French

Transcription

French

®
Palo Alto Networks
Guide de mise en route
PAN-OS 5.0
Informations de contact
Siège social :
Palo Alto Networks
3300 Olcott Street
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
À propos de ce guide
Le présent guide de mise en route va vous permettre de vous familiariser avec la
configuration initiale et les paramétrages de base de vos pare-feux Palo Alto
Networks. Ce guide peut être utilisé lorsque vous avez terminé le montage en rack de
votre pare-feu matériel ou lorsque vous avez créé votre pare-feu virtuel ; il s’adresse
aux administrateurs souhaitant que la structure de base paramètre rapidement le
pare-feu en tant que passerelle de sécurité.
Pour en savoir plus, consultez les sources suivantes :

Guide de l’administrateur de Palo Alto Networks - Pour obtenir plus d’informations
sur les fonctions supplémentaires et des instructions sur la configuration des
fonctionnalités du pare-feu.

https://live.paloaltonetworks.com - Pour accéder à la base de connaissances,
aux documentations complètes, aux forums de discussions et aux vidéos.

https://support.paloaltonetworks.com - Pour contacter le support, obtenir des
informations sur les programmes de support ou gérer votre compte ou vos
périphériques.
Ce guide fournit des procédures permettant de configurer un pare-feu à l’aide d’une
interface Web sur un périphérique. Il ne fournit pas de procédures permettant de
déployer des pare-feux à l’aide de Panorama. Pour plus d’informations sur l’utilisation
de Panorama, consultez le guide de l’administrateur.
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2013 Palo Alto Networks. Tous droits réservés.
Palo Alto Networks, PAN-OS et Panorama sont des marques commerciales de Palo
Alto Networks, Inc. Toutes les autres marques commerciales sont la propriété de leurs
détenteurs respectifs.
Réf. 810-000137 Rev. B
ii
Table des matières
Intégration du pare-feu dans votre réseau de gestion . . . . . . . . . . . . . . . . . . .3
Configuration de l’accès de gestion au pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Détermination de votre stratégie de gestion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Exécution de la configuration initiale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Configuration de l’accès réseau pour les services externes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Activation des services de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Enregistrement avec Palo Alto Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Activation de vos licences. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Gestions des mises à jour de contenu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Installation des mises à jour logicielles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Ajout d’administrateurs de pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Rôles administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Authentification des administrateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Création d’un compte d’administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Surveillance du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Surveillance des applications et des menaces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Affichage des données des journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Transfert des journaux vers les services externes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Surveillance du pare-feu à l’aide de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Création d’un périmètre de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Présentation d’un périmètre de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Déploiements de pare-feux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
À propos de la traduction d’adresses réseaux (NAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
À propos des politiques de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Paramétrage des interfaces et des zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Planification de votre déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Configuration des interfaces et des zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Configuration des politiques NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Traduction d’adresses IP client internes vers votre adresse IP publique . . . . . . . . . . . . . . . . . . . . . . . . 46
Activation des clients sur le réseau interne pour accéder à vos serveurs publics. . . . . . . . . . . . . . . . . . 47
Activation de la traduction bidirectionnelle d’adresses pour vos serveurs orientés public . . . . . . . . . . 48
Paramétrage des politiques de sécurité de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Création de règles de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Test de vos politiques de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Surveillance du trafic sur votre réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Protection de votre réseau contre les menaces . . . . . . . . . . . . . . . . . . . . . . . 57
Présentation de la prévention des menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
À propos des zones de sécurité, des politiques de sécurité et des politiques de déchiffrement . . . . . . 59
i
Table des matières
Licences des fonctions de prévention des menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
À propos des licences de prévention des menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Obtention et installation des licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
À propos des profils de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Profils de chiffrement et de déchiffrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Configuration des profils et politiques de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des politiques de déchiffrement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des politiques de déchiffrement du trafic sortant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des profils Antivirus, Anti-logiciel espion et Protection contre les vulnérabilités . . . .
Configuration du filtrage des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du blocage des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du filtrage des URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
70
70
72
74
77
82
84
87
Configuration de l’identification utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Présentation de l’identification utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
À propos du mappage de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
À propos du mappage d’utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Activation de l’identification utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Mappage d’utilisateurs à des groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Mappage d’adresses IP à des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Activation d’une politique basée sur l’utilisateur et le groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Vérification de la configuration de l’ID utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Paramétrage de la haute disponibilité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Présentation de la HD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modes HD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liaisons HD et liaisons de secours . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Priorité et préemption des périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Déclencheurs de basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
114
114
115
116
116
Configuration requise pour la HD active/passive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Directives de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Configuration d’une paire active/passive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Définition des conditions de basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Vérification d’un basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
ii
1 Intégration du pare-feu dans votre
réseau de gestion
Ce chapitre décrit les étapes de configuration initiales nécessaires pour intégrer le pare-feu dans votre réseau de
gestion et le préparer pour la configuration de sécurité. Celui-ci comprend les sections suivantes :

Configuration de l’accès de gestion au pare-feu

Activation des services de pare-feu

Ajout d’administrateurs de pare-feu

Surveillance du pare-feu
3
Intégration du pare-feu dans votre réseau de gestion
Tous les pare-feu Palo Alto Networks fournissent un port de gestion hors bande (MGT) que vous pouvez
utiliser pour effectuer les fonctions d’administration de pare-feu. À l’aide du port MGT, vous pouvez séparer
les fonctions de gestion du pare-feu des fonctions de traitement des données, afin de protéger l’accès au pare-feu
et d’améliorer les performances. Lors de l’utilisation de l’interface Web, vous devez effectuer toutes les tâches
de configuration initiales à partir du port MGT, même si vous envisagez d’utiliser un port intrabande pour la
gestion future de votre périphérique.
Certaines tâches de gestion, telles que la récupération des licences et la mise à jour des signatures de menaces et
d’applications sur le pare-feu, nécessitent l’accès à Internet. Si vous ne souhaitez pas autoriser l’accès externe à
votre port MGT, vous devez configurer un port de données permettant l’accès aux services externes requis ou
envisager de charger manuellement les mises à jour de manière régulière.
Les sections suivantes fournissent des instructions sur la configuration de l’accès de gestion au pare-feu :

Détermination de votre stratégie de gestion

Exécution de la configuration initiale

Configuration de l’accès réseau pour les services externes
Détermination de votre stratégie de gestion
Le pare-feu Palo Alto Networks peut être configuré et géré localement ou de manière centralisée à l’aide de
Panorama, le système de gestion de sécurité centralisée de Palo Alto Networks. Si vous disposez de six pare-feu
ou plus sur votre réseau, Panama vous permet de bénéficier des avantages suivants :
• Réduction de la complexité et des frais d’administration en matière de gestion de la configuration, des
politiques, des logiciels et de mises à jour de contenu dynamiques. À l’aide des groupes et des modèles dans
Panorama, vous pouvez gérer de manière efficace la configuration spécifique au périphérique localement
sur un périphérique et appliquer des politiques partagées sur tous les périphériques ou groupes de
périphériques.
• Agrégation des données de tous les pare-feu gérés et gain de visibilité sur tout le trafic de votre réseau.
Le Centre de commande de l’application (ACC) dans Panorama fournit une seule vitre pour la création de
rapports unifiée sur tous les pare-feu, qui vous permet d’examiner, d’analyser et de signaler un trafic réseau,
des incidents de sécurité et des modifications administratives.
Les procédures contenues dans ce document décrivent la gestion du pare-feu à l’aide de l’interface Web locale.
Si vous souhaitez utiliser Panorama pour la gestion centralisée, une fois que vous avez suivi les instructions de
la section Exécution de la configuration initiale de ce guide et vérifié que le pare-feu peut établir une connexion à
Panorama, reportez-vous au chapitre 13 du Guide de l’administrateur Palo Alto Networks pour plus d’informations.
4
Exécution de la configuration initiale
Par défaut, le pare-feu a une adresse IP de 192.168.1.1 et un nom d’utilisateur/mot de passe d’admin/admin.
Pour des raisons de sécurité, vous devez modifier ces paramètres avant de procéder à d’autres tâches de
configuration du pare-feu. Vous devez effectuer ces tâches de configuration initiales à partir de l’interface MGT,
même si vous n’envisagez pas d’utiliser cette interface pour la gestion de votre pare-feu, ou à l’aide d’une
connexion de port série directe à un port de console du périphérique.
CONFIGURATION DE L’ACCÈS RÉSEAU AU PARE-FEU
Étape 1 Contactez votre administrateur réseau
pour obtenir les informations requises.
• Adresse IP du port MGT
• Masque réseau
• Passerelle par défaut
• Adresse du serveur DNS
Étape 2 Connectez votre ordinateur au pare-feu.
Vous pouvez vous connecter au pare-feu de l’une des manières
suivantes :
• Connectez un câble série de votre ordinateur au port de console
et connectez-vous au pare-feu à l’aide d’un logiciel d’émulation de
terminal (9600-8-N-1). Attendez quelques minutes que la
séquence de démarrage se termine ; lorsque le périphérique est
prêt, l’invite prend le nom du pare-feu, par exemple Connexion
à PA-500
• Connectez un câble Ethernet RJ-45 de votre ordinateur au
port MGT du pare-feu. Dans un navigateur, accédez à l’adresse
https://192.168.1.1. Veuillez noter qu’il se peut que
vous deviez modifier l’adresse IP de votre ordinateur par une
adresse du réseau 192.168.1.0, tel que 192.168.1.2, afin d’accéder
à cette URL.
Étape 3 Lorsque vous y êtes invité,
connectez-vous au pare-feu.
Vous devez vous connecter à l’aide du nom d’utilisateur et du mot de
passe par défaut (admin/admin). Le pare-feu commence alors à
s’initialiser.
Étape 4 Configurez l’interface MGT.
1.
Sélectionnez Périphérique > Configuration > Gestion, puis
cliquez sur l’icône Modifier dans la section Paramètres de
l’interface de gestion de l’écran. Saisissez l’adresse IP, le
masque réseau, et la passerelle par défaut.
2.
Définissez la vitesse sur Négocier automatiquement.
3.
Sélectionnez les services de gestion à autoriser sur l’interface.
Il est recommandé de ne pas sélectionner Telnet et HTTP car
ces services utilisent du texte brut et ne sont pas aussi sécurisés
que les autres services.
4.
Cliquez sur OK.
5
CONFIGURATION DE L’ACCÈS RÉSEAU AU PARE-FEU (SUITE)
Étape 5 (Facultatif) Configurez les paramètres
généraux du pare-feu.
1.
Sélectionnez Périphérique > Configuration > Gestion, puis
cliquez sur l’icône Modifier dans la section Paramètres
généraux de l’écran.
2.
Saisissez un nom d’hôte pour le pare-feu, puis le nom de
domaine de votre réseau. Le nom de domaine est un simple
intitulé ; il ne sera pas utilisé pour rejoindre le domaine.
3.
Saisissez la latitude et la longitude pour permettre le placement
précis du pare-feu sur la carte du monde.
4.
Cliquez sur OK.
1.
Sélectionnez Périphérique > Configuration > Services, puis
cliquez sur l’icône Modifier dans la section Services de
l’écran.
2.
Saisissez l’adresse IP de votre serveur DNS principal et,
facultativement, de votre serveur DNS secondaire.
3.
Pour utiliser le cluster virtuel des serveurs de temps sur Internet,
saisissez le nom d’hôte pool.ntp.org comme serveur NTP
principal ou ajoutez l’adresse IP de votre serveur NTP
principal et, facultativement, de votre serveur NTP
secondaire..
4.
Cliquez sur OK pour enregistrer vos paramètres.
Étape 7 Définissez un mot de passe sécurisé pour 1.
le compte d’administrateur.
2.
Sélectionnez Périphérique > Administrateurs.
Étape 6 Configurez mes paramètres DNS,
d’heure et de date.
Remarque Vous devez configurer manuellement
au moins un serveur DNS sur le
pare-feu, sinon il ne pourra pas
résoudre les noms d’hôte ; celui-ci
n’utilisera aucun paramètre de
serveur DNS d’une autre source,
telle qu’un fournisseur de services
Internet.
Étape 8 Validez vos modifications.
Remarque Une fois que les modifications de
Sélectionnez le rôle admin.
3.
Saisissez le mot de passe par défaut actuel et le nouveau mot de
passe.
4.
Cliquez sur OK pour enregistrer vos paramètres.
Cliquez sur Valider. L’enregistrement de vos modifications par le
périphérique peut prendre jusqu’à 90 secondes.
configuration sont enregistrées, vous
perdez la connexion à l’interface Web
car l’adresse IP a changé.
Étape 9 Connectez le pare-feu à votre réseau.
6
1.
Déconnectez le pare-feu de votre ordinateur.
2.
Connectez le port MGT à un port de commutateur sur votre
réseau de gestion à l’aide d’un câble Ethernet RJ-45.
Assurez-vous que le port de commutateur câblé au pare-feu est
configuré pour la négociation automatique.
CONFIGURATION DE L’ACCÈS RÉSEAU AU PARE-FEU (SUITE)
Étape 10 Ouvrez une session de gestion SSH sur
le pare-feu.
À l’aide d’un logiciel d’émulation de terminal, tel que PuTTY, lancez
une session SSH sur le pare-feu à l’aide de la nouvelle adresse IP
affectée à celui-ci.
Étape 11 Vérifiez l’accès réseau aux services
externes requis pour la gestion du
pare-feu, tels que le serveur de mises à
jour Palo Alto Networks, de l’une des
manières suivantes :
• Si vous ne souhaitez pas autoriser
l’accès réseau externe à
l’interface MGT, vous devez
configurer un port de données pour
récupérer les mises à jour de service
requises. Passez à la section
« Configuration de l’accès réseau
pour les services externes » à la
page 7.
• Si vous envisagez d’autoriser l’accès
réseau externe à l’interface MGT,
vérifiez votre connexion et passez à
la section « Activation des services de
pare-feu » à la page 11.
Si vous avez câblé votre port MGT pour l’accès réseau externe,
vérifiez que vous avez accès depuis et vers le pare-feu à l’aide de
l’utilitaire ping de la CLI (interface de ligne de commande). Vérifiez
votre connexion à la passerelle par défaut, au serveur DNS et au
serveur de mises à jour Palo Alto Networks, tel qu’indiqué dans
l’exemple suivant :
admin@PA-200> ping host updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) 56(84) bytes of data.
64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=40.5 ms
Remarque Une fois que vous avez vérifié votre connexion,
appuyez sur Ctrl+C pour arrêter les requêtes ping.
Configuration de l’accès réseau pour les services externes
Par défaut, le pare-feu utilise l’interface MGT pour accéder aux services distants, tels que les serveurs DNS, les
mises à jour de contenu et la récupération des licences. Si vous ne souhaitez pas autoriser l’accès réseau externe
à votre réseau de gestion, vous devez configurer un port de données pour fournir l’accès à ces services externes
requis.
Cette tâche nécessite la connaissance des interfaces, zones et politiques de pare-feu.
Pour plus d’informations sur ces éléments, reportez-vous au Chapitre 2, « Création
d’un périmètre de sécurité ».
CONFIGURATION D’UN PORT DE DONNÉES POUR ACCÉDER AUX SERVICES EXTERNES
Étape 1 Décidez quel port vous souhaitez utiliser
pour accéder aux services externes et
connectez-le à votre port de commutateur
ou de routeur.
L’interface utilisée doit avoir une adresse IP statique.
Étape 2 Connectez-vous à l’interface Web.
Dans votre navigateur Web, connectez-vous de manière sécurisée (https)
à l’aide de la nouvelle adresse IP et du nouveau mot de passe affectés lors
de la configuration initiale (https://<adresse IP>). Un avertissement de
certificat s’affiche ; ne vous en préoccupez pas. Continuez vers la
page Web.
7
CONFIGURATION D’UN PORT DE DONNÉES POUR ACCÉDER AUX SERVICES EXTERNES (SUITE)
Étape 3 (Facultatif) Le pare-feu est préconfiguré
avec une interface de câble virtuel par
défaut entre les ports Ethernet 1/1 et
Ethernet 1/2 (ainsi que des zones et
une politique de sécurité par défaut
correspondantes). Si vous n’envisagez pas
d’utiliser cette configuration de câble virtuel,
vous devez supprimer la configuration
manuellement pour ne pas qu’elle interfère
avec d’autres paramètres d’interface définis.
Vous devez supprimer la configuration dans l’ordre suivant :
1. Pour supprimer la politique de sécurité par défaut, sélectionnez
Politiques > Sécurité, puis la règle et cliquez sur Supprimer.
2.
Ensuite, supprimez le câble virtuel par défaut en sélectionnant
Réseau > Câbles virtuels, puis le câble virtuel et en cliquant sur
Supprimer.
3.
4.
Pour supprimer les zones approuvées et non approuvées par
défaut, sélectionnez Réseau > Zones, puis chaque zone et cliquez
sur Supprimer.
Enfin, supprimez les configurations d’interface en sélectionnant
Réseau > Interfaces, puis chaque interface (ethernet1/1 et
ethernet1/2) et cliquez sur Supprimer.
Étape 4 Configurez l’interface.
8
5.
Validez les modifications.
1.
Sélectionnez Réseau > Interfaces et sélectionnez l’interface qui
correspond au port que vous avez câblé à l’étape 1.
2.
Sélectionnez le type d’interface. Bien que votre choix dépende de
la topologie de votre réseau, cet exemple indique les étapes pour la
couche 3.
3.
Dans l’onglet Configuration, développez la liste Zone de
sécurité, puis sélectionnez Nouvelle zone.
4.
Dans la boîte de dialogue, définissez un nom pour la nouvelle zone,
par exemple, L3-trust, puis cliquez sur OK.
5.
Sélectionnez l’onglet IPv4, cliquez sur Ajouter dans la section IP,
puis saisissez l’adresse IP et le masque réseau à affecter à l’interface,
par exemple, 192.168.1.254/24.
6.
Sélectionnez Avancé > Autres informations, développez la liste
Profil de gestion, puis sélectionnez Nouveau profil de gestion.
7.
Saisissez un nom pour le profil, tel que allow_ping, puis
sélectionnez les services que vous souhaitez autoriser sur l’interface.
Ces services fournissent un accès de gestion au périphérique ;
par conséquent, sélectionnez uniquement les services qui
correspondent aux activités de gestion que vous souhaitez autoriser
sur cette interface. Par exemple, si vous envisagez d’utiliser
l’interface MGT pour les tâches de configuration du périphérique
via l’interface Web ou la CLI, vous ne devez pas activer HTTP,
HTTPS, SSH ou Telnet pour empêcher l’accès non autorisé via
cette interface. Afin d’autoriser l’accès aux services externes, activez
uniquement Ping, puis cliquez sur OK.
8.
Pour enregistrer la configuration d’interface, cliquez sur OK.
Étape 5 Comme le pare-feu utilise l’interface MGT 1.
par défaut pour accéder aux services
externes requis, vous devez modifier
l’interface que le pare-feu utilise pour
envoyer ces demandes en modifiant les
itinéraires de service.
2.
Sélectionnez Périphérique > Configuration > Services >
Configuration de l’itinéraire de service.
Sélectionnez le bouton radio Sélectionner.
3.
Cliquez sur Utiliser les paramètres par défaut dans la colonne
Adresse source qui correspond au service dont vous souhaitez
modifier l’itinéraire.
4.
Sélectionnez l’adresse IP de l’interface que vous venez de
configurer.
5.
Répétez ces étapes pour chaque service que vous souhaitez
modifier. Afin d’activer vos licences et d’obtenir le contenu et les
mises à jour logicielles les plus récents, vous devez modifier
l’itinéraire de service pour les services DNS, Mises à
jour Palo Alto, Mises à jour d’URL et WildFire.
6.
Cliquez sur OK pour enregistrer les paramètres.
7.
Validez vos modifications.
Étape 6 Configurez une interface externe et une zone associée, puis créez des règles de politique NAT et de sécurité pour
permettre au pare-feu d’envoyer des demandes de service de la zone interne à la zone externe :
1. Sélectionnez Réseau > Interfaces, puis sélectionnez votre interface externe. Sélectionnez Couche 3 comme type
d’interface, ajoutez l’adresse IP (dans l’onglet IPv4 ou IPv6), puis créez la zone de sécurité associée (dans
l’onglet Configuration), telle que l3-untrust. Vous n’avez pas besoin de configurer les services de gestion sur cette
interface.
2. Pour configurer une règle de sécurité autorisant le trafic de votre réseau interne au serveur de mises à
jour Palo Alto Networks et aux serveurs DNS, sélectionnez Politiques > Sécurité, puis cliquez sur Ajouter.
Pour la configuration initiale, vous pouvez créer une simple règle autorisant tout le trafic de l3-trust à l3-untrust,
comme suit :
3. Si vous utilisez une
adresse IP privée sur
l’interface interne, vous
devez créer une
règle NAT source pour traduire l’adresse en une adresse pouvant être acheminée publiquement. Sélectionnez
Politiques > NAT, puis cliquez sur Ajouter. Vous devez au moins définir un nom pour la règle (onglet Général),
indiquer une zone source et une zone de destination, l3-trust et l3-untrust dans ce cas (onglet Paquet d’origine),
définir les paramètres de traduction d’adresse source (onglet Paquet traduit), puis cliquer sur OK. Pour plus
d’informations sur NAT, reportez-vous à la section « Configuration des politiques NAT » à la page 45.
4. Validez vos modifications.
9
Étape 7 Vérifiez votre connexion du port de
données aux services externes, tels que
la passerelle par défaut, le serveur DNS
et le serveur de mises à jour Palo Alto
Networks.
Une fois que vous avez vérifié que vous
disposez de la connexion réseau requise,
passez à la section « Activation des
services de pare-feu » à la page 11.
10
Lancez la CLI, puis utilisez l’utilitaire ping pour vérifier votre
connexion. Veuillez noter que les requêtes sont envoyées par défaut
à partir de l’interface MGT ; par conséquent, dans ce cas, vous devez
indiquer l’interface source pour les requêtes ping, comme suit :
admin@PA-200> ping source 192.168.1.254 host
updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) from
192.168.1.254 : 56(84) bytes of data.
64 bytes from 67.192.236.252: icmp_seq=3 ttl=242 time=47.6 ms
^C
Une fois que vous avez vérifié votre connexion, appuyez sur Ctrl+C
pour arrêter les requêtes ping.
Avant de commencer à utiliser votre pare-feu pour sécuriser votre réseau, vous devez l’enregistrer et activer les
licences des services que vous avez achetés. De plus, vous devez vous assurer que vous exécutez la bonne version
de PAN-OS, tel que décrit dans les sections suivantes :

Enregistrement avec Palo Alto Networks

Activation de vos licences

Gestions des mises à jour de contenu

Installation des mises à jour logicielles
Enregistrement avec Palo Alto Networks
Avant de pouvoir commencer à utiliser votre pare-feu pour activer les applications en toute sécurité, vous devez
l’enregistrer comme suit.
ENREGISTREMENT DU PARE-FEU
Étape 1 Connectez-vous à l’interface Web.
Dans votre navigateur Web, connectez-vous de manière sécurisée
(https) à l’aide de la nouvelle adresse IP et du nouveau mot de passe
affectés lors de la configuration initiale (https://<adresse IP>).
Un avertissement de certificat s’affiche ; ne vous en préoccupez pas.
Continuez vers la page Web.
Étape 2 Localisez votre numéro de série et
copiez-le dans le Presse-papiers.
Sur le tableau de bord, localisez votre numéro de série dans la
section Informations générales de l’écran.
Étape 3 Rendez-vous sur le site de support de
Palo Alto Networks.
Dans un nouvel onglet ou une nouvelle fenêtre de navigateur,
accédez à l’adresse https://support.paloaltonetworks.com.
Étape 4 Enregistrez le périphérique. Vous devez
disposez d’identifiants de connexion pour
pouvoir accéder au site de support.
• S’il s’agit du premier périphérique Palo Alto Networks que vous
•
enregistrez et que vous ne disposez d’aucune information de
connexion, cliquez sur S’inscrire sur le côté droit de la page. Pour
vous inscrire, vous devez fournir votre adresse e-mail et le numéro
de série de votre pare-feu (que vous pouvez coller à partir de votre
Presse-papiers). Vous serez également invité à définir un nom
d’utilisateur et un mot de passe pour accéder à la communauté de
support de Palo Alto Networks.
Si vous disposez déjà d’un compte de support, connectez-vous,
puis cliquez sur Mes périphériques. Accédez à la section
Enregistrer le périphérique au bas de l’écran, saisissez le numéro de
série de votre pare-feu (que vous pouvez coller à partir de votre
Presse-papiers), votre ville et votre code postal, puis cliquez sur
Enregistrer le périphérique.
11
Activation de vos licences
Avant de commencer à utiliser votre pare-feu pour sécuriser le trafic sur votre réseau, vous devez activer la
licence de chacun des services que vous avez achetés. Les licences disponibles sont les suivantes :
• Prévention des menaces : offre une protection antivirus, antisypware et contre les vulnérabilités. Pour
plus d’informations sur la prévention des menaces, reportez-vous à la section « Configuration des profils
Antivirus, Anti-logiciel espion et Protection contre les vulnérabilités » à la page 74.
• Filtrage des URL : afin de créer des règles de politique en fonction des catégories d’URL dynamiques,
vous devez acheter et installer un abonnement pour l’une des bases de données de filtrage des URL prises
en charge, PAN-DB ou BrightCloud. Pour plus d’informations sur le filtrage des URL, reportez-vous à la
section « Configuration du filtrage des URL » à la page 87.
• Systèmes virtuels : cette licence est nécessaire pour la prise en charge de plusieurs systèmes virtuels sur les
pare-feu des séries PA-2000 et PA-3000. En outre, vous devez acheter une licence Systèmes virtuels si vous
souhaitez augmenter le nombre de systèmes virtuels au-delà du nombre de base fourni par défaut sur les
pare-feu des séries PA-4000 et PA-5000 (le nombre de base varie en fonction de la plate-forme). Les
pare-feu des séries PA-500, PA-200 et VM ne prennent en charge les systèmes virtuels.
• WildFire : bien que le support WildFire de base soit inclus dans la licence Prévention des menaces, le
service d’abonnement WildFire offre des services avancés pour les entreprises qui ont besoin d’une sécurité
immédiate ; celui-ci permet l’accès aux mises à jour de signatures WildFire toutes les heures, le
téléchargement de journaux à partir du serveur WildFire et le chargement de fichiers à l’aide de
l’API WildFire. Pour plus d’informations sur WildFire, reportez-vous à la section « Configuration de
WildFire » à la page 84.
• GlobalProtect : offre des solutions de mobilité et/ou des fonctionnalités de réseau privé virtuel à grande
échelle. Par défaut, vous pouvez déployer un portail et une passerelle GlobalProtect sans aucune licence.
Cependant, si vous souhaitez utiliser des contrôles d’hôte et/ou déployer plusieurs passerelles, vous devez
acheter une licence de portail (une licence permanente à usage unique) et des licences de passerelle
(abonnement). Pour plus d’informations sur GlobalProtect, reportez-vous au chapitre 9 du Guide de
l’administrateur Palo Alto Networks.
ACTIVATION DES LICENCES
Étape 1 Localisez les codes d’activation pour les
licences que vous avez achetées.
12
Lorsque vous avez acheté vos abonnements, vous avez dû recevoir
un e-mail du service client de Palo Alto Networks indiquant le code
d’activation associé à chaque abonnement. Si vous ne parvenez pas à
trouver cet e-mail, contactez le support client pour obtenir vos codes
d’activation avant de continuer.
ACTIVATION DES LICENCES (SUITE) (SUITE)
Étape 2 Lancez l’interface Web et accédez à la
page Licences.
Sélectionnez Périphérique > Licences.
Étape 3 Activez chaque licence achetée.
1.
Remarque Si votre pare-feu ne dispose d’aucun
2.
accès Internet à partir du port de
gestion, vous pouvez télécharger
manuellement vos fichiers de licence 3.
sur le site de support et les charger sur
votre pare-feu à l’aide de l’option
Sélectionnez Activer la fonction à l’aide du code
d’autorisation.
Lorsque vous y êtes invité, saisissez le Code d’autorisation, puis
cliquez OK.
Vérifiez que la licence ait été activée avec succès. Par exemple,
une fois que vous avez activé la licence WildFire, vous pouvez
voir la validité de la licence :
Charger manuellement la clé de
licence.
Gestions des mises à jour de contenu
Afin de garder une longueur d’avance sur le paysage des applications et des menaces en constante évolution, tous les
pare-feu Palo Alto Networks prennent en charge les mises à jour de contenu dynamiques. Selon les abonnements
achetés, ces mises à jour incluent les dernières signatures d’applications et de menaces, ainsi qu’une base de données
de filtrage des URL. Afin d’être toujours protégé contre les dernières menaces (y compris celles qui n’ont pas encore
été découvertes), vous devez vous assurer de garder vos pare-feu à jour avec les dernières mises à jour publiées par
Palo Alto Networks. Selon les abonnements dont vous disposez, les mises à jour de contenu suivantes sont
disponibles :
• Antivirus : inclut les nouvelles signatures antivirus et celles mises à jour, y compris les signatures découvertes par
le service de cloud WildFire. Vous devez disposer d’un abonnement Prévention des menaces pour obtenir ces
mises à jour. De nouvelles signatures antivirus sont publiées chaque jour.
• Applications : inclut les nouvelles signatures d’applications et celles mises à jour. Cette mise à jour ne nécessite
aucun abonnement supplémentaire, mais requiert néanmoins un contrat de maintenance/support valide.
De nouvelles mises à jour d’applications sont publiées chaque jour.
• Applications et menaces : inclut les nouvelles signatures d’applications et de menaces, ainsi que celles mises
à jour. Cette mise à jour est disponible si vous disposez d’un abonnement Prévention des menaces (et vous
l’obtenez à la place de la mise à jour Applications). De nouvelles mises à jour d’applications et de menaces sont
publiées chaque jour.
• Fichier de données GlobalProtect : contient les informations spécifiques au fournisseur pour la définition et
l’évaluation des données du profil d’informations sur l’hôte (HIP) renvoyées par les agents GlobalProtect. Vous
devez disposer d’une licence de portail et de passerelle GlobalProtect pour pouvoir recevoir ces mises à jour. De
plus, vous devez créer un calendrier de téléchargement et d’installation des mises à jour pour que GlobalProtect
fonctionne.
13
• Filtrage des URL BrightCloud : fournit des mises à jour uniquement pour la base de données de filtrage
des URL BrightCloud. Vous devez disposer d’un abonnement BrightCloud pour obtenir ces mises à jour.
De nouvelles mises à jour de base de données des URL BrightCloud sont publiées chaque jour. Si vous
disposez d’une licence PAN-DB, les mises à jour planifiées ne sont pas nécessaires, car les périphériques
restent synchronisés avec les serveurs automatiquement.
• WildFire : fournit presque en temps réel des signatures antivirus et de logiciels malveillants créées suite à
l’analyse effectuée par le cloud WildFire (sans l’abonnement, vous devez attendre 24 à 48 heures pour que
les signatures soient regroupées dans la mise à jour Menaces). En outre, cet abonnement vous fournit des
journaux sur les périphériques (vous n’avez pas besoin d’accéder au portail WildFire) et vous permet de
charger jusqu’à 100 fichiers par jour à l’aide de l’API WildFire.
Bien que vous pouvez télécharger et installer manuellement les mises à jour à n’importe quel moment, il est
recommandé d’en planifier le téléchargement et l’installation automatiques.
Si votre pare-feu ne dispose d’aucun accès Internet à partir du port de gestion, vous
pouvez télécharger les mises à jour de contenu sur le site de support de Palo Alto
Networks (https://support.paloaltonetworks.com), puis les charger sur votre pare-feu.
TÉLÉCHARGEMENT DES DERNIÈRES BASES DE DONNÉES
page Mises à jour dynamiques.
Sélectionnez Périphérique > Mises à jour dynamiques.
Étape 2 Recherchez les dernières mises à jour.
Cliquez sur Vérifier maintenant (dans le coin inférieur gauche de la fenêtre) pour rechercher les dernières mises
à jour. Le lien se trouvant dans la colonne Action indique si une mise à jour est disponible :
• Télécharger : indique qu’un nouveau fichier de mise à jour est disponible. Cliquez sur ce lien pour
commencer à télécharger le fichier directement sur le pare-feu. Une fois le téléchargement terminé, le lien se
trouvant dans la colonne Action passe de Télécharger à Installer.
Remarque Vous ne pouvez pas télécharger la base de données antivirus avant que vous n’ayez installé la base
de données Applications et menaces.
• Mettre à niveau : indique qu’une nouvelle version de la base de données BrightCloud est disponible. Cliquez
sur ce lien pour commencer à télécharger et installer la base de données. La mise à niveau de la base de
données commence en arrière-plan ; une fois terminée, une coche s’affiche dans la colonne Actuellement
installé. Veuillez noter que si vous utilisez PAN-DB comme base de données de filtrage des URL, aucun lien
de mise à niveau ne s’affiche car la base de données PAN-DB reste automatiquement synchronisée avec le
serveur.
Conseil Pour vérifier l’état d’une action, cliquez sur Tâches (dans le coin inférieur droit de la fenêtre).
14
TÉLÉCHARGEMENT DES DERNIÈRES BASES DE DONNÉES (SUITE)
Cliquez sur le lien Installer dans la colonne Action. Une fois
l’installation terminée, une coche s’affiche dans la colonne
Remarque L’installation peut prendre jusqu’à
Actuellement
installé.
20 minutes sur un périphérique PA-200,
PA-500 ou PA-2000 et jusqu’à
deux minutes sur un pare-feu des
séries PA-3000, PA-4000, PA-5000
ou VM.
Étape 3 Installez les mises à jour.
Étape 4 Planifiez chaque mise à jour.
1.
Définissez le calendrier pour chaque type de mise à jour en
cliquant sur le lien Aucun(e).
2.
Indiquez la fréquence de téléchargement et d’installation des
mises jour en sélectionnant une valeur dans la liste déroulante
Récurrence. Les valeurs disponibles peuvent varier selon le type
de contenu (les mises à jour Wilfried sont disponibles toutes les
15 minutes, toutes les 30 minutes ou toutes les heures,
tandis que tous les autres types de contenu peuvent être planifiés
pour la mise à jour quotidienne ou hebdomadaire).
3.
Indiquez l’heure et (ou, les minutes après l’heure dans le cas
de WildFire), le cas échéant, selon la valeur de récurrence
sélectionnée, le jour de la semaine de téléchargement des
mises à jour.
4.
Indiquez si vous souhaitez que le système télécharge et installe
la mise à jour (recommandé) ou la télécharge uniquement.
5.
Dans de rares cas, il se peut que les mises à jour de contenu
contiennent des erreurs. C’est pour cela que vous devez différer
l’installation de nouvelles mises à jour quelques heures après leur
publication. Vous pouvez indiquer le délai d’attente après une
publication avant de procéder à l’installation d’une mise à jour
de contenu, en saisissant le nombre d’heures dans le champ
Seuil (heures).
Répétez cette étape pour chaque mise à
jour que vous souhaitez planifier.
Remarque Il est recommandé d’échelonner les
mises à jour planifiées car le pare-feu
ne peut télécharger qu’une mise à
jour à la fois. Si vous planifiez le
téléchargement des mises à jour lors
du même intervalle de temps, seul le
premier téléchargement réussira.
6.
Cliquez sur OK pour enregistrer les paramètres du calendrier.
7.
Cliquez sur Valider pour enregistrer les paramètres de la
configuration active.
15
Installation des mises à jour logicielles
Lors de l’installation d’un nouveau pare-feu, il est recommandé d’installer la dernière mise à jour logicielle (ou
la version de mise à jour recommandée par votre revendeur ou ingénieur Palo Alto Networks) afin de bénéficier
des derniers correctifs et améliorations de sécurité. Veuillez noter qu’avant la mise à jour du logiciel, vous devez
d’abord vous assurer que vous disposez des dernières mises à jour de contenu, détaillées dans la section
précédente (les notes de version d’une mise à jour logicielle indiquent les versions de mise à jour de contenu
minimum prises en charge dans la version).
MISE À JOUR DE PAN-OS
page Logiciels.
Sélectionnez Périphérique > Logiciels.
Étape 2 Recherchez les mises à jour logicielles.
Cliquez sur Vérifier maintenant pour rechercher les dernières mises
à jour. Si la valeur se trouvant dans la colonne Action est
Télécharger, une mise à jour est disponible.
Localisez la version souhaitée, puis cliquez sur Télécharger. Une fois
le
téléchargement terminé, la valeur se trouvant dans la colonne
Remarque Si votre pare-feu ne dispose d’aucun
Action
devient Installer.
accès Internet à partir du port de gestion,
vous pouvez télécharger la mise à jour
logicielle sur le site de support de
Palo Alto Networks
(https://support.paloaltonetworks.com).
Vous pouvez ensuite les charger
manuellement sur votre pare-feu.
Étape 3 Téléchargez la mise à jour.
Étape 4 Installez la mise à jour.
1.
Cliquez sur Installer.
2.
Redémarrez le pare-feu :
• Si vous êtes invité à redémarrer, cliquez sur Oui.
• Si vous ne l’êtes pas, sélectionnez Périphérique >
Configuration > Opérations, puis cliquez sur Redémarrer le
périphérique dans la section Opérations périphérique de
l’écran.
16
Par défaut, chaque pare-feu Palo Alto Networks est préconfiguré avec un compte d’administrateur par défaut
(admin), qui offre un accès complet en lecture/écriture (également appelé accès superutilisateur) au pare-feu.
Il est recommandé de créer un compte d’administrateur séparé pour chaque personne ayant besoin d’accéder
aux fonctions d’administration ou de création de rapports du pare-feu. Cela vous permet de mieux protéger le
pare-feu contre la configuration (ou modification) non autorisée et d’activer la journalisation des actions de
chaque administrateur de pare-feu.
Les sections suivantes décrivent les différentes manières de configurer les comptes d’administrateur et
fournissent des procédures pour configurer l’accès administrateur de base :

Rôles administrateur

Authentification des administrateurs

Création d’un compte d’administrateur
Rôles administrateur
La manière dont vous configurez les comptes d’administrateur dépend des exigences de sécurité au sein de votre
entreprise, des services d’authentification existants que vous souhaitez y intégrer et du nombre de rôles
administrateur différents dont vous avez besoin. Un rôle définit le type d’accès au système dont dispose
l’administrateur associé. Vous pouvez affecter deux types de rôles :
• Rôles dynamiques : rôles intégrés qui offrent au superutilisateur, au superutilisateur (lecture seule), à
l’administrateur du périphérique, à l’administrateur du périphérique (lecture seule), à l’administrateur du
système virtuel, à l’administrateur du système virtuel (lecture seule), l’accès au pare-feu. Avec les rôles
dynamiques, vous n’avez plus à vous soucier de mettre à jour les définitions de rôle lorsque de nouvelles
fonctions sont ajoutées, car les rôles sont automatiquement mis à jour.
• Profils de rôle administrateur : vous permettent de créer vos propres définitions de rôle afin de fournir
un contrôle d’accès plus granulaire aux diverses zones fonctionnelles de l’interface Web, à la CLI et/ou à
l’API XML. Par exemple, vous pouvez créer un profil de rôle administrateur pour votre personnel
d’exécution qui fournit un accès au périphérique et aux zones de configuration réseau de l’interface Web,
ainsi qu’un profil séparé pour vos administrateurs de sécurité qui offre un accès aux définitions des
politiques de sécurité, journaux et rapports. N’oubliez pas qu’avec les profils de rôle administrateur, vous
devez mettre à jour les profils pour affecter explicitement des droits d’accès aux nouveaux
composants/fonctions ajoutés au produit.
17
Authentification des administrateurs
Vous pouvez authentifier les utilisateurs administrateurs de quatre manières différentes :
• Compte d’administrateur local avec authentification locale : les informations d’identification du
compte d’administrateur et les méthodes d’authentification se trouvent en local sur le pare-feu. Vous pouvez
sécuriser davantage le compte d’administrateur local en créant un profil de mot de passe qui indique la
période de validité des mots de passe et en définissant les paramètres de complexité des mots de passe à
l’échelle du périphérique.
• Compte d’administrateur local avec authentification SSL : cette option vous permet de créer les
comptes d’administrateur sur le pare-feu, mais l’identification est basée sur les certificats SSH (pour l’accès
à la CLI) ou les certificats clients/les cartes d’accès commun (pour l’interface Web). Pour plus
d’informations sur ce type d’accès administrateur, reportez-vous à l’article Configuration de l’authentification
basée sur les certificats pour l’interface Web.
• Compte d’administrateur local avec authentification externe : les comptes d’administrateur sont gérés
sur le pare-feu local, mais les fonctions d’authentification sont prises en charge par un service LDAP,
Kerberos, ou RADIUS. Pour configurer ce type de compte, vous devez d’abord créer un profil
d’authentification qui définit l’accès au service d’authentification externe, puis créer un compte pour chaque
administrateur qui fait référence au profil. Pour plus d’informations, reportez-vous à la section Paramétrage
de profils d’authentification du chapitre 3 du Guide de l’administrateur Palo Alto Networks.
• Compte d’administrateur et authentification externes : l’administration et l’authentification de comptes
sont gérées par un serveur RADIUS externe. Pour utiliser cette option, vous devez définir des attributs
spécifiques au fournisseur (VSA) sur votre serveur RADIUS correspondant au rôle administrateur et,
facultativement, les objets du système virtuel que vous avez définis sur le périphérique Palo Alto Networks.
Pour plus d’informations sur la configuration de ce type d’accès administrateur, reportez-vous à l’article
Attributs spécifiques au fournisseur (VSA) RADIUS.
18
Création d’un compte d’administrateur
L’exemple suivant indique comme créer un compte d’administrateur local avec une authentification locale :
CRÉATION D’UN ADMINISTRATEUR LOCAL
Étape 1 Si vous envisagez d’utiliser les profils de
rôle administrateur plutôt que les rôles
dynamiques, créez des profils définissant
chaque type d’accès, le cas échéant, à
fournir aux différentes sections de
l’interface Web, à la CLI et à l’API XML,
pour chaque administrateur affecté au
rôle.
Étape 2 (Facultatif) Définissez des exigences
relatives aux mots de passe définis par
l’utilisateur.
Suivez les étapes ci-dessous pour chaque rôle que vous souhaitez
créer :
1. Sélectionnez Périphérique > Rôles administrateur, puis
cliquez sur Ajouter.
2.
Dans les onglets de l’interface Web ou de l’API XML, définissez
les niveaux d’accès (Activer , Lecture seule , Désactiver )
pour chaque zone fonctionnelle de l’interface, en cliquant sur
l’icône pour sélectionner le paramètre souhaité.
3.
Dans l’onglet Ligne de commande, indiquez le type d’accès à la
CLI à autoriser : superreader, deviceadmin ou devicereader
(pour les rôles du périphérique) ; vsysadmin ouvsysreader
(pour les rôles du système virtuel) ; ou Aucun(e) pour désactiver
complètement l’accès à la CLI.
4.
Saisissez un Nom pour le profil, puis cliquez sur OK pour
l’enregistrer.
• Créer des profils de mot de passe : cette option définit la
•
Étape 3 Créez un compte pour chaque
administrateur.
fréquence à laquelle les administrateurs doivent changer leurs mots
de passe. Vous pouvez créer plusieurs profils de mot de passe et les
affecter aux comptes d’administrateur afin d’appliquer la sécurité
souhaitée. Pour créer un profil de mot de passe, sélectionnez
Périphérique > Profils de mot de passe, puis cliquez sur Ajouter.
Configurer les paramètres de complexité minimale des mots
de passe : cette option définit les règles qui régissent la complexité
des mots de passe, vous permettant de forcer les administrateurs à
créer des mots de passe plus difficiles à deviner, décoder ou
compromettre. Contrairement aux profils de mot de asse, pouvant
être appliqués à chaque compte, ces règles sont à l’échelle du
périphérique et s’appliquent à tous les mots de passe. Pour
configurer les paramètres, sélectionnez Périphérique >
Configuration , puis cliquez sur l’icône Modifier dans la section
Complexité minimale des mots de passe.
1.
Sélectionnez Périphérique > Administrateurs, puis cliquez sur
Ajouter.
2.
Saisissez un nom d’utilisateur et un mot de passe pour
l’administrateur.
3.
Sélectionnez le rôle à affecter à cet administrateur. Vous pouvez
en sélectionner l’un des rôles dynamiques prédéfinis ou un profil
basé sur les rôles personnalisé si vous en avez créé un à
l’Étape 1.
4.
(Facultatif) Sélectionnez un profil de mot de passe.
5.
Cliquez sur OK pour enregistrer le compte.
1.
Cliquez sur Valider.
19
Lors de déploiement initial, vous devez également déterminer la manière dont vous envisagez de surveiller le
pare-feu, pour le bon fonctionnement du pare-feu, ainsi que pour la surveillance du trafic et des menaces qu’il
gère et contrôle. Disposez-vous de services centralisés, tels que Syslog ou SNMP, que vous souhaitez exploiter ?
Avez-vous des exigences spécifiques en matière d’archivage des fichiers journaux, d’audit et/ou de sauvegarde ?
Les sections suivantes décrivent les méthodes que vous pouvez utiliser pour surveiller le pare-feu et fournissent
des instructions d’installation de base :

Surveillance des applications et des menaces


Transfert des journaux vers les services externes

Surveillance du pare-feu à l’aide de SNMP
Vous pouvez également configurer le pare-feu (sauf les pare-feu de la série PA-4000) de
manière à exporter les données de flux vers un collecteur NetFlow pour l’analyse et la
création de rapports. Reportez-vous à la section Configuration des paramètres Netflow du
chapitre 3, Gestion des périphériques, du Guide de l’administrateur Palo Alto Networks.
20
Tous les pare-feu Palo Alto Networks de dernière génération sont équipés de la technologie App-ID, qui
identifie les applications traversant votre réseau, quel que soit le protocole, le chiffrage ou la tactique évasive.
Vous pouvez surveiller les applications à partir du Centre de commande de l’application (ACC). ACC dresse un
récapitulatif graphique de la base de données des journaux afin de mettre en évidence les applications traversant
votre réseau, leurs utilisateurs et leur incidence potentielle sur la sécurité. ACC est mis à jour de manière
dynamique, à l’aide de la classification continue du trafic par App-ID ; si une application change de port ou de
comportement, App-ID continue à voir le trafic et affiche les résultats dans ACC.
Vous pouvez examiner rapidement les nouvelles applications, à risque ou inconnues, qui apparaissent dans
ACC ; en un seul clic, vous pouvez afficher la description de l’application, ses principales fonctionnalités, ses
caractéristiques comportementales et ses utilisateurs. Une visibilité supplémentaire des catégories d’URL, des
menaces et des données fournit une image complète de l’activité réseau. ACC vous permet très rapidement d’en
savoir plus sur le trafic traversant le réseau et de traduire ensuite ces informations en une politique de sécurité
plus avisée.
21
Affichage des données des journaux
Tous les pare-feu Palo Alto Networks de dernière génération peuvent générer des fichiers journaux fournissant
une piste d’audit des activités et des événements sur le pare-feu. Il s’agit de journaux individuels pour chaque
type d’activité et d’événement. Par exemple, les journaux des menaces enregistrent tout le trafic qui amène le
pare-feu à générer une alarme de sécurité, tandis que les journaux de filtrage des URL enregistrent tout le trafic
correspondant à un profil de filtrage des URL associé à une politique de sécurité, et les journaux de
configuration enregistrent toutes les modifications apportées à la configuration du pare-feu. Pour plus
d’informations sur chaque type de fichier journal, reportez-vous à la section Journaux du pare-feu du chapitre 3
du Guide de l’administrateur Palo Alto Networks.
Vous pouvez afficher les données des journaux sur le pare-feu local de différentes manières :

Affichage des fichiers journaux

Affichage des données des journaux sur le tableau de bord

Affichage des rapports
Affichage des fichiers journaux
Par défaut, tous les fichiers journaux sont générés et stockés localement sur le pare-feu. Vous pouvez afficher
ces fichiers journaux directement (Surveillance > Journaux) :
22
Affichage des données des journaux sur le tableau de bord
Vous pouvez également surveiller les données des journaux locaux à partir du tableau de bord en ajoutant les
widgets associés :
Affichage des rapports
Le pare-feu utilise également les données des journaux pour générer des rapports (Surveillance > Rapports) ;
ceux-ci affichent les données des journaux dans un format tabulaire ou graphique.
23
Transfert des journaux vers les services externes
Selon le type et le niveau de gravité des données des fichiers journaux, vous pouvez être averti des événements
critiques requérant votre attention, ou des politiques nécessitant l’archivage des données sur une période plus longue
que leur durée de stockage sur le pare-feu. Dans ces cas-là, vous pouvez transférer vos données de journaux vers un
service externe pour l’archivage, la notification et/ou l’analyse.
Pour transférer les données des journaux vers un service externe, vous devez effectuer les tâches suivantes :


Configurez le pare-feu de manière à accéder aux services distants qui recevront les journaux. Reportez-vous à la
section « Définition des destinations de journalisation à distance » à la page 24.
Configurez chaque type de journal pour le transfert. Reportez-vous à la section « Activation du transfert des
journaux » à la page 29.
Définition des destinations de journalisation à distance
Pour atteindre un service externe, tel qu’un serveur Syslog ou un gestionnaire de pièges SNMP, le pare-feu doit
connaître les informations d’accès, et, si nécessaire, authentifier le service. Vous pouvez définir ces informations
dans un profil de serveur sur le pare-feu. Vous devez créer un profil de serveur pour chaque service externe avec
lequel vous souhaitez que le pare-feu interagisse. Les types de destinations de journalisation que vous devez
configurer et les journaux que vous transférez dépendent de vos besoins. Certains scénarios de transfert de
journaux courants incluent ce qui suit :
• Pour la notification immédiate des menaces ou des événements système critiques qui requièrent votre
attention, vous pouvez générer des pièges SNMP ou envoyer des alertes par e-mail. Reportez-vous à la
section « Configuration des alertes par e-mail » à la page 25 et/ou à la section « Configuration des destinations de
pièges SNMP » à la page 25.
• Pour le stockage et l’archivage des données à long-terme, ainsi que pour la surveillance des périphériques
centralisés, vous pouvez envoyer les données des journaux à un serveur Syslog. Reportez-vous à la section
« Définition des serveurs Syslog » à la page 27. Cela permet l’intégration d’outils de surveillance de sécurité tiers,
tel que Splunk! ou ArcSight.
Si vous ne disposez pas de collecteur Syslog ou que vous n’avez pas besoin de mises à
jour en temps réel, vous pouvez planifier l’exportation des journaux et les enregistrer
sur un serveur FTP (File Transfer Protocol) au format CSV ou utilisez la
fonction SCP (Secure Copy) pour transférer des données en toute sécurité entre le
pare-feu et un hôte distant. Pour plus d’informations, reportez-vous à la section
Planification de l’exportation des journaux du chapitre 3, Gestion des périphériques,
du Guide de l’administrateur Palo Alto Networks.
• Pour l’agrégation et la création de rapports sur les données des journaux à partir de plusieurs
pare-feu Palo Alto Networks, vous pouvez configurer un gestionnaire Panorama ou un collecteur de
journaux Panorama. Reportez-vous à la section « Transfert des journaux vers Panorama » à la page 28.
Vous pouvez définir autant de profils de serveur que vous avez besoin. Par exemple, vous pouvez utiliser des
profils de serveur individuels pour envoyer des journaux de trafic à un serveur Syslog et des journaux système
à un autre. Sinon, vous pouvez inclure plusieurs entrées de serveur dans un seul profil de serveur pour pouvoir
vous connecter à plusieurs serveurs Syslog pour la redondance.
24
Par défaut, toutes les données des journaux sont transférées vers l’interface MGT. Si vous
envisagez d’utiliser une autre interface que MGT, vous devez configurer un itinéraire de service
pour chaque service vers lequel vous allez transférer les journaux, tel que décrit à l’Étape 5 de la
procédure de la section Configuration d’un port de données pour accéder aux services externes.
Pour plus d’informations détaillées, reportez-vous à la section Définition des paramètres des
services du chapitre 3, Gestion des périphériques, du Guide de l’administrateur Palo Alto Networks.
Configuration des alertes par e-mail
CONFIGURATION DES ALERTES PAR E-MAIL
Étape 1 Créez un profil de serveur 1.
pour votre serveur de
2.
messagerie.
3.
4.
Sélectionnez Périphérique > Profils de serveur > Messagerie.
Cliquez sur Ajouter, puis saisissez un nom pour le profil.
(Facultatif) Sélectionnez le système virtuel auquel ce profil s’applique dans la liste
déroulante Emplacement.
Cliquez sur Ajouter pour ajouter une nouvelle entrée de serveur de messagerie, puis
saisissez les informations requises pour vous connecter au serveur SMTP (Simple
Mail Transport Protocol) et envoyer l’e-mail (vous pouvez ajouter jusqu’à quatre
serveurs de messagerie au profil) :
• Serveur : nom identifiant le serveur le messagerie (1 à 31 caractères). Ce champ
est un simple intitulé et ne doit pas comporter le nom d’hôte d’un serveur SMTP
existant.
• Nom complet : le nom à afficher dans le champ De de l’e-mail.
• De : l’adresse e-mail de laquelle les e-mails de notification seront envoyés.
• À : l’adresse e-mail vers laquelle les e-mails de notification seront envoyés.
• Destinataire(s) supplémentaire(s) : si vous souhaitez que les notifications
soient envoyées à un deuxième compte, saisissez-en l’adresse e-mail ici.
• Passerelle : l’adresse IP ou le nom d’hôte du serveur SMTP à utiliser pour
envoyer les e-mails.
5.
Cliquez sur OK pour enregistrer le profil de serveur.
Étape 2 (Facultatif) Personnalisez Sélectionnez l’onglet Format de journal personnalisé. Pour plus d’informations sur la
le format des e-mails
création de formats personnalisés pour les divers types de journaux, reportez-vous au
envoyés par le pare-feu.
Guide de configuration des formats d’événements courants.
Étape 3 Enregistrez le profil de
serveur et validez vos
modifications.
1.
Cliquez sur OK pour enregistrer le profil.
2.
Cliquez sur Valider pour enregistrer les modifications de la configuration active.
Configuration des destinations de pièges SNMP
SNMP (Simple Network Management Protocol) est une fonctionnalité standard permettant la surveillance des
périphériques sur votre réseau. Vous pouvez configurer le pare-feu de manière à envoyer des pièges SNMP à
votre logiciel de gestion SNMP afin de vous prévenir des menaces ou événements système critiques requérant
votre attention immédiate.
Vous pouvez également utiliser SNMP pour surveiller le pare-feu. Dans ce cas, votre
gestionnaire SNMP doit être configuré de manière à obtenir les statistiques du pare-feu au
lieu de (ou outre) l’envoi de pièges au gestionnaire par le pare-feu. Pour plus d’informations,
reportez-vous à la section « Surveillance du pare-feu à l’aide de SNMP » à la page 30.
25
CONFIGURATION DES DESTINATIONS DE PIÈGES SNMP
Étape 1 Créez un profil de serveur contenant les
informations de connexion et
d’authentification au(x)
gestionnaire(s) SNMP.
1.
Sélectionnez Périphérique > Profils de serveur > Piège SNMP.
2.
3.
(Facultatif) Sélectionnez le système virtuel auquel ce profil
s’applique dans la liste déroulante Emplacement.
4.
Sélectionnez la version de SNMP que vous utilisez (V2c ou V3).
5.
Cliquez sur Ajouter pour ajouter une nouvelle entrée de
récepteur de pièges SNMP (vous pouvez ajouter jusqu’à
quatre receveurs de pièges par profil de serveur). Les valeurs
requises dépendent de l’utilisation de SNMP V2c ou V3,
comme suit :
SNMP V2c
• Serveur : nom identifiant le gestionnaire SNMP (1 à
31 caractères). Ce champ est un simple intitulé et ne doit pas
comporter le nom d’hôte d’un serveur SNMP existant.
• Gestionnaire : l’adresse IP du gestionnaire SNMP auquel
vous souhaitez envoyer des pièges.
• Communauté : la chaîne de communauté requise pour
s’authentifier auprès du gestionnaire SNMP.
SNMP V3
• Serveur : nom identifiant le gestionnaire SNMP (1 à
31 caractères). Ce champ est un simple intitulé et ne doit pas
comporter le nom d’hôte d’un serveur SNMP existant.
• Gestionnaire : l’adresse IP du gestionnaire SNMP auquel
vous souhaitez envoyer des pièges.
• Utilisateur : le nom d’utilisateur requis pour s’authentifier
auprès du gestionnaire SNMP.
• ID de moteur : l’ID de moteur du pare-feu. Il s’agit d’une
valeur hexadécimale de 5 à 64 octets avec un préfixe de 0x.
Chaque pare-feu dispose d’un ID de moteur unique que vous
pouvez obtenir à l’aide d’un navigateur MIB en exécutant une
commande GET pour l’identifiant d’objet (OID)
1.3.6.1.6.3.10.2.1.1.0.
• Mot de passe d’authentification : le mot de passe utilisé
pour les messages de niveau authNoPriv (authentification
sans aucune confidentialité) sur le gestionnaire SNMP. Ce
mot de passe sera haché à l’aide de l’algorithme SHA-1
(Secure Hash Algorithm), mais ne sera pas chiffré.
• Mot de passe privé : le mot de passe utilisé pour les messages
de niveau authPriv (authentification avec confidentialité) sur
le gestionnaire SNMP. Ce mot de passe sera haché à l’aide de
l’algorithme SHA1 et chiffré à l’aide de la norme AES 128
(Advanced Encryption Standard).
6.
26
CONFIGURATION DES DESTINATIONS DE PIÈGES SNMP (SUITE)
Étape 2 Activez SNMP.
• Si vous envisagez d’envoyer des pièges SNMP à partir de
•
l’interface MGT, sélectionnez Périphérique > Configuration >
Gestion, puis cliquez sur l’icône Modifier
dans la section
Paramètres de l’interface de gestion de l’écran. Dans la section
Services, cochez la case SNMP, puis cliquez sur OK.
Si vous envisagez d’envoyer des pièges SNMP à partir d’une autre
interface, vous devez associer un profil de gestion à l’interface et
activer la gestion SNMP. De plus, vous devez configurer un
itinéraire de service pour permettre au pare-feu d’atteindre votre
gestionnaire SNMP. Pour obtenir des instructions, reportez-vous à
la section « Configuration de l’accès réseau pour les services
externes » à la page 7.
Étape 4 Activez le gestionnaire SNMP pour
interpréter les pièges reçus du pare-feu.
Chargez les fichiers MIB PAN-OS dans votre logiciel de
gestion SNMP et compilez-les. Pour obtenir des instructions
spécifiques, reportez-vous à la documentation de votre
gestionnaire SNMP.
Définition des serveurs Syslog
Syslog est un mécanisme de transfert de journaux standard qui permet l’agrégation des données des journaux à
partir de différents périphériques réseau, tels que routeurs, pare-feu, imprimantes, de différents fournisseurs,
dans un référentiel central, pour l’archivage, l’analyse et la création de rapports.
PAN-OS peut exporter cinq types de journaux vers un serveur Syslog : trafic, menaces, correspondance HIP,
configuration et système. Pour plus d’informations sur les champs de chaque type de journal, reportez-vous à
la Note technique sur l’intégration de Syslog au sein de PAN-OS. Pour obtenir une liste partielle des messages des
journaux et de leurs niveaux de gravité, reportez-vous à la Référence des journaux système.
Les messages Syslog sont envoyés en texte clair et ne peuvent pas être directement
chiffrés. Cependant, si vous souhaitez que les messages Syslog soient chiffrés, vous
pouvez les envoyer via une interface de tunnel, qui forcera les paquets Syslog à être
chiffrés. Vous devez également créer un nouvel itinéraire de service pour Syslog. Pour
plus d’informations, reportez-vous au Guide de l’administrateur Palo Alto Networks.
27
CONFIGURATION DU TRANSFERT SYSLOG
Étape 1 Créez un profil de serveur contenant les
informations de connexion au(x)
serveur(s) Syslog.
1.
Sélectionnez Périphérique > Profils de serveur > Syslog.
2.
3.
(Facultatif) Sélectionnez le système virtuel auquel ce profil
s’applique dans la liste déroulante Emplacement.
4.
Cliquez sur Ajouter pour ajouter une nouvelle entrée de
serveur Syslog, puis saisissez les informations requises pour
vous connecter au serveur Syslog (vous pouvez ajouter jusqu’à
quatre serveurs Syslog au même profil) :
• Nom : nom unique du profil de serveur.
• Serveur : adresse IP ou nom de domaine complet (FQDN)
du serveur Syslog.
• Port : numéro de port sur lequel envoyer des
messages Syslog (514 par défaut) ; vous devez utiliser le
même numéro de port sur le pare-feu et le serveur Syslog.
• Site : sélectionnez l’une des valeurs standard Syslog, qui est
utilisée pour calculer le champ PRI (priorité) dans
l’implémentation de votre serveur Syslog. Vous devez
sélectionner la valeur correspondant à l’utilisation du
champ PRI pour gérer vos messages Syslog.
5.
(Facultatif) Pour personnaliser le format des messages Syslog
envoyés par le pare-feu, sélectionnez l’onglet Format de journal
personnalisé. Pour plus d’informations sur la création de
formats personnalisés pour les divers types de journaux,
reportez-vous au Guide de configuration des formats
d’événements courants.
6.
Étape 2 (Facultatif) Configurez le pare-feu de
manière à inclure son adresse IP dans
l’en-tête des messages Syslog envoyés.
Sélectionnez Périphérique > Configuration , puis cliquez sur
l’icône Modifier dans la section Paramètres de journalisation et
de création de rapports. Cochez la case Envoyer le nom d’hôte
(hostname) dans Syslog, puis cliquez sur OK.
Transfert des journaux vers Panorama
Avant de pouvoir transférer des fichiers journaux vers un gestionnaire ou un collecteur de journaux Panorama,
le pare-feu doit être configuré en tant que périphérique géré. Pour plus d’informations sur la configuration de
Panorama et l’ajout de périphériques, reportez-vous au chapitre 13, Gestion centralisée des périphériques à
l’aide de Panorama, du Guide de l’administrateur Palo Alto Networks. Vous pouvez ensuite activer le transfert des
journaux vers Panorama pour chaque type de journal, tel que décrit dans la section « Activation du transfert des
journaux » à la page 29.
28
Activation du transfert des journaux
Une fois que vois avez créé les profils de serveur définissant l’emplacement de stockage de vos journaux, vous
devez activer le transfert des journaux. Pour chaque type de journal, vous pouvez indiquer son transfert vers un
serveur Syslog, de messagerie, un récepteur de pièges SNMP et/ou Panorama. La méthode d’activation du
transfert dépend du type de journal :
• Journaux de trafic : vous pouvez activer le transfert des journaux de trafic en créant un profil de transfert
de journaux (Objets > Transfert des journaux) et en l’ajoutant aux politiques de sécurité pour lesquelles vous
souhaitez déclencher le transfert des journaux. Seul le trafic correspondant à une règle spécifique d’une
politique de sécurité sera journalisé et transféré.
• Journaux des menaces : vous pouvez activer le transfert des journaux des menaces en créant un profil de
transfert de journaux (Objets > Transfert des journaux) qui indique les niveaux de gravité que vous voulez
transférer et en l’ajoutant aux politiques de sécurité pour lesquelles vous souhaitez déclencher le transfert
des journaux. Une entrée du journal des menaces ne sera créée (et, par conséquent, transférée) que si le trafic
associé correspond à un profil de sécurité (Antivirus, Antispyware, Vulnérabilité, Filtrage des URL, Blocage
des fichiers, Filtrage des données ou protection DoS). Le tableau suivant récapitule les niveaux de gravité
des menaces :
Niveau de gravité
Description
Critique
Menaces graves, telles que celles affectant les installations par défaut des
logiciels déployés à grande échelle et menant à la compromission des serveurs,
dans lesquelles le code d’exploit est largement accessible aux pirates. Le pirate
n’a généralement pas besoin d’informations d’authentification spéciales ni de
connaissances relatives à chaque victime, et la cible n’a pas besoin d’être
manipulée au point d’effectuer des fonctions spéciales.
Élevé
Menaces pouvant devenir critiques mais ayant des facteurs atténuants ; par
exemple, elles peuvent être difficiles à exploiter, ne mènent pas à des privilèges
élevés ou ne ciblent pas un grand nombre de victimes.
Moyen
Menaces mineures dans lesquelles l’incidence est minimisée, telles que les
attaques DoS qui ne compromettent pas la cible ou les exploits nécessitant
qu’un pirate réside sur le même réseau local que la victime, affectent
uniquement les configurations non standard ou les applications obscures, ou
fournissent un accès très limité. En outre, les entrées des journaux WildFire
ayant pour verdict la présence de logiciels malveillants sont enregistrées sous
le niveau de gravité Moyen.
Faible
Menaces à surveiller ayant très peu d’incidence sur l’infrastructure de
l’entreprise. Celles-ci requièrent généralement un accès au système physique
ou local et peuvent entraîner des problèmes DoS ou de confidentialité de la
victime, ainsi qu’une fuite des informations. Les correspondances du profil de
filtrage des données sont journalisées sous le niveau de gravité Faible.
Informations
Événements suspects qui ne constituent pas une menace immédiate, mais qui
sont signalées pour attirer l’attention sur l’existence possible de problèmes
plus graves. Les entrées des journaux WildFire et de filtrage des URL ayant un
verdict bénin sont enregistrées sous le niveau de gravité Informations.
29
• Journaux de configuration : vous pouvez activer le transfert des journaux de configuration en indiquant
un profil de serveur dans la configuration des paramètres des journaux (Périphérique > Paramètres des
journaux > Journaux de configuration).
• Journaux système : vous pouvez activer le transfert des journaux système en indiquant un profil de serveur
dans la configuration des paramètres des journaux (Périphérique > Paramètres des journaux > Journaux
système). Vous devez sélectionner un serveur de profil pour chaque niveau de gravité que vous souhaitez
transférer. Pour obtenir une liste partielle des messages des journaux et de leurs niveaux de gravité
correspondants, reportez-vous à la Référence des journaux système. Le tableau suivant récapitule les niveaux
de gravité des journaux système :
Niveau de gravité
Description
Critique
Défaillances matérielles, notamment les basculements HD et les échecs de
liaison.
Élevé
Problèmes graves, notamment les connexions abandonnées avec des
périphériques externes tels que les serveurs LDAP et RADIUS.
Moyen
Notifications de niveau intermédiaires telles que les mises à niveau du
module antivirus.
Faible
Notifications de gravité mineure telles que les changements de mot de
passe utilisateur.
Informations
Connexion/déconnexion, changement du nom ou du mot de passe
administrateur, toute modification apportée à la configuration et tous les
autres événements non couverts par les autres niveaux de gravité.
Surveillance du pare-feu à l’aide de SNMP
Tous les pare-feu Palo Alto Networks prennent en charge les modules MIB (bases de données MIB) SNMP
réseau standard ainsi que les modules MIB Enterprise propriétaires. Vous pouvez configurer un gestionnaire
SNMP de manière à obtenir les statistiques du pare-feu. Par exemple, vous pouvez configurer votre
gestionnaire SNMP de manière à surveiller les interfaces, les sessions actives et simultanées, le pourcentage
d’utilisation de session, la température et/ou la durée active du système sur le pare-feu.
Les pare-feu Palo Alto Networks prennent en charge les demandes SNMP GET
uniquement ; les demandes SNMP SET ne sont pas prises en charge.
30
CONFIGURATION DE LA SURVEILLANCE SNMP
Étape 1 Activez le gestionnaire SNMP pour
interpréter les statistiques du pare-feu.
Chargez les fichiers MIB PAN-OS dans votre logiciel de
gestion SNMP et compilez-les. Pour obtenir des instructions
spécifiques, reportez-vous à la documentation de votre
gestionnaire SNMP.
Étape 2 Localisez les statistiques que vous
souhaitez exporter.
À l’aide d’un navigateur MIB, parcourez les fichiers MIB PAN-OS
pour déterminer les identificateurs d’objets (OID) correspondant
aux statistiques que vous souhaitez surveiller. Par exemple,
supposons que vous souhaitiez surveiller le pourcentage d’utilisation
de session sur le pare-feu. Un navigateur MIB vous permet de voir
que ces statistiques correspondent à
OID 1.3.6.1.4.1.25461.2.1.2.3.1.0 dans le PAN-COMMON-MIB.
Étape 3 Configurez le logiciel de gestion SNMP Pour obtenir des instructions spécifiques, reportez-vous à la
pour surveiller les identificateurs d’objets documentation de votre gestionnaire SNMP.
qui vous intéressent.
Étape 4 À partir de l’interface Web du pare-feu, 1.
configurez les paramètres de manière à
permettre à l’agent SNMP sur le pare-feu 2.
de répondre aux demandes GET du
gestionnaire SNMP.
3.
Sélectionnez Périphérique > Configuration > Opérations >
Configuration SNMP.
Indiquez l’emplacement physique du pare-feu et le nom ou
l’adresse e-mail du contact administrateur.
Saisissez la chaîne de communauté SNMP qui permettra au
gestionnaire SNMP d’accéder à l’agent SNMP sur le pare-feu.
La valeur par défaut est publique ; toutefois, la valeur
configurée sur le pare-feu doit correspondre à la valeur
configurée sur le gestionnaire SNMP. Comme il s’agit d’une
chaîne de communauté bien connue, il est recommandé
d’utiliser une valeur difficile à deviner.
4.
5.
Cliquez sur Valider pour enregistrer les paramètres SNMP.
Voici un exemple de l’affichage des statistiques exprimées en
Étape 5 Une fois que vous avez terminé la
pourcentage d’utilisation de session en temps réel par le
configuration du pare-feu et du
gestionnaire SNMP pour un pare-feu de la série PA-500 :
gestionnaire SNMP, vous pouvez
commencer à surveiller le pare-feu à partir
du logiciel de gestion SNMP.
31
32
2 Création d’un périmètre de sécurité
Ce chapitre va vous guider pas à pas à travers les différentes étapes de configuration des interfaces du pare-feu,
de définition des zones et de paramétrage d’une politique de sécurité de base. Il se compose des sections
suivantes :

Présentation d’un périmètre de sécurité

Paramétrage des interfaces et des zones

Configuration des politiques NAT

Paramétrage des politiques de sécurité de base
33
Création d’un périmètre de sécurité
Le trafic doit traverser le pare-feu afin que ce dernier puisse le gérer et le contrôler. Le trafic entre et sort
physiquement du pare-feu via les interfaces. Le pare-feu choisit la manière dont il va agir sur un paquet selon qu’il
correspond ou pas à une politique de sécurité. À son niveau le plus basique, la politique de sécurité doit identifier
l’origine du trafic et sa destination. Sur un pare-feu Palo Alto Networks de dernière génération, les politiques de
sécurité sont appliquées entre les zones. Une zone est un regroupement d’interfaces (physiques ou virtuelles)
fournissant une abstraction à une zone de confiance afin de simplifier l’application d’une politique. Par exemple,
dans le diagramme topologique suivant, on distingue trois zones : De confiance, Non approuvée et DMZ.
Le trafic peut circuler librement dans une zone, mais il ne pourra pas circuler entre les zones jusqu’à ce que vous
définissiez une politique de sécurité qui l’autorise.
Les sections suivantes décrivent les composants du périmètre de sécurité et les différentes étapes permettant de
configurer les interfaces du pare-feu, de définir les zones et de paramétrer une politique de sécurité de base qui
autorise le trafic depuis votre zone interne jusqu’à Internet et la zone DMZ. En créant initialement une politique
de base de cette manière, vous pourrez analyser le trafic passant par votre réseau et utiliser ces informations pour
définir d’autres politiques granulaires afin d’activer des applications en toute sécurité tout en prévenant des
menaces.

Déploiements de pare-feux

À propos de la traduction d’adresses réseaux (NAT)

À propos des politiques de sécurité
34
Déploiements de pare-feux
Tous les pare-feux Palo Alto Networks de dernière génération disposent d’une architecture flexible de mise en
réseau incluant la prise en charge d’un routage dynamique, du basculement et de la connectivité VPN, elle vous
permet ainsi de déployer le pare-feu dans presque tous les environnements de mise en réseau. Lors de la
configuration des ports Ethernet sur votre pare-feu, vous pouvez choisir entre des déploiements d’interface de
type Câble virtuel, Couche 2 ou Couche 3. Aussi, afin de pouvoir procéder à des intégrations dans une variété
de segments réseaux, vous pouvez configurer différents types d’interfaces sur différents ports. Les sections
suivantes fournissent des informations de base concernant chaque type de déploiement. Pour obtenir des
informations plus détaillées sur le déploiement, consultez la section Conception de réseaux à l’aide des pare-feux
Palo Alto Networks.
Déploiements d’un câble virtuel
Pour le déploiement d’un câble virtuel, le pare-feu est installé de façon transparente sur un segment de réseau
en reliant deux ports entre eux. Avec un câble virtuel, vous pouvez installer le pare-feu dans l’importe quel
environnement réseau sans reconfigurer les périphériques adjacents. Un câble virtuel peut bloquer ou autoriser
le trafic en fonction des valeurs des étiquettes VLAN (Virtual LAN), le cas échéant. Vous pouvez également
créer plusieurs sous-interfaces et classer le trafic en fonction d’une adresse IP (adresse, plage ou sous-réseau)
et/ou d’un VLAN.
Par défaut, le câble virtuel « câblev-défaut » lie des ports Ethernet 1 et 2 et autorise tout trafic non étiqueté.
Choisissez ce déploiement pour simplifier l’installation et la configuration et/ou pour éviter toute modification
de la configuration des périphériques réseaux environnants.
Un câble virtuel correspond à la configuration par défaut et doit être uniquement utilisé lorsqu’aucun
basculement ou routage n’est requis. Si vous ne prévoyez pas d’utiliser le câble virtuel par défaut, il est conseillé
de supprimer manuellement la configuration avant de passer à la configuration de l’interface afin qu’elle
n’interfère pas avec les autres paramètres d’interface que vous avez définis. Pour obtenir des instructions sur
la suppression du câble virtuel par défaut, ainsi que de sa politique et de ses zones de sécurité associées,
reportez-vous à l’Étape 3 dans Configuration d’un port de données pour accéder aux services externes.
Déploiements de couche 2
Dans un déploiement de couche 2, le pare-feu assure un basculement entre deux ou plusieurs interfaces. Chaque
groupe d’interfaces doit être assigné à un objet VLAN afin que le pare-feu puisse les faire basculer entre eux.
Le pare-feu va faire basculer une étiquette VLAN lorsque des sous-interfaces de couche 2 sont jointes à un objet
VLAN commun. Choisissez cette option lorsqu’un basculement est requis.
Pour plus d’informations sur les déploiements de couche 2, consultez la Note technique sur la mise en réseau de
couche 2 et/ou la Note technique sur la sécurisation du trafic inter-VLAN.
35
Déploiements de couche 3
Dans un déploiement de couche 3, le pare-feu achemine le trafic entre les ports. Une adresse IP doit être
assignée à chaque interface et un routeur virtuel doit être défini pour acheminer le trafic. Choisissez cette option
lorsqu’un routage est requis.
Vous devez assigner une adresse IP à chaque interface physique de couche 3 que vous avez configurée. Vous
pouvez également créer des sous-interfaces logiques pour chaque interface physique de couche 3 qui vous
permet de séparer le trafic sur l’interface en fonction d’une étiquette VLAN (lorsque l’agrégation de liens VLAN
est en cours d’utilisation) ou par adresse IP, par exemple : la multi-location.
Aussi, étant donné que le pare-feu doit acheminer le trafic dans un déploiement de couche 3, vous devez
configurer un routeur virtuel. Vous pouvez configurer ce dernier à participer avec des protocoles de routage
dynamique (BGP, OSPF ou RIP), mais aussi en ajoutant des itinéraires statiques. Vous pouvez également créer
plusieurs routeurs virtuels, chacun gérant un ensemble d’itinéraires distincts qui ne sont pas partagés entre les
routeurs virtuels, ce qui vous permet ainsi de configurer différents comportements de routage pour différentes
interfaces.
L’exemple de configuration de ce chapitre explique comment intégrer le pare-feu dans votre réseau de couche
3 à l’aide d’itinéraires statiques. Pour plus d’informations sur les autres types d’intégrations de routage, consultez
les documents suivants :
• Note technique sur la configuration OSPF
• Note technique sur la configuration BGP
À propos de la traduction d’adresses réseaux (NAT)
Lorsque vous utilisez des adresses IP privées dans vos réseaux internes, vous devez utiliser la traduction
d’adresses réseaux (NAT) pour traduire des adresses privées en adresses publiques pouvant être acheminées sur
des réseaux externes. Dans PAN-OS, vous pouvez créer des règles de politique NAT indiquant au pare-feu le
paquet devant être traduit et la manière dont la traduction doit être effectuée. Le pare-feu prend en charge la
traduction de l’adresse source et/ou du port et la traduction de l’adresse de destination et/ou du port. Pour plus
de détails sur les différents types de règles NAT, consultez la Note technique d’explication et de configuration NAT.
Il est important de bien comprendre la façon dont le pare-feu applique des politiques NAT et de sécurité afin
d’identifier les politiques dont vous avez besoin en fonction des zones que vous avez définies. Dès l’entrée d’un
paquet, le pare-feu l’inspecte pour vérifier s’il correspond à l’une des règles NAT définies, en fonction de la zone
source et/ou de destination. Puis, il évalue et applique des règles de sécurité correspondant au paquet en
fonction des adresses sources et de destination d’origine (pré-NAT). Pour finir, il traduit les numéros de ports
sources et/ou de destination de n’importe quelle règle NAT correspondante dès sa sortie. Cette distinction est
importante, car elle signifie que le pare-feu détermine la zone à laquelle un paquet est destiné en fonction de
l’adresse figurant sur le paquet et non pas de l’emplacement du périphérique selon son adresse assignée en
interne.
36
À propos des politiques de sécurité
Les politiques de sécurité protègent les actifs du réseau des menaces et des défaillances et permettent d’optimiser
l’allocation des ressources du réseau afin d’améliorer la productivité et l’efficacité des processus métier. Sur le pare-feu
Palo Alto Networks, les politiques de sécurité déterminent si une session doit être bloquée ou autorisée en fonction
des attributs du trafic comme la zone de sécurité source et de destination, l’adresse IP source et de destination,
l’application, l’utilisateur et le service. Par défaut, le trafic intra-zone (à savoir le trafic d’une zone identique, par
exemple : de confiance à de confiance), est autorisé. Le trafic entre différentes zones (ou trafic inter-zone) est bloqué
jusqu’à ce que vous créiez une politique de sécurité pour l’autoriser.
Les politiques de sécurité sont évaluées de gauche à droite et de haut en bas. Une correspondance est établie entre un
paquet et la première règle répondant aux critères définis ; après avoir déclenché une correspondance, les règles
suivantes ne sont pas évaluées. Par conséquent, les règles les plus spécifiques doivent précéder les plus génériques afin
d’appliquer les meilleurs critères de correspondance. Le trafic correspondant à une règle génère une entrée de journal
à la fin de la session dans le journal de trafic, à condition que la journalisation soit activée pour cette règle. Les options
de journalisation sont configurables pour chaque règle et la journalisation peut, par exemple, être configurée en début
de session au lieu ou en plus d’être configurée en fin de session.
Composants d’une politique de sécurité
La formulation d’une politique de sécurité permet de combiner des composants obligatoires et facultatifs
répertoriés ci-dessous.
Champs
obligatoires
Champ
Description
Nom
Étiquette prenant en charge un maximum de 31 caractères afin
d’identifier la règle.
Zone source
Zone d’où provient le trafic.
Zone de destination
Zone dans laquelle se termine le trafic. Si vous utilisez la traduction NAT,
veillez à toujours faire référence à la zone post-NAT.
Application
Application que vous voulez contrôler. Le pare-feu utilise App-ID, la
technologie de classification du trafic, pour identifier le trafic sur votre
réseau. App-ID permet de contrôler les applications et la visibilité afin
de créer des politiques de sécurité qui bloquent des applications
inconnues, tout en activant, en inspectant et en modelant celles étant
autorisées.
Action
Indique une action Autoriser ou Refuser pour le trafic en fonction des
critères que vous avez définis dans la règle.
37
Champs
facultatifs
Champ
Description (suite)
Étiquette
Mot clé ou phrase vous permettant de filtrer les règles de sécurité, ce qui
se révèle utile lorsque vous avez défini plusieurs règles et que vous voulez
ensuite passer en revue celles étiquetées avec un mot clé spécifique, par
exemple : Entrant dans DMZ.
Description
Champ de texte pouvant contenir un maximum de 255 caractères afin de
décrire la règle.
Adresse IP source
Définissez l’IP hôte ou FQDN, le sous-réseau, les groupes portant un
nom ou l’application selon le pays. Si vous utilisez la traduction NAT,
veillez à toujours faire référence aux adresses IP d’origine dans le paquet
(c’est-à-dire, les adresses IP pré-NAT).
Adresse IP de destination
Emplacement ou destination du trafic. Si vous utilisez la traduction NAT,
veillez à toujours faire référence aux adresses IP d’origine dans le paquet
(c’est-à-dire, les adresses IP pré-NAT).
Utilisateur
Utilisateur ou groupe d’utilisateurs auquel/auxquels s’applique la
politique. User-ID doit être activé dans la zone. Pour ce faire, consultez la
section « Configuration de l’identification utilisateur » à la page 91.
Catégorie d’URL
L’utilisation de la catégorie d’URL comme critère de correspondance
permet d’appliquer une politique granulaire avec des règles basées sur des
exceptions. Au lieu de simplement autoriser ou de refuser l’accès au
contenu, vous pouvez contrôler ou limiter l’accès au trafic HTTP et
HTTPS en utilisant des exceptions, mais aussi joindre des profils de
sécurité et un accès au journal selon la catégorie d’URL. Par exemple, vous
pouvez empêcher le téléchargement/chargement d’un fichier .exe à des
catégories d’URL présentant les risques les plus élevés tout en l’autorisant
aux autres catégories. Vous pouvez également appliquer des politiques de
décryptage SSL permettant un accès crypté aux catégories de financement
et d’achats, mais aussi décrypter et inspecter le trafic dans l’ensemble des
autres catégories.
Remarque Bien que vous puissiez manuellement configurer les
catégories d’URL sur votre périphérique, pour profiter
pleinement des mises à jour des catégories dynamiques
fournies par les bases de données PAN-DB ou
BrightCloud, vous devez acquérir une licence de filtrage
d’URL.
Service
Vous permet de sélectionner un port de couche 4 (TCP ou UDP) pour
l’application. Vous pouvez choisir n’importe lequel, indiquer un port ou
utiliser le port affichant la valeur par défaut de l’application pour pouvoir utiliser
le port standard de l’application. Par exemple, pour les applications dotées
de numéros de ports bien connus comme DNS, l’option affichant la valeur
par défaut de l’application va correspondre au trafic DNS uniquement sur le
port TCP 53. Vous pouvez également ajouter une application
personnalisée et définir les ports que l’application peut utiliser.
Remarque Pour les règles entrantes (par exemple : de « non
approuvée » à « de confiance »), veillez à toujours
indiquer au service qu’il doit utiliser le port affichant la
valeur par défaut de l’application ou à spécifier un port
manuellement. Le service doit interdire l’utilisation de
n’importe quel port.
38
Champ
Description (suite)
Profils de sécurité
Fournissent une protection supplémentaire contre les menaces, les
vulnérabilités et les fuites de données. Les profils de sécurité sont
uniquement évalués pour les règles dotées d’une action Autoriser.
Pour plus d’informations, consultez la section « À propos des profils de
sécurité » à la page 61.
Profil HIP (pour
GlobalProtect)
Vous permet d’identifier les clients dotés d’un profil d’informations sur
l’hôte (HIP) et d’appliquer les privilèges d’accès.
Options
Vous permettent de définir la journalisation de la session, de consigner
les paramètres de transfert, de modifier les marquages de qualité de
service (QoS) des paquets correspondant à la règle, mais aussi de
planifier le moment (jour et heure) où la règle de sécurité doit être
effective.
Meilleures pratiques en matière de politiques
La tâche consistant à activer un accès Internet en toute sécurité et à prévenir toute utilisation frauduleuse des
privilèges d’accès au Web et toute exposition à des vulnérabilités et à des attaques est un processus permanent.
Le principe clé lors de la définition d’une politique sur le pare-feu Palo Alto Networks consiste à utiliser une
approche d’application positive. Elle consiste à autoriser de façon sélective ce qui est nécessaires aux opérations
quotidiennes de l’entreprise, contrairement à une approche d’application négative dans laquelle vous pouvez
bloquer de façon sélective tout ce qui n’est pas autorisé. Tenez compte des suggestions suivantes lors de la
création d’une politique :
• Si vous disposez d’au moins deux zones avec des exigences de sécurité identiques, combinez-les en une
seule règle de sécurité.
• Le classement des règles est essentiel pour garantir des critères de correspondance optimaux. Étant donné
qu’une politique est évaluée de haut en bas, la politique la plus spécifique doit précéder celles étant plus
générales, afin que la règle la plus spécifique ne soit pas ombragée. Le terme « ombrager » se réfère à une règle
qui n’est pas évaluée ou qui est ignorée car son positionnement se situe plus bas dans la liste des politiques.
Lorsque ce cas de figure se produit, la règle n’est pas évaluée car une autre règle qui la précède répondait
aux critères de correspondance, la règle est donc ombragée lors de l’évaluation de la politique.
• Pour restreindre et contrôler l’accès à des applications entrantes, définissez explicitement le port d’écoute
du service/de l’application dans la politique de sécurité.
• La journalisation des règles d’autorisation générales (par exemple : un accès à des serveurs bien connus
comme DNS) peut générer beaucoup de trafic. Elle est donc déconseillée, à moins d’être absolument
nécessaire.
• Par défaut, le pare-feu crée une entrée de journal à la fin d’une session. Toutefois, vous pouvez modifier ce
comportement par défaut et configurer la journalisation du pare-feu en début de session. Étant donné que
cette modification augmente sensiblement le volume du journal, la journalisation en début de session est
uniquement recommandée en cas de dépannage d’un problème. Une autre alternative de dépannage sans
avoir à activer la journalisation en début de session consiste à utiliser le navigateur de session (Surveillance >
Navigateur de session) pour afficher les sessions en temps réel.
39
À propos des objets de politiques
Un objet de politique est un objet unique ou une unité collective regroupant des identités discrètes, comme des
adresses IP, des URL, des applications ou des utilisateurs. Les objets de politiques étant une unité collective, vous
pouvez référencer un objet dans une politique de sécurité au lieu de sélectionner manuellement plusieurs objets
en même temps. En général, lors de la création d’un objet de politique, vous regroupez les objets nécessitant des
autorisations similaires dans une politique. Par exemple : si votre organisation utilise un ensemble d’adresses IP
du serveur pour authentifier les utilisateurs, vous pouvez regrouper l’ensemble de ces adresses en tant qu’objet
de politique groupe d’adresses et faire référence au groupe d’adresses dans la politique de sécurité. En regroupant
des objets, vous pouvez significativement réduire vos frais administratifs en créant des politiques.
Vous pouvez créer les objets de politiques suivants sur le pare-feu :
Objet de politique
Description
Adresse/Groupe
d’adresses, région
Vous permettent de regrouper des adresses sources ou de destination
spécifiques nécessitant l’application d’une politique identique. L’objet adresse
peut inclure une adresse IPv4 ou IPv6 (IP unique, plage, sous-réseau) ou le
FQDN. Une région peut également être définie par les coordonnées de latitude
et de longitude ou vous pouvez sélectionner un pays et définir une adresse IP
ou une plage d’adresses IP. Vous pouvez ensuite regrouper une collection
d’objets adresse pour créer un objet groupe d’adresses.
Vous pouvez également utiliser des objets adresse dynamique, qui utilisent un script
API XML pour mettre dynamiquement à jour des adresses IP dans des
environnements où les adresses IP hôtes changent fréquemment. Pour plus
d’informations sur les objets adresse dynamique, consultez la Note technique sur les
objets adresse dynamique.
Utilisateur/Groupe
d’utilisateurs
Vous permettent de créer une liste d’utilisateurs à partir de la base de données locale
ou d’une base de données externe et de les regrouper. Pour plus d’informations sur la
création de groupes d’utilisateurs, consultez le chapitre 3 du Guide de l'administrateur de
Palo Alto Networks.
Groupe d’applications et Un Filtre d’applications vous permet de filtrer dynamiquement des applications. Vous
filtre d’applications
pouvez filtrer et sauvegarder un groupe d’applications en utilisant les attributs définis
dans la base de données de l’application sur le pare-feu. Par exemple, vous pouvez
filtrer selon un ou plusieurs attributs (catégorie, sous-catégorie, technologie, risque,
caractéristiques) et sauvegarder votre filtre d’application. Grâce à ce dernier, lors de la
mise à jour du contenu PAN-OS, toute nouvelle application correspondant à vos
critères de filtrage sera automatiquement ajoutée à votre filtre d’application sauvegardé.
Un groupe d’applications vous permet de créer un groupe statique d’applications
spécifiques que vous voulez regrouper pour un groupe d’utilisateurs ou un service
particulier.
40
Objet de politique
Description
Service/Groupes de
services
Vous permettent de spécifier les ports sources et de destination, ainsi que le protocole
qu’un service peut utiliser. Le pare-feu contient deux services prédéfinis (service-http
et service-https) qui utilisent les ports TCP 80 et 8080 pour HTTP et le port TCP 443
pour HTTPS. Toutefois, vous pouvez créer n’importe quel service personnalisé sur
n’importe quel port TCP/UDP de votre choix afin de limiter l’utilisation de
l’application à des ports spécifiques (en d’autres termes, vous pouvez définir le port par
défaut de l’application).
Remarque Pour afficher les ports standard utilisés par une application, dans Objets >
Applications, recherchez l’application et cliquez sur le lien. Un bref descriptif
s’affiche.
Des exemples d’objets de politiques adresse et application s’affichent dans les politiques de sécurité figurant dans
la section « Création de règles de sécurité » à la page 49. Pour obtenir des informations sur les autres objets de
politiques, consultez la section « Protection de votre réseau contre les menaces » à la page 57 et pour obtenir des
informations plus détaillées, consultez le chapitre 5 du Guide de l'administrateur de Palo Alto Networks.
À propos des profils de sécurité
Alors que les politiques de sécurité vous permettent d’autoriser ou de refuser le trafic sur votre réseau, les profils
de sécurité servent à définir une règle autoriser mais analyser qui analyse les applications autorisées afin d’identifier
des menaces. Lorsque le trafic correspond à la règle d’autorisation définie dans la politique de sécurité, le(s)
profil(s) de sécurité qui est/sont joint(s) à la règle est/sont appliqué(s) à d’autres règles d’inspection du contenu,
comme des analyses d’antivirus et un filtrage des données.
Les profils de sécurité ne sont pas utilisés dans les critères de correspondance d’un flux de
trafic. Un profil de sécurité est appliqué pour analyser le trafic après qu’une application ou une
catégorie a été autorisée par la politique de sécurité.
Les différents types de profils de sécurité pouvant être joints à des politiques de sécurité sont : antivirus,
antispyware, protection contre les vulnérabilités, filtrage des URL, blocage des fichiers et filtrage des données.
Le pare-feu fournit des profils de sécurité par défaut que vous pouvez directement utiliser pour commencer à
protéger votre réseau des menaces. Pour plus d’informations sur l’utilisation des profils par défaut dans votre
politique de sécurité, consultez la section « Création de règles de sécurité » à la page 49. Lorsque vous commencez
à mieux comprendre les besoins en sécurité de votre réseau, vous pouvez créer des profils personnalisés. Pour
plus d’informations, consultez la section « Configuration des profils et politiques de sécurité » à la page 70.
41
Les sections suivantes fournissent des informations sur la configuration des interfaces et des zones :

Planification de votre déploiement

Configuration des interfaces et des zones
Planification de votre déploiement
Avant de commencer à configurer vos interfaces et zones, prenez le temps de planifier les zones dont vous avez
besoin selon les différentes exigences d’utilisation au sein de votre organisation. Il est également conseillé de
regrouper en avance toutes les informations de configuration dont vous aurez besoin. Pour un déploiement de
base, vous devez déterminer les interfaces qui vont appartenir à telle zone. Pour les déploiements de couche 3,
vous devrez également vous procurer les adresses IP requises et les informations de configuration réseau auprès
de votre administrateur réseau, y compris les informations de configuration du protocole de routage ou des
itinéraires statiques requis pour la configuration de votre routeur virtuel. L’exemple utilisé dans ce chapitre va
se baser sur la topologie suivante :
Le tableau suivant indique les informations que nous allons utiliser pour configurer des interfaces de couche 3
et leurs zones correspondantes, comme indiqué dans l’exemple de topologie.
Zone
Type de déploiement
Interface(s)
Paramètres de configuration
Non approuvée
C3
Ethernet1/3
Adresse IP : 208.80.56.100/24
Routeur virtuel : RV1
Itinéraire par défaut : 0.0.0.0/0
Saut suivant : 208.80.56.1/24
De confiance
C3
Ethernet1/4
Adresse IP : 192.168.1.4/24
DMZ
C3
Ethernet1/13
Adresse IP : 10.1.1.1/24
42
Configuration des interfaces et des zones
Après avoir planifié vos zones et les interfaces correspondantes, vous pouvez les configurer sur le périphérique.
La manière dont vous configurez chaque interface dépend de la topologie de votre réseau.
La procédure suivante explique comment configurer un déploiement de couche 3 comme décrit dans l’exemple
de topologie précédent. Pour plus d’informations sur la configuration d’un déploiement de couche 2 ou d’un
câble virtuel, consultez le chapitre 4 du Guide de l'administrateur de Palo Alto Networks.
Le pare-feu est préconfiguré avec une interface de câble virtuel par défaut entre les ports Ethernet
1/1 et Ethernet 1/2 (ainsi qu’une politique de sécurité et un routeur virtuel par défaut
correspondants). Si vous ne prévoyez pas d’utiliser le câble virtuel par défaut, vous devez supprimer
manuellement sa configuration et valider la modification avant de continuer, afin qu’elle n’interfère
pas avec vos autres paramètres. Pour obtenir des instructions sur la suppression du câble virtuel par
défaut, ainsi que de sa politique de sécurité et de ses zones de sécurité associées, reportez-vous à
l’Étape 3 dans Configuration d’un port de données pour accéder aux services externes.
PARAMÉTRAGE DES INTERFACES ET DES ZONES
Étape 1 Configurez l’interface externe (l’interface
qui se connecte à Internet).
1.
Sélectionnez l’interface que vous voulez configurer. Dans cet
exemple, nous configurons Ethernet1/3 en tant qu’interface
externe.
2.
Sélectionnez le Type d’interface. Bien que votre choix dépende ici
de votre topologie réseau, cet exemple décrit les différentes étapes
pour la Couche3.
3.
Dans l’onglet Config, développez la liste déroulante Zone de
sécurité et sélectionnez Nouvelle zone. Dans la boîte de dialogue
Zone, donnez un Nom à la nouvelle zone, par exemple : Non
approuvée, puis cliquez sur OK.
4.
Configurez un itinéraire statique dans votre routeur Internet :
a Dans la liste déroulante Routeur virtuel, sélectionnez
Nouveau routeur virtuel et donnez un Nom au routeur virtuel,
par exemple : RV1.
b Cliquez sur l’onglet Itinéraires statiques, puis sur Ajouter.
Donnez un Nom à l’itinéraire et saisissez l’itinéraire dans le
champ Destination (par exemple : 0.0.0.0/0).
c Cliquez sur le bouton radio Adresse IP dans le champ Saut
suivant, puis saisissez l’adresse IP et le masque réseau de votre
passerelle Internet (par exemple : 208.80.56.1/24).
d Cliquez deux fois sur OK pour sauvegarder la configuration du
routeur virtuel.
5.
Pour assigner une adresse IP à l’interface, cliquez sur l’onglet IPv4,
puis sur Ajouter dans la section IP et saisissez l’adresse IP ainsi que
le masque réseau à assigner à l’interface, par exemple :
208.80.56.100/24.
6.
Pour envoyer des requêtes ping à l’interface, sélectionnez Avancé >
Autres informations, développez la liste déroulante Profil de
gestion et sélectionnez Nouveau profil de gestion. Donnez un
Nom au profil, sélectionnez Ping puis cliquez sur OK.
7.
Pour sauvegarder la configuration de l’interface, cliquez sur OK.
43
PARAMÉTRAGE DES INTERFACES ET DES ZONES (SUITE)
Étape 2 Configurez l’interface qui se connecte à
votre réseau interne.
1.
Remarque Dans cet exemple, l’interface se
2.
connecte à un segment de réseau qui
utilise des adresses IP privées. Étant
3.
donné que les adresses IP privées ne
peuvent pas être acheminées en externe,
vous devrez configurer la traduction
NAT. Consultez la section
4.
« Configuration des politiques NAT »
à la page 45.
5.
Sélectionnez Réseau > Interfaces et choisissez l’interface que
vous voulez configurer. Dans cet exemple, nous configurons
Ethernet1/4 en tant qu’interface interne.
Sélectionnez Couche3 dans la liste déroulante Type d’interface.
Dans l’onglet Config, développez la liste déroulante Zone de
sécurité et sélectionnez Nouvelle zone. Dans la boîte de
dialogue Zone, donnez un Nom à la nouvelle zone, par
exemple : De confiance, puis cliquez sur OK.
Sélectionnez le routeur virtuel que vous avez créé à l’Étape 1,
RV1 dans cet exemple.
Pour assigner une adresse IP à l’interface, cliquez sur l’onglet
IPv4, puis sur Ajouter dans la section IP et saisissez l’adresse IP
et le masque réseau à assigner à l’interface, par exemple :
192.168.1.4/24.
Étape 3 Configurez l’interface qui se connecte à
DMZ.
6.
Pour que vous puissiez envoyer des requêtes ping à l’interface,
sélectionnez le profil de gestion que vous avez créé à
l’Étape 1-6.
7.
1.
Sélectionnez l’interface que vous voulez configurer.
2.
Sélectionnez Couche3 dans la liste déroulante Type d’interface.
Dans cet exemple, nous configurons Ethernet1/13 en tant
qu’interface DMZ.
3.
Dans l’onglet Config, développez la liste déroulante Zone
de sécurité et sélectionnez Nouvelle zone. Dans la boîte de
dialogue Zone, donnez un Nom à la nouvelle zone, par
exemple : DMZ, puis cliquez sur OK.
4.
Sélectionnez le routeur virtuel que vous avez créé à l’Étape 1,
RV1 dans cet exemple.
5.
Pour assigner une adresse IP à l’interface, cliquez sur l’onglet
IPv4, puis sur Ajouter dans la section IP et saisissez l’adresse IP
ainsi que le masque réseau à assigner à l’interface, par exemple :
10.1.1.1/24.
6.
Pour envoyer des requêtes ping à l’interface, sélectionnez le
profil de gestion que vous avez créé à l’Étape 1 - 6.
7.
Étape 4 Sauvegardez la configuration de
l’interface.
Étape 5 Câblez le pare-feu.
Joignez des câbles directs des interfaces que vous avez configurées au
commutateur ou au routeur correspondant sur chaque segment de
réseau.
Étape 6 Vérifiez que les interfaces sont actives.
Dans l’interface Web, sélectionnez Réseau > Interfaces et vérifiez
que l’icône dans la colonne État de la liaison est de couleur verte.
Vous pouvez également surveiller l’état de la liaison dans le widget
Interfaces du Tableau de bord.
44
En se basant sur l’exemple de topologie que nous avons utilisé pour créer des interfaces et des zones, nous
devons créer trois politiques NAT de la manière suivante :

Pour permettre aux clients du réseau interne d’accéder aux ressources disponibles sur Internet, les adresses
internes 192.168.1.0 devront être traduites en adresses pouvant être acheminées en public. Dans ce cas, nous
allons configurer la traduction NAT source en utilisant l’adresse de l’interface de sortie, 208.80.56.100, en tant
qu’adresse source pour tous les paquets quittant le pare-feu de la zone interne. Pour obtenir des instructions,
consultez la section « Traduction d’adresses IP client internes vers votre adresse IP publique » à la page 46.

Pour permettre aux clients du réseau interne d’accéder au serveur Web public dans la zone DMZ, nous devrons
configurer une règle NAT qui redirige un paquet du réseau externe, dans lequel la recherche de la table de
routage d’origine va déterminer son itinéraire en fonction de l’adresse de destination 208.80.56.11 affichée dans
le paquet, vers l’adresse actuelle 10.1.1.11 du serveur Web sur le réseau DMZ. Pour ce faire, vous devez créer une
règle NAT de la zone de confiance (où se trouve l’adresse source dans le paquet) jusqu’à la zone non approuvée
(où se trouve l’adresse de destination d’origine) pour traduire l’adresse de destination en adresse dans la zone
DMZ. Ce type de NAT de destination porte le nom de NAT U-Turn. Pour obtenir des instructions, consultez la
section « Activation des clients sur le réseau interne pour accéder à vos serveurs publics » à la page 47.

Pour que le serveur Web, qui dispose d’une adresse IP privée sur le réseau DMZ et d’une adresse orientée public
permettant l’accès aux utilisateurs externes, puisse envoyer et recevoir des demandes, le pare-feu doit traduire les
paquets entrants de l’adresse IP publique en adresse IP privée et les paquets sortants de l’adresse IP privée en
adresse IP publique. Pour ce faire, dans le pare-feu, utilisez une politique NAT source statique, bidirectionnelle
et unique. Consultez la section « Activation de la traduction bidirectionnelle d’adresses pour vos serveurs orientés
public » à la page 48.
45
Traduction d’adresses IP client internes vers votre adresse IP publique
Lorsqu’un client de votre réseau interne envoie une demande, l’adresse source du paquet contient l’adresse IP
du client de votre réseau interne. Si vous utilisez des plages d’adresses IP privées en interne, les paquets du client
ne pourront pas être acheminés vers Internet, à moins de traduire l’adresse IP source des paquets sortant du
réseau en une adresse pouvant être acheminée en public. Pour ce faire, dans le pare-feu, configurez une politique
NAT source qui traduit l’adresse source et éventuellement le port en une adresse publique. Une autre solution
consiste à traduire l’adresse source de l’ensemble des paquets dans l’interface de sortie de votre pare-feu, comme
indiqué dans la procédure suivante.
CONFIGURATION D’UNE TRADUCTION NAT SOURCE
Étape 1 Créez un objet adresse pour l’adresse IP
externe que vous souhaitez utiliser.
1.
Dans l’interface Web, sélectionnez Objets > Adresses, puis
2.
Donnez un Nom à l’objet et saisissez éventuellement une
Description.
3.
Sélectionnez Masque réseau IP dans la liste déroulante Type,
puis saisissez l’adresse IP et le masque réseau de l’interface
externe sur le pare-feu, 208.80.56.100/24 dans cet exemple.
4.
Pour sauvegarder l’objet adresse, cliquez sur OK.
Remarque Bien que vous ne soyez pas obligé d’utiliser des objets
adresse dans vos politiques, cette pratique est
recommandée car elle simplifie l’administration en vous
permettant d’effectuer des mises à jour dans un
emplacement, au lieu d’avoir à mettre à jour toutes les
politiques dans lesquelles l’adresse est référencée.
Étape 2 Créez une politique NAT.
1. Sélectionnez Politiques > NAT, puis
2. Donnez un Nom descriptif à la politique.
3. Dans l’onglet Paquet d’origine,
sélectionnez la zone que vous avez créée
pour votre réseau interne dans la section
Zone source (cliquez sur Ajouter, puis
sélectionnez la zone) et la zone que vous
avez créée pour le réseau externe dans la
liste déroulante Zone de destination.
4. Dans l’onglet Paquet traduit, sélectionnez IP et port dynamiques dans la liste déroulante Type de traduction
de la section Traduction de l’adresse source affichée à l’écran, puis cliquez sur Ajouter. Sélectionnez l’objet
adresse que vous avez créé à l’Étape 1.
5. Cliquez sur OK pour sauvegarder la
politique NAT.
Étape 3 Sauvegardez la configuration.
46
Activation des clients sur le réseau interne pour accéder à vos serveurs publics
Lorsqu’un utilisateur du réseau interne envoie une demande d’accès au server Web de l’entreprise dans la zone
DMZ, le serveur DNS va résoudre cette demande en adresse IP publique. Lors du traitement de la demande, le
pare-feu va utiliser la destination d’origine du paquet (adresse IP publique) et acheminer le paquet vers l’interface
de sortie de la zone non approuvée. Pour que le pare-feu sache qu’il doit traduire l’adresse IP publique du
serveur Web en adresse sur le réseau DMZ lors de la réception des demandes d’utilisateurs de la zone de
confiance, vous devez créer une règle NAT de destination qui va autoriser le pare-feu à envoyer la demande à
l’interface de sortie de la zone DMZ de la manière suivante.
CONFIGURATION D’UN NAT U-TURN
Étape 1 Créez un objet adresse pour le serveur Web. 1.
Dans l’interface Web, sélectionnez Objets > Adresses, puis
2.
Description.
3.
Sélectionnez Masque réseau IP dans la liste déroulante Type,
puis saisissez l’adresse IP publique et le masque réseau du
serveur Web, 208.80.56.11/24 dans cet exemple.
4.
1. Sélectionnez Politiques > NAT, puis cliquez
sur Ajouter.
2. Donnez un Nom descriptif à la règle NAT.
pour votre réseau interne dans la section
Zone source (cliquez sur Ajouter, puis
sélectionnez la zone) et la zone que vous
avez créée pour le réseau externe dans la
liste déroulante Zone de destination.
4. Dans la section Adresse de destination, cliquez sur Ajouter et sélectionnez l’objet adresse que vous avez créé
pour votre serveur Web public.
5. Dans l’onglet Paquet traduit, cochez la
case Traduction de l’adresse de
destination, puis saisissez l’adresse IP
assignée à l’interface du serveur Web
dans le réseau DMZ, 10.1.1.11 dans cet
exemple.
6. Cliquez sur OK pour sauvegarder la
politique NAT.
47
Activation de la traduction bidirectionnelle d’adresses pour vos serveurs
orientés public
Lorsque vos serveurs orientés public disposent d’adresses IP privées assignées au segment de réseau dans lequel elles
sont physiquement présentes, vous aurez besoin d’une règle NAT source pour traduire l’adresse source du serveur en
adresse externe lors de sa sortie. Pour ce faire, créez une règle NAT statique indiquant au pare-feu de traduire l’adresse
source interne, 10.1.1.11, en adresse de serveur Web externe, 208.80.56.11 dans notre exemple. Toutefois, dans le cas
d’un serveur orienté public, le serveur doit pouvoir envoyer et recevoir des paquets. Vous aurez alors besoin d’une
politique réciproque qui va traduire l’adresse publique, correspondant à l’adresse IP de destination des paquets
entrants issus d’utilisateurs Internet, en adresse privée afin que le pare-feu puisse correctement acheminer les paquets
vers votre réseau DMZ. Pour ce faire, créez une politique NAT statique bidirectionnelle dans le pare-feu, comme
décrit dans la procédure suivante.
CONFIGURATION D’UNE TRADUCTION NAT BIDIRECTIONNELLE
Étape 1 Créez un objet adresse pour l’adresse IP
interne du serveur Web.
1.
Dans l’interface Web, sélectionnez Objets > Adresses, puis cliquez
sur Ajouter.
2.
Description.
3.
Sélectionnez Masque réseau IP dans la liste déroulante Type, puis
saisissez l’adresse IP et le masque réseau du serveur Web sur le réseau
DMZ, 10.1.1.11/24 dans cet exemple.
4.
Remarque Si vous n’avez pas déjà créé un objet adresse pour l’adresse
publique de votre serveur Web, il est conseillé de créer cet
objet maintenant.
1. Sélectionnez Politiques > NAT, puis cliquez
sur Ajouter.
2. Donnez un Nom descriptif à la règle NAT.
pour votre réseau DMZ dans la section Zone
source (cliquez sur Ajouter, puis
sélectionnez la zone) et la zone que vous avez
créée pour le réseau externe dans la liste
déroulante Zone de destination.
4. Dans la section Adresse source, cliquez sur
Ajouter et sélectionnez l’objet adresse que vous avez créé pour l’adresse de votre serveur Web interne.
5. Dans l’onglet Paquet traduit,
sélectionnez IP statique dans la liste
déroulante Type de traduction de la
section Traduction de l’adresse
source, puis sélectionnez l’objet
adresse que vous avez créé pour
l’adresse de votre serveur Web externe
dans la liste déroulante Adresse
traduite.
6. Dans le champ Bidirectionnelle, sélectionnez Oui.
7. Cliquez sur OK pour sauvegarder la politique NAT.
48
Les politiques vous permettent d’appliquer des règles et d’agir. Les différents types de règles de politiques que
vous pouvez créer sur le pare-feu sont : sécurité, NAT, qualité de service (QoS), transfert basé sur une politique
(PBF), décryptage, contrôle prioritaire sur l’application, portail captif, déni de service et politiques de protection
de zone. Toutes ces différentes politiques œuvrent ensemble pour autoriser, refuser, prioriser, transférer, crypter,
décrypter, faire des exceptions, authentifier un accès et réinitialiser les connexions, si nécessaire, pour sécuriser
votre réseau. Cette section évoque les politiques de sécurité de base et les profils de sécurité par défaut :

Création de règles de sécurité

Test de vos politiques de sécurité

Surveillance du trafic sur votre réseau
Cette section décrit uniquement les politiques de sécurité. Pour plus d’informations sur les
autres types de politiques, consultez la section « Protection de votre réseau contre les menaces » à
la page 57 ou le chapitre 5 du Guide de l'administrateur de Palo Alto Networks.
Création de règles de sécurité
Les politiques de sécurité référencent les zones de sécurité et vous permettent d’autoriser, de restreindre et de
suivre le trafic sur votre réseau. Étant donné que chaque zone implique un niveau de confiance, la règle implicite
est de refuser toute transmission du trafic entre deux zones différentes, mais le trafic au sein d’une zone est
autorisé. Pour autoriser le trafic entre deux zones différentes, vous devez créer une règle de sécurité autorisant
le trafic à circuler entre elles.
Lors du paramétrage de la structure de base pour sécuriser le périmètre de l’entreprise, il est judicieux de
commencer par une politique de sécurité simple qui autorise le trafic entre différentes zones, sans être trop
restrictive. Comme illustré dans la section suivante, notre objectif est de minimiser les probabilités d’interruption
des applications auxquelles les utilisateurs du réseau doivent accéder, tout en fournissant une visibilité dans les
applications et les éventuelles menaces de votre réseau.
Lors de la définition de politiques, veillez à ne pas créer une politique qui refuse tout trafic
provenant de n’importe quelle zone source vers n’importe quelle zone de destination, car ceci va
interrompre le trafic intra-zone qui est implicitement autorisé. Par défaut, le trafic intra-zone
est autorisé car les zones sources et de destination sont identiques et partagent donc le même
niveau de confiance.
49
DÉFINITION DE RÈGLES DE SÉCURITÉ DE BASE
Étape 1 Autorisez un accès Internet à l’ensemble
des utilisateurs du réseau de l’entreprise.
Zone : De confiance à Non approuvée
Remarque Par défaut, le pare-feu inclut une règle
Pour activer en toute sécurité les applications qui sont requises pour
les opérations quotidiennes de l’entreprise, nous allons créer une
règle simple permettant d’accéder à Internet. Pour assurer une
protection de base contre les menaces, nous allons joindre les profils
de sécurité par défaut qui sont disponibles sur le pare-feu.
1. Sélectionnez Politiques > Sécurité, puis cliquez sur Ajouter.
de sécurité nommée règle1 qui autorise
tout trafic issu d’une zone de confiance 2.
vers une zone non approuvée. Vous
3.
pouvez supprimer cette règle ou la
modifier afin qu’elle reflète votre
4.
convention de dénomination de zone.
Dans l’onglet Général, donnez un nom descriptif à la règle.
Dans l’onglet Source, définissez la zone Zone source sur
De confiance.
Dans l’onglet Destination, définissez la zone Zone de
destination sur Non approuvée.
5.
Dans l’onglet Catégorie de service/d’URL, sélectionnez
service-http et service-https.
6.
Dans l’onglet Actions, exécutez les tâches suivantes :
a Définissez le Paramètre d’action sur Autoriser.
b Joignez les profils par défaut pour l’antivirus, l’antispyware, la
protection contre les vulnérabilités et le filtrage des URL,
sous Paramètre du profil.
7.
Vérifiez que la journalisation est activée en fin session sous
Options. Seul le trafic qui correspond à une règle de sécurité sera
consigné.
Étape 2 Autorisez les utilisateurs du réseau interne 1.
à accéder aux serveurs dans la zone DMZ. 2.
Zone : De confiance à DMZ
3.
Remarque Si vous utilisez des adresses IP pour
4.
configurer l’accès aux serveurs dans
DMZ, veillez à toujours faire référence
aux adresses IP d’origine dans le paquet 5.
(à savoir, les adresses pré-NAT) et la
6.
zone post-NAT.
7.
50
Cliquez sur Ajouter dans la section Politiques > Sécurité.
Dans l’onglet Général, donnez un nom descriptif à la règle.
Dans l’onglet Source, définissez la Zone source sur De
confiance.
Dans l’onglet Destination, définissez la Zone de destination sur
DMZ.
Dans l’onglet Catégorie de service/d’URL, définissez le
Service sur par défaut de l’application.
Dans l’onglet Actions, définissez le Paramètre d’action sur
Autoriser.
Laissez toutes les autres options sur leurs valeurs par défaut.
DÉFINITION DE RÈGLES DE SÉCURITÉ DE BASE (SUITE)
Étape 3 Limitez l’accès à Internet des serveurs de Pour limiter l’accès entrant à la zone DMZ depuis Internet,
la zone DMZ uniquement à des adresses configurez une règle autorisant l’accès uniquement à des adresses IP
de serveurs spécifiques et sur les ports par défaut utilisés par
IP de serveurs spécifiques.
l’application.
Par exemple, vous pouvez uniquement
1. Cliquez sur Ajouter pour ajouter une nouvelle règle et
autoriser des utilisateurs externes à
donnez-lui un nom descriptif.
accéder aux serveurs Webmail.
2.
Dans l’onglet Source, définissez la Zone source sur Non
approuvée.
3.
Dans l’onglet Destination, définissez la Zone de destination sur
DMZ.
4.
Définissez l’Adresse de destination sur l’objet adresse Serveur
Web public que vous avez créé précédemment. L’objet adresse
Zone : Non approuvée à DMZ
du serveur Web public référence l’adresse IP publique
(208.80.56.11/24) du serveur Web qui est accessible dans la
zone DMZ.
5.
Sélectionnez l’application Webmail dans l’onglet Application.
6.
Définissez le Service sur la valeur par défaut de l’application.
7.
Définissez le Paramètre d’action sur Autoriser.
51
Étape 4 Autorisez l’accès depuis la zone DMZ
jusqu’à votre réseau interne (zone de
confiance). Pour minimiser les risques,
vous allez uniquement autoriser le trafic
entre des serveurs spécifiques et des
adresses de destination. Par exemple, si
vous disposez d’un serveur d’applications
dans la zone DMZ qui doit communiquer
avec un serveur de base de données
spécifique dans votre zone de confiance,
créez une règle pour autoriser le trafic
entre une source et une destination
spécifiques.
1.
Cliquez sur Ajouter pour ajouter une nouvelle règle et
donnez-lui un nom descriptif.
2.
Définissez la Zone source sur DMZ.
3.
Définissez la Zone de destination sur De confiance.
4.
Créez un objet adresse qui spécifie le(s) serveur(s) dans votre
zone de confiance accessible depuis la zone DMZ.
5.
Dans l’onglet Destination de la règle Politique de sécurité,
définissez l’Adresse de destination sur l’objet adresse que vous
avez créé ci-dessus.
6.
Dans l’onglet Actions, exécutez les tâches suivantes :
Zone : DMZ à De confiance
a Définissez le Paramètre d’action sur Autoriser.
b Joignez les profils par défaut pour l’antivirus, l’antispyware, la
protection contre les vulnérabilités, sous Paramètre du
profil.
c Dans la section Autres paramètres, définissez l’option sur
Désactiver l’inspection de la réponse du serveur. Ce
paramètre désactive l’analyse de l’antivirus et de l’antispyware
sur les réponses côté serveur, ce qui réduit donc la charge sur
le pare-feu.
52
Étape 5 Activez les serveurs dans la zone DMZ
pour obtenir des mises à jour et des
correctifs par Internet. Supposons, par
exemple, que vous vouliez autoriser le
service Microsoft Update.
1.
Ajoutez une nouvelle règle et donnez-lui une étiquette
descriptive.
2.
Définissez la Zone source sur DMZ.
3.
Définissez la Zone de destination sur Non approuvée.
4.
Créez un groupe d’applications pour spécifier les applications
que vous voulez autoriser. Dans cet exemple, nous autorisons
Microsoft Updates (ms-updates) et DNS.
5.
Définissez le Service sur la valeur par défaut de l’application.
Ceci permet au pare-feu d’autoriser des applications
uniquement lorsqu’elles utilisent les ports standard qui leur sont
associés.
Zone : DMZ à Non approuvée
6.
Définissez le Paramètre d’action sur Autoriser.
7.
Joignez les profils par défaut pour l’antivirus, l’antispyware et la
protection contre les vulnérabilités, sous Profils.
Étape 6 Sauvegardez vos politiques dans la
configuration en cours d’exécution sur le
périphérique.
53
Test de vos politiques de sécurité
Pour vérifier que vous avez correctement paramétré vos politiques de base, testez si vos politiques de sécurité
sont en cours d’évaluation et déterminez la règle de sécurité qui s’applique à un flux de trafic..
VÉRIFICATION DE LA CORRESPONDANCE
D’UNE POLITIQUE PAR RAPPORT À UN FLUX
Par exemple, pour vérifier la règle de politique qui sera appliquée
Pour vérifier qu’une règle de politique
correspond à un flux, utilisez la commande de la à un serveur dans la zone DMZ avec l’adresse IP 208.90.56.11
lorsqu’il accèdera au serveur Microsoft Update, essayez d’exécuter
CLI suivante :
la commande suivante :
test security-policy-match source
test security-policy-match source 208.80.56.11
<adresse_IP> destination <adresse_IP>
destination 176.9.45.70 destination-port 80
destination port <numéro_port> protocol protocol 6
<numéro_protocole>
La sortie affiche la meilleure règle correspondant
à l’adresse IP source et de destination indiquée
dans la commande de la CLI.
"Updates-DMZ to Internet" {
from dmz;
source any;
source-region any;
to untrust;
destination any;
destination-region any;
user any;
category any;
application/service[ dns/tcp/any/53 dns/udp/any/53
dns/udp/any/5353 ms-update/tcp/any/80
ms-update/tcp/any/443];
action allow;
terminal yes;
Surveillance du trafic sur votre réseau
Maintenant que votre politique de sécurité de base est en place, vous pouvez passer en revue les statistiques et
les données figurant dans le Centre de commande de l’application (ACC), les journaux de trafic et les journaux
de menaces afin d’observer les tendances sur votre réseau et d’identifier les emplacements où vous devez créer
des politiques plus granulaires.
Contrairement aux pare-feux classiques qui utilisent un port ou un protocole pour identifier des applications,
les pare-feux Palo Alto Networks utilisent la signature d’application (technologie App-ID) pour surveiller les
applications. La signature d’application se base sur des propriétés d’application uniques et les caractéristiques
des transactions associées combinées à un port ou à un protocole. Par conséquent, même lorsque le trafic utilise
le port/protocole adéquat, le pare-feu peut refuser l’accès au contenu car la signature de l’application ne
correspond pas. Cette fonctionnalité vous permet d’activer des applications en toute sécurité en autorisant des
parties d’une application tout en bloquant ou en contrôlant des fonctionnalités au sein de cette même
application. Par exemple, si vous autorisez l’application de navigation Web, un utilisateur pourra accéder à son
contenu sur Internet. Ensuite, si un utilisateur se rend sur Facebook et qu’il continue sa visite en jouant au
Scrabble sur Facebook, le pare-feu va identifier les basculements d’applications et identifie Facebook en tant
qu’application et le Scrabble en tant qu’application Facebook. Donc, si vous créez une règle spécifique qui bloque des
applications Facebook, l’utilisateur se verra refuser l’accès au Scrabble tout en étant autorisé à accéder à
Facebook.
54
Pour surveiller le trafic sur votre réseau :
• Dans ACC, passez en revue les applications les plus utilisées et les applications présentant des risques élevés
dans votre réseau. L’ACC récapitule sous forme graphique les informations du journal afin de mettre en
évidence les applications traversant le réseau, la personne qui les utilise (avec User-ID activé) et l’éventuel
impact sur la sécurité du contenu afin de vous aider à identifier ce qui se passe sur le réseau en temps réel.
Vous pouvez ensuite utiliser ces informations pour créer des politiques de sécurité adéquates qui bloquent
des applications indésirables, tout en autorisant et en activant des applications de manière sécurisée.
• Déterminez les mises à jour/modifications qui sont requises pour les règles de sécurité de votre réseau et
implémentez ces modifications. Par exemple :
–
Évaluez si le contenu doit être autorisé en fonction du planning, des utilisateurs ou des groupes.
–
Autorisez ou contrôlez certaines applications ou fonctions au sein d’une application.
–
Décryptez ou inspectez le contenu.
–
Autorisez, mais analysez les menaces et les exploitations.
Pour plus d’informations sur l’affinage de vos politiques de sécurité et pour joindre des profils de
sécurité personnalisés, consultez la section Protection de votre réseau contre les menaces.
• Affichez le trafic et les journaux de menaces en allant dans Surveillance > Journaux.
Les journaux de trafic dépendent de la manière dont vos politiques de sécurité sont définies
et paramétrées pour consigner le trafic. Toutefois, l’onglet ACC enregistre les applications et
les statistiques qu’elle que soit la configuration des politiques ; il affiche l’ensemble du trafic
autorisé sur votre réseau. Il inclut donc le trafic inter-zone autorisé par la politique et le même
trafic de zone qui est autorisé implicitement.
• Passez en revue les journaux de filtrage des URL à analyser par le biais d’alertes et de catégories/URL
refusées ; pour générer un journal d’URL, vous devez disposer d’un profil URL joint à la règle de sécurité
et l’action doit être définie sur alerter, continuer, écraser ou bloquer.
55
56
3 Protection de votre réseau contre les
menaces
Ce chapitre décrit les fonctions de prévention des menaces de Palo Alto Networks et les étapes initiales
nécessaires pour configurer chaque fonction. Celui-ci comprend les sections suivantes :

Présentation de la prévention des menaces

À propos des zones de sécurité, des politiques de sécurité et des politiques de déchiffrement

Licences des fonctions de prévention des menaces


Configuration des profils et politiques de sécurité
57
Protection de votre réseau contre les menaces
Le pare-feu Palo Alto Networks de dernière génération dispose de fonctions de prévention des menaces qui lui
permettent de protéger votre réseau contre les attaques sur tous les ports et tout le trafic, quelles qu’en soient
les techniques (fuite, tunnellisation ou contournement). Les fonctions de prévention des menaces sont les
suivantes : Antivirus, Anti-logiciel espion, Protection contre les vulnérabilités, Filtrage des URM, Blocage des
fichiers et Filtrage des données. La protection DoS et la protection des zones sont également abordées dans ce
chapitre.
Grâce à l’identification des applications (App-ID) et des informations relatives aux utilisateurs/groupes
(User-ID), vous pouvez configurer les fonctions de prévention des menaces et les politiques de sécurité en
fonction des différentes entreprises et des applications utilisées dans votre environnement. Vous pouvez
notamment déterminer les applications à analyser lors de la configuration des profils Antivirus, Blocage des
fichiers et Filtrage des données, puis associer cette politique à une politique de sécurité en fonction d’un groupe
d’utilisateurs spécifique. Par exemple, si un service donné utilise une application Web approuvée, vous devez
désactiver les fonctions Antivirus et Blocage des fichiers pour cette application.
Dans le cadre de la fonction de blocage des fichiers, vous pouvez implémenter le service WildFire, permettant
au pare-feu de transférer des pièces jointes vers un environnement de bac à sable qui exécutera l’application pour
rechercher des activités malveillantes. Comme de nouveaux logiciels malveillants sont détectés par le
système WildFire, des signatures de logiciels malveillants sont automatiquement générées et sont disponibles
pendant 24-48 heures dans les téléchargements antivirus quotidiens. Les abonnés WildFire peuvent recevoir des
signatures toutes les 30 minutes.
Le trafic SSL et SSH qui traverse le pare-feu est chiffré ; par conséquent, vous pouvez configurer une politique
de déchiffrement pour inspecter/filtrer ce type de trafic. Celle-ci permet au pare-feu de déchiffrer le trafic SSL,
d’y rechercher des menaces ou de le filtrer en fonction des catégories d’URL (Filtrage des URL) ou des
applications (App-ID), puis de le chiffrer de nouveau avant qu’il quitte le pare-feu. Quant au trafic SSH, les
administrateurs peuvent identifier et contrôler le trafic par tunnel SSH en fonction des politiques. Une approche
par hôte interposé est utilisée pour détecter le réacheminement des ports ou le transfert X11 au sein de SSH en
tant que tunnel SSH, tandis que l’accès Shell, SCP et SFTP à la machine distante est signalé comme SSH. Par
défaut, le contrôle SSH est désactivé.
Zone : approuvée
Prévention des menaces
Zone : non approuvée
Antivirus
Anti-logiciel espion
Protection contre les vulnérabilités
Filtrage des URL
Blocage des fichiers
WildFire
Filtrage des données
58
Pour plus d’informations sur les menaces et les applications que les produits Palo Alto Networks peuvent
identifier, suivez les liens ci-dessous :
• Applipedia : fournit des informations sur les applications que Palo Alto Networks peut identifier.
• Archivage sécurisé des menaces : répertorie les menaces que les produits Palo Alto Networks peuvent
identifier. Vous pouvez rechercher des menaces par vulnérabilité, logiciel espion ou virus. Cliquez sur l’icône
Détails en regard du numéro d’identification pour plus d’informations sur une menace.
La section suivante décrit les composants des fonctions de prévention des menaces de Palo Alto Networks.
Pour obtenir des exemples de configuration qui vous aideront à commencer avec ces fonctions, reportez-vous
à la section « Configuration des profils et politiques de sécurité » à la page 70.
À propos des zones de sécurité, des politiques de sécurité et des politiques
de déchiffrement
Avant de pouvoir appliquer les fonctions de prévention des menaces, vous devez d’abord configurer les zones
et les politiques de sécurité. Une zone de sécurité identifie une ou plusieurs interfaces sources ou de destination.
Lorsque vous configurez une politique de sécurité, vous la basez sur la source et la destination représentées par
la zone. Par exemple, l’interface connectée à Internet sera généralement votre zone non approuvée, tandis que
les interfaces connectées à votre réseau interne seront votre zone approuvée. Les politiques de sécurité
déterminent s’il faut bloquer ou autoriser une nouvelle session réseau à partir d’attributs du trafic, tels que les
zones de sécurité de l’application, de la source et de la destination, les adresses source et de destination, et le
service de l’application (HTTP par exemple). Une fois que les politiques de sécurité sont en place, vous pouvez
ensuite créer des profils de sécurité et les associer à la politique de sécurité afin de vous protéger contre les
menaces, d’appliquer le filtrage des URL, le blocage des fichiers, etc.
Afin de filtrer ou rechercher des menaces au sein du trafic chiffré, notamment avec SSL et SSH, vous devez
configurer les politiques de déchiffrement, qui sont appliquées aux zones et déchiffreront tout le trafic
correspondant à la politique donnée. Pour plus d’informations, reportez-vous à la section « Profils de chiffrement
et de déchiffrement » à la page 69.
Pour plus d’informations sur les zones et les politiques, reportez-vous aux sections suivantes :
• « Paramétrage des interfaces et des zones » à la page 42
• « Paramétrage des politiques de sécurité de base » à la page 49
59
Les sections suivantes décrivent les licences disponibles requises pour utiliser les fonctions de prévention des
menaces, ainsi que le processus d’activation :

À propos des licences de prévention des menaces

Obtention et installation des licences
À propos des licences de prévention des menaces
Voici une liste des informations de licence pour les diverses fonctions de prévention des menaces :
• Prévention des menaces: offre une protection antivirus, anti-logiciel espion et contre les vulnérabilités.
• Filtrage des URL: afin de créer des règles de politique en fonction des catégories d’URL, vous pouvez
acheter et installer un abonnement pour l’une des bases de données de filtrage des URL prises en charge,
PAN-DB ou BrightCloud. Lors de l’activation de la fonction PAN-DB de Palo Alto Networks, installez
d’abord la licence, puis, dans la section de filtrage des URL PAN-DB, téléchargez et récupérez la base de
données initiale, puis activez la licence.
• WildFire : la fonction WildFire (qui envoie des exemples pour analyse et reçoit les résultats d’analyse) est
incluse dans le produit de base. Un abonnement de prévention des menaces est requis pour recevoir les
mises à jour antivirus pour les logiciels malveillants découverts à l’aide de WildFire. Le service
d’abonnement WildFire offre des services avancés pour les entreprises qui ont besoin d’une sécurité
immédiate ; celui-ci permet l’accès sub-horaire aux mises à jour de signatures WildFire, le téléchargement
de journaux à partir du serveur WildFire et le chargement de fichiers à l’aide de l’API REST WildFire.
Obtention et installation des licences
Pour acheter des licences, contactez le service des ventes de Palo Alto Networks. Une fois que vous avez obtenu
une licence, sélectionnez Périphérique > Licences.
Vous pouvez effectuer les tâches suivantes en fonction de la méthode de réception de vos licences :
• Récupérer les clés de licence auprès du serveur de licences : utilisez cette option si votre licence a été
activée sur le portail de support.
• Activer la fonction à l’aide du code d’autorisation : utilisez cette option pour activer des abonnements
souscrits à l’aide d’un code d’autorisation pour les licences qui n’ont pas été précédemment activées sur le
portail de support.
• Charger manuellement la clé de licence utilisez cette option si votre périphérique ne dispose d’aucune
connexion au site de support de Palo Alto Networks. Dans ce cas, vous devez télécharger un fichier de clé
de licence à partir du site de support sur un ordinateur connecté à Internet, puis le charger sur le
périphérique.
Pour plus d’informations sur l’enregistrement et l’activation des licences sur votre pare-feu, reportez-vous à la
section « Activation des services de pare-feu » à la page 11.
60
Les profils de sécurité sont utilisés pour fournir une protection supplémentaire aux politiques de sécurité.
Par exemple, vous pouvez appliquer un profil Antivirus à une politique de sécurité et tout le trafic correspondant
à la politique de sécurité sera analysé afin de déterminer la présence de virus.
Pour obtenir des exemples de configuration de base qui vous aideront à commencer avec ces fonctions,
reportez-vous à la section « Configuration des profils et politiques de sécurité » à la page 70.
Le tableau suivant fournit un aperçu des profils de sécurité que vous pouvez appliquer aux politiques de sécurité,
ainsi qu’une description de base des profils DoS et Protection de zone :
Fonction de
prévention des
menaces
Description
Antivirus
Protège contre les virus, les vers et les chevaux de Troie, ainsi que contre le téléchargement
de logiciels espions. À l’aide d’un moteur de prévention des logiciels malveillants basé sur les
flux, qui inspecte le trafic dès que le premier paquet est reçu, la solution antivirus de
Palo Alto Networks peut offrir aux clients une protection sans aucune incidence significative
sur les performances du pare-feu. Cette fonction recherche une grande variété de logiciels
malveillants dans les exécutables et les fichiers PDF, de virus HTML et JavaScript ; elle permet
également l’analyse des fichiers compressés et des schémas de codage de données. L’analyse du
contenu chiffré peut être effectuée en activant le déchiffrement sur le pare-feu.
Le profil par défaut inspecte tous les décodeurs de protocole répertoriés pour les virus, et génère
des alertes pour les protocoles SMTP, IMAP et POP3, tout en bloquant les protocoles FTP,
HTTP et SMB. Il est possible d’utiliser des profils personnalisés pour limiter les inspections
antivirus sur le trafic entre des zones de sécurité de confiance, ou au contraire les renforcer sur
le trafic provenant de zones non sécurisées comme Internet, ainsi que sur le trafic vers des
destinations hautement sensibles comme des batteries de serveurs.
Le système WildFire de Palo Alto Networks fournit également des signatures pour les menaces
qui n’ont pas été encore découvertes par d’autres solutions antivirus. Lorsque les menaces sont
découvertes par WildFire, les signatures sont rapidement créées, puis intégrées dans les
signatures antivirus standard pouvant être téléchargées quotidiennement par les abonnés
Prévention des menaces (téléchargement sub-horaire pour les abonnés WildFire).
61
Fonction de
prévention des
menaces
Description
Anti-logiciel espion
Bloque les tentatives de communications phone-home ou de signalement sur les serveurs (C2)
de commande et de contrôle externes par les logiciels espions sur les hôtes compromis. Vous
pouvez appliquer divers niveaux de protection entre les zones. Par exemple, vous pouvez créer
des profils Anti-logiciel espion personnalisés qui réduisent l’inspection entre les zones autorisées,
tout en optimisant l’inspection du trafic reçu d’une zone non autorisée, telle que les zones ayant
accès à Internet.
Lors de l’application de la fonction Anti-logiciel espion à une politique de sécurité, vous pouvez
choisir entre deux profils prédéfinis.
–
Par défaut : le profil par défaut entreprend l’action par défaut pour n’importe quelle
signature, tel qu’indiqué par Palo Alto Networks, lorsque la signature est créée.
–
Strict : le profil strict remplace l’action des menaces de niveaux de gravité critique,
élevé et moyen par l’action de blocage, quelle que soit l’action définie dans le fichier de
signature. L’action par défaut est entreprise avec des signatures de niveaux de gravité
moyen et informations.
PAN-OS 5.0 inclut une nouvelle forme de signature anti-logiciel espion basée sur DNS.
Ces signatures détectent les requêtes DNS spécifiques des noms d’hôte associés à des logiciels
malveillants. Ces signatures sont téléchargées quotidiennement dans le cadre de la mise à
jour antivirus, mais sont configurées dans le profil Anti-logiciel espion via le nouvel
onglet Signature DNS tab.
Les profils Anti-logiciel espion et Protection contre les vulnérabilités sont configurés de la même
manière. La fonction Anti-logiciel espion permet de détecter le trafic malveillant provenant de
clients infectés et quittant le réseau, tandis que la protection contre les vulnérabilités protège
contre les menaces entrant dans le réseau.
Protection contre les
vulnérabilités
Bloque les tentatives d’exploitation des failles du système ou d’accès non autorisé aux systèmes.
Par exemple, cette fonction protège contre le dépassement de capacité de la mémoire tampon,
l’exécution non autorisée de code et d’autres tentatives d’exploitation des vulnérabilités du
système. Le profil Protection contre les vulnérabilités protège les clients et les serveurs contre
l’ensemble des menaces connues de niveaux de gravité critique, élevé et moyen. Vous pouvez
également créer des exceptions qui vous permettent de modifier la réponse à une signature
spécifique.
Les profils Anti-logiciel espion et Protection contre les vulnérabilités sont configurés de la même
manière. La fonction Protection contre les vulnérabilités permet de détecter le trafic malveillant
provenant de clients infectés et entrant dans le réseau, tandis que la protection anti-logiciel espion
protège contre les menaces quittant le réseau.
62
Fonction de
prévention des
menaces
Description
Filtrage des URL
Restreint l’accès à des sites Web et à des catégories de sites Web spécifiques. Par exemple, vous
pouvez restreindre les catégories de sites Contenus pour adultes, Achats, Jeux d’argent, etc. Vous
pouvez configurer la base de données des URL PAN-DB de Palo Alto Networks (PAN-OS 5.0)
ou la base de données BrightCloud.
PAN-DB est un moteur de filtrage des URL développé par Palo Alto Networks. PAN-DB
permet d’optimiser les performances des périphériques grâce à une capacité de cache plus grande
pour le stockage des URL les plus fréquemment visitées ; les recherches sur le cloud sont utilisées
pour interroger la base de données principale. Le téléchargement quotidien des mises à jour de
la base de données n’est plus nécessaire car les périphériques restent synchronisés avec le cloud.
Les catégories sont prédéfinies par Palo Alto Networks pour PAN-DB et par BrightCloud pour
la base de données BrightCloud. Vous pouvez demander la recatégorisation d’une URL
directement à partir des journaux de filtrage des URL, en accédant aux détails des journaux pour
un site donné, puis en cliquant sur le lien Demander un changement de catégorisation. Vous
pouvez également utiliser le site Web Tester un site pour PAN-DB, ou le site Recherche
d’URL/adresse IP pour BrightCloud.
Pour plus d’informations sur le flux de travail, l’installation et le dépannage de PAN-DB,
reportez-vous à la Note technique sur le filtrage des URL (PAN-DB).
Le flux de travail de la fonction de filtrage des URL PAN-DB est illustré ci-dessous :
63
Fonction de
prévention des
menaces
Description
Blocage des fichiers
Bloque les types de fichiers donnés dans les applications et les directions données. Vous pouvez
configurer le profil de manière à alerter ou bloquer le chargement et/ou le téléchargement, et
indiquer les applications soumises au profil de blocage des fichiers. Vous pouvez également
configurer des pages de blocage personnalisées qui apparaissent lorsque l’utilisateur tente de
télécharger le type de fichier donné. Cela permet à l’utilisateur de prendre un moment afin de
décider de télécharger ou non un fichier.
Les actions suivantes peuvent être définies lorsque le fichier donné est détecté :
• Alerte : lorsque le type de fichier donné est détecté, une entrée est générée dans le journal de
filtrage des données.
• Bloquer : lorsque le type de fichier donné est détecté, le fichier est bloqué et une page de
blocage est présentée à l’utilisateur. Une entrée est également générée dans le journal de
filtrage des données.
• Continuer : lorsque le type de fichier donné est détecté, une page de continuation pouvant
être personnalisée est présentée à l’utilisateur. L’utilisateur peut cliquer sur la page pour
télécharger le fichier. Une entrée est également générée dans le journal de filtrage des données.
• Transférer : lorsque le type de fichier donné est détecté, le fichier est envoyé à WildFire pour
analyse. Une entrée est également générée dans le journal de filtrage des données.
• Continuer et transférer : lorsque le type de fichier donné est détecté, une page de
continuation pouvant être personnalisée est présentée à l’utilisateur. L’utilisateur peut cliquer
sur la page pour télécharger le fichier. Si l’utilisateur clique sur la page de continuation pour
télécharger le fichier, ce dernier est envoyé à WildFire pour analyse. Une entrée est également
générée dans le journal de filtrage des données.
64
Fonction de
prévention des
menaces
Description
WildFire
WildFire vous permet d’envoyer en toute sécurité des fichiers au centre d’analyse des
logiciels malveillants en nuage de Palo Alto Networks, où ils sont automatiquement
analysés dans un environnement de bac à sable pour détecter toute activité malveillante.
Les fichiers peuvent être envoyés automatiquement à partir du pare-feu en utilisant une
politique de blocage des fichiers, manuellement via le portail WildFire ou via
l’API WildFire (un abonnement WildFire est requis). Le système WildFire exécute les
fichiers dans un environnement virtuel et surveille de nombreux comportements et
techniques potentiellement malveillants, tels que la modification de fichiers système critiques, la désactivation de fonctions de sécurité ou l’utilisation de diverses méthodes
pour échapper à la détection. Lorsque de nouveaux logiciels malveillants sont détectés,
WildFire génère automatiquement des signatures antivirus et les distribue aux pare-feu
disposant d’un abonnement de prévention des menaces, via les mises à jour de signatures antivirus quotidiennes. Si vous êtes un abonné WildFire, les signatures sont disponibles en téléchargement sub-horaire.
L’abonnement WildFire (inclus dans PAN-OS 5.0) offre les fonctions suivantes :
• Mises à jour dynamiques WildFire : une nouvelle section nommée WildFire est disponible
•
•
dans Périphérique > Mises à jour dynamiques. Lorsque de nouveaux logiciels malveillants
sont détectés, des signatures WildFire sont générées toutes les 30 minutes, et le calendrier des
mises à jour WildFire du pare-feu peut être configuré de manière à vous permet de rechercher
de nouvelles signatures WildFire toutes les 15, 30 ou 60 minutes. Lorsque de nouvelles
signatures WildFire sont téléchargées sur votre pare-feu, vous pouvez configurer le pare-feu
de manière à entreprendre des actions spécifiques sur ces signatures, différentes des actions
normales sur les signatures antivirus dans le profil Antivirus.
Journaux WildFire intégrés : lorsque les fichiers sont chargés et analysés par WildFire, les
données des journaux sont renvoyées au périphérique après analyse, avec les résultats d’analyse. Les journaux sont écrits dans Surveillance > Journaux > WildFire.
API WildFire : la licence WildFire vous permet d’accéder à l’API WildFire, qui offre un
accès par programme au service WildFire dans le cloud, à l’exclusion de son utilisation par les
pare-feu Palo Alto Networks. L’API WildFire peut être utilisée pour envoyer, analyser et
vérifier des rapports sur les fichiers envoyés au système WildFire. Vous pouvez charger
jusqu’à 100 fichiers par jour et interroger le portail WildFire jusqu’à 1 000 fois par jour.
Le flux de travail WildFire est illustré ci-dessous :
65
Fonction de
prévention des
menaces
Description
Permet d’empêcher que les informations confidentielles, telles que les numéros de carte
de crédit ou de sécurité sociale, quittent un réseau protégé. Vous pouvez également
filtrer les mots-clés, tel qu’un nom de projet confidentiel et le mot « confidentiel ». Il est
important de focaliser votre profil sur les types de fichiers souhaités afin de réduire les
faux positifs. Par exemple, vous pouvez rechercher uniquement des documents Word
ou des feuilles de calcul Excel. Vous pouvez également analyser le trafic de
navigation Web ou FTP.
Vous pouvez utiliser les profils par défaut ou créer des modèles de données
personnalisés. Il existe deux profils par défaut :
–
CC# (numéro de carte de crédit)) : identifie les numéros de carte de crédit à l’aide
d’un algorithme de hachage. Le contenu doit correspondre à l’algorithme de hachage
avant la détection des données comme numéro de carte de crédit. Cette méthode
réduit les faux positifs.
–
SSN# (numéro de sécurité sociale) : utilise un algorithme pour détecter les
numéros à neuf chiffres, quel que soit le format. Ce profil comprend deux champs :
SSN# et SSN# (sans tiret).
Outre l’utilisation d’un algorithme spécial par le pare-feu pour identifier les numéros de
sécurité sociale et de carte de crédit, vous pouvez également définir les mots-clés à l’aide
d’un modèle personnalisé dans le champ Regex. Un modèle personnalisé peut être un
mot tel que « confidentiel ».
Lors du test de cette foonction, il est également important de comprendre que les
chiffres valides peuventêtre utilisés pour les numéros de sécurité sociale et de carte de
crédit. Les numéros de sécurité sociale américains ont 9 chiffres et les 3 premiers sont
entre 001 et 772, à l’exclusion de 666. En outre, les numéros de sécurité sociale ne
peuvent pas contenir de 0 dans n’importe quelle série de chiffres. Par exemple,
987-00-4320 n’est pas un numéro de sécurité sociale valide. Pour le test, il vaut mieux
utiliser de vrais numéros de sécurité sociale. De plus, lorsque vous définissez des
modèles de données personnalisés, n’oubliez pas qu’ils sont sensibles à la casse.
Les numéros de carte de crédit utilisent les 2 à 6 premiers chiffres pour identifier le type
de carte. Il y a peu de chiffres possibles. En outre, la longueur total du numéro peut
varier. Par exemple, les numéros American Express commencent par 34 ou 37 et ont
une longueur de 15 chiffres, tandis que les cartes Visa commencent par 4 et ont une
longueur de 13 ou 16 chiffres.
66
Fonction de
prévention des
menaces
Description
(suite)
Valeurs de pondération et de seuil
Il est important de comprendre la manière dont la pondération d’un objet (numéro de sécurité
sociale, numéro de carte de crédit, modèle) est calculée afin de définir le seuil approprié pour une
condition que vous tentez de filtrer. Chaque occurrence multipliée par la valeur de pondération
permet d’atteindre un seuil d’action (alerte ou blocage).
Exemple 1
Pour plus de simplicité, si vous souhaitez uniquement filtrer les numéros de sécurité sociale et
que vous définissez une pondération de 3 pour SSN#, vous devez utiliser la formule suivante :
chaque instance d’un numéro de sécurité sociale x pondération = incrément de seuil Dans ce cas, si un
document Word contient 10 numéros de sécurité sociale, multipliez ce chiffre par 3 ; donc 10 x
3 = 30. Afin d’entreprendre une action pour un fichier qui contient 10 numéros de sécurité
sociale, définissez le seuil sur 30. Vous pouvez définir une alerte à 30, puis le blocage à 60. Vous
pouvez également définir une pondération dans le champ SSN# (sans tiret) pour les numéros
de sécurité sociale qui ne contiennent aucun tiret. Si plusieurs paramètres sont utilisés, ils sont
cumulés pour atteindre un seuil donné.
Exemple 2
Dans cet exemple, les fichiers contenant des numéros de sécurité sociale et le modèle
personnalisé confidentiel sont filtrés. En bref, si un fichier contient des numéros de sécurité
sociale en plus du mot « confidentiel » et que les instances combinées de ces éléments atteignent
le seuil, le fichier déclenche une alerte ou bloque le fichier, selon les paramètres d’action.
Pondération du numéro de sécurité sociale = 3
Pondération du modèle personnalisé confidentiel = 20
Remarque : le modèle personnalisé est sensible à la casse.
Si le fichier contient 20 numéros de sécurité sociale et qu’une pondération de 3 a été définie,
20 x 3 = 60 Si le fichier contient une instance du terme « confidentiel » et qu’une pondération de
20 a été définie, 1 x 20 = 20 pour un total de 80. Si votre seuil de blocage est défini à 80, le fichier
est bloqué. L’action d’alerte ou de blocage est déclenchée dès que le seuil est atteint.
67
Fonction de
prévention des
menaces
Description
Profils de protection DoS Cette fonction permet un contrôle détaillé des politiques de protection de déni de service (DoS).
Les politiques DoS vous permettent de contrôler le nombre de sessions entre des interfaces, des
zones, des adresses et des pays en se basant sur des sessions ou sur des adresses IP source et/ou
de destination agrégées. Les pare-feu Palo Alto Networks prennent en charge deux méthodes de
protection DoS :
–
Protection contre la saturation : détecte et empêche les attaques où le réseau
est saturé de paquets résultant d’un trop grand nombre de sessions à moitié
ouvertes et/ou de services incapables de répondre à chaque demande. Dans ce
cas, l’adresse source de l’attaque est généralement usurpée.
–
Protection des ressources : détecte et empêche les attaques d’épuisement des
sessions. Dans ce type d’attaque, un grand nombre d’hôtes (robots) sont
utilisés pour établir autant de sessions que possible pour consommer toutes les
ressources d’un système.
Ces deux méthodes de protection peuvent être définies dans un seul profil DoS.
Le profil DoS est utilisé pour indiquer le type d’action à entreprendre et les informations relatives
aux critères de correspondance pour la politique DoS. Le profil DoS définit les paramètres pour
la saturation SYN, UDP et ICMP, peut activer la protection des ressources et détermine le
nombre maximum de connexion simultanées. Une fois que vous avez configuré le profil de
protection DoS, vous pouvez l’associer à une politique DoS.
Lors de la configuration de la protection DoS, il est important d’analyser votre
environnement afin de définir des seuils corrects et, étant donné la complexité de
la définition des politiques de protection DoS, ce guide n’en fournit aucun exemple
détaillé. Pour plus d’informations, reportez-vous au Guide de l’administrateur
Palo Alto Networks ou à la Note technique sur la prévention des menaces.
Protection de zone
Fournit à des zones réseau spécifiques une protection supplémentaire contre les
attaques. Le profil doit être appliqué à toute la zone ; par conséquent, il est important de
tester les profils afin d’éviter les problèmes qui peuvent se produire avec le trafic normal
traversant les zones. Lors de la définition de limites de seuils en paquets par seconde
(pps) pour les profils de protection de zone, le seuil se base sur des paquets par seconde
qui ne correspondent pas à une session précédemment établie.
Ce guide ne fournit aucun aucun exemple détaillé. Pour plus d’informations,
reportez-vous au Guide de l’administrateur Palo Alto Networks ou à la Note technique sur la
prévention des menaces.
68
Profils de chiffrement et de déchiffrement
Les politiques de déchiffrement indiquent les paramètres de déchiffrement du trafic pour les politiques de
sécurité. Chaque politique peut également indiquer les catégories d’URL pour le trafic à déchiffrer. Le
déchiffrement SSH est utilisé pour détecter le réacheminement des ports ou le transfert X11 au sein de SSH en
tant que tunnel SSH, tandis que l’accès Shell, SCP et SFTP à la machine distante est signalé comme SSH. Avec
le trafic SSL, App-ID et les profils Antivirus, Vulnérabilité, Anti-logiciel espion, Filtrage des URL et Blocage des
fichiers sont appliqués au trafic déchiffré avant qu’il ne soit de nouveau chiffré à la sortie du périphérique. La
sécurité de bout en bout entre les clients et les serveurs est maintenue, et le pare-feu agit comme un tiers de
confiance pendant la connexion. Aucun trafic déchiffré ne quitte le périphérique.
Les profils de déchiffrement permettent au pare-feu de bloquer et de contrôler divers aspects du proxy de
transfert SSL, de l’inspection SSL entrante et du trafic SSH. Le profil de déchiffrement peut être utilisé pour
procéder à des vérifications, notamment la vérification du certificat du serveur, et bloquer les sessions ayant un
certificat expiré. Pour obtenir la liste complète des vérifications pouvant être effectuées, reportez-vous à la
section Paramètres des profils de déchiffrement du Guide de l’administrateur Palo Alto Networks.
Lors de la configuration du déchiffrement, vous pouvez exclure certains types de sites Web. Par exemple, vous
pouvez ne pas déchiffrer le trafic des sites relatifs à la finance, à la santé et au médical.
Certaines applications ne fonctionneront pas correctement si elles sont déchiffrées par
le pare-feu. Pour obtenir la liste de ces applications, reportez-vous à l’article de la base
de connaissances intitulé Liste des applications exclues du déchiffrement SSL. De
plus, certaines applications natives, telles que Dropbox et Microsoft Lync qui utilisent
SSL, peuvent ne pas fonctionner lorsque le déchiffrement est activé ; en effet,
l’application peut rechercher des informations spécifiques susceptibles de ne pas être
présentes dans le certificat auto-signé. Vous devez configurer des exceptions pour
certaines catégories d’URL ou des adresses de destination pour les applications, si
celles-ci ne fonctionnent pas correctement lorsque le déchiffrement activé. Vous
pouvez configurer les exceptions dans la politique de déchiffrement se trouvant dans
l’onglet Catégorie d’URL ou en définissant des adresses dans l’onglet Destination et
en créant une nouvelle politique de déchiffrement définie sur Aucun déchiffrement.
Assurez-vous que la politique d’aucun déchiffrement est répertoriée avant les
politiques de déchiffrement.
Une fois que vous avez créé le profil de déchiffrement, vous pouvez l’appliquer à une politique de déchiffrement.
Vous pouvez également activer ou désactiver les autorités de certification approuvées qui ont été définies sur le
pare-feu.
69
Les sections suivantes fournissent des exemples de configuration de la prévention des menaces de base.

Configuration des politiques de déchiffrement

Configuration du filtrage des données

Configuration des profils Antivirus, Anti-logiciel espion et Protection contre les vulnérabilités


Configuration du blocage des fichiers

Configuration de WildFire

Configuration du filtrage des URL
Configuration des politiques de déchiffrement
Afin de filtrer ou de rechercher des menaces dans le trafic chiffré, notamment avec les communications SSL et
SSH, vous devez configurer des politiques de déchiffrement. Dans cet exemple, créez d’abord un certificat
d’approbation de transfert auto-signé et un certificat de non-approbation de transfert auto-signé, qui seront
utilisés lors du processus de déchiffrement. Le certificat d’approbation de transfert généré sur le pare-feu, sera
exporté à partir du pare-feu, puis importé vers la liste des autorités de certification approuvées dans les
navigateurs Web des clients. Cela permet aux clients/utilisateurs d’approuver le pare-feu comme proxy de
transfert vers les sites externes accessibles à l’aide de SSL. Par exemple, lorsque le client visite un site SSL, le
pare-feu contacte d’abord le site et vérifie le certificat. Le pare-feu crée ensuite un certificat pour le client, et
comme le client approuve le pare-feu comme autorité de certification, le navigateur du client agit comme s’il
utilisait le certificat directement à partir du serveur Web externe. Cela permet au pare-feu de déchiffrer et
d’inspecter le trafic avant que le site ne soit affiché au client. Le certificat de non-approbation de transfert est
utilisé pour afficher un avertissement de certificat aux clients si le serveur Web auquel le pare-feu se connecte
utilise un certificat qui n’est pas valide.
Cette section traite uniquement de l’utilisation des certificats auto-signés générés sur
le pare-feu, et non de l’utilisation des certificats signés par une autorité de certification
publique externe ou des certificats générés par une infrastructure PKI interne.
70
La section suivante décrit les étapes requises pour configurer les certificats nécessaires pour le déchiffrement.
CONFIGURATION D’UN CERTIFICAT
Étape 1 Générez un nouveau certificat d’autorité
de certification. Le certificat
d’approbation de transfert permet au
pare-feu de présenter son certificat aux
clients lors du déchiffrement, lorsque le
serveur auquel le client se connecte est
signé par une autorité de certification qui
figure dans la liste des autorités de
certification approuvées du pare-feu.
Dans ce cas, un certificat auto-signé est
utilisé pour le déchiffrement du proxy de
transfert.
Étape 2 Configurez le certificat de non-approbation
de transfert. Le certificat de non
approbation de transfert permet au pare-feu
de présenter un autre certificat lorsque le
client se connecte à un site qui utilise
un certificat signé par une autorité de
certification qui ne figure pas dans la liste
des autorités de certification approuvées du
pare-feu. Un avertissement de certificat est
affiché aux clients pour les sites dont les
certificats ne sont pas valides.
1.
Allez dans Périphérique > Gestion des certificats >
Certificats.
2.
Cliquez sur Générer au bas de la fenêtre.
3.
Saisissez un nom de certificat, tel que my-fwd-trust.
4.
Saisissez un nom commun, tel que 192.168.2.1 (correspondant à
l’adresse IP ou au nom FQDN qui apparaîtra sur le certificat.
Dans ce cas, l’adresse IP de l’interface d’approbation est utilisée.
Évitez d’utiliser des espaces dans ce champ).
5.
Laissez le champ Signé par vide.
6.
Cochez la case Autorité de certification pour l’activer. Vous
créez ainsi une autorité de certification sur le pare-feu, qui sera
importée vers les navigateurs des clients, de manière à ce que les
clients approuvent le pare-feu comme autorité de certification.
7.
Cliquez sur Générer pour générer le certificat.
8.
Cliquez sur le nouveau certificat my-ssl-cert pour le modifier,
puis activez l’option Certificat d’approbation de transfert.
9.
1.
Cliquez sur Générer au bas de la page Certificats.
2.
Saisissez un nom de certificat, tel que my-fwd-untrust.
3.
Définissez le nom commun, par exemple 192.168.2.1. Laissez le
champ Signé par vide.
4.
Cochez la case Autorité de certification pour l’activer.
5.
6.
Cliquez sur le nouveau certificat my-ssl-fw-untrust pour le
modifier, puis activez l’option Certificat de non-approbation
de transfert.
7.
8.
Les certificats de non-approbation de transfert devront être
importés dans la liste des autorités de certification racines
approuvées dans le navigateur de chaque client. Vous pouvez
procéder à leur importation via une politique de groupe, par
exemple. Vous ne devez pas importer le certificat de
non-approbation dans le navigateur, sinon le client ne verra
aucun avertissement pour les sites dont les certificats ne sont pas
valides.
Étape 3 Pour créer une politique de déchiffrement
du trafic SSL sortant, reportez-vous à la
section suivante, « Configuration des
politiques de déchiffrement du trafic
sortant » à la page 72.
71
Configuration des politiques de déchiffrement du trafic sortant
La section suivante décrit les étapes requises pour configurer la politique de déchiffrement du trafic SSL sortant
qui sera utilisée pour déchiffrer le trafic afin d’appliquer des filtres et d’identifier les menaces dans le trafic
déchiffré.
CONFIGURATION D’UNE POLITIQUE DE DÉCHIFFREMENT DU TRAFIC SSL SORTANT
Étape 1 Configurez une politique de déchiffrement. 1.
Étape 2 Configurez les options de déchiffrement.
2.
Cliquez sur Ajouter pour configurer une politique de
déchiffrement qui déchiffrera tout le trafic.
1.
Dans l’onglet Général, saisissez un nom, tel que
Decrypt_All_Traffic.
2.
(Facultatif) Saisissez une description.
3.
(Facultatif) Saisissez une étiquette. (Une étiquette de politique est
un mot-clé ou une expression qui vous permet de trier ou de filtrer
les politiques. Cela est utile lorsque vous avez défini de nombreuses
politiques et que vous souhaitez afficher celles qui sont identifiées
par un mot particulier. Par exemple, vous pouvez ajouter l’étiquette
Trafic entrant vers la zone DMZ à certaines politiques de sécurité,
les mots Déchiffrement et Aucun déchiffrement aux politiques de
déchiffrement, ou utiliser le nom d’un centre de données spécifique
pour les politiques associés à cet emplacement).
4.
Dans l’onglet Source, accédez à la zone source, cliquez sur
5.
Dans l’onglet Destination, accédez à la zone de destination,
cliquez sur Ajouter, puis sélectionnez la zone non approuvée .
Dans l’onglet Catégorie d’URL, laissez Indifférent. Dans cet
exemple, vous déchiffrez tout le trafic. Si vous ne souhaitez
appliquer ce profil qu’à certaines catégories de sites Web,
cliquez sur Ajouter, puis sélectionnez une catégorie d’URL.
Si vous souhaitez désactiver le déchiffrement pour une
application SSL spécifique, vous devrez créer un nouveau
profil de déchiffrement, puis dans l’onglet Destination,
saisissez l’adresse IP du serveur d’applications et, dans
l’ongletOptions, choisissez Aucun déchiffrement et, enfin,
sélectionnez le type Proxy de transfert SSL. Assurez-vous
que la politique de déchiffrement soit répertoriée dans votre
liste des politiques de déchiffrement en la faisant glisser et en
la déposant au-dessus des autres politiques de déchiffrement.
6.
72
Sélectionnez Politiques > Déchiffrement.
Ajouter, puis sélectionnez la zone approuvée.
7.
Dans l’onglet Options, sélectionnez Déchiffrement comme
action et Proxy de transfert SSL comme type.
8.
Laissez le profil de déchiffrement défini sur Aucun(e). Un
profil de déchiffrement vous permet de contrôler des aspects
spécifiques du proxy de transfert SSL, de l’inspection SSL entrante
et du trafic SSH. Pour plus d’informations, reportez-vous au Guide
de l’administrateur Palo Alto Networks.
9.
CONFIGURATION D’UNE POLITIQUE DE DÉCHIFFREMENT DU TRAFIC SSL SORTANT (SUITE)
Étape 3 Validez la configuration.
Étape 4 Une fois que le déchiffrement est activé, vous devez exporter le certificat d’approbation de transfert (my-ssl-cert
dans cet exemple), le distribuer à tous vos utilisateurs et l’ajouter à leur liste d’autorités de certification
approuvées pour leurs navigateurs. Vous pouvez procéder à leur exportation via une politique Active Directory.
Si vous ne le faites pas, les utilisateurs verront des avertissements de certificat pour chaque site SSL visité. Pour
tester votre configuration, vous pouvez désactiver la politique de déchiffrement, vous rendre à l’adresse
www.eicar.org, puis télécharger le fichier de test anti-logiciel malveillant. Téléchargez la version HTTPS pour le
fichier de test eicar ; les logiciels malveillants ne sont pas détectés. Activez votre fichier de déchiffrement et
réessayez. Les virus devraient maintenant être détectés.
73
Configuration des profils Antivirus, Anti-logiciel espion et Protection contre
les vulnérabilités
La section suivante décrit les étapes requises pour configurer les profils Antivirus, Anti-logiciel espion et
Protection contre les vulnérabilités. Ces fonctions ont un objectif très similaire ; par conséquent, les étapes
suivantes ne sont que des étapes générales pour activer les profils par défaut.
Les signatures anti-logiciel espion et de protection contre les vulnérabilités ont une
action par défaut définie par Palo Alto Networks. Pour afficher l’action par défaut
correspondant à une signature, accédez à Objets > Profils de sécurité > (Anti-logiciel
espion ou Protection contre les vulnérabilités), puis sélectionnez un profil. Cliquez sur
l’onglet Exceptions, puis sur Afficher toutes les signatures ; vous verrez alors une
liste des signatures avec leur action par défaut dans la colonne Action. Pour modifier
l’action par défaut, vous devez créer un nouveau profil, puis créer des règles avec une
action personnalisée et/ou ajouter chaque exception de signature dans l’onglet
Exceptions du profil.
CONFIGURATION DES PROFILS ANTIVIRUS, ANTI-LOGICIEL ESPION ET PROTECTION CONTRE LES
VULNÉRABILITÉS
Étape 1 Vérifiez que vous disposez d’une licence
Prévention des menaces.
• La licence Prévention des menaces regroupe les fonctions
•
Étape 2 Téléchargez les dernières signatures de
menaces antivirus.
Antivirus, Anti-logiciel espion et Protection contre les
vulnérabilités.
Sélectionnez Périphérique > Licences pour vous assurer que la
licence Prévention des menaces soit installée, puis vérifiez la date
d’expiration.
1.
Sélectionnez Périphérique > Mises à jour dynamiques, puis
cliquez sur Vérifier maintenant au bas de la page, pour
récupérer les dernières signatures.
2.
Dans la colonne Actions, cliquez sur Installer pour installer les
dernières signatures.
Sur cette page, vous trouverez différentes sections : Antivirus ,
Applications et menaces. La section Antivirus est pour les
signatures antivirus, et la section Applications et menaces contient
les applications prises en charge que Palo Alto Networks peut
identifier, ainsi que les signatures anti-logiciel espion et de protection
contre les vulnérabilités.
74
VULNÉRABILITÉS (SUITE)
Étape 3 Planifiez les mises à jour de signatures.
1.
Sélectionnez Périphérique > Mises à jour dynamiques, cliquez
sur le texte à droite de Calendrier pour récupérer
automatiquement les mises à jour de signatures pour les sections
Antivirus et Applications et menaces.
2.
Précisez la fréquence et la durée des mises à jour, et si la mise à
jour sera téléchargée et installée ou téléchargée uniquement.
Si vous sélectionnez Télécharger uniquement, vous devez y
accéder manuellement et cliquer sur le lien Installer dans la
colonne Action pour installer la signature. Lorsque vous cliquez
sur OK, la mise à jour est planifiée. Aucune validation n’est
requise.
3.
(Facultatif) Vous pouvez également saisir le nombre d’heures
dans le champ Seuil pour indiquer l’antériorité minimale d’une
signature avant tout téléchargement. Par exemple, si vous
saisissez 10, la signature doit dater d’au moins 10 heures avant
d’être téléchargée, quel que soit le calendrier.
4.
Dans une configuration HD, vous pouvez également cliquer sur
l’option Synchronisation avec l’homologue pour synchroniser
la mise à jour de contenu avec l’homologue HD après le
téléchargement/l’installation. Les paramètres du calendrier ne
sont pas transmis au périphérique homologue ; vous devez
configurer le calendrier sur chaque périphérique.
Meilleures pratiques pour les calendriers antivirus
Pour les calendriers de mises à jour de signatures antivirus, il est généralement recommandé de télécharger et d’installer
les mises à jour de signatures pour la section Antivirus tous les jours et les mises à jour pour la section Applications et
menaces toutes les semaines.
Recommandations pour les configurations HD :
–
HD active/passive : si le port MGT est utilisé pour le téléchargement des signatures antivirus, vous devez
configurer un calendrier sur les deux périphériques ; chaque périphérique procèdera au téléchargement/à
l’installation de manière indépendante. Si vous utilisez un port de données pour le téléchargement, le
périphérique passif n’effectue aucun téléchargement tant que son état est passif. Dans ce cas, vous devez définir
un calendrier sur les deux périphériques, puis sélectionner l’option Synchroniser avec l’homologue. Quel que
soit le périphérique actif, cette option permet le téléchargement des mises à jour et leur transmission au
périphérique passif.
–
HD active/active : si le port MGT est utilisé pour le téléchargement des signatures antivirus sur les deux
périphériques, vous devez planifier le téléchargement/l’installation sur les deux périphériques et ne pas
sélectionner l’option Synchroniser avec l’homologue. Si vous utilisez un port de données, planifiez le
téléchargement des signatures sur les deux périphériques, puis sélectionnez Synchroniser avec l’homologue.
Si l’état d’un périphérique de la configuration active/active devient actif secondaire, cette option permet au
périphérique actif de télécharger/d’installer les signatures et de les transmettre au périphérique actif secondaire.
75
VULNÉRABILITÉS (SUITE)
Étape 4 Associez les profils de sécurité à une
politique de sécurité.
1.
Sélectionnez Politiques > Sécurité, puis la politique souhaitée
pour la modifier et cliquez sur l’onglet Actions.
2.
Dans la liste Paramètres des profils, cliquez sur la liste
déroulante en regard de chaque profil de sécurité que vous
souhaitez activer. Dans cet exemple, la valeur par défaut a été
choisie pour les profils Antivirus, Protection contre les
vulnérabilités et Anti-espion.
Si aucun profil de sécurité n’a été précédemment défini, cliquez sur
la liste déroulante Type de profil, puis sélectionnez Profils. Une liste
d’options à sélectionner pour les profils de sécurité s’affiche
alors.
76
La section suivante décrit les étapes requises pour configurer un profil de filtrage des données qui détecte les
numéros de sécurité sociale et un modèle personnalisé identifié dans les documents .doc et .docx.
EXEMPLE DE CONFIGURATION DE FILTRAGE DES DONNÉES
Étape 1 Créez un profil de sécurité Filtrage des
données.
1.
Sélectionnez Objets > Profils de sécurité > Filtrage des
données, puis cliquez sur Ajouter.
2.
Saisissez un nom et une description pour le profil. Dans cet
exemple, le nom est DF_Profile1 et la description est Détecter
les numéros de sécurité sociale.
3.
(Facultatif) Si vous souhaitez collecter les données bloquées par
le filtre, cochez la case Capture de données.
Remarque Si vous utilisez la fonction de capture de données, vous
devez définir un mot de passe. Pour plus
d’informations, reportez-vous à l’étape suivante.
Étape 2 (Facultatif) Sécurisez l’accès aux journaux 1.
de filtrage des données pour empêcher
2.
d’autres administrateurs de consulter les
données confidentielles.
3.
Sélectionnez Périphérique > Configuration > Content-ID.
Dans la section Fonctions Content-ID, cliquez sur Gérer la
protection des données.
Définissez un mot de passe qui sera requis pour consulter les
journaux de filtrage des données.
Lorsque vous définissez cette option et que vous consultez les
journaux de filtrage des données dans Surveillance > Journaux >
Filtrage des données, une flèche verte indique le premier paquet qui
a déclenché le filtrage. Une capture de paquets est alors effectuée et
ne peut être consultée qu’en saisissant le mot de passe défini. Pour
consulter la capture de paquets, cliquez sur l’icône se trouvant dans
la première colonne de l’entrée de journal pour afficher la fenêtre
Détails des journaux. Dans la section Journaux associés au bas de
la page, recherchez le journal contenant la flèche verte, puis cliquez
sur la flèche verte. Vous serez invité à saisir le mot de passe.
Saisissez-le pour consulter la capture.
77
EXEMPLE DE CONFIGURATION DE FILTRAGE DES DONNÉES (SUITE)
Étape 3 Définissez le modèle de données qui sera utilisé dans le profil de filtrage des données. Dans cet exemple, le
mot-clé confidentiel est utilisé et l’option de recherche de numéros de sécurité sociale avec des tirets est définie
(exemple : 987-654-4320). Il est utile de définir les seuils appropriés et les mots-clés au sein des documents pour
réduire les faux positifs.
Suivez les étapes ci-dessous :
1.Cliquez sur Ajouter sur la page Profil de filtrage des données, puis cliquez sur Nouveau dans la liste déroulante
Modèle de données. Vous pouvez également configurer les modèles de données en sélectionnant Objets >
Signatures personnalisées > Modèles de données.
2. Pour cet exemple, nommez la signature du modèle de données Détecter les
numéros de sécurité sociales et ajoutez la description Modèle de données
pour détecter les numéros de sécurité sociale.
3. Dans la section Pondération, saisissez 3 pour SSN#. Reportez-vous à la
section « Valeurs de pondération et de seuil » à la page 67.
4. (Facultatif) Vous pouvez également définir des modèles personnalisés qui
seront soumis à ce profil. Dans ce cas, indiquez un modèle dans le champ
Regex des profils personnalisés, puis définissez une pondération. Vous pouvez
ajouter plusieurs expressions de correspondance à un même profil de modèle
de données. Dans cet exemple, créez un modèle personnalisé nommé
SSN_Custom avec un modèle personnalisé confidentiel (le modèle est
sensible à la casse) et utilisez une pondération de 20. Dans cet exemple, le terme
confidentiel est utilisé, car nous savons que nos documents Word de sécurité
sociale contiennent ce terme.
78
Étape 4 Indiquez les applications à filtrer et
définissez les types de fichiers.
Étape 5 Indiquez le sens du trafic à filtrer et les
valeurs de seuil.
1.
Définissez l’option Applications sur Aucun(e). Toute
application prise en charge sera détectée, par exemple, les
applications de navigation Web, FTP, SMTP, etc. Si vous
souhaitez vous limiter à une application, vous pouvez la
sélectionner dans la liste. Pour les applications qui utilisent SSL,
telles que Microsoft Outlook Web App, vous devez activer le
déchiffrement. Assurez-vous également de comprendre la
dénomination de chaque application. Par exemple,
Outlook Web App, qui est le nom Microsoft pour cette
application, est identifiée comme l’application outlook-web
dans la liste PAN-OS des applications. Vous pouvez vérifier les
journaux pour une application donnée afin d’identifier le nom
défini dans PAN-OS.
Reportez-vous à la section « Configuration du filtrage des
données » à la page 77.
2.
Définissez l’option Types de fichiers sur doc et docx. Seul
les fichiers .doc et .docx seront analysés.
1.
Définissez l’option Sens sur Les deux. Les fichiers chargés et
téléchargés seront analysés.
2.
Définissez l’option Seuil d’alerte sur 35. Dans ce cas, une
alerte est déclenchée lorsque 5 instances de numéros de
sécurité sociale et 1 instance du terme confidentiel sont
détectées. La formule est : 5 instances de numéros de
sécurité sociale x pondération de 3 = 15, plus 1 instance
du terme « confidentiel » x pondération de 20 = 35.
3.
Définissez l’option Seuil de blocage sur 50. Le fichier est
bloqué si le seuil de 50 instances de numéros de sécurité
sociale est atteint et/ou si le terme « confidentiel » se
trouve dans le fichier. Dans ce cas, si le document
contient 1 instance du mot confidentiel et une
pondération de 20, l’incrément de seuil est égal à 20 , et
s’il contient également 15 instances de numéros de
sécurité sociale et une pondération de 3, l’incrément de
seuil est égal à 45. Ajoutez 20 et 45 et vous obtenez 65,
une valeur qui dépasse le seuil de blocage de 50.
79
Étape 6 Associez le profil de filtrage des données 1.
à la règle de sécurité.
2.
Sélectionnez Politiques > Sécurité, puis la politique de sécurité
souhaitée.
Sélectionnez la règle de politique de sécurité souhaitée pour la
modifier, puis cliquez sur l’onglet Actions. Dans la liste
déroulante Filtrage des données, sélectionnez le nouveau
profil de filtrage des données que vous avez créé, puis cliquez
sur OK pour enregistrer les paramètres. Dans cet exemple, le
nom de la règle de filtrage des données est DF_Profile1.
Vous devez déjà disposer d’une règle de sécurité autorisant tout le
trafic sortant d’une zone approuvée vers une zone non approuvée et
bloque tout le trafic entrant de la zone non approuvée vers la zone
approuvée. Pour plus d’informations sur la configuration d’une
politique de sécurité de base, reportez-vous à la section « Création de
règles de sécurité » à la page 49.
80
Étape 8 Testez la configuration de filtrage des
données.
Lors du test, vous devez utiliser des numéros de sécurité sociale réels
et chaque numéro doit être unique. De plus, lorsque vous définissez
des modèles personnalisés, comme dans cet exemple avec le mot
confidentiel, n’oubliez pas qu’ils sont sensibles à la casse. Pour
simplifier votre test, vous pouvez d’abord tester un modèle de
données, puis les numéros de sécurité sociale.
1. Accédez à un ordinateur client dans la zone approuvée du
pare-feu et, à l’aide de HTTP, chargez un fichier .doc ou .docx
contenant des instances d’informations appropriées que vous
souhaitez filtrer.
2.
Créez un document Microsoft Word contenant une instance du
terme « confidentiel » et cinq numéros de sécurité sociale avec
des tirets.
3.
Chargez le fichier sur un site Web. Utilisez un site HTTP, à
moins que le déchiffrement ne soit configuré, auquel cas,
utilisez HTTPS.
4.
Accédez aux journaux de filtrage des données dans
Surveillance > Journaux > Filtrage des données.
5.
Vous devez voir une alerte dans les journaux de filtrage des
données pour le fichier chargé ; celle-ci spécifie la source de
votre ordinateur client et la destination du serveur Web. La
colonne Action du journal indique Réinitialiser les deux. Vous
pouvez alors augmenter le nombre de numéros de sécurité
sociale dans le document pour tester le seuil de blocage.
Si vous avez du mal à faire fonctionner le filtrage des données, vous
pouvez vérifier le journal de filtrage des données ou le journal de
trafic pour vérifier l’application avec laquelle vous procédez au test et
vous assurer que votre document de test contient le nombre
approprié d’instances de numéros de sécurité sociale uniques. Par
exemple, une application telle que Microsoft Outlook Web App peut
sembler être identifiée comme navigation Web, mais si consultez les
journaux, l’application est outlook-web. Augmentez également le
nombre de numéros de sécurité sociale ou votre modèle personnalisé
afin d’atteindre les seuils.
81
Configuration du blocage des fichiers
Cet exemple décrit les étapes de base requises pour configurer le blocage des fichiers. Dans cette configuration,
nous allons configurer les options requises pour inviter les utilisateurs à continuer avant de télécharger les
fichiers .exe des sites Web. Lors du test de cet exemple, veuillez noter que d’autres systèmes entre vous et la
source peuvent bloquer le contenu.
CONFIGURATION DU BLOCAGE DES FICHIERS
Étape 1 Créez le profil de blocage des fichiers.
Étape 2 Configurez les options de blocage des
fichiers.
1.
Sélectionnez Objets > Profils de sécurité > Blocage des
fichiers, puis cliquez sur Ajouter.
2.
Dans cet exemple, saisissez le nom Block_EXE et ajoutez la
description Bloquer le téléchargement des fichiers .exe sur
les sites Web.
1.
Cliquez sur Ajouter pour définir les paramètres du profil.
2.
Saisissez un nom, tel que BlockEXE.
3.
Dans cet exemple, définissez l’option Applications sur
Navigation Web.
4.
Définissez l’option Types de fichiers sur exe.
5.
Définissez l’option Sens sur Télécharger.
6.
Définissez l’option Action sur Continuer. Lorsque les
utilisateurs choisissent l’option Continuer, une page de réponse
s’affiche et les invite à cliquer sur Continuer avant que le fichier
ne soit téléchargé.
7.
Étape 3 Appliquez le profil de blocage des fichiers 1.
à une politique de sécurité.
Sélectionnez Politiques > Sécurité. Sélectionnez une politique
existante ou créez-en une nouvelle. Reportez-vous à la section
« Création de règles de sécurité » à la page 49.
2.
Sélectionnez la politique, puis cliquez sur l’onglet Actions.
3.
Dans la section Paramètres des profils, cliquez sur la liste
déroulante, puis sélectionnez le profil de blocage des fichiers
que vous avez configuré. Dans ce cas, le nom du profil est
Block_EXE.
Si aucun profil de sécurité n’a été précédemment défini, cliquez sur
la liste déroulante Type de profil, puis sélectionnez Profils. Une liste
d’options à sélectionner pour les profils de sécurité s’affiche alors.
82
CONFIGURATION DU BLOCAGE DES FICHIERS (SUITE)
Étape 5 Pour tester votre configuration de blocage des fichiers, accédez à un ordinateur client dans la zone approuvée
du pare-feu et tentez de téléchargez un fichier .exe sur un site Web se trouvant dans la zone non approuvée.
Une page de réponse s’affiche. Si vous cliquez sur Continuer, le fichier est téléchargé.
Exemple de page de réponse par défaut pour le blocage des fichiers :
Étape 6 Vous pouvez également définir des pages de réponse personnalisées que les utilisateurs verront lorsque l’action
Continuer est sélectionnée. Cela vous permet de fournir plus d’informations aux utilisateurs sur une page de
réponse. Vous pouvez inclure des informations telles que des informations relatives à la politique et des liens vers
les systèmes de tickets. Cette option se trouve dans Périphérique > Pages de réponse. Pour plus d’informations
sur la création et la gestion des pages de réponse, reportez-vous à la section Définition des pages de réponse
personnalisées du Guide de l’administrateur Palo Alto Networks. L’annexe A (Pages personnalisées) fournit le
code HTML de toutes les pages de réponse par défaut afin de vous aider à créer vos propres pages.
Remarque Lorsque vous créez un profil de blocage des fichiers à l’aide de l’action Continuer ou Continuer et transférer
(utilisée pour le transfert WildFire), vous pouvez uniquement choisir l’application Navigation Web. Si vous
choisissez une autre application, le trafic correspondant à la politique de sécurité ne traverse pas le pare-feu
car aucune page vous invitant à continuer ne s’affiche. De plus, si le site Web que vous testez utilise HTTPS,
vous devez disposez d’une politique de déchiffrement en place. Reportez-vous à la section « Configuration
du filtrage des données » à la page 77.
Vous pouvez vérifier vos journaux pour confirmer l’application utilisée lors du test de cette fonction. Par exemple, si vous
utilisez Microsoft Sharepoint pour télécharger les fichiers, même si vous utilisez un navigateur Web pour accéder au site,
l’application est en fait sharepoint-base ou sharepoint-document. Vous pouvez définir le type d’application sur
Indifférent pour le test.
83
Configuration de WildFire
Cet exemple décrit les étapes de base requises pour configurer WildFire et les différentes méthodes que vous
pouvez utiliser pour envoyer des fichiers au système WildFire pour analyse.
CONFIGURATION DE WILDFIRE
Étape 1 Confirmez que votre périphérique est
enregistré et que vous disposez d’un
compte de support valide.
1.
Accédez au site de support de Palo Alto Networks,
connectez-vous et cliquez sur Mes périphériques.
2.
Vérifiez que le pare-feu avec lequel vous travaillez se trouve dans
votre liste Mes périphériques. Si ce n’est pas le cas,
reportez-vous à la section « Enregistrement avec
Palo Alto Networks » à la page 11.
Étape 2 Configurez les options du
portail WildFire
1.
Sur le pare-feu, sélectionnez Périphérique > Configuration >
WildFire.
2.
Vous pouvez définir le serveur WildFire (seul le cloud par défaut
est actuellement pris en charge), la taille maximale du fichier
transféré et les informations de session qui apparaîtront dans les
journaux WildFire.
L’image suivante indique la configuration par défaut :
Remarque Vous pouvez consulter les journaux sur le
portail WildFire ; sinon les abonnés peuvent y accéder
sur le pare-feu en sélectionnant Surveillance >
Journaux > WildFire.
84
CONFIGURATION DE WILDFIRE (SUITE)
Étape 3 Commencez à charger des fichiers sur le
portail WildFire.
Si vous disposez d’identifiants de connexion pour pouvoir accéder au
site de support de Palo Alto Networks, vous pouvez envoyer des
fichiers à l’aide de l’une des méthodes suivantes :
Remarque La méthode recommandée pour charger des fichiers sur
le portail WildFire est un profil de blocage des fichiers.
• Profil de blocage des fichiers : pour permettre à un pare-feu de
•
•
transférer automatiquement les fichiers vers le système WildFire,
définissez un profil de blocage, tel que décrit dans la section
« Configuration du blocage des fichiers » à la page 82.
Sélectionnez Objets > Profils de sécurité > Blocage des fichiers,
puis créez un nouveau profil ou modifiez-en un existant. Dans la
colonne Actions , cliquez sur la liste déroulante, puis choisissez
Transférer ou Continuer et transférer. Lorsque l’une de ces
actions est indiquée, chaque type de fichier pris en charge est
transféré vers le système WildFire. Les types de fichiers pris en
charge incluent les fichiers Win32 PE (Portable Executable), p. ex.
exe, dll et scr. Lorsque vous choisissez les types de fichiers dans le
profil des objets, vous pouvez sélectionner PE pour prendre en
charge tous les types de fichiers Win32 PE.
Assurez-vous que votre profil de blocage des fichiers est associé à
une politique de sécurité, tel que décrit dans la section
« Configuration du blocage des fichiers » à la page 82.
Chargement manuel : sélectionnez Portail WildFire, puis
connectez-vous à votre compte de support Palo Alto Networks.
Cliquez sur le bouton Charger le fichier, puis sélectionnez le
fichier et cliquez sur Charger. Le fichier est alors analysé ;
vous pouvez consulter les résultats à partir de la liste des
périphériques. Pour voir une liste de fichiers qui ont été
chargés manuellement, cliquez sur Manuel.
API : la licence WildFire vous permet d’accéder à l’API WildFire,
qui offre un accès par programme au service WildFire dans le
cloud, à l’exclusion de son utilisation par les pare-feu Palo Alto
Networks. L’API WildFire peut être utilisée pour envoyer,
analyser et vérifier des rapports sur les fichiers envoyés au
système WildFire. Vous pouvez charger jusqu’à 100 fichiers par
jour et interroger le portail WildFire jusqu’à 1 000 fois par jour.
Reportez-vous à la Note technique sur l’API WildFire.
85
CONFIGURATION DE WILDFIRE (SUITE)
Étape 4 Configurez les paramètres du
portail WildFire
1.
Connectez-vous au portail WildFire, puis cliquez sur le lien
Paramètres se trouvant dans le coin supérieur droit de la page
du portail, à côté du nom de compte.
2.
Sur cette page, vous pouvez définir le fuseau horaire, supprimer
les journaux WildFire et définir des notifications par e-mail pour
les fichiers chargés manuellement, ou les fichiers envoyés par
chaque périphérique, en fonction de l’état des fichiers analysés
(malveillant ou bénin).
Étape 5 Vérifiez l’état des fichiers chargés. Si vous 1.
êtes un abonné WildFire, vous pouvez
2.
également vérifier les journaux WildFire
directement sur le pare-feu.
Vos périphériques enregistrés s’affichent sur le portail WildFire.
Cliquez sur un périphérique spécifique pour voir une liste des
fichiers chargés et les résultats de l’analyse, notamment les
fichiers infectés par des logiciels malveillants, bénins ou en
attente d’analyse.
Pour plus d’informations sur le portail WildFire et les autres options WildFire, reportez-vous au
chapitre WildFire du Guide de l’administrateur Palo Alto Networks. Pour obtenir un organigramme du processus
d’analyse WildFire, reportez-vous à la Note technique sur les flux décisionnels WildFire, et pour des informations
sur l’API, reportez-vous à la Note technique sur l’API WildFire.
86
Configuration du filtrage des URL
Cet exemple décrit les étapes requises pour configurer la fonction de filtrage des URL (PAN-DB) de
Palo Alto Networks. Vous pouvez également utiliser la base de données BrightCloud à la place. Cette option est
aussi abordée.
CONFIGURATION DU FILTRAGE DES URL PAN-DB
Étape 1 Confirmez les informations de licence
pour le filtrage des URL.
1.
Obtenez et installez une licence PAN-DB.
2.
Sélectionnez Périphérique > Licences, puis, dans la section
Filtrage des URL PAN-DB, vérifiez le champ Date
d’expiration de manière à vous assurer que la licence soit valide.
1.
Étape 2 Téléchargez la base de données initiale,
puis activez le filtrage des URL PAN-DB.
Sélectionnez Périphériques > Licences, puis, dans la section
Filtrage des URL PAN-DB, cliquez sur Télécharger en regard
de État du téléchargement.
Étape 3 Vous devez téléchargez la base de
données initiale avant de pouvoir activer
PAN-DB.
2.
Choisissez la zone appropriée pour votre emplacement, puis
cliquez sur OK pour commencer le téléchargement.
3.
Cliquez sur le lien Activer.
Remarque Si PAN-DB est déjà le fournisseur du filtrage des URL
et que vous cliquez sur Télécharger de nouveau, cela
réactive PAN-DB en effaçant les caches du panneau de
données et du panneau de gestion, et en les remplaçant
par les entrées de la base de données initiale. Vous
devez éviter cette action à moins que cela ne soit
nécessaire, car vous perdrez votre cache, qui est
personnalisé en fonction du trafic Web traversant votre
périphérique. Pour revenir à BrightCloud, si vous
disposez toujours d’une licence BrightCloud validez,
cliquez sur Activer dans la sectionFiltrage des
URL BrightCloud section. PAN-DB est alors supprimé
et BrightCloud devient le fournisseur actif du filtrage
des URL. Pour revenir à PAN-DB, vous devez
télécharger de nouveau la base de données initiale à
partir de la section Filtrage des URL PAN-DB, puis
cliquer sur Activer.
Vous ne devez pas procéder à la validation lorsque vous changez de
fournisseur d’URL.
87
CONFIGURATION DU FILTRAGE DES URL PAN-DB (SUITE)
Étape 4 Configurez un profil de filtrage des URL. 1.
Sélectionnez Objets > Profils de sécurité > Filtrage des URL,
puis cliquez sur Ajouter.
2.
Saisissez un nom et une description. Dans cet exemple, le nom
Block_Shopping et la description Bloquer les sites d’achat
sont utilisés.
3.
Pour l’option Action lors de l’expiration de la licence, laissez
la valeur par défaut (Autoriser). Si votre licence de filtrage des
URL expire, les sites d’achat seront autorisés. (BrightCloud
uniquement)
Étape 5 (Facultatif) Activez ou désactivez le
filtrage des URL dynamiques.
Si vous utilisez BrightCloud, vous pouvez activer ou désactiver le
filtrage des URL dynamiques. Lorsque cette option est activée, le
périphérique peut interroger la base de données des URL sur le
cloud.
Pour PAN-DB, cette option est activée par défaut et n’est pas
configurable.
1.
Étape 6 (Facultatif) Si vous définissez l’action
Remplacer pour une catégorie d’URL
2.
dans votre politique de filtrage des URL,
un message s’affiche lorsque l’utilisateur
accède à une URL de cette catégorie. Un
3.
administrateur peut saisir les informations
d’identification et l’utilisateur aura alors la
possibilité de consulter ce type de
catégorie pendant une durée définie.
4.
Étape 7 (Facultatif) Définissez une liste rouge et
une liste verte.
88
Sélectionnez Périphérique > Configuration > Content-ID.
Dans la section Contrôle prioritaire des URL par
l’administrateur, cliquez sur Ajouter pour configurer
mot de passe.
un
Vous pouvez utiliser la durée de remplacement par défaut
(15 minutes), ou vous pouvez définir une valeur personnalisée
dans le champ Délai de contrôle prioritaire des URL par
l’administrateur. Par exemple, si vous définissez une durée de
60 minutes, une fois que vous avez saisi les informations
d’identification, l’utilisateur peut accéder à n’importe quel site
pendant 60 minutes.
Lorsque vous définissez le mot de passe, vous pouvez choisir
Transparent ou Rediriger. Cette option détermine si la page de
blocage est distribuée de manière transparente (elle semble
provenir du site Web bloqué) ou si elle redirige l’utilisateur vers
le serveur spécifié. Si vous choisissez Rediriger, saisissez
l’adresse IP de redirection.
Pour la liste rouge, vous pouvez définir les actions suivantes :
• Bloquer : pour bloquer l’URL.
• Continuer : une page de réponse est présentée aux utilisateurs.
Si vous cliquez sur Continuer, la page Web s’ouvre. Vos pouvez
également personnaliser les pages de réponse.
• Alerte : une alerte est journalisée pour chaque site Web de la
catégorie définie.
Étape 8 Sélectionnez la catégorie.
Étape 9 Associez le profil à une politique de
sécurité.
1.
Dans la liste des catégories, recherchez Achat, puis cochez la
case.
2.
Dans la colonne Action, sélectionnez Bloquer, puis cliquez sur
OK pour enregistrer vos modifications.
1.
Sélectionnez Politiques > Sécurité.
2.
Sélectionnez la politique souhaitée pour la modifier, puis cliquez
sur l’onglet Actions.
3.
Dans la liste Paramètres des profils, cliquez sur la liste
déroulante en regard de l’option Filtrage des URL, puis
sélectionnez le nouveau profil que vous venez de créer. Dans cet
exemple, le nom du profil est Block_Shopping.
4.
Remarque Si aucun profil de sécurité n’a été précédemment défini,
cliquez sur la liste déroulante Type de profil, puis
sélectionnez Profils. Une liste d’options à
sélectionner pour les profils de sécurité s’affiche
alors.
89
Étape 11 Pour tester le filtrage des URL, accédez à un ordinateur client à partir de la zone où la politique de sécurité est
appliquée, puis tentez d’accéder au site Web d’achat. Dans cet exemple, la page de réponse de filtrage des URL
par défaut s’affiche. Exemple de page de réponse par défaut pour le filtrage des URL :
Étape 12 Vous pouvez également définir des pages de réponse personnalisées que les utilisateurs verront lorsque l’action
Continuer est sélectionnée. Cela vous permet de fournir plus d’informations aux utilisateurs sur une page de
réponse. Vous pouvez inclure des informations telles que des informations relatives à la politique et des liens
vers les systèmes de tickets. Cette option se trouve dans Périphérique > Pages de réponse. Pour plus
d’informations sur la création et la gestion des pages de réponse, reportez-vous à la section Définition des
pages de réponse personnalisées du Guide de l’administrateur Palo Alto Networks. L’annexe A (Pages
personnalisées) fournit le code HTML de toutes les pages de réponse par défaut afin de vous aider à créer vos
propres pages.
Pour plus d’informations sur le filtrage des URL PAN-DB, reportez-vous à la Note technique sur le filtrage des URL
(PAN-DB). Pour plus d’informations sur le filtrage des URL à l’aide de BrightCloud, reportez-vous à la Note
technique sur le processus et les éléments de catégorisation des URL.
90
4 Configuration de l’identification
utilisateur
L’identification utilisateur (ID utilisateur) est une fonction des pare-feux Palo Alto Networks de dernière
génération qui vous permet de créer des politiques et de générer des rapports en fonction des utilisateurs et des
groupes d’utilisateurs, au lieu des adresses IP. Les sections suivantes décrivent la fonction ID utilisateur de Palo
Alto Networks et fournissent des instructions sur le paramétrage de l’accès basé sur un utilisateur ou un groupe :

Présentation de l’identification utilisateur

Activation de l’identification utilisateur

Activation d’une politique basée sur l’utilisateur et le groupe

Vérification de la configuration de l’ID utilisateur
91
Configuration de l’identification utilisateur
L’ID utilisateur s’intègre parfaitement aux pare-feux Palo Alto Networks avec une large gamme d’offres de services
d’annuaire d’entreprise et de terminaux, vous permettant ainsi d’associer des activités et des politiques de sécurité à
des utilisateurs et à des groupes, et non seulement à des adresses IP. Les pare-feux Palo Alto Networks de dernière
génération prennent en charge les services professionnels suivants :
• Microsoft Active Directory
• LDAP
• Novell eDirectory
• Citrix Metaframe Presentation Server ou XenApp
• Microsoft Terminal Services
Pour pouvoir créer une politique en fonction d’un utilisateur ou d’un groupe, le pare-feu doit disposer de la liste de
tous les utilisateurs disponibles et de leurs mappages de groupe correspondants que vous pourrez ensuite sélectionner
lors de la définition de vos politiques. Il obtient ces informations en se connectant directement à votre serveur
d’annuaires LDAP. Pour pouvoir appliquer les politiques basées sur l’utilisateur et le groupe, le pare-feu doit être en
mesure de faire correspondre les adresses IP contenues dans les paquets qu’il reçoit avec des noms d’utilisateurs. Il
obtient ces informations, directement ou via un agent d’ID utilisateur installé sur un serveur Windows, en surveillant
les événements de connexion consignés dans les journaux d’événements Microsoft Exchange Server ou d’un
contrôleur de domaine, en surveillant les informations de connexion de Novell eDirectory ou en sondant directement
les systèmes clients. Les sections suivantes décrivent de manière plus détaillée ces fonctions de mappage de groupe et de
mappage d’utilisateur.
À propos du mappage de groupe
Pour définir des politiques de sécurité basées sur un utilisateur ou un groupe, le pare-feu doit récupérer la liste des
groupes et la liste des membres correspondante sur votre serveur d’annuaires. Pour activer cette fonctionnalité, vous
devez créer un profil de serveur LDAP qui indique au pare-feu comment se connecter et s’authentifier sur le serveur,
et comment rechercher les informations relatives à l’utilisateur et au groupe dans l’annuaire. Une fois la connexion au
serveur LDAP établie et la configuration de la fonctionnalité de mappage de groupe pour l’identification utilisateur
configurée, vous devez sélectionner les utilisateurs et groupes lors de la définition de vos politiques de sécurité. Le
pare-feu prend en charge divers serveurs d’annuaires LDAP, notamment Microsoft Active Directory (AD), Novell
eDirectory et Sun ONE Directory Server.
92
À propos du mappage d’utilisateur
La récupération des noms des utilisateurs et des groupes n’est qu’une seule pièce du puzzle. Le pare-feu doit
également connaître les adresses IP correspondant aux utilisateurs pour pouvoir appliquer les politiques de
sécurité de manière appropriée. Pour procéder à ce mappage d’utilisateur, vous devez configurer un agent d’ID
utilisateur, en installant le logiciel de l’agent sur un serveur Windows du domaine ou en activant l’agent natif sur
le pare-feu, afin d’obtenir les mappages selon l’une ou plusieurs des méthodes suivantes :
• Surveillance des événements de connexion dans les journaux d’événements de sécurité de vos serveurs
Microsoft Exchange Server, contrôleurs de domaine ou serveurs Novell eDirectory. Par exemple, dans un
environnement AD, l’agent surveille l’octroi ou le renouvellement de tickets Kerberos dans les journaux de
sécurité, l’accès au serveur Exchange (si configuré), ainsi que les connexions aux services de fichiers et
d’impressions (pour les serveurs surveillés). N’oubliez pas que, pour que ces événements soient enregistrés
dans le journal de sécurité, le domaine AD doit être configuré pour la consignation des événements de
connexion de compte.
• Dans un environnement Microsoft Windows, l’agent peut être configuré pour sonder les systèmes clients à
l’aide de WMI (Windows Management Instrumentation) ou de NetBIOS. Si la fonction de sondage est
activée, l’agent sonde régulièrement chaque adresse IP reconnue (toutes les 20 minutes par défaut ;
paramètre modifiable) pour vérifier que le même utilisateur est toujours connecté. De plus, lorsque le
pare-feu rencontre une adresse IP pour laquelle il ne dispose pas de mappage d’utilisateur, il envoie l’adresse
à l’agent pour sondage immédiat.
• Dans des environnements de systèmes multi-utilisateurs, Microsoft Terminal Server ou les environnements
Citrix par exemple, plusieurs utilisateurs partagent la même adresse IP. Dans ce cas, le processus de
mappage d’adresse utilisateur/IP doit connaître le port source de chaque client. Pour procéder à ce type de
mappage, vous devez installer l’agent Palo Alto Networks Terminal Services Agent sur le serveur de
terminaux Windows/Citrix afin de transmettre l’affectation des ports source aux divers processus
utilisateur.
• Pour les utilisateurs mobiles ou itinérants, le client GlobalProtect fournit directement les informations de
mappage d’utilisateur au pare-feu. Pour plus d’informations sur le paramétrage de GlobalProtect, consultez
le Chapitre 9 du Guide de l’administrateur Palo Alto Networks.
• Si le pare-feu ou l’agent d’ID utilisateur n’est pas en mesure de faire correspondre une adresse IP et un
utilisateur, si l’utilisateur n’est pas connecté ou s’il utilise un système d’exploitation tel que Linux non pris
en charge par vos serveurs de domaines par exemple, vous pouvez configurer le portail captif. Une fois
configuré, le trafic Web (HTTP ou HTTPS) correspondant à la politique de votre portail captif requiert une
authentification utilisateur, que ce soit de manière transparente via une demande NTLM (NT LAN
Manager) au navigateur, soit de manière active en redirigeant l’utilisateur vers un formulaire
d’authentification Web pour authentification par rapport à une base de données d’authentification
RADIUS, LDAP, Kerberos ou locale ou via une authentification de certificat client.
• Pour les autres types d’accès utilisateur ne pouvant pas être mappés à l’aide des méthodes de mappage
d’utilisateur standard ou du portail captif, pour ajouter des mappages d’utilisateurs se connectant depuis une
solution VPN tierce ou à un réseau sans fil 802.1x par exemple. Consultez le Guide d’utilisation de l’API
REST XML PAN-OS.
93
Le diagramme suivant illustre les différentes méthodes utilisées pour identifier des utilisateurs et des groupes
sur votre réseau :
Pour activer l’application d’une politique en fonction d’un utilisateur ou d’un groupe, vous devez effectuer les
tâches suivantes :

Mappage d’utilisateurs à des groupes

Mappage d’adresses IP à des utilisateurs

94
Mappage d’utilisateurs à des groupes
Procédez comme suit pour vous connecter à votre annuaire LDAP afin d’activer le pare-feu pour qu’il récupère
les informations de mappage utilisateur/groupe :
MAPPAGE D’UTILISATEURS À DES GROUPES
Étape 1 Créez un profil de serveur LDAP qui précise comment se connecter aux serveurs d’annuaires sur lesquels le
pare-feu récupérera les informations de mappage de groupe.
1. Sélectionnez Périphérique >
Profils de serveur > LDAP.
2. Cliquez sur Ajouter, puis saisissez
un Nom pour le profil.
3. (Facultatif) Sélectionnez le
système virtuel auquel ce profil
s’applique dans la liste déroulante
Emplacement.
4. Cliquez sur Ajouter pour ajouter
une nouvelle entrée de serveur
LDAP, puis saisissez un nom de
Serveur pour l’identifier (1 à
31 caractères) ainsi que l’Adresse
IP et le numéro de Port que le pare-feu utilisera pour se connecter au serveur LDAP (par défaut : 389 pour
LDAP ; 636 pour LDAP via SSL). Vous pouvez ajouter jusqu’à quatre serveurs LDAP au profil. Tous les
serveurs que vous ajoutez à un profil doivent toutefois être du même type. Pour disposer de la fonction de
redondance, vous devez ajouter deux serveurs minimum.
5. Saisissez le nom de Domaine LDAP pour l’ajout de tous les objets reconnus sur le serveur. La valeur saisie
dans ce champ dépend de votre déploiement :
- Si vous utilisez Active Directory, saisissez le nom de domaine NetBIOS ; il ne s’agit PAS d’un FQDN (par
exemple, saisissez acme, et non acme.com). Notez que si vous devez collecter des données de plusieurs
domaines, vous devez créer des profils de serveurs distincts. Bien que le nom de domaine puisse être
déterminé automatiquement, il convient de saisir, lorsque cela est possible, le nom de domaine.
- Si vous utilisez un serveur de catalogues global, ne renseignez pas ce champ.
6. Sélectionnez le Type de serveur LDAP auquel vous vous connectez. Les valeurs de mappage de groupe sont
automatiquement renseignées en fonction de votre sélection. Toutefois, si vous avez personnalisé votre
schéma LDAP, il est possible que vous deviez modifier les paramètres par défaut.
7. Dans le champ Base, indiquez le point auquel le pare-feu doit commencer sa recherche d’informations
relatives à l’utilisateur et au groupe dans l’arborescence LDAP.
8. Saisissez les informations d’identification d’authentification associées à l’arborescence LDAP dans les champs
Nom distinctif Bind, Mot de passe Bind et Confirmer le mot de passe Bind. Le nom distinctif de liaison
peut être au format UPN (User Principal Name)
(par exemple, [email protected]), ou un nom LDAP complet
(par exemple, cn=administrator,cn=users,dc=acme,dc=local).
9. Si le pare-feu doit communiquer avec le ou les serveurs LDAP via une connexion sécurisée, cochez la case
SSL. Si vous activez la fonction SSL, veillez à bien préciser également le numéro de port correspondant.
95
MAPPAGE D’UTILISATEURS À DES GROUPES (SUITE)
Étape 2 Ajoutez le profil de serveur LDAP à la configuration du mappage d’ID utilisateur, de groupe.
1. Sélectionnez Périphérique > Identification
utilisateur > Paramètres de mappage des
groupes, puis cliquez sur Ajouter.
2. Sélectionnez le Profil de serveur que vous
avez créé à l’Étape 1.
3. Vérifiez que la case Activé est cochée.
4. (Facultatif) Pour limiter les groupes affichés
dans une politique de sécurité, sélectionnez
l’onglet Liste d’inclusion de groupes, puis
parcourez l’arborescence LDAP pour
rechercher les groupes à utiliser dans la
politique. Pour chaque groupe à inclure,
sélectionnez-le dans la liste Groupes
disponibles, puis cliquez sur l’icône d’ajout
pour le déplacer dans la liste Groupes
inclus. Répétez cette étape pour chaque groupe à utiliser dans vos politiques.
5. Cliquez sur OK pour sauvegarder les paramètres.
Étape 3 Enregistrez la configuration.
Mappage d’adresses IP à des utilisateurs
Les tâches que vous devez effectuer pour mapper des adresses IP à des noms d’utilisateurs dépendent du type
et de l’emplacement des systèmes clients sur votre réseau. Effectuez autant des tâches suivantes que nécessaire
pour permettre le mappage de vos systèmes clients :

Pour mapper des clients connectés à vos serveurs Exchange, contrôleurs de domaine, serveurs eDirectory
ou clients Windows surveillés pouvant être sondés directement, consultez la section « Configuration du
mappage d’utilisateur à l’aide de l’agent d’ID utilisateur » à la page 97.

Si des utilisateurs de systèmes clients ne sont pas connectés à vos serveurs de domaines, des utilisateurs
exécutant des clients Linux ne se connectant pas au domaine par exemple, consultez la section « Mappage
d’adresses IP à des noms d’utilisateurs à l’aide du portail captif » à la page 99.

Si des clients exécutant des systèmes multi-utilisateurs tels que Microsoft Terminal Server, Citrix
Metaframe Presentation Server ou XenApp, consultez la section « Paramétrage de l’agent Terminal
Services » au Chapitre 7 du Guide de l’administrateur Palo Alto Networks pour obtenir des instructions sur
l’installation et la configuration de l’agent.

Pour les autres clients que vous ne pouvez pas mapper à l’aide des méthodes ci-dessus, utilisez l’API REST
XML pour ajouter directement des mappages d’utilisateurs au pare-feu. Consultez le Guide d’utilisation de
l’API REST XML PAN-OS pour obtenir des instructions.
96
Configuration du mappage d’utilisateur à l’aide de l’agent d’ID utilisateur
Dans la plupart des cas, la majorité des utilisateurs de votre réseau peuvent se connecter à vos services de
domaine surveillés. Pour ces utilisateurs, l’agent d’ID utilisateur de Palo Alto Networks fait correspondre
l’adresse IP avec l’utilisateur. La méthode selon laquelle vous configurez l’agent d’ID utilisateur dépend de la
taille de votre environnement et de l’emplacement de vos serveurs d’annuaires. Il convient de rechercher vos
agents d’ID utilisateur sur ou à proximité de vos serveurs surveillés, car la plupart du trafic de mappage
d’utilisateur se situe entre l’agent et le serveur surveillé et qu’une très faible proportion du trafic (le delta des
mappages d’adresses IP depuis la dernière mise à jour) se situe entre l’agent et le pare-feu.
Toutefois, dans les environnements de taille inférieure (en règle générale, et même si cela varie en fonction du
déploiement, vous devez utiliser les agents intégrés aux périphériques dans les environnements où vous
surveillez dix serveurs d’annuaires maximum), vous pouvez utiliser l’agent intégré au périphérique situé sur le
pare-feu sans installer de logiciel d’agent distinct sur les serveurs de votre réseau. De plus, si vous utilisez l’agent
intégré au périphérique, vous pouvez le configurer de sorte qu’il distribue les informations de mappage
d’utilisateur aux autres pare-feux. Pour plus de détails, consultez la section « Configuration d’un pare-feu pour
le partage des données de mappage d’utilisateur » au Chapitre 7 du Guide de l’administrateur Palo Alto Networks.
La procédure suivante décrit comment configurer l’agent intégré au périphérique pour la surveillance des
contrôleurs de domaine Active Directory. Pour obtenir des instructions sur l’installation et la configuration de
l’agent d’ID utilisateur autonome, consultez la section Installation et configuration initiales de l’agent d’ID
utilisateur.
MAPPAGE D’ADRESSES IP À DES UTILISATEURS
Étape 1 Créez un compte Active Directory pour
l’agent de pare-feu disposant des
autorisations nécessaires pour se
connecter à chaque service ou hôte que
vous souhaitez surveiller afin de collecter
des données de mappage d’utilisateur.
• Windows 2008 ou serveurs de domaines ultérieurs — Ajoutez
•
•
•
le compte au groupe Lecteurs des journaux d’événements. Si vous
utilisez l’agent d’ID utilisateur intégré au périphérique, le compte
doit également faire partie du groupe Utilisateurs COM distribués.
Serveurs de domaines Windows 2003 — Affectez les
autorisations de gestion des journaux d’audit et de sécurité via la
politique de groupe.
Sondage WMI — Vérifiez que le compte dispose de droits de
lecture sur l’espace de noms CIMV2 ; par défaut, les comptes
Administrateur de domaine incluent cette autorisation.
Authentification NTLM — Étant donné que le pare-feu doit
intégrer le domaine si vous utilisez l’authentification NTLM avec
un agent d’ID utilisateur intégré au périphérique, le compte
Windows que vous créez pour l’accès à NTLM doit disposer de
droits d’administration. Notez que, en raison des restrictions d’AD
sur les systèmes virtuels exécutés sur le même hôte, et si vous avez
configuré plusieurs systèmes virtuels, seul vsys1 peut rejoindre le
domaine.
97
MAPPAGE D’ADRESSES IP À DES UTILISATEURS (SUITE)
Étape 2 Définissez les serveurs que le pare-feu
doit surveiller pour collecter les
informations de mappage des adresses IP
aux utilisateurs. Vous pouvez définir des
entrées pour 100 serveurs Microsoft
Active Directory, Microsoft Exchange ou
Novell eDirectory maximum sur votre
réseau.
1.
2.
Sélectionnez Périphérique > Identification utilisateur >
Mappage d’utilisateur.
Dans la section Surveillance du serveur de l’écran, cliquez sur
Ajouter.
3.
Saisissez un Nom et une Adresse réseau pour le serveur.
4.
Sélectionnez le Type de serveur.
5.
Vérifiez que la case Activé est cochée, puis cliquez sur OK.
N’oubliez pas que, pour pouvoir collecter 6.
tous les mappages nécessaires, vous devez
vous connecter à tous les serveurs
auxquels vos utilisateurs se connectent
afin que le pare-feu puisse surveiller les
fichiers journaux de sécurité de tous les
serveurs contenant des événements de
connexion.
(Facultatif) Pour permettre au pare-feu de détecter
automatiquement les contrôleurs de domaine de votre réseau à
l’aide de recherches DNS, cliquez sur Détecter.
Remarque La fonction de détection automatique s’applique aux
contrôleurs de domaine uniquement ; vous devez
ajouter manuellement les serveurs Exchange et
eDirectory que vous souhaitez surveiller.
7.
(Facultatif) Pour définir la fréquence à laquelle le pare-feu
recherche des informations de mappage sur les serveurs
configurés, dans la section Configuration de l’agent d’ID
utilisateur Palo Alto Networks de l’écran, cliquez sur l’icône
Modifier , puis sélectionnez l’onglet Surveillance du
serveur. Modifiez la valeur du champ Fréquence de
surveillance du journal du serveur (secondes). Il convient
d’augmenter la valeur de ce champ à 5 secondes dans les
environnements contenant des liaisons DC antérieures ou à
latence élevée.
1.
Étape 3 Définissez les informations
d’identification de domaine du compte
utilisé par le pare-feu pour accéder aux
ressources Windows. Celles-ci sont
requises pour la surveillance des serveurs
Exchange et des contrôleurs de domaine,
ainsi que pour le sondage WMI.
Dans l’onglet Authentification WMI, saisissez le Nom
d’utilisateur et le Mot de passe du compte utilisé pour sonder
98
les clients et surveiller les serveurs. Saisissez le nom d’utilisateur
au format domaine\nom d’utilisateur.
MAPPAGE D’ADRESSES IP À DES UTILISATEURS (SUITE)
Étape 4 Définissez les informations
d’identification de domaine et activez
éventuellement le sondage WMI.
2.
Cochez la case Activer le sondage dans l’onglet Sondage du
client.
3.
(Facultatif) Si nécessaire, modifiez la valeur du champ Intervalle
de sondage pour qu’il soit suffisamment long pour permettre
le sondage de toutes les adresses IP reconnues.
Remarque L’agent intégré au périphérique ne
prend pas en charge le sondage
NetBIOS ; celui-ci n’est pris en charge 4.
que sur l’agent d’ID utilisateur
Windows uniquement.
Étape 5 Enregistrez la configuration.
Étape 6 (Facultatif) Définissez l’ensemble
d’utilisateurs dont vous ne souhaitez pas
procéder au mappage d’adresse IP/nom
d’utilisateur, les comptes de services ou
les comptes de kiosques par exemple.
Conseil
Vérifiez que le pare-feu Windows autorise le sondage du client
en ajoutant une exception d’administration à distance au
pare-feu Windows pour chaque client sondé.
1.
Cliquez sur OK pour sauvegarder les paramètres de
configuration de l’agent d’ID utilisateur.
2.
Cliquez sur Valider pour enregistrer la configuration.
1.
Ouvrez une session de CLI sur le pare-feu.
2.
Pour ajouter à la liste de comptes d’utilisateurs pour lesquels le
pare-feu ne doit pas procéder à un mappage, exécutez la
commande suivante :
set user-id-collector ignore-user
<valeur>
Vous pouvez également utiliser la liste
ignore-user pour identifier les
utilisateurs qui devront s’authentifier à
l’aide du portail captif.
où <valeur> correspond à la liste de comptes d’utilisateurs à
ignorer. Le nombre de comptes que vous pouvez ajouter à la
liste est illimité. Séparez les entrées par un espace et n’indiquez
pas le nom de domaine (nom d’utilisateur uniquement). Par
exemple :
set user-id-collector ignore-user SPAdmin SPInstall
TFSReport
Étape 7 Vérifiez la configuration.
3.
Validez vos modifications.
1.
À l’aide de la CLI, saisissez la commande suivante :
show user server-monitor state all
2.
Dans l’onglet Périphérique > Identification utilisateur >
Mappage d’utilisateur de l’interface Web, vérifiez que le
Statut de chaque serveur configuré pour la surveillance est
Connecté.
Mappage d’adresses IP à des noms d’utilisateurs à l’aide du portail captif
Si le pare-feu reçoit une requête d’une zone sur laquelle un ID d’utilisateur est activé et qu’aucune donnée
d’utilisateur n’est associée à l’adresse IP source, il recherche une correspondance dans sa politique du portail
captif afin de déterminer si une authentification est nécessaire. Ceci est utile dans les environnements où des
clients sont connectés à vos serveurs de domaines, des clients Linux par exemple. Cette méthode de mappage
d’utilisateur n’est déclenchée que pour le trafic Web (HTTP ou HTTPS) correspondant à une règle/politique de
sécurité, mais qui n’est pas mappé selon une autre méthode.
99
Méthodes d’authentification du portail captif
Le portail captif utilise les méthodes suivantes pour obtenir des données d’utilisateur du client lorsqu’une
requête correspond à une politique du portail captif :
Méthode d’authentification
Description
Authentification NTLM
Le pare-feu utilise un mécanisme de demande/réponse crypté pour obtenir les
informations d’identification de l’utilisateur via le navigateur. Lorsqu’il est configuré
de manière appropriée, le navigateur fournit de manière transparente les
informations d’identification au pare-feu sans demander à l’utilisateur, mais affiche
une invite si nécessaire. Si le navigateur ne parvient pas à exécuter NTLM ou en cas
d’échec de l’authentification NTLM, le pare-feu revient au formulaire Web ou à
l’authentification de certificat client, selon la configuration de votre portail captif.
Par défaut, IE prend en charge NTLM. Firefox et Chrome peuvent être configurés
pour l’utiliser. Vous ne pouvez pas utiliser NTLM pour authentifier des clients non
Windows.
Formulaire Web
Les requêtes sont redirigées vers un formulaire Web pour authentification.
Vous pouvez configurer le portail captif pour qu’il utilise une base de données
d’utilisateurs locale, RADIUS, LDAP ou Kerberos pour authentifier les utilisateurs.
Même si les utilisateurs sont toujours invités à fournir leurs informations
d’identification, cette méthode d’authentification est compatible avec tous les
navigateurs et systèmes d’exploitation.
Authentification du certificat du
client
Demande au navigateur de présenter un certificat client valide pour authentifier
l’utilisateur. Pour utiliser cette méthode, vous devez fournir les certifications client
à chaque système utilisateur et installer le certificat AC de confiance utilisé pour
générer ces certificats sur le pare-feu. Il s’agit de la seule méthode d’authentification
permettant une authentification transparente des clients Mac OS et Linux.
Modes du portail captif
Le mode du portail captif définit comment les requêtes Web sont sélectionnées pour authentification :
Mode
Description
Transparent
Le pare-feu intercepte le trafic du navigateur en fonction de la règle du
portail captif et remplace l’URL de destination d’origine en génération une
requête HTTP 401 de demande d’authentification. Toutefois, étant donné
que le pare-feu ne dispose pas du certificat de l’URL de destination, le
navigateur affiche une erreur de certificat aux utilisateurs qui tentent
d’accéder à un site sécurisé. Vous ne devez donc utiliser ce mode qu’en cas
de nécessité, dans des déploiements de couche 2 ou virtuels par exemple.
100
Mode
Description
Rediriger
Le pare-feu intercepte les sessions HTTP ou HTTPS inconnues et les
redirigent vers une interface de couche 3 du pare-feu à l’aide d’une
redirection HTTP 302 pour procéder à l’authentification. Il s’agit du mode
préféré car il offre meilleure expérience pour l’utilisateur final (pas d’erreur
de certificat). Il requiert cependant une configuration de couche 3
supplémentaire. Un autre avantage du mode Rediriger réside dans le fait
qu’il permet l’utilisation de cookies de session, permettant ainsi à l’utilisateur
de consulter des sites authentifiés sans nouveau mappage à chaque
expiration du délai. Ceci est particulièrement utile pour les utilisateurs
passant d’une adresse IP à une autre (du LAN d’entreprise au réseau sans fil
par exemple) car ils ne doivent pas nécessairement s’authentifier de nouveau
à chaque changement d’adresse IP tant que la session est ouverte. De plus,
si vous envisagez d’utiliser l’authentification NTLM, vous devez utiliser le
mode Rediriger car le navigateur ne fournit les informations d’identification
qu’aux sites de confiance.
101
Configuration du portail captif
La procédure suivante décrit comment configurer le portail captif à l’aide de l’agent d’ID utilisateur afin de
rediriger les requêtes correspondant à une règle du portail captif vers une interface de couche 3 du pare-feu.
Pour obtenir des instructions sur la configuration du portail captif à l’aide de l’agent Windows, consultez la
section « Paramétrage de l’agent d’ID utilisateur » au Chapitre 7, Configuration du pare-feu pour l’identification
utilisateur, du Guide de l’administrateur Palo Alto Networks.
Si vous envisagez d’utiliser le portail captif sans les autres fonctions d’ID utilisateur
(mappage d’utilisateur et mappage de groupe), vous n’avez pas besoin de configurer
un agent.
CONFIGURATION DU PORTAIL CAPTIF À L’AIDE DE L’AGENT D’ID UTILISATEUR LOCAL
Étape 1 Vérifiez que le pare-feu dispose d’une
route vers les serveurs qu’il surveillera
afin de collecter des données utilisateur
(vos contrôleurs de domaine ou serveurs
Exchange par exemple).
Dans cette version du produit, le pare-feu doit être en mesure de
communiquer avec les serveurs via l’interface MGT. Vous devez
donc vérifier que le réseau sur lequel se trouvent vos serveurs
d’annuaires est accessible depuis cette interface. Si cette
configuration n’est pas applicable dans votre environnement, vous
devez configurer le portail captif à l’aide de l’agent d’ID utilisateur
Windows.
Étape 2 Vérifiez que le DNS est configuré pour
résoudre vos adresses de contrôleur de
domaine.
Pour vérifier que la résolution fonctionne, envoyez une requête
ping au FQDN du serveur. Par exemple :
admin@PA-200> ping host dc1.acme.com
Étape 3 (Mode Rediriger uniquement) Créez une 1.
interface de couche 3 vers laquelle
rediriger les requêtes du portail captif.
Créez un profil de gestion pour permettre à l’interface d’afficher
les pages de réponse du portail captif :
a Sélectionnez Réseau > Gestion de l’interface, puis cliquez
sur Ajouter.
b Saisissez un Nom pour le profil, sélectionnez Pages de
réponse, puis cliquez sur OK.
102
2.
Créez l’interface de couche 3. Consultez la section
« Paramétrage des interfaces et des zones » à la page 43 pour
obtenir des instructions. Veillez à associer le profil de gestion
créé à l’Étape 1 (dans l’onglet Avancé > Autres informations
de la boîte de dialogue Interface Ethernet).
3.
Créez un enregistrement DNS « A » mappant l’adresse IP
configurée sur l’interface de couche 3 à un nom d’hôte (à savoir
un nom d’hôte sans point, ntlmhost par exemple).
CONFIGURATION DU PORTAIL CAPTIF À L’AIDE DE L’AGENT D’ID UTILISATEUR LOCAL (SUITE)
Étape 4 (Mode Rediriger uniquement) Pour
rediriger en toute transparence les
utilisateurs sans afficher d’erreur de
certificat, installez un certificat
correspondant à l’adresse IP de l’interface
vers laquelle vous redirigez les requêtes.
Vous pouvez générer un certificat
auto-signé ou importer un certificat signé
par une AC externe.
Pour utiliser un certificat auto-signé, vous devez tout d’abord créer
un certificat AC racine puis utiliser cette AC pour signer le certificat
que vous utiliserez pour le portail captif comme suit :
1. Pour créer un certificat AC racine, sélectionnez Périphérique >
Gestion des certificats > Certificats > Certificats de
périphérique, puis cliquez sur Générer. Saisissez un Nom du
certificat, RootCA par exemple. Ne sélectionnez pas de valeur
dans le champ Signé par (ceci indique qu’il est auto-signé).
Veillez à bien cocher la case Autorité de certification, puis
cliquez sur OK pour générer le certificat.
Remarque Les certificats importés peuvent ne
pas fonctionner lors du paramétrage 2.
initial du portail captif. Si vous
envisagez d’utiliser un certificat
importé, procédez à la configuration
initiale sans préciser de Certificat du
serveur. Lors de l’utilisation du
portail captif, appliquez le certificat
importé.
3.
Pour créer le certificat à utiliser pour le portail captif, cliquez sur
Générer. Saisissez un Nom du certificat, puis le nom DNS de
l’hôte intranet de l’interface en tant que Nom commun. Dans le
champ Signé par, sélectionnez l’AC créée à l’étape précédente.
Ajoutez un attribut d’adresse IP, puis précisez l’adresse IP de
l’interface de couche 3 vers laquelle les requêtes seront
redirigées. Cliquez sur OK pour générer le certificat.
Pour configurer des clients autorisant le certificat, sélectionnez
le certificat AC dans l’onglet Certificats de périphérique, puis
cliquez sur Exporter. Vous devez ensuite importer le certificat
en tant que AC racine de confiance dans tous les navigateurs
clients, en configurant manuellement le navigateur ou en
ajoutant le certificat aux racines de confiance d’un objet GPO
(Group Policy Object) d’Active Directory.
103
Étape 5 Paramétrez la méthode d’authentification à 1.
utiliser lorsque le formulaire Web est appelé.
Notez que, même si vous envisagez
d’utiliser NTLM, vous devez également
paramétrer une seconde méthode
d’authentification qui peut être utilisée en
cas d’échec de l’authentification NTLM ou
si l’agent utilisateur ne la prend pas en
charge.
Meilleures pratiques :
• Si vous utilisez RADIUS pour
•
104
authentifier les utilisateurs à partir du
formulaire Web, veillez à saisir un
domaine RADIUS. Il s’agira du
domaine par défaut si les utilisateurs
n’en fournissent pas lors de la
connexion.
Si vous utilisez AD pour authentifier
les utilisateurs à partir du formulaire
Web, veillez à saisir
sAMAccountName comme
LogonAttribute.
Configurez le pare-feu pour qu’il se connecte au service
d’authentification que vous envisagez d’utiliser afin qu’il puisse
accéder aux informations d’identification d’authentification.
- Si vous envisagez d’authentifier via LDAP, Kerberos ou
RADIUS, vous devez créer un profil de serveur qui indique au
pare-feu comment se connecter au service et accéder aux
informations d’identification d’authentification de vos
utilisateurs. Sélectionnez Périphérique > Profils de serveur,
puis ajoutez un nouveau profil pour le service auquel vous
accéderez. Consultez la section « Profils d’authentification » au
Chapitre 3, Gestion des périphériques, du Guide de l’administrateur
Palo Alto Networks.
- Si vous envisagez d’utiliser une authentification de base de
données locale, vous devez tout d’abord créer la base de données
locale. Sélectionnez Périphérique > Base de données des
utilisateurs locaux, puis ajoutez les utilisateurs et les groupes
à authentifier. Consultez la section « Création d’une base de
données d’utilisateurs locale » au Chapitre 3, Gestion des
périphériques, du Guide de l’administrateur Palo Alto Networks.
2.
Créez un profil d’authentification faisant référence au profil du
serveur ou à la base de données d’utilisateurs locale que vous
venez de créer. Sélectionnez Périphérique > Profil
d’authentification, puis ajoutez un nouveau profil à utiliser avec
le portail captif. Pour plus de détails sur la création d’un type de
profil d’authentication spécifique, consultez la section « Profils
d’authentification » au Chapitre 3, Gestion des périphériques, du
Guide de l’administrateur Palo Alto Networks.
Étape 6 (Facultatif) Paramétrez l’authentification du 1.
certificat du client. Notez que vous ne devez
pas nécessairement paramétrer un profil
2.
d’authentification et un profil de certificat
3.
du client pour activer le portail captif. Si
vous configurez les deux, l’utilisateur devra
s’authentifier selon les deux méthodes.
Remarque Pour plus de détails sur les autres
champs du profil du certificat, relatifs à
l’utilisation de CRL ou OCSP par
exemple, consultez la section « Profil du
certificat » au Chapitre 3, Gestion des
périphériques, du Guide de l’administrateur
Palo Alto Networks.
Générer des certificats pour chaque utilisateur qui s’authentifiera à
l’aide du portail captif.
Téléchargez le certificat AC au format Base64.
Importez le certificat AC racine à partir de l’AC ayant généré les
certificats clients sur le pare-feu :
a Sélectionnez Périphérique > Gestion des certificats >
Certificats > Certificats de périphérique, puis cliquez sur
Importer.
b Saisissez un Nom du certificat identifiant le certificat comme
étant votre certificat AC client.
c Accédez au Fichier du certificat que vous avez téléchargé de
l’AC.
d Sélectionnez Certificat codé en base-64 (PEM) comme
Format du fichier, puis cliquez sur OK.
e Sélectionnez le certificat que vous venez d’importer dans l’onglet
Certificats de périphérique pour l’ouvrir.
f Sélectionnez AC racine de confiance, puis cliquez sur OK.
4.
Créez le profil du certificat du client que vous utiliserez lors de la
configuration du portail captif.
a Sélectionnez Périphérique > Certificats > Gestion des
certificats > Profil du certificat, puis cliquez sur Ajouter
pour saisir un Nom de profil.
b Dans la liste déroulante Champ Username, sélectionnez le
champ du certificat contenant l’identité de l’utilisateur.
c Dans le champ Certificats de l’autorité de certification,
cliquez sur Ajouter, sélectionnez le certificat AC racine de
confiance que vous avez importé à l’Étape 3, puis cliquez
sur OK.
Étape 7 Activez l’authentification NTLM.
1.
Remarque Lorsque vous utilisez l’agent d’ID
utilisateur intégré au périphérique, le
pare-feu doit être en mesure de
2.
résoudre le nom DNS de votre
contrôle de domaine pour pouvoir
associer le pare-feu au domaine. Les 3.
informations d’identification fournies
ici seront utilisées pour associer le
pare-feu au domaine lors d’une
4.
résolution DNS.
Sélectionnez Périphérique > Identification utilisateur >
Mappage d’utilisateur, puis cliquez sur l’icône Modifier
dans la section Configuration de l’agent d’ID utilisateur Palo
Alto Networks de l’écran.
Dans l’onglet NTLM, cochez la case Activer le processus
d’authentification NTLM.
Saisissez le domaine NTLM dans lequel l’agent d’ID utilisateur
du pare-feu doit vérifier les informations d’identification
NTLM.
Saisissez le nom d’utilisateur et le mot de passe du compte
Active Directory que vous avez créé à l’Étape 1 dans la section
« Mappage d’adresses IP à des utilisateurs » à la page 97 pour
l’authentification NTLM.
105
Étape 8 Configurez les paramètres du portail captif.
1. Sélectionnez Périphérique > Identification
utilisateur > Paramètres du portail captif,
puis cliquez sur l’icône Modifier
de la
section Portail captif de l’écran.
2. Vérifiez que la case Activé est cochée.
3. Définissez le Mode. Cet exemple décrit
comment paramétrer le mode Rediriger.
4. (Mode Redirection uniquement)
Sélectionnez le Certificat du serveur utilisé
par le pare-feu pour rediriger les requêtes via
SSL. Il s’agit du certificat que vous avez créé
à l’Étape 4.
5. (Mode Rediriger uniquement) Précisez le champ Rediriger l’hôte, qui correspond au nom d’hôte intranet qui
résout en adresse IP de l’interface de couche 3 vers laquelle vous redirigez les requêtes, comme spécifié à
l’Étape 3.
6. Sélectionnez la méthode d’authentification à utiliser en cas d’échec de NTLM (ou, si vous n’utilisez pas
NTLM) :
- Si vous utilisez l’authentification LDAP, Kerberos, RADIUS ou d’une base de données locale, sélectionnez
le Profil d’authentification que vous avez créé à l’Étape 5.
- Si vous utilisez l’authentification du certificat du client, sélectionnez le Profil du certificat que vous avez
créé à l’Étape 6.
7. Cliquez sur OK pour sauvegarder vos paramètres.
8. Cliquez sur Valider pour enregistrer la configuration du portail captif.
106
Pour activer une politique de sécurité basée sur l’utilisateur et/ou le groupe, vous devez activer l’ID utilisateur
de chaque zone contenant les utilisateurs à identifier. Vous pouvez alors définir des politiques autorisant ou
interdisant le trafic en fonction du nom d’utilisateur ou de l’appartenance à un groupe. Vous pouvez également
créer des politiques du portail captif pour activer l’identification des adresses IP auxquelles aucune donnée
utilisateur n’est encore associée.
ACTIVATION D’UNE POLITIQUE BASÉE SUR L’UTILISATEUR ET LE GROUPE
Étape 1 Activez l’ID utilisateur des zones contenant les utilisateurs qui enverront des requêtes qui nécessitent des
contrôles d’accès basés sur l’utilisateur.
1.Sélectionnez Réseau > Zones.
2. Cliquez sur le Nom de la zone dans
laquelle vous souhaitez autoriser l’ID
utilisateur à ouvrir la boîte de dialogue.
3. Cochez la case Activer
l’identification des utilisateurs, puis
cliquez sur OK.
Étape 2 Créez des politiques de sécurité basées sur 1.
l’utilisateur et/ou le groupe.
Une fois l’ID utilisateur configuré, vous pouvez choisir un nom
d’utilisateur ou un nom de groupe lors de la définition de la
source ou de la destination d’une règle de sécurité :
a Sélectionnez Politiques > Sécurité, puis cliquez sur
Ajouter pour créer une nouvelle politique, ou cliquez sur un
nom de règle de politique existante pour ouvrir la boîte de
dialogue Règle de politique de sécurité.
b Sélectionnez l’onglet Utilisateur, puis cliquez sur le bouton
Ajouter dans la section Utilisateur source de la boîte de
dialogue pour afficher la liste des utilisateurs et des groupes
détectés par la fonction de mappage de groupe du pare-feu.
c Sélectionnez les utilisateurs et/ou les groupes à ajouter à la
politique.
2.
Configurez les autres éléments de la politique si nécessaire, puis
cliquez sur OK pour la sauvegarder. Pour plus de détails sur les
autres champs de la politique de sécurité, consultez la section
« Paramétrage des politiques de sécurité de base » à la page 49.
107
ACTIVATION D’UNE POLITIQUE BASÉE SUR L’UTILISATEUR ET LE GROUPE (SUITE)
Étape 3 Créez les politiques de votre portail captif.
1. Sélectionnez Politiques > Portail captif.
2. Cliquez sur Ajouter, puis saisissez un Nom pour la politique.
3. Définissez les critères de correspondance de la règle en renseignant les onglets Source, Destination et
Catégorie de service/URL comme souhaité pour la mise en correspondance du trafic à authentifier. Les
critères de correspondance dans ces onglets sont identiques à ceux définis lors de la création d’une politique
de sécurité. Consultez la section « Paramétrage des politiques de sécurité de base » à la page 49 pour plus de
détails.
4. Définissez l’Action à exécuter sur le trafic correspondant à la règle. Vous avez le choix entre les actions
suivantes :
- Aucun portail captif - Autorisez le passage de trafic sans présenter de page de portail captif pour
l’authentification.
- Formulaire Web - Présentez à l’utilisateur une page de portail captif lui permettant de saisir explicitement
ses informations d’authentification ou d’utiliser l’authentification du certificat du client.
- Défi de navigation - Ouvrez une requête d’authentification NTLM dans le navigateur Web de l’utilisateur.
Le navigateur Web répondra en fournissant les informations d’identification actuelles de l’utilisateur. Si
aucune information d’identification de connexion n’est disponible, l’utilisateur est invité à en fournir.
L’exemple suivant illustre une politique du portail captif demandant au pare-feu de présenter un formulaire
Web pour authentifier des utilisateurs inconnus qui envoient des requêtes HTTP d’une zone de confiance à
une zone non sécurisée.
Étape 4 Enregistrez les paramètres de votre
politique.
108
1.
Une fois l’identification utilisateur configurée et l’ID utilisateur activé dans vos politiques de sécurité et
politiques du portail captif, vous devez vérifier qu’ils fonctionnent de manière appropriée.
VÉRIFICATION DE LA CONFIGURATION DE L’ID UTILISATEUR
Étape 1 Vérifiez le bon fonctionnement du
mappage de groupe.
À l’aide de la CLI, saisissez la commande suivante :
Étape 2 Vérifiez le bon fonctionnement du
mappage d’utilisateur.
Si vous utilisez l’agent d’ID utilisateur intégré au périphérique, vous
pouvez le vérifier à l’aide de la CLI en exécutant la commande
suivante :
show user group-mapping statistics
show user ip-user-mapping-mp all
IP
Vsys
From
User
Timeout (sec)
-------------------------------------------------------------192.168.201.1
vsys1 UIA
acme\george
210
192.168.201.11
vsys1 UIA
acme\duane
210
192.168.201.50
vsys1 UIA
acme\betsy
210
192.168.201.10
vsys1 UIA
acme\administrator
210
acme\administrator
748
192.168.201.100 vsys1 AD
Total : 5 utilisateurs
* : sondage WMI réussi
Étape 3 Testez votre politique de sécurité.
• Sur une machine située dans la zone où l’ID utilisateur est activé,
•
tentez d’accéder à des sites et des applications pour tester les règles
définies dans votre politique et vérifier que le trafic est autorisé ou
refusé comme souhaité.
Vous pouvez également utiliser la commande test
security-policy-match pour déterminer si la politique est
correctement configurée. Par exemple, supposons que vous
disposez d’une règle interdisant à l’utilisateur duane de jouer à
World of Warcraft. Vous pouvez tester la politique comme suit :
test security-policy-match application
worldofwarcraft source-user acme\duane
source any destination any destination-port
any protocol 6
"deny worldofwarcraft" {
from corporate;
source any;
source-region any;
to internet;
destination any;
destination-region any;
user acme\duane;
category any;
application/service worldofwarcraft;
action deny;
terminal no;
}
109
VÉRIFICATION DE LA CONFIGURATION DE L’ID UTILISATEUR (SUITE)
Étape 4 Testez la configuration de votre portail
captif.
1.
Dans la même zone, accédez à une machine ne faisant pas partie
de votre annuaire, un système Mac OS par exemple, et tentez
d’exécuter une commande ping sur un système en dehors de la
zone. La commande ping doit fonctionner sans demander
d’authentification.
2.
Sur cette même machine, ouvrez un navigateur et accédez à un
site Web dans une zone de destination conforme à la politique
du portail captif que vous avez définie. Le formulaire Web du
portail captif doit s’afficher.
3.
Connectez-vous avec les informations d’identification
appropriées et vérifiez que vous êtes redirigé vers la page
demandée.
4.
Vous pouvez également tester votre politique du portail captif à
l’aide de la commande test cp-policy-match comme suit :
test cp-policy-match from corporate to internet
source 192.168.201.10 destination 8.8.8.8
Règle correspondante : ’captive portal’ action:
Formulaire Web
Étape 5 Vérifiez que les noms d’utilisateur sont consignés dans les fichiers journaux (Surveillance > Journaux)
110
VÉRIFICATION DE LA CONFIGURATION DE L’ID UTILISATEUR (SUITE)
Étape 6 Vérifiez que les noms d’utilisateur sont consignés dans les rapports (Surveillance > Rapports). Par exemple,
lorsque vous consultez le rapport des applications refusées, vous devez pouvoir consulter la liste des utilisateurs
ayant tenté d’accéder aux applications comme dans l’exemple suivant.
111
112
5 Paramétrage de la haute
disponibilité
La haute disponibilité (HD) est une configuration dans laquelle deux pare-feux sont placés dans un groupe afin
d’éviter tout point de défaillance unique sur votre réseau. Le paramétrage des pare-feux dans un cluster composé
de deux périphériques fournit une redondance et vous permet d’assurer la continuité de l’activité. Cette section
contient les rubriques suivantes :

Présentation de la HD

Configuration requise pour la HD active/passive

Configuration d’une paire active/passive

Vérification d’un basculement
113
Paramétrage de la haute disponibilité
Sur les pare-feux Palo Alto Networks, vous pouvez paramétrer deux périphériques en tant que paire HD. La HD
vous permet de minimiser les périodes d’indisponibilité en vous assurant qu’un périphérique alternatif est
disponible en cas d’échec du périphérique principal. Les périphériques utilisent des ports HD dédiés ou sur
bande sur le pare-feu afin de synchroniser des données (configurations de réseaux, d’objets et de politiques) et
de gérer des informations d’état. La configuration spécifique à un périphérique, comme l’adresse IP d’un port
de gestion ou des profils d’administrateurs, une configuration spécifique à la HD, des données de journaux, et
les informations du Centre de commande de l’application (ACC), n’est pas partagée entre les périphériques. Pour
obtenir une application consolidée et un aperçu du journal de la paire HD, vous devez utiliser Panorama, le
système de gestion centralisé de Palo Alto Networks.
Lorsqu’un échec se produit sur le périphérique actif et que le périphérique passif poursuit l’exécution de la tâche
de sécurisation du trafic, on parle alors de « basculement » pour cet événement. Les conditions déclenchant un
basculement sont :
• Échec d’une ou plusieurs des interfaces surveillées. (Surveillance des liaisons)
• Impossibilité d’atteindre une ou plusieurs des destinations spécifiées sur le périphérique. (Surveillance des
chemins)
• Pas de réponses du périphérique aux sondages des pulsations. (Sondage des pulsations)
Modes HD
Vous pouvez paramétrer des pare-feux pour la HD dans deux modes différents :
• Actif/Passif - Un périphérique gère activement le trafic pendant que l’autre est synchronisé et prêt à passer
à l’état actif en cas d’échec. Dans cette configuration, les deux périphériques partagent les mêmes
paramètres de configuration et un gère activement le trafic jusqu’à ce que l’échec d’un chemin, d’une liaison,
d’un système ou d’un réseau se produise. Lorsque le périphérique actif échoue, le périphérique passif prend
systématiquement le relais et applique les mêmes politiques pour gérer la sécurité du réseau. La HD
active/passive est prise en charge dans les modes Câble virtuel, Couche 2 et Couche 3. Pour plus
d’informations sur le paramétrage de vos périphériques dans une configuration active/passive, consultez la
rubrique Configuration d’une paire active/passive.
Les pare-feux PA-200 et VM-Series prennent en charge une version Lite de la HD
active/passive. La HD Lite assure la synchronisation de la configuration et la synchronisation
de données d’exécution, comme les associations de sécurité IPSec. Elle ne prend pas en charge
la synchronisation de session et, par conséquent, la HD Lite n’offre pas de basculement à
inspection d’état.
• Actif/Actif - Les deux périphériques d’une paire sont actifs, traitent le trafic et travaillent de façon
synchrone pour gérer le paramétrage et la propriété d’une session. Le déploiement actif/actif est pris en
charge dans les modes Câble virtuel et Couche 3 et est uniquement recommandé pour les réseaux dotés
d’un routage asymétrique. Pour plus d’informations sur le paramétrage de périphériques dans une
configuration active/active, consultez la Note technique sur la haute disponibilité active/active.
114
Liaisons HD et liaisons de secours
Les périphériques d’une paire HD utilisent des liaisons HD pour synchroniser des données et gérer des
informations d’état. Certains modèles de pare-feux disposent de ports HD dédiés, liaison de contrôle (HD1) et
liaison de données (HD2), alors que d’autres exigent que vous utilisiez des ports sur bande comme liaisons HD.
Sur les périphériques dotés de ports HD dédiés (HD1 et HD2) comme les pare-feux PA-3000 Series, PA-4000
Series et PA-5000 Series, les ports HD dédiés autorisent une connexion directe entre le panneau de gestion et
le panneau de données des deux périphériques HD. Utilisez ces ports dédiés pour gérer les communications et
la synchronisation entre les périphériques. Pour les périphériques ne disposant pas de ports HD dédiés, comme
les pare-feux PA-200, PA-500 et PA-2000 Series, utilisez le port de gestion pour la liaison HD1 afin d’autoriser
une connexion directe entre le panneau de gestion des périphériques et un port sur bande pour la liaison HD2.
• Liaison de contrôle : La liaison HD1 permet d’échanger des messages Hello, des pulsations et des
informations d’état HD, ainsi que des synchronisations de panneaux de gestion pour le routage et des
informations sur l’ID d’un utilisateur. Cette liaison permet également de synchroniser des modifications de
configuration apportées au périphérique actif ou passif avec son homologue. La liaison HD1 est une liaison
de couche 3 et exige une adresse IP. Elle utilise le port TCP 28 769 pour les communications en texte clair
ou le port 28 pour les communications cryptées (SSH sur TCP).
• Liaison de données : La liaison HD2 permet de synchroniser des sessions, des tables de transfert, des
associations de sécurité IPSec et des tables ARP entre des périphériques d’une paire HD. Le flux de données
de la liaison HD2 est toujours unidirectionnel (sauf pour la persistance HD2), du périphérique actif vers le
périphérique passif. La liaison HD2 est une liaison de couche 2 et utilise l’EtherType 0x7261 par défaut. La
liaison de données HD peut être configurée pour utiliser IP (numéro de protocole 99) ou UDP (port 29
281) comme protocole de transport et permet donc à la liaison de données HD d’étendre les sous-réseaux.
Remarque : Les déploiements actifs/actifs utilisent également une liaison HD3 pour le transfert de
paquets.
• Liaisons de secours : Fournissent une redondance pour les liaisons HD1 et HD2. Les ports sur bande
sont utilisés comme liaisons de secours pour HD1 et HD2. Tenez compte des directives suivantes lors de
la configuration de liaisons HD de secours :
–
Les adresses IP des liaisons HD principales et de secours ne doivent pas se chevaucher.
–
Les liaisons HD de secours doivent figurer sur un autre sous-réseau par rapport aux liaisons HD
principales.
– Les ports HD1 de secours et HD2 de secours doivent être configurés sur des ports physiques distincts.
Remarque : Palo Alto Networks recommande d’activer la sauvegarde des pulsations si vous utilisez un port
sur bande pour les liaisons HD1 ou HD1 de secours.
115
Priorité et préemption des périphériques
Les périphériques d’une paire HD peuvent être assignés à une valeur Priorité du périphérique afin d’indiquer une
préférence pour laquelle un périphérique doit assumer un rôle actif et gérer le trafic. Si vous devez utiliser un
périphérique spécifique dans la paire HD pour la sécurisation active du trafic, vous devez activer le comportement
préemptif sur les deux pare-feux et assigner une valeur de priorité pour chaque périphérique. Le périphérique affichant
la valeur numérique la plus basse et, par conséquent, la priorité la plus élevée, est désigné comme étant actif et gère
l’ensemble du trafic sur le réseau. L’autre périphérique est dans un état passif et synchronise les informations de
configuration et d’état avec le périphérique actif afin d’être prêt à passer en état actif en cas d’échec.
Par défaut, la préemption est désactivée sur les pare-feux et doit être activée sur les deux périphériques. Lorsqu’il est
activé, le comportement préemptif autorise le pare-feu affichant la priorité la plus élevée (valeur numérique la plus basse)
à reprendre en état actif après avoir récupéré d’un échec. En cas de préemption, l’événement est consigné dans les
journaux systèmes.
Déclencheurs de basculement
Lorsqu’un échec se produit sur le périphérique actif et que le périphérique passif poursuit l’exécution de la tâche de
sécurisation du trafic, on parle alors de « basculement » pour cet événement. Un basculement est déclenché lorsqu’une
mesure surveillée échoue sur le périphérique actif. Les mesures qui sont surveillées afin de détecter l’échec d’un
périphérique sont :
• Sondages des pulsations et messages Hello - Les pare-feux utilisent des messages Hello et les pulsations
pour vérifier que le périphérique homologue est réactif et opérationnel. Les messages Hello sont envoyés par un
homologue à un autre à un intervalle Hello configuré afin de vérifier l’état du périphérique. La pulsation est une
requête ping ICMP envoyée à l’homologue HD sur la liaison de contrôle et l’homologue y répond pour indiquer
que les périphériques sont connectés et réactifs. Par défaut, l’intervalle d’une pulsation est de 1 000 millisecondes.
• Surveillance des liaisons - Les interfaces physiques à surveiller sont regroupées dans un groupe de liaisons et
leur état (liaison active ou inactive) est surveillé. Un groupe de liaisons peut contenir une ou plusieurs interfaces
physiques. Un échec de périphérique est déclenché lorsqu’une ou l’ensemble des interfaces du groupe échouent.
Le comportement par défaut est que l’échec de n’importe quelle liaison du groupe de liaisons va faire basculer le
périphérique vers l’état HD « non fonctionnel » afin d’indiquer l’échec de la surveillance d’un objet.
• Surveillance des chemins - Surveille le chemin complet du réseau jusqu’aux adresses IP critiques d’une
mission. Les requêtes ping ICMP permettent de vérifier l’accessibilité d’une adresse IP. L’intervalle par défaut des
requêtes ping est de 200 ms. Une adresse IP est considérée inaccessible lorsque 10 requêtes ping consécutives
(valeur par défaut) échouent et l’échec d’un périphérique est déclenché lorsqu’une ou l’ensemble des adresses IP
surveillées deviennent inaccessibles. Le comportement par défaut est que n’importe quelle adresse IP devenant
inaccessible va faire basculer le périphérique vers l’état HD « non fonctionnel » afin d’indiquer l’échec de la
surveillance d’un objet.
Outre les déclencheurs de basculement mentionnés ci-dessus, un basculement se produit également lorsque
l’administrateur place le périphérique dans un état suspendu ou lorsqu’une préemption se produit.
Remarque : Sur les pare-feux PA-3000 Series et PA-5000 Series, un basculement peut se produire lors de l’échec
d’une vérification de l’état interne. Cette vérification n’est pas configurable et est activée afin de vérifier l’état
opérationnel de l’ensemble des composants du pare-feu.
116
Pour paramétrer la haute disponibilité sur vos pare-feux Palo Alto Networks, vous avez besoin d’une paire de
pare-feux répondant aux exigences suivantes :
• Modèle identique - Les deux périphériques de la paire doivent être du même modèle matériel ou du même
modèle de machine virtuelle.
• Version PAN-OS identique - Les deux périphériques doivent exécuter la même version PAN-OS et
doivent chacun être à jour dans les bases de données d’applications, d’URL et de menaces. Ils doivent
également disposer des mêmes fonctions de systèmes virtuels multiples (systèmes virtuels uniques ou
multiples).
• Types d’interfaces identiques - Des liaisons HD dédiées ou la combinaison d’un port de gestion à des
ports sur bande qui sont définis sur le type d’interface HD.
–
Déterminez l’adresse IP de la connexion HD1 (contrôle) entre la paire de périphériques. L’adresse IP
HD1 des deux homologues doit apparaître sur le même sous-réseau s’ils sont directement connectés
ou s’ils sont connectés au même commutateur.
Pour les périphériques ne disposant pas de ports HD dédiés, vous pouvez utiliser le port de gestion
pour la connexion de contrôle. L’utilisation de ce port fournit une liaison de communication directe
entre les panneaux de gestion sur les deux périphériques. Toutefois, étant donné que les ports de gestion
ne seront pas directement câblés entre les périphériques, vérifiez que vous disposez d’un itinéraire qui
connecte ces deux interfaces dans votre réseau.
–
Si vous utilisez la couche 3 comme méthode de transport pour la connexion HD2 (données),
déterminez l’adresse IP de la liaison HD2. Utilisez la couche 3 uniquement si la connexion HD2 doit
communiquer sur un réseau routé. Le sous-réseau IP des liaisons HD2 ne doit pas chevaucher sur celui
des liaisons HD1 ou sur aucun des autres sous-réseaux assignés aux ports de données sur le pare-feu.
–
Utilisez un câble inverseur pour connecter les ports HD si les périphériques sont directement
connectés. Si la connexion est paramétrée à l’aide d’un commutateur ou d’un routeur, utilisez un câble
droit.
• Ensemble de licences identiques - Les licences sont uniques dans chaque périphérique et ne peuvent pas
être partagées entre plusieurs périphériques. Par conséquent, vous devez attribuer des licences identiques
aux deux périphériques. Si ces derniers ne disposent pas d’un ensemble de licences identiques, ils ne peuvent
pas synchroniser les informations de configuration et gérer la parité pour un basculement transparent.
117
Directives de configuration
Pour paramétrer une paire active (HomologueA)/passive (HomologueB) en HD, vous devez configurer à
l’identique certaines options sur les deux périphériques et d’autres de façon indépendante (non
correspondantes) sur chaque périphérique. Ces paramètres HD ne sont pas synchronisés entre les périphériques.
Pour obtenir des instructions complémentaires concernant la configuration des périphériques en HD, consultez
la rubrique Configuration d’une paire active/passive.
Le tableau suivant répertorie les paramètres que vous devez configurer à l’identique sur les deux périphériques :
Paramètres de configuration identiques sur HomologueA et HomologueB
• La HD doit être activée sur les deux périphériques.
• Les deux périphériques doivent afficher la même valeur ID de groupe. La valeur ID de groupe permet de créer une
•
•
•
•
•
adresse MAC virtuelle pour l’ensemble des interfaces configurées. Le format de l’adresse MAC virtuelle est
00-1B-17:00: xx: yy où
00-1B-17 : ID du constructeur ; 00 : fixe ; xx : ID de groupe HD ; yy : ID de l’interface.
Lorsqu’un nouveau périphérique actif prend le relais, des ARP gratuits sont envoyés par chacune des interfaces
connectées du nouveau membre actif afin d’informer les commutateurs de couche 2 connectés du nouvel emplacement
de l’adresse MAC virtuelle.
Si des ports sur bande sont utilisés, les interfaces des liaisons HD1 et HD2 doivent être définies sur le type HD.
Le mode HD doit être défini sur actif/passif.
La préemption doit être activée sur les deux périphériques, le cas échéant. Toutefois, la valeur de la priorité du
périphérique ne doit pas être identique.
Le cryptage de la liaison HD1 (pour les communications entre des homologues HD) doit être configuré sur les deux
périphériques, le cas échéant.
Selon la combinaison des ports HD1 et HD1 de secours que vous utilisez, suivez les recommandations suivantes pour
déterminer si vous devez activer la sauvegarde des pulsations :
• HD1 : Port HD1 dédié
HD1 de secours : Port sur bande
Recommandation : Activer la sauvegarde des pulsations
• HD1 : Port HD1 dédié
HD1 de secours : Port de gestion
Recommandation : Ne pas activer la sauvegarde des pulsations
• HD1 : Port sur bande
Recommandation : Activer la sauvegarde des pulsations
• HD1 : Port de gestion
Recommandation : Ne pas activer la sauvegarde des pulsations
118
Le tableau suivant répertorie les paramètres que vous devez configurer indépendamment sur chaque
périphérique :
Paramètres de
configuration
indépendants
HomologueA
HomologueB
Liaison de contrôle
Adresse IP de la liaison HD1 configurée sur ce
périphérique (HomologueA).
Adresse IP de la liaison HD1 configurée
sur ce périphérique (HomologueB).
Pour les périphériques ne disposant pas de ports HD dédiés, utilisez l’adresse IP du port de
gestion de la liaison de contrôle.
Par défaut, la liaison HD2 utilise Ethernet/
Couche 2.
Par défaut, la liaison HD2 utilise
Ethernet/Couche 2.
Priorité du
périphérique
(obligatoire, à
condition que la
préemption soit
activée)
Le périphérique que vous prévoyez d’activer doit
afficher une valeur numérique inférieure à celle de
son homologue. Par conséquent, si HomologueA
doit fonctionner en tant que périphérique actif,
conservez la valeur 100 par défaut et augmentez la
valeur de HomologueB.
Si HomologueB est passif, définissez la
valeur de la priorité du périphérique sur un
nombre supérieur à celui de HomologueA.
Par exemple, définissez la valeur sur 110.
Surveillance des
liaisons - Surveillez une
ou plusieurs interfaces
physiques gérant le
trafic vital de ce
périphérique et
définissez la condition
d’échec.
Sélectionnez les interfaces physiques sur le
pare-feu que vous voulez surveiller et définissez la
condition d’échec (toutes ou n’importe laquelle)
pour déclencher un basculement.
Sélectionnez un ensemble d’interfaces
physiques similaires que vous voulez
surveiller sur ce pare-feu et définissez la
condition d’échec (toutes ou n’importe
laquelle) pour déclencher un basculement.
Surveillance des
chemins - Surveillez
une ou plusieurs
adresses IP de
destination que le
pare-feu peut utiliser
pour envoyer des
requêtes ping ICMP
afin de vérifier la
réactivité.
Définissez la condition d’échec (toutes ou
n’importe laquelle), l’intervalle des requêtes ping et
le nombre de requêtes ping. Ceci est
particulièrement utile pour surveiller la
disponibilité des autres périphériques réseaux
interconnectés. Par exemple, surveillez la
disponibilité d’un routeur qui se connecte à un
serveur, la connectivité au serveur même ou un
autre périphérique vital qui fait partie du flux du
trafic.
Sélectionnez un ensemble de périphériques
ou d’adresses IP de destination similaires
pouvant être surveillés afin de déterminer
le déclencheur de basculement pour
HomologueB. Définissez la condition
d’échec (toutes ou n’importe laquelle),
l’intervalle des requêtes ping et le nombre
de requêtes ping.
Liaison de données
Les informations de
Si une connexion de couche 3 est utilisée,
Si une connexion de couche 3 est utilisée,
liaison des données
configurez l’adresse IP de la liaison de données sur configurez l’adresse IP de la liaison de
sont synchronisées
données sur ce périphérique (HomologueB).
entre les périphériques ce périphérique (HomologueA).
une fois que la HD est
activée et la liaison de
contrôle est établie
entre les périphériques.
Vérifiez que le nœud/périphérique que vous
surveillez n’a pas tendance à être non réactif,
surtout lors de son chargement, car ceci pourrait
entraîner un échec de surveillance du chemin et
déclencher un basculement.
119
La procédure suivante explique comment configurer une paire de pare-feux dans un déploiement actif/passif
comme décrit dans l’exemple de topologie suivant.
CONNEXION ET CONFIGURATION DES PÉRIPHÉRIQUES
Étape 1 Connectez les ports HD afin de
paramétrer une connexion physique entre
des périphériques.
• Pour les périphériques dotés de ports HD dédiés, utilisez un câble
•
Ethernet pour connecter les ports HD1 dédiés et les ports HD2
sur la paire de périphériques. Utilisez un câble inverseur si les
périphériques sont directement connectés les uns aux autres.
Pour les périphériques ne disposant pas de ports HD dédiés,
sélectionnez deux interfaces de données pour la liaison HD2 et la
liaison HD1 de secours. Puis, utilisez un câble Ethernet pour
connecter ces interfaces HD sur bande aux deux périphériques.
Utilisez le port de gestion pour la liaison HD1 et vérifiez que les
ports de gestion peuvent se connecter les uns aux autres dans votre
réseau.
Sélectionnez un périphérique dans la paire et procédez comme suit :
1.
Étape 2 Activez une requête ping sur le port de
gestion. Son activation permet au port de
gestion d’échanger des informations sur
la sauvegarde des pulsations.
2.
120
Sélectionnez Périphérique > Paramétrage > Gestion, puis
cliquez sur l’icône Édition dans la section Paramètres de
l’interface de gestion affichée à l’écran.
Sélectionnez Ping en tant que service autorisé sur l’interface.
CONNEXION ET CONFIGURATION DES PÉRIPHÉRIQUES (SUITE)
Étape 3 Si le périphérique ne dispose pas de ports 1.
HD dédiés, paramétrez les ports de
2.
données pour qu’ils fonctionnent en tant
que ports HD.
3.
Pour les périphériques dotés de ports HD
dédiés, passez à l’étape 4.
4.
Étape 4 Paramétrez la connexion de la liaison de
contrôle.
Cet exemple montre un port sur bande
défini sur le type d’interface HD.
Confirmez que la liaison est active sur les ports que vous voulez
utiliser.
Sélectionnez l’interface et définissez le type d’interface sur HD.
Définissez les paramètres Vitesse de liaison et Duplex de la
liaison, selon le cas.
1.
Dans Périphérique > Haute disponibilité > Général, modifiez
la section Liaison de contrôle (HD1).
2.
Sélectionnez l’interface que vous avez câblée afin de l’utiliser en
tant que liaison HD1 dans le menu déroulant Port. Définissez
l’adresse IP et le masque réseau.
Saisissez une adresse IP de passerelle uniquement si les
interfaces HD1 se trouvent sur des sous-réseaux distincts.
N’ajoutez pas de passerelle si les périphériques sont directement
connectés.
1.
Exportez la clé HD d’un périphérique et importez-la dans le
périphérique homologue.
a Sélectionnez Périphérique > Gestion des certificats >
Pour les périphériques utilisant le port de
gestion en tant que liaison de contrôle, les
informations concernant l’adresse IP sont
automatiquement prérenseignées.
Étape 5 (Facultatif) Activez le cryptage de la
connexion de la liaison de contrôle.
Sélectionnez Réseau > Interfaces.
Il permet généralement de sécuriser la
liaison si les deux périphériques ne sont
pas directement connectés, c’est-à-dire
lorsque les ports sont connectés à un
commutateur ou à un routeur.
Certificats.
b Sélectionnez Exporter une clé HD. Sauvegardez la clé HD
dans un emplacement réseau auquel le périphérique
homologue peut accéder.
c Dans le périphérique homologue, allez dans Périphérique >
Gestion des certificats > Certificats et sélectionnez
Importer une clé HD pour accéder à l’emplacement dans
lequel vous avez sauvegardé la clé et l’importer dans le
périphérique homologue.
2.
Sélectionnez Périphérique > Haute disponibilité > Général,
modifiez la section Liaison de contrôle (HD1).
3.
Sélectionnez Cryptage activé.
121
Étape 6 Paramétrez la connexion de la liaison de
contrôle de secours.
1.
la section Liaison de contrôle (HD1 de secours).
2.
Sélectionnez l’interface HD1 de secours et définissez l’adresse
IP et le masque réseau.
Étape 7 Paramétrez la connexion de la liaison de 1.
données (HD2) et la connexion HD2 de
secours entre les périphériques.
2.
la section Liaison de données (HD2).
3.
Sélectionnez l’interface de la connexion de liaison de données.
Sélectionnez la méthode de Transport. La valeur par défaut est
Ethernet et sera utilisée lorsque la paire HD sera connectée
directement ou via un commutateur. Si vous devez acheminer le
trafic de la liaison de données via le réseau, sélectionnez IP ou
UDP comme mode de transport.
4.
Si vous utilisez IP ou UDP comme méthode de transport,
saisissez l’adresse IP et le masque réseau.
5.
Vérifiez que l’option Activer la synchronisation de la session
est sélectionnée.
6.
Sélectionnez Persistance HD2 pour activer la surveillance sur la
liaison de données HD2 entre les homologues HD. Si un échec
se produit en fonction du seuil défini (la valeur par défaut étant
10 000 ms), l’action définie va s’exécuter. Pour la configuration
active/passive, un message critique du journal système est
généré en cas d’échec de la persistance HD2.
Remarque Vous pouvez configurer l’option Persistance HD2 sur
les deux périphériques ou sur un seul périphérique de la
paire HD. Si l’option est uniquement activée sur un seul
périphérique, il sera le seul à envoyer des messages de
persistance. L’autre périphérique sera informé en cas
d’échec.
7.
122
Modifiez la section Liaison de données (HD2 de secours),
sélectionnez l’interface et ajoutez l’adresse IP et le masque
réseau.
1.
la section Paramètres de sélection.
2.
Sélectionnez Sauvegarde des pulsations.
La liaison de sauvegarde des pulsations permet de transmettre
des pulsations et des messages Hello redondants. Pour autoriser
la transmission des pulsations entre les périphériques, vous
devez vérifier que le port de gestion dans les deux homologues
peut acheminer les pulsations vers l’un comme vers l’autre.
Étape 9 Définissez la priorité des périphériques et 1.
activez la préemption.
la section Paramètres de sélection.
Étape 8 Activez la sauvegarde des pulsations si
votre liaison de contrôle utilise un port
HD dédié ou un port sur bande.
Vous n’avez pas besoin d’activer la
sauvegarde des pulsations si vous utilisez
le port de gestion pour la liaison de
contrôle.
2. Définissez la valeur numérique dans Priorité du périphérique.
Ce paramètre est uniquement requis si
Veillez à définir une valeur numérique inférieure sur le
vous voulez vous assurer qu’un
périphérique auquel vous voulez assigner une priorité
périphérique spécifique est le
supérieure.
périphérique actif favori. Pour obtenir des
informations, consultez la rubrique
Remarque Si les deux pare-feux affichent une valeur de priorité de
Priorité et préemption des périphériques.
périphérique identique, le pare-feu disposant de
l’adresse MAC la plus basse sur la liaison de contrôle
HD1 va devenir le périphérique actif.
3.
Étape 10 (Facultatif, uniquement configuré sur le
périphérique passif) Modifiez l’état de la
liaison des ports HD sur le périphérique
passif.
Remarque L’état de la liaison passive affiche
Arrêté, par défaut. Une fois la HD
activée, l’état de la liaison des ports
HD sur le périphérique actif
s’affichera en vert et ceux du
périphérique passif seront inactifs et
s’afficheront en rouge.
Sélectionnez Préemptif.
Vous devez activer l’option Préemptif sur le périphérique actif
et passif.
Le paramètre Auto de l’état de la liaison permet de réduire le délai
nécessaire au périphérique passif pour prendre le relais en cas de
basculement et vous permet de surveiller l’état de la liaison.
Pour activer l’état de la liaison sur le périphérique passif afin qu’elle
reste active et reflète l’état du câblage sur l’interface physique :
1. Dans Périphérique > Haute disponibilité > Général, modifiez
la section Paramètres actif/passif.
2.
Définissez État de la liaison passive sur Auto.
L’option Auto réduit le délai nécessaire au périphérique passif
pour prendre le relais en cas de basculement.
Remarque Bien que l’interface s’affiche en vert (câblée et active),
elle continue à supprimer tout trafic jusqu’à ce qu’un
basculement soit déclenché.
Lorsque vous modifiez l’état de la liaison passive,
vérifiez que les périphériques adjacents ne transfèrent
pas le trafic vers le pare-feu passif en se basant
uniquement sur l’état de la liaison d’un périphérique.
123
Étape 11 Activez la HD.
1.
la section Paramétrage.
2.
Sélectionnez Activer la HD.
3.
Définissez un ID de groupe. Cet ID identifie de manière unique
chaque paire HD sur votre réseau et vous devez absolument
disposer de plusieurs paires HD partageant le même domaine de
diffusion sur votre réseau.
4.
Définissez le mode sur Actif/passif.
5.
Sélectionnez Activer la synchronisation de la configuration.
Ce paramètre permet la synchronisation des paramètres de
configuration entre le périphérique actif et passif.
6.
Saisissez l’adresse IP affectée à la liaison de contrôle du
périphérique homologue dans Adresse IP de l’homologue HD1.
Pour les périphériques ne disposant pas de ports HD dédiés, si
l’homologue utilise le port de gestion pour la liaison HD1,
saisissez l’adresse IP du port de gestion de l’homologue.
7.
Étape 12 Sauvegardez les modifications
apportées à la configuration.
Saisissez l’Adresse IP HD1 de secours.
Étape 13 Suivez l’Étape 2 à Étape 12 pour l’autre
périphérique de la paire HD.
Étape 14 Une fois les deux périphériques
1.
configurés, vérifiez qu’ils sont appariés
en mode actif/passif HD.
2.
Sur le périphérique passif : L’état du
périphérique local doit afficher Passif et
la configuration est synchronisée.
124
Accédez au Tableau de bord sur les deux périphériques et
affichez le widget Haute disponibilité.
Vérifiez que les périphériques sont appariés et synchronisés
comme indiqué ci-dessous :
Sur le périphérique actif : L’état du périphérique local doit
afficher Actif et la configuration est synchronisée.
Définition des conditions de basculement
CONFIGURATION DES DÉCLENCHEURS DE BASCULEMENT
1.
Étape 1 Pour configurer la surveillance des
liaisons, définissez les interfaces que vous
voulez surveiller. Une modification de
2.
l’état des liaisons de ces interfaces va
3.
déclencher un basculement.
Sélectionnez Périphérique > Haute disponibilité >
Surveillance des liaisons et des chemins.
Dans la section Groupe de liaisons, cliquez sur Ajouter.
Donnez un nom au Groupe de liaisons, ajoutez les interfaces à
surveiller et sélectionnez la Condition d’échec du groupe. Le
groupe de liaisons que vous avez défini est ajouté à la section
Groupe de liaisons.
Étape 2 (Facultatif) Modifiez la condition d’échec 1.
des groupes de liaisons que vous avez
2.
configurés (dans l’étape précédente) sur le
périphérique.
Sélectionnez la section Surveillance des liaisons.
Définissez la Condition d’échec sur Toutes.
Le paramètre par défaut est Indifférent.
Par défaut, le périphérique va déclencher
un basculement lors de l’échec de la
surveillance d’une liaison.
1.
Étape 3 Pour configurer la surveillance des
chemins, définissez les adresses IP de
destination auxquelles le pare-feu doit
envoyer une requête ping pour vérifier la
connectivité du réseau.
2.
Dans la section Groupe de chemins de l’onglet Périphérique >
Haute disponibilité > Surveillance des liaisons et des
chemins, sélectionnez l’option Ajouter une option à votre
paramétrage : Câble virtuel, VLAN ou Routeur virtuel.
Sélectionnez l’élément approprié dans la liste déroulante pour le
Nom et Ajoutez les adresses IP (source et/ou de destination,
lorsque vous y êtes invité) que vous voulez surveiller. Puis,
sélectionnez la Condition d’échec du groupe. Le groupe de
chemins que vous avez définis est ajouté à la section Groupe de
chemins.
Étape 4 (Facultatif) Modifiez la condition d’échec Définissez la Condition d’échec sur Toutes.
de tous les groupes de chemins configurés Le paramètre par défaut est Indifférent.
sur le périphérique.
Par défaut, le périphérique va déclencher
un basculement lors de l’échec de la
surveillance d’un chemin.
Étape 5 Sauvegardez vos modifications.
125
Vérification d’un basculement
Pour tester le bon fonctionnement de votre configuration HD, déclenchez un basculement manuel et vérifiez
que les périphériques passent correctement d’un état à un autre.
VÉRIFICATION D’UN BASCULEMENT
Étape 1 Suspendez le périphérique actif.
Cliquez sur le lien Suspendre le périphérique local dans l’onglet
Périphérique > Haute disponibilité > Commandes
opérationnelles.
Étape 2 Vérifiez que le périphérique passif est
passé à l’état actif.
Sur le Tableau de bord, vérifiez que l’état du périphérique passif
passe sur Actif dans le widget Haute disponibilité.
Étape 3 Rétablissez l’état fonctionnel du
périphérique suspendu. Patientez
quelques minutes, puis vérifiez que la
préemption s’est produite, à condition
que le mode préemptif ait été activé.
1.
Sur le périphérique que vous avez précédemment suspendu,
sélectionnez le lien Rendre le périphérique local fonctionnel
dans l’onglet Périphérique > Haute disponibilité >
Commandes opérationnelles.
2.
Dans le widget Haute disponibilité du Tableau de bord,
confirmez que le périphérique a pris le relais en tant que
périphérique actif et que l’homologue affiche désormais un état
passif.
126

French

Transcription

Documents pareils

TD SISR1 TD parefeu/Topologie Réseau Date : 23.01.2012

Echec de la communication avec le serveur. Erreur DNS

Juillet 2008 O rdinateur ultra portable Pour accès nom ade à Internet

procédure pour changer sa signature dans lotus notes

Problème Synchronisation

Série VM - Palo Alto Networks

Comparer des documents à l`aide de la visionneuse en ligne

Tutoriel pour Free Video Dub Comment supprimer des parties

Mode d`emploi pour la configuration des chaînes pour TV Sony