16 avr. 2013

SmartCenter(4) - Smart Event



Smart Event

Dans smart évent vous avez plusieurs volets :

Events






                        










1 : ici vous avez l’arborescence des différentes requêtes possibles.
2 : Statistique en rapport avec le volet sélectionné dans l’arborescence (1).
3 : La liste de tous les événements concernant le volet sélectionné dans l’arborescence (1).
4 : Détails de l'événement sélectionné dans la liste des événements (3).

TimeLines :

TimeLines vous permet de visualiser graphiquement les requêtes les plus importantes des récents événements regroupés selon un intervalle de temps configuré. Les événements sont regroupés sous forme de graphique en fonction de l'heure sélectionnée.

Capture :















Charts :

Charts affiche, selon le volet sélectionné dans le menu droit, dans un format graphique les résultats de votre demande en les regroupant par différentes caractéristiques configurables (degrés de critique, type d’application, incidents, etc…).


1-Menu droit          2-Statistique Graphe       3- Degré de critique













Maps :

Dans l’onglet maps vous pouvez visualiser le degré des événements dans différents pays. Ces niveaux sont représentés par catégories et peut être associé à plusieurs villes.


1-Les Villes                 2-Catégories
















The end!

SmartCenter(3) - smartview monitor et smartview tracker


smartview monitor


Smartview Monitor apporte une surveillance en temps réel sur les réseaux, les VPNs et les utilisateurs d'un système informatique. Dans cette console, le menu de droite vous permet d’avoir une vue sur le statut des différentes passerelles, le trafic, l’historique du système, les tunnels, et les utilisateurs.

Gateways Status :
Dans cet onglet,vous avez les informations (nom, adresse IP, statut, consommation CPU) sur toutes les passerelles(les passerelles peuvent être liées au firewall ou au VPN).




















 
Trafic :                                                                                                                                                       Dans cet onglet, vous avez un menu de plusieurs vues (Top services, Top interfaces, etc…). En fonction de la vue sélectionnée Smartview Monitor vous donne un aperçue en temps réel du trafic en rapport avec cette vue.
Exemple sur Top interface :
Ici vous pouvez voir (capture) le trafic en entré (in) et sortie (out) des différentes interfaces.
















System Counters :
Ici vous retrouverez les informations concernant l’utilisation du système tel que le CPU utilisé, espace disque libre, mémoire virtuelle utilisée.
Cependant, vous avez plusieurs vue , les informations sont affichées selon la vue sélectionnée.





















Tunnels :
Un tunnel (VPN)  c’est une connexion cryptée entre deux passerelles.
Dans cette partie, smartview monitor affiche les informations (par exemple :le tunnel, statut du tunnel, la communauté et le type, les interfaces, adresse IP, etc..) concernant les tunnels selon la vue sélectionnée.





















Users : Ici vous avez accès aux informations (User Name, IP, Gateway, Client type, Operating System, Build Number, etc...) des différents utilisateurs.
Les informations sont toujours affiches selon l’option du menu choisi (All Users, Users by Name, Users by Gateway, etc..).
Exemple : All users














Smartview tracker
Dans Smartview tracker vous retrouverez tous les événements survenus dans le système. En effet, smartview tracker enregistre tous les informations sur les logs des clients, les activités du firewall, les connexions VPN, les alertes et tous événements en rapport avec le système.
Par exemple : Chaque entrée dans le volet All Records est un enregistrement d'un événement survenu dans le système informatique.














To be continued!










28 mars 2013

SmartCenter(2) - Smart Provisionning



Smart Provisionning

SmartProvisioning vous permet à partir de son interface de gérer plusieurs passerelles.

Présentation de l’interface SmartProvisioning (Overview):
















1-Arborescence du menu
2-Dans l’interface principale (System Overview) vous avez une vue d’ensemble du système.
Dans Configuration Summary,  vous retrouverez les informations sur la configuration du système. Devices Status montre l’état des différents équipements, dans Actions status vous retrouverez l’état d’avancement des actions.
3- Zone de notification, les notifications sont affiches selon que vous avez sélectionné Critical Notification ou Action Status.

Menu Profiles :
Dans cet espace vous avez la possibilité de gérer les différents profils.
Pour ce faire, vous allez dans Profiles→ puis double clic sur le profil souhaité.











Menu Devices :
Cet espace vous donne la possibilité de gérer les différentes passerelles. 
Pour ce faire, vous allez dans Devices --> puis double clic sur la passerelle choisie.












To be continued!

26 mars 2013

SmartCenter(1) - Smart Dashboard


Dans cette série je vous propose de faire le tour d'un ensemble de solutions  de la SmartCenter.

Qu'est-ce que la SmartCenter ?

SmartCenter  est une solution tout en un, regroupant des produits édités par Check Point (nom de l'entreprise). En effet, SmartCenter permet d’administrer par l’intermédiaire d’une seule console les produits Check Point tel que smartdashboard, smartview monitor, smartview tracker, smart event, smart provisionning, smart reporter, etc…
C'est un overview de ces différentes solutions que je vous propose.

Téléchargement et installation de SmartCenter
-Pour télécharger la Smartcenter vous devez vous rendre sur le site www.checkpoint.com. Une fois sur le site, créer un compte puis télécharger la version démo r75.20(dernière version pendant la réaliation du tuto) proposée.
-Apres téléchargement lancer l’utilitaire d’installation. Une fois l’installation terminée, lancer le module voulu (par exemple smartdashboard).Une fenêtre s’ouvre, renseigné l’adresse (vous pouvez définir le mode Local), nom d’utilisateur et mot de passe de votre serveur ; vous pouvez aussi cocher l’option Démo Mode.

                                            Cliquer sur OK

Smart Dashboard

SmartDashboard est l’interface qui permet aux administrateurs de définir de manière centralisée des politiques de sécurité et de VPN tel que le firewall, NAT (Network Adress translation), IPS (Intrusion Prevention System), les Filtrages, VPN, etc…
Lorsque vous êtes connecté sur votre serveur,vous avez alors l’interface de SmartDashboard qui apparaît.











Firewall

Dans le Firewall vous pouvez  définir les politiques de sécurité. En gros,vous allez bloquer ou autoriser des accès. 

Paramétrage du firewall

Dans le menu à droite, clic droit sur Check Point → Security Gateway/Management.
Dans la fenêtre qui s’ouvre choisissez Classic Mode.



Dans la fenêtre qui s’ouvre définissez un nom, l’adresse IP de l’hôte , et choisissez les différentes fonctionnalités
























La définition de la topologie permet de désigner quels sont les réseaux internes et les réseaux externes, ainsi vous pouvez éviter le spoofing d’adresse.
Menu Topology



Une fois le paramétrage fini vous pouvez:Créer un nouvel objet : il faut avoir l’IP de l’hôte.



              Créer un nouveau réseau : 
             


Vous pouvezajouter des Groups, des Zones de sécurité, etc...


Définition des  règles:




Mettre en œuvre la politique de filtrage (Onglet Firewall)
Pour créer une nouvelle règle, cliquez sur le menu Rules > Add Rule > choisissez la position (Bottom, Top, Bellow ou Above).

Mettre en œuvre la politique de translation d'adresses (Onglet NAT)
Pour créer une nouvelle règle, cliquez sur le menu Rules > Add Rule > choisissez la position (Bottom ou Top).

Intrusion Prevent System(IPS)

Un système de prévention d'intrusion, c’est tout simplement un système capable de détecter et prévenir (bloquer) certaines actions malveillantes connues ou non.
Dans l’onglet IPS du SmartDashboard, vous avez un menu à droite qui regroupe les différentes actions possibles pour l’IPS :
Menu Overview :





1-Dans cette partie vous avez un résumé d’informations sur les Gateways et les Profiles.
 IPS Mode --> le type d’action (prévenir ou détecter).
Activation --> défini la méthode d’activation des protections.
Gateways --> le nombre de passerelles en rapport avec le profile.

Pour modifier ces paramètres, faire un double clic sur le profile choisi.























3-Security Status vous donne un aperçu par intervalle de temps des différents évènements (préventions ou détections) traités par l' IPS. 












4-Security Center présente une liste des nouvelles vulnérabilités découvertes.























Le lien Open situé en dessous de chaque notifications vous renvoie vers un rapport  sur cette vulnérabilité.

Menu Enforcing Gateways :

Ici vous avez deux possibilités offertes pour gérer le trafic sur les passerelles. Utilisation de IPS Software Blade ou IPS-1 Sensor.

















Menu Protections : dans ce menu vous avez un ensemble de règles configurables qui est utilisé pour analyser le trafic du réseau et la protection contre les menaces.
















Pour voir les détails d’une règle, faire un double clic sur la règle.


















Il existe d’autres fonctionnalités telle que Profiles pour gérer les profiles, Download Updates pour les mises à jours, Follow Up pour suivre une protection ou encore Network Exceptions pour ajouter des exceptions.

Application Control and URL Filtering
Dans cet onglet vous avez un aperçu sur différentes applications et leurs utilisations faites par les employées.















1-My Organizetion : vous avez un aperçu des Gateways et le type de contrôle qui leur sont appliqués. En bas de la fenêtre vouspouvez aussi voir les règles (allow, Block) qui sont associées à cette interface.
2- Message And Action Items : Panneau des notifications sur les mises à jour, et les évènements survenus.
3-Detected in My Organisation : Ici vous avez une statistique sur les applications les plus utilisées, les sites les plus fréquentés et les catégories des Systèmes les plus utilisés.
4-Top User : Sur la base des sessions ou de la consommation de la bande passante, vous avez une statistique sur le top utilisateurs dans un intervalle de temps déterminé.


Anti-Spam & Mail
Dans cet onglet, vous avez  la possibilité :
- De filtrer les E-mails reçues sur la base de l’analyse du contenu des messages, des adresse IP des spammeurs connus, d’une liste d’adresse IP fournie (Fonctions anti-Spam).
- De filtrer les E-mails reçues pour la détection de malware (Fonctions Antivirus).

Mobile Access
Mobile Access est une solution à distance qui permet aux collaborateurs mobiles et distants de se connecter facilement et en toute sécurité à partir de n'importe quel endroit, avec n'importe quel dispositif Internet, aux ressources critiques tout en protégeant les réseaux et les ordinateurs d'extrémité contre les menaces de sécurités.















Dans le menu Mobile Access→ Overview (cf. capture), on peut voir un graphe(1) d’analyse en temps réel du nombre d’utilisateurs connectés à distance. On peut aussi voir(2) les différentes applications disponibles en accès à distance.

A suivre...



Securiser son ordinateur- part 2

Dans la première partie nous avons parlé de l'entretien de l'ordinateur, dans ce deuxième billet, nous allons attaquer le cœur du sujet qui est sécuriser son ordinateur.... let's begin.
  
Utiliser un antivirus
OK! utilisateur malgré nous du système d'exploitation Windows, le palmarès de choix pour un anti-virus est énorme(Norton antivirus, Kaspersky, Avast, Avira etc...).
Si vous êtes débutant, le paramétrage correcte peut ne pas être évident, alors  optez pour une solution aussi efficace que simple d'utilisation. Pour ce faire, nous allons étudiez ici l' antivirus Microsoft qui est le Microsoft Security Essentials. Le programme est disponible ici .

Focus sur la vidéo pour les détails( du téléchargement au paramétrage de MSE).



 Paramétrez votre Firewall (par-feu) Windows

Nous avons vue dans la précédente vidéo que MSE propose d'activer notre par-feu au cas où ce dernier ne pas activé par défaut.
Remarque: inutile de vous casser la tête à chercher de télécharger un logiciel firewall sur le net, pour une sécurité optimale le par-feu  Windows est Largement suffisant.





18 janv. 2013

AppArmor - Créer des profiles de sécurité pour vos applications

AppArmor qu'est-ce que c'est?


AppArmor est  une  application qui permet à l'administrateur système d'associer à chaque programme un profil de sécurité qui restreint ses accès au système d'exploitation. Il s'agit plus précisément d'un outil qui permet de verrouiller les applications en limitant  leurs accès aux seules ressources auxquelles elles ont droit sans perturber leur fonctionnement. Il  vient ainsi compléter  le modèle d'Unix de contrôle d'accès discrétionnaire (Discretionary access control) en permettant d'utiliser le contrôle d'accès obligatoire ( Mandatory access control).





Environnement

Dans ce tutoriel nous allons utiliser la distribution linux ubuntu 11.10.

Installation d'Apparmor

Dans Ubuntu comme dans plusieurs autres distributions AppArmor est chargé par défaut.

Aprés tout un apt-get s'impose:

Installation de apparmor-profiles :
 



Installation d’apparmor-utils :
 


Les différentes commandes

Dans AppArmor, pour restreindre l'accès à une application ou processus, il faut lui créer un profile. On retrouve deux types de profiles:

Le mode complain:

Le mode complain peut être considéré comme un mode passif, un mode de surveillance dans lequel AppArmor ne fera que consigner les violations en fonction des autorisations définies dans un profil, sans restreindre l’application.

Mettre un profile en mode complain

# aa-complain /chemin/vers/programme



Le mode enforce:

Ici, les violations sont aussi consignées mais l’application est activement restreinte et n’est autorisée à agir que dans le champ d’action défini par son profil. Ce mode est évidement plus intéressant.

Mettre un profile en mode enforce :

# aa-enforce /chemin/vers/programme



Créer un nouveau profile



Pour ce faire on va utiliser l'outil genprof (le man nous en dira plus).

Exemple: pour les illustrations on va utiliser l'application Thunderbird de Mozilla qui est intégrée dans ubuntu.

Dans la console lancée, on active le mode enforce pour le profile de Thunderbird
 


Là on voit que le profile est mis en mode enforce.
 
Les profiles...les profiles...c'est quoi?...ils sont ou?

En fait, le profile c'est juste un fichier qu'on peut édité pour y consigné les restrictions de l'application. Tous les profiles se trouve dans le répertoire /etc/apparmor.d/ selon un nommage bien défini.

Pour Thunderbird on trouve le nom usr.lib.thunderbirdXXX, la suite dépend de votre version.

 
Pour avoir plus de détails sur les profiles on peut utiliser la commande  
apparmor_status, elle nous permet de voir les applications/processus en mode complain ou enforce et leur statut.



désactiver/relancer un profile


Désactiver:




Dans ce cas on retrouve le profile dans le dossier disable qui se trouve dans /etc/apparmor.d/disable/ 

On a deux profiles désactivés Firefox et Thunderbird.


Relancer:





Gestion des profiles

Pour la gestion des profile on a l'outil logprof

Exemple:


Appuyez sur Entrée : Permet l'accès au chemin du répertoire sélectionné.

Autoriser : Permet l'accès aux entrées du chemin du répertoire spécifiées.              
AppArmor suggère l'autorisation d'accès du fichier.                                                            Refuser : Empêche le programme d'accéder aux entrées du chemin de répertoire spécifié. Novell AppArmor passe ensuite à l'événement suivant.

Nouveau : Vous invite à entrer votre propre règle pour cet événement et permet de spécifier la forme d'expression régulière que vous souhaitez. Si l'expression que vous entrez ne satisfait pas pleinement l'événement ayant occasionné la question, Novell AppArmor vous demande confirmation et vous laisse entrer de nouveau l'expression.

Glob : Lorsque vous cliquez sur cette option, le chemin du répertoire est modifié (à l'aide de caractères joker) pour inclure tous les fichiers du répertoire de l'entrée suggéré. Lorsque vous double-cliquez sur cette option, l'accès est accordé à tous les fichiers et sous-répertoires se trouvant au-dessous de celui qui est affiché.

Glob avec (E) xt : Cette option modifie le chemin de répertoire d'origine tout en conservant l'extension du nom de fichier. Par exemple, /etc/apache2/file.ext devient /etc/apache2/*.ext, en ajoutant le caractère joker (l'astérisque) à la place du nom de fichier. Cela permet au programme d'accéder à tous les fichiers du répertoire suggéré qui se terminent par l'extension .ext. Lorsque vous double-cliquez sur cette option, l'accès est accordé à tous les fichiers (ayant cette extension particulière) et sous-répertoires se trouvant au-dessous de celui qui est affiché.

Édition : Permet de modifier la ligne sélectionnée. La nouvelle ligne modifiée apparaît au bas de la liste.

Interrompre : Interrompt logprof en éliminant toutes les modifications de règle entrées jusque-là et sans modifier aucun des profils.

Terminer : Ferme logprof en enregistrant toutes les modifications de règle entrées jusque-là et en modifiant tous les profils.

Remarque :

Il existe une application pour la gestion des profile qui est YaST, cependant YaST est l'outil d'installation et de configuration pour les distributions openSUSE et SUSE Linux Enterprise. Il est populaire par sa simplicité, son interface graphique attractive et par la possibilité de paramétrer votre système rapidement pendant et après l'installation. YaST signifie Yet another Setup Tool. YaST peut être utilisé pour configurer votre système entier. Configuration materielle, configuration du réseau, services système et ajustement des paramètres de sécurité, toutes ces tâches peuvent être effectuées depuis le Centre de contrôle de YaST.

Introduction au DNS

Dans ce billet je vous propose de découvrir les bases du DNS. Le DNS, qu’est-ce que c’est ? DNS (Domaine Name System) est un ...