WatchGuard – Newsletter Technique : Fireware 11.12 – Threat Detection & Response

Nov 19, 2016

Vous trouverez ci-dessous la nouvelle newsletter technique de chez Watchguard suite à la sortie aujourd’hui de la nouvelle version 11.12 qui apporte son lot de nouvelles fonctionnalités mais également avec l’entrée en version bêta de Threat Detection & Response (TDR).

Fireware 11.12

Cette nouvelle version offre les nouvelles fonctionnalités suivantes :

Service de GeoBlocking

  • Il est maintenant possible de bloquer les connexions en provenance ou à destination de certains pays.
  • Ce module est compris et activé de base dès lors que vous possédez une licence Reputation Enabled Defense (RED)
  • Par défaut, aucun pays n’est bloqué

    BOVPN Virtual Interface avec le support de Microsoft Azure et Cisco VTI

    • Il est maintenant possible de monter un tunnel IPsec vers Microsoft Azure et vers une terminaison Cisco VTI tout en utilisant une Virtual Interface pour mettre en place du routage dynamique.

    Threat Detection and Response

    • Cette fonctionnalité sera détaillée plus loin dans cet article

    Support de l’IPv6 dans les politiques de sécurité de type Proxy mais également au niveau des services

    Nouvelle configuration par défaut via Quick Setup Wizard

    • Lors d’un nouveau déploiement les politiques par défaut ont été changées et remplacées par des politiques de types Proxy avec les services de sécurité activés.
    • Dorénavant, nous avons un les proxies suivants :
      • FTP-Proxy :
        • Anti-Virus
        • Application Control
        • IPS
      • HTTP-Proxy :
        • Anti-Virus
        • WebBlocker : Catégories Security, Extended Protection, Proxy Avoidance et Parked Domain sont cochées et par conséquent bloquées
        • Application Control
        • IPS
      • HTTPS-Proxy :
        • WebBlocker
        • IPS
        • Application Control
    • Cluster Actif / Passif supporte les interfaces External de type DHCP
    • Il est maintenant possible de monter un FireCluster de type Actif / Passif lorsque l’interface External est en DHCP
      • Cluster Actif / Passif supporte les interfaces External de type DHCP
    • Il est maintenant possible de monter un FireCluster de type Actif / Passif lorsque l’interface External est en DHCP

    Autres Fonctionnalités

    • Gestion des AP sur les sites distants via un tunnel SSL
      • Les AP (100/102/200/300) déployées sur les sites distants peuvent être gérées via un tunnel SSL
    • La partie Hotspot supporte l’authentification externe basée sur une URL
    • Exception d’authentification Wifi
      • Il est possible d’ajouter des exceptions afin que certains clients wifi puissent accéder à Internet sans être authentifiés.

    Voici le lien pour télécharger le What’s New http://www.watchguard.com/help/docs/fireware/11/en-US/whats-new_Fireware_v11-12.pptx

    Threat Detection & Response (Beta)

    Le principe

    Threat Detection and Response est un service Cloud intégré avec votre Firebox Txx ou Mxxx ou XTMv permettant de minimiser les conséquences lors de l’exploitation de certaines failles présentes sur le réseau et les postes.

    Ce service offre à la fois la détection des événements de sécurité mais aussi la remédiation automatique.

    TDR collecte et corrèle les informations provenant à la fois du Firebox mais également des postes de travail sur lequel l’agent Host Sensor est déployé.

    Cette corrélation permet de définir des scores et en fonction de ces derniers, une remédiation adaptée est apportée.

     

    TDR comprend 3 composants :

    Threat Detection and Response Account

    TDR est un service cloud hébergé par WatchGuard. Le compte sur le portail Cloud permet quant à lui la collecte et l’analyse des informations reçues depuis le Firebox (ou XTMv) mais également depuis les agents (Host Sensor).

    Le paramétrage des politiques de sécurité et de remédiation se fait au travers de cette console.

    Firebox ou XTMv

    Il s’agit d’un Sensor réseau qui va envoyer les informations liées aux détections et aux blocages via les services de sécurité tels que APT Blocker, Anti-Virus, RED, WebBlocker, Application Control ou encore IPS.

    Host Sensor

    Il s’agit d’un agent installé sur le poste de travail ou le serveur qui va envoyer les informations à la console TDR dans le cloud.

    Les informations envoyées portent sur les fichiers modifiés, les processus, les connexions réseau ou encore les clés de registre.

     

    Il s’agit aujourd’hui d’un vrai virage technologique pris par WatchGuard comme cela a pu être le cas il y a quelques années avec l’ajout du module APT Blocker.

     

    Participer à la beta

    Si vous souhaitez participer à la beta pour tester la solution, ci-dessous les étapes à suivre :

    • Créer un compte sur le portail CenterCode

    https://watchguard.centercode.com

    • S’inscrire à la beta via le lien suivant

    https://watchguard.centercode.com/key/91c30df20ded42669ecef2e6b9f608d1

    • Suivre les étapes de déploiement décrites dans le document « Getting-Started_TDR » afin de configurer votre Firebox mais également l’accès au portail Cloud et le déploiement des Host Sensor

    Inscrivez-vous à notre newsletter !

    Votre inscription a bien été enregistré

    Share This