UTM Troubleshooting
Introduction
Pourquoi ?
Ce chapitre traite des problèmes pouvant être rencontrés avec un UTM. Comme nous avons pu le voir, les UTM jouent un rôle crucial dans la sécurité des réseaux informatiques. Cependant, il est possible que des problèmes surviennent. C’est là que le dépannage des UTM est essentiel pour garantir un niveau élevé de sécurité et de performances.
Informations
Personnellement, depuis 2018 où nous avons commencé à utiliser les UTM WatchGuard, nous procédons de la manière suivante. Nous testons d’abord en atelier les modifications que nous nous apprêtons à effectuer sur les équipements en production. Ainsi, en production, nous n’avons jamais eu de pannes dues à une mauvaise configuration, ni de reset à faire, ni même à utiliser l’autorestauration.
L’OS nous semble extrêmement stable, même avec un nombre important de fonctionnalités et de mises à jour.
À chaque fois que nous rencontrons un problème, nous contactons le service avant-vente France de WatchGuard. Ils répondent toujours très rapidement. Cependant, parfois, le problème se révèle être hors de leur champ d’action.
Dans ces cas, nous devons contacter le support technique. Il faut savoir être patient...
Les différentes consoles et ressources (par défaut)
Pour retrouver rapidement toutes les consoles de gestion pour l’UTM Firebox :
-
https://10.0.1.1:8080 : permet la gestion de l’UTM.
-
https://10.0.1.1:4100 : permet l’authentification avec Firebox-DB.
-
https://10.0.1.1/sslvpn : permet de télécharger les clients VPN.
-
http://10.0.1.1:4126 : permet de récupérer le certificat pour DPI SSL/TLS.
Pour accéder à Dimension :
-
https://10.0.1.x:8080 : permet d’accéder aux logs par Dimension.
Pour accéder au site officiel WatchGuard : www.watchguard.com (site officiel + le portail Partenaire pour accéder à tous les autres portails)
Pour accéder à la console DNSWatch : https://dnswatch.watchguard.com
Pour accéder à la console WatchGuard Cloud (WGC) : https://cloud.watchguard.com
Pour accéder aux meilleures pratiques UTM Firebox : https://www.watchguard.com/help/docs/help-center/fr-FR/Content/en-US/Fireware/basicadmin/firebox_config_best_practices_c.html
Pour accéder à un exemple de configuration pour bloquer une evasive app : https://www.watchguard.com/help/docs/fireware/12/fr-FR/Content/fr-FR/configuration_examples/block_evasive_apps_example.html
Pour accéder aux URL de WatchGuard Cloud ainsi qu’aux ports et adresses nécessaires aux accès en réseau :...
Les différentes couches de sécurité à désactiver ou activer
Pour débloquer une situation et/ou trouver rapidement un blocage de service, nous vous recommandons de désactiver les couches de protection dans l’ordre suivant :
-
Geolocation : peut bloquer de nouveaux clients.
-
Blocage de sites automatique : la gestion des paquets par défaut peut provoquer des faux positifs.
-
Règle Outgoing : il peut être nécessaire de l’activer pour laisser passer tous les flux.
-
DPI SSL/TLS : pose souvent problème avec les sites peu respectueux de la conformité TLS1.2.
-
Application Control (AC) : peut bloquer de nouvelles applications.
-
WebBlocker (WB) : peut bloquer de nouveaux services sur Internet.
-
DNSWatch : peut bloquer des sites et services sur Internet.
Une fois que vous avez trouvé la couche de sécurité qui bloque, réglez le problème et réactivez la couche de sécurité.
Journaux de diagnostic
Il est possible de faire communiquer de manière abondante l’UTM sur les événements qu’il rencontre. Cela est très utile pour le troubleshooting. Nous allons prendre l’exemple du diagnostic d’un problème avec le client VPN SSL.
Nous avons un UTM configuré correctement pour recevoir des connexions à partir de clients VPN SSL. Les connexions fonctionnent bien avec une cinquantaine de clients VPN SSL, mais cela ne fonctionne pas avec un nouveau PC portable. Le technicien a préparé le PC avec le client VPN SSL disponible sur le site de WatchGuard.
Lorsque l’on exécute le client VPN SSL, celui-ci se connecte puis se déconnecte juste après. Il n’y a aucun message dans le log du client VPN SSL ni dans Traffic Monitor.
Pour obtenir plus d’informations, activez le debug mode qui se trouve dans SYSTÈME - Journaux de diagnostic - Réseau privé VPN - SSL, et choisissez le niveau Débogage.
Une fois le niveau mis sur Débogage, allez dans TABLEAU DE BORD - Traffic Monitor - onglet DIAGNOSTIC.
Maintenant, quand nous reproduisons la panne, un nouveau message apparaît. Celui-ci indique clairement le problème : la session a été stoppée car elle n’est pas de type « ssl web ».
Ce problème survient lorsque l’on utilise une version du client...
Autorestauration et mode Recovery
L’autorestauration permet de faire démarrer un UTM avec une image de backup sur clé USB. En cas de problème avec l’OS, cela peut être bien pratique. L’opération se passe en deux étapes : l’activation et la restauration.
Étape 1 : pour activer l’autorestauration, il faut suivre les étapes suivantes :
-
Aller dans SYSTÈME - Sauvegarde et restaurer l’image.
-
Cliquer sur l’onglet USB.
-
Sélectionner une image disponible qui contient l’OS (YES doit être indiqué dans la dernière colonne à droite).
-
Cliquer sur Activer l’autorestauration.
-
Entrer une clé de chiffrement.
Étape 2 : restaurer une image en mode Recovery d’un UTM M270 (par exemple), il faut suivre les étapes suivantes :
-
Mettre le Firebox sous tension.
-
Attendre que le voyant ARM (symbole bouclier) passe au vert.
-
Maintenir enfoncé le bouton Réinitialiser sur la façade du Firebox.
-
Après cinq secondes, le voyant ARM passe au rouge.
-
Continuer à maintenir le bouton Réinitialiser tant que le voyant ARM est rouge ou éteint.
-
Après 40 secondes, le voyant ARM clignote en vert.
-
Continuer à maintenir le bouton Rétablir tant que le voyant ARM clignote vert.
-
Dès que le voyant ARM clignote en vert deux fois par seconde, relâcher...
Reset de l’UTM (exemple M270)
Pour faire un reset de l’UTM, il faut :
1. Avoir l’appareil éteint.
2. Laisser appuyé le bouton RESET (en façade) et en même temps appuyer une fois sur le bouton ON (en façade).
3. Le voyant ARM (symbole avec le bouclier) doit apparaître en rouge et passer en vert après quelques secondes.
4. ARM devient donc vert avec clignement lent, puis rapide. Lâcher alors le bouton RESET.
5. ARM va clignoter pendant 5-10 secondes en vert rapide.
6. Attendre que ARM passe en rouge puis appuyer pendant 5 secondes sur le bouton ON pour arrêter l’UTM.
7. Appuyer ensuite sur ON, et l’UTM est reseté !
Sur le PC qui sert à configurer l’UTM, pensez à désactiver et réactiver la NIC pour récupérer une IP du DHCP.
Après le redémarrage, vous trouverez la Firebox depuis la patte Trusted en https://10.0.1.1:8080
Connectez-vous dessus en suivant l’assistant.
Les UTM n’utilisent pas tous la même manipulation pour être resetés (sur le site WatchGuard, il y a toutes les manipulations indiquées par familles de produits).
Contact et support
Il est possible de contacter le support de WatchGuard par téléphone et via un formulaire. Pour cela, il faut aller sur le lien ci-dessous : https://www.watchguard.com/wgrd-support/contact-support
Le support utilise Fast Support à l’adresse suivante : https://www.fastsupport.com/