Alphorm.com Support Formation Sophos UTM les fonctionnalités avancées

15/04/2016

1

Formation Sophos UTM, Les Fonctionnalités avancées alphorm.com™©

Site : http://www.alphorm.comBlog : http://blog.alphorm.com

Djawad KASSOUSFormateur et Consultant ITIngénierie Réseaux et Systèmes

FormationSophos UTM

Les Fonctionnalités avancées

15/04/2016

2


Plan

• Présentation du formateur

• Présentation de la formation

• Contenu pédagogique

• Plan de la formation

• Public concerné

• Compétences requises

• Ressources et liens utiles

15/04/2016

3


Présentation du formateur

Mohamed Djawad KASSOUS

• Consultant IT : Dimensionnement, Design, Déploiement, Migration, …

Infrastructure Windows Server

Messagerie MS Exchange 2010/2013/Online (O365)

Virtualisation : MS Hyper-V, VMware vSphere

Sécurité des réseaux : Pare-feu, UTM, VPN, Routeurs, …

Backup et Stockage : Symantec Backup Exec (Veritas BE), NAS et SAN

• [email protected]

• dz.linkedin.com/in/dkassous

• viadeo.com/fr/profile/djawad.mohamed.kassous

• http://www.alphorm.com/formateur/Djawad-KASSOUS

15/04/2016

4


Contenu pédagogique

• Concept de base et principe de fonctionnement

• Détails techniques (Datasheets)

• Démonstration réelle et Cas pratiques (Labs)

• Astuces et bonnes pratiques

• Validation des acquis (QCM)

• Support de cours

15/04/2016

5


Plan de la formation précédente

� Environnement de travail

� Les fondamentaux

� Installation et vue d'ensemble

� Configuration du système

� Gestion des objets

� Interfaces et Routage

� Authentification des utilisateurs

� Services réseau

� Protection des réseaux

15/04/2016

6


Plan de la formation

1. Introduction à la formation

2. Environnement de travail

3. Les fondamentaux

4. Protection Web

5. Email Protection

6. Endpoint Protection

7. Wireless Protection

8. Webserver Protection

9. Gestion de RED

10. VPN site-à-site

11. Accès à distance

12. Reporting et journalisation

13. Dimensionnement et Support

14. Conclusion

15/04/2016

7


• Partenaires/Clients Sohpos : Certification SCE/SCA

• Administrateurs et Techniciens Réseaux

• Ingénieurs Sécurité des réseaux et systèmes

• Migration vers Sophos (Cisco Asa, Fortinet, Websense, pfSense, Cyberoam, Sonicwall, MS TMG FF, ISA, etc…)

Public concerné

15/04/2016

8


Compétences requises

• Avoir vu et complété la formation précédente : Sophos UTM 9

15/04/2016

9


Ressources et liens utiles

• Le site officiel : https://www.sophos.com

• Le site de la communauté officielle : https://community.sophos.com/

• Chaine Youtube : https://www.youtube.com/user/SophosLabs

• …

15/04/2016

10


Are you ready ? ☺

15/04/2016

11


Environnement de travail- Rappel -

Introduction à la formation


Djawad KASSOUSFormateur et Consultant ITIngénierie Réseaux et Systèmes

15/04/2016

12


Plan

• Eléments du Lab

• Schéma de liaison

• Schéma du Lab

15/04/2016

13


Eléments constitutifs du Lab

• 2 Connexions Internet

• Hyperviseur (Hyper-V ou VMware) : 5 Machines virtuelles

• 2 VM Sophos UTM avec 3 Interfaces réseau chacune (dont 2 Obligatoires)

• 1 VM Windows Serveur (Domaine + DNS)

• 2 VM Clients Windows

> Ce que j’utilise :

• Sophos UTM Software 9.3

• VMware Workstation Pro 12 | Windows Server 2012 R2 | Windows 10

15/04/2016

14


Eléments constitutifs du Lab

Site principal Site distant

UTM DC IT UTM RemotePC

Domaine Alphorm.lan -

Nom Alphorm_UTM DC.Alphorm.lan IT.Alphorm.lan BO_UTM RemotePC

LAN 10.10.10/24 172.16.0.0/24

Adresse IP 10.10.10.1 10.10.10.2 10.10.10.5 172.16.0.1 172.16.0.5

Passerelle - 10.10.10.1 172.16.0.1

VersionUTM Software

9.3Win Server 2012 R2

Windows 10UTM Software

9.3Windows 10

15/04/2016

15


Site HQ Site distant

UTM DC IT UTM RemotePC

HQ LAN

HQ WAN1

HQ WAN2

BO LAN

BO WAN

Tunnel VPN

Schéma de liaison

15/04/2016

16


Schéma du LAB

15/04/2016

17


Ce qu’on a couvert

• Les différents éléments qui constituent le LAB

• Le LAB

• L’infrastructures et les différentes adresses des machines

15/04/2016

18


Les bases des réseaux

Les fondamentaux - La suite


Djawad KASSOUSFormateur et Consultant indépendantIngénierie Réseaux et Systèmes

15/04/2016

19


Plan

• Méthodes d’Interconnexion des sites

• Notion Routeur et Default GW

• Notions de base sur les VPN

15/04/2016

20


Notion Routeur et Passerelle par défaut

15/04/2016

21


Méthodes d’Interconnexion des réseaux

15/04/2016

22


Méthodes d’Interconnexion des sites

15/04/2016

23


VPN

15/04/2016

24


Notions de base sur les VPN

• Un VPN Virtual Private Network, est un système permettant de créer un lien direct entre deux réseaux distants

� Il permet d'accéder à des ressources distantes comme si l'on était connecté au réseau local. On peut ainsi avoir un accès au réseau interne (réseau d'entreprise, par exemple).

� Site-à-Site : Joindre deux réseaux de deux sites distants, ou deux entreprises

� Client-à-Site : Permet aux Utilisateurs Itinérants d’accéder aux ressources d’entreprises en passant par Internet

• Les connexions VPN ne sont pas nécessairement chiffrées.

� On doit utiliser des protocoles pour transporter des données chiffrées à travers le Tunnel VPN :

• PPTP, L2TP : Couche 2, Pas de chiffrement natif

• IPSEC, SSL : Couche 3 et 4

15/04/2016

25



• Méthodes d’Interconnexion des sites

• Notion Routeur et Default GW

• Notions de base sur les VPN

15/04/2016

26


Filtrage Web

Protection Web



15/04/2016

27


Plan

• Principe de fonctionnement

• Méthodes d’authentification

• Modes de fonctionnement

• Les connexions HTTPS

• Les fonctionnalités supplémentaires

� Contrôleur de téléchargement

� La catégorisation des sites

� Le test de la stratégies

15/04/2016

28


Profil « A » Profil « B » Profil « C »

Principe de fonctionnement

Mode 1

Authentification X

AuthentificationPar type d’hôte

Mode 2

Authentification Y


Mode 3

Authentification Z


Réseaux RéseauxRéseaux

Stratégies

Action

Utilisateurs/Groupes

Stratégies

Action


Stratégies

Action


15/04/2016

29


Méthodes d’authentification• None : Aucune authentification n’est proposée

• Active Directory SSO : Ce mode authentifie les utilisateurs avec leurs comptes AD en cours d’utilisation, sans aucune intégration de la part de l’utilisateur final.

� Active Directory Single Sign-On (SSO) doit être configuré dans le menu Services d’authentification

• Agent : L’utilisateur doit s’authentifier via l’agent d’authentification Sophos Authentication Agent (SAA) (Téléchargeable depuis le portail)

• Apple OpenDirectory SSO : Même principe avec AD SSO, en utilisant Apple OpenDirectory comme service d’authentification, en plus de générer Kerberos keyfile sur le serveur et de l’uploader sur UTM

� Notez que Safari ne prend pas en charge le SSO.

• Authentification basique : Un champ d'authentification (boite de dialogue) simple sera présenté à l’utilisateur pour introduire le USER/PWD pour utiliser le proxy.

• Navigateur : Une fenêtre pop-up sera présentée à l’utilisateur, avec une interface graphique (personnalisable), pour introduire les coordonnées User/Pwd.

� Assurez-vous que votre navigateur n’exécute aucun bloqueur de pop-up

• eDirectory SSO

15/04/2016

30


Modes de fonctionnements

� Le mode Standard :

� Dans ce mode, le module Web Filter de Sophos UTM écoute les requêtes clients sur le port 8080 (Configurable), et autorise les clients qui se connectent à partir des réseaux autorisés.

• Nécessite une configuration sur le navigateur coté Client

• Méthodes d’authentification disponibles :

� None, Active Directory SSO, Agent, Apple OpenDirectory SSO, Authentification basique, Navigateur, eDirectory SSO

• Le navigateur client détecte la présence d’un proxy

15/04/2016

31



� Le mode Transparent :

� Dans ce mode, toutes les connexions utilisant le port http 80 (ou 443 pour le https) seront interceptées et redirigées vers le module Web Filter de

Sophos UTM, et autorise les clients qui se connectent à partir des réseaux autorisés.

• Ne nécessite aucune configuration sur le navigateur coté Client

• Méthodes d’authentification disponibles :

� None, Active Directory SSO, Agent, Authentification basique, Navigateur

• Le navigateur client ne détecte pas la présence d’un proxy

15/04/2016

32



� Le mode Full-Transparent :

� Contrairement aux deux premiers modes, ce mode préserve l’adresse IP du client au lieu de la remplacer par l’adresse IP de l’UTM.

� Utile pour préserver l’adresse IP publique d’un host tout en passant par le module Web Filtering

� Disponible uniquement lorsque le mode Bridge Interface est utilisé.

• Méthodes d’authentification disponibles (=Transparent):

� None, Active Directory SSO, Agent, Authentification basique, Navigateur

15/04/2016

33


Les connexions HTTPS

• Le module Webfiltering de Sohpos UTM propose 3 méthodes pour traiter le contenu HTTPS :

� URL Filtering Only :

• Utilise le nom de domaine uniquement pour prendre la décision suivant la catégorie, le Tag, et les liste Blanches/Noires

� Décrypt & Scan :

• En plus de URL Filtering, cette méthode utilise une technique (Appelée : Man-In-The-Middle) pour décrypter et scanner le contenu intégral des connexions HTTPS

• Se place au milieu entre votre navigateur et la destination (Site HTTPS)

• Nécessite l’importation d’un certificat coté client.

� Decrypt and scan les Sites et catégories suivantes : Même chose pour la deuxième, mais uniquement pour des sites et categories spécifiques.

15/04/2016

34


Les fonctionnalités supplémentaires

� Contrôleur de téléchargement : Blocage par Extensions, par Taille.

� La catégorisation des sites : Création et Modification

� Les exceptions : Réseau, utilisateurs et groupes, Domaines, etc.

� Scan Antivirus : Double moteurs (Sophos et Avira)

� Allocation de quotas en minutes.

� Test de stratégies : Tester le résultat d’une stratégie pour des hôtes, des URLs et utilisateurs définis.

15/04/2016

35



• Modes de fonctionnements


• Les profils du Web Filtering


• Les exceptions


• Contrôleur de téléchargement

• La catégorisation des sites

• Le test de la politique

15/04/2016

36


Filtrage Web

Protection Web



15/04/2016

37



• Configuration

15/04/2016

38


Démo

15/04/2016

39



• Modes de fonctionnements


• Les profils du Web Filtering


• Les exceptions


• Contrôleur de téléchargement

• La catégorisation des sites

• Le test de la politique

15/04/2016

40


Filtrage Applicatif

Protection Web



15/04/2016

41


Plan

• Fonctionnement du filtrage des applications

• Configuration

15/04/2016

42


Fonctionnement du filtrage des applications

15/04/2016

43


Démo

15/04/2016

44



• Comment le filtrage applicatif fonctionne

• Configuration

15/04/2016

45


Protection FTP

Protection Web



15/04/2016

46


Plan

• Les modes de fonctionnement

• Les fonctionnalités disponibles

• Configuration

15/04/2016

47


Mode de fonctionnement

• Transparent : Les requêtes Clients sont redirigées vers le serveur FTP par le proxy (UTM)

� Aucune configuration n’est nécessaire coté clients

• Non-transparent : Une configuration du client FTP est nécessaire, en utilisant l’adresse IP de votre UTM avec le port 2121

� 10.10.10.99:2121 ou FTP-Server-Name:2121

• Les deux : Ce mode utilise le mode transparent pour certain clients et le mode non-transparent pour les d’autres clients.

15/04/2016

48


Les fonctionnalités disponibles

• Scan Anti-Virus : Double moteur (Sophos et Avira)

• Blocage des extensions

• Limitation de Taille des fichiers

• Exceptions :

� DE : Contrôle AV, Blocage par extension, Serveurs Autorisés

� POUR :

• Des hôtes et/ou réseaux clients

• Des serveurs et/ou réseaux des Serveur

15/04/2016

49




• Les fonctionnalités disponibles

• Configuration

15/04/2016

50


Proxy SMTP

Protection des emails



15/04/2016

51


Plan

• Qu’est ce que c’est SMTP ?

• Compréhension techniques

• Configuration

15/04/2016

52


Qu’est ce que c’est SMTP ?

• SMTP (Simple Mail Transfer Protocol) est un Protocol qui transfère les courriers électroniques Email d’un serveur à un autre.

• Il utilise le port 25.

SMTPSMTP

SMTP

SMTPMail Server

Mail Client Mail Server Mail Client

15/04/2016

53


Qu’est ce que c’est SMTP ?

• L’UTM fonctionne comme un proxy SMTP pour faire transiter les emails entrants/Sortants vers (Route) et depuis (Relais) le serveur de courrier interne.

• Anti-Spam

• Anti-Virus

• Mail Manager

Serveur Interne Serveur Mail distant Mail Client

15/04/2016

54


Démo

15/04/2016

55



• Qu’est ce que c’est SMTP ?


• Configuration

15/04/2016

56


Proxy POP3

Protection des emails



15/04/2016

57


Plan

• Qu’est ce que c’est POP3?


• Configuration

15/04/2016

58


Qu’est ce que c’est POP3?

• POP3 (Post Office Protocol V3) est un Protocol qui récupère les courriers électroniques Email depuis un serveur distant vers un client.

• Il utilise le port 110.

POP3

Mail ServerMail Client

15/04/2016

59


Qu’est ce que c’est POP3?

• L’UTM fonctionne comme un proxy POP3 pour filtrer les emails récupérés depuis les clients de messagerie (Outlook).

• Il intercepte les requêtes POP3 (Port 110), applique les filtres et les vérifications Anti-Virus et Anti-Spam, ensuite il les redirige vers les clients.

• Vous pouvez spécifier des serveurs POP3 externes depuis lesquels le proxy va récupérer les emails de manière planifiée (en les stockant sur la DB interne)

Serveur Mail distantMail Client

15/04/2016

60



• Qu’est ce que c’est POP3 ?


• Configuration

15/04/2016

61


Déploiement de l’agent

Endpoint Protection



15/04/2016

62


Plan

• Qu’est-ce-que c’est UTM Endpoint

• Les fonctionnalités

• Sophos LiveConnect

• Configuration

15/04/2016

63


Qu’est ce que c’est UTM Endpoint ?

• Sophos UTM propose une solution antivirale UTM Endpoint pour protéger, de manière identique, les Desktops, Laptops et Serveurs de votre réseau.

• Fonctionnalités :

� Anti-virus et HIPS

� Web Protection

� Contrôle de périphériques (lecteurs, stockage USB, périphériques sans fil, etc. )

� Protection Anti altération (Configuration gêlée)

� Gestion centralisée sur UTM, basée sur le Cloud

15/04/2016

64


Schéma synoptique

15/04/2016

65



• Sophos Live Connect (Broker, hébergé dans le Cloud Sophos) est utilisé pour envoyer des mises à jour de stratégies et recevoir des alertes des ordinateurs protégés.

• Le téléchargement des mises à jours des bases virales se fait via un autre centre de données de Sophos.

• Un ID et un jeton uniques est assigné à l’UTM et à l’agent Endpoint pour pouvoir communiquer entre eux et avec le LiveConnect

� (Le Setup : SophosMCS_<TOKEN>.exe ne doit pas être renommé).

� Une fois l'installation terminée, le client Sophos Endpoint s'enregistre avec Live Connect en utilisant le jeton. Il apparaitra ensuite dans l'UTM

� Pour des raisons de sécurité, ce token peut être réinitialisé pour empêcher l’utilisation d’un ancien package.

15/04/2016

66


Démo

15/04/2016

67



• Qu’est-ce-que c’est UTM Endpoint


• Sophos LiveConnect

• Configuration

15/04/2016

68


Groupes et Stratégies



Endpoint Protection

15/04/2016

69


Plan

• Comment créer un groupe (Profil)?

• Paramètres Endpoint

• Configuration des stratégies Anti-Virus

15/04/2016

70


Démo

15/04/2016

71



• Comment configurer un ordinateur

• Comment créer un groupe (Profil)

• Configuration des stratégies Anti-Virus

15/04/2016

72


Contrôle des périphériques



Endpoint Protection

15/04/2016

73


Plan

• Les stratégies par défaut

• Découvrir les paramètres

• Créer de nouvelles stratégies

15/04/2016

74


Les stratégies par défaut

15/04/2016

75


Démo

15/04/2016

76



• Les stratégies existantes par défaut

• Découvrir les paramètres

• Créer de nouvelles stratégies

15/04/2016

77


Contrôle Web des endpoint



Endpoint Protection

15/04/2016

78


Plan


• Configuration

15/04/2016

79


Compréhension techniques

• Protection cohérente : Appliquer la même stratégie de filtrage Web sur les ordinateurs hors réseau (Hors réseaux UTM).

• Configurée sur l’UTM, Répliquée sur l’endpoint via le LiveConnect de Sophosdans le Cloud.

• Il est possible de configurer une stratégie différente.

• Pour le même ordinateur :

� Lorsqu’il est à l’intérieur du réseau de l’entreprise (accès internet ) travers UTM), la requête sera traitée par l’appliance et la stratégie sera appliquée au niveau du réseau.

� Lorsqu’il utilise une autre connexion en dehors du réseau, la requête sera traitée au niveau du Cloud Sophos LC, et la stratégie sera appliquée au niveau de l’endpoint.

15/04/2016

80


Démo

15/04/2016

81




• Configuration

15/04/2016

82


Découverte deSophos Access Point



Wireless Protection

15/04/2016

83


Plan

• Présentation de la solution



15/04/2016

84


Présentation de la solution

• Sophos UTM incorpore la fonctionnalité Wireless Protection pour contrôler les points d’accès Wifi Sophos.

• Ne nécessite pas un contrôleur Wifi séparé

• Gestion centralisée sur WebAdmin

• Nécessite un abonnement (Sophos UTM Wireless Protection)

• Pas de console d’administration pour les AP

15/04/2016

85



https://www.sophos.com/fr-fr/products/secure-wifi/tech-specs.aspx

15/04/2016

86


Compréhensios techniques et fonctionnalités� Interface logique (virtuelle) sur UTM

� Serveur DHCP sur l’interface Wlan

� Règles NAT et FW personnalisables dédiées

� Configuration via l’assistant ou manuelle.

� Authentification RADIUS prise en charge

� Filtrage par MAC

� Trois modes de fonctionnement (Zone séparée, LAN, VLAN)

� Isolation du client

� Affectation des AP aux groupes

� Un AP diffuse plusieurs Réseaux sans fils SSID (8 ou 9 SSID, en 2,4 ou 5Mhz selon le model)

� Un réseau sans fils SSID peut être diffusé à travers plusieurs AP

� Les réseaux Wlan peuvent être soumis à des règles Filtrage Web existantes ou créer de nouvelles.

� Accès basé sur les définitions horaires

� Accessibles à distance via RED :

15/04/2016

87






15/04/2016

88


Configuration des réseaux sans fils

Wireless Protection



15/04/2016

89


Plan

• Les types de réseau sans fils

• Comprendre les Paramètres disponibles

• Créer des réseaux sans fil

• Affectation et manipulation des réseaux sans fil

• Configuration

15/04/2016

90


Les types de réseau sans fils

1) Zone séparée :

� Les clients se connectent aux réseaux sans fils via une interface logique dédiée, et auront des adresses IP dans une plage dédiée

� Nécessite une configuration supplémentaire

2) Relié à AP LAN :

� Les clients se connectent au même réseau sans fils de l’AP, et partage la même plage d’adresse

3) Relié au VLAN :

• Connecter les clients au même réseau que les AP, mais via des VLANs

� A ne pas confondre avec Separate Zone

15/04/2016

91


Compréhensions techniques et fonctionnalités

• Mesh Network (Réseau maillé) : 2.4Ghz ou 5Ghz

� AP Root : Connecté physiquement à l’UTM, il diffuse le réseau de maillage et accepte plusieurs AP de maillage

� AP de maillage : Nécessite un AP Root, il se connecte à l’AP Root (Un seul)

15/04/2016

92


Démo

15/04/2016

93



• Les types de réseau sans fils

• Comprendre les Paramètres disponibles

• Créer des réseaux sans fil

• Affectation et manipulation des réseaux sans fil

• Configuration

15/04/2016

94


Zones d’accès sans fil



Wireless Protection

15/04/2016

95


Plan

• Présentation de la fonctionnalité

• Comment ça marche ?

• Configuration

15/04/2016

96



• Les zones d’accès sans fil (Hotspot) de Sophos UTM permet de créer un « portail captif » pour les clients réseau WLAN.

� Le portail captif fonctionne également avec des réseaux câblés !!

• Idéal pour les Hôtels, Espace Invités, Wifi-Zones (Restaurants, Wifi gratuit, etc…) pour exiger une stratégie d’utilisation du Wifi.

• L'utilisation du hotspot peut être réglementée de différentes manières :

• Confirmation simple de la stratégie d'utilisation

• Mot de passe quotidien

• Utilisation d'un coupon : Période de validité, Quota de durée, Volume de données

• Authentification Backend

• Les vouchers et les pages Hotspots peuvent être personnalisés en téléchargeant et éditant un modèle qui est inclus dans la définition des hotspots. Cela signifie que si vous avez plusieurs hotspots, ils peuvent avoir des modèles de page connexion et de vouchers différents .

15/04/2016

97


Démo

15/04/2016

98



• Présentation de la fonctionnalité

• Comment ça marche ?

• Configuration

15/04/2016

99


Pare-feu d'applications web WAF

Webserver Protection



15/04/2016

100


Plan


• Compréhensions techniques

• Configuration

15/04/2016

101



• Le WAF (Web Application Firewall), appelé Reverse Proxy représente une couche supplémentaire de sécurité pour protéger vos serveurs web internes

• C’est une méthode alternative au NAT pour publier vos serveurs et services WEB locaux

• Le WAF prend en charge les URLs en HTTP et HTTPS

• Cette solution est aussi utilisée pour publier OWA

15/04/2016

102


Compréhension techniques

• Les techniques utilisées :

� Antivirus est utilisé en amont pour contrôler les téléchargements dans les deux sens, afin de protéger les serveurs et les utilisateurs.

� Signature des cookies : Le WAF signe numériquement les cookies sortants, vérifie les cookies en retour via les signatures, en rejetant les cookies avec des signatures invalides.

� URL Hardening : Renforce la protection des serveurs web en limitant l’accès uniquement aux URL autorisées, et rejète l’accès aux pages (et sous-pages) non définies.

• www.alphorm.com/formations : Autorisée

• www.alphorm.com/administration : Rejetée

� Form Hardening : le WAF valide les informations introduites par les utilisateurs via les formulaires des sites web afin de protéger ses derniers contre les données non valides et malicieuses que contienne les requêtes soumises par les formulaires

15/04/2016

103


Démo

15/04/2016

104





• Configuration

15/04/2016

105


Authentification inverse



Webserver Protection

15/04/2016

106


Plan


• Configuration

15/04/2016

107


[email protected]

Compréhensions techniques

• Reverse authentification rajoute une couche d’authentification pour les services web internes.

• L’authentification se fait au niveau de l’UTM avant le forwarding vers la DMZ

• Compatible avec les services qui possèdent leurs propres méchanismes d’auth.

• Deux modes : Basic (Navigateur) ouFormulaire (GUI)

� L’interface GUI est personnalisable.

• Sessions paramètrables (Durée, temps d’inactivité)

15/04/2016

108


Démo

15/04/2016

109




• Configuration

15/04/2016

110


Présentation de la solutionRemote Ethernet Device

Gestion de RED



15/04/2016

111


Plan





15/04/2016

112



• Le RED (Ethernet Remote Device) est le câble Ethernet le plus long au monde.

• Il permet l’interconnexion et la sécurisation des sites distants à l’UTM en toute aisance avec le moindre coût

• Il permet entre autres de :

� Relier les succursales aux ressources du siège

� Administrer les équipements de la succursale

� Sécuriser le lien et l'accès Internet.

• Configuration simple et rapide

• Même éteint !!!

15/04/2016

113



15/04/2016

114



15/04/2016

115



15/04/2016

116


Les modes de fonctionnement

15/04/2016

117







15/04/2016

118


Configuration Automatique



Gestion de RED

15/04/2016

119


Plan

• Modes de fonctionnement

• Configuration

15/04/2016

120



15/04/2016

121



15/04/2016

122


Démo

15/04/2016

123




• Configuration

15/04/2016

124


Configuration Manuelle

Gestion de RED



15/04/2016

125


Plan


• Configuration

15/04/2016

126



Etapes de configuration :

� Création d’un nouveau RED :

• ID du RED : AXXXXXXXXXXXXXX

• ID de tunnel : ##

• Compression tunnel : Activée/Désactivée (Pour les connexions à débit réduit 1-2 Mbps)

• Code de déverrouillage (Optionnel) : XXXXXXXX (Nécessaire pour le redéploiement)

• Nom d’hôte de l’UTM : FQDN publique ou IP Publique

• Mode de liaison ascendante : DHCP ou IP Statique

• Mode de fonctionnement : Std/Unifié, Std/Séparé, Transp./Séparé

� Une interface locale avec l’adresse IP spécifiée

� Un serveur DHCP pour le réseau distant

� Accès au résolveur DNS local pour le réseau distant

� Règles FW autorisant le trafic dans le sens désiré (Exp. : Internal<>RED | RED<>Internet)

15/04/2016

127


Démo

15/04/2016

128




• Configuration

15/04/2016

129


Interconnexion de deux sites distants en VPN IPSEC

VPN site-à-site



15/04/2016

130


Plan

• Schéma d’interconnexion

• Etapes de configuration

• Configuration

15/04/2016

131


Schéma d’interconnexion

15/04/2016

132


Etapes de configuration

1) Créer (ou modifier) une Stratégie IPSec

2) Créer l’objet Gateway distante (Host) et LAN distant (Network)

3) Configuration de la connexion VPN

4) Créer les règles Firewall adéquates

5) Répliquer la même configuration sur l’UTM du site distant

6) Vérifier l’état de la connexion (Menu VPN Site-à-site)

7) Tester l’interconnexion

15/04/2016

133


Stratégie IPSec

• Choix des algorithmes de chiffrement et d’authentification

• Stratégie IKE pour l’échange de clé partagées

� Clé pré-partagé PSK

� Clé RSA

• Stratégie de chiffrement de la connexion IPSEC

15/04/2016

134


Démo

15/04/2016

135





• Configuration

15/04/2016

136


Interconnexion de deux sites distants en VPN SSL



VPN site-à-site

15/04/2016

137


Plan



• Configuration

15/04/2016

138



15/04/2016

139


Etapes de configuration

1) Choisir l’UTM Serveur et l’UTM Client

2) Configurer la nouvelle connexion sur l’UTM Serveur

3) Choisir les réseaux locaux et distants

4) Télécharger le Fichier de configuration

5) Nouvelle connexion sur l’UTM Client

6) Importer la configuration

7) Done !

15/04/2016

140


Démo

15/04/2016

141





• Configuration

15/04/2016

142


SSL Remote acces

Accès à distance



15/04/2016

143


Plan



• Configuration

15/04/2016

144



15/04/2016

145



• Le client d’Accès VPN SSL est un logiciel qui permet aux utilisateurs ambulants de se connecter aux ressources locales depuis n’importe-où, même en dehors des réseaux interconnectés via VPN Site-à-site.

� Idéal pour les Laptops, Smartphones, Accès temporaire, etc.

• Facile d’installation et d’utilisation

• Prise en charge de plusieurs nœuds

• Package disponible sur le UserPortail

• Compatible : Windows (2 Packages), Linux, Mac, Android, iOS

15/04/2016

146



• Par défaut, fonctionne avec le port https 443 (Personnalisable)

� Adaptation transparent derrière les pare-feu

• Basé sur le client OpenVPN

• Mise en route facile : Il suffit de choisir les utilisateurs autorisés et les réseaux dont ils auront besoin.

• Accès Internet derrière le tunnel possible.

• Pool @IP personnalisable et configurable jusqu’à /29

• Nom d’hôte peut être : FQDN, IP Publique, DynDNS

• Connexion simultanée par utilisateur ( Ex. : Un seul accès pour tout le service Sales)

15/04/2016

147


Démo

15/04/2016

148





• Configuration

15/04/2016

149


SSL Remote acces

Accès à distance



15/04/2016

150


Plan



• Configuration

15/04/2016

151



15/04/2016

152



• Le client d’Accès VPN SSL est un logiciel qui permet aux utilisateurs ambulants de se connecter aux ressources locales depuis n’importe-où, même en dehors des réseaux interconnectés via VPN Site-à-site.

� Idéal pour les Laptops, Smartphones, Accès temporaire, etc.

• Facile d’installation et d’utilisation

• Prise en charge de plusieurs nœuds

• Package disponible sur le UserPortail

• Compatible : Windows (2 Packages), Linux, Mac, Android, iOS

15/04/2016

153



• Par défaut, fonctionne avec le port https 443 (Personnalisable)

� Adaptation transparent derrière les pare-feu

• Basé sur le client OpenVPN

• Mise en route facile : Il suffit de choisir les utilisateurs autorisés et les réseaux dont ils auront besoin.

• Accès Internet derrière le tunnel possible.

• Pool @IP personnalisable et configurable jusqu’à /29

• Nom d’hôte peut être : FQDN, IP Publique, DynDNS

• Connexion simultanée par utilisateur ( Ex. : Un seul accès pour tout le service Sales)

15/04/2016

154


Démo

15/04/2016

155





• Configuration

15/04/2016

156


Mobile Remote Acces

Accès à distance



15/04/2016

157


Plan

•Présentation de la solution

•Configuration

15/04/2016

158



15/04/2016

159



15/04/2016

160



• Accès à distance à partir des BYOD

• Repose sur la solution OpenVPN

• Nécessite l’installation de l’application sur Android ou iOS

• Le client VPN Cisco (IPSEC) nécessite une configuration à part, et prend en charge le client natif des iDevices

• Le mot clé : UserPortal

15/04/2016

161


Démo

15/04/2016

162




• Configuration

15/04/2016

163


Portail VPN HTML5

Accès à distance



15/04/2016

164


Plan

•Présentation de la solution

•Configuration

15/04/2016

165



• Portail VPN HTML5 est une solution intelligente qui permet d’atteindre des applications internes en utilisant le protocol Websocket et le HTML5 via le navigateur.

• Agentless + Profils

• Connexions prises en charge :

• Remote Desktop Protocol (RDP)

• Virtual Network Computing (VNC)

• Applications Web en HTTP et HTTP/S

• SSH et Telnet

• Navigateurs pris en charge : IE10, Firefox 6+, Chrome, Safari 5+ (MAC Only)

• Accessible via le UserPortal Uniquement

15/04/2016

166


Démo

15/04/2016

167




• Configuration

15/04/2016

168


Les fichiers journaux

Reporting et journalisation



15/04/2016

169


Plan

• Fichiers Logs

• LiveLog

• Configuration

15/04/2016

170


Démo

15/04/2016

171



• Fichiers Logs

• LiveLog

• Configuration

15/04/2016

172


Consultation et générationdes rapports



Reporting et journalisation

15/04/2016

173


Plan

• Présentation et vue d’ensemble

• Rapports exécutifs

• Configuration

15/04/2016

174


Présentation

• Sohpos UTM propose la création et la gestion des rapports sur l‘état et l’utilisation de la majorités des modules de l’UTM aux formats graphiques Intuitives :

� Hardware (CPU, RAM, Partitions : Root/Log/Storage)

� Réseau (Bande passante)

� Protection du réseau (Attaques IPS, Connexions rejetées par le FW, ATP)

� Utilisation du Web

� Protection de la messagerie

� Protection sans fil

� Accès à distance

� Web Server Protection

⦁ J, H, M, A + Téléchargeables PDF ou CSV

15/04/2016

175


Rapport Exécutifs

• Le rapport exécutif récapitule de façon intelligente, claire et accessibles le contenu des rapports clés

� Idéal pour le présenter lors des réunions ou bien pour les chefs de services

• Ils peuvent être envoyés par courrier à plusieurs adresses de manière planifiée

• Archivés et accessibles via WebAdmin

• Omettre des données sensibles (IP, Domaines, @Mail)

15/04/2016

176


Démo

15/04/2016

177



• Présentation

• Rapports exécutifs

15/04/2016

178


Comment choisir son Appliance adaptée

Dimensionnement et Support



15/04/2016

179


Plan

• Présentation des modèles

• Caractéristiques techniques

• Comment choisir ?

15/04/2016

180


Présentation des modèlesSmall - Desktop 1U :

Idéals pour les Small Offices, petites sociétés, Filiales et annexes

• SG 105

• SG 105w

• SG 115

• SG 115w

• SG 125

• SG 125w

• SG 135

• SG 135w

15/04/2016

181


Présentation des modèlesMedium – Rackable 1U :

Idéals pour les sociétés de moyennes tailles

• SG 210

• SG 230

• SG 310

• SG 330

• SG 430

• SG 450

15/04/2016

182


Présentation des modèlesLarge – Rackables 2U :

Idéals pour les grandes sociétés qui centralisent plusieurs sites distants de moyennes tailles

• SG 550

• SG 650

15/04/2016

183


Caractéristiques techniques

15/04/2016

184


Comment choisir ?

15/04/2016

185


Comment choisir ?

Appliance Virtuelle

15/04/2016

186



• Présentation des modèles

• Caractéristiques techniques

• Comment choisir

15/04/2016

187


Comment choisir la licence adaptée




15/04/2016

188


Plan

• Présentation des licences

15/04/2016

189


Présentation des licences

15/04/2016

190


Présentation des licences

Pour les Appliances virtuelles :

La licence est déterminées selon :

� le nombre d’équipements autorisés à se connecter à l’UTM

� le nombre de connexions simultanées

• limité et est obtenu à partir du nombre d’utilisateurs ayant une licence

15/04/2016

191



• Présentation des licences

15/04/2016

192


Support et Outils




15/04/2016

193


Plan

• Accès Support Sophos

• Outils de Troubleshooting

• Diagnostique et Gestion des processus

• Ressources, KB et HCL

15/04/2016

194


Démo

15/04/2016

195



• Accès Support Sophos

• Outils de Troubleshooting

• Diagnostique et Gestion des processus

• Ressources, KB et HCL

15/04/2016

196


Conclusion



15/04/2016

197


L’objectif

• Comprendre et exploiter les fonctionnalités avancées de Sophos UTM

• Déployer les produits Sophos liés à l’UTM (RED, AP)

• Comment Interconnecter des sites distants en VPN de différentes manières

• Publier efficacement et sécuriser vos serveur web

• Booster la sécurité des différents services de l’entreprise

• Personnaliser la stratégie interne de protection

15/04/2016

198


Plan de la formation

1. Protection Web

2. Email Protection

3. Endpoint Protection

4. Wireless Protection

5. Webserver Protection

6. Gestion de RED

7. VPN site à site

8. Accès à distance

9. Reporting et journalisation

10. Dimensionnement et Support

15/04/2016

199


Conseil• Pratiquer

• Pratiquer

•Pratiquer

•Pratiquer

•Pratiquer

•Pratiquer

15/04/2016

200


Merci ☺

Alphorm.com Support Formation Sophos UTM les fonctionnalités avancées

Technology

Transcript of Alphorm.com Support Formation Sophos UTM les fonctionnalités avancées