Alphorm.com support de la formation Stormshield, Expert

07/09/2016

1

Formation Stormshield, Expert alphorm.com™©

Formation

StormshieldExpert

Site : http://www.alphorm.comBlog : http://blog.alphorm.com

Matthieu BAYLEFormateur et ConsultantIngénierie systèmes et ré[email protected]

07/09/2016

2


Plan

• Présentation du Formateur

• Le plan de formation

• Les prérequis de la formation

• La configuration de base des boitiers avant la formation

• Les objectifs de la formation

07/09/2016

3


Présentation du Formateur

Matthieu Bayle

• [email protected]

• Consultant en sécurité et Ingénieur systèmes/réseaux

• Ma mission actuelle

07/09/2016

4


Cursus Stormshield

Stormshield, Expert

Stormshield, Administration

07/09/2016

5


Le plan de la formation

• Module 1 – Les modules avancés

• La haute disponibilité (HA)

• Le routage avec plusieurs passerelles

• La PKI

• Les utilisateurs – LDAP Interne

• Les utilisateurs – LDAP Externe

• Les utilisateurs – Utilisation dans les règles

• L’antivirus

• L’antispam

• Inspection des flux SSL

• Filtrage d’URL avancée

• Le portail Captif

• Explications sur les VPNs

• Les VPN - Site à site

• Les VPN - Nomades

• Les VPN - SSL

• Le SSO

• La QoS

• La protection applicative

• Les notifications par mails

• Gestion du Syslog

• Monitoring via Cacti et Centreon

• Le Debug (outils Stormshield)

• Les outils payant de Stormshield

• La CLI

Module 3 – Conclusion

07/09/2016

6


Les prérequis de la formation

• Dans cette formation orientée expert nous avons besoin de:

• 4 boitiers Stormshield avec licence Haute disponibilité

• Avoir configurer au moins 1 boitier par site pour la partie NAT/Filtrage de base.

• Connaitre le modèle OSI

• Connaitre les boitiers Stormshield

07/09/2016

7


Avoir suivi la formation précédente

•Stormshield, Administration : http://www.alphorm.com/tutoriel/formation-en-ligne-stormshield-network-administrateur-csna

07/09/2016

8


Les Objectifs de la formation

• Cette formation à pour but de vous apprendre à utiliser pleinement vos boitiers StormdShield

• Après cette formation vous serez en mesure de :

� Réaliser des VPN et comprendre leurs fonctionnement

� Gérer des utilisateurs et leurs appliquer des politiques spécifiques

� Utiliser et comprendre chaque module de vos boitiers

� Gérer une infrastructure multi-sites

� Faire du debug sur vos boitiers

� Faire du monitoring sur vos boitiers

07/09/2016

9


D’autres formations sur d’autres firewall

07/09/2016

10


C’est Parti !!

07/09/2016

11


Présentation du LAB



07/09/2016

12


Plan

•L’environnement de travail

•La configuration de VMware

•Plan Visio du LAB

•Récapitulatif des noms des machines et adresses IP

07/09/2016

13


Mon poste de travail

• Processeur Intel i7-3770K

• Mémoire 32Go DDR3

• OS Windows 7 Pro sur un SDD 256Go

• VM Sur un NAS Synology 4x4To en RAID 5

07/09/2016

14


Les logiciels

• VMware Workstation 10

• Client Windows 10 Pro

• Serveur 2012 R2

• Appliance Stormshield Version 2.3 / 2.4

07/09/2016

15


La configuration de VMware Workstation

• La configuration des VM

• La configuration du réseau

• Un Virtual Network par site, un Virtual Network pour Internet et un pour la partie VPN

Les VMs Stromshield

• Mémoire 4 Go• 1 Processeur• 1 disque de 15Go• 8 Cartes réseaux• OS Spécifique

Les VMs client

• Mémoire 4 Go• 1 Processeur• 1 disque de 60Go• 1 Cartes réseau• OS Windows 10

Pro

Les VMs Serveurs

• Mémoire 6 Go• 2 Processeurs• 1 disque de 60Go• 1 Cartes réseau• OS Windows

2012R2

07/09/2016

16


Plan Visio du LAB

07/09/2016

17


Adressage IP

Site de TOULOUSE

Stormshield LAN 10.10.10.1 255.255.255.0

Stormshield OUT DHCP DHCP

Stormshield DMZ 10.10.110.1 255.255.255.0

Stormshield HA 10.10.100.253 255.255.255.252

Stromshield 2 HA 10.10.100.254 255.255.255.252

Hyper-V LAN 10.10.10.10 255.255.255.0

Exchange DMZ 10.10.110.11 255.255.255.0

Serveur AD LAN 10.10.10.12 255.255.255.0

Serveur monitoring LAN 10.10.10.13 255.255.255.0

Client LAN 10.10.10.100 255.255.255.0

07/09/2016

18


Adressage IPSite de PARIS

Stormshield LAN 10.10.20.1 255.255.255.0

Stormshield OUT DHCP DHCP

Stormshield HA 10.10.200.253 255.255.255.252

Stormshield 2 HA 10.10.200.254 255.255.255.252

Hyper-V LAN 10.10.20.10 255.255.255.0

Client LAN 10.10.20.100 255.255.255.0

07/09/2016

19


Ce qu’on a couvert

•Le lab de notre formations, les sites, les adresses IP.

07/09/2016

20


La haute disponibilité

Les modules avancés



07/09/2016

21


Plan

•Pourquoi mettre en place du HA?

•Les prérequis

•Un schéma réseau explicatif

•La mise en place sur nos boitiers

•La mise à jour des boitiers en HA

07/09/2016

22


Pourquoi mettre en place du HA?

• La haute disponibilité permet en cas de défaillance, de ne pas perdre vos accès.

• Pour rappel c’est une option payante, et nécessite 2 boitiers identiques.

• Nous avons également besoin d’une configuration réseau particulière

• Le HA chez Stormshield est Actif/Passif

07/09/2016

23


Les prérequis

• Pour réaliser le HA nous avons besoin de:

� 2 Appliances identiques, dont une avec l’option maitre (option de licence)

� Chaque réseau doit être présent sur les 2 Appliances (modem, VLAN, etc.)

� Un réseau particulier pour le HA

07/09/2016

24


Un schéma réseau explicatif

HALANOUT

Routeur internet

07/09/2016

25



•Le mise en haute disponibilité de nos boitiers

•Les particularités de la configuration réseau

•Le fonctionnement des mises à jour sur nos boitiers en HA

07/09/2016

26


Le routage avec plusieurs passerelles




07/09/2016

27


Plan

•Pourquoi avoir plusieurs passerelles?

•Schéma de l’implémentation

•Le mise en application

•L’impact sur les règles

07/09/2016

28


Pourquoi avoir plusieurs passerelles?

• Le fait d’avoir plusieurs passerelles permet, comme le HA, une redondance, mais cette fois ci des liens externes.

• Généralement une société dispose d’un accès SDSL pour Internet et les VPN ainsi qu’une ligne ADSL pour un fonctionnement en mode dégradé.

• Permet également plusieurs types d’accès, par utilisateur par exemple (filtrage d’URL ou non etc.)

• Peut éventuellement permettre un accès pour le service informatique.

07/09/2016

29


Schéma de l’implémentation

Livebox PRO

Gateway 2

Gateway 1

07/09/2016

30



•Les concepts de plusieurs passerelles

•La configuration particulière de notre labo

•La mise en application de cette configuration

•Voir l’impact sur les règles de filtrage et de NAT

07/09/2016

31


La PKI




07/09/2016

32


Plan

•Les principes

•Détails sur les certificats

•La mise en place

07/09/2016

33


Les principes

• Avec une infrastructure PKI il est possible de faire:

• De l’authentification

• De l’inspection SSL

• Des VPN

• Des mails

• Un certificat possède une période de validité, en dehors de cette période le certificat est automatiquement révoqué

• Il est possible d’avoir une infrastructure PKI directement sur un serveur AD ou autre.

07/09/2016

34


Détails sur les certificats

• Un certificat permet d’associer une clef publique à quelqu’un (utilisateurs) ou à quelque chose (machines, site WEB etc.), ce certificat est signé numériquement par une entité de confiance (ici notre Stormshield) ou CA (Certification Authority).

• Un certificats possède plusieurs informations :

� Version du certificat

� Numéro de série

� Algorithme de chiffrement

� Date de début et de fin

� Etc…

• Lors de l’enrôlement ou de la diffusion seule la clef publique est distribuée

07/09/2016

35


Rappel

• Une formation complète sur le PKI sous Windows 2012 R2 : http://www.alphorm.com/tutoriel/formation-en-ligne-le-pki-avec-adcs-2012-r2

07/09/2016

36



•Mettre en place les certificats sur les boitiers Stormshield

•Gérer l’authentification au boitier via des certificats

•Comprendre comment fonctionne l’enrôlement et la diffusion de certificats

07/09/2016

37


Le LDAP interne




07/09/2016

38


Plan

•Les concepts

•L’intérêt de mettre en place un annuaire LDAP


•L’impact sur les modules

07/09/2016

39


Les concepts

• LDAP est avant tout un protocole avant d’être un annuaire. Il existe de très nombreux annuaires LDAP, Active Directory, le rôle Windows, et le plus célèbre d’entre eux,

• Permet d’authentifier des utilisateurs du réseau pour l’accès aux ressources,

• Permet la mise en place d’une PKI

• Définit à minima des objets avec les attributs suivants :

� Un nom

� Un identifiant

� Des attributs obligatoires et d’autres personnalisés

07/09/2016

40


L’intérêt de mettre en place un LDAP

• Pourvoir authentifier les utilisateurs et faire du filtrage (URL et règles) à partir de groupes ou d’utilisateurs

• Mettre en place une PKI liée aux utilisateurs nomades et aux ressources

• Pouvoir faire du VPN SSL

• Pouvoir également faire du Sigle Sign On (SSO)

• Gérer des VPN distants avec authentification par utilisateur (ou par certificat)

• Attention cependant tout dans votre boitier peut être un danger, comme d’habitude avec plus d’options activées = plus de puissance nécessaires.

07/09/2016

41



•Les principe de LDAP dans les grandes lignes

•L’intérêt de mettre en place un LDAP sur nos boitiers

•La mise en place sur notre boitier

•La modification des règles pour des utilisateurs spécifiques

07/09/2016

42


Le LDAP externe




07/09/2016

43


Plan

•La différence avec le LDAP interne


•Les limitations de l’installation avec un LDAP externe

07/09/2016

44


La différance avec le LDAP interne

• La principale différence, avec l’utilisation d’un LDAP internet, c’est la complexité d’avoir plusieurs endroits à configurer pour faire la même action.

� Une création de groupe sera en premier faite dans l’annuaire avant d’être répercuté sur le boitier, ou inversement, ce délai est à prendre en compte.

� Nous allons également le voir, mais la configuration d’un LDAP externe n’est pas du tout la même.

� Les fonctionnalités apportées restent cependant presque identiques

07/09/2016

45



•La configuration d’un LDAP externe

•Les différence entre LDAP interne et externe

•Les limitations qu’apporte une installation avec LDAP externe

07/09/2016

46


Interaction avec les utilisateurs et groupes




07/09/2016

47


Plan

•Les possibilités que nous avons

•Ce que nous pourront faire ensuite

07/09/2016

48


Les possibilités que nous avons

• A ce moment de la formation, nos utilisateurs et groupes peuvent interagir avec :

� Les règles de filtrage et de NAT

� Le filtrage d’URL

� La connexion au boitier

� La génération de certificats

� L’accès à internet avec le filtrage d’url

� Etc…

07/09/2016

49


Ce que nous pourront faire ensuite

• Nous allons voir au fur et à mesure de la formation d’autres interactions avec les utilisateurs et les groupes, notamment :

� Les VPN SSL

� Le SSO

� L’inspection SSL

� L’authentification des utilisateurs VPN

� Etc..

07/09/2016

50



•L’ensemble des possibilités que nous offre l’annuaire

•Les interactions avec les groupes et toutes les possibilités que nous avons.

07/09/2016

51


L’antivirus




07/09/2016

52


Plan

•Comment fonctionne l’antivirus

•Mise en place de l’antivirus Gratuit

•Mise en place de l’antivirus Payant

07/09/2016

53


Comment fonctionne l’antivirus

• Dans un premiers temps, il faut que vous vous rappelez que l’antivirus est extrêmement gourmand en ressources sur votre boitier.

• L’antivirus fonctionne de manière assez simple :

� Il va scanner tout les fichiers qui passent par le boitier, et trouver les trojans, backdoors et autre malwares

� Il est bien sûr paramétrable

� Vous pouvez ajouter certains types de fichiers

� L’antivirus gratuit comme le payant ont leur limite

• Le plus important reste la sensibilisation de vos utilisateurs sur les bonnes pratiques et l’utilisation d’internet

07/09/2016

54


Mise en place de l’antivirus Gratuit

• L’antivirus gratuit est mis à jour automatiquement avec le reste des modules comme nous l’avons vu.

• L’antivirus gratuit du boitier possède une configuration de base :

� Nous allons activer cette protection

� Créer des règles

� Voir quelles archives seront analysées

� Modifier certains paramètres

� L’antivirus gratuit possède certaines limitations (format d’archive ou l’analyse est possible etc.)

� L’antivirus payant possède un niveau de configuration bien plus important

07/09/2016

55


Mise en place de l’antivirus Payant

• L’antivirus payant est mis à jour automatiquement avec le reste des modules, mais possède également des options de mise à jour paramétrables.

• L’antivirus payant du boitier possède une configuration de base :

� Nous allons activer cette protection

� Les règles créées avec l’antivirus gratuit sont également valables après l’activation de l’antivirus payant.

� Voir quelles archives seront analysées, bien plus important que l’antivirus gratuit

� Modifier certains paramètres

07/09/2016

56



•Explication sur le fonctionnement de l’antivirus

•Mise en place de l’antivirus gratuit

•Mise en place de l’antivirus payant

•Création de règles

•Analyse du fonctionnement et des limitations

07/09/2016

57


L’anti SPAM




07/09/2016

58


Plan

•Comment fonctionne l’anti-spam chez Stromshield?

•Comment l’activer et le maintenir?

07/09/2016

59


Comment fonctionne l’anti-spam?

• L’antispam fonctionne un petit peu comme l’antivirus, il est capable de se mettre à jour automatiquement avec les autres modules

• Il ne supprime pas les emails qu’il considère comme SPAM, il ajoute un simple tag SPAM que votre outil de messagerie sera capable de voir et classera donc l’email.

• Nous avons également la possibilité de créer des règles pour les emails entrant.

• Ces règles sont sensibles à l’ordre, comme les règles de filtrage et de filtrage d’URL et elles sont basées sur des noms de domaine.

07/09/2016

60



•Le fonctionnement de l’antispam

•La mise en place de l’antispam

•La création de règles et leurs effets

07/09/2016

61


Inspection de flux SSL




07/09/2016

62


Plan

•Détail sur le fonctionnement des règles

•Les principes de l’inspection SSL

•Les dangers

•La mise en place sur notre boitier

07/09/2016

63


Détail sur le fonctionnement des règles

Pour vraiment comprendre comment fonctionne l’analyse des règles, il est important de comprendre à quel moment le paquet est analysé :

Filtrage NAT

NAT Filtrage

07/09/2016

64


Les principe de l’inspection SSL

NAT Filtrage

Requête HTTPS

NAT Filtrage

Requête HTTPS

Serveur de

destination

Requête HTTPSMITM

07/09/2016

65


Les dangers

• L’inspection du trafic SSL a pour but de filtrer les communications chiffrées entre votre réseau interne et l’extérieur, mais certaines de ces communications sont à risque :

� Les sites des banques

� Les sites propres aux sociétés (impôts, etc.)

• Pensez également à mettre à jour votre charte informatique pour informer vos utilisateurs.

07/09/2016

66



•Les principes de l’inspection SSL

•Les dangers

•La mise en place

•Les certificats pour supprimer les messages d’erreurs

07/09/2016

67


Filtrage d’URL avancé




07/09/2016

68


Plan

•Mise en place de l’option

•Explication sur le fonctionnement

•Mise en place des créneaux horaires

07/09/2016

69



• L’installation et la configuration du module filtrage d’URL payant

• Mise en place du créneau horaire

• Détails sur le fonctionnement de cette option

• Tarifs

07/09/2016

70


Le portail captif




07/09/2016

71


Plan

•Dans quel cas et pourquoi?

•Schéma particulier pour la mise en place du portail

•La mise en place du portail captif

•Les explications sur le fonctionnement

07/09/2016

72


Dans quel cas et pourquoi?

• Le portail captif est très intéressant dans les cas où vous disposez d’un wifi public par exemple :

� Le portail captif, permet de donner accès à des ressources, uniquement au connexion qui sont authentifiées. Par exemple les utilisateurs sans authentification ont simplement accès à internet, les connexions authentifiées internet + le WEBMAIL

� Le portail captif est différent du SSO

� Pour le portail captif il y a plusieurs méthodes d’authentification

� SPNEGO LDAP etc.

07/09/2016

73


Le schéma pour le portail captif

07/09/2016

74



•Les explications sur le fonctionnement d’un portail captif standard

•La configuration du portail et les règles d’authentification.

•Les principes de fonctionnement.

07/09/2016

75


Les VPN – la théorie




07/09/2016

76


Plan

•Le principe de fonctionnement

•Alice, Bob, et Eve

•Les détails de l’étape 1

•Les détails de l’étape 2

07/09/2016

77


Les grands principes

• Les VPNIPSEC sont les VPN les plus utilisés actuellement. Les tunnels IPSEC sont un standard, donc compatibles avec tout les boitiers qui sont capables de gérer ce type de tunnel.

• Un tunnel VPN IPSEC comporte plusieurs phases pour réaliser ce tunnel:

1. La phase 1 : pour l’authentification et le chiffrement

2. La phase 2 : pour l’echange des clefs et les paramètres du tunnel

• Dans chaque phase, plusieurs propositions sont possibles, et une, au moins doit être commune entre les 2 boitiers.

• Il faut bien faire la différence entre la partie chiffrement et authentification!

• Dans cette formations nous allons voir les VPN site à site et nomades

07/09/2016

78


Alice, Bob, et Eve

• Alice, Bob et Eve sont les protagonistes couramment utilisés dans Diffie-Hellman (DH)

• Alice et Bob choisissent un nombre premier p et une base g. Dans notre exemple, p=23 et g=3

• Alice choisit un nombre secret a=6

• Elle envoie à Bob la valeur A = ga [mod p] = 36 [23] = 16

• Bob choisit à son tour un nombre secret b=15

• Bob envoie à Alice la valeur B = gb [mod p] = 315 [23] = 12

• Alice peut maintenant calculer la clé secrète : (B)a [mod p] = 126 [23] = 9

• Bob fait de même et obtient la même clé qu'Alice : (A)b [mod p] = 1615 [23] = 9

07/09/2016

79


La phase 1

• Pour la phase 1 qui gère donc l’authentification entre les 2 boitiers et règle également chiffrement :

� Vous pouvez créer des profils pour chaque type de connexion avec autant de propositions que vous souhaitez.

� Dans les propositions disponibles pour cette phase 1 nous disposons de :

� Pour l’authentification : Pour le chiffrement:

• SHA2 256 - AES 128 et 256

• SHA1 - Blowfish 128 et 256

• MD5 - 3des

07/09/2016

80


La phase 2

• Pour la phase 2, les échanges sont déjà authentifiés (phase 1). Cette phase concerne :

� Les négociations des paramètres de sécurité grâce à IKE

� Protection contre le rejeu : La négociation est vérifiée pour éviter de rejouer certaine phase

� Génération des clefs IPSEC, cette génération de clefs s’appuie sur la génération de clefs de la phase 1, elles seront utilisés pour le tunnel IPSEC

� Vous pouvez créer des profils pour chaque type de connexion avec autant de propositions que vous souhaitez.

07/09/2016

81



•Les grands principes du chiffrement

•Les phases des VPN

•L’intérêt de chaque phase et l’approche des profils

07/09/2016

82


Les VPN – Site à Site




07/09/2016

83


Plan

•Création d’un profils spécifiques sur les 2 boitiers

•Ajout des objets

•Création du tunnel

•Les règles de filtrage pour le VPN

07/09/2016

84


Les Profils

• Pour un VPN site à site classique, nous allons utiliser des profils particuliers :

� Plus fermer, seulement une proposition pour plus de sécurité

� Nous allons aussi mettre tous les paramètres de sécurité au plus haut

� Nous allons également créer les objets dont nous avons besoin (adresse de l’autre boitiers, adresse du réseaux distant, etc)

� Appliquer le tout à notre règle de VPN site à site

� Faire une revue des règles de filtrage.

07/09/2016

85



• La création complète d’un tunnel VPN IPSEC site à site

• Les règles de filtrage que nous pouvons appliquer au VPN

• Les différents profils que nous pouvons utiliser.

07/09/2016

86


Les VPN - Nomades




07/09/2016

87


Plan

•Pourquoi les VPN Nomades et pas SSL?

•Comment les mettre en place?

•La mise en place

07/09/2016

88


Pourquoi un VPN nomade?

• Dans l’utilisation, un VPN nomade, est fait pour les utilisateurs, typiquement comme les commerciaux ou les dirigeants. Un VPN SSL est plutôt pour des terminaux mobiles ou les utilisateurs qui ne font pas partie de votre structure (Réseaux public, etc.).

• Les VPN offrent plusieurs niveaux d’authentification :

• Par utilisateur (via leurs adresse mail)

• Par clefs partagées

• L’intérêt des VPN nomades est aussi de résoudre un problème important, la gestion des changements de mot de passe à l’ouverture de session.

• Stormshield possède son logiciel de VPN client (payant)

07/09/2016

89


La mise en place

• Nous allons voir plusieurs méthodes pour mettre en place des VPN nomades :

� Via des clefs

� Via des utilisateurs avec un couple adresse email password

� Via des certificats

• Chacune a ses avantages et inconvénients au travers de la mise en place, à vous de voir la méthode qui correspond le mieux à vos besoin.

• Petite précision cependant, pour mettre en place des VPN nomades via des utilisateurs, un annuaire est obligatoire.

07/09/2016

90



• La différence entre les VPN nomades et SSL

• La mise en place de VPN nomade via des clefs

• La mise en place de VPN nomade via des utilisateur

• La configuration des clients

07/09/2016

91


Les VPN - SSL




07/09/2016

92


Plan

•A quoi servent les VPN SSL?

•La mise en place

07/09/2016

93


Pourquoi les VPN SSL?

• Les VPN SSL servent essentiellement pour les clients mobiles.

• Le VPN SSL ne permet pas un accès complet aux ressources mais à des applications publiées au travers du boitier (via un applet JAVA)

• Avoir un certificat valide est un plus ( d’une autorité de certification connue)

• Il est possible de publier plusieurs types d’applications, webmail, TSE

07/09/2016

94



• Les explications sur les VPN SSL

• La mise en place d’un portail et présentation d’application

• Test à partir d’un poste standard pour avoir une représentation

• Etre conscient des limitations des VPN SSL

07/09/2016

95


Le SSO




07/09/2016

96


Plan

•Le SSO?

•Mise en place du SSO

•Validation du fonctionnement.

07/09/2016

97


SSO?

• Le SSO ou Sigle Sign On, permet d’avoir une seule authentification pour avoir accès à un ensemble de ressources.

• Pour pouvoir réaliser une authentification unique, il faut installer un agent Stormshield disponible sur le site de Stormshield, sur vos contrôleurs de domaine.

• Le boitier va lire, par le biais de son agent dans les logs du contrôleur de domaines, vous serez ainsi automatiquement authentifié pour avoir accès aux ressources définies dans les règles de votre boitier.

• Il faut également créer un compte dans votre AD avec des droits spécifiques pour cet agent SSO.

07/09/2016

98



•Le fonctionnement du SSO

•L’installation du SSO sur un contrôleur de domaine

•La configuration sur nos Stormshield

•La validation du fonctionnement

07/09/2016

99


La QoS




07/09/2016

100


Plan

•Qu’est ce que la QoS?

•La mise en place

07/09/2016

101


La Qos

• La QoS pour Quality of Service est le principe de priorité des flux. C’est-à-dire que nous allons définir qu’un flux est prioritaire par rapport à un autre.

• Cette fonctionnalité est particulièrement utilisée dans le VOIP et lors de l’implémentation de backup (particulièrement externalisé), ou le transfert de fichier de gros volume.

• Généralement la Qos est utilisée pour ne pas perturber l’accès internet pour les utilisateurs, il est possible de définir des plages horaires afin de prioriser un traffic la nuit par exemple et un autre la journée

• A partir du moment où la QoS est en place elle doit l’être sur l’intégralité des flux. Un flux sans QoS sera automatiquement prioritaire

07/09/2016

102



•Comment fonctionne la QoS sur les boitiers Stormshield

•Les différents niveaux

•La mise en place sur notre LAB

•Les plages horaires de fonctionnement.

07/09/2016

103



La protection applicative



07/09/2016

104


Plan

•La protection applicative?

•La mise en place

•Les tests de fonctionnement

07/09/2016

105


La protection applicative?

• La protection applicative, permet d’être beaucoup plus fin que le filtrage d’URL

• Par exemple vous pouvez donner accès à Facebook à vos utilisateurs mais bloquer certain jeux.

• On peut aussi autoriser ou bloquer certains protocoles, mais ne pas confondre avec les règles de filtrage.

• Plusieurs profils sont également disponibles.

07/09/2016

106



• A quoi sert la protection applicative

• Mise en place du blocage des jeux sur Facebook.

• Vue de l’ensemble des possibilités de la protection applicative

• Réalisation des tests de validation

07/09/2016

107


Les Notifications par email




07/09/2016

108


Plan

•Les notifications par email, les pour et les contre

•La mise en place sur les boitiers

07/09/2016

109


Les pour et les contre

• Les notifications par emails, permettent de recevoir un email lors du déclanchement d’un évènement :

� Arrêt d’une Appliance

� Déclanchement d’une alerte

� Etc

• Les alertes par emails sont très pratiques, par contre, en cas de configuration pas assez fine, vous risquez de recevoir trop d’emails.

• Attention de ne pas faire doublons avec d’autres outils de monitoring, comme Centreron ou syslog.

• Il faut clairement définir des seuils aux nombres d’emails envoyés par alertes

07/09/2016

110



• La mise en place des alertes par email

• Définir des alerte pour plusieurs types d’alertes

• Voir les risques de ce type de mise en place

• Définir des seuils (nombres de mail etc.)

• Question : Et si le boitier ne fonctionne plus?

07/09/2016

111


Le monitoring –Principes et Syslog




07/09/2016

112


Plan

•Pourquoi faire du monitoring?

•Par quel biais?

•Détails sur Syslog

07/09/2016

113


Pourquoi?

• Pourquoi faire du monitoring? La question est vaste, et l’intérêt dépends de votre utilisation du boitier et votre besoin.

• Si vous avez de forte contraintes/besoins de sécurité, le monitoring vous permet d’avoir des traces des différentes alertes

• Il peut vous permettre de prévenir des erreurs matérielles

• Grâce au monitoring vous pouvez être proactif

• Dans le cas d’astreintes il peut également déclencher des appels ou autres.

• Tout dépends de ce que vous souhaitez activer comme alertes et quel type.

07/09/2016

114


Par quel biais?

• Il existe de très nombreux moyens et de très nombreuses solutions pour faire du monitoring, dans cette formation je vais vous présenter les plus couramment utilisés :

� Syslog - Ce n’est pas un outil mais une méthode, que nous allons voir juste après, collecte les évènements système

� Les notification par mail – La plus souple et paramétrable des méthodes, les notifications sont directement configurables sur le boitier

� Par le biais d’un outils tiers – Il en existe de très nombreux, Centreon(Nagios), Cacti (Réseaux), SCOM (Microsoft), Zabbix, PRTG, etc.

07/09/2016

115



•Les différents types de monitoring,

•Les différences entre ces types

•La configuration de Syslog (local et distant)

07/09/2016

116


Le monitoring Cacti et Centreon




07/09/2016

117


Plan

• Cacti – C’est quoi?

� Mise en place du monitoring via Cacti

• Centreon – C’est quoi?

� Mise en place du monitoring via Centreon

07/09/2016

118


Cacti?

• Cacti est un outil très pratique, principalement utilisé pour le monitoring réseaux (Switch, routeur), il est donc particulièrement adapté pour nos firewalls Stormshield. Nous allons pouvoir faire du monitoring :

� Pour les interfaces (Débit, up ou non etc.)

� Pour les liens (Saturation, utilisation etc.)

� Permet d’avoir des graphes et une Weathermap

� Interface WEB

� Alertes (emails, et autre) paramétrables

� Outil gratuit avec une grande communauté

07/09/2016

119


Centreon?

• Centreon est une combinaison de Nagios qui est un outil en ligne de commande uniquement, et d’une interface web :

� Nagios est très complexe, c’est à la fois un point positif et négatif

� Permet le monitoring de tout type de serveurs

� Est capable de faire du monitoring sur des services

� Très fin dans sa configuration

� Gestion des notifications par email également

� Génération de graphe et de weathermap

� Egalement un outil disponible gratuitement et avec une forte communauté

07/09/2016

120



•Le fonctionnement de Cacti et la mise en place du monitoring sur Cacti

•Le fonctionnement de Centreon et la mise en place du monitoring sur Centreon

07/09/2016

121


Debug – Les outils Stormshield




07/09/2016

122


Plan

•Présentation des outils

•Vue d’ensemble des outils

07/09/2016

123


Les outils

• Stormshield met à notre disposition un certain nombre d’outils afin de faire du debug sur nos firewalls.

• C’est le cas particulièrement de l’analyseur d’événements

• Cet outil vas nous permettre de voir en temps réels les alertes et tout les évènements qui passent par le firewall

• Ce logiciel est disponible sur le site de Stormshield dans la partie Tools

• Il existe également des outils tiers comme packet tracer de Cisco qui vous permet d’analyser l’intégralité du trafic réseau.

07/09/2016

124



•Les outils stormshield

•Comment utiliser les outils de debug de stormshield

•Leurs fonctionnement.

07/09/2016

125


Les outils Stormshield




07/09/2016

126


Plan

•Centralized Manager

� Mise en place

•Virtual log Appliance

� Mise en place

07/09/2016

127


Centralized manager

• Cet outil permet non seulement de faire de la gestion de configuration, afin d’avoir un historique des modifications :

� Il permet également de gérer les cycles de vie des équipements (gestion des licences)

� Permet de définir une politique globale, mais en tenant compte des spécifications de chaque site

� Il gère également la partie supervision

� Vous disposez également des alertes en temps réel

� Réponds aux exigences MSSP

• Vous l’aurez compris, cette option payante n’est utile qu’avec un nombres significatifs d’appliances

07/09/2016

128


Virtual log appliance

• Comme son nom l’indique cette Appliance supplémentaire permet la collecte et la gestion centralisée des logs, de nos Appliances :

� Propose plusieurs tableaux de bord

� Permet une vue d’ensemble de votre infra (si plusieurs appliances)

� Dispose également d’un serveur de syslog

� Compatible également avec les Firewalls NetASQ V9

� Image virtuelle préconfigurée

� Tout les tableaux sont personnalisables

• C’est également une option payante

07/09/2016

129



•Les outils disponibles

•Leurs mises en place

•Leurs configurations

•Leurs utilisations

07/09/2016

130


La CLI




07/09/2016

131


Plan

•Dans quel cas utiliser la CLI

•Les différentes commandes de base

07/09/2016

132


La CLI dans quels cas?

• L’interface en ligne de commande peut être utile dans certains cas, notamment si vous perdez l’accès à distance à votre boitier.

• Pour accéder à cette interface il y a plusieurs méthodes :

� En SSH (que nous allons utiliser)

� Physiquement sur le boitier (port console)

� Via l’interface web, une partie de cette CLI est disponible, mais seulement certaines commandes

• Il est possible de perdre l’accès au boitier en faisant une mauvaise manipulation dans les règles de filtrage ou autre.

• Je vais vous montrez des cas concrets en provoquant ce type d’erreurs

07/09/2016

133


Les commandes

• Les Firewalls Stormshield (comme NetASQ) est basé sur un système BSD, les commandes UNIX s’appliquent donc à notre boitier.

• Vous pouvez presque tout faire en ligne de commande.

• Nous allons principalement utiliser :

� Ifconfig

� Tcpdump

� Defaultconfig

� Netstat

� Etc.

07/09/2016

134



•Avoir vu la CLI Stromshield

•Vu comment résoudre certains problèmes courants

•Connaitre certaines commandes standard

07/09/2016

135


StormshieldExpert

Conclusion



07/09/2016

136


Cursus administration Stormshield

Niveau Administration Niveau Expert

07/09/2016

137


Ce que vous êtes capable de faire

• Apres cette formation vous êtes en mesure de:

• Mieux comprendre le fonctionnement d’un boitier UTM

• Mettre vos appliance en cluster et comprendre son fonctionnement.

• Etre capable de gérer des utilisateur et des groupes via votre boitier.

• Authentifier des utilisateurs par plusieurs biais.

• Gerer des certificats

• Configurer tout les modules de votre boitier.

• Faire de l’inspection sur les flux SSL

• Réalisez tout type de VPN (SSL, IPSEC, Nomade, site à site)

• Faire du monitoring sur votre boitier.

• Afficher et exporter des graphes

07/09/2016

138


D’autres formations sur d’autres firewall

07/09/2016

139


Présentation du Formateur

Matthieu Bayle

• [email protected]

• Consultant en sécurité et Ingénieur systèmes/réseaux

• Ma mission actuelle

07/09/2016

140


Et maintenant?

• Que faire grâce a vos nouvelles compétences?

• Acheter un boitier Stormshield

• Vendre des équipements Stormshield

• Etre capable d’apporte votre expertise sur cet équipement

• Installer les équipement Stormshield, même dans des structures complexe.

• Passer les certification Stormshield

• Maitriser votre infrastructure si vous êtes SysAdmin

07/09/2016

141


FIN

Technology

Alphorm.com support de la formation Stormshield, Expert