Installer le patch P-2746 et configurer le Firewall avancé



Documents pareils
Ici se présente un petit récapitulatif de ce qu il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc.

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

VIDÉOSURVEILLANCE. Procédures de paramétrage des différentes box du marché

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

Mise en place d un firewall d entreprise avec PfSense

Phone Manager Soutien de l'application OCTOBER 2014 DOCUMENT RELEASE 4.1 SOUTIEN DE L'APPLICATION

Vous y trouverez notamment les dernières versions Windows, MAC OS X et Linux de Thunderbird.

vcenter Server 1. Interface Lancez le vsphere Client et connectez vous à vcenter Server. Voici la page d accueil de vcenter Server.

Installation d'un serveur RADIUS

Parallels Plesk Panel. Module Pare-feu de Parallels Plesk Panel 10 pour Linux/Unix. Guide de l'administrateur

PROCÉDURE D AIDE AU PARAMÉTRAGE

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

CONFIGURATION DE BASE

CONFIGURER VOTRE HEBERGEMENT WINDOWS

IPS : Corrélation de vulnérabilités et Prévention des menaces

Phone Manager Soutien de l'application OCTOBER 2014 DOCUMENT RELEASE 4.1 SOUTIEN DE L'APPLICATION

(Fig. 1 :assistant connexion Internet)

Manuel d utilisation de la plate-forme de gestion de parc UCOPIA. La mobilité à la hauteur des exigences professionnelles

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Contrôleur de communications réseau. Guide de configuration rapide DN

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Paramétrage de compte mail netplus sur iphone et ipad

Configuration de base de Jana server2. Sommaire

SOMMAIRE ÉTAPES OBLIGATOIRES. Récupérer le connecteur... 3

sommaire ÉTAPES OBLIGATOIRES Récupérer le connecteur... 3

CONFIGURATION FIREWALL

TP Protocoles SMTP et POP3 avec Pratiquer l algorithmique

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

CISCO, FIREWALL ASA, CONFIGURATION ET ADMIN.

Configuration de plusieurs serveurs en Load Balancing

Configuration des logiciels de messagerie

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

Guide d installation

Les réseaux des EPLEFPA. Guide «PfSense»

Guide d utilisation Business Livebox

LAB : Schéma. Compagnie C / /24 NETASQ

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Direct IP- Guide Utilisateur LAN ou WebCon. Espace Configuration Réseau Local (LAN) Ou «WebConf» Guide Utilisateur Final

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

ALOHA Load Balancer 2.5. Guide de démarrage rapide. EXCELIANCE ALOHA 2.5 Guide de démarrage rapide 30/01/2008 1/17

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

Editer un script de configuration automatique du proxy

Tous les logiciels cités dans ce document sont des marques déposées de leurs propriétaires respectifs

Microsoft Hosted Exchange 2010 DOCUMENT D EXPLOITATION

Se connecter en WiFi à une Freebox

Extended communication server 4.1 : VoIP SIP service- Administration

Formation Iptables : Correction TP

Gestionnaire des services Internet (IIS)

Notice d installation des cartes 3360 et 3365

CONFIGURATION DE LA RECEPTION DES MAILS EN POPS.

Tutoriel : Comment installer une compte (une adresse ) sur un logiciel de messagerie (ou client messagerie)?

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Guide pour bien débuter avec

GENERALITES. COURS TCP/IP Niveau 1

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Mise en route de PRTG Network Monitor 8

Présentation du Serveur SME 6000

Le filtrage de niveau IP

CONFIGURATION DE BASE

Vous pouvez à présent à reconfigurer votre messagerie en cliquant ici.

CONFIGURATION DE BASE

Sécurisation du réseau

Guide Utilisateur. Edition Mars Agenda. s. Evènements. Synchroniser avec les identités de gestion, de. Messagerie interne. Post-it.

Installation d un serveur virtuel : DSL_G624M

Etape 1 : Connexion de l antenne WiFi et mise en route

UltraBackup NetStation 4. Guide de démarrage rapide

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Mise en route de PRTG Network Monitor Paessler AG

Contrôle Parental Numericable. Guide d installation et d utilisation

Contenu de la version 3.4 C I V I L N E T A D M I N I S T R A T I O N

SIEMENS LX / Cloud OpenIP

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

CAHIER DES CLAUSES TECHNIQUES

Sauvegarde/Restauration

La Clé informatique. Formation Internet Explorer Aide-mémoire

UCOPIA EXPRESS SOLUTION

MODE D EMPLOI OUTLOOK ADD-IN POUR SELECTLINE

GUIDE DE L UTILISATEUR

Configurer ma Livebox Pro pour utiliser un serveur VPN

MANUEL D INSTALLATION du module Chronopost pour. version 1.0.5

(1) Network Camera

Création, analyse de questionnaires et d'entretiens pour Windows 2008, 7, 8 et MacOs 10

Atelier Le gestionnaire de fichier

IceWarp Server 11.2 Notes pour les administrateurs.

Guide de l utilisateur Mikogo Version Windows

Manuel Utilisateur de l'installation du connecteur Pronote à l'ent

SEPA Direct Debit La domiciliation dans un marché unifié pour les paiements européens au 1er février 2014

Serveur Appliance IPAM et Services Réseaux

Guide de configuration. Logiciel de courriel

0.1 Mail & News : Thunderbird

Guide d installation et de configuration du serveur de messagerie MDaemon

CS REMOTE CARE - WEBDAV

Mise en route d'un Routeur/Pare-Feu

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Transcription:

Installer le patch P-2746 et configurer le Firewall avancé SOMMAIRE INTRODUCTION... 2 PRE-REQUIS... 2 MIGRATION DE DONNEES ET DE CONFIGURATION... 2 INSTALLATION... 2 PRINCIPALES EVOLUTIONS FONCTIONNELLES DU FIREWALL AVANCE... 2 CONFIGURATION DE BASE... 2 CONFIGURATION AVANCEE... 3 SAUVEGARDE / RESTAURATION DE REGLES... 6 TROUBLESHOOTING... 7 Non-contractual document. Right Vision may modify the products described in this document or any documents supplied with the product without prior notice. No part of these documents may be copied or transmitted for any purpose or by any means, electronic or mechanical, without the express written permission of Right Vision. 2005 - Right Vision - All rights reserved

INTRODUCTION Ce document est un guide d installation et de configuration du service firewall avancé pour Eye-Soft ONE 3100. PRE-REQUIS Version Eye-Soft : 31xx Patch/service pack : S-0003 MIGRATION DE DONNEES ET DE CONFIGURATION NB : Les configurations faites en mode avancé avant installation du patch P-2746 ne sont pas migrées. Toutes les règles préalablement configurées en mode avancé sont effacées lors de l installation du patch et définitivement perdues. Si le service firewall de l Eye-Box est activé en mode avancé, il est recommandé de noter les règles spécifiques ajoutées manuellement et de repasser en mode standard avant installation du patch P- 2746. Toutes les règles configurées en mode standard avant installation du patch sont migrées. Il se peut que certaines règles soient présentées différemment. En effet, les règles utilisant des groupes de services seront éclatées en plusieurs règles correspondant à chaque service. Ex : Une règle concernant le groupe de services MAIL se retrouvera dans la nouvelle version sous forme de 3 règles concernant les protocoles POP, IMAP et SMTP. INSTALLATION Le firewall avancé est installé par le patch évolutif P-2746 disponible sur le serveur de mise à jour. Pour l installer, rendez-vous dans le service de mises à jour par le web, choisissez le mode manuel, indiquez la référence P-2746 puis valider. Suite à l installation du patch, le service firewall sera activé quel que soit le statut préalable. PRINCIPALES EVOLUTIONS FONCTIONNELLES DU FIREWALL AVANCE La principale valeur ajoutée de cette nouvelle version est de proposer toutes les configurations avancées via une interface simplifiée, l ancien mode avancé ayant été supprimé. La connaissance de l outil IPTABLES n est donc plus nécessaire pour ce type de paramétrage. Les évolutions fonctionnelles sont : La personnalisation des flux et des règles La sauvegarde / restauration des règles Le paramétrage et la visualisation des logs CONFIGURATION DE BASE Rappel : Un flux est l association d un point de départ et d un point d arrivée. Un service peut être un protocole, un port ou un ensemble de ports. Menu «Services / Sécurité / Service firewall / Configuration de base» Ce menu permet de configurer le firewall dans un cas d architecture réseau simple. Il est quasiment équivalent avec la version précédente et répondra à la plupart des besoins. Nouveau : Le firewall avancé permet de déclarer le réseau LAN 2 comme une DMZ ou comme réseau privé. Dans ce dernier cas, l adresse IP de l interface LAN 2 sera privée et connectée à un réseau privé. Le flux sortant sera «NATé». La configuration sera du même type que pour le LAN 1 (cf. Fig. 1).

Fig. 1 Si le réseau LAN 2 est déclaré comme une DMZ, l adresse IP de l interface LAN 2 sera publique et le flux sortant ne sera pas «NATé» (cf. Fig. 2). Autorisation d un service en sortie Fig. 2 Ci-dessous, la marche à suivre pour autoriser un service en sortie. A titre d exemple, nous traiterons le cas d un administrateur qui souhaite que les utilisateurs du réseau LAN 1 puissent se connecter sur des sites FTP distants : 1. Menu «Service / Sécurité / Firewall / Configuration de base», Onglet «LAN 1-Internet(WAN)», Cliquer sur «Ajouter des services» 2. Sélectionner FTP dans la liste des services puis cliquer sur «Ajouter» ==>> Le service FTP est ajouté à la liste des services autorisés (statut vert) Une fois le service ajouté, il est possible de l interdire momentanément en décochant «Autoriser» et en cliquant sur «Valider». Il est également possible de le retirer de la liste des services en cliquant sur l icône. L ajout de services sur les autres flux (LAN1-DMZ, Internet(WAN)-DMZ ) obéit à la même logique. NB : Si l administrateur définit 2 ou plusieurs règles contraires, c est la règle d autorisation qui sera appliquée. Définition d un service Il est possible de définir un service composé de plusieurs ports ou d une plage de ports. Dans le premier cas, il faut séparer les numéros de ports par un espace. Dans le cas d une plage, les 2 numéros de ports devront être séparés par le caractère «:». Recommandation : Pour une sécurité optimale, il est recommandé dans la mesure du possible d interdire les services en flux sortant et de configurer les services de l Eye-Box en conséquence. Par exemple, il est recommandé d interdire les protocoles http et https dans le flux lan1-internet, d activer le proxy de l Eye-Box et de configurer l utilisation du proxy sur les postes clients. Les utilisateurs du réseau devront alors obligatoirement passer par le proxy pour surfer. CONFIGURATION AVANCEE Il est possible de paramétrer des règles pour tous les flux qui ne sont pas disponibles dans la configuration de base. Pour cela, rendez-vous dans le Menu «Services / Sécurité / Service Firewall / Configuration avancée». La création d une règle se fait en 3 étapes :

1. Créations (s ils n existent pas) des machines/réseaux qui seront utilisées pour définir le flux 2. Sélection des machine(s)/réseau(x) source et destination 3. Création de la règle NB : Dans la page de configuration avancée, on visualise toutes les règles existantes. Certaines sont des règles systèmes non modifiables. En effet, l Eye-Soft est un système intelligent qui gère automatiquement les ports en fonction des services activés. Par exemple, l activation du service smtp de l Eye-Box entraîne de façon automatique et transparente pour l administrateur, l autorisation du service SMTP-SERVER-ON dans le flux Internet Appliance (cf. Fig. 3). Ceci est vrai pour tous les services. Fig. 3 Nous allons décrire la méthode de configuration avancée en prenant 2 exemples. Exemple 1 : Configuration de règles spécifiques pour un réseau distant On considère l installation présentée sur le schéma ci-dessous avec les paramètres suivants : LAN : 192.168.92.1/255.255.255.0 REMOTE LAN : 172.20.0.0/255.255.0.0 Besoin : Configurer des règles spécifiques pour le réseau «remote lan» LAN Internet ROUTER REMOTE LAN Fig. 4 1. Création du réseau «remote LAN»

- Menu «Configuration avancée», Onglet «Groupement de machines, réseaux», saisir le nom du nouveau réseau «Remote_LAN» puis cliquer sur «Créer» (cf. Fig. 5) - Cocher le type «réseau», saisir le réseau et le masque associé, puis cliquer sur «Ajouter» (cf. Fig. 6) Fig. 5 2. Sélection des réseaux sources et destination Fig. 6 - Sélectionner «Remote_LAN» comme réseau source et «Internet(WAN)» comme réseau de destination puis cliquer sur «Créer une nouvelle règle» (cf. Fig. 7) 3. Création de la règle Fig. 7 - Cliquer sur «Ajouter des services» - Sélectionner le service à autoriser (ex : FTP) puis cliquer sur «Ajouter» (cf. Fig. 8) - Sélectionner l action «NAT» puis cliquer sur «Valider» (cf. Fig. 9)

Fig. 8 Fig. 9 La règle a été créée. Les utilisateurs du réseau «Remote_LAN» peuvent se connecter sur des sites FTP publiés sur internet. Exemple 2 : Configuration de règles spécifiques pour un site web en DMZ Besoin : Autoriser l envoi d e-mails via l Eye-Box depuis un site web hébergé en DMZ. Nous donnons ici des indications sur la marche à suivre. Les paramètres de configuration ne sont pas détaillés. 1. Menu «Configuration avancée», Onglet «Règles», sélectionner «DMZ» comme source et «Appliance» comme destination puis cliquer sur «Créer une nouvelle règle» 2. Cliquer sur «Ajouter des services», sélectionner le service SMTP puis cliquer sur «Ajouter» 3. Cliquer sur «Valider» Les sites web hébergés en DMZ peuvent à présent envoyer des e-mails en utilisant l Eye-Box comme serveur smtp de relais. Autres possibilités non détaillées ici : Configurer des règles pour une seule machine Configurer des règles au sein d un tunnel VPN ou PPTP En conclusion, la configuration avancée du firewall permet de personnaliser le firewall très finement et de gérer les réseaux les plus complexes. SAUVEGARDE / RESTAURATION DE REGLES Il est recommandé de sauvegarder les règles immédiatement après avoir terminé la configuration, en allant dans le menu «Sauvegarde / restauration de règles». La sauvegarde pourra être restaurée sur une autre machine et ce même si les adresses de réseaux sont différentes.

TROUBLESHOOTING Retrouver rapidement des règles de configuration Etant données les nombreuses possibilités de l outil, il est possible qu un service soit autorisé alors que l on ne retrouve pas la règle associée dans l interface. Dans ce cas, rendez-vous dans le Menu «Logs et test» puis sélectionner l onglet «Tester». Il est possible, dans cette interface, de saisir une adresse IP ou un numéro de port et d afficher toutes les règles saisies relatives à cette information. Par exemple, pour retrouver les règles relatives au port FTP, il suffit de saisir 21 dans le champ «port de destination» puis de cliquer sur l icône de visualisation. Analyser un problème sur le réseau Lorsque le firewall est configuré celui-ci peut constituer un outil intéressant pour l analyse d un problème réseau. Si une machine du réseau rencontre un problème (ex : lenteur, plus d accès à internet ), il est possible d extraire des logs toutes les connexions faites par cette machine et ayant transité par l Eye-Box. Pour cela, les logs doivent être préalablement activés dans l onglet «Configuration des logs» du menu «Logs et tests». Rendez-vous ensuite dans l onglet «Visualiser les logs», saisir l adresse IP de la machine qui pose problème dans le champ «Rechercher» puis cliquer sur l icône de visualisation. Rem : Pour des raisons de performance, nous ne recommandons pas laisser la génération des logs active en permanence.