UTM Tableau de bord
Introduction
Pourquoi ?
Cette section se concentre sur l’importance de comprendre comment se connecter à l’appareil par l’interface Web UI et trouver les principales informations. Le tableau de bord de l’UTM est l’interface utilisateur principale pour surveiller les fonctions de sécurité de l’UTM. Il fournit une vue d’ensemble des activités de sécurité de l’UTM, telles que les connexions entrantes et sortantes, les menaces détectées et les applications utilisées sur le réseau.
Le tableau de bord de l’UTM peut inclure des graphiques, des tableaux et des diagrammes qui présentent des informations sur la sécurité du réseau en temps réel. Les administrateurs système peuvent utiliser le tableau de bord pour configurer et surveiller les politiques de sécurité, les règles de pare-feu, les filtres de contenu, les protections antivirus et les paramètres de sécurité réseau.
Informations
Pour trouver le tableau de bord, connectez-vous sur le portail de l’UTM. Pour cela, vous pouvez passer par la patte ETH0 External ou ETH1 Trusted. Nous vous recommandons de passer par la patte ETH1 Trusted en 10.0.1.1/24 par le port 8080.
Par défaut, certains modèles ne sont pas accessibles sur la patte externe.
Donc depuis un PC connecté...
Panneau avant
Pourquoi ?
La fenêtre est scindée en deux panneaux distincts. Le panneau de gauche permet de voir les principales informations qui transitent par l’UTM (clients, destinations, applications, stratégies, etc.). Par exemple, cela permet de voir rapidement un ou plusieurs ordinateurs clients qui recevraient ou émettraient de manière anormale.
Dans la fenêtre de droite se trouvent les menus Système, Serveurs, WatchGuard Cloud.
Dans Système se trouvent les informations suivantes :
Nom |
FireboxVV |
Modèle |
FireboxV-SM |
Version |
12.9.2.B675817 |
Numéro de série |
xxxxxxxxxxxxx |
Heure système |
21:42 Europe/Amsterdam |
Date système |
23/03/23 |
Temps d’activité |
10 days 04:45 |
Dans Serveurs se trouvent les informations suivantes :
Log Server |
Désactivé(e) |
Threat Detection |
Non Connecté |
DNSWatch |
Opérationnel |
Dimension |
Désactivé(e) |
Dans WatchGuard Cloud se trouvent les informations suivantes :
Gestion |
Désactivé(e) |
Visibilité |
Activé(e) |
Informations
Ce qu’il faut savoir sur la fenêtre Système à droite :
-
Le bouton pour un redémarrage manuel de l’appareil s’y trouve (planification possible depuis le menu Système).
-
Les rapports générés en cas de problème y apparaissent ici en rouge.
Services d’abonnement
Pourquoi ?
Le service d’abonnement permet de voir l’état des abonnements et de leurs bandes passantes. Il est possible, depuis les fenêtres de chaque service, de faire une mise à jour manuellement.
Informations
Les services s’affichent sous forme de fenêtres qui indiquent :
-
Les sites web bloqués par WebBlocker.
-
Les virus détectés par Gateway AntiVirus.
-
Les intrusions détectées par Intrusion Prevention Service.
-
Les programmes malveillants détectés et mis en quarantaine par APT Blocker.
-
Le score de réputation des URL utilisées par Reputation Enabled Defense.
-
Le trafic bloqué est indiqué par Data Loss Violations lors de mise en quarantaine par DLP.
-
Les e-mails indésirables sont indiqués lorsqu’ils sont bloqués par SpamBlocker.
-
Le trafic qui a été bloqué pour violation par Botnet Detection.
FireWatch
Pourquoi ?
FireWatch est disponible dans Fireware Web UI, WatchGuard Dimension et WatchGuard Cloud. Il permet de visualiser et bloquer les connexions sur les différents types de flux transitant par l’UTM, cela de manière graphique.
Les informations peuvent être comprises rapidement en fonction de la taille des fenêtres (visualisation Treemap). Il est possible de choisir entre plusieurs types de filtres :
-
Débit
-
Octets
-
Connexions
-
Durée
Puis de se déplacer entre les onglets ci-dessous :
-
Source
-
Destinations
-
Application
-
Stratégie
-
Interface (Int)
-
Interface (Ext)
Avec un peu d’expérience, il est facile de voir quels utilisateurs/applications consomment la bande passante, les sites les plus consultés, les applications les plus utilisées, etc.
Informations
Sans l’activation de l’authentification et de l’inspection Packet HTTPS, l’outil Firewatch est limité :
-
L’authentification par utilisateur permet de voir le nom des comptes utilisateurs à la place des IP.
-
L’inspection Packet SSL/TLS va permettre de consulter le flux HTTPS et donc de supprimer les angles morts.
Nous verrons plus loin comment faire l’authentification et l’inspection Packet HTTPS.
Interfaces
Pourquoi ?
Cela permet de voir les informations concernant les interfaces (bande passante envoyée et reçue, adresse IP, masques, adresse MAC). Très pratique pour identifier les volumes de flux, si une interface est mal configurée ou encore pour connaître les IP utilisées par les interfaces de l’UTM.
Informations
Dans l’onglet Détail, vous retrouvez les informations sous forme de lignes avec en bas l’ordre des serveurs DNS. Dans l’onglet SD-WAN, vous retrouvez les caractéristiques des liens pertes, la latence et l’instabilité.
Traffic Monitor
Pourquoi ?
L’un des points forts du produit est l’outil Trafic Monitor qui permet de voir les flux transitant par l’UTM. C’est l’endroit le plus important pour pratiquer du troubleshooting de flux (la couleur rouge indique les flux bloqués).
Informations
C’est ici que l’on regarde pour inspecter le flux et rechercher les erreurs internes, les blocages de flux, les problèmes de protocole, etc. Vous pouvez utiliser le symbole de la loupe à droite pour filtrer par mot-clé ou IP.
Traffic Monitor du client lourd WatchGuard System Management offre plus de choix (voir la section WSM dans le chapitre UTM WSM (FSM + WLS).
Exemple d’un accès sur le site web www.blueinfo.fr :
2022-04-29 15:46:53 Allow 10.0.1.110 216.58.214.68 https/tcp 49205 443 Trusted External HTTP request (HTTPS-proxy-00) proc_id="http-proxy" rc="525" msg_id= "1AFF-0024" proxy_act="HTTP-Client.Standard" op="POST" dstname="www.google.com" arg="/url?sa=t&source=web&rct=j&url=https://www.blueinfo.fr/&ved =2ahUKEwjk8diytLn3AhVLxIUKHVZNBrAQFnoECBcQAQ" sent_bytes="1823" rcvd_bytes="1449" elapsed_time="0.046795 sec(s)"
Les informations affichées sont : date / heure / Deny ou Allow / IP source / IP destination / protocole / port source / port...
Contrôle sans fil de passerelle
Pourquoi ?
Cette fenêtre permet de surveiller les points d’accès Wi-Fi WatchGuard appairés avec l’UTM (la configuration se réalise dans le menu RÉSEAU - Contrôleur sans fil de passerelle). Cependant, les nouvelles bornes WatchGuard Wi-Fi 6 sont administrables seulement par WatchGuard Cloud, cette fenêtre perd donc son intérêt.
Informations
Dans l’onglet Résumé, vous trouvez des informations Wi-Fi et pouvez gérer l’installation du firmware.
L’onglet Cartes permet de visualiser les autres points d’accès Wi-Fi et leurs informations.
Il est possible de voir les conflits des appareils (ici signalés par des ronds jaunes).
Dans l’onglet Points d’accès, les points d’accès Wi-Fi WatchGuard montrent leur état (En ligne) et l’activation (Activated).
L’onglet Clients sans fil indique les clients connectés sur les points d’accès Wi-Fi WatchGuard.
L’onglet BSSID Externes indique les SSID, adresses MAC et canaux des points d’accès externes.
Geolocation
Pourquoi ?
Cette rubrique permet de voir les flux émanant vers et depuis votre UTM par pays. Cela est pratique pour identifier les pays à risque, puis par la suite bloquer les flux émanant de pays avec lesquels vous ne travaillez pas, par exemple. À partir de cette fenêtre, vous pouvez choisir de voir trois types de vues :
-
Toutes les connexions
-
Pays source
-
Pays de destination
En cliquant sur un pays, il est possible de voir les IP sources, l’IP destination, leurs ports et les stratégies, etc. Dans l’onglet Recherche, vous pouvez rechercher le pays d’une adresse IP spécifique.
Informations
Voici ce qu’il faut connaître sur cette fonction :
-
Elle nécessite une licence Basic Security Suite (BSS).
-
Le blocage des pays se fait depuis le menu SERVICES D’ABONNEMENT - Geolocation.
Secure mobile
Pourquoi ?
Permet de voir les appareils mobiles et leurs flux lorsqu’ils sont connectés à votre réseau.
Informations
Nécessite une licence spécifique.
Découverte de réseau
Pourquoi ?
Un scanner réseau est un outil utilisé pour explorer un réseau informatique et identifier les dispositifs qui y sont connectés. Il permet de détecter les hôtes actifs, les ports ouverts et les services en cours d’exécution sur chaque hôte. Les scanners réseau sont comme nos yeux et nos oreilles sur un réseau.
Informations
Une astuce consiste à marquer les appareils comme approuvés, cela permet d’identifier vos ressources correctement d’un coup d’œil. Comme avec un scanner réseau (exemple : NMAP), vous trouverez les informations suivantes pour chaque appareil :
-
Adresse IP
-
Nom de périphérique et nom d’hôte
-
Adresse MAC
-
Système d’exploitation et services
-
Ports réseau ouverts
-
Périphériques de la sécurité mobile et état de leur conformité mobile
L’appareil peut avoir plusieurs états :
-
Croix verte : cela signifie que l’appareil a déjà été détecté lors de précédentes analyses.
-
Rond vert : cela signifie que l’appareil a émis des informations lors des dernières 120 minutes.
-
Rond jaune : cela signifie que l’appareil n’a pas émis d’informations lors des dernières 120 minutes....