Alphorm.com Formation Sophos UTM

07/01/2016

1

Formation Sophos UTM alphorm.com™©

Djawad KASSOUSFormateur et Consultant indépendant Solutions TI Réseaux et Sécurité

FormationSophos UTM

Site : http://www.alphorm.comBlog : http://blog.alphorm.comForum : http://forum.alphorm.com

07/01/2016

2


Plan• Présentation du formateur

• Présentation de la formation

• Contenu pédagogique

• Plan de la formation

• Public concerné

• Compétences requises

• Ressources et liens utiles

07/01/2016

3


Présentation du formateurMohamed Djawad KASSOUS• Ingénieur en Electronique : Systèmes informatique industrielle

Robotique, Automatisme, API, DSP, Arduino (µC)

• Responsable Technique | Partenaire MS, Cisco, Sophos, Symantec, IBM, Kaspersky, …

• Consultant indépendant :

Infrastructure Windows Server : 2008/2012 R2

Messagerie MS Exchange 2010/2013/Online (O365)

Virtualisation : MS Hyper-V, VMware vSphere

Sécurité des réseaux : Pare-feu, UTM, VPN, Routeurs, …

Backup et Stockage : Symantec Backup Exec (Veritas BE)

• [email protected] | dz.linkedin.com/in/dkassous | viadeo.com/fr/profile/djawad.mohamed.kassous

07/01/2016

4


Présentation de la formation• Comprendre le fonctionnement des UTM

• Se familiariser avec les produits Sophos

• Comment déployer Sophos UTM sur les différents niveaux du réseau

• Installer et configurer Sophos UTM

• Configurer les différents services de sécurité (Réseaux, Web, Serveur, Wifi, …)

• Explorer et configurer les solutions liées (RED, AP)

• Administrer Sophos UTM

• Comment intégrer Sophos UTM aux différents services de l’entreprise

07/01/2016

5


Contenu pédagogique• Présentation de la solution

• Compréhension technique

• Concept de base et principe de fonctionnement

• Démonstration réelle (cas pratiques)

• Ateliers pratiques (Labs)

• Astuces et bonnes pratiques

• Validation des acquis (QCM)

• Support de cours

07/01/2016

6


Plan de la formation1. Introduction à la formation

2. Environnement de travail

3. Les fondamentaux

4. Installation et vue d'ensemble

5. Configuration du système

6. Gestion des objets

7. Interfaces et Routage

8. Authentification des utilisateurs

9. Services réseau

10. Protection des réseaux

11. Protection Web

12. Email Protection

13. Endpoint Protection

14. Wireless Protection

15. Webserver Protection

16. Gestion de RED

17. VPN site à site

18. Accès à distance

19. Reporting et journalisation

20. Dimensionnement et Support

21. Support et outils

22. Conclusion

07/01/2016

7


• Partenaires Sohpos : Certification SCE/SCA

• Administrateurs et Techniciens Réseaux

• Ingénieurs Sécurité des réseaux et systèmes

• Migration vers Sophos (Cisco Asa, Fortinet, Websense, pfSense, Cyberoam, Sonicwall, MS TMG FF, ISA, etc…)

• Institution non lucrative, SOHO (Sophos Home Edition Solution gratuite et complète)

Public concerné

07/01/2016

8


Compétences requises• Protocoles Réseau : TCP/IP, Adressage IP, CIDR, Routage, DNS, DHCP

Certification : Cisco CCNA R&S / ComptiA N+

• Pare-feu, AV

• Notions Hardware.

• Connaissance des notions réseaux Windows

• Environnement Windows Serveur, AD, Hyper-V, VW.

• Notions Wifi, Notions VPN.

07/01/2016

9


Ressources et liens utiles• Le site officiel : https://www.sophos.com

• Le site de la communauté officielle : https://community.sophos.com/

• Chaine Youtube : https://www.youtube.com/user/SophosLabs

• …

07/01/2016

10


Are you ready ? ☺

07/01/2016

11


Djawad KASSOUSFormateur et Consultant indépendant Ingénieur Réseaux et Sécurité

C'est qui Sophos ?Qu'est-ce que l'UTM ?

Introduction à la formation


07/01/2016

12


Plan• C’est qui Sophos ?

• Qu'est-ce que l'UTM ?

• Produits et Outils

• Visite guidée sur le site officiel

07/01/2016

13


C’est qui Sophos ?• Fondée en 1985, à Oxford (Angleterre)

• Logiciels et Appliances de sécurité uniquement

• Antivirus, anti-spywares, anti-spam, pare-feux, UTM, Wireless, VPN, Chiffrement des données, …

• Ordinateurs de bureau, serveurs, serveurs de courrier électronique, réseaux d'entreprise, smartphones/tablettes, …

• En 2003 > (Passerelle email)

• En 2009 > (Chiffrement)

• En 2011 > (UTM, pare-feu)

• En 2012 > ( (Gestion des terminaux mobiles)

• En 2014 > (UTM, pare-feu)

07/01/2016

14


Qu'est-ce que l'UTM ? • Unified Threat Management / Gestion unifiée des menaces

• Une seule passerelle regroupe Protection + Gestion

• Pare-feu nouvelle génération, IPS/IDS, Routage, …

• Anti-spam, Anti-virus, Mail Proxy, Filtrage-Web

• VPN, Accès distant, Sécurité des bureaux distants

• Protection Wifi, Gestion des Hotspot

• Continuité de services, Haute disponibilité(AA/AP), …

• Interface Full-web intuitive

07/01/2016

15


Qu'est-ce que l'UTM ?

07/01/2016

16


Qu'est-ce que l'UTM ?

07/01/2016

17


Produits et outilsProduits :

• Les UTM (Appliances Hardwares, Softwares, Virtuelles, Cloud), / Home Edition complet

• Pare-feu NG, Secure Web & Email Gateway, Sophos UTM Essential Firewall

• Access Point (AP10, AP30, AP50, …)

• RED (Remote Ethernet Device)

Logiciels :

• S. Endpoint AV (Win, Mac*, Linux**), Virus Removal Tool

• Sophos Enduser Protection

• Mobile Control & MDM, Mobile Security for Android*

• Sophos SafeGuard Enterprise (Chiffrement & DLP)

07/01/2016

18


Produits et outilsL’UTM en version Appliance Virtuelles est compatible avec les plateformes de virtualisation suivantes :

• VMware ESXi 5.1

• Microsoft HyperV 2008 R2

• KVM 1.0 kernel 3.2.0-29-generic (Ubuntu 12.04 LTS)

• Citrix XenServer 6.0 Enterprise

07/01/2016

19


• https://www.sophos.com

Visite guidée

07/01/2016

20


Ce qu’on a couvert• Connaitre les produits Sophos en général

• Connaitre les fonctionnalités des UTM Sophos

• Vue d’ensembles des fonctionnalités

07/01/2016

21



Environnement de travail



07/01/2016

22


Plan• Eléments constitutifs du Lab

• Schéma de liaison

• Schéma du Lab

• Liens de téléchargement

07/01/2016

23


Eléments constitutifs du Lab• 3 Connexions Internet (Optionnel)

• Hyperviseur (Hyper-V ou VMware) : 5 Machines virtuelles

• 2 VM Sophos UTM avec 3 Interfaces réseau chacune (dont 2 Obligatoires)

• 1 VM Windows Serveur (Domaine + DNS + GPO)

• 2 VM Clients Windows

> Ce que j’utilise :

• Sophos UTM Software 9.3

• VMware Workstation Pro 12 | Windows Server 2012 R2 | Windows 10

07/01/2016

24


Eléments constitutifs du Lab

Site principal Site distant

UTM DC IT UTM RemotePC

Domaine Alphorm.lan -

Nom Alphorm_UTM DC.Alphorm.lan IT.Alphorm.lan BO_UTM RemotePC

LAN 10.10.10/24 172.16.0.0/24

Adresse IP 10.10.10.1 10.10.10.2 10.10.10.5 172.16.0.1 172.16.0.5

Passerelle - 10.10.10.1 172.16.0.1

Version UTM Software 9.3

Win Server 2012 R2 Windows 10 UTM Software

9.3 Windows 10

07/01/2016

25


Site HQ Site distant


HQ LAN

HQ WAN1

HQ WAN2

BO LAN

BO WAN

Tunnel VPN

Schéma de liaison

07/01/2016

26


Schéma du LAB

07/01/2016

27


Liens de téléchargement• Lien vers l’Image UTM Software : https://www.sophos.com/fr-fr/support/utm-downloads.aspx

• Liens vers VMware Workstation : https://www.vmware.com/fr/products/workstation

• Formation VMware Workstation :

07/01/2016

28


Ce qu’on a couvert• Les différents éléments qui constituent le LAB

• Le LAB

• L’infrastructures et les différentes adresses des machines

07/01/2016

29



Constitution du LAB



07/01/2016

30


Plan• Etapes de configuration

• Schéma du Lab

• Schéma de Liaison

• Démonstration

07/01/2016

31


Etapes de configuration• Configuration de VMware Workstation

• Création des réseaux sur Workstation

• Création et configuration des VM Sophos UTM sur Workstation

• Création et configuraion des VM Windows Server + Client

• Configuration du domaine AD Alphorm.lan et sa personnalisation

• Configuration des PCs et leur jonction au domaine

• Nom du DC : DC.Alphorm.lan

• Nom du Client AD : IT.Alphorm.lan

• Mot de passe (LAB): @lphorm2015

07/01/2016

32


Schéma du LAB

07/01/2016

33




HQ LAN

HQ WAN1

HQ WAN2

BO LAN

BO WAN

Tunnel VPN

Schéma de liaison

07/01/2016

34


DémonstrationDémo…

07/01/2016

35


Ce qu’on a couvert• Etapes de configuration

• Schéma du Lab & Schéma de Liaison

• Démonstration

07/01/2016

36



Les bases de la cryptographie

Les fondamentaux


07/01/2016

37


Plan• Notion de Cryptage

• Cryptographie Symétrique

• Cryptographie Asymétrique

• La fonction du hachage

• Signature numérique

• Certificat numérique

07/01/2016

38


Notion de Cryptage• Le cryptage est une technique qui consiste à chiffrer un message (dit en clair) pour le

rendre incompréhensible (cryptogramme).

• Le but c’est de garder la confidentialité du message lors des échanges, et seul le destinataire qui va pouvoir le déchiffrer (décrypter).

• Le Mécanisme Crypter/Décrypter est basé sur : Un Algorithme + Une Clé

Dans l’exemple : Alghorithme = César, Clé = 1

• D’où, on distingue deux cas de figure : Cryptographie Symétrique et Asymétrique

• // Message = Ensemble de bits binaires, de nature quelconque (Texte, Images, App, …)

AlphormBmqipsn

MESSAGE EN CLAIR CRYPTOGRAMME MESSAGE DÉCHIFFRÉ

CRYPTAGE DECRYPTAGEAlphorm

07/01/2016

39


Cryptographie Symétrique• L’algorithme de cryptage symétrique utilise une même clé (dite secrète) pour le

chiffrement et le déchiffrement.

• Avantage ☺ : Rapidité de traitement

• Inconvénients � :

� La clé est susceptible aux risques

� Autant de clés que de destinataires

� Comment transporter la clé de manière sécurisée ?

• Exemples : AES, DES, 3DES, …

• Plus la clé est complexe, plus le chiffrement est plus sûr : Yn

Alphorm AlphormBmqipsnClé X

- Déchiffrement-Clé X

- Chiffrement-

07/01/2016

40


Cryptographie Asymétrique• L’algorithme de cryptage Asymétrique utilise deux clés différentes pour crypter et/ou décrypter le

message.

• Une clé Privée secrète et une clé Publique diffusée.

• Avantage ☺ : Confidentialité parfaite

• Inconvénients � : Lenteur de traitement (~103)

En pratique :

� On utilise le mécanisme de cryptage Asymétrique pour chiffrer la clé symétrique

� Cette dernière sera utilisée pour décrypter le message crypté en Symétrique

Alphorm Alphorm#####Clé publiqueExpéditeur

Clé privéeExpéditeur

Alphorm Alphorm#####Clé privée

DestinataireClé publiqueDestinataire

07/01/2016

41


La fonction du hachage• Le hachage est une fonction qui permet de calculer à partir d’un contenu X (Texte, image,

apps, …) en un ensemble de bits unique plus petit (dit condensé) généralement noté en Hexadécimal, appelé Empreinte digitale (Finger Print)

• Le Hachage est une fonction irréversible (one-way function), il est impossible de retrouver le contenu original.

• La moindre modification du contenu entraîne la modification du Hash

• Algorithmes : MD5, SHA-2, SHA-3, …

• Le hash est utilisé pour générer la signature numérique …

Bonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.comBonjour à tous et bienvenu sur Alphorm.com

# HASH() # 001fed5520099fe14fa11c5b9

07/01/2016

42


Signature numérique• La signature électronique (dite numérique) est un moyen permettant d’identifier son

propriétaire et de garantir l’authenticité et l’intégrité du contenu.

Expéditeur : Signature

1) Condensation du contenu (Hachage)

2) Cryptage du résultat en Asymétrique

3) Associé avec un certificat

4) Attaché au contenu

Destinataire : Vérification

1) Condensation du contenu reçu

2) Décryptage de la signature

3) Comparaison des deux Hash

Si les deux Hash sont identiques, la signature est valide

Source : https://upload.wikimedia.org/wikipedia/commons/2/2b/Digital_Signature_diagram.svg

07/01/2016

43


Signature numérique• Un Certificat Électronique est un ensemble de données à la manière

d’une carte d’identité, contenant :

• Une Clé publique (Crypt. Asymétrique)

• Une Signature numérique.

• Des informations complémentaires : Noms, E-mails, Localisation

07/01/2016

44


Ce qu’on a couvert• Cryptographie Symétrique

• Cryptographie Asymétrique

• Notion d’Empreinte

• Signature numérique

• Certificat numérique

07/01/2016

45



Notions de bases d’Active Directory

Les fondamentaux


07/01/2016

46


Plan

• Qu’est-ce-que c’est AD ?

• Le rôle d’AD

• Les objets AD

• Architecture AD

07/01/2016

47


Qu’est-ce-que c’est AD ?• Active Directory (AD) est la mise en œuvre par Microsoft des services d'annuaire

pour les systèmes d'exploitation Windows. L'objectif principal d’AD est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows. (Sources : Wikipedia)

• AD stocke les éléments d'un réseau tels que les comptes des Utilisateurs,Groupes, les Serveurs, les Postes de travail, les Imprimantes, etc… sous forme d’objets

• Objectifs :

� Architecture et organisation hiérarchisée (OU, CN, Domaines, Forêt, Sites; …)

� Administration centralisée

� Une base de données Objets

� Une gestion des permissions pour les ressources réseau.

07/01/2016

48


Architecture AD• Forêt

� Arborescence

� Domaine

� CN

� OU

� Groupe

� Comptes Utilisateurs / Equipements

07/01/2016

49


Formation AD 2008 R2• http://www.alphorm.com/tutoriel/formation-en-ligne-active-directory-

2008-r2-70-640

07/01/2016

50


Ce qu’on a couvert

• Qu’est-ce-que c’est AD ?

• Le rôle d’AD

• Les objets AD

• Architecture AD

07/01/2016

51



Notions de la sécurité et des menaces

Les fondamentaux


07/01/2016

52


Plan• Code Malicieux (Malware)

• Les types des codes malicieux

• Virus

• Cheval de troie

• Vers

• Bots

• Techniques de détection des malwares

07/01/2016

53


Code Malicieux (Malware)

• Un Malware est un programme qui a pour but d’Endommager ou d’Altérer le fonctionnement d’un ordinateur, mais aussi d’avoir accès aux informations et données sensibles et aux équipements à distance (Ordinateurs, Serveur, Carte bancaires, etc.).

• Principalement ils sont conçus pour endommager le fonctionnement du parc informatique en général, mais aussi pour gagner de l’argent.

07/01/2016

54


Les types des codes malicieux

Code Malveillant

Malware

Nécessite un programme

Cheval de Troie

Virus

Autonome

Vers

Bots

07/01/2016

55


Cheval de troie• Un cheval de Troie (Trojan Horse) est un type de programmes malveillants, qui

apparait pour l’utilisateur comme un programme fiable, mais qui contient une malveillance à l’intérieur.

• Le rôle du cheval de Troie est de transporter le programme malveillant qu’il contient sur l'ordinateur visé à l’aide de l’utilisateur final; Ensuite de l'installer sans que ce dernier le sache.

• Il peut s'agir de n'importe quel type de malware : Virus, Worm, Bot, Spyware... Et C'est ce malware, et lui seul, qui va endommager l’ordinateur sur lequel il sera exécuté.

• Le cheval de Troie n'exécute aucune action, il joue le rôle d’un conteneur, donc il ne représente pas un danger en lui-même.

07/01/2016

56


Virus• Le tout premier code malveillant, il nécessite un hôte pour se propager et

endommager la cible (tout comme les virus biologiques qui nécessitent une cellule pour se répliquer et infecter le corps).

• Souvent, ils sont confondus avec les autres malwares, faisant la relation avec les « Anti-Virus ».

• Ils peuvent être transportés via des programmes divers, Emails, Supports amovibles, …

• Une fois exécutés sur la cible, ils peuvent faire des dégâts multiples allant de nuire à l’activité de l’utilisateur, jusqu’au contrôle distant de l’ordinateur, le corrompre, ou même le vol des informations/données sensibles.

07/01/2016

57


Les vers• Contrairement aux autres membres de famille, les vers ne nécessitent aucun

hôte pour se répliquer, ce qui ouvre la porte pour « se déplacer » « facilement » dans le réseau, d’un hôte à un autre.

• Ils utilisent différentes méthodes pour se propager dans le réseau : Mail, IM, MMS, …

• Mais aussi de différents types d’hôtes : PC, Smartphone, Switch, …

• Ils provoquent une lenteur dans le réseau : « Une charge » supplémentaire qui va saturer la bande passante, alourdir le système, …

07/01/2016

58


Bots• Botnet est un réseau d’ordinateurs infectés par des Bots, qui vont

donner accès aux pirates pour contrôler ces ordinateurs (Zombies) à distance.

• Les hackers, BotMasters, utilisent des serveurs pour y accéder, appelés : Serveur C&C (Command & Control)

• Les Botmasters utilisent les zombies pour exécuter des tâches afin de cacher leurs identités : Envoyer des spams, attaquer d’autres cibles, vendre les accès à des données sensibles …

07/01/2016

59


Techniques de détection• Détection basée sur la signature : Les logiciels anti-malware comparent les empreintes (Fingerprint)

des codes malveillants avec sa base virale. Cette méthode présente quelque limites :

• La détection des nouveaux malwares qui ne sont pas encore identifiés sur la base.• Dans le cas ou une partie du code malveillant change, l’empreint ne sera plus la même.

• Détection heuristique : Cette méthode détecte les malwares en examinant le code source du programme, la classification « Malware » d'est décidée suite à une analyse des instructions douteuses et/ou non conforme de ce, dont un programme sain ne va pas contenir.� Limites : Faux positifs

• Détection comportementale : Cette méthode détecte les malwares en examinant l’activité du programme du programme en temps réel, la classification « Malware » d’un programme est décidée suite à un comportement suspect et/ou corruptible de ce programme, ceci inclut les actions modification système, initiation des communications réseau etc.� Tout comme la précédente, elle peut détecter les malwares qui ne figurent pas sur la base virale.

• Détection basée sur le Cloud : Elle est basée sur les trois premières méthodes pour la détection, Mais elle se différencie sur : La collecte des données à partir des endpoint protégés connectés au cloud de l’éditeur, formant un parc mondial de plusieurs systèmes et cas. Ce qui permet aux uns de bénéficier des expériences des autres et en temps réel.

07/01/2016

60


Ce qu’on a couvert• Code Malicieux (Malware)

• Les types des codes malicieux

• Virus

• Cheval de troies

• Ver

• Bots

• Techniques de détection

07/01/2016

61



Installation

Installation et vue d'ensemble


07/01/2016

62


Plan• Prérequis

• Chargement de l’ISO Sophos UTM Software

• Lancer l’installation de l’appliance virtuelle

07/01/2016

63


Prérequis• L’image ISO de l’UTM version : Virtual Appliance (https://www.sophos.com/fr-fr/support/downloads/)

• L’UTM en version Appliance Virtuelles est compatible avec les plateformes de virtualisation suivantes :

� VMware ESXi 5.1

� Microsoft HyperV 2008 R2

� KVM 1.0 kernel 3.2.0-29-generic (Ubuntu 12.04 LTS)

� Citrix XenServer 6.0 Enterprise

• Configuration minimale de la machine (VM ou HW)

� Processeur Intel Single-core

� Lecteur CD-ROM

� 1 GB RAM (2GB Recommendé)

� 40 GB HDD

� 2 interfaces réseaux ou plus

07/01/2016

64


Schéma du LAB

07/01/2016

65


Eléments constitutifs du Lab

Site principal Site distant


Domaine Alphorm.lan -

Nom Alphorm_UTM DC.Alphorm.lan IT.Alphorm.lan BO_UTM RemotePC

LAN 10.10.10/24 172.16.0.0/24

Adresse IP 10.10.10.1 10.10.10.2 10.10.10.5 172.16.0.1 172.16.0.5

Passerelle - 10.10.10.1 172.16.0.1

Version UTM Software 9.3

Win Server 2012 R2 Windows 10 UTM Software

9.3 Windows 10

07/01/2016

66


DémonstrationDémo …

07/01/2016

67


Ce qu’on a couvert• Première installation de Sophos UTM Software

07/01/2016

68



La configuration de base via l'assistant



07/01/2016

69


Plan• Se connecter à Sophos WebAdmin Interface

• Lancer la configuration de base guidée via le Wizard

07/01/2016

70



07/01/2016

71


Ce qu’on a couvert• Configuration de Sophos UTM Software via l’assistant

07/01/2016

72



Vue d'ensemble de l'interface



07/01/2016

73


Plan• Se familiariser avec l’interface WebAdmin

• Découvrir les menu principaux et les sous-menus

• Les onglets et pages

07/01/2016

74



07/01/2016

75


Ce qu’on a couvert• Se familiariser avec l’interface WebAdmin

• Découvrir les menu principaux et les sous-menus

• Les onglets et pages

07/01/2016

76



Les paramètres système

Configuration du système


07/01/2016

77


Plan• Informations de l’organisation

• Paramètres heure et date

• Accès Shell

• Moteurs de scan AV

• Restauration d’usine

07/01/2016

78



07/01/2016

79


Ce qu’on a couvert• Informations de l’organisation

• Paramètres heure et date

• Accès Shell

• Moteurs de scan AV

• Restauration d’usine

07/01/2016

80



Les paramètres WebAdmin



07/01/2016

81


Plan• Paramètres généraux

• Control d’accès

• Certificat HTTPS

• Préférences utilisateur

• Paramètres avancés

07/01/2016

82



07/01/2016

83


Ce qu’on a couvert• Paramètres généraux

• Control d’accès

• Certificat HTTPS

• Préférences utilisateur

• Paramètres avancés

07/01/2016

84



Gestion des licences



07/01/2016

85


Plan• Les différents modules licensing

• Intégration de la licence

07/01/2016

86



07/01/2016

87


Ce qu’on a couvert• Les différents modules licensing

• Intégration de la licence

07/01/2016

88



Gestion des mises à jour



07/01/2016

89


Plan• Mises à jour disponibles et leurs contenus

• Installation des up2dates

• Téléchargement des mises à jour

07/01/2016

90



07/01/2016

91


Ce qu’on a couvert• Mises à jour disponibles et leurs contenus

• Installation des up2dates

• Téléchargement des mises à jour

07/01/2016

92



Sauvegarde et Restauration



07/01/2016

93


Plan• Création des sauvegarde

• Télécharger le fichier de sauvegarde

• L’envoyer par mail

• Restaurer le système à partir d’une sauvegarde

• Sauvegardes automatiques

07/01/2016

94



07/01/2016

95


Ce qu’on a couvert• Création des sauvegarde

• Télécharger le fichier de sauvegarde

• L’envoyer par mail

• Restaurer le système à partir d’une sauvegarde

• Sauvegardes automatiques

07/01/2016

96



Portail utilisateur



07/01/2016

97


Plan• Paramètres du portail

• Se connecter au portail

07/01/2016

98



07/01/2016

99


Ce qu’on a couvert• Paramètres du portail

• Connexion au portail

07/01/2016

100



Les notifications



07/01/2016

101


Plan• Configuration des notifications système

07/01/2016

102



07/01/2016

103


Ce qu’on a couvert• Configuration des notifications

07/01/2016

104



Personnalisation



07/01/2016

105


Plan• Personnalisation du logo

• Message de bienvenu

• Messages utilisateurs

07/01/2016

106



07/01/2016

107


Ce qu’on a couvert• Personnalisation du logo

• Message de bienvenu

• Messages utilisateurs

07/01/2016

108



Gestion des objets réseau


Définition des objets

07/01/2016

109


Plan de la formation1. Introduction à la formation


3. Les fondamentaux






9. Services réseau


11. Protection Web

12. Email Protection




16. Gestion de RED

17. VPN site à site




21. Support et outils

22. Conclusion

07/01/2016

110


Plan• Qu’est ce qu’un objet ?

• Pourquoi ?

• Nature des définitions

• Définir des objets Network

• Définir des objets Host

• Définir des objets Network Group

• Créer des objets « Groupe de disponibilité »

• Définir des adresses MAC

07/01/2016

111


Qu’est ce qu’un objet ? Et pourquoi ?• La définition d’objets sur Sophos UTM peut être interprétée comme

des raccourcis logiques vers des Réseaux, des Equipements (Hôtes) dans le réseau, des liens URL ou des Groupes.

• Les définitions qui peuvent être créées :

Host, DNS Host, DNS Group, Network,

Range, Multicast group, Network group,

Availability group, MAC Address

Ces objets vont être utilisés sur les autres menus

de Configuration de WebAdmin, pour une meilleure gestion

tel que : Filtrage web, NAT, Règles firewall basés sur MAC, …

07/01/2016

112


Nature des definitions• Network : Définition d’une plage réseau

Nom : Direction

Réseau : 192.168.0.0/24

• Host : Définit l’adresse IP d’un hôte

Nom : Serveur_Exchange_01

Adresse : 192.168.0.127

• Network Group : Regroupe des définitions réseaux

Nom : Restricted_Alphorm_Paris

Objets : Sales_Network, Serveur_Exchange_01, HR-PC

• Groupe de disponibilité :

Contient des définitions Host ou DNS (@IP ou Nom d’hôte) + ordre priorité.

• Adresses MAC : affecte une adresse MAC à un hôte (#getmac)

iPhone_DG > 00:F5:16:E2:3A:9B

07/01/2016

113



07/01/2016

114


Ce qu’on a couvert• Qu’est ce qu’un objet ?

• Pourquoi ?

• Nature des définitions

• Définir des objets Network

• Définir des objets Host

• Définir des objets Network Group

• Créer des objets « Groupe de disponibilité »

• Définir des adresses MAC

07/01/2016

115



Gestion des objets Services



07/01/2016

116


Plan• Qu’est-ce qu’une Définition Service ?

• Découvrir les objets Services existants

• Définir des objets Services

07/01/2016

117


Qu’est-ce qu’une Définition Service ?

• Les définitions de type « Services » utilisent une combinaison de protocoles et options de protocoles ‘’ports source et de destination’’ pour définir un de trafic réseau.

• Ces définitions seront ensuite utilisées dans le Sélecteur de trafic réseau afin d’accepter et/ou rejeter ce trafic dans règles (Ex. : Règles FW).

• Les types de définition de services disponibles :

� TCP : Transmission Control Protocol, Utilise des ports (Source/Destination).

� UDP : User Datagram Protocol, utilise des ports (Source/Destination).

� TCP/UDP : Pour les applications qui communiquent avec les deux protocoles (DNS).

� ICMP/ICMPv6 : Ce champ contient une liste de codes ICMP.

� ESP / AH : utilisés pour la communication IPsec.

� Group : Regrouper plusieurs définitions de services sous un seul groupe.

� Comme pour la définition de type Réseau, Le type ne peut pas être modifié.

07/01/2016

118



07/01/2016

119


Ce qu’on a couvert• Les objets Services existants

• Définir des objets Services

07/01/2016

120



Définitiondes plages horaires



07/01/2016

121


Plan• Vue d’ensemble des plages horaires existantes

• Définition des périodes personnalisées

07/01/2016

122



07/01/2016

123


Ce qu’on a couvert• Vue d’ensemble des plages horaires existantes

• Définition des périodes personnalisées

07/01/2016

124



Gestion desUtilisateurs & Groupes


Définitions des objets

07/01/2016

125


Plan• Définition et gestion des utilisateurs

• Définition et gestion des groupes

• Comprendre les différentes options disponibles

07/01/2016

126



07/01/2016

127


Ce qu’on a couvert• Création des utilisateurs

• Création des groupes

• Découvrir les différentes options disponibles

07/01/2016

128



Gestion des interfaces


Interfaces et Routage

07/01/2016

129


Plan• Types d’interfaces disponibles

• Découvrir les interfaces existantes

• Création de nouvelles interfaces

• Adresse multiples sur la même interfaces

07/01/2016

130


Types d’interfaces disponibles• 3G/UMTS : Connecter des modems USB 3G/UMTS (Reboot nécessaire).

HCL : https://www.sophos.com/fr-fr/support/knowledgebase/116169.aspx

• DSL : Connecter une ligne ADSL compatible PPPoA/PPPoE, nécessite un modemADSL en amont.

• Ethernet : Interface Ethernet Standard (Network ou GW)

• Ethernet Bridge : Joindre deux réseaux entre eux.

• Ethernet Vlan : Créer une interface Vlan taguée.

• Modem PPP : Brancher un modem PPP sur une interface Série.

• Group : Combiner deux interfaces ou plus, pour Simplifier la gestion de plusieurs interfaces.

07/01/2016

131



07/01/2016

132


Ce qu’on a couvert• Types d’interfaces disponibles

• Découvrir les interfaces existantes

• Création de nouvelles interfaces

• Adresse multiples sur la même interfaces

07/01/2016

133



Uplink Balancing(Haute disponibilité Internet)



07/01/2016

134


Plan• Qu’est ce que c’est Uplink Balancing ?

• Compréhension des paramètres disponibles

• Configuration de la haute disponibilité d’internet

07/01/2016

135


Qu’est ce que c’est Uplink Balancing ?• Uplink balancing = Répartition de charges sur les connexions internet (Multi WANs)

Internet Hautement disponible.

• Deux modes sont disponibles :

1. Actif / Actif :

Les deux liens travaillent en permanence pour garantir une meilleure gestion de débit.

2. Actif / Passif :

L’une des connexion est active, elle assure tout le trafic internet ; l’autre est en Standby, elle prend le relai lorsque la première interface tombe.

07/01/2016

136




HQ LAN

HQ WAN1

HQ WAN2

BO LAN

BO WAN

Tunnel VPN

Schéma d’interconnexion

07/01/2016

137


Schéma du LAB

07/01/2016

138


Compréhension des paramètres disponibles> Le poids : Priorité du routage du traficOn peut affecter un poids pour chaque interface, allant de 0 jusqu’à 100, le poids représente le coefficient de la quantité du trafic passant par une interface par rapport à l’autre. Le basculement se fait en utilisant l’algorithme Round Robin.

Plus le poids d’une interface est élevé, plus le trafic passe par celle-ci.

> Monitoring : Vérification de l’état des liens Internet

Par défaut, l’UTM utilise la configuration « Automatic monitoring » pour vérifier l’état des liens internet, avec un interval de test de 15s.

Ce paramètre peut être modifié.

07/01/2016

139



07/01/2016

140


Ce qu’on a couvert• Qu’est ce que c’est Uplink Balancing ?

• Configuration de la haute disponibilité d’internet

• Compréhension des paramètres disponibles

07/01/2016

141



Règles à chemins multiples



07/01/2016

142


Plan


• Configuration

07/01/2016

143


Compréhension technique

07/01/2016

144



07/01/2016

145




• Configuration

07/01/2016

146



Qualité de service QoS



07/01/2016

147


Plan

• Qu’est-ce-que c’est la QoS ?

• Sélecteur de trafic

• Allocation de la bande passante

• Limitation de téléchargement

• Configuration

07/01/2016

148


Qu’est-ce-que c’est la QoS ?

07/01/2016

149



07/01/2016

150



• Qu’est-ce-que c’est la QoS ?

• Sélecteur de trafic

• Allocation de la bande passante

• Limitation de téléchargement

• Configuration

07/01/2016

151



Routage statique et routage conditionnel



07/01/2016

152


Plan

• Découvrir le routage statique sur l’UTM

• Comprendre le routage conditionnelle

• Configuration

07/01/2016

153


Découvrir le routage statique sur l’UTM

• Routage d’interface

• Routage de passerelle

• Routage Blackhole

07/01/2016

154


Comprendre le routage conditionnelle

07/01/2016

155



07/01/2016

156



• Découvrir le routage statique sur l’UTM

• Comprendre le routage conditionnelle

• Configuration

07/01/2016

157



Authentification Distante Active Directory


Authentification

07/01/2016

158


Plan• Qu’est ce que c’est l’authentification distante ?

• Découvrir les paramètres disponibles

• Configurer le serveur d’authentification distant

07/01/2016

159


Qu’est ce que c’est l’authentification distante ?

• L’authentification distante permet la synchronisation des utilisateurs etgroupes avec les serveurs d’annuaires Active Directory, Ldap, eDirectory,Radius, etc…

• Création automatique des utilisateurs pour les services :

� Client d’authetification

� Filtrage Web

� User Portal

� WebAdmin

� Hotspot wifi

07/01/2016

160


Configurer le serveur d’authentification distant

• Créer un utilisateur d’authentification dans AD (Droits Admin du domaine)

• Récupération de son DN (Distinguished Name)

• Choisir Active Directory pour Backend Server

• Sélectionner le port AD : 389 pour LDAP, 636 pour LDAPS (SSL)

• DN de base : Le conteneur racine des utilisateursSi Vide = le DN de base est automatiquement récupéré

07/01/2016

161



07/01/2016

162


Ce qu’on a couvert• Qu’est ce que c’est l’authentification distante ?

• Découvrir les paramètres disponibles

• Configurer le serveur d’authentification distant

07/01/2016

163



Authentification unique Single-Sign-On (SSO)


Authentification

07/01/2016

164


Plan• Qu’est ce que c’est SSO ?

• SSO et UTM

• Configurer l’authentification SSO

07/01/2016

165


Qu’est ce que c’est SSO ?

• Le SSO Single-Sign-On est un moyen qui permet à un utilisateur des’authentifier une seule fois pour de multiples services compatibles.

• AD, Application métiers, Sites web, ERP, etc.

• Eviter les connexions répétées

• Ne plus retenir des mots de passes pour chaque service

• Un seul accès partout

• Transparent pour l’utilisateur

• Gestion plus simple

07/01/2016

166


SSO et UTM• Utilisé pour le filtrage WEB uniquement

• Un compte Ordinateur est créé automatiquement Pas manuellement

• Un enregistrement DNS A Record ‘Nom d’hôte’ est créé automatiquement, Sinon manuellement

Prérequis :

• Le serveur d’authentification distant Active Directory doit être Créé et Configuré

• Un utilisateur Admin autorisé à ajouter des ordinateurs à ce domaine

• Un enregistrement DNS A Record pour l'UTM dans le domaine Active Directory.

• Tous les postes de travail doivent être liés au domaine et doivent être en mesure de résoudre l'adresse interne de l'UTM à la fois par le nom d'hôte et FQDN

• Le décalage horaire entre l’UTM et l’AD ne dépassent pas 300 secondes.

• Le même serveur NTP pour l’UTTM et l’AD.

• Les requêtes DNS du domaine local pointent vers l’un des serveurs DNS pour le domaine Active Directory.

07/01/2016

167



07/01/2016

168


Ce qu’on a couvert• Qu’est ce que c’est SSO ?

• SSO et UTM

• Configurer l’authentification SSO

07/01/2016

169



Mot de passe à usage unique (OTP)


Authentification

07/01/2016

170


Plan• Qu’est ce que c’est OTP et TOTP ?

• Comment ça marche ?

• Configuration

07/01/2016

171


Qu’est ce que c’est OTP et TOTP ?• OTP (On-Time-Password) : Mot de passe à usage unique

• TOTP (Time-based-One-Time-Password) : OTP Basé sur le temps

• Nouveauté 9.2

• Une authentification à double facteurs

• Valide pour une seule connexion

• L’ancien MDP expire automatiquement suite de la génération du nouveau

• Amélioration de la sécurité

07/01/2016

172


Comment ça marche ?

Votre Login

07/01/2016

173



07/01/2016

174


Ce qu’on a couvert• Qu’est ce que c’est OTP et TOTP ?

• Comment ça marche ?

• Configuration

07/01/2016

175



DNS


Services réseau

07/01/2016

176


Plan• Qu’est ce que c’est DNS ?

• Compréhension techniques

• Les rôles DNS associés à l’UTM

• Configuration

07/01/2016

177


Qu’est ce que c’est DNS ?• Domaine Name System, est un service qui fait la traduction des noms de

domaine en adresse IP.

• Chaque nom de domaine est associé à une adresse IP

• Le mécanisme de traduction Nom/Adresse est appelé Résolution DNS

• L’attribution d’une adresse IP à un nom de domaine est appelée Enregistrement DNS

dc.alphorm.lan 10.10.10.2

Résolution

Enregistrement

07/01/2016

178


Compréhension technique• Un DNS Forwarder est un serveur se trouvant à l’extérieur du réseau, qui fait la

redirection des requêtes DNS dont le serveur interne ne saura pas résoudre.

• Ils seront interrogés dans l’ordre dont ils ont été ajoutés

• Il est possible de configurer un routage de requêtes (Request Routing) pour certains domaines spécifiques pour passer par les serveurs indiqués, et ne passent pas par les forwarders (Exemple : Domaines locaux).

• Sophos UTM exécute un proxy de mise en cache DNS qui offre un service DNS sécurisé pour les serveurs et les clients internes

• L’UTM répond aux requêtes de résolution DNS et met les résultats dans le cache du DNS RESOLVER pour permettre des recherches plus rapides

• Il peut être vidé depuis la console.

07/01/2016

179


Démonstration

Démo …

07/01/2016

180


Ce qu’on a couvert• Qu’est ce que c’est DNS ?


• Les rôles DNS associés à l’UTM

• Configuration

07/01/2016

181



DHCP


Services réseau

07/01/2016

182


Plan• Configuration des serveurs DHCP

• Configuration de relais DHCP

• Découvrir les DHCP Options et les paramètres avancés

07/01/2016

183


Démonstration

Démo …

07/01/2016

184


Ce qu’on a couvert• Configuration des serveur DHCP

• Configuration de relais DHCP

• Découvrir les options DHCP et les paramètres avancés

07/01/2016

185



NTP


Services réseau

07/01/2016

186


Plan• Configuration du serveur NTP

07/01/2016

187


Démonstration

Démo …

07/01/2016

188


Ce qu’on a couvert• Qu’est-ce-que c’est qu’un NTP Server ?

• Configuration du serveur NTP

07/01/2016

189



Pare-feu(Firewall)


Protection des réseaux

07/01/2016

190


Plan• Qu’est ce qu’un firewall ?

• Compréhension techniques

• Configuration des règles du pare-feu

• Découvrir les paramètres avancés

07/01/2016

191


Qu’est ce qu’un firewall ?Un Pare-feu c’est comme la PAF ☺

• C’est un système qui vient se positionner entre deux réseaux différents afin de contrôler les données entrantes et sortantes de/vers ces réseaux

• Contrôler = Autoriser ou Interdire

• Il permet de filtrer les paquets de données échangés entre le réseau local et les réseaux tiers (Notamment Internet) afin de protéger la communication des équipements du réseau interne.

• Il peut être logiciel ou matériel (UTM ou Appliance dédiée)

07/01/2016

192


Compréhension techniques• Le Pare-feu de l’UTM Sophos utilise la base netfilter/iptables du kernel Linux.

• Le filtrage est appliqué sur les Paquets IP de la couche Réseau (niveau 3) et les Segments (Protocoles réseau) de la couche Transport (niveau 4) du modèle OSI.

• Les règles de filtrage sont créées en utilisant des définitions : Sources (IP), Services (protocole et port), Destinations (IP)

• Les règles sont traitées par ordre ; du plus précis au moins précis.

• Seule la première règle correspondante est appliquée, si le paquet ne correspond à aucune règle il sera abandonné et journalisé.

07/01/2016

193


Compréhension techniques• Un paquet peut être : Autorisé (Allow), Rejeté (Reject) ou Abandonné (Drop)

� Reject > Refuser le paquet et avertir le demandeur

� Drop > Refuser le paquet sans informer le demandeur

07/01/2016

194



07/01/2016

195


Ce qu’on a couvert• Qu’est ce qu’un firewall ?

• Compréhensions techniques


• Découvrir les paramètres avancées

07/01/2016

196



Network AddressTranslation

(NAT)



07/01/2016

197


Plan• Qu’est ce que c’est NAT ?

• Qu’est ce que c’est Masqurading ?




07/01/2016

198


Qu’est ce que c’est NAT ?• Le rôle du NAT (Network Address Translation) est de traduire les adresses IP privées

(dites non routables) en adresses IP publiques et inversement.

• L'UTM prend en charge : Destination NAT (DNAT), Source NAT (SNAT), 1:1 NAT, Fulll NAT et NoNAT (Exception).

• SNAT : L'adresse IP de l'ordinateur qui a initié la connexion est réécrite.

• DNAT : Les adresses de destination sont réécrites, les paquets provenant des réseaux externes (Internet) seront redirigés vers les @IP privées internes.

- Il est utilisé également pour rendre des serveurs internes disponibles sur Internet via l’adresse publique externe de l’UTM (On dit alors : Publication des serveurs).

07/01/2016

199


Qu’est ce que c’est Masqurading ?• Le NAT est un mécanisme qui apporte un niveau de sécurité supplémentaire

puisqu’il permet, entre autres, de masquer l’adresse IP privée d’une machine (Ex. Serveur de messagerie, ou même une @ip d’un smartphone) se trouvant à l’intérieur du réseau local, d’où la notion de Masquerading.

• …

07/01/2016

200


Schéma du LAB

07/01/2016

201



07/01/2016

202


Ce qu’on a couvert• Qu’est ce que c’est NAT ?

• Qu’est ce que c’est Masqurading ?




07/01/2016

203



Intrusion Prevention System(IPS)



07/01/2016

204


Plan• Qu’est ce que c’est IPS ?


• Configuration

07/01/2016

205


Qu’est ce que c’est IPS ?• L’IPS (Intrusion Prevention System) est une couche supplémentaire (qui devient indispensable)

dans un réseau. Il se place en frontal (Network Edge), pour détecter, alerter et bloquer les attaques provenant de l’extérieur, contrairement au pare-feu (qui réagit suivant des règles prédéfinies)

• IPS c’est comme un détecteur de mensonges (Salut Pinocchio ☺)

• L’IPS analyse le trafic (entrant principalement) en continu (IDS*), une fois qu’il détecte une attaque (ou un comportement douteux), tel que le Port Scanning (balayage des ports) ou les Floods TCP SYN, UDP ou ICMP (attaques DOS), il réagit immédiatement (contrairement à l’IDS) et en temps réel pour bloquer le trafic malicieux, l’adresse source, les ports et ou les services associés.

• Les inconvénients � :

� Consommation élevée des ressources (Diminution des performances)

� Faux positifs

07/01/2016

206


Comprehension techniques• L'IPS de Sophos UTM a une base de données d'environ 20 000 règles pour

détecter les attaques. Elle est triée en catégories et sous-catégories pour simplifier sa gestion.

• Les paramètres peuvent être activés et configurés au niveau de la catégorie ou de la sous-catégorie.

� Quand une attaque est détectée, l'action produite peut être soit une alerte ou soit le blocage du trafic.

� L'âge d'une règle peut être configuré pour chaque catégorie à 6, 12, 24 mois ou sans limite d’âge.

• Certaines règles ont plus de 8 ans. Pour améliorer les performances du système IPS, les règles peuvent donc être filtrées selon leurs âges.

� L'option Notify envoie un courriel à l'adresse de l’administrateur pour chaque évènement correspondant à une règle respective.

• *Activer les notification : Management > Notifications > Notifications

07/01/2016

207



07/01/2016

208


Ce qu’on a couvert• Qu’est ce que c’est IPS ?


• Configuration

07/01/2016

209



Advanced Threat Protection(ATP)



07/01/2016

210


Plan• Qu’est ce que c’est ATP ?


• Configuration

07/01/2016

211


Qu’est ce que c’est ATP ?• L’ATP (Advanced Threat Protection) est une technique qui, inversement à l’IPS,

protège le réseau en surveillant le trafic sortant qui quitte le LAN en allant vers Internet.

• L’objectif c’est de détecter les Botnets et les ordinateurs contaminés (Zambies)sur le réseau local qui communiquent avec les Serveurs C&C (Command & Control) utilisés par les hackers pour contrôler les réseaux à distance.

• Alerter ou Abandonner le trafic, ce sont les deux actions à mener lors la détection d'une menace.

• Il est possible de créer des exceptions pour des hôtes, des réseauxet des menaces* spécifiques.

07/01/2016

212



07/01/2016

213


Ce qu’on a couvert• Qu’est ce que c’est ATP ?


• Configuration

07/01/2016

214



Advanced Threat Protection(ATP)



07/01/2016

215


Plan• Qu’est ce que c’est ATP ?


• Configuration

07/01/2016

216


Qu’est ce que c’est ATP ?• L’ATP (Advanced Threat Protection) est une technique qui, inversement à l’IPS,

protège le réseau en surveillant le trafic sortant qui quitte le LAN en allant vers Internet.

• L’objectif c’est de détecter les Botnets et les ordinateurs contaminés (Zambies)sur le réseau local qui communiquent avec les Serveurs C&C (Command & Control) utilisés par les hackers pour contrôler les réseaux à distance.

• Alerter ou Abandonner le trafic, ce sont les deux actions à mener lors la détection d'une menace.

• Il est possible de créer des exceptions pour des hôtes, des réseauxet des menaces* spécifiques.

07/01/2016

217



07/01/2016

218


Ce qu’on a couvert• Qu’est ce que c’est ATP ?


• Configuration

07/01/2016

219



Sophos UTM

La conclusion


07/01/2016

220


L’objectif• Comprendre le fonctionnement des UTM

• Comprendre les rôles, les services et les fonctionnalités UTM (Réseaux, Web, DNS, NAT, Wifi, …)

• Se familiariser avec les produits Sophos (RED, AP, Pare-feu, Software, …)

• Comment déployer Sophos UTM

• Installer et configurer Sophos UTM

• Administrer Sophos UTM

• Comment intégrer Sophos UTM aux différents services de l’entreprise

07/01/2016

221


Plan de la formation

1. Introduction à la formation


3. Les fondamentaux






9. Services réseau


07/01/2016

222


Prochaine formation

1. Protection Web

2. Email Protection




6. Gestion de RED

7. VPN site à site




Sophos UTM, Les Fonctionnalités avancées

07/01/2016

223


Conseil• Pratiquer

• Pratiquer

•Pratiquer

•Pratiquer

•Pratiquer

•Pratiquer

07/01/2016

224


Merci ☺

Technology

Alphorm.com Formation Sophos UTM