Comment paramétrer RED 50

  • ID de l'article 118916
  • Mis à jour : 14 mai 2013

Le présent article décrit comment paramétrer RED 50.

Connu pour s'appliquer aux produits et aux versions Sophos suivantes

Sophos RED 50

Systèmes d'exploitation

Sophos UTM 9.100 ou version supérieure

 

Dans cet article

Informations sur RED 50

Cas de figure de déploiement

Comment paramétrer RED 50


Informations sur RED 50

  • Le moyen le plus facile et le plus économique d'établir une connexion sécurisée entre vos filiales
  • Boîtier de petite taille expédié aux employés sans expérience technique de votre succursale
  • Un simple branchement suffit et il paramètre automatiquement votre sécurité
  • Création d'une liaison sécurisée entre la succursale et le siège social
  • Transfert et filtrage du trafic provenant et émis par la succursale
  • Administration centralisée par Sophos UTM

Nouvelles fonctions :

  • Chiffrement : accélération matérielle
  • Bande passante : équilibrée
  • Sauvegarde : système redondant à basculement

Caractéristiques techniques :

  • Débit VPN : 360 Mbit/s
  • Ports WAN : 2x Gbit
  • Ports LAN : 4x Gbit
  • Ports USB : 2

Cas de figure de déploiement

Nom d'hôte UTM = Basculement

Liaison montante RED = Basculement

 

Le RED établit une connexion entre RED_WAN1 et UTM_WAN1.

 

 

Si UTM_WAN1 ne fonctionne plus : RED_WAN1 se connecte à UTM_WAN2

 

 

Si UTM_WAN1 et RED_WAN1 ne fonctionnent plus : RED_WAN2 se connecte à UTM_WAN2

 

 

 

 

Nom d'hôte UTM = Équilibrage

Liaison montante RED = Basculement


Le RED établit une connexion entre RED_WAN1 et UTM_WAN1 / UTM_WAN2

 

Si RED_WAN1 ne fonctionne plus : RED_WAN2 se connecte à UTM_WAN1 / UTM_WAN2

 

 

 

 

Nom d'hôte UTM = Basculement

Liaison montante RED = Équilibrage

 

Le RED établit une connexion entre RED_WAN1 / RED_WAN2 et UTM_WAN1

 

Si UTM_WAN1 ne fonctionne plus : RED_WAN1 / RED_WAN2 se connectent à UTM_WAN2

 

 

 

Nom d'hôte UTM = Équilibrage

Liaison montante RED = Équilibrage

Le RED établit une connexion entre RED_WAN1 / RED_WAN2 et UTM_WAN1 / UTM_WAN2


 

Remarque :

Si l'un des interfaces ne fonctionne plus, elle sera vérifiée jusqu'à ce qu'elle soit de nouveau opérationnelle. La connexion sera rétablie sur l'interface d'origine si elle est de nouveau disponible.

Ports utilisés par RED 50

Port TCP 3400 (contrôle des connexions à l'aide de SSL, authentification à l'aide de vérification mutuelle de certificats X509)

Port UDP 3410 (trafic encapsulé, AES256 (enc), SHA1-HMAC (auth)) 

Mises à niveau du firmware

Le RED met à niveau le firmware soit via le WAN soit via les connexions 3G/4G.

Le firmware est téléchargé à partir de l'UTM et non pas par l'intermédiaire d'un serveur d'approvisionnement (uniquement sur UTM v9.1 ou version supérieure). 

Comment paramétrer RED 50

Important : veuillez impérativement conserver le Code de déverrouillage qui est immédiatement envoyé à l'adresse indiquée dans l'onglet Paramètres généraux (lors de l'activation du RED) dès que l'appliance RED est enregistrée dans le RPS. Vous aurez besoin de ce code de déverrouillage pour utiliser l'appliance RED avec un autre UTM. Si vous n'avez pas ce code de déverrouillage, le seul moyen de déverrouiller l'appliance RED est de contacter le support de Sophos.

1. Dans Gestion de RED | [Serveur] Gestion des clients et cliquez sur 'Ajouter RED'. 
2. Lorsque la boîte de dialogue Ajouter RED s'ouvre, remplissez les champs comme indiqué ci-dessous : 
Interface Options de configuration

Nom de la succursale : saisissez le nom de la succursale où se trouve l'appliance RED (par exemple, le "Bureau de Lille".

Type de client : sélectionnez RED 10 ou RED 50 dans la liste déroulante selon le type d'appliance RED à laquelle vous souhaitez vous connecter.

N°ID du RED : saisissez le numéro d'ID de l'appliance RED que vous souhaitez configurer. Ce numéro d'ID se trouve soit au dos de l'appliance RED, soit sur son emballage.

ID de tunnel : ce champ est défini par défaut sur Automatique. Les tunnels sont numérotés en ordre croissant dans la liste. En cas de conflits entre les numéros d'ID, sélectionnez un autre numéro d'ID dans la liste déroulante.

Code de déverrouillage (facultatif) : au cours du premier déploiement d'une appliance RED, un code de déverrouillage est généré. Il s'agit d'une fonction de sécurité qui garantit qu'une appliance RED ne peut tout simplement pas être supprimée et installée à un autre emplacement. Si l'appliance RED que vous êtes en train de configurer a été déployée auparavant, son code de déverrouillage va vous être demandé. (Si vous n'avez pas ce code de déverrouillage, le seul moyen de déverrouiller l'appliance RED est de contacter le support de Sophos).

Nom d'hôte de l'UTM : saisissez une adresse IP publique ou un nom d'hôte sur lequel l'UTM est accessible.

Nom d'hôte du second UTM : saisissez une autre adresse IP publique ou le nom d'hôte du même UTM. Veuillez noter que vous n'êtes pas autorisé à saisir l'adresse IP ou le nom d'hôte d'un autre UTM.

Utiliser le second nom d'hôte pour : vous pouvez configurer la manière dont va être utilisé le second nom d'hôte :

Basculement : sélectionnez cette option pour utiliser uniquement le second nom d'hôte en cas de non fonctionnement du premier nom d'hôte.

Équilibrage : sélectionnez cette option pour activer l'équilibrage de charge dynamique entre les deux noms d'hôte. Utilisez cette fonction lorsque les interfaces externes auxquelles sont liées le 1er et le 2nd noms d'hôte ont un temps de réponse et un débit similaires.

Mode de liaison montante/2nd mode de liaison montante : vous pouvez définir la manière dont l'appliance RED reçoit une adresse IP. Soit via DHCP, soit en affectant directement une adresse IP statique. Définissez le mode de liaison montante séparément pour chaque port Ethernet en liaison montante sur un RED.

Client DHCP : le RED récupère une adresse IP à partir d'un serveur DHCP.

Adresse statique : saisissez une adresse IPv4, un masque de réseau correspondant, une passerelle par défaut et un serveur DNS. 

Remarque : il n'existe aucune association exclusive entre un nom d'hôte UTM et un port Ethernet en liaison montante sur un RED. Chaque port du RED va essayer de se connecter à chaque nom d'hôte UTM défini. 

Utiliser la seconde liaison montante pour : vous pouvez configurer la manière dont va être utilisée la seconde liaison montante : 

Basculement : sélectionnez cette option pour utiliser uniquement la seconde liaison montante en cas de non fonctionnement de la première liaison montante.

Équilibrage : sélectionnez cette option pour activer l'équilibrage de charge dynamique entre les deux noms d'hôte. Utilisez cette fonction lorsque les interfaces externes auxquelles sont liées le 1er et le 2nd noms d'hôte ont un temps de réponse et un débit similaires.

Mode de fonctionnement : vous pouvez définir la manière dont le réseau distant sera intégré à votre réseau local.

Standard/Unifié : l'UTM contrôle intégralement le trafic réseau du réseau distant. Par ailleurs, il agit en tant que serveur DHCP et en tant que passerelle par défaut. Tout le trafic réseau distant passe par l'UTM.
Standard/Séparé : l'UTM contrôle intégralement le trafic réseau du réseau distant. Par ailleurs, il agit en tant que serveur DHCP et en tant que passerelle par défaut. À la différence du mode Unifié, seule une partie du trafic passe par l'UTM. Définissez les réseaux locaux auxquels les clients à distance auront accès dans la boîte de dialogue Réseaux séparés qui s'ouvre en dessous.
Transparent/Séparé : l'UTM ne contrôle pas le trafic réseau du réseau distant. Il n'agit pas non plus comme un serveur DHCP, ni comme une passerelle par défaut. Par contre, il récupère une adresse IP à partir du serveur DHCP du réseau distant afin de faire partie de ce réseau. Vous pouvez, toutefois, autoriser l'accès à votre réseau local aux clients distants. Pour cela, dans Réseaux séparés, définissez les réseaux auxquels le réseau distant peut accéder. Vous pouvez également définir un ou plusieurs Domaines séparés accessibles. Si vos domaines locaux ne peuvent pas être résolus publiquement, vous devez définir un Serveur DNS séparé qui pourra être interrogé par les clients distants.

Retrouvez des exemples de modes de fonctionnement dans l'onglet Aide au déploiement.

Les paramètres avancés facultatifs suivants sont disponibles :

Type de filtrage MAC : (disponible à partir de la version 9.1 et supérieure d'UTM). Pour restreindre le nombre d'adresses MAC autorisées à se connecter à cette appliance RED, sélectionnez Liste de blocage ou Liste d'autorisation. 

La Liste de blocage vous permet de créer une liste de blocage dans le champ Adresses MAC (ci-dessous). Les adresses que vous saisissez dans ce champ seront interdites et toutes les autres adresses MAC seront autorisées. 

La Liste d'autorisation vous permet de créer une liste d'autorisation dans le champ Adresses MAC (ci-dessous). Les adresses que vous saisissez dans ce champ seront autorisées et toutes les autres adresses MAC seront interdites. 

Adresses MAC : (disponible à partir de la version 9.1 et supérieure d'UTM). Ce champ est uniquement affiché si vous avez sélectionné soit la Liste d'autorisation ou la Liste de blocage dans le 'Type de filtrage MAC' ci-dessus. Cette liste d'adresses MAC est utilisée pour contrôler l'accès à l'appliance RED. Les listes d'adresses MAC peuvent être créées dans Définitions & utilisateurs | Définitions de réseau | Définitions d'adresses MAC.

Activer la liaison montante de basculement 3G/UMTS : à partir de la version 2 de RED, l'appliance RED offre un port USB sur lequel vous pouvez brancher une clé USB 3G/UMTS. Si elle est sélectionnée, cette clé peut être utilisée pour effectuer le basculement de liaison montante Internet en cas de panne de l'interface WAN. Retrouvez plus de renseignements sur les paramètres nécessaires dans la fiche technique de votre fournisseur d'accès Internet.

Nom d'utilisateur / Mot de passe (facultatifs) : le cas échéant, veuillez saisir un nom d'utilisateur et un mot de passe pour le réseau mobile.

PIN (facultatif) : saisissez le code PIN de la carte SIM s'il a été configuré.

Remarque : si vous saisissez un code PIN erroné, lors d'une panne de l'interface WAN, il est impossible d'établir une connexion via 3G/UMTS. Par ailleurs, la case Activer la liaison montante de basculement 3G/UMTS de l'appliance RED sera automatiquement dessélectionnée. De cette manière, le code PIN erroné sera utilisé une seule fois. Lorsque l'interface WAN sera de nouveau opérationnelle, un message d'avertissement sera affiché sur l'appliance RED :

Un code PIN erroné a été saisi pour la liaison montante de basculement. Veuillez changer les données de connexion.

Lorsque vous ouvrez la boîte de dialogue Modifier RED, un message vous informe que l'option Activer la liaison montante de basculement 3G/UMT a été automatiquement dessélectionnée. Corrigez le code PIN avant de sélectionner de nouveau cette case. Remarque : la carte SIM sera verrouillée après 3 tentatives de connexion avec un code PIN erroné. L'appliance RED ou l'UTM ne peuvent pas être utilisés pour la déverrouiller.

Réseau mobile : sélectionnez le type de réseau mobile que vous voulez utiliser (GSM ou CDMA).

APN : saisissez les détails APN (nom de point d'accès) de votre fournisseur.

Chaîne de numérotation (facultatif) : si votre fournisseur utilise une chaîne de numérotation différente, saisissez-la ici. Par défaut, il s'agit de *99#.

Remarque : vous allez devoir procéder aux configurations manuelles suivantes :

    1. Création des règles de pare-feu nécessaires (Network Protection | Pare-feu | Règles).
    2. Création des règles fictives nécessaires (Network Protection | NAT | Masquerading).

3. Cliquez sur Enregistrer.

4. L'appliance RED est à présent configurée et l'UTM va être enregistré dans Sophos RED Provisioning Service (RPS). 

Important : veuillez impérativement conserver le Code de déverrouillage qui est immédiatement envoyé à l'adresse indiquée dans l'onglet Paramètres généraux (lors de l'activation du RED) dès que l'appliance RED est enregistrée dans le RPS. Vous aurez besoin de ce code de déverrouillage pour utiliser l'appliance RED avec un autre UTM. Si vous n'avez pas ce code de déverrouillage, le seul moyen de déverrouiller l'appliance RED est de contacter le support de Sophos. 

Lorsque les règles de pare-feu nécessaires sont configurées (et, le cas échéant, les règles fictives), l'appliance RED se trouvant sur le site distant peut être connectée à Internet. Dès sa mise en marche, elle va récupérer ses paramètres de configuration à partir de Sophos RED Provisioning Service (RPS). Une fois l'opération terminée, la connexion sera établie entre votre UTM et l'appliance RED. Vous pouvez consulter l'état de toutes les appliances RED configurées sur la page de la Vue générale de RED du WebAdmin. 

Suppression d'une appliance RED

Pour supprimer une appliance RED, cliquez sur le bouton Supprimer situé à côté du nom de l'appliance.

Un message d'avertissement vous informe que l'objet RED a des dépendances. Veuillez noter que la suppression d'une appliance RED ne supprime pas les interfaces associées ni leurs dépendances. Ceci est intentionnel. En effet, vous avez la possibilité de déplacer une interface d'une appliance RED vers une autre.

Si vous voulez supprimer une appliance RED complètement, vous devez également supprimer manuellement l'interface et toutes les autres définitions.

 





 
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.

Évaluez cet article

Très mauvais Excellent

Commentaires