Alphorm.com Formation Sophos UTM

07/01/2016
1
Formation Sophos UTM alphorm.com™©
Djawad KASSOUS
Formateur et Consultant indépendant
Solutions TI Réseaux et Sécurité
Formation
Sophos UTM
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Forum : http://forum.alphorm.com

07/01/2016
2
Plan
• Présentation du formateur
• Présentation de la formation
• Contenu pédagogique
• Plan de la formation
• Public concerné
• Compétences requises
• Ressources et liens utiles

07/01/2016
4
Présentation de la formation
• Comprendre le fonctionnement des UTM
• Se familiariser avec les produits Sophos
• Comment déployer Sophos UTM sur les différents niveaux du réseau
• Installer et configurer Sophos UTM
• Configurer les différents services de sécurité (Réseaux, Web, Serveur, Wifi, …)
• Explorer et configurer les solutions liées (RED, AP)
• Administrer Sophos UTM
• Comment intégrer Sophos UTM aux différents services de l’entreprise

07/01/2016
5
Contenu pédagogique
• Présentation de la solution
• Compréhension technique
• Concept de base et principe de fonctionnement
• Démonstration réelle (cas pratiques)
• Ateliers pratiques (Labs)
• Astuces et bonnes pratiques
• Validation des acquis (QCM)
• Support de cours

07/01/2016
6
Plan de la formation
1. Introduction à la formation
2. Environnement de travail
3. Les fondamentaux
4. Installation et vue d'ensemble
5. Configuration du système
6. Gestion des objets
7. Interfaces et Routage
8. Authentification des utilisateurs
9. Services réseau
10. Protection des réseaux
11. Protection Web
12. Email Protection
13. Endpoint Protection
14. Wireless Protection
15. Webserver Protection
16. Gestion de RED
17. VPN site à site
18. Accès à distance
19. Reporting et journalisation
20. Dimensionnement et Support
21. Support et outils
22. Conclusion

07/01/2016
7
• Partenaires Sohpos : Certification SCE/SCA
• Administrateurs et Techniciens Réseaux
• Ingénieurs Sécurité des réseaux et systèmes
• Migration vers Sophos (Cisco Asa, Fortinet, Websense, pfSense,
Cyberoam, Sonicwall, MS TMG FF, ISA, etc…)
• Institution non lucrative, SOHO (Sophos Home Edition Solution gratuite
et complète)
Public concerné

07/01/2016
8
Compétences requises
• Protocoles Réseau : TCP/IP, Adressage IP, CIDR, Routage, DNS, DHCP
Certification : Cisco CCNA R&S / ComptiA N+
• Pare-feu, AV
• Notions Hardware.
• Connaissance des notions réseaux Windows
• Environnement Windows Serveur, AD, Hyper-V, VW.
• Notions Wifi, Notions VPN.

07/01/2016
9
Ressources et liens utiles
• Le site officiel : https://www.sophos.com
• Le site de la communauté officielle : https://community.sophos.com/
• Chaine Youtube : https://www.youtube.com/user/SophosLabs
• …

07/01/2016
10
Are you ready ? ☺

07/01/2016
11
Djawad KASSOUS
Ingénieur Réseaux et Sécurité
C'est qui Sophos ?
Qu'est-ce que l'UTM ?
Introduction à la formation

07/01/2016
12
Plan
• C’est qui Sophos ?
• Qu'est-ce que l'UTM ?
• Produits et Outils
• Visite guidée sur le site officiel

07/01/2016
13
C’est qui Sophos ?
• Fondée en 1985, à Oxford (Angleterre)
• Logiciels et Appliances de sécurité uniquement
• Antivirus, anti-spywares, anti-spam, pare-feux, UTM, Wireless, VPN, Chiffrement des
données, …
• Ordinateurs de bureau, serveurs, serveurs de courrier électronique, réseaux d'entreprise,
smartphones/tablettes, …
• En 2003 > (Passerelle email)
• En 2009 > (Chiffrement)
• En 2011 > (UTM, pare-feu)
• En 2012 > ( (Gestion des terminaux mobiles)
• En 2014 > (UTM, pare-feu)

07/01/2016
14
• Unified Threat Management / Gestion unifiée des menaces
• Une seule passerelle regroupe Protection + Gestion
• Pare-feu nouvelle génération, IPS/IDS, Routage, …
• Anti-spam, Anti-virus, Mail Proxy, Filtrage-Web
• VPN, Accès distant, Sécurité des bureaux distants
• Protection Wifi, Gestion des Hotspot
• Continuité de services, Haute disponibilité(AA/AP), …
• Interface Full-web intuitive

07/01/2016
3
Présentation du formateur
Mohamed Djawad KASSOUS
• Ingénieur en Electronique : Systèmes informatique industrielle
Robotique, Automatisme, API, DSP, Arduino (µC)
• Responsable Technique | Partenaire MS, Cisco, Sophos, Symantec, IBM, Kaspersky, …
• Consultant indépendant :
Infrastructure Windows Server : 2008/2012 R2
Messagerie MS Exchange 2010/2013/Online (O365)
Virtualisation : MS Hyper-V, VMware vSphere
Sécurité des réseaux : Pare-feu, UTM, VPN, Routeurs, …
Backup et Stockage : Symantec Backup Exec (Veritas BE)
• mdkassous@gmail.com | dz.linkedin.com/in/dkassous | viadeo.com/fr/profile/djawad.mohamed.kassous

07/01/2016
16

07/01/2016
17
Produits et outils
Produits :
• Les UTM (Appliances Hardwares, Softwares, Virtuelles, Cloud), / Home Edition complet
• Pare-feu NG, Secure Web & Email Gateway, Sophos UTM Essential Firewall
• Access Point (AP10, AP30, AP50, …)
• RED (Remote Ethernet Device)
Logiciels :
• S. Endpoint AV (Win, Mac*, Linux**), Virus Removal Tool
• Sophos Enduser Protection
• Mobile Control & MDM, Mobile Security for Android*
• Sophos SafeGuard Enterprise (Chiffrement & DLP)

07/01/2016
18
Produits et outils
L’UTM en version Appliance Virtuelles est compatible avec les plateformes de virtualisation
suivantes :
• VMware ESXi 5.1
• Microsoft HyperV 2008 R2
• KVM 1.0 kernel 3.2.0-29-generic (Ubuntu 12.04 LTS)
• Citrix XenServer 6.0 Enterprise

07/01/2016
19
• https://www.sophos.com
Visite guidée

07/01/2016
20
Ce qu’on a couvert
• Connaitre les produits Sophos en général
• Connaitre les fonctionnalités des UTM Sophos
• Vue d’ensembles des fonctionnalités

07/01/2016
21
Djawad KASSOUS
Environnement
de travail

07/01/2016
22
Plan
• Eléments constitutifs du Lab
• Schéma de liaison
• Schéma du Lab
• Liens de téléchargement

07/01/2016
23
Eléments constitutifs du Lab
• 3 Connexions Internet (Optionnel)
• Hyperviseur (Hyper-V ou VMware) : 5 Machines virtuelles
• 2 VM Sophos UTM avec 3 Interfaces réseau chacune (dont 2 Obligatoires)
• 1 VM Windows Serveur (Domaine + DNS + GPO)
• 2 VM Clients Windows
> Ce que j’utilise :
• Sophos UTM Software 9.3
• VMware Workstation Pro 12 | Windows Server 2012 R2 | Windows 10

07/01/2016
24
Site principal Site distant
UTM DC IT UTM RemotePC
Domaine Alphorm.lan -
Nom Alphorm_UTM DC.Alphorm.lan IT.Alphorm.lan BO_UTM RemotePC
LAN 10.10.10/24 172.16.0.0/24
Adresse IP 10.10.10.1 10.10.10.2 10.10.10.5 172.16.0.1 172.16.0.5
Passerelle - 10.10.10.1 172.16.0.1
Version
UTM Software
9.3
Win Server
2012 R2
Windows 10
UTM Software
9.3
Windows 10

07/01/2016
25
Site HQ Site distant
HQ LAN
HQ WAN1
HQ WAN2
BO LAN
BO WAN
Tunnel VPN
Schéma de liaison

07/01/2016
26
Schéma du LAB

07/01/2016
27
Liens de téléchargement
• Lien vers l’Image UTM Software : https://www.sophos.com/fr-fr/support/utm-downloads.aspx
• Liens vers VMware Workstation : https://www.vmware.com/fr/products/workstation
• Formation VMware Workstation :

07/01/2016
28
• Les différents éléments qui constituent le LAB
• Le LAB
• L’infrastructures et les différentes adresses des machines

07/01/2016
29
Djawad KASSOUS
Constitution du LAB

07/01/2016
30
Plan
• Etapes de configuration
• Schéma du Lab
• Schéma de Liaison
• Démonstration

07/01/2016
31
Etapes de configuration
• Configuration de VMware Workstation
• Création des réseaux sur Workstation
• Création et configuration des VM Sophos UTM sur Workstation
• Création et configuraion des VM Windows Server + Client
• Configuration du domaine AD Alphorm.lan et sa personnalisation
• Configuration des PCs et leur jonction au domaine
• Nom du DC : DC.Alphorm.lan
• Nom du Client AD : IT.Alphorm.lan
• Mot de passe (LAB): @lphorm2015

07/01/2016
32
Schéma du LAB

07/01/2016
33
HQ LAN
HQ WAN1
HQ WAN2
BO LAN
BO WAN
Tunnel VPN
Schéma de liaison

07/01/2016
34
Démonstration
Démo…

07/01/2016
35
• Etapes de configuration
• Schéma du Lab & Schéma de Liaison
• Démonstration

07/01/2016
36
Djawad KASSOUS
Les bases de la
cryptographie
Les fondamentaux

07/01/2016
37
Plan
• Notion de Cryptage
• Cryptographie Symétrique
• Cryptographie Asymétrique
• La fonction du hachage
• Signature numérique
• Certificat numérique

07/01/2016
38
Notion de Cryptage
• Le cryptage est une technique qui consiste à chiffrer un message (dit en clair) pour le
rendre incompréhensible (cryptogramme).
• Le but c’est de garder la confidentialité du message lors des échanges, et seul le
destinataire qui va pouvoir le déchiffrer (décrypter).
• Le Mécanisme Crypter/Décrypter est basé sur : Un Algorithme + Une Clé
Dans l’exemple : Alghorithme = César, Clé = 1
• D’où, on distingue deux cas de figure : Cryptographie Symétrique et Asymétrique
• // Message = Ensemble de bits binaires, de nature quelconque (Texte, Images, App, …)
AlphormBmqipsn
MESSAGE EN CLAIR CRYPTOGRAMME MESSAGE DÉCHIFFRÉ
CRYPTAGE DECRYPTAGEAlphorm

07/01/2016
39
Cryptographie Symétrique
• L’algorithme de cryptage symétrique utilise une même clé (dite secrète) pour le
chiffrement et le déchiffrement.
• Avantage ☺ : Rapidité de traitement
• Inconvénients :
La clé est susceptible aux risques
Autant de clés que de destinataires
Comment transporter la clé de manière sécurisée ?
• Exemples : AES, DES, 3DES, …
• Plus la clé est complexe, plus le chiffrement est plus sûr : Yn
Alphorm AlphormBmqipsn
Clé X
- Déchiffrement-
Clé X
- Chiffrement-

07/01/2016
40
Cryptographie Asymétrique
• L’algorithme de cryptage Asymétrique utilise deux clés différentes pour crypter et/ou décrypter le
message.
• Une clé Privée secrète et une clé Publique diffusée.
• Avantage ☺ : Confidentialité parfaite
• Inconvénients : Lenteur de traitement (~103)
En pratique :
On utilise le mécanisme de cryptage Asymétrique pour chiffrer la clé symétrique
Cette dernière sera utilisée pour décrypter le message crypté en Symétrique
Alphorm Alphorm#####
Clé publique
Expéditeur
Clé privée
Expéditeur
Alphorm Alphorm#####
Clé privée
Destinataire
Clé publique
Destinataire

07/01/2016
41
La fonction du hachage
• Le hachage est une fonction qui permet de calculer à partir d’un contenu X (Texte, image,
apps, …) en un ensemble de bits unique plus petit (dit condensé) généralement noté en
Hexadécimal, appelé Empreinte digitale (Finger Print)
• Le Hachage est une fonction irréversible (one-way function), il est impossible de retrouver
le contenu original.
• La moindre modification du contenu entraîne la modification du Hash
• Algorithmes : MD5, SHA-2, SHA-3, …
• Le hash est utilisé pour générer la signature numérique …
Bonjour à tous et bienvenu sur
Alphorm.com
Alphorm.com
Alphorm.com
Alphorm.com
Alphorm.com
Alphorm.com
Alphorm.com
Alphorm.com
Alphorm.com
Alphorm.com
Alphorm.com
Alphorm.com
# HASH() # 001fed5520099fe14fa11c5b9

07/01/2016
44
• Cryptographie Symétrique
• Cryptographie Asymétrique
• Notion d’Empreinte
• Signature numérique
• Certificat numérique

07/01/2016
45
Djawad KASSOUS
Notions de bases
d’Active Directory
Les fondamentaux

07/01/2016
46
Plan
• Qu’est-ce-que c’est AD ?
• Le rôle d’AD
• Les objets AD
• Architecture AD

07/01/2016
47
Qu’est-ce-que c’est AD ?
• Active Directory (AD) est la mise en œuvre par Microsoft des services d'annuaire
pour les systèmes d'exploitation Windows. L'objectif principal d’AD est de
fournir des services centralisés d'identification et d'authentification à un réseau
d'ordinateurs utilisant le système Windows. (Sources : Wikipedia)
• AD stocke les éléments d'un réseau tels que les comptes des Utilisateurs,
Groupes, les Serveurs, les Postes de travail, les Imprimantes, etc… sous forme
d’objets
• Objectifs :
Architecture et organisation hiérarchisée (OU, CN, Domaines, Forêt, Sites; …)
Administration centralisée
Une base de données Objets
Une gestion des permissions pour les ressources réseau.

07/01/2016
48
Architecture AD
• Forêt
Arborescence
Domaine
CN
OU
Groupe
Comptes Utilisateurs / Equipements

07/01/2016
49
Formation AD 2008 R2
• http://www.alphorm.com/tutoriel/formation-en-ligne-active-directory-
2008-r2-70-640

07/01/2016
50
• Qu’est-ce-que c’est AD ?
• Le rôle d’AD
• Les objets AD
• Architecture AD

07/01/2016
51
Djawad KASSOUS
Notions de la sécurité
et des menaces
Les fondamentaux

07/01/2016
52
Plan
• Code Malicieux (Malware)
• Les types des codes malicieux
• Virus
• Cheval de troie
• Vers
• Bots
• Techniques de détection des malwares

07/01/2016
53
Code Malicieux (Malware)
• Un Malware est un programme qui a pour but d’Endommager ou
d’Altérer le fonctionnement d’un ordinateur, mais aussi d’avoir accès
aux informations et données sensibles et aux équipements à distance
(Ordinateurs, Serveur, Carte bancaires, etc.).
• Principalement ils sont conçus pour endommager le fonctionnement du
parc informatique en général, mais aussi pour gagner de l’argent.

07/01/2016
54
Les types des codes malicieux
Code Malveillant
Malware
Nécessite un
programme
Cheval de Troie
Virus
Autonome
Vers
Bots

07/01/2016
55
Cheval de troie
• Un cheval de Troie (Trojan Horse) est un type de programmes malveillants, qui
apparait pour l’utilisateur comme un programme fiable, mais qui contient une
malveillance à l’intérieur.
• Le rôle du cheval de Troie est de transporter le programme malveillant qu’il
contient sur l'ordinateur visé à l’aide de l’utilisateur final; Ensuite de l'installer
sans que ce dernier le sache.
• Il peut s'agir de n'importe quel type de malware : Virus, Worm, Bot, Spyware... Et
C'est ce malware, et lui seul, qui va endommager l’ordinateur sur lequel il sera
exécuté.
• Le cheval de Troie n'exécute aucune action, il joue le rôle d’un conteneur, donc il
ne représente pas un danger en lui-même.

07/01/2016
56
Virus
• Le tout premier code malveillant, il nécessite un hôte pour se propager et
endommager la cible (tout comme les virus biologiques qui nécessitent une
cellule pour se répliquer et infecter le corps).
• Souvent, ils sont confondus avec les autres malwares, faisant la relation avec les
« Anti-Virus ».
• Ils peuvent être transportés via des programmes divers, Emails, Supports
amovibles, …
• Une fois exécutés sur la cible, ils peuvent faire des dégâts multiples allant de
nuire à l’activité de l’utilisateur, jusqu’au contrôle distant de l’ordinateur, le
corrompre, ou même le vol des informations/données sensibles.

07/01/2016
58
Bots
• Botnet est un réseau d’ordinateurs infectés par des Bots, qui vont
donner accès aux pirates pour contrôler ces ordinateurs (Zombies) à
distance.
• Les hackers, BotMasters, utilisent des serveurs pour y accéder, appelés :
Serveur C&C (Command & Control)
• Les Botmasters utilisent les zombies pour exécuter des tâches afin de
cacher leurs identités : Envoyer des spams, attaquer d’autres cibles,
vendre les accès à des données sensibles …

07/01/2016
59
Techniques de détection
• Détection basée sur la signature : Les logiciels anti-malware comparent les empreintes (Fingerprint)
des codes malveillants avec sa base virale. Cette méthode présente quelque limites :
• La détection des nouveaux malwares qui ne sont pas encore identifiés sur la base.
• Dans le cas ou une partie du code malveillant change, l’empreint ne sera plus la même.
• Détection heuristique : Cette méthode détecte les malwares en examinant le code source du
programme, la classification « Malware » d'est décidée suite à une analyse des instructions douteuses
et/ou non conforme de ce, dont un programme sain ne va pas contenir.
Limites : Faux positifs
• Détection comportementale : Cette méthode détecte les malwares en examinant l’activité du
programme du programme en temps réel, la classification « Malware » d’un programme est décidée
suite à un comportement suspect et/ou corruptible de ce programme, ceci inclut les actions
modification système, initiation des communications réseau etc.
Tout comme la précédente, elle peut détecter les malwares qui ne figurent pas sur la base virale.
• Détection basée sur le Cloud : Elle est basée sur les trois premières méthodes pour la détection,
Mais elle se différencie sur : La collecte des données à partir des endpoint protégés connectés au cloud
de l’éditeur, formant un parc mondial de plusieurs systèmes et cas. Ce qui permet aux uns de bénéficier
des expériences des autres et en temps réel.

07/01/2016
60
• Code Malicieux (Malware)
• Les types des codes malicieux
• Virus
• Cheval de troies
• Ver
• Bots
• Techniques de détection

07/01/2016
61
Djawad KASSOUS
Installation
Installation et vue d'ensemble

07/01/2016
62
Plan
• Prérequis
• Chargement de l’ISO Sophos UTM Software
• Lancer l’installation de l’appliance virtuelle

07/01/2016
63
Prérequis
• L’image ISO de l’UTM version : Virtual Appliance (https://www.sophos.com/fr-fr/support/downloads/)
• L’UTM en version Appliance Virtuelles est compatible avec les plateformes de virtualisation
suivantes :
VMware ESXi 5.1
Microsoft HyperV 2008 R2
KVM 1.0 kernel 3.2.0-29-generic (Ubuntu 12.04 LTS)
Citrix XenServer 6.0 Enterprise
• Configuration minimale de la machine (VM ou HW)
Processeur Intel Single-core
Lecteur CD-ROM
1 GB RAM (2GB Recommendé)
40 GB HDD
2 interfaces réseaux ou plus

07/01/2016
64
Schéma du LAB

07/01/2016
65
Site principal Site distant
Domaine Alphorm.lan -
Nom Alphorm_UTM DC.Alphorm.lan IT.Alphorm.lan BO_UTM RemotePC
LAN 10.10.10/24 172.16.0.0/24
Adresse IP 10.10.10.1 10.10.10.2 10.10.10.5 172.16.0.1 172.16.0.5
Passerelle - 10.10.10.1 172.16.0.1
Version
UTM Software
9.3
Win Server
2012 R2
Windows 10
UTM Software
9.3
Windows 10

07/01/2016
66
Démonstration
Démo …

07/01/2016
67
• Première installation de Sophos UTM Software

07/01/2016
68
Djawad KASSOUS
La configuration de
base via l'assistant

07/01/2016
69
Plan
• Se connecter à Sophos WebAdmin Interface
• Lancer la configuration de base guidée via le Wizard

07/01/2016
70
Démonstration
Démo …

07/01/2016
71
• Configuration de Sophos UTM Software via l’assistant

07/01/2016
72
Djawad KASSOUS
Vue d'ensemble
de l'interface

07/01/2016
73
Plan
• Se familiariser avec l’interface WebAdmin
• Découvrir les menu principaux et les sous-menus
• Les onglets et pages

07/01/2016
74
Démonstration
Démo …

07/01/2016
75
• Se familiariser avec l’interface WebAdmin
• Découvrir les menu principaux et les sous-menus
• Les onglets et pages

07/01/2016
76
Djawad KASSOUS
Les paramètres
système
Configuration du système

07/01/2016
77
Plan
• Informations de l’organisation
• Paramètres heure et date
• Accès Shell
• Moteurs de scan AV
• Restauration d’usine

07/01/2016
78
Démonstration
Démo …

07/01/2016
79
• Informations de l’organisation
• Paramètres heure et date
• Accès Shell
• Moteurs de scan AV
• Restauration d’usine

07/01/2016
80
Djawad KASSOUS
Les paramètres
WebAdmin

07/01/2016
81
Plan
• Paramètres généraux
• Control d’accès
• Certificat HTTPS
• Préférences utilisateur
• Paramètres avancés

07/01/2016
82
Démonstration
Démo …

07/01/2016
83
• Paramètres généraux
• Control d’accès
• Certificat HTTPS
• Préférences utilisateur
• Paramètres avancés

07/01/2016
84
Djawad KASSOUS
Gestion des licences

07/01/2016
85
Plan
• Les différents modules licensing
• Intégration de la licence

07/01/2016
86
Démonstration
Démo …

07/01/2016
87
• Les différents modules licensing
• Intégration de la licence

07/01/2016
88
Djawad KASSOUS
Gestion
des mises à jour

07/01/2016
89
Plan
• Mises à jour disponibles et leurs contenus
• Installation des up2dates
• Téléchargement des mises à jour

07/01/2016
90
Démonstration
Démo …

07/01/2016
91
• Mises à jour disponibles et leurs contenus
• Installation des up2dates
• Téléchargement des mises à jour

07/01/2016
92
Djawad KASSOUS
Sauvegarde
et Restauration

07/01/2016
93
Plan
• Création des sauvegarde
• Télécharger le fichier de sauvegarde
• L’envoyer par mail
• Restaurer le système à partir d’une sauvegarde
• Sauvegardes automatiques

07/01/2016
94
Démonstration
Démo …

07/01/2016
95
• Création des sauvegarde
• Télécharger le fichier de sauvegarde
• L’envoyer par mail
• Restaurer le système à partir d’une sauvegarde
• Sauvegardes automatiques

07/01/2016
96
Djawad KASSOUS
Portail utilisateur

07/01/2016
97
Plan
• Paramètres du portail
• Se connecter au portail

07/01/2016
98
Démonstration
Démo …

07/01/2016
99
• Paramètres du portail
• Connexion au portail

07/01/2016
100
Djawad KASSOUS
Les notifications

07/01/2016
101
Plan
• Configuration des notifications système

07/01/2016
102
Démonstration
Démo …

07/01/2016
103
• Configuration des notifications

07/01/2016
104
Djawad KASSOUS
Personnalisation

07/01/2016
105
Plan
• Personnalisation du logo
• Message de bienvenu
• Messages utilisateurs

07/01/2016
106
Démonstration
Démo …

07/01/2016
107
• Personnalisation du logo
• Message de bienvenu
• Messages utilisateurs

07/01/2016
108
Djawad KASSOUS
Gestion des objets
réseau
Définition des objets

07/01/2016
109
3. Les fondamentaux
9. Services réseau
11. Protection Web
12. Email Protection
16. Gestion de RED
17. VPN site à site
21. Support et outils
22. Conclusion

07/01/2016
110
Plan
• Qu’est ce qu’un objet ?
• Pourquoi ?
• Nature des définitions
• Définir des objets Network
• Définir des objets Host
• Définir des objets Network Group
• Créer des objets « Groupe de disponibilité »
• Définir des adresses MAC

07/01/2016
111
Qu’est ce qu’un objet ? Et pourquoi ?
• La définition d’objets sur Sophos UTM peut être interprétée comme
des raccourcis logiques vers des Réseaux, des Equipements (Hôtes)
dans le réseau, des liens URL ou des Groupes.
• Les définitions qui peuvent être créées :
Host, DNS Host, DNS Group, Network,
Range, Multicast group, Network group,
Availability group, MAC Address
Ces objets vont être utilisés sur les autres menus
de Configuration de WebAdmin, pour une meilleure gestion
tel que : Filtrage web, NAT, Règles firewall basés sur MAC, …

07/01/2016
112
Nature des definitions
• Network : Définition d’une plage réseau
Nom : Direction
Réseau : 192.168.0.0/24
• Host : Définit l’adresse IP d’un hôte
Nom : Serveur_Exchange_01
Adresse : 192.168.0.127
• Network Group : Regroupe des définitions réseaux
Nom : Restricted_Alphorm_Paris
Objets : Sales_Network, Serveur_Exchange_01, HR-PC
• Groupe de disponibilité :
Contient des définitions Host ou DNS (@IP ou Nom d’hôte) + ordre priorité.
• Adresses MAC : affecte une adresse MAC à un hôte (#getmac)
iPhone_DG > 00:F5:16:E2:3A:9B

07/01/2016
113
Démonstration
Démo …

07/01/2016
114
• Qu’est ce qu’un objet ?
• Pourquoi ?
• Nature des définitions
• Définir des objets Network
• Définir des objets Host
• Définir des objets Network Group
• Créer des objets « Groupe de disponibilité »
• Définir des adresses MAC

07/01/2016
115
Djawad KASSOUS
Gestion des objets
Services

07/01/2016
116
Plan
• Qu’est-ce qu’une Définition Service ?
• Découvrir les objets Services existants
• Définir des objets Services

07/01/2016
117
Qu’est-ce qu’une Définition Service ?
• Les définitions de type « Services » utilisent une combinaison de protocoles et options de protocoles
‘’ports source et de destination’’ pour définir un de trafic réseau.
• Ces définitions seront ensuite utilisées dans le Sélecteur de trafic réseau afin d’accepter et/ou rejeter ce
trafic dans règles (Ex. : Règles FW).
• Les types de définition de services disponibles :
TCP : Transmission Control Protocol, Utilise des ports (Source/Destination).
UDP : User Datagram Protocol, utilise des ports (Source/Destination).
TCP/UDP : Pour les applications qui communiquent avec les deux protocoles (DNS).
ICMP/ICMPv6 : Ce champ contient une liste de codes ICMP.
ESP / AH : utilisés pour la communication IPsec.
Group : Regrouper plusieurs définitions de services sous un seul groupe.
Comme pour la définition de type Réseau, Le type ne peut pas être modifié.

07/01/2016
118
Démonstration
Démo …

07/01/2016
119
• Les objets Services existants
• Définir des objets Services

07/01/2016
120
Djawad KASSOUS
Définition
des plages horaires

07/01/2016
121
Plan
• Vue d’ensemble des plages horaires existantes
• Définition des périodes personnalisées

07/01/2016
122
Démonstration
Démo …

07/01/2016
123
• Vue d’ensemble des plages horaires existantes
• Définition des périodes personnalisées

07/01/2016
124
Djawad KASSOUS
Gestion des
Utilisateurs & Groupes
Définitions des objets

07/01/2016
125
Plan
• Définition et gestion des utilisateurs
• Définition et gestion des groupes
• Comprendre les différentes options disponibles

07/01/2016
126
Démonstration
Démo …

07/01/2016
127
• Création des utilisateurs
• Création des groupes
• Découvrir les différentes options disponibles

07/01/2016
128
Djawad KASSOUS
Gestion des interfaces
Interfaces et Routage

07/01/2016
129
Plan
• Types d’interfaces disponibles
• Découvrir les interfaces existantes
• Création de nouvelles interfaces
• Adresse multiples sur la même interfaces

07/01/2016
130
Types d’interfaces disponibles
• 3G/UMTS : Connecter des modems USB 3G/UMTS (Reboot nécessaire).
HCL : https://www.sophos.com/fr-fr/support/knowledgebase/116169.aspx
• DSL : Connecter une ligne ADSL compatible PPPoA/PPPoE, nécessite un modem
ADSL en amont.
• Ethernet : Interface Ethernet Standard (Network ou GW)
• Ethernet Bridge : Joindre deux réseaux entre eux.
• Ethernet Vlan : Créer une interface Vlan taguée.
• Modem PPP : Brancher un modem PPP sur une
interface Série.
• Group : Combiner deux interfaces ou plus, pour
Simplifier la gestion de plusieurs interfaces.

07/01/2016
131
Démonstration
Démo …

07/01/2016
132
• Types d’interfaces disponibles
• Découvrir les interfaces existantes
• Création de nouvelles interfaces
• Adresse multiples sur la même interfaces

07/01/2016
133
Djawad KASSOUS
Uplink Balancing
(Haute disponibilité Internet)

07/01/2016
134
Plan
• Qu’est ce que c’est Uplink Balancing ?
• Compréhension des paramètres disponibles
• Configuration de la haute disponibilité d’internet

07/01/2016
135
Qu’est ce que c’est Uplink Balancing ?
• Uplink balancing = Répartition de charges sur les connexions internet (Multi WANs)
Internet Hautement disponible.
• Deux modes sont disponibles :
1. Actif / Actif :
Les deux liens travaillent en permanence pour garantir une
meilleure gestion de débit.
2. Actif / Passif :
L’une des connexion est active, elle assure tout le trafic internet ;
l’autre est en Standby, elle prend le relai lorsque la première
interface tombe.

07/01/2016
136
HQ LAN
HQ WAN1
HQ WAN2
BO LAN
BO WAN
Tunnel VPN
Schéma d’interconnexion

07/01/2016
137
Schéma du LAB

07/01/2016
138
Compréhension des paramètres disponibles
> Le poids : Priorité du routage du trafic
On peut affecter un poids pour chaque interface, allant de 0 jusqu’à 100,
le poids représente le coefficient de la quantité du trafic passant par une
interface par rapport à l’autre. Le basculement se fait en utilisant
l’algorithme Round Robin.
Plus le poids d’une interface est élevé, plus le trafic passe par celle-ci.
> Monitoring : Vérification de l’état des liens Internet
Par défaut, l’UTM utilise la configuration « Automatic monitoring » pour
vérifier l’état des liens internet, avec un interval de test de 15s.
Ce paramètre peut être modifié.

07/01/2016
139
Démonstration
Démo …

07/01/2016
140
• Qu’est ce que c’est Uplink Balancing ?
• Configuration de la haute disponibilité d’internet
• Compréhension des paramètres disponibles

07/01/2016
141
Djawad KASSOUS
Règles à
chemins multiples

07/01/2016
142
Plan
• Configuration

07/01/2016
143
Compréhension technique

07/01/2016
144
Démonstration
Démo …

07/01/2016
145
• Configuration

07/01/2016
146
Djawad KASSOUS
Qualité de service
QoS

07/01/2016
147
Plan
• Qu’est-ce-que c’est la QoS ?
• Sélecteur de trafic
• Allocation de la bande passante
• Limitation de téléchargement
• Configuration

07/01/2016
148
Qu’est-ce-que c’est la QoS ?

07/01/2016
149
Démonstration
Démo …

07/01/2016
150
• Qu’est-ce-que c’est la QoS ?
• Sélecteur de trafic
• Allocation de la bande passante
• Limitation de téléchargement
• Configuration

07/01/2016
151
Djawad KASSOUS
Routage statique et
routage conditionnel

07/01/2016
152
Plan
• Découvrir le routage statique sur l’UTM
• Comprendre le routage conditionnelle
• Configuration

07/01/2016
153
Découvrir le routage statique sur l’UTM
• Routage d’interface
• Routage de passerelle
• Routage Blackhole

07/01/2016
154
Comprendre le routage conditionnelle

07/01/2016
155
Démonstration
Démo …

07/01/2016
156
• Découvrir le routage statique sur l’UTM
• Comprendre le routage conditionnelle
• Configuration

07/01/2016
157
Djawad KASSOUS
Authentification Distante
Active Directory
Authentification

07/01/2016
158
Plan
• Qu’est ce que c’est l’authentification distante ?
• Découvrir les paramètres disponibles
• Configurer le serveur d’authentification distant

07/01/2016
159
Qu’est ce que c’est l’authentification distante ?
• L’authentification distante permet la synchronisation des utilisateurs et
groupes avec les serveurs d’annuaires Active Directory, Ldap, eDirectory,
Radius, etc…
• Création automatique des utilisateurs pour les services :
Client d’authetification
Filtrage Web
User Portal
WebAdmin
Hotspot wifi

07/01/2016
160
Configurer le serveur d’authentification distant
• Créer un utilisateur d’authentification dans AD (Droits Admin du domaine)
• Récupération de son DN (Distinguished Name)
• Choisir Active Directory pour Backend Server
• Sélectionner le port AD : 389 pour LDAP, 636 pour LDAPS (SSL)
• DN de base : Le conteneur racine des utilisateurs
Si Vide = le DN de base est automatiquement récupéré

07/01/2016
161
Démonstration
Démo …

07/01/2016
162
• Qu’est ce que c’est l’authentification distante ?
• Découvrir les paramètres disponibles
• Configurer le serveur d’authentification distant

07/01/2016
163
Djawad KASSOUS
Authentification unique
Single-Sign-On (SSO)
Authentification

07/01/2016
164
Plan
• Qu’est ce que c’est SSO ?
• SSO et UTM
• Configurer l’authentification SSO

07/01/2016
165
Qu’est ce que c’est SSO ?
• Le SSO Single-Sign-On est un moyen qui permet à un utilisateur de
s’authentifier une seule fois pour de multiples services compatibles.
• AD, Application métiers, Sites web, ERP, etc.
• Eviter les connexions répétées
• Ne plus retenir des mots de passes pour chaque service
• Un seul accès partout
• Transparent pour l’utilisateur
• Gestion plus simple

07/01/2016
166
SSO et UTM
• Utilisé pour le filtrage WEB uniquement
• Un compte Ordinateur est créé automatiquement Pas manuellement
• Un enregistrement DNS A Record ‘Nom d’hôte’ est créé automatiquement, Sinon manuellement
Prérequis :
• Le serveur d’authentification distant Active Directory doit être Créé et Configuré
• Un utilisateur Admin autorisé à ajouter des ordinateurs à ce domaine
• Un enregistrement DNS A Record pour l'UTM dans le domaine Active Directory.
• Tous les postes de travail doivent être liés au domaine et doivent être en mesure de résoudre l'adresse
interne de l'UTM à la fois par le nom d'hôte et FQDN
• Le décalage horaire entre l’UTM et l’AD ne dépassent pas 300 secondes.
• Le même serveur NTP pour l’UTTM et l’AD.
• Les requêtes DNS du domaine local pointent vers l’un des serveurs DNS pour le domaine Active
Directory.

07/01/2016
167
Démonstration
Démo …

07/01/2016
168
• Qu’est ce que c’est SSO ?
• SSO et UTM
• Configurer l’authentification SSO

07/01/2016
169
Djawad KASSOUS
Mot de passe à usage
unique (OTP)
Authentification

07/01/2016
170
Plan
• Qu’est ce que c’est OTP et TOTP ?
• Comment ça marche ?
• Configuration

07/01/2016
171
Qu’est ce que c’est OTP et TOTP ?
• OTP (On-Time-Password) : Mot de passe à usage unique
• TOTP (Time-based-One-Time-Password) : OTP Basé sur le temps
• Nouveauté 9.2
• Une authentification à double facteurs
• Valide pour une seule connexion
• L’ancien MDP expire automatiquement suite de la génération du nouveau
• Amélioration de la sécurité

07/01/2016
172
Comment ça marche ?
Votre Login

07/01/2016
173
Démonstration
Démo …

07/01/2016
174
• Qu’est ce que c’est OTP et TOTP ?
• Comment ça marche ?
• Configuration

07/01/2016
175
Djawad KASSOUS
DNS
Services réseau

07/01/2016
176
Plan
• Qu’est ce que c’est DNS ?
• Compréhension techniques
• Les rôles DNS associés à l’UTM
• Configuration

07/01/2016
177
Qu’est ce que c’est DNS ?
• Domaine Name System, est un service qui fait la traduction des noms de
domaine en adresse IP.
• Chaque nom de domaine est associé à une adresse IP
• Le mécanisme de traduction Nom/Adresse est appelé Résolution DNS
• L’attribution d’une adresse IP à un nom de domaine est appelée Enregistrement
DNS
dc.alphorm.lan 10.10.10.2
Résolution
Enregistrement

07/01/2016
206
Comprehension techniques
• L'IPS de Sophos UTM a une base de données d'environ 20 000 règles pour
détecter les attaques. Elle est triée en catégories et sous-catégories pour
simplifier sa gestion.
• Les paramètres peuvent être activés et configurés au niveau de la catégorie ou
de la sous-catégorie.
Quand une attaque est détectée, l'action produite peut être soit une alerte ou soit le blocage du
trafic.
L'âge d'une règle peut être configuré pour chaque catégorie à 6, 12, 24 mois ou sans limite d’âge.
• Certaines règles ont plus de 8 ans. Pour améliorer les performances du système IPS, les règles
peuvent donc être filtrées selon leurs âges.
L'option Notify envoie un courriel à l'adresse de l’administrateur pour chaque évènement
correspondant à une règle respective.
• *Activer les notification : Management > Notifications > Notifications

07/01/2016
207
Démonstration
Démo …

07/01/2016
208
• Qu’est ce que c’est IPS ?
• Compréhensions techniques
• Configuration

07/01/2016
209
Djawad KASSOUS
Advanced Threat Protection
(ATP)
Protection des réseaux

07/01/2016
210
Plan
• Qu’est ce que c’est ATP ?
• Configuration

07/01/2016
211
Qu’est ce que c’est ATP ?
• L’ATP (Advanced Threat Protection) est une technique qui, inversement à l’IPS,
protège le réseau en surveillant le trafic sortant qui quitte le LAN en allant vers
Internet.
• L’objectif c’est de détecter les Botnets et les ordinateurs contaminés (Zambies)
sur le réseau local qui communiquent avec les Serveurs C&C (Command &
Control) utilisés par les hackers pour contrôler les réseaux à distance.
• Alerter ou Abandonner le trafic, ce sont les deux actions à mener lors la
détection d'une menace.
• Il est possible de créer des exceptions pour des hôtes, des réseaux
et des menaces* spécifiques.

07/01/2016
212
Démonstration
Démo …

07/01/2016
213
• Configuration

07/01/2016
214
Djawad KASSOUS
Advanced Threat Protection
(ATP)
Protection des réseaux

07/01/2016
215
Plan
• Configuration

07/01/2016
216
Qu’est ce que c’est ATP ?
• L’ATP (Advanced Threat Protection) est une technique qui, inversement à l’IPS,
protège le réseau en surveillant le trafic sortant qui quitte le LAN en allant vers
Internet.
• L’objectif c’est de détecter les Botnets et les ordinateurs contaminés (Zambies)
sur le réseau local qui communiquent avec les Serveurs C&C (Command &
Control) utilisés par les hackers pour contrôler les réseaux à distance.
• Alerter ou Abandonner le trafic, ce sont les deux actions à mener lors la
détection d'une menace.
• Il est possible de créer des exceptions pour des hôtes, des réseaux
et des menaces* spécifiques.

07/01/2016
217
Démonstration
Démo …

07/01/2016
218
• Configuration

07/01/2016
219
Djawad KASSOUS
Sophos UTM
La conclusion

07/01/2016
220
L’objectif
• Comprendre le fonctionnement des UTM
• Comprendre les rôles, les services et les fonctionnalités UTM (Réseaux, Web,
DNS, NAT, Wifi, …)
• Se familiariser avec les produits Sophos (RED, AP, Pare-feu, Software, …)
• Comment déployer Sophos UTM
• Installer et configurer Sophos UTM
• Administrer Sophos UTM
• Comment intégrer Sophos UTM aux différents services de l’entreprise

07/01/2016
221
3. Les fondamentaux
9. Services réseau

07/01/2016
222
Prochaine formation
1. Protection Web
2. Email Protection
6. Gestion de RED
7. VPN site à site
Sophos UTM, Les Fonctionnalités avancées

07/01/2016
223
Conseil
• Pratiquer
• Pratiquer
•Pratiquer
•Pratiquer
•Pratiquer
•Pratiquer

07/01/2016
224
Merci ☺

Alphorm.com Formation Sophos UTM

Contenu connexe

Tendances

En vedette

Plus de Alphorm

Alphorm.com Formation Sophos UTM