Alphorm.com Formation SOPHOS XG FIREWALL, Administration

Formation SOPHOS XG FIREWALL, Administration alphorm.com™©

� SOPHOS XG Certified Engineer

Formation

SOPHOS XG Firewall

Administration

Site : http://www.alphorm.comBlog : http://blog.alphorm.com

Djawad KASSOUSFormateur et Consultant ITIngénierie Système et Sécurité


Plan

• Présentation du formateur

• Mes formations déjà en ligne sur Alphorm

• Plan de la formation

• Contenu pédagogique

• Public concerné

• Connaissances requises

• Liens et ressources utiles


Présentation du formateur

Mohamed Djawad KASSOUS

• Consultant IT : Dimensionnement, Design, Intégration, Déploiement, Migration…

Sécurité des systèmes & réseaux : NG Firewall, UTM, VPN, WAF, Proxy/RP, ADC/LB…

Sophos, PaloAlto Networks, BlueCoat, F5, …

Infrastructure Windows Server

Messagerie MS Exchange 2010/2013/Online (O365)

Virtualisation : MS Hyper-V, VMware vSphere

Backup & Restore : Symantec Backup Exec (Veritas BE) / DLP / Ecryption

• [email protected]

• dz.linkedin.com/in/dkassous

• http://www.alphorm.com/formateur/Djawad-KASSOUS


Mes formations déjà en ligne sur Alphorm


SOPHOS XG Firewall

SOPHOS XG FirewallAdministration Avancée

SOPHOS XG FirewallAdministration


Plan de la formation

1. Introduction à la formation� Présentation de la formation

� Les nouveautés de chez Sophos

2. Environnement de travail� Présentation du LAB

� Préparation du LAB

3. Installation et activation du produit� Déploiement de l‘Appliance

� Activation et Configuration de base via le Wizard

� Vue d'ensemble de l'interface

4. Configuration du système� Gestion des accès

� Configuration du serveur DNS

� Configuration du serveur DHCP

� Gestion des mises à jour du firmware

� Sauvegarde et restauration

� Outil de troubleshooting

5. Network Protection� Gestion d'objets

� Les zones

� Stratégie de sécurité

� Règles Utilisateurs / Réseaux / Applications

� IPS, DoS et ATP

� Routing

6. Authentification� Type d'authentification

� Intégration AD

� Méthodes d'authentification

� Règle basée sur l'utilisateur

� Portail utilisateur

7. Conclusion� Conclusion


Contenu pédagogique

• Concept de base

• Principe de fonctionnement

• Détails techniques (Datasheets)

• Démonstration réelle / LABs

• Astuces et bonnes pratiques

• Support de cours


Public concerné

• Partenaires Sohpos : Certification SCE/SCA

• Administrateurs et Techniciens Réseaux

• Ingénieurs Sécurité des réseaux et systèmes

• Migration vers Sophos XG Firewall (Sophos UTM, Cyberoam, etc…)


Connaissances requises


Liens et ressources utiles

• https://www.sophos.com/fr-fr/products/next-gen-firewall.aspx

• XG Firewall DS

• Operating Instructions :

� XG 210/230/310/330

� XG 430/450

� XG 550/650

� XG 750


C’est Parti !!


Les nouveautés de chez Sophos

Introduction à la formation


Djawad KASSOUSFormateur et Consultant ITIngénieur Réseaux et Sécurité


Plan

• Nouveau site web ☺

• UTM ELEVATED 9.4

• Sophos XG Firewalls

� Sophos Firewall OS

• Sophos Firewall Manager

• Sophos iView 2.0

• Security Heartbeat

• Sophos Home


Nouveau site web

• https://www.sophos.com


UTM ELEVATED 9.4

• Après la 9.3, Sophos vient de publier la nouvelle MAJ de ses UTM 9.4 appelée ELEVATED UPDATE :

1. Sophos Sandstorm (Sandboxing):

Protection contre les menaces Zero-Day

Cloud-based sandbox

Nécessite un abonnement

2. Support des new AP & RED (AP15C, RED 15w)

3. STAS (Sophos Transparent Authentication Suite)

4. VPN SSL IPv6

• Lien de téléchargement MAJ : ftp://ftp.astaro.com/UTM/v9/up2date/

• ISO : https://www.sophos.com/en-us/support/utm-downloads.aspx


Sophos XG Firewalls

• Les Nouveaux modèles XG Series sont La nouvelle série des UTM Sophos, Basées sur le hardware des SG Series

• Rien de secret, la solution est Basée sur l’architecture des Pare-feu de Cyberoam (Acquis en 2014)

• Mise à niveau disponible pour les utilisateurs Sophos* & Cyberoam*

• Garde les mêmes fonctionnalités des UTM et plus

• Contrôle unifié des utilisateurs, des applications et des réseaux

• XG Firewall Home Edition Gratuit.


Sophos Firewall OS

• Sophos XG Hardware/Virtuel/Software + SFOS = Sophos XG Firewall

• Le cœur des pare-feu NG de Sophos, c’est l’OS!

• Représenté par la nouvelle interface qui a complètement changée


Sophos Firewall Manager

• « Sophos Firewall Manager (SFM) est un outil puissant permettant de gérer de manière centralisée tous vos pare-feu Sophos sur vos différents sites ou succursales - le tout depuis un seul écran. »

• Le successeur de Sophos UTM Manager :

� Gérer toutes les politiques de pare-feu et leur configuration depuis une seule console

� Gestion centralisée des mises à jour

� Regroupement intelligent d’appliances

� Déploiement matériel, logiciel ou virtuel

� Intégration au nouveau Sophos iView

� Compatible avec SFOS uniquement,

� Il devient payant, Désolé �


Sophos iView 2.0

• Solution pour la génération de rapports consolidés et détaillés de tout le parc.

• Rapports pour les Sophos XG Firewall, UTM 9 et CyberoamOS

• Rapports basés sur les utilisateurs (Layer_8)

• Groupement des appliances et Administration déléguée

• Visualisation et visibilité sur la consommation data, sur l’utilisation des modules et les utilisateurs, surveillances du réseau

• Des rapports détaillés avec affichage et formats personnalisés

• Accessibles via un navigateur Web (Web-based interface)


Security Heartbeat


Sophos Home

• Sophos Home est une solution gratuite qui protège tous les ordinateurs PC ou MAC de votre maison contre les logiciels malveillants, les sites Web inappropriés et les virus.

• Basée sur le Cloud, User-friendly GUI

• Gérer les paramètres de sécurité pour toute la famille depuis n’importe quel navigateur.

• Totalement gratuit pour 10 ordinateurs par compte.

• Windows 7, 8/8.1, Windows 10 | Mac OS X 10.8, 10.9, 10.10, ou 10.11

• 1 Go d'espace disque minimum | 1 Go de RAM minimum

• https://home.sophos.com/


Ce qu’on a couvert

� UTM ELEVATED 9.4

� Sophos XG Firewalls

� Sophos Firewall OS

� Sophos Firewall Manager

� Sophos iView 2.0

� Security Heartbeat

� Sophos Home


Présentation du LAB

Environnement de travail


Djawad KASSOUSFormateur et Consultant ITIngénierie Réseaux et Sécurité


Plan

•Prérequis matériel / Software

•Adressage IP

•Schéma de liaison des VMs

•Schéma d’interconnexion final


Prérequis

• Connexions Internet (2 recommandé)

• Hyperviseur : 5 Machines virtuelles

� 3 VM Sophos UTM avec 2 Interfaces réseau chacune

� 1 VM Windows Serveur (Domaine + DNS + GPO)

� 2 VM Clients Windows

> Notre LAB :

� Sophos XG Firewall VM Appliance

� VMware Workstation Pro 12 | Windows Server 2016 R2 | Windows 10


Adressage IP

Site principal Site distant

XF FW DC IT XG FW RemotePC

Domaine Alphorm.lan -

Nom/FQDN XGFWHQDC.Alphorm.l

anIT.Alphorm.lan XGFWBO RemotePC

LAN Seg. 172.16.16.0/24 172.16.17.0/24

@IP 172.16.16.16 172.16.16.2 172.16.16.5 172.16.0.1 172.16.0.5

GW - 172.16.16.16 172.16.17.1

SW Version SF OS 15Win Server

2016Windows 10 SF OS 15 Windows 10


Schéma de liaison des VM

Site HQ Site distant

XG FW DC IT XG FW RemotePC

HQ LAN vmnet1

HQ WAN vmnet2

BO LAN vmnet3

BO WAN vmnet2

Tunnel VPN vmnet4


Schéma d’interconnexion



�Prérequis matériel / Software

�Adressage IP

�Schéma de liaison des VM

�Schéma d’interconnexion final


Préparation du LAB



Environnement de travail


Plan

•Prérequis matériel / Software

•Adressage IP

•Schéma de liaison des VM

•Déroulement des tâches

• DEMO


Prérequis

• Connexions Internet (2 recommandé)

• Hyperviseur : 5 Machines virtuelles

• 3 VM Sophos UTM avec 2 Interfaces réseau chacune

• 1 VM Windows Serveur (Domaine + DNS + GPO)

• 2 VM Clients Windows

> Notre LAB :

• Sophos XG Firewall VM Appliance

• VMware Workstation Pro 12 (Fusion)

• Windows Server 2016 R2 | Windows 10


Adressage IP

Site principal Site distant

XF FW DC IT XG FW RemotePC

Domaine Alphorm.lan -

Nom/FQDN XGFWHQDC.Alphorm.l

anIT.Alphorm.lan XGFWBO RemotePC

LAN Seg. 172.16.16.0/24 172.16.17.0/24

@IP 172.16.16.1 172.16.16.2 172.16.16.5 172.16.17.1 172.16.17.5

GW - 172.16.16.1 172.16.17.1

SW Version SF OS 15Win Server

2016Windows 10 SF OS 15 Windows 10


Schéma de liaison des VM

Site HQ Site distant

XG FW DC IT XG FW RemotePC

HQ LAN vmnet1

HQ WAN vmnet2

BO LAN vmnet3

BO WAN vmnet2

Tunnel VPN vmnet4


Déroulement des taches

• Configuration de l’hyperviseur

� Création des réseaux virtuels

� Création et configuration des VM Sophos XG Firewall

� Création et configuration des VM Windows Server + Client

• Configuration du domaine AD Alphorm.lan et sa personnalisation

� Configuration des PCs et leur jonction au domaine

� Nom du DC : DC.Alphorm.lan

� Nom du Client AD : IT.Alphorm.lan

• Mot de passe (LAB): @lphorm2016


Démonstration



� Prérequis matériel / Software

� Adressage IP

� Schéma de liaison des VM

� Déroulement des taches

� DEMO


Déploiement de l’Appliance

Installation et activation du produit




Plan

• Méthodes de déploiement disponible

• Récupération de l’Appliance Virtuelle

• L’installation de l’Appliance


Méthode de déploiement


XG Appliances Hardware


Appliance Software

• Prérequis matériel :

� x86-64 (64 bit) CPU

� 2 Cartes réseau minimun

� 2 GB RAM

� 10 GB HDD

• Recommandation

� +64 GB SSD

� 2 GB RAM


Appliance Virtuelle

• Prérequis VM :

� 1 vCPU

� 1GB vRAM

� 2 vNIC

• ‘Flexible’ VM Hardware Ver.7 | ‘E1000E’ VM Hardware Ver.8 pour +vCPU)

� 4GB pour le HDD Primaire

� 80GB Pour le HDD secondaire (Rapports)

• Recommandation :

� Adapter la configuration de la VM suivant la licence obtenue


Démonstration



� Méthodes de déploiement disponible

� Récupération de l’Appliance Virtuelle

� L’installation de l’appliance


Les modes de fonctionnement





Plan

•Les modes de fonctionnement


Les modes de fonctionnement• Mode Bridge : Appelé aussi Transparent, Inline, Drop-In;

• Dans ce mode Sophos XG Firewall joue le rôle d’un pont, et ne nécessite aucun changement sur l’architecture actuelle du réseau.

• Idéal pour garder votre pare-feu actuel :

� Démonstration PoC

� Une couche supplémentaire et transparente de sécurité

� Fonctionnalité supplémentaire

• Plusieurs ports Bridge peuvent être configurés à la fois

� Multiport Bridge, mais une seule « paire ».

• Intercepte et scanne tout le trafic qui passe par le BridgePort


Les modes de fonctionnement• Mode Gateway : Nécessite le remplacement du pare-feu existant

• Permet la création des zones et réseaux

• Routage Inter-Zones et Inter-Réseaux

• Accepte plusieurs Connexions WAN

• Mise en HA avec plusieurs nœuds

• Serveur VPN


Les modes de fonctionnement• Mode Mixed : Fonctionne avec les deux modes en même temps Br et Gw.

• Utilise la combinaison de ports pour chaque fonctionnement

• Plusieurs « paires » Bridge peuvent être configurés

• Un autre mode « Discover Mode » est disponible

� Pour les PoC et Démonstrations rapides

� Pour générer le Security Assessment Report (SAR)

� Mode passif, aucun effet sur le réseau

� Nécessite d’activer le Port mirroring sur le switch.



• Les modes de fonctionnement


Activation et Configuration de base via le Wizard





Plan

•Activation de l’appliance

•Configuration de base via l’assistant


Déroulement des taches

• Se connecter à l’Appliance et lancer la procédure d’activation

• Lancer la configuration de base via l’assistant :

� Configuration du mode de fonctionnement

� Configuration des zones et des interfaces (Ports) et @IP

� Serveurs (Services) DHCP, DNS, Serveur Mail, etc.

� Configurer la politique de base


Démonstration



• Se connecter à l’Appliance et Lancer la procédure d’activation

• Lancer la configuration de base via l’assistant

• Configuration du mode de fonctionnement

• Configuration des zones et des interfaces et @IP

• Configurer la politique de base


Vue d’ensemble de l’interface



Djawad KASSOUSFormateur et Consultant ITIngénierie Networks et Sécurité


Plan

• Découvrir la toute nouvelle Interface

• Découvrir le Network Security Control Center

• Découvrir les menus principaux et les sous-menus

• Découvrir la configuration de base établie par le Wizard


Network Security Control Center


Démonstration



� Découvrir la toute nouvelle Interface

� Découvrir le Network Security Control Center

� Découvrir les menus principaux et les sous-menus

� Découvrir la configuration de base établie par le Wizard


Gestion des accès


Configuration du système



Plan

• Configuration des accès de l’Admin Console

• Gestion des accès à l’Admin Console

• Gestion des accès par Zone/Service

• Configuration des profils


Gestion des accès

• Configuration des ports http et https

• Configuration du port du portail utilisateur

• Sélectionner le certificat à utiliser

• Définir la complexité des MDP

• Le message du copyright

• Les services disponibles pour chaque zone

• Les autorisations et habilitations des profils

- System > Admin > Settings

- System > Admin > Device Access

- Objects > Policies > Device Access Profils


Démonstration



• Configuration des accès de l’Admin Console

• Gestion des accès à l’Admin Console

• Gestion des accès par Zone/Service

• Configuration des profils


Configuration du serveur DNS





Plan

• Compréhension techniques

• Configuration du service DNS


Service DNS• Jusqu’à 3 serveurs/redirecteurs DNS pour le système

• IPv4 et IPv6

• DNS Request Route : Permet la résolution des noms DNS particuliers

• Dynamic DNS : Sophos XG Firewall supporte services DDNS suivants :

� DynDNS

� ZoneEdit

� EasyDNS

� DynAccess

• Pour les IP Publiques Dynamiques

• Nouveauté : Sophos Provider

� Pas besoin d’un abonnement DDNS ou une adresse IP Fixe.

� Votre Adresse IP sera sécurisée, pas de publication de l’adresse

sur les serveurs DNS mondiaux

� Le Hostname configuré pointe sur le SN de votre Appliance, Exemple :

- Alphorm.myfirewall.co


Démonstration



• Compréhension techniques

• Configuration du service DNS


Configuration du serveur DHCP





Plan

• Compréhensions techniques

• Configuration du serveur DHCP


Compréhensions techniques

• Un serveur DHCP par port (Interface)

- A l’exception des ports WAN Zone (Port B par défaut)

• Agent DHCP Relay

- Le Serveur et le Client se trouvent dans des réseaux différents

- Plusieurs Relais configurables

PortA PortD


Démonstration




• Configuration du serveur DHCP


Gestion des mises à jour du firmware





Plan


• Mise à jour automatique

• Mise à jour manuelle

• Configuration et démonstration


Compréhension technique

• Sophos XG Firewall intègre une fonctionnalité intéressante qui rend l’Appliance plus flexible vis-à-vis des MAJ, deux MAJ peuvent être installées à la fois

• Vous pouvez basculer entre deux mises à jour très rapidement.

- Firmware Actif : L’image système en cours d’exécution

- Firmware Disponible : L’image système en Standby

• Idéal pour tester de nouvelles MAJ, et le Downgrade rapide en cas de problème

- Le basculement se fait par un simple reboot

- Configuration restituée une fois la nouvelle MAJ appliquée

- Téléchargement manuel ou via l’Admin Console


Démonstration




• Mise à jour automatique

• Mise à jour manuelle



Sauvegarde et restauration





Plan


• Sauvegarde manuelle

• Sauvegarde automatique

• Restauration



Compréhension technique

• La sauvegarde de la configuration de votre XG peut se faire de manière Manuelle ou Automatique (Planifiée)

• Vous pouvez stocker la configuration :

� En local (Sur le HDD)

� Envoyée par email

� Sur un serveur FTP (nécessite les : @IP/user/pwd/path)

• Notez que :

� Un firmware « N » accepte uniquement les sauvegardes des firmwares « N+X » (X de 0~Inf.)

� Les Appliances des modèles supérieurs n’acceptent pas les sauvegardes des modèles Inférieurs


Démonstration




• Sauvegarde manuelle

• Sauvegarde automatique

• Restauration



Outils de Diagnostique





Plan

• Ping & Traceroute

• Résolution de nom DNS « Name lookup »

• Résolution de route « Route lookup »

• Capture des paquets

• Rapport de diagnostique consolidé « CTR »

• Accès Support Sophos


Démonstration



• Ping & Traceroute

• Résolutions de nom DNS « Name lookup »

• Résolution de route « Route lookup »

• Capture des paquets

• Rapport de diagnostique consolidé « CTR »

• Accès Support Sophos


Gestion d’objets





Plan

• Le principe d’objets

• Les catégories d’objets

• Les différents objets

• Définir un ensemble d’objets (Démo)


Le principe d’objets

• Sophos XG Firewall s’appuie sur l’architecture d’objets

• Surtout à ne pas confondre avec IoT☺

• Il sert à déclarer ou définir les variables une seule fois.

• Tous les objets sont regroupés dans un seul menu.

• Lorsque la valeur change, la modification doit se faire à un seul endroit

• Les objets peuvent être créés :

� Avant leur utilisation,

� Lors de l’utilisation.


Les catégories d’objets

1. Ressources :• Créer/Télécharger les Serveurs/Clients d’authentification• Gérer/éditer/Regrouper les Access Point• Gérer les serveurs web

2. Contenu :• Type de fichiers• Catégories Web, Groupe d’URL, Liste d’applications, …

3. Identité :• Utilisateurs, Groupes, Zones, Certificats, CA, …

4. Stratégie :• Définitions horaires, Stratégies web, Stratégies IPSEC, Bons hotspot Wifi, …

5. Hôtes et services :• Hôte IP, Hôte MAC, Hôte FQDN, Groupes d’hôtes, Service, Hôte Pays; …


Démonstration



� Le principe d’objets

� Les catégories d’objets

� Les différents objets

� Définir un ensemble d’objets (Démo)


Les Zones





Plan

• Qu’est-ce que c’est qu’une Zone ?

• Son utilité, son rôle

• Les zones par défaut

• La gestion des zones (Démo)


Zone ? Son rôle ?

• Une « Zone » est un regroupement logique d’une ou plusieurs interfaces physiques ou virtuelles (Logiques)

• Une interface ne peut appartenir qu’à une et une seule zone

• L’application des règles de sécurité devient plus flexible et plus pratique en utilisant les zones (Ports de même nature)

• Le trafic qui traverse votre XG Firewall passera systématiquement àtravers les zones

• Toutes les règles de sécurité sont basées sur les zones


Les Zones par défaut1. LAN :

• Regrouper jusqu’à 6 interfaces physiques (Selon le modèle)• Regrouper les sous-réseaux dans une seule zone de type LAN• Regrouper les différents réseaux LAN ou VLAN

2. WAN :• Utilisée pour les services Internet• Représente le trafic de/vers Internet pour sortir sur le Web.

3. DMZ :• 1-5 ports physiques, utilisée pour publier les services/serveurs web publiques

4. VPN :• La seule zone qui ne représente, initialement, aucun port physique, simplifie la gestion des liaisons

et interconnexions distantes.

5. WiFi :• Utilisée pour la gestion des réseaux sans-fil Wifi des points d’accès Wifi


Démonstration



• Qu’est-ce que c’est qu’une Zone ?

• Son utilité, son rôle

• Les zones par défaut

• La gestion des zones (Démo)


Stratégie de sécurité





Plan


• Le rôle des stratégies

• Découverte du menu Stratégies (Démo)



• Le menu « Stratégies de sécurité » est l’endroit idéal pour appliquer votre politique de sécurité sur les XG Firewall

• Appelé Unified Policy Management, à partir d’un seul bouton, Sophos simplifie la création et la gestion des stratégies :

• Toutes les stratégies à partir d’un seul endroit

• Une stratégie est basée sur les objets et les zones

• Une description lisible pour un aperçu rapide | Plusieurs informations utiles

• Une icone/type (3 types, prochain module) | Un Id/Stratégie

• Glisser-déposer pour modifier l’ordre des stratégies

• Filtre intelligent pour un accès plus rapide


Démonstration




• Le rôle des stratégies

• Découverte du menu Stratégies (Démo)


Règles de sécurité Utilisateur, Réseau et Application





Plan


• Les types de stratégies de sécurité

� Stratégies Réseau

� Stratégies User

� Stratégies Business Application (Applications métier)

• Configuration (Démo)



• Il existe 3 types de stratégies : Réseau, Utilisateur et Application

• Architecture Layer-8 pour identifier et contrôler le trafic au niveau des utilisateurs, et appliquer l’authentification de l’utilisateur source, et non pas uniquement le hôte source.

• Assurer la protection et le Scan du trafic qui passe en fonction de la règle :

� Scan AV; IPS

� Filtrage Web

� Filtrage Applicatif

� QoS

� Heartbeat

• Journaliser le traitement

• Exceptions


Les types de stratégies de sécurité

� Stratégie Réseau/Utilisateur :

� Garantir et Contrôler les Droits d’accès aux ressources Externes/locales (Autoriser/Annuler/Refuser)

� S’applique sur les Utilisateurs + Hôtes (User Rule) ou sur les hôtes (Net Rule)

� Masquarding et HA WAN

� Stratégie d’Application Métier :

� Assure la protection et la publication des applications métier tel que Exchange, SharePoint, en passant par des Templates Prédifinis, ou de créer des TemplatesPersonnalisés (Exportable).

� NAT et PAT + Sécurité


Démonstration




• Les types de stratégies de sécurité

• Stratégies Réseau

• Stratégies User

• Stratégies Business Application (Applications métier)

• Configuration (Démo)


Protection contre les intrusions, le dénie de services

et les attaques persistantes





Plan


• IPS

• DoS

• ATP

• Découverte/Configuration (Démo)


IPS

• Sophos XG Firewall utilise une technique appelée DPI « Deep Packet Inspection » pour scanner les paquets qui passent par le module IPS

• Il a pour avantage d’analyser le contenu des paquets, en plus de l’analyse de l’en-tête, afin de détecter les intrusions.

• Additivement au DPI, l’utilisation d’une DB des signatures permet un traitement et une analyse plus approfondie du trafic (Paquets IP) qui a été autorisé par le module pare-feu, ce qui permet une détection plus avancée.

• A la détection d’un trafic indésirable, XG peut abandonner soit le paquet soit toute la session.

• Protection en temps réel | Peut provoquer un ralentissement du système

• Personnalisation de la protection IPS par des Stratégies :

Stratégies IPS : Objets > Strategies > IPS


DoS

• XG propose une solution évoluée du module Anti-DoS (Denial of Service), mais aussi un anti-IP-Spoofing (Usurpation d’adresse IP)

• Ce Dernier protège le réseau contre l’usurpation d’adresse IP, qui est souvent associé au DoS, il comporte 3 options :

1. IP Spoofing : Les paquets seront abandonnés si aucune route adéquate et appropriée n’est disponible (Vérification de l’adresse IP Source)

2. MAC Filter : Nécessite au mois une entrée @MAC de confiance; Les paquets seront abandonnés si l’adresse MAC ne figure pas dans la liste de confiance

3. IP-MAC Filter : Paquet abandonné s’il ne correspond pas à une des Paires IP-MAC

• Le module Anti-DoS comprend une prévention contre les Saturations :

SYN Flood | TCP/UDP Flood | ICMP/Ping Flood


ATP

• ATP offre une protection contre les APT ! =)

• Advanced Threat Protection | Advanced Persistant Threat

• Détecte les client infectés (contaminés) par les bots à l’intérieur de votre réseau et qui sont contrôlés par les serveurs Command & Control C&C.

• Analyse de tout type de trafic des différents modules activés :

• Requêtes DNS

• Requêtes HTTP/HTTPS

• Trafic qui passe par le FW

• Traffic qui passe par le IPS


Démonstration




• IPS

• DoS

• ATP



Routage





Plan

• Routage Statique

• Routage Dynamique

• Upstream Proxy



Compréhension

• Routage Statique :

� Lorsqu’il s’agit d’un nombre limité de routeur/Pare-feu

� Table de routage manuelle

� Les routes sont prédéfinies

• Routage Dynamique : RIP (V1,V2), OSPF, BGP (WAN), PIM-SM

� Nombre élevé de routeurs

� Table de routage calculée dynamiquement

� Les routes dynamiques

• Upstream Proxy :

� Pour le trafic sortant qui nécessite un proxy parent (en amont)


Démonstration



• Routage Statique

• Routage Dynamique

• Upstream Proxy



Types d‘Authentification

Authentification




Plan

• Les types d’authentification

� Authentification Locale

� Authentification Externe

• Serveurs d’authentification

• Services d’authentification


Les types d’authentification

• Authentification Locale :

� Base de données locale

� Nombre restreint d’utilisateurs

� Pas de configuration supplémentaire

� Création manuelle (+ Réplication) des Users


Les types d’authentification

• Authentification Externe :

� Serveur d’authentification externe

� Plus flexible, pas de réplication des utilisateurs

� Nécessite une configuration Coté XG et Coté Serveur


• XG Firewall prend en charge plusieurs serveur d’authentification, tel que AD, Novell, OpenLDAP, Radius et Tacacs+, Apple Dir.

• Prise en charge des serveurs d’authentification Third-Party en utilisant l’API de Sophos.

• Plusieurs Serveurs d’authentification à la fois, avec un ordre Top-Down

• Service d’authentification : Vous pouvez sélectionner séparément un ou plusieurs serveurs d’authentification par service : Firewall, VPN, AdminXG

Serveurs d’authentification



� Les types d’authentification

� Authentification Locale

� Authentification Externe

� Serveurs d’authentification

� Services d’authentification


Intégration avecActive Directory

Authentification




Plan

• Configuration du serveur d’authentification

• Intégration au domaine

• Test de la connectivité

• User Maping


Procédure

� Configuration du domaine Active Directory

• Les informations d’authentification

� Compte Admin du domaine

� Adresse IP du DC (Fixe)

� Port de Communication AD/XG (Chiffrée ?)

� Choisir l’OU et/ou les Groupes d’utilisateurs à mapper


Démonstration



• Configuration du serveur d’authentification

• Intégration au domaine

• Test de la connectivité

• User Maping


Méthodes d'authentification

Authentification




Plan

• Les méthodes d’authentification supportées

• Le STAS

• Le SATC

• VPN SSO

• L’ordre d’authentification


Les méthodes d’authentification supportées

• Authentification basée sur le Client :

- PC du réseau : Client installé sur l’Endpoint (Mac, Win, Linux)

- PC Hors réseau/Client Mobiles : Captive Portal

• Authentification Clientless : basée sur l’adresse IP de l’équipement

- Utilisée pour les équipements réseau, tel que les imprimantes,

• Single Sign-On (SSO) :

- Authentification unique des utilisateurs, ou aucune (Domaine)

- Transparence et convivialité

• Hotspot :

- Pour les Guests et/ou les BYOD // Gestion des accès et du trafic


Single Sign-On (SSO) :

• STAS : Sophos Transparent Authentication Suite

- Outil installé sur le contrôleur de domaine DC afin d’assurer l’authentification SSO

- Evite l’installation du client d’auth. Sur chaque Endpoint

- IPv4 Uniquement

- Utilise le port 6060

- Evènement de sécurité Windows :

• Monitor l’évènement Audit Event

• Event-log ID : 4768 (Win. Server 2008 & 2012)

http://windows.microsoft.com/fr-fr/windows/what-information-event-logs-event-viewer#1TC=windows-7

• SATC : Sophos Authentication for Thin-Client :

- Pour les clients légers de Terminal Server (RDS), XenApp (UDP:6060)

• VPN SSO : Pour les utilisateurs ambulants


L’ordre d’authentification

1. Hotspot

2. Utilisateurs Clientless

3. Utilisateurs SSO

4. Clients d’authentification

5. Captive portal


Démonstration



• Les méthodes d’authentification supportées

• Le STAS

• Le SATC

• VPN SSO

• L’ordre d’authentification


User Portal

Authentification




Plan

• Accès au portail

• Utilisation du portail

• Configuration


Portail utilisateur

• L’accès au portail via un navigateur :

- https://Adresse_IP_XG — https://FQDN_XG

- Port 443 par défaut (https), personnalisable

• Gestion de la quarantaine Email

• Modification du Mot de passe utilisateur

• Télécharger les client VPN


Démonstration



• Accès au portail

• Utilisation du portail

• Configuration


SOPHOS XG Firewall

Conclusion


Djawad KASSOUSFormateur et Consultant ITIngénierie Réseaux et Sécurité


Plan de la formation

1. Introduction à la formation� Présentation de la formation

� Les nouveautés de chez Sophos

2. Environnement de travail� Présentation du LAB

� Préparation du LAB

3. Installation et activation du produit� Déploiement de l‘Appliance

� Activation et Configuration de base via le Wizard

� Vue d'ensemble de l'interface

4. Configuration du système� Gestion des accès

� Configuration du serveur DNS

� Configuration du serveur DHCP

� Gestion des mises à jour du firmware

� Sauvegarde et restauration

� Outil de troubleshooting

5. Network Protection� Gestion d'objets

� Les zones

� Stratégie de sécurité

� Règles Utilisateurs / Réseaux / Applications

� IPS, DoS et ATP

� Routing

6. Authentification� Type d'authentification

� Intégration AD

� Méthodes d'authentification

� Portail utilisateur

7. Conclusion� Conclusion


L’objectif c’était :

• Comprendre le fonctionnement des nouveau NGFW XG Firewall

• Comprendre les fonctionnalités disponibles

• Comment déployer Sophos XG Software Version

• Installer et configurer Sophos XG

• Administrer Sophos XG

• Comprendre les principe de fonctionnement :

� Règles & Stratégies de sécurité

� Authentification, Intégration AD et des agents d’auth.


Portfolio

?


Thank you ☺

Technology

Alphorm.com Formation SOPHOS XG FIREWALL, Administration