Déployer Dimension Derrière un Firebox
Pour ajouter une couche de sécurité supplémentaire à votre système Dimension, vous pouvez déployer votre instance de Dimension derrière un Firebox. Lorsque vous configurez les paramètres pour ce Firebox, assurez-vous que les configurations répondent à ces exigences :
- La configuration comprend une stratégie de proxy HTTP ou TCP-UDP qui surveille le trafic HTTP sortant. L'action de proxy HTTP pour cette stratégie de proxy doit autoriser les réponses HTTP qui ne comprennent pas le champ Type de Contenu dans l'en-tête de la réponse
- Si la stratégie de proxy HTTP ou TCP-UDP utilise une action de proxy HTTPS avec une action en profondeur activée pour contrôler le trafic HTTPS sortant, vous devez importer le Certificat d'autorité de certification utilisé pour signer le Certificat d'autorité de certification de l'Autorité de Proxy (utilisé par le proxy HTTPS proxy pour une inspection en profondeur) sur Dimension comme un Certificat d'autorité de certification approuvé. Ceci permet à Dimension de valider le certificat du serveur lorsqu'il effectue des connexions HTTPS sortantes. Si la validation échoue, Dimension abandonne la connexion.
- La configuration comprend une stratégie WG-Journalisation de manière à autoriser le trafic issu de l'interface externe vers une action NAT statique qui traduit l'adresse IP publique du Firebox vers l'adresse IP privée de Dimension.
Pour que les Fireboxes externes puissent envoyer des messages de journal à une instance de Dimension derrière un Firebox, ils doivent disposer d'une stratégie permettant les connexions entrantes sur le port TCP 4115, avec une action dynamique statique pour faire suivre ces connexions à Dimension.
Dimension doit régulièrement effectuer ces connexions HTTPS via Firebox :
- Envoie une requête à services.watchguard.com pour obtenir une paire de jetons APT uniques attribués pour rechercher des information sur le programme malveillant APT. Ceci se produit automatiquement une fois par jour sur les nouveaux déploiements jusqu'à ce que les informations soient correctement obtenues. La seule information envoyée à WatchGuard est l'UUID du système de Dimension.
- Envoie un rapport à WatchGuard sur l'instance de Dimension à l'adresse services.watchguard.com, si l'option Envoyer un rapport à WatchGuard est sélectionnée.
Pour plus d'informations, consultez Modifier les Informations du Système de Dimension. - Envoie un fichier de cliché justificatif à WatchGuard à l'adresse services.watchguard.com, si l'option Envoyer un rapport de diagnostic concernant Dimension à WatchGuard est sélectionnée.
Pour plus d'informations, consultez Exécuter des Tâches de Diagnostic sur Votre Système Dimension. - Récupère des informations concernant le programme malveillant APT sur analysis.lastline.com
Dimension étant basé sur une plateforme Ubuntu Linux et doit se connecter périodiquement à Ubuntu pour effectuer des mises à jour de son Système d'Exploitation pour corriger des problèmes de sécurité et de stabilité du système, vous devez ainsi vous assurer que Dimension puisse se connecter à Ubuntu. Pour obtenir les mises à jour nécessaires, Dimension doit pouvoir résoudre ces adresses via DNS :
- Archive.ubuntu.com
- Security.ubuntu.com
Dimension doit également effectuer des requêtes HTTP à ces adresses. Si vous utilisez des proxies dans votre configuration Firebox (par exemple, la stratégie HTTP-proxy), vous devez faire des exceptions pour autoriser Dimension à contacter des adresses Ubuntu.
Lorsque vous déployez votre instance de Dimension derrière un pare-feu (passerelle Firebox ou autre périphérique NAT), avant d'ajouter un Firebox à Dimension pour le gérer, vérifiez que le pare-feu est correctement paramétré pour effectuer un transfert de port vers Dimension, puis assurez-vous que votre instance de Dimension est configurée pour utiliser l'adresse IP du Pare-Feu dans les paramètres Accessibilité Publique. Si vous changez le port utilisé pour les connexions à Dimension, vous devez également vous assurer que le pare-feu qui protège Dimension inclut une règle de transfert de trafic du nouveau port vers le port 443. Pour plus d'informations sur la manière de configurer les Paramètres d'Accessibilité Publique pour Dimension, voir Configurer les Paramètres Généraux de Serveur.
Voir Également
Introduction à WatchGuard Dimension
Installer WatchGuard Dimension