Conçue pour protéger les réseaux locaux connectés à internet, la solution WatchGuard LiveSecurity System se compose d’un boîtier (Firebox II) et de son logiciel d’administration (WatchGuard LiveSecurity Control Center). Ce dernier rassemble des outils d’administration du coupe-feu, utilisés pour appliquer la politique de sécurité définie par l’entreprise ; un outil de monitoring afin de visualiser la bande passante consommée ; un outil graphique indiquant les connexions en cours ; et enfin, un outil de reporting, chargé de consigner tous les événements à l’intérieur des fichiers de logs.
1. Installez le logiciel d’administration
Il est plus simple de configurer le Firebox II avant de l’installer dans le réseau local. Pour cela, vous devez relier ce boîtier à l’ordinateur en charge de l’administration. La configuration s’effectue par le port série, mais il est tout de même préférable de passer par TCP/IP, en connectant directement le poste console au Firebox II à l’aide d’un des câbles croisés fournis. Toujours dans un but de simplification, cette machine contiendra les fichiers de logs et recevra les alertes; mais ce n’est pas une obligation.L’opération suivante consiste à mettre en place le logiciel WatchGuard LiveSecurity Control Center sur le poste d’administration à partir du CD. Cet ordinateur doit posséder une liaison active à internet. En effet, avant de s’installer, le logiciel vérifie s’il n’existe pas de version plus récente sur le site web de l’éditeur. Si tel est le cas, elle sera téléchargée puis installée.
2. Configurez le boîtier Firebox II
La configuration du Firebox II s’effectue à l’aide de l’assistant QuickSetup Wizard. Deux options sont proposées. Baptisée Drop-In Mode, la première s’utilise lorsque le réseau local ne comporte pas de sous-réseaux. Tous les ports du Firebox II disposent alors de la même adresse IP ; quant aux machines du réseau local, elles n’ont pas besoin d’être reconfigurées et gardent leurs adresses IP précédentes. La seconde option, nommée Routed Mode, s’emploie uniquement lorsqu’il existe des sous-réseaux avec différentes adresses IP. En mode Drop-In (le plus courant), la configuration se limite à l’attribution de l’adresse IP et de 2 mots de passe. Celle-ci est ensuite sauvegardée à la fois dans un fichier placé sur le poste d’administration et dans la mémoire flash du Firebox.
3. Connectez le Firebox II au réseau local
Une fois la configuration achevée, mettez le Firebox II en place puis effectuez les connexions définitives. Le boîtier comporte 3 ports Ethernet 10/100 Mbit/s. Dans la configuration la plus courante, le premier port, appelé External, est relié au routeur. Le second, baptisé Trusted, est destiné au réseau local. Y sont connectés les concentrateurs ou les commutateurs qui desservent l’ensemble des ordinateurs protégés du réseau. Enfin, le dernier port, dénommé Optional, se destine aux ordinateurs de la zone démilitarisée (DMZ). Il est en principe utilisé par les serveurs HTTP, SMTP ou FTP.
4. Créez de nouveaux services
L’établissement des règles de sécurité s’effectue ensuite à l’aide de l’utilitaire Policy Manager, inclus dans le logiciel WatchGuard Control Center. Dans le menu “Setup”, vous pouvez bloquer directement les accès à des adresses IP, ainsi que certains ports TCP/IP. Mais l’aspect le plus intéressant de cet utilitaire concerne la notion de Service. Un Service représente un type de connexion précis (un ping, une connexion HTTP ou FTP). Pour chaque Service, vous devez définir les autorisations en entrée et en sortie, ainsi que les options spécifiques à ce Service. Comme tout bon coupe-feu, le Firebox II interdit tout par défaut. Concernant l’exécution des ping par exemple, il faut que le Service ping existe et qu’il soit configuré de façon à les autoriser. De même, les accès à internet ne seront possibles qu’après la création d’un Service comme “Proxied-HTTP” et la définition de ses permissions.
5. Configurez les accès à internet
Pour créer le Service “Proxied-HTTP”, rendez-vous dans le menu “Edit/Add Service” du Policy Manager et sélectionnez-le dans la liste des Services “Proxies”. Cliquez ensuite sur le bouton “Add” afin de faire apparaître son icône dans la fenêtre du logiciel. Effectuez alors un double clic sur cette icône de façon à ouvrir sa page de propriétés. Conservez les valeurs données par défaut dans les onglets “Incoming” et “Outcoming” puisque vous autoriserez, en principe, les connexions HTTP sortantes, mais pas celles qui entrent. Choisissez alors l’onglet “Properties” et activez le bouton “Settings”. Une nouvelle fenêtre s’affiche, offrant de nouveaux onglets. Le premier d’entre eux (“Settings”) vous donne la possibilité d’autoriser ou non les composants ActiveX, les applets Java ou encore les cookies. Dans le doute, conservez les interdictions ; vous pourrez toujours les lever en fonction des demandes.
6. Paramétrez le WebLocker
Cliquez maintenant sur l’onglet “WebLocker Control”. Ce système de filtrage vous aide à contrôler de façon très pointue les sites consultés par les utilisateurs. Il est relié à une base de données contenant plus de 65 000 adresses de sites régulièrement mises à jour. Vous pouvez ainsi préciser les sites autorisés pendant les heures de bureau (“Operational Hour”) ou en dehors de ces heures (“Non-Operational Hour”). Pour définir ces périodes, activez “Schedule” et sélectionnez les sites web à la fois dans l’onglet “Operational” et dans l’onglet “Non-Operational”. Il est possible, par exemple, d’interdire les accès aux sites orientés sports et loisirs pendant les heures de bureau, mais de les autoriser en dehors. Toute modification doit être sauvegardée dans la mémoire flash du Firebox et n’est prise en compte qu’après redémarrage du boîtier.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.