Utiliser Application Control de WatchGuard avec Votre Pare-feu Existant

Exemples de fichiers de configuration créés avec — WSM v11.10.1

Révision — 21/07/2015

Cas d'Utilisation

Une organisation souhaite bloquer l'utilisation de certaines applications sur son réseau, sans pour autant modifier la configuration de son pare-feu existant ni les adresses réseau actuellement utilisées. L'idée de départ est de bloquer l'accès aux jeux en ligne et à Facebook.

Cet exemple de configuration est fourni à titre indicatif. Des paramètres de configuration supplémentaires pourraient être nécessaires, ou plus appropriés, pour votre environnement de réseau.

Présentation de la Solution

Cette organisation peut ajouter un Firebox derrière l'un des pare-feux de leur réseau existant de manière à surveiller et contrôler les applications auxquelles leurs utilisateurs ont accès. Pour ce faire, elle configure son Firebox en mode pont de sorte de surveiller et contrôler de manière transparente le contenu entrant et sortant de leur réseau sans modifier la configuration de leur pare-feu existant ni leurs adresses réseau.

Après avoir ajouté le Firebox au réseau, la NAT et le routage réseau demeurent gérés par les passerelles et les routeurs existants. Le Firebox se limite à examiner le contenu qu'elle fait transiter et à appliquer les stratégies à ce trafic.

Fonctionnement

En mode pont, le Firebox ne route pas le trafic réseau. Le Firebox examine le trafic et le transmet à sa destination sans modifier l'en-tête des paquets ni les informations de routage. Lorsque le paquet provenant du Firebox atteint une passerelle, il semble être issu du périphérique d'origine.

Le trafic transitant par le Firebox est géré par les stratégies ajoutées au fichier de configuration du périphérique. Lorsqu'Application Control est activé dans les stratégies, le trafic est inspecté de manière à identifier les applications et bloquer le trafic correspondant aux applications spécifiées.

Exigences

  • Un Firebox adapté à la taille de votre réseau
    Les fonctionnalités du Firebox varient en fonction du modèle. Vous devez sélectionnez un Firebox présentant une capacité suffisante pour gérer le trafic de votre réseau. Pour obtenir des informations concernant les Fireboxes, consultez https://www.watchguard.com/wgrd-products/.
  • système d'exploitation Fireware OS v11.4 et les versions ultérieures
    Pour utiliser Application Control, le Firebox doit utiliser le système d'exploitation Fireware OS v11.4 ou une version ultérieure.
  • Un abonnement de sécurité à Application Control
    Le Firebox doit posséder un abonnement de sécurité Application Control actif.

Exemple de Configuration

Pour illustrer ce type de configuration, nous présentons un exemple d'un pare-feu existant qui protège un réseau privé. Etant donné que le routage est géré par les périphériques réseau existants, le réseau situé derrière le pare-feu peut être un réseau unique ou composé de différents sous-réseaux situés derrière un routeur. Le Firebox peut appliquer les règles d'Application Control au trafic entre les utilisateurs du réseau et le pare-feu existant, indépendamment de la configuration réseau.

Dans cet exemple de configuration, le réseau existant utilise les adresses IP suivantes :

Exemple de configuration de réseau Adresse IP
Pare-feu existant 192.168.100.1
Réseau privé immédiatement derrière le pare-feu existant 192.168.100.0/24

Pour configurer le Firebox, il vous suffit de connaître l'adresse IP du pare-feu existant et une adresse IP disponible sur le réseau interne, que vous pouvez assigner au Firebox à des fins de gestion. Du moment que le Firebox est situé entre les utilisateurs du réseau et le pare-feu, le reste de la topologie réseau existante n'a pas d'incidence sur la configuration du Firebox.

Pour souligner ce point, deux topologies réseau sont fournies : Réseau Interne Plat et Réseau Interne Routé. Le fichier de configuration peut être utilisé pour les deux topologies.

Topologie 1 — Réseau Interne Plat

Ce diagramme illustre l'emplacement d'installation de votre Firebox sur un réseau présentant un seul sous-réseau, de manière à pouvoir utiliser Application Control.

Diagramme de la Topologie Réseau 1

Topologie 2 — Réseau Interne Routé

Ce diagramme illustre l'emplacement d'installation de votre Firebox sur un réseau comprenant un routeur et plusieurs sous-réseaux, de manière à pouvoir utiliser Application Control.

Diagramme de la Topologie Réseau 2

Exemple de Fichier de Configuration

À titre de référence, nous avons joint un exemple de fichier de configuration à ce document. Cet exemple de fichier de configuration prend en charge les deux topologies réseau décrites à la section précédente. Vous pouvez ouvrir l'exemple de fichier de configuration avec Policy Manager v11.10.1 ou une version ultérieure pour l'examiner en détail.

Le fichier de configuration se nomme app_control_bridge.xml. Ce fichier de configuration est inclus dans le fichier app_control_bridge_config.zip.

Explication du Fichier de Configuration

Configuration du Réseau en Mode Pont

Dans cet exemple de fichier de configuration, le réseau est configuré en Mode Pont.

Capture d'écran de la boîte de dialogue Configuration du réseau

Pour connecter le périphérique afin de le gérer, vous utilisez l'adresse IP du Firebox. Cette adresse doit appartenir au sous-réseau du pare-feu. Dans cet exemple, l'adresse IP définie sur le Firebox est 192.168.100.100/24.

Le pare-feu existant est la passerelle par défaut du réseau situé immédiatement derrière le pare-feu. L'adresse IP de la passerelle du fichier de configuration du Firebox correspond donc à l'adresse IP du Firebox, 192.168.100.1.

Stratégies

L'exemple de fichier de configuration comprend les deux stratégies suivantes, qui permettent à l'ensemble du trafic de transiter par le périphérique :

  • Tout-entrant — Autorise l'ensemble du trafic issu du pare-feu vers les utilisateurs du réseau.
  • Tout-sortant — Autorise l'ensemble du trafic des utilisateurs du réseau privé vers le pare-feu.

Capture d'écran de l'onglet Pare-feu de Policy Manager

Les stratégies de type Tout s'appliquent à tous les types de trafic. Vous pouvez ouvrir ces stratégies pour examiner leurs détails de configuration.

Capture d'écran de la boîte de dialogue Modifier les Propriétés de la Stratégie pour la stratégie Tout-entrant   Capture d'écran de la boîte de dialogue Modifier les Propriétés de la Stratégie pour la stratégie Tout-sortant

L'action Application Control Global est activée dans toutes les stratégies.

Paramètres d'Application Control

Dans cet exemple de configuration, l'action Application Control Global est configurée de manière à bloquer :

  • Toutes les applications Facebook
  • Toutes les applications de la catégorie Jeux

Cette action Application Control Global est activée pour les stratégies Tout-entrant et Tout-sortant qui autorisent le trafic.

Pour afficher l'action Application Control Global dans l'exemple de fichier de configuration :

  1. Sélectionnez services d'Abonnement > Application Control.
    La boîte de dialogue Actions d'Application Control apparaît.
  2. Dans la liste Actions, sélectionnez l'action Application Control Global puis cliquez sur Modifier.
    La boîte de dialogue Action Application Control (prédéfinie) s'affiche.
  3. Sélectionnez Afficher uniquement les applications configurées.

Capture d'écran de la boîte de dialogue Action Application Control

Dans cet exemple, toutes les applications de jeu sont bloquées en fonction de leur catégorie, comme indiqué dans l'action sélectionnée : Abandonner (Par catégorie). Les applications Facebook sont toutefois bloquées individuellement, comme indiqué dans les actions d'abandon spécifiées.

  1. Pour afficher les catégories d'application bloquées, cliquez sur Sélectionner par Catégorie.
    Dans cet exemple, vous pouvez observer que l'action Abandonner a été configurée pour la catégorie Jeux.

La catégorie Jeux bloque tous les jeux en ligne et non simplement ceux de Facebook. C'est ce que nous désirons pour notre cas d'utilisation.

Surveiller les Applications Bloquées

Lorsqu'Application Control abandonne le trafic correspondant à une action Application Control, cet évènement s'affiche dans un message de journal de trafic. Si vous vous connectez au Firebox avec Firebox System Manager, vous pouvez sélectionner l'onglet Traffic Monitor pour afficher les messages de journal indiquant les applications bloquées. Par défaut, les stratégies sont configurées pour créer un message de journal uniquement lorsque le trafic n'est pas autorisé par la stratégie. C'est pourquoi seuls les messages concernant les applications bloquées s'affichent dans Traffic Monitor.

Pour afficher les messages de journal concernant toutes les applications détectées même si leur trafic n'est pas bloqué, vous pouvez configurer la stratégie de manière à générer un message de journal pour tous les paquets autorisés.  Dans l'exemple de fichier de configuration, la stratégie Tout-sortant est configurée de manière à envoyer un message de journal pour tous les paquets autorisés.

Pour afficher ce paramètre de configuration :

  1. Double-cliquez sur la stratégie Tout-sortant.
    La boîte de dialogue Modifier les Propriétés de la Stratégie s'affiche pour la stratégie Tout-sortant.
  2. Sélectionnez l'onglet Propriétés.
  3. Cliquez sur Journalisation.
    La boîte de dialogue Journalisation et notification s'ouvre.

Capture d'écran de la boîte de dialogue Journalisation et notification

WatchGuard System Manager comprend également d'autres outils de rapports et de surveillance, que vous pouvez utiliser pour consulter les messages de journal d'Application Control et créer des rapports. Pour de plus amples informations concernant la journalisation et les rapports, consultez l'Aide de Fireware à l'adresse https://www.watchguard.com/help/documentation/..

Conclusion

Dans cet exemple de configuration, nous avons appris à ajouter un Firebox à un réseau existant de manière à bloquer certaines applications avec Application Control. L'ajout du Firebox à ce réseau ne nécessite pas de modifier la configuration du pare-feu existant, ni celle des autres périphériques réseau. Le Firebox se limite à inspecter le trafic et à bloquer les applications configurées dans l'action Application Control.

Après avoir ajouté le Firebox au réseau, il est facile d'activer d'autres services de sécurité permettant de renforcer la sécurité du réseau et votre contrôle sur son contenu. Vous pouvez par exemple activer WebBlocker, qui vous permet de bloquer le contenu Web en fonction des catégories de contenu, ou Intrusion Prevention Service, qui fournit une protection en temps réel contre les menaces telles que les logiciels espions, les scripts inter-sites et les dépassements de mémoire tampon.

Pour obtenir de plus amples informations concernant les abonnements de sécurité WatchGuard UTM disponibles, rendez-vous à l'adresse https://www.watchguard.com/products/xtm-software/overview.asp.

Cet exemple de configuration bloque l'accès à toutes les applications Facebook. Vous pouvez néanmoins bloquer de manière sélective certaines applications Facebook et autoriser les autres. Vous pouvez par exemple autoriser les applications Facebook nécessaires à votre service Marketing et bloquer simultanément l'accès aux jeux Facebook.

Pour de plus amples informations concernant la prise en main d'Application Control, consultez l'Aide de Fireware à l'adresse https://www.watchguard.com/help/documentation/.