jeudi 24 janvier 2019
 

 

CYBEROAM : Une application de sécurité basée sur l’identité

par La rédaction - Test publié dans le magazine L'Informaticien le 01/10/2010 Article Rating
Cyberoam est une fi liale de la société d’origine indienne Elitecore Technologies qui développe principalement des appliances UTM. L’ajout de la gestion de l’identité des utilisateurs permet ainsi de fi ltrer les différents fl ux réseaux de façon plus poussée afi n de renforcer la sécurité globale. Fini les politiques de fi ltrage globales au niveau de l’entreprise, maintenant le pare feu est capable de gérer le profi l professionnel de chaque utilisateur.

Quand vous achetez un boîtier Cyberoam vous aurez de base les fonctions Firewall, VPN, SSL VPN, gestion de bande passante, gestion des liens multiples, reporting intégré, service antispam basique. En option vous trouverez les passerelles antivirus, antispam, le fi ltrage web et applicatif, le système de prévention des intrusions, et un support « 24/7 ».

cyberoam
Prise en main
Comme tout boîtier de ce type, la première chose à faire est de configurer la partie réseau (choix du mode Gateway ou Bridge), adresses IP pour accéder aux différents segments de votre infrastructure (LAN, WAN, DMZ, VLAN), ceci s’effectuant en lançant le seul assistant de configuration. Si vous optez pour l’installation en mode Bridge, vous vous privez d’un bon nombre des fonctions du boîtier, mieux vaut utiliser le mode Gateway pour en profiter pleinement. Vous pouvez le configurer par l’accès console ou au travers de l’interface web. Celle-ci permet de tout administrer. Une fois connecté, vous arriverez sur le tableau de bord qui récapitule les principaux paramètres à contrôler. Première action à entreprendre, modifier les règles par défaut qui autorisent tout. Vous pourrez ainsi avoir le temps nécessaire pour configurer le reste.
Étape suivante, utiliser l’authentification des utilisateurs en se raccordant à l’annuaire de l’entreprise (LDAP, AD, Radius). Afin de bien comprendre les possibilités offertes, il est fortement conseillé aux futurs administrateurs de la solution de se documenter sur le site de Cyberoam à travers la base de connaissance (KnowledgeBase, ou KB). Cette KB est un des seuls endroits où il est fort heureusement possible de trouver des procédures de configuration adaptées à ses besoins. Certaines informations utiles s’y trouvent pour mieux comprendre et configurer son intégration avec son annuaire. Il est ainsi possible de se connecter en mode SSO (Single Sign On, authentification unique) pour que, à chaque fois que l’on se connecte sur son poste client pour ouvrir une session de travail, on bénéficie en même temps des fonctions de sécurité configurées dans le Cyberoam.
Pour une meilleure gestion des utilisateurs de votre domaine, il est aussi recommandé de créer dans votre AD de nouveaux groupes qui seront spécifiquement utilisés par Cyberoam. Ceci pour une bonne raison : à chaque groupe on peut y associer des politiques de sécurité différentes, politiques qui peuvent ne pas être en adéquation avec votre gestion de groupes existante. Il existe toujours des utilisateurs dans un groupe (Commercial, Direction, Comptabilité, ...) qui nécessitent des droits d’accès différents. Les autres moyens sécurisés de se connecter sont d’utiliser le portail captif (SSL VPN) ou d’installer un outil client. Vous voici en mesure de faire connaissance avec les autres fonctions. Même si, avant, il faudra bien penser à s’enregistrer sur le site de Cyberoam pour pouvoir activer sa licence et utiliser toutes les options commandées.
Si votre entreprise n’utilise pas d’annuaire, vous aurez toujours le moyen d’utiliser une base de comptes locale au Cyberoam.
Pour ceux qui ont du mal avec l’anglais, il est possible de changer la langue de l’interface d’administration, vers le français, indiqué « French-Beta » – serait-ce une petite blague des développeurs ?

Fonctions
Le pare feu est certifi é ICSA et ajoute, comme déjà évoqué, une gestion de l’identité des utilisateurs. La haute disponibilité est possible entre boîtiers avec un système de routage dynamique.
• Le VPN intègre la prise en charge de l’IPSec, L2TP, PPTP, SSL VPN. Il possède aussi une fonction de bascule VPN. Autre avantage, le boîtier génère lui-même les fichiers nécessaires à la configuration de client IPSec et SSL VPN, ce qui simplifie grandement la mise en place de ces solutions qui rebutent habituellement pas mal de monde.
• La gestion de la bande passante est aussi améliorée, grâce à l’authentification de l’utilisateur, on peut maintenant définir des politiques pour chaque application critique ou utilisateur privilégié.
• Si vous possédez plusieurs liens d’accès vers un ou plusieurs FAI, vous aurez la possibilité de répartir vos différents flux selon vos besoins, en définissant soit une répartition de charge du type round robin et/ou de routage des utilisateurs et applications en fonction de politiques basées sur l’identité.
• En ce qui concerne l’outil de reporting, il est intégré au boîtier et utilise le disque dur intégré dans la plupart des boîtiers pour stocker et gérer l’information. L’accès au module de reporting se fait dans une fenêtre/onglet web indépendante de celle de la gestion du boîtier. Il est ainsi possible de générer des rapports personnalisés et automatisables. Vous pouvez savoir exactement qui fait quoi et en tirer des tendances. Là encore, l’analyse peut être plus ou moins poussée pour aller jusqu’au niveau de l’utilisateur afi n de connaître son utilisation du réseau, sur quels sites il se connecte, combien de données il télécharge, etc. Cela permet de s’adapter très rapidement et de se conformer aux règles et effectuer des rapports d’audit plus facilement. Vous exportez les rapports en format Excel ou PDF.

systeme_reporting-cyberoam
Cyberoam offre un bon système de reporting qui permet vraiment de tout contrôler.

• Enfin, parlons des fonctions qui s’occupent de filtrer les accès web et applicatif. Il est possible de filtrer l’accès à certains sites web, en utilisant soit des listes blanches et noires ou la gestion par Cyberoam de catégories de sites déjà répertoriés. Ce dernier moyen est très pratique car plus vous naviguez, plus vous enrichissez le système. Chaque URL inconnue du système peut être envoyée chez Cyberoam, à des fins d’analyse et de classement dans une catégorie. Plus vous surfez, plus vous améliorez le fi ltrage. Pour les applications, vous pouvez décider de bloquer tout ce qui est P2P, les anonymous proxy, Skype et consorts, certains protocoles Internet ou services réseau, le streaming de media, etc. Ce fi ltrage est bien sur applicable en fonction de l’identité.

Remarque
Attention, l’authentifi cation de l’utilisateur par la partie Firewall, ne doit pas être utilisé quand vous vous connectez à partir d’Internet. Comme l’utilisateur est associé à l’adresse IP qu’il utilise, une fois authentifié, un pirate pourrait récupérer votre adresse et l’utiliser pour accéder à votre réseau interne. Ce système d’authentification de l’utilisateur est uniquement prévu pour sécuriser votre LAN, ou alors en utilisant une connexion sécurisée par VPN.

cyberoam_avantages_inconvenients

En pratique
Mise en place d’un VPN PPTP

Beaucoup de travailleurs nomades utilisent ce moyen pour se connecter à leurs entreprises de manière sécurisée. L’avantage est de trouver sous Windows un client en standard pour se connecter. Mes premières tentatives ont échoué : pas moyen de trouver dans les documentations fournies avec le boîtier de réponses, et ce, même en téléchargeant à partir du site de Cyberoam un document destiné à toute la partie VPN ! En contactant le distributeur, on m’a conseillé de me connecter sur la KB du site, et là, en effet, une procédure est donnée. Et je comprends enfi n pourquoi j’avais des difficultés. Les boîtiers ne gèrent pas, pour le moment – un nouveau firmware arrive bientôt – les protocoles MS-CHAP et MS-CHAP2. Il suffi t donc de configurer le client PPTP en mode PAP ou CHAP. Je me suis donc demandé s’il n’existait pas un moyen plus pratique de se connecter à distance à son entreprise et me suis intéressé au SSL VPN.

Mise en place du portail web SSL VPN
parametrage_RDP
Paramètrage d'un accès à distance à un poste client en RDP.
 
Cette fois ci, je me suis directement connecté au site de la KB pour trouver la procédure de configuration. Seul bémol, la procédure porte sur un firmware en 9.x et non en 10, néanmoins cela reste facilement transposable.
Pour une première configuration, le document est le bienvenu, et une fois la logique assimilée, il n’y a pas de souci pour recommencer sans procédure sous les yeux. J’ai donc configuré la partie Certificat, puis les liens qui permettront à partir du portail de se connecter à un certain nombre de ressources, dont une application web interne et un accès à distance à un poste client en RDP. J’ai juste rencontré un problème, non pas avec Cyberoam, mais avec mon routeur, pour me permettre de transférer le port réseau à utiliser afin d’accéder au portail.

cyberoam
Il est recommandé de créer dans votre AD de nouveaux groupes
qui seront spécifiquement utilisés par Cyberoam.


Une fois résolu, tout fonctionne au mieux. Bien faire attention à partir d’un poste Windows 7 de démarrer son navigateur web en mode administrateur, afin de pouvoir ouvrir les liens en mode application, comme l’accès RDP. De plus, à partir de ce portail, en saisissant dans le champ URL une adresse internet, vous pouvez naviguer en toute sécurité à partir du réseau sur lequel vous vous connectez (Wifi à l’hôtel, cybercafé).

Conseil
Pour la première installation, mieux vaut passer par un prestataire qui puisse effectuer un transfert de compétences et indiquer où l’on peut trouver l’aide adéquate par la suite.


Précision
Dans le dernier numéro de L’Informaticien (n° 83, daté septembre 2010), l’article sur le produit Edenwall peut introduire une confusion entre le projet Open Source Nufirewall et le nom du produit d’Edenwall que nous avons testé, Edenwall Security Appliance.

Pour en savoir plus
Liens utiles:
www.cyberoam.com/fr
Distributeurs:
www.eliptec.com
www.hermitagesolutions.com/produits/cyberoam

Autres tests Tests 2010, Sécurité

/// Actuellement à la Une...
Google a dévoilé un calendrier relatif à la migration d’Hangouts vers Chat et Meet. Si les nouveaux services seront lancés en avril, Hangouts ne sera pas éliminé de G Suite avant octobre. Pour le grand public, Hangouts sera supporté jusqu’à une date ultérieure, mais sans doute pas si lointaine.

Quels sont les langages de programmation les plus utilisés par les développeurs et surtout quels sont ceux à « bûcher » pour trouver du travail et être bien payé ? Et, au contraire, quels langages sont en perte de vitesse et risquent d’être abandonnés à plus ou moins long terme ? C’est ce que nous allons voir dans ces lignes, non codées. Article paru dans L'Informaticien n°172.

Pour la deuxième fois en deux ans, l’éditeur fait l’objet d’une plainte du Department of Labor pour discrimination. Le gouvernement américain l’accuse de discriminer les hispaniques et les afro-américains à l’embauche, tout en sous-payant femmes et personnes de couleur.

La bataille des assistants vocaux fait toujours rage, mais bientôt sans Microsoft. L’éditeur semble avoir décidé de faire évoluer Cortana dans le sens d’un service complémentaire d’Office 365 intégré à ses anciens concurrents, Alexa et Google Home.

Si Microsoft 365 ne se destine pour l’heure qu’aux entreprises et au monde de l’éducation, une version grand public pourrait bientôt voir le jour.

L’entreprise toulousaine, après une intense expansion outre-Atlantique, ferait machine arrière. Elle aurait fermé ses bureaux à Boston et San Francisco, tandis que Christian Olivier, son président en charge des US, serait sur le départ.

Après la cyberdéfense, la cyberoffense. Florence Parly a présenté en fin de semaine dernière la toute nouvelle doctrine de lutte informatique offensive des forces armées françaises, qui seront dotées en 2025 de 4000 « cybercombattants ».

L’autorité russe en charge de l’information et des communications annonce avoir lancé des procédures administratives à l’encontre des deux entreprises. Celles-ci se voient reproché de ne pas avoir fourni suffisamment de précision quant à leur mise en conformité avec la loi russe sur l’hébergement des données. Sous peine de blocage ?

La 11ème édition du Forum International de la Cybersécurité vient de s’ouvrir à Lille sur son site habituel du Grand Palais. Le thème des débats de cette année, la sécurité et la confiance, les deux mamelles d’un Internet libre et ouvert.

Le compte à rebours a commencé, aussi bien pour le toujours très populaire Windows 7 que pour le nettement moins usité Win...

Toutes les News