Sophos XG Firewall: Secure Storage Master Key (SSMK)

Visão Geral

A chave mestra de armazenamento segura (SSMK) fornece proteção extra para os detalhes das contas armazenadas no XG Firewall. A chave criptografa informações confidenciais, como senhas, segredos e chaves, evitando o acesso não autorizado. As contas têm acesso a serviços, como serviços de diretório, servidores de e-mail, servidores FTP e proxies. Eles também incluem contas de usuário armazenadas no XG Firewall.

As seguintes seções são cobertas:

  • Chave mestra de armazenamento seguro
    • Administrador padrão
    • Nova chave mestra de armazenamento seguro
    • Backup e restauração
    • Importação exportação
    • Alta disponibilidade
    • Configuração de fábrica / re-imagem
  • Perguntas frequentes

Aplica-se aos seguintes produtos e versões
Sophos XG Firewall SFOS v17.5 MR14 e SFOS v18 MR3

Chave mestra de armazenamento seguro

Administrador padrão

  • Você só pode criar a chave mestra de armazenamento seguro ao fazer login usando as credenciais do administrador padrão. O XG Firewall fornece um superadministrador padrão com o nome de usuário definido como admin. Para obter mais detalhes sobre o administrador padrão, consulte  Administration  >  Device Access e role para baixo até  Default Admin Password Settings.
  • Outros administradores podem ver o alerta para criar a chave mestra de armazenamento seguro no Control Center, mas não podem criar a chave ao entrar usando suas próprias credenciais.

Nova chave mestra de armazenamento seguro

  • Se você perder a chave mestra, vá para o console da linha de comando para criar uma nova (2. System Configuration > 5. Reset secure storage master key).
  • Você não pode recuperar backups e exportações de configuração feitas usando a chave antiga, mas todos os novos backups e exportações usarão a nova chave.

Nota importante:

  • Se você perder a chave mestra de armazenamento seguro, não poderá recuperá-la. Certifique-se de armazená-lo em um sistema de gerenciamento de senha ou outro local seguro.
  • Se você perder o SSMK que foi usado para criar um backup, não poderá restaurá-lo completamente.
  • Se você alterar o SSMK para um novo e depois quiser restaurar um backup gerado antes de o novo SSMK ser gerado, ainda será necessário lembrar e usar o SSMK antigo para restaurar esse backup.

Backup e restauração

  • Você deve inserir a chave mestra de armazenamento seguro ao restaurar uma configuração de backup que tem uma chave mestra. Se você não inserir a chave mestra, não poderá restaurar backups que tenham uma chave mestra.
  • A chave mestra é adicionada à senha de criptografia de backup.
  • Backup programado
    • Até que você defina a chave mestra, o XG Firewall continua a fazer backups agendados, mas os backups não terão a proteção extra da chave mestra.
  • Backup manual
    • Você deve criar a chave mestra antes de fazer um backup manual.

Nota importante:

  • Depois de criar a chave mestra, todos os novos backups a usam para proteger dados confidenciais. Se você não inserir a chave mestra, não poderá restaurar esses backups. No entanto, você pode restaurar backups feitos antes de definir a chave mestra.
  • Caso um backup deva ser compartilhado com o Suporte Técnico, nossa equipe de suporte precisará de ambas as senhas: a senha criptografada para o backup e o SSMK usado naquele backup.

Importação exportação

  • Você não insere a chave mestra ao exportar uma configuração.
  • Configurações sem a chave mestra
    • Você pode exportar a configuração e importá-la para o mesmo firewall junto com informações confidenciais e as configurações dependentes se o firmware não foi redefinido ou refeito após a exportação.
    • Você não poderá importar informações confidenciais e configurações dependentes se estiver importando a configuração para os seguintes dispositivos:
      • Um XG Firewall diferente.
      • O dispositivo atual se você redefinir ou recriar a imagem de seu firmware após exportar a configuração.
    • Você precisará inserir novamente ou recriar as informações mais tarde. Você poderá importar o resto da configuração.
  • Configurações com a chave mestra
    • Você deve inserir a chave mestra ao importar a configuração para os seguintes dispositivos:
      • Um XG Firewall diferente.
      • O dispositivo atual se você redefinir ou recriar a imagem de seu firmware após exportar a configuração.
    • Se você não inserir a chave mestra, poderá importar a configuração, mas perderá informações confidenciais e configurações dependentes. Por exemplo, se você não inserir a chave mestra ao importar uma configuração que contém usuários e suas configurações dependentes, os usuários e suas configurações dependentes não serão importados. Você precisará inserir novamente ou recriar as informações mais tarde.
  • Configurações sem informação sensível
    • Ao importar uma configuração que não contém informações confidenciais, você não precisa inserir a chave mestra.

Alta disponibilidade

  • A chave mestra é sincronizada entre os dois dispositivos HA nos modos ativo-ativo e ativo-passivo.
  • A chave mestra continua em um dispositivo autônomo e em ambos os dispositivos quando você desativa o HA em qualquer um dos dispositivos.
  • No modo ativo-passivo, você só pode definir e redefinir a chave mestra por meio do dispositivo principal.

 Configuração de fábrica / re-imagem

  • O XG Firewall remove a chave mestra de armazenamento seguro nas seguintes instâncias:
    • Redefinindo para a configuração de fábrica.
    • Refazer a imagem do firewall.
  • Após redefinir ou recriar a imagem do firewall, você pode inserir a chave mestra para restaurar ou importar as configurações.
  • Reverter para uma versão anterior
    • Depois de definir a chave mestra, se você voltar à versão anterior, continuará com a configuração anterior. Você só perderá as alterações de configuração feitas antes do rollback.

Perguntas frequentes

O que é criptografado?

  • Atualmente, as informações confidenciais que serão criptografadas são senhas de usuário, segredos de AP de wi-fi, vouchers de ponto de acesso e usuários do SPX.
  • Em versões futuras, as informações criptografadas incluirão servidores de autenticação, servidores de e-mail, segredos BATV, senhas de stick USB, senhas PPoE, IPsec PSK, SSLVPN, segredos RADIUS, proxy pai, DynDNS, chaves privadas para certificados SSL, certificados VPN, certificados SyncSec, e certificados de descriptografia TLS.

Para obter mais informações, consulte as Perguntas frequentes sobre armazenamento seguro do SO do Firewall Sophos .


Inscreva-se no Sophos Support SMS Notification Service para obter as informações mais recentes sobre o lançamento do produto e questões críticas.

Traduzido do Original em: https://support.sophos.com/support/s/article/KB-000040174

Newsletter

Insira seu endereço de e-mail abaixo para receber novidades

Deixar uma resposta