Blog ENI : Toute la veille numérique !
🎃 Jusqu'à -30% sur les livres en ligne, vidéos et e-formations.
Code : GHOST30. Cliquez ici !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Les fondamentaux de la cybersécurité avec WatchGuard
  3. UTM Dimension
Extrait - Les fondamentaux de la cybersécurité avec WatchGuard
Extraits du livre
Les fondamentaux de la cybersécurité avec WatchGuard
2 avis
Revenir à la page d'achat du livre

UTM Dimension

Introduction

Pourquoi ?

Ce chapitre se concentre sur la configuration de Dimension. Pour rappel, le livre couvre les trois principales solutions WatchGuard pour gérer les journaux d’événements (logs) :

  • WatchGuard Log Server (WSM + WLS installé sur un Windows on-prem, pas besoin de licence donc gratuit).

  • WatchGuard Dimension (VHD avec Ubuntu installé sur un hyperviseur, seulement besoin de la licence BSS).

  • WatchGuard Cloud Visibility (rétention de données en licence BSS sur 90 jours et en licence TSS sur 365 jours).

Dimension permet de consulter les logs, de faire du reporting et dans une moindre mesure de manager les UTM (seulement l’accès Web UI sur l’UTM). Dimension permet de monitorer l’ensemble des flux transitant par l’UTM. Il peut générer des rapports pour la direction concernant les différents services de sécurité.

Dimension est aujourd’hui la solution de prédilection pour la rétention et l’analyse des données très long terme (+365 jours) car simple, performante et gratuite (nous vous recommandons d’utiliser Dimension plutôt que WLS).

Informations

La solution est sous forme de fichier VHD (Hyper-V) et OVA (ESXi) à déployer dans un hyperviseur (l’hyperviseur peut être on-prem ou en cloud public). Le téléchargement se fait depuis...

Installer la machine virtuelle Dimension (VHD sur Hyper-V)

Une fois que vous avez téléchargé le fichier ZIP, il faut le dézipper. Celui-ci contient la VM à virtualiser sur un hyperviseur (VMware ou Hyper-V). Pour l’exemple, nous utilisons la version Hyper-V disponible Windows 10 Pro. Commençons par créer une VM avec les caractéristiques suivantes :

  • 1 vCPU

  • 2 Go de mémoire statique (mémoire dynamique non gérée)

  • Choisir le VHD fourni par WatchGuard

  • 40 Go pour le deuxième VHDX en iSCSI

  • Réseau interconnecté où se trouve la patte Trusted de l’UTM

 Depuis Hyper-V, demandez à créer une nouvelle VM. Donnez-lui un Nom et un Emplacement.

images/03EP691.png

 Indiquez la Génération 1.

 Choisissez 2048 Mo de mémoire et désactivez bien la mémoire dynamique.

 Choisissez le vSwitch où se trouve l’UTM interface Trusted.

images/03EP694.png

 Choisissez de pointer sur un VHD existant et indiquez le fichier VHD Dimension fourni par WatchGuard.

images/03EP695.png

 Vérifiez bien que tout soit correct dans l’écran de résumé.

 Une fois la création de la VM Dimension terminée, il faut lui ajouter un VHDX en SCSI de 40 Go (dynamique). Pour cela, dans les propriétés de la VM, Contrôleur SCSI, ajoutez Disque...

Trouver l’IP externe de la machine virtuelle Dimension (avec serveur DHCP)

 La VM Dimension est en DHCP par défaut. Regardez dans l’hyperviseur, celui-ci indique les IP des NIC sur les VM.

images/03EP704.png

Définir une IP statique pour la machine virtuelle Dimension (sans serveur DHCP)

Sans serveur DHCP dans votre réseau, on doit appliquer une adresse IP fixe à la NIC de Dimension.

 Pour cela, il faut passer par la console interactive de la VM (depuis l’hyperviseur Hyper-V) ; une fois l’affichage du « prompt » de Firebox, entrez les éléments suivants :

  • ID : wgsupport

  • Mot de passe : readwrite

 Changez les mots de passe comme il vous l’est demandé et, une fois connecté, entrez la ligne suivante :

/opt/watchguard/dimension/bin/wg_ip_addr.sh -i <adresse IP> -m <mask> -g <gateway>.

Par exemple, configuration avec une adresse IP statique de 203.0.113.201/24 et une passerelle de 203.0.113.1 :

/opt/watchguard/dimension/bin/wg_ip_addr.sh -i 203.0.113.201 -m 24 -g 203.0.113.1.

Assistant de la machine virtuelle Dimension

 Connectez-vous au portail web de Dimension avec un navigateur et entrez les informations de connexion suivantes :

  • ID : admin

  • Mot de passe : readwrite

 Dans les écrans de configuration, cliquez sur Suivant et entrez les informations ci-dessous :

  • Nom d’Hôte : localhost

  • Méthode d’Adresse IP : Statique

  • Masque/Adresse IPv4

  • Passerelle par Défaut

  • Serveur DNS

images/03EP706.png

 Choisissez un emplacement de la base de données : Intégré.

images/03EP707.png

 Choisissez Oui, le serveur de Dimension possède une IP publique car même s’il est dans notre LAN, cela fonctionne.

images/03EP708.png

 Indiquez un mot de passe.

images/03EP709.png

 Indiquez l’Authentication Key.

images/03EP710.png

 Choisissez Non, afin de ne pas activer le mode Anonymisé.

images/03EP711.png

 Vérifiez et validez la configuration.

images/03EP712.png

Ajouter un UTM à Dimension (logs)

 Pour avoir juste la journalisation, connectez-vous sur l’UTM en Web UI, SYSTÈME - Journalisation - onglet WatchGuard Log Server. L’UTM permet d’envoyer des messages de journal à deux serveurs de log en même temps : Log Servers 1 et Log Servers 2. Comme nous avons utilisé Log Servers 1 avec l’exercice WSM, nous utilisons Log Servers 2, mais nous pouvons choisir l’un ou l’autre, selon notre préférence. Donc, dans Log Servers 2, placez l’IP de Dimension et entrez la clé d’authentification que nous avons créée lors de l’étape précédente avec l’assistant.

images/03EP714.png

Sur Dimension l’UTM apparaît, avec la journalisation activée (Oui en vert).

images/03EP715.png

Ajouter un UTM à Dimension (logs et gestion)

 Il est possible de gérer l’UTM depuis Dimension (se connecter en Web UI, redémarrer ou encore lancer les mises à jour). Pour cela, depuis Dimension, cliquez sur AJOUTER.

Dans cet écran, on vous donne les instructions pour la suite.

images/03EP717.png

Deux choix de configuration s’offrent à vous :

  • Ajouter un périphérique en ligne (dans cette procédure, tout est automatisé).

  • Entrer manuellement un périphérique existant (import du fichier de configuration à la main dans l’UTM).

 Pour bien comprendre le processus, choisissez Entrer manuellement un périphérique existant.

images/03EP718.png

 Entrez l’IP dans le nom du périphérique et son numéro de série.

images/03EP719.png

 Cliquez sur TÉLÉCHARGER pour télécharger le fichier de configuration *.wgd.

images/03EP720.png

 Connectez-vous sur l’UTM avec Web UI, SYSTÈME - Périphérique géré, et cochez Activer Centralized Management. Cliquez sur Parcourir et indiquez le fichier de configuration précédemment téléchargé (n’oubliez pas de cliquer sur le bouton IMPORTER).

images/03EP721.png

 Puis, dans la partie basse de la fenêtre, cliquez sur ENREGISTRER.

images/03EP722.png

Sur Dimension apparaît l’UTM avec la journalisation et le mode géré en vert.

images/03EP723.png

Dimension : gestion, outils...

Activation de la journalisation dans les stratégies

 Pour que la journalisation soit intéressante, dans les Stratégies sous Journalisation, cochez ces options :

  • Envoyer un message de journal

  • Envoyer un message du journal pour les rapports

En fonction des stratégies, vous trouvez une ou plusieurs cases à cocher.

images/03EP726.png