Doc-To-Help Standard Template
Contents
1. uoneinByUo9 8p je UOHESIINP anue ALERTES E MAILS L cran se d compose en trois parties L onglet Configuration permet de proc der aux r glages de base du module comme le param trage du serveur SMTP la fr quence d envoi des e mails en minutes les alarmes de pr vention d intrusion et les v nements syst me L onglet Destinataires permet de d finir les groupes qui seront utilis s dans les politiques de mailing mais aussi dans d autres modules de configuration o l envoi de mails est n cessaire L onglet Mod les visualisation et modification des formats de mails utilis s lors de l envoi des notifications aux utilisateurs et aux administrateurs L onglet Configuration Cet onglet regroupe tous les param tres n cessaires la configuration des alertes e mails L cran comporte les l ments suivants Activer les notifications par e mail Cette option active la configuration des messages d alertes En cas de d sactivation aucun l ment de configuration ne sera accessible car le firewall n enverra pas de mail Cette option cocher est d sactiv e par d faut REMARQUE La notification des e mails n cessite un serveur de messagerie capable de recevoir les e mails provenant du firewall Serveur SMTP Serveur Ce champ d termine la machine serveur SMTP laquelle le firewall va envoyer les mails en la s lectionnant dans la base d objets Par d faut ce cham2. Langue Langue de l IHM Web Lorsque l utilisateur choisit une nouvelle langue pour l IHM Web la page d authentification se recharge dans la langue choisie Les langues disponibles sont l anglais l espagnol le fran ais l italien et le polonais Lecture seule Permet une connexion en mode lecture Ainsi vous pouvez vous connecter au firewall sans droits de modifications au moyen d un compte poss dant habituellement ces droits Ceci permet de ne pas utiliser les droits de modifications si cela n est pas n cessaire o REMARQUE Les options sont contenues dans un cookie L utilisateur conserve donc sur son navigateur ses pr f rences de connexion Si lors de la connexion sur la page d authentification l option Lecture seule se trouve activ e dans le cookie la partie des options sera pr sent e d ploy e l utilisateur afin d viter toute confusion Notifications d erreurs Lorsqu un champ est vide Si l utilisateur tente de s authentifier alors qu il n a pas renseign le champ Utilisateur ou Mot de passe l authentification n est pas lanc e et le message Ce champ doit tre renseign s affiche Lorsque la touche Caps lock est activ e Si cette touche est activ e lorsque l utilisateur renseigne son mot de passe une ic ne d avertissement s affiche la touche Verrouillage Majuscule est active Echec d authentification Lorsqu il y a chec d authentification le message suivant L aut
3. Mot de passe Mot de passe de l utilisateur qui consultera les MIB Algorithme Deux types d authentification sont disponibles le MD5 algorithme de hachage qui calcule un condens de 128 bits et le SHA1 algorithme de hachage qui calcule un condens de 160 bits Par d faut l authentification se fait en MD5 Chiffrement optionnel Mot de passe Les paquets SNMP sont chiffr s en DES ou AES Advanced Encryption Standard une cl de chiffrement peut tre d finie Par d faut c est la cl d authentification qui est utilis e 1 AVERTISSEMENT Il est vivement recommand d utiliser une cl sp cifique uoneinByUo9 8p 43 UOHESIINP anue Algorithme Les deux types de chiffrement possibles sont DES et AES Par d faut le chiffrement se fait en DES AGENT SNMP Envoi des alertes SNMPv3 traps L envoi des traps vers des machines se compose de deux parties avec gauche la liste des machines et droite le d tail d une machine pr alablement s lectionn e Liste des serveurs SNMP Dans cet cran vous configurez les stations que doit contacter le firewall lorsqu il veut envoyer un Trap SNMP v nement Si aucune station machine n est sp cifi e le firewall n envoie pas de messages Un assistant vous guide dans la configuration des machines En cliquant droite d un nom de machine la base d objets s affiche vous permettant de s lectionner une machine Serveur Nom du serveur de desti
4. SNMPvl SNMPv2c Version dont la requ te SNMP contient un nom appel Communaut utilis comme identifiant et transmis en clair sur le r seau L onglet G n ral Cet onglet permet de configurer le syst me c est dire la machine et son administrateur contient les notifications alarmes et v nements syst me qui seront int gr s dans les MIB disponibles L option Activer l agent permet l activation du module Il est possible toutefois de configurer les donn es de cet cran m me si le module n est pas activ SNMPv3 Active la version 3 de snmp version recommand e car munie d outils plus s curis s recommand outils de s curit comme l authentification le cryptage le contr le du timing Depuis d cembre 2002 un nouveau standard existe pour le protocole SNMP il apporte une avanc e significative en mati re de s curit La configuration requiert les param tres suivants SNMPv3 offre des m thodes d authentification ainsi que des m thodes de chiffrement et r sout certains probl mes de s curit des versions _pr c dentes E m SNMPv1 v2c Active les versions v1 v2C de SNMP V1 est la premi re version du protocole La seule v rification faite par cette version concerne la cha ne de caract res Community La version v2C est une version qui am liore les types d op ration de SNMPv2p et utilise la s curit par cha ne de caract res community de SNMPv1 SNMPvi v
5. Groupe Cet cran va vous permettre d agr ger vos objets selon votre topologie r seau par exemple Nom de l objet Nom donn au groupe d objets lors de sa cr ation Les objets en lecture seule seront gris s et ne pourront pas tre modifi s Commentaire Description associ e au groupe d objets Editer ce groupe Ce bouton comporte une bo te de dialogue d ajout d objet s au sein du groupe Deux colonnes apparaissent Celle de gauche comporte la liste de tous les objets r seaux que vous pouvez ajouter votre groupe La colonne de droite comporte les objets qui figurent d j dans le groupe Pour ajouter un objet dans le groupe vous devrez le faire passer d une colonne une autre 1 S lectionnez le ou les l ments ajouter Cliquez sur cette tl che ci l objet bascule dans la colonne de droite et int gre votre groupe en t te de la liste Pour retirer un objet du groupe s lectionnez le dans la colonne de droite et cliquez sur cette fl che note En cliquant sur le bouton Editer ce groupe vous pouvez d une part changez le nom du groupe et lui attribuer un commentaire et d autre part effectuer une recherche d objet s et en inclure de nouveaux au sein du groupe Objets dans ce groupe Vous visualisez les objets r seaux figurant dans votre groupe au sein d un tableau Pour tout ajout ou modification reportez vous au champ pr c dent Groupe d
6. Les boutons Editer Cette fonction permet d effectuer 3 actions sur les profils Renommer en cliquant sur cette option une fen tre compos e de deux champs remplir s affiche Celle ci propose de modifier le nom El uoneinByU09 8p 43 UOHESIINP anue PROTOCOLES ET APPLICATIONS d une part et d ajouter un commentaire d autre part Une fois l op ration effectu e cliquez sur Mis jour Il est galement possible d annuler la manipulation R initialiser Permet de rendre au profil sa configuration initiale de sorte que toutes les modifications apport es soient supprim es Copier vers Cette option permet de copier un profil vers un autre toutes les informations du profil copi seront transmises au profil r cepteur Il portera galement le m me nom Derni re modification T Cette ic ne GE permet de conna tre la date et l heure exactes de la derni re modification effectu e Si le profil s lectionn poss de un commentaire celui ci sera affich au sein d une info bulle Configurer la partie Cette option contient la liste des ports TCP par d faut Cette option est commune chaque pr sente dans chaque protocole sauf IP ICMP RTP RTCP profil Il est possible d Ajouter ou de Supprimer des ports en cliquant sur les boutons du m me nom HTTP L activation de ce protocole permet la pr vention de grandes familles d attaques applicatives ba
7. Nom Type Priorit Bp Bpmax Min Max Couleur Commentaire min inv inv File d attente par classe d application ou d affectation 1 Item QoS_HTTP 0kb 512kb Okb 512kb Limitation trafic HTTP Utilisation de la r gle de QoS dans la politique de filtrage Afin de visualiser la Qos dans l onglet Filtrage du module Filtrage et NAT double cliquez dans la colonne Action une fois votre r gle de filtrage tablie voir document Filtrage et NAT ou menu Politique de S curit module Filtrage et NAT colonne Action Effets sur le trafic Diminution du risque de congestion du r seau R duction de l impact du trafic sur les performances g n rales du r seau LITE DE SERVICE QOS Exemple 3 Garantie d un niveau de service minimum Certaines applications VolP par exemple n cessitent un niveau de services avec la garantie que ce niveau de services sera respect sous peine de disfonctionnement du service impossibilit de suivre une conversation VolP par exemple Les autres applications et leur impact sur les performances g n rales du r seau peuvent perturber l obtention du niveau de services requis Pour s assurer que le niveau de services requis sera maintenu il est recommand de cr er une r gle de QoS de type classe d application ou d affectation CBQ d finissant un d bit minimum garanti Elle permettra de garantir un niveau de service pour un trafic donn ind pendamment de l impact des autres tra
8. REMARQUE La mise en place d une taille maximale pour les l ments en octets permet de lutter contre les attaques par d bordement de tampon buffer overflow Indique le nombre maximum de destinataires que peut contenir un message Les messages dont le nombre de destinataires est excessif seront refus s par le firewall le refus sera marqu par un message d erreur SMTP Cela permet de limiter le spam d e mails Indique la taille maximale que peut prendre un message passant par le firewall NETASQ Les messages dont la taille est excessive seront refus s par le firewall q o uoneinByU09 8p 43 UOHESIINP anue PROTOCOLES ET APPLICATIONS Onglet Commandes SMTP Ce menu vous permet d autoriser ou de rejeter les commandes SMTP d finies dans les RFC Vous pouvez laisser passer une commande la bloquer ou analyser la syntaxe et v rifier que la commande est conforme aux RFC en vigueur Proxy Commandes principales Bouton Modifier toutes les commandes Permet d autoriser de rejeter ou de v rifier toutes les commandes Commande Indication du nom de la commande Action Indication de l action effectu e Autres commandes autoris es Commande Par d faut toutes les commandes non d finies dans les RFG sont interdites Cependant j certains syst mes de messagerie utilisent des commandes suppl mentaires non standardis es Vous pouvez donc ajouter ces commandes afin de les laisser passer au travers du fir
9. Supprimer Live Messenger MSN L cran des profils Onglet IPS D tecter et inspecter Si le protocole est activ il est automatiquement utilis la d couverte automatiquement le d un paquet correspondant dans les r gles de filtrage Cette option n est protocole pas disponible pour les protocoles IP ICMP TCPUDP RTP RTCP MSN YMSG Support D sactiver la pr vention En cochant cette option l action passer sera automatiquement d intrusion d clench e au sein du filtrage URL uoneinByUo9 8p 43 UOHESIINP anue Tracer chaque requ te Live Active ou d sactive les logs permettant de tracer les requ tes Live Messenger Messenger L cran de la configuration globale MSN liste des ports TCP par d faut Cette liste contient les ports TCP autoris s par d faut pour MSN Vous pouvez en ajouter en cliquant sur le bouton appropri ou le retirer de la liste en le s lectionnant et en cliquant sur Supprimer TFTP L cran des profils Onglet IPS D tecter et inspecter Si le protocole est activ il est automatiquement utilis la d couverte automatiquement le d un paquet correspondant dans les r gles de filtrage Cette option n est protocole pas disponible pour les protocoles IP ICMP TCPUDP RTP RTOP MSN YMSG ts uoneinByU09 8p 43 UOHESIINP anue PROTOCOLES ET APPLICATIONS Taille des l ments en octets Nom de f
10. l ext rieur du r seau local ou sur 180 4 P Fa une interface distincte le flux POP3 transite au travers du firewall lui permettant de r aliser son analyse 2 z 2 Filtrer la banni re d accueil Lorsque cette option est coch e la banni re de votre serveur de d envoy e par le serveur messagerie n est plus envoy e lors d une connexion POP3 En effet cette banni re contient des informations qui peuvent tre exploit es par S certains pirates type de serveur version logicielle S 2 Connexion o 8 Conserver l adresse IP Lorsqu une requ te est effectu e par un client web navigateur vers le 3 source originale serveur le firewall l intercepte et v rifie que celle ci soit conforme aux 2 r gles de filtrage d URL puis il relaie la demande g g Si cette option est coch e cette nouvelle requ te utilisera l adresse IP source originale du client web qui a mis le paquet Dans le cas contraire c est l adresse du firewall qui sera utilis e Support D sactiver la pr vention En cochant cette option la configuration venant d tre effectu e au _d intrusion _________ travers des diff rents champs ne sera pas prise en compte Tracer chaque requ te Active ou d sactive les logs permettant de tracer les requ tes HTTP POP3 PROTOCOLES ET APPLICATIONS Onglet Commandes POP3 Proxy Commandes principales Ce menu vous permet d autoriser ou de rejeter les commandes POP3 d finie
11. note L ic ne cl permet d afficher le mot de passe en clair pour v rifier qu il n est pas erron pour passer l tape 3 Etape 3 Authentification Autoriser l acc s au Resireinte aux interfaces internes en cochant cette option vous activez portail captif depuis les l authentification sur le portail captif r seaux prot g s Ceci quivaut l option Activer le portail captif depuis les interfaces interfaces internes internes du module Authentification dans le menu Utilisateurs Authentification i NOTE Lors de la cr ation d un nouvel utilisateur la m thode de hachage SHA sera utilis e pour le stockage des mots de passe CONFIGURATION DE L ANNUAIRE LDAP Ecran de l annuaire Microsoft Active Directory ONGLET ANNUAIRE ACTIVE DIRECTORY Une fois que la configuration de l annuaire effectu e vous acc dez l Active Directory qui pr sente les l ments suivants Activer l utilisation de Cette option permet de d marrer le service LDAP Pannuaire utilisateur Si la case n est pas coch e le module est inactif Annuaire distant Serveur Ce champ reprend le nom du serveur que vous avez pr alablement rempli la page pr c dente i Port Ce champ reprend le port d coute que vous avez pr alablement s lectionn la page pr c dente Domaine racine Le Domaine racine de votre annuaire Base DN Identifiant L identif
12. Adresse MAC Media Access control adress Elle correspond l adresse physique d une interface r seau ou d une carte r seau permettant d identifier une machine sur un r seau local Exemple SE FF 56 A2 AF 15 OBJETS RESEAUX R seau S lectionnez un r seau pour visualiser ou diter ses propri t s Ils poss dent chacun un nom une IP et un masque r seau Nom de l objet Nom donn l objet lors de sa cr ation Ce champ est modifiable il faudra cliquer sur Appliquer ou Sauvegarder pour enregistrer le changement Commentaire Description associ e au r seau s lectionn Adresse IP Adresse IP du r seau s lectionn Masque de r seau Masque de r seau ou de sous r seau Plage d adresses IP S lectionnez une plage d adresses IP pour visualiser ou diter ses propri t s Nom de l objet Nom donn l objet lors de sa cr ation Ce champ est modifiable il faudra cliquer sur Appliquer ou Sauvegarder pour enregistrer le changement Commentaire Description associ e la plage d adresses IP s lectionn e D but Premi re adresse IP associ e la plage Fin Derni re adresse IP associ e la plage Port plage de ports S lectionnez un port ou une plage de ports pour visualiser ou diter ses propri t s a a Nom de l objet Nom du service utilis Ce champ est gris et non modifiable Commentaire Description associ e au port ou
13. Ajout de VLAN Si vous souhaitez cr er un nouveau VLAN et que vous tes arriv au maximum du nombre dynamique de VLANs possible une fen tre pop up s affiche pour en ajouter d autres Il est possible galement de modifier manuellement ce nombre en allant dans Syst me Configuration R seau VLAN disponibles max 128 INTERFACES Suppression d un Vlan Pour supprimer un vlan s lectionnez le dans l arborescence des interfaces puis cliquez sur le bouton Supprimer de la barre d outils Le message Voulez vous r ellement supprimer cette interface s affiche Confirmez ou non votre suppression En confirmant la suppression une v rification de l utilisation de l interface check est faite Modification d un modem Modem PPPoE En cochant cette option Vous activez le modem mon toi Nom associ au modem obligatoire A i s oblig Ce nom doit tre unique et contenir 16 caract res au maximum Le nom du Commentaire Permet de donner un commentaire pour le modem Type de Indication du type de modem choisi lors de la cr ation modem Couleur Couleur attribu e au modem Authentification Identifiant Nom utilis pour l authentification Mot de passe Mot de passe utilis pour l authentification Si vous cliquez sur l ic ne cl 132 droite de ce champ le mot de passe s affiche en clair pour une dur e de 5 secondes Connectivit g Le modem est connect Indicat
14. Champ CONTENTTYPE Nombre maximum d octets pour le champ CONTENTTYPE incluant les attributs de formatage Min 128 Max 4096 Champ HOST Nombre maximum d octets pour le champ HOST incluant les attributs de formatage Min 128 Max 4096 nn Champ COOKIE Nombre maximum d octets pour le champ COOKIE incluant les attributs de formatage Min 128 Max 4096 y N Analyses HTML JavaScript Inspecter le code HTML Plut t que d interdire la connexion TCP l analyse efface les attributs malveillants pouvant tre contenus dans le code HTML en laissant passer le reste de la r ponse Inspecter le code Afin d viter que des contenus malveillants ne viennent endommager les JavaScript pages web dynamiques et interactives que fournit le langage de programmation JavaScript une analyse est effectu e afin de les d tecter De la m me fa on que l option Inspecter le code HTML si cette case est coch e l analyse sera effectu e en effa ant les contenus malveillants sans bloquer le paquet Supprimer Si cette case est coch e tout code malicieux pouvant s introduire dans du automatiquement les code HTML ou JavaScript sera automatiquement supprim contenus malveillants uoneinByUo9 8p 43 UOHESIINP anue Exemple d action malveillante Toute redirection votre insu vers un site web non souhait Liste d exclusion de la suppression automatique de code malveillant User Agent S Q uoneinByU09
15. Cr ation d un Vlan La configuration d un VLAN est r alis e au moyen d un assistant vous permettant de cr er de mani re simple l interface S lectionnez l interface ou le bridge auquel vous d sirez associer un VLAN Puis cliquez sur le bouton Ajouter puis Ajouter un VLAN Choisissez ensuite le type de VLAN que vous souhaitez cr er VLAN attach une Les firewalls multifonctions NETASQ peuvent se placer en terminaison seule interface de VLAN pour ajouter ou retirer un tag VLAN Le firewall assure le extr mit de VLAN filtrage entre VLAN et assure les communications entre les VLAN et les r seaux connect s aux autres interfaces du firewall Les VLAN sont per us par le firewall comme appartenant des interfaces virtuelles ce qui permet leur totale int gration au sein du syst me de s curit de l entreprise Si vous s lectionnez cette option en cliquant sur Suivant l cran d tape 2 s affiche La cr ation se passe en deux tapes VLAN attach 2 Cette option permet de cr er un vlan traversant c est dire un bridge N amp INTERFACES interfaces VLAN traversant contenant 2 Vlan ayant un identifiant identique Si vous s lectionnez cette option en cliquant sur le bouton Suivant l cran d tape 3 s affiche VLAN attach une seule interface extr mit de VLAN Identification du VLAN Interface parente S lectionnez l interface sur laquelle sera attach l
16. Pour ajouter un serveur d acc s Web suivez la proc dure suivante E Cliquez sur le bouton Ajouter puis s lectionnez l un des serveurs propos s Un cran contenant des noms de serveurs s affiche Indiquez un nom pour ce serveur Le nom ne peut tre vide et les caract res autoris s sont les chiffres les lettres l espace _ et le point EJ La configuration de ce serveur appara t alors les explications des diff rents param tres sont donn es ci dessous Serveur de Le champ permet de sp cifier l objet correspondant au serveur auquel destination l utilisateur pourra acc der N R AVERTISSEMENT z Veillez utiliser un objet dont le nom est identique au nom FQDN du 2 serveur auquel il fait r f rence Si cela n est pas le cas nom de l objet 2 webmail nom FQDN www webmail com par exemple il est possible que d les requ tes du firewall aupr s de ce serveur soient refus es z Port Champ permettant de sp cifier le port du serveur auquel l utilisateur veut D acc der Le port d fini est 80 pour http S URL chemin Cette URL permet d arriver directement sur la page sp cifi e 2 d acc s 8 URL utilis e par le Lien calcul selon les 3 champs Serveur de destination Port et URL 8 VPN SSL chemin d acc s Exemple htip serveur de destination URL chemin d acc s S Nom du lien sur le Le lien d fini appara t sur le portail Web NETASQ Lorsque l utilisateur S _porta
17. Source 10 2 18 5 55987 ed ephemeral_fw_tcp Destination 66 249 92 104 80 www google com Description Pr vention injection SQL instruction OR suspecte dans l URL uoneinByU09 8p 43 UOHESIINP anue 8 ANTISPAM L cran de configuration de l antispam se compose de 3 onglets G n ral Configuration de base du module Antispam activation param tres SMTP Analyse par r putation Domaines en liste blanche contient la liste des domaines qui doivent tre syst matiquement consid r s comme l gitimes Domaines en liste noire contient la liste des domaines qui doivent tre syst matiquement consid r s comme spammeurs L onglet G n ral L activation de l antispam s effectue en d terminant quelles seront les analyses activ es Deux choix sont disponibles sur le firewall __ Activer l analyse par Cette option permet de valider l metteur aupr s d une liste publique de Spams r putation listes reconnue DNSBL noires DNS RBL Activer l analyse Cette option permet d tudier le contenu du mail pour en d terminer la port e heuristique Param tres SMTP Le serveur de confiance concerne le serveur SMTP En renseignant ce champ qui est facultatif les e mails seront analys s de mani re plus fine par le module Antispam Nom du serveur Le serveur local SMTP d signe le nom canonique de votre serveur SMTP Cette SMTP FQDN information est facultative si elle
18. cran Ajouter En cliquant sur ce bouton une fen tre d dition de cl s affichera vous devrez lui VPN IPSEC fournir un ID une valeur et confirmer cette derni re Vous pourrez choisir d diter en caract res hexad cimaux ou ASCII Supprimer S lectionnez la cl retirer de la liste et cliquez sur Supprimer Identit Cette colonne affiche les ID de vos cl s pr partag es qui peuvent tre repr sent s par un nom de domaine FQDN une adresse e mail USER_FQDN ou une adresse IP Cl Cette colonne affiche les valeurs de vos cl s pr partag es en caract res hexad cimaux REMARQUES La cr ation de cl s pr partag es est illimit e La suppression d une cl pr partag e appartenant un tunnel VPN IPSec entra ne le dysfonctionnement de ce tunnel L onglet Profils de Chiffrement Profils de chiffrement par d faut N Le Le d ploiement et l utilisation massive d IPSec exige un protocole de gestion des SAs standard sur Internet extensible et automatis Par d faut le protocole de gestion automatis e des clefs choisi pour IPSec est IKE IKE est organis autour de 2 phases de n gociation Profil de chiffrement IKE phase 1 La phase 1 du protocole IKE vise tablir un canal de communication chiffr et authentifi entre les deux correspondants VPN Ce canal est appel SA ISAKMP diff rent de la SA IPSec Deux modes de n gociations sont possibl
19. des donn es confidentielles en exploitant les failles d un serveur FTP ou d une machine vuln rables par rebond Connexion Conserver l adresse IP Lorsqu une requ te est effectu e par un client web navigateur vers le source originale serveur le firewall l intercepte et v rifie que celle ci soit conforme aux r gles de filtrage d URL puis il relaie la demande Si cette option est coch e cette nouvelle requ te utilisera l adresse IP source originale du client web qui a mis le paquet Dans le cas contraire c est l adresse du firewall qui sera utilis e Modes de transfert autoris s Entre le client et le proxy Lorsque le client FTP envoie une requ te au serveur celle ci est d abord intercept e par le proxy qui l analyse Du point de vue du client FTP le proxy correspond au serveur Cette option permet de d finir le mode de transfert autoris Si Actif uniquement est sp cifi le client FTP d termine le port de connexion utiliser pour transf rer les donn es Le serveur FTP initialisera la connexion de son port de donn es port 20 vers le port sp cifi par le client Si Passif uniquement est sp cifi le serveur FTP d termine lui m me le port de connexion utiliser afin de transf rer les donn es data connexion et le transmet au client Si Actif et passif est sp cifi le client FTP aura le choix entre les deux modes de transfert au moment de la configuration du firewa
20. passer tout type de trafic Any en r gle 1 toute tentative de blocage au sein de la r gle 2 sera refus e Le message suivant s affichera R gle 2 Cette r gle ne sera jamais appliqu e car elle est couverte par la r gle 1 uoneinByUo9 8p je UOHESIINP anue a Ds uoneinByUo9 8p 43 UOHESIINP anue FILTRAGE SMTP Ce module se compose de 2 zones Une zone destin e aux profils Une zone destin e aux r gles de filtrage SMTP Les profils Le bandeau vous permet de manipuler les profils associ s au filtrage SMTP S lection du profil Le menu d roulant propose 10 profils num rot s de 00 09 Chaque profil poss de par d faut le nom Default accompagn de sa num rotation Exemples 0 Defaut00 1 Default01 Pour s lectionner un profil il faut cliquer sur la fl che droit du champ dans lequel est inscrit par d faut DefaultO0 et choisir le profil voulu Par d faut chaque profil est configur de la mani re suivante Etat Action Exp diteur Destinataire Commentaire to cc cci Activ Passer default rule pass all Les boutons Editer Cette fonction permet d effectuer 3 actions sur les profils Renommer en cliquant sur cette option une fen tre compos e de deux champs remplir s affiche Celle ci propose de modifier le nom d une part et d ajouter un commentaire d autre part Une fois l op ration effect
21. Alarme majeure D s que cette r gle est appliqu e une connexion une alarme mineure est g n r e Cette alarme est report e dans les logs et peut tre envoy e par Syslog partie Traces Syslog ou par e mail voir module Alertes e mails Programmation horaire Afin de pouvoir utiliser ce champ vous devez avoir cr au moins un Objet Temps au sein du menu Objets module Objets Temps Vous pourrez ainsi d finir la p riode le jour de l ann e le jour de la semaine l heure la r currence de validit des r gles Routage Passerelle Cette option est utile pour sp cifier un routeur particulier qui permettra de diriger le routeur trafic correspondant la r gle vers le routeur d fini Cliquer sur Ok pour valider votre configuration note Au moment du traitement du paquet le moteur de pr vention d intrusion NETASQ value les r gles dans l ordre o elles sont d finies dans la grille Onglet Qualit de service Le module de Qos int gr au moteur de pr vention d intrusion NETASQ est associ au module Filtrage pour offrir les fonctionnalit s de Qualit de Service D s sa r ception le paquet est trait par une r gle de filtrage puis le moteur de pr vention d intrusion l affecte la bonne file d attente suivant la configuration du champ QoS de cette r gle de filtrage FILTRAGE ET NAT QoS File d attente Ce champ vous propose de choisir parmi les files d atte
22. Antivirus Active ou d sactive l antivirus ClamaV dans le proxy Valeur par d faut 1 FTPProxy Active ou d sactive le proxy FTP Valeur par d faut 1 HTTPProxy Active ou d sactive le proxy http Valeur par d faut 1 ICAPURL Active ou d sactive l ICAP ReqgMod Valeur par d faut 1 ICAPVirus Active ou d sactive l ICAP RespMod Valeur par d faut 1 IMAPProxy Active ou d sactive le proxy IMAP qui n existe pas sur les UTM Valeur par d faut 1 POP3Proxy Active ou d sactive le proxy POP3 Valeur par d faut 1 SMTPProxy Active ou d sactive le proxy SMTP Valeur par d faut 1 SpamVendor Active ou d sactive le moteur heuristique de filtrage des spams Valeur par d faut 0 URLFiltering Active ou d sactive le filtrage d URL via la base NETASQ dans le proxy Valeur par d faut 1 URLVendor Active ou d sactive le filtrage d URL via la base Optenet dans le proxy Valeur par d faut 0 VirusVendor Active ou d sactive l antivirus Kaspersky dans le proxy Valeur par d faut 0 Service Authentication ___ Active ou d sactive l interface d authentification utilisateur DHCP Active ou d sactive le service DHCP serveur relai Valeur par d faut 1 142 _DNS __ Active ou d sactive le service DNS cache Valeur par d faut 1 DynDNS Active ou d sactive le client DynDNS de mise jour de serveur DNS z Enrolment Active ou d sactive l enr lement Valeur par d faut 1 z LDAPBase Active ou
23. Le cluster est ainsi compos de deux firewalls si le premier tombe le second prendra le relai de mani re transparente note Un reboot sera effectu la fin de l assistant Une fois le reboot effectu le bo tier fait partie du cluster donc n existe plus en tant qu entit mais en tant que membre du cluster Q AVERTISSEMENT Lorsque vous choisissez de rejoindre un cluster il implique que vous en ayez d j cr un au pr alable en ayant coch l autre option Cr er un groupe de firewalls cluster et en ayant effectu les configurations n cessaires pour sa mise en place sur un premier firewall o AVERTISSEMENT Il est important de ne pas cr er deux fois de cluster au quel cas vous mettriez en place deux clusters HA contenant chacun un firewall et non un cluster HA contenant 2 firewalls HAUTE DISPONIBILIT Etape 2 Configuration des interfaces r seaux Si vous avez choisi de cr er un cluster Lien principal Interface Interface principale utilis e pour relier les deux firewalls constituant le cluster S lectionnez l parmi les objets figurant au sein de la liste d roulante D finir l adresse IP Entrez l adresse IP laquelle votre groupe de firewalls cluster devra se connecter pour fonctionner D finir le masque Entrez le masque r seau pour votre groupe de firewalls cluster r seau Lien secondaire facultatif Si le firewall ne re oit pas de r ponse sur le lien princ
24. N Ri uoneinByUo9 8p 43 UOHESIINP anue PROTOCOLES ET APPLICATIONS Si Passer sans analyser est sp cifi le fichier en cours d analyse est transmis Lorsque la collecte de Cette option d crit le comportement de l antivirus face certains donn es choue v nements Il est possible de Bloquer le trafic en cas d chec de la r cup ration des informations ou de le laisser passer sans analyser Exemple Si le disque dur est plein le t l chargement des informations ne pourra pas tre effectu SMTP Le protocole SMTP a pour objectif de d tecter les connexions entre un client et un serveur e mail ou entre deux serveurs e mails utilisant le protocole SMTP Il permet d envoyer des e mails Il est utilis par SEISMO pour d tecter la version du client et ou du serveur e mail afin de remonter d ventuelles vuln rabilit s Onglet IPS D tecter et inspecter Si le protocole est activ il est automatiquement utilis la d couverte automatiquement le d un paquet correspondant dans les r gles de filtrage Cette option n est protocole pas disponible pour les protocoles IP ICMP TCPUDP RTP RTCP MSN YMSG Extensions du protocole SMTP Filtrer l extension Permet de filtrer les donn es transf r es d une adresse mail une autre CHUNKING Exemple Les pi ces jointes incluses dans un mail Filtrer les extensions Permet de filtrer les commandes additionnelles prove
25. Param tres L analyse des fichiers ClamAV Dans ce menu vous configurez les types de fichiers qui doivent tre analys s par le service Antivirus du firewall NETASQ Analyse des ex cutables Cette option permet d activer le moteur de d compression compress s Diet Pkite Lzexe Exepack Analyses des archives Cette option permet d activer le moteur d extraction et d analyser les archives zip arj Iha rar cab Bloquer les fichiers prot g s par Cette option permet de bloquer les fichiers prot g s par mot de mot de passe passe Bloquer les formats de fichiers Cette option permet de bloquer les formats de fichiers que non support s l antivirus ne peut analyser L analyse des fichiers Kaspersky uoneinByU09 8p 43 UOHESIINP anue s Analyse des archives Cette option permet d activer le moteur d extraction et d analyser les archives zip arj Iha rar cab Bloquer les fichiers prot g s par Cette option permet de bloquer les fichiers prot g s par mot de mot de passe passe AUTHENTIFICATION La fonction d authentification permet l utilisateur de d clarer son login et de s identifier en fournissant un mot de passe qu il est le seul pouvoir conna tre et qui prot ge ses donn es personnelles Elle utilise une base de donn es LDAP Lightweight Directory Access Protocol stockant des fiches utilisateurs et ventuellement le certificat num rique x509 de l util
26. R solution DNS 75 Fournisseur du service DNS dynamique 76 Configuration avanc e 76 DROITS D ACCES 77 Onglet Acc s par d faut 77 Authentification JP VPN SSL 77 IPSEC 78 Onglet Politique d acc s 78 Les manipulations possibles 78 La grille de configuration 78 Onglet Serveur PPTP 80 ENROLEMENT 81 La grille d enr lement 81 Les actions possibles 81 Les demandes d enr lement utilisateurs et certificats 81 Propri t s avanc es 82 V NEMENTS SYST MES 83 Les actions possibles 83 Rechercher 83 Restaurer la configuration par d faut 83 La liste des v nements 83 FILTRAGE ET NAT 85 Les politiques 85 S lection de la politique de filtrage 85 Les actions 86 Le glisser d poser drag n drop 86 L onglet Filtrage 87 Les actions sur les r gles de la politique de filtrage 87 La grille de filtrage 89 L onglet NAT 96 Les actions sur les r gles de la politique de NAT97 La grille de NAT 98 FILTRAGE SMTP 102 Les profils 102 S lection du profil 102 Les boutons 102 Les r gles 103 Les manipulations possibles 103 La grille 103 Erreurs trouv es dans la politique de filtrage SMTP 104 FILTRAGE SSL 105 Les profils 105 S lection du profil 105 Les boutons 105 Les r gles 106 Les manipulations possibles 106 La grille 106 Erreurs trouv es dans la politique de filtrage SSL 106 FILTRAGE URL 107 Les profils 107 S lection du profil 107 Les boutons 107 Les r gles 108 Les manipulations
27. UTILISATEURS Supprimer Ce bouton permet de supprimer un utilisateur ou un groupe S lectionnez l utilisateur ou le groupe supprimer Cliquez sur Supprimer une fen tre affichant le message Confirmez vous l effacement de l utilisateur lt nom de l utilisateur gt s affiche Cliquez sur Oui V ri er l utilisation Mat rialis par l ic ne ce bouton vous renseigne sur les groupes dont vos utilisateurs font partie ainsi que sur l utilisation de l utilisateur ou du groupe dans le reste de la configuration Exemple Le filtrage S lectionnez l utilisateur ou le groupe pour lequel vous souhaitez v rifier l utilisation Cliquez sur le bouton V rifier l utilisation L arborescence des menus de gauche vous pr sente votre utilisateur groupe par son identifiant au sein de l onglet User ans groups et affiche la liste des groupes dont celui ci fait partie ainsi que son utilisation dans la configuration du firewall La liste des utilisateurs CN Lorsque vous souhaitez acc der aux donn es d un utilisateur s lectionnez le dans la liste des CN de gauche et les informations le concernant apparaissent dans la colonne de droite N N L onglet Compte Modifier le mot En cliquant sur cette option vous pouvez cr er le mot de passe d authentification de de passe l utilisateur dans une fen tre sp cifique affichant galement le niveau de s curit note Pour autoriser l util
28. au dessus de la r gle s lectionn e afin d indiquer un commentaire sur une ligne d dition du NAT par exemple Le but de cette option est de regrouper les r gles jusqu au prochain s parateur Vous pouvez plier et d plier le n ud du s parateur afin de masquer ou afficher le regroupement de r gle R gle de NAT statique Le principe de la translation d adresse statique est de convertir une adresse IP ou N adresses IP ou adresse publique par exemple en une autre ou en N adresses IP priv e par exemple lors du passage par le firewall quelle que soit la provenance de la connexion Une fen tre d assistant vous permet d associer une IP priv e et une IP publique virtuelle en d finissant leurs param tres Vous devez choisir au sein des listes d roulantes les Machines priv es et virtuelles pour vos IP ainsi que l interface sur laquelle vous souhaitez les appliquer Le champ de Configuration avanc e permet de restreindre l application un port ou un groupe de ports ainsi que d activer la Publication ARP Cette derni re permet de rendre disponible l IP publier via l adresse MAC du firewall Cliquez ensuite sur Terminer pour valider votre configuration note Pour une r gle de translation bidirectionnelle bimap de N vers N les plages d adresses r seaux ou groupes de machines originaux et translat s doivent tre de m me taille La translation bidirectionnelle est g n ralement utilis e pour donner acc s
29. chargement partir de l o a surgi l erreur plut t que de devoir tout t l charger de nouveau Il s agit dans ce cas d un t l chargement partiel le t l chargement ne correspond pas un fichier complet L option T l chargement partiel permet de d finir le comportement du proxy HTTP du firewall vis vis de ce type de t l chargement Bloquer le t l chargement partiel est interdit Bloquer si l antivirus est actif le t l chargement partiel est autoris et le trafic est filtr par l antivirus Passer le t l chargement partiel est autoris mais il n y a pas d analyse antivirale effectu e Lorsque les fichiers t l charg s sur l Internet via HTTP sont trop imposants ils peuvent d grader la bande passante du lien Internet et cela pour une dur e parfois tr s longue Pour viter cela indiquez la taille maximum en Ko pouvant tre t l charg e par le protocole HTTP Lorsqu un virus est d tect Ce champ contient 2 options En s lectionnant Bloquer le fichier analys n est pas transmis En s lectionnant Passer l antivirus transmet le fichier dans son tat Lorsque l antivirus ne peut analyser Cette option d finit le comportement de l antivirus si l analyse du fichier qu il est en train de scanner choue Exemple Il ne r ussit pas analyser le fichier parce qu il est verrouill Si Bloquer est sp cifi le fichier en cours d analyse n est pas transmis
30. cifiez netasq dyndns org dans le champ Nom de domaini et que l option Effectuer la r solution DNS pour les sous domaines gestion du wildcard est s lectionn e tous les sous domaines commerce netasq dyndns org labo netasq dyndns org etc seront associ s au client Interface associ e Nom de l interface r seau dont l adresse IP est associ e au nom de domaine au nom de domaine note Une interface ne peut utiliser qu un seul profil Un profil ne peut tre utilis que par une interface Le profil ne peut tre actif si une interface n est pas indiqu e Effectuer la Active ou d sactive la prise en compte des sous domaines li s au nom de r solution DNS pour domaine les sous domaines note gestion du wildcard Une souscription l offre Wildcard est n cessaire pour b n ficier de cette fonctionnalit uoneinByU09 ap 43 UOHESIINP anue a DNS DYNAMIQUE Fournisseur du service DNS dynamique Cette zone vous permet de saisir les informations d acc s de votre fournisseur de service DNS Dynamique Fournisseur DNS Fournisseur de services DNS Actuellement un seul fournisseur de services dynamique DNS est support DynDNS obligatoire Nom d utilisateur Utilisateur indiqu par le fournisseur de services DNS pour l authentification obligatoire du client DNS dynamique Mot de passe Mot de passe indiqu par le fournisseur de services DNS pour obligatoire l authentification du
31. couper le flux VLAN par exemple les proxies cette m thode de pr servation du tag VLAN entre plusieurs interfaces d un m me bridge permet l utilisation compl te des fonctionnalit s du firewall a uoneinByU09 8p 43 UOHESIINP anue INTERFACES Identification du VLAN Nom Saisissez un nom unique pour votre VLAN Identifiant de VLAN Ce champ permet de sp cifier quelle sera la valeur associ e au VLAN dans les paquets transitant sur le r seau Ce tag identifie le VLAN et est utilis au niveau Ethernet Couleur Couleur attribu e au VLAN Plan d adressage du VLAN Utiliser un bridge existant En cochant cette option vous s lectionnez dans la liste d roulante le bridge auquel seront attach s les Vlan Cr er un nouveau bridge En cochant cette option un wizard permettra de cr er un nouveau bridge qui contiendra donc les deux interfaces IP dynamique obtenue par Lorsque votre firewall ne poss de pas d adresse IP statique son DHCP adresse IP est renouvel e r guli rement par votre fournisseur d acc s DHCP etc il est possible d associer via un fournisseur de services DNS dyndns org par exemple l adresse IP allou e et un nom de domaine qui lui est fixe afin de pouvoir contacter ce firewall sans pour autant conna tre son adresse IP Cette option vous permet d activer cette fonctionnalit en s lectionnant un compte DNS dynamique que vous avez pr alablement configur Veuil
32. dans le champ Destinataire membre du groupe lt nomdugroupe gt Cliquez ensuite sur le bouton Ajouter un destinataire au groupe Un cran s affiche permettant d indiquer soit le mail du destinataire soit l utilisateur ou le groupe auquel il appartient si celui ci se trouve dans la base d objets La saisie de l adresse e mail est libre mais le format de l adresse est v rifi Supprimer un groupe 1 S lectionnez la ligne supprimer Cliquez sur le bouton Supprimer Le message suivant Voulez vous vraiment supprimer le groupe nomm lt nom du groupe gt s affiche En cliquant sur Oui le groupe est supprim de la liste REMARQUE La suppression d un groupe ne peut tre r alis e que si le groupe n est pas utilis dans une autre configuration du firewall Si l on veut supprimer un groupe d j actif dans un module un pop up d avertissement s affiche et propose de forcer la suppression de v rifier l utilisation du groupe ou d annuler l action uoneinByU09 8p 43 UOHESIINP anue s V rifier Le bouton V rifier l utilisation permet de v rifier si un groupe d e mails est utilis dans les diff rents modules de configuration du firewall 1 S lectionnez la ligne v rifier Cliquez sur le bouton V rifier afin d effectuer la v rification ALERTES E MAILS L onglet Mod les Il permet d utiliser un courrier type personnalisable pour l mission des mails Six mod les sont disponibles
33. n identifie pas le serveur DHCP mais le firewall Si le champ est rempli et que le serveur DHCP externe poss de l option de mise jour automatique du serveur DNS alors le serveur DHCP met jour automatiquement le serveur DNS avec le nom fourni par le firewall et l adresse IP qui lui a t fournie Ce nom se compose de 6 octets en hexad cimal s par s par des Dur e de bail P riode de conservation de l adresse IP avant ren gociation demand e A Demander les Lorsque cette option est coch e le firewall r cup re les serveurs DNS aupr s serveurs DNSau du serveur DHCP fournisseur d acc s par exemple qu il contacte pour obtenir Servar DHCP et son adresse IP cr er les objets machine D s que cette option est coch e deux objets sont dynamiquement cr s dans la associ s base d objets Firewall_ lt nom de l interface gt _dns1 et Firewall_ lt nom de l interface_dns2 Ils peuvent ainsi tre utilis s dans la configuration du service DHCP Ainsi si le firewall offre un service DHCP aux utilisateurs de son r seau les utilisateurs seront cr dit s des serveurs DNS fournis par le fournisseur d acc s note Cette option est d sactiv e si l option IP dynamique obtenue par DHCP n est pas activ e dans l onglet Configuration de l interface D uoneinByU09 8p 43 UOHESIINP anue INTERFACES Bridge Routage sans analyse note Indication d sactiv si l option Plan d adressa
34. s aux l ments de la colonne R seau source objet machine r seau ou groupe Interface Une liste d roulante permet de s lectionner une interface parmi Ethernet Vlan Obligatoire dialup Prot g e Cette colonne vous informe de la nature prot g e ou pas de la route Une route prot g e est ajout e l objet Network internals Le comportement de la configuration de s curit prendra en compte ce param tre Les machines joignables par cette route seront m moris es dans le moteur de pr vention d intrusion Passerelle Un clic sur cette colonne ouvre la base d objets afin de s lectionner une machine Optionnel routeur Couleur Une fen tre s affiche permettant de s lectionner une couleur d interface utilis e Optionnel dans NETASQ REALTIME MONITOR et NETASQ EVENT REPORTER Commentaire Texte libre Optionnel Li R SERVEUR PPTP L cran de configuration du serveur PPTP se divise en 2 zones Configuration g n rale Activation du serveur PPTP choix du pool d adresses Configuration avanc e Choix du nombre de connexions PPTP La mise en place est tr s simple et rapide Elle se d roule en trois tapes Cet cran permet la configuration des param tres suivants Les adresses IP des clients PPTP objet Les param tres de chiffrement Le Serveur DNS et le serveur WINS Configuration g n rale Activer le serveur Activation Configuration du serveur
35. sactiv e la ligne est gris e afin de refl ter la d sactivation REMARQUE Le firewall va valuer les r gles dans leur ordre d apparition l cran une une en partant du haut D s qu il rencontre une r gle qui correspond la demande il effectue l action sp cifi e et s arr te l Ce qui signifie que si l action sp cifi e au sein de la r gle correspond Bloquer toutes les r gles effectu es en dessous de celle ci passeront automatiquement en Bloquer galement Action Permet de sp cifier le r sultat de la r gle Passer pour autoriser l envoi et la r ception des mails Bloquer pour les interdire Exp diteur D finition de l metteur du mail A partir de la version 9 0 1 la s lection de none en tant qu exp diteur est possible Destinataire D finition du destinataire du mail to cc cci Commentaire Commentaire associ la r gle La saisie d un masque d e mails peut comporter la syntaxe suivante remplace une s quence de caract res quelconque Exemple netasq com permet de d finir l ensemble des emails domaine Internet de la soci t NETASQ Il est galement possible de trouver pour le remplacement d un caract re lt vide gt Cette valeur ne peut tre obtenue que lorsque le champ Exp diteur est vide Elle n est utilis e que pour le cas des Mailer Deamon En effet lorsqu un mail ne trouve pas de destinataire sur le serveur mail distant un
36. transparente authentification unique permet de d finir la dur e pendant laquelle aucune r authentification transparente ne sera demand e par le firewall uoneinByUo9 ap 18 UOHESIINP NUE Configuration avanc e Autoriser lacc s au En cochant cette option vous autorisez la publication du fichier PAC sur les fichier PAC depuis les interfaces internes interfaces internes La publication du fichier PAC est galement possible pour les interfaces externes AUTHENTIFICATION _Enr lement des utilisateurs Ne pas permettre Si cette case est coch e aucun utilisateur inconnu l annuaire LDAP ne l enr lement des pourra s y inscrire ni cr er de compte utilisateurs Autoriser l enr lement La cr ation d un compte utilisateur doit tre effectu e pour que cette option web des utilisateurs soit fonctionnelle Si cette case est coch e tout utilisateur tentant de se connecter et ne figurant pas dans la base des utilisateurs aura la possibilit de demander la cr ation de son compte en remplissant un formulaire web La demande pourra tre valid e ou refus e par un administrateur Autoriser l enr lement Si cette option est activ e vous pourrez non seulement demander la cr ation web des utilisateurs et de votre compte si vous ne figurez pas dans la base des utilisateurs mais cr er leur certificat aussi demander la cr ation d un certificat Notification d
37. une seconde partie pour les URL Vous pouvez au niveau de la configuration des groupes effectuer les actions suivantes Ajouter un groupe Cr e un nouveau groupe En cliquant sur ce bouton une nouvelle ligne s affiche d URL vous permettant d indiquer ler nom du groupe et un ventuel commentaire Supprimer Supprime un groupe ou une URL existante S lectionnez la ligne supprimer puis cliquez sur ce bouton Le message suivant s affiche Voulez vous supprimer le groupe xxx Si le groupe est utilis dans ce cas un message vous pr vient et vous demande nouveau ce que vous souhaitez faire V rifier l utilisation Permet de v rifier si le groupe s lectionn au pr alable est utilis dans une configuration Lorsque vous cliquez sur ce bouton un panneau s affiche au niveau de l arborescence des modules et indique les modules qui utilisent ce groupe Groupe d PURL Nom du groupe d URL 2 uoneinByuo9 8p 43 UOHESIINP anue OBJETS WEB Commentaire Description du groupe d URL Format La description de ce champ est valable pour les URL uniquement Les groupes d URL ne sont pas touch s par les restrictions de format La saisie d un masque d URL peut comporter la syntaxe suivante Remplace une s quence de caract res quelconque Exemple netasq com permet de d finir le domaine Internet de la soci t NETASQ 7 Remplace un caract re Exemple netasq com est qu
38. vention d intrusion Tracer chaque requ te SMTP En cochant cette option la configuration venant d tre effectu e au travers des diff rents champs compris dans l onglet ne sera pas prise en compte Active ou d sactive les logs permettant de tracer les requ tes SMTP Onglet Proxy Filtrer la banni re d accueil Lorsque cette option est coch e la banni re du serveur est anonymis e lors d une connexion SMTP Commande HELO Remplacer le nom de domaine du client par son adresse IP Lors d une identification basique le client renseigne son nom de domaine en ex cutant la commande HELO En cochant cette case le nom de domaine sera remplac par l adresse IP Connexion Conserver l adresse IP source originale Lorsqu une requ te est effectu e par un client web navigateur vers le serveur le firewall l intercepte et v rifie que celle ci soit conforme aux r gles de filtrage d URL puis il relaie la demande Si cette option est coch e cette nouvelle requ te utilisera l adresse IP source originale du client web qui a mis le paquet Dans le cas contraire c est l adresse du firewall qui sera utilis e Limites lors de l envoi d un e mail Ligne de message 1000 2048 Ko Nombre maximal de destinataires 0 2147483647 Ko Taille maximum du message 0 2147483647 Ko Ce champ indique la longueur maximale d une ligne lors de l envoi d un message
39. 43 UOHESIINP anue a ou avec authentification par certificat L Description Commentaire ventuel d crivant l utilisateur le groupe d utilisateur ou la r gle REMARQUE Lorsque vous ajoutez une ligne au tableau et que vous n avez encore mis en place aucune r gle les colonnes Authentification VPN SSL et IPSEC sont en Interdire par d faut m me si vous les avez configur es diff remment au sein de l onglet Options par d faut Il faut donc cliquer sur l option D faut l aide de la fl che de droite dans chaque colonne si vous souhaitez r cup rer vos modifications effectu es pr alablement DROITS D ACCES Onglet Serveur PPTP Il permet de lister les utilisateurs ayant acc s au VPN PPTP leur donnant acc s une connexion s curis e et chiffr e pour leur login Vous pouvez effectuer les actions suivantes Ajouter Lorsque vous cliquez sur ce bouton une nouvelle ligne vient s ajouter au tableau et vous pr sente la liste d roulante des utilisateurs cr s au pr alable au sein du menu Utilisateurs module Utilisateurs Pour que l op ration soit valide vous devez entrer le mot de passe de l utilisateur dans la fen tre qui s affiche note Il est possible de saisir un utilisateur ne figurant pas dans la base des utilisateurs du firewall le PPTP tant ind pendant du module LDAP Supprimer S lectionner la ligne contenant l utilisateur retirer de la liste des login PPTP puis cliqu
40. 43 uopesyn p anue MAINTENANCE Restaurer tous les Cette case est coch e par d faut si vous choisissez de la maintenir ainsi modules du fichier de l int gralit des modules contenus dans le fichier de sauvegarde seront sauvegarde restaur s Si vous souhaitez ne restaurer qu une partie des modules du fichier de sauvegarde d cochez la case du dessus afin de d grisez les champs suivants Cochez ceux dont vous souhaitez restaurer la configuration parmi R seau Interface routage et DNS dynamique Filtrage SMTP Filtrage URL Filtrage SSL Objets web Modules globaux Protection IPS Configuration s curis e Active Update Services SNMP serveur DHCP Profils d inspection Objets r seaux Filtrage et NAT VPN IPSec Annuaire LDAP Onglet Configuration s curis e Configuration s curis e Cet cran va permettre de prot ger l acc s votre firewall Activer le mode de Le principe de ce mode est de dissocier configuration chiffr e et cl de configuration d chiffrement sur deux diff rents supports l une sur une cl USB l autre sur le disque dur de votre firewall afin que seul l administrateur en possession de la cl USB ne puisse acc der la configuration du firewall en le d marrant s curis e Statut de la cl USB Ce champ indique l tat de votre cl USB lorsque le chiffrement de votre s
41. Assistant Importation de certificat s affiche et r sume les param tres que vous avez configur s 6 Cliquez sur Terminer Il est possible qu un cran Avertissement de S curit apparaisse et vous demande de confirmer l installation de votre certificat ce facteur varie selon la configuration de votre Windows ou de votre OS note Tout probl me rencontr au sein de cette proc dure n est pas du ressort de NETASQ Publication LDAP Ce bouton vous permet de publier dans l annuaire LDAP une CA sous CA ou un certificat en le s lectionnant dans la liste de gauche Cr er CRL Ce bouton permet de cr er une CRL pour une CA sous CA ou certificat apparaissant dans la liste de gauche Vous devrez entrer le mot de passe prot geant l autorit puis cliquez sur Cr er CRL Lorsque vous voudrez v rifier qu une CRL est bien jour tapez la commande checkcorl d Pour qu une CRL soit correctement entr e n oubliez pas d indiquer le http le FQDN complet ca crl note uoneinByUo9 8p 43 UOHESIINP anue g Cette ic ne en haut droite de l cran vous propose soit de d finir l une des CA comme autorit par d faut par le biais d une fen tre de confirmation pour cela positionnez vous sur la CA voulue et s lectionnez par d faut Vous pouvez galement V rifier l utilisation de votre CA Si celle ci est d j utilis e dans un module vous la verrez appara tre au sein de l arboresce
42. Ce champ d signe la provenance du paquet trait il est utilis comme crit re de s lection pour la r gle Un double clic sur cette zone permettra de choisir la valeur associ e dans une fen tre d di e Celle ci comporte deux onglets uoneinByU09 8p 43 UOHESIINP anue s Onglet G n ral G n ral Utilisateur La r gle s appliquera l utilisateur que vous s lectionnerez dans ce champ Il en existe deux par d faut Any user d signe tout utilisateur authentifi Unknown users d signe tout utilisateur inconnu ou non authentifi iJ NOTE Pour que les utilisateurs non authentifi s soient automatiquement redirig s vers le portail captif il faut d finir au moins une r gle qui s applique l objet uoneinByUo9 8p 43 UOHESIINP anue s FILTRAGE ET NAT unknown users Cette r gle s appliquera galement d s qu une authentification expire Machines La r gle s appliquera l objet ou l utilisateur cr pr alablement au sein de leur menu sources d di 0bjets module Objets r seaux ou Utilisateurs module Utilisateurs que vous s lectionnerez dans ce champ La machine source est la machine d o provient la connexion Vous pouvez Ajouter ou Supprimer un ou plusieurs objets en cliquant sur l ic ne Interface Interface sur laquelle s applique la r gle de filtrage pr sent e sous forme de liste d entr e d roulante Par d faut le firewall la s lectionne au
43. Certificat ou par Cl pr partag e PSK Pre Shared Key Cochez l option voulue 1 Si vous optez pour le Certificat vous devrez le s lectionner parmi ceux que vous avez cr pr alablement au sein du module Certificats et PKI 2 Si vous optez pour la Cl pr partag e PSK il vous faudra d finir le secret que partageront les deux correspondants du tunnel VPN IPSec sous forme d un mot de passe confirmer dans un second champ Vous pouvez Saisir la cl en caract res ASCII chaque caract re d un texte en ASCII est stock dans un octet dont le 8 bit est 0 en cochant la case correspondante D cochez la case pour afficher la cl en caract res hexad cimaux dont le principe repose sur 16 signes les lettres de A F et les chiffres de 0 9 Cliquez sur Suivant Terminer la cr ation du correspondant L cran vous pr sente une fen tre r capitulative de la configuration effectu e les Param tres du site distant et la Cl pr partag e Vous pouvez galement ajouter un correspondant de secours en cliquant sur le lien joint Vous devrez renseigner la passerelle distante Cliquez sur Terminer E _ sa R seau local Machine groupes de machines plage d adresses r seau ou groupe de r seaux i il le el N re R seau distant chi roi nes plage r seau o groupe de r seaux faisant r f rence au correspondant VPN en vis vis de votre firewall et inversement Les deux correspondant
44. NAT Tracer Le firewall NETASQ n effectue aucune action Ceci est utile si vous voulez juste tracer certains flux sans appliquer d action particuli re Reinit TCP UDP Cette option concerne surtout les trafics TCP et UDP Dans le cas d un trafic TCP un paquet TCP reset sera envoy l metteur de celui ci Dans le cas d un trafic UDP un paquet ICMP port unreachable sera envoy l metteur de celui ci En ce qui concerne les autres protocoles IP le Firewall NETASQ bloque simplement le paquet correspondant cette r gle de filtrage Si vous vous trouvez en mode d dition de la politique globale de filtrage une gere possibilit appara t D l guer Cette option permet de ne plus confronter le trafic au reste de la politique globale mais de le confronter directement la politique locale Niveau de trace 4 choix sont possibles Aucun Aucune trace n est conserv e si le paquet correspond cette r gle de filtrage note Cette option est indisponible si vous avez pr alablement choisi l action Tracer au sein du champ pr c dent Tracer Si vous choisissez cette option une trace sera ajout e dans les logs de filtrage Alarme mineure D s que cette r gle est appliqu e une connexion une alarme mineure est g n r e Cette alarme est report e dans les logs et peut tre envoy e par Syslog partie Traces Syslog ou par e mail voir module Alertes e mails
45. PPTP sur le firewall Cela est r alis en PPTP cochant Activer le serveur PPTP Adresses IP des Une fois le serveur PPTP activ il faut obligatoirement cr er un pool d adresses clients PPTP objet IP priv es Le firewall affecte au client qui vient se connecter en PPTP une Obligatoire adresse IP disponible dans le pool Il faut cr er un groupe de machines contenant les adresses r serv es ou une plage d adresses provenant de la base objets uoneinByUo9 ap 43 UOHESIINP anue Param tres transmis aux clients PPTP Serveur DNS Le champ Serveur DNS permet d envoyer l adresse IP du serveur DNS au client Serveur WINS Le champ Serveur WINS permet d envoyer au client l adresse IP du serveur WINS du site A partir de la version 9 0 1 les caract res _ et sont autoris s pour les noms des utilisateurs PPTP Configuration avanc e Nombre de connexions PPTP r serv es 0 96 nombre variable selon le mod le install Si vous souhaitez cr er un nouveau serveur PPTP et que vous tes arriv au maximum du nombre dynamique de PPTP possible vous avez la possibilit d en augmenter le nombre REMARQUE D s qu une modification est faite sur le nombre de connexions PPTP diminution ou augmentation un red marrage est n cessaire pour prendre en compte cette modification i T uoneinByU09 8p je uopesyn p anue SERVEUR PPTP Chiffrement du trafic _Les param tres de chiff
46. Vlan Ce nom doit tre unique et contenir 16 caract res au maximum Le nom du Vlan ne peut contenir certaines appellations Commentaire Permet de donner un commentaire pour le Vlan Interface parente Nom physique de l interface laquelle est attach le Vlan Couleur Couleur attribu e au Vlan Identifiant de Identifiant du Vlan qui peut tre compris entre 1 et 4094 et doit tre unique VLAN sauf s il s agit d un Vlan associ un autre bridge dans un vlan traversant Cette interface est Si vous s lectionnez interne prot g e vous indiquez le caract re priv de l interface Les adresses des interfaces internes ne sont pas utilisables en tant que destination pour les paquets en provenance des interfaces non prot g es hormis si ceux ci viennent d tre translat s iJ NOTE On notera que interne prot g e implique forc ment d tre sur une interface prot g e Les options interne prot g e et externe publique sont donc incompatibles Si vous s lectionnez l option externe publique vous indiquez que cette partie du r seau est reli e Internet Dans la majorit des cas l interface externe reli e Internet doit tre en mode externe Le caract re prot g de l interface mat rialis par un bouclier 7 dispara t lorsque cette option est coch e Plan d adressage Aucun interface En cochant d cochant cette option on active d sactive l interface E
47. Vous pouvez cliquer sur Appliquer pour valider votre configuration Onglet Politique d acc s Les manipulations possibles Bouton Ajouter Ins rer une ligne configurer apr s la ligne s lectionn e Bouton Supprimer Supprimer la ligne s lectionn e Bouton Monter Placer la ligne s lectionn e avant la ligne directement au dessus Bouton Descendre Placer la ligne s lectionn e apr s la ligne directement en dessous A partir de la version 9 0 1 un champ de recherche par mots lettres cl s permet d acc der aux utilisateurs souhait s La grille de configuration Elle va vous permettre d accorder ou non des droits d acc s vos utilisateurs ou groupes d utilisateurs Vous pouvez les personnaliser au niveau de l Authentification du VPN SSL et de l IPSEC La grille pr sente les colonnes suivantes _ n Etat Etat de la configuration des droits d acc s de l utilisateur ou du groupe d utilisateurs Activ Double cliquez un point de la colonne pour activer la r gle cr e D sactiv La r gle n est pas op rationnelle La ligne sera gris e afin de refl ter la d sactivation REMARQUE Le firewall va valuer les r gles dans leur ordre d apparition l cran une une en partant du haut celles ci sont d ailleurs num rot es gauche de la colonne Si la r gle 1 concerne un groupe d utilisateur chaque utilisateur attach aux r gles suivantes et faisant part
48. adresse du serveur NTP aux clients DHCP Si les clients sont configur s pour synchroniser leur horloge NTP ce serveur doit tre utilis comme une r f rence de temps Serveur de News NNTP Ce champ permet d envoyer l adresse du serveur de news aux clients DHCP Ce serveur fournit le service NNTP qui autorise les clients lire les nouvelles Usenet Serveur TFTP Le serveur TFTP sert pour le boot distance des machines Ce champ peut tre utilis pour le d marrage d quipements r seaux tels que des routeurs des X terminals ou des stations de travail sans disque dur Annoncer le fichier de configuration automatique des proxies WPAD Permet au serveur de distribuer aux clients DHCP qui demandent une adresse la configuration du proxy travers le fichier PAC Le fichier PAC est transmis dans la r ponse DHCP champ option 252 WPAD URL En cochant cette option l utilisateur sera inform qu il devra activer le partage sur les interfaces internes et ou externes dans l cran d authentification Cf Authentification a Mettre jour les entr es des serveurs DNS _Dur e de bail attribu e Par d faut heure Coch par d faut Mise jour dynamique du DNS Lorsque les informations contenues par le serveur DHCP sont modifi es le serveur DNS primaire est dynamiquement mis jour Pour des raisons d optimisation des ressources r seau les adresses P sont d livr
49. appliquer Ordonnez les afin d avoir un r sultat coh rent le firewall ex cute les r gles dans l ordre d apparition l cran num rot es 1 2 etc et s arr te d s qu il trouve une r gle correspondant au paquet IP Il convient donc de d finir les r gles dans l ordre du plus restrictif au plus g n ral iJ NOTE GENERALE Chaque fois que vous rencontrerez une liste d roulante d objets au sein des colonnes except es Etat et Action une ic ne d op rateur de comparaison math matiques appara tra Elle ne sera utilisable que si un autre objet que Any est s lectionn Vous pourrez ainsi personnaliser les param tres de votre trafic par le biais de l ic ne suivante de 4 mani res diff rentes ou l ou la valeur de l attribut est diff rente de ce qui est s lectionn la valeur de l attribut correspond ce qui est s lectionn lt gt ou 6 utilisable pour les ports source et destination uniquement le num ro de port du trafic est inf rieur ce qui est s lectionn gt ou a utilisable pour les ports source et destination uniquement le num ro du port du trafic est sup rieur ce qui est s lectionn A partir de la version 9 0 1 si vous cliquez rapidement 10 fois sur le bouton Monter vous distinguez la r gle monter visuellement mais la fen tre d attente n appara t que lorsqu on ne touche plus au bouton au del de 2
50. aucune limitation de connexion par seconde c s ne sera tablie atteint Activer le proxy SYN Cette option permet de prot ger les serveurs contre les attaques par saturation de paquets TCP SYN SYN flooding le proxy SYN r pondra la place du serveur et valuera la fiabilit de la requ te TCP avant de la transmettre Vous pourrez limiter le nombre de connexions TCP par secondes pour cette r gle de filtrage dans le champ en dessous Bloquer le trafic Selon le nombre maximum de connexions par seconde que vous attribuerez aux protocoles ci dessous le trafic sera bloqu une fois que le nombre d fini sera d pass uoneinByUo9 8p 43 UOHESIINP anue e TCP c s Nombre de connexions maximum par seconde autoris pour le protocole TCP UDP c s Nombre de connexions maximum par seconde autoris pour le protocole UDP ICMP c s Nombre de connexions maximum par seconde autoris pour le protocole ICMP Cliquer sur Ok pour valider votre configuration FILTRAGE ET NAT DSCP Le DSCP Differentiated Services Code Point est un champ dans l ent te d un paquet IP Le but de ce champ est de permettre la diff rentiation de services contenus dans une architecture r seau Celle ci sp cifie un m canisme pour classer et contr ler le trafic tout en fournissant de la qualit de service QoS Forcer la valeur En cochant cette case vous d grisez le champ du dessous et lib rez l acc s au service DSCP Cette
51. aussi d une autorit parente il va choisir la CA par d faut Cliquez sur le bouton Ajouter un certificat utilisateur Nom CN Saisissez le nom de votre utilisateur dans la limite de 64 caract res maximum obligatoire 6 NOTE Ce champ doit tre rempli afin de poursuivre la configuration Identifiant Bien que le remplissage de ce champ ne soit pas obligatoire vous pouvez ici indiquer un raccourci de votre CN utile pour vos lignes de commande Exemple Si vous aviez choisi un nom et un pr nom pour votre CN l identifiant peut en indiquer les initiales uniquement E mail Renseignez dans ce champ l e mail de l utilisateur pour lequel vous souhaitez cr er un obligatoire certificat Vous devrez ensuite sp cifier diff rentes options pour votre certificat utilisateur Par d faut le champ Validit est fix 365 jours et le champ Taille de cl 2048 octets note Pour visualiser votre certificat cr au sein de la liste de gauche d roulez l autorit parente laquelle celui ci est rattach uoneinByUo9 8p 43 UOHESIINP NUE G CERTIFICATS ET PKI Publication dans l annuaire LDAP Vous pouvez choisir d associer le certificat utilisateur votre base LDAP en cochant la case Publier ce certificat dans l annuaire LDAP Si cette case est coch e le certificat pourra tre directement li son utilisateur si celui ci figure dans la base LDAP et par cons quent faciliter l Authentificatio
52. caract res ll est possible d Ajouter ou de Supprimer des commandes via les boutons du m me nom PROTOCOLES ET APPLICATIONS Commandes HTTP interdites Liste des commandes HTTP interdites au format CSV Toutes les commandes incluses ne peuvent exc der 126 caract res Il est possible d Ajouter ou de Supprimer des commandes via les boutons du m me nom URL taille maximale des l ments en octets La mise en place d une taille maximale pour les l ments en octets permet de lutter contre les attaques par d bordement de tampon buffer overflow URL domaine Taille maximum d une URL nom de domaine et chemin compris 128 4096 chemin octets S Par param tre apr s le Taille maximum d un param tre dans une URL 128 4096 octets Requ te compl te Nombre maximal d octets pour la requ te enti re URL param tres http URLBuffer QueryBuffer 128 4096 octets En t tes HTTP taille maximale des l ments en octets Nombre de lignes par Nombre maximum de lignes ou headers que peut contenir une requ te du requ te cliente client vers le serveur Min 16 Max 512 Nombre de lignes par Nombre maximum de lignes ou headers que peut contenir une r ponse du r ponse serveur serveur vers le client Min 16 Max 512 Champ Nombre maximum d octets pour le champ AUTHORIZATION incluant les AUTHORIZATION attributs de formatage Min 128 Max 4096
53. celui ci est autoris pour les paquets retour Choisir En cochant cette option le firewall va s lectionner de mani re al atoire le port al atoirement le source translat dans la liste port source translat Cliquer sur Ok pour valider votre configuration FILTRAGE ET NAT Onglet Configuration avanc e R partition de Cette option permet de r partir les adresses IP sources d mission du paquet charge apr s translation La m thode de r partition de charge d pend de l algorithme utilis Plusieurs algorithmes de r partition de charge sont disponibles Aucune Aucune r partition de charge ne sera effectu e Round robin Cet algorithme permet de r partir quitablement la charge parmi les diff rentes IP de la plage d adresses s lectionn e Chacune de ces adresses IP sources Hachage de l IP source Un hash de l adresse source est effectu pour choisir l adresse de la plage utiliser Cette m thode permet de garantir qu une adresse source donn e sera toujours associ e avec la m me adresse de la plage Al atoire Le firewall s lectionne al atoirement une adresse parmi la plage d adresses s lectionn e Publication ARP Cette option permet de rendre disponible l IP publier via l adresse MAC du firewall Cliquer sur Ok pour valider votre configuration Destination du trafic apr s translation Onglet G n ral Machine destination Ce champ permet de s lectionner la machine
54. charger la suite d administration d administration NETASQ soient Monitor Reporter et GlobalAdmin a sq uoneinBUo9 8p 43 UOHESIINP anue PROFILS D INSPECTION Le module de profils d inspection se compose de 2 crans Une zone d di e la configuration par d faut et un menu r tractable pour le mode avanc Une zone de configuration pour l association des profils protocolaires accessible via le bouton Acc der au profils Inspection de s curit Configuration commune chaque profil _Configuration par d faut _ EAN Configuration pour le trafic D finissez le profil appliquer pour le trafic entrant du r seau via le entrant firewall NETASQ Le trafic entrant repr sente le trafic d une interface non prot g e comme Interner vers une interface prot g e votre r seau local interne Configuration pour le trafic D finissez le profil appliquer pour le trafic sortant du r seau via le sortant firewall NETASQ Le trafic sortant repr sente le trafic d une interface prot g e vers une interface non prot g e a _Nouvelles alarmes Appliquer le mod le par Cette option est li e au module Protection Applicative Alarmes d faut aux nouvelles En la cochant les nouvelles alarmes se mettront jour automatiquement alarmes et seront livr es avec la signature NETASQ Les trois options suivantes seront gris es car vous aurez fait le choix d une configurati
55. ci sera dupliqu Pour cela positionnez vous sur le correspondant copier et entrez son nouveau nom dans la fen tre affich e Supprimer S lectionnez le correspondant retirer de la liste et cliquez sur Supprimer Nom Nom donn au correspondant lors de sa cr ation VPN IPSEC Les informations des correspondants Correspondant de type passerelle E Commentaire Description associ e au correspondant local Passerelle distante Objet s lectionn pour la passerelle distante lors de la cr ation du correspondant i via l assistant Configuration de Ce champ pr cise si vous avez d fini une configuration de secours lors de la secours cr ation du correspondant il affichera None par d faut si vous n en avez cr aucune Vous pouvez toutefois en d finir une en la s lectionnant dans la liste d roulante contenant vos autres correspondants distants Profil iKE Cete option permet de choisir le mod le de protection associ votre politique VPN parmi les 3 profils pr configur s StrongEncryption GoodEncryption FastEncryption Il est possible de cr er ou de modifier d autres profils au sein de l onglet Profils de chiffrement Identification M thode Ce champ affichera la m thode d authentification choisie lors de la cr ation de d authentification votre correspondant via l assistant Vous pouvez modifier votre choix en s lectionnant une autre m thode d authentification pr
56. compos de 2 parties L onglet Antivirus d tection d un virus attach aux documents pouvant intervenir au cours de l envoi et de la r ception de mails POP3 SMTP ou via le transfert de fichiers protocole FTP L onglet Page de blocage HTTP page affich e lors d une tentative d acc s un site non autoris par les r gles de filtrage L onglet Antivirus Protocole POP3 Contenu de l e mail Ce champ permet de modifier le texte du message re u si un virus est d tect dans un mail Exemple Le firewall NETASQ a d tect un virus dans cet e mail il a t extrait par l antivirus int gr les pi ces jointes infect es ont t supprim es Protocole SMTP Code d erreur SMTP Limit 3 chiffres ce champ permet de d finir le code d erreur que le serveur SMTP recevra si un virus est d tect dans un mail envoy Exemple 554 Message associ Ce champ contient le message informationnel qui sera envoy au serveur SMTP en cas de d tection d un virus Exemple 5 7 1 Virus d tect MESSAGES DE BLOCAGE Protocole FTP Code d erreur FTP Limit 3 chiffres ce champ contient le code d erreur que l utilisateur ou le serveur FTP recevra si un virus est d tect dans un fichier transf r Exemple 425 Message associ Cet emplacement est r serv au message informationnel qui sera envoy avec le code d erreur lors de la d tection d un virus au sein de l en
57. contenant chacun un corps qui diff re selon le message que l on veut envoyer Edition du mod le HTML Chaque mod le comporte du contenu appel body comme pour une page HTML Ce contenu est un texte au format libre qui peut contenir des balises HTML simples afin de finaliser la mise en forme Ces mod les sont modifiables Ils peuvent contenir des mot cl s qui seront rempla s ensuite par des valeurs Par exemple un mot cl peut afficher de mani re automatique le nom de l utilisateur Pour modifier un contenu il suffit de cliquer sur le bouton Modifier L cran se subdivise en 2 parties En haut l aper u du mod le d e mail En bas l cran de modification 2 boutons vous permettent de modifier le corps du message Ins rer une Ce bouton vous permet de s lectionner des variables qui seront ensuite remplac es variable par des valeurs r elles lors de l envoi du message Appliquer le Permet de r initialiser le mod le sa pr sentation initiale Lorsque vous cliquez sur mod le par ce bouton le message suivant s affiche d faut Voulez vous vraiment r initialiser le contenu de ce mod le sa valeur par d faut Vuln rabilit s d tect es Vuln rabilit s d tect es d taill es mod le de rapport de vuln rabilit s d taill appliqu par d faut Vuln rabilit s d tect es r sum es mod le de rapport de vuln rabilit s simple appliqu par d faut Demande de
58. d sactive la base LDAP interne Valeur par d faut 1 a NTP Active ou d sactive la synchronisation de temps NTP Valeur par d faut 1 PublicLDAP Active ou d sactive l acc s public au LDAP interne Valeur par d faut 1 _ S SNMP Active ou d sactive l agent SNMP Valeur par d faut 1 R o 8 Vpn 2 Anonymous Active ou d sactive la possibilit de monter des tunnels anonymes Valeur par d faut 1 5 PPTP Active ou d sactive les tunnels PPTP Valeur par d faut 1 SSL Active ou d sactive le VPN SSL StrongEnc Active ou d sactive le support d algorithmes forts pour l encryptage dans les tunnels IPSec Valeur par d faut 1 Tunnels Nombre maximal de tunnels IPSec Valeur par d faut 0 pas de limite Le fonctionnement de cet onglet est identique celui de la licence locale MANAGEMENT DES VULNERABILITES Ce menu vous permet de configurer votre politique de management des vuln rabilit s susceptibles d appara tre sur votre r seau Vous pouvez assigner un profil de supervision une machine un r seau un groupe o une plage d adresses Il en existe 12 pr configur s par d faut La configuration du management des vuln rabilit s consiste donc simplement Effectuer le lien entre objets r seaux et profils de supervision D cider des destinataires qui recevront les rapports de vuln rabilit s L cran de configuration de Management des vuln rabilit s se di
59. d signe le protocole sur lequel s applique la r gle de filtrage Port Port Service ou groupe de service utilis comme crit re de s lection pour cette r gle Un destination double clic sur cette zone permet de choisir l objet associ Exemples Port 80 service HTTP Port 25 service SMTP Vous pouvez Ajouter ou Supprimer un ou plusieurs objets en cliquant sur l ic ne Type de protocole Selon le type de protocole que vous choisissez ici le champ qui suivra s affichera diff remment D tection automatique du protocole par d faut Si vous cochez cette option un champ du m me nom appara tra en dessous avec les donn es suivantes Protocole applicatif Auto Protocole IP Tous Protocole applicatif Lorsque vous cochez cette case le champ suivant portant le m me nom vous Protocole IP propose de choisir Protocole applicatif Choisissez le protocole souhait dans la liste d roulante Protocole IP Tous Si vous cochez cette option le champ suivant proposera une liste d roulante de diff rents protocoles IP FILTRAGE ET NAT Port translat Port destination Port vers lequel est faite la translation Les paquets r seaux re us seront translat redirig s sur un port donn d une machine ou un quipement r seau vers une autre machine ou quipement r seau Inspection de s curit Type d inspection G n ral Niveau d inspection p IPS D tecter et Si vous s lectionnez cette opt
60. d une r gle erron e ne correspondant plus aux besoins de l administrateur viter cela l cran d dition des r gles de filtrage des firewalls dispose d un champ de ion de la politique situ en dessous de la grille de filtrage qui pr vient l administrateur en cas d inhibition d une r gle par une autre ou d erreur sur une des r gles qui a t cr es Exemple Si vous laisser passer tout type de trafic Any gt en r gle 1 toute tentative de blocage au sein de la r gle 2 sera refus e Le message suivant s affichera 9 R gle 2 Cette r gle ne sera jamais appliqu e car elle est couverte par la r gle 1 L onglet NAT Le NAT Network Adress Translation ou la translation d adresses a pour principe de convertir une adresse IP en une autre lors du passage par le firewall quelle que soit la provenance de la connexion Il est galement possible par son biais de faire de la translation de ports O NOTE GENERALE Chaque fois que vous rencontrerez une liste d roulante d objets au sein des colonnes except es Etat et Action une ic ne d op rateur de comparaison math matiques appara tra Elle ne sera utilisable que si un autre objet que Any est s lectionn Vous pourrez ainsi personnaliser les param tres de votre trafic par le biais de l ic ne suivante de 4 mani res diff rentes o ou l ou la valeur de l attribut est diff re
61. dans l interface d administration Web L onglet Domaines en liste blanche Cette section permet de d finir les domaines en provenance desquels les messages analys s seront syst matiquement d finis comme l gitimes Pour ajouter un domaine autoriser r f rez vous la proc dure suivante Nom de domaine Permet de sp cifier le domaine autoriser caract res g n riques accept s et Cliquer sur Ajouter Le domaine ainsi ajout appara t alors dans la liste des domaines en liste blanche Pour supprimer un domaine donn ou la liste compl te des domaines cliquez respectivement sur Supprimer o NOTE L antispam ne qualifiera JAMAIS comme Spam les messages provenant des domaines cit s dans la liste blanche L onglet Domaines en liste noire Cette section permet de d finir les domaines en provenance desquels les messages analys s seront syst matiquement d finis comme spam Pour ajouter un domaine bloquer r f rez vous la proc dure suivante Nom de domaine Permet de sp cifier le domaine bloquer caract res g n riques Cliquer sur Ajouter a et 7 ACCRA ere Le domaine ainsi ajout appara t alors dans la liste des domaines bloqu s Chaque message identifi comme spam du fait de ces domaines en liste noire seront associ s au niveau de confiance le plus lev savoir 3 Pour supprimer un domaine donn ou la liste compl te des domaines cliquez respec
62. de type nomade vous avez le choix entre Certificat Cl pr partag e PSK Hybride Certificat et Xauth Iphone N rx O Certificat Si vous avez choisi la m thode d authentification par Certificat Hybride ou Certificat et XAuth ce champ affichera votre certificat ou vous proposera de le s lectionner au sein de la liste d roulante Si vous avez opt pour la cl pr partag e ce champ sera gris Local ID Optionnel Ce champ repr sente une extr mit du tunnel VPN IPSec partageant le secret ou la PSK avec le Peer ID autre extr mit Le Local ID vous repr sente note Ce champ n est accessible que si vous avez choisi la m thode d authentification par Cl pr partag e uoneinByUo9 8p 43 UOHESIINP anue Cliquer ici pour En cliquant sur ce lien vous basculerez dans l onglet Identification du diter la liste des module VPN IPSec PSK Vous pourrez y ajouter vos Autorit s de certification accept es ainsi que vos Tunnels nomades cl s pr partag es N S uoneinByUo9 ap 43 UOHESIIANP NUE VPN IPSEC Configuration avanc e Mode de n gociation Mode de secours Passerelle locale Ne pas initier le tunnel Responder only DPD En IPSec 2 modes de n gociation sont possibles le mode principal ou main mode et le mode agressif Ils influent notamment sur la phase 1 du protocole IKE phase d authentification Mode pr
63. des droits sont accord s d autres non En passant en vue avanc e l aide de l ic ne B ou gt en fonction de la longueur de votre cran la grille affichera le d tail des droits par cat gorie Pour conna tre pr cis ment les droits correspondant chaque colonne une bulle informative est disponible sur l en t te de chacune d entre elles Exemple Si vous vous positionnez en haut de la colonne Syst me vous verrez appara tre les acc s qu elles incluent savoir les droits de Maintenance Objets notes Un double clic sur les ic nes repr sent es change l tat des permissions de accord non accord par exemple Un double clic sur cette ic ne Ta accordera les droits et celle ci v la remplacera l affichage Onglet Compte admin Cet cran va permettre de d finir les donn es d authentification du compte administrateurs Mot de passe D finition du mot de passe du compte admin REMARQUE Il ne doit pas contenir le caract re B Confirmer le mot de Confirmation du mot de passe du compte admin que vous venez de passe renseigner dans le champ pr c dent Force du mot de passe Ce champ indique le niveau de s curit de votre mot de passe Tr s g Faible Faible Moyen Bon ou Excellent Il est fortement conseill d utiliser les majuscules et les caract res sp ciaux o NOTE NETASQ utilise un syst me de
64. des serveurs SNMP Machine Machine recevant les traps objet de type Machine Port Port utilis pour envoyer les TRAPS cette machine objet de type service Par d faut snmp trap Communaut Indication de la communaut rs uoneinByUo9 8p 43 UOHESIINP anue ALARMES Ce module va vous permettre de g rer la configuration de vos alarmes Il est d coup en deux vues vue par profil d inspection aussi appel vue par configuration vue par contexte aussi appel vue par protocole Vue par profil d inspection Cet cran repr sente la vue par configuration ou par profil d inspection des alarmes pr sentes NOTE Une configuration est un ensemble de profils protocolaires L association est d finie dans le module Profils d inspection ll est possible de trier les alarmes de les filtrer par une pr s lection DoS IM etc ou de les filtrer gr ce un mot clef Le r sultat est pagin S lection du profil de configuration Vous pouvez configurer jusqu 10 profils portant par d faut les noms de Config Config 1 etc Ces noms ne sont pas modifiables dans le module Alarmes mais au sein du menu Protection applicative Profils d inspection S lectionnez une configuration au sein de la liste d roulante Cliquez sur le bouton Editer et s lectionnez Renommer Changez ensuite le nom du profil dans l emplacement pr vu cet effe
65. destinataire du paquet translat au translat e sein de la liste d roulante d objets Port destination Ce champ permet de pr ciser le port destination utilis par la machine de translat destination gt Cliquer sur Ok pour valider votre configuration Onglet Configuration avanc e R partition de Cette option permet de r partir la transmission de paquet entre plusieurs charge adresses IP de destination La m thode de r partition de charge d pend de l algorithme utilis Plusieurs algorithmes de r partition de charge sont disponibles Aucune Aucune r partition de charge ne sera effectu e Round robin Cet algorithme permet de r partir quitablement la charge parmi les diff rentes IP de la plage d adresses s lectionn e Chacune de ces adresses IP sources Hachage de l IP source Un hash de l adresse source est effectu pour choisir l adresse de la plage utiliser Cette m thode permet de garantir qu une adresse source donn e sera toujours associ e avec la m me adresse de la plage Al atoire Le firewall s lectionne al atoirement une adresse parmi la plage d adresses s lectionn e uoneinByU09 8p 43 UOHESINNP anue Publication ARP Cette option permet de rendre disponible l IP publier via l adresse MAC du firewall Cliquer sur Ok pour valider votre configuration Commentaire Vous pouvez ajouter une description permettant d affiner votre r gle de NAT et ses caract ristiques F
66. directement retir e Monter Placer la ligne s lectionn e avant celle du dessus Descendre Placer la ligne s lectionn e apr s celle du dessous Ajouter Afin de r aliser la configuration du tunnel s lectionnez la politique VPN dans lequel vous d sirez r aliser le tunnel L assistant de politique VPN IPSec vous aiguille alors dans la configuration Tunnel site site Vous allez ici d finir chacune des extr mit s de votre tunnel ainsi que le correspondant Choix du Ceci est l objet correspondant l adresse IP publique de l extr mit du tunnel correspondant soit du correspondant VPN distant La liste d roulante affiche par d faut None Vous pouvez cr er un correspondant via l option suivante ou en choisir un dans la liste de ceux qui existent d j Cr er un D finissez les param tres de votre correspondant plusieurs tapes sont correspondant n cessaires S lection de la passerelle Passerelle distante choisissez l objet correspondant l IP de l extr mit du tunnel au sein de la liste d roulante Vous pouvez galement en ajouter l aide uoneinByUo9 ap 43 UOHESIINP NUE ns du bouton Nom vous pouvez sp cifier un nom pour votre passerelle ou conserver le nom VPN IPSEC d origine du correspondant qui sera pr c d de la mention Site Site_ lt nom de l objet gt Cliquez sur Suivant Identification du correspondant 2 choix sont possibles l identification par
67. disponible Ces informations sont les suivantes Nom Nom de l interface utilis e de type in out ou dmz accompagn de 7 son adresse IP et de son masque de sous r seau Paquets r seaux Le nombre de paquets Accept Bloqu Fragment TCP UDP et ICMP La totalit et le d tail des paquets TOP UDP et ICMP re us La totalit et le d tail des paquets TOP UDP et ICMP mis Les d bits entrant et sortant actuels Alarmes Cette fen tre contient la liste des 50 derni res alarmes lev es par le firewall Date La date et l heure des derni res alarmes remont es class e de la plus la moins r cente Priorit 3 niveaux de priorit s sont possibles et configurables au sein du module Protection Applicative Alarmes Source Paquet IP ou connexion l origine du d clenchement de l alarme 218 Destination Adresse vis e par la source avant de d clencher l alarme Message Commentaire associ l alarme s lectionn e Exemples de messages possibles Message ICMP invalide no TCP UDPlinked entry priorit type mineur Usurpation d adresse IP type 1 priorit type majeur Aide en ligne S lectionnez l alarme voulue et cliquez sur ce lien qui vous m nera une page d aide concernant le message voir ci dessus Action Lorsqu une alarme est remont e le paquet qui a provoqu cette alarme subit l action associ e Les actions sont Bloquer ou Passer A
68. divis e en 4 rubriques d roulantes Elles vous permettront de personnaliser votre interface et de configurer vos modules Mes favoris Cette rubrique est troitement li e l ic ne pingle R Lorsque vous rencontrez cette ic ne en haut droite de chaque module cochez l si vous souhaitez qu il fasse partie de vos favoris Configuration uoneanyuoo 8p 43 UOHESIINP anue Cette rubrique est repr sent e sous forme d une arborescence de menus et de leurs modules supplant e par une barre de recherche par mots cl s 9 menus sont disponibles cliquez dessus afficher leur liste d roulante Tableau de bord Syst me contenant 7 modules Configuration Administrateurs Licence Maintenance Active Update Haute disponibilit Console cli R seau contenant 5 modules Interfaces Routage DNS Dynamique DHCP Proxy cache DNS Objets contenant 4 modules Objets r seaux Objets web Certificats et PKI Objets temps Utilisateurs contenant 5 modules Utilisateurs Droits d acc s Configuration de l annuaire Authentification Enr lement TABLEAU DE BORD Politique de s curit contenant 6 modules Filtrage et NAT Filtrage URL Filtrage SSL Filtrage SMTP Qualit de service R gles implicites Protection applicative contenant 6 modules Alarmes Protocoles et Applications Profils d inspection D tection de vuln rabilit s Antivirus Antispam VPN contenant 3 modules VP
69. e Les messages identifi s comme spam ne sont pas supprim s par le module Antispam du bo tier UTM NETASGQ Cependant il effectue des actions de modifications du message d tect comme spam de fa on permettre un traitement futur par le client de messagerie Web par exemple Deux actions de marquage sont disponibles Marquage du sujet Le sujet des messages identifi s comme spam sont pr fix s par la cha ne de des spams pr fixe caract res d finie Par d faut cette cha ne est SPAM o repr sente le niveau de confiance accord Ce score peut varier de 1 3 Plus ce score est lev plus il est probable que le courrier soit du pourriel Quelle que soit la cha ne de caract res utilis e il est indispensable de pr voir l insertion du niveau de confiance dans cette cha ne en utilisant Cet sera ensuite remplac par le score La longueur maximale du pr fixe peut tre de 128 caract res Les courriers identifi s comme spam sont achemin s et non supprim s Q AVERTISSEMENT Les caract res guillemets double ne sont pas autoris s Ins rer les en t tes En cochant cette option le module Antispam ajoute au message identifi comme X Spam spam un en t te synth tisant le r sultat de son analyse pour ce message Cet en t te antispam au format spam assassin peut ensuite tre utilis par le client de messagerie Web pour effectuer les traitements ad quats sur le message marqu Analyse par r putati
70. e car elle d grade la s curit de l authentification Onglet Interfaces externes Mots de passe des utilisateurs Les utilisateurs ne En s lectionnant cette option il sera impossible aux utilisateurs de modifier peuvent pas changer leur mot de passe d authentification sur le firewall NETASQ leur mot de passe Les utilisateurs peuvent En cochant cette case les utilisateurs peuvent modifier leur mot de passe changer leur mot de d authentification sans contrainte de temps et de validit passe Les utilisateurs doivent En s lectionnant cette option les utilisateurs doivent changer leur mot de changer leur mot de passe d authentification leur premi re connexion sur le portail d authentification du firewall puis chaque fois que la dur e de validit du asse pesa mot de passe est expir Cette dur e est sp cifi e en jours Un champ intitul Dur e de vie apparait au dessous vous permettant d indiquer le nombre de jours de validit du mot de passe Dur es d authentification autoris es Dur e minimale Dur e minimale durant laquelle l utilisateur peut tre authentifi positionnable en minutes ou en heures jusqu 24h nn Dur e maximale Dur e maximale durant laquelle l utilisateur peut tre authentifi positionnable en minutes ou en heures jusqu 24h ere Pour l authentification Cette m thode d authentification bas e sur SSO Single Sign On
71. est indiqu e Lorsqu une interface est d tach e d un bridge une fen tre permettant de renseigner le plan d adressage s affiche Les d placements possibles sont indiqu s dans le tableau suivant Bridge Interface De Vers Interface Ethernet Bridge Racine Interface Ethernet Bridge Autre bridge Interface Ethernet Racine Bridge Vlan Interface Ethernet Autre interface Ethernet Vlan Interface Ethernet Bridge Vlan Bridge Autre bridge Vlan Bridge Interface Ethernet Modem PPPoE Interface Autre interface Recherche d interfaces Il est possible de retrouver une interface plus facilement gr ce au champ de recherche La recherche est possible sur les champs de l interface Nom Adresse Type Commentaire Hostname DHCP Adresse physique MAC Passerelle routage par interface Exemple Vous pouvez rechercher une interface en indiquant son nom ou encore l adresse de sa passerelle re Pour valider une recherche il suffit de cliquer sur Entr e Pour supprimer la recherche il suffit de cliquer sur la croix droite du champ de recherche Identification des interfaces Chaque interface poss de sa propre ic ne pour une identification visuelle plus imm diate Cette ic ne permet galement un rep rage de l tat de l interface selon qu elle est d sactiv e ou non Dans le cas d une d sactivation l ic ne et le nom de l interface sont gris es Les interfaces ethernets
72. et NAT Interdire Cette option permet d viter qu un utilisateur ne s identifie sur plusieurs l authentification postes en m me temps simultan e d un utilisateur sur plusieurs En l activant ses requ tes multiples seront automatiquement refus es machines A 5 2 a o f2 3 5 g Ed 5 Expiration du cookie HTTP La gestion des cookies pour l authentification des utilisateurs sur les firewalls permet une s curisation de l authentification pr venant par exemple les attaques par rejeu tant donn qu il est indispensable de poss der le cookie de connexion pour tre consid r comme authentifi Les cookies sont indispensables pour le fonctionnement de l option Autoriser plusieurs utilisateurs tre authentifi s depuis la m me adresse IP Ils sont n goci s par navigateur Web Ainsi si une authentification est r alis e avec Internet Explorer elle ne sera pas effective avec Firefox ou d autres navigateurs Web AUTHENTIFICATION A la fin de la p riode Par d faut le cookie HTTP expire A la fin de la p riode d authentification d authentification ce qui signifie qu il n est n goci qu une seule fois pour toute la dur e d authentification S A la fin de la session Le cookie sera n goci chaque requ te vers votre navigateur web Ne pas utiliser Il est possible de ne pas utiliser de cookie HTTP mais cette option n est pas d conseill recommand
73. filtrage SSL S lection du profil Le menu d roulant propose 10 profils num rot s de 00 09 Chaque profil poss de par d faut le nom Default accompagn de sa num rotation Exemples 0 Defaut00 1 Default01 Pour s lectionner un profil il faut cliquer sur la fl che droit du champ dans lequel est inscrit par d faut Defauli00 et choisir le profil voulu Par d faut chaque profil est configur de la mani re suivante Etat Action URL CN Commentaire Activ Passer sans d chiffrer any default rule decrypt all Les boutons Editer Cette fonction permet d effectuer 3 actions sur les profils Renommer en cliquant sur cette option une fen tre compos e de deux champs remplir s affiche Celle ci propose de modifier le nom d une part et d ajouter un commentaire d autre part Une fois l op ration effectu e cliquez sur Mis jour II est galement possible d annuler la manipulation R i ser Permet de rendre au profil sa configuration initiale de sorte que toutes les modifications apport es soient supprim es Copier vers Cette option permet de copier un profil vers un autre toutes les informations du profil copi seront transmises au profil r cepteur Il portera galement le m me nom Derni re Cette ic ne permet de conna tre la date et l heure exactes de la derni re modification modification effectu e Un commentaire peut galemen
74. http 192 168 1 1 l utilisateur sera redirig vers le serveur de mails En cliquant sur le bouton Ajouter une ligne s affiche vous permettant d ajouter un nouvel alias Ajout d un serveur web OWA Le module VPN SSL des firewalls NETASQ supporte les serveurs OWA Outlook Web Access Exchange 2003 2007 2010 Le mode Premium est utilisable sous Windows avec Internet Explorer 5 ou uniquement Il est bas sur les technologies web comme html css javascript mais galement sur des technologies propri taires Microsoft comme htc xml activeX En Exchange 2003 les liens sont des liens absolus que ce soit dans les pages HTML les scripts javascripts dans les donn es XML dans les feuilles XSL C est dire de type http_ www netasq com index htm Il est donc possible d ajouter dans la liste des serveurs d acc s Web un serveur HTTP avec certaines options sp cifiquement pr remplies pour une parfaite compatibilit avec OWA Pour ajouter un serveur HTTP OWA suivez la proc dure suivante C1 Cliquez sur le bouton Ajouter puis s lectionnez Serveur web OWA 2003 mode Premium ou Serveur web OWA 2007 2010 mode premium L cran suivant s affiche Indiquez un nom pour ce serveur Le nom ne peut tre vide et les caract res autoris s sont les chiffres les lettres l espace _ et le point N p Les options pr remplies pour un serveur OWA 2003 premium sont le port http le champ URL chemin
75. l interface a un adressage statique II faut dans ce cas indiquer son adresse IP et le masque de r seau du sous r seau auquel appartient l interface N N uoneinByUo9 8p je UOHESIINP anue INTERFACES Onglet Configuration avanc e MTU Longueur maximale en octets des paquets mis sur le support physique Ethernet afin que ceux ci soient transmis en une seule fois donc sans fragmentation Ce choix n est pas disponible pour une interface contenue dans un bridge Adresse Oo AVERTISSEMENT hysique MAC physique Cette option n est pas accessible pour les firewalls en Haute Disponibilit Cette option vous permet de sp cifier une adresse MAC pour une interface plut t que d utiliser l adresse allou e par le firewall Cela vous permet de faciliter d autant plus l int gration en mode transparent de votre firewall NETASQ dans votre r seau en sp cifiant l adresse MAC de votre routeur plut t que d avoir reconfigurer tous les postes utilisant cette adresse MAC Si l interface est contenue dans un bridge dans ce cas elle poss de la m me adresse MAC que lui note Ce champ est gris lorsque l interface appartient un bridge DHCP note Indication d sactiv si l option IP dynamique obtenue par DHCP n est pas coch e dans l onglet Configuration de 1 interface et les options sont gris es Nom DNS Nom du serveur DNS FQDN pour la connexion facultatif Ce champ facultatif
76. la configuration nomade Par d faut la liste d roulante affichera le message pas de correspondant trouv pour y rem dier la proc dure suivre est la suivante Cliquez sur le bouton Ajouter une Nouvelle Politique VPN puis sur Cr er un correspondant nomade via l assistant de politique VPN IPSec nomade Donnez un nom votre configuration nomade et cliquez sur Suivant Choisissez la m thode d authentification du correspondant uoneinByU09 8p 43 UOHESIINP anue Certificat Sivous optez pour cette m thode d authentification vous devrez ensuite choisir votre Certificat serveur pr senter au correspondant parmi la liste de ceux que vous avez cr au pr alable Module Certificats et PKI Vous pourrez galement fournir l Autorit de confiance CA ayant sign le VPN IPSEC certificat de votre correspondant Hybride Si vous optez pour la m thode hybride vous devrez galement fournir un Certificat serveur pr senter au correspondant et ventuellement sa CA Elle est utilis e avec IKE et pr sente une asym trie entre les diff rentes m thodes d authentification qui combinent la m thode par certificat et par PSK Certificat et XAuth Cette option permet aux utilisateurs mobiles de se connecter sur la passerelle VPN Iphone de votre entreprise via leur t l phone portable l aide d un un certificat note C est le seul mode compatible avec l Iphone C
77. la session Le cookie sera n goci chaque requ te vers votre navigateur web Ne pas utiliser Il est possible de ne pas utiliser de cookie HTTP mais cette option n est pas d conseill recommand e car elle d grade la s curit de l authentification CERTIFICATS ET PKI La PKI ou Public Key Infrastructure infrastructure cl publique est un syst me cryptographique bas sur la cryptographie asym trique Elle utilise des m canismes de signature et certifie des cl s publiques qui permettent par exemple de chiffrer et de signer des messages ou des flux de donn es Elle permet d assurer confidentialit authentification int grit et non r pudiation La PKI NETASQ permet de g n rer et de d livrer des autorit s de confiance CA Certificate Authority ou autorit de certification ainsi que des certificats Ceux ci contenant une bi cl associ e des informations pouvant appartenir un utilisateur un serveur etc La PKI NETASQ a pour objectif d authentifier ces l ments L cran du module Certificats et PKI se divise en 3 parties En haut de l cran les diff rentes actions possibles sous formes d une barre de recherche et de boutons A gauche la liste des autorit s et des certificats A droite les d tails concernant l autorit ou le certificat s lectionn au pr alable dans la liste de gauche ainsi que les informations concernant la CRL et la configuration de La CA ou
78. laisser passer une commande la bloquer ou analyser la syntaxe et v rifier que la commande est conforme aux RFC en vigueur Autres commandes autoris es Il est possible d Ajouter des commandes suppl mentaires dans la limite de 21 caract res et de les Supprimer si besoin IPS Commandes FTP autoris es Il est possible de d finir des commandes FTP au sein de la pr vention d intrusion en cliquant sur Ajouter dans la limite de 115 caract res La suppression est galement autoris e Commandes FTP interdites Il est possible d interdire des commandes FTP au sein de la pr vention d intrusion dans la limite de 115 caract res Onglet Analyse des fichiers Taille maximum pour Il est possible ici de d terminer la taille maximale utilis e pour l analyse l analyse antivirale 0 1000 des fichiers Pour cela d placez la r glette Vous pouvez galement Ko configurer l action entreprendre si le fichier est sup rieur la taille autoris e AVERTISSEMENT Lorsque vous d finissez une taille limite de donn es analys es manuellement veillez conserver un ensemble de valeurs coh rentes En effet l espace m moire total repr sent par la r glette correspond l ensemble des ressources r serv es pour le service Antivirus Si vous d finissez que la taille limite des donn es analys es sur SMTP est de 100 de la taille total aucun autre fichier ne pourra tre analys en m me temps Analyser les fi
79. le menu de configuration Utilisateurs Droits d acc s Options par d faut VPN SSL Utiliser un profil comme profil sp cifique d un ou plusieurs utilisateurs Pour utiliser un profil comme profil sp cifique d un ou plusieurs utilisateurs quelle que soit la liste des serveurs d finis par le profil par d faut ces utilisateurs poss deront une liste de serveurs sp cifiques r f rez vous la proc dure suivante E D finissez le profil qui sera utilis comme profil sp cifique nom du profil et serveurs associ s dans Profils utilisateurs du module VPN SSL puis appliquez les modifications en cliquant sur Appliquer uoneinByuo9 8p 43 UOHESIINP anue 2 Dans le module Utilisateurs Droits d acc s Configuration par l utilisateur choisissez l utilisateur puis dans la colonne VPN SSL choisir le profil d fini au pr alable et cliquez sur le bouton Appliquer VPN SSL Services VPN SSL sur le portail Web NETASQ Lorsque l authentification sur le firewall est activ e module Utilisateurs Authentification onglet G n ral et coche Activer le portail captif vous pouvez acc der aux fonctionnalit s du VPN SSL NETASQ Pour acc der aux fonctionnalit s du VPN SSL suivez la proc dure suivante 1 Ouvrir un navigateur Web 2 Indiquer dans la barre d adresse l URL https Adresse_Firewall La page d authentification sur le firewall appara t vous devez vous connecter Si vous poss dez des dr
80. mat rialis es par l ic ne w seront affich es en r gle g n rale de type id ftp ou http VolP Seules les alarmes relatives la Voix sur IP seront affich es protocoles mgcp rtcp ou SIP D ni de service Seules les alarmes relatives aux attaques par d ni de service DoS seront affich es Messagerie Seules les alarmes relevant une anomalie au niveau des services de messagerie instantan e instantan e MSN Yahoo Messenger etc appara tront l cran Peer to peer Seules les alarmes relatives aux syst mes peer to peer seront affich es Les diff rentes colonnes Contexte id Intitul de l alarme Message Texte d crivant l alarme et ses caract ristiques Action Lorsqu une alarme est remont e le paquet qui a provoqu cette alarme subit l action associ e Vous pouvez choisir d Autoriser ou d interdire un trafic qui remonte une alarme Niveau Trois niveaux d alarmes sont disponibles Ignorer Mineur et Majeur Nouveau SE Pt ua w Permet de visualiser les nouvelles alarmes mat rialis es par l ic ne 5 Avanc Cette colonne affiche le choix de la r action lorsque l alarme est d clench e en plus de l action Autoriser ou Interdire Une fen tre appara t et vous propose Aucun aucune action ne sera effectu e pour cette alarme Envoyer un e mail un e mail sera envoy au d clenchement de l alarme Mettre en quarantaine le paquet responsable de l alarme sera bloqu Vou
81. message d erreur est renvoy par le serveur mail distant indiquant qu il y a erreur sur le destinataire Dans ce cas le champ Exp diteur de ce message d erreur est vide Il est possible de cr er une r gle avec l action bloquer qui emp chera l envoi de mail si l exp diteur n est pas connu FILTRAGE SMTP Erreurs trouv es dans la politique de filtrage SMTP L cran d dition des r gles de filtrage SMTP des firewalls dispose d un analyseur de coh rence et de conformit des r gles qui pr vient l administrateur en cas d inhibition d une r gle par une autre ou d erreur sur une des r gles qui a t cr es Cet analyseur regroupe les erreurs de cr ation de r gles et les erreurs de coh rence Les erreurs sont pr sent es sous forme de liste En cliquant sur une erreur la r gle concern e sera automatiquement s lectionn e eo P uoneinByU09 8p 43 uopesyn p anue a Gi uoneinByuo9 8p 18 UOHESIINP NUE FILTRAGE SSL Le filtrage SSL est d sormais int gr la nouvelle politique de s curit des firewalls multifonctions NETASQ Ce module permet de filtrer l acc s aux sites web s curis s Il rend possible l autorisation et l interdiction des sites web ou des certificats comportant des risques Ce module se compose de 2 zones Une zone destin e aux profils Une zone destin e aux r gles de filtrage SSL Les profils Le bandeau vous permet de manipuler les profils associ s au
82. objet s et en inclure de nouveaux au sein du groupe Objet dans ce groupe Vous visualisez les ports figurant dans votre groupe au sein d un tableau Pour tout ajout ou modification reportez vous au champ pr c dent OBJETS TEMPS Le module Objets Temps se compose de deux crans A gauche une zone r serv e la cr ation des Objets Temps A droite une zone affichant les d tails concernant les objets cr s Les actions Ajouter Vous pouvez cr er deux types d objets temps Ajouter un v nement ponctuel Ce type d v nement est limit dans le temps il a une date de d but et une date de fin Il sera nomm v nement_ponctuel au sein de la liste avant de se voir attribuer un autre nom Ajouter un v nement p riodique Ce type d v nement n est pas limit dans le temps il peut survenir chaque jour et poss der une plage horaire Aucune date de fin n est pr cis e Il sera nomm v nement_r current au sein de la liste avant de se voir attribuer un autre nom Supprimer S lectionnez l v nement retirer de la liste et cliquez sur Supprimer V rifier Si vous cliquez sur ce bouton apr s avoir s lectionn un v nement le r sultat Putilisation s affiche dans l arborescence des modules Vous pouvez galement retrouvez les objets temps existants en vous rendant dans la zone Objets de l arborescence des modules et vous rendre soit dans la barre d
83. option permet de r crire le paquet avec la valeur donn e afin que le routeur suivant connaisse la priorit appliquer sur ce paquet Nouvelle valeur Ce champ permet de d finir une diff renciation des flux Via celui ci il est possible de DSCP d terminer gr ce un code pr tabli l appartenance d un trafic un certain service plut t qu un autre Ce service DSCP utilis dans le cadre de la Qualit de Service permet l administrateur d appliquer des r gles de QoS suivant la diff renciation des services qu il aura d finis Cliquer sur Ok pour valider votre configuration Configuration avanc e Service Aucun Cette option implique qu aucun des trois services suivants ne sera utilis l utilisateur ne passera pas par le proxy HTTP et ne sera pas redirig vers la page d authentification Proxy HTTP Si vous choisissez cette option les connexions des utilisateurs seront intercept es par le proxy HTTP qui analysera le trafic de mani re transparente Authentification Si vous choisissez cette option les utilisateurs non authentifi s seront redirig s vers le portail captif lors de leur connexion Compter Si vous cochez cette case le firewall NETASQ comptera le nombre de paquets correspondants cette r gle de filtrage et g n rera un rapport ll est ainsi possible d obtenir des informations de volum trie sur les flux d sir s _ Cliquer sur Ok pour valider votre configuration Source
84. ou non boutons On Oft 8 note a Le choix d une politique de filtrage SMTP active galement le proxy POP3 D dans le cas o la r gle de filtrage autorise le protocole POP3 S Filtrage FTP Les boutons On Off vous permettent d activer ou de d sactiver le Filtrage _ FTP au sein de votre r gle de filtrage Filtrage SSL Choisissez une politique de filtrage SSL au sein des politiques propos es Vous pouvez choisir de l activer ou non boutons On off Commentaire Vous pouvez ajouter une description permettant de distinguer plus facilement votre r gle de filtrage et ses caract ristiques FILTRAGE ET NAT V rification en temps r el de la politique La politique de filtrage d un firewall est un des l ments les plus importants pour la protection de vos donn es ou de vos ressources internes Bien que cette politique volue sans cesse s adapte aux nouveaux services aux nouvelles menaces aux nouvelles demandes des utilisateurs elle doit conserver une coh rence parfaite afin que des failles n apparaissent pas dans la protection que propose le firewall L enjeu est d viter la cr ation de r gles qui en inhiberait une autre Lorsque la politique de filtrage est cons quente le travail de l administrateur est d autant plus fastidieux que ce risque s accro t De plus lors de la configuration avanc e de certaines r gles de filtrage tr s sp cifiques la multiplication des options pourrait entra ner la cr ation
85. ou pr nom Le filtre Ce bouton permet de choisir le type de CN afficher Un menu d roulant vous propose les choix suivants Gi de a a TURES et Mat rialis par l ic ne cette option permet d afficher dans la liste des CN gauche utilisateurs ai ap les utilisateurs et les groupes d utilisateurs ili Cii a r n m Utilisateurs Mat rialis par l ic ne cette option permet d afficher uniquement les utilisateurs dans la colonne de gauche Groupes Mat rialis par ic ne cette option permet d afficher uniquement les groupes d utilisateurs dans la colonne de gauche UTILISATEURS Cr er un groupe L cran du module Utilisateurs vous propose dans la colonne de droite de renseigner les informations du groupe que vous souhaitez cr er Nom Donner un nom votre groupe afin de l identifier dans la liste des CN REMARQUE Vous ne pourrez plus changer le nom de votre groupe une fois ce dernier cr Description Vous pouvez d crire le groupe et modifier le contenu de sa description d s que vous le souhaitez Remplir ce champ reste facultatif mais n anmoins recommand CN Filtrer barre de Vous pouvez saisir une cha ne de caract res afin de filtrer la liste des membres ou recherche vider ce champ pour afficher la liste compl te Ajouter Il est possible d ajouter un utilisateur au groupe de 2 mani res diff rentes Lorsque vous cliquez sur le bouton Ajouter une ligne v
86. par le firewall Toutes les transactions RADIUS communications entre le firewall et le serveur RADIUS sont elles m mes authentifi es par l utilisation d un secret pr partag qui n est jamais transmis sur le r seau Ce m me secret sera utilis pour chiffrer le mot de passe de l utilisateur qui transitera entre le firewall et le serveur RADIUS AUTHENTIFICATION Etape 1 Interfaces Autoriser les utilisateurs s authentifier Depuis les r seaux Si cette option est coch e l identification est rendue possible depuis les internes interfaces interfaces prot g es l int rieur de l entreprise mat rialis es par l ic ne g 7 prot g es Depuis les r seaux Il est possible de s identifier sur les firewalls depuis les interfaces non publics interfaces prot g es externes n cessaire Vous pouvez par exemple vous connecter sur un firewall depuis votre pour le VPN SSL domicile en passant par le VPN SSL Voir module VPN VPN SSL Depuis les r seaux En cochant cette case l authentification sera possible depuis n importe quelle internes et publics interface Etape 2 M thodes d authentification Si vous choisissez de vous authentifier sur une base RADIUS cochez la case correspondante et cliquez sur Suivant Etape 3 Serveur Radius Acc s la base RADIUS Serveur Vous devez choisir un objet correspondant votre serveur RADIUS au sein de la liste d roulante af
87. peut tre identifi e que par son adresse IP avec une N Le a uoneinByUo9 8p 43 UOHESIINP anue Mode de secours Passerelle locale Ne pas initier le tunnel Responder only DPD VPN IPSEC authentification en cl s pr partag e Te En mode PKI l identifiant est dans le certificat Le mode principal assure l anonymat Mode agressif dans ce mode la phase 1 se d roule en 3 changes entre le firewall et la machine distante La machine distante peut tre identifi e avec une adresse IP FQDN ou une adresse mail mais pas avec un certificat par cl pr partag e Le mode agressif n assure pas l anonymat AVERTISSEMENT L utilisation du mode agressif les cl s pr partag es notamment pour les tunnels VPN destination de nomades peut se r v ler moins s curitaire que les autres modes du protocole IPsec Ainsi NETASQ recommande l utilisation du mode principal et en particulier du mode principal certificats pour les tunnels destination de nomades En effet la PKI interne du firewall peut tout fait fournir les certificats n cessaires une telle utilisation Le mode de secours est le mode de bascule pour le failover IPSec si un serveur tombe un autre prend le relai de mani re transparente Deux choix sont possibles Le mode temporaire le correspondant principal est joint d s que possible Le mode permanent si le correspondant n est pas joignable vous basculerez sur un autr
88. poss dent un nom propre ex Out et un nom technique ex 0 Le port physique est affich entre crochets apr s le nom des interfaces uoneinByuo9 8p 43 UOHESIINP anue La barre d outils Ajouter Ce bouton vous permet d ouvrir l assistant de cr ation d un bridge d un vlan ou encore d un modem F s Supprimer Ce bouton vous permet de supprimer une interface pr alablement s lectionn e dans l arborescence des interfaces Les interfaces Ethernet ne peuvent tre supprim es R duire D velopper Ce bouton permet d tendre arborescence des interfaces uoneinByUo9 8p 43 UOHESIINP anue INTERFACES Vue mixte 3 vues sont propos es Vue mixte Grouper par port physique les interfaces sont regroup es par port Pour chaque port les interfaces et les vlan sont indiqu s Grouper par plan d adressage les interfaces sont s par es selon leur plan d adressage Si l interface contient une adresse un alias dans ce cas elle sera affich e 2 fois dans l arborescence L Tout afficher 5 choix sont propos s pour filtrer Bridge Interface VLAN Modem Dialup Tout afficher B V rifier Si vous cliquez sur ce bouton apr s avoir s lectionn une interface le r sultat l utilisation s affiche dans l arborescence des modules Si vous supprimez une interface une v rification est faite afin de pr venir l utilisateur des configurations qui utilisent l interface qu il souhaite supprimer
89. possibles 108 La grille 108 Erreurs d tect es 108 HAUTE DISPONIBILITE 109 Etape 1 Cr er ou rejoindre un cluster en Haute Disponibilit 109 Etape 2 Configuration des interfaces r seaux 110 Si vous avez choisi de cr er un cluster 110 Si vous avez choisi de rejoindre un cluster 110 Etape 3 Cl pr partag e du cluster 111 En cas de cr ation de cluster 111 En cas de cluster existant 112 Etape 4 R sum et finalisation du cluster 112 En cas de cr ation de cluster 112 En cas de cluster existant 112 Ecran de la Haute disponibilit 112 Communication entre les firewalls du groupe de haute disponibilit 112 Configuration avanc e 113 Communication entre les firewalls du groupe de haute disponibilit 114 ARP gratuit 114 Impact de l indisponibilit d une interface dans l indicateur de qualit d un firewall 114 INTERFACES 115 Mode de fonctionnement entre interfaces 115 Mode avanc 115 Mode Bridge ou mode transparent 115 Mode hybride 116 Conclusion 116 Pr sentation de l cran de configuration 116 Arborescence des interfaces 117 La barre d outils 117 Modifications d un Bridge 118 Onglet G n ral 118 Onglet Configuration avanc e 119 Onglet Membres du Bridge 120 Cr ation d un bridge 120 Identification du bridge 120 Plan d adressage 121 Suppression d un bridge 121 Modification d une interface Ethernet en mode Bridge 121 Onglet Configuration de l interface 122 Onglet Configuration a
90. pour le serveur de rechange si le serveur principal tombe Cl pr partag e Cl utilis e pour le chiffrement des changes entre le firewall et le serveur de rechange i REMARQUE Le firewall tente de se connecter 2 fois au serveur RADIUS principal en cas d chec il tente de se connecter 2 fois au serveur RADIUS backup Si le serveur RADIUS backup r pond il bascule en tant que serveur RADIUS principal Au bout de 600 secondes un nouveau basculement s op re l ancien serveur RADIUS principal redevient principal Kerberos Apr s avoir s lectionn votre m thode d authentification dans la colonne de gauche vous pouvez saisir ses informations dans la colonne de droite qui pr sente les l ments suivants Nom de Nom de domaine attribu au serveur Active Directory pour la m thode domaine d authentification Kerberos FQDN La d finition de ce nom de domaine permet de masquer l adresse IP du serveur et d en simplifier la recherche Exemple www netasq com netasq com repr sente le nom de domaine plus lisible son adresse IP correspondante 91 212 116 100 Acc s au serveur uoneinByU09 8p 43 UOHESIINP anue s Serveur Adresse IP du serveur pour la m thode d authentification Kerberos Active Directory par exemple Port Port utilis par le serveur Serveur de rechange Serveur Adresse IP de rechange du serveur Active Directory pour la m thode d authentification Kerberos Port Port uti
91. protocole concern Etat Vous pouvez choisir d activer ou non le protocole s lectionn Les protocoles tant activ s par d faut double cliquez dans la colonne pour d sactiver le protocole concern R p tez l op ration lorsque vous souhaitez le r activer Cliquez sur le bouton Appliquer pour conserver vos modifications z ov 5 S Nom du protocole Le nom donn au protocole a Port par d faut Le nom du port affect par d faut Il est possible de cr er un nouveau port en cliquant sur l ic ne amp a droite de la colonne 2 Port SSL par d faut Nom du port attribu au protocole par d faut D tection automatique Vous pouvez choisir d activer ou non la d tection automatique du amp protocole g amp 3 uoneinByuo9 8p 43 UOHESIINP anue PROXY CACHE DNS Lorsque vous effectuez une requ te DNS vers votre navigateur ou vers une adresse mail le serveur DNS transforme le nom de domaine connu par exemple www netasq com o smtp netasq com en adresse IP et vous la communique Le Proxy cache DNS permet de stocker dans la m moire du firewall la r ponse et l adresse IP communiqu e par le serveur au pr alable Ainsi d s qu une requ te similaire sera effectu e le firewall r pondra la place du serveur plus rapidement et fournira l adresse IP souhait e et conserv e L cran du Proxy cache DNS se compose d un cran unique divis en deux part
92. que vous souhaitez donner CERTIFICATS ET PKI votre URL Descendre Faites descendre d une ou plusieurs places votre URL dans la liste en cliquant sur ce bouton La fen tre suivante pr sente un r sum des informations de votre certificat Cliquez sur Terminer Vous verrez d sormais appara tre au sein de la colonne de gauche de l cran Certificats et PKI la CA que vous venez de cr er mat rialis e par l ic ne suivante BE qui repr sente la CA par d faut En cliquant sur la CA concern e ses informations d taill es s afficheront droite de l cran en 3 onglets L onglet D tails 4 fen tres y reprennent les donn es concernant la Validit de l autorit son destinataire Emis pour son Emetteur et ses Empreintes informations sur la CA et sa version L onglet CRL Il reprend les informations concernant la CRL la validit incluant la derni re et la prochaine mise jour la grille des points de distribution et la grille de certificats r voqu s devant contenir un num ro de s rie une date de r vocation et un motif de r vocation facultatif A partir de la version 9 0 1 la dur e de vie maximum des certificats quivaut dix ans L onglet configuration Cet onglet pr sente la Taille de cl octets et la Vali jours pour l Autorit de certification avec la Validit de la CRL en jours en plus pour la CA dans la limite de 3650 jour
93. s curis e 149 Restauration depuis la cl USB 149 Onglet Mise jour du syst me 150 Configuration avanc e 150 MESSAGES DE BLOCAGE 151 L onglet Antivirus 151 Protocole POP3 151 Protocole SMTP 151 Protocole FTP 152 L onglet Page de blocage HTTP 152 OBJETS RESEAUX 153 La barre d actions 153 Le filtre 153 Les diff rents types d objets 154 Machine 154 R seau 155 Plage d adresses IP 155 Port plage de ports 155 Protocole IP 156 Groupe 156 Groupe de ports 156 OBJETS TEMPS 158 Les actions 158 Les informations concernant les objets 158 L v nement ponctuel 159 Le jour de l ann e 159 Les Jour s de la semaine 159 Les plage s horaire s 159 OBJETS WEB 160 Onglet URL 160 Grille de groupe d URL 160 Grille d URL Groupe d URL All 161 Onglet Nom de certificat CN 162 Onglet Base d URL 162 PORTAIL D IDENTIFICATION 163 Connexion 163 D connexion 164 PR F RENCES 165 Acc s au site web NETASQ 165 Param tres de connexion 165 Param tres de l application 166 Param tres de l interface de management 166 Liens externes 167 PROFILS D INSPECTION 168 Inspection de s curit 168 Configuration commune chaque profil 168 Configurer les profils 169 PROTOCOLES ET APPLICATIONS 170 Les protocoles 170 Recherche 170 Liste des protocoles 170 Les profils 170 S lection du profil 170 Les boutons 170 HTTP 171 Onglet IPS 171 Onglet Proxy 173 Onglet ICAP 17
94. secours est de 16 8 pour chaque Si plus d une passerelle Obligatoire principale est d finie l option Passerelle par d faut routeur Equipement s pour Machine ou groupe de machines tester ping afin de d finir la connectivit de tester la disponibilit la passerelle Ce test est fonctionnel la condition que l option Activer la haute disponibilit de liens soit coch e Commentaire Commentaire concernant la passerelle Le D uoneinByU09 8p 43 UOHESIINP anue ROUTAGE Activer la Haute Lorsque vous activez cette option la Haute Disponibilit des routes est disponibilit de liens activ e Exemple Imaginons que vous ayez 5 routes principales configur es et un seuil de basculement de 4 Si les 4 routes principales ne sont plus praticables alors les routes de secours sont utilis es Cette option permet galement de rendre fonctionnel le test Equipement pour tester la disponibilit Seuil de basculement Si on active la HA alors les passerelles de sauvegarde ne seront sollicit es que si le nombre de passerelles principales est inf rieur au minimum de passerelles d finies dans le champ Seuil de basculement Ce nombre doit tre au minimum de 1 Envoi de la configuration Les modifications effectu es sur cet cran sont valid es l aide du bouton Appliquer Une v rification de la coh rence des routes statiques est effectu e au pr alable Si la configuration effectu e dans c
95. sont associ es une file d attente qui poss de un minimum garanti de 10Kbits s alors la bande passante HTTP la bande passante FTP sera au minimum de 10Kbits s Cependant rien n emp che que la bande passante HTTP soit de 9Kbits s et la bande passante soit seulement de 1Kbit s O REMARQUE Par d faut cette option est synchronis e avec l option Min inv En modifiant la valeur de cette option la r plication de cette valeur est r alis e dans Min inv En modifiant la valeur de Min inv les valeurs sont diff rentes et donc d synchronis es uoneinByU09 ap 43 UOHESIINP NUE LITE DE SERVICE QOS Bp max Agissant comme une limitation cette option interdit le d passement de bande passante pour le trafic affect par ces files d attente Configur e en Kbits s en Mbits s en Gbit s ou en pourcentage de la valeur de r f rence cette valeur est partag e entre tous les trafics affect s par la r gle de QoS Ainsi si les trafics HTTP et FTP sont associ es une file d attente qui poss de un maximum autoris de 500Kbits s alors la bande passante HTTP la bande passante FTP ne doit pas d passer 500Kbits s O REMARQUE Par d faut cette option est synchronis e avec l option Max inv En modifiant la valeur de cette option la r plication de cette valeur est r alis e dans Max inv En modifiant la valeur de Max inv les valeurs sont diff rentes et donc d synchronis es Agissant comme une garantie de service cette op
96. un serveur depuis l ext rieur avec une adresse IP publique qui n est pas l adresse r elle de la machine Les plages d adresses sont support es par l action bidirectionnelle Les adresses sources et translat es sont utilis es dans l ordre la plus petite adresse du champ source est translat e vers la plus petite adresse du champ translat Supprimer Ce champ permet de supprimer la ligne s lectionn e note ll est possible de supprimer plusieurs lignes en m me temps en les s lectionnant avec la touche Ctrl puis en cliquant sur Supprimer Monter Placer la ligne s lectionn e avant la ligne directement au dessus Descendre Placer la ligne s lectionn e apr s la ligne directement en dessous R init Lorsque vous cliquez sur la fl che de droite dans le champ du nom d une colonne colonnes exemple Etat vous avez la possibilit d afficher des colonnes suppl mentaires ou d en retirer afin qu elles ne soient pas visibles l cran gr ce un syst me de coche Exemple Vous pouvez cocher les cases Nom et Port src qui ne sont pas affich es par d faut FILTRAGE ET NAT En cliquant que le bouton r init colonnes vos colonnes r appara tront l tat initial avant que vous n ayez coch de case additionnelle Ainsi les cases Nom et Port src seront de nouveau masqu es La grille de NAT La grille du NAT est divis e en deux elle comporte d une part le Tr
97. 27 0 0 1 Port_Ecoute o Port_Ecoute est le port sp cifi dans la configuration du serveur Le port d coute pour chacun des serveurs configur s est rappel dans la page du portail Web NETASQ NETASQ we secure T documentation netasq com
98. 2cet Active les trois versions de SNMP SNMPv3 uoneinByUo9 8p 43 UOHESIINP anue Configuration des informations MIB II Emplacement Information alphanum rique de lieu sur l l ment surveill La localisation peut sysLocation indiquer un pays une ville une salle serveur etc Exemple France Contact Adresse e mail n de t l phone etc de la personne contacter en cas de sysContact probl me Exemple admin netasq com AGENT SNMP Envoi des alertes SNMP traps Alarmes de Ne pas envoyer en cochant cette option vous ne recevrez pas les alarmes pr vention ASQ En cochant Envoyer uniquement les alarmes majeures vous pourrez d intrusion recevoir les alarmes ASQ majeures En cochant Envoyer les alarmes majeures et mineures les alarmes majeures et mineures ASQ seront mises Ev nements En cochant ne pas envoyer vous ne recevrez pas les alarmes syst me En syst mes cochant envoyer uniquement les alarmes majeures vous pourrez recevoir les alarmes syst me majeures En cochant envoyer les alarmes majeures et mineures les alarmes syst mes majeures et mineures seront mises L onglet SNMPv3 Les options Activer l agent SNMPv3 recommand ou SNMPv1 v2c et SNMPv3 permettent l activation du module SNMP v3 Connexion l agent SNMP Nom d utilisateur Nom d utilisateur utilis pour la connexion et pour la consultation des MIB sur le firewall Authentification
99. 4 Onglet Analyse des fichiers 176 SMTP 177 Onglet IPS 177 Onglet Proxy 178 Onglet Commandes SMTP 179 Onglet Analyse des fichiers 179 POP3 180 Onglet IPS PROXY 180 Onglet Commandes POP3 181 Onglet Analyse des fichiers 181 FTP 182 Onglet IPS 182 Onglet Proxy 183 Onglet Commandes 184 Onglet Analyse des fichiers 184 SSL 185 Onglet IPS 185 Onglet Proxy 186 TCP UDP 187 L cran des profils 187 L cran de la configuration globale 189 189 Onglet IPS 189 ICMP 190 Onglet IPS 190 DNS 190 L cran des profils 190 L cran de la configuration globale 190 Yahoo Messenger YMSG 191 L cran des profils 191 L cran de la configuration globale 191 MANUEL D UTILISATION ET DE CONFIGURATION ICQ AOL IM OSCAR 191 L cran des profils 191 L cran de la configuration globale 192 Live Messenger MSN 192 L cran des profils 192 L cran de la configuration globale 192 TFTP 192 L cran des profils 192 L cran de la configuration globale 193 NetBios CIFS 193 L cran des profils 193 L cran de la configuration globale 193 NetBios SSN 194 MGCP 194 L cran des profils 194 L cran de la configuration globale 195 RTP 195 Onglet IPS 195 RTCP 195 Onglet IPS 195 SIP 196 Commandes SIP 196 Taille maximale des l ments en octets 196 Param tres de session SIP 197 Extension du protocole SIP 197 Support 198 Aut
100. 8p 43 UOHESIINP anue PROTOCOLES ET APPLICATIONS Celle ci regroupe les navigateurs et leurs donn es qui ne seront pas supprim s automatiquement par l option cit ci dessus I est possible d Ajouter ou de Supprimer des l ments de cette liste en cliquant sur les boutons du m me nom Param tres de sessions HTTP en secondes Dur e max d une requ te Programm e 30 secondes par d faut Max 600 secondes Support D sactiver la pr vention En cochant cette option l action passer sera automatiquement d intrusion d clench e au sein du filtrage URL Tracer chaque requ te Active ou d sactive les logs permettant de tracer les requ tes HTTP HTTP Onglet Proxy Connexion Conserver l adresse IP Lorsqu une requ te est effectu e par un client web navigateur vers le source originale serveur le firewall l intercepte et v rifie que celle ci soit conforme aux r gles de filtrage d URL puis il relaie la demande Si cette option est coch e cette nouvelle requ te utilisera l adresse IP source originale du client web qui a mis le paquet Dans le cas contraire c est l adresse du firewall qui sera utilis e Extensions du protocole HTTP Autoriser les connexions WebDAV est un ensemble d extensions au protocole HTTP concernant WebDAV lecture et l dition et la gestion collaborative de documents Si cette option est criture coch e le protocole WebDav est autoris au travers du fi
101. 8p je UOHESIINP anue x note La diff renciation entre les serveurs RBL nativement configur s par NETASQ et les serveurs configur s de mani re personnalis e s effectue gr ce au cadenas qui indique les serveurs RBL nativement configur s par NETASQ Rappel seule la liste de ces serveurs est mise jour par Active Update uoneinByU09 8p 43 UOHESIINP anue x ANTISPAM Analyse heuristique L analyse heuristique est bas e sur l antispam Vade Retro de GOTO Software Cet antispam d livre par un calcul original un degr de l gitimit aux messages L antispam effectue le calcul d une valeur d finissant le caract re non sollicit d un message Les e mails obtenant une valeur sup rieure ou gale au seuil fix seront consid r s comme spam Score minimal de L analyse heuristique r alis e par le module Antispam effectue le calcul d finition d un spam d une valeur d finissant le caract re non sollicit d un message Les e 1 5000 mails obtenant une valeur sup rieure ou gale au seuil fix seront consid r s comme spams Cette section permet de d finir le seuil appliquer par d faut NETASQ choisit 200 En modifiant le score la valeur minimale des 3 seuils de confiance est modifi e De plus plus cette valeur calcul e est lev e plus le niveau de confiance accord par l antispam l analyse sera lev Les seuils de franchissement des niveaux de confiance ne sont pas configurables
102. Cette liste contient les ports TCP autoris s par d faut pour NetBios CIFS PROTOCOLES ET APPLICATIONS Vous pouvez en ajouter en cliquant sur le bouton appropri ou le retirer de la liste en le s lectionnant et en cliquant sur Supprimer NetBios CIFS liste des ports UDP par d faut Cette liste contient les ports UDP autoris s par d faut pour NetBios CIFS Vous pouvez en ajouter en cliquant sur le bouton appropri ou le retirer de la liste en le s lectionnant et en cliquant sur Supprimer NetBios CIFS over SSL liste des ports TCP par d faut Cette liste contient les ports TCP autoris s par d faut pour le protocole NetBios CIFS passant par le SSL Vous pouvez en ajouter en cliquant sur le bouton appropri ou le retirer de la liste en le s lectionnant et en cliquant sur Supprimer A uoneinByUo9 8p je UOHESIINP anue NetBios SSN Les crans sont les m mes que pour le protocole pr c dent ceci pr s qu ils permettent la configuration du protocole NetBios SSN rendant possible l change de messages en mode connect MGCP L cran des profils Onglet IPS D tecter et inspecter automatiquement le protocole Si le protocole est activ il est automatiquement utilis la d couverte d un paquet correspondant dans les r gles de filtrage Cette option n est pas disponible pour les protocoles IP ICMP TCPUDP RTP RTCP MSN YMSG Param tres de sessi
103. Connexions applicatives plugin v nements li s au traitement des plugins de l ASQ L plugin N N N uoneinByUo9 8p 43 uopesyn p anue TRACES SYSLOG Proxy POP3 v nements li s l envoi des messages l_pop3 Applications et vuln rabilit s Seismo v nements li s l application de consultation des vuln rabilit s sur le r seau NETASQ SEISMO l_pvm Administration Serverd v nements li s au serveur d administration des firewalls serverd l_ server Proxy SMTP v nements li s au trafic SMTP L_ smtp Ev nements syst mes c est dans ce journal que sont enregistr s les v nements li s directement au syst me arr t d marrage du firewall erreur syst me etc L arr t et d marrage des fonctions de journalisation correspondent l arr t et au d marrage des d mons qui g n rent les traces l_system VPN IPSec v nements li s l tablissement des SA L_vpn Proxy HTTP v nements li s au trafic HTTP l_web VPN SSL v nements li s l tablissement du VPN SSL 1 xvpn Les fichiers partagent un espace global de stockage avec d autres fichiers de traces Pour chaque menu de traces Alarmes Authentification Connexions r seaux Politique de filtrage Proxy FTP Statistiques Connexions applicatives plugin Proxy POP3 Applications et vuln rabilit s Seismo Serveur Proxy SMTP Ev nements syst mes VPN IPSec Proxy HTT
104. D partement g ographique de votre soci t ex Nord E Pays C Choisissez dans la liste le pays de la soci t ex France Cliquer sur Suivant Vous devez ensuite s curiser l acc s votre autorit Dans cette tape de l assistant de configuration de la PKI vous devez renseigner un mot de passe qui va permettre la protection de la cl priv e de votre autorit de certification AVERTISSEMENT Le choix d un mot de passe trop simple est d conseill Nous vous recommandons de m langer les lettres minuscules majuscules les chiffres les caract res sp ciaux Mot de passe de l autorit Mot de passe 8 Saisissez un mot de passe de 8 lettres minimum afin de prot ger l acc s car min voire CA note Ce mot de passe ne sera pas enregistr par le firewall Si vous l oubliez vous devrez r initialiser la PKI et perdrez la configuration effectu e pour celle ci Confirmez le mot de Retapez une seconde fois votre mot de passe dans ce champ afin de le passe confirmer Force du mot de passe Ce champ indique le niveau de s curit de votre mot de passe Tr s Faible Faible Moyen Bon ou Excellent uoneinByU09 8p 43 UOHESIINP anue Il est fortement conseill d utiliser les majuscules et les caract res sp ciaux E mail Renseigner votre adresse e mail dans ce champ vous permettra de recevoir un message vous confirmant la cr ation de votre autor
105. E Dur e de vie P riode de temps au bout de laquelle les cl s sont ren goci es La dur e de vie maximum en par d faut pour un profil de type IKE est 21600 secondes et 3600 secondes pour secondes un profil de type IPSec Propositions d authentification Cette grille vous propose de modifier ou d ajouter des algorithmes d authentification la liste pr tablie du profil s lectionn Ajouter L algorithme d authentification apparaissant par d faut en cliquant sur ce bouton est hmac_sha d une Force de 160 bits et en priorit 1 Cliquez sur la fl che droite de la colonne Algorithme si vous souhaitez le modifier VPN IPSEC Chaque fois que vous ajoutez une ligne au tableau celle ci passe en priorit suivante Supprimer S lectionnez la ligne retirer de la liste et cliquez sur Supprimer Algorithme 6 choix vous sont propos s sha1 md5 sha256 sha384 sha512 ou non_auth Force Nombre de bits d finis pour l algorithme s lectionn Propositions de chiffrement Cette grille vous propose de modifier ou d ajouter des algorithmes de chiffrement la liste pr tablie du profil s lectionn Ajouter L algorithme de chiffrement apparaissant par d faut en cliquant sur ce bouton est des d une Force de 64 bits Cliquez sur la fl che droite de la colonne Algorithme si vous souhaitez le modifier Chaque fois que vous ajouter une ligne au
106. En cochant cette option le groupe que vous s lectionnerez dans le champ suivant uniquement les recevra les alarmes majeures alarmes majeures Destinataire du Choix du groupe qui recevra les alarmes de pr vention d intrusion majeures message Envoyer les alarmes En cochant cette option le groupe que vous s lectionnerez dans le champ suivant majeures et recevra les alarmes de pr vention d intrusion majeures et mineures mineures Destinataire du Choix du groupe qui recevra les alarmes de pr vention d intrusion majeures et message mineures 19 i x Ex Ev nements syst me 2 z Tout comme le champ pr c dent un groupe peut galement tre notifi pour recevoir les z v nements syst me g Le d lai d envoi des v nements syst me se modifie de la m me fa on dans le champ Fr quence d envoi du menu Fr quence d envoi des e mails en minutes FA ss D D AVA i A as amp Ne pas envoyer Pas d envoi des v nements syst me Ce bouton radio est coch par d faut S se za 2 Envoyer En cochant cette option le groupe que vous s lectionnerez dans le champ suivant e uniquement les recevra les v nements syst me majeurs 8 alarmes majeures 5 amp Destinataire du Choix du groupe qui recevra les v nements syst me majeurs E ni message B S Envoyer les alarmes En cochant cette option le groupe que vous s lectionnerez dans le champ suivant majeures et rece
107. Ethernet afin que ceux ci soient transmis en une seule fois donc sans fragmentation Ce choix n est pas disponible pour une interface contenue dans un bridge Adresse O AVERTISSEMENT physique MAC Cette option n est pas accessible pour les firewalls en Haute Disponibilit Cette option vous permet de sp cifier une adresse MAC pour une interface plut t que d utiliser l adresse allou e par le firewall Cela vous permet de faciliter d autant plus l int gration en mode transparent de votre firewall NETASQ dans votre r seau en sp cifiant l adresse MAC de votre routeur plut t que d avoir reconfigurer tous les postes utilisant cette adresse MAC Si l interface est contenue dans un bridge dans ce cas elle poss de la m me adresse MAC que lui note Ce champ est gris lorsque l interface appartient un bridge Il n est ni modifiable ni supprimable INTERFACES DHCP note Indication d sactiv si l option IP dynamique obtenue par DHCP n est pas coch e dans l onglet Configuration de l interface et les options sont gris es Nom DNS Nom du serveur DNS FQDN pour la connexion facultatif Ce champ facultatif n identifie pas le serveur DHCP mais le firewall Si le champ est rempli et que le serveur DHCP externe poss de l option de mise jour automatique du serveur DNS alors le serveur DHCP met jour automatiquement le serveur DNS avec le nom fourni par le firewall et l adresse IP q
108. ILTRAGE ET NAT Exemple de r gle de NAT Trafic original avant translation Trafic apr s translation Source Destination Port dest Destination Internet Virtual_mail smtp Internal_mail sur on server serveur ARP V rification en temps r el de la politique La politique de NAT d un firewall est un des l ments les plus importants pour la s curit des ressources que le firewall prot ge Bien que cette politique volue sans cesse s adapte aux nouveaux services aux nouvelles menaces aux nouvelles demandes des utilisateurs elle doit converser une coh rence parfaite afin que des failles n apparaissent pas dans la protection que propose le firewall L enjeu est d viter la cr ation de r gles qui en inhiberaient d autres Lorsque la politique de filtrage est cons quente le travail de l administrateur est d autant plus fastidieux que ce risque s accro t De plus lors de la configuration avanc e de certaines r gles de filtrage tr s sp cifiques la multiplication des options pourrait entra ner la cr ation d une r gle erron e ne correspondant plus aux besoins de l administrateur Pour viter cela l cran d dition des r gles de filtrage des firewalls dispose d un champ de V ri ion de la politique situ en dessous de la grille de filtrage qui pr vient l administrateur en cas d inhibition d une r gle par une autre ou d erreur sur une des r gles qui a t cr es Exemple Si vous laisser
109. KEYTAB spnego bat en respectant scrupuleusement la casse Ce script est disponible sur le site web NETASQ ou dans le CD ROM d administration de votre firewall Interfaces autoris s Interne Permet d activer ou de d sactiver la m thode d authentification choisie sur l interface interne Externe Permet d activer ou de d sactiver la m thode d authentification choisie sur l interface externe REMARQUE L activation de ces champs ajoute la m thode d authentification s lectionn e la liste d roulante de la colonne Authentification du menu Utilisateurs Droits d acc s onglet Configuration par l utilisateur M thodes de redirection du proxy HTTP Lorsqu une m thode de redirection par d faut du proxy HTTP est activ e SRP Certificat ou SPNEGO le mode SSO de cette m thode est enclench Cela signifie que une fois que vous avez saisi une fois vos identifiant mot de passe vous n aurez plus besoin de vous identifier lors de votre prochaine connexion ils seront d j stock s et automatiquement pris en compte Interfaces i Ce champ n cessite de d finir une m thode d authentification SSL et SPNEGO et de internes choisir celle qu il faut appliquer pour le proxy http vers les interfaces internes Interfaces Ce champ n cessite de d finir une m thode d authentification SSL et SPNEGO et de externes choisir celle qu il faut appliquer pour le proxy http vers les interfaces externes uoneinByU09 8p 43 UOHESIINP a
110. MANUEL D UTILISATION ET DE CONFIGURATION NETASQ FIREWALL MULTIFONCTIONS MANUEL D UTILISATION ET DE CONFIGURATION Date R vision Auteur Objet Novembre 2011 V1 0 NETASQ Cr ation R f rence nafrgde_FirewallUserGuide doc MANUEL D UTILISATION ET DE CONFIGURATION BIENVENUE ADMINISTRATEURS Onglet Administrateurs La grille des droits Onglet Compte admin ACTIVE UPDATE 5 6 6 Les manipulations possibles 6 7 8 9 9 Mises jour automatiques Serveurs de mise jour 9 AGENT SNMP 10 L onglet G n ral 10 Configuration des informations MIB I1 10 Envoi des alertes SNMP traps 11 L onglet SNMPv3 11 Connexion l agent SNMP 11 Authentification 11 Chiffrement optionnel 11 Envoi des alertes SNMPv3 traps 12 L onglet SNMPv1 SNMPv2c 13 Connexion l agent SNMP 13 Envoi des alertes SNMPv2c traps 13 Envoi des alertes SNMPv1 traps 13 ALARMES 15 Vue par profil d inspection 15 S lection du profil de configuration 15 Les diff rentes colonnes 16 Vue par contexte 17 ALERTES E MAILS 18 L onglet Configuration 18 Activer les notifications par e mail 18 Serveur SMTP 18 Fr quence d envoi des e mails en minutes 18 Alarmes de pr vention d intrusion 19 Ev nements syst me 19 L onglet Destinataires 20 Cr er un groupe 20 Supprimer un groupe 20 V rifier 20 L onglet Mod les 21 Edition du mod le HTML 21 Vuln ra
111. Machines destinations Cliquer sur Ok pour valider votre configuration S lectionnez dans la base objets figurant dans la liste d roulante la machine destinataire du trafic Vous pouvez Ajouter ou Supprimer un objet en cliquant sur l ic ne uoneinByUo9 ap 43 UOHESIINP anue e FILTRAGE ET NAT Onglet Configuration avanc e Configuration avanc e Interface de sortie Cette option permet de choisir l interface de sortie du paquet sur laquelle s applique la r gle de filtrage Par d faut le firewall la s lectionne automatiquement en fonction de l op ration et des adresses IP de destination Il est possible de filtrer en fonction de l interface de sortie du paquet NAT sur la destination Destination Si vous souhaitez translater l adresse IP de destination du trafic s lectionnez en une parmi les objets de la liste d roulante Sinon laissez le champ tel qu il est savoir None par d faut Port destination Si vous souhaitez translater le port de destination du trafic s lectionnez en un parmi les objets de la liste d roulante Sinon laissez le champ tel qu il est savoir None par d faut Cliquer sur Ok pour valider votre configuration Port dest Le port de destination repr sente le port sur lequel la machine source ouvre une connexion sur une machine de destination Il faut le d finir dans la fen tre d dition du protocole Protocole Ce champ
112. Min Max Couleur Commentaire min inv inv File d attente par priorit 1 Item QoS_DNS 1 Priorisation flux DNS N S uoneinByUo9 8p 43 UOHESIINP anue LITE DE SERVICE QOS Utilisation de la r gle de QoS dans la politique de filtrage Afin de visualiser la Qos dans l onglet Filtrage du module Filtrage et NAT double cliquez dans la colonne Action une fois votre r gle de filtrage tablie voir document Filtrage et NAT ou menu Politique de S curit module Filtrage et NAT colonne Action Effets sur le trafic Baisse voire absence de paquets perdus si la r gle est en priorit 1 et qu elle est la seul dans ce cas Diminution de la latence Exemple 2 Limitation du trafic HTTP Parmi les trafics internet les flux HTTP sont les plus gros consommateurs de la bande passante du lien Internet et du r seau local Une utilisation importante de l internet peut entra ner des probl mes de congestions du trafic r seau les performances globales sont d grad es et l utilisation du r seau devient fastidieuse Pour rem dier cet tat de fait il est recommand de limiter le trafic HTTP au moyen d une r gle de QoS de type classe d application ou d affectation CBQ d finissant un d bit maximum autoris Elle permettra de pr server la bande passante du r seau et r duire l impact de l utilisation de l internet sur les performances globales du r seau D finition de la r gle de QoS pour le HTTP
113. Modem en fonction de la vue choisie Un simple clic sur une interface permet d afficher sa configuration Il est possible galement d utiliser le moteur de recherche pour rechercher une interface sp cifique Exemple en saisissant br tous les bridges sont indiqu s Le panneau de configuration panneau central en cliquant sur une interface via l arborescence des interfaces sa configuration s affiche dans ce panneau La barre d outils cette barre permet d ajouter ou de supprimer des interfaces bridge modem d tendre ou de r duire l arborescence des interfaces de choisir selon 3 types de vue Vue mixte qui est la vue par d faut et qui correspond une repr sentation logique des interfaces c est dire les bridges d abord qui sont le n ud racine les interfaces les vlans attach s l interface ou au bridge puis les modems Grouper par port physique et Grouper par plan d adressage de filtrer selon l interface souhait e et de v rifier l utilisation check uoneinByuo9 8p 43 UOHESIINP anue INTERFACES Arborescence des interfaces Les interfaces du bo tier sont indiqu es dans l arborescence Glisser d poser Un drag amp drop d une interface modifie sa configuration ses relations et son plan d adressage Si le drag amp drop est autoris dans ce cas une coche verte est indiqu e Au contraire si le d placement est interdit une ic ne d interdiction
114. N IPSec VPN SSL Serveur PPTP Notifications contentant 5 modules Traces syslog Agent SNMP Alertes e mails Ev nements syst mes Message de blocage note Si vous rencontrez des modules gris s cela signifie qu ils n cessitent une licence laquelle vous n avez pas souscrit et donc que vous n y avez pas acc s Cela peut galement signifier que l utilisateur avec lequel vous vous tes connect n a pas les privil ges n cessaires l acc s de ces menus L ic ne permet de personnaliser l affichage de votre arborescence Ceci E offre une visibilit partielle de votre arborescence affichant uniquement les menus Cela offre une visibilit totale de votre arborescence affichant les menus et leurs modules La zone dynamique les widgets Cet espace vous permet de visualiser certaines mises jour de votre firewall comme les derni res alarmes remont es ou les dates d expiration de vos licences 9 fen tres sont accessibles disposant chacune d une barre d outils en haut droite y compris le module tableau de bord complet Les actions possibles via ces outils sont les suivantes S Plus Moins Fermer Rafra chir Ouvrir Configuration du tableau de bord uoneanyuoo 8p 43 UOHESIINP anue Ajouter aux favoris Repr sent par l ic ne cet outil permet pour le module tableau de bord d ajouter une colonne et pour le
115. NAT peuvent tre d plac es par glisser d poser Le glisser d poser drag n drop Tout au long de votre cr ation et dition de r gle il sera possible de glisser d poser des objets et des actions Vous pourrez d placer n importe quel objet o vous le souhaitez dans la grille ainsi qu en ins rer depuis votre barre de navigation gauche champ objets s ils ont t pr alablement cr s vous pouvez galement les cr er directement depuis chaque champ qui accepte un objet REMARQUE Deux ic nes vous permettront de savoir si l objet ou l action s lectionn e peut tre d plac au sein d une cellule particuli re uoneinByUo9 8p 43 UOHESINP NUE a Indique que l op ration est possible Indique que l objet ne peut tre ajout la cellule choisie FILTRAGE ET NAT L ongjlet Filtrage La technologie de pr vention d intrusion NETASQ inclut un moteur de filtrage dynamique des paquets stateful inspection avec optimisation des r gles permettant l application de la politique de filtrage de mani re s re et rapide La mise en uvre des fonctions de filtrage est bas e sur la confrontation des attributs de chaque paquet IP re u aux crit res de chaque r gle de la politique de filtrage actif Le filtrage porte sur tous les paquets sans exception Les crit res de s lection du trafic pour une r gle de filtrage sont L interface de r ception des paquets IP couvert
116. OVDQSBjbGllbnQgY2VydGima WNhdGUsl HNIZSBodHRWOi8vdW5pZ2VjYS51bminZS5jaCBmb3lgbW9yZSBpbmZvcem1hdGlvbonMwEQYJYIZIAYb4QJEBB AQDAgSwM A0GCSqGSIbBDQEBBAUAA4GBACQ9E067ASUUa6QBBNJYbGhC7zSjXIWySvi6k4az2UqTOCTIMCNnmPR513 KxriGpWT oH68LVA30inskP9rkZAKsP yaZzjT7aL phV3ViJfreGbVs5tiT cmigwFLeUWFRvNyT9VUPUovghGVbCc9x v0SuY7t 3UMeZejj8 ZHHM END CERTIFICATE Les balises BEGIN CERTIFICATE et END CERTIFICATE encadrent le bloc de n lignes de chacune 64 caract res de type A Za z0 9 C est un format qui transite souvent par e mail car celui ci r siste tr s bien aux d formations des logiciels de messagerie Le fichier PEM est un fichier texte contenant ce type d information De m me le fichier CRL contient des cha nes de caract res cod es en base 64 encadr es par des balises du type BEGIN X509 CRL et END X509 CRL Le fichier de cl priv e quant lui contient des cha nes de caract res cod es en base 64 encadr es par des balises du type BEGIN RSA PRIVATE KEY et END RSA PRIVATE KEY CERTIFICATS ET PKI Format binaire DER Distinguished Encoding Rules celui ci contient le certificat de l utilisateur en format binaire Container PKCS 12 il contient la cl priv e et le certificat utilisateur ainsi que le certificat de l autorit de certification De plus celui ci est crypt Mot de passe du D finissez un mot de mot de passe pour le f
117. P VPN SSL vous pouvez limiter la taille du fichier de traces en s lectionnant la taille du fichier en pourcentage de l espace r serv pour les fichiers de logs Le tableau pr sente les colonnes suivantes Activ Permet d activer d sactiver le fichier de traces Si vous d cochez la ligne le pourcentage est 0 Dans ce cas le type de log ne sera pas stock sur le disque En recochant la ligne le pourcentage indiqu est 1 par d faut Famille Nom du fichier de traces Pourcentage Taux d occupation actuel en pourcentage En cliquant dans une case il est possible de modifier le pourcentage Quota d espace disque Proportion d espace disque qu occupe chaque fichier sur le disque qui varie selon le pourcentage sp cifi En bas droite du tableau est indiqu le total des pourcentages Si le total est sup rieur 100 dans ce cas une ligne d avertissement au bas de la grille est indiqu e en rouge Exemple Attention r partition incorrecte 113 de l espace disponible est r serv Les modifications sont toutefois autoris es En cliquant sur Appliquer le message suivant s affiche L espace disque total r serv pour les traces d passe la capacit pour ce mod le Voulez vous vraiment appliquer cette configuration Vous avez le choix entre forcer l enregistrement ou annuler iJ NOTE Ces fichiers peuvent tre copi s sur la solution NETASQ EVENT ANALYZER afin de construire des r
118. Si l interface est utilis e dans ce cas un message s affiche Attention cette interface bridge est utilis e par un ou plusieurs modules La supprimer peut rendre le firewall instable Vous pouvez alors forcer la suppression v rifier l utilisation ou annuler Dans le cas o le r sultat de la v rification est n gatif le message Voulez vous r ellement supprimer cette interface s affiche A partir de la version 9 0 1 un modem 3G externe peut tre connect au port USB Un message d avertissement s affichera lorsqu une interface sera renomm e NOTE Le renommage d une interface ne migre pas les r f rences celle ci en particulier dans les l ments de configuration utilisant les objets g n r s tel que Network_in par exemple Modifications d un Bridge Pour modifier les param tres d un bridge cliquez sur son libell dans la partie gauche de la fen tre Trois onglets permettent la modification des param tres du bridge Onglet G n ral Nom Nom utilisateur de l interface Ce nom doit tre unique et contenir 16 caract res au obligatoire maximum Le nom du bridge ne peut contenir certaines appellations Cf Annexe M pour conna tre les Noms interdits Commentaire _Permet de donner un commentaire pour l interface Membres du bridge Ports physiques Liste des ports Ethernet contenus dans le bridge Exemple Port2 Interfaces Liste des interfaces co
119. Y RFC3265 Le protocole SIP inclut un m canisme normalis pour permettre n importe quel client un t l phone en VolP tant un exemple de client SIP de surveiller l tat d un autre dispositif Si un dispositif A client veut tre inform des changements de statut d un dispositif B il envoie une requ te SUBSCRIBE de Souscription directement au dispositif B ou un serveur qui rend compte de l tat du dispositif B Si la requ te SUBSCRIBE est r ussie chaque fois que le dispositif B changera d tat le dispositif A recevra un SIP NOTIFY message indiquant le changement du statut ou pr sentant des informations sur l v nement Lorsqu un dispositif s enregistre sur un autre il sera inform d s qu un v nement survient Exemple La mise en ligne des contacts qu ils recherchent Cochez la case pour activer l extension Activer l extension UPDATE RFC3311 L extension UPDATE permet un client de mettre jour les param tres d une session avant qu elle soit tablie comme l ensemble des flux de m dias et de leurs codecs Cochez la case pour activer l extension Activer l extension MESSAGE RFC3428 L extension MESSAGE est une prolongation du protocole SIP permettant le transfert des messages instantan s Puisque la requ te MESSAGE est une prolongation au SIP elle h rite de tous dispositifs de cheminement et de s curit inclus dans ce protocole Les requ tes MESSAGE portent le contenu au forma
120. a Ouvrir avec Parcourir ou Enregistrer le fichier Un assistant d importation de certificat appara t ensuite si vous avez s lectionn Ouvrir avec Il aide copier des certificats des listes de certificats de confiance et des CRL depuis votre disque dur vers un magasin de certificats Un certificat mis par une autorit de certification est une confirmation de votre identit et contient des informations utilis es pour prot ger vos donn es ou tablir des connexions r seau s curis es 2 Cliquez sur Suivant et choisissez le fichier importer CERTIFICATS ET PKI 3 Entrez ensuite le mot de passe Deux cases cocher vous sont propos es Activer la protection renforc e des cl s priv es La cl priv e vous sera demand e chaque fois qu elle est utilis e par une application si vous activez cette option Marquer cette cl comme exportable Cela vous permettra de sauvegarder de transporter vos cl s ult rieurement 4 Cliquez sur Suivant vous acc dez au magasin de certificats Windows peut s lectionner automatiquement le magasin de certificats ou vous pouvez sp cifier l emplacement du certificat Deux options vous sont propos es S lectionner automatiquement le magasin de certificats selon le type de certificat Placer tous les certificats dans le magasin suivant choisissez l emplacement en cliquant sur Parcourir 5 Cliquez sur Suivant la page de fin de l
121. a colonne l aide du bouton Profil de Permet de choisir un profil pour restreindre les applications surveiller supervision La s lection du profil se fait dans la liste d roulante de la colonne qui s affiche en cliquant sur la fl che de droite lorsque vous ajoutez une ligne au tableau voir bouton Ajouter ci dessous Vous pouvez r aliser diff rentes actions partir de cette grille Ajouter Ce bouton permet d ajouter un objet r seau et un profil associ cet objet la liste des l ments supervis s En cliquant sur ce bouton une ligne vide s affiche dans le tableau Supprimer S lectionnez l association objet profils supprimer puis cliquez sur le bouton Q AVERTISSEMENT Aucun message ne vous demande de confirmer la suppression du profil P Monter Permet d lever la priorit de l association entre un l ment r seau et un profil Descendre Permet de r duire la priorit de l association entre un l ment r seau et un profil Voici la liste des profils et des familles de vuln rabilit s qui vont tre d tect s et signal s APPLICATIONS CLIENTES ET SYSTEMES D EXPLOITATION Serveurs Serveurs SSH Applications clientes et Client ma SERVEURS CLIENTS OUTILS Outils de s curit uoneinByU09 8p 43 UOHESIINP anue Serveurs HTTP Web syst mes d exploitation Client Mail Antivirus Outils de Serveurs de Bases de OS Thunderbird S curisation et Donn e
122. able pour une configuration nomade note Ce champ n est ditable qu en mode expert CLI Objet s lectionn pour la passerelle locale Ce champ est en Any par d faut Si vous cochez cette option le serveur IPSec sera mis en attente Il ne prendra pas l initiative de n gociation du tunnel Cette option est utilis e dans le cas o le correspondant est un mobile Ce champ permet de configurer la fonctionnalit VPN dite de DPD Dead Peer Detection Celui ci permet de v rifier qu un correspondant est toujours op rationnel Quand le DPD est actif sur un correspondant celui ci envoie r guli rement des paquets ou messages l autre correspondant auxquels ce dernier r pond pour dire qu il est toujours l Ces changes sont s curis s via les SA Security Association ISAKMP Internet Security Association and Key Management Protocol Si on d tecte qu un correspondant ne r pond plus les SA n goci es avec celui ci sont d truites N re uoneinByU09 8p 43 uopesiyn p anue VPN IPSEC 0 AVERTISSEMENT Cette fonctionnalit apporte une stabilit au service VPN sur les firewalls NETASQ la condition que le DPD soit correctement configur Pour configurer l option de DPD quatre choix sont disponibles Inactif les requ tes DPD provenant du correspondant sont ignor es Passif les requ tes DPD mises par le correspondant obtiennent une r ponse du firewall Par contre le firewall n e
123. afic ori et d autre part le Trafic translat Etat Etat de la r gle inal avant translation Activ la r gle est activ e et sera utilis e par le firewall NETASQ D sactiv la r gle est d sactiv e double cliquez dans le champ pour activer ou d sactiver la r gle REMARQUE Le firewall va valuer les r gles dans leur ordre d apparition l cran une une en partant du haut D s qu il rencontre une r gle qui correspond la demande il effectue l action sp cifi e et s arr te l A partir de la version 9 0 1 la translation d adresse source g re les protocoles IP sans tat type GRE toutefois avec la limitation suivante Si deux clients passent par le m me firewall ils ne pourront pas se connecter sur un m me serveur en m me temps Le moteur de pr vention d intrusion NETASQ va bloquer les paquets re us par le second client Au bout de 5 minutes le moteur de pr vention d intrusion jugera la session trop ancienne et permettra au second client de prendre le relai Le trafic original avant translation En cliquant dans la colonne Interface d entr e une fen tre de configuration s affiche Source du trafic avant translation Onglet G n ral uoneinByUo9 8p 43 UOHESIINP anue s G n ral Utilisateurs La r gle s appliquera l utilisateur que vous s lectionnerez dans ce champ Il en existe trois par d faut No user Cette option per
124. al au sein de la bo te de dialogue Il appara tra lorsque vous opterez pour le filtre Tous les objets ou R seau voir ci dessous et sera mat rialis par l ic ne suivante le uoneinByUo9 8p 43 UOHESIINP NUE Supprimer S lectionnez l objet retirer de la liste et cliquez sur Supprimer V rifier Si vous cliquez sur ce bouton apr s avoir s lectionn un v nement le r sultat s affiche l utilisation dans l arborescence des modules Le filtre Ce bouton permet de choisir le type d objets afficher Un menu d roulant vous propose les choix suivants Tous les objets Mat rialis e par l ic ne l8 cette option permet d afficher dans la liste des objets gauche tous les types d objets r seaux Machine Mat rialis e par l ic ne cette option permet d afficher uniquement les OBJETS RESEAUX objets de type machine dans la colonne de gauche R Lame r 5 DES Mat rialis e par l ic ne cette option permet d afficher uniquement les objets de type r seaux Plage d adresses IP u Mat rialis e par Pic ne plages d adresses IP cette option permet d afficher uniquement les Port plage de ports Mat rialis e par l ic ne t cette option permet d afficher les ports et les plages de ports Protocole IP Es SEP TONOERE Mat rialis e par l ic ne 1 cette option permet d afficher uniquement les protocol
125. ales ClamAV et Kaspersky VulnBase Date limite de mise jour des vuln rabilit s NVM NETASQ Vulnerability Manager rusVendor Date limite de mise jour des bases virales Kaspersky URLFiltering Active ou d sactive le filtrage d URL via la base NETASQ dans le proxy Valeur par d faut 1 219 AntiSPAM Active ou d sactive le filtrage des spams via DNSBL dans le proxy Valeur par f d faut 1 Mat riel Cette fen tre pr sente les diff rentes donn es mat rielles de votre quipement Haute disponibilit V rifie l int grit du cluster de HA licences configuration synchronisation membre actif Mat riel Pr sence ou non d une clef USB sur le syst me configuration s curis e pour le module 5yst me Maintenance uoneinByU09 8p 43 UOHESIINP anue RAID Etat du RAID ensemble redondant de disques durs ind pendant ou peu on reux et de ses disques si l option est disponible sur le mat riel A partir de la version 9 0 1 une alarme d avertissement appara tra si un disque est d fectueux ou manquant N N uoneinByUo9 8p je UOHESIINP anue Propri t s TABLEAU DE BORD Cette fen tre affiche les donn es essentielles de la configuration de votre firewall Propri t s Num ro de s rie Date Partition de sauvegarde Uptime Configuration LDAP R f rence de votre firewall NETASQ Date et heure en temps r el Pr sence ou non d une partition de sauvegarde sur votre syst me c
126. all Le VPN SSL NETASQ r crit de fa on automatique les liens HTTP trouv s dans les pages Web consult es par vos utilisateurs Cela permet de naviguer entre vos diff rents serveurs si ces derniers sont configur s ou d interdire l acc s certains serveurs Lorsqu un lien web dans une page pointe sur un serveur non configur le lien est redirig vers la page de d marrage du VPN SSL NETASQ Serveurs applicatifs Cette section rassemble les serveurs configur s pour les acc s aux ressources autres que le type Web telnet mail Le VPN SSL NETASQ permet de s curiser tout protocole bas sur une connexion TCP unique POP3 SMTP telnet acc s distant Dans le cadre de protocoles autres que l HTTP le client permettant la connexion s curis e est une applet JAVA Cette derni re ouvre un tunnel chiffr Tous les paquets chang s entre le poste client et le firewall sont chiffr s Le VPN SSL NETASQ n impose pas d installation de clients sur les postes de vos utilisateurs et supporte nativement les OS disposant de JAVA Windows Linux MAC OS X ll vous suffit de configurer les serveurs auxquels vous d sirez donner l acc s vos utilisateurs Ces serveurs seront dynamiquement ajout s la liste des serveurs autoris s lors du prochain chargement de l applet JAVA effectu par vos utilisateurs L applet JAVA ouvre des ports en coute sur le poste client C est sur ces derniers que devront se connecter les outils client
127. ant cette politique la plupart des niveaux d alarmes passeront en Mineur Moyenne En appliquant cette politique les niveaux d alarmes seront modifi s en fonction du profil choisi _ Haute En appliquant cette politique la plupart des niveaux d alarmes passeront en Majeur 17 iF REMARQUE La politique choisie appara tra entre parenth ses c t du bouton Nouvelles alarmes Tout approuver En s lectionnant cette option toutes les nouvelles alarmes mat rialis es par l ic ne w seront accept es l ic ne dispara tra Rechercher Cet emplacement permet de n afficher que la ou les alarmes contenant la lettre ou le mot saisi NOTE GENERALE Vous pouvez tout moment selon la vue dans laquelle vous vous trouvez basculer dans l autre en cliquant sur les boutons suivants en haut droite de l cran JT Passer en vue par profil d inspection o T Passer en vue par contexte uoneinByUo9 8p 43 UOHESIINP anue A partir de la version 9 0 1 un champ de recherche instantan e appara t au sein des deux vues du module afin de filtrer plus facilement les profils et les contextes sans devoir appuyer sur Entr e Une nouvelle alarme a t ajout e pour d tecter le trafic Cisco WAN Optimizer Par d faut le trafic est bloqu par l alarme mais il est possible de l autoriser tcpudp 247 O ATTENTION Une fois autoris ce type de trafic ne b n ficie pas d analyse protocolaire
128. ant sur cette option une fen tre compos e de deux champs remplir s affiche Celle ci propose de modifier le nom d une part et d ajouter un commentaire d autre part Une fois l op ration effectu e cliquez sur Mis jour Il est galement possible annuler la manipulation VPN IPSEC R initialiser Suppression de toutes les modifications apport es au profil Copier vers Cette option permet de copier un profil vers un autre toutes les informations du profil copi seront transmises au profil r cepteur Il portera galement le m me nom Derni re Cette ic ne permet de conna tre la date et l heure de la derni re modification modification effectu e D sactiver la Ce bouton permet de d sactiver imm diatement la politique IPSec s lectionn e politique Site site Gateway Gateway Cet onglet va permettre de cr er un tunnel VPN entre deux l ments r seaux compatibles On appelle galement ce type de proc d Tunnel VPN passerelle passerelle ou tunnel Gateway to Gateway Rechercher La recherche s effectuera sur le nom de l objet et de ses diff rentes propri t s sauf si vous avez sp cifi dans les pr f rences de l application de restreindre cette recherche aux noms d objet Supprimer S lectionnez le tunnel VPN IPSec retirer de la grille et cliquez sur ce bouton O AVERTISSEMENT Aucune fen tre de confirmation de suppression ne s afficher et votre 229 r gle sera
129. apports ou d effectuer leur archivage N N Le uoneinByU09 8p 43 UOHESIINP anue TRACES SYSLOG Onglet Syslog L onglet Syslog permet de configurer l envoi des traces par Syslog Activer l envoi des traces Le firewall NETASQ vous permet d envoyer automatiquement les traces par syslog vers un serveur d di Les traces sont envoy es au format WELF Ce serveur peut tre un serveur h bergeant la solution NETASQ EVENT ANALYZER ou bien un serveur SYSLOG quelconque Lorsque le syslog est activ le firewall envoie des paquets UDP port 514 par d faut contenant les lignes de log une ligne par paquet Serveur s de destination Indication de l adresse IP ou de l objet machine sur laquelle est install e la solution NETASQ EVENT ANALYZER ou un serveur SYSLOG Port Indication du port de communication associ au serveur SYSLOG Famille de traces envoy es Activ Permet d activer le fichier de traces Famille Cat gorie de fichier envoyer Alarme Connexion Web Filtrage Configuration avanc e Cat gorie Num ro ajout au d but d une ligne de log II peut tre utilis pour diff rencier facility plusieurs appliances lorsqu elles envoient leurs logs vers un m me serveur Syslog Envoi des traces vers un serveur SYSLOG 1 Cocher la case Activer l envoi des traces par syslog B Indiquer le nom du serveur de destination Indiquer le port de communication associ au serveu
130. at V NEMENTS SYST MES Ce module va vous permettre de d finir le niveau d alerte des v nements syst me divers pouvant appara tre au sein de vos configurations attaques checs de mises jour CRL invalide etc Il est compos d un unique cran listant les v nements par num ro et par ordre alphab tique avec la possibilit de rechercher un v nement particulier Les actions possibles Vous pouvez dans un premier temps effectuer deux actions Rechercher Cette zone de saisie permet la recherche par occurrence lettre ou mot Vous pouvez ainsi filtrer les l ments de la liste afin de n afficher que ceux que vous souhaitez Exemple Si vous saisissez CRL dans le champ tous les messages comportant ce terme s afficheront dans la grille Restaurer la configuration par d faut Ce bouton va permettre d annuler tous les changements que vous avez effectu s au pr alable au sein de la configuration des v nements syst mes Lorsque vous cliquez sur ce bouton un message de confirmation s affiche permettant de valider ou non l action La liste des v nements L cran est compos de trois colonnes ainsi que d une page d aide disponible en bout de ligne pour chaque type d v nement uoneinByUo9 8p 43 UOHESIINP NUE a Identifiant Ce champ affiche le num ro permettant d identifier l v nement Il n est pas ditable Niveau Cette colonne affiche les niveaux d alertes att
131. ation Activer l enr lement des En activant cette option tout utilisateur d pourvu d un compte pour utilisateurs via le portail S authentifier sur le firewall peut remplir un formulaire de demande d enr lement sur le portail captif uoneinByU09 8p 43 UOHESIINP anue a web note La requ te d enr lement devra tre avalis e par l administrateur pour que le compte soit effectif Votre requ te pourra tre valid e ou refus e par un administrateur Cliquez sur Terminer uoneinByu09 8p 43 UOHESIINP anue a CONFIGURATION DE L ANNUAIRE LDAP Ecran de l annuaire LDAP interne Une fois que la configuration de l annuaire LDAP effectu e vous acc dez l cran du LDAP interne qui pr sente les l ments suivants Activer l utilisation de Cette option permet de d marrer le service LDAP l annuaire utilisateur Si la case n est pas coch e le module est inactif Annuaire LDAP interne Organisation Ce champ reprend le nom de votre soci t renseign au pr alable Domaine Ce champ reprend le domaine de votre soci t Identifiant Le login qui vous permet de vous connecter la base LDAP interne Mot de passe Le mot de passe permettant au firewall de se connecter l annuaire ll est possible de le modifier Confirmation Confirmation du mot de passe d administration LDAP que vous venez de renseigner dans le champ pr c dent _Acc s au LDAP interne Force d
132. autre n a t d faut sp cifi e pour l adresse du client ou du r seau uoneinByuo9 8p 18 UOHESIINP anue x i Serveur DNS primaire et Serveur DNS secondaire Envoie les adresses des serveurs DNS primaire et secondaire aux clients DHCP Ces serveurs sont obligatoires dans presque chaque configuration DHCP Si le firewall obtient l adresse IP d une de ses interfaces par DHCP il est possible de d finir les serveurs DNS obtenus par le firewall aupr s du fournisseur d acc s Pour ce faire activer l option Demander les serveurs DNS au serveur DHCP et cr er les objets machines associ s dans le module R seau Interfaces Configuration avanc e pour l interface concern e Ensuite utiliser les objets Firewall_ lt nom de l interface gt _dns1 et Firewall_ lt nom de l interface gt _dns2 dans ces champs Configuration avanc e Serveur WINS Envoie l adresse du serveur WINS aux clients DHCP WINS est un serveur de nom NETBIOS Microsoft NBNS WINS limine le besoin de diffusion de donn es afin de r soudre les noms machines en fonction de leur adresse IP Serveur SMTP Le serveur SMTP est utilis pour envoyer des e mails Un clic droite du champ permet de s lectionner le serveur Sn Serveur POP3 le serveur POP3 est utilis pour recevoir des e mails Un clic droite du champ permet de s lectionner le serveur Serveur de temps NTP Ce champ permet d envoyer l
133. auvegarde a bien t effectu via celle ci le champ sera marqu initialis En tant qu administrateur vous pouvez ensuite retirer la cl Toute personne tentant de red marrer le boitier sans la cl n y trouvera qu une configuration illisible et ne pourra effectuer aucune manipulation Afin de r cup rer la configuration voulue ins rez votre cl USB dans le boitier d marrez votre firewall et retirez la une fois le produit op rationnel Restauration depuis la cl USB Restaurer la configuration sur la cl En ins rant votre cl USB dans votre firewall vous allez pouvoir restaurer le fichier de configuration stock sur la cl MAINTENANCE S lectionnez un fichier de sauvegarde Choisissez le fichier de sauvegarde r cup rer via le bouton Restaurer la Cliquez sur ce bouton afin de proc der la restauration de votre configuration configuration Onglet Mise jour du syst me Mises jour disponibles Rechercher de Le firewall va effectuer une recherche des nouvelles mises jour du syst me nouvelles mises jour sur les serveurs update 0bjets Objets r seaux et les affichera l cran S lectionnez la mise jour nn S lectionnez un fichier Choisissez la mise jour du firewall installer et ins rez l dans le champ maj l aide du bouton Sauvegarder la partiti En cochant cette option vous sauvegardez la partition principa
134. base savoir l acc s au administrateur sans Dashboard et aux modules suivants droit Licence Maintenance Active Update la Haute disponibilit et son assistant la console CLI R seau Routage DNS dynamique DHCP Proxy cache DNS les Objets les groupes d URL Certificats et PKI l Authentification et son assistant le Filtrage URL SSL et SMTP Alarmes Profils d inspection Antivirus Antispam D tection de vuln rabilit s Messages de blocage etles Pr f rences Ajouter un Ce type d administrateur dispose des m mes acc s de base que l admin administrateur avec sans droits avec en plus des droits suppl mentaires la lecture des logs SNMP Alertes e mails Ev nements syst me ainsi que la lecture du Filtrage et du VPN acc s en lecture seule Ajouter un Ce type d administrateur aura acc s tous les modules except s administrateur avec Configuration Administrateurs et Configuration de tous les droits l annuaire LDAP REMARQUE Il n existe qu un seul super administrateur qui pr sente les caract ristiques suivantes Il est le seul tre habilit se connecter via la console locale sur les bo tiers NETASQ et ce uniquement lors de l installation du firewall ou pour des op rations de maintenance en dehors de l exploitation Il est charg de la d finition des profils des autres administrateurs Tous les acc s dans les locaux o sont stock s les bo tiers firewal
135. bilit s d tect es 21 Demande de certificat 21 Enr lement d un utilisateur 21 Liste des variables 22 Exemple de rapport re u par e mail pour les alarmes 22 ANTISPAM 23 L onglet G n ral 23 Param tres SMTP 23 Configuration avanc e 24 L onglet Domaines en liste blanche 25 L onglet Domaines en liste noire 25 ANTIVIRUS 27 Moteur antiviral 27 Param tres 27 L analyse des fichiers ClamAV 27 L analyse des fichiers Kaspersky 27 AUTHENTIFICATION 28 Assistant d authentification 28 S authentifier sur un annuaire Active Directory m thode Kerberos 29 S authentifier sur l annuaire interne m thode LDAP 30 S authentifier sur une base RADIUS 31 Onglet G n ral 33 Activer le portail captif 33 Portail captif acc s SSL 33 Configuration avanc e 33 Onglet M thodes disponibles 34 M thodes d authentification 34 Interfaces autoris s 37 M thodes de redirection du proxy HTTP 37 Onglet Interfaces internes 38 Mots de passe des utilisateurs 38 Dur es d authentification autoris es 38 Configuration avanc e 38 Onglet Interfaces externes 40 Mots de passe des utilisateurs 40 Dur es d authentification autoris es 40 Configuration avanc e 40 CERTIFICATS ET PKI 42 Les actions possibles 42 La barre de recherche 42 Le filtre 42 Ajouter 43 Assistant d ajout d autorit s et de certificats 43 Supprimer 51 T l chargement 51 Publication LDAP 52 Cr er CRL 52 CONFIGURATION 53 L ong
136. ble d interdire des n gociations d algorithmes cryptographiques consid r s comme faibles de d tecter des logiciels utilisant le SSL pour passer outre les politiques de filtrage SKYPE proxy HTTPS D tecter et inspecter automatiquement le protocole Si le protocole est activ il est automatiquement utilis la d couverte d un paquet correspondant dans les r gles de filtrage Cette option n est pas disponible pour les protocoles IP ICMP TCPUDP RTP RTCP MSN YMSG N gociation SSL Autoriser les chiffrements non support s Cochez cette case si l algorithme de chiffrement que vous souhaitez utiliser n est pas support par le protocole SSL Autoriser les donn es non chiffr es Cette option permet de transmettre les donn es en clair apr s une n gociation SSL O0 AVERTISSEMENT Laisser transiter les donn es en clair repr sente un risque de s curit Niveaux de chiffrements autoris s Plus l algorithme de chiffrement utilis est fort et le mot de passe complexe plus le niveau est consid r comme haut Exemple L algorithme de chiffrement AES dot d une force de 256 bits associ un mot de passe d une dizaine de caract res fait de lettres de chiffres et de caract res sp ciaux Trois choix sont propos s vous pouvez autoriser les niveaux de chiffrement D uoneinByUo9 8p je UOHESIINP anue PROTOCOLES ET APPLICATIONS Bas moyen et haut par e
137. cas pour que la m thode d authentification SSL fonctionne il faut sp cifier la CA dans la liste des CA de confiance dans la configuration de la m thode SSL Voir menu Utilisateurs module Authentificat ion onglet M thodes disponibles il faut ajouter la m thode d authentification Certificat SSL et indiquer la CA dans la colonne de droite Autorit s de confiance C A Correspondance d attributs Appliquer un mod le Ce bouton vous propose de choisir parmi 3 serveurs LDAP celui que vous appliquerez pour d finir vos attributs OpenLDAP Microsoft Active Directory AD Open Directory uoneinByUo9 ap 43 UOHESINP anue a Attributs de l annuaire Cette colonne repr sente la valeur donn e l attribut au sein de l annuaire externe externe Exemples Cn NETASQ telephoneNumber 33 0 3 61 96 30 mail salesadmin netasq com L annuaire est en lecture seule La cr ation d utilisateurs et de groupes ne sera pas autoris e Si cette case est coch e vous ne pourrez effectuer aucune action d criture CONFIGURATION DE L ANNUAIRE LDAP Acc s en criture N Branche utilisateurs Donnez le nom de la branche LDAP pour stocker les utilisateurs Exemple ou users Branche groupes Donnez le nom de la branche LDAP pour stocker les groupes d utilisateurs E Exemple ou groups Configuration avanc e Caract res prot g s Pour certains serveurs extern
138. cat serveur d livr par le serveur LDAP afin d assurer l authenticit de la connexion au serveur LDAP p Vous pouvez cliquer sur l ic ne loupe pour effectuer une recherche de la CA correspondante note Cette case sera gris e par d faut si l option pr c dente V rifier que le nom du serveur correspond au FQDN pr sent dans le certificat SSL n est pas coch e CONFIGURATION DE L ANNUAIRE LDAP Configuration avanc e ERN Serveur de rechange Ce champ permet de d finir un serveur de remplacement au cas o le serveur principal tomberait Vous pouvez le s lectionner parmi la liste d objets propos s dans la liste d roulante En cliquant sur le bouton Tester l acc s l annuaire au dessous une fen tre vous pr cisera si votre serveur principal est op rationnel Vous pourrez cliquez sur OK Cliquez sur Appliquer pour valider votre configuration Onglet Structure Acc s en lecture Filtre de s lection des Lors de l utilisation du firewall en interaction avec une base externe seuls les utilisateurs utilisateurs correspondants au filtre seront utilis s Par d faut ce filtre correspond ObjectClass InetOrgPerson _ 5 Filtre de s lection des Lors de l utilisation du firewall en interaction avec une base externe seuls les groupes d utilisateurs Groupes d utilisateurs correspondants au filtre seront utilis s Par d faut ce filtre correspond ObjectClass Grou
139. cation Configuration du poste client Commande ex cut e au d marrage Ex cut e au lancement de l applet cette commande permet l administrateur de d finir des actions pr alables l affichage de l applet Par exemple cette commande pourrait lancer un script pr sent sur un serveur et qui modifierait les param tres du compte de messagerie de l utilisateur de telle fa on que lorsque l applet est lanc e les flux SMTP ou POP soit automatiquement redirig sans intervention de l utilisateur Commande ex cut e l arr t Ex cut e la fermeture de l applet cette commande permet l administrateur de d finir des actions pr alables la fermeture de l applet Par exemple cette commande pourrait lancer un script pr sent sur un serveur et qui modifierait les param tres du compte de messagerie de l utilisateur de telle fa on que lorsque l applet est ferm e les flux SMTP ou POP ne sont plus automatiquement redirig et encore une fois sans intervention de l utilisateur VPN SSL L onglet Serveurs web Cette section rassemble les serveurs configur s pour les acc s aux ressources de type Web Le nombre de serveurs Web configurables varie selon les mod les de bo tiers Mod le Nbre max serveurs Nbre max serveurs Autres HTTP U30 U70 64 32 U120 U250 U450 128 64 U1100 U1500 NG1000 A 256 128 U6000 NG5000 A 512 256 Ajout d un serveur web
140. cation des utilisateurs sur l annuaire En cochant cette option le firewall se connecte la base LDAP interne afin de v rifier les donn es des utilisateurs S authentifier avec le compte sateur directement sur l annuaire L utilisateur se connecte lui m me l annuaire en passant travers le firewall il renseigne son identifiant et son mot de passe Utiliser le nom du firewall comme FQDN Cette option permet de faire la correspondance entre le num ro de s rie du Firewall et son adresse IP Fichier de configuration du proxy pac Ce champ permet d envoyer au firewall le fichier PAC distribuer qui repr sente le fichier de configuration automatique du proxy Proxy Auto Config L utilisateur peut r cup rer un fichier PAC ou alors v rifier son contenu l aide du bouton situ droite du champ L utilisateur peut sp cifier dans son navigateur web le script de configuration automatique qui se situe dans https if_firewall gt config wpad dat Portail captif Masquer le logo NETASQ Cette option donne la possibilit de ne pas faire appara tre la banni re NETASQ lors de l authentification de l utilisateur sur le portail captif par souci de confidentialit Onglet M thodes disponibles Cet onglet se d compose en 3 parties La colonne de gauche d di e aux m thodes d authentification englobant les interfaces autoris es La colonne de d
141. certificat Accepter la demande de certificat mod le de mail sp cifiant que la demande de certificat a t approuv e par l administrateur Refuser la demande de certificat mod le de mail sp cifiant que la demande de certificat a t rejet e par l administrateur uoneinByUo9 8p 43 UOHESIINP anue s Enr lement d un utilisateur Accepter la requ te utilisateur mod le de mail sp cifiant que la demande d enr lement a t approuv e par l administrateur Refuser la requ te utilisateur mod le de mail sp cifiant que la demande d enr lement a t rejet e par l administrateur ALERTES E MAILS Liste des variables Mod les de mails d di s la d tection de vuln rabilit s Sujet du message Title Sous titre SubTitle R sum du message MailSummary R sum des vuln rabilit s VuinSummary Machines affect es HostsByVuln Applications vuln rables VulnByProduct Pied de page du message Footer Mod les de mails utilis s pour la demande de certificat et l enr lement de l utilisateur Nom de l utilisateur LastName Pr nom de l utilisateur FirstName Date de la demande d enr lement Date Identifiant de l utilisateur UID URL de t l chargement du certificat URL Exemple de rapport re u par e mail pour les alarmes Type Minor Action Block Date 2010 10 11 15 08 32 Interface dmz2 Protocol tcp
142. ch e dans la configuration d un serveur ce serveur est accessible par le VPN SSL mais n est pas pr sent dans la liste d acc s direct Il faut un lien sur un serveur vers ce serveur pour y acc der Une application peut utiliser plusieurs serveurs mais n avoir qu un seul point d entr e donc un seul lien dans le menu du portail D sactiver la m thode Certains serveurs Web peuvent demander une authentification pr alable d authentification au transfert de flux entre le serveur et l utilisateur Ne supportant pas cette NTLM m thode d authentification pour les trafics traversant le firewall celle ci peut tre d sactiv e R crire le champ Le champ User Agent de l ent te d une requ te HTTP contient User Agent force l identifiant de navigateur Web utilis par l utilisateur Pour Internet le mode compatibilit Explorer par exemple Mozilla 4 0 compatible MSIE 6 0 La r criture d OWA du User Agent permet donc de modifier la requ te HTTP de telle fa on que l on pense qu elle provient d un autre type de navigateur qu en r alit Cette option est notamment utile dans une utilisation d grad e d Outlook Web Access OWA En effet Outlook Web Access OWA en mode premium mode tr s volu d Outlook Web Access fait appel au Webdav une extension du protocole HTTP Ces extensions n tant pas support es par tous les quipements r seau le mode premium d OWA est support par le module VPN SSL des fi
143. chiers Cette option permet de choisir le type de fichier devant tre analys les fichiers t l charg s et envoy s les fichiers t l charg s uniquement ou les fichiers envoy s uniquement e a uoneinByUo9 8p 43 UOHESIINP anue Actions sur les fichiers PROTOCOLES ET APPLICATIONS Lorsqu un virus est d tect Lorsque l antivirus ne peut analyser Cette option propose deux actions Passer et Bloquer En s lectionnant Bloqu le fichier analys n est pas transmis En _s lectionnant Passer l antivirus transmet le fichier en cours d analyse Cette option d finit l tat de l antivirus si l analyse du fichier qu il est en train de scanner choue Exemple Il ne r ussit pas analyser le fichier parce qu il est verrouill Si Bloquer est sp cifi le fichier en cours d analyse n est pas transmis Si Passer sans analyser est sp cifi le fichier en cours d analyse est transmis Lorsque la collecte des donn es choue Cette option d crit le comportement de l antivirus face certains v nements Il est possible de Bloquer le trafic en cas d chec de la r cup ration des informations ou de le laisser passer sans analyser SSL Onglet IPS Cet cran va permettre valider le fonctionnement du protocole SSL travers le firewall Certaines options permettent de renforcer la s curit de ce protocole Par exemple il est possi
144. chiffrement dit asym trique savoir qu il utilise une paire compos e d une clef publique servant chiffrer les donn es et d une clef priv e servant d chiffrer L int r t de cette utilisation est qu elle supprime le probl me de transmission s curis e de la cl et permet la signature lectronique Exporter la clef priv e En cliquant sur ce bouton vous enregistrerez la clef priv e associ e au compte admin sur votre machine Exporter la clef publique En cliquant sur ce bouton vous enregistrerez la clef publique associ e au compte admin sur votre machine uoneinByU09 8p 43 UOHESIINP anue e ACTIVE UPDATE Le module d d Active Update se compose d un seul cran de configuration Cet cran se divise en 2 parties Mises jour automatiques permet l activation d un module de mise jour Configuration avanc e Serveurs de mise jour permet de d finir les serveurs de mise jour Mises jour automatiques Activ Activation boutons Activ D sactiv ou non par un simple clic de la mise jour via l Active Update pour le type de mise jour s lectionn Module Type de mise jour La liste des modules varie selon la licence acquise Nores Un retour arri re automatique est effectu en cas d chec de la mise jour Vous pouvez autoriser bouton Tout autoriser ou interdire bouton Tout inderdire toutes les mis
145. chines S lectionnez dans la base objets figurant dans la liste d roulante la machine destinations destinataire de votre trafic IP Port destination Si vous souhaitez translater le port de destination du trafic s lectionnez en un parmi les objets de la liste d roulante L objet Any est s lectionn par d faut A partir de la version 9 0 1 des types d quilibrages de charge autres que le hachage de connexion peuvent maintenant tre s lectionn s avec une plage de ports de destination Cliquer sur Ok pour valider votre configuration Onglet Configuration avanc e Configuration avanc e Interface Interface depuis laquelle le trafic quitterait le firewall avant translation de sortie Par d faut le firewall la s lectionne automatiquement en fonction de l op ration et des adresses IP source et destination Il est possible de la modifier pour restreindre la r gle une interface Le trafic apr s translation Source du trafic apr s translation Onglet G n ral Machine source La r gle s appliquera l objet que vous s lectionnerez dans ce champ La translat e machine source translat e fait r f rence la nouvelle adresse IP de la machine source apr s sa translation par op ration de NAT i Port source Ce champ permet de pr ciser le port source utilis par la machine source apr s la translat translation Par d faut le mode Stateful m morise le port source utilis et seul
146. chitectures le lien HA n est pas d di et si on souhaite que les communications inter cluster soient ind chiffrables on peut les chiffrer en AES par exemple 0 AVERTISSEMENTS 1 Cocher cette option peut d grader les performances de votre HA 2 Seules les connexions passent sur le lien HA et non leurs contenus ARP gratuit Transmettre En cochant cette case vous enverrez intervalles r guliers des annonces ARP afin que les diff rents l ments du r seau switch routeurs puissent p riodiquement des mettre jour leurs propres tables ARP requ tes ARP gratuites 6 NOTE Lors du passage actif le firewall enverra tout de m me une annonce ARP indiff remment de cette option 114 Fr quence en Ce champ permet de d finir la fr quence en secondes des requ tes ARP secondes dans la limite 9999 secondes maximum Impact de l indisponibilit d une interface dans l indicateur de qualit d un firewall Interface Cette colonne liste toutes les interfaces Ethernet de votre firewall Poids 0 9999 Le poids permet de donner une valeur relative l interface Le nombre 100 a t donn par d faut aux interfaces list es Elles sont donc toutes d gale importance Vous pouvez modifier ce crit re en s lectionnant la case voulue uoneinByUo9 8p 43 UOHESIINP anue sp cifier que l interface in est plus importante que l interface out et les autres interfaces en lui attrib
147. cipe que SHA mais contient en plus une fonction de salage de mot de passe qui consiste ajouter une s quence de bit aux donn es saisies afin de les rendre encore moins lisibles note Cette variante de SHA utilise une valeur al atoire pour diversifier l empreinte du mot de passe Deux mots de passe identiques auront ainsi deux empreintes diff rentes Cette m thode de chiffrement est la plus s curis e et son utilisation est fortement re man SMD5 Salt Message Digest Repose sur le m me principe que MD5 avec la fonction de salage de mot de passe en plus CRYPT Le mot de passe est prot g par l algorithme CRYPT d riv de l algorithme DES permettant le chiffrement par bloc en utilisant des cl s de 56 bits ll est peu conseill poss dant un niveau de s curit relativement faible Aucune Pas de chiffrement du mot de passe celui ci est stock en clair Oo AVERTISSEMENT Cette m thode est tr s peu recommand e car vos donn es ne sont pas prot g es Lorsque vous avez termin votre configuration vous pouvez cliquer sur Appliquer pour l activer note Pour se connecter un autre annuaire et revenir l assistant de configuration tout moment cliquez sur la baguette magique en haut de l cran droite Oo AVERTISSEMENT S lectionner l ic ne entraine une r initialisation de la base LDAP et de ce fait la suppression d finitive de la pr c dente configuration de l annuaire et
148. client DNS dynamique Serveur DNS Serveur du fournisseur de services DNS L objet sp cifier dans ce champ dynamique doit obligatoirement se nommer members dyndns org obligatoire ou members dyndns com pour fonctionner avec Dyn DNS Service DNS Cette option vous permet d indiquer le service que vous avez souscrit aupr s dynamique de votre fournisseur de services DNS parmi dynamic DNS custom et obligatoire static DNS Configuration avanc e Des param trages de configuration avanc e sont disponibles en cliquant sur le bouton Configuration avanc e Ils permettent notamment de renouveler l enregistrement du changement d adresse Fr quence de P riode de renouvellement du service DNS dynamique Cette p riode est renouvellement jour fix e 28 jours par d faut par NETASQ Remaraue DynDNS punit les renouvellements abusifs fermeture du compte Ainsi un renouvellement survenu avant 26 jours apr s le dernier renouvellement n est pas permis par Dyn DNS De plus sans renouvellement au del de 35 jours le compte est cl tur Ces informations sont toutefois susceptibles d tre modifi es tant donn qu il s agit d un fonctionnement tabli par Dyn DNS Protocole utilis pour Protocole utilis lors de la phase de renouvellement du service DNS la mise jour dynamique Les choix possible sont HTTPS et HTTP Signaler au serveur Ce service payant chez Dyn DNS permet de rediriger les flux des
149. cliquant sur le bouton Rejeter Ignorer Ce bouton permet d annuler l action approuv e ou rejet e Cela vite d utiliser le bouton Annuler et d effacer les op rations en cours Actualiser Ce bouton permet de rafra chir la liste des demandes d enr lement ou de certificats De cette fa on toute requ te r cente sera automatiquement ajout e la grille en attente de sa validation ou de son refus Les demandes d enr lement utilisateurs et certificats Type Cette colonne indique le type de requ te cr e par l utilisateur une demande d enr lement caract ris e par Utilisateur ou une demande de Certificat CN utilisateur Le nom permettant d identifier l utilisateur ou le certificat E mail L adresse e mail de l utilisateur qui permettra de lui envoyer une validation ou un refus de sa demande d enr lement ou de certificat ENROLEMENT Le formulaire r capitulatif Il renseigne les informations de la ligne utilisateur certificat s lectionn e Identifiant Identifiant de connexion de l utilisateur Nom Nom de l utilisateur Pr nom Pr nom de l utilisateur E mail Adresse e mail de l utilisateur Celle ci sera utile pour lui envoyer une r ponse concernant sa demande d enr lement ou de certificat Description Description indicative l utilisateur T l phone Coordonn es t l phoniques de l utilisateur Mot de passe Mot de passe de l utilisateur Requ te de I
150. commandes QUIT Permet de se d connecter SYSTEM Regroupe les 20 commandes relatives au syst me USER Regroupe les 12 commandes relatives l utilisateur VERSION Permet d afficher la version du serveur uoneinByuo9 8p 43 UOHESIINP anue a CONSOLE CLI La zone de saisie Lorsque vous vous rendez dans le module Console CLI le focus est plac sur la zone de saisie des commandes _A droite de celle ci deux boutons et une case cocher permettent d impacter certaines actions Ex cuter Ce bouton permet de lancer la commande saisie manuellement La commande est galement lanc e lorsque l utilisateur appuie sur Entr e note Au sein de la cellule d dition de la commande vous pouvez naviguer travers les diff rentes commandes d j ex cut es gr ce aux touches fl ch es du clavier Haut Bas L historique des commandes est stock et r utilis chaque fois que l application web sera relanc e Effacer Ce bouton permet d effacer la liste de commandes affich e au dessus cf La l affichage liste des commandes Pour la rendre visible de nouveau entrez la commande HELP dans la zone de saisie et cliquez sur Ex cuter Format brut Si vous cochez cette case l ex cution de la commande affichera en brut la ligne de code entre balises note La plupart des commandes affich es dans la liste en haut de page en implique d autres Pour visualiser l ensemble de ces comman
151. d un profil Ajout d un profil Pour ajouter un profil dans la liste des profils VPN SSL disponibles r f rez vous la proc dure suivante 1 Cliquez sur le bouton Ajouter puis sp cifiez le nom du profil S lectionnez dans les listes Serveurs web accessibles et Serveurs applicatifs accessibles les serveurs qui seront accessibles aux utilisateurs appartenant ce profil Cliquez sur Appliquer pour activer la configuration Oo AVERTISSEMENT Il est impossible de cr er un profil s il n existe pas au minimum un serveur VPN SSL configur Suppression d un profil Pour supprimer un profil r f rez vous la proc dure suivante C1 S lectionnez le profil supprimer 2 Cliquez sur le bouton Supprimer Utiliser un profil Un profil peut tre utilis de 2 mani res diff rentes Soit il est utilis comme profil par d faut dans la configuration du VPN SSL soit il est assign un ou plusieurs utilisateurs comme profil sp cifique de ces utilisateurs Utiliser un profil comme profil par d faut N R Pour utiliser un profil comme profil par d faut de la configuration VPN SSL tous les utilisateurs n utilisant pas de profil sp cifique seront affect s par ce profil par d faut r f rez vous la proc dure suivante 1 Cr ez un profil dans VPN SSL Profils utilisateurs 2 D finissez le profil qui sera utilis comme profil par d faut nom du profil et serveurs associ s dans
152. d sactiv e car non utilis e est une mesure de s curit suppl mentaire contre les intrusions IP dynamique Lorsque votre firewall ne poss de pas d adresse IP statique son adresse IP est se par renouvel e r guli rement par votre fournisseur d acc s DHCP etc il est possible d associer via un fournisseur de services DNS dyndns org par exemple l adresse IP allou e et un nom de domaine qui lui est fixe afin de pouvoir contacter ce firewall sans pour autant conna tre son adresse IP Cette option vous permet d activer cette fonctionnalit en s lectionnant un compte DNS dynamique que vous avez pr alablement configur Pour plus d informations au sujet du client DNS dynamique veuillez vous r f rer au module DNS dynamique Ce champ permet donc de sp cifier au firewall que la configuration du bridge adresse IP et masque est d finie par DHCP Dans ce cas la zone DHCP de l onglet Configuration avanc e est active Plan d adressage Si l interface fait partie d un bridge dans ce cas il est possible de r cup rer le h rit du Bridge ___ plan d adressage du bridge IP fixe statique En cochant cette option l interface a un adressage statique Il faut dans ce cas indiquer son adresse IP et le masque de r seau du sous r seau auquel appartient l interface Onglet Configuration avanc e uoneinByUo9 8p 43 UOHESIINP NUE MTU Longueur maximale en octets des paquets mis sur le support physique
153. d acc s avec l indication exchange LE CHAMP Activer la liste blanche d URLS coch le champ Ne pas r crire les URLs du groupe avec l indication vpnssl_owa le champ D sactiver la m thode d authentification NTLM et le champ R crire le code sp cifique au mode Premium d OWA Pour un serveur OWA 2007 2010 les champs pr remplis sont le port http le champ URL chemin d acc s avec l indication owa le champ Activer la liste blanche d URLSs avec l indication du groupe d URL vpnssl_owa et le champ R crire le code sp cifique au mode Premium d OWA Les autres options non remplies doivent tre configur es de la m me mani re que pour un serveur d acc s Web normal uoneinByU09 8p 43 UOHESIINP anue Ajout d un serveur web Lotus Domino Le module VPN SSL des firewalls NETASQ supporte les serveurs Lotus domino Il est possible d ajouter dans la liste des serveurs d acc s Web un serveur HTTP avec certaines options sp cifiquement pr remplies pour une parfaite compatibilit avec LOTUS DOMINO Pour ajouter un serveur HTTP Lotus domino suivez la proc dure suivante Cliquez sur le bouton Ajouter puis s lectionnez Serveur web Lotus Domino Indiquez un nom pour ce serveur Le nom ne peut tre vide et les caract res autoris s sont les chiffres les lettres l espace _ et le point Les options pr remplies pour un serveur Lotus domino sont les champs Port http et R crire le code sp c
154. d une IP fixe Il a alors la m me contrainte qu un nomade classique une IP non pr visible Correspondants Vous pourrez ici cr er de nouveaux correspondants site distant ou correspondant anonyme nomade en renseignant notamment leur profil IKE leur m thode de n gociation ainsi que les param tres sp cifiques chaque m thode de n gociation Identification cet onglet permet de lister vos autorit s de certification accept es dans les tunnels utilisant les m thodes PKI ainsi que les cl s pr partag es PSK de vos tunnels nomades dans deux tableaux Profils de chiffrement d finissez ici vos profils de chiffrement IKE phase 1 et IPsec phase 2 ajoutez en de nouveaux tablissez leur dur e de vie maximum en secondes Vous pouvez galement d finir les propositions de n gociation au niveau des algorithmes d authentification et de chiffrement N N L onglet Politique de chiffrement Tunnels La barre des profils Le menu d roulant propose 10 profils IPSec num rot s de 1 10 Pour s lectionner un profil afin d tablir une configuration cliquez sur la fl che droite du champ uoneinByU09 8p 43 UOHESIINP NUE Activer cette Active imm diatement la politique IPSec s lectionn e les param tres politique enregistr s dans ce slot crasent les param tres en vigueur Editer Cette fonction permet d effectuer 3 actions sur les profils Renommer en cliqu
155. d une classe d adresses vers une autre Seul le trafic passant d une interface l autre traverse le firewall r seau interne vers Internet par exemple Cela all ge consid rablement le firewall et fournit de meilleurs temps de r ponse Meilleure distinction des l ments appartenant chaque zone interne externe et DMZ La distinction se fait par les adresses IP qui sont diff rentes pour chaque zone Cela permet d avoir une vision plus claire des s parations et de la configuration appliquer pour ces l ments uoneinByUo9 8p 43 UOHESIINP anue Mode Bridge ou mode transparent En transparent Bridge les interfaces font partie du m me plan d adressage d clar sur le bridge Le mode transparent aussi appel Bridge en anglais permet de conserver le m me adressage entre les interfaces Il simule un pont tag gloss_ PONT BRIDGE filtrant c est dire qu il est travers par l ensemble du trafic du r seau INTERFACES Cependant vous pouvez ensuite filtrer les flux qui le traversent en utilisant les objets interfaces ou les plages d adresses suivant vos besoins et donc prot ger telle ou telle partie du r seau Les avantages de ce mode sont multiples Facilit d int gration du produit car pas de changement de la configuration des postes client routeur par d faut routes statiques et aucun changement d adresse IP sur votre r seau Compatibilit avec IPX r seau Novell NetBIOS sous Netbeu
156. de caract res que peut contenir un nom d utilisateur Celui ci est compris entre 10 et 2048 octets Mot de passe utilisateur Nombre maximum de caract res pour le mot de passe FTP Il doit tre compris entre 10 et 2048 octets Chemin r pertoire nom de Nombre maximum de caract res que peut contenir le parcours suivi par fichier l ex cution du programme soit le circuit emprunt dans l arborescence pour parvenir au fichier FTP Ce nombre est compris entre 10 et 2048 octets Commande SITE Nombre maximum de caract res que peut contenir la commande SITE entre 10 et 2048 octets Autres commandes Nombre maximum de caract res que peut contenir les commandes suppl mentaires entre 10 et 2048 octets Support D sactiver la pr vention En cochant cette option le profil venant d tre configur ne sera pas pris d intrusion en compte Tracer chaque requ te FTP Activation ou d sactivation de la remont e des logs concernant le protocole FTP a uoneinByUo9 8p 43 UOHESIINP NUE PROTOCOLES ET APPLICATIONS Onglet Proxy Filtrer la banni re d accueil En cochant cette option la banni re du serveur ne sera plus envoy e envoy e par le serveur FTP lors d une connexion FTP Interdire les rebonds FTP Permet d viter le spoofing ou usurpation d adresse IP Une machine bounce ext rieure en ex cutant la commande PORT et en sp cifiant une adresse IP interne pourrait acc der
157. de ses constituants uoneinByUo9 ap 43 UOHESIINP anue a Connexion un annuaire LDAP externe Le LDAP externe est un annuaire auquel votre firewall multifonctions NETASQ va se connecter Etape 1 Choix de l annuaire S lectionnez la base LDAP correspondant votre choix Ceci est la premi re tape de la configuration de cet annuaire Cochez la case Connexion un annuaire LDAP externe et cliquez sur Suivant uoneinByU09 8p 43 UOHESIINP anue 2 CONFIGURATION DE L ANNUAIRE LDAP Etape 2 Acc s l annuaire Serveur Vous devez choisir un objet correspondant votre serveur LDAP au sein de la liste d roulante Cet objet doit tre cr au pr alable et r f rencer l adresse IP de votre serveur LDAP Port Vous devez renseigner le port d coute de votre serveur LDAP Le port par d faut est 389 Domaine racine Vous devez renseigner le Domaine racine DN de votre annuaire Le DN repr sente le Base DN nom d une entr e sous la forme d un chemin d acc s celle ci depuis le sommet de l arborescence Exemple de DN o NETASQ dc COM Identifiant Un compte administrateur permettant au firewall de se connecter sur votre serveur LDAP et d effectuer des modifications droits en lecture et criture sur certains champs Nous vous recommandons de cr er un compte sp cifique pour le firewall et de lui attribuer les droits uniquement sur les champs qui lui sont n cessaires Exemple cn id
158. des proc dez comme suit BEntrez la commande de votre choix dans la zone de saisie de texte Cliquez sur Ex cutez Selon la commande que vous avez choisie la liste affichera les commandes suppl mentaires inclus dans celle ci Exemple Si vous saisissez la commande CONFIG toutes les commandes relatives celle ci apparaitront l cran Pour utiliser l une de ces commandes entrez dans la zone de saisie CONFIG suivi d un espace et de la commande voulue comme CONFIG HA uoneinByUo9 8p je UOHESIINP NUE L cran de configuration du service DHCP se compose de 5 onglets G n ral Activation du service DHCP selon 2 modes sp cifiques serveur ou relai Param tres du serveur avec la mention inactif si l option Activer le service est d coch e dans l onglet G n ral ou si le mode Relai est s lectionn dans l onglet G n ral Ce menu est r serv la configuration des adresses des diff rents serveurs Passerelle DNS E mail SMTP et POP Horaire NTP News et serveur TFTP Ces adresses seront automatiquement envoy es aux stations pour qu elles puissent contacter les serveurs correspondants Plage d adresses avec la mention inactif si le mode Relai est s lectionn dans l onglet G n ral Par plage vous sp cifiez un groupe d adresses destin es tre allou es aux utilisateurs L adresse allou e l est alors pour le temps d termin dans la configuratio
159. e recherche par mots cl s pour le retrouver soit en cliquant sur l ic ne 8 et s lectionnez Objets temps via la liste d roulante affich e Dupliquer Positionnez vous sur un objet existant et cliquez sur ce bouton il sera nomm lt nom de l v nement _type d v nement _0 Nom Vous ne pouvez pas changer le nom de votre objet au sein de cette colonne S lectionnez le d abord et utilisez l cran de droite d di aux d tails des v nements _pour le d finir voir partie suivante Commentaire Vous ne pouvez effectuer aucune description d objet au sein de cette colonne S lectionnez le d abord et utilisez l cran de droite d di aux d tails des v nements pour le commenter voir partie suivante Configuration Ce bouton permet d ajouter des options l objet temps s lectionn Ev nement ponctuel Jour de l ann e Jour de la semaine Plage horaire a avanc e uoneinByUo9 8p 43 UOHESINP anue Les options coch es s afficheront au sein de votre cran de droite Les informations concernant les objets L v nement hebdomadaire est d crit par d faut comme ayant lieu du lundi au vendredi De 9h 17h L v nement ponctuel est d crit par d faut comme ayant lieu Du lt date gt au lt date gt lt heure gt Toutes les semaines du lundi au vendredi avec pr cision d heure L v nement annuel est d crit par d faut comme ayant lieu le 1 janvier de 9
160. e elle n est pas configurable qui d finit que quoi qu il arrive ces flux seront trait s apr s toutes files d attente du type PRIQ Les diff rentes options de la configuration d une file d attente du type PRIQ sont pr sent es ci dessous uoneinByUo9 8p 43 UOHESIINP anue Ajout d une file d attente par priorit Pour ajouter une file d attente par priorit cliquez sur le bouton Ajouter une file d attente puis s lectionnez Traitement par priorit PRIQ Une ligne est ajout e la grille dans laquelle vous pouvez effectuer vos modifications N S a uoneinByU09 8p 43 UOHESIIANP anue QUALITE DE SERVICE QOS Modification d une file d attente par priorit La grille affiche les diff rentes files d attente qui ont t configur es Il est possible de v rifier si ces r gles sont utilis es dans une r gle de filtrage en cliquant sur le bouton V rifier l utilisation Dans ce cas un menu appara t dans la barre de navigation en affichant les r gles Nom Nom de la file d attente configurer Type Type de file d attente parmi CBQ PRIQ ou MONQ Priorit Permet de choisir le niveau de priorit du trafic affect la queue Les cellules de cette colonne ne sont ditables que pour les queues de type PRIQ Il est possible de s lectionner une valeur allant de 7 priorit la plus faible 1 priorit la plus haute Couleur Couleur de diff renciation de la file d attente Commenta
161. e l authentification sera possible depuis n importe quelle internes et publics interface Etape 2 M thodes d authentification Si vous choisissez de vous authentifier sur l annuaire interne m thode LDAP cochez la case correspondante et cliquez sur Suivant Etape 3 Enr lement des utilisateurs Autoriser l acc s au En cochant cette option vous activez l authentification sur les interfaces portail captif et internes et vous permettez aux utilisateurs inconnus votre annuaire de Penr lement depuis les s inscrire et de remplir un formulaire de demande de cr ation de compte r seaux prot g s interfaces internes note Lors de la cr ation d un nouvel utilisateur la m thode de hachage SHA sera utilis e pour le stockage des mots de passe par d faut uoneinByuo9 8p 43 UOHESIINP anue e _Etape 4 Gestion des mots de passe AUTHENTIFICATION Les utilisateurs ne peuvent pas changer leur mot de passe Les utilisateurs peuvent changer leur mot de passe Les utilisateurs doivent changer leur mot de passe Etape 5 R sum En s lectionnant cette option il sera impossible aux utilisateurs de modifier leur mot de passe d authentification sur le firewall NETASQ En cochant cette case les utilisateurs peuvent modifier leur mot de passe d authentification sans contrainte de temps et de validit En s lectionnant cette option les utilisateurs doivent changer leur mo
162. e DHCP relai Ajout et suppression des interfaces impliqu es dans le relai 13 AVERTISSEMENTS Les interfaces d coute doivent comprendre les interfaces pour l coute de la requ te c t client ainsi que les interfaces d coute de la r ponse c t serveur Il faudra configurer le serveur DHCP de telle mani re qu il puisse distribuer des adresses IP aux clients qui passent travers le relai uoneinByU09 ap 43 UOHESIINP NUE a DNS DYNAMIQUE L cran de configuration du client DNS dynamique se d compose en 2 parties Sur la gauche la Liste des profils DNS dynamique Sur la droite la R solution DNS ou configuration du profil pr alablement s lectionn Liste des profils DNS dynamique Le tableau pr sentant les profils se compose de 2 colonnes Etat Permet par un double clic d activer ou de d sactiver le profil Aper u Indications du nom du domaine de l interface et de l tat de la r solution associ es au profil Le bouton Ajouter permet d ajouter un profil Le bouton Supprimer permet de supprimer un profil pr alablement s lectionn Configuration d un profil R solution DNS Nom de domaine Nom de domaine attribu au client DNS dynamique Par exemple obligatoire monfirewall dyndns org En utilisant l option Effectuer la r solution DNS pour les sous domaines gestion du wildcard vous pouvez couvrir tous les sous domaines Par exemple si vous sp
163. e PKI en effet une fois ce certificat expir tous les certificats utilisateurs le seront galement Cette valeur ne sera pas modifiable par la suite note La valeur de ce champ de doit pas exc der 3650 jours Cliquez sur Suivant Dans cette tape de l assistant vous devez renseigner la configuration concernant la distribution de la CRL Certification Revocation List ou liste des certificats r voqu s Cette information sera int gr e aux CA g n r es et permettra aux applications utilisant le certificat de r cup rer automatiquement la CRL afin de v rifier la validit du certificat Vous pouvez pr sent g rer vos r vocations de certificats au sein de la grille qui appara t l cran et entrer les URL faisant office de points de distribution de certificats r voqu s invalides Ajouter En cliquant sur ce bouton une ligne vierge s affiche et permet d entrez une URL comme point de distribution des listes de r vocations de certificats uoneinByU09 8p 43 UOHESIINP anue Le premi re URL que vous inscrirez sera num rot e 1 et ainsi de suite Le firewall va traiter les l ments de la CRL selon leur ordre d apparition l cran Supprimer Placez vous sur la ligne supprimer et cliquez sur ce bouton pour l enlever de la liste Monter Faites remonter votre URL d une ligne dans l ordre de priorit de la grille en cliquant sur ce bouton Renouvelez l op ration plusieurs fois selon le num ro
164. e VLAN Nom Saisissez un nom unique pour votre VLAN Cf Annexe M Noms interdits Commentaire Vous pouvez galement donner une description Couleur Couleur attribu e au VLAN Identifiant de VLAN Ce champ permet de sp cifier quelle sera la valeur associ e au VLAN dans les paquets transitant sur le r seau Ce tag identifie le VLAN et est utilis au niveau Ethernet Il doit tre unique et compris entre 1 et 4094 Ce VLAN est D terminez si vous souhaitez une interface externe ou interne Plan d adressage IP dynamique obtenue par DHCP Cochez cette option pour donner une adresse dynamique au VLAN IP fixe statique En cochant cette option l interface a un adressage statique Il faut dans ce cas indiquer son adresse IP et le masque r seau uoneinByU09 8p 43 UOHESIINP anue Cliquez sur Terminer VLAN attach 2 interfaces VLAN traversant Dans la configuration des VLAN pour les bridges il est possible d utiliser le m me tag pour deux interfaces VLAN Ainsi le firewall appara t de mani re transparente sur le r seau Cette m thode n cessite l utilisation d une interface VLAN par interface physique concern e Contrairement l option Pr server les identifiants de VLAN cf dans la configuration avanc e d une interface Ethernet qui rend le firewall compl tement transparent par rapport au VLAN et qui emp che donc l utilisation de fonctionnalit s qui consisterait
165. e adresse IP donc tous les r seaux connect s au firewall font partie du m me plan d adressage Le masque de r seau donne au firewall les informations sur le r seau dont il fait partie Commentaire Permet de sp cifier un commentaire pour l adressage du bridge Ici plusieurs adresses IP et masques associ s peuvent tre d finis pour le m me bridge besoin de cr ation d alias par exemple Ces alias peuvent vous permettre d utiliser ce firewall NETASQ comme un point de routage central De ce fait un bridge peut tre connect diff rents sous r seaux ayant un adressage diff rent Pour les ajouter ou les retirer il suffit d utiliser les boutons d action Ajouter et Supprimer situ s au dessus des champs du tableau Onglet Configuration avanc e MTU Longueur maximale en octets des trames mises sur le support physique Ethernet afin que celles ci soient transmises en une seule fois donc sans fragmentation Adresse physique AVERTISSEMENT MAC Cette option n est pas accessible pour les firewalls en Haute Disponibilit Cette option vous permet de sp cifier une adresse MAC pour une interface plut t que d utiliser l adresse allou e par le firewall Cela vous permet de faciliter d autant plus l int gration en mode transparent de votre firewall NETASQ dans votre r seau en sp cifiant l adresse MAC de votre routeur plut t que d avoir reconfigurer tous les postes utilisant cette adresse MAC Lorsque l adr
166. e apr s t l chargement automatique lorsque c est possible pas de red marrage requis Lorsqu une nouvelle licence est disponible cette colonne pr sente les nouvelles valeurs en comparaison des valeurs de la licence actuelle indiqu es dans la colonne En cours licence actuelle Des symboles et des couleurs indiquent une am lioration de valeur par rapport la valeur de la licence actuelle ou une r gression Si l option n a pas chang rien n est indiqu LICENCE Administration GlobalAdmin Administration globale possible via le GlobalAdmin Valeur par d faut 1 Manager Administration possible via l interface Web Valeur par d faut 1 Monitor Monitoring possible via NETASQ REALTIME MONITOR Valeur par d faut 1 Reporter Reporting possible via NETASQ EVENT REPORTER Valeur par d faut 1 Date Antispam Date limite de mise jour des bases de spams DNSBL Antivirus Date limite de mise jour des bases virales ClamAV ExpressWarranty Date limite pour l ExpressWarranty Cela permet de limiter l attente du client dans la r paration de son produit NotAfter Date d expiration de la licence NotBefore Date minimale d utilisation de la licence Pattern Date limite de mise jour des patterns ASQ SPAMVendor Date limite de mise jour du moteur heuristique de filtrage des spams URLFiltering Date limite de mise jour des bases d
167. e aux attaques SSHA Salt Secure Hash Algorithm Repose sur le m me principe que SHA mais contient en plus une fonction de salage de mot de passe qui consiste ajouter une s quence de bit aux donn es saisies afin de les rendre encore moins lisibles note Cette variante de SHA utilise une valeur al atoire pour diversifier l empreinte du mot de passe Deux mots de passe identiques auront ainsi deux empreintes diff rentes Cette m thode de chiffrement est la plus s curis e et son utilisation est fortement uoneinByUo9 8p 43 UOHESIINP NUE e recommand e ne SMD5 Salt Message Digest Repose sur le m me principe que MD5 avec la fonction de salage de mot de passe en plus CRYPT Le mot de passe est prot g par l algorithme CRYPT d riv de l algorithme DES permettant le chiffrement par bloc en utilisant des cl s de 56 bits Il est peu conseill poss dant un niveau de s curit relativement faible Aucune Pas de chiffrement du mot de passe celui ci est stock en clair Q AVERTISSEMENT Cette m thode est tr s peu recommand e car vos donn es ne sont pas prot g es Une fois votre algorithme s lectionn vous pouvez cliquer sur Appliquer pour valider votre configuration uoneinByU09 8p 43 UOHESIINP anue a CONFIGURATION DE L ANNUAIRE LDAP Connexion un annuaire Microsoft Active Directory A l instar des annuaires interne et externe l Active Directory propose les m mes fo
168. e bande passante indiqu e en pourcentage dans la configuration des files d attente A partir de la version 9 0 1 les paquets ACK et low delay DSCP sont maintenant trait s avec une meilleure priorit par d faut afin d acc l rer le transfert de donn es travers une bande passante limit e LITE DE SERVICE QOS Files d attente Le module de Qos int gr au moteur de pr vention d intrusion NETASQ est associ au module Filtrage pour offrir les fonctionnalit s de Qualit de Service D s sa r ception le paquet est trait par une r gle de filtrage puis le moteur de pr vention d intrusion l affecte la bonne file d attente suivant la configuration du champ Qos de cette r gle de filtrage ll existe trois types de file d attente sur le firewall Deux sont directement associ s aux algorithmes de QoS PRIQ Priority Queuing et CBQ Class Based Queuing le troisi me type permet le monitoring du trafic File d attente par classe d application ou d affectation CBQ Il est possible de choisir une classe d ordonnancement pour chacune des r gles de filtrage et de lui associer une garantie de bande passante ainsi qu une limite Par exemple vous pouvez associer une classe d ordonnancement aux flux http en associant une queue CBQ la r gle de filtrage correspondante Les files d attente par classe d application ou d affectation induisent la fa on dont les trafics affect s par ces r g
169. e comportement de l antivirus si l analyse ne peut analyser du fichier qu il est en train de scanner choue Si Bloquer est sp cifi le fichier en cours d analyse n est pas transmis Si Passer sans analyser est sp cifi le fichier en cours d analyse est transmis PROTOCOLES ET APPLICATIONS Lorsque la collecte Cette option d crit le comportement de l antivirus face certains v nements de donn es choue Exemples Si le disque dur est plein le t l chargement des informations ne pourra pas tre effectu La taille maximale que le fichier peut atteindre pour l analyse antivirale est restreinte 1000Ko POP3 Le protocole POP3 a pour objectif de d tecter les connexions entre un client et un serveur e mail utilisant le protocole POP3 Onglet IPS PROXY Ces deux fonctionnalit s ont t r unies en un seul onglet par souci d ergonomie IPS D tecter et inspecter Si le protocole est activ il est automatiquement utilis la d couverte automatiquement le d un paquet correspondant dans les r gles de filtrage Cette option n est protocole pas disponible pour les protocoles IP ICMP TCPUDP RTP RTCP MSN YMSG Proxy Le trafic Mail n est pas seulement bas sur le protocole SMTP mais aussi sur POP3 Ce protocole va permettre l utilisateur d un logiciel de messagerie de r cup rer sur son poste des mails stock s sur un serveur distant Ce serveur de mail distant pouvant tre situ
170. e correspondant note Ce champ n est ditable qu en mode expert CLI Objet s lectionn pour la passerelle locale Ce champ est en Any par d faut Si vous cochez cette option le serveur IPSec sera mis en attente Il ne prendra pas l initiative de n gociation du tunnel Cette option est utilis e dans le cas o le correspondant est un mobile Ce champ permet de configurer la fonctionnalit VPN dite de DPD Dead Peer Detection Celui ci permet de v rifier qu un correspondant est toujours op rationnel Quand le DPD est actif sur un correspondant celui ci envoie r guli rement des paquets ou messages l autre correspondant auxquels ce dernier r pond pour dire qu il est toujours l Ces changes sont s curis s via les SAs Security Association ISAKMP Internet Security Association and Key Management Protocol Si on d tecte qu un correspondant ne r pond plus les SAs n goci es sont d truites AVERTISSEMENT Cette fonctionnalit apporte une stabilit au service VPN sur les firewalls NETASQ la condition que le DPD soit correctement configur Pour configurer l option de DPD quatre choix sont disponibles Inactif les requ tes DPD provenant du correspondant sont ignor es Passif les requ tes DPD mises par le correspondant obtiennent une r ponse du firewall Par contre le firewall n en n envoie pas Bas la fr quence d envoi des paquets DPD est faible et le nombre d checs tol r
171. e d tails sur les informations relatives l v nement i NOTE GENERALE Lorsque vous modifiez le niveau d alerte d un v nement n oubliez pas de cliquer sur le bouton Appliquer en bas de la page afin de valider votre action uoneinByU09 8p 43 UOHESIINP anue g FILTRAGE ET NAT Le Filtrage etle NAT sont d sormais r unis en un seul module et font partie du menu Politique de S curit Ce nouveau module se compose de 2 onglets comportant chacun un emplacement r serv aux politiques de filtrage et de NAT et leur configuration Le Filtrage Il s agit d un ensemble de r gles qui laissent passer ou bloquent certains trafics r seaux suivant des crit res d finis Le NAT Il permet de faire de la r criture ou translation d adresses et de ports source et destination Les politiques Le bandeau vous permet de s lectionner et de manipuler les politiques associ s au Filtrage d une part et au NAT d autre part S lection de la politique de filtrage Le menu d roulant propose 10 politiques de filtrage pr configur es num rot es de 1 10 Block all 1 En s lectionnant cette politique vous n aurez acc s qu l cran d administration du firewall quel que soit l interface sur laquelle vous tes connect s Toutes les autres connexions seront bloqu es High 2 Si vous choisissez cette politique de filtrage seuls les trafics web e mail FTP et les requ tes ICMP seront auto
172. e est sp cifi e dans la configuration de la m thode d authentification SSL elle s ajoute la CA interne du firewall implicitement v rifi e d s qu il existe une autorit racine interne valide sur le firewall Ajouter L ajout d une autorit de certification dans la liste des autorit s de certification de confiance permet d accepter cette autorit comme autorit reconnue et de valider tous les certificats sign s par cette autorit de certification En cliquant sur le bouton Ajouter on acc de la fen tre des CA Cf Certificats et PK Si l autorit de certification laquelle vous d sirez faire confiance ne fait pas partie de la liste des certificats externes cliquez sur le bouton S lectionner de la fen tre des certificats externes pour ajouter cette autorit de certification dans la liste Les firewalls supportent les autorit s racines multi niveaux Ainsi si le certificat de l utilisateur authentifier est sign par une autorit de certification elle m me sign e par une autorit de certification sup rieure Vous pouvez ins rer toute la chaine de certification cr e par cette autorit racine multi niveaux Pour que toute la cha ne soit correctement prise en compte il est important d ins rer l ensemble de la cha ne des autorit s entre l autorit la plus haute que vous avez ins r et l autorit directement sup rieure au certificat utilisateur Supprimer Supprime l autorit de certi at
173. e filtrage d URL NETASQ URLVendor Date limite de mise jour des bases de filtrage d URL OPTENET Update Date limite de mise jour du bo tier VirusVendor Date limite de mise jour des bases virales Kaspersky VulnBase Date limite de mise jour des vuln rabilit s SEISMO Warranty Date limite pour la garantie 40 Flags z Clone Active ou d sactive la gestion pr sence de la partition de backup Valeur par c d faut 1 CustomPattern Permet la personnalisation des mod les ASQ ExpressWarranty Garantie express qui permet de limiter l attente du client dans la r paration de son produit a ExternalLDAP Active ou d sactive l utilisation d un annuaire LDAP Valeur par d faut 1 2 HAState Permet de d finir un bo tier ma tre et un esclave dans un cluster HA S Master Slave None S PKI Active ou d sactive la PKI interne Valeur par d faut 1 5 PVS Active ou d sactive SEISMO Valeur par d faut 0 3 LICENCE Global Comment Commentaire ld Identifiant unique Temporary Licence temporaire tant que le bo tier n a pas t enregistr ou non Valeur par d faut 1 en sortie d usine 0 une fois le produit enregistr Version Version de la licence v rifie la compatibilit format de licence version du Firmware La valeur par d faut est 9 Hardware CryptCard Pr sence d une carte optionnelle de cryptographie Valeur par d faut d pend ___ du mod le Networkif Nombr
174. e la liste tout moment S D uoneinByUo9 8p je uopesyn p anue PROTOCOLES ET APPLICATIONS Onglet Analyse des fichiers Transfert de fichiers T l chargement partiel Taille maximale d un fichier 0 2147483647 Ko Filtrage des fichiers par type MIME Etat Action Type MIME Taille max pour l analyse antivirale Ko Indique l tat actif ou inactif du fichier 2 positions sont disponibles Activ ou D sactiv Indique l action mettre en place pour le fichier en question il existe 3 possibilit s D tecter et bloquer les virus Le fichier est analys afin de d tecter les virus pouvant s y tre gliss ceux ci seront bloqu s Passer sans analyse antivirale Le fichier peut tre t l charg librement aucune analyse antivirale n est effectu e Bloquer Le t l chargement du fichier est interdit Indique de quel type de contenu de fichier il s agit Cela peut tre du texte de l image ou de la vid o d finir dans ce champ Exemples text plain text application Ce champ correspond la taille maximale qu un fichier peut atteindre afin qu il soit analys Celle ci est fix e 1000 Ko par d faut Actions sur les fichiers Par exemple lorsqu on t l charge un fichier via HTTP si le t l chargement ne s effectue pas jusqu au bout erreur de connexion par exemple il est possible de relancer le t l
175. e limite MSS Cette case permet d imposer une limite MSS Maximum Segment Size pour l inspection du profil note uoneinBU09 8p 43 UOHESIINP anue PROTOCOLES ET APPLICATIONS Le MSS d signe la quantit de donn es en octets qu un ordinateur ou tout quipement de communication peut contenir dans un paquet seul et non fragment En cochant cette option vous d griserez le champ suivant qui vous permettra d tablir votre limite Limite MSS en octets D finissez votre limite MSS comprise entre 100 et 65535 octets R crire les s quences TCP avec un al a fort arc4 En cochant cette case les num ros de s quence TCP g n r es par le client et le serveur seront cras s et remplac s par le moteur de pr vention d intrusion NETASQ qui produira des num ros de s quence al atoires Prot ger contre l envoi r p t de paquets ACK En cochant cette option vous vous prot gez contre le vol de session ou attaque de type ACK Expiration en secondes D lai d ouverture d une connexion SYN D finissez un d lai d ouverture pour une connexion compris entre 10 et 60 secondes Connexion TCP D finissez une dur e de vie pour votre connexion TCP comprise entre 30 et 604800 secondes Pseudo connexion UDP D finissez une dur e de vie pour votre connexion UDP comprise entre 30 et 3600 secondes Fermeture d une connexion FIN D finissez au bo
176. e maximum d interfaces physiques Valeur par d faut d pond du ___ mod le E Raid Permet d acheminer les donn es d un disque dur un autre lorsque l un d entre eux tombe Limit Conn Nombre maximum de connexions passant par l ASQ Valeur par d faut 0 pas de limite Network Nombre maximum de r seaux g r s par l ASQ Valeur par d faut 0 pas de limite User Nombre maximum d utilisateurs qui peuvent s authentifier sur le bo tier Valeur 141 par d faut 0 pas de limite v 5 S a Network S HADialup Active ou d sactive la possibilit d utiliser les dialups pour r aliser le les lien s g HA Valeur par d faut 1 aj HybridMode Active ou d sactive le mode hybride des interfaces m lange d interfaces de bridges de VLANSs Valeur par d faut 1 fo InterfaceRoute Permet de faire du routage par interface Cette option est activ e par d faut 8 Voir le Menu ConfigurationdR seaudInterfaces onglet 3 Configuration avanc e champ Bridge routage par interface Valeur par d faut 1 5 LBDialup Active ou d sactive le load balancing sur les dialups Valeur par d faut 1 ii QoS Active ou d sactive la QoS Valeur par d faut 1 VLAN Active ou d sactive les VLANs Valeur par d faut 1 LICENCE Proxy Antispam Active ou d sactive le filtrage des spams via DNSBL dans le proxy Valeur par d faut 1
177. e ports Cet cran va vous permettre d agr ger vos ports par cat gorie Exemple Un groupe mail regroupant les ports imap pop3 et smtp Nom de l objet Nom donn au groupe de ports lors de sa cr ation Commentaire Description associ e au groupe de ports Editer ce groupe Ce bouton comporte une boite de dialogue permettant d ajouter des port s au sein du groupe Lorsque vous cliquez dessus vous pouvez d une part changer le nom du groupe et a g uoneinBUo9 8p 43 uopesyn p anue OBJETS RESEAUX lui attribuer un commentaire et d autre part effectuer une recherche de port s et en inclure de nouveaux au sein du groupe Deux colonnes apparaissent Celle de gauche comporte la liste de tous les ports que vous pouvez ajouter votre groupe La colonne de droite comporte les ports qui figurent d j dans le groupe Pour ajouter un port dans le groupe vous devrez le faire passer d une colonne une autre 1 S lectionnez le ou les l ments ajouter 2 Cliquez sur cette fl che ci l objet bascule dans la colonne de droite et int gre voire port en t te de la liste Pour retirer un objet du groupe s lectionnez le dans la colonne de droite et cliquez sur cette fl che note En cliquant sur le bouton Editer ce groupe vous pouvez d une part changez le nom du groupe et lui attribuer un commentaire et d autre part effectuer une recherche d
178. ecter distance en mode console et ce de mani re totalement s curis e note En cochant cette option vous d griserez les deux champs du dessous Autoriser l utilisation de mot de passe Le mot de passe en question correspond celui du compte admin tant le seul pouvoir se connecter en SSH L admin devra le pr senter pour acc der au firewall via une machine distante Vous pouvez aussi utiliser un couple cl priv e cl publique pour vous authentifier Port d coute Ce champ repr sente le port sur lequel vous pourrez acc der l interface d administration https tcp 443 par d faut note z 5 A A p Vous pouvez cr er un port d coute suppl mentaire en cliquant sur l ic ne AVERTISSEMENT L objet ne peut tre que de type TCP et non UDP CONFIGURATION L onglet Param tres r seaux Serveur proxy Le Firewall utilise un Cochez cette case afin de d griser les champs du dessous et permettre au proxy pour acc der firewall d utiliser un proxy pour acc der Internet de mani re s curis e Internet Ceci est utilis par ActiveUpdate et LicenceUpdate Serveur Ce champ permet de sp cifier l objet correspondant au serveur utilis par le firewall comme proxy Port Ce champ permet de sp cifier le port utilis par le firewall pour contacter le proxy Identifiant Ce champ permet de d finir un identifiant utilis par le firewall pou
179. en fonctionne les 2 membres du cluster doivent utiliser la m me interface Etape 3 Cl pr partag e du cluster uoneinByUo9 8p 43 UOHESIINP NUE Nouvelle cl pr partag e Confirmer Force du mot de passe En cas de cr ation de cluster Pour s curiser la connexion entre les membres du cluster vous devez d finir une cl pr partag e Celle ci ne sera utilis e que par les firewalls rejoignant le cluster pour la premi re fois D finissez un mot de passe une cl pr partag e pour votre cluster Confirmation du mot de passe cl pr partag e que vous venez de renseigner dans le champ pr c dent Ce champ indique le niveau de s curit de votre mot de passe Tr s Faible Faible Moyen Bon ou Excellent Il est fortement conseill d utiliser les majuscules et les caract res sp ciaux Cliquez sur Suivant HAUTE DISPONIBILIT En cas de cluster existant Adresse IP du firewall Entrez l adresse IP que vous avez d fini dans l assistant lors de la cr ation du contacter cluster adresse IP du lien principal ou secondaire Cl pr partag e Entrez le mot de passe la cl pr partag e que vous avez d fini dans l assistant lors de la cr ation du cluster Cette ic ne permet d afficher le mot de passe en clair pour v rifier qu il n est pas erron Etape 4 R sum et finalisation du cluster En cas de cr ation de cluster Apr s avo
180. entifiant Mot de passe Le mot de passe associ l identifiant pour vous connecter sur le serveur LDAP note L ic ne cl gt permet d afficher le mot de passe en clair pour v rifier qu il n est pas erron Cliquez sur Suivant pour passer l tape 3 Etape 3 Authentification Autoriser l acc s au Resitreinte aux interfaces internes en cochant cette option vous activez portail captif depuis les l authentification sur le portail captif r seaux prot g s Ceci quivaut l option Activer le portail captif depuis les interfaces interfaces internes internes du module Authentification dans le menu o NOTE Utilisateurs Authentification Lors de la cr ation d un nouvel utilisateur la m thode de hachage SHA sera utilis e pour le stockage des mots de passe par d faut uoneinByU09 8p 43 UOHESIINP anue 8 CONFIGURATION DE L ANNUAIRE LDAP Ecran de l annuaire LDAP externe Une fois que la configuration de l annuaire LDAP effectu e vous acc dez au LDAP externe qui pr sente les l ments suivants ONGLET ANNUAIRE EXTERNE La page affich e pr sente une fen tre r capitulative des informations saisies pour votre LDAP externe et diff rents services concernant l acc s votre annuaire Activer l utilisation de Cette option permet de d marrer le service LDAP l annuaire utilisateur Si la case n est pas coch e le module est inactif Annuaire d
181. epuis votre domicile en passant par le VPN SSL Voir module VEN VEN SSL Depuis les interfaces En cochant cette case l authentification sera possible depuis n importe quelle internes et externes interface REMARQUE Si la case Activer le portail captif n est pas coch e les champs ci dessus seront gris s Portail captif acc s SSL Certificat cl priv e Par d faut la CA utilis e par le module d authentification du firewall est la CA propre du firewall le nom associ cette CA est le num ro de s rie du produit Ainsi lorsqu un utilisateur essaie de contacter le firewall diff remment que par son num ro de s rie il re oit un message d avertissement indiquant une incoh rence entre ce que l utilisateur essaie de contacter et le certificat qu il re oit En cliquant sur le bouton l ic ne certificat serveur l cran de configuration des CA s affiche Configuration avanc e uoneinByUo9 8p je UOHESIINP anue s Authentification des utilisateurs Ce champ va permettre de personnaliser l identification en cochant diff rentes options uoneinByUo9 8p 43 UOHESIINP anue e Interrompre les connexions lorsque l authentification expire AUTHENTIFICATION D s que la dur e de vie de l authentification arrive ch ance les connexions seront interrompues m me si l utilisateur est en cours de t l chargement Utiliser le compte du firewall pour v rifier l authentifi
182. er au tableau des groupes f S lectionnez la fl che droite du champ un menu d roulant vous propose une liste de groupes existants Cliquez sur le groupe de votre choix celui ci vient s ajouter votre tableau Pour retirer un groupe s lectionnez le et cliquez sur le bouton Supprimer N M N uoneinByU09 8p 43 uopesyn p anue VPN IPSEC Protocole standard l IPSec IP Security permet la cr ation de tunnels VPN entre deux machines entre une machine et un r seau entre deux r seaux et tout type d objet supportant le protocole Les services propos s par l IPSec NETASQ offrent le contr le d acc s l int grit en mode non connect l authentification de l origine des donn es la protection contre le rejeu la confidentialit au niveau du chiffrement et sur le flux de trafic Vous pouvez par exemple cr er un tunnel entre deux firewalls ou entre le firewall et des clients nomades sur lesquels seraient install s des clients VPN L cran du module VPN IPSec est compos de 4 onglets Politique de chiffrement Tunnels cet onglet permet de cr er vos tunnels IPSec entre deux firewalls Site site Gateway Gateway ou entre un firewall multifonctions NETASQ et un utilisateur nomade Anonyme Utilisateurs nomades 10 politiques de chiffrement vierges peuvent tre configur es activ es et dit es La politique anonyme permet aussi de configurer des tunnels avec un autre firewall mais qui ne dispose pas
183. er les objets P pour obtenir son adresse IP machines associ s D s que cette option est coch e deux objets sont dynamiquement cr s dans la base d objets Firewall_ lt nom de l interface gt _dns1 et Firewall_ lt nom de l interface_dns2 lls peuvent ainsi tre utilis s dans la configuration du service DHCP Ainsi si le firewall offre un service DHCP aux utilisateurs de son r seau les utilisateurs seront cr dit s des serveurs DNS fournis par le fournisseur d acc s g a Configuration du modem Choisissez le type de dialup entre PPPoe PPTP PPP ou L2TP L cran de configuration varie selon le type de dialup PPPoE S lectionnez l interface r seau utilis e pour le modem PPTP Saisissez l adresse IP du modem PPP Indiquez le n de t l phone utilis pour le dialing uoneinByUo9 8p 43 UOHESIINP anue Authentification Identifiant Indication de l identifiant obligatoire Mot de passe Indication du mot de passe obligatoire Confirmation du Confirmation du mot de passe mot de passe Une fois l tape 1 configur e cliquez sur le bouton Suivant Etape 2 Routage utilisation de la passerelle obtenue par le modem Choisissez si vous souhaitez d finir le modem en tant que passerelle A la liste des La machine Firewall __ lt nom du modem gt _ peer est ajout e parmi les INTERFACES passerelles passerelles principales S il n y a pas de passerelle principale un cran principales s aff
184. er sur Supprimer Modifier le mot S lectionner la ligne contenant l utilisateur dont vous souhaitez modifier le mot de de passe passe et entrez les nouvelles donn es dans la fen tre qui s affiche uoneinByUo9 8p 43 UOHESIINP anue s o ENROLEMENT Le service d enr lement web NETASQ permet un utilisateur inconnu la base des utilisateurs de demander la cr ation de son compte d acc s Internet au serveur mail tous les services qui n cessitent une authentification et de son certificat Ce module requiert au minimum de l utilisation d une base LDAP pour les requ tes utilisateurs et d une autorit racine PKI interne pour les demandes de certificats utilisateur L cran du module Enr lement se compose de 3 zones La grille contenant les demandes d enr lement des utilisateurs et des certificats gauche Les informations relatives l utilisateur ou au certificat s lectionn droite Les propri t s avanc es La grille d enr lement Les actions possibles Approuver Lorsqu un utilisateur fait une demande d enr lement ou de certificat la requ te est entr e dans une grille Pour valider la demande de l utilisateur positionnez vous sur la ligne correspondante et cliquez sur Approuvez uoneinByU09 8p 43 UOHESIINP NUE Rejeter Vous pouvez galement refuser la demande d enr lement ou de certificat d un utilisateur en s lectionnant la ligne correspondante et en
185. er votre licence pr alablement r cup r e sur le site web NETASQ et ainsi activer la configuration de votre firewall Le bouton Installer le fichier de licence valide l installation du fichier de licence sur le bo tier Les informations concernant votre firewall sont modifi es et les nouvelles options sont activ es sur le firewall REMARQUE Certaines options n cessitent un red marrage Configuration avanc e g Ici vous d finissez la fr quence de recherche de mise jour ainsi que le type d installation manuelle ou automatique Rechercher les mises Indication de la fr quence de recherche Si une licence est trouv e dans jour de licence ce cas une notification est indiqu e dans le panneau d informations de l onglet G n ra1 de type Une nouvelle licence est disponible pour U30XXA32100950 Installation de la Si vous s lectionnez toujours manuelle via le bouton installer une licence apr s nouvelle licence le bouton Installer la nouvelle licence s affiche d s t l chargement qu une licence est propos e Il est alors possible de comparer la nouvelle licence avec la licence actuelle dans l onglet D tails de la licence Si la licence vous convient il suffit de cliquer sur Installer la nouvelle licence Un message de notification s affiche en vous indiquant que la licence actuelle est jour Si vous s lectionnez automatique lorsque c est possible pas de red marrage requis le b
186. ernet Dans la majorit des cas l interface externe reli e Internet doit tre en mode externe Le caract re prot g de l interface mat rialis par un bouclier 9 dispara t lorsque cette option est coch e Cliquez de nouveau sur Suivant Identification du VLAN sortant Nom obligatoire Nom unique pour votre VLAN Ce champ est pr rempli en fonction du nom indiqu dans le champ Nom de l tape 3 suffix par _2 Interface Saisissez un nom unique pour votre VLAN Ce VLAN est Si vous s lectionnez interne prot g e vous indiquez le caract re priv de l interface Les adresses des interfaces internes ne sont pas utilisables en tant que destination pour les paquets en provenance des interfaces non prot g es hormis si ceux ci viennent d tre translat s 2 note On notera que interne prot g e implique forc ment d tre sur une interface prot g e Les options interne prot g e et externe publique sont donc incompatibles Si vous s lectionnez l option externe publique VOUS indiquez que cette partie du r seau est reli e Internet Dans la majorit des cas l interface externe reli e Internet doit tre en mode externe Le caract re prot g de l interface mat rialis par un bouclier dispara t lorsque cette option est coch e L cran suivant r sume la configuration que vous venez de r aliser uoneinByUo9 8p 43 UOHESIINP anue
187. erve la connexion vers l Internet active en permanence W A uoneinByUo9 8p 43 UOHESIINP anue INTERFACES Modem PPP Utiliser ce modem __En cochant cette option vous activez le modem Nom obligatoire Nom associ au modem Ce nom doit tre unique et contenir 16 caract res au maximum Le nom du modem ne peut contenir certaines appellations Commentaire Permet de donner un commentaire pour le modem Type de modem Indication du type de modem choisi lors de la cr ation Couleur Couleur attribu e au modem Authentification Identifiant Nom utilis pour l authentification Mot de passe Mot de passe utilis pour l authentification Si vous cliquez sur l ic ne cl droite de ce champ le mot de passe s affiche en clair pour une dur e de 5 secondes Connectivit Num ro composer Num ro d appel chez le fournisseur d acc s Demander les serveurs Lorsque cette option est coch e le firewall r cup re les serveurs DNS et cr er les objets A AA DNS aupr s du serveur DHCP fournisseur d acc s par exemple qu il machines associ s contacte pour obtenir son adresse IP D s que cette option est coch e deux objets sont dynamiquement cr s dans la base d objets Firewall_ lt nom de l interface gt _dns1 et Firewall_ lt nom de l interface_dns2 Ils peuvent ainsi tre utilis s dans la configuration du service DHCP Ainsi si le firewall offre un service DHCP aux utilisa
188. es Pass all 10 Cette politique laisse passer l ensemble du trafic Elle ne devrait tre utilis e qu des fins de test note Vous pouvez Renommer ces politiques et modifier leur configuration d s que vous le souhaitez voir ci dessous Les actions Activer la Active imm diatement la politique en cours d dition Les param tres enregistr s politique crasent les param tres en vigueur et la politique est appliqu e imm diatement sur le firewall s lectionn e Editer Cette fonction permet d effectuer 3 actions sur les politiques Renommer en cliquant sur cette option une fen tre compos e de deux champs remplir s affiche Celle ci propose de modifier le nom de la politique de filtrage d une part et d ajouter un commentaire d autre part Une fois l op ration effectu e cliquez sur Mettre jour Il est galement possible d Annuler la manipulation R initialiser Permet de rendre au politique sa configuration initiale de sorte que toutes les modifications apport es soient supprim es Copier vers Cette option permet de copier un politique vers une autre toutes les informations de la politique copi e seront transmises la politique r ceptrice Il portera galement le m me nom Derni re Cette ic ne permet de conna tre la date et l heure de la derni re modification modification enregistr e A partir de la version 9 0 1 les r gles de filtrage et
189. es uoneinByUo9 8p 43 UOHESIINP NUE Configuration avanc e Le firewall permet d effectuer un routage r parti entre plusieurs passerelles principales avec tol rance de panne Pour choisir la r partition s lectionnez l une des options ci dessous R partition de 3 options sont disponibles En fonction de l adresse source En fonction de la charge source et de la destination connexion et Aucune r partition En fonction de l adresse source Toutes les routes d finies dans la i uoneinByU09 8p 43 UOHESIINP anue ROUTAGE grille Liste des passerelles utilis es sont utilis es Un algorithme permet de r partir le routage en fonction de la source qui est l origine du trafic rout Si trop de routes principales tombent en panne le lot des routes de secours prend le relai la condition que le module de haute disponibilit soit activ En fonction de la source et de la destination connexion Le partage est presque identique au partage de charge par source sauf que l algorithme de partage se base galement sur la destination du trafic Pour r sumer selon une machine d finie suivant ses connexions les paquets ne passeront pas n cessairement par la m me route Aucune r partition La premi re route d finie dans les grilles Liste des passerelles utilis es et Liste des passerelles de secours est utilis e pour le routage tandis que les autres sont ignor es Donc si la ro
190. es jour en un double clic Serveurs de mise jour URL Les fichiers de mise jour sont r cup r s sur un des serveurs d finis par l utilisateur Les serveurs de mise jour sont communs tous les types de mise jour 4 URL sont d finies par d faut Pour ajouter une URL cliquez sur Ajouter l url suivante est ajout e par d faut http update netasq com 1 Remplacez par votre adresse URL puis cliquez sur Appliquer Pour supprimer une URL de la liste s lectionnez l puis cliquez sur Supprimer Vous pouvez Ajouter une URL en cliquant sur l ic ne et sur Lx pour la Supprimer Fr quence de Indication de la fr quence des mises jour des listes d URL dynamiques des signatures mise jour contextuelles ASQ et de la configuration de l antispam La fr quence est indiqu e 3 heures la modification de cette fr quence peut se faire via le mode Console AGENT SNMP L cran de configuration du service SNMP se compose de trois onglets G n ral onglet qui s affiche par d faut lorsque l on clique sur le menu SNMP dans l arborescence de gauche et qui permet l activation du module et les notifications alarmes et syst me qui seront int gr s dans les MIB Management Information Base disponibles en consultation et en envoi de traps SNMPv3 Version recommand e car munie d outils plus s curis s outils de s curit comme l authentification le cryptage le contr le du timing
191. es le mode principal et le mode agressif La liste d roulante permet de choisir le mod le de protection associ votre politique VPN parmi les 3 profils pr configur s StrongEncryption GoodEncryption et FastEncryption I est galement possible d en cr er d autres uoneinByUo9 8p 43 UOHESIINP anue Profil de chiffrement IPsec phase 2 La phase 2 du protocole IKE n gocie de mani re s curis e au moyen du canal de communication SA ISAKMP n goci dans la premi re phase les param tres des futures SA IPSec une entrante et une sortante La liste d roulante permet de choisir le mod le de protection associ votre politique VPN parmi les 3 profils pr configur s StrongEncryption GoodEncryption et FastEncryption est galement possible d en cr er d autres VPN IPSEC Tableau des profils Ce tableau propose une s rie de profils de chiffrement pr d finis de phases 1 ou 2 Pour chaque profil s lectionn vous verrez appara tre ses caract ristiques droite de l cran champs G n ral Propositions d authentification et Propositions de chiffrement Ajouter En cliquant sur ce bouton vous pourrez choisir d ajouter un Profil de phase 1 IKE ou Profil de phase 2 IPSec qui sera affich dans la colonne Type Vous pourrez lui donner le Nom que vous souhaitez Il est galement possible de copier un profil et ses caract ristiques pour cela s lectionne
192. es tapes de cr ation de CA de sous CA ou certificats Fichier importer Format du fichier CERTIFICATS ET PKI En cliquant sur l ic ne droite du champ vous pourrez parcourir votre ordinateur ou votre navigateur web la recherche d un certificat si vous en avez cr au pr alable 3 formats de fichier sont propos s Format base 64 PEM Privacy Enhanced Mail Il permet l encodage des certificats X509 en base 64 Un certificat de type PEM se pr sente de la mani re suivante BEGIN CERTIFICATE MIIDdzCCAuCgAwIBAgIBBzANBgkqhkiG9wW0OBAQQFADCBpDELMAkGA1UEBhMCQ0gxCZAJBgNVBAgTAkdFM Q8wDQYD VQQHEwZHZW5ldmExHTAbBgNVBAoTFFVuaXZicnNpdHkgb2YgR2VuZXZhMSQwigY DVQQLExtVTkIHRSBDZ XJOaWZpY 2F0ZSBBdXRob3JpdHkxETAPBgNVBAMTCFVuaUdiIENBMR8wHQYJKoZlhveNAQKBFhB1bminZWNhQHVuaW diLmNoMB 4XDTK5MTAwWNDE2Mj1N10XDTAwMTAwMZzE2Mij11N1owgbExCzAJBgNVBAYTAKNIMQswCQYDVQGIEwWJHRT EPMAOGA1 UEBxMGR2VuZXZhMROWGwYD VQQKExRVbmI2ZXJzaXR51G9mIEdibmV2YTEeMBwGA1 UECXMVRGI2aXNpb 24gSW5mb 3JtYXRpcXVIMRowGAYDVQQDEXxFBbGFpbiBldWdlbnRvYmxlcjEpMCcGCSqGSIb3DQEJARYaQWxhaW4uSHV nZW50b2J sZXJAdW5pZ2UuY2gwgZ8wDQYJKoZlhvcNAQEBBQADgYOAMIGJAOGBALIL50X FR9ioQHMOaXxfDELKhPKkw 8jc617BISY Jk4siqvQYavOMti uugQGkyluGhP2djLj6Ju4 KyKKQVYDJIu R1ZFX1kKgOPY A2pCLkisuH7nDsMbWbepOhDTVN ELoKVoVIA azwWMFino2JuHJgUcs5hWskg azql4d9zy5AgMBAAGijgakwgaY wJQYDVRORBB4wHIEaQWxhaW4uSHVnZW50 b2JsZXJAd W5pZ2UuY2gwDAYDVROT200BAUwAwIBADBcBglghkgBhvhCAQOETxZNVUS5JR
193. es il est n cessaire d ajouter un pour que les requ tes LDAP soient comprises Hachage des mots de passe La m thode de chiffrement des mots de passe des nouveaux utilisateurs Certaines m thodes d authentification comme LDAP doivent stocker le mot de passe utilisateur sous la forme d un hash r sultat d une fonction de hachage appliqu e au mot de passe qui vite le stockage en clair de ce mot de passe Vous devez choisir la m thode de hash d sir e parmi SHA Secure Hash Algorithm Cette m thode de chiffrement permet d tablir une cha ne de caract res de 160 bits ou octets appel cl qui sert de r f rence pour l identification MD5 Message Digest Cet algorithme permet de v rifier l int grit des donn es saisies en g n rant une cl MD5 de 128 bits REMARQUE Cette m thode poss dant un nombre d octets moins lev et par cons quent un niveau de s curit plus faible celle ci est moins robuste aux attaques SSHA Salt Secure Hash Algorithm Repose sur le m me principe que SHA mais contient en plus une fonction de salage de mot de passe qui consiste ajouter une s quence de bit aux donn es saisies afin de les rendre encore moins lisibles note Cette variante de SHA utilise une valeur al atoire pour diversifier l empreinte du mot de passe Deux mots de passe identiques auront ainsi deux empreintes diff rentes Cette m thode de c
194. es 224 La barre de recherche 224 Le filtre 224 Cr er un groupe 225 Cr er un utilisateur 225 Supprimer 226 V rifier l utilisation 226 La liste des utilisateurs CN 226 L onglet Compte 226 L onglet Certificat 227 L onglet Membres des groupes 227 VPN IPSEC 228 L onglet Politique de chiffrement Tunnels 228 Site site Gateway Gateway 229 La grille 231 Anonyme Utilisateurs nomades 231 L onglet Correspondants 233 La liste des correspondants 233 Les informations des correspondants 234 L onglet Identification 238 Autorit s de certification accept es 238 Tunnels nomades cl s pr partag es 238 L onglet Profils de Chiffrement 239 Profils de chiffrement par d faut 239 VPN SSL 242 L onglet G n ral 242 Configuration avanc e 243 L onglet Serveurs web 244 Ajout d un serveur web 244 Ajout d un serveur web OWA 246 Ajout d un serveur web Lotus Domino 246 L onglet Serveurs applicatifs 247 Configuration avec un serveur applicatif 247 Configuration avec un serveur Citrix 247 Suppression d un serveur 248 L onglet Profils utilisateurs 248 Principe de fonctionnement 248 Configuration d un profil 249 Services VPN SSL sur le portail Web NETASQ 250 Acc dez aux sites Web de votre entreprise par un tunnel SSL 250 Acc dez aux ressources de votre entreprise par un tunnel SSL 250 BIENVENUE Bonjour et bienvenue sur la page d accueil de l aide en l
195. es IP G BR A i robe Mat rialis e par l ic nelBf cette option permet d afficher uniquement les groupes de r seaux Gi d rt EN na R i i db dl pons Mat rialis e par l ic ne cette option permet d afficher uniquement les groupes de ports Les diff rents types d objets Machine S lectionnez une machine pour visualiser ou diter ses propri t s Chacune d entre elles poss dent par d faut un nom une IP et une r solution DNS Automatique ou Aucune IP statique Nom de l objet Nom donn l objet lors de sa cr ation Ce champ est modifiable il faudra cliquer sur Appliquer et Sauvegarder pour enregistrer le changement m 8 A partir de la version 9 0 1 l ic ne a droite de la case permet d obtenir l IP de l objet visible au sein du champ Adresse IP Pour cela il faut avoir saisi l url compl te de l objet Commentaire Description associ e la machine s lectionn e R solution La r solution DNS Domain Name System associe des adresses IP et un nom de DNS domaine Deux choix sont possibles Une IP Automatique ou dites dynamique gt Si vous cochez cette case l objet s lectionn recevra une adresse IP p riodiquement uoneinByU09 8p 43 UOHESIINP anue Aucune IP statique L objet s lectionn poss de une adresse IP fixe qui sera utilis syst matiquement Adresse IP Adresse IP de la machine s lectionn e
196. es d utilisateurs Profil VPN SSL par d faut Ce champ permet de d finir le profil VPN SSL par d faut pour les utilisateurs Vous devez avoir restreint au pr alable l acc s aux serveurs d finis dans la configuration du VPN SSL au sein du menu VPN VPN ssL onglet Profils utilisateurs voir document VPN SSL La liste d roulante laisse appara tre les options suivantes Aucun profil Les utilisateurs n ont pas acc s au VPN SSL Acc s tous les profils L utilisateur a acc s tous les profils VPN SSL cr s au pr alable lt Nom du profil utilisateur1 gt l utilisateur aura uniquement acc s ce profil VPN SSL lt Nom du profil utilisateur2 gt l utilisateur aura uniquement acc s cet autre profil VPN SSL Vous pouvez cliquer sur Appliquer pour valider voire configuration uoneinByU09 8p 43 UOHESIINP anue a DROITS D ACCES IPSEC Le VPN IPSec permet d tablir un tunnel s curis authentification du correspondant chiffrement et ou v rification de l int grit des donn es entre deux machines entre une machine et un r seau ou entre deux r seaux Politique IPSEC par Ce champ permet d interdire ou d Autoriser par d faut des utilisateurs d faut n gocier des tunnels VPN IPSec Selon votre choix les utilisateurs et les groupes d utilisateurs pourront ou non en interne communiquer sur vos r seaux IP priv s et prot g s permettant ainsi le transport s curis de leurs donn es
197. es les combinaisons de mot de passe force brute possibles uoneinByUo9 8p 43 UOHESIINP NUE a Tentatives d authentification autoris es Dur e de blocage minutes CONFIGURATION suivants afin de limiter les tentatives de connexion Nombre d authentification possibles en cas d chec de connexion erreur d identifiant ou de mot de passe sensibilit la casse par exemple Les tentatives d authentification autoris es sont limit es 3 par d faut Temps durant lequel vous ne pourrez pas vous authentifier apr s le nombre d checs sp cifi ci dessus ni durant lequel vous pourrez vous connecter La dur e de blocage ne peut exc der 60 minutes Acc s aux pages d administration du Firewall Ajouter un Choisissez un serveur au sein de la liste d roulante d objets propos s Celui ci sera serveur consid r comme un Poste d administration autoris se connecter l interface d administration Cela peut tre une machine un groupe de machines un r seau ou une plage d adresses Supprimer S lectionner la ligne retirer de la liste et cliquez sur Supprimer Acc s distant par SSH Activer acc s par SSH Le SSH Secure Shell est un protocole qui permet de se connecter une machine distante avec une liaison s curis e Les donn es sont chiffr es entre machines Le SSH permet galement d ex cuter des commandes sur un serveur distant Cochez cette case si vous souhaitez vous conn
198. es pour une dur e limit e Il faut donc indiquer ici le temps par d faut pendant lequel les stations garderont la m me adresse IP Minimum heure Temps au minimum pendant lequel les stations garderont la m me adresse IP Maximum heure Temps au maximum pendant lequel les stations garderont la m me adresse IP uoneinByU09 8p 43 UOHESIINP anue a L onglet Plage d adresses NOTE GENERALE A partir de cet onglet vous rencontrerez cette ic ne qui vous permettra d Ajouter des l ments vos tableaux et celle ci x pour les Supprimer Pour qu un serveur DHCP fournisse des adresses IP il est n cessaire de lui donner un r servoir d adresses dans lequel il pourra puiser Plages d adresses Il est possible de dire au serveur de ne fournir des adresses IP que dans les plages d adresses d finies par les lignes dhcp_range de cette colonne Pour ce faire choisir un range dans la base objet de la liste d roulante en vous pla ant droite de la cellule et en cliquant sur la fl che Passerelle Si la passerelle associ e la plage d adresses d finie est auto c est la passerelle par d faut qui sera utilis e Vous pouvez en d finir une autre en la s lectionnant dans la base objets affichable en cliquant sur la fl che droite de la cellule 1 AVERTISSEMENTS Deux plages ne peuvent se chevaucher Une plage d adresses appartient un unique bridge inte
199. es utilisateurs non authentifi s vers le portail captif En la s lectionnant un assistant d authentification s affiche Vous devrez choisir la Source affichant Network_internals par d faut et la Destination affichant Internet par d faut de votre trafic parmi la liste d roulante d objets puis cliquer sur Terminer R gle d inspection SSL Cet assistant de cr ation de r gles a pour but d inspecter le trafic chiffr SSL Vous devrez d finir la Politique du trafic d chiffrer en indiquant les Machines sources Network_internals par d faut l interface d entr e any par d faut la Destination Internet par d faut et le Port de destination ssl par d faut parmi la liste d roulante d objets Afin d Inspecter le trafic d chiffr via la seconde zone de la fen tre de l assistant vous devrez d finir la configuration du Profil d Inspection en choisissant l une de celle que vous avez d finie au pr alable dans Protection Applicative Profil d inspection ou laisser en mode Auto Vous pouvez galement s lectionner une politique de filtrage SSL filtrage par le contenu du certificat SSL ainsi que l Anti s et les activer boutons On off R gle de proxy HTTP explicite Cette option permet d activer le proxy HTTP explicite et de d finir qui peut y acc der Vous devrez choisir un objet Machines et une Interface d entr e via le champ Source D finis
200. esse MAC est affect e au bridge toutes les interfaces contenues dans ce bridge poss dent alors la m me adresse MAC Cette adresse se compose de 6 octets en hexad cimal s par s par des INTERFACES DHCP note Indication d sactiv si l option IP dynamique obtenue par DHCP n est pas coch e dans l onglet G n ral et les options sont gris es Nom DNS facultatif Nom du serveur DNS FQDN pour la connexion Ce champ facultatif n identifie pas le serveur DHCP mais le firewall Si le champ est rempli et que le serveur DHCP externe poss de l option de mise jour automatique du serveur DNS alors le serveur DHCP met jour automatiquement le serveur DNS avec le nom fourni par le firewall et l adresse IP qui lui a t fournie Ce nom se compose de 6 octets en hexad cimal s par s par des Dur e de bail demand e P riode de conservation de l adresse IP avant ren gociation secondes Demander les serveurs Lorsque cette option est coch e le firewall r cup re les serveurs DNS DNS au serveur DHCP aupr s du serveur DHCP fournisseur d acc s par exemple qu il et ra les objets contacte pour obtenir son adresse IP machines D s que cette option est coch e deux objets sont dynamiquement cr s dans la base d objets Firewall_ lt nom de l interface gt _dns1 et Firewall_ lt nom de l interface_dns2 Ils peuvent ainsi tre utilis s dans la configuration du service DHCP Ainsi si le firewall off
201. est renseign e le module Antispam analysera plus finement les e mails relay s par de multiples serveurs Action ll existe 4 actions possibles qui permettent au proxy SMTP de r pondre au serveur SMTP distant en indiquant un rejet pour cause de spam Marquer comme spam les mails ne sont pas bloqu s mais sont marqu s comme spams Bloquer tous les spams le mail est rejet quelque soit le seuil de confiance Bloquer les spams de niveau 2 ou sup rieur cette option permet de d finir qu partir du seuil de confiance de niveau 2 un mail sera rejet Les seuils sont 1 Bas 2 Moyen 3 Haut Bloquer uniquement les spams de niveau 3 cette option permet de d finir qu partir du seuil de confiance 3 Haut le mail sera rejet uoneinByU09 ap 43 UOHESIINP NUE s Pour exemple si vous configurez au niveau de l analyse heuristique un seuil de 500 les mails seront consid r s comme spam partir de 500 De 500 2000 le niveau de confiance sera faible de 2000 3500 il sera mod r de 3500 5000 il sera lev Si vous avez indiqu au niveau de cette option un seuil de confiance mod r tous les mails de niveau mod r et lev donc de 2000 5000 seront rejet s alors que ceux de 500 2000 seront gard s REMARQUE Lorsque plusieurs m thodes d analyses sont utilis es simultan ment le plus haut niveau de score est attribu ANTISPAM Configuration avanc
202. et l espace m moire total correspond l ensemble des ressources r serv es pour le service Antivirus Si vous d finissez que la taille limite des donn es analys es sur POP3 est de 100 de la taille total aucun autre fichier ne pourra tre analys en m me temps Action sur les messages Cette zone d crit le comportement de l antivirus face certains v nements uoneinByU09 8p 43 UOHESIINP anue Lorsqu un virus Ce champ contient 2 options En s lectionnant Bloquer le fichier analys n est est d tect pas transmis En s lectionnant Passer l antivirus transmet le fichier dans son tat Lorsque Cette option d finit le comportement de l antivirus si l analyse du fichier qu il est en lantivirus ne peut train de scanner choue analyser Exemple Il ne r ussit pas analyser le fichier parce qu il est verrouill Si Bloquer est sp cifi le fichier en cours d analyse n est pas transmis Si Passer sans analyser est sp cifi le fichier est transmis sans v rification E Lorsque la Cette option d crit le comportement de l antivirus face certains v nements Il est collecte de possible de Bloquer le trafic en cas d chec de la r cup ration des informations ou donn es choue de le laisser passer sans analyser N uoneinBU09 8p 43 uopesyn p anue PROTOCOLES ET APPLICATIONS FTP Onglet IPS Le protocole FTP supporte la RFC principale RFC959 ainsi que de nombreuse
203. et d activer la compatibilit avec le portail Web d authentification et Citrix l acc s via navigateur Web Cette option est inutile si le client lourd Citrix est utilis Commande ex cut e Ex cut e au lancement de l applet cette commande permet au d marrage l administrateur de d finir des actions pr alables l affichage du serveur Par exemple cette commande pourrait lancer un script pr sent sur un serveur et qui v rifierait l activit de l antivirus pr sent sur la machine de l utilisateur avant de lui donner acc s au serveur uoneinByUo9 8p 43 UOHESIINP NUE Configuration avec un serveur Citrix E Etape 1 Cr ation d un objet pour le serveur Citrix Acc dez la base d objets afin de cr er une machine puis s lectionnez une machine Etape 2 Configuration d un serveur applicatif Depuis le module VPN SSL s lectionnez l onglet Serveurs applicatifs Cliquez sur le bouton Ajouter puis s lectionnez Serveur Citrix Donnez un nom votre serveur L cran de configuration du serveur Citrix s affiche S lectionnez le serveur Citrix cr pr c demment dans la base d objets Cf Etape VPN SSL Etape 3 Configuration d un Serveur web S lectionnez l onglet Serveurs web Cliquez sur le bouton Ajouter puis s lectionnez Serveur web Donnez un nom votre serveur L cran de configuration du serveur Web s affiche Au niveau de l URL chemin d acc s indiquez CitrixAccess auth login aspx s
204. et onglet pr sente deux passerelles principales dans ce cas le bouton de l onglet Passerelle Passerelle par d faut routeur est gris L onglet Routage statique Cet onglet correspond la liste des routes statiques dont le nombre maximum varie selon le mod le U30 U70 U120 U250 U450 U1100 U1500 U6000 NG1000 NG5000 A A 512 512 2048 2048 2048 5120 5120 10240 5120 10240 Pr sentation de la barre de boutons Recherche Recherche qui porte sur un objet machine un r seau ou un groupe Ajouter Ajoute une route statique vide L ajout de la route envoi de commande devient effectif une fois la nouvelle ligne dit e et les champs R seau source objet machine r seau ou groupe et Interface remplis Supprimer Supprime une route ou plusieurs routes pr alablement s lectionn e s Utiliser les touches Ctrl Shift Supprimer pour la suppression de plusieurs routes Appliquer Envoie la configuration des routes statiques Annuler Annule la configuration des routes statiques Lu o uoneinByUo9 8p 43 UOHESIINP anue ROUTAGE Pr sentation de la grille La grille pr sente six informations R seau source objet machine r seau ou groupe Obligatoire Un clic sur cette colonne ouvre la base d objets afin de s lectionner une machine un r seau ou encore un groupe Plan d adressage Adresse IP ou groupe d adresses li
205. ewall Les boutons d actions Ajouter et Supprimer permettent d agir sur la liste de commandes IPS Commandes SMTP autoris es Liste des commandes SMTP suppl mentaires autoris es Il est possible d en Ajouter ou d en Supprimer Commandes SMTP interdites Liste des commandes SMTP interdites Il est possible d en Ajouter ou d en Supprimer Onglet Analyse des fichiers Taille max pour l analyse Cette option est fonction des capacit s mat rielles de chaque mod le de antivirale 0 1000 Ko firewall mais elle peut tre adapt e selon les besoins de l entreprise AVERTISSEMENT Lorsque vous d finissez une taille limite de donn es analys es manuellement veillez conserver un ensemble de valeurs coh rentes En effet l espace m moire total correspond l ensemble des ressources r serv es pour le service Antivirus Si vous d finissez que la taille limite des donn es analys es sur SMTP est de 100 de la taille totale aucun autre fichier ne pourra tre analys en m me temps Action sur les messages Cette zone d crit le comportement de l antivirus face certains v nements Lorsqu un virus est Ce champ contient 2 options Passer et Bloquer En s lectionnant d tect Bloquer le fichier analys n est pas transmis En s lectionnant Passer l antivirus transmet le fichier m me s il est d tect comme infect Lorsque l antivirus L option Passer sans analyser d finit l
206. f Menu Syst me module Maintenancelonglet Configuration Temps depuis lequel le firewall tourne sans interruption Etat de la connexion avec le LDAP Politique Filtrage VPN Profil appliqu pour la politique de filtrage et NAT Etat du VPN sur votre r seau Active Update Nom de l objet Etat Derni re mise jour Nom du module list Module jour ou non Date et heure de la derni re mise jour Services Services Liste des diff rents services disponibles sur l quipement Uptime Temps depuis lequel le service est actif sans interruption CPU Etat du service Interfaces Nom de l objet Type Adresse D bit entrant D bit sortant Nom de l interface in out ou dmz ii peut s agir d une interface physique ethernet VLAN ou modem dialup Adresse IP et masque de sous r seau de l interface Trafic entrant en Ko Trafic sortant en Ko A partir de la version 9 0 1 les interfaces d sactiv es seront bien affich es sur le Tableau de Bord TRACES SYSLOG L cran de configuration des traces se compose de 2 onglets Stockage local Syslog Onglet Stockage local La configuration des traces permet d allouer de l espace disque pour chaque type de traces du firewall Ce menu permet galement la modification du comportement du firewall lors de l enregistrement de ces traces Cet cran se divise en 2 parties En haut un menu pr sentant di
207. ff rentes options En bas Un tableau i NOTE Cet onglet est gris si le firewall est un mod le sans disque dur Dans ce cas lors de l ouverture du module l onglet Syslog s affiche directement yN D Si le quota d espace disque est atteint Vous avez la possibilit de choisir l action entreprendre lorsque le quota d espace disque est atteint Les diff rentes possibilit s sont Effacer les traces les plus anciennes les traces les plus r centes effacent les traces les plus anciennes Interrompre l criture des traces les traces ne sont plus m moris es sur le firewall Configuration de l espace r serv pour les traces Le firewall g re un certain nombre de fichiers de traces destin s recueillir les v nements d tect s par les fonctions de journalisation Les fichiers concern s par les v nements de s curit sont Alarmes v nements li s l application des fonctions de pr vention des intrusions l_alarm Authentification v nements li s l authentification des utilisateurs l_auth Connexions r seaux v nements li s aux connexions travers et destination du firewall L_ connection Politique de filtrage v nements li s l application des fonctions de filtrage L filter Proxy FTP v nements li s au trafic FTP L ftp Statistiques v nements li s au monitoring temps r el l_monitor uoneinByU09 8p 43 UOHESIINP NUE
208. ffrer sp cifi l acc s au CN demand est autoris sans analyse SSL pr alable Si Bloquer sans d chiffrer est sp cifi l acc s au CN demand est refus sans qu aucune analyse SSL ne soit effectu e La connexion est coup e Si D chiffrer est sp cifi l analyse protocolaire sera appliqu e sur le flux d chiffr ainsi que sur un proxy si une r gle est cr e pour cela URL CN L action s applique en fonction de la valeur de cette colonne elle peut contenir un groupe ou une cat gorie d URL ainsi qu un groupe de noms de certificats Commentaire Commentaire associ la r gle Erreurs trouv es dans la politique de filtrage SSL L cran d dition des r gles de filtrage SSL des firewalls dispose d un analyseur de coh rence et de conformit des r gles qui pr vient l administrateur en cas d inhibition d une r gle par une autre ou d erreur sur une des r gles qui a t cr es Cet analyseur regroupe les erreurs de cr ation de r gles et les erreurs de coh rence Les erreurs sont pr sent es sous forme de liste En cliquant sur une erreur la r gle concern e sera automatiquement s lectionn e gt g FILTRAGE URL Ce module se compose de 2 zones Une zone destin e aux profils Une zone destin e aux r gles de filtrage d URL Les profils Le bandeau vous permet de manipuler les profils associ s au filtrage URL S lection du profil Le menu d roulant propose 10 p
209. fich e Cl pr partag e Mot de passe permettant d acc der au serveur de votre base RADIUS Etape 5 R sum Configuration de l authentification Cet cran vous permet de finaliser la configuration de l authentification que vous venez d effectuer Pour la base RADIUS l encadr r capitulatif contient Le nom de s l interface s depuis laquelle l authentification est autoris e La m thode d authentification utilis e Le nom du serveur La cl pr partag e affich e en clair Si ces informations vous conviennent vous pouvez cliquer sur Termin uoneinByUo9 8p 43 UOHESIINP anue s AUTHENTIFICATION Onglet G n ral Activer le portail captif En cochant cette option vous activez le module Authentification et autorisez l authentification via un formulaire web depuis les interfaces prot g es et ou publiques Vous pouvez pr cisez depuis quelle s interface s vous souhaitez autoriser l acc s en cochant l un des champs suivants Uniquement depuis les Si cette option est coch e l identification est uniquement possible depuis les interfaces internes interfaces prot g es l int rieur de l entreprise mat rialis es par l ic ne p prot g es Uniquement depuis les Il ne sera possible de s identifier sur les firewalls seulement depuis les interfaces externes interfaces non prot g es publiques Vous pouvez par exemple vous connecter sur un firewall d
210. fics sur les performances globales du r seau et sans d finir de limitation de bande passante pour ces autres trafics D finition de la r gle de QoS pour la VoIP Nom Type Priorit Bp Bp Min Max Couleur Commentaire min max inv inv File d attente par classe d application ou d affectation 1 Item QoS_VolP 1kb 0kb 100kb Okb Garantie service minimum Utilisation de la r gle de QoS dans la politique de filtrage Afin de visualiser la Qos dans l onglet Filtrage du module Filtrage et NAT double cliquez dans la colonne Action une fois votre r gle de filtrage tablie voir document Filtrage et NAT ou menu Politique de S curit module Filtrage et NAT colonne Action v Effets sur le trafic Garantie d une bande passante pour un trafic donn Introduction d un temps de r ponse maximal pour le transfert des donn es du service uoneinByUo9 8p 43 UOHESIINP anue Y S uoneinByuo9 8p je uopesyn p anue REGLES IMPLICITES R gles de filtrage implicites Cet cran vous informe qu il est possible de g n rer automatiquement diff rentes r gles de filtrage IP pour autoriser l utilisation des services du firewall Si vous activez un service le firewall cr e de lui m me les r gles de filtrage n cessaires sans avoir besoin de cr er des r gles explicites dans la politique de filtrage La grille de r gles La grille pr sente les colonnes suivantes Activ Etat de la
211. ge h rit du bridge n est pas coch e dans l onglet Configuration de l interface et les options sont gris es Autoriser sans Permet de laisser passer les paquets IPX r seau Novell NetBIOS sur analyser NETBEUI paquets AppleTalk pour les machines Macintosh PPPoe ou IPv6 entre les interfaces du pont Aucune analyse ou aucun filtrage de niveau sup rieur n est r alis sur ces protocoles le firewall bloque ou laisse passer Bridge Routage par interface note Indication d sactiv si l option Plan d adressage h rit du bridge n est pas coch e dans l onglet Configuration de l interface et les options sont gris es Pr server le Comme son nom l indique cette option permet de pr server le routage initial des routage initial machines connect es sur cette interface Ainsi vous pouvez sp cifier une passerelle par d faut pour certaines machines tout en sp cifiant sur le firewall une passerelle pour celles qui n en ont pas Cette option facilite l int gration du firewall dans une architecture compos e de nombreuses passerelles diff rentes Adresse de la Ce champ sert au routage par interface Tous les paquets arrivant sur cette passerelle interface seront rout s via une passerelle Bande passante de l interface informatif Bande passante D finit le d bit sur une interface Il s agit d une entr e automatique non obligatoire sert au monitoring pour le calcul de la bande passante
212. h 17h OBJETS TEMPS L v nement ponctuel Ce champ permet de pr ciser Depuis quand l v nement a lieu et jusque quand il se tiendra Il faut d finir un jour au sein du calendrier pr sent Vous devez galement d finir une heure en remplissant le champ vide marqu Le jour de l ann e Par d faut ce champ indique la date du 01 01 vous pouvez cliquez sur Ajouter une plage de dates et saisir une date de d but et une date de fin pour votre v nement en choisissant le mois et le jour Les Jour s de la semaine Les jours concern s par l v nement sont marqu s par cette ic ne Y Si vous souhaitez en retirer un cliquez une fois dessus Si vous souhaitez en appliquer un suppl mentaire comme le samedi par exemple cliquez une fois sur la case Sam Celle ci sera alors marqu e par l ic ne d crite ci dessus et ce jour sera concern par votre v nement Les plage s horaire s Vous pouvez d finir la les Plage s horaire s l aide de ces boutons Ajouter une plage horaire pour ainsi effectuer l action cit e et param trer l heure de d but et de cl ture de votre v nement x Pour la supprimer Les nouvelles informations concernant la les plage s horaire s s afficheront dans le champ Description m uoneanyuoo 8p 43 UOHESIINP anue a t uoneinByUo9 8p 43 UOHESIINP anue OBJETS WEB Ce module se compose de 3 onglets URL Permet de rasse
213. hentification a chou s affiche en rouge REMARQUE Protection contre les attaques par force brute Lorsqu un trop grand nombre de requ te est effectu avec un mot de passe incorrect le message suivant s affiche La protection de l authentification contre les attaques par force brute a t activ e La prochaine tentative d authentification sera possible dans lt nombre de secondes gt Le compte admin super administrateur Par d faut il n existe qu un seul utilisateur poss dant des droits d administration des produits NETASQ le compte admin son login est admin Cet administrateur poss de tous les droits Il peut effectuer certaines op rations comme modifier la m thode d authentification d un utilisateur par exemple REMARQUE Etant donn les droits du compte admin NETASQ conseille de n utiliser ce compte qu en test ou dans le cas d une maintenance Seul l admin peut attribuer des droits d administration d autres utilisateurs D connexion Pour vous d connecter d un firewall suivez la proc dure suivante 1 sartor en haut droit de l interface L cran Quitter s affiche avec le message suivant Vous allez tre d connect Cliquez ensuite sur Quitter ou Annuler si vous ne souhaitez pas poursuivre la d connexion En cliquant sur Quitter L interface revient l cran de connexion L annulation provoque le retour l cran principal sans cons quence
214. hiffrement est la plus s curis e et son utilisation est fortement recommand e SMD5 Salt Message Digest Repose sur le m me principe que MDS5 avec la fonction de salage de mot de passe en plus CRYPT Le mot de passe est prot g par l algorithme CRYPT d riv de l algorithme DES permettant le chiffrement par bloc en utilisant des cl s de 56 bits Il est peu conseill poss dant un niveau de s curit relativement faible Aucune Pas de chiffrement du mot de passe celui ci est stock en clair Q AVERTISSEMENT Cette m thode est tr s peu recommand e car vos donn es ne sont pas prot g es Vous pouvez cliquer sur Appliquer pour valider votre configuration uoneinByU09 8p 43 UOHESIINP anue a CONSOLE CLI Ce module va vous permettre de visualiser les commandes ex cutables de la console CLI Command Line Interface de votre bo tier Vous pouvez y acc der en vous rendant au sein du menu Syst me Console CLI Celui ci est compos de deux parties la liste des commandes en haut de l cran soit une zone de texte une zone de saisie des commandes en bas de l cran La liste des commandes L cran affiche par d faut les 16 principales commandes ex cutables qui font partie de la cat gorie HELP note En saisissant la commande HELP dans la zone de saisie que nous traiterons ci apr s la liste r sumant les commandes principales se r affichera Les commandes visibles son
215. i pr partag e Si vous optez pour cette m thode d authentification vous devrez ditez votre cl PSK dans un tableau en fournissant son ID et sa valeur confirmer Pour cela cliquez sur Ajouter L ID peut tre au format IP X Y Z W FQDN monserveur domain com e mail toto dupont domain com II occupera ensuite la colonne Identit du tableau et la PSK occupera une colonne du m me nom avec sa valeur affich e en hexad cimal Cliquez sur Suivant V rifiez l cran de r sum de votre configuration nomade et cliquez sur Terminer Renseignez ensuite la ressource locale ou r seau local vers lequel sera dirig votre utilisateur nomade Vous pouvez galement effectuer d autres actions a neran Rechercher La recherche s effectuera sur le nom de l objet et de ses diff rentes propri t s sauf si vous avez sp cifi dans les pr f rences de l application de restreindre cette recherche aux noms d objet 232 DR cer h dahinin a n Supprimer S lectionnez le tunnel VPN IPsec retirer de la grille et cliquez sur ce bouton 5 amp Oo AVERTISSEMENT Aucune fen tre de confirmation de suppression ne s afficher et votre r gle sera S directement retir e 5 mn Monter Placer la ligne s lectionn e avant celle du dessus Descendre Placer la ligne s lectionn e apr s celle du dessous a 8 La grille 5 3 Ligne Cette colonne indique le num ro de la ligne 1 2 3 trait e par ordre d appari
216. i Appletalk ou IPv6 Pas de translation d adresses donc gain de temps au niveau du traitement des paquets par le firewall Ce mode est donc pr conis entre la zone externe et la les DMZ Il permet de conserver un adressage public sur la zone externe du firewall et les serveurs publics de la DMZ Mode hybride En mode hybride certaines interfaces poss dent la m me adresse IP et d autres ont une adresse distincte Le mode hybride utilise une combinaison des deux modes pr c dents Ce mode ne peut tre employ que pour les produits NETASQ poss dant plus de deux interfaces r seau Vous pouvez d finir plusieurs interfaces en mode transparent Exemple Zone interne et DMZ ou zone externe et DMZ et certaines interfaces dans un plan d adressage diff rent Ainsi vous avez une plus grande flexibilit dans l int gration du produit Conclusion Le choix d un mode se fait uniquement au niveau de la configuration des interfaces r seau La configuration du firewall est ensuite la m me pour tous les modes Au niveau s curit tous les modes de fonctionnement sont identiques On filtre les m mes choses et la d tection d attaques est identique D Pr sentation de l cran de configuration L cran de configuration des interfaces se d compose en 3 parties L arborescence des interfaces les interfaces du bo tier sont pr sent es de mani re tri e c est dire dans l ordre suivant Bridge Interface VLAN
217. iant permettant au firewall de se connecter sur votre serveur LDAP Mot de passe Le mot de passe cr sur le firewall pour vous connecter sur le serveur LDAP Connexion s curis e SSL ee E Activer l acc s en SSL Cette option permet d effectuer une v rification de votre certificat num rique g n r par l autorit racine du firewall Les informations sont chiffr es en SSL Cette m thode utilise le port 636 L acc s public au LDAP est prot g avec le protocole SSL note Si cette option n est pas coch e l acc s est non chiffr maia V rifier que le nom du Le FQDN repr sente le nom complet d un h te dans une URL soit un HOST serveur correspond au comme www et un nom de domaine de type netasq com FQDN pr sent dans le Exemple certificat SSL Cr Slaa CON Si cette case est coch e la v rification du certificat du serveur est activ e Le certificat SSL contient un FQDN avec lequel le nom du serveur doit correspondre pour que les donn es soient correctement prot g es Autorit de certification Cette option permet de s lectionner l autorit de certification qui sera compar e au certificat serveur d livr par le serveur LDAP afin d assurer l authenticit de la connexion au serveur LDAP uoneinBU09 8p je UOHESIINP NUE a 2 Vous pouvez cliquer sur l ic ne loupe pour effectuer une recherche de la CA correspondante note Cette case sera gris e par d faut si les deux o
218. icat Smartcard Par d faut le champ Validit est fix 365 jours et le champ Taille de cl 1024 octets Vous pouvez ensuite Publier ce certificat dans l annuaire LDAP en cochant la case correspondante et d finir un mot de passe confirmer pour le container PKCS 12 Apr s avoir cliqu sur Suivant s lectionnez une autorit parente pour votre certificat et saisissez son mot de passe Vous verrez ensuite appara tre un r sum des donn es renseign es Cliquez sur Terminer En cliquant sur le certificat concern ses informations d taill es s afficheront droite de l cran en 1 unique onglet Onglet D tails 4 fen tres y reprennent les donn es concernant la Validit de l autorit son destinataire Emis pour son Emetteur et ses Empreintes informations sur le produit et sa version Ajouter un certificat serveur Le certificat serveur est install sur un serveur web et permet d assurer le lien entre eux Dans le cas d un site web il permet de v rifier que l URL et son DN Nom de domaine appartiennent bien telle ou telle entreprise D finissez les propri t s du certificat serveur par le biais de l assistant Nom de domaine Le FQDN repr sente le nom complet d un h te dans une URL soit un HOST qualifi FQDN comme www et un nom de domaine de type netasq com Exemple www netasq com Identifiant Bien que le remplissage de ce champ ne soit pa
219. iche demandant si vous souhaitez d finir une passerelle principale routeur par d faut aniis A la liste des La machine Firewall_ lt nom du modem gt _peer est ajout e parmi les passerelles de passerelles secondaires sauvegarde Ne pas ajouter Le modem n est pas d fini en tant que passerelle configurer plus tard Suppression d un modem Pour supprimer un modem s lectionnez le dans l arborescence des interfaces puis cliquez sur le bouton Supprimer de la barre d outils Le message Voulez vous r ellement supprimer cette interface s affiche Confirmez ou non votre suppression En confirmant la suppression une v rification de l utilisation de l interface check est faite Remarques g n rales sur la configuration d un modem Le firewall n gocie automatiquement l ouverture de ligne et r initialise la connexion en cas de coupure Dans le cas o la connexion n est pas possible probl me de ligne le firewall envoie un message d alarme g O uoneinByU09 8p je UOHESIINP anue LICENCE L cran de Licence se d compose en plusieurs parties L onglet G n ral installation manuelle ou automatique d une licence et consultation des principales informations L onglet D tails de la licence ou indication du n de s rie type Licence Locale U70XXADA913500 pour diff rencier le firewall actif d un firewall passif d tail de toutes les options de la licence et de leur valeu
220. ichier Ce nombre doit tre compris entre 64 et 512 octets Support D sactiver la pr vention En cochant cette option l action passer sera automatiquement d intrusion d clench e au sein du filtrage URL Tracer chaque requ te TFTP Active ou d sactive permettant de tracer les requ tes TFTP L cran de la configuration globale TFTP liste des ports UDP par d faut Cette liste contient les ports TCP autoris s par d faut pour le protocole TFTP Vous pouvez en ajouter en cliquant sur le bouton appropri ou le retirer de la liste en le s lectionnant et en cliquant sur Supprimer NetBios CIFS NetBios est un protocole utilis pour le partage de fichier imprimantes g n ralement par les syst mes Microsoft L cran des profils Onglet IPS D tecter et inspecter Si le protocole est activ il est automatiquement utilis la d couverte automatiquement le d un paquet correspondant dans les r gles de filtrage Cette option n est protocole pas disponible pour les protocoles IP ICMP TCPUDP RTP RTCP MSN YMSG Taille des l ments en octets Nom des fichiers format Ce nombre doit tre compris entre 1 et 65536 octets SMB2 Support D sactiver la pr vention En cochant cette option l action passer sera automatiquement d intrusion d clench e au sein du filtrage URL L cran de la configuration globale NetBios CIFS liste des ports TCP par d faut
221. ichier PKCS 12 si c est ce format pour lequel fichier si vous avez opt le m me que pour la Publication du certificat utilisateur dans le LDAP PKCS 12 S L ic ne 2 vous permet d afficher le mot de passe en clair pour v rifier qu il est correct El ments du Etant donn que chaque format de fichier contient des l ments diff rents vous pouvez fichier importer choisir d importer tout ou une partie de votre fichier via les choix suivants Tous Importez tous les l ments contenus dans vos fichiers Ou choisissez de ne garder que ceux ci Certificat s Cl s priv e s CRL Autorit de Certification CA Requ te s Ecraser le Si vous cochez cette case les contenus similaires aux l ments ci dessus seront cras s contenu existant dans la PKI en faveur des nouveaux certificats cl s priv es CA et requ tes dans la PKI Cliquez sur Suivant Vous verrez s afficher un r sum des donn es l importation de votre fichier son nom son format et les l ments importer Cliquer sur Terminer Supprimer Ce bouton est li la colonne de gauche S lectionnez dans la liste la CA sous CA ou le certificat que vous souhaitez retirer et cliquez sur Supprimer T l chargement Ce bouton vous permet de t l charger les CA sous CA et les certificats en les s lectionnant dans la liste de gauche 1 Une fen tre d ouverture s affichera en vous proposant les options uoneinByU09 8p je UOHESIINP anue
222. ide vient se positionner en haut du tableau D roulez la liste des utilisateurs existants l aide de la fl che de droite et s lectionnez celui que vous d sirez inclure au groupe Vous pouvez galement effectuer un glisser d poser en important un utilisateur depuis la liste des CN dans la colonne de gauche Supprimer Pour retirer un membre du groupe s lectionnez le et cliquez sur le bouton Supprimer N N Ci A partir de la version 9 0 1 lorsqu un utilisateur est supprim la r vocation de son certificat est propos e l administrateur Afin de valider la cr ation de voire groupe et de ne perdre aucune modification apport e cliquez sur Appliquer Cr er un utilisateur Pour cr er un utilisateur renseignez au moins son identifiant et son nom Pour lui associer un certificat vous devrez indiquer une adresse mail valide uoneinByuo9 8p 43 uopesiyn p anue Id Identifiant de connexion de l utilisateur Nom Nom de l utilisateur Pr nom Pr nom de l utilisateur Mail Adresse e mail de l utilisateur Celle ci sera utile pour la cr ation d un certificat T l phone Num ro de t l phone de l utilisateur Description Description indicative l utilisateur o REMARQUE Les champs Id Nom et Pr nom ne seront plus modifiables apr s leur cr ation Afin de valider la cr ation de votre utilisateur et de ne perdre aucune modification apport e cliquez sur Appliquer
223. ie de ce m me groupe sera soumis sa configuration Exemple Si vous interdisez l authentification et ou l acc s au VPN SSL un groupe en r gle 1 et que l utilisateur en r gle 2 peut s authentifier via le LDAP et un profil VPN SSL particulier et fait partie du groupe celui ci sera bloqu et n aura acc s ni l authentification ni au VPN SSL E L E Lorsqu une nouvelle ligne est ajout e la grille vous pouvez s lectionner l utilisateur DROITS D ACCES groupe ou le groupe d utilisateur pour lequel vous souhaitez effectuer une configuration Pour d utilisateurs cela cliquez sur la fl che droite de la colonne une liste d roulante s affiche et vous propose de choisir parmi les CN cr s pr c demment au sein du menu Utilisateurs module Utilisateurs note Il est galement possible d ajouter un utilisateur qui ne figure pas dans la base LDAP par exemple pour la m thode KERBEROS ou RADIUS Authentification Cette colonne d roule la liste des choix d authentification possibles pour votre utilisateur ou groupe d utilisateurs Vous ne pourrez visualiser que les m thodes d authentification que vous avez autoris es au sein du menu Utilisateurs module Authentification onglet M thodes disponibles cf document sur l Authentification note Si vous n avez effectu aucune configuration pr alable de m thode d authentification seul D faut et Interdire vous seront propos es lor
224. ies Un tableau listant les clients DNS autoris s utiliser le cache Un menu d roulant permettant de d finir les param tres de la configuration avanc e Activer le cache de requ te DNS Cette option permet de faire fonctionner le Proxy cache DNS lorsqu une requ te DNS est envoy e au firewall celle ci est trait e par le cache DNS Liste des clients DNS autoris s utiliser le cache Client DNS machine r seau plage groupe Les clients rensei au sein de la liste peuvent mettre des requ tes DNS au travers du firewall Ajouter En cliquant sur ce bouton une nouvelle ligne vient se positionner en t te du tableau La fl che situ e droite du champ pr sent vide permet d ajouter un client DNS Vous pouvez le s lectionner dans la base d objets qui s affiche Cela peut tre une machine un r seau une plage d adresse ou encore un groupe Supprimer S lectionnez d abord le client DNS que vous souhaitez retirer de la liste Une fen tre de confirmation s affiche avec le message suivant Supprimer le client DNS s lectionn Vous pouvez valider la suppression ou Annuler l action i NOTE En mode transparent les clients s lectionn s b n ficieront du Proxy cache DNS les autres demandes seront soumis au filtrage PROXY CACHE DNS Configuration avanc e Taille du cache octets La taille maximale allou e au cache DNS d pend du mod le de votre firewall Mode trans
225. ifier sur l annuaire interne m thode LDAP S authentifier sur une base RADIUS uoneinByUo9 8p 43 UOHESIINP anue s A partir de la version 9 0 1 les liens ajout s sur le portail d authentification en version 9 sont traduits dans toutes les langues support es Les caract res de niveau ISO 8859 15 inclus sont autoris s pour le mot de passe des administrateurs uoneinByUo9 8p 43 UOHESIINP anue s AUTHENTIFICATION S authentifier sur un annuaire Active Directory m thode Kerberos Kerberos diff re des autres m thodes d authentification Plut t que de laisser l authentification avoir lieu entre chaque machine cliente et chaque serveur Kerberos utilise un cryptage sym trique le Centre distributeur de tickets KDC Key Distribution Center afin d authentifier les utilisateurs sur un r seau Dans ce processus d authentification le bo tier agit comme un client qui se substitue l utilisateur pour demander une authentification Cela signifie que m me si l utilisateur est d j authentifi sur le KDC pour son ouverture de session Windows par exemple il faut tout de m me se r authentifier aupr s de ce serveur m me si les informations de connexion sont identiques pour traverser le firewall Etape 1 Interfaces L authentification sur les firewalls est diff renci e par les interfaces sur lesquelles arrivent les flux de trafic Il est possible d activer l authentification depuis les interfaces inter
226. ifique Lotus Domino VPN SSL L onglet Serveurs applicatifs Configuration avec un serveur applicatif Pour ajouter un serveur d acc s aux ressources autres que le type Web suivez la proc dure suivante E Cliquez sur le bouton Ajouter puis s lectionnez Serveur applicatif Indiquez un nom pour ce serveur Le nom ne peut tre vide et les caract res autoris s sont les chiffres les lettres l espace _ et le point La configuration de ce serveur appara t alors les explications des diff rents param tres sont donn es ci dessous Serveur de Ce champ permet de sp cifier l objet correspondant au serveur auquel l utilisateur destination pourra acc der Port Ce champ permet de sp cifier le port sur le serveur auquel l utilisateur pourra acc der Param tres du poste utilisateur Adresse IP d coute Choix de l adresse locale du client locale Port Ce port situ sur la station distante est utilis par l applet JAVA pour la redirection des flux chiffr s destination du firewall NETASQ Notez que l utilisateur doit poss der certains droits sur ce port pour l ouverture par exemple veillez donc modifier les droits locaux d administration de la machine en cons quence De plus le port sp cifi doit tre libre d utilisation sur toutes les machines d sirant se connecter au serveur associ via le portail D pN X Configuration avanc e Activer la compatibilit Perm
227. igne NETASQ V9 Vous pouvez naviguer au sein de l aide en ligne via la colonne de gauche ou cliquez sur le bouton d aide en haut droite de votre interface graphique Pour toute question ou si vous souhaitez nous signaler une erreur contactez nous sur documentation netasq com uoneinByUo9 8p 43 UOHESIINP NUE o ADMINISTRATEURS Ce module est compos de deux onglets Administrateurs il permet de cr er des administrateurs en octroyant des droits d administration aux utilisateurs utilisant une des m thodes d authentification suivantes LDAP RADIUS KERBEROS ou SSL Compte admin Cet onglet permet de d finir le mot de passe d authentification du compte admin en exportant la clef publique ou priv e Onglet Administrateurs L cran de cet onglet est divis en trois parties Une barre des t ches en haut celle ci affiche les diff rentes actions possibles sur un administrateur Ajouter un administrateur Supprimer Copier les droits etc La liste des utilisateurs et groupes d utilisateurs r pertori s en tant qu admin gauche La grille des droits des administrateurs droite Les manipulations possibles Vous allez pouvoir constituer votre grille d administrateurs issus de votre base LDAP ainsi que leurs droits respectifs uoneinByU09 8p 43 UOHESIINP NUE ADMINISTRATEURS Ajouter un administrateur i Ajouter un Ce type d administrateur dispose des droits de
228. il s agit de la version Presentation Server 4 0 Envoi de la configuration Cliquez sur le bouton Appliquer Acc s au portail Web Ouvrez un navigateur Web puis identifiez vous https adresse IP de votre firewall ou son nom Allez dans Acc s s curis puis s lectionnez dans la liste d roulante Ouvrir l acc s s curis dans un pop up Oo AVERTISSEMENT Il est important que l applet VPN SSL NETASQ fonctionne en t che de fond S lectionnez ensuite Acc s portail Portail puis saisissez votre nom d utilisateur votre mot de passe et le domaine Suppression d un serveur Pour supprimer un serveur suivez la proc dure suivante E S lectionnez le serveur supprimer N R amp 2 Cliquez sur le bouton Supprimer AVERTISSEMENT Lorsqu un serveur est retir de la liste des serveurs VPN SSL configur s il est automatiquement retir des profils desquels il faisait partie L onglet Profils utilisateurs uoneinByUo9 ap 43 UOHESIINP anue Principe de fonctionnement Par d faut tous les serveurs configur s dans le module VPN ssL sont affich s sur le portail d authentification Ainsi tous les utilisateurs ayant droit aux fonctionnalit s de VPN SSL offertes au firewall ont acc s tous les serveurs configur s par l administrateur La notion de profil permet de d terminer quels utilisateurs auront acc s quels serveurs configur s dans le VPN SSL VPN SSL Configuration
229. il utilisateur clique sur ce lien il est redirig vers le serveur correspondant 3 Configuration avanc e Activer la liste Seuls les liens r crits par le module VPN SSL sont accessibles au blanche d URLs travers du VPN SSL S il existe sur un site autoris un lien vers un site Web ext rieur dont le serveur n est pas d fini dans la configuration VPN SSL celui ci sera inaccessible par le VPN SSL Lorsque la liste blanche est activ e elle permet l acc s des URL qui ne seraient pas r crites via le champ Ne pas r crire les URLs du groupe VPN SSL Par exemple pour un acc s vpnssl webmail si l on souhaite autoriser les utilisateurs quitter le vpnssl en cliquant sur les liens contenus dans leurs mails dans ce cas il faut ajouter une liste blanche contenant o AVERTISSEMENT Lorsqu un lien de cette liste blanche est cliqu par un utilisateur celui ci n est plus prot g par le module de VPN SSL NETASQ Ne jamais afficher ce Tous les serveurs configur s dans la configuration du VPN SSL sont par serveur sur le portail d faut indiqu s sur le portail d authentification NETASQ Toutefois il utilisateur acc s via pourrait tre n cessaire qu un de ces serveurs ne soit accessible que par un autre serveur l interm diaire d un autre serveur alors dans ce cas il faudrait cocher uniquement l option Ne pas afficher ce serveur sur le portail En effet lorsque cette option est co
230. incipal Dans ce mode la phase 1 se d roule en 6 changes La machine distante ne peut tre identifi e que par son adresse IP avec une authentification en cl pr partag e En mode PKI l identifiant est dans le certificat Le mode principal assure l anonymat Mode agressif dans ce mode la phase 1 se d roule en 3 changes entre le firewall et la machine distante La machine distante peut tre identifi e avec une adresse IP FQDN ou une adresse mail mais pas avec un certificat par cl pr partag e Le mode agressif n assure pas l anonymat note NETASQ pr conise l utilisation des m thodes d authentification par certificat hybride ou XAuth avec le mode principal Si le client veut utiliser la PSK il doit se positionner en mode agressif Q AVERTISSEMENT L utilisation du mode agressif les cl s pr partag es notamment pour les tunnels VPN destination de nomades peut se r v ler moins s curitaire que les autres modes du protocole IPSec Ainsi NETASQ recommande l utilisation du mode principal et en particulier du mode principal certificats pour les tunnels destination de nomades En effet la PKI interne du firewall peut tout fait fournir les certificats n cessaires une telle utilisation Le mode de secours est le mode de bascule pour le failover IPSec si un serveur tombe un autre prend le relai de mani re transparente N anmoins ici le champ est gris car la configuration de secours n est pas applic
231. iner En cliquant sur la sous CA concern e ses informations d taill es s afficheront droite de l cran en 3 onglets L onglet D tails 4 fen tres y reprennent les donn es concernant la Validit de l autorit son destinataire Emis pour son Emetteur et ses Empreintes informations sur le produit et sa version L onglet CRL Il reprend les informations concernant la CRL la validit incluant la derni re et la prochaine mise jour la grille des points de distribution et la grille de certificats r voqu s devant contenir un num ro de s rie une date de r vocation et un motif de r vocation L onglet configuration Cet onglet pr sente la Taille de cl octets et la Validit jours pour l Autorit de certification avec la Validit de la CRL en jours en plus pour la CA dans la limite de 3650 jours les certificats utilisateur les certificats Smartcard et les certificats serveurs Ajouter un certificat utilisateur Dans l assistant de configuration l administrateur va sp cifier les informations relatives l utilisateur pour lequel il souhaite cr er un certificat en renseignant l adresse e mail de celui ci Une fois le certificat g n r et publi par l administrateur l utilisateur recevra un mail de confirmation de cr ation de son certificat et pourra le pr senter afin de se connecter si l envoi d e mail est activ note Le certificat utilisateur d pend lui
232. ion l IPS NETASQ Intrusion Prevention System bloquer d tectera et bloquera les tentatives d intrusion de la couche r seau la couche applicative du mod le OSI IDS D tecter En s lectionnant cette option l IDS NETASQ ntrusion Detection System d tectera les tentatives d intrusion sur votre trafic mais sans les bloquer Firewall Ne pas Cette option ne donne acc s qu aux fonctions de base de s curit informatique inspecter et ne fera que filtrer votre trafic sans l inspecter Configuration a us Auto Config 00 09 Vous pouvez personnaliser la configuration de votre inspection de s curit en lui par d faut attribuant une politique pr d finie celle ci appara tra dans la grille de filtrage Les configurations num rot es peuvent tre renomm es dans le menu Protection applicative Profils d inspection re Gi Inspection applicative R Antivirus Les boutons On Off vous permettent d activer ou de d sactiver l Antivirus au sein de votre r gle de filtrage 2 5 5 P E a Antispam Les boutons On Off vous permettent d activer ou de d sactiver l Antispam 5 ___ au sein de votre r gle de filtrage g Filtrage URL Choisissez une politique de filtrage URL au sein des politiques propos es Vous ej ___ pouvez choisir de l activer ou non boutons On Off 2 Filtrage SMTP Choisissez une politique de filtrage SMTP au sein des politiques propos es Vous g pouvez choisir de l activer
233. ion l action passer sera automatiquement d intrusion d clench e au sein du filtrage URL Tracer chaque requ te RTP Active ou d sactive les logs permettant de tracer les requ tes RTP Cl RTCP Onglet IPS Commandes RTCP autoris es Il est possible de d finir des commandes RTCP au sein de la pr vention d intrusion en cliquant sur Ajouter dans la limite de 115 caract res La suppression est galement autoris e Commandes RTCP interdites Il est possible d interdire des commandes RTOP au sein de la pr vention d intrusion dans la limite de 115 caract res uoneinByUo9 ap 43 UOHESIINP NUE Support D sactiver la pr vention En cochant cette option l action passer sera automatiquement d intrusion d clench e au sein du filtrage URL Tracer chaque requ te RTCP Active ou d sactive les logs permettant de tracer les requ tes RTCP D uoneinByUo9 8p 43 UOHESIINP anue PROTOCOLES ET APPLICATIONS SIP Le protocole SIP assure l analyse protocolaire ainsi que l autorisation dynamique des connexions secondaires L analyse des connexions est r alis e ligne par ligne la ligne doit tre compl te avant le lancement de l analyse Pour chaque ligne d en t te une v rification est r alis e en fonction de l tat de l automate Pour les requ tes et les r ponses V rification de la version SIP et de l op ration validation de l URI qui doit tre enc
234. ion de l interface de connexion du modem l interface Demander les serveurs Lorsque cette option est coch e le firewall r cup re les serveurs DNS et cr er les objets p ii DNS aupr s du serveur DHCP fournisseur d acc s par exemple qu il machines associ s contacte pour obtenir son adresse IP D s que cette option est coch e deux objets sont dynamiquement cr s dans la base d objets Firewall_ lt nom de l interface gt _dns1 et Firewall_ lt nom de l interface_dns2 Ils peuvent ainsi tre utilis s dans la configuration du service DHCP Ainsi si le firewall offre un service DHOP aux utilisateurs de son r seau les utilisateurs seront cr dit s des serveurs DNS fournis par le fournisseur d acc s uoneinByU09 8p je UOHESIINP anue INTERFACES Configuration avanc e Service Type de service Connexion La connexion en cas de trafic la demande n tablit la connexion avec Internet que lorsqu une demande de connexion mane du r seau interne ce mode est plus conomique dans le cas d une liaison payante la dur e La connexion Permanente conserve la connexion vers l Internet active en permanence Modem PPTP Utiliser ce modem En cochant cette option vous activez le modem Nom obligatoire Nom associ au modem Ce nom doit tre unique et contenir 16 caract res au maximum Le nom du modem ne peut contenir certaines appellations Commentaire Permet de donner un commentaire
235. ion s lectionn e uoneinByUo9 8p 43 UOHESIINP anue a Autorit de certification C A Ce champ laisse appara tre les certificats auxquels vous faites confiance et que vous serez amen s utiliser A partir de la version 9 0 1 il est possible de modifier le champ du sujet du certificat qui sera utilis pour rechercher l utilisateur dans le LDAP Il est galement possible de modifier le champ LDAP utilis pour la recherche Par d faut l e mail est utilis dans les deux cas Ces param tres sont configurables via la CLI AUTHENTIFICATION RADIUS Apr s avoir s lectionn votre m thode d authentification dans la colonne de gauche vous pouvez saisir ses informations dans la colonne de droite qui pr sente les l ments suivants Acc s au serveur Lorsque la m thode RADIUS est s lectionn e l authentification RADIUS est activ e Ce menu vous permet de pr ciser les informations relatives au serveur RADIUS externe utilis et d un ventuel serveur RADIUS de sauvegarde Pour chacun la configuration n cessite de renseigner les informations pr sent es dans le tableau suivant j Serveur Adresse IP du serveur RADIUS Port Port utilis par le serveur RADIUS si le serveur principal tombe Cl pr partag e Cl utilis e pour le chiffrement des changes entre le firewall et le serveur RADIUS Serveur de rechange Serveur Adresse IP du serveur de rechange Port Port utilis
236. ionnelles qui ne sont pas autoris es Supprimer S lectionnez la commande retirer de la liste et cliquez sur Supprimer Taille maximale des l ments en octets Requ te SIP 64 4096 Taille maximale de la requ te et de la r ponse Permet de g rer le d bordement de m moire En t te SIP 64 4096 Taille maximale de l en t te Permet de g rer le d bordement de m moire Protocole SDP 64 604800 Taille maximale d une ligne SDP Permet de g rer le d bordement de m moire s uoneinByU09 8p je UOHESIINP anue PROTOCOLES ET APPLICATIONS Param tres de session SIP Nombre maximum de requ tes en attente 1 512 Nombre maximum de requ tes sans r ponses sur une m me session SIP Dur e de session secondes 60 604800 Temps en secondes d une session SIP Extension du protocole SIP Activer l extension INFO RFC2976 L extension INFO permet d changer des informations lors d un appel en cours Exemple La puissance du signal wifi de l un des deux correspondants Cochez la case pour activer l extension Activer l extension PRACK RFC3262 Il existe deux types de r ponses d finies par SIP les provisoires et les d finitives L extension PRACK permet de fournir un syst me de reconnaissance fiable et de garantir une livraison ordonn e des r ponses provisoires dans SIP Cochez la case pour activer l extension Activer l extension SUSCRIBE NOTIF
237. ipal il va tenter de se connecter ce lien secondaire Cela vite que les deux firewalls passent en mode actif actif si un probl me survient sur le lien principal Utiliser un second lien Cochez cette option afin de d griser les champs du dessous et de d finir un de communication lien secondaire pour votre cluster Interface Interface secondaire utilis e pour relier les deux firewalls constituant le cluster S lectionnez l parmi les objets figurant au sein de la liste d roulante 110 D finir l adresse IP Entrez l adresse IP pour votre lien secondaire D finir le masque Entrez le masque r seau pour votre lien secondaire r seau note Pour qu un lien fonctionne les 2 membres du cluster doivent utiliser la m me interface Si vous avez choisi de rejoindre un cluster Cette option sous entend d un groupe de firewalls ait d j t cr au pr alable pour que celui ci puisse le rejoindre Ainsi une partie des informations du premier firewall cr seront reprises uoneinByU09 8p 43 UOHESIINP anue Lien principal oen S _ B Interface Interface principale utilis e pour relier les deux firewalls constituant le cluster Cette interface doit tre la m me que celle s lectionn e lors de la cr ation du cluster sur le premier firewall D finir l adresse IP Adresse IP laquelle votre groupe de firewalls cluster devra se connecter pour fonctionner Cette adresse doit appartenir au m me sous r seau
238. ir de la version 9 0 1 il ne vous est plus syst matiquement demand de red marrer le bo tier lors de la suppression d un VLAN Couleur Couleur attribu e l interface Cette interface est Si vous s lectionnez interne prot g e vous indiquez le caract re priv de l interface Les adresses des interfaces internes ne sont pas utilisables en tant que destination pour les paquets en provenance des interfaces non prot g es hormis si ceux ci viennent d tre translat s note On notera que interne prot g e implique forc ment d tre sur une interface prot g e Les options interne prot g e et externe publique sont donc incompatibles Si vous s lectionnez l option externe publique vous indiquez que cette partie du r seau est reli e Internet Dans la majorit des cas l interface externe reli e Internet doit tre en mode externe Le caract re prot g de l interface mat rialis par un bouclier 7 dispara t lorsque cette option est coch e N N uoneinByUo9 8p 43 UOHESIINP anue N Le INTERFACES Plan d adressage Aucun interface En cochant d cochant cette option on active d sactive l interface En d sactiv e d sactivant une interface on la rend inutilisable En terme d utilisation cela peut correspondre une interface que l on a pr vu de d ployer dans un futur proche ou loign mais qui n est pas en activit Une interface
239. ir visualis le r sum de vos configurations cliquez sur Terminer le message suivant s affiche Ce firewall est pr t fonctionner en haute disponibilit Vous pouvez maintenant configurer un autre firewall pour qu il rejoigne ce cluster Votre cluster tant d sormais cr un nouvel cran s affichera lorsque vous tenterez d acc der au module En cas de cluster existant N Apr s avoir visualis le r sum de vos configurations cliquez sur Terminer le message suivant s affiche Rejoindre le groupe de firewalls n cessite le red marrage de ce firewall Etes vous s r de vouloir rejoindre le cluster Pour finaliser la configuration ce firewall va rejoindre le cluster et r aliser la synchronisation de configuration initiale II va ensuite red marrer afin de l appliquer Pour acc der au cluster vous devrez vous connecter au firewall actif note Cette tape peut tre longue sur les mod les d entr e de gamme U30 U70 Il ne faut pas d brancher le firewall uoneinByU09 8p je uopesyn p anue Ecran de la Haute disponibilit Communication entre les firewalls du groupe de haute disponibilit Lien principal Interface principale utilis e pour relier les deux firewalls constituant le cluster S lectionnez l parmi les objets figurant au sein de la liste d roulante Utiliser un second lien Cochez cette option afin de d griser les champs du dessous et de d finir un de communication lien seco
240. ire Commentaire associ Suppression d une file d attente par priorit S lectionnez la ligne concern e dans la grille de file d attente par priorit puis cliquez sur le bouton Supprimer Un message s affiche vous demandant si vous souhaitez r ellement supprimer la file d attente Files d attente disponibles A la fin de la grille des files d attente est indiqu le nombre de files d attentes disponibles pour un mod le de firewall donn 20 pour les U30 et U70 100 pour les U120 U250 et U450 200 pour les U1100 U1500 et NG1000 A 255 pour le U6000 et le NG5000 A Cas d application et recommandations d utilisation Exemple 1 Priorisation des flux DNS Bas es sur UDP les requ tes DNS subissent de nombreuses pertes de paquets du fait de la d finition m me du protocole UDP Celui ci ne pr voit pas de m canismes de gestion des erreurs de transmission et l crasante pr sence des trafics TCP noient les trafics UDP dans la masse des paquets TCP Pour pr server ces trafics et en particulier les flux DNS il est recommand de pr voir une r gle de QoS de type priorit PRIQ Elle permettra de diminuer les trop fr quentes pertes de paquets et la latence qu il pourrait y avoir sur ce type de trafic qui demande une r activit importante c est d ailleurs pour cette raison que les requ tes DNS sont r alis es sur UDP D finition de la r gle de QoS pour le DNS Nom Type Priorit Bp Bpmax
241. irmer Confirmez le mot de passe de votre sauvegarde renseign dans le champ pr c dent ou Force du mot de passe Ce champ indique le niveau de s curit de votre mot de passe Tr s Faible Faible Moyen Bon ou Excellent Il est fortement conseill d utiliser des combinaisons de lettres minuscules et majuscules des chiffres ainsi que des caract res sp ciaux Onglet Restaurer Mot de passe Cet cran va permettre de restaurer une sauvegarde pr c demment effectu e Sauvegarde restaurer S lectionnez un fichier de sauvegarde Cliquez sur le bouton droite du champ gt afin d ins rer le fichier de sauvegarde au format na restaurer Restaurer la Cliquez ensuite sur ce bouton afin de proc der la restauration de la configuration partir du configuration du firewall via le fichier s lectionn ci dessus fichier de sauvegarde Vous pouvez tre amen red marrer le firewall selon la sauvegarde restaur e Si un red marrage est n cessaire il est propos de red marrer maintenant ou plus tard Configuration avanc e Mot de passe de la sauvegarde Si vous avez prot g la sauvegarde s lectionn e par un mot de passe au sein de l onglet pr c dent Sauvegarder saisissez le dans ce champ Modules restaurer il est possible d effectuer une restauration totale ou partielle de la configuration de votre firewall a uoneinByU09 8p
242. isateur Une fois l authentification r ussie le login de l utilisateur est associ la machine partir de laquelle celui ci s est identifi et tous les paquets IP qui en proviennent et ce pour une dur e sp cifi e par l utilisateur Le module Authentification se compose d un assistant de configuration disponible en s lectionnant l ic ne suivante et comportant plusieurs tapes variables selon l annuaire que vous y choisirez ll est d coup en 4 onglets G n ral Permet de configurer l acc s au portail captif depuis les diff rentes interfaces ainsi que les diff rentes informations relatives celui ci acc s SSL authentification proxy M thodes disponibles Cet onglet vous propose de choisir une ou plusieurs m thodes d authentification et de les configurer en pr cisant si vous souhaitez les autoriser sur les interfaces internes et externes Interfaces internes Permet d effectuer la gestion des mots de passe des utilisateurs les dur es d authentification autoris es et l enr lement au niveau des interfaces internes Interfaces externes Permet d effectuer la gestion des mots de passe des utilisateurs les dur es d authentification autoris es et l enr lement au niveau des interfaces externes Assistant d authentification Cette partie vous permet de choisir votre m thode d authentification S authentifier sur un annuaire Active Directory m thode Kerberos S authent
243. isateur modifier son mot de passe lui m me il faut vous rendre dans le menu Utilisateurs module Authentification onglet s Interfaces internes ou externes Mot de passe des utilisateurs et cocher l option Les utilisateurs peuvent changer leur mot de passe Id L identifiant de connexion de l utilisateur s lectionn non modifiable Nom Le nom de l utilisateur s lectionn non modifiable uoneinByUo9 8p je uopesyn p anue Pr nom Le pr nom de l utilisateur s lectionn non modifiable Mail Indique l adresse e mail de l utilisateur s lectionn T l phone Le num ro de t l phone de l utilisateur s lectionn Description Description relative l utilisateur s lectionn UTILISATEURS L onglet Certificat Cet onglet vous permet de g rer le certificat x509 de l utilisateur La PKI ne poss dant pas d Autorit de certification pas d faut vous devez en cr er une afin de g rer les certificats des utilisateurs il faut vous rendre dans le menu Objets r seaux onglet Certificats et PKI bouton Ajouter Ajouter une autorit racine Ce certificat peut servir dans deux cas authentification via SSL et acc s en VPN au firewall avec un client mobile IPSEC Ce certificat peut aussi tre utilis par d autres applications L onglet Membres des groupes Il permet d inclure l utilisateur dans un ou plusieurs groupes Cliquez sur le bouton Ajouter une ligne vierge vient s ajout
244. isateurs aura la possibilit de demander la cr ation de son compte en remplissant un formulaire web La demande pourra tre valid e ou refus e par un administrateur Autoriser l enr lement Si cette option est activ e vous pourrez non seulement demander la cr ation web des utilisateurs et de votre compte si vous ne figurez pas dans la base des utilisateurs mais cr er leur certificat aussi demander la cr ation d un certificat Notification d un nouvel enr lement Cette option permet d avertir les nouveaux enr l s de la cr ation de leur compte dans la base utilisateurs Pas d email envoy Par d faut la liste d roulante affiche qu aucun email de sera envoy l administrateur pour le pr venir d une demande d enr lement Vous pouvez en outre d finir un groupe d utilisateurs auquel les demandes d enr lement seront transmises dans le menu Notifications Alertes e mails onglet Destinataires Une fois cr ce groupe sera automatiquement inclus au sein de la liste d roulante et pourra recevoir les requ tes si vous le s lectionnez Association utilisateur adresse IP n p nue a Autoriser plusieurs En cochant cette option il est possible d enregistrer plusieurs logins sur la utilisateurs tre m me adresse IP authentifi s depuis la L adresse r elle des utilisateurs est masqu e par une adresse IP unique voir m me adresse IP Module Politique de S curit Filtrage
245. istant Serveur Ce champ reprend le nom du serveur que vous avez pr alablement rempli la page pr c dente Port Ce champ reprend le port d coute que vous avez pr alablement s lectionn la page pr c dente Domaine racine Le Domaine racine de votre annuaire Base DN Identifiant L identifiant permettant au firewall de se connecter sur votre serveur LDAP Mot de passe Le mot de passe cr sur le firewall pour vous connecter sur le serveur LDAP Connexion s curis e SSL Activer l acc s en SSL Cette option permet d effectuer une v rification de votre certificat num rique g n r par l autorit racine du firewall Les informations sont chiffr es en SSL Cette m thode utilise le port 636 L acc s public au LDAP est prot g avec le protocole SSL note Si cette option n est pas coch e l acc s est non chiffr V rifier que le nom du Le FQDN repr sente le nom complet d un h te dans une URL soit un HOST serveur correspond au comme www et un nom de domaine de type netasq com FQDN pr sent dans le Exemple certificat SSL www netasq com Si cette case est coch e la v rification du certificat du serveur est activ e Le certificat SSL contient un FQDN avec lequel le nom du serveur doit correspondre pour que les donn es soient correctement prot g es Autorit de certification Cette option permet de s lectionner l autorit de certification qui sera compar e au certifi
246. it Taille de cl octets Lorsque vous cr ez une CA vous devez fournir une cl sous forme d un mot de passe afin de permettre le chiffrage du trafic Plus la taille de la cl est grande plus la s curit est importante 4 tailles de cl s en octets vous sont propos es CERTIFICATS ET PKI 1024 Si vous choisissez cette taille de cl le mot de passe g n r pour votre autorit aura une taille de 1024 octets note Ce nombre correspond 1024 caract res visibles au sein de la console de votre poste 1536 Si vous choisissez cette taille de cl le mot de passe g n r pour votre autorit aura une taille de 1536 octets 2048 Si vous choisissez cette taille de cl le mot de passe g n r pour votre autorit aura une taille de 2048 octets 4096 Si vous choisissez cette taille de cl le mot de passe de votre autorit ne devra pas exc der 4096 octets B AVERTISSEMENT Bien que les cl s de grande taille soient plus efficaces il est d conseill d utiliser celle ci avec les quipements d entr e de gamme comme le U30 et ce pour des raisons de temps de g n ration o NOTE Le calcul des cl s de grande taille peut provoquer le ralentissement de votre quipement NETASQ lors de la g n ration Validit jours Ce champ correspond au nombre de jours durant lesquels votre certificat d autorit et par cons quent votre PKI seront valides Cette date influe sur tous les aspects de votr
247. ivalent www netasq com ou de ftp netasq com mais pas www1 netasq com Un masque d URL peut contenir une URL compl te exemple www netasq com ou des mots cl s contenus dans l URL exemple mail Il est aussi possible de filtrer des extensions de fichiers Exemple le masque d URL exe peut servir filtrer les fichiers ex cutables REMARQUE La description de ce champ est valable pour les URL uniquement Les groupes d URL ne sont pas touch s par les restrictions de format N anmoins le nombre de caract res pour un groupe d URL est limit 255 Ko Grille d URL Groupe d URL All Vous pouvez au niveau de la configuration des URL de groupes effectuer les actions suivantes Ajouter une URL Ajoute une URL un groupe S lectionnez d abord le groupe dans lequel vous voulez ajouter une URL dans la colonne de gauche puis cliquez sur ce bouton Supprimer Supprime une URL un groupe S lectionnez d abord le groupe dans lequel vous voulez supprimer une url dans la colonne de gauche puis cliquez sur ce bouton La grille pr sente les l ments indiqu s ci dessous Nom de URL Nom de l url Il peut contenir des wilcard REMARQUE ll existe deux types de groupes d URL des groupes d URL statiques entr s manuellement par l administrateur et des groupes d URL dynamiques Cf Filtrage d URL dynamique ci dessous Le fournisseur demand est le fournisseur des groupes d URL dynami
248. l est toutefois possible de connecter le firewall une base LDAP externe qui se trouve sur une machine distante Le module de Configuration de l annuaire accessible dans le menu Utilisateurs Configuration de l annuaire comporte un assistant de configuration en premi re page vous proposant de choisir votre annuaire et de l initialiser Connexion un annuaire Microsoft Active Directory Connexion un annuaire LDAP externe Cr ation d un LDAP interne En fonction de votre choix l tape suivante est variable la configuration d un LDAP externe r clamant plus de renseignements Chacune des configurations de ces annuaires comporte 3 tapes s lectionnez la base LDAP choisie en cochant la case correspondante Cr ation d un LDAP interne Ce type d annuaire est h berg par votre firewall multifonctions NETASQ vos informations y seront stock es une fois l annuaire LDAP construit Etape 1 Choix de l annuaire Comme pr cis ci dessus il faut cocher la base LDAP choisie pour valider votre choix Ceci est la premi re tape de la configuration d un annuaire Cochez la case Cr ation d un LDAP interne et cliquez sur Suivant uoneinByU09 8p 43 UOHESIINP anue a CONFIGURATION DE L ANNUAIRE LDAP Etape 2 Acc s l annuaire Lors de cette seconde tape vous devez renseigner les informations g n rales concernant la base LDAP que vous d sirez cr er Les informations saisies se retrouveront dan
249. l ou de favoriser le trafic sur un firewall sp cifique Si l actif tombe en panne ou si un c ble se fait d brancher l autre passera actif Automatique Si vous choisissez cette option aucune priorit n est affect e Ce firewall lt son En choisissant cette option vous positionnerez ce firewall comme actif et le num ro de s rie gt second le relayera si celui tombe en panne ou est d branch L autre firewall En choisissant cette option vous positionnerez ce firewall comme actif et le distant lt son num ro second le relayera si celui tombe en panne ou est d branch de s rie gt 0 AVERTISSEMENT Le choix de cette option va provoquer un swap imm diat ou basculement de ce firewall en tant que firewall actif entra nant une d connexion de l interface d administration A partir de la version 9 0 1 Une option a t ajout e pour acc l rer la prise en compte de la bascule d un cluster en mode bridge par les quipements environnants Si l option est active les interfaces du bridge sont r initialis es au moment de la bascule pour forcer les commutateurs connect s au firewall renouveler leur table ARP HAUTE DISPONIBILIT Communication entre les firewalls du groupe de haute disponibilit Chiffrer la Par d faut les communications entre les firewalls ne sont pas chiffr es communication entre partant du principe que le lien utilis par la HA est un lien d di les firewalls Dans certaines ar
250. la plage de ports s lectionn s Port Num ro du port associ au service s lectionn Plage de port En cochant cette case vous attribuerez une plage de port au service s lectionn et d grisez la case du dessous Fin de la plage Si la case pr c dente est coch e ce champ est d gris et la fin de la plage correspond au chiffre ou au nombre suivant du port s lectionn uoneinByuo9 8p 43 UOHESIINP NUE Exemple Si vous choisissez l objet cmd figurant sur le port 514 la fin de plage sera not e 515 TCP UDP Choisissez le protocole IP utilis par votre service TCP Transmission Control Protocol Protocole de transport fonctionnant en mode connect et compos de trois phases l tablissement de la connexion le transfert des donn es la fin de la connexion UDP User Datagram Protocol Ce protocole permet de transmettre les donn es de mani re simple entre deux entit s chacune tant d finie par une adresse IP et un num ro de port Tout protocole N importe quel protocole IP pourra tre utilis par le service s lectionn TCP UDP ou autre a D uoneanyuoo 8p je UOHESIINP anue Protocole IP OBJETS RESEAUX Nom de l objet Nom du protocole IP s lectionn Ce champ est gris et non modifiable Commentaire Description associ e au protocole IP s lectionn Num ro du protocole Nombre ou chiffre associ au protocole IP s lectionn
251. le de votre active sur la partition de syst me sur la partition de back up afin d en conserver une trace sauvegarde avant de En effet Le boitier va red marrer et mettre la version du firewall jour mettre jour le Firewall Mettre jour le firewall Appliquez la mise jour s lectionn e sur votre boitier en cliquant sur ce bouton a Configuration avanc e ov 5 ER a r E Action a A T l charger le firmware Cette option va permettre d envoyer le fichier de mise jour maj et S et l activer d activer celui ci a es a T l charger le nouveau Cette option permet d envoyer le fichier de mise jour sans l activer Il est S firmware ensuite possible de l activer via l option ci dessous Activer le firmware s pr c demment t l charg a Activer le firmware Si un fichier se trouve sur le firewall cette option permettra de l activer g pr c demment 6 NOTE g t l charg Si un fichier est pr sent la version indiqu e est pr sente dans le champ Mise jour pr sente sur le firewall Version actuelle du syst me Ce champ affiche la version logicielle actuelle de votre produit Mise jour pr sente sur le firewall Ce champ affiche la mise jour que vous avez s lectionn e pr alablement en haut de cet cran a uoneinByUo9 8p 43 UOHESIINP anue MESSAGES DE BLOCAGE L cran de configuration du module Messages de blocage est
252. les de QoS seront g r s sur le r seau Les m canismes de r servation et de limitation de la bande passante de ce type de files d attente permettent dans le premier cas la garantie d un service minimum et dans le deuxi me cas la pr servation de la bande passante vis vis d applications co teuses en ressources Ajout d une file d attente par classe d application ou d affectation Pour ajouter une file d attente par classe d application ou d affectation cliquez sur le bouton Ajouter une file d attente puis s lectionnez R servation ou limitation de bande passante CBQ Une ligne est ajout e la grille dans laquelle vous pouvez effectuer vos modifications v Modification d une file d attente par classe d application ou d affectation _ Nom Nom de la file d attente configurer Type Type de file d attente parmi CBQ PRIQ ou MONQ Priorit Permet de choisir le niveau de priorit du trafic affect la queue Les cellules de cette colonne ne sont ditables que pour les queues de type PRIQ Il est possible de s lectionner une valeur allant de 7 priorit la plus faible 1 priorit la plus haute Bp min Agissant comme une garantie de service cette option permet la garantie d un d bit donn et d un d lai maximal de transfert Configur e en Kbits s ou en pourcentage de la valeur de r f rence cette valeur est partag e entre tous les trafics affect s par la r gle de QoS Ainsi si les trafics HTTP et FTP
253. let Configuration g n rale 53 Configuration g n rale 53 Configuration du temps 53 Liste des serveurs NTP 54 L onglet Administration du Firewall 54 Acc s l interface d administration du Firewall 54 Acc s aux pages d administration du Firewall 55 Acc s distant par SSH 55 L onglet Param tres r seaux 56 Serveur proxy 56 Limites 56 R solution DNS 56 CONFIGURATION DE L ANNUAIRE LDAP 57 Cr ation d un LDAP interne 57 Etape 1 Choix de l annuaire 57 Etape 2 Acc s l annuaire 58 Etape 3 Authentification 58 Ecran de l annuaire LDAP interne 59 Connexion un annuaire LDAP externe 60 Etape 1 Choix de l annuaire 60 Etape 2 Acc s l annuaire 61 Etape 3 Authentification 61 Ecran de l annuaire LDAP externe 62 Onglet Structure 63 Connexion un annuaire Microsoft Active Directory 65 Etape 1 Choix de l annuaire 65 Etape 2 Acc s l annuaire 65 Etape 3 Authentification 65 Ecran de l annuaire Microsoft Active Directory 66 CONSOLE CLI 69 La liste des commandes 69 La zone de saisie 70 MANUEL D UTILISATION ET DE CONFIGURATION DHCP 71 L onglet G n ral Tt L onglet Param tres du serveur 71 Configuration avanc e 72 L onglet Plage d adresses 73 L onglet Machine 73 L onglet Param tres du relai 74 Interfaces d coute du service DHCP relai 74 DNS DYNAMIQUE 75 Liste des profils DNS dynamique 75 Configuration d un profil 75
254. leur maximale du datagramme IP comprise entre 140 et 65535 octets Fragmentation Taille minimum d un fragment octets Le fragment doit tre compris entre 140 et 65535 octets Expiration d une session en secondes Cela doit tre compris entre 2 et 30 secondes i NOTE Le protocole IP ne dispose pas de profil uoneinByUo9 8p 43 UOHESIINP anue PROTOCOLES ET APPLICATIONS ICMP Onglet IPS Param tres de session en secondes Expiration d une session Cette valeur doit tre comprise entre 2 et 60 secondes Support Ignorer les notifications En cochant cette option vous ne prendrez pas en compte les messages ICMP suivi d tat TCP UDP d erreur pouvant intervenir au sein des protocoles comme l inaccessibilit d un service ou d un h te par exemple DNS L cran des profils Onglet IPS D tecter et inspecter Si le protocole est activ il est automatiquement utilis la d couverte automatiquement le d un paquet correspondant dans les r gles de filtrage Cette option n est protocole pas disponible pour les protocoles IP ICMP TCPUDP RTP RTCP MSN YMSG Taille maximale des champs DNS en octets Nom DNS requ te Ce champ doit tre compris entre 10 et 2048 octets Liste blanche de domaines DNS DNS rebinding Cette liste contient les noms de domaines autoris s de type lt www dedomaine fr gt par exe
255. lez vous r f rer au module DNS dynamique pour plus d informations sur la configuration du client DNS dynamique Ce champ permet donc de sp cifier au firewall que la configuration du bridge adresse IP et masque est d finie par DHCP Dans ce cas la zone DHCP de l onglet Configuration avanc e est active IP fixe statique En cochant cette option l interface a un adressage statique Il faut dans ce cas indiquer son adresse IP et le masque de r seau du sous r seau auquel appartient l interface Cliquez sur Suivant INTERFACES Identification du VLAN entrant Nom obligatoire Nom unique pour votre VLAN Ce champ est pr rempli en fonction du nom indiqu dans le champ Nom de l tape 3 suffix par 1 Interface obligatoire S lectionnez l interface sur laquelle sera attach le VLAN Ce VLAN est Si vous s lectionnez interne prot g e vous indiquez le caract re priv de l interface Les adresses des interfaces internes ne sont pas utilisables en tant que destination pour les paquets en provenance des interfaces non prot g es hormis si ceux ci viennent d tre translat s note On notera que interne prot g e implique forc ment d tre sur une interface prot g e Les options interne prot g e et externe publique sont donc incompatibles Si vous s lectionnez l option externe publique VOUS indiquez que cette partie du r seau est reli e Int
256. lis pour le serveur de rechange uoneinByU09 8p 43 UOHESIINP NUE s AUTHENTIFICATION Authentification transparente SPNEGO La m thode SPNEGO permet le fonctionnement du Single Sign On pour l authentification Web avec un serveur d authentification externe Kerberos Cela signifie qu un utilisateur se connectant son domaine par une solution bas e sur un serveur Kerberos serait automatiquement authentifi sur un firewall NETASQ dans le cas d un acc s l Internet n cessitant une authentification dans la politique de filtrage sur le firewall gr ce un navigateur Web Internet Explorer Firefox Mozilla La configuration de SPNEGO sur le firewall est r alis e gr ce aux options expliqu es dans le tableau suivant Nom du service Il est recommand d indiquer le num ro de s rie du firewall plut t que son nom pour l identifier Ce nom correspond au nom indiqu dans le script NETASQ livr avec le mat riel d installation Le num ro de s rie sera pr c d de la mention HTTP Exemple HTTP U70XXAZ0899020 o Nom de Nom de domaine du serveur Kerberos Il correspond au nom complet du domaine domaine Active Directory et doit tre crit en majuscules KEYTAB Ce champ repr sente le secret partag g n r lors de l utilisation du script sur l Active Directory Ce secret doit tre fourni au firewall afin qu il puisse communiquer avec l Active Directory Vous devez ex cuter le script de g n ration de
257. ll Entre le proxy et le serveur Lorsque le proxy a termin l analyse de la requ te cliente il la transf re au serveur FTP Ce dernier interpr te le proxy comme le client FTP puisque le proxy a un r le interm diaire il est transparent Les modes de transfert autoris s sont les m mes que pour l option pr c dente A uoneanyuoo 8p 43 uopesyn p anue PROTOCOLES ET APPLICATIONS Onglet Commandes Proxy Commandes principales Bouton Modifier les commandes d criture Ce bouton permet de passer sans analyser bloquer ou analyser la syntaxe et v rifier que la commande est conforme aux RFC en vigueur ceci pour les commandes d criture Bouton Modifier toutes les commandes Ce bouton permet de passer sans analyser bloquer ou analyser la syntaxe et v rifier que la commande est conforme aux RFC en vigueur ceci aussi bien pour les commandes g n riques que les commandes de modification Commande Nom de la commande Action 3 autorisations possibles entre Passer sans analyser Analyser et Bloquer Type de Indication du type de commande Les commandes FTP dites d criture d finies commande dans les RFC sont des commandes pouvant entra ner des modifications au niveau du serveur comme par exemple la suppression de donn es ou encore la cr ation de r pertoires Le fonctionnement de ces commandes est identique aux commandes dites g n riques en effet vous pouvez
258. ll est la bonne date Les dates d expirations sont calcul es selon la date indiqu e ici Derni re v rification d une mise jour de licence effectu e le derni re date laquelle une demande de recherche de licence a t faite manuellement ou automatiquement Le firewall NETASQ est livr par d faut avec l ensemble de ses fonctionnalit s Cependant certaines fonctionnalit s filtrage URL Haute Disponibilit sont optionnelles et ne sont pas activ es D autres part certaines options comme la mise jour sont limit es dans le temps Si la date d expiration est d pass e certaines options sont d sactiv es sur le firewall LICENCE Les informations importantes sur la licence L cran de configuration de la licence vous donne la version de votre firewall des informations sur le mat riel et les diff rentes options avec leur date d expiration s il y en a une Des ic nes et des couleurs vous indiquent si une option est proche de l expiration ou expir e Installation partir d un fichier Ici vous pouvez installer votre premi re licence si vous n avez pas d acc s Internet o si vous souhaitez g rer les licences vous m me Si vous choisissez d utiliser de nouvelles fonctionnalit s ou renouveler certaines options veuillez contacter votre revendeur Un nouveau fichier chiffr sera alors disponible dans votre espace priv sur le site Web de NETASQ Fichier de licence Ce champ vous permet d ins r
259. ls ainsi que les interventions effectu es se font sous sa surveillance 7 Une fois votre administrateur import il apparait dans la liste Utilisateur groupe d utilisateur z gauche de l cran 2 Vous pouvez effectuer diverses actions sur celui ci ER a s Supprimer S lectionnez l administrateur retirer de la liste et cliquez sur Supp g Monter Placer l administrateur au dessus du pr c dent dans la liste S Descendre Placer l administrateur au dessous du suivant dans la liste 4 rar z p pe Copier les droits S lectionnez l administrateur dont vous souhaitez copier les droits et cliquez 3 sur ce bouton aa i s Coller les droits S lectionnez l administrateur auquel vous souhaitez attribuer les m mes droits que celui que vous venez de copiez et cliquez sur ce bouton D Donner tous les droits Quelques soient les droits attribu s l administrateur s lectionn en cliquant g sur ce bouton La grille des droits Votre interface est en vue simple par d faut La grille affiche 5 colonnes repr sentant les 5 cat gories de droits auquel un administrateur est affili ou non Syst me R seau Utilisateurs Firewall et Supervision uoneinByU09 ap 43 UOHESIINP anue e MINISTRATEURS Les ic nes de la grille ont la signification suivante v L ensemble des droits sont attribu s x L ensemble des droits ne sont pas accord s y a Une partie
260. luster ou groupe de firewalls Une fois ceci fait un autre firewall pourra rejoindre celui que vous venez d initialiser La Haute Disponibilit NETASQ fonctionne sur le mode Actif passif un cluster contenant 2 firewalls si celui consid r comme actif tombe ou qu un c ble est d branch le second firewall consid r comme passif prend le relai de mani re transparente Ainsi le firewall passif devient actif La configuration de la Haute Disponibilit se d roule en 4 tapes Etape 1 Cr er un groupe de firewalls cluster rejoindre un groupe de firewalls cluster existant Etape 2 Configuration des interfaces r seaux le lien principal et le lien secondaire facultatif Etape 3 D finition de la cl pr partag e du cluster Etape 4 R sum des tapes et application des param tres configur s Une fois ces 4 tapes termin es un nouvel cran s affichera vous proposant d effectuer de nouvelles configurations au sein de la HA Etape 1 Cr er ou rejoindre un cluster en Haute Disponibilit Cr er un groupe de firewalls cluster firewalls et s ajoute lui m me au cluster Rejoindre un Lorsque vous cochez cette option le boitier va tenter de se connecter celui groupe de firewalls renseign par l adresse IP d finie lors de la cr ation du cluster Ainsi ce second cluster firewall va r cup rer les infos du premier et se synchroniser lui
261. mbler les URL par cat gorie en cr ant des groupes exemples shopping pornography videogames Chacun de ces groupes r unit un certain nombre d URL de sites web qui pourront tre bloqu es ou autoris es en fonction de l action souhait e Nom de certificat CN Permet de reconna tre les certificats attribu s aux sites web s curis s fonctionnant avec le filtrage SSL ainsi que de les rassembler par cat gorie en cr ant des groupes Base d URL Suivant le type de service de maintenance souscrit les listes d URL disponibles sont mises jour par des fournisseurs diff rents parmi NETASQ ou OPTENET Les listes d URL NETASQ sont propos es par d faut lorsque le type de service de maintenance souscrit est standard Onglet URL Il donne une vue d ensemble des URL class es par cat gorie et par groupe Pour un groupe donn par exemple banks dans lequel seront rassembl es des URL des banques les plus consult es il sera possible de cr er une r gle au sein du Filtrage URL Politique de S curit Filtrage URL pour en interdire l acc s Ainsi lorsque vous tenterez de vous connecter au site web de votre banque une page de blocage s affichera avec un message d erreur Voir le module Notifications Messages de blocage onglet Page de blocage HTTP Grille de groupe d URL L cran de groupe d URL se d compose en 2 parties une premi re partie pour les groupes d URL
262. mer de la barre d outils Le message Voulez vous r ellement supprimer cette interface s affiche Confirmez ou non votre suppression Si vous confirmez la suppression une v rification est faite check pour voir si l interface est utilis e note La suppression d un bridge d sactive les interfaces qu il contenait ainsi que le passage de celles ci vers une configuration en DHCP Modification d une interface Ethernet en mode Bridge uoneinByUo9 8p 43 UOHESIINP anue Une interface appartenant un bridge est repr sent e sous forme de n ud fils par rapport au bridge Un bridge peut donc contenir plusieurs n uds fils Vous pouvez modifier les param tres de chaque interface appartenant ou non au bridge Pour cela s lectionnez une interface situ e sous un bridge en en dehors du bridge dans la partie gauche de la fen tre Deux onglets s affichent note Il n est pas possible d ajouter ou de supprimer des interfaces Ethernet INTERFACES Onglet Configuration de l interface Nom obligatoire Nom associ l interface du bridge Ce nom doit tre unique et contenir 16 caract res au maximum Le nom de l interface du bridge ne peut contenir certaines appellations Commentaire Permet de donner un commentaire pour l interface Port physique Nom du port physique exemple in port 2 VLAN s attach s Liste des VLANSs attach s l interface s lectionn e l interface A part
263. met de vider le champ utilisateur et de ne plus y appliquer de crit re pour la r gle Any user d signe tout utilisateur authentifi Unknown users d signe tout utilisateur inconnu ou non authentifi Machines La r gle s appliquera l objet que vous s lectionnerez dans ce champ La machine sources la machine d o provient le paquet trait elle est l metteur du paquet NOTE Plusieurs objets peuvent tre sp cifi s en m me temps Interface Interface sur laquelle s applique la r gle de translation pr sent e sous forme de liste d entr e d roulante Par d faut le firewall la s lectionne automatiquement en fonction de l op ration et des adresses IP source et destination Il est possible de la modifier pour appliquer la r gle sur une autre interface Cliquer sur Ok pour valider votre configuration uoneinByUo9 8p 43 UOHESIINP anue s FILTRAGE ET NAT Onglet Configuration avanc e Configuration avanc e Port source Ce champ permet de pr ciser le port source utilis par la machine source Par d faut le mode Stateful m morise le port source utilis et seul celui ci est autoris pour les paquets retour DSCP source Ce champ d signe le code DSCP source du paquet re u Cliquer sur Ok pour valider votre configuration Il faut ensuite d finir l interface de sortie du trafic Destination du trafic avant translation Onglet G n ral G n ral Ma
264. mettra l heure de votre machine uoneinByU09 8p 43 UOHESIINP NUE a votre machine Ce champ est gris si la configuration NTP est activ e Fuseau horaire Fuseau horaire d fini pour le firewall GMT par d faut O0 AVERTISSEMENT Un changement de fuseau horaire entra ne un red marrage du firewall Maintenir le firewall Le Protocole d Heure R seau Network Time Protocol ou NTP est un protocole l heure NTP qui permet de synchroniser l horloge locale de vos machines sur une r f rence d heure via votre r seau En cochant cette option votre firewall sera automatiquement synchronis l heure locale CONFIGURATION REMARQUE La date et l heure auxquelles votre firewall NETASQ est r gl sont importantes elles vous permettent de situer dans le temps un v nement enregistr dans les fichiers de log Elles servent galement la programmation horaire des configurations Liste des serveurs NTP Ce tableau n est accessible que si vous avez coch l option Maintenir le firewall l heure NTP Si vous n avez pas effectu s NT P Serveurs NTP Le serveur NTP repr sente l horloge distante sur laquelle on va choisir de machine ou synchroniser son firewall groupe plages Vous pouvez en Ajouter ou en Supprimer en cliquant sur les boutons d adresses 15 correspondants max Lorsque vous cliquez sur Ajouter une ligne vierge vient s ajouter la liste des serveurs NTP Vous pouvez choisir un obje
265. mple tre r solus par un serveur se trouvant sur une interface non prot g e Vous pouvez en ajouter en cliquant sur le bouton appropri ou le retirer de la liste en le s lectionnant et en cliquant sur Supprimer Support D sactiver la pr vention En cochant cette option l action passer sera automatiquement d intrusion d clench e au sein du filtrage URL L cran de la configuration globale DNS liste des ports UDP par d faut Cette liste contient les ports UDP autoris s par d faut Vous pouvez en ajouter en cliquant sur le bouton appropri ou le retirer de la liste en le s lectionnant et en cliquant sur Supprimer PROTOCOLES ET APPLICATIONS Yahoo Messenger YMSG L cran des profils Onglet IPS D tecter et inspecter Si le protocole est activ il est automatiquement utilis la d couverte automatiquement le d un paquet correspondant dans les r gles de filtrage Cette option n est protocole pas disponible pour les protocoles IP ICMP TCPUDP RTP RTCP MSN YMSG Support D sactiver la pr vention En cochant cette option l action passer sera automatiquement d intrusion d clench e au sein du filtrage URL Tracer chaque requ te Active ou d sactive la remont e des logs relatifs au protocole Yahoo Yahoo Messenger Messenger L cran de la configuration globale YMSG liste des ports TCP par d faut Cette liste contient les por
266. n Pour cela il faut que l e mail sp cifi lors de la cr ation du certificat utilisateur dans l assistant soit identique celui utilis dans la fiche utilisateur de la base utilisateurs du firewall Mot de passe du Le container PKCS 12 est un format de certificat Il contient la cl priv e et le container PKCS 12 certificat utilisateur ainsi que le certificat de l autorit de certification publi 8 car min Renseignez lui un mot de passe afin de prot ger les informations des 3 l ments cit s ci dessus Confirmez le mot de Retapez une seconde fois votre mot de passe dans ce champ afin de le passe confirmer Force du mot de passe Ce champ indique le niveau de s curit de votre mot de passe Tr s Faible Faible Moyen Bon ou Excellent Il est fortement conseill d utiliser les majuscules et les caract res sp ciaux Cliquez sur Suivant Les crans qui suivent reprennent les informations de l autorit parente s lectionn au pr alable ainsi qu un r sum des donn es du certificat utilisateur Cliquez sur Terminer En cliquant sur le certificat concern ses informations d taill es s afficheront droite de l cran en 1 unique onglet Onglet D tails 4 fen tres y reprennent les donn es concernant la Validit de l autorit son destinataire Emis pour son Emetteur et ses Empreintes informations sur le produit et sa
267. n d sactiv e d sactivant une interface on la rend inutilisable En terme d utilisation cela peut correspondre une interface que l on a pr vu de d ployer dans un futur proche ou loign mais qui n est pas en activit Une interface d sactiv e car non utilis e est une mesure de s curit suppl mentaire contre les intrusions IP dynamique Lorsque votre firewall ne poss de pas d adresse IP statique son adresse IP est Sie par renouvel e r guli rement par votre fournisseur d acc s DHCP etc il est possible d associer via un fournisseur de services DNS dyndns org par exemple l adresse IP allou e et un nom de domaine qui lui est fixe afin de pouvoir contacter ce firewall sans pour autant conna tre son adresse IP Cette option vous permet d activer cette fonctionnalit en s lectionnant un compte DNS dynamique que vous avez pr alablement configur Pour plus d informations au sujet du client DNS dynamique veuillez vous r f rer au module DNS dynamique Ce champ permet donc de sp cifier au firewall que la configuration du bridge adresse IP et masque est d finie par DHCP Dans ce cas la zone DHCP de l onglet Configuration avanc e est active Plan d adressage Si l interface fait partie d un bridge dans ce cas il est possible de r cup rer le h rit du Bridge plan d adressage du bridge La zone est gris e si l interface n appartient pas un bridge IP fixe statique En cochant cette option
268. n globale Machine avec la mention inactif si le mode Relai est s lectionn dans l onglet G n ral Par machine l adresse allou e par le service est toujours la m me celle indiqu e dans le menu Machine Il s agit en r alit d un adressage statique mais qui permet de lib rer le poste client de sa configuration r seau Param tres du relai avec la mention inactif si le mode Relai n a pas t s lectionn dans l onglet G n ral L onglet G n ral Activer le service Active ou d sactive les champs en mode Serveur ou en mode Relai Serveur DHCP Envoie diff rentes configurations serveurs aux clients DHCP Ces serveurs seront utilis s seulement si le logiciel client DHCP le r clame En cochant cette option l onglet Param tres du relai passe en mode inactif Relai DHCP Le relai DHCP est utiliser lorsque l on souhaite rediriger les requ tes clientes vers un serveur DHCP externe En cochant cette option les onglets Param tres du serveur Plage d adresses et Machine passent en mode Inactif L onglet Param tres du serveur Il est possible ici de configurer des param tres globaux comme le nom de domaine que les machines vont utiliser les serveurs DNS etc Nom de domaine Nom de domaine utilis pour la d finition des utilisateurs Passerelle par La passerelle par d faut est la route par d faut utilis e si aucune
269. n n envoie pas Bas la fr quence d envoi des paquets DPD est faible et le nombre d checs tol r s est lev Haut la fr quence d envoi des paquets DPD est lev e et le nombre d checs est relativement bas L onglet Identification Autorit s de certification accept es Ce tableau va permettre de lister les autorit s pour identifier vos correspondants au sein du module VPN IPSec Ajouter Lorsque vous cliquez sur ce bouton une fen tre regroupant les CA et sous CA que vous avez cr au pr alable appara t S lectionnez les autorit s qui permettront de v rifier les identit s de vos correspondants en cliquant sur Select La CA ou sous CA choisie vient s ajouter au tableau Supprimer S lectionnez la CA retirer de la liste et cliquez sur Supprimer CA En dessous de ce champ figurent les autorit s de certification ajout es et accept es Tunnels nomades cl s pr partag es Si vous avez pr alablement cr un correspondant nomade ayant pour m thode d authentification la Cl pr partag e PSK ce tableau sera d j pr rempli Vous aviez d diter une cl en lui d finissant un ID et une valeur en caract res hexad cimaux ou ASCII Rechercher Bien que le tableau affiche toutes vos cl s pr partag es de tunnels nomades par d faut vous pouvez effectuez une recherche par occurrence lettre ou mot de mani re ce que seules les cl s souhait es s affichent l
270. nant du serveur de sp cifiques Microsoft mails Microsoft Exchange Server Exchange Server Filtrer la demande de Permet de filtrer les donn es contenues dans la demande de notification notification de sens de de sens de connexion du client vers le serveur ou du serveur vers le connexion ATRN et ETRN Client Lors d une communication SMTP l utilisation des commandes ATRN et ETRN permet d changer les r les client serveur Taille maximale des l ments Ko La mise en place d une taille maximale pour les l ments en Ko permet de lutter contre les attaques par d bordement de tampon buffer overflow En t te du message Nombre maximum de caract res que peut contenir l en t te d un e mail 64 4096 adresse mail de l exp diteur date type de codage utilis etc Ligne de r ponse serveur Nombre maximum de caract res que peut contenir la ligne de r ponse du 64 4096 serveur SMTP Donn es Exchange Taille maximale des donn es lors d un transfert de fichier au format XEXCH50 MBDEF Message Database Encoding Format 102400 1073741824 En t te de l extension Taille maximale des donn es transmises via la commande BDAT BDAT y uoneinByU09 8p 43 UOHESIINP NUE 102400 10485760 Ligne de commande 64 4096 PROTOCOLES ET APPLICATIONS Taille maximale des donn es que peut contenir une ligne de commande en dehors de la commande DATA Support D sactiver la pr
271. nation objet Les param tres de la configuration des v nements de type SNMP V3 sont les suivants Port Port utilis pour envoyer les donn es la machine snmptrap par d faut Nom d utilisateur Nom de l utilisateur autoris envoyer un trap sur la station de gestion securityName Identifiant enginelD Cha ne en hexad cimal cr e par la station de gestion pour identifier l utilisateur de mani re unique de type 0x0011223344 Le moteur ID doit tre compos au minimum de 5 octets et au maximum de 32 octets Niveau de s curit Diff rents niveaux de s curit sont disponibles pour la version du protocole SNMP Aucun aucune s curit Les parties Security Level authentification et Security level Chiffrement sont gris s Authentification pas de chiffrement authentification sans chiffrement des traps Authentification et chiffrement si le mot de passe chiffrement reste vide on utilise le mot de passe authentification pour le chiffrement N Param tres d authentification Mot de passe Mot de passe de l utilisateur Algorithme Deux types d authentification sont disponibles le MD5 algorithme de hachage qui calcule un condens de 128 bits et le SHA1 algorithme de hachage qui calcule un condens de 160 bits Par d faut l authentification se fait en MD5 uoneinByU09 8p 43 UOHESIINP NUE AGENT SNMP Param tres de chiffrement Les paquets SNMP
272. nce des modules de gauche CONFIGURATION L cran de configuration administration se compose de 3 onglets Configuration g n rale d finition des caract ristiques du firewall nom langue clavier des param tres de date et d heure ainsi que des serveurs NTP Administration du Firewall configuration des acc s l interface d administration du firewall port d coute SSH etc Param tres r seaux configuration du serveur proxy des limites VLAN et de la r solution DNS L onglet Configuration g n rale L onglet Configuration g n rale permet la modification des param tres suivants Configuration g n rale Nom du firewall Ce nom est utilis dans les mails d alarmes envoy s l administrateur et est affich sur la fen tre principale du firewall Ce nom peut tre quelconque Langue du Firewall Choix de la langue du boitier limit Fran ais et Anglais traces Ceci est utilis pour les traces de types log syslog et la configuration CLI Clavier console Type de clavier support par le firewall 5 langues sont disponibles Anglais Fran ais Italien Polonais Suisse Configuration du temps Date Date du firewall Choisissez la date sur le calendrier Ce champ est gris si la configuration NTP est activ e Heure Heure du firewall Ce champ est gris si la configuration NTP est activ e Synchroniser avec En cliquant sur ce bouton le firewall se
273. nctionnalit s de gestion des utilisateurs d velopp es par Microsoft et utilisant le syst me d exploitation Windows Etape 1 Choix de l annuaire S lectionnez l annuaire correspondant votre choix Ceci est la premi re tape de la configuration de cet annuaire Cochez la case Connexion un annuaire Microsoft Active Directory et cliquez sur Suivant Etape 2 Acc s l annuaire Serveur Vous devez choisir un objet correspondant votre serveur LDAP au sein de la liste d roulante Cet objet doit tre cr au pr alable et r f rencer l adresse IP de votre serveur LDAP Port Vous devez renseigner le port d coute de votre serveur LDAP Le port par d faut est 389 Domaine racine Base DN Vous devez renseigner le Domaine racine DN de votre annuaire Le DN repr sente le nom d une entr e sous la forme d un chemin d acc s celle ci depuis le sommet de l arborescence Exemple de DN o NETASQ dc COM Identifiant Un compte administrateur permettant au firewall de se connecter sur votre serveur LDAP et d effectuer des modifications droits en lecture et criture sur certains champs Nous vous recommandons de cr er un compte sp cifique pour le firewall et de lui attribuer les droits uniquement sur les champs qui lui sont n cessaires Exemple cn identifiant Mot de passe Cliquez sur Suivant Le mot de passe associ l identifiant pour vous connecter sur le serveur LDAP
274. ndaire pour votre cluster W uoneinByUo9 8p 43 UOHESINP anue HAUTE DISPONIBILITE Lien secondaire Interface secondaire utilis e pour relier les deux firewalls constituant le cluster S lectionnez parmi les objets figurant au sein de la liste d roulante 1 AVERTISSEMENT Il est conseill d utiliser un lien secondaire lorsque l on souhaite changer l interface utilis e en tant que lien principal En effet le changement de lien peut provoquer une coupure de la communication entre les membres du cluster pouvant r sulter en un cluster non fonctionnel Configuration avanc e Modifier la cl pr partag e entre les firewalls du groupe de haute disponibilit Nouvelle cl pr Ce champ permet de modifier la cl pr partag e ou le mot de passe d fini lors partag e de la cr ation du cluster Confirmer Confirmation du mot de passe cl pr partag e que vous venez de renseigner dans le champ pr c dent Force du mot de passe Ce champ indique le niveau de s curit de votre mot de passe Tr s Faible Faible Moyen Bon ou Excellent Il est fortement conseill d utiliser les majuscules et les caract res sp ciaux Indicateur de qualit Firewall actif en cas d galit Cette option permet de favoriser un firewall comme actif lorsque les 2 ont le m me niveau de qualit Le but de privil gier un firewall actif est de conserver au maximum les logs sur le m me firewal
275. ndique si l utilisateur a effectu une requ te de certificat au cours de sa demande d enr lement i NOTE Pour le cas des demandes de certificats seul le d tail de l adresse e mail s affiche dans le champ de droite Propri t s avanc es Activer automatiquement les requ tes de certificats Cette option vous permet la validation automatique des requ tes de certificats Lorsque l administrateur valide la requ te de cr ation de compte utilisateur l application validera automatiquement la cr ation du certificat associ cet utilisateur Format de l identifiant utilisateur pour les ID vides Format de D finissez une cha ne de caract res par d faut pour les identifiants de connexion Pidentifiant Exemple AF Exemple Exemple illustrant l identifiant utilisateur Exemple JEAN DUPONT o NOTE ll est possible de d finir le nombre de caract re souhait pour le pr nom et ou le nom en pla ant un chiffre apr s le F et ou L F1 L JDUPONT uoneinByU09 8p 43 UOHESIINP anue 8 E mails Envoyer un e mail l utilisateur lors de l approbation rejet de sa requ te d enr lement Cette option permet l envoi d un e mail l utilisateur pour l informer de la validation ou du rejet de sa demande d enr lement lors de l approbation rejet de sa requ te de certificat Cette option permet l envoi d un e mail l utilisateur pour l informer de la validation ou du rejet de sa demande de certific
276. nes depuis les interfaces externes ou depuis les deux types d interfaces Autoriser les utilisateurs s authentifier Depuis les r seaux Si cette option est coch e l identification est rendue possible depuis les internes interfaces interfaces prot g es l int rieur de l entreprise mat rialis es par l ic ne p prot g es Depuis les r seaux ll est possible de s identifier sur les firewalls depuis les interfaces non publics interfaces prot g es externes n cessaire Vous pouvez par exemple vous connecter sur un firewall depuis votre pour le VPN SSL domicile en passant par le VPN SSL Voir module VPN VPN SSL Depuis les r seaux En cochant cette case l authentification sera possible depuis n importe quelle internes et publics interface Etape 2 M thodes d authentification Si vous choisissez de vous authentifier sur un annuaire Active Directory cochez la case correspondante et cliquez sur Suivant Etape 3 M thode Kerberos Acc s au serveur Active Directory m thode Kerberos Nom de domaine Nom de domaine attribu au serveur Active Directory pour la m thode Kerberos d authentification Kerberos Serveur Vous devez choisir un objet correspondant votre serveur Active Directory au sein de la liste d roulante affich e o REMARQUE Vous allez sauter l Etape 4 de la configuration relatives la Gestion des mots de passe car la m thode d authentification Ke
277. nier est activ Autoriser l acc s mutuel entre les membres d un groupe de firewalls cluster H A cela permet aux diff rents membres du cluster HA de communiquer entre eux Autoriser l acc s au serveur PPTP les utilisateurs peuvent contacter le firewall via le protocole PPTP pour acc der au serveur s il est activ Autoriser l acc s au serveur d administration port 1300 du firewall pour les interfaces prot g es Serverd les administrateurs pourront se connecter via les r seaux internes sur le port 1300 du firewall Ce service est utilis notamment par le NETASQ Real Time Monitor REGLES IMPLICITES Autorise l acc s au port ssh du Firewall pour les interfaces prot g es permet d ouvrir l acc s au firewall par SSH afin de pouvoir se connecter dessus en lignes de commande partir d une machine situ e sur les r seaux internes Autoriser ISAKMP port 500 UDP et le protocole ESP pour les correspondants VPN IPSec Les correspondants VPN IPSec pourront contacter le firewall via ces deux protocoles permettant de s curiser les donn es circulant sur le trafic IP Autoriser l acc s au serveur d administration port 443 du Firewall pour les interfaces prot g es WebAdmin les administrateurs pourront se connecter via les r seaux internes sur le port 443 utilis par l interface d administration web note Cette r gle autorise l acc s au portail captif et donc l interface d adminis
278. nt CERTIFICATS ET PKI Ajouter L cran du module Certificats et PKI propose d Ajouter diff rents types d autorit s Pour chacune d entre elles une fen tre d assistant s affichera afin de d finir les propri t s de l autorit A partir de la version 9 0 1 vous pouvez ajouter des CRLDP points de distribution des CRL pour les CA import es via le GUI Assistant d ajout d autorit s et de certificats Le bouton Ajouter d roule une liste proposant 6 actions permettant de cr er une autorit ou un certificat par le biais d un assistant Ajouter une autorit racine Une autorit racine ou root CA est une entit ayant pour objectif de signer mettre et maintenir les certificats et les CRL Certificate Revocation List ou listes de r vocations Vous devez d finir les propri t s de l autorit que vous souhaitez ajouter AVERTISSEMENT Ces informations ne seront plus modifiables apr s leur cr ation CN Saisissez un nom permettant d identifier votre autorit racine dans la limite de 64 caract res maximum Ce nom peut faire r f rence une organisation un utilisateur un serveur une machine etc Exemple NETASQ note Ce champ doit tre rempli afin de poursuivre la configuration Identifiant Bien que le remplissage de ce champ ne soit pas obligatoire vous pouvez ici indiquer un raccourci de votre CN utile pour vos lignes de commande Exemple Si vous aviez ch
279. nte de ce qui est s lectionn la valeur de l attribut correspond ce qui est s lectionn lt gt ou 6 utilisable pour les ports source et destination uniquement le num ro de port du trafic est inf rieur ce qui est s lectionn uoneinByUo9 8p 43 UOHESIINP anue s gt ou utilisable pour les ports source et destination uniquement le num ro du port du trafic est sup rieur ce qui est s lectionn A partir de la version 9 0 1 si vous cliquez rapidement 10 fois sur le bouton Monter vous distinguez la r gle monter visuellement mais la fen tre d attente n appara t que lorsqu on ne touche plus au bouton au del de 2 ou 3 secondes Et au final une seule commande sera pass e note Ceci rend le d placement des r gles beaucoup plus fluide uoneinByUo9 ap 43 UOHESIINP anue s FILTRAGE ET NAT Les actions sur les r gles de la politique de NAT Rechercher Ce champ permet la recherche par occurrence lettre ou mot Exemple Si vous saisissez Any dans le champ toutes les r gles de NAT comportant Any s afficheront dans la grille Nouvelle r gle Ins rer une ligne configurer apr s la ligne s lectionn e 3 choix sont possibles R gle standard Cette option permet de cr er une r gle de base en remplissant les diff rents champs de la grille de NAT S parateur regroupement de r gles Cette option permet d ins rer un s parateur
280. nte que vous avez d finies au pr alable au sein du module Qualit de service du menu Politique de S curit R partition Pas de r partition Si vous choisissez cette option aucune attribution particuli re de bande passante ne sera effectu e et chaque utilisateur machine connexion l utilisera en fonction de ses besoins Equit entre les utilisateurs la bande passante sera r partie quitablement entre les diff rents utilisateurs Equit entre les machines la bande passante sera r partie quitablement entre les diff rentes machines Equit entre les connexions la bande passante sera r partie quitablement entre les diff rentes connexions Seuil de connexion Le firewall NETASQ peut limiter le nombre maximal de connexions accept es par seconde pour une r gle de filtrage Il faut d finir pour les protocoles correspondant la r gle TCP UDP ICMP le nombre d sir AVERTISSEMENT La limitation ne s appliquera qu la r gle correspondante Exemple Si vous cr ez une r gle HTTP seule la limitation TCP sera prise en compte Cette option vous permet aussi d viter le d ni de service que pourrait tenter d ventuels pirates vous pouvez limiter le nombre de requ tes adress es vos serveurs par seconde REMARQUE Si l option est affect e une r gle contenant un groupe d objets la limitation s applique au groupe dans son ensemble nombre total de connexions Si le seuil est Ne rien faire
281. ntenues dans le bridge Exemple in physiques et logiques uoneinByU09 8p 18 UOHESIINP anue INTERFACES Plan d adressage IP dynamique Lorsque votre firewall ne poss de pas d adresse IP statique son adresse IP obtenue par DHCP est renouvel e r guli rement par votre fournisseur d acc s DHCP etc il est possible d associer via un fournisseur de services DNS dyndns org par exemple l adresse IP allou e et un nom de domaine qui lui est fixe afin de pouvoir contacter ce firewall sans pour autant conna tre son adresse IP Cette option vous permet d activer cette fonctionnalit en s lectionnant un compte DNS dynamique que vous avez pr alablement configur Pour plus d informations concernant le client DNS dynamique veuillez vous r f rer au module DNS Dynamique Ce champ permet de sp cifier au firewall que la configuration du bridge adresse IP et masque est d finie par DHCP Dans ce cas la zone DHCP de l onglet Configuration avanc e est active IP fixe statique Votre firewall poss de ici une adresse IP statique fixe Liste d adresses IP du bridge Ce tableau s affiche si l option IP fixe statique a t coch e g z Adresse IP Adresse IP affect e au bridge Toutes les interfaces contenues dans le bridge poss dent la m me adresse IP Masque r seau Masque de r seau du sous r seau auquel appartient le bridge Les diff rentes interfaces faisant partie du bridge ont la m m
282. nue s AUTHENTIFICATION Onglet Interfaces internes Mots de passe des utilisateurs Les utilisateurs ne peuvent pas changer leur mot de passe En s lectionnant cette option il sera impossible aux utilisateurs de modifier leur mot de passe d authentification sur le firewall NETASQ Les utilisateurs peuvent En cochant cette case les utilisateurs peuvent modifier leur mot de passe changer leur mot de passe d authentification sans contrainte de temps et de validit Les utilisateurs doivent changer leur mot de passe En s lectionnant cette option les utilisateurs doivent changer leur mot de passe d authentification leur premi re connexion sur le portail d authentification du firewall puis chaque fois que la dur e de validit du mot de passe est expir Cette dur e est sp cifi e en jours sans pr cision d heure Un champ intitul Dur e de vie apparait au dessous vous permettant d indiquer le nombre de jours de validit du mot de passe note Si la dur e de validit du mot de passe de l utilisateur est de 1 jour et que le mot de passe de l utilisateur est initialis une premi re fois le 25 novembre 2010 14 00 ce mot de passe doit tre modifi d s le 26 novembre 2010 00 00 et non 24 heures plus tard Dur es d authentification autoris es Dur e minimale Dur e minimale durant laquelle l utilisateur peut tre authentifi positionnable en mi
283. nutes ou en heures jusqu 24h Enr Dur e maximale Dur e maximale durant laquelle l utilisateur peut tre authentifi positionnable en minutes ou en heures jusqu 24h Pour l authentification transparente Cette m thode d authentification bas e sur SSO Single Sign On authentification unique permet de d finir la dur e pendant laquelle aucune r authentification transparente ne sera demand e par le firewall Configuration avanc e Autoriser l acc s au fichier PAC depuis les interfaces internes En cochant cette option vous autorisez la publication du fichier PAC sur les interfaces internes La publication du fichier PAC est galement possible pour les interfaces externes Enr lement des utilisateurs NETASQ vous propose l enr lement d utilisateurs par le web Si l utilisateur qui tente de se connecter ne figure pas dans la base des utilisateurs il a la possibilit de demander la cr ation de son compte par un enr lement Web AUTHENTIFICATION Ne pas permettre Si cette case est coch e aucun utilisateur inconnu l annuaire LDAP ne l enr lement des pourra s y inscrire ni cr er de compte utilisateurs Autoriser l enr lement La cr ation d un compte utilisateur doit tre effectu e pour que cette option soit fonctionnelle Si cette case est coch e tout utilisateur tentant de se connecter et ne figurant pas dans la base des util
284. o tier installe la licence uoneinByUo9 8p 43 UOHESIINP anue Note II existe diff rents messages de notification Licence Update une nouvelle licence est disponible sera affich lorsque tel sera explicitement le cas Chaque message est associ une alarme ici 68 Il est galement possible de trouver 69 Licence Update Licence temporaire enregistrement n cessaire ou encore 71 Licence Update Une nouvelle licence a t install e Ces messages sont visibles dans les alertes SNMP syslog le RealTime Monitor ainsi que les journaux du NETASQ Event Analyzer Afin d activer l envoi de ces messages vous pouvez vous rendre dans le menu Notifications Ecran Traces Syslog OU Agent SNMP re uoneinByU09 8p 43 UOHESIINP anue LICENCE L onglet D tails de la licence Cet onglet affiche la licence en vigueur du bo tier sur lequel vous tes connect Les boutons Rechercher une nouvelle licence Ce bouton sert la recherche d une nouvelle licence ou actualise la date de derni re v rification de licence note Dans cet onglet le bouton permet une recherche de licence de tous les firewalls du cluster HA Installer la nouvelle licence Si le firewall a trouv une licence par le biais du bouton Rechercher une nouvelle licence le bouton Installer la nouvelle licence appara t en clair En cliquant dessus un t l chargement est r alis Puis il suffit de c
285. od e en UTF 8 Analyse de l en t te ligne par ligne validation des champs de l en t te et extraction d information nom de l appelant et de l appel protection contre les attaques encodage d bordement de tampons pr sence et ordre des champs obligatoires format des lignes Analyse et validation des donn es pr sentes dans le SDP encodage d bordement de tampons conformit la RFC pr sence et ordre des champs obligatoires format des lignes Pour les r ponses en plus des v rifications pr c dentes coh rence g n rale de la r ponse et coh rence par rapport la requ te La fonction d audit est agr ment e d un identifiant de groupe de session permettant de retrouver toutes les connexions d une conversation les noms de l appelant et de l appel et le type de m dia utilis audio vid o application donn e contr le D tection automatique du Si le plugin est activ il est automatiquement utilis la d couverte d un protocole paquet correspondant dans les r gles de filtrage Cette option n est pas disponible pour les protocoles IP ICMP TCPUDP RTP RTCP MSN YMSG Commandes SIP Commandes SIP autoris es Ajouter Ins rer dans la liste des commandes additionnelles qui n cessitent une autorisation Supprimer S lectionnez la commande retirer de la liste et cliquez sur Supprimer Commandes SIP interdites Ajouter Ins rer dans la liste des commandes addit
286. oisi un nom et un pr nom pour votre CN l identifiant peut en indiquer les initiales uniquement S lectionnez l autorit parente si n cessaire uoneinByUo9 8p 43 UOHESINP anue Choisir une autorit parente implique le pr remplissage des attributs de l autorit dans les champs du dessous Autorit parente Bien qu une CA ou autorit de certification soit compos e de certificats elle peut galement impliquer des sous CA qui d pendent d elle L utilisation d une sous CA n est possible qu apr s identification de son Autorit parente o CA Mot de passe autorit D finissez un mot de passe si vous souhaitez notifier que vous tes bien parente responsable de la CA parente CERTIFICATS ET PKI Attributs de l autorit Lors de cette tape vous devez renseigner les informations g n rales concernant l autorit que vous voulez mettre en uvre Les informations saisies se retrouveront dans le certificat de votre autorit de certification et dans les certificats de vos utilisateurs note Dans le cas d une sous CA ces donn es sont pr remplies Et moins de modifier la configuration il n est pas possible de tous les modifier Organisation O Nom de votre soci t ex NETASQ Unit d organisation branche de votre soci t ex INTERNE 0u Lieu L Ville dans laquelle est situ e votre soci t ex Villeneuve d Ascq Etat ou province ST
287. oits sur l utilisation des fonctionnalit s VPN le menu Acc s s curis appara t Il permet d acc der aux fonctionnalit s VPN SSL A partir de la version 9 0 1 lorsque la dur e d authentification est expir e ou que l acc s au VPN SSL est refus l utilisateur sera redirig vers la page d authentification transparente SSO si cette m thode est disponible Acc dez aux sites Web de votre entreprise par un tunnel SSL Ce menu pr sente les sites Web configur s par l administrateur et auxquels les utilisateurs peuvent acc der Les autres acc s s curis s permettent d acc der au menu des autres sites s curis s configur s par l administrateur D el Acc dez aux ressources de votre entreprise par un tunnel SSL Ce menu pr sente les autres serveurs configur s par l administrateur et auxquels les utilisateurs peuvent acc der Oo AVERTISSEMENT Sur cette page aucun lien n est disponible Il est pourtant indispensable que cette fen tre reste ouverte pendant toute la dur e de la connexion elle peut tre minimis e La fermeture de la fen tre entra ne la coupure de la connexion uoneinByU09 8p 43 UOHESIINP NUE Pour acc der aux ressources configur es par l administrateur il s agit d indiquer au logiciel client un client de messagerie par exemple que le serveur auquel il doit se connecter pour r cup rer les mails n est plus le serveur mail habituel mais il faut lui indiquer une adresse du type 1
288. on L analyse par liste noire DNS RBL Real time Blackhole List permet la qualification d un message en spam par l interm diaire de serveurs RBL Les menus suivants permettent de configurer la liste des serveurs RBL qui seront utilis s pour cette analyse ainsi que le niveau de confiance accord chacun des serveurs Liste des serveurs de listes noires DNS RBL Une grille affiche une liste des serveurs RBL auxquels le bo tier UTM envoie ses requ tes pour v rifier qu un e mail n est pas un spam Cette liste est actualis e par l Active Update Elle n est pas modifiable mais vous pouvez toutefois d sactiver certains serveurs en cliquant sur la case pr sente au d but de chaque ligne dans la colonne Activ Le niveau sp cifi dans les colonnes de la grille indique le niveau de confiance accord ce serveur Vous pouvez aussi configurer vos propres serveurs RBL auxquels vous souhaitez que l Appliance se connecte Pour ajouter un serveur cliquez sur le bouton Ajouter Une nouvelle ligne est ajout e Sp cifiez un nom pour ce serveur unique pour la liste des serveurs RBL une cible DNS Champ Nom de domaine uniquement Cela doit tre un nom de domaine valide un niveau de confiance Bas Moyen Haut et enfin un commentaire L indication du commentaire est facultative Puis cliquez sur Appliquer Pour supprimer un serveur configur s lectionnez le dans la liste puis cliquez sur le bouton Supprimer uoneinByU09
289. on MGCP Taille max d une commande octets Une commande peut comporter entre 32 et 1024 octets Nb max de param tres par commande Le nombre de param tres pouvant figurer au sein d une commande doit tre compris entre 32 et 1024 octets Taille max du param tre SDP octets Le param tre SDP valide automatiquement le lancement des applications dans une session depuis le www du client ou par la messagerie Sa taille doit tre comprise entre 32 et 1024 octets Dur e d inactivit max secondes La dur e d inactivit maximale d une session doit tre comprise entre 60 et 604800 octets Support D sactiver la pr vention d intrusion En cochant cette option l action passer sera automatiquement d clench e au sein du filtrage URL PROTOCOLES ET APPLICATIONS L cran de la configuration globale MGCP liste des ports par d faut Cette liste contient les ports autoris s par d faut pour le protocole MGCP Vous pouvez en ajouter en cliquant sur le bouton appropri ou le retirer de la liste en le s lectionnant et en cliquant sur Supprimer RTP Onglet IPS Liste des codecs RTP support s Cette liste contient les codecs RTP support s par d faut Vous pouvez en ajouter en cliquant sur le bouton appropri ou le retirer de la liste en le s lectionnant et en cliquant sur Supprimer Support D sactiver la pr vention En cochant cette opt
290. on automatique Si vous souhaitez les appliquer vous m mes d cochez la case et d finissez les param tres des champs suivants Action Lorsqu une alarme est remont e le paquet qui a provoqu cette alarme subit l action associ e Vous pouvez choisir de laisser Passer ou de Bloquer les nouvelles alarmes Vous pourrez constater l tat que vous avez appliquez au sein du module Protection Applicative Alarmes Les nouvelles alarmes se trouvent dans la colonne Nouveau Niveau Trois niveaux d alarmes sont disponibles Ignorer Mineur et Majeur uoneinByU09 8p 43 UOHESIINP anue Capture du paquet En cochant cette option le paquet responsable de la remont e de l alarme sera captur PROFILS D INSPECTION Configuration avanc e ____ om Appliquer les op rations de Cette option signifie que les adresses IP seront modifi es avant le translation NAT avant le chiffrement effectu par le VPN IPSec VPN IPSec Consid rer les interfaces Lorsqu une machine tente d acc der une interface prot g e via un IPsec comme interne tunnel VPN IPSec ses donn es sont d chiffr es et elle ensuite enregistr e Elle passera ainsi d un r seau distant ou d un statut d interface externe au r seau local ou au statut d interface interne Configurer les profils Cet cran se compose de 2 parties Une zone d dition des diff rentes configurations de profils possibles Une zone d association des p
291. on effectu e Un commentaire peut galement tre ajout a uoneinByU09 8p 43 UOHESIINP anue FILTRAGE URL Les r gles R f rez vous la proc dure suivante pour diter un profil de filtrage d URL S lectionnez un profil dans la liste des profils de filtrage d URL La grille de filtrage se pr sente ainsi qu un cran d indication d erreur Les manipulations possibles Bouton Ajouter Ins rer une ligne configurer apr s la ligne s lectionn e Bouton Supprimer Supprimer la ligne s lectionn e Bouton Monter Placer la ligne s lectionn e avant la ligne directement au dessus Bouton Descendre Placer la ligne s lectionn e apr s la ligne directement en dessous La grille La grille pr sente les colonnes suivantes Etat Etat de la r gle Activ la r gle sera active lorsque cette politique de filtrage sera s lectionn e D sactiv la r gle ne sera pas op rationnelle La ligne sera gris e afin de refl ter la d sactivation REMARQUE Le firewall va valuer les r gles dans leur ordre d apparition l cran une une en partant du haut D s qu il rencontre une r gle qui correspond la demande il effectue l action sp cifi e et s arr te l Ce qui signifie que si l action sp cifi e au sein de la r gle correspond Bloquer toutes les r gles effectu es en dessous de celle ci passeront automatiquement en Bloquer galement Groupe d URL Un nom de g
292. onfirmer ou non ce t l chargement note Dans cet onglet le bouton permet l installation de la licence pour le firewall indiqu Tout fermer R tracte l arborescence des fonctionnalit s de la licence Tout d rouler La grille D ploie l arborescence des fonctionnalit s de la licence Fonctionnalit Indication des fonctionnalit s et des options de chaque fonctionnalit que propose le firewall Les fonctionnalit s sont Administration Date Flags Global Hardware Limit Network Proxy Service VPN Ci dessous sont d taill es les options li es aux fonctionnalit s En cours licence actuelle Indication pour la licence install e de l activation ou non des options pour chaque fonctionnalit ou de l tat d expiration Un symbole explicite indique l activation de la fonctionnalit un autre symbole la d sactivation d une option Des symboles et couleurs font la diff rence entre une option bient t expir e moins de 90 jours de la date d expiration une option expir e et une option en cours de validit Nouvelle licence Cette colonne ne s affiche que si une nouvelle licence est disponible mais pas encore install e et qu un red marrage est n cessaire en d autres termes cette colonne ne s affichera jamais si vous avez coch dans la configuration avanc e de l onglet G n ral l option Installation de la licenc
293. onnez 0 dans la colonne Bpmin et Illimit dans la colonne Bp max aucune contrainte n est impos e sur le trafic Dans ce cas un message s affiche dans lequel l application vous propose de transformer votre file d attente par une file de surveillance uoneinByUo9 8p 43 UOHESIINP anue La grille du menu File d attente par classe d application ou d affectation affiche les diff rentes files d attente qui ont t configur es Un clic sur le bouton V rifier l utilisation permet d afficher dans la barre de navigation gauche la liste des r gles de filtrage dans lesquelles la file d attente s lectionn e est utilis e LITE DE SERVICE QOS Suppression d une file d attente par classe d application ou d affectation S lectionnez la ligne de file d attente supprimer puis cliquez sur le bouton Supprimer Un message s affiche vous demandant si vous souhaitez r ellement supprimer la file d attente Surveillance du trafic monitoring Les files d attente de monitoring n affectent pas la mani re dont sont trait s les trafics qui sont associ s ces r gles de QoS Elles permettent l enregistrement d informations de d bit et de bande passante qui peuvent tre visualis es au moyen de NETASQ EVENT REPORTER dans l onglet Graphiques du logiciel Les diff rentes options de la configuration d une file d attente du type Monitoring sont pr sent es ci dessous Ajout d une surveillance du trafic Pour ajou
294. ormations concernant l utilisateur recueilli par le module d authentification du firewall Onglet ICAP Les contenus Web et Mail sont principalement vis s par le protocole ICAP Il fournit une interface aux proxies HTTP pour le web et aux relais SMTP pour les mails Requ te HTTP regmod Transmettre les requ tes Chaque requ te cliente vers un site web est transmise au serveur ICAP HTTP au serveur ICAP Serveur ICAP Serveur Indication du serveur ICAP Port Icap Indication du port ICAP Nom du service ICAP Indication du nom du service mettre en place Cette information est diff rente suivant la solution utilis e le serveur ICAP ainsi que le port utilis Authentification sur le serveur ICAP On peut utiliser les informations disponibles sur le firewall pour r aliser des services ICAP Exemple Il est possible de d finir dans un serveur ICAP que tel ou tel site n est destin qu telle ou telle personne Dans ce cas vous pouvez filtrer selon un identifiant LDAP ou une adresse IP Transmettre le nom Cette option permet de se servir des informations relatives la base d utilisateur le groupe LDAP notamment l identifiant d un utilisateur authentifi Transmettre l adresse IP Cette option permet de se servir des adresses IP des clients HTTP du client effectuant la requ te Adapter objet utilis pour faire la traduction entre le format ICAP et le format demand y A
295. ou 3 secondes Et au final une seule commande sera pass e NOTE Ceci rend le d placement des r gles beaucoup plus fluide La grille de filtrage pr sente les colonnes suivantes Etat Cette colonne affiche l tat On Off de la r gle Double cliquez dessus pour changer l tat en effectuant cette manipulation une fois vous activez la r gle de filtrage Renouvelez l op ration pour la d sactiver Action Cette zone d signe l action appliqu e sur le paquet remplissant les crit res de s lection de la r gle de filtrage Pour d finir les diff rents param tres de l action double cliquez dans la colonne une fen tre contenant les l ments suivants s affiche Onglet G n ral uoneinByUo9 8p 43 UOHESIINP NUE a G n ral Action Il est possible d effectuer 5 actions diff rentes Passer Le firewall NETASQ laisse passer le paquet correspondant cette r gle de filtrage Le paquet ne descend plus dans la liste de r gles Bloquer Le firewall NETASQ bloque silencieusement le paquet correspondant cette r gle de filtrage le paquet est supprim sans que l metteur ne s en aper oive Le paquet ne descend plus dans la liste des r gles D chiffrer Cette action permet de d chiffrer le trafic chiffr Le flux d chiffr continue descend dans la liste des r gles Il sera de nouveau chiffr apr s l analyse si aucune r gle ne le bloque uoneinByUo9 8p 43 UOHESIINP NUE s FILTRAGE ET
296. p est vide Port Port du serveur SMTP o seront envoy s les e mails Une liste permet de s lectionner un objet dont la valeur indiqu e par d faut est SMTP Domaine DNS Utile pour indiquer le nom de domaine de l metteur des e mails L adresse e mail de l metteur sera alors indiqu e comme suit lt nom_du_firewall gt lt nom_de_domaine gt Fr quence d envoi des e mails en minutes Fr quence Cette option vous permet de sp cifier la fr quence d envoi des rapports Un rapport d envoi contient toutes les alarmes d tect es depuis le rapport pr c dent Ainsi la r ception du mail s effectue par tranche horaire et non par alarme d clench e La valeur indiqu e par d faut est 15 ALERTES E MAILS Alarmes de pr vention d intrusion Ici vous pouvez notifier un groupe qui recevra les alarmes de pr vention d intrusion La liste des alarmes est envoy e dans le corps de l e mail au groupe sp cifi Le d lai d envoi du rapport des alarmes se modifie dans le champ Fr quence d envoi du menu Fr quence d envoi des e mails en minutes Exemple Si vous sp cifiez un envoi toutes les 15 minutes dans le champ Fr quence d envoi vous serez averti par e mail toutes les 15 minutes des alarmes d clench es durant ce laps de temps sur le firewall Ne pas envoyer Pas d envoi de rapport des alarmes de pr vention d intrusion Ce bouton radio est coch par d faut Envoyer
297. pOfNames R _ Branche de l autorit de Ce champ d finit l emplacement de l autorit de certification pr sente dans la certification base LDAP externe Cet emplacement est notamment utilis lors de la recherche de la CA utilis pour la m thode d authentification SSL note Il n est pas indispensable de configurer ce champ mais dans ce cas pour que la m thode d authentification SSL fonctionne il faut sp cifier la CA dans la liste des CA de confiance dans la configuration de la m thode SSL Voir menu Utilisateurs module Authentificationlonglet M thodes disponibles il faut ajouter la m thode d authentification Certificat SSL et indiquer la CA dans la colonne de droite Autorit s de confiance C A Correspondance d attributs Appliquer un mod le Ce bouton vous propose de choisir parmi 3 serveurs LDAP celui que vous appliquerez pour d finir vos attributs OpenLDAP serveur LDAP Microsoft Active Directory AD services d annuaires LDAP pour les syst mes d exploitation sous Windows Open Directory r pertoire de sites web sous licence Open Directory uoneinByUo9 8p 43 UOHESIINP NUE a Attributs de l annuaire Cette colonne repr sente la valeur donn e l attribut au sein de l annuaire externe Exemples Cn NETASQ telephoneNumber 33 0 3 61 96 30 mail salesadmin netasq com L annuaire est en lecture seule La cr ation d utilisateurs et de groupes ne sera pas au
298. parent Comme son nom l indique cette option vise rendre transparent le service intercepte toutes DNS du firewall NETASQ Ainsi lorsque cette option est activ e la redirection des flux DNS vers le cache DNS est invisible aux utilisateurs qui pensent los requ tes DNS acc der leur serveur DNS mise par les clients autoris es En mode transparent toutes les requ tes sont intercept es m me si celles ci sont destination d autres serveurs DNS que le firewall Les r ponses sont gard es un certain temps en m moire pour viter de retransmettre des _demandes d j connues 2e de Interrogation En cochant cette option le firewall va s lectionner au hasard le serveur DN al atoire des dans la liste voir menu Syst me module Configuration onglet serveurs DNS Param tres R seaux panneau R solution DNS v S t uoneinByU09 8p 43 uopesiyn p anue v uoneinByU09 8p 43 UOHESIINP NUE LITE DE SERVICE QOS L cran de configuration de la qualit de service se compose d un cran unique Trafic r seau Un l ment important dans la Qualit de Service est de r soudre le probl me du niveau g n ralement tr s haut du taux de perte de paquets sur l Internet En effet lorsqu un paquet est perdu avant d atteindre sa destination toutes les ressources mises en uvre lors de son transit sont g ch es Dans certain cas cette situation peut m me amener une situation de congestion grave qui
299. parfois entra ne la paralysie totale des syst mes On est loin de la n cessit de stabilit et de temps r el des applications de vid oconf rence d aujourd hui Le contr le optimis des situations de congestion et la gestion des queues de donn es deviennent un enjeu important de la Qualit de Service Les firewalls NETASQ disposent de deux algorithmes pour leur traitement des congestions l algorithme TailDrop et l algorithme BLUE NETASQ recommande toutefois l utilisation de l algorithme BLUE comme algorithme de traitement des congestions Traitement en cas Cette option permet de d finir l algorithme de traitements des congestions Elle de saturation a comme objectif d viter les ralentissements File d attente par Cette option permet de s lectionner parmi les files d attente d finies laquelle d faut sera la file d attente par d faut Plus exactement cette option permet de choisir la fa on dont le trafic par d faut qui ne correspond aucune queue sera trait par rapport au reste Par d faut ce trafic est prioritaire sur le trafic trait par la QoS Prioritaire sur tout mais il est possible de soumettre le trafic une certaine queue en la s lectionnant dans cette liste d roulante R servation ou limitation de la bande passante CBQ Bande passante La valeur de r f rence en Kbits s ou en Mbits s permet d indiquer une r f rence totale sur laquelle seront bas es les limitations d
300. partie r tractable options Les indications fournir varient selon qu il s agit d une premi re connexion au firewall ou pas Utilisateur Champ r serv au login utilisateur disposant au minimum des droits base Mot de passe Mot de passe de l utilisateur qui sera invit en saisir un s il s agit de sa premi re connexion Pour une configuration par d faut il n y a pas de mot de passe champ vide S authentifier en Lorsque cette case est activ e les champs Utilisateur et Mot de passe ne sont utilisant un plus n cessaires donc gris s certificat SSL Le message suivant s affiche L utilisation de certificat vous permet de vous authentifier automatiquement Voulez vous activer l authentification automatique S lectionnez Authentification automatique ou Authentification manuelle REmarQUE L option de connexion automatique peut tre activ e automatiquement dans l cran des Pr f rences Param tres de connexion Se connecter automatiquement en utilisant un certificat SSL S authentifier Un clic sur ce bouton ou appuyer sur la touche Entr e permet d envoyer les informations de connexion au firewall o AVERTISSEMENT Le firewall NETASQ est sensible la casse il fait la diff rence entre les majuscules et les minuscules aussi bien pour le nom d utilisateur que pour le mot de passe D ES uoneinByU09 8p je UOHESIINP anue PORTAIL D IDENTIFICATION Options a z
301. parties La barre d actions en haut permettant de trier et de manipuler les objets Deux colonnes d di es aux objets l une les listant et l autre affichant leurs propri t s La barre d actions Rechercher Si vous recherchez un objet en particulier saisissez son nom Le champ de recherche vous permet de lister tous les objets r seaux dont les propri t s correspondent au x mot s ou lettre s clef s saisie s Exemple Si vous saisissez la lettre a dans la barre de recherche la liste en dessous fera appara tre tous objets poss dant un a dans leur nom ou dans leur description Vous pouvez galement affiner la recherche en fonction du filtre listant les diff rents types d objets voir bouton Filtre ci apr s NOTE L ic ne croix dans le champ de recherche permet de supprimer la saisie et lister tous les objets en fonction du filtre courant A partir de la version 9 0 1 lorsque vous vous rendez au sein de l onglet Objets dans l arborescence de gauche le focus est d sormais directement plac dans le champ d di la recherche m amp Ajouter Lorsque vous cliquez sur ce bouton une bo te de dialogue s affiche et vous propose de cr er un objet en indiquant son type et les informations lui tant relatives dans les champs appropri s REMARQUE L objet peut tre d fini comme global au moment de sa cr ation si vous cochez l option Cet objet est glob
302. partir de la version 9 0 1 cette partie du tableau de bord contient un nouveau bouton 7 permettant de Vider l cran c est dire d effacer les journaux d informations uoneinByU09 ap 43 UOHESIINP anue Ressources Cette fen tre donne une vue graphique des ressources mat rielles relatives votre firewall Espace utilis Espace utilis pour les logs du firewall en pourcentage CPU Pourcentage d utilisation de votre processeur Temp rature Temp rature de votre quipement Celle ci n est pas disponible sur machine virtuelle TABLEAU DE BORD M moire M moire utilis e par votre quipement Machine pourcentage de la m moire allou e par les machines octets Fragment pourcentage de la m moire allou e par les fragments ou dossiers trop lourds d coup s en plusieurs morceaux en octets Connexion pourcentage de la m moire allou e pour les connexions diverses octets ICMP pourcentage de la m moire allou e pour le protocole ICMP octets Traces pourcentage de la m moire utilis e pour le DataTracking suivi des donn es Dynamique m moire informatique dans laquelle un ordinateur place les donn es lors de leur traitement Licence Cette fen tre affiche les diff rentes valeurs de votre licence et leur date limite de mise jour Update Date limite de mise jour du bo tier Pattern Date d expiration des mod les ASQ A IS Date limite de mise jour des bases vir
303. pour la suite de l ex cution du programme PR F RENCES Ce module est accessible via le bouton a en haut de votre cran IHM Il va vous permettre de g rer les param tres de votre interface web Selon vos choix d options vous pourrez gagner en ergonomie et en rapidit Acc s au site web NETASQ ider Votre login NETASQ en g n ral nom prenom ou votre adresse mail Mot de passe S Saisissez votre mot de passe L ic ne vous permet de l afficher en clair afin d viter toute erreur Acc der l espace Cliquez sur ce bouton pour acc der directement votre espace s curis personnel NETASQ NETASQ galement accessible sur www netasq com Param tres de connexion Se connecter En cochant cette option vous n aurez plus besoin de vous identifier vous automatiquement en serez directement reconnu gr ce votre certificat SSL utilisant un certificat 165 SSL D connexion en cas Il est possible de fixer un d lai pour la d connexion de votre interface web d inactivit 5 minutes 15 minutes 30 minutes 1 heure Vous pouvez galement choisir de Toujours rester connect A la connexion En cochant cette case chaque fois que vous vous connecterez vous afficher serez redirig sur le dernier module affich avant la d connexion syst matiquement le dernier module actif uoneinByU09 8p 43 UOHESIINP anue a D uoneinByU09 8p je UOHESIINP anue Toujours afficher le
304. pour le modem Type de modem Indication du type de modem choisi lors de la cr ation Couleur Couleur attribu e au modem Authentification Identifiant Nom utilis pour l authentification Mot de passe Mot de passe utilis pour l authentification Si vous cliquez sur l ic ne cl droite de ce champ le mot de passe s affiche en clair pour une dur e de 5 secondes 133 Connectivit u Adresse PPTP Adresse IP interne du modem ADSL nn Demander les serveurs Lorsque cette option est coch e le firewall r cup re les serveurs DNS et cr er les objets r Sri DNS aupr s du serveur DHCP fournisseur d acc s par exemple qu il machines associ s contacte pour obtenir son adresse IP D s que cette option est coch e deux objets sont dynamiquement cr s dans la base d objets Firewall_ lt nom de l interface gt _dns1 et Firewall_ lt nom de l interface_dns2 Ils peuvent ainsi tre utilis s dans la configuration du service DHCP Ainsi si le firewall offre un service DHCP aux utilisateurs de son r seau les utilisateurs seront cr dit s des serveurs DNS fournis par le fournisseur d acc s uoneinByU09 8p 43 UOHESIINP anue Configuration avanc e Connexion La connexion en cas de trafic la demande n tablit la connexion avec Internet que lorsqu une demande de connexion mane du r seau interne ce mode est plus conomique dans le cas d une liaison payante la dur e La connexion Permanente cons
305. pplicatifs Configuration avanc e chaque requ te authentification par Si l option Authentifier l utilisateur chaque requ te authentification par certificat ssl uniquement est coch e chaque requ te transitant par le module de VPN SSL des firewalls NETASQ certificat ssl uniquement n cessite une authentification par certificat de l utilisateur metteur de la requ te Acc s aux serveurs via le VPN SSL Pr fixe du r pertoire racine de l URL La technologie VPN SSL NETASQ permet de masquer l adresse r elle des serveurs vers lesquels les utilisateurs sont redirig s en r crivant l ensemble des URL contenues dans les pages HTTP rencontr es Ces URL sont remplac es par un pr fixe suivi de 4 chiffres Ce champ permet de d finir le pr fixe qui sera utilis En t te HTTP pour l identifiant utilisateur La valeur de ce champ sera envoy e accompagn e de l identifiant de l utilisateur au serveur Web dans l ent te HTTP des requ tes mises Cette valeur peut tre utilis e afin d effectuer des contr les et ou authentification transparentes sur la provenance des requ tes Dans le cas o le serveur vers lequel les flux HTTP sont redirig s demande une authentification il est possible de sp cifier un login dans l ent te du paquet HTTP Ce login pourrait servir par exemple indiquer que ces flux arrivant au serveur proviennent du firewall et peuvent tre accept par le serveur sans authentifi
306. ption si vous souhaitez l utiliser au d marrage de votre firewall 2 S Sauvegarder la partition Ce bouton permet de sauvegarder la partition active celle indiqu e par Vous active utilisez actuellement la partition sur l autre partition Maintenance Red marrer le firewall Cliquez sur ce bouton pour red marrer directement votre firewall Arr ter le firewall Cliquez sur ce bouton si vous souhaitez teindre votre firewall Rapport syst me sysinfo T l charger le rapport syst me Ce bouton va permettre d obtenir des informations diverses sur votre firewall au format sysinfo Par son biais il est possible de conna tre par exemple le mod le du firewall son num ro de s rie son tat de fonctionnement actuel et l tat sa m moire D amp uoneinByUo9 8p 43 UOHESIINP anue MAINTENANCE Onglet Sauvegarder Sauvegarde de configuration Via cet cran vous allez pouvoir effectuer une sauvegarde de la configuration de votre firewall sous forme de fichiers de mani re exhaustive et en prot ger l acc s Nom donn la sauvegarde Par d faut le nom de la sauvegarde correspondra lt num ro de s rie du firewall gt _jour_mois_ann e na T l charger Le fichier sera sauvegard au format na NETASQ ARCHIVES Cliquez sur ce bouton pour l enregistrer Configuration avanc e Mot de passe D finissez un mot de passe pour prot ger votre sauvegarde Conf
307. ptions ci dessus ne sont pas coch es CONFIGURATION DE L ANNUAIRE LDAP Configuration avanc e Serveur de Ce champ permet de d finir un serveur de remplacement au cas o le serveur rechange principal tomberait Vous pouvez le s lectionner parmi la liste d objets propos s dans la liste d roulante En cliquant sur le bouton Tester l acc s l annuaire au dessous une fen tre vous pr cisera si votre serveur principal est op rationnel Vous pourrez cliquez sur OK E Vous pouvez cliquer sur Appliquer pour valider votre configuration ONGLET STRUCTURE Acc s en lecture Filtre de s lection des Lors de l utilisation du firewall en interaction avec une base externe seuls les utilisateurs utilisateurs correspondants au filtre seront utilis s Par d faut ce filtre correspond ObjectClass InetOrgPerson aaen _ Filtre de s lection des Lors de l utilisation du firewall en interaction avec une base externe seuls les groupes d utilisateurs Groupes d utilisateurs correspondants au filtre seront utilis s Par d faut ce filtre correspond ObjeciClass GroupOfNames _ Ps Branche de l autorit de Ce champ d finit l emplacement de l autorit de certification pr sente dans la certification base LDAP externe Cet emplacement est notamment utilis lors de la recherche de la CA utilis pour la m thode d authentification SSL note Il n est pas indispensable de configurer ce champ mais dans ce
308. que celui d fini lors de la cr ation du cluster sur le premier firewall HAUTE DISPONIBILIT D finir le masque r seau Masque r seau pour votre groupe de firewalls cluster Ce masque doit tre le m me que celui utilis lors de la cr ation du cluster sur le premier firewall Lien secondaire facultatif Si le firewall ne re oit pas de r ponse sur le lien principal il va tenter de se connecter ce lien secondaire Cela vite que les deux firewalls passent en mode actif actif si un probl me survient sur le lien principal Utiliser un second lien de communication Interface adresse IP Cochez cette option afin de d griser les champs du dessous et de d finir un lien secondaire pour votre cluster Cette option ne doit tre s lectionn e que si elle l avait t lors de la cr ation du cluster sur le premier firewall Interface secondaire utilis e pour relier les deux firewalls constituant le cluster Cette interface doit tre la m me que celle s lectionn e lors de la cr ation du cluster sur le premier firewall Adresse IP pour votre lien secondaire Cette adresse doit appartenir au m me sous r seau que celui d fini lors de la cr ation du cluster sur le premier firewall D le masque Masque r seau pour votre lien secondaire r seau Ce masque doit tre le m me que celui utilis lors de la cr ation du cluster sur 111 le premier firewall note Pour qu un li
309. que vous en cr ez un celui ci s active par d faut Cliquez une fois dessus pour le d sactiver R seau local Choisissez votre machine groupes de machines plage d adresses r seau ou groupe de r seaux qui sera accessible via le tunnel VPN IPSec au sein de la liste d roulante d objets Correspondant Configuration de correspondant visible au sein de l onglet du m me nom dans le module VPN IPSec R seau distant Choisissez parmi la liste d roulant d objets votre machine groupes de machines plage d adresses r seau ou groupe de r seaux faisant r f rence au correspondant VPN en vis vis de votre firewall par exemple l adresse IP publique connue de votre correspondant Profil de Cette option permet de choisir le mod le de protection associ votre politique chiffrement VPN parmi les 3 profils pr configur s StrongEncryption GoodEncryption et FastEncryption Il est possible de cr er ou de modifier d autres profils au sein de 231 l onglet Profils de chiffrement Commentaire Description associ e la politique VPN Anonyme Utilisateurs nomades Le VPN IPSec comporte deux extr mit s l extr mit de tunnel et l extr mit de trafic Pour les anonymes ou utilisateurs nomades l IP d extr mit de tunnel n est pas connue l avance L IP d extr mit de trafic quant elle peut tre soit choisie par le correspondant cas classique ou distribu e par la passerelle Mode Config Nom de
310. ques par d faut NETASQ Les groupes d URL statiques d pendent du choix du fournisseur de filtrage Web Si vous choisissez un autre fournisseur il faut s assurer que le slot de filtrage URL actif n utilise pas de groupes URL statiques de l ancienne liste sous risque de rendre non valide cette configuration durant et apr s le changement de fournisseur OBJETS WEB Onglet Nom de certificat CN Cet cran contenant des groupes de nom de certificat peut s av rer utile le filtrage SSL voir le module Politique de S curit Filtrage SSL Il est compos de 2 parties une pour les groupes une seconde pour les URL L cran se pr sente de mani re similaire l onglet Groupe d URL hormis que la liste de droite contient des noms d autorit de certification CA note Le nombre de caract res pour un groupe de CN est limit 255 Ko Onglet Base d URL Cet onglet permet de modifier le fournisseur de groupe d URL nom de certificat Fournisseur de Suivant le type de service de maintenance souscrit Voir la politique tarifaire base d URL NETASQ en cours les listes d URL disponibles sont mises jour dynamiquement par des fournisseurs diff rents parmi NETASQ ou OPTENET Par d faut lorsqu un service de maintenance standard est souscrit ce sont les listes d URL NETASQ qui sont propos es Lorsque vous souscrirez au service de maintenance pour activer la fonctionnalit de filtrage d URL su
311. r gle Activ D sactiv Cliquez dans la case pour activer d sactiver la cr ation d une ou plusieurs r gles implicites La r gle Autoriser l acc s au portail d authentification et au VPN SSL pour les interfaces externes non prot g es Auth_ext est d sactiv e par d faut Nom Nom de la r gle implicite celui ci n est pas modifiable Les r gles suivantes figurent dans la colonne Nom Autoriser l acc s au portail d authentification et au VPN SSL pour les interfaces externes non prot g es Auth_ext une r gle autorisant l acc s au service https port 443 est cr e pour chaque interface externe publique Les utilisateurs peuvent donc s authentifier et acc der au VPN SSL depuis les r seaux externes Autoriser l acc s au portail d authentification et au VPN SSL pour les interfaces prot g es Authd_int une r gle autorisant l acc s au service https port 443 est cr e pour chaque interface interne prot g e Les utilisateurs peuvent donc s authentifier et acc der au VPN SSL depuis les r seaux internes Bloquer et r initialiser les requ tes ident port 113 pour les interfaces modems dialup Bloquer et r initialiser les requ tes ident port 113 pour les interfaces ethernet Autoriser l acc s au service DNS port 53 du Firewall pour les interfaces prot g es les utilisateurs peuvent joindre service DNS et donc utiliser le proxy cache DNS si ce der
312. r s authentifier aupr s du proxy Mot de passe D finissez un mot de passe que vous devrez fournir pour acc der au serveur proxy Limites VLAN disponibles Limitation du nombre de VLAN disponibles dans la configuration r seau max 128 Le nombre de VLAN disponibles par d faut est 64 changez ce nombre provoque un reboot de votre bo tier R solution DNS Liste des serveurs DNS utilis s par le firewall Les serveurs DNS permettent au firewall de r soudre conna tre son adresse IP partir d un nom de machine les objets ou machines configur s en R solution DNS Automatique Ajouter Lorsque vous cliquez sur ce bouton une ligne vierge vient s ajouter au tableau et vous permet de s lectionner un serveur DNS au sein de la liste d roulante Supprimer S lectionnez la ligne retirer du tableau et cliquez sur Supprimer Monter Placer la ligne s lectionn e au dessus de la ligne pr c dente Descendre Placer la ligne s lectionn e au dessous de la ligne suivante uoneinByUo9 8p 43 UOHESIINP anue a CONFIGURATION DE L ANNUAIRE LDAP LDAP est un protocole standard permettant de g rer des annuaires c est dire d acc der des bases d informations sur les utilisateurs d un r seau par l interm diaire de protocoles TCP IP Les firewalls NETASQ embarquent une base LDAP interne Celle ci stocke les informations relatives aux utilisateurs devant s authentifier pour passer au travers du firewall I
313. r active sur le firewall Un onglet suppl mentaire par bo tier passif dans le cadre de la Haute Disponibilit L onglet G n ral Cet onglet vous permet d installer une licence de mani re automatique ou manuelle ll existe 2 mani res d installer une licence en manuel 1 En injectant le Fichier de licence dans le champ adapt Possibilit de configurer en automatique 2 En recherchant une nouvelle licence Les boutons v ad Rechercher une nouvelle licence Ce bouton sert la recherche d une nouvelle licence ou actualise la date de derni re v rification de licence En cliquant sur ce bouton une demande de recherche de licence est faite au bo tier Si une licence est trouv e une notification s affiche au niveau des informations de l onglet G n ral et l utilisateur a alors acc s au bouton Installer la nouvelle licence La recherche de licence se fait manuellement Si vous souhaitez une recherche de licence automatique dans ce cas il faudra param trer la configuration avanc e dans cet onglet Installer la nouvelle licence Si le firewall a trouv une licence par le biais du bouton Rechercher une nouvelle licence le bouton Installer la nouvelle licence appara t en clair En cliquant dessus un t l chargement est r alis Puis il suffit de confirmer ou non ce t l chargement Les dates uoneinByU09 8p 43 UOHESIINP anue Date locale sur le firewall cette date permet de confirmer que le firewa
314. r de destination Les traces peuvent aussi tre conserv es sur le firewall sauf mod les U30 et U70 N N uoneinByU09 8p 43 UOHESIINP anue UTILISATEURS Le service d authentification des utilisateurs n cessite la cr ation de comptes utilisateurs au niveau du firewall Pour acc der aux fonctionnalit s de ce module vous devez avoir au pr alable cr ou configur votre base LDAP voir document Configuration de l annuaire ou module Utilisateurs Configuration de l annuaire Les comptes contiennent l ensemble des informations relatives ces utilisateurs Identifiant de connexion Nom Pr nom Mail optionnel T l phone optionnel Description optionnel L cran des Utilisateurs se d compose en 2 parties Un bandeau affichant les diff rentes options La liste des CN ou utilisateurs dans la colonne de gauche accompagn s de leurs informations dans la colonne de droite Les actions possibles La barre de recherche Si vous recherchez un utilisateur ou un groupe d utilisateurs en particulier saisissez son nom Le champ de recherche vous permet de lister tous les utilisateurs et ou groupes d utilisateurs dont le nom le pr nom et ou le login correspondent aux mots clefs saisis Exemple Si vous saisissez la lettre a dans la barre de recherche la liste en dessous fera appara tre tous les utilisateurs ou groupes d utilisateurs poss dant un a dans leur nom et
315. r les listes d URL OPTENET s lectionnez dans la liste des fournisseurs propos s OPTENET En changeant de fournisseur le message suivant s affiche La base d URL actuelle va tre supprim e puis la base du fournisseur Optenet sera t l charg e Entre temps toute politique de filtrage URL qui utilise une cat gorie du fournisseur actuel cessera de fonctionner Durant la migration il est conseill d appliquer une politique de filtrage URL qui ne fait pas appel aux cat gories d URL tes vous sur de vouloir changer de fournisseur L Appliance prendra en compte la demande et effectuera le t l chargement des nouvelles listes d URL gr ce au module Active Update a N Un encadr situ sous la liste d roulante affiche des informations concernant les groupes d URL du fournisseur en cours d utilisation uoneinBU09 8p 43 UOHESIINP anue a A uoneanyuoo 8p 43 UOHESIINP anue PORTAIL D IDENTIFICATION Connexion Pour pouvoir configurer votre firewall NETASQ il faut vous connecter l interface d administration web La configuration d un firewall n est accessible qu aux administrateurs du produit L attribution des droits aux utilisateurs et ou aux groupes d utilisateurs est effectu e dans le menu Syst me Administrateurs par le super admin ou l administrateur qui dispose de tous les droits Pr sentation de l cran Le module de connexion se d compose en 2 parties Une partie fixe Une
316. r les rapports Groupe de mails qui seront envoy s les rapports complets d taill s Les rapports d taill s comportent un r sum des vuln rabilit s ainsi que leur description d taill e famille client possibilit d exploitation distance ainsi qu un lien vers sa r f rence dans la base de connaissance NETASGQ qui inclut g n ralement des indications sur le correctif appliquer i REMARQUE Les groupes de mails se configurent le menu Notifications Alertes e mail onglet Destinataires B R uoneinByU09 8p 43 UOHESIINP anue MANAGEMENT DES VULNERABILITES Liste des l ments r seaux sous surveillance Dans la grille se trouve la liste des objets surveill s avec le profil de supervision qui leur est associ El ment r seau Choix de l objet r seau pour lequel s applique la surveillance Cet objet est machine ou analys par le moteur NETASQ Vulnerability Manager qui se basera sur les r gles contenues dans le profil de supervision associ L objet li au profil ne peut tre qu une machine un groupe de machines un r seau ou une plage d adresses 13 AVERTISSEMENT La liste des l ments surveill s est prise en compte de mani re ordonn e Cela signifie que si un l ment r seau est pr sent plusieurs fois dans cette liste seul le premier profil de supervision s appliquera groupe r seau plage d adresses Remaraue ll est possible de cr er un objet au sein de l
317. r va aussi bien v rifier les noms que les commentaires tout ce qui concerne le sujet de la recherche D sactiver les diagnostics en temps r el de la politique de s curit Lorsque vous cr ez une r gle au sein de la politique de s curit le moteur de diagnostic va automatiquement v rifier si des r gles se chevauchent si des erreurs sont rep r es En cochant cette case vous sugg rerez une recherche manuelle de ces possibles erreurs La semaine commence le dimanche En cochant cette case les Objets temps figurant dans le menu Objets d marreront leur semaine le dimanche Confirmer avant d appliquer les modifications Cette option va permettre d annuler vos actions si vous avez effectu une fausse manipulation ou si vous d cidez de ne pas poursuivre votre configuration En effet une fen tre de confirmation s affichera permettant de valider ou non votre action PR F RENCES Liens externes URL d acc s l aide en Cette URL vous rappelle l adresse d acc s l aide en ligne NETASQ ligne vous y trouverez l arborescence des modules par ordres alphab tique Cliquez sur le module de votre choix afin d afficher la page correspondante URL d acc s la Cette adresse vous permettra d acc der un document d aide la documentation des alarmes compr hension du module Alarmes figurant dans la base de connaissance NETASQ URL d acc s la suite Cette URL vous permet de t l
318. rberos ne n cessite pas de configuration sp cifique pour cela uoneinByUo9 8p je UOHESIIANP anue s AUTHENTIFICATION Etape 5 R sum Configuration de l authentification Cet cran vous permet de finaliser la configuration de l authentification que vous venez d effectuer Pour Kerberos l encadr r capitulatif contient Le nom de s l interface s depuis laquelle l authentification est autoris e La m thode d authentification utilis e Le nom de domaine Kerberos Le nom du serveur attribu Si ces informations vous conviennent vous pouvez cliquer sur Termin S authentifier sur l annuaire interne m thode LDAP Etape 1 Interfaces _Autoriser les utilisateurs s authentifier m Depuis les r seaux Si cette option est coch e l identification est rendue possible depuis les internes interfaces interfaces prot g es l int rieur de l entreprise mat rialis es par l ic ne g 3 prot g es Celles ci figurent dans le LAN d finissant le r seau local ou un ensemble de machine appartenant une m me organisation In Dmz etc Depuis les r seaux Il est possible de s identifier sur les firewalls depuis les interfaces non publics interfaces prot g es externes n cessaire Vous pouvez par exemple vous connecter sur un firewall depuis votre pour le VPN SSL domicile en passant par le VPN SSL Voir module VPN VPN SSL Depuis les r seaux En cochant cette cas
319. re un service DHCP aux utilisateurs de son r seau les utilisateurs seront cr dit s des serveurs DNS fournis par le fournisseur d acc s Onglet Membres du Bridge Une autre mani re d inclure des interfaces dans un bridge hormis le drag n drop consiste utiliser le panneau de cet onglet membre du bridge Pour d placer une interface disponible dans le bridge r alisez un drag n drop ou utilisez la fl che rouge au centre des 2 tableaux ou encore double cliquez sur l interface d placer Pour retirer une interface du bridge faites la m me manipulation dans le sens inverse N Cr ation d un bridge La cr ation d un Bridge est r alis e au moyen d un assistant vous permettant de cr er de mani re simple l interface Cliquez sur le bouton Ajouter de la barre d outils puis s lectionnez Ajouter un Bridge L cran de cr ation d un nouveau bridge s affiche note Le nombre de bridges cr er varie selon votre mod le de firewall uoneinByUo9 8p 43 UOHESIINP anue Identification du bridge Nom Nom utilisateur de l interface Ce nom doit tre unique et contenir 16 caract res au maximum Le nom du bridge ne peut contenir certaines appellations Commentaire Permet de donner un commentaire pour l interface INTERFACES Plan d adressage IP fixe En cochant cette option le bridge a un adressage statique Il faut dans ce cas indiquer statique son adresse IP et le masque de r
320. rement possibles sont Ne pas chiffrer D sactive le champ Accepter uniquement le trafic chiffr et autoriser les algorithmes suivants ainsi que les MPPE propos s Accepter uniquement le Autorise la connexion uniquement si le client chiffre les donn es trafic chiffr et autoriser les algorithmes suivants MPPE40 bits Autorise l utilisation du protocole de chiffrement MPPE 40 bits MPPE56 bits Autorise l utilisation du protocole de chiffrement MPPE 56 bits MPPE128 bits Autorise l utilisation du protocole de chiffrement MPPE 128 bits TABLEAU DE BORD Le tableau de bord pr sente une vue d ensemble des informations concernant votre firewall Il est repr sent par cette ic ne et est divis en 2 parties Le menu de configuration des modules gauche contenant 4 onglets d pliables et personnalisables selon vos besoins Mes favoris Configuration Objets Utilisateurs et groupes Une barre de recherche est disponible pour les 3 derniers modules cit s Une zone dynamique au centre contenant 9 modules ou widgets R seau Alarmes Ressources Licence Mat riel Propri t s Active Update Service Interfaces Par d faut chacune des fen tres est mise jour dynamiquement les composants les plus r cents sont t l charg s automatiquement et s affichent l cran i Le menu de configuration des modules Cette colonne r tractable bouton lt est
321. res 198 PROXY CACHE DNS 199 Activer le cache de requ te DNS 199 Liste des clients DNS autoris s utiliser le cache 199 Configuration avanc e 200 QUALITE DE SERVICE QoS 201 Trafic r seau 201 R servation ou limitation de la bande passante CBQ 201 Files d attente 202 File d attente par classe d application ou d affectation CBQ 202 Surveillance du trafic monitoring 204 File d attente par priorit 204 Files d attente disponibles 205 Cas d application et recommandations d utilisation 205 REGLES IMPLICITES 208 R gles de filtrage implicites 208 La grille de r gles 208 ROUTAGE 210 L onglet Passerelle 210 Configuration avanc e 210 Envoi de la configuration 212 L onglet Routage statique 212 Pr sentation de la barre de boutons 212 Pr sentation de la grille 213 SERVEUR PPTP 214 Configuration g n rale 214 Param tres transmis aux clients PPTP 214 Configuration avanc e 214 Chiffrement du trafic 215 TABLEAU DE BORD 216 Le menu de configuration des modules 216 Mes favoris 216 Configuration 216 La zone dynamique les widgets 217 R seau 218 Alarmes 218 Ressources 218 Licence 219 Mat riel 219 Propri t s 220 Active Update 220 Services 220 Interfaces 220 TRACES SYSLOG 221 Onglet Stockage local 221 Si le quota d espace disque est atteint 221 Configuration de l espace r serv pour les traces 221 Onglet Syslog 223 UTILISATEURS 224 Les actions possibl
322. rewall NETASQ Autoriser les tunnels TCP La m thode CONNECT permet de r aliser des tunnels s curis s au m thode CONNECT travers de serveurs proxies Si cette option est coch e la m thode CONNECT est autoris e au travers du firewall NETASQ Tunnels TCP Liste des ports de destinations autoris s Cette zone sert sp cifier quels types de service peuvent utiliser la m thode CONNECT Port de destination objet Le bouton Ajouter vous permet d ajouter des services via la base service d objets Pour modifier un service s lectionnez la ligne modifier puis faites votre nouvelle s lection Le bouton Supprimer vous permet de supprimer le service s lecti y R uoneanyuoo 8p 43 UOHESIINP anue PROTOCOLES ET APPLICATIONS Configuration avanc e Proxy explicite Le proxy explicite permet de r f rencer le proxy dans un navigateur et de lui transmettre directement les requ tes HTTP Autoriser plusieurs Cette option permet d attribuer une adresse IP commune plusieurs utilisateurs par adresse IP__ utilisateurs Qualit de la protection V rifier l encodage de En cochant cette option la politique de filtrage ne peut tre contourn e FURL Trafic mis vers le serveur Ajouter l utilisateur Si le proxy HTTP externe n cessite une authentification des utilisateurs authentifi dans l en t te l administrateur peut cocher cette option pour envoyer au proxy externe HTTP les inf
323. rewalls NETASQ le transit de ces trafics pourrait poser des probl mes de compatibilit en particulier sur Internet Plut t que de devoir d grader l utilisation d OWA pour tous les utilisateurs interne et externe l option R criture du User Agent permet une utilisation premium de OWA en interne compatibilit avec le mode premium facile obtenir et une utilisation d grad e en passant par le VPN SSL utilis par les utilisateurs nomades via Internet En effet les vieux navigateurs Web ne supportent pas ces extensions OWA fonctionne donc automatiquement en mode d grad lorsqu il rencontre le User Agent de ces navigateurs N R uoneinByU09 ap 43 UOHESIINP anue R crire le code En cochant cette option vous activez les r gles sp cifiques de r criture sp cifique au mode permettant de supporter Outlook Web Access en mode premium Premium d OWA R crire le code En cochant cette option vous activez les r gles sp cifiques de r criture sp cifique Lotus permettant de supporter les applications Web de Lotus domino Domino VPN SSL URLs alternatives pour ce serveur alias Alias du serveur Les alias permettent d indiquer au module VPN SSL que le serveur poss de plusieurs noms et ou adresses IP Si un serveur de mails est d fini comme l objet webmail intranet com auquel on assigne l alias 192 168 1 1 lorsque le lien visit sera http webmail intranet com ou
324. rface Une machine ne peut tre d finie dans une plage La passerelle d finie pour un r seau appartient ce r seau L onglet Machine L onglet Machine permet de d clarer les machines que le DHCP doit conna tre et leur appliquer une configuration particuli re Dans cet onglet il est possible de d finir une adresse IP et une passerelle par d faut Cette configuration se rapproche d un adressage statique mais rien n est indiqu sur le poste client Ainsi la gestion des adresses allou es et de la configuration des postes clients est simplifi e La grille affiche la machine et la passerelle cliquez sur la fl che droite de chaque cellule pour s lectionner un objet dans la base Oo AVERTISSEMENTS Vous devez choisir un objet pour lequel une adresse MAC a t configur e L adresse IP ne doit pas faire partie du plan d adressage d fini dans l onglet Plage d adresses L adresse IP doit faire partie de la plage d adresses de la des interface s du firewall qui d livre nt des adresses IP en DHCP uoneinByUo9 8p 43 UOHESIINP anue x L onglet Param tres du relai _externe Le relai DHCP est utilis si vous souhaitez rediriger les requ tes clientes vers un serveur DHCP Serveur s DHCP Choix de l adresse IP du relai DHCP Relayer les Le relai coute sur toutes les interfaces prot g es requ tes DHCP pour toutes les interfaces prot g es Interfaces d coute du servic
325. ribu s aux v nements par d faut Il en existe 4 que vous pouvez modifier en s lectionnant le niveau d sir au sein de la liste d roulante accessible en cliquant sur la fl che de droite Ignorer Aucune trace de l v nement ne sera conserv e au sein des logs Mineur D s que l v nement concern est d tect une alarme mineure est g n r e Cette alarme est report e dans les logs et peut tre envoy e par Syslog partie Traces Syslog ou par e mail voir module Alertes e mails V NEMENTS SYST MES Majeur D s que l v nement concern est d tect une alarme mineure est g n r e Cette alarme est report e dans les logs et peut tre envoy e par Syslog partie Traces Syslog ou par e mail voir module Alertes e mails Tracer Le firewall NETASQ n effectue aucune action Ceci est utile si vous voulez juste tracer certains flux sans appliquer d action particuli re Message langue Ce champ affiche le nom de l v nement syst me et ses caract ristiques et d pendante du n est pas ditable firewall 6 NOTE En cliquant sur la fl che de droite en t te de la colonne vous pouvez inverser l ordre d apparition des v nements Afficher l aide Lorsque vous s lectionnez un v nement au sein de la liste en positionnant votre curseur dessus un lien Afficher l aide apparait En cliquant sur celui ci vous serez renvoy sur la base de connaissances NETASQ donnant plus d
326. rille de filtrage est d di e la cr ation et la configuration des r gles Les actions sur les r gles de la politique de filtrage Rechercher Ce champ permet la recherche par occurrence lettre ou mot Exemple Si vous saisissez Network_internals dans le champ toutes les r gles de filtrage comportant Network_internals s afficheront dans la grille Nouvelle r gle Ins rer une ligne pr d finie ou d finir apr s la ligne s lectionn e 5 choix sont possibles les r gles d authentification d inspection SSL et de proxy HTTP explicite seront d finies via un assistant dans une fen tre part R gle standard Cette option permet de cr er une r gle vide laissant l administrateur la possibilit de remplir les diff rents champs de la grille de filtrage S parateur regroupement de r gles Cette option permet d ins rer un s parateur au dessus de la ligne s lectionn e et contribue am liorer la lisibilit et la visibilit de la politique de filtrage Elle peut par exemple permettre l administrateur de hi rarchiser ses r gles Ou de regrouper celles qui r gissent le trafic vers les diff rents serveurs uoneinByuo9 8p 43 UOHESIINP NUE x A partir de la version 9 0 1 vous pouvez copier coller un s parateur d un emplacement une autre uoneinByUo9 ap 43 UOHESIINP NUE s FILTRAGE ET NAT R gle d authentification Cette option a pour but de rediriger l
327. ris s depuis les r seaux internes vers l ext rieur go Gi Medium 3 En choisissant cette politique la pr vention d intrusion sera effectu e sur les connexions sortantes dans la mesure o le protocole peut tre d tect automatiquement par le moteur de pr vention des menaces Par exemple le port 80 est g n ralement utilis pour faire du HTTP Tout trafic sur le port 80 sera consid r comme du trafic HTTP par le firewall car ce port est d fini comme port par d faut pour le protocole HTTP les ports par d faut pour chaque protocole sont d fini depuis le menu Protection applicative Protocoles et applications En revanche si un autre protocole est utilis par exemple un tunnel ssh destination du port 80 la connexion sera alors d clar e ill gitime et bloqu e car le seul protocole autoris est l HTTP O REMARQUE Toutes les connexions sortantes TCP non analysables pour lesquelles aucune reconnaissance du protocole n est possible seront accept es uoneinByUo9 8p 43 UOHESIINP anue Low 4 Une analyse des protocoles sera forc e pour les connexions sortantes Remarque Toutes les connexions sortantes non analysables seront autoris es FILTRAGE ET NAT Filter 05 06 Hormis les 5 politiques configur es par d faut Block all High Medium Low Pass 07 08 09 all ditables si vous le souhaitez 5 politiques vides param trer vous m mes sont disponibl
328. rofils num rot s de 00 09 Chaque profil poss de par d faut le nom Default accompagn de sa num rotation Exemples 0 Defaut00 1 Default01 Pour s lectionner un profil il faut cliquer sur la fl che droit du champ dans lequel est inscrit par d faut DefaultO0 et choisir le profil voulu Par d faut chaque profil est configur de la mani re suivante uoneinByUo9 8p 43 UOHESIINP anue Etat Action Groupe d URL Commentaire Activ Passer any default rule pass all Les boutons Editer Cette fonction permet d effectuer 3 actions sur les profils Renommer en cliquant sur cette option une fen tre compos e de deux champs remplir s affiche Celle ci propose de modifier le nom d une part et d ajouter un commentaire d autre part Une fois l op ration effectu e cliquez sur Mis jour Il est galement possible d annuler la manipulation R ser Permet de rendre au profil sa configuration initiale de sorte que toutes les modifications apport es soient supprim es Le profil redevient actif sous l action Passer appliqu e tous les groupes d URL Copier vers Cette option permet de copier un profil vers un autre toutes les informations du profil copi seront transmises au profil r cepteur Il portera galement le m me nom Derni re Cette ic ne permet de conna tre la date et l heure exactes de la derni re modification modificati
329. rofils protocolaires Choisissez le profil applicatif associ au protocole en le s lectionnant au sein de la liste d roulante l aide de la fl che droite du champ Pour revenir au menu pr c dent cliquez sur le bouton Acc der la configuration globale a uoneinByUo9 8p 43 UOHESIINP anue S uoneanyuoo 8p 43 UOHESIINP anue PROTOCOLES ET APPLICATIONS Ce module contient la liste des divers protocoles et applications configurables depuis votre interface web Il est divis en 2 zones distinctes Les protocoles colonne de gauche Les profils attribuables aux protocoles et leur configuration colonne de droite La zone r serv e aux profils est vide par d faut et propose de S lectionner un protocole dans la colonne de gauche Les protocoles Recherche La barre de recherche permet de retrouver le protocole configurer en saisissant les premi res lettres de son nom Il est possible de travailler directement avec le protocole voulu en cliquant dessus Liste des protocoles Choisissez le protocole que vous souhaitez param trer au sein de la liste affich e Une fois le protocole choisi la configuration de celui ci peut d marrer Les profils S lection du profil Le menu d roulant propose 10 profils num rot s de 00 09 Chaque profil poss de par d faut le nom Default accompagn de sa num rotation Exemples 0 Defaut00 1 Default01
330. roite affichant les options de param trage de la m thode d authentification s lectionn e Le champ de m thode de redirection du proxy HTTP M thodes d authentification Le bouton Ajouter une m thode d authentification ouvre une liste d roulante vous proposant de choisir parmi 5 m thodes d authentification que vous pourrez Supprimer si besoin AUTHENTIFICATION LDAP La configuration de cette m thode est automatique et n cessite l impl mentation d une base LDAP vous devez vous rendre dans le menu Utilisateurs Confiquration de l annuaire pour y acc der Certificat SSL Apr s avoir s lectionn votre m thode d authentification dans la colonne de gauche vous pouvez saisir ses informations dans la colonne de droite qui pr sente les l ments suivants Autorit s de confiance C A La m thode d authentification SSL peut accepter l utilisation de certificats sign s par une autorit de certification externe au firewall Pour cela il est n cessaire d ajouter cette autorit de certification dans la configuration du firewall de fa on ce que celui accepte tous les certificats effectivement sign s par cette autorit Si l autorit de certification est elle m me sign e par une autre autorit de certification il est possible de rajouter cette autorit dans la liste des CA de confiance pour ainsi cr er une Cha ne de confiance Lorsqu une CA de confiance ou une cha ne de CA de confianc
331. roupe d URL pr c demment cr En cliquant sur le champ une liste d roulante vous invite choisir un groupe d URL issu de la base objets Le groupe lt Any gt correspond n importe quelle URL m me si elle ne fait pas partie des groupes d URL Action Permet de sp cifier le r sultat de la r gle Passer pour autoriser le site Bloquer pour interdire l acc s et clore directement la connexion sans message de blocage Rediriger vers la page de blocage pour interdire l acc s et afficher la page de blocage Commentaire Commentaire associ la r gle i REMARQUE Le cliquer glisser dran n drop ne s applique ici que pour les groupes d URL A partir de la version 9 0 1 les caract res et ne sont plus autoris s dans les URL Internet Explorer 7 et 8 Erreurs d tect es L cran d dition des r gles de filtrage d URL des firewalls dispose d un analyseur de coh rence et de conformit des r gles qui pr vient l administrateur en cas d inhibition d une r gle par une autre ou d erreur sur une des r gles qui a t cr es Cet analyseur regroupe les erreurs de cr ation de r gles et les erreurs de coh rence Les erreurs sont pr sent es sous forme de liste En cliquant sur une erreur la r gle concern e sera automatiquement s lectionn e eo uoneanyuoo 8p 43 UOHESIINP anue HAUTE DISPONIBILITE Ce module va vous permettre dans un premier temps de cr er un c
332. rrespondant notes 1 Si vous choisissez d activer ce mode vous devrez s lectionner un objet autre qu Any en tant que r seau distant 2 Avec le mode config une seule politique peut tre appliqu e par profil Commentaire Description associ e la politique VPN REMARQUE Vous ne pourrez utiliser et cr er qu un seul nomade roadwarrior par profil IPSec Les correspondants sont applicables tous les profils L onglet Correspondants uoneinByUo9 8p 43 UOHESINP anue Cet onglet est divis en deux crans A gauche la liste des correspondants VPN IPSec et VPN IPSec nomades A droite Les informations du correspondant s lectionn La liste des correspondants Chercher dans les Ce champ permet d effectuer une recherche sur le nom de Tobjet et ses correspondants diff rentes propri t s par occurrence lettre ou mot Filtrer 3 choix sont possibles Vous pouvez afficher dans la liste Tous les correspondants passerelles et nomades confondus Vous pouvez galement ne laisser appara tre que les Passerelles ou uniquement les Correspondants mobiles nomades Ajouter Il est possible d ajouter des correspondants cet endroit pr cis Pour cela i choisissez parmi la liste d roulante le type de correspondant cr er un Nouveau site distant ou un Nouveau correspondant nomade Vous pouvez aussi Copier depuis la s lection un correspondant celui
333. s Serveur FTP Outlook e mail Scanner de Serveurs Mail et Syst mes vuln rabilit s ou de d Exploitations Applications clientes et r seaux des syst mes d exploitation OS failles critiques Serveurs Gi failles critiques SSH Web Apps DB DNS Web Server FTP Server Misc Mail Server P2P OS MANAGEMENT DES VULNERABILITES Serveurs FTP Navigateurs et Outils autres clients d administration web Clients Client web lecteurs de d administration flux RSS FTP SSH etc Serveurs de mail Serveurs web serveurs de contenu web HTTP Serveurs base de donn es SQL Le profil Toutes les applications connues Il permet d attribuer un objet machine groupe r seau ou plage d adresses la d tection de toutes les vuln rabilit s clientes serveurs et syst mes d exploitation d tect es par NETASQ Vulnerability Manager Configuration avanc e Dur e de vie d une information jours 1 30 Dur e de r tention de l information application vuln rabilit sans trafic ou sans mise jour d tect Liste d exclusion l ments non supervis s 146 El ment surveill Une fois les objets associ s un profil il est possible d exclure un ou plusieurs machine ou objet s de l analyse groupe r seau Ainsi quelle que soit la configuration des l ments supervis s les membres de cette liste d exclusion ne seront pas s
334. s l ments de configuration avanc e PR F RENCES Param tres de l application Les l ments de configuration avanc e sont d roulables au sein de chaque module en comportant mais sont masqu s par d faut En cochant cette case vous les rendrez visibles l cran sans avoir besoin de les d rouler Afficher les utilisateurs d s l acc s au module En cochant cette option tous les utilisateurs seront affich s au sein de l arborescence de gauche Afficher les objets r seaux d s le lancement du module En cochant cette option tous les objets r seaux seront affich s au sein de l arborescence de gauche Afficher la politique de s curit globale Filtrage et NAT En cochant cette case lors de la connexion au menu Politique de S curit Filtrage et NAT l cran affichera la politique de s curit locale en vigueur Affichage de la politique de s curit Selon le nombre de r gles existantes vous pouvez choisir d en afficher 30 r gles par page 50 r gles par page 100 r gles par page 200 r gles par page 500 r gles par page En choisissant Automatique le moteur NETASQ essayera de d duire le nombre de r gles par page en fonction de votre configuration Param tres de l interface de management V rifier tous les champs d un objet lors d une recherche Lorsque vous effectuez une recherche par lettre ou par mot dans les champs d di s le moteu
335. s les certificats utilisateur les certificats Smartcard et les certificats serveurs Ajouter une sous autorit Lorsque vous cr ez une sous autorit les crans visibles sont similaires ceux de la cr ation d une autorit racine L assistant de configuration pour une sous autorit a besoin d une r f rence parente dont il va reprendre les informations La CA choisie comme r f rence pour la sous autorit sera la CA par d faut ou la derni re CA s lectionn e avant d avoir cliqu sur Ajouter une sous autorit uoneinByU09 8p 43 UOHESIINP NUE Vous devrez renseignez un CN et un identifiant dans un premier temps Vous devez ensuite saisir le mot de passe de l autorit parente dans la case pr vue cet effet Mot de passe autorit parente D L ic ne vous permet d afficher le mot de passe en clair pour v rifier qu il est correct Cliquez ensuite sur Suivant L cran qui suit vous demande de pr senter le mot de passe de votre CA et de le confirmer Vous pourrez galement renseigner votre E mail la Taille de cl en octets ainsi que la dur e de Validit en jours de votre sous autorit Vous verrez ensuite appara tre un r sum des informations saisies uoneinByuo9 8p 43 UOHESIINP NUE a CERTIFICATS ET PKI note Pour visualiser votre sous autorit au sein de la liste de gauche d roulez l autorit parente laquelle celle ci est rattach e Cliquez sur Term
336. s es sur le protocole HTTP Les diff rentes analyses effectu es par ce protocole notamment la v rification de la conformit aux RFC la validation de l encodage utilis dans l URL ou la v rification de la taille de l URL et du corps de la requ te vous permettent de stopper des attaques telles que Code RED Code Blue NIMDA HTR Buffer Overflow ou encore Directory Traversal La gestion des d bordements de tampons ou Buffer Overflow est primordiale chez NETASQ c est pourquoi la d finition des tailles maximales permises pour les tampons dans le cadre du protocole HTTP est particuli rement d velopp e Onglet IPS D tecter et inspecter Si le protocole est activ il est automatiquement utilis la d couverte d un automatiquement le paquet correspondant dans les r gles de filtrage Cette option n est pas protocole disponible pour les protocoles IP ICMP TCPUDP RTP RTCP MSN YMSG Extensions du protocole HTTP Autoriser le protocole Cette option autorise le transport de son travers le protocole HTTP Shoutcast Exemples Webradio webtv PUS Autoriser les Cette option permet d ajouter des fonctionnalit s d criture et de verrou au connexions WebDAV protocole HTTP ainsi que de s curiser plus facilement les connexions lecture et criture HTTPS Commandes HTTP autoris es Liste des commandes HTTP autoris es au format CSV Toutes les commandes incluses ne peuvent exc der 126
337. s afin de passer par le tunnel s curis tabli entre l applet et le firewall Il est n cessaire de s assurer que le port choisi est accessible l utilisateur probl me de droit et qu il ne peut pas entrer en conflit avec un port utilis par un autre programme Ces serveurs seront dynamiquement ajout s Cela peut tre utilis afin d effectuer des contr les et ou authentifications transparentes sur la provenance des requ tes Profils utilisateurs Si vous souhaitez restreindre l acc s aux serveurs d finis dans la configuration du VPN SSL vous devez d finir des profils contenant la liste des serveurs autoris s puis de les attribuer aux utilisateurs N p N uoneinByUo9 8p 43 UOHESIINP anue L onglet G n ral Activer le VPN SSL Permet d activer le VPN SSL et de choisir entre les trois options propos es dans le tableau ci dessous Uniquement l acc s Utilisation du module de VPN SSL pour l acc s aux ressources de type aux serveurs web Web Active l onglet Serveurs web N D uoneinByUo9 8p je UOHESIINP anue VPN SSL Uniquement l acc s aux serveurs applicatifs Utilisation du module de VPN SSL pour l acc s aux ressources sur une connexion de type TCP Active l onglet Serveurs applicatifs L acc s aux serveurs web et applicatifs Utilisation du module VPN SSL pour l acc s aux ressources de type Web et de type TCP Active les deux onglets Serveurs web et Serveurs a
338. s dans les RFC Vous pouvez laisser passer une commande la bloquer ou analyser la syntaxe et v rifier que la commande est conforme aux RFC en vigueur Bouton Modifier toutes les commandes Permet d autoriser de rejeter ou de v rifier toutes les commandes Commande Indication du nom de la commande Action Cela permet de d finir le comportement attribu la commande 3 possibilit s sont disponibles Il faut cliquer sur l action de la commande pour pouvoir la modifier Analyser les donn es li es la commande sont analys es en conformit avec les RFC et bloqu es si n cessaire Exemple Si le nom de la commande USER n est pas conforme aux RFC le paquet ne sera pas transmis au serveur Passer sans analyser la commande est autoris e sans v rification Bloquer la commande est bloqu e d office une alarme sera remont e pour le stipuler Autres commandes autoris es Commande Ce champ permet d ajouter des commandes personnelles suppl mentaires Onglet Analyse des fichiers Taille maximum pour Cette option est fonction des capacit s mat rielles de chaque mod le de l analyse antivirale Ko firewall Elle correspond la taille maximale qu un fichier peut atteindre afin qu il soit analys Celle ci est fix e 1000 Ko o AVERTISSEMENT Lorsque vous d finissez une taille limite de donn es analys es manuellement veillez conserver un ensemble de valeurs coh rentes En eff
339. s doivent pouvoir n gocier le trafic d un c t et de l autre Configuration en toile Ce proc d consiste diriger plusieurs tunnels VPN vers un m me point Il permet par exemple de relier des agences un site central R seau local Choisissez votre machine groupes de machines plage d adresses r seau ou groupe de r seaux qui sera accessible via le tunnel VPN IPSec au sein de la liste d roulante d objets Sites distants D finissez les param tres de vos sites distants choisissez votre correspondant uoneinByU09 8p 43 UOHESIINP anue parmi la liste de ceux d j cr s ou cliquez sur l ic ne pour en cr er un nouveau et s lectionnez les r seaux distants parmi les objets de la liste d roulante Vous pouvez en Ajouter ou en Supprimer en cliquant sur les boutons pr vus eteti Consid rer les Par d faut l interface IPSec est consid r e comme externe r seaux distants En cochant cette case l interface passe en mode prot g e comme des r seaux internes Cliquez sur Terminer VPN IPSEC S parateur regroupement de r gles Cette option permet d ins rer un s parateur au dessus de la ligne s lectionn e Cela peut permettre l administrateur de hi rarchiser ses tunnels comme il le souhaite La grille Ligne Cette colonne indique le num ro de la ligne 1 2 3 trait e par ordre d apparition l cran Etat Cette colonne affiche l tat On Off du tunnel Lors
340. s est lev Haut la fr quence d envoi des paquets DPD est lev e et le nombre d checs est relativement bas VPN IPSEC note Pour chaque champ comportant la mention Passerelle et l ic ne k VOUS pourrez ajouter un objet la base existante en pr cisant son nom sa r solution DNS son adresse IP et en cliquant ensuite sur Appliquer A partir de la version 9 0 1 le mode de n gociation principal ou agressif lorsqu il a t forc est conserv quand on modifie la configuration d un correspondant IPSec Correspondant de type nomade correspondant mobile Commentaire Description associ e au correspondant distant Passerelle distante Ce champ est gris pour les correspondants de type nomade Configuration de Ce champ est gris pour les correspondants de type nomade secours Profil IKE Cette option permet de choisir le mod le de protection associ votre politique VPN parmi les 3 profils pr configur s StrongEncryption GoodEncryption et FastEncryption Il est possible de cr er ou de modifier d autres profils au sein de l onglet Profils de chiffrement Identification M thode Ce champ affichera la m thode d authentification choisie lors de la cr ation de d authentification votre correspondant via l assistant Vous pouvez modifier votre choix en s lectionnant une autre m thode d authentification pr sente dans la liste d roulante note Pour un correspondant
341. s extensions L activation de ce protocole permet de pr venir des grandes familles d attaques applicatives bas es sur le protocole FTP Ce protocole effectue diverses analyses comme l analyse de conformit aux RFC la v rification de la taille des param tres des commandes FTP ou les restrictions sur le protocole SITE EXEC par exemple Ces analyses permettent ainsi de stopper les attaques comme FTP Bounce FTP PASV Dos Buffer Overflow Ce protocole est indispensable pour permettre au trafic FTP de traverser le firewall et de g rer dynamiquement les connexions de donn es du protocole FTP D tecter et inspecter Si le protocole est activ il est automatiquement utilis la d couverte automatiquement le d un paquet Cette option n est pas disponible pour les protocoles IP protocole ICMP TCPUDP RTP RTCP MSN YMSG Authentification Autoriser l authentification Activation du support de l authentification SSL pour le protocole FTP SSL uniquement En cochant cette option les donn es personnelles comme le login et le mot de passe pourront tre chiffr es et donc prot g es Ne pas analyser la phase Aucune v rification des donn es ne sera effectu e d authentification FTP Taille des l ments en octets La mise en place d une taille maximale pour les l ments en octets permet de lutter contre les attaques par d bordement de tampon buffer overflow Nom d utilisateur Nombre maximum
342. s le sch ma de l annuaire LDAP de votre firewall Organisation Le nom de votre soci t ex NETASQ Domaine Le pays dans lequel se trouve votre soci t ex fr Mot de passe D finition du mot de passe NetasqAdmin Confirmer Confirmation du mot de passe d administration LDAP que vous venez de renseigner dans le champ pr c dent Force du mot Ce champ indique le niveau de s curit de votre mot de passe Tr s Faible de passe Faible Moyen Bon ou Excellent Il est fortement conseill d utiliser les majuscules et les caract res sp ciaux o NOTE Seul le mot de passe sera modifiable par la suite une fois que vous aurez configur votre LDAP interne Cliquez sur Suivant pour passer l tape 3 Etape 3 Authentification Votre annuaire interne tant d sormais d fini cet cran vous permet d autoriser l acc s la base LDAP et d activer des options relatives l authentification Il propose 3 services Autoriser l acc s la Cette option permet de rendre l annuaire LDAP public base LDAP Autoriser l acc s au Restreinte aux interfaces internes en cochant cette option vous activez portail captif depuis les l authentification sur le portail captif r seaux prot g s interfaces internes Ceci quivaut l option Activer le portail captif depuis les interfaces internes du module Authentification dans le menu Utilisateurs Authentific
343. s obligatoire vous pouvez ici indiquer un raccourci de votre FQDN utile pour vos lignes de commande Exemple NETASQ propri taire du FQDN Proc dez ensuite de mani re similaire l ajout d un certificat utilisateur ou d un certificat Smartcard Sp cifier les diff rentes options pour votre certificat serveur Par d faut le champ Validit est fix 365 jours et le champ Taille de cl 2048 octets Vous pouvez ensuite Publier ce certificat dans l annuaire LDAP en cochant la case correspondante et d finir un mot de passe confirmer pour le container PKCS 12 Apr s avoir cliqu sur Suivant s lectionnez une autorit parente pour votre certificat et saisissez son mot de passe Vous verrez ensuite appara tre un r sum des donn es renseign es Cliquez sur Terminer uoneinByU09 8p 43 UOHESIINP anue En cliquant sur le certificat concern ses informations d taill es s afficheront droite de l cran en 1 unique onglet Onglet D tails 4 fen tres y reprennent les donn es concernant la Validit de l autorit son destinataire Emis pour son Emetteur et ses Empreintes informations sur le produit et sa version np anue s 5 2 a o f2 3 5 g Ed 5 Importer un fichier En cliquant sur ce bouton vous importerait un fichier contenant votre certificat par le biais de l assistant de configuration Cela vite de passer par l
344. s par la r gle La ou les machines l origine des flux d informations couverts par la r gle Le ou les protocoles IP les services TCP UDP ou les types de messages ICMP des flux d information couverts par la r gle le DSCP afin de d finir une diff renciation des flux La ou les machines destinataires des flux d informations couverts par la r gle L utilisateur ou le groupe d utilisateurs autoris s par la r gle Les attributs des paquets IP sont extraits des en t tes IP ICMP UDP ou TCP des trames En ce qui concerne l utilisateur ou le groupe d utilisateurs autoris s par la r gle partir du moment o un utilisateur s est identifi et authentifi avec succ s partir d une machine donn e le firewall retient ce fait et attribue le nom de l identifiant de cet utilisateur tous les paquets IP en provenance de l adresse de cette machine En cons quence les r gles qui sp cifient l authentification des utilisateurs m me sans pr ciser de contraintes sur les utilisateurs autoris s ne peuvent s appliquer qu des paquets IP mis d une machine partir de laquelle un utilisateur s est pr alablement authentifi Chaque r gle de filtrage peut sp cifier une action de contr le voir colonne Action Le Filtrage est compos de deux parties Le bandeau situ en haut de l cran permettant de choisir la politique de filtrage de l activer de l diter et de visualiser sa derni re modification La g
345. s pouvez galement choisir de capturer le paquet responsable de la remont e de l alarme en cochant la case correspondante La capture pourra tre visualis e gr ce un analyseur de r seau sniffer Cliquez ensuite sur Appliquer Pour chacun des 10 profils vous pouvez effectuer la configuration comme vous le souhaitez en en modifiant les param tres d crits ci avant ALARMES Vue par contexte Cette vue pr sente les alarmes par profils protocolaires La premi re liste d roulante gauche permet de s lectionner le contexte protocolaire Pour chaque protocole vous pouvez param trer jusqu 10 fichiers de configuration s lectionnables gr ce la seconde liste d roulante affichant default Vous pouvez changer le nom du fichier en vous reportant dans le menu Protection applicative Protocoles et applications S lectionnez une configuration au sein de la liste d roulante Cliquez sur le bouton Editer et s lectionnez Renommer 3 Changez ensuite le nom du profil dans l emplacement pr vu cet effet et ajoutez un commentaire si besoin Cliquez sur Mettre jour Vous retrouvez votre profil modifi dans la liste d roulante des fichiers de configuration du module Alarmes Au sein d un profil vous pouvez effectuer plusieurs actions Modifier la politique Internet En appliquant cette politique la plupart des niveaux d alarmes passeront en Ignorer Basse En appliqu
346. s widgets d agrandir la fen tre Repr sent par l ic ne cet outil permet pour le module tableau de bord de supprimer une colonne et pour les widgets de r duire la fen tre Repr sent par l ic ne cet outil permet de fermer votre widget Repr sent par l ic ne 2 cet outil permet le rafra chissement des donn es du tableau de bord ou du widget concern Repr sent par l ic ne cet outil ouvre le module associ au widget sur lequel vous vous trouvez et provoque de ce fait la fermeture du tableau de bord Repr sent par l ic ne cet outil vous permet de s lectionner les Composants que vous souhaitez voir appara tre sur le tableau de bord via un syst me de coche Vous pouvez galement param trer la Fr quence de mise jour des widgets Manuel uniquement vous devrez syst matiquement cliquer sur l ic ne Rafra chir Toutes les minutes ou Toutes les 5 minutes Repr sent par l ic ne cet outil permet d ajouter le module Tableau de bord voire rubrique Mes favoris au sein de l arborescence de gauche voir partie Le menu de configuration des modules TABLEAU DE BORD R seau Cette fen tre affiche le mod le de votre firewall multifonction NETASQ ainsi que le nombre d interfaces disponibles sur celui ci 32 maximum Le ou les interfaces utilis es apparaissent en vert et une info bulle contenant les informations de chacune d entre elles est
347. se une utilisation simultan e de plusieurs routes pour acheminer un paquet suivant un algorithme param trable L onglet Passerelle fonctionne avec un syst me de secours backup Routage statique Permet la d finition des routes statiques Le routage statique repr sente un ensemble de r gles d finies par l administrateur ainsi qu une route par d faut Ces deux parties fonctionnent simultan ment le routage statique tant prioritaire sur tout le reste lors de l acheminement d un paquet sur le r seau L onglet Passerelle 210 Passerelle par Le routeur par d faut est g n ralement l quipement qui permet l acc s de votre d faut r seau Internet C est cette adresse que le firewall NETASQ envoie les routeur paquets qui doivent sortir sur le r seau public Bien souvent le routeur par d faut est connect l Internet Si vous ne configurez pas le routeur par d faut le firewall NETASQ ne sait pas laisser passer les paquets poss dant une adresse de destination diff rente de celles directement reli es au firewall Vous pourrez communiquer entre les machines sur les r seaux internes externes ou DMZ mais aucun autre r seau dont Internet Cliquer sur le bouton permet d acc der la base d objets et de s lectionner une machine Une fois la s lection faite le nom de la machine r appara t sur l cran Cette option peut tre gris e dans le cas o plusieurs passerelles principales sont d fini
348. seau du sous r seau auquel appartient le bridge IP dynamique En cochant cette option l interface est d finie par DHCP Il faut dans ce cas indiquer obtenue par un nom d h te DHCP qui est un nom de serveur FQDN pour la connexion DHCP Ce champ facultatif n identifie pas le serveur DHCP mais le firewall Si le champ est rempli et que le serveur DHCP externe poss de l option de mise jour automatique du serveur DNS alors le serveur DHCP met jour automatiquement le serveur DNS avec le nom fourni par le firewall et l adresse IP qui lui a t fournie et le temps allou obligatoire Ce nom se compose de 6 octets en hexad cimal s par s par des ll faut galement indiquer une p riode de conservation de l adresse IP avant ren gociation Cliquez sur Suivant au bas de l cran L cran de cr ation du bridge tape 2 s affiche S lectionnez les interfaces pour lesquelles vous souhaitez r aliser un bridge La liste Interfaces disponibles recense les Ethernets et les vlan d j pr sents dans la configuration Il faut s lectionner au moins deux interfaces qui composeront le bridge soit par l interm diaire des fl ches soit en effectuant un drag n drop entre les deux listes ou encore en double cliquant sur l interface Cliquez sur Terminer pour valider la cr ation Suppression d un bridge D Pour supprimer un bridge s lectionnez le dans l arborescence des interfaces puis cliquez sur le bouton Suppri
349. sente dans la liste d roulante note Pour un correspondant de type passerelle vous avez le choix entre Certificat ou Cl pr partag e PSK Certificat Si vous avez choisi la m thode d authentification par certificat ce champ affichera votre certificat Si vous avez opt pour la cl pr partag e ce champ sera gris Local ID Optionnel Ce champ repr sente une extr mit du tunnel VPN IPSec partageant le secret ou la PSK avec le Peer ID autre extr mit Le Local ID vous repr sente N Q A Peer ID Ce champ repr sente une extr mit du tunnel VPN IPSec partageant le secret ou la PSK avec le Local ID autre extr mit Le Peer ID repr sente votre correspondant uoneinByU09 8p 43 UOHESIINP anue Cl pr partag e Dans ce champ appara t votre PSK sous le format que vous avez choisi ASCII pr c demment lors de la cr ation du correspondant via l assistant caract res ASCII ou hexad cimaux case cocher au bas du champ si vous souhaitez en changer Confirmer Confirmation de votre cl pr partag e PSK Configuration avanc e Mode de En IPSec 2 modes de n gociation sont possibles le mode principal ou main n gociation mode et le mode agressif Ils influent notamment sur la phase 1 du protocole IKE phase d authentification Mode principal Dans ce mode la phase 1 se d roule en 6 changes La machine distante ne
350. sez ensuite l Inspection du trafic relay en indiquant si vous souhaitez attribuer une configuration par d faut au Filtrage URL et l Antivirus et les activer boutons On off Cliquez ensuite sur Terminer Supprimer Supprime la ligne s lectionn e note Il est possible de supprimer plusieurs lignes en m me temps en les s lectionnant avec la touche Ctrl puis en cliquant sur Supprimer Monter Placer la ligne s lectionn e avant la ligne directement au dessus Descendre Placer la ligne s lectionn e apr s la ligne directement en dessous Copier Ce bouton permet de copier une r gle de filtrage dans le but de la dupliquer Coller Ce bouton permet de dupliquer une r gle de filtrage apr s l avoir copi R init Lorsque vous cliquez sur la fl che de droite dans le champ du nom d une colonne colonnes exemple Etat vous avez la possibilit d afficher des colonnes suppl mentaires ou d en retirer afin qu elles ne soient pas visibles l cran gr ce un syst me de coche Exemple Vous pouvez cocher les cases Nom et Port src qui ne sont pas affich es par d faut En cliquant sur le bouton r init colonnes vos colonnes seront remises leur tat initial avant que vous n ayez coch de case additionnelle Ainsi les cases Nom et Port src seront de nouveau masqu es FILTRAGE ET NAT La grille de filtrage Elle vous permet de d finir les r gles de filtrage
351. sont chiffr s en DES ou AES une cl de chiffrement peut tre d finie Par d faut c est la cl d authentification qui est utilis e Mot de passe Q AVERTISSEMENT Il est vivement recommand d utiliser une clef sp cifique Algorithme Les deux types de chiffrement possibles sont DES et AES Par d faut le chiffrement se fait en AES L onglet SNMPv1 SNMPv2c L option Activer SNMPv1 v2c ou SNMPv1 v2c et SNMPv3 permet l activation du module SNMP V1 et V2c Connexion l agent SNMP Communaut Les premi res versions du protocole SNMP ne sont pas s curis es Le seul champ n cessaire est le nom de la communaut Par d faut le RPV R seau Priv Virtuel propose le nom public AVERTISSEMENT Nous vous conseillons toutefois de ne pas l utiliser pour des raisons de s curit Si vous souhaitez indiquer plusieurs communaut s s parez les par des virgules v Envoi des alertes SNMPv2c traps _Liste des serveurs SNMP Serveur de Machine recevant les traps objet de type Machine destination objet Port Port utilis pour envoyer les traps cette machine objet de type service d faut snmp trap Communaut Indication de la communaut uoneinByU09 8p je UOHESIINP anue Envoi des alertes SNMPv1 traps Par d faut la liste des machines recevant de traps V1 est minimis e pour orienter l utilisateur vers la version V2c AGENT SNMP Liste
352. sous CA Les actions possibles La barre de recherche Si vous recherchez un certificat ou une CA existante en particulier saisissez son nom Le champ de recherche vous permet de lister tous les certificats et les CA dont le nom correspond aux mots cl s saisis Exemple Si vous saisissez la lettre a dans la barre de recherche la liste en dessous fera appara tre tous les certificats poss dant un a Le filtre Ce bouton permet de choisir le type de certificat afficher et de ne voir que les l ments qui vous int ressent Un menu d roulant vous propose les choix suivants Tous Mat rialis par l ic ne cette option permet d afficher dans la liste de gauche toutes les autorit s et certificats pr alablement cr s uoneinByU09 8p 43 UOHESIINP anue s Autorit s Mat rialis par tic ne 2 cette option permet d afficher dans la liste de gauche toutes les autorit s et sous autorit s ifi tilisat PESA ai E eS 3 Cortincats utilisateur Mat rialis par l ic ne cette option permet d afficher uniquement les certificats utilisateur et les CA dont ils d pendent ifi Er Ha P P CU gerveur Mat rialis par l ic ne D cette option permet d afficher uniquement les certificats serveur et les CA dont ils d pendent Certificata Smartcard Mat rialis par l ic ne cette option permet d afficher uniquement les certificats Smartcard et les CA dont ils d pende
353. sque vous cliquerez sur la fl che droite de la colonne En s lectionnant D faut la m thode choisie d office sera celle que vous avez d finie dans l onglet pr c dent Options par d faut champ Authentification M thode par d faut En s lectionnant Interdire l utilisateur ou groupe d utilisateur choisi ne pourra pas s authentifier SSL VPN Cette colonne vous permet d attribuer un profil VPN SSL en particulier un utilisateur ou un groupe d utilisateur pr alablement configur au sein du menu VPN module VPN SSL onglet Profils utilisateurs Vous pouvez galement s lectionner l option D faut qui prendra en compte le profil VPN SSL par d faut saisi dans l onglet pr c dent Options par d faut Si vous choisissez Interdire l utilisateur ou groupe d utilisateur n aura acc s aucun profil VPN SSL l inverse de l option Tous les profils qui ouvrira l acc s tous les serveurs web et applicatifs activ s au sein des profils utilisateurs IPSEC Ce champ permet d interdire ou d Autoriser des utilisateurs n gocier des tunnels VPN IPSec Selon votre choix les utilisateurs et les groupes d utilisateurs pourront ou non en interne communiquer sur vos r seaux IP priv s et prot g s permettant ainsi le transport s curis de leurs donn es REMARQUE Le droit IPSEC ne concerne que les tunnels avec authentification par cl pr partag e et des identifiants de type e mail uoneinByUo9 8p
354. t tre ajout C1 uoneinByU09 8p 43 UOHESIINP anue FILTRAGE SSL Les r gles R f rez vous la proc dure suivante pour diter un profil de filtrage SSL S lectionnez un profil dans la liste des profils de filtrage SSL La grille de filtrage se pr sente ainsi qu un cran d indication d erreur Les manipulations possibles Bouton Ajouter Ins rer une ligne configurer apr s la ligne s lectionn e Bouton Supprimer Supprimer la ligne s lectionn e Bouton Monter Placer la ligne s lectionn e avant la ligne directement au dessus Bouton Descendre Placer la ligne s lectionn e apr s la ligne directement en dessous La grille La grille pr sente les colonnes suivantes Etat Etat de la r gle Activ la r gle est utilis e pour le filtrage D sactiv la r gle n est pas utilis e pour le filtrage Lorsque la r gle est d sactiv e la ligne est gris e afin de refl ter la d sactivation REMARQUE Le firewall va valuer les r gles dans leur ordre d apparition l cran une une en partant du haut D s qu il rencontre une r gle qui correspond la demande il effectue l action sp cifi e et s arr te l Ce qui signifie que si l action sp cifi e au sein de la r gle correspond Bloquer toutes les r gles effectu es en dessous de celle ci seront consid r es Bloquer galement Action Permet de sp cifier l op ration effectuer Si Passer sans d chi
355. t au sein de la liste d roulante ou en cr er un en cliquant sur cette ic ne 8 Il sera ainsi possible de cr er une machine une plage d adresses IP ou un groupe Cliquez sur Appliquer une fois les donn es du nouvel objet renseign es Mot de passe Bien que cela soit optionnel vous pouvez renseigner un mot de passe pour votre ASCII serveur NTP avec lequel vous pourrez vous authentifier L onglet Administration du Firewall Acc s l interface d administration du Firewall Autoriser le compte Le compte admin est le seul compte ayant tous les droits Il peut se connecter admin se connecter sans certificat et par l m me forcer une connexion Il est n cessaire de cocher cette case si vous souhaitez conserver ces acc s privil gi s O AVERTISSEMENT Ce compte est consid rer comme dangereux aux vues de l tendue des possibilit s de configuration et des acc s lui tant attribu s Port d coute Ce champ repr sente le port sur lequel vous pourrez acc der l interface d administration https tcp 443 par d faut uoneinByUo9 ap 43 UOHESIINP NUE e note Vous pouvez cr er un port d coute suppl mentaire en cliquant sur l ic ne Oo AVERTISSEMENT L objet ne peut tre que de type TCP et non UDP Activer la protection Les attaques par force brute se d finissent par des tentatives de connexion contre les attaques par r p t es au firewall en testant tout
356. t de passe d authentification leur premi re connexion sur le portail d authentification du firewall puis chaque fois que la dur e de validit du mot de passe est expir Cette dur e est sp cifi e en jours Un champ intitul Dur e de vie apparait au dessous vous permettant d indiquer le nombre de jours de validit du mot de passe Configuration de l authentification Cet cran vous permet de finaliser la configuration de l authentification que vous venez d effectuer Pour l annuaire interne l encadr r capitulatif contient Le nom de s l interface s depuis laquelle l authentification est autoris e La m thode d authentification utilis e L tat de l option d enr lement Active ou Inactive Le type de gestion des mots de passe choisi Voir Etape 4 Si ces informations vous conviennent vous pouvez cliquer sur Termin S authentifier sur une base RADIUS RADIUS est un protocole d authentification standard fonctionnant en mode client serveur Il permet de d finir les acc s r seau des utilisateurs distants Ce protocole est dot d un serveur reli une base d identification annuaire LDAP etc Le firewall NETASQ peut se comporter comme un client RADIUS Il peut alors adresser un serveur RADIUS externe des demandes d authentification pour les utilisateurs d sirant traverser le firewall L utilisateur ne sera authentifi que si le RADIUS accepte la demande d authentification envoy e
357. t de type MIME PROTOCOLES ET APPLICATIONS Cochez la case pour activer l extension Activer l extension REFER L extension REFER est utilis e notamment pour le transfert ou la RFC3515 redirection d appels Si un correspondant A essaie de joindre B et que ce dernier est indisponible A sera redirig vers un correspondant C qui fait office de r f rent pour B Cochez la case pour activer l extension Activer l extension PUBLISH L extension PUBLISH permet de publier l tat des v nements vers un RFC3903 destinataire Cochez la case pour activer l extension Activer le support pour le Cette extension permet de faire coexister des t l phones SIP avec des protocole PINT services non IP fax etc Cochez la case pour activer l extension Activer le support pour Cette option permet d activer le support de Microsoft Windows Microsoft Messenger MSN Messenger Support D sactiver la pr vention En cochant cette option l action passer sera automatiquement 7 d intrusion d l trage URL Tracer chaque requ te SIP Active ou d sactive les logs permettant de tracer les requ tes SIP o Autres Cette partie est d di e au reste des protocoles que vous pouvez rencontrer et non cit s ci avant L cran est divis en cinq colonnes Tous les protocoles tant activ s par d faut double cliquez sur la colonne pour d sactiver la d tection automatique du
358. t et ajoutez un commentaire si besoin Cliquez sur Mettre jour Vous retrouvez votre profil modifi dans la liste d roulante des configurations du module Alarmes Gi Au sein d un profil vous pouvez effectuer plusieurs actions _Appliquer un mod le uoneinByUo9 8p 18 UOHESIINP NUE Internet En appliquant ce mod le la plupart des niveaux d alarmes passeront en Ignorer Basse En appliquant ce mod le la plupart des niveaux d alarmes passeront en Mineur Moyenne En appliquant ce mod le les niveaux d alarmes seront modifi s en fonction du profil choisi Haute En appliquant ce mod le la plupart des niveaux d alarmes passeront en Majeur Nouvelles alarmes Tout approuver En s lectionnant cette option toutes les nouvelles alarmes mat rialis es par l ic ne seront accept es l ic ne dispara tra et la colonne action concernant ses alarmes affichera Autoriser D uoneinByU09 8p 43 UOHESIINP anue Rechercher Cet emplacement permet de n afficher que la ou les alarmes contenant la lettre ou le mot saisi Pr s lection Cette liste contient les diff rents protocoles et services pris en charge par les alarmes vous pouvez uer un tri et n afficher que les alarmes faisant partie des cat gories suivantes Aucune Toutes les alarmes seront affich es sans distinction de cat gorie Nouvell Ne et 2 ess Seules les nouvelles alarmes
359. t les suivantes AUTH Utilis e dans le but d viter l usurpation d identit cette commande permet l utilisateur ou l administrateur de s authentifier en toute s curit CHPWD Permet de red finir le mot de passe si n cessaire CONFIG Permet d acc der aux fonctions de configuration du firewall regroupant 38 69 commandes implicites CONFIG ACTIVATE CONFIG ANTISPAM etc cf La a zone de saisie g GLOBALADMIN Permet d obtenir des informations sur le syst me et comprend deux commandes 2 implicites GETINFOS et GETSTATUS o a HA Permet d acc der aux fonctions de la Haute Disponibilit regroupant 8 S commandes T HELP Cette commande comme dit pr c demment permet d afficher la liste des amp commandes ex cutables principales LIST Affiche la liste des utilisateurs connect s en montrant les droits utilisateurs par a niveau et les droits pour la session en cours SessionLevel 8 LOG Permet d afficher de consulter les journaux d activit s du firewall multifonction 3 NETASQ regroupant 6 commandes MODIFY Cette commande est un droit sp cifique permettant l utilisateur de modifier la re configuration d un module en plus de la lecture S MONITOR Permet d acc der aux fonctions relatives au MONITOR contenant 20 commandes NOP Aucune action ne sera effectu e tout en vitant la d connexion du serveur PKI Permet d afficher ou de t l charger la PKI regroupant 7
360. tableau celle ci passe en priorit suivante Supprimer S lectionnez la ligne retirer de la liste et cliquez sur Supprimer Algorithme 5 choix vous sont propos s des 3des blowfish cast128 et aes Force Nombre de bits d finis pour l algorithme s lectionn o REMARQUES Ces deux grilles ne s affichent que si vous avez s lectionn le type de profil IPSec Pour un profil de type IKE seule une grille Propositions s affichera divis e en deux colonnes Authentification et Chiffrement avec leurs algorithmes respectifs Vous pourrez en Ajouter ou en Supprimer en modifiant l ordre de priorit l aide des boutons Monter et Descendre Cliquez sur Appliquer une fois votre configuration effectu e Y En uoneinByU09 8p 43 UOHESIINP NUE VPN SSL Le VPN SSL NETASQ permet vos utilisateurs nomades ou non de se connecter sur les ressources de votre soci t de fa on s curis e L cran de configuration du VPN SSL se compose de 4 onglets G n ral Permet l activation du module le choix du type d acc s ainsi que la configuration avanc e Serveurs web Le VPN SSL NETASQ permet de s curiser les acc s vos serveurs HTTP Intranet webmail tout en vitant de devoir g rer de multiples serveurs https De plus pour l acc s aux utilisateurs nomades il permet de masquer les informations sur votre r seau interne la seule adresse IP visible tant celle de votre firew
361. ter une surveillance du trafic cliquez sur le bouton Ajouter une file d attente puis s lectionnez Surveillance du trafic MONQ Modification d une surveillance du trafic Nom Nom de la file d attente configurer Type Type de file d attente parmi CBQ PRIQ ou MONQ Couleur Couleur de diff renciation de la file d attente Commentaire Commentaire associ v S E Suppression d une surveillance du trafic S lectionnez la ligne concern e dans la grille de surveillance de trafic puis cliquez sur le bouton Supprimer Un message s affiche vous demandant si vous souhaitez r ellement supprimer la file d attente File d attente par priorit ll existe 7 niveaux de priorit Les paquets seront trait s en fonction des priorit s param tr es Il est possible d associer une priorit lev e aux requ tes DNS en cr ant une r gle de filtrage et en lui associant une queue PRIQ Les files d attente par priorit induisent une priorisation des paquets dans leur traitement Les paquets qui sont associ s une r gle de filtrage avec une file d attente du type PRIQ sont trait s avant les autres Les priorit s s chelonnent entre 1 et 7 La priorit 1 correspond aux trafics les plus prioritaires parmi les files d attente PRIQ La priorit 7 correspond aux trafics les moins prioritaires parmi les files d attente PRIQ Les files d attente CBQ et les flux sans r gles de QoS sont associ s une priorit 8 virtuell
362. teurs de son r seau les utilisateurs seront cr dit s des serveurs DNS fournis par le fournisseur d acc s Configuration avanc e Cha ne Cha ne de caract res servant optionnellement initialiser la connexion d initialisation Connexion La connexion en cas de trafic la demande n tablit la connexion avec Internet que lorsqu une demande de connexion mane du r seau interne ce mode est plus conomique dans le cas d une liaison payante la dur e La connexion Permanente conserve la connexion vers l Internet active en permanence INTERFACES Cr ation d un modem Les interfaces modem sont utilis es dans le cas de connexions distantes lorsque votre modem est branch directement sur le firewall port s rie ou Ethernet Le firewall accepte tout type de modem ADSL RNIS RTC La cr ation de nouvelles interfaces modem se fait gr ce un assistant Le nombre maximal de modems disponibles sur votre firewall d pend du mod le Dans le menu R seau Interfaces cliquez sur le bouton Ajouter et s lectionnez Ajouter un modem Etape 1 Identification du modem Nom Indiquez un nom obligatoire Commentaire Description pour identifier la connexion Dialup Couleur Couleur attribu e la connexion distante Demander les Lorsque cette option est coch e le firewall r cup re les serveurs DNS serveurs DNS et aupr s du serveur DHCP fournisseur d acc s par exemple qu il contacte cre
363. tilisation d un mode particulier Les vitesses propos es sont D tection automatique 10 Mb Half duplex 10 Mb Full duplex 100 Mb Half duplex 100 Mb Full duplex 1 Gbps Full duplex Oo AVERTISSEMENT Si le firewall est directement connect un modem ADSL NETASQ vous recommande de forcer le m dia que vous voulez utiliser sur l interface en question D Ci Bande passante de l interface informatif Bande passante D finit le d bit sur une interface Il s agit d une entr e automatique non obligatoire sert au monitoring pour le calcul de la bande passante Modification d une interface Ethernet en mode avanc uoneinByuo9 8p 43 UOHESIINP anue Pour configurer une interface dans un r seau ne faisant pas partie d un bridge il suffit de la sortir de l arborescence du bridge avec la souris Vous pouvez ensuite configurer les param tres de l interface Lors du d tachement l cran de plan d adressage s affiche IP fixe En cochant cette option l interface a un adressage statique Il faut dans ce cas indiquer statique son adresse IP et le masque r seau IP dynamique En cochant cette option l interface est d finie par DHCP II faut dans ce cas indiquer obtenue par un nom d h te DHCP et une dur e de bail DHCP N uoneinByUo9 8p je uopesyn p NUE INTERFACES Modification d un Vlan Onglet Configuration de l interface Nom obligatoire Nom associ au
364. tination DNS dynamique de votre r seau vers une page sp cifique lorsque votre connexion n est pas lorsque l interface est en activit inactive uoneinByUo9 8p 43 UOHESINP anue x DROITS D ACCES Ce module se compose de 3 onglets O Options par d faut Cet onglet vous permet de d finir les acc s VPN SSL IPSEC ainsi que la m thode d Authentification par d faut Configuration par utilisateur Grille de r gles correspondant aux acc s VPN SSL IPSEC et d Authentification des utilisateurs et groupes d utilisateurs PPTP Permet d ajouter et de lister les utilisateurs ayant acc s au VPN PPTP par leur login et de leur cr er un mot de passe pour se connecter Onglet Acc s par d faut Authentification M thode par d faut Ce champ vous permet de d finir la m thode d authentification par d faut pour les utilisateurs ou de Bloquer l acc s afin qu ils ne puissent pas s identifier Vous visualisez dans la liste d roulante les m thodes d authentification que vous avez ajout es et activ es au pr alable au sein du menu Utilisateurs Authentification onglet M thodes disponibles Certificat SSL LDAP Radius SPNEGO Kerberos Vous pouvez cliquer sur Appliquer pour valider votre configuration VPN SSL Les profils VPN SSL voir menu VPN module VPN SSL repr sentent l ensemble de serveurs web et applicatifs que vous souhaitez lister afin de les attribuer vos utilisateurs ou group
365. tion S l cran Etat Cette colonne affiche l tat On Off du tunnel Lorsque vous en cr ez un celui ci s active par d faut Cliquez une fois dessus pour le d sactiver R seau local Choisissez votre machine groupes de machines plage d adresses r seau ou groupe de r seaux qui sera accessible via le tunnel VPN IPSec au sein de la liste d roulante d objets Correspondant Configuration de correspondant visible au sein de l onglet du m me nom dans le module VPN IPSec R seau distant Choisissez parmi la liste d roulant d objets voire machine groupes de machines plage d adresses r seau ou groupe de r seaux faisant r f rence au N Le O VPN IPSEC correspondant VPN en vis vis de votre firewall note Lorsque vous cr ez une nouvelle politique VPN IPSec nomade via l assistant il vous est demand de fournir le r seau local et non le r seau distant puisque l adresse IP n est pas connue L objet Any sera donc choisi par d faut Profil de Cette option permet de choisir le mod le de protection associ votre politique chiffrement VPN parmi les 3 profils pr configur s StrongEncryption GoodEncryption et FastEncryption I est galement de cr er et de modifier d autres profils au sein de l onglet Profils de chiffrement Mode config Cette colonne rend possible l activation du Mode config d sactiv par d faut Celui ci permet de distribuer l IP d extr mit de trafic au co
366. tion permet la garantie d un d bit donn et d un d lai maximal de transfert Configur e en Kbits s ou en pourcentage de la valeur de r f rence cette valeur est partag e entre tous les trafics affect s par la r gle de QoS Ainsi si les trafics HTTP et FTP sont associ es une file d attente qui poss de un minimum garanti de 10Kbits s alors la bande passante HTTP la bande passante FTP sera au minimum de 10Kbits s Cependant rien n emp che que la bande passante HTTP soit de 9Kbits s et la bande passante soit seulement de 1Kbit s REMARQUE Si vous saisissez une valeur sup rieure Max inv dans ce cas le message suivant s affiche trafic descendant La bande passante minimale garantie doit tre inf rieure ou gale la bande passante maximale Y S Max inv Agissant comme une limitation cette option interdit le d passement de bande passante pour le trafic descendant affect par ces files d attente Configur e en Kbits s en Mbits s en Gbit s ou en pourcentage de la valeur de r f rence cette valeur est partag e entre tous les trafics affect s par la r gle de QoS Ainsi si les trafics HTTP et FTP sont associ es une file d attente qui poss de un maximum autoris de 500Kbits s alors la bande passante HTTP la bande passante FTP ne doit pas d passer 500Kbits s Couleur Couleur de diff rentiation de la file d attente Commentaire Commentaire associ REMARQUE Lorsque vous s lecti
367. tivement sur Supprimer ANTISPAM Li REMARQUES GENERALES L antispam qualifiera comme Spam tous les messages provenant des domaines cit s dans la liste noire Le filtrage par liste blanche et liste noire pr vaut sur les m thodes d analyses par liste noire DNS et analyse heuristique Le nom de domaine de l exp diteur est successivement compar aux domaines en liste noire et liste blanche Pour chacune des listes il est possible de d finir jusqu 50 domaines Il n est pas possible d avoir dans une liste deux fois le m me domaine Le domaine peut se trouver soit en liste blanche soit en liste noire Un nom de domaine peut contenir des caract res alphanum riques _ et Les caract res Wildcard et sont galement autoris s La longueur du nom de domaine ne peut exc der 128 caract res uoneinByU09 8p 43 UOHESIINP NUE s ANTIVIRUS L cran de configuration du service Antivirus comporte 2 zones Une zone de choix de l antivirus Une zone de param tres Moteur antiviral La liste d roulante permet de migrer entre solutions Antivirus ClamAV ou Kaspersky En s lectionnant un antivirus le message suivant s affiche Le changement d antivirus n cessite le t l chargement complet de la base antivirale Durant cet intervalle l analyse antivirale chouera Cliquez sur Changer de moteur pour valider votre choix Une fois que la base est t l charg e l antivirus est activ
368. tomatiquement en fonction de l op ration et des adresses IP source Il est possible de la modifier pour appliquer la r gle sur une autre interface Cela permet galement de sp cifier une interface particuli re si Any a t s lectionn e comme machine source Cliquer sur Ok pour valider votre configuration Onglet Configuration avanc e Configuration avanc e Port source Ce champ permet de pr ciser le port utilis par la machine source si c est une valeur particuli re Par d faut le module Stateful m morise le port source utilis et seul celui ci est autoris pour les paquets retour Via Ne pas v rifier Cette option implique qu aucun des deux services suivants ne seront utilis s la connexion ne passera pas par le proxy HTTP ne sera pas redirig vers la page d authentification et ne passera pas par un tunnel VPN IPsec Proxy HTTP explicite Le trafic provient du proxy HTTP Proxy SSL Le trafic provient du proxy SSL Tunnel VPN IPsec Le trafic provient d un tunnel VPN IPsec DSCP source Ce champ permet de filtrer en fonction de la valeur du champ DSCP du paquet re u Cliquer sur Ok pour valider votre configuration Destination Objet destination utilis comme crit re de s lection pour la r gle un double clic sur cette zone permettra de choisir la valeur associ e dans une fen tre d di e Celle ci comporte deux onglets Onglet G n ral G n ral
369. toris e Si cette case est coch e vous ne pourrez effectuer aucune action d criture CONFIGURATION DE L ANNUAIRE LDAP Acc s en criture E Branche utilisateurs Donnez le nom de la branche LDAP pour stocker les utilisateurs Exemple ou users Branche groupes Donnez le nom de la branche LDAP pour stocker les groupes d utilisateurs E Exemple ou groups Configuration avanc e S Caract res prot g s Pour certains serveurs externes il est n cessaire d ajouter un pour que les requ tes LDAP soient comprises Hachage des mots de passe La m thode de chiffrement des mots de passe des nouveaux utilisateurs Certaines m thodes d authentification comme LDAP doivent stocker le mot de passe utilisateur sous la forme d un hash r sultat d une fonction de hachage appliqu e au mot de passe qui vite le stockage en clair de ce mot de passe Vous devez choisir la m thode de hash d sir e parmi SHA Secure Hash Algorithm Cette m thode de chiffrement permet d tablir une cha ne de caract res de 160 bits ou octets appel cl qui sert de r f rence pour l identification MD5 Message Digest Cet algorithme permet de v rifier l int grit des donn es saisies en g n rant une cl MDS de 128 bits REMARQUE Cette m thode poss dant un nombre d octets moins lev et par cons quent un niveau de s curit plus faible celle ci est moins robust
370. tration web pour tous les utilisateurs connect s depuis une interface prot g e Pour restreindre l acc s l administration web r pertoire admin il faut indiquer une ou plusieurs machines depuis l cran Syst me Configuration onglet Administration du Firewall Un tableau permet de restreindre l acc s ces pages au niveau applicatif web 0 AVERTISSEMENTS Deux cas peuvent tre dangereux D sactiver la r gle Serverd peut amener en cas d absence de r gle explicite ne plus avoir d acc s avec les outils utilisant le port 1300 savoir NETASQ RealTime Monitor GlobalAdmin NETASQ Event Reporter NETASQ Centralized Management et NETASQ Event Analyzer D sactiver la r gle WebAdmin vous n aurez plus acc s l interface d administration web sauf si une r gle explicite l autorise v S uoneinByUo9 8p 43 UOHESIINP anue ROUTAGE Le fonctionnement du routage est segment en deux parties Passerelle 2 configurations sont possibles ici Une configuration simple dans laquelle il suffit d indiquer une passerelle par d faut pour utiliser plusieurs passerelles il faut utiliser la configuration avanc e Cet onglet permet donc la d finition de la route par d faut la d finition des passerelles principales et de secours ainsi que la configuration de la r partition de charge L onglet Passerelle peut tre consid r comme une forme avanc e de la route par d faut Il propo
371. ts TCP autoris s par d faut Vous pouvez en ajouter en cliquant sur le bouton appropri ou le retirer de la liste en le s lectionnant et en cliquant sur Supprimer 2 ICQ AOL IM OSCAR L cran des profils Onglet IPS uoneinByU09 8p 43 UOHESIINP anue D tecter et inspecter Si le protocole est activ il est automatiquement utilis la d couverte automatiquement le d un paquet correspondant dans les r gles de filtrage Cette option n est protocole pas disponible pour les protocoles IP ICMP TCPUDP RTP RTCP MSN YMSG Support D sactiver la pr vention En cochant cette option l action passer sera automatiquement d intrusion d clench e au sein du filtrage URL Tracer chaque requ te Active ou d sactive les logs permettant de tracer les requ tes OSCAR OSCAR N PROTOCOLES ET APPLICATIONS L cran de la configuration globale OSCAR liste des ports TCP par d faut Cette liste contient les ports TCP autoris s par d faut pour le protocole OSCAR Vous pouvez en ajouter en cliquant sur le bouton appropri ou le retirer de la liste en le s lectionnant et en cliquant sur Supprimer OSCAR over SSL liste des ports TCP par d faut Cette liste contient les ports TCP autoris s par d faut pour le protocole OSCAR passant par le SSL Vous pouvez en ajouter en cliquant sur le bouton appropri ou le retirer de la liste en le s lectionnant et en cliquant sur
372. u e cliquez Mis jour Il est galement possible d annuler la manipulation ser Permet de rendre au profil sa configuration initiale de sorte que toutes les modifications apport es soient supprim es Copier vers Cette option permet de copier un profil vers un autre toutes les informations du profil copi seront transmises au profil r cepteur Il portera galement le m me nom Derni re Cette ic ne permet de conna tre la date et l heure exactes de la derni re modification modification effectu e Un commentaire peut galement tre ajout a uoneinByU09 8p 43 UOHESIINP anue FILTRAGE SMTP Les r gles R f rez vous la proc dure suivante pour diter un profil de filtrage SMTP S lectionnez un profil dans la liste des profils de filtrage d URL La grille de filtrage se pr sente ainsi qu un cran d indication d erreur Les manipulations possibles Bouton Ajouter Ins rer une ligne vierge apr s la ligne s lectionn e Bouton Supprimer Supprimer la ligne s lectionn e Bouton Monter Placer la ligne s lectionn e avant la ligne directement au dessus Bouton Descendre Placer la ligne s lectionn e apr s la ligne directement en dessous La grille La grille pr sente les colonnes suivantes Etat Etat de la r gle Activ la r gle est utilis e pour le filtrage D sactiv la r gle n est pas utilis e pour le filtrage Lorsque la r gle est d
373. u mot de passe Ce champ indique le niveau de s curit de votre mot de passe Tr s Faible Faible Moyen Bon ou Excellent Il est fortement co ct res sp ciaux Activer l acc s non Les donn es saisies ne seront pas chiffr es mais affich es en clair chiffr PLAIN Activer l acc s SSL Afin de mettre en place l acc s SSL vous devrez s lectionner un certificat Certificat SSL pr sent Serveur pr alablement g n r par votre autorit racine ou un certificat import par le serveur Configuration avanc e Fonction de hachage des mots de passe La m thode de chiffrement des mots de passe des nouveaux utilisateurs Certaines m thodes d authentification comme LDAP doivent stocker le mot de passe utilisateur sous la forme d un hash r sultat d une fonction de hachage appliqu e au mot de passe qui vite le stockage en clair de ce mot de passe CONFIGURATION DE L ANNUAIRE LDAP de caract res de 160 bits ou octets appel cl qui sert de r f rence pour l identification E MD5 Message Digest Cet algorithme permet de v rifier l int grit des donn es saisies en g n rant une cl MD5 de 128 bits REmarQUE Cette m thode poss dant un nombre d octets moins lev et par cons quent un niveau de s curit plus faible celle ci est moins robuste aux attaques SSHA Salt Secure Hash Algorithm Repose sur le m me prin
374. uant le nombre 150 note Il peut tre int ressant de placer les interfaces inutilis es 0 afin qu elles n entrent pas en compte dans le calcul de la qualit Cliquez ensuite sur Appliquer j INTERFACES Le module Interfaces permet de g rer ajouter supprimer des l ments r seaux appel s interfaces r seau qui repr sentent des l ments physiques ou non de communication entre les diff rents r seaux qui transitent par le bo tier Les bridges se composent de 3 onglets les interfaces se composent de 2 onglets ethernet et vlan et les modems d 1 seul onglet Mode de fonctionnement entre interfaces Vous pouvez configurer le fonctionnement entre interfaces du firewall suivant trois modes diff rents Mode avanc Mode Bridge ou mode transparent Mode hybride Mode avanc En avanc chaque interface poss de une adresse IP diff rente et le r seau qui lui est reli fait partie de la m me classe Cela permet de configurer des r gles de translation pour acc der une autre zone du firewall Avec ce mode de configuration le firewall fonctionne comme un routeurltag gloss_ Routeur entre ses diff rentes interfaces Cela implique certains changements d adresses IP sur les routeurs ou serveurs lorsque vous les d placez dans un r seau diff rent derri re une interface du firewall diff rente Gi Les avantages de ce mode sont La possibilit de faire de la translation d adresses
375. ui lui a t fournie Ce nom se compose de 6 octets en hexad cimal s par s par des Dur e de bail P riode de conservation de l adresse IP avant ren gociation demand e RE Demander les Lorsque cette option est coch e le firewall r cup re les serveurs DNS aupr s serveurs DNS au du serveur DHCP fournisseur d acc s par exemple qu il contacte pour obtenir serveur DHCP et r m son adresse IP cr er les objets machine associ s D s que cette option est coch e deux objets sont dynamiquement cr s dans la base d objets Firewall_ lt nom de l interface gt _dns1 et Firewall_ lt nom de l interface_dns2 Ils peuvent ainsi tre utilis s dans la configuration du service DHCP Ainsi si le firewall offre un service DHCP aux utilisateurs de son r seau les utilisateurs seront cr dit s des serveurs DNS fournis par le fournisseur d acc s note Cette option est d sactiv e si l option IP dynamique obtenue par DHCP n est pas activ e dans l onglet Configuration de l interface N Bridge Routage sans analyse note Indication d sactiv si l option Plan d adressage h rit du bridge n est pas coch e dans l onglet Configuration de l interface et les options sont gris es Autoriser sans Permet de laisser passer les paquets IPX r seau Novell NetBIOS sur analyser NETBEUI paquets AppleTalk pour les machines Macintosh PPPoe ou IPv6 entre les interfaces du pont Aucune analyse ou auc
376. un filtrage de niveau sup rieur n est r alis sur ces protocoles le firewall bloque ou laisse passer uoneinByU09 ap 43 UOHESIINP anue INTERFACES Bridge Routage par interface note Indication d sactiv si l option Plan d adressage h rit du bridge n est pas coch e dans l onglet Configuration de l interface et les options sont gris es Pr server l routage Comme son nom l indique cette option permet de pr server le routage initial des machines connect es sur cette interface Ainsi vous pouvez sp cifier une passerelle par d faut pour certaines machines tout en sp cifiant sur le firewall une passerelle pour celles qui n en ont pas Cette option facilite l int gration du firewall dans une architecture compos e de nombreuses passerelles diff rentes Pr server les Cette option permet la transmission des trames tagu es sans que le firewall soit identifiants de une terminaison du VLAN Le tag VLAN de ces trames est conserv ainsi le Vlan firewall peut tre plac sur le chemin d un VLAN sans pour autant que ce VLAN soit coup par le firewall Le firewall agit de mani re compl tement transparente pour ce VLAN Adresse de la Ce champ sert au routage par interface Tous les paquets arrivant sur cette passerelle interface seront rout s via une passerelle M dia M dia Vitesse de liaison du r seau Par d faut le firewall d tecte le m dia automatiquement mais vous pouvez forcer l u
377. un nouvel enr lement Pas d email envoy Par d faut la liste d roulante affiche qu aucun email de sera envoy l administrateur pour le pr venir d une demande d enr lement Vous pouvez en outre d finir un groupe d utilisateurs auquel les demandes d enr lement seront transmises dans le menu Notifications Alertes e mails onglet Destinataires Une fois cr ce groupe sera automatiquement inclus au sein de la liste d roulante et pourra recevoir les requ tes si vous le s lectionnez Association utilisateur adresse IP Autoriser plusieurs En cochant cette option il est possible d enregistrer plusieurs logins sur la utilisateurs tre m me adresse IP authentifi s depuis la L adresse r elle des utilisateurs est masqu e par une adresse IP unique voir m me adresse IP Module Politique de S curit Filtrage et NAT Interdire Cette option permet d viter qu un utilisateur ne s identifie sur plusieurs l authentification postes en m me temps simultan e d un En l activant ses requ tes multiples seront automatiquement refus es utilisateur sur plusieurs machines Expiration du cookie HTTP uoneinByU09 8p 43 UOHESIINP anue s A la fin de la p riode Par d faut le cookie HTTP expire A la fin de la p riode d authentification ce d authentification qui signifie qu il n est n goci qu une seule fois pour toute la dur e d authentification A la fin de
378. uoneinByUo9 8p 43 UOHESIINP anue PROTOCOLES ET APPLICATIONS R ponse HTTP respmod ___ m a e Transmettre les r ponses Chaque r ponse du serveur HTTP vers le client est transmise au serveur HTTP au serveur ICAP ICAP Serveur ICAP Serveur Indication de la machine ICAP Port Indication du port ICAP Nom du service Icap Indication du nom du service mettre en place Cette information est diff rente suivant la solution utilis e le serveur ICAP ainsi que le port utilis Authentification sur le serveur ICAP On peut utiliser les informations disponibles sur le firewall pour r aliser des services ICAP Exemple Il est possible de d finir dans un serveur ICAP que tel ou tel site n est destin qu telle ou telle personne Dans ce cas vous pouvez filtrer selon un identifiant LDAP ou une adresse IP Transmettre le nom Cette option permet de se servir des informations relatives la base d utilisateur le groupe LDAP notamment l identifiant d un utilisateur authentifi Transmettre l adresse IP Cette option permet de se servir des adresses IP des clients HTTP du client P effectuant la requ te Adapter a Configuration avanc e Liste blanche pas de transmission au serveur ICAP n Serveur HTTP Machine Permet d ajouter des machines des r seaux ou des plages d adresses R seau Plage d adresse dont les informations ne seront pas transmises au serveur ICAP Ceux ci peuvent tre supprim s d
379. urit Apr s expiration d un certificat la CA l ayant mis n est plus responsable d une utilisation malveillante de celui ci Certificats inconnus Cette option va d terminer l action effectuer lorsque vous rencontrez des certificats auto sign s vous pouvez choisir de les Bloquer ou de Continuer l analyse en ne les consid rant pas Support Si le d chiffrement choue Cette option va d terminer l action effectuer lorsque le d chiffrement choue vous pouvez choisir de Bloquer le trafic ou de Passer sans d chiffrer En choisissant cette deuxi me possibilit le trafic ne sera pas inspect TCP UDP Le protocole TCP assure le contr le des donn es lors de leur transfert Il a pour r le de v rifier que les paquets IP envoy s sont bien re us en l tat sans aucune perte ou changement sur le plan de leur int grit Le protocole UDP peut remplacer le TCP en cas de probl me mineur il assure un transfert plus fluide car il ne contr le pas chacune des tapes de la transmission Il convient par exemple des applications de streaming diffusion audio vid o pour lesquelles la perte de paquets n est pas vitale En effet lors de ces transmissions les paquets perdus seront ignor s En choisissant TCP UDP au sein de la liste vous pouvez acc der deux crans La configuration globale L acc s aux profils L cran des profils Onglet IPS Connexion Inspection Imposer un
380. urveill s Le choix des objets exclure s effectue partir de cette grille en cliquant sur le bouton Ajouter plage d adresses uoneinByuo9 8p 43 UOHESINP anue rs Eat uoneinByU09 8p 43 UOHESIINP NUE MAINTENANCE Le module Maintenance va vous permettre d effectuer les r glages et les contr les de v rification n cessaires au bon fonctionnement de votre quipement Via l interface il est possible d tablir une configuration s curis e de votre firewall de proc der des sauvegardes et des mises jour de votre syst me comme l indique les 5 onglets suivants Configuration Sauvegarder Restaurer Configuration s curis e Mise jour du syst me Onglet Configuration Disque syst me Il est question du disque syst me de votre firewall multifonction NETASQ Vous utilisez actuellement la partition le disque syst me de votre firewall est d coup en deux partitions permettant de sauvegarder vos donn es Cette section indique la partition sur laquelle le produit a d marr Au d marrage utiliser la partition vous allez choisir la partition de d marrage du produit la partition principale ou de secours Partition principale Si vous cochez cette option votre firewall utilisera cette partition au d marrage PAPI Partition de secours La partition dite de back up repr sente votre derni re partition sauvegard e Cochez cette o
381. ut de combien de temps la connexion doit tre ferm e entre 10 et 3600 secondes Connexion ferm e D finissez en combien de temps la connexion doit tre ferm e compris entre 10 et 60 secondes Petite fen tre TCP D finissez la dur e de vie d une petite fen tre TCP comprise entre 5 et 604800 secondes Support D sactiver le proxy SYN En cochant cette case vous ne serez plus prot g contre les attaques de type SYN car le proxy ne filtrera plus les paquets uoneinByUo9 8p 43 UOHESIINP anue PROTOCOLES ET APPLICATIONS L cran de la configuration globale Onglet IPS D ni de Service DoS Nombre max de ports par seconde Ce nombre doit tre compris entre 1 et 16 ports par seconde Fr quence de purge table de session secondes D finissez au bout de combien de temps la purge des tables de sessions doit tre effectu e compris entre 10 et 172800 secondes Connexion Autoriser les connexions semi ouvertes RFC 93 section 3 4 Cette option permet d viter le d ni de service pouvant op rer au sein des connexions dites normales IP Onglet IPS MTU Imposer une limite MTU force la fragmentation Le MTU Maximum Transmission Unit repr sente la taille maximale d un paquet IP En cochant cette option vous d griserez la suivante et pourrez d finir votre limite Valeur maximale du MTU D finissez la va
382. ute principale tombe en panne la route de secours prend le relai si elle existe REMARQUE Les commandes sont pass es en temps r el lors du choix du partage de charge S il y a chec alors les boutons radio sont restaur s Les boutons d action Pour pouvoir ajouter ou supprimer des routes cliquez sur le bouton Ajouter ou le bouton Supprimer Ajouter Permet d ajouter une passerelle principale ou de sauvegarde Un clic sur ce _bouton ajoute une ligne la fin de la grille Supprimer _ Permet de supprimer une passerelle ou plusieurs passerelles simultan ment D placer dans Permet de basculer une route de la grille principale la grille de secours ou de la liste de la grille de secours la grille principale secours D plac er dans la liste principale Monter Permet de faire remonter dans la grille la passerelle s lectionn e afin que celle ci devienne prioritaire S Descendre Permet de faire redescendre dans la grille la passerelle s lectionn e afin que celle ci ait une priorit moindre Passerelles principales et de secours Les grilles pour les passerelles principales et les passerelles de secours comportent les colonnes ci dessous Passerelle objet Objet de type Machine d signant son IP qui fait office de route Cet objet machine peut tre une machine quelconque ou une passerelle de dialup Firewall_ lt nom_interface_dialup gt _peer Le nombre maximum de passerelles principales et de
383. vanc e 123 Modification d une interface Ethernet en mode avanc 125 Modification d un Vlan 126 Onglet Configuration de l interface 126 Onglet Configuration avanc e 127 Cr ation d un Vlan 128 VLAN attach une seule interface extr mit de VLAN 129 VLAN attach 2 interfaces VLAN traversant 129 Ajout de VLAN 131 Suppression d un Vlan 132 MANUEL D UTILISATION ET DE CONFIGURATION Modification d un modem Modem PPPoE Modem PPTP Modem PPP Cr ation d un modem Etape 1 Etape 2 Suppression d un modem 132 132 133 134 135 135 135 136 Remarques g n rales sur la configuration d un modem 136 LICENCE 137 L onglet G n ral 137 Les boutons 137 Les dates 137 Les informations importantes sur la licence 138 Installation partir d un fichier 138 Configuration avanc e 138 L onglet D tails de la licence 139 Les boutons 139 La grille 139 MANAGEMENT DES VULNERABILITES 143 Configuration g n rale 144 Liste des l ments r seaux sous surveillance 145 Configuration avanc e 146 Liste d exclusion l ments non supervis s 146 MAINTENANCE 147 Onglet Configuration Disque syst me 147 Maintenance 147 Rapport syst me sysinfo 147 Onglet Sauvegarder 148 Sauvegarde de configuration 148 Configuration avanc e 148 Onglet Restaurer 148 Mot de passe 148 Configuration avanc e 148 Onglet Configuration s curis e 149 Configuration
384. version Ajouter un certificat Smartcard Le certificat Smartcard est li un compte Microsoft Windows associ un utilisateur et un certificat Il permet de signer et d livrer des certificats permettant l authentification des utilisateurs enregistr s dans l Active Directory voir document Configuration de l annuaire LDAP Connexion un annuaire Microsoft Active Directory d une part mais galement dans votre base LDAP note A un utilisateur est attribu un compte Windows par cons quent chaque utilisateur est attribu un certificat Smartcard La CA utilis doit avoir des CRLDP d finis Nom CN Saisissez un nom pour le certificat Smartcard dans la limite de 64 caract res obligatoire maximum Identifiant Bien que le remplissage de ce champ ne soit pas obligatoire vous pouvez ici indiquer un raccourci de votre CN utile pour vos lignes de commande Exemple Si vous aviez choisi un nom et un pr nom pour votre CN l identifiant peut en indiquer les initiales uniquement E mail Renseignez dans ce champ l e mail de l utilisateur pour lequel vous souhaitez cr er un obligatoire certificat CERTIFICATS ET PKI Nom principal Saisissez le nom de du propri taire du compte Windows pour lequel vous souhaitez d utilisateur cr er un certificat Smartcard Windows Proc dez ensuite de mani re similaire l ajout d un certificat utilisateur Sp cifier les diff rentes options pour votre certif
385. vise en 2 zones Une zone de Configuration g n rale elle comporte une case d activation du module et des l ments de configuration g n rale Configuration avanc e une zone pour d terminer la dur e de vie d une information et pour les objets exclus P D uoneinByU09 8p 43 UOHESIINP anue MANAGEMENT DES VULNERABILITES Configuration g n rale Activer la d tection En cochant cette option la d tection des vuln rabilit s est activ e et les d applications et de informations seront visibles notamment depuis le NETASQ REALTIME vuln rabilit s MONITOR REMARQUE Lors de la mise jour et si vous avez acquis la licence le module Management de Vuln rabilit s sera activ par d faut La remont e d alertes se fera en fonction de la configuration par d faut surveiller l ensemble des vuln rabilit s pour toutes les machines internes O0 AVERTISSEMENT Pensez mettre jour la base de vuln rabilit s dans Syst me Active Update Sans une base jour le service ne peut fonctionner correctement La d tection des vuln rabilit s repose sur l analyse du trafic r seau Cela permet de d tecter une application et ou une faille d s la premi re activit de l utilisateur Envoyer les rapports Groupe de mails qui seront envoy s des rapports synth tiques simples Ces rapports sont succincts et comportent un r sum des vuln rabilit s par produit et des machines affect es Envoye
386. voi de la r ception d un fichier vers depuis un serveur FTP Exemple Virus d tect Transfert interrompu L onglet Page de blocage HTTP Cette fen tre affiche par d faut la page de blocage HTTP lors d une tentative d acc s un site bloqu par les r gles de filtrage URL La page de blocage par d faut se compose d une ic ne et d une phrase explicite permettant de comprendre pourquoi la page est bloqu e et de savoir quelle cat gorie de groupe d url ob it le site web non autoris Celle ci tant modifiable dans tous ses aspects il est possible par exemple de faire figurer une ic ne ou une phrase seule ou les deux etc Exemple Cette page n est pas autoris e par la politique de la soci t Elle fait partie de la cat gorie Jeux el D Modifier Ce bouton permet de personnaliser la page de blocage HTTP en modifiant le code HTML En cliquant sur ce bouton une feuille d di e appara t en dessous de la fen tre de blocage par d faut Cette feuille permet par exemple de changer l ic ne d illustration le texte sa police sa couleur sa taille REMARQUE Il existe des variables permettant de rendre dynamique les cat gories auxquelles appartiennent les sites bloqu s rule nom de la cat gorie host le nom du destinataire HTTP ex www google com url URL qui est bloqu e uoneinByU09 8p 43 UOHESIINP anue OBJETS RESEAUX Ce module est divis en deux
387. vra les v nements syst me majeurs et mineurs mineures Destinataire du Choix du groupe qui recevra les v nements syst me majeurs et mineurs message REMARQUE L tat des v nements syst me est visible dans un module portant le m me nom Dans le menu vous pouvez vous rendre dans Notifications Ev nements syst me ALERTES E MAILS L ongjlet Destinataires L cran se compose de 2 vues Groupes de destinataires S lectionnez un groupe Un groupe contient un certain nombre d adresses e mails Il est possible de cr er jusqu 50 groupes Il n existe aucun groupe pr configur Vous pouvez ajouter de nouveaux groupes et commentaires ou encore les supprimer Un groupe doit contenir au moins une adresse e mail Le nombre d adresses e mails dans un groupe est ind fini Il sera possible ensuite de choisir un groupe pour l envoi des rapports de vuln rabilit s d taill s ou simplifi s dans le menu Protection Applicative gt D tection de vuln rabilit s Cr er un groupe 1 Cliquez sur le bouton Nouveau groupe de destinataires Une ligne suppl mentaire s affiche dans la liste et vous demande de saisir le nom que vous souhaitez donner votre groupe Vous pouvez attribuer un commentaire ce groupe en vous positionnant sur Commentaire et en remplissant le champ pr vu cet effet Pour ajouter un destinataire positionnez vous sur le groupe choisi Son nom s affiche sur la droite
388. xemple DES force de 64 bits CAST128 128 bits et AES Quelque soit le niveau de s curit du mot de passe le niveau de chiffrement sera autoris Moyen et haut Seuls les algorithmes de moyenne et haute s curit seront tol r es Haut uniquement Seuls les algorithmes forts et les mots de passe dot s d un haut niveau de s curit seront tol r s D tection des donn es non chiffr es trafic en clair M thode de d tection Ne pas d tecter les donn es non chiffr es ne seront pas analys es Inspecter tout le flux tous les paquets re us seront analys s par le protocole SSL afin de d tecter du trafic en clair Echantillonage 7168 octets Seuls les 7168 premiers octets du flux seront analys s afin de d tecter du trafic en clair R solution des probl mes D sactiver l IPS En cochant cette option la configuration venant d tre effectu e au travers des diff rents champs compris dans l onglet ne sera pas prise en compte Activer les traces Active ou d sactive les logs permettant de tracer les requ tes SMTP D sactiver la d tection de Skype L application Skype utilise le port 443 et un protocole ressemblant du SSL valide Toutefois plusieurs concurrents bloquent l utilisation du Skype Cette option permet de d bloquer le trafic SKYPE sans pour autant arr ter d analyser le SSL Il suffit de cocher cette option pour bloquer le trafic SKYPE Onglet Proxy Conne
389. xion Conserver l adresse IP source originale Lorsqu une requ te est effectu e par un client web navigateur vers le serveur le firewall l intercepte et v rifie que celle ci soit conforme aux r gles de filtrage d URL puis il relaie la demande Si cette option est coch e cette nouvelle requ te utilisera l adresse IP source originale du client web qui a mis le paquet Dans le cas contraire c est l adresse du firewall qui sera utilis e Inspection de contenu Certificats auto sign s Cette option va d terminer l action effectuer lorsque vous rencontrez des certificats auto sign s vous pouvez choisir de les Bloquer ou de Continuer l analyse en les acceptant Ces certificats sont usage interne et sign s par votre serveur local Ils Ed uoneinByU09 8p 43 UOHESIINP NUE PROTOCOLES ET APPLICATIONS permettent de garantir la s curit de vos changes et entre autres d authentifier les utilisateurs Certificats expir s Cette option va d terminer l action effectuer lorsque vous rencontrez des certificats auto sign s vous pouvez choisir de les Bloquer ou de Continuer l analyse en ne les consid rant pas Les certificats expir s sont ant rieurs ou post rieurs la date en cours et ne sont donc pas valides Pour y rem dier ils doivent tre renouveler par une autorit de certification 0 AVERTISSEMENT Les certificats expir s peuvent pr senter un risque de s c
390. z le profil voulu et cliquez sur l option Copier la s lection puis donnez lui un nom Supprimer S lectionnez le profil de chiffrement retirer de la liste et cliquez sur Supprimer G n ral Commentaire Description associ votre profil de chiffrement Diffie Ce champ repr sente deux types d change de cl si vous avez s lectionn un Hellman Perfect profil de chiffrement type IKE c est l option Diffie Hellman qui appara tra Forward Secrecy Diffie Hellman permet 2 correspondants de g n rer chacun de leur cot un PFS secret commun sans transmission d infos sensibles sur le r seau En revanche si vous optez pour un profil IPSec le PFS vous sera propos Le Perfect Forward Secrecy permet de garantir qu il n y a aucun lien entre les diff rentes cl s de chaque session Les cl s sont recalcul es par l algorithme de Diffie Hellman s lectionn Plus le chiffre est lev plus la s curit est importante N p Que vous choisissiez l un ou l autre une liste d roulante vous propose de d finir un nombre de bits qui permet de renforcer la s curit lors de la transmission du secret commun ou mot de passe d un correspondant l autre Plusieurs choix en octets sont possibles 768 1024 1536 2048 3072 et 4096 REMARQUE Plus la taille du mot de passe ou cl est grande plus le niveau de s curit est lev mais consomme aussi davantage de ressources uoneinBU09 8p 43 UOHESIINP NU
Download Pdf Manuals
Related Search