1. Contexte:

   Lors d’une mise à jour Firmware, Les FW XGS4300 redémarrent et deviennent tour à tour master, secondaire. Certaines ressources basculées ne rebasculent pas sur le master et restent en UP sur le secondaire. Les ressources touchées sont APs et boitier SD-RED. Il faut alors supprimer puis ajouter l'interface pour le remonter.

2. Suppression de l'interface

   Pour faire rebasculer la ressource sur le master il est nécessaire de la supprimer et la remonter. Les reboots ou hard reset ne suffisent pas. La particularité est que le boitier Red fourni un PIN à conserver lors de sa suppression et le demande au moment de l’ajout par la suite. Il faut penser à récupérer la plage DHCP créée pour qu’elle fournisse une IP du scope. Lors de la suppression la plage DHCP disparait. Network > Dhcp

   Mémoriser les paramètres sur le maître et le fameux pin. Network > Interface > RED.
   Le pin viable est le dernier fonctionnel donc RED actif sur le secondaire. Le pin sera donc aussi celui du secondaire. 
   

3. Ajout de l'interface

   Cliquer sur Add, renseigner les paramètres mémorisés branch name, Type, Red ID, Tunnel ID, Unlock code, Firewall IP, 2nd FW IP, sans oublier la particularité du pin de verrouillage. Sans bascule c’est celui du primaire. Si bascule et up sur le secondaire utiliser le pin du secondaire; Sauvegarder. 

   Au redémarrage ou reset du boitier Red à confirmer, il s’enregistre sur le Cloud Sophos récupère sa config et apparait en up. 
   Allez dans Network > Dhcp pour ajouter une plage DHCP pour ce Red.
   
   Les ressources connectées à ce RED seront dans la plage paramétrée.

Description

Sophos Central vous permet de gérer les politiques de sécurité et d’administrer plusieurs produits depuis une seule interface Web. Aucune installation ou déploiement de serveurs de gestion ne sont requis. Vos serveurs et appareils se connecteront directement à Sophos Central pour recevoir les nouveaux paramètres, envoyer des alertes et partager l’intelligence contextuelle de sécurité.

Installation

Pour pourvoir manager vos appareils il faut dans un premier temps ajouter les comptes utilisateurs dans la console Sophos Central. Pour ce faire il existe deux méthodes soit :

• Ajouter les comptes à la manuellement, en remplissant les informations suivantes :

• Synchroniser les comptes Active Directory de votre entreprise avec l’outil « AD Sync Settings/Status ».

Nous allons nous attarder sur la deuxième méthode.

Tout d’abord il faut se rendre dans l’onglet « Global Settings » et télécharger l’outil.

Lancer l’exécutable sur un Contrôleur de Domaine puis un assistant va apparaître pour configurer la synchronisation.

Mettre votre compte Sophos Central.

Cocher l’option “SSL” puis remplir les informations suivantes.

Note : utiliser un compte de service pour effectuer la synchronisation.

Choisir le ou les domaines puis les “OU” à synchroniser.

Il ne reste plus qu’a définir quand s’effectuera la synchronisation.

Une fois fini cliquer sur « Finished » et l’utilitaire ce synchronisera à l’heure que vous avez indiquez. Pour lancer une première synchronisation il faut cliquer sur « preview and sync ».

Les comptes sont maintenant ajoutés dans Sophos Central.

La dernière étape est d’installer les agents sur les appareils clients. Une des méthodes est de leurs envoyer un mail d’instruction expliquant les différentes étapes d’installation depuis la console Sophos.

Configuration

Dans l’onglet “Endpoint Protection” puis “Policies” vous pouvez configurer les règles de sécurité des utilisateurs.

Il ne reste plus qu’a créer vos règles en fonction de vos besoins.

Information :

Pour plus d’information concernant la configuration, je vous invite à consulter le lien suivant : http://docs.sophos.com/sophos-cloud/help/fr-fr/PDF/scloud_hfra.pdf

Contexte :

Le problème décrit ci-dessous a été rencontré sur le moteur anti-spam de la gamme SOPHOS UTM XG v15

Problème rencontré :

Les utilisateurs ne recevaient pratiquement plus aucuns mails de l’extérieur et les clients avaient en retour le message d’erreur suivant « internal Server Error » :

Analyse :

Les seuls mails qui passaient sont ce dont le domaine était autorisé dans le groupe « XXX Allowed Senders ».

Car une règle de bypass est créée pour ce groupe :

Résolution :

Pour résoudre cet incident il faut changer l’URL vers laquelle la liste Standard RBL pointe car le problème semble venir de cette liste (ou de son provider).

Pour cela vous allez dans Email -> Address Goup :

• Cliquer sur Premium RBL puis récupérer l’URL qui sera affichée.
• Se rendre dans Standard RBL et remplacé les URL présentes par celle de la Premium.
• Copier les URL Standard avant de les supprimer pour les remettre par la suite.

Pour information, l'erreur venait de certaines versions des boitiers UTM de SOPHOS et non d'une mauvaise configuration. Depuis un correctif est sorti afin que cet incident ne se reproduise plus si jamais le fournisseur des RBL Standards s’arrête de fonctionner.

Introduction :

Cette article va vous montrer comment basculer d’un environnement de gestion SG vers un environnement de gestion Sophos Central.

Note : Les boitiers SG (ancienne gamme Sophos) permettent de jouer le rôle de “serveur antivirus”. 

Prérequis :

• Accès à la console d’administration SOPHOS SG et SOPHOS Central.
• Avoir créé ou importé vos utilisateurs dans SOPHOS Central.
  • Pour que les utilisateurs remontent dans Sophos Central il faut au préalable mettre en place l’outil de synchronisation Sophos.

Déploiement :

La première étape consiste à s’identifier sur SOPHOS XG et de désactiver la « Tamper protection » sur tous les utilisateurs.

Pour réaliser cette action la méthode la plus simple est de créer un groupe réunissant tous les utilisateurs à migrer et de désactiver la fonction :

La deuxième étape consiste cette fois ci à s’identifier sur SOPHOS Central et d’envoyer email d’installation aux utilisateurs concerné par la migration  :

La dernière étape quant à elle, est de lancer l’exécutable téléchargé à partir du mail reçu :

L’installation doit être lancé en tant qu’administrateur et prend environ 15 minutes. Pendant ce lapse de temps le logiciel va désinstaller l’ancien antivirus, télécharger le nouveau et l’installer.

Une fois l’opération fini vous allez voir un nouveau logo apparaitre :

Configuration

Sophos Central permet comme à l’instar de SOPHOS SG de créer des groupes pour gérer l’administration. Le plus avec SOPHOS central est qu’il distingue deux catégories. La première est « User and Computer Policies » et la seconde « Server Polices ».

Voici la liste des paramètres qui peuvent être modifié pour les deux catégories.

Fonctionnalité Innovante

La nouveauté de Sophos Central est le module Intercept X qui contient plusieurs outils dont CryptoGuard qui empêche les ransomwares et la Root Cause Analysis.

La RCA permet en cas d’attaque subit d’analyser en profondeur et de donner les détails de l’attaque.

Pour accéder à cette l’interface il faut se rendre dans l’onglet « Root Cause Analysis » puis de sélectionner l’attaque souhaité.

Trois Onglet s’offre à vous.

Overview : Regroupant les informations essentielles de l’attaque QUOI, OU, QUAND et QUI.

Artifacts : Liste tous les fichiers, adresses IP, Processus, clé de registre et toutes les connexions que l’attaque ai touché. Que ce soit en lecture, écriture, connexion.

Visualize : Montre graphiquement comment l’attaque c’est propagé.

Il suffit ensuite de cliquer sur la bulle qui nous intéresse pour nous afficher le détail.