti gli altri indirizzi MAC saranno consentiti. 

Se si seleziona Whitelist, è possibile creare una whitelist nel campo Indirizzi MAC (sotto); gli indirizzi lì elencati verranno consentiti, mentre tutti gli altri indirizzi MAC saranno bloccati. 

Indirizzi MAC: (disponibile in UTM v. 9.1 e superiore) questo campo sarà disabilitato solo se si è selezionata l'opzione Whitelist o Blacklist nell'impostazione Tipo di filtro MAC (sopra). Questo elenco di indirizzi MAC viene utilizzato per controllare gli accessi all'appliance RED. Gli elenchi di indirizzi MAC possono essere creati nella scheda Definizioni & Utenti | Definizioni di rete | Definizione indirizzo MAC.

Attivazione uplink del failover 3G/UMTS: a partire da RED rev2, l'appliance RED mette a disposizione una porta USB in cui collegare una chiavetta USB 3G/UMTS. Se selezionata, questa chiavetta può funzionare da uplink failover di Internet, nel caso non funzioni l'interfaccia WAN. Per le impostazioni necessarie fare riferimento alla scheda tecnica del proprio provider Internet.

Nome password/Password (opzionale): se necessario, inserire nome utente e password per la rete mobile.

PIN (opzionale): inserire il PIN della SIM card, nel caso in cui sia stato configurato un PIN.

Nota: se si inserisce un PIN non valido, nel caso in cui l'interfaccia WAN non funzioni, la connessione via 3G/UMTS non potrà essere stabilita. La casella di spunta Attivazione uplink del failover 3G/UMTS dell'appliance RED verrà deselezionata automaticamente, anche se il PIN non valido è stato inserito una sola volta. Quando l'interfaccia WAN viene nuovamente visualizzata, nell'apliance RED comparirà un avviso:

È stato inserito un PIN non valido per l'uplink del failover 3G/UMTS. Cambiare i dati di accesso.

Quando si apre la finestra di dialogo Modifica RED, viene visualizzato un messaggio in cui si informa che l'uplink del failover 3G/UMTS è stato automaticamente deselezionato. Correggere il valore del PIN prima di selezionare nuovamente la casella di spunta. Nota: dopo tre tentativi di connessione avvenuti utilizzando un PIN non valido, la SIM card verrà bloccata. La SIM non potrà essere sbloccata né tramite appliance RED né UTM.

Rete mobile: scegliere il tipo di rete mobile fra GSM o CDMA.

APN: inserire le informazioni relative all'Access Point Name del provider.

Stringa di composizione (opzionale): se il proprio provider utilizza una stringa di composizione diversa, inserirla qui. Il valore predefinito è *99#.

Nota: sarà necessario effettuare le seguenti configurazioni manualmente:

    1. Creare le regole firewall necessarie (Network Protection | Firewall | Regole).
    2. Creare le regole di mascheramento necessarie (Network Protection | NAT | Mascheramento).

3. Cliccare su "Save".

4. L'appliance RED viene ora impostata e UTM viene registrato con Sophos RED Provisioning Service (RPS). 

Importante: è fondamentale conservare il codice di sblocco inviato istantaneamente via e-mail all'indirizzo fornito nella scheda Impostazioni globali (durante l'attivazione di RED), non appena l'appliance RED si registra con RPS. Il codice di sblocco è necessario quando si desidera utilizzare l'appliance RED con un altro dispositivo UTM. Se non si dispone del codice di sblocco, sarà necessario contattare il supporto di Sophos per poter sbloccare l'appliance RED. 

Una volta configurate le regole del firewall necessarie (e quindi regole di mascheramento), l'appliance RED nel sito remoto potrà connettersi a Internet. Fermo restando che sia stato effettuato il riavvio, RED recupererà la sua configurazione da Sophos RED Provisioning Service (RPS). Una volta effettuata questa operazione, verrà stabilita la connessione fra UTM e l'appliance RED. È possibile visionare lo stato di tutte le appliance RED configurate nella pagina panoramica su RED di WebAdmin. 

Cancellazione di un'appliance RED

Per cancellare un'appliance RED, cliccare sul pulsante Cancella, di fianco al nome dell'appliance.

Verrà visualizzato un messaggio di avviso in cui si avverte che l'oggetto RED dispone di dipendenze. Ricordare che cancellando un'appliance RED non verranno cancellate le interfacce associate e le loro dipendenze. Ciò è intenzionale, dal momento che consente di trasferire un'appliance RED a un'altra.

Se si desidera cancellare completamente l'impostazione dell'appliance RED, sarà necessario cancellare manualmente la potenziale interfaccia e le altre definizioni.

 





 
Per maggiori informazioni o per assistenza, vi preghiamo di contattare il supporto tecnico.

Valutate l'articolo

Molto scadente Eccellente

Commenti