Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Les fondamentaux de la cybersécurité avec WatchGuard
  3. UTM Système
Extrait - Les fondamentaux de la cybersécurité avec WatchGuard
Extraits du livre
Les fondamentaux de la cybersécurité avec WatchGuard
1 avis
Revenir à la page d'achat du livre

UTM Système

Introduction

Pourquoi ?

Ce chapitre se concentre sur la configuration système de l’UTM. Celui-ci dispose de plusieurs options permettant le bon fonctionnement du périphérique. Voici quelques-unes des fonctionnalités que l’on peut trouver :

  • Informations : permet la configuration de base, telle que le nom, l’emplacement, le contact ou le fuseau horaire.

  • Clé de Fonctionnalité : permet de voir, obtenir, faire les mises à jour et gérer la suppression des clés de fonctionnalité.

  • NTP : permet la synchronisation sur des serveurs NTP ou de transformer l’UTM en serveur NTP.

  • SNMP : permet d’utiliser SNMP pour un suivi du fonctionnement de l’UTM.

  • NetFlow : permet d’utiliser NetFlow pour un suivi du fonctionnement de l‘UTM.

  • WatchGuard Cloud : permet d’activer l’administration de l’UTM par le portail WatchGuard Cloud.

  • Périphérique géré : permet d’activer la gestion centralisée avec Dimension Command ou Management Server.

  • Journalisation : permet d’indiquer les serveurs Dimension ou WSM Log Server pour les logs ou SYSLOG.

  • Journal de diagnostic : permet de contrôler le niveau de détails dans les logs pour chaque service.

  • Paramètres globaux : permet la planification du redémarrage, l’envoi de rapports WG, la gestion des accès...

Informations

Pourquoi ?

Dans cette fenêtre se trouvent les informations concernant l’UTM :

  • Modèle

  • Nom

  • Emplacement

  • Contact

  • Fuseau horaire

Informations

Il est possible de modifier le nom de l’appareil et de changer de fuseau horaire sans redémarrage. 

Clé de fonctionnalité

Pourquoi ?

Chez WatchGuard, lorsque vous achetez un boîtier UTM, celui-ci doit être activé sur le portail afin de générer une clé de fonctionnalité. Les clés représentent les services que vous avez achetés pour le produit. Sur les UTM, il existe trois niveaux d’abonnement :

  • Support Services (SS)

  • Basic Security Software (BSS)

  • Total Security Software (TSS)

La clé doit être enregistrée dans l’UTM et dans cette fenêtre vous trouverez les informations sur celle-ci :

  • Modèle

  • Numéro de série

  • Version logicielle

  • Signature

Informations

Les fonctionnalités apparaissent avec leurs valeurs et leurs dates d’expiration. En bas de la fenêtre, vous pouvez gérer la clé de l’UTM (mais s’il fait partie d’un FireCluster, il faut passer par WSM, FSM, FireCluster) :

  • Mettre à jour la clé de fonctionnalité.

  • Supprimer une clé de fonctionnalité.

  • Obtenir une clé de fonctionnalité.

  • Activer la synchronisation de clé automatiquement.

  • Activer la notification par e-mail lorsqu’elle arrive en fin de vie.

NTP

Pourquoi ?

La gestion des serveurs Network Time Protocol (NTP) est très importante car elle permet à tous les processus de se synchroniser (logs, sessions, etc.). Le protocole NTP est sorti en 1985 dans la RFC 958 puis va suivre plusieurs versions jusqu’à la version 4 en 2010. Celle-ci est aujourd’hui la norme pour la synchronisation des appareils d’un réseau sur des serveurs avec rôles serveur NTP qui fait office de référence. Les serveurs NTP écoutent les requêtes de clients sur le port 123 et envoient des réponses en utilisant ce même port. Si un pare-feu est configuré pour bloquer le port 123, les clients et les serveurs NTP ne pourront pas communiquer.

D’autre part, il existe Simple Network Time Protocol (SNTP) qui est une version simplifiée de NTP et n’a pas toutes les fonctionnalités et la précision de NTP. SNTP ne nécessite pas de hiérarchie de serveurs de temps et ne tient pas compte des erreurs de délai de transmission du réseau.

Informations

Lors du premier déploiement de l’UTM, l’assistant configure pour vous les serveurs NTP. Comme vous pouvez le voir, vous pouvez activer une fonction serveur NTP. Cette fonction permet à l’UTM de devenir un serveur NTP pour les appareils de votre LAN qui lui demandent l’heure.

Exemple

Dans certains scénarios, on peut demander...

SNMP

Pourquoi ?

Le protocole SNMP (Simple Network Management Protocol), défini en 1990, est un standard permettant la gestion et le diagnostic d’appareils en réseau. Fonctionnant selon un modèle client-serveur, il autorise la collecte d’informations sur les dispositifs.

Une application serveur de gestion SNMP, telle que Zabbix ou PRTG Network Monitor de Paessler, sollicite des agents SNMP pour obtenir des données sur l’état des appareils tels qu’un UTM.

Cette méthode est particulièrement utile pour superviser des équipements tels que les commutateurs, mais son application s’étend aux routeurs, aux UTM, et bien d’autres dispositifs.

Informations

SNMP fonctionne avec plusieurs éléments :

  • Un appareil avec un agent SNMP pour répondre aux demandes (en l’occurrence, l’UTM inclut un agent SNMP).

  • L’agent travaille avec des Objects Identifiers (OID) qui sont en lecture et écriture.

  • Chaque fabricant dispose de différents préfixes OID.

  • Les OID sont dans des bases de données (fichier texte) appelées MIB (Management Information Base).

  • Un serveur SNMP (ou station de gestion SNMP) permet de faire des demandes sur l’agent SNMP.

  • Il y a plusieurs versions de SNMP : v1, v2 et v3. v3 apporte authentification et chiffrement des mots de passe (MD5, SHA et DES).

  • Un community name est un mot de passe...

NetFlow

Pourquoi ?

NetFlow a été créé par Cisco en 1996 et permet d’analyser le flux du protocole IP lorsqu’il entre ou sort d’une interface. Il travaille par défaut sur le port 2055 et son objectif est de pouvoir diagnostiquer les problèmes que peut rencontrer le flux IP.

NetFlow est plus complet que SNMP pour traiter la question du flux réseau (la bande passante) mais, contrairement à SNMP, il ne peut pas actuellement collecter les informations sur les processeurs ou la mémoire des appareils. Les informations stockées par NetFlow prennent aussi plus de place et elles ne disposent pas d’un mode temps réel.

Beaucoup d’éditeurs utilisent souvent NetFlow mais sous d’autres noms. Cette solution est très répandue dans les équipements réseau comme les switches, les routeurs, etc.

Informations

Les éléments que l’on trouve avec NetFlow sont les suivants :

  • Flow Exporter : permet l’export des enregistrements de flux vers le flow collector.

  • Flow collector : permet la réception et le stockage de l’enregistrement.

  • Analysis console : permet de consulter les informations collectées, placer des alertes, etc.

  • La version NetFlow : WatchGuard utilise les versions V5 et V9 et aucune des deux n’utilise de chiffrement.

  • Le protocole UDP : WatchGuard recommande d’utiliser...

Périphérique géré

Pourquoi ?

Le menu Périphérique géré permet d’activer la gestion de l’UTM par Dimension ou Management Server.

Informations

Voici les réglages par défaut disponibles pour gérer le périphérique.

images/03EP603.png

Journalisation (WSM LOG + SYSLOG)

Pourquoi ?

WatchGuard propose trois solutions pour gérer les journaux d’événements (logs) :

  • WatchGuard Log Server (WSM Log Server sur Windows installé on premise, pas besoin de licence donc gratuit).

  • WatchGuard Dimension (VHD avec Ubuntu installé sur hyperviseur, pas besoin de licence donc gratuit).

  • WatchGuard Cloud Visibility (rétention de données en licence BSS sur 90 jours et en licence TSS sur 365 jours).

Dans cette fenêtre, vous pouvez modifier les réglages pour les éléments suivants :

Log Server

La journalisation des évènements qui se produisent sur l’UTM est très importante pour surveiller et maintenir le système opérationnel. Ce menu de journalisation permet de sélectionner les serveurs de logs installés avec WSM qui vont recevoir les journaux d’évènements de l’UTM et de ses stratégies. La configuration du serveur de log se réalise en partie avec WSM, donc vous trouverez toutes les informations dans le chapitre sur WSM.

Syslog

Dans cette fenêtre se trouvent aussi les réglages pour les serveurs Syslog. Syslog a été développé dans les années 1980 et est devenu le standard de journalisation pour les systèmes d’Unix. Celui-ci est aujourd’hui sur presque tous les types d’appareils...

Journal de diagnostic

Pourquoi ?

L’UTM propose plusieurs niveaux de détails dans l’explication du problème qu’il rencontre (quand il en rencontre un). Plus nous avons de détails sur un évènement, plus généralement cela nous aide pour faire du troubleshooting. Nous pouvons choisir le niveau de détail dans cette fenêtre.

Informations

Il y a cinq niveaux possibles de diagnostic dans le journal de l’UTM (du moins complet au plus complet) :

  • Off : ce réglage n’émet pas de diagnostic dans le journal.

  • Error : c’est le mode par défaut qui indique seulement les erreurs sérieuses.

  • Warning : c’est un mode qui fournit les erreurs sérieuses et des détails sur des process anormaux.

  • Information : ce mode donne les erreurs, les warnings et les résultats de tous les autres process.

  • Debug : ce mode est orienté pour les développeurs de WatchGuard.

Plus vous montez dans les niveaux, plus les performances de l’UTM vont baisser. Le niveau Information est recommandé en cas de recherche de root cause. Le niveau Debug est seulement recommandé pour le support WatchGuard.

Paramètres globaux

Pourquoi ?

Cette fenêtre nous permet de régler la configuration de l’UTM sous des aspects plus fonctionnels que dans les autres chapitres. Ici, nous allons retrouver l’envoi d’informations à WatchGuard mais aussi des réglages qui traitent plus spécifiquement des protocoles ICMP et TCP.

Informations

Si vous ne connaissez pas bien les principes derrière ces réglages, nous vous recommandons de commencer avec les réglages par défaut, puis de les tester un à un afin de bien comprendre les interactions entre paramètres.

Les éléments suivants peuvent être configurés à partir de l’onglet Général :

  • Port Web UI : permet le changement de port pour accéder au portail Web UI de l’UTM, par défaut 8080.

  • Redémarrage automatique : il est possible de planifier un reboot d’UTM à fréquence régulière.

  • Envoyer les résultats du périphérique à WatchGuard tous les 6 jours : informations anonymes et chiffrées.

  • Envoyer des Rapports d’Échec à WatchGuard quotidiennement : consultable depuis le Front panel, system, Fault reports.

  • Autoriser plusieurs Administrateurs de Périphérique à se connecter en même temps : icône verrouillage en haut page.

  • Activer la configuration...

Certificats

Pourquoi ?

Le fonctionnement des certificats est proche de celui d’une carte d’identité. L’autorité d’un système (l’État) identifie les personnes avec un certificat (une pièce d’identité) que les différents services du système (police, gendarmerie, impôts, etc.) reconnaissent comme fiable car émis par une autorité dans laquelle ils ont confiance.

Lorsqu’un service comme les douanes demande à la personne de s’identifier, la personne présente sa carte d’identité pour s’authentifier et les douaniers, après vérification, la laissent passer. Le principe est vieux comme le monde et les anciennes civilisations l’utilisaient bien avant nous.

Dans les années 1970, avec l’avènement de l’informatique, les certificats ont commencé à voir le jour sous forme numérique. Les certificats sont émis par des autorités de certification (CA) pour authentifier et sécuriser le flux des sites web et des transactions en ligne. Pour ce faire, ils utilisent des algorithmes de chiffrement pour garantir l’authenticité et la sécurité.

Bien que ce mécanisme soit difficile à pirater pour la plupart des pirates informatiques, cela arrive de temps en temps. L’exemple le plus notable d’utilisation de faux certificats par une CA est l’incident de DigiNotar en 2011. DigiNotar était une autorité de certification néerlandaise qui a été compromise par des attaquants. Ces derniers ont émis de faux certificats pour des sites web légitimes, ce qui leur a permis de déchiffrer le trafic chiffré et de mener des attaques sur les utilisateurs.

L’incident a révélé les faiblesses potentielles dans la gestion des certificats et a conduit à une perte de confiance dans la capacité des CA à garantir l’authenticité des sites web. En conséquence, les navigateurs web ont révoqué les certificats émis par DigiNotar et les autorités de réglementation ont renforcé les normes de sécurité et de surveillance.

Il est essentiel de noter que la plupart des CA sont fiables et jouent un rôle crucial dans la sécurisation...

Configuration automatique de proxy

Pourquoi ?

Dans le monde de l’informatique, un proxy fonctionne comme un intermédiaire. Il se place entre deux éléments ou groupes d’éléments, généralement à des fins de sécurité ou d’optimisation.

Chez WatchGuard, il est possible d’utiliser un mode de fonctionnement de type Explicit Proxy. Pour faire simple, les postes clients de votre SI sont explicitement configurés pour utiliser le filtrage de l’UTM. Toutes les demandes sont traitées et inspectées par l’UTM.

Cependant, cette méthode de fonctionnement a perdu en popularité de nos jours et est rarement utilisée dans les environnements professionnels. Néanmoins, elle peut encore être rencontrée dans le cadre scolaire ou spécifique.

L’UTM peut gérer trois types de proxy explicite :

  • HTTP Web Proxy (via le proxy explicite sur le port TCP 3128)

  • FTP over HTTP (FTP sur HTTP aussi appelé FTP Web)

  • HTTP Connect Tunneling (via le proxy explicite sur le port 3128)

Informations

Pour ce faire, il est possible de configurer les navigateurs par deux approches :

  • Manuellement (dans le réglage Proxy des navigateurs)

  • Automatique (en utilisant le protocole WPAD sur DHCP + fichier PAC)

Une fois Explicit Proxy en place sur l’UTM et sans configuration du proxy sur les clients, le flux...

Mise à niveau du SE

Pourquoi ?

Comme chaque équipement, le système d’exploitation (SE) de l’UTM doit être mis à jour régulièrement afin de :

  • Corriger les bugs

  • Profiter des dernières améliorations

  • Être protégé contre des failles système découvertes

Sur le site de WatchGuard, vous pouvez trouver toutes les informations concernant les mises à jour : https://www.watchguard.com/wgrd-help/documentation/release-notes/fireware

Informations

Depuis le menu SYSTÈME - Mise à niveau du SE, il est possible de lancer une mise à jour de l’UTM de deux manières :

  • Automatiquement (en appuyant sur le bouton METTRE À NIVEAU depuis Internet) 

  • Manuellement (à partir d’un fichier disponible sur le site de WatchGuard : http://software.watchguard.com)

Il y a des mises à jour presque tous les 3 mois avec une release note qui indique les modifications.

La mise à jour provoque un redémarrage de l’UTM (donc il y a interruption de service le temps de la mise à jour).

Les versions de mise à jour sont cumulatives (c’est-à-dire que la dernière mise à jour contient toutes les mises à jour précédentes).

WatchGuard recommande maintenant de faire les mises à jour depuis WatchGuard Cloud (WGC).

Sauvegarder et restaurer une image

Pourquoi ?

La sauvegarde de l’UTM par image (*.fxi) est un moyen très efficace pour pouvoir rétablir un ancien réglage. La restauration de l’image doit se faire sur le même UTM et une image contient les éléments suivants :

  • Fichier de configuration (*.xml)

  • Certificats

  • Clés de fonctionnalité

  • Mots de passe

  • Baux DHCP

  • Base de données des informations sur la sécurité des périphériques mobiles (DIM)

  • Paramètres de notification des événements

  • Logo client

  • Fichiers de configuration des invités (AP)

  • Numéro de série

  • Informations sur la version et la plateforme

Informations

Avant de commencer avec les sauvegardes images, voilà quelques informations à connaître :

  • WatchGuard recommande de créer une image après chaque modification importante de configuration.

  • Une image est créée sur l’UTM à chaque mise à jour du SE.

  • L’image peut être enregistrée dans une clé USB puis être restaurée dans le mode Recovery de l’UTM.

  • La restauration de l’image ne peut être effectuée que sur un système d’exploitation de la même version que celui qui l’a créée.

  • Dans les fichiers de configuration (*.xml), il est possible de sauvegarder seulement...

Intégrations technologiques

Pourquoi ?

Il y a un nombre important d’intégrations possibles avec des solutions d’autres éditeurs sur le site de WatchGuard. Nous avons regroupé les éditeurs en fonction de la catégorie couverte :

  • SIEM (Splunk, IBM, ArcSight, Manage Engine, etc.)

  • Vulnerability Assessment (RedSeal)

  • Network Control (Portnox, Extreme)

  • Authentication (Censornet, DUO, RSA, Centrify, Datalink, Gemalto, Citrix, etc.)

  • Privilege Access Management (Wallix, CyberArk)

  • VoIP (3CX)

  • Wifi Services (NetScout, GAGuestAiR, Eduroam)

  • Cloud Access Security Broker (Managed Methods)

  • Web Services (Chrome)

  • Remote Monitoring Management (SecureWorks, Solarwinds, Ipswitch, Auvik, AVG, Paessler, Kaseya, etc.)

  • Cloud Applications (Office365, Cloud Mask)

  • Professional Services Automation (PSA) (ConnectWise, Autotask, etc.)

Depuis l’interface de l’UTM dans le menu SYSTÈME - Intégrations technologiques, WatchGuard propose de l’intégration UTM/PSA avec trois solutions :

  • Autotask (Auto synchro + Closed-loop Service)

  • ConnectWise (Auto synchro + Closed-loop Service + Auto reporting)

  • Tigerpaw (Auto synchro + Closed-loop Service)

Les outils Professional Services Automation (PSA) aident les entreprises à migrer des processus historiquement manuels vers des flux de travail automatisés. Plus précisément, les outils PSA fournissent des solutions en ligne de type SaaS orienté...

Utilisateurs et rôles

Pourquoi ?

Pour une gestion optimale de l’UTM, il est essentiel de disposer d’un menu dédié à la gestion des comptes d’administration. Étant donné que la gestion est généralement assurée par plusieurs administrateurs, l’utilisation de comptes distincts permet de suivre les actions des différents administrateurs lors des audits.

Informations

Dans cette fenêtre, onglet Utilisateurs et rôles, vous pouvez réaliser plusieurs actions sur les comptes utilisateurs :

  • Créer

  • Modifier

  • Supprimer

  • Déverrouiller

Il y a trois principaux types de rôles que l’on peut attribuer aux comptes utilisateurs :

  • Administrateur de périphériques : autorisation en lecture-écriture.

  • Moniteur de périphériques : autorisation en lecture seule.

  • Administrateur invité : autorisation de gérer les comptes appelés « guests » pour le service HotSpot.

Il y a trois comptes utilisateurs dits comptes intégrés (builtin) :

  • Admin : compte utilisateur activé par défaut pour l’administration avec autorisation en lecture-écriture.

  • Status : compte utilisateur activé par défaut pour l’administration avec autorisation en lecture seule.

  • Wg-support : compte utilisateur désactivé...

Fichier de configuration

Pourquoi ?

La sauvegarde du fichier de configuration (*.xml) apporte deux choses importantes par rapport à la sauvegarde de l’image (*.fxi) :

  • La légèreté car le fichier (*.xml) est beaucoup plus petit que l’image (*.fxi).

  • La souplesse car le fichier peut être restauré sur d’autres UTM (même des modèles différents).

Informations

Le fichier de configuration contient les éléments suivants :

  • Les règles NAT

  • Les routes

  • Les règles de firewalling

Le fichier de configuration ne contient pas les éléments suivants :

  • Les certificats

  • Les clés de fonctionnalité

  • Les mots de passe

Il est possible de générer un rapport de la configuration de l’UTM dans cette fenêtre.

Il peut arriver de devoir modifier le fichier de configuration s’il y a un nombre différent d’interfaces réseau sur l’UTM où va être utilisé le fichier *.xml. Pour corriger le problème, il faut réaliser une petite manipulation par le client lourd WSM : ouvrir le fichier de configuration *.xml dans WSM, FPM, Setup, System, choisir le nouveau modèle d’UTM, puis valider la boîte de dialogue.

Accès de l’assistance

Pourquoi ?

En cas de problème avec un UTM WatchGuard, il est possible de demander de l’aide au support technique de WatchGuard. L’aide peut être téléphonique, par mail ou encore par prise en main sur l’équipement. Cette fenêtre permet l’activation de la prise en main à distance par WatchGuard (en lecture seule et pour une durée limitée).

Informations

La prise en main à distance (Support Access) va réaliser trois actions :

  • Créer temporairement un compte utilisateur avec permission de lecture seule sur l’UTM.

  • Créer une stratégie (cachée) qui autorise les accès depuis le site support de WatchGuard (ts.watchguard.com).

  • Envoyer des « diagnostic log messages » vers WatchGuard Cloud.

 Pour activer la prise en main, allez dans le menu SYSTÈME - Accès de l’Assistance, et cochez la case Activer l’Accès de l’Assistance. Sélectionnez la durée et cochez Générer automatiquement les informations d’identification. Choix possible dans l’Expiration de l’Accès de l’Assistance :

  • Aucun

  • 3 mois

  • 1 mois

  • 1 semaine

  • 1 jour

Message d’avertissement à la connexion

Pourquoi ?

Il est possible d’afficher un message avec validation des conditions d’utilisation sur le portail Web UI ou CLI. Cela est pratique pour afficher des messages d’avertissement aux utilisateurs ou aux administrateurs.

Informations

Quelques petites informations à connaître :

  • Il est aussi possible d’utiliser un logo (l’image doit être au format JPG, GIF, PNG et max 200 x 65 pixels).

  • Il est aussi possible d’activer cette fonctionnalité depuis et pour WSM, Fireware Policy Manager (FPM).