Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !

UTM Configuration réseau

Introduction

Pourquoi ?

Cette section se concentre sur la configuration réseau de l’UTM. Il est important de veiller à ce que la configuration soit adaptée aux besoins spécifiques de votre réseau et que les paramètres soient suffisamment robustes pour garantir une protection efficace de votre UTM et de l’ensemble de votre système d’information.

Pour cela, l’UTM offre des possibilités avancées de configurations réseau :

  • Interfaces : la configuration des interfaces est obligatoire pour faire fonctionner l’UTM.

  • Entrées ARP : permet d’ajouter des adresses ARP en statique dans l’UTM.

  • VLAN : permet de subdiviser le réseau en zones logiques isolées les unes des autres.

  • Pont : permet de regrouper plusieurs interfaces physiques en une seule interface logique. 

  • Bouclage : permet d’activer la communication de l’UTM avec lui-même pour des opérations spécifiques.

  • Multi-WAN : permet la redondance et la répartition de charge entre liens (SD-WAN le remplace aujourd’hui).

  • SD-WAN : permet de router, de prioriser et d’équilibrer le flux réseau sur différentes interfaces WAN.

  • Contrôle des liaisons : permet à l’UTM de monitorer l’état logique des interfaces internes ou externes.

  • DNS dynamique : permet...

Interfaces

Pourquoi ?

Le positionnement de l’UTM dépend de l’architecture réseau et des besoins de sécurité spécifiques de chaque organisation. Cependant, en général, l’UTM est positionné entre Internet et le réseau privé de l’organisation pour contrôler le trafic entrant et sortant. Cela permet de filtrer les paquets de données malveillants et de protéger les ressources du réseau interne contre les attaques externes.

Dans une topologie Hub and Spoke, les UTM peuvent être positionnés à différents endroits du réseau pour une sécurité renforcée. Par exemple, une organisation peut utiliser un UTM au niveau de l’accès internet (ex. Edge), un autre au niveau des sites, et un autre pour les réseaux internes sensibles (ex. Wi-Fi). Le positionnement optimal de l’UTM dépend donc de l’architecture réseau et des politiques de sécurité de l’organisation.

La question de l’emplacement de l’UTM va avec la question du mode de fonctionnement de l’appareil. Car en fonction du mode vous pouvez protéger un réseau qui n’a pas d’équipement de protection, renforcer des défenses déjà présentes, fusionner des réseaux ou encore auditer le flux de manière transparente.

Informations

L’UTM prend en charge différents modes de fonctionnement pour répondre aux différentes situations rencontrées dans les missions de sécurité :

  • Mode de routage mixte (mixed routing mode) : mode par défaut avec fonctions réseau (routage, firewall, NAT, VPN).

  • Mode d’insertion (drop-in mode) : fonctions réseau (routage, firewall).

  • Mode pont (bridge mode) : fonctions réseau (firewall).

Notez que dans tous les modes, c’est la fonction firewall (et ses services par abonnement) qui est toujours disponible.

Important :

  • Dans 90 % des cas, c’est le mode de routage mixte qui est utilisé (mode par défaut).

  • Les modes insertion et pont sont très peu utilisés et réservés à des cas très spécifiques.

  • Pour réaliser les exemples, il est préférable de connaître le fonctionnement...

Entrées ARP

Pourquoi ?

L’ARP (Address Resolution Protocol) est un mécanisme crucial dans les réseaux informatiques pour établir une correspondance entre les adresses IP et les adresses MAC des périphériques connectés. Il permet aux dispositifs de localiser et de communiquer avec d’autres dispositifs au sein d’un même réseau local (LAN).

Lorsqu’un appareil souhaite communiquer avec un autre appareil dans le même réseau, il utilise généralement l’adresse IP du destinataire. Cependant, les réseaux locaux opèrent à un niveau de liaison de données, où les adresses MAC sont utilisées pour l’acheminement effectif des données à travers les interfaces réseau. C’est là que l’ARP intervient pour résoudre ce problème d’interopérabilité entre les adresses IP et les adresses MAC.

Informations

Cette fenêtre permet d’ajouter une adresse ARP statique qui, comme son nom l’indique, persiste au sein du cache ARP. Exemple d’ajout des adresses ARP statiques : les routeurs connectés à un FireCluster Actif/Actif.

VLAN

Pourquoi ?

Le concept de VLAN (Virtual Local Area Network) a été introduit pour la première fois au début des années 1990 par Cisco. Puis, en 1998, l’IEEE a normalisé les VLAN pour permettre leur utilisation avec des équipements de différents fabricants.

Les VLAN sont des réseaux locaux virtuels qui permettent de regrouper des ordinateurs, des serveurs et d’autres dispositifs réseau en fonction de leur appartenance à un même groupe logique, plutôt qu’en fonction de leur emplacement physique. Les VLAN sont utilisés pour segmenter un réseau physique en plusieurs réseaux virtuels, chacun pouvant être géré indépendamment.

Les VLAN offrent plusieurs avantages, notamment la sécurité, la performance, la flexibilité. En effet, grâce aux VLAN, il est possible de limiter l’accès aux ressources et aux informations à un groupe spécifique d’utilisateurs ou de dispositifs. Cela permet de renforcer la sécurité du réseau en empêchant les utilisateurs non autorisés d’accéder à des ressources critiques. De plus, les VLAN permettent d’améliorer les performances du réseau en réduisant le trafic inutile et en optimisant l’utilisation de la bande passante.

Les VLAN sont généralement configurés à l’aide de commutateurs réseau, qui sont capables de marquer et de trier le trafic en fonction des identifiants de VLAN. Les identifiants de VLAN sont des nombres qui permettent de différencier les différents groupes logiques.

Informations

Les VLAN 802.1Q sont largement utilisés dans les réseaux d’entreprise pour leur capacité à isoler le trafic réseau, à réduire les collisions et à améliorer les performances du réseau. Cependant, il existe plusieurs types de VLAN :

  • VLAN par port

  • VLAN par adresse MAC

  • VLAN par protocole

  • VLAN par adresse IP

Les termes et les technologies associés aux VLAN peuvent varier d’un fabricant à l’autre, ce qui peut entraîner des erreurs de configuration et de sécurité importantes. Dans ce livre, nous allons expliquer comment créer des VLAN par port sur un switch...

Pont

Pourquoi ?

Classiquement, une interface réseau permet de communiquer sur un réseau. Le pont est un regroupement d’interfaces (minimum deux) afin de les faire apparaître comme une seule interface.

Ainsi, vous vous retrouvez avec un seul nom d’interface et une adresse IP pour plusieurs interfaces. Le fonctionnement entre les interfaces constituant le pont est comme celui des interfaces d’un switch L2.

Cette nouvelle interface est configurable comme une interface classique. Son fonctionnement s’apparente à celui des VLAN et donc l’UTM permet de configurer le flux intrapont (flux entre les interfaces le constituant).

Deux exemples d’utilisations :

  • Regroupements des interfaces pour avoir un plus grand réseau unifié.

  • Pour unifier un medium filaire et un medium Wi-Fi afin d’avoir un grand réseau unifié.

Informations

Lors de création d’un pont entre plusieurs interfaces contenant des switchs, il est malheureusement possible de créer des boucles. Les boucles vont provoquer des ralentissements et des dysfonctionnements. C’est pour cette raison qu’il est recommandé d’activer le protocole STP (Spanning Tree Protocol) pour empêcher les boucles.

Le réglage de ce menu Pont n’a pas de rapport direct avec la possibilité de placer l’UTM en mode pont vu précédemment. Dans cette partie, on place...

Bouclage

Pourquoi ?

L’interface de bouclage (loopback) est une interface virtuelle, donc elle ne correspond pas à une interface physique de l’UTM. Elle est utilisée principalement dans le cas de routage dynamique vers de multiples FAI en multi-WAN (elle peut permettre de gagner en stabilité pour le routage BGP).

Informations

Pas défaut, elle n’est pas activée et il est de bonne pratique de la laisser désactivée.

Multi-WAN

Pourquoi ?

Le multi-WAN est une technologie qui permet de connecter un réseau à plusieurs connexions Internet provenant de différents FAI. Cela permet d’améliorer la disponibilité, la fiabilité et les performances des liens. On parle du concept de disponibilité (availability).

Le multi-WAN peut se faire en répartissant la charge du trafic sur les différentes connexions pour une utilisation équilibrée de la bande passante, en utilisant des connexions de secours en cas de panne ou en agrégeant les connexions pour augmenter la bande passante totale.

Le multi-WAN est utile pour les entreprises qui ont besoin d’une connexion Internet stable et rapide.

Informations

Chez WatchGuard, on vous propose les modes de fonctionnement suivants :

  • Tourniquet : répartition du flux entre interfaces externes basée sur le nombre de connexions.

  • Basculement : basculement du flux entre interfaces externes basé sur une cible PING, TCP ou DNS.

  • Dépassement de capacité : basculement du flux entre interfaces externes basé sur un seuil de bande passante.

  • Table de routage : répartition du flux à partir de la table routage puis utilisation de l’algorithme ECMP.

Nous traitons seulement du mode le plus courant : le mode basculement, appelé aussi failover, qui sert à apporter de la redondance sur le flux sortant vers un lien externe (c’est un des rôles les plus utilisés).

Pour cela, il faut minimum deux interfaces externes connectées de préférences à deux FAI distincts. Ainsi, dans le cas où vous disposez de deux interfaces externes configurées en multi-WAN, si un lien tombe en panne (car la cible n’est plus accessible), l’UTM bascule sur le lien...

SD-WAN

Pourquoi ?

Le SD-WAN (Software-Defined Wide Area Network) permet de définir par logiciel le routage des paquets. Le SD-WAN est une évolution importante dans les réseaux car cela apporte de la souplesse dans l’utilisation de plusieurs sortes de liens (fibre, 4G, xDSL, MPLS, etc.) sur un même site.

Les avantages sont multiples, en commençant par la redondance (basculement entre liens), la QoS niveau application, la sécurité (possible de chiffrer le flux avec IPsec) ou encore l’optimisation de flux applicatif (avec des caches mémoire), très utilisé dans les scénarios de priorisation de flux par protocole.

Par exemple, le flux de la VoIP est envoyé sur des liens rapides et les autres flux sur des liens moins rapides.

Le SD-WAN est maintenant plus souvent utilisé que le multi-WAN car il apporte :

  • les fonctions de base du multi-WAN qui sont la redondance et la répartition de charge sur les liens ;

  • la sélection du flux par protocole avec des critères de performance (taux de perte - loss rate, latence - latency ou instabilité - jitter).

Aujourd’hui, le SD-WAN est un des outils principaux de la boîte à outils appelé SASE (Secure Access Service Edge).

SASE se scinde en deux parties :

  • Les solutions réseau (SD-WAN, VPN, QoS, etc.)

  • Les solutions de sécurité (UTM/NGFW, ZTNA, SWG, CASB, DLP...

Contrôle des liaisons

Pourquoi ?

Les contrôles de liaisons sont utilisés avec le multi-WAN et le SD-WAN. Cela permet à l’UTM de monitorer l’état logique des interfaces internes ou externes. Il faut obligatoirement configurer le contrôle des liaisons pour le multi-WAN et c’est très recommandé pour le SD-WAN, sinon l’UTM ne peut pas savoir quand une interface externe ou interne est dans les états disponible ou indisponible. La configuration consiste à ajouter des cibles à atteindre par les interfaces externes (pour cela, plusieurs protocoles sont possibles).

Les protocoles supportés par le contrôle des liaisons sont les suivants :

  • PING (méthode recommandée)

  • TCP + ports (méthode non recommandée car peut être interprétée par la cible comme une attaque)

  • DNS (cette option intervient si vos FAI bloquent les pings au bout d’un certain temps)

Information

PING est le principal protocole utilisé pour les cibles. Cependant, il faut respecter les consignes ci-dessous pour avoir de bons résultats :

  • Avoir deux cibles pour chaque interface externe (si l’une tombe en panne, il reste l’autre).

  • Ne pas choisir la passerelle par défaut des interfaces externes (la passerelle peut répondre mais ne pas résoudre les sauts derrière et donc fausser le résultat...

DNS dynamique

Pourquoi ?

Lorsque notre FAI nous fournit seulement une adresse IP dynamique sur la patte externe de l’UTM, nous ne pouvons pas l’utiliser pour joindre l’UTM depuis l’extérieur car l’IP va changer à intervalle régulier.

Pour résoudre ce problème, il faut soit :

  • une IP statique (pour un accès sur IP publique) ;

  • une IP statique et un nom de domaine loué chez un registrar qui pointe sur cette même IP (pour un accès depuis un nom de domaine) ;

  • ou passer par un service de DNS dynamique fourni par une société tierce (exemple : no-ip.com).

Il est très utile de joindre l’UTM en permanence pour la plupart des services de l’UTM (Mobile VPN, Access Portal, etc.). Donc pour ceux qui ne veulent pas louer de nom de domaine chez un registrar, il est possible d’utiliser les services d’une société tierce proposant du DNS Dynamique ou DDNS afin de profiter d’un nom de domaine corrélé avec l’IP publique dynamique fournie par votre FAI sur la patte externe de votre UTM.

Ainsi, l’UTM peut être accessible en permanence depuis l’extérieur à partir du nom de domaine  qui pointe sur l’IP dynamique. La société qui fournit ce service DNS propose souvent des certificats SSL, etc. C’est une option recommandée si vous...

NAT

Pourquoi ?

Au début d’Internet, chaque équipement sur Internet nécessitait une adresse IPv4 publique. IPv4 utilise des adresses IP de 32 bits, ce qui limite le nombre total d’adresses disponibles à environ 4,3 milliards. Au fur et à mesure que l’Internet grandissait, il est devenu évident que cette quantité serait insuffisante pour répondre à la demande.

NAT (Network Address Translation) a vu le jour en raison de cette pénurie d’adresses IPv4. NAT offre le principal mécanisme permettant à plusieurs dispositifs d’un réseau local de pouvoir sortir sur Internet en utilisant une seule adresse IP publique. Ce mécanisme est aujourd’hui utilisé sur tous les modems/routeurs se connectant sur Internet (box Orange, Free, Bouygues, SFR, routeurs Cisco, Microtik, etc.).

Il agit comme une interface entre le réseau local et Internet, en traduisant les adresses IP/port source et/ou destination des paquets qui traversent le pare-feu ou le routeur. Le NAT permet principalement trois choses :

  • Un mécanisme traduisant les adresses IP/port source et/ou destination des paquets.

  • Réduire le nombre d’adresses IPv4 publiques sur Internet en exposant seulement l’IP des routeurs.

  • Cacher le réseau IP privée (LAN) d’Internet (WAN).

Informations

La famille NAT contient plusieurs types...

Routes

Pourquoi ?

Le routage, dans le contexte des réseaux informatiques, consiste à déterminer la meilleure façon de faire passer les données d’un point à un autre à travers un réseau. Le routage peut être statique ou dynamique, et les deux approches ont des caractéristiques distinctes. Ici, nous présentons le routage statique.

Le routage statique implique la configuration manuelle des chemins que les données doivent emprunter pour atteindre leur destination. Les routes sont entrées manuellement dans la table de routage des équipements réseau, comme les routeurs ou UTM. Cela convient aux réseaux de petite taille ou simples, où les modifications sont rares. Cependant, il peut être inefficace pour les réseaux complexes ou en évolution, car chaque changement nécessite une intervention manuelle.

Informations

Dans cette fenêtre, vous pouvez créer des routes statiques sur l’UTM pour envoyer du trafic en IPv4 et IPv6 :

  • Hôte : utilisez ce type de route pour atteindre un appareil seul qui est derrière un routeur du LAN.

  • Réseaux : utilisez ce type de route pour atteindre un réseau qui est derrière un routeur du LAN.

 Pour créer des routes, allez dans RÉSEAU - Routes et cliquez sur Ajouter.

 Vous pouvez choisir le type de route et indiquer...

Routage dynamique

Pourquoi ?

Le routage, dans le contexte des réseaux informatiques, consiste à déterminer la meilleure façon de faire passer les données d’un point à un autre à travers un réseau. Le routage peut être statique ou dynamique, et les deux approches ont des caractéristiques distinctes. Ici, nous présentons le routage dynamique.

Le routage dynamique se base sur des protocoles de routage pour automatiser le processus de détermination des meilleures routes. Les routeurs échangent des informations sur la topologie du réseau, les états des liens et d’autres données pour prendre des décisions de routage en temps réel. Les protocoles de routage dynamique, tels que OSPF (Open Shortest Path First) et RIP (Routing Information Protocol), ajustent automatiquement les routes en cas de changements dans le réseau. Cela convient particulièrement aux réseaux de grande taille ou aux réseaux qui changent fréquemment.

Informations

En utilisant le routage dynamique, les informations de routage sont échangées entre les routeurs de manière automatique, ce qui permet :

  • une bonne réactivité du réseau ;

  • une réduction des erreurs ;

  • une transmission efficace des paquets vers leurs destinations.

Les principaux protocoles de routage dynamique sont pris...

Routage de multidiffusion

Pourquoi ?

Le routage de multidiffusion ou routage multicast est une technique de routage permettant d’envoyer des données d’une source à plusieurs destinations simultanément.

Il utilise des adresses IP multicast et des protocoles spécifiques pour créer des groupes multicast et distribuer les données aux membres du groupe.

Les avantages du routage multicast incluent une économie de bande passante et une diffusion efficace des données en temps réel. Les services ci-dessous sont très souvent en routage multicast :

  • Voix sur IP (VoIP)

  • Vidéo à la demande (VOD)

  • Vidéoconférence

  • Télévision IP (IPTV)

Informations

L’UTM utilise le protocole PIM-SM (Protocol-Independent Multicast Sparse Mode), qui est utilisé pour diffuser de l’information à des abonnés. Les abonnés sont des périphériques avec récepteurs multicast qui peuvent se trouver n’importe où, formant ainsi un groupe logique appelé groupe de multicast.

 Pour activer le routage de multidiffusion, allez sur RÉSEAU - Routage de multidiffusion et cochez Activer. Puis ajoutez les interfaces de multidiffusion.

Contrôleur sans fil de passerelle (GWC)

Pourquoi ?

Cette partie permet de gérer les bornes WatchGuard Wi-Fi 5 localement (on prem) à travers l’UTM et son module GWC (Gateway Wireless Controller).

Afin de faciliter la lecture, nous avons regroupé les différentes solutions Wi-Fi WatchGuard dans le chapitre Wi-Fi (GWC + WC + WGC APS).

Informations

Le chapitre Wi-Fi traite de l’évolution de l’offre Wi-Fi WatchGuard à travers les années. La planification, le déploiement, la maintenance et l’amélioration des systèmes Wi-Fi ont beaucoup changé depuis les premières bornes Wi-Fi WatchGuard. En 2023, on trouve trois approches différentes chez WatchGuard :

  • La gestion on prem (locale) avec l’UTM et son interface GWC.

  • La gestion cloud hybride (locale ou cloud) avec le portail Wi-Fi Cloud (WC).

  • La gestion full cloud avec le portail WatchGuard Cloud APS (WGC APS).