Alphorm.com Formation Sophos UTM

07/01/2016

Formation Sophos UTM alphorm.com™©

Djawad KASSOUSFormateur et Consultant indépendant Solutions TI Réseaux et Sécurité

FormationSophos UTM

Site : http://www.alphorm.comBlog : http://blog.alphorm.comForum : http://forum.alphorm.com

07/01/2016

Plan• Présentation du formateur

• Présentation de la formation

• Contenu pédagogique

• Plan de la formation

• Public concerné

• Compétences requises

• Ressources et liens utiles

07/01/2016

Présentation du formateurMohamed Djawad KASSOUS• Ingénieur en Electronique : Systèmes informatique industrielle

Robotique, Automatisme, API, DSP, Arduino (µC)

• Responsable Technique | Partenaire MS, Cisco, Sophos, Symantec, IBM, Kaspersky, …

• Consultant indépendant :

Infrastructure Windows Server : 2008/2012 R2

Messagerie MS Exchange 2010/2013/Online (O365)

Virtualisation : MS Hyper-V, VMware vSphere

Sécurité des réseaux : Pare-feu, UTM, VPN, Routeurs, …

Backup et Stockage : Symantec Backup Exec (Veritas BE)

• mdkassous@gmail.com | dz.linkedin.com/in/dkassous | viadeo.com/fr/profile/djawad.mohamed.kassous

07/01/2016

Présentation de la formation• Comprendre le fonctionnement des UTM

• Se familiariser avec les produits Sophos

• Comment déployer Sophos UTM sur les différents niveaux du réseau

• Installer et configurer Sophos UTM

• Configurer les différents services de sécurité (Réseaux, Web, Serveur, Wifi, …)

• Explorer et configurer les solutions liées (RED, AP)

• Administrer Sophos UTM

• Comment intégrer Sophos UTM aux différents services de l’entreprise

07/01/2016

Contenu pédagogique• Présentation de la solution

• Compréhension technique

• Concept de base et principe de fonctionnement

• Démonstration réelle (cas pratiques)

• Ateliers pratiques (Labs)

• Astuces et bonnes pratiques

• Validation des acquis (QCM)

• Support de cours

07/01/2016

Plan de la formation1. Introduction à la formation

2. Environnement de travail

3. Les fondamentaux

4. Installation et vue d'ensemble

5. Configuration du système

6. Gestion des objets

7. Interfaces et Routage

8. Authentification des utilisateurs

9. Services réseau

10. Protection des réseaux

11. Protection Web

12. Email Protection

13. Endpoint Protection

14. Wireless Protection

15. Webserver Protection

16. Gestion de RED

17. VPN site à site

18. Accès à distance

19. Reporting et journalisation

20. Dimensionnement et Support

21. Support et outils

22. Conclusion

07/01/2016

• Partenaires Sohpos : Certification SCE/SCA

• Administrateurs et Techniciens Réseaux

• Ingénieurs Sécurité des réseaux et systèmes

• Migration vers Sophos (Cisco Asa, Fortinet, Websense, pfSense, Cyberoam, Sonicwall, MS TMG FF, ISA, etc…)

• Institution non lucrative, SOHO (Sophos Home Edition Solution gratuite et complète)

Public concerné

07/01/2016

Compétences requises• Protocoles Réseau : TCP/IP, Adressage IP, CIDR, Routage, DNS, DHCP

Certification : Cisco CCNA R&S / ComptiA N+

• Pare-feu, AV

• Notions Hardware.

• Connaissance des notions réseaux Windows

• Environnement Windows Serveur, AD, Hyper-V, VW.

• Notions Wifi, Notions VPN.

07/01/2016

Ressources et liens utiles• Le site officiel : https://www.sophos.com

• Le site de la communauté officielle : https://community.sophos.com/

• Chaine Youtube : https://www.youtube.com/user/SophosLabs

• …

07/01/2016

Are you ready ? ☺

07/01/2016

Djawad KASSOUSFormateur et Consultant indépendant Ingénieur Réseaux et Sécurité

C'est qui Sophos ?Qu'est-ce que l'UTM ?

Introduction à la formation

07/01/2016

Plan• C’est qui Sophos ?

• Qu'est-ce que l'UTM ?

• Produits et Outils

• Visite guidée sur le site officiel

07/01/2016

C’est qui Sophos ?• Fondée en 1985, à Oxford (Angleterre)

• Logiciels et Appliances de sécurité uniquement

• Antivirus, anti-spywares, anti-spam, pare-feux, UTM, Wireless, VPN, Chiffrement des données, …

• Ordinateurs de bureau, serveurs, serveurs de courrier électronique, réseaux d'entreprise, smartphones/tablettes, …

• En 2003 > (Passerelle email)

• En 2009 > (Chiffrement)

• En 2011 > (UTM, pare-feu)

• En 2012 > ( (Gestion des terminaux mobiles)

• En 2014 > (UTM, pare-feu)

07/01/2016

Qu'est-ce que l'UTM ? • Unified Threat Management / Gestion unifiée des menaces

• Une seule passerelle regroupe Protection + Gestion

• Pare-feu nouvelle génération, IPS/IDS, Routage, …

• Anti-spam, Anti-virus, Mail Proxy, Filtrage-Web

• VPN, Accès distant, Sécurité des bureaux distants

• Protection Wifi, Gestion des Hotspot

• Continuité de services, Haute disponibilité(AA/AP), …

• Interface Full-web intuitive

07/01/2016

Qu'est-ce que l'UTM ?

07/01/2016

Qu'est-ce que l'UTM ?

07/01/2016

Produits et outilsProduits :

• Les UTM (Appliances Hardwares, Softwares, Virtuelles, Cloud), / Home Edition complet

• Pare-feu NG, Secure Web & Email Gateway, Sophos UTM Essential Firewall

• Access Point (AP10, AP30, AP50, …)

• RED (Remote Ethernet Device)

Logiciels :

• S. Endpoint AV (Win, Mac*, Linux**), Virus Removal Tool

• Sophos Enduser Protection

• Mobile Control & MDM, Mobile Security for Android*

• Sophos SafeGuard Enterprise (Chiffrement & DLP)

07/01/2016

Produits et outilsL’UTM en version Appliance Virtuelles est compatible avec les plateformes de virtualisation suivantes :

• VMware ESXi 5.1

• Microsoft HyperV 2008 R2

• KVM 1.0 kernel 3.2.0-29-generic (Ubuntu 12.04 LTS)

• Citrix XenServer 6.0 Enterprise

07/01/2016

• https://www.sophos.com

Visite guidée

07/01/2016

Ce qu’on a couvert• Connaitre les produits Sophos en général

• Connaitre les fonctionnalités des UTM Sophos

• Vue d’ensembles des fonctionnalités

07/01/2016

Environnement de travail

07/01/2016

Plan• Eléments constitutifs du Lab

• Schéma de liaison

• Schéma du Lab

• Liens de téléchargement

07/01/2016

Eléments constitutifs du Lab• 3 Connexions Internet (Optionnel)

• Hyperviseur (Hyper-V ou VMware) : 5 Machines virtuelles

• 2 VM Sophos UTM avec 3 Interfaces réseau chacune (dont 2 Obligatoires)

• 1 VM Windows Serveur (Domaine + DNS + GPO)

• 2 VM Clients Windows

> Ce que j’utilise :

• Sophos UTM Software 9.3

• VMware Workstation Pro 12 | Windows Server 2012 R2 | Windows 10

07/01/2016

Eléments constitutifs du Lab

Site principal Site distant

UTM DC IT UTM RemotePC

Domaine Alphorm.lan -

Nom Alphorm_UTM DC.Alphorm.lan IT.Alphorm.lan BO_UTM RemotePC

LAN 10.10.10/24 172.16.0.0/24

Adresse IP 10.10.10.1 10.10.10.2 10.10.10.5 172.16.0.1 172.16.0.5

Passerelle - 10.10.10.1 172.16.0.1

Version UTM Software 9.3

Win Server 2012 R2 Windows 10 UTM Software

9.3 Windows 10

07/01/2016

Site HQ Site distant

HQ LAN

HQ WAN1

HQ WAN2

BO LAN

BO WAN

Tunnel VPN

Schéma de liaison

07/01/2016

Schéma du LAB

07/01/2016

Liens de téléchargement• Lien vers l’Image UTM Software : https://www.sophos.com/fr-fr/support/utm-downloads.aspx

• Liens vers VMware Workstation : https://www.vmware.com/fr/products/workstation

• Formation VMware Workstation :

07/01/2016

Ce qu’on a couvert• Les différents éléments qui constituent le LAB

• Le LAB

• L’infrastructures et les différentes adresses des machines

07/01/2016

Constitution du LAB

07/01/2016

Plan• Etapes de configuration

• Schéma du Lab

• Schéma de Liaison

• Démonstration

07/01/2016

Etapes de configuration• Configuration de VMware Workstation

• Création des réseaux sur Workstation

• Création et configuration des VM Sophos UTM sur Workstation

• Création et configuraion des VM Windows Server + Client

• Configuration du domaine AD Alphorm.lan et sa personnalisation

• Configuration des PCs et leur jonction au domaine

• Nom du DC : DC.Alphorm.lan

• Nom du Client AD : IT.Alphorm.lan

• Mot de passe (LAB): @lphorm2015

07/01/2016

Schéma du LAB

07/01/2016

HQ LAN

HQ WAN1

HQ WAN2

BO LAN

BO WAN

Tunnel VPN

Schéma de liaison

07/01/2016

DémonstrationDémo…

07/01/2016

Ce qu’on a couvert• Etapes de configuration

• Schéma du Lab & Schéma de Liaison

• Démonstration

07/01/2016

Les bases de la cryptographie

Les fondamentaux

07/01/2016

Plan• Notion de Cryptage

• Cryptographie Symétrique

• Cryptographie Asymétrique

• La fonction du hachage

• Signature numérique

• Certificat numérique

07/01/2016

Notion de Cryptage• Le cryptage est une technique qui consiste à chiffrer un message (dit en clair) pour le

rendre incompréhensible (cryptogramme).

• Le but c’est de garder la confidentialité du message lors des échanges, et seul le destinataire qui va pouvoir le déchiffrer (décrypter).

• Le Mécanisme Crypter/Décrypter est basé sur : Un Algorithme + Une Clé

Dans l’exemple : Alghorithme = César, Clé = 1

• D’où, on distingue deux cas de figure : Cryptographie Symétrique et Asymétrique

• // Message = Ensemble de bits binaires, de nature quelconque (Texte, Images, App, …)

AlphormBmqipsn

MESSAGE EN CLAIR CRYPTOGRAMME MESSAGE DÉCHIFFRÉ

CRYPTAGE DECRYPTAGEAlphorm

07/01/2016

Cryptographie Symétrique• L’algorithme de cryptage symétrique utilise une même clé (dite secrète) pour le

chiffrement et le déchiffrement.

• Avantage ☺ : Rapidité de traitement

• Inconvénients � :

� La clé est susceptible aux risques

� Autant de clés que de destinataires

� Comment transporter la clé de manière sécurisée ?

• Exemples : AES, DES, 3DES, …

• Plus la clé est complexe, plus le chiffrement est plus sûr : Yn

Alphorm AlphormBmqipsnClé X

- Déchiffrement-Clé X

- Chiffrement-

07/01/2016

Cryptographie Asymétrique• L’algorithme de cryptage Asymétrique utilise deux clés différentes pour crypter et/ou décrypter le

message.

• Une clé Privée secrète et une clé Publique diffusée.

• Avantage ☺ : Confidentialité parfaite

• Inconvénients � : Lenteur de traitement (~103)

En pratique :

� On utilise le mécanisme de cryptage Asymétrique pour chiffrer la clé symétrique

� Cette dernière sera utilisée pour décrypter le message crypté en Symétrique

Alphorm Alphorm#####Clé publiqueExpéditeur

Clé privéeExpéditeur

Alphorm Alphorm#####Clé privée

DestinataireClé publiqueDestinataire

07/01/2016

La fonction du hachage• Le hachage est une fonction qui permet de calculer à partir d’un contenu X (Texte, image,

apps, …) en un ensemble de bits unique plus petit (dit condensé) généralement noté en Hexadécimal, appelé Empreinte digitale (Finger Print)

• Le Hachage est une fonction irréversible (one-way function), il est impossible de retrouver le contenu original.

• La moindre modification du contenu entraîne la modification du Hash

• Algorithmes : MD5, SHA-2, SHA-3, …

• Le hash est utilisé pour générer la signature numérique …

Bonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.com

# HASH() # 001fed5520099fe14fa11c5b9

07/01/2016

Signature numérique• La signature électronique (dite numérique) est un moyen permettant d’identifier son

propriétaire et de garantir l’authenticité et l’intégrité du contenu.

Expéditeur : Signature

1) Condensation du contenu (Hachage)

2) Cryptage du résultat en Asymétrique

3) Associé avec un certificat

4) Attaché au contenu

Destinataire : Vérification

1) Condensation du contenu reçu

2) Décryptage de la signature

3) Comparaison des deux Hash

Si les deux Hash sont identiques, la signature est valide

Source : https://upload.wikimedia.org/wikipedia/commons/2/2b/Digital_Signature_diagram.svg

07/01/2016

Signature numérique• Un Certificat Électronique est un ensemble de données à la manière

d’une carte d’identité, contenant :

• Une Clé publique (Crypt. Asymétrique)

• Une Signature numérique.

• Des informations complémentaires : Noms, E-mails, Localisation

07/01/2016

Ce qu’on a couvert• Cryptographie Symétrique

• Cryptographie Asymétrique

• Notion d’Empreinte

• Signature numérique

• Certificat numérique

07/01/2016

Notions de bases d’Active Directory

Les fondamentaux

07/01/2016

• Qu’est-ce-que c’est AD ?

• Le rôle d’AD

• Les objets AD

• Architecture AD

07/01/2016

Qu’est-ce-que c’est AD ?• Active Directory (AD) est la mise en œuvre par Microsoft des services d'annuaire

pour les systèmes d'exploitation Windows. L'objectif principal d’AD est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows. (Sources : Wikipedia)

• AD stocke les éléments d'un réseau tels que les comptes des Utilisateurs,Groupes, les Serveurs, les Postes de travail, les Imprimantes, etc… sous forme d’objets

• Objectifs :

� Architecture et organisation hiérarchisée (OU, CN, Domaines, Forêt, Sites; …)

� Administration centralisée

� Une base de données Objets

� Une gestion des permissions pour les ressources réseau.

07/01/2016

Architecture AD• Forêt

� Arborescence

� Domaine

� CN

� OU

� Groupe

� Comptes Utilisateurs / Equipements

07/01/2016

Formation AD 2008 R2• http://www.alphorm.com/tutoriel/formation-en-ligne-active-directory-

2008-r2-70-640

07/01/2016

Ce qu’on a couvert

• Qu’est-ce-que c’est AD ?

• Le rôle d’AD

• Les objets AD

• Architecture AD

07/01/2016

Notions de la sécurité et des menaces

Les fondamentaux

07/01/2016

Plan• Code Malicieux (Malware)

• Les types des codes malicieux

• Virus

• Cheval de troie

• Vers

• Bots

• Techniques de détection des malwares

07/01/2016

Code Malicieux (Malware)

• Un Malware est un programme qui a pour but d’Endommager ou d’Altérer le fonctionnement d’un ordinateur, mais aussi d’avoir accès aux informations et données sensibles et aux équipements à distance (Ordinateurs, Serveur, Carte bancaires, etc.).

• Principalement ils sont conçus pour endommager le fonctionnement du parc informatique en général, mais aussi pour gagner de l’argent.

07/01/2016

Les types des codes malicieux

Code Malveillant

Malware

Nécessite un programme

Cheval de Troie

Autonome

07/01/2016

Cheval de troie• Un cheval de Troie (Trojan Horse) est un type de programmes malveillants, qui

apparait pour l’utilisateur comme un programme fiable, mais qui contient une malveillance à l’intérieur.

• Le rôle du cheval de Troie est de transporter le programme malveillant qu’il contient sur l'ordinateur visé à l’aide de l’utilisateur final; Ensuite de l'installer sans que ce dernier le sache.

• Il peut s'agir de n'importe quel type de malware : Virus, Worm, Bot, Spyware... Et C'est ce malware, et lui seul, qui va endommager l’ordinateur sur lequel il sera exécuté.

• Le cheval de Troie n'exécute aucune action, il joue le rôle d’un conteneur, donc il ne représente pas un danger en lui-même.

07/01/2016

Virus• Le tout premier code malveillant, il nécessite un hôte pour se propager et

endommager la cible (tout comme les virus biologiques qui nécessitent une cellule pour se répliquer et infecter le corps).

• Souvent, ils sont confondus avec les autres malwares, faisant la relation avec les « Anti-Virus ».

• Ils peuvent être transportés via des programmes divers, Emails, Supports amovibles, …

• Une fois exécutés sur la cible, ils peuvent faire des dégâts multiples allant de nuire à l’activité de l’utilisateur, jusqu’au contrôle distant de l’ordinateur, le corrompre, ou même le vol des informations/données sensibles.

07/01/2016

Les vers• Contrairement aux autres membres de famille, les vers ne nécessitent aucun

hôte pour se répliquer, ce qui ouvre la porte pour « se déplacer » « facilement » dans le réseau, d’un hôte à un autre.

• Ils utilisent différentes méthodes pour se propager dans le réseau : Mail, IM, MMS, …

• Mais aussi de différents types d’hôtes : PC, Smartphone, Switch, …

• Ils provoquent une lenteur dans le réseau : « Une charge » supplémentaire qui va saturer la bande passante, alourdir le système, …

07/01/2016

Bots• Botnet est un réseau d’ordinateurs infectés par des Bots, qui vont

donner accès aux pirates pour contrôler ces ordinateurs (Zombies) à distance.

• Les hackers, BotMasters, utilisent des serveurs pour y accéder, appelés : Serveur C&C (Command & Control)

• Les Botmasters utilisent les zombies pour exécuter des tâches afin de cacher leurs identités : Envoyer des spams, attaquer d’autres cibles, vendre les accès à des données sensibles …

07/01/2016

Techniques de détection• Détection basée sur la signature : Les logiciels anti-malware comparent les empreintes (Fingerprint)

des codes malveillants avec sa base virale. Cette méthode présente quelque limites :

• La détection des nouveaux malwares qui ne sont pas encore identifiés sur la base.• Dans le cas ou une partie du code malveillant change, l’empreint ne sera plus la même.

• Détection heuristique : Cette méthode détecte les malwares en examinant le code source du programme, la classification « Malware » d'est décidée suite à une analyse des instructions douteuses et/ou non conforme de ce, dont un programme sain ne va pas contenir.� Limites : Faux positifs

• Détection comportementale : Cette méthode détecte les malwares en examinant l’activité du programme du programme en temps réel, la classification « Malware » d’un programme est décidée suite à un comportement suspect et/ou corruptible de ce programme, ceci inclut les actions modification système, initiation des communications réseau etc.� Tout comme la précédente, elle peut détecter les malwares qui ne figurent pas sur la base virale.

• Détection basée sur le Cloud : Elle est basée sur les trois premières méthodes pour la détection, Mais elle se différencie sur : La collecte des données à partir des endpoint protégés connectés au cloud de l’éditeur, formant un parc mondial de plusieurs systèmes et cas. Ce qui permet aux uns de bénéficier des expériences des autres et en temps réel.

07/01/2016

Ce qu’on a couvert• Code Malicieux (Malware)

• Les types des codes malicieux

• Virus

• Cheval de troies

• Ver

• Bots

• Techniques de détection

07/01/2016

Installation

Installation et vue d'ensemble

07/01/2016

Plan• Prérequis

• Chargement de l’ISO Sophos UTM Software

• Lancer l’installation de l’appliance virtuelle

07/01/2016

Prérequis• L’image ISO de l’UTM version : Virtual Appliance (https://www.sophos.com/fr-fr/support/downloads/)

• L’UTM en version Appliance Virtuelles est compatible avec les plateformes de virtualisation suivantes :

� VMware ESXi 5.1

� Microsoft HyperV 2008 R2

� KVM 1.0 kernel 3.2.0-29-generic (Ubuntu 12.04 LTS)

� Citrix XenServer 6.0 Enterprise

• Configuration minimale de la machine (VM ou HW)

� Processeur Intel Single-core

� Lecteur CD-ROM

� 1 GB RAM (2GB Recommendé)

� 40 GB HDD

� 2 interfaces réseaux ou plus

07/01/2016

Schéma du LAB

07/01/2016

Eléments constitutifs du Lab

Site principal Site distant

Domaine Alphorm.lan -

Nom Alphorm_UTM DC.Alphorm.lan IT.Alphorm.lan BO_UTM RemotePC

LAN 10.10.10/24 172.16.0.0/24

Adresse IP 10.10.10.1 10.10.10.2 10.10.10.5 172.16.0.1 172.16.0.5

Passerelle - 10.10.10.1 172.16.0.1

Version UTM Software 9.3

Win Server 2012 R2 Windows 10 UTM Software

9.3 Windows 10

07/01/2016

DémonstrationDémo …

07/01/2016

Ce qu’on a couvert• Première installation de Sophos UTM Software

07/01/2016

La configuration de base via l'assistant

07/01/2016

Plan• Se connecter à Sophos WebAdmin Interface

• Lancer la configuration de base guidée via le Wizard

07/01/2016

Ce qu’on a couvert• Configuration de Sophos UTM Software via l’assistant

07/01/2016

Vue d'ensemble de l'interface

07/01/2016

Plan• Se familiariser avec l’interface WebAdmin

• Découvrir les menu principaux et les sous-menus

• Les onglets et pages

07/01/2016

Ce qu’on a couvert• Se familiariser avec l’interface WebAdmin

• Découvrir les menu principaux et les sous-menus

• Les onglets et pages

07/01/2016

Les paramètres système

Configuration du système

07/01/2016

Plan• Informations de l’organisation

• Paramètres heure et date

• Accès Shell

• Moteurs de scan AV

• Restauration d’usine

07/01/2016

Ce qu’on a couvert• Informations de l’organisation

• Paramètres heure et date

• Accès Shell

• Moteurs de scan AV

• Restauration d’usine

07/01/2016

Les paramètres WebAdmin

07/01/2016

Plan• Paramètres généraux

• Control d’accès

• Certificat HTTPS

• Préférences utilisateur

• Paramètres avancés

07/01/2016

Ce qu’on a couvert• Paramètres généraux

• Control d’accès

• Certificat HTTPS

• Préférences utilisateur

• Paramètres avancés

07/01/2016

Gestion des licences

07/01/2016

Plan• Les différents modules licensing

• Intégration de la licence

07/01/2016

Ce qu’on a couvert• Les différents modules licensing

• Intégration de la licence

07/01/2016

Gestion des mises à jour

07/01/2016

Plan• Mises à jour disponibles et leurs contenus

• Installation des up2dates

• Téléchargement des mises à jour

07/01/2016

Ce qu’on a couvert• Mises à jour disponibles et leurs contenus

• Installation des up2dates

• Téléchargement des mises à jour

07/01/2016

Sauvegarde et Restauration

07/01/2016

Plan• Création des sauvegarde

• Télécharger le fichier de sauvegarde

• L’envoyer par mail

• Restaurer le système à partir d’une sauvegarde

• Sauvegardes automatiques

07/01/2016

Ce qu’on a couvert• Création des sauvegarde

• Télécharger le fichier de sauvegarde

• L’envoyer par mail

• Restaurer le système à partir d’une sauvegarde

• Sauvegardes automatiques

07/01/2016

Portail utilisateur

07/01/2016

Plan• Paramètres du portail

• Se connecter au portail

07/01/2016

Ce qu’on a couvert• Paramètres du portail

• Connexion au portail

07/01/2016

Les notifications

07/01/2016

Plan• Configuration des notifications système

07/01/2016

Ce qu’on a couvert• Configuration des notifications

07/01/2016

Personnalisation

07/01/2016

Plan• Personnalisation du logo

• Message de bienvenu

• Messages utilisateurs

07/01/2016

Ce qu’on a couvert• Personnalisation du logo

• Message de bienvenu

• Messages utilisateurs

07/01/2016

Gestion des objets réseau

Définition des objets

07/01/2016

Plan de la formation1. Introduction à la formation

3. Les fondamentaux

9. Services réseau

11. Protection Web

12. Email Protection

16. Gestion de RED

17. VPN site à site

21. Support et outils

22. Conclusion

07/01/2016

Plan• Qu’est ce qu’un objet ?

• Pourquoi ?

• Nature des définitions

• Définir des objets Network

• Définir des objets Host

• Définir des objets Network Group

• Créer des objets « Groupe de disponibilité »

• Définir des adresses MAC

07/01/2016

Qu’est ce qu’un objet ? Et pourquoi ?• La définition d’objets sur Sophos UTM peut être interprétée comme

des raccourcis logiques vers des Réseaux, des Equipements (Hôtes) dans le réseau, des liens URL ou des Groupes.

• Les définitions qui peuvent être créées :

Host, DNS Host, DNS Group, Network,

Range, Multicast group, Network group,

Availability group, MAC Address

Ces objets vont être utilisés sur les autres menus

de Configuration de WebAdmin, pour une meilleure gestion

tel que : Filtrage web, NAT, Règles firewall basés sur MAC, …

07/01/2016

Nature des definitions• Network : Définition d’une plage réseau

Nom : Direction

Réseau : 192.168.0.0/24

• Host : Définit l’adresse IP d’un hôte

Nom : Serveur_Exchange_01

Adresse : 192.168.0.127

• Network Group : Regroupe des définitions réseaux

Nom : Restricted_Alphorm_Paris

Objets : Sales_Network, Serveur_Exchange_01, HR-PC

• Groupe de disponibilité :

Contient des définitions Host ou DNS (@IP ou Nom d’hôte) + ordre priorité.

• Adresses MAC : affecte une adresse MAC à un hôte (#getmac)

iPhone_DG > 00:F5:16:E2:3A:9B

07/01/2016

Ce qu’on a couvert• Qu’est ce qu’un objet ?

• Pourquoi ?

• Nature des définitions

• Définir des objets Network

• Définir des objets Host

• Définir des objets Network Group

• Créer des objets « Groupe de disponibilité »

• Définir des adresses MAC

07/01/2016

Gestion des objets Services

07/01/2016

Plan• Qu’est-ce qu’une Définition Service ?

• Découvrir les objets Services existants

• Définir des objets Services

07/01/2016

Qu’est-ce qu’une Définition Service ?

• Les définitions de type « Services » utilisent une combinaison de protocoles et options de protocoles ‘’ports source et de destination’’ pour définir un de trafic réseau.

• Ces définitions seront ensuite utilisées dans le Sélecteur de trafic réseau afin d’accepter et/ou rejeter ce trafic dans règles (Ex. : Règles FW).

• Les types de définition de services disponibles :

� TCP : Transmission Control Protocol, Utilise des ports (Source/Destination).

� UDP : User Datagram Protocol, utilise des ports (Source/Destination).

� TCP/UDP : Pour les applications qui communiquent avec les deux protocoles (DNS).

� ICMP/ICMPv6 : Ce champ contient une liste de codes ICMP.

� ESP / AH : utilisés pour la communication IPsec.

� Group : Regrouper plusieurs définitions de services sous un seul groupe.

� Comme pour la définition de type Réseau, Le type ne peut pas être modifié.

07/01/2016

Ce qu’on a couvert• Les objets Services existants

• Définir des objets Services

07/01/2016

Définitiondes plages horaires

07/01/2016

Plan• Vue d’ensemble des plages horaires existantes

• Définition des périodes personnalisées

07/01/2016

Ce qu’on a couvert• Vue d’ensemble des plages horaires existantes

• Définition des périodes personnalisées

07/01/2016

Gestion desUtilisateurs & Groupes

Définitions des objets

07/01/2016

Plan• Définition et gestion des utilisateurs

• Définition et gestion des groupes

• Comprendre les différentes options disponibles

07/01/2016

Ce qu’on a couvert• Création des utilisateurs

• Création des groupes

• Découvrir les différentes options disponibles

07/01/2016

Gestion des interfaces

Interfaces et Routage

07/01/2016

Plan• Types d’interfaces disponibles

• Découvrir les interfaces existantes

• Création de nouvelles interfaces

• Adresse multiples sur la même interfaces

07/01/2016

Types d’interfaces disponibles• 3G/UMTS : Connecter des modems USB 3G/UMTS (Reboot nécessaire).

HCL : https://www.sophos.com/fr-fr/support/knowledgebase/116169.aspx

• DSL : Connecter une ligne ADSL compatible PPPoA/PPPoE, nécessite un modemADSL en amont.

• Ethernet : Interface Ethernet Standard (Network ou GW)

• Ethernet Bridge : Joindre deux réseaux entre eux.

• Ethernet Vlan : Créer une interface Vlan taguée.

• Modem PPP : Brancher un modem PPP sur une interface Série.

• Group : Combiner deux interfaces ou plus, pour Simplifier la gestion de plusieurs interfaces.

07/01/2016

Ce qu’on a couvert• Types d’interfaces disponibles

• Découvrir les interfaces existantes

• Création de nouvelles interfaces

• Adresse multiples sur la même interfaces

07/01/2016

Uplink Balancing(Haute disponibilité Internet)

07/01/2016

Plan• Qu’est ce que c’est Uplink Balancing ?

• Compréhension des paramètres disponibles

• Configuration de la haute disponibilité d’internet

07/01/2016

Qu’est ce que c’est Uplink Balancing ?• Uplink balancing = Répartition de charges sur les connexions internet (Multi WANs)

Internet Hautement disponible.

• Deux modes sont disponibles :

1. Actif / Actif :

Les deux liens travaillent en permanence pour garantir une meilleure gestion de débit.

2. Actif / Passif :

L’une des connexion est active, elle assure tout le trafic internet ; l’autre est en Standby, elle prend le relai lorsque la première interface tombe.

07/01/2016

HQ LAN

HQ WAN1

HQ WAN2

BO LAN

BO WAN

Tunnel VPN

Schéma d’interconnexion

07/01/2016

Schéma du LAB

07/01/2016

Compréhension des paramètres disponibles> Le poids : Priorité du routage du traficOn peut affecter un poids pour chaque interface, allant de 0 jusqu’à 100, le poids représente le coefficient de la quantité du trafic passant par une interface par rapport à l’autre. Le basculement se fait en utilisant l’algorithme Round Robin.

Plus le poids d’une interface est élevé, plus le trafic passe par celle-ci.

> Monitoring : Vérification de l’état des liens Internet

Par défaut, l’UTM utilise la configuration « Automatic monitoring » pour vérifier l’état des liens internet, avec un interval de test de 15s.

Ce paramètre peut être modifié.

07/01/2016

Ce qu’on a couvert• Qu’est ce que c’est Uplink Balancing ?

• Configuration de la haute disponibilité d’internet

• Compréhension des paramètres disponibles

07/01/2016

Règles à chemins multiples

07/01/2016

• Configuration

07/01/2016

Compréhension technique

07/01/2016

• Configuration

07/01/2016

Qualité de service QoS

07/01/2016

• Qu’est-ce-que c’est la QoS ?

• Sélecteur de trafic

• Allocation de la bande passante

• Limitation de téléchargement

• Configuration

07/01/2016

Qu’est-ce-que c’est la QoS ?

07/01/2016

• Qu’est-ce-que c’est la QoS ?

• Sélecteur de trafic

• Allocation de la bande passante

• Limitation de téléchargement

• Configuration

07/01/2016

Routage statique et routage conditionnel

07/01/2016

• Découvrir le routage statique sur l’UTM

• Comprendre le routage conditionnelle

• Configuration

07/01/2016

Découvrir le routage statique sur l’UTM

• Routage d’interface

• Routage de passerelle

• Routage Blackhole

07/01/2016

Comprendre le routage conditionnelle

07/01/2016

• Découvrir le routage statique sur l’UTM

• Comprendre le routage conditionnelle

• Configuration

07/01/2016

Authentification Distante Active Directory

Authentification

07/01/2016

Plan• Qu’est ce que c’est l’authentification distante ?

• Découvrir les paramètres disponibles

• Configurer le serveur d’authentification distant

07/01/2016

Qu’est ce que c’est l’authentification distante ?

• L’authentification distante permet la synchronisation des utilisateurs etgroupes avec les serveurs d’annuaires Active Directory, Ldap, eDirectory,Radius, etc…

• Création automatique des utilisateurs pour les services :

� Client d’authetification

� Filtrage Web

� User Portal

� WebAdmin

� Hotspot wifi

07/01/2016

Configurer le serveur d’authentification distant

• Créer un utilisateur d’authentification dans AD (Droits Admin du domaine)

• Récupération de son DN (Distinguished Name)

• Choisir Active Directory pour Backend Server

• Sélectionner le port AD : 389 pour LDAP, 636 pour LDAPS (SSL)

• DN de base : Le conteneur racine des utilisateursSi Vide = le DN de base est automatiquement récupéré

07/01/2016

Ce qu’on a couvert• Qu’est ce que c’est l’authentification distante ?

• Découvrir les paramètres disponibles

• Configurer le serveur d’authentification distant

07/01/2016

Authentification unique Single-Sign-On (SSO)

Authentification

07/01/2016

Plan• Qu’est ce que c’est SSO ?

• SSO et UTM

• Configurer l’authentification SSO

07/01/2016

Qu’est ce que c’est SSO ?

• Le SSO Single-Sign-On est un moyen qui permet à un utilisateur des’authentifier une seule fois pour de multiples services compatibles.

• AD, Application métiers, Sites web, ERP, etc.

• Eviter les connexions répétées

• Ne plus retenir des mots de passes pour chaque service

• Un seul accès partout

• Transparent pour l’utilisateur

• Gestion plus simple

07/01/2016

SSO et UTM• Utilisé pour le filtrage WEB uniquement

• Un compte Ordinateur est créé automatiquement Pas manuellement

• Un enregistrement DNS A Record ‘Nom d’hôte’ est créé automatiquement, Sinon manuellement

Prérequis :

• Le serveur d’authentification distant Active Directory doit être Créé et Configuré

• Un utilisateur Admin autorisé à ajouter des ordinateurs à ce domaine

• Un enregistrement DNS A Record pour l'UTM dans le domaine Active Directory.

• Tous les postes de travail doivent être liés au domaine et doivent être en mesure de résoudre l'adresse interne de l'UTM à la fois par le nom d'hôte et FQDN

• Le décalage horaire entre l’UTM et l’AD ne dépassent pas 300 secondes.

• Le même serveur NTP pour l’UTTM et l’AD.

• Les requêtes DNS du domaine local pointent vers l’un des serveurs DNS pour le domaine Active Directory.

07/01/2016

Ce qu’on a couvert• Qu’est ce que c’est SSO ?

• SSO et UTM

• Configurer l’authentification SSO

07/01/2016

Mot de passe à usage unique (OTP)

Authentification

07/01/2016

Plan• Qu’est ce que c’est OTP et TOTP ?

• Comment ça marche ?

• Configuration

07/01/2016

Qu’est ce que c’est OTP et TOTP ?• OTP (On-Time-Password) : Mot de passe à usage unique

• TOTP (Time-based-One-Time-Password) : OTP Basé sur le temps

• Nouveauté 9.2

• Une authentification à double facteurs

• Valide pour une seule connexion

• L’ancien MDP expire automatiquement suite de la génération du nouveau

• Amélioration de la sécurité

07/01/2016

Comment ça marche ?

Votre Login

07/01/2016

Ce qu’on a couvert• Qu’est ce que c’est OTP et TOTP ?

• Comment ça marche ?

• Configuration

07/01/2016

Services réseau

07/01/2016

Plan• Qu’est ce que c’est DNS ?

• Compréhension techniques

• Les rôles DNS associés à l’UTM

• Configuration

07/01/2016

Qu’est ce que c’est DNS ?• Domaine Name System, est un service qui fait la traduction des noms de

domaine en adresse IP.

• Chaque nom de domaine est associé à une adresse IP

• Le mécanisme de traduction Nom/Adresse est appelé Résolution DNS

• L’attribution d’une adresse IP à un nom de domaine est appelée Enregistrement DNS

dc.alphorm.lan 10.10.10.2

Résolution

Enregistrement

07/01/2016

Compréhension technique• Un DNS Forwarder est un serveur se trouvant à l’extérieur du réseau, qui fait la

redirection des requêtes DNS dont le serveur interne ne saura pas résoudre.

• Ils seront interrogés dans l’ordre dont ils ont été ajoutés

• Il est possible de configurer un routage de requêtes (Request Routing) pour certains domaines spécifiques pour passer par les serveurs indiqués, et ne passent pas par les forwarders (Exemple : Domaines locaux).

• Sophos UTM exécute un proxy de mise en cache DNS qui offre un service DNS sécurisé pour les serveurs et les clients internes

• L’UTM répond aux requêtes de résolution DNS et met les résultats dans le cache du DNS RESOLVER pour permettre des recherches plus rapides

• Il peut être vidé depuis la console.

07/01/2016

Démonstration

Démo …

07/01/2016

Ce qu’on a couvert• Qu’est ce que c’est DNS ?

• Les rôles DNS associés à l’UTM

• Configuration

07/01/2016

Services réseau

07/01/2016

Plan• Configuration des serveurs DHCP

• Configuration de relais DHCP

• Découvrir les DHCP Options et les paramètres avancés

07/01/2016

Démonstration

Démo …

07/01/2016

Ce qu’on a couvert• Configuration des serveur DHCP

• Configuration de relais DHCP

• Découvrir les options DHCP et les paramètres avancés

07/01/2016

Services réseau

07/01/2016

Plan• Configuration du serveur NTP

07/01/2016

Démonstration

Démo …

07/01/2016

Ce qu’on a couvert• Qu’est-ce-que c’est qu’un NTP Server ?

• Configuration du serveur NTP

07/01/2016

Pare-feu(Firewall)

Protection des réseaux

07/01/2016

Plan• Qu’est ce qu’un firewall ?

• Compréhension techniques

• Configuration des règles du pare-feu

• Découvrir les paramètres avancés

07/01/2016

Qu’est ce qu’un firewall ?Un Pare-feu c’est comme la PAF ☺

• C’est un système qui vient se positionner entre deux réseaux différents afin de contrôler les données entrantes et sortantes de/vers ces réseaux

• Contrôler = Autoriser ou Interdire

• Il permet de filtrer les paquets de données échangés entre le réseau local et les réseaux tiers (Notamment Internet) afin de protéger la communication des équipements du réseau interne.

• Il peut être logiciel ou matériel (UTM ou Appliance dédiée)

07/01/2016

Compréhension techniques• Le Pare-feu de l’UTM Sophos utilise la base netfilter/iptables du kernel Linux.

• Le filtrage est appliqué sur les Paquets IP de la couche Réseau (niveau 3) et les Segments (Protocoles réseau) de la couche Transport (niveau 4) du modèle OSI.

• Les règles de filtrage sont créées en utilisant des définitions : Sources (IP), Services (protocole et port), Destinations (IP)

• Les règles sont traitées par ordre ; du plus précis au moins précis.

• Seule la première règle correspondante est appliquée, si le paquet ne correspond à aucune règle il sera abandonné et journalisé.

07/01/2016

Compréhension techniques• Un paquet peut être : Autorisé (Allow), Rejeté (Reject) ou Abandonné (Drop)

� Reject > Refuser le paquet et avertir le demandeur

� Drop > Refuser le paquet sans informer le demandeur

07/01/2016

Ce qu’on a couvert• Qu’est ce qu’un firewall ?

• Compréhensions techniques

• Découvrir les paramètres avancées

07/01/2016

Network AddressTranslation

07/01/2016

Plan• Qu’est ce que c’est NAT ?

• Qu’est ce que c’est Masqurading ?

07/01/2016

Qu’est ce que c’est NAT ?• Le rôle du NAT (Network Address Translation) est de traduire les adresses IP privées

(dites non routables) en adresses IP publiques et inversement.

• L'UTM prend en charge : Destination NAT (DNAT), Source NAT (SNAT), 1:1 NAT, Fulll NAT et NoNAT (Exception).

• SNAT : L'adresse IP de l'ordinateur qui a initié la connexion est réécrite.

• DNAT : Les adresses de destination sont réécrites, les paquets provenant des réseaux externes (Internet) seront redirigés vers les @IP privées internes.

- Il est utilisé également pour rendre des serveurs internes disponibles sur Internet via l’adresse publique externe de l’UTM (On dit alors : Publication des serveurs).

07/01/2016

Qu’est ce que c’est Masqurading ?• Le NAT est un mécanisme qui apporte un niveau de sécurité supplémentaire

puisqu’il permet, entre autres, de masquer l’adresse IP privée d’une machine (Ex. Serveur de messagerie, ou même une @ip d’un smartphone) se trouvant à l’intérieur du réseau local, d’où la notion de Masquerading.

• …

07/01/2016

Schéma du LAB

07/01/2016

Ce qu’on a couvert• Qu’est ce que c’est NAT ?

• Qu’est ce que c’est Masqurading ?

07/01/2016

Intrusion Prevention System(IPS)

07/01/2016

Plan• Qu’est ce que c’est IPS ?

• Configuration

07/01/2016

Qu’est ce que c’est IPS ?• L’IPS (Intrusion Prevention System) est une couche supplémentaire (qui devient indispensable)

dans un réseau. Il se place en frontal (Network Edge), pour détecter, alerter et bloquer les attaques provenant de l’extérieur, contrairement au pare-feu (qui réagit suivant des règles prédéfinies)

• IPS c’est comme un détecteur de mensonges (Salut Pinocchio ☺)

• L’IPS analyse le trafic (entrant principalement) en continu (IDS*), une fois qu’il détecte une attaque (ou un comportement douteux), tel que le Port Scanning (balayage des ports) ou les Floods TCP SYN, UDP ou ICMP (attaques DOS), il réagit immédiatement (contrairement à l’IDS) et en temps réel pour bloquer le trafic malicieux, l’adresse source, les ports et ou les services associés.

• Les inconvénients � :

� Consommation élevée des ressources (Diminution des performances)

� Faux positifs

07/01/2016

Comprehension techniques• L'IPS de Sophos UTM a une base de données d'environ 20 000 règles pour

détecter les attaques. Elle est triée en catégories et sous-catégories pour simplifier sa gestion.

• Les paramètres peuvent être activés et configurés au niveau de la catégorie ou de la sous-catégorie.

� Quand une attaque est détectée, l'action produite peut être soit une alerte ou soit le blocage du trafic.

� L'âge d'une règle peut être configuré pour chaque catégorie à 6, 12, 24 mois ou sans limite d’âge.

• Certaines règles ont plus de 8 ans. Pour améliorer les performances du système IPS, les règles peuvent donc être filtrées selon leurs âges.

� L'option Notify envoie un courriel à l'adresse de l’administrateur pour chaque évènement correspondant à une règle respective.

• *Activer les notification : Management > Notifications > Notifications

07/01/2016

Ce qu’on a couvert• Qu’est ce que c’est IPS ?

• Configuration

07/01/2016

Advanced Threat Protection(ATP)

07/01/2016

Plan• Qu’est ce que c’est ATP ?

• Configuration

07/01/2016

Qu’est ce que c’est ATP ?• L’ATP (Advanced Threat Protection) est une technique qui, inversement à l’IPS,

protège le réseau en surveillant le trafic sortant qui quitte le LAN en allant vers Internet.

• L’objectif c’est de détecter les Botnets et les ordinateurs contaminés (Zambies)sur le réseau local qui communiquent avec les Serveurs C&C (Command & Control) utilisés par les hackers pour contrôler les réseaux à distance.

• Alerter ou Abandonner le trafic, ce sont les deux actions à mener lors la détection d'une menace.

• Il est possible de créer des exceptions pour des hôtes, des réseauxet des menaces* spécifiques.

07/01/2016

Ce qu’on a couvert• Qu’est ce que c’est ATP ?

• Configuration

07/01/2016

Advanced Threat Protection(ATP)

07/01/2016

Plan• Qu’est ce que c’est ATP ?

• Configuration

07/01/2016

Qu’est ce que c’est ATP ?• L’ATP (Advanced Threat Protection) est une technique qui, inversement à l’IPS,

protège le réseau en surveillant le trafic sortant qui quitte le LAN en allant vers Internet.

• L’objectif c’est de détecter les Botnets et les ordinateurs contaminés (Zambies)sur le réseau local qui communiquent avec les Serveurs C&C (Command & Control) utilisés par les hackers pour contrôler les réseaux à distance.

• Alerter ou Abandonner le trafic, ce sont les deux actions à mener lors la détection d'une menace.

• Il est possible de créer des exceptions pour des hôtes, des réseauxet des menaces* spécifiques.

07/01/2016

Ce qu’on a couvert• Qu’est ce que c’est ATP ?

• Configuration

07/01/2016

Sophos UTM

La conclusion

07/01/2016

L’objectif• Comprendre le fonctionnement des UTM

• Comprendre les rôles, les services et les fonctionnalités UTM (Réseaux, Web, DNS, NAT, Wifi, …)

• Se familiariser avec les produits Sophos (RED, AP, Pare-feu, Software, …)

• Comment déployer Sophos UTM

• Installer et configurer Sophos UTM

• Administrer Sophos UTM

• Comment intégrer Sophos UTM aux différents services de l’entreprise

07/01/2016

Plan de la formation

1. Introduction à la formation

3. Les fondamentaux

9. Services réseau

07/01/2016

Prochaine formation

1. Protection Web

2. Email Protection

6. Gestion de RED

7. VPN site à site

Sophos UTM, Les Fonctionnalités avancées

07/01/2016

Conseil• Pratiquer

• Pratiquer

•Pratiquer

07/01/2016

Merci ☺

Alphorm.com Formation Sophos UTM

Technology

Sophos UTM 9のAutoscalingを試してみた

Security Heartbeat - 2016.eicar.org · Sophos Mobile Control Server Sophos UTM Verstoß gegen Compliance-Richtlinie VPN WiFi Dateizugriff VPN & ActiveSync Server mit verschlüsselten

IKUMA - IT-Lösungen für Städte, Gemeinden und Energieversorger · für Ihre bewährte UTM 9 Advanced Threat Protection auf neuem Level UTM ELEVATED9.4 SOPHOS SANDSTORM Security

Alphorm.com Formation knockoutJS

Alphorm.com Formation CEHV9

Behind the Scenes - Infortix€¦ · Die Sophos Firewall und Sophos UTM haben viele gemeinsame Sicherheitsfunktionen wie Webfilter, QoS, AppControl etc. Während auf der UTM Policies

Sophos XG Firewall na QNAP Turbo NAS – UTM, Sophos XG ...urządzenia większej ilości maszyn wirtualnych. Dzięki tej funkcji możliwe jest wykorzystanie takiego dysku sieciowego

Alphorm.com Formation Viadeo

Sophos SafeGuard Disk Encryption, Sophos SafeGuard Easy

Sophos XG Next Generation Firewall / UTM - JKC€¦ · Sophos XG Firewall/UTM byl vyvinut s důrazem na maximální výkon. Hardwarové appliance využívají více jádrové technologie

Sophos UTM 110/120 - cnct.de · Sophos Datasheet Sophos UTM 110/120 Komplettschutz für kleine Unternehmensnetzwerke Ì Einfache Verwaltung: Sie können alle Einstellungen über eine

Sophos UTM Network Protection - download.buecker-edv.dedownload.buecker-edv.de/DSH/AST/Network_Security.pdf · Sophos UTM Network Protection eliminiert Hackerangriffe und bietet einen

Alphorm.com Formation JavaFX

alphorm.com - Formation UML

Sophos Mobile Control Administratorhilfe · 2 Über Sophos Mobile Control Sophos Mobile Control Sophos Mobile Control ist eine Verwaltungssoftware für Mobilgeräte wie Smartphones

Die moderne Bedrohungslage Ransomware/Exploits · Security Heartbeat Anti-Exploit Anti-Ransomware Ursachenanalyse Sophos Clean Sophos Central Sophos Central Endpoint Standard Sophos

Sophos Anti-Virus para UNIX€¦ · Sophos, Sophos Anti-Virus y SafeGuard son marcas registradas de Sophos Limited, Sophos Group y Utimaco Safeware AG, según corresponda. Otros productos

Alphorm.com formation-GNS3

Sophos UTM Wireless Protection · Sophos tsheet Sophos UTM Wireless Protection Sicherer und zuverlässiger WLAN-Zugang Ì Plug-and-Play-Implementierung: Wenn Sie den Access Point

Sophos UTM Network Protection - · PDF fileIntrusion-Prevention-Technologie filtert mehr als 11.000 Angriffe und Zero-Day-Bedrohungen. Ì Fernzugriff: Mitarbeiter erhalten verschlüsselten