Configurer une Stratégie de Pare-feu pour le Trafic TDR

Lorsque vous activez TDR sur votre Firebox, la configuration du Firebox doit inclure une stratégie visant à autoriser les Host Sensors de votre réseau à se connecter à votre compte TDR.

À propos du Modèle de Stratégie WG-TDR-Host-Sensor

Lorsque vous activez Threat Detection and Response sur Fireware v11.12.1 et les versions ultérieures, la stratégie WatchGuard Threat Detection and Response est automatiquement ajoutée à la configuration. Cette stratégie utilise le modèle de stratégie de filtrage de paquets WG-TDR-Host-Sensor, qui autorise le trafic TCP sur le port 443 issu de l'alias Tout-Approuvé vers les FDQN de toutes les régions TDR. Pour autoriser le trafic des Host Sensors sur les réseaux Facultatifs, vous pouvez modifier la stratégie en ajoutant l'alias Tout-Facultatif ou ajouter le nom d'une interface spécifique à la liste De.

Si votre Firebox exécute Fireware v11.12 ou une version antérieure, lorsque vous activez TDR dans Policy Manager ou Fireware Web UI, vous devez ajouter manuellement une stratégie visant à autoriser les connexions de votre réseau au FQDN de votre compte TDR.

Ajouter Manuellement une Stratégie pour Autoriser le Trafic du Host Sensor

Si votre Firebox exécute Fireware v11.12.1 ou une version ultérieure, ajoutez la stratégie de filtrage de paquets WG-TDR-Host-Sensor à votre configuration pour autoriser les connexions du Host Sensor issues du réseau approuvé. Cette stratégie est automatiquement ajoutée lorsque vous activez TDR sur le Firebox.

Si votre Firebox exécute Fireware v11.12, ajoutez manuellement une stratégie de filtrage de paquets HTTPS comprenant les paramètres suivants :

  • Les Connexions sont — Autorisées
  • De — Tout-Approuvé, Tout-Facultatif (ou l'emplacement d'installation de vos Host Sensors)
  • À — FQDNs tdr-hsc-na.watchguard.com , tdr-hsc-eu.watchguard.com, et tdr-hsc-ap.watchguard.com

Si vous souhaitez autoriser uniquement les connexions au FQDN de votre compte TDR, vous pouvez le retrouver dans TDR et l'ajouter à la stratégie de filtrage des paquets.

Pour trouver le FQDN de votre compte TDR dans WatchGuard Cloud :

  1. Se Connecter à TDR.
  2. Sélectionnez Surveiller> Threat Detection.
  3. Dans la section Périphériques/Utilisateurs, sélectionnez Hôtes.
    La page Hôte s'ouvre.
  4. Cliquez sur Télécharger le Host Sensor.
    La boîte de dialogue Télécharger le Host Sensor s'ouvre.
  5. Recherchez l'Adresse du Contrôleur. Celle-ci s'affiche au format FQDN:port.

  1. Copiez la valeur du FQDN. N'indiquez pas le numéro de port.
  1. Sélectionnez Pare-Feu > Stratégies de Pare-Feu.
  2. Cliquez sur Ajouter une Stratégie.
  3. Dans la liste déroulante Filtre de Paquets, sélectionnez HTTPS.
  4. Cliquez sur Ajouter une Stratégie.
    Les paramètres de la stratégie s'affichent.
  5. Dans la zone de texte Nom, saisissez un nom afin d'identifier cette stratégie.
    Saisissez par exemple HTTPS-TDR.
  6. Dans la section A, sélectionnez Tout-Externe et cliquez sur Supprimer.
  7. Dans la liste A, cliquez sur Ajouter.
  8. Dans la liste déroulante Type de Membre, sélectionnez FQDN.

Screen shot of the Add Member dialog box

  1. Dans la zone de texte, collez le FQDN que vous avez copié à partir de l'Adresse du Contrôleur du Host Sensor.
  2. Cliquez sur OK.
    Le FQDN est ajouté comme destination de la stratégie.

Capture d'écran de la stratégie HTTPS dans Fireware Web UI

  1. Cliquez sur Enregistrer.
  1. Ouvrez la configuration du Firebox dans Policy Manager.
  2. Sélectionnez Modifier > Ajouter une stratégie.
  3. Dans la liste déroulante Filtre de Paquets, sélectionnez HTTPS.
  4. Cliquez sur Ajouter.
  5. Dans la zone de texte Nom, saisissez un nom afin d'identifier cette stratégie.
    Saisissez par exemple HTTPS-TDR.
  6. Dans la section A, sélectionnez Tout-Externe et cliquez sur Supprimer.
  7. Dans la liste A, cliquez sur Ajouter.
  8. Cliquez sur Ajouter autre.
  9. Dans la liste déroulante Choisir le Type, sélectionnez FQDN.

Capture d'écran de la boîte de dialogue Ajouter un Membre avec le FQDN sélectionné

  1. Dans la zone de texte Valeur, collez le FQDN que vous avez copié à partir de l'Adresse du Contrôleur du Host Sensor.
  2. Cliquez sur OK à deux reprises.
    Le FQDN est ajouté comme destination de la stratégie.

Capture d'écran de la stratégie de filtrage de paquets HTTPS au FQDN TDR

  1. Cliquez sur OK.
  2. Enregistrez la configuration sur le Firebox.

Ajouter des FQDN pour l'Analyse de Bac à Sable TDR, AD Helper et les Données de Recherche

Il est parfois nécessaire d'ajouter d'autres FQDN comme destinations dans la stratégie WG-TDR-Host-Sensor ou une autre stratégie de filtrage de paquets HTTPS pour autoriser les Host Sensors et AD Helper à se connecter au nuage TDR.

Vous devez ajouter ces FQDN uniquement si votre Firebox possède une stratégie de proxy HTTPS dont ces options de validation du certificat sont activées dans les paramètres d'inspection de contenu :

  • Utiliser OCSP pour valider les certificats
  • Si un certificat ne peut être validé, il est considéré comme non valide

Dans Fireware 12.4 et les versions ultérieures, ces FQDN sont automatiquement ajoutés comme destinations à la stratégie WG-TDR-Host-Sensor qui est créée lorsque vous activez TDR. Dans les anciennes versions de Fireware, il est parfois nécessaire d'ajouter tdr-files-na.watchguard.com, tdr-files-eu.watchguard.com et tdr-files-ap.watchguard.com en tant que destinations.

Pour autoriser les Host Sensors TDR à exécuter l'action Envoi en Bac à Sable du Fichier, ajoutez ces FQDN comme destinations dans la stratégie WG-TDR-Host-Sensor :

tdr-frontline-na.watchguard.com

tdr-frontline-eu.watchguard.com

tdr-frontline-ap.watchguard.com

Pour autoriser AD Helper à se connecter au nuage TDR, ajoutez ces FQDN comme destinations dans la stratégie WG-TDR-Host-Sensor :

tdr-adhh-na.watchguard.com

tdr-adhh-eu.watchguard.com

tdr-adhh-ap.watchguard.com

Pour autoriser aux Host Sensors TDR d'envoyer des données utilisées par WatchGuard pour la recherche, ajoutez ce FQDN comme destination dans la stratégie WG-TDR-Host-Sensor :

tdr-rdp-na.watchguard.com

Activer les Stratégies de Proxy et les Services

Afin que TDR corrèle correctement les évènements réseau avec les évènements du Host Sensor, nous vous recommandons également d'activer les stratégies de proxy et les services sur le Firebox. Pour plus d'informations, consultez Configurer les Stratégies de Proxy pour TDR.

Voir Également

À propos des Régions du Compte TDR