Passer au contenu

Protéger son réseau local et créer des connexions VPN

Le LiveSecurity System, de WatchGuard, assure la protection d’un LAN connecté sur Internet, et permet de créer des connexions VPN. Si son installation est relativement simple, elle nécessite un minimum de compétences en réseau et en sécurité.

Le système de protection de LAN, testé ici, est composé d’un boîtier, le FireBox II, que l’on peut monter en rack, associé à un logiciel d’administration, le WatchGuard LiveSecurity Control Center. Il se connecte entre le routeur et le réseau local, et dispose de trois interfaces Ethernet 10-100.

Deux rôles à distribuer avant l’installation

La première interface (external) est reliée au routeur, la deuxième (trusted) va vers le LAN, et la troisième (optional) est destinée à alimenter un autre réseau. Cette dernière est généralement utilisée pour la connexion à la zone démilitarisée, où seront placés les serveurs HTTP et FTP, par exemple. Avant l’installation, il faut désigner le poste qui servira de console de gestion, et celui qui recevra les fichiers de logs et les alertes. Il est plus simple de confier ces deux missions au même ordinateur. La mise en ?”uvre du logiciel s’effectue à partir d’un CD. Cependant, le poste devra être relié à Internet pour vérifier s’il n’existe pas de version plus récente, qui sera, le cas échéant, téléchargée. La configuration peut alors être réalisée en connectant la console au FireBox II via le port série ou via TCP-IP.Deux modes de configuration sont proposés. Dans le premier (Drop-in-mode), les trois interfaces obtiennent la même adresse IP. Cela conviendra lorsqu’il n’existe pas de sous-réseaux locaux. Aucune machine du LAN n’a alors besoin d’être reconfigurée, et le FireBox II peut se muer en serveur DHCP. Dans le cas contraire, il faudra utiliser le mode routé (Routed mode), qui assigne des adresses différentes aux interfaces. Ces connexions établies, le plus difficile reste à faire, puisqu’il faut implanter les règles de sécurité dans le FireBox II.Cette configuration s’effectue à l’aide de l’utilitaire Policy Manager, qui fonctionne à partir de services. Un service représente un certain type de connexion, tels le ping, Telnet, ou HTTP. Chacun d’entre eux est configuré indépendamment et, bien sûr, différemment. Ainsi, sur les pings, la configuration se limite aux autorisations en entrée ou en sortie, alors que sur le service HTTP, on aura le choix des plages horaires et du contenu des sites visités ; ou la faculté d’accepter les applets Java ou les ActiveX. Il est aussi possible de bloquer, avec WebBlocker, les accès aux sites non productifs, dont la liste est régulièrement remise à jour par SurfControl.Le Policy Manager autorise également la reconfiguration du réseau ; la modification des adresses des interfaces ; l’activation du serveur DHCP ; ou la définition des événements et les fichiers de logs dans lesquels ces événements seront consignés.

Un outil de contrôle et d’administration intégré

Le WatchGuard LiveSecurity System dispose également d’un outil de supervision, qui permet de surveiller le trafic, de mesurer la bande passante, et de compter les paquets. Il sert à résoudre les problèmes de routage ou de configuration du réseau, et sera particulièrement utile pour identifier les attaques en fournissant un historique des événements survenus.L’installation et la mise en route de ce système ne poseront pas trop de problèmes à des techniciens qui disposent d’un minimum de compétences. À défaut d’être très claire, la documentation (rédigée en anglais) est relativement complète. L’absence d’exemples de configuration, qui auraient permis de démarrer plus rapidement, est, cependant, à déplorer.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Alain Coupel