Stormshield SN160 Manuel D'utilisation Et De Configuration
  1. Manuels
  2. Marques
  3. Stormshield Manuels
  4. Matériel réseau
  5. SN160
  6. Manuel d'utilisation et de configuration

Stormshield SN160 Manuel D'utilisation Et De Configuration

Masquer les pouces
1
Table Des Matières
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
Table des Matières

Publicité

Liens rapides

GUIDE
STORMSHIELD NETWORK SECURITY
MANUEL D'UTILISATION ET DE
CONFIGURATION
Version 3
Dernière mise à jour du document : 29 mai 2020
Référence : sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1

Publicité

Table des Matières
loading

Manuels Connexes pour Stormshield SN160

Sommaire des Matières pour Stormshield SN160

  • Page 1 GUIDE STORMSHIELD NETWORK SECURITY MANUEL D'UTILISATION ET DE CONFIGURATION Version 3 Dernière mise à jour du document : 29 mai 2020 Référence : sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1...

  • Page 2: Table Des Matières

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 Envoi des alertes SNMPv1 (traps) Table des matières MIBS et Traps SNMP Format d’alerte et d’évènement SNMP Stormshield Network (TRAPs) BIENVENUE Base d'information consultables (MIBs) Recommandations sur ALERTES E-MAILS l'environnement d'utilisation Présentation...
  • Page 3 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 LDAP Configuration générale Certificat (SSL) Paramètres cryptographiques RADIUS Politique de mots de passe Kerberos Paramètres de date et d'heure Authentification transparente Configuration avancée (SPNEGO) Firewalls industriels uniquement (modèles Agent SSO SNi40) Invités Onglet Administration du Firewall...
  • Page 4 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 Menu "Général" Les demandes d’enrôlement utilisateurs et certificats La grille des rapports et graphiques Propriétés avancées historiques Onglet "Liste des rapports" ÉVÉNEMENTS SYSTÈME Onglet "Liste des graphiques Les actions possibles historiques"...
  • Page 5 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE URL Onglet «  Configuration avancée  » Onglet «  Membres du Bridge  » Les profils Suppression d’un bridge Sélection du profil Modification d’une interface Ethernet (en Les boutons mode Bridge) Les règles Onglet « ...
  • Page 6 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 Présentation de la grille Restauration de sauvegarde automatique 248 Création ou modification d’une Onglet « Configuration » interface GRE Disque système Présentation de la barre de boutons 222 Maintenance Les interactions Haute disponibilité...
  • Page 7 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 Paramètres des traces Paramètres Modbus Gestion des codes de fonction Modbus PROFILS D’INSPECTION Gestion des adresses Modbus Inspection de sécurité Support OPC AE Configuration commune à chaque profil Gestion des services Configurer les profils OPC DA Gestion des services...
  • Page 8 Files d’attente Configuration avancée File d’attente par classe d’application ou d’affectation (CBQ) Chiffrement du trafic Surveillance du trafic (monitoring) STORMSHIELD MANAGEMENT CENTER File d’attente par priorité Rattachement du firewall à SMC Files d’attente disponibles Cas d’application et Les boutons Page 6/464...
  • Page 9 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Interfaces Haute disponibilité Données personnelles Stormshield Management Center La grille Sandboxing Les info-bulles Matériel / Haute Disponibilité TRACES - SYSLOG - IPFIX L'onglet "Matériel" Onglet «  Stockage local  »...
  • Page 10 Principe de fonctionnement Nom d'interfaces Configuration d’un profil Objets Services VPN SSL sur le portail Web Objets de type Nom DNS (FQDN) Stormshield Network Certificats Accédez aux sites Web de votre Utilisateurs entreprise par un tunnel SSL VPN IPsec Accédez aux ressources de votre...

  • Page 11: Bienvenue

    à la commercialisation et d’adéquation à un usage particulier, n’est accordée quant à la précision, à la fiabilité ou au contenu du document. Stormshield se réserve le droit de réviser ce document ou de le retirer à n’importe quel moment sans préavis.

  • Page 12: Veille Sécurité

    Mais aussi parce que l’on conviendra qu’il ne sert à rien d’installer une porte blindée si les murs sont en papier. Sous l’impulsion des critères communs, Stormshield Network vous propose donc de prendre en compte les recommandations d’utilisation de la suite d’administration et du produit firewall énoncées ci-dessous.

  • Page 13: Agents Humains

    Exemple Pas de DHCP, DNS, PKI, proxies applicatifs, etc.* Les boîtiers Stormshield Network ne sont pas configurés pour retransmettre les flux "IPX", "NetBIOS", "Appletalk", "PPPoe" ou "IPv6". Les boîtiers appliance firewall-VPN ne dépendent pas de services externes «  en ligne  » ("DNS", "DHCP", "RADIUS", etc.)* pour l’application de la politique de contrôle des flux d’information.
  • Page 14 Le mode d’utilisation soumis à l’évaluation exclut le fait que la TOE s’appuie sur d’autres services tels que PKI, serveur DNS, DHCP, proxies. Les modules que Stormshield Network fournit en option pour la prise en charge de ces services sont désactivés par défaut et doivent le rester. Il s’agit précisément ...

  • Page 15: Sensibilisation Des Utilisateurs

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 BIENVENUE Algorithme Taille des clés 2048, 4096 Algorithmes Taille d'empreintes numériques HMAC-SHA1 HMAC-SHA2 256, 384, 512 SHA2 256, 384, 512 Algorithmes Taille des clés 128, 192, 256 L'option Perfect Forward Secrecy (PFS) effectue un nouvel échange Diffie-Hellman lors de la seconde phase d'IKE.

  • Page 16: Gestion Des Mots De Passe De L'utilisateur

    Si le boîtier a configuré un certificat signé par une autre autorité, il faut y ajouter cette autorité à la place de celles de NETASQ et Stormshield. En conséquence, la connexion initiale au boîtier ne déclenchera plus d'avertissement du navigateur relatif à...

  • Page 17: Environnement De Travail

    Il est donc nécessaire de déployer ces autorités de certification utilisées par une GPO sur les navigateurs des utilisateurs. Par défaut, ces autorité sont la CA NETASQ et la CA Stormshield, disponibles sur les liens  suivants: http://pki.stormshieldcs.eu/netasq/root.crt.

  • Page 18: Gestion Des Accès D'utilisateurs

    Cette tâche qui se révèle parfois fastidieuse peut être facilitée par des mécanismes d’authentification qui automatise le verrouillage (token USB par exemple). Dans la documentation, Stormshield Network Security est désigné sous la forme abrégée : SNS et Stormshield Network sous la forme abrégée : SN.

  • Page 19: Active Update

    Si la Base d'URL Stormshield Network est choisie comme Fournisseur de Base d’URL (menu Objet > Objets Web, onglet Base d’URL), d'autres serveurs que ceux de Stormshield Network peuvent être renseignés. Cela permet ainsi de mettre à jour la Base URL Stormshield Network par des sites miroirs internes ou d’importer votre propre base URL.

  • Page 20: Administrateurs

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ADMINISTRATEURS ADMINISTRATEURS Ce module est composé de trois onglets : Administrateurs  : il permet de créer des administrateurs en octroyant des droits d’administration aux utilisateurs utilisant une des méthodes d’authentification suivantes : LDAP RADIUS, KERBEROS, ou SSL.
  • Page 21 : Il est le seul à être habilité à se connecter via la console locale sur les Firewalls Stormshield Network, et ce uniquement lors de l’installation du firewall ou pour des opérations de maintenance, en dehors de l’exploitation. Il est chargé de la définition des profils des autres administrateurs.

  • Page 22: La Grille Des Droits

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ADMINISTRATEURS La grille des droits Votre interface est en «  vue simple  » par défaut. La grille affiche 5 colonnes représentant les 5 catégories de droits auquel un administrateur est affilié ou non  : Système, Réseau, Utilisateurs, Firewall et Supervision.
  • Page 23 (IPS) et du management de vulnérabilités asq, pvm Supervision  Droit de modification de la configuration à partir de Stormshield modify, base, log, Network Realtime Monitor et modification des traces maintenance Comptes temporaires Droit de gestion des comptes temporaires pour la politique modify,base,voucher d'authentification "Comptes temporaires"...

  • Page 24: Onglet « Compte Admin

    à jour de l’antivirus, configuration de la haute disponibilité et actions relatives au RAID dans Stormshield Network Realtime Monitor). Comptes temporaires Droit de gestion des comptes temporaires (module Utilisateurs > modify, base,...

  • Page 25: Onglet « Gestion Des Tickets

    Il est fortement conseillé d’utiliser les majuscules et les caractères spéciaux. NOTE Stormshield Network utilise un système de chiffrement dit «  asymétrique  », à savoir qu’il utilise une paire composée d’une clef publique, servant à chiffrer les données, et d’une clef privée, servant à...
  • Page 26 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ADMINISTRATEURS Sélectionnez dans le calendrier le dernier jour de validité du code d'accès aux Fin de validité données privées. La valeur proposée par défaut correspond au jour courant. Sélectionnez ensuite l'heure de fin de validité (granularité de 30 minutes). Supprimer Ce bouton permet de supprimer un ticket ...

  • Page 27: Agent Snmp

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AGENT SNMP AGENT SNMP L’écran de configuration du service SNMP se compose de trois onglets : Général  : onglet qui s’affiche par défaut lorsque l’on clique sur le menu SNMP dans l’arborescence de gauche et qui permet l’activation du module et les notifications alarmes et système qui seront intégrés dans les MIB (Management Information Base) disponibles (en consultation et en envoi de traps).

  • Page 28: L'onglet « Snmpv3

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AGENT SNMP NOTE SNMP peut être configuré de manière à utiliser le nom du firewall pour SysName, au lieu du numéro de série. L’onglet «  SNMPv3  » Les options Activer l’agent SNMPv3 (recommandé) ou SNMPv1/v2c et SNMPv3 permettent l’activation du module SNMP v3.

  • Page 29: L'onglet « Snmpv1 - Snmpv2C

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AGENT SNMP Serveur [Nom du serveur de destination (objet)] Les paramètres de la configuration des événements de type SNMP V3 sont les suivants  : Port Port utilisé pour envoyer les données à la machine (snmptrap par défaut). Nom d’utilisateur Nom de l’utilisateur autorisé...

  • Page 30: Connexion À L'agent Snmp

    SNMP autorise l'accès en lecture seule des superviseurs conforme aux versions SNMP v1, v2c, et Pour la configuration du suivi des informations et pour recevoir les traps Stormshield, vous devez au préalable rassembler les données de la Base d’information Stormshield Network (ces MIB sont disponibles sur le site Stormshield Network, à...

  • Page 31: Format D'alerte Et D'évènement Snmp Stormshield Network (Traps)

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AGENT SNMP Les valeurs de traps des MIBs Stormshield Network sont décrites dans la section suivante. Format d’alerte et d’évènement SNMP Stormshield Network (TRAPs) Traps de la MIB SNMPv2-MIB http://www.net-snmp.org/docs/mibs/snmpMIB.html#notifications...
  • Page 32 (but not into the notPresent state). This other state is indicated by the included value of ifOperStatus." ::= { snmpTraps 4 } Traps Stormshield Network .1.3.6.1.4.1.11256.1.5 Les Traps Stormshield Network sont définies dans la MIB STORMSHIELD-ALARM-MIB.txt time .0.1.1 srcif .0.1.2 .0.1.5...

  • Page 33: Base D'information Consultables (Mibs)

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AGENT SNMP Base d'information consultables (MIBs) MIBs Stormshield Network Voici la liste des champs des MIBs Stormshield Network, les commandes CLI correspondantes, ainsi que les commandes console. Les liens sont téléchargeables à l’adresse  : https://www.stormshield.com/products- services/services/mibs/ STORMSHIELD-SMI-MIB: Mib chapeau de l'ensemble ...
  • Page 34 Table de suivi des processeurs NodeCpuTemp .12.X.2 STORMSHIELD-POLICY-MIB: Politique de filtrage .1.3.6.1.4.1.11256.1.8.1 ==> (CLI) MONITOR POLICY ==> (console) slotinfo Name .X.2 Slot_Name .X.3 Active .X.4 Sync .X.5 STORMSHIELD-AUTHUSERS-MIB: Table des utilisateurs authentifiés .1.3.6.1.4.1.11256.1.2.1 ==> (CLI) MONITOR USER Page 32/464 sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020...
  • Page 35 MaxThroughput .X.8 InBytes .X.9 OutBytes .X.10 InCurrThroughput .X.11 OutCurrThroughput .X.12 InMaxCurrThroughput .X.13 OutMaxCurrThroughput .X.14 STORMSHIELD-PROPERTY-MIB: Informations retournées par la commande "SYSTEM PROPERTY" .1.3.6.1.4.1.11256.1.0 ==> (CLI) SYSTEM PROPERTY, SYSTEM IDENT, SYSTEM LANGUAGE Model .1.0 Version .2.0 SerialNumber .3.0 SystemName .4.0 SystemLanguage .5.0...
  • Page 36 BypassI2CAddress .8.X.2 BypassSystemOff .8.X.3 BypassJustOn .8.X.4 BypassRunTime .8.X.5 BypassWatchdog .8.X.6 STORMSHIELD-AUTOUPDATE-MIB: Etat des différents modules mis à jour par Active Update .1.3.6.1.4.1.11256.1.9.1 ==> (CLI) MONITOR AUTOUPDATE AutoupdateSubsys .X.2 AutoupdateState .X.3 AutoupdateLast .X.4 STORMSHIELD-IF-MIB: Etat des interfaces vue par l'ASQ .1.3.6.1.4.1.11256.1.4.1 ==>...
  • Page 37 .X.33 ifOutUdpBytes .X.34 ifInIcmpBytes .X.35 ifOutIcmpBytes .X.36 ifProtected .X.37 ifDrvName .X.38 STORMSHIELD-SERVICES-MIB: Etat des services du firmware .1.3.6.1.4.1.11256.1.7.1 ==> (CLI) MONITOR SERVICE ==> (console) dstat ServicesName .X.2 ServicesState .X.3 ServicesUpTime .X.4 STORMSHIELD-VPNSA-MIB: Table des SA IPSEC négociées .1.3.6.1.4.1.11256.1.1.1 ==> (CLI) MONITOR GETSA ==>...
  • Page 38 .X.9 VPNAuth .X.10 VPNState .X.11 VPNLifeTime .X.12 VPNBytes .X.13 VPNMaxLifeTime .X.14 VPNMaxBytes .X.15 STORMSHIELD-ASQ-STATS-MIB: Table des statistiques ASQ .1.3.6.1.4.1.11256.1.12 ==> pas de commande CLI ==> (console) sfctl –s stat Statistiques SPD ASQStatsStatefulPktBlocked .1.1 ASQStatsStatefulPktBlockedAsync .1.2 ASQStatsStatefulPktBlockedSynProxy .1.3 ASQStatsStatefulPktAccepted .1.4 ASQStatsStatefulLogged .1.5...
  • Page 39 ASQStatsStatefulIcmpPkt .1.38 ASQStatsStatefulIcmpInBytes .1.39 ASQStatsStatefulIcmpOutBytes .1.40 ASQStatsStatefulHttpTimeoutRst .1.41 ASQStatsStatefulNatUnusable .1.42 Statistiques SAD ASQStatsGlobalTimeSinceReset .2.1 STORMSHIELD-IPSEC-STATS-MIB: Table des statistiques IPSEC .1.3.6.1.4.1.11256.1.13 ==> pas de commande CLI ==> (console) ipsecinfo Statistiques SPD IPSECStatsSPDIn .1.1 IPSECStatsSPDOut .1.2 Statistiques SAD IPSECStatsSADLarval .2.1 PSECStatsSADMature .2.2 IPSECStatsSADDying .2.3...
  • Page 40 .X.9 RouteStateLastChange .X.10 RouteActive .X.11 RouteActiveLastChange .X.12 RouteSysDefaultGateway .X.13 RouteSysDefaultGatewayLastChange .X.14 RouteRtid .X.15 RouteUsagePrct .X.16 STORMSHIELD-HEALTH-MONITOR-MIB: Table de l'état de santé du firewall .1.3.6.1.4.1.11256.1.16 ==> (CLI) MONITOR HEALTH GlobalHealth FirewallIndex .2.1.1 SerialHealth .2.1.2 HaModeHealth .2.1.3 HaLinkHealth .2.1.4 PowerSupplyHealth .2.1.5 FanHealth .2.1.6...
  • Page 41 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AGENT SNMP SNMP-TARGET-MIB mibfile=http://www.net-snmp.org/docs/mibs/SNMP-TARGET-MIB.txt desc=http://www.net-snmp.org/docs/mibs/snmpTargetMIB.html rfc=http://www.ietf.org/rfc/rfc3413.txt snmpTargetSpinLock.0 snmpTargetAddrTable snmpTargetParamsTable snmpUnavailableContexts.0 snmpUnknownContexts.0 SNMP-NOTIFICATION-MIB mibfile=http://www.net-snmp.org/docs/mibs/SNMP-NOTIFICATION-MIB.txt desc=http://www.net-snmp.org/docs/mibs/snmpNotificationMIB.html rfc=http://www.ietf.org/rfc/rfc3413.txt snmpNotifyTable snmpNotifyFilterProfileTable snmpNotifyFilterTable nlmConfig.*.0 nlmStats.*.0 NOTIFICATION-LOG-MIB mibfile=http://www.net-snmp.org/docs/mibs/NOTIFICATION-LOG-MIB.txt desc=http://www.net-snmp.org/docs/mibs/notificationLogMIB.html rfc=http://www.ietf.org/rfc/rfc3014.txt SNMP-USER-BASED-SM-MIB mibfile=http://www.net-snmp.org/docs/mibs/SNMP-USER-BASED-SM-MIB.txt desc=http://www.net-snmp.org/docs/mibs/snmpUsmMIB.html rfc=http://www.ietf.org/rfc/rfc3414.txt usmStats.*.0 usmUserTable SNMP-VIEW-BASED-ACM-MIB mibfile=http://www.net-snmp.org/docs/mibs/SNMP-VIEW-BASED-ACM-MIB.txt desc=http://www.net-snmp.org/docs/mibs/snmpVacmMIB.html...
  • Page 42 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AGENT SNMP vacmViewSpinLock.0 vacmViewTreeFamilyTable SNMP-USM-DH-OBJECTS-MIB mibfile=http://www.net-snmp.org/docs/mibs/SNMP-USM-DH-OBJECTS-MIB.txt desc=http://www.net-snmp.org/docs/mibs/snmpUsmDHObjectsMIB.html rfc=http://www.ietf.org/rfc/rfc2786.txt usmDHPublicObjects.*.0 usmDHUserKeyTable IF-MIB mibfile=http://www.net-snmp.org/docs/mibs/IF-MIB.txt desc=http://www.net-snmp.org/docs/mibs/ifMIBObjects.html rfc=http://www.ietf.org/rfc/rfc2863.txt ifNumber.0 ifTable ifXTable RFC1213-MIB mibfile=http://www.net-snmp.org/docs/mibs/RFC1213-MIB.txt rfc=http://www.ietf.org/rfc/rfc1213.txt atTable IP-MIB mibfile=http://www.net-snmp.org/docs/mibs/IP-MIB.txt desc=http://www.net-snmp.org/docs/mibs/ip.html rfc=http://www.ietf.org/rfc/rfc4293.txt ip.*.0 icmp.*.0 ipAddrTable ipRouteTable ipNetToMediaTable ipNetToPhysicalTable IPV6-MIB mibfile=http://www.net-snmp.org/docs/mibs/IPV6-MIB.txt...
  • Page 43 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AGENT SNMP ipv6MIBObjects.?.0 ipv6Interfaces ipv6IfTable ipv6IfStatsTable IPV6-TCP-MIB mibfile=http://www.net-snmp.org/docs/mibs/IPV6-MIB.txt desc=http://www.net-snmp.org/docs/mibs/ipv6TcpMIB.html rfc=http://www.ietf.org/rfc/rfc2452.txt ipv6TcpConnTable IPV6-UDP-MIB mibfile=http://www.net-snmp.org/docs/mibs/IPV6-UDP-MIB.txt desc=http://www.net-snmp.org/docs/mibs/ipv6UdpMIB.html rfc=http://www.ietf.org/rfc/rfc2465.txt ipv6UdpTable IPV6-ICMP-MIB mibfile=http://www.net-snmp.org/docs/mibs/IPV6-ICMP-MIB.txt desc=http://www.net-snmp.org/docs/mibs/ipv6IcmpMIB.html rfc=http://www.ietf.org/rfc/rfc2466.txt ipv6IfIcmpTable TCP-MIB mibfile=http://www.net-snmp.org/docs/mibs/TCP-MIB.txt desc=http://www.net-snmp.org/docs/mibs/tcp.html rfc=http://www.ietf.org/rfc/rfc4022.txt tcp.*.0 tcpConnTable UDP-MIB mibfile=http://www.net-snmp.org/docs/mibs/UDP-MIB.txt desc=http://www.net-snmp.org/docs/mibs/udp.html rfc=http://www.ietf.org/rfc/rfc4113.txt udp.*.0 udpTable...
  • Page 44 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AGENT SNMP rfc=http://www.ietf.org/rfc/rfc2864.txt HOST-RESOURCES-MIB mibfile=http://www.net-snmp.org/docs/mibs/HOST-RESOURCES-MIB.txt desc=http://www.net-snmp.org/docs/mibs/host.html rfc=http://www.ietf.org/rfc/rfc2790.txt hrSystem.*.0 hrMemorySize hrStorageTable hrDeviceTable hrProcessorTable hrNetworkTable hrPrinterTable hrDiskStorageTable hrPartitionTable hrFSTable hrSWRunTable hrSWRunPerfTable hrSWInstalled.*.0 hrSWInstalledTable DISMAN-EVENT-MIB mibfile=http://www.net-snmp.org/docs/mibs/DISMAN-EVENT-MIB.txt desc=http://www.net-snmp.org/docs/mibs/dismanEventMIB.html rfc=http://www.ietf.org/rfc/rfc2981.txt mteTriggerTable mteTriggerDeltaTable mteTriggerExistenceTable mteTriggerBooleanTable mteTriggerThresholdTable mteObjectsTable mteEventTable mteEventNotificationTable...
  • Page 45 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AGENT SNMP schedTable AGENTX-MIB mibfile=http://www.net-snmp.org/docs/mibs/AGENTX-MIB.txt desc=http://www.net-snmp.org/docs/mibs/agentxMIB.html rfc=http://www.ietf.org/rfc/rfc2742.txt NET-SNMP-AGENT-MIB mibfile=http://www.net-snmp.org/docs/mibs/NET-SNMP-AGENT-MIB.txt desc=http://www.net-snmp.org/docs/mibs/netSnmpAgentMIB.html nsModuleTable nsCacheTable nsConfigDebug.*.0 nsDebugTokenTable nsConfigLogging nsLoggingTable netSnmpExampleScalars netSnmpIETFWGTable netSnmpHostsTable nstAgentModules NET-SNMP-VACM-MIB mibfile=http://www.net-snmp.org/docs/mibs/NET-SNMP-VACM-MIB.txt desc=http://www.net-snmp.org/docs/mibs/netSnmpVacmMIB.html nsVacmAccessTable UCD-DISKIO-MIB mibfile=http://www.net-snmp.org/docs/mibs/UCD-DISKIO-MIB.txt desc=http://www.net-snmp.org/docs/mibs/ucdDiskIOMIB.html UCD-DLMOD-MIB mibfile=http://www.net-snmp.org/docs/mibs/ucdDlmodMIB.html desc=http://www.net-snmp.org/docs/mibs/ucdDlmodMIB.html SCTP-MIB mibfile=http://www.net-snmp.org/docs/mibs/SCTP-MIB.txt desc=http://www.net-snmp.org/docs/mibs/sctpMIB.html...
  • Page 46 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AGENT SNMP sctpAssocRemAddrTable sctpLookupLocalPortTable sctpLookupRemPortTable sctpLookupRemHostNameTable sctpLookupRemPrimIPAddrTable sctpLookupRemIPAddrTable Page 44/464 sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020...

  • Page 47: Alertes E-Mails

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ALERTES E-MAILS ALERTES E-MAILS L’écran se décompose en trois parties  : L’onglet Configuration  : permet de procéder aux réglages de base du module comme le paramétrage du serveur SMTP, la fréquence d’envoi des e-mails (en minutes), les alarmes de prévention d’intrusion et les événements système.

  • Page 48: Fréquence D'envoi Des E-Mails (En Minutes)

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ALERTES E-MAILS Fréquence d’envoi des e-mails (en minutes) Fréquence d’envoi Cette option vous permet de spécifier la fréquence d'envoi des rapports. Un rapport contient toutes les alarmes détectées depuis le rapport précédent. Ainsi, la réception du mail s'effectue par tranche horaire et non par alarme déclenchée.
  • Page 49 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ALERTES E-MAILS Ne pas envoyer d'e- Pas d’envoi d'e-mails vers un destinataire spécifique pour les événements système. Cette option, cochée par défaut, est utilisée pour pouvoir activer les notifications par mails e-mail afin d'approuver les requêtes de certificats, par exemple, sans pour autant générer d'e-mail pour les événements système.
  • Page 50 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ALERTES E-MAILS destinataire soit l’utilisateur ou le groupe auquel il appartient si celui-ci se trouve dans la base d’objets. La saisie de l'adresse e-mail est libre mais le format de l'adresse est vérifié. Supprimer un groupe Sélectionnez la ligne à...
  • Page 51 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ALERTES E-MAILS Insérer une variable Ce bouton vous permet de sélectionner des variables qui seront ensuite remplacées par des valeurs réelles lors de l'envoi du message. Appliquer le modèle Permet de réinitialiser le modèle à sa présentation initiale. Lorsque vous cliquez sur par défaut ce bouton, le message suivant s'affiche : "Voulez-vous vraiment réinitialiser le contenu de ce modèle à...
  • Page 52 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ALERTES E-MAILS Exemple de rapport reçu par e-mail pour les alarmes Type Minor Action Block Date 2010-10-11 15:08:32 Interface dmz2 Protocol Source 10.2.18.5:55987 (ed:ephemeral_fw_tcp) Destination 66.249.92.104:80 (www.google.com) Description Prévention injection SQL : instruction OR suspecte dans l'URL Page 50/464 sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020...
  • Page 53 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ANTISPAM ANTISPAM L’écran de configuration de l’antispam se compose de 3 onglets : Général  : Configuration de base du module Antispam (activation, paramètres SMTP, Analyse par réputation…). Domaines en liste blanche  : contient la liste des domaines qui doivent être systématiquement considérés comme légitimes.
  • Page 54 Les messages identifiés comme spam ne sont pas supprimés par le module Antispam du boîtier UTM Stormshield Network. Cependant il effectue des actions de modifications du message détecté comme spam de façon à permettre un traitement futur par le client de messagerie Web par exemple.
  • Page 55 [1-5000] supérieure ou égale au seuil fixé seront considérés comme spams. Cette section permet de définir le seuil à appliquer, par défaut Stormshield Network choisit "200". En modifiant le score, la valeur minimale des 3 seuils de confiance est modifiée.
  • Page 56 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ANTISPAM vous à la procédure suivante  : Nom de domaine Permet de spécifier le domaine à autoriser. Cliquer sur Ajouter. (caractères génériques Le domaine ainsi ajouté apparaît alors dans la liste des domaines en liste blanche. acceptés ...
  • Page 57 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ANTISPAM Un nom de domaine peut contenir des caractères alphanumériques, "_", "-" et ".". Les caractères "Wildcard" "*" et "?" sont également autorisés. La longueur du nom de domaine ne peut excéder 128 caractères.
  • Page 58 Une fois que la base est téléchargée, l’antivirus est activé. Paramètres L’analyse des fichiers ClamAV Dans ce menu, vous configurez les types de fichiers qui doivent être analysés par le service Antivirus du firewall Stormshield Network. Analyse des Cette option permet d'activer le moteur de décompression (Diet,Pkite, Lzexe, exécutables Exepack…).
  • Page 59 L’analyse heuristique permet ainsi de détecter des virus non encore référencés chez l’éditeur de moteur antiviral. Cette option n'est pas supportée sur les firewalls modèles SN160(W), SN210(W) et SN310. Analyse sandboxing Ce menu n'est disponible (non grisé) que lorsque le moteur antiviral Kaspersky a été sélectionné.
  • Page 60 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 APPLICATIONS ET PROTECTIONS APPLICATIONS ET PROTECTIONS Ce module va vous permettre de gérer la configuration des alarmes générées par les applications et les protections du Firewall. Notez que l'intitulé des alarmes est affiché dans la langue du firewall (champ Langue du Firewall dans l'onglet Configuration générale du module Système >...
  • Page 61 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 APPLICATIONS ET PROTECTIONS La sélection multiple La sélection multiple permet d’assigner une même action à plusieurs alarmes. Sélectionnez plusieurs alarmes se succédant à l’aide de touche Shift ñ ou individuellement avec la touche Ctrl.
  • Page 62 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 APPLICATIONS ET PROTECTIONS Protections Ces alarmes sont levées suite à l’analyse effectuée par le moteur ASQ  : elles résultent du blocage d’attaques connues ou d’utilisations anormales des protocoles conformément aux RFC. Malwares Ces alarmes sont basées sur les signatures connues de logiciels malveillants, reconnus par des types d’activité...
  • Page 63 émises, avant l’envoi de l’email. Mettre la machine en quarantaine  : la machine responsable de l’alarme sera bloquée avec les paramètres suivants. Pour lever la mise en quarantaine, utilisez Stormshield Network Realtime Monitor. pour une période de (minutes) : durée de la mise en quarantaine Capturer le paquet responsable de la remontée de l'alarme : cette capture pourra être...
  • Page 64 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 APPLICATIONS ET PROTECTIONS Vue par contexte Cette vue présente les alarmes par profils protocolaires. La première liste déroulante, à gauche, permet de sélectionner le contexte protocolaire. Pour chaque protocole, vous pouvez paramétrer jusqu’à 10 fichiers de configuration, sélectionnables grâce à...
  • Page 65 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AUTHENTIFICATION AUTHENTIFICATION La fonction d’authentification permet à l’utilisateur de s’identifier via un login et un mot de passe ou de manière totalement transparente (SSO / certificat). Pour cela, elle peut utiliser une base de données LDAP (Lightweight Directory Access Protocol) stockant des fiches utilisateurs et, éventuellement, le certificat numérique x509 qui lui est associé.
  • Page 66 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AUTHENTIFICATION Méthodes d’authentification La colonne de gauche est dédiée à la liste des méthodes d’authentification. La colonne de droite affiche les options de paramétrage de la méthode d’authentification sélectionnée. Le bouton Ajouter une méthode ouvre une liste déroulante vous proposant de choisir parmi 8 méthodes d’authentification, que vous pourrez Supprimer si besoin.
  • Page 67 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AUTHENTIFICATION Ajouter L’ajout d’une autorité de certification dans la liste des autorités de certification de confiance permet d’accepter cette autorité comme autorité reconnue et de valider tous les certificats signés par cette autorité de certification. En cliquant sur le bouton , puis sur l’icône s’affichant sur la ligne...
  • Page 68 à des utilisateurs distants. Ce protocole est doté d’un serveur relié à une base d’identification (annuaire LDAP etc.). Le firewall Stormshield Network peut se comporter comme un client RADIUS. Il peut alors adresser, à un serveur RADIUS externe, des demandes d’authentification pour les utilisateurs désirant traverser le firewall.
  • Page 69 (Ce nom correspond au nom indiqué dans le script Stormshield Network livré avec le matériel d’installation). Le Nom du service sera le numéro de série précédé de la mention «  HTTP/  ». Exemple  : HTTP/U70XXAZ0000000 Dans le cas d’un firewall en haute disponibilité, l’identifiant devant être commun, il est...
  • Page 70 Windows permettant aux Firewalls Stormshield Network de bénéficier de l’authentification sur l’annuaire Windows Active Directory de manière transparente. Pour l’installation de cette application, reportez-vous à la note technique Stormshield Network SSO Agent - Installation et déploiement. Lorsqu’un utilisateur se connecte au domaine Windows par l’ouverture de sa session, celui-ci est automatiquement authentifié...
  • Page 71 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AUTHENTIFICATION Contrôleur de domaine Vous devez ajouter tous les contrôleurs de domaine régissant le domaine Active Directory sélectionné. Ceux-ci doivent être enregistrés dans la base Objet du Firewall. Ajouter un contrôleur Cliquez pour sélectionner ou créer l’objet correspondant.
  • Page 72 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AUTHENTIFICATION Méthode de détection Sélectionnez entre les méthodes de déconnexion PING ou  Base de Registre   : PING L’agent SSO teste l'accessibilité de toutes les machines authentifiées sur le Firewall toutes les 60 secondes par défaut. Dans le cas d’une réponse host unreachable ou d’absence de réponse d’une adresse IP après un délai défini ci-après, l’Agent SSO envoie une demande de déconnexion au Firewall.
  • Page 73 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AUTHENTIFICATION Comptes temporaires Ce service permet la gestion de comptes dont la durée de validité est limitée. Ces comptes sont destinés à fournir temporairement un accès Internet public à des personnes externes à l'entreprise.
  • Page 74 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AUTHENTIFICATION Nouvelle règle Insérer une ligne prédéfinie ou à définir après la ligne sélectionnée  ; 2 choix sont possibles. Règle standard  : en la sélectionnant, un assistant d’authentification s’affiche. Voir la section suivante pour les options proposées des écrans.
  • Page 75 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AUTHENTIFICATION Les interactions Certaines opérations, listées dans la barre des tâches, peuvent être réalisées en effectuant un clic droit sur la grille des règles d'authentification : Nouvelle règle (Règle standard, Règle Invités, Règle Comptes Temporaires, Règle Parrainage, Séparateur - Regroupement de règles), Supprimer, Couper,...
  • Page 76 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AUTHENTIFICATION Réorganisation des règles Chaque règle peut être glissée et déplacée pour réorganiser aisément la politique d'authentification. Le symbole ainsi que l'infobulle "Glissez et déplacez pour réorganiser" apparaissent lorsque la souris survole le début de la règle. Objets Multi-utilisateur Cette grille permet de sélectionner les objets-réseau permettant plusieurs authentifications depuis une même adresse IP.
  • Page 77 SSL/TLS utilisant un certificat signé par deux autorités non reconnues par les navigateurs. Il est donc nécessaire de déployer ces autorités de certification utilisées par une GPO sur les navigateurs des utilisateurs. Par défaut, ces autorité sont la CA NETASQ et la CA Stormshield, disponibles sur les liens  suivants: http://pki.stormshieldcs.eu/netasq/root.crt. http://pki.stormshieldcs.eu/products/root.crt.
  • Page 78 Masquer l'en-tête Cette option donne la possibilité de ne pas faire apparaître de bannière (par défaut il (logo) s'agit du logo Stormshield) lors de l’authentification de l’utilisateur sur le portail captif, par souci de confidentialité. Sélectionnez un logo à Vous pouvez sélectionner l’image qui sera affichée dans l’en-tête du portail captif. Par afficher (800x50 px) défaut, le format de l’image doit être de 800 x 50 px.
  • Page 79 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AUTHENTIFICATION Authentification Méthode ou annuaire Ce champ permet de sélectionner la méthode d'authentification ou l'annuaire LDAP par défaut (dans le cas d'un firewall ayant défini plusieurs annuaires) affecté par défaut au profil d'authentification en cours de modification.
  • Page 80 Mots de passe des utilisateurs Les utilisateurs ne En sélectionnant cette option, il sera impossible aux utilisateurs de modifier leur mot peuvent pas changer de passe d’authentification sur le firewall Stormshield Network. leur mot de passe Page 78/464 sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020...
  • Page 81 24 heures plus tard. Enrôlement des utilisateurs Stormshield Network vous propose l’enrôlement d’utilisateurs par le web. Si l’utilisateur qui tente de se connecter ne figure pas dans la base des utilisateurs, il a la possibilité de demander la création de son compte par un enrôlement Web sur le portail captif (portail d’authentification).
  • Page 82 Si vous ajoutez ou supprimez un objet dans la liste des objets Multi-utilisateur, assurez- vous qu’aucune authentification relative à cet objet n’est enregistrée. A l’aide de Stormshield Network Realtime Monitor, inspectez son utilisation dans le module Utilisateur et supprimez l’authentification du ou des utilisateurs authentifiés par un clic droit sur ces derniers - action 'Supprimer l'utilisateur de l'ASQ".
  • Page 83 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 AUTHENTIFICATION Proxy explicite Avec un proxy renseigné dans le navigateur du navigateur, deux types d’authentification sont possibles  : Mode Standard ou Cookie Ce mode est aisé à mettre en place grâce à l’assistant de création de Règle de proxy HTTP explicite, proposé...
  • Page 84 Elle permet d’assurer confidentialité, authentification, intégrité et non-répudiation. La PKI Stormshield Network permet de générer et de délivrer des autorités de confiance (CA  : Certificate Authority, ou «  autorité de certification  ») ainsi que des certificats. Ceux-ci contenant une bi-clé...
  • Page 85 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CERTIFICATS ET PKI Si vous saisissez la lettre «  a  » dans la barre de recherche, la liste en dessous fera apparaître tous les certificats possédant un «  a  ». Le filtre Ce bouton permet de choisir le type de certificat à...
  • Page 86 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CERTIFICATS ET PKI Actions sur une CA ou une sous-CA Créer ou renouveler Une CRL (Certificate Revocation List - Liste de Certificats Révoqués) est une liste une CRL d'identifiants de certificats qui ont été révoqués ou ne sont plus valables et qui ne sont plus dignes de confiance.
  • Page 87 Le menu 'téléchargements' propose également l’exportation d’une liste de révocation de certificats (CRL) au format PEM ou DER. NOTE Tout problème rencontré au sein de cette procédure n’est pas du ressort de Stormshield Network. Vérifier l'utilisation Vous pouvez rechercher les fonctionnalités ou modules qui utilisent le certificat sélectionné.
  • Page 88 Saisissez un nom permettant d’identifier votre autorité racine, dans la limite de 64 caractères maximum. Ce nom peut faire référence à une organisation, un utilisateur, un serveur, une machine etc. Exemple Stormshield Network NOTE Ce champ doit être rempli afin de poursuivre la configuration. Identifiant Bien que le remplissage de ce champ ne soit pas obligatoire, vous pouvez ici indiquer un raccourci de votre CN, utile pour vos lignes de commande.
  • Page 89 NOTE Le calcul des clés de grande taille peut provoquer le ralentissement de votre équipement Stormshield Network lors de la génération. Validité (jours) Ce champ correspond au nombre de jours durant lesquels votre certificat d'autorité et par conséquent votre PKI seront valides.
  • Page 90 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CERTIFICATS ET PKI une fois ce certificat expiré, tous les certificats utilisateurs le seront également. Cette valeur ne sera pas modifiable par la suite. NOTE La valeur de ce champ de doit pas excéder 3650 jours. Cliquez sur Suivant.
  • Page 91 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CERTIFICATS ET PKI Ajouter une sous-autorité Lorsque vous créez une sous-autorité, les écrans visibles sont similaires à ceux de la création d’une autorité racine. L’assistant de configuration pour une sous-autorité a besoin d’une référence « ...
  • Page 92 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CERTIFICATS ET PKI NOTE Le certificat utilisateur dépend, lui aussi, d’une autorité parente, il va choisir la CA par défaut. Cliquez sur le bouton Ajouter un certificat utilisateur. Nom (CN) (obligatoire) Saisissez le nom de votre utilisateur, dans la limite de 64 caractères maximum. NOTE Ce champ doit être rempli afin de poursuivre la configuration.
  • Page 93 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CERTIFICATS ET PKI Onglet «  Détails  » 4 fenêtres y reprennent les données concernant, la «  Validité  » de l’autorité, son destinataire («  Emis pour  »), son «  Emetteur  » et ses «  Empreintes  » (informations sur le produit et sa version).
  • Page 94 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CERTIFICATS ET PKI Nom de domaine Le FQDN représente le nom complet d’un hôte dans une URL, soit un HOST (comme qualifié (FQDN) www) et un nom de domaine (de type compagnie.com). Exemple www.company.com Identifiant Bien que le remplissage de ce champ ne soit pas obligatoire, vous pouvez ici indiquer...
  • Page 95 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CERTIFICATS ET PKI Format du 3 formats de fichier sont proposés  : fichier Format base 64 (PEM – Privacy-enhanced Electronic Mail), Il permet l'encodage des certificats X509 en base 64. Un certificat de type PEM se présente de la manière suivante  : -----BEGIN CERTIFICATE----- MIIDdzCCAuCgAwIBAgIBBzANBgkqhkiG9w0BAQQFADCBpDELMAkGA1UEBhMCQ0gxCzAJBgNVBAgTAkdFMQ8wDQYD VQQHEwZHZW5ldmExHTAbBgNVBAoTFFVuaXZlcnNpdHkgb2YgR2VuZXZhMSQwIgYDVQQLExtVTklHRSBDZXJ0aWZpY...
  • Page 96 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 COMPTES  TEMPORAIRES COMPTES  TEMPORAIRES Ce service permet la gestion de comptes dont la durée de validité est limitée. Ces comptes sont destinés à fournir temporairement un accès Internet public à des personnes externes à l'entreprise.
  • Page 97 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 COMPTES  TEMPORAIRES Les actions possibles Actualiser Lorsque plusieurs personnes sont habilitées à créer des comptes temporaires, un clic sur ce bouton permet de rafraîchir la liste des comptes et de visualiser l'ensemble des saisies réalisées. Ajouter un compte Pour créer un compte temporaire, renseignez au moins son prénom, son nom ainsi que les dates de début et de fin de validité...
  • Page 98 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 COMPTES  TEMPORAIRES Sélectionnez le compte que vous souhaitez modifier. Cliquez sur le bouton Modifier le compte. Après avoir modifié les paramètres souhaités, cliquez sur le bouton Appliquer. La fenêtre suivante présente un résumé des informations du compte qu'il est possible d'Imprimer sauf si le bénéficiaire du compte temporaire a modifié...
  • Page 99 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION CONFIGURATION L’écran de configuration – administration se compose de 3 onglets  : Configuration générale : définition des caractéristiques du firewall (nom, langue, clavier) des paramètres de date et d’heure, ainsi que des serveurs NTP. Administration du Firewall : configuration des accès à...
  • Page 100 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION Activer le mode Cette option impose au firewall de respecter la doctrine de l'ANSSI (Agence Nationale «  Diffusion Restreinte de la Sécurité des Systèmes d’Information) concernant l’usage des coprocesseurs et (DR) ...
  • Page 101 NOTE La date et l'heure auxquelles votre firewall Stormshield Network est réglé sont importantes  : elles vous permettent de situer dans le temps un événement enregistré dans les fichiers de log. Elles servent également à la programmation horaire des configurations.
  • Page 102 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION Les autres Firewalls de la série U peuvent bénéficier de cet outil pouvant améliorer le diagnostic et l’assistance  ; par défaut, ce mécanisme est implémenté mais doit s’activer via le système BIOS. Consultez la Base de connaissance du Support technique pour connaître la démarche.
  • Page 103 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION IMPORTANT Une vérification du fonctionnement correct des flux réseau doit être réalisée immédiatement après un réarmement manuel. En effet, les connexions initiées pendant la phase active du bypass ne seront pas reconnues par le firewall et donc systématiquement rejetées.
  • Page 104 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION Activer la protection Les attaques par force brute se définissent par des tentatives de connexion répétées contre les attaques par au firewall, en testant toutes les combinaisons de mot de passe possibles. force brute En cochant cette case, vous empêcherez cela et dégriserez les deux champs suivants, afin de limiter les tentatives de connexion.
  • Page 105 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION Port d’écoute Ce champ représente le port sur lequel vous pourrez accéder à l’interface d’administration (ssh, tcp/22 par défaut). NOTE Vous pouvez créer un port d’écoute supplémentaire en cliquant sur l’icône AVERTISSEMENT L’objet ne peut être que de type « ...
  • Page 106 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION Notez que si vous supprimez tous les serveurs DNS définis dans la grille, le firewall utilise alors les serveurs Root DNS. Ces serveurs sont renseignés dans le fichier de configuration DNS (/usr/Firewall/Data/dns).
  • Page 107 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION  DE LA  SUPERVISION CONFIGURATION  DE LA  SUPERVISION Les données et courbes de supervision se basent sur les traces enregistrées sur le firewall. Ces traces sont analysées. L'écran se divise en 2 parties  : En haut ...
  • Page 108 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION  DE LA  SUPERVISION Les interactions Certaines opérations, listées dans la barre des tâches, peuvent être réalisées en effectuant un clic droit sur la grille des files d'attente supervisées : Ajouter, Supprimer.
  • Page 109 LDAP est un protocole standard permettant de gérer des annuaires, c’est-à-dire d’accéder à des bases d’informations sur les utilisateurs d’un réseau par l’intermédiaire de protocoles TCP/IP. Les firewalls Stormshield Network embarquent une base LDAP interne. Celle-ci stocke les informations relatives aux utilisateurs devant s’authentifier pour passer au travers du firewall. En plus de cet annuaire interne, il est également possible de connecter le firewall jusqu'à...
  • Page 110 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION DES ANNUAIRES Création d’un LDAP interne Ce type d’annuaire est hébergé par votre firewall multifonctions Stormshield Network, vos informations y seront stockées une fois l’annuaire LDAP construit. Etape 1  : Choix de l’annuaire Comme précisé...
  • Page 111 Connexion à un annuaire LDAP externe Le LDAP externe est un annuaire auquel votre firewall multifonctions Stormshield Network va se connecter. Etape 1  : Choix de l’annuaire Sélectionnez la base LDAP correspondant à votre choix. Ceci est la première étape de la configuration de cet annuaire.
  • Page 112 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION DES ANNUAIRES Cette option permet de ne pas renseigner d'identifiant et de mot de passe pour se Connexion anonyme connecter à l'annuaire LDAP externe. Le serveur LDAP doit bien évidemment autoriser les connexions anonymes.
  • Page 113 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION DES ANNUAIRES Connexion sécurisée (SSL) Activer l’accès en SSL Cette option permet d’effectuer une vérification de votre certificat numérique généré par l’autorité racine du firewall. Les informations sont chiffrées en SSL. Cette méthode utilise le port 636. L’accès public au LDAP est protégé...
  • Page 114 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION DES ANNUAIRES OpenLDAP  : serveur LDAP. Microsoft Active Directory (AD) : services d’annuaires LDAP pour les systèmes d’exploitation sous Windows. Open Directory  : répertoire de sites web sous licence Open Directory Attributs de l’annuaire Cette colonne représente la valeur donnée à...
  • Page 115 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION DES ANNUAIRES Branche ‘utilisateurs’ Donnez le nom de la branche LDAP pour stocker les utilisateurs. Exemple ou=users. Branche ‘groupes’ Donnez le nom de la branche LDAP pour stocker les groupes d'utilisateurs. Exemple ou=groups.
  • Page 116 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION DES ANNUAIRES Connexion anonyme En cochant cette case, la connexion à l’annuaire LDAP ne requiert pas l’utilisation d’un identifiant et de son mot de passe associé. Dans ce cas, les champs Identifiant et Mot de passe sont grisés.
  • Page 117 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION DES ANNUAIRES Connexion sécurisée (SSL) Activer l’accès en SSL Cette option permet d’effectuer une vérification de votre certificat numérique généré par l’autorité racine du firewall. Les informations sont chiffrées en SSL. Cette méthode utilise le port 636. L’accès public au LDAP est protégé...
  • Page 118 Attributs de l’annuaire Cette colonne représente la valeur donnée à l’attribut au sein de l’annuaire externe. externe Pour un annuaire LDAP de type PosixAccount, l’attribut Stormshield member prend la valeur memberUid. Configuration avancée Hachage des mots de passe  : La méthode de chiffrement des mots de passe des nouveaux utilisateurs.
  • Page 119 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION DES ANNUAIRES Branche ‘utilisateurs’ Pour un annuaire externe de type PosixAccount, ce champ n’est pas disponible. Branche ‘groupes’ Pour un annuaire externe de type PosixAccount, ce champ n’est pas disponible. Branche de l’autorité...
  • Page 120 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION DES ANNUAIRES Identifiant Un compte administrateur permettant au firewall de se connecter sur votre serveur LDAP et d'effectuer des modifications (droits en lecture et écriture) sur certains champs. Nous vous recommandons de créer un compte spécifique pour le firewall et de lui attribuer les droits uniquement sur les champs qui lui sont nécessaires.
  • Page 121 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION DES ANNUAIRES Sélectionner une Cette option permet de sélectionner l’Autorité de certification qui sera utilisée pour Autorité de certification vérifier le certificat serveur délivré par le serveur LDAP, afin d’assurer l’authenticité de de confiance la connexion à...
  • Page 122 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION DES ANNUAIRES Configuration avancée Hachage des mots de passe  : La méthode de chiffrement des mots de passe des nouveaux utilisateurs. Certaines méthodes d'authentification (comme LDAP) doivent stocker le mot de passe utilisateur sous la forme d'un hash (résultat d'une fonction de hachage appliquée au mot de passe) qui évite le stockage en clair de ce mot de passe.
  • Page 123 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION DES ANNUAIRES Branche de l’autorité Ce champ définit l’emplacement de l’autorité de certification présente dans la base de certification LDAP externe. Cet emplacement est notamment utilisé lors de la recherche de la CA utilisé...
  • Page 124 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONFIGURATION  DES  RAPPORTS CONFIGURATION  DES  RAPPORTS Ces rapports se basent sur les traces enregistrées sur le firewall. Ces traces sont analysées et les  ème valeurs les plus récurrentes sont stockées au sein d’une base de données. Le top 10 et la 11 valeur correspondant à ...
  • Page 125 En bas à droite du tableau est indiqué l'espace disque utilisé par la base de données SQLite. NOTE Ces données peuvent être envoyées via Syslog à destination de la solution Virtual Log Appliance for Stormshield afin de construire des rapports ou d’effectuer leur archivage. Onglet "Liste des graphiques historiques" Le tableau présente les colonnes suivantes  : Etat Permet d’activer/désactiver le rapport concerné.
  • Page 126 Affiche la liste des utilisateurs connectés, en montrant les droits utilisateurs (par niveau) et les droits pour la session en cours (SessionLevel). Permet d’afficher de consulter les journaux d’activités du firewall multifonction Stormshield Network, regroupant 6 commandes. MODIFY Cette commande est un droit spécifique permettant à l’utilisateur de modifier la configuration d’un module, en plus de la lecture.
  • Page 127 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 CONSOLE CLI La zone de saisie Lorsque vous vous rendez dans le module Console CLI, le focus est placé sur la zone de saisie des commandes. A droite de celle-ci, deux boutons et une case à cocher permettent d’impacter certaines actions  : Exécuter Ce bouton permet de lancer la commande saisie manuellement.
  • Page 128 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 DHCP DHCP Le module DHCP se présente en un seul écran, sauf si le support d'IPv6 est activé. Si ce support est activé, le module DHCP se compose de deux onglets distincts et ce paramétrage s'effectue dans l'onglet DHCPv4.
  • Page 129 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 DHCP Plage d’adresses Pour qu’un serveur DHCP fournisse des adresses IP, il est nécessaire de configurer une réserve d’adresses dans laquelle il pourra puiser. Les boutons d'action Pour pouvoir ajouter ou supprimer des plages d’adresses, cliquez sur le bouton Ajouter ou le bouton Supprimer.
  • Page 130 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 DHCP Pour pouvoir ajouter ou supprimer des réservations d’adresses, cliquez sur le bouton Ajouter ou le bouton Supprimer. Ajouter Permet d'ajouter une réservation d’adresse IP pour un objet réseau spécifique de type machine.
  • Page 131 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 DHCP Serveur TFTP Le serveur TFTP sert pour le boot à distance des machines. Ce champ (champ option 150  : TFTP server address) peut être utilisé pour le démarrage d’équipements réseaux tels que des routeurs, des X-terminals ou des stations de travail sans disque dur.
  • Page 132 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 DHCP Adresse IP utilisée pour L’adresse IP renseignée dans ce champ comme source est alors utilisée pour les relayer les requêtes requêtes relayées. Cette option permet par exemple aux utilisateurs locaux de bénéficier, au travers d’un DHCP tunnel IPsec de la configuration automatique des paramètres IP d’un serveur DHCP distant.
  • Page 133 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 DNS DYNAMIQUE DNS DYNAMIQUE L’écran de configuration du client DNS dynamique se décompose en 2 parties  : Sur la gauche, la «  Liste des profils DNS dynamique  ». Sur la droite, la «  Résolution DNS  », ou configuration du profil préalablement sélectionné. Liste des profils de DNS dynamique Le tableau présentant les profils se compose de 2 colonnes ...
  • Page 134 Fréquence de Période de renouvellement du service DNS dynamique. Cette période est fixée à 28 renouvellement (en jours par défaut par Stormshield Network. jours) REMARQUE Ces fournisseurs punissent les renouvellements abusifs (fermeture du compte…). Ainsi un renouvellement survenu avant 26 jours (après le dernier renouvellement) n’est pas permis.
  • Page 135 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 DROITS D’ACCES DROITS D’ACCES Ce module se compose de 3 onglets : Accès par défaut  : Cet onglet vous permet de définir les accès VPN SSL Portail, VPN  IPSEC, VPN  SSL ainsi que la politique de parrainage par défaut. Accès détaillé ...
  • Page 136 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 DROITS D’ACCES VPN SSL Le VPN SSL permet d’établir un tunnel sécurisé (authentification du correspondant, chiffrement et/ou vérification de l’intégrité des données) entre deux machines, entre une machine et un réseau, ou entre deux réseaux.
  • Page 137 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 DROITS D’ACCES Etat Etat de la configuration des droits d’accès de l’utilisateur ou du groupe d’utilisateurs  : Activé  : Double-cliquez un point de la colonne pour activer la règle créée. Désactivé ...
  • Page 138 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 DROITS D’ACCES REMARQUE Lorsque vous ajoutez une ligne au tableau et que vous n’avez encore mis en place aucune règle, les colonnes Authentification, VPN SSL et IPSEC sont en «  Interdire  » par défaut, même si vous les avez configurées différemment au sein de l’onglet Options par défaut.

  • Page 139: Enregistrement Des Commandes De Configuration

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ENREGISTREMENT  DES  COMMANDES DE  CONFIGURATION ENREGISTREMENT  DES  COMMANDES DE  CONFIGURATION Lorsqu'il a été activé dans les préférences, le bouton d'enregistrement des commandes de configuration est affiché dans la partie droite du panneau supérieur de l'interface Web d'administration.

  • Page 140: Enrôlement

    ENRÔLEMENT ENRÔLEMENT Le service d'enrôlement web Stormshield Network permet à un utilisateur "inconnu" à la base des utilisateurs de demander la création de son compte d’accès (à Internet, au serveur mail, à tous les services qui nécessitent une authentification) et de son certificat.

  • Page 141: Propriétés Avancées

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ENRÔLEMENT E-mail Adresse e-mail de l’utilisateur. Celle-ci sera utile pour lui envoyer une réponse concernant sa demande d’enrôlement ou de certificat. Description Description indicative à l’utilisateur Téléphone Coordonnées téléphoniques de l’utilisateur Mot de passe Mot de passe de l’utilisateur Requête de certificat...

  • Page 142: Evénements Système

    Cette alarme est reportée dans les logs, et peut être envoyée par Syslog, (partie Traces - Syslog) ou par e-mail (voir module Alertes e-mails). Tracer  : Le firewall Stormshield Network n'effectue aucune action. Ceci est utile si vous voulez juste tracer certains flux sans appliquer d'action particulière.

  • Page 143: Liste Des Alarmes Système

    Lorsque vous sélectionnez un événement au sein de la liste en positionnant votre curseur dessus, un lien «  Afficher l’aide  » apparait. En cliquant sur celui-ci, vous serez renvoyé sur la base de connaissances Stormshield Network, donnant plus de détails sur les informations relatives à l’événement.
  • Page 144 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ÉVÉNEMENTS SYSTÈME User denied in IPSEC negotiation Utilisateur refusé dans la négociation IPSEC Antivirus: update failed Antivirus: Mise à jour échouée Antivirus: update successful Antivirus: Mise à jour réussie LDAP unreachable LDAP inaccessible DNS error Erreur DNS...
  • Page 145 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ÉVÉNEMENTS SYSTÈME The event returned an unhandled error Un évènement a renvoyé un code d'erreur non géré: code: The following slot activation did not L'activation de la plage horaire a renvoyé une erreur: succeed: System was not properly halted Le système n'a pas été...
  • Page 146 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ÉVÉNEMENTS SYSTÈME Backup successful Sauvegarde réussie Backup failed Sauvegarde échouée: Power: Alimentation: Connection error with agentAD: Erreur de connexion avec l'agentAD Topology change Changement de topologie Malicious file has been detected, hash: Un fichier malicieux a été...

  • Page 147: Filtrage Et Nat

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT FILTRAGE ET NAT Le Filtrage et le NAT sont réunis en un seul module et font partie du menu Politique de Sécurité. Evaluation du filtrage et impact du NAT La politique de filtrage est évaluée sur les adresses IP avant modification par le NAT, c'est-à-dire les adresses IP du paquet réseau avant qu’il n’atteigne le firewall.

  • Page 148: Sélection De La Politique De Filtrage

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Sélection de la politique de filtrage Le menu déroulant propose 10 politiques de filtrage préconfigurées, numérotées de 1 à 10 : «  Block all (1)  » Par défaut, cette politique de filtrage est activée en configuration d’usine. Seuls les ports correspondant à...

  • Page 149: Les Actions

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Les actions Activer cette Active immédiatement la politique en cours d’édition: Les paramètres enregistrés écrasent politique les paramètres en vigueur et la politique est appliquée immédiatement sur le firewall. AVERTISSEMENT Les règles de Filtrage et de NAT appartenant à...

  • Page 150: Onglet Filtrage

    FILTRAGE ET NAT Onglet Filtrage La technologie de prévention d’intrusion Stormshield Network inclut un moteur de filtrage dynamique des paquets («  stateful inspection  ») avec optimisation du traitement des règles permettant une application de la politique de filtrage de manière sûre et rapide.
  • Page 151 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Nouvelle règle Insérer une ligne prédéfinie ou à définir après la ligne sélectionnée. 5 choix sont possibles, les règles d’authentification, d’inspection SSL et de proxy HTTP explicite seront définies via un assistant dans une fenêtre à part  : Règle simple: Cette option permet de créer une règle vide laissant à...

  • Page 152: Les Interactions

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Supprimer Supprime la ligne sélectionnée. Monter Placer la ligne sélectionnée avant la ligne directement au-dessus. Descendre Placer la ligne sélectionnée après la ligne directement en dessous. Tout dérouler Étendre l’arborescence des règles.

  • Page 153: La Grille De Filtrage

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT apparaîtra ( ). Elle ne sera utilisable que si un autre objet que «  Any  » est sélectionné. Vous pourrez ainsi personnaliser les paramètres de votre trafic par le biais de l’icône suivante de 4 manières différentes ...
  • Page 154 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT le firewall est redémarré. Si aucune icône n’est affichée, cela signifie que l’information est indisponible. État Cette colonne affiche l’état On/ Off de la règle. Double-cliquez dessus pour changer l’état : en effectuant cette manipulation une fois, vous activez la règle de filtrage.
  • Page 155 Dans le cas d’un trafic UDP, une notification ICMP Destination Unreachable (Port Unreachable) sera envoyée à l’émetteur de celui-ci. En ce qui concerne les autres protocoles IP, le Firewall Stormshield Network bloque simplement le paquet correspondant à cette règle de filtrage.
  • Page 156 Cliquer sur Ok pour valider votre configuration. Onglet «  Qualité de service  » Le module de QoS, intégré au moteur de prévention d’intrusion Stormshield Network est associé au module Filtrage pour offrir les fonctionnalités de Qualité de Service. Dès sa réception  ; le paquet est traité par une règle de filtrage puis le moteur de prévention d’intrusion l’affecte à...
  • Page 157 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT permet notamment d'éviter le déni de service que pourrait tenter d'éventuels pirates : vous pouvez ainsi limiter le nombre de requêtes par seconde adressées à vos serveurs. Les paquets reçus une fois cette limite dépassée, seront bloqués et ignorés.
  • Page 158 Configuration avancée Compter Si vous cochez cette case, le firewall Stormshield Network comptera le nombre de paquets correspondants à cette règle de filtrage et génèrera un rapport. Il est ainsi possible d’obtenir des informations de volumétrie sur les flux désirés.
  • Page 159 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Onglet «  Général  » Général Utilisateur La règle s’appliquera à l’utilisateur que vous sélectionnerez dans ce champ. Vous pouvez filtrer l'affichage des utilisateurs selon la méthode ou l'annuaire LDAP désiré...
  • Page 160 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Réputation des adresses IP  publiques Sélectionnez une Ce champ permet d'appliquer la règle de filtrage aux machines dont l'adresse catégorie de réputation IP  publique est classifiée dans l'une des catégories de réputation prédéfinies : anonymiseur : proxies, convertisseurs IPv4 vers IPv6.
  • Page 161 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Port source Ce champ permet de préciser le port utilisé par la machine source, si c'est une valeur particulière. Par défaut, le module "Stateful" mémorise le port source utilisé et seul celui-ci est autorisé...
  • Page 162 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Réputation des adresses IP  publiques Sélectionnez une Ce champ permet d'appliquer la règle de filtrage aux machines destination dont catégorie de réputation l'adresse IP est classifiée dans l'une des catégories de réputation prédéfinies : anonymizer : proxies, convertisseurs IPv4 vers IPv6.
  • Page 163 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Publication ARP Cette option permet de pouvoir spécifier une publication ARP, lorsqu’on utilise une règle de filtrage avec du NAT sur la destination. Elle doit être activée si l'adresse IP publique de destination (avant application du NAT) est une IP virtuelle et n'est pas celle de l'UTM.
  • Page 164 System) détectera et bloquera les tentatives d’intrusion de la couche «  réseau  » à la couche «  applicative  » du modèle OSI. IDS (Détecter) En sélectionnant cette option, l’IDS Stormshield Network ( Intrusion Detection System ) détectera les tentatives d’intrusion sur votre trafic, mais sans les bloquer. Firewall (Ne pas Cette option ne donne accès qu’aux fonctions de base de sécurité...
  • Page 165 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Les boutons On/ Off vous permettent d’activer ou de désactiver l’analyse Sandboxing sandboxing (fichiers malveillants) au sein de votre règle de filtrage. NOTE L’activation de cette option nécessite l’utilisation de l’antivirus Kaspersky. NOTE Cette analyse est réalisée uniquement sur les protocoles HTTP, FTP, SMTP, POP3 et leurs variantes en SSL.

  • Page 166: Onglet Nat

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Vous pouvez ajouter une description permettant de distinguer plus facilement votre règle de filtrage et ses caractéristiques. Le commentaire des nouvelles règles indique la date de création et l'utilisateur l’ayant créée si celui-ci n’est pas le compte « ...
  • Page 167 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Nouvelle règle Insérer une ligne à configurer après la ligne sélectionnée, 4 choix sont possibles  : Règle simple : Cette option permet de créer une règle de NAT inactive et qui devra être paramétrée.
  • Page 168 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Supprimer Ce champ permet de supprimer la ligne sélectionnée. Monter Placer la ligne sélectionnée avant la ligne directement au-dessus. Descendre Placer la ligne sélectionnée après la ligne directement en dessous. Tout dérouler Étendre l’arborescence des règles.

  • Page 169: Les Interactions

    : Si deux clients passent par le même firewall, ils ne pourront pas se connecter sur un même serveur en même temps. Le moteur de prévention d’intrusion Stormshield Network va bloquer les paquets reçus par le second client.
  • Page 170 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Configuration avancée Nom de la règle Vous pouvez affecter un nom à la règle de NAT: ce nom est repris dans les logs est facilité l'identification de la règle de NAT lors d'une recherche dans les logs ou vues (menu Logs - journaux d'audit ).
  • Page 171 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Machines destinations Sélectionnez dans la base objets figurant dans la liste déroulante, la machine destinataire de votre trafic IP. Port destination Si vous souhaitez translater le port de destination du trafic, sélectionnez en un parmi les objets de la liste déroulante.
  • Page 172 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Répartition de charge Type de répartition Cette option permet de répartir les adresses IP sources d’émission du paquet après translation. La méthode de répartition de charge dépend de l’algorithme utilisé. Plusieurs algorithmes de répartition de charge sont disponibles ...
  • Page 173 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Répartition de charge Type de répartition Cette option permet de répartir la transmission de paquets entre plusieurs adresses IP de destination. La méthode de répartition de charge dépend de l’algorithme utilisé. Plusieurs algorithmes de répartition de charge sont disponibles ...
  • Page 174 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE ET NAT Commentaire Vous pouvez ajouter une description permettant de particulariser votre règle de NAT et ses caractéristiques. Page 172/464 sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020...

  • Page 175: Filtrage Smtp

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE SMTP FILTRAGE SMTP Ce module se compose de 2 zones  : Une zone destinée aux profils, Une zone destinée aux règles de filtrage SMTP. Les profils Le bandeau vous permet de manipuler les profils associés au filtrage SMTP. Sélection du profil Le menu déroulant propose 10 profils, numérotés de 00 à...

  • Page 176: Les Manipulations Possibles

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE SMTP Les manipulations possibles Les boutons disponibles sont les suivants : Ajouter Insérer une ligne à configurer après la ligne sélectionnée. Supprimer Supprimer la ligne sélectionnée. Monter Placer la ligne sélectionnée avant la ligne directement au-dessus. Descendre Placer la ligne sélectionnée après la ligne directement en dessous.

  • Page 177: Erreurs Trouvées Dans La Politique De Filtrage Smtp

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE SMTP *@compagnie.com permet de définir l’ensemble des emails domaine Internet de la société COMPAGNIE. Il est également possible de trouver  : ? : pour le remplacement d’un caractère <none>  : Cette valeur ne peut être obtenue que lorsque le champ Expéditeur est vide. Elle n’est utilisée que pour le cas des "Mailer Daemon".

  • Page 178: Filtrage Ssl

    Le filtrage SSL est désormais intégré à la nouvelle politique de sécurité des firewalls multifonctions Stormshield Network. Ce module permet de filtrer l’accès aux sites web sécurisés. Il rend possible l’autorisation et l’interdiction des sites web ou des certificats comportant des risques.

  • Page 179: Les Règles

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE SSL Les règles Référez-vous à la procédure suivante pour éditer un profil de filtrage SSL  : Sélectionnez un profil dans la liste des profils de filtrage SSL. La grille de filtrage se présente ainsi qu’un écran d’indication d’erreur. Les manipulations possibles La sélection multiple permet d’assigner une même action à...

  • Page 180: Erreurs Trouvées Dans La Politique De Filtrage Ssl

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE SSL État État de la règle  : Activé, la règle est utilisée pour le filtrage. Désactivé, la règle n’est pas utilisée pour le filtrage. Lorsque la règle est désactivée, la ligne est grisée afin de refléter la désactivation. REMARQUE Le firewall va évaluer les règles dans leur ordre d’apparition à...
  • Page 181 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE URL FILTRAGE URL Ce module se compose de 2 zones  : Une zone destinée aux profils, Une zone destinée aux règles de filtrage d’URL. Les profils Le bandeau vous permet de manipuler les profils associés au filtrage URL. Sélection du profil Le menu déroulant propose 10 profils, numérotés de 00 à...
  • Page 182 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE URL La grille de filtrage se présente ainsi qu’un écran listant les erreurs présentes dans la politique. Les manipulations possibles La sélection multiple permet d’assigner une même action à plusieurs règles. Sélectionnez plusieurs règles se succédant à...
  • Page 183 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 FILTRAGE URL État État de la règle  : Activé, la règle sera active lorsque cette politique de filtrage sera sélectionnée. Désactivé, la règle ne sera pas opérationnelle. La ligne sera grisée afin de refléter la désactivation.
  • Page 184 «  passif  » prend le relai de manière transparente. Ainsi, le firewall «  passif  » devient «  actif  ». Une vidéo de la WebTV Stormshield Network sur YouTube vous guide pas à pas pour la configuration d’un groupe de firewalls Stormshield Network (cluster). Cliquez sur ce lien pour accéder à...
  • Page 185 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 HAUTE DISPONIBILITE AVERTISSEMENT Il est important de ne pas "créer" deux fois de cluster, au quel cas, vous mettriez en place deux clusters HA contenant chacun un firewall, et non un cluster HA contenant 2 firewalls. NOTE Il est possible de forcer le passage à...
  • Page 186 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 HAUTE DISPONIBILITE Lien secondaire (facultatif) Si le firewall ne reçoit pas de réponse sur le lien principal, il va tenter de se connecter à ce lien secondaire. Cela évite que les deux firewalls passent en mode actif/actif si un problème survient sur le lien principal.
  • Page 187 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 HAUTE DISPONIBILITE En cas de cluster existant Adresse IP du firewall à Entrez l'adresse IP que vous avez défini dans l'assistant lors de la création du cluster contacter (adresse IP du lien principal ou secondaire). Clé...
  • Page 188 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 HAUTE DISPONIBILITE Configuration avancée Modifier la clé pré-partagée entre les firewalls du groupe de haute disponibilité Nouvelle clé pré- Ce champ permet de modifier la clé pré-partagée ou le mot de passe défini lors de la partagée création du cluster.
  • Page 189 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 HAUTE DISPONIBILITE Activer l'agrégation de En cochant cette case, vous activez l'agrégation de liens sur le firewall même si celui- liens lorsque le firewall ci devient passif au sein du cluster. est passif Transmettre En cochant cette case, vous enverrez, à...
  • Page 190 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES INTERFACES Le module Interfaces permet de gérer, ajouter, supprimer des éléments réseaux appelés "interfaces réseau" qui représentent des éléments physiques ou non de communication entre les différents réseaux qui transitent par le boîtier. Les bridges se composent de 3 onglets, les interfaces se composent de 2 onglets (ethernet et vlan) et les modems d’1 seul onglet.
  • Page 191 En mode hybride : certaines interfaces possèdent la même adresse IP et d'autres ont une adresse distincte. Le mode hybride utilise une combinaison des deux modes précédents. Ce mode ne peut être employé que pour les produits Stormshield Network possédant plus de deux interfaces réseau. Vous pouvez définir plusieurs interfaces en mode transparent. Exemple Zone interne et DMZ, ou zone externe et DMZ, et certaines interfaces dans un plan d'adressage différent.
  • Page 192 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES sont indiqués). Le panneau de configuration (panneau central)  : en cliquant sur une interface via l’arborescence des interfaces, sa configuration s’affiche dans ce panneau. La barre d’outils  : cette barre permet  : d’ajouter ou de supprimer des interfaces (bridge, modem), d’étendre ou de réduire l’arborescence des interfaces, de choisir selon 3 types de vue ...
  • Page 193 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES Les interfaces ethernets possèdent un nom propre (ex : "Out") et un nom technique (ex : "0"). Le port physique est affiché entre crochets après le nom des interfaces. La barre d’outils Ajouter Ce bouton vous permet d’ouvrir l’assistant de création d’un bridge, d’un vlan, d’un...
  • Page 194 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES Identification du bridge Nom utilisateur de l'interface. (Voir l’avertissement en introduction de la section Interfaces) Commentaire Permet de donner un commentaire pour l'interface. Plan d’adressage IP fixe (statique) En cochant cette option, le bridge a un adressage statique. Il faut dans ce cas indiquer son adresse IP et le masque de réseau du sous-réseau auquel appartient le bridge.
  • Page 195 Ces alias peuvent vous permettre d’utiliser ce firewall Stormshield Network comme un point de routage central. De ce fait, un bridge peut être connecté à différents sous-réseaux ayant un adressage différent. Pour les ajouter ou les retirer, il suffit d’utiliser les boutons d’action Ajouter et Supprimer situés au-dessus des champs du tableau.
  • Page 196 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES DHCP NOTE Indication «  désactivé  » si l’option IP dynamique (obtenue par DHCP) n’est pas cochée dans l’onglet Général et les options sont grisées. Nom DNS (facultatif) Nom du serveur DNS (FQDN) pour la connexion. Ce champ facultatif, n’identifie pas le serveur DHCP mais le firewall.
  • Page 197 Dans ce cas, il est impératif que ce changement du numéro de révision soit répété à l’identique sur l’ensemble des équipements de la région concernée. REMARQUE Sur un Firewall Stormshield Network, une configuration MSTP ne peut définir qu’une seule région. Grille des instances MSTP Cette grille permet de définir les différentes instances déclarées dans la configuration du...
  • Page 198 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES Confirmez ou non votre suppression. Si vous confirmez la suppression, une vérification est faite (check) pour voir si l’interface est utilisée. NOTE La suppression d’un bridge désactive les interfaces qu’il contenait ainsi que le passage de celles-ci vers une configuration en DHCP.
  • Page 199 Ces alias peuvent vous permettre d’utiliser ce firewall Stormshield Network comme un point de routage central. De ce fait, un bridge peut être connecté à différents sous-réseaux ayant un adressage différent. Pour les ajouter ou les retirer, il suffit d’utiliser les boutons d’action Ajouter et Supprimer situés au-dessus des champs du tableau.
  • Page 200 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES DHCP NOTE Indication «  désactivé  » si l’option IP dynamique (obtenue par DHCP) n’est pas cochée dans l’onglet Configuration de l’interface et les options sont grisées. Nom DNS (facultatif) Nom du serveur DNS (FQDN) pour la connexion.
  • Page 201 : "Détection automatique", "10 Mb Half duplex", "10 Mb Full duplex", "100 Mb Half duplex", "100 Mb Full duplex", "1 Gbps Full duplex". AVERTISSEMENT Si le firewall est directement connecté à un modem ADSL, Stormshield Network vous recommande de forcer le média que vous voulez utiliser sur l’interface en question.
  • Page 202 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES IP fixe (statique) En cochant cette option, l’interface a un adressage statique. Il faut dans ce cas indiquer son adresse IP et le masque réseau. IP dynamique En cochant cette option, l’interface est définie par DHCP. Il faut dans ce cas indiquer (obtenue par DHCP) un nom d’hôte DHCP et une durée de bail.
  • Page 203 Ces alias peuvent vous permettre d’utiliser ce firewall Stormshield Network comme un point de routage central. De ce fait, un bridge peut être connecté à différents sous-réseaux ayant un adressage différent. Pour les ajouter ou les retirer, il suffit d’utiliser les boutons d’action Ajouter et Supprimer situés au-dessus des champs du tableau.
  • Page 204 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES VLAN attaché à une Les firewalls multifonctions Stormshield Network peuvent se placer en terminaison de seule interface VLAN pour ajouter ou retirer un tag VLAN. Le firewall assure le filtrage entre VLAN et (extrémité...
  • Page 205 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES Identification du VLAN Saisissez un nom unique pour votre VLAN. Identifiant de VLAN Ce champ permet de spécifier quelle sera la valeur associée au VLAN dans les paquets transitant sur le réseau. Ce tag identifie le VLAN et est utilisé au niveau Ethernet.
  • Page 206 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES Utiliser la même Lorsque vous cochez cette case, une valeur identique est automatiquement affectée au champ Priorité (CoS) dans les propriétés du VLAN  sortant. priorité pour le VLAN sortant Cliquez de nouveau sur Suivant.
  • Page 207 Ces alias peuvent vous permettre d’utiliser ce firewall Stormshield Network comme un point de routage central. De ce fait, un bridge peut être connecté à différents sous-réseaux ayant un adressage différent. Pour les ajouter ou les retirer, il suffit d’utiliser les boutons d’action Ajouter et Supprimer situés au-dessus des champs du tableau.
  • Page 208 Cette option vous permet de spécifier une adresse MAC pour une interface plutôt que d’utiliser l’adresse allouée par le firewall. Cela vous permet de faciliter d’autant plus l’intégration en mode transparent de votre firewall Stormshield Network dans votre réseau (en spécifiant l’adresse MAC de votre routeur plutôt que d’avoir à reconfigurer tous les postes utilisant cette adresse MAC).
  • Page 209 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES Routage sans analyse NOTE Indication «  désactivé  » si l’option Plan d’adressage hérité du bridge n’est pas cochée dans l’onglet Configuration de l’interface et les options sont grisées. Autoriser sans Permet de laisser passer les paquets IPX (réseau Novell), NetBIOS (sur NETBEUI), analyser paquets AppleTalk (pour les machines Macintosh), PPPoe ou IPv6 entre les interfaces...
  • Page 210 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES En confirmant la suppression, une vérification de l’utilisation de l’interface (check) est faite. Création d’un modem Les interfaces modem sont utilisées dans le cas de connexions distantes lorsque votre modem est branché...
  • Page 211 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES Définir la taille En cochant cette case, le firewall adaptera automatiquement la taille des paquets maximum des paquets échangés au travers du modem afin que ceux-ci ne subissent pas de fragmentation. TCP (MSS) pour éviter leur fragmentation.
  • Page 212 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES A la liste des La machine Firewall_  <nom du modem>_peer est ajoutée parmi les passerelles passerelles principales principales. S’il n’y a pas de passerelle principale, un écran s’affiche demandant si vous souhaitez définir une passerelle principale (routeur par défaut).
  • Page 213 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES Commentaire Permet de donner un commentaire pour le modem. Type de modem Indication du type de modem choisi lors de la création. Couleur Couleur attribuée au modem. Authentification Identifiant Nom utilisé...
  • Page 214 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES Demander les serveurs Lorsque cette option est cochée, le firewall récupère les serveurs DNS auprès du DNS et créer les objets serveur DHCP (fournisseur d’accès par exemple) qu’il contacte pour obtenir son machines associés adresse IP.
  • Page 215 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES Suppression d’un modem Pour supprimer un modem, sélectionnez-le dans l’arborescence des interfaces, puis cliquez sur le bouton Supprimer de la barre d’outils. Le message «  Voulez-vous réellement supprimer cette interface ...
  • Page 216 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES Paramètres du modem Si votre clé USB/Modem n'est pas reconnue automatiquement (option Détection automatique), sélectionnez l'un des deux profils personnalisés et complétez les champs suivants : Activer : cette case à cocher active la prise en compte du paramétrage personnalisé du modem. Saisissez un nom pour caractériser le paramétrage personnalisé...
  • Page 217 (besoin de création d’alias par exemple). Ces alias peuvent vous permettre d’utiliser ce firewall Stormshield Network comme un point de routage central. De ce fait, une interface USB/Ethernet peut être connectée à différents sous-réseaux ayant un adressage différent. Pour les ajouter ou les retirer, il suffit d’utiliser les boutons d’action Ajouter et Supprimer situés au-dessus des...
  • Page 218 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES La configuration d’une interface GRETAP est réalisée au moyen d’un assistant vous permettant de créer de manière simple l'interface. Cliquez sur le bouton Ajouter puis Ajouter une interface GRETAP. L’écran suivant s’affiche  : Configuration globale Indiquez un nom unique pour l’interface GRETAP (obligatoire).
  • Page 219 Ces alias peuvent vous permettre d’utiliser ce firewall Stormshield Network comme un point de routage central. De ce fait, un bridge peut être connecté à différents sous-réseaux ayant un adressage différent. Pour les ajouter ou les retirer, il suffit d’utiliser les boutons d’action Ajouter et Supprimer situés au-dessus des champs du tableau.
  • Page 220 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES DHCP NOTE Indication «  désactivé  » si l’option IP dynamique (obtenue par DHCP) n’est pas cochée dans l’onglet Configuration de l’interface et les options sont grisées. Nom DNS (facultatif) Nom du serveur DNS (FQDN) pour la connexion.
  • Page 221 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES Préserver le routage Cette option demande au firewall de ne pas modifier la destination dans la couche initial Ethernet lorsqu'un paquet le traverse. Le paquet sera réémis à destination de la même adresse MAC qu'à...
  • Page 222 : "Détection automatique", "10 Mb Half duplex", "10 Mb Full duplex", "100 Mb Half duplex", "100 Mb Full duplex", "1 Gbps Full duplex". AVERTISSEMENT Si le firewall est directement connecté à un modem ADSL, Stormshield Network vous recommande de forcer le média que vous voulez utiliser sur l’interface en question.
  • Page 223 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES VIRTUELLES INTERFACES VIRTUELLES Le module Interfaces virtuelles permet de gérer, ajouter, supprimer des éléments réseaux virtuels. Selon leur nature, ces interfaces virtuelles pourront être utilisées dans une configuration de routage dynamique (interfaces de type loopback), pour établir des tunnels (interfaces GRE) ou des tunnels routés (interfaces IPSec).
  • Page 224 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES VIRTUELLES Présentation de la grille La grille présente cinq informations : Etat Etat des interfaces : Activé : Double-cliquez pour activer l’interface créée. Désactivé : L’interface n’est pas opérationnelle. La ligne sera grisée afin de refléter la désactivation.
  • Page 225 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES VIRTUELLES Les interactions Certaines opérations, listées dans la barre des tâches, peuvent être réalisées en effectuant un clic droit sur la grille des interfaces GRE : Ajouter, Supprimer, Vérifier l'utilisation. Présentation de la grille La grille présente sept informations : Etat...
  • Page 226 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 INTERFACES VIRTUELLES Les interactions Certaines opérations, listées dans la barre des tâches, peuvent être réalisées en effectuant un clic droit sur la grille des interfaces loopback : Ajouter, Supprimer, Vérifier l'utilisation. Présentation de la grille La grille présente quatre informations : Etat...
  • Page 227 Support de stockage  : Carte SD La fonctionnalité de Stockage externe des traces sur carte SD est disponible pour les firewalls modèles SN160(W), SN210(W) et SN310. Cette fonctionnalité est proposée en souscrivant à l’option « External storage ». Le type de carte SD doit être au minimum de Classe 10 (C10) UHS Classe 1 (U1) ou App Performance (A1) et de standard SDHC ou SDXC.
  • Page 228 USB ou un disque dur externe. Pour plus d’information, consultez les Guides PRÉSENTATION ET INSTALLATION DES PRODUITS NETASQ SÉRIE U - Modèles S ou PRÉSENTATION ET INSTALLATION DES PRODUITS STORMSHIELD NETWORK Gamme SN disponibles sur le site de Documentation Technique Stormshield.
  • Page 229 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 LOGS - JOURNAUX D'AUDIT Mode Recherche avancée En mode avancé, vous pouvez combiner plusieurs critères de recherche. Ces critères doivent être remplis conjointement pour être affichés, car les critères de recherche se cumulent. Cette combinaison de critères de recherche peut alors être enregistrée en tant que « ...
  • Page 230 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 LOGS - JOURNAUX D'AUDIT Exporter les données Matérialisé par le symbole , ce bouton permet de télécharger les données au format CSV. Les valeurs sont séparées par des virgules et enregistrées dans un fichier texte.
  • Page 231 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 LOGS - JOURNAUX D'AUDIT Accéder à la règle de sécurité correspondante : raccourci pour ouvrir le module Filtrage et NAT et surligner la règle de sécurité correspondant à la ligne de trace sélectionnée. Copier la ligne sélectionnée dans le presse-papier : raccourci pour copier les données de la ligne de logs sélectionnée dans le presse-papier.
  • Page 232 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 LOGS - JOURNAUX D'AUDIT Pour 1 minute, Pour 5 minutes, Pour 30 minutes, Pour 3 heures. Une fois ce délai de quarantaine écoulé, l'objet considéré est de nouveau autorisé à traverser le firewall en respect de la politique de sécurité...
  • Page 233 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 LOGS - JOURNAUX D'AUDIT Réinitialiser le score de réputation de cet objet : en cliquant sur ce menu, le score de réputation de l'objet sélectionné est remis à zéro. Placer cet objet en liste noire : permet de positionner une machine, une plage d'adresses IP ou un réseau en liste noire (quarantaine).
  • Page 234 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 LOGS - JOURNAUX D'AUDIT s’affiche, permettant  : d’enregistrer l’objet dans la base s’il s’agit d’un numéro de port, de l'ajouter à un groupe existant. Ce groupe peut correspondre à un groupe de services interdits.
  • Page 235 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 LOGS - JOURNAUX D'AUDIT Alarmes Cette vue affiche le journal Alarmes selon une certaine catégorisation; ce journal affiche uniquement les traces dont la catégorie d'appartenance de l'alarme n’est pas filter. Trois filtres prédéfinis ...
  • Page 236 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 LOGS - JOURNAUX D'AUDIT Les Journaux Voici la liste de Journaux affichés dans le menu et le nom du fichier de traces correspondant sur le firewall  : Administration l_server Alarmes l_alarm Authentification l_auth...
  • Page 237 Dernière vérification d’une mise à jour de licence effectuée le  : dernière date à laquelle une demande de recherche de licence a été faite manuellement ou automatiquement. Le firewall Stormshield Network est livré par défaut avec l'ensemble de ses fonctionnalités. Cependant, certaines fonctionnalités (filtrage URL, Haute Disponibilité...) sont optionnelles et ne sont pas activées.
  • Page 238 Ce champ vous permet d’insérer votre licence préalablement récupérée sur le site web Stormshield Network et ainsi activer la configuration de votre firewall. Le bouton Installer le fichier de licence valide l’installation du fichier de licence sur le boîtier. Les informations concernant votre firewall sont modifiées et les nouvelles options sont...
  • Page 239 Si l’option n’a pas changé, rien n’est indiqué. Administration Manager Administration possible via l’interface Web. (Valeur par défaut  : 1). Monitor Monitoring possible via Stormshield Network REALTIME MONITOR (Valeur par défaut  : 1). Date Antispam Date limite de mise à jour des bases de spams DNSBL. Antivirus Date limite de mise à...
  • Page 240 URLFiltering Date limite de mise à jour des bases de filtrage d’URL Stormshield Network. URLVendor Date limite de mise à jour des bases de filtrage d’URL Stormshield Network Extended Web Control. Update Date limite de mise à jour du boîtier.
  • Page 241 SpamVendor Active ou désactive le moteur heuristique de filtrage des spams. (Valeur par défaut  : URLFiltering Active ou désactive le filtrage d’URL via la base Stormshield Network dans le proxy. (Valeur par défaut  : 1). URLVendor Active ou désactive le filtrage d’URL via la base Stormshield Network Extended Web Control dans le proxy.
  • Page 242 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 LICENCE Le fonctionnement de cet onglet est identique à celui de la licence locale. Page 240/464 sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020...

  • Page 243: Management Des Vulnérabilités

    Activer la détection En cochant cette option, la détection des vulnérabilités est activée et les informations d’applications et de seront visibles notamment depuis le Stormshield Network REALTIME MONITOR. vulnérabilités REMARQUE Lors de la mise à jour (et si vous avez acquis la licence), le module Management de Vulnérabilités sera activé...
  • Page 244 Les rapports détaillés comportent un résumé des vulnérabilités, ainsi que leur description détaillée (famille, client, possibilité d’exploitation à distance), ainsi qu’un lien vers sa référence dans la base de connaissance Stormshield Network, qui inclut généralement des indications sur le correctif à appliquer.

  • Page 245: Configuration Avancée

    Le profil «  Toutes les applications connues  » Il permet d’attribuer à un objet (machine, groupe, réseau ou plage d’adresses), la détection de toutes les vulnérabilités clientes / serveurs et systèmes d’exploitation détectées par Stormshield Network Vulnerability Manager. Configuration avancée Durée de vie d’une information (jours) [1 –...
  • Page 246 Onglet «  Mise à jour du système  » Une vidéo de la WebTV Stormshield Network sur YouTube vous guide pas à pas pour la Mise à jour d'un groupe de firewalls Stormshield Network (cluster). Cliquez sur ce lien pour accéder à la vidéo ...
  • Page 247 La sauvegarde périodique de votre configuration est maintenant proposée avec le service «  Cloud backup  ». Ces sauvegardes peuvent être stockées sur un serveur HTTP/HTTPS local ou externalisé, ou encore au sein de l’infrastructure proposée par le service Stormshield Network Cloud backup.
  • Page 248 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 MAINTENANCE NOTE  Il est recommandé de protéger le fichier de sauvegarde par un mot de passe qui devra être conservé soigneusement. En effet, ce dernier ne pourra être ni récupéré, ni réinitialisé par le support technique.
  • Page 249 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 MAINTENANCE POST - control name En cas d’utilisation de la méthode d’envoi POST, ce champ indique le nom de contrôle présent dans l’en-tête des paquets HTTP. Selon votre choix de sauvegarde par Cloud auto-backup ou sur un serveur personnalisé, vous pouvez sélectionner les paramètres suivants ...
  • Page 250 Onglet « Configuration » Disque système Il est question du disque système de votre firewall multifonction Stormshield Network. Vous utilisez actuellement la partition : le disque système de votre firewall est découpé en deux partitions permettant de sauvegarder vos données.
  • Page 251 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 MAINTENANCE Haute disponibilité Forcer un firewall à Dans le cas où les deux firewalls de votre groupe HA se retrouvent dans l’état actif ou rester actif démarrent en même temps, cette option permet de désigner l’un des membres comme prioritaire pour rester actif.
  • Page 252 Ce champ permet de modifier le texte du message reçu si un virus est détecté dans un mail. Exemple  :Le firewall Stormshield Network a détecté un virus dans cet e-mail, il a été extrait par l’antivirus intégré, les pièces jointes infectées ont été supprimées.
  • Page 253 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 MESSAGES DE BLOCAGE appartient le site web non autorisé. Exemple  : Cette page n’est pas autorisée par la politique de la société. Elle fait partie de la catégorie :  «  Jeux  ». La page de blocage est totalement personnalisable.
  • Page 254 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 MESSAGES DE BLOCAGE $protected_cat_group Nom de la catégorie - encodée dans un format manipulable par le navigateur ou le client mail $url_rule Numéro de la règle de blocage de la politique de filtrage URL $url_policy Numéro de la politique de filtrage URL Pour afficher l’URL complète, il faut concaténer les 2 variables comme suit ...
  • Page 255 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 OBJETS RÉSEAU OBJETS RÉSEAU Ce module regroupe les objets réseau et les objets temps. Il est divisé en deux parties : La barre d’actions en haut, permettant de trier et de manipuler les objets. Deux colonnes dédiées aux objets ...

  • Page 256: Les Interactions

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 OBJETS RÉSEAU Importer Lorsque vous cliquez sur ce bouton (matérialisé par l'icône ), une fenêtre vous permet de sélectionner une base objets sous la forme d'un fichier CSV afin de l'importer dans le firewall.
  • Page 257 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 OBJETS RÉSEAU Objet temps Matérialisée par l’icône , cette option permet d’afficher uniquement les objets temps. Groupe de régions Matérialisée par l’icône , cette option permet d’afficher uniquement les groupes géographiques.
  • Page 258 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 OBJETS RÉSEAU Réseau Sélectionnez un réseau pour visualiser ou éditer ses propriétés. Ils possèdent chacun un nom, une IP et un masque réseau. Nom de l’objet Nom donné à l’objet lors de sa création. Ce champ est modifiable, il faudra cliquer sur « ...
  • Page 259 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 OBJETS RÉSEAU Machine(Obligatoire) Un clic sur cette colonne ouvre la base d'objets afin de sélectionner une machine  composant le routeur. Équipement(s) pour Machine ou groupe de machines à tester (ping) afin de définir la connectivité de la tester la disponibilité...
  • Page 260 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 OBJETS RÉSEAU Activer toutes les Lorsque cette case est cochée, toutes les passerelles de secours sont activées dès passerelles de secours que la condition d’activation est remplie. Si elle est décochée, seule la première en cas d’indisponibilité...
  • Page 261 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 OBJETS RÉSEAU Nom de l’objet Nom du service utilisé. Ce champ est grisé et non modifiable. Port Numéro du port associé au service sélectionné. Plage de ports En cochant cette case, vous attribuerez une plage de ports au service sélectionné et dégrisez les deux cases du dessous.
  • Page 262 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 OBJETS RÉSEAU Éditer ce groupe Ce bouton comporte une boîte de dialogue d’ajout d’objet(s) au sein du groupe. Deux colonnes apparaissent  : Celle de gauche comporte la liste de tous les objets réseau que vous pouvez ajouter à...
  • Page 263 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 OBJETS RÉSEAU Éditer ce groupe Ce bouton comporte une boite de dialogue permettant d’ajouter des pays ou continents au sein du groupe. Lorsque vous cliquez dessus, vous pouvez, d’une part, changer le nom du groupe et lui attribuer un commentaire, et d’autre part, effectuer une recherche de pays ou continents et en inclure de nouveaux au sein du groupe.
  • Page 264 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 OBJETS RÉSEAU Jour(s) de la semaine Les jours concernés par l’événement sont marqués par cette icône . Si vous souhaitez en retirer un, cliquez une fois dessus. Si vous souhaitez en appliquer un supplémentaire, comme le samedi par exemple, cliquez une fois sur la case « ...
  • Page 265 Base d’URL  : Suivant le type d’option souscrite, les listes d’URL disponibles sont mises à jour par des fournisseurs différents (parmi Stormshield Network ou Stormshield Network Extended Web Control). Les listes d’URL Stormshield Network sont proposées par défaut. Pour connaître les caractères autorisés ou interdits des différents champs à renseigner, reportez- vous à...
  • Page 266 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 OBJETS WEB Supprimer Supprime une catégorie existante. Sélectionnez la ligne à supprimer puis cliquez. Un message de confirmation s’affiche  et si la catégorie est utilisée, un message d’avertissement vous demande à nouveau ce que vous souhaitez faire. Permet de vérifier si la catégorie sélectionnée au préalable est utilisée dans une Vérifier l’utilisation configuration.
  • Page 267 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 OBJETS WEB La grille présente les éléments indiqués ci-dessous  : Nom de l’URL Nom de l’URL. Il peut contenir des méta-caractères (wildcard) Commentaire Vous avez la possibilité d’ajouter un commentaire pour décrire chaque URL listée. Onglet « ...
  • Page 268 Cet onglet permet de modifier le fournisseur de catégories d’URL/nom de certificat. Suivant le type d’option souscrite (Voir la politique tarifaire Stormshield Network en cours), les listes d’URL disponibles sont mises à jour dynamiquement par un fournisseur de Base URL. Par défaut lorsqu’un service de maintenance "standard"...
  • Page 269 Un clic sur ce bouton ou appuyer sur la touche «  Entrée  » permet d’envoyer les informations de connexion au firewall. AVERTISSEMENT Le firewall Stormshield Network est sensible à la casse, il fait la différence entre les majuscules et les minuscules, aussi bien pour le nom d'utilisateur que pour le mot de passe.
  • Page 270 Le compte «  admin  », super administrateur Par défaut, il n’existe qu’un seul utilisateur possédant des droits d’administration des produits Stormshield Network, le compte "admin". Cet administrateur possède tous les droits. Il peut effectuer certaines opérations comme modifier la méthode d'authentification d’un utilisateur par exemple.
  • Page 271 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PORTAIL D’IDENTIFICATION REMARQUE Etant donné les droits du compte "admin", Stormshield Network conseille de n’utiliser ce compte qu’en test ou dans le cas d’une maintenance. Seul l’  «  admin  » peut attribuer des droits d’administration à d’autres utilisateurs.
  • Page 272 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PRÉFÉRENCES PRÉFÉRENCES Ce module est accessible via le bouton en haut de votre écran IHM. Il va vous permettre de gérer les paramètres de votre interface web. Selon vos choix d’options, vous pourrez gagner en ergonomie et en rapidité. Paramètres de connexion Se connecter En cochant cette option, vous n’aurez plus besoin de vous identifier, vous serez...
  • Page 273 Liens externes URL d’accès à l’aide en Cette URL vous rappelle l’adresse d’accès à l’aide en ligne Stormshield Network  : vous ligne y trouverez l’arborescence des modules par ordres alphabétique. Cliquez sur le module de votre choix afin d’afficher la page correspondante.
  • Page 274 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PRÉFÉRENCES Nombre de caractères Indiquez le nombre de caractères devant être saisis dans le champ de recherche afin minimum pour lancer la de filtrer automatiquement les données sur cette valeur. recherche (0 pour désactiver) Page 272/464...
  • Page 275 à jour automatiquement et seront livrées avec la nouvelles alarmes signature Stormshield Network. Les trois options suivantes seront grisées car vous aurez fait le choix d’une configuration automatique. Si vous souhaitez les appliquer vous-mêmes, décochez la case et définissez les paramètres des champs suivants.
  • Page 276 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROFILS D’INSPECTION Considérer l'(es) En cochant cette case, les interfaces IPSec deviennent des interfaces internes et interface(s) IPsec donc protégées. comme interne(s) Tous les réseaux pouvant se présenter au travers des tunnels IPSec doivent alors être (s'applique à...
  • Page 277 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES PROTOCOLES Ce module contient la liste des divers protocoles configurables depuis votre interface web. Il est divisé en 2 zones distinctes  : La liste des protocoles (colonne de gauche). Certains protocoles sont regroupés par thématique : Messageries instantanées, Protocoles IP (ICMP, IP, SCTP et TCP-UDP),...
  • Page 278 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Les boutons Editer Cette fonction permet d’effectuer 3 actions sur les profils  : Renommer  : en cliquant sur cette option, une fenêtre composée de deux champs à remplir s’affiche. Celle-ci propose de modifier le nom d’une part et d’ajouter un commentaire d’autre part.
  • Page 279 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES le trafic HTTPS sera analysé par le plugin SSL le trafic déchiffré par le proxy SSL sera analysé par le plug-in HTTP Proxy Cette option s’active en configuration globale des protocoles HTTP, SMTP, POP3 et SSL. Elle s’applique à...
  • Page 280 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES SSL : liste des ports TCP par défaut Cette option est proposée pour la liste des ports TCP par défaut. Les ports par défaut des protocoles ajoutés seront analysés par le plugin SSL. Proxy Cette option s’applique à...
  • Page 281 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES ICQ – AOL IM (OSCAR) L’écran des profils Onglet «  IPS  » Détecter et inspecter Si le protocole est activé, l'inspection sera automatiquement appliquée à la automatiquement le découverte d'un trafic correspondant, autorisé par le filtrage. protocole Support Désactiver la...
  • Page 282 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES ICMP Onglet «  IPS  » Paramètres de session (en secondes) Expiration d’une session Cette valeur doit être comprise entre 2 et 60 secondes. Support Ignorer les notifications En cochant cette option, vous ne prendrez pas en compte les messages d’erreur ICMP (suivi d’état pouvant intervenir au sein des protocoles, comme l’inaccessibilité...
  • Page 283 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Onglet «  IPS  » Configuration spécifique Nombre max. Ce paramètre définit le nombre maximum d'adresses IP  autorisées pour une extrémité d'association SCTP ( multi-homing ). d'adresses IP par extrémité [1-8] Expiration (en secondes) Délai de négociation Temps maximum autorisé...
  • Page 284 TCP avec un aléa fort serveur seront écrasés et remplacés par le moteur de prévention d’intrusion (arc4) Stormshield Network, qui produira des numéros de séquence aléatoires. Protéger contre l’envoi En cochant cette option, vous vous protégez contre le vol de session, ou attaque de répété...

  • Page 285: Paramètres

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES BACnet/IP Gestion des services Onglet "Services avec confirmation" Cette grille recense les identifiants et services avec confirmation BACnet/IP associés (services nécessitant une réponse) prédéfinis dans le firewall. Ces codes sont classifiés par jeu de services (Service choice) : Alarm and Event, File Access, Object Access, Remote Device Management, Virtual Terminal et Security.
  • Page 286 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Gestion des services Onglet Services standards Cette liste recense les identifiants de services et les services CIP standards associés que le firewall autorise par défaut. L'action (Analyser / Bloquer) appliquée à chaque service peut être modifiée en cliquant dans la colonne Action.
  • Page 287 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Autres commandes autorisées Cette liste permet d'autoriser des commandes EtherNet/IP additionnelles bloquées par défaut par le firewall. Il est possible d’Ajouter ou de Supprimer des éléments de cette liste en cliquant sur les boutons du même nom.
  • Page 288 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Autres identifiants de type autorisés Cette liste permet d'autoriser des identifiants supplémentaires. Il est possible d’Ajouter ou de Supprimer des éléments de cette liste en cliquant sur les boutons du même nom. Support Désactiver la En cochant cette option, l'analyse du protocole sera désactivée et le trafic sera...
  • Page 289 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Autres opérations autorisées Cette liste permet d'autoriser des codes de fonction additionnels bloqués par défaut par le firewall. Il est possible d’Ajouter ou de Supprimer des éléments de cette liste en cliquant sur les boutons du même nom.
  • Page 290 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES modifier l'action (Analyser / Bloquer) appliquée au jeu de services sélectionné ou à l'ensemble des services OPC DA listés dans la grille. OPC HDA Gestion des services Services prédéfinis Cette grille recense les services OPC ...
  • Page 291 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Support Désactiver la En cochant cette option, l'analyse du protocole OPC  UA sera désactivée et le trafic prévention d’intrusion sera autorisé si la politique de filtrage le permet. Tracer chaque requête Active ou désactive les logs permettant de tracer les requêtes OPC ...
  • Page 292 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES UMAS Le protocole UMAS (Unified Messaging Application Services) est la propriété intellectuelle de la société Schneider Electric. Paramètres UMAS Taille max. d'un Cette valeur permet de limiter la taille autorisée d'un message. Elle doit être comprise message (en octets) entre 10 et 4096 (valeur par défaut: 1480).
  • Page 293 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Microsoft Appel de procédure à distance (RPC) Onglet "Services MS-RPC prédéfinis" Le protocole DCE/RPC permet le lancement des procédures hébergées à distance. Ces services dits MS-RPC, prédéfinis pour les principales Applications Microsoft sont par défaut autorisés. Ces services classés par Applications peuvent être autorisés/interdits individuellement ou par groupe en sélectionnant plusieurs service à...
  • Page 294 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES L’écran des profils Onglet «  IPS  » Détecter et inspecter Si le protocole est activé, l'inspection sera automatiquement appliquée à la automatiquement le découverte d'un trafic correspondant, autorisé par le filtrage. protocole Taille maximale des éléments (en octets) Nom des fichiers...
  • Page 295 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Relayer uniquement Si l’option est cochée, seuls les services Microsoft Exchange seront relayés par le vers les services serveur EPMAP. Microsoft Exchange Support Désactiver la En cochant cette option, l'analyse du protocole EPMAP sera désactivée et le trafic prévention d’intrusion sera autorisé...
  • Page 296 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Commandes RTCP interdites Il est possible d’interdire des commandes RTCP au sein de la prévention d’intrusion, dans la limite de 115 caractères. Support Désactiver la En cochant cette option, l'analyse du protocole RTCP sera désactivée et le trafic sera prévention d’intrusion autorisé...
  • Page 297 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Paramètres de session RTSP Nombre max. de Nombre maximum de requêtes sans réponses sur une même session RTSP. requêtes en attente Durée de session Temps en secondes d’une session RTSP. (secondes) Durée d’une requête Temps en secondes d’une requête RTSP...
  • Page 298 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Détection automatique Si le plugin est activé, il est automatiquement utilisé à la découverte d’un paquet du protocole correspondant dans les règles de filtrage. Commandes SIP Commandes SIP autorisées Ajouter Insérer dans la liste des commandes additionnelles qui nécessitent une autorisation.
  • Page 299 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Activer l’extension Le protocole SIP inclut un mécanisme normalisé pour permettre à n'importe quel client SUSCRIBE, NOTIFY (un téléphone en VoIP étant un exemple de client SIP) de surveiller l'état d'un autre (RFC3265) dispositif.
  • Page 300 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES L’écran des profils Onglet «  IPS  » Taille maximale des champs DNS (en octets) Nom DNS (requête) Ce champ doit être compris entre 10 et 2048 octets. Taille des messages DNS Activer la détection des Cette case à...

  • Page 301: Authentification

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES L’activation de ce protocole permet de prévenir des grandes familles d’attaques applicatives basées sur le protocole FTP. Ce protocole effectue diverses analyses comme l’analyse de conformité aux RFC, la vérification de la taille des paramètres des commandes FTP ou les restrictions sur le protocole (SITE EXEC par exemple).
  • Page 302 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Connexion Conserver l’adresse IP Lorsqu’une requête est effectuée par un client web (navigateur) vers le serveur, le source originale firewall l’intercepte et vérifie que celle-ci soit conforme aux règles de filtrage d’URL puis il relaie la demande.
  • Page 303 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Commandes FTP autorisées Il est possible de définir des commandes FTP au sein de la prévention d’intrusion, en cliquant sur Ajouter, dans la limite de 115 caractères. La suppression est également autorisée. Commandes FTP interdites Il est possible d’interdire des commandes FTP au sein de la prévention d’intrusion, dans la limite de 115 caractères.
  • Page 304 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES la conformité à la RFC. MLSD  : Cette commande affiche le contenu du dossier normalisé. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC. MLST ...
  • Page 305 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES SMNT  : Cette commande modifie la structure de données du système en cours. Cette commande accepte un ou plusieurs arguments. Par défaut, une analyse est faite afin de vérifier la conformité à la RFC. STAT ...
  • Page 306 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES si l’option «  Activer les commandes de modification  » est activée. Sinon, la commande est bloquée. RNTO  : Cette commande spécifie le nouveau nom du fichier sélectionné. Elle accepte un ou plusieurs arguments.
  • Page 307 La taille positionnée par défaut dépend du modèle de firewall : Firewalls modèle S (SN160(W), SN210(W) et SN310) : 4000 Ko. Firewalls modèle M (SN510, SN710 et SNi40) : 4000 Ko. Firewalls modèle L (SN910) : 8000 Ko.
  • Page 308 Code RED, Code Blue, NIMDA, HTR, Buffer Overflow ou encore Directory Traversal. La gestion des débordements de tampons (ou Buffer Overflow) est primordiale chez Stormshield Network, c’est pourquoi la définition des tailles maximales permises pour les tampons dans le cadre du protocole HTTP est particulièrement développée.
  • Page 309 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Limitation du contenu Ce champ permet de sélectionner le type de limitations qui seront appliquées aux YouTube résultats d'une recherche de vidéos lors d'une recherche sur la plate-forme YouTube : le choix "stricte"...
  • Page 310 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Authentification Vérifier la légitimité de En cochant cette case, vous activez l’authentification des utilisateurs via l'entête HTTP l'utilisateur "Authorization". Le plugin HTTP est ainsi capable d'extraire l'utilisateur et de le comparer à...
  • Page 311 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Extensions du protocole HTTP Autoriser le protocole Cette option autorise le transport de son à travers le protocole HTTP. Shoutcast Exemples  : Webradio, webtv. Autoriser les Cette option permet d’ajouter des fonctionnalités d’écriture et de verrou au protocole connexions WebDAV HTTP, ainsi que de sécuriser plus facilement les connexions HTTPS.
  • Page 312 WebDAV gestion collaborative de documents. Si cette option est cochée, le protocole WebDav (lecture et écriture) est autorisé au travers du firewall Stormshield Network. Autoriser les tunnels La méthode CONNECT permet de réaliser des tunnels sécurisés au travers de serveurs TCP (méthode...
  • Page 313 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Serveur ICAP Serveur Indication du serveur ICAP. Port ICAP Indication du port ICAP. Nom du service ICAP Indication du nom du service à mettre en place. Cette information est différente suivant la solution utilisée, le serveur ICAP ainsi que le port utilisé.
  • Page 314 La taille positionnée par défaut dépend du modèle de firewall : Sandboxing (Ko) Firewalls modèle S (SN160(W), SN210(W) et SN310) : 4000 Ko. Firewalls modèle M (SN510, SN710 et SNi40) : 8000 Ko. Firewalls modèle L (SN910) : 16000 Ko.
  • Page 315 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Type de fichiers L'option sandboxing propose l'analyse de quatre types de fichiers : Archive : sont inclus les principaux types d'archives (zip, arj, lha, rar, cab…) Document bureautique (logiciels Office) : tous les types de documents pouvant être ouverts avec la suite MS Office.
  • Page 316 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Paramètres généraux Nombre max. de Nombre maximum de requêtes sans réponse sur une même session NTP. Cette valeur requêtes en attente doit être comprise entre 1 et 512 (valeur par défaut: 10). Durée max.
  • Page 317 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Configuration avancée Reference Id interdites Cette liste permet de bloquer des Reference Id NTP additionnelles (LOCL, LCL...) en précisant leur nom. Il est possible d’Ajouter ou de Supprimer des éléments de cette liste en cliquant sur les boutons du même nom.
  • Page 318 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Paquets Kiss of death Cette grille permet de placer en liste noire ou liste blanche des Reference Id NTP additionnelles pouvant être impliquées dans les attaques de type Kiss of Death (DENY, RSTR, RATELCL...). Cliquez sur le bouton Block All pour déplacer toutes les Reference Id NTP prédéfinies de la liste blanche vers la liste noire.
  • Page 319 (Ko) La taille positionnée par défaut dépend du modèle de firewall : Firewalls modèle S (SN160(W), SN210(W) et SN310) : 4000 Ko. Firewalls modèle M (SN510, SN710 et SNi40) : 4000 Ko. Firewalls modèle L (SN910) : 8000 Ko.
  • Page 320 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Lorsqu’un virus est Ce champ contient 2 options. En sélectionnant «  Bloquer  », le fichier analysé n’est détecté pas transmis. En sélectionnant «  Passer », l’antivirus transmet le fichier dans son état. Lorsque l’antivirus ne Cette option définit le comportement de l’antivirus si l’analyse du fichier qu’il est en peut analyser...
  • Page 321 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Onglet IPS Détecter et inspecter Si le protocole est activé, l'inspection sera automatiquement appliquée à la automatiquement le découverte d'un trafic correspondant, autorisé par le filtrage. protocole Extensions du protocole SMTP Filtrer l’extension Permet de filtrer les données transférées d’une adresse mail à...
  • Page 322 Taille maximum du Indique la taille maximale que peut prendre un message passant par le firewall message [0 – Stormshield Network. Les messages dont la taille est excessive seront refusés par le 2147483647 (Ko)] firewall. Onglet Commandes SMTP Ce menu vous permet d'autoriser ou de rejeter les commandes SMTP définies dans les RFC. Vous pouvez laisser passer une commande, la bloquer ou analyser la syntaxe et vérifier que la...
  • Page 323 Taille max. pour La taille positionnée par défaut dépend du modèle de firewall : l'analyse antivirale et Firewalls modèle S (SN160(W), SN210(W) et SN310) : 4000 Ko. sandboxing (Ko) Firewalls modèle M (SN510, SN710 et SNi40) : 4000 Ko. Firewalls modèle L (SN910) : 8000 Ko.
  • Page 324 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Type de fichiers L'option sandboxing propose l'analyse de quatre types de fichiers attachés en pièce- jointe : Archive : sont inclus les principaux types d'archives (zip, arj, lha, rar, cab…) Document bureautique (logiciels Office): tous les types de documents pouvant être ouverts avec la suite MS Office.
  • Page 325 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Communautés Liste noire Cette grille permet de lister les communautés pour lesquelles les paquets SNMP  seront systématiquement bloqués. Il est possible d’Ajouter ou de Supprimer des communautés en cliquant sur les boutons du même nom. Liste blanche Cette grille permet de lister les communautés pour lesquelles les paquets SNMP ...
  • Page 326 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Exemple : ajouter l'OID 1.3.6.1.2.1 dans cette grille implique que les OID 1.3.6.1.2.1.1, 1.3.6.1.2.1.2, etc... seront également en liste blanche. Boutons Ces boutons permettent de déplacer un OID d'une grille à l'autre. Support Désactiver la En cochant cette option, l'analyse du protocole SNMP sera désactivée et le trafic sera...
  • Page 327 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Autoriser les données Cette option permet de transmettre les données en clair après une négociation SSL. non chiffrées après une négociation SSL AVERTISSEMENT Laisser transiter les données en clair représente un risque de sécurité. Autoriser les Les attaques par repli consistent à...
  • Page 328 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Inspection de contenu Certificats auto-signés Ces certificats sont à usage interne et signés par votre serveur local. Ils permettent de garantir la sécurité de vos échanges, et, entre autres, d’authentifier les utilisateurs. Cette option détermine l’action à...
  • Page 329 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES Type de certificat Ce test valide le type du certificat. Un certificat est considéré conforme s’il est utilisé incorrect dans le cadre défini par sa signature. Ainsi, un certificat utilisateur employé par un serveur est non conforme.
  • Page 330 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROTOCOLES TFTP L’écran des profils Onglet «  IPS  » Détecter et inspecter Si le protocole est activé, l'inspection sera automatiquement appliquée à la automatiquement le découverte d'un trafic correspondant, autorisé par le filtrage. protocole Taille maximale des éléments (en octets) Nom de fichier...
  • Page 331 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 PROXY CACHE DNS PROXY CACHE DNS Lorsque vous effectuez une requête DNS vers votre navigateur ou vers une adresse mail, le serveur DNS transforme le nom de domaine connu (par exemple www.compagnie.com ou smtp.compagnie.com ) en adresse IP et vous la communique.
  • Page 332 Comme son nom l’indique cette option vise à rendre transparent le service DNS du (intercepte toutes les firewall Stormshield Network. Ainsi lorsque cette option est activée la redirection des requêtes DNS émise flux DNS vers le cache DNS est invisible aux utilisateurs qui pensent accéder à leur par les clients serveur DNS.
  • Page 333 Le contrôle optimisé des situations de congestion et la gestion des queues de données deviennent un enjeu important de la "Qualité de Service". Les firewalls Stormshield Network disposent de deux algorithmes pour leur traitement des congestions, l’algorithme TailDrop et l’algorithme BLUE. Stormshield Network recommande toutefois l’utilisation de l’algorithme BLUE comme algorithme de traitement des congestions.
  • Page 334 QUALITE DE SERVICE (QOS) Files d’attente Le module de QoS, intégré au moteur de prévention d’intrusion Stormshield Network est associé au module Filtrage pour offrir les fonctionnalités de Qualité de Service. Dès sa réception  ; le paquet est traité par une règle de filtrage puis le moteur de prévention d’intrusion l’affecte à...
  • Page 335 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 QUALITE DE SERVICE (QOS) Bp max Agissant comme une limitation, cette option interdit le dépassement de bande passante pour le trafic affecté par ces files d’attente. Configurée en Kbits/s, en Mbits/s, en Gbit/s ou en pourcentage de la valeur de référence, cette valeur est partagée entre tous les trafics affectés par la règle de QoS.
  • Page 336 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 QUALITE DE SERVICE (QOS) Elles permettent l’enregistrement d’informations de débit et de bande passante qui peuvent être visualisées dans le module Supervision de la QoS (après avoir été sélectionnées dans l'onglet Configuration de la QoS du module Configuration de la supervision).
  • Page 337 A la fin de la grille des files d’attente est indiqué le nombre de files d’attentes disponibles pour un modèle de firewall donné. Ces valeurs sont les suivantes  : SN160(W), SN210(W), SN310 SN510, SN710, SN910 SN2000, SN2100, SN3000, SN3100, SN6000, SN6100 Cas d’application et recommandations d’utilisation...
  • Page 338 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 QUALITE DE SERVICE (QOS) Parmi les trafics internet, les flux HTTP sont les plus gros consommateurs de la bande passante du lien Internet et du réseau local. Une utilisation importante de l’internet peut entraîner des problèmes de congestions du trafic réseau, les performances globales sont dégradées et l’utilisation du réseau devient fastidieuse.
  • Page 339 Support de stockage  : Carte SD La fonctionnalité de Stockage externe des traces sur carte SD est disponible pour les firewalls modèles SN160(W), SN210(W) et SN310. Cette fonctionnalité est proposée en souscrivant à l’option « External storage ». Le type de carte SD doit être au minimum de Classe 10 (C10) UHS Classe 1 (U1) ou App Performance (A1) et de standard SDHC ou SDXC.
  • Page 340 USB ou un disque dur externe. Pour plus d’information, consultez les Guides PRÉSENTATION ET INSTALLATION DES PRODUITS NETASQ SÉRIE U - Modèles S ou PRÉSENTATION ET INSTALLATION DES PRODUITS STORMSHIELD NETWORK Gamme SN disponibles sur le site de Documentation Technique Stormshield.
  • Page 341 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 RAPPORTS La légende Un tableau composé de 6 colonnes reprend la description des données affichées. Les informations sont les suivantes  : Une numérotation précise le classement selon la valeur, Une lettre et une couleur permettent de référencer la valeur lorsque les textes sont trop longs pour être affichés (graphique en barres verticales et en camembert), Le nom complet de la donnée est affiché, La colonne affiche le pourcentage que la donnée représente pour ce top,...
  • Page 342 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 RAPPORTS SECURITE  : Rapport Top des alarmes les plus fréquentes Définir l’action de (Autoriser/ Interdire)  : cette modification est effectuée sur le profil concerné par le flux ayant généré l’alarme. Définir le niveau à...
  • Page 343 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 RAPPORTS Top des catégories Web les plus consultées Pour ce rapport, l’activation du module Filtrage URL est requise. Pour rappel, les sites interrogés comprennent ceux appartenant au réseau interne (catégorie Private IP Addresses). Top des sites Web par volume échangé...
  • Page 344 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 RAPPORTS Ce rapport contient des données personnelles et nécessite donc l'obtention du droit Accès complet aux logs (données personnelles) pour être visualisé. Top des sessions Administrateurs Ce rapport recense les plus grands nombres de sessions à l’interface d’administration du Firewall - quel que soit les droits.
  • Page 345 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 RAPPORTS donc sur les machines appartenant aux réseaux internes, identifiées par le nom DNS (fqdn) ou à défaut l’adresse IP. Pour plus de détails sur les profils et les familles de vulnérabilités, consultez la section Management des vulnérabilités de ce guide.
  • Page 346 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 RAPPORTS Top des protocoles les plus utilisés par connexion Les protocoles concernent uniquement les protocoles de la couche Application du modèle OSI. Ce rapport présente les protocoles les plus utilisés sur la totalité des connexions pendant la période donnée.
  • Page 347 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 RAPPORTS Top des serveurs OPC  UA par volume échangé Ce rapport présente les serveurs les plus utilisés sur la totalité des volumes échangés pour le protocole industriel OPC  UA. Top des serveurs Ethernet/IP par volume échangé Ce rapport présente les serveurs les plus utilisés sur la totalité...
  • Page 348 Autoriser l’accès au serveur d’administration (port 1300) du firewall pour les interfaces protégées (Serverd)  : les administrateurs pourront se connecter via les réseaux internes sur le port 1300 du firewall. Ce service est utilisé notamment par le Stormshield Network Real-Time Monitor.
  • Page 349 Désactiver la règle « Serverd »  : peut amener, en cas d’absence de règle explicite, à ne plus avoir d’accès avec les outils utilisant le port 1300, à savoir Stormshield Network RealTime Monitor, GlobalAdmin, Stormshield Network Centralized Management et Stormshield Network Event Analyzer.
  • Page 350 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 REGLES IMPLICITES Configuration avancée Inclure les règles Cette case, cochée par défaut, active les règles implicites de sortie pour implicites de sortie des les services hébergés par le firewall. services hébergés Cette fonctionnalité, qui était présente dans les versions antérieures de (indispensable) firmware, ne pouvait jusqu’à...
  • Page 351 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 RÉPUTATION DES  MACHINES RÉPUTATION DES  MACHINES Cette fonctionnalité, qui peut être combinée à la géolocalisation, permet de limiter le risque d’attaques subies par une entreprise. Via sa politique de sécurité, l’administrateur peut bloquer les connexions des machines ayant une mauvaise réputation.
  • Page 352 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 RÉPUTATION DES  MACHINES Statistiques Réinitialiser le score de En cliquant sur ce bouton, vous effacez les scores de réputation de toutes les toutes les machines machines contenues dans la base de données de réputation. Toutes ces machines dans la base de bénéficieront alors de nouveau d'un score de réputation nul et qui évoluera selon les données...
  • Page 353 Le routeur par défaut est généralement l'équipement qui permet l'accès de votre (routeur) réseau à Internet. C'est à cette adresse que le firewall Stormshield Network envoie les paquets qui doivent sortir sur le réseau public. Bien souvent le routeur par défaut est connecté...

  • Page 354: Les Interactions

    Passerelle(Optionnel) Un clic sur cette colonne ouvre la base d'objets afin de sélectionner une machine (routeur). Couleur(Optionnel) Une fenêtre s'affiche permettant de sélectionner une couleur d'interface (utilisée dans Stormshield Network REALTIME MONITOR). Commentaire Texte libre. (Optionnel) L’onglet «  Routage dynamique  »...
  • Page 355 Pour plus d’information sur la configuration du routage dynamique ou sur la migration de ZebOS vers BIRD, reportez-vous à la Note technique Routage Dynamique BIRD, disponible sur le site de Documentation Technique Stormshield. Configuration avancée Redémarrer le routage Au sein d’un cluster mettant en œuvre le protocole de routage dynamique OSPF, le dynamique lorsque le firewall actif tient le rôle de routeur OSPF référent (DR : Designated Router).
  • Page 356 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ROUTAGE Ajouter, Supprimer. Présentation de la grille La grille présente quatre informations : État État de la configuration des routes de retour : Activé : Double-cliquez pour activer la route créée. Désactivé...
  • Page 357 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ROUTAGE  MULTICAST ROUTAGE  MULTICAST Le routage multicast permet de diffuser un flux réseau depuis une source vers plusieurs destinations. Source et destinations sont alors réunies dans un "groupe multicast". Ce type de routage est utilisé pour des applications du type télé-séminaires (pas d'interaction des destinataires), téléconférences (chaque membre du groupe peut être source du flux), diffusion de tables de routage pour le protocole RIPv2, amorçage réseau à...
  • Page 358 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 ROUTAGE  MULTICAST Le groupe multicast doit contenir une machine, un réseau, une plage d'adresses IP ou un groupe comportant exclusivement des adresses IP multicast (comprises dans plage 224.0.0.0 - 239.255.255.255). Étape 2: sélection des interfaces destination Cliquez sur Ajouter afin de cibler la destination du trafic concernée par la règle de routage multicast.
  • Page 359 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SERVEUR PPTP SERVEUR PPTP L’écran de configuration du serveur PPTP se divise en 2 zones : Configuration générale : Activation du serveur PPTP, choix du pool d’adresses. Configuration avancée : Chiffrement du trafic. La mise en place est très simple et rapide et se déroule en trois étapes : Les adresses IP des clients PPTP (objet).
  • Page 360 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 STORMSHIELD MANAGEMENT CENTER STORMSHIELD MANAGEMENT CENTER Si vous disposez du serveur d’administration centralisée Stormshield Management Center, ce panneau vous permet d’installer le package de rattachement afin de connecter votre firewall au serveur SMC.
  • Page 361 NOTE Pour les modèles SN160(W), SN210(W) et SN310, vous pouvez bénéficier de l’ensemble de la fonctionnalité en utilisant un support de stockage externe de type carte SD et en souscrivant à l’option « External storage » (consultez le module Traces –Syslog). Seul le format SD est compatible : les cartes Micro SD ou Nano SD équipées d'un adaptateur ne...
  • Page 362 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION La grille Recherche Ce champ permet la recherche de graphiques ou grilles de supervision par mot clé. Les info-bulles Le survol à la souris de certains types d'objets permet d'en afficher les propriétés dans une info- bulle.
  • Page 363 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Utilisateur Description éventuelle, Identifiant de connexion, Domaine (annuaire), E-mail, Téléphone, Adresse IP de la machine de connexion et nom de l'objet machine correspondant s'il est défini dans la base objets, Interface du firewall par laquelle cette machine est vue, Bande passante entrante utilisée, Bande passante sortante utilisée.
  • Page 364 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Un clic gauche sur l’un des indicateurs référencés dans la légende permet de masquer / afficher les données correspondantes sur le graphique, En survolant une courbe à l’aide de la souris, la valeur de l’indicateur et l’heure de mesure correspondante sont affichées dans une info bulle.
  • Page 365 HA de secours JJ HH:MM:SS). N° du dernier Indique le n° de révision du dernier déploiement de configuration réalisé via déploiement SMC Stormshield Management Center (N/A si les firewalls ne sont pas gérés par un serveur SMC). Page 363/464 sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020...
  • Page 366 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Système L'onglet "Temps réel" Ce module présente différents indicateurs de fonctionnement du firewall sous forme de graphiques ou de grilles : Consommation CPU, Utilisation mémoire, Consommation CPU de chacun des services activés sur le firewall, Date et heure du système, Durée de fonctionnement depuis le dernier redémarrage (uptime).
  • Page 367 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Les Interactions Un clic sur l’un des indicateurs référencés dans la légende permet de masquer / afficher les données correspondantes sur le graphique. En survolant une courbe à l’aide de la souris, la valeur de l’indicateur et l’heure de mesure correspondante sont affichées dans une info bulle.
  • Page 368 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Les actions Échelle de temps Ce champ permet le choix de l’échelle de temps  : dernière heure, vue par jour, 7 derniers jours et les 30 derniers jours. La dernière heure est calculée depuis la minute précédant celle en cours. La vue par jour couvre la journée entière, sauf pour le jour en cours où...
  • Page 369 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Enlever une colonne Ce bouton permet de réduire le nombre de colonnes d'affichage des courbes et informations. Ce lien permet de se rendre directement dans le module de configuration de la QoS Accéder à...
  • Page 370 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Machines L'onglet "Temps réel" L’écran se compose de 2 vues  : Une vue qui liste les machines. Une vue qui liste les Connexions, Vulnérabilités, Applications, Services, Informations, et Historique de réputation en rapport avec la machine sélectionnée. Vue « ...
  • Page 371 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION heures), Ajouter la machine à la base Objet et/ou l'ajouter dans un groupe. La barre d'actions Vous pouvez combiner plusieurs critères de recherche. Ces critères doivent être remplis conjointement pour être affichés, car les critères de recherche se cumulent. Cette combinaison de critères de recherche peut alors être enregistrée en tant que « ...
  • Page 372 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Connexion parente Certains protocole peuvent générer des connexions "filles" (exemple : FTP) et, dans ce cas de figure, cette colonne référence l'identifiant de la connexion parente. Protocole Protocole de communication utilisé pour la connexion. Utilisateur Utilisateur connecté...
  • Page 373 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION (menu Sélectionnez un filtre pour lancer la recherche correspondante. La liste propose les déroulant  Filtres) filtres enregistrés au préalable et pour certaines Vues, des filtres prédéfinis. La sélection de l’entrée (Nouveau filtre) permet de réinitialiser le filtre en supprimant la sélection de critères.
  • Page 374 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Identifiant Identifiant de la vulnérabilité. Indication du nom de la vulnérabilité. Famille Nombre de machines affectées. Sévérité Indication du niveau de sévérité de la vulnérabilité. Il existe 4 niveaux de sévérité  : "Faible", "Modéré", "Elevé", "Critique".
  • Page 375 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Identifiant unique du logiciel ou du système d'exploitation détecté. Nom du logiciel ou du système d'exploitation détecté. Famille Famille à laquelle est attaché le logiciel détetcé (Exemple  : Operating System). Niveau Indique le niveau de l'alarme associée à...
  • Page 376 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Les actions Échelle de temps Ce champ permet le choix de l’échelle de temps  : dernière heure, vue par jour, 7 derniers jours et les 30 derniers jours. La dernière heure est calculée depuis la minute précédant celle en cours. La vue par jour couvre la journée entière, sauf pour le jour en cours où...
  • Page 377 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION VPN  SSL Portail - Applet Une coche verte dans cette case indique que l'utilisateur est autorisé à se connecter Java au portail VPN  SSL pour accéder à des serveurs applicatifs via un applet Java. VPN ...
  • Page 378 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Panneau « FILTRES » Vous pouvez ajouter un critère en glissant la valeur depuis un champ des résultats dans le panneau. Vue «  Connexions  » Cette vue permet de visualiser toutes les connexions détectées par le firewall pour un utilisateur sélectionné.
  • Page 379 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION La barre d'actions Vous pouvez combiner plusieurs critères de recherche. Ces critères doivent être remplis conjointement pour être affichés, car les critères de recherche se cumulent. Cette combinaison de critères de recherche peut alors être enregistrée en tant que «  filtre  ». Ceux- ci sont gardés en mémoire et peuvent être réinitialisés via le module Préférences de l’interface d’administration.
  • Page 380 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Vue «  Vulnérabilités  » Cet onglet décrit les vulnérabilités détectées sur la machine de connexion de l'utilisateur sélectionné. Les données de la vue «  Vulnérabilités  » sont les suivantes  : Identifiant Identifiant de la vulnérabilité.
  • Page 381 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Vue «  Informations» Cet onglet décrit les informations liées à la machine sur laquelle l'utilisateur sélectionné est connecté. Les données de la vue «  Informations  » sont les suivantes  : Identifiant unique du logiciel ou du système d'exploitation détecté.
  • Page 382 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Débit moyen Valeur moyenne de bande passante utilisée par la connexion sélectionnée. Envoyé Nombre d'octets envoyés au cours de la connexion. Reçu Nombre d'octets reçus au cours de la connexion. Durée Temps de la connexion.
  • Page 383 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Accéder à la règle de sécurité correspondante, Ajouter le service à la base Objet et/ou l'ajouter dans un groupe. Un clic droit sur les autres colonnes donne accès au menu contextuel suivant : Accéder à...
  • Page 384 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Cliquez sur ce bouton pour : Filtrer Sélectionner des critères de filtrage (Critère de recherche). Pour la vue "connexions", ces critères sont les suivants : Par plage d'adresses ou par adresse IP. Par interface.
  • Page 385 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Panneau « FILTRAGE SUR » Vous pouvez ajouter un critère en glissant la valeur depuis un champ des résultats dans le panneau. Routage L'onglet "Temps réel" Cette vue reprend la liste des routeurs utilisés dans la configuration du firewall  : objets routeurs, passerelle par défaut, routeurs configurés dans des règles de filtrage (PBR ...
  • Page 386 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION DHCP La grille "Temps réel" Cette grille permet de visualiser l'ensemble des machines ayant obtenu une adresse IP par le serveur DHCP du firewall. Pour chaque machine, les données disponibles pour la vue « ...
  • Page 387 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Identifiant de connexion utilisé pour établir le tunnel VPN  SSL référencé. Utilisateur Annuaire Annuaire dans lequel est défini l'utilisateur connecté. Adresse IP affectée au poste client pour établir le tunnel VPN  SSL (cette adresse Adresse IP du client appartient au réseau défini dans le module VPN >...
  • Page 388 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION Tunnels VPN IPSec Ce module permet de visualiser les tunnels de la politiques IPSec active sur le firewall (tunnels établis à l'aide de l'interface IPSec native ou d'interfaces IPSec virtuelles). La barre d'actions Ce bouton permet de rafraîchir les informations affichées dans les grilles.
  • Page 389 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION La grille "Tunnels" Les données disponibles dans la grille «  Tunnels » sont les suivantes : N'afficher que les En cochant cette case, seuls les tunnels correspondant à la politique sélectionnée tunnels correspondant dans la grille "Politiques"...
  • Page 390 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPERVISION cadre d'une analyse approfondie d'un comportement non souhaité du firewall. Les données disponibles pour la vue «  Liste  blanche » sont les suivantes : Machine / Plage Référence l'adresse IP, le nom (si la machine est déclarée dans la base Objets) ou la d'adresses plage d'adresses IP déclarée en liste blanche.
  • Page 391 Services Interfaces Haute disponibilité Sandboxing Stormshield Management Center Par défaut, chacune des fenêtres est mise à jour dynamiquement, les composants les plus récents sont téléchargés automatiquement et s’affichent à l’écran. Le menu de configuration des modules Cette colonne rétractable (bouton ) est divisée en 4 rubriques déroulantes.
  • Page 392 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 TABLEAU DE BORD Tableau de bord Système (contenant 8 modules  : Configuration, Administrateurs, Licence, Maintenance, Active Update, Haute disponibilité, Management Center, Console cli) Réseau (contenant 7 modules  : Interfaces, Interfaces virtuelles, Routage, Routage multicast, DNS Dynamique, DHCP, Proxy cache DNS) Objets (contenant 3 modules ...
  • Page 393 Réseau Cette fenêtre affiche le modèle de votre firewall multifonction Stormshield Network ainsi que le nombre d’interfaces disponibles sur celui-ci (32 maximum). La ou les interfaces utilisées apparaissent en vert. Lorsque le mécanisme de bypass a été activé...
  • Page 394 Le widget propose l'affichage des licence de la garantie et des options par date d’expiration. Ces options sont  : Mise à jour, Signatures de protection contextuelle, Management de vulnérabilités, Antivirus ClamAV, Antivirus Kaspersky, Bases d'URL Stormshield Network, Bases d'URL Extended Web Control, Antispam : listes noires DNS (RBL), Antispam : moteur heuristique, Fin de validité...
  • Page 395 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 TABLEAU DE BORD Clé USB Présence ou non d’une clef USB sur le système (configuration sécurisée pour le module Système\Maintenance). Carte SD Présence ou non d’une carte SD pour le stockage des traces permettant la génération des rapports et des courbes de supervision.
  • Page 396 Propriétés Numéro de série Référence de votre Firewall Stormshield Network. Date Date et heure en temps réel. Partition de Présence ou non d’une partition de sauvegarde sur votre système (cf Menu sauvegarde Système\module Maintenance\onglet Configuration).
  • Page 397 Stormshield Management Center Si vous disposez du serveur d’administration centralisée Stormshield Management Center, ce panneau vous permet d'afficher les caractéristiques de la connexion du firewall au serveur SMC.
  • Page 398 Indique l'état de la connexion entre le firewall et les serveurs d'analyse sandboxing État du service Stormshield. Les différentes valeurs possibles sont le suivantes : Connecté : le firewall possède une licence Sandboxing et l'infrastructure d'analyse dans le cloud est joignable.
  • Page 399 NOTE  Pour plus d’informations, consultez les Guides PRÉSENTATION ET INSTALLATION DES PRODUITS NETASQ SÉRIE U - Modèles S ou PRÉSENTATION ET INSTALLATION DES PRODUITS STORMSHIELD NETWORK Gamme SN, disponibles sur le site de Documentation Technique Stormshield. En cas de saturation du support de stockage, les traces les plus récentes effacent les traces les plus anciennes.
  • Page 400 Proxy POP3 : événements liés à l'envoi des messages (l_pop3), Management des vulnérabilités : événements liés à l’application de consultation des vulnérabilités sur le réseau Stormshield Network Vulnerability Manager (l_pvm), Sandboxing : événements liés à l'analyse sandboxing des fichiers lorsque cette option a été...
  • Page 401 Voulez-vous vraiment appliquer cette configuration  ?  ». Vous avez le choix entre forcer l’enregistrement ou annuler. NOTE Ces fichiers peuvent être copiés sur la solution Stormshield Network EVENT ANALYZER afin de construire des rapports ou d’effectuer leur archivage. Onglet «  Syslog  »...
  • Page 402 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 TRACES - SYSLOG - IPFIX Autorité de certification Ce champ n'est actif que lorsque le protocole TLS a été choisi. Indiquez l'autorité de certification (CA) ayant signé les certificat que présenteront le firewall et le serveur pour s'authentifier mutuellement.
  • Page 403 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 TRACES - SYSLOG - IPFIX Configuration avancée Port Choisissez un objet correspondant au port de communication entre le firewall et le collecteur IPFIX. La valeur proposée par défaut est ipfix (port 4739). Collecteur IPFIX de Ce champ n'est actif que lorsque le protocole sélectionné...
  • Page 404 La liste des CN (ou utilisateurs) dans la colonne de gauche, accompagnés de leurs informations dans la colonne de droite. Voici les tableaux indiquant le nombre maximum d’utilisateurs pouvant être authentifiés simultanément selon votre modèle de firewall : Modèle - Gamme SN SN160(W) SN210(W) SN310 SN510 SN710 NB.
  • Page 405 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 UTILISATEURS Exemple  : Si vous saisissez la lettre «  a  » dans la barre de recherche, la liste en dessous fera apparaître tous les utilisateurs ou groupes d’utilisateurs possédant un «  a  » dans leur nom et/ou prénom. Le filtre Ce bouton permet de choisir le type de CN à...
  • Page 406 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 UTILISATEURS Supprimer Pour retirer un membre du groupe, sélectionnez-le et cliquez sur le bouton Supprimer. Lorsqu’un utilisateur est supprimé, la révocation de son certificat est proposée à l'administrateur. Afin de valider la création de votre groupe et de ne perdre aucune modification apportée, cliquez sur Appliquer.
  • Page 407 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 UTILISATEURS Sélectionnez l’utilisateur ou le groupe pour lequel vous souhaitez vérifier l’utilisation. Cliquez sur le bouton Vérifier l’utilisation. L’arborescence des menus de gauche vous présente votre utilisateur/groupe (par son identifiant) au sein de l’onglet User ans groups, et affiche la liste des groupes dont celui-ci fait partie, ainsi que son utilisation dans la configuration du firewall.
  • Page 408 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 UTILISATEURS Une personne, par exemple rattachée à de nombreux services, peut appartenir à de nombreux groupes différents. Le nombre maximum est maintenant de 50 groupes par utilisateur. Page 406/464 sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020...
  • Page 409 Les services proposés par l’IPsec Stormshield Network offrent le contrôle d'accès, l'intégrité en mode non connecté, l'authentification de l'origine des données, la protection contre le rejeu, la confidentialité...
  • Page 410 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN IPSEC Activer cette Active immédiatement la politique IPSec sélectionnée  : les paramètres enregistrés dans ce politique slot écrasent les paramètres en vigueur. Editer Cette fonction permet d’effectuer 3 actions sur les profils  : Renommer ...
  • Page 411 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN IPSEC Choix du Ceci est l’objet correspondant à l’adresse IP publique de l’extrémité du tunnel, soit, du correspondant correspondant VPN distant. La liste déroulante affiche par défaut «  None  ». Vous pouvez créer un correspondant via l’option suivante ou en choisir un dans la liste de ceux qui existent déjà.
  • Page 412 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN IPSEC Créer un Les étapes sont identiques à celles suivies pour la création d’un correspondant IKEv1. correspondant IKEv2 Réseau local Machine, groupe de machines, réseau ou groupe de réseaux qui vont être accessibles via le tunnel VPN IPSec.
  • Page 413 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN IPSEC Etat Cette colonne affiche l’état Off du tunnel. Lorsque vous en créez un, celui-ci s’active par défaut. Cliquez deux fois dessus pour le désactiver. Pour faciliter la configuration du tunnel avec un équipement distant (passerelle ou client mobile), un clic sur cette icône affiche les différentes informations de la politique IPsec ...
  • Page 414 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN IPSEC Ajouter Sélectionnez la politique VPN dans laquelle vous désirez réaliser le tunnel. Des assistants de création de politique vous aiguillent dans cette configuration. Si vous souhaitez créer le correspondant nomade par l’assistant, reportez-vous à...
  • Page 415 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN IPSEC Certificat et Cette option permet aux utilisateurs mobiles (roadwarriors) de se connecter sur la passerelle XAuth VPN de votre entreprise via leur téléphone portable, à l’aide d’un certificat durant la phase 1. Le (iPhone) serveur est également authentifié...
  • Page 416 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN IPSEC Correspondant Configuration de correspondant, visible au sein de l’onglet du même nom dans le module VPN IPSec. Réseau nomade Choisissez parmi la liste déroulant d’objets, votre machine, groupes de machines, plage d’adresses, réseau ou groupe de réseaux accessibles via le tunnel IPsec avec le correspondant.
  • Page 417 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN IPSEC Vérification en temps réel de la politique L’écran d’édition des règles de politique IPSec dispose d’un champ de «  Vérification de la politique  » (situé en dessous de la grille), qui prévient l’administrateur en cas d’incohérence ou d’erreur sur une des règles créées.
  • Page 418 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN IPSEC Configuration de IMPORTANT secours L'utilisation de correspondants de secours (désigné en tant que "Configuration de secours") étant obsolète, elle est amenée à disparaître dans une future version de SNS. Un message d'avertissement est affiché depuis la version SNS 3.11.x pour encourager les administrateurs à...
  • Page 419 L’utilisation du mode agressif + les clés pré-partagées (notamment pour les tunnels VPN à destination de nomades) peut se révéler moins sécurisé que les autres modes du protocole IPSec. Ainsi Stormshield recommande l’utilisation du mode principal et en particulier du mode principal + certificats pour les tunnels à...
  • Page 420 AVERTISSEMENT Cette fonctionnalité apporte une stabilité au service VPN sur les Firewalls Stormshield Network, à la condition que le DPD soit correctement configuré. Pour configurer l’option de DPD , quatre choix sont disponibles : Inactif  : les requêtes DPD provenant du correspondant sont ignorées.
  • Page 421 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN IPSEC Profil IKE Cette option permet de choisir le modèle de protection associé à votre politique VPN, parmi les 3 profils pré-configurés: StrongEncryption , GoodEncryption , et Mobile . Il est possible de créer ou de modifier d’autres profils au sein de l’onglet Profils de chiffrement .
  • Page 422 L’utilisation du mode agressif + les clés pré-partagées (notamment pour les tunnels VPN à destination de nomades) peut se révéler moins sécurisé que les autres modes du protocole IPSec. Ainsi Stormshield Network recommande pour les correspondants mobiles, l’utilisation du mode principal, soit avec une authentification par certificats, soit en utilisant la méthode hybride.
  • Page 423 AVERTISSEMENT Cette fonctionnalité apporte une stabilité au service VPN sur les Firewalls Stormshield Network, à la condition que le DPD soit correctement configuré. Pour configurer l’option de DPD, quatre choix sont disponibles : Inactif  : les requêtes DPD provenant du correspondant sont ignorées.
  • Page 424 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN IPSEC En dessous de ce champ figurent les autorités de certification ajoutées et acceptées. Tunnels nomades  : clés pré partagées Si vous avez préalablement créé un correspondant nomade ayant pour méthode d’authentification la Clé...
  • Page 425 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN IPSEC Ajouter En cliquant sur ce bouton, une ligne est ajoutée à la grille, sous forme de liste déroulante permettant de sélectionner un des annuaires définis sur le firewall. Ce bouton est grisé...
  • Page 426 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN IPSEC Général Commentaire Description associée à votre profil de chiffrement. Diffie Hellman Ce champ représente deux types d’échange de clé: si vous avez sélectionné un profil de chiffrement type IKE, c’est l’option Diffie-Hellman qui apparaîtra. Diffie-Hellman permet à...
  • Page 427 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN IPSEC Chiffrement Algorithme 6 choix vous sont proposés  : des, 3des, blowfish, cast128, aes et aes_gcm_16. L'algorithme aes_gcm-16 présente l'avantage de réaliser à la fois l'authentification et le chiffrement. Il n'est donc pas proposé de choisir un algorithme d'authentification dans ce cas.
  • Page 428 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN IPSEC Propositions d’authentification Cette grille vous propose de modifier ou d’ajouter des algorithmes d’authentification à la liste pré- établie du profil sélectionné. Ajouter L’algorithme d’authentification apparaissant par défaut en cliquant sur ce bouton est hmac_ sha1, d’une « ...
  • Page 429 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN SSL VPN SSL Le VPN SSL permet à des utilisateurs distants d’accéder de manière sécurisée aux ressources internes de l’entreprise par des communications chiffrées en SSL. Son utilisation requiert l’installation d’un client VPN SSL installé...
  • Page 430 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN SSL Sélectionnez un objet de type «  réseau  » (les objets de type «  plage d’adresses IP  » Réseau assigné aux ou «  Groupe  » ne sont pas acceptés). Chaque client établissant un tunnel basé sur le clients (UDP) protocole UDP se verra attribuer une adresse IP appartenant à...
  • Page 431 SSL (exemple  : déconnexion d’un disque à un partage réseau distant). NOTE Seules les machines clientes fonctionnant sous Windows et avec le client Stormshield Network peuvent bénéficier du service des scripts exécutables. Le format des fichiers est obligatoirement du type «  .bat  ».
  • Page 432 VPN SSL PORTAIL VPN SSL Portail Le VPN SSL Stormshield Network permet à vos utilisateurs nomades ou non de se connecter sur les ressources de votre société de façon sécurisée. L’écran de configuration du VPN SSL se compose de 4 onglets  : Général ...
  • Page 433 Configuration avancée Accès aux serveurs via le VPN SSL Préfixe du répertoire La technologie VPN SSL Stormshield Network permet de masquer l’adresse réelle des racine de l’URL serveurs vers lesquels les utilisateurs sont redirigés en réécrivant l’ensemble des URL contenues dans les pages HTTP rencontrées. Ces URL sont remplacées par un préfixe suivi de 4 chiffres.
  • Page 434 Lien calculé selon les 3 champs Serveur de destination, Port et URL : chemin d’accès. (Exemple  : http://serveur de destination/URL  : chemin d’accès). Nom du lien sur le Le lien défini apparaît sur le portail Web Stormshield Network. Lorsque l’utilisateur portail utilisateur clique sur ce lien, il est redirigé vers le serveur correspondant.
  • Page 435 Ajout d’un serveur web OWA Le module VPN SSL des Firewalls Stormshield Network supporte les serveurs OWA ("Outlook Web Access")  : Exchange 2003, 2007, 2010. Le mode «  Premium  » est utilisable sous Windows avec Internet Explorer 5 ou + uniquement. Il est basé...
  • Page 436 Web "normal". Ajout d’un serveur web Lotus Domino Le module VPN SSL des Firewalls Stormshield Network supporte les serveurs Lotus domino. Il est possible d’ajouter dans la liste des serveurs d’accès Web, un serveur HTTP avec certaines options spécifiquement pré remplies pour une parfaite compatibilité avec LOTUS DOMINO.
  • Page 437 Allez dans "Accès sécurisé" puis sélectionnez dans la liste déroulante "Ouvrir l'accès sécurisé dans un pop-up". AVERTISSEMENT Il est important que l'applet VPN SSL Stormshield Network fonctionne en tâche de fond. Sélectionnez ensuite Accès portail\Portail puis saisissez votre nom d'utilisateur, votre mot de passe et le domaine.
  • Page 438 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 VPN SSL PORTAIL Suppression d’un serveur Pour supprimer un serveur, suivez la procédure suivante  : Sélectionnez le serveur à supprimer. Cliquez sur le bouton Supprimer. AVERTISSEMENT Lorsqu’un serveur est retiré de la liste des serveurs VPN SSL configurés, il est automatiquement retiré...
  • Page 439 Dans le module Utilisateurs \Droits d’accès VPN \Accès VPN, choisissez l’utilisateur puis dans la colonne «  VPN SSL  », choisir le profil défini au préalable et cliquez sur le bouton Appliquer. Services VPN SSL sur le portail Web Stormshield Network Lorsque l’authentification sur le firewall est activée (module Utilisateurs\ Authentification\ onglet Général, et coche « ...
  • Page 440 "127.0.0.1:Port_Ecoute" où "Port_Ecoute" est le port spécifié dans la configuration du serveur. Le port d’écoute pour chacun des serveurs configurés est rappelé dans la page du portail Web Stormshield Network. Page 438/464 sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020...
  • Page 441 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 WI-FI WI-FI Le module Réseau WI-Fi permet l'activation du réseau Wi-Fi. Il présente également certains paramètres physiques de ce réseau. NOTE Les paramètres présentés dans cet écran sont communs aux deux points d'accès disponibles sur le firewall.
  • Page 442 Firewall peuvent disposer d’une adresse IPv6 fixe seule ou en complément d’une adresse IPv4 (double pile). Les routes statiques et passerelles peuvent désormais être renseignées en IPv6  ; de plus, le routage dynamique embarqué sur les Firewalls Stormshield Network (Bird6) est également compatible.
  • Page 443 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPPORT IPV6 Serveur d’administration IPv4/IPv6 L’administration d’un firewall peut être réalisée indifféremment depuis une machine distante adressée en IPv4 ou IPv6 (administration Web et connexions SSH). Pour ce faire, le serveur doit écouter sur les deux protocoles.
  • Page 444 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPPORT IPV6 Filtrage  : vérificateur de cohérence des règles Le vérificateur de cohérence s’applique également aux règles incluant des objets IPv6. Filtrage  : IPS L’analyse protocolaire est applicable aux protocoles de niveau 7 transportés sur IPv6 (exemple  : HTTP, SMTP, etc.).
  • Page 445 IPv6. Dans ce cas, il est nécessaire d’installer un serveur miroir de mises à jour configuré en double pile (IPv4 / IPv6)  : ce dernier pourra se synchroniser en IPv4 avec les serveurs Active Update de Stormshield, et mettre à disposition ses mises à jour aux firewalls en IPv6.
  • Page 446 Modifications d’un Bridge Onglet «  Configuration de l’interface  » Plan d’adressage IPv6 En version Stormshield Network 1.0, les adresses IPv6 affectées au bridge sont obligatoirement de type fixe (adresses statiques). Adresse IP Adresse IP affectée au bridge. (Toutes les interfaces contenues dans le bridge possèdent la même adresse IP).
  • Page 447 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPPORT IPV6 NOTE  Si les annonces de routeur sont activées sur un bridge, ces annonces sont uniquement diffusées sur les interfaces protégées. Annonce de Routeur Émettre les RA si Si le service DHCPv6 est activé sur le firewall (Réseau > DHCP), le firewall va émettre DHCPv6 activé...
  • Page 448 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPPORT IPV6 Serveur DNS primaire Adresse IP du serveur DNS primaire. Si ce champ n’est pas renseigné, l’adresse envoyée sera celle utilisés par le Firewall (Système > Configuration) Serveur DNS Adresse IP du serveur DNS secondaire.
  • Page 449 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPPORT IPV6 Masque réseau Masque du sous-réseau auquel appartient l’interface. Le masque de réseau donne au firewall les informations sur le réseau dont il fait partie. Commentaire Permet de spécifier un commentaire pour l’adressage de l’interface. Il est possible d'ajouter plusieurs adresses IP (alias) dans le même plan d'adressage sur une interface.
  • Page 450 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPPORT IPV6 Créer un nouveau En cochant cette option, un assistant permet de créer un nouveau bridge contenant bridge les deux interfaces auxquelles le VLAN est attaché. Adressage IPv4 En cochant cette option, le VLAN dispose d’une adresse IPv4. Si celle-ci est statique, il faut l’indiquer, accompagnée de son masque de réseau, dans le champ situé...
  • Page 451 Pour plus d’information sur la configuration du routage dynamique, reportez-vous à la Note Technique Routage Dynamique BIRD, disponible sur le site de Documentation Technique Stormshield. Le routage statique et le routage dynamique fonctionnent simultanément; le routage statique reste cependant prioritaire pour l’acheminement des paquets sur le réseau.
  • Page 452 Passerelle(Optionnel) Un clic sur cette colonne ouvre la base d'objets afin de sélectionner une machine (routeur). Couleur(Optionnel) Une fenêtre s'affiche permettant de sélectionner une couleur d'interface (utilisée dans Stormshield Network REALTIME MONITOR). Commentaire Texte libre. (Optionnel) L’onglet «  Routage dynamique IPv6  »...

  • Page 453: Dhcp

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPPORT IPV6 AVERTISSEMENT Aucune vérification syntaxique n’est effectuée lors de l’envoi de la configuration du moteur de routage dynamique. L’onglet «  Routes de retour IPv6  » Lorsque plusieurs passerelles sont utilisées pour réaliser du partage de charge, cet onglet permet de définir la passerelle par laquelle les paquets retour doivent impérativement transiter afin de garantir la cohérence des connexions.

  • Page 454: Général

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPPORT IPV6 Général Activer le service  : permet d’activer le service DHCP selon 2 modes spécifiques  : serveur ou relai. Serveur DHCP Envoie différents paramètres réseaux aux clients DHCP. Relai DHCP Le mode relai DHCP est à...
  • Page 455 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPPORT IPV6 Supprimer Permet de supprimer une plage d’adresses, ou plusieurs plages d’adresses simultanément. La grille affiche les plages d’adresses utilisées par le serveur DHCP pour la distribution d’adresses aux clients. Plages d’adresses Sélectionnez un objet réseau de type Plage d’adresses IP dans la liste déroulante.

  • Page 456: Réservation

    SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPPORT IPV6 Réservation Ce champ contient le nom de l’objet réseau (machine) possédant une adresse IPv6 réservée. Identifiant unique Ce champ contient l’identifiant unique de la machine. Celui-ci permet au Firewall DHCP (DUID) d’identifier le client et de lui réattribuer l’adresse IP réservée.
  • Page 457 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPPORT IPV6 Paramètres. Ce menu permet de configurer le ou les serveurs DHCP vers le(s)quel(s) le firewall relaiera les requêtes DHCP des machines clientes. Interfaces d’écoute des requêtes DHCP. Les interfaces réseau sur lesquelles le Firewall est à l’écoute des requêtes DHCP clientes.
  • Page 458 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 SUPPORT IPV6 La barre d’actions Version IP Ce bouton complète la fonctionnalité du filtre et permet de choisir le type d’objets à afficher en fonction de la version d’IP qu’ils utilisent. Un menu déroulant vous propose les choix suivants  : IPv4 et IPv6 Cette option permet d’afficher dans la liste des objets à...
  • Page 459 «  block all  ». Cela concerne les messages de type NS (Neighbour Sollicitation) et NA  (Neighbour Advertisement). En version Stormshield Network 1.0, certaines actions ne pouvant s’appliquer qu’au trafic IPv4 génèreront des avertissements (icône ) ou des erreurs (icône ) dans le champ «  Vérification de la politique ...
  • Page 460 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 NOMS AUTORISÉS OU INTERDITS Noms autorisés ou interdits Voici les caractères autorisés ou interdits des éléments enregistrés sur votre firewall : Nom du Firewall Le nom du firewall ne peut contenir qu’au maximum 127 caractères. Les caractères autorisés sont ...
  • Page 461 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 NOMS AUTORISÉS OU INTERDITS Noms interdits : any internet none anonymous broadcast all Objets de type Nom DNS (FQDN) Caractères interdits : Certificats Nom d’autorité de certification (caractères interdits) : ` "...
  • Page 462 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 STRUCTURE D'UNE BASE OBJETS AU FORMAT CSV Structure d'une base objets au format CSV Cette section définit, pour chaque type d'objet pouvant être importé ou exporté, la structure d'une ligne constituant la base objets au format CSV. Tous les champs sont séparés par des virgules.
  • Page 463 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 STRUCTURE D'UNE BASE OBJETS AU FORMAT CSV fqdn,www.free.fr,212.27.48.10,,"" Réseau Type d'objet (obligatoire) : network, Nom (obligatoire) : chaîne de texte respectant les caractères acceptés (voir section Noms autorisés), Adresse IPv4 (obligatoire), Masque réseau (obligatoire), Adresse IPv6 (optionnel), Longueur du préfixe IPv6 (optionnel) : indiqué...
  • Page 464 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3 STRUCTURE D'UNE BASE OBJETS AU FORMAT CSV Protocole Type d'objet (obligatoire) : protocol, Nom (obligatoire) : chaîne de texte respectant les caractères acceptés (voir section Noms autorisés), Numéro de protocole (obligatoire) : numéro normalisé disponible auprès de l'IANA (Internet Assigned Numbers Authority), Commentaire (optionnel) : chaîne de texte encadrée par des guillemets.
  • Page 465 Les images de ce document ne sont pas contractuelles, l'aspect des produits présentés peut éventuellement varier. Copyright © Stormshield 2020. Tous droits réservés. Tous les autres produits et sociétés cités dans ce document sont des marques ou des marques déposées de leur détenteur respectif.

Ce manuel est également adapté pour:

Sn160wSn210Sn210wSn310Sn510Sn710 ... Afficher tout

Table des Matières