Security Heartbeat ist eine Funktion, mit der Endgeräte und Firewalls ihren Integritätsstatus miteinander austauschen können. Hier finden Sie Informationen, wie es funktioniert, welche verschiedenen Integritätsstatus es gibt, und was sie bedeuten.
Endgeräte und XG Firewall kommunizieren über eine verschlüsselte TLS-Verbindung über die IP-Adresse 52.5.76.173 auf Port 8347.
Jedes Endgerät erhält ein Zertifikat von Sophos Central. Sophos Central teilt diese Zertifikate mit XG Firewall, dadurch kann XG Firewall einer bestimmten Organisation ein Endgerät zuordnen. XG Firewall stellt nur Verbindungen mit Endgeräten her, für die es über ein Zertifikat verfügt.
XG Firewall protokolliert einen Heartbeat als fehlend, wenn sie nicht drei aufeinanderfolgende Heartbeats von einem Endgerät empfängt, das weiterhin Netzwerkverkehr sendet. Wenn das Endgerät den Heartbeat erneut sendet, hält XG Firewall es für aktiv. Ein fehlender Heartbeat wird durch die MAC-Adresse eines Endgeräts bestimmt, wobei alle Schnittstellen berücksichtigt werden.
Ein grüner Heartbeat-Status erfordert keine Aktion und bedeutet:
Typische Gründe für einen gelben Status sind:
In der Regel ist er vorübergehend, und es sind keine Maßnahmen erforderlich. Sie können jedoch entscheiden, ob Sie Maßnahmen ergreifen wollen, wenn eine PUA oder ein Schadprogramm erkannt wird.
Ein roter Status erfordert eine Maßnahme. Ein typischer Grund ist, dass ein aktives Schadprogramm erkannt wurde und nicht automatisch entfernt werden konnte.
Sie sollten Maßnahmen ergreifen, wenn eines oder mehrere der folgenden Probleme auftreten:
Quell- und Ziel-Heartbeats definieren den minimal erforderlichen Heartbeat von der Quelle bzw. vom Ziel. Diese finden Sie unter der jeweiligen Firewallregel.
Endgeräte kommunizieren mit einem anderen Endgerät basierend auf seinem Integritätsstatus und der in Sophos Central angegebenen Richtlinie. Wenn beispielsweise ein Endgerät einen roten Integritätsstatus hätte und eine entsprechende Richtlinie definiert ist, würden andere Endgeräte die Kommunikation mit diesem Endgerät beenden.
XG Firewall wird diese Kommunikation zwischen den Endgeräten verwalten. Sie fungiert als MAC-Schicht-2-Proxy, um jedem Endgerät innerhalb derselben Broadcast-Domäne den MAC- und Integritätsstatus aller anderen Endgeräte mitzuteilen.
Damit Security Heartbeat im Tap-Modus arbeiten kann, muss mindestens eine Schnittstelle innerhalb der LAN-Zone konfiguriert sein, die regelmäßig mit dem Netzwerk verbunden ist und deren Adresse von den Endgeräten aus erreicht werden kann. Die IP-Adressen aller Schnittstellen innerhalb der LAN-Zone werden zu Sophos Central und weiter zu den Endgeräten übertragen. Endgeräte wiederum versuchen, eine Verbindung zu einer der IP-Adressen der LAN-Zone herzustellen, um ihre Security Heartbeat-Benachrichtigungen dorthin zu senden.