Mode d'emploi | Watchguard Firebox X Edge e-Series v10.1 Manuel utilisateur
Ajouter à Mes manuels320 Des pages
▼
Scroll to page 2
of
320
WatchGuard Firebox X Edge e-Series Guide de l’utilisateur Firebox X Edge e-Series version 10 Tous les modèles standard et sans fil de la gamme Firebox X Edge e-Series Note aux utilisateurs Les informations figurant dans ce guide peuvent faire l’objet de modifications sans préavis. Les exemples de sociétés, de noms et de données mentionnés ici sont fictifs, sauf mention contraire. Aucune partie de ce guide ne peut être reproduite ou retransmise sous quelque format ou par quelque moyen que ce soit (électronique ou mécanique), pour tout objet, sans l’autorisation écrite expresse de WatchGuard Technologies, Inc. Guide révisé le : 15/01/2008 Informations sur le copyright, les marques déposées et les brevets Copyright © 1998 – 2008 WatchGuard Technologies, Inc. Tous droits réservés. Toutes les marques déposées ou les noms commerciaux mentionnés ici, le cas échéant, appartiennent à leurs propriétaires respectifs. Vous pouvez trouver la totalité des informations sur le copyright, les marques déposées, les brevets et les licences dans le Reference Guide (Guide de référence), disponible en ligne : http://www.watchguard.com/help/documentation/. Ce produit est destiné à une utilisation intérieure uniquement. Abréviations utilisées dans le Guide 3DES Triple Data Encryption Standard IPSec Internet Protocol Security SSL Secure Sockets Layer BOVPN Branch Office Virtual Private Network ISP Fournisseur(s) de services Internet TCP Transfer Control Protocol DES Data Encryption Standard MAC Media Access Control UDP User Datagram Protocol DNS Domain Name Service NAT Traduction d’adresses réseau (Network Address Translation) URL Uniform Resource Locator DHCP Dynamic Host Configuration Protocol PPP Point-to-Point Protocol VPN Réseau privé virtuel DSL Digital Subscriber Line PPTP Point-to-Point Tunneling Protocol WAN Réseau étendu (WAN) IP Internet Protocol PPPoE Point-to-Point Protocol over Ethernet WSM WatchGuard System Manager À propos de WatchGuard WatchGuard est l’un des principaux fournisseurs de solutions de sécurité réseau pour les petites et moyennes entreprises partout dans le monde. Il propose des produits et services intégrés qui se caractérisent par leur solidité et leur simplicité d’achat, de déploiement et de gestion. La famille de produits Firebox X, périphériques de sécurité intégrés extensibles, est conçue pour être totalement mise à niveau en fonction de l’évolution d’une organisation et présente la meilleure offre du marché en termes de sécurité, de performances, d’interface intuitive et de valeur. L’architecture ILS (Intelligent Layered Security) de WatchGuard constitue une réelle protection contre les menaces émergentes et procure la flexibilité nécessaire pour intégrer les fonctionnalités et services de sécurité supplémentaires offerts par WatchGuard. Tous les produits WatchGuard sont livrés avec un abonnement initial aux services LiveSecurity pour permettre à nos clients de se tenir au courant de l’actualité en matière de sécurité grâce aux alertes de vulnérabilité, mises à jour logicielles, instructions de sécurité des experts et à un service d’assistance client de premier choix. Pour plus d’informations, appelez le (206) 613 6600 ou visitez notre site www.watchguard.com. ii ADRESSE 505 Fifth Avenue South Suite 500 Seattle, WA 98104 SUPPORT TECHNIQUE www.watchguard.com/support États-Unis et Canada +877.232.3531 Tous les autres pays +1.206.613.0895 VENTES États-Unis et Canada +1.800.734.9905 Tous les autres pays +1.206.613.0895 Firebox X Edge e-Series Sommaire Chapitre 1 Introduction à la sécurité des réseaux ..................................................................................... 1 À propos des réseaux et de leur sécurité ...................................................................................................... À propos des protocoles ................................................................................................................................ Mode de transmission des informations sur Internet.......................................................................... À propos des adresses IP..................................................................................................................................... Adresses et passerelles privées............................................................................................................... À propos de la notation de barre oblique................................................................................................ À propos de la saisie des adresses IP ......................................................................................................... Adresses IP statiques et dynamiques ........................................................................................................ À propos de DHCP ....................................................................................................................................... À propos de PPPoE ...................................................................................................................................... À propos de DHCP ............................................................................................................................................ À propos de PPPoE ........................................................................................................................................... À propos du DNS (Domain Name Service) ................................................................................................... À propos des services et des stratégies ......................................................................................................... À propos des ports....................................................................................................................................... À propos des pare-feu.......................................................................................................................................... Firebox X Edge et votre réseau......................................................................................................................... 1 2 2 3 3 4 4 5 5 5 5 5 6 6 6 7 8 Chapitre 2 Installation ................................................................................................................................. 9 Avant de commencer........................................................................................................................................... 9 Vérifier la configuration minimale requise .............................................................................................. 9 Spécifications relatives à l’adressage réseau ................................................................................... 11 Rechercher des propriétés TCP/IP........................................................................................................ 11 Rechercher des propriétés TCP/IP sur Microsoft Windows Vista.............................................. 11 Rechercher des propriétés TCP/IP sur Microsoft Windows 2000, Windows 2003 et Windows XP ................................................................................................................................................. 12 Rechercher des propriétés TCP/IP sur Microsoft Windows NT .................................................. 12 Rechercher des propriétés TCP/IP sur Macintosh OS 9 ................................................................ 12 Rechercher des propriétés TCP/IP sur Macintosh OS X 10.5 ...................................................... 12 Rechercher des propriétés TCP/IP sur d’autres systèmes d’exploitation (Unix, Linux)..... 12 Rechercher des paramètres PPPoE...................................................................................................... 12 Enregistrer Firebox et activer le service LiveSecurity ............................................................................. 13 Désactiver le proxy HTTP dans Internet Explorer 6.x ou 7.x ....................................................... 14 Désactiver le proxy HTTP dans Firefox 2.x ........................................................................................ 14 Désactiver le proxy HTTP dans Safari 2.0........................................................................................... 14 Désactiver le blocage des fenêtres publicitaires intempestives......................................................... 15 Guide de l’utilisateur iii Désactiver le bloqueur de fenêtres publicitaires intempestives dans Internet Explorer 6.x ou 7.x..................................................................................................................... 15 Désactiver le bloqueur de fenêtres publicitaires intempestives dans Firefox 2.x .............. 15 Désactiver le bloqueur de fenêtres publicitaires intempestives dans Safari 2.0................. 15 Connecter Firebox X Edge................................................................................................................................ 16 Ajouter des ordinateurs au réseau approuvé ....................................................................................... 17 Connecter Edge à plus de quatre périphériques................................................................................. 17 À propos des licences d’utilisateur........................................................................................................... 18 Utiliser le protocole DHCP ........................................................................................................................... 19 Utiliser une adresse IP statique .................................................................................................................. 19 Chapitre 3 Présentation des pages de configuration ............................................................................. 23 À propos des pages de configuration d’Edge ........................................................................................... 23 Se connecter à Firebox X Edge ....................................................................................................................... 23 Naviguer dans l’interface utilisateur Firebox X Edge.............................................................................. 25 Page État du système .................................................................................................................................... 25 Page Réseau...................................................................................................................................................... 26 Page Utilisateurs de Firebox ....................................................................................................................... 27 Page Administration ...................................................................................................................................... 28 Page Pare-feu ................................................................................................................................................... 29 Page Journalisation ........................................................................................................................................ 30 Page WebBlocker ............................................................................................................................................ 31 Page spamBlocker .......................................................................................................................................... 32 Page Gateway AV/IPS .................................................................................................................................... 33 Page VPN............................................................................................................................................................ 34 Page Assistants ................................................................................................................................................ 34 Analyser Firebox X Edge.................................................................................................................................... 35 Table ARP ........................................................................................................................................................... 35 Authentifications............................................................................................................................................. 36 Connexions ....................................................................................................................................................... 36 Connexions via un filtre de proxy ........................................................................................................ 36 Connexions via un filtre de paquet ..................................................................................................... 36 Liste des composants .................................................................................................................................... 37 Baux DHCP......................................................................................................................................................... 37 Utilisation du disque...................................................................................................................................... 37 DNS dynamique............................................................................................................................................... 38 Sites hostiles ..................................................................................................................................................... 38 Interfaces............................................................................................................................................................ 38 Licence ................................................................................................................................................................ 39 LiveSecurity....................................................................................................................................................... 39 Mémoire ............................................................................................................................................................. 39 Processus............................................................................................................................................................ 39 Protocoles.......................................................................................................................................................... 39 Routes ................................................................................................................................................................. 40 Services de sécurité........................................................................................................................................ 40 Syslog .................................................................................................................................................................. 40 Contrôle du trafic ............................................................................................................................................ 41 Statistiques VPN .............................................................................................................................................. 41 Statistiques sans fil ......................................................................................................................................... 41 iv Firebox X Edge e-Series Chapitre 4 Tâches de base de configuration et de gestion .................................................................... 43 À propos des tâches de base de configuration et de gestion ............................................................. 43 À propos du fichier de sauvegarde de la configuration d’Edge ......................................................... 43 Avant de commencer ............................................................................................................................... 44 Afficher le fichier de configuration........................................................................................................... 44 Sauvegarder la configuration d’Edge ...................................................................................................... 44 Créer un fichier de sauvegarde de la configuration ...................................................................... 45 Restaurer la configuration d’Edge ............................................................................................................ 45 Restaurer la configuration à partir d’un fichier de sauvegarde................................................. 45 À propos des clés de fonctionnalité.............................................................................................................. 47 Redémarrer Firebox localement................................................................................................................ 49 Utiliser le navigateur Web....................................................................................................................... 49 Débranchement du bloc d’alimentation........................................................................................... 49 À propos de l’utilisation du protocole NTP pour définir l’heure système ....................................... 50 Pour définir l’heure système ....................................................................................................................... 51 Interrogations SNMP................................................................................................................................. 53 Activer l’interrogation SNMP ...................................................................................................................... 53 Utiliser le port HTTP au lieu du port HTTPS ........................................................................................... 55 Modifier le port serveur HTTP..................................................................................................................... 56 À propos de l’accès WatchGuard System Manager................................................................................. 56 Renommer Firebox X Edge e-series dans WSM ................................................................................... 56 Activer la gestion centralisée à l’aide de WSM ..................................................................................... 57 Activer la gestion à distance avec WFS version 7.3 ou inférieure.................................................. 59 Autoriser le trafic depuis un serveur Management Server .............................................................. 60 Méthode 1 : Installer le logiciel automatiquement ............................................................................ 61 Options de mise à niveau disponibles .................................................................................................... 63 Ajouter une fonctionnalité à Firebox X Edge........................................................................................ 64 Mettre à niveau le modèle de Firebox X Edge...................................................................................... 65 Chapitre 5 Paramètres réseau .................................................................................................................. 67 À propos de la configuration d’interface réseau...................................................................................... 67 Modifier les adresses IP de Firebox à l’aide de l’Assistant Network Setup Wizard....................... 68 Configurer les interfaces externes................................................................................................................. 69 Si votre fournisseur de services Internet utilise DHCP....................................................................... 69 Si votre fournisseur de services Internet utilise des adresses IP statiques................................. 70 Si votre fournisseur de services Internet utilise PPPoE...................................................................... 70 Paramètres PPPoE avancés..................................................................................................................... 72 Configurer l’interface externe en tant qu’interface sans fil ............................................................. 73 Utilisation d’Edge avec une interface externe sans fil pour étendre la connectivité réseau............................................................................................................................... 73 À propos des paramètres de réseau externe avancés....................................................................... 74 Modifier l’adresse MAC de l’interface externe................................................................................. 74 À propos de la configuration du réseau approuvé ................................................................................. 75 À propos de la modification de l’adresse IP du réseau approuvé ................................................. 75 Modifier l’adresse IP du réseau approuvé ......................................................................................... 76 Définir les réservations d’adresse DHCP du réseau approuvé........................................................ 78 Configurer Firebox en tant qu’agent de relais DHCP.................................................................... 79 Utiliser des adresses IP pour les ordinateurs approuvés .................................................................. 80 Autoriser des connexions sans fil à l’interface approuvée............................................................... 80 À propos de la restriction d’accès à une interface à l’aide d’une adresse MAC........................ 80 Restreindre l’accès à l’interface approuvée à l’aide d’une adresse MAC ............................... 81 À propos de la configuration du réseau facultatif ................................................................................... 83 Activer le réseau facultatif ........................................................................................................................... 84 Guide de l’utilisateur v Définir les réservations d’adresse DHCP du réseau facultatif ......................................................... 86 À propos des agents de relais DHCP........................................................................................................ 87 Configurer Firebox en tant qu’agent de relais DHCP.................................................................... 87 Utiliser des adresses IP statiques pour les ordinateurs facultatifs................................................. 87 Autoriser des connexions sans fil à l’interface facultative................................................................ 88 À propos de la restriction d’accès à une interface à l’aide d’une adresse MAC........................ 88 Restreindre l’accès à l’interface facultative à l’aide d’une adresse MAC ................................ 88 À propos des routes statiques......................................................................................................................... 88 Ajouter un route statique............................................................................................................................. 89 À propos du service DNS dynamique........................................................................................................... 90 Créer un compte DynDNS............................................................................................................................ 90 Configurer Firebox X Edge pour le DNS dynamique ......................................................................... 90 Configurer Firebox pour qu’il utilise BIDS................................................................................................... 92 À propos de l’utilisation de plusieurs interfaces externes .................................................................... 92 Options de configuration de plusieurs WAN ........................................................................................ 93 Basculement WAN ..................................................................................................................................... 93 Multi-WAN .................................................................................................................................................... 93 À propos du mode multi-WAN et de DNS ............................................................................................. 93 Configurer une seconde interface externe pour une connexion haut débit ............................ 94 Configurer les paramètres WAN2 avancés ....................................................................................... 94 Configurer Edge de sorte qu’il utilise l’équilibrage de charge de type tourniquet ................ 95 Configurer le basculement WAN............................................................................................................... 96 Activer le basculement WAN dans l’Assistant Setup Wizard...................................................... 96 Configurer Edge pour qu’il prenne en charge le basculement vers un modem série...... 97 Configurer le modem pour qu’il fonctionne avec un basculement WAN............................. 98 Paramètres du compte d’accès à distance ....................................................................................... 98 Paramètres DNS.......................................................................................................................................... 99 À propos des réseaux locaux virtuels (VLAN) ......................................................................................... 100 Ajouter un indicateur VLAN à l’interface externe............................................................................. 101 Ajouter un indicateur VLAN à l’interface approuvée ou à l’interface facultative ................. 101 Chapitre 6 Configuration sans fil ............................................................................................................ 103 À propos de la configuration sans fil ......................................................................................................... Avant de commencer...................................................................................................................................... À propos des paramètres de configuration sans fil.............................................................................. Modifier l’identificateur SSID ................................................................................................................... Activer/Désactiver les diffusions SSID .................................................................................................. Enregistrer les événements d’authentification................................................................................. Modifier le seuil de fragmentation ........................................................................................................ Modifier le seuil RTS .................................................................................................................................... Définir la méthode d’authentification sans fil ................................................................................... Définir le niveau de chiffrement............................................................................................................. Authentification WPA-PSK et WPA2-PSK........................................................................................ Autoriser les connexions sans fil à l’interface approuvée ............................................................. Autoriser les connexions sans fil à l’interface facultative................................................................... Activer un réseau invité sans fil manuellement..................................................................................... À propos des paramètres radio sans fil..................................................................................................... Définir la région et le canal de fonctionnement............................................................................... Définir le mode de fonctionnement sans fil....................................................................................... Configurer la carte sans fil d’un ordinateur............................................................................................. vi 103 103 104 104 104 105 105 105 106 106 107 108 110 111 113 113 113 114 Firebox X Edge e-Series Chapitre 7 Stratégies de pare-feu .......................................................................................................... 115 À propos des stratégies .................................................................................................................................. À propos de l’utilisation de stratégies sur votre réseau............................................................ Règles de stratégie ...................................................................................................................................... Trafic entrant et sortant............................................................................................................................. À propos du routage basé sur stratégie .............................................................................................. À propos de l’utilisation des stratégies communes de filtrage de paquets ................................ Définir les options de contrôle d’accès (sortant).............................................................................. À propos des stratégies personnalisées ................................................................................................... À propos des stratégies du réseau facultatif........................................................................................... Contrôler le trafic du réseau approuvé vers le réseau facultatif ................................................. Désactiver les filtres de trafic entre les réseaux approuvés et facultatifs ................................ À propos de la priorité des stratégies........................................................................................................ 115 115 116 116 117 117 120 121 126 126 127 128 Chapitre 8 Paramètres de proxy ............................................................................................................. 129 À propos des stratégies de proxy ............................................................................................................... Activer une stratégie de proxy commune .......................................................................................... Définir les options de contrôle d’accès ................................................................................................ Utiliser une stratégie pour la gestion du trafic réseau VPN manuel.......................................... À propos du proxy HTTP ................................................................................................................................ Proxy HTTP : Limites de proxy ................................................................................................................. Requêtes HTTP : Paramètres généraux ................................................................................................ Réponses HTTP : Paramètres généraux................................................................................................ Proxy HTTP : Message de refus................................................................................................................ Configurer le message de refus de la stratégie du proxy HTTP ............................................. Exceptions de proxy HTTP ........................................................................................................................ Définir des exceptions........................................................................................................................... Réponses HTTP : Types de contenus..................................................................................................... Ajouter, supprimer ou modifier des types de contenus ........................................................... Requêtes HTTP : Chemins d’URL............................................................................................................. Réponses HTTP : Cookies........................................................................................................................... Bloquer les cookies provenant d’un site......................................................................................... À propos du proxy FTP.................................................................................................................................... Modifier le proxy FTP.................................................................................................................................. Définir les options de contrôle d’accès ................................................................................................ Proxy FTP : Limites de proxy .................................................................................................................... Modifier le proxy POP3 .............................................................................................................................. Définir les options de contrôle d’accès ................................................................................................ Proxy POP3 : Limites de proxy................................................................................................................. Proxy POP3 : Types de contenus ............................................................................................................ Proxy POP3 : Refuser les modèles de nom de fichier non sécurisés..................................... À propos du Proxy SMTP................................................................................................................................ Modifier le proxy SMTP .............................................................................................................................. Définir les options de contrôle d’accès ................................................................................................ Proxy SMTP : Limites du proxy ................................................................................................................ Proxy SMTP : Message de refus............................................................................................................... Proxy SMTP : Filtrer les e-mails par modèle d’adresse.................................................................... Proxy SMTP : Contenu des e-mails......................................................................................................... Autoriser uniquement les types de contenus sécurisés ........................................................... Ajouter ou supprimer un type de contenu.................................................................................... Ajouter ou supprimer des modèles de nom de fichier ............................................................. Refuser les modèles de nom de fichier non sécurisés ............................................................... À propos du Proxy HTTPS .............................................................................................................................. Guide de l’utilisateur 129 130 131 132 132 132 133 133 133 134 135 135 135 136 136 136 136 137 137 137 138 140 140 141 143 144 144 145 145 146 147 147 148 148 149 149 149 149 vii À propos du proxy H.323 ............................................................................................................................... À propos du Proxy SIP..................................................................................................................................... À propos du proxy sortant ............................................................................................................................ Onglet Paramètres.................................................................................................................................. Onglet Contenu ....................................................................................................................................... À propos des abonnements supplémentaires aux services de sécurité pour les proxies...... 150 151 152 152 152 153 Chapitre 9 Default Threat Protection ..................................................................................................... 155 À propos de Default Threat Protection..................................................................................................... À propos des sites bloqués ........................................................................................................................... Sites bloqués de façon permanente ................................................................................................ Liste des sites automatiquement bloqués/sites bloqués de façon temporaire............... Bloquer un site de façon permanente.................................................................................................. Bloquer des sites de façon temporaire ................................................................................................ À propos des ports bloqués.......................................................................................................................... Ports bloqués par défaut...................................................................................................................... Bloquer un port............................................................................................................................................. Supprimer les attaques DoS Flood ........................................................................................................ Prévention des refus de service distribués ......................................................................................... Configurer les options de pare-feu ............................................................................................................ 155 156 156 156 157 158 159 159 160 161 163 164 Chapitre 10 Gestion du trafic .................................................................................................................... 167 À propos de la gestion du trafic .................................................................................................................. À propos du trafic réseau .......................................................................................................................... Raisons d’un trafic réseau lent............................................................................................................ Catégories de trafic .......................................................................................................................................... Trafic interactif ......................................................................................................................................... Priorité élevée........................................................................................................................................... Priorité moyenne..................................................................................................................................... Priorité basse ............................................................................................................................................ Marquer le trafic ................................................................................................................................................ Activer le contrôle du trafic ...................................................................................................................... Types de NAT................................................................................................................................................. Comportement NAT............................................................................................................................... Adresses IP secondaires........................................................................................................................ À propos de la traduction d’adresses réseau dynamique............................................................. À propos de la traduction d’adresses réseau statique.................................................................... Activer la règle NAT un à un................................................................................................................ Ajouter une adresse IP externe secondaire ................................................................................... Supprimer une adresse IP externe secondaire............................................................................. Activer des adresses secondaires...................................................................................................... Ajouter ou modifier une stratégie pour la règle NAT un à un ................................................ 167 167 167 168 168 168 168 168 169 171 174 174 175 175 175 177 177 177 177 178 Chapitre 11 Journalisation ........................................................................................................................ 179 À propos de la journalisation et des fichiers journaux........................................................................ Serveurs Log Server................................................................................................................................ Journal d’événements et état du système Syslog....................................................................... Journalisation et notification dans les applications et sur les serveurs............................... À propos des messages de journal................................................................................................... Consulter le journal d’événements ............................................................................................................ Pour afficher le journal d’événements ................................................................................................. À propos de la connexion à un serveur WatchGuard Log Server ................................................... Envoyer les journaux d’événements vers le serveur Log Server................................................. Envoyer des journaux à un hôte Syslog............................................................................................... viii 179 179 179 180 180 180 180 181 181 183 Firebox X Edge e-Series Chapitre 12 Certificats ............................................................................................................................... 185 À propos des certificats .................................................................................................................................. Autorités de certification et demandes de signatures .............................................................. À propos des certificats et de Firebox X Edge .............................................................................. Utiliser OpenSSL pour générer une demande de signature de certificat .................................... Envoyer la demande de certificat .......................................................................................................... Délivrer le certificat ..................................................................................................................................... Télécharger le certificat ............................................................................................................................. À propos de l’utilisation des certificats sur Firebox X Edge............................................................... Importer un certificat.................................................................................................................................. Utiliser un certificat local...................................................................................................................... Supprimer un certificat .............................................................................................................................. Examiner un certificat................................................................................................................................. 185 185 185 186 187 187 187 188 188 188 188 188 Chapitre 13 Gestion des utilisateurs et des groupes .............................................................................. 189 À propos des licences d’utilisateur............................................................................................................. 189 Octroi de licences d’utilisateur lorsque l’authentification n’est pas nécessaire.................... 190 À propos des comptes d’utilisateurs ......................................................................................................... 193 Configurer un compte d’utilisateur individuel.................................................................................. 193 Demander aux utilisateurs de s’authentifier auprès d’Edge ........................................................ 195 Authentifier une session sans accès administratif ...................................................................... 196 Créer un compte administratif en lecture seule .......................................................................... 196 Utiliser le compte d’administrateur intégré .................................................................................. 197 Définir le profil WebBlocker d’un utilisateur ...................................................................................... 197 Modifier le nom ou le mot de passe d’un compte d’utilisateur .................................................. 198 À propos de l’utilisation de serveurs d’authentification tierce ................................................... 199 Configurer le service d’authentification LDAP/Active Directory ................................................ 200 Utiliser la fonctionnalité de test d’authentification LDAP............................................................. 201 Configurer des groupes pour l’authentification LDAP................................................................... 201 Ajouter un groupe pour l’authentification LDAP ............................................................................. 202 Définir un profil WebBlocker pour un groupe LDAP....................................................................... 203 Authentification LDAP et Mobile VPN with IPSec ............................................................................ 203 À propos de Single Sign-On (SSO) ......................................................................................................... 203 Avant de commencer ............................................................................................................................ 204 Activer et configurer SSO ..................................................................................................................... 204 À propos des exceptions SSO............................................................................................................. 204 Installer l’agent WatchGuard Single Sign-On (SSO) ................................................................... 205 Télécharger le logiciel agent SSO...................................................................................................... 205 Installer le service agent SSO .............................................................................................................. 206 Activer l’authentification RADIUS ............................................................................................................... 207 Afficher les sessions et les utilisateurs actifs ........................................................................................... 208 Paramètres d’utilisateur Firebox ............................................................................................................ 208 Sessions actives ............................................................................................................................................ 208 Modification d’un compte d’utilisateur .......................................................................................... 210 Suppression d’un compte d’utilisateur........................................................................................... 210 Autoriser des périphériques internes pour ignorer l’authentification des utilisateurs........... 211 Chapitre 14 WebBlocker ............................................................................................................................ 213 À propos de WebBlocker ............................................................................................................................... Configurer les paramètres WebBlocker globaux .................................................................................. Installer Quarantine Server et WebBlocker Server................................................................................ Télécharger le logiciel serveur............................................................................................................ Installer Quarantine Server et WebBlocker Server ...................................................................... Guide de l’utilisateur 213 213 215 215 216 ix À propos des profils WebBlocker ................................................................................................................ Créer un profil WebBlocker ...................................................................................................................... À propos des catégories WebBlocker........................................................................................................ Vérifier si un site appartient à une catégorie ..................................................................................... Ajouter, supprimer ou modifier une catégorie ................................................................................. À propos de l’autorisation des sites à contourner WebBlocker....................................................... Ajouter un site autorisé ............................................................................................................................. Ajouter un site refusé ................................................................................................................................. 216 216 218 219 220 221 221 222 Chapitre 15 spamBlocker .......................................................................................................................... 225 À propos de spamBlocker.............................................................................................................................. Spécifications de spamBlocker ............................................................................................................... À propos de VOD (Virus Outbreak Detection)................................................................................... Actions, indicateurs et catégories de spamBlocker......................................................................... Indicateurs spamBlocker ...................................................................................................................... Catégories spamBlocker....................................................................................................................... Configurer spamBlocker....................................................................................................................... Définir les actions à entreprendre sur les e-mails POP3 ........................................................... Définir les actions à entreprendre sur les e-mails SMTP ........................................................... À propos des exceptions spamBlocker ................................................................................................ Créer des exceptions.............................................................................................................................. Modifier l’ordre des exceptions ......................................................................................................... À propos de l’utilisation de spamBlocker avec plusieurs proxies............................................... Créer des règles pour votre lecteur de messagerie électronique ................................................... Envoyer le courrier indésirable et les e-mails en masse dans des dossiers Outlook spécifiques .................................................................................................................................... Signaler les faux positifs et les faux négatifs........................................................................................... Ajouter des redirecteurs d’e-mails approuvés pour améliorer la précision du score de probabilité de courrier indésirable ...................................................................................................... Ajouter des redirecteurs d’e-mails approuvés .................................................................................. 225 226 226 226 227 227 228 229 230 231 231 232 232 232 233 233 234 234 Chapitre 16 Quarantine Server ................................................................................................................. 235 À propos de Quarantine Server ................................................................................................................... Installer Quarantine Server et WebBlocker Server................................................................................ Télécharger le logiciel serveur............................................................................................................ Installer Quarantine Server et WebBlocker Server ...................................................................... Démarrer Quarantine Server ........................................................................................................................ Installer les composants serveur ............................................................................................................ Exécuter l’Assistant Setup Wizard.......................................................................................................... Définir l’emplacement du serveur ......................................................................................................... Configurer Quarantine Server...................................................................................................................... Définir les paramètres de serveur généraux ...................................................................................... Modifier les paramètres d’expiration et les domaines d’utilisateurs ........................................ Modifier les paramètres de journalisation .......................................................................................... Activer ou désactiver la journalisation ............................................................................................ Ajouter des serveurs Log Server ou définir des priorités pour ces serveurs...................... Envoyer les messages à l’Observateur d’événements Windows ........................................... Envoyer les messages vers un fichier............................................................................................... Modifier les règles de Quarantine Server ............................................................................................ Gérer les messages........................................................................................................................................... Ouvrir la boîte de dialogue des messages ..................................................................................... Définir les options d’affichage............................................................................................................ Enregistrer les messages ou les envoyer dans la boîte de réception d’un utilisateur ... Supprimer des messages manuellement....................................................................................... x 235 236 236 236 237 237 237 237 238 238 240 243 243 243 243 244 244 246 246 247 247 247 Firebox X Edge e-Series Ouvrir la boîte de dialogue des messages.......................................................................................... À propos de la gestion des utilisateurs..................................................................................................... Ajouter des utilisateurs ......................................................................................................................... Supprimer des utilisateurs................................................................................................................... Modifier l’option de notification pour un utilisateur ................................................................. Obtenir des statistiques sur l’activité de Quarantine Server............................................................. Afficher les statistiques pour des dates spécifiques................................................................... Afficher des types de messages spécifiques ................................................................................. Grouper les statistiques par mois, semaine ou jour ................................................................... Exporter et imprimer les statistiques ............................................................................................... 249 250 251 251 251 252 252 252 252 252 Chapitre 17 Gateway AntiVirus et Intrusion Prevention Service ........................................................... 253 À propos de Gateway AntiVirus et Intrusion Prevention ................................................................... À propos des paramètres de Gateway AntiVirus.............................................................................. Messages de refus du proxy POP3 et Gateway AV/IPS.............................................................. Configurer Gateway AV ............................................................................................................................. À propos des paramètres d’Intrusion Prevention Service............................................................. Mettre à jour Gateway AV/IPS ...................................................................................................................... 253 254 254 255 256 257 Chapitre 18 Réseaux BOVPN (Branch Office Virtual Private Network) .................................................. 259 À propos de Branch Office Virtual Private Networks (BOVPN) ......................................................... Procédure de création d’un tunnel................................................................................................... Comment créer un réseau privé virtuel (VPN)................................................................................... À propos du basculement VPN ............................................................................................................... À propos des réseaux VPN gérés................................................................................................................. Configurer des tunnels VPN manuels........................................................................................................ Ce dont vous avez besoin pour Manual VPN ................................................................................ Exemple de table d’informations d’adressage VPN ........................................................................ Paramètres de phase 1............................................................................................................................... Si votre système Edge se trouve derrière un périphérique NAT............................................ Afficher les statistiques VPN................................................................................................................ Forum aux questions....................................................................................................................................... Pourquoi avez-vous besoin d’une adresse externe statique ? ............................................... Comment obtenir une adresse IP externe statique ?................................................................. Comment dépanner la connexion ?................................................................................................. Comment définir plus de tunnels VPN que le nombre autorisé sur un périphérique Edge ?......................................................................................................................... 259 259 260 261 261 262 262 263 265 267 270 271 271 271 271 272 Chapitre 19 À propos de Mobile VPN with PPTP ..................................................................................... 273 Activer l’accès PPTP pour les utilisateurs d’un pare-feu ..................................................................... Activer PPTP sur Edge ..................................................................................................................................... Configurer les paramètres DNS et WINS......................................................................................... Préparer les ordinateurs clients................................................................................................................... Créer et connecter un VPN PPTP à partir d’un client Windows XP ............................................ Utiliser PPTP et accéder à Internet.............................................................................................................. 274 275 276 276 277 278 Chapitre 20 À propos de Mobile VPN with IPSec ..................................................................................... 279 Spécifications du client................................................................................................................................... Activer Mobile VPN pour un groupe.......................................................................................................... À propos des fichiers de configuration du client Mobile VPN.......................................................... Configurer les paramètres globaux du client Mobile VPN with IPSec ...................................... Paramètres WINS/DNS pour VPN Mobile with IPSec.................................................................. Télécharger le fichier .wgx de l’utilisateur .......................................................................................... Distribuer les logiciels et les profils ............................................................................................................ Guide de l’utilisateur 279 281 282 283 283 284 284 xi Configurations logicielles requises pour le client ............................................................................ Sélectionner un certificat et entrer le PIN ........................................................................................... Désinstaller le client Mobile VPN............................................................................................................ Connecter et déconnecter le client Mobile VPN............................................................................... Déconnecter le client Mobile VPN .................................................................................................... Contrôler le comportement de connexion.................................................................................... Icône du client Mobile User VPN ....................................................................................................... Afficher les messages du journal Mobile VPN ................................................................................... Sécuriser votre ordinateur à l’aide du pare-feu Mobile VPN ........................................................ Activer le pare-feu de liaison .............................................................................................................. À propos du pare-feu de bureau ....................................................................................................... Activer le pare-feu de bureau............................................................................................................. Définir des réseaux connus ................................................................................................................. Créer des règles de pare-feu ............................................................................................................... Onglet Général......................................................................................................................................... Onglet Applications ............................................................................................................................... 285 286 287 287 288 288 289 289 290 290 291 291 292 292 293 296 Chapitre 21 À propos de Mobile VPN with SSL ........................................................................................ 297 Avant de commencer ................................................................................................................................. Étapes nécessaires à la configuration des tunnels........................................................................... Options des tunnels Mobile VPN with SSL.......................................................................................... Spécifications du client................................................................................................................................... Activer Mobile VPN with SSL pour un utilisateur Firebox .................................................................. Activer Mobile VPN with SSL pour un groupe........................................................................................ Activer Edge pour utiliser Mobile VPN with SSL.................................................................................... Onglet Général de la page VPN SSL ................................................................................................. Onglet Avancé de la page VPN SSL .................................................................................................. Télécharger le logiciel client ......................................................................................................................... Installer le logiciel client Mobile VPN with SSL (Windows Vista et Windows XP) ................. Se connecter à Firebox à l’aide du client Mobile VPN with SSL (Windows Vista et Windows XP)............................................................................................................. Se connecter à Firebox à l’aide du client Mobile VPN with SSL (Mac OS X)............................ Contrôles du client Mobile VPN with SSL............................................................................................ Client Mobile VPN with SSL pour Windows Vista et Windows XP......................................... Client Mobile VPN with SSL pour Mac OS X................................................................................... xii 297 297 297 298 298 299 300 301 302 303 304 305 305 306 307 307 Firebox X Edge e-Series 1 Introduction à la sécurité des réseaux À propos des réseaux et de leur sécurité Un réseau est un groupe d’ordinateurs et de périphériques connectés les uns aux autres. Il peut s’agir de deux ordinateurs connectés par un câble série ou de nombreux ordinateurs aux quatre coins du monde connectés entre eux via Internet. Les ordinateurs faisant partie du même réseau peuvent fonctionner ensemble et partager des données. Internet vous donne accès à un large éventail d’informations et d’opportunités commerciales, mais il rend votre réseau accessible aux personnes malveillantes. Une stratégie de sécurité du réseau efficace vous permet de détecter et d’empêcher les attaques contre votre ordinateur ou réseau. Les attaques sont coûteuses. Les ordinateurs peuvent nécessiter des réparations ou un remplacement. Les ressources et le temps des employés sont consacrés à la résolution de problèmes résultant des attaques. Des informations précieuses peuvent être subtilisées sur le réseau. Beaucoup de gens pensent que leur ordinateur ne détient pas d’informations cruciales. Ils ne réalisent pas que leur ordinateur est une cible pour un pirate informatique. La réalité en est tout autrement. Un pirate informatique peut utiliser votre ordinateur en tant que plate-forme d’attaque contre d’autres ordinateurs ou réseaux, ou utiliser vos informations de compte pour envoyer du courrier indésirable, ou des attaques. Vos informations personnelles et de compte sont également vulnérables et précieuses pour les pirates informatiques. Guide de l’utilisateur 1 Introduction à la sécurité des réseaux À propos des connexions Internet Les fournisseurs de services Internet sont des sociétés qui donnent accès à Internet via des connexions réseau. La Bande passante correspond au débit auquel une connexion réseau peut envoyer des données : par exemple, 3 mégabits par seconde (Mbits). Une connexion Internet à haut débit, telle qu’un modem câble ou DSL (Digital Subscriber Line), est appelée connexion large bande. Les connexions large bande sont beaucoup plus rapides que les connexions d’accès à distance. La bande passante d’une connexion d’accès à distance est inférieure à 0,1 Mbits, alors qu’avec un modem câble elle peut être de 5 Mbits ou plus. Les débits des modems câbles sont généralement inférieurs aux débits maximaux, car chaque ordinateur d’un voisinage appartient à un LAN. Chaque ordinateur d’un LAN utilise une partie de la bande passante. À cause de ce système « partagé-moyen », les connexions modem câble peuvent être ralenties lorsque davantage d’utilisateurs se connectent au réseau. Les connexions DSL offrent une bande passante constante, mais sont généralement plus lentes que les connexions modem câble. De plus, la bande passante est seulement constante entre votre domicile ou votre bureau et le bureau central DSL. Le bureau central DSL ne peut pas garantir une connexion à bande passante constante à un site Web ou un réseau. À propos des protocoles Un protocole est un ensemble de règles qui autorise les ordinateurs à se connecter au sein d’un réseau. Les protocoles sont la « grammaire » du langage que les ordinateurs utilisent lorsqu’ils communiquent entre eux sur un réseau. Le protocole standard de connexion à Internet est le protocole IP (Internet Protocol). Ce protocole est le langage commun des ordinateurs sur Internet. Un protocole indique également le mode d’envoi des données à travers un réseau. Les protocoles les plus fréquemment utilisés sont TCP (Transmission Control Protocol) et UDP (User Datagram Protocol). TCP/IP est le protocole de base utilisé par des ordinateurs qui se connectent à Internet. Vous devez connaître certains paramètres du protocole TCP/IP lorsque vous configurez Firebox X Edge. Pour plus d’informations sur le protocole TCP/IP, voir Rechercher des propriétés TCP/IP. Mode de transmission des informations sur Internet Les données que vous envoyez via Internet sont découpées en unités ou paquets. Chaque paquet inclut l’adresse Internet de la destination. Les paquets d’une connexion peuvent utiliser différents routes via Internet. Lorsqu’ils arrivent à destination, ils sont assemblés dans l’ordre initial. Pour garantir que les paquets arrivent à destination, les informations d’adresse sont ajoutées aux paquets. 2 Firebox X Edge e-Series Introduction à la sécurité des réseaux Les protocoles TCP et IP permettent l’envoi et la réception de ces paquets. TCP désassemble les données et les réassemble. IP ajoute des informations aux paquets, telles que l’expéditeur, le destinataire et des instructions spéciales. À propos des adresses IP Pour envoyer un courrier normal à quelqu’un, vous devez connaître son adresse postale. Pour qu’un ordinateur puisse envoyer des données à un autre ordinateur via Internet, le premier ordinateur doit connaître l’adresse du deuxième. L’adresse d’un ordinateur est appelée adresse IP (Internet Protocol). Tous les périphériques sur Internet ont une adresse IP unique, qui permet aux autres périphériques également sur Internet de les trouver et d’interagir avec eux. Une adresse IP se compose de quatre octets (séquences binaires de 8 bits) au format décimal et séparés par des points. Chaque nombre entre les points doit être compris dans la plage 0 – 255. Voici des exemples d’adresses IP : 206.253.208.100 = WatchGuard.com 4.2.2.2 = serveur DNS principal 10.0.4.1 = IP privée Adresses et passerelles privées De nombreuses sociétés créent des réseaux privés dotés de leur propre espace d’adresses. Les adresses en 10.x.x.x et 192.168.x.x sont réservées aux adresses IP privées. Les ordinateurs sur Internet ne peuvent pas utiliser ces adresses. Si votre ordinateur est sur un réseau privé, vous vous connectez à Internet via un périphérique de passerelle doté d’une adresse IP publique. La passerelle par défaut correspond généralement au routeur situé entre votre réseau et Internet. Après l’installation de Firebox sur votre réseau, il devient la passerelle par défaut de tous les ordinateurs connectés à ses interfaces approuvées ou facultatives. Guide de l’utilisateur 3 Introduction à la sécurité des réseaux À propos des masques de sous-réseau Dans un souci de sécurité et de performance, les réseaux sont souvent divisés en parties plus petites appelées sous-réseaux. Tous les périphériques d’un sous-réseau ont des adresses IP similaires. Par exemple, tous les périphériques ayant des adresses IP dont les trois premiers octets sont 50.50.50 appartiennent au même sousréseau. Le masque de sous-réseau de l’adresse IP d’un réseau, ou masque réseau, est une chaîne de bits qui masque des sections de l’adresse IP pour indiquer combien d’adresses sont disponibles et combien sont déjà utilisées. Par exemple, un masque de sous-réseau du réseau étendu pourrait ressembler à ceci : 255.255.0.0. Chaque zéro indique qu’une plage des adresses IP de 1 à 255 est disponible. Chaque décimale de 255 correspond à une plage d’adresses IP déjà utilisée. Dans un réseau avec un masque de sous réseau de 255.255.0.0, 65 025 adresses IP sont disponibles. Le masque de sous-réseau d’un réseau plus petit est 255.255.255.0. Seules 254 adresses IP sont disponibles. À propos de la notation de barre oblique Firebox utilise les barres obliques à de nombreuses fins, y compris la configuration de stratégies. Les barres obliques permettent d’afficher de manière compacte le masque de sous-réseau d’un réseau. Pour utiliser des barres obliques dans un masque de sous-réseau : 1. Premièrement, recherchez la représentation binaire du masque de sous-réseau. Par exemple, la représentation binaire de 255.255.255.0 est 11111111.11111111.11111111.00000000. 2. Comptez tous les « 1 » du masque de sous-réseau. Cet exemple comporte vingt-quatre « 1 ». 3. Ajoutez le nombre de l’étape deux à l’adresse IP, séparé par une barre oblique (/). L’adresse IP 192.168.42.23/24 équivaut à une adresse IP de 192.168.42.23 avec un masque de réseau de 255.255.255.0. Ce tableau affiche les masques de réseau courants et leurs équivalents avec des barres obliques. Masque de réseau Équivalent avec des barres obliques 255.0.0.0 /8 255.255.0.0 /16 255.255.255.0 /24 255.255.255.128 /25 255.255.255.192 /26 255.255.255.224 /27 255.255.255.240 /28 255.255.255.248 /29 255.255.255.252 /30 À propos de la saisie des adresses IP Lorsque vous entrez des adresses IP dans l’Assistant Quick Setup Wizard ou dans les boîtes de dialogue du logiciel de gestion Firebox, entrez les chiffres et les points dans le bon ordre. N’utilisez pas la touche TABULATION, les touches de direction, la barre d’espacement ou la souris pour placer votre curseur après les points. Si, par exemple, vous entrez l’adresse IP 172.16.1.10, n’entrez pas d’espace après « 16 ». N’essayez pas de placer votre curseur après le point suivant pour entrer « 1 ». Entrez un point directement après « 16 », puis entrez « 1.10 ». Appuyez sur la touche barre oblique (/) pour passer au masque réseau. 4 Firebox X Edge e-Series Introduction à la sécurité des réseaux Adresses IP statiques et dynamiques Les fournisseurs de services Internet attribuent une adresse IP à chaque périphérique de leur réseau. Cette adresse IP peut être statique ou dynamique. Une adresse IP statique est une adresse IP qui reste toujours la même. Si votre serveur Web, votre serveur FTP ou une autre ressource Internet doit avoir une adresse qui ne peut pas changer, votre fournisseur de services Internet peut vous fournir une adresse IP statique. Une adresse IP statique est généralement plus chère qu’une adresse IP dynamique et certains fournisseurs de services Internet ne fournissent pas d’adresse IP statique. Vous devez configurer une adresse IP statique manuellement. Une adresse IP dynamique est une adresse IP que le fournisseur de services Internet vous permet d’utiliser de façon temporaire. Si une adresse dynamique n’est pas utilisée, elle peut être attribuée automatiquement à un autre périphérique. Les adresses IP dynamiques sont attribuées à l’aide de DHCP ou de PPPoE. À propos de DHCP DHCP (Dynamic Host Configuration Protocol) est un protocole Internet que les ordinateurs d’un réseau utilisent pour obtenir des adresses IP et d’autres informations telles que la passerelle par défaut. Lorsque vous vous connectez à Internet, un ordinateur configuré comme serveur DHCP chez le fournisseur de services Internet vous attribue automatiquement une adresse IP. Il peut s’agir de l’adresse IP que vous aviez avant ou d’une nouvelle. Lorsque vous fermez une connexion Internet qui utilise une adresse IP dynamique, le fournisseur de services Internet peut attribuer cette adresse IP à un autre client. Vous pouvez configurer Firebox en tant que serveur DHCP pour des réseaux derrière Firebox. Vous pouvez attribuer une plage d’adresses dans laquelle le serveur DHCP peut en choisir une. À propos de PPPoE Certains fournisseurs de services Internet attribuent leurs adresses IP via PPPoE (Point-to-Point Protocol over Ethernet). PPPoE développe une connexion d’accès à distance standard pour ajouter certaines des fonctionnalités d’Ethernet et PPP. Ce protocole réseau permet au fournisseur de services Internet d’utiliser les systèmes de facturation, d’authentification et de sécurité de leur infrastructure distante avec des produits de type modem DSL et modem câble. À propos de DHCP DHCP (Dynamic Host Configuration Protocol) est un protocole Internet que les ordinateurs d’un réseau utilisent pour obtenir des adresses IP et d’autres informations telles que la passerelle par défaut. Lorsque vous vous connectez à Internet, un ordinateur configuré comme serveur DHCP chez le fournisseur de services Internet vous attribue automatiquement une adresse IP. Il peut s’agir de l’adresse IP que vous aviez avant ou d’une nouvelle. Lorsque vous fermez une connexion Internet qui utilise une adresse IP dynamique, le fournisseur de services Internet peut attribuer cette adresse IP à un client différent. Vous pouvez configurer Firebox en tant que serveur DHCP pour des réseaux derrière Firebox. Vous pouvez attribuer une plage d’adresses dans laquelle le serveur DHCP peut en choisir une. À propos de PPPoE Certains fournisseurs de services Internet attribuent leurs adresses IP par le biais du Protocole PPPoE (Pointto-Point Protocol over Ethernet). PPPoE développe une connexion d’accès à distance standard pour ajouter quelques-unes des fonctionnalités d’Ethernet et PPP. Ce protocole de réseau permet au fournisseur de services Internet d’utiliser les systèmes de sécurité, d’authentification et de facturation de leur infrastructure d’accès à distance avec un modem DSL et des modems câblés. Guide de l’utilisateur 5 Introduction à la sécurité des réseaux À propos du DNS (Domain Name Service) Si vous ne connaissez pas l’adresse de quelqu’un, vous pouvez généralement la trouver dans un annuaire téléphonique. Sur Internet, l’équivalent d’un annuaire téléphonique est le DNS (Domain Name Service). Chaque site Web a un nom de domaine (tel que « monsite.com ») qui correspond à une adresse IP. Lorsque vous entrez un nom de domaine pour afficher un site Web, votre ordinateur obtient l’adresse IP à partir d’un serveur DNS. Une URL (Uniform Resource Locator) inclut un nom de domaine et un protocole. Exemple d’URL : http://www.watchguard.com/. En bref, le DNS correspond au système qui traduit les noms de domaine Internet en adresses IP. Un serveur DNS est un serveur qui effectue cette traduction. À propos des services et des stratégies Vous utilisez un service pour envoyer différents types de données (notamment des e-mails, des fichiers ou des commandes) d’un ordinateur à l’autre, au sein du réseau ou vers un autre réseau. Ces services utilisent des protocoles. Les services Internet fréquemment utilisés sont les suivants : l’accès World Wide Web utilise le protocole HTTP (Hypertext Transfer Protocol) ; l’e-mail utilise le protocole SMTP (Simple Mail Transfer Protocol) ou POP3 (Post Office Protocol) ; le transfert de fichiers utilise le protocole FTP (File Transfer Protocol) ; la conversion d’un nom de domaine en adresse Internet utilise le service DNS (Domain Name Service) ; l’accès à un terminal distant utilise Telnet ou SSH (Secure Shell). Lorsque vous autorisez ou refusez un service, vous devez ajouter une stratégie à votre configuration Firebox. Chaque stratégie ajoutée peut également engendrer un risque de sécurité. Pour envoyer et recevoir des données, vous devez « ouvrir une porte » dans votre ordinateur, ce qui expose votre réseau à des risques. Il est conseillé d’ajouter uniquement des stratégies indispensables à votre société. À propos des ports En général, un port est un point de connexion qui, par le biais d’un connecteur et de câbles, permet de connecter des périphériques. Les ordinateurs disposent également de ports qui ne sont pas des emplacements physiques. Ces ports permettent aux programmes de transmettre des données. Certains protocoles, tels que HTTP, comportent des ports avec des numéros attribués. Par exemple, bon nombre d’ordinateurs transmettent les e-mails via le port 110 car le protocole POP3 est attribué au port 110. D’autres programmes reçoivent un numéro de port dynamique à chaque connexion. L’IANA (Internet Assigned Numbers Authority) détient une liste des ports connus. Vous pouvez consulter cette liste à l’adresse suivante : http://www.iana.org/assignments/port-numbers. La plupart des stratégies se voient attribuer un numéro de port compris entre 0 et 1 024, mais la plage de numéros de port peut aller de 0 à 65 535. 6 Firebox X Edge e-Series Introduction à la sécurité des réseaux À propos des pare-feu Un pare-feu sépare vos ordinateurs approuvés sur le réseau interne du réseau externe ou d’Internet, afin de réduire le risque d’attaque externe. La figure ci-dessous montre comment un pare-feu sépare les ordinateurs approuvés d’Internet. Les pare-feu utilisent des stratégies d’accès pour identifier et filtrer les différents types d’informations. Ils peuvent également contrôler quelles stratégies ou quels ports les ordinateurs protégés utilisent sur Internet (accès sortants). De nombreux pare-feu disposent de stratégies de sécurité prédéfinies et les utilisateurs peuvent sélectionner la stratégie la plus adaptée. D’autres, comme Firebox permettent à l’utilisateur de personnaliser ces stratégies. Les pare-feu peuvent être matériels ou logiciels. Un pare-feu protège les réseaux privés contre les utilisateurs non autorisés sur Internet. Tout le trafic qui entre dans les réseaux approuvés ou protégés doit passer par le pare-feu. Le pare-feu examine chaque message et refuse ceux qui ne respectent pas les critères ou les stratégies de sécurité. Dans certains pare-feu fermés, ou « refus par défaut », toutes les connexions réseau sont refusées sauf si une règle spécifique autorise la connexion. Pour déployer ce type de pare-feu, vous devez disposer d’informations détaillées sur les applications réseau requises pour répondre aux besoins de votre organisation. D’autres parefeu autorisent toutes les connexions réseau qui n’ont pas été refusées de façon explicite. Ce type de pare-feu ouvert est plus facile à déployer, mais n’est pas aussi sécurisé. Guide de l’utilisateur 7 Introduction à la sécurité des réseaux Firebox X Edge et votre réseau Firebox X Edge contrôle tout le trafic entre le réseau externe et le réseau approuvé. Edge comprend également une interface réseau facultative qui est séparée du réseau approuvé. Utilisez le réseau facultatif pour les ordinateurs avec « approbation mixte ». Par exemple, les clients utilisent souvent le réseau facultatif pour leurs utilisateurs distants ou des serveurs publics tels qu’un serveur Web ou de messagerie. Votre parefeu peut arrêter tout trafic douteux entre le réseau externe et vos réseaux approuvés, et facultatifs. Firebox X Edge e-Series est un pare-feu pour les entreprises de petite taille ou distantes. Certains clients qui possèdent un système Edge ne savent pas grand chose sur les réseaux informatiques ou la sécurité réseau. Edge propose des Assistants et de nombreux outils d’aide sans assistance pour ces clients. Les clients expérimentés peuvent utiliser les fonctionnalités d’intégration avancées et les diverses sources de support WAN du logiciel système Edge Pro pour connecter un système Edge à un réseau WAN plus vaste. Edge se connecte à un modem par câble ou DSL, ou un routeur RNIS. L’interface utilisateur Web de Firebox X Edge vous permet de gérer votre réseau en toute sécurité. Vous pouvez gérer votre système Edge à partir d’emplacements divers et à différents moments. Vous pouvez alors consacrer plus de temps et de ressources à d’autres composants de votre société. 8 Firebox X Edge e-Series 2 Installation Avant de commencer Pour installer WatchGuard Firebox X Edge e-Series sur votre réseau, vous devez effectuer les tâches suivantes : Identifier et noter les propriétés TCP/IP de votre connexion Internet. Désactiver les propriétés de proxy HTTP et du bloqueur de fenêtres publicitaires intempestives de votre navigateur Web. Connecter Edge à votre réseau. Connecter votre ordinateur à Edge. Utiliser l’Assistant Quick Setup Wizard pour configurer Edge. Vérifier la configuration minimale requise Pour installer Firebox X Edge e-Series, vous devez posséder le matériel suivant : Un ordinateur doté d’une carte d’interface réseau Ethernet 10/100BaseT pour configurer Edge. Un navigateur Web. Vous pouvez utiliser Internet Explorer 6.0 ou version ultérieure, Netscape 7.0 ou version ultérieure ou un navigateur équivalent. Le numéro de série du périphérique Edge. Ce numéro est imprimé sur le dessous du boîtier. Il sert à effectuer l’enregistrement du périphérique Edge. Une connexion Internet. La connexion réseau externe peut s’effectuer par le biais d’un modem câble ou DSL avec un port 10/100BaseT, par le biais d’un routeur RNIS, ou il peut s’agir d’une connexion de réseau local directe. Si vous rencontrez des problèmes avec votre connexion Internet, contactez votre fournisseur de services Internet afin de résoudre le problème avant d’installer Firebox X Edge. Guide de l’utilisateur 9 Installation Vérifier le contenu de l’emballage Assurez-vous que l’emballage de votre Firebox X Edge e-Series contient les articles suivants : 10 Guide de l’utilisateur de Firebox X Edge e-Series sur CD-ROM Guide de démarrage rapide de Firebox X Edge e-Series Carte d’activation du service LiveSecurity Carte de garantie du matériel Adaptateur secteur (12 V/1,2 A) avec kit de prises internationales Collier de câble d’alimentation Utilisez ce collier pour attacher le câble sur le côté du boîtier Edge. Cela permet de diminuer la tension sur le câble d’alimentation. Câble Ethernet droit vert Plaque de fixation murale (modèles sans fil uniquement) Deux antennes (modèles sans fil uniquement) Firebox X Edge e-Series Installation Identifier vos paramètres réseau Pour configurer Firebox X Edge, vous devez connaître certaines informations relatives à votre réseau. Utilisez cette section pour savoir comment identifier vos paramètres réseau. Pour en savoir plus sur les notions fondamentales relatives aux réseaux, voir À propos des réseaux et de leur sécurité. Spécifications relatives à l’adressage réseau Contactez votre fournisseur de services Internet ou votre administrateur de réseau d’entreprise afin d’en savoir plus sur la façon dont votre ordinateur obtient son adresse IP. Pour vous connecter à Internet avec Firebox X Edge, appliquez la même méthode que pour la connexion avec votre ordinateur. Si vous connectez votre ordinateur directement à Internet à l’aide d’une connexion haut débit, vous pouvez placer Edge entre votre ordinateur et Internet et utiliser la configuration réseau sur votre ordinateur afin de configurer l’interface externe Edge. Vous pouvez utiliser une adresse IP statique, le protocole DHCP ou le protocole PPPoE pour configurer l’interface externe Edge. Pour plus d’informations sur l’adressage réseau, voir À propos de la configuration des interfaces externes. Un navigateur Web doit être installé sur votre ordinateur. Ce navigateur sert à configurer et à gérer Firebox X Edge. Votre ordinateur doit avoir une adresse IP sur le même réseau qu’Edge. Dans la configuration d’usine, Firebox X Edge affecte à votre ordinateur une adresse IP par le biais du protocole DHCP (Dynamic Host Configuration Protocol). Vous pouvez configurer votre ordinateur de façon à utiliser le protocole DHCP, puis vous connecter à Edge pour le gérer. Vous pouvez affecter à votre ordinateur une adresse IP statique appartenant au même réseau que l’adresse IP approuvée d’Edge. Pour plus d’informations, voir Configurer l’ordinateur pour se connecter à Edge. Rechercher des propriétés TCP/IP Pour en savoir plus sur les propriétés de votre réseau, examinez les propriétés TCP/IP de votre ordinateur ou de tout autre ordinateur du réseau. Vous devez connaître les éléments suivants pour installer Firebox X Edge : Adresse IP Masque de sous-réseau Passerelle par défaut Si votre ordinateur possède une adresse IP statique ou dynamique Adresses IP des serveurs DNS principaux et secondaires Si votre fournisseur de services Internet affecte à votre ordinateur une adresse IP commençant par 10, 192.168 ou 172.16 à 172.31, cela signifie qu’il utilise la traduction d’adresses réseau (NAT, Network Address Translation) et que votre adresse IP est privée. Nous vous conseillons d’obtenir une adresse IP publique comme adresse IP externe du périphérique Firebox X Edge. Si vous utilisez une adresse IP privée, vous pouvez rencontrer des problèmes avec certaines fonctionnalités, telles que la mise en réseau privé virtuel. Pour rechercher les propriétés TCP/IP, utilisez les instructions suivantes en fonction du système d’exploitation utilisé. Rechercher des propriétés TCP/IP sur Microsoft Windows Vista 1. Sélectionnez Démarrer > Tous les programmes > Accessoires > Invite de commandes. La fenêtre Invite de commandes s’affiche. 2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée. 3. Prenez note des valeurs qui s’affichent pour la carte réseau principale. Guide de l’utilisateur 11 Installation Rechercher des propriétés TCP/IP sur Microsoft Windows 2000, Windows 2003 et Windows XP 1. Sélectionnez Démarrer > Tous les programmes > Accessoires > Invite de commandes. La fenêtre Invite de commandes s’affiche. 2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée. 3. Prenez note des valeurs qui s’affichent pour la carte réseau principale. Rechercher des propriétés TCP/IP sur Microsoft Windows NT 1. Sélectionnez Démarrer > Programmes > Invite de commandes. La fenêtre Invite de commandes s’affiche. 2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée. 3. Prenez note des valeurs qui s’affichent pour la carte réseau principale. Rechercher des propriétés TCP/IP sur Macintosh OS 9 1. Sélectionnez le Menu Pomme > Tableaux de bord > TCP/IP. La fenêtre TCP/IP s’affiche. 2. Prenez note des valeurs qui s’affichent pour la carte réseau principale. Rechercher des propriétés TCP/IP sur Macintosh OS X 10.5 1. Sélectionnez le menu Pomme > Préférences système ou sélectionnez l’icône dans le Dock. La fenêtre Préférences système s’affiche. 2. Cliquez sur l’icône Réseau. Le volet de préférences réseau s’affiche. 3. Sélectionnez la carte réseau utilisée pour la connexion à Internet. 4. Prenez note des valeurs qui s’affichent pour cette carte réseau. Rechercher des propriétés TCP/IP sur d’autres systèmes d’exploitation (Unix, Linux) 1. Reportez-vous au guide d’utilisation de votre système d’exploitation pour rechercher les propriétés TCP/IP. 2. Prenez note des valeurs qui s’affichent pour la carte réseau principale. Rechercher des paramètres PPPoE De nombreux fournisseurs de services Internet utilisent le protocole PPPoE (Point to Point Protocol over Ethernet) car il est facile à utiliser avec une infrastructure d’accès à distance. Si votre fournisseur de services Internet utilise le protocole PPPoE pour affecter les adresses IP, vous devez obtenir les informations suivantes : 12 Nom de connexion Domaine (facultatif) Mot de passe Firebox X Edge e-Series Installation Enregistrer Firebox et activer le service LiveSecurity Pour activer toutes les fonctionnalités de Firebox X Edge, vous devez procéder à l’enregistrement du produit sur le site Web WatchGuard LiveSecurity et récupérer votre clé de fonctionnalité. Tant que vous n’avez pas appliqué votre clé de fonctionnalité, vous ne disposez que d’une seule licence d’utilisateur (licence par siège). Vous devez également utiliser votre clé de fonctionnalité pour appliquer les mises à niveau supplémentaires dont vous faites l’acquisition. Voir À propos des licences d’utilisateur pour plus d’informations. Lors de l’enregistrement, vous activez également votre abonnement gratuit de 90 jours au service LiveSecurity. Ce service vous permet de bénéficier de notifications d’alerte, de conseils en matière de sécurité, d’informations sur la protection antivirus, de mises à jour logicielles, de support technique par téléphone ou Internet et d’accéder aux ressources d’aide en ligne et au forum des utilisateurs WatchGuard. Pour enregistrer Firebox X Edge : 1. À l’aide de votre navigateur, accédez à : http://www.watchguard.com/activate/. L’utilisation du site Web des services LiveSecurity nécessite l’activation de JavaScript dans le navigateur. 2. Si vous êtes un nouveau client, vous devez créer un profil utilisateur. 3. Si vous êtes déjà client, ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity. 4. Suivez les instructions en ligne pour procéder à l’enregistrement de Firebox X Edge. Vous devez avoir le numéro de série à portée de main. Vous le trouverez sur le dessous du boîtier Edge ou sur son emballage. 5. Lorsque vous entrez votre numéro de série, vous recevez une clé de fonctionnalité. Copiez et enregistrez ce texte dans un fichier sur votre disque dur local. 6. Nous vous conseillons de télécharger en même temps le logiciel système Edge le plus récent. 7. Si une clé de mise à niveau de modèle est fournie avec votre modèle, activez-la sur le site Web à l’adresse suivante : http://www.watchguard.com/upgrade. Guide de l’utilisateur 13 Installation Désactiver le proxy HTTP De nombreux navigateurs Web sont configurés de façon à utiliser un serveur proxy HTTP afin d’améliorer la vitesse de téléchargement des pages Web. Pour gérer ou configurer Firebox X Edge e-Series, votre navigateur doit se connecter directement à Edge. Si vous utilisez un serveur proxy HTTP, vous devez momentanément désactiver le paramètre de proxy HTTP dans votre navigateur. Vous pouvez réactiver le paramètre de serveur proxy HTTP dans votre navigateur une fois Edge configuré. Utilisez les instructions suivantes pour désactiver le proxy HTTP dans Firefox, Safari ou Internet Explorer. Si vous utilisez un autre navigateur, utilisez son système d’aide pour rechercher les informations nécessaires. De nombreux navigateurs désactivent automatiquement la fonctionnalité de proxy HTTP. Désactiver le proxy HTTP dans Internet Explorer 6.x ou 7.x 1. Ouvrez Internet Explorer. 2. Sélectionnez Outils > Options Internet. La fenêtre Options Internet s’affiche. 3. Cliquez sur l’onglet Connexions. 4. Cliquez sur le bouton Paramètres réseau. La fenêtre Paramètres du réseau local s’affiche. 5. Désactivez la case à cocher Utiliser un serveur proxy pour votre réseau local. 6. Cliquez sur OK à deux reprises. Désactiver le proxy HTTP dans Firefox 2.x 1. Ouvrez le logiciel de navigation. 2. Sélectionnez Outils > Options. La fenêtre Options s’affiche. 3. Cliquez sur l’icône Avancé. 4. Sélectionnez l’onglet Réseau. Cliquez sur Paramètres. 5. Cliquez sur le bouton Paramètres de connexion. La boîte de dialogue Paramètres de connexion s’affiche. 6. Assurez-vous que l’option Connexion directe à Internet est sélectionnée. 7. Cliquez sur OK à deux reprises. Désactiver le proxy HTTP dans Safari 2.0 1. Ouvrez le logiciel de navigation. 2. Dans le menu d’application, sélectionnez Préférences. La fenêtre Préférences Safari s’affiche. 3. Cliquez sur l’icône Avancé. 4. Cliquez sur le bouton Modifier les paramètres. La fenêtre Préférences système s’affiche. 5. Désactivez la case à cocher Proxy Web (HTTP). 6. Cliquez sur Appliquer. 14 Firebox X Edge e-Series Installation Désactiver le blocage des fenêtres publicitaires intempestives Firebox X Edge e-Series utilise des fenêtres contextuelles pour de nombreuses fonctionnalités, y compris l’Assistant Quick Setup Wizard. Si vous bloquez l’affichage des fenêtres publicitaires intempestives, vous devez désactiver cette fonction lors de la connexion à Edge. Utilisez les instructions suivantes pour désactiver l’option de blocage des fenêtres publicitaires intempestives dans Firefox, Netscape, Safari ou Internet Explorer. Si vous utilisez un autre navigateur, utilisez son système d’aide pour rechercher les informations nécessaires. Désactiver le bloqueur de fenêtres publicitaires intempestives dans Internet Explorer 6.x ou 7.x 1. Ouvrez Internet Explorer. 2. Sélectionnez Outils > Bloqueur de fenêtre publicitaire intempestive > Désactiver le bloqueur de fenêtres publicitaires intempestives. Désactiver le bloqueur de fenêtres publicitaires intempestives dans Firefox 2.x 1. Ouvrez le logiciel de navigation. 2. Sélectionnez Outils > Options. La fenêtre Options s’affiche. 3. Cliquez sur l’icône Contenu. 4. Assurez-vous que l’option Bloquer les fenêtres popup n’est pas sélectionnée. 5. Cliquez sur OK. Désactiver le bloqueur de fenêtres publicitaires intempestives dans Safari 2.0 1. Ouvrez le logiciel de navigation. 2. Cliquez sur Application. Assurez-vous que l’élément de menu Bloquer les fenêtres publicitaires intempestives n’est pas sélectionné. Guide de l’utilisateur 15 Installation Connecter Firebox X Edge De nombreux utilisateurs configurent leur périphérique Firebox X Edge e-Series sur un ordinateur avant de le placer sur le réseau. Appliquez la procédure suivante pour connecter votre ordinateur à Firebox X Edge : 1. Arrêtez votre ordinateur. 2. Si vous utilisez un modem câble ou DSL pour vous connecter à Internet, déconnectez son alimentation secteur. 3. Localisez le câble Ethernet qui relie le modem et votre ordinateur. Débranchez ce câble de l’ordinateur et raccordez-le à l’interface externe Edge (libellée WAN 1). 4. Localisez le câble Ethernet vert fourni avec Edge. Raccordez ce câble à une interface approuvée (LAN0LAN2) sur Edge. Raccordez l’autre extrémité de ce câble à l’interface Ethernet de votre ordinateur. 5. Si vous utilisez un modem câble ou DSL, branchez son alimentation secteur. 6. Localisez l’adaptateur secteur fourni avec Edge. Raccordez l’adaptateur secteur à Edge et à une source d’alimentation. Le témoin lumineux d’alimentation Edge s’allume et le voyant WAN clignote, puis s’allume. Utilisez uniquement l’adaptateur secteur fourni pour Firebox X Edge. 16 Firebox X Edge e-Series Installation Ajouter des ordinateurs au réseau approuvé Vous pouvez connecter un maximum de trois ordinateurs à l’interface approuvée de Firebox X Edge e-Series en les connectant chacun à l’un des ports Ethernet 0, 1 et 2 d’Edge. Pour connecter plus de trois ordinateurs, utilisez des concentrateurs ou commutateurs Ethernet 10/100 Base T avec des connecteurs RJ-45. Les ordinateurs du réseau approuvé ne doivent pas nécessairement fonctionner sous le même système d’exploitation. Pour ajouter plus de trois ordinateurs au réseau approuvé : 1. Assurez-vous que chaque ordinateur est équipé d’une carte Ethernet qui fonctionne. 2. Connectez chaque ordinateur au réseau. Pour plus d’informations, voir Connecter Edge à plus de quatre périphériques. Connecter Edge à plus de quatre périphériques Firebox X Edge e-Series possède trois ports Ethernet (LAN0-LAN2) pour le réseau approuvé et un port Ethernet (OPT) pour le réseau facultatif. Vous pouvez connecter des périphériques directement à Edge ou utiliser un concentrateur ou un commutateur pour connecter plus de quatre périphériques. Le nombre de périphériques pouvant être connectés au réseau externe est limité par le nombre de licences de session disponibles. Voir À propos des licences d’utilisateur pour plus d’informations. Pour connecter plus de quatre périphériques à Edge, vous devez avoir : Un concentrateur ou un commutateur Ethernet 10/100Base TX Des câbles Ethernet droits, avec connecteurs RJ-45, pour chaque ordinateur Un câble Ethernet droit pour connecter chaque concentrateur ou commutateur à Firebox X Edge Pour connecter davantage de périphériques à Firebox X Edge : 1. Arrêtez votre ordinateur. 2. Si vous utilisez un modem câble ou DSL pour vous connecter à Internet, déconnectez son alimentation secteur. 3. Déconnectez le câble Ethernet reliant votre modem DSL, modem câble ou autre connexion Internet à votre ordinateur. Connectez le câble Ethernet au port WAN1 sur Firebox X Edge. Firebox X Edge est connecté directement au modem ou autre connexion Internet. 4. Connectez une extrémité du câble Ethernet droit fourni avec votre Firebox X Edge à l’un des quatre ports Ethernet sur Edge. Connectez l’autre extrémité au port de liaison montante du concentrateur ou commutateur Ethernet. Firebox X Edge est connecté à Internet et à votre concentrateur ou commutateur Ethernet. 5. Connectez un câble Ethernet entre chaque ordinateur et l’un des ports sur le concentrateur Ethernet et assurez-vous que les voyants de liaison sur les périphériques sont allumés lorsque ceux-ci sont activés. 6. Si vous vous connectez à Internet par le biais d’un modem câble ou DSL, branchez l’alimentation secteur à ce périphérique. Les voyants clignotent, puis s’éteignent. 7. Raccordez l’adaptateur secteur à Firebox X Edge. Raccordez l’adaptateur secteur à une alimentation secteur. Guide de l’utilisateur 17 Installation À propos des licences d’utilisateur Votre pare-feu Firebox X Edge est activé avec un nombre fixe de licences d’utilisateur. Le nombre total de sessions disponibles est déterminé par le modèle de périphérique Edge utilisé et par les éventuelles licences de mise à niveau appliquées. Le nombre de licences limite le nombre de sessions. Pour contrôler le nombre d’utilisateurs à tout moment, fermez une ou plusieurs sessions. Lorsque vous fermez une session, vous mettez la licence d’utilisateur correspondante à disposition d’un autre utilisateur. Il existe différentes procédures de fermeture de session : Si l’authentification des utilisateurs est obligatoire, un utilisateur Firebox peut se déconnecter et libérer sa licence manuellement. L’administrateur Edge peut fermer la session manuellement. Il peut fermer la session d’un utilisateur spécifique ou fermer toutes les sessions. Si l’authentification des utilisateurs est obligatoire, vous pouvez affecter un délai d’attente maximal et un délai d’inactivité à chaque utilisateur. L’administrateur Edge peut définir un délai d’inactivité de session maximal global. Redémarrez Edge pour fermer toutes les sessions. Vous pouvez acheter des mises à niveau de licences auprès de votre revendeur ou à partir du site Web WatchGuard : http://www.watchguard.com/products/purchaseoptions.asp. 18 Firebox X Edge e-Series Installation Configurer l’ordinateur pour se connecter à Edge Pour pouvoir utiliser l’Assistant Quick Setup Wizard, vous devez configurer votre ordinateur afin d’établir la connexion à Firebox X Edge. Vous pouvez configurer votre carte d’interface réseau de façon à utiliser une adresse IP statique ou utiliser le protocole DHCP afin d’obtenir une adresse IP automatiquement. Utiliser le protocole DHCP Cette procédure permet de configurer un ordinateur exécutant le système d’exploitation Windows XP de façon à utiliser le protocole DHCP. Si votre ordinateur n’exécute pas Windows XP, consultez l’aide du système d’exploitation pour obtenir des instructions sur la façon de configurer votre ordinateur pour le protocole DHCP. 1. Sélectionnez Démarrer > Panneau de configuration. La fenêtre du Panneau de configuration s’affiche. 2. Double-cliquez sur l’icône Connexions réseau. 3. Double-cliquez sur l’icône Connexion au réseau local. La fenêtre État de Connexion au réseau local apparaît. 4. Cliquez sur le bouton Propriétés. La fenêtre Propriétés de Connexion au réseau local apparaît. 5. Double-cliquez sur l’élément de liste Protocole Internet (TCP/IP). La boîte de dialogue Propriétés de Protocole Internet (TCP/IP) apparaît. 6. Sélectionnez les options Obtenir une adresse IP automatiquement et Obtenir les adresses des serveurs DNS automatiquement. 7. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Protocole Internet (TCP/IP). 8. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Connexion au réseau local. Fermez les fenêtres État de Connexion au réseau local, Connexions réseau et Panneau de configuration. Votre ordinateur est prêt à se connecter à Firebox X Edge. 9. Lorsque Edge est prêt, démarrez votre navigateur Internet. 10. Tapez https://192.168.111.1/ dans le champ d’entrée d’URL de votre navigateur, puis appuyez sur Entrée. Si vous êtes invité à accepter un certificat de sécurité, cliquez sur OK. L’Assistant Quick Setup Wizard démarre. 11. Exécuter l’Assistant Quick Setup Wizard. Utiliser une adresse IP statique Cette procédure permet de configurer un ordinateur exécutant le système d’exploitation Windows XP de façon à utiliser une adresse IP statique. Si votre ordinateur n’exécute pas Windows XP, consultez l’aide du système d’exploitation pour obtenir des instructions sur la manière de configurer votre ordinateur de façon à utiliser une adresse IP statique. Vous devez sélectionner une adresse IP sur le même sous-réseau que le réseau approuvé. 1. Sélectionnez Démarrer > Panneau de configuration. La fenêtre du Panneau de configuration s’affiche. 2. Double-cliquez sur l’icône Connexions réseau. 3. Double-cliquez sur l’icône Connexion au réseau local. La fenêtre État de Connexion au réseau local apparaît. 4. Cliquez sur le bouton Propriétés. La fenêtre Propriétés de Connexion au réseau local apparaît. 5. Double-cliquez sur l’élément de liste Protocole Internet (TCP/IP). La boîte de dialogue Propriétés de Protocole Internet (TCP/IP) apparaît. Guide de l’utilisateur 19 Installation 6. Sélectionnez l’option Utiliser l’adresse IP suivante. 7. Dans le champ Adresse IP, tapez une adresse IP sur le même réseau que l’interface approuvée Edge. Nous recommandons l’adresse 192.168.111.2. Le réseau d’interface approuvée par défaut est 192.168.111.0. Le dernier chiffre peut être compris entre 2 et 254. 8. Dans le champ Masque de sous-réseau, tapez 255.255.255.0. 9. Dans le champ Passerelle par défaut, tapez l’adresse IP de l’interface approuvée Edge. L’adresse d’interface approuvée Edge par défaut est 192.168.111.1. 10. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Protocole Internet (TCP/IP). 11. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Connexion au réseau local. Fermez les fenêtres État de Connexion au réseau local, Connexions réseau et Panneau de configuration. Votre ordinateur est prêt à se connecter à Firebox X Edge. 12. Lorsque Edge est prêt, démarrez votre navigateur Internet. 13. Tapez https://192.168.111.1/ dans le champ d’entrée d’URL de votre navigateur, puis appuyez sur Entrée. Si vous êtes invité à accepter un certificat de sécurité, cliquez sur OK. L’Assistant Quick Setup Wizard démarre. 14. Exécuter l’Assistant Quick Setup Wizard. 20 Firebox X Edge e-Series Installation Exécuter l’Assistant Quick Setup Wizard L’Assistant Quick Setup Wizard démarre une fois que vous avez tapé https://192.168.111.1 dans l’URL ou le champ d’adresse de votre navigateur Internet. Si votre navigateur bloque les fenêtres publicitaires intempestives, vous devez désactiver cette fonction pour terminer l’Assistant Quick Setup Wizard. Vous devez utiliser l’Assistant pour configurer les interfaces Ethernet. Vous pouvez modifier la configuration des interfaces après avoir exécuté l’Assistant Quick Setup Wizard. L’Assistant Quick Setup Wizard inclut les boîtes de dialogue suivantes. Certaines d’entre elles ne s’affichent que si vous sélectionnez certaines méthodes de configuration : Bienvenue Le premier écran fournit des informations sur l’Assistant. Configurez l’interface externe de votre Firebox. Sélectionnez la méthode utilisée par votre fournisseur de services Internet pour affecter votre adresse IP. Configurez l’interface externe pour DHCP. Tapez votre identification DHCP, telle que fournie par votre fournisseur de services Internet. Configurez l’interface externe pour PPPoE. Tapez vos informations PPPoE, telles que fournies par votre fournisseur de services Internet. Configurez l’interface externe avec une adresse IP statique. Tapez vos informations d’adresse IP statique, telles que fournies par votre fournisseur de services Internet. Configurez l’interface approuvée de Firebox. Entrez l’adresse IP de l’interface approuvée. Définissez le nom d’utilisateur et le mot de passe. Entrez un nom d’utilisateur et un mot de passe pour le compte d’administrateur Edge. Définissez la région sans fil. (Pour les modèles sans fil uniquement.) Tapez le pays ou la région où Firebox X Edge e-Series Wireless est utilisé. Le pays ou la région ne peut pas être modifié après la configuration initiale. Définissez le fuseau horaire. Utilisez cet écran pour définir le fuseau horaire où vous exploitez Firebox X Edge. Entrez la clé de fonctionnalité. (Facultatif) Collez dans le champ vierge le texte de clé de fonctionnalité que vous avez copié à partir du site Web LiveSecurity. L’Assistant Quick Setup Wizard est terminé. L’Assistant Quick Setup Wizard fournit un lien vers le site Web WatchGuard, où vous pouvez procéder à l’enregistrement du produit. Une fois l’Assistant terminé, Firebox X Edge redémarre. Si vous modifiez l’adresse IP de l’interface approuvée, vous devez modifier vos paramètres réseau de sorte que votre adresse IP corresponde au sous-réseau du réseau approuvé avant de vous reconnecter à Firebox X Edge. Si vous utilisez le protocole DHCP, redémarrez votre ordinateur. Si vous utilisez l’adressage statique, voir Utiliser une adresse IP statique. La page État du système La page État du système s’affiche à l’écran. Elle vous permet de configurer des fonctionnalités d’Edge supplémentaires. Guide de l’utilisateur 21 Installation 22 Firebox X Edge e-Series 3 Présentation des pages de configuration À propos des pages de configuration d’Edge Après avoir connecté WatchGuard Firebox X Edge e-Series à votre réseau, vous devez configurer Edge. Vous pouvez créer des règles de pare-feu pour répondre aux exigences de sécurité de votre entreprise. Les pages de configuration d’Edge vous permettent de créer un compte d’utilisateur, de consulter les statistiques du réseau et d’afficher la configuration d’Edge. Ce chapitre contient des informations générales sur les pages de configuration de Firebox X Edge et les pages de surveillance système. Les sections des chapitres suivants contiennent des procédures plus avancées. Vous devez effectuer les étapes de l’Assistant Quick Setup Wizard pour pouvoir afficher les pages de configuration de Firebox X Edge. Pour plus d’informations, voir Exécuter l’Assistant Quick Setup Wizard. Par ailleurs, vous devez utiliser un compte bénéficiant des privilèges d’accès administratifs complets pour afficher et modifier les pages de configuration. Pour plus d’informations, voir À propos des comptes d’utilisateurs. Se connecter à Firebox X Edge La page État du système s’affiche lors de la connexion à Firebox X Edge e-Series. Dans ce guide d’utilisateur, la plupart des procédures commencent par l’étape suivante : Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 Cette procédure ouvre les pages de configuration système de Firebox. Le cas échéant, vous pouvez remplacer l’adresse IP 192.168.111.1 du réseau approuvé. Pour plus d’informations, voir À propos de la modification de l’adresse IP du réseau approuvé. Vous pouvez également modifier Firebox X Edge pour qu’il utilise des connexions HTTP au lieu de connexions HTTPS pour la gestion Web. Le protocole HTTP est moins sécurisé car aucune information transmise à Firebox n’est chiffrée. Nous vous recommandons de toujours utiliser HTTPS pour configurer Firebox X Edge. Pour plus d’informations, voir À propos de la sélection du protocole HTTP ou HTTPS pour la gestion. Guide de l’utilisateur 23 Présentation des pages de configuration Par exemple : 1. Démarrez votre navigateur Web. 2. Sélectionnez Fichier > Ouvrir, tapez https://192.168.111.1 dans la zone de texte Ouvrir, puis cliquez sur OK. Vous pouvez également taper https://192.168.111.1 directement dans la barre d’adresses ou d’emplacement et appuyer sur Entrée. 3. Lorsqu’une notification relative au certificat de sécurité s’affiche, cliquez sur Oui. Cet avertissement apparaît car le certificat octroyé par Edge est signé par WatchGuard, qui n’est pas une autorité de certification approuvée sur votre navigateur. Cet avertissement s’affiche chaque fois que vous utilisez HTTPS pour vous connecter à Firebox X Edge sauf si vous acceptez définitivement le certificat, ou générez et importez un certificat dédié à Edge. Pour plus d’informations, voir À propos des certificats. 4. Entrez votre nom d’utilisateur et votre mot de passe pour vous authentifier. La page État du système s’affiche. 24 Firebox X Edge e-Series Présentation des pages de configuration Naviguer dans l’interface utilisateur Firebox X Edge La partie gauche de la page État du système contient la barre de navigation qui vous permet d’accéder aux autres pages de configuration de Firebox X Edge. Vous devez activer JavaScript dans votre navigateur pour utiliser la barre de navigation. Chaque élément de menu contient des menus secondaires qui vous permettent de configurer les propriétés de cette fonctionnalité. Pour afficher ces menus secondaires, cliquez sur le signe plus (+) à gauche de l’élément de menu. Par exemple, si vous cliquez sur le signe plus situé en regard de WebBlocker, ces éléments de menus secondaires s’affichent : Paramètres, Profils, Sites autorisés et Sites refusés. Vous pouvez aussi naviguer jusqu’aux pages secondaires directement à partir des pages principales. Nous utilisons une flèche (>) pour indiquer les éléments de menu que vous développez ou sur lesquels vous cliquez. Les noms de menu sont en gras. Par exemple, la commande qui permet d’afficher la page Sites refusés apparaît dans le texte sous la forme WebBlocker > Sites refusés. Page État du système La page État du système indique la configuration principale de Firebox X Edge e-Series. La partie centrale de la page fournit des informations sur les paramètres actuels. Elle contient aussi les boutons qui vous permettent de modifier ces paramètres. Cette page contient toutes les informations générales sur votre périphérique et votre configuration. Des liens vous donnent accès aux paramètres de configuration du réseau, aux fonctionnalités et aux informations système. Guide de l’utilisateur 25 Présentation des pages de configuration Page Réseau La page Réseau affiche la configuration actuelle des réseaux approuvés, facultatifs et externes. Dans cette page, vous pouvez aussi voir le basculement WAN et les routes statiques que vous avez configurés. Un bouton permettant de modifier les configurations et d’afficher les statistiques sur les réseaux se trouve en regard de chaque section. Pour plus d’informations, consultez les rubriques sous Modifier les adresses IP de Firebox à l’aide de l’Assistant Network Setup Wizard. 26 Firebox X Edge e-Series Présentation des pages de configuration Page Utilisateurs de Firebox La page Utilisateurs de Firebox affiche les statistiques des sessions actives et des comptes d’utilisateurs locaux. Elle contient aussi des boutons permettant de fermer les sessions en cours et d’ajouter, de modifier et de supprimer des comptes d’utilisateurs locaux. Cette page contient aussi les fichiers de configuration du client MUVPN que vous pouvez télécharger. Pour plus d’informations, voir À propos des fichiers de configuration du client Mobile VPN. Guide de l’utilisateur 27 Présentation des pages de configuration Page Administration La page Administration indique si Firebox X Edge utilise HTTP ou HTTPS pour ses pages de configuration, si Edge est configuré comme client Firebox géré, et quelles mises à niveau de fonctionnalités sont activées. Elle contient des boutons permettant de modifier les configurations, d’ajouter des mises à niveau et d’afficher le fichier de configuration. Vous pouvez également modifier le nom de Firebox. Pour plus d’informations, voir les rubriques sous À propos des tâches de base de configuration et de gestion. 28 Firebox X Edge e-Series Présentation des pages de configuration Page Pare-feu La page Pare-feu indique les stratégies de trafic entrant et sortant et les proxies, les sites Web bloqués et les autres paramètres du pare-feu. Cette page contient aussi des boutons permettant de modifier ces paramètres. Pour plus d’informations, consultez les rubriques sous Paramètres de proxy dans le Sommaire. Guide de l’utilisateur 29 Présentation des pages de configuration Page Journalisation La page Journalisation contient le journal des événements en cours et l’état de Log Server et de la journalisation Syslog. Pour plus d’informations, consultez les rubriques sous Journalisation dans le Sommaire. 30 Firebox X Edge e-Series Présentation des pages de configuration Page WebBlocker La page WebBlocker affiche les paramètres de WebBlocker, les profils, les sites autorisés et les sites refusés. Pour plus d’informations, voir À propos de WebBlocker. Guide de l’utilisateur 31 Présentation des pages de configuration Page spamBlocker La page spamBlocker indique l’état et les paramètres de spamBlocker, y compris les actions en cas de courrier indésirable présumé et l’utilisation des redirecteurs d’e-mails approuvés. Pour plus d’informations, voir À propos de spamBlocker. 32 Firebox X Edge e-Series Présentation des pages de configuration Page Gateway AV/IPS La page Gateway AV/IPS affiche l’état et les paramètres de Gateway AntiVirus et Intrusion Prevention Service. Elle vous indique les proxies qui sont activés pour le service et la version de la base de données de signatures que vous utilisez. Le menu Gateway AV/IPS contient des liens permettant de modifier les paramètres Gateway AV et IPS, et de mettre à jour les signatures. Pour plus d’informations, voir À propos de Gateway AntiVirus et Intrusion Prevention. Guide de l’utilisateur 33 Présentation des pages de configuration Page VPN La page VPN contient des informations sur les passerelles Managed VPN, les passerelles Manual VPN, les hôtes d’écho et des boutons permettant de modifier la configuration des tunnels VPN. Vous pouvez ajouter Firebox X Edge e-Series à un réseau VPN Watchguard System Manager à partir de la page Accès WSM dans Administration. Pour plus d’informations, consultez les rubriques sous À propos de Branch Office Virtual Private Networks (BOVPN). Page Assistants La page Assistants indique les assistants que vous pouvez utiliser pour configurer les fonctionnalités de Firebox X Edge telles que la configuration de stratégie, la configuration d’interface réseau et le basculement WAN. Chaque assistant lance une nouvelle fenêtre vous permettant de configurer les paramètres d’Edge. 34 Firebox X Edge e-Series Présentation des pages de configuration Analyser Firebox X Edge Lorsque vous développez État du système dans la barre de navigation, une liste de catégories d’analyse s’affiche. À partir de ces pages, vous pouvez analyser tous les composants d’Edge et la façon dont ils fonctionnent. Les pages d’analyse de Firebox X Edge ne sont pas configurées pour être actualisées automatiquement. Si vous voulez qu’une page soit actualisée automatiquement, cliquez sur le bouton Démarrer l’actualisation permanente ou Redémarrer l’actualisation permanente en haut de la page. La page s’actualise jusqu’à ce que vous cliquiez sur Suspendre l’actualisation permanente ou que vous naviguiez jusqu’à une nouvelle page. Un petit compteur situé sous le bouton indique le nombre de fois où la page a été actualisée. Table ARP Cette page d’état indique les périphériques qui ont répondu à une demande ARP (Protocole de résolution d’adresse) d’Edge : Adresse IP Adresse IP de l’ordinateur qui répond à la demande ARP. Type HW Type de connexion Ethernet utilisée par l’adresse IP pour se connecter. Indicateurs Si l’adresse matérielle d’IP est résolue, elle est indiquée comme valide. Si tel n’est pas le cas, elle est indiquée comme non valide. Une adresse matérielle valide peut être indiquée brièvement comme non valide pendant qu’Edge attend une réponse à la demande ARP. Adresse HW L’adresse MAC de la carte d’interface réseau associée à l’adresse IP. Masque Si un masque réseau est associé à l’entrée, il figure dans cette liste. Si tel n’est pas le cas, un astérisque (*) s’affiche. Périphérique Interface d’Edge sur laquelle l’adresse matérielle pour cette adresse IP a été trouvée. Le nom du noyau Linux de l’interface est indiqué entre parenthèses. Guide de l’utilisateur 35 Présentation des pages de configuration Authentifications Cette page d’état affiche l’adresse IP, le nom d’utilisateur, l’heure de début, la durée d’inactivité et le type de connexion de chaque utilisateur actuellement authentifié sur Edge. Connexions Cette page d’état affiche toutes les connexions TCP/IP qui passent par Edge. Elle comprend les filtres de proxies et les filtres de paquets. La liste de filtres de paquets est triée par protocole. Les protocoles TCP sont en haut de la liste, suivis des connexions UDP, puis des autres protocoles IP. La liste des protocoles TCP/UDP est triée par valeurs de délai d’attente. Connexions via un filtre de proxy Type HTTP, HTTPS, FTP, SMTP, POP3, SIP ou H323 Source : Port L’adresse IP de l’ordinateur qui a envoyé le paquet et le port utilisé pour l’envoi. Destination : Port L’adresse IP à laquelle le paquet est envoyé et le port. Exemples d’actions o POP3 indique « n/d » o HTTP indique le type de demande, tel que GET ou POST. Il affiche aussi un lien hypertexte vers la page Web de destination. o FTP indique la dernière commande FTP émise par l’utilisateur, telle que LIST, CWD ou GET Connexions via un filtre de paquet Protocole Protocole utilisé par les connexions. Dir Sens de la connexion : entrante ou sortante. Source : Port Adresse IP et port de la source. Une flèche verte indique le sens de la connexion. Destination : Port Adresse IP et port de la destination. État État de la connexion : Pour TCP, il s’agit de : o TIME_WAIT – attente de la fermeture du socket TCP o CLOSE – fermeture du socket en cours o ESTABLISHED – connexion active o SYN_SENT – connexion en cours UDP est un protocole sans état. Pour UDP, la connexion s’affiche comme suit : o REPLIED – des paquets ont été envoyés dans les deux sens o UNREPLIED – des paquets ont été envoyés dans un seul sens Les autres protocoles sont indiqués comme « n/d ». Expire dans (secs) Nombre de secondes avant l’expiration de la connexion, sauf si du trafic est envoyé à la connexion pour relancer le minuteur. 36 Firebox X Edge e-Series Présentation des pages de configuration Liste des composants Cette page d’état affiche le logiciel installé sur Edge. Chaque attribut est affiché séparément : Nom Version Numéro de génération Heure de génération Supprimer un lien - La colonne Supprimer ne contient généralement pas de composant. Tous les composants de cette liste sont ceux fournis par le représentant du support technique Edge indiqué, à des fins de dépannage. Baux DHCP Cette page d’état affiche le serveur DCHP et les baux utilisés par Edge, y compris les réservations DHCP. État Si le serveur DHCP voit qu’Edge utilise l’adresse, l’état est Actif. Si le serveur DHCP voit qu’Edge n’utilise pas l’adresse, l’état est Abandonné. IF Interface Edge à laquelle le client est connecté. IP Adresse IP du bail. Heures D = heure à laquelle le client a demandé le bail (heure de début). F = heure à laquelle le bail expire (heure de fin). MAC Adresse MAC associée au bail. Nom d’hôte Si un nom d’hôte est disponible, il est indiqué ici. Utilisation du disque Cette page d’état affiche l’état actuel de la mémoire flash d’Edge. Système de fichiers Nom de la partition sur la mémoire flash. « Aucun » est une partition qui existe seulement dans la mémoire, et non sur la carte flash. Taille Taille de la partition. Utilisé Quantité de mémoire utilisée dans la partition. Dispo Quantité d’espace libre dans la partition. % utilisé Pourcentage d’espace utilisé sur la partition. Monté sur Emplacement où la partition est montée dans le système. Guide de l’utilisateur 37 Présentation des pages de configuration DNS dynamique Cette page d’état affiche l’état de la configuration du DNS dynamique. Dernier Heure de la dernière mise à jour du DNS. Suivant Heure de la prochaine mise à jour du DNS. Sites hostiles Cette page d’état indique la durée pendant laquelle l’accès de l’adresse IP via Firebox est bloqué en cas d’ajout à la liste Sites hostiles. Cette page contient également une liste des adresses IP figurant actuellement dans la liste Sites hostiles. Interfaces Cette page d’état contient des informations sur chaque interface : Encap lien Type d’interface. Il s’agit généralement d’Ethernet ou de PPPoE. Matériel Adresse MAC de l’interface. Adre Inet Adresse IP de l’interface. Diff Adresse de diffusion de l’interface. Masque Masque réseau. Etat de l’interface Si l’interface est active, le mot « Monter » s’affiche. MTU Unité de transmission maximale TCP. Métrique Métrique de l’interface. Paquets RX Statistiques des paquets reçus. Paquets TX Statistiques des paquets envoyés. Collisions Le nombre de collisions. TailfileTX Taille maximale de la file d’attente de transmission avant qu’Edge commence à abandonner les paquets. Octets RX et TX Quantité de données reçues et envoyées sur l’interface. 38 Firebox X Edge e-Series Présentation des pages de configuration Licence Cette page d’état contient les informations de base sur les licences utilisées sur Edge. Elle contient aussi la clé de fonctionnalité d’origine. Vous pouvez consulter les informations suivantes pour chaque licence : Nom – le nom de la licence Utilisation – le nombre d’utilisateurs Utilisation maximale – le nombre maximal d’utilisateurs autorisés par la licence Redémarrer – indique si un redémarrage est nécessaire après modification de la configuration pour cette licence Expiration – indique quand la licence expire Commentaire LiveSecurity Cette page affiche les dernières alertes du service LiveSecurity de WatchGuard. Lorsqu’une nouvelle alerte de sécurité est disponible, une note apparaît dans l’angle supérieur droit de la page État du système. Cliquez sur cet avertissement pour voir l’alerte. Les notifications d’alertes sont envoyées seulement une fois par jour. Mémoire Cette page d’état affiche l’état de la mémoire du noyau Linux. Processus Cette page d’état affiche tous les processus exécutés sur Edge. Elle indique également le temps moyen de chargement du processeur. Les temps moyens sont indiqués par incréments de 1 minute, 5 minutes et 15 minutes. PID ID de processus, un numéro unique qui indique quand le processus a démarré. NOM Nom du processus. ÉTAT État du processus : E – en cours d’exécution V – en veille D, Z – inactif RSS Nombre total de kilo-octets de mémoire physique utilisés par le processus. PARTAGE Nombre total de kilo-octets de mémoire partagée utilisés par le processus. TEMPS Temps utilisé par le processus depuis le dernier démarrage d’Edge. PROCESSEUR Pourcentage du temps UC utilisé par le processus depuis le redémarrage d’Edge. PRI Priorité du processus. Un nombre inférieur a une priorité supérieure pour les ressources UC. PLAN Mesure de la façon dont le noyau planifie le processus. Protocoles Cette page d’état fournit les statistiques de protocole pour IP, ICMP, TCP et UDP. Guide de l’utilisateur 39 Présentation des pages de configuration Routes Cette page d’état affiche la table de routage d’Edge. Interface Interface associée à l’route. Réseau Réseau pour lequel l’route a été créé. Passerelle Passerelle utilisée par le réseau. Ind Indicateurs définis pour chaque route. Mét Métrique définie pour cet route dans la table de routage. Masque Masque réseau de l’route. MTU Unité de transmission maximale TCP. Win Taille de la fenêtre TCP pour les connexions sur cet route. Réf Nombre de références à cet route. Services de sécurité Cette page d’état affiche les rapports de base sur l’activité des abonnements de sécurité activés : Gateway AntiVirus, Intrusion Prevention Service, WebBlocker et spamBlocker. Un rapport est généré pour chaque abonnement de sécurité. Ce rapport indique le nombre de demandes traitées et bloquées pour chaque service sur une période que vous spécifiez. Syslog Cette page d’état affiche les entrées les plus récentes dans le fichier journal d’Edge. Elle est différente des fichiers journaux affichés dans la page Journalisation. La page Journalisation contient un résumé du message du journal et le moniteur Syslog affiche tous les détails du message de journal. Cela est utile à la résolution des problèmes de réseau. Les messages des journaux sont codés par couleurs : 40 Rouge – Erreur Jaune – Avertissement Vert – Informations Bleu – Débogage Gris – Autre Firebox X Edge e-Series Présentation des pages de configuration Contrôle du trafic Cette page d’état indique comment le contrôle du trafic traite les paquets. Priorité Vous pouvez définir quatre niveaux de priorité pour le contrôle du trafic : o o o o Interactif Élevé Moyen Bas Taux Taux défini pour chaque priorité. Plafond Bande passante maximale que chaque priorité peut utiliser. Données envoyées Nombre d’octets de données envoyés. Paquets envoyés Nombre de paquets envoyés. Supprimé Nombre de paquets supprimés. Surlimites Nombre de paquets dépassant la limite pour chaque priorité. Statistiques VPN Cette page d’état fournit les statistiques VPN telles que : AS (association de sécurité) Contrôle du trafic au sein des tunnels VPN Nombre de paquets Erreurs Statistiques sans fil Cette page d’état affiche les statistiques sur le trafic sans fil telles que : Statistiques de l’interface Clés Débits Fréquences Guide de l’utilisateur 41 Présentation des pages de configuration 42 Firebox X Edge e-Series 4 Tâches de base de configuration et de gestion À propos des tâches de base de configuration et de gestion Une fois Firebox X Edge e-Series installé sur votre réseau et fonctionnant avec un fichier de configuration de base, vous pouvez ajouter des paramètres de configuration personnalisés adaptés à votre organisation. Les rubriques de la présente section vous aident à effectuer ces tâches de gestion et de maintenance de base. À propos du fichier de sauvegarde de la configuration d’Edge Il est parfois nécessaire de restaurer les paramètres usine par défaut de Firebox X Edge e-Series. Dans ce cas, toutes les modifications apportées à la configuration sont perdues. Si vos paramètres de stratégie sont complexes ou vos comptes d’utilisateurs nombreux, la reconfiguration peut prendre beaucoup de temps. Pour limiter la durée de configuration, vous pouvez sauvegarder votre configuration dans un fichier local et la restaurer ultérieurement. Cette procédure ne peut vous être d’aucune aide si vous avez oublié le mot de passe d’administration d’Edge ou si vous n’en connaissez aucun. Dans ce cas, vous devez restaurer les paramètres usine par défaut d’Edge et créer une configuration. Vous pouvez procéder à une restauration de la configuration via l’Assistant Quick Setup Wizard ou à partir d’une session de gestion Edge. Si vous disposez d’un autre numéro de série et d’une autre clé de fonctionnalité, vous pouvez également sauvegarder votre configuration dans un fichier de sauvegarde de la configuration enregistré sur un autre périphérique Firebox X Edge. Le fichier de sauvegarde de la configuration contient : Les paramètres des réseaux approuvé, facultatif et externe Les certificats Les comptes et les mots de passe des utilisateurs locaux Les mots de passe utilisés avec Management Server Les stratégies de filtrage de paquets et de proxies Les paramètres WebBlocker, spamBlocker, Gateway AV et IPS Guide de l’utilisateur 43 Tâches de base de configuration et de gestion Le fichier de sauvegarde de la configuration n’inclut pas : Votre clé de licence ou vos clés de fonctionnalité Les signatures Gateway AV, IPS ou spamBlocker Le numéro de série d’Edge L’adresse MAC des interfaces réseau d’Edge Avant de commencer Ne modifiez pas le fichier de configuration manuellement. Utilisez toujours un serveur Management Server ou l’interface Web de Firebox X Edge. Les mots de passe des utilisateurs figurant dans le fichier de sauvegarde de la configuration sont chiffrés, mais le fichier complet ne l’est pas. Il est conseillé de chiffrer le fichier de sauvegarde de la configuration et de le conserver dans un lieu sûr. Lorsque vous restaurez la configuration à partir d’un fichier de sauvegarde de la configuration, le nom d’utilisateur et le mot de passe de l’administrateur utilisés lors de la création de ce fichier sont réutilisés. Si vous ne vous souvenez pas du mot de passe défini dans le fichier de sauvegarde, vous devez restaurer les paramètres usine et configurer Edge manuellement. Afficher le fichier de configuration Vous pouvez afficher le contenu du fichier de configuration de Firebox X Edge au format texte dans la page Afficher le fichier de configuration. 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Administration > Afficher la configuration. Le fichier de configuration s’affiche. Sauvegarder la configuration d’Edge Une fois Firebox X Edge e-Series configuré, vous pouvez enregistrer le fichier de configuration d’Edge sur votre disque dur à des fins de sauvegarde. Si vous avez apporté des modifications ne donnant pas les résultats attendus ou si vous avez réinitialisé Edge et restauré les paramètres usine par défaut, vous pouvez utiliser le fichier de sauvegarde pour restaurer une précédente configuration. 44 Firebox X Edge e-Series Tâches de base de configuration et de gestion Créer un fichier de sauvegarde de la configuration 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Administration > Sauvegarder la configuration. La page Sauvegarder le fichier de configuration apparaît. 3. Cliquez sur le bouton Sauvegarder. 4. Lorsque la boîte de dialogue de téléchargement de fichiers apparaît, enregistrez le fichier de sauvegarde de la configuration sur le disque dur. Par défaut, le nom du fichier de sauvegarde est edgecfg.wgbk. Vous pouvez le renommer, mais nous vous suggérons de conserver l’extension .wgbk. Restaurer la configuration d’Edge Une fois Firebox X Edge e-Series configuré, vous pouvez enregistrer le fichier de configuration d’Edge sur votre disque dur à des fins de sauvegarde. Si vous avez apporté des modifications ne donnant pas les résultats attendus ou si vous avez réinitialisé Edge et restauré les paramètres usine par défaut, vous pouvez utiliser le fichier de sauvegarde pour restaurer une précédente configuration. Vous pouvez procéder à une restauration de la configuration via l’Assistant Quick Setup Wizard ou à partir d’une session de gestion Edge. Restaurer la configuration à partir d’un fichier de sauvegarde 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Administration > Restaurer la configuration. La page Restaurer le fichier de configuration apparaît. 3. Entrez le chemin d’accès au fichier de sauvegarde de la configuration sur votre disque dur, ou cliquez sur le bouton Parcourir pour sélectionner le fichier. 4. Cliquez sur Restaurer. Firebox X Edge redémarre au bout d’une ou deux minutes. Guide de l’utilisateur 45 Tâches de base de configuration et de gestion À propos des paramètres usine par défaut Le terme paramètres usine par défaut fait référence à la configuration de Firebox X Edge lorsque vous recevez le système et avant de le modifier. Les paramètres de configuration et de réseau par défaut d’Edge sont les suivants : Réseau approuvé L’adresse IP par défaut du réseau approuvé est 192.168.111.1. Le masque de sous-réseau du réseau approuvé est 255.255.255.0. Firebox X Edge est configuré de sorte à fournir des adresses IP aux ordinateurs du réseau approuvé via DHCP. Les adresses IP fournies sont par défaut comprises entre 192.168.111.2 et 192.168.111.254. Réseau externe Firebox est configuré de façon à obtenir une adresse IP avec DHCP. Réseau facultatif Le réseau facultatif est désactivé. Paramètres du pare-feu Toutes les stratégies entrantes sont refusées. La stratégie sortante autorise tout le trafic sortant. Les requêtes ping reçues sur le réseau externe sont refusées. Sécurité du système Le nom d’utilisateur par défaut du compte administrateur de Firebox X Edge e-Series est « admin » et son mot de passe par défaut est « admin ». Lorsque vous vous connectez à Edge, l’Assistant Quick Setup Wizard affiche une boîte de dialogue qui vous permet de définir le nom d’utilisateur et le mot de passe du compte administrateur. Une fois les informations entrées dans cet Assistant, vous devez utiliser le nom d’utilisateur et le mot de passe que vous avez sélectionnés pour afficher les pages de configuration. Firebox X Edge est configuré pour être géré localement uniquement à partir du réseau approuvé. La configuration doit être modifiée pour autoriser des tâches d’administration à partir du réseau externe. Options de mise à niveau Les options de mise à niveau telles que WebBlocker, spamBlocker et Gateway AV/IPS sont toujours disponibles. Pour activer ces options, vous devez entrer les clés de fonctionnalité dans la page de configuration ou utiliser la fonctionnalité de synchronisation des clés de fonctionnalité. Si vous restaurez les paramètres usine par défaut de Firebox X Edge, il n’est pas nécessaire d’entrer de nouveau les clés de fonctionnalité. 46 Firebox X Edge e-Series Tâches de base de configuration et de gestion Restaurer les paramètres usine par défaut de Firebox Si vous ne parvenez pas à corriger un problème de configuration et que vous devez « recommencer », vous pouvez restaurer les paramètres usine par défaut. Par exemple, si vous ne connaissez pas le mot de passe du compte d’administrateur ou si une coupure de courant a endommagé le logiciel système Firebox X Edge, vous pouvez restaurer les paramètres usine par défaut d’Edge et définir de nouveau votre configuration. Pour restaurer les paramètres par défaut de Firebox X Edge e-Series : 1. 2. 3. 4. Déconnectez l’alimentation. Maintenez enfoncé le bouton Rétablir placé à l’arrière du système Edge. Connectez l’alimentation tout en appuyant sur le bouton Rétablir. Maintenez le bouton enfoncé jusqu’à ce que le témoin jaune du bouton Attn reste allumé en continu. Lorsque c’est le cas, cela signifie que les paramètres usine par défaut d’Edge ont été restaurés. Cette procédure peut prendre 45 secondes ou plus. Ne tentez pas de vous connecter à Edge à ce stade. Vous devez démarrer Edge encore une fois, comme cela est décrit dans les étapes ci-dessous. Si vous ne procédez pas ainsi, le message « WatchGuard Firebox X Edge s’exécute à partir d’une copie de sauvegarde du microprogramme » s’affiche dans une page Web lorsque vous essayez de vous connecter à Edge. Ce message peut également s’afficher si le bouton Rétablir reste enfoncé. Si ce message continue de s’afficher, vérifiez le bouton Rétablir et redémarrez Edge. 5. Déconnectez l’alimentation. 6. Connectez de nouveau l’alimentation. Le voyant d’alimentation est allumé et Edge est réinitialisé. À propos des clés de fonctionnalité Une clé de fonctionnalité est un jeu unique de caractères alphanumériques qui vous permet d’utiliser différentes fonctionnalités de Firebox. Lorsque vous achetez une option ou une mise à niveau et que vous recevez une nouvelle clé de fonctionnalité, vous améliorez les fonctionnalités de Firebox. Lors de l’achat d’une nouvelle fonctionnalité, vérifiez que vous exécutez les étapes suivantes : Obtenir une clé de fonctionnalité Ajouter une clé de fonctionnalité à Firebox X Edge Pour obtenir une clé de fonctionnalité active, vous pouvez utiliser le bouton Synchroniser la clé de fonctionnalité de la page État du système. Si vous avez déjà créé un compte d’utilisateur LiveSecurity, la fonctionnalité de synchronisation de la clé de fonctionnalité permet à Firebox de contacter le site Web LiveSecurity et de télécharger la clé de fonctionnalité active vers Edge. Guide de l’utilisateur 47 Tâches de base de configuration et de gestion Obtenir une clé de fonctionnalité Avant de pouvoir activer une nouvelle fonctionnalité, vous devez avoir reçu de WatchGuard un certificat de clé de licence qui ne soit pas déjà enregistré sur le site Web LiveSecurity. 1. Ouvrez un navigateur Web et accédez à la page : https://www.watchguard.com/activate 2. Si vous n’êtes pas déjà connecté à LiveSecurity, vous accédez à la page de connexion au service LiveSecurity. Entrez votre nom d’utilisateur et votre mot de passe LiveSecurity. 3. Entrez le numéro de série ou la clé de licence du produit qui figure sur le certificat imprimé, sans oublier les tirets. Le numéro de série permet généralement d’enregistrer un nouveau périphérique Firebox et la clé de licence permet d’enregistrer des fonctionnalités supplémentaires. 4. Cliquez sur Continuer. La page Choisir le produit à mettre à niveau apparaît. 5. Dans la liste déroulante, sélectionnez le périphérique Firebox devant faire l’objet d’une mise à niveau ou d’un renouvellement. Si vous avez ajouté un nom de périphérique Firebox lors de l’enregistrement de Firebox, ce nom apparaît dans la liste. Une fois le périphérique Firebox sélectionné, cliquez sur Activer. 6. La page Récupérer la clé de fonctionnalité apparaît. Dans le menu Démarrer de Windows, ouvrez le Bloc-notes ou toute autre application permettant de sauvegarder du texte. Copiez l’intégralité de la clé de fonctionnalité de cette page dans un fichier texte et enregistrez-le sur votre ordinateur. Cliquez sur Terminer. 48 Firebox X Edge e-Series Tâches de base de configuration et de gestion À propos du redémarrage de Firebox Vous pouvez redémarrer Firebox X Edge e-Series à partir d’un ordinateur appartenant au réseau approuvé. Si vous activez l’accès externe à Edge, vous pouvez également redémarrer Edge à partir d’un ordinateur situé sur Internet. Le cycle de redémarrage de Firebox X Edge dure environ une minute. Au cours de ce cycle, l’indicateur de mode situé sur la façade avant d’Edge s’éteint puis se rallume. Redémarrer Firebox localement Vous pouvez redémarrer Firebox X Edge e-Series localement soit en utilisant le navigateur Web, soit en débranchant le bloc d’alimentation. Utiliser le navigateur Web 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Cliquez sur Redémarrer. Débranchement du bloc d’alimentation Débranchez le bloc d’alimentation de Firebox X Edge. Attendez au minimum 10 secondes, puis rebranchez-le. Guide de l’utilisateur 49 Tâches de base de configuration et de gestion Redémarrer Firebox à distance Si vous souhaitez pouvoir vous connecter à Edge afin de le gérer ou de le redémarrer à partir d’un ordinateur distant, vous devez commencer par configurer Edge de sorte qu’il autorise le trafic HTTPS entrant vers l’adresse IP de l’interface approuvée d’Edge. Pour plus d’informations sur la configuration d’Edge pour recevoir le trafic entrant, voir Définir les options de contrôle d’accès (entrant). Gardez en mémoire que si vous activez les connexions HTTPS à Edge, toute personne possédant les informations d’identification correctes peut également se connecter à Edge. Une fois le trafic HTTPS autorisé, vous pouvez gérer à distance Edge à l’aide de votre navigateur à partir d’une adresse IP approuvée. Pour effectuer un redémarrage à distance, procédez comme suit : 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111. 2. Tapez votre nom d’utilisateur et votre mot de passe. Vous devez vous connecter en tant qu’administrateur Edge ou en tant qu’utilisateur bénéficiant d’un accès administratif. 3. Sur la page État du système, cliquez sur Redémarrer. À propos de l’utilisation du protocole NTP pour définir l’heure système Pour définir l’heure système d’Edge, vous pouvez spécifier un serveur NTP qui définira automatiquement l’heure. Le protocole NTP (Network Time Protocol) permet de synchroniser l’heure des horloges des ordinateurs d’un réseau. Firebox peut utiliser ce protocole pour récupérer automatiquement l’heure exacte sur des serveurs NTP qui se trouvent sur Internet. Dans la mesure où Firebox indique l’heure de son horloge système dans chacun des messages de journal qu’il génère, l’heure définie doit être correcte. Vous pouvez modifier le serveur NTP utilisé par Firebox. Vous pouvez également ajouter ou supprimer des serveurs NTP, de même que définir l’heure manuellement. 50 Firebox X Edge e-Series Tâches de base de configuration et de gestion Pour définir l’heure système 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Administration > Heure du système. La page Heure du système s’affiche. 3. Sélectionnez le fuseau horaire dans la liste déroulante. 4. Pour définir automatiquement l’heure système, activez l’option Utilisez le NTP pour définir périodiquement l’heure du système. Pour définir l’heure manuellement, activez l’option Définir manuellement la date et l’heure. Si vous définissez l’heure manuellement, passez à l’étape 6. Guide de l’utilisateur 51 Tâches de base de configuration et de gestion 5. Si l’heure est définie automatiquement, Firebox X Edge interroge le serveur sélectionné dans la liste Serveurs NTP pour obtenir l’heure actuelle. Si ce serveur n’est pas disponible, Edge utilise le suivant. o Pour ajouter un serveur de temps, tapez son nom dans le champ Ajouter un nouveau serveur, puis cliquez sur Ajouter. o Pour supprimer un serveur de temps, sélectionnez-le dans la liste Serveurs NTP, puis cliquez sur Supprimer. o Cliquez sur un serveur pour le sélectionner comme serveur de temps par défaut. Pour enregistrer vos modifications, passez à l’étape 8. 6. Si vous définissez l’heure système manuellement, vous devez définir la date et l’heure. o Sélectionnez le mois dans la première liste déroulante. o Sélectionnez l’année dans la deuxième liste déroulante. o Cliquez sur le bouton portant le nombre correspondant à la date du jour. 7. À droite de la date, définissez l’heure. o Tapez les heures dans le premier champ. o Tapez les minutes dans le deuxième champ. o Tapez les secondes dans le troisième champ. o Sélectionnez AM ou PM dans la liste déroulante. 8. Cliquez sur Envoyer. 52 Firebox X Edge e-Series Tâches de base de configuration et de gestion À propos du protocole SNMP Le protocole SNMP (Simple Network Management Protocol) est un ensemble d’outils permettant de surveiller et de gérer les réseaux. Il utilise des bases d’informations MIB (Management Information Bases) qui fournissent des informations de configuration sur les périphériques gérés ou analysés par le serveur SNMP. Firebox X Edge prend en charge les protocoles SNMPv2c et SNMPv3. Interrogations SNMP Vous pouvez configurer Firebox de sorte qu’il accepte les interrogations SNMP à partir d’un serveur SNMP. Firebox communique des informations au serveur SNMP, comme le volume de trafic sur chaque interface, le temps d’activité du périphérique, le nombre de paquets TCP reçus et envoyés et le moment où a eu lieu la dernière modification de chaque interface Firebox. Activer l’interrogation SNMP 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Administration > SNMP. La page Protocole SNMP (Simple Network Management Protocol) s’affiche. 3. Les informations E-mail de contact et Emplacement sont fournies au serveur SNMP lorsqu’il interroge Edge. Tapez dans ces champs les informations que l’administrateur du serveur SNMP doit voir s’il détecte un problème avec Edge. 4. Activez la case à cocher Activer SNMP v2c si le serveur SNMP utilise SNMP v2c. Vous devez taper la Chaîne de communauté utilisée par le serveur SNMP lorsqu’il contacte Edge. Cette chaîne est l’équivalent d’un ID utilisateur ou d’un mot de passe qui autorise l’accès aux statistiques d’un périphérique. Elle doit être incluse avec toutes les demandes SNMP. 5. Activez la case à cocher Activer SNMP v3 si le serveur SNMP utilise SNMP v3. Vous devez taper le Nom d’utilisateur et le Mot de passe utilisés par le serveur SNMP lorsqu’il contacte Edge. 6. Si le serveur SNMP qui interroge Edge se trouve sur le réseau approuvé d’Edge, activez la case à cocher Accès approuvé. Cliquez sur Envoyer. Les étapes 7 à 10 ne sont pas nécessaires. Si le serveur SNMP qui interroge Edge se trouve sur le réseau facultatif, activez la case à cocher Accès facultatif. Cliquez sur Envoyer. Les étapes 7 à 10 ne sont pas nécessaires. 7. Si le serveur SNMP qui interroge Edge se trouve sur un réseau externe, poursuivez avec les étapes 7 à 10. Si le serveur SNMP qui interroge Edge se trouve sur un réseau externe, vous devez ajouter une stratégie SNMP entrante à votre configuration Edge et autoriser les connexions SNMP à l’interface externe d’Edge. Dans la barre de navigation, sélectionnez Pare-feu > Entrant. 8. Recherchez SNMP dans la liste des stratégies prédéfinies. Sélectionnez Modifier. 9. Dans la liste déroulante Filtre entrant, sélectionnez Autoriser. Dans la zone de texte Hôte de stratégie, tapez l’adresse IP approuvée de Firebox X Edge. Cette règle autorise le serveur SNMP à se connecter à Edge pour obtenir des données SNMP sur le port TCP 161. Il est conseillé de spécifier l’adresse IP de votre serveur SNMP dans le champ De afin que seules les connexions depuis l’adresse IP du serveur SNMP soient autorisées par Firebox. 10. Cliquez sur Envoyer pour enregistrer vos modifications dans Firebox X Edge. Guide de l’utilisateur 53 Tâches de base de configuration et de gestion À propos des bases d’informations MIB Une base d’informations MIB (Management Information Base) est une base de données d’objets qui peuvent être analysés par un système de gestion de réseau. Firebox X Edge e-Series prend en charge six bases d’informations MIB publiques en lecture seule : 54 IP-MIB IF-MIB TCP-MIB UDP-MIB SNMPv2-MIB RFC1213-MIB Firebox X Edge e-Series Tâches de base de configuration et de gestion À propos de la sélection du protocole HTTP ou HTTPS pour la gestion HTTP (Hypertext Transfer Protocol) est le « langage » utilisé pour transférer des fichiers (textes, images graphiques et fichiers multimédias) sur Internet. HTTPS (Hypertext Transfer Protocol over Secure Socket Layer) est une version sécurisée du protocole HTTP. Avec le protocole HTTPS, toutes les informations envoyées entre le serveur Web et votre navigateur sont chiffrées. Pour une sécurité accrue, Firebox X Edge e-Series utilise par défaut le protocole HTTPS. Pour faire apparaître plus rapidement les pages de configuration de Firebox X Edge, vous pouvez utiliser le protocole HTTP. Ce protocole étant moins sécurisé, nous vous déconseillons de l’utiliser pour la gestion d’Edge. Avec le protocole HTTP, toutes les modifications de configuration sont envoyées de l’ordinateur à Edge en texte clair. Nous vous recommandons de toujours utiliser le protocole HTTPS pour configurer Edge. Vous devez vous connecter une fois à Firebox X Edge à l’aide du protocole HTTPS avant de pouvoir vous connecter à l’aide du protocole HTTP. Utiliser le port HTTP au lieu du port HTTPS 1. Tapez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Administration > Sécurité du système. La page Sécurité du système s’affiche. Activez la case à cocher Utilisez le port HTTP non sécurisé au lieu du port HTTPS sécurisé pour le site Web d’administration. Un avertissement s’affiche pour vérifier que vous souhaitez remplacer le port serveur HTTP par le port par défaut 80. Pour vous connecter à Firebox X Edge, le port utilisé dans votre navigateur doit être identique au port serveur HTTP sur Edge. Si vous souhaitez utiliser un certificat pour renforcer la sécurité de la session de gestion, sélectionnez-le dans la liste déroulante Certificat. Cette option est active uniquement si vous avez déjà importé des certificats en vue de les utiliser sur Edge. Pour plus d’informations sur l’utilisation de certificats, voir À propos de l’utilisation de certificats sur Firebox X Edge. 3. Cliquez sur Envoyer. Si vous activez cette case à cocher, tapez http:// dans la barre d’adresses du navigateur au lieu de https:// pour afficher les pages de configuration. Vous ne pouvez plus vous connecter à Edge avec https:// pour afficher les pages de configuration. Guide de l’utilisateur 55 Tâches de base de configuration et de gestion Modifier le port serveur HTTP Le protocole HTTPS utilise généralement le port TCP 443, tandis que le protocole HTTP utilise le port TCP 80. Par défaut, vous devez vous connecter aux pages de configuration de Firebox X Edge e-Series sur ces ports. Vous pouvez modifier le port par défaut sur la page Administration > Sécurité du système. Tapez la nouvelle valeur dans le champ Port du serveur HTTP de la page de configuration Sécurité du système, illustrée ci-dessus. Après avoir modifié le port serveur HTTP, vous devez taper le nouveau numéro de port lorsque vous vous connectez à Firebox X Edge. Par exemple, si vous avez remplacé le port serveur HTTP par défaut par le port 880, lorsque vous vous connectez à Edge, vous devez taper : http://192.168.111.1:880. À propos de l’accès WatchGuard System Manager Utilisez la page Accès WSM pour activer la gestion à distance par WatchGuard System Manager. Avec WatchGuard System Manager version 8.3.1 et supérieures, vous pouvez gérer les stratégies, les mises à jour et les VPN de nombreux périphériques Edge depuis un emplacement unique. Avec WatchGuard System Manager version 7.3 ou inférieure, vous pouvez utiliser VPN Manager pour créer des tunnels VPN gérés entre Firebox X Edge et un autre périphérique Firebox WatchGuard. Renommer Firebox X Edge e-series dans WSM Lorsque vous utilisez WatchGuard System Manager pour gérer différents périphériques Edge, vous pouvez renommer Firebox X Edge e-Series de façon que son nom soit unique. 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Administration. La page Administration apparaît. 3. Entrez le nom que vous souhaitez attribuer à Firebox X Edge e-Series dans le champ Nom du périphérique. 4. Cliquez sur Envoyer. Lorsqu’Edge s’affiche dans WatchGuard System Manager, son nom apparaît. 56 Firebox X Edge e-Series Tâches de base de configuration et de gestion Activer la gestion centralisée à l’aide de WSM Consultez les présentes instructions pour configurer l’accès distant à partir de WatchGuard System Manager (WSM) 10. WSM 10 permet la gestion centralisée des périphériques Firebox X Edge e-Series sur lesquels la version 10 est installée. 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Administration > Accès WSM. La page Accès WSM apparaît. 3. Activez la case à cocher Activer la gestion à distance. 4. Dans la liste déroulante Type de gestion, sélectionnez WatchGuard Management System. 5. Pour activer la gestion centralisée d’Edge via WatchGuard System Manager, activez la case à cocher Utiliser Centralized Management. Lorsque Firebox X Edge est sous gestion centralisée, l’accès aux pages de configuration d’Edge est défini en lecture seule. La seule exception concerne l’accès à la page de configuration Accès WSM. Si vous désactivez la fonctionnalité de gestion à distance, vous retrouvez l’accès en lecture-écriture à la configuration d’Edge. N’activez pas cette case à cocher si vous utilisez WatchGuard System Manager uniquement pour gérer des tunnels VPN. 6. Entrez un mot de passe d’état pour Firebox X Edge, puis entrez-le à nouveau pour le confirmer. 7. Entrez un mot de passe de configuration pour Firebox X Edge, puis entrez-le à nouveau pour le confirmer. Si vous ne tapez pas ces mêmes mots de passe lors de l’ajout du périphérique à WatchGuard System Manager, vous ne pouvez pas vous connecter à Firebox X Edge. Guide de l’utilisateur 57 Tâches de base de configuration et de gestion 8. Dans la zone de texte Adresse de Management Server, entrez l’adresse IP du serveur Management Server si celui-ci possède une adresse IP publique. Si le serveur Management Server a une adresse IP privée, tapez l’adresse IP publique du périphérique Firebox qui le protège. Le périphérique Firebox qui protège le serveur Management Server analyse automatiquement tous les ports utilisés par celui-ci et transmet toutes les connexions sur ces ports au serveur Management Server configuré. Aucune configuration spéciale n’est nécessaire à cette fin. 9. Dans la zone Nom du client, tapez le nom à donner à Firebox X Edge. Ce nom est utilisé pour identifier Edge dans Management Server. 10. Entrez la clé partagée. La clé partagée permet de chiffrer la connexion entre le serveur Management Server et le périphérique Firebox X Edge. Cette clé partagée doit être identique sur Edge et Management Server. Vous devez vous procurer la clé partagée auprès de votre administrateur réseau. 11. Cliquez sur Envoyer. 58 Firebox X Edge e-Series Tâches de base de configuration et de gestion Activer la gestion à distance avec WFS version 7.3 ou inférieure Les instructions qui suivent permettent de configurer l’accès à distance à partir de WatchGuard Firebox System version 7.3 ou inférieure. Ces versions de WatchGuard Firebox System utilisent VPN Manager et Firebox joue le rôle de serveur DVCP. 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Administration > Accès WSM. La page Accès WSM s’affiche. 3. 4. 5. 6. Activez la case à cocher Activer la gestion à distance. Dans la liste déroulante Type de gestion, sélectionnez VPN Manager. Si vous utilisez VPN Manager 7.3, activez la case à cocher VPN Manager 7.3. Activez la case à cocher Activer l’accès à VPN Manager pour autoriser VPN Manager à se connecter à Firebox X Edge. Tapez et confirmez les mots de passe d’état et de configuration d’Edge. Si vous ne tapez pas ces mêmes mots de passe lors de l’ajout du périphérique à VPN Manager, vous ne pouvez pas vous connecter à Firebox X Edge. Guide de l’utilisateur 59 Tâches de base de configuration et de gestion 7. Activez la case à cocher Activer Managed VPN pour configurer Firebox X Edge en tant que client sur le serveur DVCP WatchGuard. 8. Dans la zone de texte Adresse du serveur DVCP, tapez l’adresse IP du serveur DVCP. 9. Dans la zone Nom du client, tapez le nom à donner à Firebox X Edge. Ce nom est utilisé pour identifier Edge dans VPN Manager. 10. Dans le champ Clé partagée, tapez la clé partagée. Cette clé est utilisée pour chiffrer la connexion entre le serveur DVCP et Firebox X Edge. Cette clé partagée doit être identique sur Edge et sur le serveur DVCP. Vous devez vous procurer la clé partagée auprès de votre administrateur réseau. 11. Cliquez sur Envoyer. Autoriser le trafic depuis un serveur Management Server Si vous utilisez un serveur du réseau approuvé ou facultatif pour gérer des périphériques Firebox sur le réseau externe, vous devez modifier certains paramètres de votre configuration pour autoriser ce trafic via Edge. Vous pouvez utiliser un Assistant pour appliquer automatiquement ces modifications de configuration. Avant de lancer cet Assistant, vous devez connaître l’adresse IP de Management Server. Dans la barre de navigation, sélectionnez Assistants, puis sélectionnez l’Assistant Définissez des stratégies afin d’autoriser le trafic pour la gestion WSM d’autres systèmes Firebox. 60 Firebox X Edge e-Series Tâches de base de configuration et de gestion À propos de la mise à jour du logiciel de Firebox X Edge L’un des avantages des services LiveSecurity est de proposer des mises à jour logicielles constantes. Dès que de nouvelles menaces apparaissent et que WatchGuard améliore ses produits, vous êtes informé de la mise à disposition de nouvelles versions du logiciel de Firebox X Edge e-Series par des alertes. Vous devez posséder un abonnement valide à LiveSecurity pour pouvoir installer un microprogramme sur Edge. Pour connaître les mises à jour de Firebox X Edge, visitez le site Web de WatchGuard à l’adresse suivante : https://www.watchguard.com/archive/softwarecenter.asp (sélectionnez Firebox X Edge) Il existe deux procédures d’installation des mises à jour du microprogramme. La première méthode utilise un téléchargement de grande taille et applique la mise à jour du microprogramme automatiquement à Firebox X Edge lorsque vous le démarrez sur un ordinateur Windows. La seconde méthode utilise un plus petit téléchargement et vous permet d’appliquer les mises à jour du microprogramme à partir des pages de configuration de Firebox X Edge. Si vous n’utilisez pas Windows, vous devez appliquer la seconde procédure. Si pour une raison quelconque, vous voulez effectuer une mise à niveau vers une version antérieure du microprogramme d’Edge, vous pouvez utiliser ces mêmes procédures. Certaines versions récentes du matériel Edge ne peuvent être mises à niveau vers des versions antérieures à la version 8.5.2. Méthode 1 : Installer le logiciel automatiquement La première méthode permet d’installer la mise à jour du microprogramme de Firebox X Edge e-Series à partir d’un ordinateur Windows. Vous devez commencer par télécharger le programme d’installation de la mise à jour logicielle. Procédez ensuite comme suit pour l’utiliser : 1. Démarrez le programme d’installation sur un ordinateur Windows se trouvant sur le réseau approuvé de Firebox X Edge. 2. À l’invite, tapez l’adresse IP de l’interface approuvée de Firebox X Edge e-Series. L’adresse par défaut est 192.168.111.1. 3. Tapez le nom et le mot de passe de l’administrateur. Cliquez sur OK. Le programme d’installation applique la mise à jour du microprogramme à Firebox X Edge e-Series. Dans le cadre de ce processus, Firebox X Edge redémarre une ou deux fois. Ceci est tout à fait normal. 4. Cliquez sur Terminer. Dans la mesure où le programme d’installation utilise protocole FTP pour transférer les fichiers, assurez-vous que Firebox X Edge n’est pas configuré pour refuser le trafic FTP. Pour plus d’informations, voir Supprimer les attaques DoS Flood. Guide de l’utilisateur 61 Tâches de base de configuration et de gestion Méthode 2 : Installer le logiciel manuellement La seconde méthode utilise les pages de configuration de Firebox X Edge e-Series. Cette méthode peut être utilisée avec Windows ou tout autre système d’exploitation. Vous devez commencer par télécharger le fichier Mise à jour logicielle, qui est un petit fichier compressé. 1. Procédez à l’extraction du fichier « .sysa-dl » du fichier compressé que vous avez téléchargé à l’aide d’un utilitaire d’archivage tel que WinZip (pour les ordinateurs Windows), StuffIt (pour Macintosh) ou le programme zip (pour Linux). 2. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée d’Edge. L’URL par défaut est : https://192.168.111.1 3. Dans la barre de navigation, sélectionnez Administration > Mettre à jour. La page Mettre à jour s’affiche. 4. Tapez le nom et l’emplacement du fichier contenant le nouveau logiciel de Firebox X Edge dans la zone Sélectionner un fichier ou cliquez sur Parcourir pour rechercher le fichier sur le réseau. 5. Cliquez sur Mettre à jour et suivez les instructions. Firebox vérifie que le package logiciel est une mise à niveau légitime du logiciel. Il copie ensuite le nouveau logiciel sur le système. Cette procédure peut prendre entre 15 et 45 secondes. Une fois la mise à jour terminée, cliquez sur le bouton Redémarrer qui s’affiche sur la page Mettre à jour. Lorsque Firebox a redémarré, la page État du système s’affiche et indique le nouveau numéro de version. 62 Firebox X Edge e-Series Tâches de base de configuration et de gestion À propos des options de mise à niveau Deux éléments sont nécessaires pour ajouter des mises à niveau à Firebox X Edge : une clé de fonctionnalité et une clé de licence. Il est important de bien comprendre la différence entre ces deux clés. Firebox X Edge est fourni avec un certain nombre de fonctionnalités installées par défaut. Celles-ci sont spécifiées par la clé de fonctionnalité. Si vous achetez une mise à niveau de votre périphérique Edge, vous devez lui appliquer une nouvelle clé de fonctionnalité. Toutefois, vous n’obtenez pas immédiatement cette nouvelle clé de fonctionnalité. Lorsque vous achetez une mise à niveau, vous recevez une clé de licence. Vous devez entrer cette clé sur le site Web des services LiveSecurity pour obtenir une nouvelle clé de fonctionnalité. Vous devez ensuite ajouter cette clé de fonctionnalité à votre configuration Edge ou utiliser la fonctionnalité de synchronisation de la clé de fonctionnalité pour laisser Edge se connecter au site Web des services LiveSecurity et télécharger la nouvelle clé de fonctionnalité. Options de mise à niveau disponibles Licences d’utilisateur Une mise à niveau de licence par siège autorise des connexions supplémentaires entre le réseau approuvé et le réseau externe. Par exemple, une mise à niveau de licence d’utilisateur pour 5 sièges autorise 5 connexions supplémentaires au réseau externe. Clients Mobile VPN with IPSec La mise à niveau Clients Mobile VPN with IPSec augmente le nombre d’utilisateurs distants autorisés à se connecter à Firebox X Edge par le biais d’un tunnel VPN sécurisé (IPSec). Ces clients ont accès aux ressources du réseau approuvé et du réseau facultatif. WebBlocker La mise à niveau WebBlocker vous permet de contrôler l’accès au contenu Web. Pour plus d’informations, voir À propos de WebBlocker. spamBlocker La mise à niveau spamBlocker vous permet de filtrer le courrier indésirable et l’envoi de masse. Pour plus d’informations, voir À propos de spamBlocker. Gateway AV/IPS La mise à niveau Gateway AV/IPS vous permet de bloquer les virus et d’empêcher les tentatives d’intrusion par les pirates informatiques. Pour plus d’informations, voir À propos de Gateway AntiVirus et Intrusion Prevention. Edge Pro La mise à niveau du logiciel système Edge Pro vous permet d’activer une seconde interface externe sur Firebox X Edge e-Series. Si vous configurez Firebox pour le Multi-WAN, vous pouvez utiliser le routage basé sur stratégie pour faire correspondre une stratégie de pare-feu à une interface externe spécifique. Vous pouvez également activer la fonctionnalité de marquage VLAN. Guide de l’utilisateur 63 Tâches de base de configuration et de gestion Ajouter une fonctionnalité à Firebox X Edge Lorsque vous achetez une mise à niveau de Firebox X Edge, vous recevez une clé de licence. Il peut s’agir d’un certificat papier ou d’un message électronique. Vous pouvez utiliser la procédure qui suit pour appliquer manuellement une nouvelle clé de fonctionnalité à Edge, ou utiliser la fonctionnalité de synchronisation de la clé de fonctionnalité disponible sur la page État du système pour appliquer automatiquement votre clé de fonctionnalité après l’avoir activée sur le site Web des services LiveSecurity. 1. Enregistrez la clé de licence et copiez la nouvelle clé de fonctionnalité, comme décrit dans Obtenir une clé de fonctionnalité. 2. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est https://192.168.111.1. 3. Acceptez le certificat de sécurité. 4. Tapez le Nom d’utilisateur et le Mot de passe administrateur lorsque vous y êtes invité. 5. Dans la barre de navigation à gauche, sélectionnez Administration > Mettre à niveau. La fenêtre Mettre à niveau s’affiche. 6. Cliquez sur Obtenir la clé de licence ou collez la nouvelle clé de fonctionnalité. Vous pouvez cliquer avec le bouton droit et sélectionner Coller dans le menu qui s’affiche ou encore utiliser CTRL+V. 7. Cliquez sur Envoyer. 8. Redémarrez Edge. 64 Firebox X Edge e-Series Tâches de base de configuration et de gestion Mettre à niveau le modèle de Firebox X Edge Une mise à niveau de modèle confère à Firebox X Edge e-Series les mêmes fonctions qu’un modèle supérieur, en augmentant la capacité, les licences d’utilisateur, les sessions et les tunnels VPN. Pour consulter une brochure présentant les fonctionnalités des différents modèles de Firebox X Edge, allez à l’adresse suivante : http://www.watchguard.com/docs/datasheet/wg_edge-e_ds.pdf. Une fois que vous avez acheté une clé de licence de mise à niveau, vous pouvez mettre à niveau Firebox X Edge e-Series 10e ou Firebox X Edge 20e vers un modèle supérieur : 1. Allez sur le site de mise à niveau de WatchGuard (www.watchguard.com/upgrade) et connectez-vous à votre compte de services LiveSecurity. 2. Dans l’espace prévu à cet effet, tapez la clé de licence telle qu’elle apparaît sur le certificat imprimé ou sur le reçu du magasin en ligne, y compris les tirets. Cliquez sur Continuer et suivez les instructions. Guide de l’utilisateur 65 Tâches de base de configuration et de gestion 66 Firebox X Edge e-Series 5 Paramètres réseau À propos de la configuration d’interface réseau La configuration des adresses IP d’interface réseau est un élément essentiel de la configuration de WatchGuard Firebox. Lorsque vous exécutez l’Assistant Quick Setup Wizard, les interfaces externes et approuvées sont configurées pour que le trafic soit acheminé via Firebox. Vous pouvez suivre les procédures décrites dans cette section pour modifier cette configuration après avoir exécuté l’Assistant Quick Setup Wizard ou pour ajouter d’autres composants du réseau à la configuration. Par exemple, vous pouvez configurer une interface facultative pour des serveurs publics, comme des serveurs Web. Les réseaux regroupés dans un réseau local sont physiquement séparés des réseaux situés sur un réseau étendu, comme Internet, par un pare-feu. L’une des principales fonctions de ce dernier est de déplacer les paquets de part et d’autre du pare-feu. On parle alors de « routage ». Pour acheminer correctement les paquets, le pare-feu doit savoir quels réseaux sont accessibles sur chacune de ses interfaces. Guide de l’utilisateur 67 Paramètres réseau Modifier les adresses IP de Firebox à l’aide de l’Assistant Network Setup Wizard Pour modifier les adresses IP réseau de Firebox X Edge e-Series, le plus simple est d’utiliser l’Assistant Network Setup Wizard. 1. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée d’Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, cliquez sur Assistants. 3. Cliquez sur OK en regard de l’option Définissez les principales interfaces réseau de Firebox X Edge. 4. Suivez les instructions. L’Assistant Network Setup Wizard se compose des étapes suivantes : Bienvenue Le premier écran décrit l’objectif de l’Assistant. Configurez l’interface externe de votre Firebox Sélectionnez la procédure utilisée par votre fournisseur de services Internet (ISP) pour définir votre adresse IP. Pour plus d’informations, voir À propos de la configuration des interfaces externes. Vous pouvez choisir l’une des configurations suivantes : DHCP : si votre ISP utilise DHCP, entrez les informations DHCP qu’il vous a fournies. Pour plus d’informations, voir Si votre ISP utilise DHCP. PPPoE : si votre ISP utilise PPPoE, entrez les informations PPPoE qu’il vous a fournies. Pour plus d’informations, voir Si votre ISP utilise PPPoE. IP statique : si votre ISP utilise les adresses IP statiques, entrez les informations qu’il vous a fournies à ce sujet. Pour plus d’informations, voir Si votre ISP utilise des adresses statiques. Configurez l’interface approuvée de Firebox Entrez l’adresse IP de l’interface approuvée dans cet écran. Pour plus d’informations, voir À propos de la configuration du réseau approuvé. L’Assistant Network Setup Wizard prend fin lorsque l’interface approuvée est configurée. 68 Firebox X Edge e-Series Paramètres réseau Configurer les interfaces externes Vous devez configurer manuellement votre réseau externe si vous n’utilisez pas l’Assistant Network Setup Wizard. Lorsque vous configurez le réseau externe, définissez la méthode utilisée par votre fournisseur de services Internet (ISP) pour attribuer une adresse IP à votre périphérique Firebox. Si vous ne connaissez pas cette méthode, contactez votre ISP ou l’administrateur réseau de votre entreprise. Pour plus d’informations sur les méthodes d’adressage IP, voir Adresses IP statiques et dynamiques. Vous pouvez également configurer l’interface externe principale en tant qu’interface sans fil. Si votre fournisseur de services Internet utilise DHCP Dans la configuration par défaut, Firebox X Edge e-Series obtient ses informations d’adresses externes via DHCP. Si votre fournisseur de services Internet utilise DHCP, Edge obtiendra une nouvelle adresse IP externe lorsqu’il démarrera pour se connecter au réseau du fournisseur de services Internet. Pour plus d’informations sur DHCP, voir À propos des agents de relais DHCP. Pour configurer manuellement Firebox afin d’utiliser DHCP sur l’interface externe : 1. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Réseau > Externe. La page Configuration du réseau externe s’affiche. 3. Dans la liste déroulante Mode de configuration, sélectionnez Client DHCP. 4. Si votre fournisseur de services Internet vous demande d’identifier l’ordinateur afin de vous donner une adresse IP, tapez ce nom dans le champ Identificateur DHCP facultatif. 5. Cliquez sur Abandonner si vous ne souhaitez pas utiliser l’adresse IP attribuée par DHCP pour Edge. Cliquez sur Renouveler pour demander au serveur DHCP une nouvelle adresse IP attribuée par DHCP à Edge. 6. Cliquez sur Envoyer. Guide de l’utilisateur 69 Paramètres réseau Si votre fournisseur de services Internet utilise des adresses IP statiques Si votre fournisseur de services Internet utilise des adresses IP statiques, vous devez entrer les informations d’adresses dans le périphérique Firebox X Edge pour que celui-ci puisse envoyer le trafic via l’interface externe. Pour configurer le périphérique Firebox X Edge de sorte à utiliser une adresse IP statique pour l’interface externe : 1. À l’aide du navigateur, accédez à la page État du système. 2. Dans la barre de navigation, sélectionnez Réseau > Externe. La page Configuration du réseau externe s’affiche. 3. Dans la liste déroulante Mode de configuration, sélectionnez Configuration manuelle. Si votre fournisseur de services Internet utilise PPPoE Si votre fournisseur de services Internet utilise PPPoE, vous devez entrer les informations PPPoE dans le périphérique Firebox X Edge pour que celui-ci puisse envoyer le trafic via l’interface externe. Pour plus d’informations sur PPPoE, voir Paramètres PPPoE avancés. 70 Firebox X Edge e-Series Paramètres réseau Pour configurer Firebox afin d’utiliser PPPoE sur l’interface externe : 1. À l’aide du navigateur, accédez à la page État du système. 2. Dans la barre de navigation, sélectionnez Réseau > Externe. La page Configuration du réseau externe s’affiche. 3. Dans la liste déroulante Mode de configuration, sélectionnez Client PPPoE. 4. Tapez vos nom et mot de passe dans les champs appropriés. Vous pouvez obtenir ces informations auprès de votre fournisseur de services Internet. Si ce dernier fournit un nom de domaine, tapez-le dans le champ Domaine. La plupart des fournisseurs de services Internet qui utilisent PPPoE vous demandent d’utiliser le nom de domaine et votre nom d’utilisateur. Ne tapez pas le nom de domaine et votre nom d’utilisateur au format suivant : [email protected]. Si vous possédez un nom PPPoE dans ce format, tapez la section MonNom dans le champ Nom. Tapez la section ispdomain dans le champ Domaine. Ne tapez pas le symbole @. Certains fournisseurs de services Internet n’utilisent pas le domaine. 5. Dans le champ Délai d’inactivité, tapez le nombre de minutes devant s’écouler avant que le périphérique Firebox X Edge déconnecte les connexions PPP0E actives. Nous recommandons une valeur de 20. Si vous indiquez la valeur 0 dans ce champ, vous ne paramétrez aucun délai d’inactivité. Guide de l’utilisateur 71 Paramètres réseau Paramètres PPPoE avancés L’Assistant Quick Setup Wizard vous permet de configurer les paramètres PPPoE de base. Si nécessaire, vous pouvez également configurer des paramètres plus avancés. Cliquez sur Envoyer après avoir terminé la configuration des paramètres PPPoE avancés. Nom du service Utilisez ce champ pour ajouter un nom de service. Firebox X Edge démarre une session uniquement avec un serveur PPPoE, appelé concentrateur d’accès, qui prend en charge le service spécifié. Cette option n’est généralement pas utilisée. N’utilisez ce champ que s’il existe plusieurs concentrateurs d’accès ou si vous savez que vous devez utiliser un nom de service spécifique. Nom du concentrateur d’accès Utilisez ce champ pour identifier un concentrateur d’accès. Firebox X Edge démarre une session uniquement avec le concentrateur d’accès que vous identifiez dans ce champ. Cette option n’est généralement pas utilisée. Ne l’utilisez que si vous savez qu’il existe plusieurs concentrateurs d’accès. Si vous renseignez les zones Nom du service et Nom du concentrateur d’accès, utilisez la même valeur pour que le système Edge négocie une session PPPoE. Utiliser l’indicateur Host-Uniq dans les paquets de découverte PPPoE Sélectionnez cette option s’il existe plusieurs installations d’un même client PPPoE sur le réseau. Ceci permet d’empêcher les interférences entre les paquets de découverte de chaque client. Cette fonctionnalité n’est pas prise en charge par Firebox X Edge ; cette option est incluse afin de rendre Edge compatible avec les fournisseurs de services Internet qui l’exigent. Nouvelles tentatives d’authentification Ce champ détermine le nombre de tentatives effectuées par le périphérique Firebox X Edge pour envoyer des informations d’authentification PAP au serveur PPPoE. La valeur par défaut Aucune est suffisante pour la plupart des installations. Vous devez entrer une valeur élevée pour rendre Edge compatible avec certains fournisseurs de services Internet. Utiliser les requêtes d’écho LCP pour détecter la liaison PPPoE perdue Lorsque vous activez cette case à cocher, Firebox X Edge envoie une requête d’écho LCP à intervalles réguliers au fournisseur de services Internet pour s’assurer que la connexion PPPoE est active. Si vous n’utilisez pas cette option, Edge doit obtenir une demande d’interruption de session PPPoE ou PPP au fournisseur de services Internet pour identifier une connexion rompue. Intervalle d’écho LCP Lorsque vous activez les échos LCP, cette valeur définit l’intervalle entre les requêtes d’échos LCP envoyées par le périphérique Firebox X Edge au fournisseur de services Internet. La rapidité avec laquelle Edge peut identifier une connexion rompue dépend de la fréquence d’envoi des requêtes d’échos LCP. Un intervalle plus court consomme davantage de bande passante sur l’interface externe, mais même l’intervalle le plus court ne diminue pas beaucoup les performances. Nouvelles tentatives d’écho LCP Lorsque vous activez les échos LCP, cette valeur définit le nombre de tentatives effectuées par Firebox X Edge pour obtenir une réponse à une requête d’écho LCP avant que la connexion PPPoE soit considérée inactive. Si un fournisseur de services Internet ne répond pas à trois requêtes LCP, il est peu probable qu’il réponde aux requêtes d’échos LCP suivantes. Dans la plupart des cas, le paramètre par défaut de 3 est le plus approprié. Activer la trace de débogage PPPoE Le support technique de WatchGuard utilise cette case à cocher pour résoudre les problèmes liés à PPPoE. Cette option étant activée, Firebox X Edge crée un fichier que vous pouvez envoyer au support technique. Utilisez cette option uniquement lorsque vous y êtes invité par le support technique, car cela diminue les performances du système Edge. 72 Firebox X Edge e-Series Paramètres réseau Configurer l’interface externe en tant qu’interface sans fil Vous pouvez configurer l’interface externe principale (WAN1) pour Edge en tant qu’interface sans fil. 1. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Réseau > Externe. Cliquez sur l’onglet Sans fil. La page Configuration du réseau externe, onglet Sans fil, s’affiche. 3. Activez la case à cocher Activer le service sans fil en tant qu’interface externe. 4. Dans la zone de texte SSID, entrez un nom de réseau Edge externe sans fil. 5. Dans la liste déroulante TypeAuth, sélectionnez un type d’authentification autorisant les connexions sans fil. Il est conseillé d’utiliser WPA2 si les périphériques sans fil de votre réseau le prennent en charge. Pour plus d’informations sur les méthodes d’authentification sans fil, voir À propos des paramètres de sécurité sans fil. 6. Dans la liste déroulante Type de chiffrement, sélectionnez le type de chiffrement à utiliser pour la connexion sans fil et ajoutez les clés ou mots de passe requis. Lorsque vous sélectionnez une option de chiffrement avec des clés pré-partagées, une clé pré-partagée aléatoire est générée pour vous. Vous pouvez utiliser cette clé ou entrer votre propre clé. 7. Cliquez sur Envoyer pour enregistrer vos modifications dans Firebox. Lorque l’interface externe est configurée avec une connexion sans fil, Edge ne peut plus servir de point d’accès sans fil. Pour permettre un accès sans fil, connectez un périphérique de point d’accès sans fil à Edge. Utilisation d’Edge avec une interface externe sans fil pour étendre la connectivité réseau Si l’infrastructure réseau est limitée ou inexistante, vous pouvez utiliser Edge pour obtenir un accès réseau sécurisé. Vous devez connecter physiquement les périphériques réseau à Edge puis configurer l’interface externe pour vous connecter à un point d’accès sans fil relié à un réseau plus étendu. Pour créer un pont sans fil et accroître la sécurité sur le réseau, ajoutez un tunnel BOVPN entre Edge et la passerelle externe. Sur les deux périphériques, activez le Mode agressif dans les paramètres de phase 1 de votre configuration BOVPN. Guide de l’utilisateur 73 Paramètres réseau À propos des paramètres de réseau externe avancés Dans la page Configuration du réseau externe, sélectionnez l’onglet Avancé pour modifier les paramètres de vitesse de connexion ou changer l’adresse MAC de l’interface externe d’Edge. Dans la liste déroulante Vitesse de la connexion, sélectionnez Automatique pour qu’Edge sélectionne la vitesse réseau appropriée ou sélectionnez la vitesse de connexion statique compatible avec votre matériel. Il est conseillé de définir la vitesse de la connexion sur Automatique, à moins que ce paramètre ne soit pas compatible avec votre matériel. Dans la zone de contrôle de valeur Unité maximale de transmission (MTU), sélectionnez la taille maximale de paquet, en octets, prise en charge par l’interface. Il est conseillé d’utiliser la valeur par défaut (1 500 octets), sauf si votre matériel de réseau requiert une taille de paquet différente. Modifier l’adresse MAC de l’interface externe Certains fournisseurs de services Internet (ISP) utilisent une adresse MAC pour identifier les ordinateurs sur leur réseau. Chaque adresse MAC obtient une adresse IP statique. Si votre ISP fait appel à cette méthode pour identifier votre ordinateur, vous devez modifier l’adresse MAC de l’interface externe de Firebox X Edge. Utilisez l’adresse MAC du modem câble, du modem ADSL ou du routeur qui s’est directement connecté à l’ISP dans la configuration d’origine. L’adresse MAC doit présenter les caractéristiques suivantes : Elle doit comporter 12 caractères hexadécimaux d’une valeur comprise entre 0 et 9 ou entre « a » et « f ». Elle doit être utilisée avec : - une ou plusieurs adresses sur le réseau externe ; - l’adresse MAC du réseau approuvé de Firebox X Edge ; - l’adresse MAC du réseau facultatif de Firebox X Edge. Les valeurs 000000000000 et ffffffffffff ne peuvent pas lui être attribuées. Pour modifier l’adresse MAC de l’interface externe : 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, cliquez sur Réseau > Externe. La page Configuration du réseau externe s’affiche. 3. Dans l’onglet Avancé, activez la case à cocher Activer l’adresse MAC de remplacement. 74 Firebox X Edge e-Series Paramètres réseau 4. Dans la zone de texte Adresse MAC de remplacement, entrez la nouvelle adresse MAC du réseau externe de Firebox X Edge. Vous devez entrer l’adresse MAC sous la forme d’un nombre hexadécimal. N’utilisez pas de caractères supplémentaires, tels que les espaces ou les tirets. 5. Cliquez sur Envoyer. Vous devez redémarrer Firebox pour afficher les modifications. Si le champ Adresse MAC de remplacement est vide et que vous redémarrez Firebox X Edge, l’adresse MAC par défaut du réseau externe est utilisée. Pour éviter les problèmes d’adresses MAC, Firebox X Edge s’assure que l’adresse MAC que vous attribuez à l’interface externe est unique sur le réseau. Si Edge détecte un périphérique qui utilise la même adresse MAC, Firebox réutilise l’adresse MAC standard de l’interface externe puis redémarre. À propos de la configuration du réseau approuvé Vous devez configurer votre réseau approuvé manuellement si vous ne faites pas appel à l’Assistant Network Setup Wizard. Vous pouvez utiliser des adresses IP statiques ou un serveur DHCP pour les ordinateurs de votre réseau approuvé. Firebox X Edge e-Series est fourni avec un serveur DHCP intégré qui attribue des adresses IP aux ordinateurs de votre réseau approuvé ou de votre réseau facultatif. Vous pouvez également modifier l’adresse IP du réseau approuvé. Les paramètres usine par défaut du serveur DHCP de Firebox X Edge permettent d’attribuer automatiquement des adresses IP aux ordinateurs du réseau approuvé. L’adresse IP de début du réseau approuvé est 192.168.111.1. Il s’agit d’un réseau de classe C ayant comme masque de sous-réseau 255.255.255.0. Edge peut attribuer les adresses IP de la plage 192.168.111.2 à 192.168.111.254. Ces adresses sont privées et ne sont donc pas visibles en dehors du réseau approuvé. Les paramètres usine par défaut utilisent les mêmes informations de serveur DNS sur l’interface interne et l’interface externe. Si nécessaire, vous pouvez désactiver le serveur DHCP. Éventuellement, vous pouvez utiliser Edge comme agent de relais DHCP pour envoyer, à l’aide d’un tunnel VPN, des requêtes DHCP à un serveur DHCP situé sur un autre réseau. Vous pouvez également utiliser des adresses IP statiques pour les ordinateurs de votre réseau approuvé. Pour que les modifications apportées à la page de configuration du réseau approuvé soient appliquées, vous devez d’abord cliquer sur Envoyer. Le cas échéant, Firebox redémarre. À propos de la modification de l’adresse IP du réseau approuvé Vous pouvez modifier l’adresse IP du réseau approuvé, le cas échéant. Par exemple, si vous connectez deux périphériques Firebox X Edge ou plus sur un réseau privé virtuel, chacun d’eux doit utiliser une adresse de réseau approuvé différente. Si les deux périphériques reliés au réseau privé virtuel utilisent les mêmes adresses IP de réseau approuvé, l’un des deux doit modifier sa plage d’adresses. Pour plus d’informations, voir Comment créer un réseau privé virtuel (VPN). Si vous modifiez l’adresse IP de l’interface approuvée de Firebox X Edge, vous devez utiliser la nouvelle adresse IP dans la barre d’adresses de votre navigateur pour vous connecter à l’interface de gestion Web d’Edge. Par exemple, si vous remplacez l’adresse IP par défaut 192.168.111.1 de l’interface approuvée de Firebox X Edge par 10.0.0.1, vous devez entrer https://10.0.0.1 pour vous connecter à Firebox X Edge. Vous devez également modifier l’adresse IP de votre ordinateur pour qu’elle soit comprise dans la nouvelle plage de sous-réseaux IP du réseau approuvé. Guide de l’utilisateur 75 Paramètres réseau Modifier l’adresse IP du réseau approuvé Pour modifier l’adresse IP du réseau approuvé : 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Réseau > Approuvé. La page Configuration du réseau approuvé s’affiche. 3. Entrez la nouvelle adresse IP de l’interface approuvée de Firebox X Edge dans la zone de texte Adresse IP. 4. Entrez le nouveau masque de sous-réseau, le cas échéant. 76 Firebox X Edge e-Series Paramètres réseau Activer le serveur DHCP sur le réseau approuvé L’option Serveur DHCP permet à Firebox X Edge e-Series d’attribuer des adresses IP aux ordinateurs du réseau approuvé. Lorsqu’il reçoit une requête DHCP provenant d’un ordinateur du réseau approuvé, Edge lui attribue une adresse IP. Par défaut, l’option Serveur DHCP de l’interface approuvée est activée. Pour utiliser DHCP sur le réseau approuvé : 1. À l’aide du navigateur, accédez à la page État du système. Dans la barre de navigation, sélectionnez Réseau > Approuvé. La page Configuration du réseau approuvé s’affiche. 2. Activez la case à cocher Activer le relais DHCP sur le réseau approuvé. 3. Entrez les première et dernière adresses IP disponibles pour le réseau approuvé. N’incluez pas l’adresse IP de Firebox X Edge. Les adresses IP doivent être sur le même réseau que l’adresse IP approuvée. Par exemple, si l’adresse IP approuvée est 192.168.200.1, les adresses IP peuvent être comprises entre 192.168.200.2 et 192.168.200.254. 4. Dans les zones de contrôle de valeur Jours/Heures/Minutes, définissez la durée de chaque bail DHCP fourni par Edge. 5. Si vous disposez d’un serveur WINS ou DNS, entrez l’Adresse du serveur WINS, l’Adresse principale du serveur DNS, l’Adresse secondaire du serveur DNS et le Suffixe de domaine DNS dans les zones de texte appropriées. Si vous n’entrez pas de valeurs, Firebox X Edge utilise celles du réseau externe. 6. Cliquez sur Envoyer. Guide de l’utilisateur 77 Paramètres réseau Définir les réservations d’adresse DHCP du réseau approuvé Vous pouvez attribuer manuellement la même adresse IP à un ordinateur du réseau approuvé à chaque fois qu’il demande une adresse IP DHCP. Firebox X Edge identifie l’ordinateur par son adresse MAC. 1. À l’aide du navigateur, accédez à la page État du système. Dans la barre de navigation, sélectionnez Réseau > Approuvé. La page Configuration du réseau approuvé s’affiche. 2. Cliquez sur le bouton Réservations DHCP. La page Réservations d’adresse DHCP s’affiche. 3. Entrez une adresse IP statique dans la zone de texte Adresse IP. L’adresse IP doit se trouver sur le réseau approuvé, en dehors du pool d’adresses DHCP. Par exemple, si le réseau approuvé commence par 192.168.111.1 et que le pool d’adresses DHCP est 192.168.111.2-192.168.111.200, vous pouvez entrer une adresse comprise entre 192.168.111.201 et 192.168.111.254. 4. Entrez l’adresse MAC de l’ordinateur du réseau approuvé dans la zone de texte Adresse MAC. L’adresse MAC doit comporter 12 chiffres héxadécimaux, mais pas d’espaces, de tirets ni de pointsvirgules. Cliquez sur Ajouter. 5. Cliquez sur Envoyer. 78 Firebox X Edge e-Series Paramètres réseau À propos des agents de relais DHCP Vous pouvez faire appel à un serveur DHCP sur un réseau différent afin d’obtenir des adresses IP pour les ordinateurs des réseaux approuvés ou facultatifs. Firebox peut envoyer une requête DHCP, via un tunnel VPN, d’un client DHCP à un serveur DHCP sur un site différent. Les ordinateurs du réseau approuvé ou facultatif reçoivent la réponse. Les ordinateurs installés dans différents bureaux peuvent ainsi utiliser la même plage d’adresses réseau. Dans cette procédure, Firebox est un agent de relais DHCP. Vous devez configurer un tunnel VPN entre le système Edge et le serveur DHCP. Configurer Firebox en tant qu’agent de relais DHCP Pour configurer Firebox X Edge en tant qu’agent de relais DHCP pour l’interface approuvée : 1. À l’aide du navigateur, accédez à la page État du système. Dans la barre de navigation, sélectionnez Réseau > Approuvé. La page Configuration du réseau approuvé s’affiche. 2. Activez la case à cocher Activer le relais DHCP. 3. Entrez l’adresse IP du serveur DHCP dans la zone de texte adjacente. 4. Cliquez sur Envoyer. Vous devez redémarrer Firebox X Edge pour que la nouvelle configuration soit prise en compte. Si Firebox X Edge ne peut pas se connecter au serveur DHCP au bout de 30 secondes, il utilise son propre serveur DHCP pour attribuer les adresses IP aux ordinateurs du réseau approuvé. Vous devez activer le serveur DHCP sur le réseau approuvé pour que la fonction de relais DHCP soit opérationnelle. Guide de l’utilisateur 79 Paramètres réseau Utiliser des adresses IP pour les ordinateurs approuvés Vous pouvez utiliser des adresses IP statiques pour une partie ou l’ensemble des ordinateurs de votre réseau approuvé. Si vous désactivez le serveur DHCP de Firebox X Edge et ne disposez pas d’un serveur DHCP sur votre réseau, vous devez configurer vous-même l’adresse IP et le masque de sous-réseau de chacun des ordinateurs. Cette configuration est, entre autres, nécessaire si une application logicielle client-serveur doit utiliser une adresse IP statique pour le serveur. Les adresses IP statiques doivent appartenir au même réseau que l’interface approuvée d’Edge. Les ordinateurs du réseau approuvé qui se voient attribuer des adresses IP statiques doivent utiliser l’adresse IP de l’interface approuvée d’Edge pour la passerelle par défaut. Si l’un des ordinateurs n’utilise pas Edge comme passerelle par défaut, il ne peut en principe pas se connecter au réseau externe ni à Internet. Pour désactiver le serveur DHCP de Firebox X Edge, désactivez la case à cocher Activer le serveur DHCP sur le réseau approuvé de la page Configuration du réseau approuvé, puis cliquez sur Envoyer. Autoriser des connexions sans fil à l’interface approuvée Firebox X Edge e-Series Wireless peut être configuré en tant que point d’accès sans fil avec trois zones de sécurité différentes. Vous pouvez activer les périphériques sans fil pour vous connecter à Edge Wireless en tant que membre du réseau approuvé ou du réseau facultatif. Vous pouvez également activer un réseau invité de services sans fil pour les utilisateurs d’Edge. Lorsque vous autorisez des connexions sans fil à accéder à l’interface facultative d’Edge, les périphériques sans fil disposent d’un accès total à tous les ordinateurs du réseau facultatif et du réseau approuvé et d’un accès total à Internet, conformément aux règles que vous avez configurées pour le trafic sortant sur Edge. Si vous autorisez l’accès sans fil via l’interface approuvée, il est vivement conseillé d’activer et d’utiliser la fonctionnalité de restriction MAC décrite dans la rubrique suivante pour autoriser l’accès via Edge uniquement aux périphériques qui ont été ajoutés à la liste Adresses MAC autorisées. Pour configurer Edge de manière à autoriser des connexions sans fil à accéder à l’interface approuvée, voir Autoriser des connexions sans fil au réseau approuvé. À propos de la restriction d’accès à une interface à l’aide d’une adresse MAC Vous pouvez contrôler l’accès à une interface Firebox X Edge e-Series à l’aide de l’adresse MAC du matériel. Si cette fonctionnalité est activée alors que l’adresse MAC d’un ordinateur essayant de se connecter au réseau Edge n’est pas incluse dans cette configuration, la connexion échoue. Si vous choisissez de restreindre l’accès à Edge à l’aide de l’adresse MAC, n’oubliez pas d’inclure l’adresse MAC de l’ordinateur qui sert à gérer Edge. 80 Firebox X Edge e-Series Paramètres réseau Restreindre l’accès à l’interface approuvée à l’aide d’une adresse MAC 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Réseau > Approuvé et cliquez sur l’onglet Adresses MAC autorisées. 3. Activez la case à cocher Restreindre l’accès par l’adresse MAC du matériel. Guide de l’utilisateur 81 Paramètres réseau 4. Cliquez sur Analyser pour qu’Edge détecte toutes les adresses matérielles sur le réseau. Pour qu’Edge essaie de résoudre les noms d’hôtes de tous les ordinateurs Windows détectés au cours de l’analyse, assurez-vous que la case à cocher Essayer de résoudre les noms d’hôtes Windows pendant l’analyse est activée. Dans ce cas, l’analyse peut durer plus longtemps. La boîte de dialogue Analyser le contrôle d’adresse autorisée s’affiche. 5. Sélectionnez un ou plusieurs périphériques à ajouter à la liste des adresses MAC autorisées pour cette interface. Assurez-vous que le type de support identifié est correct, car un ordinateur doté de plusieurs cartes réseau peut avoir plusieurs adresses MAC. Cliquez sur OK pour ajouter les périphériques à la liste d’adresses MAC autorisées. Maintenez enfoncée la touche CTRL pour sélectionner plusieurs périphériques. La sélection peut porter sur plusieurs colonnes à la fois. 6. Pour ajouter manuellement à votre configuration une adresse matérielle et son nom d’hôte, cliquez sur Ajouter. La boîte de dialogue Ajouter un contrôle d’adresse autorisée s’affiche. 82 Firebox X Edge e-Series Paramètres réseau 7. Activez la case à cocher Consigner les tentatives d’accès des adresses MAC ne figurant pas dans la liste pour qu’Edge génère un message du journal à chaque fois qu’un ordinateur dont l’adresse matérielle ne figure pas dans la liste essaie d’y accéder. 8. Cliquez sur Envoyer. À propos de la configuration du réseau facultatif Le réseau facultatif est un réseau isolé contenant des ressources publiques moins sécurisées. Par défaut, Firebox X Edge ne permet pas au trafic du réseau facultatif d’atteindre le réseau approuvé. Seul le trafic du réseau approuvé vers le réseau facultatif est autorisé par défaut, mais vous pouvez le restreindre. Pour plus d’informations, voir À propos des stratégies du réseau facultatif. Le trafic n’étant généralement pas autorisé entre le réseau facultatif et le réseau approuvé, vous pouvez utiliser le réseau facultatif pour les serveurs auxquels d’autres ordinateurs peuvent se connecter sur Internet, comme les serveurs de messagerie, Web ou FTP. Il est conseillé d’isoler le réseau privé des serveurs auxquels le public peut accéder. Le réseau que vous créez pour accueillir ces serveurs publics et qui est isolé de votre réseau privé est parfois désigné « DMZ » (zone démilitarisée). Si un serveur du réseau facultatif est attaqué sur Internet, l’intrus ne peut pas s’en servir pour se connecter aux ordinateurs du réseau approuvé. Le réseau approuvé est incontestablement le plus sûr pour accueillir votre réseau privé. Si votre ordinateur se trouve sur le réseau facultatif, vous pouvez vous connecter aux pages de configuration système de Firebox X Edge à l’aide de l’adresse IP de l’interface facultative. L’URL par défaut de la page État du système du réseau facultatif est : https://192.168.112.1 Vous pouvez utiliser le serveur DHCP de Firebox X Edge ou les adresses IP statiques pour les ordinateurs du réseau facultatif ou encore modifier la plage d’adresses IP de ce dernier. Guide de l’utilisateur 83 Paramètres réseau Activer le réseau facultatif 1. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Réseau > Facultatif. La page Configuration du réseau facultatif s’affiche. 3. Activez la case à cocher Activer le réseau facultatif. Vous pouvez modifier l’adresse du réseau facultatif, le cas échéant. L’adresse IP par défaut de l’interface facultative étant 192.168.112.1, le réseau approuvé et le réseau facultatif se trouvent sur deux sous-réseaux différents. L’adresse IP du réseau facultatif ne peut pas être sur le même sous-réseau que le réseau approuvé. 4. Cliquez sur Envoyer. 84 Firebox X Edge e-Series Paramètres réseau Activer le serveur DHCP sur le réseau facultatif L’option Serveur DHCP permet à Firebox X Edge d’attribuer des adresses IP aux ordinateurs du réseau facultatif. Lorsqu’il reçoit une requête DHCP d’un ordinateur du réseau facultatif, Edge lui attribue une adresse IP. Par défaut, l’option Serveur DHCP de l’interface facultative est désactivée. Pour utiliser DHCP sur le réseau facultatif : 1. À l’aide du navigateur, accédez à la page État du système. Dans la barre de navigation, sélectionnez Réseau > Facultatif. La page Configuration du réseau facultatif s’affiche. 2. Activez la case à cocher Activer le serveur DHCP sur le réseau facultatif. 3. Entrez la première et la dernière adresses IP disponibles pour le réseau facultatif. Les adresses IP doivent être sur le même réseau que l’adresse IP facultative. Par exemple, si l’adresse IP facultative est 192.168.112.1, les adresses IP peuvent être comprises entre 192.168.112.2 et 192.168.112.254. 4. Dans les zones de contrôle de valeur Jours/Heures/Minutes, définissez la durée de chaque bail DHCP fourni par Edge. 5. Si vous disposez d’un serveur WINS ou DNS, entrez l’Adresse du serveur WINS, l’Adresse principale du serveur DNS, l’Adresse secondaire du serveur DNS et le Suffixe de domaine DNS dans les champs appropriés. Si vous n’entrez pas de valeurs, Firebox X Edge utilise celles du réseau externe. 6. Cliquez sur Envoyer. Guide de l’utilisateur 85 Paramètres réseau Définir les réservations d’adresse DHCP du réseau facultatif Vous pouvez attribuer manuellement une adresse IP à un ordinateur du réseau facultatif. Firebox X Edge identifie l’ordinateur par son adresse MAC. 1. À l’aide du navigateur, accédez à la page État du système. Dans la barre de navigation, sélectionnez Réseau > Facultatif. La page Configuration du réseau facultatif s’affiche. 2. Cliquez sur le bouton Réservations DHCP. La page Réservations d’adresse DHCP s’affiche. 3. Entrez une adresse IP statique dans le champ Adresse IP. L’adresse IP doit être sur le réseau facultatif. Par exemple, si le réseau facultatif commence par 192.168.112.1, vous pouvez entrer des valeurs comprises entre 192.168.112.2 et 192.168.112.251. 4. Entrez l’adresse MAC de l’ordinateur du réseau facultatif dans le champ Adresse MAC. L’adresse MAC doit comporter 12 chiffres héxadécimaux, mais pas d’espaces, de tirets ni de points-virgules. Cliquez sur Ajouter. 5. Cliquez sur Envoyer. 86 Firebox X Edge e-Series Paramètres réseau À propos des agents de relais DHCP Vous pouvez faire appel à un serveur DHCP sur un réseau différent afin d’obtenir des adresses IP pour les ordinateurs des réseaux approuvés ou facultatifs. Firebox peut envoyer une requête DHCP, via un tunnel VPN, d’un client DHCP à un serveur DHCP sur un site différent. Les ordinateurs du réseau approuvé ou facultatif reçoivent la réponse. Les ordinateurs installés dans différents bureaux peuvent ainsi utiliser la même plage d’adresses réseau. Dans cette procédure, Firebox est un agent de relais DHCP. Vous devez configurer un tunnel VPN entre le système Edge et le serveur DHCP. Configurer Firebox en tant qu’agent de relais DHCP Pour configurer Firebox X Edge en tant qu’agent de relais DHCP pour l’interface facultative : 1. À l’aide du navigateur, accédez à la page État du système. Dans la barre de navigation, sélectionnez Réseau > Facultatif. La page Configuration du réseau facultatif s’affiche. 2. Activez la case à cocher Activer le relais DHCP sur le réseau facultatif. 3. Entrez l’adresse IP du serveur DHCP dans la zone de texte adjacente. 4. Cliquez sur Envoyer. Vous devez redémarrer Firebox X Edge pour que la nouvelle configuration soit prise en compte. Si Firebox X Edge ne peut pas se connecter au serveur DHCP au bout de 30 secondes, il utilise son propre serveur DHCP pour attribuer les adresses IP aux ordinateurs du réseau facultatif. Vous devez activer le serveur DHCP sur le réseau facultatif pour que la fonction de relais DHCP soit opérationnelle. Utiliser des adresses IP statiques pour les ordinateurs facultatifs Vous pouvez utiliser des adresses IP statiques pour une partie ou la totalité des ordinateurs du réseau facultatif. Si vous désactivez le serveur DHCP et qu’aucun serveur DHCP ne figure sur votre réseau facultatif, vous devez configurer manuellement l’adresse IP et le masque de sous-réseau de chaque ordinateur. Vous pouvez également configurer certains périphériques avec une adresse IP statique (serveur Web ou imprimante réseau, par exemple). Les adresses IP statiques doivent être sur le même réseau que l’interface facultative de Firebox X Edge. Les ordinateurs dont les adresses IP statiques se trouvent sur le réseau facultatif doivent utiliser l’adresse IP de l’interface facultative d’Edge comme passerelle ou routeur par défaut. L’accès au réseau externe ou à Internet est généralement refusé aux ordinateurs qui n’utilisent pas Edge pour la passerelle par défaut. Pour désactiver le serveur DHCP de Firebox X Edge, désactivez la case à cocher Activer le serveur DHCP sur le réseau facultatif dans la page Configuration du réseau facultatif et cliquez sur Envoyer. Guide de l’utilisateur 87 Paramètres réseau Ajouter des ordinateurs au réseau facultatif Comme il n’existe qu’un port Ethernet facultatif, vous ne pouvez connecter qu’un seul ordinateur directement à l’interface facultative de Firebox X Edge e-Series. Pour connecter plusieurs ordinateurs à l’interface facultative, utilisez un concentrateur ou un commutateur Ethernet 10/100 BaseT doté de connecteurs RJ-45. Les ordinateurs du réseau facultatif ne doivent pas obligatoirement utiliser le même système d’exploitation. Pour ajouter plusieurs ordinateurs au réseau facultatif : 1. Assurez-vous que chacun des ordinateurs dispose d’une carte Ethernet opérationnelle. 2. Configurez-les pour qu’ils puissent utiliser DHCP. Pour plus d’informations, voir Configurer l’ordinateur pour le connecter à Edge. 3. Connectez chaque ordinateur au réseau. Pour plus d’informations, voir Connecter Edge à plus de quatre périphériques. 4. Redémarrez chaque ordinateur. Autoriser des connexions sans fil à l’interface facultative Firebox X Edge e-Series Wireless peut être configuré en tant que point d’accès sans fil avec trois zones de sécurité différentes. Vous pouvez activer les périphériques sans fil pour vous connecter à Edge Wireless en tant que membre du réseau approuvé ou du réseau facultatif. Vous pouvez également activer un réseau invité de services sans fil pour les utilisateurs d’Edge. Lorsque vous autorisez des connexions sans fil à accéder à l’interface facultative d’Edge, les périphériques sans fil disposent d’un accès total à tous les ordinateurs du réseau facultatif et d’un accès total à Internet, conformément aux règles que vous avez configurées pour le trafic sortant sur Edge. Pour configurer Edge de manière à autoriser des connexions sans fil via l’interface facultative, voir À propos de la configuration sans fil. À propos de la restriction d’accès à une interface à l’aide d’une adresse MAC Vous pouvez contrôler l’accès à une interface Firebox X Edge e-Series à l’aide de l’adresse MAC du matériel. Si cette fonctionnalité est activée alors que l’adresse MAC d’un ordinateur essayant de se connecter au réseau Edge n’est pas incluse dans cette configuration, la connexion échoue. Si vous choisissez de restreindre l’accès à Edge à l’aide de l’adresse MAC, n’oubliez pas d’inclure l’adresse MAC de l’ordinateur qui sert à gérer Edge. Restreindre l’accès à l’interface facultative à l’aide d’une adresse MAC À propos des routes statiques Un route correspond à l’ensemble des périphériques que le trafic réseau traverse de la source à la destination. Un routeur est un périphérique de cet route qui détecte le point réseau suivant au travers duquel le trafic réseau est acheminé vers sa destination. Chaque routeur est connecté à deux réseaux au minimum. Un paquet peut traverser plusieurs points réseau avec des routeurs avant d’atteindre sa destination. Firebox permet de créer des routes statiques pour acheminer le trafic vers des hôtes ou des réseaux spécifiques. Le routeur peut ensuite envoyer le trafic à la destination appropriée en suivant l’route spécifié. Si vous n’ajoutez aucun route à un réseau distant, tout le trafic qui lui est destiné est envoyé à la passerelle par défaut de Firebox. Le WatchGuard Users Forum est une mine précieuse d’informations sur les routes réseau et les routeurs. 88 Firebox X Edge e-Series Paramètres réseau Ajouter un route statique 1. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Réseau > Routes. La page Routes s’affiche. 3. Cliquez sur Ajouter. La page Ajouter un route s’affiche. 4. Dans la liste déroulante Type, sélectionnez Hôte ou Réseau. Sélectionnez Réseau si un réseau complet se trouve derrière un routeur sur votre réseau local. Sélectionnez Hôte si un hôte uniquement se trouve derrière le routeur ou si vous souhaitez acheminer le trafic vers un seul hôte. 5. Entrez l’adresse IP de destination et la passerelle dans les champs appropriés. La passerelle est l’adresse IP de l’interface locale du routeur. L’adresse IP de la passerelle doit être comprise dans la plage du réseau approuvé, facultatif ou externe de Firebox X Edge. 6. Cliquez sur Envoyer. Pour supprimer un route statique, cliquez sur l’adresse IP puis sur Supprimer. Guide de l’utilisateur 89 Paramètres réseau À propos du service DNS dynamique Vous pouvez enregistrer l’adresse IP externe de Firebox auprès du service DNS dynamique « DynDNS.org ». Grâce à ce type de service, vous êtes sûr que l’adresse IP associée à votre nom de domaine change dès que votre fournisseur de services Internet attribue une nouvelle adresse IP à Firebox. Au démarrage, Firebox obtient l’adresse IP auprès de members.dyndns.org. Il vérifie qu’elle est valide à chaque redémarrage et tous les vingt jours. Si vous modifiez votre configuration DynDNS sur Firebox ou si vous changez l’adresse IP de la passerelle par défaut configurée sur votre périphérique Firebox, DynDNS.com est automatiquement mis à jour. Pour plus d’informations sur le DNS dynamique, rendez-vous sur le site http://www.dyndns.com. WatchGuard n’est pas une filiale de DynDNS.com. Créer un compte DynDNS Pour créer votre compte, consultez le site Web DynDNS à l’adresse http://www.dyndns.com. Suivez les instructions pour activer votre compte. Vous devez le faire avant de configurer Firebox pour le DNS dynamique. Configurer Firebox X Edge pour le DNS dynamique 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Réseau > DNS dynamique. La page du client DNS dynamique s’affiche. 3. Activez la case à cocher Activer le client DNS dynamique. 4. Entrez les Domaine, Nom et Mot de passe dans les champs appropriés. 90 Firebox X Edge e-Series Paramètres réseau 5. Dans la liste déroulante Système, sélectionnez le système à utiliser dans le cadre de cette mise à jour. Pour obtenir une explication de chaque option, rendez-vous sur le site http://www.dyndns.com/ services/. o L’option dyndns envoie des mises à jour pour un nom d’hôte DNS dynamique. Utilisez dyndns si votre adresse IP est dynamique ou si elle change régulièrement, par exemple. o L’option statdns envoie des mises à jour pour un nom d’hôte DNS statique. Un hôte DNS statique est une adresse IP obtenue dynamiquement qui ne change pas (en cas d’association à une adresse MAC, à un ID d’hôte DHCP ou à une adresse/connexion IP statique PPPoE, par exemple). o L’option personnalisé envoie des mises à jour pour un nom d’hôte DNS personnalisé. Les entreprises qui paient pour enregistrer leur domaine auprès de dyndns.com font souvent appel à cette option. 6. Vous pouvez entrer les options suivantes dans le champ Options et en utiliser une ou plusieurs, comme indiqué dans l’exemple ci-dessous : Pour plus d’informations, rendez-vous sur le site http://www.dyndns.com/developers/specs/ syntax.html. o L’option mx=mailexchanger& indique quel Mail eXchanger (MX) utiliser avec le nom d’hôte. o L’option backmx=YES|NO& permet de configurer le MX du paramètre précédent comme MX de secours en incluant l’hôte en tant que MX d’une valeur de préférence inférieure. o L’option wildcard=ON|OFF|NOCHG& active ou désactive les caractères génériques pour cet hôte (ON permet de les activer). o L’option offline=YES|NO définit le nom d’hôte en mode hors ligne. Vous pouvez combiner une ou plusieurs de ces options à l’aide du signe &, comme suit : &mx=backup.kunstlerandsons.com&backmx=YES&wildcard=ON 7. Cliquez sur Envoyer. Firebox X Edge ne fonctionne qu’avec le service DNS dynamique DynDNS.com. Guide de l’utilisateur 91 Paramètres réseau Configurer Firebox pour qu’il utilise BIDS En Australie, les clients de Telstra doivent utiliser un logiciel client pour se connecter au réseau BigPond. Firebox X Edge e-Series utilise BIDS pour établir cette connexion. Si vous ne vous connectez pas au réseau BigPond, il est inutile d’utiliser BIDS. Pour configurer Firebox de sorte qu’il se connecte au réseau BigPond avec BIDS : 1. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Réseau > BIDS. La page Client BIDS s’ouvre. 3. Pour utiliser BIDS, activez la case à cocher Activer(WAN1). 4. Entrez les informations de connexion dans les zones de texte Nom d’utilisateur et Mot de passe. 5. Cliquez sur Envoyer. À propos de l’utilisation de plusieurs interfaces externes Avec Firebox, vous pouvez bénéficier d’une redondance pour l’interface externe. Les entreprises ont recours à cette option si elles doivent être constamment connectées à Internet. Si vous disposez d’une licence Edge Pro pour Firebox X Edge et d’une seconde connexion Internet, vous pouvez configurer une seconde interface externe sur Edge. Si vous disposez d’une seconde connexion haut débit, libre à vous de configurer Edge avec l’option de basculement WAN ou l’option d’équilibrage de charge de type tourniquet. Si votre seconde connexion Internet est un modem série avec une connexion Internet d’accès à distance, vous devez utiliser l’option de basculement WAN. Si vous souhaitez acheter une mise à niveau Edge Pro pour votre périphérique Firebox X Edge, contactez votre revendeur ou visitez la boutique en ligne de WatchGuard à l’adresse suivante : https://www.watchguard.com/store. Il n’est pas nécessaire de configurer de nouvelles stratégies si vous faites appel à une seconde interface externe. La seconde interface utilise les mêmes stratégies et propriétés réseau que l’interface externe principale. 92 Firebox X Edge e-Series Paramètres réseau Options de configuration de plusieurs WAN Si vous disposez d’un logiciel Edge Pro pour Firebox X Edge e-Series, vous pouvez configurer une seconde interface externe pour Edge. Vous pouvez choisir parmi deux options de configuration pour contrôler la façon dont Edge achemine le trafic via la seconde interface externe. Basculement WAN Lorsque vous configurez Edge avec un basculement WAN, il envoie l’ensemble du trafic via l’interface externe principale. Si cette dernière n’est pas active, Edge achemine le trafic via la seconde interface externe. Firebox X Edge e-Series fait appel à deux procédures pour déterminer si l’interface externe est fonctionnelle : L’état de la liaison entre l’interface externe et le périphérique auquel elle est connectée (en principe un routeur) Une requête ping envoyée à une adresse particulière Firebox X Edge envoie une requête ping à la passerelle par défaut ou à l’ordinateur spécifié par l’administrateur. Si aucune réponse n’est obtenue, Edge bascule sur l’interface externe secondaire WAN2. Lorsque vous activez l’option de basculement WAN, Firebox X Edge e-Series se comporte comme suit : Si la connexion de l’interface WAN1 est inactive, Edge utilise l’interface WAN2. Si la connexion de l’interface WAN2 est inactive, Edge utilise l’interface WAN1. Si la connexion de l’interface WAN1 et celle de l’interface WAN2 sont toutes les deux inactives, Edge tente d’utiliser les deux interfaces jusqu’à ce qu’il établisse une connexion. Lorsque l’interface WAN2 est utilisée, Firebox X Edge surveille l’interface principale WAN1. Si la connexion de l’interface WAN1 redevient active, Edge bascule automatiquement sur l’interface WAN1. Multi-WAN Lorsque vous configurez Edge pour qu’il fonctionne en mode multi-WAN avec l’option d’équilibrage de charge de type tourniquet, Firebox inspecte sa table de routage interne afin de rechercher un route spécifique pour chaque connexion. Si aucun route n’est trouvé, Firebox répartit la charge de trafic entre ses deux interfaces externes. Si vous sélectionnez Équilibrage de charge de tourniquet pondéré, servez-vous du curseur pour définir le pourcentage de trafic qui devra être acheminé via chaque interface. Lorsque vous configurez Edge pour qu’il fonctionne en mode multi-WAN avec l’option d’équilibrage de charge de type tourniquet, Edge continue à surveiller l’état de chaque interface. Si l’une des interfaces n’est pas active, Edge achemine l’ensemble du trafic via l’autre interface. À propos du mode multi-WAN et de DNS Si vous configurez plusieurs interfaces externes sur votre périphérique Edge, il est préférable d’entrer deux adresses de serveur DNS lorsque vous définissez les paramètres du réseau approuvé et du réseau facultatif. Certains fournisseurs de services Internet (FSI) n’autorisent des requêtes sur leurs serveurs DNS que si elles proviennent du réseau du FSI. Si vous ne remplissez pas les informations de serveur DNS dans les paramètres DHCP du réseau approuvé, Edge continue à utiliser le serveur DNS de WAN1 après avoir basculé sur WAN2. Si le FSI de WAN2 refuse ce serveur DNS, le basculement WAN ne fonctionne pas. Pour résoudre ce problème, entrez l’adresse du serveur DNS pour le FSI de WAN1 en tant qu’adresse principale. Entrez l’adresse du serveur DNS pour le FSI de WAN2 en tant qu’adresse secondaire. Lorsque Edge bascule de WAN1 vers WAN2, il interroge le serveur DNS utilisé par le FSI de l’interface WAN1. S’il est refusé, Edge utilise le serveur DNS secondaire. Guide de l’utilisateur 93 Paramètres réseau Configurer une seconde interface externe pour une connexion haut débit 1. Si vous utilisez une connexion statique à Internet, sélectionnez Configuration manuelle dans la liste déroulante Mode de configuration. Si vous utilisez DHCP pour vous connecter au réseau externe, sélectionnez Client DHCP dans la liste déroulante Mode de configuration. Si vous utilisez PPPoE pour vous connecter à Internet, sélectionnez Client PPPoE dans la liste déroulante Mode de configuration. 2. Ajoutez les informations requises pour le type de connexion que vous utilisez. Pour plus d’informations, voir Si votre FSI utilise DHCP, Si votre FSI utilise des adresses IP statiques ou Si votre FSI utilise PPPoE. 3. Cliquez sur Envoyer. Configurer les paramètres WAN2 avancés Vous pouvez configurer d’autres paramètres pour la seconde interface WAN (WAN2) dans l’onglet Avancé situé en dessous de WAN2. 1. Dans la liste déroulante Vitesse de la connexion, sélectionnez Automatique pour qu’Edge sélectionne la vitesse réseau la plus élevée. Vous pouvez également sélectionner l’une des vitesses semi-duplex ou duplex intégral si l’une ou l’autre est compatible avec votre système. Il est fortement recommandé de ne pas changer ce paramètre sauf si le service de support technique vous l’a conseillé. Si vous définissez manuellement la vitesse de connexion, un conflit risque de se produire avec la carte réseau au cours de la restauration. Dans ce cas, l’interface WAN1 ne pourra plus se reconnecter. 2. À l’aide du contrôle de valeur Unité maximale de transmission (MTU), sélectionnez la taille maximale de paquet, en octets, prise en charge par l’interface. Il est conseillé d’utiliser la valeur par défaut (1 500 octets), sauf si votre matériel de réseau requiert une taille de paquet différente. 94 Firebox X Edge e-Series Paramètres réseau 3. Pour remplacer l’adresse MAC, activez la case à cocher Activer l’adresse MAC de remplacement, puis entrez la nouvelle adresse MAC dans le champ Adresse MAC de remplacement. Certains FSI utilisent une adresse MAC pour identifier les ordinateurs présents sur leur réseau. Chaque adresse MAC obtient une adresse IP statique. Si votre FSI fait appel à cette méthode pour identifier votre ordinateur, vous devez modifier l’adresse MAC de l’interface externe de Firebox X Edge. Utilisez l’adresse MAC du modem câble, du modem ADSL ou du routeur qui s’est directement connecté au FSI dans la configuration d’origine. Configurer Edge de sorte qu’il utilise l’équilibrage de charge de type tourniquet 1. Dans la barre de navigation, sélectionnez Réseau > Externe. Si vous disposez d’une licence Edge Pro, vous pouvez voir les options permettant de configurer Edge en mode multi-WAN. 2. Activez la case à cocher Utiliser multi-WAN. 3. Sélectionnez la méthode qu’Edge devra utiliser pour router le trafic entre les deux interfaces externes. Si vous sélectionnez Équilibrage de charge de tourniquet, Edge tente d’équilibrer, dans des proportions égales, le trafic entre les deux interfaces. Si vous sélectionnez Équilibrage de charge de tourniquet pondéré, servez-vous du curseur pour définir le pourcentage de trafic qui devra être routé via chaque interface. 4. Configurez la seconde interface externe comme décrit dans Configurer une seconde interface externe pour une connexion haut débit. 5. En dessous des Paramètres multi-WAN, entrez les adresses IP des hôtes auxquels vous souhaitez envoyer des requêtes ping pour tester les interfaces WAN1 (externe) et WAN2 (de basculement). Firebox X Edge envoie des requêtes ping aux adresses IP que vous entrez ici. Si les requêtes ping envoyées à l’hôte de ce réseau échouent, Edge bascule sur l’autre WAN. C’est vous qui déterminez la fréquence d’envoi de requêtes ping dans les champs ci-dessous. 6. Entrez le nombre de secondes entre deux envois de requêtes ping et le nombre de secondes correspondant au délai d’attente d’une réponse. Guide de l’utilisateur 95 Paramètres réseau 7. Entrez le nombre maximal de requêtes ping avant expiration du délai d’attente dans le champ Nombre de réponses max.. 8. Entrez le nombre minimal de requêtes ping devant être réussies avant que Firebox X Edge ne rebascule sur l’interface WAN1 dans le champ Réponses ping nécessaires à la restauration. Configurer le basculement WAN Si vous disposez d’une licence Edge Pro, vous pouvez configurer votre périphérique Firebox X Edge de sorte qu’il fonctionne en mode de basculement WAN et utiliser une seconde interface externe pour une connexion Internet haut débit. Pour configurer le réseau de basculement WAN : 1. Connectez l’une des extrémités d’un câble Ethernet à l’interface WAN2. Connectez l’autre extrémité au périphérique qui fournit la connexion réseau externe secondaire. Il peut s’agit d’un modem câble ou d’un concentrateur. 2. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 3. Configurez le réseau de basculement à l’aide de l’Assistant WAN Failover Setup Wizard ou depuis la page Réseau des pages de configuration, de la manière décrite dans les rubriques Activer le basculement WAN à l’aide de l’Assistant Setup Wizard et Configurer les paramètres de basculement. Activer le basculement WAN dans l’Assistant Setup Wizard 1. Dans la barre de navigation, sélectionnez Assistants. 2. En regard de la zone Configurez la fonction de basculement WAN automatique de votre périphérique Firebox Edge, cliquez sur OK. 3. Suivez les instructions à l’écran. L’Assistant WAN Failover Setup Wizard comporte les étapes suivantes : Bienvenue Le premier écran vous présente l’Assistant. Sélectionnez l’interface secondaire. Dans cet écran, définissez l’interface secondaire que votre périphérique Firebox X Edge utilise. Configurez l’interface modem ou haut débit. Utilisez cet écran pour configurer l’interface secondaire. Identifiez les ordinateurs à connecter. Entrez les adresses IP des ordinateurs auxquels Firebox X Edge peut se connecter. L’Assistant WAN Failover Setup Wizard est terminé. Vous devez redémarrer Firebox X Edge pour activer la fonctionnalité de basculement WAN. 96 Firebox X Edge e-Series Paramètres réseau Utilisez les paramètres de basculement pour définir les adresses IP des ordinateurs auxquels Edge doit envoyer des requêtes ping pour déterminer si les interfaces WAN sont actives ou non. 1. Dans la barre de navigation, sélectionnez Réseau > Externe. Si vous disposez d’une licence Edge Pro, vous pouvez voir les paramètres de basculement au bas de la page. 2. Activez la case à cocher Activer le basculement à l’aide de l’interface Ethernet (WAN2). 3. Entrez les adresses IP des hôtes auxquels vous souhaitez envoyer une requête ping pour tester les interfaces WAN1 (externe) et WAN2 (de basculement). Firebox X Edge envoie des requêtes ping aux adresses IP que vous entrez ici. Si les requêtes ping envoyées à l’hôte de ce réseau échouent, le basculement est déclenché. C’est vous qui déterminez la fréquence d’envoi des requêtes ping dans les champs ci-dessous. 4. Entrez le nombre de secondes entre deux envois de requête ping et le nombre de secondes correspondant au délai d’attente d’une réponse. 5. Entrez le nombre maximal de requêtes ping avant expiration du délai d’attente dans le champ Nombre de réponses max.. 6. Entrez le nombre minimal de requêtes ping qui doivent réussir avant que Firebox X Edge ne rebascule sur l’interface WAN1 dans le champ Réponses ping nécessaires à la restauration. Configurer Edge pour qu’il prenne en charge le basculement vers un modem série 1. Dans la barre de navigation, sélectionnez Réseau > Externe. Si vous disposez d’une licence Edge Pro, vous pouvez voir les options permettant de configurer Edge en mode multi-WAN. 2. Activez la case à cocher Utiliser le basculement multi-WAN. 3. Une fois que vous avez configuré WAN1, dans la liste Basculer vers cette interface, sélectionnez Modem. 4. Définissez les paramètres de configuration du modem (port série) comme décrit dans les rubriques de cette section. Guide de l’utilisateur 97 Paramètres réseau 5. Pour vérifier la connectivité de l’interface, Edge envoie régulièrement des requêtes ping à l’adresse IP que vous spécifiez. En dessous de la zone Paramètres de basculement, entrez les adresses IP auxquelles Edge doit envoyer des requêtes ping pour les interfaces WAN1 (externe) et WAN2 (de basculement) dans les champs correspondants. 6. Dans la zone de texte Intervalle ping, entrez la fréquence à laquelle Firebox doit envoyer des requêtes ping pour vérifier la connectivité des interfaces. 7. Dans la zone de texte Expiration du temps de réponse, entrez la durée en secondes pendant laquelle Edge doit attendre pour obtenir une réponse. Si aucune réponse n’est renvoyée dans le délai imparti, la requête ping échoue. 8. Dans la zone de texte Nombre de réponses max., entrez le nombre de requêtes ping en échec avant l’expiration du délai de réponse. Lorsque cette limite est atteinte, le basculement WAN est déclenché. 9. Dans la zone de texte Réponses ping nécessaires à la restauration, entrez le nombre minimal de requêtes ping devant être réussies avant que Firebox X Edge ne rebascule sur l’interface WAN1. Configurer le modem pour qu’il fonctionne avec un basculement WAN Utilisez les paramètres disponibles dans la zone Configuration du modem (port série) de la page Réseau > Externe pour configurer votre modem externe de sorte qu’il prenne en charge le basculement. Edge a été testé avec les modems suivants : Modem fax série Hayes 56K V.90 Zoom FaxModem 56K modèle 2949 Modem externe U.S. Robotics 5686 Modem série Creative Modem Blaster V.92 MultiTech 56K Data/Fax Modem International Paramètres du compte d’accès à distance 1. Dans la zone de texte Téléphone, entrez le numéro de téléphone de votre fournisseur de services Internet (FSI). Si vous disposez d’un autre numéro de téléphone, entrez-le en dessous du numéro principal. 2. Dans la zone de texte Nom de compte, entrez le nom du compte d’accès à distance. 3. Si vous vous connectez à votre compte avec un nom de domaine (par ex. msn.com), entrez-le dans la zone de texte Domaine du compte. 4. Dans la zone de texte Mot de passe du compte, entrez le mot de passe que vous utilisez pour vous connecter à votre compte d’accès à distance. 98 Firebox X Edge e-Series Paramètres réseau 5. N’activez la case à cocher Activer le modem et la trace de débogage PPP que si vous rencontrez des difficultés à vous connecter. Lorsque cette option est sélectionnée, Edge envoie des journaux détaillés pour la fonctionnalité de basculement vers un modem série dans le fichier journal des événements. 6. Cliquez sur Envoyer ou sélectionnez un autre onglet pour modifier d’autres paramètres. Paramètres DNS Si votre FSI d’accès à distance n’attribue pas d’adresses IP de serveur DNS ou si vous devez utiliser un autre serveur DNS, vous pouvez entrer vous-même les adresses IP du serveur DNS qui sera utilisé en cas de basculement. 1. Activez la case à cocher Configurer manuellement les adresses IP du serveur DNS. 2. Dans la zone de texte Serveur DNS principal, entrez l’adresse IP du serveur DNS principal. Si vous disposez d’un serveur DNS secondaire, entrez son adresse dans la zone de texte Serveur DNS secondaire. 3. Si nécessaire, modifiez le paramètre MTU. La plupart des utilisateurs n’ont pas besoin de modifier ce paramètre. 4. Cliquez sur Envoyer ou sélectionnez un autre onglet pour modifier d’autres paramètres. Guide de l’utilisateur 99 Paramètres réseau Paramètres d’accès à distance 1. Dans la zone de texte Délai d’attente de l’appel, entrez le nombre de secondes avant expiration du délai d’attente si votre modem ne parvient pas à se connecter. 2. Dans la zone de texte Tentatives de rappel, entrez le nombre de fois qu’Edge tente de rappeler le numéro si votre modem ne parvient pas à se connecter. 3. Dans la zone de texte Délai d’inactivité, entrez la durée en minutes avant l’expiration du délai si aucun trafic n’accède au modem. 4. Utilisez le contrôle Volume du haut-parleur pour définir le volume de votre haut-parleur. 5. Cliquez sur Envoyer ou sélectionnez un autre onglet pour modifier d’autres paramètres. À propos des réseaux locaux virtuels (VLAN) Un VLAN (réseau local virtuel) 802.1Q est un ensemble d’ordinateurs appartenant à un LAN ou à des LAN regroupés indépendamment de leur emplacement physique. Lorsque vous créez un VLAN, vous créez une interface réseau logicielle que vous pouvez utiliser dans vos configurations. Les VLAN permettent de : Regrouper des périphériques par caractéristiques de trafic et non pas par proximité Scinder votre réseau en segments logiques et hiérarchiques Contrôler les caractéristiques du trafic réseau Améliorer les performances et l’évolutivité du réseau Étant donné que vous pouvez créer plusieurs VLAN sur votre réseau, chacun des commutateurs du réseau doit être en mesure d’identifier le VLAN associé à chaque paquet réseau. Un commutateur prenant en charge les VLAN insère quatre octets de données, appelés indicateur, dans l’en-tête Ethernet des paquets qui proviennent d’un VLAN. Les autres commutateurs du réseau peuvent utiliser ces indicateurs pour envoyer des paquets à la bonne destination. Si vous disposez d’une licence Edge Pro pour votre périphérique Firebox X Edge e-Series, vous pouvez configurer Edge de sorte à insérer des indicateurs VLAN pour les paquets envoyés à un commutateur prenant en charge les VLAN sur une ou plusieurs interfaces réseau. 100 Firebox X Edge e-Series Paramètres réseau Ajouter un indicateur VLAN à l’interface externe Pour marquer le trafic envoyé à l’interface externe sur Edge comme appartenant à un VLAN : 1. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Réseau > Externe. La page Configuration du réseau externe s’ouvre. 3. Cliquez sur l’onglet Avancé. 4. Activez la case à cocher Activer le trafic VLAN. Vous devez disposer d’une licence Edge Pro pour pouvoir utiliser la fonctionnalité de marquage VLAN. 5. Entrez l’ID du VLAN que vous souhaitez utiliser dans la zone de texte ID d’indicateur VLAN. 6. Cliquez sur Envoyer pour enregistrer les modifications. Ajouter un indicateur VLAN à l’interface approuvée ou à l’interface facultative Pour marquer le trafic envoyé à l’interface approuvée ou à l’interface facultative sur Edge comme appartenant à un VLAN : 1. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Réseau > Approuvé ou Réseau > Facultatif. La page Configuration du réseau approuvé ou facultatif s’ouvre. 3. Activez la case à cocher Activer le trafic VLAN. Vous devez disposer d’une licence Edge Pro pour pouvoir utiliser la fonctionnalité de marquage VLAN. 4. Entrez l’ID du VLAN que vous souhaitez utiliser dans la zone de texte ID d’indicateur VLAN. 5. Cliquez sur Envoyer pour enregistrer les modifications. Guide de l’utilisateur 101 Paramètres réseau 102 Firebox X Edge e-Series 6 Configuration sans fil À propos de la configuration sans fil Firebox X Edge e-Series sans fil peut être configuré en tant que point d’accès sans fil avec trois zones de sécurité différentes. Vous pouvez activer les périphériques sans fil pour vous connecter à Edge sans fil en tant que membre du réseau approuvé ou du réseau facultatif. Vous pouvez également activer un réseau invité de services sans fil pour les utilisateurs d’Edge. Les ordinateurs se connectent au réseau invité par le biais d’Edge mais ne peuvent pas accéder aux ordinateurs sur les réseaux approuvé ou facultatif. Avant de commencer Edge sans fil est conforme aux normes 802.11b et 802.11g définies par l’IEEE (Institute of Electrical and Electronics Engineers). Précautions à prendre lors de l’installation de Firebox X Edge e-Series sans fil : Veillez à installer Firebox X Edge sans fil à un minimum de 20 centimètres de toute personne. Il s’agit d’une exigence de la FCC (Federal Communications Commission) concernant les émetteurs de faible puissance. Il apparaît judicieux d’éloigner Edge sans fil des antennes ou des émetteurs pour réduire les interférences. L’algorithme d’authentification sans fil par défaut configuré pour chaque zone de sécurité sans fil n’offre pas la solution la plus sécurisée. Il est recommandé d’augmenter le niveau d’authentification à WPA2 si vous êtes sûr que les périphériques sans fil qui se connectent à Edge peuvent fonctionner correctement avec WPA2. Un client sans fil qui se connecte à Edge à partir d’un réseau approuvé ou facultatif peut faire partie de n’importe quel tunnel VPN de succursale dans lequel le composant de réseau local des paramètres de phase 2 inclut des adresses IP de réseau facultatif ou approuvé. Pour contrôler l’accès au tunnel VPN, vous pouvez forcer les utilisateurs de Firebox X Edge à s’authentifier. Pour configurer les utilisateurs sans fil comme appartenant à votre réseau approuvé ou facultatif, suivez les instructions figurant dans ce chapitre. Si vous souhaitez configurer un réseau invité sans fil, voir Activer un réseau invité sans fil manuellement ou utilisez l’Assistant Wireless Guest Setup Wizard dans la page dédiée aux Assistants. Guide de l’utilisateur 103 Configuration sans fil À propos des paramètres de configuration sans fil Lorsque vous activez l’accès sans fil au réseau invité approuvé, facultatif ou sans fil, certains paramètres de configuration sont communs aux trois zones de sécurité. Modifier l’identificateur SSID L’identificateur SSID (Service Set Identifier) est le nom unique de votre réseau sans fil. Pour utiliser le réseau sans fil à partir d’un ordinateur client, la carte réseau sans fil de l’ordinateur doit posséder le même identificateur SSID que le réseau Firebox X Edge e-Series sans fil auquel l’ordinateur se connecte. Edge attribue automatiquement un identificateur SSID à chaque réseau sans fil. Cet identificateur SSID utilise un format qui contient le nom de l’interface et une partie du numéro de série d’Edge (du 5e au 9e chiffre). Pour modifier l’identificateur SSID d’une interface Edge, tapez un nouveau nom dans le champ SSID pour identifier de manière unique votre réseau sans fil. Activer/Désactiver les diffusions SSID Les ordinateurs équipés de cartes réseau sans fil envoient des requêtes pour vérifier s’il existe des points d’accès sans fil auxquels ils peuvent se connecter. Pour configurer une interface sans fil Edge dans le but d’envoyer ces requêtes et d’y répondre, activez la case à cocher Diffuser l’identification SSID et répondre aux requêtes SSID. Pour des raisons de sécurité, activez cette option uniquement lorsque vous configurez des ordinateurs sur votre réseau afin de les connecter à Edge. Désactivez cette option une fois que tous les clients sont configurés. Si vous utilisez la fonction des services invités sans fil, il peut être nécessaire d’autoriser les diffusions SSID au cours d’une opération standard. 104 Firebox X Edge e-Series Configuration sans fil Enregistrer les événements d’authentification Un événement d’authentification se produit lorsqu’un ordinateur sans fil tente de se connecter à une interface sans fil Edge. Pour qu’Edge enregistre ces événements dans le fichier journal, activez la case à cocher Enregistrer les événements d’authentification. Modifier le seuil de fragmentation Firebox X Edge e-Series sans fil vous permet de définir la taille maximale de la trame pouvant être envoyée sans être fragmentée. Il s’agit du seuil de fragmentation. Ce paramètre change rarement. Il est défini par défaut sur la taille maximale de trame de 2 346, ce qui signifie qu’aucune trame envoyée à des clients sans fil n’est fragmentée. Il s’agit de la configuration la plus adaptée à la plupart des environnements. Pour plus d’informations concernant le paramètre de seuil de fragmentation, consultez le forum aux questions à l’adresse : https://www.watchguard.com/support/faqs/edge. Vous devez vous connecter à votre compte LiveSecurity pour consulter ce forum aux questions. Modifier le seuil RTS RTS/CTS (Request To Send/Clear To Send) est une fonction qui permet d’éviter les problèmes susceptibles de se produire lorsque des clients sans fil reçoivent des signaux provenant de plusieurs points d’accès sans fil sur le même canal. Ce problème est parfois connu sous le nom de « nSud masqué ». Il est déconseillé de modifier le seuil RTS par défaut. Attribuer au seuil RTS la valeur par défaut 2 346 revient en fait à désactiver RTS/CTS. Si vous devez modifier le seuil RTS, ajustez-le de manière incrémentielle. Commencez par le diminuer un peu à chaque fois. Après chaque diminution, attendez le temps nécessaire pour déterminer si les performances réseau ont été améliorées avant de modifier le seuil une nouvelle fois. Diminuer cette valeur de manière excessive risque d’accroître la latence du réseau. En effet, si les demandes d’envoi sont trop nombreuses, le support partagé est sollicité plus souvent que nécessaire. Guide de l’utilisateur 105 Configuration sans fil À propos des paramètres de sécurité sans fil Firebox X Edge e-Series sans fil utilise trois normes de protocoles de sécurité pour protéger les réseaux sans fil. Il s’agit de WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) et WPA2. Chaque norme de protocole peut chiffrer les transmissions sur le réseau local (LAN) sans fil entre les ordinateurs et les points d’accès. Elles peuvent également empêcher l’accès non autorisé au point d’accès sans fil. Les normes WEP et WPA utilisent des clés pré-partagées, alors que les normes WPA et WPA2 utilisent un algorithme pour modifier la clé de chiffrement à intervalles réguliers. Les données transmises via une connexion sans fil sont ainsi plus sécurisées. Pour protéger la confidentialité, vous pouvez associer ces fonctionnalités à d’autres mécanismes de sécurité LAN, tels que la protection par mot de passe, les tunnels VPN et l’authentification utilisateur. Définir la méthode d’authentification sans fil Firebox X Edge e-Series sans fil propose cinq méthodes d’authentification. Il est recommandé d’utiliser WPA2 si possible car il s’agit de la méthode la plus sécurisée. Voici les cinq méthodes disponibles (de la moins sécurisée à la plus sécurisée) : Système ouvert L’authentification à système ouvert permet à tout utilisateur de s’authentifier auprès du point d’accès. Cette méthode peut être appliquée sans chiffrement ou avec un chiffrement WEP. Clé partagée Dans l’authentification à clé partagée, seuls les clients sans fil qui disposent de la clé partagée peuvent se connecter. L’authentification à clé partagée ne peut être utilisée qu’avec le chiffrement WEP. WPA UNIQUEMENT (PSK) Lorsque vous utilisez l’authentification WPA (Wi-Fi Protected Access) avec des clés pré-partagées, chaque utilisateur sans fil se voit attribuer le même mot de passe pour s’authentifier auprès du point d’accès sans fil. WPA/WPA2 (PSK) Lorsque vous sélectionnez l’authentification WPA/WPA2 (PSK), Edge accepte les connexions provenant de périphériques sans fil configurés pour utiliser WPA ou WPA2. WPA2 UNIQUEMENT (PSK) La méthode d’authentification WPA2 avec clés pré-partagées implémente l’intégralité de la norme 802.11i et offre la meilleure sécurité. Elle ne fonctionne pas avec certaines cartes réseau sans fil plus anciennes. Définir le niveau de chiffrement Dans la liste déroulante Chiffrement, sélectionnez le niveau de chiffrement de vos connexions sans fil. Les options varient en fonction des différents mécanismes d’authentification que vous utilisez. Edge crée automatiquement pour vous une clé de chiffrement aléatoire, si nécessaire. Vous pouvez vous en servir ou la remplacer par une clé de votre choix. Tous les clients sans fil doivent utiliser cette même clé lorsqu’ils se connectent à Edge. 106 Firebox X Edge e-Series Configuration sans fil Authentification à clé partagée et à système ouvert Les options de chiffrement pour l’authentification à système ouvert et à clé partagée sont WEP 64 bits hexadécimal, WEP 40 bits ASCII, WEP 128 bits hexadécimal et WEP 128 bits ASCII. Si vous choisissez l’authentification à système ouvert, vous pouvez également ne sélectionner aucun chiffrement. 1. Si vous utilisez le chiffrement WEP, tapez des caractères hexadécimaux ou ASCII dans les zones de texte Clé. Certains pilotes de carte réseau sans fil ne prennent pas en charge les caractères ASCII. Vous disposez de quatre clés au maximum. o Une clé WEP 64 bits hexadécimale doit comporter 10 caractères hexadécimaux (0-f). o Une clé WEP 40 bits ASCII doit comporter 5 caractères. o Une clé WEP 128 bits hexadécimale doit comporter 26 caractères hexadécimaux (0-f). o Une clé WEP 128 bits ASCII doit comporter 13 caractères. 2. Si vous avez tapé plusieurs clés, cliquez sur celle à utiliser par défaut dans la liste déroulante Index de clé. Firebox X Edge e-Series sans fil ne peut utiliser qu’une seule clé à la fois. Si vous sélectionnez une clé autre que la première de la liste, vous devez également configurer le client sans fil pour qu’il utilise la même clé. Authentification WPA-PSK et WPA2-PSK Les options de chiffrement pour l’authentification WPA-PSK et WPA2-PSK sont TKIP, AES et Auto. Il est recommandé de définir l’option de chiffrement sur Auto pour que Firebox X Edge e-Series sans fil accepte les paramètres TKIP et AES. Guide de l’utilisateur 107 Configuration sans fil À propos des connexions sans fil à l’interface approuvée Si vous activez les connexions sans fil à l’interface approuvée, il est recommandé d’activer et d’utiliser la fonction d’Edge qui vous permet de restreindre l’accès à l’interface approuvée par le biais de l’adresse MAC. Cette fonction empêche les utilisateurs de se connecter à Edge à partir d’ordinateurs non autorisés qui pourraient contenir des virus ou des logiciels espions. Pour plus d’informations sur la liste des adresses MAC autorisées, voir Restreindre l’accès à l’interface approuvée par le biais de l’adresse MAC. Autoriser les connexions sans fil à l’interface approuvée 1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Réseau > Approuvé. Sélectionnez l’onglet Sans fil. 3. Activez la case à cocher Activer le pont sans fil sur le réseau approuvé pour activer l’interface approuvée Edge en tant que point d’accès sans fil. Tous les clients sans fil sur le réseau approuvé bénéficient de l’accès complet aux ordinateurs sur les réseaux approuvé et facultatif et de l’accès à Internet défini dans les règles de pare-feu sortantes sur Edge. Si le client sans fil définit l’adresse IP sur sa carte réseau sans fil avec le protocole DHCP, le serveur DHCP sur le réseau approuvé Edge doit être actif et configuré. 4. Pour configurer l’interface sans fil Edge dans le but d’envoyer des requêtes SSID et d’y répondre, activez la case à cocher Diffuser l’identification SSID et répondre aux requêtes SSID. 5. Activez la case à cocher Enregistrer les événements d’authentification si vous souhaitez qu’Edge envoie un message au fichier journal chaque fois qu’un ordinateur sans fil tente de se connecter à l’interface approuvée Edge. 6. Dans la zone de texte Nom du réseau (SSID), tapez un nom unique pour le réseau approuvé sans fil Edge ou utilisez le nom par défaut. 7. Pour modifier le seuil de fragmentation, tapez une valeur dans le champ Seuil de fragmentation. Les valeurs possibles sont comprises entre 256 et 2 346. Il est déconseillé de modifier ce paramètre. 108 Firebox X Edge e-Series Configuration sans fil 8. Dans la liste déroulante Authentification, sélectionnez le type d’authentification à activer pour les connexions sans fil à l’interface approuvée. Il est conseillé d’utiliser le mode d’authentification WPA2 si les périphériques sans fil du réseau le prennent en charge. 9. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement à utiliser pour la connexion sans fil et ajoutez les clés ou les mots de passe requis pour le type de chiffrement choisi. Lorsque vous sélectionnez une option de chiffrement avec des clés pré-partagées, une clé pré-partagée aléatoire est générée pour vous. Vous pouvez utiliser cette clé ou entrer votre propre clé. 10. Pour n’autoriser que les utilisateurs sans fil qui se servent de VPN mobile with IPSec, activez la case à cocher Exiger des connexions VPN mobile with IPSec chiffrées pour les clients sans fil. 11. Cliquez sur Envoyer pour enregistrer votre configuration dans Firebox X Edge e-Series sans fil. Guide de l’utilisateur 109 Configuration sans fil Autoriser les connexions sans fil à l’interface facultative 1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Réseau > Facultatif. Sélectionnez l’onglet Sans fil. 3. Activez la case à cocher Activer le pont sans fil sur le réseau facultatif pour activer l’interface facultative Edge en tant que point d’accès sans fil. Tous les clients sans fil sur le réseau facultatif bénéficient de l’accès complet aux ordinateurs du réseau facultatif et de l’accès à Internet défini dans les règles de pare-feu sortantes sur Edge. Si le client sans fil définit l’adresse IP sur sa carte réseau sans fil avec le protocole DHCP, le serveur DHCP sur le réseau facultatif Edge doit être actif et configuré. 4. Pour configurer l’interface sans fil Edge dans le but d’envoyer des requêtes SSID et d’y répondre, activez la case à cocher Diffuser l’identification SSID et répondre aux requêtes SSID. 5. Activez la case à cocher Enregistrer les événements d’authentification si vous souhaitez qu’Edge envoie un message au fichier journal chaque fois qu’un ordinateur sans fil tente de se connecter à l’interface facultative Edge. 110 Firebox X Edge e-Series Configuration sans fil 6. Dans la zone de texte Nom de réseau (SSID), tapez un nom unique pour le réseau facultatif sans fil Edge ou utilisez le nom par défaut. 7. Pour modifier le seuil de fragmentation, tapez une valeur dans le champ Seuil de fragmentation. Les valeurs possibles sont comprises entre 256 et 2 346. Il est déconseillé de modifier ce paramètre. 8. Dans la liste déroulante Authentification, sélectionnez le type d’authentification à activer pour les connexions sans fil à l’interface facultative. Il est conseillé d’utiliser le mode d’authentification WPA2 si les périphériques sans fil du réseau le prennent en charge. 9. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement à utiliser pour la connexion sans fil et ajoutez les clés ou les mots de passe requis pour le type de chiffrement choisi. Lorsque vous sélectionnez une option de chiffrement avec des clés pré-partagées, une clé pré-partagée aléatoire est générée pour vous. Vous pouvez utiliser cette clé ou entrer votre propre clé. 10. Cliquez sur Envoyer pour enregistrer les modifications de la configuration. Activer un réseau invité sans fil manuellement Vous pouvez également utiliser l’Assistant Wireless Guest Network Configuration Wizard disponible dans la page des Assistants du menu de configuration Edge. 1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Réseau > Invité sans fil. Guide de l’utilisateur 111 Configuration sans fil 3. Sous l’onglet Paramètres, activez la case à cocher Activer le réseau invité sans fil pour autoriser les connexions sans fil à Internet via Edge selon les règles configurées pour l’accès sortant sur Edge. Ces ordinateurs ne peuvent pas accéder aux ordinateurs sur le réseau approuvé ou facultatif. 4. Edge doit assigner le réseau invité sans fil, l’adresse IP et le masque de sous-réseau. L’adresse IP par défaut est 192.168.113.1. Il est inutile de modifier cette adresse IP sauf si vous utilisez déjà l’adresse réseau 192.168.113.0/24 sur des périphériques configurés en tant qu’éléments du réseau approuvé ou facultatif. Si vous la modifiez, vous devez alors sélectionner une autre adresse IP privée qui n’est pas déjà utilisée sur l’un de vos réseaux. 5. Si vous souhaitez configurer Edge en tant que serveur DHCP lorsqu’un périphérique sans fil tente d’établir une connexion, activez la case à cocher Activer le serveur DHCP sur le réseau invité sans fil. Pour en savoir plus sur la configuration des paramètres du serveur DHCP, voir Activer le serveur DHCP sur le réseau approuvé. 6. Pour configurer Edge dans le but d’envoyer des requêtes DHCP à un serveur DHCP externe à Edge, activez la case à cocher Activer le relais DHCP. Pour plus d’informations sur cette fonctionnalité, voir Convertir Firebox en relais DHCP. 7. Si vous utilisez WebBlocker et souhaitez appliquer un profil WebBlocker à toutes les connexions sans fil qui utilisent le réseau invité sans fil, sélectionnez le profil à appliquer dans la liste déroulante Profil WebBlocker. 8. Sous l’onglet Sans fil, sélectionnez les paramètres de sécurité du réseau invité sans fil. Vous devez déterminer si vous autorisez ou non les utilisateurs sans fil à échanger du trafic lorsqu’ils sont connectés au réseau invité sans fil. Pour permettre aux utilisateurs invités sans fil d’échanger du trafic, veillez à désactiver la case à cocher Interdire le trafic de réseau sans fil d’un client à l’autre. D’autres options de configuration sont décrites plus haut dans ce chapitre. 9. Utilisez l’onglet Adresses MAC autorisées si vous souhaitez restreindre les connexions sans fil pour que seuls les périphériques sans fil associés à une adresse MAC que vous ajoutez à la configuration Edge puissent se connecter au réseau invité sans fil Edge. Pour plus d’informations sur la manière de restreindre l’accès à l’aide de l’adresse MAC, voir Restreindre l’accès à l’interface approuvée par le biais de l’adresse MAC. 10. Cliquez sur Envoyer pour enregistrer la configuration dans Edge. 112 Firebox X Edge e-Series Configuration sans fil À propos des paramètres radio sans fil Firebox X Edge e-Series sans fil utilise des signaux de fréquence radio pour envoyer et recevoir le trafic des ordinateurs équipés de cartes Ethernet sans fil. Plusieurs paramètres sont spécifiques à la sélection du canal Edge. Vous pouvez afficher et modifier ces paramètres si vous vous connectez à Edge sans fil et que vous sélectionnez Réseau > Paramètres radio dans la barre de navigation gauche. La plupart des utilisateurs ne modifient pas ces paramètres. Définir la région et le canal de fonctionnement Pour la région de fonctionnement, vous pouvez choisir entre neuf options : Amériques, Asie, Australie, EMEA, France, Israël, Japon, Taïwan et République Populaire de Chine. Ce paramètre est configuré à l’aide de l’Assistant Quick Setup Wizard et ne peut plus être modifié une fois qu’il a été défini. Cette option de Firebox X Edge e-Series peut être définie au cours de la fabrication. L’ensemble des canaux disponibles pour chaque région de fonctionnement s’affiche dans la liste déroulante Canal. Lorsque l’ensemble des canaux est défini sur Auto, Firebox X Edge e-Series sans fil sélectionne automatiquement le canal avec le signal le plus puissant disponible dans sa zone géographique. Définir le mode de fonctionnement sans fil La plupart des cartes sans fil fonctionnent uniquement en mode 802.11b (jusqu’à 11 Mo/seconde) ou en mode 802.11g (54 Mo/seconde). Pour définir le mode de fonctionnement de Firebox X Edge e-Series sans fil, sélectionnez une option dans la liste déroulante Mode sans fil. Il existe trois modes sans fil : 802.11b uniquement Ce mode force Edge à se connecter à des périphériques uniquement en mode 802.11b. 802.11g uniquement Ce mode force Edge à se connecter à des périphériques uniquement en mode 802.11g. 802.11g et 802.11b Il s’agit du mode par défaut. Ce mode permet à Edge de se connecter à des périphériques qui utilisent 802.11b ou 802.11g. Edge fonctionne en mode 802.11g uniquement si toutes les cartes sans fil connectées à Edge utilisent 802.11g. Si un client 802.11b se connecte à Edge, toutes les connexions passent automatiquement en mode 802.11b. Guide de l’utilisateur 113 Configuration sans fil Configurer la carte sans fil d’un ordinateur Ces instructions concernent le système d’exploitation Windows XP avec Service Pack 2. Pour consulter les instructions d’installation des autres systèmes d’exploitation, reportez-vous à la documentation ou aux fichiers d’aide appropriés. 1. Sélectionnez Démarrer > Paramètres > Panneau de configuration > Connexions réseau. La boîte de dialogue Connexions réseau s’affiche. 2. Cliquez avec le bouton droit sur Connexion réseau sans fil et sélectionnez Propriétés. La boîte de dialogue Connexion réseau sans fil s’affiche. 3. Sélectionnez l’onglet Configuration réseaux sans fil. 4. Sous Réseaux favoris, cliquez sur Ajouter. La boîte de dialogue Propriétés de Connexion réseau sans fil s’affiche. 5. Tapez le SSID dans la zone de texte Nom réseau (SSID). 6. Sélectionnez les méthodes d’authentification réseau et de chiffrement de données dans les listes déroulantes. Le cas échéant, désactivez la case à cocher nommée La clé m’est fournie automatiquement et tapez la clé réseau à deux reprises. 7. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Connexion réseau sans fil. 8. Cliquez sur le bouton Afficher les réseaux sans fil. Toutes les connexions sans fil disponibles s’affichent dans la zone de texte Réseaux disponibles. 9. Sélectionnez le SSID du réseau sans fil et cliquez sur Connecter. Si le réseau utilise le chiffrement, tapez la clé réseau deux fois dans la boîte de dialogue Connexion réseau sans fil et cliquez à nouveau sur Connecter. 10. Configurez l’ordinateur sans fil pour qu’il utilise le protocole DHCP. 114 Firebox X Edge e-Series 7 Stratégies de pare-feu À propos des stratégies Firebox utilise deux catégories de stratégie pour filtrer le trafic réseau : les filtres de paquets et les proxies. Un filtre de paquets inspecte l’en-tête IP et TCP/UDP de chaque paquet. Si les informations d’en-tête du paquet sont légitimes, Firebox autorise le paquet. Dans le cas contraire, il l’abandonne. Un proxy examine non seulement les en-têtes, mais également le contenu. Lorsque vous activez un proxy, Firebox utilise une inspection avancée des paquets pour garantir la sécurité des connexions. Il ouvre chaque paquet l’un à la suite de l’autre, extrait l’en-tête de la couche réseau et inspecte l’entrée Payload du paquet. Enfin, le proxy retourne les informations réseau au paquet et l’envoie à sa destination. Firebox comprend de nombreux filtres de paquets et proxies prédéfinis que vous pouvez ajouter à votre configuration. Par exemple, si vous souhaitez appliquer un filtre de paquets à l’ensemble du trafic Telnet, ajoutez une stratégie Telnet prédéfinie que vous pourrez ensuite modifier selon vos besoins. Vous pouvez également personnaliser une stratégie en définissant ses ports, ses protocoles et d’autres paramètres. Ensemble, les filtres de paquets et proxies forment ce que l’on appelle des stratégies. Sauf indication contraire, les informations sur les stratégies renvoient à des proxies et à des filtres de paquets. À propos de l’utilisation de stratégies sur votre réseau La politique de sécurité de votre entreprise correspond à un ensemble de règles qui définissent la façon dont vous protégez votre réseau informatique et les informations qui le traversent. Firebox refuse tous les paquets qui ne sont pas spécifiquement autorisés. Cette politique de sécurité permet de protéger votre réseau contre : les attaques qui utilisent de nouveaux protocoles IP ou d’autres protocoles IP ; les applications inconnues. Lorsque vous configurez Firebox X Edge à l’aide de l’Assistant Quick Setup Wizard, Edge autorise uniquement une connectivité sortante limitée. Si Edge doit inspecter d’autres applications logicielles et davantage de trafic réseau, vous devez : Configurer les stratégies sur Edge pour que suffisamment de trafic circule. Définir les hôtes approuvés et les propriétés pour chaque stratégie. Trouver un équilibre entre les besoins en sécurité de votre réseau et les besoins de vos utilisateurs en termes d’accès aux ressources externes. Il est conseillé de définir des limites pour le trafic sortant lorsque vous configurez Firebox. Guide de l’utilisateur 115 Stratégies de pare-feu Voici un exemple d’utilisation d’une stratégie : supposons que l’administrateur réseau d’une société souhaite activer une connexion de services de terminal Windows au serveur Web public de sa société, via l’interface approuvée de Firebox. Il gère de manière régulière le serveur Web avec une connexion Remote Desktop. Parallèlement, il souhaite s’assurer qu’aucun autre utilisateur du réseau ne pourra accéder aux services de terminal RDP via Firebox. Pour ce faire, l’administrateur réseau ajoute une stratégie qui autorise les connexions RDP uniquement pour l’adresse IP de son propre PC à l’adresse IP du serveur Web public. Règles de stratégie Une stratégie Firebox X Edge regroupe une ou plusieurs règles qui, conjuguées, permettent de surveiller et de contrôler le trafic. Ces règles définissent les actions de pare-feu d’une stratégie : Autoriser laisse les données ou une connexion transiter via Edge. Refuser empêche les données ou une connexion de transiter via Edge et envoie une réponse à la source. Aucune règle désactive la règle. Il n’est pas toujours facile de décider si vous devez sélectionner Refuser ou Aucune règle pour une stratégie. Lorsque vous affectez la valeur Aucune règle à la règle, l’action entreprise par Edge pour ce paquet dépend des règles de priorité inférieures de cette stratégie. S’il n’existe aucune autre règle pour la stratégie, Edge refuse le paquet par défaut. Utilisez la règle Refuser si une règle de priorité plus faible a la valeur Autoriser, mais que vous souhaitez refuser les paquets provenant d’une adresse IP ou d’un réseau spécifique. Par exemple, si vous souhaitez autoriser la plupart du trafic HTTP, vous devez affecter la valeur Autoriser à la stratégie de filtre de paquets commune. Si vous souhaitez refuser le trafic HTTP provenant d’une adresse IP spécifique, créez un filtre de paquets personnalisé pour cette adresse IP et affectez la valeur Refuser à la règle. Lorsque vous sélectionnez Refuser, la stratégie utilise des ressources réseau légèrement supérieures. Une ou deux règles Refuser n’affectent pas les performances du système, mais si vous définissez toutes les règles de filtre de paquets communes sur Refuser plutôt que d’utiliser la règle par défaut Aucune règle, les performances du système peuvent en être profondément affectées. Trafic entrant et sortant Le trafic en provenance du réseau externe constitue le trafic entrant. Le trafic à destination du réseau externe constitue le trafic sortant. Par défaut, les périphériques Firebox X Edge e-Series refusent le trafic entrant afin de protéger vos réseaux approuvés et facultatifs. La configuration par défaut d’Edge autorise le trafic suivant : Du réseau approuvé vers le réseau externe Du réseau approuvé vers le réseau facultatif Du réseau facultatif vers le réseau externe La configuration par défaut d’Edge refuse le trafic suivant : Du réseau externe vers le réseau approuvé Du réseau facultatif vers le réseau approuvé Du réseau externe vers le réseau facultatif Les filtres de paquets sont définis séparément pour les stratégies entrantes et sortantes. 116 Firebox X Edge e-Series Stratégies de pare-feu À propos du routage basé sur stratégie Pour envoyer le trafic réseau, un routeur inspecte en principe l’adresse de destination du paquet, puis recherche la destination du saut suivant dans sa table de routage. Dans certains cas, il est préférable que le trafic emprunte un autre route que celui par défaut indiqué dans la table de routage. Pour ce faire, il convient de configurer une stratégie avec une interface externe spécifique à utiliser pour l’ensemble du trafic sortant conforme à cette stratégie. C’est ce que l’on appelle le routage basé sur stratégie. Si vous disposez d’une licence Edge Pro pour Firebox X Edge et que vous avez configuré le multi-WAN en mode d’équilibrage de charge de tourniquet, vous pouvez appliquer un routage basé sur stratégie aux règles du pare-feu. Lorsque vous activez le routage basé sur stratégie, l’ensemble du trafic contrôlé par une stratégie traverse toujours la même interface externe, même si votre configuration multi-WAN prévoit l’envoi du trafic en mode de tourniquet. À propos de l’utilisation des stratégies communes de filtrage de paquets Vous pouvez contrôler le trafic entre les réseaux approuvé, facultatif et externe à l’aide de stratégies de filtrage de paquets. Firebox X Edge fournit une liste des stratégies les plus utilisées, appelées « stratégies communes », que vous pouvez appliquer pour autoriser ou refuser les catégories de trafic les plus répandues. Vous pouvez utiliser les paramètres par défaut des filtres de paquets ou les modifier selon vos besoins. N’oubliez pas de configurer séparément les stratégies de filtrage de paquets de trafic entrant et sortant. Par défaut, la stratégie commune de filtrage des paquets pour le trafic sortant est définie sur Autoriser. Avec la stratégie de trafic sortant, vous pouvez autoriser les utilisateurs de votre réseau approuvé à établir des connexions à Internet, par exemple, à naviguer sur le Web et à utiliser la messagerie, sans avoir à créer une stratégie pour chaque type de connexion. Par défaut, l’ensemble du trafic entrant est défini sur Refuser. Soyez prudent lorsque vous définissez des stratégies de trafic entrant sur Autoriser. En effet, ce faisant, vous ouvrez les réseaux protégés derrière Firebox X Edge et laissez entrer davantage de trafic, ce qui augmentent les risques d’intrusion. Guide de l’utilisateur 117 Stratégies de pare-feu Pour configurer les stratégies de filtrage des paquets : 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Pare-feu > Entrant ou Pare-feu > Sortant pour les stratégies de trafic sortant. Vous pouvez modifier le trafic entrant et le trafic sortant dans chacune des pages. La page Filtrage du trafic s’ouvre. 3. Identifiez la stratégie commune que vous souhaitez autoriser ou refuser. Dans la liste déroulante Filtre adjacente au nom de la stratégie, sélectionnez Autoriser, Refuser ou Aucune règle. Si vous sélectionnez Aucune règle, cette stratégie est désactivée, et Edge utilise le paramètre par défaut qui refuse le trafic entrant et autorise le trafic sortant. Pour plus d’informations sur les règles, voir Règles de stratégie. 118 Firebox X Edge e-Series Stratégies de pare-feu Modifier des stratégies communes de filtrage de paquets Vous pouvez modifier certains des paramètres par défaut d’une stratégie commune de filtrage des paquets. Dans l’onglet Entrant, vous pouvez définir un hôte de service, rediriger le port, activer la journalisation ou limiter les adresses IP du réseau externe qui peuvent se connecter à un ordinateur derrière Firebox X Edge eSeries. Dans l’onglet Sortant, vous pouvez activer la journalisation et limiter les adresses IP du réseau approuvé et du réseau facultatif autorisées à se connecter au réseau externe avec cette stratégie, dans le champ De. Dans le champ À, vous pouvez également limiter les adresses IP externes auxquelles les ordinateurs du réseau approuvé et du réseau facultatif peuvent se connecter. Pour modifier les stratégies de filtrage des paquets : 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Pare-feu > Entrant ou Pare-feu > Sortant. Vous pouvez modifier le trafic entrant et le trafic sortant dans chacune des pages. La page Filtrage du trafic s’ouvre. 3. Identifiez la stratégie commune de filtrage des paquets que vous souhaitez modifier, puis cliquez sur Modifier. Guide de l’utilisateur 119 Stratégies de pare-feu Définir les options de contrôle d’accès (entrant) 1. Dans la page Modifier les stratégies, sélectionnez l’onglet Entrant. L’onglet Entrant s’affiche. 2. Dans la liste déroulante Filtre entrant, sélectionnez la règle à appliquer. Cette règle affecte uniquement le trafic entrant. 3. Si la stratégie a la valeur Autoriser, entrez l’adresse IP de l’ordinateur qui doit recevoir le trafic dans le champ Hôte de stratégie, ou sélectionnez NAT un à un et sélectionnez la paire d’adresses IP que vous souhaitez associer à la stratégie dans la liste déroulante adjacente. Pour plus d’informations sur NAT 1-1, voir Activer NAT un à un. 4. Pour utiliser la traduction d’adresses de port, entrez le nouveau numéro de port dans la zone Redirection de port. Avec la traduction d’adresses de port, le port de destination indiqué dans l’en-tête de paquet initial est remplacé par un port de destination différent lorsque le paquet transite via Edge. 5. Sélectionnez Adresse IP de l’hôte, Adresse IP du réseau, Plage d’hôtes ou Alias dans la liste déroulante afin de spécifier des adresses IP ou un alias pour le réseau externe qui peut utiliser cette stratégie. Tapez l’adresse IP ou la plage d’adresses IP à autoriser, puis cliquez sur Ajouter. Vous pouvez entrer plusieurs adresses. Tapez les adresses IP du réseau avec la notation de barre oblique. Pour plus d’informations, voir À propos de la notation de barre oblique. 6. Pour que le périphérique Firebox enregistre les messages des journaux de cette stratégie dans le fichier journal, activez la case à cocher Consigner le trafic entrant. 7. Cliquez sur Envoyer. Définir les options de contrôle d’accès (sortant) 1. Dans la page Modifier les stratégies, sélectionnez l’onglet Sortant. 2. Dans la liste déroulante Filtre sortant, sélectionnez la règle à appliquer. Cette règle affecte uniquement le trafic sortant. 120 Firebox X Edge e-Series Stratégies de pare-feu 3. Pour spécifier quels ordinateurs de votre réseau approuvé ou facultatif peuvent utiliser cette stratégie, dans la zone De, sélectionnez Tout, puis cliquez sur Supprimer. Sélectionnez Adresse IP de l’hôte, Adresse IP du réseau, Plage d’hôtes ou Alias dans la liste déroulante. Entrez ensuite l’adresse IP ou la plage d’adresses IP à autoriser, puis cliquez sur Ajouter. Vous pouvez ajouter plus d’une adresse. Si vous sélectionnez Alias, vous pouvez effectuer une sélection parmi Réseau approuvé, Réseau facultatif, Réseau invité sans fil ou dans des groupes d’utilisateurs de Mobile VPN. Tapez les adresses IP du réseau avec la notation de barre oblique. Pour plus d’informations, voir À propos de la notation de barre oblique. 4. Pour limiter les ordinateurs du réseau externe qui peuvent se connecter aux ordinateurs des réseaux approuvés ou facultatifs avec cette stratégie, dans le champ À, sélectionnez Tout, puis cliquez sur Supprimer. Sélectionnez Adresse IP de l’hôte, Adresse IP du réseau ou Plage d’hôtes dans la liste déroulante. Entrez ensuite l’adresse IP ou la plage d’adresses IP à autoriser, puis cliquez sur Ajouter. Vous pouvez ajouter plusieurs adresses. 5. Si votre périphérique Firebox utilise le logiciel système Edge Pro et que vous avez configuré une seconde interface externe pour votre périphérique Firebox définie pour l’équilibrage de charge de tourniquet Multi-WAN, vous pouvez appliquer le routage basé sur la stratégie à cette stratégie. Utilisez la liste déroulante Interface de routage basée sur la stratégie pour sélectionner l’interface externe à utiliser pour tout le trafic géré par cette stratégie. Pour plus d’informations sur le routage basé sur la stratégie, voir À propos du routage basé sur stratégie. 6. Pour que le périphérique Firebox enregistre les messages des journaux de cette stratégie dans le fichier journal, activez la case à cocher Consigner le trafic sortant. 7. Cliquez sur Envoyer. À propos des stratégies personnalisées Vous pouvez définir une stratégie personnalisée pour le trafic si vous souhaitez mettre en Suvre un protocole qui n’est pas prévu par défaut en tant qu’option de configuration de Firebox. Une stratégie personnalisée est également nécessaire dans les circonstances suivantes : Vous devez créer un filtre de paquets supplémentaire pour une stratégie. Vous devez modifier le port ou le protocole d’une stratégie. Vous pouvez ajouter une stratégie personnalisée qui utilise : Des ports TCP Des port UDP Un protocole IP qui n’est ni TCP ni UDP, tel que GRE, AH, ESP, ICMP, IGMP ou OSPF. Vous déterminez si un protocole IP n’est ni TCP ni UDP grâce à son numéro de protocole IP. Guide de l’utilisateur 121 Stratégies de pare-feu Ajouter une stratégie personnalisée à l’aide de l’Assistant 1. Dans la barre de navigation, cliquez sur Assistants. 2. En regard de la zone Définir une stratégie personnalisée, cliquez sur OK. 3. Pour ouvrir une stratégie personnalisée, suivez les instructions données dans l’Assistant. L’Assistant Traffic Filter Wizard comporte les étapes suivantes : Bienvenue Le premier écran est une présentation de l’Assistant et des informations dont vous devez disposer pour réaliser toutes les étapes. Nom de la stratégie Entrez un nom permettant d’identifier la stratégie. Protocoles et ports Définissez les ports et les protocoles à attribuer à ce filtre de trafic. Sens du trafic Indiquez s’il s’agit d’une stratégie de trafic entrant ou sortant. Action stratégie Configurez Edge de manière à autoriser ou à refuser ce type de trafic à traverser le pare-feu. Limiter aux ordinateurs distants Pour limiter le champ d’action de la stratégie, ajoutez les adresses IP des ordinateurs ou réseaux situés en dehors du pare-feu auxquels cette stratégie s’applique. Limiter aux ordinateurs locaux Pour limiter le champ d’action de la stratégie, ajoutez les adresses IP des ordinateurs ou réseaux situés dans l’enceinte du pare-feu auxquels cette stratégie s’applique. 122 Firebox X Edge e-Series Stratégies de pare-feu Ajouter manuellement une stratégie personnalisée Vous pouvez ajouter une stratégie personnalisée sans recourir à l’Assistant. 1. Pour vous connecter à la page d’état du système, entrez https://dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Pare-feu > Entrant pour le trafic entrant ou Sortant pour le trafic sortant. La page Filtrage du trafic s’ouvre. 3. Faites défiler la page vers le bas. 4. Sous Stratégies de filtrage des paquets personnalisées, cliquez sur Ajouter une stratégie de filtrage des paquets. La page Stratégie personnalisée s’ouvre. 5. Dans la zone de texte, Nom de la stratégie, entrez le nom de la stratégie. 6. Dans la liste déroulante Paramètres du protocole, sélectionnez Port TCP, Port UDP ou Protocole. 7. Dans la zone de texte adjacente à la liste déroulante Port/Protocole, entrez un numéro de port ou de protocole. Pour utiliser un seul port, entrez son numéro dans la première zone de texte. Pour utiliser une plage de ports, entrez le plus petit numéro de port dans la première zone de texte, puis le plus grand dans la seconde. Un numéro de protocole IP n’est pas la même chose qu’un numéro de port TCP ou UDP. TCP est le numéro de protocole 6 et UDP 17. Si vous utilisez un protocole IP qui n’est ni TCP ni UDP, vous devez entrer son numéro. Les numéros de protocole IP sont 47 pour GRE (Generic Routing Encapsulation) et 50 pour ESP (Encapsulated Security Payload). Les numéros TCP ou UDP sont les plus utilisés. Vous trouverez la liste des numéros de protocole à l’adresse http://www.iana.org/assignments/protocolnumbers. 8. Cliquez sur Ajouter. 9. Répétez les étapes 6, 7 et 8 jusqu’à ce que vous obteniez une liste de tous les ports et protocoles que cette stratégie utilise. Vous pouvez ajouter plusieurs ports et plusieurs protocoles à une stratégie personnalisée. Plus le réseau utilise de ports et de protocoles, moins il est sécurisé. N’ajoutez-en que s’ils sont absolument nécessaires au réseau de votre entreprise. Guide de l’utilisateur 123 Stratégies de pare-feu Filtrer le trafic entrant pour une stratégie personnalisée Ces étapes limitent le trafic entrant pour une stratégie à certains ordinateurs derrière le pare-feu. Pour plus d’informations sur la façon de contrôler le trafic sortant, voir Filtrer le trafic sortant pour une stratégie personnalisée. 1. Dans la liste déroulante Filtre entrant, sélectionnez Autoriser ou Refuser. 2. Si vous définissez le filtre de trafic entrant sur Autoriser, entrez l’adresse IP de l’hôte de service. Il s’agit de l’ordinateur qui reçoit le trafic. 3. Pour rediriger le trafic géré par cette stratégie vers un autre port, entrez le numéro du port en question, dans la zone de texte en regard de l’option Redirection de port. Pour plus d’informations, voir À propos de la traduction d’adresses réseau statique. 4. Pour limiter le trafic entrant en provenance du réseau externe vers l’hôte de service, sélectionnez Adresse IP de l’hôte, Adresse IP du réseau ou Plage d’hôtes à l’aide de la liste déroulante. 5. Dans les zones de texte des adresses, entrez l’adresse IP du réseau ou de l’hôte ou entrez la plage des adresses IP qui identifient les ordinateurs du réseau externe, autorisés à envoyer du trafic à l’hôte de service. Vous devez entrer les adresses IP réseau avec des barres obliques. Pour plus d’informations, voir À propos de la notation de barre oblique. 6. Cliquez sur Ajouter. La zone De contient la plage d’hôtes, l’adresse IP de l’hôte ou l’adresse IP du réseau que vous avez entrées. 7. Répétez les étapes 4, 5 et 6 jusqu’à ce que toutes les informations d’adresse relatives à cette stratégie personnalisée soient définies. La zone De peut contenir plusieurs entrées. 8. Si cette stratégie ne s’applique qu’au trafic entrant, conservez la valeur Aucune règle du filtre de trafic sortant. 9. Cliquez sur Envoyer. 124 Firebox X Edge e-Series Stratégies de pare-feu Filtrer le trafic sortant pour une stratégie personnalisée Ces étapes permettent de limiter le trafic qui traverse Firebox X Edge. Pour plus d’informations sur la limitation du trafic entrant, voir Filtrer le trafic entrant pour une stratégie personnalisée. 1. Dans la zone de liste déroulante Filtre sortant, sélectionnez Autoriser ou Refuser. Pour autoriser l’ensemble du trafic sortant du réseau approuvé ou du réseau facultatif qui applique cette stratégie, passez à l’étape 10. 2. Pour limiter les ordinateurs du réseau approuvé ou du réseau facultatif autorisés à envoyer du trafic vers le réseau externe en appliquant cette stratégie, sélectionnez Adresse IP de l’hôte, Adresse IP du réseau, Plage d’hôtes ou Alias, à l’aide de la liste déroulante De. Si vous sélectionnez Alias, vous pouvez choisir parmi les valeurs Réseau approuvé, Réseau facultatif ou Réseau invité sans fil. Pour limiter les ordinateurs qui reçoivent du trafic, passez à l’étape 6. 3. Dans les zones de texte adjacentes, entrez l’adresse IP du réseau ou de l’hôte ou entrez la plage des adresses IP qui identifient les ordinateurs du réseau approuvé ou du réseau externe, autorisés à appliquer cette stratégie pour envoyer du trafic au réseau externe. Entrez les adresses IP réseau à l’aide de barres obliques. 4. Cliquez sur Ajouter. La zone De contient les adresses IP que vous avez ajoutées. 5. Répétez les étapes 2, 3 et 4 jusqu’à ce que toutes les informations d’adresse relatives à cette stratégie personnalisée soient définies. La zone De peut contenir plusieurs entrées. 6. Pour limiter les ordinateurs du réseau externe autorisés à recevoir du trafic en appliquant cette stratégie, sélectionnez Adresse IP de l’hôte, Adresse IP du réseau ou Plage d’hôtes à l’aide de la liste déroulante À. 7. Dans les zones de texte adjacentes, entrez l’adresse IP du réseau ou de l’hôte ou entrez la plage des adresses IP qui identifient les ordinateurs du réseau externe auxquels les ordinateurs peuvent se connecter en appliquant cette stratégie. Vous devez entrer les adresses IP réseau avec des barres obliques. 8. Cliquez sur Ajouter. La zone À contient les adresses IP que vous avez ajoutées. 9. Répétez les étapes 6, 7 et 8 jusqu’à ce que toutes les informations d’adresse relatives à cette stratégie personnalisée soient définies. La zone À peut contenir plusieurs entrées. 10. Si cette stratégie ne s’applique qu’au trafic sortant, conservez la valeur Aucune règle du filtre de trafic entrant. 11. Cliquez sur Envoyer. Guide de l’utilisateur 125 Stratégies de pare-feu À propos des stratégies du réseau facultatif Par défaut, Firebox X Edge e-Series autorise l’ensemble du trafic qui part du réseau approuvé pour essayer d’accéder au réseau facultatif, puis refuse l’ensemble du trafic qui part du réseau facultatif pour essayer d’accéder au réseau approuvé. Voici quelques exemples d’utilisation du réseau facultatif : Vous pouvez utiliser le réseau facultatif pour les serveurs qui acceptent des connexions entrantes depuis le réseau externe. Cela vous permet de protéger le réseau approuvé dans la mesure où le trafic provenant du réseau facultatif n’est pas autorisé à accéder au réseau approuvé, lorsque le mode de configuration de Firebox X Edge est celui par défaut. Lorsque les ordinateurs sont accessibles depuis le réseau externe, ils sont plus vulnérables à des attaques. Si votre serveur Web public ou FTP situé sur le réseau facultatif est piraté ou mis en danger, le pirate n’a aucun moyen d’accéder à votre réseau approuvé. Le réseau facultatif permet également de sécuriser un réseau sans fil. Les réseaux sans fil sont en principe moins sécurisés que les réseaux filaires. Si vous disposez d’un point d’accès sans fil (WAP) ou de Firebox X Edge sans fil, vous pouvez renforcer la sécurité de votre réseau approuvé en conservant ce WAP sur le réseau facultatif. Vous pouvez utiliser le réseau facultatif pour disposer d’une autre plage d’adresses IP réseau autorisées à communiquer avec le réseau approuvé. Pour plus d’informations, voir Désactiver les filtres de trafic entre le réseau approuvé et le réseau facultatif. Contrôler le trafic du réseau approuvé vers le réseau facultatif Procédez comme suit pour contrôler le trafic du réseau approuvé vers le réseau facultatif : 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Pare-feu > Facultatif. La page Filtrer le trafic sortant vers le réseau facultatif s’affiche. 3. Pour autoriser tout le trafic depuis le réseau approuvé, recherchez la stratégie Sortant, puis sélectionnez Autoriser dans la liste déroulante Filtre. 4. Pour refuser tout le trafic depuis le réseau approuvé, recherchez la stratégie Sortant, puis sélectionnez Refuser dans la liste déroulante Filtre. 5. Pour refuser une partie du trafic seulement du réseau approuvé vers le réseau facultatif et autoriser le reste, recherchez la stratégie Sortant, puis sélectionnez Refuser dans la liste déroulante Filtre. Ensuite, pour chaque stratégie autorisée, sélectionnez Autoriser dans la liste déroulante Filtre. Si vous souhaitez refuser le trafic et créer une entrée de journal chaque fois que le trafic est refusé, sélectionnez Aucune règle. 6. Cliquez sur Envoyer. 126 Firebox X Edge e-Series Stratégies de pare-feu Désactiver les filtres de trafic entre les réseaux approuvés et facultatifs Pour autoriser le trafic réseau entre le réseau facultatif et le réseau approuvé, vous devez autoriser tout le trafic entre les réseaux approuvés et facultatifs. Activez la case à cocher Désactiver les filtres de trafic pour autoriser tout le trafic entrant et sortant entre les interfaces approuvées et facultatives. Lorsque vous activez la case à cocher Désactiver les filtres de trafic, le réseau approuvé n’est pas protégé du réseau facultatif. Tout le trafic peut s’écouler entre les réseaux facultatifs et approuvés. Guide de l’utilisateur 127 Stratégies de pare-feu À propos de la priorité des stratégies La priorité correspond à la séquence dans laquelle le périphérique Firebox examine le trafic réseau et applique une règle de stratégie. Le périphérique Firebox trie automatiquement les stratégies de la plus spécifique à la plus générale. Il compare les informations du paquet à la liste de règles de la première stratégie. La première règle de la liste qui correspond aux conditions du paquet est appliquée à ce paquet. Si le niveau de détails de deux stratégies est identique, une stratégie de proxy a toujours priorité sur une stratégie de filtre de paquets. Par exemple, si vous souhaitez refuser la plupart du trafic FTP, mais souhaitez autoriser ce trafic à partir d’une adresse IP spécifique, vous devez affecter la valeur Aucune règle au filtre de paquets commun pour FTP. Dans la mesure où il n’y a pas de priorité plus faible, l’action par défaut consiste à refuser le paquet. Vous pouvez ensuite créer un nouveau filtre de paquets FTP qui s’applique uniquement à cette adresse IP et affecter la valeur Autoriser à cette règle. Dans la mesure où le nouveau filtre de paquets s’applique uniquement à une adresse IP spécifique, il est plus détaillé et a donc une priorité plus élevée. 128 Firebox X Edge e-Series 8 Paramètres de proxy À propos des stratégies de proxy Toutes les stratégies WatchGuard, aussi bien les stratégies de filtrage de paquets que les stratégies de proxy, constituent des outils importants en matière de sécurité du réseau. Un filtre de paquets inspecte l’en-tête IP et TCP/UDP de chaque paquet, tandis qu’un proxy surveille et analyse les connexions entières. Un proxy examine les commandes utilisées pour la connexion afin de s’assurer que leur syntaxe et leur ordre sont corrects. Il procède également à une inspection très poussée des paquets pour garantir la sécurité des connexions. Un proxy ouvre chaque paquet l’un à la suite de l’autre, extrait l’en-tête de la couche réseau et inspecte l’entrée Payload du paquet. Il retourne ensuite les informations réseau au paquet et envoie celui-ci vers sa destination. En conséquence, un proxy peut trouver du contenu interdit caché dans les entrées de données Payload ou intégré à ces dernières. Par exemple, un proxy SMTP recherche dans la totalité des paquets SMTP entrants (e-mails) du contenu interdit, tel que des programmes ou fichiers exécutables écrits en langages de script. Les personnes malveillantes ont souvent recours à ces méthodes pour envoyer des virus informatiques. Le proxy SMTP peut mettre en oeuvre une stratégie qui interdit ce type de contenu ; en revanche, un filtre de paquets ne peut pas détecter le contenu non autorisé dans les entrées de données Payload du paquet. Si vous avez souscrit, puis activé des abonnements supplémentaires aux services de sécurité (Gateway AntiVirus, Intrusion Prevention Service, spamBlocker, WebBlocker), les proxies WatchGuard peuvent appliquer les services correspondants. Guide de l’utilisateur 129 Paramètres de proxy À propos de l’ajout et de la configuration de stratégies de proxy Lors de l’ajout d’une stratégie de proxy à votre configuration Firebox, vous précisez les types de contenus que le proxy doit rechercher au moment du filtrage du trafic. Si le contenu correspond (ou non) aux critères de la définition du proxy, ce dernier autorise (ou refuse) le trafic réseau. Vous pouvez, pour chaque stratégie de proxy, conserver les paramètres par défaut ou bien définir des paramètres personnalisés répondant à vos besoins. Il vous est également possible de créer des stratégies de proxy supplémentaires pour chacun des protocoles en vue de procéder à un filtrage à divers endroits du réseau. N’oubliez pas qu’un filtre de proxy implique un travail plus important pour le pare-feu pour le même volume de trafic réseau qu’un filtre de paquets. Toutefois, un proxy a recours à des méthodes que les filtres de paquets ne peuvent pas utiliser pour intercepter les paquets dangereux. Chaque stratégie de proxy inclut un ensemble de paramètres que vous pouvez personnaliser de manière à créer un équilibre entre vos besoins de sécurité et vos objectifs de performances. Si vous mettez à niveau une ancienne version du microprogramme Edge (par exemple 8.0 ou 8.5) vers la version 8.6, et si WebBlocker est activé, le proxy HTTP est activé par défaut. WebBlocker utilise le proxy HTTP pour filtrer le contenu. Pour ajouter une stratégie de proxy à votre configuration, vous devez au préalable l’activer. Voir la procédure décrite dans la rubrique Activer une stratégie de proxy commune. Activer une stratégie de proxy commune 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est la suivante : https://192.168.111.1. 2. Dans la barre de navigation, sélectionnez Pare-feu > Sortant ou Pare-feu > Entrant. La page Filtrer le trafic sortant ou Filtrer le trafic entrant apparaît. 3. Sous Stratégies de proxy communes, recherchez le proxy que vous souhaitez activer, puis choisissez l’option Autoriser dans la liste déroulante. 4. Cliquez sur Envoyer. 130 Firebox X Edge e-Series Paramètres de proxy Ajouter ou modifier une stratégie de proxy Pour ajouter ou modifier les propriétés d’une stratégie de proxy, sélectionnez Pare-feu > Sortant ou Pare-feu > Entrant dans le menu de navigation. Si vous voulez créer une stratégie de proxy, cliquez sur Nouvelle stratégie de proxy personnalisée. Pour modifier une stratégie existante, cliquez sur le bouton Modifier adjacent au nom du proxy concerné. Lors de l’ajout ou de la modification d’une stratégie de proxy, vérifiez bien toutes les zones de la page de configuration. Selon la stratégie de proxy, trois ou quatre onglets sont disponibles : Entrant ou Sortant : ce premier onglet vous permet de définir des informations générales concernant la stratégie de proxy, et notamment d’indiquer si le trafic auquel celle-ci s’applique est autorisé ou refusé. Pour certains types de stratégies de proxy, vous pouvez par ailleurs préciser les ordinateurs pouvant envoyer ou recevoir ce type de trafic réseau ou l’adresse IP de l’hôte de la stratégie. Propriétés ou Paramètres : ce deuxième onglet comprend des informations sur le port et le protocole gérés par la stratégie de proxy. Vous ne pouvez pas modifier son contenu. Contenu : les troisième et/ou quatrième onglets pour une stratégie de proxy comportent les paramètres qui concernent uniquement ce type de stratégie. Par exemple, pour une stratégie de proxy POP3, deux onglets sont disponibles : Paramètres POP3 et Contenu POP3. Vous pouvez utiliser ces derniers pour créer un message de refus affiché à l’intention des utilisateurs en cas de rejet d’un e-mail ou pour fournir la liste des types de pièce jointe que vous considérez comme dangereux. Pour ajouter ou modifier une stratégie de proxy personnalisée : 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est la suivante : https://192.168.111.1. 2. Dans la barre de navigation, sélectionnez Paramètres de pare-feu > Sortant. 3. Dans la section Stratégies de proxy personnalisées, cliquez sur Ajouter une stratégie de proxy. La page Ajouter une stratégie - Stratégie personnalisée apparaît. 4. Dans la zone de texte Nom de la stratégie, saisissez un nom désignant la stratégie de proxy personnalisée. 5. Dans la liste déroulante Protocole, sélectionnez le protocole à gérer. Définir les options de contrôle d’accès Dans l’onglet Sortant ou Entrant, vous avez la possibilité de définir des règles de filtrage des adresses IP, des adresses réseau ou des plages d’hôtes. Cette fonctionnalité est identique à celle disponible pour les stratégies de filtrage de paquets. 1. Cliquez sur l’onglet Sortant. 2. Dans la liste déroulante Filtre sortant, sélectionnez Refuser, Autoriser ou Aucune règle. 3. Utilisez la liste déroulante De pour ajouter l’adresse IP, l’adresse réseau ou la plage d’adresses IP des ordinateurs du réseau approuvé ou facultatif, ou encore un alias auquel s’applique cette stratégie. Entrez les adresses IP réseau sur la base de la notation de barre oblique (également dénommée « notation de routage inter-domaine sans classes » (CIDR)). Pour plus d’informations, voir À propos de la notation de barre oblique. 4. Cliquez sur Ajouter. Les adresses IP que vous avez ajoutées figurent à présent dans la zone de texte De. Cette zone peut contenir plusieurs entrées. 5. Utilisez la liste déroulante À pour ajouter l’adresse IP, l’adresse réseau ou la plage d’adresses IP des ordinateurs du réseau externe, ou encore l’alias auquel s’applique cette stratégie. Entrez les adresses IP réseau sur la base de la notation de barre oblique. 6. Cliquez sur Ajouter. Pour ajouter d’autres adresses IP, renouvelez les opérations 3 à 6. Guide de l’utilisateur 131 Paramètres de proxy Utiliser une stratégie pour la gestion du trafic réseau VPN manuel 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est la suivante : https://192.168.111.1. 2. Dans la barre de navigation, sélectionnez Pare-feu > Sortant ou Pare-feu > Entrant. La page Filtrer le trafic sortant ou Filtrer le trafic entrant apparaît. 3. Créez une stratégie ou cliquez sur le bouton Modifier situé en regard de la stratégie existante que vous voulez modifier. 4. Activez la case à cocher Appliquer à un Manual VPN. 5. Pour appliquer la stratégie à un tunnel VPN unique, sélectionnez-le dans la liste déroulante adjacente. Si vous préférez l’appliquer à l’ensemble des tunnels VPN, sélectionnez l’option Toutes les passerelles. 6. Cliquez sur Envoyer pour enregistrer les modifications. À propos du proxy HTTP Le protocole HTTP (Hyper Text Transfer Protocol ) est un protocole de requête/réponse entre clients et serveurs. Le client HTTP est en principe un navigateur Internet. Le serveur HTTP est une ressource distante qui stocke ou crée des fichiers HTML, des images et d’autres types de contenus. Lorsque le client HTTP lance une requête, il établit une connexion TCP (Transmission Control Protocol) sur le port 80. Un serveur HTTP attend de recevoir les requêtes qui transitent via ce port. Lorsque cela arrive, il répond en renvoyant le fichier demandé, un message d’erreur ou d’autres informations. Le proxy HTTP est un filtre de contenu ultra performant. Il examine le trafic Web afin d’identifier les contenus suspects pouvant véhiculer des virus ou tout autre type d’intrusion. Il peut également protéger votre serveur Web face aux attaques du réseau externe. Pour activer le proxy HTTP, voir Activer un proxy. Si vous le souhaitez, vous pouvez ensuite modifier la définition du proxy. Voir la procédure décrite dans la rubrique Ajouter ou modifier une stratégie de proxy. Proxy HTTP : Limites de proxy Dans l’onglet Paramètres HTTP, vous pouvez modifier le délai d’expiration et la longueur maximale des requêtes et réponses HTTP. Ainsi, le proxy HTTP cesse d’utiliser un trop grand nombre de ressources réseau et certains types d’attaques peuvent être évités. Vous pouvez en outre personnaliser le message de refus affiché à l’intention des utilisateurs qui tentent de se connecter à un site Web bloqué par le proxy HTTP et ajouter les adresses IP des sites que le proxy doit autoriser. 132 Firebox X Edge e-Series Paramètres de proxy Requêtes HTTP : Paramètres généraux Délai d’attente des connexions inactives Ce paramètre détermine le délai pendant lequel le proxy HTTP attend que le client effectue une demande une fois la connexion au serveur établie. Si ledit client n’effectue aucune demande dans le délai imparti, le proxy met fin à la connexion. De cette façon, il est en mesure de réutiliser les ressources réseau. La valeur par défaut est de 10 minutes. Lorsqu’un utilisateur clique sur un lien hypertexte ou entre une adresse URL dans son navigateur, une requête HTTP d’extraction du contenu est envoyée à un serveur distant. Dans la plupart des navigateurs, la barre d’état indique alors « Site contacté... » ou un message similaire. Si le serveur distant met du temps à répondre, le client HTTP patiente jusqu’à ce qu’il reçoive une réponse ou que le délai de la requête arrive à expiration. Dans cet intervalle, le proxy HTTP continue à surveiller la connexion et emploie des ressources réseau fiables. Longueur maximale de l’URL Ce paramètre définit la longueur maximale du chemin d’accès dans une adresse URL. La partie « http:// » ou le nom de l’hôte n’est pas pris(e) en compte. La limite de longueur applicable aux adresses URL permet d’empêcher les attaques de dépassement de mémoire tampon à l’encontre des ressources de serveur Web. Il peut s’avérer nécessaire de choisir une valeur plus élevée pour les sites Web CGI qui utilisent de longues adresses URL. Réponses HTTP : Paramètres généraux Lorsque le serveur HTTP distant accepte la demande de connexion émise par le client HTTP, le message suivant apparaît généralement dans la barre d’état du navigateur : « Site contacté. En attente d’une réponse... ». Le serveur HTTP envoie ensuite la réponse adéquate au client. Il s’agit en principe d’un fichier ou d’un ensemble de fichiers. Le proxy utilise des ressources réseau fiables pour analyser la connexion réseau au serveur Web. Il peut s’avérer nécessaire de limiter ou d’étendre la façon dont la stratégie de proxy utilise ces ressources sur votre réseau. Délai Ce paramètre définit la durée pendant laquelle le proxy HTTP attend que le serveur Web envoie la page Web. Une fois le délai d’inactivité écoulé, vous êtes sûr que le proxy pourra utiliser les ressources du réseau. La valeur par défaut est de 10 minutes. Longueur maximale de la ligne Ce paramètre définit la longueur maximale autorisée pour une ligne de caractères dans les en-têtes de réponse HTTP. Cette limite permet d’éviter les attaques de dépassement de mémoire tampon. Proxy HTTP : Message de refus Firebox fournit un message de refus par défaut qui remplace le contenu refusé. Vous pouvez remplacer ce message de refus par un message que vous rédigez. Vous pouvez personnaliser le message de refus avec du HTML standard. Vous pouvez également utiliser des caractères Unicode (UTF-8) dans le message de refus. La première ligne du message de refus est un composant de l’en-tête HTTP. Vous devez entrer une ligne vide entre la première ligne et le corps du message. Guide de l’utilisateur 133 Paramètres de proxy Un message de refus est généré dans votre navigateur Web par Firebox lorsque vous effectuez une demande que le proxy HTTP n’autorise pas. Un message de refus est également généré lorsque votre demande est autorisée mais que le proxy HTTP refuse la réponse depuis le serveur Web distant. Par exemple, si un utilisateur essaie de télécharger un fichier « .exe » et que vous avez bloqué ce type de fichier, l’utilisateur voit un message de refus dans le navigateur Web. Si l’utilisateur essaie de télécharger une page Web avec un type de contenu non reconnu et que la stratégie du proxy est configurée pour bloquer les types MIME inconnus, l’utilisateur voit un message d’erreur dans le navigateur Web. Le message de refus par défaut apparaît dans le champ Message de refus. Pour personnaliser ce message, utilisez les variables suivantes : %(transaction)% Insère « Requête » ou « Réponse » pour indiquer le côté de la transaction générant le refus du paquet. %(raison)% Insère la raison pour laquelle Firebox a refusé le contenu. %(méthode)% Insère la méthode de requête de la requête refusée. %(hôte url)% Insère le nom d’hôte du serveur de l’URL refusée. L’adresse IP du serveur est fournie si aucun nom d’hôte n’a été inclus. %(chemin url)% Insère le composant chemin de l’URL refusée. Configurer le message de refus de la stratégie du proxy HTTP 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est la suivante : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Pare-feu > Sortant. La page Filtrer le trafic sortant s’affiche. 3. Dans Stratégies de proxy communes, cliquez sur le bouton Modifier en regard de l’entrée Proxy HTTP. 4. Sélectionnez l’onglet Paramètres HTTP. 5. Entrez le message de refus dans la zone de texte Message de refus. 6. Cliquez sur Envoyer pour enregistrer les modifications. 134 Firebox X Edge e-Series Paramètres de proxy Exceptions de proxy HTTP Les exceptions de proxy HTTP permettent d’ignorer des règles de proxy HTTP pour certains sites Web sans ignorer la structure du proxy. Le trafic qui correspond aux exceptions de proxy HTTP continue via la gestion de proxy standard utilisée par le proxy HTTP. Cependant, lorsqu’une correspondance est détectée, certains paramètres de proxy sont ignorés. Définir des exceptions Vous pouvez ajouter des noms d’hôtes ou des modèles comme exceptions de proxy HTTP. Par exemple, si vous bloquez tous les sites Web se terminant par « .test » mais que vous souhaitez autoriser les utilisateurs à accéder au site www.abc.test, vous pouvez ajouter « www.abc.test » comme exception de proxy HTTP. Vous spécifiez l’adresse IP ou le nom de domaine des sites accessibles. Le nom de domaine (ou hôte) est la partie de l’URL qui se termine par .com, .net, .org, .biz, .gov ou .edu. Les noms de domaine peuvent également se terminer par un code de pays, comme .de (Allemagne) ou .jp (Japon). Pour ajouter un nom de domaine, tapez l’URL sans la faire précéder de « http:// ». Par exemple, pour permettre aux utilisateurs d’accéder au site Web de WatchGuard http://www.watchguard.com, entrez www.watchguard.com. Pour autoriser tous les sous-domaines contenant « watchguard.com », vous pouvez utiliser l’astérisque (*) comme caractère générique. Par exemple, pour autoriser les utilisateurs à accéder à « watchguard.com », « www.watchguard.com» et « support.watchguard.com», entrez *watchguard.com. Pour ajouter une exception de proxy HTTP : 1. À partir de la configuration du proxy HTTP, sélectionnez l’onglet Paramètres HTTP. 2. Dans la zone de texte située à gauche du bouton Ajouter, entrez l’adresse IP de l’hôte ou le nom de domaine du site Web à autoriser. 3. Cliquez sur Ajouter. Répétez les étapes 2 et 3 pour chaque hôte ou nom de domaine supplémentaire à ajouter. 4. Cliquez sur Envoyer. Pour consigner un message du journal dans votre fichier journal dès lors qu’une transaction Web se produit sur un site Web de la liste des exceptions, activez la case à cocher Consigner chaque transaction correspondant à une exception de proxy HTTP. Réponses HTTP : Types de contenus Lorsqu’un serveur Web envoie du trafic HTTP, il ajoute généralement un type MIME ou un type de contenu à l’en-tête du paquet qui indique le type de contenu du paquet. L’en-tête HTTP du flux de données contient ce type MIME. Il est ajouté avant l’envoi des données. Le format d’un type MIME est type/sous-type. Par exemple, si vous souhaitez autoriser des images JPEG, ajoutez image/jpg à la définition du proxy. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique. Pour autoriser tout format d’image, ajoutez image/*. Certains types de contenus demandés par les utilisateurs sur les sites Web peuvent constituer une menace de sécurité pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs. Par défaut, Firebox autorise certains types de contenus sûrs et refuse le contenu MIME n’ayant pas de type de contenu spécifié. Certains serveurs Web fournissent des types MIME incorrects pour contourner les règles de contenu. Si la définition de proxy par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier la définition. Pour obtenir une liste de types MIME enregistrés actuels, consultez : http://www.iana.org/assignments/media-types. Guide de l’utilisateur 135 Paramètres de proxy Ajouter, supprimer ou modifier des types de contenus 1. Sélectionnez l’onglet Contenu HTTP. 2. Activez la case à cocher Autoriser uniquement les types de contenus sécurisés si vous souhaitez limiter les types de contenus autorisés via le proxy. Une liste des types MIME courants est incluse par défaut. 3. Pour ajouter des types de contenus courants à la liste, sélectionnez le type MIME dans la colonne Type de contenu prédéfini et cliquez sur le bouton <<. 4. Pour ajouter d’autres types de contenus, entrez-les dans le champ vide et cliquez sur Ajouter. Pour supprimer un type de contenu, sélectionnez-le dans la liste et cliquez sur Supprimer. Requêtes HTTP : Chemins d’URL Une URL (Uniform Resource Locator) identifie une ressource sur un serveur distant et indique l’emplacement du réseau sur ce serveur. Le chemin d’URL est la chaîne d’informations qui se trouve en dessous du nom de domaine de niveau supérieur. Vous pouvez utiliser le proxy HTTP pour bloquer des sites Web qui contiennent du texte spécifié dans le chemin d’URL. Si la définition de proxy par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier les modèles de chemins d’URL. Les exemples suivants permettent de bloquer du contenu utilisant des chemins d’URL de requête HTTP : Pour bloquer toutes les pages comportant le nom d’hôte www.test.com, entrez le modèle : www.test.com* Pour bloquer tous les chemins contenant le mot « sex », sur tous les sites Web : *sex* Pour bloquer tous les chemins d’URL se terminant par « .test », sur tous les sites Web : *.test 1. Activez la case à cocher Refuser les modèles de nom de fichier non sécurisés pour utiliser des règles de chemin d’URL permettant de filtrer le contenu des composants de l’hôte, du chemin et de la chaîne de requête d’une URL. Le nom spécifie les noms de fichiers mais aucun modèle entré ne sera appliqué à l’ensemble du chemin d’URL. 2. Pour ajouter un nouveau modèle de chemin, entrez le chemin et cliquez sur Ajouter. 3. Pour supprimer un modèle de chemin, sélectionnez le chemin et cliquez sur Supprimer. Réponses HTTP : Cookies Les cookies HTTP sont de petits fichiers de texte alphanumérique introduits par des serveurs Web sur les clients Web. Les cookies contrôlent la page d’un client Web pour activer le serveur Web et envoyer plusieurs pages dans le bon ordre. Les serveurs Web utilisent également des cookies pour collecter des informations relatives à un utilisateur final. La plupart des sites Web utilisent des cookies comme fonction d’authentification et autres fonctions de contrôle et ne peuvent pas fonctionner correctement sans cookies. Le proxy recherche les paquets en fonction du domaine associé au cookie. Le domaine peut être spécifié dans le cookie. S le cookie ne contient aucun domaine, le proxy utilise le nom d’hôte dans la première requête. Par exemple, pour bloquer tous les cookies pour nosy-adware-site.com, utilisez le modèle : *.nosy-adwaresite.com. Si vous souhaitez refuser les cookies de tous les sous-domaines d’un site Web, utilisez le caractère générique (*) avant et après le domaine. Par exemple, *google.com* bloque tous les sous-domaines de google.com, tels que images.google.com et mail.google.com. Bloquer les cookies provenant d’un site 1. Activez la case à cocher Refuser les cookies provenant de ces sites pour bloquer les cookies d’un site particulier. 2. Entrez dans le champ le nom de domaine du site Web ou une partie du domaine avec des caractères génériques. Cliquez sur Ajouter. 3. Cliquez sur Envoyer. 136 Firebox X Edge e-Series Paramètres de proxy À propos du proxy FTP Le protocole FTP (File Transfer Protocol, protocole de transfert de fichiers) permet d’envoyer des fichiers d’un ordinateur vers un autre via un réseau TCP/IP. Le client FTP est en principe un ordinateur. Le serveur FTP peut être une ressource stockant les fichiers sur le même réseau ou sur un autre réseau. Deux états sont possibles pour le client FTP en matière de transfert de données : actif ou passif. En mode actif, le serveur établit une connexion avec le client sur le port source 20. En mode passif, le client utilise un port précédemment négocié pour se connecter au serveur. Le proxy FTP surveille et analyse les connexions FTP entre les utilisateurs et les serveurs FTP auxquels ils se connectent. Modifier le proxy FTP Pour modifier les paramètres par défaut du proxy FTP, sélectionnez Pare-feu > Sortant dans le menu de navigation. Recherchez le proxy FTP et cliquez sur Modifier. Vérifiez bien le contenu de tous les onglets de la configuration du proxy FTP. L’onglet Propriétés indique le port et le protocole utilisés. Vous ne pouvez pas modifier son contenu. Définir les options de contrôle d’accès Dans l’onglet Sortant ou Entrant, vous avez la possibilité de définir des règles de filtrage des adresses IP, des adresses réseau ou des plages d’hôtes. Cette fonctionnalité est identique à celle disponible pour les stratégies de filtrage de paquets. 1. Cliquez sur l’onglet Sortant. 2. Dans la liste déroulante Filtre sortant, sélectionnez Refuser, Autoriser ou Aucune règle. 3. Utilisez la liste déroulante De pour ajouter l’adresse IP, l’adresse réseau ou la plage d’adresses IP des ordinateurs du réseau approuvé ou facultatif, ou encore un alias auquel s’applique cette stratégie. Entrez les adresses IP réseau sur la base de la notation de barre oblique (également dénommée « notation de routage inter-domaine sans classes » (CIDR)). Pour plus d’informations, voir À propos de la notation de barre oblique. 4. Cliquez sur Ajouter. Les adresses IP que vous avez ajoutées figurent à présent dans la zone de texte De. Cette zone peut contenir plusieurs entrées. 5. Utilisez la liste déroulante À pour ajouter l’adresse IP, l’adresse réseau ou la plage d’adresses IP des ordinateurs du réseau externe, ou encore l’alias auquel s’applique cette stratégie. Entrez les adresses IP réseau sur la base de la notation de barre oblique. 6. Cliquez sur Ajouter. Pour ajouter d’autres adresses IP, renouvelez les opérations 3 à 6. Guide de l’utilisateur 137 Paramètres de proxy Proxy FTP : Limites de proxy Dans l’onglet Paramètres FTP, vous avez la possibilité de définir pour le proxy les longueurs maximales autorisées pour le nom d’utilisateur, le mot de passe, les noms de fichier et les entrées de ligne de commande. Ces limites contribuent à protéger votre réseau contre les attaques de dépassement de mémoire tampon. Conservez les paramètres par défaut ou entrez une nouvelle valeur en octets. Longueur maximale du nom d’utilisateur Permet de définir une longueur maximale pour les noms d’utilisateur employés sur les sites FTP. Longueur maximale du mot de passe Permet de définir une longueur maximale pour les mots de passe utilisés pour se connecter aux sites FTP. Longueur maximale du nom de fichier Permet de définir une longueur maximale pour le nom des fichiers à transférer ou à télécharger. Longueur maximale de la ligne de commande Permet de définir une longueur maximale pour les lignes de commande utilisées sur les sites FTP. 138 Firebox X Edge e-Series Paramètres de proxy Proxy FTP : Transfert et téléchargement de contenu Vous pouvez contrôler le type de fichiers pouvant être transférés et téléchargés via le proxy FTP. Par exemple, de nombreux pirates utilisent des fichiers exécutables pour infecter les ordinateurs avec des virus ou des vers, c’est pourquoi vous pouvez décider de refuser les demandes de fichiers *.exe. De même, si vous ne souhaitez pas que les utilisateurs puissent transférer des fichiers Windows Media vers un serveur FTP, il vous suffit d’ajouter *.wmaà la définition du proxy et de préciser que les fichiers portant cette extension doivent être rejetés. Utilisez l’astérisque (*) en tant que caractère générique. 1. Cliquez sur l’onglet Contenu FTP. 2. Pour restreindre les types de fichiers pouvant être téléchargés par les utilisateurs, dans la zone de texte Téléchargements, activez la case à cocher Refuser ces types de fichiers. Cette case à cocher est activée par défaut ; elle permet de limiter les types de fichiers qu’il est possible de télécharger via le proxy FTP. 3. Si vous souhaitez refuser des fichiers ou types de fichiers supplémentaires, tapez un astérisque (*) ainsi que le nom ou l’extension concerné(e), puis cliquez sur Ajouter. 4. Pour restreindre les types de fichiers pouvant être transférés par les utilisateurs, dans la zone de texte Transferts, activez la case à cocher Refuser ces types de fichiers. Si vous sélectionnez ce paramètre, les fichiers répertoriés seront rejetés. 5. Si vous souhaitez refuser des fichiers ou types de fichiers supplémentaires, tapez un astérisque (*) ainsi que le nom ou l’extension concerné(e), puis cliquez sur Ajouter. 6. Cliquez sur Envoyer. Guide de l’utilisateur 139 Paramètres de proxy À propos du proxy POP3 POP3 (Post Office Protocol v.3) est un protocole qui transfère les e-mails depuis un serveur de messagerie vers un client de messagerie via une connexion TCP sur le port 110. La plupart des comptes de messagerie basés sur Internet utilisent POP3. Avec POP3, un client de messagerie contacte le serveur de messagerie et vérifie tous les nouveaux e-mails. S’il détecte un nouvel e-mail, il le télécharge sur le client de messagerie local. Une fois l’e-mail reçu par le client de messagerie, la connexion prend fin. Modifier le proxy POP3 Pour modifier les paramètres par défaut du proxy POP3, sélectionnez Pare-feu > Sortant dans le menu de navigation. Recherchez le proxy POP3 et cliquez sur Modifier. Vérifiez bien le contenu de tous les onglets de la configuration du proxy POP3. L’onglet Propriétés indique le port et le protocole utilisés. Vous pouvez modifier le port et le protocole dans cet onglet, si nécessaire. Définir les options de contrôle d’accès Dans l’onglet Sortant ou Entrant, vous avez la possibilité de définir des règles de filtrage des adresses IP, des adresses réseau ou des plages d’hôtes. Cette fonctionnalité est identique à celle disponible pour les stratégies de filtrage de paquets. 1. Cliquez sur l’onglet Sortant. 2. Dans la liste déroulante Filtre sortant, sélectionnez Refuser, Autoriser ou Aucune règle. 3. Utilisez la liste déroulante De pour ajouter l’adresse IP, l’adresse réseau ou la plage d’adresses IP des ordinateurs du réseau approuvé ou facultatif, ou encore un alias auquel s’applique cette stratégie. Entrez les adresses IP réseau sur la base de la notation de barre oblique (également dénommée « notation de routage inter-domaine sans classes » (CIDR)). Pour plus d’informations, voir À propos de la notation de barre oblique. 4. Cliquez sur Ajouter. Les adresses IP que vous avez ajoutées figurent à présent dans la zone de texte De. Cette zone peut contenir plusieurs entrées. 5. Utilisez la liste déroulante À pour ajouter l’adresse IP, l’adresse réseau ou la plage d’adresses IP des ordinateurs du réseau externe, ou encore l’alias auquel s’applique cette stratégie. Entrez les adresses IP réseau sur la base de la notation de barre oblique. 6. Cliquez sur Ajouter. Pour ajouter d’autres adresses IP, renouvelez les opérations 3 à 6. 140 Firebox X Edge e-Series Paramètres de proxy Proxy POP3 : Limites de proxy Dans l’onglet Paramètres POP3, vous pouvez modifier le délai et la longueur maximale de la ligne. Ainsi, le proxy POP3 cesse d’utiliser un trop grand nombre de ressources réseau et certains types d’attaques peuvent être évités. Vous pouvez également personnaliser le message de refus reçu par les utilisateurs lorsque l’e-mail qu’ils essaient de télécharger depuis un serveur de messagerie est bloqué. Pour obtenir une description complète des actions entreprises par le proxy POP3 et des messages visualisés par les utilisateurs lorsque le proxy POP3 détecte et bloque un contenu, consultez le Forum aux questions d’Edge à l’adresse http://www.watchguard.com/support/faq/edge. Délai Utilisez ce paramètre pour limiter la durée (en secondes) pendant laquelle le client de messagerie essaie d’ouvrir une connexion vers le serveur de messagerie avant de mettre fin à la connexion. Cela empêche le proxy d’utiliser trop de ressources réseau lorsque le serveur de messagerie est lent ou inaccessible. Longueur de ligne d’e-mail maximum Utilisez ce paramètre pour empêcher certains types d’attaques de dépassement de mémoire tampon. Cependant, il est peu probable que vous deviez modifier ce paramètre à moins qu’il n’empêche l’accès d’e-mails légitimes. Message de refus Dans la zone de texte Message de refus, écrivez un message en texte brut personnalisé qui apparaîtra dans l’e-mail du destinataire lorsque le proxy bloquera cet e-mail. Vous pouvez utiliser les variables suivantes : %(type)% Indique le type de contenu de l’e-mail. Guide de l’utilisateur 141 Paramètres de proxy %(nom_fichier)% Indique le nom du fichier joint. %(virus)% Indique le type de virus détecté. %(action)% Indique l’action entreprise par la stratégie de proxy. %(raison)% Indique la raison pour laquelle la stratégie de proxy a refusé le contenu. %(récupération)% Indique si vous pouvez récupérer la pièce jointe. Il est important de savoir comment le proxy POP3 refuse un e-mail. Lorsque le proxy bloque un message en raison d’un en-tête, vous recevez un message de refus au lieu de l’e-mail. Lorsque le proxy bloque un message en raison du contenu du corps de texte ou de la pièce jointe et que le poids de l’e-mail est inférieur à 100 kilooctets, vous recevez un message de refus au lieu de l’e-mail. Lorsque le proxy bloque un message en raison du contenu du corps de texte ou de la pièce jointe et que le poids de l’e-mail est supérieur à 100 kilo-octets, vous recevez une version tronquée de l’e-mail accompagnée du message de refus. Lorsque le proxy POP3 détecte une anomalie de protocole ou que la longueur de ligne d’e-mail dépasse la limite maximum, le proxy bloque le téléchargement du message et l’utilisateur ne reçoit aucune notification. Les messages de refus relatifs à cette situation sont consignés dans les messages des journaux. Pour plus d’informations sur l’utilisation de l’outil de message du journal, voir À propos de la journalisation et des fichiers journaux. 142 Firebox X Edge e-Series Paramètres de proxy Proxy POP3 : Types de contenus Certains types de contenus intégrés aux e-mails peuvent constituer une menace de sécurité pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs. L’onglet Contenu POP3 permet de limiter les types de contenus mais aussi de bloquer les URL et modèles de chemins spécifiés. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique. Guide de l’utilisateur 143 Paramètres de proxy Proxy POP3 : Autoriser uniquement les types de contenus sécurisés Les en-têtes d’e-mails incluent un en-tête Type de contenu qui indique le type MIME de l’e-mail et le cas échéant des pièces jointes. Le type de contenu du type MIME indique à l’ordinateur les types de supports contenus dans le message. Activez la case à cocher correspondant à cette fonction pour limiter les types de contenus que vous autorisez via le proxy. Lorsque vous activez cette case à cocher, seuls les types de contenus indiqués dans la zone de texte sont autorisés. Le format d’un type MIME est type/sous-type. Par exemple, si vous souhaitez autoriser des images JPEG, entrez image/jpg. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique. Pour autoriser tout format d’image, ajoutez image/* à la liste. 1. Pour ajouter des types de contenus supplémentaires à la liste par défaut, entrez le type MIME et cliquez sur Ajouter. 2. Pour supprimer un type de contenu, sélectionnez-le dans la liste et cliquez sur Supprimer. Il est impossible de supprimer message/* ou multipart/* car le proxy POP3 ne peut pas fonctionner sans ces paramètres. Vous obtiendrez un message d’erreur si vous essayez de supprimer ces types de contenus. 3. Pour ajouter des types de contenus courants à la liste, sélectionnez le type MIME dans la colonne Type de contenu prédéfini et cliquez sur le bouton <<. Proxy POP3 : Refuser les modèles de nom de fichier non sécurisés Pour refuser certaines pièces jointes de nom de fichier, activez la case à cocher Refuser les modèles de nom de fichier non sécurisés. Cette liste comporte les noms ou types de fichiers que le proxy doit bloquer. Utilisez l’astérisque (*) en tant que caractère générique. Par exemple, pour bloquer tous les fichiers MP3, entrez *.mp3. Si vous recevez des informations d’alerte LiveSecurity Service relatives à la vulnérabilité des fichiers PowerPoint et que vous souhaitez les refuser jusqu’à l’installation du correctif, entrez *.ppt. 1. Pour ajouter des modèles de nom de fichier à la liste des noms bloqués, entrez le modèle et cliquez sur Ajouter. 2. Pour supprimer un modèle de nom de fichier de la liste des noms bloqués, sélectionnez le modèle et cliquez sur Supprimer. 3. Cliquez sur Envoyer. À propos du Proxy SMTP SMTP (Simple Mail Transport Protocol) est un protocole utilisé pour envoyer des e-mails entre serveurs de messagerie mais également entre clients de messagerie et serveurs de messagerie. Il utilise généralement une connexion TCP sur un port 25. Le proxy SMTP permet de contrôler les e-mails et leur contenu. Le proxy analyse des messages SMTP en fonction d’un certain nombre de paramètres filtrés et les compare aux règles de la configuration du proxy. Si vous disposez d’un deuxième serveur de messagerie SMTP, vous devez fournir une adresse IP externe supplémentaire au système Edge. Vous pouvez ensuite activer la NAT un à un et créer une stratégie de proxy entrant personnalisée pour SMTP. 144 Firebox X Edge e-Series Paramètres de proxy Modifier le proxy SMTP Pour modifier les paramètres par défaut du proxy SMTP, sélectionnez Pare-feu > Trafic entrant dans le menu de navigation. Recherchez le proxy SMTP et cliquez sur Modifier. Observez tous les onglets de la configuration du proxy SMTP. L’onglet Propriétés indique quel port et quel protocole sont utilisés par le proxy. Vous ne pouvez pas modifier cet onglet. Définir les options de contrôle d’accès Dans l’onglet Sortant ou Entrant, vous avez la possibilité de définir des règles de filtrage des adresses IP, des adresses réseau ou des plages d’hôtes. Cette fonctionnalité est identique à celle disponible pour les stratégies de filtrage de paquets. 1. Cliquez sur l’onglet Sortant. 2. Dans la liste déroulante Filtre sortant, sélectionnez Refuser, Autoriser ou Aucune règle. 3. Utilisez la liste déroulante De pour ajouter l’adresse IP, l’adresse réseau ou la plage d’adresses IP des ordinateurs du réseau approuvé ou facultatif, ou encore un alias auquel s’applique cette stratégie. Entrez les adresses IP réseau sur la base de la notation de barre oblique (également dénommée « notation de routage inter-domaine sans classes » (CIDR)). Pour plus d’informations, voir À propos de la notation de barre oblique. 4. Cliquez sur Ajouter. Les adresses IP que vous avez ajoutées figurent à présent dans la zone de texte De. Cette zone peut contenir plusieurs entrées. 5. Utilisez la liste déroulante À pour ajouter l’adresse IP, l’adresse réseau ou la plage d’adresses IP des ordinateurs du réseau externe, ou encore l’alias auquel s’applique cette stratégie. Entrez les adresses IP réseau sur la base de la notation de barre oblique. 6. Cliquez sur Ajouter. Pour ajouter d’autres adresses IP, renouvelez les opérations 3 à 6. Guide de l’utilisateur 145 Paramètres de proxy Proxy SMTP : Limites du proxy Sous l’onglet Paramètres SMTP, vous pouvez définir des limites pour les délais d’attente, la taille des e-mails et la longueur des lignes. Ceci empêche le proxy SMTP d’utiliser trop de ressources réseau et permet d’éviter certains types d’attaques. Vous pouvez également personnaliser le message de refus que les utilisateurs voient lorsqu’un e-mail est bloqué par le proxy SMTP. Délai d’attente Définit la durée d’inactivité d’une connexion SMTP entrante avant que le proxy SMTP ne ferme la connexion. Taille maximale des e-mails Par défaut, le proxy SMTP ne limite pas la taille des e-mails (ce champ est défini sur zéro). Utilisez ce paramètre pour définir la longueur maximale des messages SMTP entrants. La plupart des e-mails sont envoyés au format texte ASCII 7 bits. Le codage peut augmenter la longueur des fichiers d’un tiers. Pour autoriser des messages de 1 Mo (1 024 Ko), il convient de définir ce champ sur un minimum de 1,4 Mo (1 400 Ko) pour garantir le passage de tous les e-mails et de leurs pièces jointes. Longueur maximale de la ligne Définit la longueur maximale des lignes d’un message SMTP. Une longueur excessive des lignes peut être à l’origine d’un débordement de la mémoire tampon sur certains systèmes de messagerie. La plupart des systèmes et clients d’e-mail envoient des lignes courtes, mais certains systèmes Web en envoient des très longues. . 146 Firebox X Edge e-Series Paramètres de proxy Proxy SMTP : Message de refus Dans le champ Message de refus, vous pouvez rédiger un message texte personnalisé qui s’affichera dans le message électronique du destinataire lorsque le proxy bloque ce message. Vous pouvez utiliser les variables suivantes : %(type)% Insère le type de contenu du message électronique. %(nom_fichier)% Insère le nom du fichier joint. %(virus)% Insère le type de virus détecté. %(action)% Insère l’action entreprise par la stratégie de proxy. %(raison)% Insère la raison pour laquelle la stratégie de proxy a refusé le contenu. Proxy SMTP : Filtrer les e-mails par modèle d’adresse Les options de l’onglet Adressage SMTP vous permettent de définir qui peut envoyer des e-mails au serveur de messagerie et qui peut les recevoir. Bloquer les courriers électroniques provenant d’expéditeurs dangereux Activez cette case à cocher pour limiter l’accès à votre réseau aux seuls messages des expéditeurs spécifiés. La configuration par défaut accepte le courrier électronique de tous les expéditeurs. Guide de l’utilisateur 147 Paramètres de proxy Limiter les destinataires d’e-mails Activez cette case à cocher pour autoriser la réception d’e-mails à certains utilisateurs de votre réseau uniquement. Cette fonction peut être utile pour empêcher les gens d’utiliser le serveur de messagerie comme relais. Pour ce faire, vérifiez que tous les domaines dont les messages sont acceptés par le serveur de messagerie figurent dans la liste de règles. Veillez à utiliser un format générique comme *@monwatchguard.com. Tout e-mail provenant d’une adresse ne correspondant pas aux domaines répertoriés est refusé. Proxy SMTP : Contenu des e-mails Certains types de contenu intégrés dans les e-mails peuvent constituer une menace à l’encontre de votre réseau. Les autres types de contenu peuvent réduire la productivité de vos utilisateurs. Sous l’onglet Contenu SMTP, vous pouvez limiter les types de contenu et bloquer des modèles de chemin et des URL spécifiques. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique. À partir de cet onglet, vous pouvez effectuer les opérations suivantes : Autoriser uniquement les types de contenu sécurisés Ajouter ou supprimer un type de contenu Refuser les modèles de noms de fichiers non sécurisés Ajouter ou supprimer des modèles de noms de fichiers Autoriser uniquement les types de contenus sécurisés Les en-têtes des e-mails renferment un en-tête Type de contenu qui affiche le type MIME de l’e-mail et de ses pièces jointes. Le type de contenu du type MIME indique à l’ordinateur les types de supports contenus dans le message. Activez la case à cocher de cette fonctionnalité pour limiter les types de contenu autorisés à traverser le proxy. Ce faisant, seuls les types de contenu affichés dans la zone de texte sont autorisés. Le format d’un type MIME est type/sous-type. Par exemple, pour autoriser les images JPEG, ajoutez image/jpg. Vous pouvez également utiliser l’astérisque (*) en tant que caractère générique. Pour autoriser tous les formats d’image, ajoutez image/* à la liste. 148 Firebox X Edge e-Series Paramètres de proxy Ajouter ou supprimer un type de contenu 1. Pour ajouter des types de contenus supplémentaires à la liste par défaut, entrez le type MIME et cliquez sur Ajouter. 2. Pour supprimer un type de contenu, sélectionnez-le dans la liste et cliquez sur Supprimer. Il est impossible de supprimer message/* ou multipart/* car le proxy SMTP ne peut pas fonctionner sans ces paramètres. Vous obtiendrez un message d’erreur si vous essayez de supprimer ces types de contenus. 3. Pour ajouter des types de contenus courants à la liste, sélectionnez le type MIME dans la colonne Type de contenu prédéfini et cliquez sur le bouton <<. Ajouter ou supprimer des modèles de nom de fichier 1. Pour ajouter des modèles de nom de fichier à la liste des noms bloqués, entrez le modèle et cliquez sur Ajouter. 2. Pour supprimer un modèle de nom de fichier de la liste des noms bloqués, sélectionnez le modèle et cliquez sur Supprimer. 3. Cliquez sur Envoyer. Refuser les modèles de nom de fichier non sécurisés Pour refuser certaines pièces jointes de noms de fichiers, activez la case à cocher Refuser les modèles de nom de fichier non sécurisés. Cette liste comporte les noms ou types de fichiers que le proxy doit bloquer. Utilisez l’astérisque (*) en tant que caractère générique. Par exemple, pour bloquer tous les fichiers MP3, entrez *.mp3. Si vous recevez des informations d’alerte LiveSecurity Service relatives à la vulnérabilité des fichiers PowerPoint et que vous souhaitez les refuser jusqu’à l’installation du correctif, entrez *.ppt. À propos du Proxy HTTPS HTTPS (Hypertext Transfer Protocol sur Secure Socket Layer ou HTTP sur SSL) est un protocole requête/ réponse entre clients et serveurs utilisé pour sécuriser des communications et des transactions. Le protocole HTTPS est plus sécurisé que le protocole HTTP car il utilise un certificat numérique pour chiffrer et déchiffrer des requêtes de page utilisateur ainsi que des pages renvoyées par le serveur Web. Le client HTTPS est en principe un navigateur Internet. Le serveur HTTPS est une ressource distante qui stocke ou crée des fichiers HTML, des images et d’autres types de contenus. Par défaut, lorsqu’un client HTTPS lance une requête, il établit une connexion TCP (Transmission Control Protocol) sur le port 443. La plupart des serveurs HTTPS attendent les requêtes sur le port 443. Lorsqu’il reçoit la requête du client, le serveur répond avec le fichier requis, un message d’erreur ou d’autres informations. Pour activer le proxy HTTPS, voir Activer un proxy. Si vous le souhaitez, vous pouvez ensuite modifier la définition du proxy. Voir la procédure décrite dans la rubrique Modifier le proxy HTTPS. Guide de l’utilisateur 149 Paramètres de proxy À propos du proxy H.323 Si, dans votre entreprise, vous faites appel à la technique de voix sur IP, vous pouvez ajouter une règle de proxy H.323 ou SIP (Session Initiation Protocol) afin d’ouvrir les ports nécessaires à l’activation de la voix sur IP par le biais de votre périphérique Firebox. Ces stratégies de proxy ont été conçues pour un environnement NAT et visent à maintenir la sécurité au niveau du matériel de conférence comportant des adresses privées et situé derrière le périphérique Firebox. H.323 est couramment utilisé pour les installations voix et les anciens systèmes de vidéoconférence. SIP est une norme plus récente qui est davantage employée dans les environnements hébergés, dans lesquels seuls les périphériques de point de terminaison (comme les téléphones) sont hébergés sur votre lieu de travail, et où un fournisseur de voix sur IP gère la connectivité. Si nécessaire, vous pouvez utiliser simultanément des stratégies de proxy H.323 et des stratégies de proxy SIP. Pour déterminer la stratégie de proxy à ajouter, consultez la documentation fournie avec vos périphériques ou applications de voix sur IP. La voix sur IP est généralement mise en oeuvre à l’aide de l’un des types de connexion suivants : Connexions pair à pair Dans une connexion pair à pair, chacun des deux périphériques connaît l’adresse IP de l’autre et se connecte à celui-ci directement. Connexions hébergées Les connexions peuvent être hébergées par un système de gestion des appels (autocommutateur privé). Avec H.323, le composant essentiel de la gestion des appels est appelé « portier ». À l’heure actuelle, WatchGuard ne prend pas en charge les connexions H.323 hébergées par des systèmes de gestion des appels. Dans la version actuelle, le proxy H.323 prend uniquement en charge les connexions pair à pair. Il peut s’avérer difficile de coordonner les divers composants d’une installation de voix sur IP. Il est recommandé de vérifier que les connexions de voix sur IP fonctionnent correctement avant de tenter d’utiliser le système avec des stratégies de proxy Firebox. Vous serez ainsi en mesure de résoudre les problèmes qui pourraient se présenter. Certains fabricants ont recours au protocole TFTP pour l’envoi de mises à jour périodiques au matériel de voix sur IP géré. Si ce protocole est nécessaire aux mises à jour de votre matériel, veillez à ajouter une stratégie TFTP à la configuration Firebox afin d’autoriser ces connexions. Lorsque vous activez une stratégie de proxy H.323, le périphérique Firebox : répond automatiquement aux applications de voix sur IP et ouvre les ports appropriés ; vérifie que les connexions de voix sur IP utilisent les protocoles H.323 standard ; génère des messages de journal à des fins d’audit. Pour activer le proxy H.323, voir Activer un proxy. Si vous le souhaitez, vous pouvez ensuite modifier la définition du proxy. Voir la procédure décrite dans la rubrique Modifier le proxy HTTP. 150 Firebox X Edge e-Series Paramètres de proxy À propos du Proxy SIP Si, dans votre entreprise, vous faites appel à la technique de voix sur IP, vous pouvez ajouter une règle de proxy SIP (Session Initiation Protocol) ou H.323 afin d’ouvrir les ports nécessaires à l’activation de la voix sur IP par le biais de votre périphérique Firebox. Ces stratégies de proxy ont été conçues pour un environnement NAT et visent à maintenir la sécurité au niveau du matériel de conférence comportant des adresses privées et situé derrière le périphérique Firebox. H.323 est couramment utilisé pour les installations voix et les anciens systèmes de vidéoconférence. SIP est une norme plus récente qui est davantage employée dans les environnements hébergés, dans lesquels seuls les périphériques de point de terminaison (comme les téléphones) sont hébergés sur votre lieu de travail, et où un fournisseur de voix sur IP gère la connectivité. Si nécessaire, vous pouvez utiliser simultanément des stratégies de proxy H.323 et des stratégies de proxy SIP. Pour déterminer la stratégie de proxy à ajouter, consultez la documentation fournie avec vos périphériques ou applications de voix sur IP. La voix sur IP est généralement mise en oeuvre à l’aide de l’un des types de connexion suivants : Connexions pair à pair Dans une connexion pair à pair, chacun des deux périphériques connaît l’adresse IP de l’autre et se connecte à celui-ci directement. Connexions hébergées Les connexions peuvent être hébergées par un système de gestion des appels (autocommutateur privé). Avec le protocole SIP standard, deux composants clés du système d’appel sont « SIP Registrar » et « SIP Proxy ». Ces composants assurent à eux deux la fonctionnalité de H.323 Gatekeeper et fonctionnent ensemble pour gérer des connexions reçues par le système de gestion d’appel. Le proxy SIP WatchGuard et le proxy SIP standard sont différents. Le proxy SIP WatchGuard est un proxy transparent qui ouvre et ferme des ports pour permettre le fonctionnement de SIP. Le proxy SIP WatchGuard peut prendre en charge le SIP Registrar et le proxy SIP lorsqu’ils sont utilisés dans un système de gestion d’appel externe au Firebox. SIP n’est pas pris en charge dans cette version si votre système de gestion d’appel est protégé par Firebox. Il peut s’avérer difficile de coordonner les divers composants d’une installation de voix sur IP. Il est recommandé de vérifier que les connexions de voix sur IP fonctionnent correctement avant de tenter d’utiliser le système avec des stratégies de proxy Firebox. Vous serez ainsi en mesure de résoudre les problèmes qui pourraient se présenter. Certains fabricants ont recours au protocole TFTP pour l’envoi de mises à jour périodiques au matériel de voix sur IP géré. Si ce protocole est nécessaire aux mises à jour de votre matériel, veillez à ajouter une stratégie TFTP à la configuration Firebox afin d’autoriser ces connexions. Lorsque vous activez une stratégie de proxy SIP, le périphérique Firebox : répond automatiquement aux applications de voix sur IP et ouvre les ports appropriés ; vérifie que les connexions de voix sur IP utilisent les protocoles SIP standard ; génère des messages de journal à des fins d’audit. Vous pouvez créer des stratégies de proxy SIP pour le trafic entrant et sortant. Pour créer une stratégie de proxy SIP personnalisée, voir Activer un proxy. Si vous le souhaitez, vous pouvez ensuite modifier la définition du proxy. Voir la procédure décrite dans la rubrique Ajouter ou modifier une stratégie de proxy. Guide de l’utilisateur 151 Paramètres de proxy À propos du proxy sortant La stratégie pour le trafic sortant s’applique à tout le trafic réseau sortant, y compris le trafic géré par d’autres stratégies communes telles que HTTP ou FTP. La stratégie de filtrage de paquets vous permet de limiter les adresses IP pouvant envoyer du trafic depuis des interfaces approuvées ou facultatives vers l’interface externe. La stratégie de proxy vous permet de définir des options spécifiques pour différents types de trafic et de contrôler les connexions des applications de messagerie instantanée (IM) ou pair à pair (P2P). Vous pouvez également appliquer la stratégie de trafic sortant à un tunnel VPN manuel. Lorsque vous activez la stratégie de trafic sortant, vous pouvez : Choisir d’autoriser ou de refuser différents types de trafic réseau. Sélectionner une stratégie de proxy HTTP, HTTPS ou SIP pour gérer ces types de trafic. Bloquer ou consigner des paquets envoyés par des applications de messagerie instantanée (IM) et/ou P2P. Pour activer la stratégie de trafic sortant, voir Activer une stratégie de proxy commune. Ensuite, vous pouvez modifier la définition de proxy tel que décrit dans Ajouter ou modifier le proxy HTTP. Les options disponibles uniquement pour la stratégie de proxy sortant sont décrites ci-dessous. Onglet Paramètres Vous pouvez utiliser l’onglet Paramètres de la stratégie de proxy sortant pour gérer rapidement différents types de trafic réseau sortant. Pour modifier la configuration d’un protocole, sélectionnez une option dans la liste déroulante adjacente. Pour autoriser tout le trafic réseau sortant pour le protocole spécifié, sélectionnez Autoriser. Pour bloquer tout le trafic réseau sortant pour le protocole spécifié, sélectionnez Refuser. Pour utiliser une stratégie de proxy commune ou personnalisée afin de gérer le trafic HTTP, HTTPS ou SIP, sélectionnez une stratégie de proxy. Onglet Contenu Un grand nombre d’entreprises n’autorisent pas l’utilisation des applications de messagerie instantanée (IM) ou P2P ou bien autorisent l’utilisation d’une seule application approuvée. Vous pouvez autoriser ou bloquer tout le trafic sortant des programmes suivants : Applications de messagerie instantanée : MSN, Yahoo IM, AIM, IRC, ICQ IM Applications pair à pair : BitTorrent, Ed2k, Gnutella, Kazaa, Napster Pour autoriser ou bloquer une ou plusieurs applications de messagerie instantanée (IM) ou P2P, activez les cases à cocher adjacentes, puis sélectionnez Autoriser ou Refuser dans la liste déroulante. Lorsque vous sélectionnez Autoriser, le système Edge ajoute, dans le journal système, des informations relatives au trafic réseau envoyé par les applications spécifiées. 152 Firebox X Edge e-Series Paramètres de proxy À propos des abonnements supplémentaires aux services de sécurité pour les proxies Il vous est possible de souscrire des abonnements supplémentaires aux services de sécurité pour les proxies Firebox X Edge afin de renforcer la sécurité de votre réseau. Ces services d’abonnement sont fournis par WatchGuard. Pour obtenir les informations de souscription, visitez le site Web LiveSecurity de WatchGuard, à l’adresse http://www.watchguard.com/store, ou prenez contact avec votre revendeur WatchGuard. À propos de Gateway AntiVirus et Intrusion Prevention À propos de WebBlocker À propos de spamBlocker Guide de l’utilisateur 153 Paramètres de proxy 154 Firebox X Edge e-Series 9 Default Threat Protection À propos de Default Threat Protection Firebox X Edge e-Series intègre un ensemble de fonctions Default Threat Protection destinées à écarter tout trafic réseau des systèmes qui présentent ou risquent de présenter une menace à la sécurité. Ces fonctions sont les suivantes : Site définitivement bloqué La liste Sites bloqués répertorie les adresses IP que vous ajoutez manuellement à votre fichier de configuration. Les adresses IP figurant sur la liste ne peuvent se connecter à ou via Edge sur aucun port. Sites bloqués automatiquement Adresses IP ajoutées à/supprimées d’une liste de sites temporairement bloqués. Firebox utilise les règles de gestion des paquets spécifiées pour chaque service. Par exemple, vous pouvez configurer Firebox pour qu’il bloque automatiquement l’adresse IP source d’un ordinateur qui tente de se connecter via Edge avec le service Telnet sur le port 23. Si un ordinateur qui tente de se connecter obtient un refus, il ne pourra établir de connexion via Edge sur aucun port, pendant une durée que vous définissez. Cette liste est appelée Sites bloqués temporairement. Ports bloqués Vous pouvez bloquer les ports susceptibles d’être utilisés pour attaquer votre réseau. Ceci permet d’arrêter les services réseau externes spécifiés. Lorsque vous bloquez un port, vous annulez toutes les règles de configuration du pare-feu. Protection contre le refus de service Un ensemble complet de règles de protection contre le refus de service vous permet de définir vos propres seuils pour empêcher les attaques de refus de services courantes telles que les attaques SYN Flood ou ICMP Flood. Vous pouvez également définir des limites de connexion afin de protéger le réseau des attaques de refus de service distribué. Options de pare-feu Ensemble global de règles de pare-feu permettant de contrôler des fonctionnalités telles que les règles de journalisation par défaut et l’accès FTP à Edge. Guide de l’utilisateur 155 Default Threat Protection À propos des sites bloqués La fonctionnalité Sites bloqués vous permet de protéger votre réseau de systèmes connus pour présenter ou pouvant présenter un risque de sécurité. Une fois que vous avez identifié la source du trafic suspect, vous pouvez bloquer l’ensemble des connexions en provenance de cette adresse IP. Il vous est en outre possible de configurer le périphérique Firebox pour qu’il envoie un message du journal chaque fois que la source tente de se connecter à votre réseau. Les services utilisés par les sources lors de leurs attaques sont mentionnés dans le fichier journal. Un site bloqué est représenté par une adresse IP qui n’est pas autorisée à se connecter via le périphérique Firebox. L’ensemble du trafic provenant d’une adresse IP bloquée est rejeté. Vous pouvez définir deux types d’adresses IP bloquées. Sites bloqués de façon permanente Le trafic réseau en provenance de sites bloqués de façon permanente est systématiquement refusé. Ces adresses IP sont stockées dans la liste des sites bloqués et doivent être ajoutées manuellement. Par exemple, vous pouvez ajouter à la liste des sites bloqués une adresse IP qui tente constamment d’analyser votre réseau, afin d’empêcher les analyses de port à partir de ce site. Pour bloquer un site, voir Bloquer un site de façon permanente. Liste des sites automatiquement bloqués/sites bloqués de façon temporaire Les paquets issus de sites automatiquement bloqués sont refusés pour la durée choisie. Vous pouvez décider de bloquer de manière automatique les sites responsables d’un trafic réseau non géré. Pour connaître la procédure de blocage automatique du trafic non géré, voir Bloquer des sites de façon temporaire. 156 Firebox X Edge e-Series Default Threat Protection Bloquer un site de façon permanente 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est https://192.168.111.1. 2. Dans la barre de navigation, cliquez sur Pare-feu > Intrusion Prevention. Cliquez sur l’onglet Sites bloqués. 3. Dans la liste déroulante, sélectionnez le type d’élément que vous voulez saisir : adresse IP de l’hôte, plage d’adresses IP ou adresse réseau. Entrez la valeur dans la zone de texte adjacente, puis cliquez sur Ajouter. Vous ne pouvez pas ajouter d’adresses IP ou de réseau internes à la liste des sites bloqués. 4. Cliquez sur Envoyer. Guide de l’utilisateur 157 Default Threat Protection Bloquer des sites de façon temporaire Pour afficher la liste des adresses IP qu’Edge bloque automatiquement, sélectionnez État du système > Sites hostiles. Vous pouvez consulter la liste des sites bloqués de façon temporaire ainsi que les messages des journaux pour choisir en toute connaissance de cause les adresses IP à bloquer de manière permanente. 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est https://192.168.111.1. 2. Dans la barre de navigation, cliquez sur Pare-feu > Intrusion Prevention. Cliquez sur l’onglet Blocage automatique. 3. Activez la case à cocher Bloquer automatiquement les hôtes avec un trafic sortant refusé par la stratégie par défaut afin d’ajouter à la liste des sites bloqués de façon temporaire les adresses IP des sites rejetés par la stratégie de pare-feu par défaut d’Edge. Pour connaître cette stratégie, sélectionnez Pare-feu > Entrant. Si vous activez la fonctionnalité de blocage automatique, l’adresse IP source d’un site rejeté par Edge en raison de l’absence de règle l’autorisant est ajoutée à la liste des sites automatiquement bloqués. 4. Vous pouvez modifier la durée de conservation d’un site dans la liste des sites automatiquement bloqués à l’aide de la liste déroulante Durée du blocage automatique de sites. La durée par défaut est 30 minutes. 5. Vous avez la possibilité de définir des exceptions pour les règles applicables aux sites automatiquement bloqués. La fonctionnalité de blocage automatique n’entraîne jamais le blocage du trafic en provenance d’une adresse IP figurant dans la liste des exceptions au blocage automatique. Dans la liste déroulante, sélectionnez le type d’élément que vous voulez saisir : adresse IP de l’hôte, plage d’adresses IP ou adresse réseau. Entrez la valeur dans la zone de texte adjacente, puis cliquez sur Ajouter. 158 Firebox X Edge e-Series Default Threat Protection À propos des ports bloqués Vous pouvez bloquer les ports qui sont susceptibles d’être utilisés pour déclencher une attaque sur votre réseau. Les services réseau externes spécifiés sont alors arrêtés. Le blocage d’un port est prioritaire sur toutes les règles définies dans le pare-feu. Vous pouvez choisir de bloquer un port pour diverses raisons: En bloquant vos ports, vous protégez vos services les plus vulnérables. Cette fonctionnalité vous permet d’éviter des erreurs dans la configuration de Firebox. Les explorations de services vulnérables peuvent entraîner la création d’entrées de journal indépendantes. Ports bloqués par défaut Dans la configuration par défaut, le périphérique Firebox bloque certains ports de destination. En règle générale, il est inutile de modifier cette configuration de base. Les paquets TCP et UDP sont bloqués sur les systèmes et pour les ports suivants: X Window System (ports 6000-6005) La connexion au client X Window System (ou X-Windows) n’est pas chiffrée, c’est pourquoi il est dangereux d’y avoir recours sur Internet. X Font Server (port 7100) De nombreuses versions de X-Windows exécutent des serveurs X Font Server. Ces derniers jouent le rôle de super utilisateur sur certains hôtes. Système de gestion de fichiers en réseau (NFS) (port 2049) Le système de gestion de fichiers en réseau (NFS) est un service TCP/IP couramment utilisé permettant à un grand nombre d’utilisateurs de manipuler les mêmes fichiers au sein d’un réseau. Dans les nouvelles versions de ce système, d’importants problèmes d’authentification et de sécurité ont été mis à jour. Il peut être très dangereux de fournir ce type de système sur Internet. Le portmapper utilise fréquemment le port 2049 pour le système de gestion de fichiers en réseau. Si vous employez ce système, vérifiez que le port 2049 lui est dédié sur l’ensemble des ordinateurs. rlogin, rsh, rcp (ports 513 et 514) Ces services permettent d’accéder à d’autres ordinateurs à distance. Ils constituent un risque en matière de sécurité et de nombreux pirates les explorent. Portmapper RPC (port 111) Les services RPC utilisent le port 111 pour rechercher les ports employés par un serveur RPC spécifique. Ils sont très vulnérables via Internet. port 8000 De nombreux fournisseurs ont recours à ce port, qui pose beaucoup de problèmes de sécurité. port 1 Le service TCPmux utilise le port 1, mais cela arrive rarement. Vous pouvez le bloquer et ainsi rendre l’examen des ports par les outils plus difficile. port 0 Ce port est systématiquement bloqué par Firebox. Vous ne pouvez pas autoriser le trafic entre le port 0 et le périphérique Firebox. Si vous devez autoriser le trafic pour les types d’applications logicielles qui ont recours à des ports bloqués recommandés, il est conseillé de le faire uniquement par le biais d’un tunnel VPN IPSec ou d’utiliser ssh pour accéder au port. Guide de l’utilisateur 159 Default Threat Protection Bloquer un port Soyez prudent si vous bloquez des numéros de port supérieurs à 1023. Les clients utilisent fréquemment ces numéros de port source. 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est https://192.168.111.1. 2. Dans la barre de navigation, cliquez sur Pare-feu > Intrusion Prevention. Cliquez sur l’onglet Ports bloqués. 3. Dans la zone de texte Ports, saisissez le nom du port à bloquer. Cliquez sur Ajouter. 4. Si vous souhaitez qu’Edge bloque automatiquement tout ordinateur externe tentant d’accéder à un port bloqué, activez la case à cocher Bloquer automatiquement les sites qui tentent d’utiliser des ports bloqués. 160 Firebox X Edge e-Series Default Threat Protection À propos des attaques de refus de service Le périphérique Firebox X Edge e-Series intègre une fonctionnalité contre le refus de service qui offre une protection contre les attaques de refus de service (DoS, Denial-of-service) et de refus de service distribué (DDoS, Distributed Denial-of-Service) les plus courantes et les plus fréquemment utilisées sur Internet. Une attaque DoS consiste à tenter de rendre une ressource indisponible pour les utilisateurs habituels d’un ordinateur. Le plus souvent, les attaques DoS tentent d’empêcher un site Internet ou un service de fonctionner correctement pendant un certain temps en utilisant une grande quantité de bande passante ou de ressources sur le système faisant l’objet de l’attaque. Ce type d’attaque est généralement appelé « Flood ». Lors d’une attaque de refus de service distribué (DDoS), plusieurs ordinateurs envoient du trafic à un seul ordinateur cible à la fois. Ainsi, l’ordinateur cible qui devient trop encombré et utilise trop de ressources pour essayer d’établir des connexions avec chaque ordinateur malveillant, ne parvient plus à gérer le trafic régulier. Supprimer les attaques DoS Flood Vous pouvez configurer Edge afin de vous protéger contre les attaques DoS Flood les plus courantes. Pour chaque type d’attaque DoS Flood, configurez Edge en limitant le nombre de nouveaux paquets de connexion par seconde autorisés à transiter via une interface. Edge abandonnera les paquets qui dépasseront la limite configurée. Guide de l’utilisateur 161 Default Threat Protection Dans la page Pare-feu > Intrusion Prevention, sélectionnez l’onglet Défense DoS, puis définissez le seuil de paquet/seconde pour les types d’attaques DoS Flood suivants : Attaque IPSec Flood Attaque DoS au cours de laquelle la personne malveillante surcharge un ordinateur avec un nombre important de connexions IPSec. Attaque IKE Flood Attaque DoS au cours de laquelle la personne malveillante surcharge un ordinateur avec un nombre important de connexions IKE (Internet Key Exchange). Attaque ICMP Flood Attaque DoS au cours de laquelle la personne malveillante surcharge un ordinateur avec une requête d’écho ICMP (paquets ping). Attaque SYN Flood Attaque DoS au cours de laquelle la personne malveillante surcharge un ordinateur avec un nombre important de requêtes SYN. Attaque UDP Flood Attaque DoS au cours de laquelle la personne malveillante surcharge un ordinateur avec un nombre important de connexions UDP (User Datagram Protocol). 162 Firebox X Edge e-Series Default Threat Protection Prévention des refus de service distribués Utilisez la fonction de prévention du refus de service distribué pour définir les limites du trafic client et serveur. Le paramètre Quota serveur permet de définir un nombre maximal de connexions entrantes simultanées autorisées via Firebox à partir d’ordinateurs externes. Le paramètre Quota client permet de définir un nombre maximal de connexions sortantes simultanées autorisées à partir d’ordinateurs protégés par Edge. Si le nombre total de connexions client ou serveur par seconde dépasse la limite de connexions que vous avez définie, les nouveaux paquets de connexion sont abandonnés. Guide de l’utilisateur 163 Default Threat Protection Configurer les options de pare-feu La page Options de pare-feu vous permet de configurer des règles pour augmenter la sécurité du réseau. 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, cliquez sur Pare-feu > Options de pare-feu. La page Options de pare-feu s’affiche. 164 Firebox X Edge e-Series Default Threat Protection Les options de pare-feu sont préconfigurées pour répondre aux besoins d’un grand nombre de clients Edge. Activez la case à cocher de toutes les options à activer, puis cliquez sur Envoyer pour enregistrer les modifications dans Edge. Les options de pare-feu sont les suivantes : Ne pas répondre aux requêtes ping Vous pouvez configurer Firebox X Edge e-Series pour qu’il refuse les requêtes ping reçues sur le réseau approuvé, externe ou facultatif. Cette option remplace tous les autres paramètres Edge. Ne pas autoriser l’accès FTP à Edge Vous pouvez configurer Firebox X Edge e-Series pour qu’il n’autorise aucune connexion FTP à partir du réseau approuvé ou facultatif. Cette option remplace tous les autres paramètres Edge. Lors de la mise à jour du microprogramme du périphérique Firebox X Edge avec le programme d’installation automatique, vous devez désactiver la case à cocher Ne pas autoriser l’accès FTP à Edge à partir du réseau approuvé. Si vous ne le faites pas, le programme de mise à jour ne pourra pas déplacer les fichiers du microprogramme vers Edge. Consigner tous les accès sortants autorisés Si vous utilisez les paramètres de propriétés par défaut, Firebox X Edge e-Series n’enregistre que les événements inhabituels. En cas de refus du trafic, Edge enregistre les informations dans le fichier journal. Vous pouvez configurer Edge pour qu’il enregistre les informations relatives à l’ensemble du trafic sortant dans le fichier journal. Lorsque vous enregistrez l’ensemble du trafic sortant, cela génère un grand nombre d’enregistrements dans le journal. Nous vous recommandons donc d’enregistrer l’ensemble du trafic sortant uniquement à titre de dépannage, sauf si vous envoyez les messages à un serveur Log Server distant. Pour plus d’informations, voir la rubrique Consulter le journal d’événements. Consigner le trafic de diffusion refusé Si vous utilisez les paramètres de propriétés par défaut, Firebox X Edge e-Series n’enregistre que les événements inhabituels. En cas de refus du trafic, Edge enregistre les informations dans le fichier journal. Vous pouvez configurer Edge pour qu’il enregistre les informations relatives au trafic réseau refusé qui ont été envoyées à plusieurs destinations à la fois. Consigner le trafic malveillant refusé Si vous utilisez les paramètres de propriétés par défaut, Firebox X Edge e-Series n’enregistre que les événements inhabituels. En cas de refus du trafic, Edge enregistre les informations dans le fichier journal. Vous pouvez configurer Edge pour qu’il enregistre les informations lorsque l’adresse IP source du trafic réseau ne correspond pas à l’adresse IP du serveur hôte à l’origine du trafic. Consigner le trafic refusé à cause des options IP Les options IP sont des extensions du protocole IP (Internet Protocol). Edge utilise les extensions pour les applications logicielles spéciales ou pour le dépannage avancé. Une personne malveillante peut utiliser les options IP de l’en-tête de paquet pour s’infiltrer dans votre réseau. Activez cette case à cocher pour créer un message du journal en cas de refus de trafic en raison des options IP. Consigner le trafic entrant refusé par défaut Activez cette case à cocher pour que le système Edge envoie un message du journal au fichier journal chaque fois qu’une connexion entrante est refusée par les règles par défaut configurées dans le système. Consigner le trafic sortant refusé par défaut Activez cette case à cocher pour que le système Edge envoie un message du journal au fichier journal chaque fois qu’une connexion sortante est refusée par les règles par défaut configurées dans le système. Guide de l’utilisateur 165 Default Threat Protection 166 Firebox X Edge e-Series 10 Gestion du trafic À propos de la gestion du trafic Firebox X Edge e-Series propose de nombreuses méthodes pour gérer le trafic sur votre réseau. Vous pouvez limiter le taux de trafic envoyé vers l’interface externe ou IPSec en utilisant la qualité de service (QoS) par le biais du contrôle du trafic. Vous pouvez gérer la transmission des données en accordant une bande passante plus ou moins large aux différents types de trafic. Vous pouvez également modifier l’adresse réseau visible du trafic entrant ou sortant pour empêcher les conflits à l’aide du protocole de traduction d’adresses réseau NAT (Network Address Translation). À propos du trafic réseau La bande passante correspond à la quantité de données pouvant être envoyées via le réseau au cours d’un laps de temps donné. Elle est habituellement exprimée en bits par seconde (bits/s), kilobits par seconde (Kbits/s) ou mégabits par seconde (Mbits/s). Une ligne T1 fournit approximativement 1,5 Mbits/s, tandis qu’une connexion d’accès à distance fournit environ 56 Kbits/s. La latence correspond au temps requis par un paquet pour aller d’une source vers une destination. Ensemble, la latence et la bande passante déterminent la vitesse et la capacité d’un réseau. Vous pouvez améliorer la latence en configurant le contrôle du trafic. Vous devez mettre à niveau votre connexion Internet auprès de votre fournisseur de services Internet pour augmenter la bande passante. Lorsqu’un trop grand nombre d’utilisateurs ou d’appareils essayent d’envoyer des données au même moment, Firebox X Edge ne peut pas envoyer toutes les données rapidement. Lorsqu’Edge gère un trafic plus important que ce que la connexion externe peut envoyer simultanément, le fonctionnement de certains programmes est ralenti. Raisons d’un trafic réseau lent De nombreux programmes utilisent une bande passante la plus large possible pour fonctionner. Si un trop grand nombre d’utilisateurs utilisent de tels programmes, d’autres utilisateurs ne peuvent pas utiliser le réseau. Les services pair à pair (P2P), la messagerie instantanée et les téléchargements de fichiers sont des programmes qui utilisent souvent une bande passante très large. Pour limiter la largeur de la bande passante que ces applications logicielles peuvent utiliser, vous devez utiliser le contrôle du trafic. Pour refuser ou autoriser le trafic provenant de ces applications logicielles, vous devez configurer une stratégie. Pour plus d’informations sur les stratégies, voir À propos des stratégies. Guide de l’utilisateur 167 Gestion du trafic Catégories de trafic Firebox X Edge e-Series vous permet de limiter les données envoyées par le biais de stratégies et de filtres de contrôle du trafic. Une stratégie peut autoriser ou refuser toutes les données d’un type spécifié. Le contrôle du trafic n’autorise pas ni ne refuse de données, mais crée des « filtres » qui séparent le trafic réseau important des autres données. Par exemple, vous pouvez créer un filtre qui identifie le trafic de messagerie (SMTP) ou les connexions SSH (secure shell). Lorsque vous créez un filtre, vous devez sélectionner la priorité pour le trafic qu’il identifiera. Il existe quatre catégories de trafic réseau : interactif, à priorité élevée, à priorité moyenne et à basse priorité. Vous pouvez créer jusqu’à 100 filtres de trafic dans chaque catégorie de trafic. Les filtres peuvent être basés sur le type de protocole IP, l’adresse IP source ou de destination, et le port source ou de destination. Le trafic interactif est routé avant tout autre trafic. La bande passante qui n’est pas utilisée pour le trafic interactif est divisée entre le trafic à priorité élevée, moyenne et basse. La bande passante inutilisée est automatiquement attribuée aux autres catégories. Par exemple, en l’absence de trafic interactif ou à priorité basse, toute la bande passante est divisée entre le trafic à priorité élevée et le trafic à priorité moyenne. Trafic interactif Le trafic interactif est envoyé avant tout autre trafic et est limité seulement par la vitesse de votre connexion. Utilisez la catégorie interactive pour le trafic qui doit avoir une faible latence. Telnet, Secure Shell (SSH), la communication vidéo et les communications VoIP (Voice over Internet Protocol) sont des exemples de trafic interactif. Priorité élevée Le trafic à priorité élevée obtient 75 % de la bande passante qui n’est pas utilisée par le trafic interactif. Utilisez la catégorie à priorité élevée pour le trafic qui est très important pour votre entreprise ou qui utilise une bande passante importante. Le trafic HTTP sécurisé (HTTPS) et le trafic des réseaux privés virtuels (VPN) sont des exemples de trafic à priorité élevée. Priorité moyenne Le trafic à priorité moyenne obtient 20 % de la bande passante qui n’est pas utilisée par le trafic interactif. Lorsque le contrôle du trafic est activé, tout trafic qui ne se trouve pas dans un autre filtre est placé automatiquement dans la catégorie moyenne. Ce trafic est représenté par l’entrée « Tout autre trafic » dans la page Contrôle du trafic. Priorité basse Le trafic à priorité basse obtient 5 % de la bande passante qui n’est pas utilisée par le trafic interactif. Utilisez la catégorie à priorité basse pour le trafic à priorité basse qui n’utilise pas une bande passante importante ou n’est pas important. Les transferts de fichiers pair à pair (P2P) et la messagerie instantanée (IM) sont des exemples de trafic à priorité basse. Pour utiliser la définition des priorités, vous devez connaître votre limite de bande passante en amont, en kilobits par seconde (Kbits/s). Si vous ne connaissez pas votre limite de bande passante en amont, demandez-la à votre administrateur réseau ou à votre fournisseur de services Internet. Pour un meilleur contrôle du trafic, Edge soustrait 5 % à la limite de bande passante en amont pour réduire la latence des paquets. Si vous entrez une limite de bande passante en amont incorrecte, le contrôle du trafic ne fonctionne pas correctement. 168 Firebox X Edge e-Series Gestion du trafic Marquer le trafic Si Firebox X Edge s’inscrit dans un réseau plus important qui utilise la qualité de service (QoS) et que votre périphérique en amont, votre équipement de réseau local et votre service IPS la prennent en charge, vous pouvez appliquer un marquage pour chaque catégorie de trafic réseau que vous définissez dans votre système Edge. Edge marque alors tout le trafic qui correspond aux critères définis dans votre règle de contrôle du trafic. Lorsque vous marquez le trafic, vous modifiez jusqu’à six bits sur les champs d’en-tête des paquets définis à cet effet. Edge et les autres périphériques externes prenant en charge le marquage utilisent ces bits pour contrôler la manière dont un paquet est traité lors de son envoi via un réseau. L’utilisation des procédures de marquage sur un réseau exige de vous des efforts importants de planification. Vous pouvez commencer par identifier la bande passante théorique disponible, puis déterminer les applications réseau à priorité élevée, celles particulièrement sensibles à la latence et aux instabilités, ou les deux. Firebox X Edge prend en charge deux types de marquage de contrôle du trafic : le marquage de priorité IP et le marquage DSCP (Differentiated Service Code Point). Le marquage de priorité IP affecte uniquement les trois premiers bits de l’octet de type de service (ToS) IP. Le marquage DSCP étend le marquage aux six premiers bits de l’octet ToS IP. Avec ces deux méthodes, vous pouvez décider de : conserver les bits de l’en-tête, qui peuvent avoir été marqués précédemment par un périphérique externe ou modifier la valeur des bits. Les valeurs DSCP peuvent être exprimées sous une forme numérique ou par des mots clés spéciaux qui correspondent au comportement par saut (PHB, per-hop behavior). Le comportement par saut correspond à la priorité appliquée à un paquet lors d’un trajet d’un point à un autre dans un réseau. Le marquage DSCP prend en charge trois types définis de comportement par saut Best Effort Best Effort correspond au type de service par défaut et est recommandé pour le trafic qui n’est pas critique ni en temps réel. Tout le trafic correspond à cette classe si vous n’utilisez pas le marquage de contrôle du trafic. Transfert assuré (AF) Le comportement par saut de type Transfert assuré est recommandé pour le trafic qui a besoin d’une plus grande fiabilité que le type de service Best Effort. Transfert expédié (EF) Ce type a la priorité la plus élevée. Il est généralement réservé pour le trafic critique et en temps réel. Les points de code de sélecteur de classe (CSx) sont définis de façon à assurer la compatibilité descendante avec les valeurs de type de service. Les points de code CS1 à CS7 sont identiques aux sept dernières options dans la liste déroulante Marquage lorsque la priorité IP est sélectionnée comme type de marquage. Guide de l’utilisateur 169 Gestion du trafic Le tableau ci-dessous indique les valeurs DSCP que vous pouvez sélectionner, la valeur de priorité IP correspondante (qui est la même que la valeur CS) et la description par des mots clés PHB. Valeur DSCP Valeur de priorité IP équivalente (valeurs CS) 0 8 Description : mot clé de comportement par saut Best Effort (identique à aucun marquage) 1 Scavenger* (bas) 10 AF Classe 1 – Bas – Bas 12 AF Classe 1 – Bas – Moyen 14 AF Classe 1 – Bas – Élevé 16 2 Bas/moy. 18 AF Classe 2 – Bas/moy.-Bas 20 AF Classe 2 – Bas/moy.-Moyen 22 22 AF Classe 2 – Bas/moy.-Élevé 24 3 Moy./Élevé 26 AF Classe 3 – Moy./Élevé-Bas 28 AF Classe 3 – Moy./Élevé-Moyen 30 AF Classe 3 – Moy./Élevé-Élevé 32 Élevé 34 4 AF Classe 4 – Élevé – Bas 36 AF Classe 4 – Élevé – Moyen 38 AF Classe 4 – Élevé – Élevé 40 5 46 Vidéo, voix EF 48 6 Contrôle Internet (réservé) 56 7 Contrôle du réseau * La classe Scavenger a été conçue pour le trafic de plus basse priorité, tel que les applications de partage de fichiers multimédias ou les applications de jeu. Ce trafic a une priorité inférieure au type de service Best Effort. 170 Firebox X Edge e-Series Gestion du trafic À propos des options de contrôle du trafic Firebox X Edge e-Series propose de nombreuses options de contrôle du trafic, dont notamment : Le contrôle du trafic est désactivé. Edge envoie le trafic réseau dans l’ordre où il le reçoit. Le contrôle du trafic est activé, mais la définition des priorités est désactivée. Cette option restreint l’ensemble du trafic à la limite de la bande passante en amont. Le contrôle du trafic et la définition des priorités sont activés. Cette option vous permet de configurer des filtres pour toutes les catégories de trafic. Le contrôle du trafic et le marquage du trafic sont activés. Edge marque tout le trafic qui correspond aux critères définis dans votre règle de contrôle du trafic. Activer le contrôle du trafic Vous devez disposer d’au moins une stratégie de filtrage de paquets, d’une stratégie de proxy ou d’un tunnel VPN activé pour ajouter des filtres de trafic. Vous pouvez utiliser toute stratégie activée ou tout tunnel VPN actif comme filtre de contrôle du trafic. Les stratégies de trafic entrant et sortant sont identifiées par les indications [Sortie] ou [Entrée] à côté du nom de la stratégie. Le contrôle du trafic est utilisé seulement pour le trafic réseau sortant. Si vous ajoutez une stratégie de trafic entrant à une catégorie de contrôle du trafic, Firebox applique des règles de contrôle du trafic au trafic sortant géré par cette stratégie sur le même port. Par exemple, si vous possédez un serveur DNS dans votre réseau qui répond aux requêtes provenant du réseau externe, vous pouvez utiliser le contrôle du trafic pour gérer la bande passante que ces réponses utilisent. Cela est dû au fait que les requêtes et les réponses DNS utilisent le même port réseau. Guide de l’utilisateur 171 Gestion du trafic 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Réseau > Contrôle du trafic. La page Contrôle du trafic s’affiche. 3. Activez la case à cocher Activer le contrôle du trafic. La liste de trafic interactif est activée. 4. Dans la zone de texte Limite de bande passante en amont, tapez la limite de bande passante en amont de votre connexion réseau externe (WAN1). Entrez une valeur comprise entre 19 Kbits/s et 100 000 Kbits/s. Le paramètre par défaut est 512 Kbits/s. 172 Firebox X Edge e-Series Gestion du trafic 5. Activez la case à cocher Définition des priorités si vous voulez ajouter des filtres aux autres catégories de trafic réseau. Les listes de définition de priorités sont activées. 6. Pour créer des filtres pour les catégories de trafic interactif, à priorité élevée, moyenne ou basse, cliquez sur le bouton Ajouter à côté du nom de la catégorie. Choisissez une stratégie ou un tunnel VPN, puis cliquez sur Sélectionner. Maintenez enfoncé le bouton CTRL pour sélectionner plusieurs éléments à la fois. Pour supprimer un filtre, cliquez sur Supprimer. 7. Si vous voulez utiliser le marquage de contrôle du trafic, sélectionnez Priorité IP ou DSCP dans la liste déroulante Type de marquage. Vous pouvez alors sélectionner le marquage à appliquer pour chaque catégorie de trafic à l’aide de la liste déroulante de marquage en haut de chaque catégorie de trafic. 8. Cliquez sur Envoyer. Le contrôle du trafic est activé. Guide de l’utilisateur 173 Gestion du trafic À propos de la traduction d’adresses réseau La traduction d’adresses réseau ou NAT (Network Address Translation) représente l’une des différentes formes de traduction de ports et d’adresses IP. Dans sa forme la plus rudimentaire, NAT remplace la valeur de l’adresse IP d’un paquet par une autre valeur. Le principal objectif de NAT consiste à augmenter le nombre d’ordinateurs pouvant fonctionner à partir d’une seule adresse IP routable et à masquer les adresses IP privées des hôtes sur le réseau local. Lorsque vous utilisez NAT, l’adresse IP source est modifiée sur tous les paquets que vous envoyez. Vous pouvez appliquer NAT en tant que paramètre général de pare-feu ou en tant que paramètre dans une stratégie. Sachez que les paramètres NAT de pare-feu ne s’appliquent pas aux stratégies BOVPN et Mobile VPN. Types de NAT Firebox prend en charge trois différentes formes de NAT. Votre configuration peut utiliser plusieurs types de NAT en même temps. Vous appliquez certains types de NAT à l’ensemble du trafic de pare-feu, et les autres types en tant que paramètre d’une stratégie. Traduction d’adresses réseau dynamique La traduction d’adresses réseau dynamique est également appelée « mascarade IP ». Firebox peut appliquer son adresse IP publique aux paquets sortants pour toutes les connexions ou pour des services spécifiés. Ceci permet de masquer au réseau externe l’adresse IP réelle de l’ordinateur qui est la source du paquet. La traduction d’adresses réseau dynamique sert généralement à masquer les adresses IP des hôtes internes lorsqu’ils accèdent aux services publics. Pour plus d’informations, voir À propos de la traduction d’adresses réseau dynamique. Traduction d’adresses réseau statique La traduction d’adresses réseau statique est également désignée sous le terme de « transfert de port » ; vous la configurez en même temps que les stratégies. La traduction d’adresses réseau statique est une règle NAT de port à hôte. Un hôte envoie un paquet à partir du réseau externe à un port sur une interface externe. La traduction d’adresses réseau statique change l’adresse IP en une adresse IP et en un port se trouvant derrière le pare-feu. Pour plus d’informations, voir À propos de la traduction d’adresses réseau statique. NAT un à un NAT un à un fait correspondre les adresse IP d’un réseau aux adresses IP d’un autre réseau. Ce type de NAT est généralement utilisé pour fournir aux ordinateurs externes un accès à vos serveurs internes, publics. Pour plus d’informations, voir À propos de NAT un à un. Comportement NAT Lors de la configuration de NAT : 174 Chaque interface de Firebox X Edge e-Series doit utiliser un sous-réseau TCP différent. Vous ne pouvez disposer que d’un réseau approuvé, d’un réseau facultatif et d’un réseau externe. Vous pouvez utiliser un routeur pour connecter plusieurs sous-réseaux à ces réseaux. Pour plus d’informations, voir Connecter Edge à plus de quatre périphériques. Edge utilise toujours la traduction d’adresses réseau dynamique pour le trafic qui passe du réseau approuvé ou facultatif au réseau externe. La traduction d’adresses réseau dynamique ne s’applique pas au trafic BOVPN ou Mobile VPN. Firebox X Edge e-Series Gestion du trafic Adresses IP secondaires Vous pouvez attribuer huit adresses IP publiques à l’interface externe principale (WAN1). Ces adresses sont utilisées pour NAT un à un. Lorsque vous configurez les adresses IP secondaires sur le réseau externe : L’adresse IP principale doit être une adresse IP statique. La première adresse IP est l’adresse IP principale. Toutes les adresses IP secondaires doivent être sur le même sous-réseau externe que l’adresse IP principale. Vous ne pouvez pas configurer plusieurs adresses IP pour l’interface WAN2. L’interface WAN2 doit être sur un sous-réseau différent de celui de l’interface WAN1. À propos de la traduction d’adresses réseau dynamique La traduction d’adresses réseau dynamique est le type de règle NAT le plus couramment utilisé. Elle consiste à remplacer l’adresse IP source d’une connexion sortante par l’adresse IP publique de Firebox. À l’extérieur de Firebox, vous ne voyez que l’adresse IP de l’interface externe de Firebox sur les paquets sortants. De nombreux ordinateurs peuvent se connecter à Internet à partir d’une adresse IP publique. La traduction d’adresses réseau dynamique offre davantage de sécurité aux hôtes internes qui utilisent Internet, car elle masque les adresses IP des hôtes sur le réseau. Avec la traduction d’adresses réseau dynamique, toutes les connexions doivent démarrer derrière Firebox. Lorsque Firebox est configuré pour la traduction d’adresses réseau dynamique, les hôtes malveillants ne peuvent pas initier de connexions aux ordinateurs derrière Firebox. Edge utilise automatiquement la traduction d’adresses réseau dynamique sur tout le trafic sortant. Si vous souhaitez que le trafic sortant d’un hôte sur le réseau approuvé ou facultatif affiche une adresse IP qui soit différente de l’adresse IP principale du réseau externe, vous devez utiliser NAT un à un. Pour plus d’informations, voir À propos de NAT un à un. À propos de la traduction d’adresses réseau statique La traduction d’adresses réseau statique, également connue sous le nom de transfert de port, est une règle NAT de port à hôte. Un hôte envoie un paquet à partir du réseau externe à un port sur une interface externe. La traduction d’adresses réseau statique change l’adresse IP en une adresse IP et en un port se trouvant derrière le pare-feu. Si une application logicielle utilise plusieurs ports et que ces ports sont sélectionnés de façon dynamique, utilisez NAT un à un ou vérifiez si un proxy sur Firebox pourra gérer ce type de trafic. Lorsque vous utilisez la traduction d’adresses réseau statique, vous utilisez en fait une adresse IP externe de votre périphérique Firebox et non l’adresse IP d’un serveur public. Ceci est possible, car vous l’avez choisi ou parce que votre serveur public ne possède pas d’adresse IP publique. Par exemple, vous pouvez placer votre serveur de messagerie SMTP derrière Firebox avec une adresse IP privée et configurer la traduction d’adresses réseau statique dans votre stratégie SMTP. Firebox reçoit les connexions sur le port 25 et s’assure que tout le trafic SMTP est envoyé au serveur SMTP réel situé derrière lui. Configurez la traduction d’adresses réseau statique avec les stratégies de pare-feu pour le trafic entrant. Pour plus d’informations, voir À propos de l’utilisation des stratégies de filtrage de paquets courantes. Guide de l’utilisateur 175 Gestion du trafic À propos de NAT un à un Lorsque vous activez NAT un à un, Firebox modifie et achemine tous les paquets entrants et sortants envoyés à partir d’une plage d’adresses vers une autre plage d’adresses. Une règle NAT un à un est toujours prioritaire sur une règle de traduction d’adresses réseau dynamique. La règle NAT un à un est fréquemment utilisée en présence d’un groupe de serveurs internes dont les adresses IP privées doivent être rendues publiques. Vous pouvez utiliser NAT un à un pour faire correspondre des adresses IP publiques aux serveurs internes. Il est inutile de modifier l’adresse IP de vos serveurs internes. Dans un groupe de serveurs identiques (par exemple, un groupe de serveurs de messagerie), il est plus simple de configurer NAT un à un que la traduction d’adresses réseau statique. Voici un exemple de configuration de NAT un à un : La Société ABC possède un groupe de cinq serveurs de messagerie comportant des adresses privées situés derrière l’interface approuvée de son périphérique Firebox. Ces adresses sont les suivantes : 10.1.1.1 10.1.1.2 10.1.1.3 10.1.1.4 10.1.1.5 La Société ABC sélectionne cinq adresses IP publiques à partir de la même adresse réseau que l’interface externe de son périphérique Firebox, puis crée des enregistrements DNS pour la résolution des adresses IP des serveurs de messagerie du domaine. Ces adresses sont les suivantes : 50.1.1.1 50.1.1.2 50.1.1.3 50.1.1.4 50.1.1.5 La Société ABC configure une règle NAT un à un pour ses serveurs de messagerie. La règle NAT un à un génère une relation statique, bidirectionnelle entre les paires d’adresses IP correspondantes. La relation a l’aspect suivant : 10.1.1.1 <--> 50.1.1.1 10.1.1.2 <--> 50.1.1.2 10.1.1.3 <--> 50.1.1.3 10.1.1.4 <--> 50.1.1.4 10.1.1.5 <--> 50.1.1.5 Une fois la règle NAT un à un appliquée, Firebox crée le routage bidirectionnel et la relation NAT entre le pool d’adresses IP privées et le pool d’adresses publiques. 176 Firebox X Edge e-Series Gestion du trafic Activer la règle NAT un à un L’activation de la règle NAT un à un s’effectue en trois étapes : 1. Ajout d’une paire d’adresses IP. Pour plus d’informations, voir Ajouter une adresse IP externe secondaire. Une adresse IP externe secondaire est une adresse IP publique sur l’interface externe qui possède également une adresse IP sur le réseau approuvé ou facultatif (privé). Vous devez posséder au moins une adresse IP externe secondaire pour activer la règle NAT un à un. 2. Ajout ou modification d’une stratégie pour la règle NAT un à un. Pour plus d’informations, voir Ajouter ou modifier une stratégie pour la règle NAT un à un. Vous pouvez utiliser une stratégie existante ou ajouter une stratégie personnalisée définissant les différents types de trafic possibles à destination ou en provenance du périphérique qui utilise l’adresse IP externe secondaire. 3. Activation d’adresses IP secondaires. Pour plus d’informations, voir Activer des adresses secondaires. Ajouter une adresse IP externe secondaire 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Pare-feu > NAT. La page NAT (Network Address Translation) s’affiche. 3. Tapez une adresse IP publique du réseau externe et une adresse IP privée du réseau approuvé ou facultatif, puis cliquez sur Ajouter. Firebox X Edge fait correspondre l’adresse IP privée que vous venez de taper à l’adresse IP externe secondaire. Vous pouvez créer un maximum de huit (8) paires d’adresses IP pour NAT un à un. 4. Cliquez sur Envoyer pour enregistrer les modifications. Supprimer une adresse IP externe secondaire 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Pare-feu > NAT. La page NAT (Network Address Translation) s’affiche. 3. Sélectionnez la paire d’adresses IP que vous souhaitez supprimer, puis cliquez sur Supprimer. L’entrée est supprimée de la liste Adresses IP secondaires. 4. Cliquez sur Envoyer pour enregistrer les modifications. Si vous supprimez la dernière paire d’adresses IP, la règle NAT un à un est automatiquement désactivée. Activer des adresses secondaires 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Pare-feu > NAT. La page NAT (Network Address Translation) s’affiche. 3. Activez la case à cocher Activer adresses IP secondaires. 4. Cliquez sur Envoyer. La règle NAT un à un est désormais activée. Guide de l’utilisateur 177 Gestion du trafic Ajouter ou modifier une stratégie pour la règle NAT un à un 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Pare-feu > Entrant. La page Filtrage du trafic entrant s’affiche. 3. En regard d’une stratégie existante que vous souhaitez modifier, cliquez sur Modifier. Pour ajouter une stratégie personnalisée de filtrage de paquets ou de proxy, cliquez sur Ajouter une stratégie de filtrage des paquets ou sur Ajouter une stratégie de proxy. 4. Dans l’onglet Entrant, sélectionnez NAT un à un dans la liste déroulante Hôte de stratégie. Si vous avez configuré plusieurs adresses IP externes secondaires, sélectionnez la paire d’adresses IP que vous souhaitez associer à la stratégie dans la liste déroulante adjacente. 5. Dans le cas d’une stratégie existante, cliquez sur Envoyer. Dans le cas d’une nouvelle stratégie personnalisée de filtrage des paquets ou de proxy, utilisez les instructions de la rubrique Filtrer le trafic entrant pour une stratégie personnalisée ou de la rubrique Ajouter ou modifier une stratégie de proxy pour configurer les autres paramètres. 178 Firebox X Edge e-Series 11 Journalisation À propos de la journalisation et des fichiers journaux Une fonctionnalité importante d’une stratégie de sécurité réseau de qualité consiste à rassembler les messages provenant de vos systèmes de sécurité, à examiner souvent ces enregistrements et à les conserver dans une archive. Vous pouvez utiliser les journaux pour analyser la sécurité et l’activité de votre réseau, identifier tous les risques de sécurité et les traiter. Un fichier journal est une liste d’événements contenant des informations sur ces événements. Un événement correspond à une activité qui se produit sur Firebox. Le refus d’un paquet par Firebox est un exemple d’événement. Votre système Firebox peut également capturer des informations sur les événements autorisés afin de vous offrir une image plus complète de l’activité sur votre réseau. Le système de message de journal comprend plusieurs composants. Serveurs Log Server Firebox Edge peut envoyer des données de journal vers un serveur syslog ou un serveur WatchGuard Log Server, un composant de WatchGuard System Manager (WSM). Vous devez disposer de Firebox III, Firebox X Core ou Firebox X Peak pour télécharger et installer WSM et le logiciel WatchGuard Log Server. Le logiciel de serveur syslog est disponible auprès de fournisseurs tiers. Vous pouvez installer le serveur WatchGuard Log Server sur un ordinateur que vous utilisez comme station de gestion. Vous pouvez également installer le logiciel Log Server sur un autre ordinateur. Pour cela, utilisez le programme d’installation de WatchGuard System Manager et choisissez d’installer uniquement le composant Log Server. Vous pouvez également ajouter des serveurs Log Server supplémentaires à des fins de sauvegarde. Les messages de journal qui sont envoyés vers le serveur WatchGuard Log Server sont chiffrés. Le format d’un message du journal est XML (texte brut). Les informations collectées à partir des périphériques de pare-feu incluent les messages de types Trafic, Alarme, Événement, Débogage et Statistiques. Journal d’événements et état du système Syslog Vous pouvez afficher le journal d’événements dansla page Journalisation. Le journal d’événements contient des données sur les activités les plus récentes sur Firebox. Vous pouvez voir les mêmes informations, sans autres paramètres de journalisation dans État du système > Syslog. La page Syslog peut afficher en continu les informations des journaux en temps réel. Cliquez sur le bouton Démarrer l’actualisation permanente pour mettre à jour en temps réel les données des journaux. Guide de l’utilisateur 179 Journalisation Journalisation et notification dans les applications et sur les serveurs Le serveur Log Server peut recevoir les messages de journal à partir de votre système Firebox ou d’un serveur WatchGuard. Une fois que vous avez configuré votre système Firebox et le serveur Log Server, Firebox envoie les messages de journal vers le serveur Log Server. Vous pouvez activer la journalisation dans les différentes applications et stratégies WSM que vous avez définies pour que Firebox contrôle le niveau des journaux que vous voyez. Si vous choisissez d’envoyer les messages de journal à partir d’un autre serveur WatchGuard vers le serveur Log Server, vous devez commencer par activer la journalisation sur ce serveur. À propos des messages de journal Firebox envoie les messages de journal vers le serveur Log Server. Il peut également envoyer les messages de journal vers un serveur syslog ou conserver localement les journaux sur Firebox. Vous pouvez choisir d’envoyer les journaux à l’un et/ou à l’autre de ces emplacements. Consulter le journal d’événements Firebox X Edge e-Series utilise jusqu’à 640 Ko de mémoire pour les messages des journaux. Les nouvelles informations figurent en haut du fichier. Lorsque vous entrez de nouvelles informations dans un fichier journal complet, elles remplacent le message de journal situé dans la partie inférieure du fichier. Le fichier journal Firebox X Edge est effacé si l’alimentation est déconnectée ou si Edge est redémarré. Pour conserver de façon permanente les informations, vous devez configurer Log Server ou syslog externe. Chaque message de journal contient les informations suivantes : Heure Heure de l’événement qui a créé le message de journal. Catégorie Type du message. Par exemple, si le message provient d’une adresse IP ou d’un fichier de configuration. Message Texte du message. Pour afficher le journal d’événements 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, cliquez sur Journalisation. La page Journalisation s’affiche avec le journal d’événements dans la partie inférieure de la page. 180 Firebox X Edge e-Series Journalisation À propos de la connexion à un serveur WatchGuard Log Server Le serveur WatchGuard Log Server (anciennement connu sous le nom de WatchGuard System Event Processor, ou WSEP) est un composant de WatchGuard System Manager. Si vous disposez de Firebox III, Firebox X Core ou Firebox X Peak, configurez un serveur Log Server principal pour collecter les messages de journal provenant de Firebox X Edge e-Series. Vous pouvez également configurer Log Server de secours. Si Firebox X Edge ne peut pas se connecter au serveur Log Server principal, il essaie de se connecter au serveur Log Server de secours. Il envoie alors les messages des journaux au serveur de secours tant qu’il ne peut se connecter à ce serveur. Ensuite, il essaie de nouveau de se connecter au serveur principal. Pour obtenir des instructions sur la façon de configurer Log Server pour accepter les messages des journaux, voir le Guide de l’utilisateur de WatchGuard System Manager. Si vous ne l’avez pas encore fait, il est judicieux de configurer Edge avec un nom de périphérique. Ce nom permet à Log Server de savoir de quel périphérique les messages des journaux proviennent. Le nom du périphérique figure dans LogViewer. Si ce champ est vide, Firebox X Edge est identifié dans le fichier journal par l’adresse IP de l’interface externe Edge. Pour attribuer un nom de périphérique à votre système Edge, accédez à la page Web Administration. Envoyer les journaux d’événements vers le serveur Log Server Pour configurer Edge afin d’envoyer les journaux d’événements vers un serveur WatchGuard Log Server : 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Journalisation > Journalisation de WatchGuard. La page Journalisation de WatchGuard s’affiche. 3. Activez la case à cocher Envoyer les journaux à WSM Log Server si vous voulez qu’Edge envoie les messages de journal vers un serveur WatchGuard Log Server que vous spécifiez. Guide de l’utilisateur 181 Journalisation 4. Activez la case à cocher Envoyer les journaux au format XML natif pour que les messages du journal Edge soient envoyés vers le serveur WatchGuard Log Server dans la norme de format XML pour Fireware v8.0 ou version ultérieure. L’installation de WSM/Log Server doit correspondre à WSM v8.3 ou version ultérieure. Si vous sélectionnez cette option, Edge génère des messages de journal au format natif XML, qui inclut plus de détails pour chaque message de journal. Cela permet à l’administrateur WSM de créer des rapports qui incluent ces détails pour Edge. Si vous maintenez cette case à cocher désactivée, Edge envoie les messages de journal dans le format propriétaire utilisé avec le logiciel système WFS v7.x. Log Server convertit ensuite les messages de journal au format XML. 5. Sous Serveur Log Server principal, tapez l’adresse IP du serveur Log Server principal dans le champ Adresse IP de Log Server. 6. Tapez un mot de passe dans le champ Clé de chiffrement du journal et confirmez le mot de passe dans le champ Confirmer la clé. Il convient d’utiliser le même mot de passe lorsque vous configurez Log Server pour recevoir des messages de journal à partir de cette instance de Firebox X Edge. 7. Si vous disposez d’un serveur Log Server de secours, tapez son adresse IP et sa clé de chiffrement de journal. Si Firebox X Edge ne peut pas se connecter au serveur Log Server principal, il enverra les messages de journal vers le serveur Log Server de secours jusqu’à ce que le serveur Log Server principal soit de nouveau disponible. 8. Cliquez sur Envoyer. 182 Firebox X Edge e-Series Journalisation À propos de Syslog Si Syslog est une interface de journalisation développée pour UNIX, elle est aussi utilisée sur d’autres platesformes. Vous pouvez configurer Firebox de sorte qu’il envoie des informations de journalisation à un serveur syslog. Un périphérique Firebox peut envoyer des messages des journaux à un serveur Log Server et à un serveur syslog, en même temps, ou à l’un ou l’autre. Les messages des journaux syslog ne sont pas chiffrés. Il est conseillé de ne pas sélectionner un hôte syslog sur l’interface externe. Envoyer des journaux à un hôte Syslog Suivez les instructions ci-dessous pour configurer Edge de sorte qu’il envoie les messages des journaux à un hôte syslog. Un hôte syslog doit déjà être configuré et fonctionnel pour pouvoir recevoir les messages des journaux depuis Edge. 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Journalisation > Journalisation de Syslog. La page Journalisation de Syslog s’ouvre. 3. Activez la case à cocher Activer la sortie Syslog. 4. En regard de la zone Adresse de l’hôte Syslog, entrez l’adresse IP de l’hôte Syslog. 5. Pour inclure l’heure locale dans les messages Syslog, activez la case à cocher Inclure l’heure locale dans le message Syslog. 6. Pour inclure le numéro de série de Firebox X Edge dans les messages Syslog, activez la case à cocher Inclure le numéro de série dans les messages Syslog. Ce paramètre est utile si plusieurs périphériques Firebox X Edge envoient des messages Syslog à un même hôte Syslog. 7. Cliquez sur Envoyer. Dans la mesure où le trafic de Syslog n’est pas chiffré, les messages syslog envoyés via Internet représentent un risque pour la sécurité du réseau approuvé. Pour cette raison, il est plus sûr de placer l’hôte Syslog sur votre réseau approuvé. Guide de l’utilisateur 183 Journalisation 184 Firebox X Edge e-Series 12 Certificats À propos des certificats Lorsque vous utilisez l’authentification locale pour vous connecter à Firebox via le protocole HTTP sécurisé, Firebox utilise un certificat pour sécuriser votre session. Vous pouvez également utiliser des certificats pour l’authentification VPN. Les certificats sont des fichiers qui utilisent une signature numérique pour faire correspondre l’identité d’une personne ou organisation à une clé de chiffrement. Les certificats utilisent un composant de sécurité appelé « paire de clés » qui contient deux numéros mathématiquement liés. L’utilisateur conserve un numéro, la clé privée, qui est secrète. Il peut communiquer l’autre numéro, appelé « clé publique », à d’autres utilisateurs. La clé privée a la capacité de « déverrouiller » les données qui ont été chiffrées à l’aide de la clé publique. Autorités de certification et demandes de signatures Pour obtenir un certificat, vous placez une clé privée dans une demande de signature de certificat et envoyez cette dernière à une autorité de certification. Une autorité de certification est une organisation ou application qui émet et révoque des certificats. À propos des certificats et de Firebox X Edge Vous pouvez importer 1 certificat Firebox X Edge local pour l’authentification locale, jusqu’à 25 certificats de passerelle VPN distante (un par passerelle) et jusqu’à 10 certificats d’autorités de certification. Les certificats que vous importez sur Firebox X Edge ne sont pas inclus dans une sauvegarde de configuration. Toutefois, les noms uniques des certificats sélectionnés pour les tunnels VPN sont enregistrés. Vous devez importer un certificat pour l’activer. Si vous prévoyez d’utiliser un certificat pour l’authentification VPN sur un tunnel existant, vous devez également modifier la configuration du tunnel VPN pour qu’il utilise le nouveau certificat. Aucune configuration supplémentaire n’est nécessaire pour les certificats d’autorités de certification. Pour fonctionner correctement, les certificats locaux doivent inclure une clé privée non chiffrée dans le fichier du certificat. Guide de l’utilisateur 185 Certificats Utiliser OpenSSL pour générer une demande de signature de certificat OpenSSL est installé avec un maximum de distributions GNU/Linux. Pour télécharger le code source ou un fichier binaire Windows, accédez au site http://www.openssl.org/ et suivez les consignes d’installation pour votre système d’exploitation. Vous pouvez utiliser OpenSSL pour convertir des certificats et des demandes de signature de certificat d’un format à un autre. Pour plus d’informations, voir la page principale ou la documentation en ligne OpenSSL. 1. Ouvrez un terminal d’interface de ligne de commande. 2. Tapez : openssl genrsa -out privkey.pem 1024 pour générer un fichier de clé privée nommé privkey.pem dans votre répertoire de travail actuel. 3. Tapez : openssl req -new -key privkey.pem -out request.csr Cette commande génère une demande de signature de certificat au format PEM dans votre répertoire de travail actuel. 4. Lorsque vous êtes invité à fournir les données d’attribut Nom commun x509, tapez votre nom de domaine complet (FQDN). Utilisez d’autres informations, le cas échéant. 5. Suivez les instructions provenant de votre autorité de certification pour envoyer la demande de signature de certificat. Pour créer un certificat auto-signé temporaire en attendant que l’autorité de certification retourne votre certificat signé, tapez la ligne de commande suivante : openssl x509 -req -days 30 -in request.csr -key privkey.pem -out sscert.cert Cette commande crée un certificat au sein de votre répertoire actuel qui expirera dans 30 jours. Vous ne pouvez pas utiliser un certificat auto-signé pour l’authentification de passerelle distante VPN. Il est conseillé d’utiliser des certificats signés par une autorité de certification tierce approuvée. 186 Firebox X Edge e-Series Certificats Utiliser l’autorité de certification Microsoft pour créer un certificat L’autorité de certification est distribuée sous la forme d’un composant de Windows Server 2003. Si elle ne figure pas dans le dossier Outils d’administration du Panneau de configuration, suivez les instructions du fabricant pour l’installer. Lorsque vous utilisez cette procédure, vous agissez en tant qu’autorité de certification et signez numériquement votre propre demande. Pour que le certificat final soit utile, nous vous recommandons d’acquérir d’autres certificats qui connectent votre autorité de certification privée à une autorité de certification tierce, globalement approuvée. Vous pouvez importer ces certificats supplémentaires sur la page Certificats Firebox X Edge. Envoyer la demande de certificat 1. Ouvrez votre navigateur Web. Dans la barre d’adresses, entrez l’adresse IP du serveur sur lequel est installée l’autorité de certification, suivie de certsrv. Par exemple : http://10.0.2.80/certsrv 2. Cliquez sur le lien Demander un certificat. 3. Cliquez sur le lien Demande de certificat avancée. 4. Pour envoyer une demande que vous avez créée à l’aide d’OpenSSL, cliquez sur le lien Envoyer un certificat. 5. Collez le contenu de votre fichier de demande de signature de certificat dans la zone de texte Demande enregistrée. La demande doit être au format PKCS7 ou PKCS10 Base 64. 6. Fermez votre navigateur Web. Délivrer le certificat 1. Connectez-vous au serveur sur lequel est installée l’autorité de certification, si nécessaire. 2. Dans le menu Démarrer, sélectionnez Panneau de configuration > Outils d’administration > Autorité de certification. 3. Dans l’arborescence Autorité de certification (locale) du volet de navigation de gauche, sélectionnez Votre nom de domaine > Demandes en attente. 4. Sélectionnez la demande de signature de certificat dans le volet de navigation de droite. 5. Dans le menu Action, sélectionnez Toutes les tâches > Délivrer. 6. Fermez la fenêtre de l’autorité de certification. Télécharger le certificat 1. Ouvrez votre navigateur Web. Dans la barre d’adresses, entrez l’adresse IP du serveur sur lequel est installée l’autorité de certification, suivie de certsrv. Exemple : http://10.0.2.80/certsrv 2. Cliquez sur le lien Afficher le statut d’une requête de certificat en attente. 3. Cliquez sur la demande de certificat correspondant à la date et à l’heure de votre envoi. 4. Activez la case d’option Codé en base 64 pour sélectionner le format PKCS7. 5. Cliquez sur Télécharger le certificat pour enregistrer le certificat sur votre disque dur. Guide de l’utilisateur 187 Certificats À propos de l’utilisation des certificats sur Firebox X Edge Vous devez importer un certificat pour l’activer. Si vous prévoyez d’utiliser un certificat pour l’authentification VPN sur un tunnel existant, vous devez également modifier la configuration du tunnel VPN pour qu’il utilise le nouveau certificat. Aucune configuration supplémentaire n’est nécessaire pour les certificats d’autorités de certification approuvées. Pour fonctionner correctement, les certificats locaux doivent inclure une clé privée non chiffrée dans le fichier du certificat. Importer un certificat 1. À partir de la page État du système de Firebox X Edge, sélectionnez Administration > Certificats. 2. En regard du type de certificat que vous souhaitez ajouter, cliquez sur Importer. 3. Si votre certificat est au format PEM, copiez et collez son contenu dans la zone de texte ou activez la deuxième case d’option et cliquez sur Parcourir pour sélectionner le fichier du certificat. 4. Si votre certificat est au format PKCS12, activez la dernière case d’option et cliquez sur Parcourir pour sélectionner le fichier du certificat. Cette option est uniquement disponible pour les certificats Firebox X Edge locaux. 5. Cliquez sur Importer. Vous pouvez répéter les étapes 2 à 5 pour ajouter des certificats supplémentaires. Utiliser un certificat local 1. À partir de la page État du système de Firebox X Edge, sélectionnez Administration > Sécurité du système. 2. Sélectionnez le certificat local importé dans la liste déroulante Certificat. 3. Cliquez sur Envoyer. Supprimer un certificat 1. À partir de la page État du système de Firebox X Edge, sélectionnez Administration > Certificats. 2. Sélectionnez le certificat à supprimer, puis cliquez sur le bouton Supprimer placé en regard du nom. Les tunnels VPN ne fonctionnent pas correctement si vous supprimez un certificat en cours d’utilisation. Nous vous recommandons de modifier la méthode d’authentification des tunnels VPN avant de supprimer un certificat de passerelle VPN distante. Examiner un certificat Vous pouvez examiner un certificat que vous avez préalablement importé pour connaître ses propriétés, notamment sa date d’expiration, l’autorité de certification et d’autres informations. 1. À partir de la page État du système de Firebox X Edge, sélectionnez Administration > Certificats. 2. Sélectionnez le certificat que vous souhaitez examiner, puis cliquez sur le bouton Détail placé en regard du nom. 188 Firebox X Edge e-Series 13 Gestion des utilisateurs et des groupes À propos des licences d’utilisateur Un nombre défini de licences d’utilisateur (également appelées nSuds) est activé sur votre pare-feu Firebox X Edge. Le nombre total de sessions disponibles est déterminé par le modèle de périphérique Edge utilisé et par les éventuelles licences de mise à niveau appliquées. Le nombre de licences limite le nombre de sessions. Pour contrôler le nombre d’utilisateurs à tout moment, fermez une ou plusieurs sessions. Lorsque vous fermez une session, vous mettez la licence d’utilisateur correspondante à la disposition d’un autre utilisateur. Il existe plusieurs façons de fermer des sessions : Si l’authentification des utilisateurs est obligatoire, un utilisateur de Firebox peut se déconnecter et libérer sa licence manuellement. L’administrateur d’Edge peut fermer la session manuellement. Il peut fermer la session d’un utilisateur spécifique ou fermer toutes les sessions. Si l’authentification des utilisateurs est obligatoire, vous pouvez affecter un délai d’attente maximal et un délai d’inactivité à chaque utilisateur. L’administrateur Edge peut définir un délai d’inactivité de session maximal global. Pour fermer toutes les sessions, vous devez redémarrer Edge. Les mises à niveau de licences sont disponibles auprès de votre revendeur ou sur le site Web de WatchGuard à l’adresse : http://www.watchguard.com/products/purchaseoptions.asp. Guide de l’utilisateur 189 Gestion des utilisateurs et des groupes Octroi de licences d’utilisateur lorsque l’authentification est nécessaire L’octroi de licences d’utilisateur varie selon que l’authentification des utilisateurs auprès de Firebox est nécessaire ou non pour accéder au réseau externe : Lorsque l’authentification des utilisateurs n’est pas nécessaire pour accéder au réseau externe Une licence d’utilisateur est utilisée lorsque l’authentification des utilisateurs n’est pas nécessaire pour accéder au réseau externe et qu’Edge permet au trafic de passer d’un ordinateur du réseau approuvé ou facultatif au réseau externe. Si un utilisateur navigue sur Internet, Edge ajoute l’adresse IP de l’ordinateur à la liste des utilisateurs. Une fois la limite atteinte, toutes les autres tentatives de connexion sont refusées. Lorsque l’authentification des utilisateurs est nécessaire pour accéder au réseau externe. Une licence d’utilisateur est utilisée lorsque l’authentification des utilisateurs est nécessaire pour accéder au réseau externe et qu’un utilisateur de Firebox s’authentifie. Dans ce cas, une licence est utilisée dès qu’un utilisateur de Firebox s’authentifie auprès d’Edge, que le trafic passe ou non de l’ordinateur de l’utilisateur vers le réseau externe. Si un ordinateur unique établit en même temps une connexion filaire et une connexion sans fil vers Firebox X Edge Wireless, deux licences d’utilisateur sont utilisées lors de l’envoi du trafic vers le réseau externe. Octroi de licences d’utilisateur lorsque l’authentification n’est pas nécessaire Aucune licence d’utilisateur n’est nécessaire lorsque : Des données passent entre le réseau approuvé et le réseau facultatif. Des données passent d’un ordinateur du réseau approuvé ou facultatif vers un ordinateur placé à l’autre point de terminaison d’un tunnel Branch Office VPN. Toutes les données entrantes sont transférées vers le réseau protégé par Edge. Les données passent d’un ordinateur vers Edge lorsqu’aucune authentification n’est requise de la part des utilisateurs pour accéder au réseau externe. 190 Firebox X Edge e-Series Gestion des utilisateurs et des groupes À propos de l’authentification des utilisateurs L’authentification des utilisateurs est la procédure permettant d’identifier si un utilisateur est bien celui ou celle qu’il déclare être. Sur Firebox, l’utilisation des mots de passe permet d’associer un nom d’utilisateur à une adresse IP. La gestion des connexions via Firebox par l’administrateur Firebox s’en trouve facilitée. L’authentification permet aux utilisateurs de se connecter au réseau à partir de n’importe quel ordinateur en n’ayant accès qu’aux seuls protocoles et ports pour lesquels ils détiennent une autorisation. Toutes les connexions établies à partir de cette adresse IP transmettent le nom de la session lors de l’authentification de l’utilisateur. Vous pouvez configurer Edge en tant que serveur d’authentification local, utiliser votre serveur d’authentification Active Directory ou LDAP existant ou un serveur d’authentification RADIUS existant. En présence d’une authentification tierce, les privilèges liés aux comptes des utilisateurs qui s’authentifient auprès du serveur d’authentification tierce sont basés sur l’appartenance à un groupe. La fonctionnalité d’authentification des utilisateurs de WatchGuard associe un nom d’utilisateur à une adresse IP spécifique, ce qui vous permet d’authentifier les connexions d’un utilisateur via Firebox et d’en assurer le suivi. Avec Firebox, la question fondamentale qui se pose lors de chaque connexion est « Dois-je autoriser le trafic de la source X vers la destination Y ? ». Firebox permet aussi d’y répondre. La fonctionnalité d’authentification de WatchGuard dépend de la stabilité de la relation entre l’utilisateur de l’ordinateur et l’adresse IP de cet ordinateur pendant la durée d’authentification de cet utilisateur auprès de Firebox. Dans la plupart des environnements, la relation entre une adresse IP et son utilisateur est suffisamment stable pour permettre d’authentifier le trafic généré par cet utilisateur. Les environnements dans lesquels l’association d’un utilisateur et d’une adresse IP n’est pas constante, tels que les bornes ou les réseaux centrés sur un terminal Terminal Server, ne sont généralement pas adaptés à la fonctionnalité d’authentification des utilisateurs qui risque de ne pas être opérationnelle. WatchGuard prend actuellement en charge l’authentification, la gestion des comptes et le contrôle des accès dans nos pare-feux en supposant une association stable entre adresses IP et utilisateurs. Nous prenons également en charge l’authentification auprès d’un domaine Active Directory via Single SignOn ainsi que d’autres serveurs d’authentification répandus. De plus, nous prenons en charge les paramètres d’inactivité et les limites de temps imposées aux sessions. Ces contrôles restreignent la durée pendant laquelle une adresse IP est autorisée à passer des données via Firebox avant que l’utilisateur ne doive entrer de nouveau son mot de passe. Si vous utilisez une liste blanche pour contrôler l’accès SSO et si vous gérez les délais d’inactivité, les délais d’expiration de sessions et les utilisateurs autorisés à s’authentifier, vous améliorerez de façon significative le contrôle de l’authentification, de la gestion des comptes et du contrôle des accès. Guide de l’utilisateur 191 Gestion des utilisateurs et des groupes Définir des options d’authentification pour tous les utilisateurs Certaines options d’authentification concernent tous les utilisateurs. Pour définir ou modifier des options d’authentification : 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox > Paramètres. La page Paramètres s’affiche. 3. Utilisez les définitions ci-après pour modifier vos paramètres. Cliquez sur Envoyer. Demander l’authentification utilisateur (activer les comptes d’utilisateurs locaux) Lorsque vous activez cette case à cocher, tous les hôtes doivent s’authentifier auprès de Firebox X Edge pour envoyer ou recevoir du trafic réseau. Si vous n’activez pas cette case à cocher, aucun contrôle des utilisateurs accédant à Internet ou aux tunnels VPN n’est disponible. Si vous configurez un service entrant et que vous activez des comptes d’utilisateurs de Firebox, vous devez ajouter les serveurs acceptant des connexions entrantes à la liste des hôtes approuvés. Pour plus d’informations, voir Afficher les sessions et utilisateurs actuels. Inviter automatiquement à se connecter lors de l’accès au Web Lorsque vous activez cette case à cocher, la boîte de dialogue d’authentification s’affiche chaque fois qu’un utilisateur non authentifié tente d’accéder à Internet. Réinitialiser le minuteur d’inactivité lors de l’accès au site Web intégré de Firebox X Edge Lorsque vous activez cette case à cocher, Firebox X Edge ne déconnecte pas une session quand le délai d’inactivité expire si la boîte de dialogue État de la connexion s’affiche sur le bureau. Désactivez cette case à cocher pour ignorer la boîte de dialogue État de la connexion. La zone État de la connexion envoie du trafic à Firebox X Edge à partir de l’ordinateur de l’utilisateur, toutes les deux minutes. Si vous activez cette case à cocher, Edge réinitialise le minuteur d’inactivité à zéro chaque fois qu’il reçoit du trafic de la zone État de la connexion. Activer la fermeture de session automatique Cette propriété globale s’applique à toutes les sessions et remplace toutes les autres options d’authentification. Elle vous permet d’effacer la liste de sessions en cours et de rendre toutes les licences d’utilisateurs de nouveau disponibles. Activez cette case à cocher pour déconnecter toutes les sessions à l’heure spécifiée, dans la liste déroulante. Toutes les sessions sont déconnectées en même temps. La limite de temps correspond au nombre d’heures écoulées depuis le démarrage de Firebox X Edge, et non à la durée pendant laquelle une session est active. 192 Firebox X Edge e-Series Gestion des utilisateurs et des groupes À propos des comptes d’utilisateurs Lors de la création d’un utilisateur local dans Firebox X Edge e-Series, vous sélectionnez son niveau d’accès administratif. Vous sélectionnez le contrôle d’accès au réseau externe et au tunnel BOVPN (Branch Office VPN), ainsi que les limites de temps applicables à cet accès. Vous pouvez également activer Mobile VPN with PPTP et Mobile VPN with SSL, ajouter un profil WebBlocker au compte d’utilisateur et configurer les paramètres Mobile VPN with IPSec de l’utilisateur. Il existe trois niveaux d’accès administratif pour Firebox X Edge : Aucun : ce niveau permet aux utilisateurs de se connecter à des ressources du réseau externe. Un utilisateur détenteur de ce niveau d’accès ne peut ni voir ni modifier les pages de configuration d’Edge. Lecture seule : choisissez ce niveau pour les utilisateurs qui souhaitent afficher les propriétés et l’état de la configuration d’Edge. Un utilisateur qui utilise ce niveau d’accès ne peut pas modifier le fichier de configuration. Complet : choisissez ce niveau pour les utilisateurs qui peuvent afficher et modifier les propriétés de la configuration d’Edge. Vous pouvez également activer des options, déconnecter les sessions actives, redémarrer Edge et ajouter ou modifier des comptes d’utilisateurs. Un utilisateur qui utilise ce niveau d’accès peut modifier le mot de passe de tous les comptes d’utilisateurs. Configurer un compte d’utilisateur individuel 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox. La page des utilisateurs de Firebox s’affiche. Guide de l’utilisateur 193 Gestion des utilisateurs et des groupes 3. Sous Comptes d’utilisateurs locaux, cliquez sur Ajouter. La page Nouvel utilisateur apparaît. Elle contient l’onglet Paramètres. 4. Dans le champ Nom de compte, entrez le nom du compte. L’utilisateur entre ce nom pour s’authentifier. Le nom de compte respecte la casse. 5. Dans le champ Nom complet, entrez le prénom et le nom de l’utilisateur. Uniquement pour information. L’utilisateur n’utilise pas ce nom pour s’authentifier. 6. Dans le champ Description, entrez la description de l’utilisateur. Uniquement pour information. L’utilisateur n’utilise pas cette description pour s’authentifier. 7. Dans le champ Mot de passe , entrez un mot de passe comprenant au moins huit caractères. Entrez une combinaison de huit lettres, chiffres et symboles. Ne choisissez pas un mot dans un dictionnaire. Pour une sécurité maximale, utilisez au moins un caractère spécial, un chiffre et une combinaison de lettres majuscules et minuscules. 8. Entrez de nouveau le mot de passe dans le champ Confirmer le mot de passe. 9. Dans la liste déroulante Accès administratif, définissez le niveau d’affichage et de modification des propriétés de la configuration de Firebox X Edge que vous souhaitez accorder à votre utilisateur : Aucun, Lecture seule ou Complet. 10. Dans le champ Délai d’attente maximal de la session, définissez la durée maximale pendant laquelle l’ordinateur peut envoyer du trafic au réseau externe ou via un tunnel Branch Office VPN. Lorsque ce champ est défini sur (0) minute, il n’y a aucun délai d’attente de session et l’utilisateur peut rester connecté pendant la durée de son choix. 194 Firebox X Edge e-Series Gestion des utilisateurs et des groupes 11. Dans le champ Délai d’inactivité de session, définissez la durée pendant laquelle l’ordinateur peut rester authentifié lorsqu’il est inactif (lorsqu’il ne transmet aucun trafic au réseau externe, via le tunnel VPN Branch Office, ou au système Firebox X Edge lui-même). Une valeur de zéro (0) minute signifie qu’il n’y a pas de délai d’inactivité. 12. Si vous souhaitez que cet utilisateur ait accès à Internet, activez la case à cocher Autoriser l’accès au réseau externe. Pour que ce paramètre prenne effet, l’authentification de l’utilisateur doit être obligatoire. 13. Si vous souhaitez que cet utilisateur ait accès aux ordinateurs situés de l’autre côte d’un tunnel VPN Branch Office, activez la case à cocher Autoriser l’accès aux tunnels VPN gérés et manuels.ad Pour que ce paramètre prenne effet, l’authentification utilisateur doit être obligatoire. 14. Si vous souhaitez que cet utilisateur puisse utiliser Mobile VPN with PPTP pour un accès distant sécurisé à Edge, activez la case à cocher Autoriser l’accès distant avec Mobile VPN with PPTP. Pour que Mobile VPN with PPTP soit opérationnel, vous devez également activer PPTP sur la page VPN > Mobile VPN. 15. Si vous souhaitez que cet utilisateur puisse utiliser Mobile VPN with SSL pour un accès distant sécurisé à Edge, activez la case à cocher Autoriser l’accès distant avec Mobile VPN with SSL. Vous devez également activer WatchGuard Mobile VPN with SSL dans la page VPN > Mobile VPN with SSL. 16. Cliquez sur Envoyer. Demander aux utilisateurs de s’authentifier auprès d’Edge Lorsque vous configurez l’authentification des utilisateurs, vous pouvez choisir de permettre aux utilisateurs d’afficher automatiquement la boîte de dialogue de connexion lorsqu’ils ouvrent leur navigateur Web. Si vous n’utilisez pas ce paramètre, les utilisateurs doivent utiliser la procédure suivante pour s’authentifier : 1. Ouvrez un navigateur Web. Vous pouvez utiliser Mozilla Firefox, Microsoft Internet Explorer ou Netscape Navigator. Vous pouvez utiliser d’autres navigateurs Web mais ils ne sont pas pris en charge. Vous devez activer JavaScript et autoriser les fenêtres contextuelles de Firebox X Edge dans votre navigateur Web pour vous authentifier. 2. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 3. Une boîte de dialogue de sécurité s’affiche. Acceptez l’avertissement pour continuer. 4. Entrez votre nom d’utilisateur et votre mot de passe. Si vous utilisez un serveur d’authentification tierce, comme Active Directory ou RADIUS, vous devez entrer le nom d’utilisateur selon le format suivant : domaine\utilisateur Guide de l’utilisateur 195 Gestion des utilisateurs et des groupes Authentifier une session sans accès administratif Si vous nécessitez une authentification auprès d’Edge pour qu’un utilisateur puisse accéder à des ressources telles que le réseau externe, il doit se connecter à l’adresse IP de l’interface approuvée d’Edge à l’aide du protocole HTTPS et entrer un nom d’utilisateur, ainsi qu’un mot de passe. L’URL par défaut de l’adresse IP de l’interface approuvée d’Edge est https://192.168.111.1. Si l’accès administratif de l’utilisateur est défini sur aucun, il ne peut pas afficher la page État du système. Il affiche la page État de la connexion. Si vous utilisez l’authentification locale, vous devez entrer votre nom tel qu’il s’affiche dans la liste des utilisateurs de Firebox. Si vous utilisez un serveur RADIUS, Active Directory ou LDAP pour l’authentification via Firebox X Edge, vous devez inclure le nom du domaine. Si, par exemple, un utilisateur s’authentifie à l’aide de la liste des utilisateurs de Firebox locaux, il ou elle entre jsmith. Si l’utilisateur administrateur s’authentifie avec un serveur d’authentification LDAP ou RADIUS via Edge, l’administrateur doit entrer MaSociete\jsmith. Lorsque vous vous authentifiez avec Firebox X Edge et établissez une connexion Internet, votre nom d’utilisateur s’affiche dans la section Sessions actives de la page Utilisateur de Firebox. La page État de la connexion s’affiche à tout moment lorsque l’utilisateur retourne à l’URL d’Edge. Sur cette page, l’utilisateur peut : afficher la durée d’activité de sa session ; afficher le délai d’inactivité possible avant l’expiration de la session ; modifier son mot de passe. Créer un compte administratif en lecture seule Vous pouvez créer un compte d’utilisateur local avec accès à l’affichage des pages de configuration de Firebox X Edge e-Series. Lorsque vous ouvrez une session en tant qu’administrateur en lecture seule, vous ne pouvez pas : cliquer sur le bouton Redémarrer de la page État du système ; changer le mode de configuration dans la page Externe ; cliquer sur les boutons Réinitialiser le journal d’événements et Synchroniser l’heure avec le navigateur maintenant dans la page Journalisation ; cliquer sur le bouton Synchroniser maintenant dans la page Heure du système ; cliquer sur le bouton Régénérer les clés IPSec dans la page VPN ; modifier le mode de configuration dans la page Managed VPN ; exécuter les Assistants de configuration à partir de la page Assistant. Lorsque vous tentez d’effectuer ces tâches, vous obtenez un message qui vous informe que vous disposez d’un accès en lecture seule et que vous ne pouvez pas modifier le fichier de configuration. Pour créer un compte d’utilisateur en lecture seule, modifiez le compte de l’utilisateur. Utilisez la liste déroulante Accès administratif pour sélectionner Lecture seule. 196 Firebox X Edge e-Series Gestion des utilisateurs et des groupes Utiliser le compte d’administrateur intégré Firebox X Edge e-Series dispose d’un compted’administrateur intégré qui ne peut être supprimé. Vous pouvez modifier certains des paramètres de comptes d’administrateur. Dans la page Utilisateurs de Firebox, cliquez sur l’icône dans la colonne Modifier du compte d’administrateur. Veillez à conserver le nom de l’administrateur et le mot du passe en lieu sûr. Vous devez disposer de ces informations pour afficher les pages de configuration. Si le nom de l’administrateur et le mot de passe du système sont inconnus, vous devez réinitialiser Firebox X Edge aux paramètres usine par défaut. Pour plus d’informations, voir À propos des paramètres usine par défaut. Il est conseillé de changer le mot de passe d’administrateur régulièrement. Utilisez un mot de passe composé d’au moins huit lettres, nombres et symboles. N’utilisez pas un mot d’un dictionnaire anglais ou autre. Utilisez un ou plusieurs symboles, un nombre, ainsi qu’un mélange de majuscules et de minuscules pour plus de sécurité. Définir le profil WebBlocker d’un utilisateur Un profil WebBlocker est un ensemble unique de restrictions que vous pouvez appliquer aux utilisateurs de votre réseau. Pour appliquer un profil WebBlocker à un compte d’utilisateur : 1. Cliquez sur l’onglet WebBlocker. 2. Sélectionnez un profil dans la liste déroulante. Vous devez sélectionner un profil même si vous ne disposez que d’un profil WebBlocker. Les nouveaux utilisateurs et les nouveaux groupes sont paramétrés par défaut de façon à ignorer WebBlocker. 3. Cliquez sur Envoyer. Si vous souhaitez utiliser un profil WebBlocker différent pour chaque groupe, vous devez d’abord créer ces profils dans la zone WebBlocker > Profils des pages de configuration de Firebox X Edge. Pour plus d’informations sur les profils WebBlocker, voir Créer un profil WebBlocker. Guide de l’utilisateur 197 Gestion des utilisateurs et des groupes Modifier le nom ou le mot de passe d’un compte d’utilisateur Vous pouvez modifier le nom d’un compte ou le mot de passe d’un compte. Si vous modifiez le nom d’un compte, vous devez indiquer le mot de passe de ce compte. 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox. La page Utilisateurs de Firebox s’affiche. 3. Sous Comptes d’utilisateurs locaux, cliquez sur Modifier pour modifier le mot de passe du compte concerné. La page Modifier l’utilisateur s’affiche avec l’onglet Paramètres visible. 4. Cliquez sur Modifier l’identification. 5. Entrez le nouveau nom de compte ou laissez le champ vide pour conserver le nom actuel. Entrez le nouveau mot de passe. Confirmez le nouveau mot de passe. 6. Cliquez sur Envoyer. 198 Firebox X Edge e-Series Gestion des utilisateurs et des groupes À propos de l’authentification LDAP/Active Directory Si vous utilisez l’authentification LDAP, il n’est pas nécessaire de conserver une base de données d’utilisateurs séparée sur Firebox X Edge. Vous pouvez configurer Edge pour qu’il transfère des requêtes d’authentification d’utilisateur sur un serveur LDAP ou Active Directory générique. Vous pouvez utiliser l’authentification LDAP et l’authentification Firebox locale simultanément. À l’aide de l’authentification LDAP, les privilèges d’utilisateurs sont contrôlés par groupe. Vous pouvez ajouter les noms de vos groupes d’utilisateurs LDAP ou Active Directory existants à la configuration de Firebox X Edge et attribuer des privilèges, et un profil WebBlocker. Lorsque des utilisateurs s’authentifient auprès d’Edge, ils font précéder leur nom d’utilisateur de leur nom de domaine LDAP dans la boîte de dialogue d’authentification (domaine\nom d’utilisateur). Si vous utilisez le serveur d’authentification Active Directory, les utilisateurs peuvent également s’authentifier en utilisant leur nom de domaine complet ([email protected]). À propos de l’utilisation de serveurs d’authentification tierce Si vous utilisez un serveur d’authentification tierce, il n’est pas nécessaire de conserver une base de données d’utilisateurs séparée sur Firebox. Configurez un serveur tiers à l’aide des instructions de son fabricant, installez le serveur avec l’accès à Firebox et placez-le derrière Firebox pour des raisons de sécurité. Ensuite, configurez Firebox pour transférer les demandes d’authentification des utilisateurs à ce serveur. Si vous créez sur Firebox un groupe d’utilisateurs qui s’authentifie auprès d’un serveur tiers, assurez-vous de créer un groupe sur le serveur qui a le même nom que le groupe d’utilisateurs sur Firebox. Guide de l’utilisateur 199 Gestion des utilisateurs et des groupes Configurer le service d’authentification LDAP/Active Directory Lorsque vous activez l’authentification LDAP, vous définissez un serveur d’authentification, ainsi que ses propriétés. Pour activer l’authentification LDAP : 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox > Paramètres. La page Paramètres d’utilisateur Firebox s’affiche. 3. Cliquez sur l’onglet LDAP. 4. Activez la case à cocher Activer l’authentification LDAP. Si l’authentification des utilisateurs n’est pas activée dans la section supérieure de cette page de configuration, la section Service d’authentification LDAP n’est pas activée. 5. Dans la zone de texte, Nom de domaine, entrez le nom du domaine LDAP. N’incluez pas le domaine de premier niveau. 6. Dans la liste déroulante Type de serveur LDAP, sélectionnez le type d’implémentation LDAP à utiliser dans votre organisation : Active Directory ou LDAP standard. 7. Dans la zone de texte Adresse du serveur LDAP, entrez l’adresse IP du serveur LDAP que Firebox X Edge utilise pour des requêtes d’authentification. Le serveur LDAP peut se trouver sur n’importe quelle interface Edge ou peut être disponible via un tunnel VPN. 200 Firebox X Edge e-Series Gestion des utilisateurs et des groupes 8. Dans la zone de texte Port du serveur LDAP, entrez le numéro du port que Firebox X Edge utilise pour les connexions au serveur LDAP. Le numéro de port du serveur LDAP par défaut est 389. En général, il n’est pas nécessaire de modifier ce numéro. 9. Utilisez la liste déroulante Délai d’attente LDAP pour sélectionner le nombre de secondes à utiliser comme délai d’attente pour toute opération LDAP. 10. Dans la zone de texte Base de recherche, entrez la base du répertoire LDAP dans laquelle commencer la recherche des entrées de comptes d’utilisateurs. Il doit s’agir d’un nom unique LDAP légitime. Un nom unique est un nom qui identifie de manière unique une entrée dans le répertoire LDAP. Un nom unique inclut autant de qualificateurs que nécessaire pour rechercher une entrée dans le répertoire. Par exemple, un nom unique peut avoir l’aspect suivant : ou=comptes d’utilisateurs,dc=masociété,dc=com Pour plus d’informations sur la recherche de votre base de recherche, visitez www.watchguard.com/ support/faq. 11. Si vous sélectionnez LDAP standard comme type de serveur LDAP, vous devez entrer un nom d’attribut de connexion et un nom d’attribut de groupe dans les zones de texte appropriées. Ces zones de texte ne s’affichent pas si vous sélectionnez Active Directory comme type de serveur LDAP. Le nom d’attribut de connexion est le nom de l’attribut de nom de connexion des entrées utilisateur dans le répertoire LDAP. Le nom d’attribut de groupe est le nom de l’attribut d’appartenance au groupe des entrées utilisateur dans le répertoire LDAP. 12. Activez la case à cocher Activer Single Sign-On (SSO). Pour plus d’informations sur SSO, voir À propos de Single Sign-On. 13. Cliquez sur Envoyer. Utiliser la fonctionnalité de test d’authentification LDAP Une fois Firebox X Edge e-Series configuré pour utiliser l’authentification LDAP, vous pouvez utiliser la fonctionnalité de test d’authentification LDAP pour vérifier qu’Edge peut se connecter au serveur LDAP. Vous pouvez utiliser le test sur un compte d’utilisateur spécifique pour vérifier qu’Edge peut envoyer et recevoir correctement des requêtes d’authentification pour l’utilisateur en question. Pour utiliser la fonctionnalité de test, cliquez sur Tester le compte LDAP, puis entrez le nom et le mot de passe du compte de l’utilisateur LDAP. Le nom d’utilisateur doit être entré selon le format domaine\utilisateur, comme masociete\admin. Les résultats des tentatives d’authentification s’affichent à l’écran. Si l’authentification s’effectue correctement, la section Autorisations utilisateur affiche les droits d’accès de ce compte d’utilisateur. Configurer des groupes pour l’authentification LDAP Les privilèges de compte pour les utilisateurs qui s’authentifient auprès d’un serveur LDAP sont définis en fonction de l’appartenance au groupe. Le groupe auquel l’utilisateur appartient définit tous ses privilèges, à l’exception de ceux associés à Mobile VPN with IPSec. Les privilèges du client Mobile VPN with IPSec doivent être définis au niveau utilisateur. Le nom que vous donnez à un groupe sur Firebox X Edge doit correspondre au nom du groupe affecté aux entrées utilisateur dans le répertoire LDAP. Dans Edge, il existe un groupe intégré par défaut. Les paramètres du groupe par défaut s’appliquent à tous les utilisateurs LDAP qui n’appartiennent à aucun des groupes configurés dans Edge. Vous pouvez modifier les propriétés du groupe par défaut, mais vous ne pouvez pas supprimer ce groupe. Guide de l’utilisateur 201 Gestion des utilisateurs et des groupes Si un utilisateur appartient à plusieurs groupes, ses privilèges sont définis sur les paramètres les moins restrictifs de tous les groupes auxquels il appartient. Dans WebBlocker, le profil le moins restrictif est celui doté du plus petit nombre de catégories bloquées. Pour obtenir un exemple plus général, le groupe « admins » (administrateurs) permet un accès administratif, mais le groupe « powerusers » (utilisateurs avec pouvoir) fournit un accès en lecture seule et le groupe « everyone » (tout le monde) n’attribue aucun accès administratif. Un utilisateur qui appartient aux trois groupes obtient l’accès administratif car il s’agit du paramètre le moins restrictif parmi les trois. Ajouter un groupe pour l’authentification LDAP 1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox > Nouveau groupe. La page Nouveau groupe d’utilisateurs de Firebox s’affiche. 3. Dans la zone de texte, Nom de compte, entrez le nom du nouveau groupe. Ce nom doit correspondre au nom d’un groupe du répertoire LDAP. Ce nom ne doit contenir que des lettres, des nombres et des traits de soulignement (_) ou des tirets (-). Il ne peut pas contenir d’espaces. 4. Dans la zone de texte Description, entrez une description du groupe. Ce champ est facultatif. 5. Dans la liste déroulante Accès administratif, sélectionnez le niveau d’accès administratif Firebox X Edge à attribuer au groupe. Vous pouvez sélectionner : o Aucun — Les membres du groupe n’ont aucun accès aux fonctions d’administration de Firebox X Edge. o Lecture seule — Les membres de ce groupe peuvent afficher la configuration et l’état de Firebox X Edge mais ne peuvent pas les modifier. o Complet — Les membres de ce groupe disposent de tous les privilèges administratifs de Firebox X Edge. 202 Firebox X Edge e-Series Gestion des utilisateurs et des groupes 6. Utilisez la zone de texte Délai d’attente maximal de la session pour définir le nombre de minutes durant lesquelles une session utilisateur démarrée par un membre de ce groupe est autorisée à rester active. Lorsque la limite est atteinte, Firebox X Edge ferme la session. 7. Utilisez la zone de texte Délai d’inactivité de la session pour définir le nombre de minutes durant lesquelles une session utilisateur démarrée par un membre de ce groupe peut demeurer inactive avant d’être automatiquement fermée par Firebox X Edge. 8. Activez la case à cocher Autoriser l’accès au réseau externe pour autoriser les membres de ce groupe à accéder au réseau externe via Firebox X Edge. 9. Activez la case à cocher Autoriser l’accès aux tunnels VPN gérés et manuels pour autoriser les membres de ce groupe à accéder aux tunnels VPN via Firebox X Edge. 10. Activez la case à cocher Autoriser l’accès distant via Mobile VPN with PPTP pour autoriser les membres de ce groupe à établir des connexions PPTP avec Edge à partir d’emplacements distants. 11. Activez la case à cocher Autoriser l’accès distant via Mobile VPN with SSL pour autoriser les membres de ce groupe à établir des connexions VPN SSL avec Edge. 12. Cliquez sur Envoyer. Définir un profil WebBlocker pour un groupe LDAP Un profil WebBlocker est un ensemble unique de restrictions que vous pouvez appliquer aux utilisateurs de votre réseau pour contrôler l’accès aux sites Web externes. Pour appliquer un profil WebBlocker à un groupe, cliquez sur l’onglet WebBlocker dans la page Nouveau groupe d’utilisateurs de Firebox ou Modifier le groupe, puis sélectionnez un profil dans la liste déroulante. Vous devez d’abord créer des profils WebBlocker dans la zone WebBlocker > Profils des pages de configuration de Firebox X Edge. Si aucun profil n’est attribué, les utilisateurs du groupe concerné disposent de l’accès total à tous les sites Web. Pour plus d’informations sur les profils WebBlocker, voir la rubrique Créer un profil WebBlocker. Authentification LDAP et Mobile VPN with IPSec Étant donné que les paramètres de Mobile VPN with IPSec ne peuvent pas être attribués au niveau groupe, vous devez créer un compte d’utilisateur Firebox local pour l’utilisateur et ajouter des paramètres Mobile VPN pour l’utilisateur dans l’onglet MOVPN. Pour plus d’informations, voir À propos de Mobile VPN with IPSec. À propos de Single Sign-On (SSO) Lorsque les utilisateurs se connectent à un ordinateur à l’aide de l’authentification Active Directory, ils doivent entrer un ID utilisateur et un mot de passe. Si vous utilisez Firebox pour restreindre le trafic réseau sortant aux utilisateurs ou aux groupes spécifiés, les utilisateurs doivent se connecter de nouveau pour accéder aux ressources réseau telles qu’Internet. Vous pouvez utiliser Single Sign-On (SSO) pour que les utilisateurs des réseaux approuvé et facultatif soient automatiquement authentifiés auprès de Firebox lorsqu’ils se connectent à leur ordinateur. SSO n’est pas recommandé pour les environnements dans lesquels plusieurs utilisateurs partagent un même ordinateur ou une même adresse IP ou dans lesquels les utilisateurs se connectent à l’aide de Mobile VPN. Lorsque plusieurs utilisateurs sont associés à une adresse IP, les autorisations réseau risquent de ne pas fonctionner correctement. Ceci peut constituer un risque pour la sécurité. Guide de l’utilisateur 203 Gestion des utilisateurs et des groupes Pour utiliser SSO, vous devez installer le logiciel WatchGuard Authentication Gateway, également appelé logiciel agent SSO, sur un ordinateur du domaine de votre réseau. Lorsqu’un utilisateur se connecte à un ordinateur, l’agent SSO rassemble toutes les informations entrées par l’utilisateur et les envoie à Firebox. Firebox les compare aux stratégies définies pour cet utilisateur ou ce groupe d’utilisateurs en une fois. L’agent SSO met ces données en cache pour une durée d’environ 10 minutes par défaut, pour ne pas avoir à générer de requête pour chaque paquet. Pour plus d’informations sur l’installation de l’agent SSO, voir Installer l’agent WatchGuard SSO. Avant de commencer Un serveur Active Directory doit être configuré sur votre réseau approuvé ou facultatif. Des serveurs DHCP et DNS doivent également être configurés sur le même domaine que le serveur Active Directory. Firebox doit être configuré de façon à utiliser l’authentification Active Directory. Pour plus d’informations, voir À propos de l’authentification LDAP/Active Directory. Un compte doit être défini pour chaque utilisateur sur le serveur Active Directory. Pour être opérationnel, chaque utilisateur doit se connecter à un compte de domaine Single Sign-On (SSO). Si les utilisateurs se connectent à un compte qui n’existe que sur leur ordinateur local, les informations d’identification ne sont pas vérifiées et Firebox ne reconnaît pas ces utilisateurs. Si vous utilisez un pare-feu tiers sur les ordinateurs de votre réseau, vérifiez que le port TCP 445 (réseau Samba/Windows) est ouvert sur chaque client. Vérifiez que l’impression et le partage de fichiers sont activés sur tous les ordinateurs à partir desquels les utilisateurs s’identifient à l’aide de SSO. Vérifiez que les ports NetBIOS et SMB ne sont bloqués sur aucun des ordinateurs à partir desquels les utilisateurs s’authentifient à l’aide de SSO. NetBIOS utilise les ports TCP/UDP 137, 138, 139 et SMB utilise le port TCP 445. Vérifiez que tous les ordinateurs à partir desquels les utilisateurs s’authentifient à l’aide de SSO sont membres du domaine auquel sont associées les relations d’approbation ininterrompues. Activer et configurer SSO Pour activer SSO sur Firebox, voir Activer Single Sign-On. À propos des exceptions SSO Si votre réseau contient des périphériques dont les adresses IP ne requièrent pas d’authentification, tels que des serveurs de réseau ou d’impression, il est judicieux de les ajouter à la liste des exceptions SSO de la configuration SSO. Chaque fois qu’une connexion est établie à partir de l’un de ces périphériques et que l’adresse IP du périphérique ne figure pas dans la liste des exceptions, Firebox contacte l’agent SSO pour tenter d’associer l’adresse IP à un nom d’utilisateur. Cette opération prend environ 10 secondes. Pour éviter ce temps de traitement de 10 secondes supplémentaires à chaque connexion et ne pas générer de trafic réseau superflu, utilisez la liste des exceptions. Pour plus d’informations sur l’ajout d’exceptions SSO, voir Activer Single Sign-On. 204 Firebox X Edge e-Series Gestion des utilisateurs et des groupes Activer Single Sign-On 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox > Paramètres. La page Paramètres d’utilisateur Firebox s’affiche. 3. Vérifiez que la case à cocher Demander l’authentification utilisateur (activer les comptes d’utilisateur locaux) est activée. 4. Sélectionnez si nécessaire d’autres options d’accès. Pour plus d’informations, voir Définir des options d’authentification pour tous les utilisateurs. 5. Activez la case à cocher ActiverSingle Sign-On (SSO). 6. Entrez l’adresse IP de l’agent SSO dans la zone de texte adjacente. Il s’agit de l’adresse IP de l’ordinateur sur lequel vous avez installé le logiciel WatchGuard Authentication Gateway. 7. Dans la zone de texte Délai d’attente du cache de l’agent, entrez le nombre de secondes devant s’écouler avant que l’agent SSO doive vérifier de nouveau l’état de la connexion d’un utilisateur. Si vous utilisez des durées de bail DHCP courtes, nous vous recommandons de choisir une valeur peu élevée. 8. Ajoutez ou supprimez les exceptions SSO des adresses IP dans lesquelles Firebox ne recherchera pas d’informations utilisateur, comme les ordinateurs sur lesquels travaillent plusieurs utilisateurs, qui sont connectés à plusieurs serveurs et qui ne font pas partie de votre domaine Active Directory. Si ces périphériques sont référencés par leur nom dans vos stratégies, ils doivent s’authentifier auprès de Firebox à l’aide d’un navigateur Web. Vous pouvez entrer une adresse IP d’hôte, une adresse IP de réseau en notation de barre oblique ou une plage d’adresses IP. 9. Cliquez sur Envoyer pour enregistrer les modifications. Installer l’agent WatchGuard Single Sign-On (SSO) Pour utiliser Single Sign-On (SSO), vous devez installer l’agent WatchGuard SSO. L’agent SSO est un service qui reçoit des demandes d’authentification Firebox et vérifie l’état de l’utilisateur auprès du serveur Active Directory. Ce service s’exécute sous le nom WatchGuard Authentication Gateway sur l’ordinateur sur lequel vous installez le logiciel agent SSO. Microsoft .NET Framework 2.0 doit également être installé sur cet ordinateur. Pour utiliser Single Sign-On avec Firebox, vous devez installer l’agent SSO sur un ordinateur du domaine ayant une adresse IP statique. Nous vous conseillons d’installer l’agent SSO sur votre contrôleur de domaine. Télécharger le logiciel agent SSO 1. 2. 3. 4. 5. À l’aide de votre navigateur, accédez à : http://www.watchguard.com/. Ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity. Cliquez sur le lien Software Downloads. Sélectionnez le type et le numéro de modèle de votre périphérique Firebox. Téléchargez le logiciel WatchGuard Authentication Gateway et enregistrez le fichier à l’emplacement de votre choix. Guide de l’utilisateur 205 Gestion des utilisateurs et des groupes Avant l’installation Le service agent SSO doit être exécuté sous un compte d’utilisateur. Nous vous recommandons de créer un compte d’utilisateur à cet effet. Pour que le service agent SSO fonctionne correctement, configurez le compte d’utilisateur avec les propriétés suivantes : Ajoutez le compte au groupe Admins du domaine. Activez le groupe Admins du domaine comme groupe principal. Autorisez le compte à ouvrir une session en tant que service. Configurez le mot de passe pour qu’il n’expire jamais. Installer le service agent SSO Double-cliquez sur WG-Authentication-Gateway.exe pour démarrer l’Assistant Authentication Gateway Setup Wizard. Vous devrez peut-être taper un mot de passe d’administrateur local pour exécuter le programme d’installation sur certains systèmes d’exploitation. Suivez les instructions pour installer le logiciel : Installation – Authentication Gateway Cliquez sur Suivant pour démarrer l’Assistant. Sélectionnez l’emplacement de destination. Tapez ou sélectionnez un emplacement d’installation pour le logiciel, puis cliquez sur Suivant. Sélectionnez le dossier Menu Démarrer. Tapez ou sélectionnez un emplacement dans le Menu Démarrer pour ajouter des raccourcis de programmes. Si vous ne souhaitez pas ajouter de raccourcis de programmes au Menu Démarrer, activez la case à cocher Ne pas créer de dossier dans le Menu Démarrer. Lorsque vous avez terminé, cliquez sur Suivant. Connexion d’utilisateur de domaine Tapez le nom d’utilisateur de domaine et le mot de passe d’un utilisateur ayant un compte actif dans votre domaine LDAP ou Active Directory actuel. Vous devez entrer ce nom d’utilisateur au format suivant : domaine\nom_utilisateur. Notez que vous ne devez pas spécifier la partie .com ou .net du nom de domaine. Par exemple, si votre domaine est mywatchguard.com et que vous utilisez le compte de domaine ssoagent, entrez le nom d’utilisateur mywatchguard\ssoagent. Cliquez sur Suivant. Si le compte d’utilisateur que vous spécifiez ne dispose pas de privilèges suffisants, certains utilisateurs ne pourront pas utiliser SSO et devront s’authentifier auprès de Firebox manuellement. Nous vous conseillons de suivre les instructions de la section précédente pour créer un compte d’utilisateur pour le service agent SSO. Prêt pour l’installation Examinez vos paramètres, puis cliquez sur Installer pour installer le service sur votre ordinateur. Installation – Authentication Gateway Cliquez sur Terminer pour fermer l’Assistant. Le service WatchGuard Authentication Gateway démarre automatiquement une fois l’Assistant terminé et démarre chaque fois que l’ordinateur redémarre. 206 Firebox X Edge e-Series Gestion des utilisateurs et des groupes Activer l’authentification RADIUS Lorsque vous activez l’authentification RADIUS, vous définissez un serveur d’authentification, ainsi que ses propriétés. Lorsque vous configurez votre serveur RADIUS, vous devez vous assurer que lorsqu’il envoie un message à Firebox un utilisateur est authentifié et qu’il envoie aussi une chaîne FilterID, par exemple « engineeringGroup » ou « financeGroup ». La chaîne FilterID est l’attribut RADIUS 11. Ces informations sont ensuite utilisées pour le contrôle d’accès et doivent correspondre au nom de compte d’un groupe configuré sur la page Utilisateurs de Firebox. Pour activer l’authentification RADIUS : 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox > Paramètres. Cliquez sur l’onglet RADIUS. La page Paramètres d’utilisateur Firebox s’affiche. 3. Pour activer le serveur RADIUS, ainsi que les champs de cette boîte de dialogue, activez la case à cocher Activer l’authentification RADIUS. 4. Dans la zone de texte Adresse IP du serveur RADIUS, entrez l’adresse IP de votre serveur RADIUS. 5. Dans la zone de texte Port du serveur RADIUS, assurez-vous que le numéro du port RADIUS utilisé pour l’authentification s’affiche. Le numéro de port par défaut est 1 812. Il se peut que des serveurs RADIUS plus anciens utilisent le port 1 645. 6. Dans la zone de texte de secret du serveur RADIUS, entrez le secret partagé entre Firebox et le serveur RADIUS. Le secret partagé respecte la casse et doit être le même sur le serveur Edge et sur le serveur RADIUS. 7. Pour définir la valeur du délai d’attente, utilisez le contrôle de valeur Délai d’attente et définissez la valeur désirée. La valeur du délai d’attente correspond à la durée pendant laquelle Edge attend une réponse du serveur d’authentification avant de réessayer de se connecter. 8. Afin de vérifier que Firebox se connecte correctement au serveur RADIUS pour vérifier les informations d’identification de l’utilisateur, cliquez sur le bouton Test du compte RADIUS. 9. Cliquez sur Envoyer. Guide de l’utilisateur 207 Gestion des utilisateurs et des groupes Afficher les sessions et les utilisateurs actifs La page Utilisateurs de Firebox affiche des informations sur les utilisateurs actuellement en ligne. 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox. La page Utilisateurs de Firebox s’affiche. Paramètres d’utilisateur Firebox Sous Paramètres d’utilisateur Firebox, les valeurs actuelles de tous les paramètres globaux de session et d’utilisateur s’affichent. Sessions actives Une session est créée lorsque des données passent d’un ordinateur du réseau approuvé ou facultatif vers un ordinateur du réseau externe. Par exemple, lorsqu’un utilisateur de votre réseau approuvé ouvre un navigateur pour accéder à un site Web, une session démarre sur Firebox X Edge. Si des comptes d’utilisateurs locaux sont activés, la section Sessions actives de la page Utilisateurs de Firebox affiche des informations relatives à toutes les sessions actives, y compris le nom et l’adresse IP de l’utilisateur qui a démarré la session. Si aucun compte d’utilisateur local n’est activé, chaque session active affiche l’adresse IP des hôtes ayant démarré des sessions. Le nom d’utilisateur affiché est « Anonymous ». 208 Firebox X Edge e-Series Gestion des utilisateurs et des groupes Arrêter une session Firebox X Edge e-Series gère et enregistre les propriétés de chaque session utilisateur. Si le délai de fermeture automatique de session est atteint pour toutes les sessions ou si Firebox X Edge redémarre, toutes les sessions sont arrêtées en même temps. L’administrateur d’Edge peut également interrompre une session via la page Utilisateurs de Firebox. Pour arrêter une session manuellement : 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox. La page Utilisateurs de Firebox apparaît. 3. Dans la liste Sessions actives, cliquez sur le bouton Fermer en regard de la session à arrêter. Pour arrêter toutes les sessions, cliquez sur le bouton Fermer tout . Si l’authentification des utilisateurs est activée pour les connexions réseau externes, une session est fermée lorsque l’un des événements suivants se produit : Le délai maximal d’inactivité défini pour ce compte est atteint. La durée maximale définie pour ce compte est atteinte. L’utilisateur authentifié ferme la session manuellement. Pour fermer la session, l’utilisateur clique sur le bouton Déconnexion de la boîte de dialogue État de la connexion et ferme toutes les fenêtres ouvertes du navigateur. Guide de l’utilisateur 209 Gestion des utilisateurs et des groupes Comptes d’utilisateurs locaux Sous Comptes d’utilisateurs locaux, apparaissent les informations sur les utilisateurs que vous avez configurés : Nom : nom donné à l’utilisateur. L’utilisateur Admin fait partie de la configuration par défaut et ne peut pas être supprimé. Niveau Administrateur : vous pouvez définir les autorisations utilisateur sur Complet, Aucun ou Lecture seule. Options : vous pouvez configurer un utilisateur pour qu’il utilise WebBlocker, MOVPN (Mobile VPN with IPSec), PPTP (Mobile VPN with PPTP) et SSL (Mobile VPN with SSL). Si les comptes d’utilisateurs locaux sont activés, des informations sur les droits d’accès à Internet et VPN apparaissent également. Modification d’un compte d’utilisateur Pour modifier un compte d’utilisateur, cliquez sur l’icône Modifier. Pour obtenir des descriptions de champs configurables, voir À propos des comptes d’utilisateurs. Suppression d’un compte d’utilisateur Pour supprimer un compte d’utilisateur, cliquez sur X en regard du nom du compte. Une boîte de dialogue s’affiche. Cliquez sur Oui pour supprimer le compte. Vous ne pouvez pas supprimer le compte « admin ». 210 Firebox X Edge e-Series Gestion des utilisateurs et des groupes Autoriser des périphériques internes pour ignorer l’authentification des utilisateurs Vous pouvez établir une liste de périphériques internes qui ignorent les paramètres d’authentification des utilisateurs. Si un périphérique est sur cette liste, son utilisateur n’a pas besoin de s’authentifier pour accéder à Internet. Aucune règle WebBlocker ne s’applique au trafic Web provenant de périphériques de cette liste. 1. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox > Hôtes approuvés. La page des hôtes approuvés des utilisateurs de Firebox s’affiche. 2. Dans la zone de texte Adresse IP de l’hôte, entrez l’adresse IP du périphérique de votre réseau approuvé ou facultatif pour autoriser les utilisateurs à parcourir Internet sans restriction d’authentification. 3. Cliquez sur Ajouter. 4. Répétez les étapes 2 et 3 pour d’autres périphériques approuvés. 5. Pour supprimer un périphérique de la liste, sélectionnez l’adresse et cliquez sur Supprimer. 6. Cliquez sur Envoyer pour enregistrer vos modifications dans Firebox. Guide de l’utilisateur 211 Gestion des utilisateurs et des groupes 212 Firebox X Edge e-Series 14 WebBlocker À propos de WebBlocker Si vous accordez aux utilisateurs un accès illimité aux sites Web, votre entreprise risque de connaître une perte de productivité et un encombrement de la bande passante. Une navigation incontrôlée sur Internet peut également accroître les risques au niveau de la sécurité et de votre responsabilité juridique. Avec l’abonnement de sécurité WebBlocker, vous contrôlez les sites Web auxquels les utilisateurs peuvent accéder. WebBlocker utilise une base de données d’adresses de sites Web contrôlée par SurfControl, société leader dans le domaine du filtrage Web. Lorsqu’un utilisateur de votre réseau essaie de se connecter à un site Web, Firebox examine la base de données WebBlocker. Si le site Web ne figure pas dans la base de données ou n’est pas bloqué, la page s’ouvre. S’il s’y trouve et qu’il est bloqué, une notification apparaît et le site Web n’est pas affiché. WebBlocker travaille avec les proxies HTTP et HTTPS pour filtrer la navigation sur le Web. Si vous n’avez pas configuré de proxy HTTP ou HTTPS, un proxy est automatiquement configuré et activé lorsque vous activez WebBlocker. Vous devez acheter la mise à niveau de WebBlocker pour pouvoir utiliser cette fonctionnalité. Pour plus d’informations, visitez le site Web des services LiveSecurity de WatchGuard à l’adresse http://www.watchguard.com/store. Configurer les paramètres WebBlocker globaux La première page WebBlocker des pages de configuration de Firebox X Edge e-Series est la page Paramètres de WebBlocker. Utilisez cette page pour effectuer les actions suivantes : Activer WebBlocker Définir le mot de passe d’accès complet Définir le délai d’inactivité Définir une action si Edge ne parvient pas à se connecter au serveur WebBlocker Définir une action si la licence WebBlocker arrive à expiration Guide de l’utilisateur 213 WebBlocker Pour configurer WebBlocker, procédez comme suit : 1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est https://192.168.111.1 2. Dans la barre de navigation, sélectionnez WebBlocker > Paramètres. La page Paramètres de WebBlocker s’affiche. 3. Activez la case à cocher Activer WebBlocker pour activer WebBlocker pour HTTP ou HTTPS. 4. Si vous souhaitez autoriser les utilisateurs à contourner WebBlocker s’ils connaissent le mot de passe d’accès complet, activez la case à cocher Activer le remplacement de WebBlocker. Tapez un mot de passe dans le champ Mot de passe d’accès complet, puis tapez ce même mot de passe dans le champ Confirmer le mot de passe. Le mot de passe d’accès complet donne accès à tous les sites Web jusqu’à ce que le délai d’inactivité soit atteint ou jusqu’à ce qu’un utilisateur authentifié se déconnecte. Cette fonctionnalité n’est utilisée qu’avec les stratégies de proxy HTTP. 5. Tapez un nombre, en minutes, dans le champ Délai d’inactivité. Le champ Délai d’inactivité indique la durée pendant laquelle le mot de passe d’accès complet est actif si aucune navigation sur le Web n’est enregistrée. Si un utilisateur tape le mot de passe d’accès complet et qu’aucun trafic HTTP ou HTTPS n’est envoyé depuis l’ordinateur de l’utilisateur pendant la durée définie dans le champ Délai d’inactivité, les règles WebBlocker s’appliquent de nouveau. La valeur peut être comprise entre 1 et 1 440 minutes. 214 Firebox X Edge e-Series WebBlocker 6. Utilisez la liste déroulante Lorsque le serveur WebBlocker Server est indisponible, l’accès à tous les sites est pour indiquer si Firebox X Edge doit autoriser ou refuser tout le trafic lorsqu’il ne parvient pas à se connecter à WebBlocker Server. Si vous autorisez le trafic Web lorsque WebBlocker Server n’est pas disponible, chaque utilisateur qui envoie une requête Web doit attendre 45 secondes pour que Firebox X Edge essaie de se connecter à WebBlocker Server et dépasse le délai d’attente. À l’issue de ces 45 secondes, Edge autorise l’accès au site Web. Une fois qu’Edge peut de nouveau se connecter à WebBlocker Server, il réapplique automatiquement les règles WebBlocker. 7. Utilisez la liste déroulante Lorsque la licence WebBlocker a expiré, l’accès à tous les sites est pour indiquer si Firebox X Edge doit autoriser ou refuser tout le trafic Web si l’abonnement à WebBlocker est arrivé à expiration. Si l’abonnement à WebBlocker est renouvelé, Firebox X Edge conserve la configuration précédente et applique de nouveau les règles WebBlocker. 8. Par défaut, WebBlocker se connecte à un serveur WebBlocker Server géré par WatchGuard afin de vérifier si un site Web correspond à une catégorie WebBlocker. Si vous préférez, vous pouvez installer et maintenir votre propre serveur WebBlocker Server sur votre ordinateur local. Si vous avez installé WebBlocker Server sur un ordinateur de votre réseau local, activez la case à cocher Utiliser un serveur WebBlocker Server personnalisé. Tapez l’adresse IP du serveur dans la zone de texte adjacente. Pour obtenir des instructions sur l’installation de votre propre serveur WebBlocker Server, voir Installer Quarantine Server et WebBlocker Server. 9. Cliquez sur Envoyer. WebBlocker affiche un message de refus aux utilisateurs lorsqu’il bloque l’accès à un site Web. Vous pouvez personnaliser ce message lorsque vous configurez votre stratégie de proxy HTTP. Pour plus d’informations, voir Proxy HTTP : message de refus. Installer Quarantine Server et WebBlocker Server Pour utiliser la fonctionnalité de mise en quarantaine de spamBlocker ou Gateway AntiVirus, ou si vous souhaitez installer et maintenir votre propre WebBlocker Server, vous devez télécharger et installer WatchGuard Quarantine Server et WebBlocker Server. Vous pouvez installer le logiciel serveur sur un ordinateur exécutant Windows 2003, Windows XP ou Windows Vista. Nous recommandons au moins 512 Mo de RAM, un processeur 2,0 GHz et 60 Go d’espace disque si vous prévoyez d’installer les deux serveurs sur le même ordinateur. Télécharger le logiciel serveur 1. 2. 3. 4. 5. À l’aide de votre navigateur, accédez à : http://www.watchguard.com/. Ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity. Cliquez sur le lien Software Downloads. Sélectionnez le type et le numéro de modèle de votre périphérique Firebox. Téléchargez les logiciels WatchGuard Quarantine Server et WebBlocker Server for Edge et enregistrez le fichier à l’emplacement de votre choix. Guide de l’utilisateur 215 WebBlocker Installer Quarantine Server et WebBlocker Server Double-cliquez sur WGEdge10QWB.exe pour démarrer l’Assistant d’installation. Vous devrez peut-être taper un mot de passe d’administrateur local pour exécuter le programme d’installation sur certains systèmes d’exploitation. Suivez les instructions pour installer le logiciel : Installation de WatchGuard WebBlocker et Quarantine Server pour Edge Cliquez sur Suivant pour démarrer l’Assistant. Lisez le contrat de licence. Activez la case d’option Accepter, puis cliquez sur Suivant. Définissez le dossier de destination. Cliquez sur Parcourir pour sélectionner l’emplacement d’installation du logiciel ou cliquez sur Suivant. Sélectionnez les composants à installer. Les deux serveurs sont installés par défaut. Si vous ne souhaitez pas installer un serveur, désactivez la case à cocher correspondante. Lorsque vous avez terminé, cliquez sur Suivant. Configurez la barre d’outils WatchGuard. Suivez les instructions affichées à l’écran pour activer votre barre d’outils WatchGuard. Lorsque vous avez terminé, cliquez sur Suivant. Après l’installation, vous pouvez démarrer et arrêter WebBlocker Server ou Quarantine Server à l’aide des icônes WebBlocker Server et Quarantine Server dans votre barre d’outils WatchGuard. Installation de WatchGuard WebBlocker et Quarantine Server pour Edge Cliquez sur Terminer pour fermer l’Assistant. À propos des profils WebBlocker Un profil WebBlocker est un ensemble de restrictions que vous appliquez aux utilisateurs ou groupes d’utilisateurs de votre réseau. Vous pouvez créer différents profils avec différents groupes de restrictions. Par exemple, vous pouvez créer un profil pour les nouveaux employés avec davantage de restrictions que pour les autres employés. Il n’est pas nécessaire de créer des profils WebBlocker si vous n’utilisez qu’un seul ensemble de règles WebBlocker pour tous vos utilisateurs. Après avoir créé des profils, vous devez les appliquer lorsque vous configurez des comptes d’utilisateurs Firebox X Edge. Même si vous n’utilisez qu’un seul ensemble de règles WebBlocker, vous devez choisir d’appliquer les règles WebBlocker à chaque nouvel utilisateur ou groupe que vous créez comme décrit dans Créer un profil WebBlocker. Créer un profil WebBlocker 1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est https://192.168.111.1 2. Dans la barre de navigation, cliquez sur WebBlocker > Profils. La page Profils s’affiche. 216 Firebox X Edge e-Series WebBlocker 3. Cliquez sur Nouveau. La page Nouveau profil s’affiche. Guide de l’utilisateur 217 WebBlocker 4. Dans le champ Nom de profil, tapez un nom évocateur. Utilisez ce nom pour identifier le profil pendant la configuration. Par exemple, donnez le nom « 90 jours » à un groupe d’employés qui ont travaillé dans votre société pendant moins de 90 jours. 5. Dans Catégories bloquées, sélectionnez les catégories de sites Web à bloquer en activant la case à cocher en regard du nom de catégorie. Pour plus d’informations sur les catégories, voir À propos des catégories WebBlocker. Si vous activez la case à cocher en regard d’un groupe de catégories, toutes les catégories de ce groupe sont automatiquement sélectionnées. Si vous désactivez la case à cocher en regard d’un groupe de catégories, toutes les catégories de ce groupe sont automatiquement désélectionnées. 6. Cliquez sur Envoyer. Pour supprimer un profil, dans la page Profils WebBlocker, sélectionnez le profil dans la liste déroulante Profil. Cliquez sur Supprimer. Si vous n’utilisez pas l’authentification des utilisateurs, le profil WebBlocker par défaut est appliqué à tous les utilisateurs. Pour plus d’informations sur l’authentification des utilisateurs, voir les rubriques sous Gestion des groupes et des utilisateurs dans le Sommaire. À propos des catégories WebBlocker La base de données WebBlocker contient neuf groupes de catégories, avec 54 catégories de sites Web. Un site Web est ajouté à une catégorie son contenu répond aux critères de cette catégorie. Les sites d’opinion ou d’informations éducatives sur le sujet de la catégorie ne sont pas inclus. Par exemple, la catégorie Drogues illégales refuse les sites expliquant comment utiliser la marijuana. Elle ne refuse pas les sites donnant des informations sur l’histoire de l’utilisation de la marijuana. La catégorie Autre contient les nouveaux sites et les nouvelles catégories diffusés par SurfControl qui ne font pas encore partie d’une mise à jour du logiciel de Firebox X Edge. La catégorie N’appartenant à aucune catégorie inclut les sites ne répondant aux critères d’aucune autre catégorie. 218 Firebox X Edge e-Series WebBlocker Vérifier si un site appartient à une catégorie Pour vérifier si WebBlocker refuse l’accès à un site Web dans le cadre d’un blocage de catégorie, allez dans le formulaire Filter Testing and Submissions du site Web SurfControl. 1. À l’aide de votre navigateur, accédez à : http://mtas.surfcontrol.com/mtas/WatchGuardTest-a-Site.asp. La page WatchGuard Test-a-Site s’affiche. 2. Tapez l’URL ou l’adresse IP du site à vérifier. 3. Cliquez sur Test site. La page WatchGuard Test-a-Site Results s’affiche. Guide de l’utilisateur 219 WebBlocker Ajouter, supprimer ou modifier une catégorie Si vous recevez un message indiquant que l’URL entrée ne figure pas dans la liste SurfControl, vous pouvez la soumettre sur la page Résultats de test. 1. Cliquez sur Soumettre un site. La page Soumettre un site s’affiche. 2. Choisissez si vous voulez ajouter un site, supprimer un site ou modifier la catégorie. 3. Entrez l’URL du site. 4. Si vous voulez que la catégorie affectée à un site soit modifiée, sélectionnez la nouvelle catégorie dans le menu déroulant. 5. Cliquez sur Envoyer. 220 Firebox X Edge e-Series WebBlocker À propos de l’autorisation des sites à contourner WebBlocker WebBlocker peut refuser un site Web dont vous pouvez avoir besoin. Vous pouvez neutraliser WebBlocker en définissant un site Web normalement refusé par WebBlocker comme une exception afin de permettre aux utilisateurs d’y accéder. Supposons par exemple que les employés de votre société utilisent fréquemment des sites Web contenant des informations médicales. Certains de ces sites sont interdits par WebBlocker car ils appartiennent à la catégorie Éducation sexuelle. Pour neutraliser WebBlocker, vous devez entrer l’adresse IP du site Web ou son nom de domaine. Vous pouvez également refuser des sites normalement autorisés par WebBlocker. Les exceptions WebBlocker s’appliquent uniquement au trafic HTTP. Si vous refusez un site avec WebBlocker, ce site n’est pas automatiquement ajouté à la liste des sites bloqués. Pour ajouter des exceptions WebBlocker, voir Ajouter un site autorisé et Ajouter un site refusé. Ajouter un site autorisé 1. Dans la barre de navigation, sélectionnez WebBlocker > Sites autorisés. La page Sites autorisés de WebBlocker s’affiche. 2. Dans la liste déroulante, sélectionnez l’adresse IP et le nom de domaine de l’hôte. 3. Tapez l’adresse IP ou le nom de domaine de l’hôte du site Web à autoriser. Guide de l’utilisateur 221 WebBlocker 4. Répétez l’étape 3 pour chaque nom d’hôte ou de domaine supplémentaire que vous voulez ajouter à la liste des sites autorisés. Le nom de domaine (ou d’hôte) fait partie d’une URL qui se termine par .com, .net, .org, .biz, .gov ou .edu. Les noms de domaine peuvent également se terminer par un code de pays, comme .de (Allemagne) ou .jp (Japon). Pour ajouter un nom de domaine, tapez l’URL sans la faire précéder de « http:// ». Par exemple, pour autoriser l’accès au site Web de Google, choisissez d’ajouter un nom de domaine, puis entrez google.com. Si le site contient un sous-domaine qui se traduit par une adresse IP différente, vous devez entrer ce sous-domaine pour l’autoriser. Par exemple, si « www.site.com » et « site.com » se trouvent sur des serveurs différents, vous devez ajouter ces deux entrées. 5. Cliquez sur Ajouter. Le site est ajouté à la liste des sites autorisés. 6. Cliquez sur Envoyer. Pour supprimer un élément de la liste Sites autorisés, sélectionnez l’adresse, puis cliquez sur Supprimer et sur Envoyer. Ajouter un site refusé 1. Dans la barre de navigation, sélectionnez WebBlocker > Sites refusés. La page Sites refusés de WebBlocker s’affiche. 2. Dans la liste déroulante, sélectionnez Adresse IP de l’hôte ou URL/Nom de domaine. 3. Tapez l’adresse IP ou le nom de domaine de l’hôte du site Web refusé. 222 Firebox X Edge e-Series WebBlocker 4. Répétez l’étape 3 pour chaque hôte, adresse IP ou nom de domaine supplémentaire que vous voulez ajouter à la liste des sites refusés. Le nom de domaine (ou d’hôte) fait partie d’une URL qui se termine par .com, .net, .org, .biz, .gov ou .edu. Les noms de domaine peuvent également se terminer par un code de pays, comme .de (Allemagne) ou .jp (Japon). Pour ajouter un nom de domaine, tapez l’URL sans la faire précéder de « http:// ». Par exemple, pour autoriser l’accès au site Web de Playboy, choisissez d’ajouter un nom de domaine, puis entrez playboy.com. Si le site contient un sous-domaine qui se traduit par une adresse IP différente, vous devez entrer ce sous-domaine pour le refuser. Par exemple, si « www.site.com » et « site.com » se trouvent sur des serveurs différents, vous devez ajouter ces deux entrées. 5. Cliquez sur Ajouter. Le site est ajouté à la liste des sites refusés. 6. Cliquez sur Envoyer. Pour supprimer un élément de la liste Sites refusés, sélectionnez l’adresse, cliquez sur Supprimer, puis sur Envoyer. Guide de l’utilisateur 223 WebBlocker Autoriser des hôtes internes à contourner WebBlocker Vous pouvez établir une liste d’hôtes internes qui contournent WebBlocker. Les hôtes internes figurant dans cette liste ignorent également les paramètres d’authentification des utilisateurs. Un utilisateur figurant dans cette liste n’a pas besoin de s’authentifier pour accéder à Internet. Aucune règle WebBlocker ne s’applique aux utilisateurs de cette liste. 1. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox > Hôtes approuvés. La page Hôtes approuvés des utilisateurs de Firebox s’affiche. 2. Dans la zone de texte Adresse IP de l’hôte, tapez l’adresse IP de l’ordinateur de votre réseau approuvé ou facultatif qui autorise les utilisateurs à naviguer sur Internet sans restrictions d’authentification. 3. Cliquez sur Ajouter. 4. Répétez l’étape 2 pour les autres ordinateurs approuvés. 5. Cliquez sur Envoyer. Pour supprimer un ordinateur de la liste, sélectionnez l’adresse, puis cliquez sur Supprimer. 224 Firebox X Edge e-Series 15 spamBlocker À propos de spamBlocker Les courriers indésirables (ou spams) remplissent votre boîte de réception à une allure incroyable. Une trop grande quantité de courriers indésirables limite la bande passante, affecte la productivité des employés et gaspille les ressources du réseau. L’option spamBlocker de WatchGuard utilise la technologie de détection des signatures de Commtouch, leader sur le marché, pour bloquer le courrier indésirable au niveau de votre passerelle Internet et l’empêcher d’accéder à votre serveur de messagerie. Les filtres de courriers électroniques disponibles sur le marché utilisent diverses méthodes pour repérer les courriers indésirables. Les listes noires répertorient les domaines qui sont utilisés par des sources connues ou des relais de courriers indésirables. Les filtres de contenu recherchent la présence de mots clés dans l’en-tête et le corps des e-mails. La détection des URL compare une liste de domaines utilisés par des sources connues de courriers indésirables avec le lien publicitaire présent dans le corps de l’e-mail. Cependant, toutes ces procédures analysent individuellement chaque e-mail. Les personnes malveillantes peuvent facilement contourner ces algorithmes. Elles peuvent notamment masquer l’adresse de l’expéditeur pour ne pas êtres détectées par les listes noires, modifier les mots clés, intégrer des mots dans des images ou utiliser plusieurs langues. Elles peuvent également créer une chaîne de proxies afin de camoufler l’URL publicitaire. spamBlocker utilise RPD (Recurrent-Pattern Detection), la solution de détection des signatures récurrentes créée par Commtouch, pour identifier les attaques de courriers indésirables difficiles à repérer. RPD est une technologie de pointe qui recherche en temps réel les déclenchements de courriers indésirables sur Internet. Cette solution identifie les signatures du déclenchement et non pas la signature des seuls messages indésirables. Le contenu ou l’en-tête du message n’étant pas utilisés lors de ce processus, les courriers indésirables peuvent être identifiés quels que soient la langue, le format ou le codage. Pour découvrir l’analyse d’un déclenchement de courriers indésirables en temps réel, visitez le centre de détection des déclenchements de Commtouch à l’adresse suivante (en anglais) : http://www.commtouch.com/Site/ ResearchLab/map.asp. Par ailleurs, spamBlocker intègre des fonctionnalités en option de détection des déclenchements de virus. Pour plus d’informations, voir À propos de VOD (Virus Outbreak Detection). Guide de l’utilisateur 225 spamBlocker Spécifications de spamBlocker Avant d’installer spamBlocker, vous devez disposer des éléments suivants : Une clé de fonctionnalité spamBlocker. Pour obtenir une clé de fonctionnalité, contactez votre revendeur WatchGuard ou consultez le site Web WatchGuard LiveSecurity à l’adresse suivante : http://www.watchguard.com/store. Un serveur de messagerie POP3 ou SMTP. spamBlocker utilise les proxies SMTP entrant et POP3 de WatchGuard pour analyser vos e-mails. Si vous n’avez pas configuré le proxy POP3 ou SMTP, ils sont activés lorsque vous configurez le service spamBlocker. Si vous disposez de plusieurs stratégies de proxy pour POP3 ou pour SMTP, spamBlocker les utilise toutes. Une connexion à Internet. À propos de VOD (Virus Outbreak Detection) VOD (Virus Outbreak Detection) est une technologie qui permet de détecter l’apparition de virus dans le monde entier en quelques minutes. Fourni par Commtouch, leader dans la protection contre les virus et le courrier indésirable, VOD est intégré au service de sécurité spamBlocker. VOD utilise la technologie d’analyse du trafic pour fournir une protection en temps réel contre les virus. Si vous utilisez à la fois spamBlocker et Gateway AntiVirus, ces deux fonctionnalités travaillent ensemble pour préserver votre réseau des virus. La fonctionnalité VOD peut être utilisée sur le trafic d’e-mails SMTP et POP3. Si VOD détecte un virus dans un e-mail POP3, ce virus est automatiquement extrait du message et Edge génère un message du journal pour vous indiquer qu’un virus a été détecté en temps réel. Si VOD détecte un virus dans un e-mail SMTP, vous pouvez configurer Edge de sorte qu’il extraie automatiquement le virus ou qu’il place l’e-mail en quarantaine. Actions, indicateurs et catégories de spamBlocker Le périphérique Firebox utilise les actions de spamBlocker pour appliquer des décisions relatives à la distribution des e-mails. Lorsqu’un message est attribué à une catégorie, l’action associée est appliquée. Toutes les actions ne sont pas prises en charge lorsque vous utilisez spamBlocker avec le proxy POP3. Autoriser L’e-mail peut accéder normalement au périphérique Firebox. Ajouter un indicateur d’objet L’e-mail peut accéder au périphérique Firebox, mais du texte est inséré dans sa ligne d’objet pour le signaler comme courrier indésirable ou courrier indésirable présumé. Vous pouvez conserver les indicateurs par défaut ou les personnaliser, comme cela est décrit dans la section « Indicateurs spamBlocker ». Vous pouvez également créer des règles dans votre lecteur de messagerie électronique pour trier automatiquement le courrier indésirable, comme cela est décrit dans la rubrique Créer des règles pour votre lecteur de messagerie électronique. Quarantaine (SMTP uniquement) L’e-mail est envoyé au serveur Quarantine Server. Notez que l’option Quarantaine est uniquement prise en charge si vous utilisez spamBlocker avec le proxy SMTP. Le proxy POP3 ne prend pas en charge cette option. Refuser (SMTP uniquement) Permet d’empêcher la transmission de l’e-mail au serveur de messagerie. Le périphérique envoie ce message SMTP 571 au serveur de messagerie émetteur : Transmission non autorisée, message refusé. L’option Refuser est uniquement prise en charge si vous utilisez spamBlocker avec le proxy SMTP. Le proxy POP3 ne prend pas en charge cette option. 226 Firebox X Edge e-Series spamBlocker Indicateurs spamBlocker Si vous sélectionnez l’action spamBlocker qui consiste à ajouter un indicateur à certains e-mails, le périphérique Firebox ajoute une chaîne de texte à la ligne d’objet du message. Vous pouvez utiliser les indicateurs par défaut ou créer un indicateur personnalisé. L’exemple ci-dessous illustre la ligne d’objet d’un e-mail qui s’est avéré être un courrier indésirable. L’indicateur ajouté est l’indicateur par défaut : ***COURRIER INDÉSIRABLE***. Objet : ***COURRIER INDÉSIRABLE*** Devis gratuit d’assurance auto Cet exemple illustre un indicateur personnalisé : [COURRIER INDÉSIRABLE] Objet : [COURRIER INDÉSIRABLE] Votre demande a été acceptée ! Catégories spamBlocker La solution de détection des signatures récurrentes RPD (Recurrent-Pattern Detection) de Commtouch classe les attaques de courriers indésirables dans la base de données de son centre de détection des courriers indésirables en fonction du niveau de sévérité. spamBlocker interroge la base de données et attribue une catégorie à chaque e-mail. spamBlocker possède trois catégories : La catégorie Confirmé comprend des e-mails émis par des expéditeurs de courriers indésirables connus. Il est conseillé d’utiliser l’action Refuser pour ce type d’e-mail si vous utilisez spamBlocker avec le proxy SMTP ou Ajouter un indicateurd’objet si vous utilisez spamBlocker avec le proxy POP3. La catégorie Masse comprend des e-mails qui ne sont pas émis par des expéditeurs de courriers indésirables connus mais dont la signature correspond à celle d’une structure de courrier indésirable connue. Il est conseillé d’utiliser l’action Ajouter un indicateur d’objet pour ce type d’e-mail ou l’action Quarantaine si vous utilisez spamBlocker avec le proxy SMTP. La catégorie Suspect comprend des e-mails qui pourraient être associés à une nouvelle attaque de courriers indésirables. Très souvent, ces messages sont légitimes. Il est conseillé de considérer un e-mail suspect comme un faux positif et non comme un courrier indésirable tant que vous n’avez pas procédé aux vérifications nécessaires. Il est également conseillé d’utiliser l’action Autoriser pour les e-mails suspects. Guide de l’utilisateur 227 spamBlocker Activer spamBlocker 1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez spamBlocker > Paramètres. La page Paramètres spamBlocker s’affiche. 3. Pour activer spamBlocker pour POP3, activez la case à cocher Activer spamBlocker pour les stratégies de proxy POP3. Pour activer spamBlocker pour SMTP, activez la case à cocher Activer spamBlocker pour les stratégies de proxy SMTP. Configurer spamBlocker 1. Vous définissez de façon semblable les actions entreprises par spamBlocker sur les e-mails POP3 et sur les e-mails SMTP. Pour définir les actions affectant les e-mails POP3, utilisez l’onglet POP3 ; pour définir celles qui affectent les e-mails SMTP, utilisez l’onglet SMTP. 2. En haut de la page, assurez-vous que les cases à cocher Activer spamBlocker pour les stratégies de proxy POP3/SMTP sont activées. 3. Pour analyser les e-mails entrants et sortants à la recherche de nouveaux virus risquant de ne pas figurer dans la base de données Gateway AntiVirus, activez la case à cocher Activer VOD (Virus Outbreak Detection) pour POP3 et SMTP. Pour plus d’informations sur Virus Outbreak Detection, voir À propos de VOD (Virus Outbreak Detection). 4. Par défaut, VOD analyse les e-mails entrants jusqu’à une limite de 40 kilo-octets. Vous pouvez augmenter ou diminuer cette limite dans la zone de texte Limiter l’analyse de VOD aux premiers. Si vous définissez une limite plus élevée pour spamBlocker (voir l’étape 5), cette limite plus élevée est utilisée. Si la valeur entrée est très élevée, le débit de votre réseau peut s’en trouver ralenti. Il est conseillé de ne pas dépasser la limite des 50 kilo-octets (Ko). 5. Si VOD (intégré à spamBlocker) détecte un virus dans un message POP3, celui-ci est automatiquement enlevé. Dans la liste déroulante Un virus a été détecté (SMTP seulement), sélectionnez l’action que spamBlocker doit entreprendre si un virus est détecté dans un message SMTP. 228 Firebox X Edge e-Series spamBlocker 6. En bas de la page, vous pouvez définir le nombre d’octets vérifiés par spamBlocker dans un e-mail dans la zone de texte Limiter l’analyse aux premiers. Si la valeur entrée est très élevée, le débit de votre réseau peut s’en trouver ralenti. Il est conseillé de ne pas dépasser la limite des 50 kilo-octets (Ko). Définir les actions à entreprendre sur les e-mails POP3 1. Dans la liste déroulante Confirmé, sélectionnez Autoriser ou Ajouter un indicateur d’objet. Par défaut, l’action est Autoriser. Si vous choisissez Ajouter un indicateur d’objet, une zone de texte s’affiche avec l’indicateur par défaut ***COURRIER INDÉSIRABLE***. Vous pouvez remplacer cet indicateur par un texte de votre choix. 2. Dans la liste déroulante Masse, sélectionnez Autoriser ou Ajouter un indicateur d’objet. Par défaut, l’action est Autoriser. Par défaut, l’indicateur est ***MASSE***. Vous pouvez remplacer cet indicateur par un texte de votre choix. Guide de l’utilisateur 229 spamBlocker 3. Dans la liste déroulante Suspect, sélectionnez Autoriser ou Ajouter un indicateur d’objet. Par défaut, l’action est Autoriser. Par défaut, l’indicateur est ***SUSPECT***. Vous pouvez remplacer cet indicateur par un texte de votre choix. 4. Dans la liste déroulante Lorsque le serveur spamBlocker est indisponible, l’accès à la messagerie POP3 est, indiquez si le périphérique Firebox X Edge doit autoriser ou refuser tout le trafic POP3 si la connexion au serveur spamBlocker est impossible. Par défaut, l’action est Autoriser. Si vous configurez Edge de façon à ce que les e-mails POP3 soient refusés lorsque le serveur spamBlocker ne peut pas être contacté, vous créez un conflit avec Microsoft Outlook. Lorsqu’Outlook établit une connexion avec le serveur de messagerie électronique, spamBlocker tente de contacter le serveur spamBlocker. Si le serveur spamBlocker n’est pas disponible, spamBlocker interrompt le téléchargement de l’e-mail. Dans un tel cas, un cycle démarre. Outlook tente de télécharger l’e-mail et spamBlocker interrompt le téléchargement. Ce processus se répète jusqu’à ce qu’Edge parvienne à se connecter au serveur spamBlocker, jusqu’à l’abandon de la requête en raison de l’expiration du délai du proxy ou jusqu’à ce que vous annuliez la requête. 5. Activez la case à cocher Envoyer un message journal pour chaque e-mail qui ne correspond à aucune des catégories ci-dessus pour activer cette option de journalisation. Définir les actions à entreprendre sur les e-mails SMTP 1. Dans la zone de texte IP d’hôte entrant, tapez l’adresse IP du serveur de messagerie SMTP utilisé pour votre réseau. 2. Dans la liste déroulante Confirmé, sélectionnez Autoriser, Ajouter un indicateur d’objet, Refuser ou Quarantaine. Par défaut, l’action est Autoriser. Si vous choisissez Ajouter un indicateur d’objet, une zone de texte s’affiche avec l’indicateur par défaut ***COURRIER INDÉSIRABLE***. Vous pouvez remplacer cet indicateur par un texte de votre choix. 3. Dans la liste déroulante Masse, sélectionnez Autoriser, Ajouter un indicateur d’objet, Refuser ou Quarantaine. Par défaut, l’action est Autoriser. Par défaut, l’indicateur est ***MASSE***. Vous pouvez remplacer cet indicateur par un texte de votre choix. 4. Dans la liste déroulante Suspect, sélectionnez Autoriser, Ajouter un indicateur d’objet, Refuser ou Quarantaine. Par défaut, l’action est Autoriser. Par défaut, l’indicateur est ***SUSPECT***. Vous pouvez remplacer cet indicateur par un texte de votre choix. 5. Dans la liste déroulante Lorsque le serveur spamBlocker est indisponible, l’accès à la messagerie SMTP est, indiquez si le périphérique Firebox X Edge doit autoriser ou refuser tout le trafic SMTP si la connexion au serveur spamBlocker est impossible. Par défaut, l’action est Autoriser. Si vous configurez Edge de façon à ce que le courrier SMTP soit refusé lorsque le serveur spamBlocker ne peut pas être contacté, vous créez un conflit avec Microsoft Outlook. Lorsqu’Outlook établit une connexion avec le serveur de messagerie électronique, spamBlocker tente de contacter le serveur spamBlocker. Si le serveur spamBlocker n’est pas disponible, spamBlocker interrompt le téléchargement de l’e-mail. Dans un tel cas, un cycle démarre. Outlook tente de télécharger l’e-mail et spamBlocker interrompt le téléchargement. Ce processus se répète jusqu’à ce qu’Edge parvienne à se connecter au serveur spamBlocker, jusqu’à l’abandon de la requête en raison de l’expiration du délai du proxy ou jusqu’à ce que vous annuliez la requête. 6. Activez la case à cocher Envoyer un message journal pour chaque e-mail qui n’entre pas dans la catégorie des courriers indésirables pour activer cette option de journalisation. 7. Si vous avez sélectionné l’action Quarantaine pour l’une des catégories d’e-mails ci-dessus, entrez l’adresse IP de votre serveur Quarantine Server dans la zone de texte Adresse IP. 230 Firebox X Edge e-Series spamBlocker À propos des exceptions spamBlocker Vous pouvez créer une liste d’exceptions pour les actions générales de spamBlocker, basée sur l’adresse de l’expéditeur. Par exemple, si vous souhaitez autoriser un bulletin d’informations identifié par spamBlocker comme un e-mail en masse, vous pouvez ajouter l’expéditeur à la liste d’exceptions et utiliser l’action Autoriser quelle que soit la catégorie spamBlocker à laquelle appartient l’expéditeur. Vous pouvez également, si vous souhaitez appliquer un indicateur à un expéditeur identifié par spamBlocker comme étant sûr, l’ajouter à la liste des exceptions. Veillez à utiliser l’adresse réelle de l’expéditeur figurant dans le champ « Message de » de l’en-tête de l’e-mail, qui ne correspond pas nécessairement à l’adresse du champ « De : » qui s’affiche en haut de l’e-mail. Pour obtenir l’adresse réelle afin de l’ajouter à la liste des exceptions, affichez l’en-tête complet de l’e-mail (dans Microsoft Outlook, ouvrez le message et sélectionnez Affichage > Options et consultez la zone En-têtes Internet). Les adresses de l’expéditeur et du destinataire apparaissent dans les lignes suivantes : Message X-WatchGuard de : Destinataires du message X-WatchGuard : Soyez prudent lorsque vous ajoutez des caractères génériques à une exception. Les expéditeurs de courriers indésirables peuvent usurper les informations d’en-tête. Plus les adresses de votre liste d’exceptions sont spécifiques, plus il est difficile de les usurper. Pour modifier l’ordre des règles répertoriées dans la boîte de dialogue, voir Modifier l’ordre des exceptions. Créer des exceptions Pour ajouter des exceptions (expéditeurs ou destinataires) aux actions spamBlocker : 1. Dans la liste déroulante sous la colonne Action, sélectionnez Autoriser ou Ajouter un indicateur d’objet. 2. Dans la zone de texte sous la colonne Expéditeur, tapez l’adresse e-mail de l’expéditeur. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique. Par exemple, si vous tapez *@watchguard.com, l’exception porte sur toutes les adresses e-mail en provenance du domaine WatchGuard. Vous pouvez également entrer uniquement un astérisque dans la zone de texte si l’exception s’applique à tous les expéditeurs. 3. Dans la zone de texte sous la colonne Destinataire, tapez l’adresse e-mail du destinataire. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique. Par exemple, si vous tapez *@watchguard.com, l’exception porte sur toutes les adresses e-mail à destination du domaine WatchGuard. Vous pouvez également entrer uniquement un astérisque dans la zone de texte si l’exception s’applique à tous les destinataires. 4. Si vous sélectionnez l’action Ajouter un indicateur d’objet, entrez un indicateur dans la zone de texte sous la colonne Indicateur d’objet. Cet indicateur est ajouté à la ligne d’objet des e-mails qui correspondent à cette exception. 5. Cliquez sur Ajouter pour entrer l’exception. 6. Vous pouvez mettre en surbrillance une exception et cliquer sur Supprimer pour supprimer l’exception. 7. Vous pouvez modifier la priorité de la liste d’exceptions. Pour cela, sélectionnez une exception, puis cliquez sur Monter ou Descendre pour définir la priorité de cette exception. Pour plus d’informations, voir Modifier l’ordre des exceptions. 8. Cliquez sur Envoyer. Guide de l’utilisateur 231 spamBlocker Modifier l’ordre des exceptions L’ordre de classement des règles d’exception dans la boîte de dialogue détermine l’ordre dans lequel les emails sont comparés aux règles. Le proxy compare les messages à la première règle de la liste et poursuit dans l’ordre, du haut vers le bas. Lorsqu’un message correspond à une règle, le périphérique Firebox applique l’action associée. Aucune autre action n’est réalisée, même si le message correspond à une ou plusieurs règles figurant plus bas dans la liste. Pour modifier l’ordre des règles, sélectionnez la règle que vous souhaitez déplacer. Cliquez sur le bouton Monter ou Descendre pour déplacer la règle plus haut ou plus bas dans la liste. À propos de l’utilisation de spamBlocker avec plusieurs proxies Vous pouvez configurer l’utilisation de spamBlocker par plusieurs services de proxy SMTP ou POP3, ce qui vous permet de créer des règles personnalisées pour différents groupes d’une même organisation. Par exemple, vous pouvez autoriser tous les e-mails destinés à la direction et utiliser un indicateur de courrier indésirable pour l’équipe marketing. Si vous souhaitez utiliser plusieurs services de proxy avec spamBlocker, votre réseau doit utiliser l’une des configurations suivantes : Chaque stratégie de proxy doit envoyer les e-mails à un serveur de messagerie interne distinct. ou Vous devez définir la ou les sources externes qui peuvent envoyer les e-mails pour chaque stratégie de proxy. Créer des règles pour votre lecteur de messagerie électronique Pour utiliser l’action Indicateur dans spamBlocker, il est conseillé de configurer votre lecteur de messagerie électronique pour qu’il trie les messages. La plupart des lecteurs de messagerie électronique, comme Outlook, Thunderbird et Mac Mail, vous permettent de définir des règles pour envoyer automatiquement les e-mails comportant des indicateurs vers un sous-dossier. Certains vous permettent également de créer une règle pour supprimer automatiquement le message. Dans la mesure où vous pouvez utiliser un indicateur différent pour chaque catégorie spamBlocker, une règle différente peut être définie pour chacune d’elle. Par exemple, vous pouvez définir une règle pour déplacer tous les messages possédant l’indicateur ***MASSE*** dans la ligne Objet vers un sous-dossier Courrier de masse de votre boîte de réception. Vous pouvez définir une autre règle pour supprimer tous les messages possédant l’indicateur ***COURRIER INDÉSIRABLE*** dans la ligne Objet. Pour obtenir des instructions sur la configuration du client de messagerie Microsoft Outlook, voir Envoyer le courrier indésirable et le courrier de masse dans des dossiers Outlook spécifiques. Pour des informations sur l’utilisation de cette procédure pour d’autres clients de messagerie, voir la documentation utilisateur associée. Si vous utilisez spamBlocker avec le proxy SMTP, vous pouvez envoyer le courrier indésirable vers le serveur Quarantine Server. Pour plus d’informations sur le serveur Quarantine Server, voir À propos de Quarantine Server. 232 Firebox X Edge e-Series spamBlocker Envoyer le courrier indésirable et les e-mails en masse dans des dossiers Outlook spécifiques Cette procédure décrit la marche à suivre pour créer des règles pour le courrier indésirable présumé (ou spam) et les e-mails en masse dans Microsoft Outlook. Vous pouvez envoyer les e-mails possédant les indicateurs « Courrier indésirable » ou « Masse » directement dans des dossiers Outlook spécifiques. En créant ces dossiers, vous supprimez le courrier indésirable présumé de vos dossiers Outlook habituels, mais vous pouvez tout de même le consulter si cela est nécessaire. Avant de commencer, veillez à configurer spamBlocker pour qu’il ajoute un indicateur pour le courrier indésirable et les e-mails en masse. Vous pouvez utiliser les indicateurs par défaut ou créer des indicateurs personnalisés. Les étapes ci-dessous décrivent comment procéder pour créer des dossiers avec les indicateurs par défaut. 1. Dans votre boîte de réception Outlook, sélectionnez Outils > Règles et alertes. 2. Cliquez sur Nouvelle règle pour lancer l’Assistant Règles. Sélectionnez Démarrer à partir d’une règle vide. 3. Sélectionnez Vérifier les messages à leur arrivée. Cliquez sur Suivant. 4. Cochez la condition : contenant des mots spécifiques dans l’objet. Ensuite, dans le volet inférieur, modifiez la description de la règle en cliquant sur spécifique. 5. Dans la boîte de dialogue Rechercher le texte, entrez l’indicateur du courrier indésirable ***COURRIER INDÉSIRABLE***. Si vous souhaitez utiliser un indicateur personnalisé, entrez-le ici. 6. Cliquez sur Ajouter et sur OK. 7. Cliquez sur Suivant. 8. L’Assistant vous demande l’action que vous souhaitez effectuer sur le message. Cochez la case le déplacer dans le dossier spécifié. Ensuite, dans le volet inférieur, cliquez sur spécifié pour sélectionner le dossier de destination. 9. Dans la boîte de dialogue Sélectionner un dossier, cliquez sur Nouveau. 10. Dans le champ du nom de dossier, entrez Courrier indésirable. Cliquez sur OK. 11. Cliquez deux fois sur Suivant. 12. Pour terminer la configuration, attribuez un nom à votre règle et cliquez sur Terminer. 13. Cliquez sur Appliquer. Répétez ces étapes pour créer une règle pour les e-mails en masse, à l’aide de l’indicateur d’e-mails en masse. Vous pouvez envoyer les e-mails en masse vers le même dossier ou créer un autre dossier. Signaler les faux positifs et les faux négatifs Un faux positif est un e-mail légitime identifié à tort comme un courrier indésirable par spamBlocker. Un faux négatif est un courrier indésirable identifié à tort comme un e-mail légitime par spamBlocker. Si vous découvrez une faux positif ou un faux négatif, vous pouvez signaler l’erreur de classification directement à Commtouch. Pour signaler l’erreur, vous devez avoir accès à l’e-mail. Pour des informations sur le signalement d’un faux positif ou d’un faux négatif, voir la section consacrée à spamBlocker dans le Forum aux questions suivant (en anglais) : www.watchguard.com/support/faqs/fireware/. Vous devez vous connecter avec votre nom d’utilisateur et votre mot de passe des services LiveSecurity. Guide de l’utilisateur 233 spamBlocker Ajouter des redirecteurs d’e-mails approuvés pour améliorer la précision du score de probabilité de courrier indésirable Une partie du score de probabilité de courrier indésirable d’un e-mail est calculée à partir de l’adresse IP du serveur depuis lequel le message a été reçu. Si un service de transfert d’e-mails est utilisé, l’adresse IP du serveur de transfert permet de calculer le score de probabilité de courrier indésirable. Dans la mesure où le serveur de transfert n’est pas le serveur de messagerie source initial, le score de probabilité de courrier indésirable peut être inexact. Pour améliorer la précision du score de probabilité de courrier indésirable, vous pouvez entrer un ou plusieurs noms d’hôtes ou noms de domaine de serveurs de messagerie auxquels vous faites confiance pour transférer les e-mails vers votre serveur de messagerie. Une fois que vous avez ajouté un ou plusieurs redirecteurs d’emails approuvés, spamBlocker les ignore dans les en-têtes des e-mails. Le score de probabilité de courrier indésirable est calculé à partir de l’adresse IP du serveur de messagerie source. Ajouter des redirecteurs d’e-mails approuvés Dans l’onglet Standard de la page Paramètres spamBlocker, vous pouvez entrer un ou plusieurs noms d’hôtes ou noms de domaine de serveurs de messagerie auxquels vous faites confiance pour transférer les emails vers votre serveur de messagerie. 234 Firebox X Edge e-Series 16 Quarantine Server À propos de Quarantine Server WatchGuard Quarantine Server fournit un mécanisme de quarantaine sécurisé et complet pour tous les emails soupçonnés d’être indésirables ou de contenir des virus. Ce référentiel reçoit les e-mails à partir du proxy SMTP et les messages sont filtrés par spamBlocker. Un contrôle détaillé vous permet de configurer des préférences quant à la disposition du courrier, aux allocations de stockage et à d’autres paramètres. Pour mettre en quarantaine le courrier indésirable, Quarantine Server utilise uniquement le proxy SMTP et spamBlocker. Si vous n’utilisez pas spamBlocker, ou si vous utilisez spamBlocker avec le proxy POP3 et non pas le proxy SMTP, vous ne pouvez pas utiliser Quarantine Server. Pour mettre en quarantaine le courrier qui contient des virus, Quarantine Server utilise uniquement le proxy SMTP et Gateway AntiVirus. Quarantine Server fournit des outils à la fois pour les utilisateurs et les administrateurs. Les utilisateurs reçoivent des notifications d’e-mails périodiques à partir de Quarantine Server, indiquant qu’ils possèdent des messages stockés sur Quarantine Server. Les utilisateurs peuvent alors cliquer sur une URL dans l’e-mail pour accéder à Quarantine Server. Sur Quarantine Server, l’expéditeur et l’objet des e-mails suspects sont affichés. Dans le cas de courrier indésirable, ils peuvent libérer tous les messages électroniques de leur choix dans leur boîte de réception et supprimer les autres messages. Les administrateurs peuvent configurer Quarantine Server pour qu’il supprime automatiquement les futurs messages provenant d’un domaine ou d’un expéditeur spécifique, ou ceux dont la ligne Objet contient une expression spécifique. Vous pouvez afficher des statistiques sur l’activité de Quarantine Server, telles que le nombre de messages mis en quarantaine au cours d’une plage de dates spécifique ou le nombre de messages soupçonnés d’être indésirables. Quarantine Server propose plusieurs classifications possibles pour les messages mis en quarantaine : Courrier indésirable présumé : il peut s’agir de courrier indésirable, mais les informations sont insuffisantes et ne permettent pas de conclure. Courrier indésirable confirmé : courrier indésirable. Courrier de masse : le message fait partie d’un envoi de masse de courrier commercial. Virus : le message présente une haute probabilité de contenir un virus. Virus possible : le message peut contenir un virus. Guide de l’utilisateur 235 Quarantine Server Installer Quarantine Server et WebBlocker Server Pour utiliser la fonctionnalité de mise en quarantaine de spamBlocker ou Gateway AntiVirus, ou si vous souhaitez installer et maintenir votre propre WebBlocker Server, vous devez télécharger et installer WatchGuard Quarantine Server et WebBlocker Server. Vous pouvez installer le logiciel serveur sur un ordinateur exécutant Windows 2003, Windows XP ou Windows Vista. Nous recommandons au moins 512 Mo de RAM, un processeur 2,0 GHz et 60 Go d’espace disque si vous prévoyez d’installer les deux serveurs sur le même ordinateur. Télécharger le logiciel serveur 1. 2. 3. 4. 5. À l’aide de votre navigateur, accédez à : http://www.watchguard.com/. Ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity. Cliquez sur le lien Software Downloads. Sélectionnez le type et le numéro de modèle de votre périphérique Firebox. Téléchargez les logiciels WatchGuard Quarantine Server et WebBlocker Server for Edge et enregistrez le fichier à l’emplacement de votre choix. Installer Quarantine Server et WebBlocker Server Double-cliquez sur WGEdge10QWB.exe pour démarrer l’Assistant d’installation. Vous devrez peut-être taper un mot de passe d’administrateur local pour exécuter le programme d’installation sur certains systèmes d’exploitation. Suivez les instructions pour installer le logiciel : Installation de WatchGuard WebBlocker et Quarantine Server pour Edge. Cliquez sur Suivant pour démarrer l’Assistant. Lisez le contrat de licence. Activez la case d’option Accepter, puis cliquez sur Suivant. Définissez le dossier de destination. Cliquez sur Parcourir pour sélectionner l’emplacement d’installation du logiciel ou cliquez sur Suivant. Sélectionnez les composants à installer. Les deux serveurs sont installés par défaut. Si vous ne souhaitez pas installer un serveur, désactivez la case à cocher correspondante. Lorsque vous avez terminé, cliquez sur Suivant. Configurez la barre d’outils WatchGuard. Suivez les instructions affichées à l’écran pour activer votre barre d’outils WatchGuard. Lorsque vous avez terminé, cliquez sur Suivant. Après l’installation, vous pouvez démarrer et arrêter WebBlocker Server ou Quarantine Server à l’aide des icônes WebBlocker Server et Quarantine Server dans votre barre d’outils WatchGuard. Installation de WatchGuard WebBlocker et Quarantine Server pour Edge Cliquez sur Terminer pour fermer l’Assistant. 236 Firebox X Edge e-Series Quarantine Server Démarrer Quarantine Server Pour démarrer Quarantine Server, vous devez : Installer Quarantine Server Exécuter l’Assistant Setup Wizard Définir l’emplacement du serveur Installer les composants serveur Vous pouvez installer Quarantine Server en tant que partie intégrante de WatchGuard System Manager ou dans le cadre d’une installation spéciale pour les utilisateurs de Firebox X Edge. Lorsque vous exécutez le programme d’installation, vous êtes invité à spécifier les composants clients et serveur que vous voulez installer. Dans la section Composants serveur, assurez-vous de sélectionner Quarantine Server. Si vous avez déjà exécuté le programme d’installation de Quarantine Server et de WebBlocker Server, mais n’avez pas installé Quarantine Server, vous pouvez exécuter de nouveau le programme d’installation. Pour plus d’informations, voir Installer Quarantine Server et WebBlocker Server. Une fois que vous avez installé Quarantine Server, exécutez l’Assistant Quarantine Server Setup Wizard. Pour plus d’informations, voir Exécuter l’Assistant Setup Wizard. Exécuter l’Assistant Setup Wizard Cliquez avec le bouton droit sur l’icône de Quarantine Server (icône du milieu) dans la barre d’état système et sélectionnez Démarrer le service. L’Assistant Quarantine Server Setup Wizard démarre. Parcourez l’Assistant et ajoutez les informations requises. Créez un mot de passe principal. Le mot de passe principal chiffre toutes les données du serveur. Créez un mot de passe de gestion de serveur. Vous serez invité à fournir ce mot de passe chaque fois que vous cliquerez sur une option de menu pour configurer le serveur et ses utilisateurs. Identifiez le nom de votre organisation. L’Assistant Quarantine Server Setup Wizard est terminé. Vous pouvez définir à présent l’emplacement du serveur, comme cela est décrit dans Définir l’emplacement du serveur. Définir l’emplacement du serveur Vous devez indiquer à Firebox l’emplacement de Quarantine Server. Firebox enverra les e-mails vers cet emplacement pour les mettre en quarantaine. Si vous utilisez Quarantine Server pour mettre en quarantaine les messages indésirables détectés par spamBlocker, ajoutez l’adresse IP de Quarantine Server dans la page spamBlocker > Paramètres, sous l’onglet SMTP. Si vous utilisez Quarantine Server pour mettre en quarantaine les e-mails contenant des virus détectés par Gateway AntiVirus, ajoutez l’adresse IP de Quarantine Server dans la page Gateway AV/IPS > Paramètres. Guide de l’utilisateur 237 Quarantine Server Configurer Quarantine Server Lorsque vous configurez Quarantine Server, les options suivantes s’offrent à vous : Définir les paramètres de serveur généraux Modifier les paramètres d’expiration et de domaine d’utilisateur : quand supprimer ou combien de temps conserver les messages, ainsi qu’ajouter et supprimer des domaines d’utilisateurs. Seuls les messages des utilisateurs des domaines qui figurent dans cette liste peuvent être envoyés vers Quarantine Server. Modifier les paramètres de notification : le message envoyé aux utilisateurs qui leur indique qu’ils ont des messages sur Quarantine Server. Modifier les paramètres de journalisation Modifier les règles de Quarantine Server : ajouter, modifier ou supprimer les règles qui déterminent les messages que Quarantine Server supprimera automatiquement. Définir les paramètres de serveur généraux 1. Pour ouvrir la boîte de dialogue Configuration de Quarantine Server, cliquez avec le bouton droit sur et sélectionnez Configurer. 2. Entrez le mot de passe de gestion du serveur. Il s’agit du mot de passe de gestion du serveur que vous avez créé dans le deuxième écran de l’Assistant Quarantine Server Setup Wizard ou lorsque vous avez configuré Management Server. La boîte de dialogue Configuration de Quarantine Server s’affiche. 238 Firebox X Edge e-Series Quarantine Server 3. Pour modifier la taille maximale de la base de données par défaut de 10 000 Mo, tapez une nouvelle valeur dans le champ Taille maximale de la base de données. La taille actuelle de la base de données et l’espace disponible sont affichés à droite de ce champ. Lorsque Quarantine Server vient à manquer d’espace disque, il refuse les nouveaux messages et supprime tous les messages électroniques qu’il reçoit ultérieurement. 4. Vous pouvez spécifier que vous voulez être averti lorsque la base de données approche de sa limite. Activez la case à cocher Envoyer un avertissement si la base de données atteint le seuil d’avertissement. Utilisez les flèches pour spécifier le seuil d’avertissement et tapez l’adresse e-mail de la personne qui doit recevoir l’avertissement dans le champ Envoyer un message d’avertissement à. Par exemple, si vous activez la case à cocher, utilisez le seuil d’avertissement par défaut de 90 % et utilisez la taille maximale de la base de données par défaut de 10 000 Mo (10 Go), Quarantine Server envoie le message d’avertissement lorsque 9 000 Mo ont été utilisés et qu’il ne reste que 1 000 Mo disponibles. 5. Dans le champ Serveur de messagerie sortant, tapez l’adresse du serveur de messagerie SMTP sortant. 6. Si votre serveur de messagerie requiert une authentification, activez la case à cocher Utilisez les informations de connexion pour le serveur de messagerie et tapez le nom d’utilisateur et le mot de passe pour le serveur de messagerie. Si le nom d’utilisateur et le mot de passe ne sont pas requis pour votre serveur SMTP, ne remplissez pas ces champs. Guide de l’utilisateur 239 Quarantine Server Modifier les paramètres d’expiration et les domaines d’utilisateurs 1. Pour ouvrir la boîte de dialogue Configuration de Quarantine Server : cliquez avec le bouton droit sur et sélectionnez Configurer. Entrez le mot de passe de gestion du serveur. Il s’agit du mot de passe de gestion du serveur que vous avez créé dans le deuxième écran de l’Assistant Quarantine Server Setup Wizard ou lorsque vous avez configuré Management Server. La boîte de dialogue Configuration de Quarantine Server s’ouvre. 2. Dans la boîte de dialogue Configuration de Quarantine Server, cliquez sur l’onglet Paramètres d’expiration. 3. Dans le champ Conservez les messages pendant, spécifiez le nombre de jours qu’il convient de conserver les messages sur Quarantine Server. 4. Dans le champ Supprimez les messages expirés à, entrez l’heure de la journée à laquelle il convient de supprimer les messages expirés après la période de temps indiquée dans le champ précédent. 240 Firebox X Edge e-Series Quarantine Server Ajouter ou supprimer des domaines d’utilisateurs L’onglet Paramètres d’expiration de la boîte de dialogue Configuration de Quarantine Server indique les noms des domaines pour lesquels Quarantine Server acceptera les e-mails. Seuls les messages des utilisateurs des domaines qui figurent dans la liste peuvent être envoyés vers Quarantine Server. Les messages envoyés à des utilisateurs qui ne figurent pas dans l’un de ces domaines sont supprimés. 1. Pour ajouter ou supprimer un nom de domaine à partir du serveur, cliquez sur Mettre à jour. La boîte de dialogue Ajouter des domaines s’affiche. 2. Pour ajouter un domaine, tapez son nom dans le champ supérieur et cliquez sur Ajouter. 3. Pour supprimer un domaine, sélectionnez-le dans la liste et cliquez sur Supprimer. Guide de l’utilisateur 241 Quarantine Server Modifier les paramètres de notification Les utilisateurs reçoivent des e-mails périodiques sur leur client de messagerie qui incluent une liste des messages actuellement stockés pour eux sur Quarantine Server. Vous pouvez spécifier le compte à partir duquel ces messages sont envoyés. Vous pouvez également spécifier le titre et le corps du message. Vous pouvez configurer l’intervalle selon lequel Quarantine Server envoie des notifications, lequel ne doit pas dépasser une fois par jour. Vous pouvez également définir l’heure et les minutes de la journée. 1. Pour ouvrir la boîte de dialogue Configuration de Quarantine Server, cliquez avec le bouton droit sur et sélectionnez Configurer. 2. Entrez le mot de passe de gestion du serveur. Il s’agit du mot de passe de gestion du serveur que vous avez créé dans le deuxième écran de l’Assistant Quarantine Server Setup Wizard ou lorsque vous avez configuré Management Server. La boîte de dialogue Configuration de Quarantine Server s’affiche. 3. Dans la boîte de dialogue Configuration de Quarantine Server, cliquez sur l’onglet Paramètres de notification d’utilisateur. 4. Pour activer ou désactiver les notifications (et les champs de cette boîte de dialogue), utilisez la case à cocher Envoyer une notification aux utilisateurs. 5. Dans le champ Envoyer un e-mail de, tapez l’adresse e-mail complète du compte à partir duquel vous voulez effectuer l’envoi. 6. Dans le champ Objet, tapez un nom pour l’objet des messages de notification. Par défaut, l’objet correspond à Notification de WatchGuard Quarantine Server. 242 Firebox X Edge e-Series Quarantine Server 7. Dans le champ Corps, tapez le corps du message de notification. Vous pouvez utiliser un format texte ou HTML pour spécifier le corps du message. 8. En regard de Envoyer une notification d’utilisateur, entrez un intervalle de temps pour les notifications, ainsi que l’heure de la journée à laquelle les notifications doivent être envoyées. Si vous voulez envoyer immédiatement les notifications à tous les utilisateurs, cliquez sur Envoyer maintenant. Certains lecteurs de messagerie électronique peuvent marquer le message de notification envoyé par Quarantine Server en tant que scam ou tentative d’hameçonnage. Cela est dû au fait que ces lecteurs classent comme suspecte toute URL qui utilise une adresse IP. L’URL qui permet aux utilisateurs d’accéder à Quarantine Server inclut l’adresse IP de Quarantine Server à la place d’un nom d’hôte. Modifier les paramètres de journalisation Vous pouvez activer ou désactiver la journalisation pour le serveur et définir l’emplacement où le serveur enverra les messages des journaux. Pour ouvrir la boîte de dialogue de configuration : 1. Cliquez avec le bouton droit sur l’icône du serveur et sélectionnez Configurer. 2. Entrez le mot de passe de Management Server lorsque vous y êtes invité. 3. Dans la boîte de dialogue qui s’affiche, cliquez sur l’onglet Journalisation. Activer ou désactiver la journalisation Si vous voulez que le serveur envoie les messages des journaux à un ou plusieurs serveurs WatchGuard Log Servers, activez la case à cocher Activer les messages du journal pour WatchGuard Log Server. Ajouter des serveurs Log Server ou définir des priorités pour ces serveurs. 1. Pour ajouter des serveurs Log Server pour le serveur, cliquez sur Ajouter. 2. Vous pouvez créer une liste des priorités pour les serveurs Log Server. Si Firebox ne peut pas se connecter à Log Server avec la priorité la plus élevée, il se connecte au serveur Log Server suivant dans la liste des priorités. Si Firebox examine chaque serveur Log Server dans la liste et ne peut pas se connecter, il essaie à nouveau de se connecter au premier serveur Log Server de la liste. Pour modifier la liste des priorités, sélectionnez un serveur Log Server dans la liste et cliquez sur les boutons Monter et Descendre. 3. La liste déroulante Sélectionnez un niveau de journal vous permet d’attribuer un niveau aux messages des journaux envoyés par le serveur : Erreur, Avertissement, Informations ou Débogage. Envoyer les messages à l’Observateur d’événements Windows L’Observateur d’événements est un programme Windows qui conserve l’enregistrement des événements qui se produisent dans les applications qui s’exécutent sur votre ordinateur. Pour contrôler si le serveur envoie des messages à ce programme, utilisez la case à cocher Envoyer des messages du fichier journal à l’Observateur d’événements Windows. Utilisez la liste déroulante Sélectionnez un niveau de journal pour attribuer un niveau aux messages des journaux envoyés par le serveur à l’Observateur d’événements : Erreur, Avertissement, Informations ou Débogage. Guide de l’utilisateur 243 Quarantine Server Envoyer les messages vers un fichier Pour contrôler si le serveur envoie les messages des journaux vers un fichier, utilisez la case à cocher Envoyer les messages du journal vers un fichier. Définissez l’emplacement du fichier qui recevra le message du journal et utilisez la liste déroulante Sélectionnez un niveau de journal pour attribuer un niveau aux messages des journaux. Modifier les règles de Quarantine Server Vous définissez des règles pour supprimer automatiquement certains messages s’ils proviennent d’un domaine ou d’un expéditeur spécifique, ou si leur ligne Objet contient des chaînes de caractères spécifiques. 1. Pour ouvrir la boîte de dialogue Configuration de Quarantine Server, cliquez avec le bouton droit sur et sélectionnez Configurer. 2. Entrez le mot de passe de gestion du serveur. Il s’agit du mot de passe de gestion du serveur que vous avez créé dans le deuxième écran de l’Assistant Quarantine Server Setup Wizard ou lorsque vous avez configuré Management Server. La boîte de dialogue Configuration de Quarantine Server s’ouvre. 3. Dans la boîte de dialogue Configuration de Quarantine Server, cliquez sur l’onglet Règles. 4. Pour modifier une règle, sélectionnez-la. La description de la règle s’affiche dans le bloc Description de la règle. 244 Firebox X Edge e-Series Quarantine Server 5. Cliquez sur les mots soulignés dans la règle pour ajouter un domaine, un expéditeur ou une chaîne de caractères dans la ligne Objet spécifique. La boîte de dialogue Modifier la règle de suppression automatique s’affiche. 6. Pour ajouter un domaine, un expéditeur ou une chaîne, tapez cet élément dans la zone supérieure et cliquez sur Ajouter. 7. Pour supprimer un domaine, un expéditeur ou une chaîne, sélectionnez l’élément dans la zone inférieure et cliquez sur Supprimer. Notez les restrictions suivantes concernant la modification des règles : Les règles ne prennent pas en charge les caractères génériques. Par exemple, vous ne pouvez pas entrer la règle « Supprimer automatiquement les messages de *.gov » pour supprimer automatiquement tous les domaines présentant l’extension .gov. Lorsque vous supprimez un domaine, un expéditeur ou une chaîne, Quarantine Server supprime uniquement les e-mails ultérieurs qui correspondent à cette règle. Il ne supprime pas les messages actuels dans la base de données. Les règles qui bloquent automatiquement les messages contenant une chaîne de caractères spécifique s’appliquent uniquement au texte de la ligne Objet. Si le texte spécifié figure dans le corps du message, mais pas dans la ligne Objet, le message n’est pas supprimé. Guide de l’utilisateur 245 Quarantine Server Gérer les messages Vous pouvez voir tous les messages sur Quarantine Server dans une boîte de dialogue. Vous pouvez trier les messages par utilisateur, statut de quarantaine, expéditeur, objet et date/heure de réception. Une seule boîte de dialogue de Quarantine Server peut être ouverte à la fois. Lorsque vous avez terminé d’utiliser la boîte de dialogue de Quarantine Server, fermez celle-ci avant d’en ouvrir une nouvelle. Ouvrir la boîte de dialogue des messages 1. Cliquez avec le bouton droit sur et sélectionnez Gérer les messages. 2. Tapez le mot de passe de gestion de serveur. La boîte de dialogue Gestion des utilisateurs et des messages de Quarantine Server s’affiche. 246 Firebox X Edge e-Series Quarantine Server Définir les options d’affichage Vous pouvez utiliser la liste déroulante Filtrer par pour afficher tous les messages ou seulement ceux qui possèdent un statut de quarantaine particulier. Pour afficher le corps d’un message, activez la case à cocher Afficher le corps du message. Sélectionnez un message quelconque. Un second volet apparaît dans la partie inférieure de la boîte de dialogue et affiche le corps du message. Vous pouvez également sélectionner un message quelconque et cliquer sur Edition > Afficher le corps du message ou cliquer avec le bouton droit sur un message quelconque et sélectionner Afficher le corps du message. Enregistrer les messages ou les envoyer dans la boîte de réception d’un utilisateur Si vous voulez conserver un message sur Quarantine Server, vous devez l’enregistrer dans un fichier. 1. Sous l’onglet Messages de la boîte de dialogue Gestion des utilisateurs et des messages de Quarantine Server, sélectionnez le message à enregistrer. Vous pouvez enregistrer un seul message à la fois. 2. Cliquez sur . Ou, sélectionnez Fichier > Enregistrer sous. Ou, cliquez avec le bouton droit sur le message et sélectionnez Enregistrer sous. 3. Tapez ou sélectionnez l’emplacement où vous voulez enregistrer le fichier. Cliquez sur Enregistrer. Pour envoyer un message vers la boîte de réception d’un utilisateur, sélectionnez Fichier > Envoyer un message. Seuls les courriers indésirables peuvent être libérés vers des utilisateurs. Les messages qui contiennent ou sont susceptibles de contenir des virus ne peuvent pas être libérés vers des utilisateurs. Supprimer des messages manuellement 1. Sous l’onglet Messages de la boîte de dialogue Gestion des utilisateurs et des messages de Quarantine Server, sélectionnez le ou les messages à supprimer. o Pour sélectionner une série de messages, cliquez sur le premier message de la série, appuyez sur la touche Maj et cliquez sur le dernier message de la série. o Pour sélectionner plusieurs messages qui ne se suivent pas, maintenez enfoncée la touche Ctrl et sélectionnez les messages. o Pour sélectionner tous les messages, cliquez sur Edition > Sélectionner tout. Ou, cliquez avec le bouton droit sur un message quelconque et sélectionnez Sélectionner tout. 2. Cliquez sur . Ou, cliquez sur Edition > Supprimer. Guide de l’utilisateur 247 Quarantine Server Supprimer des messages automatiquement Vous pouvez spécifier la suppression automatique de tous les messages électroniques futurs provenant d’un domaine ou d’un expéditeur spécifique, ou dont la ligne Objet contient une expression particulière. Tous les messages ultérieurs destinés à un utilisateur quelconque, qui présentent cette caractéristique, sont automatiquement supprimés avant leur envoi vers Quarantine Server. 1. Sous l’onglet Messages de la boîte de dialogue Gestion des utilisateurs et des messages de Quarantine Server, sélectionnez le ou les messages associés à la caractéristique que vous voulez supprimer automatiquement. o Pour sélectionner une série de messages, cliquez sur le premier message de la série, appuyez sur la touche Maj et cliquez sur le dernier message de la série. o Pour sélectionner plusieurs messages qui ne se suivent pas, maintenez enfoncée la touche Ctrl et sélectionnez les messages. o Pour sélectionner tous les messages, cliquez sur Edition > Sélectionner tout. Ou, cliquez avec le bouton droit sur un message quelconque et sélectionnez Sélectionner tout. 2. Choisissez les options de suppression appropriées. o Dans le menu Edition, sélectionnez Supprimer automatiquement > Domaine de l’expéditeur, Supprimer automatiquement > Expéditeur ou Supprimer automatiquement > Objet. Ces options sont également disponibles dans le menu contextuel (clic droit). o Vous pouvez également utiliser les icônes équivalentes pour sélectionner ces options. 248 Firebox X Edge e-Series Quarantine Server Ouvrir la boîte de dialogue des messages Une seule boîte de dialogue de Quarantine Server peut être ouverte à la fois. Lorsque vous avez terminé d’utiliser la boîte de dialogue de Quarantine Server, fermez celle-ci avant d’en ouvrir une nouvelle. 1. Cliquez avec le bouton droit sur l’icône Quarantine Server et sélectionnez Gérer les messages. 2. Tapez le mot de passe de gestion de serveur. La boîte de dialogue Gestion des utilisateurs et des messages de Quarantine Server s’affiche. Guide de l’utilisateur 249 Quarantine Server À propos de la gestion des utilisateurs Vous pouvez ajouter, supprimer et configurer des utilisateurs sous l’onglet Utilisateurs de la boîte de dialogue Gestion des utilisateurs et des messages de Quarantine Server. Cette boîte de dialogue affiche les éléments suivants : 250 Adresses de messagerie des utilisateurs dont les e-mails peuvent être envoyés vers Quarantine Server. Si les utilisateurs sont notifiés ou non lorsqu’ils possèdent des messages électroniques sur Quarantine Server. Si les utilisateurs sont validés ou non validés. Un utilisateur est validé lorsqu’il reçoit un message dans un client de messagerie concernant des messages sur Quarantine Server, et que l’utilisateur clique sur le lien permettant d’accéder à Quarantine Server. De nombreux « utilisateurs » affichés sur Quarantine Server ne seront jamais validés parce que l’adresse de messagerie est créée par un expéditeur de courrier indésirable et ne correspond pas à un utilisateur réel. Nombre de messages actuellement sur Quarantine Server qui sont adressés à cet utilisateur. Si vous voulez afficher uniquement les utilisateurs validés ou non validés, dans la liste déroulante Filtrer par, sélectionnez Utilisateurs validés ou Utilisateurs non validés. Firebox X Edge e-Series Quarantine Server Ajouter des utilisateurs Les utilisateurs sont ajoutés automatiquement lorsque des messages qui leur sont adressés sont envoyés vers Quarantine Server. Utilisez la procédure suivante pour ajouter manuellement des utilisateurs : 1. Dans la boîte de dialogue Gestion des utilisateurs et des messages de Quarantine Server, cliquez sur l’onglet Utilisateurs. Cliquez sur Edition > Ajouter un utilisateur. La boîte de dialogue Ajouter un utilisateur s’affiche. 2. Tapez l’adresse e-mail complète de l’utilisateur, comme par exemple [email protected]. 3. Activez la case d’option Envoyer une notification à cet utilisateur ou Ne pas envoyer de notification pour spécifier si vous voulez que l’utilisateur soit notifié chaque fois que Quarantine Server reçoit un message qui lui est adressé. 4. Cliquez sur OK. Supprimer des utilisateurs Lorsque vous supprimez un utilisateur, tous les e-mails stockés sur Quarantine Server pour cet utilisateur sont également supprimés. 1. Dans la boîte de dialogue Gestion des utilisateurs et des messages de Quarantine Server, cliquez sur l’onglet Utilisateurs. 2. Sélectionnez l’utilisateur à supprimer et cliquez sur Ou, cliquez sur Edition > Supprimer. . Modifier l’option de notification pour un utilisateur Vous pouvez spécifier ou modifier l’option visant à notifier les utilisateurs lorsqu’ils possèdent des messages électroniques sur le serveur. 1. Dans la boîte de dialogue Gestion des utilisateurs et des messages de Quarantine Server, cliquez sur l’onglet Utilisateurs. 2. Pour activer la notification pour un utilisateur, sélectionnez l’utilisateur et cliquez sur Ou, cliquez sur Edition > Notifier l’utilisateur > Oui. 3. Pour désactiver la notification pour un utilisateur, sélectionnez l’utilisateur et cliquez sur Ou, cliquez sur Edition > Notifier l’utilisateur > Non. Guide de l’utilisateur . . 251 Quarantine Server Obtenir des statistiques sur l’activité de Quarantine Server Les statistiques de Quarantine Server incluent les messages qui ont été supprimés, manuellement ou automatiquement. Une seule boîte de dialogue de Quarantine Server peut être affichée à la fois dans cette version de WatchGuard System Manager. Lorsque vous avez terminé d’utiliser la boîte de dialogue de Quarantine Server, fermez celle-ci avant d’en ouvrir une nouvelle. 1. Cliquez avec le bouton droit sur et sélectionnez Afficher les statistiques. 2. Entrez le mot de passe de gestion du serveur. La boîte de dialogue Statistiques de Quarantine Server s’affiche. Afficher les statistiques pour des dates spécifiques Vous pouvez limiter les statistiques à une plage de dates spécifique : 1. Dans la boîte de dialogue Statistiques de Quarantine Server, activez la case d’option Sélectionnez des dates. 2. Tapez les dates de début et de fin dans les champs De et À. Afficher des types de messages spécifiques Vous pouvez spécifier si vous souhaitez afficher seulement les statistiques des messages indésirables présumés, indésirables confirmés, faisant partie d’un envoi de masse, contenant des virus ou pouvant contenir des virus. Activez la case d’option Sélectionnez uniquement les messages suivants, puis sélectionnez le ou les types de messages à afficher. Grouper les statistiques par mois, semaine ou jour Par défaut, seules des données de synthèse sont affichées. Vous pouvez spécifier que vous voulez grouper les données par mois, semaine ou jour. 1. Dans la boîte de dialogue Statistiques de Quarantine Server, activez la case d’option Séparer les données en groupes. 2. Activez la case d’option Par mois, Par semaine ou Par jour, au choix. Exporter et imprimer les statistiques Pour exporter les statistiques de Quarantine Server vers une feuille de calcul Microsoft Excel (format .xls) : Dans la boîte de dialogue Statistiques de Quarantine Server, cliquez sur Fichier > Exporter au format Excel. Pour exporter les statistiques de Quarantine Server au format CSV (valeurs séparées par des virgules) : Dans la boîte de dialogue Statistiques de Quarantine Server, cliquez sur Fichier > Exporter au format CSV. Pour imprimer les statistiques de Quarantine Server : Dans la boîte de dialogue Statistiques de Quarantine Server, cliquez sur Fichier > Imprimer. 252 Firebox X Edge e-Series 17 Gateway AntiVirus et Intrusion Prevention Service À propos de Gateway AntiVirus et Intrusion Prevention Les pirates font appel à de nombreuses méthodes pour attaquer les ordinateurs sur Internet. Les deux principales catégories d’attaques sont les virus et les intrusions. Les virus, y compris les vers et les chevaux de Troie, sont des programmes informatiques malveillants qui s’autopropagent et placent des copies d’eux-mêmes dans d’autres documents ou codes exécutables sur votre ordinateur. Lorsqu’un ordinateur est infecté, le virus peut détruire des fichiers ou enregistrer des séquences de touches. Les intrusions sont des attaques directes sur votre ordinateur. Généralement, une attaque exploite une vulnérabilité dans une application. Ces attaques sont créées pour endommager votre réseau, obtenir des informations confidentielles ou utiliser vos ordinateurs pour attaquer d’autres réseaux. Pour vous aider à protéger votre réseau contre les virus et intrusions, vous pouvez acheter Gateway AntiVirus/ Intrusion Prevention Service (Gateway AV/IPS) en option pour Firebox afin d’identifier et de prévenir les attaques. Intrusion Prevention Service et Gateway AntiVirus fonctionnent avec les proxies SMTP, POP3, HTTP, FTP et TCP-UDP. Lorsqu’une nouvelle attaque est identifiée, les caractéristiques uniques du virus ou de l’intrusion sont enregistrées. Ces caractéristiques enregistrées sont appelées « la signature ». Gateway AV/IPS utilise ces signatures pour détecter les virus et intrusions lors de l’analyse par le proxy. WatchGuard ne peut pas garantir que Gateway AV/IPS arrête tous les virus ou toutes les intrusions, ni qu’il empêche l’endommagement de vos systèmes ou réseaux par un virus ou une intrusion. Vous devez acheter la mise à niveau Gateway AV/IPS pour utiliser ces services. Pour plus d’informations, visitez le site Web WatchGuard LiveSecurity à l’adresse : http://www.watchguard.com/store ou contactez votre revendeur WatchGuard. Vous pouvez afficher les statistiques relatives à l’activité actuelle de Gateway AntiVirus et d’Intrusion Prevention Service sur la page Gateway AV/IPS, et afficher les rapports de tendances pour Gateway AV/IPS sur la page État du système > Services de sécurité. De nouveaux virus et modes d’intrusion apparaissent fréquemment sur Internet. Pour vous assurer que Gateway AV/IPS offre la meilleure protection possible, vous devez mettre à jour les signatures fréquemment. Vous pouvez configurer Firebox pour qu’il mette à jour les signatures automatiquement à partir de WatchGuard, comme cela est décrit dans la section Mettre à jour Gateway AV/IPS. Guide de l’utilisateur 253 Gateway AntiVirus et Intrusion Prevention Service À propos des paramètres de Gateway AntiVirus WatchGuard Gateway AntiVirus (Gateway AV) arrête les virus avant qu’ils n’accèdent aux ordinateurs de votre réseau. Gateway AV fonctionne avec les proxies SMTP, POP3, HTTP et FTP de WatchGuard. Lorsque vous activez Gateway AV, les proxies SMTP, POP3, HTTP et FTP examinent plusieurs types de trafic et effectuent une action que vous précisez. Gateway AntiVirus analyse différents types de trafic selon le ou les proxies avec lesquels vous utilisez la fonctionnalité : Si vous activez Gateway AntiVirus avec le proxy SMTP ou POP3, il détecte les virus codés à l’aide des méthodes de pièces jointes fréquemment utilisées. Il s’agit, par exemple, des codages base64, binaire, 7 bits, 8 bits et UU. Vous pouvez également utiliser Gateway AV et le proxy SMTP pour envoyer le courrier infecté par un virus au serveur Quarantine Server. Si vous activez Gateway AntiVirus avec le proxy HTTP, il détecte les virus contenus dans les pages Web que les utilisateurs essaient de télécharger. Si vous activez Gateway AntiVirus avec le proxy FTP, il détecte les virus dans les fichiers transférés et téléchargés. Messages de refus du proxy POP3 et Gateway AV/IPS Il est important que vous sachiez ce que vos utilisateurs voient lorsqu’un e-mail est bloqué par le proxy POP3. Vous trouverez une description complète des actions déclenchées par le proxy POP3 dans un Forum aux questions dont l’adresse est la suivante : http://www.watchguard.com/support/faqs/edge/. Les actions peuvent, par exemple, consister à : o Envoyer un message indiquant qu’un e-mail a été refusé lorsqu’il bloque un message en raison d’un problème d’en-tête ou à cause du contenu du corps ou de la pièce jointe, et que la taille du message est inférieure à 100 kilo-octets. o Tronquer un e-mail lorsqu’il bloque un message en raison d’un problème de contenu dans le corps ou la pièce jointe, et que la taille du message est supérieure à 100 kilo-octets. o Bloquer un e-mail sans en avertir l’utilisateur lorsque ce message présente une anomalie de protocole. Vous pouvez consulter les messages de refus de tous les e-mails bloqués dans les messages du journal. Pour plus d’informations sur l’utilisation de l’outil que représentent les messages des journaux, voir Pour afficher le journal d’événements. Les signatures de Gateway AV ne sont pas automatiquement mises à jour par défaut. Pour vous assurer que Gateway AV dispose des dernières signatures, voir Mettre à jour Gateway AV/IPS. 254 Firebox X Edge e-Series Gateway AntiVirus et Intrusion Prevention Service Configurer Gateway AV 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Gateway AV/IPS > Paramètres. 3. Activez la case à cocher Activer Gateway AntiVirus pour SMTP pour effectuer une analyse virale des e-mails envoyés à un serveur de messagerie par votre périphérique Edge. 4. Activez la case à cocher Activer Gateway AntiVirus pour POP3 pour effectuer une analyse virale des e-mails téléchargés à partir du serveur de messagerie. 5. Activez la case à cocher Activer Gateway AntiVirus pour FTP pour effectuer une analyse virale du trafic de transferts de fichiers. 6. Activez la case à cocher Activer Gateway AntiVirus pour HTTP pour effectuer une analyse virale du contenu HTTP. 7. Si vous activez Gateway AntiVirus pour SMTP, utilisez la liste déroulante Un virus a été détecté (SMTP seulement) pour choisir si vous souhaitez qu’Edge supprime (enlève) les virus des e-mails lors de leur détection ou qu’il mette en quarantaine les messages en question. Pour pouvoir utiliser l’option Quarantaine, WatchGuard Quarantine Server doit être installé. 8. Les formats de fichiers utilisés sur Internet sont très nombreux. Utilisez la liste déroulante En cas d’erreur pour choisir l’action que Gateway AV doit déclencher lorsqu’il ne parvient pas à analyser un fichier. L’action par défaut est Supprimer. Guide de l’utilisateur 255 Gateway AntiVirus et Intrusion Prevention Service 9. Activez la case à cocher Limitez l’analyse si vous souhaitez que le service Gateway AV arrête l’analyse de chaque fichier lorsqu’il a examiné le nombre de kilo-octets précisé. Les performances d’Edge s’en trouvent améliorées. La plupart des virus sont petits et se trouvent dans les premiers cent kilo-octets d’un fichier. L’idéal est de choisir l’équilibre approprié entre performances et sécurité pour votre réseau. 10. Si vous avez téléchargé, installé et configuré un serveur WatchGuard Quarantine Server, tapez l’adresse IP de l’ordinateur Quarantine Server. Pour plus d’informations sur la façon d’installer Quarantine Server, voir Installer Quarantine Server et WebBlocker Server. 11. Lorsque vous activez Gateway AV/IPS pour SMTP, vous devez indiquer l’adresse IP de votre serveur de messagerie SMTP dans le champ Adresse IP du serveur de messagerie vers le bas de la page. Edge crée une stratégie qui vous permet d’autoriser le trafic SMTP entrant vers cette adresse IP. Gateway AV n’analyse pas les formats de fichiers d’archives tels que le format .zip ou les exécutables compressés. À propos des paramètres d’Intrusion Prevention Service Intrusion Prevention Service inclut un jeu de signatures associées à des commandes spécifiques ou à du texte détecté dans des commandes qui pourraient être dangereuses. Intrusion Prevention Service fonctionne avec les proxies SMTP, POP3, HTTP et FTP. Si vous n’avez pas configuré ces proxies, ils le sont automatiquement lorsque vous activez Gateway AV ou IPS pour le protocole en question. Dans les enregistrements du journal, vous pouvez afficher le nom d’une intrusion qu’IPS a bloquée. Sélectionnez Journalisation dans le menu de la barre latérale. Vous pouvez également consulter les statistiques générales de Gateway AV/IPS sur la page Gateway AV/IPS et les rapports de tendances de Gateway AV/IPS dans État du système > Services de sécurité. 256 Firebox X Edge e-Series Gateway AntiVirus et Intrusion Prevention Service Configurer Intrusion Prevention Service 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur, puis l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Gateway AV/IPS > Paramètres. 3. Activez une ou plusieurs cases à cocher pour activer IPS pour SMTP, POP3, FTP, HTTP ou le service sortant de votre périphérique Edge. Si vous activez IPS pour HTTP ou le service sortant, vous pouvez également activer la fonctionnalité supplémentaire de protection contre les logiciels espions qui protège automatiquement votre réseau contre les applications de logiciels espions, comme les logiciels publicitaires et les logiciels de suivi ou contre les attaques de numéroteurs ou de pirates. 4. Lorsque vous activez Gateway AV/IPS pour SMTP, vous devez indiquer l’adresse IP de votre serveur de messagerie SMTP dans le champ Adresse IP du serveur de messagerie vers le bas de la page. Edge crée une stratégie qui vous permet d’autoriser le trafic SMTP entrant vers cette adresse IP. Mettre à jour Gateway AV/IPS De nouveaux virus et de nouveaux modes d’intrusion apparaissent fréquemment sur Internet. Le service Gateway AV/IPS utilise une base de données de signatures pour vérifier la présence de virus et d’intrusions. WatchGuard publie fréquemment des mises à jour de la base de données de signatures pour ses clients, au fur et à mesure que de nouvelles signatures sont connues. Généralement, de nouvelles signatures Gateway AV sont publiées plusieurs fois chaque jour. Les nouvelles signatures IPS, quant à elles, sont publiées un peu moins fréquemment. Pour vous assurer que Gateway AV/IPS offre la meilleure protection possible, vous devez souvent mettre à jour les signatures sur Firebox X Edge. Par défaut, Firebox X Edge e-Series vérifie les mises à jour de signatures automatiquement. Vous pouvez modifier ce paramètre si vous souhaitez mettre à jour les signatures manuellement. Guide de l’utilisateur 257 Gateway AntiVirus et Intrusion Prevention Service Pour mettre à jour vos signatures Gateway AV/IPS manuellement : 1. Dans la barre de navigation, sélectionnez Gateway AV/IPS > Mettre à jour. La page Mettre à jour Gateway AV/IPS s’affiche. 2. Décidez si vous souhaitez mettre à jour automatiquement ou manuellement. Si vous souhaitez mettre à jour manuellement, désactivez la case à cocher Activer les mises à jour automatiques. 3. Si vous souhaitez mettre à jour les signatures manuellement, comparez la version de la base de données de signatures actuelle avec celle qui est disponible au téléchargement. Si une version plus récente est disponible, cliquez sur Mettre à jour. La nouvelle base de données de signatures est téléchargée et s’installe automatiquement. 258 Firebox X Edge e-Series 18 Réseaux BOVPN (Branch Office Virtual Private Network) À propos de Branch Office Virtual Private Networks (BOVPN) Un VPN (réseau privé virtuel) crée une connexion sécurisée entre des ordinateurs ou des réseaux situés à des emplacements différents. Cette connexion est appelée un tunnel. Lorsqu’un tunnel VPN est créé, les deux points de terminaison du tunnel sont authentifiés. Les données du tunnel sont chiffrées. Seuls l’expéditeur et le destinataire du message peuvent les lire. Les réseaux BOVPN (Branch Office Virtual Private Networks) permettent aux entreprises de fournir une connectivité sécurisée et chiffrée entre des agences séparées géographiquement. Les réseaux et les hôtes d’un tunnel VPN peuvent être des sièges sociaux, des succursales, des utilisateurs distants ou des télétravailleurs. Ces communications contiennent souvent les types de données critiques échangés au sein du pare-feu de l’entreprise. Dans ce scénario, un réseau BOVPN fournit des connexions confidentielles entre ces bureaux, ce qui rationalise la communication, réduit le coût des lignes dédiées et préserve la sécurité à chaque extrémité. Procédure de création d’un tunnel Procédez comme suit pour créer un tunnel BOVPN : 1. Assurez-vous de bien comprendre les exigences des réseaux VPN Firebox X Edge, décrites dans la rubrique Comment créer un réseau privé virtuel (VPN). 2. Configurez Firebox X Edge pour être le point de terminaison d’un tunnel VPN créé et géré par un serveur WatchGuard Firebox X Core ou Peak Management Server. Cette procédure est différente en fonction de la version du logiciel système de WatchGuard System Manager qui est installée sur Firebox X Core ou Peak. Ou Configurez Manual VPN sur Edge, comme cela est expliqué dans la rubrique Créer des tunnels Manual VPN sur votre système Edge. 3. (Facultatif) Utilisez les fonctionnalités de contrôle du trafic avec les tunnels VPN. Guide de l’utilisateur 259 Réseaux BOVPN (Branch Office Virtual Private Network) Comment créer un réseau privé virtuel (VPN) Avant de configurer votre réseau VPN WatchGuard Firebox X Edge, lisez les conditions suivantes : Vous devez avoir deux périphériques Firebox X Edge ou bien un périphérique Firebox X Edge et un deuxième périphérique qui utilise les normes IPSec. Il peut s’agir par exemple de Firebox III, Firebox X Core, Firebox X Peak ou Firebox SOHO 6. Vous devez activer l’option VPN sur cet autre périphérique si elle n’est pas déjà active. Vous devez disposer d’une connexion Internet. Le fournisseur de services Internet de chaque périphérique VPN doit laisser IPSec traverser ses réseaux. Certains fournisseurs de services Internet ne vous permettent pas de créer de tunnels VPN sur leurs réseaux à moins de passer à un niveau de service Internet qui prenne en charge les tunnels VPN. Contactez le fournisseur de services Internet pour vous assurer que vous pouvez utiliser les ports et protocoles suivants : o Port UDP 500 (IKE ou Internet Key Exchange) o Port UDP 4500 (parcours NAT) o Protocole IP 50 (ESP ou Encapsulating Security Payload) Si de l’autre côté du tunnel VPN se trouve un périphérique WatchGuard Firebox X et que chaque périphérique Firebox est géré par WatchGuard System Manager, vous pouvez utiliser l’option Managed VPN. L’option Managed VPN est plus facile à configurer que Manual VPN. Pour utiliser cette option, vous devez obtenir des informations auprès de l’administrateur du périphérique Firebox X de l’autre côté du tunnel VPN. Vous devez savoir si l’adresse IP attribuée à l’interface externe de Firebox X Edge est statique ou dynamique. Pour en savoir plus sur les adresses IP, voir À propos des adresses IP. Le modèle Firebox X Edge e-Series dont vous disposez vous indique le nombre de tunnels VPN que vous pouvez créer sur votre périphérique Edge. Vous pouvez acheter une mise à niveau de modèle pour votre périphérique Edge afin de créer un plus grand nombre de tunnels VPN, comme cela est expliqué dans la rubrique Mettre à niveau le modèle Firebox X Edge. Si vous connectez deux réseaux Microsoft Windows NT, ils doivent se trouver dans le même domaine Microsoft Windows ou il doit s’agir de domaines approuvés. Ceci est un problème de réseau Microsoft, et non une limitation de Firebox X Edge e-Series. Si vous voulez utiliser les serveurs DNS et WINS du réseau qui se trouve de l’autre côté du tunnel VPN, vous devez connaître leurs adresses IP. Firebox X Edge peut donner les adresses IP des serveurs WINS et DNS aux ordinateurs du réseau approuvé si ces ordinateurs obtiennent leurs adresses IP auprès du périphérique Edge à l’aide de DHCP. Si vous voulez donner aux ordinateurs les adresses IP des serveurs WINS et DNS de l’autre côté du VPN, vous pouvez taper ces adresses dans les paramètres DHCP de la configuration du réseau approuvé. Pour savoir comment configurer Edge pour donner des adresses DHCP, voir Activer le serveur DHCP sur le réseau approuvé. Vous devez connaître l’adresse réseau des réseaux privés (approuvés) qui se trouvent derrière le périphérique Firebox X Edge e-Series et celle du réseau qui se trouve derrière l’autre périphérique VPN, ainsi que leurs masques de sous-réseau. Les adresses IP privées des ordinateurs situés derrière Firebox X Edge ne peuvent pas être les mêmes que les adresses IP des ordinateurs situés de l’autre côté du tunnel VPN. Si votre réseau approuvé utilise les mêmes adresses IP que le bureau vers lequel il va créer un tunnel VPN, votre réseau et l’autre réseau doivent modifier leur adressage IP pour empêcher les conflits d’adresses IP. 260 Firebox X Edge e-Series Réseaux BOVPN (Branch Office Virtual Private Network) À propos du basculement VPN Le basculement est une fonction importante des réseaux qui demande un haut niveau de disponibilité. Si un système échoue ou cesse d’être disponible, le basculement transfère automatiquement les fonctionnalités du système défaillant ou non disponible à un système de sauvegarde. Dans Firebox X Edge e-Series, vous pouvez définir jusqu’à huit passerelles distantes multiples pour le point de terminaison VPN. Edge utilise la technologie de détection DPD (Dead Peer Detection) pour vérifier l’intégrité de la passerelle distante. Il utilise la prochaine passerelle distante disponible s’il ne peut pas envoyer ou recevoir de trafic par le biais de la passerelle distante principale. La première passerelle distante de la liste est la passerelle distante principale. Un basculement WAN entraîne également un basculement VPN. À propos des réseaux VPN gérés Vous pouvez configurer un tunnel VPN sur Firebox X Edge e-Series à l’aide de deux procédures : Managed VPN et Manual VPN. Pour plus d’informations sur la création d’un tunnel Manual VPN, voir Créer manuellement des tunnels VPN sur votre système Edge. WatchGuard Management Server (précédemment appelé DVCP Server) utilise le protocole DVCP (Dynamic VPN Configuration Protocol) pour conserver la configuration du tunnel VPN. DVCP est le protocole WatchGuard qui permet de créer facilement des tunnels IPSec. Management Server gère le tunnel VPN et envoie la configuration VPN à Firebox X Edge d’où le nom Managed VPN. Un administrateur d’Edge ne doit taper qu’une petite quantité d’informations dans les pages de configuration d’Edge. Vous devez installer WatchGuard System Manager et Firebox III, Firebox X Core ou Firebox X Peak pour disposer de Management Server. Lorsque Firebox X Edge récupère sa configuration VPN de Management Server, votre système Edge est un client de Management Server dans une relation client-serveur. Edge obtient l’intégralité de sa configuration VPN de Management Server. Pour configurer Firebox X Edge pour qu’il autorise l’accès à WatchGuard System Manager afin de créer des tunnels VPN, voir À propos de l’accès WatchGuard System Manager. Guide de l’utilisateur 261 Réseaux BOVPN (Branch Office Virtual Private Network) Configurer des tunnels VPN manuels Pour créer manuellement un tunnel VPN vers un autre périphérique Firebox X Edge ou vers un périphérique Firebox III ou Firebox X, ou pour configurer un tunnel VPN vers un périphérique qui n’est pas un périphérique WatchGuard, vous devez utiliser l’option Manual VPN. Utilisez cette section pour configurer Manual VPN sur Edge. Ce dont vous avez besoin pour Manual VPN Outre les exigences relatives au VPN décrites au début de ce chapitre, vous devez disposer des informations suivantes pour créer un tunnel Manual VPN : Vous devez savoir si l’adresse IP attribuée à l’autre périphérique VPN est statique ou dynamique. Si l’autre périphérique VPN est dynamique, Firebox X Edge doit le localiser par son nom de domaine et l’autre périphérique doit utiliser le service DNS dynamique. Vous devez connaître la clé partagée (mot de passe) du tunnel. La même clé partagée doit être utilisée par les deux périphériques. Vous devez connaître la méthode de chiffrement utilisée pour le tunnel (DES, 3DES, AES 128 bits, AES 192 bits ou AES 256 bits). Les deux périphériques VPN doivent utiliser la même méthode. Vous devez connaître la méthode d’authentification utilisée à chaque extrémité du tunnel (MD5 ou SHA1). Les deux périphériques VPN doivent utiliser la même méthode d’authentification. Nous vous recommandons de consigner par écrit la configuration de Firebox X Edge et les informations connexes relatives à l’autre périphérique. Consultez l’exemple de table d’informations d’adressage VPN pour enregistrer ces informations. 262 Firebox X Edge e-Series Réseaux BOVPN (Branch Office Virtual Private Network) Exemple de table d’informations d’adressage VPN Élément Description Attribué par Adresse IP externe Adresse IP qui identifie le périphérique compatible avec IPSec sur Internet. Exemple : Site A : 207.168.55.2 Site B : 68.130.44.15 FSI Adresse de réseau local Adresse utilisée pour identifier un réseau local. Il s’agit des adresses IP des ordinateurs situés de chaque côté qui sont autorisés à envoyer du trafic dans le tunnel VPN. Nous vous recommandons d’utiliser une adresse comprise dans l’une des plages réservées : 10.0.0.0/8 – 255.0.0.0 172.16.0.0/12 – 255.240.0.0 192.168.0.0/16 – 255.255.0.0 Les chiffres après la barre oblique désignent les masques de sous-réseau. /24 signifie que le masque de sous-réseau du réseau approuvé est 255.255.255.0. Pour plus d’informations sur la saisie des adresses IP en notation de barre oblique, voir le forum aux questions suivant : https://www.watchguard.com/support/advancedfaqs/ general_slash.asp (en anglais) Exemple : Site A : 192.168.111.0/24 Site B : 192.168.222.0/24 Vous Clé partagée La clé partagée est un mot de passe utilisé par deux périphériques compatibles avec IPSec pour chiffrer et déchiffrer les données qui traversent le tunnel VPN. Les deux périphériques utilisent le même mot de passe. S’ils n’ont pas le même mot de passe, ils ne peuvent pas chiffrer et déchiffrer correctement les données. Pour plus de sécurité, utilisez un mot de passe combinant des chiffres, des symboles, des minuscules et des majuscules. Par exemple, « Gu4c4mo!3 » est préférable à « guacamole ». Exemple : Site A : NotreSecretPartagé Site B : NotreSecretPartagé Vous Méthode de chiffrement DES utilise le chiffrement 56 bits. 3DES utilise le chiffrement 168 bits. Le chiffrement AES est disponible en 128 bits, 192 bits et 256 bits. AES 256 bits est le chiffrement le plus sécurisé qui soit. Les deux périphériques doivent utiliser la même méthode de chiffrement. Exemple : Site A : 3DES ; Site B : 3DES Vous Authentification Les deux périphériques doivent utiliser la même méthode d’authentification. Exemple : Site A : MD5 (ou SHA1) Site B : MD5 (ou SHA1) Vous Guide de l’utilisateur 263 Réseaux BOVPN (Branch Office Virtual Private Network) Créer des tunnels Manual VPN sur votre système Edge 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez VPN > Manual VPN. La page Manual VPN s’affiche. 3. Cliquez sur Ajouter. La page Ajouter une passerelle s’affiche. 4. Tapez un nom pour le tunnel. Ce nom n’est utilisé qu’à des fins d’identification. 5. La Méthode d’informations d’identification est définie sur Clé partagée et peut uniquement être modifiée si vous avez importé un certificat de passerelle VPN distante. Pour plus d’informations sur les certificats tiers, voir À propos des certificats. La clé partagée est un mot de passe que les périphériques utilisent pour chiffrer et déchiffrer les données dans le tunnel VPN. Les deux périphériques doivent utiliser le même mot de passe sans quoi ils ne pourront pas chiffrer et déchiffrer correctement les données. 264 Firebox X Edge e-Series Réseaux BOVPN (Branch Office Virtual Private Network) Paramètres de phase 1 IKE (Internet Key Exchange) est un protocole utilisé avec les tunnels VPN pour gérer automatiquement les clés. IKE négocie et modifie les clés. La phase 1 authentifie les deux côtés et crée une association de sécurité de gestion de clés pour protéger les données du tunnel. Les paramètres par défaut de la phase 1 sont les mêmes pour tous les périphériques Firebox X Edge. De nombreux utilisateurs conservent les paramètres d’usine par défaut. Assurez-vous que la configuration de phase 1 est la même sur les deux périphériques. Guide de l’utilisateur 265 Réseaux BOVPN (Branch Office Virtual Private Network) Pour modifier la configuration de phase 1 : 1. Sélectionnez le mode de négociation dans la liste déroulante Mode. Vous ne pouvez utiliser le mode principal que si les deux périphériques possèdent des adresses IP statiques. Si l’un des périphériques ou les deux possèdent des adresses IP externes qui sont attribuées dynamiquement, vous devez utiliser le mode agressif. 2. Entrez l’ID local et l’ID distant. Sélectionnez les types d’ID dans les listes déroulantes : Adresse IP ou Nom de domaine. Assurez-vous que cette configuration est la même que celle du périphérique distant. Notez que le type d’ID local et le type d’ID distant sont inversés sur l’autre périphérique. o Si le périphérique Firebox X Edge ou le périphérique VPN distant possède une adresse IP externe statique, définissez le type d’ID local sur Adresse IP. Tapez l’adresse IP externe du périphérique Edge ou du périphérique distant en tant qu’ID local. o Si le périphérique Firebox X Edge ou le périphérique VPN distant possède une adresse IP externe dynamique, vous devez sélectionner Mode agressif et le périphérique doit utiliser le DNS dynamique. Pour plus d’informations, voir À propos du service DNS dynamique. Définissez le type d’ID local sur Nom de domaine. Entrez le nom de domaine DynDNS du périphérique en tant qu’ID local. Si l’interface externe de Firebox X Edge possède une adresse IP privée au lieu d’une adresse IP publique, votre fournisseur de services Internet ou le périphérique d’accès à Internet qui est connecté à l’interface externe (modem ou routeur) d’Edge assure la traduction d’adresses réseau (NAT). Consultez la rubrique Si votre système Edge se trouve derrière un périphérique NAT si l’interface externe de votre périphérique Edge possède une adresse IP privée. 3. Sélectionnez le type d’authentification dans la liste déroulante Algorithme d’authentification. Les options proposées sont MD5-HMAC (authentification 128 bits) ou SHA1-HMAC (authentification 160 bits). SHA1-HMAC est la plus sécurisée des deux. 4. Dans la liste déroulante Algorithme de chiffrement, sélectionnez le type de chiffrement. Les options proposées, de la moins sécurisée à la plus sécurisée, sont DES-CBC, 3DES-CBC, AES (128 bits), AES (192 bits) et AES (256 bits). 5. Tapez le nombre de kilo-octets et le nombre d’heures avant l’expiration de la négociation IKE. Pour que la négociation n’expire jamais, entrez zéro (0). Par exemple, 24 heures et zéro (0) kilo-octet signifient que la clé de phase 1 est négociée toutes les 24 heures quel que soit le volume de données transmis. 6. Sélectionnez le numéro de groupe dans la liste déroulante Groupe Diffie-Hellman. Edge prend en charge les groupes Diffie-Hellman 1, 2 et 5. Les groupes Diffie-Hellman permettent de négocier en toute sécurité des clés secrètes sur un réseau public. Les groupes Diffie-Hellman 2 et 5 utilisent de plus grands modules de clés et sont plus sécurisés, mais ils demandent plus de temps processeur. Chaque côté du tunnel VPN doit utiliser le même groupe Diffie-Hellman. 7. Activez la case à cocher Envoyer des messages de conservation d’activité IKE pour savoir si le tunnel fonctionne ou pas. Lorsque cette case à cocher est activée, Edge envoie des paquets courts à travers le tunnel à intervalles réguliers. Cela permet aux deux périphériques de savoir si le tunnel fonctionne bien. Si les paquets de conservation d’activité ne reçoivent aucune réponse au bout de trois tentatives, Firebox X Edge redémarre le tunnel. 8. Activez la case à cocher Activer la détection DPD pour vérifier l’état de la passerelle distante lorsque vous voulez utiliser le basculement VPN. Pendant une vérification DPD, Firebox exécute la commande ping sur la passerelle distante et attend une réponse. S’il n’y en a pas, le basculement VPN a lieu et Firebox utilise la prochaine passerelle distante disponible. Vous pouvez configurer le délai d’attente de la commande ping en secondes et le nombre maximal de tentatives. 266 Firebox X Edge e-Series Réseaux BOVPN (Branch Office Virtual Private Network) Si votre système Edge se trouve derrière un périphérique NAT Firebox X Edge e-Series peut utiliser le parcours NAT. Cela signifie que vous pouvez créer des tunnels VPN si votre fournisseur de services Internet assure la traduction d’adresses réseau (NAT, Network Address Translation) ou si l’interface externe d’Edge est connectée à un périphérique assurant la traduction d’adresses réseau. Il est recommandé que l’interface externe de Firebox X Edge ait une adresse IP publique. Si cela n’est pas possible, utilisez cette section pour en savoir plus. Les périphériques NAT sont fréquemment dotés de fonctionnalités de pare-feu de base intégrées. Pour créer un tunnel VPN vers le système Firebox X Edge e-Series lorsque celui-ci se trouve derrière un périphérique NAT, le périphérique NAT doit laisser passer le trafic. Les ports et protocoles suivants doivent être ouverts sur le périphérique NAT : Port UDP 500 (IKE) Port UDP 4500 (parcours NAT) Protocole IP 50 (ESP) Contactez le fabricant du périphérique NAT pour savoir comment ouvrir ces ports et protocoles sur le périphérique NAT. Si l’interface externe de Firebox X Edge e-Series possède une adresse IP privée, vous ne pouvez pas utiliser une adresse IP comme type d’ID local dans les paramètres de phase 1. Étant donné que les adresses IP privées ne peuvent pas accéder à Internet, l’autre périphérique ne peut pas trouver l’adresse IP externe privée du système Edge sur Internet. Si le périphérique NAT auquel Firebox X Edge est connecté possède une adresse IP publique dynamique : o Commencez par configurer le périphérique en mode pont. En mode pont, l’adresse IP publique est transmise à l’interface externe d’Edge. Contactez le fabricant du périphérique NAT pour en savoir plus. o Configurez le DNS dynamique sur Firebox X Edge. Pour plus d’informations, voir À propos du service DNS dynamique. Dans les paramètres de phase 1 de Manual VPN, définissez le type d’ID local sur Nom de domaine. Entrez le nom de domaine DynDNS en tant qu’ID local. Le périphérique distant doit identifier le système Edge par nom de domaine et doit utiliser le nom de domaine DynDNS du système Edge dans sa configuration de phase 1. Si le périphérique NAT auquel Firebox X Edge est connecté possède une adresse IP publique statique : o Dans les paramètres de phase 1 de Manual VPN, définissez le type d’ID local sur Nom de domaine dans la liste déroulante. Entrez l’adresse IP publique attribuée à l’interface externe du périphérique NAT en tant qu’ID local. Le périphérique distant doit identifier le système Firebox X Edge par nom de domaine et doit utiliser la même adresse IP publique que le nom de domaine dans sa configuration de phase 1. Guide de l’utilisateur 267 Réseaux BOVPN (Branch Office Virtual Private Network) Paramètres de phase 2 La phase 2 négocie l’association de sécurité de gestion de données pour le tunnel. Le tunnel utilise cette phase pour créer des tunnels IPSec et pour regrouper des paquets de données. Vous pouvez utiliser les paramètres de phase 2 par défaut pour faciliter la configuration. Assurez-vous que la configuration de phase 2 est la même sur les deux périphériques. Pour modifier les paramètres de phase 2 : 1. Sélectionnez la méthode d’authentification dans la liste déroulante Algorithme d’authentification. 2. Sélectionnez l’algorithme de chiffrement dans la liste déroulante Algorithme de chiffrement. 3. Les bits TOS constituent un ensemble d’indicateurs à quatre bits dans l’en-tête IP qui peuvent indiquer aux périphériques de routage de donner la priorité à un certain trafic VPN. Certains fournisseurs de services Internet abandonnent tous les paquets comportant des indicateurs TOS. Si vous activez la case à cocher Activer le type de service (TOS) pour IPSEC, Edge conserve les bits TOS existants dans les paquets de trafic VPN. Si cette case à cocher n’est pas activée, Edge supprime les bits TOS. 4. Pour utiliser la confidentialité de transmission parfaite, activez la case à cocher Activer PFS (Perfect Forward Secrecy). Cette option garantit que chaque nouvelle clé provient d’un nouvel échange DiffieHellman. Elle rend la négociation plus sécurisée, mais utilise plus de temps et de ressources informatiques. 268 Firebox X Edge e-Series Réseaux BOVPN (Branch Office Virtual Private Network) 5. Tapez le nombre de kilo-octets et le nombre d’heures avant l’expiration de la clé de phase 2. Pour que la clé n’expire pas, entrez zéro (0). Par exemple, 24 heures et zéro (0) kilo-octet signifient que la clé de phase 2 est renégociée toutes les 24 heures quel que soit le volume de données transmis. 6. Tapez l’adresse IP du réseau local et des réseaux distants qui vont envoyer du trafic chiffré sur le VPN. Vous devez entrer les adresses réseau en notation de « barre oblique » (également appelée notation CIDR ou Classless Inter Domain Routing). Pour plus d’informations sur la saisie des adresses IP en notation de barre oblique, voir le forum aux questions suivant : http://www.watchguard.com/support/advancedfaqs/general_slash.asp (en anglais) 7. Cliquez sur Ajouter. 8. Répétez l’étape 5 si vous devez ajouter des réseaux supplémentaires. 9. Cliquez sur Envoyer. Guide de l’utilisateur 269 Réseaux BOVPN (Branch Office Virtual Private Network) Configurer la conservation d’activité VPN Pour garder le tunnel VPN ouvert lorsqu’il n’est traversé par aucune connexion, vous pouvez utiliser l’adresse IP d’un ordinateur se trouvant à l’autre extrémité du tunnel en tant qu’hôte d’écho. Firebox X Edge e-Series envoie une requête ping toutes les minutes à l’hôte spécifié. Utilisez l’adresse IP d’un hôte qui est toujours en ligne et qui peut répondre aux messages ping. Vous pouvez entrer l’adresse IP de l’interface approuvée du périphérique Firebox qui se trouve à l’autre extrémité du tunnel. Vous pouvez également spécifier plusieurs adresses IP pour que le périphérique Edge puisse envoyer une requête ping à plusieurs hôtes à travers différents tunnels. 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez VPN > Conservation d’activité. La page Conservation d’activité VPN s’affiche. 3. Tapez l’adresse IP d’un hôte d’écho. Cliquez sur Ajouter. 4. Répétez l’étape 3 pour ajouter des hôtes d’écho supplémentaires. 5. Cliquez sur Envoyer. Afficher les statistiques VPN Vous pouvez analyser le trafic VPN de Firebox X Edge e-Series et dépanner la configuration VPN à partir de la page Statistiques VPN. Pour afficher la page Statistiques VPN : 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez État du système > Statistiques VPN. La page Statistiques VPN s’affiche. 270 Firebox X Edge e-Series Réseaux BOVPN (Branch Office Virtual Private Network) Forum aux questions Pourquoi avez-vous besoin d’une adresse externe statique ? Pour établir une connexion VPN, chaque périphérique doit connaître l’adresse IP de l’autre périphérique. Si l’adresse d’un périphérique est dynamique, l’adresse IP peut changer. Si l’adresse IP change, les connexions entre les périphériques ne peuvent pas être établies sauf si les deux périphériques savent comment se trouver. Vous pouvez utiliser le service DNS dynamique si vous ne pouvez pas vous procurer d’adresse IP externe statique. Pour plus d’informations, voir À propos du service DNS dynamique. Comment obtenir une adresse IP externe statique ? Vous pouvez vous procurer l’adresse IP externe de votre ordinateur ou de votre réseau auprès de votre fournisseur de services Internet ou d’un administrateur réseau. De nombreux fournisseurs de services Internet utilisent des adresses IP dynamiques pour faciliter la configuration et l’utilisation de leurs réseaux avec un grand nombre d’utilisateurs. La plupart d’entre eux peuvent vous fournir une adresse IP statique en option. Comment dépanner la connexion ? Si vous pouvez envoyer une requête ping à l’interface approuvée du périphérique Firebox X Edge distant et aux ordinateurs du réseau distant, le tunnel VPN fonctionne. La configuration du logiciel réseau ou les applications logicielles sont des causes possibles d’autres problèmes. Guide de l’utilisateur 271 Réseaux BOVPN (Branch Office Virtual Private Network) Pourquoi le test ping ne fonctionne-t-il pas ? Si vous ne parvenez pas à envoyer une requête ping à l’adresse IP de l’interface locale du périphérique Firebox X Edge distant, procédez comme suit : 1. Exécutez la commande ping sur l’adresse externe du périphérique Firebox X Edge distant. Par exemple, à partir du site A, exécutez la commande ping sur l’adresse IP du site B. Si le paquet ping ne revient pas, assurez-vous que les paramètres de réseau externe du site B sont corrects. (Le site B doit être configuré pour répondre aux requêtes ping sur cette interface.) Si les paramètres sont corrects, assurez-vous que les ordinateurs du site B ont accès à Internet. Si les ordinateurs du site B n’ont pas accès à Internet, contactez votre fournisseur de services Internet ou votre administrateur réseau. 2. Si vous réussissez à envoyer une requête ping à l’adresse externe de chaque périphérique Firebox X Edge, essayez d’exécuter la commande ping sur une adresse locale du réseau distant. À partir d’un ordinateur du site A, exécutez la commande ping sur l’adresse IP de l’interface interne du périphérique Firebox X Edge distant. Si le tunnel VPN fonctionne, le périphérique Edge distant renvoie le paquet ping. Si le paquet ping ne revient pas, assurez-vous que la configuration locale est correcte. Vérifiez que les plages d’adresses DHCP locales des deux réseaux connectés par le tunnel VPN n’utilisent aucune adresse IP en commun. Les deux réseaux connectés par le tunnel ne doivent pas utiliser les mêmes adresses IP. Comment définir plus de tunnels VPN que le nombre autorisé sur un périphérique Edge ? Le nombre de tunnels VPN que vous pouvez créer sur votre périphérique Firebox X Edge e-Series est déterminé par le modèle Edge dont vous disposez. Vous pouvez acheter une mise à niveau de modèle pour votre périphérique Edge afin de créer un plus grand nombre de tunnels VPN. Vous pouvez acheter une mise à niveau de modèle Firebox X Edge auprès d’un revendeur ou sur le site Web de WatchGuard à l’adresse suivante : http://www.watchguard.com/products/purchaseoptions.asp. 272 Firebox X Edge e-Series 19 À propos de Mobile VPN with PPTP Il est possible d’utiliser le protocole PPTP (Point-to-Point Tunneling Protocol) pour créer des tunnels VPN sécurisés. Vous pouvez configurer Firebox X Edge e-Series en tant que point de terminaison VPN PPTP et permettre à dix utilisateurs au maximum d’établir des connexions sécurisées simultanées à Edge et d’accéder aux réseaux protégés par Edge. Pour permettre aux utilisateurs distants de se connecter à Firebox avec PPTP, vous devez : Configurer Edge avec la première adresse d’une séquence de dix adresses IP actuellement disponibles sur le réseau approuvé ou facultatif. Edge doit être en mesure de donner ces adresses IP aux utilisateurs distants lorsqu’ils tentent de se connecter avec PPTP. Activer les connexions PPTP dans le profil utilisateur du pare-feu de chaque utilisateur distant. Lorsqu’un utilisateur établit une connexion PPTP à Edge, l’utilisateur reçoit alors un accès total au réseau approuvé ou facultatif. Guide de l’utilisateur 273 À propos de Mobile VPN with PPTP Activer l’accès PPTP pour les utilisateurs d’un pare-feu Lorsque vous activez Mobile VPN with PPTP sur Edge, vous devez activer l’accès PPTP pour chaque utilisateur distant qui utilise le protocole PPTP pour se connecter à Edge. 1. Pour vous connecter à la page État du système, tapez https:// et l’adresse IP de l’interface approuvée de Firebox X Edge dans la barre d’adresses du navigateur. L’URL par défaut est https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox. La page Utilisateurs de Firebox s’affiche. 3. Sous Comptes d’utilisateurs locaux, cliquez sur le bouton Modifier pour modifier un compte d’utilisateur existant ou sur le bouton Ajouter pour ajouter un nouveau compte d’utilisateur. 4. Dans la page Nouveau ou Modifier qui s’affiche, activez la case à cocher Autoriser l’accès distant via Mobile VPN with PPTP. 274 Firebox X Edge e-Series À propos de Mobile VPN with PPTP Activer PPTP sur Edge 1. Pour vous connecter à la page État du système, tapez https:// et l’adresse IP de l’interface approuvée de Firebox X Edge dans la barre d’adresses du navigateur. L’URL par défaut est https://192.168.111.1 2. Dans la barre de navigation, sélectionnez VPN > Mobile VPN. La page Utilisateur itinérant s’affiche. 3. Pour activer PPTP, activez la case à cocher Activez Remote User VPN avec Mobile VPN with PPTP. 4. Activez la case à cocher Autoriser le chiffrement de 128 bits à 40 bits pour permettre aux tunnels de passer du chiffrement 128 bits au chiffrement 40 bits pour les connexions moins fiables. Firebox X Edge tente toujours d’utiliser le chiffrement 128 bits en premier. Le chiffrement 40 bits est employé si le client ne peut pas utiliser la connexion chiffrée en 128 bits. En général, seuls les clients résidant hors des États-Unis ont recours à cette case à cocher. Guide de l’utilisateur 275 À propos de Mobile VPN with PPTP 5. Activez la case à cocher Consigner tout le trafic PPTP autorisé pour qu’Edge enregistre un message du journal pour tout le trafic PPTP. 6. Lorsqu’un utilisateur PPTP se connecte à Edge, ce dernier doit attribuer à l’ordinateur de cet utilisateur une adresse IP disponible à partir du réseau auquel l’utilisateur souhaite se connecter. Tapez la première adresse IP dans le pool d’adresses pouvant être utilisé par Edge pour attribuer des adresses IP aux utilisateurs PPTP dans le champ Début du pool d’adresses IP. Edge donne cette adresse IP au premier utilisateur PPTP qui se connecte. Edge incrémente ensuite l’adresse IP d’une unité et attribue une adresse à chaque nouvel utilisateur PPTP qui se connecte (jusqu’à 10 utilisateurs). L’adresse IP que vous définissez comme adresse de début du pool d’adresses IP doit être la première adresse d’une séquence de dix adresses IP disponibles et doit être identifiée sur Edge comme faisant partie du réseau approuvé ou facultatif. Configurer les paramètres DNS et WINS Le service DNS (Domain Name Service) change les noms d’hôtes en adresses IP. Le service WINS (Windows Internet Naming Service) change les noms NetBIOS en adresses IP. Par défaut, les utilisateurs PPTP qui se connectent à Edge utilisent les serveurs WINS et DNS identifiés sur la page Réseau > Approuvé de votre configuration Edge. Si vous souhaitez spécifier un serveur WINS ou DNS différent, ajoutez-le dans les zones de texte Serveur DNS et Adresse IP du serveur WINS dans la dernière section de la page Utilisateur itinérant. Préparer les ordinateurs clients Vous devez vous assurer que les ordinateurs des utilisateurs distants sont configurés pour l’utilisation du protocole PPTP. Chaque ordinateur doit avoir accès à Internet et doit posséder la version requise de l’Accès réseau à distance de Microsoft et tous les Service Packs nécessaires. Certains systèmes d’exploitation peuvent nécessiter un adaptateur VPN. Les mises à niveau et les Service Packs Microsoft sont disponibles dans le Centre de téléchargement Microsoft à l’adresse suivante : http://www.microsoft.com/downloads/search.aspx?displaylang=fr. Pour préparer un ordinateur client Windows Vista, vous devez configurer la connexion PPTP. Sur le Bureau Windows de l’ordinateur client : 1. Sélectionnez Démarrer > Paramètres > Panneau de configuration. Le Panneau de configuration s’affiche. 2. Cliquez sur Réseau et Internet. 3. Dans la colonne de gauche, sous Tâches, cliquez sur Connexion à un réseau. L’Assistant Nouvelle connexion démarre. 4. Cliquez sur Connexion à votre espace de travail. Cliquez sur Suivant. La fenêtre Connexion à votre espace de travail s’affiche. 5. Cliquez sur Non, créer une nouvelle connexion. Cliquez sur Suivant. La fenêtre Comment voulez-vous vous connecter ? s’affiche. 6. Cliquez sur Utiliser ma connexion Internet (VPN). La fenêtre Entrez l’adresse Internet à laquelle vous souhaitez vous connecter s’affiche. 7. Dans la zone de texte Adresse Internet, tapez le nom d’hôte ou l’adresse IP de l’interface externe Edge. 8. Dans la zone de texte Nom de la destination, tapez un nom (p. ex. « PPTP vers Edge »). 9. Indiquez si vous souhaitez que d’autres personnes puissent utiliser cette connexion. 10. Activez la case à cocher Ne pas me connecter maintenant, mais tout préparer pour une connexion ultérieure pour que l’ordinateur client ne tente pas de se connecter à ce stade. 276 Firebox X Edge e-Series À propos de Mobile VPN with PPTP 11. Cliquez sur Suivant. La fenêtre Entrez votre nom d’utilisateur et votre mot de passe s’affiche. 12. Tapez le Nom d’utilisateur et le Mot de passe pour ce client. 13. Cliquez sur Créer. La fenêtre La connexion est prête à être utilisée s’affiche. 14. Pour vous connecter avec votre nouvelle connexion VPN, sélectionnez Démarrer > Paramètres > Connexions réseau > [nom de la connexion]. 15. Tapez le nom d’utilisateur et le mot de passe pour la connexion, puis cliquez sur Connecter. 16. Si c’est la première fois que vous vous connectez, vous devez sélectionner un emplacement réseau. Sélectionnez Lieu public. Créer et connecter un VPN PPTP à partir d’un client Windows XP Pour préparer un hôte distant Windows XP, vous devez configurer la connexion réseau. Sur le Bureau Windows de l’ordinateur client : 1. Sélectionnez Démarrer > Panneau de configuration > Connexions réseau. L’Assistant Connexion réseau démarre. 2. Cliquez sur Créer une nouvelle connexion dans le menu de gauche. L’Assistant Nouvelle connexion démarre. Cliquez sur Suivant. 3. Cliquez sur Connexion au réseau d’entreprise. Cliquez sur Suivant. 4. Cliquez sur Connexion réseau privé virtuel. Cliquez sur Suivant. 5. Donnez un nom à la nouvelle connexion, p. ex. « Connexion avec RUVPN ». Cliquez sur Suivant. 6. Vous pouvez indiquer soit de ne pas établir la connexion initiale (pour une connexion haut débit), soit d’établir cette connexion initiale automatiquement (pour une connexion par modem). Cliquez sur Suivant. Cet écran s’affiche si vous utilisez Windows XP SP2. Tous les utilisateurs de Windows XP ne voient pas cet écran. 7. Tapez le nom d’hôte ou l’adresse IP de l’interface externe Firebox X Edge. Cliquez sur Suivant. 8. Indiquez les personnes autorisées à utiliser ce profil de connexion. Cliquez sur Suivant. 9. Sélectionnez Ajouter un raccourci vers cette connexion sur mon Bureau. Cliquez sur Terminer. 10. Pour vous connecter avec votre nouvelle connexion VPN, établissez tout d’abord une connexion Internet par le biais d’un réseau distant ou, directement, via un réseau local (LAN) ou étendu (WAN). 11. Double-cliquez sur le raccourci de la nouvelle connexion sur votre Bureau. Ou sélectionnez Panneau de configuration > Connexions réseau et recherchez la connexion que vous avez créée dans la liste Réseau privé virtuel (VPN). 12. Tapez le nom d’utilisateur et le mot de passe pour la connexion. 13. Cliquez sur Connexion. Guide de l’utilisateur 277 À propos de Mobile VPN with PPTP Créer et connecter un VPN PPTP à partir d’un client Windows 2000 Pour préparer un hôte distant Windows 2000, vous devez configurer la connexion réseau. Sur le Bureau Windows de l’ordinateur client : 1. Sélectionnez Démarrer > Paramètres > Connexions réseau > Créer une nouvelle connexion. L’Assistant Nouvelle connexion démarre. 2. Cliquez sur Suivant. 3. Sélectionnez Connexion au réseau d’entreprise. Cliquez sur Suivant. 4. Cliquez sur Connexion réseau privé virtuel. 5. Donnez un nom à la nouvelle connexion, p. ex. « Connexion avec Mobile VPN ». Cliquez sur Suivant. 6. Vous pouvez indiquer soit de ne pas établir la connexion initiale (pour une connexion haut débit), soit d’établir cette connexion initiale automatiquement (pour une connexion par modem). Cliquez sur Suivant. 7. Tapez le nom d’hôte ou l’adresse IP de l’interface externe Edge. Cliquez sur Suivant. 8. Sélectionnez Ajouter un raccourci vers cette connexion sur mon Bureau. Cliquez sur Terminer. 9. Pour vous connecter avec votre nouvelle connexion VPN, établissez tout d’abord une connexion Internet par le biais d’un réseau distant ou, directement, via un réseau local (LAN) ou étendu (WAN). 10. Double-cliquez sur le raccourci de la nouvelle connexion sur votre Bureau. Ou sélectionnez Panneau de configuration > Connexions réseau et recherchez la connexion que vous avez créée dans la liste Réseau privé virtuel (VPN). 11. Tapez le nom d’utilisateur et le mot de passe pour la connexion. 12. Cliquez sur Connexion. Utiliser PPTP et accéder à Internet Vous pouvez autoriser des utilisateurs distants à accéder à Internet par le biais d’un tunnel PPTP. Lorsque vous procédez ainsi, toutes les stratégies de pare-feu sont appliquées à l’utilisateur distant. Par exemple, si vous avez configuré WebBlocker pour le trafic sortant, vos règles WebBlocker s’appliquent au trafic qui entre par le tunnel PPTP et qui est envoyé à Internet. Lorsque vous configurez votre connexion sur l’ordinateur client, dans la boîte de dialogue Paramètres TCP/ IP avancés, activez la case à cocher Utiliser la passerelle par défaut pour le réseau distant. Si cette case à cocher n’est pas activée, le trafic Internet envoyé par l’utilisateur PPTP ne passe pas par le VPN. Pour ouvrir la boîte de dialogue Paramètres TCP/IP avancés sur Windows XP, Windows Vista ou Windows 2000 : 1. Cliquez avec le bouton droit sur la connexion VPN dans Panneau de configuration > Connexions réseau. 2. Sélectionnez Propriétés, puis l’onglet Gestion de réseau. 3. Sélectionnez Protocole Internet (TCP/IP) dans la zone de liste et cliquez sur Propriétés. 4. Sous l’onglet Général, cliquez sur Avancé. La boîte de dialogue Paramètres TCP/IP avancés s’affiche. 5. Activez la case à cocher Utiliser la passerelle par défaut pour le réseau distant. 6. Cliquez sur OK. 278 Firebox X Edge e-Series 20 À propos de Mobile VPN with IPSec WatchGuard Mobile VPN with IPSec est une application logicielle installée sur un ordinateur distant. Le client établit une connexion sécurisée entre l’ordinateur distant et votre réseau protégé via un réseau non sécurisé. Le client Mobile VPN utilise Internet Protocol Security (IPSec) pour sécuriser la connexion. Spécifications du client Avant d’installer le client, veillez à bien noter les conditions ci-après : Vous pouvez installer le logiciel client Mobile VPN with IPSec sur tout ordinateur doté des systèmes d’exploitation suivants : Windows 2000 Professionnel Windows XP (32 bits) Windows Vista (32 et 64 bits) Avant d’installer le logiciel client, vérifiez qu’aucun autre logiciel client IPSec Mobile User VPN n’est installé sur l’ordinateur distant. Vous devez également désinstaller tout logiciel de pare-feu de bureau (autre que le logiciel de pare-feu Microsoft) de chaque ordinateur distant. Guide de l’utilisateur 279 À propos de Mobile VPN with IPSec Activer Mobile VPN pour un compte d’utilisateur Firebox 1. Pour vous connecter à la page État du système d’Edge, tapez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Pour ajouter un nouvel utilisateur de Firebox, sélectionnez Utilisateurs de Firebox > Nouvel utilisateur. Vous pouvez également modifier les propriétés d’un utilisateur existant. Accédez à la page principale Utilisateurs de Firebox et recherchez le nom du compte d’utilisateur à modifier. 3. Dans l’onglet Paramètres, entrez un Nom de compte pour l’utilisateur, puis son mot de passe. Celui-ci est différent du secret partagé que vous allez entrer à l’étape 7 ci-dessous. Les champs Nom complet et Description sont facultatifs. 4. Cliquez sur l’onglet MOVPN. 5. Activez la case à cocher Activer Mobile VPN with IPSec pour ce compte. 6. Entrez une clé partagée dans le champ Clé partagée. Le fichier .wgx est chiffré avec cette clé. Ne communiquez cette clé qu’aux personnes autorisées à utiliser ce compte d’utilisateur de Firebox. 7. Entrez l’adresse IP virtuelle dans le champ approprié. Les adresses IP virtuelles doivent être disponibles sur le réseau approuvé ou facultatif de Firebox X Edge et ne doivent être comprises dans aucune des plages d’adresses DHCP attribuées par Edge. Les ordinateurs distants font appel à cette adresse pour se connecter à Firebox X Edge. 8. Le cas échéant, modifiez les paramètres Algorithme d’authentification ou Algorithme de chiffrement. 280 Firebox X Edge e-Series À propos de Mobile VPN with IPSec 9. Définissez le délai d’expiration de la clé Mobile VPN en kilo-octets et/ou en heures. Les valeurs par défaut sont 8192 Ko et 24 heures. Si vous ne souhaitez spécifier ni la taille, ni le délai d’expiration, entrez une valeur nulle (0). 10. Vous devez sélectionner Utilisateur itinérant dans la liste déroulante Type de client VPN si vous utilisez un ordinateur de bureau, un ordinateur portatif ou un ordinateur de poche Windows. 11. Activez la case à cocher L’ensemble du trafic utilise le tunnel (sous-réseau IP 0.0.0.0/0) si le client distant envoie tout le trafic (y compris le trafic Web habituel) à Firebox X Edge via le tunnel VPN. Le client Mobile VPN peut également se connecter à d’autres réseaux auxquels Edge a accès. Si vous n’activez pas cette case à cocher, l’utilisateur distant peut uniquement se connecter au réseau approuvé de Firebox X Edge. Vous devez activer cette case à cocher pour permettre aux utilisateurs distants de se connecter : o aux réseaux situés de l’autre côté d’un tunnel Branch Office VPN auquel Edge s’est connecté ; o aux ordinateurs du réseau facultatif d’Edge ; o aux réseaux situés derrière un route statique sur l’interface approuvée ou facultative. 12. Cliquez sur Envoyer. Activer Mobile VPN pour un groupe 1. Pour vous connecter à la page État du système d’Edge, tapez https:// dans la barre d’adresses du navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Pour ajouter un nouveau groupe d’utilisateurs de Firebox, sélectionnez Utilisateurs de Firebox > Nouveau groupe. Vous pouvez également modifier les propriétés d’un groupe existant. Accédez à la page principale Utilisateurs de Firebox et recherchez le nom du groupe à modifier. 3. Dans l’onglet Paramètres, entrez un Nom de compte pour le groupe. Si vous faites appel à l’authentification LDAP ou RADIUS, le nom de compte doit être identique au nom de groupe sur le serveur d’authentification. Le champ Description est facultatif. 4. Cliquez sur l’onglet MOVPN. 5. Activez la case à cocher Activer Mobile VPN with IPSec pour ce compte. 6. Entrez une clé partagée dans le champ Clé partagée. Le fichier .wgx est chiffré avec cette clé. Ne communiquez cette clé qu’aux utilisateurs du groupe. 7. Le cas échéant, modifiez les paramètres Algorithme d’authentification ou Algorithme de chiffrement. 8. Définissez le délai d’expiration de la clé Mobile VPN en kilo-octets et/ou en heures. Les valeurs par défaut sont 8192 Ko et 24 heures. Si vous ne souhaitez spécifier ni la taille, ni le délai d’expiration, entrez une valeur nulle (0). 9. Activez la case à cocher Effacer le type de service (ToS) pour qu’Edge supprime le paramètre du bit TOS des paquets qui ne sont pas transmis via le tunnel VPN. Guide de l’utilisateur 281 À propos de Mobile VPN with IPSec 10. Activez la case à cocher L’ensemble du trafic utilise le tunnel (sous-réseau IP 0.0.0.0/0) si le client distant envoie tout le trafic (y compris le trafic Web habituel) à Firebox X Edge via le tunnel VPN. Le client Mobile VPN peut également se connecter à d’autres réseaux auxquels Edge a accès. Si vous n’activez pas cette case à cocher, l’utilisateur distant peut uniquement se connecter au réseau approuvé de Firebox X Edge. Vous devez activer cette case à cocher pour permettre aux utilisateurs distants de se connecter : o aux réseaux situés de l’autre côté d’un tunnel Branch Office VPN auquel Edge s’est connecté ; o aux ordinateurs du réseau facultatif d’Edge ; o aux réseaux situés derrière un route statique sur l’interface approuvée ou facultative. 11. Entrez les adresses IP de début et de fin dans les zones de texte Plage d’adresses IP virtuelles. Les adresses IP virtuelles doivent être disponibles sur le réseau approuvé ou facultatif de Firebox X Edge et ne doivent être comprises dans aucune des plages d’adresses DHCP attribuées par Edge. Les ordinateurs distants font appel à ces adresses IP pour se connecter à Firebox X Edge. 12. Cliquez sur Envoyer. À propos des fichiers de configuration du client Mobile VPN Mobile VPN with IPSec permet à l’administrateur de Firebox X Edge de contrôler les profils de l’utilisateur final. Faites appel à l’interface de configuration Web d’Edge pour définir le nom de l’utilisateur final et créer un fichier de configuration client, ou profil, portant l’extension .wgx. Ce fichier contient la clé partagée, l’identification de l’utilisateur, les adresses IP et les paramètres utilisés pour créer un tunnel sécurisé entre l’ordinateur distant et Edge. Il est chiffré avec une clé composée de huit caractères au moins qui doit être connue de l’administrateur et de l’utilisateur distant. Lorsque le client distant importe le fichier .wgx, la clé sert à déchiffrer le fichier à utiliser dans le logiciel client. Firebox X Edge crée un fichier .wgx lorsque le compte d’un utilisateur de Firebox est configuré pour Mobile VPN. Pour verrouiller les profils d’utilisateurs itinérants et les définir en lecture seule, voir Configurer les paramètres globaux du client Mobile VPN with IPSec. 282 Firebox X Edge e-Series À propos de Mobile VPN with IPSec Configurer les paramètres globaux du client Mobile VPN with IPSec Certains paramètres du client Mobile VPN s’appliquent à toutes les connexions Mobile VPN with IPSec de Firebox X Edge. Sélectionnez VPN > Mobile VPN pour définir ces options. Définir la stratégie de sécurité du client Mobile VPN with IPSec en lecture seule Activez cette case à cocher pour définir le fichier .wgx en lecture seule et empêcher l’utilisateur de modifier le fichier de stratégie de sécurité. Adaptateur virtuel Le paramètre par défaut est Désactivé. Ne le modifiez pas. Comme le client Mobile VPN with IPSec utilise toujours un adaptateur virtuel, ne modifiez pas le paramètre Adaptateur virtuel. Ce paramètre s’applique uniquement aux versions Mobile User VPN antérieures à 10.0. Les versions logicielles 10.0 et ultérieures de Mobile VPN with IPSec utilisent toujours un adaptateur virtuel, quelle que soit l’option sélectionnée dans ce champ. Paramètres WINS/DNS pour VPN Mobile with IPSec Les clients Mobile VPN utilisent les adresses de serveurs partagés Windows Internet Naming Service (WINS) et Domain Name System (DNS). DNS change les noms d’hôtes en adresses IP, tandis que WINS change les noms NetBIOS en adresses IP. L’interface approuvée d’Edge doit avoir accès à ces serveurs. Adresse IP du serveur DNS Entrez une adresse IP de serveur DNS pour que DNS puisse modifier les noms d’hôtes en adresses IP. Adresse IP du serveur WINS Entrez une adresse IP de serveur WINS pour que WINS puisse modifier les noms NetBIOS en adresses IP. Guide de l’utilisateur 283 À propos de Mobile VPN with IPSec Télécharger le fichier .wgx de l’utilisateur Firebox X Edge crée un fichier de configuration client (.wgx) Mobile VPN with IPSec pour chaque utilisateur de Firebox autorisé. Pour télécharger le fichier .wgx d’un utilisateur : 1. Connectez-vous à la page État du système. Dans la barre d’adresses du navigateur, entrez https://, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1. 2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox. 3. Sous Fichiers de configuration du client Mobile VPN with IPSec sécurisés, sélectionnez le fichier .wgx à télécharger en cliquant sur le lien username.wgx où username est le nom de l’utilisateur de Firebox. 4. Lorsque vous y êtes invité, enregistrez le fichier .wgx sur votre ordinateur. Distribuer les logiciels et les profils WatchGuard conseille de distribuer les profils des utilisateurs finaux par e-mail chiffré ou toute autre méthode sécurisée. Les éléments suivants doivent être installés sur chaque ordinateur client : Package d’installation logicielle Les packages figurent sur le site Web des services WatchGuard LiveSecurity à l’adresse suivante : http://www.watchguard.com/support. Utilisez vos nom d’utilisateur et mot de passe des services LiveSecurity pour vous connecter au site. Cliquez sur le lien Latest Software puis sur Add-ons/Upgrades à gauche et cliquez sur le lien Mobile VPN with IPSec. Profil de l’utilisateur final Ce fichier contient le nom d’utilisateur, la clé partagée et les paramètres qui permettent à un ordinateur distant de se connecter en toute sécurité sur Internet à un réseau privé protégé. Pour plus d’informations sur l’obtention du profil à partir d’Edge, voir Télécharger le fichier .wgx de l’utilisateur. Documentation utilisateur La documentation aide l’utilisateur distant à installer le client Mobile VPN et à importer le fichier de configuration. Elle est disponible à la rubrique À propos du client Mobile VPN with IPSec. Clé partagée Pour importer le profil de l’utilisateur final, l’utilisateur est invité à entrer une clé partagée. Cette clé déchiffre le fichier et importe la stratégie de sécurité dans le client Mobile VPN. Elle est définie lorsque vous autorisez le compte de l’utilisateur de Firebox à utiliser Mobile VPN with IPSec. La clé partagée, le nom d’utilisateur et le mot de passe sont des informations confidentielles. Pour des raisons de sécurité, il est déconseillé d’envoyer ces informations par e-mail. Comme l’envoi par e-mail n’est pas sécurisé, un utilisateur non autorisé peut intercepter ces informations et les utiliser pour accéder à votre réseau interne. Par conséquent, communiquez-les oralement ou faites appel à toute autre méthode empêchant les personnes non autorisées de les intercepter. 284 Firebox X Edge e-Series À propos de Mobile VPN with IPSec À propos du client Mobile VPN with IPSec Le client WatchGuard Mobile VPN with IPSec est installé sur l’ordinateur d’un utilisateur qui souhaite se connecter à distance. Celui-ci utilise une connexion Internet standard et active le client Mobile VPN. Le client Mobile VPN crée ensuite un tunnel chiffré vers vos réseaux approuvés et facultatifs protégés par WatchGuard Firebox. Le client Mobile VPN permet d’accéder à distance à vos réseaux internes sans compromettre leur sécurité. Configurations logicielles requises pour le client Avant d’installer le client, assurez-vous de prendre connaissance des configurations logicielles requises et des recommandations suivantes. Vous devez configurer Firebox de sorte qu’il fonctionne avec Mobile VPN with IPSec. Si ce n’est déjà fait, lisez les rubriques concernant la configuration de Firebox avec Mobile VPN. Vous pouvez installer le logiciel client Mobile VPN with IPSec sur n’importe quel ordinateur exécutant Windows 2000 Professionnel, XP (32 bits) ou Windows Vista (32 ou 64 bits). Avant d’installer le logiciel client, vérifiez qu’aucun autre logiciel client de VPN mobile IPSec n’est déjà installé sur l’ordinateur distant. De plus, désinstallez le ou les logiciels de pare-feu de bureau (autre(s) que les logiciels pare-feu Microsoft) sur chaque ordinateur distant. Si l’ordinateur client fonctionne sous Windows XP, connectez-vous à l’aide d’un compte disposant de droits d’administrateur pour installer le logiciel client Mobile VPN et pour importer le fichier de configuration .wgx. Une fois le client installé et configuré, vous n’avez plus besoin de droits d’administrateur. Si l’ordinateur client fonctionne sous Windows Vista, connectez-vous à l’aide d’un compte disposant de droits d’administrateur pour installer le logiciel client Mobile VPN. Une fois le client installé, vous n’avez plus besoin de droits d’administrateur pour importer le fichier .wgx. Il est conseillé de vérifier que tous les services packs disponibles sont installés avant d’installer le logiciel client Mobile VPN. Les paramètres WINS et DNS du client Mobile VPN sont contenus dans le profil client que vous importez lorsque vous configurez votre client Mobile VPN. Il est conseillé de ne pas modifier la configuration des paramètres du client Mobile VPN qui ne sont pas décrits explicitement dans cette documentation. Guide de l’utilisateur 285 À propos de Mobile VPN with IPSec Importer le profil d’utilisateur final Lorsque l’ordinateur redémarre, la boîte de dialogue WatchGuard Mobile VPN Connection Monitor s’ouvre. Si le logiciel démarre pour la première fois après son installation, vous voyez apparaître le message : Aucun profil pour l’accès à distance VPN. Souhaitez-vous utiliser l’Assistant de configuration pour générer un profil ? Cliquez sur Non. Désactivez la fonctionnalité de démarrage automatique de Connection Monitor, sélectionnez Windows > Démarrage automatique > Pas de démarrage automatique. Pour importer un fichier .wgx de configuration de Mobile VPN : 1. Sélectionnez Configuration > Importation de profil. L’Assistant Profile Import Wizard démarre. 2. Dans l’écran Sélectionner le profil d’utilisateur, parcourez l’arborescence jusqu’à l’emplacement du fichier de configuration .wgx fourni par votre administrateur système. Cliquez sur Suivant. 3. Dans l’écran Déchiffrer le profil utilisateur, entrez la clé partagée ou le mot de passe fourni par votre administrateur système. La clé partagée respecte la casse. Cliquez sur Suivant. 4. Dans l’écran Écraser le profil ou en ajouter un, vous pouvez écraser un profil en conservant le même nom. Cela peut être utile si votre administrateur réseau vous fournit un nouveau fichier .wgs et que vous devez le réimporter. Cliquez sur Suivant. 5. Si vous vous connectez à un périphérique Firebox X Edge, cliquez sur Terminer. Si vous vous connectez à un périphérique Firebox exécutant un logiciel Fireware, cliquez sur Suivant. 6. Dans l’écran Authentification, indiquez si vous voulez entrer le nom d’utilisateur et le mot de passe que vous utilisez pour authentifier le tunnel VPN. Si vous laissez ces champs vides, vous serez invité à les renseigner chaque fois que vous vous connecterez au VPN. Si vous entrez le nom d’utilisateur et le mot de passe ici, Firebox les enregistre de sorte que vous n’aurez plus besoin de les entrer à chaque connexion. Toutefois, cela présente un risque de sécurité. L’autre option consiste à entrer votre nom d’utilisateur et à laisser le champ Mot de passe vide. Cela permet de réduire la quantité de données nécessaire à la connexion VPN. Cliquez sur Suivant. Si le mot de passe que vous utilisez est votre mot de passe sur un serveur Active Directory ou LDAP et que vous décidez de l’enregistrer, le mot de passe n’est plus valide s’il est modifié sur le serveur d’authentification. 7. Cliquez sur Terminer. Vous pouvez désormais utiliser Mobile VPN with IPSec sur l’ordinateur. Sélectionner un certificat et entrer le PIN Si vous utilisez des certificats pour l’authentification, vous devez sélectionner le certificat approprié pour la connexion. 1. Sélectionnez Configuration > Certificats. 2. Dans l’onglet Certificat utilisateur, sélectionnez Depuis le fichier PKS#12 dans la liste déroulante Certificat. 3. En regard de la zone de texte Nom du fichier PKS#12, cliquez sur le bouton et parcourez l’arborescence jusqu’à l’emplacement du fichier .p12 fourni par votre administrateur réseau. Cliquez sur OK. 4. Sélectionnez Connexion > Entrer le PIN. 5. Entrez le PIN et cliquez sur OK. Le PIN correspond au mot de passe entré pour chiffrer le fichier lorsque vous exécutez l’Assistant Add Mobile User VPN Wizard. 286 Firebox X Edge e-Series À propos de Mobile VPN with IPSec Désinstaller le client Mobile VPN Si vous devez désinstaller le client Mobile VPN, il est conseillé d’utiliser l’outil Ajout/suppression de programmes de Windows. Lorsque vous installez le logiciel client Mobile VPN pour la première fois et que vous souhaitez le mettre à niveau, vous n’êtes pas obligé de le désinstaller. Avant de commencer, déconnectez tous les tunnels et fermez Mobile VPN Connection Monitor. Ensuite, sur le bureau Windows : 1. Cliquez sur Démarrer > Paramètres > Panneau de configuration. Le Panneau de configuration s’affiche. 2. Double-cliquez sur l’icône Ajout/Suppression de programmes. La fenêtre Ajouter ou supprimer des programmes s’affiche. 3. Sélectionnez WatchGuard Mobile VPN et cliquez sur Modifier/Supprimer. L’Assistant InstallShield s’affiche. 4. Cliquez sur Supprimer puis sur Suivant. La boîte de dialogue de confirmation de la suppression du fichier s’affiche. 5. Cliquez sur OK pour supprimer tous les composants. Si vous n’activez pas la case de suppression de toutes les données privées à la fin de la procédure de désinstallation, les paramètres de connexion de cette installation seront réutilisés lors de la prochaine installation du logiciel Mobile VPN. Connecter et déconnecter le client Mobile VPN Le logiciel client WatchGuard Mobile VPN with IPSec établit une connexion sécurisée entre un ordinateur distant et votre réseau protégé sur Internet. Pour activer cette connexion, vous devez vous connecter à Internet et utiliser le client Mobile VPN pour établir la connexion au réseau protégé. Connectez-vous à Internet par le biais d’un réseau distant ou local. Respectez les instructions suivantes ou sélectionnez votre profil, connectez-vous puis déconnectez-vous en cliquant avec le bouton droit sur l’icône Mobile VPN de la barre d’outils Windows. 1. Sur le bureau Windows, sélectionnez Démarrer > Tous les programmes > WatchGuard Mobile VPN > Mobile VPN Monitor. 2. Dans la liste déroulante Profil, sélectionnez le nom du profil que vous avez créé pour les connexions Mobile VPN à Firebox. Cliquez sur Connecter. Guide de l’utilisateur 287 À propos de Mobile VPN with IPSec Déconnecter le client Mobile VPN Dans Mobile VPN Monitor, cliquez sur Déconnecter. Contrôler le comportement de connexion Pour chacun des profils que vous importez, vous pouvez définir le comportement du logiciel client Mobile VPN en cas d’inactivité du tunnel VPN pour une raison ou une autre. Pour ce faire : 1. Depuis WatchGuard Mobile VPN Connection Monitor, sélectionnez Configuration > Paramètres de profil. 2. Sélectionnez le nom du profil et cliquez sur Configurer. 3. Dans le volet gauche, sélectionnez Gestion des lignes. 288 Firebox X Edge e-Series À propos de Mobile VPN with IPSec 4. Dans la liste déroulante Mode de connexion, définissez un comportement de connexion pour ce profil. o Manuel - Si vous sélectionnez le mode de connexion manuel, le client n’essaie pas de redémarrer automatiquement le tunnel VPN s’il devient inactif. Pour le redémarrer, vous devez cliquer sur le bouton Connecter de Connection Monitor ou cliquer avec le bouton droit sur l’icône Mobile VPN dans la barre d’outils du bureau de Windows, puis cliquer sur Connecter. o Automatique - Si vous sélectionnez le mode de connexion automatique, le client tente de lancer la connexion dès que votre ordinateur envoie du trafic à une destination accessible depuis le VPN. Le client tente également de redémarrer automatiquement le tunnel VPN en cas d’inactivité. o Variable - Si vous sélectionnez le mode de connexion variable, le client tente de redémarrer automatiquement le tunnel VPN tant que vous ne cliquez pas sur Déconnecter. Le client ne tente pas de redémarrer le tunnel VPN jusqu’à ce que vous cliquiez sur Connecter. 5. Cliquez sur OK. Icône du client Mobile User VPN L’icône Mobile User VPN qui figure dans la barre d’état système du bureau Windows affiche l’état du pare-feu de bureau complet, du pare-feu de liaison et du réseau VPN. Vous pouvez cliquer sur l’icône avec le bouton droit pour connecter/déconnecter facilement votre Mobile VPN et savoir quel profil est utilisé. Afficher les messages du journal Mobile VPN Vous pouvez utiliser le fichier journal du client Mobile VPN pour résoudre les problèmes de négociation qui se produisent lors de la connexion du client VPN. Pour accéder aux messages du journal Mobile VPN, sélectionnez Journal > Fichier journal dans Connection Monitor. La boîte de dialogue Fichier journal s’affiche. Guide de l’utilisateur 289 À propos de Mobile VPN with IPSec Sécuriser votre ordinateur à l’aide du pare-feu Mobile VPN Le client WatchGuard Mobile VPN with IPSec comprend les deux pare-feu suivants : Pare-feu de liaison Le pare-feu de liaison est par défaut désactivé. S’il est activé, votre ordinateur rejette tous les paquets qu’il reçoit d’autres ordinateurs. Vous pouvez choisir d’activer le pare-feu de liaison en permanence ou uniquement lorsqu’un tunnel Mobile VPN est actif. Pare-feu de bureau Ce pare-feu complet peut surveiller l’ensemble des connexions depuis et vers votre ordinateur. Vous pouvez définir des réseaux connus et des règles d’accès distinctes pour les réseaux connus et inconnus. Activer le pare-feu de liaison Lorsque le pare-feu de liaison est activé, le logiciel client Mobile VPN abandonne tous les paquets envoyés par d’autres hôtes à votre ordinateur. Seuls les paquets envoyés à votre ordinateur en réponse à ceux qu’il a émis sont acceptés. Par exemple, si vous envoyez une requête de votre ordinateur à un serveur HTTP via le tunnel, les réponses HTTP sont autorisées. Toute requête HTTP qu’un hôte essaie d’envoyer à votre ordinateur via le tunnel est refusée. Pour activer le pare-feu de liaison : 1. Dans WatchGuard Mobile VPN Connection Monitor, sélectionnez Configuration > Paramètres de profil. 2. Sélectionnez le profil pour lequel vous souhaitez activer le pare-feu de liaison et choisissez Configurer. 3. Dans le volet gauche, sélectionnez Pare-feu de liaison. 4. Dans la liste déroulante Filtrage de paquets avec état, sélectionnez à la connexion ou toujours. Si vous sélectionnez l’option à la connexion, le pare-feu de liaison ne fonctionne que lorsque le tunnel VPN est actif pour ce profil. Si vous sélectionnez toujours, le pare-feu de liaison reste actif, que le tunnel VPN le soit ou non. 5. Cliquez sur OK. 290 Firebox X Edge e-Series À propos de Mobile VPN with IPSec À propos du pare-feu de bureau Lorsque vous activez une règle dans vos configurations de pare-feu, vous devez définir le type de réseau auquel la règle s’applique. Dans le client Mobile VPN, il y a trois différents types de réseau : Les réseaux VPN Réseaux définis pour le client dans le profil client qu’ils importent. Les réseaux inconnus Tout réseau non défini dans le pare-feu. Les réseaux connus Tout réseau défini dans le pare-feu en tant que réseau connu. Pour plus d’informations sur l’activation du pare-feu de bureau, voir Activer le pare-feu de bureau. Activer le pare-feu de bureau Pour activer le pare-feu de bureau (sécurité complète) : 1. Depuis WatchGuard Mobile VPN Connection Monitor, sélectionnez Configuration > Paramètres de profil. Par défaut, le pare-feu est désactivé. 2. Lorsque vous activez le pare-feu, vous devez choisir entre les deux modes proposés : o Paramètres de base – Verrouillé : lorsque vous activez ce mode, le pare-feu refuse toutes les connexions depuis ou vers votre ordinateur sauf si vous avez créé une règle qui autorise spécifiquement telle ou telle connexion. o Paramètres de base – Ouvert : lorsque vous activez ce mode, le pare-feu autorise toutes les connexions sauf si vous avez créé une règle qui refuse spécifiquement telle ou telle connexion. 3. Cliquez sur OK. Une fois le pare-feu de bureau activé, configurez ses paramètres. Pour plus d’informations sur la définition des réseaux connus et la création de règles de pare-feu, voir Définir des réseaux connus et Créer des règles de pare-feu. Guide de l’utilisateur 291 À propos de Mobile VPN with IPSec Définir des réseaux connus Vous pouvez générer un ensemble de règles de pare-feu pour autoriser le trafic provenant de certains réseaux connus. Par exemple, pour utiliser le client Mobile VPN sur un réseau local où votre ordinateur doit être accessible à tous les autres ordinateurs du réseau, il vous suffit d’ajouter l’adresse réseau du LAN en question en tant que réseau connu. Cela permet de séparer les règles de pare-feu pour ce LAN des règles de pare-feu que vous créez pour les connexions à Internet et aux réseaux VPN distants. 1. Dans la boîte de dialogue Paramètres de pare-feu, cliquez sur l’onglet Réseaux connus. 2. Cliquez sur Nouveau pour ajouter un réseau connu. La fonctionnalité de détection automatique de réseaux connus n’est pas active dans cette version du logiciel client Mobile VPN with IPSec. Créer des règles de pare-feu Vous pouvez créer des exceptions aux règles de pare-feu que vous avez définies lorsque vous avez activé le pare-feu dans l’onglet Règles de pare-feu de la boîte de dialogue Paramètres de pare-feu. Par exemple, lorsque vous avez activé le pare-feu, si vous avez sélectionné Paramètres de base – Verrouillé, les règles créées par cette définition autorisent le trafic. Si vous avez sélectionné Paramètres de base – Ouvert, les règles créées par cette définition rejettent le trafic. Les règles de pare-feu peuvent inclure plusieurs numéros de port pour un seul protocole. Activez ou désactivez les cases à cocher situées en dessous de la zone Paramètres d’affichage pour afficher ou masquer les catégories de règles de pare-feu. Pour créer une règle, cliquez sur Nouveau. Dans les quatre onglets de la boîte de dialogue Entrée de la règle du pare-feu, définissez le trafic que vous souhaitez contrôler : 292 Onglet Général Onglet Distant Onglet ocal Onglet Applications Firebox X Edge e-Series À propos de Mobile VPN with IPSec Onglet Général Vous pouvez définir les propriétés de base de vos règles de pare-feu dans l’onglet Général de la boîte de dialogue Entrée de la règle du pare-feu. Nom de règle Entrez un nom représentatif de cette règle. Par exemple, vous pouvez créer une règle intitulée « Navigation sur Internet » qui inclut le trafic sur les ports TCP 80 (HTTP), 8080 (HTTP auxiliaire) et 443 (HTTPS). État Pour désactiver une règle, sélectionnez Désactivé. De nouvelles règles sont activées par défaut. Direction Pour appliquer la règle au trafic émis par votre ordinateur, sélectionnez sortant. Pour appliquer la règle au trafic envoyé à votre ordinateur, sélectionnez entrant. Pour appliquer la règle à tout le trafic, sélectionnez bidirectionnel. Attribuer la règle à Activez les cases à cocher en regard des types de réseaux auxquels s’applique cette règle. Protocole Utilisez cette liste déroulante pour sélectionner le type de trafic réseau que vous souhaitez contrôler. Guide de l’utilisateur 293 À propos de Mobile VPN with IPSec Onglet Local Vous pouvez définir tous les ports et adresses IP locaux contrôlés par votre pare-feu dans l’onglet Local de la boîte de dialogue Entrée de la règle du pare-feu. Quelle que soit la règle sélectionnée, il est conseillé de configurer le paramètre Adresses IP locales pour activer la case d’option Toute adresse IP. Si vous configurez une stratégie entrante, vous pouvez ajouter les ports qu’elle doit contrôler dans les paramètres Ports locaux. Pour contrôler plusieurs ports à l’aide de la même stratégie, sélectionnez Plusieurs ports ou plages. Cliquez sur Nouveau pour ajouter chaque port. Si vous activez la case d’option Adresse IP explicite, n’oubliez pas de spécifier une adresse IP. L’adresse IP 0.0.0.0. n’est pas acceptée. 294 Firebox X Edge e-Series À propos de Mobile VPN with IPSec Onglet Distant Vous pouvez définir tous les ports et adresses IP distants contrôlés par cette règle dans l’onglet Distant de la boîte de dialogue Entrée de la règle du pare-feu. Par exemple, si votre pare-feu refuse l’ensemble du trafic et que vous voulez créer une règle autorisant les connexions POP3 sortantes, ajoutez l’adresse IP de votre serveur POP3 comme Adresse IP explicite dans la section Adresses IP distantes. Ensuite, dans la section Ports distants, utilisez le port 110 comme Port explicite pour cette règle. Si vous activez la case d’option Adresse IP explicite, n’oubliez pas de spécifier une adresse IP. L’adresse IP 0.0.0.0. n’est pas acceptée. Guide de l’utilisateur 295 À propos de Mobile VPN with IPSec Onglet Applications Vous pouvez restreindre votre règle de pare-feu de sorte qu’elle s’applique uniquement à une application spécifique. 1. Dans l’onglet Applications de la boîte de dialogue Entrée de la règle du pare-feu, activez la case à cocher Associer une règle à l’application ci-dessous. 2. Cliquez sur Sélectionner une application pour rechercher les applications disponibles sur votre ordinateur local. 3. Cliquez sur OK. 296 Firebox X Edge e-Series 21 À propos de Mobile VPN with SSL Le client WatchGuard Mobile VPN with SSL est installé sur l’ordinateur d’un utilisateur pour lui permettre de travailler partout (à son domicile ou en déplacement). Il lui suffit d’ouvrir une connexion Internet standard et d’activer le client Mobile VPN. Le client Mobile VPN crée alors un tunnel chiffré vers vos réseaux approuvé et facultatif qui sont protégés par WatchGuard Firebox. Le client Mobile VPN vous permet de fournir un accès distant à vos réseaux internes sans compromettre la sécurité. Le client Mobile VPN with SSL fait appel au protocole SSL (Secure Sockets Layer) pour sécuriser la connexion. Avant de commencer Assurez-vous que votre client correspond aux Spécifications du client. Déterminez si le trafic Internet des utilisateurs distants doit être envoyé via le tunnel VPN à Firebox. Pour plus d’informations, voir Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN. Étapes nécessaires à la configuration des tunnels 1. Configurer Firebox pour Mobile VPN with SSL. Ce processus crée automatiquement un groupe d’authentification Firebox appelé SSLVPN-Users. Il crée également des fichiers à télécharger par les utilisateurs. 2. Ajouter des utilisateurs distants aux groupes d’authentification. Si vous souhaitez utiliser Firebox en tant que serveur d’authentification, ajoutez des utilisateurs au groupe SSLVPN-Users. Si vous souhaitez utiliser un serveur d’authentification tierce, utilisez les instructions figurant dans la documentation du fournisseur. 3. Invitez vos utilisateurs distants à Télécharger le logiciel client de votre périphérique Firebox. 4. Invitez vos utilisateurs distants à Installer le logiciel client sur leurs ordinateurs. Les utilisateurs distants peuvent désormais Se connecter à Firebox à l’aide du client Mobile VPN with SSL. Options des tunnels Mobile VPN with SSL Si votre réseau a des besoins spécifiques en matière de sécurité, vous pouvez modifier les paramètres avancés des tunnels Mobile VPN with SSL. Guide de l’utilisateur 297 À propos de Mobile VPN with SSL Spécifications du client Le produit WatchGuard Mobile VPN with SSL fournit un client VPN à tous les périphériques Firebox X e-Series. En revanche, il n’offre pas la sécurité des points de terminaison. Vous pouvez installer le logiciel client Mobile VPN with SSL sur des ordinateurs exécutant les systèmes d’exploitation suivants : Microsoft Windows Vista (32 bits) Microsoft Windows XP (32 bits) Microsoft Windows 2000 Mac OS X (de la version 10.3 jusqu’à la version Leopard) Si l’ordinateur client exécute Windows Vista ou Windows XP, vous devez vous connecter via un compte disposant de droits d’administrateur pour installer le logiciel client Mobile VPN. En revanche, vous n’avez pas besoin des droits d’administrateur pour vous connecter, une fois le client installé et configuré. Si l’ordinateur client exécute Mac OS X, vous n’avez pas besoin des droits d’administrateur pour installer ou exécuter le client. Activer Mobile VPN with SSL pour un utilisateur Firebox Lorsque vous activez Mobile VPN with SSL sur Edge, vous devez activer l’accès pour chaque utilisateur distant qui utilise le protocole SSL pour se connecter à Edge. 1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du navigateur, ainsi que l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox. La page des utilisateurs de Firebox s’affiche. 3. Sous Comptes d’utilisateurs locaux, cliquez sur le bouton Modifier pour modifier un compte d’utilisateur existant ou sur le bouton Ajouter pour ajouter un nouveau compte d’utilisateur. 4. Dans la page Nouveau ou Modifier qui s’affiche, activez la case à cocher Autoriser l’accès distant avec Mobile VPN with SSL. 298 Firebox X Edge e-Series À propos de Mobile VPN with SSL Activer Mobile VPN with SSL pour un groupe Lorsque vous activez Mobile VPN with SSL sur votre système Edge, assurez-vous d’activer l’accès pour chaque utilisateur ou groupe distant qui utilise SSL pour se connecter à Edge. Si vous utilisez l’authentification étendue, vous devez configurer le nom de groupe pour qu’il corresponde exactement au nom de groupe défini sur votre serveur d’authentification. Firebox prend en charge l’authentification étendue vers un serveur d’authentification LDAP/Active Directory ou RADIUS. 1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du navigateur, ainsi que l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox > Nouveau groupe. La page Nouveau groupe s’affiche. 3. Dans la zone de texte Nom de compte, tapez le nom du groupe. Si vous utilisez l’authentification étendue vers un serveur d’authentification LDAP, Active Directory ou RADIUS, assurez-vous de taper exactement le même nom de groupe que celui qui a été défini pour le serveur d’authentification. 4. Dans le champ Description, entrez la description de l’utilisateur. Uniquement pour information. L’utilisateur n’a pas besoin de cette description au cours de l’authentification 5. Dans la liste déroulante Accès administratif, définissez le niveau auquel les membres de ce groupe peuvent afficher et modifier les propriétés de configuration de Firebox X Edge : Aucun, Lecture seule ou Complet. 6. Dans le champ Délai d’attente maximal de session, définissez la durée maximale pendant laquelle les ordinateurs de ce groupe peuvent envoyer du trafic au réseau externe ou par le biais d’un tunnel Branch Office VPN. Lorsque ce champ est défini sur (0) minute, il n’y a aucun délai d’attente de session et l’utilisateur peut rester connecté pendant la durée de son choix. Guide de l’utilisateur 299 À propos de Mobile VPN with SSL 7. Dans le champ Délai d’inactivité de session, définissez la durée pendant laquelle les ordinateurs de ce groupe peuvent rester authentifiés lorsqu’ils sont inactifs (lorsqu’ils ne transmettent aucun trafic au réseau externe, via le tunnel Branch Office VPN, ou au périphérique Firebox X Edge lui-même). Une valeur de zéro (0) minute signifie qu’il n’y a pas de délai d’inactivité. 8. Si vous souhaitez que les utilisateurs de ce groupe disposent d’un accès à Internet, activez la case à cocher Autoriser l’accès au réseau externe. 9. Si vous souhaitez que les ordinateurs de ce groupe disposent d’un accès aux ordinateurs situés de l’autre côté d’un tunnel Branch Office VPN, activez la case à cocher Autoriser l’accès aux tunnels VPN manuels et gérés. 10. Si vous souhaitez que les utilisateurs de ce groupe puissent utiliser Mobile VPN with PPTP pour un accès distant sécurisé à Edge, activez la case à cocher Autoriser l’accès distant avec Mobile VPN with PPTP. 11. Si vous souhaitez que les utilisateurs de ce groupe puissent utiliser Mobile VPN with SSL pour un accès distant sécurisé à Edge, activez la case à cocher Autoriser l’accès distant avec Mobile VPN with SSL. 12. Cliquez sur Envoyer. Activer Edge pour utiliser Mobile VPN with SSL 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est https://192.168.111.1 2. Dans la barre de navigation, sélectionnez VPN > Mobile VPN with SSL. La page VPN SSL s’affiche. 3. Pour activer Mobile VPN with SSL, activez la case à cocher Activer Mobile VPN with SSL. 4. Configurez les paramètres dans les onglets Général et Avancé. Chaque paramètre est décrit ci-dessous. 300 Firebox X Edge e-Series À propos de Mobile VPN with SSL Onglet Général de la page VPN SSL Passerelle La passerelle est l’adresse IP publique à laquelle les clients Mobile VPN se connectent. Vous devez taper une adresse IP attribuée à l’interface externe de votre système Edge. Si vous avez configuré plusieurs adresses IP pour votre interface externe, ou si vous avez configuré le basculement WAN avec le port WAN2 de votre système Edge, ajoutez cette adresse IP dans la zone de texte Secondaire. Edge tentera de se connecter à l’adresse IP secondaire s’il ne parvient pas à se connecter à l’adresse IP principale. Si vous utilisez le service dynDNS, car votre périphérique Firebox possède une adresse IP dynamique, vous pouvez taper le nom de domaine au lieu d’une adresse IP dans ces champs. Routes Sélectionnez Forcer tout le trafic à passer par le tunnel si vous souhaitez que tout le trafic client soit acheminé via le tunnel Mobile VPN. Si cette case à cocher est désactivée, seul le trafic envoyé aux réseaux approuvé et facultatif sera acheminé via le tunnel. Plage d’adresses IP virtuelles Lorsqu’un utilisateur Mobile VPN se connecte au système Edge, ce dernier doit attribuer à l’ordinateur de l’utilisateur une adresse IP disponible à partir d’un réseau situé derrière Edge. Tapez la première adresse IP dans le pool d’adresses pouvant être utilisé par Edge pour attribuer des connexions Mobile VPN dans le champ Début du pool d’adresses IP. Edge attribue cette adresse IP au premier client Mobile VPN with SSL qui se connecte. Edge incrémente l’adresse IP de 1 et attribue une adresse à chaque client Mobile VPN suivant qui se connecte. Si la plage d’adresses IP virtuelles que vous spécifiez provient du réseau approuvé, les clients Mobile VPN with SSL sont reliés au réseau approuvé. Si la plage d’adresses IP virtuelles que vous spécifiez provient du réseau facultatif, les clients sont reliés au réseau facultatif. Guide de l’utilisateur 301 À propos de Mobile VPN with SSL Onglet Avancé de la page VPN SSL Authentification Dans la liste déroulante Authentification, sélectionnez l’algorithme d’authentification à utiliser. Chiffrement Dans la liste déroulante Chiffrement, sélectionnez l’algorithme de chiffrement à utiliser. Protocole et port Par défaut, le trafic SSL utilise le protocole TCP sur le port 443. La plupart des utilisateurs conservent ce paramètre. Vous devez configurer Mobile VPN with SSL pour utiliser un autre port et protocole si vous avez une stratégie de pare-feu qui autorise le trafic HTTPS entrant. Edge ne peut pas appliquer la NAT statique pour autoriser le trafic HTTPS entrant et les connexions Mobile VPN with SSL sur le même port. Conservation d’activité L’intervalle d’activité détermine la fréquence à laquelle Edge envoie le trafic dans le tunnel pour conserver ce dernier en activité en cas d’absence de trafic dans le tunnel. En cas de non réponse avant l’expiration du délai d’attente, le tunnel est abandonné. Serveurs DNS et WINS Le service DNS (Domain Name Service) change les noms d’hôtes en adresses IP. WINS résout les noms NetBIOS en adresses IP. Par défaut, les utilisateurs VPN SSL qui se connectent à Edge utilisent les serveurs WINS et DNS identifiés sur la page Réseau > Approuvé de votre configuration Edge. Si vous souhaitez spécifier un autre serveur WINS ou DNS, ajoutez-le dans les zones de texte Adresse IP du serveur DNS et Adresse IP du serveur WINS dans le bas de la page Utilisateur itinérant. Si votre fournisseur de service DNS le demande, spécifiez un nom de recherche pour votre domaine. Activer la journalisation du débogage Activez cette case à cocher pour augmenter le niveau de détails des messages du journal pour Mobile VPN with SSL. Ceci peut s’avérer utile lorsque vous devez résoudre un problème. 302 Firebox X Edge e-Series À propos de Mobile VPN with SSL Télécharger le logiciel client Pour télécharger le logiciel client Mobile VPN, connectez-vous à Firebox à l’aide d’un navigateur Web. Chaque utilisateur doit entrer : https://Adresse IP d’une interface Firebox:4100/ ou https://Nom d’hôte du Firebox:4100/ Le logiciel client est également disponible dans la section Software Downloads du site Web LiveSecurity. Une fois connecté et authentifié, vous pouvez télécharger une version du logiciel client. Deux versions sont disponibles : Windows et Mac OS X. Si vous n’êtes pas défini en tant qu’utilisateur Mobile VPN with SSL, la boîte de dialogue d’authentification standard s’affiche. Une fois le logiciel client Mobile VPN téléchargé et installé, il se connecte automatiquement à Firebox pour obtenir sa configuration. À chaque fois que vous vous connecterez à Firebox, le logiciel client vérifiera les mises à jour de configuration pour s’assurer que la configuration du client est bien à jour. Guide de l’utilisateur 303 À propos de Mobile VPN with SSL À propos du client Mobile VPN with SSL Le client WatchGuard Mobile VPN with SSL est installé sur l’ordinateur d’un utilisateur pour lui permettre de travailler partout (à son domicile ou en déplacement). Il lui suffit de disposer d’une connexion Internet standard et d’activer le client Mobile VPN. Le client Mobile VPN crée alors un tunnel chiffré vers les réseaux approuvé et facultatif qui sont protégés par WatchGuard Firebox. En tant qu’utilisateur distant, vous devez effectuer les étapes suivantes pour configurer le client VPN with SSL sur votre ordinateur : 1. Télécharger le logiciel client. 2. Installer le logiciel client sur votre ordinateur. Vous pouvez désormais vous Connecter à Firebox à l’aide du client Mobile VPN with SSL. Installer le logiciel client Mobile VPN with SSL (Windows Vista et Windows XP) Une fois Mobile VPN with SSL activé sur Firebox et les utilisateurs ajoutés au groupe SSL-VPN Users, les clients distants peuvent installer le logiciel client. 1. Ouvrez un navigateur Web sur l’ordinateur client distant pour vous connecter et vous authentifier auprès de Firebox. Pour plus d’informations sur la connexion et l’authentification auprès de Firebox, voir À propos du logiciel client. 2. Cliquez sur le bouton Télécharger correspondant au fichier WG-MVPN-SSL.exe. 3. Enregistrez le fichier sur le disque dur de l’ordinateur client. Si Mobile VPN with SSL n’est pas activé sur Firebox ou si l’utilisateur ne fait pas partie du groupe SSL-VPN Users, le bouton Télécharger n’apparaît pas. 4. Double cliquez sur le fichier WG-MVPN-SSL.exe. L’Assistant Mobile VPN with SSL client Setup Wizard démarre. 5. Acceptez les paramètres par défaut de l’Assistant. 6. Si vous souhaitez ajouter une icône de Bureau ou une icône de Lancement rapide, activez la case à cocher correspondante dans l’Assistant. Les icônes de Bureau ou de Lancement rapide ne sont pas obligatoires. L’icône du client est ajoutée au menu Démarrer Windows. 7. Terminez puis quittez l’Assistant. Il est inutile de redémarrer l’ordinateur pour exécuter le logiciel client. 304 Firebox X Edge e-Series À propos de Mobile VPN with SSL Installer le logiciel client Mobile VPN with SSL (Mac OS X) Une fois Mobile VPN with SSL activé sur Firebox et les utilisateurs ajoutés au groupe SSL-VPN Users, les clients distants peuvent installer le logiciel client. 1. Ouvrez un navigateur Web sur l’ordinateur client distant pour vous connecter et vous authentifier auprès de Firebox. Pour plus d’informations sur la connexion et l’authentification auprès de Firebox, voir À propos du logiciel client. 2. Cliquez sur le bouton Télécharger correspondant au fichier WG-MVPN-SSL.dmg. 3. Enregistrez le fichier sur le disque dur de l’ordinateur client. Si Mobile VPN with SSL n’est pas activé sur Firebox ou si l’utilisateur ne fait pas partie du groupe SSL-VPN Users, le bouton Télécharger n’apparaît pas. 4. Double cliquez sur le fichier WG-MVPN-SSL.dmg. Un volume portant le nom WatchGuard Mobile VPN est créé. 5. Dans le volume WatchGuard Mobile VPN, double-cliquez sur WatchGuard Mobile VPN with SSL Installer V15.mpkg. Le programme d’installation du client démarre. 6. Acceptez les paramètres par défaut du programme d’installation. 7. Terminez puis quittez le programme d’installation. Il est inutile de redémarrer l’ordinateur pour exécuter le logiciel client. Se connecter à Firebox à l’aide du client Mobile VPN with SSL (Windows Vista et Windows XP) Une fois le client Mobile VPN with SSL installé, vous pouvez vous connecter à Firebox. 1. Utilisez l’une des trois méthodes suivantes pour démarrer le logiciel client : o Sélectionnez Démarrer > Tous les programmes > WatchGuard > Client Mobile VPN with SSL > Client Mobile VPN with SSL. o Double-cliquez sur l’icône du client Mobile VPN with SSL sur le Bureau. o Cliquez sur l’icône de Lancement rapide du client Mobile VPN with SSL. 2. Tapez les informations relatives au périphérique Firebox auquel vous vous connectez, ainsi que le nom d’utilisateur et le mot de passe de l’utilisateur. Le Serveur est l’adresse IP de l’interface externe principale de Firebox. 3. Cliquez sur Connexion. Se connecter à Firebox à l’aide du client Mobile VPN with SSL (Mac OS X) Une fois le client Mobile VPN with SSL installé, vous pouvez vous connecter à Firebox. 1. Ouvrez une fenêtre Finder et accédez à Applications > WatchGuard, puis double-cliquez sur WatchGuard Mobile VPN with SSL.app. Le logo WatchGuard s’affiche dans la barre de menus. 2. Cliquez sur l’icône et sélectionnez Connexion. 3. Tapez les informations relatives au périphérique Firebox auquel vous vous connectez, ainsi que le nom d’utilisateur et le mot de passe de l’utilisateur. Le Serveur est l’adresse IP de l’interface externe principale de Firebox. 4. Cliquez sur Connexion. Guide de l’utilisateur 305 À propos de Mobile VPN with SSL Contrôles du client Mobile VPN with SSL Lorsque le client Mobile VPN with SSL est en cours d’exécution, l’icône du logo WatchGuard est affichée dans la barre d’état du système (Win) ou sur la droite de la barre de menus (Mac). L’état de la connexion VPN est affiché dans la loupe de l’icône. Le client est en cours d’exécution, mais la connexion VPN n’est pas établie. La connexion VPN a été établie. Vous pouvez vous connecter en toute sécurité aux ressources derrière Firebox. Le client est en cours de connexion ou de déconnexion de VPN SSL. Pour afficher la liste des contrôles du client, cliquez avec le bouton droit de la souris (Win) ou cliquez (Mac) sur l’icône du logo WatchGuard. Connecter ou déconnecter Ouvrez ou fermez la connexion VPN SSL. Afficher les journaux Ouvre LogViewer pour déterminer quels sont les fichiers journaux disponibles. Propriétés Windows – Sélectionnez Lancer le programme au démarrage pour lancer le client au démarrage de Windows. Tapez un nombre dans la zone Niveau de journal pour modifier le niveau de détails inclus dans les journaux. Mac OS X – Affichez des informations détaillées concernant la connexion VPN SSL. Vous pouvez également définir le niveau de journal. À propos de La boîte de dialogue WatchGuard Mobile VPN s’ouvre en affichant des informations sur le logiciel client. Quitter (Windows ou Mac) Déconnectez toutes les connexions VPN SSL et arrêtez le client. 306 Firebox X Edge e-Series À propos de Mobile VPN with SSL Désinstaller le client Mobile VPN with SSL Vous pouvez utiliser le programme de désinstallation pour désinstaller le client Mobile VPN with SSL. Client Mobile VPN with SSL pour Windows Vista et Windows XP 1. Sélectionnez Démarrer > Tous les programmes > WatchGuard > Client Mobile VPN with SSL > Désinstaller le client Mobile VPN with SSL. Le programme de désinstallation du client Mobile VPN with SSL démarre. 2. Cliquez sur Oui pour supprimer le client Mobile VPN with SSL et tous ses composants. 3. Une fois la désinstallation terminée, cliquez sur OK. Client Mobile VPN with SSL pour Mac OS X 1. Ouvrez une fenêtre Finder et accédez à Applications > WatchGuard. Double-cliquez sur Désinstaller WG SSL VPN.app. 2. Cliquez sur OK dans la boîte de dialogue Avertissement. 3. Cliquez sur OK dans la boîte de dialogue Terminé. 4. Faites glisser le dossier Applications > WatchGuard vers la corbeille. Le programme de désinstallation ne peut pas se supprimer lui-même, ni le dossier dans lequel il se trouve. Si vous ne faites pas glisser le dossier vers la corbeille, il ne sera pas supprimé. Guide de l’utilisateur 307 À propos de Mobile VPN with SSL 308 Firebox X Edge e-Series