Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !

UTM Services d’abonnement

Introduction

1. La société WatchGuard

Avant d’aller plus loin, arrêtons-nous un instant sur la société WatchGuard, afin de mieux comprendre la logique des services derrière la stratégie de l’éditeur.

WatchGuard est une société américaine créée en 1966 à Seattle dans l’État de Washington. En 1999, elle est cotée au NASDAQ. En 2022, l’investisseur Vector Capital devient majoritaire dans le capital afin d’accélérer encore la croissance de l’entreprise. C’est un des leaders mondiaux en matière de cybersécurité sur les domaines suivants : UTM, MFA, WISP, EDR et, dernièrement, les xDR.

Les produits et les services WatchGuard sont recommandés par de nombreux spectateurs et commentateurs du marché (Forrester, Gartner, GigaOM, etc.).

Par exemple, Gartner, dans son fameux Magic Quadrant, indique l’UTM WatchGuard Firebox comme produit visionnaire en 2018 face à des géants comme Cisco, CheckPoint, Sonicwall, Sophos ou encore Palo Alto.

WatchGuard en quelques chiffres (source Distributique.com 07/05/2019) :

  • +500 employés.

  • +200 M$ en 2018 (dont environ 10 M$ en France).

  • +18 000 revendeurs et prestataires de services spécialisés.

  • +250 000 clients à travers le monde.

Comme vous pouvez le voir, les chiffres sont importants mais restent modestes par rapport à la concurrence et l’on perçoit très clairement la logique de challengeur de cette petite société. Au niveau de l’équipe, on retrouve chez WatchGuard d’anciens employés de Gemalto, Thales, SafeNet, etc.

2. L’UTM produit au cœur du catalogue WatchGuard

La particularité de la stratégie WatchGuard est de vouloir proposer des services de protection à toutes les tailles et tous les types de sociétés. Pour cela, le catalogue produits et services se veut le plus simple et efficace possible pour couvrir un maximum de domaines. 

Comme tous les autres fabricants ou presque, les éléments fondamentaux d’un firewall (firewalling et VPN) sont inclus dans le prix du produit, c’est-à-dire qu’ils fonctionnent sans abonnement. Cependant, pour être tout à fait juste, il vous faut avoir activé...

Access Portal

Pourquoi ?

Il permet aux utilisateurs, depuis l’extérieur de l’entreprise et avec un simple navigateur (sans plugin particulier), d’accéder aux ressources situées derrière l’UTM. Et dans ce cas, il n’est pas nécessaire de monter un VPN.

Informations

Évolution

Jusqu’en 2019, Access Portal supportait la publication des ressources suivantes :

  • Web (liens web externes)

  • SSH (session sur des serveurs SSH)

  • RDP (session sur des serveurs RDS)

Depuis 2020, Access Portal supporte dorénavant les ressources de type applications web internes en HTML, HTML5, JavaScript ou même Exchange (OWA, etc.). Ces ressources sont rendues disponibles à distance par le biais d’un proxy inversé proposé automatiquement lors de la création de l’élément dans le portail. Par contre, dans ce cas, l’UTM et les ressources internes doivent avoir une URL externe car avec seulement une IP publique cela ne fonctionne pas. Les applications doivent partager le même FQDN, exemple :

  • portal.blue.com

  • app.blue.com

URL Access Portal

Par défaut, le portail est accessible seulement depuis l’interface External :

  • URL par défaut depuis la patte External HTTPS://ip_utm:443.

  • URL depuis la patte Trusted : vous devez modifier la règle et ajouter Depuis : TRUSTED.

Port et stratégie en commun

Access Portal partage des éléments avec les modules ci-dessous, il ne faut donc pas modifier les réglages sans prendre en compte les possibles répercussions :

  • Management Tunnel over SSL sur les périphériques hub (ports 443 + stratégie WatchGuard SSL VPN).

  • BOVPN over TLS en mode serveur (ports 443 + stratégie WatchGuard SSLVPN).

  • Mobile VPN with SSL (ports 443 + stratégie WatchGuard SSLVPN).

Accéder à un serveur RDS ou SSH consomme 15 Mo de RAM par connexion.

Pour RDP, le copier-coller, les impressions et le mappage des lecteurs ne sont pas possibles.

Pas besoin de créer de SNAT.

Pas besoin de créer manuellement de stratégie (elle est créée automatiquement).

La personnalisation de l’interface est possible avec image et CSS, etc.

L’utilisation de Single Sign-On (SSO) avec le protocole d’authentification SAML est possible (voir chapitre MFA AuthPoint)....

Application Control (AC)

Pourquoi ?

Application Control (AC) permet de contrôler (détecter, abandonner, autoriser, auditer et monitorer) automatiquement le flux des applications qui traversent l’UTM. Derrière le nom Application Control de WatchGuard se trouve la technologie de Trend Micro (désigné par Gartner en 2021 comme l’un des leaders dans la catégorie End Point Protection Platforms ou EPP).

Les applications sont identifiées avec une analyse du comportement et par une base de signatures. La base de signatures est mise à jour fréquemment par Trend Micro (+1800) et d’après WatchGuard, elle permet de bloquer plus de 1000 applications.

Pour information, le service IPS de WatchGuard profite aussi de la technologie Trend Micro. Les mises à jour des bases de signatures pour Application Control et IPS sont donc livrées au même moment par le même canal.

Il est possible de coupler AC avec le service Gestion du trafic (TM), cela afin de gérer la bande passante par flux applicatifs. Ci-dessous vous trouverez la liste des catégories filtrables :

  • Business tools

  • Database tools

  • Email messaging services

  • File sharing services and tools

  • Instant messengers

  • Investment platforms

  • Management tools and protocols

  • Media streaming services

  • Network protocols

  • Online games

  • Peer-to-peer networks

  • Private protocols

  • Remote access terminals

  • Security update tools

  • Social networks

  • Tunneling and proxy services

  • VoIP services

  • Web instant messengers

  • Web services

Informations

Par exemple, pour abandonner les flux Dropbox qui traversent l’UTM, il y a plusieurs étapes :

  • Firewalling : stratégie de bout en bout et désactivation de la stratégie Outgoing.

  • Inspection HTTPS ou DPI SSL/TLS : inspection des flux HTTPS qui représentent 95 % d’Internet.

  • Identifier les flux : protocoles, ports, noms de domaine et IP serveurs utilisés par Dropbox.

  • Créer une Action d’Application Control pour une application avec Abandonner ou Autoriser.

  • Appliquer l’Action Application Control sur les stratégies susceptibles de laisser passer du flux vers l’extérieur.

1. Application Control avec Dropbox

Dans notre exemple, on utilise AC pour bloquer l’application lourde Dropbox sur un Windows 10 derrière l’UTM. Celle-ci synchronise avec les serveurs cloud Dropbox...

APT Blocker

Pourquoi ?

Afin de contrer les menaces Advanced Persistent Threat (APT), WatchGuard propose la solution APT Blocker. Ces menaces exploitent les failles Zero Day qui se trouvent dans les ressources réseau et prennent souvent la forme définitive de rootkits ou backdoors. Ces malwares peuvent patienter pendant de longs mois avant de s’activer. La plupart des outils de protection se basent sur les signatures pour détecter les menaces, mais c’est une approche trop basique et limitée pour faire face à la menace que représentent les APT. C’est pourquoi les solutions basées sur la méthode de la sandbox (bac à sable) apparaissent.

Voici une explication simplifiée du mécanisme de protection utilisé par APT Blocker : une première analyse basée sur des signatures est réalisée, puis une analyse approfondie est effectuée dans un environnement isolé appelé « bac à sable » sur les serveurs cloud de WatchGuard. Dans l’environnement isolé, le fichier est exécuté pour observer son comportement. S’il s’avère être une menace, il est bloqué, abandonné ou placé en quarantaine.

Derrière le nom APT Blocker se trouve en réalité la technologie de l’éditeur Lastline, créée...

Détection de botnet

Pourquoi ?

Les botnets sont des réseaux d’ordinateurs infectés et contrôlés par des hackers. Les botnets sont souvent contrôlés par les protocoles HTTP et IRC afin de réaliser les attaques suivantes :

  • DDoS (Distributed Denial of Service)

  • Campagnes de spam

  • Vol de données

WatchGuard propose plusieurs solutions pour contrer ces menaces :

  • Le service Reputation Enabled Defense (RED) pour bloquer les sites avec mauvaise réputation.

  • Le service Détection Botnet pour bloquer les sites infectés.

  • Le service WebBlocker avec la catégorie Command and Control et Botnet Activity, qui sert pour bloquer les communications entre les machines infectées et les hackers.

Dans cette fenêtre Détection de botnet, vous pouvez et devez activer les options suivantes :

  • Bloquer le trafic des sites suspectés de type botnet

  • Block Tor exit nodes

Tor

Pour information, Tor est un réseau informatique décentralisé conçu pour protéger la confidentialité et l’anonymat en ligne. Il fonctionne en faisant passer le trafic internet à travers un réseau de relais géré par des bénévoles dans le monde entier. Lorsque vous utilisez Tor, votre trafic est acheminé à travers plusieurs nœuds de relais, ce qui rend difficile la traçabilité...

Data Loss Prevention

Pourquoi ?

DLP (Data Loss Prevention) est une série de techniques visant à prévenir la perte, la fuite ou la divulgation non autorisée de données sensibles. Ces fuites peuvent se produire de différentes manières, telles que l’envoi de données par e-mail non sécurisé, l’utilisation de dispositifs de stockage amovibles non autorisés, le partage de fichiers via des services de cloud non approuvés, etc. DLP joue un rôle essentiel dans la conformité réglementaire, en aidant les organisations à respecter les lois et les réglementations relatives à la protection des données, telles que le RGPD.

Pour mettre en place une solution de DLP efficace, il est essentiel de comprendre les données sensibles de l’organisation, de définir des politiques de sécurité claires et de mettre en œuvre des mécanismes de surveillance et de contrôle appropriés.

Chez WatchGuard, c’est la technologie DLP de Sophos, reconnue par Gartnet depuis 2010, qui fait le travail. Le service permet de contrôler les informations qui transitent sur les principaux flux utilisés avec l’extérieur de l’entreprise (HTTP, HTTPS, SMTP et FTP). La solution dispose de plus de 200 règles disponibles pour 18 pays. Exemple de normes de conformité très utilisées et parfaitement couvertes :

  • HIPAA (Health Insurance Portability and Accountability Act)

  • PCI DSS (Payment Card Industry Data Security Standard)

Information

Voici...

DNSWatch

Pourquoi ?

DNSWatch protège les utilisateurs de votre réseau contre des menaces telles que le phishing et les sites internet malveillants. Pour cela, il peut bloquer les requêtes sur des sites malveillants pour n’importe quelle interface utilisée par l’UTM.

Généralement, l’UTM permet de filtrer les sites internet consultables par les utilisateurs internes de l’entreprise. Pour cela, DNSWatch filtre le protocole DNS (port 53) et applique des listes et des catégories. Si le site web est classé dans une catégorie comme autorisé, alors aucun traitement particulier sur le flux n’est appliqué.

Cependant, si le site web est classé comme interdit ou dangereux, alors DNSWatch va bloquer le flux et proposer un message d’avertissement ou une sensibilisation contre les risques en cybersécurité (spam, hameçonnage, harponnage, usurpation d’adresses e-mail professionnelles, etc.).

Derrière le mécanisme d’apparence simple, il y a les serveurs « Blackhole » de DNSWatch qui collectent les données clientes des utilisateurs faisant les demandes à l’UTM. La collecte permet d’analyser précisément s’il y a des menaces dans les demandes.

Il est possible de configurer des listes blanches (domain allowlist) et des listes noires (domain blocklist) ainsi que des listes de domaines filtrés (domain filterlist) afin de contrôler les accès internet des utilisateurs.

L’activation du mode SafeSearch pour moteur de recherche est possible. Ce mode filtre les images pour adultes dans les moteurs de recherche comme Google, YouTube, Bing, DuckDuckGo.

DNSWatch est la version principale du produit mais il existe d’autres variantes afin de s’adapter à de multiples scénarios. Dans tous les cas, les réglages se font sur le portail cloud DNSWatch :

  • DNSWatch fonctionne au niveau de l’UTM (besoin d’un UTM).

  • DNSWatch Network fonctionne au niveau des networks (pas besoin d’un UTM).

  • DNSWatchGOo fonctionne au niveau du client (un agent est à déployer sur les PC, pas besoin d’un UTM).

DNSWatchGOo peut être utilisé en complément de DNSWatch pour apporter une granularité par PC.

Il est fort probable que le portail Cloud DNSWatch soit...

Gateway AV (GAV)

Pourquoi ?

Gateway Anti-Virus (GAV) est une passerelle antivirus, également appelée antivirus gateway. C’est un service de l’UTM qui examine les données entrantes et sortantes du réseau à la recherche de logiciels malveillants. Son rôle principal est de détecter, bloquer et éliminer les menaces telles que les virus, les vers, les chevaux de Troie et autres types de logiciels malveillants qui pourraient infecter les systèmes informatiques. Aujourd’hui, on parle essentiellement de problème malveillant ou de malware, le terme de virus est un peu tombé en désuétude.

Il fonctionne en analysant le trafic réseau en temps réel et en utilisant des signatures de logiciels malveillants, des analyses heuristiques et d’autres techniques pour identifier les menaces. Lorsqu’une menace est détectée, la passerelle antivirus prend des mesures appropriées, telles que le blocage du trafic suspect, la mise en quarantaine des fichiers infectés ou la suppression des logiciels malveillants.

Information

Cependant, il est important de noter que les passerelles antivirus ne sont pas une solution de sécurité complète en soi et doivent être utilisées en conjonction avec d’autres mesures de sécurité pour être pertinente :

  • Firewalling : stratégie...

Geolocation

Pourquoi ?

La fonction de géolocalisation de l’UTM WatchGuard permet de surveiller l’activité réseau en fonction de la localisation géographique des adresses IP. Cette fonctionnalité permet de visualiser sur une carte la localisation des adresses IP qui tentent de se connecter au réseau, ou de déterminer la localisation géographique des adresses IP de destination.

La fonction de géolocalisation peut aider à identifier les connexions suspectes ou non autorisées, ou encore à bloquer le trafic provenant de régions géographiques connues pour être sources d’attaques.

Dans une logique de défense, il est important de limiter l’étendue des attaques possibles. Internet étant un réseau mondial, il est judicieux de limiter la portée des attaques en limitant les connexions d’adresses IP provenant de pays avec qui l’on ne travaille pas.

Information

Voici quelques informations à connaître avant de vous lancer avec Geolocation :

  • Les flux bidirectionnels (entrants et sortants) seront bloqués une fois le pays interdit sélectionné.

  • Il faut avoir une licence RED (abonnement BSS) pour utiliser le service Geolocation.

  • Une base de données contenant les IP des différents pays est utilisée par Geolocation.

images/03EP372.png

Exemple

 Pour activer le service...

Intelligent AV (IAV)

Pourquoi ?

WatchGuard utilise depuis longtemps l’intelligence artificielle (IA) dans ses produits et en particulier la branche du machine learning (ML). Il le fait avec IntelligentAV (IAV), qui est une technologie de Cylance. Celle-ci apporte une double protection contre les virus et autres menaces (connues et inconnues). IntelligentAV entre en action après que le premier service antivirus de l’UTM Gateway AV (GAV) n’a rien trouvé. Si GAV ne trouve rien, alors (et seulement dans ce cas) IntelligentAV (IAV) entre en action.

Son fonctionnement diffère des antivirus classiques car il ne se sert pas des signatures pour rechercher les menaces mais de l’intelligence artificielle et du machine learning. L’IA travaille sur des signaux collectés à partir de millions de sources à travers le monde. Elle cherche à identifier et répondre (plus ou moins) automatiquement à des patterns (schémas) menaçants récoltés dans le big data. L’IA apporte une aide précieuse impossible à réaliser par l’humain dans les mêmes délais et proportions.

Information

Voici les choses à savoir ou activer avant de commencer avec IntelligentAV (IAV) :

  • Firewalling : stratégie de bout en bout et désactivation de la stratégie Outgoing.

  • Inspection HTTPS ou DPI SSL/TLS : inspection...

Intrusion Prevention System (IPS)

Pourquoi ?

Les IDS/IPS (Network Intrusion Detection System / Intrusion Protection/Prevention System) sont placés dans des endroits stratégiques, leur rôle est de détecter et bloquer des intrusions, des malwares, des anomalies, des injections SQL, du cross-site scripting, etc. cela en analysant le flux réseau.

Les IDS/IPS utilisent des règles (souvent des bases de signatures) qui, en fonction des patterns trouvés, déclenchent des actions comme les alertes ou des drops de paquets.

Il est possible de remonter les informations des IDS/IPS à des SIEM (Security Information Event Management). Le SIEM regroupe deux concepts de sécurité : le SEM (gestion des événements de sécurité) et le SIM (gestion des informations de sécurité). Le SIM collecte et gère les journaux de sécurité et le SEM analyse et détecte les anomalies.

Les SIEM permettent de gérer et corréler les journaux à partir de multiples sources (une des plus importantes sources est le flux réseau collecté par les IDS/IPS). Les SIEM font de la corrélation afin de relier plusieurs événements à une même cause. Ils permettent de collecter, de faire de l’agrégation, de la normalisation, de la corrélation, des rapports, de l’archivage, et pour terminer...

Découverte de réseau

Pourquoi ?

Scanner un réseau signifie explorer et identifier les dispositifs actifs (ordinateurs, serveurs, imprimantes, routeurs, etc.) ainsi que leurs ports ouverts sur un réseau informatique.

La découverte réseau (Network Discovery) permet de scanner le réseau afin de détecter les autres appareils autour de l’UTM. Cette fenêtre permet d’activer la découverte réseau afin de fournir les informations dans TABLEAU DE BORD, menu Découverte réseau.

Information

Voici les choses à savoir avant de commencer avec la découverte réseau :

  • L’analyse prend un peu de temps et de ressources en fonction de la taille du réseau.

  • Il est possible de planifier un scan régulièrement.

  • L’analyse se fait en trois étapes (Quick Host Discovery, TCP and OS, UDP and Service Version).

  • Scan seulement sur les interfaces internes de l’UTM.

Exemple

 Pour activer la découverte réseau, allez dans SERVICES D’ABONNEMENT - Découverte de réseau, cochez la case Activer la découverte de réseau, puis vous pouvez indiquer les interfaces à analyser. La planification peut aussi être enclenchée en cochant la case Activer l’analyse planifiée du réseau.

images/03EP378.png

Reputation Enabled Defense (RED)

Pourquoi ?

Reputation Enabled Defense (RED) est un service transversal qui permet de renforcer la sécurité des stratégies de types proxy. Lorsqu’un utilisateur navigue sur Internet, RED note les sites grâce aux serveurs de réputation WatchGuard en cloud. Le score est calculé à partir de plusieurs sources dans le monde comme les différents éditeurs AV. La finalité est d’optimiser le temps de traitement réalisé par les services en abonnement de l’UTM ci-dessous :

  • Détection de botnet (anti-botnet)

  • Gateway AV (antivirus)

  • APT Blocker (sandboxing)

Information

Le système RED utilise un service en cloud pour noter les URL de 0 à 100 :

  • +90 (BAD) indique une menace fortement probable et donc bloque le flux (ignore GAV).

  • 10-90 (NEUTRAL) indique une incertitude donc enclenche une analyse GAV -> IAV -> APT Blocker.

  • -10 (GOOD) n’indique aucune menace donc laisse passer le flux (ignore GAV).

Concrètement, si le site a mauvaise réputation (BAD), il est bloqué ; et s’il a une bonne réputation (GOOD), celui-ci n’est pas traité par les services de l’UTM. S’il a une réputation inconnue (NEUTRAL), tous les outils entrent en action avec leurs fonctionnements respectifs.

Voici les informations à connaître avant de commencer avec Reputation...

spamBlocker

Pourquoi ?

Le spam (ou courrier indésirable) correspond aux e-mails qui sont souvent envoyés en masse (à des fins de marketing). Ceux-ci remplissent constamment nos boîtes mail (gaspillage de stockage et de bande passante) et nous perdons un temps important à les supprimer (gaspillage de productivité).

D’après les différents cabinets d’études et éditeurs de protections qui communiquent sur Internet, on estime entre 45 % à 85 % le pourcentage de spam dans un flux de 300 milliards de mails/jour en 2021.

Cependant, si l’on veut être précis, on trouve plusieurs types de menaces différentes dans le spam :

  • Le scam qui est une arnaque par mail (exemple : les tentatives de sextorsion qui vous expliquent que votre webcam vous filme pendant une vidéo porno et qu’en échange de cryptomonnaie ils ne diffusent pas la vidéo).

  • Le malware/virus en pièce jointe qui exécute du code à des fins malveillantes (exemple : le virus chiffre les données et vous demande une rançon pour récupérer vos données).

  • Le phishing qui est une tentative d’hameçonnage avec usurpation d’identité d’une société (exemple : le support Microsoft vous demandant vos identifiants et mots de passe de boîtes mail).

  • Le spear phishing qui est une tentative de hameçonnage avec usurpation d’identité d’une personne très ciblée (souvent que vous connaissez réellement) aussi appelé BEC (Business Email Compromise) (exemple : Pierre, le DSI, vous demande vos identifiants...

Endpoint Enforcement

Pourquoi ?

Dans le cas où vous n’avez pas la solution WatchGuard AuthPoint pour profiter du MFA (Multi-Factor Authentication), vous avez quand même une couche de sécurité supplémentaire ajoutée aux classiques identifiant + mot de passe nécessaires pour un accès VPN.

Cette option permet de renforcer la sécurité des clients Mobile VPN en rendant obligatoire la présence d’un agent sur le poste client qui veut utiliser un Mobile VPN proposé dans les UTM WatchGuard (voir la section Mobile VPN du chapitre UTM Réseau privé).

Informations

Endpoint Enforcement subit actuellement de nombreux changements de nom... donc ne soyez pas surpris de voir appeler cette option parfois « VPN Enforcement » ou encore prochainement « Network access enforcement ». Endpoint Enforcement fonctionne avec les trois agents suivants :

  • TDR, qui est arrêté fin 2023 puis remplacé par EDR Core (voir le chapitre EDR EndPoint Security, section WatchGuard EDR Core) ;

  • EDR Core (produit complémentaire à un antivirus mais limité par rapport à EPDR) ;

  • EPDR (véritable solution de protection pour poste client de type EDR).

WatchGuard vous recommande actuellement d’utiliser EDR Core ou EPDR.

Concrètement, pour profiter de Endpoint Enforcement, vous...

WebBlocker

Pourquoi ?

Pour le filtrage du contenu web, WatchGuard propose l’utilisation du service WebBlocker. Les avantages de filtrer le flux web sont nombreux, notamment une amélioration de la productivité, une optimisation de la bande passante et une meilleure protection contre les menaces en ligne. Dans les faits, cela se traduit de la manière suivante : les utilisateurs peuvent ne plus être autorisés à surfer sur les réseaux sociaux, les sites de streaming, le shopping…

Derrière le nom WebBlocker se trouve la technologie de Forcepoint, un poids lourd de la cybersécurité. La société NetPartners a été créée en 1994 à San Diego aux États-Unis. En 1999, celle-ci change de nom pour devenir Websense. En avril 2015, Raytheon, une entreprise spécialisée dans la vente de matériel de défense militaire (sixième rang mondial), acquiert Websense pour 1,9 milliard de dollars. Puis lorsque Raytheon achète Stonesoft à Intel en 2016, Websense devient Forcepoint. Et pour finir, en 2021, Forcepoint est racheté par Francisco Partners. La société a été rachetée à plusieurs reprises et a fusionné avec d’autres entités, ce qui a abouti à un portefeuille de technologies impressionnant : Websense (Leader with Content Security + DLP), Raytheon (Financial Resources Deep Understanding of Threat Detection), Stonesoft (Advanced Evasion Prevention ou AEP), Skyfence (Cloud Access Security Broker ou CASB), RedOwl (User Behavior Analytics pour UBA), etc. Forcepoint est régulièrement reconnu par Gartner comme un leader dans plusieurs catégories de cybersécurité. Il est utilisé par des gouvernements, l’armée américaine, ainsi que des entreprises telles que Toyota, TATA, Ricoh, IBM, Microsoft, et bien d’autres (une liste complète est disponible sur le site de l’éditeur). Avec plus de 21 000 clients répartis dans 155 pays, Forcepoint compte plus de 3 500 employés (sources : Wikipédia, Le Monde Informatique...