Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !

UTM WatchGuard Cloud

Introduction

Pourquoi ?

Ce chapitre explique le rôle et le fonctionnement du service WatchGuard Cloud (WGC). C’est le portail d’administration central des produits et services WatchGuard. Ce type de portail web est très apprécié des MSP (Managed Service Provider) pour gérer les produits de leurs clients. Chez WatchGuard, on parle d’USP (Unified Security Platform) avec le doux nom de WatchGuard Cloud (WGC), disponible avec les licences Basic Security Suite (BSS) pour 90 jours de rétention des logs et Total Security Suite (TSS) pour 365 jours de rétention des logs. Le portail apporte des avantages comme :

  • l’accès sécurisé à tous les appareils et services ;

  • la visibilité sur les produits et leurs licences ;

  • la configuration possible sur les produits et services ;

  • l’unification du monitoring et de la supervision des produits et services ;

  • l’unification des détections, alertes et notifications des produits et services.

WatchGuard Cloud centralise la gestion des produits et services suivants en 2022 :

  • Firebox (UTM/VPN)

  • AuthPoint (MFA)

  • Threat Detection and Response (TDR)

  • Endpoint (EDR)

  • Wi-Fi (AP+WIPS partiel)

  • XDR (UTM, EDR, EPDR)

Voici les services qui seront normalement sur WGC :

  • DNSWatch (annoncé pour 2023/2024)

  • Wi-Fi (avec prise en charge des services WIPS ou équivalent ; pas encore de date)

  • XDR (avec prise...

Les modes de gestion de l’UTM

Précédemment, nous avons vu comment gérer un UTM et ses services localement. Maintenant, nous allons voir comment configurer un UTM mais avec les avantages de la gestion moderne par WGC. C’est un bon exercice car la configuration d’un UTM suit sensiblement le même processus que pour chaque produit et service dans WGC.

En revanche, il faut savoir que l’UTM dispose de plusieurs modes de gestion :

  • Local : gestion intégrale par Web UI et/ou WSM + Journaux par WSL et/ou Dimension ;

  • Hybride : gestion locale intégrale et cloud par WGC partiel avec options mise à jour et reboot + Cloud Visibility ;

  • Cloud : gestion intégrale par cloud avec WGC + Cloud Visibility.

Le mode hybride permet une gestion par Web UI et WSM identique au mode local avec en plus l’ajout de Cloud Visibility, qui peut remplacer Dimension si vous n’avez pas besoin de plus de 365 jours.

C’est WatchGuard Cloud Visibility qui, avec un abonnement TSS, peut fournir jusqu’à 365 jours de rétention.

Le mode cloud apporte de nombreuses nouveautés dans la gestion des stratégies.

Faites une sauvegarde de l’UTM en mode local avant de basculer en mode cloud, car les stratégies changent.

Il manque certaines options sur l’UTM en mode cloud, mais celles-ci ne devraient pas tarder à arriver.

Il n’y a aucune obligation...

Configuration en mode hybride

Pour gérer un UTM dans WGC en mode hybride, il faut suivre ces étapes :

  • Étape 1 : créer le compte client dans WGC.

  • Étape 2 : enregistrement (inscription et attribution de l’UTM à un compte client sur WGC).

  • Étape 3 : ajouter l’UTM dans WGC.

  • Étape 4 : activation de WGC sur l’UTM.

À l’étape 4, l’UTM est en mode hybride et peut basculer en mode cloud pour une gestion intégrale par WGC.

Étape 1 - Créer le compte client dans WGC

 Créez un compte WatchGuard Cloud : https://www.watchguard.com/

 Connectez-vous sur WatchGuard Cloud (WGC), menu Tableau de Bord, puis cliquez sur Gestionnaire de Compte.

 Ajoutez les éléments suivants :

  • Nom du Compte

  • Type de Compte

  • Contact

  • Opérateur

images/04EP003.png

Étape 2 - Allouer l’UTM au client dans WGC

 Connectez-vous sur WatchGuard Cloud, cliquez sur Vue d’ensemble à gauche, onglet Inventaire (en haut), menu Firebox - Non alloué, puis choisissez l’UTM à ajouter dans un compte client.

 Dans l’exemple, cliquez sur l’UTM BLUE_FW_NFR_2021, puis cochez Jamais et cliquez sur ENREGISTRER.

images/04EP005.png

Étape 3 - Ajouter l’UTM dans WGC

 Une fois l’UTM enregistré, vous devez aller sur le compte du client, puis cliquez sur l’onglet Surveiller et sur AJOUTER...

Utilisation du mode hybride

Dans ce mode, la configuration se passe toujours en local par Web UI ou WSM sur l’UTM. Mais depuis WGC, vous pouvez maintenant, depuis l’onglet Configurer - Produits - Périphériques - Paramètres du Périphérique, réaliser les actions suivantes :

  • redémarrer l’UTM ;

  • mettre à jour le firmware ;

  • activer ou désactiver la journalisation ;

  • passer en mode gestion cloud.

Dans ce mode, la gestion des stratégies reste identique avant/après le passage en hybride. 

Dans ce mode, vous pouvez aussi profiter de Visibility pour la gestion des journaux avec 365 jours de rétention.

Nous traitons de Visibility dans le mode gestion cloud par la suite.

images/04EP013.png

Basculement du mode hybride vers le mode cloud

Notre UTM est en gestion hybride, et maintenant nous voulons le basculer en gestion cloud toujours dans WGC. Pour information, il est actuellement possible de passer de l’un à l’autre et inversement.

Voici quelques remarques concernant le comportement de l’UTM après le passage en mode gestion cloud :

  • Dans ce mode cloud, les stratégies de l’UTM sont remplacées par les stratégies par défaut en cloud.

  • Si vous n’avez pas de sauvegarde de votre configuration locale, faites-en une avant la manipulation.

  • Il faut valider Programmer le déploiement pour que chaque modification entre en fonctionnement.

  • La configuration de l’UTM se fait dans Configurer - Produits - Périphériques, Configuration du Périphérique.

 Pour commencer, allez dans WGC, sélectionnez le client et l’onglet Configurer - Produits - Périphériques - Paramètres du Périphérique - Gestion de Cloud, puis cliquez sur le bouton PASSER À LA GESTION CLOUD.

images/04EP014.png

 Validez la confirmation en cliquant sur PASSER À LA GESTION CLOUD.

images/04EP015.png

 Indiquez le nom du périphérique et le fuseau horaire.

images/04EP016.png

 Choisissez le mode de configuration pour l’interface WAN.

images/04EP017.png

 Choisissez un mot de passe pour les comptes Status et Admin.

images/04EP018.png

 Un message vous informe que l’UTM ne peut plus être...

Utilisation du mode cloud

Dans ce mode de gestion cloud, la configuration se passe maintenant intégralement depuis WGC. Vous pouvez et devez configurer l’UTM depuis l’onglet Configurer, Périphérique, Configuration du Périphérique. Vous retrouvez l’ensemble des réglages comme sur l’UTM en local, cependant l’interface a été totalement revisitée.

La configuration des stratégies est un peu différente et les stratégies locales sont remplacées par les stratégies par défaut du cloud. On retrouve le même principe de firewalling, cependant l’interface est plus moderne avec ici et là des petites nouveautés.

Pour commencer, les types de réseaux ont été revisités en surface :

  • External (anciennement External) : réseaux non protégés par l’UTM.

  • Private (anciennement Trusted) : réseaux utilisés par les utilisateurs protégés derrière l’UTM.

  • Guest (anciennement Optional) : réseaux utilisés par des invités protégés derrière l’UTM.

Guest et Private ne peuvent pas communiquer ensemble. Cependant, les deux peuvent sortir par External.

Les stratégies sont au nombre de cinq avec la notion de policy core qui inclut les règles Outbound, Inbound, Custom :

  • Outbound : policy core qui permet de traiter le flux sortant...

Policy core avec filtrage de contenu

Dans cet exemple, nous allons configurer une stratégie de base (policy core) pour que nous puissions utiliser un logiciel de VPN du nom de HIDE.ME. Ce logiciel permet de monter des VPN avec des serveurs situés à travers le monde afin de surfer en utilisant leurs IP. Concrètement, vous pouvez ainsi dissimuler votre IP pour surfer sur Internet.

Par défaut, la règle Outgoing utilise les services de filtrage de contenu WB et AC et, en l’occurrence, AC ne permet pas l’utilisation de VPN en direction d’Internet.

Donc nous allons passer par plusieurs étapes pour répondre à notre besoin :

  • Étape 1 : créer une action de filtrage de contenu (AC) qui autorise les VPN comme HIDE.ME.

  • Étape 2 : créer une stratégie de base (policy core) et appliquer la nouvelle action de filtrage de contenu.

Étape 1 - création d’une action de filtrage de contenu (AC) qui autorise les VPN comme HIDE.ME

 Connectez-vous sur WGC, sélectionnez le client puis cliquez sur l’onglet Configurer - Produits - Périphériques - Configuration du Périphérique. Dans la fenêtre Services de Sécurité, choisissez Filtrage du Contenu.

images/04EP029.png

 Dans la fenêtre suivante, cliquez sur Ajouter une Action.

images/04EP030.png

 Indiquez vouloir utiliser les recommandations de WatchGuard Cloud.

Par défaut...

Utilisation de WGC Visibility (logs)

WatchGuard Cloud propose un traitement différent en fonction de la durée de rétention et de l’abonnement :

  • Avec un abonnement BSS, les données sur 3 jours sont disponibles immédiatement (Dynamic Storage).

  • Avec un abonnement TSS, les données sur 30 jours sont disponibles immédiatement (Dynamic Storage).

  • Avec un abonnement BSS, les données sur 90 jours sont disponibles après quelques minutes (Cold Storage).

  • Avec un abonnement TSS, les données sur 365 jours sont disponibles après quelques minutes (Cold Storage).

Dans tous les cas, les données sont disponibles avec plus ou moins de délais.

Donc, depuis WatchGuard Cloud (WGC), vous pouvez consulter les informations concernant vos appareils comme si vous étiez dessus avec Web UI ou avec Dimension. Nous n’allons pas détailler tous les écrans dans ce livre, mais nous pointerons les plus utiles.

 Pour cela, rendez-vous dans l’onglet Surveiller. Dans Synthèse du périphérique, vous trouvez les éléments ci-dessous :

  • Détails de la Licence du Périphérique

  • État du Périphérique

  • Microprogramme du Périphérique

  • Cyclops Blink Detector

  • Access Point License Details

  • Détection de Botnets

  • WebBlocker

  • Intrusion Prevention

  • Malware

images/04EP038.png

Dans le menu Journaux - Log Manager, vous trouverez...

Analyse du Dark Web

Depuis WGC, il est possible de vérifier qu’il n’y a pas de fuites de données de vos comptes d’utilisateurs dans le Dark Web. Le résultat indique les éléments qui ont fuité (mots de passe, identifiants, e-mail, etc.) dans un rapport envoyé par mail à la personne concernée.

 Pour cela, allez dans l’onglet Administration, Compte et Analyse du Dark Web. Puis entrez :

  • Un mail

  • Un nom de domaine

images/04EP049.png

Consultation des journaux d’audit

Vous pouvez consulter les journaux de WGC.

 Pour cela, allez dans l’onglet Administration - Système et Journaux d’Audit.

images/04EP050.png

Consultation et création des alertes

Il est possible de voir et créer des alertes en fonction d’événements dans WGC.

 Pour voir les alertes (sur maximum 250 lignes), allez dans l’onglet Administration - Système et Notifications.

images/04EP051.png

 Pour créer de nouvelles alertes, allez dans l’onglet Règles et cliquez sur Ajouter une Règle.

images/04EP052.png

 Enfin, vous pouvez voir les dernières annonces de WatchGuard. Pour cela, cliquez sur l’onglet Annonces.

images/04EP053.png

Création des rapports planifiés

Il est possible de créer des rapports planifiés sur les UTM et les AP.

 Pour cela, allez dans l’onglet Administration - Système et Rapports Planifiés, puis cliquez sur Ajouter un Rapport Planifié. Il ne reste plus qu’à suivre l’assistant.

images/04EP054.png

 Choisissez un nom, une description et sélectionnez UTM ou AP.

images/04EP055.png

 Sélectionnez les éléments à rapporter (synthèses exécutives, Web, trafic, services, messagerie, périphérique, etc.).

images/04EP056.png

 Indiquez la fréquence, les heures, le fuseau et la langue puis cliquez sur SUIVANT et sur Enregistrer le rapport.

images/04EP057.png

 Indiquez un ou plusieurs e-mails pour la réception des rapports.

images/04EP058.png