Mode d'emploi | Watchguard Firebox, XTM & Dimension v11.3 Manuel utilisateur
Ajouter à Mes manuels662 Des pages
▼
Scroll to page 2
of
662
Fireware XTM Web UI v11.3 Guide de l’utilisateur Fireware XTM Web UI v11.3 Guide de l’utilisateur WatchGuard XTM Devices Firebox X Peak e-Series Firebox X Core e-Series Firebox X Edge e-Series À propos de ce guide de l’utilisateur Le Guide Fireware XTM Web UI est mis à jour avec chaque lancement de produit majeur. Pour les mises à jour moins importantes, seule l’Aide de Fireware XTM Web UI est mise à jour. Le système d’aide comprend également des exemples spécifiques de mise en œuvre basés sur les tâches, qui ne sont pas disponibles dans le Guide de l’utilisateur. Pour accéder à la toute dernière documentation du produit, voir l’Aide de Fireware XTM Web UI sur le site de WatchGuard à l’adresse suivante : http://www.watchguard.com/help/documentation/. Les informations figurant dans ce guide peuvent faire l’objet de modifications sans préavis. Les exemples de sociétés, de noms et de données mentionnés ici sont fictifs, sauf mention contraire. Aucune partie de ce guide ne peut être reproduite ou retransmise sous quelque format ou par quelque moyen que ce soit (électronique ou mécanique), pour tout objet, sans l’autorisation écrite expresse de WatchGuard Technologies, Inc. Révision du guide : 07/15/2010 Informations sur le copyright, les marques déposées et les brevets Copyright © 1998-2010 WatchGuard Technologies, Inc. Tous droits réservés. Toutes les marques déposées ou les noms commerciaux mentionnés ici, le cas échéant, appartiennent à leurs propriétaires respectifs. Des informations complètes sur le copyright, les marques, les brevets et les licences sont disponibles dans le guide disponible en ligne (Copyright et Licensing Guide) : http://www.watchguard.com/help/documentation/ Note Ce produit est destiné à une utilisation intérieure uniquement. À propos de WatchGuard WatchGuard propose des solutions de sécurité tout-en-un à prix abordable pour les réseaux et les contenus afin d’offrir une protection en profondeur et de permettre d’être en conformité avec la réglementation. La gamme WatchGuard XTM associe pare-feu, réseau VPN, Gateway AV, IPS, blocage de courrier indésirable et filtrage d’URL pour protéger votre réseau des courriers indésirables, virus, logiciels malveillants et intrusions. La nouvelle gamme XCS propose un système de sécurité pour les messages électroniques et le contenu Web, associé à un système de prévention des données. Les solutions extensibles de WatchGuard sont évolutives pour assurer une sécurité parfaitement adaptée tant aux petites entreprises qu’aux grands groupes de plus de 10 000 employés. WatchGuard fabrique des appareils de sécurité simples, fiables et solides, qui disposent d’outils complets de génération de rapports et de gestion très rapides à mettre en œuvre. Les entreprises à travers le monde comptent sur nos boîtiers rouges pour maximiser la sécurité sans sacrifier à l’efficacité et à la productivité. Pour plus d’informations, appelez le 206.613.6600 ou visitez notre site www.watchguard.com. ii Adresse 505 Fifth Avenue South Suite 500 Seattle, WA 98104 Assistance technique www.watchguard.com/support États-Unis et Canada +877.232.3531 Tous les autres pays +1.206.521.3575 Ventes États-Unis et Canada +1.800.734.9905 Tous les autres pays +1.206.613.0895 Fireware XTM Web UI Sommaire Introduction à la sécurité des réseaux À propos des réseaux et de leur sécurité 1 1 À propos d'Internet connexions 1 À propos des protocoles 2 À propos de Adresses IP 3 Adresses et passerelles privées 3 À propos de masques de sous-réseau 3 À propos de la notation de barre oblique 4 À propos de la saisie Adresses IP 4 Statique et dynamique Adresses IP 5 À propos de DNS (Domain Name System) 6 À propos des pare-feu 6 À propos des services et des stratégies 7 À propos des ports 8 Le périphérique WatchGuard et votre réseau 9 Présentation de Fireware XTM Présentation de Fireware XTM 11 11 Composants de Fireware XTM 12 WatchGuard System Manager 12 WatchGuard Server Center 13 Fireware XTM Web UI et interface Command Line Interface 14 Fireware XTM avec une mise à niveau Pro Service et support À propos de Assistance WatchGuard 14 17 17 LiveSecurity Service 17 LiveSecurity Service Or 18 Expiration du service 19 Mise en route Avant de commencer Vérifier les composants de base Guide de l’utilisateur 21 21 21 iii Obtenir une clé de fonctionnalité pour périphérique WatchGuard 22 Collecter les adresses réseau 22 Sélectionnez un pare-feu. mode de configuration 23 À propos de l’Assistant Quick Setup Wizard 24 Exécuter l’Assistant Web Setup Wizard 25 Se connecter à Fireware XTM Web UI 29 Connexion avec Fireware XTM Web UI depuis un réseau externe 30 À propos de Fireware XTM Web UI 30 Sélectionnez la langue de l’interface Fireware XTM Web UI 32 Limitations de Fireware XTM Web UI 32 Terminer votre installation 33 Personnalisez votre stratégie de sécurité 34 À propos de LiveSecurity Service 34 Rubriques d’installation supplémentaires 34 Se connecter à Firebox avec Firefox v3 34 Identifier vos paramètres réseau 36 Configurer votre ordinateur pour la connexion à votre périphérique WatchGuard. 38 Désactiver les proxys HTTP dans le navigateur 40 Principes de configuration et de gestion 43 À propos des tâches de base de configuration et de gestion 43 Créer une sauvegarde de l’image Firebox 43 Restaurez un système Firebox. Image de sauvegarde 44 Utiliser une clé USB pour la sauvegarde et la restauration du système 44 À propos de la clé USB 44 Enregistrer une image de sauvegarde sur une clé USB connectée 44 Restaurer une image de sauvegarde à partir d’une clé USB connectée 45 Restaurer automatiquement une image de sauvegarde à partir d’une clé USB 46 Structure de répertoire de la clé USB 48 Enregistrer une image de sauvegarde sur une clé USB connectée à votre de gestion. 48 Rétablir une configuration antérieure d’un périphérique Firebox ou XTM ou créer une nouvelle configuration Démarrer un périphérique Firebox ou XTM en mode sans échec iv 50 50 Fireware XTM Web UI Restaurer les paramètres usine par défaut d’un périphérique Firebox X Edge e-Series ou WatchGuard XTM 2 Series 51 Exécuter l’Assistant Quick Setup Wizard 51 À propos des paramètres usine par défaut 51 À propos de les clés de fonctionnalité 52 Lorsque vous achetez une nouvelle fonctionnalité 53 Afficher les fonctionnalités disponibles avec la clé de fonctionnalité active 53 Obtenir une clé de fonctionnalité auprès de LiveSecurity 54 Ajouter une clé de fonctionnalité à Firebox 56 Redémarrer Firebox 58 Redémarrer Firebox localement 58 Redémarrer Firebox à distance 59 Activer le protocole NTP et ajouter des serveurs NTP 59 Définir le fuseau horaire et les propriétés de base du périphérique 60 À propos du protocole SNMP 61 Interrogations et interruptions SNMP 62 À propos des bases d’informations MIB (Management Information Base) 62 Activer l’interrogation SNMP 63 Activer Stations de gestion et interruptions SNMP 65 À propos des mots de passe, clés de chiffrement et clés partagées de WatchGuard 67 Création d’un mot de passe, d’une clé de chiffrement ou d’une clé partagée sécurisés 67 Mots de passe Firebox 67 Mots de passe utilisateur 68 Mots de passe serveur 68 Clés de chiffrement et clés partagées 69 Modifier les mots de passe Firebox 69 Définir les paramètres globaux de Firebox 70 Définir les paramètres globaux de gestion des erreurs ICMP 71 Activer le contrôle TCP SYN 72 Définir les paramètres globaux de réglage de la taille maximale de segment TCP 72 Désactiver ou activer la gestion du trafic et QoS 73 Modifier le port Web UI 73 Guide de l’utilisateur v Redémarrage automatique 73 Console externe 74 Présentation des serveurs WatchGuard System Manager 74 Gérer Firebox à partir d’un emplacement distant 75 Configurer un périphérique Firebox en tant que périphérique géré 77 Modifier la stratégie WatchGuard 77 Configurer le périphérique géré 79 Mettre à niveau vers une nouvelle version de Fireware XTM Installez la mise à niveau sur votre station de gestion 80 Mettre à niveau Firebox 81 Télécharger le fichier de configuration 81 À propos des options de mise à niveau 81 Mises à niveau des services d’abonnement 82 Mises à niveau des logiciels et logiciels système 82 Comment appliquer une mise à niveau 82 Définition et configuration réseau À propos de Configuration d’interface réseau 83 83 Modes réseau 83 Types d’interface 84 À propos des interfaces réseau sur les modèles Edge e-Series 85 Mode de routage mixte 86 Configurer une interface externe 86 Configurer DHCP en mode de routage mixte 90 À propos du Service DNS dynamique 92 Configurer DNS dynamique 92 À propos de la configuration du réseau en mode d’insertion 94 Utilisez le mode d’insertion pour la configuration de l’interface réseau 94 Configurer les hôtes associés 95 Configurer DHCP en mode d’insertion 96 Mode pont Paramètres d’interface standard Désactiver une interface vi 80 99 100 101 Fireware XTM Web UI Configurer le relais DHCP 102 Limiter le trafic réseau par adresse MAC 102 Ajouter Serveurs WINS et Adresses du serveur DNS 103 Configurer un réseau secondaire 104 À propos des paramètres d’interface 105 Paramètres de carte réseau 106 Définir Bit DF pour IPSec 107 Paramètre PMTU pour IPSec 108 Utiliser la liaison d’adresse MAC statique 108 Rechercher l’adresse MAC d’un ordinateur 109 À propos des ponts LAN 110 Créer une configuration de pont réseau 110 Attribuer une interface réseau à un pont 111 À propos des fichiers Ajouter un itinéraire statique À propos des réseaux locaux virtuels (VLAN) 111 112 113 Configuration logicielle requise pour les VLAN et restrictions associées 113 À propos de marquage 114 Définir un nouveau 802.1Q 114 Attribuer des interfaces à un 802.1Q 116 Exemples de configuration réseau 117 Exemple : Configurer deux réseaux locaux VLAN (Virtual Local Area Network) sur la même interface 117 Utiliser Firebox X Edge avec le pont sans fil 3G Extend 120 Multi-WAN À propos de l’utilisation de plusieurs interfaces externes 123 123 Configurations logicielles et conditions requises pour le mode multiWAN 123 multiWAN et DNS 124 À propos de Options multiWAN 124 Classement du tourniquet 124 Basculement 125 Dépassement de capacité d’interface 125 Guide de l’utilisateur vii Table de routage 126 modem série (Firebox X Edge uniquement) 126 Configurer l’option tourniquet multiWAN Avant de commencer 127 Configurer les interfaces 127 Découvrez comment affecter des pondérations aux interfaces 128 Configurer l’option basculement multiWAN 128 Avant de commencer 128 Configurer les interfaces 128 Configurer l’option Dépassement de capacité d’interface multiWAN 129 Avant de commencer 129 Configurer les interfaces 129 Configurer l’option Option de table de routage 130 Avant de commencer 130 Option de table de routage et équilibrage de charge 130 Configurer les interfaces 131 À propos de la table de routage de Firebox 131 Quand utiliser les options multiWAN et le routage 132 Basculement de modem série 132 Activer le basculement de modem série 133 Paramètres du compte 133 Paramètres DNS 134 Paramètres d’accès à distance 134 Paramètres avancés 135 Paramètres de contrôle des liaisons 136 À propos des Paramètres multiWAN avancés 137 Définissez une durée de connexion persistante globale 137 Définissez l’action de restauration 138 À propos de État de l’interface WAN 138 Temps nécessaire à Firebox pour mettre à jour sa table de routage 139 Définir un hôte de contrôle des liaisons 139 Traduction d’adresses réseau (NAT) viii 127 141 Fireware XTM Web UI À propos de Traduction d’adresses réseau (Network Address Translation) (NAT) Types de NAT À propos de la traduction dynamique traduction d'adresses réseau (NAT) 141 141 142 Ajouter des entrées NAT dynamiques de pare-feu 143 Configurer une traduction d’adresses dynamique à base de stratégie Traduction d'adresses réseau (NAT) 145 À propos de 1-to-1 NAT 147 À propos de 1-to-1 NAT et des tunnels VPN 148 Configurer 1-to-1 NAT pour le pare-feu 148 Configurer 1-to-1 NAT pour une stratégie 151 Configurer le bouclage NAT avec la traduction d’adresses réseau statique 152 Ajouter une stratégie pour le bouclage NAT sur le serveur 152 Bouclage NAT et 1-to-1 NAT 154 À propos de NAT statique 157 Configurer les équilibrage de charge côté serveur 158 Exemples de traduction d’adresses réseau (NAT) 161 Exemple de règle 1-to-1 NAT Configuration sans fil 161 163 À propos de la configuration sans fil 163 À propos de configuration Point d’accès sans fil 164 Avant de commencer 165 Présentation des paramètres paramètres de configuration 165 Activer/Désactiver Diffusions SSID 166 Modifier SSID 167 Journal événements d’authentification 167 Modifier seuil de fragmentation 167 Modifier Seuil RTS 169 Présentation des paramètres paramètres de sécurité 170 Définissez sans fil méthode d'authentification 170 Définir le niveau de chiffrement 171 Autoriser des connexions sans fil au réseau facultatif ou approuvé 172 Activer un réseau invité sans fil 175 Guide de l’utilisateur ix Activer un point d’accès sans fil 177 Configurer les paramètres de délai pour les utilisateurs 178 Personnaliser l’écran de démarrage du point d’accès 178 Se connecter à un point d’accès sans fil 180 Afficher les connexions aux points d’accès sans fil 181 Configurer l’interface externe en tant qu’interface sans fil 182 Configurer l’interface externe principale en tant qu’interface sans fil 182 Configurer un tunnel BOVPN pour plus de sécurité 184 Présentation des paramètres paramètres de radio sans fil sur Firebox X Edge e-Series Réglage de la région d’exploitation et du canal 185 Définissez mode d’exploitation sans fil 186 Présentation des paramètres radio sans fil du WatchGuard XTM sans fil Série 2 187 Le réglage du pays est automatique 187 Sélectionnez la Bande passante et le mode sans fil 188 Sélection du canal 189 Configurer carte sans fil sur votre ordinateur Routage dynamique 189 191 À propos du routage dynamique 191 À propos des fichiers de configuration du démon de routage 191 À propos du protocole RIP (Routing Information Protocol) 192 Commandes du protocole RIP 192 Configurer Firebox pour qu’il utilise RIP v1 194 Configurer Firebox pour qu’il utilise RIP v2 196 Exemple de fichier de configuration de routage RIP 197 À propos du protocole OSPF (Open Shortest Path First) 199 Commandes OSPF 199 Tableau des coûts d’interface OSPF 202 Configurer Firebox pour utiliser OSPF 203 Exemple de fichier de configuration d’un routage OSPF 204 À propos du protocole BGP (Border Gateway Protocol) x 184 207 Commandes BGP 207 Configurer Firebox pour qu’il utilise BGP 210 Fireware XTM Web UI Exemple de fichier de configuration de routage BGP Authentification À propos de l’authentification des utilisateurs 211 215 215 Utilisateur étapes de l’authentification 216 Gérer les utilisateurs authentifiés 217 Utiliser l’authentification pour restreindre le trafic entrant Utiliser l’authentification via une passerelle Firebox Définir les valeurs d’authentification globale 218 218 218 Définir des délais d’authentification globale 219 Autoriser plusieurs connexions simultanées 220 Limiter les sessions de connexion 220 Rediriger automatiquement les utilisateurs vers le portail de connexion 221 Utiliser une page de démarrage par défaut personnalisée 222 Définir les délais d’une session de gestion 222 À propos de la stratégie d’authentification WatchGuard (WG) 222 À propos de Single Sign-On (SSO) 223 Avant de commencer 224 Configurer SSO 224 Installer l’agent WatchGuard Single Sign-On (SSO) 224 Installez le client WatchGuard Single Sign-On (SSO) 225 Activer Single Sign-On (SSO) 226 Types de serveurs d’authentification 228 À propos de l’utilisation de serveurs d’authentification tierce 228 Utiliser un serveur d’authentification de sauvegarde 228 Configurer Firebox en tant que serveur d’authentification 229 Types d’authentification Firebox 229 Définir un nouvel utilisateur pour l’authentification sur Firebox 231 Définir un nouveau groupe d’authentification sur Firebox 233 Configurer l’authentification sur le serveur RADIUS 233 Clé d’authentification 234 Méthodes d’authentification sur RADIUS 234 Avant de commencer 234 Guide de l’utilisateur xi Utiliser le serveur d’authentification RADIUS avec le périphérique WatchGuard 234 Fonctionnement de l’authentification sur le serveur RADIUS 236 Configurer les Authentification sur le serveur VASCO 238 Configurer l’authentification SecurID 240 Configurer l’authentification LDAP 242 À propos des paramètres LDAP facultatifs 244 Configurer l’Active Directory Authentication 245 À propos des paramètres Active Directory facultatifs 247 Trouver votre base de recherche Active Directory 247 Changer le port par défaut de l’Active Directory Server 248 Utilisez les paramètres Active Directory ou LDAP facultatifs 249 Avant de commencer 249 Spécifier Paramètres Active Directory ou LDAP facultatifs 249 Utiliser un compte d’utilisateur local pour l’authentification 253 Utiliser les utilisateurs et groupes autorisés dans les stratégies 254 Stratégies À propos des stratégies 257 Stratégies de filtres de paquets et stratégies de proxies 257 À propos de l'ajout de stratégies à votre Firebox 258 À propos de la page Stratégies de pare-feu ou Mobile VPN 259 Ajouter stratégies à votre configuration 260 Ajouter une stratégie à partir de la liste des modèles 261 Désactiver ou supprimer une stratégie 263 À propos des alias 263 Membres de l’alias 264 Créer un alias 264 À propos de l’ordre de priorité des stratégies xii 257 266 Ordre de priorité automatique des stratégies 266 Spécificité de stratégie et protocoles 266 Règles de trafic 267 Actions de pare-feu 267 Calendriers 267 Fireware XTM Web UI Types et noms de stratégie 268 Définir la priorité manuellement 268 Créer des calendriers pour les actions Firebox 268 Définir un calendrier d'application 269 À propos des stratégies personnalisées 269 Créer ou modifier un modèle de stratégie personnalisée À propos des propriétés de stratégie 270 271 Onglet Stratégie 272 Onglet Propriétés 272 Onglet Avancé 272 Paramètres de proxy 272 Définir des règles d’accès pour une stratégie 273 Configurer le routage basé sur stratégie 275 Définir un délai d'inactivité personnalisé 276 Définir la gestion des erreurs ICMP 277 Appliquer les règles NAT 277 Définir la durée de connexion persistante pour une stratégie 278 Paramètres proxy À propos de stratégies de proxy et passerelles ALG Configuration de proxy À propos des configurations de blocage d’applications 279 279 280 280 Configurer Application Blocker 281 À propos de Skype et du blocage d’applications 282 Ajouter une stratégie de proxy à votre configuration 283 À propos des actions de proxy 285 Définir l’action de proxy 285 Modifier, supprimer ou cloner des actions de proxy 285 À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy 286 À propos de DNS proxy 286 Proxy DNS : Contenu 287 Proxy DNS : Paramètres 288 À propos de la Proxy FTP Guide de l’utilisateur 289 xiii Onglet Stratégie 290 Onglet Propriétés 290 Onglet Avancé 290 Onglets Paramètres et Contenu 291 FTP proxy : Contenu 291 Proxy FTP : Paramètres 292 À propos de la Passerelle ALG H.323 293 Passerelle ALG H.323 : Contenu 295 Passerelle ALG H.323 : Paramètres 298 À propos du proxy HTTP Onglet Stratégie 299 Onglet Propriétés 301 Onglet Avancé 301 Onglets Paramètres, Contenu et Application Blocker 301 Autoriser les mises à jour Windows via le proxy HTTP 301 Proxy HTTP : Onglet Contenu 302 Proxy HTTP : Onglet Paramètres 305 Proxy HTTP : Application Blocker 307 À propos de la Proxy HTTPS 308 Onglet Stratégie 308 Onglet Propriétés 308 Onglet Avancé 309 Onglets Paramètres et Contenu 309 Proxy HTTPS : Contenu 309 Proxy HTTPS : Paramètres 312 À propos de la Proxy POP3 xiv 299 313 Onglet Stratégie 313 Onglet Propriétés 313 Onglet Avancé 313 Onglets Paramètres et Contenu 314 Proxy POP3 : Contenu 314 Proxy POP3 : Paramètres 315 Fireware XTM Web UI À propos de la Proxy SIP 316 Passerelle ALG SIP : Contenu 318 Passerelle ALG SIP : Paramètres 320 À propos de la Proxy SMTP 321 Onglet Stratégie 322 Onglet Propriétés 322 Onglet Avancé 322 Onglets Paramètres, Adressage et Contenu 323 Proxy SMTP : Adressage 323 Proxy SMTP : Contenu 324 Proxy SMTP : Paramètres 325 Configurer le proxy SMTP pour placer du courrier en quarantaine 326 À propos de la Proxy TCP-UDP 326 Onglet Stratégie 327 Onglet Propriétés 327 Onglet Avancé 327 Onglets Paramètres et Contenu 327 Proxy TCP-UDP : Contenu 328 Proxy TCP-UDP : Paramètres 328 Gestion du trafic et QoS À propos de Gestion du trafic et QoS 331 331 Activer la gestion du trafic et la fonction QoS 331 Garantir la bande passante 332 Restreindre la bande passante 333 Marquage QoS 333 Priorité du trafic 333 Définir la bande passante de l’interface en sortie 333 Limiter le nombre de connexions 334 À propos de Marquage QoS 335 Avant de commencer 335 Marquage QoS pour interfaces et stratégies 335 Marquage Qos et trafic IPSec 336 Guide de l’utilisateur xv Types et valeurs de marquage 336 Activer le marquage QoS pour une interface 338 Activer le marquage QoS ou les paramètres de priorité d’une stratégie 339 Contrôle du trafic et définition de stratégies Définir un Action de gestion de trafic 340 Ajouter une une action de gestion de trafic à une stratégie 342 Default Threat Protection 345 À propos de default threat protection 345 À propos de options de gestion des paquets par défaut 346 À propos de attaques d’usurpation 347 À propos de Attaques d’Itinéraire source des adresses IP 348 À propos de exploration des espaces de ports et d’adresses 349 À propos de Attaques Flood 350 À propos de À propos des paquets non gérés 352 À propos des attaques de prévention répartie contre les refus de service 353 À propos de Sites bloqués 354 Sites bloqués de façon permanente 355 Liste des sites automatiquement bloqués/sites bloqués de façon temporaire 355 Afficher ou modifier la liste des sites bloqués 355 Bloquer un site de façon permanente 355 Créer Exceptions aux sites bloqués 356 Bloquer temporairement les sites avec des paramètres de stratégie 357 Modifier la durée du blocage automatique des sites 358 À propos de Ports bloqués 358 Ports bloqués par défaut 359 Bloquer un port 360 Journalisation et notification À propos de la journalisation et des fichiers journaux xvi 340 361 361 Serveurs Log Server 361 État du système Syslog 362 Journalisation et notification dans les applications et sur les serveurs 362 À propos de messages de journaux 362 Fireware XTM Web UI Types de messages de journaux Envoyer les messages du journal vers un serveur WatchGuard Log Server Ajouter, modifier ou changer la priorité des serveurs Log Server 362 364 364 Envoyer des informations de journaux à un hôte Syslog 365 Configurer les paramètres de journalisation 367 Définir le niveau du journal de diagnostic 368 Configurer la journalisation et la notification pour une stratégie 369 Définir les préférences de journalisation et de notification 371 Utiliser Syslog pour consulter les données de messages du journal 372 Examiner, trier et filtrer les données de messages du journal 372 Rafraîchir les données du message du journal 374 Surveiller votre périphérique Firebox 375 Analyser votre Firebox 375 Le tableau de bord 375 Pages État du système 377 Table ARP 378 Authentifications 378 Mesure de la bande passante 379 État des sites bloqués 380 Ajouter ou modifier des sites bloqués temporairement 380 Sommes de contrôle 381 Connexions 381 Liste des composants 382 Utilisation du processeur 382 Baux DHCP 382 Diagnostics 383 Exécuter une commande basique de diagnostic 383 Utilisation des arguments de commande 384 DNS dynamique 384 Clé de fonctionnalité 385 Lorsque vous achetez une nouvelle fonctionnalité 385 Afficher les fonctionnalités disponibles avec la clé de fonctionnalité active 385 Guide de l’utilisateur xvii Interfaces 386 LiveSecurity 387 Mémoire 387 Liste d’accès sortants 388 Processus 388 Itinéraires 389 Syslog 390 Gestion du trafic 390 Statistiques VPN 391 Statistiques sans fil 392 Connexions aux points d’accès sans fil 392 Certificats et autorité de certification À propos des certificats 395 Utiliser plusieurs certificats pour établir la confiance 395 Mode d’utilisation des certificats sur Firebox 396 Durée de vie des certificats et listes de révocation de certificats (CRL) 397 Autorités de certification et demandes de signatures 397 Autorités de certification approuvées par Firebox 398 Afficher et gérer les certificats Firebox 403 Créer une demande de signature de certificat à l’aide d’OpenSSL Utiliser OpenSSL pour générer une demande de signature de certificat Signer un certificat avec l’autorité de certification Microsoft 405 405 406 Délivrer le certificat 407 Télécharger le certificat 407 Utiliser des certificats pour le proxy HTTPS xviii 395 407 Protéger un serveur HTTPS privé 408 Examiner le contenu des serveurs HTTPS externes 408 Exporter le certificat d’inspection de contenu de HTTPS 409 Importer les certificats sur les périphériques clients 410 Dépanner les problèmes de l’inspection de contenu HTTPS 410 Utiliser des certificats pour un tunnel Mobile VPN with IPSec authentification 410 Utiliser un certificat pour l’authentification d’accès au tunnel BOVPN 411 Fireware XTM Web UI Vérifier le certificat avec FSM 411 Vérifier les certificats VPN à partir d’un serveur LDAP 412 Configurer le certificat de serveur Web pour Firebox authentification 412 Importer un certificat sur un périphérique client 414 Importer un certificat au format PEM sous Windows XP 414 Importer un certificat au format PEM sous Windows Vista 414 Importer un certificat au format PEM dans Mozilla Firefox 3.x 415 Importer un certificat au format PEM sous Mac OS X 10.5 415 Réseaux Privés Virtuel (VPN) Introduction aux VPN 417 417 VPN pour succursale 417 Mobile VPN 418 À propos des VPN IPSec 418 À propos des algorithmes IPSec et des protocoles 418 À propos des négociations VPN IPSec 420 Configurer les paramètres de phase 1 et 2 423 À propos de Mobile VPN 423 Sélectionner un Mobile VPN 424 Options d’accès Internet pour les utilisateurs Mobile VPN 426 Vue d’ensemble de la configuration Mobile VPN 427 Réseaux BOVPN (Branch Office Virtual Private Network) 429 Comment créer un réseau BOVPN manuel 429 À propos des tunnels BOVPN manuels 430 Comment créer un réseau privé virtuel (VPN) 430 Comment créer un tunnel BOVPN manuel 431 Tunnels unidirectionnels 431 Basculement VPN 431 Paramètres VPN globaux 431 État du tunnel BOVPN 432 Renouveler la clé des tunnels BOVPN 432 Tableau d’exemple d’informations sur l’adresse VPN 432 Configurer les passerelles 434 Guide de l’utilisateur xix Définir les points de terminaison de passerelle 436 Configurer les modes et les transformations (Paramètres de phase 1) 438 Modifier et supprimer des passerelles 442 Désactiver le démarrage automatique du tunnel 443 Si votre Firebox se trouve derrière un périphérique NAT 443 Créer des tunnels entre des points de terminaison de passerelle 444 Définir un tunnel 444 Ajouter des itinéraires à un tunnel 447 Configurer les Paramètres de phase 2 447 Ajouter une proposition de phase 2 449 Modifier l’ordre des tunnels 451 À propos des paramètres VPN globaux 451 Activer le transit IPSec 452 Activer le type de service (TOS) pour IPSec 452 Activer le serveur LDAP pour la vérification du certificat 453 Utiliser 1-to-1 NAT via un tunnel BOVPN 453 1-to-1 NAT et réseaux VPN 453 Autres raisons d’utiliser 1-to-1 NAT via un réseau VPN 454 Alternative à l’utilisation de la traduction d’adresses réseau (NAT) 454 Configuration du réseau VPN 454 Exemple 455 Configurer le tunnel local 455 Configurer le tunnel distant 458 Définir un itinéraire pour tout le trafic Internet 460 Configurer le tunnel BOVPN sur le Firebox distant 460 Configurer le tunnel BOVPN sur le Firebox central 461 Ajouter une entrée de traduction d’adresses réseau (NAT) dynamique au Firebox central 462 Activer le routage de multidiffusion via un tunnel BOVPN xx 463 Activer un périphérique WatchGuard pour qu’il envoie du trafic de multidiffusions via un tunnel 464 Activer l’autre périphérique WatchGuard pour qu’il reçoive le trafic de multidiffusions via un tunnel 466 Fireware XTM Web UI Activer le routage de diffusion par un tunnel BOVPN 466 Activez le routage de diffusion pour le Firebox local 467 Configurez le routage de diffusion pour le Firebox de l’autre extrémité du tunnel. 468 Configurer le basculement VPN Définir plusieurs paires de passerelles 469 470 Voir Statistiques VPN 472 Renouveler la clé des tunnels BOVPN 472 Questions liées à la configuration du réseau BOVPN 472 Pourquoi avez-vous besoin d’une adresse externe statique ? 472 Comment obtenir une adresse IP externe statique ? 472 Comment dépanner la connexion ? 473 Pourquoi le test ping ne fonctionne-t-il pas ? 473 Comment définir plus de tunnels VPN que le nombre autorisé sur un périphérique Edge ? 473 Augmenter la disponibilité du tunnel BOVPN Mobile VPN with PPTP 473 479 À propos de Mobile VPN with PPTP 479 Spécifications de Mobile VPN with PPTP 479 Niveaux de chiffrement Configurer Mobile VPN with PPTP 480 480 Authentification 481 Paramètres de chiffrement 482 Ajouter au pool d’adresses IP 482 Paramètres de l’onglet Avancé 483 Configurer des serveurs WINS et DNS 484 Ajouter de nouveaux utilisateurs au groupe d’utilisateurs PPTP 485 Configurer des stratégies pour autoriser le trafic Mobile VPN with PPTP Configurer des stratégies pour autoriser le trafic Mobile VPN with PPTP 487 488 Autoriser les utilisateurs PPTP à accéder à un réseau approuvé 488 Utilisez d’autres groupes ou utilisateurs dans une stratégie PPTP 489 Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with PPTP 489 VPN avec route par défaut 489 VPN avec tunneling fractionné 490 Guide de l’utilisateur xxi Configuration de l’itinéraire VPN par défaut pour Mobile VPN with PPTP 490 Divisez la configuration du tunnel VPN pour Mobile VPN with PPTP 490 Préparer les ordinateurs clients pour PPTP Préparer un ordinateur client Windows NT ou 2000 : installer l’Accès réseau à distance de Microsoft et les Services Packs 491 Créer et connecter un Mobile VPN PPTP pour Windows Vista 492 Créer et connecter un PPTP Mobile VPN pour Windows XP 493 Créer et connecter un PPTP Mobile VPN pour Windows 2000 494 Établir des connexions PPTP sortantes derrière un système Firebox 495 Mobile VPN with IPSec À propos de Mobile VPN with IPSec IPSec 497 497 Configurer une connexion Mobile VPN with IPSec 497 Configuration système requise 498 Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with IPSec 499 À propos des fichiers de configuration client Mobile VPN 499 Configurer Firebox pour Mobile VPN with IPSec 500 Ajouter des utilisateurs à un groupe Firebox Mobile VPN 507 Modifier un profil de groupe existant Mobile VPN with IPSec 509 Configurer des serveurs WINS et DNS 521 Verrouiller le profil d’un utilisateur final 522 Fichiers de configuration Mobile VPN with IPSec 523 Configurer les stratégies à filtrer Trafic Mobile VPN 523 Distribuer les logiciels et les profils 524 Rubriques supplémentaires sur Mobile VPN 525 Configurer Mobile VPN with IPSec sur une adresse IP dynamique 526 À propos du Client Mobile VPN with IPSec xxii 491 528 Spécifications du client 528 Installer le logiciel client Mobile VPN with IPSec 529 Connecter et déconnecter le Client Mobile VPN 531 Afficher les messages de journaux Mobile VPN 533 Sécurisez votre ordinateur avec le pare-feu Mobile VPN 534 Fireware XTM Web UI Instructions à destination de l’utilisateur final pour l’installation du client WatchGuard Mobile VPN with IPSec Configuration Mobile VPN pour Windows Mobile 542 548 Configurations logicielles requises pour le client Mobile VPN WM Configurator et Windows Mobile IPSec 548 Installer le logiciel Mobile VPN WM Configurator 549 Sélectionner certificat et entrer le PIN 549 Importer un profil de l’utilisateur final 550 Installer le logiciel client Windows Mobile sur le périphérique Windows Mobile 550 Télécharger le profil de l’utilisateur sur le périphérique Windows Mobile 552 Connecter et déconnecter le Mobile VPN pour client Windows Mobile 553 Sécurisez votre périphérique Windows Mobile à l’aide du pare-feu Mobile VPN 556 Arrêter le service WatchGuard Mobile VPN 556 Désinstaller le Configurateur, le Service et le Moniteur 557 Mobile VPN with SSL 559 À propos de Mobile VPN with SSL 559 Configurer le périphérique Firebox ou XTM pour Mobile VPN with SSL 559 Configurer les paramètres d’authentification et de connexion 560 Configurer les paramètres Mise en réseau et Pool d’adresses IP 560 Configurer les paramètres avancés de Mobile VPN with SSL 563 Configurer l’authentification de l’utilisateur pour Mobile VPN with SSL 565 Configurer des stratégies pour contrôler l’accès client Mobile VPN with SSL 565 Choisir un port et un protocole pour Mobile VPN with SSL 566 Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with SSL 567 Résolution de nom pour Mobile VPN with SSL 568 Installer et connecter le client Mobile VPN with SSL 570 Spécifications de l’ordinateur client 571 Télécharger le logiciel client 571 Installer le logiciel client 572 Connectez-vous à votre réseau privé 572 Contrôles du client Mobile VPN with SSL 573 Distribuer et installer manuellement le logiciel client et le fichier de configuration Mobile VPN with SSL 574 Guide de l’utilisateur xxiii Désinstaller le client Mobile VPN with SSL 575 WebBlocker 577 À propos de WebBlocker 577 Configurer WebBlocker Server 578 Démarrer avec WebBlocker 578 Avant de commencer 578 Création de profils WebBlocker 578 Activation d’un contournement local 582 Sélectionner les catégories à bloquer 582 Utilisation du WebBlocker profile avec les proxies HTTP et HTTPS 583 Ajout d’exceptions WebBlocker 583 Utilisation de la fonction de contournement local WebBlocker 584 À propos des catégories WebBlocker 585 Vérifier si un site appartient à une catégorie 585 Ajouter, supprimer ou modifier une catégorie 586 À propos de les exceptions WebBlocker 587 Définir l’action à entreprendre pour les sites qui ne correspondent pas exceptions 588 Composants des règles d’exception 588 Exceptions avec une partie d’une URL 588 Ajouter des exceptions de serveurs WebBlocker 588 Renouveler les services de sécurité par abonnement 590 590 Présentation de l’expiration des services d’abonnements WebBlocker spamBlocker À propos de spamBlocker 591 591 Caractéristiques de spamBlocker 592 Actions, indicateurs et catégories de spamBlocker 592 Configurer spamBlocker xxiv 590 594 À propos des exceptions spamBlocker 596 Configurer les actions de Virus Outbreak Detection pour une stratégie : 598 Configuration de spamBlocker placer du courrier en quarantaine 599 À propos de l’utilisation de spamBlocker avec plusieurs proxies 600 Fireware XTM Web UI Définir les paramètres globaux spamBlocker 600 Utilisation d’un serveur proxy HTTP pour spamBlocker 602 Ajouter des redirecteurs d’e-mails approuvés pour améliorer la précision du score de probabilité de courrier indésirable 603 Activer VOD (Virus Outbreak Detection) et définir ses paramètres 604 spamBlocker et les limites d’analyse VOD 604 Création de règles pour votre lecteur de messagerie Envoyer Courrier indésirable ou messages en masse dans des dossiers Outlook spéciaux Envoi d’un rapport sur les faux positifs ou les faux négatifs 605 606 606 Utiliser la référence RefID à la place du texte du message 607 Établir la catégorie attribuée à un e-mail 608 Reputation Enabled Defense À propos de Reputation Enabled Defense 609 609 Seuils de réputation 609 Scores de réputation 610 Résultats de Reputation Enabled Defense 610 Configurer Reputation Enabled Defense 610 Avant de commencer 610 Configurer Reputation Enabled Defense pour une action de proxy 611 Configurer les seuils de réputation 612 Envoyer les résultats d’analyse de Gateway AV à WatchGuard Gateway AntiVirus et Intrusion Prevention À propos de Gateway AntiVirus et Intrusion Prévention 612 615 615 Installer et mettre à niveau Gateway AV/IPS 616 Présentation de Gateway AntiVirus/Intrusion Prevention et stratégies de proxies 616 Configuration du service Gateway AntiVirus 617 Configuration du service Gateway AntiVirus 617 Actions de configuration de Gateway AntiVirus 618 Configurer les Gateway AntiVirus : placer du courrier en quarantaine 621 À propos des limites d’analyse Gateway AntiVirus 622 Mettez à jour les paramètres Gateway AV/IPS Si vous utilisez un client antivirus tiers Guide de l’utilisateur 622 623 xxv Configuration les paramètres de décompression de Gateway AV 623 Configurer le serveur de mise à jour Gateway AV/IPS 624 Afficher l’état des services d’abonnement et mettre à jour manuellement les signatures 625 Configurer Intrusion Prevention Service Avant de commencer 627 Configurer Intrusion Prevention Service 627 Configurer les actions IPS 628 Configuration IPS 630 Configurer les Exceptions de signatures 631 Quarantine Server xxvi 626 633 À propos de Quarantine Server 633 Configurer Firebox pour mettre en quarantaine le courrier 634 Définir l’emplacement de Quarantine Server sur Firebox 634 Fireware XTM Web UI 1 Introduction à la sécurité des réseaux À propos des réseaux et de leur sécurité Un réseau est un groupe d’ordinateurs et de périphériques connectés les uns aux autres. Il peut être composé de deux ordinateurs dans la même pièce, de douzaines d'ordinateurs dans une entreprise ou d'une multitude d'ordinateurs dans le monde entier connectés entre eux via Internet. Les ordinateurs faisant partie du même réseau peuvent fonctionner ensemble et partager des données. Les réseaux tels qu'Internet vous donnent accès à un large éventail d'informations et d'opportunités commerciales, mais ils rendent également votre réseau accessible aux personnes malveillantes. De nombreuses personnes pensent que leurs ordinateurs ne contiennent pas d'informations importantes ou que les hackers ne sont pas intéressés par leurs ordinateurs. La réalité en est tout autrement. Un pirate informatique peut utiliser votre ordinateur en tant que plate-forme d'attaque contre d'autres ordinateurs ou réseaux. Les informations concernant votre organisation, y compris les données personnelles des utilisateurs ou clients, sont également très prisées des hackers. Votre périphérique WatchGuard et votre abonnement LiveSecurity peuvent vous aider à prévenir ce type d'attaques. Une bonne stratégie de sécurité réseau ou un jeu de règles d'accès pour les utilisateurs et les ressources peuvent également vous aider à découvrir et à prévenir les attaques dirigées contre votre ordinateur et votre réseau. Nous vous conseillons de configurer votre Firebox de manière à correspondre à votre stratégie de sécurité et de prendre en compte les menaces de l'extérieur aussi bien que de l'intérieur de votre organisation. À propos d'Internet connexions Les fournisseurs de services Internet sont des sociétés qui donnent accès à Internet via des connexions réseau. Le débit avec lequel une connexion réseau peut envoyer des données est appelé bande passante : par exemple, 3 mégabits par seconde (Mbits/s). Guide de l’utilisateur 1 Introduction à la sécurité des réseaux Une connexion Internet à haut débit, telle qu’un modem câble ou DSL (Digital Subscriber Line), est appelée connexion large bande. Les connexions large bande sont beaucoup plus rapides que les connexions d’accès à distance. La bande passante d’une connexion d’accès à distance est inférieure à .1 Mbits, alors qu’avec un modem câble elle peut être de 5 Mbits ou plus. Les débits des modems câbles sont généralement inférieurs aux débits maximaux, car chaque ordinateur d’un voisinage appartient à un LAN. Chaque ordinateur d’un LAN utilise une partie de la bande passante. À cause de ce système média partagé , les connexions modem câble peuvent être ralenties lorsque davantage d’utilisateurs se connectent au réseau. Les connexions DSL offrent une bande passante constante, mais sont généralement plus lentes que les connexions modem câble. De plus, la bande passante est seulement constante entre votre domicile ou votre bureau et le bureau central DSL. Le bureau central DSL ne peut pas garantir une bonne connexion à un site Web ou un réseau. Mode de transmission des informations sur Internet Les données que vous envoyez via Internet sont découpées en unités ou paquets. Chaque paquet inclut l’adresse Internet de la destination. Les paquets d’une connexion peuvent utiliser différents itinéraires via Internet. Lorsqu’ils arrivent à destination, ils sont assemblés dans l’ordre initial. Pour garantir que les paquets arrivent à destination, les informations d’adresse sont ajoutées aux paquets. À propos des protocoles Un protocole est un ensemble de règles qui autorise les ordinateurs à se connecter au sein d’un réseau. Les protocoles sont la « grammaire » du langage que les ordinateurs utilisent lorsqu'ils communiquent entre eux sur un réseau. Le protocole standard de connexion à Internet est le protocole IP (Internet Protocol). Ce protocole est le langage commun des ordinateurs sur Internet. 2 WatchGuard System Manager Introduction à la sécurité des réseaux Un protocole indique également le mode d’envoi des données à travers un réseau. Les protocoles les plus fréquemment utilisés sont TCP (Transmission Control Protocol) et UDP (User Datagram Protocol). TCP/IP est le protocole de base utilisé par des ordinateurs qui se connectent à Internet. Vous devez connaître certains des paramètres TCP/IP lorsque vous installez votre périphérique WatchGuard. Pour plus d'information sur le protocole TCP (Transmission Control Protocol)/IP, voir Trouvez vos propriétés TCP/IP à la page 36. À propos de Adresses IP Pour envoyer un courrier normal à quelqu’un, vous devez connaître son adresse postale. Pour qu'un ordinateur puisse envoyer des données à un autre ordinateur via Internet, le premier ordinateur doit connaître l’adresse du deuxième. L’adresse d’un ordinateur est appelée adresse IP (Internet Protocol). Tous les périphériques sur Internet ont une adresse IP unique, qui permet aux autres périphériques également sur Internet de les trouver et d’interagir avec eux. Une adresse IP se compose de quatre octets (séquences binaires de 8 bits) au format décimal et séparés par des points. Chaque chiffre entre les points doit être compris entre 0 et 255. Voici quelques exemples d'adresses IP : n n n 206.253.208.100 4.2.2.2 10.0.4.1 Adresses et passerelles privées De nombreuses sociétés créent des réseaux privés dotés de leur propre espace d’adresses. Les adresses 10.x.x.x et 192.168.x.x sont réservées pour les adresses IP privées. Les ordinateurs sur Internet ne peuvent pas utiliser ces adresses. Si votre ordinateur est sur un réseau privé, vous vous connectez à Internet via un périphérique de passerelle doté d’une adresse IP publique. La passerelle par défaut correspond généralement au routeur situé entre votre réseau et Internet. Après l’installation de Firebox sur votre réseau, il devient la passerelle par défaut de tous les ordinateurs connectés à ses interfaces approuvées ou facultatives. À propos de masques de sous-réseau Dans un souci de sécurité et de performance, les réseaux sont souvent divisés en parties plus petites appelées sous-réseaux. Tous les périphériques d’un sous-réseau ont des adresses IP similaires. Par exemple, tous les périphériques ayant des adresses IP dont les trois premiers octets sont 50.50.50 appartiennent au même sous-réseau. Un masque de sous-réseau d'une adresse IP de réseau, ou masque de sous-réseau, est une série d'octets servant à masquer les sections de l'adresse IP qui identifient quelles parties de l'adresse IP sont consacrées au réseau et quelles parties sont pour l'hôte. Un masque de sous-réseau peut être rédigé de la même façon qu'une adresse IP ou en notation slash ou CIDR. Guide de l’utilisateur 3 Introduction à la sécurité des réseaux À propos de la notation de barre oblique Votre Firebox utilise les barres obliques à de nombreuses fins, y compris la configuration de stratégies. La notation de barre oblique, appelée également notation CIDR (Classless Inter-Domain Routing) , est un moyen compact d'afficher ou d'écrire un masque de sous-réseau. Lorsque vous utilisez la notation de barre oblique, vous écrivez l'adresse IP, une barre oblique droite (/) et le numéro de masque de sous-réseau. Pour trouver le numéro de masque de sous-réseau : 1. Convertissez la représentation décimale du masque de sous-réseau en une représentation binaire. 2. Comptez chaque « 1 » dans le masque de sous-réseau. Le total est le numéro de masque de sousréseau. Par exemple, vous souhaitez écrire l'adresse IP 192.168.42.23 avec un masque de sous-réseau de 255.255.255.0 en notation de barre oblique. 1. Convertissez le masque de sous-réseau en notation binaire. Dans cet exemple, la représentation binaire de 255.255.255.0 est : 11111111.11111111.11111111.00000000. 2. Comptez chaque « 1 » dans le masque de sous-réseau. Dans cet exemple, il y en a vingt-quatre (24). 3. Écrivez l'adresse IP originale, une barre oblique droite (/), puis le chiffre de l'étape 2. Le résultat est 192.168.42.23/24. Ce tableau affiche les masques de réseau courants et leurs équivalents avec des barres obliques. Masque de réseau Équivalent avec des barres obliques 255.0.0.0 /8 255.255.0.0 /16 255.255.255.0 /24 255.255.255.128 /25 255.255.255.192 /26 255.255.255.224 /27 255.255.255.240 /28 255.255.255.248 /29 255.255.255.252 /30 À propos de la saisie Adresses IP Lorsque vous saisissez des adresses IP dans l'Assistant Quick Setup Wizard ou dans les boîtes de dialogue, saisissez les chiffres et les points dans le bon ordre. N'utilisez pas la touche TABULATION, les touches de direction, la barre d'espacement ou la souris pour placer votre curseur après les points. 4 WatchGuard System Manager Introduction à la sécurité des réseaux Si, par exemple, vous entrez l'adresse IP 172.16.1.10, ne saisissez pas d'espace après « 16 ». N'essayez pas de placer votre curseur après le point suivant pour entrer « 1 ». Saisissez un point directement après « 16 », puis saisissez « 1.10 ». Appuyez sur la touche barre oblique (/) pour passer au masque réseau. Statique et dynamique Adresses IP Les fournisseurs de services Internet attribuent une adresse IP à chaque périphérique de leur réseau. Cette adresse IP peut être statique ou dynamique. Adresse IP statique Une adresse IP statique est une adresse IP qui reste toujours la même. Si votre serveur Web, votre serveur FTP ou une autre ressource Internet doit avoir une adresse qui ne peut pas changer, votre fournisseur de services Internet peut vous fournir une adresse IP statique. Une adresse IP statique est généralement plus chère qu’une adresse IP dynamique et certains fournisseurs de services Internet ne fournissent pas d’adresse IP statique. Vous devez configurer une adresse IP statique manuellement. Adresse IP dynamique Une adresse IP dynamique est une adresse IP que le fournisseur de services Internet vous permet d’utiliser de façon temporaire. Si une adresse dynamique n’est pas utilisée, elle peut être attribuée automatiquement à un autre périphérique. Les adresses IP dynamiques sont attribuées à l’aide de DHCP ou de PPPoE. À propos de DHCP DHCP (Dynamic Host Configuration Protocol) est un protocole Internet que les ordinateurs d’un réseau utilisent pour obtenir des adresses IP et d’autres informations telles que la passerelle par défaut. Lorsque vous vous connectez à Internet, un ordinateur configuré comme serveur DHCP chez le fournisseur de services Internet vous attribue automatiquement une adresse IP. Il peut s’agir de l’adresse IP que vous aviez avant ou d’une nouvelle. Lorsque vous fermez une connexion Internet qui utilise une adresse IP dynamique, le fournisseur de services Internet peut attribuer cette adresse IP à un autre client. Vous pouvez configurer votre périphérique WatchGuard en tant que serveur DHCP pour les réseaux derrière le périphérique. Vous attribuez une série d'adresse à l'usage du serveur DHCP. À propos de PPoE Certains fournisseurs attribuent des adresses IP via PPPoE (Point-to-Point Protocol over Ethernet). PPPoE ajoute certaines des fonctionnalités Ethernet et PPP à une connexion d’accès à distance standard. Ce protocole de réseau permet au fournisseur de services Internet d’utiliser les systèmes de sécurité, d’authentification et de facturation de leur infrastructure d’accès à distance avec un modem DSL et des modems câblés. Guide de l’utilisateur 5 Introduction à la sécurité des réseaux À propos de DNS (Domain Name System) Vous pouvez fréquemment trouver l'adresse d'une personne que vous ne connaissez pas dans l'annuaire téléphonique. Sur Internet, l'équivalent d'un annuaire téléphonique est le DNS(Domain Name System) DNS est un réseau de serveurs qui traduit des adresses IP numériques en adresses Internet lisibles et inversement. DNS prend le nom de domaine convivial que vous saisissez lorsque vous souhaitez voir un certain site Web, tel que www.exemple.com, et trouve l'adresse IP correspondante, telle que 50.50.50.1. Les périphériques réseau ont besoin de l'adresse IP réelle pour trouver le site Web, mais les noms de domaine sont plus faciles à saisir et à mémoriser pour les utilisateurs que les adresses IP. Un serveur DNS est un serveur qui effectue cette traduction. De nombreuses organisations ont dans leur réseau des serveurs DNS privés qui répondent aux requêtes DNS. Vous pouvez également utiliser un serveur DNS sur votre réseau externe, tel qu'un serveur DNS fourni par votre fournisseur de services Internet. À propos des pare-feu Un système de sécurité réseau, tel qu'un pare-feu, sépare vos réseaux internes des connexions réseau externes afin de réduire le risque d'attaque externe. La figure ci-dessous montre comment un pare-feu protège les ordinateurs d'un réseau approuvé d’Internet. 6 WatchGuard System Manager Introduction à la sécurité des réseaux Les pare-feu utilisent des stratégies d’accès pour identifier et filtrer les différents types d’informations. Ils peuvent également contrôler quelles stratégies ou quels ports les ordinateurs protégés utilisent sur Internet (accès sortants). Par exemple, de nombreux pare-feu ont des stratégies de sécurité sélectives n'admettant que des types spécifiés de trafic. Les utilisateurs peuvent sélectionner la stratégie qui leur convient le mieux. D'autres pare-feu, tels que les périphériques WatchGuard du type Firebox, permettent à l'utilisateur de personnaliser ces stratégies. Pour plus d’informations, voir À propos des services et des stratégies à la page 7 et À propos des ports à la page 8 Les pare-feu peuvent être matériels ou logiciels. Un pare-feu protège les réseaux privés contre les utilisateurs non autorisés sur Internet. Le trafic entrant dans ou sortant des réseaux protégés est examiné par le pare-feu. Le pare-feu refuse le trafic réseau qui ne répond pas aux critères ou stratégies de sécurité. Dans certains pare-feu fermés, ou refus par défaut , toutes les connexions réseau sont refusées sauf si une règle spécifique autorise la connexion. Pour déployer ce type de pare-feu, vous devez disposer d’informations détaillées sur les applications réseau requises pour répondre aux besoins de votre organisation. D’autres pare-feu autorisent toutes les connexions réseau qui n’ont pas été refusées de façon explicite. Ce type de pare-feu ouvert est plus facile à déployer, mais n’est pas aussi sécurisé. À propos des services et des stratégies Vous utilisez un service pour envoyer différents types de données (notamment des e-mails, des fichiers ou des commandes) d’un ordinateur à l’autre, au sein du réseau ou vers un autre réseau. Ces services utilisent des protocoles. Les services Internet fréquemment utilisés sont les suivants : n n n n n L'accès World Wide Web utilise le protocole Hypertext Transfer Protocol (HTTP) L'e-mail utilise le protocole Simple Mail Transfer Protocol (SMTP) ou le protocole Post Office Protocol (POP3) Le transfert de fichiers utilise File Transfer Protocol (FTP) La conversion d'un nom de domaine en adresse Internet utilise Domain Name Service (DNS) L'accès aux terminaux distants utilise Telnet ou SSH (Secure Shell) Guide de l’utilisateur 7 Introduction à la sécurité des réseaux Lorsque vous admettez ou refusez un service, vous devez ajouter une stratégie à votre configuration de périphérique WatchGuard. Chaque stratégie ajoutée peut également engendrer un risque de sécurité. Pour envoyer et recevoir des données, vous devez « ouvrir une porte » dans votre ordinateur, ce qui expose votre réseau à des risques. Il est conseillé d’ajouter uniquement des stratégies indispensables à votre société. Voici un exemple d’utilisation d’une stratégie : supposons que l’administrateur réseau d’une société souhaite activer une connexion de services de terminal Windows au serveur Web public de sa société, via l’interface facultatif de la Firebox. Il gère de manière régulière le serveur Web avec une connexion Remote Desktop. Parallèlement, il souhaite s’assurer qu’aucun autre utilisateur du réseau ne pourra accéder aux services de terminal RDP via Firebox. Pour ce faire, l’administrateur réseau ajoute une stratégie qui autorise les connexions RDP uniquement pour l’adresse IP de son propre PC à l’adresse IP du serveur Web public. Lorsque vous configurez votre périphérique WatchGuard avec l'assistant Quick Setup Wizard, l'assistant n'ajoute que de la connectivité sortante limitée. Si vous avez d’autres applications logicielles et davantage de trafic réseau que votre Firebox doit inspecter, vous devez : n n n Configurer les stratégies sur votre Firebox pour faire passer le trafic nécessaire Définir les hôtes approuvés et les propriétés pour chaque stratégie Équilibrer l'exigence de protection de votre réseau et l'exigence de vos utilisateurs d'avoir accès aux ressources externes À propos des ports Bien que les ordinateurs aient des ports matériels utilisables comme points de connexion, les ports sont également des numéros utilisés pour mapper le trafic vers un processus particulier sur un ordinateur. Ces ports, également appelés ports TCP et UDP, sont le lieu de transmission de données des programmes. Si une adresse IP est comparable à une adresse de rue, un numéro de port est comme un numéro d'appartement ou d'immeuble à l'intérieur de cette rue. Lorsqu'un ordinateur envoie du trafic via Internet vers un serveur ou un autre ordinateur, il utilise une adresse IP pour identifier le serveur ou l'ordinateur distant et un numéro de port pour identifier le processus sur le serveur ou ordinateur recevant les données. Par exemple, supposez que vous souhaitez voir une page Web précise. Votre navigateur Web essaie de créer une connexion sur le port 80 (le port utilisé pour le trafic HTTP) pour chaque élément de la page Web. Lorsque votre navigateur reçoit les données qu'il demande du serveur HTTP, par exemple une image, il ferme la connexion. De nombreux ports sont utilisés pour un seul type de trafic, tel que le port 25 pour SMTP (Simple Mail Transfer Protocol). Certains protocoles, tels que SMTP, comportent des ports avec des numéros attribués. D'autres programmes sont des numéros de port attribués dynamiquement pour chaque connexion. L'IANA (Internet Assigned Numbers Authority) conserve une liste des ports connus. Vous pouvez consulter cette liste à l’adresse suivante : http://www.iana.org/assignments/port-numbers La plupart des stratégies que vous ajoutez à votre configuration de Firebox ont un numéro de port entre 0 et 1024, mais les numéros de port possibles vont de 0 à 65535. 8 WatchGuard System Manager Introduction à la sécurité des réseaux Les ports sont soit ouverts, soit fermés. Si un port est ouvert, votre ordinateur accepte les informations et utilise le protocole identifié avec ce port pour créer des connexions vers d'autres ordinateurs. Cependant, un port ouvert constitue un risque de sécurité. Pour vous protéger contre les risques créés par les ports ouverts, vous pouvez bloquer les ports utilisés par les hackers pour attaquer votre réseau. Pour plus d’informations, voir À propos de Ports bloqués à la page 358. Le périphérique WatchGuard et votre réseau Votre périphérique WatchGuard est un puissant périphérique de sécurité réseau qui contrôle tout le trafic entre le réseau externe et le réseau approuvé. Si des ordinateurs à confiance mixte se connectent à votre réseau, vous pouvez également configurer une interface réseau facultative séparée du réseau approuvé. Vous pouvez alors configurer le pare-feu de votre périphérique de façon à arrêter tout trafic douteux entre le réseau externe et vos réseaux approuvés et facultatifs. Si vous routez tout le trafic pour les ordinateurs à confiance mixte à travers votre réseau facultatif, vous pouvez augmenter la sécurité pour ces connexions afin d'ajouter plus de souplesse à votre solution de sécurité. Par exemple, les clients utilisent souvent le réseau facultatif pour leurs utilisateurs distants ou des serveurs publics tels qu'un serveur Web ou de messagerie. Certains clients qui possèdent un périphérique WatchGuard ne savent pas grand-chose sur les réseaux informatiques ou la sécurité réseau. Fireware XTM Web UI (interface utilisateur basée Web) propose de nombreux outils d'aide pour ce type de clients. Les clients avancés peuvent utiliser les fonctionnalités de support d'intégration et WAN multiple avancées du logiciel système Fireware XTM Pro pour connecter un périphérique WatchGuard à un réseau WAN plus vaste. Le périphérique WatchGuard se connecte à un modem par câble ou DSL, ou un routeur RNIS. Vous pouvez utiliser le Web UI pour gérer de manière fiable vos paramètres de sécurité réseau depuis différents endroits à tout moment. Vous pouvez alors consacrer plus de temps et de ressources à d’autres composants de votre société. Guide de l’utilisateur 9 Introduction à la sécurité des réseaux Guide de l’utilisateur 10 2 Présentation de Fireware XTM Présentation de Fireware XTM Fireware XTM vous offre une manière simple et efficace d'afficher, de gérer et de surveiller chaque Firebox de votre réseau. La solution Fireware XTM comprend quatre applications logicielles : n n n n WatchGuard System Manager (WSM) Fireware XTM Web UI Fireware XTM Command Line Interface (CLI) WatchGuard Server Center Il se peut que vous ayez besoin de plus d'une application Fireware XTM pour configurer le réseau de votre entreprise. Par exemple, si vous ne possédez qu'un produit Firebox X Edge e-Series, vous pouvez effectuer la plupart des tâches de configuration avec Fireware XTM Web UI ou l'interface Command Line Interface. Cependant, pour les fonctionnalités de journalisation et de génération de rapports plus avancées, vous devez utiliser WatchGuard Server Center. Si vous gérez plusieurs périphériques WatchGuard, ou si vous avez acheté Fireware XTM avec une mise à jour Pro, il est conseillé d'utiliser le gestionnaire WatchGuard System Manager (WSM). Si vous choisissez de gérer et de contrôler votre configuration avec l'IU Web de Fireware XTM, vous ne pourrez pas configurer certaines fonctionnalités. Pour plus d'informations concernant ces restrictions, voir Limitations de Fireware XTM Web UI à la page 32. Pour plus d'informations sur la façon de vous connecter à votre Firebox avec WatchGuard System Manager ou l'interface Fireware XTM Command Line Interface, voir l'aide en ligne ou le guide de l'utilisateur correspondants à ces produits. Vous pouvez consulter et télécharger la documentation la plus récente concernant ces produits sur la page de documentation sur les produits Fireware XTM : http://www.watchguard.com/help/documentation/xtm.asp Note Les termes Firebox et périphérique WatchGuard employés dans cette documentation se réfèrent aux produits WatchGuard utilisant Fireware XTM, tels que le périphérique Firebox X Edge e-Series. Guide de l’utilisateur 11 Présentation de Fireware XTM Composants de Fireware XTM Pour démarrer le gestionnaire WatchGuard System Manager ou WatchGuard Server Center depuis votre bureau Windows, sélectionnez le raccourci dans le menu Démarrer. Vous pouvez également démarrer WatchGuard Server Center à partir de l'icône de la barre d'état système. Depuis ces applications, vous pouvez lancer d'autres outils qui vous aident à gérer votre réseau. Par exemple, vous pouvez lancer HostWatch ou Policy Manager depuis le gestionnaire WatchGuard System Manager (WSM). WatchGuard System Manager Le gestionnaire WatchGuard System Manager (WSM) est la principale application pour la gestion de réseau via votre Firebox. Vous pouvez utiliser WSM pour gérer plusieurs périphériques Firebox différents, même ceux qui utilisent des versions logicielles différentes. WSM comprend une suite complète d'outils pour vous aider à surveiller et à contrôler le trafic réseau. Policy Manager Vous pouvez utiliser Policy Manager pour configurer votre pare-feu. Policy Manager comprend un ensemble complet de filtres de paquets, de stratégies proxy et de passerelles ALG préconfigurés. Vous pouvez également créer un filtre de paquets, une stratégie de proxy ou une passerelle ALG personnalisé(e) pour lequel/laquelle vous définissez les ports, les protocoles ainsi que d'autres options. D'autres fonctionnalités de Policy Manager vous permettent d'arrêter les tentatives d'intrusions dans le réseau, telles que les attaques SYN Flood, les attaques par usurpation et les explorations d'espaces d'adresses ou de ports. Firebox System Manager (FSM) Le gestionnaire Firebox System Manager vous offre une interface afin de surveiller tous les composants de votre périphérique WatchGuard. Depuis FSM, vous pouvez voir l'état en temps réel de votre Firebox et de sa configuration. 12 WatchGuard System Manager Présentation de Fireware XTM HostWatch HostWatch est un moniteur de connexion en temps réel qui indique le trafic réseau entre différentes interfaces Firebox. HostWatch donne également des informations sur les utilisateurs, les connexions, les ports et les services. LogViewer LogViewer est l’outil WatchGuard System Manager qui vous permet de consulter les données des fichiers journaux. Vous pouvez afficher les données d’un journal page par page ou rechercher et afficher du contenu en utilisant des mots clés ou en spécifiant des champs du journal. Report Manager Vous pouvez utiliser Report Manager pour générer des rapports sur les données recueillies depuis vos serveurs de journal concernant tous vos périphériques WatchGuard. Dans Report Manager, vous pouvez consulter les rapports WatchGuard disponibles concernant vos périphériques WatchGuard. CA Manager Le gestionnaire Certificate Authority (CA) Manager affiche une liste complète de certificats de sécurité installés sur votre ordinateur de gestion avec Fireware XTM. Vous pouvez utiliser cette application pour importer, configurer et générer des certificats à utiliser avec les tunnels VPN et à d'autres fins d'authentification. WatchGuard Server Center WatchGuard Server Center est l'application qui vous permet de configurer et de surveiller tous vos serveurs WatchGuard. Management Server Le serveur Management Server fonctionne sous Windows. À l’aide de ce serveur, vous pouvez gérer tous les périphériques de pare-feu et créer des tunnels de réseau privé virtuel (VPN) en utilisant une simple fonction glisser-déplacer. Les fonctions de base de Management Server sont les suivantes : n n n Autorité de certification distribuant des certificats pour les tunnels IPSec (Internet Protocol Security). Gestion de configuration des tunnels VPN Gestion de périphériques Firebox et Firebox X Edge multiples Serveur Log Server Le serveur Log Server collecte les messages des journaux de chaque système WatchGuard Firebox. Ces messages des journaux sont chiffrés lorsqu'ils sont envoyés au serveur Log Server. Le format d’un message du journal est XML (texte brut). Les informations collectées à partir des périphériques de pare-feu incluent les messages de types Trafic, Événement, Alarme, Débogage (diagnostic) et Statistiques. Guide de l’utilisateur 13 Présentation de Fireware XTM WebBlocker Server Le serveur WebBlocker Server utilise le proxy HTTP de Firebox pour refuser l’accès utilisateur à des catégories spécifiques de sites Web. Au cours de la configuration de Firebox, l’administrateur définit les catégories de sites Web à autoriser ou à bloquer. Pour plus d'informations sur WebBlocker et le serveur WebBlocker Server, voir À propos de WebBlocker à la page 577. Quarantine Server Le serveur Quarantine Server collecte et isole les e-mails susceptibles d'être du courrier indésirable ou de contenir un virus à l'aide de spamBlocker. Pour plus d’informations, voir À propos de Quarantine Server à la page 633. Report Server Le serveur Report Server consolide périodiquement des données collectées par les serveurs Log Server sur vos périphériques WatchGuard et génère régulièrement des rapports. Une fois les données transmises à Report Server, vous pouvez utiliser Report Manager pour afficher les rapports. Fireware XTM Web UI et interface Command Line Interface Fireware XTM Web UI et l'interface Command Line Interface sont des solutions alternatives de gestion capables d'effectuer la plupart des tâches du gestionnaire WatchGuard System Manager et de Policy Manager. Certaines options et fonctionnalités avancées de configuration, telles que les paramétrages Firecluster ou de stratégie proxy, ne sont pas disponibles sur Fireware XTM Web UI et l'interface Command Line Interface. Pour plus d’informations, voir À propos de Fireware XTM Web UI à la page 30. Fireware XTM avec une mise à niveau Pro La mise à jour Pro pour Fireware XTM propose plusieurs fonctionnalités avancées pour les clients expérimentés, telles que l'équilibrage de charge de serveur et des tunnels VPN SSL supplémentaires. Les fonctionnalités disponibles avec une mise à jour Pro dépendent du type et du modèle de votre Firebox : Fonctionnalité Core eSeries FireCluster les réseaux locaux virtuels (VLAN). 14 Core/Peak e-Series et XTM 1050 (Pro) Edge eSeries Edge e-Series (Pro) Q 75 maxi. 75 maxi. (Core) 200 maxi. (Peak/XTM 1050) Routage dynamique (OSPF et BGP) Q Routage basé sur stratégie Q Équilibrage de charge côté serveur Q 20 maxi. 50 maxi. Q WatchGuard System Manager Présentation de Fireware XTM Fonctionnalité Core eSeries Nombre maximum de tunnels VPN SSL Basculement multi-WAN Équilibrage de charge multi-WAN Q Core/Peak e-Series et XTM 1050 (Pro) Edge eSeries Edge e-Series (Pro) Q Q Q Q Q Q Pour acheter Fireware XTM avec une mise à jour Pro, contactez votre revendeur local. Guide de l’utilisateur 15 Présentation de Fireware XTM Guide de l’utilisateur 16 3 Service et support À propos de Assistance WatchGuard WatchGuard® saisit toute l’importance d’une assistance technique lorsque votre réseau doit être sécurisé avec des ressources ayant été limitées. Nos clients exigent de notre part des connaissances et une assistance plus étendues dans un univers où la sécurité est vitale. Le Service LiveSecurity® vous fournit l’aide d’urgence qu’il vous faut, par l’entremise d’un abonnement qui vous assiste aussitôt que vous enregistrez votre périphérique WatchGuard. LiveSecurity Service Votre périphérique WatchGuard inclut un abonnement à notre service high-tech LiveSecurity Service, que vous activez en ligne lorsque vous enregistrez votre produit. Dès l’activation, votre abonnement au LiveSecurity Service vous donne accès à un programme d’assistance et de maintenance exceptionnel, sans égal dans l’industrie. Le LiveSecurity Service est accompagné des avantages suivants : Garantie de votre matériel, avec remplacement à l’avance Un abonnement en vigueur LiveSecurity prolonge la garantie du matériel, incluse avec chaque périphérique WatchGuard. En outre, l’abonnement vous fournit un remplacement à l’avance de votre matériel pour minimiser le temps d’indisponibilité en cas de panne matérielle. C’est ainsi qu’en cas de défaillance d’un matériel, vous recevrez de WatchGuard un appareil de rechange avant même d’avoir à retourner le matériel d’origine. Mises à jour logicielles Votre abonnement au LiveSecurity Service vous donne accès aux toutes dernières mises à jour logicielles et à des perfectionnements du fonctionnement de vos produits WatchGuard. Assistance technique Lorsque vous avez besoin d’une assistance, nos équipes d’experts sont fin prêtes : Guide de l’utilisateur 17 Service et support n n n Représentants disponibles 12 heures par jour, 5 jours par semaine dans votre fuseau horaire* Délai d’intervention maximum ciblé de 4 heures Accès à des forums en ligne d’utilisateurs, animés par des ingénieurs d’assistance chevronnés. Ressources et alertes d’assistance Votre abonnement au LiveSecurity Service vous donne accès à une panoplie de vidéos éducatifs professionnels, de cours en ligne interactifs et d’outils en ligne, spécialement étudiés pour répondre à vos questions sur la sécurité de réseau en général ou sur les aspects techniques de l’installation, la configuration et la maintenance de vos produits WatchGuard. Notre équipe d’intervention d’urgence, un groupe dévoué d’experts en sécurité réseau, surveille Internet pour identifier les menaces émergentes. Ils diffusent ensuite des communiqués LiveSecurity, vous informant avec précision sur ce que vous pouvez faire pour faire face à chaque nouvelle menace. Vous pouvez personnaliser vos préférences et filtrer les conseils et alertes que vous recevez du LiveSecurity Service. LiveSecurity Service Or Le LiveSecurity Service Or est proposé aux entreprises exigeant une disponibilité 24 heures. Ce service haut de gamme vous donne des heures étendues de couverture et un délai d’intervention encore plus rapide pour une assistance technique à distance de 24 heures. Afin de vous protéger par une couverture totale, chaque appareil de votre entreprise doit bénéficier du LiveSecurity Service Or. Caractéristiques du service LiveSecurity Service LiveSecurity Service Or Heures d’assistance technique 6 h – 18 h, lundivendredi* 24/7 Nombre d’incidents pour assistance (en ligne ou par téléphone) 5 par année Illimité Délai d’intervention initial ciblé 4 heures 1 heure Forum d’assistance interactif Oui Oui Mises à jour logicielles Oui Oui Développement personnel et outils de formation en ligne Oui Oui Diffusions LiveSecurity Oui Oui Assistance d’installation Facultatif Facultatif Forfait d’assistance trois incidents Facultatif N/D Une heure, mise à niveau SIPRU (Single Incident Priority Response Upgrade) Facultatif N/D Mise à niveau SIPRU Facultatif N/D * Dans la région Asie-Pacifique, les heures d’assistance régulières sont 9 h – 21 h, lundi-vendredi (GMT +8). 18 WatchGuard System Manager Service et support Expiration du service Nous vous recommandons de garder votre abonnement en vigueur, afin de garantir la sécurité de votre entreprise. Lorsque votre abonnement LiveSecurity arrive à échéance, vous perdez l’accès aux toutes dernières alertes de sécurité et aux mises à jour logicielles régulières, ce qui risque de rendre votre réseau vulnérable. Des dommages à votre réseau coûteront beaucoup plus chers qu’un simple renouvellement au LiveSecurity Service. Un renouvellement fait dans les 30 jours n’a aucun frais de remise en vigueur. Guide de l’utilisateur 19 Service et support Guide de l’utilisateur 20 4 Mise en route Avant de commencer Avant de commencer le processus d’installation, assurez-vous d’effectuer les tâches décrites dans les rubriques suivantes. Note Dans ces instructions d’installation, nous supposons que votre périphérique WatchGuard dispose d’une interface approuvée, d’une interface externe et d’une interface configurées. Pour configurer des interfaces supplémentaires sur le périphérique WatchGuard, utilisez les outils et procédures de configuration décrits dans les rubriques Configuration réseauet Configuration. Vérifier les composants de base Assurez-vous de disposer des éléments suivants : n n n Un ordinateur doté d’une carte d’interface réseau Ethernet 10/100BaseT et d’un navigateur Web Un périphérique WatchGuard Firebox ou XTM Un câble série (bleu) Uniquement pour les modèles Firebox X Core, Peak et WatchGuard XTM n un câble inverseur Ethernet (rouge) Uniquement pour les modèles Firebox X Core, Peak et WatchGuard XTM n n Un câble Ethernet droit (vert) Câble d’alimentation ou adaptateur courant alternatif Guide de l’utilisateur 21 Mise en route Obtenir une clé de fonctionnalité pour périphérique WatchGuard Pour activer toutes les fonctionnalités sur votre périphérique WatchGuard, vous devez enregistrer le périphérique sur le site Web WatchGuard LiveSecurity et obtenir une clé de fonctionnalité. Tant que vous n’avez pas appliqué votre clé de fonctionnalité, vous ne disposez que d’une seule licence d’utilisateur (licence par siège) pour Firebox. Si vous procédez à l’enregistrement de votre périphérique WatchGuard avant d’utiliser l’assistant Quick Setup Wizard, vous pouvez coller une copie de votre clé de fonctionnalité dans l’assistant. L’assistant l’applique ensuite à votre périphérique. Si vous ne collez pas votre clé de fonctionnalité dans l’assistant, vous pouvez le fermer. Mais tant que vous n’aurez pas ajouté votre clé de fonctionnalité, une seule connexion à Internet sera autorisée. Vous obtenez également une nouvelle clé de fonctionnalité pour tout produit ou service facultatif que vous achetez. Après que vous ayez enregistré votre périphérique WatchGuard ou toute autre nouvelle fonctionnalité, vous pouvez synchroniser la clé de fonctionnalité de votre périphérique WatchGuard avec les clés de fonctionnalité stockées dans votre profil d’enregistrement sur le site WatchGuard LiveSecurity. Vous pouvez utiliser Fireware XTM Web UI à n’importe quel moment pour vous procurer votre clé de fonction. Pour apprendre comment enregistrer votre périphérique WatchGuard et obtenir une clé de fonctionnalité, cf. Obtenir une clé de fonctionnalité auprès de LiveSecurity à la page 54. Collecter les adresses réseau Nous vous recommandons d’enregistrer vos informations réseau avant et après la configuration de votre périphérique WatchGuard. Utilisez le premier tableau pour vos adresses IP réseau avant la mise en service du périphérique. Pour de plus amples informations sur l’identification de vos adresses IP réseau, cf. Identifier vos paramètres réseau à la page 36. WatchGuard utilise la notation de barre oblique pour indiquer le masque de sous-réseau. Pour plus d’informations, voir À propos de la notation de barre oblique à la page 4. Pour de plus amples informations sur les adresses IP, cf. À propos de Adresses IP à la page 3. Tableau 1 : Adresses IP réseau sans le périphérique WatchGuard Réseau étendu (WAN) _____._____._____._____ / ____ Passerelle par défaut _____._____._____._____ Réseau local (LAN) _____._____._____._____ / ____ Réseau secondaire (le cas échéant) _____._____._____._____ / ____ Serveur(s) public(s) (le cas échéant) _____._____._____._____ _____._____._____._____ _____._____._____._____ 22 WatchGuard System Manager Mise en route Utilisez le deuxième tableau pour vos adresses IP réseau après la mise en service du périphérique WatchGuard. Interface externe Assure la connexion au réseau externe (en général Internet) non approuvé. Interface approuvée Assure la connexion au réseau local privé ou au réseau interne que vous voulez protéger. Interface(s) facultative(s) Se connecte généralement à une zone de confiance mixte de votre réseau, comme des serveurs dans une DMZ (zone démilitarisée). Vous pouvez utiliser des interfaces facultatives pour créer des zones sur votre réseau disposant de différents niveaux d’accès. Tableau 2 : Adresses IP réseau avec le périphérique WatchGuard Passerelle par défaut _____._____._____._____ Interface externe _____._____._____._____/ ____ Interface approuvée _____._____._____._____ / ____ Interface facultative _____._____._____._____ / ____ Réseau secondaire (le cas échéant) _____._____._____._____ / ____ Sélectionnez un pare-feu. mode de configuration Vous devez décider du mode de connexion du périphérique WatchGuard sur votre réseau avant de démarrer l’assistant Quick Setup Wizard. Le mode d’installation du périphérique détermine la configuration des interfaces. Lorsque vous connectez le périphérique, sélectionnez le mode de configuration (routé ou d’insertion) qui correspond le mieux aux besoins de votre réseau actuel. De nombreux réseaux fonctionnent de manière optimale avec une configuration routée, mais nous recommandons le mode d’insertion dans les cas suivants : n n Vous avez déjà affecté un grand nombre d’adresses IP statiques et vous ne souhaitez pas modifier votre configuration réseau. Vous ne pouvez pas configurer avec des adresses IP privées les ordinateurs sur vos réseaux approuvés et facultatifs qui ont des adresses IP publiques. Ce tableau et les descriptions qui suivent illustrent trois conditions qui peuvent vous aider à sélectionner un mode de configuration de pare-feu. Mode de routage mixte Mode d’insertion Toutes les interfaces du périphérique WatchGuard Toutes les interfaces du périphérique WatchGuard se trouvent sur le même réseau et disposent d’une se trouvent sur des réseaux différents. adresse IP identique. Les interfaces approuvées et facultatives doivent être sur différents réseaux. Chaque interface Guide de l’utilisateur Les ordinateurs des interfaces approuvées ou 23 Mise en route Mode de routage mixte Mode d’insertion possède une adresse IP sur son réseau. facultatives peuvent avoir une adresse IP publique. Utilisez la traduction d’adresses réseau (NAT) statique pour mapper les adresses publiques aux adresses privées derrière les interfaces approuvées ou facultatives. Les ordinateurs qui ont un accès public ayant des adresses IP publiques, aucune traduction NAT n’est nécessaire. Pour de plus amples informations sur le mode d’insertion, cf. À propos de la configuration du réseau en mode d’insertion à la page 94. Pour de plus amples informations sur le routage mixte, cf. Mode de routage mixte à la page 86. Le périphérique WatchGuard prend également en charge un troisième mode de configuration appelé mode pont. Il s’agit de l’option la moins couramment utilisée. Pour de plus amples informations sur le mode pont, cf. Mode pont à la page 99. Note Vous pouvez utiliser l’assistant Web Setup Wizard ou l’assistant WSM Quick Setup Wizard pour créer votre configuration de base. Lorsque vous exécutez l’assistant Web Setup Wizard, la configuration du pare-feu est automatiquement configurée en mode routage mixte. Lorsque vous exécutez l’assistant WSM Quick Setup Wizard, vous pouvez configurer le périphérique en mode routage mixte ou en mode d’insertion. Vous pouvez désormais démarrer l’assistant Quick Setup Wizard. Pour plus d’informations, voir À propos de l’Assistant Quick Setup Wizard à la page 24. À propos de l’Assistant Quick Setup Wizard Vous pouvez utiliser la Assistant Quick Setup Wizard pour créer une configuration de base pour le périphérique WatchGuard. Ce dernier utilise ce fichier de configuration de base lors de son premier démarrage. Il peut ainsi fonctionner comme un pare-feu de base. Vous pouvez appliquer cette même procédure chaque fois que vous souhaitez réinitialiser le périphérique WatchGuard avec une nouvelle configuration de base. Ce système est pratique pour la récupération système. Lorsque vous configurez le périphérique WatchGuard avec l’assistant Quick Setup Wizard, vous définissez uniquement les stratégies de base (trafic sortant TCP et UDP, filtre de paquets FTP, ping et WatchGuard) et les adresses IP des interfaces. Si vous avez d’autres applications logicielles et davantage de trafic réseau que le périphérique WatchGuard doit inspecter, vous devez : n n n Configurer les stratégies sur le périphérique WatchGuard pour laisser passer le trafic nécessaire Définir les hôtes approuvés et les propriétés pour chaque stratégie Équilibrer les exigences pour protéger votre réseau contre les exigences de vos utilisateurs pour se connecter aux ressources externes Pour de plus amples informations sur la façon d’exécuter l’assistant à partir du Web, cf. Exécuter l’Assistant Web Setup Wizard à la page 25. 24 WatchGuard System Manager Mise en route Exécuter l’Assistant Web Setup Wizard Note Ces instructions concernent l’assistant Web Setup Wizard sur un Firebox exécutant Fireware XTM v11.0 ou ultérieure. Si votre périphérique WatchGuard utilise une version antérieure du logiciel, vous devez le mettre à jour vers Fireware XTM avant de suivre ces instructions. Reportez-vous aux Notes de version pour obtenir des instructions de mise à niveau pour votre modèle de Firebox. Vous pouvez utiliser l’assistant Web Setup Wizard pour une configuration de base sur n’importe quel périphérique Firebox X e-Series ou WatchGuard XTM. L’assistant Web Setup Wizard configure automatiquement le Firebox pour le mode routage mixte. Pour utiliser l’assistant Web Setup Wizard, vous devez établir une connexion réseau directe avec le périphérique WatchGuard et utiliser un navigateur Web pour démarrer l’assistant. Lorsque vous configurez votre périphérique WatchGuard, ce dernier utilise le protocole DHCP pour envoyer une nouvelle adresse IP à votre ordinateur. Avant de démarrer l’assistant Web Setup Wizard, assurez-vous d’avoir : n n Enregistré votre périphérique WatchGuard auprès de LiveSecurity Service ; Stocké une copie de la clé de fonctionnalité de votre périphérique WatchGuard dans un fichier texte sur votre ordinateur. Démarrer l’assistant Web Setup Wizard 1. Utilisez le câble Ethernet inverseur rouge fourni avec Firebox pour connecter la station de gestion à l’interface approuvée de Firebox. n n L’interface approuvée pour un Firebox X Core, Peak e-Series ou un périphérique XTM est le numéro d’interface 1. Pour un Firebox X Edge e-Series, l’interface approuvée est LAN0 2. Raccordez le câble d’alimentation à l’entrée d’alimentation du périphérique WatchGuard et à une source d’alimentation. 3. Démarrez le système Firebox en mode paramètres par défaut. Sur les modèles Core, Peak et XTM, ce mode est connu sous le nom de mode sans échec. Pour plus d’informations, voir Rétablir une configuration antérieure d’un périphérique Firebox ou XTM ou créer une nouvelle configuration à la page 50. 4. Assurez-vous que votre ordinateur est configuré pour accepter les adresses IP affectées par le biais du protocole DHCP. Si votre ordinateur est sous Windows XP : n n n n Dans le menu Démarrer de Windows, sélectionnez Tous les programmes > Panneau de configuration > Connexions réseau > Connexions au réseau local . Cliquez sur Propriétés. Sélectionnez Protocole Internet (TCP/IP) et cliquez sur Propriétés. Assurez-vous que l’option Obtenir une adresse IP automatiquement est sélectionnée. Pour obtenir des instructions plus détaillées, cf. Identifier vos paramètres réseau à la page 36. Guide de l’utilisateur 25 Mise en route 5. Si votre navigateur utilise un serveur proxy HTTP, vous devez momentanément désactiver le paramètre de proxy HTTP dans votre navigateur. Pour plus d’informations, voir Désactiver les proxys HTTP dans le navigateur à la page 40. 6. Ouvrez un navigateur Web et entrez l’adresse IP par défaut de l’interface 1. Pour un Firebox X Core ou Peak ou pour un périphérique WatchGuard XTM, l’adresse IP est : https://10.0.1.1:8080 . Pour un Firebox X Edge, l’adresse est : https://192.168.111.1:8080 . Si vous utilisez Internet Explorer, assurez-vous d’entrer https:// au début de l’adresse IP. Une connexion HTTP sécurisée est alors établie entre votre station de gestion et le périphérique WatchGuard. L’assistant Web Setup Wizard démarre automatiquement. 7. Connectez-vous en utilisant les informations d’identification par défaut du compte administrateur : Nom d’utilisateur : admin Mot de passe : lecture/écriture 8. Passez aux écrans suivants et terminez l’assistant. L’assistant Web Setup Wizard inclut les boîtes de dialogue suivantes. Certaines d’entre elles ne s’affichent que si vous sélectionnez certaines méthodes de configuration : Connexion Connectez-vous en utilisant les informations d’identification par défaut du compte administrateur. Pour le Nom d’utilisateur, sélectionnez admin. Pour un Mot de passe, utilisez le mot de passe : lecture/écriture. Bienvenue Le premier écran vous présente l’assistant. Sélectionnez un type de configuration. Choisissez de créer une nouvelle configuration ou de restaurer une configuration à partir d’une image de sauvegarde enregistrée. Contrat de licence Vous devez accepter les termes du contrat de licence pour passer aux étapes suivantes de l’assistant. Récupérer la clé de fonctionnalité, appliquer la clé de fonctionnalité, options de clé de fonctionnalité. Si votre Firebox ne possède pas déjà une clé de fonctionnalité, l’assistant vous propose de télécharger ou d’importer une clé de fonctionnalité. L’assistant ne peut télécharger une clé de fonctionnalité que s’il peut se connecter à Internet. Si vous avez téléchargé une copie locale de la clé de fonctionnalité sur votre ordinateur, vous pouvez la coller dans l’assistant installation. Si le Firebox n’est pas connecté à Internet lorsque vous exécutez l’assistant, et que vous n’avez pas enregistré le périphérique ni téléchargé la clé de fonctionnalité sur votre ordinateur avant de lancer l’assistant, vous pouvez choisir de ne pas appliquer de clé de fonctionnalité. 26 WatchGuard System Manager Mise en route Avertissement Si vous n’appliquez pas de clé de fonctionnalité dans l’assistant Web Setup Wizard, vous devez enregistrer le périphérique et appliquer la clé de fonctionnalité dans Fireware XTM Web UI. La fonctionnalité du périphérique est limitée jusqu’à ce que vous appliquiez une clé de fonctionnalité. Configurez l’interface externe de votre Firebox. Sélectionnez la méthode utilisée par votre fournisseur de services Internet pour affecter votre adresse IP. Vous pouvez choisir entre les protocoles DHCP ou PPPoE, ou bien une adresse IP statique. Configurer l’interface externe pour DHCP Entrez votre identification DHCP, telle que fournie par votre fournisseur de services Internet. Configurer l’interface externe pour PPPoE Entrez vos informations PPPoE, telles que fournies par votre fournisseur de services Internet. Configurer l’interface externe à l’aide d’une adresse IP statique. Entrez vos informations d’adresse IP statique, telles que fournies par votre fournisseur de services Internet. Configurer les serveurs DNS et WINS Entrez les adresses des serveurs des DNS et WINS de domaine que vous souhaitez que Firebox utilise. Configurer l’interface approuvée de Firebox Entrez l’adresse IP de l’interface approuvée. De manière facultative, vous pouvez activer l’option Serveur DHCP de l’interface approuvée. Connexion sans fil (Firebox X Edge e-Series Wireless uniquement) Définissez la région d’utilisation, le canal et le mode sans fil. La liste des régions d’exploitation sans fil que vous pouvez sélectionner peut différer selon l’endroit où vous avez acheté Firebox. Pour plus d’informations, voir Présentation des paramètres paramètres de radio sans fil sur Firebox X Edge e-Series à la page 184. Créez des mots de passe pour votre périphérique. Entrez un mot de passe d’état (lecture seule) et de compte de gestion administrateur (lecture/écriture) sur Firebox. Activer la gestion à distance Activez la gestion à distance si vous voulez gérer ce périphérique à partir de l’interface externe. Ajoutez les informations de contact sur votre périphérique. Guide de l’utilisateur 27 Mise en route Vous pouvez entrer un nom de périphérique, un emplacement et des informations de contact pour enregistrer des informations de gestion pour ce périphérique. Par défaut, le nom de périphérique est défini selon le numéro de modèle de Firebox. Nous vous recommandons de choisir un nom unique que vous pouvez utiliser pour identifier facilement ce périphérique, en particulier si vous utilisez la gestion à distance. Définissez le fuseau horaire. Sélectionnez le fuseau horaire correspondant à l’emplacement de Firebox. L’Assistant Quick Setup Wizard est terminé. Une fois l’Assistant terminé, le périphérique WatchGuard redémarre. Si vous laissez l’Assistant Web Setup Wizard en veille pendant plus de 15 minutes, vous devez revenir à l’étape 3 et recommencer. Note Si vous modifiez l’adresse IP de l’interface approuvée, vous devez modifier vos paramètres réseau de sorte que votre adresse IP corresponde au sous-réseau du réseau approuvé avant de vous connecter à Firebox. Si vous utilisez le protocole DHCP, redémarrez votre ordinateur. Si vous utilisez l’adressage statique, cf. Utiliser une adresse IP statique à la page 39. Après l’exécution de l’assistant Après l’exécution de l’assistant, le périphérique WatchGuard est configuré avec une configuration de base qui inclut quatre stratégies (trafic TCP sortant, filtre de paquets FTP, ping et WatchGuard) et les adresses IP d’interface que vous avez spécifiées. Vous pouvez utiliser Fireware XTM Web UI. pour développer ou modifier la configuration du périphérique WatchGuard. n n Pour obtenir des informations sur la façon de mener à bien l’installation de votre périphérique WatchGuard, une fois l’assistant Web Setup Wizard terminé, cf. Terminer votre installation à la page 33. Pour des informations concernant la connexion Fireware XTM Web UI., cf. Se connecter à Fireware XTM Web UI à la page 29. Si vous rencontrez des problèmes avec l’assistant Si l’assistant Web Setup Wizard ne parvient pas à installer le logiciel système Fireware sur le périphérique WatchGuard, le délai d’attente de l’assistant expire. Si vous rencontrez des problèmes avec l’assistant, vérifiez les points suivants : n Le fichier d’application Fireware XTM que vous avez téléchargé sur le site Web LiveSecurity pourrait être endommagé. Si l’image logicielle est endommagée, le message suivant s’affiche sur l’interface LCD d’un Firebox X Core, Peak ou XTM : File Truncate Error (Erreur - Fichier tronqué) Si ce message s’affiche, téléchargez de nouveau le logiciel et réessayez d’exécuter l’assistant. n Si vous utilisez Internet Explorer 6, effacez le cache de fichiers dans votre navigateur Web et réessayez. Pour effacer le cache, dans Internet Explorer, sélectionnez Outils > Options Internet > Supprimer les fichiers. 28 WatchGuard System Manager Mise en route Se connecter à Fireware XTM Web UI Pour vous connecter à Fireware XTM Web UI, vous utilisez un navigateur Web pour accéder à l'adresse IP de l'interface facultative ou approuvée du périphérique WatchGuard via le numéro de port correct. Les connexions à l'IU Web sont toujours chiffrées avec HTTPS ; le même type de chiffrement hautement sécurisé qu'utilisent les sites Internet bancaires et commerciaux. Vous devez utiliser https à la place de http lorsque vous saisissez l'URL dans la barre d'adresse de votre navigateur. Par défaut, le port utilisé par l'IU Web est 8080. L'URL permettant de vous connecter à l'IU Web dans votre navigateur est : https://<firebox-ip-address>:8080 Où <firebox-ip-address> est l'adresse IP assignée à l'interface approuvée ou facultative. En établissant cette connexion, le navigateur charge l'invitation de connexion. L'URL par défaut pour l'interface approuvée est différente pour Edge que pour les autres modèles de Firebox. n n L'URL par défaut pour un périphérique Firebox X Core, Peak, ou WatchGuard XTM est https://10.0.1.1:8080 . L’URL par défaut pour un Firebox X Edge est https://192.168.111.1:8080 . Vous pouvez également modifier l’adresse IP du réseau approuvé. Pour plus d’informations, voir Paramètres d’interface standard à la page 100. Par exemple, pour utiliser l'URL par défaut pour vous connecter à une Firebox X Edge : 1. Ouvrez votre navigateur Web. 2. Dans la barre d'adresse ou d'emplacement, tapez https://192.168.111.1:8080 et appuyez sur Entrée. Une notification de certificat de sécurité apparaît dans le navigateur. 3. Lorsque vous voyez s'afficher l'avertissement de certificat, cliquez sur Continuer vers ce site Web (IE 7) ou Ajouter une exception (Firefox 3). Cet avertissement s'affiche car le certificat utilisé par le périphérique WatchGuard est signé par l'autorité de certification WatchGuard, qui ne se trouve pas sur la liste d'autorités approuvées de votre navigateur. Note Cet avertissement s’affiche chaque fois que vous vous connectez au périphérique WatchGuard sauf si vous acceptez définitivement le certificat, ou générez et importez un certificat pour le périphérique à utiliser. Pour plus d’informations, voir À propos des certificats à la page 395. 4. Dans la liste déroulante Nom d'utilisateur, sélectionnez un nom d'utilisateur. Guide de l’utilisateur 29 Mise en route 5. Dans le champ Mot de passe, tapez le mot de passe. n n Si vous choisissez le nom d'utilisateur admin, tapez le mot de passe de configuration (lectureécriture). Si vous choisissez l'état Nom d'utilisateur, tapez le mot de passe d'état (lecture uniquement). Note Par défaut, la configuration de la Firebox permet uniquement les connexions à Fireware XTM Web UI depuis les réseaux approuvés et facultatifs. Pour modifier la configuration afin d'autoriser les connexions avec l'IU Web depuis le réseau externe, voir Connexion avec Fireware XTM Web UI depuis un réseau externe à la page 30. Connexion avec Fireware XTM Web UI depuis un réseau externe La configuration du périphérique Fireware XTM comporte une stratégie appelée IU Web WatchGuard. Cette stratégie définit quelles interfaces Firebox peuvent se connecter à Fireware XTM Web UI. Par défaut, cette stratégie autorise uniquement les connexions depuis des réseaux Tout-Approuvé et Tout-Facultatif. Si vous souhaitez autoriser l'accès à l'IU Web depuis le réseau externe, vous devez modifier la stratégie de l'IU Web Watchguard et ajouter Tout-Externeà la liste De. Dans Fireware XTM Web UI : 1. 2. 3. 4. 5. 6. 7. Sélectionnez Pare-feu > Stratégies de pare-feu. Double-cliquez sur la stratégie IU Web WatchGuard pour la modifier. Cliquez sur l'onglet Stratégie. Dans la section De, cliquez sur Ajouter. Sélectionnez Tout-Externe. Cliquez sur OK. Cliquez sur Enregistrer. À propos de Fireware XTM Web UI L'interface utilisateur Web de Fireware XTM vous permet de surveiller et de gérer tout périphérique utilisant Fireware XTM version 11 ou ultérieure sans avoir à installer de logiciels supplémentaires sur votre ordinateur. Le seul logiciel requis est un navigateur prenant en charge Adobe Flash. 30 WatchGuard System Manager Mise en route Aucune installation de logiciel n'étant nécessaire, vous pouvez utiliser l'IU Web depuis n'importe quel ordinateur possédant une connectivité TCP/IP et un navigateur. Cela signifie que vous pouvez administrer votre Firebox depuis un ordinateur fonctionnant sous Windows, Linux, Mac OS ou toute autre plateforme, du moment qu'il est équipé d'un navigateur prenant en charge Adobe Flash 9 et d'une connectivité réseau. L'IU Web est un outil de gestion en temps réel. Cela signifie que, lorsque vous utilisez l'IU Web pour modifier un périphérique, vos modifications prennent en général effet immédiatement. L'IU Web ne vous permet pas de créer une liste de modifications vers un fichier de configuration enregistré en local afin d'envoyer ultérieurement plusieurs modifications en même temps vers le périphérique. Cet outil est donc différent de Fireware XTM Policy Manager, qui est un outil de configuration hors ligne. Les modifications apportées à un fichier de configuration enregistré en local à l'aide de Policy Manager ne prennent pas effet tant que vous n'avez pas enregistré la configuration sur le périphérique. Note Vous devez effectuer les étapes de l’assistant Quick Setup Wizard pour pouvoir afficher Fireware XTM Web UI. Pour plus d’informations, voir Exécuter l’Assistant Web Setup Wizard à la page 25. Par ailleurs, vous devez utiliser un compte bénéficiant de tous les droits d’accès administratifs pour afficher et modifier les pages de configuration. Sur la gauche de Fireware XTM Web UI se trouve la barre de navigation principale permettant de sélectionner tout un ensemble de pages de configuration. L'élément situé en haut de la barre de navigation est le tableau de bord, qui vous renvoie à la page du tableau de bord de Fireware XTM que vous voyez lorsque vous vous connectez initialement à l'IU Web de Fireware XTM. Tous les autres éléments de la barre de navigation comportent des options de menu secondaires permettant de configurer les propriétés de cette fonctionnalité. n n Pour afficher ces options de menu secondaires, cliquez sur un nom d'option de menu. Par exemple, si vous cliquez sur Authentification, les options de menu secondaires suivantes s'affichent : Serveurs, Paramètres, Utilisateurs et groupes, Certificat de serveur Web et Single Sign-On. Pour masquer les options de menu secondaires, cliquez à nouveau sur l'option de menu supérieure. Guide de l’utilisateur 31 Mise en route Pour indiquer qu'il s'agit d'options de menu à développer ou à cliquer, la documentation utilise le symbole flèche droite (>). Les noms de menus sont en gras. Par exemple, la commande pour ouvrir la page des Paramètres d'authentification apparaît dans le texte sous la forme Authentification > Paramètres. Sélectionnez la langue de l’interface Fireware XTM Web UI L’interface utilisateur Fireware XTM Web UI prend en charge cinq langues. La langue sélectionnée apparaît en haut de chaque page. Pour changer la langue : 1. Cliquez sur la langue souhaitée. La liste déroulante des langues disponibles s’affiche. 2. Sélectionnez la langue dans la liste. L’interface Fireware XTM Web UI apparaît dans la langue sélectionnée. Limitations de Fireware XTM Web UI Vous pouvez utiliser Fireware XTM Web UI, WatchGuard System Manager et Fireware XTM Command Line Interface (CLI) pour configurer et surveiller votre périphérique Fireware XTM. Si vous souhaitez modifier le fichier de configuration d’un périphérique, vous pouvez utiliser n’importe lequel de ces programmes. Cependant, un certain nombre de modifications de configuration de périphérique ne peuvent pas être effectuées avec Fireware XTM Web UI. Vous pouvez réaliser certaines tâches dans Policy Manager, mais pas dans Web UI, par exemple : n n n n n n n n n n n n 32 Afficher ou configurer des options avancées de proxy n L’affichage avancé des types de contenus proxy n’est pas disponible. n D’autres options de configuration de proxy ne sont pas disponibles (varie selon le proxy). Modifier les règles NAT statiques (ajout et suppression uniquement) Exporter un certificat ou afficher les détails d’un certificat (importation de certificats uniquement) Activer la journalisation de diagnostic ou modifier les niveaux de journal diagnostic Modifier la journalisation des options de gestion des paquets par défaut Activer ou désactiver la notification d’événements BOVPN Ajouter ou supprimer des entrées ARP statiques dans la table ARP du périphérique Obtenir manuellement le fichier de configuration Mobile VPN with SSL Obtenir la configuration client utilisateur final Mobile VPN with IPSec chiffrée (.wgx) (vous pouvez uniquement obtenir le fichier .ini équivalent, mais non chiffré) Modifier le nom d’une stratégie Ajouter une adresse personnalisée à une stratégie Utiliser un nom d’hôte (recherche DNS) pour ajouter une adresse IP à une stratégie WatchGuard System Manager Mise en route n n Utilisez l’administration basée sur des rôles (appelée aussi contrôle d’accès à base de rôles) Afficher ou modifier la configuration d’un périphérique membre d’un FireCluster Le groupe d’applications livré avec le gestionnaire WatchGuard System Manager comporte de nombreux autres outils de surveillance et de rapport. Certaines fonctions proposées par HostWatch, LogViewer, Report Manager et WSM ne sont pas non plus disponibles dans Web UI. Pour utiliser certaines fonctionnalités de Fireware XTM liées aux serveurs WatchGuard, vous devez installer WatchGuard Server Center. Vous n’avez pas besoin d’utiliser le gestionnaire WatchGuard System Manager pour installer WatchGuard Server Center. Vous pouvez utiliser WatchGuard Server Center pour configurer les serveurs WatchGuard suivants : n n n n n Management Server Log Server Report Server Quarantine Server WebBlocker Server Pour savoir comment configurer les fonctionnalités non prises en charge par Web UI ou pour savoir comment utiliser WatchGuard Server Center, référez-vous à l’aide de Fireware XTM WatchGuard System Manager version 11 à l’adresse http://www.watchguard.com/help/docs/wsm/11/fr-FR/index.html. Pour en savoir plus sur l’interface CLI, reportez-vous à la documentation WatchGuard Command Line Interface Reference à l’adresse http://www.watchguard.com/help/documentation. Terminer votre installation Une fois que vous avez terminé Web Setup Wizard vous devez terminer l’installation de votre périphérique WatchGuard sur votre réseau. 1. Placez le périphérique WatchGuard dans son emplacement physique permanent. 2. Assurez-vous que la passerelle de la station de gestion et du reste du réseau approuvé est l’adresse IP de l’interface approuvée de votre périphérique WatchGuard. 3. Pour connecter votre périphérique WatchGuard à Fireware XTM Web UI, ouvrez un navigateur Web et entrez : https://[adresse IP de l’interface approuvée du périphérique WatchGuard]:8080 . n n L’URL par défaut pour un périphérique Firebox X Core, Peak, ou XTM est https://10.0.1.1:8080 . L’URL par défaut pour un Firebox X Edge est https://192.168.111.1:8080 . Pour plus d’informations, voir Se connecter à Fireware XTM Web UI à la page 29. 4. Si vous utilisez une configuration routée, veillez à modifier la passerelle par défaut sur tous les ordinateurs qui se connectent sur votre périphérique WatchGuard afin qu’elle corresponde à l’adresse IP de l’interface approuvée du périphérique WatchGuard. 5. Personnalisez votre configuration conformément aux besoins de sécurité de votre entreprise. Pour de plus amples informations, reportez-vous à la rubrique suivante Personnaliser votre stratégie de sécurité. Guide de l’utilisateur 33 Mise en route Personnalisez votre stratégie de sécurité Votre stratégie de sécurité contrôle qui peut rentrer et sortir du réseau et détermine les autorisations d’accès des utilisateurs de votre réseau. Le fichier de configuration du périphérique WatchGuard gère les stratégies de sécurité. Lorsque vous avez terminé l’assistant Quick Setup Wizard, le fichier de configuration que vous avez créé ne constituait qu’une configuration de base. Vous pouvez modifier un fichier de configuration pour aligner la stratégie de sécurité aux conditions de sécurité de votre entreprise. Vous pouvez ajouter des stratégies de filtre de paquets et de proxy afin de définir ce qui est autorisé à pénétrer et à sortir de votre réseau. Chaque stratégie peut avoir un effet sur votre réseau. Les stratégies qui augmentent la sécurité du réseau peuvent diminuer les possibilités d’accès au réseau. Les stratégies qui augmentent les possibilités d’accès au réseau peuvent rendre le réseau plus vulnérable. Pour de plus amples informations sur les stratégies, cf. À propos des stratégies à la page 257. Pour une nouvelle installation, nous recommandons d’utiliser uniquement des stratégies de filtre de paquets, jusqu’à ce que tous vos systèmes fonctionnent correctement. Si nécessaire, vous pouvez ajouter des stratégies de proxy. À propos de LiveSecurity Service Vote périphérique WatchGuard inclut un abonnement à LiveSecurity Service Votre abonnement vous permet : n n n n n n De vous assurer que vous bénéficiez de la protection réseau la plus à jour avec les mises à niveau logicielles les plus récentes ; De trouver des solutions à vos problèmes, grâce à un accès complet aux ressources de support technique ; D’éviter les interruptions de service avec des messages et une aide sur la configuration pour les problèmes de sécurité les plus récents ; D’en savoir plus sur la sécurité réseau grâce aux ressources de formation ; D’étendre la sécurité de votre réseau à l’aide de logiciels et autres fonctionnalités ; D’étendre la garantie de votre matériel avec un remplacement avancé. Pour de plus amples informations concernant LiveSecurity Service, cf. À propos de Assistance WatchGuard à la page 17. Rubriques d’installation supplémentaires Se connecter à Firebox avec Firefox v3 Les navigateurs Web s’assurent que le dispositif de l’autre côté d’une connexion HTTPS est bien celui que vous attendez à l’aide de certificats. Lorsqu’un certificat est autosigné, et en cas de conflit entre l’adresse IP ou nom d’hôte demandé et l’adresse IP ou nom d’hôte du certificat, les utilisateurs reçoivent une alerte. Par défaut, votre Firebox emploie un certificat autosigné dont vous pouvez vous servir pour configurer rapidement votre réseau. En revanche, quand les utilisateurs se connectent à Firebox sur navigateur Web, un message d’avertissement Échec de la connexion sécurisée apparaît. 34 WatchGuard System Manager Mise en route Pour éviter de voir ce message s’afficher, nous vous recommandons d’ajouter à votre configuration un certificat valide signé par une autorité de certification. Ce certificat d’autorité de certification peut également servir à renforcer la sécurité de l’authentification VPN. Pour plus d’informations sur l’utilisation de dispositifs Firefox, voir À propos des certificats à la page 395. Si vous continuez avec un certificat autosigné par défaut, vous pouvez ajouter une exception pour le Firebox de chaque ordinateur client. La plupart des navigateurs Web récents comportent un lien sur le message d’alerte permettant à l’utilisateur de cliquer pour permettre la connexion. Si votre établissement utilise Mozilla Firefox v3, les utilisateurs doivent ajouter une exception de certificat permanente avant de se connecter au Firebox. Font partie des actions imposant une exception : n n n n À propos de l’authentification des utilisateurs Installer et connecter le client Mobile VPN with SSL Exécuter l’Assistant Web Setup Wizard Se connecter à Fireware XTM Web UI Font partie des URL imposant une exception : https:// Adresse IP ou nom d’hôte d’une interface Firebox:8080 https://adresse IP/nom d’hôte d’interface Firebox :4100 https://adresse IP ou nom d’hôte de Firebox:4100/sslvpn.html Ajouter une exception de certificat permanente à Mozilla Firefox v3. Si vous ajoutez une exception à Firefox v3 pour le Firebox Certificate, le message d’alerte ne s’affichera plus lors des connexions suivantes. Vous devez ajouter une exception indépendante pour chaque adresse IP, nom d’hôte et port utilisé pour connexion au Firebox. Par exemple, une exception utilisant un nom d’hôte ne fonctionnera pas correctement en cas de connexion avec une adresse IP. Parallèlement, une exception spécifiant le port 4100 n’est pas applicable à une connexion sans aucun port spécifié. Note Une exception de certificat ne nuit pas à la sécurité de votre ordinateur. Tout le trafic réseau entre votre ordinateur et le dispositif WatchGuard reste chiffré par protocole SSL. Il existe deux méthodes d’ajout d’exception. Vous devez être capable d’envoyer du trafic au Firebox pour ajouter une exception. n n Cliquez sur le lien du message Échec de la connexion sécurisée. Utilisez une exception de certificat permanente à Firefox v3. Dans le message Échec de la connexion sécurisée : 1. Cliquez sur Ou vous pouvez ajouter une exception. 2. Cliquez sur Ajout d’exceptions. La boîte de dialogue Ajouter une exception de sécurité apparaît. 3. Cliquez sur Obtenir un certificat. 4. Sélectionnez la case Enregistrer cette exception définitivement. 5. Cliquez sur Confirmer exception de sécurité. Ajout d’exceptions multiples : Guide de l’utilisateur 35 Mise en route 1. Dans Firefox, sélectionnez Outils >Options. La boîte de dialogue Options s’affiche. 2. Sélectionnez Avancé. 3. Cliquez sur l’onglet Chiffrement, puis cliquez sur Afficher les certificats. La boîte de dialogue Gestionnaire de certificats s’ouvre. 4. Cliquez sur l’onglet Serveurs, puis sur Ajouter exception. 5. Dans la zone de texte Emplacement, ressaisissez l’URL pour se connecter au Firebox. Les URL les plus fréquentes sont sur la liste ci-dessus. 6. Lorsque l’information de certificat apparaît dans la zone État de certificat, cliquez sur Confirmer exception de sécurité. 7. Cliquez sur OK. Répétez les étapes 4 à 6 pour ajouter d’autres exceptions. Identifier vos paramètres réseau Pour configurer votre périphérique WatchGuard, vous devez connaître certaines informations relatives à votre réseau. Utilisez cette section pour savoir comment identifier vos paramètres réseau. Pour en savoir plus sur les notions fondamentales relatives aux réseaux, cf. À propos des réseaux et de leur sécurité à la page 1. Spécifications relatives à l’adressage réseau Avant de pouvoir démarrer l’installation, vous devez savoir comment votre ordinateur obtient une adresse IP. Votre fournisseur de services Internet (FSI) ou votre administrateur réseau d’entreprise peut vous fournir ces informations. Pour vous connecter à Internet avec le périphérique WatchGuard, appliquez la même méthode que pour la connexion avec votre ordinateur. Si vous connectez votre ordinateur directement à Internet à l’aide d’une connexion haut débit, vous pouvez placer le périphérique WatchGuard entre votre ordinateur et Internet et utiliser la configuration réseau de votre ordinateur afin de configurer l’interface externe du périphérique WatchGuard. Vous pouvez utiliser une adresse IP statique, le protocole DHCP ou le protocole PPPoE pour configurer l’interface externe du périphérique WatchGuard. Pour de plus amples informations sur l’adressage réseau, cf. Configurer une interface externe à la page 86. Un navigateur Web doit être installé sur votre ordinateur. Ce navigateur sert à configurer et à gérer le périphérique WatchGuard. Votre ordinateur doit avoir une adresse IP sur le même réseau que le périphérique WatchGuard. Dans la configuration de paramètres par défaut, le périphérique WatchGuard affecte à votre ordinateur une adresse IP par le biais du protocole DHCP (Dynamic Host Configuration Protocol). Vous pouvez configurer votre ordinateur de façon à utiliser le protocole DHCP, puis vous connecter au périphérique WatchGuard pour le gérer. Vous pouvez affecter à votre ordinateur une adresse IP statique appartenant au même réseau que l’adresse IP approuvée du périphérique WatchGuard. Pour plus d’informations, voir Configurer votre ordinateur pour la connexion à votre périphérique WatchGuard. à la page 38. Trouvez vos propriétés TCP/IP Pour en savoir plus sur les propriétés de votre réseau, examinez les propriétés TCP/IP de votre ordinateur ou de tout autre ordinateur du réseau. Vous devez connaître les éléments suivants pour installer votre périphérique WatchGuard : 36 WatchGuard System Manager Mise en route n n n n n Adresse IP Masque de sous-réseau Passerelle par défaut Votre ordinateur a une adresse IP statique ou dynamique Adresses IP des serveurs DNS primaires et secondaires Note Si votre fournisseur de services Internet affecte à votre ordinateur une adresse IP commençant par 10, 192.168 ou 172.16 à 172.31, cela signifie qu’il utilise la traduction d’adresses réseau (NAT, Network Address Translation) et que votre adresse IP est privée. Nous vous conseillons d'obtenir une adresse IP publique pour votre adresse IP externe de Firebox. Si vous utilisez une adresse IP privée, vous pouvez rencontrer des problèmes avec certaines fonctionnalités, telles que la mise en réseau privé virtuel. Pour rechercher les propriétés TCP/IP du système d'exploitation de votre ordinateur, suivez les instructions figurant dans les sections suivantes. Trouvez vos propriétés TCP/IP sur Microsoft Windows Vista 1. Sélectionnez Démarrer> Programmes > Accessoires > Invite de commande. La boîte de dialogue Invite de boîte de dialogue s’affiche. 2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée. 3. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal. Trouvez vos propriétés TCP/IP sur Microsoft Windows 2000, Windows 2003 et Windows XP 1. Sélectionnez Démarrer > Tous les programmes >Accessoires > Invite de commandes. La boîte de dialogue Invite de boîte de dialogue s’affiche. 2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée. 3. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal. Trouvez vos propriétés TCP/IP sur Microsoft Windows NT 1. Sélectionnez Démarrer > Programmes > Invite de commandes. La boîte de dialogue Invite de boîte de dialogue s’affiche. 2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée. 3. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal. Trouvez vos propriétés TCP/IP sur Macintosh OS 9 1. Sélectionnez le Menu Pomme > Tableaux de bord >TCP/IP. La boîte de dialogue TCP/IP s'affiche. 2. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal. Trouvez vos propriétés TCP/IP sur Macintosh OS X 10.5 1. Sélectionnez le menu Pomme > Préférences système ou cliquez sur l’icône dans le Dock. La boîte de dialogue Préférences système s'affiche. Guide de l’utilisateur 37 Mise en route 2. Cliquez sur l’icône Réseau. Le volet de préférences réseau s’affiche. 3. Sélectionnez la carte réseau utilisée pour la connexion à Internet. 4. Notez les valeurs qui s’affichent pour l'adaptateur réseau. Trouvez vos propriétés TCP/IP sur d’autres systèmes d’exploitation (Unix, Linux) 1. Reportez-vous au guide d’utilisation de votre système d’exploitation pour rechercher les propriétés TCP/IP. 2. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal. Rechercher Paramètres PPPoE De nombreux fournisseurs de services Internet utilisent le protocole PPPoE (Point to Point Protocol over Ethernet), car il est facile à utiliser avec une infrastructure d’accès à distance. Si votre fournisseur de services Internet utilise le protocole PPPoE pour affecter les adresses IP, vous devez obtenir les informations suivantes : n n n Nom de connexion Nom de domaine (facultatif) Mot de passe Configurer votre ordinateur pour la connexion à votre périphérique WatchGuard. Pour pouvoir utiliser l’assistant Web Setup Wizard, vous devez configurer votre ordinateur pour se connecter au périphérique WatchGuard. Vous pouvez configurer votre carte d’interface réseau de façon à utiliser une adresse IP statique ou utiliser le protocole DHCP afin d’obtenir une adresse IP automatiquement. Utiliser le protocole DHCP Si le système d’exploitation de votre ordinateur n’est pas Windows XP, consultez l’aide du système d’exploitation pour obtenir des instructions sur la manière de configurer votre ordinateur pour utiliser le protocole DHCP. Pour configurer un ordinateur sous Windows XP de façon à utiliser le protocole DHCP : 1. Sélectionnez Démarrer > Panneau de configuration. La fenêtre du Panneau de configuration s’affiche. 2. Double-cliquez sur Connexions réseau. 3. Double-cliquez sur l’icône Connexion au réseau local. La fenêtre État de Connexion au réseau local s’affiche. 4. Cliquez sur Propriétés. La fenêtre Propriétés de Connexion au réseau local s’affiche. 5. Double-cliquez sur Protocole Internet (TCP/IP). La boîte de dialogue Propriétés de Protocole Internet (TCP/IP) s’affiche. 6. Sélectionnez les options Obtenir une adresse IP automatiquement et Obtenir l’adresse du serveur DNS automatiquement. 38 WatchGuard System Manager Mise en route 7. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Protocole Internet (TCP/IP). 8. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Connexion au réseau local. 9. Fermez les fenêtres État de Connexion au réseau local, Connexions réseau et Panneau de configuration. Votre ordinateur est prêt à se connecter au périphérique WatchGuard. 10. Lorsque le périphérique WatchGuard est prêt, ouvrez un navigateur Web. 11. Dans la barre d’adresse du navigateur, entrez l’adresse IP de votre périphérique WatchGuard et appuyez sur Entrée. 12. Si un avertissement de certificat de sécurité s’affiche, acceptez le certificat. L’assistant Quick Setup Wizard démarre. Note L’adresse IP par défaut pour un Firebox X Edge est https://192.168.111.1/ . L’adresse IP par défaut pour un Firebox X Core ou Peak, ou pour un périphérique WatchGuard XTM est https://10.0.1.1/ . 13. Exécuter l’Assistant Web Setup Wizard. Utiliser une adresse IP statique Si le système d’exploitation de votre ordinateur n’est pas Windows XP, consultez l’aide du système d’exploitation pour obtenir des instructions sur la manière de configurer votre ordinateur pour l’utilisation d’une adresse IP statique. Vous devez sélectionner une adresse IP sur le même sous-réseau que le réseau approuvé. Pour configurer un ordinateur sous Windows XP de façon à utiliser une adresse IP statique : 1. Sélectionnez Démarrer > Panneau de configuration. La fenêtre du Panneau de configuration s’affiche. 2. Double-cliquez sur Connexions réseau. 3. Double-cliquez sur l’icône Connexion au réseau local. La fenêtre État de Connexion au réseau local s’affiche. 4. Cliquez sur Propriétés. La fenêtre Propriétés de Connexion au réseau local s’affiche. 5. Double-cliquez sur Protocole Internet (TCP/IP). La boîte de dialogue Propriétés de Protocole Internet (TCP/IP) s’affiche. 6. Sélectionnez l’option Utiliser l’adresse IP suivante. 7. Dans le champ Adresse IP, tapez une adresse IP sur le même réseau que l’interface approuvée Firebox. Nous recommandons les adresses suivantes : n n Firebox X Edge — 192.168.111.2 pour Firebox X Core ou Peak ou le périphérique WatchGuard XTM — 10.0.1.2 le réseau d’interface approuvé par défaut pour Firebox X Edge est 192.168.111.0. Le réseau d’interface approuvé par défaut pour un Firebox X Core, Peak ou un périphérique WatchGuard XTM est 10.0.1.0. 8. Dans le champ Masque de sous-réseau, tapez 255.255.255.0 . 9. Dans le champ Passerelle par défaut, tapez l’adresse IP de l’interface approuvée du périphérique WatchGuard. L’adresse d’interface approuvée Edge par défaut est 192.168.111.1. Guide de l’utilisateur 39 Mise en route 10. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Protocole Internet (TCP/IP). 11. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Connexion au réseau local. 12. Fermez les fenêtres État de Connexion au réseau local, Connexions réseau et Panneau de configuration. Votre ordinateur est prêt à se connecter au périphérique WatchGuard. 13. Lorsque le périphérique WatchGuard est prêt, ouvrez un navigateur Web. 14. Dans la barre d’adresse du navigateur, entrez l’adresse IP de votre périphérique WatchGuard et appuyez sur Entrée. 15. Si un avertissement de certificat de sécurité s’affiche, acceptez le certificat. L’assistant Quick Setup Wizard démarre. Note L’adresse IP par défaut pour un Firebox X Edge est https://192.168.111.1/ . L’adresse IP par défaut pour un Firebox X Core, Peak ou pour un périphérique WatchGuard XTM est https://10.0.1.1/ . 16. Exécuter l’Assistant Web Setup Wizard. Désactiver les proxys HTTP dans le navigateur De nombreux navigateurs Web sont configurés de façon à utiliser un serveur proxy HTTP afin d’améliorer la vitesse de téléchargement des pages Web. Pour gérer ou configurer Firebox avec l’interface de gestion Web, votre navigateur doit se connecter directement au périphérique. Si vous utilisez un serveur proxy HTTP, vous devez momentanément désactiver le paramètre de proxy HTTP dans votre navigateur. Vous pouvez activer le paramètre de serveur proxy HTTP dans votre navigateur, une fois Firebox configuré. Utilisez les instructions suivantes pour désactiver le proxy HTTP dans Firefox, Safari ou Internet Explorer. Si vous utilisez un autre navigateur, utilisez son système d’aide pour rechercher les informations nécessaires. De nombreux navigateurs désactivent automatiquement la fonctionnalité de proxy HTTP. Désactiver le proxy HTTP dans Internet Explorer 6.x ou 7.x 1. Ouvrez Internet Explorer. 2. Sélectionnez >Outils Options Internet. La boîte de dialogue Options Internet s’affiche. 3. Cliquez sur l’onglet Connexions. 4. Cliquez sur Paramètres réseau. La boîte de dialogue Paramètres de réseau local s’affiche. 5. Désactivez la case à cocher Utiliser un serveur proxy pour votre réseau local. 6. Cliquez sur OK pour fermer la boîte de dialogue Paramètres de réseau local. 7. Cliquez sur OK pour fermer la boîte de dialogue Options Internet. Désactiver le proxy HTTP dans Firefox 2.x 1. Ouvrez Firefox. 2. Sélectionnez Outils>Options. La boîte de dialogue Options s’affiche. 3. Cliquez sur l’icône Avancé. 4. Cliquez sur l’icône Réseau. Cliquez sur Paramètres. 40 WatchGuard System Manager Mise en route 5. Cliquez sur Paramètres de connexion La boîte de dialogue Paramètres de connexion s’affiche. 6. Assurez-vous que l’option Connexion directe à Internet est sélectionnée. 7. Cliquez sur OK pour fermer la boîte de dialogue Paramètres de connexion. 8. Cliquez sur OK pour fermer la boîte de dialogue Options. Désactiver le proxy HTTP dans Safari 2.0 1. Ouvrez Safari. 2. Sélectionnez Préférences La boîte de dialogue Préférences Safari s’affiche. 3. Cliquez sur l’icône Avancé. 4. Cliquez sur le bouton Modifier les paramètres. La boîte de dialogue Préférence système s’affiche. 5. Désactivez la case à cocher Proxy Web (HTTP). 6. Cliquez sur Appliquer. Guide de l’utilisateur 41 Mise en route Guide de l’utilisateur 42 5 Principes de configuration et de gestion À propos des tâches de base de configuration et de gestion Une fois le périphérique WatchGuard installé sur votre réseau et configuré à partir d’un fichier de configuration de base, vous pouvez commencer à ajouter des paramètres personnalisés. Les rubriques de cette section vous permettent d’effectuer ces tâches de base de gestion et de maintenance. Créer une sauvegarde de l’image Firebox Une image de sauvegarde Firebox consiste en une copie chiffrée et enregistrée de l’image du disque flash obtenue à partir du disque flash Firebox. Cette image inclut le logiciel système Firebox, le fichier de configuration, les licences et les certificats. Vous pouvez enregistrer une image de sauvegarde sur votre ou sur un répertoire réseau. L’image de sauvegarde de Firebox X Edge n’inclut pas le logiciel système Firebox. Il est conseillé de réaliser des sauvegardes régulières de l’image Firebox. Il est également conseillé de créer une image de sauvegarde de Firebox avant d’apporter des modifications importantes à la configuration ou avant de mettre à jour le périphérique ou son logiciel système. 1. Sélectionnez Système > Image de sauvegarde. 2. Entrez et confirmez une clé de chiffrement. Cette clé permet de chiffrer le fichier de sauvegarde. En cas de perte ou d’oubli de cette clé de chiffrement, vous ne serez plus en mesure de restaurer le fichier de sauvegarde. 3. Cliquez sur le bouton Sauvegarder. 4. Sélectionnez l’emplacement de destination du fichier de l’image de sauvegarde et entrez un nom de fichier. L’image de sauvegarde est enregistrée à l’emplacement de votre choix. Guide de l’utilisateur 43 Principes de configuration et de gestion Restaurez un système Firebox. Image de sauvegarde 1. 2. 3. 4. 5. 6. Sélectionnez Système > Restaurer l’image. Cliquez sur Restaurer l’image. Cliquez sur Parcourir. Sélectionnez le fichier d’image de sauvegarde enregistrée. Cliquez sur Ouvrir. Cliquez sur Restaurer. Entrez la clé de chiffrement utilisée à la création de l’image de sauvegarde. Le périphérique Firebox restaure l’image de sauvegarde. Il redémarre et utilise l’image de sauvegarde. Patientez deux minutes avant de vous reconnecter au périphérique Firebox. Si vous ne parvenez pas à restaurer l’image Firebox, vous pouvez réinitialiser le périphérique Firebox. Selon votre modèle Firebox, vous pouvez restaurer les paramètres par défaut d’un périphérique Firebox ou créer une nouvelle configuration à l’aide de l’Assistant Quick Setup Wizard. Pour de plus amples informations, cf. : Rétablir une configuration antérieure d’un périphérique Firebox ou XTM ou créer une nouvelle configuration à la page 50. Utiliser une clé USB pour la sauvegarde et la restauration du système Une image de sauvegarde d’un périphérique WatchGuard XTM consiste en une copie chiffrée et enregistrée de l’image du disque flash obtenue à partir du périphérique XTM. Le fichier de l’image de sauvegarde comprend le système d’exploitation du périphérique XTM, le fichier de configuration, la clé de fonctionnalité et des certificats. Pour les périphériques WatchGuard XTM 2 Series, 5 Series, 8 Series ou XTM 1050, vous pouvez connecter une clé USB ou tout autre dispositif de stockage au port USB du périphérique XTM pour les sauvegardes et restaurations du système. Lorsque vous enregistrez une image de sauvegarde du système sur une clé USB connectée, vous pouvez restaurer votre périphérique XTM vers un état connu plus rapidement. Note Cette fonctionnalité n’est pas disponible sur les périphériques e-Series, car ils ne possèdent pas de port USB. À propos de la clé USB La clé USB doit être formatée à l’aide du système de fichiers FAT ou FAT32. Si la clé USB possède plus d’une partition, Fireware XTM n’utilise que la première. La taille maximale par image de sauvegarde du système est de 30 Mo. Nous vous recommandons d’utiliser une clé USB disposant de suffisamment d’espace pour pouvoir stocker plusieurs images de sauvegarde. Enregistrer une image de sauvegarde sur une clé USB connectée Pour suivre cette procédure, la clé USB doit être connectée à votre périphérique XTM. 44 WatchGuard System Manager Principes de configuration et de gestion 1. Sélectionnez Système > Clé USB. La page Sauvegarder/Restaurer vers clé USB s’affiche. 2. Dans la rubrique Nouvelle image de sauvegarde, tapez un nom de fichier pour l’image de sauvegarde. 3. Entrez et confirmez une clé de chiffrement. Cette clé permet de chiffrer le fichier de sauvegarde. Si vous perdez ou oubliez cette clé de chiffrement, vous ne pourrez pas restaurer le fichier de sauvegarde. 4. Cliquez sur Enregistrer sur clé USB. Une fois l’enregistrement terminé, l’image enregistrée apparaît dans la liste des images de sauvegarde de périphérique disponibles. Restaurer une image de sauvegarde à partir d’une clé USB connectée Pour suivre cette procédure, la clé USB doit être connectée à votre périphérique XTM. 1. Sélectionnez Système > Clé USB. La page Sauvegarder/Restaurer vers clé USB s’affiche. 2. À partir de la liste Images de sauvegarde disponibles, sélectionnez un fichier d’image de sauvegarde à restaurer. Guide de l’utilisateur 45 Principes de configuration et de gestion 3. Cliquez sur Restaurer l’image sélectionnée. 4. Entrez la clé de chiffrement que vous avez utilisée lors de la création de l’image de sauvegarde. 5. Cliquez sur Rétablir. Le périphérique XTM restaure l’image de sauvegarde. Il redémarre, puis utilise l’image de sauvegarde. Restaurer automatiquement une image de sauvegarde à partir d’une clé USB Si une clé USB (dispositif de stockage) est connectée à un périphérique WatchGuard XTM en mode récupération, celui-ci peut restaurer automatiquement l’image sauvegardée précédemment sur la clé. Pour utiliser la fonctionnalité d’autorestauration, vous devez d’abord sélectionner l’image de sauvegarde sur la clé USB que vous souhaitez utiliser pour la restauration. Pour sélectionner cette image de sauvegarde, vous devez utiliser l’interface utilisateur Fireware XTM Web UI, Firebox System Manager ou Fireware XTM Command Line Interface. Vous pouvez utiliser la même image de sauvegarde pour plusieurs périphériques, à condition qu’ils fassent tous partie de la famille de modèles WatchGuard XTM. Par exemple, vous pouvez utiliser une image de sauvegarde enregistrée à partir d’un périphérique XTM 530 pour tout autre périphérique XTM 5 Series. Sélectionner l’image de sauvegarde à utiliser pour l’autorestauration 1. Sélectionnez Système > Clé USB. La page Sauvegarder/Restaurer vers clé USB s’affiche. Les fichiers de l’image de sauvegarde enregistrée apparaissent dans une liste en haut de la page. 2. Dans la liste Images de sauvegarde disponibles, sélectionnez un fichier d’image de sauvegarde. 3. Cliquez sur Utiliser l’image sélectionnée pour l’autorestauration. 4. Entrez la clé de chiffrement utilisée pour créer l’image de sauvegarde. Cliquez sur OK. Le périphérique XTM enregistre une copie de l’image de sauvegarde sélectionnée sur la clé USB. Si vous avez déjà enregistré une image d’autorestauration, le fichier auto-restore.fxi est remplacé par la copie de l’image de sauvegarde sélectionnée. 46 WatchGuard System Manager Principes de configuration et de gestion Avertissement Si votre périphérique XTM utilise une version du système d’exploitation Fireware XTM antérieure à la version 11.3, vous devez mettre à jour l’image logicielle du mode récupération du périphérique vers la version 11.3 pour activer la fonctionnalité d’autorestauration. Reportez-vous aux Notes de version Fireware XTM 11.3 pour obtenir des instructions de mise à niveau. Restaurer l’image de sauvegarde pour un périphérique XTM 5 Series, 8 Series ou XTM 1050 1. Connectezla clé USBsur laquelle figure l’image d’autorestauration àun port USBdu périphérique XTM. 2. Mettez le périphérique XTM hors tension. 3. Pendant que vous mettez le périphérique sous tension, appuyez sur le bouton Flèche vers le haut situé sur le panneau avant du périphérique. 4. Maintenez le bouton enfoncé jusqu’à ce que le message Démarrage du mode récupération apparaisse sur l’affichage LCD. Le périphérique restaure l’image de sauvegarde à partir de la clé USB ; après redémarrage, il utilise automatiquement l’image restaurée. Si la clé USB contient une image d’autorestauration non valide pour cette famille de modèles de périphériques XTM, le périphérique ne redémarre pas mais se lance en mode récupération. Si vous redémarrez à nouveau le périphérique, il utilisera votre configuration actuelle. Lorsque le périphérique est en mode récupération, vous pouvez utiliser l’Assistant WSM Quick Setup Wizard pour créer une nouvelle configuration de base. Pour obtenir des informations sur l’Assistant WSM Quick Setup Wizard, cf. Exécution de l’Assistant WSM Quick Setup Wizard. Restaurer l’image de sauvegarde pour un périphérique XTM 2 Series 1. Connectez la clé USB sur laquelle figure l’image d’autorestauration à un port USB du périphérique XTM 2 Series. 2. Déconnectez l’alimentation. 3. Maintenez enfoncé le bouton Rétablir situé à l’arrière du périphérique. 4. Connectez l’alimentation tout en appuyant sur le bouton Rétablir. 5. Après 10 secondes, relâchez le bouton. Le périphérique restaure l’image de sauvegarde à partir de la clé USB ; après redémarrage, il utilise automatiquement l’image restaurée. Si la clé USB contient une image d’autorestauration 2 Series non valide, l’autorestauration échoue et le périphérique ne redémarre pas. Si le processus d’autorestauration échoue, vous devez déconnecter puis reconnecter l’alimentation afin de démarrer le périphérique 2 Series avec ses paramètres usine par défaut. Pour plus d’informations, voir À propos des paramètres usine par défaut. Guide de l’utilisateur 47 Principes de configuration et de gestion Structure de répertoire de la clé USB Lorsque vous enregistrez une image de sauvegarde sur une clé USB, le fichier est enregistré dans un répertoire correspondant au numéro de série de votre périphérique XTM. Autrement dit, vous pouvez stocker des images de sauvegarde pour plusieurs périphériques XTM sur une même clé USB. Lorsque vous restaurez une image de sauvegarde, le logiciel récupère automatiquement la liste des images de sauvegarde stockées dans le répertoire associé à ce périphérique. Pour chaque périphérique, la structure de répertoire sur la clé USB se présente comme suit, sn correspondant au numéro de série du périphérique XTM : \sn\flash-images\ \sn\configs\ \sn\feature-keys\ \sn\certs\ Les images de sauvegarde d’un périphérique sont enregistrées dans le répertoire \sn\flash-images . Le fichier d’image de sauvegarde enregistré dans le répertoire flash-images contient le système d’exploitation Fireware XTM, la configuration du périphérique, les clés de fonctionnalité et des certificats. Les sousrépertoires \configs , \feature-keys et \certs ne sont pas utilisés pour les opérations de sauvegarde et de restauration sur clé USB. Vous pouvez les utiliser pour stocker des clés de fonctionnalité, des fichiers de configuration et des certificats supplémentaires pour chaque périphérique. Un répertoire situé à la racine de la structure de répertoire est également utilisé pour stocker l’image de sauvegarde d’autorestauration désignée. \auto-restore\ Lorsque vous désignez une image de sauvegarde à utiliser pour une restauration automatique, une copie du fichier d’image de sauvegarde sélectionné est chiffrée et enregistrée dans le répertoire \auto-restore , sous le nom de auto-restore.fxi . Vous ne pouvez enregistrer qu’une seule image d’autorestauration par clé USB. Vous pouvez utiliser la même image de sauvegarde d’autorestauration pour plusieurs périphériques à condition que les deux dispositifs appartiennent à la même famille de modèles WatchGuard XTM. Par exemple, vous pouvez utiliser une image d’autorestauration enregistrée à partir d’un périphérique XTM 530 pour tout autre périphérique XTM 5 Series. Vous devez utiliser la commande Système > Clé USB pour créer une image d’autorestauration. Si vous copiez et renommez manuellement une image de sauvegarde et que vous la stockez dans ce répertoire, le processus de restauration automatique ne fonctionne pas correctement. Enregistrer une image de sauvegarde sur une clé USB connectée à votre de gestion. Vous pouvez utiliser Fireware XTM Web UI pour enregistrer une image de sauvegarde sur une clé USB ou un dispositif de stockage connecté(e) à votre de gestion. Si vous enregistrez les fichiers de configuration correspondant à divers périphériques sur la même clé USB, vous pouvez connecter la clé à chacun de ces périphériques XTM à des fins de récupération. 48 WatchGuard System Manager Principes de configuration et de gestion Si vous utilisez la commande Système > Clé USB pour cela, les fichiers sont automatiquement enregistrés dans le répertoire correspondant sur la clé USB. Si vous utilisez la commande Système > Image de sauvegarde ou si vous utilisez Windows ou un autre système d’exploitation pour copier manuellement des fichiers de configuration sur la clé USB, vous devez créer manuellement le numéro de série et les répertoires d’images flash corrects pour chaque périphérique (s’ils n’existent pas déjà). Avant de commencer Avant de commencer, il est important de comprendre la Structure de répertoire de la clé USB utilisée par la fonctionnalité de sauvegarde et de restauration sur clé USB. Si vous n’enregistrez pas l’image de sauvegarde au bon endroit, le périphérique sera incapable de la retrouver lorsque vous y connecterez la clé USB. Enregistrer l’image de sauvegarde Pour enregistrer une image de sauvegarde sur une clé USB connectée à votre de gestion, suivez les étapes décrites dans Créer une sauvegarde de l’image Firebox. Au moment de choisir l’emplacement où enregistrer le fichier, sélectionnez la lettre du lecteur correspondant à la clé USB connectée sur votre ordinateur. Si vous souhaitez que l’image de sauvegarde soit reconnue par le périphérique XTM lorsque vous y connectez la clé USB, assurez-vous de l’enregistrer dans le répertoire \flash-images se trouvant dans le répertoire nommé avec le numéro de série de votre périphérique XTM. Par exemple, si le numéro de série de votre périphérique XTM est le 70A10003C0A3D , enregistrez le fichier de l’image de sauvegarde à cet emplacement sur la clé USB : \70A10003C0A3D\flash-images\ Désigner une image de sauvegarde pour une autorestauration Pour désigner une image de sauvegarde à utiliser avec la fonctionnalité d’autorestauration, vous devez connecter la clé USB au périphérique puis désigner l’image de sauvegarde à utiliser pour une autorestauration tel que décrit dans Utiliser une clé USB pour la sauvegarde et la restauration du système. Si vous enregistrez manuellement une image de sauvegarde dans le répertoire d’autorestauration, le processus de restauration automatique ne fonctionne pas correctement. Guide de l’utilisateur 49 Principes de configuration et de gestion Rétablir une configuration antérieure d’un périphérique Firebox ou XTM ou créer une nouvelle configuration Si votre périphérique Firebox ou XTM présente un grave problème de configuration, vous pouvez restaurer ses paramètres usine par défaut. Par exemple, si vous ignorez le mot de passe de configuration ou si une coupure de courant a endommagé le système d’exploitation Fireware XTM, vous pouvez utiliser l’Assistant Quick Setup Wizard pour définir de nouveau votre configuration ou restaurer une configuration enregistrée. Pour obtenir la description des paramètres usine par défaut, cf. À propos des paramètres usine par défaut à la page 51. Note Si vous possédez un périphérique WatchGuard XTM, vous pouvez également utiliser le mode sans échec pour restaurer automatiquement une image de sauvegarde du système à partir d’un dispositif de stockage USB. Pour plus d’informations, cf. Restaurer automatiquement une image de sauvegarde à partir d’une clé USB. Démarrer un périphérique Firebox ou XTM en mode sans échec Pour restaurer les paramètres usine par défaut d’un périphérique Firebox X Core e-Series, Peak e-Series, WatchGuard XTM 5 Series, 8 Series ou 10 Series, vous devez d’abord démarrer le périphérique Firebox ou XTM en mode sans échec. 1. Mettez le périphérique Firebox ou XTM hors tension. 2. Appuyez sur le bouton Flèche vers le bas situé sur le panneau avant du périphérique pendant que vous mettez le périphérique Firebox ou XTM sous tension. 3. Maintenez le bouton enfoncé jusqu’à ce que le message de démarrage du périphérique apparaisse sur l’affichage LCD : n n Pour un périphérique Firebox X Core e-Series ou Peak e-Series, le message WatchGuard Technologies s’affiche. Pour un périphérique WatchGuard XTM, vous lirez Démarrage en mode sans échec . Lorsque le périphérique est en mode sans échec, l’écran indique le numéro de modèle, suivi du mot « sans échec ». Lorsque vous démarrez un périphérique en mode sans échec : n n n 50 Les paramètres de réseau et de sécurité usine par défaut sont utilisés. La clé de fonctionnalité active n’est pas supprimée. Si vous exécutez l’Assistant Quick Setup Wizard pour créer une nouvelle configuration, la clé de fonctionnalité précédemment importée est utilisée. Votre configuration actuelle n’est supprimée qu’une fois une nouvelle configuration enregistrée. Si vous redémarrez le périphérique Firebox ou XTM avant d’avoir enregistré une nouvelle configuration, l’ancienne configuration sera à nouveau utilisée. WatchGuard System Manager Principes de configuration et de gestion Restaurer les paramètres usine par défaut d’un périphérique Firebox X Edge e-Series ou WatchGuard XTM 2 Series Lorsque vous réinitialisez un périphérique Firebox X Edge e-Series ou XTM 2 Series, les paramètres de la configuration d’origine sont remplacés par les paramètres usine par défaut. Pour restaurer les paramètres usine par défaut du périphérique : 1. 2. 3. 4. Déconnectez l’alimentation. Maintenez enfoncé le bouton Rétablir à l’arrière du périphérique. Connectez l’alimentation tout en appuyant sur le bouton Rétablir. Continuez de maintenir enfoncé le bouton Rétablir jusqu’à ce que le témoin jaune Attn devienne fixe. Ceci indique que les paramètres usine par défaut ont bien été restaurés. Pour un périphérique Firebox X Edge e-Series, ce processus peut prendre 45 secondes ou plus. Pour un périphérique 2 Series, il faut compter environ 75 secondes. 5. Relâchez le bouton Rétablir. Note Vous devez redémarrer le périphérique avant de vous y connecter. Si vous essayez d’accéder au périphérique sans l’avoir redémarré, une page Web contenant le message suivant apparaît : Votre périphérique s’exécute à partir d’une copie de sauvegarde du microprogramme. Ce message peut également s’afficher si le bouton Rétablir reste enfoncé. Si ce message continue de s’afficher, vérifiez l’état du bouton Rétablir, puis redémarrez le périphérique. 6. Déconnectez l’alimentation. 7. Connectez de nouveau l’alimentation. Le témoin lumineux d’alimentation s’allume et votre périphérique est réinitialisé. Exécuter l’Assistant Quick Setup Wizard Une fois les paramètres usine par défaut rétablis, vous pouvez utiliser l’Assistant Quick Setup Wizard pour créer une configuration de base ou restaurer une image de sauvegarde enregistrée. Pour plus d’informations, cf. À propos de l’Assistant Quick Setup Wizard à la page 24. À propos des paramètres usine par défaut Le terme paramètres usine par défaut fait référence à la configuration du périphérique WatchGuard lorsque vous recevez le système et avant de le modifier. Vous pouvez également rétablir les paramètres usine par défaut de Firebox selon la procédure décrite dans la section Rétablir une configuration antérieure d’un périphérique Firebox ou XTM ou créer une nouvelle configuration à la page 50. Les paramètres de configuration et de réseau par défaut du périphérique WatchGuard sont les suivants : Réseau approuvé (Firebox X Edge e-Series) L’adresse IP par défaut du réseau approuvé est 192.168.111.1. Le masque de sous-réseau du réseau approuvé est 255.255.255.0. L’adresse IP et le port par défaut de Fireware XTM Web UI est https://192.168.111.1:8080. Guide de l’utilisateur 51 Principes de configuration et de gestion Firebox est configuré de sorte à fournir des adresses IP aux ordinateurs du réseau approuvé via DHCP. Ces adresses IP sont par défaut comprises entre 192.168.111.2 et 192.168.111.254. Réseau approuvé (Firebox X Core et Peak e-Series et périphériques WatchGuard XTM) L’adresse IP par défaut du réseau approuvé est 10.0.1.1. Le masque de sous-réseau du réseau approuvé est 255.255.255.0. L’adresse IP et le port par défaut de Fireware XTM Web UI est https://10.0.1.1:8080. Firebox est configuré de sorte à fournir des adresses IP aux ordinateurs du réseau approuvé via DHCP. Ces adresses IP sont par défaut comprises entre 10.0.1.2 et 10.0.1.254. Réseau externe Firebox est configuré de façon à obtenir une adresse IP avec DHCP. Réseau facultatif Le réseau facultatif est désactivé. Paramètres du pare-feu Toutes les stratégies entrantes sont refusées. La stratégie sortante autorise tout le trafic sortant. Les requêtes ping reçues sur le réseau externe sont refusées. Sécurité du système Firebox possède deux comptes d’administrateur intégrés, admin (accès en lecture-écriture) et status (état -- lecture seule). Lors de la première configuration du périphérique avec l’Assistant Quick Setup Wizard, vous définissez les mots de passe d’état et de configuration. Une fois l’Assistant Quick Setup Wizard terminé, vous pouvez vous connecter à Fireware XTM Web UI à partir des comptes d’administrateur admin et status. Pour obtenir un accès intégral d’administrateur, connectez-vous avec le nom d’utilisateur admin et entrez le mot de passe de configuration. Pour un accès en lecture seule, connectez-vous avec le nom d’utilisateur status et entrez le mot de passe de lecture seule. Par défaut, Firebox est configuré pour être géré localement uniquement à partir du réseau approuvé. La configuration doit être modifiée pour autoriser des tâches d’administration à partir du réseau externe. Options de mise à niveau Pour activer des options de mise à niveau telles que WebBlocker, spamBlocker et Gateway AV/IPS, vous devez coller ou importer la clé de fonctionnalité qui active ces fonctionnalités sur la page de configuration ou activer les options de mise à niveau à l’aide de la commande Obtenir une clé de fonctionnalité. Si vous démarrez Firebox en mode sans échec, il n’est pas nécessaire de réimporter la clé de fonctionnalité. À propos de les clés de fonctionnalité Une clé de fonctionnalité est une licence qui vous permet d’utiliser une série de fonctionnalités sur votre périphérique WatchGuard. Lorsque vous achetez une option ou une mise à niveau et que vous recevez une nouvelle clé de fonctionnalité, vous améliorez les fonctionnalités du périphérique. 52 WatchGuard System Manager Principes de configuration et de gestion Lorsque vous achetez une nouvelle fonctionnalité Lorsque vous achetez une nouvelle fonctionnalité pour votre périphérique WatchGuard, il vous faut : n n Obtenir une clé de fonctionnalité auprès de LiveSecurity Ajouter une clé de fonctionnalité à Firebox Afficher les fonctionnalités disponibles avec la clé de fonctionnalité active Une clé de fonctionnalité est toujours active dans les périphériques WatchGuard. Pour afficher les fonctionnalités disponibles avec cette clé de fonctionnalité : 1. Se connecter à Fireware XTM Web UI. 2. Sélectionnez Système > Clé de fonctionnalité. La page Clé de fonctionnalité apparaît. La section Fonctionnalités comprend : n n n n n La liste des fonctionnalités disponibles L’indication qu’une fonctionnalité est activée ou désactivée La valeur attribuée à la fonctionnalité, par exemple le nombre d’interfaces VLAN autorisées La date d’expiration de la fonctionnalité L’état actuel relatif à l’expiration, par exemple le nombre de jours restants avant expiration Guide de l’utilisateur 53 Principes de configuration et de gestion n Le nombre maximal d’adresses IP dont l’accès sortant sera autorisé (périphériques Firebox X Edge XTM uniquement) Obtenir une clé de fonctionnalité auprès de LiveSecurity Avant de pouvoir activer une nouvelle fonctionnalité, ou renouveler un service d’abonnement, vous devez avoir reçu de WatchGuard un certificat de clé de licence qui ne soit pas déjà enregistré sur le site Web LiveSecurity. En activant la clé de licence, vous obtenez la clé de fonctionnalité qui vous permettra d’activer la fonctionnalité concernée sur le périphérique WatchGuard. Vous pouvez également récupérer une clé de fonctionnalité existante par la suite. Activer la clé de licence d’une fonctionnalité Pour activer une clé de licence et obtenir la clé de fonctionnalité de la fonctionnalité activée : 1. À l’aide de votre navigateur Web, allez sur https://www.watchguard.com/activate. Si vous n’êtes pas déjà connecté à LiveSecurity, la page de connexion à LiveSecurity s’affiche. 2. Entrez votre nom d’utilisateur et votre mot de passe LiveSecurity. La page d’activation des produits s’affiche. 3. Entrez le numéro de série ou la clé de licence du produit qui figure sur le certificat imprimé. N’oubliez pas les tirets. Le numéro de série vous permet d’enregistrer le nouveau périphérique WatchGuard, et la clé de licence d’enregistrer les fonctionnalités supplémentaires. 4. Cliquez sur Continuer. La page Choisir le produit à mettre à niveau apparaît. 5. Dans la liste déroulante, sélectionnez le produit à mettre à nouveau ou à renouveler. Si vous avez ajouté un nom de périphérique au moment de l’enregistrement de votre périphérique, celui-ci apparaît sur la liste. 6. Cliquez sur Activer. La page Récupérer la clé de fonctionnalité apparaît. 7. Copiez l’intégralité de la clé de fonctionnalité dans un fichier texte et enregistrez-la sur votre ordinateur. 8. Cliquez sur Terminer. 54 WatchGuard System Manager Principes de configuration et de gestion Obtenir une clé de fonctionnalité active Vous pouvez vous connecter au site Web de LiveSecurity pour obtenir une clé de fonctionnalité. Vous pouvez aussi utiliser Fireware XTM Web UIpour récupérer la clé de fonctionnalité active et l’ajouter directement à votre périphérique WatchGuard. Lorsque vous allez sur le site Web de LiveSecurity pour récupérer votre clé, vous pouvez télécharger une ou plusieurs clés de fonctionnalités dans un fichier compressé. Si vous sélectionnez plusieurs périphériques, le fichier compressé comprend une clé pour chaque périphérique. Pour récupérer une clé de fonctionnalité active sur le site Web de LiveSecurity : 1. À l’aide de votre navigateur Web, allez sur https://www.watchguard.com/archive/manageproducts.asp. Si vous n’êtes pas déjà connecté à LiveSecurity, la page de connexion à LiveSecurity s’affiche. 2. Entrez votre nom d’utilisateur et votre mot de passe LiveSecurity. La page Gestion des produits apparaît. 3. Sélectionnez Clés de fonctionnalité. La page Récupérer une clé de fonctionnalité s’affiche avec une liste déroulante permettant de sélectionner un produit. 4. Dans la liste déroulante, sélectionnez votre périphérique WatchGuard. 5. Cliquez sur Obtenir la clé. Une liste de tous les périphériques que vous avez enregistrés apparaît. Une coche apparaît à côté du périphérique sélectionné. 6. Sélectionnez Afficher les clés de fonctionnalité à l’écran. 7. Cliquez sur Obtenir la clé. La page Récupérer la clé de fonctionnalité apparaît. 8. Copiez la clé de fonctionnalité dans un fichier texte et enregistrez-la sur votre ordinateur. Pour récupérer la clé de fonctionnalité active à partir de Fireware XTM Web UI : 1. Se connecter à Fireware XTM Web UI. Le Tableau de bord de Fireware XTM Web UI s’affiche. 2. Sélectionnez Système > Clé de fonctionnalité. La page Résumé de la clé de fonctionnalité apparaît. Guide de l’utilisateur 55 Principes de configuration et de gestion 3. Cliquez sur Obtenir une clé de fonctionnalité. Votre clé de fonctionnalité est téléchargée depuis LiveSecurity et automatiquement mise à jour sur le périphérique WatchGuard. Ajouter une clé de fonctionnalité à Firebox Si vous achetez une nouvelle option ou une mise à niveau de votre périphérique WatchGuard, vous pouvez ajouter une clé de fonctionnalité pour activer les nouvelles fonctionnalités. Avant d’installer la nouvelle clé, vous devez entièrement supprimer l’ancienne. 1. Sélectionnez Système > Clé de fonctionnalité. La page Clé de fonctionnalité Firebox apparaît. Les fonctionnalités disponibles pour cette clé apparaissentsur la page. Ainsi, page inclue également : n n n n 56 Si une fonctionnalité est activée ou désactivée La valeur attribuée à la fonctionnalité, par exemple le nombre d’interfaces VLAN autorisées La date d’expiration de la fonctionnalité Le délai restant avant l’expiration de la fonctionnalité WatchGuard System Manager Principes de configuration et de gestion 2. Cliquez sur Supprimer pour supprimer la clé de fonctionnalité active. Toutes les informations sur la clé de fonctionnalité sont effacées de la boîte de dialogue. 3. Cliquez sur Mettre à jour. Importer la clé de fonctionnalité Firebox page s’affiche. Guide de l’utilisateur 57 Principes de configuration et de gestion 4. Copier le texte du fichier de la clé de fonctionnalité et coller dans la zone de texte. 5. Cliquez sur Enregistrez. La page Clé de fonctionnalité réapparaît avec les informations sur la nouvelle clé. Supprimer une clé de fonctionnalité 1. Sélectionnez Système > Clé de fonctionnalité. La page Clé de fonctionnalité Firebox apparaît. 2. Cliquez sur Supprimer. Toutes les informations sur la clé de fonctionnalité sont effacées de la page. 3. Cliquez sur .Enregistrer. Redémarrer Firebox Vous pouvez utiliser Fireware XTM Web UI pour redémarrer Firebox à partir de l’ordinateur d’un réseau approuvé. Si vous activez l’accès externe, vous pouvez également redémarrer Firebox via Internet. Vous pouvez définir l’heure de la journée à laquelle Firebox redémarre automatiquement. Redémarrer Firebox localement À redémarrer Firebox localement, vous pouvez utiliser Fireware XTM Web UI ou lancer un cycle d’alimentation du périphérique. 58 WatchGuard System Manager Principes de configuration et de gestion Redémarrer à partir de Fireware XTM Web UI Pour redémarrer Firebox à partir de Fireware XTM Web UI, vous devez vous connecter avec des privilèges de lecture/écriture. 1. Sélectionnez Tableau de bord > Système. 2. Dans la section Informations sur le périphérique, cliquez sur Redémarrer. Cycle d’alimentation Sur Firebox X Edge : 1. Débranchez le bloc d’alimentation de Firebox X Edge. 2. Patientez au moins 10 secondes. 3. Connectez de nouveau l’alimentation. Sur Firebox X Core ou Peak, ou sur un périphérique WatchGuard XTM : 1. À l’aide de l’interrupteur, mettez le périphérique hors tension. 2. Patientez au moins 10 secondes. 3. Mettez le périphérique sous tension. Redémarrer Firebox à distance Avant de pouvoir vous connecter à Firebox pour gérer ou redémarrer le périphérique depuis un ordinateur distant externe, vous devez d’abord configurer Firebox pour autoriser la gestion à partir d’un réseau externe. Pour plus d’informations, voir Gérer Firebox à partir d’un emplacement distant à la page 75. Pour redémarrer Firebox à distance à partir de Fireware XTM Web UI : 1. Sélectionnez Tableau de bord > Système. 2. Dans la section Informations sur le périphérique, cliquez sur Redémarrer. Activer le protocole NTP et ajouter des serveurs NTP Le protocole NTP (Network Time Protocol) permet de synchroniser l’heure des horloges des ordinateurs d’un réseau. Firebox peut utiliser ce protocole pour récupérer automatiquement l’heure exacte sur des serveurs NTP qui se trouvent sur Internet. Dans la mesure où Firebox utilise l’heure de son horloge système dans chacun des messages de journal qu’il génère, l’heure définie doit être correcte. Vous pouvez modifier le serveur NTP utilisé par Firebox. Vous pouvez également ajouter ou supprimer des serveurs NTP, de même que définir l’heure manuellement. Pour utiliser NTP, votre configuration Firebox doit autoriser le DNS. Celui-ci est autorisé dans la stratégie Sortant de la configuration par défaut. Vous devez également configurer des serveurs DNS pour l’interface externe avant de configurer le protocole NTP. Pour plus d’informations sur ces adresses, voir Ajouter des adresses de serveurs WINS et DNS. Guide de l’utilisateur 59 Principes de configuration et de gestion 1. Sélectionner Système > NTP. La boîte de dialogue Paramètres NTP s’affiche. 2. Sélectionnez Activer NTP Serveur . 3. Pour ajouter un serveur NTP, sélectionnez IP de l’hôte ou Nom d’hôte (rechercher) dans la liste déroulante Choisir le type, puis entrez l’adresse IP ou le nom d’hôte du serveur NTP à utiliser dans la zone de texte à côté. Vous pouvez configurer jusqu’à trois serveurs NTP 4. Pour supprimer un serveur, sélectionnez son entrée et cliquez sur Supprimer. 5. Cliquez sur Enregistrer. Définir le fuseau horaire et les propriétés de base du périphérique Quand vous exécutez l’Assistant Web Setup Wizard, vous définissez le fuseau horaire et d’autres propriétés de base du périphérique. Pour modifier les propriétés de base du périphérique : 1. Connectez-vous à Fireware XTM Web UI. 2. Sélectionnez Système > Système. Les Paramètres de configuration du périphérique s’affichent. 60 WatchGuard System Manager Principes de configuration et de gestion 3. Configurez les options suivantes : Modèle de Firebox Le modèle et le numéro de modèle, définis par l’Assistant Quick Setup Wizard.Si vous ajoutez une nouvelle clé de fonctionnalité à Firebox lors d’une mise à niveau de modèle, le modèle de Firebox est automatiquement mis à jour dans la configuration du périphérique. Nom Le nom convivial de Firebox. Vous pouvez donner au périphérique Firebox un nom convivial qui sera utilisé dans les fichiers journaux et les rapports. À défaut, ces derniers utilisent l’adresse IP de l’interface externe de Firebox. De nombreux clients utilisent un nom de domaine complet comme nom convivial s’ils enregistrent un tel nom sur le système DNS. Vous devez attribuer un nom convivial au périphérique Firebox si vous utilisez Management Server pour configurer des tunnels VPN et des certificats. Emplacement, Contact Entrez toute information susceptible d’aider à identifier et à assurer la maintenance de Firebox. Ces champs sont renseignés par l’Assistant Quick Setup Wizard si vous avez entré ces informations. Fuseau horaire Sélectionnez le fuseau horaire de l’emplacement matériel de Firebox. Ce paramètre contrôle la date et l’heure qui apparaissent dans le fichier journal et sur les outils tels que LogViewer, Rapports WatchGuard et WebBlocker. 4. Cliquez sur Enregistrer. À propos du protocole SNMP Le protocole SNMP (Simple Network Management Protocol) permet de gérer les périphériques de votre réseau. SNMP utilise des bases de données MIB (Management Information Base) pour définir les informations et les événements à surveiller. Vous devez configurer une application logicielle séparée, généralement appelée observateur d’événements ou navigateur MIB, pour collecter et gérer les données Guide de l’utilisateur 61 Principes de configuration et de gestion SNMP. Il existe deux types de bases de données MIB : standard et entreprise. Les bases de données MIB standards sont des définitions des événements matériel et réseau employées par différents périphériques. Les bases de données MIB d’entreprise permettent de donner des informations sur des événements spécifiques à un seul fabricant. Firebox prend en charge huit bases de données MIB standards : IP-MIB, IF-MIB, TCP-MIB, UDP-MIB, SNMPv2-MIB, SNMPv2-SMI, RFC1213-MIB et RFC1155 SMI-MIB. Il prend également en charge deux bases de données MIB d’entreprise : WATCHGUARD-PRODUCTS-MIB et WATCHGUARD-SYSTEMCONFIG-MIB. Interrogations et interruptions SNMP Vous pouvez configurer Firebox de sorte qu’il accepte les interrogations SNMP à partir d’un serveur SNMP. Firebox communique des informations au serveur SNMP, comme le volume de trafic sur chaque interface, le temps d’activité du périphérique, le nombre de paquets TCP reçus et envoyés et le moment où a eu lieu la dernière modification de chaque interface réseau de Firebox. Une interruption SNMP est une notification d’événement envoyée par Firebox au système de gestion SNMP. Elle identifie le moment auquel une condition spécifique se produit, comme une valeur dépassant un seuil prédéfini. Firebox peut envoyer une interruption pour chacune des stratégies présentes dans Policy Manager. Une demande d’informations SNMP est similaire à une interruption, à la différence que le destinataire envoie une réponse. Si Firebox n’obtient pas de réponse, il envoie de nouveau la demande d’informations jusqu’à ce que le gestionnaire SNMP envoie une réponse. Une interruption est envoyée une seule fois et le destinataire n’envoie pas d’accusé de réception. À propos des bases d’informations MIB (Management Information Base) Fireware XTM prend en charge deux types de bases de données MIB : Bases de données MIB standards Les bases de données MIB standards sont des définitions des événements matériel et réseau employées par différents périphériques. Votre périphérique WatchGuard prend en charge huit bases de données MIB standards : n n n n n n n n IP-MIB IF-MIB TCP-MIB UDP-MIB SNMPv2-MIB SNMPv2-SMI RFC1213-MIB RFC1155 SMI-MIB Ces bases de données comprennent des informations standards sur les réseaux, comme les adresses IP et les paramètres d’interface réseau. 62 WatchGuard System Manager Principes de configuration et de gestion Bases de données MIB d’entreprise Les bases de données MIB d’entreprise permettent de donner des informations sur des événements spécifiques à un seul fabricant. Firebox prend en charge les bases de données MIB d’entreprise suivantes : n n n WATCHGUARD-PRODUCTS-MIB WATCHGUARD-SYSTEM-CONFIG-MIB UCD-SNMP-MIB Ces bases de données comprennent des informations plus spécifiques sur le matériel du périphérique. Lorsque vous installez le gestionnaire WatchGuard System Manager, les bases de données MIB sont installées dans : \My Documents\My WatchGuard\Shared WatchGuard\SNMP Activer l’interrogation SNMP Vous pouvez configurer Firebox de sorte qu’il accepte les interrogations SNMP à partir d’un serveur SNMP. Firebox communique des informations au serveur SNMP, comme le volume de trafic sur chaque interface, le temps d’activité du périphérique, le nombre de paquets TCP reçus et envoyés et le moment où a eu lieu la dernière modification de chaque interface réseau. 1. Sélectionnez Système> SNMP. La page SNMP s’affiche. Guide de l’utilisateur 63 Principes de configuration et de gestion 2. Pour activer le protocole SNMP dans la liste déroulante Version, sélectionnez v1, v2c, ou v3. 3. Si vous avez sélectionné v1 ou v2c pour la version SNMP, tapez la Chaîne de communauté utilisée par le serveur SNMP lorsqu’il contacte le Firebox. Cette chaîne est l’équivalent d’un ID utilisateur ou d’un mot de passe qui autorise l’accès aux statistiques d’un périphérique. Si vous avez sélectionné v3 pour la version SNMP, tapez le nom d’utilisateur utilisé par le serveur SNMP lorsqu’il contacte le Firebox. 4. Si votre serveur SNMP utilise l’authentification, dans la liste déroulante Protocole d’authentification, sélectionnez MD5 ou SHA et tapez deux fois le mot de passe d’authentification. 5. Si votre serveur SNMP utilise le chiffrement, dans la liste déroulante Protocole de confidentialité, sélectionnez DES et tapez deux fois le mot de passe de chiffrement. 6. Cliquez sur Enregistrer. Pour permettre au Firebox de recevoir des interrogations SNMP, vous devez ajouter une stratégie SNMP. 1. Sélectionnez Pare-feu >, Stratégies de pare-feu. 2. Cliquez sur Ajouter. 3. Ouvrez la catégorie filtres de paquets et sélectionnez SNMP. Cliquez sur Ajouter. La page Configuration de stratégie s’affiche. 4. Sous la zone De, cliquez sur Ajouter. La fenêtre Ajouter un graphique s’affiche. 5. Dans la liste déroulante Type de membre, sélectionnez Adresse IP de l’hôte. 64 WatchGuard System Manager Principes de configuration et de gestion 6. Entrez l’adresse IP du serveur SNMP dans la zone de texte adjacente. Cliquez sur OK. 7. Retirez l’entrée Tout approuvé de la liste De. 8. En dessous de la liste À, cliquez sur Ajouter. La fenêtre Ajouter un graphique s’affiche. 9. Dans la boîte de dialogue Ajouter un membre, sélectionnez Firefox. Cliquez sur OK. 10. Retirez l’entrée Tout externe de la liste À. 11. Cliquez sur Enregistrer. Activer Stations de gestion et interruptions SNMP Une interruption SNMP est une notification d’événement que le périphérique WatchGuard envoie à un système de gestion SNMP. Elle identifie le moment auquel une condition spécifique se produit, comme une valeur dépassant un seuil prédéfini. Le périphérique peut envoyer une interruption pour n’importe quelle stratégie. Une demande d’informations SNMP est similaire à une interruption, à la différence que le destinataire envoie une réponse. S’il n’obtient pas de réponse, il envoie de nouveau la demande d’informations jusqu’à ce que le gestionnaire SNMP envoie une réponse. Une interruption est envoyée une seule fois et le destinataire n’envoie pas d’accusé de réception. Une demande d’informations est plus fiable qu’une interruption dans le sens où le périphérique WatchGuard sait si elle a été reçue. Toutefois, les demandes d’informations nécessitent davantage de ressources. Elles sont conservées en mémoire jusqu’à ce que l’expéditeur reçoive une réponse. Si une demande d’informations est envoyée plusieurs fois, les nouvelles tentatives intensifient le trafic. Nous vous recommandons de bien réfléchir au fait de savoir si la réception de chaque notification SNMP fait le poids face à l’utilisation accrue de la mémoire dans le routeur et à l’augmentation du trafic réseau que cela engendre. Pour activer les demandes d’informations SNMP, vous devez utiliser SNMPv2 ou SNMPv3. SNMPv1 prend uniquement en charge les interruptions, pas les demandes d’informations. Configurer les stations de gestion SNMP 1. Sélectionnez Système > SNMP. La page SNMP apparaît. Guide de l’utilisateur 65 Principes de configuration et de gestion 2. Dans la liste déroulante Interruptions SNMP, sélectionnez la version des interruptions ou des demandes d’informations que vous souhaitez utiliser. SNMPv1 prend uniquement en charge les interruptions, pas les demandes d’informations. 3. Dans la zone de texte Stations de gestion SNMP, entrez l’adresse IP de votre serveur SNMP. Cliquez sur Ajouter. 4. Pour supprimer un serveur de la liste, sélectionnez-le et cliquez sur Supprimer. 5. Cliquez sur Enregistrer. Ajouter une stratégie SNMP Pour que Firebox soit en mesure de recevoir des interrogations SNMP, vous devez aussi ajouter une stratégie SNMP. 1. Sélectionnez Pare-feu > Stratégies de pare-feu. 2. Cliquez sur Ajouter. 3. Développez la catégorie Filtres de paquets et sélectionnez SNMP. Cliquez sur Ajouter une stratégie. La page Configuration de stratégie apparaît. 4. Dans la zone de texte Nom, entrez le nom de la stratégie. 5. Activez la case à cocher Activer. 6. Dans la section De, cliquez sur Ajouter. La fenêtre Ajouter un membre s’ouvre. 7. Dans la liste déroulante Type de membre , sélectionnez IP de l’hôte. 66 WatchGuard System Manager Principes de configuration et de gestion 8. Dans la zone de texte adjacente, entrez l’adresse IP du serveur SNMP, puis cliquez sur OK. 9. Supprimez l’entrée Any-Trusted (Tout approuvé) de la liste De. 10. Dans la section Vers, cliquez sur Ajouter. La fenêtre Ajouter un membre s’ouvre. 11. Dans la boîte de dialogue Ajouter un membre, sélectionnez Firebox. Cliquez sur OK. 12. Supprimez l’entrée Any-External (Tout externe) de la liste De. 13. Cliquez sur Enregistrer. Envoyer une interruption SNMP pour une stratégie Firebox peut envoyer une interruption SNMP lorsque le trafic est filtré par une stratégie. Il faut qu’une station de gestion SNMP au moins soit configurée pour activer les interruptions. 1. Sélectionnez Pare-feu > Stratégies de pare-feu. 2. Double-cliquez sur une stratégie. Vous pouvez également sélectionner une stratégie et cliquer sur Modifier. La page Configuration de stratégie apparaît. 3. Cliquez sur l’onglet Propriétés. 4. Dans la section Journalisation, activez la case à cocher Envoyer une interruption SNMP. 5. Cliquez sur Enregistrer. À propos des mots de passe, clés de chiffrement et clés partagées de WatchGuard Votre solution de sécurité du réseau englobe l’utilisation de mots de passe, de clés de chiffrement et de clés partagées. Cette rubrique donne l’information sur la plupart des mots de passe, clés de chiffrement et clés partagées que vous utilisez pour vos produits WatchGuard. Elle ne vous renseigne pas sur les mots de passe de tiers. L’information sur les restrictions au sujet des mots de passe, clés de chiffrement et clés partagées est aussi incluse dans les procédures relatives. Création d’un mot de passe, d’une clé de chiffrement ou d’une clé partagée sécurisés Pour créer un mot de passe, une clé de chiffrement ou une clé partagée sécurisés, il est conseillé ce qui suit : n n n Utilisez une combinaison de caractères en ASCII minuscules et majuscules, de nombres et de caractères spéciaux (par exemple, Im4e@tiN9). N’utilisez pas de mots tirés d’un dictionnaire standard, même si vous l’utilisez dans une séquence ou une langue différente. N’utilisez pas de noms. Une personne malveillante peut très facilement trouver un nom d’entreprise, familier ou encore le nom d’une personnalité. Par mesure de sécurité supplémentaire, il est conseillé de changer fréquemment les mots de passe, clés de chiffrement et clés partagées. Mots de passe Firebox Firebox utilise deux mots de passe : Guide de l’utilisateur 67 Principes de configuration et de gestion Mot de passe d’état Mot de passe de lecture seule qui permet d’accéder à Firebox. Lorsque vous vous connectez avec ce mot de passe, vous pouvez vérifier votre configuration, mais vous ne pouvez enregistrer des modifications dans le Firebox. Le mot de passe d’état est associé à l’état. Mot de passe de configuration Mot de passe en lecture/écriture qui donne aux administrateurs un accès complet à Firebox. Vous devez utiliser ce mot de passe pour enregistrer dans Firebox des modifications à la configuration. Ce mot de passe doit aussi être utilisé pour changer vos mots de passe Firebox. Le mot de passe de configuration est associé au nom d’utilisateur admin. Chacun de ces mots de passe Firebox doit comporter au moins 8 caractères. Mots de passe utilisateur Vous pouvez créer des noms et mots de passe utilisateur destinés à l’authentification et l’administration à base de rôles Firebox. Mots de passe utilisateur pour authentification Firebox Une fois ce mot de passe utilisateur défini, les caractères sont masqués et ils n’apparaissent plus en texte simple. Si vous égarez le mot de passe, vous devez en définir un nouveau. La plage autorisée pour ce mot de passe est 8 – 32 caractères. Mots de passe utilisateur pour administration à base de rôles Une fois ce mot de passe utilisateur défini, il n’est plus affiché dans la boîte de dialogue Propriétés de l’utilisateur et du groupe. Si vous égarez le mot de passe, vous devez en définir un nouveau. Ce mot de passe doit comporter au moins huit caractères. Mots de passe serveur Mot de passe administrateur Le mot de passe Administrateur sert à contrôler l’accès au WatchGuard Server Center. Vous utilisez également ce mot de passe lorsque vous vous connectez à votre Management Server à partir de WatchGuard System Manager (WSM). Ce mot de passe doit comporter au moins huit caractères. Le mot de passe Administrateur est associé au nom d’utilisateur admin. Secret partagé du serveur d’authentification Le secret partagé est la clé utilisée par Firebox et le serveur d’authentification pour sécuriser l’information d’authentification qui circule entre eux. Le secret partagé respecte la casse et il doit être identique sur Firebox et sur le serveur d’authentification. Les serveurs d’authentification RADIUS, SecurID et VASCO utilisent tous une clé partagée. 68 WatchGuard System Manager Principes de configuration et de gestion Clés de chiffrement et clés partagées Log Server Encryption Key La clé de chiffrement sert à créer une connexion sécurisée entre le Firebox et les Log Servers, et d’empêcher les « attaques de l’intercepteur ». La clé de chiffrement peut comprendre entre 8 et 32 caractères. Vous pouvez utiliser tous les caractères à l’exception des espaces et des barres obliques (/ ou \). Clé de chiffrement Sauvegarder/Restaurer Il s’agit de la clé de chiffrement que vous créez pour chiffrer un fichier de sauvegarde de votre configuration Firebox. Lorsque vous restaurez un fichier de sauvegarde, vous devez utiliser la clé de chiffrement sélectionnée lors de la création du fichier de sauvegarde de la configuration. En cas de perte ou d’oubli de cette clé de chiffrement, vous ne serez plus en mesure de restaurer le fichier de sauvegarde. La clé de chiffrement doit avoir au moins 8 caractères, et 15 caractères au maximum. Clé partagée VPN La clé partagée est un mot de passe utilisé par deux périphériques pour chiffrer et déchiffrer les données qui traversent le tunnel VPN. Les deux périphériques utilisent le même mot de passe. S’ils n’ont pas le même mot de passe, ils ne peuvent pas chiffrer et déchiffrer correctement les données. Modifier les mots de passe Firebox Firebox utilise deux mots de passe : Mot de passe d’état Mot de passe de lecture seule qui permet d’accéder à Firebox. Mot de passe de configuration Mot de passe en lecture/écriture qui donne aux administrateurs un accès complet à Firebox. Pour plus d’informations sur les mots de passe, voir À propos des mots de passe, clés de chiffrement et clés partagées de WatchGuard à la page 67. Pour modifier les mots de passe : 1. Sélectionnez Système > Mot de passe. La page Mot de passe s’affiche. Guide de l’utilisateur 69 Principes de configuration et de gestion 2. Tapez et confirmez le nouveau mot de passe d’état (lecture seule) et le nouveau mot de passe de configuration (lecture/écriture). Le mot de passe d’état et le mot de passe de configuration doivent être différents. 3. Cliquez sur Enregistrer. Définir les paramètres globaux de Firebox Dans l'interface Web Fireware XTM, vous pouvez sélectionner des paramètres qui contrôlent les actions de plusieurs fonctions Firebox et périphérique XTM. Vous pouvez définir des paramètres de base pour : n n n n n Gestion des erreurs ICMP Contrôle TCP SYN Réglage de la taille maximale du TCP Gestion du trafic et QoS Port IU Web Pour modifier les paramétrages globaux : 1. Sélectionner Système > Paramètres globaux. La boîte de dialogue Paramètres globaux s’affiche. 70 WatchGuard System Manager Principes de configuration et de gestion 2. Configurer les différentes catégories de paramètres globaux tels que décrits dans les sections suivantes. 3. Cliquez sur .Enregistrer. Définir les paramètres globaux de gestion des erreurs ICMP Le protocole Internet Control Message Protocol (ICMP) contrôle les erreurs au cours des connexions. Il est utilisé pour deux types d’opérations : n n Informer les hôtes clients des conditions d’erreur. Sonder un réseau pour en découvrir les caractéristiques générales Le périphérique Firebox envoie un message d’erreur ICMP à chaque fois qu’un événement correspondant à l’un des paramètres que vous avez sélectionnés se produit. Si ces messages vous permettent de résoudre des problèmes, ils peuvent également faire baisser le niveau de sécurité car ils exposent des informations sur votre réseau. Si vous refusez ces messages ICMP, vous pouvez augmenter votre niveau de sécurité en empêchant l'exploration du réseau cette action peut cependant provoquer des retards pour des connexions incomplètes et entraîner des problèmes d'application. Les paramètres de la gestion globale des erreurs ICMP sont : Guide de l’utilisateur 71 Principes de configuration et de gestion Fragmentation req) (PMTU) Activez cette case à cocher pour autoriser les messages Fragmentation Req (Fragmentation req) ICMP. Le périphérique Firebox utilise ces messages pour repérer le chemin MTU. Délai expiré Activez cette case à cocher pour autoriser les messages Délai expiré ICMP. Un routeur envoie généralement ces messages en cas de boucle de route. Réseau non joignable Activez cette case à cocher pour autoriser les messages Réseau non joignables ICMP. Un routeur envoie généralement ces messages en cas de rupture de liaison réseau. Hôte non joignable Activez cette case à cocher pour autoriser les messages Hôte non joignable ICMP. Le réseau envoie généralement ces messages lorsqu’il ne peut pas utiliser d’hôte ou de service. Port non joignable Activez cette case à cocher pour autoriser les messages Port non joignables ICMP. Un hôte ou un pare-feu envoie généralement ces messages lorsqu’un service réseau n’est pas disponible ou autorisé. Protocole non joignable Activez cette case à cocher pour autoriser les messages Protocole non joignables ICMP. Pour contourner ces paramètres ICMP généraux pour une stratégie spécifique, depuis Fireware XTM Web UI: 1. Sélectionnez Pare-feu > Stratégies de pare-feu. 2. Double-cliquez sur la stratégie pour la modifier. La page Configuration de la stratégie s'affiche. 3. 3. 4. 5. Sélectionnez l’onglet Avancé. Cochez la case Utiliser la gestion des erreurs ICMP basée sur la stratégie. Cochez la case pour les seuls paramètres que vous souhaitez activer. Cliquez sur Enregistrer. Activer le contrôle TCP SYN Le contrôle TCP SYN permet de s'assurer que la liaison handshake à trois voies TCP est réalisée avant que le périphérique Firebox ou XTM n'autorise une connexion de données. Définir les paramètres globaux de réglage de la taille maximale de segment TCP Le segment TCP peut être paramétré sur une taille définie pour une connexion d'une liaison TCP/IP supérieure à 3 voies (ex. : PPPoE, ESP ou AH). Certains sites web seront inaccessibles aux utilisateurs si cette taille n’est pas correctement configurée. Les paramètres globaux d’ajustement de taille de segment maximum TCP sont les suivants : 72 WatchGuard System Manager Principes de configuration et de gestion Ajustement automatique Le périphérique Firebox ou XTM examine toutes les négociations de taille de segment maximale (MSS) et adopte la valeur MSS applicable. Aucun ajustement Le périphérique Firebox ou XTM ne modifie pas la valeur MSS. Limiter à Vous définissez une limite d’ajustement de taille. Désactiver ou activer la gestion du trafic et QoS Pour des opérations de test de performance ou de débogage de réseau, vous pouvez désactiver les fonctionnalités de gestion du trafic et de QoS. Pour activer ces fonctionnalités : Cochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (Qualité de service). Pour désactiver ces fonctionnalités : Décochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (Qualité de service). Modifier le port Web UI Par défaut, Fireware XTM Web UI utilise le port 8080. Pour changer ce port : 1. Dans la zone de texte Port Web UI , entrez ou sélectionnez un autre numéro de port. 2. Utilisez le nouveau port pour vous connecter à Fireware XTM Web UI et tester la connexion au nouveau port. Redémarrage automatique Vous pouvez programmer votre périphérique Firebox ou XTM pour qu'il effectue un redémarrage automatique au jour et à l'heure de votre choix. Pour programmer un redémarrage automatique de votre périphérique : 1. Cochez la case Programmer la date et l'heure de redémarrage. 2. Dans la liste déroulante située à côté, sélectionnez Tous les jours pour redémarrer le périphérique tous les jours à la même heure, ou sélectionnez un jour de la semaine pour un redémarrage hebdomadaire. 3. Dans les zones de texte situées à côté, entrez ou sélectionnez l'heure et la minute de la journée (au format 24 h) auxquelles vous souhaitez que le redémarrage ait lieu. Guide de l’utilisateur 73 Principes de configuration et de gestion Console externe Cette option est disponible uniquement pour les périphériques et configurations Firebox X Edge. Cochez cette case pour utiliser le port série pour les connexions de console, comme l'interface CLI (Command Line Interface) XTM. Vous ne pouvez pas utiliser le port série pour un basculement du modem lorsque cette option est sélectionnée et vous devez redémarrer le périphérique pour modifier ce réglage. Présentation des serveurs WatchGuard System Manager Lorsque vous installez le logiciel WatchGuard System Manager, vous avez le choix d’installer un ou plusieurs serveurs WatchGuard System Manager. Vous pouvez également exécuter le programme d’installation et choisir d’installer un seul ou plusieurs serveurs, sans WatchGuard System Manager. Lorsque vous installez un serveur, le programme WatchGuard Server Center est en effet automatiquement installé. WatchGuard Server Center est une application autonome que vous utilisez pour installer, configurer, sauvegarder et restaurer tous vos serveurs WatchGuard System Manager. Lorsque vous utilisez l’interface Fireware XTM Web UI pour gérer vos périphériques Firebox ou XTM, vous pouvez choisir d’utiliser également les serveurs WatchGuard System Manager et WatchGuard Server Center. Pour de plus amples renseignements sur WatchGuard System Manager, les serveurs WatchGuard System Manager et WatchGuard Server Center, consultez l’aide Fireware XTM WatchGuard System Manager v11.x et le Guide d’utilisateur de Fireware XTM WatchGuard System Manager v11.x. WatchGuard System Manager englobe cinq serveurs : n n n n n Management Server Serveur Log Server Report Server Quarantine Server WebBlocker Server Pour un complément d’information sur WatchGuard System Manager et les serveurs WatchGuard, consultez l’aide Fireware XTM WatchGuard System Manager v11.x ou Le Guide de l’utilisateur de la v11.x. Chaque serveur a une fonction spécifique : Management Server Le serveur Management Server fonctionne sous Windows. Avec ce serveur, vous pouvez gérer tous les périphériques de pare-feu et créer des tunnels de réseau privé virtuel (VPN) à l’aide d’une simple fonction glisser-déposer. Les fonctions de base de Management Server sont les suivantes : n n n Autorité de certification distribuant des certificats pour les tunnels IPSec (Internet Protocol Security). Gestion de configuration des tunnels VPN Gestion de plusieurs périphériques Fireware XTM et Firebox Pour plus d’informations sur Management Server, voir À propos de WatchGuard Management Server L’aide Fireware XTM WatchGuard System Manager v11.x ou Le Guide de l’utilisateur de la v11.x. 74 WatchGuard System Manager Principes de configuration et de gestion Serveur Log Server Le Log Server recueille les messages de journaux de chaque Firebox et périphérique XTM, et les stocke dans une base de données PostgreSQL. Les messages des journaux sont chiffrés lorsqu’ils sont envoyés au serveur Log Server. Le format d’un message du journal est XML (texte brut). Les types de messages recueillis par le Log Server incluent ceux du journal du trafic, du journal d’événements, des alarmes et des diagnostics. Pour de plus amples informations sur les Log Servers, cf. L’aide Fireware XTM WatchGuard System Manager v11.x ou Le Guide de l’utilisateur de la v11.x. Report Server Le serveur Report Server consolide périodiquement des données collectées par vos serveurs Log Server sur vos périphériques Firebox et XTM, et les stocke dans une base de données PostgreSQL. Le Report Server produit ensuite les rapports que vous indiquez. Lorsque les données sont sur le Report Server, vous pouvez les consulter avec Report Manager ou Reporting Web UI. Pour plus d’informations sur l’utilisation de Reporting Web UI, voir l’Aide pour l’interface utilisateur Web de rapport. Pour plus d’informations sur le Report Server, cf. l’aide de Fireware XTM WatchGuard System Manager v11.x ou le Guide d’utilisateur v11.x. Quarantine Server Le Quarantine Server recueille et isole les messages d’e-mail identifiés par spamBlocker comme courrier indésirable possible. Pour plus d’informations sur le serveur Quarantine Server, voir À propos de Quarantine Server à la page 633. WebBlocker Server Le WebBlocker Server utilise le proxy HTTP pour refuser l’accès utilisateur à des catégories spécifiques de sites Web. Lorsque vous configurez un Firebox, vous définissez les catégories de sites Web que vous souhaitez autoriser ou bloquer. Pour plus d’informations sur WebBlocker et le WebBlocker Server, cf. À propos de WebBlocker à la page 577. Gérer Firebox à partir d’un emplacement distant Lorsque vous configurez Firebox avec l’Assistant Quick Setup Wizard, une stratégie intitulée stratégie WatchGuard se crée automatiquement. Elle vous permet de vous connecter à Firebox et de l’administrer depuis n’importe quel ordinateur d’un réseau approuvé ou facultatif. Si vous souhaitez gérer Firebox à partir d’un emplacement distant (tout emplacement externe à Firebox), vous devez alors modifier votre stratégie WatchGuard de manière à autoriser les connexions administratives à partir de l’adresse IP de votre emplacement distant. Cette stratégie contrôle l’accès à Firebox sur les quatre ports TCP suivants : 4103, 4105, 4117, 4118. Lorsque vous autorisez des connexions dans la stratégie WatchGuard, vous autorisez les connexions à chacun de ces quatre ports. Guide de l’utilisateur 75 Principes de configuration et de gestion Avant de modifier la stratégie WatchGuard, nous vous recommandons d’envisager de vous connecter à Firebox par VPN. Cela améliore nettement la sécurité de la connexion. Si ce n’est pas possible, il est recommandé d’autoriser l’accès depuis le réseau externe à certains utilisateurs autorisés uniquement, et au plus petit nombre d’ordinateurs possible. Par exemple, votre configuration sera plus sûre si vous autorisez les connexions à partir d’un seul ordinateur plutôt qu’à partir de l’alias « Any-External » (TousExternes). 1. Sélectionnez Pare-feu > Stratégies de pare-feu. 2. Double-cliquez sur la stratégie WatchGuard. Vous pouvez également cliquer sur la stratégie WatchGuard et sélectionner Modifier. La page Configuration de stratégie apparaît. 3. Dans la section De, cliquez sur Ajouter. La boîte de dialogue Ajouter un membre s’affiche. 76 WatchGuard System Manager Principes de configuration et de gestion 4. Ajoutez l’adresse IP de l’ordinateur externe qui se connecte à Firebox : dans la liste déroulante Type de membre, sélectionnez IP de l’hôte et cliquez sur OK. Ensuite, entrez l’adresse IP. 5. Si vous voulez donner un accès à un utilisateur autorisé dans la liste déroulante Type de membre, sélectionnez Alias. Pour en savoir sur la création d’un alias, voir Créer un alias à la page 264. Configurer un périphérique Firebox en tant que périphérique géré Si votre Firebox dispose d’une adresse IP dynamique, ou si Management Server ne peut pas s’y connecter pour une autre raison, vous pouvez configurer Firebox en tant que client géré avant de l’ajouter à Management Server. Modifier la stratégie WatchGuard 1. Sélectionnez Pare-feu > Stratégies de pare-feu. La page Stratégies de pare-feu s’affiche. 2. Double-cliquez sur la stratégie WatchGuard pour l’ouvrir. La page Configuration de stratégie s’affiche pour la stratégie WatchGuard. Guide de l’utilisateur 77 Principes de configuration et de gestion 3. Dans la liste déroulante Les connexions sont, assurez-vous que l’option Autorisées est activée. 4. Dans la section De, cliquez sur Ajouter. La boîte de dialogue Ajouter un membre s’affiche. 5. Dans la Type de membre liste déroulante, sélectionnez IP d’hôte. 6. Dans la zone de texte à côté , entrez l’adresse IP de l’interface externe de la passerelle Firebox. Si aucune passerelle Firebox ne protège Management Server d’Internet, tapez l’adresse IP statique de votre serveur Management Server. 7. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un membre. 8. Vérifiez que la section À inclut une entrée Firebox ou Tout. 9. Cliquez sur Enregistrer. Vous pouvez maintenant ajouter le périphérique au Management Server configuration. Lorsque vous ajoutez ce périphérique Firebox au Management Server configuration, ce dernier se connecte automatiquement à l’adresse IP statique et configure le périphérique Firebox en tant que client Firebox géré. 78 WatchGuard System Manager Principes de configuration et de gestion Configurer le périphérique géré (Facultatif) Si votre Firebox a une adresse IP dynamique, ou si Management Server ne parvient pas à trouver l’adresse IP de Firebox pour une raison ou pour une autre, cette procédure vous permet de préparer votre Firebox à la gestion du serveur Management Server. 1. Sélectionnez Système > Périphériques gérés. La page Périphérique géré s’ouvre. 2. Pour configurer un Firebox en tant que périphérique géré, activez la case à cocher Centralized Management. 3. Dans le champ Nom du périphérique géré, tapez le nom que vous souhaitez donner à Firebox lors de son ajout au serveur Management Server configuration. Guide de l’utilisateur 79 Principes de configuration et de gestion Ce nom respecte la casse et doit correspondre à celui que vous utilisez lorsque vous ajoutez le périphérique au serveur Management Server configuration. 4. Dans la fenêtre Adresse(s) IP de Management Server , sélectionnez l’adresse IP de Management Server s’il possède une adresse IP publique. Sinon, sélectionnez l’adresse IP publique de la passerelle Firebox du serveur Management Server. 5. Pour ajouter une adresse, cliquez sur Ajouter. Le périphérique Firebox qui protège le serveur Management Server analyse automatiquement tous les ports utilisés par celui-ci et transmet toutes les connexions sur ces ports au serveur Management Server configuré. Lorsque vous utilisez l’Assistant Management Server Setup Wizard, celui-ci ajoute une stratégie WG-Mgmt-Server à votre configuration pour gérer ces connexions. Si vous n’avez pas utilisé l’Assistant Management Server Setup Wizard sur le serveur Management Server ou si vous avez ignoré l’étape Passerelle Firebox de cet Assistant, vous devez ajouter manuellement la stratégie WG-Mgmt-Server à la configuration de votre passerelle Firebox. 6. Dans les champs Secret partagé et Confirmer, entrez le secret partagé. Le secret partagé que vous tapez ici doit correspondre à celui que vous tapez lorsque vous ajoutez le périphérique Firebox au serveur Management Server configuration. 7. Copiez le texte du certificat d’autorité de certification de Management Server et collez-le dans le champ Certificat de Management Server. 8. Cliquez sur Enregistrer. Lorsque vous enregistrez la configuration sur le périphérique Firebox, celui-ci est activé en tant que client géré. Le Firebox géré essaie de se connecter à l’adresse IP du serveur Management Server sur le port TCP 4110. Les connexions de gestion sont autorisées à partir du serveur Management Server vers ce périphérique Firebox géré. Vous pouvez maintenant ajouter le périphérique au Management Server configuration. Pour plus d’informations, voir l’aide ou le guide de l’utilisateur du gestionnaire WatchGuard System Manager. Vous pouvez également utiliser WSM pour configurer le mode de gestion de votre périphérique. Pour plus d’informations, voir l’aide ou le guide de l’utilisateur du gestionnaire WatchGuard System Manager. Mettre à niveau vers une nouvelle version de Fireware XTM À intervalles réguliers, WatchGuard publie de nouvelles versions des logiciels système Fireware XTM disponibles pour les utilisateurs Firebox disposant d’un abonnement actif à LiveSecurity. Pour mettre à niveau d’une version de Fireware XTM vers une nouvelle version de Fireware XTM, utilisez les procédures dans les rubriques suivantes. Installez la mise à niveau sur votre station de gestion 1. Téléchargez le logiciel Fireware XTM mis à jour dans la rubrique Téléchargements de logiciels du site Web WatchGuard à l’adresse http://www.watchguard.com. 80 WatchGuard System Manager Principes de configuration et de gestion 2. Lancez le fichier que vous avez téléchargé sur le site Web LiveSecurity et suivez la procédure à l’écran pour installer le fichier de mise à niveau Fireware XTM dans le répertoire d’installation WatchGuard sur votre station de gestion. Par défaut, le fichier est installé dans le dossier suivant : C:\Program Files\Common Files\WatchGuard\resources\FirewareXTM\11.0 Mettre à niveau Firebox 1. Sélectionnez Système > Image de sauvegarde pour enregistrer une image de sauvegarde de Firebox. Pour plus d’informations, voir Créer une sauvegarde de l’image Firebox à la page 43. 2. Sélectionnez Système > Mettre à niveau le système d’exploitation. 3. Entrez le nom de fichier ou cliquez surParcourir pour sélectionner le fichier de mise à niveau dans le répertoire où il est enregistré. Le nom de fichier se termine par .sysa_dl. 4. Cliquez sur Mettre à niveau. La procédure de mise à niveau peut nécessiter jusqu’à 15 minutes. Elle redémarre automatiquement le périphérique WatchGuard. Si au moment de la mise à niveau, le périphérique WatchGuard est opérationnel depuis quelque temps, vous devrez peut-être redémarrer le périphérique avant de commencer la mise à niveau afin d’effacer sa mémoire temporaire. Télécharger le fichier de configuration Dans Fireware XTM Web UI, vous pouvez télécharger la configuration de votre périphérique WatchGuard dans un fichier compressé. Cela peut être utile si vous voulez ouvrir le même fichier de configuration dans Fireware XTM Policy Manager, mais que vous n’arrivez pas à vous connecter au périphérique depuis Policy Manager. C’est également utile si vous voulez envoyer votre fichier de configuration à un représentant du WatchGuard Technical Support. 1. Sélectionnez Système > Configuration. La page de téléchargement du fichier de configuration s’affiche. 2. Cliquez sur Télécharger le fichier de configuration. La boîte de dialogue Sélectionner l’emplacement de destination apparaît. 3. Sélectionnez l’emplacement de destination du fichier de configuration. Celui-ci est enregistré dans un format de fichier compressé (.gz). Avant de pouvoir utiliser ce fichier sur Fireware XTM Policy Manager, vous devez extraire le fichier compressé dans un dossier de votre ordinateur. Pour en savoir plus sur Policy Manager, voir l’Aide du gestionnaire WatchGuard System Manager. À propos des options de mise à niveau Vous pouvez ajouter des mises à niveau à votre périphérique WatchGuard afin d’activer des services d’abonnement, fonctionnalités et capacités supplémentaires. Guide de l’utilisateur 81 Principes de configuration et de gestion Pour connaître la liste des options de mise à niveau disponibles, voir www.watchguard.com/products/options.asp. Mises à niveau des services d’abonnement WebBlocker La mise à niveau WebBlocker vous permet de contrôler l’accès au contenu Web. Pour plus d’informations, voir À propos de WebBlocker à la page 577. spamBlocker La mise à niveau spamBlocker vous permet de filtrer le courrier indésirable et les messages en masse. Pour plus d’informations, voir À propos de spamBlocker à la page 591. Gateway AV/IPS La mise à niveau Gateway AV/IPS vous permet de bloquer les virus et d’empêcher les tentatives d’intrusion par les pirates informatiques. Pour plus d’informations, voir À propos de Gateway AntiVirus et Intrusion Prévention à la page 615. Mises à niveau des logiciels et logiciels système Pro La mise à niveau Pro de Fireware XTM confère plusieurs fonctionnalités avancées aux clients expérimentés, notamment l’équilibrage de charge côté serveur et d’autres tunnels VPN SSL. Les fonctionnalités disponibles avec une mise à niveau Pro dépendent du type et du modèle de votre Firebox. Pour plus d’informations, voir Fireware XTM avec une mise à niveau Pro à la page 14. Mises à niveau des modèles Pour certains modèles Firebox, vous pouvez acheter une clé de licence afin de mettre à niveau le périphérique à un modèle de niveau supérieur dans la même famille de produits. Une mise à niveau de modèle confère à Firebox les mêmes fonctions qu’un modèle supérieur. Pour comparer les fonctionnalités et capacités des différents modèles Firebox, allez sur http://www.watchguard.com/products/compare.asp. Comment appliquer une mise à niveau Quand vous achetez une mise à niveau, vous enregistrez celle-ci sur le site Web de WatchGuard LiveSecurity. Ensuite vous téléchargez une clé de fonctionnalité qui active cette mise à niveau sur votre périphérique WatchGuard. Pour plus d’informations sur les clés de fonctionnalité, voir À propos de les clés de fonctionnalité à la page 52. 82 WatchGuard System Manager 6 Définition et configuration réseau À propos de Configuration d’interface réseau La configuration des adresses IP d’interface réseau est un élément essentiel de la configuration du périphérique WatchGuard. Lorsque vous exécutez l’Assistant Quick Setup Wizard, les interfaces externes et approuvées sont configurées pour que le trafic soit acheminé des périphériques protégés vers un réseau externe. Vous pouvez suivre les procédures décrites dans cette section pour modifier cette configuration après avoir exécuté l’Assistant Quick Setup Wizard ou pour ajouter d’autres composants du réseau à la configuration. Par exemple, vous pouvez configurer une interface facultative pour des serveurs publics, comme des serveurs Web. Votre périphérique WatchGuard sépare physiquement les réseaux situés sur un réseau local de ceux situés sur un réseau étendu, comme Internet. Votre périphérique utilise le routage pour envoyer des paquets depuis les réseaux qu’il protège jusqu’aux réseaux qui se trouvent en dehors de votre organisation. Pour ce faire, votre périphérique doit savoir quels sont les réseaux connectés sur chaque interface. Il est recommandé de noter les informations de base de votre configuration réseau et VPN dans le cas où vous auriez besoin de contacter le support technique. Ces informations peuvent aider le technicien à résoudre votre problème rapidement. Modes réseau Votre périphérique WatchGuard prend en charge plusieurs modes réseau : Mode de routage mixte En mode de routage mixte, vous pouvez configurer votre périphérique Firebox pour envoyer le trafic réseau entre différents types d’interfaces réseau physiques et virtuelles. C’est le mode de réseau par défaut ; il offre la plus grande souplesse pour les différentes configurations réseau. Vous devez toutefois configurer chaque interface séparément et vous devrez peut-être changer les paramètres réseau de chaque ordinateur ou client protégé par votre périphérique Firebox. Firebox utilise la traduction d’adresses réseau pour envoyer des informations entre des interfaces réseau. Guide de l’utilisateur 83 Définition et configuration réseau Pour plus d’informations, voir À propos de Traduction d’adresses réseau (Network Address Translation) (NAT) à la page 141. Les conditions d’un mode de routage mixte sont les suivantes : n n Toutes les interfaces du périphérique WatchGuard doivent être configurées sur différents sousréseaux. La configuration minimale inclut les interfaces approuvées et externes. Vous pouvez également configurer une ou plusieurs interfaces facultatives. Tous les ordinateurs connectés aux interfaces approuvées et facultatives doivent avoir une adresse IP de ce réseau. Mode d’insertion Dans une configuration d’insertion, votre périphérique WatchGuard est configuré avec la même adresse IP sur toutes les interfaces Firebox. Vous pouvez placer votre périphérique WatchGuard entre le routeur et le réseau local sans devoir modifier la configuration sur les ordinateurs locaux. Cette configuration est appelée configuration d’insertion car votre périphérique WatchGuard est inséré dans un réseau existant. Certaines fonctions réseau telles que les ponts et les réseaux locaux virtuels (VLAN) ne sont pas disponibles dans ce mode. Pour la configuration d’insertion, vous devez : n n n Attribuer une adresse IP statique externe au périphérique WatchGuard. Utiliser un réseau logique pour toutes les interfaces. Ne pas configurer la fonctionnalité multi-WAN en mode Tourniquet ou Basculement. Pour plus d’informations, voir À propos de la configuration du réseau en mode d’insertion à la page 94. Mode pont Le mode pont est une fonctionnalité qui vous permet de placer votre périphérique WatchGuard entre un réseau existant et sa passerelle afin de filtrer ou de gérer le trafic réseau. Lorsque vous activez cette fonctionnalité, votre périphérique WatchGuard traite tout le trafic réseau et le transmet vers l’adresse IP que vous indiquez. Lorsque le trafic arrive à la passerelle, il semble provenir du périphérique d’origine. Dans cette configuration, votre périphérique WatchGuard ne peut pas effectuer plusieurs fonctions qui exigent une adresse IP publique et unique. Par exemple, vous ne pouvez pas configurer un périphérique WatchGuard en mode pont afin qu’il agisse comme point de terminaison pour un VPN (réseau privé virtuel). Pour plus d’informations, voir Mode pont à la page 99. Types d’interface Vous utilisez trois types d’interfaces pour configurer votre réseau en mode de routage mixte ou d’insertion : Interfaces externes Une interface externe est utilisée pour connecter votre périphérique WatchGuard à un réseau en dehors de votre organisation. L’interface externe est souvent la méthode qui vous permet de connecter votre périphérique Firebox à Internet. Vous pouvez configurer un maximum de quatre (4) interfaces externes physiques. 84 WatchGuard System Manager Définition et configuration réseau Lorsque vous configurez une interface externe, vous devez choisir la méthode qu’utilise votre fournisseur de services Internet (ISP) afin de donner une adresse IP à votre périphérique Firebox. Si vous ne connaissez pas cette méthode, vous pouvez obtenir ces informations de votre fournisseur de services Internet ou de votre administrateur réseau. Interfaces approuvées Les interfaces approuvées se connectent au réseau local privé (LAN) ou au réseau interne de votre organisation. Une interface approuvée fournit généralement des connexions pour les employés et les ressources internes sécurisées. Interfaces facultatives Les interfaces facultatives sont des environnements de confiance mixte ou DMZ qui sont séparés de votre réseau approuvé. Les serveurs Web publics, les serveurs FTP et les serveurs de messagerie sont des exemples d’ordinateurs souvent installés sur une interface facultative. Pour plus d’informations sur les types d’interfaces, voir Paramètres d’interface standard à la page 100. Si vous avez un périphérique Firebox X Edge, vous pouvez utiliser Fireware XTM Web UI pour configurer le basculement avec un modem externe sur le port série. Pour plus d’informations, voir Basculement de modem série à la page 132. Lorsque vous configurez les interfaces sur votre périphérique WatchGuard, vous devez employer la notation de barre oblique pour désigner le masque de sous-réseau. Par exemple, vous saisissez la plage réseau 192.168.0.0 avec le masque de sous-réseau 255.255.255.0 sous la forme 192.168.0.0/24. Une interface approuvée avec l’adresse IP 10.0.1.1/16 a un masque de sous-réseau de 255.255.0.0. Pour plus d’informations sur la notation de barre oblique, voir À propos de la notation de barre oblique à la page 4. À propos des interfaces réseau sur les modèles Edge e-Series Lorsque vous utilisez Fireware XTM sur un modèle Firebox X Edge e-Series, les numéros d’interface réseau qui apparaissent dans Fireware XTM Web UI ne correspondent pas aux étiquettes d’interface réseau qui figurent sous les interfaces physiques du périphérique. Utilisez le tableau ci-dessous pour voir comment les numéros d’interface du Web UI sont associés aux interfaces physiques du périphérique. Numéro d’interface dans Fireware XTM Étiquette d’interface sur un matériel Firebox X Edge e-Series 0 WAN 1 1 LAN 0, LAN 1, LAN 2 2 WAN 2 3 Facultatif Guide de l’utilisateur 85 Définition et configuration réseau Vous pouvez envisager les interfaces LAN 0, LAN 1 et LAN 2 comme un concentrateur à trois interfaces réseau et qui est connecté à une seule interface Firebox. Dans Fireware XTM, vous configurez ces interfaces ensemble, en tant qu’interface 1. Mode de routage mixte En mode de routage mixte, vous pouvez configurer votre périphérique Firebox pour envoyer le trafic réseau entre différents types d’interfaces réseau physiques et virtuelles. Le mode de routage mixte est le mode de réseau par défaut. La plupart des fonctionnalités réseau et de sécurité sont disponibles dans ce mode, mais vous devez vérifier soigneusement la configuration de chaque périphérique connecté à Firebox pour que votre réseau fonctionne correctement. Une configuration réseau de base en mode de routage mixte utilise au moins deux interfaces. Par exemple, vous pouvez connecter une interface externe à un câble modem ou à une autre connexion Internet, et une interface approuvée à un routeur interne qui relie les membres internes de votre organisation. À partir de cette configuration de base, vous pouvez ajouter un réseau facultatif qui protège les serveurs tout en offrant un accès plus large depuis les réseaux externes, permet de configurer des réseaux VLAN et d’autres fonctions avancées, ou encore de définir des options de sécurité supplémentaires, par exemple des restrictions d’adresse MAC. Vous pouvez également définir le mode d’envoi du trafic réseau d’une interface à l’autre. Pour démarrer une configuration d’interface en mode de routage mixte, voir Paramètres d’interface standard à la page 100. Il est facile d’oublier les adresses IP et les points de connexion de votre réseau en mode de routage mixte, en particulier si vous utilisez des VLAN (réseaux locaux virtuels), des réseaux secondaires et d’autres fonctions avancées. Il est recommandé de noter les informations de base de votre configuration réseau et VPN dans le cas où vous auriez besoin de contacter le support technique. Ces informations peuvent aider le technicien à résoudre votre problème rapidement. Configurer une interface externe Une interface externe est utilisée pour connecter le périphérique Firebox ou XTM à un réseau en dehors de votre organisation. L’interface externe est souvent la méthode qui vous permet de connecter votre périphérique à Internet. Vous pouvez configurer un maximum de quatre (4) interfaces externes physiques. Lorsque vous configurez une interface externe, vous devez choisir la méthode qu’utilise votre fournisseur de services Internet (ISP) afin de donner une adresse IP à votre périphérique. Si vous ne connaissez pas cette méthode, vous pouvez obtenir ces informations de votre fournisseur de services Internet ou de votre administrateur réseau. Pour plus d’informations sur les méthodes utilisées pour définir et distribuer les adresses IP, voir Statique et dynamique Adresses IP à la page 5. Utiliser une adresse IP statique 1. Sélectionnez Réseau > Interfaces. La page Interfaces réseau apparaît. 2. Sélectionnez une interface externe. Cliquez sur Configurer. 86 WatchGuard System Manager Définition et configuration réseau 3. Dans la liste déroulante Mode de configuration, sélectionnez IP statique. 4. Dans la zone de texte Adresse IP , saisissez l’adresse IP de l’interface. 5. Dans la zone de texte Passerelle par défaut , saisissez l’adresse IP de la passerelle par défaut. 6. Cliquez sur Enregistrer. Utiliser l’authentification PPPoE Si votre fournisseur de services Internet utilise PPPoE, vous devez configurer l’authentification PPPoE pour que votre périphérique puisse acheminer le trafic via l’interface externe. 1. Sélectionnez Réseau > Interfaces. La page Interfaces réseau apparaît. 2. Sélectionnez une interface externe. Cliquez sur Configurer. 3. Dans la liste déroulante Mode de configuration , sélectionnez PPPoE. 4. Sélectionnez une option : n n Obtenir une adresse IP automatiquement Utiliser cette adresse IP (fournie par votre fournisseur de services Internet) 5. Si vous avez sélectionné Utiliser cette adresse IP, saisissez l’adresse IP dans la zone de texte en regard. 6. Saisissez le nom d’utilisateur et le mot de passe. Ressaisissez le mot de passe. Les fournisseurs de services Internet utilisent le format des adresses de messagerie pour les noms d’utilisateur, par exemple utilisateur@exemple.com. 7. Cliquez sur Paramètres PPPoE avancés pour configurer des options PPPoE supplémentaires. Votre fournisseur de services Internet peut vous contacter si vous devez modifier le délai d’attente ou les valeurs LCP. Guide de l’utilisateur 87 Définition et configuration réseau 8. Si votre fournisseur de services Internet exige l’indicateur Host-Uniq pour les paquets de découverte PPPoE, cochez la case Utiliser l’indicateur Host-Uniq dans les paquets de découverte PPPoE. 9. Sélectionnez le moment où le périphérique se connecte au serveur PPPoE : n Toujours actif — Le périphérique Firebox ou XTM conserve une connexion PPPoE constante. Il n’est pas nécessaire pour le trafic réseau de passer par l’interface externe. Si vous sélectionnez cette option, saisissez ou sélectionnez une valeur dans la zone de texte Intervalle de réinitialisation de PPPoE pour définir le nombre de secondes pendant lesquelles PPPoE s’initialise avant de dépasser le délai. n Connexion à la demande — Le périphérique Firebox ou XTM se connecte au serveur PPPoE uniquement lorsqu’il reçoit une requête d’envoi de trafic à une adresse IP sur l’interface externe. Si votre fournisseur de services Internet réinitialise régulièrement la connexion, sélectionnez cette option. Si vous sélectionnez cette option, définissez dans la zone de texte Délai d’inactivité , la durée pendant laquelle un client peut rester connecté lorsqu’aucun trafic n’est envoyé. Si vous ne sélectionnez pas cette option, vous devez redémarrer le périphérique Firebox manuellement à chaque réinitialisation de la connexion. 10. Dans la zone de texte Échec d’écho LCP après , saisissez ou sélectionnez le nombre de requêtes d’écho LCP échouées autorisées avant que la connexion PPPoE soit considérée comme inactive et fermée. 11. Dans la zone de texte Délai d’écho LCP dans , saisissez ou sélectionnez le délai, en secondes, au cours duquel la réponse de chaque délai d’écho doit être reçue. 12. Pour configurer le périphérique Firebox ou XTM pour qu’il redémarre automatiquement la connexion PPPoE tous les jours ou toutes les semaines, cochez la case Heure programmée pour le redémarrage automatique. 88 WatchGuard System Manager Définition et configuration réseau 13. Dans la liste déroulante Heure programmée pour le redémarrage automatique, sélectionnez Quotidien pour redémarrer la connexion à la même heure tous les jours ou choisissez un jour de la semaine pour que le redémarrage s’effectue de manière hebdomadaire. Sélectionnez l’heure et la minute du jour (au format 24 heures) pour redémarrer automatiquement la connexion PPPoE. 14. Dans la zone de texte Nom de service , saisissez un nom de service PPPoE. Il peut s’agir d’un nom d’ISP ou d’une classe de service configurée sur le serveur PPPoE. Cette option n’est généralement pas utilisée. Sélectionnez cette option uniquement s’il existe plusieurs concentrateurs d’accès ou si vous devez utiliser un nom de service spécifique. 15. Dans la zone de texte Nom du concentrateur d’accès , saisissez le nom d’un concentrateur d’accès PPPoE, appelé également serveur PPPoE. Cette option n’est généralement pas utilisée. Sélectionnez cette option uniquement s’il existe plusieurs concentrateurs d’accès. 16. Dans la zone de texte Nouvelles tentatives d’authentification , saisissez ou sélectionnez le nombre de tentatives de connexion que peut réaliser le périphérique Firebox ou XTM. La valeur par défaut est trois (3) tentatives de connexions. 17. Dans la zone de texte Délai d’authentification , saisissez la valeur de la durée entre les tentatives. La valeur par défaut est de 20 secondes entre chaque tentative de connexion. 18. Cliquez sur Retour aux paramètres PPPoE principaux. 19. Sauvegarder votre configuration. Utiliser le protocole DHCP 1. Dans la liste déroulante Mode de configuration , sélectionnez DHCP. 2. Si votre fournisseur de services Internet ou le serveur DHCP externe exige un identifiant client, une adresse MAC par exemple, saisissez ces informations dans la zone de texte Client . 3. Pour indiquer un nom d’hôte pour l’identification, saisissez-le dans la zone de texte Nom d’hôte . 4. Pour attribuer manuellement une adresse IP à l’interface externe, saisissez-la dans la zone de texte Utiliser cette adresse IP . Pour configurer cette interface de manière à obtenir une adresse IP automatiquement, ne renseignez pas la zone de texte Utiliser cette adresse IP. 5. Pour changer la durée du bail, cochez la case Durée du bail et sélectionnez la valeur souhaitée dans la liste déroulante située en regard. Les adresses IP attribuées par un serveur DHCP sont définies par défaut avec un bail d’un jour qui permet de les utiliser pendant une journée. Guide de l’utilisateur 89 Définition et configuration réseau Configurer DHCP en mode de routage mixte La méthode DHCP (Dynamic Host Configuration Protocol) permet d’attribuer des adresses IP automatiquement aux clients réseau. Vous pouvez configurer votre périphérique WatchGuard en tant que serveur DHCP pour les réseaux qu’il protège. Si vous avez un serveur DHCP, il est recommandé de continuer à utiliser ce serveur pour DHCP. Si votre périphérique WatchGuard est configuré en mode d’insertion, voir Configurer DHCP en mode d’insertion à la page 96. Note Vous ne pouvez pas configurer DHCP sur une interface pour laquelle FireCluster est activé. Configurer DHCP 1. Sélectionnez Réseau > Interfaces. 2. Sélectionnez une interface approuvée ou facultative. Cliquez sur Configurer. 90 WatchGuard System Manager Définition et configuration réseau 3. Dans la liste déroulante Mode de configuration, sélectionnez Utiliser le serveur DHCP. 4. Pour ajouter un groupe d’adresses IP à des utilisateurs de cette interface, saisissez l’adresse IP de démarrage et l’adresse IP de fin du même sous-réseau, puis cliquez sur Ajouter. Le pool d’adresses doit appartenir au sous-réseau IP principal ou secondaire de l’interface. Vous pouvez configurer un maximum de six plages d’adresses. Les groupes d’adresses sont utilisés de la première à la dernière. Les adresses de chaque groupe sont attribuées par numéro, du plus petit au plus grand. 5. Pour changer la durée du bail par défaut, sélectionnez une autre option dans la liste déroulante Durée du bail. C’est l’intervalle temporel pendant lequel un client DHCP peut utiliser une adresse IP qu’il reçoit du serveur DHCP. Lorsque la durée du bail est sur le point d’arriver à expiration, le client envoie les données au serveur DHCP pour obtenir un nouveau bail. 6. Par défaut, lorsqu’il est configuré en tant que serveur DHCP, votre périphérique WatchGuard fournit les informations de serveur DNS et WINS dans l’onglet Configuration du réseau > WINS/DNS. Pour indiquer différentes informations afin que votre périphérique les attribue lorsqu’il fournit des adresses IP, cliquez sur l’onglet DNS/WINS. n n n n Saisissez un nom de domaine pour changer le domaine DNS par défaut. Pour créer une nouvelle entrée de serveur DNS ou WINS, cliquez sur le bouton Ajouter situé à côté du type de serveur que vous souhaitez, saisissez une adresse IP et cliquez sur OK. Pour changer l’adresse IP du serveur sélectionné, cliquez sur le bouton Modifier. Pour supprimer le serveur sélectionné de la liste située à côté, cliquez sur le bouton Supprimer. Configurer les réservations DHCP Pour réserver une adresse IP spécifique pour un client : Guide de l’utilisateur 91 Définition et configuration réseau 1. Entrez le nom de la réservation, de l’adresse IP à réserver et de l’adresse MAC de la carte réseau du client. 2. Cliquez sur Ajouter. À propos du Service DNS dynamique Vous pouvez enregistrer l’adresse IP externe de votre périphérique WatchGuard avec le service DNS dynamique DynDNS.org. Un service DNS dynamique vérifie que l’adresse IP associée à votre nom de domaine change lorsque votre fournisseur de services Internet attribue à votre périphérique une nouvelle adresse IP. Cette fonctionnalité est disponible en mode de configuration réseau routage mixte ou d’insertion. Si vous utilisez cette fonctionnalité, votre périphérique WatchGuard obtient l’adresse IP auprès de members.dyndns.org au démarrage. Il vérifie qu’elle est valide à chaque redémarrage et tous les vingt jours. Si vous modifiez votre configuration DynDNS sur votre périphérique WatchGuard ou si vous changez l’adresse IP de la passerelle par défaut, DynDNS.com est automatiquement mis à jour. Pour plus d’informations sur le service DNS dynamique ou pour créer un compte DynDNS, accédez au site http://www.dyndns.com. Note WatchGuard n’est pas une filiale de DynDNS.com. Configurer DNS dynamique 1. Sélectionnez Réseau > DNS dynamique. La page Client DNS dynamique apparaît. 2. Sélectionnez une interface réseau, puis cliquez sur Configurer. La page Configuration DNS dynamique apparaît. 92 WatchGuard System Manager Définition et configuration réseau 3. 4. 5. 6. 7. Cochez la case Activer le DNS dynamique. Entrez les Nom d’utilisateur et Mot de passe. Dans la zone de texte Confirmer, ressaisissez le mot de passe. Dans la zone de texte Domaine, saisissez le domaine de votre organisation. Dans la liste déroulante Type de service, sélectionnez le système à utiliser pour le DNS dynamique : n n dyndns — Envoie des mises à jour pour un nom d’hôte DNS dynamique. Utilisez l’option dyndns lorsque vous n’avez pas le contrôle de votre adresse IP (par exemple, si elle n’est pas statique et change régulièrement). custom — Envoie des mises à jour pour un nom d’hôte DNS personnalisé. Les entreprises qui paient pour enregistrer leur domaine auprès de dyndns.com font souvent appel à cette option. Pour accéder à une explication de chaque option, voir http://www.dyndns.com/services/. 8. Dans le champ Options, saisissez une ou plusieurs de ces options : n n n n mx=mailexchanger& — Indique le Mail eXchanger (MX) à utiliser avec le nom d’hôte. backmx=YES|NO& — Exige que le MX du paramètre précédent soit configuré en tant que MX de sauvegarde (inclut l’hôte en tant que MX avec valeur de préférence inférieure). wildcard=ON|OFF|NOCHG& — Active ou désactive les caractères génériques pour cet hôte (ON permet de les activer). offline=YES|NO — Définit le nom d’hôte sur le mode hors ligne. Vous pouvez combiner une ou plusieurs de ces options à l’aide du signe esperluette (&). Par exemple : &mx=backup.kunstlerandsons.com&backmx=YES&wildcard=ON Pour plus d’informations, voir http://www.dyndns.com/developers/specs/syntax.html. 9. Cliquez sur Envoyer. Guide de l’utilisateur 93 Définition et configuration réseau À propos de la configuration du réseau en mode d’insertion Dans une configuration d’insertion, la même adresse IP est utilisée sur toutes les interfaces Firebox. Le mode de configuration d’insertion distribue la plage d’adresses logiques du réseau à l’ensemble des interfaces réseau disponibles. Vous pouvez placer votre périphérique Firebox entre le routeur et le réseau local sans devoir modifier la configuration sur les ordinateurs locaux. Cette configuration est appelée mode d’insertion, car votre périphérique WatchGuard inséré dans un réseau préalablement configuré. En mode d’insertion : n n n n Vous devez attribuer la même adresse IP principale à toutes les interfaces de Firebox (externes, approuvées et facultatives). Vous pouvez attribuer des réseaux secondaires sur toutes les interfaces. Vous pouvez conserver les mêmes adresses IP et passerelles par défaut pour les hôtes de vos réseaux approuvés et facultatifs, et ajouter une adresse réseau secondaire à l’interface externe principale pour que votre périphérique Firebox achemine correctement le trafic vers les hôtes de ces réseaux. Les serveurs publics derrière votre périphérique Firebox peuvent continuer à utiliser les adresses IP publiques. La traduction d’adresses n’est pas utilisée pour acheminer le trafic depuis l’extérieur de votre réseau vers vos serveurs publics. Les propriétés d’une configuration d’insertion sont les suivantes : n n n Vous devez attribuer une adresse IP statique et l’utiliser pour l’interface externe. Vous devez utiliser un réseau logique pour toutes les interfaces. Vous ne pouvez configurer qu’une seule interface externe lorsque votre périphérique WatchGuard est configuré en mode d’insertion. La fonctionnalité Multi-WAN est automatiquement désactivée. Il est parfois nécessaire de Effacer le cache ARP de chaque ordinateur protégé par Firebox, mais ce n’est pas fréquent. Note Si vous déplacez l’adresse IP d’un ordinateur situé derrière une interface vers un ordinateur situé derrière une autre interface, l’envoi du trafic réseau au nouvel emplacement peut prendre quelques minutes. Votre périphérique Firebox doit mettre à jour sa table de routage interne avant l’acheminement de ce trafic. Les types de trafic concernés sont les connexions de gestion SNMP, Firebox ou journalisation. Vous pouvez configurer vos interfaces réseau avec le mode d’insertion lorsque vous exécutez l’Assistant Quick Setup Wizard. Si vous avez déjà créé une configuration réseau, vous pouvez utiliser Policy Manager pour passer en mode d’insertion. Pour de plus amples informations, cf. Exécuter l’Assistant Web Setup Wizard à la page 25. Utilisezlemoded’insertion pourlaconfiguration del’interface réseau 1. Sélectionnez Réseau > Interfaces. La boîte de dialogue Interfaces réseau apparaît. 94 WatchGuard System Manager Définition et configuration réseau 2. Dans la liste déroulante Configurer les interfaces en, sélectionnez mode d’insertion transparent. 3. Dans le champ Adresse IP, saisissez l’adresse IP que vous souhaitez utiliser en tant qu’adresse principale pour toutes les interfaces sur Firebox. 4. Dans le champ Passerelle, saisissez l’adresse IP de la passerelle. Cette adresse IP est automatiquement ajoutée à la liste des hôtes associés. 5. Cliquez sur Enregistrer. Configurer les hôtes associés Dans une configuration d’insertion ou de pont, la même adresse IP est utilisée sur chaque interface Firebox. Votre périphérique Firebox détecte automatiquement les nouveaux périphériques qui sont connectés à ces interfaces et ajoute chaque nouvelle adresse MAC à sa table de routage interne. Si vous souhaitez configurer des connexions de périphérique manuellement ou si le mappage automatique d’hôte ne fonctionne pas correctement, vous pouvez ajouter une entrée pour les hôtes associés. Une entrée pour les hôtes associés crée un itinéraire statique entre l’adresse IP de l’hôte et une interface réseau. Il est recommandé de désactiver le mappage d’hôte automatique sur les interfaces pour lesquelles vous créez une entrée pour les hôtes associés. 1. Sélectionnez Réseau > Interfaces. La page Interfaces réseau apparaît. 2. Configurer des interfaces réseau en mode d’insertion et mode pont. Cliquez sur Propriétés. La page Propriétés du mode d’insertion apparaît. 3. Désélectionnez la case des interfaces pour lesquelles vous souhaitez ajouter une entrée pour les hôtes associés. 4. Dans la zone de texte Hôte, saisissez l’adresse IP du périphérique pour lequel vous souhaitez établir un itinéraire statique depuis le périphérique Firebox. Sélectionnez l’interface dans la liste déroulante située en regard, puis cliquez sur Ajouter. Répétez cette opération pour ajouter des périphériques supplémentaires. Guide de l’utilisateur 95 Définition et configuration réseau 5. Cliquez sur Enregistrer. Configurer DHCP en mode d’insertion Lorsque vous utilisez le mode d’insertion pour la configuration du réseau, vous pouvez également configurer Firebox en tant que serveur DHCP pour les réseaux qu’il protège ou l’utiliser en tant qu’agent de relais DHCP. Si un serveur DHCP est déjà configuré, il est conseillé de le conserver. Utiliser le protocole DHCP Par défaut, Firebox attribue les informations configurées de serveur DNS/WINS lorsqu’il est configuré en tant que serveur DHCP. Vous pouvez configurer des informations DNS/WINS sur cette page afin de remplacer la configuration globale. Pour plus d’informations, voir les instructions dans Ajouter Serveurs WINS et Adresses du serveur DNS à la page 103. 1. Sélectionnez Réseau > Interfaces. La page Interfaces réseau apparaît. 2. Cliquez sur Propriétés. 3. Sélectionnez l’onglet Paramètres DHCP. 96 WatchGuard System Manager Définition et configuration réseau 4. Pour ajouter un pool d’adresses depuis lequel Firebox peut fournir des adresses IP : dans les zones de texte d’adresse IP de démarrage et IP de fin, saisissez une plage d’adresses IP qui ne se trouvent pas sur le même sous-réseau que l’adresse IP d’insertion. Cliquez sur Ajouter. Répétez cette opération pour ajouter d’autres pools d’adresses. Vous pouvez configurer un maximum de six pools d’adresses. 5. Afin de réserver une adresse IP spécifique d’un pool d’adresses pour un périphérique ou un client, dans la section Adresses réservées : n n n n Saisissez un nom de réservation pour identifier la réservation. Saisissez adresse IP réservée que vous souhaitez réserver. Saisissez l’adresse MAC du périphérique. Cliquez sur Ajouter. Répétez cette opération pour ajouter d’autres réservations DHCP. 6. Si nécessaire, Ajouter Serveurs WINS et Adresses du serveur DNS. 7. Pour changer la durée du bail DHCP, sélectionnez une autre option dans la liste déroulante Durée du bail. 8. En haut de la page, cliquez sur Retour. 9. Cliquez sur Enregistrer. Guide de l’utilisateur 97 Définition et configuration réseau Utiliser le relais DHCP 1. Sélectionnez Réseau > Interfaces. La page Interfaces réseau apparaît. 2. Sélectionnez une interface approuvée ou facultative, puis cliquez sur Configurer. Vous pouvez également double-cliquer sur une interface approuvée ou facultative. La page Configuration d’interface apparaît. 3. Dans la section située à côté de la zone de texte IP Adresse, sélectionnez Utiliser le relais DHCP. 4. Entrez l’adresse IP du serveur DHCP dans la zone appropriée. Veillez à Ajouter un itinéraire statique sur le serveur DHCP, si nécessaire. 5. Cliquez sur Enregistrer. Cliquez de nouveau sur Enregistrer. Spécifier les paramètres DHCP d’une seule interface Vous pouvez indiquer différents paramètres DHCP pour chaque interface approuvée ou facultative de votre configuration. Pour modifier ces paramètres : 1. 2. 3. 4. Faites défiler la boîte de dialogue Configuration du réseau. Sélectionnez une interface. Cliquez sur Configurer. Pour utiliser les mêmes paramètres DHCP que vous avez configurés pour le mode d’insertion, sélectionnez Utiliser le réglage système DHCP. Pour désactiver le protocole DHCP pour les clients de cette interface réseau, sélectionnez Désactiver DHCP. Pour configurer d’autres options DHCP pour les clients d’un réseau secondaire, sélectionnez Utiliser le serveur DHCP pour le réseau secondaire. 5. Pour ajouter des pools d’adresses IP, définissez la durée du bail par défaut et gérez les serveurs DNS/WINS. Suivez les étapes 3–6 de la section Utiliser le protocole DHCP. 6. Cliquez sur OK. 98 WatchGuard System Manager Définition et configuration réseau Mode pont Le mode pont est une fonctionnalité qui vous permet d’installer votre périphérique Firebox ou XTM entre un réseau existant et sa passerelle, afin de filtrer ou de gérer le trafic réseau. Lorsque vous activez cette fonctionnalité, votre périphérique Firebox ou XTM traite tout le trafic réseau et le transmet vers d’autres passerelles. Lorsque le trafic provenant du périphérique Firebox ou XTM arrive à une passerelle, il semble provenir du périphérique d’origine. Pour utiliser le mode pont, vous devez indiquer une adresse IP utilisée pour gérer votre périphérique Firebox ou XTM. Le périphérique utilise également cette adresse IP pour obtenir les mises à jour de Gateway AV/IPS et acheminer le trafic vers les serveurs internes DNS, NTP ou WebBlocker (le cas échéant). Vous devez donc veiller à attribuer une adresse IP routable sur Internet. Lorsque vous utilisez le mode pont, votre périphérique Firebox ou XTM ne peut pas réaliser certaines fonctions pour lesquelles il doit fonctionner en tant que passerelle. Ces fonctions sont les suivantes : n n n n n n n n n n n n Multi-WAN Réseaux locaux VLAN (Virtual Local Area Networks) Ponts réseau Itinéraires statiques FireCluster Réseaux secondaires Serveur DHCP ou relais DHCP Basculement vers un modem série (Firebox X Edge uniquement) NAT un à un, dynamique ou statique Routage dynamique (OSPF, BGP ou RIP) Tout type de réseau privé VPN pour lequel le périphérique Firebox ou XTM est un point de terminaison ou une passerelle Certaines fonctions proxy, notamment le serveur de mise en cache Web HTTP Si vous avez configuré ces fonctions services, ils sont désactivés lorsque vous passez en mode pont. Pour réutiliser ces fonctions ou services, vous devez utiliser un autre mode réseau. Si vous revenez au mode d’insertion ou de routage mixte, vous devrez peut-être reconfigurer certaines fonctions. Note Lorsque vous activez le mode pont, les interfaces ayant un pont réseau ou un réseau VLAN préconfiguré sont désactivées. Pour utiliser ces interfaces, vous devez d’abord passer en mode d’insertion ou de routage mixte, configurer ensuite l’interface en tant qu’interface externe, facultative ou approuvée, puis revenir en mode pont. Les fonctions sans fil des périphériques Firebox ou XTM sans fil fonctionnent correctement en mode pont. Pour activer le mode pont : 1. Sélectionnez Réseau > Interfaces. La page Interfaces réseau apparaît. 2. Dans la liste déroulante Configurer les interfaces en, sélectionnez Mode pont. Guide de l’utilisateur 99 Définition et configuration réseau 3. Si le système vous invite à désactiver les interfaces, cliquez sur Oui pour désactiver les interfaces ou sur Non pour revenir à votre configuration antérieure. 4. Saisissez l’adresse IP de votre périphérique Firebox ou XTM en notation de barre oblique. Pour plus d’informations sur la notation de barre oblique, voir À propos de la notation de barre oblique à la page 4. 5. Saisissez l’adresse IP de la passerelle qui reçoit tout le trafic réseau provenant du périphérique. 6. Cliquez sur Enregistrer. Paramètres d’interface standard En mode de routage mixte, vous pouvez configurer votre périphérique WatchGuard pour envoyer le trafic réseau entre différents types d’interfaces réseau physiques et virtuelles. C’est le mode de réseau par défaut ; il offre la plus grande souplesse pour les différentes configurations réseau. Vous devez toutefois configurer chaque interface séparément et vous devrez peut-être changer les paramètres réseau de chaque ordinateur ou client protégé par votre périphérique WatchGuard. Pour configurer votre périphérique Firebox avec le mode de routage mixte : 1. Sélectionnez Réseau > Interfaces. La boîte de dialogue Réseau Interfaces apparaît. 2. Sélectionnez l’interface que vous souhaitez configurer, puis cliquez sur Configurer. Les options disponibles dépendent du type d’interface sélectionné. La boîte de dialogue Interface Settings Configuration (Configuration d’interface apparaît. 100 WatchGuard System Manager Définition et configuration réseau 3. Dans le champ Nom de l’interface (Alias), vous pouvez conserver le nom par défaut ou le modifier pour qu’il reflète plus précisément votre réseau et ses propres relations d’approbation. Vérifiez que ce nom n’a pas été attribué à une interface, un groupe MVPN ou un tunnel. Vous pouvez utiliser cet alias avec d’autres fonctions, des stratégies de proxy par exemple, pour gérer le trafic réseau de cette interface. 4. (Facultatif) Saisissez la description de l’interface dans le champ Description de l’interface. 5. Dans la liste déroulante Mode de configuration, sélectionnez le type d’interface. Vous pouvez sélectionner Externe, Approuvée, Facultative, Pont, Désactivé ou VLAN. Certains types d’interface ont des paramètres supplémentaires. n n n n n Pour plus d’informations sur l’attribution d’une adresse IP à une interface externe, voir Configurer une interface externe à la page 86. Pour définir l’adresse IP d’une interface approuvée ou facultative, saisissez l’adresse IP en notation de barre oblique. Pour attribuer automatiquement des adresses IP aux clients d’une interface approuvée ou facultative, voir Configurer DHCP en mode de routage mixte à la page 90 ou Configurer le relais DHCP à la page 102. Pour utiliser plusieurs adresses IP sur une même interface réseau physique, voir Configurer un réseau secondaire à la page 104. Pour plus d’informations sur les configurations VLAN, voir À propos des réseaux locaux virtuels (VLAN) à la page 113. Pour supprimer une interface de votre configuration, voir Désactiver une interface à la page 101. 6. Configurez votre interface en suivant les indications de l’une des rubriques ci-dessus. 7. Cliquez sur Enregistrer. Désactiver une interface 1. Sélectionnez la Configuration > réseau. La boîte de dialogue Configuration du réseau s’affiche. Guide de l’utilisateur 101 Définition et configuration réseau 2. Sélectionnez l’interface à désactiver. Cliquez sur Configurer. La boîte de dialogue Paramètres de l’interface s’ouvre. 3. Dans la liste déroulante Type d’interface, sélectionnez Désactivée. Cliquez sur OK. Dans la boîte de dialogue Configuration du réseau, l’interface apparaît maintenant comme étant Désactivée. Configurer le relais DHCP Vous pouvez faire appel à un serveur DHCP sur un réseau différent afin d’obtenir des adresses IP pour les ordinateurs des réseaux approuvés ou facultatifs. Vous pouvez utiliser le relais DHCP pour obtenir les adresses IP des ordinateurs d’un réseau approuvé ou facultatif. Avec cette fonctionnalité, Firebox envoie des requêtes DHCP à un serveur d’un autre réseau. Si le serveur DHCP que vous souhaitez utiliser n’est pas sur un réseau protégé par votre périphérique WatchGuard, vous devez configurer un tunnel VPN entre votre périphérique WatchGuard et le serveur DHCP pour que cette option fonctionne correctement. Note Vous ne pouvez pas utiliser le relais DHCP sur une interface sur laquelle FireCluster est activé. Pour configurer le relais DHCP : 1. Sélectionnez Réseau > Interfaces. La page Interfaces réseau apparaît. 2. Sélectionnez une interface approuvée ou facultative et cliquez sur Configurer. 3. Danslalistedéroulante situéeendessousde l’adressede l’interface IP,sélectionnezUtiliserlerelais DHCP. 4. Saisissez l’adresse IP du serveur DHCP dans le champ correspondant. Veillez à Ajouter un itinéraire statique sur le serveur DHCP, si nécessaire. 5. Cliquez sur Enregistrer. Limiter le trafic réseau par adresse MAC Vous pouvez utiliser la liste des adresses MAC pour gérer les périphériques autorisés à envoyer du trafic sur l’interface réseau que vous indiquez. Lorsque vous activez cette fonction, votre périphérique WatchGuard vérifie l’adresse MAC de chaque ordinateur ou périphérique qui se connecte à l’interface indiquée. Si l’adresse MAC de ce périphérique ne figure pas dans la liste de contrôle d’accès MAC de cette interface, le périphérique ne peut pas envoyer de trafic. Cette fonction est particulièrement utile pour éviter tout accès non autorisé à votre réseau depuis un lieu à l’intérieur de votre bureau. Toutefois, vous devez mettre à jour la liste de contrôle d’accès MAC pour chaque interface lorsqu’un nouvel ordinateur autorisé est ajouté au réseau. Note Si vous choisissez de restreindre l’accès par adresse MAC, vous devez inclure l’adresse MAC de l’ordinateur qui sert à gérer votre périphérique WatchGuard. Pour activer le contrôle d’accès MAC pour une interface réseau : 102 WatchGuard System Manager Définition et configuration réseau 1. Sélectionnez Réseau > Interfaces. La page Interfaces réseau apparaît. 2. Sélectionnez l’interface sur laquelle vous souhaitez activer le contrôle d’accès MAC, puis cliquez sur Configurer. La page Configuration d’interface apparaît. 3. Sélectionnez l’onglet MAC Contrôle d’accès. 4. Cochez la case Limiter l’accès par adresse MAC. 5. Saisissez l’adresse MAC de l’ordinateur ou du périphérique de manière à fournir l’accès à l’interface indiquée. 6. (Facultatif) Saisissez le nom de l’ordinateur ou du périphérique pour l’identifier dans la liste. 7. Cliquez sur Ajouter. Répétez les étapes 5-7 pour ajouter d’autres ordinateurs ou périphériques à la liste de contrôle d’accès MAC. Ajouter Serveurs WINS et Adresses du serveur DNS Votre périphérique Firebox partage les adresses IP de serveur WINS (Windows Internet Name Server) et DNS (Domain Name System) pour certaines fonctions. Il s’agit de DHCP et de Mobile VPN. Les serveurs WINS et DNS doivent être accessibles depuis l’interface Firebox approuvée. Ces informations sont utilisées pour deux raisons : n n Firebox utilise le serveur DNS pour résoudre les noms en adresses IP afin que les VPN IPSec, le spamBlocker, Gateway AV et les fonctionnalités IPS fonctionnent correctement. Les entrées WINS et DNS sont utilisées par les clients DHCP sur le réseau approuvé et le réseau facultatif, ainsi que par les utilisateurs de Mobile VPN, pour résoudre les requêtes DNS. Assurez-vous d’utiliser uniquement un serveur WINS et un serveur DNS internes pour DHCP et Mobile VPN. Ainsi, vous aurez l’assurance de ne pas créer des stratégies dont les propriétés de configuration empêchent les utilisateurs de se connecter au serveur DNS. Guide de l’utilisateur 103 Définition et configuration réseau 1. Sélectionnez Réseau > Interfaces. 2. Accédez à la section Serveurs DNS et Serveurs WINS. 3. Dans la zone de texte Serveur DNS ou Serveur WINS, saisissez les adresses principale et secondaire de chaque serveur WINS et DNS. 4. Cliquez sur Ajouter. 5. Répétez les étapes 3–4 pour spécifier jusqu’à trois serveurs DNS. 6. (Facultatif) Dans la zone de texte Nom de domaine, saisissez le nom de domaine qu’un client DHCP doit utiliser avec les noms non qualifiés tels que watchguard_mail. Configurer un réseau secondaire Un réseau secondaire est un réseau qui partage l’un des réseaux physiques utilisés par les interfaces du périphérique Firebox ou XTM. Lorsque vous ajoutez un réseau secondaire, vous ajoutez un alias IP à l’interface. L’alias IP est la passerelle par défaut de tous les ordinateurs du réseau secondaire. Le réseau secondaire indique au périphérique Firebox ou XTM qu’un autre réseau est disponible sur son interface. Par exemple, si vous configurez un périphérique Firebox ou XTM en mode d’insertion, vous donnez à chaque interface Firebox ou XTM la même adresse IP. Toutefois, vous utilisez probablement un ensemble d’adresses IP différent sur votre réseau approuvé. Vous pouvez ajouter ce réseau privé en tant que réseau secondaire à l’interface approuvée de votre périphérique Firebox ou XTM. Lorsque vous ajoutez un réseau secondaire, vous créez un itinéraire depuis une adresse IP du réseau secondaire vers l’adresse IP de l’interface du périphérique Firebox ou XTM. Si le périphérique Firebox ou XTM est configuré avec une adresse IP statique sur une interface externe, vous pouvez également ajouter une adresse IP sur le même sous-réseau que l’interface externe principale en tant que réseau secondaire. Vous pouvez ensuite configurer la traduction d’adresses réseau statique pour plusieurs types de serveurs identiques. Par exemple, vous configurez un réseau secondaire externe avec une deuxième adresse IP publique si vous disposez de deux serveurs SMTP publics et souhaitez configurer une règle de traduction d’adresses réseau statique pour chacun d’eux. 104 WatchGuard System Manager Définition et configuration réseau Vous pouvez ajouter jusqu’à 2 048 réseaux secondaires par interface Firebox ou XTM. Vous pouvez utiliser des réseaux secondaires avec une configuration réseau d’insertion ou routée. Vous pouvez également ajouter un réseau secondaire à une interface externe d’un périphérique Firebox ou XTM si cette interface externe est configurée pour obtenir son adresse IP via PPPoE ou DHCP. Pour définir une adresse IP secondaire, vous devez avoir : n n Une adresse IP inutilisée du réseau secondaire que vous attribuez à l’interface de périphérique Firebox ou XTM à laquelle il se connecte Une adresse IP inutilisée du même réseau que l’interface externe du périphérique Firebox ou XTM Pour définir une adresse IP secondaire : 1. Sélectionnez Réseau > Interfaces. La page Interfaces réseau apparaît. 2. Sélectionnez l’interface du réseau secondaire et cliquez sur Configurer ou double-cliquez sur une interface. La page Configuration d’interface apparaît. 3. Dans la section Réseaux secondaires, saisissez une adresse IP non attribuée d’un hôte en notation de barre oblique depuis le réseau secondaire. Cliquez sur Ajouter. Répétez cette opération pour ajouter des réseaux secondaires supplémentaires. 4. Cliquez sur Enregistrer. 5. Cliquez de nouveau sur Enregistrer. Note Assurez-vous d’ajouter correctement les adresses du réseau secondaire. Le périphérique Firebox ou XTM ne vous avertit pas en cas d’erreur. Il est déconseillé de créer un sous-réseau comme réseau secondaire sur une interface faisant partie d’un réseau plus étendu situé sur une interface différente. Si vous le faites, le réseau risque d’être attaqué et de ne pas fonctionner correctement. À propos des paramètres d’interface Vous pouvez utiliser plusieurs paramètres d’interface Firebox avancés : Paramètres de carte réseau configure les paramètres de connexion (vitesse et mode duplex) des interfaces Firebox en mode manuel ou automatique. Il est conseillé de conserver la vitesse de connexion configurée pour la négociation automatique. Si vous choisissez l’option de configuration manuelle, assurez-vous que les paramètres de connexion (vitesse et mode duplex) du périphérique auquel Firebox se connecte sont identiques à ceux de Firebox. N’utilisez cette option que si vous devez ignorer les paramètres d’interface automatiques de Firebox pour accéder aux autres périphériques du réseau. Guide de l’utilisateur 105 Définition et configuration réseau Définir la bande passante de l’interface en sortie Lorsque vous utilisez les paramètres de gestion du trafic pour garantir la bande passante aux stratégies, ce paramètre garantit que vous ne réservez pas plus de bande passante qu’il n’en existe pour une interface. Ce paramètre vous permet également de vous assurer que la somme des paramètres de bande passante garantie ne sature pas la liaison, ce qui empêcherait la transmission de tout trafic non garanti. Activer le marquage QoS pour une interface crée différentes catégories de services pour différents types de trafic réseau. Vous pouvez définir le comportement de marquage par défaut lorsque le trafic sort d’une interface. Ces paramètres peuvent être remplacés par des paramètres définis pour une stratégie. Définir Bit DF pour IPSec Détermine le paramètre du bit Don’t Fragment (DF) pour IPSec. Paramètre PMTU pour IPSec (interfaces externes uniquement) contrôle la durée pendant laquelle Firebox diminue l’unité maximale de transmission (MTU) d’un tunnel VPN IPSec lorsqu’il reçoit une requête ICMP de fragmentation d’un paquet provenant d’un routeur dont le paramètre MTU est inférieur sur Internet. Utiliser la liaison d’adresse MAC statique Utilise les adresses matérielles (MAC) pour contrôler l’accès à une interface Firebox. Paramètres de carte réseau 1. Sélectionnez Réseau > Interfaces. 2. Sélectionnez l’interface que vous souhaitez configurer. Cliquez sur Configurer. 3. Cliquez sur Paramètres généraux avancés. 4. Dans la liste déroulante Vitesse de la connexion, sélectionnez Négociation automatique si vous souhaitez que le périphérique WatchGuard sélectionne la meilleure vitesse réseau. Vous pouvez également sélectionner l’une des vitesses semi-duplex ou duplex intégral si l’une ou l’autre est compatible avec votre autre équipement réseau. Négociation automatique est le paramètre par défaut. Il est fortement recommandé de ne pas changer ce paramètre sauf si le service de support technique vous l’a conseillé. Si vous définissez la vitesse de connexion manuellement et que d’autres périphériques de votre réseau ne prennent pas en charge la vitesse que vous sélectionnez, cela peut entraîner un conflit qui empêche l’interface Firebox de rétablir la connexion après le basculement. 106 WatchGuard System Manager Définition et configuration réseau 5. Dans la zone de texte Taille maximale de l’unité de transmission (MTU) , sélectionnez la taille maximale des paquets, en octets, qui peuvent être transmis par l’interface. Il est conseillé d’utiliser la valeur par défaut (1 500 octets), sauf si votre matériel de réseau requiert une taille de paquet différente. Vous pouvez définir la valeur MTU de 68 (minimum) à 9000 (maximum). 6. Pour changer l’adresse MAC de l’interface externe, cochez la case Remplacer l’adresse MAC et saisissez la nouvelle adresse MAC. Pour plus d’informations sur les adresses MAC, voir la section suivante. 7. Cliquez sur Enregistrer. 8. Cliquez de nouveau sur Enregistrer. À propos des adresses MAC Certains fournisseurs de services Internet (ISP) utilisent une adresse MAC pour identifier les ordinateurs sur leur réseau. Chaque adresse MAC obtient une adresse IP statique. Si votre FSI fait appel à cette méthode pour identifier votre ordinateur, vous devez modifier l’adresse MAC de l’interface externe du périphérique WatchGuard. Utilisez l’adresse MAC du modem câble, du modem ADSL ou du routeur qui s’est directement connecté au FSI dans la configuration d’origine. L’adresse MAC doit présenter les caractéristiques suivantes : n n Elle doit comporter 12 caractères hexadécimaux d’une valeur comprise entre 0 et 9 ou entre « a » et « f ». L’adresse MAC doit fonctionner avec : Une ou plusieurs adresses du réseau externe. L’adresse MAC du réseau approuvé pour le périphérique. o L’adresse MAC du réseau facultatif pour le périphérique. o o n L’adresse MAC ne doit pas être définie sur 000000000000 ou ffffffffffff. Si la case à cocher Remplacer l’adresse MAC n’est pas sélectionnée lors du redémarrage du périphérique WatchGuard, le périphérique utilise l’adresse MAC par défaut du réseau externe. Pour éviter les problèmes d’adresses MAC, le périphérique WatchGuard s’assure que l’adresse MAC que vous attribuez à l’interface externe est unique sur le réseau. Si le périphérique WatchGuard détecte un périphérique qui utilise la même adresse MAC, il réutilise l’adresse MAC standard de l’interface externe puis redémarre. Définir Bit DF pour IPSec Lorsque vous configurez l’interface externe, sélectionnez l’une des trois options pour déterminer le paramètre de la section Bit DF pour IPSec. Guide de l’utilisateur 107 Définition et configuration réseau Copier Sélectionnez Copier pour appliquer le paramètre de bit DF de la structure d’origine du paquet chiffré IPSec. Si une structure n’a pas de bits DF définis, Fireware XTM ne définit pas les bits DF et fragmente le paquet si nécessaire. Si une structure est définie pour ne pas être fragmentée, Fireware XTM encapsule l’intégralité de la structure et définit les bits DF du paquet chiffré pour faire correspondre la structure d’origine. Définir Sélectionnez Définir si vous ne souhaitez pas que le périphérique Firebox fragmente la structure, quel que soit le paramètre de bit d’origine. Si un utilisateur doit établir des connexions IPSec à Firebox derrière un autre périphérique Firebox, vous devez désactiver cette case à cocher pour activer la fonction de transmission IPSec. Par exemple, des employés itinérants travaillant sur un site client équipé d’un périphérique Firebox peuvent se connecter à leur réseau à l’aide d’IPSec. Pour que votre périphérique Firebox local établisse correctement la connexion IPSec sortante, vous devez également ajouter une stratégie IPSec. Effacer Sélectionnez Effacer pour diviser la structure en éléments pouvant tenir dans un paquet IPSec avec en-tête ESP ou AH, quel que soit le paramètre de bit d’origine. Paramètre PMTU pour IPSec Ce paramètre d’interface avancé concerne les interfaces externes uniquement. Le Path Maximum Transmission Unit (PMTU) contrôle la durée pendant laquelle Firebox diminue l’unité maximale de transmission (MTU) d’un tunnel VPN IPSec lorsqu’il reçoit une requête ICMP de fragmentation d’un paquet provenant d’un routeur dont le paramètre MTU est inférieur sur Internet. Il est conseillé de conserver le paramètre par défaut pour protéger Firebox si un routeur présente un paramètre MTU très faible sur Internet. Utiliser la liaison d’adresse MAC statique Vous pouvez contrôler l’accès à votre périphérique WatchGuard à l’aide d’une adresse matérielle (MAC). Cette fonctionnalité peut protéger votre réseau des attaques ARP des pirates informatiques. Ces derniers essaient de changer l’adresse MAC des ordinateurs pour faire correspondre un périphérique réel de votre réseau. Pour utiliser la liaison d’adresse MAC, vous devez associer une adresse IP sur l’interface indiquée avec une adresse MAC. Si cette fonctionnalité est activée, les ordinateurs avec l’adresse MAC indiquée ne peuvent envoyer et recevoir des informations qu’avec l’adresse IP associée. 108 WatchGuard System Manager Définition et configuration réseau Vous pouvez également utiliser cette fonctionnalité pour limiter tout le trafic réseau aux périphériques qui correspondent aux adresses MAC et IP de cette liste. Ce procédé est semblable à la fonctionnalité de contrôle d’accès MAC. Pour plus d’informations, voir Limiter le trafic réseau par adresse MAC à la page 102. Note Si vous choisissez de restreindre l’accès au réseau par adresse MAC, n’oubliez pas d’inclure l’adresse MAC de l’ordinateur qui sert à gérer votre périphérique WatchGuard. Pour configurer les paramètres de liaison d’adresse MAC statique : 1. Sélectionnez Réseau > Interfaces. Sélectionnez une interface, puis cliquez sur Configurer. 2. Cliquez sur Avancé. 3. Entrez une adresse IP et une paire d’adresses MAC. Cliquez sur Ajouter. Répétez cette opération pour ajouter des paires supplémentaires. 4. Si vous souhaitez que cette interface ne transmette que le trafic correspondant à une entrée de la liste Liaison d’adresse MAC/IP statique, cochez la case N’autoriser que le trafic envoyé vers/depuis ces adresses MAC/IP. Si vous ne souhaitez pas bloquer le trafic qui ne correspond à aucune entrée de la liste, désélectionnez la case à cocher. Rechercher l’adresse MAC d’un ordinateur Une adresse MAC est également appelée adresse matérielle ou adresse Ethernet. C’est un identifiant unique et propre à la carte réseau de l’ordinateur. Une adresse MAC a généralement l’aspect suivant : XXXX-XX-XX-XX-XX, chaque X représentant un chiffre ou une lettre de A à F. Pour trouver l’adresse MAC d’un ordinateur de votre réseau : 1. Dans l’interface de ligne de commande de l’ordinateur dont vous recherchez l’adresse MAC, saisissez ipconfig /all (Windows) ou ifconfig (OS X ou Linux). 2. Recherchez l’entrée de l’« adresse physique » de l’ordinateur. Guide de l’utilisateur 109 Définition et configuration réseau À propos des ponts LAN Un pont réseau établit la connexion entre plusieurs interfaces physiques réseau de votre périphérique WatchGuard. Un pont peut être utilisé de la même manière qu’une interface réseau physique normale. Par exemple, vous pouvez configurer le protocole DHCP pour attribuer des adresses IP aux clients d’un pont ; vous pouvez également l’utiliser en tant qu’alias dans les stratégies de pare-feu. Pour utiliser un pont, vous devez : 1. Créer une configuration de pont réseau. 2. Attribuer une interface réseau à un pont. Si vous souhaitez créer un pont pour tout le trafic entre deux interfaces, il est recommandé d’utiliser le mode pont pour votre configuration réseau. Créer une configuration de pont réseau Pour utiliser un pont, vous devez créer une configuration de pont et l’attribuer à une ou plusieurs interfaces réseau au pont. 1. Sélectionnez Réseau > Pont. La page Pont apparaît. 2. Cliquez sur Nouveau. 110 WatchGuard System Manager Définition et configuration réseau 3. Dans l’onglet Paramètres de pont, saisissez le nom et la description (facultatif) de la configuration de pont. 4. Sélectionnez une zone de sécurité dans la liste déroulante et saisissez en notation de barre oblique l’ adresse IP du pont. Le pont est ajouté à l’alias de la zone de sécurité que vous indiquez. 5. Pour ajouter des interfaces réseau, cochez la case située à côté de chaque interface réseau que vous souhaitez ajouter à la configuration de pont. 6. Pour configurer les paramètres DHCP, sélectionnez l’onglet DHCP . Sélectionnez Serveur DHCP ou Relais DHCP dans la liste déroulante Mode DHCP. Pour plus d’informations sur la configuration DHCP, voir Configurer DHCP en mode de routage mixte à la page 90 ou Configurer le relais DHCP à la page 102. 7. Sivoussouhaitezajouter desréseauxsecondairesàlaconfigurationde pont,sélectionnezl’onglet Secondaire. Saisissezl’adresse IPennotationde barre oblique etcliquezsur Ajouter. Pour plusd’informationssur lesréseauxsecondaires,voir Configurer unréseausecondaireàlapage 104. 8. Cliquez sur Enregistrer. Attribuer une interface réseau à un pont Pour utiliser un pont, vous devez créer une configuration de pont et l’attribuer à une ou plusieurs interfaces réseau. Vous pouvez créer la configuration de pont dans la boîte de dialogue Configuration du réseau ou lorsque vous configurez une interface réseau. 1. Sélectionnez Réseau > Pont. La page Pont apparaît. 2. Sélectionnez une configuration de pont dans la liste Paramètres de pont, puis cliquez sur Configurer. 3. Cochez la case située à côté de chaque interface réseau que vous souhaitez ajouter au pont. 4. Cliquez sur Enregistrer. À propos des fichiers A L’itinéraire est la séquence des périphériques par lesquels passe le trafic réseau envoyé. Chaque périphérique de cette séquence, généralement appelé routeur, stocke les informations concernant les réseaux auxquels il est connecté dans une table de routage. Ces informations sont utilisées pour transmettre le trafic réseau vers le routeur suivant de l’itinéraire. Votre périphérique WatchGuard met à jour automatiquement sa table de routage lorsque vous modifiez les paramètres d’interface réseau, qu’une connexion réseau physique est défaillante ou lorsqu’il redémarre. Pour mettre à jour la table de routage ultérieurement, vous devez utiliser le routage dynamique ou ajouter un itinéraire statique. Les itinéraires statiques peuvent améliorer les performances, mais si la structure réseau fait l’objet d’une modification ou si une connexion est défaillante, le trafic réseau ne peut pas accéder à sa destination. Le routage dynamique garantit que votre trafic réseau peut atteindre sa destination, mais il est plus difficile à configurer. Guide de l’utilisateur 111 Définition et configuration réseau Ajouter un itinéraire statique Un itinéraire est la séquence des périphériques que le trafic réseau doit traverser de sa source jusqu’à sa destination. Un routeur est un périphérique de cet itinéraire qui détecte le point réseau suivant au travers duquel le trafic réseau est acheminé vers sa destination. Chaque routeur est connecté à deux réseaux au minimum. Un paquet peut traverser un certain nombre de points réseau avec des routeurs avant d’atteindre sa destination. Vous pouvez créer des itinéraires statiques pour envoyer du trafic vers des hôtes ou réseaux spécifiques. Le routeur peut ensuite envoyer le trafic depuis l’itinéraire spécifié jusqu’à la destination correcte. Si vous avez un réseau complet situé derrière un routeur sur votre réseau local, ajoutez un itinéraire réseau. Si vous n’ajoutez aucun itinéraire à un réseau distant, tout le trafic qui lui est destiné est envoyé à la passerelle par défaut de Firebox. Avant de commencer, vous devez bien saisir la différence entre un itinéraire réseau et un itinéraire hôte. Un itinéraire réseau est un itinéraire vers un réseau complet qui se trouve derrière un routeur, sur votre réseau local. Utilisez un itinéraire hôte si un hôte uniquement se trouve derrière le routeur ou si vous souhaitez acheminer le trafic vers un seul hôte. 1. Sélectionnez Réseau > Itinéraires. La page Itinéraires apparaît. 2. Dans la liste déroulante Type, sélectionnez IP de l’hôte ou IP du réseau. n n SélectionnezIPduréseau sivousavezunréseaucompletderrière unrouteur sur votre réseaulocal. Sélectionnez IP de l’hôte si un seul hôte se trouve derrière le routeur ou si vous souhaitez acheminer le trafic par un seul hôte. 3. Dans la zone de texte Envoyer à, saisissez l’adresse IP de destination. 4. Dans la zone de texte Passerelle, saisissez l’adresse IP de l’interface locale du routeur. L’adresse IP de la passerelle doit être une adresse IP gérée par votre périphérique WatchGuard. 112 WatchGuard System Manager Définition et configuration réseau 5. Dans la zone de texte Métrique, saisissez ou sélectionnez une métrique pour l’itinéraire. Les itinéraires avec métriques faibles ont la priorité la plus élevée. 6. Cliquez sur Ajouter. 7. Pour ajouter un autre itinéraire statique, répétez les étapes 2–4. Pour supprimer un itinéraire statique, sélectionnez l’adresse IP dans la liste et cliquez sur Supprimer. 8. Cliquez sur Enregistrer. À propos des réseaux locaux virtuels (VLAN) Un réseau VLAN 802.1Q (réseau local virtuel) est un ensemble d’ordinateurs appartenant à un LAN ou à des LAN regroupés dans un seul domaine de diffusion, indépendamment de leur zone géographique. Il permet de regrouper des périphériques selon leurs caractéristiques de trafic et non pas par proximité physique. Les membres d’un VLAN peuvent partager des ressources comme s’ils étaient connectés au même LAN. Les VLAN servent également à diviser un commutateur en plusieurs segments. Supposons, par exemple, que votre entreprise a des employés à plein temps et des intérimaires qui utilisent le même LAN. Il est alors souhaitable de limiter les intérimaires à un sous-réseau de ressources utilisées par les employés à plein temps. Il est tout aussi préférable d’utiliser une stratégie de sécurité plus restrictive pour les intérimaires. Pour ce faire, il convient de diviser l’interface en deux VLAN. Les VLAN vous permettent de diviser votre réseau en groupes sous la forme d’une structure hiérarchique et logique et non pas physique. Cela permet de dégager le personnel informatique des restrictions associées au modèle de réseau et à l’infrastructure de câblage. Les VLAN facilitent la conception, la mise en œuvre et la gestion de votre réseau. Les VLAN étant basés sur des logiciels, vous pouvez facilement et rapidement adapter votre réseau aux ajouts, déplacements et réorganisations de matériel. Puisque les VLAN utilisent des ponts et des commutateurs, les diffusions sont plus efficaces dans la mesure où elles ne sont transmises qu’aux utilisateurs connectés au VLAN, et non à tous ceux qui sont connectés. Par conséquent, le trafic transmis sur vos routeurs s’en trouve réduit, ce qui implique une latence de routage moins importante. Vous pouvez configurer le périphérique Firebox pour qu’il agisse en tant que serveur DHCP pour les périphériques du réseau VLAN ou utiliser le relais DHCP avec un serveur DHCP distinct. Configuration logicielle requise pour les VLAN et restrictions associées n n n n La mise en œuvre des VLAN WatchGuard ne prend pas en charge le protocole de gestion des liaisons Spanning Tree. Si votre périphérique Firebox est configuré en mode d’insertion, vous ne pouvez pas utiliser les VLAN. Une seule interface physique peut être un membre VLAN non marqué d’un seul VLAN. Par exemple, si l’interface Externe-1 est un membre non marqué d’un VLAN appelé VLAN-1, elle ne peut pas être en même temps un membre non marqué d’un autre VLAN. Par ailleurs, les interfaces externes peuvent être membres d’un seul VLAN. Les paramètres de configuration multi-WAN sont appliqués au trafic VLAN. Toutefois, il peut être plus facile de gérer une bande passante lorsque vous n’utilisez que des interfaces physiques dans une configuration multi-WAN. Guide de l’utilisateur 113 Définition et configuration réseau n n n Le modèle et la licence de votre périphérique déterminent le nombre de VLAN que vous pouvez créer. Pour afficher le nombre de VLAN que vous pouvez ajouter à votre configuration, sélectionnez État du système > Licence. Recherchez la ligne intitulée Nombre total d’interfaces VLAN. Pour optimiser les performances, il est recommandé de ne pas créer plus de 10 VLAN qui fonctionnent sur des interfaces externes. Tous les segments du réseau auxquels vous souhaitez ajouter un VLAN doivent avoir des adresses IP appartenant au réseau VLAN. Note Si vous définissez des VLAN, ignorez les messages indiquant que la version 802.1d est inconnue. Ils sont générés car la mise en œuvre des VLAN WatchGuard ne prend pas en charge le protocole de gestion des liaisons Spanning Tree. À propos de marquage Pour activer des VLAN, vous devez déployer des commutateurs VLAN sur chaque site. Les interfaces des commutateurs insèrent des indicateurs au niveau de la couche 2 de la trame de données qui identifie un paquet réseau en tant que partie d’un VLAN spécifié. Ces indicateurs ajoutent quatre octets à l’en-tête Ethernet pour identifier la trame comme appartenant à un VLAN en particulier. Le balisage est spécifié par la norme IEEE 802.1Q. La définition d’un VLAN prévoit la disposition des trames de données marquées et non marquées. Vous devez indiquer si le VLAN reçoit des données marquées, non marquées ou pas de données depuis chacune des interfaces activées. Votre périphérique WatchGuard peut insérer des indicateurs pour les paquets envoyés à un commutateur prenant en charge les VLAN. Votre périphérique peut également supprimer des indicateurs dans les paquets envoyés à un segment de réseau qui appartient à un VLAN sans commutateur. Définir un nouveau 802.1Q Avant de définir un nouveau VLAN, vous devez comprendre les concepts des VLAN et les restrictions qui leur sont associées, en vous reportant si nécessaire à À propos des réseaux locaux virtuels (VLAN) à la page 113. Pour pouvoir créer une configuration VLAN, vous devez également changer au moins une interface pour qu’elle soit de type VLAN. Lorsque vous définissez un nouveau VLAN, vous ajoutez une entrée dans le tableau des paramètres VLAN. Vous pouvez modifier l’affichage de ce tableau : n n n n Cliquez sur un en-tête de colonne pour trier le tableau en fonction des valeurs de cette colonne. Le tableau peut être trié dans l’ordre ascendant ou descendant. Les valeurs de la colonne Interface correspondent aux interfaces physiques membres du VLAN en question. Le numéro d’interface en gras identifie l’interface qui envoie des données non marquées à ce VLAN. Pour créer un réseau VLAN : 1. Sélectionnez Réseau > VLAN. La page VLAN apparaît. 114 WatchGuard System Manager Définition et configuration réseau 2. Vous voyez apparaître un tableau répertoriant les VLAN actuellement définis par les utilisateurs, ainsi que leurs paramètres : Vous pouvez également configurer les interfaces réseau du tableau Interfaces. 3. Cliquez sur Nouveau. La page Paramètres VLAN apparaît. 4. 5. 6. 7. Dans le champ , saisissez le nom du VLAN. (Facultatif) Dans le champ Description, saisissez la description du VLAN. Dans le champ ID de VLAN, saisissez ou sélectionnez la valeur du VLAN. Dans le champ Zone de sécurité, sélectionnez Approuvée, Facultative ou Externe. Les zones de sécurité correspondent aux alias des zones de sécurité des interfaces. Par exemple, les VLAN de type approuvé sont gérés par des stratégies qui utilisent l’alias Any-Trusted (ToutApprouvé) comme source ou destination. 8. Dans le champ Adresse IP, saisissez l’adresse de la passerelle VLAN. Utiliser DHCP sur un VLAN Vous pouvez configurer le périphérique Firebox en tant que serveur DHCP pour les ordinateurs de votre réseau VLAN. 1. Dans l’onglet Réseau, sélectionnez Serveur DHCP dans la liste déroulante Mode DHCPpour configurer Firebox comme serveur DHCP sur votre réseau VLAN. Si nécessaire, saisissez le nom du domaine pour le fournir aux clients DHCP. 2. Pour ajouter un pool d’adresses IP, saisissez les première et dernière adresses IP du pool. Cliquez sur Ajouter. Vous pouvez configurer un maximum de six pools d’adresses. Guide de l’utilisateur 115 Définition et configuration réseau 3. Pour réserver une adresse IP spécifique pour un client, saisissez l’adresse IP, le nom de réservation et l’adresse MAC du périphérique. Cliquez sur Ajouter. 4. Pour changer la durée du bail par défaut, sélectionnez un autre intervalle dans la liste déroulante située en haut de la page. Il s’agit de l’intervalle de temps pendant lequel le client DHCP peut utiliser une adresse IP qu’il obtient du serveur DHCP. Lorsque la durée du bail est sur le point d’arriver à expiration, le client envoie une requête au serveur DHCP pour obtenir un nouveau bail. 5. Pour ajouter des serveurs DNS ou WINS à votre configuration DHCP, saisissez l’adresse du serveur dans le champ situé à côté de la liste. Cliquez sur Ajouter. 6. Pour supprimer un serveur de la liste, sélectionnez l’entrée et cliquez sur Supprimer. Utiliser Relais DHCP sur un VLAN 1. Dans l’onglet Réseau, sélectionnez Relais DHCP dans la liste déroulante Mode DHCP. 2. Saisissezl’adresse IPduserveur DHCP.Veillez,sinécessaire,àajouter unitinéraire jusqu’auserveur DHCP. Vous pouvez maintenant passer aux étapes suivantes et Attribuer des interfaces à un 802.1Q. Attribuer des interfaces à un 802.1Q Lorsque vous créez un VLAN, vous devez définir le type de données qu’il reçoit depuis les interfaces de Firebox. Toutefois, vous pouvez aussi configurer une interface de sorte qu’elle devienne membre d’un VLAN actuellement défini, ou encore supprimer une interface d’un VLAN. Vous devez changer un type d’interface en VLAN avant de pouvoir l’utiliser dans une configuration VLAN. 1. Sélectionnez Réseau > VLAN. La page VLAN apparaît. 2. Cliquez sur Nouveau ou sélectionnez une interface VLAN, puis cliquez sur Configurer. 3. Dans la liste de sélection d’un paramètre d’indicateur VLAN pour chaque interface, cliquez sur la colonne Marquée/Non marquée à côté d’une interface et sélectionnez une option dans la liste déroulante : n n n Trafic marqué — L’interface envoie et reçoit le trafic marqué. Trafic non marqué — L’interface envoie et reçoit le trafic non marqué. Aucun trafic — Supprime l’interface de cette configuration VLAN. 4. Cliquez sur Enregistrer. 116 WatchGuard System Manager Définition et configuration réseau Exemples de configuration réseau Exemple : Configurer deux réseaux locaux VLAN (Virtual Local Area Network) sur la même interface Sur un périphérique Firebox ou XTM, une interface réseau est membre de plusieurs VLAN lorsque le commutateur qui se connecte à l’interface achemine du trafic issu de plusieurs VLAN. Cet exemple montre comment connecter un commutateur configuré pour deux différents VLAN à une interface unique sur le périphérique Firebox ou XTM. Le diagramme suivant illustre la configuration associée à cet exemple. Dans cet exemple, les ordinateurs des deux VLAN se connectent au même commutateur 802.1Q et ce dernier se connecte à l’interface 3 sur le périphérique Firebox ou XTM. Les instructions suivantes vous expliquent comment configurer ces VLAN : Configurer l’interface 3 en tant qu’interface VLAN 1. Sélectionnez Réseau > Interfaces. 2. Dans la zone de texte Nom de l’interface (Alias), saisissez vlan. 3. Sélectionnez l'interface numéro 3. Cliquez sur Configurer. Guide de l’utilisateur 117 Définition et configuration réseau 1. Dans la liste déroulante Type d’interface, sélectionnez VLAN. 2. Cliquez sur Enregistrer. Définissez les deux VLAN et attribuez-les à l’interface VLAN 1. 2. 3. 4. 5. 6. 7. 8. 118 Sélectionnez Réseau > VLAN. Cliquez sur Nouveau. Dans la zone de texte Nom (Alias), saisissez le nom du VLAN. Dans cet exemple, saisissez VLAN10 . Dans la zone de texte Description, saisissez une description. Dans cet exemple, saisissez Comptabilité . Dans la zone de texte ID de VLAN, saisissez le numéro du VLAN configuré pour le VLAN sur le commutateur. Dans cet exemple, saisissez 10 . Dans la liste déroulante Zone de sécurité, sélectionnez la zone de sécurité. Dans cet exemple, sélectionnez Approuvée. Dans la zone de texte Adresse IP, saisissez l’adresse IP à utiliser pour le périphérique Firebox ou XTM sur ce VLAN. Dans cet exemple, saisissez 192.168.10.1/24 . Dans la liste de sélection d’un paramètre d’indicateur VLAN pour chaque interface, cliquez sur la colonne Marquée/Non marquée située à côté d’une interface et sélectionnez Marqué dans la liste déroulante. WatchGuard System Manager Définition et configuration réseau 9. 10. 11. 12. 13. 14. 15. Cliquez sur Enregistrer. Cliquez sur Nouveau pour ajouter le deuxième VLAN. Dans la zone de texte Nom (Alias), saisissez VLAN20 . Dans la zone de texte Description, saisissez Ventes . Dans la zone de texte ID de VLAN, saisissez 20 . Dans la liste déroulante Zone de sécurité, sélectionnez Facultative. Dans le champ Adresse IP, saisissez l’adresse IP à utiliser pour le périphérique Firebox ou XTM de ce VLAN. Dans cet exemple, saisissez 192.168.20.1/24 . 16. Dans la liste de sélection d’un paramètre d’indicateur VLAN pour chaque interface, cliquez sur la colonne Marqué/Nom marqué située à côté d’une interface et sélectionnez Marqué dans la liste déroulante. 17. Cliquez sur Enregistrer. 18. Les deux VLAN figurent à présent dans la liste et sont configurés pour utiliser l’interface VLAN définie. Guide de l’utilisateur 119 Définition et configuration réseau Utiliser Firebox X Edge avec le pont sans fil 3G Extend Le pont sans fil WatchGuard 3G Extend ajoute la connectivité cellulaire 3G au périphérique Firebox X Edge ou WatchGuard XTM 2 Series. Lorsque vous connectez l’interface externe de votre périphérique WatchGuard au pont sans fil WatchGuard 3G Extend, les ordinateurs de votre réseau peuvent se connecter sans fil à Internet par l’intermédiaire du réseau cellulaire 3G. Le pont 3G Extend est proposé en deux modèles basés sur la technologie Top Global et Cradlepoint, Utiliser le périphérique 3G Extend/Top Global MB5000K Suivez ces étapes pour utiliser le pont sans fil 3G Extend avec le périphérique Firebox X Edge ou XTM 2 Series. 1. Configurez l’interface externe sur votre périphérique WatchGuard pour obtenir son adresse avec PPPoE. Veillez à définir le nom d’utilisateur/mot de passe PPPoE sur public/public. Pour en savoir plus sur la configuration de votre interface externe pour PPPoE, voir Configurer une interface externe à la page 86. 2. Activer votre carte de données large bande. Voir les instructions fournies avec votre carte de données large bande pour plus d’informations. 3. Préparez votre pont sans fil 3G Extend : n n n Insérezla carte de donnéeslarge bande dans l’emplacementadéquat sur le pontsans fil3G Extend Branchez le pont sans fil 3G Extend Vérifiez que les voyants LED sont actifs 4. Utilisez un câble Ethernet pour connecter le pont sans fil 3G Extend sur l’interface externe de votre périphérique WatchGuard. 120 WatchGuard System Manager Définition et configuration réseau Il n’est pas nécessaire de changer les paramètres du périphérique 3G Extend avant de le connecter à votre périphérique WatchGuard. Il est parfois nécessaire de connecter l’interface de gestion Web du périphérique 3G Extend. Pour établir la connexion à l’interface Web 3G Extend, connectez votre ordinateur directement au MB5000K avec un câble Ethernet et vérifiez que l’ordinateur est configuré pour accéder à son adresse IP avec le protocole DHCP. Ouvrez votre navigateur Web et saisissez http://172.16.0.1 . Établir la connexion avec un nom d’utilisateur/mot de passe défini sur public/public. n n n Pour fonctionner correctement avec votre périphérique WatchGuard, le pont sans fil 3G Extend doit être configuré en mode de connexion automatique. Tous les périphériques 3G Extend/MB5000K sont préconfigurés pour s’exécuter par défaut dans ce mode. Pour vérifier si votre périphérique 3G Extend est configuré en mode de connexion automatique, connectez-le directement au périphérique et sélectionnez Interfaces > Accès Internet. Sélectionnez l’interface WAN#0. Dans la section Networking (Gestion de réseau), vérifiez dans la liste déroulante que le mode de connexion est défini sur Auto. Si votre carte sans fil 3G s’exécute sur le réseau cellulaire GPRS, il est peut-être nécessaire d’ajouter un nom d’ouverture de session réseau et un mot de passe à la configuration de notre périphérique 3G Extend. Pour ajouter un nom d’ouverture de session réseau et un mot de passe, connectez-vous au pont sans fil 3G Extend et sélectionnez Services > Manageable Bridge (Pont gérable). Pour réinitialiser le périphérique MB5000K sur ses paramètres usine par défaut, connectez-vous au pont sans fil 3G Extend et sélectionnez Système > Factory defaults (Paramètres usine par défaut). Cliquez sur Oui. Pour des raisons de sécurité, il est recommandé de changer le nom d’utilisateur/mot de passe PPPoE par défaut public/public une fois le réseau activé et en cours d’exécution. Vous devez changer le nom d’utilisateur et le mot de passe sur votre périphérique WatchGuard et sur votre pont sans fil 3G Extend. n n Pour changer le nom d’utilisateur et le mot de passe PPPoE sur votre périphérique WatchGuard, voir Configurer une interface externe à la page 86. Pour changer le nom d’utilisateur et le mot de passe PPPoE sur le périphérique 3G Extend, connectez-vous au périphérique et choisissez Services > Manageable Bridge (Pont gérable). Le périphérique 3G Extend prend en charge plus de 50 cartes modem et options de plans de fournisseurs de services Internet. Pour plus d’informations sur le produit Top Global, notamment le guide de l’utilisateur du MB5000, accédez au site http://www.topglobaluse.com/support_mb5000.htm. Utilisez le périphérique 3G Extend/Cradlepoint CBA250 Suivez ces étapes pour utiliser l’adaptateur large bande cellulaire 3G Extend Cradlepoint avec votre périphérique WatchGuard Firebox X. 1. Suivez les instructions du Guide de démarrage rapide de Cradlepoint CBA250 pour configurer le périphérique Cradlepoint. 2. Configurez l’interface externe sur votre périphérique WatchGuard pour obtenir son adresse avec DHCP. Pour en savoir plus sur la configuration de votre interface externe pour PPPoE, voir Configurer une interface externe à la page 86. 3. Utilisez un câble Ethernet pour connecter le périphérique Cradlepoint à l’interface externe du périphérique Firebox. Guide de l’utilisateur 121 Définition et configuration réseau 4. Démarrez (ou redémarrez) le périphérique WatchGuard. Lorsque le périphérique Firebox démarre, il obtient l’adresse DHCP du périphérique Cradlepoint. Après l’attribution d’une adresse IP, le périphérique Firebox peut se connecter à Internet par l’intermédiaire du réseau large bande. Le périphérique Cradlepoint prend en charge un grand nombre de périphériques sans fil large bande USB ou ExpressCard. Pour obtenir la liste des périphériques pris en charge, voir http://www.cradlepoint.com/support./cba250. 122 WatchGuard System Manager 7 Multi-WAN À propos de l’utilisation de plusieurs interfaces externes Vous pouvez utiliser votre périphérique WatchGuard Firebox pour bénéficier de la prise en charge de la redondance pour l’interface externe. Il s’agit d’une option bien utile si vous devez être constamment connecté à Internet. Avec le mode multiWAN, vous pouvez configurer un maximum de quatre interfaces externes, chacune sur un sous-réseau différent. Il vous est ainsi possible de connecter Firebox à plus d’un seul Fournisseur de services Internet (FSI). Lorsque vous configurez une seconde interface, le mode multiWAN est automatiquement activé. Configurations logicielles et conditions requises pour le mode multiWAN Vous devez disposer d’une seconde connexion Internet et de plus d’une interface externe pour utiliser la plupart des options de configuration multiWAN. Les configurations logicielles et conditions requises pour le mode multiWAN comprennent : n n n Si l’une de vos stratégies est configurée avec un alias d’interface externe individuelle, vous devez modifier la configuration afin d’utiliser l’alias « Any-External » ou un autre alias que vous avez configuré pour les interfaces externes. À défaut, une partie du trafic pourrait être refusée par vos stratégies de pare-feu. Les paramètres multiWAN ne s’appliquent pas au trafic entrant. Lorsque vous configurez une stratégie pour le trafic entrant, vous pouvez ignorer l’ensemble des paramètres multiWAN. Afin de remplacer la configuration multiWAN de toute stratégie individuelle, activez le routage basé sur stratégie pour cette stratégie. Pour de plus amples informations sur le routage basé sur stratégie, cf. Configurer le routage basé sur stratégie à la page 275. Guide de l’utilisateur 123 Multi-WAN n n n Mappez le nom de domaine entièrement qualifié de votre entreprise à la plus petite adresse de la plage des adresses IP d’interface externe. Si vous ajoutez un périphérique multiWAN WatchGuard à votre Management Server configuration, vous devez utilisez la plus petite adresse IP d’interface externe pour l’identifier lorsque vous ajoutez le périphérique. Pour utiliser le multiWAN, vous devez utiliser le routage mixte pour votre configuration du réseau. Cette fonctionnalité est inopérante pour les configurations d’insertion et de réseau de mode pont. Pour utiliser la méthode de dépassement de capacité d’interface, vous devez disposer de la mise à niveau Pro du logiciel Fireware XTM. Vous devez également disposer d’une licence Fireware XTM Pro pour utiliser l’option tourniquet et configurer les différentes pondérations des interfaces externes du périphérique WatchGuard. Vous pouvez utiliser l’une des quatre configurations multiWAN pour gérer votre trafic réseau. Pour les détails de configuration et les procédures de configuration, reportez-vous à la rubrique relative à cette option. multiWAN et DNS Vérifiez que votre serveur DNS est accessible depuis n’importe quel WAN. Sinon, vous devez modifier vos stratégies DNS de la manière suivante : n n La liste De contient Firebox. La case à cocher Utiliser le routage basé sur stratégie est sélectionnée. Si un seul WAN peut accéder au serveur DNS, sélectionnez cette interface dans la liste déroulante adjacente. Si plus d’un WAN peut accéder au serveur DNS, sélectionnez l’un d’entre eux, sélectionnez Basculement, sélectionnez Configurer, puis sélectionnez toutes les interfaces pouvant accéder au serveur DNS. L’ordre importe peu. Note Vous devez disposer de la mise à niveau Pro du logiciel Fireware XTM pour utiliser le routage basé sur stratégie. À propos de Options multiWAN Lorsque vous configurez plusieurs interfaces externes, plusieurs options vous permettent de contrôler l’interface qu’un paquet sortant utilise. Vous devez disposer de la mise à niveau Pro du logiciel Fireware XTM pour utiliser ces fonctionnalités. Classement du tourniquet Lorsque vous configurez le mode multiWAN avec l’option tourniquet, le périphérique WatchGuard inspecte sa table de routage interne pour vérifier les informations de routage statique ou dynamique relatives à chaque connexion. Si aucun itinéraire n’est trouvé, le périphérique WatchGuard répartit la charge de trafic entre ses interfaces externes. Le périphérique WatchGuard utilise la moyenne des paquets transmis et reçus pour équilibrer la charge de trafic entre toutes les interfaces externes que vous définissez pour la configuration tourniquet. 124 WatchGuard System Manager Multi-WAN Si vous utilisez la mise à niveau Pro de Fireware XTM, vous pouvez attribuer une pondération à chaque interface définie pour la configuration tourniquet. Par défaut et pour tous les utilisateurs Fireware XTM, chaque interface a une pondération de 1. La pondération se réfère à la proportion de charge envoyée par le périphérique WatchGuard par l’intermédiaire d’une interface. Si vous utilisez Fireware XTM Pro et que vous affectez une pondération de 2 à une interface, vous doublez la proportion de trafic qui passera par cette interface en comparaison avec une interface dont la pondération est de 1. Par exemple, si vous avez trois interfaces externes avec une bande passante de 6, 1,5 et 0,075 M chacune et souhaitez équilibrer la charge de trafic entre les trois, vous utiliseriez des pondérations de 8, 2 et 1. Fireware essaie de répartir les connexions de sorte que les 8/11e, 2/11e et 1/11e du trafic total soient acheminés vers chacune des trois interfaces. Pour plus d’informations, voir Configurer l’option tourniquet multiWAN à la page 127. Basculement Lorsque vous utilisez l’option de basculement pour acheminer le trafic via les interfaces externes de du périphérique WatchGuard, vous sélectionnez une seule interface externe qui sera l’interface externe principale. Les autres interfaces externes servent d’interfaces de sauvegardes et sont utilisées par le périphérique WatchGuard dans l’ordre que vous indiquez. Le périphérique WatchGuard analyse l’interface externe principale. Si elle devient inactive, le périphérique WatchGuard envoie l’ensemble du trafic à l’interface externe suivante définie dans sa configuration. Alors que le périphérique WatchGuard envoie le trafic vers l’interface de sauvegarde, il continue à analyser l’interface externe principale. Lorsque cette dernière redevient active, le périphérique WatchGuard recommence immédiatement à envoyer toutes les nouvelles connexions vers l’interface externe principale. C’est vous qui définissez ce que le périphérique WatchGuard doit faire des connexions existantes. Elles peuvent être restaurées immédiatement, ou continuer à utiliser l’interface de sauvegarde jusqu’à ce que la connexion soit terminée. Les basculements multiWAN et FireCluster sont configurés séparément. Un basculement multiWAN dû à un échec de connexion à un hôte de contrôle des liaisons ne déclenche pas de basculement FireCluster. Le basculement FireCluster a lieu uniquement lorsque l’interface physique est inactive ou ne répond pas. Il est prioritaire sur le basculement multiWAN. Pour plus d’informations, voir Configurer l’option basculement multiWAN à la page 128. Dépassement de capacité d’interface Lorsque vous recourez à l’option de configuration multiWAN dépassement de capacité d’interface, vous devez définir l’ordre dans lequel le périphérique WatchGuard enverra le trafic via les interfaces externes et configurer chaque interface avec une valeur seuil de bande passante. Le périphérique WatchGuard commence à envoyer le trafic via la première interface externe définie dans sa liste de configuration de dépassement de capacité d’interface. Lorsque le trafic routé via cette interface atteint le seuil de bande passante que vous avez défini pour cette dernière, le périphérique WatchGuard commence à envoyer le trafic à l’interface externe suivante, définie dans la liste de configuration dépassement de capacité d’interface. Guide de l’utilisateur 125 Multi-WAN Cette option de configuration multiWAN permet de limiter, à un certain seuil de bande passante, la quantité de trafic envoyé à chaque interface WAN. Pour déterminer la bande passante, le périphérique WatchGuard inspecte le nombre de paquets transmis et reçus et se base sur le plus grand nombre. Lorsque vous configurez le seuil de bande passante d’interface pour chaque interface, prenez en compte les besoins de votre réseau de chaque interface et définissez la valeur seuil, en fonction de ces besoins. Par exemple, si votre FSI est asymétrique et que vous définissez le seuil de bande passante en fonction d’un taux d’émission (TX) important, le dépassement de capacité d’interface ne sera pas déclenché par un taux de réception (RX) important. Si toutes les interfaces WAN ont atteint leur seuil de bande passante, le périphérique WatchGuard utilise l’algorithme de routage ECMP (Equal Cost MultiPath Protocol) pour rechercher le meilleur itinéraire. Note Vous devez disposer de la mise à niveau Pro du logiciel Fireware XTM pour utiliser cette option de routage multiWAN. Pour plus d’informations,voir Configurer l’option Dépassementde capacitéd’interface multiWAN à lapage 129. Table de routage Lorsque vous sélectionnez l’option de table de routage dans la configuration du mode multiWAN, le périphérique WatchGuard se base sur les itinéraires de sa table de routage interne ou sur les itinéraires qu’il obtient des processus de routage dynamiques pour envoyer les paquets via l’interface externe appropriée. Afin de savoir si un itinéraire spécifique existe pour une destination de paquets, le périphérique WatchGuard examine sa table de routage en parcourant la liste des itinéraires de haut en bas. Vous pouvez voir la liste des itinéraires figurant dans la table de routage de Firebox en accédant à l’onglet État de Firebox System Manager. L’option de table de routage est l’option par défaut utilisée en mode multiWAN. Si le périphérique WatchGuard ne trouve pas un itinéraire spécifique, il sélectionne le meilleur itinéraire en fonction des valeurs de hachage IP de la source et de la destination du paquet, en appliquant l’algorithme ECMP (Equal Cost Multipath Protocol) spécifié dans le document : http://www.ietf.org/rfc/rfc2992.txt Avec le protocole ECMP, le périphérique WatchGuard utilise un algorithme afin de déterminer quel saut (itinéraire) suivant il utilisera pour envoyer chaque paquet. Cet algorithme ne tient pas compte de la charge de trafic actuelle. Pour plus d’informations, voir Quand utiliser les options multiWAN et le routage à la page 132. modem série (Firebox X Edge uniquement) Si votre organisation dispose d’un compte d’accès à distance avec un FSI, vous pouvez connecter un modem externe au port série de votre Edge et vous servir de cette connexion pour le basculement quand toutes les autres interfaces externes sont inactives. Pour plus d’informations, voir Basculement de modem série à la page 132. 126 WatchGuard System Manager Multi-WAN Configurer l’option tourniquet multiWAN Avant de commencer n n Pour utiliser la fonctionnalité multiWAN, vous devez disposer de plus d’une interface externe configurée. Si nécessaire, utilisez la procédure décrite dans Configurer une interface externe à la page 86. Assurez-vous de comprendre les concepts et les conditions du multiWAN ainsi que la méthode de votre choix, telle que décrit dans À propos de l’utilisation de plusieurs interfaces externes à la page 123 et À propos de Options multiWAN à la page 124. Configurer les interfaces 1. Sélectionnez Réseau > multiWAN. 2. Dans la liste déroulante Mode multiWAN, sélectionnez Tourniquet. 3. Si vous utilisez la mise à niveau Pro de Fireware XTM, vous pouvez modifier la pondération associée à chaque interface. Choisissez une interface, puis entrez ou sélectionnez une nouvelle valeur dans le champ Pondération adjacent. La valeur par défaut est 1 pour chaque interface. Pour des informations relatives à la pondération d’interface, cf. Découvrez comment affecter des pondérations aux interfaces à la page 128. 4. Pour affecter une interface à la configuration multiWAN, sélectionnez une interface et cliquez sur Configurer. 5. Activez la case à cocher Participez au multiWAN et cliquez sur OK. 6. Pour terminer la configuration, vous devez ajouter les informations de contrôle des liaisons tel que décrit dans À propos de État de l’interface WAN à la page 138. 7. Cliquez sur Enregistrer. Guide de l’utilisateur 127 Multi-WAN Découvrez comment affecter des pondérations aux interfaces Si vous utilisez la mise à niveau Pro de Fireware XTM, vous pouvez affecter une pondération à chaque interface utilisée dans votre configuration tourniquet multiWAN . Par défaut, chaque interface présente une pondération de 1. La pondération se réfère à la proportion de charge envoyée par Firebox par l’intermédiaire d’une interface. Vous ne pouvez utiliser que des nombres entiers pour les pondérations d’interface ; les fractions ou les décimales ne sont pas autorisées. Pour un équilibrage de charge optimal, il se pourrait que vous deviez faire un calcul pour connaître la pondération en nombre entier à affecter à chaque interface. Utilisez un multiplicateur commun afin que la proportion relative de la bande passante donnée par chaque connexion externe soit résolue en nombres entiers. Par exemple, supposons que vous ayez trois connexions Internet. Un FSI vous fournit 6 Mbits/s, un autre 1,5 Mbits/s et un troisième 768 Kbits/s. Convertissez les proportions en nombres entiers : n n n n Convertissez d’abord les 768 Kbits/s en 0,75 Mbits/s environ afin d’utiliser la même unité de mesure pour les trois lignes. Vos trois lignes ont une pondération de 6, 1,5 et 0,75 Mbits/s. Multipliez chaque valeur par 100 pour supprimer les décimales. Proportionnellement, elles sont équivalentes : [6 : 1,5 : 0,75] a le même ratio que [600 : 150 : 75] Trouvez le plus grand diviseur commun pour ces trois nombres. Dans ce cas, 75 est le nombre le plus élevé qui divise de manière équitable les trois nombres 600, 150 et 75. Divisez chacun des nombres par le plus grand diviseur commun. Les résultats obtenus sont 8, 2 et 1. Vous pourriez utiliser ces nombres comme pondérations dans une configuration tourniquet multiWAN . Configurer l’option basculement multiWAN Avant de commencer n n Pour utiliser la fonctionnalité multiWAN, vous devez disposer de plus d’une interface externe configurée. Si nécessaire, utilisez la procédure décrite dans Configurer une interface externe à la page 86. Assurez-vous de comprendre les concepts et les conditions du multiWAN ainsi que la méthode de votre choix, telle que décrit dans À propos de l’utilisation de plusieurs interfaces externes à la page 123 et À propos de Options multiWAN à la page 124. Configurer les interfaces 1. Sélectionnez Réseau > multiWAN. 2. Dans la liste déroulante Mode multiWAN, sélectionnez Basculement. 128 WatchGuard System Manager Multi-WAN 3. Sélectionnez une interface dans la liste et cliquez Haut ou Bas pour définir l’ordre de basculement. La première interface dans la liste est l’interface principale. 4. Pour terminer la configuration, vous devez ajouter les informations de contrôle des liaisons tel que décrit dans À propos de État de l’interface WAN à la page 138. Pour des informations sur les options de configuration multiWAN avancées, cf. À propos des Paramètres multiWAN avancés à la page 137. 5. Cliquez sur Enregistrer. Configurer l’option Dépassement de capacité d’interface multiWAN Avant de commencer n n Pour utiliser la fonctionnalité multiWAN, vous devez disposer de plus d’une interface externe configurée. Si nécessaire, utilisez la procédure décrite dans Configurer une interface externe à la page 86. Assurez-vous de comprendre les concepts et les conditions du multiWAN ainsi que la méthode de votre choix, telle que décrit dans À propos de l’utilisation de plusieurs interfaces externes à la page 123 et À propos de Options multiWAN à la page 124. Configurer les interfaces 1. Sélectionnez Réseau > multiWAN. 2. À partir de la liste déroulante Mode multiWAN, sélectionnez Dépassement de capacité d’interface. Guide de l’utilisateur 129 Multi-WAN 3. Dans le champ Seuil de chaque interface, entrez ou sélectionnez la quantité de trafic réseau in mégabits par seconde (Mbits/s) à emmagasiner par l’interface avant l’envoi vers d’autres interfaces. 4. Pour définir l’ordre de fonctionnement de l’interface, sélectionnez une interface dans le tableau et cliquez sur Haut et Bas pour modifier l’ordre. Les interfaces sont utilisées en partant de la première jusqu’à la dernière dans la liste. 5. Pour terminer la configuration, vous devez ajouter les informations tel que décrit dans À propos de État de l’interface WAN à la page 138. Pour des informations sur les options de configuration multiWAN avancées, cf. À propos des paramètres multiWAN avancés. Configurer l’option Option de table de routage Avant de commencer n n n Pour utiliser la fonctionnalité multiWAN, vous devez disposer de plus d’une interface externe configurée. Si nécessaire, utilisez la procédure décrite dans Configurer une interface externe à la page 86. Vous devez déterminer si l’option de table de routage est l’option multiWAN qui répond le mieux à vos besoins. Pour plus d’informations, voir Quand utiliser les options multiWAN et le routage à la page 132 Assurez-vous de comprendre les concepts et les conditions du multiWAN ainsi que la méthode de votre choix, telle que décrit dans À propos de l’utilisation de plusieurs interfaces externes à la page 123 et À propos de Options multiWAN à la page 124. Option de table de routage et équilibrage de charge Gardez à l’esprit que l’option de table de routage n’équilibre pas la charge de trafic sur les connexions à Internet. Firebox lit sa table de routage interne de haut en bas. Les itinéraires statiques et dynamiques qui définissent une destination sont visibles en haut de la table de routage et prioritaires sur les itinéraires par 130 WatchGuard System Manager Multi-WAN défaut. (Un itinéraire par défaut a pour destination 0.0.0.0/0.) Si, dans la table de routage, il n’existe pas d’itinéraire dynamique ou statique particulier jusqu’à une destination, le trafic qui aurait dû être acheminé vers cette destination l’est entre les interfaces externes de Firebox à l’aide des algorithmes ECMP. Ceci peut engendrer une répartition à proportion égale des paquets entre les différentes interfaces externes. Configurer les interfaces 1. Sélectionnez Réseau > multiWAN. 2. Dans la liste déroulante Mode multiWAN, sélectionnez Table de routage. 3. Pour ajouter les interfaces à la configuration multiWAN , sélectionnez une interface et cliquez sur Configurer. 4. Activez la case à cocher Participez au multiWAN . Cliquez sur OK. 5. Pour terminer la configuration, vous devez ajouter les informations de contrôle des liaisons tel que décrit dans À propos de État de l’interface WAN à la page 138. Pour des informations sur les options de configuration multiWAN avancées, cf. À propos des paramètres multiWAN avancés. À propos de la table de routage de Firebox Lorsque vous sélectionnez l’option de configuration de table de routage, mieux vaut savoir comment consulter la table de routage de votre Firebox. Dans Fireware XTM Web UI : Sélectionnez Itinéraires >d’état système. Elle présente la table de routage interne de Firebox. Les itinéraires de la table de routage interne de Firebox sont les suivants : n n n Les itinéraires que Firebox obtient à partir des processus de routage dynamiques exécutés sur Firebox (protocoles RIP, OSPF et BGP) si vous activez le routage dynamique. Les itinéraires du réseau permanent ou les itinéraires d’hôte que vous ajoutez. Les itinéraires automatiquement créés par Firebox lors de la lecture des informations de configuration du réseau. Guide de l’utilisateur 131 Multi-WAN Si Firebox détecte qu’une interface externe est inactive, il supprime tous les itinéraires statiques ou dynamiques qui la traversent. Cela est vrai si les hôtes définis dans l’onglet Contrôle des liaisons ne répondent plus et si la liaison Ethernet physique est inactive. Pour de plus amples informations sur l’état de l’interface et sur les mises à jour de la table de routage, cf. À propos de État de l’interface WAN à la page 138. Quand utiliser les options multiWAN et le routage Si vous utilisez le routage dynamique, vous pouvez utiliser la table de routage ou l’option de configuration tourniquet multiWAN. Les itinéraires qui utilisent une passerelle ou un réseau interne (facultatif ou approuvé) ne sont pas affectés par l’option multiWAN que vous sélectionnez. Quand utiliser l’option de Table de routage. L’option de table de routage est appropriée si : n n Vous activez le routage dynamique (protocoles RIP, OSPF ou BGP) et si les routeurs du réseau externe publient des itinéraires vers le périphérique WatchGuard pour que ce dernier puisse apprendre les meilleurs itinéraires vers des emplacements externes. Vous devez obtenir un accès à un site ou à un réseau externe via un itinéraire spécifique sur un réseau externe. Voici quelques exemples : n n Vous disposez d’un circuit privé utilisant un routeur à relais de trames sur le réseau externe. Vous souhaitez que tout le trafic à destination d’un emplacement externe traverse toujours une interface externe spécifique du périphérique WatchGuard. L’option de table de routage est le moyen le plus rapide d’équilibrer la charge entre plusieurs itinéraires jusqu’à Internet. Une fois cette option configurée, l’algorithme ECMP gère toutes les décisions de connexion. Aucune configuration supplémentaire n’est nécessaire sur le périphérique WatchGuard. Quand utiliser l’option tourniquet Le trafic d’équilibrage de charge à destination d’Internet à l’aide du protocole ECMP est basé sur les connexions, pas sur la bande passante. Les itinéraires configurés de manière statique ou appris grâce au routage dynamique sont utilisés avant l’algorithme ECMP. Si vous disposez de la mise à niveau Pro de Fireware XTM, l’option tourniquet pondérée vous propose des options permettant d’envoyer davantage de trafic sur une interface externe par rapport à une autre. Simultanément, l’algorithme de tourniquet répartit le trafic sur chaque interface en se basant sur la bande passante et non les connexions. Vous bénéficiez ainsi d’un contrôle accru sur la quantité d’octets de données envoyés par le biais de chaque FSI. Basculement de modem série (Cette rubrique ne concerne que Firebox X Edge et XTM série 2.) Vous pouvez configurer le Firebox X Edge ou XTM 2 Series pour envoyer du trafic par l’intermédiaire d’un modem série lorsque l’envoi de trafic par l’intermédiaire d’une interface externe est impossible. Vous devez disposer d’un compte d’accès à distance avec un FSI (Fournisseur de services Internet) et d’un modem externe connecté au port série (Edge) ou USB port (Série 2) pour utiliser cette option. Edge a été testé avec les modems suivants : 132 WatchGuard System Manager Multi-WAN n n n n n Modem série fax Hayes 56K V.90 Zoom FaxModem 56K modèle 2949 Modem externe U.S. Robotics 5686 Modem série Creative Modem Blaster V.92 Modem international Données/Fax MultiTech 56K La Série 2 a été testée avec les modems suivants : n n n n Zoom FaxModem 56K modèle 2949 Modem international Données/Fax MultiTech 56K Modem Fax/Données OMRON ME5614D2 Modem série fax Hayes 56K V.90 Pour un modem série, utilisez un adaptateur USB vers série pour connecter le modem au périphérique XTM Série 2. Activer le basculement de modem série 1. Sélectionnez Modem > réseau. La page du modem s’affiche. 2. Activez la case à cocher Activer le modem pour le basculement lorsque toutes les interfaces externes sont désactivées. 3. Indiquez les paramètres de Compte, DNS, Accès à distanceet Contrôle des liaisonstel que décrit dans les rubriques suivantes. 4. Cliquez sur Enregistrer. Paramètres du compte 1. Sélectionnez l’onglet Compte. 2. Dans la zone de texte Téléphone, entrez le numéro de téléphone de votre fournisseur de services Internet (FSI). 3. Si vous disposez d’un autre numéro pour votre FSI, entrez ce numéro dans la zone de texte Numéro de téléphone alternatif. 4. Dans la zone de texte Nom de compte , entrez le nom du compte d’accès à distance. Guide de l’utilisateur 133 Multi-WAN 5. Si vous vous connectez sur votre compte à l’aide d’un nom de domaine, entrez le nom de domaine dans la zone de texte Domaine de compte. Un exemple de nom de domaine est msn.com. 6. Dans la zone de texte Mot de passe du compte , entrez le mot de passe que vous utilisez pour vous connecter à votre compte d’accès à distance. 7. Si vous rencontrez des problèmes de connexion, activez la case à cocher Activer le modem et la trace de débogage PPP. Lorsque cette option est sélectionnée, Edge envoie des journaux détaillés pour la fonctionnalité de basculement vers un modem série dans le fichier journal des événements. Paramètres DNS Si votre FSI d’accès à distance ne donne pas d’informations sur le serveur DNS ou si vous devez utiliser un autre serveur DNS, vous pouvez entrer vous-même les adresses IP du serveur DNS qui sera utilisé en cas de basculement. 1. Sélectionnez l’onglet DNS. La page des paramètres DNS s’affiche. 2. Activez la case à cocher Configurer manuellement les adresses IP du serveur DNS. 3. Dans la zone de texte Serveur DNS principal , entrez l’adresse IP du serveur DNS principal. 4. Si vous disposez d’un serveur DNS secondaire, entrez l’adresse IP du serveur secondaire dans la zone de texte Serveur DNS secondaire . 5. Dans la zone de texte MTU , pour des raisons de compatibilité, vous pouvez définir une valeur différente pour l’Unité maximale de transmission (MTU). La plupart des utilisateurs peuvent conserver le paramètre par défaut. Paramètres d’accès à distance 1. Sélectionnez l’onglet Accès à distance. La page des options d’appel s’affiche. 134 WatchGuard System Manager Multi-WAN 2. Dans la zone de texte Délai d’attente de l’appel , entrez ou sélectionnez le nombre de secondes avant expiration du délai d’attente si votre modem ne parvient pas à se connecter. La valeur par défaut est de deux (2) minutes. 3. Dans la zone de texte Tentatives de rappel , entrez le nombre de fois que Firebox tente de rappeler le numéro si votre modem ne parvient pas à se connecter. Par défaut, on attendra (3) tentatives de connexion. 4. Dans la zone de texte Délai d’inactivité , entrez ou sélectionnez la durée en minutes avant l’expiration du délai si aucun trafic n’accède au modem. La valeur par défaut est aucun délai d’inactivité. 5. Depuis la liste déroulante Volume du haut-parleur , sélectionnez le volume du haut-parleur de votre modem. Paramètres avancés Pour certains FSI, il est nécessaire de spécifier une ou plusieurs options PPP afin d’activer la connexion. En Chine, par exemple, certains FSI requièrent l’utilisation de l’option PPP Tout recevoir. L’option Tout recevoir permet au protocole PPP d’accepter tous les caractères de contrôles en provenance du pair. 1. Sélectionnez l’onglet Avancé. 2. Dans la zone de texte options PPP , entrez les options PPP requises. Pour spécifier plus d’une option PPP, séparez chaque option par une virgule. Guide de l’utilisateur 135 Multi-WAN Paramètres de contrôle des liaisons Vous pouvez définir les options pour tester une ou plusieurs interfaces externes pour une connexion active. Lorsqu’une interface externe est réactivée, Firebox n’envoie plus de trafic par le modem série et utilise la ou les interfaces externes à la place. Vous pouvez configurer le contrôleur des liaisons pour envoyer une requête ping à un site ou un périphérique sur l’interface externe, créez une connexion TCP en définissant un site et un numéro de port, ou les deux. Vous pouvez aussi définir l’intervalle temporel entre chaque test de connexion et configurer le nombre de fois qu’un test doit échouer ou réussir avant l’activation ou la désactivation d’une interface. Pour configurer les paramètres de contrôle des liaisons pour une interface : 1. Sélectionnez l’onglet Contrôle des liaisons. Les options de connexions de requête ping et de protocole TCP définies pour chaque interface externe s’affichent. 2. Pour configurer une interface, sélectionnez-la dans la liste et cliquez sur Configurer. La boîte de dialogue Détails du contrôle des liaisons s’affiche. 3. Pour envoyer une requête ping à un emplacement ou à un périphérique sur le réseau externe, activez la case à cocher Requête ping et entrez l’adresse IP ou le nom d’hôte dans la zone de texte adjacente. 136 WatchGuard System Manager Multi-WAN 4. Pour créer une connexion TCP sur un emplacement ou un périphérique sur le réseau externe, activez la case à cocher Protocole TCP et entrez l’adresse IP ou le nom d’hôte dans la zone de texte adjacente. Vous pouvez aussi entrer ou sélectionner un numéro de port. Le numéro de port par défaut est 80 (HTTP). 5. Pour demander des connexions réussies par envoi de requête ping et par protocole TCP avant que l’interface ne soit marquée comme active, activez la case à cocher Les requêtes ping et les connexions TCP doivent être réussies. 6. Pour modifier l’intervalle temporel entre les tentatives de connexion, entrez ou sélectionnez un numéro différent dans la zone de texte Intervalle d’exploration . Le paramètre par défaut est de 15 secondes. 7. Pour modifier le nombre d’échecs qui marquent une interface comme inactive, entrez ou sélectionnez un nombre différent dans la zone de texte Désactiver après. La valeur par défaut est trois (3) tentatives de connexions. 8. Pour modifier le nombre de connexions réussies qui marquent une interface comme active, entrez ou sélectionnez un nombre différent dans la zone de texteRéactiver après . La valeur par défaut est trois (3) tentatives de connexions. 9. Cliquez sur OK. À propos des Paramètres multiWAN avancés Vous pouvez configurer des connexions persistantes, la restauration et la notification des événements multiWAN. Certaines options de configuration ne sont pas disponibles pour toutes les options de configuration multiWAN. Si un paramètre ne s’applique pas à l’option de configuration multiWAN que vous avez sélectionnée, les champs correspondants ne peuvent pas être définis. Pour configurer les paramètres multiWAN : 1. Sélectionnez Réseau > multiWAN. 2. Cliquez sur l’onglet Paramètres avancés. 3. Configurez la Durée de connexion persistante et laFailback des connexions actives tel que décrit dans les rubriques suivantes. 4. Cliquez sur Enregistrer. Définissez une durée de connexion persistante globale Une connexion persistante est une connexion qui continue à utiliser la même interface WAN pendant un intervalle de temps défini. Vous pouvez définir des paramètres de connexion persistante si vous utilisez les options de tourniquet ou de dépassement de capacité d’interface pour le multiWAN. La persistance permet de s’assurer que si un paquet traverse une interface externe, tous les autres paquets suivants entre la paire d’adresses IP source et de destination passeront par cette même interface, pendant un intervalle de temps défini. Par défaut, les connexions persistantes utilisent la même interface pendant 3 minutes. Si une définition de stratégie contient un paramètre de connexion persistante, le paramètre de stratégie est utilisé à la place du paramètre global. Pour modifier la durée de connexion persistante globale pour un protocole ou un ensemble de protocoles : 1. dans la zone de texte du protocole, entrez ou sélectionnez un chiffre. 2. Dans la liste déroulante adjacente, sélectionnez une durée. Guide de l’utilisateur 137 Multi-WAN Si vous définissez une durée de connexion persistante dans une stratégie, vous pouvez remplacer la durée de connexion persistante globale. Pour plus d’informations, voir Définir la durée de connexion persistante pour une stratégie à la page 278. Définissez l’action de restauration Vous pouvez définir l’action à entreprendre par votre périphérique WatchGuard lorsqu’un événement de basculement s’est produit et que l’interface externe principale est à nouveau active. Lorsque c’est le cas, toutes les nouvelles connexions sont immédiatement restaurées sur l’interface externe principale. Vous sélectionnez l’option que vous souhaitez appliquer aux connexions actives au moment de la restauration. Dans la liste déroulante Failback des connexions actives : n n Restauration immédiate — Sélectionnez cette option si vous souhaitez que le périphérique WatchGuard arrête immédiatement toutes les connexions existantes. Restauration progressive — Sélectionnez cette option si vous souhaitez que le périphérique WatchGuard continue à utiliser l’interface de basculement pour les connexions existantes jusqu’à la fin de chaque connexion. Le paramètre de basculement s’applique aussi à toute configuration de routage basé sur stratégie que vous définissez pour utiliser les interfaces externes de basculement. À propos de État de l’interface WAN Vous pouvez modifier la méthode et la fréquence à utiliser par Firebox pour contrôler l’état de chaque interface WAN. Si vous ne configurez pas de méthode, il envoie une requête ping à la passerelle par défaut de l’interface pour vérifier l’état de cette dernière. 138 WatchGuard System Manager Multi-WAN Temps nécessaire à Firebox pour mettre à jour sa table de routage Si l’un des hôtes de contrôle des liaisons ne répond pas, il faut compter entre 40 et 60 secondes pour que le périphérique Firebox mette à jour sa table de routage. Lorsque le même hôte de contrôle des liaisons recommence à répondre, il faut compter entre 1 et 60 secondes pour que Firebox mette à jour sa table de routage. Ce processus de mise à jour est bien plus rapide si Firebox détecte une déconnexion physique du port Ethernet. Lorsque cela se produit, le périphérique WatchGuard met immédiatement à jour sa table de routage. Lorsque Firebox détecte que la connexion Ethernet est de nouveau rétablie, il met à jour sa table de routage dans les 20 secondes qui suivent. Définir un hôte de contrôle des liaisons 1. Sélectionnez Réseau > multiWAN. 2. Sélectionnez l’interface et cliquez sur Configurer. La boîte de dialogue Détails du contrôle des liaisons s’affiche. 3. Activez les cases à cocher de chaque méthode de contrôle des liaisons que vous souhaitez que Firebox utilise pour vérifier l’état de chaque interface externe : n n n Requête ping — Ajoutez une adresse IP ou un nom de domaine auquel Firebox enverra une requête ping pour vérifier l’état de l’interface. TCP — Ajoutez l’adresse IP ou le nom de domaine d’un ordinateur avec lequel Firebox peut négocier un transfert TCP pour vérifier l’état de l’interface WAN. Les requêtes ping et les connexions TCP doivent être réussies — L’interface est considérée comme inactive à moins qu’une requête ping et une connexion TCP ne soient exécutées avec succès. Guide de l’utilisateur 139 Multi-WAN Si une interface externe fait partie d’une configuration FireCluster, un basculement multiWAN dû à un échec de connexion à un hôte de contrôle des liaisons ne déclenche pas de basculement FireCluster. Le basculement FireCluster a lieu uniquement lorsque l’interface physique est inactive ou ne répond pas. Si vous ajoutez un nom de domaine auquel Firebox devra envoyer des requêtes ping et que l’une des interfaces externes a une adresse IP statique, vous devez configurer un serveur DNS, tel que décrit dans Ajouter des adresses de serveurs WINS et DNS. 4. Entrez ou sélectionnez un en activant le paramètreExplorez aprèspour configurer la fréquence à laquelle Firebox doit vérifier l’état de l’interface. Le paramètre par défaut est de 15 secondes. 5. Pour modifier le nombre d’échecs d’explorations successifs qui doivent se produire avant le basculement, entrez ou sélectionnez le paramètre Désactiver après. Le paramètre par défaut est trois (3). Après le nombre d’échecs sélectionnés, Firebox envoie le trafic à l’interface suivante définie dans la liste de basculement multiWAN. 6. Pour modifier le nombre de réussites d’exploration consécutives d’une interface avant qu’une interface inactive ne redevienne active, entrez ou sélectionnez le paramètreRéactiver après. 7. Répétez ces étapes pour chaque interface externe. 8. Cliquez sur Enregistrer. 140 WatchGuard System Manager 8 Traduction d’adresses réseau (NAT) À propos de Traduction d’adresses réseau (Network Address Translation) (NAT) La traduction d’adresses réseau ou NAT (Network Address Translation) représente l’une des différentes formes de traduction de ports et d’adresses IP. Dans sa forme la plus rudimentaire, NAT remplace la valeur de l’adresse IP d’un paquet par une autre valeur. Le principal objectif de NAT consiste à augmenter le nombre d’ordinateurs pouvant fonctionner à partir d’une seule adresse IP routable et à masquer les adresses IP privées des hôtes sur le réseau local. Lorsque vous utilisez NAT, l’adresse IP source est modifiée sur tous les paquets que vous envoyez. Vous pouvez appliquer NAT en tant que paramètre général de pare-feu ou en tant que paramètre dans une stratégie. Les paramètres NAT de pare-feu ne s’appliquent pas aux stratégies BOVPN. Si vous avec une mise à niveau de Fireware XTM vers la version professionnelle, vous pouvez utiliser la fonctionnalité Équilibrage de charge côté serveur dans le cadre d’une règle de traduction d’adresses réseau statique. La fonctionnalité d’équilibrage de charge côté serveur est conçue pour augmenter l’évolutivité et les performances d’un réseau à fort trafic comportant plusieurs serveurs publics protégés par votre périphérique WatchGuard. Grâce à l’équilibrage de charge côté serveur, vous pouvez faire en sorte que le périphérique WatchGuard contrôle le nombre de sessions établies vers un maximum de dix serveurs pour chaque stratégie de pare-feu que vous configurez. Le périphérique WatchGuard contrôle la charge en fonction du nombre de sessions en cours sur chaque serveur. Aucune mesure ou comparaison de la bande passante utilisée par chaque serveur n’est effectuée par le périphérique WatchGuard. Pour plus d’informations sur l’équilibrage de charge côté serveur, voir Configurer les équilibrage de charge côté serveur à la page 158. Types de NAT Le périphérique WatchGuard prend en charge trois types de traduction d’adresses réseau. Votre Guide de l’utilisateur 141 Traduction d’adresses réseau (NAT) configuration peut utiliser plusieurs types de traduction d’adresses réseau simultanément. Vous appliquez certains types de NAT à l’ensemble du trafic de pare-feu, et les autres types en tant que paramètre d’une stratégie. NAT dynamique La traduction d’adresses réseau dynamique est également appelée « mascarade IP ». Le périphérique WatchGuard peut appliquer son adresse IP publique aux paquets sortants pour toutes les connexions ou pour des services spécifiés. Ceci permet de masquer au réseau externe l’adresse IP réelle de l’ordinateur qui est la source du paquet. La traduction d’adresses réseau dynamique sert généralement à masquer les adresses IP des hôtes internes lorsqu’ils accèdent aux services publics. Pour plus d’informations, voir À propos de la traduction dynamique traduction d'adresses réseau (NAT) à la page 142. Traduction d’adresses réseau statique La traduction d’adresses réseau statique est également désignée sous le terme de « transfert de port » ; vous la configurez en même temps que les stratégies. Il s’agit d’une traduction d’adresses réseau port à hôte. Un hôte envoie un paquet du réseau externe vers un port d’une interface externe. La traduction d’adresses réseau statique change l’adresse IP en une adresse IP et en un port se trouvant derrière le pare-feu. Pour plus d’informations, voir À propos de NAT statique à la page 157. 1-to-1 NAT 1-to-1 NAT fait correspondre les adresses IP d’un réseau aux adresses IP d’un autre réseau. Ce type de NAT est généralement utilisé pour fournir aux ordinateurs externes un accès à vos serveurs internes, publics. Pour plus d’informations, voir À propos de 1-to-1 NAT à la page 147. À propos de la traduction dynamique traduction d'adresses réseau (NAT) La traduction d’adresses réseau dynamique est le type de règle NAT le plus couramment utilisé. Elle consiste à remplacer l’adresse IP source d’une connexion sortante par l’adresse IP publique de Firebox. À l’extérieur de Firebox, vous ne voyez que l’adresse IP de l’interface externe de Firebox sur les paquets sortants. De nombreux ordinateurs peuvent se connecter à Internet à partir d’une adresse IP publique. La traduction d’adresses réseau dynamique offre davantage de sécurité aux hôtes internes qui utilisent Internet, car elle masque les adresses IP des hôtes sur le réseau. Avec la traduction d’adresses réseau dynamique, toutes les connexions doivent démarrer derrière Firebox. Lorsque Firebox est configuré pour la traduction d’adresses réseau dynamique, les hôtes malveillants ne peuvent pas initier de connexions aux ordinateurs derrière Firebox. 142 WatchGuard System Manager Traduction d’adresses réseau (NAT) Dans la plupart des réseaux, la stratégie de sécurité recommandée consiste à appliquer NAT à tous les paquets sortants. Avec Fireware, la traduction d’adresses réseau dynamique est activée par défaut dans la boîte de dialogue NAT > réseau. Elle est également activée par défaut dans chaque stratégie que vous créez. Vous pouvez remplacer le paramètre de pare-feu de la traduction d’adresses réseau dynamique dans chacune de vos stratégies, comme cela est indiqué dans la rubrique Appliquer les règles NAT à la page 277. Ajouter des entrées NAT dynamiques de pare-feu La configuration par défaut de la traduction d’adresses réseau dynamique active cette dernière à partir de toutes les adresses IP privées vers le réseau externe. Les entrées par défaut sont les suivantes : n n n 192.168.0.0/16 – Any-External (Tout-Externe) 172.16.0.0/12 – Any-External (Tout-Externe) 10.0.0.0/8 – Any-External (Tout-Externe) Ces trois adresses réseau qui correspondent aux réseaux privés réservés par le groupe de travail IETF (Internet Engineering Task Force) sont généralement utilisées pour les adresses IP sur les réseaux locaux. Pour activer la traduction d’adresses réseau dynamique pour des adresses IP privées autres que celles-ci, vous devez leur ajouter une entrée. Le périphérique WatchGuard applique les règles de traduction d’adresses réseau dynamique dans l’ordre dans lequel elles apparaissent dans la liste Entrées de traduction d’adresses réseau dynamique. Nous vous recommandons de placer les règles dans un ordre correspondant au volume de trafic auquel ces règles s’appliquent. 1. Sélectionnez Réseau > NAT. La page Paramètres NAT apparaît. Guide de l’utilisateur 143 Traduction d’adresses réseau (NAT) 2. Dans la section Traduction d’adresses réseau dynamique , cliquez sur Ajouter. La page Configuration NAT dynamique apparaît. 3. Dans la section De , cliquez sur la liste déroulante Type de membre pour sélectionner le type d’adresse à utiliser pour spécifier la source des paquets sortants : IP de l’hôte, IP du réseau, Plage d’hôtes ou Alias. 4. Dans la section De , sous la liste déroulante Type de membre, saisissez l’adresse IP de l’hôte, l’adresse IP du réseau ou la plage d’adresses de l’hôte IP, ou encore sélectionnez un alias dans la liste déroulante. Vous devez saisir une adresse réseau en notation de barre oblique. Pour plus d’informations sur les alias intégrés du périphérique WatchGuard, voir À propos des alias à la page 263. 5. Dans la section À, cliquez sur la liste déroulante Type de membre pour sélectionner le type d’adresse à utiliser afin d’indiquer la destination des paquets sortants. 6. Dans la section À, sous la liste déroulante Type de membre, saisissez l’adresse IP de l’hôte, l’adresse IP du réseau ou la plage d’adresses de l’hôte IP, ou encore sélectionnez un alias dans la liste déroulante. 7. Cliquez sur Enregistrer. La nouvelle entrée s’affiche dans la liste Entrées de traduction d’adresses réseau dynamique. Supprimer une entrée de traduction d’adresses réseau dynamique Vous ne pouvez pas modifier une entrée de traduction d’adresses réseau dynamique existante. Si vous souhaitez modifier une entrée existante, vous devez supprimer l’entrée et en ajouter une nouvelle. Pour supprimer une entrée de traduction d’adresses réseau dynamique : 1. Sélectionnez l’entrée à supprimer. 144 WatchGuard System Manager Traduction d’adresses réseau (NAT) 2. Cliquez sur Supprimer. Un message d’avertissement s’affiche. 3. Cliquez sur Oui. Réorganiser les entrées de traduction d’adresses réseau dynamique Pour changer la séquence des entrées de traduction d’adresses réseau dynamique : 1. Sélectionnez l’entrée à modifier. 2. Cliquez sur Haut ou Bas pour déplacer l’élément dans la liste. Configurer une traduction d’adresses dynamique à base de stratégie Traduction d'adresses réseau (NAT) Dans la traduction d’adresses réseau dynamique à base de stratégie, Firebox fait correspondre des adresses IP privées avec des adresses IP publiques. L’activation de la traduction d’adresses réseau dynamique s’effectue dans la configuration par défaut de chaque stratégie. L’activation de la traduction d’adresses réseau dynamique s’effectue dans la configuration par défaut de chaque stratégie. Afin que la traduction d’adresses réseau dynamique pour une stratégie fonctionne correctement, utilisez l’onglet Stratégie de la boîte de dialogue Modifier les propriétés de stratégie pour vous assurer que la stratégie est configurée de sorte à n’autoriser le trafic sortant que par une seule interface Firebox. Les règles 1-to-1 NAT sont prioritaires sur les règles de NAT dynamique. 1. Sélectionnez Pare-feu > Stratégies de pare-feu. La liste des stratégies de pare-feu apparaît. 2. Sélectionnez une stratégie et cliquez sur Modifier. La page Configuration de stratégie apparaît. 3. Cliquez sur l’onglet Avancé. Guide de l’utilisateur 145 Traduction d’adresses réseau (NAT) 4. Cochez la case Traduction d’adresses réseau dynamique. 5. Sélectionnez Utiliser les paramètres NAT du réseau pour appliquer les règles de NAT dynamique définies pour le périphérique WatchGuard. Sélectionnez L’ensemble du trafic de cette stratégie pour appliquer le service NAT à l’ensemble du trafic de cette stratégie. Vous pouvez définir une adresse IP source dynamique de traduction d’adresses réseau pour une stratégie qui utilise la traduction d’adresses réseau dynamique. Cochez la case Définir l’adresse IP source. Lorsque vous sélectionnez une adresse IP source, le trafic qui utilise cette stratégie indique une adresse spécifiée provenant de votre plage d’adresses IP publiques ou externes comme étant la source. Ce système est généralement utilisé pour forcer le trafic SMTP sortant et indiquer l’adresse de l’enregistrement MX de votre domaine lorsque l’adresse IP de l’interface externe du périphérique WatchGuard est différente de celle de l’enregistrement MX. Cette adresse source doit être sur le même sous-réseau que l’interface que vous avez indiqué pour le trafic sortant. Il est recommandé de ne pas utiliser l’option Définir l’adresse IP source si vous avez plusieurs interfaces externes configurées sur votre périphérique WatchGuard. Si vous ne cochez pas la case Définir l’adresse IP source, le périphérique WatchGuard change l’adresse IP source de chaque paquet et utilise l’adresse IP de l’interface d’origine du paquet. 6. Cliquez sur Enregistrer. Désactiver la traduction d’adresses réseau dynamique pour la stratégie L’activation de la traduction d’adresses réseau dynamique s’effectue dans la configuration par défaut de chaque stratégie. Pour désactiver la traduction d’adresses réseau dynamique pour une stratégie : 1. Sélectionnez Pare-feu > Stratégies de pare-feu. La liste des stratégies de pare-feu apparaît. 146 WatchGuard System Manager Traduction d’adresses réseau (NAT) 2. Sélectionnez une stratégie et cliquez sur Modifier. La page Configuration de stratégie apparaît. 3. Cliquez sur l’onglet Avancé. 4. Pour désactiver la traduction d’adresses réseau dynamique pour le trafic contrôlé par cette stratégie, désélectionnez la case à cocher Traduction d’adresses réseau dynamique. 5. Cliquez sur Enregistrer. À propos de 1-to-1 NAT Lorsque vous activez 1-to-1 NAT, votre périphérique WatchGuard modifie et achemine tous les paquets entrants et sortants envoyés à partir d’une plage d’adresses vers une autre plage d’adresses. Une règle 1-to1 NAT est toujours prioritaire sur une règle de traduction d’adresses réseau dynamique. La règle 1-to-1 NAT est fréquemment utilisée en présence d’un groupe de serveurs internes dont les adresses IP privées doivent être rendues publiques. Vous pouvez utiliser 1-to-1 NAT pour faire correspondre des adresses IP publiques aux serveurs internes. Il est inutile de modifier l’adresse IP de vos serveurs internes. Dans un groupe de serveurs identiques (par exemple, un groupe de serveurs de messagerie), il est plus simple de configurer 1-to-1 NAT que la traduction d’adresses réseau statique. Voici un exemple de configuration de 1-to-1 NAT : La Société ABC possède un groupe de cinq serveurs de messagerie comportant des adresses privées situé derrière l’interface approuvée de son périphérique WatchGuard. Ces adresses sont les suivantes : 10.1.1.1 10.1.1.2 10.1.1.3 10.1.1.4 10.1.1.5 La Société ABC sélectionne cinq adresses IP publiques à partir de la même adresse réseau que l’interface externe de son périphérique WatchGuard, puis crée des enregistrements DNS pour la résolution des adresses IP des serveurs de messagerie du domaine. Ces adresses sont les suivantes : 50.1.1.1 50.1.1.2 50.1.1.3 50.1.1.4 50.1.1.5 La Société ABC configure une règle 1-to-1 NAT pour ses serveurs de messagerie. La règle 1-to-1 NAT génère une relation statique, bidirectionnelle entre les paires d’adresses IP correspondantes. La relation a l’aspect suivant : 10.1.1.1 <--> 50.1.1.1 10.1.1.2 <--> 50.1.1.2 10.1.1.3 <--> 50.1.1.3 Guide de l’utilisateur 147 Traduction d’adresses réseau (NAT) 10.1.1.4 <--> 50.1.1.4 10.1.1.5 <--> 50.1.1.5 Une fois la règle 1-to-1 NAT appliquée, votre périphérique WatchGuard crée le routage bidirectionnel et la relation NAT entre le pool d’adresses IP privées et le pool d’adresses publiques. Le 1-to-1 NAT fonctionne également sur le trafic envoyé depuis les réseaux que protège votre périphérique WatchGuard. À propos de 1-to-1 NAT et des tunnels VPN En effet, lorsque vous créez un tunnel VPN, les réseaux à chaque extrémité du tunnel doivent avoir différentes plages d’adresses réseau. Vous pouvez utiliser la règle 1-to-1 NAT lors de la création d’un tunnel VPN entre deux réseaux qui utilisent une même adresse réseau privée. Si la plage d’adresses réseau sur le réseau distant est la même que sur le réseau local, vous pouvez configurer les deux passerelles pour qu’elles utilisent la règle 1-to-1 NAT. Vous configurez une règle 1-to-1 NAT pour un tunnel VPN lorsque vous configurez le tunnel VPN et pas dans la boîte de dialogue NAT > réseau page. Configurer 1-to-1 NAT pour le pare-feu 1. Sélectionnez Réseau > NAT. La page Paramètres NAT apparaît. 2. Dans la section 1-to-1 NAT, cliquez sur Ajouter. La page Configuration 1-to-1 NAT apparaît. 148 WatchGuard System Manager Traduction d’adresses réseau (NAT) 3. Dans la liste déroulante Type de mappage, sélectionnez IP unique (pour mapper un hôte), Plage IP (pour mapper une plage d’hôtes) ou Sous-réseau IP (pour mapper un sous-réseau). Si vous sélectionnez Plage IP ou Sous-réseau IP, n’incluez pas plus de 256 adresses IP dans cette plage ou ce sous-réseau. Pour appliquer la traduction NAT à plus de 256 adresses IP, vous devez créer plusieurs règles. 4. Remplissez tous les champs de la section Configuration. Pour plus d’informations sur l’utilisation de ces champs, voir la section suivante Définir une règle NAT un à un. 5. Cliquez sur Enregistrer. Après avoir configuré une règle globale 1-to-1 NAT, vous devez ajouter les adresses IP NAT aux stratégies appropriées.. n n Si votre stratégie gère le trafic sortant, ajoutez les adresses IP de base réelles à la section De de la configuration de stratégie. Si votre stratégie gère le trafic entrant, ajoutez les adresses IP de base NAT à la section À de la configuration de stratégie. Dans l’exemple précédent, dans lequel nous avons utilisé une règle 1-to-1 NAT pour donner l’accès à un groupe de serveurs de messagerie décrit dans À propos de 1-to-1 NAT à la page 147, nous devons configurer la stratégie SMTP pour permettre le trafic SMTP. Pour terminer cette configuration, vous devez modifier les paramètres stratégie pour autoriser le trafic depuis le réseau externe vers la plage d’adresses IP 10.1.1.1-10.1.1.5. 1. 2. 3. 4. 5. Créez une stratégie ou modifiez une stratégie existante. À côté de la liste De , cliquez sur Ajouter. Sélectionnez l’alias Any-External (Tout-Externe) et cliquez sur OK. À côté de la liste À, cliquez sur Ajouter. Pour ajouter une adresse IP à la fois, sélectionnez IP de l’hôte dans la liste déroulante et saisissez l’adresse IP dans la zone de texte située à côté, puis cliquez sur OK. Guide de l’utilisateur 149 Traduction d’adresses réseau (NAT) 6. Répétez les étapes 3-4 pour chaque adresse IP de la plage d’adresses NAT. Pour ajouter plusieurs adresses IP à la fois, sélectionnez Plage d’hôtes dans la liste déroulante. Saisissez les première et dernière adresses IP de la plage de base NAT et cliquez sur OK. Note Pour vous connecter à un ordinateur situé sur une autre interface qui fait appel à la règle 1-to-1 NAT, vous devez utiliser l’adresse IP (base NAT) privée de cet ordinateur. Si cela pose un problème, vous pouvez désactiver la règle 1-to-1 NAT pour utiliser la traduction d’adresses réseau statique. Définir un Règle 1-to-1 NAT Dans chaque règle 1-to-1 NAT, vous pouvez configurer un hôte, une plage d’hôtes ou un sous-réseau. Vous devez également configurer : Interface Nom de l’interface Ethernet sur laquelle la règle 1-to-1 NAT est appliquée. Votre périphérique WatchGuard appliquera la règle 1-to-1 NAT aux paquets envoyés à l’interface et depuis cette dernière. Dans notre exemple ci-dessus, la règle est appliquée à l’interface externe. Base NAT Lorsque vous configurez une règle 1-to-1 NAT, vous utilisez plage d’adresses IP De et À. La base NAT est la première adresse IP disponible de la À. L’adresse IP de base NAT est l’adresse qui devient une adresse IP de base réelle soumise à la règle 1-to-1 NAT. Vous ne pouvez pas utiliser l’adresse IP d’une interface Ethernet existante en tant que base NAT. Dans notre exemple ci-dessus, la base NAT est 50.50.50.1. Base réelle Lorsque vous configurez une règle 1-to-1 NAT, vous utilisez plage d’adresses IP De et À. La base réelle est la première adresse IP disponible de la plage d’adresses De. Il s’agit de l’adresse IP attribuée à l’interface Ethernet physique de l’ordinateur auquel vous appliquez la stratégie 1-to-1 NAT. Lorsque les paquets provenant d’un ordinateur associé à une adresse de base réelle transitent par l’interface spécifiée, l’action un à un s’applique. Dans l’exemple ci-dessus, la base réelle est 10.0.1.50. Nombre d’hôtes soumis à la règle NAT (pour plages IP uniquement) Nombre d’adresses IP d’une plage auquel s’applique la règle 1-to-1 NAT. La première adresse IP de base réelle est traduite en première adresse IP de base NAT lors de l’application de la règle 1-to-1 NAT. La deuxième adresse IP de base réelle de la plage est traduite en deuxième adresse IP de base NAT lors de l’application de la règle 1-to-1 NAT. Cette opération se répète jusqu’à ce que le nombre d’hôtes soumis à la règle NAT soit atteint. Dans l’exemple ci-dessus, le nombre d'hôtes à soumettre à la règle NAT est 5. Vous pouvez également utiliser la règle 1-to-1 NAT lors de la création d’un tunnel VPN entre deux réseaux qui utilisent une même adresse réseau privée. En effet, lorsque vous créez un tunnel VPN, les réseaux à chaque extrémité du tunnel doivent avoir différentes plages d’adresses réseau. Si la plage d’adresses 150 WatchGuard System Manager Traduction d’adresses réseau (NAT) réseau sur le réseau distant est la même que sur le réseau local, vous pouvez configurer les deux passerelles pour qu’elles utilisent la règle 1-to-1 NAT. Ensuite, vous pouvez créer le tunnel VPN sans modifier les adresses IP à une extrémité du tunnel. Vous configurez une règle 1-to-1 NAT pour un tunnel VPN lorsque vous configurez le tunnel VPN et pas dans la boîte de dialogue NAT >réseau. Pour accéder à un exemple d’utilisation d’une règle 1-to-1 NAT, voir Exemple de règle 1-to-1 NAT. Configurer 1-to-1 NAT pour une stratégie Dans la règle 1-to-1 NAT basée sur une stratégie, votre périphérique WatchGuard utilise les plages IP publiques et privées que vous avez définies lorsque vous avez configuré la règle 1-to-1 NAT globale, mais les règles s’appliquent à une stratégie individuelle. L’activation de la règle 1-to-1 NAT s’effectue dans la configuration par défaut de chaque stratégie. Si le trafic correspond à la fois à une stratégie 1-to-1 NAT et à une stratégie de traduction d’adresses réseau dynamique, c’est la stratégie 1-to-1 NAT qui est prioritaire. Activer 1-to-1 NAT pour une stratégie L’activation de la règle 1-to-1 NAT pour une stratégie étant la valeur par défaut, il est inutile de l’activer. Si vous avez désactivé la règle 1-to-1 NAT basée sur une stratégie, cochez la case dansÉtape 4 de la procédure suivante pour la réactiver. Désactiver la règle 1-to-1 NAT pour une stratégie 1. Sélectionnez Pare-feu > Stratégies de pare-feu. La liste des stratégies de pare-feu apparaît. 2. Sélectionnez une stratégie et cliquez sur Modifier. La page Configuration de stratégie apparaît. 3. Cliquez sur l’onglet Avancé. Guide de l’utilisateur 151 Traduction d’adresses réseau (NAT) 4. Désélectionnez la case 1-to-1 NAT pour désactiver la règle NAT pour le trafic contrôlé par cette stratégie. 5. Cliquez sur Enregistrer. Configurer le bouclage NAT avec la traduction d’adresses réseau statique Fireware XTM prend en charge le bouclage NAT. Le bouclage NAT permet à un utilisateur des réseaux approuvé ou facultatif d’accéder à un serveur public qui se trouve sur la même interface physique Firebox par son adresse IP publique ou son nom de domaine. Pour les connexions de bouclage NAT, Firebox change l’adresse IP source et utilise l’adresse IP de l’interface interne Firebox (l’adresse IP principale de l’interface dans laquelle le client et le serveur se connectent à Firebox). Voici un exemple de configuration de bouclage NAT avec la règle NAT statique : L’entreprise ABC dispose d’un serveur HTTP sur une interface Firebox approuvée. L’entreprise une règle NAT statique pour faire correspondre l’adresse IP publique au serveur interne. L’entreprise souhaite autoriser les utilisateurs du réseau approuvé à utiliser l’adresse IP publique ou le nom de domaine pour accéder à ce serveur public. Pour cet exemple, nous partons des postulats suivants : n n n L’interface approuvée est configurée avec une adresse IP sur le réseau 10.0.1.0/24 L’interface approuvée est également configurée avec une adresse IP secondaire sur le réseau 192.168.2.0/24 Le serveur HTTP est connecté physiquement au réseau 10.0.1.0/24. L’adresse de base réelle du serveur HTTP se trouve sur le réseau approuvé. Ajouter une stratégie pour le bouclage NAT sur le serveur Dans cet exemple, pour autoriser les utilisateurs de vos réseaux approuvé et facultatif à utiliser l’adresse IP publique ou le nom de domaine pour accéder à un serveur public se trouvant sur le réseau approuvé, vous devez ajouter une stratégie HTTP qui pourrait avoir cette apparence : 152 WatchGuard System Manager Traduction d’adresses réseau (NAT) La section À de la stratégie contient un itinéraire NAT statique depuis l’adresse IP publique du serveur HTTP jusqu’à l’adresse IP réelle de ce serveur. Pour plus d’informations sur la traduction d’adresses réseau statique, voir À propos de NAT statique à la page 157. Si vous utilisez 1-to-1 NAT pour acheminer le trafic vers les serveurs à l’intérieur de votre réseau, voir Bouclage NAT et 1-to-1 NAT à la page 154. Guide de l’utilisateur 153 Traduction d’adresses réseau (NAT) Bouclage NAT et 1-to-1 NAT Le bouclage NAT permet à un utilisateur des réseaux approuvé ou facultatif de se connecter à un serveur public avec son adresse IP publique ou son nom de domaine si le serveur se trouve sur la même interface Firebox physique. Si vous utilisez la règle 1-to-1 NAT pour acheminer le trafic jusqu’aux serveurs sur le réseau interne, utilisez ces instructions pour configure le bouclage NAT des utilisateurs internes jusqu’à ces serveurs. Si vous n’utilisez pas la règle 1-to-1 NAT, voir Configurer le bouclage NAT avec la traduction d’adresses réseau statique à la page 152. Voici un exemple de configuration de bouclage NAT avec la règle 1-to-1 NAT : L’entreprise ABC dispose d’un serveur HTTP sur une interface Firebox approuvée. Elle utilise une règle 1-to1 NAT pour faire correspondre l’adresse IP publique au serveur interne. L’entreprise souhaite autoriser les utilisateurs de l’interface approuvée à utiliser l’adresse IP publique ou le nom de domaine pour accéder à ce serveur public. Pour cet exemple, nous partons des postulats suivants : n Un serveur dont l’adresse IP publique est 100.100.100.5 est mis en correspondance par une règle 1-to-1 NAT à un hôte du réseau interne. Dans la section 1-to-1 NAT de la page Configuration NAT, sélectionnez ces options : Interface — Externe, Base NAT — 100.100.100.5, Base réelle — 10.0.1.5 n n n L’interface approuvée est configurée avec un réseau principal, 10.0.1.0/24 Le serveur HTTP est connecté physiquement au réseau sur l’interface approuvée. L’adresse Base réelle de cet hôte se trouve sur l’interface approuvée. L’interface approuvée est également configurée avec un réseau secondaire, 192.168.2.0/24. Dans cet exemple, afin d’activer le bouclage NAT pour tous les utilisateurs connectés à l’interface approuvée, vous devez : 1. Vérifier qu’il existe une entrée 1-to-1 NAT pour chaque interface utilisée par le trafic lorsque les ordinateurs internes accèdent à l’adresse IP publique 100.100.100.5 avec connexion de bouclage 154 WatchGuard System Manager Traduction d’adresses réseau (NAT) NAT. Vous devez ajouter un autre mappage NAT un à un pour l’appliquer au trafic qui part de l’interface approuvée. Le nouveau mappage un à un est identique au précédent, à l’exception du fait que l’option Interface est définie sur Approuvée au lieu d’Externe. Après l’ajout de la deuxième entrée 1-to-1 NAT, l’onglet 1-to-1 NAT la boîte de dialogue Configuration page indique deux mappages 1-to-1 NAT : un pour l’interface externe et l’autre pour l’interface approuvée. Dans la section 1-to-1 NAT de la page Configuration NAT, ajoutez ces deux entrées : Interface — Externe, Base NAT — 100.100.100.5, Base réelle — 10.0.1.5 Interface — Approuvée, Base NAT — 100.100.100.5, Base réelle — 10.0.1.5 2. Ajoutez pour chaque réseau une entrée de traduction d’adresses réseau dynamique sur l’interface à laquelle le serveur est connecté. Le champ De de l’entrée de traduction d’adresses réseau dynamique est l’adresse IP du réseau à partir duquel les ordinateurs accèdent à l’adresse IP 1-to-1 NAT avec bouclage NAT. Le champ À de l’entrée de traduction d’adresses réseau dynamique est l’adresse de base NAT du mappage 1-to-1 NAT. Dans cet exemple, l’interface approuvée comporte deux réseaux définis et nous souhaitons autoriser les utilisateurs des deux réseaux à accéder au serveur HTTP avec l’adresse IP publique ou le nom d’hôte du serveur. Nous devons ajouter deux entrées de traduction d’adresses réseau dynamique. Dans la section NAT dynamique de la page Configuration NAT, ajoutez : 10.0.1.0/24 - 100.100.100.5 192.168.2.0/24 - 100.100.100.5 3. Ajoutez une stratégie pour autoriser les utilisateurs de votre réseau approuvé à utiliser l’adresse IP publique ou le nom de domaine pour accéder au serveur public sur le réseau approuvé. Dans cet Guide de l’utilisateur 155 Traduction d’adresses réseau (NAT) exemple : De Any-Trusted (Tout-Approuvé) À 100.100.100.5 L’adresse IP publique à laquelle les utilisateurs souhaitent se connecter est 100.100.100.5. Cette adresse IP est configurée comme adresse IP secondaire de l’interface externe. Dans la section À de la stratégie, ajoutez 100.100.100.5. Pour plus d’informations sur la configuration de la traduction d’adresses réseau statique, voir À propos de NAT statique à la page 157. 156 WatchGuard System Manager Traduction d’adresses réseau (NAT) Pour plus d’informations sur la configuration d’une règle 1-to-1 NAT, voir Configurer 1-to-1 NAT pour le pare-feu à la page 148. À propos de NAT statique Le principe de NAT statique, appelé également transfert de port, est une traduction d’adresses réseau port à hôte. Un hôte envoie un paquet du réseau externe vers un port d’une interface externe. La traduction d’adresses réseau statique change l’adresse IP de destination en une adresse IP et en un port se trouvant derrière le pare-feu. Si une application logicielle utilise plusieurs ports et que ces ports sont sélectionnés de façon dynamique, utilisez 1-to-1 NAT ou vérifiez si un proxy sur votre périphérique WatchGuard peut gérer ce type de trafic. La traduction d’adresses réseau statique fonctionne également sur le trafic envoyé depuis les réseaux que protège votre périphérique WatchGuard. Lorsque vous utilisez la traduction d’adresses réseau statique, vous utilisez en fait une adresse IP externe de votre périphérique Firebox et non l’adresse IP d’un serveur public. Ceci est possible, car vous l’avez choisi ou parce que votre serveur public ne possède pas d’adresse IP publique. Par exemple, vous pouvez placer votre serveur de messagerie SMTP derrière votre périphérique WatchGuard avec une adresse IP privée et configurer la traduction d’adresses réseau statique dans votre stratégie SMTP. Votre périphérique WatchGuard reçoit les connexions sur le port 25 et s’assure que tout le trafic SMTP est envoyé au serveur SMTP réel situé derrière le périphérique Firebox. 1. Sélectionnez Pare-feu > Stratégies de pare-feu. 2. Double-cliquez sur une stratégie pour la modifier. 3. Dans la liste déroulante Les connexions sont, sélectionnez Autorisées. Pour utiliser la traduction d’adresses réseau statique, la stratégie doit laisser passer le trafic entrant. 4. Sous la liste À, cliquez sur Ajouter. La boîte de dialogue Ajouter un membre s’affiche. Note La traduction d’adresses réseau statique n’est disponible que pour les stratégies utilisant un port spécifique, notamment TCP et UDP. Une stratégie qui utilise un autre protocole ne peut pas utiliser de traduction des adresses réseau entrantes statique. Le bouton NAT de la boîte de dialogue Propriétés de cette stratégie n’est pas disponible. Vous ne pouvez pas non plus utiliser la traduction des adresses réseau statique avec la stratégie Any. Guide de l’utilisateur 157 Traduction d’adresses réseau (NAT) 5. Dans la liste déroulante Type de membre, sélectionnez Traduction d’adresses réseau. 6. Dans la liste déroulante Adresse IP externe, sélectionnez l’adresse IP externe ou l’alias que vous souhaitez utiliser dans cette stratégie. Par exemple, vous pouvez utiliser la traduction d’adresses réseau statique pour cette stratégie pour les paquets reçus uniquement sur une seule adresse IP externe. Vous pouvez également utiliser la traduction d’adresses réseau statique pour les paquets reçus sur une adresse IP externe si vous sélectionnez l’alias Any-External (Tout-Externe). 7. Saisissez l’adresse IP interne. Il s’agit de la destination sur le réseau approuvé ou facultatif. 8. Si nécessaire, sélectionnez Configurer le port interne sur un port autre . Cette option active la traduction d’adresses de port (PAT, Port Address Translation). Cette fonction vous permet de modifier la destination des paquets non seulement vers un hôte interne spécifié, mais également vers un autre port. Si vous cochez cette case, saisissez le numéro de port ou cliquez sur le bouton fléché Haut ou Bas pour sélectionner le port que vous souhaitez utiliser. Cette option n’est généralement pas utilisée. 9. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un NAT statique. L’itinéraire de la traduction d’adresses réseau statique s’affiche dans la liste Membres et adresses. 10. Cliquez sur Enregistrer. Configurer les équilibrage de charge côté serveur Note Pour utiliser l’équilibrage de charge côté serveur, vous devez avoir un périphérique Firebox X Core, Peak ou WatchGuard XTM et Fireware XTM avec mise à niveau vers la version professionnelle. La fonctionnalité d’équilibrage de charge côté serveur dans Fireware XTM est conçue pour augmenter l’évolutivité et les performances d’un réseau à fort trafic comportant plusieurs serveurs publics. Grâce à l’équilibrage de charge côté serveur, vous pouvez faire en sorte que le périphérique WatchGuard contrôle le nombre de sessions établies vers un maximum de 10 serveurs pour chaque stratégie de pare-feu que vous configurez. Le périphérique WatchGuard contrôle la charge en fonction du nombre de sessions en cours sur chaque serveur. Aucune mesure ou comparaison de la bande passante utilisée par chaque serveur n’est effectuée par le périphérique WatchGuard. Vous configurez l’équilibrage de charge côté serveur dans le cadre d’une règle de traduction d’adresses réseau statique. Le périphérique WatchGuard peut équilibrer les connexions parmi vos serveurs à l’aide de deux algorithmes différents. Lorsque vous configurez l’équilibrage de charge côté serveur, vous devez choisir l’algorithme que vous souhaitez que le périphérique WatchGuard applique. Tourniquet Si vous sélectionnez cette option, le périphérique WatchGuard distribue les sessions entrantes parmi les serveurs que vous spécifiez dans la stratégie, à tour de rôle. La première connexion est envoyée au premier serveur spécifié dans la stratégie. La connexion suivante est envoyée au serveur suivant dans la stratégie, et ainsi de suite. 158 WatchGuard System Manager Traduction d’adresses réseau (NAT) Connexion minimale Si vous sélectionnez cette option, le périphérique WatchGuard envoie chaque nouvelle session au serveur de la liste présentant à ce moment-là le moins de connexions ouvertes au périphérique. Le périphérique WatchGuard ne peut pas déterminer le nombre de connexions ouvertes du serveur sur d’autres interfaces. Vous pouvez appliquer des pondérations à vos serveurs dans la configuration de l’équilibrage de charge côté serveur afin de garantir que la charge la plus lourde est attribuée à vos serveurs les plus puissants. Par défaut, chaque interface présente une pondération de 1. La pondération désigne la proportion de charge que le périphérique WatchGuard envoie à un serveur. Si vous attribuez une pondération de 2 à un serveur, vous doublez le nombre de sessions que le périphérique WatchGuard envoie à ce serveur par rapport à un serveur doté d’une pondération de 1. Lors de la configuration de l’équilibrage de charge côté serveur, il est important de savoir que : n n n n n Vous pouvez configurer l’équilibrage de charge côté serveur pour toutes les stratégies auxquelles vous appliquez la traduction d’adresses réseau statique. Si vous appliquez l’équilibrage de charge côté serveur à une stratégie, vous ne pouvez pas définir un routage basé sur stratégie ou d’autres règles NAT dans la même stratégie. Lorsque vous appliquez l’équilibrage de charge côté serveur à une stratégie, vous pouvez ajouter jusqu’à 10 serveurs à la stratégie. Le périphérique WatchGuard ne modifie pas l’adresse IP de l’expéditeurou de la source, du trafic envoyé sur ces périphériques. Le trafic est envoyé directement depuis le périphérique WatchGuard, mais chaque périphérique faisant partie de votre configuration d’équilibrage de charge côté serveur voit l’adresse IP source d’origine du trafic réseau. Si vous utilisez l’équilibrage de charge côté serveur dans une configuration FireCluster actif/passif, la synchronisation en temps réel ne s’effectue pas entre les membres du cluster lorsqu’un basculement se produit. Lorsque le maître du cluster passif devient le maître du cluster actif, il envoie des connexions à tous les serveurs de la liste d’équilibrage de charge côté serveur pour déterminer ceux qui sont disponibles. Il applique ensuite à tous les serveurs disponibles l’algorithme d’équilibrage de charge. Pour configurer l’équilibrage de charge côté serveur : 1. Sélectionnez Pare-feu > Stratégies de pare-feu. Sélectionnez la stratégie que vous souhaitez modifier et cliquez sur Modifier. Vous pouvez également ajouter une stratégie. 2. Sous le champ À, cliquez sur Ajouter. La boîte de dialogue Ajouter liste déroulante Type apparaît. 3. Dans la liste déroulante Type de membre, sélectionnez Équilibrage de charge côté serveur. Guide de l’utilisateur 159 Traduction d’adresses réseau (NAT) 4. Dans la liste déroulante Adresse IP externe, sélectionnez l’adresse IP externe ou l’alias que vous souhaitez utiliser dans cette stratégie. Par exemple, vous pouvez faire en sorte que le périphérique WatchGuard applique l’équilibrage de charge côté serveur à cette stratégie pour les paquets reçus uniquement sur une seule adresse IP externe. Le périphérique WatchGuard peut également appliquer l’équilibrage de charge côté serveur pour les paquets reçus sur toutes les adresses IP externes, si vous sélectionnez l’alias AnyExternal (Tout-Externe). 5. Dans la liste déroulante Méthode, sélectionnez l’algorithme que le périphérique WatchGuard doit utiliser pour l’équilibrage de charge côté serveur : Tourniquet ou Connexion minimale. 6. Cliquez sur Ajouter pour ajouter les adresses IP de vos serveurs internes pour cette stratégie. Vous pouvez ajouter un maximum de 10 serveurs dans une stratégie. Vous pouvez également ajouter une pondération au serveur. Par défaut, chaque serveur présente une pondération de 1. La pondération désigne la proportion de charge que le périphérique WatchGuard envoie à un serveur. Si vous attribuez une pondération de 2 à un serveur, vous doublez le nombre de sessions que le périphérique WatchGuard envoie à ce serveur par rapport à un serveur doté d’une pondération de 1. 7. Pour définir des connexions persistantes pour vos serveurs internes, cochez la case Activer une connexion persistante et définissez la période dans les champs Activer une connexion persistante. 160 WatchGuard System Manager Traduction d’adresses réseau (NAT) Une connexion persistante est une connexion qui continue à utiliser le même serveur pendant un intervalle de temps défini. La persistance garantit que tous les paquets situés entre une paire d’adresses source et de destination sont envoyés à un même serveur pendant la durée que vous spécifiez. 8. Cliquez sur Enregistrer. Exemples de traduction d’adresses réseau (NAT) Exemple de règle 1-to-1 NAT Lorsque vous activez une règle 1-to-1 NAT, le périphérique Firebox ou XTM modifie et achemine tous les paquets entrants et sortants envoyés à partir d’une plage d’adresses vers une autre plage d’adresses. Pensez à une situation dans laquelle vous avez un groupe de serveurs internes avec des adresses IP privées ; chacune doit indiquer une adresse IP publique différente vers l’extérieur. Vous pouvez utiliser une règle 1-to-1 NAT pour faire correspondre des adresses IP publiques aux serveurs internes et vous n’avez pas besoin de changer les adresses IP de vos serveurs internes. Pour comprendre comment configurer une règle 1-to-1 NAT, prenez cet exemple : Une entreprise possède un groupe de trois serveurs comportant des adresses privées et situés derrière une interface facultative du périphérique Firebox. Les adresses des serveurs sont les suivantes : 10.0.2.11 10.0.2.12 10.0.2.13 L’administrateur sélectionne trois adresses IP publiques de la même adresse réseau que l’interface externe du Firebox et crée des enregistrements DNS pour la résolution des adresses des serveurs. Ces adresses sont les suivantes : 50.50.50.11 50.50.50.12 50.50.50.13 L’administrateur configure une règle 1-to-1 NAT pour les serveurs. La règle 1-to-1 NAT génère une relation statique, bidirectionnelle entre les paires d’adresses IP correspondantes. La relation a l’aspect suivant : 10.0.2.11 <--> 50.50.50.11 10.0.2.12 <--> 50.50.50.12 10.0.2.13 <--> 50.50.50.13 Une fois la règle 1-to-1 NAT appliquée, Firebox crée le routage bidirectionnel et la relation NAT entre le pool d’adresses IP privées et le pool d’adresses publiques. Guide de l’utilisateur 161 Traduction d’adresses réseau (NAT) Pour connaître les étapes de définition d’une règle 1-to-1 NAT, voir Configurer 1-to-1 NAT pour le pare-feu. 162 WatchGuard System Manager 9 Configuration sans fil À propos de la configuration sans fil Lorsque vous activez la fonction sans fil du périphérique WatchGuard, vous avez le choix entre une configuration sans fil de l’interface externe, ou une configuration du périphérique WatchGuard comme point d’accès sans fil pour les utilisateurs de réseaux approuvés, facultatifs ou invités. Avant de configurer l’accès au réseau sans fil, consultez Avant de commencer à la page 165. Activation de la fonction sans fil de votre périphérique WatchGuard : 1. Sélectionnez Réseau > Sans fil. La page Sans fil s’affiche. 2. À la page Sans fil, choisissez une option de configuration sans fil : Activer le client sans fil comme interface externe Ce paramètre vous permet de configurer l’interface externe du périphérique sans fil WatchGuard pour vous connecter à un réseau sans fil. Cette configuration est utile pour les endroits avec infrastructure de réseau inexistante ou limitée. Guide de l’utilisateur 163 Configuration sans fil Pour plus d’informations sur la configuration sans fil de l’interface externe, cf. Configurer l’interface externe en tant qu’interface sans fil à la page 182. Activer les points d’accès sans fil Ce paramètre sert à configurer votre périphérique sans fil WatchGuard comme point d’accès pour utilisateurs sur les réseaux approuvés, facultatifs ou invités. Pour plus d’informations, voir À propos de configuration Point d’accès sans fil à la page 164. 3. Dans la section Paramètres radio, sélectionnez vos paramètres radio sans fil. Pour plus d’informations, voir Présentation des paramètres paramètres de radio sans fil sur Firebox X Edge e-Series à la page 184 et Présentation des paramètres radio sans fil du WatchGuard XTM sans fil Série 2 à la page 187. 4. Cliquez sur Enregistrer. À propos de configuration Point d’accès sans fil Tout périphérique sans fil WatchGuard peut être configuré comme point d’accès sans fil avec trois zones différentes de sécurité : vous pouvez ainsi activer d’autres périphériques sans fil pour qu’ils se connectent au WatchGuard à titre de membres du réseau approuvé ou du réseau facultatif ; vous pouvez également activer un réseau invité de services sans fil pour les utilisateurs du WatchGuard. Les ordinateurs se connectent au réseau invité par le biais du WatchGuard, mais ne peuvent pas accéder aux ordinateurs sur les réseaux approuvé ou facultatif. Avant d’activer le périphérique sans fil WatchGuard comme point d’accès, vous devez étudier avec soin les utilisateurs sans fil qui s’y connecteront et établir le niveau d’accès que vous souhaitez pour chaque type d’utilisateur. Il y a trois types d’accès sans fil que vous pouvez autoriser : Autoriser les connexions sans fil à une interface approuvée Lorsque vous autorisez des connexions sans fil par une interface approuvée, les périphériques sans fil disposent d’un accès total à tous les ordinateurs du réseau facultatif et du réseau approuvé et d’un accès total à Internet, conformément aux règles que vous avez configurées pour l’accès sortant sur votre WatchGuard. Si vous autorisez l’accès sans fil par une interface approuvée, il est vivement conseillé d’activer et d’utiliser la fonctionnalité de restriction MAC (cf. rubrique suivante) pour autoriser l’accès par le périphérique WatchGuard uniquement aux appareils qui ont été ajoutés à la liste Adresses MAC autorisées. Pour plus d’informations sur la restriction d’accès par des adresses MAC, cf. Utiliser la liaison d’adresse MAC statique à la page 108. Autoriser les connexions sans fil à une interface facultative Lorsque vous autorisez des connexions sans fil par une interface facultative, les périphériques sans fil disposent d’un accès total à tous les ordinateurs du réseau facultatif et d’un accès total à Internet, conformément aux règles que vous avez configurées pour l’accès sortant sur votre WatchGuard. 164 WatchGuard System Manager Configuration sans fil Autoriser les connexions invitées sans fil par une interface externe Les ordinateurs qui se connectent au réseau invité sans fil ont accès à Internet par le périphérique WatchGuard, conformément aux règles que vous avez configurées pour l’accès sortant sur votre WatchGuard. Ces périphériques ne peuvent pas accéder aux ordinateurs sur le réseau approuvé ou facultatif. Pour un complément d’information sur la façon de configurer un réseau invité sans fil, cf. Activer un réseau invité sans fil à la page 175. Avant de configurer l’accès au réseau sans fil, consultez Avant de commencer à la page 165. Pour autoriser des connexions sans fil à votre réseau approuvé ou à votre réseau facultatif, cf. Autoriser des connexions sans fil au réseau facultatif ou approuvé à la page 172. Avant de commencer Les périphériques sans fil WatchGuard sont conformes aux normes 802.11n, 802.11b et 802.11g définies par l’IEEE (Institute of Electrical and Electronics Engineers). Lorsque vous mettez en place un périphérique WatchGuard sans fil : n n n n Veillez à le placer à 20 centimètres au moins de toute personne. Il s’agit d’une exigence de la FCC (Federal Communications Commission) concernant les émetteurs de faible puissance. Il est préférable de mettre en place un périphérique sans fil loin des autres antennes ou émetteurs, afin de minimiser les interférences. L’algorithme d’authentification sans fil par défaut, configuré pour chaque zone de sécurité sans fil, n’est pas celui qui est le plus sécurisé. Si vos appareils sans fil qui se connectent au périphérique sans fil WatchGuard fonctionnent bien avec WPA2, nous vous conseillons d’augmenter le niveau d’authentification à WPA2. Un client sans fil, se connectant à WatchGuard à partir d’un réseau approuvé ou facultatif, peut faire partie de n’importe quel tunnel VPN de succursale dans lequel le composant de réseau local des paramètres de phase 2 inclut des adresses IP de réseau facultatif ou approuvé. Pour contrôler l’accès au tunnel VPN, vous pouvez forcer les utilisateurs du périphérique WatchGuard à s’authentifier. Présentation des paramètres paramètres de configuration Lorsque vous activez l’accès sans fil au réseau approuvé, facultatif, ou au réseau invité sans fil, certains paramètres de configuration sont définis de façon similaire pour les trois zones de sécurité. Ces paramètres communs peuvent avoir différentes valeurs pour chaque zone. Guide de l’utilisateur 165 Configuration sans fil Pour un complément d’information sur le paramètre Diffuser l’identification SSID et répondre aux requêtes SSID, cf. Activer/Désactiver Diffusions SSID à la page 166. Pour un complément d’information sur le paramètre Nom du réseau (SSID), cf. Modifier SSID à la page 167. Pour un complément d’information sur le paramètre Consigner les événements d’authentification, cf. Journal événements d’authentification à la page 167. Pour un complément d’information sur le Seuil de fragmentation, cf. Modifier seuil de fragmentation à la page 167. Pour un complément d’information sur le Seuil RTS, cf. Modifier Seuil RTS à la page 169. Pour un complément d’information sur les paramètres Authentification et Chiffrement, cf. Présentation des paramètres paramètres de sécurité à la page 170. Activer/Désactiver Diffusions SSID Les ordinateurs équipés de cartes réseau sans fil envoient des requêtes pour vérifier s’il existe des points d’accès sans fil auxquels ils peuvent se connecter. 166 WatchGuard System Manager Configuration sans fil Pour configurer une interface sans fil WatchGuard dans le but d’envoyer ces requêtes et d’y répondre, cochez la case Diffuser l’identification SSID et répondre aux requêtes SSID. Pour des raisons de sécurité, cochez cette case uniquement lorsque vous configurez des ordinateurs sur votre réseau en vue de les connecter au périphérique WatchGuard. Décochez cette option après que tous les clients ont été configurés. Si vous utilisez la fonction des services invités sans fil, il peut être nécessaire d’autoriser les diffusions SSID au cours d’une opération standard. Modifier SSID L’identificateur SSID (Service Set Identifier) est le nom unique de votre réseau sans fil. Pour utiliser le réseau sans fil à partir d’un ordinateur client, la carte réseau sans fil de l’ordinateur doit posséder le même identificateur SSID que le réseau WatchGuard sans fil auquel l’ordinateur se connecte. Le Fireware XTM OS attribue automatiquement un identificateur SSID à chaque réseau sans fil. Cet identificateur SSID utilise un format qui contient le nom de l’interface et une partie du numéro de série du WatchGuard (du 5e au 9e chiffre). Pour modifier l’identificateur SSID, tapez un nouveau nom dans le champ SSID pour identifier de manière exclusive votre réseau sans fil. Journal événements d’authentification Un événement d’authentification se produit lorsqu’un ordinateur sans fil tente de se connecter à une interface sans fil d’un périphérique WatchGuard. Pour inclure ces événements dans le fichier journal, cochez la case Consigner les événements d’authentification. Modifier seuil de fragmentation Firebox XTM vous permet de définir la taille maximale de la trame pouvant être envoyée par le périphérique WatchGuard sans être fragmentée. Il s’agit du seuil de fragmentation. Ce paramètre change rarement. Il est défini par défaut sur la taille maximale de trame de 2 346, ce qui signifie qu’aucune trame envoyée à des clients sans fil n’est fragmentée. Il s’agit de la configuration la plus adaptée à la plupart des environnements. Raison de modifier le seuil de fragmentation Il y a collision lorsque deux périphériques utilisant le même support transmettent des paquets exactement au même moment. Les deux paquets peuvent s’endommager mutuellement, ce qui aboutit à des morceaux de données ne pouvant être lues. Lorsqu’un paquet produit une collision, celui-ci est rejeté et doit à nouveau être transmis. Cela augmente le temps système sur le réseau et peut réduire le débit ou la vitesse de ce dernier. La probabilité d’une collision entre trames augmente avec la grosseur ces dernières. Pour avoir des paquets plus petits dans une transmission sans fil, vous baissez le seuil de fragmentation sur le périphérique WatchGuard sans fil. La réduction de la grosseur maximum des trames permet également de diminuer le nombre de transmissions répétées à cause de collisions, donc de réduire le temps système provoqué par ces répétitions. Guide de l’utilisateur 167 Configuration sans fil D’un autre côté, les trames plus petites, donc plus nombreuses, augmentent le temps système sur le réseau. Ce principe est d’autant vrai sur un réseau sans fil, parce que chaque trame fragmentée envoyée d’un périphérique sans fil à un autre doit être reconnue par l’appareil destinataire. Lorsque le taux d’erreurs de paquets est élevé (supérieur à 5 ou 10 % de collisions ou d’erreurs), vous pouvez améliorer les performances du réseau sans fil en baissant le seuil de fragmentation. Le temps que vous gagnerez (moins de transmissions répétées) pourra être suffisamment important pour compenser l’augmentation du temps système causée par des paquets plus petits. Un débit plus élevé pourrait en être la conséquence. Si vous baissez le seuil de fragmentation malgré un taux d’erreurs de paquets faible, le réseau sans fil deviendra moins performant. En effet, lorsque vous baissez le seuil, le temps système du protocole est augmenté, ce qui diminue l’efficacité de ce dernier. À titre d’essai, commencez avec le seuil par défaut, soit 2 346, et baissez-le petit à petit. Pour un réglage optimal, vous devez vérifier les erreurs de paquets du réseau à différents moments de la journée. Après une baisse du seuil, comparez les performances du réseau : taux d’erreurs très élevé avec taux d’erreurs moyennement élevé. En règle générale, il est conseillé de laisser ce paramètre à 2 7346. Modifier le seuil de fragmentation 1. Sélectionnez Réseau > Sans fil. 2. Sélectionnez le réseau sans fil à configurer. À côté de Point d’accès 1 ou Point d’accès 2 ou Invité sans fil, cliquez sur Configurer. Les paramètres de configuration pour ce réseau sans fil s’affichent. 168 WatchGuard System Manager Configuration sans fil 3. Pour modifier le seuil de fragmentation, dans la zone de texte Seuil de fragmentation, tapez ou choisissez une valeur entre 256 et 2 346. 4. Cliquez sur Revenir à la page principale. 5. Cliquez sur Enregistrer. Modifier Seuil RTS RTS/CTS (Request To Send/Clear To Send) aide à éviter les problèmes susceptibles de se produire lorsque des clients sans fil reçoivent des signaux provenant de plusieurs points d’accès sans fil sur le même canal. Ce problème est parfois connu sous le nom de nœud masqué. Il est déconseillé de modifier le seuil RTS par défaut. Lorsque le seuil RTS est sur 2 346 (réglage par défaut), RTS/CTS est désactivé. Guide de l’utilisateur 169 Configuration sans fil Si vous devez modifier le seuil RTS, abaissez-le graduellement, une petite valeur à la fois. Après chaque baisse, attendez le temps nécessaire pour constater une amélioration (ou non) des performances réseau, avant de changer le seuil une nouvelle fois. Diminuer cette valeur de manière excessive risque d’accroître la latence du réseau. En effet, si les demandes d’envoi sont trop nombreuses, le support partagé est sollicité plus souvent que nécessaire. Présentation des paramètres paramètres de sécurité Les périphériques sans fil WatchGuard utilisent trois normes de protocole de sécurité pour protéger votre réseau sans fil : Il s’agit de WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) et WPA2. Chaque norme de protocole peut chiffrer les transmissions sur le réseau local (LAN) sans fil entre les ordinateurs et les points d’accès. Elles peuvent également empêcher l’accès non autorisé au point d’accès sans fil. WEP et WPA utilisent chacune des clés prépartagées. L’algorithme des WPA et WPA2 change à intervalles réguliers la clé de chiffrement, ce qui favorise une sécurisation supérieure des données envoyées par connexion sans fil. Pour protéger la confidentialité, vous pouvez associer ces fonctionnalités à d’autres mécanismes de sécurité LAN, tels que la protection par mot de passe, les tunnels VPN et l’authentification utilisateur. Définissez sans fil méthode d'authentification Cinq méthodes d'authentification sont proposées pour les périphériques sans fil WatchGuard. Il est recommandé d’utiliser WPA2 si possible, puisqu'il s’agit de la méthode la plus sécurisée. Voici les cinq méthodes offertes (de la moins sécurisée à la plus sécurisée) : Système ouvert L’authentification à système ouvert permet à tout utilisateur de s’authentifier auprès du point d’accès. Cette méthode peut être appliquée sans chiffrement ou avec un chiffrement WEP. Clé partagée Dans l’authentification à clé partagée, seuls les clients sans fil qui disposent de la clé partagée peuvent se connecter. L’authentification à clé partagée ne peut être utilisée qu’avec le chiffrement WEP. WPA UNIQUEMENT (PSK) Lorsque vous utilisez l’authentification WPA (Wi-Fi Protected Access) avec des clés prépartagées, chaque utilisateur sans fil se voit attribuer le même mot de passe pour s’authentifier auprès du point d’accès sans fil. WPA/WPA2 (PSK) Lorsque vous sélectionnez l’authentification WPA/WPA2 (PSK), Edge accepte les connexions provenant de périphériques sans fil configurés pour utiliser WPA ou WPA2. 170 WatchGuard System Manager Configuration sans fil WPA2 UNIQUEMENT (PSK) La méthode d’authentification WPA2 avec clés prépartagées implémente l’intégralité de la norme 802.11i et offre la meilleure sécurité. Elle ne fonctionne pas avec certaines cartes réseau sans fil plus anciennes. Définir le niveau de chiffrement Dans la liste déroulante Chiffrement, sélectionnez le niveau de chiffrement de vos connexions sans fil. Les options pouvant être sélectionnées varient en fonction des différents mécanismes d’authentification que vous utilisez. Le système Fireware XTM crée automatiquement une clé de chiffrement aléatoire, si besoin est. Vous pouvez vous en servir ou la remplacer par une autre clé. Chaque client sans fil doit utiliser cette même clé lorsqu’il se connecte au périphérique Firebox ou XTM. Authentification à clé partagée et à système ouvert Les options de chiffrement pour l’authentification à système ouvert et à clé partagée sont WEP 64 bits hexadécimal, WEP 40 bits ASCII, WEP 128 bits hexadécimal et WEP 128 bits ASCII. Si vous sélectionnez l’authentification à système ouvert, vous pouvez également sélectionner Aucun chiffrement. 1. Si vous utilisez le chiffrement WEP, tapez des caractères hexadécimaux ou ASCII dans les zones de texte Clé. Certains pilotes de carte réseau sans fil ne prennent pas en charge les caractères ASCII. Vous disposez de quatre clés au maximum. n n n n Une clé hexadécimale WEP 64 bits doit avoir 10 caractères hexadécimaux (0-f). Une clé WEP 40 bits ASCII doit avoir 5 caractères. Une clé hexadécimale WEP 128 bits doit avoir 26 caractères hexadécimaux (0-f). Une clé WEP 128 bits ASCII doit avoir 13 caractères. 2. Si vous avez saisi plusieurs clés, sélectionnez la clé à utiliser en tant que clé par défaut dans la liste déroulante Index de clé. Le périphérique Firebox ou XTM sans fil ne peut utiliser qu’une seule clé de chiffrement sans fil à la fois. Si vous sélectionnez une clé autre que la première de la liste, vous devez également configurer le client sans fil pour qu’il utilise la même clé. Authentification WPA-PSK et WPA2-PSK Les options de chiffrement des méthodes d’authentification Wi-Fi Protected Access (WPA-PSK et WPA2PSK) sont : n n n TKIP : utilisez uniquement TKIP (Temporal Key Integrity Protocol, protocole d’intégrité de clé temporaire) pour le chiffrement. Cette option n’est pas disponible sur les modes sans fil prenant en charge 802.11n. AES : utilisez uniquement AES (Advanced Encryption Standard, norme de chiffrement avancée) pour le chiffrement. TKIP ou AES : utilisez TKIP ou AES. Il est recommandé de sélectionner TKIP ou AES. Le périphérique sans fil Firebox ou XTM peut ainsi accepter les connexions depuis les clients sans fil configurés pour utiliser le chiffrement TKIP ou AES. Il est recommandé de configurer les clients sans fil 802.11n afin qu’ils utilisent le chiffrement AES. Guide de l’utilisateur 171 Configuration sans fil Autoriser des connexions sans fil au réseau facultatif ou approuvé Autorisation des connexions sans fil à votre réseau approuvé ou à votre réseau facultatif : 1. Sélectionnez Réseau > Sans fil. La page de configuration Sans fil s’affiche. 2. Sélectionnez Activer points d’accès sans fil. 3. À côté de Point d’accès 1 ou Point d’accès 2, cliquez sur Configurer. La boîte de dialogue de configuration Point d’accès sans fil s’affiche. 172 WatchGuard System Manager Configuration sans fil 4. Cochez la case Activer pont sans fil à une interface approuvée ou facultative. 5. Dans la liste déroulante jouxtant Activer pont sans fil à une interface approuvée ou facultative, sélectionnez une interface approuvée ou facultative. Approuvé Tous les clients sans fil sur le réseau approuvé bénéficient de l’accès total aux ordinateurs sur les réseaux approuvé et facultatif et de l’accès à Internet défini dans les règles de pare-feu sortantes sur votre périphérique WatchGuard. Si le client sans fil définit l’adresse IP sur sa carte réseau sans fil avec le protocole DHCP, le serveur DHCP sur le réseau facultatif de l’Edge doit être actif et configuré. Facultatif Tous les clients sans fil sur le réseau facultatif bénéficient de l’accès total aux ordinateurs sur les réseaux facultatifs, et de l’accès à Internet défini dans les règles de pare-feu sortantes sur votre périphérique WatchGuard. Si le client sans fil définit l’adresse IP sur sa carte réseau sans fil avec le protocole DHCP, le serveur DHCP sur le réseau facultatif de l’Edge doit être actif et configuré. Guide de l’utilisateur 173 Configuration sans fil 6. Pour configurer l’interface sans fil dans le but d’envoyer des requêtes SSID et d’y répondre, cochez la case Diffuser l’identification SSID et répondre aux requêtes SSID. Pour uncomplémentd’informationsur ce paramètre,cf.Activer/Désactiver Diffusions SSIDàlapage 166. 7. Cochez la case Consigner les événements d’authentification si vous souhaitez que le périphérique WatchGuard envoie un message au fichier journal chaque fois qu’un ordinateur sans fil tente de se connecter à l’interface. Pour de plus amples informations sur la journalisation, cf. Journal événements d’authentification à la page 167. 8. Pour que les utilisateurs sans fil se servent du client Mobile VPN with IPSec, cochez la case Exiger des connexions Mobile VPN with IPSec chiffrées pour les clients sans fil. Lorsque vous cochez cette case, les seuls paquets autorisés par Firebox sur le réseau sans fil sont DHCP, ICMP, IKE (port UDP 500), ARP et IPSec (protocole IP 50). Si vous exigez l’utilisation du client Mobile VPN with IPSec, la sécurité pour les clients sans fil peut être renforcée lorsque vous ne sélectionnez pas WPA ou WPA2 comme méthode d’authentification sans fil. 9. Dans la zone de texte Nom de réseau (SSID), tapez un nom unique pour votre réseau facultatif sans fil ou utilisez le nom par défaut. Pour un complément d’information sur la modification du SSID, cf. Modifier SSID à la page 167. 10. Pour modifier le seuil de fragmentation, dans la zone de texte Seuil de fragmentation, tapez une valeur : 256–2346. La modification de ce paramètre est déconseillée. Pour un complémentd’information sur ce paramètre,cf. Modifier seuil defragmentation àla page 167. 11. Dans la liste déroulante Authentification, sélectionnez le type d’authentification à activer pour les connexions sans fil à l’interface facultative. Il est conseillé d’utiliser le mode d’authentification WPA2 si les périphériques sans fil du réseau le prennent en charge. Pour un complément d’information sur ce paramètre, cf. Définissez sans fil méthode d'authentification. 12. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement à utiliser pour la connexion sans fil et ajoutez les clés ou les mots de passe requis pour le type de chiffrement choisi. Lorsque vous sélectionnez une option de chiffrement avec des clés prépartagées, une clé prépartagée aléatoire est générée pour vous. Vous pouvez utiliser cette clé ou entrer votre propre clé. Pour plus d’informations, voir Définir le niveau de chiffrement à la page 171. 13. Enregistrez la configuration. Note Si vous activez les connexions sans fil à l’interface approuvée, il est recommandé de limiter l’accès par le biais de l’adresse MAC. Ainsi, les utilisateurs ne pourront pas se connecter au périphérique sans fil WatchGuard à partir d’ordinateurs non autorisés et risquant d’avoir des virus ou des logiciels espions. Cliquez sur l’onglet Contrôle de l’accès MAC pour mettre en vigueur ce contrôle. Vous utilisez cet onglet de la même façon pour limiter le trafic réseau sur une interface, tel qu’expliqué dans Limiter le trafic réseau par adresse MAC à la page 102. 174 WatchGuard System Manager Configuration sans fil Pour configurer un réseau invité sans fil, sans accès aux ordinateurs de vos réseaux approuvé ou facultatif, cf. Activer un réseau invité sans fil à la page 175. Activer un réseau invité sans fil Vous pouvez mettre en activité un réseau invité sans fil, afin de donner à un utilisateur invité un accès à Internet, mais non un accès aux ordinateurs de vos réseaux approuvés et facultatifs. Configuration d’un réseau invité sans fil : 1. Sélectionnez Réseau > Sans fil. La page Configuration sans fil apparaît. 2. Sélectionnez Activer points d’accès sans fil. 3. À côté de Invité sans fil, cliquez sur Configurer. La boîte de configuration Invité sans fil s’affiche. Guide de l’utilisateur 175 Configuration sans fil 4. Cochez la case Activer réseau invité sans fil. L’autorisation des connexions sans fil de traverser le périphérique WatchGuard vers Internet repose sur les règles que vous avez configurées pour l’accès sortant de votre périphérique. Ces ordinateurs ne peuvent pas accéder aux ordinateurs sur le réseau approuvé ou facultatif. 5. Dans la zone de texte Adresse IP , tapez l’adresse IP privée qui sera utilisée pour le réseau invité sans fil. L’adresse IP que vous entrez doit déjà être utilisée sur l’une de vos interfaces réseau. 6. Dans la zone de texte Masque de sous-réseau, tapez la valeur de ce dernier. La valeur correcte est en général 255.255.255.0. 7. Si vous souhaitez configurer le périphérique WatchGuard comme serveur DHCP lorsqu’un périphérique sans fil tente d’établir une connexion, cochez la case Activer le serveur DHCP sur le réseau invité sans fil. Pour un complément d’information sur la façon de définir les paramètres pour le serveur DHCP, cf. Configurer DHCP en mode de routage mixte à la page 90. 8. Cliquez sur l’onglet Sans fil pour voir les paramètres de sécurité du réseau invité sans fil. Les paramètres Sans fil s’affichent. 9. Cochez la case Diffuser l’identification SSID et répondre aux requêtes SSID pour que le nom de votre réseau invité sans fil devienne visible aux utilisateurs invités. Pour uncomplémentd’informationsur ce paramètre,cf.Activer/Désactiver Diffusions SSIDàlapage 166. 10. Pour envoyer un message dans le fichier journal à chaque tentative de connexion au réseau invité sans fil par un ordinateur, cochez la case Consigner les événements d’authentification. Pour de plus amples informations sur la journalisation, cf. Journal événements d’authentification à la page 167. 176 WatchGuard System Manager Configuration sans fil 11. Pour autoriser les utilisateurs invités sans fil à échanger du trafic, décochez la case Interdire le trafic de réseau sans fil d’un client à l’autre. 12. Dans la zone de texte Nom du réseau (SSID), tapez le nom exclusif de votre réseau invité sans fil ou donnez-lui le nom par défaut. Pour un complément d’information sur la modification du SSID, cf. Modifier SSID à la page 167. 13. Pour modifier le seuil de fragmentation, dans la zone de texte Seuil de fragmentation, tapez une valeur : 256–2346. La modification de ce paramètre est déconseillée. Pour un complémentd’information sur ce paramètre,cf. Modifier seuil defragmentation àla page 167. 14. Dans la liste déroulante Authentification, sélectionnez le type d’authentification à activer pour les connexions au réseau invité sans fil. Votre sélection dépend du type d’accès invité que vous souhaitez fournir et des conditions imposées d’utilisation du réseau par vos invités (avec ou sans mot de passe). Pour un complément d’information sur ce paramètre, cf. Définissez sans fil méthode d'authentification à la page 170. 15. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement à utiliser pour la connexion sans fil et ajoutez les clés ou les mots de passe requis pour le type de chiffrement choisi. Lorsque vous sélectionnez une option de chiffrement avec des clés prépartagées, une clé prépartagée aléatoire est générée pour vous. Vous pouvez utiliser cette clé ou entrer votre propre clé. Pour plus d’informations, voir Définir le niveau de chiffrement à la page 171. 16. Cliquez sur Revenir à la page principale. 17. Cliquez sur Enregistrer. Vous pouvez également limiter l’accès au réseau Invité avec une adresse MAC. Cliquez sur l’onglet Contrôle de l’accès MAC pour activer ce contrôle. Vous utilisez cet onglet de la même façon pour limiter le trafic réseau sur une interface, tel qu’expliqué dans Limiter le trafic réseau par adresse MAC à la page 102. Activer un point d’accès sans fil Vous pouvez configurer votre réseau invité sans fil WatchGuard XTM 2 Series ou Firebox X Edge e-Series en tant que point d’accès sans fil afin d’offrir une connexion Internet sans fil à vos visiteurs et clients. Lorsque vous activez la fonctionnalité point d’accès, vous avez plus de contrôle sur les connexions à votre réseau invité sans fil. Lorsque vous configurez votre périphérique en tant que point d’accès sans fil, vous pouvez personnaliser : n n n un écran de démarrage qui s’affiche lorsque les utilisateurs se connectent ; des conditions d’utilisation que les utilisateurs doivent accepter pour pouvoir accéder à un site Web ; la durée maximale pendant laquelle un utilisateur peut se connecter sans interruption. Lorsque vous activez la fonctionnalité point d’accès sans fil, la stratégie Autoriser les utilisateurs de Hotspot est automatiquement créée. Cette stratégie permet aux utilisateurs de se connecter à vos interfaces externes, à partir de l’interface du réseau invité sans fil. Les utilisateurs de points d’accès sans fil peuvent ainsi accéder sans fil à Internet même s’ils n’ont pas accès aux ordinateurs de vos réseaux approuvés et facultatifs. Guide de l’utilisateur 177 Configuration sans fil Avant de configurer un point d’accès sans fil, vous devez configurer les paramètres de votre réseau invité sans fil comme décrit dans la section Activer un réseau invité sans fil. Pour configurer le point d’accès sans fil : 1. 2. 3. 4. Sélectionnez Réseau > Sans fil. En regard de Invité sans fil, cliquez sur Configurer. Sur la page Sans fil, cliquez sur l’onglet Hotspot. Cochez la case Activer le point d’accès. Configurer les paramètres de délai pour les utilisateurs Vous pouvez configurer les paramètres de délai pour limiter la durée pendant laquelle les utilisateurs peuvent utiliser sans interruption votre point d’accès. Une fois le délai expiré, l’utilisateur est déconnecté. Lorsqu’un utilisateur est déconnecté, l’utilisateur perd toute connectivité Internet, mais reste connecté au réseau. L’écran de démarrage du point d’accès s’affiche de nouveau et l’utilisateur doit de nouveau accepter les conditions d’utilisation pour pouvoir continuer à utiliser le point d’accès sans fil. 1. Dans la zone de texte Délai d’expiration de la session, indiquez la durée maximale pendant laquelle un utilisateur peut se connecter sans interruption à votre point d’accès. Vous pouvez indiquer l’unité de temps en la sélectionnant dans la liste déroulante adjacente. Si le délai d’expiration de la session est défini sur 0 (valeur par défaut), les utilisateurs invités sans fil ne sont pas déconnectés au bout d’un certain intervalle de temps. 2. Dans la zone de texte Délai d’inactivité, indiquez la durée pendant laquelle un utilisateur doit rester inactif pour que la connexion expire. Vous pouvez indiquer l’unité de temps en la sélectionnant dans la liste déroulante adjacente. Si le délai d’inactivité est défini sur 0, les utilisateurs ne sont pas déconnectés s’ils n’envoient pas ou ne reçoivent pas de trafic. Personnaliser l’écran de démarrage du point d’accès Lorsque les utilisateurs se connectent à votre point d’accès, ils voient un écran de démarrage ou un site Web auquel ils doivent se connecter pour pouvoir accéder à d’autres sites Web. Vous pouvez configurer le texte qui s’affiche sur cette page, ainsi que l’apparence de celle-ci. Vous pouvez également rediriger les utilisateurs vers une page Web précise une fois qu’ils ont accepté les conditions d’utilisation. Vous devez au moins indiquer le titre de la page et les Conditions d’utilisation pour activer cette fonctionnalité. 178 WatchGuard System Manager Configuration sans fil 1. Dans la zone de texte Titre de la page, saisissez le texte du titre à afficher dans l’écran de démarrage du point d’accès. 2. Pour inclure un message d’accueil : n n Cochez la case Message d’accueil. Dans la zone de texte Message d’accueil, saisissez le message que les utilisateurs verront lorsqu’ils se connecteront au point d’accès. 3. (Facultatif) Pour inclure un logo personnalisé dans l’écran de démarrage : n n Cochez la case Utiliser un logo personnalisé. Cliquez sur Charger pour charger votre fichier de logo personnalisé. Le fichier doit être au format .jpg, .gif ou .png. La taille maximale d’image recommandée est de 90 x 50 (largeur x hauteur) pixels ou 50 ko. 3. Dans la zone de texte Conditions d’utilisation, saisissez ou collez le texte que vos utilisateurs doivent accepter pour pouvoir utiliser le point d’accès. Le texte ne doit pas contenir plus de 20 000 caractères. 4. Pour rediriger automatiquement les utilisateurs vers un site Web une fois qu’ils ont accepté les conditions d’utilisation, saisissez l’URL du site Web dans la zone de texte URL de redirection. 5. Vous pouvez personnaliser les polices et couleurs de votre page d’accueil : n n Police : sélectionnez la police dans la liste déroulante Police. Si vous ne spécifiez aucune police, la page d’accueil utilise la police par défaut du navigateur de chaque utilisateur. Taille : sélectionnez la taille du texte dans la liste déroulante Taille. Par défaut, la taille du texte est Moyenne. Guide de l’utilisateur 179 Configuration sans fil n n Couleur du texte : il s’agit de la couleur du texte affiché sur l’écran de démarrage du point d’accès. La couleur par défaut est #000000 (noir). La couleur configurée figure dans un carré, à côté de la zone de texte Couleur du texte. Cliquez sur le carré coloré pour sélectionner une autre couleur dans une palette de couleurs. Vous pouvez également saisir le code de couleur HTML dans la zone de texte Couleur du texte. Couleur d’arrière-plan : il s’agit de la couleur à utiliser pour l’arrière-plan de l’écran de démarrage du point d’accès. La couleur par défaut est #FFFFFF (blanc). La couleur configurée figure dans un carré, à côté de la zone de texte Couleur d’arrière-plan. Cliquez sur le carré coloré pour sélectionner une autre couleur dans une palette de couleurs. Vous pouvez également saisir le code de couleur HTML dans la zone de texte Couleur d’arrière-plan. 7. Cliquez sur Afficher un aperçu de l’écran de démarrage. Un aperçu de l’écran de démarrage s’affiche dans une nouvelle fenêtre du navigateur. 7. Fermez la fenêtre d’aperçu du navigateur. 8. Lorsque vous avez terminé de configurer les paramètres de votre point d’accès, cliquez sur Revenir à la page principale. 9. Cliquez sur Enregistrer. pour enregistrer les paramètres. Se connecter à un point d’accès sans fil Après avoir configuré votre point d’accès sans fil, vous pouvez vous connecter à ce dernier pour voir son écran de démarrage. 1. Utilisez un client sans fil pour vous connecter à votre réseau invité sans fil. Utilisez le SSID et les autres paramètres que vous avez configurés pour le réseau invité sans fil. 2. Ouvrez un navigateur Web. Accédez à un site Web quelconque. L’écran de démarrage du point d’accès sans fil s’affiche dans le navigateur. 180 WatchGuard System Manager Configuration sans fil 3. Cochez la case J’ai lu et j’accepte les conditions d’utilisation. 4. Cliquez sur Continuer. Le navigateur affiche l’URL que vous avez initialement demandée. Sinon, si le point d’accès est configuré pour rediriger automatiquement le navigateur vers une URL, le navigateur accède au site Web. Vous pouvez configurer le contenu et l’aspect de l’écran de démarrage du point d’accès en définissant les paramètres du point d’accès pour votre réseau invité sans fil. L’URL de l’écran de démarrage du point d’accès sans fil est la suivante : https://<IP address of the wireless guest network>:4100/hotspot . Afficher les connexions aux points d’accès sans fil Lorsque vous activez la fonctionnalité point d’accès sans fil, vous pouvez voir le nombre de clients sans fil connectés. Vous avez également la possibilité de déconnecter les clients sans fil. Pour afficher la liste des clients de point d’accès sans fil connectés : 1. Connectez-vous à Fireware XTM Web UI sur votre périphérique sans fil. 2. Sélectionnez État du système > Point d’accès sans fil. L’adresse IP et l’adresse MAC de chaque client sans fil connecté s’affichent. Guide de l’utilisateur 181 Configuration sans fil Pour déconnecter un client de point d’accès sans fil, dans la boîte de dialogue: 1. Sélectionnez un ou plusieurs clients de point d’accès sans fil connectés. 2. Cliquez sur Déconnecter. Configurer l’interface externe en tant qu’interface sans fil Si l’infrastructure réseau est limitée ou inexistante, vous pouvez utiliser votre périphérique WatchGuard sans fil pour obtenir un accès réseau sécurisé. Vous devez connecter physiquement les périphériques réseau au périphérique WatchGuard. Vous configurez ensuite l’interface externe pour vous connecter à un point d’accès sans fil relié à un réseau plus étendu. Note Lorsque l’interface externe est configurée avec une connexion sans fil, le périphérique WatchGuard sans fil ne peut plus servir de point d’accès sans fil. Pour permettre un accès sans fil, connectez un périphérique de point d’accès sans fil au périphérique WatchGuard sans fil. Configurer l’interface externe principale en tant qu’interface sans fil 1. Sélectionnez Réseau > Sans fil. La page Configuration sans fil apparaît. 182 WatchGuard System Manager Configuration sans fil 2. Sélectionnez Activer le client sans fil en tant qu’interface externe. 3. Cliquez sur Configurer. Les paramètres d’interface externe apparaissent. 4. Dans la liste déroulante Mode de configuration, sélectionnez une option : Configuration manuelle Pour utiliser une adresse IP statique , sélectionnez cette option. Saisissez l’adresse IP, le masque de sous-réseau et la passerelle par défaut. Client DHCP Pour configurer l’interface externe en tant que client DHCP, sélectionnez cette option. Saisissez les paramètres de configuration DHCP. Pour plus d’informations sur la configuration de l’interface externe afin qu’elle utilise une adresse IP statique ou DHCP, voir Configurer une interface externe à la page 86. 5. Cliquez sur l’onglet Sans fil. Les paramètres de configuration du client sans fil apparaissent. Guide de l’utilisateur 183 Configuration sans fil 6. Dans la zone de texte Nom du réseau (SSID), saisissez le nom unique de votre réseau sans fil externe. 7. Dans la liste déroulante Authentification, sélectionnez le type d’authentification afin de permettre les connexions sans fil. Il est conseillé d’utiliser le mode d’authentification WPA2 si les périphériques sans fil du réseau le prennent en charge. Pour plus d’informations sur les méthodes d’authentification sans fil, voir Présentation des paramètres paramètres de sécurité à la page 170. 8. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement à utiliser pour la connexion sans fil et ajoutez les clés ou les mots de passe requis pour le type de chiffrement choisi. Lorsque vous sélectionnez une option de chiffrement avec des clés prépartagées, une clé prépartagée aléatoire est générée pour vous. Vous pouvez utiliser cette clé ou entrer votre propre clé. 9. Cliquez sur Enregistrer. Configurer un tunnel BOVPN pour plus de sécurité Pour créer un pont sans fil et accroître la sécurité sur le réseau, ajoutez un tunnel BOVPN entre votre périphérique WatchGuard et la passerelle externe. Sur les deux périphériques, activez le Mode agressif dans les paramètres de phase 1 de votre configuration BOVPN. Pour plus d’informations sur la configuration d’un tunnel BOVPN, voir À propos des tunnels BOVPN manuels à la page 430. Présentation des paramètres paramètres de radio sans fil sur Firebox X Edge e-Series Les périphériques sans fil WatchGuard envoient et reçoivent par radiofréquences le trafic des ordinateurs équipés de cartes Ethernet sans fil. Plusieurs paramètres sont spécifiques à la sélection du canal. Affichage et modification des paramètres radio : 1. Se connecter à Fireware XTM Web UI. 2. Sélectionnez Réseau > Sans fil. La page Sans fil s’affiche. 184 WatchGuard System Manager Configuration sans fil Les Paramètres radio sont affichés au bas de cette page. Réglage de la région d’exploitation et du canal L’activation sans fil exige de définir la région d’exploitation. 1. Dans la liste déroulante Région d’exploitation, sélectionnez la région définissant le mieux l’endroit où se trouve votre périphérique. La liste des régions d’exploitation sans fil que vous pouvez sélectionner est susceptible de varier, selon l’endroit où vous avez acheté Firebox. 2. Dans la liste déroulante Canal, sélectionnez un canal ou bien Auto. Si vous réglez le canal sur Auto, le périphérique sans fil WatchGuard sélectionne automatiquement le canal avec le signal le plus puissant disponible dans sa zone géographique. En raison des différentes réglementations à travers le monde, les canaux sans fil ne sont pas tous disponibles dans toutes les zones. Ce tableau inclut les canaux offerts pour chaque région d’exploitation sans fil et pris en charge par Firebox X Edge E-Series sans fil. Fréquence Canal centrale (MHz) Amérique Asie République Australie EMOA France Israël Japon Taïwan Populaire & N.Z. de Chine 1 2 412 Oui Oui Oui Oui -- -- Oui Oui Oui 2 2 417 Oui Oui Oui Oui -- -- Oui Oui Oui Guide de l’utilisateur 185 Configuration sans fil Fréquence Canal centrale (MHz) Amérique Asie République Australie EMOA France Israël Japon Taïwan Populaire & N.Z. de Chine 3 2 422 Oui Oui Oui Oui -- Oui Oui Oui Oui 4 2 427 Oui Oui Oui Oui -- Oui Oui Oui Oui 5 2 432 Oui Oui Oui Oui -- Oui Oui Oui Oui 6 2 437 Oui Oui Oui Oui -- Oui Oui Oui Oui 7 2 442 Oui Oui Oui Oui -- Oui Oui Oui Oui 8 2 447 Oui Oui Oui Oui -- Oui Oui Oui Oui 9 2 452 Oui Oui Oui Oui -- Oui Oui Oui Oui 10 2 457 Oui Oui Oui Oui Oui -- Oui Oui Oui 11 2 462 Oui Oui Oui Oui Oui -- Oui Oui Oui 12 2 467 -- -- Oui Oui Oui -- Oui -- Oui 13 2 472 -- -- Oui Oui Oui -- Oui -- Oui 14 2 484 -- -- -- -- -- -- Oui -- -- Définissez mode d’exploitation sans fil La plupart des cartes sans fil fonctionnent uniquement en mode 802.11b (jusqu’à 11 Mo/seconde) ou en mode 802.11g (54 Mo/seconde). Pour définir le mode d’exploitation du périphérique sans fil WatchGuard, choisissez une option dans la liste déroulante Mode sans fil. Il existe trois modes sans fil : 802.11b uniquement Ce mode force le périphérique sans fil WatchGuard à se connecter à des périphériques uniquement en mode 802.11b. 802.11g uniquement Ce mode force le périphérique sans fil WatchGuard à se connecter à des périphériques uniquement en mode 802.11g. 802.11g et 802.11b Ce mode par défaut est le paramètre recommandé. Ce mode permet au périphérique WatchGuard de se connecter à des périphériques qui utilisent 802.11b ou 802.11g. Le périphérique WatchGuard fonctionne en mode 802.11g uniquement lorsque toutes les cartes sans fil connectées à celui-ci utilisent 802.11g. Si un client 802.11b se connecte au périphérique, toutes les connexions passent automatiquement en mode 802.11b. 186 WatchGuard System Manager Configuration sans fil Présentation des paramètres radio sans fil du WatchGuard XTM sans fil Série 2 Les périphériques sans fil WatchGuard envoient et reçoivent par radiofréquences le trafic des ordinateurs équipés de cartes Ethernet sans fil. Les paramètres radio offerts pour le périphérique sans fil WatchGuard XTM Série 2 diffèrent de ceux du périphérique sans fil Firebox X Edge e-Series. Affichage et modification des paramètres radio : 1. Se connecter à Fireware XTM Web UI. 2. Sélectionnez Réseau > Sans fil. La page Sans fil s’affiche. Les Paramètres radio sont affichés au bas de cette page. Le réglage du pays est automatique À cause des différentes dispositions réglementaires dans le monde, les paramètres radio autorisés sont spécifiques à chaque pays. En conséquence, chaque fois que vous allumez un périphérique sans fil XTM 2 Series, il contacte un serveur WatchGuard pour déterminer le pays et les paramètres autorisés par celui-ci. Le périphérique doit donc être connecté à Internet. Après que le pays est identifié, vous pouvez définir tous les paramètres radio sans fil pris en charge et autorisés dans ce pays. Guide de l’utilisateur 187 Configuration sans fil Dans la boîte de dialogue Configuration sans fil, le paramètre Pays indique le pays détecté par le périphérique. Le paramètre Pays ne peut être modifié. Les options proposées pour les autres paramètres radio sont conformes aux dispositions réglementaires du pays détecté par le périphérique. Note Lorsque le périphérique XTM Série 2 ne peut pas se connecter au serveur WatchGuard, le pays demeure inconnu. Dans ce cas-là, vous ne pouvez choisir qu’un ensemble limité de paramètres radio sans fil, ceux qui sont autorisés dans tous les pays. Le périphérique sans fil XTM Série 2 essaiera sur une base régulière de se connecter au serveur WatchGuard pour identifier le pays et les paramètres radio sans fil autorisés. Si le périphérique Série 2 n’a pas encore de région définie, ou si la région n’est pas à jour, vous pouvez forcer le périphérique à mettre à jour la région de radio sans fil. Mise à jour de la région de radio sans fil : 1. Sélectionnez État du système > Statistiques Sans fil. 2. Cliquez sur Mettre à jour les informations de pays. Le périphérique Série 2 contacte un serveur WatchGuard en vue de déterminer la région d’exploitation. Sélectionnez la Bande passante et le mode sans fil Le périphérique sans fil WatchGuard XTM Série 2 prend en charge deux sortes de bandes sans fil, 2,4 GHz et 5 GHz. La bande passante que vous choisissez et le pays déterminent les modes sans fil pris en charge. Sélectionnez la Bande compatible avec le mode sans fil que vous souhaitez utiliser. Sélectionnez ensuite le mode dans la liste déroulante Mode sans fil. La bande passante 2,4 GHz prend en charge ces modes sans fil : 802.11n, 802.11g et 802.11b Ce mode par défaut pour la bande 2,4 GHz est le paramètre recommandé. Ce mode permet au périphérique WatchGuard de se connecter à des appareils qui utilisent 802.11n, 802.11g ou 802.11b. 802.11g et 802.11b Ce mode permet au périphérique sans fil WatchGuard de se connecter à des appareils qui utilisent 802.11n ou 802.11b. 802.11b UNIQUEMENT Ce mode permet au périphérique sans fil WatchGuard de se connecter uniquement à des appareils qui utilisent 802.11b. La bande passante 5 GHz prend en charge ces modes sans fil : 802.11a et 802.11n Mode par défaut de la bande passante 5 GHz. Ce mode permet au périphérique sans fil WatchGuard de se connecter à des appareils qui utilisent 802.11a ou 802.11n. 188 WatchGuard System Manager Configuration sans fil 802.11a SEULEMENT Ce mode permet au périphérique sans fil WatchGuard de se connecter uniquement à des appareils qui utilisent 802.11a. Note Une baisse considérable des performances risque de se produire si vous choisissez un mode sans fil prenant en charge plusieurs normes 802.11r. Cette baisse est causée en partie par la prise en charge nécessaire des protocoles de protection pour la compatibilité en aval lorsque des périphériques utilisant des modes plus lents sont connectés. En outre, ces périphériques plus lents prédominent d’ordinaire le débit, puisqu’envoyer ou recevoir la même quantité de données prend beaucoup plus de temps avec ces appareils. La bande 5 GHz fournit un meilleur rendement que la bande 2,4 GHz, mais elle est incompatible avec certains périphériques sans fil. Sélectionnez la bande passante et le mode en fonction des cartes sans fil dans les périphériques qui se connecteront au périphérique sans fil WatchGuard. Sélection du canal Les canaux disponibles varient selon le pays et le mode sans fil que vous choisissez. Par défaut, le Canal est réglé sur Auto. Lorsque le canal est sur Auto, les périphériques sans fil de la Série 2 sélectionnent automatiquement un canal silencieux dans la liste pour la bande sélectionnée. Ou, vous pouvez sélectionner un canal particulier dans la liste déroulante Canal. Configurer carte sans fil sur votre ordinateur Ces instructions visent le système d’exploitation Windows XP avec Service Pack 2. Pour consulter les instructions d’installation des autres systèmes d’exploitation, reportez-vous à la documentation ou aux fichiers d’aide appropriés. 1. Sélectionnez démarrer > Paramètres > Panneau de configuration > Connexions réseau. La boîte de dialogue Connexions du réseau s’affiche. 2. Faites un clic droit sur Connexion réseau sans fil, puis sélectionnez Propriétés. La boîte de dialogue Connexions du réseau sans fil s’affiche. 3. Sélectionnez l’onglet Configuration réseaux sans fil. 4. Sous Réseaux favoris, cliquez sur Ajouter. La boîte de dialogue Propriétés de Connexion réseau sans fil s’affiche. 5. Tapez le SSID dans la zone de texte Nom réseau (SSID). 6. Sélectionnez les méthodes d’authentification réseau et de chiffrement de données dans les listes déroulantes. Au besoin, décochez la case La clé m’est fournie automatiquement et tapez la clé réseau à deux reprises. 7. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Connexion réseau sans fil. 8. Cliquez sur Afficher les réseaux sans fil. Toutes les connexions sans fil disponibles s’affichent dans la zone de texte Réseaux disponibles. 9. Sélectionnez le SSID du réseau sans fil et cliquez sur Connecter. Si le réseau utilise le chiffrement, tapez la clé réseau deux fois dans la boîte de dialogue Connexion réseau sans fil, puis cliquez à nouveau sur Connecter. 10. Configurez l’ordinateur sans fil pour qu’il utilise le protocole DHCP. Guide de l’utilisateur 189 Configuration sans fil Guide de l’utilisateur 190 10 Routage dynamique À propos du routage dynamique Un protocole de routage est le langage qu’utilisent les routeurs pour communiquer entre eux afin de partager des informations sur l’état de tables de routage réseau. Avec le routage statique, les tables de routage sont définies et inchangeables. En cas d’échec d’un routeur sur le chemin distant, un paquet ne peut pas arriver à sa destination. Le routage dynamique procède à la mise à jour automatique des tables en fonction de l’évolution de la configuration du réseau. Note Certains protocoles de routage dynamique sont uniquement pris en charge par Fireware XTM avec mise à niveau Pro. Le routage dynamique n’est pas pris en charge par les périphériques Firebox X Edge E-Series. Fireware XTM prend en charge les protocoles RIP v1 et RIP v2. Fireware XTM avec mise à niveau Pro prend en charge les protocoles RIP v1, RIP v2, OSPF et BGP v4. À propos des fichiers de configuration du démon de routage Pour utiliser l’un des protocoles de routage dynamique avec Fireware XTM, vous devez importer ou taper un fichier de configuration de routage dynamique pour le démon de routage que vous choisissez. Ce fichier de configuration comprend des informations telles qu’un mot de passe et un nom de fichier journal. Pour découvrir des exemples de fichiers de configuration pour chacun des protocoles de routage, voir les rubriques suivantes : n n n Exemple de fichier de configuration de routage RIP Exemple de fichier de configuration d’un routage OSPF Exemple de fichier de configuration de routage BGP Remarques sur les fichiers de configuration : Guide de l’utilisateur 191 Routage dynamique n n Les caractères « ! » et « # » sont placés avant les commentaires, qui correspondent à des lignes de texte insérées dans les fichiers de configuration pour expliquer la fonction des commandes suivantes. Si le premier caractère d’une ligne est un caractère de commentaire, le reste de la ligne est alors interprété comme un commentaire. Vous pouvez utiliser le mot « no » au début d’une ligne pour désactiver une commande. Par exemple, « no network 10.0.0.0/24 area 0.0.0.0 » désactive la zone principale sur le réseau spécifié. À propos du protocole RIP (Routing Information Protocol) Le protocole RIP (Routing Information Protocol) est utilisé pour gérer les informations du routeur dans un réseau autonome, par exemple un réseau local d’entreprise (LAN) ou un réseau étendu privé (WAN). Avec le protocole RIP, un hôte passerelle envoie sa table de routage au routeur le plus proche toutes les 30 secondes. Ce routeur, à son tour, envoie le contenu de ses tables de routage aux routeurs voisins. Le protocole RIP convient parfaitement aux petits réseaux. Cela est dû au fait que la transmission de la table de routage complète toutes les 30 secondes peut générer une charge de trafic importante sur le réseau. De plus, les tables RIP sont limitées à 15 sauts. Le protocole OSPF est mieux adapté aux réseaux plus importants. Il existe deux versions du protocole RIP. Le protocole RIP v1 utilise la diffusion UDP sur le port 520 pour envoyer les mises à jour des tables de routage. Le protocole RIP v2 utilise la multidiffusion pour envoyer les mises à jour des tables de routage. Commandes du protocole RIP Le tableau suivant présente la liste des commandes de routage RIP v1 et RIP v2 prises en charge que vous pouvez utiliser pour créer ou modifier un fichier de configuration de routage. Si vous utilisez le protocole RIP v2, vous devez inclure le masque de sous-réseau pour toute commande qui utilise une adresse IP réseau ; sinon, le protocole RIP v2 ne fonctionne pas. Les sections doivent apparaître dans le fichier de configuration dans le même ordre qu’elles apparaissent dans ce tableau. Section Commande Description Définir une authentification par mot de passe simple ou MD5 sur une interface interface eth [N] Commence la section pour définir le type d’authentification pour l’interface. 192 ip rip authentication string [PASSWORD] Définit un mot de passe d’authentification RIP. key chain [KEY-CHAIN] Définit un nom de chaîne de clé MD5. key [INTEGER] Définit un numéro de clé MD5. key-string [AUTH-KEY] Définit une clé d’authentification MD5. ip rip authentication mode md5 Utilise l’authentification MD5. WatchGuard System Manager Routage dynamique Section Commande Description ip rip authentication mode key-chain [KEY-CHAIN] Définit une chaîne de clé d’authentification MD5. Configurer le démon de routage RIP router rip Active le démon RIP. version [1/2] Définit la version 1 ou 2 du protocole RIP (la valeur par défaut est 2). ip rip send version [1/2] Définit la version 1 ou 2 du protocole RIP à envoyer. ip rip receive version [1/2] Définit la version 1 ou 2 du protocole RIP à recevoir. no ip split-horizon Désactive le découpage d’horizon (activé par défaut). Configurer les interfaces et les réseaux no network eth[N] passive-interface eth[N] passive-interface default network [A.B.C.D/M] neighbor [A.B.C.D/M] Distribuer des itinéraires à des pairs RIP et injecter des itinéraires OSPF ou BGP dans la table de routage RIP Guide de l’utilisateur default-information originate Partage l’itinéraire de dernier recours (itinéraire par défaut) avec des pairs RIP. redistribute kernel Redistribue les itinéraires statiques de pare-feu vers des pairs RIP. redistribute connected Redistribue les itinéraires de toutes les interfaces vers des pairs RIP. redistribute connected route-map [MAPNAME] Redistribue les itinéraires de toutes les interfaces vers des pairs RIP avec un filtre de mappage d’itinéraire (mapname). redistribute ospf Redistribue les itinéraires du protocole OSPF vers le protocole RIP. redistribute ospf routemap [MAPNAME] Redistribue les itinéraires du protocole OSPF vers le protocole RIP avec un filtre de mappage d’itinéraire (mapname). redistribute bgp Redistribue les itinéraires du protocole BGP vers le protocole RIP. 193 Routage dynamique Section Commande Description Redistribue les itinéraires du protocole BGP vers le redistribute bgp route-map protocole RIP avec un filtre de mappage d’itinéraire [MAPNAME] (mapname). Configurer des filtres de redistribution d’itinéraire avec des mappages d’itinéraires et des listes d’accès access-list [PERMIT|DENY] [LISTNAME] [A,B,C,D/M | ANY] Crée une liste d’accès pour autoriser ou refuser la redistribution d’une seule adresse IP ou de toutes les adresses IP. route-map [MAPNAME] permit [N] Crée un mappage d’itinéraire avec un nom et la priorité N. match ip address [LISTNAME] Configurer Firebox pour qu’il utilise RIP v1 1. Sélectionnez Réseau > Routage dynamique. Configuration du routage dynamique page s’affiche. 2. Activez la case à cocher Activer le routage dynamique. 3. Cliquez sur l’onglet RIP. 194 WatchGuard System Manager Routage dynamique 4. Sélectionnez Activer . 5. Copiez et collez le texte du fichier de configuration de votre démon de routage dans la fenêtre. 6. Cliquez sur Enregistrer. Pour de plusamples informations,cf. Àpropos desfichiers deconfiguration dudémon deroutage àla page 191. Autoriser le trafic RIP v1 via Firebox Vous devez ajouter et configurer une stratégie pour autoriser l’acheminement de diffusions RIP du routeur à l’adresse IP de diffusion du réseau. Vous devez aussi ajouter l’adresse IP de l’interface Firebox dans le champ À. 1. Sélectionnez Pare-feu > Stratégies de pare-feu. Cliquez sur Ajouter. La page Sélectionner un type de stratégie s’affiche. 2. Dans la liste des filtres de paquets, sélectionnez RIP. Cliquez sur Ajouter. 3. Sur la page Configuration de stratégie, configurez la stratégie de manière à autoriser le trafic provenant de l’adresse IP ou réseau du routeur qui utilise le protocole RIP vers l’interface Firebox à laquelle il se connecte. Vous devez également ajouter l’adresse IP de diffusion du réseau. Guide de l’utilisateur 195 Routage dynamique 4. Cliquez sur .Enregistrer. 5. Configurez le routeur sélectionné à l’étape 3. 6. Une fois le routeur configuré, sélectionnez État du système > Itinéraires et vérifiez que Firebox et le routeur s’envoient mutuellement des mises à jour. Vous pouvez ensuite ajouter une authentification et restreindre la stratégie RIP à une écoute seule sur les interfaces appropriées. Configurer Firebox pour qu’il utilise RIP v2 1. Sélectionnez Réseau > Routage dynamique. Configuration du routage dynamique page s’affiche. 2. Activez la case à cocher Activer le routage dynamique. 3. Cliquez sur l’onglet RIP. 4. Sélectionnez Activer . 5. Copiez et collez votre fichier de configuration du démon de routage dans la fenêtre. 6. Cliquez sur Enregistrer. 196 WatchGuard System Manager Routage dynamique Pour de plusamples informations,cf. Àpropos desfichiers deconfiguration dudémon deroutage àla page 191. Autoriser le trafic RIP v2 via Firebox Vous devez ajouter et configurer une stratégie pour autoriser l’acheminement de multidiffusions RIP v2 des routeurs sur lesquels le protocole RIP v2 est activé vers les adresses IP de multidiffusions réservées pour le protocole RIP v2. 1. Sélectionnez Pare-feu > Stratégies de pare-feu. Cliquez sur Ajouter. La page Sélectionner un type de stratégie s’affiche. 2. Dans la liste des filtres de paquets, sélectionnez RIP. Cliquez sur Ajouter. 3. Sur la page Configuration de stratégie, configurez la stratégie de manière à autoriser le trafic provenant de l’adresse IP ou réseau du routeur qui utilise le protocole RIP vers l’adresse de multidiffusions 224.0.0.9. 4. Cliquez sur .Enregistrer. 5. Configurez le routeur sélectionné à l’étape 3. 6. Une fois le routeur configuré, sélectionnez État du système > Itinéraires et vérifiez que Firebox et le routeur s’envoient mutuellement des mises à jour. Vous pouvez ensuite ajouter une authentification et restreindre la stratégie RIP à une écoute seule sur les interfaces appropriées. Exemple de fichier de configuration de routage RIP Pour utiliser l’un des protocoles de routage dynamique avec Fireware XTM, vous devez copier et coller un fichier de configuration pour le démon de routage dynamique. Cette rubrique donne un exemple de fichier de configuration pour le démon de routage RIP. Si vous souhaitez utiliser ce fichier de configuration comme base de votre propre fichier de configuration, copiez le texte dans une application telle que Bloc-notes ou Wordpad et enregistrez-le sous un autre nom. Vous pouvez ensuite modifier les paramètres en fonction des exigences de votre organisation. Les commandes facultatives sont indiquées par le caractère « ! » . Pour activer une commande, supprimez le point d’exclamation et modifiez les variables en fonction de vos besoins. !! SECTION 1 : Configurer les trousseaux de clés d’authentification MD5 ! Définit le nom du trousseau de clés d’authentification MD5 (KEYCHAIN), le numéro de clé (1) ! et la chaîne de la clé d’authentification (AUTHKEY). ! key chain KEYCHAIN ! key 1 ! key-string AUTHKEY !! SECTION 2 : Configurer les propriétés de l’interface ! Définit l’authentification de l’interface (eth1). ! interface eth1 ! ! Définit le mot de passe d’authentification simple du protocole RIP (SHAREDKEY). ! ip rip authentication string SHAREDKEY ! ! Définit l’authentification MD5 du protocole RIP et le trousseau MD5 (KEYCHAIN). ! ip rip authentication mode md5 ! ip rip authentication key-chain KEYCHAIN ! !! SECTION 3 : Configurer les propriétés globales du démon RIP Guide de l’utilisateur 197 Routage dynamique ! Active le démon RIP. Doit être activé pour toutes les configurations RIP. router rip ! ! Définit la version 1 du protocole RIP ; la valeur par défaut est 2. ! version 1 ! ! Définit l’envoi et la réception sur la version 1 du protocole RIP ; la valeur par défaut est 2. ! ip rip send version 1 ! ip rip receive version 1 ! ! Désactive le découpage d’horizon pour éviter les boucles de routage. La valeur par défaut est activée. ! no ip split-horizon !! SECTION 4 : Configurer les interfaces et les réseaux ! Désactive l’envoi et la réception par protocole RIP sur l’interface (eth0). ! no network eth0 ! ! Définit le mode réception seule du protocole RIP sur l’interface (eth2). ! passive-interface eth2 ! ! Définit le mode réception seule du protocole RIP sur toutes les interfaces. ! passive-interface default ! ! Active la diffusion (version 1) ou la multidiffusion (version 2) du protocole RIP sur ! le réseau (192.168.253.0/24). !network 192.168.253.0/24 ! ! Définit la monodiffusion des mises à jour de la table de routage vers le voisin (192.168.253.254). ! neighbor 192.168.253.254 !! SECTION 5 : Redistribue des itinéraires RIP à des pairs et injecte des itinéraires OSPF ou BGP !! dans la table de routage RIP. ! Partage l’itinéraire de dernier recours (itinéraire par défaut) de la table de routage des noyaux ! avec des pairs RIP. ! default-information originate ! ! Redistribue les itinéraires statiques de pare-feu vers les pairs RIP. ! redistribute kernel ! ! Définit le mappage d’itinéraires (MAPNAME) de sorte qu’il restreigne la redistribution des itinéraires de la section 6. ! Redistribue les itinéraires de toutes les interfaces vers des pairs RIP ou avec un filtre de mappage ! d’itinéraire (MAPNAME). ! redistribute connected ! redistribute connected route-map MAPNAME ! ! Redistribue les itinéraires du protocole OSPF vers le protocole RIP ou avec un filtre de mappage d’itinéraire (MAPNAME). ! redistribute ospf !redistribute ospf route-map MAPNAME ! 198 WatchGuard System Manager Routage dynamique ! Redistribue les itinéraires du protocole BGP vers le protocole RIP ou avec un filtre de mappage d’itinéraire (MAPNAME). ! redistribute bgp !redistribute bgp route-map MAPNAME !! SECTION 6 : Configurer des filtres de redistribution d’itinéraire avec des mappages d’itinéraires et !! des listes d’accès ! Crée une liste d’accès autorisant uniquement la redistribution de 172.16.30.0/24. ! access-list LISTNAME permit 172.16.30.0/24 ! access-list LISTNAME deny any ! ! Crée un mappage d’itinéraire avec le nom MAPNAME et la priorité 10. ! route-map MAPNAME permit 10 ! match ip address LISTNAME À propos du protocole OSPF (Open Shortest Path First) Note Ceprotocole estuniquement prisen chargepar Fireware XTMavec miseà niveauPro. Le protocole OSPF (Open Shortest Path First) est un protocole de routeur intérieur qui est utilisé dans les réseaux de grande taille. Avec le protocole OSPF, un routeur qui détecte une modification dans sa table de routage ou dans le réseau envoie immédiatement une mise à jour par multidiffusion à tous les autres routeurs du réseau. Les protocoles OSPF et RIP présentent les différences suivantes : n n Le protocole OSPF envoie uniquement la partie de la table de routage ayant été modifiée au cours de sa transmission. Le protocole RIP envoie systématiquement la table de routage dans son intégralité. Le protocole OSPF envoie uniquement une multidiffusion lorsque ses informations ont été modifiées. Le protocole RIP envoie la table de routage toutes les 30 secondes. Notez également la caractéristique suivante à propos du protocole OSPF : n n Si vous possédez plusieurs zones OSPF, l’une d’entre elles doit être la zone 0.0.0.0 (la zone principale). Toutes les zones doivent être adjacentes à la zone principale. Si ce n’est pas le cas, vous devez configurer une liaison virtuelle à la zone principale. Commandes OSPF Pour créer ou modifier un fichier de configuration de routage, vous devez utiliser les commandes de routage appropriées. Le tableau suivant présente la liste des commandes de routage OSPF prises en charge. Les sections doivent apparaître dans le fichier de configuration dans le même ordre qu’elles apparaissent dans ce tableau. Vous pouvez également utiliser le texte donné en exemple dans Exemple de fichier de configuration d’un routage OSPF à la page 204. Section Commande Description Configurer l’interface ip ospf authentication-key [PASSWORD] Guide de l’utilisateur Définit le mot de passe d’authentification OSPF. 199 Routage dynamique Section Commande Description interface eth[N] Commence la section pour définir les propriétés de l’interface. ip ospf message-digest-key [KEY-ID] md5 [KEY] Définit l’ID de clé et la clé d’authentification MD5. ip ospf cost [1-65535] Définit le coût de liaison pour l’interface (voir le tableau des coûts d’interface OSP ci-dessous). ip ospf hello-interval [165535] Définit l’intervalle d’envoi des paquets hello ; la valeur par défaut est 10 s. ip ospf dead-interval [165535] Définit l’intervalle de temps, après le dernier paquet hello, au terme duquel un voisin est déclaré inactif ; la valeur par défaut est 40 s. ip ospf retransmit-interval [165535] Définit l’intervalle entre les retransmissions d’annonces d’état de liaison (LSA) ; la valeur par défaut est 5 s. ip ospf transmit-delay [13600] Définit le temps nécessaire pour envoyer une mise à jour LSA ; la valeur par défaut est 1 s. ip ospf priority [0-255] Définit la priorité de l’itinéraire ; une valeur élevée augmente les chances du routeur de devenir le routeur désigné (DR). Configurer le démon de routage OSPF router ospf Active le démon OSPF. ospf router-id [A.B.C.D] Définit l’ID du routeur pour OSPF manuellement ; le routeur déterminera son propre ID s’il n’est pas défini. ospf rfc 1583compatibility Active la compatibilité avec le document RFC 1583 (peut entraîner des boucles de routage). ospf abr-type Pour plus d’informations sur cette commande, voir le [cisco|ibm|shortcut|standard] fichier draft-ietf-abr-o5.txt. passive-interface eth[N] Désactive l’annonce OSPF sur l’interface eth[N]. auto-cost reference bandwidth[0-429495] Définit un coût global (voir le tableau des coûts OSPF cidessous) ; ne pas l’utiliser conjointement avec la commande « ip ospf [COST] ». timers spf [0-4294967295][04294967295] Définit le délai de planification et le délai de rétention OSPF Activer OSPF sur un réseau 200 WatchGuard System Manager Routage dynamique Section Commande Description *La variable « area » prend en charge deux formats : [W.X.Y.Z] ou en tant qu’entier [Z]. Annonce OSPF sur le réseau. network [A.B.C.D/M] area [Z] A.B.C.D/M for area 0.0.0.Z Configurer les propriétés de la zone principale ou d’autres zones La variable « area » prend en charge deux formats : [W.X.Y.Z] ou en tant qu’entier [Z]. area [Z] range [A.B.C.D/M] Crée une zone 0.0.0.Z et définit un réseau à classes pour la zone (la plage et le paramètre de réseau et de masque d’interface doivent correspondre). area [Z] virtual-link [W.X.Y.Z] Définit le voisin de liaison virtuelle pour la zone 0.0.0.Z. area [Z] stub Définit la zone 0.0.0.Z en tant que stub. area [Z] stub no-summary area [Z] authentication Active l’authentification par mot de passe simple pour la zone 0.0.0.Z. area [Z] authentication message-digest Active l’authentification MD5 pour la zone 0.0.0.Z. Redistribuer les itinéraires OSPF default-information originate Partage l’itinéraire de dernier recours (itinéraire par défaut) avec OSPF. default-information originate metric [0-16777214] Partage l’itinéraire de dernier recours (itinéraire par défaut) avec OSPF et ajoute une mesure utilisée pour générer l’itinéraire par défaut. default-information originate always Partage toujours l’itinéraire de dernier recours (itinéraire par défaut). default-information originate always metric [0-16777214] Partage toujours l’itinéraire de dernier recours (itinéraire par défaut) et ajoute une mesure utilisée pour générer l’itinéraire par défaut. redistribute connected Redistribue les itinéraires de toutes les interfaces vers le protocole OSPF. redistribute connected metrics Redistribue les itinéraires de toutes les interfaces vers le protocole OSPF et ajoute une mesure utilisée pour l’action. Configurer la redistribution des itinéraires avec des listes d’accès et des mappages d’itinéraires Guide de l’utilisateur 201 Routage dynamique Section Commande Description access-list [LISTNAME] permit [A.B.C.D/M] Crée une liste d’accès pour autoriser la distribution de A.B.C.D/M. access-lists [LISTNAME] deny any Interdit la distribution de tout mappage d’itinéraire non spécifié ci-dessus. route-map [MAPNAME] permit [N] Crée un mappage d’itinéraire avec le nom [MAPNAME] et la priorité [N]. match ip address [LISTNAME] Tableau des coûts d’interface OSPF Le protocole OSPF identifie l’itinéraire le plus efficace entre deux points. Pour cela, il prend en compte différents facteurs tels que la vitesse de liaison de l’interface, le nombre de sauts entre les points et d’autres mesures. Par défaut, le protocole OSPF utilise la vitesse de liaison réelle d’un périphérique pour calculer le coût total d’un itinéraire. Vous pouvez définir manuellement le coût d’interface pour maximiser l’efficacité si, par exemple, votre pare-feu basé sur un gigaoctet est connecté à un routeur 100M. Utilisez les chiffres fournis dans le tableau pour attribuer manuellement au coût d’interface une valeur différente du coût réel. Type d’interface Bande passante en bits/s Bande passante en octets/s Coût d’interface OSPF Ethernet 1G 128 M 1 Ethernet 100 M 12,5 M 10 Ethernet 10 M 1,25 M 100 Modem 2M 256 K 500 Modem 1M 128 K 1 000 Modem 500 K 62,5 K 2 000 Modem 250 K 31,25 K 4 000 Modem 125 K 15 625 8 000 Modem 62 500 7 812 16 000 Série 115 200 14 400 10 850 Série 57 600 7 200 21 700 Série 38 400 4 800 32 550 Série 19 200 2 400 61 120 Série 9 600 1 200 65 535 202 WatchGuard System Manager Routage dynamique Configurer Firebox pour utiliser OSPF 1. Sélectionnez Réseau > Routage dynamique. Configuration du routage dynamique pages’affiche. 2. Activez la case à cocher Activer le routage dynamique. 3. Cliquez sur l’onglet OSPF. 4. Sélectionnez Activer. 5. Copiez et collez votre fichier de configuration du démon de routage dans la fenêtre. Pour de plus amples informations, cf. À propos des fichiers de configuration du démon de routage à la page 191. Pour commencer, vous n’avez besoin que de deux commandes dans votre fichier de configuration OSPF. Exécutées dans l’ordre suivant, ces deux commandes lancent le processus OSPF : router ospf network <network IP address of the interface you want the process to listen on and distribute through the protocol> area <area ID in x.x.x.x format, such as 0.0.0.0> Guide de l’utilisateur 203 Routage dynamique 6. Cliquez sur Enregistrer. Autoriser le trafic OSPF via Firebox Vous devez ajouter et configurer une stratégie pour autoriser l’acheminement de multidiffusions OSPF des routeurs sur lesquels le protocole OSPF est activé vers les adresses de multidiffusion réservées pour le protocole OSPF. 1. Sélectionnez Pare-feu > Stratégies de pare-feu. Cliquez sur Ajouter. La page Sélectionner un type de stratégie s’affiche. 2. Dans la liste des filtres de paquets, sélectionnez RIP. Cliquez sur Ajouter. 3. Sur la page Configuration de stratégie, configurez la stratégie de manière à autoriser le trafic provenant de l’adresse IP ou réseau du routeur qui utilise le protocole OSPF vers les adresses IP 224.0.0.5 et 224.0.0.6. Pour plus d’informations sur la manière de définir les adresses d’origine et de destination d’une stratégie, voir Définir des règles d’accès pour une stratégie à la page 273. 4. Cliquez sur .Enregistrer. 5. Configurez le routeur sélectionné à l’étape 3. 6. Une fois le routeur configuré, sélectionnez État du système > Itinéraires et vérifiez que Firebox et le routeur s’envoient mutuellement des mises à jour. Vous pouvez ensuite ajouter une authentification et restreindre la stratégie OSPF à une écoute seule sur les interfaces appropriées. Exemple de fichier de configuration d’un routage OSPF Pour utiliser l’un des protocoles de routage dynamique avec Fireware XTM, vous devez copier et coller un fichier de configuration pour le démon de routage dynamique. Cette rubrique donne un exemple de fichier de configuration pour le démon de routage OSPF. Si vous souhaitez utiliser ce fichier de configuration comme base de votre propre fichier de configuration, copiez le texte dans une application telle que Blocnotes ou Wordpad et enregistrez-le sous un autre nom. Vous pouvez ensuite modifier les paramètres en fonction des exigences de votre organisation. Les commandes facultatives sont indiquées par le caractère « ! » . Pour activer une commande, supprimez le point d’exclamation et modifiez les variables en fonction de vos besoins. !! SECTION 1 : Configurer les propriétés de l’interface ! Définit les propriétés de l’interface eth1. ! interface eth1 ! ! Définit le mot de passe d’authentification simple (SHAREDKEY). ! ip ospf authentication-key SHAREDKEY ! ! Définit l’ID de la clé d’authentification MD5 (10) et la clé d’authentification MD5 (AUTHKEY). ! ip ospf message-digest-key 10 md5 AUTHKEY ! ! Fixe le coût de liaison à 1 000 (1-65535) sur l’interface eth1 ! pour le tableau des coûts de liaison OSPF. !ip ospf cost 1000 ! 204 WatchGuard System Manager Routage dynamique ! Définit l’intervalle entre les paquets hello sur 5 s. (1-65535) ; la valeur par défaut est 10 s. ! ip ospf hello-interval 5 ! ! Définit l’intervalle d’inactivité sur 15 s. (1-65535) ; la valeur par défaut est 40 s. ! ip ospf dead-interval 15 ! ! Définit l’intervalle entre les retransmissions d’annonces d’état de liaison (LSA) ! sur 10 s. (1-65535) ; la valeur par défaut est 5 s. ! ip ospf retransmit-interval 10 ! ! Définit l’intervalle de mise à jour des LSA sur 3 s. (1-3600) ; la valeur par défaut est 1 s. ! ip ospf transmit-delay 3 ! ! Définit le niveau de priorité (0-255) pour augmenter les chances du routeur de devenir le ! routeur désigné (DR). ! ip ospf priority 255 !! SECTION 2 : Lancer le protocole OSPF et définir les propriétés du démon ! Active le démon OSPF. Doit être activé pour toutes les configurations OSPF. ! router ospf ! ! Définit l’ID du routeur manuellement sur 100.100.100.20. S’il n’est pas défini, le pare-feu ! établira lui-même l’ID en fonction d’une adresse IP d’interface. ! ospf router-id 100.100.100.20 ! ! Active la compatibilité avec le document RFC 1583 (augmente la probabilité des boucles de routage). ! ospf rfc1583compatibility ! ! Définit le type de routeur de frontière de zone (ABR) sur cisco, ibm, shortcut ou standard. ! Pour plus d’informations sur les types d’ABR, voir draft-ietf-ospf-abr-alt05.txt. ! ospf abr-type cisco ! ! Désactive l’annonce OSPF sur l’interface eth0. ! passive interface eth0 ! ! Définit le coût global sur 1 000 (0-429495). ! auto-cost reference bandwidth 1000 ! ! Définit le délai de planification de SPF sur 25 s. (0-4294967295) et le délai de rétention sur ! sur 20 s. (0-4294967295) ; les valeurs par défaut sont 5 et 10 s. !timers spf 25 20 !! SECTION 3 : Définir les propriétés de réseau et de zone Définit les zones à partir de W.X.Y.Z !! ou de la notation Z. ! Annonce le protocole OSPF sur le réseau 192.168.253.0/24 pour la zone 0.0.0.0. Guide de l’utilisateur 205 Routage dynamique ! network 192.168.253.0/24 area 0.0.0.0 ! ! Crée une zone 0.0.0.1 et définit une plage de réseau à classes (172.16.254.0/24) ! pour la zone (la plage et les paramètres de réseau de l’interface doivent correspondre). ! area 0.0.0.1 range 172.16.254.0/24 ! ! Définit le voisin de liaison virtuelle (172.16.254.1) pour la zone 0.0.0.1. ! area 0.0.0.1 virtual-link 172.16.254.1 ! ! Définit la zone 0.0.0.1 en tant que stub pour tous les routeurs de cette zone. ! area 0.0.0.1 stub ! ! area 0.0.0.2 stub no-summary ! ! Active l’authentification par mot de passe simple pour la zone 0.0.0.0. ! area 0.0.0.0 authentication ! ! Active l’authentification MD5 pour la zone 0.0.0.1. ! area 0.0.0.1 authentication message-digest !! SECTION 4 : Redistribuer les itinéraires OSPF ! Partage l’itinéraire de dernier recours (itinéraire par défaut) de la table de routage des noyaux ! avec les pairs OSPF. ! default-information originate ! ! Redistribue des itinéraires statiques vers le protocole OSPF. ! redistribute kernel ! ! Redistribue les itinéraires de toutes les interfaces vers le protocole OSPF. ! redistribute connected ! redistribute connected route-map ! ! Redistribue les itinéraires des protocoles RIP et BGP vers OSPF. ! redistribute rip !redistribute bgp !! SECTION 5 : Configurer des filtres de redistribution d’itinéraire avec des listes d’accès !! et des mappages d’itinéraire. ! Crée une liste d’accès autorisant uniquement la redistribution de 10.0.2.0/24. ! access-list LISTNAME permit 10.0.2.0/24 ! access-list LISTNAME deny any ! ! Crée un mappage d’itinéraire avec le nom MAPNAME et la priorité 10 (1-199). ! route-map MAPNAME permit 10 ! match ip address LISTNAME 206 WatchGuard System Manager Routage dynamique À propos du protocole BGP (Border Gateway Protocol) Note Ce protocole est pris en charge uniquement par Fireware XTM avec mise à niveau Pro sur les périphériques Core e-Series, Peak e-Series et XTM. Le protocole BGP (Border Gateway Protocol) est un protocole évolutif de routage dynamique qui est utilisé par des groupes de routeurs sur Internet pour partager des informations de routage. Il utilise des paramètres d’itinéraire, ou attributs, pour définir des stratégies de routage et créer un environnement de routage stable. Grâce à ce protocole, vous pouvez annoncer plusieurs chemins depuis/vers Internet à votre réseau et vos ressources, ce qui vous permet de bénéficier de chemins redondants et d’une éventuelle augmentation du temps d’activité. Les hôtes qui utilisent le protocole BGP ont recours au protocole TCP pour envoyer des informations sur les tables de routage mises à jour lorsqu’un hôte détecte une modification. L’hôte envoie uniquement la partie de la table de routage contenant la modification. Le protocole BGP utilise le routage CIDR (Classless InterDomain Routing) pour réduire la taille des tables de routage Internet. La taille de la table de routage BGP dans Fireware XTM est définie à 32 K. Compte tenu de la taille d’un réseau étendu (WAN) client WatchGuard type, le routage dynamique OSPF est plus approprié. Un réseau WAN peut également utiliser le protocole EBGP (External Border Gateway Protocol) si plusieurs passerelles Internet sont disponibles. Le protocole EBGP vous permet de tirer pleinement parti de la redondance possible avec un réseau multiconnecté. Pour prendre part au protocole BGP avec un fournisseur de services Internet, vous devez posséder un numéro de système autonome (ASN). Vous devez obtenir un numéro ASN auprès de l’un des registres régionaux répertoriés dans le tableau ci-dessous. Lorsque vous recevez votre propre numéro ASN, vous devez contacter chaque fournisseur de services Internet pour obtenir leur numéro ASN et toute autre information nécessaire. Région Nom du registre Site Web Amérique du Nord RIN www.arin.net Europe RIPE NCC www.ripe.net Asie Pacifique APNIC www.apnic.net Amérique latine LACNIC www.lacnic.net Afrique AfriNIC www.afrinic.net Commandes BGP Pour créer ou modifier un fichier de configuration de routage, vous devez utiliser les commandes de routage appropriées. Le tableau suivant présente la liste des commandes de routage BGP prises en charge. Les sections doivent apparaître dans le fichier de configuration dans le même ordre qu’elles apparaissent dans ce tableau. Guide de l’utilisateur 207 Routage dynamique N’utilisez pas de paramètres de configuration BGP qui ne sont pas fournis par votre fournisseur de services Internet. Section Commande Description Configure le démon de routage BGP router bgp [ASN] Active le démon BGP et définit le numéro de système autonome (ASN) ; information fournie par votre fournisseur de services Internet. network [A.B.C.D/M] Annonce le protocole BGP sur le réseau A.B.C.D/M. no network [A.B.C.D/M] Désactive les annonces BGP sur le réseau A.B.C.D/M. Définir les propriétés du voisin neighbor [A.B.C.D] remote-as [ASN] Définit le voisin en tant que membre d’un réseau ASN distant. neighbor [A.B.C.D] ebgpmultihop Définit le voisin sur un autre réseau à l’aide du protocole EBGP à sauts multiples. neighbor [A.B.C.D] version Définit la version du protocole BGP (4, 4+, 4-) pour les 4+ communications avec le voisin ; la valeur par défaut est 4. neighbor [A.B.C.D] update-source [WORD] Définit la session BGP de manière à utiliser une interface spécifique pour les connexions TCP. neighbor [A.B.C.D] default-originate Annonce l’itinéraire par défaut au voisin BGP [A,B,C,D]. neighbor [A.B.C.D] port 189 Définit le port TCP personnalisé pour communiquer avec le voisin BGP [A,B,C,D]. neighbor [A.B.C.D] sendcommunity Définit l’envoi de l’attribut de communauté au pair. neighbor [A.B.C.D] weight 1000 Définit un coefficient par défaut pour les itinéraires [A.B.C.D] du voisin. neighbor [A.B.C.D] maximum-prefix [NUMBER] Définit le nombre maximal de préfixes autorisés à partir de ce voisin. Listes de communautés ip community-list [<199>|<100-199>] permit AA:NN Spécifie que la communauté doit accepter les numéros ASN et de réseau séparés par deux points. Filtrage de pairs 208 WatchGuard System Manager Routage dynamique Section Commande Description neighbor [A.B.C.D] distribute-list [LISTNAME] [IN|OUT] Définit la liste de distribution et la direction pour le pair. neighbor [A.B.C.D] prefixlist [LISTNAME] [IN|OUT] Applique une liste de préfixes à faire correspondre aux annonces entrantes ou sortantes de ce voisin. neighbor [A.B.C.D] filterlist [LISTNAME] [IN|OUT] Fait correspondre une liste d’accès de chemins système autonomes à des itinéraires entrants ou sortants. neighbor [A.B.C.D] routemap [MAPNAME] [IN|OUT] Applique un mappage d’itinéraire à des itinéraires entrants ou sortants. Redistribuer des itinéraires vers le protocole BGP redistribute kernel Redistribue des itinéraires statiques vers le protocole BGP. redistribute rip Redistribue des itinéraires RIP vers le protocole BGP. redistribute ospf Redistribue des itinéraires OSPF vers le protocole BGP. Réflexion d’itinéraire bgp cluster-id A.B.C.D Configure l’ID de cluster si le cluster BGP possède plusieurs réflecteurs d’itinéraire. neighbor [W.X.Y.Z] routereflector-client Configure le routeur en tant que réflecteur d’itinéraire BGP et configure le voisin spécifié comme son client. Listes d’accès et listes de préfixes IP ip prefix-lists PRELIST permit A.B.C.D/E Définit la liste de préfixes. access-list NAME [deny|allow] A.B.C.D/E Définit la liste d’accès. route-map [MAPNAME] permit [N] Définit, conjointement avec les commandes « match » et « set », les conditions et les actions relatives à la redistribution d’itinéraires. match ip address prefixlist [LISTNAME] Trouve la liste d’accès spécifiée correspondante. set community [A:B] Définit l’attribut de communauté BGP. match community [N] Trouve la liste de communautés spécifiée correspondante. set local-preference [N] Définit la valeur de préférence pour le chemin système autonome. Guide de l’utilisateur 209 Routage dynamique Configurer Firebox pour qu’il utilise BGP Pour prendre part au protocole BGP avec un fournisseur de services Internet, vous devez posséder un numéro de système autonome (ASN). Pour de plus amples informations, cf. À propos du protocole BGP (Border Gateway Protocol) à la page 207. 1. Sélectionnez Réseau > Routage dynamique. Configuration du routage dynamique page s’affiche. 2. Activez la case à cocher Activer le routage dynamique. 3. Cliquez sur l’onglet BGP. 4. Sélectionnez Activer case à cocher. 5. Copiez et collez votre fichier de configuration du démon de routage dans la fenêtre. Pour de plus amples informations, cf. À propos des fichiers de configuration du démon de routage à la page 191. 210 WatchGuard System Manager Routage dynamique Pour commencer, vous n’avez besoin que de trois commandes dans votre fichier de configuration BGP. Ces trois commandes initient le processu BGP, définissent une relation de pair avec le fournisseur de services Internet et établissent l’itinéraire d’un réseau vers Internet. Vous devez exécuter ces commandes dans l’ordre indiqué. router BGP : numéro du système autonome de BGP fourni par le réseau de votre fournisseur de services Internet : adresse IP du réseau vers lequel vous souhaitez publier un itinéraire depuis Internet neighbor : <IP address of neighboring BGP router> remote-as <BGP autonomous number> 6. Cliquez sur Enregistrer. Autoriser le trafic BGP via Firebox Vous devez ajouter et configurer une stratégie pour autoriser l’acheminement du trafic BGP vers Firebox à partir des réseaux approuvés. Ces réseaux doivent être les mêmes que ceux que vous avez définis dans votre fichier de configuration BGP. 1. Sélectionnez Pare-feu > Stratégies de pare-feu. Cliquez sur Ajouter. La page Sélectionner un type de stratégie s’affiche. 2. Dans la liste des filtres de paquets, sélectionnez BGP. Cliquez sur Ajouter. 3. Sur la page Configuration de stratégie, configurez la stratégie de manière à autoriser le trafic provenant de l’adresse IP ou réseau du routeur qui utilise le protocole BGP vers l’interface Firebox à laquelle il se connecte. Vous devez également ajouter l’adresse IP de diffusion du réseau. 4. Cliquez sur .Enregistrer. 5. Configurez le routeur sélectionné à l’étape 3. 6. Une fois le routeur configuré, sélectionnez État du système > Itinéraires et vérifiez que Firebox et le routeur s’envoient mutuellement des mises à jour. Vous pouvez ensuite ajouter une authentification et restreindre la stratégie BGP à une écoute seule sur les interfaces appropriées. Exemple de fichier de configuration de routage BGP Pour utiliser l’un des protocoles de routage dynamique avec Fireware XTM, vous devez importer ou taper un fichier de configuration pour le démon de routage dynamique. Cette rubrique donne un exemple de fichier de configuration pour le démon de routage BGP. Si vous souhaitez utiliser ce fichier de configuration comme base de votre propre fichier de configuration, copiez le texte dans une application telle que Blocnotes ou Wordpad et enregistrez-le sous un autre nom. Vous pouvez ensuite modifier les paramètres en fonction des besoins de votre propre entreprise. Les commandes facultatives sont indiquées par le caractère « ! » . Pour activer une commande, supprimez le point d’exclamation et modifiez les variables en fonction de vos besoins. !! SECTION 1 : Démarre le démon BGP et annonce les blocs de réseau aux voisins BGP ! Active le protocole BGP et définit le numéro ASN sur 100 router bgp 100 ! Annonce le réseau local 64.74.30.0/24 à tous les voisins définis dans la section 2 ! network 64.74.30.0/24 !! SECTION 2 : Propriétés du voisin ! Définit le voisin (64.74.30.1) en tant que membre d’un réseau ASN distant (200) ! neighbor 64.74.30.1 remote-as 200 Guide de l’utilisateur 211 Routage dynamique ! Définit le voisin (208.146.43.1) sur un autre réseau à l’aide du protocole EBGP à sauts multiples ! neighbor 208.146.43.1 remote-as 300 ! neighbor 208.146.43.1 ebgp-multihop ! Définit la version du protocole BGP (4, 4+, 4-) pour les communications avec le voisin ; la valeur par défaut est 4. ! neighbor 64.74.30.1 version 4+ ! Annonce l’itinéraire par défaut au voisin BGP (64.74.30.1) ! neighbor 64.74.30.1 default-originate ! Définit le port TCP personnalisé 189 pour communiquer avec le voisin BGP (64.74.30.1) Le port TCP par défaut est 179. ! neighbor 64.74.30.1 port 189 ! Définit l’envoi de l’attribut de communauté au pair. ! neighbor 64.74.30.1 send-community ! Définit un coefficient par défaut pour les itinéraires (64.74.30.1) du voisin. ! neighbor 64.74.30.1 weight 1000 ! Définit le nombre maximal de préfixes autorisés à partir de ce voisin. ! neighbor 64.74.30.1 maximum-prefix NUMBER !! SECTION 3 : Définit les listes de communautés ! ip community-list 70 permit 7000:80 !! SECTION 4 : Filtrage des annonces ! Définit la liste de distribution et la direction pour le pair. ! neighbor 64.74.30.1 distribute-list LISTNAME [in|out] ! Applique une liste de préfixes à faire correspondre aux annonces entrantes ou sortantes de ce voisin. ! neighbor 64.74.30.1 prefix-list LISTNAME [in|out] ! Fait correspondre une liste d’accès de chemins système autonomes à des itinéraires entrants ou sortants. ! neighbor 64.74.30.1 filter-list LISTNAME [in|out] ! Applique un mappage d’itinéraire à des itinéraires entrants ou sortants. ! neighbor 64.74.30.1 route-map MAPNAME [in|out] !! SECTION 5 : Redistribuer les itinéraires au protocole BGP ! Redistribue des itinéraires statiques vers le protocole BGP. ! redistribute kernel ! Redistribue des itinéraires RIP vers le protocole BGP. ! redistribute rip ! Redistribue des itinéraires OSPF vers le protocole BGP ! redistribute ospf !! SECTION 6 : Router la réflexion ! Définit l’ID de cluster et le pare-feu en tant que client du serveur réflecteur d’itinéraire 51.210.0.254 ! bgp cluster-id A.B.C.D ! neighbor 51.210.0.254 route-reflector-client !! SECTION 7 : Listes d’accès et listes de préfixes IP 212 WatchGuard System Manager Routage dynamique ! ! ! ! ! ! ! ! Définit la liste de préfixes. ip prefix-list PRELIST permit 10.0.0.0/8 Définit la liste d’accès !access-list NAME deny 64.74.30.128/25 access-list NAME permit 64.74.30.0/25 Crée un mappage d’itinéraire avec le nom MAPNAME et autorise la priorité 10. route-map MAPNAME permit 10 match ip address prefix-list LISTNAME set community 7000:80 Guide de l’utilisateur 213 Routage dynamique Guide de l’utilisateur 214 11 Authentification À propos de l’authentification des utilisateurs L’authentification des utilisateurs est un processus qui vérifie si l’utilisateur est bien celui qu’il prétend être, ainsi que les privilèges attribués à cet utilisateur. Sur Firebox, le compte d’utilisateur comporte deux parties : un nom d’utilisateur et un mot de passe. Chaque compte d’utilisateur est associé à une adresse IP. L’association du nom d’utilisateur, du mot de passe et de l’adresse IP aide l’administrateur du périphérique à surveiller les connexions qui passent par le périphérique. L’authentification permet aux utilisateurs de se connecter au réseau à partir de n’importe quel ordinateur en n’ayant accès qu’aux seuls protocoles et ports pour lesquels ils détiennent une autorisation. Firebox peut ainsi faire correspondre les connexions établies à partir d’une adresse IP et transmettre aussi le nom de la session lors de l’authentification de l’utilisateur. Vous pouvez établir des stratégies de pare-feu pour donner à des utilisateurs ou à des groupes un accès à des ressources réseau spécifiques. Ceci peut être utile dans les environnements de réseau où différents utilisateurs partagent un même ordinateur ou une même adresse IP. Vous pouvez configurer Firebox en tant que serveur d’authentification local, utiliser votre serveur d’authentification Active Directory ou LDAP existant ou un serveur d’authentification RADIUS existant. Lorsque vous utilisez l’authentification à Firebox via le port 4100, les privilèges de compte peuvent se fonder sur un nom d’utilisateur. En présence d’une authentification tierce, les privilèges liés aux comptes des utilisateurs qui s’authentifient auprès du serveur d’authentification tierce sont basés sur l’appartenance à un groupe. La fonctionnalité d’authentification des utilisateurs de WatchGuard associe un nom d’utilisateur à une adresse IP spécifique, ce qui vous permet d’authentifier les connexions d’un utilisateur via le périphérique et d’en assurer le suivi. Avec un périphérique, la question fondamentale qui se pose à chaque connexion est « Dois-je autoriser le trafic de la source X vers la destination Y? ». Pour que la fonctionnalité d’authentification de WatchGuard fonctionne correctement, l’adresse IP de l’ordinateur d’un utilisateur ne doit pas changer tant que cet utilisateur est authentifié sur le périphérique. Guide de l’utilisateur 215 Authentification Dans la plupart des environnements, la relation entre une adresse IP et l’ordinateur de l’utilisateur n’est pas assez stable pour être utilisée pour une authentification. Les environnements dans lesquels l’association d’un utilisateur et d’une adresse IP n’est pas constante, tels que les bornes ou les réseaux sur lesquels les applications sont lancées depuis un serveur terminal, ne sont généralement pas adaptés à la fonctionnalité d’authentification des utilisateurs, qui risque de ne pas être opérationnelle. WatchGuard prend en charge l’authentification, la gestion des comptes et le contrôle des accès dans les pare-feux en supposant une association stable entre adresses IP et utilisateurs. La fonctionnalité d’authentification des utilisateurs WatchGuard prend également en charge l’authentification sur un domaine d’Active Directory avec Single Sign-On (SSO), ainsi que d’autres serveurs d’authentification courants. De plus, elle prend en charge les paramètres d’inactivité et les limites de temps imposées aux sessions. Ces contrôles restreignent la durée pendant laquelle une adresse IP est autorisée à passer des données via Firebox avant que l’utilisateur ne doive entrer de nouveau son mot de passe (s’authentifier à nouveau). Si vous utilisez une liste blanche pour contrôler l’accès SSO et si vous gérez les délais d’inactivité, les délais d’expiration de sessions et les utilisateurs autorisés à s’authentifier, vous améliorerez le contrôle de l’authentification, de la gestion des comptes et du contrôle des accès. Pour empêcher un utilisateur de s’authentifier, vous devez désactiver le compte de cet utilisateur sur le serveur d’authentification. Utilisateur étapes de l’authentification Un serveur HTTPS est opérationnel sur le périphérique WatchGuard pour accepter les requêtes d’authentification. Pour s’authentifier, l’utilisateur doit se connecter à la page Web du portail d’authentification du périphérique. 1. Allez dans : https://[adresse IP de l’interface du périphérique]:4100/ ou https://[nom d’hôte du périphérique]:4100 Une page Web d’authentification s’affiche. 2. Entrez un nom d’utilisateur et un mot de passe. 3. Sélectionnez le serveur d’authentification dans la liste déroulante si plusieurs types d’authentification sont configurés. Le périphérique WatchGuard envoie le nom et le mot de passe au serveur d’authentification à l’aide du protocole PAP (Password Authentication Protocol). Une fois l’utilisateur authentifié, il est autorisé à utiliser les ressources du réseau approuvé. 216 WatchGuard System Manager Authentification Note Étant donné que Fireware XTM utilise un certificat autosigné par défaut pour HTTPS, un avertissement de sécurité s’affiche dans votre navigateur Web lors de l’authentification. Vous pouvez l’ignorer. Pour supprimer cet avertissement, vous pouvez utiliser un certificat tiers ou créer un certificat personnalisé qui correspond à l’adresse IP ou au nom de domaine utilisés pour l’authentification. Fermer manuellement une session authentifiée Il n’est pas nécessaire d’attendre le délai d’inactivité de la session pour fermer une session authentifiée. On peut fermer manuellement sa session avant l’expiration du délai. La page Web d’authentification doit être ouverte pour que l’utilisateur puisse fermer une session. Si elle est fermée, l’utilisateur doit de nouveau s’authentifier pour se déconnecter. Pour fermer une session authentifiée : 1. Allez sur la page Web du portail d’authentification : https://[adresse IP de l’interface du périphérique]:4100/ ou https://[nom d’hôte du périphérique]:4100 2. Cliquez sur Déconnexion. Note Si la page Web du portail d’authentification est configurée pour rediriger automatiquement vers une autre page Web, le portail est redirigé quelques secondes seulement après avoir été ouvert. Assurez-vous de vous déconnecter avant la redirection. Gérer les utilisateurs authentifiés Vous pouvez utiliser Fireware XTM Web UI pour afficher la liste de tous les utilisateurs authentifiés sur votre périphérique WatchGuard et fermer leurs sessions. Voir les utilisateurs authentifiés Pour voir les utilisateurs authentifiés sur votre périphérique WatchGuard : 1. Se connecter à Fireware XTM Web UI. 2. Sélectionnez État du système > Liste d’authentification. La liste de tous les utilisateurs authentifiés sur Firebox s’affiche. Fermer la session d’un utilisateur Dans la barre de navigation de Fireware XTM Web UI : 1. Sélectionnez État du système > Liste d’authentification. La liste de tous les utilisateurs authentifiés sur Firebox s’affiche. Guide de l’utilisateur 217 Authentification 2. Sélectionnez un ou plusieurs noms d’utilisateurs dans la liste. 3. Faites un clic droit sur le ou les noms d’utilisateur et sélectionnez Déconnecter l’utilisateur. Utiliser l’authentification pour restreindre le trafic entrant L’une des fonctions de l’outil d’authentification est de restreindre le trafic sortant. Vous pouvez également l’utiliser pour limiter le trafic réseau entrant. Lorsque vous avez un compte sur le périphérique WatchGuard et que celui-ci a une adresse IP externe publique, vous pouvez vous authentifier sur le périphérique depuis un ordinateur externe. Par exemple, vous pouvez entrer l’adresse suivante dans votre navigateur : https://<IP address of WatchGuard device external interface>:4100/ . Après vous être authentifié, utilisez les stratégies configurées pour vous sur le périphérique. Pour permettre à un utilisateur distant de s’authentifier depuis le réseau externe : 1. Sélectionnez Pare-feu > Stratégies de pare-feu. La page Stratégies de pare-feu s’affiche. 2. Sélectionnez la stratégie Authentification WatchGuard et cliquez sur Modifier. Vous pouvez aussi double-cliquer sur la stratégie. Cette stratégie s’affiche lorsque vous avez ajouté un utilisateur ou un groupe à la configuration d’une stratégie. La page Configuration de stratégie apparaît. 3. Dans la liste déroulante Les connexions sont, assurez-vous que l’option Autorisées est activée. 4. Sous la fenêtre De, cliquez sur Ajouter. La boîte de dialogue Ajouter une adresse s’affiche. 5. Sélectionnez Tout dans la liste et cliquez sur Ajouter. 6. Cliquez sur OK. Tout s’affiche dans la fenêtre De. 7. En dessous de la liste À, cliquez sur Ajouter. 8. Sélectionnez Firebox dans la liste et cliquez sur Ajouter. 9. Cliquez sur OK. Firebox s’affiche dans la fenêtre À. Utiliser l’authentification via une passerelle Firebox La passerelle Firebox est le périphérique que vous installez sur votre réseau pour protéger votre Management Server d’Internet. Pour envoyer une requête d’authentification via une passerelle Firebox à un autre périphérique, vous devez avoir une stratégie autorisant le trafic d’authentification sur le périphérique de passerelle. Si le trafic d’authentification est interdit sur la passerelle, ajouter une stratégie d’authentification WG. Cette stratégie contrôle le trafic sur le port TCP 4100. Vous devez configurer la stratégie pour qu’elle autorise le trafic jusqu’à l’adresse IP du périphérique de destination. Définir les valeurs d’authentification globale Vous pouvez définir les valeurs d’authentification globale (comme les valeurs de délai et la redirection de la page d’authentification). Pour configurer les paramètres d’authentification : 218 WatchGuard System Manager Authentification 1. Se connecter à Fireware XTM Web UI. 2. Sélectionnez Authentification > Paramètres. La page Paramètres d’authentification s’affiche. 3. Configurez les paramètres d’authentification selon la procédure décrite dans les sections ultérieures. 4. Cliquez sur Enregistrer. Définir des délais d’authentification globale Vous pouvez définir la durée pendant laquelle les utilisateurs restent authentifiés après avoir fermé leur dernière connexion authentifiée. Ce délai se définit soit dans la boîte de dialogue Paramètres d’authentification, soit sur la Configuration d’utilisateur Firebox page. Pour plus d’informations sur les paramètres d’authentification des utilisateurs et la Configuration d’utilisateur Firebox page, voir Définir un nouvel utilisateur pour l’authentification sur Firebox à la page 231. Pour les utilisateurs authentifiés par des serveurs tiers, les délais définis par ces serveurs remplacent les délais d’authentification globale. Les valeurs de délais d’authentification ne s’appliquent pas aux utilisateurs de Mobile VPN with PPTP. Guide de l’utilisateur 219 Authentification Délai d’expiration de la session Durée maximale pendant laquelle l’utilisateur peut envoyer du trafic au réseau externe. Si vous entrez dans ce champ un nombre de secondes, de minutes, d’heures ou de jours égal à zéro (0), aucun délai d’expiration de la session n’est utilisé et l’utilisateur peut rester connecté aussi longtemps qu’il le souhaite. Délai d’inactivité Durée maximale pendant laquelle l’utilisateur peut rester authentifié tout en étant inactif (sans passer de trafic au réseau externe). Si vous entrez dans ce champ un nombre de secondes, de minutes, d’heures ou de jours égal à zéro (0), aucun délai d’inactivité de la session n’est utilisé et l’utilisateur peut rester inactif aussi longtemps qu’il le souhaite. Autoriser plusieurs connexions simultanées Vous pouvez autoriser plusieurs utilisateurs à s’authentifier en même temps et avec les mêmes informations d’identification sur le même serveur d’authentification. Cette option est utile pour les comptes invités ou les environnements de laboratoire. Lorsque le deuxième utilisateur se connecte à l’aide des mêmes informations d’identification, le premier utilisateur authentifié est automatiquement déconnecté. Si vous n’autorisez pas cette fonctionnalité, les utilisateurs ne peuvent s’authentifier qu’un par un sur le serveur d’authentification. 1. Allez dans les Paramètres d’authentification page. 2. Sélectionnez la case à cocher Autoriser plusieurs connexions simultanées d’authentification au pare-feu à partir d’un même compte. Pour les utilisateurs de Mobile VPN with IPSec et Mobile VPN with SSL, les connexions simultanées à partir du même compte sont toujours prises en charge que cette case à cocher soit ou non activée. Ces utilisateurs doivent se connecter avec des adresses IP différentes s’ils veulent établir des connexions simultanées, ce qui signifie qu’ils ne peuvent pas utiliser le même compte pour se connecter s’ils se trouvent derrière un périphérique Firebox utilisant la traduction d’adresses réseau (NAT). Les utilisateurs Mobile VPN with PPTP ne sont pas concernés par cette restriction. Limiter les sessions de connexion Dans les Paramètres d’authentification page, vous pouvez limiter les utilisateurs à une seule session authentifiée. Si vous sélectionnez cette option, les utilisateurs ne pourront pas se connecter à un serveur d’authentification à partir d’adresses IP différentes en utilisant les mêmes informations d’identification. Lorsqu’un utilisateur authentifié essaie de s’authentifier à nouveau, vous pouvez opter soit pour la fermeture de la session du premier utilisateur avec authentification de la seconde session, soit pour le rejet de la seconde session. 1. Sélectionnez Limiter les utilisateurs à une seule session de connexion. 2. Dans la liste déroulante, sélectionnez Rejeter les tentatives de connexion suivantes lorsque l’utilisateur est déjà connecté ou Fermer la première session lorsque l’utilisateur se connecte une seconde fois. 220 WatchGuard System Manager Authentification Rediriger automatiquement les utilisateurs vers le portail de connexion Si vous exigez que les utilisateurs s’authentifient avant de pouvoir accéder à Internet, vous pouvez choisir d’envoyer automatiquement les utilisateurs qui ne sont pas encore authentifiés sur le portail d’authentification, ou les faire naviguer manuellement jusqu’au portail. Cela concerne uniquement les connexions HTTP et HTTPS. Rediriger automatiquement les utilisateurs vers la page d’authentification pour qu’ils s’authentifient En activant cette case à cocher, tous les utilisateurs qui ne se sont pas encore authentifiés sont automatiquement redirigés vers le portail d’authentification lorsqu’ils essaient d’accéder à Internet. Si cette case n’est pas activée, les utilisateurs non authentifiés doivent naviguer manuellement jusqu’au portail d’authentification. Pour plus d’informations sur l’authentification des utilisateurs, voir Utilisateur étapes de l’authentification à la page 216. Guide de l’utilisateur 221 Authentification Utiliser une page de démarrage par défaut personnalisée Quand vous activez la case à cocher Rediriger automatiquement les utilisateurs vers la page d’authentification pour qu’ils s’authentifient pour obliger les utilisateurs à s’authentifier avant d’accéder à Internet, le portail d’authentification Web de Firebox s’affiche dès qu’un utilisateur ouvre un navigateur. Si vous voulez que le navigateur accède à une page différente une fois vos utilisateurs connectés, définissez une redirection. Dans les Paramètres d’authentification page: 1. Activez la case à cocher Envoyer une redirection au navigateur après l’authentification. 2. Dans la zone de texte, entrez l’URL du site Web vers lequel les utilisateurs seront redirigés. Définir les délais d’une session de gestion Ces champs permettent de définir la durée pendant laquelle un utilisateur connecté avec des privilèges de lecture/écriture reste authentifié avant que le périphérique WatchGuard ne ferme la session. Délai d’expiration de la session Durée maximale pendant laquelle l’utilisateur peut envoyer du trafic au réseau externe. Si vous entrez dans ce champ un nombre de secondes, de minutes, d’heures ou de jours égal à zéro (0), aucun délai d’expiration de la session n’est utilisé et l’utilisateur peut rester connecté aussi longtemps qu’il le souhaite. Délai d’inactivité Durée maximale pendant laquelle l’utilisateur peut rester authentifié tout en étant inactif (sans passer de trafic au réseau externe). Si vous entrez dans ce champ un nombre de secondes, de minutes, d’heures ou de jours égal à zéro (0), aucun délai d’inactivité de la session n’est utilisé et l’utilisateur peut rester inactif aussi longtemps qu’il le souhaite. À propos de la stratégie d’authentification WatchGuard (WG) La stratégie d’authentification WatchGuard (WG) s’ajoute automatiquement à la configuration de votre périphérique WatchGuard. La première stratégie ajoutée à la configuration de votre périphérique qui donne un nom d’utilisateur ou de groupe au champ De de l’onglet Stratégie dans la définition de stratégie établit une stratégie d’authentification WG. Cette stratégie contrôle l’accès au port 4100 du périphérique. Les utilisateurs envoient des demandes d’authentification au périphérique via ce port. Par exemple, pour s’authentifier sur un périphérique WatchGuard associé à l’adresse IP 10.10.10.10, entrez https://10.10.10.10:4100 dans la barre d’adresses du navigateur. Si vous souhaitez envoyer une demande d’authentification via une passerelle vers un autre périphérique, il vous faudra peut-être ajouter la stratégie d’authentification WG manuellement. Si le trafic d’authentification est refusé sur la passerelle, utilisez Policy Manager pour ajouter la stratégie d’authentification WG. Modifiez cette stratégie pour qu’elle autorise le trafic jusqu’à l’adresse IP du périphérique de destination. 222 WatchGuard System Manager Authentification Pour en savoir plus sur les circonstances dans lesquelles il convient de modifier la stratégie d’authentification WatchGuard, voir Utiliser l’authentification pour restreindre le trafic entrant à la page 218. À propos de Single Sign-On (SSO) Lorsque les utilisateurs se connectent à des ordinateurs du réseau, ils doivent donner un nom d’utilisateur et un mot de pas. Si vous utilisez l’Active Directory Authentication sur Firebox pour restreindre le trafic réseau sortant aux utilisateurs ou aux groupes spécifiés, les utilisateurs doivent se connecter de nouveau lorsqu’ils s’authentifient manuellement pour accéder aux ressources réseau telles qu’Internet. Vous pouvez utiliser Single Sign-On (SSO) pour que les utilisateurs des réseaux approuvés et facultatifs soient automatiquement authentifiés auprès de Firebox lorsqu’ils se connectent à leur ordinateur. WatchGuard SSO est une solution en deux volets qui comprend l’agent SSO et les services de client SSO. Pour que SSO fonctionne, il faut installer le logiciel de l’agent SSO sur un ordinateur de votre domaine. Le logiciel client est facultatif ; il s’installe sur l’ordinateur client de chaque utilisateur. L’agent SSO appelle l’ordinateur client sur le port 4116 pour vérifier les utilisateurs actuellement connectés. En l’absence de réponse, l’agent SSO bascule sur le protocole précédent des versions antérieures à WSM 10.2.4 et utilise NetWkstaUserEnum pour appeler l’ordinateur client. Il utilise ensuite les informations obtenues pour authentifier l’utilisateur sur Single Sign-On. Si le client SSO n’est pas installé, l’agent SSO peut obtenir plusieurs réponses de l’ordinateur qu’il interroge. Cela se produit lorsque plusieurs utilisateurs sont connectés au même ordinateur, ou en cas de connexions par service ou par batch à l’ordinateur. L’agent SSO utilise uniquement la première réponse qu’il reçoit de l’ordinateur et signale cet utilisateur à Firebox comme utilisateur s’étant connecté. Le périphérique compare les informations relatives aux utilisateurs aux stratégies définies pour cet utilisateur ou ce groupe d’utilisateurs en une fois. L’agent SSO met ces données en cache pour une durée d’environ 10 minutes par défaut, pour ne pas avoir à générer de requête pour chaque connexion. Lorsque le logiciel client SSO est installé, il reçoit l’appel de l’agent SSO et renvoie des informations précises sur l’utilisateur actuellement connecté à la station de travail. L’agent SSO ne contacte pas l’Active Directory Server pour connaître les informations d’identification de l’utilisateur, car il reçoit du client SSO les bonnes informations sur la personne actuellement connectée à l’ordinateur et sur les groupes Active Directory dont elle fait partie. Si vous travaillez dans un environnement où plusieurs personnes utilisent un même ordinateur, il est conseillé d’installer le logiciel client SSO. Si vous n’utilisez pas le client SSO, il existe des limitations du contrôle d’accès que vous devez connaître. Par exemple, pour les services installés sur un ordinateur client (tel qu’un client antivirus administré au niveau central) qui ont été déployés de sorte à se connecter avec des informations d’identification de compte de domaine, Firebox donne à tous les utilisateurs des droits d’accès qui sont définis en fonction du premier utilisateur à se connecter (et des groupes dont il est membre), et non en fonction des informations d’identification des différents utilisateurs qui se connectent de façon interactive. De même, tous les messages de journal générés à partir de l’activité de l’utilisateur indiquent le nom d’utilisateur du compte de service, et non celui de l’utilisateur concerné. Guide de l’utilisateur 223 Authentification Note Si vous n’installez pas le client SSO, nous vous recommandons de ne pas utiliser SSO dans des environnements où les utilisateurs se connectent aux ordinateurs via des connexions par service ou par batch. Lorsque plusieurs utilisateurs sont associés à une adresse IP, les autorisations réseau risquent de ne pas fonctionner correctement. Ceci peut constituer un risque pour la sécurité. Avant de commencer n n n n n n n n n Un Active Directory Server doit être configuré sur votre réseau approuvé ou facultatif. Firebox doit être configuré de façon à utiliser l’Active Directory Authentication. Un compte doit être défini pour chaque utilisateur sur l’Active Directory Server. Pour être opérationnel, chaque utilisateur doit se connecter à un compte de domaine Single SignOn (SSO). Si les utilisateurs se connectent à un compte qui n’existe que sur leur ordinateur local, les informations d’identification ne sont pas vérifiées et Firebox ne reconnaît pas ces utilisateurs. Si vous utilisez un pare-feu tiers sur les ordinateurs de votre réseau, vérifiez que le port TCP 445 (réseau Samba/Windows) est ouvert sur chaque client. Vérifiez que l’impression et le partage de fichiers sont activés sur tous les ordinateurs à partir desquels les utilisateurs s’identifient à l’aide de SSO. Vérifiez que les ports NetBIOS et SMB ne sont bloqués sur aucun des ordinateurs à partir desquels les utilisateurs s’authentifient à l’aide de SSO. NetBIOS utilise les ports TCP/UDP 137, 138 et 139. SMB utilise le port TCP 445. Vérifiez que le port 4116 est ouvert sur les ordinateurs clients. Vérifiez que tous les ordinateurs à partir desquels les utilisateurs s’authentifient à l’aide de SSO sont membres du domaine auquel sont associées les relations d’approbation ininterrompues. Configurer SSO Pour utiliser SSO, vous devez installer le logiciel agent SSO. Il est recommandé d’installer également le client SSO sur les ordinateurs des utilisateurs. Bien que vous puissiez utiliser SSO uniquement avec l’agent, vous augmentez votre niveau de sécurité et vos contrôles d’accès en utilisant également le client SSO. Pour configurer SSO, procédez comme suit : 1. Installer l’agent WatchGuard Single Sign-On (SSO). 2. Installez le client WatchGuard Single Sign-On (SSO) (facultatif, mais recommandé). 3. Activer Single Sign-On (SSO). Installer l’agent WatchGuard Single Sign-On (SSO) Pour utiliser Single Sign-On (SSO), vous devez installer l’agent WatchGuard SSO. L’agent SSO est un service qui reçoit des demandes d’authentification Firebox et vérifie l’état de l’utilisateur auprès de l’Active Directory Server. Ce service s’exécute sous le nom WatchGuard Authentication Gateway sur l’ordinateur sur lequel vous installez le logiciel agent SSO. Microsoft .NET Framework 2.0 ou une version ultérieure doit être installé(e) sur cet ordinateur. Note Pour utiliser Single Sign-On avec Firebox, vous devez installer l’agent SSO sur un ordinateur du domaine ayant une adresse IP statique. Nous vous conseillons d’installer l’agent SSO sur votre contrôleur de domaine. 224 WatchGuard System Manager Authentification Télécharger le logiciel agent SSO 1. 2. 3. 4. 5. À l’aide de votre navigateur Web, allez sur http://www.watchguard.com/. Ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity Service. Cliquez sur le lien Software Downloads. Sélectionnez le type de périphérique et le numéro de modèle. Téléchargez le logiciel WatchGuard Authentication Gateway et enregistrez le fichier à l’emplacement de votre choix. Avant l’installation Le service agent SSO doit fonctionner en tant que compte d’utilisateur et non en tant que compte d’administrateur. Nous vous recommandons de créer un compte d’utilisateur à cet effet. Pour que le service agent SSO fonctionne correctement, configurez le compte d’utilisateur avec les propriétés suivantes : n n n n Ajoutez le compte au groupe Admins du domaine. Activez le groupe Admins du domaine comme groupe principal. Autorisez le compte à ouvrir une session en tant que service. Configurez le mot de passe pour qu’il n’expire jamais. Installer le service agent SSO 1. Double-cliquez sur WG-Authentication-Gateway.exe pour démarrer l’Assistant Authentication Gateway Setup Wizard. Vous devrez peut-être taper un mot de passe d’administrateur local pour exécuter le programme d’installation sur certains systèmes d’exploitation. 2. Pour installer le logiciel, suivez les instructions données à chaque page et allez jusqu’au bout de l’Assistant. Pour le nom d’utilisateur du domaine, vous devez entrer le nom d’utilisateur sous la forme : domaine\nomutilisateur . Vous ne devez pas spécifier la partie .com ou .net du nom de domaine. Par exemple, si votre domaine est mywatchguard.com et que vous utilisez le compte de domaine ssoagent, entrez mywatchguard\ssoagent . Vous pouvez utiliser le nom d’utilisateur sous sa forme de nom principal d’utilisateur : nomutilisateur@mywatchguard.com . Si vous utilisez le nom principal d’utilisateur, vous devez alors spécifier la partie .com ou .net du nom de domaine. 3. Cliquez sur Terminer pour fermer l’Assistant. Une fois l’Assistant fermé, le service WatchGuard Authentication Gateway démarre automatiquement. À chaque redémarrage de l’ordinateur, le service démarre automatiquement. Installez le client WatchGuard Single Sign-On (SSO) Vous pouvez installer le client WatchGuard SSO dans le cadre de la solution WatchGuard Single Sign-On (SSO). Le client SSO installe un service Windows qui s’exécute à partir du compte de système local d’une Guide de l’utilisateur 225 Authentification station de travail afin de vérifier les informations d’identification de l’utilisateur actuellement connecté à cet ordinateur. Lorsqu’un utilisateur essaie de s’authentifier, l’agent SSO envoie au client SSO une demande des informations d’identification de l’utilisateur. Le client SSO renvoie les informations concernant l’utilisateur connecté à la station de travail. Il écoute le port 4116. Le programme d’installation du client SSO étant un fichier MSI, vous pouvez décider de l’installer automatiquement sur les ordinateurs des utilisateurs lorsqu’ils se connectent à votre domaine. Utilisez une stratégie de groupe Active Directory pour installer automatiquement le logiciel lorsque les utilisateurs se connectent à votre domaine. Pour en savoir plus sur le déploiement des installations de logiciel pour les objets de stratégie de groupe Active Directory, voir la documentation de votre système d’exploitation. Télécharger le logiciel client SSO 1. 2. 3. 4. 5. À l’aide de votre navigateur, allez sur http://www.watchguard.com/. Ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity Service. Cliquez sur le lien Software Downloads. Sélectionnez le type de périphérique et le numéro de modèle. Téléchargez le logiciel WatchGuard Authentication Client et enregistrez le fichier à l’emplacement de votre choix. Installer le service client SSO 1. Double-cliquez sur WG-Authentication-Client.msi pour lancer l’Assistant Authentication Client Setup Wizard. Vous devrez peut-être taper un mot de passe d’administrateur local pour exécuter le programme d’installation sur certains systèmes d’exploitation. 2. Pour installer le logiciel, suivez les instructions données à chaque page et allez jusqu’au bout de l’Assistant. Pour voir quels sont les lecteurs disponibles pour l’installation du client et la quantité d’espace disponible sur chacun d’eux, cliquez sur Espace requis. 3. Cliquez sur Fermer pour quitter l’Assistant. Le service WatchGuard Authentication Client démarre automatiquement une fois l’Assistant terminé et démarre chaque fois que l’ordinateur redémarre. Activer Single Sign-On (SSO) Avant de pouvoir configurer SSO, il faut : n n n Configurer l’Active Directory Server Installer l’agent WatchGuard Single Sign-On (SSO) Installez le client WatchGuard Single Sign-On (SSO) (facultatif) Activer et configurer SSO Pour activer et configurer SSO depuis Fireware XTM Web UI: 226 WatchGuard System Manager Authentification 1. Sélectionnez Authentification > Single Sign-On. La page Authentification Single Sign-On s’affiche. 2. Activez la case à cocher Activer Single Sign-On (SSO) avec Active Directory. 3. Dans la zone de texte Adresse IP de l’agent SSO , entrez l’adresse IP de votre agent SSO. 4. Dans la zone de texte Mettre les données en cache pendant , entrez ou sélectionnez la durée pendant laquelle l’agent SSO met en cache les données. 5. Dans la liste Exceptions SSO , ajoutez ou retirez les adresses IP d’hôtes pour lesquelles le périphérique ne doit pas envoyer de requêtes SSO. Pour en savoir plus sur les exceptions SSO, voir la section suivante. 6. Cliquez sur Enregistrer pour enregistrer vos modifications. Définir les exceptions SSO Si votre réseau comporte des périphériques dont il n'est pas nécessaire d'authentifier les adresses IP, tels que des serveurs de réseau, des serveurs d’impression ou des ordinateurs qui ne font pas partie du domaine, il est recommandé d’ajouter leur adresse IP à la liste des exceptions SSO. Chaque fois qu’une connexion est établie à partir de l’un de ces périphériques et que l’adresse IP du périphérique ne figure pas dans la liste des exceptions, Firebox contacte l’agent SSO pour tenter d’associer l’adresse IP à un nom d’utilisateur. Cette opération prend environ 10 secondes. La liste des exceptions permet d’éviter ce délai à chaque connexion et de réduire le trafic réseau inutile. Guide de l’utilisateur 227 Authentification Types de serveurs d’authentification Le système d’exploitation Fireware XTM reconnaît six méthodes d’authentification : n n n n n n Configurer Firebox en tant que serveur d’authentification Configurer l’authentification sur le serveur RADIUS Configurer les Authentification sur le serveur VASCO Configurer l’authentification SecurID Configurer l’authentification LDAP Configurer l’Active Directory Authentication Vous pouvez configurer un ou plusieurs types de serveurs d’authentification pour un périphérique WatchGuard. Si vous utilisez plusieurs types de serveurs d’authentification, les utilisateurs doivent sélectionner un type de serveur d’authentification dans la liste déroulante lorsqu’ils s’authentifient. À propos de l’utilisation de serveurs d’authentification tierce Si vous utilisez un serveur d’authentification tierce, il n’est pas nécessaire de conserver une base de données d’utilisateurs séparée sur le périphérique WatchGuard. Vous pouvez configurer un serveur tiers, installer le serveur d’authentification ayant accès au périphérique et placer le serveur derrière le périphérique par sécurité. Ensuite, configurez le périphérique pour transférer les demandes d’authentification des utilisateurs à ce serveur. Si vous créez sur le périphérique un groupe d’utilisateurs qui s’authentifie auprès d’un serveur tiers, assurez-vous de créer sur le serveur un groupe qui a le même nom que le groupe d’utilisateurs sur le périphérique. Pour configurer un périphérique WatchGuard pour des serveurs d’authentification tiers, voir : n n n n n Configurer l’authentification sur le serveur RADIUS Configurer les Authentification sur le serveur VASCO Configurer l’authentification SecurID Configurer l’authentification LDAP Configurer l’Active Directory Authentication Utiliser un serveur d’authentification de sauvegarde Vous pouvez configurer un serveur d’authentification principal et un serveur d’authentification de sauvegarde quel que soit le type d’authentification tierce. Si le périphérique WatchGuard ne parvient pas à se connecter au serveur d’authentification principal après trois tentatives, le serveur principal est marqué comme inactif et un message d’alarme est généré. Le périphérique se connecte alors au serveur d’authentification de sauvegarde. Si le périphérique ne parvient pas à se connecter au serveur d’authentification de sauvegarde, il essaie à nouveau de se connecter au serveur d’authentification principal après dix minutes. Une fois le délai d’inactivité écoulé, le serveur inactif est marqué comme actif. 228 WatchGuard System Manager Authentification Configurer Firebox en tant que serveur d’authentification Si vous n’utilisez pas de serveur d’authentification tierce, vous pouvez utiliser Firebox en tant que serveur d’authentification. Cette procédure divise votre société en groupes et utilisateurs pour l’authentification. Lorsque vous attribuez des utilisateurs à des groupes, assurez-vous de les associer par leurs tâches et par les informations qu’ils utilisent. Par exemple, vous pouvez disposer d’un groupe de comptabilité, de marketing, ainsi que d’un groupe de recherche et développement. Vous pouvez également avoir un groupe de nouveaux employés doté d’un accès contrôlé à Internet. Quand vous créez un groupe, vous définissez la procédure d’authentification des utilisateurs, le type de système et les informations auxquelles ils ont accès. Un utilisateur peut être un réseau ou un ordinateur. Si votre société change, vous pouvez ajouter ou supprimer des utilisateurs de vos groupes. Le serveur d’authentification Firebox est activé par défaut. Aucune action n’est requise pour l’activer avant d’ajouter des utilisateurs et des groupes. Types d’authentification Firebox Vous pouvez configurer Firebox afin d’authentifier des utilisateurs pour quatre types différents d’authentification : n n n n Pare-feu authentification Connexions Mobile VPN with PPTP Configurer Firebox pour Mobile VPN with IPSec Connexions Mobile VPN with SSL Lorsque l’authentification aboutit, Firebox relie les éléments suivants : n n n n Nom d’utilisateur Groupe(s) d’utilisateurs Firebox dont fait partie l’utilisateur Adresse IP de l’ordinateur utilisé pour s’authentifier Adresse IP virtuelle de l’ordinateur utilisé pour se connecter à Mobile VPN Pare-feu authentification Vous créez des comptes d’utilisateur et des groupes pour permettre à vos utilisateurs de s’authentifier. Lorsqu’un utilisateur s’authentifie sur Firebox, les informations d’identification de l’utilisateur et l’adresse IP de son ordinateur sont utilisées pour vérifier si une stratégie s’applique au trafic en provenance ou à destination de cet ordinateur. Pour créer un compte d’utilisateur sur Firebox : 1. Définir un nouvel utilisateur pour l’authentification sur Firebox. 2. Définir un nouveau groupe d’authentification sur Firebox et mettez le nouvel utilisateur dans ce groupe. Guide de l’utilisateur 229 Authentification 3. Créez une stratégie qui autorise le trafic uniquement à destination ou en provenance d’une liste de noms d’utilisateurs ou de groupes de Firebox. Cette stratégie s’applique uniquement si un paquet provient de ou est destiné à l’adresse IP de l’utilisateur authentifié. Pour s’authentifier à partir d’une connexion HTTPS à Firebox via le port 4100 : 1. À l’aide de votre navigateur, accédez à : https://<IP address of a Firebox interface>:4100/ 2. Entrez les Nom d’utilisateur et Mot de passe. 3. Sélectionnez le Domaine dans la liste déroulante. Ce champ apparaît uniquement si vous avez le choix entre plusieurs domaines. 4. Cliquez sur Connexion. Si les informations d’identification sont valides, l’utilisateur est authentifié. Connexions Mobile VPN with PPTP Lorsque Firebox est activé avec une connexion Mobile VPN with PPTP, les utilisateurs inclus dans le groupe Mobile VPN with PPTP peuvent utiliser la fonctionnalité PPTP intégrée à leur système d’exploitation pour établir une connexion PPTP au périphérique. Étant donné que Firebox autorise la connexion PPTP de n’importe quel utilisateur de Firebox qui fournit des informations d’identification correctes, il est important que vous élaboriez une stratégie pour les sessions PPTP qui inclut uniquement les utilisateurs que vous voulez autoriser à envoyer du trafic via PPTP. Vous pouvez aussi ajouter un groupe ou un utilisateur à une stratégie qui limite l’accès aux ressources derrière Firebox. Firebox crée un groupe prédéfini appelé Utilisateurs PPTP à cette fin. Pour configurer une connexion Mobile VPN with PPTP : 1. Dans Fireware XTM Web UI, sélectionnez VPN > Mobile VPN with PPTP. 2. Activez la case à cocher Activer Mobile VPN with PPTP. 3. Assurez-vous que la case à cocher Utiliser l’authentification RADIUS pour authentifier les utilisateurs Mobile VPN with PPTP est désactivée. Si cette case est activée, le serveur d’authentification RADIUS authentifie la session PPTP. Quand vous désactivez cette case, c’est Firebox qui authentifie la session PPTP. Firebox vérifie que le nom d’utilisateur et le mot de passe entrés par l’utilisateur dans la boîte de dialogue de la connexion VPN correspondent dans la base de données des utilisateurs de Firebox aux informations d’identification d’un membre du groupe des utilisateurs PPTP. Si les informations d’identification fournies correspondent à un compte de la base de données des utilisateurs de Firebox, l’utilisateur est authentifié pour une session PPTP. 4. Créez une stratégie qui autorise le trafic uniquement à destination ou en provenance d’une liste de noms d’utilisateurs ou de groupes de Firebox. Firebox ne consulte pas cette stratégie, sauf si le trafic provient ou est à destination de l’adresse IP de l’utilisateur authentifié. 230 WatchGuard System Manager Authentification Connexions Mobile VPN with IPSec Quand vous configurez votre périphérique WatchGuard pour héberger des sessions Mobile VPN with IPSec, commencez par créer des stratégies sur le périphérique, puis utilisez le client Mobile VPN with IPSec pour autoriser les utilisateurs à accéder au réseau. Une fois le périphérique WatchGuard configuré, chaque ordinateur client doit être configuré avec un logiciel client Mobile VPN with IPSec. Lorsque l’ordinateur de l’utilisateur est correctement configuré, celui-ci établit la connexion Mobile VPN. Si les informations d’identification utilisées pour l’authentification correspondent à une entrée de la base de données des utilisateurs de Firebox et si l’utilisateur fait partie d’un groupe Mobile VPN que vous avez créé, la session Mobile VPN est authentifiée. Pour configurer l’authentification à Mobile VPN with IPSec : 1. Configurer une connexion Mobile VPN with IPSec. 2. Installer le logiciel client Mobile VPN with IPSec. Connexions Mobile VPN with SSL Vous pouvez configurer Firebox pour héberger des sessions Mobile VPN with SSL. Lorsque Firebox est configuré avec une connexion Mobile VPN with SSL, les utilisateurs inclus dans le groupe Mobile VPN with SSL peuvent installer et utiliser le client Mobile VPN with SSL pour établir une connexion SSL. Étant donné que Firebox autorise la connexion SSL de n’importe quel utilisateur de Firebox qui fournit des informations d’identification correctes, il est important que vous élaboriez une stratégie pour les sessions SSL VPN qui inclut uniquement les utilisateurs que vous voulez autoriser à envoyer du trafic via VPN SSL. Vous pouvez également ajouter ces utilisateurs à un groupe d’utilisateurs de Firebox et élaborer une stratégie qui autorise le trafic provenant uniquement de ce groupe. Firebox crée un groupe prédéfini appelé Utilisateurs SSLVPN à cette fin. Pour configurer une connexion Mobile VPN with SSL : 1. Dans l’interface utilisateur Web Fireware XTM, sélectionnez> VPN Mobile VPN with SSL. La page Configuration de Mobile VPN with SSL s’ouvre. 2. Configurer le périphérique Firebox ou XTM pour Mobile VPN with SSL. Définir un nouvel utilisateur pour l’authentification sur Firebox 1. Dans l’interface Web Fireware XTM, sélectionnez Authentification > Serveurs. La page Serveurs d’authentification s’affiche. 2. Dans l’onglet Firebox des Serveurs d’authentification page, cliquez sur Ajouter sous la liste Utilisateurs. La boîte de dialogue Configuration d’utilisateur Firebox s’affiche. Guide de l’utilisateur 231 Authentification 3. Entrez le nom et (facultatif) une description du nouvel utilisateur. 4. Entrez et confirmez le mot de passe que la personne devra utiliser pour s’authentifier. Note Quand vous tapez ce mot de passe, les caractères sont masqués et ils n’apparaissent plus en texte simple. Si vous oubliez le mot de passe, vous devez en définir un nouveau. 5. Dans le champ Délai d’expiration de la session, définissez la durée maximale durant laquelle l’utilisateur peut envoyer du trafic au réseau externe. Le paramètre minimal pour ce champ est une (1) seconde, minute, heure ou jour. La valeur maximale est 365 jours. 6. Dans le champ Délai d’inactivité, définissez la durée durant laquelle l’utilisateur peut rester authentifié tout en étant inactif (pas d’envoi de trafic au réseau externe). Le paramètre minimal pour ce champ est une (1) seconde, minute, heure ou jour. La valeur maximale est 365 jours. 7. Pour ajouter un utilisateur à un groupe d’authentification Firebox, sélectionnez le nom de l’utilisateur dans la liste Disponible. 8. Cliquez sur pour déplacer le nom dans la liste Membre. Vous pouvez également double-cliquer sur le nom d’utilisateur dans la liste Disponible. L’utilisateur est ajouté à la liste des utilisateurs. Vous pouvez alors ajouter d’autres utilisateurs. 9. Pour fermer la boîte de dialogue Configuration d’utilisateur Firebox, cliquez sur OK. L’onglet Utilisateurs de Firebox s’affiche avec une liste des nouveaux utilisateurs. 232 WatchGuard System Manager Authentification Définir un nouveau groupe d’authentification sur Firebox 1. Dans l’interface Web Fireware XTM, sélectionnez Authentification > Serveurs. La page Serveurs d’authentification s’affiche. 2. Sélectionnez l’onglet Firebox. 3. Cliquez sur Ajouter en dessous de la liste d’utilisateurs. La boîte de dialogue Configuration de groupe Firebox s’affiche. 4. Tapez le nom du groupe. 5. (Facultatif) Entrez une description du groupe. 6. Pour ajouter un utilisateur au groupe, sélectionnez le nom de l’utilisateur dans la liste Disponible. Cliquez sur pour déplacer le nom dans la liste Membre. Vous pouvez aussi double-cliquer sur le nom d’utilisateur dans la liste Disponible. 7. Après avoir ajouté tous les utilisateurs nécessaires au groupe, cliquez sur OK. Vous pouvez à présent configurer les stratégies et l’authentification de ces utilisateurs et groupes, selon la procédure décrite à la section Utiliser les utilisateurs et groupes autorisés dans les stratégies à la page 254. Configurer l’authentification sur le serveur RADIUS Le service RADIUS (Remote Authentication Dial-In User Service) permet d’authentifier les utilisateurs locaux et distants sur un réseau d’entreprise. Il s’agit d’un système client/serveur qui regroupe dans une base de données centrale les informations relatives à l’authentification des utilisateurs, des serveurs d’accès distants, des passerelles VPN et autres ressources. Pour plus d'informations sur l'authentification sur RADIUS , voir Fonctionnement de l’authentification sur le serveur RADIUS à la page 236. Guide de l’utilisateur 233 Authentification Clé d’authentification Les messages d’authentification en provenance et à destination du serveur RADIUS utilisent toujours une clé d’authentification, et non un mot de passe. Ainsi, cette clé d’authentification, ou secret partagé doit être identique sur le client et sur le serveur RADIUS. Sans cette clé, il n’y a aucune communication entre le client et le serveur. Méthodes d’authentification sur RADIUS Pour les authentifications sur le Web et les authentifications Mobile VPN with IPSec ou Mobile VPN with SSL, RADIUS prend en charge uniquement l’authentification PAP. Pour les authentifications sur PPTP, RADIUS prend en charge uniquement MSCHAPv2 (Microsoft ChallengeHandshake Authentication Protocol version 2). Avant de commencer Avant de configurer le périphérique WatchGuard pour utiliser votre serveur d’authentification RADIUS, vous devez disposer des informations suivantes : n n n n Serveur RADIUS principal – adresse IP et port RADIUS Serveur RADIUS secondaire (facultatif) – adresse IP et port RADIUS Secret partagé – Mot de passe qui respecte la casse, identique sur le périphérique WatchGuard et le serveur RADIUS Méthodes d’authentification – Configurez votre serveur RADIUS pour qu’il autorise la méthode d’authentification utilisée par le périphérique WatchGuard : PAP ou MSCHAP v2 Utiliser le serveur d’authentification RADIUS avec le périphérique WatchGuard Pour utiliser le serveur d’authentification RADIUS avec le périphérique WatchGuard, il faut : n n n Ajouter l’adresse IP du périphérique WatchGuard sur le serveur RADIUS selon la procédure décrite dans la documentation remise par votre fournisseur RADIUS. Activer et spécifier le serveur RADIUS dans la configuration du périphérique WatchGuard. Ajouter les noms d’utilisateurs ou les noms de groupes RADIUS à vos stratégies. Pour activer et spécifier le ou les serveurs RADIUS dans la configuration : Dans Fireware XTM Web UI : 1. Sélectionnez Authentification > Serveurs. La page Serveurs d’authentification s’affiche. 2. Cliquez sur l’onglet Serveur RADIUS. 234 WatchGuard System Manager Authentification 3. Pour activer le serveur RADIUS et les champs de cette boîte de dialogue, sélectionnez la case à cocher Activer le Serveur RADIUS. 4. Dans la zone de texte Adresse IP, entrez l’adresse IP du serveur RADIUS. 5. Dans le champ Port, vérifiez que le numéro de port utilisé par RADIUS pour l’authentification apparaît. La valeur par défaut est 1812. Les serveurs RADIUS plus anciens peuvent utiliser le port 1645. 6. Dans la Mot de passe secret , entrez le secret partagé entre le périphérique WatchGuard et le serveur RADIUS. Le secret partagé respecte la casse et il doit être identique sur le périphérique et sur le serveur. 7. Dans la zone de texte Confirmation dumot de passe, entrez à nouveau le secret partagé. 8. Entrez ou sélectionnez la valeur de délai d’attente. La valeur du délai d’attente correspond à la durée pendant laquelle le périphérique WatchGuard attend une réponse du serveur d’authentification avant de réessayer de se connecter. 9. Dans la zone de texte Tentatives de connexion, entrez ou sélectionnez le nombre de tentatives de connexion du périphérique WatchGuard auprès du serveur d’authentification (en fonction du délai spécifié ci-dessus) avant qu’il ne signale un échec de tentative d’authentification. 10. Dans la zone de texte Attribut de groupe, entrez ou sélectionnez la valeur d’un attribut. L’attribut de groupe par défaut est FilterID, qui est l’attribut RADIUS numéro 11. La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations relatives au groupe d’utilisateurs. Vous devez configurer le serveur RADIUS pour qu’il intègre la chaîne FilterID dans le message d’authentification des utilisateurs qu’il envoie au périphérique WatchGuard. Par exemple, GroupeIngénieurs ou GroupeFinances. Ces informations sont alors utilisées pour le contrôle d’accès. Le périphérique WatchGuard fait correspondre la chaîne FilterID au nom de groupe configuré dans ses stratégies. Guide de l’utilisateur 235 Authentification 11. Dans la zone de texte Délai d’inactivité , entrez ou sélectionnez le délai au bout duquel un serveur inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante pour modifier la durée. Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il n’est pas défini comme de nouveau actif. 12. Pour ajouter un serveur RADIUS de sauvegarde, sélectionnez l’onglet Paramètres du serveur secondaire et sélectionnez .Activer un serveur RADIUS secondaire . 13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le secret partagé est le même sur le serveur RADIUS de sauvegarde et sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 228. 14. Cliquez sur Enregistrer. Fonctionnement de l’authentification sur le serveur RADIUS RADIUS est un protocole initialement conçu pour authentifier les utilisateurs distants d’un serveur avec accès par modem. Il sert aujourd’hui dans un large éventail de scénarios d’authentification. RADIUS est un protocole client-serveur dont Firebox est le client et le serveur RADIUS le serveur. (On appelle parfois Serveur d’accès au réseau ou NAS le client RADIUS.) Lorsqu’un utilisateur essaie de s’authentifier, Firebox envoie un message au serveur RADIUS. Si celui-ci est correctement configuré avec Firebox pour client, RADIUS renvoie un message d’autorisation ou de refus à Firebox (le serveur d’accès au réseau). Quand Firebox utilise RADIUS pour une tentative d’authentification : 1. L’utilisateur essaie de s’authentifier, soit par une connexion HTTPS du navigateur à Firebox via le port 4100, soit par le biais d’une connexion utilisant Mobile VPN with PPTP ou Mobile VPN with IPSec. Firebox lit le nom d’utilisateur et le mot de passe. 2. Firebox crée un message appelé message de demande d’accès et l’envoie au serveur RADIUS. Firebox utilise le secret partagé de RADIUS dans le message. Le mot de passe est toujours chiffré dans le message de demande d’accès. 3. Le serveur RADIUS s’assure que la demande d’accès provient d’un client reconnu (Firebox). Si le serveur RADIUS n’est pas configuré pour accepter Firebox comme client, il ignore le message de demande d’accès et ne répond pas. 4. Si Firebox est un client reconnu par le serveur RADIUS et que le secret partagé est correct, le serveur étudie la méthode d’authentification demandée dans le message. 5. Sila demande d’accès utilise une méthode d’authentification autorisée,le serveur RADIUS trouve les informationsd’identification dansle message et recherche une correspondance dans labase de donnéesdes utilisateurs.Si le nom d’utilisateur et le mot de passe correspondentà une entrée de la base de données, le serveur peutobtenir desinformations supplémentairessur l’utilisateur dans labase de données(autorisation d’accèsdistant, appartenance à desgroupes, heuresde connexion,etc.). 6. Le serveur RADIUS vérifie si sa configuration comporte une stratégie d’accès ou un profil correspondant à toutes les informations dont il dispose sur l’utilisateur. Si cette stratégie existe, le serveur envoie une réponse. 7. S’il manque une seule condition, ou si le serveur ne trouve pas de stratégie correspondante, il envoie un message de refus d’accès indiquant l’échec de l’authentification. La transaction avec RADIUS s’achève et l’accès est refusé à l’utilisateur. 236 WatchGuard System Manager Authentification 8. Si le message de demande d’accès répond à toutes les conditions précitées, RADIUS envoie un message d’autorisation d’accès à Firebox. 9. Le serveur RADIUS utilise le secret partagé à chaque réponse qu’il envoie. Si le secret partagé ne correspond pas, Firebox rejette la réponse de RADIUS. 10. Firebox lit la valeur de l’attribut FilterID du message. Il connecte le nom d’utilisateur ayant cet attribut FilterID pour mettre l’utilisateur dans un groupe RADIUS. 11. Le serveur RADIUS peut inclure une grande quantité d’informations supplémentaires dans le message d’autorisation d’accès. Firebox ignore la plupart de ces informations, comme les protocoles que l’utilisateur est autorisé à utiliser (PPP ou SLIP, par exemple), les ports auxquels il peut accéder, les délais d’inactivité et d’autres attributs. 12. Le seul attribut qui intéresse Firebox dans l’autorisation d’accès, c’est l’attribut FilterID (attribut RADIUS numéro 11). FilterID est une chaîne de texte que vous configurez pour que le serveur RADIUS l’intègre dans le message d’autorisation d’accès. Firebox a besoin de cet attribut pour associer l’utilisateur à un groupe RADIUS. Pour plus d’informations sur les groupes RADIUS, voir la section suivante. À propos des groupes RADIUS Lorsque vous configurez l’authentification sur RADIUS, vous pouvez définir le numéro d’attribut de groupe. Fireware XTM lit ce numéro dans Fireware XTM Web UI pour déterminer l’attribut RADIUS qui contient les informations de groupe. Fireware XTM reconnaît uniquement l’attribut RADIUS numéro 11, FilterID, en tant qu’attribut de groupe. Lorsque vous configurez le serveur RADIUS, ne modifiez pas la valeur par défaut du numéro d’attribut de groupe, 11. Lorsque Firebox reçoit de RADIUS le message d’autorisation d’accès, il lit la valeur de l’attribut FilterID et utilise cette valeur pour associer l’utilisateur à un groupe RADIUS. (Vous devez configurer manuellement FilterID dans votre configuration RADIUS.) Ainsi, la valeur de l’attribut FilterID est le nom du groupe RADIUS dans lequel Firebox place l’utilisateur. Les groupes RADIUS que vous utilisez dans Fireware XTM Web UI sont différents des groupes Windows définis dans votre contrôleur de domaine, ou de tous les groupes pouvant exister dans votre base de données des utilisateurs du domaine. Un groupe RADIUS est uniquement un groupe d’utilisateurs logique que Firebox utilise. Assurez-vous de bien sélectionner la chaîne de texte FilterID. Vous pouvez faire en sorte que la valeur de FilterID corresponde au nom d’un groupe local ou d’un groupe de domaine de votre organisation, mais ce n’est pas indispensable. Nous vous recommandons d’utiliser un nom représentatif qui vous permette de vous rappeler comment vous avez défini les groupes d’utilisateurs. Utilisation pratique des groupes RADIUS Si votre organisation comporte beaucoup d’utilisateurs à authentifier, vous pouvez simplifier la gestion de vos stratégies Firebox en configurant RADIUS pour qu’il envoie la même valeur FilterID pour un grand nombre d’utilisateurs. Firebox rassemble ces utilisateurs dans un même groupe logique afin que vous puissiez administrer facilement l’accès des utilisateurs. Lorsque vous établissez une stratégie dans Fireware XTM Web UI qui autorise uniquement les utilisateurs authentifiés à accéder à une ressource du réseau, utilisez le nom de groupe RADIUS au lieu d’ajouter une liste de plusieurs utilisateurs. Guide de l’utilisateur 237 Authentification Par exemple, quand Marie s’authentifie, la chaîne FilterID qu’envoie RADIUS est Ventes. Firebox met donc Marie dans le groupe RADIUS Ventesaussi longtemps qu’elle reste authentifiée. Si Jean et Alice s’authentifient par la suite, et que RADIUS donne la même valeur Ventes à FilterID dans les messages d’autorisation d’accès de Jean et d’Alice, alors Marie, Jean et Alice font tous partie du groupe Ventes. Vous pouvez établir une stratégie dans l’interface Web Fireware XTM qui permet au groupe Ventes d’accéder à une ressource. Vous pouvez configurer RADIUS pour qu’il renvoie une autre valeur de FilterID, par exemple Support informatique, pour les membres de votre organisation de support interne. Vous pouvez ensuite établir une autre stratégie qui permet aux utilisateurs du Support informatique d’accéder à des ressources. Par exemple, vous pouvez autoriser le groupe Ventes à accéder à Internet via une stratégie HTTP filtrée. Ensuite, vous pouvez filtrer leur accès au Web avec WebBlocker. Une autre stratégie de Policy Manager peut autoriser les utilisateurs du Support informatique à accéder à Internet via une stratégie HTTP non filtrée, afin qu’ils puissent accéder au Web sans le filtrage de WebBlocker. Utilisez le nom de groupe RADIUS (ou les noms des utilisateurs) dans le champ De d’une stratégie pour indiquer le groupe (ou les utilisateurs) qui peut (peuvent) utiliser cette stratégie. Valeurs des délais d’attente et des tentatives de connexion Il y a échec de l’authentification quand aucune réponse n’arrive du serveur RADIUS principal. Au bout de trois échecs d’authentification, Fireware XTM utilise le serveur RADIUS secondaire. Ce processus s’appelle le basculement. Note Le nombre de tentatives d’authentification est différent du nombre de tentatives de connexion. Vous ne pouvez pas modifier le nombre de tentatives d’authentification avant le basculement. Firebox envoie un message de demande d’accès au premier serveur RADIUS de la liste. En l’absence de réponse, Firebox attend le nombre de secondes défini dans la zone Délai d’attente, puis envoie une nouvelle demande d’accès. Cela se répète autant de fois qu’indiqué dans la zone Tentative de connexion (ou jusqu’à ce qu’il y ait une réponse valide). Si aucune réponse valide n’arrive du serveur RADIUS, ou si le secret partagé de RADIUS ne correspond pas, Fireware XTM compte cela comme un échec de tentative d’authentification. Au bout de trois échecs d’authentification, Fireware XTM utilise le serveur RADIUS secondaire pour une nouvelle tentative d’authentification. Si les tentatives sur le serveur secondaire aboutissent à trois échecs d’authentification, Fireware XTM attend dix minutes, le temps qu’un administrateur corrige le problème. Au bout de dix minutes, Fireware XTM essaie de nouveau d’utiliser le premier serveur RADIUS. Configurer les Authentification sur le serveur VASCO L’authentification sur le serveur VASCO fait appel au logiciel middleware VACMAN pour authentifier les utilisateurs distants d’un réseau d’entreprise via un environnement de serveur RADIUS ou de serveur Web. VASCO prend également en charge les environnements comprenant plusieurs serveurs d’authentification. Le système de jetons à mot de passe à usage unique de VASCO vous permet d’éliminer le maillon faible de votre infrastructure de sécurité : les mots de passe statiques. 238 WatchGuard System Manager Authentification Pour utiliser le serveur d’authentification VASCO avec le périphérique WatchGuard, il faut : n n n Ajouter l’adresse IP du périphérique WatchGuard au VACMAN Middleware Server selon la procédure décrite dans la documentation remise par votre fournisseur VASCO. Activer et spécifier le VACMAN Middleware Server dans la configuration du périphérique WatchGuard. Ajouter des noms d’utilisateurs ou des noms de groupes dans les stratégies de Policy Manager. Les paramètres du serveur RADIUS permettent de configurer l’authentification sur un serveur VASCO. La boîte de dialogue Serveurs d’authentification ne contient pas d’onglet distinct pour les VACMAN Middleware Servers. Dans Fireware XTM Web UI : 1. Sélectionnez Authentification > Serveurs. La page Serveurs d’authentification s’affiche. 2. Cliquez sur l’onglet RADIUS. 3. Pour activer le VACMAN Middleware Server et les champs de cette boîte de dialogue, sélectionnez la case à cocher Activer le Serveur RADIUS. 4. Dans la zone de texte Adresse IP, entrez l’adresse IP du VACMAN Middleware Server. 5. Dans la zone de texte Port, vérifiez que le numéro de port utilisé par VASCO pour l’authentification apparaît. La valeur par défaut est 1812. 6. Dans la zone de texte Mot de passe , entrez le secret partagé entre le périphérique WatchGuard et le VACMAN Middleware Server. Le secret partagé respecte la casse et il doit être identique sur le périphérique et sur le serveur. Guide de l’utilisateur 239 Authentification 7. Dans la zone de texte Confirmation du, confirmez le secret partagé. 8. Dans la zone de texte Délai d’attente, entrez ou sélectionnez la durée pendant laquelle le périphérique WatchGuard attend une réponse du serveur d’authentification avant de réessayer de se connecter. 9. Dans la zone de texte Tentatives de connexion , entrez ou sélectionnez le nombre de tentatives de connexion du périphérique WatchGuard auprès du serveur d’authentification avant qu’il ne signale un échec de tentative d’authentification. 10. Entrez ou sélectionnez la valeur de l’Attribut de groupe. L’attribut de groupe par défaut est FilterID, qui est l’attribut VASCO numéro 11. La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations relatives au groupe d’utilisateurs. Vous devez configurer le serveur VASCO pour qu’il intègre la chaîne FilterID dans le message d’authentification des utilisateurs qu’il envoie au périphérique WatchGuard. Par exemple, GroupeIngénieurs ou GroupeFinances. Ces informations sont alors utilisées pour le contrôle d’accès. Le périphérique WatchGuard fait correspondre la chaîne FilterID au nom de groupe configuré dans ses stratégies. 11. Dans la zone de texte Délai d’inactivité , entrez ou sélectionnez le délai au bout duquel un serveur inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante pour modifier la durée. Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il n’est pas défini comme de nouveau actif. 12. Pour ajouter un VACMAN Middleware Server de sauvegarde, sélectionnez l’onglet Paramètres du serveur secondaire et activez la case à cocher Activer un serveur RADIUS secondaire . 13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le secret partagé est le même sur le VACMAN Middleware Server secondaire et sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 228. 14. Cliquez sur Enregistrer. Configurer l’authentification SecurID Pour utiliser l’authentification SecurID, vous devez configurer correctement les serveurs RADIUS, VASCO et ACE/Server. Les utilisateurs doivent également disposer d’un jeton SecurID approuvé et d’un code confidentiel. Pour plus d’informations, reportez-vous à la documentation relative à RSA SecurID. Dans Fireware XTM Web UI : 1. Sélectionnez Authentification > Serveurs. La page Serveurs d’authentification s’affiche. 2. Cliquez sur l’onglet SecurID. 240 WatchGuard System Manager Authentification 3. Cochez Activer SecurID Serveur pour activer le serveur SecurID et les champs de cette boîte de dialogue. 4. Dans la zone de texte Adresse IP, entrez l’adresse IP du serveur SecurID. 5. Cliquez sur les flèches haut et bas du champ Port pour définir le numéro de port à utiliser pour l’authentification sur SecurID. La valeur par défaut est 1812. 6. Dans la Mot de passe , entrez le secret partagé entre le périphérique WatchGuard et le serveur SecurID. Le secret partagé respecte la casse et il doit être identique sur le périphérique et sur le serveur. 7. Dans la zone de texte Confirmer , confirmez le secret partagé. 8. Dans la zone de texte Délai d’attente, entrez ou sélectionnez la durée pendant laquelle le périphérique WatchGuard attend une réponse du serveur d’authentification avant de réessayer de se connecter. 9. Dans la Nouvelles tentatives , entrez ou sélectionnez le nombre de tentatives de connexion du périphérique WatchGuard auprès du serveur d’authentification avant qu’il ne signale un échec de tentative d’authentification. 10. Dans la zone de texte Attribut de groupe , entrez ou sélectionnez la valeur d’un attribut. Nous vous recommandons de ne pas modifier cette valeur. Guide de l’utilisateur 241 Authentification La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations relatives au groupe d’utilisateurs. Lorsque le serveur SecurID envoie au périphérique WatchGuard le message qu’un utilisateur est authentifié, il envoie également une chaîne de groupe d’utilisateurs. Par exemple, GroupeIngénieurs ou GroupeFinances. Ces informations sont alors utilisées pour le contrôle d’accès. 11. Dans la zone de texte Délai d’inactivité , entrez ou sélectionnez le délai au bout duquel un serveur inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante contiguë pour modifier la durée. Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il n’est pas marqué comme de nouveau actif une fois le délai d’inactivité écoulé. 12. Pour ajouter un serveur SecurID de sauvegarde, sélectionnez l’onglet Paramètres du serveur de sauvegarde et sélectionnez Activer un serveur SecurID secondaire.Serveur . 13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le secret partagé est le même sur le serveur SecurID de sauvegarde et sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 228. 14. Cliquez sur OK.Enregistrer. Configurer l’authentification LDAP Vous pouvez utiliser un serveur d’authentification LDAP (Lightweight Directory Access Protocol) pour authentifier vos utilisateurs sur le périphérique WatchGuard. LDAP est un protocole standard ouvert pour utiliser les services d’annuaire en ligne. Il fonctionne avec des protocoles de transport Internet, tels que TCP. Avant de configurer le périphérique WatchGuard pour une authentification LDAP, assurez-vous de consulter la documentation de votre fournisseur de protocole LDAP pour vérifier que votre installation prend en charge l’attribut memberOf (« membre de »), ou équivalent. Dans Fireware XTM Web UI : 1. Sélectionnez Authentification > Serveurs. La page Serveurs d’authentification s’affiche. 2. Cliquez sur l’onglet LDAP . 242 WatchGuard System Manager Authentification 3. Cochez la case Activer LDAPServeur pour activer le serveur LDAP et les champs de cette boîte de dialogue. 4. Dans la zone de texte Adresse IP, entrez l’adresse IP du serveur LDAP principal que le périphérique WatchGuard doit contacter avec des requêtes d’authentification. Le serveur LDAP peut être placé dans n’importe quelle interface de périphérique WatchGuard. Vous pouvez aussi configurer votre périphérique pour qu’il utilise un serveur LDAP sur réseau distant via un tunnel VPN. 5. Dans la zone de texte Port, sélectionnez le numéro de port TCP que le périphérique WatchGuard doit utiliser pour se connecter au serveur LDAP. Le numéro de port par défaut est 389. LDAP n’est pas pris en charge sur TLS. 6. Dans la zone de texte Base de recherche , entrez les paramètres de la base de recherche. Le format standard est le suivant : ou=unité d’organisation,dc=première partie du nom unique du serveur,dc=une partie du nom unique du serveur qui apparaît après le point. Définissez une base de recherche pour appliquer des limites aux répertoires du serveur d’authentification que le périphérique WatchGuard explore pour établir une correspondance d’authentification. Si, par exemple, vos comptes d’utilisateur sont dans une unité d’organisation que vous nommez comptes et si votre nom de domaine est exemple.com, votre base de recherche est : ou=comptes,dc=exemple,dc=com 7. Dans la zone de texte Chaîne de groupe , entrez l’attribut de la chaîne de groupe. Guide de l’utilisateur 243 Authentification Cette chaîne d’attributs conserve des informations sur le groupe d’utilisateurs sur le serveur LDAP. Sur beaucoup de serveurs LDAP, la chaîne de groupe par défaut est uniqueMember (Membreunique), tandis que sur les autres serveurs, c’est member (membre). 8. Dans la zone de texte Nom unique de l’utilisateur qui effectue la recherche , entrez le nom unique d’une opération de recherche. Vous pouvez ajouter un nom unique, comme Administrateur, doté du privilège de recherche dans LDAP/Active Directory. Certains administrateurs créent un nouvel utilisateur doté uniquement de privilèges de recherche afin de l’utiliser dans ce champ. 9. Dans le champ Mot de passe de l’utilisateur qui effectue la recherche , entrez le mot de passe associé au nom unique d’une opération de recherche. 10. Dans la zone de texte Attribut de connexion, sélectionnez dans la liste déroulante un attribut de connexion LDAP à utiliser pour l’authentification. Cet attribut est le nom utilisé pour la liaison avec la base de données LDAP. L’attribut de connexion par défaut est uid. Si vous utilisez uid, les champs Nom unique de l’utilisateur qui effectue la recherche et Mot de passe de l’utilisateur qui effectue la recherche peuvent être vides. 11. Dans la zone de texte Délai d’inactivité, entrez ou sélectionnez le délai au bout duquel un serveur inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante contiguë pour définir la durée. Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il n’est pas défini comme de nouveau actif. 12. Pour ajouter un serveur LDAP de sauvegarde, sélectionnez l’onglet Paramètres du serveur de sauvegarde et activez la case à cocher Activer le serveur LDAP secondaire . 13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le secret partagé est le même sur le serveur LDAP de sauvegarde que sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 228. 14. Cliquez sur .Enregistrer. À propos des paramètres LDAP facultatifs Fireware XTM peut obtenir des informations supplémentaires du serveur d’annuaire (LDAP ou Active Directory) lors de la lecture de la liste d’attributs figurant dans la réponse à la recherche du serveur. Cela vous permet d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires aux sessions de l’utilisateur authentifié, notamment des délais d’attente et des adresses Mobile VPN with IPSec. Étant donné que les données proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous n’êtes pas limité aux paramètres globaux de Fireware XTM Web UI. Vous pouvez définir ces paramètres pour chaque utilisateur individuel. Pour plus d’informations, voir Utilisez les paramètres Active Directory ou LDAP facultatifs à la page 249. 244 WatchGuard System Manager Authentification Configurer l’Active Directory Authentication Active Directory est l’application Microsoft Windows d’une structure d’annuaire LDAP. Il vous permet d’adapter le concept de hiérarchie de domaine utilisé pour le DNS au niveau de l’organisation. Il conserve les informations et les paramètres des organisations dans une base de données centrale et facile d’accès. Le serveur Active Directory Authentication permet aux utilisateurs de s’authentifier sur un périphérique WatchGuard à l’aide de leurs informations d’identification réseau actuelles. Vous devez configurer le périphérique et l’Active Directory Server. Avant de commencer, vérifiez que les utilisateurs peuvent effectivement s’authentifier sur l’Active Directory Server. Dans Fireware XTM Web UI : 1. Sélectionnez Authentification > Serveurs. La page Serveurs d’authentification s’affiche. 2. Cliquez sur l’onglet Active Directory. 3. Sélectionnez l’option Activer Active Directory Serveur . 4. Dans le champ Adresse IP, entrez l’adresse IP de l’Active Directory Server principal. L’Active Directory Server peut être placé dans n’importe quelle interface du périphérique WatchGuard. Vous pouvez également configurer le périphérique pour qu’il utilise un Active Directory Server disponible via un tunnel VPN. Guide de l’utilisateur 245 Authentification 5. Dans la zone de texte Port , entrez ou sélectionnez le numéro de port TCP du périphérique à utiliser pour la connexion à l’Active Directory Server. Le numéro de port par défaut est 389. Si votre Active Directory Server est un serveur de catalogue global, il est conseillé de modifier le port par défaut. Pour plus d’informations, voir Changer le port par défaut de l’Active Directory Server à la page 248. 6. Dans la zone de texte Base de recherche, entrez le point de départ de la recherche dans le répertoire. Le format standard du paramètre de base de recherche est le suivant : ou=<name of organizational unit>, dc=<first part of the distinguished server name>, dc=<any part of the distinguished server name that appears after the dot>. Définissez une base de recherche pour appliquer des limites aux répertoires du serveur d’authentification que le périphérique WatchGuard explore pour établir une correspondance d’authentification. Il est recommandé de définir la racine du domaine comme base de recherche. Cela vous permet de trouver tous les utilisateurs et tous les groupes auxquels ceux-ci appartiennent. Pour plus d’informations, voir Trouver votre base de recherche Active Directory à la page 247. 7. Dans la zone de texte Chaîne de groupe, entrez la chaîne d’attributs utilisée pour conserver des informations de groupe d’utilisateurs sur l’Active Directory Server. Si vous ne modifiez pas le schéma Active Directory, la chaîne de groupe est toujours « memberOf » (« MembreDe »). 8. Dans la zone de texte Nom unique de l’utilisateur qui effectue la recherche , entrez le nom unique d’une opération de recherche. Il n’est pas nécessaire d’entrer une valeur dans cette zone de texte si vous conservez l’attribut de connexion sAMAccountName . Si vous modifiez l’attribut de connexion, vous devez ajouter un champ Nom unique de l’utilisateur qui effectue la recherche à votre configuration. Vous pouvez entrer un nom unique, comme Administrateur, doté du privilège de recherche dans LDAP/Active Directory. Cependant, un nom unique d’utilisateur plus faible doté uniquement du privilège de recherche est généralement suffisant. 9. Dans le champ Mot de passe de l’utilisateur qui effectue la recherche , entrez le mot de passe associé au nom unique d’une opération de recherche. 10. Dans Attribut de connexion liste déroulante, sélectionnez un attribut de connexion Active Directory à utiliser pour l’authentification. Cet attribut est le nom utilisé pour la liaison avec la base de données Active Directory. L’attribut de connexion par défaut est sAMAccountName. Si vous utilisez sAMAccountName, les champs Nom unique de l’utilisateur qui effectue la recherche et Mot de passe de l’utilisateur qui effectue la recherche peuvent être vides. 11. Dans la zone de texte Délai d’inactivité, entrez ou sélectionnez le délai au bout duquel un serveur inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante contiguë pour définir la durée. Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il n’est pas défini comme de nouveau actif. 12. Pour ajouter un Active Directory Server de sauvegarde, sélectionnez l’onglet Paramètres du serveur de sauvegarde et activez la case à cocher Activer un serveur Active Directory secondaire. 246 WatchGuard System Manager Authentification 13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le secret partagé est le même sur le serveur de sauvegarde Active Directory que sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 228. 14. Cliquez sur .Enregistrer. À propos des paramètres Active Directory facultatifs Fireware XTM peut obtenir des informations supplémentaires du serveur d’annuaire (LDAP ou Active Directory) lors de la lecture de la liste d’attributs figurant dans la réponse à la recherche du serveur. Cela vous permet d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires aux sessions de l’utilisateur authentifié, notamment des délais d’attente et des adresses Mobile VPN with IPSec. Étant donné que les données proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous n’êtes pas limité aux paramètres globaux de Fireware XTM Web UI. Vous pouvez définir ces paramètres pour chaque utilisateur individuel. Pour plus d’informations, voir Utilisez les paramètres Active Directory ou LDAP facultatifs à la page 249. Trouver votre base de recherche Active Directory Lorsque vous configurez votre périphérique WatchGuard pour authentifier les utilisateurs sur votre Active Directory Server, vous ajoutez une base de recherche. La base de recherche est le point de départ des recherches d’entrées de comptes d’utilisateur dans la structure hiérarchique d’Active Directory. Cela peut contribuer à accélérer la procédure d’authentification. Avant de commencer, il faut qu’un Active Directory Server opérationnel contienne les informations sur les comptes de tous les utilisateurs dont vous voulez configurer l’authentification sur le périphérique WatchGuard. Sur l’Active Directory Server : 1. Sélectionnez Démarrer > Outils d’administration > Utilisateurs et ordinateurs Active Directory. 2. Dans l’arborescence Utilisateurs et ordinateurs Active Directory, cherchez et sélectionnez votre nom de domaine. 3. Déroulez l’arborescence pour trouver le chemin de votre hiérarchie Active Directory. Les composants du nom de domaine sont au format dc=composant du nom de domaine. Ils sont ajoutés à la fin de la chaîne de la base de recherche et sont également délimités par des virgules. Pour chaque niveau de votre nom de domaine, vous devez inclure un composant de nom de domaine séparé dans votre base de recherche Active Directory. Par exemple, si votre nom de domaine est préfixe.exemple.com, le composant de nom de domaine de votre base de recherche est DC=préfixe,DC=exemple,DC=com . Ainsi, si votre nom de domaine apparaît sous cette forme dans l’arborescence après que vous l’ayez développé : La chaîne de base de recherche à ajouter à la configuration Firebox est : DC=kunstlerandsons,DC=com Guide de l’utilisateur 247 Authentification Les chaînes de recherche ne respectent pas la casse. Lorsque vous entrez la chaîne de recherche, vous pouvez utiliser des lettres majuscules ou minuscules. Champs Nom unique de l’utilisateur effectuant la recherche et le Mot de passe de l’utilisateur effectuant la recherche Vous ne devez renseigner ces champs que si vous sélectionnez une option d’Attribut de connexion différente de la valeur par défaut (sAMAccountName). La plupart des organisations utilisant Active Directory ne changent pas ce paramètre. Lorsque vous laissez la valeur sAMAccountName par défaut de ce champ, les utilisateurs donnent leur nom de connexion Active Directory habituel pour nom d’utilisateur quand ils s’authentifient. C’est le nom qui apparaît dans la zone de texte Nom de connexion de l’utilisateur de l’onglet Compte quand vous modifiez un compte d’utilisateur dans Utilisateurs et ordinateurs Active Directory. Si vous utilisez une valeur différente pour l’Attribut de connexion, les utilisateurs qui essaient de s’authentifier donnent une forme différente de leur nom d’utilisateur. Dans ce cas, vous devez ajouter les Informations d’identification de l’utilisateur effectuant la recherche à votre configuration Firebox. Changer le port par défaut de l’Active Directory Server Si votre périphérique WatchGuard est configuré pour authentifier les utilisateurs à partir d’un serveur d’authentification Active Directory, il se connecte à l’Active Directory Server via le port LDAP standard par défaut, à savoir le port TCP 389. Si les serveurs Active Directory Server que vous ajoutez à la configuration de votre périphérique WatchGuard sont définis comme des serveurs de catalogue global Active Directory, vous pouvez paramétrer le périphérique pour qu’il utilise le port de catalogue global – le port TCP 3268 – pour se connecter au serveur Active Directory. Un serveur de catalogue global est un contrôleur de domaine qui stocke des informations sur tous les objets figurant dans la forêt. Cela permet aux applications d’effectuer des recherches dans Active Directory sans avoir à se référer aux différents contrôleurs de domaine qui stockent les données demandées. Si vous n’avez qu’un seul domaine, Microsoft recommande de configurer tous les contrôleurs de domaine en tant que serveurs de catalogue global. Si l’Active Directory Server principal ou secondaire que vous utilisez dans la configuration de votre périphérique WatchGuard est également configuré comme serveur de catalogue global, vous pouvez modifier le port utilisé par le périphérique pour se connecter au serveur Active Directory afin d’accélérer les demandes d’authentification. Toutefois, il n’est pas conseillé de créer des serveurs de catalogue global Active Directory supplémentaires uniquement pour accélérer les demandes d’authentification. Les répétitions entre les différents serveurs de catalogue peuvent occuper une grande partie de la bande passante de votre réseau. Configurer Firebox pour l’utilisation du port de catalogue global 1. Dans Fireware XTM Web UI, sélectionnez Authentification > Serveurs. La page Serveurs d’authentification s’affiche. 2. Sélectionnez l’onglet Active Directory. 3. Dans la zone de texte Port, effacez le texte et entrez 3268. 4. Cliquez sur Enregistrer. 248 WatchGuard System Manager Authentification Savoir si l’Active Directory Server est configuré en tant que serveur de catalogue global 1. Sélectionnez Démarrer > Outils d’administration > Sites et services Active Directory. 2. Déroulez l’arborescence Sites et repérez le nom de votre Active Directory Server. 3. Cliquez avec le bouton droit sur les Paramètres NTDS de votre Active Directory Server et sélectionnez Propriétés. Si la case à cocher Catalogue global est activée, l’Active Directory Server est configuré pour être un catalogue global. Utilisez les paramètres Active Directory ou LDAP facultatifs Lorsque Fireware XTM contacte le serveur d’annuaire (Active Directory ou LDAP) pour rechercher des informations, il peut obtenir des informations supplémentaires dans les listes d’attributs de la réponse à la recherche envoyée par le serveur. Cela vous permet d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires à la session de l’utilisateur authentifié, notamment des délais d’attente et des adresses Mobile VPN. Étant donné que les données proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous pouvez définir ces paramètres pour chaque utilisateur individuel au lieu de vous limiter aux paramètres globaux de Fireware XTM Web UI. Avant de commencer Pour utiliser ces paramètres facultatifs, vous devez : n n n développer le schéma d’annuaire pour ajouter de nouveaux attributs à ces éléments ; rendre les nouveaux attributs disponibles pour la classe d’objets à laquelle les comptes d’utilisateurs appartiennent ; donner des valeurs aux attributs pour les objets utilisateur qui doivent les utiliser. veiller à planifier et tester soigneusement votre schéma d’annuaire avant de l’étendre à vos annuaires. Les ajouts au schéma d’Active Directory, par exemple, sont en général irrémédiables. Utilisez le site Web Microsoft afin d’obtenir des ressources pour planifier, tester et implémenter des modifications dans un schéma d’Active Directory. Consultez la documentation de votre fournisseur LDAP avant d’étendre le schéma pour d’autres annuaires. Spécifier Paramètres Active Directory ou LDAP facultatifs Pour spécifier les attributs supplémentaires que Fireware XTM recherche dans la réponse du serveur d’annuaire : 1. Dans Fireware XTM Web UI, sélectionnez Authentification > Serveurs. La page Serveurs d’authentification s’affiche. Guide de l’utilisateur 249 Authentification 2. Cliquez sur l’onglet LDAP ou Active Directory et vérifiez que le serveur est activé. 250 WatchGuard System Manager Authentification 3. Cliquez sur Paramètres facultatifs. Les Paramètres facultatifs du serveur page s’affichent. Guide de l’utilisateur 251 Authentification 4. Entrez les attributs à inclure dans la recherche dans les champs de chaîne. Chaîne d’attributs IP Ce champ concerne uniquement les clients Mobile VPN. Entrez le nom de l’attribut que Fireware XTM doit utiliser pour attribuer une adresse IP virtuelle au client Mobile VPN. Cet attribut doit comporter une seule valeur et une adresse IP au format décimal. L’adresse IP doit faire partie du pool d’adresses IP virtuelles que vous spécifiez lorsque vous créez le groupe Mobile VPN. Si Firebox ne voit pas l’attribut IP dans la réponse à la recherche, ou si vous n’en spécifiez aucun dans Fireware XTM Web UI, il attribue au client Mobile VPN une adresse IP virtuelle à partir du pool d’adresses IP virtuelles créé lors de la formation du groupe Mobile VPN. Chaîne d’attributs de masque réseau Ce champ concerne uniquement les clients Mobile VPN. Entrez le nom de l’attribut que Fireware XTM doit utiliser pour attribuer un masque de sousréseau à l’adresse IP virtuelle du client Mobile VPN. Cet attribut doit comporter une seule valeur et un masque de sous-réseau au format décimal. Le logiciel Mobile VPN attribue automatiquement un masque réseau si Firebox ne trouve pas l’attribut de masque réseau dans la réponse à la recherche ou si vous n’en spécifiez aucun dans Fireware XTM Web UI. Chaîne d’attributs DNS 252 WatchGuard System Manager Authentification Ce champ concerne uniquement les clients Mobile VPN. Entrez le nom de l’attribut qu’utilise Fireware XTM pour attribuer une ou plusieurs adresses DNS au client Mobile VPN durant la session Mobile VPN. Cet attribut peut comporter plusieurs valeurs, mais doit avoir une adresse IP au format décimal avec points standard. Si Firebox ne voit pas l’attribut DNS dans la réponse à la recherche, ou si vous n’en spécifiez aucun dans Fireware XTM Web UI, il utilise les adresses WINS entrées au moment de Configurer des serveurs WINS et DNS. Chaîne d’attributs WINS Ce champ concerne uniquement les clients Mobile VPN. Entrez le nom de l’attribut que Fireware XTM doit utiliser pour attribuer une ou plusieurs adresses WINS au client Mobile VPN durant la session Mobile VPN. Cet attribut peut comporter plusieurs valeurs, mais doit avoir une adresse IP au format décimal avec points standard. Si Firebox ne voit pas l’attribut WINS dans la réponse à la recherche, ou si vous n’en spécifiez aucun dans Fireware XTM Web UI, il utilise les adresses WINS entrées au moment de Configurer des serveurs WINS et DNS. Chaîne d’attributs de la durée du bail Elle s’applique aux clients Mobile VPN et aux clients utilisant l’authentification d’accès au pare-feu. Entrez le nom de l’attribut que Fireware XTM doit utiliser pour contrôler la durée maximale pendant laquelle un utilisateur peut rester authentifié (délai d’expiration de la session). Une fois cette durée expirée, l’utilisateur est supprimé de la liste d’utilisateurs authentifiés. Cet attribut doit comporter une seule valeur. Fireware XTM interprète la valeur de l’attribut comme un nombre décimal de secondes. Il interprète zéro comme jamais inactif. Chaîne d’attributs de délai d’inactivité Elle s’applique aux clients Mobile VPN et aux clients utilisant l’authentification d’accès au pare-feu. Entrez le nom de l’attribut que Fireware XTM utilise pour contrôler la durée pendant laquelle un utilisateur peut rester authentifié sans qu’aucun trafic à destination de Firebox ne provienne de l’utilisateur (délai d’inactivité). En l’absence de trafic vers le périphérique pendant cette durée, l’utilisateur est retiré de la liste d’utilisateurs authentifiés. Cet attribut doit comporter une seule valeur. Fireware XTM interprète la valeur de l’attribut comme un nombre décimal de secondes. Il interprète zéro comme jamais inactif. 5. Cliquez sur Enregistrer. Les paramètres de l’attribut sont enregistrés. Utiliser un compte d’utilisateur local pour l’authentification Tous les utilisateurs peuvent s’authentifier en tant qu’ utilisateur du pare-feu, utilisateur PPTP ou utilisateur Mobile VPN et ouvrir un tunnel PPTP ou un tunnel Mobile VPN si PPTP ou Mobile VPN est activé sur Firebox. Cependant, une fois l’authentification ou le tunnel établi, les utilisateurs peuvent envoyer le trafic via le tunnel VPN uniquement si une stratégie de Firebox autorise le trafic. Par exemple, un utilisateur Guide de l’utilisateur 253 Authentification autorisé à utiliser uniquement Mobile VPN peut envoyer des données via un tunnel Mobile VPN. Même si le Mobile VPN peut s’authentifier et ouvrir un tunnel PPTP, il ne pourra pas envoyer de trafic via ce tunnel PPTP. Si vous utilisez l’Active Directory Authentication et que l’appartenance d’un utilisateur à un groupe ne correspond pas à votre stratégie Mobile VPN, un message d’erreur signalant que le trafic déchiffré ne correspond à aucune stratégie s’affiche. Si ce message s’affiche, vérifiez que l’utilisateur fait partie d’un groupe dont le nom est identique à celui de votre groupe Mobile VPN. Utiliser les utilisateurs et groupes autorisés dans les stratégies Vous pouvez utiliser des noms de groupe et d’utilisateur précis quand vous créez des stratégies dans Fireware XTM Web UI. Vous pouvez, par exemple, définir toutes les stratégies de sorte que seules les connexions d’utilisateurs authentifiés soient autorisées. Vous pouvez également limiter les connexions à une stratégie à des utilisateurs particuliers. Le terme utilisateurs et groupes autorisés fait référence aux utilisateurs et aux groupes qui sont autorisés à accéder aux ressources réseau. Définir des utilisateurs et des groupes pour l’authentification Firebox Si vous utilisez Firebox comme serveur d’authentification et souhaitez définir les utilisateurs et groupes qui s’authentifient à Firebox, voir Définir un nouvel utilisateur pour l’authentification sur Firebox à la page 231 et Définir un nouveau groupe d’authentification sur Firebox à la page 233. Définir des utilisateurs et des groupes pour l’authentification tierce 1. Créez un groupe sur votre serveur d’authentification tierce qui contienne tous les comptes d’utilisateurs de votre système. 2. Dans Fireware XTM Web UI, sélectionnez Authentification > Utilisateurs et groupes. La page Utilisateurs et groupes d’authentification s’affiche. 254 WatchGuard System Manager Authentification 3. 4. 5. 6. Entrez un nom d’utilisateur ou de groupe que vous avez créé sur le serveur d’authentification. (Facultatif) Entrez une description de l’utilisateur ou du groupe. Sélectionnez la case d’option Groupe ou Utilisateur. Dans la liste déroulante Serveur d’authentification, sélectionnez le type de serveur d’authentification utilisé. Les options disponibles sont Tout, Firebox-DB, RADIUS (pour une authentification via un VACMAN Middleware Server ou RADIUS), SecurID, LDAP ou Active Directory. 7. Cliquez sur Ajouter. 8. Cliquez sur Enregistrer. Ajouter des utilisateurs et des groupes aux définitions des stratégies Tout utilisateur ou groupe que vous voulez utiliser dans vos définitions de stratégie doit être ajouté en tant qu’utilisateur autorisé. Tous les utilisateurs et groupes que vous créez pour l’authentification Firebox, et tous les utilisateurs Mobile VPN sont automatiquement ajoutés à la liste des utilisateurs et groupes autorisés dans la boîte de dialogue Utilisateurs et groupes autorisés. Vous pouvez ajouter n’importe quel utilisateur ou groupe provenant de serveurs d’authentification tierce à la liste des utilisateurs et des groupes autorisés à l’aide de la procédure ci-dessus. Vous êtes alors prêt à ajouter des utilisateurs et des groupes à la configuration de votre stratégie. 1. Dans Fireware XTM Web UI, sélectionnez Pare-feu > Stratégies de pare-feu. La page Stratégies de pare-feu s’affiche. 2. Sélectionnez une stratégie dans la liste et cliquez sur Modifier. Ou double-cliquez sur une stratégie. La page Configuration de stratégie apparaît. 3. Sur l’onglet Stratégie, en dessous de la case De, cliquez sur Ajouter. La boîte de dialogue Ajouter une adresse s’affiche. Guide de l’utilisateur 255 Authentification 4. Cliquez sur Ajouter un utilisateur. La boîte de dialogue Ajouter des utilisateurs ou groupes autorisés s’affiche. 5. Dans la liste déroulante Type à gauche, indiquez si l’utilisateur ou le groupe est autorisé en tant qu’utilisateur derrière un pare-feu, utilisateur PPTP ou utilisateur VPN SSL. Pour plus d’informations sur ces types d’authentification, voir Types d’authentification Firebox à la page 229. 6. Dans la liste déroulante Type à droite, sélectionnez Utilisateur ou Groupe. 7. Si votre utilisateur ou groupe s’affiche dans la liste Groupes, sélectionnez-le et cliquez sur Sélectionner. La boîte de dialogue Ajouter une adresse s’affiche de nouveau avec l’utilisateur ou le groupe dans la zone Membres ou adresses sélectionnées. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de stratégie. 8. Si votre utilisateur ou groupe ne s’affiche pas dans la liste de la boîte de dialogue Ajouter des utilisateurs ou groupes autorisés, voir Définir un nouvel utilisateur pour l’authentification sur Firebox à la page 231, Définir un nouveau groupe d’authentification sur Firebox à la page 233, ou la procédure Définir des utilisateurs et des groupes pour l’authentification tierce précédente. Après avoir ajouté un utilisateur ou un groupe à la configuration d’une stratégie, Fireware XTM Web UI ajoute automatiquement une stratégie d’authentification WatchGuard à la configuration Firebox. Utilisez cette stratégie pour contrôler l’accès à la page Web du portail d’authentification. Pour obtenir des instructions sur la manière de modifier cette stratégie, voir Utiliser l’authentification pour restreindre le trafic entrant à la page 218. 256 WatchGuard System Manager 12 Stratégies À propos des stratégies La stratégie de sécurité de votre entreprise correspond à un ensemble de règles qui définissent la façon dont vous protégez votre réseau informatique et les informations qui le traversent. Firebox refuse tous les paquets qui ne sont pas spécifiquement autorisés. Lorsque vous ajoutez une stratégie à votre fichier de configuration Firebox, vous ajoutez un jeu de règles qui ordonnent à la Firebox d'autoriser ou de refuser le trafic en fonction de certains facteurs, tels que la source et la destination du paquet ou encore le port ou le protocole TCP/IP utilisé pour le paquet. Un exemple de la façon dont une stratégie peut s'utiliser : l'administrateur réseau d'une entreprise souhaite se connecter à distance à un serveur Web protégé par la Firebox. L'administrateur réseau gère le serveur Web avec une connexion Remote Desktop. En même temps, l'administrateur réseau souhaite assurer qu'aucun autre utilisateur du réseau ne puisse utiliser Remote Desktop. Pour ce faire, l’administrateur réseau ajoute une stratégie qui autorise les connexions RDP uniquement en provenance de l’adresse IP de son propre PC et à destination de l’adresse IP du serveur Web. Une stratégie peut également donner à la Firebox davantage d'instructions sur la façon de gérer les paquets. Par exemple, vous pouvez définir les paramètres de connexion et de notification qui s'appliquent au trafic, ou utiliser la translation d'adresse réseau (NAT) pour modifier l'adresse IP source et le port du trafic réseau. Stratégies de filtres de paquets et stratégies de proxies Firebox utilise deux catégories de stratégies pour filtrer le trafic réseau : les filtres de paquets et les proxies. Un filtre de paquets inspecte l’en-tête IP et TCP/UDP de chaque paquet. Si les informations d’en-tête du paquet sont légitimes, Firebox autorise le paquet. Dans le cas contraire, il l’abandonne. Un proxy examine aussi bien l'information d'en-tête que le contenu de chaque paquet afin d'assurer la sécurité des connexions. Cette opération est également appelée Inspection de paquet en profondeur. Si les informations d'en-tête de paquet sont légitimes et que le contenu du paquet n'est pas considéré comme une menace, alors Firebox autorise le paquet. Dans le cas contraire, il l’abandonne. Guide de l’utilisateur 257 Stratégies À propos de l'ajout de stratégies à votre Firebox Firebox comprend de nombreux filtres de paquets et proxies prédéfinis que vous pouvez ajouter à votre configuration. Par exemple, si vous souhaitez appliquer un filtre de paquets à l’ensemble du trafic Telnet, ajoutez une stratégie Telnet prédéfinie que vous pourrez ensuite modifier en fonction de la configuration de votre réseau. Vous pouvez également personnaliser une stratégie en définissant ses ports, ses protocoles et d’autres paramètres. Lorsque vous configurez la Firebox avec l'assistant Quick Setup Wizard, l'assistant ajoute plusieurs paquets de filtres : Sortant (TCP-UDP), FTP, ping et jusqu'à deux stratégies de gestion WatchGuard. Si vous avez d’autres applications logicielles et davantage de trafic réseau que Firebox doit inspecter, vous devez : n n n Configurer les stratégies sur votre Firebox pour laisser passer le trafic nécessaire Définir les hôtes approuvés et les propriétés pour chaque stratégie Équilibrer l'exigence de protection de votre réseau et l'exigence de vos utilisateurs d'avoir accès aux ressources externes Il est conseillé de définir des limites pour le trafic sortant lorsque vous configurez Firebox. Note Sur tous les documents, les filtres de paquets et les proxies sont considérés comme des stratégies. Les informations sur les stratégies se rapportent à la fois aux filtres de paquets et aux proxies, sauf spécification contraire. 258 WatchGuard System Manager Stratégies À propos de la page Stratégies de pare-feu ou Mobile VPN Les pages Stratégies de pare-feu et Stratégies Mobile VPN affichent les stratégies définies dans la configuration actuelle de votre périphérique Firebox ou XTM. Les informations suivantes sont affichées pour chaque stratégie : Action L’action entreprise par la stratégie pour le trafic correspondant à la définition de la stratégie. Le symbole affiché dans cette colonne indique également si la stratégie est une stratégie de filtrage de paquets ou une stratégie de proxy. n n n n n n Coche verte = stratégie de filtrage de paquets ; trafic autorisé X rouge = stratégie de filtrage de paquets ; trafic refusé Cercle avec ligne = stratégie de filtrage de paquets ; action du trafic non configurée Bouclier vert avec coche = stratégie de proxy ; trafic autorisé Bouclier rouge avec X = stratégie de proxy ; trafic refusé Bouclier gris = stratégie de proxy ; action du trafic non configurée Nom de la stratégie Nom de la stratégie, comme défini dans le champ Nom de la page Configuration de la stratégie. Type de stratégie Le protocole géré par la stratégie. Les proxies comprennent le protocole et « -proxy ». Type de trafic Type de trafic examiné par la stratégie : pare-feu ou réseau privé VPN. Guide de l’utilisateur 259 Stratégies Journal Indique si la journalisation est activée pour la stratégie. Alarme Indique si des alarmes sont configurées pour la stratégie. De Adresses à partir desquelles le trafic de cette stratégie s’applique (adresses sources). À Adresses vers lesquelles le trafic de cette stratégie s’applique (adresses de destination). Routage basé sur la stratégie (PBR) Indique si la stratégie utilise le routage basé sur la stratégie. Si c’est le cas et que le basculement n’est pas activé, le numéro de l’interface s’affiche. Si le routage basé sur la stratégie et le basculement sont activés, une liste de numéros d’interface s’affiche. L’interface principale est indiquée en premier. Pour de plus amples informations sur le routage basé sur stratégie, cf. Configurer le routage basé sur stratégie à la page 275. Port Protocoles et ports utilisés par la stratégie. Par défaut, l’interface utilisateur Fireware XTM Web UI trie les stratégies de la plus spécifique à la plus générale. L’ordre détermine la façon dont le trafic s’écoule au travers des stratégies. Si vous souhaitez définir manuellement l’ordre des stratégies, cliquez sur Désactiver, en regard de Mode de classement automatique activé. Pour plus d’informations sur l'ordre des stratégies, voir À propos de l’ordre de priorité des stratégies. Ajouter stratégies à votre configuration Pour ajouter un pare-feu ou une stratégie Mobile VPN : 1. Sélectionnez Pare-feu > Stratégies de pare-feu ou Pare-feu > Stratégies Mobile VPN. La page Stratégies que vous avez sélectionnée s'affiche. 2. Cliquez sur Ajouter. 3. Développez la liste de filtres de paquets et de stratégies pour trouver un protocole ou un port. 4. Pour les stratégies de pare-feu, sélectionnez un modèle et cliquez sur Ajouter. Pour les stratégies de proxy, vous devez également sélectionner l'option Client ou Serveur dans la liste déroulante Action de proxy. Pour les stratégies Mobile VPN, sélectionnez d'abord un groupe VPN mobile auquel la stratégie s'applique, puis sélectionnez le modèle et cliquez sur Ajouter. 260 WatchGuard System Manager Stratégies Le périphérique Firebox comprend une définition par défaut pour chaque stratégie incluse dans la configuration Firebox. La définition par défaut regroupe des paramètres qui peuvent s’appliquer à la plupart des installations. Toutefois, vous pouvez les modifier en fonction des besoins spécifiques de votre entreprise ou si vous préférez inclure des propriétés de stratégie spéciales, telles que des actions de gestion du trafic et des calendriers d'application. Après avoir ajouté une stratégie à votre configuration, il convient de définir des règles pour : n n n n Définir les sources et destinations de trafic autorisées Créer des règles de filtre Activer ou désactiver la stratégie Configurer des propriétés telles que gestion du trafic, NAT ou journalisation Pour plus d'informationssur laconfiguration de stratégie, voir À proposdes propriétésde stratégieà lapage 271. Ajouter une stratégie à partir de la liste des modèles Le périphérique Firebox comprend une définition par défaut pour chaque stratégie incluse dans la configuration Firebox. Les paramètres de définition par défaut sont adaptés à la plupart des installations ; vous pouvez néanmoins les modifier de façon à y inclure des propriétés de stratégie spéciales, comme des actions QoS et des calendriers d'application. 1. Sur la page Ajouter une stratégie, développez les dossiers Filtres de paquets, Proxies ou Personnalisé. Une liste de modèles pour les stratégies de filtres de paquets ou de proxies s'affiche. 2. Sélectionnez le type de stratégie que vous souhaitez créer. Cliquez sur Ajouter. La boîte de dialogue de la page Configuration de stratégie s'affiche. Guide de l’utilisateur 261 Stratégies 3. Pour modifier le nom de la stratégie, saisissez un nouveau nom dans le champ Nom. 4. Définissez les règles d'accès et les autres paramètres de la stratégie. 5. Cliquez sur Enregistrer. Pour obtenir plus d’informations sur les propriétés de stratégie, voir À propos des propriétés de stratégie à la page 271. 262 WatchGuard System Manager Stratégies Désactiver ou supprimer une stratégie Pour désactiver une stratégie : 1. Sélectionnez Pare-feu > Stratégies de pare-feu ou Pare-feu > Stratégies Mobile VPN. La page Configuration de stratégie apparaît. 2. Sélectionnez la stratégie et cliquez sur Modifier. 3. Décochez la case Activer. 4. Cliquez sur Enregistrer. Supprimer une stratégie Suite aux modifications apportées à votre stratégie de sécurité, vous devrez parfois supprimer une stratégie. Pour supprimer une stratégie : 1. Sélectionnez Pare-feu > Stratégies de pare-feu ou Pare-feu > Stratégies Mobile VPN. 2. Sélectionnez la stratégie et cliquez sur Supprimer. Vos modifications apportées aux stratégies sont enregistrées automatiquement. À propos des alias Un alias est un raccourci permettant d’identifier un groupe d’hôtes, de réseaux ou d’interfaces. L’utilisation d’un alias simplifie la création d’une stratégie de sécurité car Firebox vous autorise à utiliser des alias lorsque vous créez des stratégies. Les alias par défaut dans Fireware XTM Web UI comprennent : n n n n n n Tout — Tout alias de source ou destination correspondant aux interfaces de la Firebox , tels que Approuvé ou Externe. Firebox — Un alias pour toutes les interfaces Firebox. Tout-Approuvé — Un alias pour toutes les interfaces Firebox configurées en tant qu'interfaces approuvées, et tout réseau accessible via ces interfaces. Tout-Externe — Un alias pour toutes les interfaces Firebox configurées en tant qu'interfaces externes, et tout réseau accessible via ces interfaces. Tout-Facultatif — Des alias pour toutes les interfaces Firebox configurées en tant qu'interfaces facultatives, et tout réseau accessible via ces interfaces. Tout-BOVPN – Un alias pour tous les tunnels BOVPN (IPSec). Lorsque vous utilisez l’assistant BOVPN Policy Wizard pour créer une stratégie autorisant le trafic à transiter par un tunnel BOVPN, l’assistant crée automatiquement des alias .in et .out pour les tunnels entrants et sortants. Il faut distinguer les noms d’alias des noms d’utilisateurs ou de groupes utilisés pour l’authentification des utilisateurs. Lorsque vous authentifiez des utilisateurs, vous pouvez contrôler une connexion à l’aide d’un nom et non d’une adresse IP. L’utilisateur est authentifié à l’aide d’un nom d’utilisateur et d’un mot de passe pour accéder aux protocoles Internet. Pour plus d’informations sur l’authentification des utilisateurs, voir À propos de l’authentification des utilisateurs à la page 215. Guide de l’utilisateur 263 Stratégies Membres de l’alias Vous pouvez ajouter les objets suivants à un alias : n n n n n n n n L’adresse IP de l’hôte L’adresse IP du réseau Une plage d'adresses IP d'hôte Nom DNS pour un hôte Adresse de tunnel – définie par un utilisateur ou un groupe, adresse et nom du tunnel Adresse personnalisée – définie par un utilisateur ou un groupe, adresse et interface Firebox Un autre alias Un utilisateur ou groupe autorisé Créer un alias Pour créer un alias à utiliser avec vos stratégies de sécurité : 1. Sélectionnez Pare-feu > Alias. La page des alias s’affiche. 2. Cliquez sur Ajouter. Ajouter un alias page s’affiche. 264 WatchGuard System Manager Stratégies 3. Dans la zone de texte Nom d'alias, saisissez un nom unique pour identifier l'alias. Ce nom s’affiche dans les listes lorsque vous configurez une stratégie de sécurité. 4. Dans le champ Description, saisissez une description de l’alias. 5. Cliquez sur Enregistrer. Ajouter une adresse, une plage d'adresse, un nom DNS, un utilisateur, un groupe, ou un autre alias vers l'alias 1. Dans la boîte de dialogue Ajouter un alias, cliquez sur Ajouter Membre. La boîte de dialogue Ajouter un membre s’affiche. 2. Dans la Type de membre liste déroulante, sélectionnez le type de membre que vous souhaitez ajouter. 3. Saisissez l’adresse ou le nom dans le champ de texte bouton zone de texte, ou sélectionnez l'utilisateur ou le groupe. 4. Cliquez sur OK. Le nouveau membre apparaît dans la section Membres de l’alias de la boîte de dialogue Ajouter un alias page. 5. Répétez les étapes 1 à 4 pour ajouter d'autres membres. 6. Cliquez sur Enregistrer. Pour supprimer une entrée de la liste des membres, sélectionnez l'entrée et cliquez sur Supprimer Membre. Guide de l’utilisateur 265 Stratégies À propos de l’ordre de priorité des stratégies La priorité correspond à la séquence dans laquelle le périphérique Firebox ou XTM examine le trafic réseau et applique une règle de stratégie. Le périphérique Firebox ou XTM trie automatiquement les stratégies de la plus spécifique à la plus générale. Il compare les informations du paquet à la liste de règles de la première stratégie. La première règle de la liste qui correspond aux conditions du paquet est appliquée à ce paquet. Si le niveau de détails de deux stratégies est identique, une stratégie de proxy a toujours priorité sur une stratégie de filtre de paquets. Ordre de priorité automatique des stratégies Le périphérique Firebox ou XTM accorde automatiquement la priorité aux stratégies les plus spécifiques ; les stratégies les moins spécifiques passent en dernier. Le pare-feu Firebox ou XTM examine la spécificité des critères suivants dans cet ordre. S’il ne peut pas déterminer la priorité à partir du premier critère, il passe au deuxième et ainsi de suite. 1. 2. 3. 4. 5. 6. 7. 8. Spécificité de stratégie Protocoles définis pour le type de stratégie Règles de trafic du champ À Règles de trafic du champ De Action de pare-feu (Autorisé, Refusé, ou Refus (envoi réinitialisation)) appliquée aux stratégies Calendriers appliqués aux stratégies Séquence alphanumérique basée sur le type de stratégie Séquence alphanumérique basée sur un nom de stratégie Les rubriques ci-après fournissent des détails supplémentaires concernant le fonctionnement du périphérique Firebox ou XTM au cours de ces huit étapes. Spécificité de stratégie et protocoles Le périphérique Firebox ou XTM utilise ces critères dans l’ordre pour comparer deux stratégies jusqu’à ce qu’il détermine que les deux stratégies sont égales ou que l’une est plus détaillée que l’autre. 1. Une stratégie Tout a toujours la plus faible priorité. 2. Vérifiez le nombre de protocoles TCP 0 (tout) ou UDP 0 (tout). La stratégie avec le plus petit nombre a la priorité la plus élevée. 3. Vérifiez le nombre de ports uniques des protocoles TCP et UDP. La stratégie avec le plus petit nombre a la priorité la plus élevée. 4. Additionnez les numéros de port uniques TCP et UDP. La stratégie avec le plus petit nombre a la priorité la plus élevée. 5. Notez les protocoles en fonction de leur valeur de protocole IP. La stratégie avec le plus petit score a la priorité la plus élevée. Si le périphérique Firebox ou XTM ne peut établir la priorité lorsqu’il compare la spécificité de la stratégie et les protocoles, il examine les règles de trafic. 266 WatchGuard System Manager Stratégies Règles de trafic Le pare-feu Firebox ou XTM utilise ces critères dans l’ordre afin de comparer la règle de trafic la plus générale d’une stratégie avec la règle de trafic la plus générale d’une deuxième stratégie. Il attribue une priorité plus élevée à la stratégie ayant la règle de trafic la plus détaillée. 1. 2. 3. 4. 5. 6. 7. 8. 9. Adresse de l'hôte Plage d'adresses IP (plus petite que le sous-réseau auquel elle est comparée) Sous-réseau Plage d'adresses IP (plus grande que le sous-réseau auquel elle est comparée) Nom d'utilisateur d'authentification Groupe d'authentification Interface, périphérique Firebox ou XTM Tout-Externe, Tout-Approuvé, Tout-Facultatif Tout Par exemple, comparez ces deux stratégies : (HTTP-1) De : Approuvé, utilisateur1 (HTTP-2) De : 10.0.0.1, Tout-Approuvé Approuvé est l'entrée la plus générale pour HTTP-1. Tout-Approuvé est l'entrée la plus générale pour HTTP2. Approuvé étant inclus dans l’alias Tout-Approuvé, HTTP-1 est la règle de trafic la plus détaillée. Cela est correct malgré le fait que HTTP-2 comprenne une adresse IP, car le périphérique Firebox ou XTM compare la règle de trafic la plus générale d’une stratégie à la règle de trafic la plus générale de la deuxième stratégie selon l’ordre de priorité. Si le périphérique Firebox ou XTM ne peut pas établir la priorité lorsqu’il compare les règles de trafic, il examine les actions de pare-feu. Actions de pare-feu Le périphérique Firebox ou XTM compare les actions de pare-feu de deux stratégies afin d’établir la priorité. La priorité des actions de pare-feu, de la plus élevée à la plus faible est la suivante : 1. Refusé ou Refusé (envoi réinitialisation) 2. Stratégie de proxy autorisée 3. Stratégie filtrée par paquets approuvée Si le périphérique Firebox ou XTM une peut établir la priorité lorsqu’il compare les actions de pare-feu, il examine les calendriers. Calendriers Le pare-feu Firebox ou XTM compare les calendriers de deux stratégies pour définir la priorité. La priorité des calendriers de la plus élevée à la plus faible est la suivante : 1. Toujours inactif 2. Parfois actif 3. Toujours actif Guide de l’utilisateur 267 Stratégies Si le périphérique Firebox ou XTM ne peut établir de priorité lorsqu’il compare les calendriers, il examine les types et les noms de stratégie. Types et noms de stratégie Si les deux stratégies ne correspondent à aucun autre critère de priorité, le périphérique Firebox ou XTM classe les stratégies par ordre alphanumérique. D'abord, elle utilise le type de stratégie. Puis, elle utilise le nom de stratégie. Comme il ne peut pas y avoir deux stratégies de même type et de même nom, ce critère représente le dernier critère de priorité. Définir la priorité manuellement Pour basculer en mode de classement manuel et modifier la priorité des stratégies, vous devez désactiver le mode de classement automatique : 1. Sélectionnez Pare-feu > Stratégies de pare-feu. La page Stratégies de pare-feu s’affiche. 2. En regard de Mode de classement automatique activé, cliquez sur Désactiver. Un message de configuration apparaît. 3. Cliquez sur Oui pour confirmer que vous souhaitez basculer en mode de classement manuel. 4. Pour modifier l’ordre d’une stratégie, sélectionnez-la et faites-la glisser vers son nouvel emplacement. Vous pouvez aussi sélectionner une stratégie et cliquez sur Monter ou Descendre pour la déplacer dans la liste. 5. Cliquez sur Enregistrer pour enregistrer les modifications apportées à l’ordre des stratégies. Créer des calendriers pour les actions Firebox Un calendrier est une série d'heures auxquelles une fonctionnalité est active ou désactivée. Vous devez utiliser un calendrier si vous voulez qu'une stratégie ou qu'une action WebBlocker devienne automatiquement active ou inactive aux moments que vous spécifiez. Vous pouvez appliquer un calendrier que vous créez à plus d'une stratégie ou action WebBlocker si vous souhaitez que ces stratégies ou actions soient actives aux mêmes moments. Par exemple, une entreprise souhaite restreindre certains types de trafic réseau durant les heures normales de bureau. L'administrateur réseau peut créer un calendrier actif les jours ouvrables et paramétrer chaque stratégie de la configuration de manière à utiliser le même calendrier. Pour créer un calendrier : 1. Sélectionnez Pare-feu > Planification. La page Planification s'affiche. 2. Pour créer un nouveau calendrier, cliquez sur Ajouter. Pour modifier un calendrier, cliquez sur Modifier. 3. Dans la zone de texte Nom, tapez un nom ou une description pour le calendrier. Vous ne pourrez pas modifier ce nom après avoir enregistré le calendrier. 4. Sélectionnez les horaires d'activité du calendrier pour chaque jour de la semaine. 5. Cliquez sur Enregistrer. 268 WatchGuard System Manager Stratégies Définir un calendrier d'application Vous pouvez définir un calendrier d'application pour une stratégie de façon à ce que celle-ci s'exécute aux moments que vous spécifiez. Plusieurs stratégies peuvent partager un même calendrier. Pour modifier un calendrier de stratégie : 1. Sélectionnez Pare-feu > Planification. La page Planification s'affiche. 2. Dans la liste Stratégies de planification, sélectionnez le Nom de calendrier d'une stratégie. 3. Dans la colonne Calendrier, sélectionnez un calendrier dans la liste déroulante. 4. Cliquez sur Enregistrer. À propos des stratégies personnalisées Si vous souhaitez mettre en œuvre un protocole qui n’est pas prévu par défaut en tant qu’option de configuration de Firebox, vous devez définir une stratégie personnalisée pour le trafic. Vous pouvez ajouter une stratégie personnalisée qui utilise : n n n Ports TCP Ports UDP Un protocole IP qui n'est ni TCP ni UDP, tel que GRE, AH, ESP, ICMP, IGMP ou OSPF. Vous déterminez si un protocole IP n’est ni TCP ni UDP grâce à son numéro de protocole IP. Guide de l’utilisateur 269 Stratégies Pour créer une stratégie personnalisée, vous devez d'abord créer ou modifier un modèle de stratégie personnalisée qui spécifie les ports et protocoles utilisés par les stratégies de ce type. Puis vous devez créer une ou plusieurs stratégies à partir de ce modèle afin de paramétrer les règles d'accès, la journalisation, la QoS (qualité de service) et d'autres réglages. Créer ou modifier un modèle de stratégie personnalisée 1. Sélectionnez Pare-feu > Stratégies de pare-feu. Cliquez sur le bouton Ajouter. 2. Cliquez sur Personnalisé ou sélectionnez un modèle de stratégie personnalisée et cliquez sur Modifier. 3. Dans la zone de texte Nom, tapez le nom de la stratégie personnalisée. Le nom figure à présent dans Policy Manager comme type de stratégie. Un nom unique permet de facilement retrouver une stratégie si vous souhaitez la modifier ou la supprimer. Ce nom doit être différent de ceux figurant dans la liste de la boîte de dialogue Ajouter une stratégie. 4. Dans la zone de texte Description, entrez la description de la stratégie. Elle est visible dans le volet de détails lorsque vous cliquez sur le nom de la stratégie dans la liste des filtres utilisateur. 5. Sélectionnez le type de stratégie : Filtre de paquetsou Proxy. 6. Si vous sélectionnez Proxy, choisissez le protocole de proxy dans la liste déroulante située à côté. 7. Pour associer des protocoles à cette stratégie, cliquez sur Ajouter. La boîte de dialogue Ajouter un protocole s’affiche. 270 WatchGuard System Manager Stratégies 8. Dans la liste déroulante Type, sélectionnez Port unique ou Plage de ports. 9. Dans la liste déroulante Protocole, sélectionnez le protocole à associer à cette nouvelle stratégie. Si vous sélectionnez Port unique, vous avez le choix entre les types suivants :TCP,UDP, GRE, AH, ESP, ICMP, IGMP, OSP, IP ou Tout. Si vous sélectionnez Plage de ports, vous avez le choix entre les types de port TCP ou UDP. Les options situées sous la liste déroulante changent pour chaque protocole. Note Fireware XTM ne transmet pas le trafic multidiffusion IGMP via Firebox ni entre les interfaces de Firebox. Il achemine le trafic multidiffusion IGMP entre une interface et le périphérique Firebox. 10. Dansla liste déroulante Port du serveur,sélectionnez le port àassocier àcette nouvelle stratégie. Sivous sélectionnezPlage deports, choisissezun portde serveur de débutet unport de serveur de fin. 11. Cliquez sur Enregistrer. Le modèle de stratégie est ajouté au dossier Stratégies personnalisées. Vous pouvez à présent utiliser le modèle de stratégie pour ajouter une ou plusieurs stratégies personnalisées à votre configuration. Utilisez la même procédure que pour une stratégie prédéfinie. À propos des propriétés de stratégie Chaque type de stratégie comporte une définition par défaut, qui se compose de réglages adaptés à la plupart des organisations. Cependant, vous pouvez modifier les réglages de stratégie pour vos objectifs commerciaux spécifiques ou ajouter d'autres réglages tels que la gestion du trafic et les calendriers d'application. Les stratégies Mobile VPN se créent et fonctionnent de la même manière que les stratégies de pare-feu. Cependant, vous devez spécifier un groupe Mobile VPN auquel la stratégie s'applique. Vous pouvez modifier le nom de stratégie en haut de la page de configuration de stratégie. Vous pouvez également modifier l'action de proxy si la stratégie correspond à une stratégie de proxy. Pour plus d’informations, voir À propos des actions de proxy à la page 285. Pour régler les propriétés d'une stratégie, sur la page Stratégies de pare-feu, double-cliquez sur la stratégie pour ouvrir la page Configuration de la stratégie. Ou, si vous venez d'ajouter la stratégie à votre configuration, la page Configuration de la stratégie s'affiche automatiquement. Guide de l’utilisateur 271 Stratégies Onglet Stratégie Utilisez l'onglet Stratégie pour régler les informations de base concernant la stratégie, par exemple si elle autorise ou refuse le trafic et les appareils qu'elle gère. Vous pouvez utiliser les paramètres de l'onglet Stratégie pour créer des règles d'accès pour une stratégie ou configurer le routage basé sur stratégie, la translation d'adresses réseau (NAT) statique ou l'équilibrage de charge de serveur. Pour plus d'informations sur les options de cet onglet, consultez les sujets suivants : n n n n Définir des règles d’accès pour une stratégie à la page 273 Configurer le routage basé sur stratégie à la page 275 À propos de NAT statique à la page 157 Configurer les équilibrage de charge côté serveur à la page 158 Onglet Propriétés L'onglet Propriétés affiche le port et le protocole auxquels s'applique la stratégie, ainsi qu'une description de la stratégie définie. Vous pouvez utiliser les paramètres de cet onglet pour définir la journalisation, la notification, le blocage automatique et les préférences de délai d'attente. Pour plus d'informations sur les options de cet onglet, consultez les sujets suivants : n n n Définir les préférences de journalisation et de notification à la page 371 Bloquer temporairement les sites avec des paramètres de stratégie à la page 357 Définir un délai d'inactivité personnalisé à la page 276 Onglet Avancé L'onglet Avancé comprend des paramètres pour la translation d'adresses réseau (NAT) et la gestion du trafic (QoS) ainsi que les options multi-WAN et ICMP. Pour plus d'informations sur les options de cet onglet, consultez les sujets suivants : n n n n n n Définir un calendrier d'application à la page 269 Ajouter une une action de gestion de trafic à une stratégie à la page 342 Définir la gestion des erreurs ICMP à la page 277 Appliquer les règles NAT à la page 277 Activer le marquage QoS ou les paramètres de priorité d’une stratégie à la page 339 Définir la durée de connexion persistante pour une stratégie à la page 278 Paramètres de proxy Chaque stratégie de proxy comporte des paramètres spécifiques à la connexion pouvant être personnalisés. Pour en savoir plus sur les options de chaque proxy, consultez la rubrique À propos de pour afficher le protocole souhaité. À propos de DNS proxy à la page 286 À propos de la Proxy FTP à la page 289 À propos de la Passerelle ALG H.323 à la page 293 À propos du proxy HTTP à la page 299 272 À propos de la Proxy POP3 à la page 313 À propos de la Proxy SIP à la page 316 À propos de la Proxy SMTP à la page 321 À propos de la Proxy TCP-UDP à la page 326 WatchGuard System Manager Stratégies À propos de la Proxy HTTPS à la page 308 Définir des règles d’accès pour une stratégie Utilisez l’onglet Stratégie de la boîte de dialogue Configuration de stratégie pour configurer les règles d’accès d’une stratégie donnée. Le champ Connexions détermine si le trafic conforme aux règles de la stratégie est autorisé ou refusé. Pour définir la manière dont le trafic est traité, utilisez les paramètres suivants : Autorisé Firebox autorise le trafic qui applique cette stratégie s’il est conforme aux règles que vous avez définies pour la stratégie. Vous pouvez configurer la stratégie de façon à créer un message du journal lorsque le trafic réseau coïncide avec la stratégie. Refusé La Firebox refuse tout le trafic correspondant aux règles de cette stratégie et n'envoie pas de notification au périphérique qui a envoyé le trafic. Vous pouvez configurer la stratégie de façon à créer un message de journal dès qu’un ordinateur tente d’utiliser cette stratégie. La stratégie peut également ajouter automatiquement un ordinateur ou un réseau à la liste des sites bloqués si celuici tente d’établir une connexion avec cette stratégie. Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 357. Refusé (envoi réinitialisation) Firebox refuse l’ensemble du trafic qui n’est pas conforme aux règles de cette stratégie. Vous pouvez la configurer de sorte qu’elle crée un message de journal dès qu’un ordinateur tente d’utiliser cette stratégie. La stratégie peut également ajouter automatiquement un ordinateur ou un réseau à la liste des sites bloqués si celui-ci tente d’établir une connexion avec cette stratégie. Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 357. Si vous sélectionnez cette option, la Firebox envoie un paquet pour dire au périphérique à l'origine du trafic réseau que la session est refusée et que la connexion est fermée. Vous pouvez paramétrer une stratégie de façon à renvoyer d'autres erreurs, disant au périphérique que le port, le protocole, le réseau ou l'hôte ne peut être joint. Nous vous conseillons d'utiliser ces options avec beaucoup de prudence afin que votre réseau puisse fonctionner correctement avec d'autres réseaux. L’onglet Stratégie contient également les éléments suivants : Guide de l’utilisateur 273 Stratégies n n Une liste De(ou source) qui détermine qui peut envoyer ou non du trafic réseau avec cette stratégie. Une liste Vers (ou destinationqui détermine vers qui Firebox peut acheminer le trafic lorsqu’il est conforme ou non aux spécifications d’une stratégie. Par exemple, vous pourriez configurer un filtre de paquets ping pour autoriser le trafic ping en provenance de tous les ordinateurs du réseau externe vers un serveur Web de votre réseau facultatif. Sachez toutefois que le réseau de destination devient plus vulnérable dès lors que vous l'ouvrez au(x) port(s) que la stratégie contrôle. Assurez-vous de configurer soigneusement vos stratégies pour éviter les vulnérabilités. 1. Pour ajouter des membres à vos spécifications d’accès, cliquez sur Ajouter dans la liste de membres De ou Vers. La boîte de dialogue Ajouter un membre s’affiche. 2. La la liste comporte les membres que vous pouvez ajouter aux listes De où Vers. Un membre peut être un alias, un utilisateur, un groupe, une adresse IP ou une plage d'adresses IP. 3. Dans la liste déroulante Type de membre, définissez le type de membre que vous souhaitez ajouter à la boîte. 4. Sélectionnez un membre que vous souhaitez ajouter et cliquez sur Ajouter, ou double-cliquez sur une entrée de la fenêtre. 5. Pour ajouter de nouveaux membres au champ De ou Vers , répétez les étapes précédentes. 6. Cliquez sur OK. La source et la destination peuvent être une adresse IP d’hôte, une plage d’hôtes, un nom d’hôte, une adresse réseau, un nom d’utilisateur, un alias, un tunnel VPN ou une combinaison de ces éléments. Pour obtenir plus d’informations sur les alias qui se présentent sous forme d’options dans la liste De ou la liste Vers, voir À propos des alias à la page 263. Pour obtenir plus d'informations sur la façon de créer un nouvel alias, voir Créer un alias à la page 264. 274 WatchGuard System Manager Stratégies Configurer le routage basé sur stratégie Pour envoyer le trafic réseau, un routeur inspecte en principe l’adresse de destination du paquet, puis recherche la destination du saut suivant dans sa table de routage. Dans certains cas, il est préférable que le trafic emprunte un autre itinéraire que celui par défaut indiqué dans la table de routage. Pour ce faire, il convient de configurer une stratégie avec une interface externe spécifique à utiliser pour l’ensemble du trafic sortant conforme à cette stratégie. Cette technique s’appelle le routage basé sur stratégie. Le routage basé sur stratégie est prioritaire sur les paramètres multi-WAN. Basé sur des règles Le routage peut être mis en œuvre si vous disposez de plusieurs interfaces externes et avez configuré Firebox pour le multi-WAN. Avec le routage basé sur stratégie, vous avez la garantie que l’ensemble du trafic contrôlé par une stratégie traverse toujours la même interface externe, même si votre configuration multi-WAN prévoit l’envoi du trafic en mode de tourniquet. Par exemple, si vous souhaitez que les e-mails soient routés à travers une interface spécifique, vous pouvez utiliser le routage basé sur stratégie dans la définition du proxy SMTP ou POP3. Note Pour utiliser le routage basé sur stratégie, vous devez être équipé de Fireware XTM avec une mise à niveau Pro. Vous devez également configurer au moins deux interfaces externes. Routage basé sur stratégie, basculement et failback Lorsque vous utilisez le routage basé sur stratégie avec le basculement multi-WAN, vous pouvez indiquer si le trafic conforme à la stratégie doit ou non utiliser une autre interface externe lorsque le basculement a lieu. Par défaut, le trafic est abandonné jusqu’à ce que l’interface soit de nouveau disponible. Les paramètres de failback (définis dans l’onglet Multi-WAN de la boîte de dialogue Configuration du réseau) s’appliquent également au routage basé sur stratégie. Si un basculement a lieu et que l’interface d’origine devient par la suite disponible, Firebox peut envoyer les connexions actives à l’interface de basculement ou revenir à l’interface d’origine. Les nouvelles connexions sont envoyées à l’interface d’origine. Restrictions appliquées au routage basé sur stratégie n n n Le routage basé sur stratégie n’est disponible que si le mode multi-WAN est activé. Si vous activez le mode multi-WAN, la boîte de dialogue Modifier les propriétés de stratégie contient automatiquement les champs permettant de configurer le routage basé sur stratégie. Par défaut, le routage basé sur stratégie n’est pas activé. Il ne s’applique pas au trafic IPSec ni au trafic destiné au réseau approuvé ou au réseau facultatif (trafic entrant). Ajouter un routage basé sur stratégie à une stratégie 1. Sélectionnez Pare-feu > Stratégies de pare-feu. 2. Sélectionnez une stratégie et cliquez sur Modifier. Ou double-cliquez sur une stratégie. La page Configuration de stratégie apparaît. Guide de l’utilisateur 275 Stratégies 3. Cochez la case Utiliser le routage basé sur stratégie. 4. Pour définir l’interface qui envoie le trafic sortant conforme à la stratégie, sélectionnez le nom de l’interface dans la liste déroulante située à côté. Assurez-vous que l’interface sélectionnée est un membre de l’alias ou du réseau que vous avez défini dans le champ Vers de votre stratégie. 5. (Facultatif) Configurer le routage basé sur stratégie avec basculement multi-WAN tel que décrit cidessous. Si vous ne sélectionnez pas Basculement et que l’interface que vous avez définie pour cette stratégie devient inactive, le trafic est abandonné jusqu'à ce que l’interface soit de nouveau disponible. 6. Cliquez sur Enregistrer. Configurer pour une stratégie routage avec basculement Vous pouvez définir l’interface que vous avez spécifiée pour cette stratégie comme interface principale et définir les autres interfaces externes comme interfaces de sauvegarde pour le trafic non IPSec. 1. Sur la page Configuration de stratégie, sélectionnez Utiliser le basculement. 2. Dans la liste située à côté, cochez la case correspondant à chaque interface que vous souhaitez utiliser dans la configuration du basculement. 3. Utilisez les boutons Monter et Descendre pour définir l’ordre du basculement. La première interface dans la liste est l’interface principale. 4. Cliquez sur Enregistrer. Définir un délai d'inactivité personnalisé Le délai d'inactivité est la durée maximale pendant laquelle une connexion peut rester active sans qu'aucun trafic ne soit envoyé. Par défaut, la Firebox ferme les connexions réseau au bout de 300 secondes (6 minutes). Lorsque vous activez ce paramètre pour une stratégie, la Firebox ferme la connexion après la durée que vous avez spécifiée. 1. Sur la page Configuration de stratégie, sélectionnez l'onglet Propriétés. 2. Cochez la case Définir un délai d'inactivité personnalisé. 3. Dans le champ adjacent, spécifiez le nombre de secondes avant la fin du délai. 276 WatchGuard System Manager Stratégies Définir la gestion des erreurs ICMP Vous pouvez définir les paramètres de gestion des erreurs ICMP associés à une stratégie. Ces derniers remplacent les paramètres globaux de gestion des erreurs ICMP. Pour modifier les paramètres de gestion des erreurs ICMP de la stratégie actuelle : 1. Cliquez sur l’onglet Avancé. 2. Cochez la case Utiliser la gestion des erreurs ICMP basée sur la stratégie. 3. Cochez une case ou plus pour contourner les paramètres ICMP globaux pour ce paramètre. Pour plus d'informations sur les paramètres ICMP globaux, voir Définir les paramètres globaux de Firebox à la page 70. Appliquer les règles NAT Vous pouvez appliquer des règles de traduction d’adresses réseau (NAT) à une stratégie. Vous pouvez sélectionner 1-to-1 NAT ou NAT dynamique. 1. Sur la page Configuration de stratégie, sélectionnez l'onglet Avancé. 2. Sélectionnez l'une des options décrites dans les actions suivantes. 1-to-1 NAT Avec ce type de NAT, le périphérique WatchGuard utilise les plages d’adresses IP privées et publiques que vous avez définies, comme décrit dans À propos de 1-to-1 NAT à la page 147. NAT dynamique Avec ce type de NAT, le périphérique WatchGuard fait correspondre des adresses IP privées avec des adresses IP publiques. La traduction d’adresses réseau dynamique est par défaut activée pour toutes les stratégies. Sélectionnez Utiliser les paramètres NAT du réseau pour appliquer les règles de NAT dynamique définies pour le périphérique WatchGuard. Sélectionnez L’ensemble du trafic de cette stratégie pour appliquer le service NAT à l’ensemble du trafic de cette stratégie. Dans le champ Définir l'adresse IP source, vous pouvez sélectionner une adresse IP source NAT dynamique pour toute stratégie utilisant le NAT dynamique. Ceci permet de garantir que tout le trafic qui fait appel à cette stratégie affiche une adresse spécifiée provenant de votre plage d’adresses IP publiques ou externes comme étant la source. Ceci est utile si vous souhaitez forcer le trafic SMTP sortant à afficher l’adresse d’enregistrement MX de votre domaine lorsque l’adresse IP de l’interface externe du périphérique WatchGuard est différente de l'adresse IP d’enregistrement MX. Les règles NAT 1 à 1 sont prioritaires sur les règles de NAT dynamique. Guide de l’utilisateur 277 Stratégies Définir la durée de connexion persistante pour une stratégie Les paramètres de connexion persistante d’une stratégie remplacent les paramètres de connexion persistante globale. Vous devez activer le multi-WAN pour utiliser cette fonctionnalité. 1. Dans la page Propriétés de stratégie, cliquez sur l’onglet Avancé. 2. Pour utiliser les paramètres Connexion persistante multi-WAN globale, décochez la case Remplacer les paramètres de la connexion persistante multi-WAN. 3. Pour définir une valeur de connexion persistante personnalisée pour cette stratégie, cochez la case Activer la connexion persistante. 4. Dans la zone de texte Activer la connexion persistante, saisissez la durée de maintien de la connexion en minutes. 278 WatchGuard System Manager 13 Paramètres proxy À propos de stratégies de proxy et passerelles ALG Toutes les stratégies WatchGuard constituent des outils importants en matière de sécurité du réseau, qu’il s’agisse de stratégies de filtrage de paquets, de stratégies de proxy ou de passerelles ALG (application layer gateways). Un filtre de paquets examine l’adresse IP et l’en-tête TCP/UDP de chaque paquet, un proxy surveille et analyse l’ensemble des connexions, et une passerelle ALG offre une gestion des connexions transparente en plus d’une fonctionnalité de proxy. Les stratégies de proxy et les passerelles ALG examinent les commandes utilisées dans la connexion afin d’assurer qu’elles respectent la syntaxe et l’ordre appropriés, et procèdent à une inspection poussée des paquets afin de garantir que les connexions sont sûres. Une stratégie de proxy ou une passerelle ALG ouvre chaque paquet l’un après l’autre, supprime l’en-tête de la couche réseau et inspecte l’entrée Payload du paquet. Un proxy réécrit alors les informations réseau est envoie le paquet à sa destination, tandis qu’une passerelle ALG restaure les informations réseau d’origine et transmet le paquet. Ainsi, un proxy comme une passerelle ALG peuvent trouver des contenus interdits ou malveillants cachés ou intégrés dans l’entrée Payload du paquet. Par exemple, un proxy SMTP recherche dans la totalité des paquets SMTP entrants (e-mails) du contenu interdit, tel que des programmes ou fichiers exécutables écrits en langages de script. Les personnes malveillantes ont souvent recours à ces méthodes pour envoyer des virus informatiques. Le proxy ou la passerelle ALG peut mettre en œuvre une stratégie qui interdit ce type de contenu ; en revanche, un filtre de paquets ne peut pas détecter le contenu non autorisé dans les entrées de données Payload du paquet. Si vous avez souscrit, puis activé des abonnements supplémentaires aux services de sécurité (Gateway AntiVirus, Intrusion Prevention Service, spamBlocker, WebBlocker), les proxies WatchGuard peuvent appliquer les services correspondants au trafic réseau. Guide de l’utilisateur 279 Paramètres proxy Configuration de proxy Comme les filtres de paquets, les stratégies de proxy comprennent des options communes pour gérer le trafic réseau, notamment des fonctionnalités de gestion du trafic et de planification. Cependant, les stratégies de proxy comprennent également des paramètres liés au protocole réseau spécifié. Par exemple, vous pouvez configurer une stratégie de proxy DNS de façon à n’autoriser que les requêtes correspondant à la classe IN, ou configurer un proxy SMTP pour refuser les e-mails dont les en-têtes ne sont pas correctement paramétrés. Vous pouvez configurer ces options dans les onglets Général et Contenu de chaque stratégie de proxy. Fireware XTM prend en charge les stratégies de proxy pour de nombreux protocoles communs, notamment DNS, FTP, H.323, HTTP, HTTPS, POP3, SIP, SMTP et TCP-UDP. Pour plus d’informations sur une stratégie de proxy, consultez la rubrique de la stratégie en question. À propos de DNS proxy à la page 286 À propos de la Proxy FTP à la page 289 À propos de la Passerelle ALG H.323 à la page 293 À propos du proxy HTTP à la page 299 À propos de la Proxy HTTPS à la page 308 À propos de la Proxy POP3 à la page 313 À propos de la Proxy SIP à la page 316 À propos de la Proxy SMTP à la page 321 À propos de la Proxy TCP-UDP à la page 326 À propos des configurations de blocage d’applications Vous pouvez utiliser Application Blocker pour définir les actions que devra effectuer votre périphérique Firebox ou XTM lorsqu’une stratégie de proxy TCP-UDP, HTTP ou HTTPS détecte une activité réseau provenant d’applications de messagerie instantanée ou de pair à pair (P2P). Application Blocker identifie les applications de messagerie instantanée suivantes : n n n n n n AIM (AOL Instant Messenger) ICQ IRC MSN Messenger Skype Yahoo! Messenger Note Application Blocker ne peut pas bloquer les sessions Skype déjà actives. Pour plus d’informations, cf. À propos de Skype et du blocage d’applications. Application Blocker identifie les applications P2P suivantes : n n n n n n 280 BitTorrent Ed2k (eDonkey2000) Gnutella Kazaa Napster Winny WatchGuard System Manager Paramètres proxy Note Le service Intrusion Prevention Service n'est pas requis pour utiliser la fonctionnalité de blocage d'application. Configurer Application Blocker Pour les proxies HTTP et TCP-UDP, vous pouvez configurer les paramètres d’Application Blocker suivants : Applications de messagerie instantanée Cochez la case située à côté d’une ou plusieurs applications de messagerie instantanée. Puis sélectionnez Autoriser ou Abandonner dans la liste déroulante Lors de la détection d’une application de messagerie instantanée. Si vous sélectionnez Autoriser, les applications que vous n'avez pas cochées sont bloquées. Si vous sélectionnez Abandonner, les applications que vous n'avez pas cochées sont autorisées. Par exemple, sur la capture d’écran ci-dessus, les applications AIM, ICQ et Yahoo! sont sélectionnées. L’action étant réglée sur Abandonner, le proxy autorise le trafic de messagerie instantanée IRC, Skype et MSN. Applications P2P Cochez la case située à côté d’une ou plusieurs applications P2P. Puis sélectionnez Autoriser ou Abandonner dans la liste déroulante Lors de la détection d’une application P2P. Si vous sélectionnez Autoriser, les applications que vous n'avez pas cochées sont bloquées. Si vous sélectionnez Abandonner, les applications que vous n'avez pas cochées sont autorisées. Par exemple, sur la capture d’écran ci-dessus, les applications Kazaa, Ed2k, Napster et Gnutella sont sélectionnées. L’action étant réglée sur Abandonner, le proxy autorise tous les autres types de trafic P2P. Si vous souhaitez savoir où configurer les paramètres d’Application Blocker dans les proxies HTTP et TCPUDP, voir Guide de l’utilisateur 281 Paramètres proxy n n Proxy TCP-UDP : Contenu Proxy HTTP : Application Blocker À propos de Skype et du blocage d’applications Skype est une application réseau pair à pair (P2P) très répandue, utilisée pour effectuer des appels vocaux, envoyer des messages texte, transférer des fichiers ou participer à des vidéoconférences via Internet. Le client Skype utilise une combinaison dynamique de ports comportant les ports sortants 80 et 443. Le trafic Skype est très difficile à détecter et à bloquer parce qu’il est chiffré et que le client Skype est capable de contourner de nombreux pare-feu réseau. Vous pouvez configurer Application Blocker pour bloquer une connexion utilisateur au réseau Skype. Il est important de bien comprendre qu’Application Blocker peut bloquer uniquement la connexion initiale à Skype. Il ne peut pas bloquer le trafic pour un client Skype qui s'est déjà connecté et qui dispose d'une connexion active. Par exemple, n n Si un utilisateur distant se connecte à Skype lorsque l’ordinateur n’est pas connecté à votre réseau, et que l’utilisateur se connecte ensuite à votre réseau pendant que le client Skype est encore actif, Application Blocker ne pourra pas bloquer le trafic Skype tant que l’utilisateur n’aura pas quitté et ne se sera pas déconnecté de l’application Skype ou n’aura pas redémarré son ordinateur. Lorsque vous configurez Application Blocker pour bloquer Skype, tout utilisateur étant déjà connecté sur le réseau Skype n’est pas bloqué tant qu’il ne se déconnecte pas de l’application Skype ou ne redémarre pas son ordinateur. Lorsqu’Application Blocker bloque une connexion Skype, il ajoute les adresses IP des serveurs Skype à la liste des sites bloqués. Pour ces adresses IP bloquées, la source de déclenchement est l’administrateur et la raison est la gestion des paquets par défaut. Par ailleurs, un message du journal apparaît dans le moniteur du trafic qui indique que l’accès au serveur Skype a été refusé, car l’adresse figure sur la liste des sites bloqués. Note La liste des sites bloqués interdisant le trafic entre les serveurs Skype et tous les utilisateurs du réseau, l'accès à Skype est bloqué pour tous les utilisateurs. Les adresses IP de serveurs Skype figurent sur la liste des serveurs bloqués pendant la durée que vous spécifiez dans la zone de texte Durée du blocage automatique de sites lors de la configuration des sites bloqués. La valeur par défaut est de 20 minutes. Si vous bloquez Skype puis modifiez la configuration pour annuler ce blocage, les adresses IP des serveurs Skype figurant sur la liste des sites bloqués restent bloquées jusqu’à expiration du blocage, ou jusqu’à ce que vous les retiriez manuellement de cette liste. Pour plus d'informations sur le réglage de la durée du blocage automatique de sites, voir Modifier la durée du blocage automatique des sites à la page 358. Bloquer les connexions Skype Pour bloquer les connexions Skype, vous devez créer une configuration d’Application Blocker puis sélectionner Skype comme type d’application à bloquer. Vous devez ensuite appliquer cette configuration à votre stratégie de proxy TCP/UDP. Pour plus d'informations sur la création d'une configuration d’Application Blocker, voir À propos des configurations de blocage d’applications à la page 280. 282 WatchGuard System Manager Paramètres proxy Ajouter une stratégie de proxy à votre configuration Lorsque vous ajoutez une stratégie de proxy ou une passerelle ALG (application layer gateway) à votre configuration Fireware XTM, vous devez spécifier les types de contenus que le périphérique Firebox ou XTM doit rechercher lorsqu’il examine le trafic réseau. Si le contenu correspond (ou non) aux critères de la définition du proxy ou de la passerelle ALG, le trafic est autorisé (ou refusé). Vous pouvez utiliser les paramètres par défaut de la stratégie de proxy ou de la passerelle ALG ou bien définir des paramètres correspondant au trafic réseau de votre organisation. Il vous est également possible de créer des stratégies de proxy ou des passerelles ALG supplémentaires pour gérer les différentes parties de votre réseau. Il est important de noter que la stratégie de proxy ou la passerelle ALG requiert plus de puissance de processeur qu'un filtre de paquets. Si vous ajoutez un nombre important de stratégies de proxy ou de passerelles ALG à votre configuration, le trafic réseau peut s’en trouver ralenti. Toutefois, un proxy ou une passerelle ALG a recours à des méthodes que les filtres de paquets ne peuvent pas utiliser pour intercepter les paquets dangereux. Chaque stratégie de proxy inclut un ensemble de paramètres que vous pouvez ajuster de manière à créer un équilibre entre vos besoins en termes de sécurité et vos objectifs de performances. Vous pouvez utiliser Fireware XTM Web UI pour ajouter une stratégie de proxy. 1. Sélectionnez Pare-feu > Stratégies de pare-feu. 2. Cliquez sur Ajouter. 3. Dans la liste Sélectionner un type de stratégie, sélectionnez un filtre de paquets, une stratégie de proxy ou une passerelle ALG (Application Layer Gateway). Cliquez sur Ajouter. La page Configuration de stratégie s’affiche. Guide de l’utilisateur 283 Paramètres proxy Pour plus d'informations sur les propriétés de base de toutes les stratégies, voir À propos des propriétés de stratégie à la page 271. Pour plus d'informations sur les paramètres par défaut pour une stratégie de proxy ou une passerelle ALG, voir la rubrique « À propos de » pour le type de stratégie que vous avez ajouté. À propos de DNS proxy à la page 286 À propos de la Proxy FTP à la page 289 À propos de la Passerelle ALG H.323 à la page 293 284 À propos de la Proxy POP3 à la page 313 À propos de la Proxy SIP à la page 316 À propos de la Proxy SMTP à la page 321 WatchGuard System Manager Paramètres proxy À propos du proxy HTTP à la page 299 À propos de la Proxy HTTPS à la page 308 À propos de la Proxy TCP-UDP à la page 326 À propos des actions de proxy Une action de proxy est un groupe spécifique de paramètres, de sources ou de destinations pour un type de proxy. Votre configuration pouvant comprendre plusieurs stratégies de proxy du même type, chaque stratégie de proxy utilise une action de proxy différente. Chaque stratégie de proxy comporte des actions de proxy prédéfinies, ou par défaut, pour les clients et les serveurs. Par exemple, vous pouvez utiliser une action de proxy pour les paquets envoyés à un serveur POP3 protégé par le périphérique Firebox ou XTM et une autre action de proxy qui sera appliquée aux e-mails récupérés par les clients POP3. Vous pouvez créer plusieurs actions de proxy différentes pour les clients ou les serveurs, ou pour un type de stratégie de proxy spécifique. Cependant, vous ne pouvez attribuer qu'une seule action de proxy à chaque stratégie de proxy. Par exemple, une stratégie POP3 est liée à une action de proxy POP3-client. Si vous souhaitez créer une action de proxy POP3 pour un serveur POP3, ou une action de proxy supplémentaire pour des clients POP3, vous devez ajouter de nouvelles stratégies de proxy POP3 utilisant ces nouvelles actions de proxy dans Policy Manager. Définir l’action de proxy Pour définir l'action de proxy correspondant à une stratégie de proxy avant de créer la stratégie, sélectionnez un modèle de stratégie de proxy, puis sélectionnez l'action de votre choix dans la liste déroulante Action de proxy. Pour modifier une action de proxy correspondant à une stratégie de proxy existante, cliquez sur le bouton Modifier situé en haut de la page, puis sélectionnez l'action de votre choix dans la liste déroulante et cliquez sur OK. Modifier, supprimer ou cloner des actions de proxy n n n Pour modifier une action de proxy, modifiez les paramètres d'une stratégie de proxy utilisant cette action de proxy et enregistrez vos modifications. Pour supprimer une action de proxy, rendez-vous sur la page Pare-feu > Actions de proxy. Sélectionnez l'action de proxy à supprimer, puis cliquez sur Supprimer. Si vous choisissez une action de proxy en cours d’utilisation, vous devez d’abord modifier cette stratégie de proxy pour qu’elle utilise une autre action de proxy afin de pouvoir supprimer cette action de proxy. Pour faire une copie d’une action de proxy et l’enregistrer sous un nouveau nom, rendez-vous sur la page Pare-feu > Actions de proxy. Sélectionnez le proxy avec les paramètres que vous souhaitez copier, et cliquez sur Cloner. Saisissez un nouveau nom pour l'action de proxy et cliquez sur OK. Pour plus d'informations sur les paramètres d'action de proxy, consultez la rubrique À propos de pour chaque proxy. À propos de DNS proxy à la page 286 À propos de la Proxy FTP à la page 289 À propos de la Passerelle ALG H.323 à la page 293 À propos du proxy HTTP à la page 299 À propos de la Proxy HTTPS à la page 308 Guide de l’utilisateur À propos de la Proxy POP3 à la page 313 À propos de la Proxy SIP à la page 316 À propos de la Proxy SMTP à la page 321 À propos de la Proxy TCP-UDP à la page 326 285 Paramètres proxy À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy Fireware XTM comporte des actions de proxy de clients et de serveurs prédéfinies pour chaque proxy. Ces actions sont configurées en vue d’équilibrer les exigences d’accessibilité d’une entreprise standard et les besoins de protection contre les attaques de vos biens informatiques. Vous ne pouvez pas modifier les paramètres des actions de proxy prédéfinies. Si vous souhaitez changer la configuration, vous devez cloner (copier) la définition existante et l’enregistrer en tant qu’action de proxy définie par l’utilisateur. Concernant les actions de proxy prédéfinies, vous ne pouvez pas configurer les services d’abonnement tels que Gateway AntiVirus. Par exemple, pour modifier un paramètre de l’action de proxy HTTP-Client, vous devez l’enregistrer sous un autre nom, comme HTTP-Client.1. Cette opération est nécessaire uniquement si vous modifiez des ensembles de règles. Si vous éditez des paramètres généraux tels que les sources ou destinations autorisées ou les paramètres NAT d’une stratégie, il est inutile d’enregistrer le paramètre sous un nouveau nom. À propos de DNS proxy DNS (Domain Name System) est un système réseau de serveurs qui traduit des adresses IP numériques en adresses Internet hiérarchiques, lisibles. Le DNS permet à votre réseau d'ordinateurs de comprendre, par exemple, que vous souhaitez atteindre le serveur situé à l'adresse 200.253.208.100 lorsque vous saisissez un nom de domaine dans le navigateur, tel que www.watchguard.com. Avec Fireware XTM, vous avez le choix entre deux méthodes différentes pour contrôler le trafic DNS : le filtre de paquets DNS et la stratégie de proxy DNS. Le proxy DNS est utile uniquement si les requêtes DNS sont routées via votre Firebox. Lorsque vous créez un fichier de configuration, le fichier inclut automatiquement une stratégie de filtrage de paquets « Sortant » qui autorise toutes les connexions TCP et UDP provenant de vos réseaux approuvés et facultatifs vers l’extérieur. Cela permet à vos utilisateurs de se connecter à un serveur DNS externe à l'aide des ports TCP 53 et UDP 53 standard. Étant donné que « Sortant » est un filtre de paquets, il ne peut pas protéger contre les chevaux de Troie du trafic sortant UDP, les failles de sécurité DNS et autres problèmes courants qui se produisent lorsque vous ouvrez l’ensemble du trafic UDP sortant à partir de vos réseaux approuvés. Le proxy DNS présente des fonctionnalités qui protègent votre réseau de ces menaces. Si vous utilisez des serveurs DNS externes pour votre réseau, l’ensemble des règles DNS-Sortant fournit des méthodes supplémentaires permettant de contrôler les services disponibles pour votre communauté de réseaux. Pour ajouter le proxy DNS à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre configuration à la page 283. Onglet Stratégie n n 286 Les connexions DNS-proxy sont — Spécifiez si l'état des connexions est Autorisé, Refusé ou Refusé (envoi réinitialisation) et définissez celui qui apparaît dans la liste De et Vers (de l'onglet Stratégie de la définition du proxy). Voir Définir des règles d’accès pour une stratégie à la page 273. Utiliser le routage basé sur stratégie — voir Configurer le routage basé sur stratégie à la page 275. WatchGuard System Manager Paramètres proxy n Vous pouvez également configurer la translation d'adresses réseau statique ou configurer l'équilibrage de charge de serveur. Voir À propos de NAT statique à la page 157 et Configurer les équilibrage de charge côté serveur à la page 158. Onglet Propriétés n n n Pour définir la journalisation d'une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification à la page 371. Si vous définissez la liste déroulante Les connexions sont (de l'onglet Stratégie) sur Refusées ou sur Refusées (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d'utiliser le DNS. Voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 357. Pour utiliser un délai d'inactivité autre que celui défini par Firebox ou le serveur d'authentification, Définir un délai d'inactivité personnalisé à la page 276. Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition de proxy : n n n n n n Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer les règles NAT (1-to-1 NAT et la traduction d'adresses réseau (NAT) dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie Onglets Paramètres et Contenu Les stratégies de proxy WatchGuard comportent des options de sécurité réseau et de performance supplémentaires associées au type de trafic réseau contrôlé par le proxy. Pour modifier ces paramètres, modifiez la stratégie de proxy et cliquez sur l'onglet Paramètres ou Contenu. n n Proxy DNS : Paramètres Proxy DNS : Contenu Proxy DNS : Contenu Lorsque vous ajoutez une stratégie de proxy DNS, vous pouvez configurer des options supplémentaires associées au protocole DNS. Pour améliorer la sécurité et la performance du réseau : 1. Modifiez ou ajoutez la stratégie proxy DNS. La page Configuration de stratégie apparaît. 2. Cliquez sur l’onglet Contenu. 3. Configurez Types de requêtes et Noms des requêtes. Guide de l’utilisateur 287 Paramètres proxy Types de requêtes Cette liste affiche chaque type d'enregistrement DNS ainsi que sa valeur. Pour refuser les requêtes d'enregistrement DNS d'un type spécifié, décochez la case adjacente. Noms de requêtes Pour refuser les requêtes DNS par modèles, cochez la case Refuser ces noms de requêtes. Saisissez un nom d'hôte dans la zone de texte adjacente et cliquez sur Ajouter. Pour supprimer une entrée dans la liste Noms de requêtes, sélectionnez l'entrée et cliquez sur Supprimer. 4. Pour modifier d'autres paramètres de proxy, cliquez sur un autre onglet. 5. Cliquez sur Enregistrer. Proxy DNS : Paramètres Lorsque vous ajoutez une stratégie de proxy DNS, vous pouvez configurer des options supplémentaires associées au protocole DNS. Pour améliorer la sécurité et la performance du réseau : 1. Modifiez ou ajoutez la stratégie proxy DNS. La page Configuration de stratégie apparaît. 2. Sélectionnez l'onglet Paramètres. 3. Configurez les Règles de détection des anomalies de protocole. 288 WatchGuard System Manager Paramètres proxy N’appartient pas à la classe Internet La plupart des requêtes DNS utilisent la classe IN ou Internet. De nombreuses attaques utilisent plutôt la classe CH (Chaos) ou HS (Hesiod) . Néanmoins, certaines configurations réseau requièrent ces classes pour fonctionner correctement. Par exemple, vous pouvez utiliser le nom de service Hesiod pour distribuer automatiquement les informations concernant l'utilisateur et le groupe sur un réseau avec système d'exploitation Unix. L'action par défaut est de refuser ces requêtes. Sélectionnez une option pour les requêtes DNS qui utilisent les classes CH ou HS : n n n n Autoriser Refuser Abandonner Bloquer — Toutes les requêtes futures de cet appareil sont automatiquement bloquées pendant une période définie par défaut. Sélectionnez l'option appropriée dans la liste déroulante adjacente. Requête formatée de façon incorrecte Une personne malveillante peut essayer d'envoyer des requêtes DNS qui ne correspondent pas aux normes de protocoles afin de contrôler votre réseau. Cependant, d'autres applications peuvent parfois envoyer des requêtes dont le format est incorrect nécessaires à votre organisation. Nous vous conseillons d'utiliser les paramètres par défaut et de refuser les requêtes DNS dont le format est incorrect. Sélectionnez une option pour les requêtes DNS dont le format est incorrect : n n n n Autoriser Refuser Abandonner Bloquer — Toutes les requêtes futures de cet appareil sont automatiquement bloquées pendant une période définie par défaut. Sélectionnez l'option appropriée dans la liste déroulante adjacente. Activer la journalisation des rapports Cochez cette case pour envoyer un message du journal à chaque demande de connexion gérée par le proxy DNS. Vous devez activer cette option pour créer des rapports précis sur le trafic de proxy DNS. 4. Pour modifier d'autres paramètres de proxy, cliquez sur un autre onglet. 5. Cliquez sur Enregistrer. À propos de la Proxy FTP Le protocole FTP (File Transfer Protocol, protocole de transfert de fichiers) permet d’envoyer des fichiers d’un ordinateur vers un autre via un réseau TCP/IP. Le client FTP est en principe un ordinateur. Le serveur FTP peut être une ressource stockant les fichiers sur le même réseau ou sur un autre réseau. Lors du Guide de l’utilisateur 289 Paramètres proxy transfert de données, le client FTP peut se trouver dans l’un des deux modes suivants : actif ou passif. En mode actif, le serveur démarre la connexion avec le client sur le port source 20. En mode passif, le client utilise un port précédemment négocié pour se connecter au serveur. Le proxy FTP surveille et analyse les connexions FTP entre les utilisateurs et les serveurs FTP auxquels ils se connectent. Avec une stratégie de proxy FTP, vous pouvez : n n Définir la longueur maximale du nom d’utilisateur, la longueur du mot de passe, la longueur du nom de fichier et la longueur de la ligne de commande autorisées dans le proxy pour vous aider à protéger votre réseau contre les attaques de dépassement de mémoire tampon. Contrôler le type de fichiers pouvant être transférés et téléchargés via le proxy FTP. Le proxy TCP/UDP est disponible pour les protocoles sur les ports non standard. Lorsque le proxy FTP utilise un port autre que le port 20, le proxy TCP/UDP lui relaie le trafic. Pour plus d’informations sur le proxy TDP/UDP, voir À propos de la Proxy TCP-UDP à la page 326. Pour ajouter le proxy FTP à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre configuration à la page 283. Onglet Stratégie Vous utilisez l’onglet Stratégie pour définir les règles d’accès et d’autres options. n Les connexions FTP-proxy sont — Spécifiez si les connexions sont Autorisées, Refusées ou Refusées (envoi de réinitialisation). Définissez ce qui s’affiche dans la liste De et Vers (sur l’onglet Stratégie de la définition de proxy). Pour plus d’informations, voir Définir des règles d’accès pour une stratégie. n n Utiliser le routage basé sur stratégie — Configurer le routage basé sur stratégie. Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer l’équilibrage de charge serveur. Pour plus d’informations, voir À propos de NAT statique à la page 157 ou Configurer les équilibrage de charge côté serveur à la page 158. Onglet Propriétés n n n Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification à la page 371. Si vous choisissez, dans la liste déroulante Les connexions du proxy FTP sont (dans l’onglet Stratégie), l’option Refusé ou Refusé (envoi réinitialisation), les sites tentant de recourir au protocole FTP seront bloqués. Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 357. Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou le serveur d’authentification, Définir un délai d'inactivité personnalisé à la page 276. Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition du proxy : 290 WatchGuard System Manager Paramètres proxy n n n n n n Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer les règles NAT (la translation NAT un à un et la translation d’adresses réseau (NAT) dynamique sont toutes deux activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie Onglets Paramètres et Contenu Les stratégies de proxy WatchGuard comportent des options de sécurité réseau et de performance supplémentaires associées au type de trafic réseau contrôlé par le proxy. Pour modifier ces paramètres, modifiez la stratégie de proxy et cliquez sur l’onglet Paramètres ou Contenu. n n Proxy FTP : Paramètres FTP proxy : Contenu FTP proxy : Contenu Vous pouvez contrôler le type de fichiers pouvant être transférés et téléchargés via le proxy FTP. Par exemple, de nombreuses personnes malveillantes utilisent des fichiers exécutables pour infecter les ordinateurs avec des virus ou des vers, c’est pourquoi vous pouvez refuser les demandes de fichiers *.exe. De même, si vous ne souhaitez pas que les utilisateurs puissent transférer des fichiers Windows Media vers un serveur FTP, vous pouvez ajouter *.wma à la définition du proxy et préciser que les fichiers portant cette extension doivent être rejetés. Utilisez l’astérisque (*) en tant que caractère générique. Guide de l’utilisateur 291 Paramètres proxy 1. Sélectionnez l’onglet Contenu. 2. Pour limiter les types de fichiers pouvant être téléchargés par les utilisateurs, dans la zone de texte Téléchargements, cochez la case Refuser ces types de fichiers. Cette case à cocher est activée par défaut ; elle permet de limiter les types de fichiers qu’il est possible de télécharger via le proxy FTP. 3. Si vous souhaitez refuser d’autres fichiers ou types de fichiers, saisissez un astérisque (*) et le nom ou l’extension de fichier, puis cliquez sur Ajouter. 4. Pour restreindre les types de fichiers pouvant être transférés par les utilisateurs, dans la section Transferts, cochez la case Refuser ces types de fichiers. Si vous sélectionnez ce réglage, les fichiers correspondant aux modèles spécifiés seront refusés. 5. Si vous souhaitez refuser d’autres fichiers ou types de fichiers, saisissez un astérisque (*) ainsi que le nom ou l’extension concerné(e), puis cliquez sur Ajouter. 6. Cliquez sur Envoyer. Proxy FTP : Paramètres Lorsque vous ajoutez une stratégie de proxy FTP, vous pouvez configurer des options supplémentaires associées au protocole FTP. Pour améliorer la sécurité et la performance du réseau : 1. Modifiez ou ajoutez la stratégie proxy FTP. La page Configuration de stratégie apparaît. 2. Sélectionnez l’onglet Paramètres. 3. Configurez les options suivantes : Longueur maximale du nom d’utilisateur Définissez le nombre maximal de caractères qu’un utilisateur peut envoyer dans un nom d’utilisateur. Lorsqu’un utilisateur se connecte à un serveur FTP, il doit fournir un nom d’utilisateur pour se connecter. Des noms d’utilisateurs très longs peuvent être le signe d’une attaque de dépassement de mémoire tampon. Longueur maximale du mot de passe Définissez le nombre maximal de caractères pour les mots de passe utilisateur. Lorsqu’un utilisateur se connecte à un serveur FTP, il doit fournir un mot de passe pour se connecter. Des mots de passe très longs peuvent être le signe d’une attaque de dépassement de mémoire tampon. Longueur maximale du nom de fichier 292 WatchGuard System Manager Paramètres proxy Définissez le nombre maximal de caractères d’un nom de fichier pour les requêtes de transfert comme de téléchargement. Certains systèmes de fichier ne peuvent pas identifier ou utiliser des fichiers portant des noms très longs. Longueur maximale de la ligne de commande Définissez le nombre maximal de caractères qu’un utilisateur peut envoyer dans une commande FTP. Les utilisateurs envoient des commandes à un serveur FTP pour exécuter des tâches avec des fichiers. Des commandes très longues peuvent être le signe d’une attaque de dépassement de mémoire tampon. Nombre maximum d’échecs de connexion Définissez le nombre maximal de tentatives de connexions auquel a droit un utilisateur avant que la connexion ne lui soit refusée. Des échecs de tentatives de connexion répétés peuvent être dus à une personne malveillante procédant à des attaques par dictionnaire afin d’obtenir l’accès à un serveur. Activer la journalisation des rapports Cochez cette case pour envoyer un message du journal pour chaque demande de connexion gérée par le proxy FTP. Vous devez activer cette option pour créer des rapports précis sur le trafic de proxy FTP. 4. Pour bloquer automatiquement les connexions qui ne coïncident pas avec vos paramètres concernant cette option, cochez la case adjacente Blocage automatique. 5. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet. 6. Cliquez sur Enregistrer. À propos de la Passerelle ALG H.323 Si, dans votre entreprise, vous utilisez le protocole Voice-over-IP (VoIP), vous pouvez ajouter une passerelle ALG (Application Layer Gateway) H.323 ou SIP (Session Initiation Protocol) afin d’ouvrir les ports nécessaires à l’activation du protocole VoIP par le biais de votre périphérique WatchGuard. Une passerelle ALG est créée pareillement à une stratégie de proxy et offre les mêmes options de configuration. Ces passerelles ALG ont été conçues pour un environnement NAT et visent à maintenir la sécurité au niveau du matériel de conférence comportant des adresses privées et protégé par votre périphérique WatchGuard. H.323 est couramment utilisé pour les installations voix et les anciens systèmes de vidéoconférence. SIP est une norme plus récente qui est davantage employée dans les environnements hébergés, dans lesquels seuls les périphériques de point de terminaison (comme les téléphones) sont hébergés sur votre lieu de travail, et où un fournisseur de voix sur IP gère la connectivité. Si nécessaire, vous pouvez utiliser simultanément des passerelles ALG H.323 et des passerelles ALG SIP. Pour déterminer la passerelle ALG à ajouter, consultez la documentation fournie avec vos périphériques ou applications voix sur IP. Composants voix sur IP La voix sur IP est généralement mise en oeuvre à l’aide de l’un des types de connexion suivants : Guide de l’utilisateur 293 Paramètres proxy Connexions pair-à-pair Dans une connexion pair-à-pair, chacun des deux périphériques connaît l’adresse IP de l’autre et se connecte à celui-ci directement. Si les deux pairs sont derrière le périphérique Firebox, celui-ci peut acheminer le trafic d’appel correctement. Connexions hébergées Les connexions peuvent être hébergées par un système de gestion des appels (autocommutateur privé). Avec H.323, le composant essentiel de la gestion des appels est appelé portier. Un portier gère les appels voix sur IP pour un groupe d’utilisateurs et peut être placé sur un réseau protégé par votre périphérique WatchGuard ou en externe. Par exemple, certains fournisseurs voix sur IP hébergent sur leur réseau un portier auquel vous devez vous connecter avant d’effectuer un appel voix sur IP. D’autres solutions consistent à installer et gérer un portier sur votre propre réseau. Il peut s’avérer difficile de coordonner les divers composants d’une installation de voix sur IP. Nous vous recommandons de vous assurer que les connexions voix sur IP fonctionnent normalement avant d’ajouter une passerelle ALG H.323 ou SIP. Vous serez ainsi en mesure de résoudre les problèmes qui pourraient se présenter. Fonctions ALG Lorsque vous activez une passerelle ALG H.323, votre périphérique WatchGuard : n n n répond automatiquement aux applications de voix sur IP et ouvre les ports appropriés ; s’assure que les connexions de voix sur IP utilisent les protocoles H.323 standard ; génère des messages de journal à des fins d’audit. De nombreux périphériques et serveurs de voix sur IP utilisent le système NAT (Network Address Translation) pour ouvrir et fermer automatiquement les ports. Les passerelles ALG H.323 et SIP ont le même rôle. Vous devez désactiver la fonction NAT sur vos périphériques de voix sur IP si vous configurez une passerelle H.323 ou SIP. Onglet Stratégie n n n 294 Les connexions H.323-ALG sont — Spécifiez si les connexions ont l’état Autorisé, Refusé ou Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et À (dans l’onglet Stratégiede la définition de la passerelle ALG). Pour plus d’informations, voir Définir des règles d’accès pour une stratégie à la page 273. Utiliser le routage basé sur stratégie — Si vous voulez utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie à la page 275. Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer l’équilibrage de charge serveur. Pour plus d’informations, voir À propos de NAT statique à la page 157 et Configurer les équilibrage de charge côté serveur à la page 158. WatchGuard System Manager Paramètres proxy Onglet Propriétés n n n Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification à la page 371. Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou sur Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser DNS. Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 357. Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou le serveur d’authentification, Définir un délai d'inactivité personnalisé. Onglet Avancé Vous pouvez également utiliser ces options dans votre définition de proxy : n n n n n n Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie Onglets Paramètres et Contenu Les stratégies de proxy WatchGuard comportent des options de sécurité réseau et de performance supplémentaires associées au type de trafic réseau contrôlé par le proxy. Pour modifier ces paramètres, modifiez une stratégie de proxy et sélectionnez l’onglet Paramètres ou Contenu. n n Passerelle ALG H.323 : Paramètres Passerelle ALG H.323 : Contenu Passerelle ALG H.323 : Contenu Lorsque vous ajoutez une passerelle ALG (application layer gateway) H.323, vous pouvez configurer d’autres options relatives au protocole H.323. Pour améliorer la sécurité et la performance du réseau : 1. Modifiez ou ajoutez la stratégie ALG H.323. La page Configuration de stratégie apparaît. 2. Cliquez sur l’onglet Contenu. 3. Configurez les options suivantes : Guide de l’utilisateur 295 Paramètres proxy Codecs refusés Utilisez cette fonction pour refuser un ou plusieurs codecs VoIP. Lorsqu’une connexion VoIP H.323 utilisant un codec spécifié dans cette liste est ouverte, votre périphérique WatchGuard ferme automatiquement la connexion. Par défaut, cette liste est vide. Nous vous recommandons d’ajouter un codec à cette liste s’il consomme trop de bande passante, s’il présente un risque de sécurité ou s’il est nécessaire pour que votre solution VoIP fonctionne correctement. Vous pouvez par exemple choisir de refuser les codecs G.711 ou G.726 car ils utilisent plus de 32 Ko/s de bande passante, ou de refuser le codec Speex car il est utilisé par un codec VoIP non autorisé. Pour ajouter un codec à la liste : n n Dans la zone de texte Codecs, tapez le nom ou le modèle de texte unique du codec. Ne pas utiliser de caractères génériques ou de syntaxe d’expression normale. Les modèles de codecs respectent la casse. Cliquez sur Ajouter. Pour supprimer un codec de la liste : n n 296 Sélectionnez un codec dans la liste. Cliquez sur Supprimer. WatchGuard System Manager Paramètres proxy Activer le contrôle d’accès pour VoIP Cochez cette case pour activer la fonctionnalité de contrôle d’accès. Une fois activée, la passerelle ALG H.323 autorise et limite les appels en fonction des options que vous définissez. Paramètres par défaut n n n Cochez la case Passer des appels VoIP pour autoriser par défaut tous les utilisateurs VoIP à effectuer des appels. Cochez la case Recevoir des appels VoIP pour autoriser par défaut tous les utilisateurs VoIP à recevoir des appels. Cochez la case Journal pour créer un message de journal pour chaque connexion VoIP H.323 passée ou reçue. Niveaux d’accès Pour créer une exception pour les paramètres par défaut spécifiés ci-dessus : n n n Saisissez un nom d’hôte, une adresse IP ou une adresse e-mail. Sélectionnez un niveau d’accès dans la liste déroulante située juste à côté. Cliquez sur Ajouter. Vous pouvez autoriser les utilisateurs à passer des appels uniquement, recevoir des appels uniquement, passer et recevoir des appels ou ne leur octroyer aucun accès VoIP. Ces paramètres s’appliquent uniquement au trafic VoIP H.323. Pour supprimer une exception : n n Guide de l’utilisateur Sélectionnez l’exception dans la liste. Cliquez sur Supprimer. 297 Paramètres proxy Les connexions établies par les utilisateurs ayant une exception de niveau d’accès sont journalisées par défaut. Si vous ne souhaitez pas journaliser les connexions établies par les utilisateurs ayant une exception de niveau d’accès, décochez la case Journal au moment de la création de l’exception. 4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet. 5. Cliquez sur Enregistrer. Passerelle ALG H.323 : Paramètres Lorsque vous ajoutez une passerelle ALG (application layer gateway) H.323, vous pouvez configurer d’autres options relatives au protocole H.323. Pour améliorer la sécurité et la performance du réseau : 1. Modifiez ou ajoutez la stratégie ALG H.323. La page Configuration de stratégie apparaît. 2. Sélectionnez l’onglet Paramètres. 3. Configurez les options suivantes : Activer la protection de collecte de répertoire Cochez cette case pour éviter que des personnes malveillantes ne volent des informations utilisateurs à partir des portiers VoIP protégés par votre Firebox. Cette option est activée par défaut. Nombre maximum de sessions Cette fonction permet de limiter le nombre de sessions audio ou vidéo pouvant être créées à l’aide d’un seul appel VoIP. Par exemple, si vous définissez le nombre maximum de sessions à « 1 » et prenez part à un appel VoIP avec audio et vidéo, la seconde connexion est abandonnée. La valeur par défaut est de deux sessions et la valeur maximale est de quatre sessions. La Firebox crée une entrée de journal lorsqu’une session média supérieure à ce nombre est refusée. Informations d’agent utilisateur Pour identifier le trafic H.323 sortant comme client que vous avez spécifié, saisissez une nouvelle chaîne d’agent utilisateur dans la zone de texte Réécrire l’agent utilisateur en tant que. Pour supprimer un agent utilisateur incorrect, effacez la zone de texte. Délais 298 WatchGuard System Manager Paramètres proxy Lorsqu’aucune donnée n’est envoyée pendant un intervalle de temps défini sur un canal audio, vidéo ou de données VoIP, votre Firebox ferme cette connexion réseau. La valeur par défaut est de 180 secondes (trois minutes) et la valeur maximale est de 3600 secondes (60 minutes). Pour spécifier un intervalle de temps différent, saisissez le nombre de secondes dans la zone de texte Canaux média inactifs. Activer la journalisation des rapports Cochez cette case pour envoyer un message de journal pour chaque requête de connexion gérée par la passerelle ALG H.323. Cette option est nécessaire pour permettre à WatchGuard Reports de créer des rapports précis sur le trafic H.323. Cette option est activée par défaut. 4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet. 5. Cliquez sur Enregistrer. À propos du proxy HTTP Le protocole HTTP (Hyper Text Transfer Protocol) est un protocole de requête/réponse entre clients et serveurs. Le client HTTP est en principe un navigateur Internet. Le serveur HTTP est une ressource distante qui stocke des fichiers HTML, des images et d’autres types de contenus. Lorsqu’un client HTTP démarre une requête, il établit une connexion TCP (Transmission Control Protocol) sur le port 80. Un serveur HTTP est à l'écoute de requêtes sur le port 80. Lorsqu'il reçoit la requête du client, le serveur répond avec le fichier demandé, un message d'erreur ou un autre type d'informations. Le proxy HTTP est un filtre de contenu ultra performant. Il examine le trafic Web afin d’identifier les contenus suspects pouvant véhiculer des virus ou tout autre type d’intrusion. Il peut aussi protéger votre serveur HTTP contre les attaques. Avec un filtre de proxy HTTP, vous pouvez : n n n n n Ajuster le délai d’attente et les limites de longueur des requêtes et des réponses HTTP afin d’éviter que les performances réseau ne soient réduites et de prévenir diverses attaques. Personnaliser le message de refus que les utilisateurs voient lorsqu’ils tentent de se connecter à un site Web bloqué par le proxy HTTP. Filtrer les types MIME de contenu Web. Bloquer des modèles de chemins et URL spécifiques. Refuser des cookies provenant de sites Web spécifiques. Vous pouvez combiner le proxy HTTP avec l'abonnement au service de sécurité WebBlocker. Pour plus d’informations, cf. À propos de WebBlocker à la page 577. Le proxy TCP/UDP est disponible pour les protocoles sur les ports non standard. Lorsque le proxy HTTP utilise un port autre que le port 80, le proxy TCP/UDP lui relaie le trafic. Pour plus d’informations sur le proxy TDP/UDP, voir À propos de la Proxy TCP-UDP à la page 326. Pour ajouter le proxy HTTP à la configuration de votre périphérique Firebox ou XTM, voir Ajouter une stratégie de proxy à votre configuration à la page 283. Onglet Stratégie n Les connexions du proxy HTTP sont Spécifiez si les connexions ont l’état Autorisé, Refusé ou Refusé (envoi réinitialisation) et sélectionnez les utilisateurs, ordinateurs ou réseaux qui apparaissent dans Guide de l’utilisateur 299 Paramètres proxy n n 300 la liste De et À (dans l’onglet Stratégie de la définition du proxy). Pour plus d’informations, cf. Définir des règles d’accès pour une stratégie à la page 273. Utiliser le routage basé sur stratégie Pour utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie à la page 275. Vous pouvez également configurer la traduction d'adresses réseau (NAT) statique ou configurer l'équilibrage de charge serveur. Pour plus d’informations, cf. À propos de NAT statique à la page 157 et Configurer les équilibrage de charge côté serveur à la page 158. WatchGuard System Manager Paramètres proxy Onglet Propriétés n n n Pour définir la journalisation d'une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification . Si vous définissez la liste déroulante Les connexions sont (de l’onglet Stratégie) sur Refusé ou sur Refusé (envoi réinitialisation), vous pouvez bloquer les périphériques qui tentent de se connecter sur le port 80. Pour plus d’informations, cf. Bloquer temporairement les sites avec des paramètres de stratégie à la page 357. Pour utiliser un délai d’inactivité autre que celui défini par le périphérique Firebox ou XTM ou le serveur d’authentification, Définir un délai d'inactivité personnalisé. Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition du proxy : n n n n n n Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer les règles NAT (la translation NAT un à un et la translation d'adresses réseau (NAT) dynamique sont toutes deux activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie Onglets Paramètres, Contenu et Application Blocker Les stratégies de proxy WatchGuard comportent des options de sécurité réseau et de performance supplémentaires associées au type de trafic réseau contrôlé par chaque proxy. Pour modifier ces paramètres, modifiez la stratégie de proxy et cliquez sur l’onglet Paramètres, Contenu ou Application Blocker. n n n Proxy HTTP : Onglet Paramètres Proxy HTTP : Onglet Contenu Proxy HTTP : Application Blocker Voir aussi Autoriser les mises à jour Windows via le proxy HTTP Les serveurs Windows Update identifient le contenu qu’ils envoient à un ordinateur comme un flux de données binaire générique (ex : flux de données d’octets), lequel est bloqué par les règles de proxy HTTP par défaut. Pour autoriser les mises à jour Windows via le proxy HTTP, vous devez modifier vos règles de proxy HTTP-client pour ajouter des exceptions de proxy HTTP pour les serveurs Windows Update. 1. Assurez-vous que votre Firebox autorise les connexions sortantes sur les ports 443 et 80. Il s’agit des ports que les ordinateurs utilisent pour contacter les serveurs Windows Update. 2. Sélectionnez l’onglet Paramètres de votre stratégie de proxy HTTPS. Guide de l’utilisateur 301 Paramètres proxy 3. Dans la zone de texte située à gauche du bouton Ajouter , saisissez ou collez chacun de ces domaines, et cliquez sur Ajouter après chacun d’entre eux : windowsupdate.microsoft.com download.windowsupdate.com update.microsoft.com download.microsoft.com ntservicepack.microsoft.com wustat.windows.com v4.windowsupdate.microsoft.com v5.windowsupdate.microsoft.com 4. Cliquez sur Enregistrer. S’il vous est toujours impossible de télécharger les mises à jour Windows Si vous avez plusieurs stratégies de proxy HTTP, veillez à ajouter les exceptions HTTP pour l’action de stratégie et de proxy appropriée. Microsoft ne limite pas les mises à jour à ces seuls domaines. Consultez vos journaux pour savoir quel trafic est refusé pour un domaine appartenant à Microsoft. Recherchez le ou les trafic(s) refusés par le proxy HTTP. Le domaine apparaît normalement sur la ligne du journal. Ajoutez tout nouveau domaine Microsoft à la liste des exceptions de proxy HTTP, puis relancez Windows Update. Proxy HTTP : Onglet Contenu Certains types de contenus demandés par les utilisateurs sur les sites Web peuvent constituer une menace de sécurité pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs. Si la définition de proxy par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier la définition. Pour définir les restrictions pour le contenu HTTP : 1. Modifier ou ajouter la stratégie proxy HTTP. La page Configuration de stratégie apparaît. 2. Cliquez sur l’onglet Contenu. 302 WatchGuard System Manager Paramètres proxy 3. Configurez les options comme décrit dans les rubriques suivantes. 4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet. 5. Cliquez sur Enregistrer. Types de contenus Lorsqu’un serveur Web envoie du trafic HTTP, il ajoute généralement un type MIME ou un type de contenu à l’en-tête du paquet qui indique le type de contenu du paquet. L’en-tête HTTP du flux de données contient ce type MIME. Il est ajouté avant l’envoi des données. Le format d’un type MIME est type/sous-type. Par exemple, si vous souhaitez autoriser des images JPEG, ajoutez image/jpg à la définition du proxy. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique. Pour autoriser tout format d’image, ajoutez image/* . Pour obtenir une liste de types MIME enregistrés actuels, consultez :http://www.iana.org/assignments/media-types. Guide de l’utilisateur 303 Paramètres proxy 1. Cochez la case Autoriser uniquement les types de contenus sécurisés si vous souhaitez limiter les types de contenus autorisés via le proxy. Une liste des types MIME courants est incluse par défaut. 2. Pour ajouter des types de contenus courants à la liste, sélectionnez le type MIME dans la liste Type de contenu prédéfini et cliquez sur le bouton <. 3. Pour ajouter d’autres types de contenus, saisissez un type de contenu dans la zone de texte Types de contenus et cliquez sur Ajouter. 4. Pour supprimer un type de contenu, sélectionnez-le dans la liste Types de contenus et cliquez sur Supprimer. Vous ne pouvez pas supprimer de types de contenus prédéfinis. Modèles de noms de fichiers Une URL (Uniform Resource Locator) identifie une ressource sur un serveur distant et indique l’emplacement du réseau sur ce serveur. Le chemin d’URL est la chaîne d’informations qui se trouve en dessous du nom de domaine de niveau supérieur. Vous pouvez utiliser le proxy HTTP pour bloquer des sites Web qui contiennent du texte spécifié dans le chemin d’URL. Si la définition de proxy par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier les modèles de chemins d’URL. Utilisez l’astérisque (*) en tant que caractère générique. Par exemple : n Pour bloquer toutes les pages ayant le nom d’hôte www.test.com, saisissez le modèle : www.test.com* n n Pour bloquer tous les chemins contenant le mot sex, sur tous les sites Web, saisissez : *sex* Pour bloquer tous les chemins d’URL se terminant par *.test, sur tous les sites Web, saisissez : *.test Pour bloquer les modèles de chemins d’URL non sécurisés : 1. Pour utiliser des règles de chemin URL permettant de filtrer le contenu des composants de l’hôte, du chemin et de la chaîne de requête d’une URL, cochez la case Refuser les modèles de noms de fichiers non sécurisés. Le nom spécifie les noms de fichiers mais n’importe quel modèle que vous saisissez est appliqué à l’intégralité du chemin d’URL. 2. Pour ajouter un nouveau modèle de chemin, saisissez le chemin et cliquez sur Ajouter. 3. Pour supprimer un modèle de chemin, sélectionnez-le et cliquez sur Supprimer. Cookies Les cookies HTTP sont de petits fichiers de texte alphanumérique introduits par des serveurs Web sur les clients Web. Les cookies contrôlent la page d’un client Web pour activer le serveur Web et envoyer plusieurs pages dans le bon ordre. Les serveurs Web utilisent également des cookies pour collecter des informations relatives à un utilisateur final. La plupart des sites Web utilisent des cookies comme fonction d’authentification et autres fonctions de contrôle et ne peuvent pas fonctionner correctement sans cookies. Le proxy HTTP recherche les paquets en fonction du domaine associé au cookie. Le domaine peut être spécifié dans le cookie. Si le cookie ne contient aucun domaine, le proxy utilise le nom d’hôte dans la première requête. Par exemple, pour bloquer tous les cookies pour nosy-adware-site.com, utilisez le modèle : *.nosy-adware-site.com . Si vous souhaitez refuser les cookies de tous les sous-domaines d’un site Web, utilisez le caractère générique (*) avant et après le domaine. Par exemple, *google.com* bloque tous les sous-domaines de google.com, tels que images.google.com et mail.google.com. Pour bloquer les cookies provenant de sites : 304 WatchGuard System Manager Paramètres proxy 1. Pour bloquer les cookies d’un site en particulier, cochez la case Refuser les cookies provenant de ces sites. 2. Dans la zone de texte suivante, saisissez le nom de domaine du site Web ou une partie du domaine avec des caractères génériques. 3. Cliquez sur Ajouter. 4. Cliquez sur Envoyer. Proxy HTTP : Onglet Paramètres Pour définir les paramètres HTTP de base : 1. Modifier ou ajouter la stratégie proxy HTTP. La page Configuration de stratégie apparaît. 2. Sélectionnez l’onglet Paramètres. 3. Configurez les options comme décrit dans les rubriques suivantes. 4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet. 5. Cliquez sur Enregistrer. Requêtes HTTP Délai d’attente des connexions inactives Réglez l’intervalle de temps durant lequel le socket TCP de session HTTP reste ouvert alors qu’aucun paquet ne passe. Si aucun paquet ne passe via le socket TCP pendant l’intervalle de temps défini, le socket TCP se ferme. Chaque session TCP ouverte utilisant une petite quantité de mémoire sur la Firebox et les navigateurs et les serveurs ne fermant pas toujours proprement les sessions HTTP, cette option permet de mieux contrôler les performances. Dans le champ adjacent, saisissez le nombre de minutes s’écoulant avant la déconnexion du proxy. Longueur maximale de l’URL Règle le nombre maximal de caractères autorisés dans une URL. Dans cette zone du proxy, l’URL inclut tout ce qui, dans l’adresse Web, se situe après le domaine de premier niveau. Cela comprend le caractère de barre oblique mais pas le nom d’hôte (www.monexemple.com ou monexemple.com). Par exemple, l’URL www.monexemple.com/produits compte neuf caractères pour cette limite car /produits comporte neuf caractères. La valeur par défaut de 2048 est généralement suffisante pour n’importe quelle URL demandée par un ordinateur situé derrière votre Firebox. Une URL très longue peut être le signe d’une tentative de corruption d’un serveur Web. La longueur minimale est de 15 octets. Il est conseillé de conserver ce paramètre activé avec les paramètres par défaut. Cela permet de protéger contre des clients Web infectés sur les réseaux que le proxy HTTP protège. Cochez cette case afin d’envoyer un message du journal pour chaque requête de connexion gérée par le proxy HTTP. Cette option est nécessaire pour permettre à WatchGuard Reports de créer des rapports précis sur le trafic HTTP. Guide de l’utilisateur 305 Paramètres proxy Réponses HTTP Délai Contrôle la durée d’attente du proxy HTTP avant l’envoi de la page Web par le serveur Web. Lorsqu’un utilisateur clique sur un lien hypertexte ou entre une URL dans la barre d’adresses de son navigateur Web, une requête HTTP d’extraction du contenu est envoyée à un serveur distant. Dans la plupart des navigateurs, la barre d’état indique alors Site contacté... ou un message similaire. Si le serveur distant ne répond pas, le client HTTP continue d’envoyer la requête jusqu’à réception d’une réponse ou jusqu’à expiration du délai de requête. Dans cet intervalle, le proxy HTTP continue à surveiller la connexion et emploie des ressources réseau fiables. Longueur maximale de la ligne Définit la longueur maximale autorisée pour une ligne de caractères dans les en-têtes de réponse HTTP. Définissez cette valeur pour protéger vos ordinateurs contre les attaques de dépassement de mémoire tampon. Dans la mesure où la longueur des URL de la plupart des sites marchands ne cesse d’augmenter avec le temps, vous devrez peut-être ajuster cette valeur ultérieurement. Activer la journalisation des rapports Cochez cette case pour envoyer un message du journal pour chaque demande de connexion gérée par le proxy HTTP. Vous devez activer cette option pour créer des rapports précis sur le trafic de proxy HTTP. Message de refus Lorsqu’un contenu est refusé, le périphérique WatchGuard affiche un message de refus par défaut remplaçant le contenu refusé. Vous pouvez rédiger un nouveau message de refus pour remplacer le message de refus par défaut. Vous pouvez personnaliser le message de refus avec du HTML standard. Vous pouvez également utiliser des caractères Unicode (UTF-8) dans le message de refus. La première ligne du message de refus est un composant de l’en-tête HTTP. Vous devez insérer une ligne vide entre la première ligne et le corps du message. Un message de refus est généré dans votre navigateur Web par Firebox lorsque vous effectuez une demande non autorisée par le proxy HTTP. Un message de refus est également généré lorsque votre demande est autorisée mais que le proxy HTTP refuse la réponse depuis le serveur Web distant. Par exemple, si un utilisateur essaie de télécharger un fichier .exe et que vous avez bloqué ce type de fichier, l’utilisateur voit un message de refus dans le navigateur Web. Si l’utilisateur essaie de télécharger une page Web avec un type de contenu non reconnu et que la stratégie du proxy est configurée pour bloquer les types MIME inconnus, l’utilisateur voit un message d’erreur dans le navigateur Web. Le message de refus par défaut apparaît dans le champ Message de refus. Pour personnaliser ce message, utilisez les variables suivantes : %(transaction)% Inclut Requête ou Réponsedans le message de refus pour indiquer le côté de la transaction impliquant le refus du paquet. %(raison)% Inclut la raison pour laquelle Firebox a refusé le contenu. 306 WatchGuard System Manager Paramètres proxy %(méthode)% Inclut la méthode de requête de la requête refusée. %(hôte url)% Inclut le nom d’hôte du serveur de l’URL refusée. L’adresse IP du serveur est fournie si aucun nom d’hôte n’a été inclus. %(chemin url)% Inclut le composant chemin de l’URL refusée. Exceptions de proxy HTTP Les exceptions de proxy HTTP permettent d’ignorer des règles de proxy HTTP pour certains sites Web sans ignorer la structure du proxy. Le trafic qui correspond aux exceptions de proxy HTTP continue via la gestion de proxy standard utilisée par le proxy HTTP. Cependant, lorsqu’une correspondance est détectée, certains paramètres de proxy sont ignorés. Vous pouvez ajouter des noms d’hôtes ou des modèles comme exceptions de proxy HTTP. Par exemple, si vous bloquez tous les sites Web se terminant par .test, mais souhaitez autoriser les utilisateurs à accéder au site www.exemple.com, vous pouvez ajouter www.exemple.com comme exception de proxy HTTP. Vous spécifiez l’adresse IP ou le nom de domaine des sites accessibles. Le nom de domaine (ou hôte) est la partie de l’URL qui se termine par .com, .net, .org, .biz, .gov ou .edu. Les noms de domaine peuvent également se terminer par un code de pays, comme .de (Allemagne) ou .jp (Japon). Pour ajouter un nom de domaine, saisissez l’URL sans la faire précéder de http://. Par exemple, pour permettre aux utilisateurs d’accéder au site Web de WatchGuard http://www.watchguard.com, saisissez www.watchguard.com . Pour autoriser tous les sous-domaines contenant watchguard.com, vous pouvez utiliser l’astérisque (*) comme caractère générique. Par exemple, pour autoriser les utilisateurs à accéder à watchguard.com, www.watchguard.com et support.watchguard.com, saisissez *.watchguard.com 1. Dans la zone de texte située à côté du bouton Ajouter, saisissez l’adresse IP de l’hôte ou le nom de domaine du site Web à autoriser. 2. Cliquez sur Ajouter. Répétez ce processus pour chaque hôte ou nom de domaine supplémentaire à ajouter. 3. Pour enregistrer un message du journal dans votre fichier journal dès lors qu’une transaction Web se produit sur un site Web de la liste des exceptions, cochez la case Journaliser chaque exception HTTP. Proxy HTTP : Application Blocker Vous pouvez utiliser Application Blocker pour définir les actions que devra effectuer votre périphérique Firebox ou XTM lorsque la stratégie de proxy HTTP détecte un trafic réseau provenant d’applications de messagerie instantanée ou de pair à pair (P2P). Dans l’onglet Application Blocker, sélectionnez les types d’applications de messagerie instantanée ou de pair à pair et les actions qui leur sont associées. Guide de l’utilisateur 307 Paramètres proxy Pour un complément d’information sur ces paramètres de configuration, cf. À propos des configurations de blocage d’applications à la page 280. À propos de la Proxy HTTPS HTTPS (Hypertext Transfer Protocol sur Secure Socket Layer ou HTTP sur SSL) est un protocole requête/réponse entre clients et serveurs utilisé pour sécuriser des communications et des transactions. Vous pouvez utiliser le proxy HTTPS pour sécuriser un serveur Web protégé par votre Firebox ou pour analyser le trafic HTTPS demandé par des clients sur votre réseau. Par défaut, lorsqu’un client HTTPS lance une requête, il établit une connexion TCP (Transmission Control Protocol) sur le port 443. La plupart des serveurs HTTPS sont à l’écoute des requêtes sur le port 443. Le protocole HTTPS est plus sécurisé que le protocole HTTP car il utilise un certificat numérique pour chiffrer et déchiffrer les requêtes de la page utilisateur ainsi que des pages renvoyées par le serveur Web. Comme le trafic HTTPS est chiffré, la Firebox doit le déchiffrer avant qu’il puisse être analysé. Après avoir analysé le contenu, la Firebox chiffre le trafic avec un certificat et l’envoie à la destination souhaitée. Vous pouvez exporter le certificat par défaut créé par la Firebox pour cette fonctionnalité, ou importer un certificat à utiliser par la Firebox. Si vous utilisez le proxy HTTPS pour examiner le trafic Web requis par les utilisateurs sur votre réseau, nous vous conseillons d’exporter le certificat par défaut et de le distribuer à chaque utilisateur afin que ceux-ci ne reçoivent pas d’avertissement du navigateur à propos de certificats non approuvés. Si vous utilisez le proxy HTTPS pour sécuriser un serveur Web qui accepte des requêtes depuis un réseau externe, nous vous conseillons d’importer le certificat de serveur Web existant pour la même raison. Lorsqu’un client ou un serveur HTTPS utilise un port autre que le port 443 au sein de votre organisation, vous pouvez utiliser le proxy TCP/UDP pour relayer le trafic vers le proxy HTTPS. Pour plus d’informations sur le proxy TCP/UDP, voir À propos de la Proxy TCP-UDP à la page 326. Onglet Stratégie n n n Les connexions HTTPS-proxy sont — Spécifiez si l’état des connexions est Autorisé, Refusé ou Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet Stratégie de la définition de proxy). Pour plus d’informations, voir Définir des règles d’accès pour une stratégie à la page 273. Utiliser le routage basé sur stratégie — Si vous voulez utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie à la page 275. Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer l’équilibrage de charge de serveur. Pour plus d’informations, voir À propos de NAT statique à la page 157 et Configurer les équilibrage de charge côté serveur à la page 158. Onglet Propriétés n 308 Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification . WatchGuard System Manager Paramètres proxy n n Sivous réglezla liste déroulante Lesconnexions sont (dansl’onglet Stratégie)sur Refuséou Refusé (envoiréinitialisation), vouspouvez bloquer les sitesqui tententd’utiliser laconnexion HTTPS.Pour plus d’informations,voir Bloquer temporairement lessites avec des paramètresde stratégieà lapage 357. Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou le serveur d’authentification, Définir un délai d'inactivité personnalisé. Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition de proxy : n n n n n n Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie Onglets Paramètres et Contenu Les stratégies de proxy WatchGuard comportent des options de sécurité réseau et de performance supplémentaires associées au type de trafic réseau contrôlé par le proxy. Pour modifier ces paramètres, modifiez la stratégie de proxy et cliquez sur l’onglet Paramètres ou Contenu. Pour de plus amples informations, cf. : n n Proxy HTTPS : Paramètres Proxy HTTPS : Contenu Proxy HTTPS : Contenu Lorsque vous ajoutez une stratégie de proxy HTTPS, vous pouvez configurer des options supplémentaires associées au protocole HTTPS. Pour améliorer la sécurité et la performance du réseau : 1. Modifier ou ajouter la stratégie de proxy HTTPS. La page Configuration de stratégie s’affiche. 2. Cliquez sur l’onglet Contenu. Guide de l’utilisateur 309 Paramètres proxy 3. Configurez les options suivantes : Activer l’inspection profonde du contenu HTTPS Lorsque cette case est cochée, la Firebox déchiffre le trafic HTTPS, examine le contenu et chiffre à nouveau le trafic avec un nouveau certificat. Le contenu est examiné par la stratégie de proxy HTTP sélectionnée sur cette page. Note Si un autre trafic utilise le port HTTPS, tels que le trafic VPN SSL, nous vous conseillons d’évaluer soigneusement cette option. Le proxy HTTPS essaie d’examiner tous les trafics transitant par le port TCP 443 de la même manière. Afin de garantir que les autres sources de trafic fonctionnent correctement, nous vous conseillons d’ajouter ces sources à la liste Ignorer. Voire la rubrique suivante pour plus d’informations. Par défaut, le certificat utilisé pour chiffrer le trafic est généré automatiquement par la Firebox. Vous pouvez également télécharger votre propre certificat. Si le site Web original ou votre serveur Web comporte un certificat autosigné ou non valide, ou si le certificat a été signé par une autorité de certification non reconnue par la Firebox, un avertissement de certificat s’affiche dans le navigateur. Les certificats ne pouvant pas être correctement signés à nouveau semblent être émis par le Proxy HTTPS Fireware : Certificat non reconnu ou simplement Certificat non valide. Nous vous conseillons d’importer le certificat que vous utilisez, ainsi que tout autre certificat nécessaire pour que le client approuve ce certificat, sur chaque périphérique de client. Lorsqu’un client n’approuve pas automatiquement le certificat utilisé pour la fonctionnalité d’inspection du contenu, un avertissement s’affiche dans le navigateur et les services tels que Windows Update ne fonctionnent pas correctement. 310 WatchGuard System Manager Paramètres proxy Certains programmes, tels que les programmes de messagerie instantanée ou de communication, conservent des copies privées des certificats et n’utilisent pas la bibliothèque de certificats du système d’exploitation. Si ces programmes ne disposent pas de méthode d’importation des certificats approuvés par l’autorité de certification, ils ne fonctionnent pas correctement lorsque l’inspection de contenu est activée. Pour plus d’informations, voir À propos des certificats à la page 395 ou Utiliser des certificats pour le proxy HTTPS à la page 407. Action de proxy Sélectionnez une stratégie de proxy HTTP que la Firebox doit utiliser lorsqu’elle inspecte des contenus HTTPS déchiffrés. Lorsque vous activez l’inspection de contenu, les paramètres WebBlocker concernant les actions de proxy HTTP annulent les paramètres WebBlocker pour le proxy HTTPS. Si vous ajoutez des adresses IP à la liste Ignorer pour l’inspection du contenu, le trafic en provenance de ces sites sera filtré avec les paramètres WebBlocker du proxy HTTPS. Pour plus d’informations sur la configuration de WebBlocker, voir À propos de WebBlocker à la page 577. Utiliser OCSP pour confirmer la validité des certificats Cochez cette case afin que la Firebox vérifie automatiquement les révocations de certificats avec OCSP (Online Certificate Status Protocol - Protocole de vérification en ligne de certificat). Lorsque cette fonctionnalité est activée, la Firebox utilise les informations du certificat pour contacter un serveur OCSP qui conserve un enregistrement de l’état des certificats. Si le serveur OCSP répond que le certificat a été révoqué, la Firebox désactive le certificat. Si vous sélectionnez cette option, il peut y avoir un délai de plusieurs secondes car la Firebox demande une réponse au serveur OCSP. La Firebox conserve entre 300 et 3000 réponses OCSP dans la mémoire cache afin d’améliorer les performances des sites Web fréquemment visités. Le nombre de réponses conservées dans la mémoire cache est déterminé par votre modèle de Firebox. Traiter les certificats dont la validité ne peut être confirmée comme étant non valide Lorsque cette option est sélectionnée et que le répondeur OCSP n’envoie pas de réponse à une demande d’état de révocation, la Firebox considère le certificat original comme non valide ou révoqué. Cette option peut faire qu’un certificat soit considéré comme non valide en cas d’erreur de routage ou de problème avec votre connexion réseau. Liste Ignorer La Firebox n’inspecte pas le contenu envoyé vers ou provenant d’adresses IP figurant sur cette liste. Pour ajouter un site Web ou un nom d’hôte, saisissez l’adresse IP dans la zone de texte et cliquez sur le bouton Ajouter. Lorsque vous activez l’inspection de contenu, les paramètres WebBlocker concernant les actions de proxy HTTP annulent les paramètres WebBlocker pour le proxy HTTPS. Si vous ajoutez des adresses IP à la liste Ignorer pour l’inspection du contenu, le trafic en provenance de ces sites sera filtré avec les paramètres WebBlocker du proxy HTTPS. Guide de l’utilisateur 311 Paramètres proxy Pour plus d’informations sur la configuration de WebBlocker, voir À propos de WebBlocker à la page 577. 4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet. 5. Cliquez sur Enregistrer. Proxy HTTPS : Paramètres Lorsque vous ajoutez une stratégie de proxy HTTPS, vous pouvez configurer des options supplémentaires associées au protocole HTTPS. Pour améliorer la sécurité et la performance du réseau : 1. Modifier ou ajouter la stratégie proxy HTTP. La page Configuration de stratégie s’affiche. 2. Sélectionnez l’onglet Paramètres. 3. Configurez les options suivantes : Délai d’inactivité Cochez cette case pour fermer les connexions HTTPS qui n’ont pas envoyé ou reçu de trafic pendant la durée spécifiée. Pour modifier la limite de temps, saisissez ou sélectionnez un nombre dans la zone de texte adjacente. Noms de certificats Vous pouvez autoriser ou refuser l’accès à des sites Web lorsque le certificat correspond à un modèle de cette liste déroulante. Cette fonctionnalité est active même si vous n’utilisez pas l’inspection avancée du contenu pour déchiffrer le trafic réseau HTTPS. n n n n Autoriser — Sélectionnez cette option pour autoriser le trafic depuis des sites correspondant aux modèles de la liste Noms de certificats. Refuser — Sélectionnez cette option pour rejeter les connexions de sites correspondants et envoyer un message de refus au site. Abandonner—Sélectionnezcette optionpour rejeter lesconnexionssansmessage de refus. Bloquer — Sélectionnez cette option pour abandonner les connexions et ajouter automatiquement le site à la liste Sites bloqués. Pour ajouter un site Web, saisissez le nom de domaine (habituellement l’URL) du certificat dans la zone de texte adjacente et cliquez sur Ajouter. Pour supprimer un site, sélectionnez-le et cliquez sur Supprimer. Activer la journalisation des rapports Cochez cette case pour envoyer un message du journal pour chaque demande de connexion gérée par le proxy HTTPS. Vous devez activer cette option pour créer des rapports précis sur le trafic de proxy HTTPS. 4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet. 5. Cliquez sur Enregistrer. 312 WatchGuard System Manager Paramètres proxy À propos de la Proxy POP3 POP3 (Post Office Protocol v.3) est un protocole qui transfère les e-mails depuis un serveur de messagerie vers un client de messagerie via une connexion TCP sur le port 110. La plupart des comptes de messagerie basés sur Internet utilisent POP3. Avec POP3, un client de messagerie contacte le serveur de messagerie et vérifie tous les nouveaux e-mails. S’il détecte un nouvel e-mail, il le télécharge sur le client de messagerie local. Une fois l’e-mail reçu par le client de messagerie, la connexion prend fin. Avec un filtre de proxy POP3, vous pouvez : n n n n Ajuster le délai d’attente et les limites de longueur de lignes pour garantir que le proxy POP3 n’utilise pas trop de ressources réseau, et afin d’éviter certains types d’attaques. Personnaliser le message de refus qui s’affiche lorsqu’un e-mail envoyé aux utilisateurs est bloqué. Filtrer le contenu intégré dans les e-mails à l’aide des types MIME. Bloquer des modèles de chemins et URL spécifiques. Pour ajouter le proxy POP3 à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre configuration à la page 283. Onglet Stratégie n n n Les connexions du proxy POP3 sont — Spécifiez si l’état des connexions est Autorisé, Refusé ou Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet Stratégie de la définition du proxy). Pour plus d’informations, voir Définir des règles d’accès pour une stratégie à la page 273. Utiliser le routage basé sur stratégie — Pour utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie à la page 275. Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer l’équilibrage de charge serveur. Pour plus d’informations, voir À propos de NAT statique à la page 157 et Configurer les équilibrage de charge côté serveur à la page 158. Onglet Propriétés n n n Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification à la page 371. Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser le POP3. Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 357. Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou le serveur d’authentification, Définir un délai d'inactivité personnalisé. Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition de proxy : Guide de l’utilisateur 313 Paramètres proxy n n n n n n Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie Onglets Paramètres et Contenu Les stratégies de proxy WatchGuard comportent des options de sécurité réseau et de performance supplémentaires associées au type de trafic réseau contrôlé par le proxy. Pour modifier ces paramètres, modifiez une stratégie de proxy et sélectionnez l’onglet Paramètres ou Contenu. n n Proxy POP3 : Paramètres Proxy POP3 : Contenu Proxy POP3 : Contenu Les en-têtes d’e-mails incluent un en-tête Type de contenu qui indique le type MIME de l’e-mail et des pièces jointes. Le type de contenu du type MIME indique à l’ordinateur les types de supports contenus dans le message. Certains types de contenus intégrés aux e-mails peuvent constituer une menace de sécurité pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs. Pour améliorer la sécurité et la performance du réseau : 1. Modifiez ou ajoutez la stratégie proxy POP3. La page Configuration de stratégie apparaît. 2. Cliquez sur l’onglet Contenu. 3. Configurez les options suivantes : Autoriser uniquement les types de contenus sécurisés 314 WatchGuard System Manager Paramètres proxy Dans la liste Types de contenus, vous pouvez définir des valeurs de filtrage de contenu et l’action à déclencher pour les types de contenus ne répondant pas aux critères. Pour une stratégie de proxy de serveur POP3, définissez des valeurs de filtrage du contenu entrant. Pour une stratégie de proxy de serveur POP3, définissez des valeurs de filtrage du contenu sortant. Le format d’un type MIME est type/sous-type. Par exemple, si vous souhaitez autoriser des images JPEG, ajoutez image/jpg . Vous pouvez utiliser l’astérisque (*) en tant que caractère générique. Pour autoriser tout format d’image, ajoutez image/* à la liste. Refuser les modèles de nom de fichier non sécurisés Cet ensemble de règles permet de fixer des limites sur les noms de fichiers dans le cadre d’une action de proxy de serveur POP3 pour les pièces jointes d’e-mails entrants. Cet ensemble de règles permet de fixer des limites sur les noms de fichiers dans le cadre d’une action de proxy de client POP3 pour les pièces jointes d’e-mails sortants. Vous pouvez ajouter, supprimer ou modifier des règles. 4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet. 5. Cliquez sur Enregistrer. Proxy POP3 : Paramètres Lorsque vous ajoutez une stratégie de proxy POP3, vous pouvez configurer des options supplémentaires associées au protocole POP3. Pour améliorer la sécurité et la performance du réseau : 1. Modifiez ou ajoutez la stratégie proxy POP3. La page Configuration de stratégie apparaît. 2. Sélectionnez l’onglet Paramètres. 3. Configurez les options suivantes : Délai Utilisez ce paramètre pour limiter la durée (en minutes) pendant laquelle le client de messagerie essaie d’ouvrir une connexion vers le serveur de messagerie avant de mettre fin à la connexion. Cela empêche le proxy d’utiliser trop de ressources réseau lorsque le serveur POP3 est lent ou inaccessible. Longueur maximale de la ligne Utilisez ce paramètre pour empêcher certains types d’attaques de dépassement de mémoire tampon. Une longueur excessive des lignes peut être à l’origine d’un dépassement de mémoire tampon sur certains systèmes de messagerie. La plupart des systèmes et clients de messagerie envoient des lignes relativement courtes, mais certains systèmes de messagerie basés sur le Web envoient des lignes très longues. Cependant, il est peu probable que vous deviez modifier ce paramètre à moins qu’il n’empêche l’accès d’e-mails légitimes. Le réglage par défaut est 1000 octets. Message de refus Guide de l’utilisateur 315 Paramètres proxy Dans la zone de texte Message de refus, écrivez un message personnalisé en texte brut en HTML standard qui s’affiche dans l’e-mail du destinataire lorsque le proxy bloque cet e-mail. Vous pouvez utiliser les variables suivantes : n n n n n n %(raison)% — Indique la raison pour laquelle la Firebox a refusé le contenu. %(type)% — Indique le type de contenu refusé. %(nom_fichier)% — Indique le nom de fichier du contenu refusé. %(virus)% — Indique le nom ou l’état d’un virus. Pour les utilisateurs de Gateway AntiVirus uniquement. %(action)% — Indique le nom de l’action déclenchée : verrouiller, enlever, etc. %(récupération)% — Indique si vous pouvez récupérer la pièce jointe. Activer la journalisation des rapports Cochez cette case pour envoyer un message du journal à chaque demande de connexion gérée par le proxy POP3. Vous devez activer cette option pour créer des rapports précis sur le trafic de proxy POP3. 4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet. 5. Cliquez sur Enregistrer. À propos de la Proxy SIP Si, dans votre entreprise, vous utilisez le protocole Voice-over-IP (VoIP), vous pouvez ajouter un protocole SIP (Session Initiation Protocol) ou une passerelle ALG (Application Layer Gateway) H.323 pour ouvrir les ports nécessaires à l’activation du protocole VoIP via votre Firebox. Une passerelle ALG est créée pareillement à une stratégie de proxy et offre les mêmes options de configuration. Ces passerelles ALG ont été conçues pour un environnement de translation d’adresses réseau (NAT) et visent à maintenir la sécurité au niveau du matériel de conférence comportant des adresses privées et situé derrière le périphérique Firebox. H.323 est couramment utilisé pour les installations voix et les anciens systèmes de vidéoconférence. SIP est une norme plus récente qui est davantage employée dans les environnements hébergés, dans lesquels seuls les périphériques de point de terminaison (comme les téléphones) sont hébergés sur votre lieu de travail, et où un fournisseur de voix sur IP gère la connectivité. Si nécessaire, vous pouvez utiliser simultanément des passerelles ALG H.323 et des passerelles ALG SIP. Pour déterminer la passerelle ALG à ajouter, consultez la documentation fournie avec vos périphériques ou applications VoIP. Note Le proxy du protocole SIP prend en charge les connexions SIP de type ami mais non de type pair. Composants voix sur IP Il est important de comprendre que le protocole VoIP est généralement mis en œuvre : Connexions pair à pair Dans une connexion pair à pair, chacun des deux périphériques connaît l’adresse IP de l’autre et se connecte à celui-ci directement. Si les deux pairs sont derrière le périphérique Firebox, celui-ci peut acheminer le trafic d’appel correctement. 316 WatchGuard System Manager Paramètres proxy Connexions hébergées Les connexions peuvent être hébergées par un système de gestion des appels (autocommutateur privé). Avec le protocole SIP standard, deux composants clés du système de gestion des appels sont le Registraire SIP et le Proxy SIP. Ensemble, ces composants gèrent les connexions hébergées par le système de gestion des appels. La passerelle ALG SIP WatchGuard ouvre et ferme les ports nécessaires au fonctionnement du protocole SIP. La passerelle ALG SIP peut prendre en charge le registraire SIP et le proxy SIP lorsqu’ils sont utilisés dans un système de gestion des appels extérieur à la Firebox. SIP n’est pas pris en charge dans cette version si votre système de gestion d’appel est protégé par Firebox. Il peut s’avérer difficile de coordonner les divers composants d’une installation de voix sur IP. Nous vous recommandons de vous assurer que les connexions VoIP fonctionnent normalement avant d’ajouter une passerelle H.323 ou ALG SIP. Vous serez ainsi en mesure de résoudre les problèmes qui pourraient se présenter. Fonctions ALG Lorsque vous activez une passerelle ALG SIP, le périphérique Firebox : n n n répond automatiquement aux applications de voix sur IP et ouvre les ports appropriés ; s’assure que les connexions VoIP utilisent les protocoles SIP standard génère des messages de journal à des fins d’audit. De nombreux périphériques et serveurs de voix sur IP utilisent le système NAT (Network Address Translation) pour ouvrir et fermer automatiquement les ports. Les passerelles ALG H.323 et SIP ont le même rôle. Vous devez désactiver la fonction NAT sur vos périphériques de voix sur IP si vous configurez une passerelle H.323 ou SIP. Pour ajouter une passerelle ALG SIP à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre configuration à la page 283. Onglet Stratégie n n n Les connexions SIP-ALG sont — Spécifiez si l’état des connexions est Autorisé, Refusé ou Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet Stratégie de la définition de la passerelle ALG). Pour plus d’informations, voir Définir des règles d’accès pour une stratégie à la page 273. Utiliser le routage basé sur stratégie — Pour utiliser le routage basé sur stratégie dans la définition de la passerelle ALG, voir Configurer le routage basé sur stratégie à la page 275. Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer l’équilibrage de charge serveur. Pour plus d’informations, voir À propos de NAT statique à la page 157 et Configurer les équilibrage de charge côté serveur à la page 158. Onglet Propriétés n Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification . Guide de l’utilisateur 317 Paramètres proxy n n Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser le protocole SIP. Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 357. Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou par le serveur d’authentification, voir Définir un délai d'inactivité personnalisé à la page 276. Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition de la passerelle ALG : n n n n n n Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie Onglets Paramètres et Contenu Les passerelles ALG WatchGuard possèdent des options de sécurité réseau et de performance supplémentaires associées au type de trafic réseau contrôlé par la passerelle ALG. Pour modifier ces paramètres, modifiez la passerelle ALG et cliquez sur l’onglet Paramètres ou Contenu. n n Passerelle ALG SIP : Paramètres Passerelle ALG SIP : Contenu Passerelle ALG SIP : Contenu Lorsque vous ajoutez une passerelle ALG (application layer gateway) SIP, vous pouvez configurer d’autres options associées au protocole SIP. Pour améliorer la sécurité et la performance du réseau : 1. Modifiez ou ajoutez la stratégie ALG SIP. La page Configuration de stratégie apparaît. 2. Cliquez sur l’onglet Contenu. 3. Configurez les options suivantes : Codecs refusés 318 WatchGuard System Manager Paramètres proxy Utilisez cette fonction pour refuser un ou plusieurs codec(s) VoIP. Lorsqu’une connexion VoIP SIP utilisant un codec spécifié dans cette liste est ouverte, votre périphérique WatchGuard ferme automatiquement la connexion. Par défaut, cette liste est vide. Nous vous recommandons d’ajouter un codec à cette liste s’il consomme trop de bande passante, s’il présente un risque de sécurité ou s’il est nécessaire pour que votre solution VoIP fonctionne correctement. Vous pouvez par exemple choisir de refuser les codecs G.711 ou G.726 car ils utilisent plus de 32 Ko/s de bande passante, ou de refuser le codec Speex car il est utilisé par un codec VoIP non autorisé. Pour ajouter un codec à la liste, saisissez le nom ou le modèle de texte unique du codec dans la zone de texte, puis cliquez sur Ajouter. Ne pas utiliser de caractères génériques ou de syntaxe d’expression normale. Les modèles de codecs respectent la casse. Pour supprimer un codec de la liste, sélectionnez-le et cliquez sur Supprimer. Activer le contrôle d’accès pour VoIP Cochez cette case pour activer la fonctionnalité de contrôle d’accès. Une fois activée, la passerelle ALG SIP autorise ou limite les appels en fonction des options définies. Paramètres par défaut Cochez la case Passer des appels VoIP pour autoriser par défaut tous les utilisateurs VoIP à effectuer des appels. Cochez la case Recevoir des appels VoIP pour autoriser par défaut tous les utilisateurs VoIP à recevoir des appels. Cochez la case Journal adjacente pour créer un message du journal pour chaque connexion VoIP SIP passée ou reçue. Niveaux d’accès Guide de l’utilisateur 319 Paramètres proxy Pour créer une exception pour les paramètres par défaut que vous avez spécifiés ci-dessus, saisissez un nom d’hôte, une adresse IP ou une adresse e-mail. Sélectionnez un niveau d’accès dans la liste déroulante adjacente, puis cliquez sur Ajouter. Vous pouvez autoriser les utilisateurs à passer des appels uniquement, recevoir des appels uniquement, passer et recevoir des appels ou ne leur octroyer aucun accès VoIP. Ces paramètres s’appliquent uniquement au trafic VoIP SIP. Pour supprimer une exception, sélectionnez-la dans la liste et cliquez sur Supprimer. Les connexions établies par les utilisateurs ayant une exception de niveau d’accès sont journalisées par défaut. Si vous ne souhaitez pas journaliser les connexions établies par les utilisateurs ayant une exception de niveau d’accès, décochez la case Journal au moment de la création de l’exception. 4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet. 5. Cliquez sur Enregistrer. Passerelle ALG SIP : Paramètres Lorsque vous ajoutez une passerelle ALG (application layer gateway) SIP, vous pouvez configurer d’autres options associées au protocole SIP. Pour améliorer la sécurité et la performance du réseau : 1. Modifiez ou ajoutez la stratégie ALG SIP. La page Configuration de stratégie apparaît. 2. Sélectionnez l’onglet Paramètres. Activer la normalisation d’en-tête Cochez cette case pour refuser les en-têtes SIP incorrects ou extrêmement longs. Alors que ces en-têtes indiquent souvent une attaque de la Firebox, vous pouvez si nécessaire désactiver cette option pour le fonctionnement correct de votre solution VoIP. Activer le masquage de topologie 320 WatchGuard System Manager Paramètres proxy Cette fonction réécrit les en-têtes de trafic SIP pour supprimer les informations de réseau privé, telles que les adresses IP. Nous vous recommandons de conserver cette option activée à moins que vous ne disposiez déjà d’un périphérique de passerelle VoIP effectuant le masquage de topologie. Activer la protection de collecte de répertoire Cochez cette case pour empêcher les personnes malveillantes de dérober des informations relatives aux utilisateurs à partir des portiers VoIP protégés par votre Firebox. Cette option est activée par défaut. Nombre maximum de sessions Utilisez cette fonction pour limiter le nombre de sessions audio ou vidéo pouvant être créées à l’aide d’un seul appel VoIP. Par exemple, si vous réglez le nombre maximal de sessions sur 1 et participez à un appel VoIP audio et vidéo, la deuxième connexion est abandonnée. La valeur par défaut est de deux sessions et la valeur maximale est de quatre sessions. La Firebox crée une entrée de journal lorsqu’une session média supérieure à ce nombre est refusée. Activer la journalisation des rapports Cochez cette case pour envoyer un message du journal à chaque demande de connexion gérée par la passerelle ALG SIP. Vous devez activer cette option pour créer des rapports précis sur le trafic SIP. Informations d’agent utilisateur Saisissez une nouvelle chaîne d’agent utilisateur dans la zone de texte Réécrire l’agent utilisateur en tant que pour identifier le trafic SIP sortant en tant que client spécifié. Pour supprimer un agent utilisateur incorrect, effacez la zone de texte. Canaux multimédias inactifs Lorsqu’aucune donnée n’est envoyée pendant un intervalle de temps défini sur un canal audio, vidéo ou de données VoIP, votre Firebox ferme cette connexion réseau. La valeur par défaut est de 180 secondes (trois minutes) et la valeur maximale est de 600 secondes (dix minutes). Pour spécifier un intervalle de temps différent, saisissez le temps en secondes dans la zone de texte Canaux multimédia inactifs. 3. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet. 4. Cliquez sur Enregistrer. À propos de la Proxy SMTP SMTP (Simple Mail Transport Protocol) est un protocole utilisé pour envoyer des e-mails entre serveurs de messagerie mais également entre clients de messagerie et serveurs de messagerie. Il utilise habituellement une connexion TCP sur le port 25. Vous pouvez utiliser le proxy SMTP pour contrôler les e-mails et leur contenu. Le proxy analyse des messages SMTP en fonction d’un certain nombre de paramètres filtrés et les compare aux règles de la configuration du proxy. Avec un filtre de proxy SMTP, vous pouvez : Guide de l’utilisateur 321 Paramètres proxy n n n n Ajuster le délai d’attente, la taille maximale des e-mails et les limites de longueur de lignes pour assurer que le proxy SMTP n’utilise pas trop de ressources réseau, et afin d’éviter certains types d’attaques. Personnaliser le message de refus reçu par les utilisateurs lorsqu’un e-mail qu’ils essaient d’afficher est bloqué. Filtrer le contenu intégré dans les e-mails avec des types MIME et des modèles de nom. Limiter les adresses e-mail vers lesquelles des e-mails peuvent être envoyés et bloquer automatiquement les e-mails provenant d’expéditeurs spécifiques. Pour ajouter le proxy SMTP à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre configuration à la page 283. Onglet Stratégie n n n Les connexions SMTP-proxy sont — Spécifiez si les connexions ont l’état Autorisé, Refusé ou Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet Stratégiede la définition du proxy). Pour plus d’informations, voir Définir des règles d’accès pour une stratégie à la page 273. Utiliser le routage basé sur stratégie — Si vous voulez utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie à la page 275. Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer l’équilibrage de charge serveur. Pour plus d’informations, voir À propos de NAT statique à la page 157 et Configurer les équilibrage de charge côté serveur à la page 158. Onglet Propriétés n n n Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification . Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou sur Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser SMTP. Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 357. Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou par le serveur d’authentification, voir Définir un délai d'inactivité personnalisé à la page 276. Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition de proxy : n n n n n n 322 Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie WatchGuard System Manager Paramètres proxy Onglets Paramètres, Adressage et Contenu Les stratégies de proxy WatchGuard comportent des options de sécurité réseau et de performance supplémentaires associées au type de trafic réseau contrôlé par le proxy. Pour modifier ces paramètres, modifiez la stratégie de proxy et cliquez sur l’onglet Paramètres ou Contenu. Le proxy SMTP comprend également un onglet Adressage, où vous pouvez définir les options concernant les expéditeurs et destinataires des e-mails. n n n Proxy SMTP : Paramètres Proxy SMTP : Adressage Proxy SMTP : Contenu Proxy SMTP : Adressage Lorsque vous ajoutez une stratégie de proxy SMTP, vous pouvez configurer des options supplémentaires associées au protocole SMTP. Pour limiter qui peut envoyer et recevoir des e-mails : 1. Modifiez ou ajoutez la stratégie proxy SMTP. La page Configuration de stratégie apparaît. 2. Cliquez sur l’onglet Adressage. 3. Configurez les options suivantes : Bloquer les e-mails provenant d’expéditeurs dangereux Cochez cette case pour limiter les utilisateurs pouvant envoyer des e-mails à des destinataires sur votre réseau. Pour ajouter un expéditeur à la liste, saisissez l’adresse e-mail dans la zone de texte adjacente et cliquez sur le bouton Ajouter. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique pour choisir plus d’un expéditeur. Limiter les destinataires d’e-mails Guide de l’utilisateur 323 Paramètres proxy Cochez cette case pour autoriser uniquement des utilisateurs spécifiés à recevoir des e-mails. Pour ajouter un destinataire à la liste, saisissez l’adresse e-mail dans la zone de texte adjacente et cliquez sur le bouton Ajouter. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique pour choisir plus d’un destinataire. 4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet. 5. Cliquez sur Enregistrer. Proxy SMTP : Contenu Lorsque vous ajoutez une stratégie de proxy SMTP, vous pouvez configurer des options supplémentaires associées au protocole SMTP. Certains types de contenus intégrés aux e-mails peuvent constituer une menace de sécurité pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs. L’ensemble de règles pour l’action de proxy SMTP entrante sert à définir les valeurs pour le filtrage du contenu SMTP entrant. L’ensemble de règles pour l’action de proxy SMTP sortante sert à définir les valeurs pour le filtrage du contenu SMTP sortant. Le proxy SMTP autorise les types de contenus suivants par défaut : text/*, image/*, multipart/*, message/*, application/* et application/x-watchguard-locked. Pour améliorer la sécurité et la performance du réseau : 1. Modifiez ou ajoutez la stratégie proxy SMTP. La page Configuration de stratégie apparaît. 2. Cliquez sur l’onglet Contenu. 3. Configurez les options suivantes : Autoriser uniquement les types de contenus sécurisés Pour autoriser uniquementlestypes MIME définisdanslaliste Typesde contenus,cochezcette case. Pour ajouter un type de contenu prédéfini à la liste Types de contenus, sélectionnez l’entrée correspondante et cliquez sur < pour la copier. 324 WatchGuard System Manager Paramètres proxy Pour ajouter un nouveau type de contenu, saisissez le type MIME dans la liste adjacente et cliquez sur Ajouter. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique pour choisir plus d’un type MIME à la fois. Pour supprimer un type de contenu, sélectionnez son entrée et cliquez sur Supprimer. Vous ne pouvez pas supprimer des types de contenus de la liste Types de contenu prédéfinis. Refuser les modèles de nom de fichier non sécurisés Pour refuser les e-mails avec des pièces jointes dont les noms de fichier correspondent à un modèle de la liste adjacente, cochez cette case. Pour ajouter un modèle de nom de fichier, saisissez le modèle de nom de fichier dans la zone de texte adjacente et cliquez sur Ajouter. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique pour choisir plus d’un nom de fichier à la fois. Pour supprimer un modèle de nom de fichier, sélectionnez-le dans la liste et cliquez sur Supprimer. 4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet. 5. Cliquez sur Enregistrer. Proxy SMTP : Paramètres Lorsque vous ajoutez une stratégie de proxy SMTP, vous pouvez configurer des options supplémentaires associées au protocole DNS. Pour améliorer la sécurité et la performance du réseau : 1. Modifiez ou ajoutez la stratégie proxy SMTP. La page Configuration de stratégie apparaît. 2. Sélectionnez l’onglet Paramètres. 3. Configurez les options suivantes : Délai Vos pouvez définir la durée pendant laquelle une connexion SMTP peut rester inactive avant d’expirer. La valeur par défaut est de 10 minutes. Pour modifier cette valeur, saisissez ou sélectionnez un chiffre dans le champ adjacent. Taille maximale des e-mails Utilisez cette option pour définir la longueur maximale d’un message SMTP entrant. La valeur par défaut est 10 000 000 octets, soit 10 Mo. Pour modifier cette valeur, saisissez ou sélectionnez un chiffre dans le champ adjacent. Pour autoriser les messages de toutes les tailles, indiquez la valeur zéro (0). L’encodage peut augmenter d’un tiers la taille totale des fichiers. Par exemple, pour autoriser les messages d’une taille allant jusqu’à 10 Ko, vous devez régler ce champ sur un minimum de 1334 octets pour garantir qu’un message de 10 Ko puisse être reçu. Longueur maximale de la ligne Guide de l’utilisateur 325 Paramètres proxy Vous pouvez définir la longueur maximale des lignes d’un message SMTP. Une longueur excessive des lignes peut être à l’origine d’un dépassement de mémoire tampon sur certains systèmes de messagerie. La plupart des systèmes et clients de messagerie envoient des lignes courtes, mais certains systèmes de messagerie Web envoient des lignes très longues. Le réglage par défaut est 1 000 octets, soit 1 Ko. Pour modifier cette valeur, saisissez ou sélectionnez un chiffre dans le champ adjacent. Pour autoriser toutes les longueurs de ligne, indiquez la valeur zéro (0). Activer la journalisation des rapports Cochez cette case pour envoyer un message du journal à chaque demande de connexion gérée par le proxy SMTP. Vous devez activer cette option pour créer des rapports précis sur le trafic de proxy SMTP. 4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet. 5. Cliquez sur Enregistrer. Configurer le proxy SMTP pour placer du courrier en quarantaine WatchGuard Quarantine Server fournit un mécanisme de quarantaine sécurisé et complet pour tous les emails soupçonnés d’être indésirables ou de contenir des virus. Ce référentiel reçoit les e-mails à partir du proxy SMTP et les messages sont filtrés par spamBlocker. Pour configurer le proxy SMTP afin de mettre en quarantaine du courrier : 1. Ajoutez le proxy SMTP à votre configuration et activez spamBlocker dans la définition de proxy. Ou activez spamBlocker et activez-le pour le proxy SMTP. 2. Lorsque vous définissez les actions que spamBlocker applique à différentes catégories d’e-mails (tel que décrit dans Configurer spamBlocker à la page 594), assurez-vous de sélectionner l’action Quarantaine pour au moins l’une des catégories. Lorsque vous sélectionnez cette action, vous êtes invité à configurer le serveur Quarantine Server, si vous ne l’avez pas encore fait. Vous pouvez également sélectionner l’action Quarantaine pour les e-mails identifiés par VOD comme contenant des virus. Pour plus d’informations, voir Configurer les actions de Virus Outbreak Detection pour une stratégie : à la page 598. À propos de la Proxy TCP-UDP Le proxy TCP/UDP est disponible pour les protocoles suivants sur les ports non standards : HTTP, HTTPS, SIP et FTP. Pour ces protocoles, le proxy TCP-UDP relaie le trafic vers les proxies appropriés ou vous permet d’autoriser ou de refuser du trafic. Pour les autres protocoles, vous pouvez choisir d’autoriser ou de refuser le trafic. Vous pouvez également utiliser cette stratégie de proxy pour autoriser ou refuser le trafic réseau de messagerie instantanée et P2P (pair à pair). Le proxy TCP-UDP est destiné uniquement aux connexions sortantes. Pour ajouter le proxy TCP-UDP à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre configuration à la page 283. 326 WatchGuard System Manager Paramètres proxy Onglet Stratégie n n n Les connexions TCP-UDP-proxy sont — Spécifiez si les connexions ont l’état Autorisé, Refusé ou Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet Stratégiede la définition du proxy). Pour plus d’informations, voir Définir des règles d’accès pour une stratégie à la page 273. Utiliser le routage basé sur stratégie — Si vous voulez utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie à la page 275. Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer l’équilibrage de charge serveur. Pour plus d’informations, voir À propos de NAT statique à la page 157 et Configurer les équilibrage de charge côté serveur à la page 158. Onglet Propriétés n n n Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification . Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou sur Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser TCP-UDP. Voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 357. Si vous voulez utiliser un délai d’inactivité autre que celui défini par le périphérique WatchGuard ou le serveur d’authentification, Définir un délai d'inactivité personnalisé. Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition de proxy : n n n n n n Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie Onglets Paramètres et Contenu Les stratégies de proxy WatchGuard comportent des options de sécurité réseau et de performance supplémentaires associées au type de trafic réseau contrôlé par le proxy. Pour modifier ces paramètres, modifiez la stratégie de proxy et cliquez sur l’onglet Paramètres ou Contenu. n n Proxy TCP-UDP : Paramètres Proxy TCP-UDP : Contenu Guide de l’utilisateur 327 Paramètres proxy Proxy TCP-UDP : Contenu Vous pouvez utiliser les paramètres d’Application Blocker dans l’onglet Contenu pour définir les actions que devra effectuer votre périphérique Firebox ou XTM lorsque la stratégie de proxy TCP-UDP détecte un trafic réseau provenant d’applications de messagerie instantanée ou de pair à pair (P2P). Dans l’onglet Contenu, cochez la case correspondant aux types d’applications de messagerie instantanée et de pair à pair que le proxy TCP-UDP doit détecter ainsi que les actions associées. Pour plus d’informations, cf. À propos des configurations de blocage d’applications à la page 280. Proxy TCP-UDP : Paramètres Lorsque vous ajoutez une stratégie de proxy TCP-UDP, vous pouvez configurer des options supplémentaires relatives à plusieurs protocoles réseau. Pour spécifier des stratégies de proxy filtrant différents types de trafic réseau : 1. Modifiez ou ajoutez la stratégie proxy TCP-UDP. La page Configuration de stratégie apparaît. 2. Sélectionnez l’onglet Paramètres. 3. Configurez les options suivantes : Actions de proxy pour la redirection du trafic Le proxy TCP-UDP peut transmettre le trafic HTTP, HTTPS, SIP et FTP vers des stratégies de proxy que vous avez déjà créées lorsque ce trafic est envoyé via des ports non standards. Pour chacun de ces protocoles, dans les listes déroulantes adjacentes, sélectionnez la stratégie de proxy qui gérera ce trafic. Si vous ne voulez pas que votre Firebox utilise une stratégie de proxy pour filtrer un protocole, sélectionnez Autoriser ou Refuser dans la liste déroulante adjacente. Note Pour assurer le bon fonctionnement de votre Firebox, vous ne devez pas sélectionner Autoriser pour le protocole FTP. Activer la journalisation des rapports 328 WatchGuard System Manager Paramètres proxy Cochez cette case pour envoyer un message du journal à chaque demande de connexion gérée par le proxy TCP-UDP. Vous devez activer cette option pour créer des rapports précis sur le trafic de proxy TCP-UDP. 4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet. 5. Cliquez sur Enregistrer. Guide de l’utilisateur 329 Paramètres proxy Guide de l’utilisateur 330 14 Gestion du trafic et QoS À propos de Gestion du trafic et QoS Dans un réseau de grande taille comptant de nombreux ordinateurs, le volume de données qui traverse le pare-feu peut être très important. Un administrateur réseau peut utiliser les actions de gestion du trafic et de qualité de service (QoS) pour empêcher toute perte de données pour des applications d’entreprise importantes et pour garantir que les applications critiques ont priorité sur le reste du trafic. La gestion du trafic et QoS fournissent de nombreux avantages. Vous pouvez : n n n Garantir ou limiter la bande passante Contrôler la vitesse à laquelle la Firebox envoie des paquets au réseau Fixer des priorités pour le moment où les paquets doivent être envoyés vers le réseau Pour appliquer une gestion de trafic aux stratégies, vous devez définir une action de gestion de trafic, à savoir une collection de paramètres que vous pouvez appliquer à une ou plusieurs définitions de stratégie. De cette manière, vous n’avez pas besoin de configurer les paramètres de gestion du trafic de façon distincte dans chaque stratégie. Vous pouvez définir des actions de gestion de trafic supplémentaires si vous voulez appliquer des paramètres différents à différentes stratégies. Activer la gestion du trafic et la fonction QoS Pour des raisons de performances, toutes les fonctions de gestion de trafic et QoS sont désactivées par défaut. Vous devez activer ces fonctions dans les Paramètres globaux pour pouvoir les utiliser. 1. Sélectionnez Système > Paramètres globaux. La page Paramètres globaux s’affiche. Guide de l’utilisateur 331 Gestion du trafic et QoS 2. Cochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (Qualité de service). 3. Cliquez sur Enregistrer. Garantir la bande passante La réservation de la bande passante sert à empêcher les dépassements de délai d’attente de connexion. Une file d’attente de gestion du trafic avec une bande passante réservée et une priorité basse peut offrir de la bande passante à des applications en temps réel avec une priorité plus élevée lorsque cela est nécessaire, sans interrompre la connexion. D’autres files d’attente de gestion du trafic peuvent tirer profit de la bande passante réservée inutilisée lorsqu’elle devient disponible. Par exemple, supposez que votre entreprise possède un serveur FTP sur le réseau externe et que vous voulez garantir que le trafic FTP dispose toujours d’au moins 200 kilo-octets par seconde (Ko/s) par le biais de l’interface externe. Vous pouvez également envisager de définir une bande passante minimale à partir de l’interface approuvée pour vous assurer que la connexion possède une bande passante garantie de bout en bout. Pour cela, vous pouvez créer une action de gestion de trafic qui définit un minimum de 200 Ko/s pour le trafic FTP sur l’interface externe. Vous pouvez alors créer une stratégie FTP et appliquer l’action de gestion de trafic. Cela permettra un envoi FTP à 200 Ko/s. Si vous voulez permettre une réception FTP à 200 Ko/s, vous devez configurer le trafic FTP sur l’interface approuvée à un minimum de 200 Ko/s. 332 WatchGuard System Manager Gestion du trafic et QoS Autre exemple : supposez que votre entreprise utilise des documents multimédias (transmission multimédia en continu) pour la formation de clients externes. Cette transmission multimédia en continu utilise le RTSP via le port 554. Vous effectuez des transferts FTP fréquents à partir de l’interface approuvée vers l’interface externe et vous ne voulez pas que ces transferts interfèrent avec la réception par vos clients du contenu de transmission multimédia en continu. Vous pouvez appliquer une action de gestion de trafic à l’interface externe pour le port de transmission multimédia en continu afin de garantir une bande passante suffisante. Restreindre la bande passante Le paramètre de bande passante garantie fonctionne avec le paramètre Bande passante de l’interface en sortie configuré pour chaque interface externe afin de ne pas garantir davantage de bande passante que ce dont vous disposez. Ce paramètre vous permet également de vous assurer que la somme de vos paramètres de bande passante garantie ne sature pas la liaison, ce qui empêcherait la transmission du trafic non garanti. Par exemple, supposez que la liaison soit de 1 Mbits/s et que vous essayez d’utiliser une action de gestion de trafic qui garantit 973 Kbits/s (0,95 Mbits/s) à la stratégie FTP sur cette liaison. Avec ces paramètres, le trafic FTP pourrait utiliser la bande passante disponible au point d’empêcher d’autres types de trafic d’utiliser l’interface. Marquage QoS Le marquage QoS crée différentes classes de service pour différentes sortes de trafic réseau sortant. Lorsque vous marquez le trafic, vous modifiez jusqu’à six bits sur les champs d’en-tête des paquets définis à cet effet. D’autres périphériques externes peuvent utiliser ce marquage et fournir une gestion appropriée d’un paquet lors de son trajet d’un point à un autre point dans un réseau. Vous pouvez activer le marquage QoS pour une interface ou une stratégie individuelle. Lorsque vous définissez le marquage QoS pour une interface, chaque paquet sortant de cette interface est marqué. Lorsque vous définissez le marquage QoS pour une stratégie, tout le trafic utilisant cette stratégie est également marqué. Priorité du trafic Vous pouvez attribuer des niveaux de priorité différents aux stratégies ou pour le trafic sur une interface particulière. La définition de priorités pour le trafic au niveau du pare-feu vous permet de gérer plusieurs files d’attente de classes de services (CoS) et de réserver la priorité la plus élevée pour les données en temps réel ou les données de diffusion en continu. Une stratégie avec une priorité élevée risque de confisquer la bande passante à des connexions à priorité basse existantes, lorsque la liaison est saturée et que la bande passante ne suffit pas pour tout le trafic. Définir la bande passante de l’interface en sortie Certaines fonctionnalités de gestion du trafic exigent une limite de bande passante pour chaque interface réseau. Par exemple, vous devez configurer le paramètre Bande passante de l’interface en sortie pour utiliser le marquage Qos et la définition des priorités. Guide de l’utilisateur 333 Gestion du trafic et QoS Une fois que vous avez défini cette limite, votre Firebox effectue les tâches basiques de définition des priorités sur le trafic réseau afin d’éviter les problèmes de trafic excessif sur l’interface spécifiée. Par ailleurs, un avertissement s’affiche dans l’interface Web Fireware XTM si vous allouez une bande passante trop importante lorsque vous créez ou paramétrez des actions de gestion du trafic. Si vous conservez pour toute interface la valeur par défaut 0 du paramètre Bande passante de l’interface en sortie, la bande passante est définie avec la vitesse de connexion négociée automatiquement pour cette interface. 1. Sélectionnez Pare-feu > Gestion du trafic. La page Gestion du trafic s’affiche. 2. Cliquez sur l’onglet Interfaces. 3. Dans la colonne Bande passante, à côté du nom de l’interface, saisissez la quantité de bande passante fournie par le réseau. Indiquez la vitesse de transfert de votre connexion Internet en kilobits ou mégabits par seconde (Kbits/s ou Mbits/s). Définissez la bande passante de votre interface LAN en fonction de la vitesse de connexion minimale prise en charge par votre infrastructure LAN. 4. Pour modifier l’unité de vitesse, sélectionnez une interface dans la liste, puis cliquez sur l’unité de vitesse adjacente et sélectionnez une option différente dans la liste déroulante. 5. Cliquez sur Enregistrer. Limiter le nombre de connexions Afin d’améliorer la sécurité du réseau, vous pouvez créer une limite sur une stratégie de façon à ce qu’elle ne filtre qu’un nombre défini de connexions par seconde. En cas de tentatives de connexions supplémentaires, le trafic est refusé et un message de journal est généré. 1. Sélectionnez Pare-feu > Stratégies de pare-feu ou Pare-feu > Stratégies VPN mobiles. La page Stratégies s’affiche. 2. Double-cliquez sur une stratégie ou sélectionnez la stratégie que vous souhaitez configurer et cliquez sur Modifier. 3. Cliquez sur l’onglet Avancé. 4. Cochez la case Vitesse de connexion. 334 WatchGuard System Manager Gestion du trafic et QoS 5. Dans la zone de texte adjacente, saisissez ou sélectionnez le nombre de connexions que cette stratégie peut traiter en une seconde. 6. Cliquez sur Enregistrer. À propos de Marquage QoS Les réseaux actuels comprennent souvent plusieurs types de trafic réseau qui sont en concurrence pour la bande passante. Tout trafic, qu’il soit d’une importance vitale ou négligeable, a des chances égales d’atteindre sa destination dans le délai imparti. Le marquage de qualité de service (QoS) offre au trafic critique un traitement préférentiel afin de garantir sa remise d’une manière rapide et fiable. La fonctionnalité QoS doit être en mesure de différencier les différents types de flux de données qui parcourent votre réseau. Elle doit alors marquer les paquets de données. Le marquage QoS crée différentes catégories de services pour différents types de trafic réseau. Lorsque vous marquez le trafic, vous modifiez jusqu’à six bits sur les champs d’en-tête des paquets définis à cet effet. Firebox et d’autres périphériques prenant en charge la fonction QoS peuvent utiliser ce marquage pour fournir une gestion appropriée d’un paquet lors de son trajet d’un point à un autre sur un réseau. Fireware XTM prend en charge deux types de marquage QoS : le marquage de priorité IP (appelé également Classe de service) et le marquage DSCP (Differentiated Service Code Point). Pour plus d’informations sur ces types de marquage et les valeurs que vous pouvez définir, voir Types et valeurs de marquage à la page 336. Avant de commencer n n Assurez-vous que votre matériel de réseau local prend en charge le marquage et la gestion QoS. Vous devez également vous assurer que votre fournisseur de services Internet prend en charge la fonction QoS. L’utilisation des procédures QoS sur un réseau exige des efforts importants de planification. Vous pouvez commencer par identifier la bande passante théoriquement disponible, puis déterminer les applications réseau à priorité élevée, celles particulièrement sensibles à la latence et aux instabilités, ou les deux. Marquage QoS pour interfaces et stratégies Vous pouvez activer le marquage QoS pour une interface ou une stratégie individuelle. Lorsque vous définissez le marquage QoS pour une interface, chaque paquet sortant de cette interface est marqué. Lorsque vous définissez le marquage QoS pour une stratégie, tout le trafic utilisant cette stratégie est également marqué. Le marquage QoS pour une stratégie remplace tout marquage QoS défini sur une interface. Guide de l’utilisateur 335 Gestion du trafic et QoS Par exemple, supposez que votre Firebox reçoit du trafic marqué QoS à partir d’un réseau approuvé et l’envoie vers un réseau externe. Sur le réseau approuvé, le marquage QoS est déjà appliqué, mais vous souhaitez que le trafic en direction de votre équipe de dirigeants bénéficie d’une priorité plus élevée que le reste du trafic réseau en provenance de l’interface approuvée. Tout d’abord, définissez le marquage QoS pour l’interface approuvée en spécifiant une valeur. Ensuite, ajoutez une stratégie avec le marquage QoS défini avec une valeur supérieure pour le trafic en direction de l’équipe dirigeante. Marquage Qos et trafic IPSec Si vous voulez appliquer la qualité de service (QoS) au trafic IPsec, vous devez créer une stratégie de parefeu spécifique pour la stratégie IPsec correspondante et appliquer le marquage QoS à cette stratégie. Vous pouvez également choisir si vous souhaitez préserver le marquage existant lorsqu’un paquet marqué est encapsulé dans un en-tête IPSec. Pour préserver le marquage : 1. Sélectionnez VPN > Paramètres globaux. La page Paramètres VPN globaux s’affiche. 2. Cochez la case Activer le type de service (TOS) pour IPSec. 3. Cliquez sur .Enregistrer. Tout marquage existant est préservé lorsque le paquet est encapsulé dans un en-tête IPSec. Pour supprimer le marquage : 1. Sélectionnez VPN > Paramètres globaux. La page Paramètres VPN globaux s’affiche. 2. Décochez la case Activer le type de service (TOS) pour IPSec. 3. Cliquez sur .Enregistrer. Les bits TOS sont réinitialisés et le marquage n’est pas préservé. Types et valeurs de marquage Fireware XTM prend en charge deux types de marquage QoS : le marquage de priorité IP (appelé également Classe de service) et le marquage DSCP (Differentiated Service Code Point). Le marquage de priorité IP affecte uniquement les trois premiers bits de l’octet de type de service (ToS) IP. Le marquage DSCP étend le marquage aux six premiers bits de l’octet ToS IP. Ces deux méthodes vous permettent de conserver les bits de l’en-tête, qui peuvent avoir été marqués précédemment par un périphérique externe, ou de modifier leur valeur. Les valeurs DSCP peuvent être exprimées sous une forme numérique ou par des mots clés spéciaux qui correspondent au comportement par saut (PHB, per-hop behavior). Le comportement par saut correspond à la priorité appliquée à un paquet lors d’un trajet d’un point à un autre dans un réseau. Le marquage DSCP de Fireware prend en charge trois types de comportement par saut : Best Effort Best Effort correspond au type de service par défaut et est recommandé pour le trafic qui n’est pas critique ni en temps réel. Tout le trafic correspond à cette classe si vous n’utilisez pas le marquage QoS. 336 WatchGuard System Manager Gestion du trafic et QoS Transfert assuré (AF) Le transfert assuré est recommandé pour le trafic qui a besoin d’une plus grande fiabilité que le type de service Best Effort. Avec un comportement par saut de type Transfert assuré (AF), le trafic peut être affecté dans trois classes : bas, moyen et élevé. Transfert expédié (EF) Ce type a la priorité la plus élevée. Il est généralement réservé pour le trafic critique et en temps réel. Les points de code de sélecteur de classe (CSx) sont définis de façon à assurer la compatibilité descendante avec les valeurs de priorité IP. Les points de code CS1 à CS7 sont identiques aux valeurs de priorité IP 1 à 7. Le tableau ci-dessous indique les valeurs DSCP que vous pouvez sélectionner, la valeur de priorité IP correspondante (qui est la même que la valeur CS) et la description par des mots clés PHB. Valeur DSCP Valeur de priorité IP équivalente (valeurs CS) 0 8 Description : mot clé de comportement par saut Best Effort (identique à aucun marquage) 1 Scavenger* 10 AF Classe 1 - Bas 12 AF Classe 1 - Moyen 14 AF Classe 1 - Élevé 16 2 18 AF Classe 2 - Bas 20 AF Classe 2 - Moyen 22 AF Classe 2 - Élevé 24 3 26 AF Classe 3 - Bas 28 AF Classe 3 - Moyen 30 AF Classe 3 - Élevé 32 4 34 AF Classe 4 - Bas 36 AF Classe 4 - Moyen 38 AF Classe 4 - Élevé 40 46 Guide de l’utilisateur 5 EF 337 Gestion du trafic et QoS Valeur DSCP Valeur de priorité IP équivalente (valeurs CS) Description : mot clé de comportement par saut 48 6 Contrôle Internet 56 7 Contrôle du réseau * La classe Scavenger est utilisée pour le trafic de la plus faible priorité (par exemple, les applications de partage de médias ou de jeu). Ce trafic a une priorité inférieure au type de service Best Effort. Pour plus d’informations sur les valeurs DSCP, consultez le document RFC suivant :http://www.rfceditor.org/rfc/rfc2474.txt Activer le marquage QoS pour une interface Vous pouvez définir le comportement de marquage par défaut lorsque le trafic sort d’une interface. Ces paramètres peuvent être remplacés par des paramètres définis pour une stratégie. 1. Sélectionnez Pare-feu > Gestion du trafic. La page Gestion du trafic s’affiche. 2. Décochez la case Désactiver la gestion du trafic. Cliquez sur Enregistrer. Vous pouvez choisir de désactiver ces fonctionnalités ultérieurement si vous effectuez un test des performances ou un débogage du réseau. 3. Sélectionnez Réseau > Interfaces. La page Interfaces réseau apparaît. 4. Sélectionnez l’interface pour laquelle vous souhaitez activer le marquage QoS. Cliquez sur Configurer. La page Configuration d’interface apparaît. 5. Cliquez sur Avancé. 6. Dans la liste déroulante Type de marquage, sélectionnez DSCP ou Priorité IP. 7. Dans la liste déroulante Méthode de marquage, sélectionnez la méthode de marquage : n n Préserver — Ne pas modifier la valeur actuelle du bit. Firebox définit les priorités du trafic en fonction de cette valeur. Attribuer — Attribuer une nouvelle valeur au bit. 8. Si vous avez sélectionné Attribuer à l’étape précédente, sélectionnez une valeur de marquage. Si vous avez choisi le type de marquage Priorité IP, vous pouvez sélectionner des valeurs de 0 (priorité normale) à 7 (priorité la plus élevée). Si vous avez sélectionné le type de marquage DSCP, les valeurs vont de 0 à 56. Pour plus d’informations sur ces valeurs, voir Types et valeurs de marquage à la page 336. 338 WatchGuard System Manager Gestion du trafic et QoS 9. Cochez la case Définir les priorités du trafic en fonction du marquage QoS. 10. Cliquez sur Enregistrer. Activer le marquage QoS ou les paramètres de priorité d’une stratégie Outre le marquage du trafic quittant une interface Firebox, vous pouvez marquer le trafic stratégie par stratégie. L’action de marquage que vous sélectionnez est appliquée à tout le trafic qui utilise la stratégie. Plusieurs stratégies qui utilisent les mêmes actions de marquage n’ont aucun effet les unes sur les autres. Les interfaces Firebox peuvent également avoir leurs propres paramètres de marquage QoS. Pour utiliser le marquage QoS ou les paramètres de définition des priorités pour une stratégie, vous devez remplacer tous les paramètres de marquage QoS par interface. 1. Sélectionnez Pare-feu > Stratégies de pare-feu ou Pare-feu > Stratégies VPN mobiles. La page Stratégies s’affiche. 2. Sélectionnez la stratégie à modifier. Cliquez sur Modifier. 3. Cliquez sur l’onglet Avancé. 4. Cochez la case Remplacer les paramètres par interface pour activer les autres champs QoS et de définition des priorités. 5. Complétez les paramètres tels que décrit dans les rubriques suivantes. 6. Cliquez sur Enregistrer. Paramètres de marquage QoS Pour plus d’informations sur les valeurs de marquage QoS, voir Types et valeurs de marquage à la page 336. 1. Dans la liste déroulante Type de marquage, sélectionnez DSCP ou Priorité IP. 2. Dans la liste déroulante Méthode de marquage, sélectionnez la méthode de marquage : n n Préserver — Ne pas modifier la valeur actuelle du bit. Firebox définit les priorités du trafic en fonction de cette valeur. Attribuer — Attribuer une nouvelle valeur au bit. 3. Si vous avez sélectionné Attribuer à l’étape précédente, sélectionnez une valeur de marquage. Si vous avec choisi le type de marquage Priorité IP, vous pouvez sélectionner des valeurs de 0 (priorité normale) à 7 (priorité la plus élevée). Si vous avez sélectionné le type de marquage DSCP, les valeurs vont de 0 à 56. 4. Dans la liste déroulante Donner une priorité au trafic en fonction de, sélectionnez Marquage QoS. Guide de l’utilisateur 339 Gestion du trafic et QoS Paramètres de définition des priorités De nombreux algorithmes différents peuvent être utilisés pour définir des priorités pour le trafic réseau. Fireware XTM utilise une méthode de mise en file d’attente basée sur les classes, de hautes performances, qui s’appuie sur l’algorithme Hierarchical Token Bucket. La définition des priorités dans Fireware XTM s’applique stratégie par stratégie et équivaut aux niveaux de classe de service (CoS) 0 à 7, où 0 correspond à une priorité normale (par défaut) et 7 à la priorité la plus élevée. Le niveau 5 est communément utilisé pour diffuser en continu des données, comme dans le cas de la vidéoconférence ou de VoIP. Réservez les niveaux 6 et 7 pour les stratégies qui permettent des connexions d’administration système afin de garantir leur disponibilité constante et d’éviter les interférences provenant d’un autre trafic réseau à priorité élevée. Utilisez le tableau des niveaux de priorité comme référence lorsque vous attribuez des priorités. 1. Dans la liste déroulante Donner une priorité au trafic en fonction de, sélectionnez Valeur personnalisée. 2. Dans la liste déroulante Valeur, sélectionnez un niveau de priorité. Niveaux de priorité Nous vous recommandons d’attribuer une priorité supérieure à 5 seulement aux stratégies administratives WatchGuard, telles que la stratégie WatchGuard, la stratégie WG-Logging ou la stratégie WG-Mgmt-Server. Attribuez au trafic d’entreprise de priorité élevée une priorité égale ou inférieure à 5. Priorité Description 0 Routine (HTTP, FTP) 1 Priorité 2 Immédiat (DNS) 3 Flash (Telnet, SSH, RDP) 4 Ignorer le flash 5 Critique (VoIP) 6 Contrôle de l’interconnectivité Internet (configuration de routeur distant) 7 Contrôle du réseau (gestion de pare-feu, de routeur et de commutateur) Contrôle du trafic et définition de stratégies Définir un Action de gestion de trafic Les actions de gestion de trafic permettent d’appliquer des restrictions de bande passante et de garantir une quantité minimum de bande passante pour une ou plusieurs stratégies. Chaque action de gestion de trafic peut comporter des paramètres pour plusieurs interfaces. Par exemple, sur une action de gestion de trafic utilisée avec une stratégie HTTP pour une petite société, vous pouvez régler la bande passante 340 WatchGuard System Manager Gestion du trafic et QoS minimale garantie d’une interface approuvée à 250 Kbits/s et la bande passante maximale à 1000 Kbits/s. Ceci permet de limiter les vitesses auxquelles les utilisateurs peuvent télécharger des fichiers, mais garantit qu’une petite quantité de bande passante soit toujours disponible pour le trafic HTTP. Vous pouvez alors régler la bande passante minimale garantie d’une interface externe à 150 Kbits/s et la bande passante maximale à 300 Kbits/s afin de gérer les vitesses de transfert de fichiers en même temps. Déterminer la bande passante disponible Avant de commencer, vous devez déterminer la bande passante disponible de l’interface utilisée pour la ou les stratégies pour lesquelles vous souhaitez garantir la bande passante. Pour les interfaces externes, vous pouvez contacter votre fournisseur de services Internet pour vérifier le niveau de bande passante garanti accordé par votre contrat. Vous pouvez ensuite procéder à un test de vitesse grâce aux outils en ligne pour vérifier cette valeur. Ces outils peuvent donner des valeurs différentes en fonction du nombre de variables. Pour d’autres interfaces, vous pouvez considérer que la vitesse de connexion sur l’interface Firebox correspond à la bande passante maximale théorique pour ce réseau. Vous devez également prendre en considération les besoins en termes d’envoi et de réception d’une interface et régler la valeur seuil en fonction de ces besoins. Si votre connexion Internet est asymétrique, utilisez la bande passante de liaison montante définie par votre fournisseur de services Internet comme valeur seuil. Déterminer la somme de votre bande passante Vous devez également déterminer la somme de la bande passante que vous souhaitez garantir pour toutes les stratégies d’une interface donnée. Par exemple, sur une interface externe de 1500 Kbits/s, vous pouvez choisir de réserver 600 Kbits/s pour l’intégralité de la bande passante garantie et utiliser les 900 Kbits/s restants pour le reste du trafic. Toutes les stratégies qui utilisent une action de gestion de trafic donnée partagent ses paramètres de vitesse de connexion et de bande passante. Lors de leur création, les stratégies appartiennent automatiquement à l’action de gestion de trafic par défaut laquelle n’applique aucune restriction ni réservation. Si vous créez une action de gestion de trafic pour définir une bande passante maximale de 10 Mbits/s et l’appliquez à une stratégie FTP et à une stratégie HTTP, toutes les connexions gérées par ces stratégies doivent partager 10 Mbits/s. Si vous appliquez ultérieurement la même action de gestion de trafic à une stratégie SMTP, les trois stratégies doivent se partager 10 Mbits/s. Ceci s’applique également aux limites de vitesse de connexion ainsi qu’à la bande passante minimale garantie. La bande passante garantie inutilisée, réservée par une action de gestion de trafic, peut être utilisée par les autres actions de gestion de trafic. Créer ou modifier une action de gestion de trafic 1. Sélectionnez Pare-feu > Gestion du trafic. La page Gestion du trafic s’affiche. 2. Cliquez sur Ajouter pour créer une nouvelle action de gestion de trafic. Ou sélectionnez une action et cliquez sur Configurer. Guide de l’utilisateur 341 Gestion du trafic et QoS 3. Saisissez un nom et une description (facultatif) pour l’action. Pour vous référer à l’action, vous utilisez son nom lorsque vous l’attribuez à une stratégie. 4. Dans la liste déroulante, sélectionnez une interface. Saisissez la bande passante minimale et maximale pour cette interface dans les zones de texte adjacentes. 5. Cliquez sur Ajouter. 6. Répétez les étapes 4 à 5 pour ajouter les limites de trafic concernant d’autres interfaces. 7. Pour supprimer une interface de l’action de gestion de trafic, sélectionnez-la et cliquez sur Supprimer. 8. Cliquez sur Enregistrer. Vous pouvez maintenant appliquer cette action de gestion de trafic à une ou plusieurs stratégies. Ajouter une une action de gestion de trafic à une stratégie Après que vous Définir un Action de gestion de trafic, vous pouvez l’ajouter aux définitions de la stratégie. Vous pouvez également ajouter une action de gestion de trafic existante aux définitions de stratégie. 1. Sélectionnez Pare-feu > Gestion du trafic. La page Gestion du trafic s’affiche. 2. Dans la liste Stratégies de gestion du trafic, sélectionnez une stratégie. 342 WatchGuard System Manager Gestion du trafic et QoS 3. Dans la colonne adjacente, cliquez sur la liste déroulante et sélectionnez une action de gestion de trafic. 4. Pour définir une action relative à d’autres stratégies, répétez les étapes 2 à 3. 5. Cliquez sur Enregistrer. Note Si vous avez une configuration multi-WAN, les limites de bande passante sont appliquées séparément à chaque interface. Appliquer une action de gestion de trafic à plusieurs stratégies Lorsque la même action de gestion de trafic est ajoutée à plusieurs stratégies, les bandes passantes maximale et minimale s’appliquent à chaque interface de votre configuration. Si deux stratégies partagent une action qui comporte une bande passante maximale de 100 Kbits/s sur une seule interface, alors tout le trafic sur cette interface qui sera conforme à ces stratégies sera limité à 100 Kbits/s au total. Si vous disposez d’une bande passante limitée sur une interface utilisée pour plusieurs applications, chacune avec des ports uniques, vous pourrez avoir besoin de toutes les connexions haute priorité pour partager une action de gestion de trafic. Si vous disposez de beaucoup de bande passante supplémentaire, vous pouvez créer des actions de gestion de trafic séparées pour chaque application. Guide de l’utilisateur 343 Gestion du trafic et QoS Guide de l’utilisateur 344 15 Default Threat Protection À propos de default threat protection Le système d’exploitation WatchGuard Fireware XTM et les stratégies que vous créez vous permettent de contrôler rigoureusement l’accès à votre réseau. Une stratégie d’accès stricte permet de protéger votre réseau des pirates. En revanche, il existe d’autres types d’attaques qu’une simple stratégie stricte n’est pas en mesure de déjouer. Une configuration rigoureuse des options Default Threat Protection du périphérique WatchGuard permet d’arrêter différents types d’attaques (par exemple, les attaques SYN Flood, d’usurpation ou d’exploration des espaces de ports et d’adresses). Avec Default Threat Protection, un pare-feu examine la source et la destination de chaque paquet qu’il reçoit. Il vérifie l’adresse IP et le numéro de port et contrôle les paquets à la recherche de modèles indiquant un danger pour votre réseau. En cas de danger, vous pouvez configurer le périphérique WatchGuard pour qu’il bloque automatiquement une attaque éventuelle. Cette méthode proactive de détection et de prévention des intrusions permet de protéger votre réseau des personnes malveillantes. Pour configurer Default Threat Protection, cf. : n n n À propos de options de gestion des paquets par défaut À propos de Sites bloqués À propos de Ports bloqués Vous pouvez également acheter une mise à niveau du périphérique WatchGuard pour utiliser la fonctionnalité Intrusion Prevention basée sur les signatures. Pour plus d’informations, voir À propos de Gateway AntiVirus et Intrusion Prévention à la page 615. Guide de l’utilisateur 345 Default Threat Protection À propos de options de gestion des paquets par défaut Lorsque le périphérique WatchGuard reçoit un paquet, il examine sa source et sa destination. Il vérifie l’adresse IP et le numéro de port. Il contrôle également les paquets à la recherche de modèles indiquant un danger pour votre réseau. Ce processus est appelé gestion des paquets par défaut. La gestion des paquets par défaut permet les actions suivantes : n n n n n Rejeter un paquet qui pourrait représenter un risque de sécurité, y compris les paquets qui pourraient faire partie d’une attaque d’usurpation ou d’une attaque SYN Flood ; Bloquer automatiquement tout le trafic vers l’adresse IP et en provenant ; Ajouter un évènement au fichier journal ; Envoyer une interruption SNMP au Management Server SNMP ; Envoyer une notification relative aux risques de sécurité potentiels. La plupart des options de gestion des paquets par défaut sont activées dans la configuration par défaut du périphérique WatchGuard. Vous pouvez modifier les seuils de prise d’action du périphérique WatchGuard. Vous pouvez également modifier les options sélectionnées pour la gestion des paquets par défaut. 1. Dans Fireware XTM Web UI, sélectionnez Pare-feu>Gestion des paquets par défaut. La page de gestion des paquets par défaut s’affiche. 346 WatchGuard System Manager Default Threat Protection 2. Activez les cases à cocher pour les modèles de trafics contre lesquels vous souhaitez agir, en vous basant sur les explications fournies dans les rubriques suivantes : n n n n n n À propos de attaques d’usurpation à la page 347 À propos de Attaques d’Itinéraire source des adresses IP à la page 348 À propos de exploration des espaces de ports et d’adresses à la page 349 À propos de Attaques Flood à la page 350 À propos de À propos des paquets non gérés à la page 352 À propos des attaques de prévention répartie contre les refus de service à la page 353 À propos de attaques d’usurpation Une des méthodes utilisées par les personnes malveillantes pour accéder à un réseau consiste à créer une fausse identité électronique . Il s’agit d’une méthode d’ usurpation d’IP utilisée par les personnes malveillantes pour envoyer un paquet TCP/IP avec une adresse IP différente de celle du premier ordinateur à l’avoir envoyé en premier. Lorsque la protection contre l’usurpation est activée, le périphérique WatchGuard s’assure que l’adresse IP source d’un paquet provient bien d’un réseau sur cette interface. Dans la configuration par défaut, le périphérique WatchGuard rejette les attaques d’usurpation. Pour modifier les paramètres de cette fonctionnalité : 1. Dans Fireware XTM Web UI, sélectionnez Pare-feu>Gestion des paquets par défaut. La page de gestion des paquets par défaut s’affiche. Guide de l’utilisateur 347 Default Threat Protection 2. Activez ou désactivez les cases à cocherRejeter les attaques d’usurpation. 3. Cliquez sur Enregistrer. À propos de Attaques d’Itinéraire source des adresses IP Pour trouver l’itinéraire pris par les paquets sur votre réseau, les personnes malveillantes lancent des attaques d’itinéraire source d’adresses IP. Elles peuvent envoyer un paquet IP et utiliser la réponse envoyée par votre réseau et obtenir des informations sur le système d’exploitation de l’ordinateur cible ou du périphérique réseau. Dans la configuration par défaut, le périphérique WatchGuard bloque les attaques d’itinéraire source d’adresse IP. Pour modifier les paramètres de cette fonctionnalité : 1. Dans Fireware XTM Web UI, sélectionnez Pare-feu>Gestion des paquets par défaut . La page de gestion des paquets par défaut s’affiche. 2. Activez ou désactivez les cases à cocherRejeter itinéraire source d’adresse IP. 3. Cliquez sur Enregistrer. 348 WatchGuard System Manager Default Threat Protection À propos de exploration des espaces de ports et d’adresses Les personnes malveillantes cherchent fréquemment des ports ouverts aux points de départ pour lancer des attaques réseau. Une exploration d’espace de port correspond à du trafic TCP ou UDP envoyé à une plage de ports. Il peut s’agir d’une séquence de ports ou de ports aléatoires, de 0 à 65535. Une exploration d’espace d’adresses correspond à du trafic TCP ou UDP envoyé à une plage d’adresses réseau. Les explorations de l’espace de ports examinent un ordinateur pour trouver les services qu’il utilise. Les explorations de l’espace d’adresses examinent un réseau pour déterminer les périphériques réseau situés sur ce réseau. Pour de plus amples informations sur les ports, cf. À propos des ports à la page 8. Note Le périphérique WatchGuard détecte les explorations des espaces de ports et d’adresses uniquement sur les interfaces dont le type est configuré sur Externe. Méthode d’identification des explorations réseau du périphérique WatchGuard Une exploration de l’espace d’adresses est identifiée lorsqu’un ordinateur sur un réseau externe envoie un nombre spécifié de paquets à différentes adresses IP affectées à des interfaces externes du périphérique WatchGuard. Pour identifier une exploration de l’espace de ports, le périphérique WatchGuard compte le nombre de paquets envoyés à partir d’une adresse IP vers les adresses IP d’interface externe. Les adresses peuvent inclure l’adresse IP d’interface externe ainsi que toute adresse IP secondaire configurée sur l’interface externe. Si le nombre de paquets envoyés à différentes adresses IP ou ports de destination en une seconde est plus élevé que le nombre défini, l’adresse IP source est ajoutée à la liste des sites bloqués. Lorsque les cases à cocher Bloquer les explorations d’adresses de port et Bloquer les explorations de l’espace d’adresses sont activées, l’ensemble du trafic entrant d’une interface externe est examiné par le périphérique WatchGuard. Vous ne pouvez pas désactiver ces fonctionnalités pour des adresses IP spécifiées ou des périodes de temps différentes. Protection contre les explorations d’espaces de ports et d’espaces d’adresses Dans la configuration par défaut, le périphérique WatchGuard bloque les explorations réseau. Vous pouvez modifier les paramètres pour cette fonctionnalité et modifier le nombre maximum explorations d’espaces de ports et d’espaces d’adresses par seconde pour chaque adresse IP source (la valeur par défaut est 50). 1. Dans Fireware XTM Web UI, sélectionnez Pare-feu>Gestion des paquets par défaut . La page de gestion des paquets par défaut s’affiche. Guide de l’utilisateur 349 Default Threat Protection 2. Activez ou désactivez les cases à cocher Bloquer les explorations d’espaces de ports et Bloquer les explorations d’espaces d’adresses. 3. Pour chaque adresse IP source, utilisez les flèches pour sélectionner le nombre maximal d’explorations de ports ou d’adresses par seconde. La valeur par défaut pour chaque exploration est de 10 secondes. Une source est donc bloquée si elle initie des connexions à 10 ports ou hôtes différents en une seconde. 4. Cliquez sur Enregistrer. Pour bloquer les attaques de personnes malveillantes plus rapidement, définissez le seuil du nombre maximal d’explorations de ports ou d’adresses par seconde sur une valeur moins élevée. Si le nombre défini est trop bas, le périphérique WatchGuard pourrait aussi refuser le trafic réseau légitime. Le risque de bloquer du trafic réseau légitime est moindre si vous définissez la valeur sur un niveau élevé, mais le périphérique WatchGuard doit envoyer des paquets de réinitialisations TCP pour chaque connexion qu’il rejette. Ces envois utilisent de la bande passante et des ressources du périphérique WatchGuard et fournissent des informations sur le pare-feu à la personne malveillante. À propos de Attaques Flood Lors d’une attaque Flood, des personnes malveillantes envoient un volume très important de trafic à un système l’empêchant ainsi de l’examiner et d’autoriser le trafic réseau légitime. Par exemple, une attaque ICMP Flood se produit lorsqu’un système reçoit un nombre de commandes ping ICMP tel qu’il est obligé d’utiliser toutes ses ressources pour envoyer des commandes de réponse. Le périphérique WatchGuard offre une protection contre les types d’attaques Flood suivants : 350 WatchGuard System Manager Default Threat Protection n n n n n IPSec IKE ICMP SYN UDP Les attaques Flood sont également appelées attaques de refus de service (DoS, Denial of Service). Dans la configuration par défaut, le périphérique WatchGuard bloque les attaques Flood. Pour modifier les paramètres pour cette fonctionnalité ou modifier le nombre maximum de paquets autorisés par seconde : 1. Dans Fireware XTM Web UI, sélectionnez Pare-feu>Gestion des paquets par défaut. La page de gestion des paquets par défaut s’affiche. 2. Activez ou désactivez les cases à cocherattaque Flood. 3. Utilisez les flèches pour sélectionner le nombre maximal de paquets autorisés par seconde pour chaque adresse IP source. Par exemple, si le paramètre est réglé sur 1 000, Firebox bloque une source s’il reçoit plus de 1 000 paquets par seconde en provenance de cette source. 4. Cliquez sur Enregistrer. Guide de l’utilisateur 351 Default Threat Protection À propos du paramètre des attaques SYN Flood Pour les attaques SYN Flood, vous pouvez définir le seuil en fonction duquel le périphérique WatchGuard établit un rapport sur une attaque SYN Flood possible, mais aucun paquet n’est rejeté si le nombre de paquets sélectionné n’est pas dépassé. Lorsque le double du seuil défini est atteint, tous les paquets SYN sont rejetés. Si le niveau atteint se situe entre le niveau défini et le double de ce niveau, et que les valeurs src_IP, dst_IP et total_length d’un paquet sont identiques au précédent paquet reçu, ce paquet est toujours rejeté. Sinon, 25 % des nouveaux paquets reçus sont rejetés. Par exemple, admettons que vous définissiez le seuil d’attaque SYN Flood sur 18 paquets/sec. Lorsque le périphérique WatchGuard reçoit 18 paquets/sec., il vous envoie un rapport d’attaque SYN Flood éventuelle, mais il ne rejette aucun paquet. Par contre, s’il reçoit 20 paquets par seconde, il rejette 25 % des paquets reçus (5 paquets). Si le périphérique reçoit 36 paquets ou plus, les 18 derniers paquets ou plus sont rejetés. À propos de À propos des paquets non gérés Un paquet non géré est un paquet qui ne correspond à aucune règle de stratégie. Le périphérique WatchGuard refuse toujours les paquets non gérés, mais vous pouvez prendre des mesures supplémentaires pour protéger votre réseau en modifiant les paramètres du périphérique. 1. Dans Fireware XTM Web UI, sélectionnez Pare-feu>Gestion des paquets par défaut. La page de gestion des paquets par défaut s’affiche. 352 WatchGuard System Manager Default Threat Protection 2. Activez ou désactivez les cases à cocher correspondant aux options suivantes : Bloquer automatiquement la source des paquets non traités Sélectionnez l’option permettant de bloquer automatiquement la source des paquets non gérés. Le périphérique WatchGuard ajoute l’adresse IP qui a envoyé le paquet à la liste Sites bloqués temporairement. Envoyer un message d’erreur aux clients dont les connexions sont désactivées Sélectionnez l’option permettant de renvoyer une réinitialisation TCP ou une erreur ICMP au client lorsque le périphérique WatchGuard reçoit un paquet non géré. À propos des attaques de prévention répartie contre les refus de service Les attaques de refus de service distribué (DDoS, Distributed Denial of Service) sont quasiment identiques aux attaques flood. Lors d’une attaque DDoS, un grand nombre de clients et serveurs différents envoient des connexions à un ordinateur pour tenter d’inonder le système. Lorsqu’une attaque DDoS se produit, elle empêche les utilisateurs habituels d’utiliser le système cible. Dans la configuration par défaut, le périphérique WatchGuard bloque les attaques DDoS. Vous pouvez modifier les paramètres pour cette fonctionnalité et modifier le nombre maximum de connexions autorisées par seconde. 1. Dans Fireware XTM Web UI, sélectionnez Pare-feu>Gestion des paquets par défaut. La page de gestion des paquets par défaut s’affiche. Guide de l’utilisateur 353 Default Threat Protection 2. Activez ou désactivez les cases à cocher Quota par client ou Quota par serveur. 3. Utilisez les touches de direction pour définir le nombre maximal de connexions par seconde autorisé à partir d’une adresse IP source protégée par le périphérique WatchGuard (Quota par client) ou vers une adresse IP de destination protégée par le périphérique WatchGuard (Quota par serveur). Les connexions qui dépassent ce quota sont rejetées. À propos de Sites bloqués Un site bloqué est représenté par une adresse IP qui n’est pas autorisée à se connecter via le périphérique WatchGuard. Vous indiquez au périphérique WatchGuard de bloquer des sites spécifiques connus pour présenter ou pouvant présenter un risque de sécurité. Une fois que vous avez identifié la source du trafic suspect, vous pouvez bloquer l’ensemble des connexions en provenance de cette adresse IP. Il vous est en outre possible de configurer le périphérique WatchGuard pour qu’il envoie un message du journal chaque fois que la source tente de se connecter à votre réseau. Les services utilisés par les sources lors de leurs attaques sont mentionnés dans le fichier journal. L’ensemble du trafic provenant d’une adresse IP bloquée est rejeté. Vous pouvez définir deux types d’adresses IP bloquées : les adresses permanentes et les adresses automatiquement bloquées. 354 WatchGuard System Manager Default Threat Protection Sites bloqués de façon permanente Le trafic réseau en provenance de sites bloqués de façon permanente est systématiquement refusé. Ces adresses IP sont stockées dans la liste des sites bloqués et doivent être ajoutées manuellement. Par exemple, vous pouvez ajouter à la liste des sites bloqués une adresse IP qui tente constamment d’analyser votre réseau, afin d’empêcher les analyses de port à partir de ce site. Pour bloquer un site, cf. Bloquer un site de façon permanente à la page 355. Liste des sites automatiquement bloqués/sites bloqués de façon temporaire Les paquets issus de sites automatiquement bloqués sont refusés pour la durée choisie. Pour déterminer si un site doit être bloqué, le périphérique Firebox se base sur les règles de traitement des paquets spécifiées dans chaque stratégie. Par exemple, si vous créez une stratégie visant à refuser l’intégralité du trafic qui transite par le port 23 (Telnet), toute adresse IP essayant de faire circuler des données Telnet par le biais de ce port est automatiquement bloquée pour la durée spécifiée. Pour savoir comment bloquer automatiquement les sites dont le trafic est refusé, cf. Bloquer temporairement les sites avec des paramètres de stratégie à la page 357. Par ailleurs, vous avez la possibilité de bloquer automatiquement les sites fournissant des paquets qui ne correspondent à aucune des règles de stratégie. Pour plus d’informations, voir À propos de À propos des paquets non gérés à la page 352. Afficher ou modifier la liste des sites bloqués Pour afficher une liste de tous les sites actuellement sur la liste des sites bloqués, sélectionnez État système > Sites bloqués. Pour plus d’informations, voir État des sites bloqués à la page 380. Bloquer un site de façon permanente 1. Dans Fireware XTM Web UI, sélectionnez Pare-feu > Sites bloqués. Guide de l’utilisateur 355 Default Threat Protection 2. Dans la liste déroulante Choisir un type, sélectionnez le type d’élément que vous voulez saisir : adresse IP de l’hôte, plage d’adresses IP ou adresse réseau. 3. Entrez la valeur dans la zone de texte suivante, puis cliquez sur Ajouter. Si vous devez bloquer une plage d’adresses incluant une ou plusieurs adresses IP affectées au périphérique WatchGuard, commencez par inclure ces adresses IP dans la liste des exceptions aux sites bloqués. Pour ajouter des exceptions, cf. Créer Exceptions aux sites bloqués à la page 356. 4. Cliquez sur Enregistrer. Créer Exceptions aux sites bloqués Lorsque vous ajoutez un site à la liste des exceptions aux sites bloqués, le trafic vers ce site n’est pas bloqué par la fonctionnalité de blocage automatique. 1. Dans Fireware XTM Web UI, sélectionnez Pare-feu > Sites bloqués. 2. Cliquez sur l’onglet Exceptions aux sites bloqués. 356 WatchGuard System Manager Default Threat Protection 3. Dans la liste déroulante Choisir un type, sélectionnez le type d’élément que vous voulez saisir : adresse IP de l’hôte, plage d’adresses IP ou adresse réseau. 4. Entrez la valeur dans la zone de texte suivante, puis cliquez sur Ajouter. 5. Cliquez sur Enregistrer. Bloquer temporairement les sites avec des paramètres de stratégie Pour bloquer temporairement des sites tentant d’utiliser un service refusé, vous pouvez recourir à la configuration de stratégie. Les adresses IP des paquets refusés sont ajoutées à la liste des sites bloqués de façon temporaire, pour une durée de 20 minutes (par défaut). 1. Dans l’interface Web Fireware XTM , sélectionnez Pare-feu > Stratégies de pare-feu. Double-cliquez sur une stratégie pour la modifier. La boîte de dialogue Configuration de stratégie s’affiche. 2. Dans l’onglet Stratégie , assurez-vous de sélectionner dans la liste déroulante Les connexions sont l’option refusée ou refusée (envoyer réinitialisation). 3. Dans l’onglet Propriétés, activez la case à cocher Bloquer automatiquement les sites qui tentent de se connecter. Par défaut, les adresses IP des paquets refusés sont ajoutées à la liste des sites bloqués de façon temporaire, pour une durée de 20 minutes. Guide de l’utilisateur 357 Default Threat Protection Modifier la durée du blocage automatique des sites Note Pour afficher une liste des adresses IP automatiquement bloquées par le périphérique WatchGuard, sélectionnez État système > Sites bloqués. Vous pouvez consulter la liste des sites bloqués de façon temporaire ainsi que les messages du journal pour choisir en toute connaissance de cause les adresses IP à bloquer de manière permanente. Pour activer la fonctionnalité blocage automatique : Dans Fireware XTM Web UI, sélectionnez Pare-feu > Gestion des paquets par défaut. Pour plus d’informations, voir À propos de À propos des paquets non gérés à la page 352. Pour bloquer automatiquement des sites tentant d’utiliser un service refusé, vous pouvez recourir aux paramètres de stratégie. Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 357. Pour définir la durée du blocage automatique des sites : 1. Dans Fireware XTM Web UI, sélectionnez Pare-feu > Sites bloqués. 2. Sélectionnez l’onglet Blocageauto. 3. Pour modifier la durée du blocage automatique du site, entrez ou sélectionnez le nombre de minutes de blocage d’un site dans la zone de texte Durée du blocage automatique des sites La valeur par défaut est de 20 minutes. 4. Cliquez sur Enregistrer. À propos de Ports bloqués Vous pouvez bloquer les ports susceptibles d’être utilisés pour attaquer votre réseau. Ceci permet d’arrêter les services réseau externes spécifiés. En bloquant vos ports, vous protégez vos services les plus vulnérables. Lorsque vous bloquez un port, vous annulez toutes les règles de vos définitions de stratégie. Pour bloquer un port, cf. Bloquer un port à la page 360. 358 WatchGuard System Manager Default Threat Protection Ports bloqués par défaut Dans la configuration par défaut, le périphérique WatchGuard bloque certains ports de destination. En règle générale, il est inutile de modifier cette configuration par défaut. Les paquets TCP et UDP sont bloqués pour les ports suivants : X Window System (ports 6000-6005) La connexion au client X Window System (ou X-Windows) n’est pas chiffrée, c’est pourquoi il est dangereux d’y avoir recours sur Internet. X Font Server (port 7100) De nombreuses versions de X-Windows exécutent des serveurs X Font Server. Ces derniers jouent le rôle de super utilisateur sur certains hôtes. Système de gestion de fichiers en réseau (NFS) (port 2049) Le système de gestion de fichiers en réseau (NFS) est un service TCP/IP couramment utilisé permettant à un grand nombre d’utilisateurs de manipuler les mêmes fichiers au sein d’un réseau. Dans les nouvelles versions de ce système, d’importants problèmes d’authentification et de sécurité ont été mis à jour. Il peut être très dangereux de fournir ce type de système sur Internet. Note Le portmapper utilise fréquemment le port 2049 pour le système de gestion de fichiers en réseau. Si vous employez ce système, vérifiez que le port 2049 lui est dédié sur l’ensemble des ordinateurs. rlogin, rsh, rcp (ports 513 et 514) Ces services permettent d’accéder à d’autres ordinateurs à distance. Ils constituent un risque en matière de sécurité et de nombreux pirates les explorent. Portmapper RPC (port 111) Les services RPC utilisent le port 111 pour rechercher les ports employés par un serveur RPC spécifique. Les services RPC sont très vulnérables via Internet. port 8000 De nombreux fournisseurs ont recours à ce port, qui pose beaucoup de problèmes de sécurité. port 1 Le service TCPmux utilise le port 1, mais cela arrive rarement. Vous pouvez le bloquer et ainsi rendre l’examen des ports par les outils plus difficile. port 0 Ce port est systématiquement bloqué par le périphérique WatchGuard. Vous ne pouvez pas autoriser le trafic entre le port 0 et le périphérique. Note Si vous devez autoriser le trafic sur l’un des ports bloqués par défaut pour utiliser les applications logicielles associées, nous vous recommandons de n’autoriser le trafic que par un tunnel VPN ou d’utiliser SSH (Secure Shell) avec ces ports. Guide de l’utilisateur 359 Default Threat Protection Bloquer un port Note Soyez prudent si vous bloquez des numéros de port supérieurs à 1023. Les clients utilisent fréquemment ces numéros de port source. 1. Dans Fireware XTM Web UI, sélectionnez Pare-feu> Ports bloqués. 2. Cliquez sur les flèches du champPortou entrez le numéro de port à bloquer. 3. Cliquez sur Ajouter. Le nouveau numéro de port est ajouté à la liste des ports bloqués. Blocage d’adresses IP tentant d’utiliser des ports bloqués Vous pouvez configurer le périphérique WatchGuard pour qu’il bloque automatiquement un ordinateur externe tentant d’utiliser un port bloqué. Dans la boîte de dialogue page, activez la case à cocher Bloquer automatiquement les sites qui tentent d’utiliser des ports bloqués. 360 WatchGuard System Manager 16 Journalisation et notification À propos de la journalisation et des fichiers journaux Une fonctionnalité importante de sécurité réseau consiste à rassembler les messages provenant de vos systèmes de sécurité, à examiner fréquemment ces enregistrements et à les conserver dans une archive pour vous y référer ultérieurement. Le système de message du journal WatchGuard créé des fichiers journaux à l’aide d’informations concernant des évènements liés à la sécurité que vous pouvez examiner pour analyser la sécurité et l’activité de votre réseau, identifier les risques de sécurité et y remédier. Un fichier journal est une liste d’événements contenant des informations sur ces événements. Un événement est une activité qui se produit sur le périphérique Firebox ou XTM. Le refus d’un paquet par le périphérique est un exemple d’événement. Votre périphérique Firebox ou XTM peut également capturer des informations sur les événements autorisés afin de vous offrir une image plus complète de l’activité sur votre réseau. Le système de message du journal comprend plusieurs composants décrits ci-dessous. Serveurs Log Server Il existe deux méthodes pour sauvegarder des fichiers journaux avec Fireware XTM Web UI : WatchGuard Log Server Il s’agit d’un composant de WatchGuard System Manager (WSM). Si vous disposez de Firebox III, Firebox X Core, Firebox X Peak, Firebox X Edge with Fireware XTM ou WatchGuard XTM Série 2, 5, 8, ou 1050, vous pouvez configurer un serveur Log Server principal pour collecter les messages de journal. Guide de l’utilisateur 361 Journalisation et notification Syslog Il s’agit d’une interface de journalisation développée pour UNIX, mais également utilisée sur de nombreux autres systèmes. Si vous utilisez un hôte Syslog, vous pouvez configurer votre périphérique Firebox ou XTM afin qu’il envoie les messages du journal à votre serveur Syslog. Pour trouver un serveur Syslog compatible avec votre système d’exploitation, effectuez une recherche sur Internet à l’aide des mots clés « démon Syslog°». Si votre périphérique Firebox ou XTM est configuré pour envoyer des fichiers journaux à un serveur WatchGuard Log Server et que la connexion échoue, les fichiers journaux ne sont pas collectés. Vous pouvez configurer votre périphérique pour qu’il envoie également des messages du journal à un hôte Syslog sur le réseau approuvé local pour empêcher la perte de fichiers journaux. Pour plus d’informations sur l’envoi de messages du journal vers un serveur WatchGuard Log Server, cf. Envoyer les messages du journal vers un serveur WatchGuard Log Server à la page 364. Pour de plus amples informations sur l’envoi de messages du journal vers un hôte Syslog, cf. Envoyer des informations de journaux à un hôte Syslog à la page 365. État du système Syslog La page Syslog de l’interface Fireware XTM Web UI affiche des informations de messages du journal en temps réel incluant des données relatives à l’activité la plus récente du périphérique Firebox ou XTM. Pour plus d’informations, cf. Utiliser Syslog pour consulter les données de messages du journal à la page 372. Journalisation et notification dans les applications et sur les serveurs Le serveur Log Server peut recevoir les messages du journal à partir de votre périphérique Firebox ou XTM, ou d’un serveur WatchGuard. Une fois que vous avez configuré votre périphérique Firebox ou XTM et Log Server, le périphérique envoie les messages du journal vers Log Server. Vous pouvez activer la journalisation dans les différentes applications et stratégies WSM que vous avez définies pour que votre périphérique Firebox ou XTM contrôle le niveau des journaux que vous voyez. Si vous choisissez d’envoyer les messages du journal à partir d’un autre serveur WatchGuard vers le serveur Log Server, vous devez commencer par activer la journalisation sur ce serveur. À propos de messages de journaux Votre périphérique Firebox ou XTM envoie les messages du journal vers le serveur Log Server. Il peut également envoyer les messages de journal vers un serveur Syslog ou conserver localement les journaux sur le périphérique Firebox ou XTM. Vous pouvez choisir d’envoyer les journaux à l’un des emplacements ou aux deux. Types de messages de journaux Firebox envoie plusieurs types de messages du journal. Le type figure dans le texte du message. Les types de messages de journal sont les suivants : 362 WatchGuard System Manager Journalisation et notification n n n n n Trafic Alarme Événement Débogage Statistiques Messages du journal de type Trafic Firebox envoie des messages de journal de type Trafic lorsqu’il applique des règles de filtre de paquets et de proxy au trafic transmis via le périphérique. Messages de journal de type Alarme Des messages de journal de type Alarme sont envoyés lorsqu’un événement se produit et qui déclenche l’exécution d’une commande par Firebox. Lorsque la condition d’alarme est satisfaite, le périphérique envoie un message de journal de type Alarme au au serveur Log Server ou Syslog, puis effectue l’action spécifiée. Il existe huit catégories de messages du journal de type Alarme : Système, IPS, AV, Stratégie, Proxy, Compteur, Refus de service et Trafic. Firebox n’envoie pas plus de 10 alarmes en 15 minutes pour les mêmes conditions. Messages du journal de type Événement Firebox envoie des messages du journal de type Événement en raison de l’activité des utilisateurs. Les actions susceptibles d’entraîner l’envoi d’un message du journal de type Événement par Firebox incluent les actions suivantes : n n n n n Démarrage et arrêt du périphérique Authentification du périphérique et du VPN Démarrage et arrêt du processus Problèmes liés aux composants matériels du périphérique Toute tâche effectuée par l’administrateur du périphérique Messages du journal de type Débogage Les messages du journal de type Débogage incluent des informations de diagnostic qui vous aideront à résoudre les problèmes éventuels. 27 composants différents du produit peuvent envoyer des messages du journal de type Débogage. Messages du journal de type Statistiques Les messages du journal de type Statistiques incluent des informations sur les performances de Firebox. Par défaut, le périphérique envoie les messages du journal relatifs aux performances de l’interface externe et les statistiques concernant la bande passante VPN à votre fichier journal. Vous pouvez utiliser ces journaux pour modifier vos paramètres Firebox d’une façon appropriée pour améliorer les performances. Guide de l’utilisateur 363 Journalisation et notification Envoyer les messages du journal vers un serveur WatchGuard Log Server La WatchGuard Log Server est un composant de WatchGuard System Manager. Si vous disposez de WatchGuard System Manager, configurez un serveur Log Server principal et des serveurs Log Server de sauvegarde pour collecter les messages du journal provenant des périphériques Firebox. Vous désignez un Log Server en tant que serveur principal (Priorité 1) et les autres Log Servers en tant que serveurs de sauvegarde. Si Firebox ne peut pas se connecter au serveur Log Server principal, il essaie de se connecter au serveur Log Server suivant dans la liste de priorité. Si Firebox examine chaque serveur Log Server dans la liste et ne peut pas se connecter, il essaie à nouveau de se connecter au premier serveur Log Server de la liste. Lorsque le serveur Log Server principal n’est pas disponible et que Firebox est connecté à un Log Server de sauvegarde, Firebox tente de se reconnecter au Log Server principal toutes les 6 minutes. Cela n’a aucune incidence sur la connexion Firebox au serveur Log Server de sauvegarde jusqu’à ce que le serveur Log Server soit disponible. Pour obtenir des informations supplémentaires sur les serveurs WatchGuard Log Server et les instructions concernant la façon de configurer Log Server pour accepter les messages des journaux, voir le Guide de l’utilisateur de WatchGuard System Manager. Ajouter, modifier ou changer la priorité des serveurs Log Server Pour envoyer les messages du journal depuis Firebox vers un serveur WatchGuard Log Server : 1. SélectionnezJournalisation>système. La page Journalisation s’ouvre. 364 WatchGuard System Manager Journalisation et notification 2. Activez la case à cocher Envoyer les messages du journal à ces serveurs WatchGuard Log Serverpour envoyer des messages du journal à un ou plusieurs serveurs WatchGuard Log Server. 3. Dans le champ Adresse Log Server, entrez l’adresse IP du serveur Log Server principal. 4. Dans le champ Clé de chiffrement, entrez le Log Server Encryption Key. 5. Dans le champ Confirmer, entrez à nouveau la clé de chiffrement. 6. Cliquez sur Ajouter. Les informations du serveur Log Server s’affichent dans la liste Log Server. 7. Répétez les étapes 3 à 6 pour ajouter davantage de serveurs Log Server à la liste des Serveurs. 8. Pour modifier la priorité d’une liste Log Server, sélectionnez une adresse IP dans la liste et cliquez sur Haut ou Bas. Le numéro de priorité change à mesure que l’adresse IP se déplace plus haut ou plus bas dans la liste des priorités. 9. Cliquez sur Enregistrer. Envoyer des informations de journaux à un hôte Syslog Si Syslog est une interface de journalisation développée pour UNIX, elle est aussi utilisée sur d’autres platesformes. Vous pouvez configurer WatchGuard de sorte qu’il envoie des informations de journalisation à un serveur Syslog. WatchGuard peut envoyer des messages de journaux à un serveur WatchGuard Log Server ou à un serveur Syslog, ou aux deux simultanément. Les messages des journaux Syslog ne sont pas chiffrés. Il est conseillé de ne pas sélectionner un hôte Syslog sur l’interface externe. Guide de l’utilisateur 365 Journalisation et notification Pour configurer le périphérique WatchGuard pour envoyer des messages du journal à un hôte Syslog, vous devez disposer d’un hôte Syslog configuré, opérationnel et prêt à recevoir des messages du journal. 1. Sélectionnez la journalisation > système. La page Journalisation s’ouvre. 2. Sélectionnez l’onglet Serveur Syslog. 3. Sélectionnez la case à cocher Activer la sortie Syslog pour ce serveur. 4. Dans le champ Activer la sortie Syslog pour ce serveur, saisissez l’adresse IP de l’hôte Syslog. 5. Dans la section Paramètres, pour sélectionner un utilitaire Syslog pour chaque type de message du journal, cliquez sur les listes déroulantes adjacentes. Si vous sélectionnez AUCUN, les détails de ce type de message ne seront pas envoyés à l’hôte Syslog. Pour des informations que les différents types de messages, cf. Types de messages de journaux à la page 362. L’utilitaire Syslog fait référence à l’un des champs du paquet Syslog et au fichier auquel Syslog envoie un message du journal. Utilisez Local0 pour les messages Syslog à priorité élevée, tels que les alarmes. Utilisez Local1àLocal7 pour affecter des priorités pour d’autres types de messages du journal (les numéros inférieurs ont une priorité plus élevée). Consultez votre documentation Syslog pour plus d’informations sur les utilitaires de journalisation. 6. Cliquez sur Enregistrer. 366 WatchGuard System Manager Journalisation et notification Note Dans la mesure où le trafic de Syslog n’est pas chiffré, les messages Syslog envoyés via Internet représentent un risque pour la sécurité du réseau approuvé. Pour cette raison, il est plus sûr de placer l’hôte Syslog sur votre réseau approuvé. Configurer les paramètres de journalisation Vous pouvez choisir d’enregistrer les messages du journal sur le Firebox et de sélectionner les statistiques de performance à inclure dans les fichiers journaux. 1. SélectionnezJournalisation>système. La page Journalisation s’ouvre. 2. Cliquez sur l’onglet Paramètres. 3. Activez la case à cocher Envoyer les messages du journal dans le stockage interne Firebox pour stocker les messages du journal sur le périphérique WatchGuard. 4. Activez la case à cocher Entrer les statistiques d’interface externe et de bande passante VPN dans un fichier journal pour stocker les statistiques de performance dans vos fichiers journaux. 5. Pour envoyer un message du journal en cas de modification du fichier de configuration Firebox, activez la case à cocher Envoyer les messages du journal en cas de modification de la configuration de ce périphérique Firebox. Guide de l’utilisateur 367 Journalisation et notification 6. Pour envoyer des messages du journal relatif au trafic envoyé par Firebox, activez la case à cocher Activer la journalisation du trafic envoyé par Firebox. 7. Cliquez sur Enregistrer. Définir le niveau du journal de diagnostic De Fireware XTM Web UI Sélectionnez le niveau du journal de diagnostic à écrire dans votre fichier journal. Nous ne vous conseillons pas de définir le niveau de journalisation le plus élevé à moins qu’un responsable du support technique ne vous y invite lors de la résolution d’un problème. Lorsque vous utilisez le niveau du journal de diagnostic le plus élevé, le fichier journal peut se remplir très rapidement, entraînant fréquemment une diminution des performances du périphérique WatchGuard. 1. Sélectionnez le journal de diagnostic > système. La page de niveau du journal de diagnostic s affiche. 368 WatchGuard System Manager Journalisation et notification 2. Utilisez la barre de défilement pour trouver une catégorie. 3. Dans la liste déroulante de la catégorie, définissez le niveau de détail à inclure dans le message du journal de la catégorie : n n n n n Désactivé Erreur Avertissement Informations Débogage Quand Désactivé (le niveau le plus bas) est sélectionné, les messages de diagnostic pour cette catégorie sont désactivés. 4. Cliquez sur Enregistrer. Configurer la journalisation et la notification pour une stratégie 1. Sélectionnez Pare-feu > Stratégies de pare-feu. La page Stratégies de pare-feu s’affiche. 2. Ajoutez une stratégie ou double-cliquez sur une stratégie. La page de configuration de stratégie s’affiche. 3. Cliquez sur l’onglet Propriétés. Guide de l’utilisateur 369 Journalisation et notification 4. Dans la rubrique Journalisation, définissez les paramètres pour qu’ils correspondent à votre stratégie de sécurité. Pour obtenir des informations sur les champs dans la rubrique Journalisation, cf. Définir les préférences de journalisation et de notification à la page 371. 5. Cliquez sur Enregistrer. 370 WatchGuard System Manager Journalisation et notification Définir les préférences de journalisation et de notification Les paramètres pour la journalisation et la notification sont similaires tout au long de la configuration Firebox. Pour chaque utilitaire, lorsque vous définissez des préférences de journalisation et de notification, la plupart des champs décrits ci-dessous sont disponibles. Envoyer un message du journal Si vous activez cette case à cocher, Firebox envoie un message du journal lorsqu’un événement se produit. Sélectionnez l’envoi de messages du journal vers un serveur WatchGuard Log Server, un serveur Syslog ou un stockage interne Firebox. Pour connaître le détail de la marche à suivre afin de sélectionner une destination pour vos messages du journal, cf. Configurer les paramètres de journalisation à la page 367. Envoyer Interruption SNMP Lorsque vous activez cette case à cocher, Firebox envoie une notification d’événement au système de gestion SNMP. Le protocole SNMP (Simple Network Management Protocol) est un ensemble d’outils destinés à analyser et à gérer les réseaux. Une interruption SNMP est une notification d’événement envoyée par Firebox au système de gestion SNMP lorsqu’une condition spécifiée se produit. Note Si vous activez la case à cocher Envoyer une interruption SNMP sans avoir au préalable configuré le protocole SNMP, une boîte de dialogue s’ouvre et vous demande de le faire. Cliquez sur Oui pour accéder à la boîte de dialogue Paramètres SNMP. Vous ne pouvez pas envoyer d’interruptions SNMP si vous ne configurez pas le protocole SNMP. Pour de plus amples informations sur le protocole SNMP, cf. À propos du protocole SNMP à la page 61. Pour activer les interruptions SNMP ou les demandes d information, cf. Activer Stations de gestion et interruptions SNMP à la page 65. Envoyer notification Lorsque vous activez cette case à cocher, Firebox envoie une notification lorsque l’événement spécifié se produit. Par exemple, lorsqu’une stratégie autorise un paquet. Guide de l’utilisateur 371 Journalisation et notification Vous pouvez sélectionner comment Firebox envoie la notification : n n E-mail — Le serveur Log Server envoie un e-mail lorsque l événement se produit. Fenêtre contextuelle — Le serveur Log Server ouvre une boîte de dialogue lorsque l’événement se produit. Définissez : n n Intervalle de lancement — Le temps minimum (en minutes) entre des notifications différentes. Ce paramètre empêche l’envoi de plusieurs notifications pour un même événement, dans un délai court. Nombre de répétitions — Ce paramètre effectue le suivi de la fréquence de l’événement. Dès que le nombre d’événements atteint la valeur sélectionnée, une notification de répétition spéciale est envoyée. Elle crée une entrée de journal de répétition pour cette notification en particulier. La notification reprend après que le nombre d’événements que vous spécifiez dans ce champ survienne. Par exemple, définissez l’Intervalle de lancement à 5 minutes et le Nombre de répétitions à 4. L’exploration de l’espace de ports démarre à 10 h et effectue une exploration toutes les minutes. Cet événement active les mécanismes de journalisation et de notification. Ces actions surviennent aux heures suivantes : n n n n n 10:00 — Exploration de l’espace de ports initiale (premier événement) 10:01 — Début de la première notification (un événement) 10:06 — Début de la seconde notification (rapport de cinq événements) 10:11 — Début de la troisième notification (rapport de cinq événements) 10:16 — Début de la quatrième notification (rapport de cinq événements) L’intervalle de lancement contrôle les intervalles temporels entre chaque événement (1, 2, 3, 4 et 5). Il a été défini à 5 minutes. Multipliez le nombre de répétitions par l’intervalle de lancement. Il s’agit de l’intervalle temporel au cours duquel un événement doit continuer afin de démarrer la notification de répétition. Utiliser Syslog pour consulter les données de messages du journal Vous pouvez consulter les données de message du journal en temps réel sur la page Syslog. Vous pouvez choisir de ne consulter qu’un seul type de fichier du journal ou de filtrer tous les messages du journal pour examiner des détails spécifiques. Vous pouvez également contrôler la fréquence de rafraîchissement des données de message du journal. Quand vous utilisez le champ Filtre pour spécifier les messages du journal à consulter, les résultats de la recherche filtrée comprennent toutes les entrées correspondant en partie au filtre sélectionné. Examiner, trier et filtrer les données de messages du journal Vous pouvez choisir de ne consulter que des types de messages du journal spécifiques et d’appliquer des filtres pour affiner les données à consulter dans les messages du journal Systole. 1. Sélectionnez État système > Syslog. La page Syslog s’affiche et contient une liste exhaustive des messages du journal en temps réel pour tous les 372 WatchGuard System Manager Journalisation et notification types de message. 2. Pour afficher un seul type de message du journal, sélectionnez un type de message dans la liste déroulante Type de diagramme : n n n n n Trafic Alarme Événement Débogage Statistiques 3. Pour afficher à nouveau tous les types de message du journal, dans la liste déroulante Type de diagramme, sélectionnez Tous : 4. Pour trier les messages du journal par type de données, cliquez sur l’en-tête de colonne correspondant à ce type de données. Différentes colonnes de données s’affichent selon le type de message du journal sélectionné dans la liste déroulante Type de diagramme. 5. Pour n’afficher que les messages du journal ne mentionnant qu’un détail de message en particulier, entrez le détail dans la zone de texteFiltre . L’affichage Syslog se met à jour automatiquement pour n’afficher que les messages du journal comportant le détail spécifié. Si aucun message ne correspond aux détails de filtre que vous avez entrés, l’écran Syslog est vide. Par exemple, si vous voulez afficher les messages du journal de l’utilisateur Admin, entrez userID=Admin . Les résultats reprennent les messages du journal de l’utilisateur Admin, Administrateurs, Administrateur, ainsi que ceux de tout autre nom d’utilisateur contenant les caractères Admin. 6. Pour supprimer un filtre, effacez tous les détails de la zone de texteFiltre . L’écran Syslog se met à jour automatiquement. Guide de l’utilisateur 373 Journalisation et notification 7. Pour copier le message du journal depuis la liste, sélectionnez un ou plusieurs éléments de la liste et cliquez sur Copier. Rafraîchir les données du message du journal n n n 374 Pour modifier la fréquence d’actualisation des données de message du journal à l’écran, définissez l’intervalle de rafraîchissement. Pour désactiver temporairement l’option d’actualisation de l’affichage, cliquez sur Pause. Pour activer l’actualisation de l’affichage, cliquez sur Reprise. WatchGuard System Manager 17 Surveiller votre périphérique Firebox Analyser votre Firebox Pour surveiller l'état et l'activité de votre Firebox ou périphérique XTM, utilisez les pages Tableau de bord et État du système. Le tableau de bord Le tableau de bord comporte deux pages : la page Système et la page Services d'abonnement. La page Système offre un aperçu rapide de l'état de votre périphérique. Si vous disposez d'un accès de configuration lecture-écriture, vous pouvez redémarrer votre périphérique depuis cette page. La page Système du tableau de bord s'affiche automatiquement lorsque vous vous connectez à Fireware XTM Web UI. Pour ouvrir la page Système depuis une autre page de l'IU Web : Sélectionnez Tableau de bord > Système. Guide de l’utilisateur 375 Surveiller votre périphérique Firebox La page Système du tableau de bord comporte les éléments suivants : n Informations sur le périphérique : n n n n n n Informations d'interface réseau : n n n n n Nom du périphérique Version logicielle du SE Fireware XTM Numéro de modèle du périphérique Numéro de série du périphérique Temps d'activité depuis le dernier redémarrage État de connexion Alias – le nom de l'interface IP – l'adresse IP assignée à l'interface Passerelle – la passerelle pour l'interface Mémoire et statistiques d'utilisation du processeur Pour afficher les statistiques correspondant à une période plus longue, ou pour afficher des statistiques plus détaillées sur le tableau de bord : Cliquez sur Zoom au bas d'un élément du tableau de bord. La page État du système s'affiche avec plus d'informations et d'options. Vous pouvez également afficher des informations sur vos abonnements à Gateway AntiVirus, Intrusion Prevention Service, WebBlocker et spamBlocker. Sélectionnez Tableau de bord > Services d'abonnement. La page Services d'abonnement s'affiche. 376 WatchGuard System Manager Surveiller votre périphérique Firebox La page Services d'abonnement comprend les éléments suivants : n n n n n Trafic analysé, infecté et ignoré surveillé par Gateway AntiVirus Trafic analysé, détecté et évité surveillé par Intrusion Prevention Service Version de la signature et informations de mise à jour pour Gateway AntiVirus et Intrusion Prevention Service Requêtes et trafic HTTP refusés par WebBlocker Courrier propre, confirmé, en masse et suspect identifié par spamBlocker Pour plus d'informations sur les mises à jour manuelles de signatures, voir Afficher l’état des services d’abonnement et mettre à jour manuellement les signatures à la page 625. Pages État du système Les pages État du système comportent une liste de catégories de surveillance. Sur ces pages, vous pouvez surveiller tous les composants de votre Firebox ou périphérique XTM. Les pages État du système sont paramétrées pour s'actualiser automatiquement toutes les 30 secondes. Pour modifier ce paramétrage : 1. Pour modifier l'intervalle d'actualisation, cliquez sur le triangle de la barre de curseur Intervalle d'actualisation et faites-le glisser. 2. Pour arrêter temporairement les actualisations, cliquez sur Pause. 3. Pour forcer une actualisation immédiate, cliquez sur Pause puis sur Redémarrer. Guide de l’utilisateur 377 Surveiller votre périphérique Firebox Les nombres sur l'axe x des graphiques correspondent aux minutes écoulées. Les graphiques de statistiques du tableau de bord indiquent les données pour les dernières 20 minutes. Certaines pages État du système disposent d'une fonction Copier. Pour copier les informations d'une liste : 1. Sélectionnez un ou plusieurs éléments de la liste. 2. Cliquez sur Copier. 3. Collez les données dans une autre application. Table ARP Pour afficher la table ARP pour la Firebox : Sélectionnez État du système > Table ARP. La page Table ARP indique les périphériques ayant répondu à une requête ARP (Address Resolution Protocol) provenant de la Firebox : Adresse IP L'adresse IP de l’ordinateur qui répond à la requête ARP. Type HW Le type de connexion Ethernet utilisée par l’adresse IP pour se connecter. Indicateurs Si l’adresse matérielle d’IP est résolue, elle est indiquée comme valide. Si tel n’est pas le cas, elle est indiquée comme non valide. Note Une adresse matérielle valide peut être indiquée brièvement comme non valide pendant que la Firebox attend une réponse à la requête ARP. Adresse HW L’adresse MAC de la carte d’interface réseau associée à l’adresse IP. Périphérique L'interface de la Firebox sur laquelle l’adresse matérielle pour cette adresse IP a été trouvée. Le nom du noyau Linux de l’interface est indiqué entre parenthèses. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Authentifications Pour afficher la liste des utilisateurs authentifiés pour la Firebox : Sélectionnez État du système > Liste d'authentification. La page Liste d'authentification comporte des informations sur chaque utilisateur actuellement authentifié sur la Firebox. 378 WatchGuard System Manager Surveiller votre périphérique Firebox Utilisateur Nom de l’utilisateur authentifié Type Le type d'utilisateur authentifié : utilisateur Firewall ou mobile. Domaine d'authentification Le serveur d'authentification qui authentifie l'utilisateur. Heure de début Le temps écoulé depuis l'authentification de l'utilisateur. Dernière activité Le temps écoulé depuis la dernière activité de l'utilisateur. Adresse IP L'adresse IP interne en cours d'utilisation par l'utilisateur – pour les utilisateurs mobiles, cette adresse IP est l'adresse IP qui leur a été assignée par la Firebox. Adresse de provenance Adresse IP de l’ordinateur à partir duquel l’utilisateur s’authentifie. Pour les utilisateurs itinérants, cette adresse IP est celle de l’ordinateur à partir duquel ils se sont connectés à Firebox. Pour les utilisateurs se trouvant derrière un pare-feu, l’adresse IP et l’adresse de provenance sont les mêmes. Pour modifier l’ordre la liste d’authentification : Cliquez sur un en-tête de colonne. Pour fermer la session d’un utilisateur : Cliquez sur le nom d'utilisateur et sélectionnez Déconnecter les utilisateurs. Pour plus d'informations sur l'authentification, voir À propos de l’authentification des utilisateurs à la page 215. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Mesure de la bande passante La page Mesure de la bande passante indique les statistiques de débit en temps réel pour toutes les interfaces Firebox dans le temps. L'axe Y (vertical) indique le débit. L’axe des abscisses (horizontal) représente le temps. Pour surveiller l'utilisation de la bande passante pour les interfaces Firebox : 1. Sélectionnez État du système > Mesure de la bande passante. 2. Pour voir la valeur correspondant à chaque point de donnée, déplacez votre souris sur les lignes du graphique. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Guide de l’utilisateur 379 Surveiller votre périphérique Firebox État des sites bloqués Pour afficher la liste des adresses IP actuellement bloquées par la Firebox : Sélectionnez État du système > Sites bloqués. La page Sites bloqués comporte une liste d'adresses IP figurant actuellement sur la liste des sites bloqués, la raison de leur ajout à cette liste ainsi que l'heure d'expiration (quand le site sera retiré de la liste Sites bloqués). Pour chaque site bloqué, le tableau comprend ces informations : IP L'adresse IP du site bloqué. Source La source du site bloqué. Les sites ajoutés sur la page État du système > Sites bloqués sont affichés en tant qu'admin, tandis que les sites ajoutés depuis la page Pare-feu > Sites bloqués sont affichés en tant que configuration. Raison La raison pour laquelle le site a été bloqué. Délai La durée totale pendant laquelle le site est bloqué. Expiration La durée restante avant l'expiration de la période d'inactivité. Note Les sites bloqués qui indiquent comme raison 'Adresse IP bloquée statique' et comme délai d'inactivité et expiration 'N'expire jamais' sont bloqués définitivement. Vous ne pouvez pas supprimer ou modifier un site bloqué définitivement depuis cette page. Pour ajouter ou supprimer un site bloqué définitivement, sélectionnez Pare-feu > Sites bloqués comme décrit dans Bloquer un site de façon permanente à la page 355. Ajouter ou modifier des sites bloqués temporairement Sur la page Sites bloqués État du système, vous pouvez également ajouter ou supprimer des sites bloqués temporairement à la liste des sites bloqués et modifier l'expiration de ces sites. Pour ajouter un site bloqué temporairement à la liste des sites bloqués : 1. Cliquez sur Ajouter. La boîte de dialogue Ajouter un site bloqué temporairement s'affiche. 380 WatchGuard System Manager Surveiller votre périphérique Firebox 2. Saisissez l'adresse IP du site que vous souhaitez bloquer. 3. Dans la zone de texte et liste déroulante Expirent après, choisissez la durée pendant laquelle le site doit rester sur la liste des sites bloqués. 4. Cliquez sur OK. Pour modifier l'expiration pour un site bloqué temporairement : 1. Dans la liste des connexions, sélectionnez le site. 2. Cliquez sur Modifier l’expiration. La boîte de dialogue Modifier un site bloqué temporairement s'affiche. 3. Dans la zone de texte et liste déroulante Expirent après, choisissez la durée pendant laquelle le site doit rester sur la liste des sites bloqués. 4. Cliquez sur OK. Pour supprimer un site bloqué temporairement de la liste des sites bloqués : 1. Sélectionnez le site dans la liste des connexions. 2. Cliquez sur Supprimer. Le site bloqué est supprimé de la liste. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Sommes de contrôle Pour afficher la somme de contrôle des fichiers SE (système d'exploitation) actuellement installés sur la Firebox : Sélectionnez État du système > Somme de contrôle. La Firebox calcule la somme de contrôle pour le SE installé. Le calcul de la somme de contrôle peut prendre quelques minutes à la Firebox. La somme de contrôle s'affiche, avec la date et l'heure à laquelle le calcul de la somme de contrôle a été achevé. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Connexions Pour surveiller les connexions vers la Firebox : Sélectionnez État du système > Connexions. Guide de l’utilisateur 381 Surveiller votre périphérique Firebox La page Connexions indique le nombre de connexions traversant la Firebox. Le nombre actuel de connexions pour chaque protocole apparaît dans la colonne Connexions. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Liste des composants Pour afficher la liste des composants logiciels installés sur la Firebox : Sélectionnez État du système > Liste des composants. La page Composants comporte la liste des logiciels installés sur la Firebox. La liste des logiciels comprend les informations suivantes : n n n n Nom Version Génération Date Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Utilisation du processeur Pour surveiller l'utilisation du processeur sur la Firebox : 1. Sélectionnez État du système > Utilisation du processeur. La page Utilisation du processeur comprend des graphiques représentant l'utilisation du processeur et la charge moyenne sur une certaine durée. 2. Pour voir la valeur correspondant à chaque point de donnée, déplacez votre souris sur les lignes du graphique. 3. Pour sélectionner une période, cliquez sur la liste déroulante Utilisation du processeur. n n L'axe X indique le nombre de minutes écoulées. L'axe Y représente le pourcentage de capacité du processeur utilisée. Une version plus réduite de ce graphique apparaît sur la page Tableau de bord. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Baux DHCP Pour afficher la liste des baux DHCP pour la Firebox : Sélectionnez État du système > Baux DHCP. La page Baux DHCP indique le serveur DHCP et les baux utilisés par la Firebox avec les réservations DHCP. Interface L'interface Firebox à laquelle le client est connecté. Adresse IP L'adresse IP du bail. 382 WatchGuard System Manager Surveiller votre périphérique Firebox Hôte Le nom de l'hôte. S'il ne s'agit pas d'un nom d'hôte disponible, ce champ est vide. Adresse MAC L'adresse MAC associée au bail. Heure de début L'heure à laquelle le client a demandé le bail. Heure de fin L'heure à laquelle le bail expire. Type de matériel Le type de matériel. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Diagnostics Vous pouvez utiliser la page Diagnostics pour exécuter la commande ping d'une adresse IP ou d'un hôte, retracer la route vers une adresse IP ou d'un hôte, rechercher des informations DNS concernant l'hôte ou afficher des informations sur les paquets transmis via votre réseau (TCP dump). Sélectionnez État du système > Diagnostics. Exécuter une commande basique de diagnostic 1. Dans la liste déroulante Tâche, sélectionnez la commande que vous souhaitez exécuter : n n n n Test Ping Tracer l’itinéraire Recherche DNS TCP Dump Si vous sélectionnez Ping, Tracer itinéraire ou Recherche DNS, le champ Adresse s'affiche. Si vous sélectionnez TCP Dump, le champ Interface s'affiche. Guide de l’utilisateur 383 Surveiller votre périphérique Firebox 2. Dans le champ Adresse, saisissez une adresse IP ou un nom d'hôte. Sinon, sélectionnez une interface dans la liste déroulante. 3. Cliquez surExécuter la tâche. La sortie de la commande s'affiche dans la fenêtre Résultats et le bouton Arrêter la tâche s'affiche. 4. Pour arrêter la tâche de diagnostic, cliquez sur Arrêter la tâche. Utilisation des arguments de commande 1. Dans la liste déroulante Tâche, sélectionnez la commande que vous souhaitez exécuter : n n n n Test Ping Tracer l’itinéraire Recherche DNS TCP Dump 2. Cochez la case Options avancées. Le champ Arguments est activé et le champ Adresse ou Interface est désactivé. 3. Dans le champ Arguments, saisissez les arguments de commande. Pour voir les arguments disponibles pour une commande, laissez le champ Arguments vide. 4. Cliquez surExécuter la tâche. La sortie de la commande s'affiche dans la fenêtre Résultats et le bouton Arrêter la tâche s'affiche. 5. Pour arrêter la tâche de diagnostic, cliquez sur Arrêter la tâche. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. DNS dynamique Pour afficher le tableau des routes DNS dynamiques : Sélectionnez État du système > DNS dynamique. La page DNS dynamique contient le tableau des routes DNS dynamiques ainsi que les informations suivantes : Nom Le nom de l'interface. Utilisateur Le nom de l'utilisateur du compte DNS dynamique. Domaine Le domaine pour lequel le DNS dynamique est fourni. Système Le type de service DNS dynamique. Adresse L'adresse IP associée avec le domaine. 384 WatchGuard System Manager Surveiller votre périphérique Firebox IP L'adresse IP actuelle de l'interface. Dernier L'heure de la dernière mise à jour du DNS. Prochaine date La prochaine date programmée d'actualisation du DNS. État L'état du DNS dynamique. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Clé de fonctionnalité Une clé de fonctionnalité est une licence qui vous permet d’utiliser une série de fonctionnalités sur votre périphérique WatchGuard. Lorsque vous achetez une option ou une mise à niveau et que vous recevez une nouvelle clé de fonctionnalité, vous améliorez les fonctionnalités du périphérique. Lorsque vous achetez une nouvelle fonctionnalité Lorsque vous achetez une nouvelle fonctionnalité pour votre périphérique WatchGuard, il vous faut : n n Obtenir une clé de fonctionnalité auprès de LiveSecurity Ajouter une clé de fonctionnalité à Firebox Afficher les fonctionnalités disponibles avec la clé de fonctionnalité active Une clé de fonctionnalité est toujours active dans les périphériques WatchGuard. Vous pouvez utiliser Fireware XTM Web UI pour voir les fonctions disponibles avec cette clé de fonctionnalité. Vous pouvez également consulter les détails de votre clé de fonctionnalité actuelle. Les détails disponibles incluent : n n n n Le numéro de série du périphérique WatchGuard auquel s’applique la clé de fonctionnalité L’ID et le nom du périphérique WatchGuard Le modèle et le numéro de version du périphérique Les fonctionnalités disponibles Pour voir les informations concernant les fonctions sous licence pour votre périphérique WatchGuard : 1. Sélectionnez État du système > Clé de fonctionnalité. La page Clé de fonctionnalité s'affiche, comprenant des informations de base sur les fonctions activées par la clé de fonctionnalité pour ce périphérique. Guide de l’utilisateur 385 Surveiller votre périphérique Firebox 2. Pour afficher les informations relatives à chaque fonction, utilisez la barre de défilement de l'onglet Clé de fonctionnalité. Les informations suivantes s'affichent : n n n n Fonctionnalité – le nom de la fonctionnalité sous licence. Valeur – la fonctionnalité que cette licence permet d'activer. Par exemple, une capacité ou un nombre d'utilisateurs. Expiration – la date d'expiration de la licence. Temps restant – le nombre de jours restants jusqu'à l'expiration de la licence. 3. Pour voir les détails de la clé de fonctionnalité, cliquez sur l'onglet Texte de la clé de fonctionnalité. Les fonctionnalités sous licence pour votre périphérique s'affichent. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Interfaces Pour afficher les informations sur les interfaces de réseau Firebox : Sélectionnez État du système > Interfaces. 386 WatchGuard System Manager Surveiller votre périphérique Firebox La page Interfaces comporte des informations concernant chaque interface : État de connexion Si l'interface est active, le mot Actif s’affiche. Si elle n'est pas active, Inactif s'affiche. Alias Le nom de l'interface. Activé(e) Indique si chaque interface est activée. Passerelle La passerelle définie pour chaque interface. IP L'adresse IP configurée pour chaque interface. Adresse MAC L'adresse MAC pour chaque interface, Nom Le numéro d'interface. Masque réseau Masque réseau pour chaque interface. Zone La zone approuvée pour chaque interface. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. LiveSecurity Fireware XTM Web UI comporte une page avec les notifications d'alerte les plus récentes envoyées depuis le service WatchGuard LiveSecurity. Les alertes LiveSecurity vous fournissent des informations relatives au périphérique, telles que la notification sur les mises à jour logicielles disponibles. Les notifications d’alerte sont envoyées seulement une fois par jour. Pour afficher les alertes WatchGuard : 1. Sélectionnez État du système > LiveSecurity. 2. Cliquez sur Réactualiser pour afficher les dernières alertes potentielles. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Mémoire Pour surveiller l'utilisation de la mémoire sur la Firebox : Guide de l’utilisateur 387 Surveiller votre périphérique Firebox 1. Sélectionnez État du système > Mémoire. Un graphique s'affiche indiquant l'utilisation de la mémoire du noyau Linux sur une certaine durée. 2. Pour voir la valeur correspondant à chaque point de donnée, déplacez votre souris sur les lignes du graphique. 3. Pour sélectionner la durée applicable au graphique, cliquez sur la liste déroulante Mémoire. n n L'axe X indique le nombre de minutes écoulées. L'échelle de l'axe Y correspond à la quantité de mémoire utilisée en mégaoctets. Vous pouvez afficher une version plus réduite de ce graphique sur la page Tableau de bord. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Liste d’accès sortants (Cette fonctionnalité concerne uniquement les périphériques Firebox X Edge e-Series dotés de Fireware XTM.) La clé de fonctionnalité de votre Firebox X Edge active le périphérique de sorte qu’il dispose d’un nombre spécifique d’adresses IP avec accès sortant. Vous pouvez utiliserFireware XTM Web UI pour voir le nombre maximum d’adresses IP autorisées à disposer d’un accès sortant et les adresses IP disposant actuellement d’un accès sortant. Vous pouvez également supprimer des adresses IP de la liste des accès sortants et en mettre d’autres à leur place. Cela peut être utile si vous disposez d’un nombre limité d’adresses IP avec accès sortant. Fireware XTM efface automatiquement toutes les adresses IP de la Liste des accès sortants toutes les heures. Des informations sur le nombre maximum d’adresses IP avec accès sortant sont également disponibles sur votre clé de fonctionnalité. Pour plus d’informations, cf. À propos de les clés de fonctionnalité à la page 52. Note Cette fonctionnalité concerne uniquement les périphériques Firebox X Edge dotés de Fireware XTM. Si vous ne possédez pas de périphérique Firebox X Edge avec Fireware XTM, cette page ne s’affiche pas dans Web UI. Pour afficher la liste des accès sortants : 1. Sélectionnez État du système> Liste des accès sortants. La page Liste des accès sortants s’affiche. 2. Pour supprimer une ou plusieurs adresses IP de la liste, sélectionnez les adresses et cliquez sur Supprimer. 3. Pour supprimer toutes les adresses IP de la liste, cliquez sur Effacer la liste. 4. Pour copier les informations de certains éléments de la liste, sélectionnez les éléments et cliquez sur Copier. 5. Pour modifier la fréquence de mise à jour des informations sur la page, ajustez le curseur Intervalle d’actualisation. 6. Pour arrêter temporairement l’actualisation des informations sur la page, cliquez sur Pause. Processus Pour afficher la liste des processus exécutables sur la Firebox : Sélectionnez État du système > Processus. La page Processus contient des informations sur tous les processus exécutables sur la Firebox. 388 WatchGuard System Manager Surveiller votre périphérique Firebox PID L'ID de processus est un numéro unique qui indique quand le processus a démarré, NOM Le nom du processus. ÉTAT L'état du processus : E – en cours d’exécution V – en veille D,Z — Inactif RSS Le nombre total de kilo-octets de mémoire physique utilisés par le processus. PARTAGE Le nombre total de kilo-octets de mémoire partagée utilisés par le processus. TEMPS Le temps utilisé par le processus depuis le dernier démarrage du périphérique. CPU Le pourcentage de temps de processeur que le processus a utilisé depuis le dernier redémarrage du périphérique. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Itinéraires Pour afficher le tableau des routes pour la Firebox : Sélectionnez État du système > Routes. Ce tableau comporte les informations suivantes sur chaque route : Destination Le réseau pour lequel la route a été créée. Interface L'interface associée à la route. Passerelle La passerelle utilisée par le réseau. Indicateur Les indicateurs définis pour chaque route. Guide de l’utilisateur 389 Surveiller votre périphérique Firebox Métrique La métrique définie pour cette route dans la table de routage. Masque Le masque réseau de la route. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Syslog Vous pouvez utiliser syslog pour afficher les données de journal dans le fichier journal de la Firebox. Sélectionnez État du système > Syslog. La page Syslog s'affiche avec les entrées les plus récentes du fichier journal de la Firebox. Pour plus d'informations sur la manière d'utiliser cette page, voir Utiliser Syslog pour consulter les données de messages du journal à la page 372. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Gestion du trafic Pour afficher les statistiques de gestion du trafic : Sélectionnez État du système > Gestion du trafic. Les statistiques associées à chaque action de gestion de trafic que vous avez configurée s'affichent. La page Gestion du trafic comprend les statistiques suivantes : Action TM Le nom de l'action de gestion de trafic. Interface L'interface de périphérique WatchGuard à laquelle l'action de trafic s'applique. Octets Le nombre total d'octets. Octets/seconde Le taux actuel d'octets par seconde (estimation de débit). Paquets Le nombre total de paquets. Paquets/seconde Le taux actuel de paquets par seconde (estimation de débit). Pour des informations concernant la gestion du trafic, voir À propos de Gestion du trafic et QoS à la page 331. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. 390 WatchGuard System Manager Surveiller votre périphérique Firebox Statistiques VPN Pour afficher les statistiques sur les tunnels VPN : 1. Sélectionnez État du système > Statistiques VPN. Les statistiques de trafic pour chaque VPN de filiale et Mobile VPN avec tunnels IPSec s'affichent. Pour chaque tunnel VPN, cette page comprend : Nom Le nom du tunnel. Local L'adresse IP à l'extrémité locale du tunnel. Distant L'adresse IP à l'extrémité distante du tunnel. Passerelle Les extrémités de passerelle utilisées par ce tunnel. Paquets entrants Le nombre de paquets reçus via le tunnel. Octets entrants Le nombre d'octets reçus via le tunnel. Paquets sortants Le nombre de paquets envoyés via le tunnel. Octets sortants Le nombre d'octets envoyés via le tunnel. Renouvellements de clé Le nombre de renouvellements de clé pour le tunnel. 2. Pour forcer un tunnel BOVPN à renouveler la clé, sélectionnez un tunnel BOVPN et cliquez sur le bouton Renouveler la clé du tunnel BOVPN. Pour plus d’informations, voir Renouveler la clé des tunnels BOVPN à la page 472. 3. Pour obtenir d’autres informations à utiliser pour le dépannage, cliquez sur Débogage. Il est recommandé d'utiliser cette fonctionnalité lors de la résolution d'un problème VPN avec un représentant du support technique. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Guide de l’utilisateur 391 Surveiller votre périphérique Firebox Statistiques sans fil Pour afficher les statistiques concernant votre réseau sans fil : Sélectionnez État du système > Statistiques sans fil. Une synthèse des paramètres de configuration sans fil et de certaines statistiques sur le trafic sans fil s'affiche. Cette synthèse comprend : n n n n n Informations concernant la configuration sans fil Statistiques de l'interface Clés Débits Fréquences Si votre périphérique est du modèle sans fil WatchGuard XTM 2 Series, vous pouvez également mettre à jour les informations de pays sans fil pour ce périphérique depuis cette page. Les options disponibles pour les paramètres radio sans fil dépendent des exigences liées à la réglementation en vigueur dans le pays où le périphérique détecte qu'il est situé. Pour mettre à jour les informations sur le pays de la radio sans fil : Cliquez sur Mettre à jour les informations de pays. Le périphérique 2 Series contacte un serveur WatchGuard pour déterminer la région d’exploitation active. Pour plus d'informations sur les paramètres radio sur le périphérique WatchGuard XTM 2 Series, voir Présentation des paramètres radio sans fil du WatchGuard XTM sans fil Série 2. Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375. Connexions aux points d’accès sans fil Lorsque vous activez la fonctionnalité de point d’accès sans fil pour votre périphérique sans fil WatchGuard XTM 2 Series ou Firebox X Edge e-Series, vous pouvez voir le nombre de clients sans fil connectés. Vous pouvez également déconnecter les clients sans fil. Pour plus d’informations sur l’activation de la fonction point d’accès sans fil, cf. Activer un point d’accès sans fil. Pour afficher les connexions aux points d’accès sans fil : 1. Connectez-vous à l’interface Fireware XTM Web UI de votre périphérique sans fil. 2. Sélectionnez État du système > Point d’accès sans fil. L’adresse IP et l’adresse MAC de chaque client sans fil connecté s’affichent. 392 WatchGuard System Manager Surveiller votre périphérique Firebox Pour plus d’informations sur la gestion des connexions aux points d’accès sans fil, cf. Afficher les connexions aux points d’accès sans fil. Guide de l’utilisateur 393 Surveiller votre périphérique Firebox Guide de l’utilisateur 394 18 Certificats et autorité de certification À propos des certificats Les certificats font correspondre l’identité d’une personne ou d’une organisation à une méthode permettant aux tiers de vérifier cette identité et de sécuriser les communications. Ils utilisent une méthode de chiffrement appelée « paire de clés », qui se compose de deux nombres mathématiquement liés appelés clé privée et clé publique. Un certificat contient une déclaration d’identité et une clé publique ; il est signé par une clé privée. La clé privée servant à signer le certificat peut provenir de la paire de clés utilisée pour générer le certificat ou d’une autre paire de clés. Si elle provient de la paire de clés utilisée pour créer le certificat, on obtient ce qu’on appelle un certificat autosigné. Si elle provient d’une autre paire de clés, on obtient un certificat ordinaire. Les certificats à clés privées qui permettent de signer d’autres certificats sont des certificats d’ autorité de certification. Une autorité de certification est une organisation ou application qui signe et révoque des certificats. Si votre organisation dispose d’une infrastructure à clé publique (PKI), vous pouvez signer vous-mêmes les certificats en temps qu’autorité de certification. La plupart des applications et des périphériques acceptent automatiquement les certificats des autorités approuvées les plus connues. Ceux qui ne sont pas signés par des autorités connues, comme les certificats autosignés, ne sont pas acceptés automatiquement par un grand nombre de serveurs ou de programmes, et ne sont pas compatibles avec certaines fonctionnalités de Fireware XTM. Utiliser plusieurs certificats pour établir la confiance Plusieurs certificats peuvent être utilisés conjointement pour créer une chaîne de confiance. Par exemple, le certificat d’autorité de certification qui commence la chaîne provient d’une autorité de certification reconnue et sert à signer un autre certificat émis par une autorité de certification de moindre envergure. Celle-ci peut alors signer un autre certificat d’autorité de certification, qui est utilisé par votre organisation. Guide de l’utilisateur 395 Certificats et autorité de certification Finalement, votre organisation peut utiliser ce certificat d’autorité de certification pour signer le certificat à utiliser avec la fonctionnalité d’inspection du contenu du proxy HTTPS. Cependant, pour être en mesure d’utiliser le certificat au bout de la chaîne de confiance, vous devez d’abord importer tous les certificats de la chaîne dans l’ordre suivant : 1. 2. 3. 4. le certificat d’autorité de certification d’une autorité reconnue (de type « Autre ») le certificat d’autorité de certification de l’autorité de moindre envergure (de type « Autre ») le certificat d’autorité de certification de l’organisation (de type « Autre ») le certificat utilisé pour chiffrer à nouveau le contenu du proxy HTTPS après l’inspection (de type « Autorité de proxy HTTPS ») Il peut également s’avérer nécessaire d’importer l’ensemble de ces certificats sur chaque périphérique client afin que le dernier certificat soit lui aussi approuvé par les utilisateurs. Pour plus d’informations, voir Afficher et gérer les certificats FireboxAfficher et gérer les certificats Firebox à la page 403. Mode d’utilisation des certificats sur Firebox Firebox utilise des certificats à diverses fins : n n n n n Les données des sessions de gestion sont sécurisées par un certificat. Les tunnels BOVPN et Mobile VPN with IPSec peuvent utiliser des certificats pour l’authentification. Lorsque l’inspection de contenu est activée, le proxy HTTPS utilise un certificat pour chiffrer à nouveau le trafic HTTPS entrant après l’avoir déchiffré pour inspection. Vous pouvez utiliser un certificat avec le proxy HTTPS afin de protéger un serveur Web de votre réseau. Lorsqu’un utilisateur s’authentifie sur Firebox, quel qu’en soit le motif, par exemple pour contourner WebBlocker, la connexion est sécurisée à l’aide d’un certificat. Par défaut, Firebox crée des certificats autosignés pour sécuriser les données des sessions de gestion et les tentatives d’authentification de Fireware XTM Web UI et de l’inspection de contenu du proxy HTTPS. Pour garantir l’unicité du certificat utilisé pour l’inspection de contenu HTTPS, son nom comprend le numéro de série du périphérique et l’heure de création du certificat. Étant donné que ces certificats n’ont pas été signés par une autorité de certification approuvée, un avertissement s’affiche sur les navigateurs Web des utilisateurs de votre réseau. Trois options sont à votre disposition pour supprimer cet avertissement : 1. Vous pouvez importer des certificats signés par une autorité de certification en laquelle votre organisation a confiance, par exemple une infrastructure à clé publique (PKI) déjà configurée pour votre organisation, afin d’utiliser ces fonctionnalités. Nous vous recommandons cette option, dans la mesure du possible. 2. Vous pouvez créer un certificat autosigné personnalisé correspondant au nom et au site de votre organisation. 3. Vous pouvez utiliser le certificat autosigné par défaut. Pour les deux dernières options, vous pouvez demander aux clients réseau d’accepter ces certificats autosignés manuellement lorsqu’ils se connectent à Firebox. Vous pouvez également exporter les certificats et les distribuer avec les outils de gestion de réseau. Le gestionnaire WatchGuard System Manager doit être installé pour que vous puissiez exporter des certificats. 396 WatchGuard System Manager Certificats et autorité de certification Duréedeviedescertificatset listesderévocation decertificats (CRL) Chaque certificat a une durée de vie déterminée au moment de sa création. Lorsqu’il arrive au terme de cette durée de vie, le certificat expire et ne peut plus être utilisé automatiquement. Vous pouvez également supprimer manuellement les certificats avec Firebox System Manager. Parfois, des certificats sont révoqués ou désactivés par l’autorité de certification avant l’expiration de leur durée de vie. Firebox conserve une liste à jour de ces certificats révoqués, appelée Liste de révocation de certificats, pour vérifier la validité des certificats utilisés pour l’authentification VPN. Si le gestionnaire WatchGuard System Manager est installé, cette liste peut être mise à jour manuellement à partir de Firebox System Manager, ou automatiquement à partir des informations d’un certificat. Chaque certificat comprend un numéro unique permettant de l’identifier. Si le numéro unique d’un certificat de serveur Web, de réseau BOVPN ou de Mobile VPN with IPSec correspond à un identifiant de la liste de révocation associée, Firebox désactive le certificat. Lorsque l’inspection de contenu est activée sur un proxy HTTPS, Firebox peut interroger le programme de réponse du protocole OCSP (protocole de vérification en ligne de l’état du certificat) associé aux certificats utilisés pour signer le contenu HTTPS. Le programme de réponse envoie l’état de révocation du certificat. Firebox accepte cette réponse de l’OCSP si elle est signée par un certificat qu’il a approuvé. Si la réponse de l’OCSP n’est pas signée par un certificat de confiance de Firebox, ou si le programme n’envoie pas de réponse, vous pouvez configurer le périphérique de sorte qu’il accepte ou rejette le certificat d’origine. Pour plus d’informations sur les options du protocole OCSP, voir Proxy HTTPS : Contenu à la page 309. Autorités de certification et demandes de signatures Pour créer un certificat autosigné, vous mettez une partie d’une paire de clés cryptographique dans une demande de signature de certificat que vous envoyez à une autorité de certification. Il est important d’utiliser une nouvelle paire de clés pour chaque demande de signature que vous créez. Sur réception de la demande, l’autorité de certification vérifie votre identité et émet un certificat. Si les logiciels FSM ou Management Server sont installés, vous pouvez utiliser ces programmes pour créer une demande de signature de certificat pour votre Firebox. Vous pouvez aussi utiliser d’autres outils, comme OpenSSL ou le serveur d’autorité de certification de Microsoft, livré avec tous les systèmes d’exploitation Windows Server. Si vous souhaitez créer un certificat pour utiliser la fonctionnalité d’inspection de contenu du proxy HTTPS, il doit s’agir d’un certificat d’autorité de certification capable de signer à son tour d’autres certificats. Si vous créez une demande de signature de certificat dans Firebox System Manager et qu’elle est signée par une autorité de certification reconnue, elle peut servir de certificat d’autorité de certification. Si aucune infrastructure à clé publique (PKI) n’est en place dans votre organisation, nous vous recommandons de choisir une autorité de certification reconnue pour signer les demandes de signature que vous utilisez, sauf pour les certificats d’autorité de certification relatifs au proxy HTTPS. Si une autorité de certification reconnue signe vos certificats, ceux-ci sont automatiquement approuvés par la majorité des utilisateurs. WatchGuard a testé les certificats signés par VeriSign, Entrust et RSA KEON, ainsi que par le serveur d’autorité de certification de Microsoft. Vous pouvez aussi importer d’autres certificats afin que votre Firebox approuve d’autres autorités de certification. Guide de l’utilisateur 397 Certificats et autorité de certification Pour obtenir la liste complète des autorités de certification approuvées automatiquement, voir Autorités de certification approuvées par Firebox à la page 398. Créer une demande de signature de certificat à l’aide d’OpenSSL Autorités de certification approuvées par Firebox Par défaut, votre périphérique approuve la plupart des autorités de certification déjà reconnues par les navigateurs Web modernes. Nous vous recommandons d’importer les certificats signés par une autorité de certification dans cette liste pour le proxy HTTPS ou pour le Web UI de Fireware XTM, afin que les avertissements concernant les certificats ne s’affichent plus sur les navigateurs Web des utilisateurs qui se servent de ces fonctionnalités. Toutefois, vous pouvez aussi importer les certificats d’autres autorités de certification afin que vos certificats puissent être approuvés. Si le gestionnaire WatchGuard System Manager est installé, une copie de chaque certificat est stockée sur votre disque dur à l’adresse : C:\Documents and Settings\WatchGuard\wgauth\certs\README Liste des autorités de certification C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority - G2, OU=(c) 1998 VeriSign, Inc. - For authorized use only, OU=VeriSign Trust Network C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting, OU=Certification Services Division, CN=Thawte Personal Premium CA/emailAddress=personalpremium@thawte.com C=ES, L=C/ Muntaner 244 Barcelona, CN=Autoridad de Certificacion Firmaprofesional CIF A62634068/emailAddress=ca@firmaprofesional.com C=HU, ST=Hungary, L=Budapest, O=NetLock Halozatbiztonsagi Kft., OU=Tanusitvanykiadok, CN=NetLock Kozjegyzoi (Class A) Tanusitvanykiado C=ZA, ST=Western Cape, L=Durbanville, O=Thawte, OU=Thawte Certification, CN=Thawte Timestamping CA C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc. - For authorized use only, CN=VeriSign Class 4 Public Primary Certification Authority - G3 C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Qualified CA Root C=DK, O=TDC Internet, OU=TDC Internet Root CA C=US, O=VeriSign, Inc., OU=Class 2 Public Primary Certification Authority G2, OU=(c) 1998 VeriSign, Inc. - For authorized use only, OU=VeriSign Trust Network C=US, O=Wells Fargo, OU=Wells Fargo Certification Authority, CN=Wells Fargo Root Certificate Authority OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign CN=Test-Only Certificate C=US, O=Entrust, Inc., OU=www.entrust.net/CPS is incorporated by reference, OU=(c) 2006 Entrust, Inc., CN=Entrust Root Certification Authority C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Class 1 CA Root C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO Certification Authority O=RSA Security Inc, OU=RSA Security 2048 V3 C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting, OU=Certification 398 WatchGuard System Manager Certificats et autorité de certification Services Division, CN=Thawte Personal Basic CA/emailAddress=personalbasic@thawte.com C=FI, O=Sonera, CN=Sonera Class1 CA O=VeriSign Trust Network, OU=VeriSign, Inc., OU=VeriSign International Server CA - Class 3, OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign C=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte SGC CA C=US, O=Equifax Secure Inc., CN=Equifax Secure eBusiness CA-1 C=JP, O=SECOM Trust.net, OU=Security Communication RootCA1 C=US, O=America Online Inc., CN=America Online Root Certification Authority 1 C=HU, L=Budapest, O=NetLock Halozatbiztonsagi Kft., OU=Tanusitvanykiadok, CN=NetLock Uzleti (Class B) Tanusitvanykiado C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN - DATACorp SGC C=BE, O=GlobalSign nv-sa, OU=Root CA, CN=GlobalSign Root CA C=US, O=VeriSign, Inc., OU=Class 2 Public Primary Certification Authority C=CH, O=SwissSign AG, CN=SwissSign Gold CA - G2 C=US, O=RSA Data Security, Inc., OU=Secure Server Certification Authority C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc. - For authorized use only, CN=VeriSign Class 3 Public Primary Certification Authority - G3 C=US, OU=www.xrampsecurity.com, O=XRamp Security Services Inc, CN=XRamp Global Certification Authority C=PL, O=Unizeto Sp. z o.o., CN=Certum CA C=US, O=Entrust.net, OU=www.entrust.net/CPS incorp. by ref. (limits liab.), OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Secure Server Certification Authority L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 3 Policy Validation Authority, CN=http://www.valicert.com//emailAddress=info@valicert.com C=CH, O=SwissSign AG, CN=SwissSign Platinum CA - G2 OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign O=Digital Signature Trust Co., CN=DST Root CA X3 C=US, O=AOL Time Warner Inc., OU=America Online Inc., CN=AOL Time Warner Root Certification Authority 1 C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=Secure Certificate Services O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at https://www.verisign.com/rpa (c)00, CN=VeriSign Time Stamping Authority CA O=Entrust.net, OU=www.entrust.net/GCCA_CPS incorp. by ref. (limits liab.), OU=(c) 2000 Entrust.net Limited, CN=Entrust.net Client Certification Authority C=US, O=SecureTrust Corporation, CN=Secure Global CA C=US, O=Equifax, OU=Equifax Secure Certificate Authority O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA - RSA Implementation C=WW, O=beTRUSTed, CN=beTRUSTed Root CAs, CN=beTRUSTed Root CA C=US, O=GeoTrust Inc., CN=GeoTrust Primary Certification Authority C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/emailAddress=premiumserver@thawte.com C=US, O=SecureTrust Corporation, CN=SecureTrust CA Guide de l’utilisateur 399 Certificats et autorité de certification OU=Extended Validation CA, O=GlobalSign, CN=GlobalSign Extended Validation CA C=US, O=GeoTrust Inc., CN=GeoTrust Global CA 2 C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Root CA C=IL, ST=Israel, L=Eilat, O=StartCom Ltd., OU=CA Authority Dep., CN=Free SSL Certification Authority/emailAddress=admin@startcom.org C=US, O=VISA, OU=Visa International Service Association, CN=Visa eCommerce Root O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA - Entrust Implementation C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 2006 VeriSign, Inc. - For authorized use only, CN=VeriSign Class 3 Public Primary Certification Authority - G5 C=US, O=Equifax Secure Inc., CN=Equifax Secure Global eBusiness CA-1 C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l., O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA Chained CAs Certification Authority, CN=IPS CA Chained CAs Certification Authority/emailAddress=ips@mail.ips.es DC=com, DC=microsoft, DC=corp, DC=redmond, CN=Microsoft Secure Server Authority C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 3 C=TW, O=Government Root Certification Authority C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=Trusted Certificate Services C=US, O=GeoTrust Inc., CN=GeoTrust Universal CA 2 C=US, O=Entrust.net, OU=www.entrust.net/Client_CA_Info/CPS incorp. by ref. limits liab., OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Client Certification Authority C=FR, O=Certplus, CN=Class 2 Primary CA C=US, O=Starfield Technologies, Inc., OU=Starfield Class 2 Certification Authority C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting, OU=Certification Services Division, CN=Thawte Personal Freemail CA/emailAddress=personalfreemail@thawte.com O=Entrust.net, OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.), OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Certification Authority (2048) C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l., O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASEA1 Certification Authority, CN=IPS CA CLASEA1 Certification Authority/emailAddress=ips@mail.ips.es C=US, O=AOL Time Warner Inc., OU=America Online Inc., CN=AOL Time Warner Root Certification Authority 2 C=US, O=VeriSign, Inc., OU=Class 1 Public Primary Certification Authority G2, OU=(c) 1998 VeriSign, Inc. - For authorized use only, OU=VeriSign Trust Network C=US, O=VISA, OU=Visa International Service Association, CN=GP Root 2 C=US, O=GeoTrust Inc., CN=GeoTrust Global CA C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at https://www.verisign.com/rpa (c)06, CN=VeriSign Class 3 Extended Validation SSL CA C=EU, O=AC Camerfirma SA CIF A82743287, OU=http://www.chambersign.org, 400 WatchGuard System Manager Certificats et autorité de certification CN=Global Chambersign Root C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data Networks GmbH, OU=TC TrustCenter Class 2 CA/emailAddress=certificate@trustcenter.de C=US, O=GTE Corporation, OU=GTE CyberTrust Solutions, Inc., CN=GTE CyberTrust Global Root C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at https://www.verisign.com/rpa (c)05, CN=VeriSign Class 3 Secure Server CA C=US, O=GTE Corporation, CN=GTE CyberTrust Root C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc. - For authorized use only, CN=VeriSign Class 1 Public Primary Certification Authority - G3 C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Network Applications C=HU, L=Budapest, O=NetLock Halozatbiztonsagi Kft., OU=Tanusitvanykiadok, CN=NetLock Minositett Kozjegyzoi (Class QA) Tanusitvanykiado/emailAddress=info@netlock.hu C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc. - For authorized use only, CN=VeriSign Class 2 Public Primary Certification Authority - G3 C=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X2, CN=DST RootCA X2/emailAddress=ca@digsigtrust.com C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l., O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASE3 Certification Authority, CN=IPS CA CLASE3 Certification Authority/emailAddress=ips@mail.ips.es O=RSA Security Inc, OU=RSA Security 1024 V3 C=US, O=Equifax Secure, OU=Equifax Secure eBusiness CA-2 C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - For authorized use only, CN=thawte Primary Root CA C=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X1, CN=DST RootCA X1/emailAddress=ca@digsigtrust.com C=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate Authority C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Server CA/emailAddress=server-certs@thawte.com C=US, O=VeriSign, Inc., OU=Class 4 Public Primary Certification Authority G2, OU=(c) 1998 VeriSign, Inc. - For authorized use only, OU=VeriSign Trust Network C=NL, O=DigiNotar, CN=DigiNotar Root CA/emailAddress=info@diginotar.nl C=US, O=America Online Inc., CN=America Online Root Certification Authority 2 C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l., O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA Timestamping Certification Authority, CN=IPS CA Timestamping Certification Authority/emailAddress=ips@mail.ips.es C=US, O=DigiCert Inc., CN=DigiCert Security Services CA C=US, O=Digital Signature Trust, OU=DST ACES, CN=DST ACES CA X6 C=DK, O=TDC, CN=TDC OCES CA C=US, O=VeriSign, Inc., OU=Class 1 Public Primary Certification Authority C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l., O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASEA3 Certification Authority, CN=IPS CA CLASEA3 Certification Authority/emailAddress=ips@mail.ips.es C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Client Authentication and Email Guide de l’utilisateur 401 Certificats et autorité de certification C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=AAA Certificate Services L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 1 Policy Validation Authority, CN=http://www.valicert.com//emailAddress=info@valicert.com C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l., O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASE1 Certification Authority, CN=IPS CA CLASE1 Certification Authority/emailAddress=ips@mail.ips.es C=BM, O=QuoVadis Limited, OU=Root Certification Authority, CN=QuoVadis Root Certification Authority C=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate Authority C=CH, O=SwissSign AG, CN=SwissSign Silver CA - G2 C=US, O=Digital Signature Trust Co., OU=DSTCA E2 C=US, O=Digital Signature Trust Co., OU=DSTCA E1 C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc., OU=http://certificates.godaddy.com/repository, CN=Go Daddy Secure Certification Authority/serialNumber=07969287 C=EU, O=AC Camerfirma SA CIF A82743287, OU=http://www.chambersign.org, CN=Chambers of Commerce Root C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 2 C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert High Assurance EV Root CA C=US, ST=DC, L=Washington, O=ABA.ECOM, INC., CN=ABA.ECOM Root CA/emailAddress=admin@digsigtrust.com C=ES, ST=BARCELONA, L=BARCELONA, O=IPS Seguridad CA, OU=Certificaciones, CN=IPS SERVIDORES/emailAddress=ips@mail.ips système IPS.es C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA C=ch, O=Swisscom, OU=Digital Certificate Services, CN=Swisscom Root CA 1 CN=T\xC3\x9CRKTRUST Elektronik Sertifika Hizmet Sa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1, C=TR, L=ANKARA, O=(c) 2005 T\xC3\x9CRKTRUST Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim G\xC3\xBCvenli\xC4\x9Fi Hizmetleri A.\xC5\x9E. C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 2006 VeriSign, Inc. - For authorized use only, CN=VeriSign Class 3 Public Primary Certification Authority - G5 C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data Networks GmbH, OU=TC TrustCenter Class 3 CA/emailAddress=certificate@trustcenter.de C=HU, L=Budapest, O=NetLock Halozatbiztonsagi Kft., OU=Tanusitvanykiadok, CN=NetLock Expressz (Class C) Tanusitvanykiado C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Object C=US, O=The Go Daddy Group, Inc., OU=Go Daddy Class 2 Certification Authority C=US, O=Akamai Technologies Inc, CN=Akamai Subordinate CA 3 C=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate Authority C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Public CA Root CN=T\xC3\x9CRKTRUST Elektronik Sertifika Hizmet Sa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1, C=TR, L=Ankara, O=T\xC3\x9CRKTRUST Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim G\xC3\xBCvenli\xC4\x9Fi Hizmetleri A.\xC5\x9E. (c) Kas\xC4\xB1m 2005 C=US, O=GeoTrust Inc., CN=GeoTrust Universal CA C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at 402 WatchGuard System Manager Certificats et autorité de certification https://www.verisign.com/rpa (c)06, CN=VeriSign Class 3 Extended Validation SSL SGC CA O=Entrust.net, OU=www.entrust.net/SSL_CPS incorp. by ref. (limits liab.), OU=(c) 2000 Entrust.net Limited, CN=Entrust.net Secure Server Certification Authority CN=Microsoft Internet Authority L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 2 Policy Validation Authority, CN=http://www.valicert.com//emailAddress=info@valicert.com C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root C=FI, O=Sonera, CN=Sonera Class2 CA O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA-Baltimore Implementation C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Certification Authority Afficher et gérer les certificats Firebox Vous pouvez utiliser Fireware XTM Web UI pour afficher et gérer vos certificats Firebox. Vous pouvez notamment : n n n n Afficher la liste des certificats actuels de Firebox et leurs propriétés Importer un certificat Sélectionner un certificat de serveur Web pour l’authentification sur Firebox Sélectionner un certificat à utiliser avec un réseau BOVPN ou Mobile User Note Vous devez utiliser Firebox System Manager (FSM) pour créer des demandes de signature de certificat, importer des listes de révocation de certificats ou retirer ou supprimer des certificats. Pour plus d’informations, voir le système d’aide du gestionnaire WatchGuard System Manager. Consulter les certificats actuels Pour afficher la liste actuelle des certificats : 1. Sélectionnez Système > Certificats. La liste Certificats s’affiche avec l’ensemble des certificats et des demandes de signature de certificat. Cette liste contient : n n n l’état et le type du certificat ; l’algorithme utilisé par le certificat ; le nom de l’objet ou l’identificateur du certificat. Par défaut, les certificats d’autorités de certification approuvées ne figurent pas sur la liste. 2. Pour afficher l’ensemble des certificats des autorités de certification approuvées, activez la case à cocher Afficher les autorités de certification approuvées pour le proxy HTTPS. Guide de l’utilisateur 403 Certificats et autorité de certification 3. Pour masquer les certificats des autorités de certification approuvées, désactivez la case à cocher Afficher les autorités de certification approuvées pour le proxy HTTPS. Importer un certificat à partir d’un fichier Vous pouvez importer un certificat depuis le presse-papier de Windows ou depuis un fichier de votre ordinateur local. Les certificats doivent être au format PEM (base 64). Avant d’importer un certificat afin de l’utiliser avec la fonctionnalité d’inspection de contenu du proxy HTTPS, vous devez importer chaque certificat le précédant dans la chaîne de confiance avec le type« Autre ». Cela configure Firebox pour qu’il approuve le certificat. Vous devez importer ces certificats du premier au dernier, ou du plus connu au moins connu, afin que Firebox puisse connecter correctement les certificats de la chaîne de confiance. Pour de plus amples informations, cf. À propos des certificats à la page 395 et Utiliser des certificats pour le proxy HTTPS à la page 407. 1. Sélectionnez Système > Certificats. La page Certificats s’ouvre. 2. Cliquez sur Importer. 3. Sélectionnez l’option qui correspond à la fonction du certificat : n n n n 404 Autorité de proxy HTTPS (pour inspection avancée des paquets) : sélectionnez cette option si le certificat est destiné à une stratégie de proxy HTTPS qui gère le trafic Web demandé par les utilisateurs de réseaux approuvés ou facultatifs depuis le serveur Web d’un réseau externe. Le certificat que vous importez à cet effet doit être un certificat d’autorité de certification. Avant d’importer le certificat d’autorité de certification permettant de chiffrer à nouveau le trafic sur le proxy HTTPS, vérifiez que vous avez importé le certificat d’autorité de certification utilisé pour signer ce certificat dans la catégorie « Autre ». Serveur proxy HTTPS : sélectionnez cette option si le certificat est destiné à une stratégie de proxy HTTPS qui gère le trafic Web demandé par les utilisateurs d’un réseau externe depuis un serveur Web protégé par le Firebox. Avant d’importer le certificat d’autorité de certification permettant de chiffrer à nouveau le trafic d’un serveur Web HTTPS, vérifiez que vous avez importé le certificat d’autorité de certification utilisé pour signer ce certificat dans la catégorie « Autre » . Autorité de certification pour proxy HTTPS : sélectionnez cette option pour les certificats utilisés pour approuver le trafic HTTPS qui n’est pas de nouveau chiffré par le proxy HTTPS, par exemple un certificat racine ou un certificat d’autorité de certification intermédiaire permettant de signer le certificat d’un serveur Web externe. IPSec, serveur Web, autre : sélectionnez cette option si le certificat est destiné à l’authentification ou à d’autres fins, ou si vous souhaitez importer un certificat pour créer la chaîne de confiance d’un certificat permettant de chiffrer à nouveau le trafic réseau à l’aide d’un proxy HTTPS. WatchGuard System Manager Certificats et autorité de certification 4. Copiez et collez le contenu du certificat dans la grande zone de texte. Si le fichier contient une clé privée, entrez le mot de passe permettant de déchiffrer la clé. 5. Cliquez sur Importer un certificat. Le certificat est ajouté à Firebox. Utiliser un certificat de serveur Web pour l’authentification Pour utiliser un certificat tiers à cet effet, vous devez commencer par importer le certificat. Consultez la procédure précédente pour en savoir plus. Si vous utilisez un certificat personnalisé signé par Firebox, nous vous recommandons d’exporter le certificat, puis de l’importer sur chaque périphérique client qui se connecte à Firebox. 1. Sélectionnez Authentification > Certificat de serveur Web. La page Certificat du serveur Web d’authentification s’ouvre. 2. Pour utiliser un certificat tiers préalablement importé, sélectionnez Certificat tiers et sélectionnez le certificat souhaité dans la liste déroulante. Cliquez sur Enregistrer et ne vous occupez pas des autres étapes de cette procédure. 3. Pour créer un nouveau certificat pour l’authentification de Firebox, sélectionnez Certificat personnalisé signé par Firebox. 4. Entrez le nom de domaine ou l’adresse IP d’une interface de votre Firebox dans la zone de texte en bas de la boîte de dialogue. Cliquez sur Ajouter. Lorsque vous avez entré tous les noms de domaine souhaités, cliquez sur OK. 5. Entrez le nom commun de votre organisation. Il s’agit habituellement de votre nom de domaine. Vous pouvez aussi entrer un nom d’organisation et un nom d’unité d’organisation (tous deux facultatifs) pour identifier l’élément de votre organisation qui a créé le certificat. 6. Cliquez sur Enregistrer. Créer une demande de signature de certificat à l’aide d’OpenSSL Pour créer un certificat, vous devez d’abord créer une demande de signature de certificat. Vous pouvez envoyer votre demande à une autorité de certification, ou l’utiliser pour créer un certificat autosigné. Utiliser OpenSSL pour générer une demande de signature de certificat OpenSSL est installé avec un maximum de distributions GNU/Linux. Pour télécharger le code source ou un fichier binaire Windows, accédez au site http://www.openssl.org/ et suivez les consignes d’installation pour votre système d’exploitation. Vous pouvez utiliser OpenSSL pour convertir des certificats et des demandes de signature de certificat d’un format à un autre. Pour plus d’informations, voir la page principale ou la documentation en ligne OpenSSL. 1. Ouvrez un terminal de Command Line Interface. 2. Pour générer un fichier de clé privée nommé privkey.pem dans votre répertoire de travail actuel, entrez : openssl genrsa -out privkey.pem 1024 Guide de l’utilisateur 405 Certificats et autorité de certification 3. Entrez : openssl req -new -key privkey.pem -out request.csr Cette commande génère une demande de signature de certificat au format PEM dans votre répertoire de travail actuel. 4. Lorsque vous êtes invité à fournir les données d’attribut Nom commun x509, tapez votre nom de domaine complet (FQDN). Utilisez d’autres informations, le cas échéant. 5. Suivez les instructions provenant de votre autorité de certification pour envoyer la demande de signature de certificat. Pour créer un certificat autosigné temporaire en attendant que l’autorité de certification retourne votre certificat signé : 1. Ouvrez un terminal de Command Line Interface. 2. Entrez : openssl x509 -req -days 30 -in request.csr -key privkey.pem -out sscert.cert Cette commande crée au sein de votre répertoire actuel un certificat qui expirera dans 30 jours ; il est généré à partir de la clé privée et de la demande de signature que vous avez créée dans la procédure précédente. Note Vous ne pouvez pas utiliser un certificat autosigné pour l’authentification de passerelle distante VPN. Il est conseillé d’utiliser des certificats signés par une autorité de certification approuvée. Signer un certificat avec l’autorité de certification Microsoft Bien que vous puissiez créer un certificat autosigné à l’aide de Firebox System Manager ou d’autres outils, vous pouvez également créer un certificat à l’aide de l’autorité de certification Microsoft. Chaque demande de signatures de certificat doit être signée par une autorité de certification pour pouvoir être utilisée pour l’authentification. En créant un certificat à partir de cette procédure, vous agissez en tant qu’autorité de certification et signez numériquement votre propre demande de signature. Cependant, pour des raisons de compatibilité, il est conseillé d’envoyer la demande de signature de certificat à une autorité de certification connue. Les certificats racine de ces organisations sont installés par défaut avec la plupart des navigateurs et des périphériques WatchGuard. Par conséquent, vous n’aurez pas à les distribuer vous-même. La plupart des systèmes d’exploitation Windows Server vous permettent de remplir une demande de signature de certificat et de créer un certificat. Les instructions suivantes sont conçues pour Windows Server 2003. Envoyer la demande de certificat 1. Ouvrez votre navigateur Web. Dans la barre d’adresses, entrez l’adresse IP du serveur sur lequel est installée l’autorité de certification, suivie de certsrv . Par exemple : http://10.0.2.80/certsrv 2. Cliquez sur le lien Demander un certificat. 3. Cliquez sur le lien Demande de certificat avancée. 4. Cliquez sur Soumettre une demande de certificat ou de renouvellement. 406 WatchGuard System Manager Certificats et autorité de certification 5. Collez le contenu de votre fichier de demande de signature de certificat dans la zone de texte Demande enregistrée. 6. Cliquez sur OK. 7. Fermez votre navigateur Web. Délivrer le certificat 1. Connectez-vous au serveur sur lequel est installée l’autorité de certification, si nécessaire. 2. Sélectionnez Démarrer > Panneau de configuration > Outils d’administration > Autorité de certification. 3. Dans l’arborescence Autorité de certification (locale), sélectionnez Votre nom de domaine > Demandes en attente. 4. Sélectionnez la demande de signature de certificat dans le volet de navigation de droite. 5. Dans le menu Action, sélectionnez Toutes les tâches > Délivrer. 6. Fermez la fenêtre de l’autorité de certification. Télécharger le certificat 1. Ouvrez votre navigateur Web. Dans la barre d’adresses, entrez l’adresse IP du serveur sur lequel est installée l’autorité de certification, suivie de certsrv. Exemple : http://10.0.2.80/certsrv 2. Cliquez sur le lien Afficher le statut d’une requête de certificat en attente. 3. Cliquez sur la demande de certificat correspondant à la date et à l’heure de votre envoi. 4. Activez la case d’option Codé en base 64 pour sélectionner le format PKCS10 ou PKCS7. 5. Cliquez sur Télécharger le certificat pour enregistrer le certificat sur votre disque dur. L’autorité de certification est distribuée sous la forme d’un composant de Windows Server 2003. Si elle ne figure pas dans le dossier Outils d’administration du Panneau de configuration, suivez les instructions du fabricant pour l’installer. Utiliser des certificats pour le proxy HTTPS De nombreux sites Web utilisent des protocoles HTTP et HTTPS en parallèle pour envoyer des informations aux utilisateurs. Si l’on peut facilement examiner le trafic HTTP, le trafic HTTPS est chiffré. Pour examiner le trafic HTTPS demandé par un utilisateur de votre réseau, vous devez configurer Firebox de sorte qu’il déchiffre l’information, puis le chiffre à l’aide d’un certificat signé par une autorité de certification approuvée par chaque utilisateur du réseau. Par défaut, Firebox chiffre à nouveau le contenu inspecté à l’aide d’un certificat autosigné qui est généré automatiquement. Un avertissement concernant le certificat s’affiche chez les utilisateurs qui n’ont pas de copie de ce certificat lorsqu’ils se connectent à un site Web sécurisé à partir de HTTPS. Si le site Web distant utilise un certificat périmé, ou si le certificat est signé par une autorité de certification que Firebox ne reconnaît pas, le périphérique signe à nouveau le contenu en tant que proxy HTTPS Fireware : Certificat non reconnu ou simplement Certificat non valide. Cette section comprend des informations sur la manière d’exporter un certificat à partir de Firebox et de l’importer sur un système Microsoft Windows ou Mac OS X afin de fonctionner sur un proxy HTTPS. Pour importer le certificat sur d’autres périphériques, systèmes d’exploitation ou applications, voir la documentation fournie par leurs fabricants. Guide de l’utilisateur 407 Certificats et autorité de certification Protéger un serveur HTTPS privé Pour protéger un serveur HTTPS de votre réseau, vous devez tout d’abord importer le certificat d’autorité de certification utilisé pour signer le certificat du serveur HTTPS. Ensuite, importez le certificat du serveur HTTPS avec la clé privée associée. Si le certificat d’autorité de certification utilisé pour signer le certificat de serveur HTTPS n’est pas automatiquement approuvé, vous devez importer chaque certificat approuvé dans l’ordre pour que cette option fonctionne correctement. Une fois tous les certificats importés, configurez le proxy HTTPS. Dans Fireware XTM Web UI : 1. Sélectionnez Pare-feu > Stratégies de pare-feu. La page Stratégies de pare-feu s’affiche. 2. Cliquez sur Ajouter. La page Sélectionner un type de stratégie s’affiche. 3. 4. 5. 6. 7. 8. 9. 10. Développez la catégorie Proxys et sélectionnez HTTPS-proxy. Cliquez sur Ajouter une stratégie. Sélectionnez l’onglet Contenu. Activez la case à cocher Activer l’inspection avancée du contenu HTTPS. Choisissez l’action de proxy HTTP à utiliser pour inspecter le contenu HTTPS. Désactivez les deux cases à cocher concernant la validation de l’OSCP. Dans la liste Ignorer, entrez l’adresse IP des sites Web dont vous ne souhaitez pas inspecter le trafic. Cliquez sur Enregistrer. Pour de plus amples informations, cf. Afficher et gérer les certificats FireboxAfficher et gérer les certificats Firebox à la page 403. Examiner le contenu des serveurs HTTPS externes Note Si d’autres trafics utilisent le port HTTPS, comme le trafic VPN SSL, nous vous recommandons d’évaluer attentivement la fonctionnalité d’inspection du contenu. Le proxy HTTPS essaie d’examiner tous les trafics transitant par le port TCP 443 de la même manière. Pour garantir le bon fonctionnement des autres sources de trafic, nous vous recommandons d’ajouter leurs adresses IP dans la liste Ignorer. Pour de plus amples informations, cf. Proxy HTTPS : Inspection du contenuProxy HTTPS : Contenu à la page 309. Si votre organisation possède déjà une infrastructure à clé publique (PKI) configurée avec une autorité de certification approuvée, vous pouvez importer dans Firebox un certificat signé par l’autorité de certification de votre organisation. Si le certificat d’autorité de certification n’est pas automatiquement approuvé, vous devez importer chaque certificat le précédant dans la chaîne de confiance pour que cette option fonctionne correctement. Pour de plus amples informations, cf. Afficher et gérer les certificats FireboxAfficher et gérer les certificats Firebox à la page 403. Avant d’activer cette fonctionnalité, nous vous recommandons de fournir le ou les certificats utilisés pour signer le trafic HTTPS à tous les clients de votre réseau. Vous pouvez joindre les certificats à un courrier 408 WatchGuard System Manager Certificats et autorité de certification électronique d’instructions ou utiliser le logiciel de gestion de réseau pour installer automatiquement les certificats. Nous vous recommandons également de tester le proxy HTTPS pour un petit nombre d’utilisateurs afin de vous assurer qu’il fonctionne correctement avant d’appliquer le proxy au trafic d’un réseau plus important. Si votre organisation ne dispose pas d’une infrastructure à clé publique, vous devez copier le certificat par défaut ou un certificat autosigné personnalisé dans Firebox pour chaque périphérique client. Dans Fireware XTM Web UI : 1. Sélectionnez Pare-feu > Stratégies de pare-feu. La page Stratégies de pare-feu s’affiche. 2. Cliquez sur Ajouter. La page Sélectionner un type de stratégie s’affiche. 3. 4. 5. 6. 7. 8. 9. 10. Développez la catégorie Proxys et sélectionnez HTTPS-proxy. Cliquez sur Ajouter une stratégie. Sélectionnez l’onglet Contenu. Activez la case à cocher Activer l’inspection avancée du contenu HTTPS. Choisissez l’action de proxy HTTP à utiliser pour inspecter le contenu HTTPS. Sélectionnez les options souhaitées pour la validation du certificat OCSP. Dans la liste Ignorer, entrez l’adresse IP des sites Web dont vous ne souhaitez pas inspecter le trafic. Cliquez sur Enregistrer. Lorsque vous activez l’inspection de contenu, les paramètres WebBlocker concernant les actions de proxy HTTP annulent les paramètres WebBlocker pour le proxy HTTPS. Si vous ajoutez des adresses IP à la liste Ignorer, le trafic de ces sites est filtré par les paramètres WebBlocker du proxy HTTPS. Pour plus d’informations sur la configuration de WebBlocker, voir À propos de WebBlocker à la page 577. Exporter le certificat d’inspection de contenu de HTTPS Cette procédure permet d’exporter un certificat de Firebox au format PEM. 1. Ouvrez Firebox System Manager et connectez-vous à Firebox. 2. Sélectionnez Afficher > Certificats. 3. Sélectionnez le certificat d’autorité de certification de l’autorité de proxy HTTPS dans la liste et cliquez sur Exporter. 4. Entrez un nom et spécifiez l’emplacement de destination de l’enregistrement local du certificat. 5. Copiez le certificat enregistré sur la machine cliente. Si le certificat de proxy HTTPS utilisé pour l’inspection de contenu requiert un autre certificat racine ou intermédiaire d’autorité de certification avant de pouvoir être approuvé par les clients réseau, vous devez également exporter ces certificats. Vous pouvez aussi copier les certificats depuis leur source d’origine pour les distribuer. Si vous avez déjà importé le certificat sur un client, vous pouvez exporter ce certificat directement depuis le magasin de certificats du système d’exploitation ou du navigateur. Dans la plupart des cas, cela exporte le certificat au format x.509. Les utilisateurs de Windows et de Mac OS X peuvent double-cliquer sur un certificat au format x.509 pour l’importer. Guide de l’utilisateur 409 Certificats et autorité de certification Importer les certificats sur les périphériques clients Pour utiliser les certificats que vous avez installés dans Firebox sur les périphériques clients, vous devez les exporter depuis FSM, puis les importer sur chaque client. Pour de plus amples informations, cf. Importer un certificat sur un périphérique client à la page 414. Dépanner les problèmes de l’inspection de contenu HTTPS Firebox crée souvent des messages de journaux en cas de problème avec un certificat utilisé pour l’inspection de contenu HTTPS. Nous vous recommandons de consulter ces messages de journaux pour obtenir de plus amples informations. Si les connexions aux serveurs Web distants sont fréquemment interrompues, vérifiez que vous avez bien importé tous les certificats nécessaires pour approuver le certificat d’autorité de certification utilisé pour chiffrer à nouveau le contenu HTTPS, ainsi que les certificats nécessaires pour approuver le certificat du serveur Web d’origine. Vous devez importer tous ces certificats dans Firebox et sur chaque périphérique client pour que les connexions s’établissent. Utiliser des certificats pour un tunnel Mobile VPN with IPSec authentification Lorsqu’un tunnel Mobile VPN est créé, l’identité de chaque point de terminaison doit être vérifiée par une clé. Cette clé peut être un mot de passe ou une clé pré-partagée (PSK) connu(e) par les deux points de terminaison, ou un certificat de Management Server. Le périphérique WatchGuard doit être un client géré afin d’utiliser un certificat pour l’authentification Mobile VPN. Vous devez utiliser le gestionnaire WatchGuard System Manager pour configurer votre périphérique WatchGuard en tant que client géré. Pour plus d’informations, voir l’Aide du gestionnaire WatchGuard System Manager. Pour utiliser des certificats pour un nouveau tunnel Mobile VPN with IPSec : 1. 2. 3. 4. 5. Sélectionnez VPN > Mobile VPN with IPSec. Cliquez sur Ajouter. Cliquez sur l’onglet Tunnel IPSec. Dans la section Tunnel IPSec, sélectionnez Utiliser un certificat. Dans la zone de texte Adresse IP de l’autorité de certification, entrez l’adresse IP de Management Server. 6. Dans la zone de texte Délai d’inactivité, entrez ou sélectionnez le délai en secondes pendant lequel le client Mobile VPN with IPSec doit attendre une réponse de l’autorité de certification avant de cesser ses tentatives de connexion. Il est conseillé de conserver la valeur par défaut. 7. Terminez la configuration du groupe Mobile VPN. Pour plus d’informations, voir Configurer Firebox pour Mobile VPN with IPSec à la page 500. Pour utiliser des certificats pour l’authentification d’un tunnel Mobile VPN existant : 1. Sélectionnez VPN > Mobile VPN with IPSec. 2. Sélectionnez le groupe Mobile VPN que vous souhaitez modifier. Cliquez sur Modifier. 3. Cliquez sur l’onglet Tunnel IPSec. 410 WatchGuard System Manager Certificats et autorité de certification 4. Dans la section Tunnel IPSec, sélectionnez Utiliser un certificat. 5. Dans la zone de texte Adresse IP de l’autorité de certification, entrez l’adresse IP de Management Server. 6. Dans la zone de texte Délai d’inactivité, entrez ou sélectionnez le délai en secondes pendant lequel le client Mobile VPN with IPSec doit attendre une réponse de l’autorité de certification avant de cesser ses tentatives de connexion. Il est conseillé de conserver la valeur par défaut. 7. Cliquez sur Enregistrer. Lorsque vous utilisez des certificats, vous devez donner trois fichiers à chaque utilisateur de Mobile VPN : n n n Le profil de l’utilisateur final (.wgx) Le certificat client (.p12) Le certificat racine de l’autorité de certification (.pem) Copiez tous les fichiers dans le même répertoire. Lorsqu’un utilisateur de Mobile VPN importe le fichier .wgx, les certificats client et racine contenus dans les fichiers cacert.pem et .p12 sont automatiquement chargés. Pour plus d’informationssur Mobile VPN withIPSec, voir À proposde MobileVPN withIPSec IPSec à lapage 497. Utiliser un certificat pour l’authentification d’accès au tunnel BOVPN Lorsqu’un tunnel BOVPN est créé, le protocole IPSec contrôle l’identité de chaque point de terminaison à l’aide d’une clé pré-partagée (PSK) ou d’un certificat importé ou stocké sur Firebox. Pour utiliser un certificat pour l’authentification d’accès au tunnel BOVPN : 1. Sélectionnez VPN > Branch Office VPN. 2. Dans la section Passerelles, cliquez surAjouter pour créer une nouvelle passerelle. Sinon, sélectionnez une passerelle existante et cliquez sur Modifier. 3. Sélectionnez Utiliser le Firebox Certificate IPSec. 4. Sélectionnez le certificat que vous souhaitez utiliser. 5. Définissez d’autres paramètres si nécessaire. 6. Cliquez sur Enregistrer. Si vous utilisez un certificat pour l’authentification BOVPN : n n n n Vous devez d’abord importer le certificat. Pour plus d’informations, voir Afficher et gérer les certificats Firebox à la page 403. Firebox System Manager doit reconnaître le certificat comme certificat de type IPSec. Vérifiez que les certificats des périphériques situés à chaque point de terminaison de passerelle utilisent le même algorithme (à savoir DSS ou RSA). L’algorithme des certificats est affiché dans le tableau sur la page Passerelle. En l’absence d’un certificat tiers ou autosigné, vous devez utiliser l’autorité de certification sur un serveur WatchGuard Management Server. Vérifier le certificat avec FSM 1. Sélectionnez Système > Certificats. La page Certificats s’ouvre. Guide de l’utilisateur 411 Certificats et autorité de certification 2. Dans la colonne Type, assurez-vous que IPSec ou IPSec/Web apparaît. Vérifier les certificats VPN à partir d’un serveur LDAP Si vous y avez accès, le serveur LDAP vous permet de vérifier automatiquement les certificats utilisés pour l’authentification VPN. Vous devez avoir les informations de compte LDAP fournies par un service d’autorité de certification tiers pour utiliser cette fonctionnalité. 1. Sélectionnez VPN > Paramètres globaux. La page Paramètres VPN globaux s’affiche. 2. 3. 4. 5. Activez la case à cocher Activer le serveur LDAP pour la vérification de certificats. Dans la zone de texte Serveur, entrez le nom ou l’adresse du serveur LDAP. (Facultatif) Entrez le numéro de Port. Cliquez sur Enregistrer. Firebox vérifie la CRL stockée sur le serveur LDAP lorsque l’authentification de tunnel est demandée. Configurer le certificat de serveur Web pour Firebox authentification Lorsque les utilisateurs se connectent à votre périphérique WatchGuard depuis un navigateur Web, un avertissement de sécurité s’affiche fréquemment. Cet avertissement se produit parce que le certificat par défaut n’est pas approuvé ou que le certificat ne correspond pas à l’adresse IP ou au nom de domaine utilisé pour l’authentification. Si vous possédez Fireware XTM avec une mise à niveau Pro, vous pouvez utiliser un certificat tiers ou autosigné qui correspond à l’IP ou au nom de domaine utilisé(e) pour l’authentification des utilisateurs. Vous devez importer ce certificat sur chaque périphérique ou navigateur client pour éviter les avertissements de sécurité. Pour configurer le certificat de serveur Web pour l’authentification de Firebox : 1. Sélectionnez Authentification > Certificat de serveur Web. 412 WatchGuard System Manager Certificats et autorité de certification 2. Pour utiliser le certificat par défaut, sélectionnez Certificat par défaut signé par Firebox et passez à la dernière étape de la procédure. 3. Pour utiliser un certificat importé précédemment, sélectionnez Certificat tiers. 4. Sélectionnez un certificat dans la liste déroulante adjacente et passez à la dernière étape de la procédure. Ce certificat doit être reconnu en tant que certificat Web. Guide de l’utilisateur 413 Certificats et autorité de certification 5. Si vous souhaitez créer un certificat personnalisé signé par Firebox, sélectionnez Certificat personnalisé signé par Firebox. 6. Entrez le nom commun de votre organisation. Il s’agit habituellement de votre nom de domaine. (Facultatif) Vous pouvez aussi entrer un nom d’organisation et un nom d’unité d’organisation pour identifier l’élément de votre organisation qui a créé le certificat. 7. Pour créer d’autres noms de sujet ou des adresses IP d’interface pour les adresses IP sur lesquelles il est prévu d’utiliser le certificat, entrez un nom de domaine. 8. Cliquez sur le bouton Ajouter en regard de la zone de texte pour ajouter chaque entrée 9. Répétez les étapes 7 et 8 pour ajouter d’autres noms de domaine. 10. Cliquez sur Enregistrer. Importer un certificat sur un périphérique client Lorsque vous configurez Firebox de sorte qu’il utilise un certificat tiers ou personnalisé à des fins d’authentification ou d’inspection de contenu HTTPS, vous devez importer ce certificat sur chaque client de votre réseau pour éviter les avertissements de sécurité. Cela permet à des services tels que Windows Update de fonctionner correctement. Note Si vous utilisez habituellement le Fireware XTM Web UI, vous devez installer Firebox System Manager avant de pouvoir exporter des certificats. Importer un certificat au format PEM sous Windows XP Ce processus permet à Internet Explorer, Windows Update et d’autres programmes ou services qui utilisent le magasin de certificats de Windows sur Microsoft Windows XP d’avoir accès au certificat. 1. Dans le menu Démarrer de Windows, sélectionnez Exécuter. 2. Entrez mmc et cliquez sur OK. Une console de gestion Windows s’ouvre. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Sélectionnez Fichier > Ajouter/supprimer un composant logiciel enfichable. Cliquez sur Ajouter. Sélectionnez Certificats, puis cliquez sur Ajouter. Sélectionnez Le compte de l’ordinateur et cliquez sur Suivant. Cliquez sur Terminer, Fermer et OK pour ajouter le module de certificats. Dans la fenêtre Racine de la console, cliquez sur le signe + pour développer l’arborescence Certificats. Développez l’objet Autorités de certification racines de confiance. Sous l’objet Autorités de certification racines de confiance, cliquez avec le bouton droit sur Certificats et sélectionnez Toutes les tâches > Importer. Cliquez sur Suivant. Cliquez sur Parcourir pour localiser et sélectionner le certificat d’autorité de certification de l’autorité de proxy HTTPS que vous avez précédemment exporté. Cliquez sur OK. Cliquez sur Suivant, puis cliquez sur Terminer pour terminer l’Assistant. Importer un certificat au format PEM sous Windows Vista Ce processus permet à Internet Explorer, Windows Update et d’autres programmes ou services qui utilisent le magasin de certificats de Microsoft Windows Vista d’avoir accès au certificat. 414 WatchGuard System Manager Certificats et autorité de certification 1. Dans le menu Démarrer de Windows, entrez certmgr.msc dans la zone de texte Rechercher et appuyez sur Entrée. S’il vous est demandé de vous authentifier en tant qu’administrateur, entrez votre mot de passe ou confirmez votre accès. 2. Sélectionnez l’objet Autorités de certification racines de confiance. 3. Dans le menu Action, sélectionnez Toutes les tâches > Importer. 4. Cliquez sur Suivant. Cliquez sur Parcourir pour localiser et sélectionner le certificat d’autorité de certification de l’autorité de proxy HTTPS que vous avez précédemment exporté. Cliquez sur OK. 5. Cliquez sur Suivant, puis cliquez sur Terminer pour terminer l’Assistant. Importer un certificat au format PEM dans Mozilla Firefox 3.x Mozilla Firefox utilise un magasin de certificats privé en lieu et place de celui du système d’exploitation. Si des clients de votre réseau utilisent un navigateur Firefox, vous devez importer le certificat dans le magasin de Firefox, même si vous avez déjà importé le certificat dans le système d’exploitation hôte. Lorsque plusieurs périphériques Firebox utilisent un certificat autosigné pour l’inspection de contenu HTTPS, les clients de votre réseau doivent importer une copie de chaque Firebox certificate. Toutefois, les certificats Firebox autosignés par défaut utilisent tous le même nom, et Mozilla Firefox ne reconnaît que le premier certificat importé quand ils sont plusieurs à porter le même nom. Nous vous recommandons de remplacer les certificats autosignés par défaut par un certificat signé par une autre autorité de certification, puis de distribuer ces certificats d’autorité de certification à chaque client. 1. Dans Firefox, sélectionnez Outils > Options. La boîte de dialogue Options s’affiche. 2. Cliquez sur l’icône Avancé. 3. Sélectionnez l’onglet Chiffrement, puis cliquez sur Afficher les certificats. La boîte de dialogue Gestionnaire de certificats s’ouvre. 4. Sélectionnez l’onglet Autorités, puis cliquez sur Importer. 5. Cliquez sur Parcourir pour sélectionner le fichier de certificat, puis sur Ouvrir. 6. Dans la boîte de dialogue Téléchargement du certificat, activez la case à cocher Faire confiance à cette autorité de certification pour identifier les sites Web. Cliquez sur OK. 7. Cliquez sur OK à deux reprises pour fermer les boîtes de dialogue Gestionnaire de certificats et Options . 8. Redémarrez Mozilla Firefox. Importer un certificat au format PEM sous Mac OS X 10.5 Ce processus permet à Safari et à d’autres programmes ou services qui utilisent le magasin de certificats de Mac OS X d’avoir accès au certificat. 1. 2. 3. 4. Ouvrez l’application Trousseau d’accès. Sélectionnez la catégorie Certificats. Cliquez sur le signe + dans la barre d’outils inférieure, puis localisez et sélectionnez le certificat. Sélectionnez le trousseau Système, puis cliquez sur Ouvrir. Vous pouvez également sélectionner le trousseau Système, puis glisser et déposer le fichier de certificat dans la liste. 5. Cliquez avec le bouton droit sur le certificat et sélectionnez Infos. Une fenêtre d’informations sur le certificat s’ouvre. 6. Développez la catégorie Approuver. 7. Dans la liste déroulante Lors de l’utilisation de ce certificat, sélectionnez Toujours approuver. Guide de l’utilisateur 415 Certificats et autorité de certification 8. Fermez la fenêtre d’informations sur le certificat. 9. Entrez votre mot de passe d’administrateur pour confirmer les modifications. 416 WatchGuard System Manager 19 Réseaux Privés Virtuel (VPN) Introduction aux VPN Pour déplacer des données en toute sécurité entre deux réseaux privés via un réseau non protégé, comme Internet, vous pouvez créer un réseau privé virtuel (VPN). Vous pouvez également utiliser un VPN pour établir une connexion sécurisée entre un hôte et un réseau. Les réseaux et les hôtes aux points de terminaison d’un tunnel VPN peuvent être des sièges sociaux, des succursales ou des utilisateurs distants. Les VPN utilisent le chiffrement pour sécuriser les données et l’authentification pour identifier l’expéditeur et le destinataire des données. Si les informations d’authentification sont correctes, les données sont déchiffrées. Seuls l’expéditeur et le destinataire du message peuvent lire les données envoyées par le biais du VPN. Un tunnel VPN est le chemin virtuel entre deux réseaux privés du VPN. Nous appelons cet itinéraire un tunnel car un protocole de mise en tunnel comme IPSec, SSL ou PPTP est utilisé pour envoyer les paquets de données de façon sécurisée. Une passerelle ou un ordinateur qui utilise un VPN se sert de ce tunnel pour envoyer des paquets de données par Internet, réseau public, vers des adresses IP privées derrière une passerelle VPN. VPN pour succursale Un VPN pour succursale Branch Office VPN (BOVPN) est une connexion chiffrée entre deux périphériques matériels dédiés. On l’utilise la plupart du temps pour garantir la sécurisation des communications réseau entre les réseaux de deux succursales. WatchGuard propose deux méthodes pour configurer un BOVPN : Réseau BOVPN manuel Vous pouvez utiliser Policy Manager ou Fireware XTM Web UI pour configurer manuellement un réseau BOVPN entre deux périphériques qui prennent en charge les protocoles VPN IPSec. Pour plus d’informations, voir À propos des tunnels BOVPN manuels à la page 430. Guide de l’utilisateur 417 Réseaux Privés Virtuel (VPN) Réseau BOVPN géré Vous pouvez utiliser WatchGuard System Manager pour configurer un réseau BOVPN entre deux périphériques WatchGuard gérés. Pour de plus amples informations, reportez-vous au Guide de l’utilisateur de WatchGuard System Manager ou au système d’aide en ligne. Tous les réseaux BOVPN WatchGuard utilisent la suite du protocole IPSec pour sécuriser le tunnel BOVPN. Pour de plus amples informations sur les VPN IPSec, cf. À propos des VPN IPSec à la page 418. Mobile VPN Un Mobile VPN est une connexion chiffrée entre un périphérique matériel dédié et un ordinateur portable ou de bureau. Un Mobile VPN permet à vos employés qui télétravaillent et voyagent de se connecter en toute sécurité à votre réseau d’entreprise. WatchGuard prend en charge trois types de Mobile VPN : n n n Mobile VPN with IPSec Mobile VPN with PPTP Mobile VPN with SSL Pour consulter une comparaison de ces solutions Mobile VPN, cf. Sélectionner un Mobile VPN à la page 424. À propos des VPN IPSec WatchGuard Branch Office VPN et Mobile VPN with IPSec utilisent tous les deux la suite de protocole IPSec pour l’établissement de connexions VPN entre périphériques ou utilisateurs mobiles. Avant de configurer un VPN IPSec, en particulier si vous configurez un tunnel BOVPN manuel, il est utile de comprendre le fonctionnement des VPN IPSec. Pour de plus amples informations, cf. : n n n À propos des algorithmes IPSec et des protocoles À propos des négociations VPN IPSec Configurer les paramètres de phase 1 et 2 À propos des algorithmes IPSec et des protocoles IPSec est un ensemble de services cryptographiques et de protocoles de sécurité qui protègent les communications entre les périphériques qui envoient du trafic par l’intermédiaire d’un réseau non approuvé. Étant donné que IPSec a été conçu sur la base d’un ensemble de protocoles et d’algorithmes bien connus, vous pouvez créer un VPN IPSec entre un périphérique WatchGuard et d’autres périphériques qui prennent en charge ces protocoles standard. Les protocoles et les algorithmes utilisés par IPSec sont abordés dans les rubriques suivantes. Algorithmes de chiffrement Les algorithmes de chiffrement protègent les données afin qu’elles ne puissent être lues par un tiers lors de leur transfert. Fireware XTM prend en charge trois algorithmes de chiffrement : 418 WatchGuard System Manager Réseaux Privés Virtuel (VPN) n n n DES (norme de chiffrement de données) — Utilise une clé de chiffrement de 56 bits. Il s’agit du plus faible des trois algorithmes. 3DES (Triple DES) — Un algorithme de chiffrement basé sur la norme DES qui utilise la norme DES pour chiffrer trois fois des données. AES (norme de chiffrement avancée) — L’algorithme de chiffrement le plus puissant disponible. Fireware XTM peut utiliser des clés de chiffrement AES des longueurs suivantes : 128, 192, ou 256 bits. Algorithmes d’authentification Les algorithmes d’authentification vérifient l’intégrité des données et l’authenticité d’un message. Fireware XTM prend en charge deux algorithmes d’authentification : n n HMAC-SHA1 (code d’authentification de message de hachage — Secure Hash Algorithm 1) — SHA-1 produit un prétraitement de message de 160 bits (20 octets). Bien qu’il soit plus lent que le MD5, ce prétraitement plus grand offre plus de résistance aux attaques en force. HMAC-MD5 (code d’authentification de message de hachage — Algorithme de prétraitement de message 5) — MD5 produit un prétraitement de message de 128 bits (16 octets). Il est ainsi plus rapide que SHA-1. Protocole IKE Défini dans RFC2409, IKE (échange de clé Internet) est un protocole utilisé pour la négociation des associations de sécurité pour IPSec. Ces associations de sécurité établissent des secrets de session partagée à partir desquels des clés sont dérivées pour le chiffrement de données mises en tunnel. IKE est également utilisé pour authentifier les deux pairs IPSec. Algorithme d’échange de clé Diffie-Hellman L’algorithme d’échange de clé Diffie-Hellman (DH) est une méthode utilisée pour créer une clé de chiffrement partagée accessible à deux entités sans échange de la clé. La clé de chiffrement pour les deux périphériques est utilisée comme clé symétrique pour le chiffrement de données. Seules les deux parties impliquées dans l’échange de clé DH peuvent déduire la clé partagée, et la clé n’est jamais transférée. Un groupe de clé Diffie-Hellman est un groupe de nombres entiers utilisé pour l’échange de clé DiffieHellman. Fireware XTM peut utiliser les groupes DH 1, 2 et 5. Les nombres de groupes les plus élevés offrent un niveau de sécurité supérieur. Pour plus d’informations, voir À propos des groupes Diffie-Hellman à la page 441. AH Défini dans RFC 2402, l’en-tête d’authentification (AH) est un protocole que vous pouvez utiliser lors des négociations VPN de phase 2 en BOVPN manuel. Pour permettre la sécurisation, AH ajoute des informations d’authentification au datagramme IP. La plupart des tunnels VPN n’utilisent pas le protocole AH car il ne propose pas le chiffrement. Guide de l’utilisateur 419 Réseaux Privés Virtuel (VPN) ESP Définie dans RFC 2406, la charge utile de sécurité par encapsulage (ESP) permet l’authentification et le chiffrement des données. Le protocole ESP prend la charge utile d’un paquet de données et la remplace par des données chiffrées. Il ajoute des vérifications d’intégrité pour s’assurer que les données ne soient pas modifiées au cours du transfert, et que les données proviennent de la bonne source. Nous vous recommandons d’utiliser l’ESP pour les négociations de phase 2 BOVPN car l’ESP offre plus de sécurité que l’AH. Mobile VPN with IPSec utilise toujours l’ESP. À propos des négociations VPN IPSec Les périphériques situés aux extrémités d’un tunnel VPN IPSec sont des pairs IPSec. Lorsque deux pairs IPSec veulent créer une connexion VPN entre eux, ils échangent une série de messages relatifs au chiffrement et à l’authentification, et tentent de s’accorder sur toute une série de paramètres différents. Ce processus est connu sous le nom de négociations VPN. Un périphérique dans la séquence de négociation est l’initiateur et l’autre le répondeur. Les négociations VPN fonctionnent selon deux phases distinctes : La phase 1 et la phase 2. Phase 1 L’objectif principal de la phase 1 est la mise en place d’un canal chiffré sécurisé par l’intermédiaire duquel deux pairs peuvent négocier la phase 2. Lorsque la phase 1 se termine avec succès, les pairs passent rapidement aux négociations de phase 2. Si la phase 1 échoue, les périphériques ne peuvent entamer la phase 2. Phase 2 L’objectif des négociations de phase 2 est que les deux pairs s’accordent sur un ensemble de paramètres qui définissent le type de trafic pouvant passer par le VPN et sur la manière de chiffrer et d’authentifier le trafic. Cet accord s’appelle une association de sécurité. Les configurations de phase 1 et 2 doivent correspondre pour les périphériques situés aux extrémités du tunnel. Négociations de phase 1 Dans les négociations de phase 1, les deux pairs échangent des informations d’identification. Les périphériques se reconnaissent et négocient pour définir un ensemble commun de paramètres de phase 1 à utiliser. Lorsque les négociations de phase 1 sont terminées, les deux pairs disposent d’une association de sécurité (SA) de phase 1. Cette SA est valable pour un certain laps de temps. Après l’expiration de la SA de phase 1, si les deux pairs doivent terminer à nouveau les négociations de phase 2, ils doivent aussi reprendre les négociations de phase 1. Les négociations de phase 1 comprennent les étapes suivantes : 1. Les périphériques échangent des informations d’identification. 420 WatchGuard System Manager Réseaux Privés Virtuel (VPN) Les informations d’identification peuvent être un certificat ou des clés pré-partagées. Les deux points de terminaison de la passerelle doivent utiliser la même méthode d’informations d’identification. Si l’un des pairs utilise une clé pré-partagée, l’autre pair doit aussi utiliser une clé pré-partagée. Les deux clés doivent correspondre. Si l’un des pairs utilise un certificat, l’autre pair doit aussi utiliser un certificat. 2. Les périphériques se reconnaissent. Chaque périphérique fournit un identificateur de phase 1, qui peut être une adresse IP , un nom de domaine, des informations de domaine ou un nom X500. La configuration VPN de chacun des pairs contient l’identificateur de phase 1 du périphérique local et à distance. Les configurations doivent correspondre. 3. Les pairs décident d’utiliser le mode principal ou le mode agressif. Les négociations de phase 1 peuvent utiliser l’un des deux modes différents : le mode principal ou le mode agressif. Le périphérique qui lance les négociations IKE (l’initiateur) envoie soit une proposition de mode normal ou une proposition de mode agressif. Le répondeur peut rejeter la proposition s’il n’est pas configuré pour utiliser ce mode. Les communications en mode agressif sont effectuées via un nombre réduit d’échanges de paquets. Le mode agressif, pour sa part, est moins sécurisé mais y gagne en rapidité par rapport au mode principal. 4. Les pairs s’accordent sur les paramètres de phase 1. n n n Ils optent pour l’emploi du parcours NAT ou pour l’envoi de messages de conservation d’activité IKE (uniquement prise en charge entre des périphériques WatchGuard) ouencore pour la détectionDPD (DeadPeer Detection)(détection de pair déconnecté)(RFC 3706) 5. Les pairs s’accordent sur les paramètres de transformation de phase 1. Les paramètres de transformation comportent un ensemble de paramètres d’authentification et de chiffrement, ainsi que le laps de temps maximal pour la SA de phase 1. Les paramètres de transformation de phase 1 doivent correspondre exactement à une transformation de phase 1 sur le pair IKE. À défaut, les négociations IKE échouent. Les éléments que vous pouvez définir dans les transformations sont les suivants : n n n n Authentification — Le type d’authentification (SHA1 ou MD5). Chiffrement — Le type d’algorithme de chiffrement (DES, 3DES ou AES). Vie de la SA — Le laps de temps avant l’expiration de l’association de sécurité de phase 1. Groupé de clé — Le groupe de clé Diffie-Hellman. Négociations de phase 2 Après l’achèvement des négociations de phase 1 par les deux pairs IPSec, les négociations de phase 2 débutent. Les négociations de phase 2 établissent les associations de sécurité de phase 2 (appelées parfois SA IPSec). Les SA IPSec sont un ensemble de spécifications de trafic qui indiquent au périphérique le trafic à envoyer sur le VPN et la manière de le chiffrer et de l’authentifier. Dans les négociations de phase 2, les deux pairs s’accordent sur un ensemble de paramètres de communication. Lorsque vous configurez le tunnel BOVPN dans Policy Manager ou dans Fireware XTM Web UI, vous définissez les paramètres de phase 2. Guide de l’utilisateur 421 Réseaux Privés Virtuel (VPN) Comme les pairs utilisent les associations de sécurité de phase 1 pour sécuriser les négociations de phase 2 et que vous définissez les paramètres SA de phase 1 dans les paramètres de passerelle BOVPN , vous devez spécifier la passerelle à utiliser pour chaque tunnel. Les négociations de phase 2 comprennent les étapes suivantes : 1. Les pairs utilisent les SA de phase 1 pour sécuriser les négociations de phase 2. Les négociations de phase 2 ne peuvent débuter qu’après l’établissement des associations de sécurité de phase 1. 2. Les pairs échangent leurs identificateurs de phase 2 (ID). Les ID de phase 2 sont toujours envoyés par paire lors d’une proposition de phase 2 : l’un indique quelles adresses IP derrière le périphérique local peuvent envoyer du trafic via le VPN, et l’autre indique quelles adresses IP derrière le périphérique distant peuvent envoyer du trafic via le VPN. Cette connexion est également appelée un itinéraire de tunnel. Vous pouvez définir les ID de phase 2 pour le pair local et le pair distant en tant qu’adresse IP hôte, adresse IP réseau, ou plage d’adresse IP. 3. Les pairs s’accordent pour l’utilisation ou non de la confidentialité Perfect Forward Secrecy (PFS). La confidentialité PFS définit la méthode de dérivation des clés de phase 2. Lorsque la confidentialité PFS est sélectionnée, les pairs IKE doivent utiliser la confidentialité PFS. À défaut, les nouvelles clés de phase 2 échouent. La confidentialité PFS garantit que si une clé de chiffrement utilisée pour protéger les transmissions de données est compromise, un attaquant est en mesure d’accéder uniquement aux données protégées par cette clé, mais par les clés suivantes. Si les pairs s’accordent à utiliser la confidentialité PFS, ils doivent également s’accorder sur le groupe de clé Diffie-Hellman à utiliser pour la confidentialité PFS. 4. Les pairs s’accordent sur une proposition de phase 1. La proposition de phase 2 contient les adresses IP pouvant envoyer du trafic par l’intermédiaire du tunnel, ainsi qu’un groupe de chiffrement et des paramètres d’authentification. Fireware XTM envoie ces paramètres dans une proposition de phase 2. La proposition contient l’algorithme à utiliser pour authentifier les données, l’algorithme à utiliser pour chiffrer les données et indique la fréquence de création de nouvelles clés de chiffrement de phase 2. Les éléments que vous pouvez définir dans une proposition de phase 2 sont les suivants : Type Pour un réseau BOVPN manuel, vous pouvez sélectionner le type de protocole à utiliser : Entête d’authentification (AH) ou charge utile de sécurité par encapsulage (ESP). L’ESP permet l’authentification et le chiffrement des données. L’AH permet l’authentification, mais pas le chiffrement des données. Nous vous recommandons d’opter pour l’ESP. Les réseaux BOVPN gérés et Mobile VPN with IPSec utilisent toujours l’ESP. Authentification L’authentification garantit que les informations reçues soient exactement les mêmes que les informations envoyées. Vous pouvez utiliser SHA ou MD5 comme algorithme à utiliser par les pairs pour authentifier mutuellement les messages IKE . SHA1 est plus sécurisé. Chiffrement 422 WatchGuard System Manager Réseaux Privés Virtuel (VPN) Le chiffrement garantit la confidentialité des données. Vous pouvez sélectionner les chiffrements DES, 3DES, ou AES. L’AES est le chiffrement le plus sécurisé qui soit. Forcer l’expiration de la clé Pour garantir la modification périodique des clés de chiffrement de phase 2, activez toujours l’expiration de la clé. Plus la période d’utilisation d’une clé de chiffrement de phase 2 est longue, plus nombreuses seront les données qu’une personne mal intentionnée pourra collecter pour organiser une attaque de la clé. Configurer les paramètres de phase 1 et 2 Vous configurez les paramètres de phase 1 et 2 pour chaque VPN IPsec configuré. VPN pour succursale Dans le cas d’un VPN pour succursale Branch Office VPN (BOVPN) manuel, configurez les paramètres de phase 1 lorsque vous définissez une passerelle pour succursale, et configurez les paramètres de phase 2 lorsque vous définissez un tunnel de succursale. Pour de plus amples informations relatives aux paramètres de phase 1 et 2 d’un réseau BOVPN, cf : n n Configurer les passerelles à la page 434 Définir un tunnel à la page 444 Mobile VPN with IPSec Pour Mobile VPN with IPSec, configurez les paramètres de phase 1 et 2 lors de l’ajout ou de la modification d’une configuration Mobile VPN with IPSec. Pour de plus amples informations, cf. : n n Configurer Firebox pour Mobile VPN with IPSec Modifier un profil de groupe existant Mobile VPN with IPSec Utilisez un certificat pour l’authentification d’un tunnel VPN IPSec Lorsqu’un tunnel IPSec est créé, le protocole IPSec contrôle l’identité de chaque point de terminaison à l’aide d’une clé pré-partagée (PSK) ou d’un certificat importé et stocké dans Firebox. Configurez la méthode d’authentification dans les paramètres VPN de phase 1. Pour de plus amples informations sur l’utilisation des certificats pour l’authentification d’un tunnel, cf. : n n Utiliser un certificat pour l’authentification d’accès au tunnel BOVPN Utiliser des certificats pour un tunnel Mobile VPN with IPSec authentification À propos de Mobile VPN Un Mobile VPN permet à vos employés qui télétravaillent et voyagent de se connecter en toute sécurité à votre réseau d’entreprise. Fireware XTM prend en charge trois formes de réseaux privés virtuels pour utilisateur distant : Mobile VPN with IPSec, Mobile VPN with PPTP et Mobile VPN with SSL. Guide de l’utilisateur 423 Réseaux Privés Virtuel (VPN) Lorsque vous utilisez Mobile VPN, vous configurez d’abord Firebox et ensuite les ordinateurs clients distants. Vous utilisez Policy Manager ou Fireware XTM Web UI pour configurer les paramètres pour chaque utilisateur ou groupe d’utilisateurs. Pour Mobile VPN with IPSec et Mobile VPN with SSL, utilisez Policy Manager ou le Web UI pour créer un fichier de configuration de profil de l’utilisateur final comprenant tous les paramètres nécessaires à la connexion à Firebox. Vous pouvez également configurer vos stratégies pour permettre ou rejeter le trafic en provenance des clients Mobile VPN. Les utilisateurs Mobile VPN peuvent s’authentifier auprès de la base de données des utilisateurs Firebox ou d’un serveur d’authentification externe. Sélectionner un Mobile VPN Fireware XTM prend en charge trois types de Mobile VPN. Chaque type utilise des ports, des protocoles et des algorithmes de chiffrement différents. Mobile VPN with PPTP n n n n Protocole PPTP (Point-to-Point Tunneling Protocol) — Sécurise le tunnel entre deux points de terminaison Port TCP 1723 — Établit le tunnel Protocole IP 47 — Chiffre les données Algorithmes de chiffrement — 40 bits ou 128 bits Mobile VPN with IPSec n n n n n IPSec (Internet Protocol Security) — Sécurise le tunnel entre deux points de terminaison Port UDP 500 (IKE) — Établit le tunnel Port UDP 4500 (NAT Traversal) — Utilisé si Firebox est configuré pour le NAT Protocole IP 50 (ESP) ou Protocole IP 51 (AH) — Chiffre les données Algorithmes de chiffrement — DES, 3DES, ou AES (128, 192, or 256 bits) Mobile VPN with SSL n n n Protocole SSL (Secure Sockets Layer) — Sécurise le tunnel entre deux points de terminaison Port TCP 443 ou port UDP 443 — Établit le tunnel et chiffre les données Algorithmes de chiffrement — Blowfish, DES, 3DES, ou AES (128, 192 ou 256 bits) Note Pour Mobile VPN with SSL, vous pouvez choisir un port et un protocole différent. Pour plus d’informations, voir Choisir un port et un protocole pour Mobile VPN with SSL à la page 566 Le type de Mobile VPN dépend fortement de votre infrastructure existante et de vos préférences en termes de stratégie réseau. Firebox peut gérer les trois types de Mobile VPN simultanément. Un ordinateur client peut être configuré pour utiliser une ou plusieurs méthodes. Certains des éléments à prendre en compte lorsque vous sélectionnez le type de Mobile VPN à utiliser sont décrits dans les sections suivantes. Capacité et octroi de licence pour tunnel VPN Lorsque vous sélectionnez un type de tunnel, assurez-vous de prendre en compte le nombre de tunnel que votre périphérique prend en charge et la possibilité de vous procurer une mise à niveau pour augmenter le nombre de tunnels. 424 WatchGuard System Manager Réseaux Privés Virtuel (VPN) Mobile VPN Nombre maximum de tunnels VPN Mobile VPN with PPTP 50 tunnels n Mobile VPN with IPSec n n Mobile VPN with SSL n n Le nombre de tunnels de base et maximum varient selon le modèle du périphérique WatchGuard. L’achat d’une licence est requis pour activer le nombre de tunnels maximum. Le nombre de tunnels de base et maximum varient selon le modèle du périphérique WatchGuard. La mise à niveau Pro du système d’exploitation Fireware XTM est requise pour le maximum de tunnels VPN SSL. La mise à niveau Pro est requise pour la prise en charge de plus d’un tunnel VPN SSL. Pour connaître le nombre de tunnels de base et maximum pris en charge pour Mobile VPN with IPSec and Mobile VPN with SSL, reportez-vous aux spécifications détaillées de votre modèle de périphérique WatchGuard. Compatibilité avec le serveur d’authentification Lorsque vous sélectionnez une solution Mobile VPN, assurez-vous de choisir une solution qui prenne en charge le type de serveur d’authentification que vous utilisez. Mobile VPN Firebox RADIUS Vasco/RADIUS Défi-réponse Vasco RSA Active LDAP SecurID Directory Mobile VPN with PPTP Oui Oui Non Non Non Non Non Mobile VPN with IPSec Oui Oui Oui N/D Oui Oui Oui Mobile VPN with SSL Oui Oui Oui N/D Oui Oui Oui Étapes de la configuration du client et compatibilité du système d’exploitation Les étapes de la configuration que vous devez exécuter diffèrent pour chaque solution Mobile VPN. Par ailleurs, chaque solution VPN est compatible avec différents systèmes d’exploitation. Mobile VPN with PPTP Vous n’installez pas le logiciel client VPN WatchGuard. Vous devez configurer manuellement les paramètres réseau de chaque ordinateur client pour configurer une connexion PPTP . Compatible avec : Windows XP et Windows Vista. Guide de l’utilisateur 425 Réseaux Privés Virtuel (VPN) Mobile VPN with IPSec Vous devez installer le client WatchGuard Mobile VPN with IPSec et importer manuellement le profil de l’utilisateur final. L’installation du client Mobile VPN with IPSec requiert plus d’étapes que celle du client Mobile VPN with SSL. Compatible avec : Windows XP SP2 (32 bits et 64 bits), Windows Vista (32 bits et 64 bits), et Windows 7 (32 bits et 64 bits). Mobile VPN with SSL Vous devez installer le client et le fichier de configuration WatchGuard Mobile VPN with SSL. Compatible avec : Windows XP SP2 (32 bits uniquement), Windows Vista (32 bits uniquement), Windows 7 (32 bits et 64 bits), Mac OS X 10.6 Snow Leopard et Mac OS X 10.5 Leopard Options d’accès Internet pour les utilisateurs Mobile VPN Pour les trois de types de Mobile VPN, vous disposez de deux options d’accès Internet pour les utilisateurs Mobile VPN : Forcer l’ensemble du trafic client à passer par le tunnel (itinéraire VPN par défaut) L’option la plus sécurisée consiste à faire router tout le trafic Internet des utilisateurs distants par le biais du tunnel VPN vers le périphérique WatchGuard. Le trafic est ensuite renvoyé à Internet. Dans cette configuration (appelée « VPN avec route par défaut »), le périphérique WatchGuard peut examiner tout le trafic et offrir une sécurité accrue, et ce malgré l’augmentation de la puissance de traitement et de la bande passante requises. Lorsque vous utilisez un VPN avec route par défaut par le biais des logiciels Mobile VPN for IPSec ou Mobile VPN for PPTP, une stratégie de traduction d’adresses réseau (NAT) dynamique doit inclure le trafic sortant en provenance du réseau distant. Cela permet aux utilisateurs distants de parcourir Internet lorsqu’ils envoient tout le trafic au périphérique WatchGuard. Permettre l’accès direct à Internet (tunnel VPN divisé) Une autre option de configuration consiste à activer le tunneling fractionné. Avec cette option, vos utilisateurs peuvent parcourir Internet, mais le trafic Internet n’est pas envoyé par le biais du tunnel VPN. Le tunneling fractionné améliore les performances du réseau, mais diminue la sécurité car les stratégies que vous créez ne s’appliquent pas au trafic Internet. Si vous utilisez le tunneling fractionné, nous recommandons la mise en place d’un pare-feu logiciel sur chaque ordinateur client. Pour de plus amples informations concernant chaque type de Mobile VPN en particulier, cf. : n n n 426 Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with IPSec Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with PPTP Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with SSL WatchGuard System Manager Réseaux Privés Virtuel (VPN) Vue d’ensemble de la configuration Mobile VPN Lorsque vous configurez un Mobile VPN, vous devez commencer par configurer le périphérique WatchGuard avant de configurer les ordinateurs clients. Quel que soit le type de Mobile VPN que vous choisissez, vous devez passer par cinq étapes de configuration identiques. Les détails de chacune des étapes sont différents pour chaque type de VPN. 1. 2. 3. 4. 5. Activer Mobile VPN dans Policy Manager. Définir des paramètres VPN pour le nouveau tunnel. Sélectionner et configurer la méthode d’authentification pour les utilisateurs Mobile VPN. Définir les stratégies et les ressources. Configurer les ordinateurs clients. n n Pour Mobile VPN with IPSec et Mobile VPN with SSL, installez le logiciel client et le fichier de configuration. Pour Mobile VPN with PPTP, configurez manuellement la connexion PPTP dans les paramètres réseau de l’ordinateur client. Pour de plus amples informations et des explications détaillées sur les étapes de la configuration de chaque type de Mobile VPN, cf. : n n n À propos de Mobile VPN with IPSec IPSec À propos de Mobile VPN with PPTP À propos de Mobile VPN with SSL Guide de l’utilisateur 427 Réseaux Privés Virtuel (VPN) Guide de l’utilisateur 428 20 Réseaux BOVPN (Branch Office Virtual Private Network) Comment créer un réseau BOVPN manuel Avant de configurer un réseau VPN de filiale sur votre périphérique WatchGuard, veuillez lire les conditions suivantes : n n n n n n n Vous devez posséder deux périphériques WatchGuard, ou un périphérique WatchGuard et un autre utilisant les normes IPSec. Vous devez activer l’option VPN sur l’autre périphérique si elle n’est pas déjà active. Vous devez disposer d’une connexion Internet. Le fournisseur de services Internet de chaque périphérique VPN doit autoriser le trafic IPSec à traverser ses réseaux. Certains fournisseurs de services Internet ne vous permettent pas de créer de tunnels VPN sur leurs réseaux à moins de passer à un niveau de service Internet qui prenne en charge les tunnels VPN. Renseignez-vous auprès d’un représentant de chaque fournisseur de services Internet pour vérifier que les ports et protocoles suivants sont autorisés : n Port UDP 500 (IKE ou Internet Key Exchange) n Port UDP 4500 (Parcours NAT) n Protocole IP 50 (ESP ou Encapsulating Security Payload) Si l’autre extrémité du tunnel VPN est un périphérique WatchGuard et si chaque périphérique est sous gestion, vous pouvez utiliser l’option Managed VPN (VPN géré). L’option Managed VPN est plus facile à configurer que Manual VPN. Pour utiliser cette option, vous devez obtenir des informations auprès de l’administrateur du périphérique WatchGuard de l’autre côté du tunnel VPN. Vous devez savoir si l’adresse IP attribuée à l’interface externe de votre périphérique est statique ou dynamique. Pour plus d’informations sur les adresses IP, voir À propos de Adresses IP à la page 3. Votre modèle de périphérique WatchGuard vous indique le nombre maximum de tunnels VPN que vous pouvez créer. Si votre modèle de Firebox peut être mis à niveau, vous pouvez acheter une mise à niveau qui augmente le nombre maximum de tunnels VPN pris en charge. Si vous connectez deux réseaux Microsoft Windows NT, ils doivent se trouver dans le même domaine Microsoft Windows ou il doit s’agir de domaines approuvés. Ceci est un problème de réseau Microsoft, et non une limitation de Firebox. Guide de l’utilisateur 429 Réseaux BOVPN (Branch Office Virtual Private Network) n n n Si vous voulez utiliser les serveurs DNS et WINS du réseau qui se trouve de l’autre côté du tunnel VPN, vous devez connaître leurs adresses IP. Firebox peut donner les adresses IP des serveurs WINS et DNS aux ordinateurs du réseau approuvé si ces ordinateurs obtiennent leurs adresses IP auprès du périphérique Firebox à l’aide de DHCP. Si vous voulez donner aux ordinateurs les adresses IP des serveurs WINS et DNS de l’autre côté du VPN, vous pouvez taper ces adresses dans les paramètres DHCP de la configuration du réseau approuvé. Pour plus d’informations sur la manière de configurer Firebox pour qu’il distribue les adresses IP par DHCP, voir Configurer DHCP en mode de routage mixte à la page 90. Vous devez connaître l’adresse réseau des réseaux privés (approuvés) qui se trouvent derrière le périphérique Firebox et celle du réseau qui se trouve derrière l’autre périphérique VPN, ainsi que leurs masques de sous-réseau. Note Les adresses IP privées des ordinateurs situés derrière Firebox ne peuvent pas être les mêmes que les adresses IP des ordinateurs situés de l’autre côté du tunnel VPN. Si votre réseau approuvé utilise les mêmes adresses IP que le bureau vers lequel il va créer un tunnel VPN, votre réseau et l’autre réseau doivent modifier leur adressage IP pour empêcher les conflits d’adresses IP. À propos des tunnels BOVPN manuels Un réseau privé virtuel (VPN, Virtual Private Network) crée des connexions sécurisées entre des ordinateurs ou des réseaux situés à des emplacements différents. Chaque connexion est appelée un tunnel. Lorsqu’un tunnel VPN est créé, les deux points de terminaison du tunnel s’authentifient mutuellement. Les données du tunnel sont chiffrées. Seuls l’expéditeur et le destinataire du trafic peuvent les lire. Les réseaux BOVPN (Branch Office Virtual Private Network) permettent aux entreprises de fournir une connectivité sécurisée et chiffrée entre des agences séparées géographiquement. Les réseaux et les hôtes d’un tunnel BOVPN peuvent être des sièges sociaux, des succursales, des utilisateurs distants ou des télétravailleurs. Ces communications contiennent souvent les types de données critiques échangés au sein du pare-feu de l’entreprise. Dans ce scénario, un réseau BOVPN fournit des connexions confidentielles entre ces bureaux. Cela rationalise la communication, réduit le coût des lignes dédiées et préserve la sécurité à chaque point de terminaison. Les tunnels BOVPN manuels sont ceux qui ont été créés à partir de Fireware XTM Web UI, ce qui leur confère beaucoup d’options supplémentaires. Un tunnel BOVPN géré est un autre type de tunnel BOVPN que vous pouvez créer depuis le gestionnaire WatchGuard System Manager à l’aide de la fonction glisserdéplacer, d’un Assistant et de modèles. Pour plus d’informations sur ce type de tunnel, voir le Guide de l’utilisateur du gestionnaire WatchGuard System Manager ou le système d’aide en ligne. Comment créer un réseau privé virtuel (VPN) Outre les exigences relatives au VPN, vous devez disposer des informations suivantes pour créer un tunnel Manual VPN : n 430 Vous devez savoir si l’adresse IP attribuée à l’autre périphérique VPN est statique ou dynamique. Si l’autre périphérique VPN a une adresse IP dynamique, Firebox doit le localiser par son nom de domaine et l’autre périphérique doit utiliser le service DNS dynamique. WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) n n n Vous devez connaître la clé partagée (mot de passe) du tunnel. La même clé partagée doit être utilisée par les deux périphériques. Vous devez connaître la méthode de chiffrement utilisée pour le tunnel (DES, 3DES, AES 128 bits, AES 192 bits ou AES 256 bits). Les deux périphériques VPN doivent utiliser la même méthode de chiffrement. Vous devez connaître la méthode d’authentification utilisée à chaque point de terminaison du tunnel (MD5 ou SHA-1). Les deux périphériques VPN doivent utiliser la même méthode d’authentification. Pour plus d’informations, voir Comment créer un réseau BOVPN manuel à la page 429. Nous vous recommandons de consigner par écrit la configuration de Firebox et les informations connexes relatives à l’autre périphérique. Voir le Tableau d’exemple d’informations sur l’adresse VPN à la page 432 pour enregistrer ces informations. Comment créer un tunnel BOVPN manuel La procédure de base pour créer un tunnel manuel nécessite les étapes suivantes : 1. Configurer les passerelles–: des points de connexion situés aux extrémités locale et distante du tunnel. 2. Créer des tunnels entre des points de terminaison de passerelle– configurer des itinéraires pour le tunnel, spécifier comment les périphériques contrôlent la sécurité et créer une stratégie pour le tunnel. Les sections ci-dessous présentent d’autres options disponibles pour la création de tunnels BOVPN. Tunnels unidirectionnels Configurer la traduction d’adresses réseau (NAT) dynamique pour le trafic sortant via un tunnel BOVPN si vous souhaitez garder le tunnel VPN ouvert dans un seul sens. Cela peut s’avérer utile lorsque vous créez un tunnel vers un site distant où tout le trafic VPN provient d’une adresse IP publique. Basculement VPN Les tunnels VPN basculent automatiquement sur l’interface WAN de sauvegarde au cours d’un basculement WAN. Vous pouvez configurer des tunnels BOVPN pour qu’ils puissent basculer vers le point de terminaison d’un pair de sauvegarde si le point de terminaison principal n’est plus disponible. Pour cela, vous devez définir au moins un point de terminaison de sauvegarde, tel que décrit dans Configurer le basculement VPN à la page 469. Paramètres VPN globaux Les paramètres VPN globaux de Firebox s’appliquent aux tunnels BOVPN manuels, aux tunnels gérés et aux tunnels Mobile VPN. Vous pouvez utiliser ces paramètres pour : n n n Activer le transit IPSec Effacer ou conserver les paramètres des paquets lorsque les bits Type de service (TOS) sont définis Utiliser un serveur LDAP pour vérifier les certificats Guide de l’utilisateur 431 Réseaux BOVPN (Branch Office Virtual Private Network) n Forcer Firebox à envoyer une notification lorsqu’un tunnel BOVPN est défectueux (uniquement les tunnels BOVPN) Pour modifier ces paramètres, dans Fireware XTM Web UI, sélectionnez VPN > Paramètres globaux. Pour plus d’informations sur ces paramètres, voir À propos des paramètres VPN globaux à la page 451. État du tunnel BOVPN Pour afficher l’état actuel des tunnels BOVPN : Dans Fireware XTM Web UI, sélectionnez État du système > Statistiques VPN. Pour plus d’informations, voir Statistiques VPN à la page 391. Renouveler la clé des tunnels BOVPN Le Fireware XTM Web UI vous permet de générer immédiatement de nouvelles clés pour les tunnels BOVPN au lieu d’attendre leur expiration. Pour plus d’informations, voir Renouveler la clé des tunnels BOVPN à la page 472. Tableau d’exemple d’informations sur l’adresse VPN Attribué Élément Description par Adresse IP qui identifie le périphérique compatible avec IPSec sur Internet. ISP Adresse IP externe Exemple : ISP Site A : 207.168.55.2 Site B : 68.130.44.15 Adresse utilisée pour identifier un réseau local. Il s’agit des adresses IP des ordinateurs situés de chaque côté qui sont autorisés à envoyer du trafic dans le tunnel VPN. Nous vous recommandons d’utiliser une adresse comprise dans l’une des plages réservées : 10.0.0.0/8—255.0.0.0 172.16.0.0/12—255.240.0.0 Adresse de réseau local Vous 192.168.0.0/16—255.255.0.0 Les chiffres après la barre oblique désignent les masques de sous-réseau. /24 signifie que le masque de sous-réseau du réseau approuvé est 255.255.255.0. Pour plus d’informations sur la notation de barre oblique, voir À propos de la notation de barre oblique à la page 4. Exemple : 432 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) Attribué Élément Description par Site A : 192.168.111.0/24 Site B : 192.168.222.0/24 La clé partagée est un mot de passe utilisé par deux périphériques compatibles avec IPSec pour chiffrer et déchiffrer les données qui traversent le tunnel VPN. Les deux périphériques utilisent le même mot de passe. S’ils n’ont pas le même mot de passe, ils ne peuvent pas chiffrer et déchiffrer correctement les données. Clé partagée Pour plus de sécurité, utilisez un mot de passe combinant des chiffres, des symboles, des minuscules et des majuscules. Par exemple, « Gu4c4mo!3 » est préférable à « guacamole ». Vous Exemple : Site A : NotreSecretPartagé Site B : NotreSecretPartagé Méthode de chiffrement DES utilise le chiffrement 56 bits. 3DES utilise le chiffrement 168 bits. Le chiffrement AES est disponible en 128 bits, 192 bits et 256 bits. AES 256 bits est le chiffrement le plus sécurisé qui soit. Les deux périphériques doivent utiliser la même méthode de chiffrement. Vous Exemple : Site A : 3DES ; Site B : 3DES Guide de l’utilisateur 433 Réseaux BOVPN (Branch Office Virtual Private Network) Attribué Élément Description par Les deux périphériques doivent utiliser la même méthode d’authentification. Authentification Exemple : Vous Site A : MD5 (ou SHA-1) Site B : MD5 (ou SHA-1) Configurer les passerelles Une passerelle est un point de connexion d’un ou plusieurs tunnels. Pour établir un tunnel, vous devez configurer des passerelles sur les périphériques de terminaison locaux et distants. Pour configurer ces passerelles, vous devez spécifier les éléments suivants : n n n Méthode d’informations d’identification : soit des clés prépartagées, soit un Firebox Certificate IPSec. Pour plus d’informations sur l’utilisation des certificats pour l’authentification BOVPN, voir Utiliser un certificat pour l’authentification d’accès au tunnel BOVPN à la page 411. Emplacement des points de terminaison de passerelle locaux et distants, soit par l’adresse IP, soit par les informations de domaine. Paramètres de phase 1 de la négociation IKE (Internet Key Exchange). Cette phase définit l’association de sécurité (les protocoles et paramètres que les points de terminaison de passerelle utilisent pour communiquer) pour protéger les données en transit au cours de la négociation. 1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale. La page de configuration du réseau VPN de succursale s’ouvre, avec la liste Passerelles en haut de page. 2. Pour ajouter une passerelle, cliquez sur Ajouter à côté de la liste Passerelles. La page de paramètres Passerelle s’ouvre. 434 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) 3. Dans la zone de texte Nom de la passerelle, entrez un nom permettant d’identifier la passerelle dans Firebox. 4. Dans lapage Passerelle, sélectionnez Utiliser la clé prépartagée ou Utiliser le Firebox Certificate IPSec pour identifier la procédure d’authentification à utiliser. Si vous avez sélectionné la clé prépartagée Tapez ou collez la clé partagée. Vous devez utiliser la même clé partagée sur le périphérique distant. Cette clé partagée doit uniquement contenir des caractères ASCII standard. Si vous avez sélectionné le Firebox Certificate IPSec Le tableau situé sous la case d’option montre les certificats actuels sur le système Firebox. Sélectionnez le certificat à utiliser pour la passerelle. Pour plus d’informations, voir Utiliser un certificat pour l’authentification d’accès au tunnel BOVPN à la page 411. Vous pouvez à présent Définir les points de terminaison de passerelle. Guide de l’utilisateur 435 Réseaux BOVPN (Branch Office Virtual Private Network) Définir les points de terminaison de passerelle Les points de terminaison de passerelle sont les passerelles locales et distantes auxquelles se connecte le réseau BOVPN. Ces informations indiquent au périphérique WatchGuard comment identifier et communiquer avec le périphérique de terminaison distant lorsqu’il négocie le réseau BOVPN. Elles indiquent également au périphérique comment s’identifier auprès du point de terminaison distant lorsqu’il négocie le réseau BOVPN. Toute interface externe peut être un point de terminaison de passerelle. Si vous avez plusieurs interfaces externes, vous pouvez configurer plusieurs points de terminaison de passerelle afin de Configurer le basculement VPN. Passerelle locale Dans la section Passerelle Locale, configurez l’ID de la passerelle et l’interface auxquels se connecte le réseau BOVPN sur votre périphérique WatchGuard. Pour l’ID de passerelle, si vous avez une adresse IP statique, vous pouvez sélectionner Par adresse IP. Utilisez Par informations de domaine s’il y a un domaine pour résoudre l’adresse IP à laquelle se connecte le réseau BOVPN sur votre périphérique WatchGuard. 1. Dans la section Points de terminaison de passerelle de Passerelle page, cliquez sur Ajouter. La boîte de dialogue Paramètres de points de terminaison de la nouvelle passerelle apparaît. 436 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) 2. Spécifiez l’ID de la passerelle. n n n n Par adresse IP : Activez la case d’option Par adresse IP. Entrez l’adresse IP de l’interface Firebox . Par nom de domaine : Entrez votre nom de domaine. Par ID d’utilisateur sur le domaine – Entrez le nom d’utilisateur et le domaine au format nomutilisateur@nomdomaine . Par nom x500 : Entrez le nom x500. 3. Dans la liste déroulante Interface externe, sélectionnez l’interface de Firebox avec l’adresse IP ou le domaine choisi pour ID de passerelle. Passerelle distante Dans la zone Passerelle distante, configurez l’adresse IP et l’ID de passerelle du périphérique de terminaison distant auquel se connecte le réseau BOVPN. L’adresse IP de la passerelle peut être une adresse IP statique ou dynamique. L’ID de la passerelle peut être Par nom de domaine, Par ID d’utilisateur sur le domaine ou Par nom x500. L’administrateur du périphérique de passerelle distant peut vous indiquer laquelle employer. Guide de l’utilisateur 437 Réseaux BOVPN (Branch Office Virtual Private Network) 1. Sélectionnez l’adresse IP de la passerelle distante. n n Adresse IP statique : Sélectionnez cette option si le périphérique distant a une adresse IP statique. Dans Adresse IP, entrez l’adresse IP ou sélectionnez-la dans la liste déroulante. Adresse IP dynamique : Sélectionnez cette option si le périphérique distant a une adresse IP dynamique. 2. Sélectionnez l’ID de la passerelle. n n n n Par adresse IP : Activez la case d’option Par adresse IP. Entrez l’adresse IP. Par nom de domaine : Entrez le nom de domaine. Par ID d’utilisateur sur le domaine : Entrez l’ID d’utilisateur et le domaine. Par nom x500 : Entrez le nom x500. Note Si le point de terminaison VPN distant utilise le protocole DHCP ou PPPoE pour obtenir son adresse IP externe, définissez le type d’ID de la passerelle distante sur Nom de domaine. Attribuez au champ de nom du pair le nom de domaine complet du point de terminaison VPN distant. Firebox utilise l’adresse IP et le nom de domaine pour rechercher le point de terminaison VPN. Vérifiez que le serveur DNS utilisé par Firebox peut identifier le nom. Cliquez sur OK pour fermer la boîte de dialogue Paramètres de points de terminaison de la nouvelle passerelle. La Passerelle page s’affichent. La paire de passerelles que vous avez définie apparaît dans la liste des points de terminaison de passerelle. Allez dans Configurer les modes et les transformations (Paramètres de phase 1) pour configurer les paramètres de phase 1 de cette passerelle. Configurer les modes et les transformations (Paramètres de phase 1) La phase 1 de l’établissement d’une connexion IPSec désigne le stade où deux pairs créent un canal sécurisé et authentifié pour communiquer. Il s’agit de l’association de sécurité (SA) ISAKMP. Un échange de phase 1 peut utiliser le mode principal ou le mode agressif. Le mode détermine le type et le nombre d’échanges de messages qui se produisent au cours de cette phase. Une transformation est un ensemble de protocoles et d’algorithmes de sécurité servant à protéger les données VPN. Au cours de la négociation IKE, les pairs s’entendent sur l’utilisation d’une transformation donnée. Vous pouvez définir un tunnel de sorte qu’il offre à un pair plusieurs transformations pour la négociation. Pour plus d’informations, voir Ajouter une transformation de phase 1 à la page 441. 1. Dans la page Passerelle, sélectionnez les Phase 1 onglet Paramètres. 438 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) 2. Dans la liste déroulante Mode, sélectionnez Principal, Agressif ou Principal ou Agressif en cas d’échec. Mode principal Il s’agit d’un mode plus sécurisé qui utilise trois échanges de messages distincts, soit six messages au total. Les deux premiers négocient la stratégie, les deux suivants échangent des données Diffie-Hellman et les deux derniers authentifient l’échange Diffie-Hellman. Le mode principal prend en charge les groupes Diffie-Hellman 1, 2 et 5. Ce mode vous permet également d’utiliser plusieurs transformations, tel qu’indiqué dans Ajouter une transformation de phase 1 à la page 441. Mode agressif Il s’agit d’un mode plus rapide, car il n’utilise que trois messages, qui échangent À propos des groupes Diffie-Hellman des données et identifient les deux points de terminaison VPN. L’identification des points de terminaison VPN rend le mode Agressif moins sûr. Principal ou Agressif en cas d’échec Guide de l’utilisateur 439 Réseaux BOVPN (Branch Office Virtual Private Network) Firebox tente un échange de phase 1 en mode principal. En cas d’échec de la négociation, il utilise le mode agressif. 3. Si vous souhaitez créer un tunnel BOVPN entre Firebox et un autre périphérique situé derrière un périphérique NAT, activez la case à cocher NAT Traversal. Le NAT Traversal ou l’encapsulation UDP permet au trafic de parvenir aux destinations correctes. 4. Pour que Firebox envoie des messages à son pair IKE afin de garder le tunnel VPN ouvert, activez la case à cocher Conservation d’activité IKE. Pour définir le paramètre Intervalle entre les messages, tapez le nombre de secondes ou utilisez le contrôle de valeur pour sélectionner le nombre de secondes souhaité. Note La conservation d’activité IKE est utilisée uniquement par les périphériques WatchGuard. Ne l’activez pas si le point de terminaison distant est un périphérique IPSec tiers. 5. Pour définir le nombre maximal de fois que Firebox doit tenter d’envoyer un message de conservation d’activité IKE avant d’essayer à nouveau de négocier la phase 1, tapez le nombre souhaité dans la zone Nombre d’échecs max.. 6. Utilisez la case à cocher Détection DPD (Dead Peer Detection) pour activer ou désactiver la détection DPD basée sur le trafic. Lorsque vous activez la détection DPD (Dead Peer Detection), Firebox ne se connecte à un pair que si aucun trafic n’est reçu de ce dernier pendant une durée définie et qu’un paquet attend de lui être envoyé. Cette méthode est plus évolutive que les messages de conservation d’activité IKE. Si vous souhaitez modifier les paramètres par défaut de Firebox, entrez la durée (en secondes) dans le champ Délai d’inactivité du trafic avant la tentative de connexion au pair. Dans le champ Nombre maximal de tentatives, entrez le nombre de fois que Firebox doit tenter de se connecter avant que le pair soit déclaré inactif. La détection DPD (Dead Peer Detection) est une norme professionnelle utilisée par la plupart des périphériques IPSec. Nous vous recommandons de sélectionner la détection DPD (Dead Peer Detection) si les deux périphériques de terminaison la prennent en charge. Note Si vous configurez le basculement VPN, vous devez activer la détection DPD. Pour plus d’informations sur le basculement VPN, voir Configurer le basculement VPN à la page 469 7. Firebox contient une transformation par défaut définie, qui figure dans la liste Paramètres de transformation. Cette transformation spécifie l’authentification SHA-1, le chiffrement 3DES et le groupe Diffie-Hellman 2. Vous pouvez : n Utiliser cet ensemble de transformation par défaut. n Supprimer cet ensemble de transformation et le remplacer par un autre. n Ajoutez une autre transformation, comme indiqué dans Ajouter une transformation de phase 1 à la page 441. 440 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) Ajouter une transformation de phase 1 Vous pouvez définir un tunnel de sorte à offrir à un pair plusieurs transformations pour les négociations. Par exemple, une transformation peut contenir SHA1-DES-DF1 ([méthode d’authentification]-[méthode de chiffrement]-[groupe de clés]) et une seconde transformation MD5-3DES-DF2, la transformation SHA1-DESDF1 bénéficiant d’une priorité supérieure à la seconde. Une fois le tunnel créé, Firebox peut utiliser soit SHA1DES-DF1 soit MD5-3DES-DF2 pour correspondre à la transformation de l’autre point de terminaison VPN. Vous pouvez inclure neuf transformations au maximum. Vous devez spécifier Mode principal dans les paramètres de phase 1 pour utiliser plusieurs transformations. 1. Sous l’onglet Paramètres de phase 1 de la page Passerelle, allez dans la zone Paramètres de transformation dans la partie inférieure de la page. Cliquez sur Ajouter. La boîte de dialogue Paramètres de transformation s’affiche. 2. Dans la liste déroulante Authentification, sélectionnez le type d’authentification SHA1 ou MD5. 3. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement AES (128 bits), AES (192 bits), AES (256 bits), DES ou 3DES. 4. Pour modifier la durée de vie de l’association de sécurité, tapez un nombre dans le champ SA Life et sélectionnez Heure ou Minute dans la liste déroulante adjacente. 5. Dans la liste déroulante Groupe de clés, sélectionnez le groupe Diffie-Hellman souhaité. Fireware XTM prend en charge les groupes 1, 2 et 5. Les groupes Diffie-Hellman déterminent la force de la clé principale utilisée dans le processus d’échange de clés. Plus le numéro de groupe est élevé, meilleure est la sécurité, mais plus le délai de création des clés est long. Pour plus d’informations, voir À propos des groupes Diffie-Hellman à la page 441. 6. Vous pouvez ajouter neuf transformations au maximum. Vous pouvez sélectionner une transformation et cliquer sur Actif ou Inactif pour modifier sa priorité. La transformation située en haut de la liste est utilisée en premier. 7. Cliquez sur OK. À propos des groupes Diffie-Hellman Les groupes Diffie-Hellman déterminent la force de la clé utilisée dans le processus d’échange de clés. Les groupes portant un numéro supérieur sont plus sûrs, mais il faut plus de temps pour créer la clé. Les périphériques WatchGuard prennent en charge les groupes Diffie-Hellman 1, 2 et 5 : Guide de l’utilisateur 441 Réseaux BOVPN (Branch Office Virtual Private Network) n n n Groupe Diffie-Hellman 1 : groupe 768 bits Groupe Diffie-Hellman 2 : groupe 1024 bits Groupe Diffie-Hellman 5 : groupe 1536 bits Les deux pairs d’un échange VPN doivent utiliser le même groupe, qui est négocié pendant la phase 1 du processus de négociation IPSec. Lorsque vous définissez un tunnel BOVPN manuel, vous spécifiez le groupe Diffie-Hellman pendant la phase 1 de l’établissement d’une connexion IPSec. Cette phase désigne le stade où deux pairs créent un canal sécurisé et authentifié pour communiquer. Groupes Diffie-Hellman et Perfect Forward Secrecy (PFS) Outre la phase 1, vous pouvez également spécifier le groupe Diffie-Hellman pendant la phase 2 de l’établissement d’une connexion IPSec. La configuration de phase 2 comprend les paramètres d’une association de sécurité, qui définit la manière dont les paquets de données sont sécurisés lorsqu’ils sont transmis entre deux points de terminaison. Vous ne spécifiez le groupe Diffie-Hellman pendant la phase 2 que lorsque vous sélectionnez la confidentialité Perfect Forward Secrecy (PFS) Avec cette confidentialité, les clés sont plus sûres, car les nouvelles clés ne sont pas créées à partir des précédentes. Si une clé est comprise, les clés de la nouvelle session sont tout de même sécurisées. Lorsque vous spécifiez la confidentialité PFS pendant la phase 2, il y a un échange Diffie-Hellman à chaque nouvelle négociation d’une association de sécurité. Il n’est pas nécessaire que le groupe choisi pour la phase 2 corresponde au groupe choisi pour la phase 1. Comment choisir un groupe Diffie-Hellman Le groupe Diffie-Hellman par défaut pour les phases 1 et 2 est le groupe 1. Il garantit une sécurité de base et une bonne performance. Si la vitesse d’initialisation du tunnel et de renouvellement des clés ne pose pas de problème, utilisez les groupes 2 ou 5. La vitesse réelle d’initialisation et de renouvellement dépend de plusieurs facteurs. Il peut s’avérer utile d’essayer les groupes Diffie-Hellman 2 ou 5 pour décider si le ralentissement de la performance pose un problème sur votre réseau. Si le niveau de performance est inacceptable, optez pour un groupe inférieur. Analyse de la performance Le tableau suivant présente le résultat d’une application logicielle générant les valeurs de 2 000 groupes Diffie-Hellman. Ces chiffres correspondent à un processeur Intel Pentium 4 de 1,7 GHz. Groupe DH Nombre de paires de clés Temps requis Temps par paire de clés Groupe 1 2000 43 s. 21 ms. Groupe 2 2000 84 s. 42 ms. Groupe 5 2000 246 s. 123 ms. Modifier et supprimer des passerelles Pour modifier la définition d’une passerelle 442 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) 1. Sélectionnez VPN > BOVPN. 2. Sélectionnez une passerelle, puis cliquez sur Modifier. La page de paramètres Passerelle s’ouvre. 3. Effectuez les modifications et cliquez sur Enregistrer. Pour supprimer une passerelle, sélectionnez-la, puis cliquez sur Supprimer. Désactiver le démarrage automatique du tunnel Les tunnels BOVPN sont automatiquement établis à chaque démarrage du périphérique WatchGuard. Il peut être utile de modifier ce comportement par défaut. Souvent, on le modifie quand le point de terminaison distant utilise un périphérique tiers qui doit initier le tunnel en lieu et place du point de terminaison local. Pour désactiver le démarrage automatique des tunnels qui utilisent une passerelle 1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale. La page de configuration VPN de succursale s’affiche 2. Sélectionnez une passerelle, puis cliquez sur Modifier. La page Passerelle s’ouvre. 3. Désactivez la case à cocher Lancer le tunnel de phase 1 au démarrage de Firebox en bas de la page. Si votre Firebox se trouve derrière un périphérique NAT Firebox peut utiliser NAT Traversal Cela signifie que vous pouvez créer des tunnels VPN si votre fournisseur de services Internet assure la traduction d’adresses réseau (NAT) ou si l’interface externe de Firebox est connectée à un périphérique assurant la traduction d’adresses réseau. Il est recommandé que l’interface externe de Firebox ait une adresse IP publique. Si ce n’est pas possible, conformez-vous aux instructions suivantes. Les périphériques NAT sont fréquemment dotés de fonctionnalités de pare-feu de base. Pour créer un tunnel VPN vers le système Firebox lorsque celui-ci se trouve derrière un périphérique NAT, le périphérique NAT doit laisser passer le trafic. Les ports et protocoles suivants doivent être ouverts sur le périphérique NAT : n n n Port UDP 500 (IKE) Port UDP 4500 (NAT Traversal) Protocole IP 50 (Encapsulating Security Payload ou ESP) Consultez la documentation de votre périphérique NAT pour plus d’informations sur la manière d’ouvrir ces ports et protocoles sur le périphérique NAT. Si l’interface externe de Firebox possède une adresse IP privée, vous ne pouvez pas utiliser une adresse IP comme type d’ID local dans les paramètres de phase 1. n Si le périphérique NAT auquel Firebox est connecté possède une adresse IP publique dynamique : n Commencez par configurer le périphérique en mode pont. Pour plus d’informations, voir Mode pont à la page 99. En mode pont, l’adresse IP publique est transmise à l’interface externe de Firebox. Consultez la documentation de votre périphérique NAT pour plus d’informations. Guide de l’utilisateur 443 Réseaux BOVPN (Branch Office Virtual Private Network) Configurez le DNS dynamique sur Firebox. Pour plus d’informations, voir À propos du Service DNS dynamique à la page 92. Dans les paramètres de phase 1 de Manual VPN, définissez le type d’ID local sur Nom de domaine. Entrez le nom de domaine DynDNS du périphérique en tant qu’ID local. Le périphérique distant doit identifier le périphérique Firebox par nom de domaine et doit utiliser le nom de domaine DynDNS qui lui est associé dans sa configuration de phase 1. Si le périphérique NAT auquel Firebox est connecté possède une adresse IP publique statique : n Dans les paramètres de phase 1 de Manual VPN, définissez le type d’ID local sur Nom de domaine dans la liste déroulante. Entrez l’adresse IP publique attribuée à l’interface externe du périphérique NAT comme ID local. Le périphérique distant doit identifier le périphérique Firebox par nom de domaine et il doit utiliser la même adresse IP comme nom de domaine dans sa configuration de phase 1. n n Créer des tunnels entre des points de terminaison de passerelle Après avoir défini des points de terminaison de passerelle, vous pouvez créer des tunnels entre elles. Pour créer un tunnel, il faut : n n Définir un tunnel Configurer les Paramètres de phase 2 pour la négociation IKE (Internet Key Exchange). Cette phase configure des associations de sécurité pour le chiffrement des paquets de données. Définir un tunnel 1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale. La page VPN de succursale s’affiche. 444 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) 2. Cliquez sur Ajouter adjacent à la liste Tunnels. La boîte de dialogue Nouveau tunnel s’affiche. Guide de l’utilisateur 445 Réseaux BOVPN (Branch Office Virtual Private Network) 3. Dans la zone de texte Nom de tunnel, entrez le nom du tunnel. Assurez-vous que le nom est unique et ne se retrouve pas parmi les noms de tunnels, de groupes Mobile VPN et d’interfaces. 4. Dans la liste Passerelle, sélectionnez la passerelle que ce tunnel va utiliser. 5. Activez la case à cocher Ajouter ce tunnel aux stratégies d’autorisation BOVPN-Allow si vous souhaitez ajouter le tunnel aux stratégies BOVPN-Allow.in et BOVPN-Allow.out. Ces stratégies autorisent tout le trafic correspondant aux itinéraires du tunnel. Si vous souhaitez restreindre le trafic dans le tunnel, désactivez cette case à cocher et créer des stratégies personnalisées pour les types de trafic que vous souhaitez autoriser à passer par le tunnel. Vous pouvez à présent Ajouter des itinéraires à un tunnel, Configurer les Paramètres de phase 2ou Activer le routage de multidiffusion via un tunnel BOVPN. Modifier et supprimer un tunnel Pour modifier un tunnel, sélectionnez VPN > Tunnels « Branch Office ». sélectionnez VPN > BOVPN. 1. Sélectionnez le tunnel et cliquez sur Modifier. La page Tunnel apparaît. 2. Effectuez vos modifications et cliquez sur Enregistrer. 446 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) Pour supprimer un tunnel de la page BOVPN, sélectionnez le tunnel et cliquez sur Supprimer. Ajouter des itinéraires à un tunnel 1. Dans l’onglet Adresses de la boîte de dialogue Tunnel, cliquez sur Ajouter. La boîte de dialogue Paramètres d’itinéraire de tunnel s’affiche. 2. Dans la section IP locale, sélectionnez le type de l’adresse locale dans la liste déroulante Choisir le type. Entrez ensuite la valeur dans la zone de texte adjacente. Vous pouvez entrer une adresse IP d’hôte, une adresse réseau, une plage d’adresses IP d’hôte ou un nom DNS. 3. Dans la section IP distante, sélectionnez le type de l’adresse distante dans la liste déroulante Choisir le type. Entrez ensuite la valeur dans la zone de texte adjacente. Vous pouvez entrer une adresse IP d’hôte, une adresse réseau, une plage d’adresses IP d’hôte ou un nom DNS. 4. Dans la liste déroulante Direction, sélectionnez le sens du tunnel. Le sens du tunnel détermine quel point de terminaison du tunnel VPN peut démarrer une connexion VPN à travers le tunnel. 5. Vous pouvez utiliser l’onglet NAT pour activer 1-to-1 NAT et la traduction d’adresses réseau (NAT) dynamique si les types d’adresses et le sens du tunnel sélectionnés sont compatibles. Pour plus d’informations, voir Configurer la traduction d’adresses réseau (NAT) dynamique pour le trafic sortant via un tunnel BOVPN et Utiliser 1-to-1 NAT via un tunnel BOVPN à la page 453. 6. Cliquez sur OK. Configurer les Paramètres de phase 2 Les paramètres de phase 2 comprennent les paramètres d’une association de sécurité (AS) qui définit la manière dont les paquets de données sont sécurisés lorsqu’ils sont transmis entre deux points de terminaison. L’association de sécurité conserve toutes les informations nécessaires pour que Firebox sache comment traiter le trafic entre les points de terminaison. Les paramètres de l’association de sécurité peuvent comprendre les éléments suivants : Guide de l’utilisateur 447 Réseaux BOVPN (Branch Office Virtual Private Network) n n n n n algorithmes de chiffrement et d’authentification utilisés ; durée de vie de l’association de sécurité (en secondes ou en nombre d’octets, ou les deux) ; adresse IP du périphérique pour lequel l’association de sécurité est établie (à savoir le périphérique qui gère le chiffrement et le déchiffrement IPSec de l’autre côté du VPN, et non l’ordinateur situé derrière qui envoie ou reçoit du trafic) ; adresses IP source et de destination du trafic auquel l’association de sécurité s’applique ; sens du trafic auquel l’association de sécurité s’applique (il y a une association de sécurité pour chaque sens, c’est-à-dire pour le trafic entrant et pour le trafic sortant). 1. Dans la page Tunnel, cliquez sur l’onglet Paramètres de phase 2. 2. Activez la case à cocher PFS si vous souhaitez activer le Perfect Forward Secrecy (PFS). Si vous activez le mode PFS, sélectionnez le groupe Diffie-Hellman. Le mode PFS offre une plus grande protection aux clés qui sont créées au cours d’une session. Les clés générées avec le mode PFS ne sont pas produites à partir d’une clé antérieure. Si une clé antérieure est compromise après une session, les clés de la nouvelle session sont sécurisées. Pour plus d’informations, voir À propos des groupes Diffie-Hellman à la page 441. 3. Firebox contient une proposition par défaut qui figure dans la liste Propositions IPSec. Cette proposition associe la méthode de protection des données ESP, le chiffrement AES et l’authentification SHA-1. Vous pouvez : 448 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) n n n Cliquer sur Ajouter pour ajouter la proposition par défaut. Sélectionnez une autre proposition dans la liste déroulante et cliquez sur Ajouter. Ajoutez une autre proposition, comme indiqué dans Ajouter une proposition de phase 2 à la page 449. Si vous prévoyez d’utiliser la fonction de transit IPSec, vous devez utiliser une proposition qui spécifie ESP (Encapsulating Security Payload) comme méthode de proposition. La fonction de transit IPSec prend en charge le protocole ESP, mais pas le protocole AH. Pour plus d’informations sur le transit IPSec, voir À propos des paramètres VPN globaux à la page 451. Ajouter une proposition de phase 2 Vous pouvez définir un tunnel de sorte à offrir à un pair plusieurs propositions pour la phase 2 de l’IKE. Par exemple, vous pouvez spécifier ESP-3DES-SHA1 dans une première proposition et ESP-DES-MD5 dans une deuxième proposition. Lorsque le trafic transite par le tunnel, l’association de sécurité peut utiliser ESP3DES-SHA1 ou ESP-DES-MD5 afin de correspondre aux paramètres de transformation du pair. Vous pouvez inclure neuf propositions au maximum. Pour ajouter une nouvelle proposition, cliquez sur l’onglet Paramètres de phase 2 dans la page Tunnel . Ajouter une proposition existante Vous pouvez faire votre choix parmi six propositions préconfigurées. Les noms sont au format <Type><Authentication>-<Encryption>. Pour toutes les six, la fonctionnalité Forcer l’expiration de la clé est activée sur 8 heures ou 128 000 kilo-octets. Pour utiliser l’une des six propositions préconfigurées : 1. Sur la page Tunnels, dans la section Propositions IPSec, sélectionnez la proposition à ajouter. 2. Cliquez sur Ajouter. Créer une proposition 1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale. Dans la section Propositions de phase 2, cliquez sur Ajouter. La page Proposition de phase 2 s’affiche. Guide de l’utilisateur 449 Réseaux BOVPN (Branch Office Virtual Private Network) 2. Dans la zone de texte Nom, entrez le nom de la nouvelle proposition. Dans la zone de texte Description, entrez une description permettant d’identifier cette proposition (facultatif). 3. Dans la liste déroulante Type, sélectionnez la méthode de proposition ESP ou AH. Il est recommandé d’utiliser ESP (Encapsulating Security Payload). ESP et AH (Authentication Header) diffèrent de la manière suivante : n n n ESP associe l’authentification au chiffrement. AH s’appuie uniquement sur l’authentification. L’authentification ESP n’inclut pas la protection de l’en-tête IP, contrairement à AH. La fonction de transit IPSec prend en charge le protocole ESP, mais pas le protocole AH. Si vous envisagez d’utiliser la fonction de transit IPSec, vous devez spécifier ESP comme méthode de proposition. Pour plus d’informations sur le transit IPSec, voir À propos des paramètres VPN globaux à la page 451. 4. Dans la liste déroulante Authentification, sélectionnez la méthode d’authentification SHA1, MD5 ou Aucun. 5. (Si vous avez sélectionné ESP dans la liste déroulante Type) Dans la liste déroulante Chiffrement, sélectionnez la méthode de chiffrement. Les options sont DES, 3DES et AES 128, 192 ou 256 bits. Elles sont classées dans la liste de la plus simple et la moins sécurisée à la plus complexe et la plus sécurisée. 6. Pour que les points de terminaison de passerelle génèrent et échangent de nouvelles clés après un certain laps de temps ou le passage d’un certain volume de trafic, activez la case à cocher Forcer l’expiration de la clé. Dans les champs situés en dessous, entrez la durée et le nombre d’octets au bout desquels la clé doit expirer. Si l’option Forcer l’expiration de la clé est désactivée, ou si elle est activée et que les paramètres de 450 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) temps et de kilo-octets ont la valeur zéro, Firebox tente d’utiliser la durée d’expiration de la clé définie pour le pair. Si cette option est également désactivée ou définie sur zéro, Firebox utilise une durée d’expiration de la clé de huit heures. Le laps de temps maximum avant l’expiration forcée de la clé est d’un an. 7. Cliquez sur Enregistrer. Modifier une proposition Seules les propositions définies par l’utilisateur peuvent être modifiées. 1. Dans Fireware XTM Web UI, sélectionnez VPN > BOVPN. 2. Dans la section Propositions de phase 2, sélectionnez une proposition et cliquez sur Modifier. 3. Modifiez les champs comme indiqué dans la section Créer une proposition de cette rubrique. Modifier l’ordre des tunnels L’ordre des tunnels VPN est particulièrement important lorsque plusieurs tunnels utilisent les mêmes itinéraires ou lorsque les itinéraires se chevauchent. Un tunnel qui se trouve en haut de la liste des tunnels dans la boîte de dialogue Tunnels IPSec de filiale est prioritaire sur les tunnels qui sont plus bas dans la liste lorsque le trafic correspond aux itinéraires de plusieurs tunnels. Vous pouvez changer l’ordre dans lequel Firebox tente de se connecter : 1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale. La page de configuration BOVPN apparaît. 2. Sélectionnez un tunnel et cliquez sur Monter ou Descendre pour le faire monter ou descendre dans la liste. À propos des paramètres VPN globaux Vous pouvez sélectionner des paramètres qui s’appliquent aux tunnels BOVPN manuels, aux tunnels BOVPN gérés et aux tunnels Mobile VPN with IPSec. 1. Dans Fireware XTM Web UI, sélectionnez VPN > Paramètres globaux. La page Paramètres VPN globaux s’affiche. Guide de l’utilisateur 451 Réseaux BOVPN (Branch Office Virtual Private Network) 2. Examinez les paramètres expliqués ci-dessous pour les tunnels VPN. Activer le transit IPSec Pour permettre à un utilisateur d’établir des connexions IPSec vers un Firebox derrière un autre Firebox, la case à cocher Activer le transit IPSec doit rester activée. Par exemple, des employés itinérants se trouvant chez un client équipé d’un Firebox peuvent utiliser IPSec pour établir des connexions IPSec vers leurs réseaux. Pour que le périphérique Firebox local établisse correctement la connexion IPSec sortante, vous devez également ajouter une stratégie IPSec dans Policy Manager. Lorsque vous créez une proposition de phase 2 et que vous projetez d’utiliser la fonction de transit IPSec, vous devez spécifier ESP (Encapsulating Security Payload) comme méthode de proposition. La fonction de transit IPSec prend en charge ESP, mais pas AH (Authentication Header). Pour plus d’informations sur la création d’une proposition de phase 2, voir Ajouter une proposition de phase 2 à la page 449. Lorsque vous activez la fonction de transit IPSec, une stratégie intitulée WatchGuard IPSec est automatiquement ajoutée à Policy Manager. Cette stratégie autorise le trafic en provenance d’un réseau approuvé ou facultatif vers n’importe quelle destination. Lorsque vous désactivez la fonction de transit IPSec, la stratégie WatchGuard IPSec est automatiquement supprimée. Activer le type de service (TOS) pour IPSec Le type de service (TOS) est un ensemble d’indicateurs à quatre bits dans l’en-tête IP qui permet d’indiquer aux périphériques de routage de fournir un datagramme IP plus ou moins prioritaire que d’autres datagrammes. Fireware vous permet d’autoriser les tunnels IPSec à effacer ou conserver les paramètres sur les paquets TOS. Certains fournisseurs de services Internet abandonnent tous les paquets comportant des indicateurs TOS. Si vous n’activez pas la case à cocher Activer le type de service (TOS) pour IPSec, aucun paquet IPSec ne comporte de bits TOS. Les bits TOS auparavant définis sont supprimés lorsque Fireware encapsule le paquet dans un en-tête IPSec. 452 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) Lorsque la case à cocher Activer le type de service (TOS) pour IPSec est activée et que le paquet d’origine comporte des bits TOS, Fireware conserve l’ensemble de bits TOS lorsqu’il encapsule le paquet dans l’entête IPSec. Si le paquet d’origine ne comporte pas d’ensemble de bits TOS, Fireware ne définit pas d’indicateurs TOS lorsqu’il encapsule le paquet dans l’en-tête IPSec. Prenez en compte le paramètre de cette case à cocher pour appliquer un marquage QoS au trafic IPsec. Le marquage QoS peut modifier le paramètre d’indicateurs TOS. Pour plus d’informations sur le marquage QoS, voir À propos de Marquage QoS à la page 335. Activer le serveur LDAP pour la vérification du certificat Lorsque vous créez une passerelle VPN, vous spécifiez une méthode d’informations d’identification pour les deux extrémités VPN à utiliser une fois le tunnel créé. Si vous choisissez d’utiliser un Firebox Certificate IPSec, vous pouvez identifier un serveur LDAP qui validera le certificat. Entrez l’adresse IP pour le serveur LDAP. Vous pouvez également spécifier un port différent du port 389. Ce paramètre ne s’applique pas aux tunnels Mobile VPN with IPSec. Utiliser 1-to-1 NAT via un tunnel BOVPN Lorsque vous créez un tunnel BOVPN entre deux réseaux utilisant la même plage d’adresses IP privées, il y a conflit d’adresses. Pour créer un tunnel sans conflit, les deux réseaux doivent appliquer une traduction d’adresses réseau 1-to-1 NAT au réseau VPN. Avec 1-to-1 NAT, les adresses IP de vos ordinateurs semblent différentes de leur véritable adresse lorsque le trafic transite par VPN. Ce paramètre associe une ou plusieurs adresses IP d’une plage à une autre plage d’adresses de même taille. À chaque adresse IP de la première plage correspond une adresse IP de la seconde plage. Dans ce document, nous appelons la première plage « adresses IP réelles » et la seconde plage « fausses adresses IP ». Pour plus d’informations sur 1-to-1 NAT, voir À propos de 1-to-1 NAT à la page 147. 1-to-1 NAT et réseaux VPN Quand vous utilisez 1-to-1 NAT via un tunnel BOVPN : n n Quand un ordinateur de votre réseau envoie du trafic à un ordinateur du réseau distant, Firebox remplace l’adresse IP source des données par une adresse IP prise dans la plage des fausses adresses. Le réseau distant voit les fausses adresses IP comme source du trafic. Quand un ordinateur du réseau distant envoie du trafic à un ordinateur de votre réseau par VPN, le bureau distant envoie les données à la plage de fausses adresses IP. Firebox remplace l’adresse IP de destination par la bonne adresse dans la plage des adresses IP réelles, puis achemine les données vers leur destination prévue. 1-to-1 NAT via VPN affecte uniquement le trafic qui transite par ce réseau VPN. Les règles que vous lisez dans Fireware XTM Web UI sur Réseau > NAT n’ont pas d’incidence sur le trafic qui passe par le réseau VPN. Guide de l’utilisateur 453 Réseaux BOVPN (Branch Office Virtual Private Network) Autres raisons d’utiliser 1-to-1 NAT via un réseau VPN Outre la situation précédente, 1-to-1 NAT via VPN sert également lorsque le réseau auquel vous souhaitez vous relier par VPN dispose déjà d’un VPN vers un réseau ayant les mêmes adresses IP privées que celles de votre réseau. Un périphérique IPSec ne peut pas acheminer des données vers deux réseaux distants différents lorsque ces deux réseaux utilisent les mêmes adresses IP privées. 1-to-1 NAT via VPN permet de donner aux ordinateurs de votre réseau des adresses IP différentes (« fausses »). Toutefois, contrairement à la situation décrite au début de la rubrique, la traduction d’adresses réseau (NAT) ne doit être utilisée que de votre côté du réseau VPN et non des deux côtés. On retrouve une situation similaire lorsque deux bureaux distants utilisent les mêmes adresses IP privées et qu’ils veulent tous les deux ouvrir une liaison VPN avec votre Firebox. Dans ce cas, un des bureaux distants doit utiliser la traduction d’adresses réseau (NAT) pour établir son réseau VPN avec Firebox afin de résoudre le conflit d’adresses IP. Alternativeà l’utilisation de latraduction d’adressesréseau (NAT) Si votre bureau utilise une plage commune d’adresses IP privées, par exemple 192.168.0.x ou 192.168.1.x, il y a de fortes probabilités que vous soyez confrontés à des problèmes de conflits d’adresses IP à l’avenir. Ces plages d’adresses IP sont souvent utilisées par les routeurs large bande ou d’autres périphériques électroniques à domicile et dans les petits bureaux. Vous devriez envisager de passer à une plage d’adresses IP privées moins courante, par exemple 10.x.x.x ou 172.16.x.x. Configuration du réseau VPN 1. Sélectionnez une plage d’adresses IP que les ordinateurs utiliseront comme adresses IP source pour l’acheminement du trafic de votre réseau vers le réseau distant via BOVPN. Consultez l’administrateur réseau de l’autre réseau pour sélectionner une plage d’adresses IP non utilisées. N’utilisez pas les adresses IP des réseaux suivants : n n n n n n Réseau approuvé, facultatif ou externe connecté à Firebox Réseau secondaire connecté à une interface approuvée, facultative ou externe de Firebox Réseau routé configuré dans votre stratégie Firebox (Réseau > Itinéraires) Réseaux auxquels vous êtes déjà reliés par un tunnel BOVPN Pools d’adresses IP virtuelles pour Mobile VPN Réseaux que le périphérique IPSec distant peut atteindre via ses interfaces, itinéraires réseau ou itinéraires VPN 2. Configurer les passerelles pour les périphériques Firebox distants et locaux. 3. Créer des tunnels entre des points de terminaison de passerelle. Dans la boîte de dialogue Paramètres d’itinéraire de tunnel de chaque Firebox, activez la case à cocher 1:1 NAT et entrez la plage de fausses adresses IP dans la zone de texte adjacente. Le nombre d’adresses IP notées dans cette zone doit être rigoureusement identique au nombre d’adresses IP de la zone de texte Local, en haut de la boîte de dialogue. Par exemple, si vous utilisez la notation de barre oblique pour indiquer un sous-réseau, la valeur après la barre oblique doit être identique dans les deux zones de texte. Pour plus d’informations, voir À propos de la notation de barre oblique à la page 4. 454 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) Il n’est pas nécessaire de définir quoi que ce soit dans les paramètres Réseau > NAT dans Fireware XTM Web UI. Ces paramètres n’ont pas d’incidence sur le trafic VPN. Exemple Imaginons que deux sociétés, Site A et Site B, souhaitent établir un réseau BOVPN entre leurs réseaux approuvés. Toutes deux utilisent Firebox avec Fireware XTM. Elles ont les mêmes adresses IP pour leurs réseaux approuvés, 192.168.1.0/24. Le périphérique Firebox de chaque société utilise 1-to-1 NAT sur le réseau VPN. Le site A envoie du trafic à la fausse plage du site B, et le trafic sort du sous-réseau local du site A. De même, le site B envoie du trafic à la fausse plage utilisée par le site A. Cette solution résout le conflit d’adresses IP dans les deux réseaux. Les deux sociétés décident d’un commun accord que : n n Le site A fait provenir son réseau approuvé de la plage 192.168.100.0/24 lorsque des données transitent par VPN. C’est la plage de fausses adresses IP du site B pour ce VPN. Le site B fait provenir son réseau approuvé de la plage 192.168.200.0/24 lorsque des données transitent par VPN. C’est la plage de fausses adresses IP du site B pour ce VPN. Définir une passerelle de succursale sur chaque Firebox La première étape consiste à établir une passerelle qui identifie le périphérique IPSec distant. Quand vous créez cette passerelle, elle apparaît dans la liste des passerelles dans Fireware XTM Web UI. Pour voir la liste des passerelles depuis Fireware XTM Web UI, sélectionnez VPN > VPN de succursale. Configurer le tunnel local 1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale. La page VPN de succursale s’affiche. 2. Dans la section Tunnel de la page BOVPN, cliquez sur Ajouter. La page de paramètres Tunnel s’ouvre. Guide de l’utilisateur 455 Réseaux BOVPN (Branch Office Virtual Private Network) 3. Donnez un nom descriptif au tunnel. Dans l’exemple, il s’agit de « TunnelTo_SiteB » (TunnelVers_ SiteB). 4. Dans la liste déroulante Passerelle, sélectionnez la passerelle orientée vers le périphérique IPSec du bureau distant. Dans l’exemple, la passerelle s’appelle « SiteB ». 5. Examinez l’onglet Paramètres de phase 2. Vérifiez que les paramètres de phase 2 correspondent à ce que le bureau distant utilise en phase 2. 6. Cliquez sur l’onglet Adresses, puis sur Ajouter pour ajouter la paire local-distant. La boîte de dialogue Paramètres d’itinéraire de tunnel s’affiche. 456 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) 7. Dans la section IP locale , sélectionnez IP réseau dans la liste déroulante Choisir le type. Dans la zone de texte IP réseau , entrez la plage d’adresses IP réelles des ordinateurs locaux qui utilisent ce VPN. Dans l’exemple, c’est 192.168.1.0/24. 8. Dans la section Distant, sélectionnez IP réseau dans la liste déroulante Choisir le type. Dans la zone de texte IP réseau entrez la plage d’adresses IP privées vers laquelle les ordinateurs locaux envoient le trafic. Dans cet exemple, le bureau distant Site B utilise 1-to-1 NAT sur son réseau VPN. Cela donne l’impression que les ordinateurs du site B proviennent de la fausse plage du site B, 192.168.200.0/24. Les ordinateurs locaux du site A envoient leurs données à la plage de fausses adresses IP du site B. Si le réseau distant n’utilise pas de traduction d’adresses réseau (NAT) sur son VPN, entrez la plage d’adresses IP réelles dans la zone de texte Distant. 9. Cliquez sur l’onglet NAT. Activez la case à cocher 1:1 NAT et entrez la plage de fausses adresses IP de ce bureau. Il s’agit de la plage d’adresses que les ordinateurs protégés par Firebox affichent comme adresses IP source pour tout trafic provenant de ce périphérique Firebox qui arrive à l’autre extrémité du VPN. (La case à cocher 1:1 NAT est activée dès lors que vous entrez une adresse IP d’hôte valide, une adresse IP de réseau valide ou une plage d’adresses IP d’hôte valides dans la zone de texte Local de l’onglet Adresses.) Le site A utilise 192.168.100.0/24 comme plage de fausses adresses IP. Guide de l’utilisateur 457 Réseaux BOVPN (Branch Office Virtual Private Network) 10. Cliquez sur OK. Firebox ajoute un nouveau tunnel aux stratégies BOVPN-Allow.out et BOVPNAllow.in. 11. Enregistrer le fichier de configuration. Si vous avez besoin de 1-to-1 NAT uniquement de votre côté du réseau VPN, vous pouvez vous arrêter là. Le périphérique à l’autre extrémité du VPN doit configurer son VPN de sorte qu’il accepte le trafic en provenance de votre fausse plage. Configurer le tunnel distant 1. Suivez les étapes 1 à 6 de la procédure précédente pour ajouter le tunnel sur le Firebox distant. Assurez-vous que les paramètres de Phase 2 correspondent bien. 2. Dans la section IP locale , sélectionnez IP réseau dans la liste déroulante Choisir le type. Dans la zone de texte IP réseau , entrez la plage d’adresses IP réelles des ordinateurs locaux qui utilisent ce VPN. Dans l’exemple, c’est 192.168.1.0/24. 3. Dans la section IP locale , sélectionnez IP réseau dans la liste déroulante Choisir le type. Dans la zone de texte IP réseau, entrez la plage d’adresses IP privées vers laquelle les ordinateurs du bureau distant envoient le trafic. Dans notre exemple, le site A utilise 1-to-1 NAT sur son VPN. Cela donne l’impression que les ordinateurs du site A proviennent de la fausse plage 192.168.100.0/24. Les ordinateurs locaux du site B envoient leurs données à la fausse plage d’adresses IP du site A. 458 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) 4. Cliquez sur l’onglet NAT. Activez la case à cocher 1:1 NAT et entrez la plage de fausses adresses IP de ce site. Il s’agit de la plage d’adresses que les ordinateurs de ce Firebox affichent comme adresses IP source pour tout trafic provenant de ce périphérique Firebox qui arrive à l’autre extrémité du VPN. Le site B utilise 192.168.200.0/24 comme plage de fausses adresses IP. 5. Cliquez sur OK. Firebox ajoute un nouveau tunnel aux stratégies BOVPN-Allow.out et BOVPNAllow.in. Guide de l’utilisateur 459 Réseaux BOVPN (Branch Office Virtual Private Network) Définir un itinéraire pour tout le trafic Internet Lorsque vous autorisez les utilisateurs distants à accéder à Internet via un tunnel VPN, la configuration la plus sécurisée consiste à exiger que tout le trafic Internet des utilisateurs distants soit acheminé vers Firebox via le tunnel VPN. À partir de là, le trafic est renvoyé à Internet. Dans cette configuration (appelée VPN avec route par défaut ou avec itinéraire par concentrateur), Firebox peut examiner tout le trafic et offrir une sécurité accrue, et ce, malgré l’augmentation de la puissance de traitement et de la bande passante requises sur Firebox. Lorsque vous utilisez un VPN avec route par défaut, une stratégie de traduction d’adresses réseau dynamique doit inclure le trafic sortant en provenance du réseau distant. Cela permet aux utilisateurs distants de parcourir Internet lorsqu’ils envoient tout le trafic à Firebox. Lorsque vous définissez un itinéraire par défaut via un tunnel BOVPN, vous devez accomplir trois tâches : n n n Configurez un réseau BOVPN sur le Firebox distant (dont le trafic est envoyé dans le tunnel) de sorte qu’il envoie tout le trafic depuis sa propre adresse réseau vers 0.0.0.0/0. Configurez un réseau BOVPN sur le Firebox central pour qu’il autorise le trafic à transiter par lui jusqu’au Firebox distant. Ajoutez un itinéraire sur le Firebox central qui part de 0.0.0.0/0 vers l’adresse réseau du Firebox distant. Avant d’entreprendre les procédures de cette rubrique, vous devez avoir créé un réseau BOVPN manuel entre les Firebox central et distant. Pour plus d’informations sur comment procéder, voir À propos des tunnels BOVPN manuels à la page 430. Configurer le tunnel BOVPN sur le Firebox distant 1. Connectez-vous au Web UI du Firebox distant. 2. Sélectionnez VPN > Branch Office VPN. Repérez le nom du tunnel vers le Firebox central et cliquez sur Modifier. La page Tunnel apparaît. 3. Cliquez sur Ajouter. La boîte de dialogue Paramètres d’itinéraire de tunnel s’affiche. 460 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) 4. Sous IP locale, dans la zone de texte IP d’hôte, entrez l’adresse réseau approuvée du Firebox distant. 5. Sous IP distante, sélectionnez IP réseau dans la liste déroulante Choisir le type. Dans la zone de texte IP d’hôte, entrez 0.0.0.0/0 et cliquez sur OK. 6. Le cas échéant, sélectionnez les autres tunnels vers le Firebox central et cliquez sur Supprimer. 7. Cliquez sur Enregistrer pour enregistrer la modification de la configuration. Configurer le tunnel BOVPN sur le Firebox central 1. Connectez-vous au Web UI du Firebox central. 2. Sélectionnez VPN > Branch Office VPN. Repérez le nom du tunnel vers le Firebox distant et cliquez sur Modifier. La page Tunnel apparaît. 3. Cliquez sur Ajouter. La boîte de dialogue Paramètres d’itinéraire de tunnel s’affiche. 4. Cliquez sur le bouton adjacent à la liste déroulante Local. Sélectionnez IP réseau dans la liste déroulante Choisir le type. Entrez 0.0.0.0/0 comme Valeur et cliquez sur OK. Sous IP locale, sélectionnez IP réseau dans la liste déroulante Choisir le type. Dans la zone de texte IP d’hôte , entrez 0.0.0.0/0. 5. Dans la zone Distant, entrez l’adresse réseau approuvée du Firebox distant et cliquez sur OK. Dans la zone IP distante, entrez l’adresse réseau approuvée du Firebox distant et cliquez sur OK. 6. Le cas échéant, sélectionnez les autres tunnels vers le Firebox distant et cliquez sur Supprimer. 7. Cliquez sur OK et Enregistrez le fichier de configuration. Cliquez sur Enregistrer pour enregistrer la modification de la configuration. Guide de l’utilisateur 461 Réseaux BOVPN (Branch Office Virtual Private Network) Ajouter une entrée de traduction d’adresses réseau (NAT) dynamique au Firebox central Pour autoriser un ordinateur ayant une adresse IP privée à accéder Internet via Firebox, vous devez configurer le périphérique central de sorte qu’il utilise la traduction d’adresses réseau (NAT) dynamique. Elle permet à Firebox de remplacer l’adresse IP privée comprise dans le paquet envoyé par un ordinateur protégé par Firebox par l’adresse IP publique du Firebox. Par défaut, la traduction d’adresses réseau (NAT) dynamique est activée et active pour les trois adresses de réseau privé approuvées par les documents RFC : 192.168.0.0/16 – Any-External (Tout externe) 172.16.0.0/12 – Any-External (Tout externe) 10.0.0.0/8 – Any-External (Tout externe) Quand vous configurez un itinéraire par défaut vers un autre Firebox via un tunnel BOVPN, vous devez ajouter une entrée de traduction d’adresses réseau (NAT) dynamique pour le sous-réseau situé derrière le Firebox distant si ses adresses IP ne figurent pas dans l’une de ces trois plages de réseau privé. 1. Dans Fireware XTM Web UI, sélectionnez Réseau > NAT. La page NAT s’affiche. 2. Dans la section Traduction d’adresses réseau dynamique de la page NAT, cliquez sur Ajouter. La page de configuration de la traduction d’adresses réseau (NAT) dynamique s’ouvre. 462 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) 3. 4. 5. 6. Dans la section De, sélectionnez IP réseau dans la liste déroulante Type de membre. Entrez l’adresse IP du réseau situé derrière le Firebox distant. Dans la section À, sélectionnez Any-External (Tout externe) dans la deuxième liste déroulante. Cliquez sur Enregistrer. Activer le routage de multidiffusion via un tunnel BOVPN Vous pouvez activer le routage de multidiffusion via un tunnel BOVPN afin de prendre en charge les flux de données de multidiffusions unidirectionnels entre des réseaux protégés par des périphériques WatchGuard. Par exemple, le routage de multidiffusion via un tunnel BOVPN permet de diffuser en continu un contenu multimédia d’un serveur de vidéo à la demande vers les utilisateurs d’un réseau à l’autre extrémité du tunnel BOVPN. Avertissement Le routage de multidiffusion via un tunnel BOVPN est pris en charge uniquement entre des périphériques WatchGuard. Lorsque vous activez le routage de multidiffusion via un tunnel BOVPN, le tunnel envoie le trafic de multidiffusions depuis une adresse IP unique d’un côté du tunnel vers l’adresse d’un groupe de multidiffusions IP. Vous configurez les paramètres de multidiffusions du tunnel pour envoyer les données à l’adresse du groupe de multidiffusions IP via le tunnel. Vous devez configurer des paramètres de multidiffusions différents selon le périphérique Firebox. Sur un Firebox, vous configurez le tunnel pour qu’il envoie un trafic de multidiffusions dans le tunnel et, sur l’autre, vous configurez le tunnel pour qu’il reçoive le trafic de multidiffusions. Vous ne pouvez configurer qu’une seule adresse IP d’origine par tunnel. Guide de l’utilisateur 463 Réseaux BOVPN (Branch Office Virtual Private Network) Lorsque vous activez le routage de multidiffusion via un tunnel BOVPN, le périphérique WatchGuard établit un tunnel GRE à l’intérieur du tunnel VPN IPSec entre les réseaux. Firebox envoie le trafic de multidiffusions via le tunnel GRE. Celui-ci requiert une adresse IP inutilisée de chaque côté du tunnel. Vous devez configurer les adresses IP auxiliaires à chaque extrémité du tunnel BOVPN. Activer un périphérique WatchGuard pour qu’il envoie du trafic de multidiffusions via un tunnel Sur le Firebox qui émet le trafic de multidiffusions, modifiez la configuration du tunnel de sorte qu’elle autorise le périphérique à envoyer du trafic de multidiffusions dans le tunnel BOVPN. 1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale. 2. Sélectionnez un tunnel et cliquez sur Modifier. 3. De la page Tunnel, cliquez sur l’onglet Paramètres de multidiffusions. 4. Activez la case à cocher Activer le routage de multidiffusion via le tunnel. 5. Dans la zone de texte IP d’origine , entrez l’adresse IP du périphérique à l’origine du trafic. 6. Dans la zone de texte IP du groupe , entrez l’adresse IP de multidiffusion qui recevra le trafic. 464 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) 7. Sélectionnez la case d’option Activer le périphérique pour envoyer du trafic de multidiffusions. 8. Dans la liste déroulante Interface d’entrée, sélectionnez l’interface d’où provient le trafic de multidiffusions. 9. Cliquez sur l’onglet Adresses. Les paramètres Points de terminaison du tunnel de diffusion/multidiffusion s’affichent en bas de l’onglet Adresses. 10. Dans la section Adresses auxiliaires, entrez les adresses IP de chaque extrémité du tunnel de multidiffusion. Firebox utilise ces adresses comme points de terminaison du tunnel GRE de diffusion/multidiffusion à l’intérieur du tunnel BOVPN IPSec. Vous pouvez choisir l’IP locale et l’IP distante parmi toutes les adresses IP inutilisées. Nous vous recommandons de choisir des adresses IP qui ne sont utilisées sur aucun réseau reconnu par Firebox. n n Dans le champ IP locale, entrez l’adresse IP à utiliser à l’extrémité locale du tunnel. Dans le champ IP distante, entrez l’adresse IP à utiliser à l’extrémité distante du tunnel. Guide de l’utilisateur 465 Réseaux BOVPN (Branch Office Virtual Private Network) Activer l’autre périphérique WatchGuard pour qu’il reçoive le trafic de multidiffusions via un tunnel Sur le Firebox du réseau qui doit recevoir le trafic de multidiffusions, configurez les paramètres de sorte qu’ils autorisent le périphérique à recevoir le trafic de multidiffusions transitant par le tunnel. 1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale. 2. 3. 4. 5. 6. 7. 8. 9. Sélectionnez un tunnel et cliquez sur Modifier. De la page Tunnel, cliquez sur l’onglet Paramètres de multidiffusions. Activez la case à cocher Activer le routage de multidiffusion via le tunnel. Dans le champ IP d’origine , entrez l’adresse IP du périphérique à l’origine du trafic. Dans le champ IP du groupe, entrez l’adresse de multidiffusion qui recevra le trafic. Sélectionnez la case d’option Activer le périphérique pour recevoir du trafic de multidiffusions. À l’aide des cases à cocher, sélectionnez les interfaces qui recevront le trafic de multidiffusions. Cliquez sur l’onglet Adresses. Les paramètres Points de terminaison du tunnel de diffusion/multidiffusion s’affichent en bas de l’onglet Adresses. 10. Dans la section Adresses auxiliaires, inversez les adresses IP entrées lors de la configuration de la première extrémité du tunnel. n n Dans le champ IP locale, entrez l’adresse IP saisie dans le champ IP distante du Firebox à l’autre extrémité du tunnel. Dans le champ IP distante, entrez l’adresse IP saisie dans le champ IP locale du Firebox à l’autre extrémité du tunnel. Activer le routage de diffusion par un tunnel BOVPN Note Le routage de diffusion via tunne BOVPN est pris en charge uniquement entre des périphériques WatchGuard. Vous pouvez configurer votre Firebox de manière à prendre en charge le routage de diffusion à travers un Tunnel Branch Office VPN. Lorsque vous activez le routage de diffusion, le tunnel prend en charge les diffusions vers l’adresse IP de diffusion limitée 255.255.255.255. Le trafic de diffusion de sous-réseau n’est pas routé à travers le tunnel. Le routage de diffusion ne prend en charge la diffusion que d’un réseau à l’autre à travers un tunnel BOVPN. Le routage de diffusion par tunnel BOVPN ne prend pas en charge les types de diffusion suivants : n n n Diffusion de protocole Bootstrap/DHCP Diffusions NetBIOS Diffusion SMB (Server Message Block) Pour un exemple qui montre les diffusions pouvant être routées via un tunnel BOVPN, cf. Exemple : Routage de diffusion via un tunnel BOVPN. 466 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) Certaines applications logicielles nécessitent la possibilité de diffusion vers d’autres dispositifs réseau pour fonctionner. Si les dispositifs ayant besoin de communiquer de cette manière sont sur des réseaux connectés via tunnel BOVPN, vous pouvez activer le routage de diffusion à travers le tunnel pour que l’application puisse trouver les dispositifs sur le réseau de l’autre côté du tunnel. Lorsque vous activez le routage de diffusion via un tunnel BOVPN, le périphérique WatchGuard établit un tunnel GRE à l’intérieur du tunnel VPN IPSec entre les réseaux. Firebox envoie le trafic de diffusion via le tunnel GRE. Le tunnel GRE nécessite une adresse IP non utilisée de chaque côté du tunnel. Vous devez configurer les adresses IP auxiliaires à chaque extrémité du tunnel BOVPN. Activez le routage de diffusion pour le Firebox local 1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale. 2. Sélectionnez un tunnel et cliquez sur Modifier. 3. De la page du tunnel, sélectionnez l’itinéraire tunnel et cliquez sur Modifier. La boîte de dialogue Paramètres d’itinéraire de tunnel s’affiche. 4. Cliquez sur la case Activer le routage de diffusion via le tunnel. Cliquez sur OK. Vous retournerez sur la page Tunnel.Les adresses auxiliaires apparaissent en bas de l’onglet des adresses. Guide de l’utilisateur 467 Réseaux BOVPN (Branch Office Virtual Private Network) 5. Dans la section Adresses auxiliaires, entrez les adresses IP de chaque extrémité du tunnel de diffusion. Firebox utilise ces adresses comme points de terminaison du tunnel GRE de diffusion/multidiffusion à l’intérieur du tunnel BOVPN IPSec. Vous pouvez choisir l’IP locale et l’IP distante parmi toutes les adresses IP inutilisées. Nous vous recommandons de choisir des adresses IP qui ne sont utilisées sur aucun réseau reconnu par Firebox. n n Dans le champ IP locale, tapez une adresse IP à utiliser pour l’extrémité locale du tunnel. Dans le champ IP à distance, tapez une adresse IP à utiliser pour l’extrémité locale du tunnel. Configurez le routage de diffusion pour le Firebox de l’autre extrémité du tunnel. 1. Répétez les étapes 1 à 4 ci-dessus pour activer le routage de diffusion pour le Firebox de l’autre extrémité du tunnel. 2. Dans la section Adresses auxiliaires, inversez les adresses entrées lors de la configuration de la première extrémité du tunnel. n 468 Dans le champ IP locale, tapez l’adresse IP saisie dans le champ IP à distance pour le Firebox de l’autre extrémité du tunnel. WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) n Dans le champ IP distante, tapez l’adresse IP saisie dans le champ IP local pour le Firebox de l’autre extrémité du tunnel. Configurer le basculement VPN Le basculement est une fonction importante des réseaux qui demande un haut niveau de disponibilité. Lorsque le basculement Multi-WAN est configuré, les tunnels VPN basculent automatiquement vers une interface externe de sauvegarde en cas de défaillance. Vous pouvez également configurer le basculement des tunnels VPN vers un point de terminaison de sauvegarde si le point de terminaison principal cesse d’être disponible. Le basculement VPN se produit en présence de l’un des deux événements suivants : n n Un lien physique ne fonctionne pas. Firebox analyse l’état de la passerelle VPN et des périphériques identifiés dans la configuration d’analyse du lien Multi-WAN. Si le lien physique ne fonctionne pas, le basculement VPN a lieu. Firebox détecte que le pair VPN n’est pas actif. Lorsque le basculement se produit, si le tunnel utilise la conservation d’activité IKE, le protocole IKE continue à envoyer des paquets de conservation d’activité de phase 1 au pair. Lorsqu’il obtient une réponse, IKE déclenche le failback vers la passerelle VPN principale. Si le tunnel utilise la détection DPD, le failback se produit lorsqu’une réponse est reçue de la passerelle VPN principale. En cas de basculement, la plupart des nouvelles connexions et des connexions existantes sont automatiquement basculées. Par exemple, si vous lancez une commande « PUT » de FTP et que le chemin d’accès principal au VPN échoue, la connexion FTP existante continue sur le chemin d’accès de sauvegarde au VPN. La connexion n’est pas perdue, mais elle est un peu retardée. Notez que le basculement VPN ne peut se produire que si les conditions suivantes sont remplies : n n n n Fireware v11.0 ou une version ultérieure est installé sur les périphériques Firebox à chaque point de terminaison de tunnel. Le basculement multi-WAN est configuré, tel que décrit dans À propos de l’utilisation de plusieurs interfaces externes à la page 123. Les interfaces de votre périphérique Firebox sont répertoriées en tant que paires de passerelles sur le périphérique Firebox distant. Si vous avez déjà configuré le basculement Multi-WAN, vos tunnels VPN vont automatiquement basculer vers l’interface de sauvegarde. La détection DPD est activée dans les paramètres de phase 1 de la passerelle de filiale à chaque extrémité du tunnel. Le basculement VPN ne se produit pas pour les tunnels BOVPN pour lesquels la traduction d’adresses réseau (NAT) dynamique est activée dans le cadre de leur configuration. Pour les tunnels BOVPN qui n’utilisent pas la traduction d’adresses réseau, le basculement VPN a lieu et la session BOVPN continue. Avec les tunnels Mobile VPN, la session ne continue pas. Vous devez à nouveau authentifier votre client Mobile VPN pour créer un nouveau tunnel Mobile VPN. Guide de l’utilisateur 469 Réseaux BOVPN (Branch Office Virtual Private Network) Définir plusieurs paires de passerelles Pour configurer le basculement des tunnels BOVPN manuels vers un point de terminaison de sauvegarde, vous devez définir plusieurs ensembles de points de terminaison locaux et distants (paires de passerelles) pour chaque passerelle. Pour disposer de fonctionnalités de basculement complètes pour une configuration VPN, vous devez définir des paires de passerelles pour chaque combinaison d’interfaces externes de chaque côté du tunnel. Supposons par exemple que votre point de terminaison local principal est 23.23.1.1/24, et son point de terminaison de sauvegarde 23.23.2.1/24. Votre point de terminaison distant principal est 50.50.1.1/24, et son point de terminaison de sauvegarde 50.50.2.1/24. Pour un basculement VPN complet, vous devrez définir les quatre paires de passerelles suivantes : 23.23.1.1 - 50.50.1.1 23.23.1.1 - 50.50.2.1 23.23.2.1 - 50.50.1.1 23.23.2.1 - 50.50.2.1 1. Sélectionnez VPN > VPN de succursale. Cliquez sur Ajouter en regard de la liste Passerelles pour ajouter une nouvelle passerelle. Donnez-lui un nom et définissez la méthode d’informations d’identification, comme cela est expliqué dans Configurer les passerelles à la page 434. 2. Dans la section Points de terminaison de passerelle de la page de paramètres Passerelle, cliquez sur Ajouter. La La boîte de dialogue Paramètres de points de terminaison de la passerelle apparaît. 470 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) 3. Spécifiez l’emplacement des passerelles locales et distantes. Sélectionnez le nom de l’interface externe qui correspond à l’adresse IP de la passerelle locale ou au nom de domaine que vous ajoutez. Vous pouvez ajouter à la fois une adresse IP de passerelle et un ID de passerelle pour la passerelle distante. Cela peut être nécessaire si cette dernière se trouve derrière un périphérique NAT et si elle a besoin d’informations supplémentaires pour s’authentifier sur le réseau situé derrière le périphérique NAT. 4. Cliquez sur OK pour fermer la boîte de dialogue Paramètres de points de terminaison de la nouvelle passerelle. La La boîte de dialogue Passerelle s’affiche. La paire de passerelles que vous avez définie apparaît dans la liste des points de terminaison de passerelle. 5. Répétez cette procédure pour définir d’autres paires de passerelles. Vous pouvez ajouter jusqu’à neuf paires de passerelles. Vous pouvez sélectionner une paire et cliquer sur Actif ou Inactif pour changer l’ordre dans lequel Firebox tente de se connecter. 6. Cliquez sur Enregistrer. Guide de l’utilisateur 471 Réseaux BOVPN (Branch Office Virtual Private Network) Voir Statistiques VPN Vous pouvez utiliser Fireware XTM Web UI pour surveiller le trafic VPN sur Firebox et dépanner la configuration VPN. 1. Sélectionnez État du système > Statistiques VPN. La page Statistiques VPN s’affiche. 2. Pour forcer le renouvellement de la clé du tunnel BOVPN sélectionné, cliquez sur le bouton Renouveler la clé du tunnel BOVPN sélectionné. Pour plus d’informations, voir Renouveler la clé des tunnels BOVPN à la page 472. 3. Pour obtenir d’autres informations à utiliser pour le dépannage, cliquez sur Débogage. Pour plus d’informations, voir Statistiques VPN à la page 391. Renouveler la clé des tunnels BOVPN Les points de terminaison de passerelle des tunnels BOVPN doivent générer de nouvelles clés et les échanger après un certain laps de temps ou le passage d’un certain volume de trafic dans le tunnel. Si vous souhaitez générer immédiatement de nouvelles clés sans attendre leur expiration, vous pouvez renouveler la clé d’un tunnel BOVPN pour la forcer à expirer immédiatement. Cela peut être utile quand vous résolvez des problèmes de tunnel. Pour renouveler la clé d’un tunnel BOVPN : 1. Sélectionnez État du système > Statistiques VPN. La page Statistiques VPN s’affiche. 2. Dans le tableau Tunnels BOVPN, cliquez sur un tunnel pour le sélectionner. 3. Cliquez sur Renouveler la clé des tunnels BOVPN sélectionnés. Questions liées à la configuration du réseau BOVPN Pourquoi avez-vous besoin d’une adresse externe statique ? Pour établir une connexion VPN, chaque périphérique doit connaître l’adresse IP de l’autre périphérique. Si l’adresse d’un périphérique est dynamique, l’adresse IP peut changer. Si l’adresse IP change, les connexions entre les périphériques ne peuvent pas être établies sauf si les deux périphériques savent comment se trouver. Vous pouvez utiliser le service DNS dynamique si vous ne pouvez pas vous procurer d’adresse IP externe statique. Pour de plus amples informations, cf. À propos du Service DNS dynamique à la page 92. Comment obtenir une adresse IP externe statique ? Vous pouvez vous procurer l’adresse IP externe de votre ordinateur ou de votre réseau auprès de votre fournisseur de services Internet ou d’un administrateur réseau. De nombreux fournisseurs de services Internet utilisent des adresses IP dynamiques pour faciliter la configuration et l’utilisation de leurs réseaux avec un grand nombre d’utilisateurs. La plupart d’entre eux peuvent vous fournir une adresse IP statique en option. 472 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) Comment dépanner la connexion ? Si vous pouvez envoyer une requête ping à l’interface approuvée du périphérique Firebox distant et aux ordinateurs du réseau distant, le tunnel VPN fonctionne. La configuration du logiciel réseau ou les applications logicielles sont des causes possibles d’autres problèmes. Pourquoi le test ping ne fonctionne-t-il pas ? Si vous ne parvenez pas à envoyer une requête ping à l’adresse IP de l’interface locale du périphérique Firebox distant, procédez comme suit : 1. Exécutez la commande ping sur l’adresse externe du périphérique Firebox distant. Par exemple, à partir du site A, exécutez la commande ping sur l’adresse IP du site B. Si vous ne recevez pas de réponse, assurez-vous que les paramètres de réseau externe du site B sont corrects. Le site B doit être configuré pour répondre aux requêtes ping sur cette interface. Si les paramètres sont corrects, assurez-vous que les ordinateurs du site B ont accès à Internet. Si les ordinateurs du site B ne peuvent pas se connecter, consultez votre fournisseur de services Internet ou votre administrateur réseau. 2. Si vous pouvez envoyer une requête ping à l’adresse externe de chaque Firebox, essayez d’en envoyer une à l’adresse locale du réseau distant. Depuis un ordinateur du site A, envoyez une requête ping à l’adresse IP de l’interface interne du Firebox distant. Si le tunnel VPN fonctionne, le Firebox distant renvoie le paquet ping. Si vous ne recevez pas de réponse, vérifiez la configuration locale. Vérifiez que les plages d’adresses DHCP locales des deux réseaux connectés par le tunnel VPN n’utilisent aucune adresse IP en commun. Les deux réseaux connectés par le tunnel ne doivent pas utiliser les mêmes adresses IP. Comment définir plus de tunnels VPN que le nombre autorisé sur un périphérique Edge ? Le nombre de tunnels VPN que vous pouvez créer sur votre périphérique Firebox X Edge e-Series est déterminé par le modèle Edge dont vous disposez. Afin de créer un plus grand nombre de tunnels VPN, vous pouvez acheter une mise à niveau de modèle pour votre périphérique Edge auprès d’un revendeur ou sur le site Web de WatchGuard à l’adresse suivante : http://www.watchguard.com/products/purchaseoptions.asp Augmenter la disponibilité du tunnel BOVPN Sur certaines installations BOVPN dont tous les paramètres sont justes, les connexions BOVPN ne fonctionnent pas toujours correctement. Les informations ci-dessous vous permettront de résoudre les problèmes de disponibilité de votre tunnel BOVPN. Ces procédures n’ont aucune incidence sur la performance générale du tunnel BOVPN. La plupart des tunnels BOVPN restent disponibles pour acheminer le trafic à tout moment. Les problèmes sont souvent liés à l’une au moins des conditions suivantes : Guide de l’utilisateur 473 Réseaux BOVPN (Branch Office Virtual Private Network) n n n Un des points de terminaison ou les deux ont des connexions externes non fiables. Elles se caractérisent notamment par une latence élevée, une forte fragmentation des paquets et de nombreuses pertes de paquets. Ces facteurs ont des conséquences plus importantes sur le trafic BOVPN que sur d’autres trafics courants, comme HTTP ou SMTP. Dans le trafic BOVPN, les paquets chiffrés doivent arriver au point de terminaison de destination, être déchiffrés, puis réassemblés avant que le trafic non chiffré puisse être acheminé à l’adresse IP de destination. L’un des points de terminaison n’est pas un périphérique WatchGuard, ou est un vieux périphérique WatchGuard équipé d’un logiciel système ancien. Des tests de compatibilité sont réalisés entre les nouveaux produits WatchGuard et d’anciens périphériques avec les derniers logiciels disponibles pour les anciens périphériques. Les logiciels anciens peuvent poser des problèmes qui ont été résolus dans leurs versions plus récentes. Étant donné qu’ils se fondent sur la norme IPSec, les périphériques WatchGuard sont compatibles avec la plupart des points de terminaison tiers. Toutefois, certains périphériques de terminaison tiers ne sont pas conformes à la norme IPSec en raison de problèmes logiciels ou de paramètres propriétaires. Si le trafic transitant par le tunnel est faible, ou s’il s’écoule de longs intervalles entre deux passages de trafic, certains points de terminaison ferment la connexion VPN. Ce n’est pas le cas des périphériques WatchGuard utilisant Fireware et des périphériques WatchGuard Edge. Certains périphériques tiers et les périphériques WatchGuard équipés d’anciennes versions du logiciel WFS utilisent cette condition pour fermer les tunnels qui semblent inactifs. Si vous pouvez installer les derniers systèmes d’exploitation et logiciels de gestion sur tous les périphériques WatchGuard, les autres conditions de la liste ne sont pas de votre ressort. Il est toutefois possible de prendre certaines mesures pour augmenter la disponibilité du réseau BOVPN. Sélectionnez la conservation d’activité IKE ou la détection DPD (Dead Peer Detection), mais pas les deux. Ces deux paramètres peuvent vous indiquer quand un tunnel est déconnecté. Lorsqu’ils découvrent que le tunnel s’est déconnecté, ils entament une nouvelle négociation de Phase 1. Si vous sélectionnez la conservation d’activité IKE et la détection DPD (Dead Peer Detection) en même temps, la nouvelle négociation de Phase 1 lancée par l’une peut donner l’impression à la seconde que le tunnel est déconnecté et l’amener à lancer une deuxième négociation. Chaque négociation de Phase 1 interrompt tout trafic dans le tunnel, jusqu’à ce que le tunnel ait été négocié. Pour améliorer la stabilité du tunnel, sélectionnez soit la conservation d’activité IKE, soit la détection DPD (Dead Peer Detection). Mais ne les sélectionnez pas toutes les deux. Il faut noter les points suivants à propos de ces paramètres : Le paramètre Conservation d’activité IKE est utilisé uniquement par les périphériques WatchGuard. Ne l’utilisez pas si le point de terminaison distant est un périphérique IPSec tiers. Lorsque vous activez la conservation d’activité IKE, Firebox envoie à intervalles réguliers un message au périphérique de passerelle distant et attend une réponse. Intervalle du message détermine la fréquence d’envoi du message. Nombre d’échecs max indique le nombre d’absences de réponse du périphérique de passerelle distant avant que Firebox essaie de renégocier la connexion de Phase 1. 474 WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) La détection DPD (Dead Peer Detection) est une norme professionnelle utilisée par la plupart des périphériques IPSec. Sélectionnez-la si les deux périphériques de terminaison la prennent en charge. Lorsque vous activez la détection DPD (Dead Peer Detection), Firebox surveille le trafic du tunnel pour déterminer si celui-ci est actif. Si aucun trafic n’est parvenu au pair distant pendant la durée entrée dans Délai d’inactivité du trafic, et si un paquet doit être envoyé au pair, Firebox envoie une requête. En l’absence de réponse au bout du nombre maximal de tentatives, Firebox renégocie une connexion de Phase 1. Pour plus d’informations sur la détection DPD (Dead Peer Detection), voir http://www.ietf.org/rfc/rfc3706.txt. Les paramètres Conservation d’activité IKE et Détection DPD (Dead Peer Detection) font partie des paramètres de Phase 1. 1. Dans Fireware XTM Web UI, sélectionnez VPN > BOVPN. 2. Sélectionnez la passerelle souhaitée, puis cliquez sur Modifier. 3. Cliquez sur l’onglet Paramètres de phase 1. Utiliser les paramètres par défaut Les paramètres par défaut du réseau BOVPN offrent la meilleure combinaison de sécurité et de vitesse. Utilisez-les dans la mesure du possible. Si le périphérique de terminaison distant ne prend pas en charge l’un des paramètres WatchGuard par défaut, configurez le périphérique WatchGuard de sorte qu’il utilise le paramètre par défaut du point de terminaison distant. Voici les paramètres par défaut de WSM 11.x : Note Si un paramètre ne s’affiche pas dans les pages de configuration VPN > BOVPN , vous ne pouvez pas le modifier. Paramètres généraux Mode Principal (Sélectionnez Agressif si l’un des périphériques a une adresse IP externe dynamique.) NAT Traversal Oui Intervalle d’activité NAT Traversal 20 secondes Conservation d’activité IKE Désactivé(e) Intervalle entre les messages de conservation d’activité IKE Aucun(e) Nombre d’échecs max de la conservation d’activité IKE Aucun(e) Détection DPD (Dead Peer Detection) (RFC3706) Activé(e) Délai d’inactivité du trafic de la détection DPD (Dead Peer Detection) 20 secondes Nombre maximal de tentatives de détection DPD (Dead Peer Detection) 5 Guide de l’utilisateur 475 Réseaux BOVPN (Branch Office Virtual Private Network) Paramètres généraux Paramètres de transformation de PHASE 1 Algorithme d’authentification SHA-1 Algorithme de chiffrement 3DES SA Life ou expiration de la négociation (heures) 8 SA Life ou expiration de la négociation (kilo-octets) 0 Groupe Diffie-Hellman 2 Paramètres de proposition de PHASE 2 Type ESP Algorithme d’authentification SHA-1 Algorithme de chiffrement AES (256 bits) Forcer l’expiration de la clé Activer Expiration de la clé de Phase 2 (heures) 8 Expiration de la clé de Phase 2 (kilo-octets) 128 000 Activer PFS (Perfect Forward Secrecy) Non Groupe Diffie-Hellman Aucun(e) Configurer Firebox afin qu’il fasse transiter les données de journal par le tunnel Si aucun trafic ne passe par le tunnel pendant une certaine durée, un point de terminaison peut décider que l’autre point de terminaison est indisponible et ne pas essayer de renégocier immédiatement le tunnel VPN. Un moyen de s’assurer que le trafic transite bien par le tunnel à tout moment consiste à configurer Firebox afin qu’il fasse transiter les données de journal par le tunnel. Il n’est pas nécessaire d’avoir un serveur Log Server pour recevoir et garder la trace du trafic. Dans ce cas, vous configurez volontairement Firebox de sorte qu’il envoie des données de journal à un log server qui n’existe pas. Cela crée un volume constant et minime de trafic qui transite par le tunnel, ce qui peut contribuer à assurer la stabilité du tunnel. Il existe deux types de données de journal : la journalisation de WatchGuard et la journalisation de Syslog. Si Firebox est configuré pour envoyer des données de journal à un serveur WatchGuard Log Server et à un serveur Syslog, vous ne pouvez pas utiliser cette méthode pour acheminer du trafic dans le tunnel. Vous devez choisir l’adresse IP d’un serveur Log Server qui recevra les données de journal. Pour choisir l’adresse IP, appliquez la procédure suivante. n 476 L’adresse IP du serveur Log Server que vous utilisez doit être une adresse IP incluse dans les paramètres d’itinéraire du tunnel distant. Pour plus d’informations, voir Ajouter des itinéraires à WatchGuard System Manager Réseaux BOVPN (Branch Office Virtual Private Network) n un tunnel à la page 447. L’adresse IPduserveur Log Server ne doitpasêtre une adresse IPutilisée par unpériphérique réel. Les deux types de journalisation génèrent des volumes de trafic différents. Journalisation de WatchGuard Aucune donnée de journal n’est envoyée tant que Firebox n’est pas connecté à un serveur Log Server. Les seuls types de trafic envoyés via le tunnel sont des tentatives de connexion à un serveur Log Server qui sont envoyées toutes les trois minutes. Cela peut constituer un trafic suffisant pour contribuer à la stabilité du tunnel, tout en ayant une incidence mineure sur le reste du trafic BOVPN. Journalisation de Syslog Lesdonnées de journal sontimmédiatement envoyéesà l’adresse IPdu serveur SysLog. Le volume de données dépenddu trafic géré par Firebox. Lajournalisation de Syslog génère habituellement uncertain trafic,car despaquets transitenten permanence par le tunnel. Encertaines occasions,le volume de trafic peut ralentir le trafic BOVPN ordinaire, maisc’est assezrare. Pour améliorer la stabilité et avoir le moins d’incidence possible sur le trafic BOVPN, essayez d’abord l’option Journalisation de WatchGuard. Si cela n’améliore pas la stabilité du tunnel BOVPN, essayez la journalisation de Syslog. Les procédures suivantes partent du principe que les deux périphériques de terminaison sont des périphériques WatchGuard Firebox, et qu’aucun d’eux ne soit configuré pour envoyer des données de journal, que ce soit à un serveur WatchGuard Log Server ou à un serveur Syslog. Si un point de terminaison est déjà configuré pour envoyer des données de journal collectées par un serveur, ne modifiez pas ces paramètres de journalisation. Les différentes options que vous pouvez utiliser sont les suivantes : n n n n n n Configurez un point de terminaison de sorte qu’il envoie du trafic de journal WatchGuard via le tunnel. Configurez l’autre point de terminaison de sorte qu’il envoie du trafic de journal WatchGuard via le tunnel. Configurez les deux points de terminaison de sorte qu’ils envoient du trafic de journal WatchGuard via le tunnel. Configurez un point de terminaison de sorte qu’il envoie du trafic de journal Syslog via le tunnel. Configurez uniquement l’autre point de terminaison de sorte qu’il envoie du trafic de journal Syslog via le tunnel. Configurez les deux points de terminaison de sorte qu’ils envoient du trafic de journal Syslog via le tunnel. Envoyer des données de journal WatchGuard via le tunnel 1. Dans Fireware XTM Web UI, sélectionnez Système > Journalisation. La page Journalisation s’ouvre. 2. Activez la case à cocher Activer la journalisation de WatchGuard vers ces serveurs. 3. Dans le champ Adresse du serveur Log Server, entrez l’adresse IP retenue pour le serveur. Guide de l’utilisateur 477 Réseaux BOVPN (Branch Office Virtual Private Network) 4. Entrez une clé de chiffrement dans le champ Clé de chiffrement et confirmez-la dans le champ Confirmer. La clé de chiffrement peut comprendre entre 8 et 32 caractères. Vous pouvez utiliser tous les caractères à l’exception des espaces et des barres obliques (/ ou \). 5. Cliquez sur Ajouter. Cliquez sur Enregistrer. Envoyer des données Syslog via le tunnel 1. Dans Fireware XTM Web UI, sélectionnez Système > Journalisation. La page Journalisation s’ouvre. 2. 3. 4. 5. 478 Cliquez sur l’onglet Serveur Syslog. Activez la case à cocher Activer la journalisation de Syslog vers ces serveurs. Entrez l’adresse IP retenue pour le serveur Syslog dans le champ adjacent. Cliquez sur Enregistrer. WatchGuard System Manager 21 Mobile VPN with PPTP À propos de Mobile VPN with PPTP Mobile VPN (Mobile Virtual Private Networking) utilise le protocole PPTP (Point-to-Point Tunneling Protocol) pour établir une connexion sécurisée entre un ordinateur distant et les ressources réseau situées derrière le périphérique WatchGuard. Chaque périphérique WatchGuard prend en charge jusqu’à 50 utilisateurs simultanés. Les utilisateurs Mobile VPN with PPTP peuvent s’authentifier auprès du périphérique WatchGuard ou d’un serveur d’authentification RADIUS ou VACMAN Middleware. Pour utiliser Mobile VPN with PPTP, vous devez configurer le périphérique WatchGuard et les ordinateurs clients. Spécifications de Mobile VPN with PPTP Avant de configurer un périphérique WatchGuard en vue d’utiliser Mobile VPN with PPTP, vérifiez que vous disposez de ces informations : n Les adresses IP du client distant à utiliser pour les sessions Mobile VPN with PPTP. Pour les tunnels Mobile VPN with PPTP, le périphérique WatchGuard donne une adresse IP virtuelle à chaque utilisateur distant. Ces adresses IP ne peuvent pas correspondre à des adresses utilisées par le réseau situé derrière le périphérique WatchGuard. La procédure la plus sûre pour donner des adresses aux utilisateurs Mobile VPN consiste à installer un réseau secondaire « réservé ». Il vous suffit ensuite de sélectionner une adresse IP dans cette plage réseau. Par exemple, vous créez un sous-réseau en tant que réseau secondaire sur votre réseau approuvé 10.10.0.0/24, puis vous sélectionnez les adresses IP dans ce sous-réseau pour votre plage d’adresses PPTP. n n Les adresses IP des serveurs DNS et WINS qui résolvent les noms d’hôtes en adresses IP. Les noms et mots de passe (en plusieurs mots) des utilisateurs qui sont autorisés à se connecter au périphérique périphérique WatchGuard avec Mobile VPN with PPTP. Guide de l’utilisateur 479 Mobile VPN with PPTP Niveaux de chiffrement Pour Mobile VPN with PPTP, vous pouvez opter pour le chiffrement 128 bits ou 40 bits. Aux États-Unis, le chiffrement sur 128 bits est activé sur les versions logicielles de Windows XP. Vous pouvez obtenir un correctif logiciel auprès de Microsoft pour activer le chiffrement renforcé sur d’autres versions de Windows. Firebox tente toujours d’utiliser le chiffrement 128 bits en premier. Il peut être configuré pour utiliser le chiffrement 40 bits si le client ne peut pas utiliser la connexion chiffrée sur 128 bits. Pour plus d’informations sur le chiffrement sur 40 bits, voir Configurer Mobile VPN with PPTP à la page 480. Si vous n’êtes pas aux États-Unis et que vous souhaitez disposer d’un chiffrement renforcé sur votre compte LiveSecurity Service, envoyez un message à supportid@watchguard.com et fournissez les informations suivantes : n n n n n n Le numéro de votre clé LiveSecurity Service La date d’achat de votre produit WatchGuard Le nom de votre entreprise L’adresse postale de votre entreprise Le numéro de téléphone et le nom de la personne à contacter L’adresse de messagerie Si vous habitez aux États-Unis et que vous n’utilisez pas encore WSM (WatchGuard System Manager) avec chiffrement renforcé, vous devez télécharger le logiciel de chiffrement renforcé à partir de la page des téléchargements de logiciels du site Web LiveSecurity Service. 1. Ouvrez un navigateur Web et accédez au site www.watchguard.com. 2. Connectez-vous à votre compte LiveSecurity Service. 3. Cliquez sur Assistance technique. Le centre de support technique WatchGuard apparaît. 4. Dans la section Managing Your Products (Gestion de vos produits) section, cliquez sur Software Download (Téléchargement de logiciels). 5. Dans la liste Choose product family (Sélection de la gamme de produits), sélectionnez votre périphérique WatchGuard. La page de téléchargement des logiciels Software Download apparaît. 6. Téléchargez WatchGuard System Manager with Strong Encryption. Avant d’installer le logiciel WatchGuard System Manager with Strong Encryption, vous devez désinstaller les autres versions de WatchGuard System Manager de votre ordinateur. Note Pour conserver votre configuration de périphérique WatchGuard active, n’utilisez pas l’Assistant Quick Setup Wizard lors de l’installation du nouveau logiciel. Ouvrez WatchGuard System Manager, connectez-vous au périphérique WatchGuard et enregistrez votre fichier de configuration. Les configurations avec une version de chiffrement différente sont compatibles. Configurer Mobile VPN with PPTP Pour configurer votre périphérique WatchGuard afin qu’il accepter les connexions PPTP, vous devez d’abord activer et configurer les paramètres de Mobile VPN with PPTP. 480 WatchGuard System Manager Mobile VPN with PPTP 1. Sélectionnez VPN > Mobile VPN with PPTP. 2. Activez la case à cocher Activer Mobile VPN with PPTP. Cela permet de configurer les utilisateurs PPTP distants et de créer automatiquement une stratégie WatchGuard PPTP pour autoriser le trafic PPTP sur le périphérique WatchGuard. Nous vous recommandons de ne pas modifier les propriétés par défaut de la stratégie PPTP WatchGuard. 3. Configurer les paramètres d’authentification conformément aux indications des sections suivantes. 4. Cliquez sur Enregistrer. Authentification Les utilisateurs Mobile VPN with PPTP peuvent s’authentifier auprès de la base de données interne Firebox ou utiliser l’authentification étendue auprès d’un serveur RADIUS ou VACMAN Middleware à la place de Firebox. Les instructions d’utilisation des serveurs VACMAN Middleware et des serveurs RADIUS sont identiques. Guide de l’utilisateur 481 Mobile VPN with PPTP Pour utiliser une base de données interne Firebox, ne cochez pas la case Utiliser l’authentification Radius pour authentifier les utilisateurs PPTP. Pour utiliser un serveur d’authentification RADIUS ou VACMAN Middleware : 1. Cochez la case Utiliser l’authentification Radius pour authentifier les utilisateurs PPTP. 2. Configurerl’authentificationsurleserveurRADIUSouConfigurer lesAuthentificationsurleserveurVASCO. 3. Sur le serveur RADIUS, créez un groupe PPTP-Users et ajoutez des noms ou des groupes d’utilisateurs PPTP. Note Pour établir une connexion PPTP, l’utilisateur doit être membre d’un groupe intitulé PPTP-Users. Une fois l’utilisateur authentifié, Firebox conserve la liste de tous les groupes dont l’utilisateur est membre. Utilisez l’un des groupes de la stratégie pour contrôler le trafic de l’utilisateur. Paramètres de chiffrement Le chiffrement 128 bits est activé sur les versions américaines de Windows XP. Vous pouvez obtenir un correctif logiciel auprès de Microsoft pour activer le chiffrement renforcé sur d’autres versions de Windows. n n n Si vous souhaitez exiger le chiffrement sur 128 bits pour tous les tunnels PPTP, sélectionnez Exiger le chiffrement 128 bits. Il est recommandé d’utiliser le chiffrement 128 bits pour les VPN. Pour permettre aux tunnels de passer du chiffrement 128 bits au chiffrement 40 bits pour les connexions moins fiables, sélectionnez Autoriser le chiffrement de 128 bits à 40 bits. Firebox tente toujours d’utiliser le chiffrement 128 bits en premier. Le chiffrement 40 bits est employé si le client ne peut pas utiliser la connexion chiffrée en 128 bits. En général, seuls les clients résidant hors des États-Unis sélectionnent cette case à cocher. Pour permettre le trafic non chiffré sur le réseau VPN, sélectionnez Ne pas exiger le chiffrement. Ajouter au pool d’adresses IP Mobile VPN with PPTP prend en charge jusqu’à 50 utilisateurs simultanés. Firebox donne à chaque utilisateur Mobile VPN entrant une adresse IP ouverte à partir d’un groupe d’adresses IP disponibles, Ce processus se poursuit jusqu’à ce que toutes les adresses soient utilisées. Lorsqu’un utilisateur ferme une session, l’adresse est remise dans le groupe des adresses disponibles. L’utilisateur suivant qui se connecte obtient cette adresse. Vous devez configurer au moins deux adresses IP pour que le protocole PPTP fonctionne correctement. 1. Dans la section IP Address Pool (Pool d’adresses IP), sélectionnez dans la liste déroulante Choisir le type IP de l’hôte (pour une seule adresse IP) ou Plage d’hôtes (pour une plage d’adresses IP). 482 WatchGuard System Manager Mobile VPN with PPTP 2. Dans la zone de texte IP de l’hôte, saisissez une adresse IP. Si vous avez sélectionné Plage d’hôtes, la première adresse IP de la plage est De et la dernière adresse de la plage est À. 3. Cliquez sur Ajouter pour ajouter l’adresse IP de l’hôte ou la plage d’hôtes au pool d’adresses IP. Vous pouvez configurer jusqu’à 50 adresses IP. Si vous sélectionnez IP de l’hôte, vous devez ajouter au moins deux adresses IP. Si vous sélectionnez Plage d’hôteset ajoutez une plage d’adresses IP contenant plus de 50 adresses, Mobile VPN with PPTP utilise les 50 premières adresses de la plage. 4. Répétez les étapes 1 à 3 pour configurer toutes les adresses à utiliser avec Mobile VPN with PPTP. Paramètres de l’onglet Avancé 1. Dans la page Mobile VPN with PPTP, cliquez sur l’onglet Avancé. 2. Configurez les paramètres de délai, de taille maximale de l’unité de transmission (MTU)et dunité maximale de réception (MRU) en suivant les instructions des sections suivantes. Il est conseillé de conserver les paramètres par défaut Paramètres de délai Vous pouvez définir deux paramètres de délai pour les tunnels PPTP si vous utilisez l’authentification RADIUS : Guide de l’utilisateur 483 Mobile VPN with PPTP Délai d’expiration de la session Durée maximale pendant laquelle l’utilisateur peut envoyer du trafic au réseau externe. Si vous entrez dans ce champ un nombre de secondes, de minutes, d’heures ou de jours égal à zéro (0), aucun délai d’expiration de la session n’est utilisé et l’utilisateur peut rester connecté aussi longtemps qu’il le souhaite. Délai d’inactivité Durée maximale pendant laquelle l’utilisateur peut rester authentifié tout en étant inactif (aucun trafic ne passe sur l’interface de réseau externe). Si vous entrez dans ce champ zéro (0) seconde, minute, heure ou jour, aucun délai d’inactivité n’est utilisé et l’utilisateur peut rester inactif aussi longtemps qu’il le souhaite. Si vous n’utilisez pas de serveur d’authentification RADIUS, le tunnel PPTP utilise les paramètres de délai que vous définissez pour chaque utilisateur Firebox. Pour plus d’informations sur les paramètres utilisateur Firebox, voir Définir un nouvel utilisateur pour l’authentification sur Firebox à la page 231. Autres paramètres Les informations Taille maximale de l’unité de transmission (MTU) ou Unité maximale de réception (MRU) sont envoyées au client dans le cadre des paramètres PPTP à utiliser pendant la session PPTP. Ne modifiez pas les valeurs MTU ou MRU sauf si vous êtes certain que ce changement peut résoudre un problème de configuration. Des valeurs MTU ou MRU incorrectes peuvent provoquer la défaillance du trafic sur le réseau VPN PPTP. Pour modifier les valeurs MTU ou MRU : 1. Dans la page Mobile VPN with PPTP, cliquez sur l’onglet Avancé. 2. Dans la section Autres paramètres, saisissez ou sélectionnez les valeurs Taille maximale de l’unité de transmission (MTU) ou Unité maximale de réception (MRU) . Configurer des serveurs WINS et DNS Les clients Mobile VPN with PPTP utilisent les adresses de serveurs partagés Windows Internet Naming Service (WINS) et Domain Name System (DNS). DNS change les noms d’hôtes en adresses IP, tandis que WINS change les noms NetBIOS en adresses IP. L’interface approuvée de Firebox doit avoir accès à ces serveurs. 1. Sélectionnez Interfaces > réseau. La page Interfaces réseau apparaît. Les paramètres WINS et DNS se trouvent dans la partie inférieure. 484 WatchGuard System Manager Mobile VPN with PPTP 2. Dans la section Serveurs DNS, saisissez le nom de domaine du serveur DNS. 3. Dans la zone de texte Serveur DNS, saisissez l’adresse IP pour le serveur DNS, puis cliquez sur Ajouter. Vous pouvez ajouter jusqu’à trois adresses pour les serveurs DNS. 4. Dans la zone de texte Serveurs WINS, saisissez l’adresse IP d’un serveur WINS et cliquez sur Ajouter. Vous pouvez ajouter jusqu’à deux adresses pour les serveurs WINS. 5. Cliquez sur Enregistrer. Ajouter de nouveaux utilisateurs au groupe d’utilisateurs PPTP Pour créer un tunnel VPN PPTP avec Firebox, les utilisateurs mobiles tapent leur nom d’utilisateur et leur mot de passe pour s’authentifier. Le périphérique Firebox utilise ces informations pour authentifier l’utilisateur. Lorsque vous activez PPTP dans votre configuration Firebox, un groupe d’utilisateurs par défaut est créé automatiquement. Ce groupe d’utilisateurs s’intitule PPTP_Users. Il apparaît lorsque vous créez un utilisateur ou lorsque vous ajoutez des noms d’utilisateurs à des stratégies. Pour plus d’informations sur les groupes Firebox, voir Configurer Firebox en tant que serveur d’authentification à la page 229. 1. Sélectionnez Authentification > Serveurs. La page Serveurs d’authentification s’affiche. 2. Cliquez sur l’onglet Firebox. Guide de l’utilisateur 485 Mobile VPN with PPTP 3. Dans la section Utilisateurs, cliquez sur Ajouter. La boîte de dialogue Configuration d’utilisateur Firebox s’affiche. 486 WatchGuard System Manager Mobile VPN with PPTP 4. Saisissez le nom et le mot de passe du nouvel utilisateur. Retapez le mot de passe pour le valider. La description n’est pas obligatoire. Il est recommandé de ne pas changer les valeurs par défaut de délai d’expiration de la session et d’inactivité de la session. 5. Dans la liste Disponible, sélectionnez PPTP-Users et cliquez sur . Les utilisateurs PPTP apparaissent dans la liste des membres. 6. Cliquez sur OK. 7. Cliquez sur Enregistrer. Configurer des stratégies pour autoriser le trafic Mobile VPN with PPTP Par défaut, les utilisateurs Mobile VPN with PPTP ne se voient accorder aucun privilège d’accès par le biais d’un système Firebox. Pour accorder aux utilisateurs distants l’accès aux ressources réseau spécifiées, vous devez ajouter des noms d’utilisateurs, ou le groupe d’utilisateurs PPTP, en tant que sources et destinations des définitions de stratégie individuelle. Pour plus d’informations, voir Utiliser les utilisateurs et groupes autorisés dans les stratégies à la page 254. Pour utiliser WebBlocker afin de contrôler l’accès des utilisateurs distants, ajoutez des utilisateurs PPTP ou le groupe d’utilisateurs PPTP à une stratégie de proxy qui contrôle WebBlocker. Guide de l’utilisateur 487 Mobile VPN with PPTP Note Si vous attribuez les adresses d’un réseau approuvé à des utilisateurs PPTP, le trafic provenant de l’utilisateur PPTP n’est pas considéré comme étant approuvé. Par défaut, tout le trafic Mobile VPN with PPTP n’est pas approuvé. Quelle que soit l’adresse IP attribuée, les stratégies doivent être créées pour autoriser les utilisateurs PPTP à accéder aux ressources réseau. Configurer des stratégies pour autoriser le trafic Mobile VPN with PPTP Par défaut, les utilisateurs Mobile VPN with PPTP ne se voient accorder aucun privilège d’accès par le biais d’un système Firebox. Vous devez configurer des stratégies de manière à autoriser les utilisateurs PPTP à accéder aux ressources réseau. Vous pouvez ajouter de nouvelles stratégies ou modifier des stratégies existantes. Note Si vous attribuez les adresses d’un réseau approuvé à des utilisateurs PPTP, le trafic provenant de l’utilisateur PPTP n’est pas considéré comme étant approuvé. Par défaut, tout le trafic Mobile VPN with PPTP n’est pas approuvé. Quelle que soit l’adresse IP attribuée, les stratégies doivent être créées pour autoriser les utilisateurs PPTP à accéder aux ressources réseau. Autoriser les utilisateurs PPTP à accéder à un réseau approuvé Dans cet exemple, vous ajoutez une stratégie Any pour donner à tous les membres du groupe d’utilisateurs PPTP l’accès complet aux ressources sur tous les réseaux approuvés. 1. Sélectionnez Pare-feu > Stratégies de pare-feu. Cliquez sur Ajouter. 2. Développez le dossier Filtres de paquets. La liste des modèles de filtres de paquets apparaît. 3. Sélectionnez Any et cliquez sur Ajouter. La page Configuration de stratégie apparaît. 4. Dans la zone de texte Nom, saisissez le nom de la stratégie. Choisissez un nom qui vous aidera à identifier cette stratégie dans votre configuration. 5. Dans l’onglet Stratégie, dans la section De, sélectionnez Any-Trusted (Tout approuvé) et cliquez sur Supprimer. 6. Dans l’onglet Stratégie, dans la section De, cliquez sur Ajouter. La boîte de dialogue Ajouter une adresse s’affiche. 7. Dans la liste déroulante Type de membre, sélectionnez Groupe PPTP. 8. Sélectionnez PPTP-Users et cliquez sur Sélectionner. Le nom de la méthode d’authentification apparaît entre parenthèses après PPTP-Users. 9. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un membre. 10. Dans la zone À, cliquez sur Ajouter. La boîte de dialogue Ajouter une adresse s’affiche. 11. Dans la section Membres et adresses sélectionnés , sélectionnez Any-External (Tout-Externe) et cliquez sur Supprimer. 12. Dans la section Vers, cliquez sur Ajouter. La boîte de dialogue Ajouter un membre apparaît. 488 WatchGuard System Manager Mobile VPN with PPTP 13. Dans la liste Select Members (Sélectionner des membres), sélectionnez Any-Trusted (Tout approuvé) et cliquez sur OK. 14. Cliquez sur Enregistrer. Pour de plus amples informations sur les stratégies, cf. Ajouter stratégies à votre configuration à la page 260. Utilisez d’autres groupes ou utilisateurs dans une stratégie PPTP Les utilisateurs doivent être membres de ce groupe pour établir une connexion PPTP. Lorsque vous configurez une stratégie pour donner aux utilisateurs PPTP l’accès aux ressources réseau, vous pouvez utiliser le nom d’utilisateur ou d’un autre groupe auquel l’utilisateur appartient. Pour sélectionner un utilisateur ou un groupe autre que PPTP-Users : 1. Sélectionnez Pare-feu > Stratégies de pare-feu. 2. Double-cliquez sur la stratégie à laquelle vous souhaitez ajouter l’utilisateur ou le groupe. 3. Dans l’onglet Stratégie, dans la section De, cliquez sur Ajouter. La boîte de dialogue Ajouter un membre s’affiche. 4. Dans la liste déroulante Type de membre, sélectionnez Utilisateur de pare-feu ou Groupe pare-feu. 5. Sélectionnez l’utilisateur ou le groupe que vous souhaitez ajouter et cliquez sur OK. 6. Cliquez sur Enregistrer. Pour plus d’informations sur l’utilisation des utilisateurs et groupes dans les stratégies, voir Utiliser les utilisateurs et groupes autorisés dans les stratégies à la page 254. Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with PPTP Vous pouvez autoriser des utilisateurs distants à accéder à Internet par le biais d’un tunnel Mobile VPN. Cette option affecte votre sécurité puisque ce trafic Internet n’est ni filtré ni chiffré. Deux options s’offrent à vous au niveau des routes du tunnel Mobile VPN : VPN avec route par défaut et VPN avec tunneling fractionné. VPN avec route par défaut L’option la plus sécurisée consiste à faire router tout le trafic Internet des utilisateurs distants par le biais du tunnel VPN vers le périphérique WatchGuard. Le trafic est ensuite renvoyé à Internet. Dans cette configuration (appelée « VPN avec route par défaut »), Firebox peut examiner tout le trafic et offrir une sécurité accrue, et ce malgré l’augmentation de la puissance de traitement et de la bande passante requises. Lorsque vous utilisez un VPN avec route par défaut, une stratégie de traduction d’adresses réseau (NAT) dynamique doit inclure le trafic sortant en provenance du réseau distant. Cela permet aux utilisateurs distants de parcourir Internet lorsqu’ils envoient tout le trafic au périphérique WatchGuard. Note Si vous utilisez les commandes « route print » ou « ipconfig » après avoir démarré un tunnel Mobile VPN sur un ordinateur Microsoft Windows, les informations affichées sur la passerelle par défaut sont incorrectes. Les informations correctes figurent dans l’onglet Détails de la boîte de dialogue État de la connexion privée virtuelle. Guide de l’utilisateur 489 Mobile VPN with PPTP VPN avec tunneling fractionné Une autre option de configuration consiste à activer le tunneling fractionné. Cette configuration permet aux utilisateurs de naviguer sur Internet sans avoir à envoyer le trafic Internet sur le tunnel VPN. Le tunneling fractionné améliore les performances du réseau, mais diminue la sécurité car les stratégies que vous créez ne s’appliquent pas au trafic Internet. Si vous utilisez le tunneling fractionné, nous recommandons la mise en place d’un pare-feu logiciel sur chaque ordinateur client. Configuration de l’itinéraire VPN par défaut pour Mobile VPN with PPTP Sous Windows Vista, XP et 2000, le paramètre par défaut d’une connexion PPTP est l’itinéraire par défaut. Votre Firebox doit être configuré avec la traduction d’adresses réseau (NAT) dynamique pour recevoir le trafic d’un utilisateur PPTP. Toute stratégie qui gère le trafic sortant à destination d’Internet et provenant de la partie située derrière le périphérique WatchGuard doit être configurée de manière à autoriser le trafic utilisateur PPTP. Lorsque vous configurez votre itinéraire VPN par défaut : n n Vérifiez que les adresses IP que vous avez ajoutées au pool d’adresses PPTP sont incluses dans votre configuration de traduction d’adresses réseau (NAT) dynamique sur le périphérique WatchGuard. Dans Policy Manager, sélectionnez Réseau > NAT. Modifiez la configuration de votre stratégie pour autoriser les connexions issues de PPTP-Users par le biais de l’interface externe. Par exemple, si vous utilisez WebBlocker pour contrôler l’accès au Web, ajoutez le groupe PPTPUsers à la stratégie de proxy configurée, avec WebBlocker activé. Divisezlaconfiguration du tunnel VPNpourMobileVPNwith PPTP Sur l’ordinateur client, modifiez les propriétés de connexion PPTP de manière à ne pas envoyer le trafic sur le réseau VPN. 1. Pour Windows Vista, XP ou 2000, accédez au Panneau de configuration > Connexions réseau et cliquez avec le bouton droit sur la connexion VPN. 2. Sélectionnez Propriétés. La boîte de dialogue Propriétés VPN s’affiche. 3. Sélectionnez l’onglet Networking (Gestion de réseau). 4. Sélectionnez Protocole Internet (TCP/IP) dans la zone de liste et cliquez sur Propriétés. La boîte de dialogue Propriétés de Protocole Internet (TCP/IP) s’affiche. 5. Dans l’onglet Général , cliquez sur Avancé. La boîte de dialogue Paramètres TCP/IP avancés apparaît. 6. Windows XP et Windows 2000 — Dans l’onglet Général, désélectionnez la case à cocher Utiliser la passerelle par défaut pour le réseau distant. Windows Vista — Dans l’onglet Paramètres (XP et Windows 2000), désélectionnez la case à cocher Utiliser la passerelle par défaut pour le réseau distant. 490 WatchGuard System Manager Mobile VPN with PPTP Préparer les ordinateurs clients pour PPTP Avant de pouvoir utiliser vos ordinateurs clients en tant qu’hôtes distants Mobile VPN with PPTP, vous devez d’abord préparer chaque ordinateur avec accès Internet. Vous pouvez ensuite utiliser les instructions dans les sections suivantes pour : n n n Installer la version nécessaire de l’Accès réseau à distance de Microsoft et les Services Packs nécessaires Préparer le système d’exploitation pour les connexions VPN Installer un adaptateur VPN (cet adaptateur n’est pas nécessaire pour tous les systèmes d’exploitation) Préparer un ordinateur client Windows NT ou 2000 : installer l’Accès réseau à distance de Microsoft et les Services Packs Il peut être nécessaire d’installer ces options pour configurer correctement Mobile VPN with PPTP sur Windows NT et 2000 : n n n Mises à niveau de l’Accès réseau à distance de Microsoft Autres extensions Service packs Pour Mobile VPN with PPTP, ces mises à niveau doivent être installées : Chiffrement Plate-forme Application De base Windows NT SP4 40 bits Fort Windows NT SP4 128 bits De base Windows 2000 SP2 40 bits* Fort Windows 2000 SP2 128 bits* *Windows 2000 utilise le chiffrement 40 bits par défaut. Si vous effectuez une mise à niveau à partir de Windows 98 avec chiffrement renforcé, Windows 2000 définit automatiquement le chiffrement renforcé pour la nouvelle installation. Pour installer ces mises à niveau ou Services Packs, accédez au Centre de téléchargement Microsoft à l’adresse suivante : http://www.microsoft.com/downloads/search.aspx?displaylang=fr Les étapes de configuration et d’établissement d’une connexion PPTP sont différentes pour chaque version de Microsoft Windows. Pour configurer une connexion PPTP sur Windows Vista, voir : Créer et connecter un Mobile VPN PPTP pour Windows Vista à la page 492. Pour configurer une connexion PPTP sur Windows XP, voir : Créer et connecter un PPTP Mobile VPN pour Windows XP à la page 493. Guide de l’utilisateur 491 Mobile VPN with PPTP Pour configurer une connexion PPTP sur Windows 2000, voir : Créer et connecter un PPTP Mobile VPN pour Windows 2000 à la page 494. Créer et connecter un Mobile VPN PPTP pour Windows Vista Créer une connexion PPTP Pour préparer un ordinateur client Windows Vista, vous devez configurer la connexion PPTP dans les paramètres réseau. 1. Dans le menu Démarrer de Windows, sélectionnez Paramètres > Panneau de configuration. Le menu Démarrer de Windows Vista se trouve dans le coin inférieur gauche de l’écran. 2. Cliquez sur Réseau et Internet. Le Centre Réseau et partage s’affiche. 3. Dans la colonne de gauche, sous Tâches, cliquez sur Connexion à un réseau. L’Assistant Nouvelle connexion démarre. 4. Sélectionnez Connexion au réseau d’entreprise et cliquez sur Suivant. La boîte de dialogue Connexion à votre espace de travail s’affiche. 5. Sélectionnez Non, créer une nouvelle connexion et cliquez sur Suivant. La boîte de dialogue Comment voulez-vous vous connecter ? s’affiche. 6. Cliquez sur Utiliser ma connexion Internet (VPN). La boîte de dialogue Entrez l’adresse Internet à laquelle vous souhaitez vous connecter s’affiche. 7. Saisissez le nom d’hôte ou l’adresse IP de l’interface externe du périphérique Firebox dans le champ Adresse Internet. 8. Saisissez le nom du réseau Mobile VPN (« PPTP à Firebox » par exemple) dans la zone de texte Nom de la destination. 9. Indiquez si vous souhaitez que d’autres personnes puissent utiliser cette connexion. 10. Cochez la case Ne pas me connecter maintenant, mais tout préparer pour une connexion ultérieure pour que l’ordinateur client n’essaie pas de se connecter à ce stade. 11. Cliquez sur Suivant. La boîte de dialogue Entrez votre nom d’utilisateur et votre mot de passe s’affiche. 12. Saisissez le nom d’utilisateur et le mot de passe de ce client. 13. Cliquez sur Créer. La boîte de dialogue La connexion est prête à être utilisée s’affiche. 14. Pour tester la connexion, cliquez sur Connecter maintenant. Établir la connexion PPTP Pour connecter un ordinateur client Windows Vista, remplacez [nom de la connexion] par le nom que vous avez utilisé pour configurer la connexion PPTP. Le nom d’utilisateur et le mot de passe font référence à l’un des utilisateurs que vous avez ajoutés au groupe PPTP-Users. Pour plus d’informations, voir Ajouter de nouveaux utilisateurs au groupe d’utilisateurs PPTP à la page 485. Assurez-vous de disposer d’une connexion active à Internet avant de commencer. 1. Cliquez sur Démarrer > Paramètres > Connexions réseau > [nom de la connexion] Le bouton Démarrer de Windows Vista se trouve dans le coin inférieur gauche de votre écran. 2. Saisissez le nom d’utilisateur et le mot de passe de la connexion et cliquez sur Connecter. 492 WatchGuard System Manager Mobile VPN with PPTP 3. Si c’est la première fois que vous vous connectez, vous devez sélectionner un emplacement réseau. Sélectionnez Lieu public. Créer et connecter un PPTP Mobile VPN pour Windows XP Pour préparer un ordinateur client Windows XP, vous devez configurer la connexion PPTP dans les paramètres réseau. Créer le Mobile VPN PPTP Sur le Bureau Windows de l’ordinateur client : 1. Dans le menu Démarrer de Windows, sélectionnez Panneau de configuration > Connexions réseau. 2. Cliquez sur Créer une connexion dans le menu de gauche. Vous pouvez également cliquer sur Assistant Nouvelle connexion dans le mode Affichage classique de Windows. L’Assistant Nouvelle connexion s’affiche. 3. 4. 5. 6. Cliquez sur Suivant. Sélectionnez Connexion au réseau d’entreprise et cliquez sur Suivant. Sélectionnez Connexion réseau privé virtuel et cliquez sur Suivant. Saisissez le nom de la nouvelle connexion (« Connexion avec Mobile VPN par exemple ») et cliquez sur Suivant. 7. Indiquez si Windows doit s’assurer que le réseau public est connecté : n Pourune connexionhautdébit,sélectionnezNepasétablirla connexioninitiale. Ouen n Pour une connexion par modem, sélectionnez Établir cette connexion initiale automatiquement, puis sélectionnez un nom de connexion dans la liste déroulante. 8. Cliquez sur Suivant. L’écran Sélection de serveur VPN s’affiche. Cet écran s’affiche si vous utilisez Windows XP SP2. Tous les utilisateurs de Windows XP ne voient pas cet écran. 9. Saisissez le nom d’hôte ou l’adresse IP de l’interface externe du périphérique Firebox et cliquez sur Suivant. L’écran Cartes à puce s’affiche. 10. Indiquez si vous souhaitez utiliser votre carte à puce avec ce profil de connexion, puis cliquez sur Suivant. L’écran Disponibilité de la connexion s’affiche. 11. Indiquez les personnes autorisées à utiliser ce profil de connexion, puis cliquez sur Suivant. 12. Sélectionnez Ajouter un raccourci vers cette connexion sur mon Bureau. 13. Cliquez sur Terminer. Se connecter avec Mobile VPN PPTP 1. Établissez une connexion Internet par le biais d’un réseau distant ou, directement, via un réseau local (LAN) ou étendu (WAN). 2. Double-cliquez sur le raccourci de la nouvelle connexion sur votre Bureau. Vous pouvez également sélectionner Panneau de configuration > Connexions réseau, puis votre nouvelle connexion dans la liste des réseaux privés virtuels. Guide de l’utilisateur 493 Mobile VPN with PPTP 3. Tapez le nom d’utilisateur et le mot de passe pour la connexion. Pour plus d’informations sur le nom d’utilisateur et le mot de passe, voir Ajouter de nouveaux utilisateurs au groupe d’utilisateurs PPTP à la page 485. 4. Cliquez sur Connecter. Créer et connecter un PPTP Mobile VPN pour Windows 2000 Pour préparer un hôte distant Windows 2000, vous devez configurer la connexion PPTP dans les paramètres réseau. Créer le Mobile VPN PPTP Sur le Bureau Windows de l’ordinateur client : 1. Dans le menu Démarrer de Windows, sélectionnez Paramètres > Connexions réseau > Créer une nouvelle connexion. L’Assistant Nouvelle connexion s’affiche. 2. 3. 4. 5. Cliquez sur Suivant. Sélectionnez Connexion au réseau d’entreprise et cliquez sur Suivant. Cliquez sur Connexion réseau privé virtuel. Saisissez le nom de la nouvelle connexion (« Connexion avec Mobile VPN par exemple ») et cliquez sur Suivant. 6. Vous pouvez indiquer soit de ne pas établir la connexion initiale (pour une connexion haut débit), soit d’établir cette connexion initiale automatiquement (pour une connexion par modem), puis cliquez sur Suivant. 7. Saisissez le nom d’hôte ou l’adresse IP de l’interface externe du périphérique Firebox et cliquez sur Suivant. 8. Sélectionnez Ajouter un raccourci vers cette connexion sur mon Bureau et cliquez sur Terminé. Se connecter avec Mobile VPN PPTP 1. Établissez une connexion Internet par le biais d’un réseau distant ou, directement, via un réseau local (LAN) ou étendu (WAN). 2. Double-cliquez sur le raccourci de la nouvelle connexion sur votre Bureau. Vous pouvez également sélectionner Panneau de configuration > Connexions réseau, puis votre nouvelle connexion dans la liste des réseaux privés virtuels. 3. Tapez le nom d’utilisateur et le mot de passe pour la connexion. Pour plus d’informations sur le nom d’utilisateur et le mot de passe, voir Ajouter de nouveaux utilisateurs au groupe d’utilisateurs PPTP à la page 485. 4. Cliquez sur Connecter. 494 WatchGuard System Manager Mobile VPN with PPTP Établir des connexions PPTP sortantes derrière un système Firebox Si nécessaire, vous pouvez établir une connexion PPTP à un système Firebox de derrière un autre système Firebox. Par exemple, l’un de vos utilisateurs distants se rend dans le bureau d’un client équipé d’un système Firebox. L’utilisateur peut établir une connexion à votre réseau avec PPTP. Pour que le périphérique local Firebox autorise la connexion PPTP sortante, ajoutez la stratégie PPTP et autorisez le trafic en provenance du réseau sur lequel se trouve l’utilisateur sur l’alias Any-External (Tout-Externe). Pour ajouter une stratégie, voir Ajouter stratégies à votre configuration à la page 260. Guide de l’utilisateur 495 Mobile VPN with PPTP Guide de l’utilisateur 496 22 Mobile VPN with IPSec À propos de Mobile VPN with IPSec IPSec Mobile VPN with IPSec est une application logicielle client installée sur un ordinateur distant. Le client établit une connexion sécurisée entre l’ordinateur distant et votre réseau protégé via un réseau non sécurisé, comme Internet. Le client Mobile VPN utilise Internet Protocol Security (IPSec) pour sécuriser la connexion. Les rubriques suivantes contiennent des instructions sur la configuration d’un tunnel Mobile VPN entre le client Mobile VPN with IPSec et un périphérique WatchGuard sur lequel Fireware XTM est installé. Configurer une connexion Mobile VPN with IPSec Vous pouvez configurer le périphérique WatchGuard pour qu’il agisse comme point de terminaison pour les tunnels Mobile VPN with IPSec. Dans Fireware XTM Web UI, sélectionnez VPN > Mobile VPN with IPSec. Un utilisateur doit être membre d’un groupe Mobile VPN pour pouvoir se connecter à Mobile VPN with IPSec. Lorsque vous ajoutez un groupe Mobile VPN, une stratégie Any est ajoutée aux pare-feu > stratégies Mobile VPN qui permettent de trafic depuis et vers l’utilisateur Mobile VPN authentifié. Cliquez sur le bouton Générer pour créer un profil d’utilisateur final (appelé fichier .wgx) que vous pouvez enregistrer. L’utilisateur doit disposer du fichier .wgx pour configurer l’ordinateur client Mobile VPN. Si vous utilisez un certificat pour l’authentification, les fichiers .p12 et cacert.pem sont également générés. Ces fichiers sont stockés au même emplacement que le profil d’utilisateur final .wgx. Pour limiter l’accès au client Mobile VPN, supprimez la stratégie Any et ajoutez des stratégies aux > Stratégies de pare-feu Mobile VPN qui autorise l’accès aux ressources. Guide de l’utilisateur 497 Mobile VPN with IPSec Lorsque le périphérique WatchGuard est configuré, le logiciel client Mobile VPN with IPSec doit être installé sur l’ordinateur client. Pour plus d’informations sur l’installation du logiciel client Mobile VPN with IPSec, voir Installer le logiciel client Mobile VPN with IPSec à la page 529. Lorsque l’ordinateur de l’utilisateur est correctement configuré, celui-ci établit la connexion Mobile VPN. Si les informations d’identification l’utilisateur authentifient une entrée dans la base de données utilisateur du périphérique WatchGuard et si l’utilisateur fait partie du groupe Mobile VPN que vous créez, la session Mobile VPN est authentifiée. Configuration système requise Avant de configurer votre périphérique WatchGuard pour Mobile VPN with IPSec, assurez-vous de bien comprendre la configuration système requise pour l’ordinateur de gestion WatchGuard et l’ordinateur client de l’utilisateur itinérant. WatchGuard System Manager avec chiffrement renforcé Comme des restrictions d’exportation strictes sont imposées aux logiciels de chiffrement élevé, WatchGuard System Manager propose deux niveaux de chiffrement. Pour générer un profil d’utilisateur final chiffré pour Mobile VPN with IPSec, vous devez vous assurer de configurer votre périphérique WatchGuard avec WatchGuard System Manager avec chiffrement renforcé. La norme IPSec nécessite un chiffrement minimum de 56 bits. Pour plus d’informations, voir installez le logiciel WatchGuard System Manager.. Ordinateur client des utilisateurs itinérants Vous pouvez installer le logiciel client Mobile VPN with IPSec sur n’importe quel ordinateur exécutant Windows 2000 Professionnel, Windows XP (32 bits et 64 bits) ou Windows Vista (32 bits et 64 bits). Avant d’installer le logiciel client, vérifiez qu’aucun autre logiciel client VPN pour utilisateur mobile IPSec n’est déjà installé sur l’ordinateur distant. Vous devez également désinstaller tout logiciel de pare-feu de bureau (autre que le logiciel de pare-feu Microsoft) de chaque ordinateur distant. Pour plus d’informations, voir Spécifications du client à la page 528. Note Vous n’avez besoin de WatchGuard System Manager que si vous souhaitez distribuer le profil de l’utilisateur final en tant que fichier chiffré (.wgx). C’est l’option recommandée. Vous pouvez utiliser Fireware XTM Web UI pour configurer Mobile VPN with IPSec et générer le profil de l’utilisateur final non chiffré (.ini). Pour plus d’informations sur les deux types de fichiers de configuration de profil d’utilisateur final, voir À propos des fichiers de configuration client Mobile VPN à la page 499. 498 WatchGuard System Manager Mobile VPN with IPSec Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with IPSec Vous pouvez autoriser des utilisateurs distants à accéder à Internet par le biais d’un tunnel Mobile VPN. Cette option affecte votre sécurité puisque le trafic Internet n’est ni filtré ni chiffré. Deux options s’offrent à vous au niveau des routes du tunnel Mobile VPN : VPN avec route par défaut et VPN avec tunneling fractionné. VPN avec route par défaut L’option la plus sécurisée consiste à faire router tout le trafic Internet des utilisateurs distants par le biais du tunnel VPN vers Firebox. À partir de là, le trafic est renvoyé à Internet. Dans cette configuration (appelée « VPN avec route par défaut »), Firebox peut examiner tout le trafic et offrir une sécurité accrue, et ce malgré l’augmentation de la puissance de traitement et de la bande passante requises sur Firebox. Lorsque vous utilisez un VPN avec route par défaut, une stratégie de traduction d’adresses réseau (NAT) dynamique doit inclure le trafic sortant en provenance du réseau distant. Cela permet aux utilisateurs distants de parcourir Internet lorsqu’ils envoient tout le trafic à Firebox. Pour plus d’informations sur la traduction d’adresses réseau (NAT) dynamique, voir Ajouter des entrées NAT dynamiques de pare-feu à la page 143. VPN avec tunneling fractionné Une autre option de configuration consiste à activer le tunneling fractionné. Cette configuration permet aux utilisateurs de naviguer sur Internet normalement. Les stratégies Firebox n’étant pas appliquées au trafic Internet, le tunneling fractionné réduit la sécurité, mais améliore les performances. Si vous utilisez le tunneling fractionné, vos ordinateurs clients doivent disposer d’un logiciel de pare-feu. À propos des fichiers de configuration client Mobile VPN Avec Mobile VPN with IPSec, l’administrateur de la sécurité du réseau peut contrôler les profils des utilisateurs finaux. Policy Manager permet de créer le groupe Mobile VPN with IPSec et de créer un profil d’utilisateur final, avec l’extension de fichier .wgx ou .ini. Les fichiers .wgx et .ini contiennent la clé partagée, l’identification de l’utilisateur, les adresses IP et les paramètres utilisés pour créer un tunnel sécurisé entre l’ordinateur distant et le périphérique WatchGuard. Le fichier .wgx est chiffré avec un mot de passe d’au moins huit caractères. L’administrateur et l’utilisateur distant doivent connaître ce mot de passe. Lorsque vous utilisez le logiciel client Mobile VPN with IPSec pour importer le fichier .wgx, le mot de passe est utilisé pour déchiffrer le fichier et configurer le client. Le fichier .wgx ne configure pas les paramètres de gestion de ligne. Le fichier de configuration .ini n’est pas chiffré. Il ne doit être utilisé que si vous avez modifié le paramètre Gestion de ligne sur une valeur différente de Manuelle. Pour plus d’informations, voir Gestion de ligne dans l’onglet Avancé dans Modifier un profil de groupe existant Mobile VPN with IPSec à la page 509. Vous pouvez créer ou recréer le fichier .wgx et .ini à tout moment. Pour plus d’informations, voir Fichiers de configuration Mobile VPN with IPSec à la page 523. Guide de l’utilisateur 499 Mobile VPN with IPSec Si vous souhaitez verrouiller les profils des utilisateurs itinérants, vous pouvez les paramétrer en tant que profils en lecture seule. Pour plus d’informations, voir Verrouiller le profil d’un utilisateur final à la page 522. Configurer Firebox pour Mobile VPN with IPSec Vous pouvez activer Mobile VPN with IPSec pour un groupe d’utilisateurs que vous avez déjà créé ou en créer un nouveau. Les utilisateurs du groupe peuvent s’authentifier sur le serveur d’authentification Firebox ou tiers défini dans la configuration de votre périphérique Firebox. Configurer un groupe Mobile VPN with IPSec 1. Sélectionnez VPN > Mobile VPN with IPSec. La page Mobile VPN with IPSec apparaît. 2. Cliquez sur Ajouter. La page Paramètres Mobile User VPN with IPSec apparaît. 500 WatchGuard System Manager Mobile VPN with IPSec 3. Saisissez un nom de groupe dans la zone de texte Nom de groupe . Vous pouvez saisir le nom d’un groupe existant ou celui d’un nouveau groupe Mobile VPN. Vérifiez que le nom est unique et qu’il n’a pas été attribué à des noms de groupes VPN, d’interface ou de tunnel VPN. 4. Configurez ces paramètres pour modifier le profil de groupe : Serveur d’authentification Sélectionnez le serveur d’authentification à utiliser pour ce groupe Mobile VPN. Vous pouvez authentifier les utilisateurs avec la base de données Firebox interne (Firebox-DB) ou avec un serveur RADIUS, VASCO, SecurID, LDAP ou Active Directory. Vérifiez que la méthode d’authentification que vous choisissez est activée. Mot de passe Entrez un mot de passe pour chiffrer le profil Mobile VPN (fichier .wgx) que vous distribuez aux utilisateurs de ce groupe. La clé partagée peut uniquement contenir des caractères ASCII standard. Si vous utilisez un certificat pour l’authentification, il s’agit du code PIN du certificat. Confirmation Guide de l’utilisateur 501 Mobile VPN with IPSec Entrez de nouveau le mot de passe. Adresse IP externe Saisissez l’adresse IP externe principale à laquelle les utilisateurs Mobile VPN de ce groupe peuvent se connecter. Adresse IP de sauvegarde Saisissez l’adresse IP externe de sauvegarde à laquelle les utilisateurs Mobile VPN de ce groupe peuvent se connecter. L’adresse IP de sauvegarde est facultative. Si vous en ajoutez une, assurez-vous qu’il s’agit d’une adresse IP attribuée à une interface externe Firebox. Délai d’expiration de la session Sélectionnez la durée d’activité maximale (en minutes) d’une session Mobile VPN. Délai d’inactivité Sélectionnez la durée d’inactivité maximale (en minutes) d’une session Mobile VPN. Passé ce délai, Firebox ferme la session. Les valeurs de délai d’expiration et d’inactivité de la session sont les valeurs de délai par défaut si le serveur d’authentification n’a pas ses propres valeurs de délai. Si vous utilisez Firebox en tant que serveur d’authentification, les délais du groupe Mobile VPN sont toujours ignorés car vous définissez des délais pour chaque compte d’utilisateur Firebox. Les délais de session et d’inactivités ne peuvent pas être plus longs que la valeur du champ SA Life. Pour définir cette valeur, dans la boîte de dialogue Paramètres Mobile VPN with IPSec, cliquez sur l’onglet Tunnel IPSec, puis sur Avancé pour les Paramètres de phase 1. La valeur par défaut est de 8 heures. 5. Cliquez sur l’onglet Tunnel IPSec. La page Tunnel IPSec s’ouvre. 502 WatchGuard System Manager Mobile VPN with IPSec 6. Configurez ces paramètres : Utilisez le mot de passe du profil d’utilisateur final comme clé pré-partagée Sélectionnez cette option pour utiliser le mot de passe du profil de l’utilisateur final comme clé pré-partagée et permettre une authentification d’accès au tunnel. Vous devez utiliser la même clé partagée sur le périphérique distant. Cette clé partagée peut uniquement contenir des caractères ASCII standard. Utiliser un certificat Sélectionnez cette option pour utiliser un certificat dans le cadre d’une authentification d’accès au tunnel. Pour plus d’informations, voir Utiliser des certificats pour un tunnel Mobile VPN with IPSec authentification à la page 410. Adresse IP de l’autorité de certification Si vous utilisez un certificat, saisissez l’adresse IP du serveur Management Server qui a été configuré en tant qu’autorité de certification. Délai Guide de l’utilisateur 503 Mobile VPN with IPSec Si vous utilisez un certificat, saisissez la durée en secondes avant que le client Mobile VPN with IPSec arrête de se connecter si l’autorité de certification ne répond pas. Il est conseillé de conserver la valeur par défaut. Paramètres de phase 1 Sélectionnez les méthodes d’authentification et de chiffrement relatives au tunnel VPN. Ces paramètres doivent être identiques aux deux points de terminaison du VPN. Pour configurer les paramètres avancés, NAT Traversal ou groupe de clés par exemple, cliquez sur Avancé et consultez Définir les Paramètres de phase 1 avancés à la page 517. Les options de chiffrement sont répertoriées de la moins complexe et sécurisée à la plus complexe et sécurisée. DES 3DES AES (128 bits) AES (192 bits) AES (256 bits) Paramètres de phase 2 Sélectionnez PFS (Perfect Forward Secrecy) pour activer PFS et définir le Groupe DiffieHellman. Pour modifier d’autres paramètres de proposition, cliquez sur Avancé et consultez Définir les Paramètres de phase 2 avancés à la page 519. 7. Cliquez sur l’onglet Ressources. La page Ressources apparaît. 504 WatchGuard System Manager Mobile VPN with IPSec 8. Configurez ces paramètres : Autoriser tout le trafic à passer par le tunnel Pour faire passer tout le trafic Internet des utilisateurs de Mobile VPN par le tunnel VPN, cochez cette case. Si vous cochez cette case, le trafic Internet des utilisateurs Mobile VPN passe par le tunnel VPN. Ce système est plus sûr, mais les performances du réseau sont réduites. If vous ne cochez pas cette case, le trafic Internet des utilisateurs Mobile VPN est envoyé directement sur Internet. Ce système est moins sûr, mais la navigation sur Internet est plus rapide. Liste des ressources autorisées Cette liste répertorie les ressources auxquelles les utilisateurs du groupe d’authentification Mobile VPN peuvent accéder sur le réseau. Pour ajouter une adresse IP ou une adresse IP réseau à la liste des ressources réseau, sélectionnez IP de l’hôte ou IP du réseau, saisissez l’adresse et cliquez sur Ajouter. Guide de l’utilisateur 505 Mobile VPN with IPSec Pour supprimer l’adresse IP ou l’adresse IP réseau sélectionnée de la liste des ressources, sélectionnez une ressource et cliquez sur Supprimer. Pool d’adresses IP virtuelles Cette liste répertorie les adresses IP internes utilisées par les utilisateurs de Mobile VPN sur le tunnel. Ces adresses ne peuvent pas être utilisées par les périphériques réseau ou un autre groupe Mobile VPN. Pour ajouter une adresse IP ou une adresse IP réseau au pool virtuel d’adresses IP, sélectionnez IP de l’hôte ou IP du réseau, saisissez l’adresse et cliquez sur Ajouter. Pour supprimer cet élément du pool virtuel d’adresses IP, sélectionnez l’adresse IP d’un hôte ou d’un réseau et cliquez sur Supprimer. 9. Cliquez sur l’onglet Avancé. La page Avancé apparaît. 10. Configurez les paramètres Gestion de ligne : Mode de connexion Manuelle — Dans ce mode, le client n’essaie pas de redémarrer le tunnel VPN automatiquement si le tunnel VPN n’est pas actif. C’est le paramètre par défaut. Pour redémarrer le tunnel VPN, vous devez cliquer sur le bouton Connecter dans Connection Monitor ou cliquer avec le bouton droit sur l’icône Mobile VPN dans la barre des tâches du bureau Windows, puis cliquer sur Connecter. Automatique — Dans ce mode, le client essaie de démarrer la connexion lorsque votre ordinateur envoie des données à une destination accessible par le réseau VPN. Le client essaie également de redémarrer le tunnel VPN automatiquement si le tunnel VPN devient indisponible. Variable — Dans ce mode, le client essaie de redémarrer le tunnel VPN automatiquement jusqu’à ce que vous cliquez sur Déconnecter. Après la déconnexion, le client n’essaie pas de redémarrer le tunnel VPN tant que vous ne cliquez pas sur Connecter. Délai d’inactivité 506 WatchGuard System Manager Mobile VPN with IPSec Si le mode de connexion est défini sur Automatique ou Variable, le logiciel client Mobile VPN with IPSec n’essaie pas de renégocier la connexion VPN tant qu’aucun trafic provenant des ressources réseau disponibles ne passe par l’intermédiaire du tunnel pendant la durée que vous avez indiqué pour le délai d’inactivité. Note Les paramètres par défaut de gestion de ligne sont Manuelle et 0 seconde. Si vous modifiez l’un de ces paramètres, vous devez utiliser le fichier .ini pour configurer le logiciel client. 11. Cliquez sur Enregistrer. La page Mobile VPN with IPSec s’ouvre et le nouveau groupe IPSec apparaît dans la liste des groupes. 12. Cliquez sur Enregistrer. Les utilisateurs membres du groupe que vous créez ne peuvent pas se connecter tant qu’ils n’importent pas le fichier de configuration correct dans leur logiciel client Mobile VPN with IPSec. Vous devez générer le fichier de configuration et le mettre à la disposition des utilisateurs finaux. Pour générer les profils d’utilisateur final du groupe que vous avez modifié : 1. Sélectionnez VPN > Mobile VPN with IPSec. La page Mobile VPN with IPSec apparaît. 2. Cliquez sur Générer. Note Fireware XTM Web UI ne peut que générer le fichier de configuration .ini des utilisateurs itinérants. Si vous souhaitez générer le fichier .wgx, vous devez utiliser Policy Manager. Configurez le serveur d’authentification externe Si vous créez un groupe d’utilisateurs Mobile VPN qui s’authentifient sur un serveur tiers, veillez à créer sur le serveur un groupe portant le même nom que celui que vous avez ajouté dans l’Assistant du groupe Mobile VPN. Si vous utilisez Active Directory comme serveur d’authentification, les utilisateurs doivent appartenir à un groupe de sécurité Active Directory du même nom que le nom de groupe que vous avez configuré pour Mobile VPN with IPSec. Dans le cadre d’une authentification RADIUS, VASCO ou SecurID, le serveur RADIUS doit envoyer un attribut Filter-Id (attribut RADIUS n° 11) dès que l’authentification d’un utilisateur aboutit pour indiquer à Firebox le groupe auquel il appartient. La valeur de l’attribut Filter-Id doit correspondre au nom du groupe Mobile VPN, tel qu’il s’affiche dans les paramètres du serveur d’authentification RADIUS de Fireware XTM. Tous les utilisateurs de Mobile VPN qui s’authentifient sur le serveur doivent appartenir à ce groupe. Ajouter des utilisateurs à un groupe Firebox Mobile VPN Pour ouvrir un tunnel Mobile VPN avec Firebox, les utilisateurs distants entrent leur nom d’utilisateur et leur mot de passe pour s’authentifier. Le logiciel WatchGuard System Manager utilise ces informations pour authentifier l’utilisateur auprès de Firebox. Pour s’authentifier, les utilisateurs doivent appartenir au groupe ajouté dans l’Assistant Add Mobile User VPN Wizard. Pour plus d’informations sur les groupes Firebox, voir Types d’authentification Firebox à la page 229. Guide de l’utilisateur 507 Mobile VPN with IPSec Pour ajouter des utilisateurs à un groupe si vous faites appel à un serveur d’authentification tiers, reportezvous aux instructions de la documentation fournie par votre fournisseur. Pour ajouter des utilisateurs à un groupe si vous utilisez l’authentification Firebox : 1. Sélectionnez Authentification > Serveurs. La page Serveurs d’authentification s’affiche. 2. Sélectionnez l’onglet Firebox. 3. Pour ajouter un nouvel utilisateur, dans la section Utilisateurs, cliquez sur Ajouter. La boîte de dialogue Configuration d’utilisateur Firebox s’affiche. 508 WatchGuard System Manager Mobile VPN with IPSec 4. Saisissez le nom et le mot de passe du nouvel utilisateur. Le mot de passe doit comporter au moins huit caractères. Retapez le mot de passe pour le valider. La description n’est pas obligatoire. Il est recommandé de ne pas changer les valeurs Délai d’expiration de la session et Délai d’inactivité. 5. Dans la section Groupes d’authentification Firebox , dans la liste Disponible, sélectionnez le nom de groupe et cliquez sur 6. Cliquez sur OK. . La boîte de dialogue Configuration d’utilisateur Firebox se ferme. Le nouvel utilisateur apparaît sur la page Serveurs d’authentification dans la liste des utilisateurs. 7. Cliquez sur Enregistrer. Modifier un profil de groupe existant Mobile VPN with IPSec Après avoir créé un groupe Mobile VPN with IPSec, vous pouvez modifier le profil pour : n n n n Changer la clé partagée Ajouter l’accès à d’autres hôtes ou réseaux Limiter l’accès à un seul port de destination, port source ou protocole Changer les paramètres de phase 1 et de phase 2 Configurer un groupe Mobile VPN with IPSec 1. Sélectionnez VPN > Mobile VPN with IPSec. La page Mobile VPN with IPSec apparaît. Guide de l’utilisateur 509 Mobile VPN with IPSec 2. Sélectionnez le groupe que vous souhaitez modifier et cliquez sur Modifier. La page Paramètres Mobile User VPN with IPSec apparaît. 510 WatchGuard System Manager Mobile VPN with IPSec 3. Configurez ces options pour modifier le profil de groupe : Serveur d’authentification Sélectionnez le serveur d’authentification à utiliser pour ce groupe Mobile VPN. Vous pouvez authentifier les utilisateurs sur Firebox (Firebox-DB) ou sur un serveur RADIUS, VASCO, SecurID, LDAP ou Active Directory. Vérifiez que cette méthode d’authentification est activée. Mot de passe Pour modifier le mot de passe qui chiffre le fichier .wgx, saisissez un nouveau mot de passe. La clé partagée peut uniquement contenir des caractères ASCII standard. Si vous utilisez un certificat pour l’authentification, il s’agit du code PIN du certificat. Confirmation Ressaisissez le nouveau mot de passe. Principal(e) Guide de l’utilisateur 511 Mobile VPN with IPSec Saisissez l’adresse IP externe principale ou le domaine auquel les utilisateurs Mobile VPN de ce groupe peuvent se connecter. Sauvegarder Saisissez l’adresse IP externe de sauvegarde ou le domaine auquel les utilisateurs Mobile VPN de ce groupe peuvent se connecter. L’adresse IP de sauvegarde est facultative. Si vous en ajoutez une, assurez-vous qu’il s’agit d’une adresse IP attribuée à une interface externe Firebox. Délai d’expiration de la session Sélectionnez la durée d’activité maximale (en minutes) d’une session Mobile VPN. Délai d’inactivité Sélectionnez la durée d’inactivité maximale (en minutes) d’une session Mobile VPN. Passé ce délai, Firebox ferme la session. Les valeurs de délai d’expiration de la session et d’inactivité de la session sont spécifiées par défaut si le serveur d’authentification ne renvoie aucune valeur de délai spécifique. Si vous utilisez Firebox en tant que serveur d’authentification, les délais du groupe Mobile VPN sont toujours ignorés car vous définissez des délais dans chaque compte d’utilisateur Firebox. Les délais d’expiration de la session et d’inactivité ne peuvent pas être plus longs que la valeur indiquée dans la zone de texte SA Life . Pour définir cette valeur, dans la boîte de dialogue Paramètres Mobile VPN with IPSec, cliquez sur l’onglet Tunnel IPSec, puis sur Avancé pour les Paramètres de phase 1. La valeur par défaut est de 8 heures. 4. Cliquez sur l’onglet Tunnel IPSec. 512 WatchGuard System Manager Mobile VPN with IPSec 5. Configurez ces options pour modifier les paramètres IPSec : Utiliser le mot de passe du profil de l’utilisateur final comme clé pré-partagée Sélectionner ce paramètre pour utiliser le mot de passe du profil de l’utilisateur final comme clé pré-partagée et permettre une authentification d’accès au tunnel. Le mot de passe est défini dans l’onglet Général, dans la section Mot de passe. Vous devez utiliser la même clé partagée sur le périphérique distant. Cette clé ne peut contenir que des caractères ASCII standard. Utiliser un certificat Sélectionnez cette option pour utiliser un certificat dans le cadre d’une authentification d’accès au tunnel. Pour plus d’informations, voir Utiliser des certificats pour un tunnel Mobile VPN with IPSec authentification à la page 410. Adresse IP de l’autorité de certification Si vous choisissez d’utiliser un certificat, saisissez l’adresse IP du serveur Management Server qui a été configuré en tant qu’autorité de certification. Délai Guide de l’utilisateur 513 Mobile VPN with IPSec Si vous choisissez d’utiliser un certificat, saisissez la durée en secondes avant que le client Mobile VPN with IPSec n’essaie plus de se connecter à l’autorité de certification sans réponse. Il est conseillé d’utiliser le paramètre par défaut. Paramètres de phase 1 Sélectionnez les méthodes d’authentification et de chiffrement relatives au tunnel Mobile VPN. Pour configurer les paramètres avancés, NAT Traversal ou groupe de clés par exemple, cliquez sur Avancé et Définir les Paramètres de phase 1 avancés. Ces options de chiffrement apparaissent dans la liste de la moins complexe et sécurisée à la plus complexe et sécurisée. DES 3DES AES (128 bits) AES (192 bits) AES (256 bits) Paramètres de phase 2 Sélectionnez PFS (Perfect Forward Secrecy) pour activer PFS et définir le Groupe DiffieHellman. Pour modifier d’autres paramètres de proposition, cliquez sur Avancé et sur Définir des paramètres de phase 2 avancés. 6. Cliquez sur l’onglet Ressources. 514 WatchGuard System Manager Mobile VPN with IPSec 7. Configurez ces options pour modifier les paramètres : Autoriser tout le trafic à passer par le tunnel Pour faire passer tout le trafic Internet des utilisateurs de Mobile VPN par le tunnel VPN, cochez cette case. Si vous cochez cette case, le trafic Internet des utilisateurs Mobile VPN passe par le tunnel VPN. Ce système est plus sûr, mais l’accès aux sites Web peut être lent. If vous ne cochez pas cette case, le trafic Internet des utilisateurs Mobile VPN est envoyé directement sur Internet. Ce système est moins sûr, mais la navigation sur Internet est plus rapide. Liste des ressources autorisées Cette liste répertorie les ressources réseau disponibles auprès des utilisateurs dans le groupe Mobile VPN. Pour ajouter une adresse IP ou une adresse IP réseau à la liste des ressources réseau, sélectionnez IP de l’hôte ou IP du réseau, saisissez l’adresse et cliquez sur Ajouter. Guide de l’utilisateur 515 Mobile VPN with IPSec Pour supprimer une adresse IP ou une adresse IP réseau dans la liste des ressources, sélectionnez une ressource et cliquez sur Supprimer. Pool d’adresses IP virtuelles Les adresses IP internes utilisées par les utilisateurs Mobile VPN sur le tunnel apparaissent dans cette liste. Ces adresses ne peuvent pas être utilisées par les périphériques réseau ou un autre groupe Mobile VPN. Pour ajouter une adresse IP ou une adresse IP réseau au pool virtuel d’adresses IP, sélectionnez IP de l’hôte ou IP du réseau, saisissez l’adresse et cliquez sur Ajouter. Pour supprimer une adresse IP d’hôte ou de réseau du pool virtuel d’adresses IP, sélectionnez l’adresse concernée et cliquez sur Supprimer. 8. Cliquez sur l’onglet Avancé. 9. Configurez les paramètres Gestion de ligne : Mode de connexion Manuelle — Dans ce mode, le client n’essaie pas de redémarrer le tunnel VPN automatiquement si le tunnel VPN n’est pas actif. C’est le paramètre par défaut. Pour redémarrer le tunnel VPN, vous devez cliquer sur Connecter dans Connection Monitor ou cliquez avec le bouton droit sur l’icône Mobile VPN de votre barre des tâches du bureau Windows et sélectionnez Connecter. Automatique — Dans ce mode, le client essaie de démarrer la connexion lorsque votre ordinateur envoie des données à une destination accessible par le réseau VPN. Le client essaie également de redémarrer le tunnel VPN automatiquement si le tunnel VPN devient indisponible. Variable — Dans ce mode, le client essaie de redémarrer le tunnel VPN automatiquement jusqu’à ce que vous cliquez sur Déconnecter. Après la déconnexion, le client n’essaie pas de redémarrer le tunnel VPN tant que vous ne cliquez pas sur Connecter. Délai d’inactivité 516 WatchGuard System Manager Mobile VPN with IPSec Si vous définissez le mode de connexion sur Automatique ou sur Variable, le logiciel client Mobile VPN with IPSec n’essaie pas de renégocier la connexion VPN pendant la durée que vous indiquez. Note Les paramètres par défaut de gestion de ligne sont Manuelle et 0 seconde. Si vous modifiez l’un de ces paramètres, vous devez utiliser le fichier .ini pour configurer le logiciel client. 10. Cliquez sur Enregistrer. La page Mobile VPN with IPSec apparaît. 11. Cliquez sur Enregistrer. Les utilisateurs finaux membres du groupe que vous modifiez ne peuvent pas se connecter tant qu’ils n’importent pas le fichier de configuration correct dans leur logiciel client Mobile VPN with IPSec. Vous devez générer le fichier de configuration et le mettre à la disposition des utilisateurs finaux. Pour générer les profils d’utilisateur final du groupe que vous avez modifié : 1. Sélectionnez VPN > Mobile VPN with IPSec. La page Mobile VPN with IPSec apparaît. 2. Cliquez sur Générer. Note Fireware XTM Web UI ne peut que générer le fichier de configuration .ini des utilisateurs itinérants. Si vous souhaitez générer le fichier .wgx, vous devez utiliser Policy Manager. Définir les Paramètres de phase 1 avancés Vous pouvez définir des paramètres de phase 1 avancés pour votre profil d’utilisateur Mobile VPN. 1. Sur la page Modifier Mobile VPN with IPSec page, cliquez sur l’onglet Tunnel IPSec Tunnel . 2. Dans la rubrique Paramètres de phase 1, cliquez sur Avancés. Les Paramètres avancés de phase 1 s’affichent. Guide de l’utilisateur 517 Mobile VPN with IPSec 3. Configurez les options de paramètres pour le groupe, tel que décrit dans les rubriques suivantes. Il est conseillé d’utiliser les paramètres par défaut. 4. Cliquez sur Enregistrer. Options de phase 2 Durée de vie de la SA Sélectionnez la durée de vie de la SA (association de sécurité) puis Heure ou Minute dans la liste déroulante. Lors de l’expiration de la SA , une nouvelle négociation de phase 1 démarre. Une durée de vie de la SA plus courte offre plus de sécurité mais la négociation SA peut provoquer un échec des connexions existantes. Groupe de clés Sélectionnez le groupe Diffie-Hellman de votre choix. WatchGuard prend en charge les groupes 1, 2 et 5. Les groupes Diffie-Hellman déterminent la force de la clé principale utilisée dans le processus d’échange de clés. Les nombres de groupes plus élevés offrent plus de sécurité, mais utilisent davantage de temps et de ressources sur l’ordinateur client, et Firebox doit créer les clés. 518 WatchGuard System Manager Mobile VPN with IPSec NAT Traversal Activez cette case à cocher pour créer un tunnel Mobile VPN entre Firebox et un autre périphérique situé derrière un périphérique NAT. Le NAT Traversal, ou encapsulage UDP, permet d’acheminer le trafic vers les destinations appropriées. Conservation d’activité IKE N’activez cette case à cocher que si ce groupe se connecte à un ancien périphérique WatchGuard qui ne prend pas en charge la détection DPD (Dead Peer Detection). Tous les périphériques WatchGuard équipés de Fireware v9.x ou inférieure, Edge v8.x ou inférieure, et toutes les versions de WFS ne prennent pas en charge la détection DPD (Dead Peer Detection). Pour ces périphériques, activez cette case à cocher pour que Firebox puisse envoyer des messages à son pair IKE afin que le tunnel VPN reste ouvert. Ne sélectionnez pas à la fois les messages de conservation d’activité IKE et la détection DPD (Dead Peer Detection). Intervalle entre les messages Indiquez l’intervalle en secondes entre les messages de conservation d’activité IKE. Nombre d’échecs maximum Indiquez combien de fois au maximum Firebox peut envoyer un message de conservation d’activité IKE avant d’arrêter la connexion VPN et de renégocier la phase 1. Détection DPD (Dead Peer Detection) Activez cette case à cocher pour activer la détection DPD (Dead Peer Detection). Les deux points de terminaison doivent prendre en charge la détection DPD. Tous les périphériques WatchGuard équipés de Fireware v10.x ou supérieure, Edge v10.x ou supérieure prennent en charge la détection DPD. Ne sélectionnez pas à la fois les messages de conservation d’activité IKE et la détection DPD (Dead Peer Detection). Basée sur RFC 3706, la détection DPD utilise les caractéristiques de trafic IPSec pour déterminer si une connexion est active avant d’envoyer un paquet. Lorsque vous sélectionnez la détection DPD, un message est envoyé au pair s’il n’a émis aucun trafic dans le délai imparti. La détection DPD n’effectue plus aucune tentative de connexion si elle détermine qu’un pair est inactif. Délai d’inactivité du trafic Indiquez le délai d’attente en secondes avant que Firebox ne vérifie si l’autre périphérique est actif. Nombre maximal de tentatives Indiquez le nombre maximum de tentatives de connexion à un pair entreprises par Firebox avant qu’il ne le considère comme indisponible, arrête la connexion VPN et renégocie la phase 1. Définir les Paramètres de phase 2 avancés Vous pouvez définir les paramètres de phase 2 avancés pour votre profil d’utilisateur Mobile VPN. 1. Sur la page Modifier Mobile VPN with IPSec page, cliquez sur l’onglet Tunnel IPSec Tunnel . 2. Dans la rubrique Paramètres de phase 2, cliquez sur Avancés. Les Paramètres avancés de phase 2 s’affichent. Guide de l’utilisateur 519 Mobile VPN with IPSec 3. Configurez les options de phase 2, tel que décrit dans la rubrique suivante. Il est conseillé de conserver les paramètres par défaut. 4. Cliquez sur Enregistrer. Options de phase 1 Type Les deux options ESP et AH permettent de définir la méthode de proposition. Pour l’instant, seule l’option ESP est prise en charge. Authentification Sélectionnez la méthode d’authentification : SHA1 ou MD5. Chiffrement Sélectionnez une méthode de chiffrement. Les options sont répertoriées de la moins complexe et sécurisée à la plus complexe et sécurisée. n n n n n 520 DES 3DES AES (128 bits) AES (192 bits) AES (256 bits) WatchGuard System Manager Mobile VPN with IPSec Forcer l’expiration de la clé Pour régénérer lespoints de terminaison de la passerelle et échanger de nouvellesclés aprèsune certaine durée ouaprès le passage d’une certaine quantité de trafic par lapasserelle, cochezcette case. Dans les champs Forcer l’expiration de la clé, sélectionnez la durée et le nombre de kilooctets qui peuvent être transférés avant l’expiration de la clé. Si vous avez désactivé Forcer l’expiration de la clé ou si vous avez activé cette case et que la durée et le nombre de kilooctets sont définis sur zéro, Firebox utilise l’expiration de la clé définie pour le pair. Si cette option est également désactivée ou définie sur zéro, Firebox utilise la durée d’expiration par défaut de la clé de huit heures. La durée maximale avant l’expiration d’une clé est d’une année. Configurer des serveurs WINS et DNS Les clients Mobile VPN sont basés sur les adresses des serveurs WINS (Windows Internet Name Server) et DNS (Domain Name System). DNS traduit les noms d’hôtes en adresses IP. WINS résout les noms NetBIOS en adresses IP. Ces serveurs doivent être accessibles à partir de l’interface approuvée Firebox. N’utilisez qu’un serveur DNS interne. N’utilisez pas de serveurs DNS externes. 1. Sélectionnez Réseau > Interfaces. La page Interfaces réseau apparaît. Guide de l’utilisateur 521 Mobile VPN with IPSec 2. Dans la zone de texte Nom de domaine, saisissez le nom de domaine du serveur DNS. 3. Dansles zonesde texteServeursDNS etServeurs WINS,saisissez lesadresses desserveurs WINSet DNS. 4. Cliquez sur Enregistrer. Verrouiller le profil d’un utilisateur final Vous pouvez utiliser les paramètres avancés pour verrouiller le profil de l’utilisateur final afin que les utilisateurs puissent afficher certains paramètres et en masquer d’autres sans avoir le droit de les modifier. Il est conseillé de verrouiller tous les profils pour empêcher les utilisateurs de modifier le leur. Ce paramètre est destiné aux fichiers de profil d’utilisateur final .wgx. Vous ne pouvez pas définir les fichiers de profil d’utilisateur final .ini en lecture seule. 1. Sélectionnez VPN > Mobile VPN with IPSec. 2. Pour attribuer aux utilisateurs itinérants un accès en lecture seule à leur profil, cochez la case Définir les stratégies de sécurité du client Mobile VPN en lecture seule. 522 WatchGuard System Manager Mobile VPN with IPSec Note Ce paramètre ne s’applique qu’aux fichiers .wgx. Vous devez utiliser Policy Manager pour générer les fichiers .wgx de vos utilisateurs. Fichiers de configuration Mobile VPN with IPSec Pour configurer le client Mobile VPN with IPSec, vous importez un fichier de configuration. Le fichier de configuration est appelé également profil d’utilisateur final. Il existe deux types de fichiers de configuration. .wgx Les fichiers .wgx sont chiffrés et peuvent être configurés de manière à ce que l’utilisateur final ne puisse pas modifier les paramètres du logiciel client Mobile VPN with IPsec. Un fichier .wgx ne peut pas définir les paramètres Gestion de ligne dans le logiciel client. Si vous configurez Gestion de ligne sur un autre paramètre que Manuelle, vous devez utiliser un fichier de configuration .ini. Pour plus d’informations, voir Verrouiller le profil d’un utilisateur final. .ini Le fichier .ini est utilisé uniquement si vous n’avez pas configuré Gestion de ligne sur Manuelle. Le fichier de configuration .ini n’est pas chiffré. Pour plus d’informations, voir Gestion de ligne dans l’onglet Avancé, dans Modifier un profil de groupe existant Mobile VPN with IPSec. Lorsque vous commencez par configurer un groupe Mobile VPN with IPSec ou si vous apportez des modifications aux paramètres d’un groupe, vous devez générer le fichier de configuration du groupe et le mettre à la disposition des utilisateurs finaux. Pour utiliser Fireware XTM Web UI pour générer un fichier de profil d’utilisateur final d’un groupe : 1. Sélectionnez VPN > Mobile VPN > IPSec. 2. Sélectionnez le groupe Mobile VPN et cliquez sur Générer. 3. Sélectionnez un emplacement de sauvegarde du fichier de configuration .ini. Vous pouvez maintenant distribuer le fichier de configuration auprès des utilisateurs finaux. Note Fireware XTM Web UI ne peut que générer le fichier de configuration .ini des utilisateurs itinérants. Si vous souhaitez générer le fichier .wgx, vous devez utiliser Policy Manager. Configurer les stratégies à filtrer Trafic Mobile VPN Dans une configuration par défaut, Mobile VPN with IPSec utilisateurs ont un accès complet aux ressources Firebox avec la stratégie Any. La stratégie Any permet le trafic sur tous les ports et protocoles entre l’utilisateur Mobile VPN et les ressources réseau disponibles sur le tunnel Mobile VPN. Pour limiter le trafic des utilisateurs VPN par port et protocole, vous pouvez supprimer la stratégie Any et la remplacer par des stratégies de limitation d’accès. Guide de l’utilisateur 523 Mobile VPN with IPSec Ajouter une stratégie individuelle 1. Sélectionnez Pare-feu > Stratégies Mobile VPN. 2. Vous devez sélectionner un groupe avant d’ajouter une stratégie. 3. Ajouter, modifier et supprimer des stratégies conformément aux indications de À propos des stratégies à la page 257. Distribuer les logiciels et les profils WatchGuard conseille de distribuer les profils des utilisateurs finaux par e-mail chiffré ou par toute autre méthode sécurisée. Chaque ordinateur client doit disposer des éléments suivants : n Package d’installation logicielle Le package d’installation de WatchGuard Mobile VPN with IPSec se trouve sur le site Web LiveSecurity Service de WatchGuard à l’adresse suivante : https://www.watchguard.com/archive/softwarecenter.asp Pour télécharger le logiciel, vous devez vous connecter au site avec votre nom d’utilisateur et votre mot de passe LiveSecurity Service. n Profil de l’utilisateur final Ce fichier contient le nom de groupe, la clé partagée et les paramètres qui permettent à un ordinateur distant de se connecter en toute sécurité via Internet sur un réseau d’ordinateurs privé, protégé. Le profil de l’utilisateur final est un fichier intitulé groupname.wgx. L’emplacement par défaut du fichier .wgx est le suivant : C:\Documents and Settings\Tous les utilisateurs\Shared WatchGuard \muvpn\<IP address of Firebox>\<nom de groupe Mobile VPN with IPSec\wgx n Deux fichiers de certificat, si vous vous authentifiez à l’aide de certificats Il s’agit du fichier .p12 qui est un fichier chiffré contenant le certificat et du fichier cacert.pem qui contient le certificat racine (autorité de certification). Les fichiers .p12 et cacert.pem sont stockés au même emplacement que le profil d’utilisateur final .wgx. n Documentation utilisateur La documentation permettant d’aider l’utilisateur distant à installer le client Mobile VPN et à importer le fichier de configuration Mobile VPN se trouve dans À propos des fichiers de configuration client Mobile VPN rubriques. n Mot de passe Pour importer le profil de l’utilisateur final, l’utilisateur doit saisir un mot de passe. Cette clé déchiffre le fichier et importe la stratégie de sécurité dans le client Mobile VPN. Le mot de passe est configuré lorsque le groupe Mobile VPN est créé dans Policy Manager. Pour plus d’informations sur la modification de la clé partagée, voir Modifier un profil de groupe existant Mobile VPN with IPSec à la page 509. 524 WatchGuard System Manager Mobile VPN with IPSec Note Le mot de passe du profil de l’utilisateur final, le nom d’utilisateur et le mot de passe de l’utilisateur sont des informations confidentielles. Pour des raisons de sécurité, nous vous recommandons de ne pas envoyer ces informations par e-mail. L’e-mail n’étant pas sécurisé, un utilisateur non autorisé pourrait utiliser ces informations pour accéder à votre réseau interne. Fournissez ces informations à l’utilisateur en utilisant un moyen d’éviter qu’une personne non autorisée ne les intercepte. Rubriques supplémentaires sur Mobile VPN Cette section décrit les rubriques spéciales relatives à Mobile VPN with IPSec. Établir des connexions IPSec sortantes derrière un système Firebox Un utilisateur peut être amené à établir des connexions IPSec à Firebox derrière un système Firebox différent. Par exemple, un employé itinérant travaillant sur le site d’un client équipé d’un système Firebox peut utiliser IPSec pour se connecter à son réseau. Pour que le système Firebox local établisse correctement la connexion IPSec sortante, vous devez définir une stratégie IPSec qui inclut le filtrage de paquets IPSec. Pour de plus amples informations sur l’activation des stratégies, cf. À propos des stratégies à la page 257. Comme la stratégie IPSec établit un tunnel vers le serveur IPSec et qu’elle n’effectue aucun contrôle de sécurité sur le pare-feu, n’y incluez que des utilisateurs de confiance. Mettre fin aux connexions IPSec Pour arrêter complètement les connexions VPN, vous devez redémarrer Firebox. La suppression de la stratégie IPSec ne met pas fin aux connexions en cours. Paramètres VPN globaux Les paramètres VPN globaux de Firebox s’appliquent aux tunnels BOVPN manuels, aux tunnels gérés et aux tunnels Mobile VPN. Vous pouvez utiliser ces paramètres pour : n n n Activer le transit IPSec ; Effacer ou conserver les paramètres des paquets lorsque les drapeaux Type de service (TOS) sont définis. Utiliser un serveur LDAP pour vérifier les certificats ; Pour modifier ces paramètres, Dans Fireware XTM Web UI, sélectionnez Paramètres globaux > VPN. Pour plus d’informations sur ces paramètres, voir À propos des paramètres VPN globaux à la page 451. Afficher le nombre de licences Mobile VPN Vous pouvez consulter le nombre de licences Mobile VPN installées dans la clé de fonctionnalité. 1. Dans Fireware XTM Web UI, sélectionnez Clé de fonctionnalité> système. La page Clé de fonctionnalité apparaît. Guide de l’utilisateur 525 Mobile VPN with IPSec 2. Sélectionnez Utilisateurs Mobile VPN dans la colonne Fonctionnalitéet notez le nombre affiché dans la colonne Capacité . C’est le nombre maximum d’utilisateurs Mobile VPN pouvant se connecter en même temps. Acheter des licences Mobile VPN supplémentaires WatchGuard Mobile VPN with IPSec est une fonctionnalité facultative. Chaque périphérique Firebox X inclut un certain nombre de licences Mobile VPN. Si vous le souhaitez, vous pouvez en acheter davantage. Les licences sont disponibles chez votre revendeur local ou à l’adresse : http://www.watchguard.com/sales Ajouter des clés de fonctionnalité Pour de plus amples informations sur l’ajout des clés de fonctionnalité, cf. À propos de les clés de fonctionnalité à la page 52. Mobile VPN et basculement VPN Vous pouvez configurer des tunnels VPN pour qu’ils puissent basculer vers un point de terminaison de sauvegarde si le point de terminaison principal n’est plus disponible. Pour de plus amples informations sur le basculement VPN, cf. Configurer le basculement VPN à la page 469. Si le basculement VPN est configuré et qu’un basculement se produit, les sessions Mobile VPN s’interrompent. Vous devez à nouveau authentifier votre client Mobile VPN pour créer un nouveau tunnel Mobile VPN. Pour configurer le basculement VPN pour des tunnels Mobile VPN : 1. Dans l’interface Web Fireware XTM , sélectionnez VPN > Mobile VPN with IPSec. La page des paramètres Mobile VPN with IPSec s’affiche. 2. Sélectionnez un groupe d’utilisateurs mobiles dans la liste et cliquez sur Modifier. La boîte de dialogue Modifier Mobile VPN with IPSec s’affiche. 3. Sélectionnez l’onglet Général . 4. Dans la rubrique Adresses IP Firebox, entrez une adresse IP d’interface WAN de sauvegarde dans le champ Adresse IP de sauvegarde. Vous ne pouvez spécifier qu’une seule interface de sauvegarde vers laquelle les tunnels pourront basculer, même si vous disposez d’interfaces WAN supplémentaires. Configurer Mobile VPN with IPSec sur une adresse IP dynamique Il est recommandé d’utiliser soit une adresse IP statique pour un périphérique Firebox co