Académique Documents
Professionnel Documents
Culture Documents
CSNA v2 Livre de Formation 2016 02 21 PDF
CSNA v2 Livre de Formation 2016 02 21 PDF
FORMATION ADMINISTRATEUR
STORMSHIELD NETWORK SECURITY
3
Translation d'adresses 166
Généralités 167
Translation dynamique 169
Translation statique par port 172
Translation statique 175
Menu « NAT » 180
Ordre d’application des règles de NAT 192
Filtrage 195
Généralités 196
La notion de « stateful » 198
L’ordonnancement des règles de filtrage et de translation 200
Menus « filtrage » 203
L’analyseur de cohérence et de conformité 220
Protection applicative 223
Filtrage d’URL 224
Filtrage SMTP et antispam 237
Analyse antivirale 245
Prévention d’intrusion et inspection de sécurité 250
Utilisateurs authentification 255
Introduction 256
Configuration 258
Utilisations diverses 273
Agent SSO 279
VPN 285
Les différents réseaux privés virtuels 286
VPN Ipsec – Concepts et généralités 288
VPN Ipsec – Tunnels site-à-sites 298
VPN Ipsec – Virtual Tunneling Interface 317
VPN Ipsec – Correspondant dynamique 326
VPN SSL 336
Concepts et généralités 337
Mise en œuvre d'un tunnel 344
4
Annexe - Configuration réseau 358
DNS Dynamique 359
DHCP 363
Proxy Cache DNS 368
Annexe - Translation d'adresses 371
Configuration avancées 372
Annexe - Filtrage 380
Configuration avancées 381
Annexe - Utilisateurs & authentification 386
Méthode guest 387
Annexe - Virtual Private Network 390
Point-to-point tunneling protocol 391
Labs 395
Schéma d’architecture 397
LAB 1 : Prise en main du Firewall 398
LAB 2 : Les Objets 399
LAB 3 : Configuration réseau et routage 400
LAB Bonus : DHCP 400
LAB Bonus : Virtual Log Appliance for Stormshield 401
LAB 4 : Translation d’adresses 402
LAB 5 : Filtrage 403
LAB 6 : Filtrage de contenu (HTTP) 405
LAB 7 : Authentification 406
LAB 8 : VPN Ipsec (site à site) 408
LAB 9 : VPN SSL 409
21/02/2016
5
6
Ce que nous allons voir dans ce module
7
Cursus des formations et des certifications
Chaque niveau de formation est couronné par une certification que le stagiaire peut
obtenir en passant un test sur notre plateforme d’exa e accessible directement sur
internet https://institute.stormshield.eu.
Le stagiaire a le droit à deux tentatives pour le passage des certifications. La
première est accessible au niveau de son compte sur la plateforme e-learning,
durant 3 semaines, le lendemain de la formation; au besoin, la deuxième tentative
est ouverte durant le mois suivant la formation.
8
Cursus des formations et des certifications
Pour tous les niveaux, le participant devra obtenir 70% de réponses correctes pour
être certifié.
9
Ce que nous allons voir dans ce module
• Présentation de Stormshield
• Stormshield Data Security
• Stormshield Endpoint Security
• Stormshield Network Security
10
Présentation de l’entreprise et des produits
11
Présentation de l’entreprise et des produits
12
Présentation de l’entreprise et des produits
13
Présentation de l’entreprise et des produits
14
Présentation de l’entreprise et des produits
15
Présentation de l’entreprise et des produits
16
Présentation de l’entreprise et des produits
17
Présentation de l’entreprise et des produits
18
Présentation de l’entreprise et des produits
• Full Protect : Offre une protection efficace contre les attaques inconnues et
sophistiquées grâce à une technologie proactive unique, sans signatures.
• Security monitoring : C’est un service de veille avancée qui permet d’a al se les
vulnérabilités qui touchent les systèmes et les applications, d’e vo e des
rapports périodiques attestant du niveau de protection effectif et de fournir des
recommandations pour traiter les éventuels risques résiduels.
19
Présentation de l’entreprise et des produits
20
Présentation de l’entreprise et des produits
La technologie de tous les produits Stormshield Network est basée sur un moteur
IPS (Intrusion Prevention System) propriétaire intégré dans un noyau FreeBSD.
21
Présentation de l’entreprise et des produits
Cas d’usages
• SN150 : Site distant connecté en VPN, sécurité unifiée pour petite
structure
• SN200 : Site distant connecté en VPN, sécurité unifiée pour petite
structure avec DMZ ou double accès WAN. Le SN200 permet de créer 2
zones de confiance sur le réseau interne ou de mettre en place de la
edo da e de lie s d’a s I te et
• SN300 : Sécurité unifiée pour petites structures avec besoin de continuité
(haute disponibilité) et de zones de sécurité. Le SN300 offre 8 ports
physiques et supporte la fonction Haute Disponibilité.
22
Présentation de l’entreprise et des produits
Cas d’usages
• SN510 : O ga isatio s de taille o e e ave u esoi d’a hivage lo al
de logs. Le SN510 permet le stockage lo al et l’a hivage de logs su dis ue
dur.
• SN710 : Organisations de taille moyenne avec un besoin de modularité
éseau allia t la de sité de po ts (jus u’à 6 po ts uiv e) et la fi e
Gigabits Ethernet.
• SN910 : Organisations de taille moyenne avec un besoin de flexibilité pour
monter en performance. Le SN910 peut supporter en plus 8 ports
Ethernet, 6 ports fibre 1G ou 2 ports fibre 10G.
23
Présentation de l’entreprise et des produits
Cas d’usages
• SN2000 : O ga isatio s a a t des esoi s de pe fo a e et d’évolutivité.
Le SN off e u e g a de odula ité g â e à des odules d’exte sio
réseau optionnels.
• SN3000 : Organisations ayant des architectures critiques. Le SN3000
intègre des composants matériels redondants pour une meilleure
disponibilité : disques durs SSD en RAID1 et alimentation redondante. Il
supporte les mêmes configurations réseau que le SN2000.
• SN6000 : Grandes entreprises et datacenters. Le SN6000 propose une
modularité réseau inégalée sur le marché : il peut supporter jusque 58
ports 10/100/1000 ou 28 ports fibre (1Gbps ou 10Gbps). Il offre des
performances Firewall jusque 80Gbps et la supervision des composants
matériels via IPMI.
24
Présentation de l’entreprise et des produits
La gamme des appliances virtuelles pour réseau est composée de quatre produits :
V50, V100, V200 et V500.
25
Présentation de l’entreprise et des produits
La gamme des appliances virtuelles pour Cloud est composée de trois produits :
• VS5 et VS10 : Ils permettent respectivement la protection d’u parc de 5 et
de 10 serveurs.
• VU (Unlimited): Le nombre d’ad esses protégées est illimité. Il peut être
utilisé pour la protection d’u parc de machines ou de serveurs.
Ces appliances virtuelles sont disponibles dans les Marketplace d’A azo Web
Services et de Microsoft Azure.
26
Ce que nous allons voir dans ce module
27
Fonctions standards et optionnelles
28
Fonctions standards et optionnelles
29
Fonctions standards et optionnelles
• Système :
o RAID 1 (Redundant Array of Independent Disks): Assure la fiabilité
du stockage en disposant une copie conforme des données sur
deux disques durs indépendants.
o Double partition système (principale et secours) : Permet le
stockage de deux versions du système.
o Haute disponibilité : Assure la continuité de services en utilisant
deux firewalls : un en mode actif et l’aut e en mode passif. Dans le
cas où le firewall actif ’est plus fonctionnel, le firewall passif
bascule en mode actif pour assurer la transmission et la protection
des données. Cette fonctionnalité monopolise une interface réseau
sur chaque firewall.
30
Fonctions standards et optionnelles
Le tableau ci-dessus présente les services disponibles dans les produits Stormshield
Network Security. Il est important de noter que le stockage local des fichiers
journaux (logs) est natif sur l’e se le des produits excepté pour les SN150, SN200
et SN300 parce u’ils sont dépourvus de disque dur.
*Pour les SN200 et SN300, il est possible, en option, d’a tive le stockage local des
logs sur une carte SD amovible.
31
Fonctions standards et optionnelles
32
Fonctions standards et optionnelles
Stormshield propose des packs de service de sécurité pour répondre à des usages
précis. Ces packs assurent :
• Une mise à jour corrective et évolutive continue des systèmes de
protection ( firrmware, IPS, applications, etc),
• Une maintenance matérielle des produits Stormshield Network en deux
niveaux : Echange standard à la réception du produits défectueux ou
Echange express dès la détection de la panne,
• L’a s au support technique via un réseau de partenaire,
• L’a s à l’espa e de veille sécurité « Stormshield Security Watch » via
l’espa e client Stormshield. Cet espace liste l’e se le des vulnérabilités
et attaques gérées par les solutions Stormshield Network Security.
34
Fonctions standards et optionnelles
• UTM Security Pack : Les entreprises qui souhaitent une protection unifiée
contre les menaces transitant par le Web ou la messagerie et désirent
contrôler finement les activités de surf des utilisateurs peuvent souscrire à
ce pack.Elles bénéficient alors de la technologie de prévention d’i t usio
unique de Stormshield Network Security, d’u moteur antispam avancé,
d’u antivirus pour la détection des programmes malveillants et de 16
catégories de sites WEB pour définir une politique d’a s à Internet.
• Premium UTM Security Pack : Ce pack s’ad esse aux entreprises
exigeantes en matière de sécurité. Il apporte les meilleures technologies
pour contrer les attaques les plus évoluées. Le système antimalware
Kaspersky avec technologie d’é ulatio et le filtrage d’URLs en mode
Cloud, basé sur 65 catégories (Extended Web Control), élèvent votre
protection jus u’à un niveau inégalé sur le marché. Le module Stormshield
Network Vulnerability Manager offre une visibilité temps-réel sur les
vulnérabilités réseau ou applicatives affectant les postes et serveurs du
système d’i fo atio .
• Entreprise Security Pack : Destiné aux entreprises qui disposent de
solutions de protection distinctes pour chaque fonction de sécurité, ce
pack concentre la valeur ajoutée des produits Stormshield Network
Security sur les fonctionnalités Next-Generation Firewall. La mise à jour de
la base d’appli atio s destinée au contrôle applicatif est réalisée de
manière continue, en intégrant en priorité les applications demandées par
nos clients. Le module Stormshield Network Vulnerability Manager offre
une visibilité temps-réel sur les vulnérabilités réseau ou applicatives
affectant les postes et serveurs du système d’i fo atio .
35
Fonctions standards et optionnelles
36
Fonctions standards et optionnelles
Les produits (SN710, SN910, SN2000, SN3000 et SN6000) proposent une modularité
réseau incomparable sur le marché, grâce à des modules optionnels de connectiques
cuivre ou fibre:
• SN910 intègre 8 ports 10/100/1000 + 2 ports SFP 1Gbps et peut supporter en plus
8 ports 10/100/1000, 6 ports SFP 1Gbps ou 2 ports SFP+ 10Gbps (1 module
d’exte sio ).
37
Ce que nous allons voir dans ce module
38
Prise en main du firewall
39
Prise en main du firewall
L’i s iptio du firewall dans l’espa e privé est la première opération à effectuer
pour utiliser toutes les fonctionnalités du produit.
40
Prise en main du firewall
Suite à cette inscription, le login et le mot de passe de votre compte vous seront
transmis par e-mail.
41
Prise en main du firewall
L’ouve tu e d’u compte client Stormshield et l’i s iptio d’u firewall permettent
de :
42
Prise en main du firewall
La base de connaissance est présentée sous la forme d’u « Wiki » accessible depuis
l’espa e client. Elle est alimentée et maintenue en permanence par l’é uipe du TAC
(support technique) SNS.
Vous y trouverez entre autre :
• Les paramètres de configuration spécifiques
• La liste des limitations fonctionnelles connues
• Les supports de formation enligne délivrés par le TAC
• Les procédures de diagnostiques
43
Prise en main du firewall
44
Prise en main du firewall
Les divers orifices ou connectiques sont communs à tous les UTM de la gamme bien
que leurs emplacement peuvent varier en fonction du produit concerné. De manière
générale, chaque UTM inclut:
• Un bouton de démarrage/arrêt,
• Trois LEDs, en partant du bas :
o La première LED « orange » indique que le firewall est sous-tension
(câble d’ali e tatio branché),
o La deuxième LED « verte » indique que le système du firewall est
en cours de démarrage ou en cours d’a t,
o La troisième LED « verte » indique que le firewall a fini de démarrer
et u’il est fonctionnel.
• Connecteur carte SD : Permet d’ajoute une carte mémoire sur le firewall.
La carte doit avoir une capacité maximale de 32 Go et être au moins de
classe 6.
• Port clavier PS2 et connecteur VGA : Permettent le branchement d’u
clavier et d’u écran sur le firewall pour y accéder en mode console,
• Port série : Pour brancher une console série sur le firewall,
• Bouton Reset : Pour restaurer la configuration usine du firewall,
• Port USB: Permet le branchement d’u e clé USB ou d’u modem 3G,
• Interfaces Ethernet : Le type et le nombre d’i te fa es diffèrent suivant le
modèle.
45
Prise en main du firewall
Démarrage du firewall :
Le démarrage s’effe tue en mettant sous-tension le firewall et en appuyant ensuite
sur le bouton de démarrage. Au début, les deux premières LEDs en partant du bas
s’allu e t ce qui indique que le firewall est sous tension et que le système est en
cours de démarrage. Une fois ce dernier démarré, la LED du haut s’allu e et un bip
sonore est émis pour indiquer que le firewall est opérationnel.
Arrêt du firewall :
L’a t s’effe tue en appuyant sur le bouton d’a t, ce qui déclenche un bip sonore
et l’exti tio de la première LED qui indique le début de l’a t du système. Une fois
le système arrêté, les deux LEDs s’éteig e t et le firewall s’a te complètement.
46
Prise en main du firewall
47
Prise en main du firewall
Dans une configuration usine, la première interface du firewall est nommée « OUT »,
la seconde « IN » et le reste des interfaces « DMZx ». L’i te fa e « out » est une
interface externe, utilisée pour connecter le firewall à internet et le reste des
interfaces sont internes et servent principalement à connecter le firewall à des
réseaux locaux.
Toutes les interfaces sont incluses dans un bridge dont l’ad esse est 10.0.0.254/8. Un
serveur DHCP est actif sur toutes les interfaces du bridge et il distribue des adresses
IP comprises entre 10.0.0.10 et 10.0.0.100.
Pour accéder à l’i te fa e d’ad i ist atio du firewall, nous vous conseillons de
connecter votre machine sur une interface interne.
Note : Avec la configuration usine, connecter une machine sur l’interface externe et
ensuite sur une interface interne sera interprété par le firewall comme une tentative
d’usurpation d’adresse IP sur le bridge et par conséquent, il bloquera tout le trafic
généré par cette machine. Le redémarrage du firewall sera nécessaire pour
débloquer cette situation.
48
Prise en main du firewall
L’a s à l’i te fa e graphique d’ad i ist atio du firewall s’effe tue grâce à un
navigateur Web en HTTPS à l’ad esse « https://10.0.0.254/admin ». Les navigateurs
officiellement supportés sont Mozilla Firefox (à partir de la version 3) et Internet
Explorer (à partir de la version 7).
L’a s aux pages d’ad i ist atio nécessite une authentification. Par défaut, seul le
compte système admin, disposant de tous les privilèges sur le boitier, existe et peut
se connecter. En configuration usine, le mot de passe de ce compte est également
admin; pour des raisons évidentes de sécurité, il conviendra de modifier ce mot de
passe.
Pour s’authe tifie , l’utilisateu peut également sélectionner un certificat dans le
magasin de son navigateur.
Dans les options avancées, l’ad i ist ateu peut choisir la langue des menus de
configuration ainsi que l’a s en en lecture seule, ce qui empêche toute
modification de la configuration.
En haut à droite de la page, deux icônes sont présentes:
49
Prise en main du firewall
50
Prise en main du firewall
L’i age ci-dessus illustre le premier menu de l’assista t d’i stallatio . Il propose
deux possibilités :
• L’installation pas à pas: Elle dure environ 15 minutes et permet la
configuration séquentielle des éléments listés ci-dessous:
o Mise à jour de la licence et du système,
o Configuration de la connexion à internet sur la première interface
« OUT »,
o Configuration du réseau interne (LAN),
o Configuration du domaine DNS et du serveur DHCP,
o Interconnexion à un serveur Microsoft Active Directory,
o Configuration de quelques paramètres système tels que la langue
ou l’heu e
o Modification du mot de passe de l’utilisateu « admin » et des
accès aux pages d’ad i ist atio
o Enregistrement de l’UTM sur votre espace privé sur le site
Stormshield,
o Mise à jour des bases dynamiques : antispam, antivirus, signatures
contextuelles ASQ, base d’URL Stormshield, Management de
vulnérabilités
51
Prise en main du firewall
Attention : l’assista t d’i stallatio crée automatiquement les objets qui seront
utilisés dans les menus de configuration (voir module « Objets »). Ces objets ne
pourront ni être modifiés ni supprimés, une fois la configuration avec l’assista t
finalisée.
52
Prise en main du firewall
53
Prise en main du firewall
54
Prise en main du firewall
55
Prise en main du firewall
56
Prise en main du firewall
57
Prise en main du firewall
58
Prise en main du firewall
1. CONFIGURATION GÉNÉRALE :
• Le nom du firewall. Par défaut, ce champ est vide mais prendra en compte
le numéro de série du firewall.
• La langue des traces remontées par le firewall. Deux choix sont possibles :
Anglais ou Français.
• La langue du clavier utilisé pour un accès console direct : Anglais, Français,
Italien, Polonais ou Suisse.
• Les paramètres cryptographiques regroupent deux options qui sont
respectivement en relation avec les certificats (présentés dans la
formation Expert) et le chiffrement hardware (CESA ou PADLOCK) qui est
disponible sur certains modèles des firewalls physiques du SN150 à SN900.
• La politique de mots de passe définit la longueur minimale et les
caractères obligatoires des mots de passe créés dans les différents menus
du firewall (par exemple : mots de passe des utilisateurs dans l’a uai e
interne (LDAP), mots de passe qui protège les fichiers de sauvegarde, mots
de passe des certificats créés au niveau du firewall). Par défaut, la
longueur minimale est à un et aucun caractère ’est obligatoire.
Cependant, l’ad i ist ateu peut imposer des mots de passe
alphanumérique seulement ou alphanumérique avec des caractères
spéciaux.
59
Prise en main du firewall
60
Prise en main du firewall
2. ADMINISTRATION DU FIREWALL :
• Il est possible de ne plus autoriser le compte « admin » à accéder à
l’i te fa e d’ad i ist atio . Cela implique u’u nouvel administrateur ait
été créé avec des droits suffisants. Dans le cas contraire, vous perdrez
définitivement l’a s à l’i te fa e d’ad i ist atio du firewall.
• Le port utilisé pour accéder à l’i te fa e d’ad i ist atio du firewall peut
être un autre port que HTTPS (443/TCP), qui est choisi par défaut. Si un
autre port est utilisé l’URL d’a s devient :
« https://@IP_firewall:autre_port/admin ».
• Par défaut, l’i te fa e d’ad i ist atio du firewall utilise un certificat issu
de l’auto ité de certification du firewall. Le lien « Configurer le certificat
SSL pour l'accès à l'interface d'administration » renvoie vers le menu qui
permet de modifier ce certificat.
• La protection contre les attaques force brute pour l’a s à l’i te fa e
d’ad i ist atio peut être activée/désactivée et le nombre de tentatives
ainsi que le temps d’atte te (en minute) sont paramétrables. Par défaut,
après 3 tentatives d’authe tifi atio infructueuses, l’a s depuis cette
adresse IP sera bloqué pendant 1 minute.
• L’a s à l’i te fa e d'administration peut être limité à une machine ou un
réseau spécifique. Dans ce cas, la machine ou le réseau doit apparaître
dans la liste « Poste d’ad i ist atio autorisé ». Par défaut, seuls les
réseaux internes et représentés par l'objet « Network_internals » sont
autorisés à y accéder.
61
Prise en main du firewall
62
Prise en main du firewall
3. PARAMÈTRES RÉSEAUX :
• Dans le cas où le firewall transite par un proxy pour accéder à Internet, les
paramètres se renseignent depuis ce menu.
63
Prise en main du firewall
64
Prise en main du firewall
Le mot de passe du compte « admin » peut être modifié dans l’o glet COMPTE
ADMIN du menu CONFIGURATION ⇒ SYSTÈME ⇒ Administrateurs. Le mot de passe
doit avoir au minimum 5 caractères et doit respecter la politique de mot de passe
définit dans le menu CONFIGURATION.
La force du mot de passe indique son niveau de sécurité : Très faible, faible, moyen,
bon, excellent. Il est fortement conseillé d’utilise les majuscules et les caractères
spéciaux pour augmenter le niveau de sécurité.
Les boutons Exporter la clé privée et Exporter la clé publique du firewall permettent
respectivement de télécharger la clé privée et clé publique du compte admin.
65
Prise en main du firewall
66
Prise en main du firewall
1. GÉNÉRAL :
En haut de l’o glet un bouton permet de rechercher les nouvelles licences
directement sur les serveurs de mise à jour Stormshield et un autre bouton permet
de l’i stalle . Ils sont suivis d’i fo atio s sur la durée de validité de la licence et des
différentes options disponibles. La partie Installation à partir d’un fichier permet
d’i stalle la licence à partir du fichier « .licence » stocké sur le PC.
Enfin, La partie Configuration avancée permet de configurer la fréquence de
recherche des mises à jour et égalemet d’e automatiser l’i stallatio .
67
Prise en main du firewall
2. DÉTAILS DE LA LICENCE :
Les boutons de recherche et d’i stallatio de la licence sont également présents ici.
Une barre de recherche permet de trouver rapidement la disponibilité d’u e option
ou d’u service dans la licence.
Le reste de la page détaille le contenu de la licence avec les durées de validité.
68
Prise en main du firewall
69
Prise en main du firewall
70
Prise en main du firewall
2. SAUVEGARDER :
Dans cet onglet, l’ad i ist ateu peut effectuer une sauvegarde manuelle de la
configuration du firewall qui est téléchargée et enregistrée sous le format d’u
fichier chiffré « .na ». Les éléments sauvegardés dans le fichier sont listés ci-dessous:
71
Prise en main du firewall
72
Prise en main du firewall
73
Prise en main du firewall
3. RESTAURER :
La restauration d’u e configuration s’effe tue à partir d’u fichier « .na » stocké sur
la machine. Si le fichier de configuration est protégé par un mot de passe,
l’ad i ist ateu doit le saisir dans la partie « configuration avancée ».
En fonction des besoins, seule une partie de la configuration peut être restaurée.
Dans ce cas, dans la partie Configuration avancée, sélectionnez le ou les modules
nécessaires. Dans tous les cas, il est conseillé de redémarrer le firewall après une
restauration (le redémarrage est proposé uniquement après une restauration
complète).
74
Prise en main du firewall
75
Prise en main du firewall
4. CONFIGURATION :
L’e se le de la gamme d’UTM physiques Stormshield Network disposent de deux
partitions complètement indépendantes qui permettent le stockage de versions de
firmware différentes. Chaque partition possède sa propre configuration. Il faut faire
la distinction entre les partitions principale/secours et les partitions active/passive.
Nous pouvons avoir deux cas de figure illustrés ci-dessus : (1) partition active =>
principale et partition passive=>secours ou (2) partition active => secours et partition
passive => principale.
L’ad i ist ateu peut sélectionner la partition qui deviendra active au prochain
démarrage du firewall (principale ou de secours). Automatiquement l’aut e partition
deviendra la partition passive.
Le bouton « sauvegarder la partition active » permet de copier tout le contenu de la
partition active (configuration + firmware) sur la partition de sauvegarde.
76
Prise en main du firewall
L’ad i ist ateu peut activer ou désactiver la mise à jour d’u seul module ou de
tous les modules à la fois en utilisant les boutons « Tout autoriser » ou « Tout
refuser ».
Les listes des serveurs de mise à jour des différents modules et de la base d’URL sont
accessibles dans la partie « configuration avancée ». L’ad i ist ateu peut modifier,
ajouter ou supprimer des serveurs.
77
Ce que nous allons voir dans ce module
78
Logs et monitoring
79
Logs et monitoring
80
Logs et monitoring
81
Logs et monitoring
82
Logs et monitoring
Le premier onglet gère l’e egist e e t local des fichiers de traces sur le disque dur
(si le firewall en est équipé) ou sur une carte mémoire SD (si le firewall dispose d’u
emplacement prévu à cet effet et si l’ad i ist ateu a souscrit à l’optio « stockage
externe »). Chaque famille de traces occupe un espace réservé sur le support de
stockage.
83
Logs et monitoring
84
Logs et monitoring
85
Logs et monitoring
Les firewalls Stormshield Network embarquent un client SYSLOG qui peut être activé
pour la transmission des traces à destination d’u serveur SYSLOG externe. Ces
traces sont enregistrées dans un seul fichier au format WELF (WebTrends Enhanced
Log file Format) qui organise chaque trace sur une ligne suivant un ordre
chronologique (la plus récente apparaîtra en tête du fichier).
L’o glet SYSLOG permet l’a tivatio et la configuration du client SYSLOG, il est
constitué de:
• Activer l’envoi des traces par syslog : Permet d’a tive /désa tive la
fonction client SYSLOG sur le firewall.
• Serveur(s) de destination : Indique l’ad esse IP du ou des serveurs
SYSLOG.
• Port : Renseigne le port destination utilisé par le client SYSLOG. Par défaut
le port 514/udp.
• Famille de traces envoyées : Permet de sélectionner les familles de traces
qui seront transmises au serveur SYSLOG en double cliquant sur la partie
État de chaque famille pour activer ou désactiver l’e voi.
86
Logs et monitoring
87
Logs et monitoring
Virtual Log Appliance est basée sur la suite ELK : Elastricsearch (base de donnée),
Logstash (gestionnaire de logs) et Kibana (portail web). Cette suite est installée sur
une distribution Linux (Ubuntu) et elle est paramétrée pour traiter les logs provenant
des équipements SNS. La taille par défaut de la base de données est de 40Go.
Une fois logué sur la machine virtuelle, un assistant est lancé automatiquement
permettant de visualiser et de configurer plusieurs paramètres (les données, le
réseau, la base de donnée, mot de passe, etc). Par défaut :
NOTE : Pour avoir plus d’i fo atio sur l’i stallatio , consultez « le guide
d’i stallatio Virtual Log Appliance for Stormshield » disponible dans la base
documentaire.
88
Logs et monitoring
La visualisation des logs s’effe tue via une interface web accessible en HTTPS sur
l’ad esse IP de la machine virtuelle. La page d’a ueil est constituée de plusieurs
panneaux :
• 0.Index : Regroupe les opérations qui permettent de gérer l’i te fa e web : retour
à la page principale, ouvrir une vue, enregistrer une vue, paramétrage de la page
affichée.
• Configuring the firewall : Décrit la procédure d’a tivatio du client syslog au
niveau des firewalls.
• Index : Offre une liste de vues préconfigurées pour visualiser les traces par
catégorie.
• Events indexed : Quantité de traces reçues par Virtual Log Appliance.
• Events by appliance : Liste les équipements SNS ayant transmis des traces. Un
compteur indique la quantité de traces transmis par chaque équipement.
89
Logs et monitoring
Une vue contient plusieurs indicateurs sur les événements d’u e catégorie à
l’ex eptio de la vue log qui offre une vue globale sur toutes les catégories.
Afin de restreindre l’affi hage, il est possible d’utilise :
• Les requêtes : Effectuées sur la base de données, elles peuvent être simple en
utilisant des mots clés (alarme, 443, etc) comme elles peuvent être avancées en
recherchant une valeur d’u champ (alarmid:6, dstport:[20 to 30]) ou en utilisant
les opérateurs AND, OR ( ssh and 192.168.2.254). L’opé ateu « OR » est appliqué
dans le cas d’utilisatio de plusieurs requêtes.
• Les filtres : Permettent de filtrer l’affi hage en temps réel. Par défaut, un filtre sur
le temps est appliqué ; il peut être modifié dans l’e -tête de la page. Dans le cas
où plusieurs filtres sont définis, l’opé ateu « AND » est appliqué entre les filtres.
Un simple clic sur une zone d’u graphe ou sur l’i ô e loupe à côté d’u
paramètre permet également de définir un filtre.
90
Logs et monitoring
91
Logs et monitoring
92
Logs et monitoring
La liste de diffusion contenant les e-mail des destinataires est à créer au préalable
dans l’o glet DESTINATAIRES.
93
Logs et monitoring
94
Logs et monitoring
L’o glet MODÈLES permet de personnaliser le contenu des e-mails envoyés pour
différents évènements. Le corps des messages peut contenir des paramètres ($URL,
$UID, etc) qui seront remplacées par des valeurs suivant le contexte de l’év e e t.
95
Logs et monitoring
96
Logs et monitoring
Les rapports d’a tivités embarqués sont une fonctionnalité accessible depuis l’e -
tête de l’i te fa e d’ad i ist atio web en cliquant sur le bouton encadré en rouge
ou directement depuis l’URL « https://@IP_firewall/reports ». La nouvelle page qui
s’affi he possède une structure identique à la page d’ad i ist atio (trois parties:
entête, menus, contenu du menu sélectionné). Elle est accessible en lecture seule ou
en lecture/écriture parce u’elle permet de modifier des éléments de la
configuration du firewall: ajouter un nouvel objet réseau machine ou modifier
l’a tio et le niveau de traces d’u e alarme par exemple.
Depuis cette page, deux menus principaux sont proposés: les rapports d’a tivités et
les traces.
97
Logs et monitoring
Les rapports ne peuvent pas être générés avec des données passées. Seules les
données collectées à partir de l’a tivatio de la fonction pourront être affichées dans
un rapport.
Note: Les rapports d’activités sont disponibles sur les firewalls ne disposant ni de
disque dur ni de carte mémoire SD avec l’option de « stockage externe ». Cependant,
ils sont limités à 5 rapports et un historique maximal de 7 jours.
98
Logs et monitoring
Le rapport calcule les statistiques des 50 évènements les plus importants durant la
plage temporelle choisie. Cependant, la page affiche seulement les 10 premiers
évènements (top 10) parmi ces 50. Le reste des évènements (du 11ème au 50ème) sont
regroupés dans la catégorie « Autres ».
Depuis certains rapports (par exemple les alarmes), il est possible de modifier des
éléments de la configuration en effectuant un simple clic sur la ligne concernée. Par
exemple, le niveau de trace ou l’a tio associés à une alarme sont modifiables
directement depuis cet outil, à condition d’avoi le droit d’é itu e sur la session en
cours.
Enfin, l’i te fa e permet de télécharger le rapport dans un fichier au format « CSV »
ou l’i p i e .
99
Logs et monitoring
2. Menu TRACES :
Il permet de visualiser des traces sauvegardées en local sur le firewall, dans le cas où
celui-ci dispose de disque dur ou d’u e carte mémoire SD avec l’optio « stockage
externe »). Le cas contraire, ce menu ’appa ait pas.
Il est constitué de deux sous-menus:
• VUES : Les traces sont organisées en groupes: trafic réseau, menaces, web,
etc. Chaque groupe représente une famille de traces ou une concaténation
de plusieurs familles.
• JOURNAUX : Il offre un accès direct à chaque famille de traces.
L’affi hage des traces peut être restreint à une plage temporelle prédéfinie (dernière
heure, aujou d’hui, semaine dernière ou mois dernier) ou personnalisée. Les
données sont affichées par ordre chronologique (la trace la plus récente est en tête
de liste). Les traces peuvent être visualisées sous la forme de lignes simples ou sous
la forme d’u tableau dans lequel chaque ligne représente une trace et chaque
colonne représente une information dans la trace.
Le nombre de colonnes affiché par défaut est limité, cependant, toutes les colonnes
peuvent être affichées en un clic grâce à l’optio « Afficher tous les éléments ». Pour
ajouter manuellement une colonne à la fois, cliquez sur la flèche encadrée en bleu et
ensuite sur « Colonnes ».
100
Logs et monitoring
En cliquant sur un type de trace, une fenêtre s’affi he pour offrir des raccourcis vers
plusieurs fonctionnalités qui diffèrent suivant le type trace affichée: afficher de
l’aide, ajouter la machine à la base objet, filtrer les traces en se basant sur la valeur,
voir la ligne complète de la trace, etc.
Pour filtrer les traces, une barre de recherche simple permet de rechercher une
chaine de caractère dans toutes les colonnes de toutes les traces.
101
Logs et monitoring
102
Logs et monitoring
103
Logs et monitoring
La connexion sur un firewall depuis SN Real-Time Monitor s’effe tue sur le port
HTTPS TCP/443. La première connexion fait apparaître une fenêtre qui vous
demandera si vous voulez faire confiance ou non à l’auto ité de certification du
firewall qui a signé le certificat présenté par ce dernier. Les autres applications
utilisent le port TCP/1300.
Les ports TCP/443 et TCP/1300 sont autorisés par défaut seulement sur les interfaces
internes. Si besoin, Ils peuvent être autorisés explicitement sur les interfaces
externes.
104
Logs et monitoring
L’appli atio SN REAL TIME MONITOR (RTM) est un logiciel permettant de visualiser
l’a tivité d’u ou plusieurs firewalls en temps réel et au plus tard sur les données de
la journée.
L’a s à un équipement nécessite le droit de modification pour quelques opérations
d’ad i ist atio ; par exemple, supprimer un utilisateur de la table des utilisateurs
authentifiés, réinitialiser un tunnel VPN ou ajouter une machine à la base d’o jet.
Ces opérations et d’aut es fonctionnalités sont accessibles via un clic-droit sur
l’évé e e t sélectionné. Ainsi, RTM permet également, de faire un ping ou un
traceroute sur la machine source ou destination.
105
Logs et monitoring
• Interfaces : Permet de visualiser les interfaces et leur débit ainsi que les
connexions traversant le firewall.
• Qualité de service : Liste les différentes files de qualité de service créées
leur débit équivalent.
• Utilisateurs : Affiche les utilisateurs authentifiés ainsi que les droits
d’ad i ist atio des utilisateurs connectés au firewall via RTM.
• Quarantaine –Bypass ASQ : Liste les machines en quarantaine et les
machines dont le trafic ’est pas soumis aux analyses du moteur de
prévention d’i t usio .
• Routers : Permet de visualiser l’état des passerelles (principales et
secondaires) configurées dans les objets routeurs.
• Tunnels VPN : Affiche l’état des tunnels VPN IPSec et VPN SSL ainsi que la
quantité de données échangées dans chaque tunnel.
• Active Update : Affiche l’état des mises à jour effectuées par la fonction
Active Update. Depuis ce menu, il est possible de re-lancer le
téléchargement d’u e base.
• Services : Affiche l’état des services disponibles sur le firewall.
• Matériel : Affiche les informations sur la haute disponibilité, le système
RAID ou le modem 3G si ce dernier est configuré.
• Politique de Filtrage : Affiche les règles de filtrage et de NAT de la
politique active ainsi que les règles de filtrage implicite (voir le module
« filtrage » pour plus de détails à ce sujet).
• Politique VPN : Affiche le contenu de la politique VPN IPSec active.
• Traces :
• VPN : Affiche les traces VPN IPSec
• Système : Affiche les traces systèmes
106
Logs et monitoring
107
Logs et monitoring
108
Ce que vous allez voir dans ce module
• Généralités
• Les Objets réseaux
109
Les objets
110
Les objets
Dans ce module, nous nous intéresserons principalement aux objets réseaux. Les
autres objets seront décrits dans les modules où ils sont utilisés. Ainsi les objets
temps seront abordés dans le module « Filtrage » et les groupes d’URLs dans la
partie objets web du module « protection applicative ».
La partie Certificats et PKI est, quant à elle, abordée dans le cursus CSNE.
111
Les objets
La syntaxe des noms des objets doit respecter quelques restrictions définies dans le
tableau ci-dessus. De plus, elle est insensible à la casse.
112
Les objets
113
Les objets
Les objets réseaux regroupent toutes les valeurs des paramètres réseaux (adresse IP,
réseau, port, etc).
114
Les objets
On peut distinguer deux types d’o jets particuliers en plus des objets qui peuvent
être créés :
115
Les objets
La fenêtre de création d’o jets est composée de plusieurs onglets, un pour chaque
type. Dans la majorité des cas, la création d’u objet consiste à définir deux champs
obligatoires, à savoir le nom et la valeur, le champ commentaire est facultatif. Il est
possible de « créer » ou de « créer et dupliquer » l’o jet, ce qui facilite la création de
plusieurs objets du même type.
116
Les objets
Pour ajouter un objet (ou plusieurs objets) au groupe, il suffit de sélectionner l’o jet
et de le basculer de la liste de gauche vers la liste de droite en cliquant sur le
bouton →. La suppression de l’o jet du groupe se fait par l’opé atio inverse avec le
bouton ← .
117
Les objets
118
Ce que nous allons voir dans ce module
• Modes de configuration
• Types d’i terfa es
• Routage
119
Configuration réseau
120
Configuration réseau
Il est important de noter u’il ’existe pas d’assista t pour la configuration de ces
modes, il s’agit uniquement d’u e dénomination. La mise en œuvre de chacun des
modes s’effe tue suivant le besoin, en configurant les interfaces réseaux et les règles
de translation.
121
Configuration réseau
Grâce au mode transparent, le firewall Stormshield Network s’i t gre aisément dans
un réseau existant sans devoir en modifier sa configuration.
La particularité de ce mode est que toutes les interfaces du firewall sont incluses
dans un bridge qui porte une adresse IP du réseau local (IP utilisée pour accéder à
l’i terfa e d’ad i istratio du firewall). Ceci permet d’avoir plusieurs réseaux
physiques (un réseau par interface) partageant le même réseau logique.
Dans la figure ci-dessus, le réseau local utilise une plage d’adresses privée
192.168.0.0/24 et accède à Internet via une passerelle qui assure la translation
d’adresses. Le firewall Stormshield Network est positionné en coupure des
connexions entre les machines du réseau local et la passerelle d’a s à Internet.
122
Configuration réseau
Dans ce mode, l’UTM Stormshield Network doit gérer les mécanismes de translation
d’adresse pour assurer l’a s à Internet au réseau local.
123
Configuration réseau
Le mode hybride est une combinaison des modes bridge et avancé. Le principe est
d'avoir plusieurs interfaces dans un bridge (même plan d’adressage) et d'autres
interfaces indépendantes avec des plans d’adressages différents.
Dans ce mode nous pouvons avoir deux cas de figure. Le premier est illustré ci-
dessus. Le réseau des machines internes et le réseau des serveurs en DMZ partage le
même plan d’adressage et ils sont connectés au firewall via des interfaces
appartenant au même bridge. La translation d’adresse doit être configurée sur le
firewall pour que le réseau local (réseau du bridge) accède à Internet via l’i terfa e
externe, configurée avec une adresse IP publique.
124
Configuration réseau
Le deuxième cas de figure est illustré ci-dessus. Le réseau des serveurs en DMZ est
configuré avec un plan d’adressage IP public. Chaque serveur disposera donc d’u e
IP publique distincte.
Ce réseau est connecté au firewall par une interface incluse dans le même bridge
que l’i terfa e externe où est connecté le routeur d’a s Internet. Les serveurs en
DMZ accèdent à Internet via le bridge et aucune translation d’adresse ’est
nécessaire (les connexions restent néanmoins soumises aux directives de filtrage et
autres analyses applicatives de l’UTM).
Le réseau des machines internes possède un plan d’adressage privé. Il est connecté
au firewall via une interface ’apparte a t pas au bridge. Par conséquent, la
translation d’adresse doit être configurée pour lui permettre un accès à Internet.
125
Configuration réseau
126
Configuration réseau
127
Configuration réseau
• L’e -tête (encadré vert): offre les fonctionnalités de base pour la gestion
des interfaces.
• La liste des interfaces (encadré rouge): affiche toutes les interfaces
(physique, bridge, vlan, modem) du firewall. Il est possible de faire un
glisser-déposer sur les interfaces pour modifier leur configuration. Par
exemple, l’ajout d’u e interface à un bridge peut se faire en glissant
l’i terfa e physique et en la déposant sur l’i terfa e bridge. L’a tio
inverse est possible pour retirer une interface d’u bridge.
• La configuration de l’i terfa e (encadré bleu): composée de deux onglets
pour tous les types d’i terfa e excepté pour l’i terfa e bridge qui
possède un 3ème onglet qui permet la sélection des interfaces lui
appartenant.
128
Configuration réseau
129
Configuration réseau
130
Configuration réseau
Aucune configuration ’est prise en considération si elle ’est pas appliquée avec le
bouton Appliquer .
131
Configuration réseau
132
Configuration réseau
133
Configuration réseau
134
Configuration réseau
135
Configuration réseau
136
Configuration réseau
137
Configuration réseau
Les réseaux virtuels (VLAN : Virtual Local Area Network) introduisent la notion de
segmentation virtuelle qui permet de constituer des sous-réseaux logiques au sein
d'une même architecture réseau physique. Tous les équipements réseaux
appartenant au même VLAN sont habilités à communiquer ensemble et forment un
domaine de diffusion. Par conséquence, l’utilisatio des VLANs dans une
architecture réseau permet d’a éliorer les performances en limitant les domaines
de diffusion et offre une meilleure sécurité en séparant les réseaux logiques.
Les VLANs se basent sur la norme 802.1q qui définit un en-tête supplémentaire de 4
octets (VLAN tag) au niveau de la trame Ethernet illustrée dans la figure ci-dessus.
Cet en-tête comprend le champ VLAN id (VID) qui permet d’ide tifier le VLAN auquel
appartient la trame. Ce champ est codé sur 12bits et il permet de définir jus u’à
4094 VLANs différents (le VLANID=0 signifie que la trame ’appartie t à aucun VLAN
et le VLANID=4095 est réservé).
Dans une architecture VLAN, les firewalls Stormshield Network peuvent se placer à
deux endroits différents:
• En extrémité de VLANs: Dans ce cas, un VLAN est associé à une interface
physique et le firewall ajoute le tag VLAN sur les paquets émis et le retire
sur les paquets reçus.
• Au cœur d’un VLAN (VLAN traversant): Cette configuration préserve le
marquage du trafic VLAN traversant le firewall. Pour cela, le VLAN est
associé à deux interfaces physiques et les deux interfaces VLANs doivent
faire partie du même bridge.
138
Configuration réseau
Une fois la deuxième page validée, la nouvelle interface VLAN est visible dans la liste
des interfaces.
139
Configuration réseau
140
Configuration réseau
Toutes les gammes des firewalls Stormshield Network implémentent plusieurs types
de routage
141
Configuration réseau
142
Configuration réseau
La configuration des routes statiques s’effe tue dans l’e adré ROUTES STATIQUES
du premier onglet du menu CONFIGURATION ⇒ RÉSEAU ⇒ Routage.
L’e adré contient une barre de recherche et deux boutons pour ajouter ou
supprimer une route. Il contient également une fenêtre qui liste toutes les routes
statiques et leurs paramètres. Le bouton « Ajouter » ajoute une entrée à la liste. Les
paramètres qui doivent obligatoirement être renseignés sur cette ligne sont :
• Réseau de destination : Peut être un objet machine, réseau ou un
groupe.
• Passerelle : Un objet machine représente l’adresse IP de la
passerelle qui permet d’attei dre le réseau de destination.
• Interface : Choix de l’i terfa e de sortie pour atteindre la
passerelle. En se basant sur les paramètres de l’i terfa e, le
firewall renseigne automatiquement les champs plan d’adressage
et protégée. Le fait de sélectionner l’i terfa e se justifie dans le
cas d’u bridge qui peut contenir des interfaces protégées et non
protégées. Seule, la sélection de l’i terfa e permet de savoir si le
réseau doit être considéré comme protégé ou non. Dans le cas où
le plan d’adressage de l’i terfa e et de la passerelle ne sont pas
identiques, un message d’erreur annonce que « la passerelle ’est
pas routable ».
143
Configuration réseau
Note : Le routage dynamique est fonctionnel seulement sur des interfaces externes
144
Configuration réseau
Depuis la version 2.1, le routage dynamique peut se configurer depuis l’i terfa e
graphique dans l’o glet ROUTES DYNAMIQUES du menu CONFIGURATION ⇒
RÉSEAU ⇒ Routage. Avec les anciennes versions la configuration s’effe tue
seulement en ligne de commande depuis une console.
145
Configuration réseau
Le routage par politique permet de spécifier une route (passerelle) au niveau des
règles de filtrage. Ce qui permet de renvoyer un flux vers une passerelle différente de
la passerelle par défaut.
Un exemple est illustré dans la figure ci-dessus ; le trafic des emails sortants est
renvoyé vers la passerelle « ISP2 » et le reste du trafic est renvoyé vers la passerelle
« ISP1 ».
146
Configuration réseau
La mise en œuvre d’u e directive de routage par politique s’effe tue au niveau du
champ Action d’u e règle de filtrage. Deux types d’o jet peuvent être renseignés au
niveau de ce champ :
147
Configuration réseau
Dans la figure ci-dessus, le trafic reçu par l’i terfa e « IN » est renvoyé vers la
passerelle « ISP2 » et le trafic reçu par l’i terfa e « dmz1 » est renvoyé vers la
passerelle « ISP1 ».
148
Configuration réseau
149
Configuration réseau
Le trafic qui ’est pas routé par les précédents types de routage (statique +
dynamique, par interface, load balancing) est renvoyé vers la passerelle par défaut.
150
Configuration réseau
La passerelle par défaut est renseignée dans l’o glet ROUTES STATIQUES du menu
CONFIGURATION ⇒ RÉSEAU ⇒ Routage. Au niveau du paramètre Passerelle par
défaut (routeur). Ce paramètre peut prendre comme valeur :
• Un objet machine : Pour spécifier une seule passerelle par défaut sans test de
disponibilité, sans répartition de charge et sans passerelle de secours.
151
Configuration réseau
En utilisant les objets routeur, la répartition de charge peut être appliquée au trafic
envoyé vers la passerelle par défaut ou bien pour un trafic particulier via le routage
par politique. Dans le premier cas, l’o jet routeur doit être spécifié comme
passerelle par défaut du firewall (voir de slide 33), dans le deuxième cas l’o jet
routeur doit être renseigné dans le paramètre passerelle du champ Action d’u e
règle de filtrage (voir le slide 29).
152
Configuration réseau
La configuration d’u routage par répartition de charge s’effe tue dans un objet
routeur. Les différentes passerelles doivent être ajoutées dans l’o glet LISTE DES
PASSERELLES UTILISÉES. Chaque ligne permet de renseigner :
• La passerelle avec un objet machine
• Test de disponibilité : Permet de tester la disponibilité de la passerelle en utilisant
des pings. Ce paramètre peut avoir plusieurs valeurs :
• Pas de test de disponibilité : La disponibilité de la passerelle ’est pas
testé
• Tester directement la passerelle : Des pings sont envoyés directement à la
passerelle pour tester sa disponibilité.
• Une machine ou un groupe de machines, se trouvant derrière la
passerelle, vers lesquelles les pings sont envoyés pour tester la
disponibilité et le fonctionnement de la passerelle.
Par défaut, l’état de chaque passerelle est vérifié chaque 15s en envoyant un
ping à chaque machine renseignée. Dans le cas où aucune réponse ’est
reçue au bout de 2s, le firewall recommencera 3 fois, avant de considérer la
passerelle indisponible.
153
Configuration réseau
L’algorith e utilisé pour répartir le trafic entre les passerelles peut être configuré au
niveau du paramètre Répartition de charge dans la configuration avancée :
• Aucune répartition : Le trafic est transmis exclusivement à la première passerelle
qui apparait dans la liste.
• Par connexion : Répartit le trafic en fonction de l’adresse source et destination.
Cette algorithme est recommandé parce u’il permet de répartir également les
connexions provenant d’u e même machine.
• Par Adresse IP source : Répartit le trafic en fonction de l’adresse source. Il permet
de s’assurer que le trafic d’u e machine sera toujours renvoyé vers la même
passerelle.
154
Configuration réseau
Dans l’exe ple illustré ci-dessus, la passerelle « ISP2 » est considérée comme une
passerelle de secours qui sera utilisée pour tous le trafic seulement si la passerelle
« ISP1 » ’est plus disponible.
Il est important de noter que grâce aux objets routeur, les passerelles de secours
peuvent être utilisées pour le trafic envoyé à la passerelle par défaut ou bien
seulement pour un trafic particulier en utilisant le routage par politique.
155
Configuration réseau
Plusieurs passerelles de secours peuvent être ajoutées dans l’o glet LISTE DES
PASSERELLES DE SECOURS d’u objet routeur. Pour chaque passerelle de secours, on
peut définir un équipement de test et un poids à l’i star des passerelles principales.
La configuration avancée permet de configurer l’a tivatio des passerelles de
secours:
• Lorsque toutes les passerelles sont injoignables
• Lorsqu'au moins une passerelle est injoignable
• Lorsque le nombre de passerelles joignables est inférieur à un certain seuil.
(1<seuil≤ nombre de passerelles principales)
L’ordre des passerelles de secours est important parce que seule la première
passerelle joignable dans la liste est utilisée à part si l’optio Activer toutes les
passerelles de secours en cas d'indisponibilité est sélectionnée. Dans ce dernier
cas, toutes les passerelles de secours seront utilisées.
156
Configuration réseau
La figure ci-dessus illustre l’ordre d’appli atio des différents types de routage dans
la version V1.x.
157
Configuration réseau
Note :
• Dans le cas où un objet routeur est utilisé dans le routage par politique et aucune
passerelle n’est joignable, deux options sont possibles : le routage est délégué au
routage par défaut ou bien le trafic est bloqué par le firewall. Ces options ne sont
pas possibles si l’objet routeur est utilisé dans le routage par défaut.
158
Configuration réseau
La route de retour permet de spécifier l’i terfa e de sortie pour atteindre une
passerelle distante. Ce type de route est utilisé pour forcer le flux sortant d’u e
connexion entrante à repasser via l’i terfa e d’e trée de la connexion.
La figure ci-dessus illustre un exemple dans lequel on dispose de deux accès WAN.
L’a s « ISP1 » est réservé exclusivement aux flux emails (entrants et sortants).
L’a s « ISP2 » est utilisée comme sortie par défaut pour les autres flux.
Sans route de retour, les réponses des connexions emails entrantes via l’i terfa e
« ISP1 » peuvent être renvoyées via l’i terfa e « ISP2 ».
Note : Les routes de retour sont prioritaires sur tous les autres types de routage.
159
Configuration réseau
La configuration d’u e route de retour s’effe tue dans l’o glet ROUTE de RETOUR du
menu CONFIGURATION ⇒ RÉSEAU ⇒ Routage. Il faut ajouter une ligne pour chaque
route, dans laquelle il faut spécifier la passerelle et l’i terfa e qui permet de lui
accéder. Pour les interfaces possédant une couche Ethernet, il faut spécifier les
adresses IP et MAC de la passerelle.
160
Configuration réseau
Note :
• Pour le moment, les firewalls SNS ne permettent pas de gérer les groupes
multicast en utilisant IGMP et ’i plé e te t pas de protocoles de routage
multicast. Ces intégrations sont prévues dans les prochaines versions.
161
Configuration réseau
Pour ajouter une route, il suffit de cliquer sur Ajouter qui lance un assistant dont la
première fenêtre permet de renseigner l’adresse ou le réseau multicast et l’i terfa e
source. La deuxième fenêtre, quand-à-elle, permet de renseigner les interfaces de
destination.
162
Configuration réseau
163
Configuration réseau
164
Configuration réseau
165
Ce que nous allons voir dans ce module
• Généralités
• Translation dynamique
• Translation statique par port
• Translation statique
• Menu « NAT »
• Ordre d’appli atio des règles de NAT
166
Translation d'adresses
167
Translation d'adresses
Les mécanismes de translation d’ad esses ont été mis au point pour faire face à la
pénurie d’ad esses IP publiques. Le principe de base consiste à utiliser des adresses
IP privées, définies par l’IANA (Internet Assigned Numbers Authority) et renseignées
par la RFC 1918 (tableau ci-dessus), au niveau d’u réseau local et de le relier à
Internet à travers une seule adresse IP publique.
168
Translation d'adresses
169
Translation d'adresses
Dans la majorité des cas, ce type de translation est mis en œuv e pour permettre à
un réseau local configuré avec des adresses IP privées d’a éde à Internet via une
seule adresse IP publique.
170
Translation d'adresses
Les ports sources fixés par le firewall sont choisis dans une plage prédéfinie appelée
ephemeral_fw [20000-59999]. Par défaut, les ports sont choisis séquentiellement
dans la plage, cependant une option est disponible pour permettre un choix
aléatoire.
171
Translation d'adresses
172
Translation d'adresses
La figure ci-dessus illustre l’exe ple d’u serveur web local « @priv_web »
accessible depuis internet sur l’ad esse IP publique du firewall « @pub_fw ». Au
niveau du firewall, une règle de translation est créée pour la correspondance entre
(l’ad esse IP publique destination « @pub_fw »/port destination 80) et (l’ad esse IP
du serveur local « @priv_web »/port destination 80).
Ainsi, le paquet émis par la machine « @client » vers l’ad esse IP « @pub_fw » sur le
port 80 est modifié pour être renvoyé vers le serveur web sur le même port. Et la
réponse renvoyée par ce serveur est également modifiée en conséquence avant
d’ t e renvoyée vers la machine « @client ». Il est important de noter que les ports
destination avant et après translation peuvent être différents.
173
Translation d'adresses
174
Translation d'adresses
175
Translation d'adresses
La figure ci-dessus, illustre les modifications que subissent les paquets d’u e
connexion entrante vers un serveur web local en se basant sur la règle de translation
qui fait la correspondance entre (l’ad esse IP publique destination « @pub_web
»/port destination 80) et (l’ad esse IP du serveur local « @priv_web »/port
destination 80).
Ainsi, le paquet émis par la machine « @client » vers l’ad esse IP « @pub_web » sur
le port 80 est modifié pour être renvoyé vers le serveur web sur le même port. Et la
réponse renvoyée par ce serveur est également modifiée en conséquence avant
d’ t e renvoyée vers la machine « @client ». Il est important de noter que les ports
destination avant et après translation peuvent être différents.
176
Translation d'adresses
La figure ci-dessus, illustre les modifications que subissent les paquets d’u e
connexion sortante initiée par le serveur web local vers un serveur sur internet en se
basant sur la règle de translation qui fait la correspondance entre (l’ad esse IP privée
source « @priv_web »/port source « any ») et (l’ad esse IP source publique «
@pub_web »/port source « any »).
Ainsi, le paquet émis par le serveur « @priv_web » vers une adresse IP sur internet
sur ’i po te quel port est modifié pour remplacer l’ad esse source
« @priv_web »/port source « any » par l’ad esse source « @pub_web »/port source
« any ». La réponse renvoyée par le serveur externe est aussi modifiée en
conséquence avant d’ t e renvoyée vers le serveur web local. Il est important de
noter que les ports source avant et après translation peuvent être restreints à un
numéro de port particulier et ils peuvent être différents.
177
Translation d'adresses
178
Translation d'adresses
Étant donné que les adresses IP publiques virtuelles ne sont pas configurées au
niveau de l’i te fa e externe du firewall, ce dernier ne répondra pas aux requêtes
ARP pour la résolution de ces adresses IP en adresse MAC du firewall.
179
Translation d'adresses
180
Translation d'adresses
Dans les firewalls Stormshield Network, les règles de filtrage et NAT (translation
d’ad esses sont regroupées sous une même politique. Il est possible de définir 10
politiques différentes mais une seule politique est active à la fois, identifiée par
l’i ô e :
181
Translation d'adresses
182
Translation d'adresses
L’o glet NAT est composé d’u entête pour la gestion des règles de translation:
• Nouvelle règle :
• Règle standard : Ajouter une règle de translation standard.
• Règle de partage d’adresse source (masquerading) : Ajouter une
règle pour la translation dynamique en précisant la plage de port
ephemeral_fw.
• Séparateur – regroupement de règles : Ajouter un séparateur de
règles qui regroupe toutes les règles se trouvant au dessous, ce qui
permet de fermer le séparateur pour masquer l’affi hage de toutes
les règles lui appartenant. De plus, le séparateur peut être
personnalisé par une couleur et un commentaire.
• Règle de NAT statique (bimap) : Lancer un assistant qui facilite
l’ajout de règles de translation statique bimap.
• Supprimer : Supprimer la/les règle(s) sélectionnée(s).
• Monter / Descendre : Monter ou descendre la/les règle(s) sélectionnée(s)
d’u e position dans la liste.
• Tout dérouler / Tout fermer : Dérouler/fermer tous les séparateurs pour
afficher/cacher les règles de NAT.
183
Translation d'adresses
184
Translation d'adresses
185
Translation d'adresses
186
Translation d'adresses
L’affi hage des colonnes de la fenêtre peut être personnalisé en cliquant sur l’i ô e
indiquée par la flèche bleue ci-dessus, ensuite sur colonnes. Il suffit de sélectionner
une colonne pour u’elle s’affi he.
Les règles de NAT peuvent être déplacées dans la fenêtre par un glisser/déposer en
cliquant à gauche sur le numéro de la règle. Enfin, les nouvelles règles ajoutées
doivent être sauvegardées et activées explicitement avec le bouton sauvegarder et
activer.
187
Translation d'adresses
Les paramètres d’u e règle peuvent être renseignés directement dans la fenêtre des
règles ou sur une nouvelle fenêtre qui s’affi he en double cliquant sur ’i po te quel
paramètre de cette règle. Cette fenêtre permet aussi l’a s aux paramètres de
configuration avancée.
Les valeurs des paramètres étant des objets, ils peuvent être copiés d’u e règle à
une autre par un simple glisser/déposer.
188
Translation d'adresses
La règle de NAT dynamique est créée avec le bouton Nouvelle règle ⇒ règle de
partage d’adresse source (masquerading) qui ajoute automatiquement la plage de
ports ephemeral_fw au niveau du port src dans le trafic après translation.
La figure ci-dessus présente un exemple d’u e règle de NAT dynamique avec les
principaux paramètres qui doivent être renseignés. Dans la section Trafic original
(avant translation), la source représente le réseau interne Network_in accessible
depuis l’i te fa e « in » qui veut accéder à ’i po te quelle destination sur
’i po te quel port destination. Dans la section Trafic après translation, la source
est modifiée par l’ad esse IP publique portée par l’i te fa e « out » et le port source
est translaté part un numéro de port dans la plage ephemeral_fw.
Il est conseillé de cocher l’optio choisir aléatoirement le port source translaté qui
permet de choisir aléatoirement un numéro de port dans la plage ephemeral_fw
pour les nouvelles connexions. Cette option offre une protection contre certaines
attaques en rendant le port translaté moins prédictible.
189
Translation d'adresses
La règle de NAT statique par port est créée à partir d’u e règle standard. Un exemple
est présenté dans la figure ci-dessus.
Dans la section Trafic original, la source représente ’i po te quelle machine sur le
réseau public, ayant pour destination l'adresse IP publique du firewall sur le port 80
(HTTP). Dans la section trafic après translation, l'adresse IP destination est
remplacée par l’ad esse IP privée du serveur et le numéro de port 80 (HTTP) est
maintenu comme port destination. Il est important de noter que les ports
destination avant et après translation peuvent être différents.
190
Translation d'adresses
Les règles de NAT statiques sont créées avec Nouvelle règle ⇒ règle de NAT statique
(bimap) qui lance un assistant pour renseigner les informations suivantes :
• Machine(s) privée(s) : L’ad esses IP privée du serveur en interne
• Machine(s) virtuelle(s) : L’ad esse IP publique virtuelle dédiée au serveur
interne
• Uniquement sur l’interface : L’i te fa e externe depuis laquelle le serveur
est accessible avec son adresse IP publique virtuelle.
• Uniquement pour les ports : La règle de NAT statique permet de translater
tous les ports, cependant, il est possible de la restreindre en spécifiant un
ou une plage de ports au niveau de ce paramètre. Il est conseillé de laisser
cette valeur à Any et de restreindre le port directement dans les règles de
filtrage.
• publication ARP : Activer la publication ARP pour l’ad esse IP publique.
L’exe ple illustré dans la figure ci-dessus translate statiquement un serveur FTP
interne identifié par une adresse IP privée srv_ftp et une adresse IP publique
virtuelle dédiée srv_ftp_pub.
L’assista t ajoute deux règles NATs. La première règle pour la translation du flux
sortant du serveur interne vers le réseau public et la deuxième pour le flux entrant à
destination de l’ad esse IP publique virtuelle. Les deux règles peuvent être modifiées
par la suite indépendamment l’u e de l’aut e.
191
Translation d'adresses
192
Translation d'adresses
L’o d e d’appa itio des règles de translation dans la liste est très important, il définit
l’o d e dans lequel les nouvelles connexions sont confrontées aux règles de
translation. Ainsi, une nouvelle connexion sera confrontée aux règles en partant de
la première dans la liste jus u’à la dernière. Dans le cas où la connexion correspond
à une règle, la translation définie par cette règle est appliquée et la connexion ’est
plus confrontée aux règles suivantes.
Note: Une solution simple pour cet exemple consiste à inverser l’ordre des deux règles
de translation.
193
Translation d'adresses
194
Ce que nous allons voir dans ce module
• Généralités
• La notion de « stateful »
• L’ordo a e e t des règles de filtrage et de translation
• Menus « filtrage »
• L’a alyseur de cohérence et de conformité
195
Filtrage
196
Filtrage
Grâce à la politique de filtrage, l’ad i istrateur est capable de définir les règles qui
permettront d’autoriser ou de bloquer les flux au travers de l’UTM Stormshield
Network. Selon les flux, certaines inspections de sécurité (analyse antivirale, analyse
antispam, filtrage URL, …) peuvent être activées (nous détaillerons ces analyses dans
le module « Protection applicative »). Les règles de filtrage définies devront
respecter la politique de sécurité de l’e treprise.
Pour définir un flux, une règle de filtrage se base sur de nombreux critères ; ce qui
offre un haut niveau de granularité. Parmi ces critères, il est notamment possible de
préciser:
• L’adresse IP source et/ou destination,
• L’i terfa e d’e trée et/ou sortie,
• L’adresse réseau source et/ou destination,
• La valeur du champ DSCP,
• Le service TCP/UDP (n° de port de destination),
• Le protocole IP (dans le cas d’ICMP, le type de message ICMP peut être
précisé),
• L’utilisateur ou le groupe d’utilisateurs devant être authentifié.
Le nombre de règles de filtrage actives dans une politique est limité. Cette limite
dépend exclusivement du modèle de firewall.
Le premier paquet appartenant à chaque nouveau flux reçu par l’UTM est confronté
aux règles de filtrage de la première à la dernière ligne. Il est donc recommandé
d’ordo er au mieux les règles de la plus restrictive à la plus généraliste.
Par défaut, tout trafic qui ’est pas autorisé explicitement par une règle de filtrage
est bloqué.
197
Filtrage
198
Filtrage
199
Filtrage
200
Filtrage
Dans les firewalls Stormshield Network, les règles de filtrage et de NAT sont
organisées en différents niveaux appelés « slot » représentés selon leur priorité dans
la figure ci-dessus :
• Le filtrage implicite : Regroupe les règles de filtrage pré-configurées ou
ajoutées dynamiquement par le firewall pour autoriser ou bloquer certains
flux après l’a tivatio d’u service. Par exemple, une règle implicite
autorise les connexions à destination des interfaces internes de l’UTM sur
le port HTTPS (443/TCP) afin d’assurer un accès continu à l’i terfa e
d’ad i istratio Web. Autre exemple, dès l’a tivatio du service SSH, un
ensemble de règles implicites sera ajouté pour autoriser ces connexions
depuis toutes les machines des réseaux internes.
• Le filtrage global : Regroupe les règles de filtrage injectées au firewall
depuis l’outil d’ad i istratio « Global Manager » ou après affichage des
politiques globales.
• Le filtrage local : Représente les règles de filtrage ajoutées par
l’ad i istrateur depuis l’i terfa e d’ad i istratio .
• Le NAT implicite : Regroupe les règles de NAT ajoutées dynamiquement
par le firewall. Ces règles sont utilisées principalement lors de l’a tivatio
de la haute disponibilité.
• Le NAT global : à l’i star du filtrage global, il regroupe les règle de NAT
injectées au firewall depuis l’outil d’ad i istratio « Global Manager » ou
après affichage des politiques globales.
• Le NAT local : Regroupe les règles de NAT ajoutées par l’ad i istrateur
depuis l’i terfa e d’ad i istratio .
201
Filtrage
Chaque paquet reçu est confronté aux règles de filtrage des différents slots suivant
l’ordre présenté dans la figure ci-dessus. Dès que les éléments du paquet
correspondent à une règle dans un slot, l’a tio de la règle (bloquer ou autoriser) est
appliquée et le paquet ’est plus confronté aux règles suivantes. Si aucune règle de
filtrage ne correspond, le paquet est bloqué par défaut.
Dans le cas où le paquet est autorisé, il est confronté aux règles de NAT des
différents slots toujours suivant l’ordre présenté ci-dessus.
202
Filtrage
203
Filtrage
204
Filtrage
Pour afficher les règles globales, il faut cocher l’optio Afficher les politiques
globales (Filtrage, NAT, VPN IPsec et Objets) dans le menu Préférences accessible
directement depuis l’i ô e de l’e -tête encadré en rouge. Cette option fait
apparaître dans l’e -tête du menu CONFIGURATION ⇒ POLITIQUE DE SÉCURITÉ ⇒
Filtrage et NAT une liste déroulante qui permet de sélectionner les politiques
globales ou locales. Par défaut, aucune règle de filtrage et NAT ’est présente dans
les slots globaux.
205
Filtrage
Les règles de filtrages font partie d’u e politique présentée précédemment dans le
module « Translation d’adresse ».
L’o glet FILTRAGE est composé d’u en-tête pour la gestion des règles de filtrage:
• Nouvelle règle :
• Règle standard : Ajouter une règle de filtrage standard. Par défaut,
une nouvelle règle est désactivée et tous ses critères sont
paramétrés à Any.
• Séparateur – regroupement de règles : Ajouter un séparateur qui
regroupe toutes les règles se trouvant au-dessous (ou jus u’au
prochain séparateur). Cela permet de faciliter l’affi hage d’u e
politique contenant un nombre de règles important. Le séparateur
peut être personnalisé par une couleur et un commentaire.
• Règle d’authentification : Démarrer un assistant facilitant l’ajout
d’u e règle dont le rôle est de rediriger les connexions des
utilisateurs non-authentifiés vers le portail captif (voir module
« Utilisateurs et Authentification » pour plus de détails à ce sujet).
• Règle d’inspection SSL : Démarrer un assistant qui facilite l’ajout de
règles pour l’a tivatio du proxy SSL.
• Règle de proxy HTTP explicite : Démarrer un assistant qui facilite
l’ajout de règles pour l’a tivatio du proxy HTTP explicite.
• Supprimer : Supprimer une règle.
• Monter / Descendre : Monter ou descendre la/les règle(s) sélectionnée(s)
d’u e position dans la liste.
206
Filtrage
207
Filtrage
208
Filtrage
Note: L’int rêt principal de l’indicateur est de réordonner les règles de filtrage les plus
utilisées en les plaçant en tête de liste tout en respectant la politique de sécurité. Cela
permet d’opti iser le temps de lecture de la politique avant de trouver l’action à
appliquer.
209
Filtrage
L’affi hage des colonnes de la fenêtre peut être personnalisé en cliquant sur l’i ô e
indiquée par la flèche bleue ci-dessus puis sur colonnes. Il suffit de sélectionner une
colonne pour u’elle s’affi he.
Les paramètres d’u e règle peuvent être renseignés directement dans la fenêtre des
règles ou sur une nouvelle fenêtre (omnibox) qui s’affi he en double cliquant sur
’i porte quel paramètre de cette règle.
Les valeurs des paramètres étant des objets, ils peuvent être copiés d’u e règle à
une autre par un simple glisser/déposer. Ce procédé permet également de déplacer
les règles de filtrage en cliquant à gauche sur le numéro de la règle. Enfin, les
nouvelles règles ajoutées doivent être sauvegardées et activées explicitement avec
le bouton Sauvegarder et activer.
210
Filtrage
211
Filtrage
• Niveau de trace : Permet de tracer les paquets traités par la règle. Il peut
avoir plusieurs valeurs :
• aucun : C’est la valeur par défaut, elle signifie u’au u e trace ’est
conservée. Cette valeur ’est pas disponible si le paramètre
« Action » est à « tracer ».
• tracer : Le paquet est tracé dans la famille de traces « politique de
filtrage ».
• alarme mineure : Le paquet est tracé dans la famille de traces
« alarmes » avec une alarme mineure.
• alarme majeure : Le paquet est tracé dans la famille de traces
« alarmes » avec une alarme majeure.
212
Filtrage
213
Filtrage
Le menu Source regroupe les paramètres qui identifient la source du trafic concerné
par la règle de filtrage :
• Utilisateur : Permet de renseigner l’utilisateur ou le groupe d’utilisateurs
qui est à l’origi e du trafic. Ce paramètre est fonctionnel dans le cadre
d’u système d’authe tifi atio basé sur un annuaire utilisateurs (voir
module « Utilisateurs et Authentification »).
• Machines Sources : Indique l’adresse IP ou l’adresse réseau du trafic. Les
icônes « = » ou « ≠ » signifient que le paramètre peut être égal ou différent
de la valeur spécifiée. De plus, il est possible de renseigner une liste
d’o jets en cliquant sur l’i ô e encadrée en bleu.
• Interface d’entrée : Permet de préciser l’i terfa e d’e trée du trafic. Ce
paramètre est utile dans le cas des bridges où les interfaces partagent le
même plan d’adressage.
214
Filtrage
215
Filtrage
Dans l’o glet CONFIGURATION AVANCÉE, nous pouvons restreindre l’appli atio de
la règle uniquement au trafic sortant par l’i terfa e indiquée dans interface de
sortie .
Attention : Pour toute règle autorisant un flux entrant, il n’est pas conseillé de
renseigner l’interface de sortie car la route à emprunter pour joindre la destination
du flux n’est pas encore connue.
216
Filtrage
217
Filtrage
NOTE : Le suivi des états « stateful » qui permet de mémoriser et de suivre les
connexions traversant le firewall est activé et figé (non modifiable) uniquement pour
les protocoles TCP, UDP et ICMP. Pour les autres protocoles (GRE, ESP, etc), il faudra
cocher cette option pour activer le suivi.
218
Filtrage
Dans une règle de filtrage, une directive de NAT sur la destination (DNAT) peut être
appliquée.
Exemple : la figure ci-dessus illustre une translation sur la destination d’un trafic
SMTP entrant. La règle de filtrage autorise ce trafic en provenance d’u réseau
externe et à destination de l’adresse IP publique du serveur STMP sur le port
SMTP/25. L’adresse et le port destination sont translatés respectivement par
l’adresse IP privée du serveur SMTP et le port SMTP/25 directement dans la règle de
filtrage où la publication ARP est également activée. Grâce à cette configuration, il
’est pas nécessaire d’ajouter une règle de translation pour rediriger ce trafic.
Note : Sur l’i terfa e graphique l’optio Publication ARP apparaît à côté de l’adresse
IP privée IP_PRIVEE_SMTP, cependant elle est bien appliquée à l’adresse IP publique
IP_PUBLIQUE_SMTP.
Il existe plusieurs avantages à créer une directive de NAT sur destination au sein
d’u e règle de filtrage:
• En quelques clics, on indique que le flux est autorisé et vers quelle machine
interne il doit être redirigé
• Gérer et superviser les règles entrantes dans un seul menu
• Optimiser le traitement des règles de NAT puisque les règles présentes dans
l’o glet NAT ne seront pas parcourues
• Activer des protections applicatives (filtrage SMTP, antispam, etc) à des
connexions entrantes translatées.
219
Filtrage
220
Filtrage
Note : Les messages signalés avec une croix rouge bloquent la sauvegarde et
l’activation de la politique.
221
Filtrage
222
Ce que nous allons voir dans ce module
• Filtrage d’URL
• Filtrage SMTP et antispam
• Analyse antivirale
• Prévention d’i t usio et inspection de sécurité
223
Protection applicative
224
Protection applicative
La fonction de filtrage des URL permet de contrôler l'accès aux sites web d'Internet
pour l'ensemble de vos utilisateurs.
Pour contrôler ces accès, la politique de filtrage URL va se baser sur une liste d’URL
rangée au sein de catégories ou de mots clés personnalisés.
225
Protection applicative
Extended Web Control est une solution de filtrage URL. La base de données est
maintenue à jour dans le Cloud.
L'avantage majeur est que la base de données ne doit plus être téléchargée et
permet d’évite la saturation de l’espa e disque alloué au stockage de la base.
Il s’agit d’u e option payante et ’est donc pas intégrée par défaut sur l’e se le de
la gamme.
226
Protection applicative
Sur réception d’u e connexion HTTP à destination d’u site web sur Internet, le
firewall envoie une requête vers un des serveurs Extended Web Control afin de
recenser les catégories auxquelles appartient l'URL visitée à condition u’elle ne soit
pas présente dans le cache local. Le résultat sera ensuite confronté à la politique de
filtrage URL active.
Les serveurs peuvent renvoyer jus u’à 5 catégories par URL. Par conséquent, une
URL peut se trouver simultanément dans une catégorie bloquée et une catégorie
autorisée. Dans ce cas, c'est l'ordre des règles de filtrage URL qui prime; assurez-
vous donc d'ordonnancer convenablement vos règles de filtrage URL.
Afin d’opti ise le fonctionnement et éviter l'envoi de plusieurs requêtes vers les
serveurs pour la même URL, la solution Extended Web Control utilise un cache pour
conserver la décision appliquée à une URL déjà visitée. La taille du cache,
dépendante du modèle, est dimensionnée pour conserver 1 jour de navigation ; son
contenu ’est pas visualisable (même en mode console).
227
Protection applicative
Le proxy interroge le cache local. L’URL ’éta t pas présente, une requête est alors
envoyée aux serveurs Extended Web Control pour connaître les catégories incluant
cette URL.
228
Protection applicative
Le proxy interroge le cache local, l’URL est présente. Dans ce cas, les serveurs
Extended Web Control ne sont pas interrogés.
Dans la base objets, les serveurs Extended Web Control (CloudURL) sont nommés
cloudurl[1-5].netasq.com
229
Protection applicative
Une fois que la base est téléchargée, il est conseillé de vérifier la politique de filtrage
URL active car le nom des catégories diffère d’u e base à une autre
Exemple: la catégorie Job Search existe avec Extended Web Control mais n’existe pas
avec la base embarquée. Par conséquent, l’utilisation de cette catégorie dans le
filtrage URL générera une erreur lors de l’activation de la politique.
230
Protection applicative
Depuis le menu Configuration ⇒ Objets ⇒ Objets WEB, dans les onglets URL et
Groupe de catégories, vous pouvez créer vos propres catégories ou groupes de
catégories.
231
Protection applicative
Ces champs sont disponibles depuis les menus Objets WEB ou au sein d’u e
politique de filtrage URL.
232
Protection applicative
Il convient ensuite de choisir les sites à autoriser, bloquer ou à rediriger vers l’u e
des 4 pages de blocage personnalisables.
233
Protection applicative
Le bouton Ajouter des règles par catégorie permet de créer une politique très
rapidement.
Cette option ajoute une ligne avec l'action Passer pour chaque catégorie présente
dans la base. Les groupes personnalisés ne sont pas pris en compte et devront être
ajoutés manuellement.
Un site web peut être classé dans plusieurs catégories. Dans ce cas, l’o d e des règles
de filtrage définit l’a tio à appliquer pour le site concerné.
Exemple: www.decathlon.fr fait partie de trois groupes EWC (Sports, Fashion and
beauty, Shopping). L’ordre de ces trois groupes dans la politique de filtrage URL active
va dicter le comportement à appliquer pour toute visite sur le site www.decathlon.fr.
234
Protection applicative
Une fois la politique de filtrage URL définie, il conviendra de l'appliquer à une règle
de filtrage autorisant les flux HTTP sortants, comme le montre l'exemple ci-dessus.
Dans cette règle, le réseau nommé Réseau_compta ’au a accès u’aux sites
classifiés dans la catégorie Banques.
Cette manière de procéder permet d’a tive plusieurs politiques de filtrage URL
simultanément; afin de gérer les accès de différents réseaux ou machines sources.
235
Protection applicative
Les modifications peuvent s'effectuer grâce à deux éditeurs (simplifié ou HTML) qui
sont au format WYSIWYG (aperçu instantané du contenu de la page). L'éditeur
simplifié permet de modifier rapidement les informations contenues dans la page
telles que son titre, le message de blocage, l'e-mail de la personne à contacter en cas
de mauvaise classification de l'URL visitée ou encore le logo à afficher.
Pour les personnes plus à l’aise avec les langages de programmation WEB, l’éditeu
HTML permet de personnaliser la page de manière beaucoup plus précise.
236
Protection applicative
237
Protection applicative
Dix politiques sont disponibles. Les règles sont traitées dans l'ordre (de haut en bas).
238
Protection applicative
La politiques de filtrage SMTP est appliquée au niveau de l’i spe tio applicative des
règles de filtrage qui autorisent les flux SMTP entrants et sortants. Pour les flux mail
entrants, il est tout à fait possible (même fortement conseillé) de combiner le
filtrage mail à une analyse antispam.
239
Protection applicative
Pour les flux SMTP entrants, la translation vers le serveur SMTP interne doit
s’effe tue dans la règle de filtrage qui autorise le flux (l’a tivatio de la publication
ARP est nécessaire pour ce type de translation). Pour que le filtrage SMTP soit le plus
transparent possible, les adresses IP sources originales des connexions entrantes
sont conservées lorsque ces connexions sont renvoyées dans le réseau interne suite
au filtrage SMTP. Ce comportement est possible grâce à l’optio « conserver
l’ad esse IP source originale » qui est activée par défaut pour les flux entrants dans
l’o glet « proxy » du protocole SMTP.
240
Protection applicative
Pour le flux SMTP sortant, l’optio « appliquer la règle de NAT sur le trafic analysé »
doit être activée au niveau de la configuration globale du protocole SMTP pour
obliger les connexions sortantes du filtrage SMTP à parcourir les règles de NAT. Dans
le cas contraire, les connexions SMTP auront comme adresse IP source l’ad esse IP
de l’i te fa e du firewall par laquelle elles sortent.
241
Protection applicative
242
Protection applicative
243
Protection applicative
L'analyse antispam peut s'appliquer sur des flux SMTP et POP3. Les flux SMTPS et
POP3S, devront au préalable être déchiffrés par une règle d'inspection SSL.
L’exe ple montre ici l’a tivatio d’u e analyse antispam pour un flux SMTP entrant.
244
Protection applicative
245
Protection applicative
L'offre de service antivirus sur les firewalls Stormshield Network se compose de deux
solutions:
• ClamAV: Ce moteur antiviral est intégré gratuitement et par défaut dans
l’e se le des produits de la gamme Stormshield Network.
• Kaspersky: Pour bénéficier du service antivirus Kaspersky, il est nécessaire
de souscrire à un pack de sécurité incluant cette option. Pour plus
d’i fo atio s sur le service antivirus Kaspersky, veuillez contacter votre
revendeur.
246
Protection applicative
Vous trouverez des paramètres additionnels à appliquer aux protocoles pouvant être
soumis à une analyse antivirale (voir le menu Configuration ⇒ Protection
Applicative ⇒ Protocoles ⇒ HTTP, SMTP, FTP ou POP3 ⇒ Analyse des fichiers)
Ce menu est identique pour les protocoles FTP, SMTP et POP3 où il contient:
• La taille maximale pour l'analyse antivirale,
• Les actions sur les messages.
247
Protection applicative
Il s’agit d’u paramètre global. Il ’est pas possible de distinguer un message pour les
flux entrants et les flux sortants par exemple.
248
Protection applicative
* Pour être soumis à une analyse antivirale les flux HTTPS, FTPS, SMTPS et POP3S
doivent au préalable être déchiffrés par une règle d’i spe tio SSL.
249
Protection applicative
250
Protection applicative
Le rôle principal de l'ASQ est de s'assurer de la conformité du paquet par rapport aux
protocoles utilisés de la couche IP jus u’à la couche applicative (grâce aux plugins) et
aux signatures contextuelles (ou Patterns).
C’est également l'ASQ qui est en charge de filtrer les flux et d'appliquer une
opération de NAT si nécessaire.
Le fonctionnement détaillé de l'ASQ ainsi que ses options sont abordés dans le
cursus Expert.
251
Protection applicative
Chaque paquet reçu par l'UTM sera soumis à la politique de filtrage. Par défaut,
l'analyse IPS est appliquée, ce qui signifie que le firewall est capable de détecter une
anomalie et de bloquer le paquet correspondant.
D'autres modes d'inspections peuvent être utilisés, à des fins de tests ou par
nécessité ; par exemple si on contacte un serveur ne respectant pas la RFC des
protocoles qu'il gère.
Ces modes sont à sélectionner dans la colonne Inspection de sécurité de la règle de
filtrage concernée.
252
Protection applicative
253
Protection applicative
254
Ce que nous allons voir dans ce module
• Introduction
• Configuration
• Utilisations diverses
• Agent SSO
255
Utilisateurs & authentification
256
Utilisateurs & authentification
La fonctionnalité d’authe tifi atio permet de définir des droits d’a s différents
aux utilisateurs de votre réseau. Selon les méthodes d'authentification actives, les
utilisateurs présenteront un mot de passe, un certificat, ou démarreront simplement
leur session sur le domaine pour être authentifié sur l'UTM et accéder aux
ressources qui leur sont autorisées.
257
Utilisateurs & authentification
258
Utilisateurs & authentification
Seul le mot de passe sera modifiable après validation. Le compte disposant de tous
les droits sur l'annuaire est par défaut NetasqAdmin.
259
Utilisateurs & authentification
• Activer l’enrôle ent des utilisateurs via le portail Web: permet d’a tiver
le service d’e rôle e t autorisant les utilisateurs à remplir un formulaire
de création de compte qui sera validé ou rejeté par l’ad i istrateur
ensuite.
Une fois l'assistant terminé, une fenêtre affiche un récapitulatif des paramètres.
Depuis cette fenêtre, il est possible d’a tiver ou non l’a s sécurisé à la base (via le
protocole SSL ; dans ce cas il est nécessaire de sélectionner le certificat présenté par
le serveur LDAP, importé sur le firewall au préalable), ainsi que choisir l’algorith e
de hachage des mots de passe. En effet, certaines méthodes d’authe tifi atio
doivent stocker le mot de passe utilisateur sous forme d’u « hash » (résultat d’u e
fonction de hachage appliquée au mot de passe) qui évite le stockage en clair des
mots de passe.
Dans ce cas, vous devez choisir la méthode désirée : SHA-1, MD5, SSHA (Salt SHA-1 –
permet de générer une empreinte différente pour un même mot de passe,
empêchant par exemple l’utilisatio d'attaques dites rainbow table), SMD5 (Salt
MD5), CRYPT (dérivé de DES), ou aucune (mot de passe stocké en clair et non
recommandé).
Pour une base LDAP interne, la méthode par défaut est SHA-1 ; la méthode la plus
sécurisée et recommandée est SSHA.
260
Utilisateurs & authentification
Nous avons regroupé leur configuration dans un chapitre identique car l'assistant est
sensiblement équivalent.
261
Utilisateurs & authentification
Dans cette seconde étape, un paramètre complémentaire de la base LDAP peut être
validé:
• Autoriser l’accès au portail captif depuis les réseaux protégés (interfaces
internes): il s’agit d’u e pré-configuration liée au menu d’authe tifi atio .
Elle équivaut à l’optio Activer le portail captif/uniquement depuis les
interfaces internes (protégées) . L’authe tifi atio est différenciée suivant
les interfaces sur lesquelles arrive le trafic. Il est possible d’a tiver
l’authe tifi atio uniquement sur les interfaces internes, uniquement sur
les interfaces externes ou sur les deux en simultané.
262
Utilisateurs & authentification
Une fois l'assistant terminé, une fenêtre affiche un récapitulatif des paramètres.
Depuis cette fenêtre, il est possible d’a tiver ou non l’a s sécurisé à la base et de
configurer un serveur de secours (serveur à contacter si la connexion TCP avec le
serveur principal échoue)
Les options de l'onglet Structure permettent de filtrer les utilisateurs et les groupes
de la base LDAP.
263
Utilisateurs & authentification
264
Utilisateurs & authentification
265
Utilisateurs & authentification
Par défaut, seule l'utilisation d'une base LDAP interne permet la création
d'utilisateurs depuis l'UTM lui-même. Pour ce faire, il suffit de se rendre dans le
menu Configuration ⇒ Utilisateurs ⇒ Utilisateurs et cliquer sur Ajouter un
utilisateur. En cliquant sur Créer ou modifier le mot de passe une nouvelle fenêtre
s’ouvre pour renseigner le mot de passe qui permettra d'authentifier cet utilisateur.
Note: la création d’utilisateur est impossible dès u’u e correspondance d’attri uts
existe entre l’UTM et la base LDAP externe.
L'onglet Membre des groupes liste les groupes auxquels l'utilisateur est rattaché. Il
faut créer le groupe au préalable pour l'ajouter à cette liste.
266
Utilisateurs & authentification
267
Utilisateurs & authentification
Chaque utilisateur peut avoir une méthode d’authe tifi atio différente, cependant
la méthode doit au préalable avoir été configurée.
Les méthodes disponibles sont LDAP, Certificat SSL, RADIUS, KERBEROS,
authentification transparente (SPNEGO), agent SSO et la méthode Guest.
268
Utilisateurs & authentification
269
Utilisateurs & authentification
• L’adresse IP source ou
• L’i terfa e d’e trée
• L’utilisateur ou le groupe d’utilisateurs
Enfin, si cette seconde méthode ’a outit toujours pas (pas de certificat pour cet
utilisateur par exemple), il sera convié à renseigner un couple login/mot de passe
pour valider l’authe tifi atio via la méthode LDAP.
Note: lors u’elle est sélectionnée, la méthode Agent SSO sera automatiquement
placée en première position des méthodes à tester
270
Utilisateurs & authentification
271
Utilisateurs & authentification
Exemples:
• %f1%l donnerait pnom
• %f%L1 donnerait prenomN
272
Utilisateurs & authentification
273
Utilisateurs & authentification
Les logs liés à l’authe tifi atio peuvent être visualisés dans le menu traces du
rapport d’a tivités ou bien depuis l’outil Stormshield Network Event Reporter de la
suite d’ad i istratio , dans la section Services ⇒ Authentification.
Le nom de l’utilisateur correspond au champ Identifiant de la fiche utilisateur.
Pour vous authentifier avec des méthodes telles que Kerberos ou SPNEGO, la
synchronisation du temps est cruciale. Veillez à vérifier l’heure et le fuseau horaire
de votre machine pour éviter tout échec d’authe tifi atio .
274
Utilisateurs & authentification
275
Utilisateurs & authentification
• Aucun: choix par défaut lors de l’ajout d’u e nouvelle règle. La règle sera
appliquée sans authentification préalable.
• Tous: la règle s’appli ue si un des utilisateurs de la base est authentifié,
peu importe lequel.
• Utilisateurs inconnus: la règle s’appli ue à tout utilisateur qui ’est pas
encore authentifié. Cette valeur est principalement utilisée pour rediriger
l’utilisateur vers le portail d’authe tifi atio lors u’il tente d’a éder à des
sites web au travers du proxy HTTP. Pour s’assurer de la syntaxe de ce type
de règle, il est préférable d’utiliser l’optio Nouvelle règle ⇒ Règle
d’authentification.
• <Utilisateur>@<Objet>: la règle s’appli ue si l’utilisateur est authentifié
depuis l’o jet choisi
Si le paquet reçu depuis cette adresse IP est à destination d’I ter et sur les ports
HTTP, FTP ou POP3, alors il sera autorisé et soumis à une analyse antivirale.
276
Utilisateurs & authentification
L’éditio des règles propose deux modes d’affi hage, la vue simple et la vue avancée
pour obtenir davantage de détails sur les droits accordés.
277
Utilisateurs & authentification
278
Utilisateurs & authentification
279
Utilisateurs & authentification
280
Utilisateurs & authentification
281
Utilisateurs & authentification
Par défaut, via la méthode agent SSO, un utilisateur est authentifié pendant 36000
secondes. Ce paramètre peut être modifié avec une valeur maximale de 1440
minutes, soit une journée.
Lorsque le contenu d’u groupe est modifié, l’i for atio sera transmise à l’age t
toutes les heures. Pour modifier cette fréquence utilisez l’optio Délai de mises à
jour des groupes d’utilisateurs.
282
Utilisateurs & authentification
283
Utilisateurs & authentification
284
Ce que nous allons voir dans ce module
285
Virtual Private Network
286
Virtual Private Network
287
Virtual Private Network
288
Virtual Private Network
289
Virtual Private Network
Tunneling :
Les paquets ESP résultants sont transportés au travers du réseau public Internet dans
un datagramme IP dont l’e -tête porte comme source @pubA et comme destination
@pubB
Une fois acheminés jus u à la passerelle de sécurité @pubB, ces paquets ESP sont
déchiffrés pour restituer les datagrammes IP d'origine tels qu'ils avaient été générés
par leurs émetteurs.
Les datagrammes IP ainsi restitués sont alors acheminés jus u’à leur destination sur
le réseau B.
290
Virtual Private Network
291
Virtual Private Network
Le protocole ESP est référencé sous le numéro de protocole 50 ( ’est le numéro qui
est indiqué dans tout en-tête IP transportant un paquet ESP)
Ce protocole est utilisable grâce à des associations de sécurité, également appelées
« SA » (pour Security Associations) caractérisées par :
• une clef de chiffrement + un algorithme de chiffrement adapté à son
usage
• un algorithme de condensé (ou hash)
• une durée de vie (lifetime)
Ces caractéristiques seront identiques sur les deux correspondants IPSec pour leur
tunnel commun.
292
Virtual Private Network
Pour simplifier et conserver une certaine homogénéité dans la présentation des logs,
nous avons choisi de continuer d’utilise la terminologie de IKEv1 (phase 1 et phase
2) sur IKEv2, bien que ces deux étapes soient décrites comme Parent_SA et Child_SA
dans le standard du protocole IKEv2.
293
Virtual Private Network
294
Virtual Private Network
295
Virtual Private Network
296
Virtual Private Network
En IKEv1, il est impératif que les extrémités de trafic (description des usagers du
tunnel) soient identiques sur les deux correspondants.
A défaut, la négociation de phase 2 échoue.
EN IKEv2, bien que des différences sur les extrémités de trafic ne conduisent pas
systématiquement à un échec de la négociation, il est formellement recommandé de
configurer ces paramètres à l’ide ti ue sur les deux correspondants pour éviter tout
effet de bord indésirable (masque de réseau différents de part et d’aut e,…)
297
Virtual Private Network
298
Virtual Private Network
299
Virtual Private Network
300
Virtual Private Network
301
Virtual Private Network
302
Virtual Private Network
La colonne « keepalive » est cachée par défaut; pour la faire apparaître, cliquer sur
l’e -tête de colonne, puis sélectionner le menu « Colonnes » et cocher la case
« Keepalive ».
La fonction « Keepalive » vise à maintenir le tunnel disponible en permanence en
générant du trafic qui provoque la négociation initiale du tunnel, puis ses
renégociations périodiques.
303
Virtual Private Network
304
Virtual Private Network
305
Virtual Private Network
306
Virtual Private Network
307
Virtual Private Network
308
Virtual Private Network
309
Virtual Private Network
310
Virtual Private Network
Un clic droit sur le tunnel permet d’o te i l’affi hage de la politique sortante ou
entrante correspondante et ainsi de voir les extrémités de trafic prises en charge par
ce tunnel.
311
Virtual Private Network
Les colonnes affichées ici dans le RT Monitor ont volontairement été limitées au
minimum nécessaire à l’exe ple.
Le premier extrait illustre des logs de négociation en IKEv1, le deuxième couvre
IKEv2.
Davantage d’i fo atio s, plus techniques, pourront être affichées en ajoutant des
colonnes par un clic droit sur l’e -tête de colonnes, puis une sélection des colonnes
supplémentaires souhaitées. L’exploitatio de ces informations supplémentaires est
abordée en cours CSNTS.
312
Virtual Private Network
Les règles implicites pour IPSec, affichées ici par le RealTime Monitor, couvrent les
différents types de trafic nécessaires aux négociations ISAKMP et à la réception de
paquets ESP constituant le(s) tunnel(s).
Le port udp/4500 permettra l’usage de NAT-Traversal pour le cas où au moins l’u
des deux correspondants IPSec serait situé derrière du NAT.
Les règles implicites ne concernent que les flux entrants car les flux sortants sont
déjà couverts par les règles flux implicite du firewall.
313
Virtual Private Network
Ces règles sont très permissives puis u’elles ne spécifient pas de flux particuliers; en
situation réelle, il conviendra de définir une politique de filtrage qui décrira
strictement les flux à autoriser afin de couvrir rigoureusement les communications
nécessaires entre les différentes machines des deux sites.
314
Virtual Private Network
IKEv1
Quelle que soit la méthode choisie, la politique chargée sera identique dans les deux
cas.
En effet, les objets de type réseau, contenus dans les groupes, seront appariés pour
engendrer quatre politiques distinctes (une pour chaque couple de réseaux à relier)
La méthode 2) est plus concise et donc plus lisible à condition d’adopte , pour le
nommage des groupes, une nomenclature rigoureuse et suffisamment descriptive
afin d’évite toute ambiguïté et tout risque de confusion lors d’u e relecture
ultérieure.
Dans les deux cas, quatre tunnels distincts ( ’est-à-dire quatre phase 2) seront
négociés.
C’est également le comportement STANDARD de la majorité des implémentations
IKEv1/IPSec.
En IKEv2, un seul tunnel prendra en charge l’e se le des communications entre les
réseaux situés derrière les deux correspondants; ce comportement est parfois
qualifié de « SharedSA »
315
Virtual Private Network
IKEv2
316
Virtual Private Network
317
Virtual Private Network
318
Virtual Private Network
319
Virtual Private Network
320
Virtual Private Network
Les interfaces VTI créées sur les deux correspondants portent chacune un nom
commun et une adresse IP du même plan d’ad essage.
Sur A, la VTI est nommée « localdomain.ext » et son IP est 172.25.255.1/30
Sur B, la VTI est nommée « remote.ext » et son IP est 172.25.255.2/30
Pour éviter toute ambiguïté avec l’a hite tu e existante et ses futures évolutions, il
conviendra de choisir un plan d’ad essage dédié à l’usage des VTI, dans une plage
officiellement privée et suffisamment originale pour ne pas entrer en collision avec
un réseau déjà existant ou le réseau distant d’u e interconnexion future.
Les nom communs de ces interfaces seront automatiquement associés sur chacun
des correspondants à un objet local implicite :
Sur A : Firewall_localdomain.ext
Sur B : Firewall_remote.ext
Il faudra sur chacun également créer l’o jet décrivant l’IP de la VTI du correspondant
d’e face.
321
Virtual Private Network
Comme pour toute description d’o jet, il est judicieux de définir une nomenclature
rigoureuse en utilisant des noms évocateurs.
Cette bonne pratique facilitera l’utilisatio des VTI sur des architectures VPN IPSec
aux correspondants multiples.
322
Virtual Private Network
323
Virtual Private Network
324
Virtual Private Network
Ces directives devront être appliquées sur les deux correspondants si les
communications dans le tunnel peuvent être initiées indifféremment par des
réseaux côté A vers des réseaux côté B et inversement.
La sélection de tunnel par routage sur VTI est prioritaire sur le « matching de
politique » IPSec; ’est-à-dire u’e cas de concurrence entre une politique définie
sur matching des extrémités de trafic et une politique basée sur du routage par VTI,
’est la politique par routage sur VTI qui s’appli ue a.
325
Virtual Private Network
326
Virtual Private Network
327
Virtual Private Network
« Tous » a donc comme signification « Any » en tant u’e tité IP indéfinie; ’est-à-
dire ’i po te quelle adresse ou plan d’ad essage.
328
Virtual Private Network
329
Virtual Private Network
Renseigner l’ide tité d’u correspondant dynamique; ici un firewall dont l’IP est
dynamique.
L’ide tité « fw.remote.ext » est de type FQDN (Fully Qualified Domain Name)
d’o di ai e un nom d’hôte pleinement qualifié.
330
Virtual Private Network
331
Virtual Private Network
332
Virtual Private Network
La configuration correspondante sur le firewall distant dont l’IP est dynamique sera
de type site-à-site avec :
• les extrémités de tunnel pleinement définies,
• les extrémités de trafic également pleinement définies,
• l’ide tité de ce firewall doit être définie sous la forme d’u FQDN
(fw.remote.ext conformément à la configuration exemple exposée ici),
• la PSK associée à l’ide tité du firewall dont l’IP est fixe
(fw.localdomain.ext dans notre configuration exemple).
333
Virtual Private Network
Il ’ a aucune règle implicite pour les tunnels « Anonymes », leur IP étant par
définition imprévisible.
Il est donc nécessaire d’auto ise explicitement les flux protocolaires de négociation
et de tunneling par des règles de filtrage.
En plus de ces règles qui permettent les négociations et le tunneling, il faudra
également (comme pouor les tunnels site-à-site) définir les règles de filtrage
régissant les flux à l’i té ieu du tunnel.
334
Virtual Private Network
335
Ce que nous allons voir dans ce module
• Concepts et généralités
• Mise en œuv e d’u tunnel
336
VPN SSL
337
VPN SSL
Note :
• Les deux modes VPN SSL (portail et complet) peuvent fonctionner en même
temps.
• Le VPN SSL portail ’est pas abordé dans le cadre de cette formation. Ainsi, dans
la suite du document, la mention « VPN SSL » se rapporte exclusivement au VPN
SSL en mode complet.
338
VPN SSL
Le VPN SSL permet à des utilisateurs distants d’a éde de manière sécurisée aux
ressources internes d’u e entreprise. Les communications entre l’utilisateu distant
et le firewall sont encapsulées et protégées via un tunnel TLS chiffré.
Au niveau du firewall, les tunnels VPN SSL sont gérés par le serveur OpenVPN
(logiciel libre) qui est intégré au firmware comme un nouveau service. Ce dernier
peut fonctionner sur ’i po te quel port TCP à l’ex eptio de quelques-uns
(smtp_proxy : 8081/TCP, ftp_proxy : 8083/TCP, pop3_proxy : 8082/TCP, ssl_proxy :
8084/TCP, http_proxy : 8080/TCP, loopback_proxyssl : 8085/TCP, firewall_srv :
1300/TCP, ldap : TCP/389, ldaps TCP/636, pptp : TCP/1723, TCP/4444, TCP/8087 et
smux_tcp : TCP/199) qui sont utilisés pour le fonctionnement interne du firewall.
En ce qui concerne les utilisateurs nomades, le tunnel est géré par le client VPN SSL
(stormshield ou standard openVPN) qui doit être installé au niveau des machines.
Une fois le tunnel ouvert, la machine distante récupère une adresse IP fournie par le
serveur VPN SSL. Elle sera considérée comme faisant partie des réseaux internes
(protégés) du firewall et l’utilisateu sera vu comme authentifié.
339
VPN SSL
340
VPN SSL
• Le client VPN SSL Stormshield Network (basé sur le client OpenVPN) peut être
lancé depuis un poste utilisateur Windows avec les droits d’utilisateu (par contre
son installation nécessite les droits administrateur), et ce de façon entièrement
transparente pour ce dernier. Ce client est disponible en téléchargement libre
depuis votre espace privé mystormshield.com et depuis le portail captif du
firewall après authentification.
• Un client OpenVPN standard doit être lancé avec les droits d’ad i ist atio du
poste client.
341
VPN SSL
Les clients VPN SSL font partie d’u même réseau défini au niveau du firewall. Ce
réseau est considéré comme un réseau interne (protégé) et par conséquent, il ne
doit pas recouvrir un réseau interne existant.
Par exemple, dans le cas où le réseau 192.168.100.0/24 est utilisé par le service VPN
SSL. Le premier client VPN SSL utilisera le deuxième sous-réseau en /30 :
• Adresse réseau : 192.168.100.4
• Adresse de l’i te fa e du tunnel côté serveur : 192.168.100.5
• Adresse de l’i te fa e du tunnel côté client : 192.168.100.6
• Adresse de diffusion (broadcast) : 192.168.100.7
Ainsi, le nombre maximum de clients VPN SSL sur ce réseau est donc de 63 (64 sous-
réseaux en /30 dont un utilisé par le serveur).
342
VPN SSL
L’éta lisse e t d’u tunnel VPN SSL s’effe tue en 3 étapes principales :
1. Le client VPN SSL authentifie l’utilisateu via le portail captif. Durant cette étape,
le firewall vérifie si l’utilisateu authentifié possède les droits d’ouv i un tunnel
VPN SSL.
2. Dans le cas où l’authe tifi atio réussit, le client envoie une requête pour
récupérer les fichiers de configuration qui sont renvoyés par le firewall dans un
répertoire compressé « openvpn_client.zip ». Le répertoire contient les fichiers
suivants :
• Le certificat de l’auto ité de certification (CA.cert.pem),
• Le certificat du client et sa clé privée (openvpnclient.cert.pem et
openvpnclient.pkey.pem),
• La configuration du client OpenVPN.
343
VPN SSL
344
VPN SSL
La première étape de l’éta lisse e t d’u tunnel VPN SSL est l’authe tifi atio de
l’utilisateu via le portail captif, ce qui signifie que :
• un annuaire externe ou interne doit être configuré au niveau du firewall,
• le portail captif doit être actif (dans le cas où il ne l’est pas, l’a tivatio du service
VPN SSL vous le proposera),
• une méthode d’authe tifi atio doit être configurée.
Les méthodes d’authe tifi atio possibles pour le service VPN SSL sont les méthode
explicites qui nécessite un couple identifiant/mot de passe, en l’o u e e LDAP
(interne, externe ou Microsoft Active Directory), Kerberos et Radius.
345
VPN SSL
L’authe tifi atio entre le client et le serveur VPN SSL s’effe tue par certificat. Pour
cela, une autorité de certification (CA) racine existe dans la configuration usine de
tous les firewalls Stormshield Network. Cette CA est nommée sslvpn-full-default-
authority, et elle contient un certificat serveur (qui identifie le serveur VPN SSL), et
un certificat client (qui identifie tous les clients; chacun d’e t e eux sera ensuite
différencié par un couple login/mot de passe).
NOTE : Il est bien sûr possible de créer une CA dédiée au VPN SSL sans faire appel à
la CA par défaut. La création des CA est présentée dans le niveau expert.
346
VPN SSL
Pour autoriser un utilisateur à ouvrir un tunnel VPN SSL, il faut lui attribuer les droits
dans le menu Configuration ⇒ Utilisateurs ⇒ Droits d’accès VPN.
Il est possible de choisir un accès par défaut quelque soit l’utilisateu dans l’o glet
ACCES PAR DEFAUT ⇒ Encadré VPN SSL. Choisir Autoriser dans le champ Politique
VPN SSL par défaut
Cependant, une gestion plus fine des droits d’a s est préconisée en laissant la
politique VPN SSL par défaut à Interdire et en ajoutant les utilisateurs ou les groupes
d’utilisateu s dans l’o glet ACCES VPN ⇒ Ajouter avec le droits VPN SSL à Autoriser.
347
VPN SSL
Pour permettre aux clients VPN SSL d’a éde au portail d’authe tifi atio sur les
interfaces externes du firewall, la règle de filtrage implicite nommée Autoriser
l’accès au portail d’authentification et au VPN SSL pour les interfaces externes (non
protégées) (Authd_ext) doit être activée.
Si ce ’est pas le cas, il sera impératif d’ajoute des règles de filtrage explicites dans
la politique active autorisant les flux à destination de l’i te fa e publique sur le port
d’é oute du service.
348
VPN SSL
Le paramétrage du Service VPN SSL s’effe tue dans le menu Configuration ⇒ VPN ⇒
VPN SSL.
• Encadré Paramètres réseaux :
• Adresse IP (ou FQDN) de l’UTM utilisée : il s’agit de l’ad esse sur laquelle
vont se connecter les clients VPN SSL (adresse publique la plupart du
temps). Attention, la saisie d’u FQDN induit une résolution de noms via
un service DNS,
• Port : port d’é oute du service VPN SSL. Attention, certains ports sont à
usage interne et ne peuvent être choisis ici. Ces ports sont smtp_proxy :
8081/TCP, ftp_proxy : 8083/TCP, pop3_proxy : 8082/TCP, ssl_proxy :
8084/TCP, http_proxy : 8080/TCP, loopback_proxyssl : 8085/TCP,
firewall_srv : 1300/TCP, ldap : TCP/389, ldaps TCP/636, pptp : TCP/1723,
TCP/4444, TCP/8087 et smux_tcp : TCP/199.
• Réseaux ou machines accessibles : machines ou réseaux auxquels les
utilisateurs pourront avoir accès une fois le tunnel établi (l’a s dépendra
néanmoins de la politique de filtrage active). Il est possible de choisir
l’o jet « Any ». Dans ce cas, tous les flux du client VPN passeront par le
tunnel et seront soumis aux opérations de filtrage et de NAT du firewall.
• Réseau assigné aux clients : réseau qui sera attribué aux clients nomades
une fois le tunnel établi. La valeur minimale pouvant être choisie ici est un
réseau en /29.
• Maximum de tunnels simultanés autorisés : paramètre non configurable
dans l’IHM. Il indique le nombre de tunnels (clients) maximum autorisés
qui est le MIN entre le nombre de tunnels autorisés pour le modèle du
firewall et le nombre de tunnels possibles calculé à partir du réseau
assigné aux clients.
349
VPN SSL
350
VPN SSL
Dans le cas où le portail captif ’est pas activé sur les interfaces externes, l’a tivatio
du service VPN SSL fera apparaitre une fenêtre qui vous l’i di ue a et vous
proposera de l’a tive .
351
VPN SSL
L’appli atio VPN SSL Stormshield Network est disponible en téléchargement sur
votre espace privé https://mystormshield.eu et sur le portail captif du firewall après
authentification.
Un pop-up indique que la connexion à ce site ’est pas sécurisée car la CA signataire
du certificat serveur présenté par le portail captif du firewall ’est pas de confiance
pour le client. Il est donc possible de:
• Afficher le certificat : afin de connaître notamment la CA signataire,
• Faire confiance à ce certificat : ajoute la CA aux autorités de confiance et
permet de continuer l’éta lisse e t du tunnel,
• Annuler la connexion : dans ce cas, l’éta lisse e t du tunnel sera
interrompu.
Lorsque le tunnel est monté, le poste client disposera d’u e interface spécifique au
tunnel VPN SSL dont l’ad esse IP fait partie de l’o jet Réseau assigné au client de la
configuration serveur.
352
VPN SSL
L’i ô e du client VPN SSL Stormshield qui apparaît dans la zone de notification de la
barre de tâches de Windows possède un code couleur qui correspond à son état :
353
VPN SSL
La règle de filtrage n°1 permet l’initiation de connexions à partir des clients VPN SSL
et à destination du serveur interne SRV_INTRANET,
La règle de filtrage n°2 permet l’initiation de connexions à partir des clients VPN SSL
et à destination d’I te et, dans ce cas, une règle de NAT doit également être
implémentée.
354
VPN SSL
Depuis Stormshield Real-Time Monitor, il est possible de consulter les tunnels VPN
SSL ouverts dans le menu Tunnel VPN => onglet Tunnels VPN SSL. Il est également
possible de supprimer un tunnel en cliquant sur Supprimer ce tunnel accessible par
un clic-droit.
Les utilisateurs connectés via un tunnel VPN SSL sont considérés comme authentifiés
et ils peuvent être visualisés depuis le menu utilisateurs. La colonne
Authentification informe que le client1 est authentifié via un tunnel VPN SSL.
355
VPN SSL
356
SOLUTIONS UNIFIED THREAT MANAGEMENT ET NEXT-GENERATION FIREWALLS
ANNEXES
357
Ce que nous allons voir dans ce module
• DNS dynamique
• DHCP
• Proxy Cache DNS
358
Annexe - Configuration réseau
359
Annexe - Configuration réseau
Le principe de fonctionnement est illustré dans la figure ci-dessus. Elle fait intervenir
deux entités : un client intégré au firewall Stormshield Network qui transmet des
mises à jour d’ad esse IP à un serveur maintenu par le fournisseur de service DNS. Le
nom du domaine est associé à une interface. La mise à jour est effectuée à chaque
fois que l’ad esse IP de l’i te fa e change. Dans le cas où l’ad esse ne change pas,
une mise à jour est effectuée par défaut tous les 28 jours.
360
Annexe - Configuration réseau
361
Annexe - Configuration réseau
362
Annexe - Configuration réseau
363
Annexe - Configuration réseau
364
Annexe - Configuration réseau
• Serveur DHCP:
L’e ad é Paramètres permet de définir les informations par défaut transmis
aux clients DHCP : Nom de domaine, Passerelle par défaut, Serveur DNS
primaire et Serveur DNS secondaire. Ces informations peuvent être
personnalisées pour chaque plage d’ad esse définie dans l’e ad é PLAGE
D’ADRESSES. Les plages doivent respecter les conditions suivantes :
• Une plage doit appartenir au même plan d’ad essage que celui d’u e
interface protégée.
• Deux plages d’ad esses IP ne doivent pas se chevaucher.
• La passerelle spécifiée pour une plage doit être dans le même plan
d’ad essage.
365
Annexe - Configuration réseau
La réservation s’effe tue en ajoutant une ligne dans la liste avec le bouton
Ajouter. Un objet machine doit être renseigné dans le champ Réservation.
Cet objet doit contenir l’ad esse IP qui sera assignée au client et l’ad esse
MAC de la machine qui obtiendra cette adresse IP. Si l’o jet machine
renseigné ne contient pas d’ad esse MAC, une erreur s’affi he a pour
informer de l’i possi ilité de trouver une adresse MAC pour la machine. Il
est possible de renseigner une passerelle spécifique pour l’ad esse IP
réservée dans le champ Passerelle .
366
Annexe - Configuration réseau
• Relai DHCP
Si l’optio Relayer les requêtes DHCP pour toutes les interfaces est cochée,
le firewall écoutera les requêtes des clients sur l’e se le de ses interfaces
réseaux.
Le cas contraire, la liste suivante permet de préciser les interfaces pour
lesquelles les requêtes doivent être relayées.
367
Annexe - Configuration réseau
368
Annexe - Configuration réseau
La fonctionnalité proxy cache DNS permet de stocker les adresses IP des noms
résolus par des requêtes DNS afin de préserver la bande passante en évitant
plusieurs résolutions du même nom. Cette fonctionnalité peut être mise en œuv e
dans deux cas de figure :
• Dans le premier cas, le réseau local utilise le firewall comme un serveur
DNS. La requête DNS est reçue par le firewall qui vérifie la présence du
nom dans le cache. Si le nom ’existe pas, il effectue une résolution en
utilisant ses serveurs DNS; il ajoute dans le cache le nom accompagné des
adresses IP et il envoie enfin une réponse DNS au réseau local. Si le nom
existe dans le cache, le firewall envoie une réponse DNS en se basant sur
les informations présentes.
• Dans le deuxième cas, le réseau local utilise ’i po te quel serveur DNS.
La requête DNS destinée au serveur X est interceptée par le firewall qui
commence par vérifier la présence du nom dans le cache. Si le nom
’existe pas, il effectue une résolution en utilisant ses serveurs DNS et
non le serveur X; il ajoute dans le cache le nom accompagné des adresses
IP et enfin il envoie une réponse DNS au réseau local en usurpant
l’ad esse IP du serveur X ce qui fait croire au réseau local que la résolution
a été effectuée par ce serveur. Si le nom existe dans le cache, le firewall
envoie une réponse DNS basée sur les informations existantes, en
usurpant également l’ad esse IP du serveur X.
369
Annexe - Configuration réseau
Le menu CONFIGURATION ⇒ Réseau ⇒ Proxy cache DNS permet d’a tive le cache
DNS. Les objets autorisés à utiliser ce cache doivent être explicitement ajoutés dans
la « liste des clients autorisés à utiliser le cache DNS ». Ces objets peuvent être des
machines, des réseaux, des plages d’ad esses ou des groupes.
370
Ce que nous allons voir dans ce module
• Configurations avancées
371
Annexe - Translation d'adresses
372
Annexe - Translation d'adresses
Sur une règle de NAT, il est possible de spécifier l’i te fa e d’e t ée du trafic pour
lequel la règle doit s’appli ue . Cette configuration avancée qui s’effe tue au niveau
du champ source d’u e règle permet de répondre à plusieurs cas d’usage.
Le premier cas est présenté ci-dessus, il consiste à translater deux réseaux physiques
(in et dmz1) appartenant au même réseau logique (network_bridge) avec deux
adresses IP publiques Firewall_out et IP_pub_virtuelle. La spécification de
l’i te fa e d’e t ée est le seul moyen pour distinguer les deux réseaux physiques.
373
Annexe - Translation d'adresses
Le deuxième cas d’usage est la translation des différents alias réseaux portés par une
interface avec l’ad esse IP publique du Firewall. Dans ce cas, on devrait ajouter tous
les réseaux des alias. La spécification d’u e interface sur une règle de translation
d’ad esse permet d’utilise Any en réseau source afin de translater tous les alias de
cette interface.
374
Annexe - Translation d'adresses
Sur une règle de NAT, il est possible également de spécifier l’i te fa e de sortie du
trafic pour laquelle la règle doit s’appli ue . Cette spécification s’effe tue au niveau
du champ destination du trafic avant translation ce qui permet de restreindre la
règle de translation uniquement au trafic sortant de cette interface (Cette dernière
est décidée au préalable par la fonction de routage qui fixe l’ad esse MAC
destination du paquet avec l’ad esse MAC de la passerelle distante).
375
Annexe - Translation d'adresses
376
Annexe - Translation d'adresses
Les différents types de répartition peuvent se baser sur quatre types d’algo ith es :
• Round-robin : Les adresses IP ou les numéros de port seront utilisés de
façon alternée par les connexions.
• Hachage de l’IP source : Un hash de l’ad esse IP source, de la connexion
avant translation, est calculé pour choisir l’ad esse IP ou le numéro de
port. Cet algorithme permet de garantir que les connexions de la même
machine seront toujours associées avec la même adresse IP ou le même
numéro de port.
• Hachage de la connexion : Un hash des paramètres de connexion avant
translation (IP source, port source, IP destination, port destination) est
calculé pour choisir l’ad esse IP ou le numéro de port. Cet algorithme
permet de répartir les connexions provenant de la même machine sur
plusieurs adresses IP ou plusieurs numéros de port.
• Aléatoire : L’ad esse IP ou le numéro de port sont choisis aléatoirement.
NOTE : L’a essi ilité de l’ad esse IP ou du numéro de port choisi n'est pas vérifiée
(S’ils ne sont pas accessibles, le firewall continuera à leur transmettre du trafic).
377
Annexe - Translation d'adresses
378
Annexe - Translation d'adresses
Dans certaines configurations, il peut être nécessaire de ne pas effectuer l’opé atio
de translation pour certains trafics. Dans l’exe ple présenté ci-dessus, l’e se le
des adresses du LAN sont translatées sur l’ad esse IP de l’i te fa e externe du
Firewall à l’ex eptio du trafic à destination du réseau partenaire.
Pour mettre en œuv e cette configuration, une règle de translation spécifique doit
être ajoutée pour indiquer que le trafic du réseau interne vers le réseau partenaire
ne doit pas être translaté. Dans cette règle, les paramètres du trafic après translation
doivent être identiques aux paramètres du trafic avant translation. De plus, cette
règle doit être positionnée avant la règle de translation à destination d’I te et pour
éviter une situation de recouvrement.
NOTE : Il est également possible d’utilise l’ex eptio de translation pour une
machine spécifique d’u réseau translaté.
379
Ce que nous allons voir dans ce module
• Configurations avancées
380
Annexe - Filtrage
381
Annexe - Filtrage
Les règles de filtrage global donnent accès à une nouvelle action qui permet de
déléguer le choix de l’a tio au filtrage local. Ainsi, les paquets qui correspondent à
une règle de filtrage global dont l’a tio est déléguer continueront à être confrontés
directement aux règles de filtrage local.
Une fois activée, cette règle est visible via Stormshield Network Real-Time Monitor
dans la section « Politique de Filtrage » et contient l’a tio « Jump » suivie du
nombre de règles à ne pas analyser pour atteindre le filtrage local.
382
Annexe - Filtrage
Une règle de filtrage permet d’utilise le port source comme critère d’ide tifi atio
d’u trafic. Ce paramètre ’appa ait pas par défaut dans la fenêtre des règles mais il
peut être affiché en sélectionnant la colonne qui lui correspond. Sa configuration
peut s’effe tue également au niveau de l’o glet CONFIGURATION AVANCÉE du
champ source.
383
Annexe - Filtrage
La valeur du champ DSCP peut être utilisée pour identifier un trafic dans une règle
de filtrage. La sélection de la valeur s’effe tue au niveau du paramètre DSCP
source dans l’o glet CONFIGURATION AVANCÉE du champ source qui offre
également la possibilité de définir une valeur personnalisée non standard.
Rappel : le champ DSCP fait partie de l’entête IP et indique la classe de service (QoS)
à laquelle appartient un paquet IP.
384
Annexe - Filtrage
385
Ce que nous allons voir dans ce module
• Méthode guest
386
Annexe - Utilisateurs & authentification
387
Annexe - Utilisateurs & authentification
La méthode Guest est simple et rapide à configurer. Dans la liste des méthodes
disponibles, le seul paramètre à renseigner concerne la fréquence d’affi hage des
conditions d’utilisatio (par défaut à une valeur de 1080 minutes).
Dans l’éditio de la politique d’authe tifi atio , un assistant est prévu pour
facilement configurer la méthode Guest. Cet assistant ne demande que le réseau ou
l’i te fa e depuis laquelle les machines clientes vont s’authe tifie . La méthode
Guest sera donc appliquée à tous les utilisateurs provenant de l’o jet ou l’i te fa e
sélectionnés.
388
Annexe - Utilisateurs & authentification
Un modèle est configuré par défaut mais un fichier au format PDF ou HTML peut
être importé depuis les paramètres avancés du portail captif afin de personnaliser
son contenu.
389
Ce que nous allons voir dans ce module
390
Annexe - Virtual Private Network
391
Annexe - Virtual Private Network
392
Annexe - Virtual Private Network
La plage d’ad esses allouée aux clients PPTP doit impérativement être dédiée à cet
usage; aucune machine du LAN ne doit porter une de ces adresses car cela aboutirait
à un conflit d’ad esse IP sur le LAN.
393
Annexe - Virtual Private Network
Le mot de passe PPTP est indépendant du mot de passe que l’utilisateu présenterait
au portail dans le cadre d’u e simple authentification.
En conséquence, dans le cas où le firewall s’appuie ait sur un LDAP de type Active
Directory ou plus généralement un LDAP externe, le mot de passe PPTP ’est pas
synchronisé avec le mot de passe d’authe tifi atio de l’utilisateu .
394
SOLUTIONS UNIFIED THREAT MANAGEMENT ET NEXT-GENERATION FIREWALLS
LABS CSNA
395
396
Labs
La figure ci-dessus p ése te l’a hite tu e éseau ue ous allo s ett e e pla e au
fu et à esu e des t avaux p ati ues. L’a hite tu e est o stituée de plusieu s
e t ep ises ui poss de t ha u e u éseau p ivé o posé d’u fi e all
STORMSHIELD et d’u e a hi e ph si ue. Cette de i e si ule u éseau i te e
« 192.168.x.0/24 » avec un poste utilisateur et un parc de serveurs (DNS, WEB, FTP,
MAIL) embarqués dans une machine virtuelle Debian fournie par le formateur.
Chaque entreprise possède également un réseau DMZ « 172.16.x.0/24 » et les
firewalls de toutes les entreprises sont connectés entre eux à travers le réseau
externe « 192.36.253.0/24 ».
Note : L’a hite tu e illust ée i-dessus peut être étendue à plus de participants en
espe ta t le pla d’ad essage :
• Réseau interne « 192.168.x.0/24 »,
• Réseau DMZ « 172.16.x.0/24 »,
• Interface externe du firewall « 192.36.253.x0/24 ».
Il suffira de modifier le « x » suiva t la lett e de l’e t ep ise A⇒1, B⇒2, c⇒3, D⇒4,
etc.
397
Labs
6. Déterminez la partition active sur votre firewall (principale ou secours ?). Dans
le cas où votre firewall ’est pas à jour par rapport à la dernière version fournie
par le formateur, mettez à jour la partition principale tout en gardant l’a ie e
version sur la partition de secours.
10. Installez le pack administration suite sur votre PC (fichier « .exe » fourni par le
formateur). Lancez les applications « Real Time Monitor » et « Event
Reporter ». Connectez-vous à votre firewall depuis ces applications.
398
Labs
1. Créez les objets machines et réseaux pour toutes les autres Compagnies :
2. Ajoutez un nouveau service basé sur TCP fonctionnant sur le port 2500, appelé
Institute
8. Créez un groupe d'objets dont vous choisirez le nom et qui contiendra les 4
serveurs que vous venez de définir
Note : Le « x » doit t e e pla é suiva t la lett e de l’e t ep ise A⇒1, B⇒2, C⇒3,
D⇒4, etc.
399
Labs
Pour la suite des labs, vous devez sélectionner et activer la politique de filtrage (10)
Pass all dans le menu CONFIGURATION ⇒ POLITIQUE DE SÉCURITÉ ⇒ Filtrage et
NAT qui autorisera tous les trafics traversant ou à destination du firewall.
3. Configurez le routage statique sur votre firewall pour permettre à votre station
de joindre le réseau interne « 192.168.x.0/24 » des autres entreprises.
Ensuite, configurez votre poste en DHCP pour tester l'attribution d'adresse IP.
2. Modifiez l'objet "pc_admin" pour lui associer l'adresse MAC de votre machine.
3. Configurez le serveur DHCP pour réserver l'adresse IP portée par l’o jet
« pc_admin » à votre machine. La passerelle de cette machine sera également
l’ad esse IP de l’i te fa e du firewall connectée à votre réseau interne. Testez à
nouveau l'attribution d'adresse IP sur votre poste pour confirmer le
fonctionnement de la réservation.
400
Labs
401
Labs
402
Labs
LAB 5 : Filtrage
Trafics sortants :
1. Votre réseau interne, à l'exception de vos serveurs, doit pouvoir naviguer sur
les sites web d'Internet en HTTP et HTTPS.
2. Un stagiaire, nouvellement arrivé dans l'entreprise, a l'interdiction d'effectuer
la moindre requête FTP. L'adresse IP de sa machine est 192.168.x.200.
3. Votre réseau interne doit pouvoir joindre les serveurs FTP et Web de vos
voisins.
4. Votre réseau interne doit pouvoir émettre un ping vers n'importe quelle
destination.
5. Seul votre serveur DNS interne (192.168.x.10) est autorisé à résoudre vers
l'extérieur, et plus précisément vers l'IP publique du formateur
(192.36.253.254).
6. Votre serveur de messagerie peut envoyer des mails vers les serveurs publiés
par vos voisins.
Trafics entrants :
7. Les voisins et le formateur peuvent joindre vos serveurs Web et FTP ; ces
événement doivent être tracés.
8. Les serveurs mails voisins sont autorisés à transmettre des e-mails à votre
serveur de messagerie
9. Les voisins sont autorisés à pinger l'interface externe de votre firewall; cet
événement devra lever une alarme mineure.
10. Le formateur est autorisé à pinger l'interface externe de votre firewall.
11. Les voisins et le formateur peuvent se connecter à votre firewall : via le Real-
Time Monitor, via l’i te fa e web et en SSH. Ces événements devront lever des
alarmes majeures.
403
Labs
13. Testez les trafics sortants et faites tester les trafics entrants par vos voisins. En
consultant les traces, Confirmez :
Note : Vous pouvez configurer un client de messagerie pour tester l’envoi d'e-mails
en SMTP et leur rapatriement en POP3. Ci-dessous les informations nécessaires à la
configuration (remplacez « x » par la lettre de l’entreprise : a, b, c, d, etc) :
404
Labs
6. En utilisant les rapports embarqués, identifiez les sites web les plus visités et
les plus bloqués.
405
Labs
LAB 7 : Authentification
Identifiant : jdupont
6. Pour l'utilisateur Pierre Martin, seul l'accès aux sites d'achats en ligne sera
autorisé. Pour le reste des utilisateurs, la politique de filtrage URL
« No_Online » sera appliquée.
8. Avec les rapports embarqués, identifiez les utilisateurs qui ont échangé la
quantité de données la plus élevée au travers le firewall.
406
Labs
Relancez l'assistant LDAP afin de configurer une base Active Directory dont
l'adresse IP est « 192.36.253.250 » :
o Domaine AD : dc=Institute,dc=com
o Identifiant : cn=Administrateur,cn=Users
Le formateur vous fournira le mot de passe ainsi qu'un compte utilisateur pour
que vous puissiez tester l'authentification sur votre portail captif.
407
Labs
Commencez par réactiver la politique de filtrage « (10) Pass All » sur votre UTM.
2. Configurez un tunnel IPsec avec une authentification par PSK pour relier votre
réseau interne « 192.168.x.0/24 » à elui de l’u de vos voisi s en utilisant les
profils de chiffrement précédemment créés (Mettez-vous d'accord sur la PSK à
utiliser)
4. Modifiez vos politiques IPSec pour relier cette fois vos deux réseaux Internes
(IN + DMZ) aux réseaux internes (IN + DMZ) de votre voisin.
Activez la fonction keep-alive pour les deux tunnels.
Regardez le nombre de tunnels négociés dans le SN RTM
5. Après avoir vérifié que vos tunnels sont fonctionnels, réactivez la politique de
filtrage « entreprise_X » et ajoutez les règles autorisant les machines distantes à
joindre votre serveur FTP et à le pinger.
408
Labs
4. Au niveau du filtrage :
• Autorisez votre réseau à accéder aux firewalls de vos voisins en HTTPS
pour tous les utilisateurs (authentifiés et non authentifiés).
• Autorisez le réseau Net-SSLVPN d’a éde aux réseaux internes.
6. Avec le SN RTM, consultez la liste des utilisateurs authentifiés dans l'ASQ ainsi
que les logs relatifs au VPN SSL.
Bonus :
3. Ajoutez une politique de filtrage URL pour que seul l'accès aux sites des
groupes "Information Security" et "News" soit autorisé.
409
Labs
410
SOLUTIONS UNIFIED THREAT MANAGEMENT ET NEXT-GENERATION FIREWALLS
411
412
Labs - Corrigés
1. Appuyez sur le bouton « reset » jus u’à l’é issio d’u bip sonore. Connectez
votre station à ’i po te quelle interface sauf la première une fois que le
firewall a fini de démarrer. Sur un navigateur, entrez l’URL
« https://10.0.0254/admin ».
2. Cliquez sur l'icône "Préférences" (tout en haut à droite, icône ronde avec une
clef et un tournevis), onglet Administration, sélectionnez ensuite dans la ligne
"déconnexion en cas d'inactivité" la valeur "Toujours rester connecté".
3. Langue et fuseau horaire : cliquez sur le menu "système => configuration" dans
le menu de gauche. Vous pourrez ici configurer la date, l'heure, le fuseau
horaire, ainsi que la langue des messages générés par l'UTM dans l’o glet
« configuration générale ».
4. Le SSH s'active depuis le menu "système => configuration => onglet
administration du firewall" en cochant « activer l’a s par SSH » et « Autoriser
l’utilisatio de mot de passe ».
5. Les détails de la licence sont visualisables via le menu "Système => licence" du
menu de gauche. On détermine la partition active dans le menu « Système
=>Maintenance => onglet configuration ».
6. Afin d'appliquer un fichier de mise à jour firmware, vous devrez l'uploader sur
l'UTM via le menu "Système => maintenance => onglet Mise à jour système".
Assurez-vous de bien l’appli ue sur la partition principale.
7. La sauvegarde de la configuration se fait dans le menu « Système =>
Maintenance => onglet sauvegarder ».
8. La modification du mot de passe se fait dans le menu « Système =>
Administrateurs => onglet Compte ADMIN ».
9. L’a tivatio du stockage local se fait dans le menu « Configuration => Traces –
syslog » en cochant l’optio « Activer le stockage des traces » et en
sélectionnant la carte SD comme support de stockage » (la version du firmware
doit être ≥ 1.1.1).
11. L’a tivatio des rapports embarqués s’effe tue depuis la page
« https://@IP_firewall/reports » en activant l’optio « Activer l'analyse des
données » dans le menu « Rapports d’a tivités => Configuration ». Ensuite, il
faut activer les rapports demandés en changeant leur état.
413
Labs - Corrigés
Afin d'ajouter les objets requis, allez dans le menu "Configuration => Objets =>
Objets réseaux". Pour afficher les objets existants, cliquez sur la petite croix du
champ de recherche. Ensuite, ajoutez les objets demandés en utilisant le bouton
"Ajouter". Veillez à utiliser un typage d'objets adéquat (objet réseau pour les
réseaux, objet machine pour les UTMs, etc). Vous pouvez utiliser le bouton « Créer
et dupliquer » pour la création des objets du même type.
414
Labs - Corrigés
415
Labs - Corrigés
Désactivez les routes statiques vers les réseaux distants (menu "Configuration =>
Réseau => Routage => Routage statique"). Créez deux nouveaux objets qui seront
ensuite utilisés dans vos règles de NAT: srv_ftp_pub = 192.36.253.x2 et srv_mail_pub
= 192.36.253.x3. Afin de construire votre politique, allez dans le menu "Politique de
sécurité => Filtrage et NAT". Copiez la politique « (10) Pass all » vers une politique
vide en cliquant sur « Editer » ensuite « copier vers ». Depuis le menu déroulant,
sélectionnez la politique correspondante puis cliquez sur « Editer » puis
« Renommer ». Terminez par l’a tivatio de la politique en cliquant sur
« Activer cette politique ». Enfin, ajoutez les règles de NAT suivantes:
N'oubliez pas d'activer la politique et de valider les accès avec votre voisin.
416
Labs - Corrigés
LAB 5 : Filtrage
Pour autoriser, le formateur et les voisins à se connecter à votre firewall via Real-Time
Monitor et l’i te fa e web, il faut ajouter leurs adresses IP publiques dans l’e ad é Accès
aux pages d’ad i ist atio du firewall du menu SYSTÈME => Configuration => onglet
ADMINISTRATION DU FIREWALL.
417
Labs - Corrigés
4. Pour le besoin de cet exercice, deux groupes d'URLs personnalisés doivent être
créés.
• Un groupe nommé "laredoute", contenant l'URL "*ebay*.com/*"
• Un groupe nommé "mp3", contenant l'URL "*.mp3"
Allez dans le menu "configuration => politique de sécurité => filtrage URL",
renommez le slot de filtrage URL default00 en No_Online, et modifiez son
contenu afin que celui-ci comporte la politique suivante :
PASSER laredoute
BLOCKPAGE 00 shopping
BLOCKPAGE 00 online
PASSER any
418
Labs - Corrigés
LAB 7 : Authentification
2. Depuis le menu Configuration => Utilisateurs => Utilisateurs, cliquez sur Ajouter
un utilisateur dont l'identifiant est jdupont. Une fois validé, cliquez sur Créer ou
modifier le mot de passe et renseignez "password".
3. Pour créer Pierre Martin par l'enrôlement, connectez-vous au portail puis cliquez
sur Nouvel Utilisateur. Remplissez le formulaire avec les informations
nécessaires puis validez. Sur l'UTM, rendez-vous dans la section Configuration =>
Utilisateurs => Enrôlement, sélectionnez l'utilisateur Pierre Martin et cliquez sur
Valider.
6. Dans un premier temps, créez une politique de filtrage URL (nommée URLMartin
par exemple) qui contient:
PASS Shoppin
BLOCKPAGE 00 Any
ajoutez deux règles qui contiendront
PASS from PIERRE.MARTIN@Network_in to Internet port http
FiltrageURL=URLMartin
PASS from Any@Network_in to Internet port http FiltrageURL=No_Online
419
Labs - Corrigés
9. Dans le menu Configuration => Système => Administrateurs, ajoutez une entrée
pour l'utilisateur jdupont en lui donnant les droits de supervision et validez.
420
Labs - Corrigés
2. Dans le menu « Configuration => VPN => VPN IPSEC => politique de chiffrement
–tunnels => site à site (gateway-gateway) », lancez l’assista t pour la création
d’u tunnel site à site « ajouter => Tunnel site à site ». L’assista t, vous
demandera de configurer les extrémités de trafic et le mode d’authe tifi atio
par PSK en renseignant la clé pré-partagée. La sélection du profil de
chiffrement pour la phase 1 s’effe tue avec le paramètre « Profil IKE » au
niveau du correspondant dans l’o glet « Correspondants ». Pour le profil de
chiffrement de la phase 2, la sélection se fait avec le paramètre « Profil de
chiffrement » au niveau de la politique VPN.
4. Pour relier les réseaux DMZ, il faut créer deux objets groupes. Le premier
contiendra les réseaux « IN » et « DMZ » locaux et le deuxième contiendra les
réseaux « IN » et « DMZ » du site distant. Modifiez les extrémités de trafic de
votre politique VPN en utilisant les deux objets groupes créés. Pour activer
l’optio keep-alive, il faudra afficher la colonne qui correspondant à cette
option dans la fenêtre des politiques VPN, et ensuite modifier sa valeur de
0=>30
5. Ajoutez les règles de filtrage suivantes pour permettre l’a s et le ping à votre
serveur FTP :
Votre voisin devra ajouter les politiques suivantes pour pouvoir accéder à votre
serveur FTP :
421
Labs - Corrigés
6. Pour interconnecter les deux sites en utilisant les interfaces VTI, il faut suivre les
étapes suivantes au niveau des deux firewalls en adaptant les adresses IP et
réseaux :
o Créez une interface VTI qui porte une adresse dans un réseau différent des
réseaux configurés au niveau du firewall :
o Ajoutez des routes statiques (ou des routes par politique) pour accéder
aux éseaux dista ts via l’i te fa e VTI lo ale et l’ad esse IP de l’i te fa e
VTI distante :
422
Labs - Corrigés
1. Installez sur votre poste le client Stormshield VPN SSL fourni par le formateur.
Une icône s’ajoute dans la zone de notification de la barre de tâches windows.
En double cliquant sur cette icône le menu du client VPN SSL s’affi he pour
renseigner des paramètres de connexion.
3. L’att i utio du droit VPN SSL à l’utilisateu créé dans le lab VPN IPsec s’effe tue
dans le menu Configuration ⇒ Utilisateurs ⇒ Droits d’a s VPN ⇒ Onglet Accès
VPN. Changez la valeur du paramètre VPN SSL de l’utilisateu vers autoriser.
Terminez en cliquant sur appliquer.
5. Demandez à votre voisin d’a éde au menu de son client VPN SSL et de
renseigner les informations suivantes : Adresse IP de votre
firewall (192.36.253.x0), l’ide tifia t de l’utilisateu créé précédemment et son
mot de passe. En cliquant sur OK, une fenêtre s’affi he pour vous informer que le
certificat présenté ’a pas été signé par une autorité publique connue. La fenêtre
vous offre le moyen d’affi he le certificat, de faire confiance au certificat ou
d’a ule la connexion. Une fois connecté, la couleur de l’i ô e du client VPN SSL
devient bleue et un message s’affi he pour vous informer que vous êtes
connecté au serveur en affichant votre adresse IP.
423
Labs - Corrigés
7. Testez l’a s aux serveurs web et ftp de vos voisins en utilisant les adresses IP
privées des serveurs.
8. Pour fermer le tunnel, cliquez avec le bouton droit sur l’i ô e du client VPN SSL
ensuite déconnecter.
Bonus :
424
425
Lab - Exercices
training@stormshield.eu
426