CSNA v2 Livre de Formation 2016 02 21 PDF

SOLUTIONS UNIFIED THREAT MANAGEMENT ET NEXT-GENERATION FIREWALLS
FORMATION ADMINISTRATEUR
STORMSHIELD NETWORK SECURITY
NETWORK SECURITY I ENDPOINT SECURITY I DATA SECURITY

2
SOMMAIRE
Cursus des formations et certifications 7
Les niveaux des formations et des certifications 8
Présentation de l’entreprise et des produits 10
Présentation de Stormshield 11
Stormshield Data Security 15
Stormshield Endpoint Security 18
Stormshield Network Security 20
Fonctions standards et optionnelles 27
Fonctions standards 28
Packs de sécurité et options logicielles 32
Options matérielles 36
Prise en main du boitier 38
Inscription du firewall sur l’espace client Stormshield 39
Démarrage/Arrêt/Reset 44
Connexion au firewall 47
Assistant d’installation 50
L’interface d’administration 53
Le Tableau de bord 56
Configuration système 58
Modification du mot de passe du compte "admin" 64
Licence 66
Maintenance 69
Logs et monitoring 78
Les familles de traces 79
Stockage local des traces 82
Activation du SYSLOG 85
Virtual Log Appliance (VLA) 87
Notification par e-mail 91
Rapports d’activités embarqués 96
Suite d’administration Stormshield Network 103
Les objets 109
Généralités 110
Les Objets réseaux 113
Configuration réseau 119
Modes de configuration 120
Types d’interfaces 126
Routage 141
3
Translation d'adresses 166
Généralités 167
Translation dynamique 169
Translation statique par port 172
Translation statique 175
Menu « NAT » 180
Ordre d’application des règles de NAT 192
Filtrage 195
Généralités 196
La notion de « stateful » 198
L’ordonnancement des règles de filtrage et de translation 200
Menus « filtrage » 203
L’analyseur de cohérence et de conformité 220
Protection applicative 223
Filtrage d’URL 224
Filtrage SMTP et antispam 237
Analyse antivirale 245
Prévention d’intrusion et inspection de sécurité 250
Utilisateurs authentification 255
Introduction 256
Configuration 258
Utilisations diverses 273
Agent SSO 279
VPN 285
Les différents réseaux privés virtuels 286
VPN Ipsec – Concepts et généralités 288
VPN Ipsec – Tunnels site-à-sites 298
VPN Ipsec – Virtual Tunneling Interface 317
VPN Ipsec – Correspondant dynamique 326
VPN SSL 336
Concepts et généralités 337
Mise en œuvre d'un tunnel 344
4
Annexe - Configuration réseau 358
DNS Dynamique 359
DHCP 363
Proxy Cache DNS 368
Annexe - Translation d'adresses 371
Configuration avancées 372
Annexe - Filtrage 380
Configuration avancées 381
Annexe - Utilisateurs & authentification 386
Méthode guest 387
Annexe - Virtual Private Network 390
Point-to-point tunneling protocol 391
Labs 395
Schéma d’architecture 397
LAB 1 : Prise en main du Firewall 398
LAB 2 : Les Objets 399
LAB 3 : Configuration réseau et routage 400
LAB Bonus : DHCP 400
LAB Bonus : Virtual Log Appliance for Stormshield 401
LAB 4 : Translation d’adresses 402
LAB 5 : Filtrage 403
LAB 6 : Filtrage de contenu (HTTP) 405
LAB 7 : Authentification 406
LAB 8 : VPN Ipsec (site à site) 408
LAB 9 : VPN SSL 409
Labs - Corrigés 411

LAB 1 : Prise en main du Firewall 413
LAB 2 : Les Objets 414
LAB 3 : Configuration réseau et routage 415
LAB Bonus : DHCP 415
LAB 4 : Translation d’adresses 416
LAB 5 : Filtrage 417
LAB 6 : Filtrage de contenu (HTTP) 418
LAB 7 : Authentification 419
LAB 8 : VPN Ipsec (site à site) 421
LAB 9 : VPN SSL 423
21/02/2016
5
6
Ce que nous allons voir dans ce module
• Les niveaux des formations et des certifications

• Les certifications instructeurs
7
Cursus des formations et des certifications
Le centre de formation Stormshield Network délivre trois niveaux de formation

certifiantes :
• CSNA (Certified Stormshield Network Administrator) : L’o je tif de cette

formation est la présentation des gammes de produits Stormshield
Network et leurs fonctionnalités principales configurables depuis
l’i terfa e d’ad i istratio Web.
• CSNE (Certified Stormshield Network Expert) : Cette formation présente
les fonctionnalités avancées des firewalls Stormshield Network
configurables également depuis l’i terfa e d’ad i istratio Web.
• CSNTS (Certified Stormshield Network Troubleshooting & Support) : La
configuration et le monitoring en mode console seront privilégiés durant
cette formation. Cela permet aux participants d’avoir une maîtrise totale
du produit afin d’assurer le débogage des configurations et des
fonctionnalités.
Toutes les formations se déroulent en 3 jours et sont constituées d’u e partie

théorique (cours) pour illustrer le fonctionnement et la manière de configurer
l’e se le des fonctionnalités et d’u e partie pratique (Labs), pour mettre en œuvre
et tester ces fonctionnalités.
Chaque niveau de formation est couronné par une certification que le stagiaire peut
obtenir en passant un test sur notre plateforme d’exa e accessible directement sur
internet https://institute.stormshield.eu.
Le stagiaire a le droit à deux tentatives pour le passage des certifications. La
première est accessible au niveau de son compte sur la plateforme e-learning,
durant 3 semaines, le lendemain de la formation; au besoin, la deuxième tentative
est ouverte durant le mois suivant la formation.
8
Cursus des formations et des certifications
La composition de l’exa e dépend du niveau de certification :
• CSNA : L’exa e est un QCM/QRM de 70 questions.

• CSNE : L’exa e est composé de 75 questions : une partie en QCM/QRM
• CSNTS : L’exa e est composé de 60 questions : 50% en QCM/QRM et
50% en questions ouvertes.
Pour tous les niveaux, le participant devra obtenir 70% de réponses correctes pour
être certifié.
9
• Présentation de Stormshield
• Stormshield Data Security
• Stormshield Endpoint Security
• Stormshield Network Security
10
Présentation de l’entreprise et des produits
11
Le groupe Airbus comprend les branches suivantes :

• Airbus ui se fo alise su l’aé o auti ue ivile,
• Airbus Helicopters,
• Airbus Defence & Space qui regroupe les activités militaires, spatiales et
cybersécurité.
12
13
14
15
Permettre aux utilisateurs de partager des informations confidentielles en se basant

sur une infrastructure de confiance permettant la protection de bout en bout
16
17
18
Destinée à la protection des postes de travail et des serveurs, la solution Stormshield

Endpoint Security (SES) est composée de deux produits indépendants mais
complémentaires :
• Full Protect : Offre une protection efficace contre les attaques inconnues et
sophistiquées grâce à une technologie proactive unique, sans signatures.
• Full control : Permet de définir de manière granulaire l’utilisatio d’u poste de

travail en fonction de la politique de sécurité de l’e t ep ise.
La solution SES dispose également de trois fonctionnalités optionnelles :
• Antivirus : À base de signature, il permet d’a al se en temps réel les fichiers et

les emails.
• Encryption : Permet le chiffrement de surface des disques durs et des disques

amovibles. Il assure également l’effa e e t sécurisé des fichiers.
• Security monitoring : C’est un service de veille avancée qui permet d’a al se les
vulnérabilités qui touchent les systèmes et les applications, d’e vo e des
rapports périodiques attestant du niveau de protection effectif et de fournir des
recommandations pour traiter les éventuels risques résiduels.
19
20
La gamme des produits Stormshield Network Security est composée principalement

de deux grandes catégories illustrées dans la figure ci-dessus : les appliances
physiques (gamme SN) et les appliances virtuelles (gamme V).
• Les produits de la gamme SN sont organisés en trois familles :

• SN150, SN200 et SN300 pour les petites entreprises, les agences et
les filiales.
• SN510, SN710 et SN910 pour les organisations moyennes.
• SN2000, SN3000 et SN6000 pour les grandes organisations et les
datacenters.
• Les appliances virtuelles sont organisées en deux familles :
• Appliances virtuelles for Network : Pour la protection des postes de
travail des petites et moyennes entreprises
• Appliances Virtuelles for Cloud : Pour la protection des serveurs
virtuels des clouds publics ou privés
Les appliances virtuelles ont été qualifiées avec les hyperviseurs VMware
Vsphere (à partir de la version V4) et Citrix XenServer (à partir de la
version V5). Par conséquent, seuls ces deux systèmes de virtualisation
seront supportés par notre service d’assista e technique. Enfin, les
appliances virtuelles pour Cloud sont disponibles au niveau du
fournisseur de service Amazon AWS (Amazon web services) ce qui
permettra de protéger vos serveurs hébergés chez ce fournisseur.
La technologie de tous les produits Stormshield Network est basée sur un moteur
IPS (Intrusion Prevention System) propriétaire intégré dans un noyau FreeBSD.
21
Cas d’usages
• SN150 : Site distant connecté en VPN, sécurité unifiée pour petite
structure
• SN200 : Site distant connecté en VPN, sécurité unifiée pour petite
structure avec DMZ ou double accès WAN. Le SN200 permet de créer 2
zones de confiance sur le réseau interne ou de mettre en place de la
edo da e de lie s d’a s I te et
• SN300 : Sécurité unifiée pour petites structures avec besoin de continuité
(haute disponibilité) et de zones de sécurité. Le SN300 offre 8 ports
physiques et supporte la fonction Haute Disponibilité.
22
Cas d’usages
• SN510 : O ga isatio s de taille o e e ave u esoi d’a hivage lo al
de logs. Le SN510 permet le stockage lo al et l’a hivage de logs su dis ue
dur.
• SN710 : Organisations de taille moyenne avec un besoin de modularité
éseau allia t la de sité de po ts (jus u’à 6 po ts uiv e) et la fi e
Gigabits Ethernet.
• SN910 : Organisations de taille moyenne avec un besoin de flexibilité pour
monter en performance. Le SN910 peut supporter en plus 8 ports
Ethernet, 6 ports fibre 1G ou 2 ports fibre 10G.
23
Cas d’usages
• SN2000 : O ga isatio s a a t des esoi s de pe fo a e et d’évolutivité.
Le SN off e u e g a de odula ité g â e à des odules d’exte sio
réseau optionnels.
• SN3000 : Organisations ayant des architectures critiques. Le SN3000
intègre des composants matériels redondants pour une meilleure
disponibilité : disques durs SSD en RAID1 et alimentation redondante. Il
supporte les mêmes configurations réseau que le SN2000.
• SN6000 : Grandes entreprises et datacenters. Le SN6000 propose une
modularité réseau inégalée sur le marché : il peut supporter jusque 58
ports 10/100/1000 ou 28 ports fibre (1Gbps ou 10Gbps). Il offre des
performances Firewall jusque 80Gbps et la supervision des composants
matériels via IPMI.
24
La gamme des appliances virtuelles pour réseau est composée de quatre produits :
V50, V100, V200 et V500.
25
La gamme des appliances virtuelles pour Cloud est composée de trois produits :
• VS5 et VS10 : Ils permettent respectivement la protection d’u parc de 5 et
de 10 serveurs.
• VU (Unlimited): Le nombre d’ad esses protégées est illimité. Il peut être
utilisé pour la protection d’u parc de machines ou de serveurs.
Ces appliances virtuelles sont disponibles dans les Marketplace d’A azo Web
Services et de Microsoft Azure.
26
• Les Fonctions standards

• Les Packs de sécurité et options logicielles
• Les options matérielles
27
Fonctions standards et optionnelles
28
Les produits Stormshield Network Security intègrent des fonctionnalités de base :
• Analyse protocolaire IPS: Regroupe l’e se le des contrôles effectués sur

les protocoles réseaux (IP, TCP, UDP…) et applicatifs (HTTP, FTP…) afin de
s’assu e de leur conformité. Depuis la version 2.3, cette analyse permet
de contrôler également deux protocoles industriels (SCADA) : MODBUS et
S7.
• Signatures contextuelles IPS : Une base de signatures d’atta ue utilisée en
complément de l’a al se protocolaire pour détecter rapidement les
attaques connues.
• Antispam :
o Analyse Heuristique : Permet la qualification d’u email en SPAM
en se basant sur un algorithme particulier qui détermine le degré
de légitimité des emails.
o Analyse par réputation (DNS RBL : Real time Blackhole List) : Elle
utilise les serveurs RBL qui permettent de savoir si un email est un
SPAM en se basant sur la réputation de son émetteur. La liste des
serveurs RBL est mise à jour continuellement.
• Antivirus ClamAV : Moteur antiviral open source permettant la détection
des virus, des chevaux de Troie et des malwares. Sa bibliothèque fournit
plusieurs mécanismes pour la détection du format de fichier et des outils
pour la prise en charge des archives et des fichiers compressés.
• Filtrage URL Stormshield : Une base d’URLs propriétaire, utilisée pour le
filtrage web. Les URLs sont classées en 16 catégories.
29
• Système :
o RAID 1 (Redundant Array of Independent Disks): Assure la fiabilité
du stockage en disposant une copie conforme des données sur
deux disques durs indépendants.
o Double partition système (principale et secours) : Permet le
stockage de deux versions du système.
o Haute disponibilité : Assure la continuité de services en utilisant
deux firewalls : un en mode actif et l’aut e en mode passif. Dans le
cas où le firewall actif ’est plus fonctionnel, le firewall passif
bascule en mode actif pour assurer la transmission et la protection
des données. Cette fonctionnalité monopolise une interface réseau
sur chaque firewall.
30
Le tableau ci-dessus présente les services disponibles dans les produits Stormshield
Network Security. Il est important de noter que le stockage local des fichiers
journaux (logs) est natif sur l’e se le des produits excepté pour les SN150, SN200
et SN300 parce u’ils sont dépourvus de disque dur.
*Pour les SN200 et SN300, il est possible, en option, d’a tive le stockage local des
logs sur une carte SD amovible.
31
32
Certaines fonctionnalités supplémentaires sont disponibles après souscription d’u pack de

sécurité spécifique :
• Stormshield Network Vulnerability Manager : Il a pour but d'identifier et de
remonter en temps réel les vulnérabilités et les failles des applications et des
services utilisés dans les réseaux protégés. Pour cela, SNVM fonctionne en
collaboration avec le moteur de prévention d’i t usio IPS tout en collectant et
archivant les informations liées, notamment, au système d’exploitatio , aux diverses
activités ainsi u’aux différentes versions d’appli atio s installées. Ces dernières
peuvent être des applications clientes (Firefox) ou des services réseaux (Apache,
Bind, OpenSSH…). NVM remonte les vulnérabilités détectées en identifiant les
machines impliquées et propose aussi les correctifs possibles.
• Antivirus Kaspersky : Développé et intégré par Kaspersky lab, il représente l’u e des
meilleures solutions antivirales disponibles actuellement sur le marché. Son moteur
analyse en temps réel les mails entrants et sortants, le trafic Web ainsi que les
fichiers, afin de détecter et éliminer toutes les intrusions virales au niveau des
réseaux protégés. Pour assurer une détection optimale, la base des signatures
virales est mise à jour continuellement. Les points forts de cet antivirus sont son
support de nombreux formats d’a hive, performance de traitement des fichiers
plus élevé que l’anvirus ClamAV, performance accrue du moteur d’a al se
heuristique, sandboxing.
• Filtrage WEB Extended Web Control : Elle se base sur un fournisseur de base URLs
hébergé dans le cloud. La base référence des centaines de millions d’URLs classées
en 65 catégories thématiques : achat, éducation, banque, etc. L’ava tage majeur de
cette nouvelle option est la mise à jour rapide de la base d’URLs qui ’est plus
téléchargée au niveau du Firewall.
• Stockage des logs sur la carte SD « stockage externe »: Elle permet aux Firewalls
disposant d’u slot de carte mémoire SD de stocker les logs sur cette dernière. Sur
les produits SN200 et SN300, l’utilisatio d’u e carte SD permet d’a tive la
génération de tous les rapports d’a tivité (sans carte SD, seuls 5 rapports peuvent
être utilisés).
33
Stormshield propose des packs de service de sécurité pour répondre à des usages
précis. Ces packs assurent :
• Une mise à jour corrective et évolutive continue des systèmes de
protection ( firrmware, IPS, applications, etc),
• Une maintenance matérielle des produits Stormshield Network en deux
niveaux : Echange standard à la réception du produits défectueux ou
Echange express dès la détection de la panne,
• L’a s au support technique via un réseau de partenaire,
• L’a s à l’espa e de veille sécurité « Stormshield Security Watch » via
l’espa e client Stormshield. Cet espace liste l’e se le des vulnérabilités
et attaques gérées par les solutions Stormshield Network Security.
Les différents packs :

• Remote Office Security Pack : Ce pack est proposé spécialement pour la
protection des petits sites distants, connectés directement à leur site
central via un tunnel VPN. Il est adapté pour gérer et filtrer finement les
accès sur le réseau. Les fonctions de sécurité telles que l’a tivi us,
l’antispam ou le filtrage d’URL sont alors portées directement par le site
central. Ce pack est disponible uniquement sur les produits SN150 et
SN200.
34
• UTM Security Pack : Les entreprises qui souhaitent une protection unifiée
contre les menaces transitant par le Web ou la messagerie et désirent
contrôler finement les activités de surf des utilisateurs peuvent souscrire à
ce pack.Elles bénéficient alors de la technologie de prévention d’i t usio
unique de Stormshield Network Security, d’u moteur antispam avancé,
d’u antivirus pour la détection des programmes malveillants et de 16
catégories de sites WEB pour définir une politique d’a s à Internet.
• Premium UTM Security Pack : Ce pack s’ad esse aux entreprises
exigeantes en matière de sécurité. Il apporte les meilleures technologies
pour contrer les attaques les plus évoluées. Le système antimalware
Kaspersky avec technologie d’é ulatio et le filtrage d’URLs en mode
Cloud, basé sur 65 catégories (Extended Web Control), élèvent votre
protection jus u’à un niveau inégalé sur le marché. Le module Stormshield
Network Vulnerability Manager offre une visibilité temps-réel sur les
vulnérabilités réseau ou applicatives affectant les postes et serveurs du
système d’i fo atio .
• Entreprise Security Pack : Destiné aux entreprises qui disposent de
solutions de protection distinctes pour chaque fonction de sécurité, ce
pack concentre la valeur ajoutée des produits Stormshield Network
Security sur les fonctionnalités Next-Generation Firewall. La mise à jour de
la base d’appli atio s destinée au contrôle applicatif est réalisée de
manière continue, en intégrant en priorité les applications demandées par
nos clients. Le module Stormshield Network Vulnerability Manager offre
une visibilité temps-réel sur les vulnérabilités réseau ou applicatives
affectant les postes et serveurs du système d’i fo atio .
35
36
Les produits (SN710, SN910, SN2000, SN3000 et SN6000) proposent une modularité
réseau incomparable sur le marché, grâce à des modules optionnels de connectiques
cuivre ou fibre:
• SN710 intègre 8 ports 10/100/1000 et peut supporter en plus 8 ports

10/100/1000, 4 ports SFP 1Gbps ou 2 ports SFP+ 10Gbps (1 module d’exte sio ).
• SN910 intègre 8 ports 10/100/1000 + 2 ports SFP 1Gbps et peut supporter en plus
8 ports 10/100/1000, 6 ports SFP 1Gbps ou 2 ports SFP+ 10Gbps (1 module
d’exte sio ).
• SN2000 et SN3000 intègrent 10 ports 10/100/1000 en standard et peut supporter

en plus 16 ports 10/100/1000, 16 ports SFP 1Gpbs ou 8 ports SFP+ 10Gbps (2
modules d’exte sio ).
• SN6000 intègrent 10 ports 10/100/1000 de base et peut supporter en plus 48

ports 10/100/1000, 46 ports SFP 1Gbps ou 24 SFP+ 10Gbps (6 modules
d’exte sio ).
37
• Inscription du firewall sur l’espa e client Stormshield

• Démarrage/Arrêt/Reset
• Connexion au firewall
• Assistant d’i stallatio
• L’i te fa e d’ad i ist atio
• Le Tableau de bord
• Configuration système
• Licence
• Maintenance
38
Prise en main du firewall
39
L’i s iptio du firewall dans l’espa e privé est la première opération à effectuer
pour utiliser toutes les fonctionnalités du produit.
Cet espace privé et sécurisé permet l’a s à plusieurs ressources et informations

concernant les équipements Stormshield Network. Il est accessible directement sur
le site web « https://mystormshield.eu ».
Si vous ne possédez pas de compte client, vous pouvez en créer un en enregistrant

votre premier firewall.
40
L’e egist e e t du premier firewall vous propose de remplir un formulaire,

contenant vos informations personnelles, et d’i di ue le numéro de série et le code
WEB apposés à l’éti uette de l’é uipe e t et permettant de l’ide tifie .
Suite à cette inscription, le login et le mot de passe de votre compte vous seront
transmis par e-mail.
41
L’ouve tu e d’u compte client Stormshield et l’i s iptio d’u firewall permettent
de :
• Télécharger les licences d’a tivatio , les nouvelles versions de firmware,

les outils d’ad i ist atio et diverses documentations,
• Récupérer les fichiers de configuration sauvegardés dans le Cloud,
• Accéder à la base documentaire,
• Accéder à la base de connaissance,
• S’a o e à la newsletter,
• Accéder au planning des formations,
• Mettre à jour automatiquement certains services du firewall (Signatures
contextuelles, base d’URL Stormshield, etc).
42
La base documentaire contient l’e se le des documentations public :

• notes de versions,
• guides de configuration,
• notes techniques.
Ce dernier type de document vous permet de mettre en place des configurations
évoluées grâce à une présentation pas à pas des notions à maitriser et des
paramètres à définir.
La base de connaissance est présentée sous la forme d’u « Wiki » accessible depuis
l’espa e client. Elle est alimentée et maintenue en permanence par l’é uipe du TAC
(support technique) SNS.
Vous y trouverez entre autre :
• Les paramètres de configuration spécifiques
• La liste des limitations fonctionnelles connues
• Les supports de formation enligne délivrés par le TAC
• Les procédures de diagnostiques
43
44
Les divers orifices ou connectiques sont communs à tous les UTM de la gamme bien
que leurs emplacement peuvent varier en fonction du produit concerné. De manière
générale, chaque UTM inclut:
• Un bouton de démarrage/arrêt,
• Trois LEDs, en partant du bas :
o La première LED « orange » indique que le firewall est sous-tension
(câble d’ali e tatio branché),
o La deuxième LED « verte » indique que le système du firewall est
en cours de démarrage ou en cours d’a t,
o La troisième LED « verte » indique que le firewall a fini de démarrer
et u’il est fonctionnel.
• Connecteur carte SD : Permet d’ajoute une carte mémoire sur le firewall.
La carte doit avoir une capacité maximale de 32 Go et être au moins de
classe 6.
• Port clavier PS2 et connecteur VGA : Permettent le branchement d’u
clavier et d’u écran sur le firewall pour y accéder en mode console,
• Port série : Pour brancher une console série sur le firewall,
• Bouton Reset : Pour restaurer la configuration usine du firewall,
• Port USB: Permet le branchement d’u e clé USB ou d’u modem 3G,
• Interfaces Ethernet : Le type et le nombre d’i te fa es diffèrent suivant le
modèle.
45
Démarrage du firewall :
Le démarrage s’effe tue en mettant sous-tension le firewall et en appuyant ensuite
sur le bouton de démarrage. Au début, les deux premières LEDs en partant du bas
s’allu e t ce qui indique que le firewall est sous tension et que le système est en
cours de démarrage. Une fois ce dernier démarré, la LED du haut s’allu e et un bip
sonore est émis pour indiquer que le firewall est opérationnel.
Arrêt du firewall :
L’a t s’effe tue en appuyant sur le bouton d’a t, ce qui déclenche un bip sonore
et l’exti tio de la première LED qui indique le début de l’a t du système. Une fois
le système arrêté, les deux LEDs s’éteig e t et le firewall s’a te complètement.
Restauration de la configuration usine :

Il faut maintenir le bouton Reset enfoncé jus u’à l’é issio d’u bip sonore qui
annonce le début de la restauration. Le firewall restaure la configuration usine et
redémarre automatiquement. Durant le démarrage, 7 bips sonores sont émis, ils
indiquent que le mot de passe du compte admin est réinitialisé. Enfin, la dernière
LED s’allu e et un autre bip sonore est émis pour indiquer que le firewall est
opérationnel avec la configuration usine.
46
47
Dans une configuration usine, la première interface du firewall est nommée « OUT »,
la seconde « IN » et le reste des interfaces « DMZx ». L’i te fa e « out » est une
interface externe, utilisée pour connecter le firewall à internet et le reste des
interfaces sont internes et servent principalement à connecter le firewall à des
réseaux locaux.
La distinction interne/externe pour les interfaces permet de se protéger contre les

attaques d’usu patio d’ad esse IP.
Toutes les interfaces sont incluses dans un bridge dont l’ad esse est 10.0.0.254/8. Un
serveur DHCP est actif sur toutes les interfaces du bridge et il distribue des adresses
IP comprises entre 10.0.0.10 et 10.0.0.100.
Pour accéder à l’i te fa e d’ad i ist atio du firewall, nous vous conseillons de
connecter votre machine sur une interface interne.
Note : Avec la configuration usine, connecter une machine sur l’interface externe et
ensuite sur une interface interne sera interprété par le firewall comme une tentative
d’usurpation d’adresse IP sur le bridge et par conséquent, il bloquera tout le trafic
généré par cette machine. Le redémarrage du firewall sera nécessaire pour
débloquer cette situation.
48
L’a s à l’i te fa e graphique d’ad i ist atio du firewall s’effe tue grâce à un
navigateur Web en HTTPS à l’ad esse « https://10.0.0.254/admin ». Les navigateurs
officiellement supportés sont Mozilla Firefox (à partir de la version 3) et Internet
Explorer (à partir de la version 7).
L’a s aux pages d’ad i ist atio nécessite une authentification. Par défaut, seul le
compte système admin, disposant de tous les privilèges sur le boitier, existe et peut
se connecter. En configuration usine, le mot de passe de ce compte est également
admin; pour des raisons évidentes de sécurité, il conviendra de modifier ce mot de
passe.
Pour s’authe tifie , l’utilisateu peut également sélectionner un certificat dans le
magasin de son navigateur.
Dans les options avancées, l’ad i ist ateu peut choisir la langue des menus de
configuration ainsi que l’a s en en lecture seule, ce qui empêche toute
modification de la configuration.
En haut à droite de la page, deux icônes sont présentes:
• : icône permettant d’a éde aux rapports d’a tivités

• : icône permettant d’a éde au menu d’aide en ligne
Nous détaillerons ultérieurement ces deux menus.
49
50
L’assista t d’i stallatio vous permet de configurer votre firewall en quelques

minutes en suivant pas à pas des menus simplifiés. Il est exécuté automatiquement
lors de la première connexion au firewall après une restauration de la configuration
usine.
L’i age ci-dessus illustre le premier menu de l’assista t d’i stallatio . Il propose
deux possibilités :
• L’installation pas à pas: Elle dure environ 15 minutes et permet la
configuration séquentielle des éléments listés ci-dessous:
o Mise à jour de la licence et du système,
o Configuration de la connexion à internet sur la première interface
« OUT »,
o Configuration du réseau interne (LAN),
o Configuration du domaine DNS et du serveur DHCP,
o Interconnexion à un serveur Microsoft Active Directory,
o Configuration de quelques paramètres système tels que la langue
ou l’heu e
o Modification du mot de passe de l’utilisateu « admin » et des
accès aux pages d’ad i ist atio
o Enregistrement de l’UTM sur votre espace privé sur le site
Stormshield,
o Mise à jour des bases dynamiques : antispam, antivirus, signatures
contextuelles ASQ, base d’URL Stormshield, Management de
vulnérabilités
51
o Configuration des serveurs web et e-mail de l’e t ep ise,

o Définition du filtrage web appliqué aux réseaux internes,
o Définition du niveau d’i spe tio du trafic : IPS, IDS ou firewall.
• L’installation manuelle: Permet de mettre à jour la licence, restaurer une

configuration sur le firewall et mettre à jour le firmware (la version du
système).
Le menu propose également de modifier la langue de l’assista t d’i stallatio ou

d’ t e redirigé directement à l’i te fa e d’ad i ist atio . Il est possible d’a éde à
nouveau à l’assista t d’i stallatio après son arrêt en utilisant l’URL :
« https://10.0.0.254/install ». Cependant, la configuration pas à pas ne s’exé ute a
pas et un message d’e eu s’affi he a si le firewall ’est plus en configuration usine.
Attention : l’assista t d’i stallatio crée automatiquement les objets qui seront
utilisés dans les menus de configuration (voir module « Objets »). Ces objets ne
pourront ni être modifiés ni supprimés, une fois la configuration avec l’assista t
finalisée.
52
53
L’i te fa e d’ad i ist atio est découpée en trois parties :

1. L’en-tête (partie encadrée en vert) : Elle contient les informations suivantes :
• Le nom du firewall: le nom par défaut est le numéro de série,
• la version du système (firmware),
• l’utilisateu connecté sur l’i te fa e et ses droits: Lecture seule ou
Lecture/Ecriture. Un simple clic sur Lecture seule permet de récupérer le
droit d’é itu e; un popup vous indiquera l’ad esse IP disposant
actuellement du droit de modification. Notez u’à un instant donné, un
seul utilisateur peut disposer du droit d’é itu e sur le firewall.
L’e -tête contient également des icônes (à droite) qui permettent d’a éde à
plusieurs fonctionnalités :
• : Accès au menu « tableau de bord »
• : Accès au menu « Préférences », constitué de deux onglets :
o « Administration »: permet de configurer plusieurs paramètres en
relation avec l’i te fa e d’ad i ist atio . Les plus importants sont :
• Les identifiants de l’espa e privé Stormshield pour un accès
direct au compte et au support technique.
• Le temps d’i a tivité avant de déconnecter l’utilisateu de
l’i te fa e d’ad i ist atio .
• Les options d’affi hage dans les menus (toujours afficher les
configurations avancées, nombre de règles de filtrage par
page, etc).
• Liens externes vers les sites Stormshield.
o « Rapports d’a tivités »: permet de configurer le temps d’i a tivité
avant de déconnecter l’utilisateu de l’i te fa e « Rapports
d’a tivités » et quelques préférences d’affi hage sur cette interface.
54
• : Démarre l’outil « Rapports d’a tivités » dans un nouvel onglet du

navigateur. Cette fonctionnalité est présentée dans le module
« Monitoring et logs ».
• : Aide en ligne. Affiche l’aide du menu courant ainsi que des
informations complémentaires sur les paramètres et les options du menu.
Il est important de noter que les pages d’aide ne sont pas embarquées
dans le firewall mais sont accessibles depuis Internet.
• : Accès direct au support en ligne depuis votre compte client
Stormshield. Pour cela, il est impératif de renseigner au préalable les
identifiants de votre espace privé dans le menu « Préférences ».
• : Déconnecte l’utilisateu de l’i te fa e d’ad i ist atio .
2. Les menus (partie encadrée en rouge) : Regroupe tous les menus de

configuration et quelques raccourcis organisés sous forme de listes rétractables.
3. Le contenu du menu (partie encadrée en bleu) : Affiche le contenu du menu

sélectionné.
55
56
Le tableau de bord, regroupe l’e se le des informations et indicateurs du firewall :

• État du module Active Update,
• Alarmes,
• Licence (date d’expi atio de chaque module),
• Matériel (disque dur, clé USB...),
• Propriétés (N° de série, politiques actives, date et heure…),
• Ressources (CPU, mémoire, température, …),
• Interfaces (listing des interfaces réseau configurées),
• Nouvelles applications (signatures de l’IPS en statut Nouveau),
• État des différents services.
Le tableau de bord est entièrement paramétrable. Les fenêtres peuvent être

rafraîchies, déplacées, agrandies et fermées en fonction des préférences, grâce aux
boutons en haut à droite de cette fenêtre.
57
58
Le menu CONFIGURATION ⇒ SYSTÈME ⇒ Configuration permet de configurer les

paramètres systèmes, administratifs et réseaux du firewall. Il est composé de trois
onglets :
1. CONFIGURATION GÉNÉRALE :
• Le nom du firewall. Par défaut, ce champ est vide mais prendra en compte
le numéro de série du firewall.
• La langue des traces remontées par le firewall. Deux choix sont possibles :
Anglais ou Français.
• La langue du clavier utilisé pour un accès console direct : Anglais, Français,
Italien, Polonais ou Suisse.
• Les paramètres cryptographiques regroupent deux options qui sont
respectivement en relation avec les certificats (présentés dans la
formation Expert) et le chiffrement hardware (CESA ou PADLOCK) qui est
disponible sur certains modèles des firewalls physiques du SN150 à SN900.
• La politique de mots de passe définit la longueur minimale et les
caractères obligatoires des mots de passe créés dans les différents menus
du firewall (par exemple : mots de passe des utilisateurs dans l’a uai e
interne (LDAP), mots de passe qui protège les fichiers de sauvegarde, mots
de passe des certificats créés au niveau du firewall). Par défaut, la
longueur minimale est à un et aucun caractère ’est obligatoire.
Cependant, l’ad i ist ateu peut imposer des mots de passe
alphanumérique seulement ou alphanumérique avec des caractères
spéciaux.
59
• Les paramètres horaires: date, heure et fuseau horaire. Ces paramètres

sont cruciaux pour des fonctionnalités telles que les logs ou
l’authe tifi atio . La modification du fuseau horaire entraine le
redémarrage du firewall.
• Un ou plusieurs serveurs NTP (Network Time Protocol) peuvent être
ajoutés pour synchroniser automatiquement l’heu e du firewall.
• L’optio de surveillance de l’a tivité matérielle Watchdog est disponible
sur tous les Firewalls physiques. Il teste l’a tivité du système du firewall et
en cas d’i a tivité durant l’i te valle de temps configuré, un redémarrage
du firewall est déclenché. Ce mécanisme peut être désactivé en
configurant le seuil avec la valeur « Désactivé ».
60
2. ADMINISTRATION DU FIREWALL :
• Il est possible de ne plus autoriser le compte « admin » à accéder à
l’i te fa e d’ad i ist atio . Cela implique u’u nouvel administrateur ait
été créé avec des droits suffisants. Dans le cas contraire, vous perdrez
définitivement l’a s à l’i te fa e d’ad i ist atio du firewall.
• Le port utilisé pour accéder à l’i te fa e d’ad i ist atio du firewall peut
être un autre port que HTTPS (443/TCP), qui est choisi par défaut. Si un
autre port est utilisé l’URL d’a s devient :
« https://@IP_firewall:autre_port/admin ».
• Par défaut, l’i te fa e d’ad i ist atio du firewall utilise un certificat issu
de l’auto ité de certification du firewall. Le lien « Configurer le certificat
SSL pour l'accès à l'interface d'administration » renvoie vers le menu qui
permet de modifier ce certificat.
• La protection contre les attaques force brute pour l’a s à l’i te fa e
d’ad i ist atio peut être activée/désactivée et le nombre de tentatives
ainsi que le temps d’atte te (en minute) sont paramétrables. Par défaut,
après 3 tentatives d’authe tifi atio infructueuses, l’a s depuis cette
adresse IP sera bloqué pendant 1 minute.
• L’a s à l’i te fa e d'administration peut être limité à une machine ou un
réseau spécifique. Dans ce cas, la machine ou le réseau doit apparaître
dans la liste « Poste d’ad i ist atio autorisé ». Par défaut, seuls les
réseaux internes et représentés par l'objet « Network_internals » sont
autorisés à y accéder.
61
• Il est possible d’a tive l’a s par SSH (connexion sécurisée) et de

modifier le port d'écoute du service qui, par défaut, est SSH (22/TCP).
L’a tivatio du mot de passe est nécessaire pour un accès simplifié. Dans
ce cas, l’utilisateu est invité à saisir un login et un mot de passe lors de la
connexion. Dans le cas contraire, vous serez obligés de gérer les accès par
une paire de clés.
62
3. PARAMÈTRES RÉSEAUX :
• Les firewalls Stormshield Network supportent le protocole IPv6 et

plusieurs fonctionnalités (interface, routage, filtrage, VPN et
administration) sont compatibles IPv6. Cependant, ce support est
optionnel et son activation s’effe tue via le bouton Activer le support du
protocole IPv6 sur ce Firewall.
Note : Cette action étant irréversible, la sauvegarde de la configuration du

firewall vous sera proposée automatiquement lorsque vous cliquerez sur ce
bouton. Le retour à un support IPv4 exclusif (sans IPv6) n’est possible
u’après une remise à la configuration usine (reset) du firewall.
• Dans le cas où le firewall transite par un proxy pour accéder à Internet, les
paramètres se renseignent depuis ce menu.
• Un ou plusieurs serveurs DNS peuvent être ajoutés. Le firewall contacte

ces serveurs pour toute résolution u’il émet ou doit relayer. Ces
résolutions de noms sont nécessaires pour des fonctionnalités telles que
Active Update qui interroge les serveurs de mise à jour pour télécharger
les bases de données (signatures contextuelles, antivirus, Vulnerability
Manager, …). Ces serveurs DNS sont également utilisés dans la cas où le
service cache DNS est activé en mode transparent (voir Annexe Proxy
cache DNS).
63
64
Le mot de passe du compte « admin » peut être modifié dans l’o glet COMPTE
ADMIN du menu CONFIGURATION ⇒ SYSTÈME ⇒ Administrateurs. Le mot de passe
doit avoir au minimum 5 caractères et doit respecter la politique de mot de passe
définit dans le menu CONFIGURATION.
La force du mot de passe indique son niveau de sécurité : Très faible, faible, moyen,
bon, excellent. Il est fortement conseillé d’utilise les majuscules et les caractères
spéciaux pour augmenter le niveau de sécurité.
Les boutons Exporter la clé privée et Exporter la clé publique du firewall permettent
respectivement de télécharger la clé privée et clé publique du compte admin.
65
66
Le menu CONFIGURATION ⇒ SYSTÈME ⇒ Licence, affiche toutes les informations

concernant la licence. Le firewall possède une licence temporaire valide 3 mois,
permettant son fonctionnement immédiatement après sa mise en marche. La
licence définitive est à télécharger depuis votre espace privé Stormshield (après
enregistrement du firewall) ou à installer automatiquement. Elle se présente sous la
forme d’u fichier « .licence ».
Le menu est constitué de deux onglets:
1. GÉNÉRAL :
En haut de l’o glet un bouton permet de rechercher les nouvelles licences
directement sur les serveurs de mise à jour Stormshield et un autre bouton permet
de l’i stalle . Ils sont suivis d’i fo atio s sur la durée de validité de la licence et des
différentes options disponibles. La partie Installation à partir d’un fichier permet
d’i stalle la licence à partir du fichier « .licence » stocké sur le PC.
Enfin, La partie Configuration avancée permet de configurer la fréquence de
recherche des mises à jour et égalemet d’e automatiser l’i stallatio .
67
2. DÉTAILS DE LA LICENCE :
Les boutons de recherche et d’i stallatio de la licence sont également présents ici.
Une barre de recherche permet de trouver rapidement la disponibilité d’u e option
ou d’u service dans la licence.
Le reste de la page détaille le contenu de la licence avec les durées de validité.
68
69
Le menu CONFIGURATION ⇒ SYSTÈME ⇒ Maintenance permet de gérer les mises à

jour système ainsi que les sauvegardes/restaurations de configuration. Quatre
onglets composent ce menu:
1. Mise à jour du système :

Cet onglet permet à l’ad i ist ateu de mettre à jour la version du système
(firmware). Le fichier de mise à jour « .maj » peut être téléchargé au niveau du
compte client Stormshield ou bien récupéré automatiquement par le firewall en
appuyant sur le bouton « Recherche de nouvelles mises à jour ».
La figure ci-dessus illustre la mise à jour du système des partitions. La nouvelle

version du système « x+1 » remplacera l’a ie e version « x » se trouvant sur la
partition active tout en gardant la même configuration « y ». L’ad i ist ateu peut
choisir ou non de faire une sauvegarde de la partition active sur la partition de
sauvegarde, avant la mise à jour, grâce à l’optio « Sauvegarder la partition active sur
la partition de sauvegarde avant de mettre à jour le firewall » (Si l’optio est cochée,
l’a ie e version du système « x-1 » et la configuration « y-1 » seront
définitivement perdues).
Dans la « configuration avancée », l’ad i ist ateu peut choisir de télécharger et

d’a tive une mise à jour ou bien de la télécharger uniquement, son activation
pourra se faire ultérieurement avec l’optio « Activer le firmware précédemment
téléchargé ».
70
2. SAUVEGARDER :
Dans cet onglet, l’ad i ist ateu peut effectuer une sauvegarde manuelle de la
configuration du firewall qui est téléchargée et enregistrée sous le format d’u
fichier chiffré « .na ». Les éléments sauvegardés dans le fichier sont listés ci-dessous:
• Réseau (interface, routage et DNS dynamique),

• Filtrage SMTP,
• Filtrage URL,
• Filtrage SSL,
• Objets web,
• Modules globaux,
• Configuration sécurisée,
• Active Update,
• Services (SNMP, serveur DHCP),
• Profils d'inspection IPS,
• Objets réseaux,
• Filtrage et NAT,
• VPN IPSec,
• Annuaire LDAP.
L’ad i ist ateu ne peut pas sauvegarder une partie de la configuration via
l’i te fa e web (une sauvegarde partielle est possible en ligne de commande). Le
fichier peut être protégé en plus par un mot de passe qui doit être renseigné, avant
le téléchargement, dans la partie « configuration avancée ».
71
L’ad i ist ateu peut également activer la sauvegarde automatique du fichier de

configuration. Deux options sont possibles :
• Cloud backup : En activant cette option, le fichier de configuration est

stocké sur un serveur hébergé dans une infrastructure de service
nommée « cloud backup service » gérée par Stormshield. La sauvegarde
peut être effectuée chaque jour, chaque semaine ou chaque mois. Dans
la « configuration avancée », on peut configurer cette fréquence et
protéger la configuration par un mot de passe grâce aux paramètres
« Fréquence des sauvegardes » et « Mot de passe du fichier de
sauvegarde ». La sauvegarde est sécurisée avec une connexion HTTPS et
une authentification par certificat. Au maximum, 5 fichiers de
configuration par firewall peuvent être sauvegardés sur les serveurs du
cloud. Au-delà, le nouveau fichier écrasera le plus ancien. Ces fichiers
sont accessibles depuis l’espa e client Stormshield.
72
• Serveur personnalisé : Avec cette option les fichiers de configuration sont

stockés sur un serveur dont l’ad esse IP est renseignée dans le paramètre
« Serveur de sauvegarde ». Plusieurs paramètres peuvent être configurés
dans la « configuration avancée » :
• « Port du serveur »: port d’é oute du serveur de sauvegarde,
• « protocole de communication »: HTTP ou HTTPS,
• « Certificat du serveur »: actif uniquement si le protocole HTTPS
est choisi. Il permet de spécifier le certificat présenté par le
serveur sur lequel sera envoyée la sauvegarde de configuration.
L’o je tif est que le firewall puisse s’assu e de l’ide tité du
serveur avant de lui transmettre le fichier de sauvegarde,
• « Chemin d’a s »: Permet de spécifier le répertoire où seront
stockés les fichiers de configuration,
• « Méthode d’e voi »: Permet de choisir la méthode d’e voi HTTP :
authentification basic (auth basic) , authentification digest (auth
digest) ou POST,
• « Identifiant » et « Mot de passe »: Utilisés avec les méthodes
d’e voi « auth basic » et « auth digest »,
• « POST – control name »: Utilisé avec la méthode d’e voi POST,
• « Fréquence des sauvegardes »: fréquence d’e voi des
sauvegardes positionnée par défaut à une semaine,
• « Mot de passe du fichier de sauvegarde »: protège les fichiers de
sauvegarde par un mot de passe.
73
3. RESTAURER :
La restauration d’u e configuration s’effe tue à partir d’u fichier « .na » stocké sur
la machine. Si le fichier de configuration est protégé par un mot de passe,
l’ad i ist ateu doit le saisir dans la partie « configuration avancée ».
En fonction des besoins, seule une partie de la configuration peut être restaurée.
Dans ce cas, dans la partie Configuration avancée, sélectionnez le ou les modules
nécessaires. Dans tous les cas, il est conseillé de redémarrer le firewall après une
restauration (le redémarrage est proposé uniquement après une restauration
complète).
Note : Le mot de passe de l’utilisateur « admin » n’est ni sauvegardé ni restauré.
74
La restauration d’u e configuration peut également se faire à partir de la dernière

sauvegarde automatique dont la date est indiquée par « Date de la dernière
sauvegarde ». Dans le cas où la sauvegarde est protégée par un mot de passe, ce
dernier doit être renseigné dans la « configuration avancée ».
75
4. CONFIGURATION :
L’e se le de la gamme d’UTM physiques Stormshield Network disposent de deux
partitions complètement indépendantes qui permettent le stockage de versions de
firmware différentes. Chaque partition possède sa propre configuration. Il faut faire
la distinction entre les partitions principale/secours et les partitions active/passive.
Nous pouvons avoir deux cas de figure illustrés ci-dessus : (1) partition active =>
principale et partition passive=>secours ou (2) partition active => secours et partition
passive => principale.
L’ad i ist ateu peut sélectionner la partition qui deviendra active au prochain
démarrage du firewall (principale ou de secours). Automatiquement l’aut e partition
deviendra la partition passive.
Le bouton « sauvegarder la partition active » permet de copier tout le contenu de la
partition active (configuration + firmware) sur la partition de sauvegarde.
Les dernières options de maintenance permettent de redémarrer ou arrêter le

firewall et de télécharger le rapport système: fichier texte qui affiche l’état du
firewall et de nombreux autres indicateurs utiles au diagnostic par le support
technique.
76
Le menu CONFIGURATION ⇒ SYSTÈME ⇒ Active Update permet de contrôler la

mise à jour automatique des modules suivants :
• Antispam : listes noires DNS (RBL),

• Bases d’URLs embarquées,
• IPS : Signatures de protection contextuelles,
• Antivirus : signatures Antivirales ClamAV (ou Kaspersky),
• Antispam : moteur heuristique,
• Management de vulnérabilités (si l’optio est active dans la licence),
• Autorités de certification racine.
L’ad i ist ateu peut activer ou désactiver la mise à jour d’u seul module ou de
tous les modules à la fois en utilisant les boutons « Tout autoriser » ou « Tout
refuser ».
Les listes des serveurs de mise à jour des différents modules et de la base d’URL sont
accessibles dans la partie « configuration avancée ». L’ad i ist ateu peut modifier,
ajouter ou supprimer des serveurs.
77
• Les familles de traces

• Stockage local des traces
• Activation du SYSLOG
• Virtual Log Appliance (VLA)
• Notification par e-mail
• Rapports d’a tivités embarqués
• Suite d’ad i ist atio Stormshield Network
78
Logs et monitoring
79
Logs et monitoring
Les fonctionnalités et services d’u firewall Stormshield Network génèrent des

évènements qui sont stockés dans des fichiers de traces en local (sur le disque dur)
ou sur une carte mémoire SD pour les firewalls disposant de l’optio « stockage
externe ». La fonctionnalité SYSLOG est une méthode simple pour conserver une
copie de ces logs sur un serveur externe. Les fichiers de traces sont organisés en
plusieurs familles décrites ci-dessous:
• Administration: Regroupe les évènements liés à l’ad i ist atio du
firewall. Ainsi, toutes les modifications de configuration effectuées sur le
firewall sont journalisées.
• Authentification: Regroupe les évènements liés à l’authe tifi atio des
utilisateurs sur le firewall.
• Connexions réseaux: Regroupe les évènements liés aux connexions
TCP/UDP traversant ou à destination du firewall non traitées par un plugin
applicatif.
• Evènements systèmes: Regroupe les évènements liés directement au
système: arrêt/démarrage du firewall, erreurs système,
allumage/extinction d’u e interface, haute disponibilité, mises à jour
Active Update, etc.
• Alarmes: Regroupe les évènements liés aux fonctions de prévention
d’i t usio s (IPS) et les évènements tracés avec le niveau alarme mineure
ou majeure de la politique de filtrage.
• Proxy HTTP: Regroupe les évènements liés aux connexions traversant le
proxy HTTP.
80
Logs et monitoring
• Connexions applicatives (plugin): Regroupe les évènements liés aux

connexions traitées par un plugin applicatif (HTTP, FTP, SIP, etc).
• Proxy SMTP: Regroupe les évènements liés aux connexions traversant le
proxy SMTP.
• Politique de filtrage: Regroupe les évènements liés aux règles de filtrages
et/ou de NAT.
• VPN IPSec: Regroupe les évènements liés à la phase de négociation d’u
tunnel VPN IPSec.
• VPN SSL: Regroupe les évènements liés à l’éta lisse e t de VPN SSL
(mode tunnel ou portail).
• Proxy POP3: Regroupe les évènements liés aux connexions traversant le
proxy POP3.
• Statistiques: Synthèse des statistiques sur plusieurs éléments: système,
sécurité, interfaces, QoS, etc.
• Management de vulnérabilités: Regroupe les évènements liés à l’optio
« Stormshield Network Vulnerability Manager ».
• Proxy FTP: Regroupe les évènements liés aux connexions traversant le
proxy FTP.
• Proxy SSL: Regroupe les évènements liés aux connexions traversant le
proxy SSL.
81
Logs et monitoring
82
Logs et monitoring
La gestion des traces s’effe tue dans le menu CONFIGURATION ⇒ NOTIFICATIONS ⇒

Traces – syslog qui est constitué de deux onglets : STOCKAGE LOCAL et SYSLOG.
Le premier onglet gère l’e egist e e t local des fichiers de traces sur le disque dur
(si le firewall en est équipé) ou sur une carte mémoire SD (si le firewall dispose d’u
emplacement prévu à cet effet et si l’ad i ist ateu a souscrit à l’optio « stockage
externe »). Chaque famille de traces occupe un espace réservé sur le support de
stockage.
L’o glet est composé de :

• Activer le stockage des traces : Permet d’a tive /désa tive
l’e egist e e t des traces. Elle est activée par défaut et tous les familles
de traces sont actives.
• Support de stockage : Permet de sélectionner le support de stockage
disque dur interne ou carte mémoire SD.
• Actualiser : Actualise les supports de stockage disponibles.
• Formater : Permet de formater le support de stockage sélectionné.
83
Logs et monitoring
• Action en cas de saturation du support : Définit ce u’il faudra faire dans

le cas où une famille de trace dépasse l’espa e disque qui lui est réservé.
Deux choix sont possibles :
• Effacer les traces les plus anciennes (rotation) : Les traces
anciennes sont écrasées par les nouvelles traces; il s’agit du choix
par défaut.
• Interrompre l’écriture des traces : Les traces ne sont plus
sauvegardées.
• Configuration de l’espace réservé pour les traces : Permet d’a tive ou de
désactiver l’é itu e des traces pour une famille donnée en double-
cliquant dans la colonne État correspondante. Elle permet également de
configurer le pourcentage de l’espa e disque réservé pour la famille de
trace dans la partie Pourcentage. Il est important de noter que le total des
pourcentages ne doit pas dépasser 100%. La taille réelle de l’espa e disque
réservé à une famille de trace est indiquée dans la partie Quota d’espace
disque
84
Logs et monitoring
85
Logs et monitoring
Les firewalls Stormshield Network embarquent un client SYSLOG qui peut être activé
pour la transmission des traces à destination d’u serveur SYSLOG externe. Ces
traces sont enregistrées dans un seul fichier au format WELF (WebTrends Enhanced
Log file Format) qui organise chaque trace sur une ligne suivant un ordre
chronologique (la plus récente apparaîtra en tête du fichier).
L’o glet SYSLOG permet l’a tivatio et la configuration du client SYSLOG, il est
constitué de:
• Activer l’envoi des traces par syslog : Permet d’a tive /désa tive la
fonction client SYSLOG sur le firewall.
• Serveur(s) de destination : Indique l’ad esse IP du ou des serveurs
SYSLOG.
• Port : Renseigne le port destination utilisé par le client SYSLOG. Par défaut
le port 514/udp.
• Famille de traces envoyées : Permet de sélectionner les familles de traces
qui seront transmises au serveur SYSLOG en double cliquant sur la partie
État de chaque famille pour activer ou désactiver l’e voi.
86
Logs et monitoring
87
Logs et monitoring
Stormshield offre gratuitement à ses partenaires, un serveur Syslog embarqué dans

une machine virtuelle « Virtual Log Appliance » dont le « .ova » est téléchargeable
depuis l’espa e mystormshield.
Virtual Log Appliance est basée sur la suite ELK : Elastricsearch (base de donnée),
Logstash (gestionnaire de logs) et Kibana (portail web). Cette suite est installée sur
une distribution Linux (Ubuntu) et elle est paramétrée pour traiter les logs provenant
des équipements SNS. La taille par défaut de la base de données est de 40Go.
Une fois logué sur la machine virtuelle, un assistant est lancé automatiquement
permettant de visualiser et de configurer plusieurs paramètres (les données, le
réseau, la base de donnée, mot de passe, etc). Par défaut :
• La carte réseau est configurée en DHCP

• L’utilisateu « log » et mot de passe « log », l’utilisateu a les privilèges de
l’utilisateu « root ».
• La rotation des logs est de 3 jours
• Clavier : US
• Time zone : Europe-Paris
NOTE : Pour avoir plus d’i fo atio sur l’i stallatio , consultez « le guide
d’i stallatio Virtual Log Appliance for Stormshield » disponible dans la base
documentaire.
88
Logs et monitoring
La visualisation des logs s’effe tue via une interface web accessible en HTTPS sur
l’ad esse IP de la machine virtuelle. La page d’a ueil est constituée de plusieurs
panneaux :
• 0.Index : Regroupe les opérations qui permettent de gérer l’i te fa e web : retour
à la page principale, ouvrir une vue, enregistrer une vue, paramétrage de la page
affichée.
• Configuring the firewall : Décrit la procédure d’a tivatio du client syslog au
niveau des firewalls.
• Index : Offre une liste de vues préconfigurées pour visualiser les traces par
catégorie.
• Events indexed : Quantité de traces reçues par Virtual Log Appliance.
• Events by appliance : Liste les équipements SNS ayant transmis des traces. Un
compteur indique la quantité de traces transmis par chaque équipement.
89
Logs et monitoring
Une vue contient plusieurs indicateurs sur les événements d’u e catégorie à
l’ex eptio de la vue log qui offre une vue globale sur toutes les catégories.
Afin de restreindre l’affi hage, il est possible d’utilise :
• Les requêtes : Effectuées sur la base de données, elles peuvent être simple en
utilisant des mots clés (alarme, 443, etc) comme elles peuvent être avancées en
recherchant une valeur d’u champ (alarmid:6, dstport:[20 to 30]) ou en utilisant
les opérateurs AND, OR ( ssh and 192.168.2.254). L’opé ateu « OR » est appliqué
dans le cas d’utilisatio de plusieurs requêtes.
• Les filtres : Permettent de filtrer l’affi hage en temps réel. Par défaut, un filtre sur
le temps est appliqué ; il peut être modifié dans l’e -tête de la page. Dans le cas
où plusieurs filtres sont définis, l’opé ateu « AND » est appliqué entre les filtres.
Un simple clic sur une zone d’u graphe ou sur l’i ô e loupe à côté d’u
paramètre permet également de définir un filtre.
L’i te fa e offre le moyen de définir d’aut es lignes et panneaux personnalisés.

Veuillez vous référer à la note technique « utilisation de Virtual Log Appliance » pour
avoir plus d’i fo atio s.
90
Logs et monitoring
91
Logs et monitoring
Les firewalls Stormshield Network peuvent transmettre automatiquement des

notifications par e-mail pour divers évènements. La configuration de cette
fonctionnalité s’effe tue dans le menu CONFIGURATION ⇒ NOTIFICATIONS ⇒
Alertes e-mails . L’o glet CONFIGURATION contient les paramètres suivants:
• Activer les notifications par e-mail : Activer/désactiver le service,
• Serveur SMTP : Permet de configurer tous les paramètres en relation avec
le serveur vers lequel les e-mails seront transmis (adresse IP, port,
informations d’authe tifi atio et nom de domaine). L’ad esse e-mail de
l’é etteu des notifications sera « nomdufirewall@Domaine_DNS ».
92
Logs et monitoring
• Fréquence d’envoi Indique la fréquence d’e voi des notifications. La

valeur doit être comprise entre 1 et 1000 minutes.
• Alarmes de prévention d’intrusion et Evénements systèmes : Permet de
sélectionner les informations envoyées dans les notifications concernant
les familles de traces « Alarmes » et « Évènements systèmes »:
• ne rien envoyer,
• envoyer uniquement les alarmes majeures,
• envoyer les alarmes majeures et mineures.
La liste de diffusion contenant les e-mail des destinataires est à créer au préalable
dans l’o glet DESTINATAIRES.
93
Logs et monitoring
L’o glet DESTINATAIRES permet la création et la configuration des listes de diffusion.

Les destinataires dans un groupe peuvent être des adresses e-mails ou des
utilisateurs enregistrés dans la base LDAP (assurez-vous dans ce cas que l’utilisateu
dispose bel et bien d’u e adresse e-mail dans sa fiche LDAP).
94
Logs et monitoring
L’o glet MODÈLES permet de personnaliser le contenu des e-mails envoyés pour
différents évènements. Le corps des messages peut contenir des paramètres ($URL,
$UID, etc) qui seront remplacées par des valeurs suivant le contexte de l’év e e t.
95
Logs et monitoring
96
Logs et monitoring
Les rapports d’a tivités embarqués sont une fonctionnalité accessible depuis l’e -
tête de l’i te fa e d’ad i ist atio web en cliquant sur le bouton encadré en rouge
ou directement depuis l’URL « https://@IP_firewall/reports ». La nouvelle page qui
s’affi he possède une structure identique à la page d’ad i ist atio (trois parties:
entête, menus, contenu du menu sélectionné). Elle est accessible en lecture seule ou
en lecture/écriture parce u’elle permet de modifier des éléments de la
configuration du firewall: ajouter un nouvel objet réseau machine ou modifier
l’a tio et le niveau de traces d’u e alarme par exemple.
Depuis cette page, deux menus principaux sont proposés: les rapports d’a tivités et
les traces.
1. Menu Rapports d’activités

Il permet d’a éde à des rapports calculés à partir des fichiers de traces sur des
plages temporelles prédéfinies (dernière heure, vue par jour, 7 derniers jours, 30
derniers jours) et stockés dans une base de données. Cette fonctionnalité est
désactivée par défaut, pour l’a tive , il faut cocher l’optio Activer l’analyse des
données . Le firewall propose par défaut 27 rapports organisés en 6 catégories:
spam, réseau, web, sécurité, vulnérabilité et virus. Vous pouvez activer/désactiver un
rapport en cliquant deux fois sur sa partie « État ». La liste des rapports actifs
apparait dans la partie menu.
97
Logs et monitoring
Les rapports ne peuvent pas être générés avec des données passées. Seules les
données collectées à partir de l’a tivatio de la fonction pourront être affichées dans
un rapport.
Note: Les rapports d’activités sont disponibles sur les firewalls ne disposant ni de
disque dur ni de carte mémoire SD avec l’option de « stockage externe ». Cependant,
ils sont limités à 5 rapports et un historique maximal de 7 jours.
98
Logs et monitoring
Le rapport calcule les statistiques des 50 évènements les plus importants durant la
plage temporelle choisie. Cependant, la page affiche seulement les 10 premiers
évènements (top 10) parmi ces 50. Le reste des évènements (du 11ème au 50ème) sont
regroupés dans la catégorie « Autres ».
L’affi hage est effectué en deux formats :

• Un graphique: Sous la forme d’u histogramme (horizontal ou vertical) ou
d’u camembert.
• Un tableau: qui liste les statistiques en pourcentage et en chiffres réels du
nombre d’év e e ts.
Depuis certains rapports (par exemple les alarmes), il est possible de modifier des
éléments de la configuration en effectuant un simple clic sur la ligne concernée. Par
exemple, le niveau de trace ou l’a tio associés à une alarme sont modifiables
directement depuis cet outil, à condition d’avoi le droit d’é itu e sur la session en
cours.
Enfin, l’i te fa e permet de télécharger le rapport dans un fichier au format « CSV »
ou l’i p i e .
99
Logs et monitoring
2. Menu TRACES :
Il permet de visualiser des traces sauvegardées en local sur le firewall, dans le cas où
celui-ci dispose de disque dur ou d’u e carte mémoire SD avec l’optio « stockage
externe »). Le cas contraire, ce menu ’appa ait pas.
Il est constitué de deux sous-menus:
• VUES : Les traces sont organisées en groupes: trafic réseau, menaces, web,
etc. Chaque groupe représente une famille de traces ou une concaténation
de plusieurs familles.
• JOURNAUX : Il offre un accès direct à chaque famille de traces.
L’affi hage des traces peut être restreint à une plage temporelle prédéfinie (dernière
heure, aujou d’hui, semaine dernière ou mois dernier) ou personnalisée. Les
données sont affichées par ordre chronologique (la trace la plus récente est en tête
de liste). Les traces peuvent être visualisées sous la forme de lignes simples ou sous
la forme d’u tableau dans lequel chaque ligne représente une trace et chaque
colonne représente une information dans la trace.
Le nombre de colonnes affiché par défaut est limité, cependant, toutes les colonnes
peuvent être affichées en un clic grâce à l’optio « Afficher tous les éléments ». Pour
ajouter manuellement une colonne à la fois, cliquez sur la flèche encadrée en bleu et
ensuite sur « Colonnes ».
100
Logs et monitoring
En cliquant sur un type de trace, une fenêtre s’affi he pour offrir des raccourcis vers
plusieurs fonctionnalités qui diffèrent suivant le type trace affichée: afficher de
l’aide, ajouter la machine à la base objet, filtrer les traces en se basant sur la valeur,
voir la ligne complète de la trace, etc.
Pour filtrer les traces, une barre de recherche simple permet de rechercher une
chaine de caractère dans toutes les colonnes de toutes les traces.
101
Logs et monitoring
La recherche avancée, quant à elle, permet de créer des filtres complexes en

combinant plusieurs critères de sélection. Un filtre créé peut être enregistré au
niveau de la famille de traces ou de la vue, il ne sera pas accessible depuis les autres
menus.
102
Logs et monitoring
103
Logs et monitoring
La suite d’ad i ist atio Stormshield Network est disponible en téléchargement

gratuit depuis l’espa e client Stormshield sous forme d’u fichier « .exe ». Elle est
composée de trois logiciels:
• SN Real-Time Monitor (RTM): Permet de visualiser l’a tivité du firewall en
temps réel.
• SN Event Reporter: Permet de visualiser les fichiers de traces stockés en
local sur le firewall.
• SN Global Administrator : Permet d’ad i ist e un parc de firewalls à
distance.
La connexion sur un firewall depuis SN Real-Time Monitor s’effe tue sur le port
HTTPS TCP/443. La première connexion fait apparaître une fenêtre qui vous
demandera si vous voulez faire confiance ou non à l’auto ité de certification du
firewall qui a signé le certificat présenté par ce dernier. Les autres applications
utilisent le port TCP/1300.
Les ports TCP/443 et TCP/1300 sont autorisés par défaut seulement sur les interfaces
internes. Si besoin, Ils peuvent être autorisés explicitement sur les interfaces
externes.
La connexion à un firewall via l’u de ces outils nécessite un compte disposant de

droits suffisants (en lecture ou écriture selon les actions autorisées). Notez que le
mot de passe de cet utilisateur doit contenir au minimum 8 caractères pour pouvoir
se connecter via SN Event Reporter et SN Global Manager.
104
Logs et monitoring
L’appli atio SN REAL TIME MONITOR (RTM) est un logiciel permettant de visualiser
l’a tivité d’u ou plusieurs firewalls en temps réel et au plus tard sur les données de
la journée.
L’a s à un équipement nécessite le droit de modification pour quelques opérations
d’ad i ist atio ; par exemple, supprimer un utilisateur de la table des utilisateurs
authentifiés, réinitialiser un tunnel VPN ou ajouter une machine à la base d’o jet.
Ces opérations et d’aut es fonctionnalités sont accessibles via un clic-droit sur
l’évé e e t sélectionné. Ainsi, RTM permet également, de faire un ping ou un
traceroute sur la machine source ou destination.
L’appli atio fournit de nombreuses informations sur différents modules:

• Vue d’ense le : Liste les firewalls pour lesquels une connexion a déjà été
établie depuis le RTM ou l’état des connexions en cours.
• Tableau de bord : Offre une vue globale de l’état du firewall sélectionné.
• Évènements : Liste tous les évènements remontés par le firewall. Le
bouton « Filtres » permet de restreindre l’affi hage à la catégorie
sélectionnée.
• Management de vulnérabilités : Affiche les informations collectées par
Vulnerability Manager et permet de recenser les failles présentes sur les
postes clients de vos réseaux internes. Un menu d’aide donne davantage
de détails sur les vulnérabilités recensées ainsi u’u élément correctif (tel
que la mise à jour de l’appli atio concernée par exemple).
• Machines : Liste les machines connectées depuis les interfaces internes.
105
Logs et monitoring
• Interfaces : Permet de visualiser les interfaces et leur débit ainsi que les
connexions traversant le firewall.
• Qualité de service : Liste les différentes files de qualité de service créées
leur débit équivalent.
• Utilisateurs : Affiche les utilisateurs authentifiés ainsi que les droits
d’ad i ist atio des utilisateurs connectés au firewall via RTM.
• Quarantaine –Bypass ASQ : Liste les machines en quarantaine et les
machines dont le trafic ’est pas soumis aux analyses du moteur de
prévention d’i t usio .
• Routers : Permet de visualiser l’état des passerelles (principales et
secondaires) configurées dans les objets routeurs.
• Tunnels VPN : Affiche l’état des tunnels VPN IPSec et VPN SSL ainsi que la
quantité de données échangées dans chaque tunnel.
• Active Update : Affiche l’état des mises à jour effectuées par la fonction
Active Update. Depuis ce menu, il est possible de re-lancer le
téléchargement d’u e base.
• Services : Affiche l’état des services disponibles sur le firewall.
• Matériel : Affiche les informations sur la haute disponibilité, le système
RAID ou le modem 3G si ce dernier est configuré.
• Politique de Filtrage : Affiche les règles de filtrage et de NAT de la
politique active ainsi que les règles de filtrage implicite (voir le module
« filtrage » pour plus de détails à ce sujet).
• Politique VPN : Affiche le contenu de la politique VPN IPSec active.
• Traces :
• VPN : Affiche les traces VPN IPSec
• Système : Affiche les traces systèmes
106
Logs et monitoring
L’appli atio Stormshield Network Event Reporter offre un affichage de l’e se le

des traces stockées et archivées en local sur le firewall ou dans un fichier au format
WELF présent sur un serveur SYSLOG.
En effet, les traces peuvent être présentées sous forme de tableaux, permettant une
analyse fine et détaillée, ou sous forme de graphiques, apportant une vision
synthétique des données. La fenêtre principale est constituée:
• D’u e barre permettant de sélectionner une plage temporelle.
• D’u e sous-fenêtre (à gauche) composée de deux onglets: « Sources »
pour la sélection de la source des traces u’o souhaite visualiser (fichier
SYSLOG ou firewall) et « Traces » qui liste toutes les familles de traces.
• D’u e seconde sous-fenêtre qui permet d’affi he la famille de traces
sélectionnée.
Le SN Event Reporter offre plusieurs fonctionnalités:

• Des sélections selon des périodes prédéfinies par rapport à la date
courante ("aujou d’hui", "cette semaine", ...) ou définies manuellement.
• Des tris (croissants/décroissants) sur la valeur de chacun des champs des
évènements de sécurité enregistrés.
• Des regroupements hiérarchiques en fonction de la valeur d’u ou
plusieurs champs des évènements enregistrés.
• D’i p i e ou d’expo te les traces sous plusieurs formats: Texte, HTML,
XML, etc.
107
Logs et monitoring
108
Ce que vous allez voir dans ce module
• Généralités
• Les Objets réseaux
109
Les objets
110
Les objets
Les menus de configuration des firewalls Stormshield Network utilisent la notion

d’o jets qui ont pour but de représenter une valeur (adresse IP, adresse réseau, URL,
événement temporel, etc). L’utilisatio d’o jets au lieu de valeurs présente deux
avantages majeurs :
1. Cela permet à l’ad i ist ateu de manipuler des noms, plus parlants, que
des valeurs.
2. Dans le cas où une valeur change, il suffira de modifier la valeur au niveau
de l’o jet et non dans tous les menus où l’o jet est utilisé.
Les objets sont classés en 4 catégories:

1. Objets Réseaux: Regroupe tous les objets en relation avec les valeurs
réseaux (adresse IP, numéro de port, numéro de protocole, etc)
2. Objets Web: Groupes d’URL (ou groupes de catégories) et groupes de
noms de certificats
3. Certificats et PKI: Permet la création et la gestion des autorités de
certification et de tous les certificats (de type serveur, utilisateur, ou
smartcard) qui en découlent
4. Objets temps: Permet de créer des événements temporels
(hebdomadaire, annuel ou ponctuel) pour mettre en place de la
programmation horaire.
Dans ce module, nous nous intéresserons principalement aux objets réseaux. Les
autres objets seront décrits dans les modules où ils sont utilisés. Ainsi les objets
temps seront abordés dans le module « Filtrage » et les groupes d’URLs dans la
partie objets web du module « protection applicative ».
La partie Certificats et PKI est, quant à elle, abordée dans le cursus CSNE.
111
Les objets
La syntaxe des noms des objets doit respecter quelques restrictions définies dans le
tableau ci-dessus. De plus, elle est insensible à la casse.
La création et la configuration des objets s'effectuent :

• Dans le menu : CONFIGURATION ⇒ OBJETS
• Depuis n'importe quel autre menu via le bouton encadré dans le slide.
112
Les objets
113
Les objets
Les objets réseaux regroupent toutes les valeurs des paramètres réseaux (adresse IP,
réseau, port, etc).
La gestion de ces objets s’effe tue dans le menu CONFIGURATION ⇒ OBJETS ⇒

Objets réseaux qui contient les champs suivants:
• Barre de recherche: Effectuer une recherche sur le nom, le commentaire

ou la valeur de l’o jet.
• Filtre: Filtrer l’affi hage des objets en fonction de leur type (machine,
réseau, port, etc).
• Ajouter: Création d’u nouvel objet.
• Supprimer: Suppression d’u objet existant. Si celui-ci est utilisé dans une
configuration, une fenêtre s’affi he a pour vous permettre de : vérifier le
module dans lequel l’o jet est utilisé, forcer la suppression ou annuler la
suppression.
• Vérification de l’utilisation: Affiche dans le bandeau de gauche le ou les
menus dans lesquels l’o jet sélectionné est utilisé.
Le reste du menu est composé de deux parties :

• Liste des objets: Affiche les type, nom et valeur des objets ou le résultat
de la recherche,
• Propriétés: Affiche les paramètres de l’o jet sélectionné. La modification
des attributs de l’o jet s’effe tue depuis cet encadré.
114
Les objets
On peut distinguer deux types d’o jets particuliers en plus des objets qui peuvent
être créés :
• Objets implicites: Ils sont créés automatiquement par le firewall et

dépendent de la configuration réseau. Ces objets sont en lecture seule et
ne peuvent être ni modifiés ni supprimés par l’ad i ist ateu . Par
exemple, l’o jet « Firewall_out », créé automatiquement lo s u’u e
adresse IP est associée à l’i te fa e « OUT » ou l’o jet
« Network_internals » qui regroupe tous les réseaux accessibles via les
interfaces internes.
• Objets préconfigurés: Ils sont présents par défaut dans la liste des objets.
Ils représentent des valeurs de paramètres réseaux standardisées (ports,
protocoles, réseaux) et des valeurs nécessaires pour le fonctionnement
du firewall (adresse IP des serveurs Stormshield pour les mises à jour).
Les figures ci-dessus représentent le protocole ICMP et l’o jet
« Internet ». Ce dernier regroupe l’e se le des machines ne faisant pas
partie des réseaux internes.
115
Les objets
La fenêtre de création d’o jets est composée de plusieurs onglets, un pour chaque
type. Dans la majorité des cas, la création d’u objet consiste à définir deux champs
obligatoires, à savoir le nom et la valeur, le champ commentaire est facultatif. Il est
possible de « créer » ou de « créer et dupliquer » l’o jet, ce qui facilite la création de
plusieurs objets du même type.
Plusieurs types d’o jets existent:

• Machine: la création d’u objet machine se fait en précisant une adresse
IP, saisie manuellement ou résolue par DNS à partir du nom domaine
pleinement qualifié de l’o jet (en cliquant sur le bouton loupe à côté du
champ « Nom de l’o jet »). Si la résolution renvoie une liste d’ad esses IP,
la première adresse sera choisie. Dans le cas où l’optio « Automatique »
est cochée, l’ad esse IP est mise à jour par une nouvelle résolution toutes
les 5 minutes. L’ad esse MAC est facultative mais si elle est renseignée,
l’ad esse IP sera toujours résolue avec l’ad esse MAC spécifiée.
• Réseau: association de l’ad esse IP et du masque associé. Pour
information, le masque de l’ad esse réseau peut être saisi avec la
notation CIDR.
• Plage d’adresses IP.
• Port ou plage de ports: Chaque port peut être caractérisé par un
protocole de transport (TCP ou UDP) ou gérer les deux simultanément.
• Routeur : L’o jet routeur permet de renseigner une passerelle ou
plusieurs pour un routage par répartition de charge avec ou sans
passerelles de secours. Cette objet sera détaillé dans la partie Routage du
module Configuration Réseau.
116
Les objets
Il est possible de créer deux types de groupe d’o jets :

• Groupe: Groupe d’o jets pouvant inclure des machines, des réseaux, des
plages d’ad esses ou d’aut es groupes.
• Groupe de ports: Groupe pouvant inclure des objets ports, plage de ports
ou autres groupes de ports.
Pour ajouter un objet (ou plusieurs objets) au groupe, il suffit de sélectionner l’o jet
et de le basculer de la liste de gauche vers la liste de droite en cliquant sur le
bouton →. La suppression de l’o jet du groupe se fait par l’opé atio inverse avec le
bouton ← .
117
Les objets
118
• Modes de configuration
• Types d’i terfa es
• Routage
119
Configuration réseau
120
Trois modes de configuration existent sur l’e se le de la gamme Stormshield

Network Security:
• Mode transparent ou mode Bridge,
• Mode avancé ou mode routeur,
• Mode hybride.
Il est important de noter u’il ’existe pas d’assista t pour la configuration de ces
modes, il s’agit uniquement d’u e dénomination. La mise en œuvre de chacun des
modes s’effe tue suivant le besoin, en configurant les interfaces réseaux et les règles
de translation.
121
Grâce au mode transparent, le firewall Stormshield Network s’i t gre aisément dans
un réseau existant sans devoir en modifier sa configuration.
La particularité de ce mode est que toutes les interfaces du firewall sont incluses
dans un bridge qui porte une adresse IP du réseau local (IP utilisée pour accéder à
l’i terfa e d’ad i istratio du firewall). Ceci permet d’avoir plusieurs réseaux
physiques (un réseau par interface) partageant le même réseau logique.
La communication entre les réseaux physiques et la passerelle d’a s Internet se

fait en mode bridge (niveau 2) sans soustraire les flux transitant entre les interfaces
aux contrôles du firewall (filtrage, analyse ASQ, etc).
Dans la figure ci-dessus, le réseau local utilise une plage d’adresses privée
192.168.0.0/24 et accède à Internet via une passerelle qui assure la translation
d’adresses. Le firewall Stormshield Network est positionné en coupure des
connexions entre les machines du réseau local et la passerelle d’a s à Internet.
122
Dans le mode avancé, le firewall fonctionne comme un routeur en gérant plusieurs

réseaux logiques (adresses réseaux). Chaque interface est configurée avec un réseau
IP particulier, ce qui permet une segmentation du réseau aux niveaux physique et
logique.
Dans l’i age ci-dessus, le réseau local est composé de deux réseaux logiques : un
réseau pour les machines internes et un réseau pour les serveurs en DMZ. Chaque
réseau est connecté au firewall via une interface possédant un plan d’adressage IP
spécifique. L’adresse IP publique est configurée directement sur une interface
externe du firewall.
Dans ce mode, l’UTM Stormshield Network doit gérer les mécanismes de translation
d’adresse pour assurer l’a s à Internet au réseau local.
123
Le mode hybride est une combinaison des modes bridge et avancé. Le principe est
d'avoir plusieurs interfaces dans un bridge (même plan d’adressage) et d'autres
interfaces indépendantes avec des plans d’adressages différents.
Dans ce mode nous pouvons avoir deux cas de figure. Le premier est illustré ci-
dessus. Le réseau des machines internes et le réseau des serveurs en DMZ partage le
même plan d’adressage et ils sont connectés au firewall via des interfaces
appartenant au même bridge. La translation d’adresse doit être configurée sur le
firewall pour que le réseau local (réseau du bridge) accède à Internet via l’i terfa e
externe, configurée avec une adresse IP publique.
124
Le deuxième cas de figure est illustré ci-dessus. Le réseau des serveurs en DMZ est
configuré avec un plan d’adressage IP public. Chaque serveur disposera donc d’u e
IP publique distincte.
Ce réseau est connecté au firewall par une interface incluse dans le même bridge
que l’i terfa e externe où est connecté le routeur d’a s Internet. Les serveurs en
DMZ accèdent à Internet via le bridge et aucune translation d’adresse ’est
nécessaire (les connexions restent néanmoins soumises aux directives de filtrage et
autres analyses applicatives de l’UTM).
Le réseau des machines internes possède un plan d’adressage privé. Il est connecté
au firewall via une interface ’apparte a t pas au bridge. Par conséquent, la
translation d’adresse doit être configurée pour lui permettre un accès à Internet.
125
126
Il existe 5 types d’i terfa es sur le firewall :

• Les interfaces physiques : Le nombre d’i terfa es dépend du modèle du
firewall,
• Les interfaces bridges : association de plusieurs interfaces physiques ou
VLAN. Le nombre de bridges dépend du modèle du firewall. (rappel : dans
la configuration usine, toutes les interfaces appartiennent à un seul et
même bridge),
• Les interfaces VLAN : Segment réseau attaché à une interface physique de
l’UTM et caractérisée par un tag et un plan d’adressage spécifique. Le
nombre maximal d’i terfa es VLANs dépend du modèle du firewall,
• Les interfaces Modem : Ce type d’i terfa e permet la prise en charge
d’u e connexion entre le firewall et un modem (ADSL, RNIS, RTC, …). Les
types de connexions possibles sont : PPPoE, PPP, PPTP et 3G.
• Les interfaces GRETAP : Interface d’e apsulatio qui permet de relier
deux réseaux distants au niveau 2 (bridge). Pour cela, elle permet
d’e apsuler des paquets Ethernet à l’i térieur de paquets IP via le
protocole GRE. Les machines des deux réseaux distants communiqueront
comme s’ils faisaient partie du même LAN.
127
La configuration des interfaces s’effe tue dans le menu CONFIGURATION ⇒ Réseau

⇒ Interfaces. Le menu est constitué de trois parties :
• L’e -tête (encadré vert): offre les fonctionnalités de base pour la gestion
des interfaces.
• La liste des interfaces (encadré rouge): affiche toutes les interfaces
(physique, bridge, vlan, modem) du firewall. Il est possible de faire un
glisser-déposer sur les interfaces pour modifier leur configuration. Par
exemple, l’ajout d’u e interface à un bridge peut se faire en glissant
l’i terfa e physique et en la déposant sur l’i terfa e bridge. L’a tio
inverse est possible pour retirer une interface d’u bridge.
• La configuration de l’i terfa e (encadré bleu): composée de deux onglets
pour tous les types d’i terfa e excepté pour l’i terfa e bridge qui
possède un 3ème onglet qui permet la sélection des interfaces lui
appartenant.
128
L’e -tête contient :

• Une barre de recherche qui permet de trouver rapidement une interface.
La recherche peut s’effe tuer avec le nom, le commentaire ou l’adresse IP
de l’i terfa e.
• Ajouter : Ajout d’u e nouvelle interface de types Bridge, VLAN, Modem ou
GRETAP,
• Supprimer : Supprime l’i terfa e sélectionnée. Un message d’alerte
s’affi hera si l’i terfa e est utilisée dans un menu de configuration. Malgré
ce message, la suppression peut être forcée,
• Deux boutons pour plier/déplier l’affi hage des interfaces,
• Un bouton pour choisir le type de vue à l’affi hage: mixte, par port
physique, ou par plan d’adressage,
• Bouton pour filtrer l’affi hage des interfaces suivant leur type,
• Vérifier l’utilisation : Permet de vérifier le menu dans lequel l’i terfa e est
utilisée. Le résultat de cette vérification s’affi he dans l’e adré de gauche
sous l’e se le des menus.
129
Certains paramètres de l’o glet « configuration de l’i terfa e » changent en fonction

du type d’i terfa e (physique, bridge, vlan). La figure ci-dessus illustre les paramètres
d’u e interface physique :
• Nom : Le nom de l’i terfa e est obligatoire, ’est un nom logique différent
du nom système de l’i terfa e,
• Commentaire : paramètre facultatif pour ajouter toute remarque
informative au sujet de l’i terfa e sélectionnée,
• Port physique : indique le numéro de l’i terfa e sur le boîtier,
• VLANs attachés à l’interface : liste les VLANs enfants de l’i terfa e
sélectionnée,
• Couleur : affectation d’u e couleur distinctive à l’i terfa e, principalement
utilisée pour le monitoring via les outils de la suite d'administration.
130
• Cette interface est :

• interne (protégée) : Une interface protégée ’a epte que les
paquets provenant d’u plan d’adressage connu, tel u’u réseau
directement connecté ou un réseau défini par une route statique.
Cette protection comprend une mémorisation des machines
connectées à cette interface (protégeant ainsi contre l’usurpatio
d’ide tité), et permet de générer les règles de filtrage implicites
lors de l’a tivatio de certains services du firewall (par exemple
SSH). Une icône représentant un bouclier est apposée à toute
interface protégée.
• externe (publique) : Indique que l’i terfa e est dépourvue des
protections d’u e interface protégée et peut donc recevoir des
paquets provenant de ’i porte quel plan d’adressage (qui ne font
pas parties des plans d’adresses des interfaces interne). Ce type
d’i terfa e est utilisé principalement pour connecter le firewall à
Internet.
• Plan d’adressage :
• Aucun (interface désactivée) : Désactive l’i terfa e.
• IP dynamique (obtenue par DHCP) : Cette option indique que
l’i terfa e tentera de récupérer dynamiquement une adresse IP à
partir d’u serveur DHCP.
• Plan d’adressage hérité du bridge : Indique que l’i terfa e hérite
du plan d’adressage du bridge sélectionné dans le menu déroulant
(en sélectionnant cette option l’i terfa e fera automatiquement
partie du bridge).
• IP fixe (statique) : La sélection de cette option indique que
l’i terfa e possède une adresse IP fixe qui doit être renseignée
dans la liste ci-dessous, accompagnée d’u masque réseau. Le
masque peut être écrit aux formats numérique ou CIDR. Plusieurs
adresses IP fixes (alias) peuvent être configurées sur une même
interface. Les adresses et leur masque peuvent être
ajoutés/supprimés dans LISTE D’ADRESSES IP DE L’INTERFACE .
Aucune configuration ’est prise en considération si elle ’est pas appliquée avec le
bouton Appliquer .
131
La figure ci-dessus illustre l’o glet CONFIGURATION AVANCÉE :

• MTU : Indique la taille du MTU de l’i terfa e en octets.
• Adresse physique (MAC) : permet de forcer l’adresse MAC d’u e interface.
Toutes les interfaces physiques appartenant à un bridge héritent de son
adresse MAC.
• Activer la norme IEEE 802.3az (EEE): La norme implémente des modes de
veille pour les interfaces.
• Nom DNS (facultatif) : Indique le nom de domaine envoyé au serveur
DHCP (actif uniquement si l’i terfa e est configurée avec une IP
dynamique).
• Durée de bail demandée (secondes) : Permet de configurer la durée du
bail DHCP demandée au serveur DHCP (actif uniquement si l’i terfa e est
configurée avec une IP dynamique).
• Autoriser sans analyser : Active uniquement sur les interfaces physiques
faisant partie d’u bridge. Elle permet d’autoriser les paquets IPX (réseau
Novell), NetBIOS (sur NETBEUI), AppleTalk (pour les machines Macintosh),
PPPoE ou IPv6 entre les interfaces du bridge sans aucune analyse ni
inspection de niveau supérieur.
132
• Préserver le routage initial : Garde l’adresse MAC de destination des

trames reçues par l’i terfa e, ce qui préserve par conséquence le routage
initial des paquets. Cette option facilite l’i tégratio transparente du
firewall dans un réseau sans avoir à modifier la route par défaut des
machines.
Attention : L’a tivatio de cette option peut avoir des effets négatifs sur
certaines fonctionnalités qui nécessitent la modification des paquets par
le firewall.
• préserver les identifiants de VLAN : Conserve l’ide tifia t/tag VLAN d’u e
trame reçue par l’i terfa e. La trame est renvoyée par le firewall avec le
même tag VLAN ce qui permet d’a alyser le trafic du VLAN d’u e manière
transparente.
• Adresse de la passerelle : Elle sert au routage par interface. Si une
passerelle est définie, tout le trafic reçu par l’i terfa e sera renvoyé par le
firewall vers cette passerelle et non vers la passerelle par défaut (à
condition u’au u e autre directive de routage soit appliquée au
préalable, cf routage).
• Média : Choix de la vitesse du lien d’a s réseau utilisée par l’i terfa e.
Par défaut, la vitesse est détectée automatiquement.
• Débit : Il renseigne sur le débit de l’i terfa e. Ce paramètre ’est pas
obligatoire, il est utilisé par le monitoring pour le calcul de la bande
passante en pourcentage.
133
Les interfaces bridges possèdent un onglet supplémentaire MEMBRE DU BRIDGE,

illustré ci-dessus, qui permet d’ajouter ou de retirer des interfaces du bridge. Pour
ajouter une interface, il suffit de la sélectionner dans la fenêtre de gauche et de la
faire passer dans la fenêtre de droite en cliquant sur le bouton →. L’opératio inverse
permet de retirer une interface du bridge en cliquant sur le bouton ←.
134
L’ajout d’u e interface bridge s’effe tue en 2 étapes avec un assistant :

1. Configuration du bridge :
• Identification du bridge : nommage de l’i terfa e (champ obligatoire) et
commentaire facultatif
• Plan d’adressage : le bridge peut être configuré avec une adresse IP fixe
accompagnée d’u masque réseau ou avec une IP dynamique fournie par
un serveur DHCP. Le nom de domaine du firewall et la durée de bail
demandée peuvent être configurés également.
2. Attribution des interfaces: choix des interfaces qui seront incluses dans le bridge
et qui hériteront de ses paramètres IP.
135
Le firewall peut être raccordé à différents types de modem :

• Un modem dial-up (RNIS ou RTC): raccordé au port série.
• Un modem ADSL ou câble: raccordé à une interface Ethernet.
• Un modem 3G: raccordé au port USB. Seule le modem vendu par
Stormshield est supportée.
Le nombre maximal de modems qui peuvent être raccordés en même temps dépend
du modèle de firewall.
L’ajout d’u e interface modem démarre un assistant qui se déroule en 4 étapes :
1. Identification du modem : nommage de l’i terfa e et ajout d’u commentaire
facultatif,
2. Configuration du modem : les paramètres de ce menu changent en fonction du
type du modem choisi:
• PPPoE: Le modem doit être connecté à une interface externe qui doit
être choisie dans le paramètre Le modem est connecté à l’interface ,
• PPTP: La négociation PPTP nécessite l’adresse IP du serveur PPTP qui doit
être renseigné dans le paramètre Adresse PPTP ,
• PPP: La négociation PPP nécessite un numéro de téléphone à composer
par le modem dial-up connecté au firewall à travers le port série. Il doit
être renseigné dans le paramètre Numéro à composer ,
• 3G: La sélection du modem 3G, fait apparaître un certain nombre de
paramètres qui doivent être renseignés: Nom du point d’accès , Numéro
à composer , Adresse IP par défaut du serveur distant , Code PIN de la
carte SIM . Veuillez vous reporter à la note technique sur la connexion
modem 3G pour obtenir plus d’i for atio s sur la configuration.
136
• Demander les serveurs DNS et créer les objets machines associés : Si

cette option est cochée, le firewall récupèrera les adresses IP des
serveurs DNS et créera un objet
firewall_<nom_interface_modem>_dnsx pour chacun d’eux (x sera
remplacé par le numéro du serveur : 1 ou 2).
• Définir la taille maximum des segments TCP (MSS) pour éviter leur
fragmentation. Cette limite sera affectée à tous les profils. : L’utilisatio
d’u modem engendre l’ajout des en-têtes correspondant aux protocoles
d’e apsulatio . Cette encapsulation diminue la taille de la charge utile
des segments transmis à travers l’i terfa e modem. Pour assurer un
fonctionnement correct des connexions TCP, cette option propose la
modification du MSS (Maximum Segment Size) annoncé dans l’e -tête
TCP durant l’ouverture de la connexion.
Attention : Si cette option est cochée, le MSS de toutes les connexions
TCP qui traversent le firewall (pas seulement les connexions TCP qui
traversent l’i terfa e modem) sera fixé à 1300 octets pour les deux sens
de transmission.
3. Authentification : Permet de renseigner l’ide tifia t et le mot de passe utilisés
par la connexion modem. Ces informations sont transmises par le fournisseur
d’a s.
4. Routage : utilisation de la passerelle obtenue par le modem : Le firewall créé un
objet firewall_<nom_interface_modem>_peer pour l’adresse IP de la passerelle
récupérée auprès du serveur DHCP. Suivant l’optio cochée, cet objet peut être
ajouté ou non, aux passerelles principales ou secondaires.
137
Les réseaux virtuels (VLAN : Virtual Local Area Network) introduisent la notion de
segmentation virtuelle qui permet de constituer des sous-réseaux logiques au sein
d'une même architecture réseau physique. Tous les équipements réseaux
appartenant au même VLAN sont habilités à communiquer ensemble et forment un
domaine de diffusion. Par conséquence, l’utilisatio des VLANs dans une
architecture réseau permet d’a éliorer les performances en limitant les domaines
de diffusion et offre une meilleure sécurité en séparant les réseaux logiques.
Les VLANs se basent sur la norme 802.1q qui définit un en-tête supplémentaire de 4
octets (VLAN tag) au niveau de la trame Ethernet illustrée dans la figure ci-dessus.
Cet en-tête comprend le champ VLAN id (VID) qui permet d’ide tifier le VLAN auquel
appartient la trame. Ce champ est codé sur 12bits et il permet de définir jus u’à
4094 VLANs différents (le VLANID=0 signifie que la trame ’appartie t à aucun VLAN
et le VLANID=4095 est réservé).
Dans une architecture VLAN, les firewalls Stormshield Network peuvent se placer à
deux endroits différents:
• En extrémité de VLANs: Dans ce cas, un VLAN est associé à une interface
physique et le firewall ajoute le tag VLAN sur les paquets émis et le retire
sur les paquets reçus.
• Au cœur d’un VLAN (VLAN traversant): Cette configuration préserve le
marquage du trafic VLAN traversant le firewall. Pour cela, le VLAN est
associé à deux interfaces physiques et les deux interfaces VLANs doivent
faire partie du même bridge.
138
La création d’u e interface VLAN (extrémité ou traversant) se fait à l’aide d’u

assistant qui se lance en cliquant sur le bouton Ajouter ⇒ Ajouter un VLAN . La
première fenêtre de l’assista t permet de choisir le type d’i terfa e VLAN. Dans le
cas d’u e extrémité de VLAN, la deuxième fenêtre permet de définir :
• Interface parente : interface à laquelle sera rattaché le VLAN,
• Nom : nom de l’i terfa e VLAN,
• Commentaire : descriptif de l’i terfa e (ce paramètre est facultatif),
• Couleur : couleur de l’i terfa e au niveau des outils de monitoring,
• identifiant de VLAN : valeur du VLANID [1-4094],
• Cette interface est : choix du type de l’i terfa e: interne ou externe,
• Adresse IPv4 : adresse IP de l’i terfa e VLAN. Si ce champ est laissé vide
cela indique que l’i terfa e est configurée avec une IP dynamique (DHCP).
Une fois la deuxième page validée, la nouvelle interface VLAN est visible dans la liste
des interfaces.
139
Dans le cas d’u VLAN traversant. La deuxième et la troisième fenêtre permettent de

renseigner :
• Identification du VLAN :
• Nom : nom des deux interfaces qui seront créées. (par défaut,
« Nom_1 » sera attribué à la première interface et « Nom_2 » à la
deuxième)
• Identifiant de VLAN : valeur du VLANID [1-4094]
• Couleur : couleur de l’i terfa e au niveau des outils de monitoring.
• Plan d’adressage du VLAN :
• Bridge : choix du bridge dans lequel seront incluses les deux
nouvelles interfaces VLANs. Deux cas sont possibles : sélectionner
un bridge existant ou créer un nouveau bridge.
• Nom : nom du nouveau bridge,
• Adresse IPv4 : adresse IPv4 portée par le bridge. Si ce champ est
laissé vide cela indique que le bridge est configuré avec une IP
dynamique (DHCP). Il est important de noter que les deux
interfaces VLANs hériteront de cette adresse IP,
• Identification du VLAN entrant et Identifiant du VLAN sortant :
• Nom : nom de l’i terfa e VLAN
• Interface : interface physique à laquelle sera associée l’i terfa e
VLAN
• Cette interface est : choix du type de l’i terfa e: interne ou
externe.
La dernière page de l’assista t offre une synthèse des interfaces qui seront créées
après validation: deux interfaces VLANs et une interface bridge. Ces dernières
apparaitront dans la liste des interfaces.
140
Toutes les gammes des firewalls Stormshield Network implémentent plusieurs types
de routage
141
Le routage statique consiste à renseigner manuellement la passerelle distante à qui

sera transmis les paquets pour atteindre un réseau distant. Dans la figure ci-dessus,
trois routes statiques sont nécessaires pour atteindre les réseaux distant1, distant2
et distant3 via les routeurs R1, R2, R3.
142
La configuration des routes statiques s’effe tue dans l’e adré ROUTES STATIQUES
du premier onglet du menu CONFIGURATION ⇒ RÉSEAU ⇒ Routage.
L’e adré contient une barre de recherche et deux boutons pour ajouter ou
supprimer une route. Il contient également une fenêtre qui liste toutes les routes
statiques et leurs paramètres. Le bouton « Ajouter » ajoute une entrée à la liste. Les
paramètres qui doivent obligatoirement être renseignés sur cette ligne sont :
• Réseau de destination : Peut être un objet machine, réseau ou un
groupe.
• Passerelle : Un objet machine représente l’adresse IP de la
passerelle qui permet d’attei dre le réseau de destination.
• Interface : Choix de l’i terfa e de sortie pour atteindre la
passerelle. En se basant sur les paramètres de l’i terfa e, le
firewall renseigne automatiquement les champs plan d’adressage
et protégée. Le fait de sélectionner l’i terfa e se justifie dans le
cas d’u bridge qui peut contenir des interfaces protégées et non
protégées. Seule, la sélection de l’i terfa e permet de savoir si le
réseau doit être considéré comme protégé ou non. Dans le cas où
le plan d’adressage de l’i terfa e et de la passerelle ne sont pas
identiques, un message d’erreur annonce que « la passerelle ’est
pas routable ».
143
Avec le routage dynamique les routes sont apprises automatiquement grâce à un

protocole de routage. Les firewalls SNS utilisent le logiciel BIRD pour mettre en
œuvre le routage dynamique. BIRD implémente 3 protocoles de routage RIP, OSPF et
BGP dont les versions supportées sont renseignées dans la base de connaissances.
Dans la figure ci-dessus, le protocole de routage OSPF est activé sur l’i terfa e
« sites » du firewall pour lui permettre d’appre dre les routes pour accéder aux
réseaux distant1, distant2 et distant3.
Note : Le routage dynamique est fonctionnel seulement sur des interfaces externes
144
Depuis la version 2.1, le routage dynamique peut se configurer depuis l’i terfa e
graphique dans l’o glet ROUTES DYNAMIQUES du menu CONFIGURATION ⇒
RÉSEAU ⇒ Routage. Avec les anciennes versions la configuration s’effe tue
seulement en ligne de commande depuis une console.
145
Le routage par politique permet de spécifier une route (passerelle) au niveau des
règles de filtrage. Ce qui permet de renvoyer un flux vers une passerelle différente de
la passerelle par défaut.
Un exemple est illustré dans la figure ci-dessus ; le trafic des emails sortants est
renvoyé vers la passerelle « ISP2 » et le reste du trafic est renvoyé vers la passerelle
« ISP1 ».
146
La mise en œuvre d’u e directive de routage par politique s’effe tue au niveau du
champ Action d’u e règle de filtrage. Deux types d’o jet peuvent être renseignés au
niveau de ce champ :
• Un objet machine : Pour spécifier une passerelle.

• Un objet routeur : Permet d'utiliser un objet routeur précédemment configuré et
d'attribuer ses paramètres d'équilibrage et de répartition de charge à la règle de
filtrage
147
Ce type de routage permet de spécifier une passerelle en fonction de l’i terfa e.

Ainsi, tout le trafic reçu par cette interface est renvoyé vers cette passerelle.
Dans la figure ci-dessus, le trafic reçu par l’i terfa e « IN » est renvoyé vers la
passerelle « ISP2 » et le trafic reçu par l’i terfa e « dmz1 » est renvoyé vers la
passerelle « ISP1 ».
148
Le routage par interface se configure au niveau des paramètres avancés des

interfaces.
149
Le trafic qui ’est pas routé par les précédents types de routage (statique +
dynamique, par interface, load balancing) est renvoyé vers la passerelle par défaut.
150
La passerelle par défaut est renseignée dans l’o glet ROUTES STATIQUES du menu
CONFIGURATION ⇒ RÉSEAU ⇒ Routage. Au niveau du paramètre Passerelle par
défaut (routeur). Ce paramètre peut prendre comme valeur :
• Un objet machine : Pour spécifier une seule passerelle par défaut sans test de
disponibilité, sans répartition de charge et sans passerelle de secours.
• Un objet router : Dans le cas où l’o souhaite renseigner plusieurs passerelles

pour utiliser un objet routeur précédemment configuré et d'attribuer ses
paramètres d'équilibrage et de répartition de charge à la règle de filtrage
151
La répartition de charge permet de répartir les connexions sortantes vers plusieurs

passerelles. La répartition peut être équitable, comme elle peut être pondérée pour
que chaque passerelle reçoive un pourcentage spécifique du trafic global. Le mode
de répartition peut être basé sur la source ou sur la connexion qui utilise à la fois la
source et la destination.
La figure ci-dessous illustre un exemple dans lequel l’e se le des connexions

sortantes sont réparties vers les passerelles « ISP1 » et « ISP2 » selon un mode de
répartition choisi (par source ou par connexion).
En utilisant les objets routeur, la répartition de charge peut être appliquée au trafic
envoyé vers la passerelle par défaut ou bien pour un trafic particulier via le routage
par politique. Dans le premier cas, l’o jet routeur doit être spécifié comme
passerelle par défaut du firewall (voir de slide 33), dans le deuxième cas l’o jet
routeur doit être renseigné dans le paramètre passerelle du champ Action d’u e
règle de filtrage (voir le slide 29).
152
La configuration d’u routage par répartition de charge s’effe tue dans un objet
routeur. Les différentes passerelles doivent être ajoutées dans l’o glet LISTE DES
PASSERELLES UTILISÉES. Chaque ligne permet de renseigner :
• La passerelle avec un objet machine
• Test de disponibilité : Permet de tester la disponibilité de la passerelle en utilisant
des pings. Ce paramètre peut avoir plusieurs valeurs :
• Pas de test de disponibilité : La disponibilité de la passerelle ’est pas
testé
• Tester directement la passerelle : Des pings sont envoyés directement à la
passerelle pour tester sa disponibilité.
• Une machine ou un groupe de machines, se trouvant derrière la
passerelle, vers lesquelles les pings sont envoyés pour tester la
disponibilité et le fonctionnement de la passerelle.
Par défaut, l’état de chaque passerelle est vérifié chaque 15s en envoyant un
ping à chaque machine renseignée. Dans le cas où aucune réponse ’est
reçue au bout de 2s, le firewall recommencera 3 fois, avant de considérer la
passerelle indisponible.
Note : On ne peut pas tester la disponibilité des passerelles récupérées

automatiquement par DHCP ou par une interface modem.
153
• Poids : Spécifie le poids de chaque passerelle qui permet de calculer le

pourcentage de de trafic qui lui sera transmis. Le pourcentage de chaque
� � �
passerelle est calculé comme suit � .
� � �
Par exemple, Poids GW1 = 5, poids GW2 = 4, poids GW3 =1 => La GW1 recevra
50% du trafic, la GW2 40% et la GW3 10%. La valeur d’u poids doit être comprise
entre 1 et 1024.
L’algorith e utilisé pour répartir le trafic entre les passerelles peut être configuré au
niveau du paramètre Répartition de charge dans la configuration avancée :
• Aucune répartition : Le trafic est transmis exclusivement à la première passerelle
qui apparait dans la liste.
• Par connexion : Répartit le trafic en fonction de l’adresse source et destination.
Cette algorithme est recommandé parce u’il permet de répartir également les
connexions provenant d’u e même machine.
• Par Adresse IP source : Répartit le trafic en fonction de l’adresse source. Il permet
de s’assurer que le trafic d’u e machine sera toujours renvoyé vers la même
passerelle.
Dans le cas où aucune passerelle ’est joignable, le comportement du firewall peut

être configuré au niveau du paramètre Si aucune passerelle n'est disponible :
• Routage par défaut : Le trafic est transmis à la première passerelle qui apparait
dans la liste même si elle ’est pas disponible.
• Ne pas router : Le trafic est bloqué au niveau du firewall. Cette directive
fonctionne seulement lorsque l’o jet routeur est utilisé
Ce paramètre est fonctionnel seulement si l’o jet routeur est utilisé dans une règle
de filtrage pour un routage par politique.
La répartition de charge peut fonctionner avec 64 passerelles au maximum.
154
Un objet routeur permet également de spécifier une liste de passerelles de secours

qui seront utilisées dans le cas où une, plusieurs ou toutes les passerelles principales
sont indisponibles.
Dans l’exe ple illustré ci-dessus, la passerelle « ISP2 » est considérée comme une
passerelle de secours qui sera utilisée pour tous le trafic seulement si la passerelle
« ISP1 » ’est plus disponible.
Il est important de noter que grâce aux objets routeur, les passerelles de secours
peuvent être utilisées pour le trafic envoyé à la passerelle par défaut ou bien
seulement pour un trafic particulier en utilisant le routage par politique.
155
Plusieurs passerelles de secours peuvent être ajoutées dans l’o glet LISTE DES
PASSERELLES DE SECOURS d’u objet routeur. Pour chaque passerelle de secours, on
peut définir un équipement de test et un poids à l’i star des passerelles principales.
La configuration avancée permet de configurer l’a tivatio des passerelles de
secours:
• Lorsque toutes les passerelles sont injoignables
• Lorsqu'au moins une passerelle est injoignable
• Lorsque le nombre de passerelles joignables est inférieur à un certain seuil.
(1<seuil≤ nombre de passerelles principales)
L’ordre des passerelles de secours est important parce que seule la première
passerelle joignable dans la liste est utilisée à part si l’optio Activer toutes les
passerelles de secours en cas d'indisponibilité est sélectionnée. Dans ce dernier
cas, toutes les passerelles de secours seront utilisées.
64 passerelles de secours au maximum peuvent être renseignées.
156
La figure ci-dessus illustre l’ordre d’appli atio des différents types de routage dans
la version V1.x.
157
En version V2.x, la priorité du routage a été modifiée. La figure ci-dessus présente la

priorité par défaut d’u e version V2.x dans lequel le routage par politique est plus
prioritaire par rapport aux autres types de routage. Cependant, il est important de
noter que :
• Il est possible de revenir à la priorité de routage définie en version V1.x en
modifiant un paramètre accessible seulement en ligne de commande,
• La priorité définie en version V1.x est maintenue après une migration d’u e
version V1.x vers une version V2.x.
Note :
• Dans le cas où un objet routeur est utilisé dans le routage par politique et aucune
passerelle n’est joignable, deux options sont possibles : le routage est délégué au
routage par défaut ou bien le trafic est bloqué par le firewall. Ces options ne sont
pas possibles si l’objet routeur est utilisé dans le routage par défaut.
158
La route de retour permet de spécifier l’i terfa e de sortie pour atteindre une
passerelle distante. Ce type de route est utilisé pour forcer le flux sortant d’u e
connexion entrante à repasser via l’i terfa e d’e trée de la connexion.
La figure ci-dessus illustre un exemple dans lequel on dispose de deux accès WAN.
L’a s « ISP1 » est réservé exclusivement aux flux emails (entrants et sortants).
L’a s « ISP2 » est utilisée comme sortie par défaut pour les autres flux.
Sans route de retour, les réponses des connexions emails entrantes via l’i terfa e
« ISP1 » peuvent être renvoyées via l’i terfa e « ISP2 ».
Note : Les routes de retour sont prioritaires sur tous les autres types de routage.
159
La configuration d’u e route de retour s’effe tue dans l’o glet ROUTE de RETOUR du
menu CONFIGURATION ⇒ RÉSEAU ⇒ Routage. Il faut ajouter une ligne pour chaque
route, dans laquelle il faut spécifier la passerelle et l’i terfa e qui permet de lui
accéder. Pour les interfaces possédant une couche Ethernet, il faut spécifier les
adresses IP et MAC de la passerelle.
160
Contrairement à une transmission unicast où un exemplaire d’u flux est envoyé à

chaque destinataire, une transmission multicast permet de diffuser un seul
exemplaire d’u flux vers un groupe de destinataires identifié par une adresse IP
multicast (classe D 224.0.0.0/8 à 239.255.255.255/8). Ce mode de transmission est
utilisé principalement pour diffuser des flux multimédia temps réel (Radios, TVs,
conférences, etc). Pour recevoir un flux, l’utilisateur doit s’a o er au groupe
multicast en utilisant le protocole IGMP (Internet Group Management Protocol). Les
requêtes IGMP sont reçues par le routeur d’a s qui doit gérer les groupes multicast
(abonnement, désabonnement, vérifier la présence des abonnés) au niveau du
réseau interne et récupérer les flux multicast en utilisant un protocole de routage
multicast (PIM-SM, PIM-DM, PIM-BIDIR, PIM-SSM, DVMRP et MOSPF) avec les autres
routeurs.
Le routage multicast statique implémenté au niveau des Firewalls SNS permet de

renvoyer un flux multicast reçu par une interface vers une autre interface, quelque
soit leur type (physique, BRIDGE, VLAN, GRE, GRETAP) à l’ex eptio des interfaces
IPSec et HA (utilisée dans un cluster de haute disponibilité). Dans l’exe ple ci-
dessus, le serveur dans le réseau DMZ transmet deux flux multicast (GROUP1 et
GROUP2) qui sont reçus par l’i terfa e DMZ1. Le GROUP1 et le GROUP2 sont routés
respectivement à destination de l’i terfa e LAN1 et LAN2 pour que chaque flux soit
reçu seulement par les stations connectées au réseau de l’i terfa e de destination.
Note :
• Pour le moment, les firewalls SNS ne permettent pas de gérer les groupes
multicast en utilisant IGMP et ’i plé e te t pas de protocoles de routage
multicast. Ces intégrations sont prévues dans les prochaines versions.
161
La configuration du routage multicast statique s’effe tue dans le menu

CONFIGURATION ⇒ RÉSEAU ⇒ Routage multicast
Pour ajouter une route, il suffit de cliquer sur Ajouter qui lance un assistant dont la
première fenêtre permet de renseigner l’adresse ou le réseau multicast et l’i terfa e
source. La deuxième fenêtre, quand-à-elle, permet de renseigner les interfaces de
destination.
Enfin, il faut activer le routage en cochant le paramètre Activer le routage multicast

statique.
162
163
164
165
• Généralités
• Translation dynamique
• Translation statique par port
• Translation statique
• Menu « NAT »
• Ordre d’appli atio des règles de NAT
166
Translation d'adresses
167
Les mécanismes de translation d’ad esses ont été mis au point pour faire face à la
pénurie d’ad esses IP publiques. Le principe de base consiste à utiliser des adresses
IP privées, définies par l’IANA (Internet Assigned Numbers Authority) et renseignées
par la RFC 1918 (tableau ci-dessus), au niveau d’u réseau local et de le relier à
Internet à travers une seule adresse IP publique.
168
169
Dans la majorité des cas, ce type de translation est mis en œuv e pour permettre à
un réseau local configuré avec des adresses IP privées d’a éde à Internet via une
seule adresse IP publique.
La figure ci-dessus illustre le fonctionnement de ce type de translation lorsque la

machine « @privA » accède à un serveur WEB « @web » sur internet. Le paquet IP
transmis par la machine « @privA » vers le serveur « @web » est intercepté par le
firewall qui remplace l’ad esse IP source « @privA » par l’ad esse IP publique du
firewall « @pub_fw » et le port source « xxxx » (ce port est choisi par le système
d’exploitatio de la machine « @privA ») par un port dans la plage [20000-59999]. Le
firewall garde dans sa mémoire la correspondance de translation entre (l’ad esse IP
« @privA »/port source « xxxx ») et (l’ad esse IP « @pub_fw »/port source 20000).
Cette correspondance est utilisée pour translater les réponses en provenance du
serveur WEB en remplaçant (l’ad esse IP destination « @pub_fw »/port destination
2000) par (l’ad esse IP destination « @privA »/port destination « xxxx »).
170
La modification du port source se justifie principalement dans le cas où deux

machines « @privA » et « @privC » utilisent le même port source pour ouvrir une
connexion vers le même serveur WEB. Si le port source ’est pas modifié par le
firewall, le serveur web recevra deux demandes de connexion arrivant de la même
adresse IP publique « @pub_fw » et même port source ce qui peut engendrer un
dysfonctionnement des deux connexions et une ambiguïté de translation des
réponses au niveau du firewall. Ce dernier ne pourra pas savoir à quelle machine il
faudra renvoyer les réponses reçues du serveur.
Les ports sources fixés par le firewall sont choisis dans une plage prédéfinie appelée
ephemeral_fw [20000-59999]. Par défaut, les ports sont choisis séquentiellement
dans la plage, cependant une option est disponible pour permettre un choix
aléatoire.
171
172
Ce type de translation, appelé communément « redirection de port », permet de

rendre accessible des services hébergés dans un réseau local via une seule adresse
IP publique.
La figure ci-dessus illustre l’exe ple d’u serveur web local « @priv_web »
accessible depuis internet sur l’ad esse IP publique du firewall « @pub_fw ». Au
niveau du firewall, une règle de translation est créée pour la correspondance entre
(l’ad esse IP publique destination « @pub_fw »/port destination 80) et (l’ad esse IP
du serveur local « @priv_web »/port destination 80).
Ainsi, le paquet émis par la machine « @client » vers l’ad esse IP « @pub_fw » sur le
port 80 est modifié pour être renvoyé vers le serveur web sur le même port. Et la
réponse renvoyée par ce serveur est également modifiée en conséquence avant
d’ t e renvoyée vers la machine « @client ». Il est important de noter que les ports
destination avant et après translation peuvent être différents.
173
Il est possible de rendre accessibles plusieurs services hébergés sur plusieurs

se veu s lo aux via u e seule ad esse IP pu li ue o e l’illust e la figu e i-dessus.
La distinction entre les serveurs se base uniquement sur le numéro de port du
service.
174
175
Ce type de translation permet de dédier une adresse IP publique à un serveur local

configuré avec une adresse IP privée. Ceci suppose u’o dispose d’au moins deux
adresses IP publiques : « @pub_fw » configurée sur l’i te fa e externe du firewall et
« @pub_web » employée au niveau des règles de translation.
La translation dynamique doit être bidirectionnelle, ce qui signifie que le serveur

local est accessible pour les connexions entrantes, depuis Internet, avec son adresse
IP publique et les connexions sortantes initiées par ce serveur vers internet doivent
avoir comme source la même adresse IP publique. Ceci se traduit par deux règles de
translation : une règle pour les connexions entrantes et une autre règle pour les
connexions sortantes.
La figure ci-dessus, illustre les modifications que subissent les paquets d’u e
connexion entrante vers un serveur web local en se basant sur la règle de translation
qui fait la correspondance entre (l’ad esse IP publique destination « @pub_web
»/port destination 80) et (l’ad esse IP du serveur local « @priv_web »/port
destination 80).
Ainsi, le paquet émis par la machine « @client » vers l’ad esse IP « @pub_web » sur
le port 80 est modifié pour être renvoyé vers le serveur web sur le même port. Et la
réponse renvoyée par ce serveur est également modifiée en conséquence avant
d’ t e renvoyée vers la machine « @client ». Il est important de noter que les ports
176
La figure ci-dessus, illustre les modifications que subissent les paquets d’u e
connexion sortante initiée par le serveur web local vers un serveur sur internet en se
basant sur la règle de translation qui fait la correspondance entre (l’ad esse IP privée
source « @priv_web »/port source « any ») et (l’ad esse IP source publique «
@pub_web »/port source « any »).
Ainsi, le paquet émis par le serveur « @priv_web » vers une adresse IP sur internet
sur ’i po te quel port est modifié pour remplacer l’ad esse source
« @priv_web »/port source « any » par l’ad esse source « @pub_web »/port source
« any ». La réponse renvoyée par le serveur externe est aussi modifiée en
conséquence avant d’ t e renvoyée vers le serveur web local. Il est important de
noter que les ports source avant et après translation peuvent être restreints à un
numéro de port particulier et ils peuvent être différents.
177
Si on dispose de plusieurs adresses IP publiques, il est possible de dédier pour

chaque serveur une adresse IP spécifique. Chaque serveur nécessite deux règles de
translation présentées ci-dessus.
178
Étant donné que les adresses IP publiques virtuelles ne sont pas configurées au
niveau de l’i te fa e externe du firewall, ce dernier ne répondra pas aux requêtes
ARP pour la résolution de ces adresses IP en adresse MAC du firewall.
Afin de résoudre ce problème, la publication ARP des adresses IP publiques virtuelles

est nécessaire pour le fonctionnement de la translation statique. Elle permet
d’ajoute une entrée dans la table ARP du firewall pour faire la correspondance entre
chaque adresse IP publique virtuelle et l’ad esse MAC de l’i te fa e externe. Ce qui
permet au firewall de répondre aux requêtes ARP pour la résolution de ces adresses
IP et de recevoir ainsi tous les paquets à leur destination comme l’illust e la figure ci-
dessus.
179
180
Dans les firewalls Stormshield Network, les règles de filtrage et NAT (translation
d’ad esses sont regroupées sous une même politique. Il est possible de définir 10
politiques différentes mais une seule politique est active à la fois, identifiée par
l’i ô e :
181
La configuration des règles de filtrage et NAT s’effe tue dans le

menu CONFIGURATION ⇒ POLITIQUE DE SÉCURITÉ ⇒ Filtrage et NAT.
L’e t te du menu permet :
• La sélection de la politique de filtrage et NAT grâce à une liste déroulante.
• Activer cette politique : Permet l’a tivatio de la politique sélectionnée.
• Éditer :
• Renommer : Modifie le nom de la politique.
• Réinitialiser : Remet les règles de filtrage et NAT par défaut.
• Copier vers : Copie une politique vers une autre.
Le reste du menu est composé de deux onglets :
• Filtrage : Pour la configuration des règles de filtrage.
• NAT : Pour la configuration des règles de translation d’ad esses.
182
L’o glet NAT est composé d’u entête pour la gestion des règles de translation:
• Nouvelle règle :
• Règle standard : Ajouter une règle de translation standard.
• Règle de partage d’adresse source (masquerading) : Ajouter une
règle pour la translation dynamique en précisant la plage de port
ephemeral_fw.
• Séparateur – regroupement de règles : Ajouter un séparateur de
règles qui regroupe toutes les règles se trouvant au dessous, ce qui
permet de fermer le séparateur pour masquer l’affi hage de toutes
les règles lui appartenant. De plus, le séparateur peut être
personnalisé par une couleur et un commentaire.
• Règle de NAT statique (bimap) : Lancer un assistant qui facilite
l’ajout de règles de translation statique bimap.
• Supprimer : Supprimer la/les règle(s) sélectionnée(s).
• Monter / Descendre : Monter ou descendre la/les règle(s) sélectionnée(s)
d’u e position dans la liste.
• Tout dérouler / Tout fermer : Dérouler/fermer tous les séparateurs pour
afficher/cacher les règles de NAT.
183
• Couper : Couper la/les règle(s) sélectionnée(s).

• Copier : Copier la/les règle(s) sélectionnée(s).
• Coller : Coller la/les règle(s) auparavant copiée(s)/coupée(s) de la même
ou d’u e autre politique.
• Réinitialiser les statistiques des règles : Réinitialiser les compteurs de
toutes les règles filtrage et NAT de la politique. En positionnant la souris
sur l’i ô e, la date de la dernière réinitialisation s’affi he.
• Reinit Colonnes : Réinitialiser l’affi hage des colonnes qui compose la
fenêtre des règles.
184
La fenêtre des règles est composée de plusieurs colonnes listées ci-dessous :

• Numéro de la règle et un indicateur (encadré en bleu) sur le nombre de
fois que la règle a été utilisée. Le compteur numérique s’affi he en
mettant la sourie au-dessus de l’i di ateu . Il peut afficher 4 couleurs qui
sont le résultat d’u rapport mathématique entre le nombre de hits de la
règle et le nombre de hits maximum atteint par une règle dans le même
slot:
• Blanc (vide) : la règle ’a jamais été appliquée,
• Bleue : la valeur affichée est comprise entre 0 et 2% du hit
maximal,
• Vert : la valeur affichée est comprise entre 2% et 20% du hit
maximal,
• Orange : la valeur affichée est supérieure ou égale à 20% du hit
maximal et est supérieure à 10 000 hits.
• État : Permet d’a tive /désa tive une règle de translation.
• Trafic original (avant translation) : Permet d’ide tifie le trafic qui doit
être translaté. L’ide tifi atio peut se faire avec différents paramètres :
• Source : L’ad esse IP ou le réseau source du trafic original
• Destination : L’ad esse IP ou le réseau destination du trafic original
• Port de dest : Le port source du trafic
185
• Trafic après translation : Permet de renseigner les nouvelles valeurs des

paramètres après translation. Dans le cas où cette partie ’est pas
renseignée, le trafic gardera les valeurs originales.
• Source : L’ad esse IP ou le réseau source.
• Port src : Port source.
• Destination : L’ad esse IP ou le réseau source.
• Port dest : Port destination.
• Options : Permet de tracer le trafic qui correspond à la règle de
translation. Elle permet aussi d’a tive le NAT dans le tunnel IPSec.
• Commentaire : Permet d’ajoute un commentaire. La date, l’heu e,
l’ad i ist ateu et l’ad esse IP du PC d’ad i ist atio sont ajoutés par
défaut lors de la création de la règle.
186
L’affi hage des colonnes de la fenêtre peut être personnalisé en cliquant sur l’i ô e
indiquée par la flèche bleue ci-dessus, ensuite sur colonnes. Il suffit de sélectionner
une colonne pour u’elle s’affi he.
Les règles de NAT peuvent être déplacées dans la fenêtre par un glisser/déposer en
cliquant à gauche sur le numéro de la règle. Enfin, les nouvelles règles ajoutées
doivent être sauvegardées et activées explicitement avec le bouton sauvegarder et
activer.
187
Les paramètres d’u e règle peuvent être renseignés directement dans la fenêtre des
règles ou sur une nouvelle fenêtre qui s’affi he en double cliquant sur ’i po te quel
paramètre de cette règle. Cette fenêtre permet aussi l’a s aux paramètres de
configuration avancée.
Les valeurs des paramètres étant des objets, ils peuvent être copiés d’u e règle à
une autre par un simple glisser/déposer.
188
La règle de NAT dynamique est créée avec le bouton Nouvelle règle ⇒ règle de
partage d’adresse source (masquerading) qui ajoute automatiquement la plage de
ports ephemeral_fw au niveau du port src dans le trafic après translation.
La figure ci-dessus présente un exemple d’u e règle de NAT dynamique avec les
principaux paramètres qui doivent être renseignés. Dans la section Trafic original
(avant translation), la source représente le réseau interne Network_in accessible
depuis l’i te fa e « in » qui veut accéder à ’i po te quelle destination sur
’i po te quel port destination. Dans la section Trafic après translation, la source
est modifiée par l’ad esse IP publique portée par l’i te fa e « out » et le port source
est translaté part un numéro de port dans la plage ephemeral_fw.
Il est conseillé de cocher l’optio choisir aléatoirement le port source translaté qui
permet de choisir aléatoirement un numéro de port dans la plage ephemeral_fw
pour les nouvelles connexions. Cette option offre une protection contre certaines
attaques en rendant le port translaté moins prédictible.
189
La règle de NAT statique par port est créée à partir d’u e règle standard. Un exemple
est présenté dans la figure ci-dessus.
Dans la section Trafic original, la source représente ’i po te quelle machine sur le
réseau public, ayant pour destination l'adresse IP publique du firewall sur le port 80
(HTTP). Dans la section trafic après translation, l'adresse IP destination est
remplacée par l’ad esse IP privée du serveur et le numéro de port 80 (HTTP) est
maintenu comme port destination. Il est important de noter que les ports
190
Les règles de NAT statiques sont créées avec Nouvelle règle ⇒ règle de NAT statique
(bimap) qui lance un assistant pour renseigner les informations suivantes :
• Machine(s) privée(s) : L’ad esses IP privée du serveur en interne
• Machine(s) virtuelle(s) : L’ad esse IP publique virtuelle dédiée au serveur
interne
• Uniquement sur l’interface : L’i te fa e externe depuis laquelle le serveur
est accessible avec son adresse IP publique virtuelle.
• Uniquement pour les ports : La règle de NAT statique permet de translater
tous les ports, cependant, il est possible de la restreindre en spécifiant un
ou une plage de ports au niveau de ce paramètre. Il est conseillé de laisser
cette valeur à Any et de restreindre le port directement dans les règles de
filtrage.
• publication ARP : Activer la publication ARP pour l’ad esse IP publique.
L’exe ple illustré dans la figure ci-dessus translate statiquement un serveur FTP
interne identifié par une adresse IP privée srv_ftp et une adresse IP publique
virtuelle dédiée srv_ftp_pub.
L’assista t ajoute deux règles NATs. La première règle pour la translation du flux
sortant du serveur interne vers le réseau public et la deuxième pour le flux entrant à
destination de l’ad esse IP publique virtuelle. Les deux règles peuvent être modifiées
par la suite indépendamment l’u e de l’aut e.
191
192
L’o d e d’appa itio des règles de translation dans la liste est très important, il définit
l’o d e dans lequel les nouvelles connexions sont confrontées aux règles de
translation. Ainsi, une nouvelle connexion sera confrontée aux règles en partant de
la première dans la liste jus u’à la dernière. Dans le cas où la connexion correspond
à une règle, la translation définie par cette règle est appliquée et la connexion ’est
plus confrontée aux règles suivantes.
Ce principe de fonctionnement peut engendrer une situation de recouvrement si les

règles ne sont pas ordonnées d’u e manière cohérente. Un exemple est illustré dans
la figure ci-dessus, la deuxième règle de translation ne sera jamais utilisée parce
u’elle est recouverte par une règle plus globale située au-dessus dans la liste
(L'adresse IP de l'objet public_IP est incluse dans l'objet Internet).
Le firewall embarque un moteur de cohérence permettant de détecter ce type de
recouvrement qui est signalé à l’ad i ist ateu par un message d’ale te affiché en
bas de fenêtre.
Note: Une solution simple pour cet exemple consiste à inverser l’ordre des deux règles
de translation.
193
194
• Généralités
• La notion de « stateful »
• L’ordo a e e t des règles de filtrage et de translation
• Menus « filtrage »
• L’a alyseur de cohérence et de conformité
195
Filtrage
196
Filtrage
Grâce à la politique de filtrage, l’ad i istrateur est capable de définir les règles qui
permettront d’autoriser ou de bloquer les flux au travers de l’UTM Stormshield
Network. Selon les flux, certaines inspections de sécurité (analyse antivirale, analyse
antispam, filtrage URL, …) peuvent être activées (nous détaillerons ces analyses dans
le module « Protection applicative »). Les règles de filtrage définies devront
respecter la politique de sécurité de l’e treprise.
Pour définir un flux, une règle de filtrage se base sur de nombreux critères ; ce qui
offre un haut niveau de granularité. Parmi ces critères, il est notamment possible de
préciser:
• L’adresse IP source et/ou destination,
• L’i terfa e d’e trée et/ou sortie,
• L’adresse réseau source et/ou destination,
• La valeur du champ DSCP,
• Le service TCP/UDP (n° de port de destination),
• Le protocole IP (dans le cas d’ICMP, le type de message ICMP peut être
précisé),
• L’utilisateur ou le groupe d’utilisateurs devant être authentifié.
Le nombre de règles de filtrage actives dans une politique est limité. Cette limite
dépend exclusivement du modèle de firewall.
Le premier paquet appartenant à chaque nouveau flux reçu par l’UTM est confronté
aux règles de filtrage de la première à la dernière ligne. Il est donc recommandé
d’ordo er au mieux les règles de la plus restrictive à la plus généraliste.
Par défaut, tout trafic qui ’est pas autorisé explicitement par une règle de filtrage
est bloqué.
197
Filtrage
198
Filtrage
Les firewalls Stormshield Network utilisent la technologie SPI (Stateful Packet

Inspection) qui leur permet de garder en mémoire l’état des connexions TCP et des
pseudo-connexions UDP et ICMP afin d’e assurer le suivi et de détecter
d’éve tuelles anomalies ou attaques. La conséquence directe de ce suivi « Stateful »
est l’autorisatio d’u flux par une règle de filtrage uniquement dans le sens de
l’i itiatio de la connexion; les réponses faisant partie de la même connexion sont
implicitement autorisées. Ainsi, nous ’avo s nul besoin d’u e règle de filtrage
supplémentaire pour autoriser les paquets réponses d’u e connexion établie au
travers du firewall.
199
Filtrage
200
Filtrage
Dans les firewalls Stormshield Network, les règles de filtrage et de NAT sont
organisées en différents niveaux appelés « slot » représentés selon leur priorité dans
la figure ci-dessus :
• Le filtrage implicite : Regroupe les règles de filtrage pré-configurées ou
ajoutées dynamiquement par le firewall pour autoriser ou bloquer certains
flux après l’a tivatio d’u service. Par exemple, une règle implicite
autorise les connexions à destination des interfaces internes de l’UTM sur
le port HTTPS (443/TCP) afin d’assurer un accès continu à l’i terfa e
d’ad i istratio Web. Autre exemple, dès l’a tivatio du service SSH, un
ensemble de règles implicites sera ajouté pour autoriser ces connexions
depuis toutes les machines des réseaux internes.
• Le filtrage global : Regroupe les règles de filtrage injectées au firewall
depuis l’outil d’ad i istratio « Global Manager » ou après affichage des
politiques globales.
• Le filtrage local : Représente les règles de filtrage ajoutées par
l’ad i istrateur depuis l’i terfa e d’ad i istratio .
• Le NAT implicite : Regroupe les règles de NAT ajoutées dynamiquement
par le firewall. Ces règles sont utilisées principalement lors de l’a tivatio
de la haute disponibilité.
• Le NAT global : à l’i star du filtrage global, il regroupe les règle de NAT
injectées au firewall depuis l’outil d’ad i istratio « Global Manager » ou
après affichage des politiques globales.
• Le NAT local : Regroupe les règles de NAT ajoutées par l’ad i istrateur
depuis l’i terfa e d’ad i istratio .
201
Filtrage
Chaque paquet reçu est confronté aux règles de filtrage des différents slots suivant
l’ordre présenté dans la figure ci-dessus. Dès que les éléments du paquet
correspondent à une règle dans un slot, l’a tio de la règle (bloquer ou autoriser) est
appliquée et le paquet ’est plus confronté aux règles suivantes. Si aucune règle de
filtrage ne correspond, le paquet est bloqué par défaut.
Dans le cas où le paquet est autorisé, il est confronté aux règles de NAT des
différents slots toujours suivant l’ordre présenté ci-dessus.
202
Filtrage
203
Filtrage
Les règles implicites sont accessibles depuis le menu CONFIGURATION ⇒ POLITIQUE

DE SÉCURITÉ ⇒ Règles implicites. Chaque règle peut être activée/désactivée.
Note : La modification de l’ tat de ces règles a un impact direct sur le fonctionnement

des services du firewall. Pour que le service concerné fonctionne toujours, il faut
s’assurer au préalable que le flux est autorisé par les règles de priorité moindre telles
que globales ou locales.
204
Filtrage
Pour afficher les règles globales, il faut cocher l’optio Afficher les politiques
globales (Filtrage, NAT, VPN IPsec et Objets) dans le menu Préférences accessible
directement depuis l’i ô e de l’e -tête encadré en rouge. Cette option fait
apparaître dans l’e -tête du menu CONFIGURATION ⇒ POLITIQUE DE SÉCURITÉ ⇒
Filtrage et NAT une liste déroulante qui permet de sélectionner les politiques
globales ou locales. Par défaut, aucune règle de filtrage et NAT ’est présente dans
les slots globaux.
205
Filtrage
Les règles de filtrages font partie d’u e politique présentée précédemment dans le
module « Translation d’adresse ».
L’o glet FILTRAGE est composé d’u en-tête pour la gestion des règles de filtrage:
• Nouvelle règle :
• Règle standard : Ajouter une règle de filtrage standard. Par défaut,
une nouvelle règle est désactivée et tous ses critères sont
paramétrés à Any.
• Séparateur – regroupement de règles : Ajouter un séparateur qui
regroupe toutes les règles se trouvant au-dessous (ou jus u’au
prochain séparateur). Cela permet de faciliter l’affi hage d’u e
politique contenant un nombre de règles important. Le séparateur
peut être personnalisé par une couleur et un commentaire.
• Règle d’authentification : Démarrer un assistant facilitant l’ajout
d’u e règle dont le rôle est de rediriger les connexions des
utilisateurs non-authentifiés vers le portail captif (voir module
« Utilisateurs et Authentification » pour plus de détails à ce sujet).
• Règle d’inspection SSL : Démarrer un assistant qui facilite l’ajout de
règles pour l’a tivatio du proxy SSL.
• Règle de proxy HTTP explicite : Démarrer un assistant qui facilite
l’ajout de règles pour l’a tivatio du proxy HTTP explicite.
• Supprimer : Supprimer une règle.
• Monter / Descendre : Monter ou descendre la/les règle(s) sélectionnée(s)
d’u e position dans la liste.
206
Filtrage
• Tout dérouler / Tout fermer : Dérouler/Fermer tous les séparateurs pour

afficher/cacher les règles de filtrage.
• Couper : Couper la/les règle(s) sélectionnée(s).
• Copier : Copier la/les règle(s) sélectionnée(s).
• Coller : Coller la/les règle(s) auparavant copiée(s)/coupée(s) de la même
ou d’u e autre politique.
• Réinitialiser les statistiques des règles : Réinitialiser les compteurs
d’utilisatio de toutes les règles de filtrage et NAT de la politique active. La
date de la dernière réinitialisation s’affi he en positionnant la souris sur
l’i ô e.
• Reinit Colonnes : Réinitialiser l’affi hage des colonnes qui composent la
fenêtre des règles comme le prévoit l’affi hage par défaut.
207
Filtrage
La fenêtre des règles est composée de plusieurs colonnes listées ci-dessous :

• Numéro de la règle et un indicateur (encadré en bleu) sur le nombre de
fois où les éléments du paquet reçu correspondent aux critères de la règle
de filtrage. Le compteur numérique s’affi he en passant la souris par
dessus. Il peut afficher 4 couleurs qui sont le résultat d’u rapport
mathématique entre le nombre de hits de la règle et le nombre de hits
maximum atteint par une règle dans le même slot:
• Blanc (vide) : la règle ’a jamais été appliquée,
• Bleue : la valeur affichée est comprise entre 0 et 2% du hit
maximal,
• Vert : la valeur affichée est comprise entre 2% et 20% du hit
maximal,
• Orange : la valeur affichée est supérieure ou égale à 20% du hit
maximal et est supérieure à 10 000 hits.
• État : Permet d’a tiver/désa tiver une règle de filtrage.
• Action : Indique l’a tio appliquée sur la connexion : passer, bloquer,
tracer, renvoyer vers un portail captif, etc.
• Source : Spécifie la source du trafic : adresse IP ou réseau source, interface
d’e trée, utilisateur, etc.
• Destination : Spécifie la destination du trafic : adresse IP ou réseau
destination, interface de sortie.
• Port de dest : Indique le port destination du trafic.
208
Filtrage
• Protocole : Permet de renseigner le protocole utilisé par le trafic.

• Inspection de sécurité : Permet de sélectionner le niveau d’i spe tio
(IPS/IDS/Firewall) et d’a tiver l’i spe tio applicative. (Cette partie sera
traitée plus en détail dans le module « Protection Applicative »)
Note: L’int rêt principal de l’indicateur est de réordonner les règles de filtrage les plus
utilisées en les plaçant en tête de liste tout en respectant la politique de sécurité. Cela
permet d’opti iser le temps de lecture de la politique avant de trouver l’action à
appliquer.
209
Filtrage
L’affi hage des colonnes de la fenêtre peut être personnalisé en cliquant sur l’i ô e
indiquée par la flèche bleue ci-dessus puis sur colonnes. Il suffit de sélectionner une
colonne pour u’elle s’affi he.
Les paramètres d’u e règle peuvent être renseignés directement dans la fenêtre des
règles ou sur une nouvelle fenêtre (omnibox) qui s’affi he en double cliquant sur
’i porte quel paramètre de cette règle.
Les valeurs des paramètres étant des objets, ils peuvent être copiés d’u e règle à
une autre par un simple glisser/déposer. Ce procédé permet également de déplacer
les règles de filtrage en cliquant à gauche sur le numéro de la règle. Enfin, les
nouvelles règles ajoutées doivent être sauvegardées et activées explicitement avec
le bouton Sauvegarder et activer.
210
Filtrage
Le menu ACTION est constitué de plusieurs onglets, nous nous intéresserons

principalement à l’o glet GÉNÉRAL qui permet de spécifier les paramètres suivants :
• Action : Définit l’a tio à appliquer au paquet correspondant à la règle de
filtrage :
• Passer : Autorise le paquet,
• Bloquer : Bloque le paquet,
• Déchiffrer : Renvoie le paquet vers le proxy SSL,
• Tracer : Trace le paquet dans la famille de traces « politique de
filtrage » ou « alarmes » (cela dépend de la valeur du paramètre
« Niveau de trace »). Dans ce cas, le paquet continue le parcours
des règles de filtrage se trouvant au-dessous pour déterminer
l’a tio réelle à appliquer au paquet (passer ou bloquer),
• Reinit TCP/UDP : Dans le cas d’u trafic TCP, le firewall renvoie un
paquet « TCP RST » à l’é etteur. Dans le cas d’u trafic UDP, le
firewall renvoie une notification ICMP port inaccessible (port
unreachable) à l’é etteur.
211
Filtrage
• Niveau de trace : Permet de tracer les paquets traités par la règle. Il peut
avoir plusieurs valeurs :
• aucun : C’est la valeur par défaut, elle signifie u’au u e trace ’est
conservée. Cette valeur ’est pas disponible si le paramètre
« Action » est à « tracer ».
• tracer : Le paquet est tracé dans la famille de traces « politique de
filtrage ».
• alarme mineure : Le paquet est tracé dans la famille de traces
« alarmes » avec une alarme mineure.
• alarme majeure : Le paquet est tracé dans la famille de traces
« alarmes » avec une alarme majeure.
212
Filtrage
• Programmation horaire : Sélection d’u objet temps qui permet de définir

des plages horaires hebdomadaires, des évènements annuels ou
ponctuels. Les objets temps peuvent être créés dans le menu
CONFIGURATION ⇒ OBJETS ⇒ Objets temps ou en cliquant sur le bouton
encadré en bleu. Si ce paramètre est renseigné, la règle de filtrage sera
active uniquement durant la plage horaire définie par l’o jet temps.
• Passerelle – routeur : Ce paramètre permet de mettre en œuvre le
routage par politique (présenté dans le module « Configuration réseau »).
Dès lors u’u e passerelle est renseignée, tout le trafic traité par cette
règle de filtrage sera transmis à cette passerelle et non à la passerelle par
défaut si aucune autre directive de routage plus prioritaire ’est
configurée.
213
Filtrage
Le menu Source regroupe les paramètres qui identifient la source du trafic concerné
par la règle de filtrage :
• Utilisateur : Permet de renseigner l’utilisateur ou le groupe d’utilisateurs
qui est à l’origi e du trafic. Ce paramètre est fonctionnel dans le cadre
d’u système d’authe tifi atio basé sur un annuaire utilisateurs (voir
module « Utilisateurs et Authentification »).
• Machines Sources : Indique l’adresse IP ou l’adresse réseau du trafic. Les
icônes « = » ou « ≠ » signifient que le paramètre peut être égal ou différent
de la valeur spécifiée. De plus, il est possible de renseigner une liste
d’o jets en cliquant sur l’i ô e encadrée en bleu.
• Interface d’entrée : Permet de préciser l’i terfa e d’e trée du trafic. Ce
paramètre est utile dans le cas des bridges où les interfaces partagent le
même plan d’adressage.
214
Filtrage
Le menu Destination regroupe les paramètres qui identifient la destination du trafic.

Dans l’o glet Général, le paramètre Machines destinations indique l’adresse IP ou
l’adresse réseau destination du trafic. Nous pouvons également choisir si le
paramètre doit être égal ou différent de la valeur et renseigner une liste d’o jets.
215
Filtrage
Dans l’o glet CONFIGURATION AVANCÉE, nous pouvons restreindre l’appli atio de
la règle uniquement au trafic sortant par l’i terfa e indiquée dans interface de
sortie .
Attention : Pour toute règle autorisant un flux entrant, il n’est pas conseillé de
renseigner l’interface de sortie car la route à emprunter pour joindre la destination
du flux n’est pas encore connue.
216
Filtrage
Le menu PORT / PROTOCOLE permet de renseigner le Port destination avec la

possibilité de choisir s’il doit être égal, différent, inférieur ou supérieur à la valeur
sélectionnée. Il est également possible de renseigner une liste de ports de
destination.
217
Filtrage
Le menu PORT / PROTOCOLE permet également de spécifier l’ide tifia t du

protocole au niveau IP qui sera concerné par la règle de filtrage. Pour cela, il faudra
sélectionner la valeur Protocole IP puis le paramètre Type de protocole et choisir le
protocole au niveau du paramètre Protocole IP. Si le protocole ICMP est sélectionné,
le paramètre Message ICMP s’affi hera automatiquement pour permettre d’affi er
le filtrage en choisissant le type de notification ICMP concerné par la règle de
filtrage.
NOTE : Le suivi des états « stateful » qui permet de mémoriser et de suivre les
connexions traversant le firewall est activé et figé (non modifiable) uniquement pour
les protocoles TCP, UDP et ICMP. Pour les autres protocoles (GRE, ESP, etc), il faudra
cocher cette option pour activer le suivi.
218
Filtrage
Dans une règle de filtrage, une directive de NAT sur la destination (DNAT) peut être
appliquée.
Exemple : la figure ci-dessus illustre une translation sur la destination d’un trafic
SMTP entrant. La règle de filtrage autorise ce trafic en provenance d’u réseau
externe et à destination de l’adresse IP publique du serveur STMP sur le port
SMTP/25. L’adresse et le port destination sont translatés respectivement par
l’adresse IP privée du serveur SMTP et le port SMTP/25 directement dans la règle de
filtrage où la publication ARP est également activée. Grâce à cette configuration, il
’est pas nécessaire d’ajouter une règle de translation pour rediriger ce trafic.
Note : Sur l’i terfa e graphique l’optio Publication ARP apparaît à côté de l’adresse
IP privée IP_PRIVEE_SMTP, cependant elle est bien appliquée à l’adresse IP publique
IP_PUBLIQUE_SMTP.
Il existe plusieurs avantages à créer une directive de NAT sur destination au sein
d’u e règle de filtrage:
• En quelques clics, on indique que le flux est autorisé et vers quelle machine
interne il doit être redirigé
• Gérer et superviser les règles entrantes dans un seul menu
• Optimiser le traitement des règles de NAT puisque les règles présentes dans
l’o glet NAT ne seront pas parcourues
• Activer des protections applicatives (filtrage SMTP, antispam, etc) à des
connexions entrantes translatées.
219
Filtrage
220
Filtrage
Les firewalls Stormshield Network embarquent un moteur de vérification qui permet

de détecter d’éve tuelles situations de recouvrement ou d’i ohére e créées dans
la politique de filtrage. Ce type de situation est signalé par un message
d’avertisse e t en bas du menu.
Deux exemples sont illustrés dans la figure ci-dessus :
• Dans la règle n°1, le port destination HTTP est incompatible avec le
protocole UDP parce que le protocole applicatif HTTP utilise le protocole
de transport TCP.
• La règle n°3 ne sera jamais utilisée parce u’elle est recouverte par la règle
n°2.
Note : Les messages signalés avec une croix rouge bloquent la sauvegarde et
l’activation de la politique.
221
Filtrage
222
• Filtrage d’URL
• Filtrage SMTP et antispam
• Analyse antivirale
• Prévention d’i t usio et inspection de sécurité
223
Protection applicative
224
La fonction de filtrage des URL permet de contrôler l'accès aux sites web d'Internet
pour l'ensemble de vos utilisateurs.
Pour contrôler ces accès, la politique de filtrage URL va se baser sur une liste d’URL
rangée au sein de catégories ou de mots clés personnalisés.
Deux fournisseurs de base URL sont disponibles:

1. Base URL embarquée composée de 16 catégories téléchargées sur les serveurs
de mise à jour
2. Extended Web Control (EWC) constituée de 65 catégories, toutes hébergées dans
le Cloud. Cette solution est disponible en option supplémentaire. Veuillez vous
reporter à la section « Fonctionnement d’EWC » pour plus de détails sur son
fonctionnement.
225
Extended Web Control est une solution de filtrage URL. La base de données est
maintenue à jour dans le Cloud.
L'avantage majeur est que la base de données ne doit plus être téléchargée et
permet d’évite la saturation de l’espa e disque alloué au stockage de la base.
Il s’agit d’u e option payante et ’est donc pas intégrée par défaut sur l’e se le de
la gamme.
226
Sur réception d’u e connexion HTTP à destination d’u site web sur Internet, le
firewall envoie une requête vers un des serveurs Extended Web Control afin de
recenser les catégories auxquelles appartient l'URL visitée à condition u’elle ne soit
pas présente dans le cache local. Le résultat sera ensuite confronté à la politique de
filtrage URL active.
Les serveurs peuvent renvoyer jus u’à 5 catégories par URL. Par conséquent, une
URL peut se trouver simultanément dans une catégorie bloquée et une catégorie
autorisée. Dans ce cas, c'est l'ordre des règles de filtrage URL qui prime; assurez-
vous donc d'ordonnancer convenablement vos règles de filtrage URL.
Afin d’opti ise le fonctionnement et éviter l'envoi de plusieurs requêtes vers les
serveurs pour la même URL, la solution Extended Web Control utilise un cache pour
conserver la décision appliquée à une URL déjà visitée. La taille du cache,
dépendante du modèle, est dimensionnée pour conserver 1 jour de navigation ; son
contenu ’est pas visualisable (même en mode console).
Le cache est vidé en cas de redémarrage du Firewall ou du daemon gérant les

proxies (tproxyd). Deux cas de figure présents dans les slides suivants détaillent le
fonctionnement du cache Extended Web Control.
227
Le proxy interroge le cache local. L’URL ’éta t pas présente, une requête est alors
envoyée aux serveurs Extended Web Control pour connaître les catégories incluant
cette URL.
Dès réception de la classification, la politique de filtrage URL décide si l’a s au site

doit être autorisé ou bloqué.
228
Le proxy interroge le cache local, l’URL est présente. Dans ce cas, les serveurs
Extended Web Control ne sont pas interrogés.
Le résultat appliqué lors de la dernière visite (donner l’a s ou le bloquer) est

également appliqué pour cette connexion.
Dans la base objets, les serveurs Extended Web Control (CloudURL) sont nommés
cloudurl[1-5].netasq.com
229
Le choix de la base s'effectue depuis le menu Configuration ⇒ Objets ⇒ Objets

WEB, dans l'onglet Base d'URL.
Le passage de Extended Web Control à la base URL embarquée nécessite le

téléchargement des catégories; cela vous est notifié par un message
d'avertissement.
Une fois que la base est téléchargée, il est conseillé de vérifier la politique de filtrage
URL active car le nom des catégories diffère d’u e base à une autre
Exemple: la catégorie Job Search existe avec Extended Web Control mais n’existe pas
avec la base embarquée. Par conséquent, l’utilisation de cette catégorie dans le
filtrage URL générera une erreur lors de l’activation de la politique.
230
Depuis le menu Configuration ⇒ Objets ⇒ Objets WEB, dans les onglets URL et
Groupe de catégories, vous pouvez créer vos propres catégories ou groupes de
catégories.
Les groupes de catégories peuvent être composés de catégories présentes dans la

base (EWC ou embarquée) ainsi que des catégories personnalisées.
231
Le contenu des catégories ne peut être consulté, cependant, l'appartenance d’u e

URL à un groupe peut être vérifiée par le biais des champs de classification.
Ces champs sont disponibles depuis les menus Objets WEB ou au sein d’u e
politique de filtrage URL.
232
Depuis le menu Configuration ⇒ Politique de sécurité ⇒ Filtrage URL, choisissez

une politique à éditer (dans l'exemple ci-dessus la politique default00 a été
renommée Banque_OK).
Il convient ensuite de choisir les sites à autoriser, bloquer ou à rediriger vers l’u e
des 4 pages de blocage personnalisables.
Note : La création de catégories ne peut s'effectuer depuis ce menu contrairement

aux groupes de catégories qui peuvent être ajoutés depuis le panneau de gauche.
Seul le menu Objets ⇒ Objets web permet de créer des catégories personnalisées
233
Le bouton Ajouter des règles par catégorie permet de créer une politique très
rapidement.
Cette option ajoute une ligne avec l'action Passer pour chaque catégorie présente
dans la base. Les groupes personnalisés ne sont pas pris en compte et devront être
ajoutés manuellement.
Un site web peut être classé dans plusieurs catégories. Dans ce cas, l’o d e des règles
de filtrage définit l’a tio à appliquer pour le site concerné.
Exemple: www.decathlon.fr fait partie de trois groupes EWC (Sports, Fashion and
beauty, Shopping). L’ordre de ces trois groupes dans la politique de filtrage URL active
va dicter le comportement à appliquer pour toute visite sur le site www.decathlon.fr.
234
Une fois la politique de filtrage URL définie, il conviendra de l'appliquer à une règle
de filtrage autorisant les flux HTTP sortants, comme le montre l'exemple ci-dessus.
Dans cette règle, le réseau nommé Réseau_compta ’au a accès u’aux sites
classifiés dans la catégorie Banques.
Cette manière de procéder permet d’a tive plusieurs politiques de filtrage URL
simultanément; afin de gérer les accès de différents réseaux ou machines sources.
235
Les pages de blocage peuvent être éditées depuis le menu Configuration ⇒

Notifications ⇒ Messages de blocage ⇒ Onglet Page de blocage HTTP. Le bouton
Modifier en haut à gauche de cette page permet de:
• Modifier le contenu de la page de blocage,
• Renommer la politique en cours,
• Remettre en configuration usine,
• Copier le contenu de la page en cours vers une autre page.
Les modifications peuvent s'effectuer grâce à deux éditeurs (simplifié ou HTML) qui
sont au format WYSIWYG (aperçu instantané du contenu de la page). L'éditeur
simplifié permet de modifier rapidement les informations contenues dans la page
telles que son titre, le message de blocage, l'e-mail de la personne à contacter en cas
de mauvaise classification de l'URL visitée ou encore le logo à afficher.
Pour les personnes plus à l’aise avec les langages de programmation WEB, l’éditeu
HTML permet de personnaliser la page de manière beaucoup plus précise.
236
237
La configuration de la politique de filtrage SMTP s'effectue depuis le menu

Configuration ⇒ Politique de sécurité ⇒ Filtrage SMTP.
Dix politiques sont disponibles. Les règles sont traitées dans l'ordre (de haut en bas).
238
La politiques de filtrage SMTP est appliquée au niveau de l’i spe tio applicative des
règles de filtrage qui autorisent les flux SMTP entrants et sortants. Pour les flux mail
entrants, il est tout à fait possible (même fortement conseillé) de combiner le
filtrage mail à une analyse antispam.
239
Pour les connexions SMTP translatées en utilisant une adresse IP publique

« IP_PUBLIQUE_SMTP » dédiée au serveur mail interne « IP_PRIVEE_SMTP »
(translation statique), l’a tivatio du filtrage SMTP doit respecter certaines règles.
Pour les flux SMTP entrants, la translation vers le serveur SMTP interne doit
s’effe tue dans la règle de filtrage qui autorise le flux (l’a tivatio de la publication
ARP est nécessaire pour ce type de translation). Pour que le filtrage SMTP soit le plus
transparent possible, les adresses IP sources originales des connexions entrantes
sont conservées lorsque ces connexions sont renvoyées dans le réseau interne suite
au filtrage SMTP. Ce comportement est possible grâce à l’optio « conserver
l’ad esse IP source originale » qui est activée par défaut pour les flux entrants dans
l’o glet « proxy » du protocole SMTP.
240
Pour le flux SMTP sortant, l’optio « appliquer la règle de NAT sur le trafic analysé »
doit être activée au niveau de la configuration globale du protocole SMTP pour
obliger les connexions sortantes du filtrage SMTP à parcourir les règles de NAT. Dans
le cas contraire, les connexions SMTP auront comme adresse IP source l’ad esse IP
de l’i te fa e du firewall par laquelle elles sortent.
241
La recherche de spams s’appuie sur deux technologies pour offrir la protection la

plus efficace possible:
• L’a al se par réputation (liste noires DNS – RBL) qui consiste à vérifier une
liste d'adresses IP de spammeurs et de relais qui ne combattent pas le spam.
• L’a al se heuristique qui s'appuie sur des algorithmes mathématiques. Ces
algorithmes s'appliquent sur les mails pour détecter, par exemple, la
répétition de caractères non désirés ou la présence de mots caractéristiques.
Une fois les calculs terminés, un score est apposé au mail. En fonction de ce
score, et des paramètres de l'analyse heuristique, le mail sera considéré
comme spam ou légitime.
La configuration de ces deux technologies s'effectue depuis le menu Configuration

⇒ Protection applicative ⇒ Antispam.
242
Les paramètres de l'analyse par réputation permettent de choisir le ou les serveurs

RBL depuis lesquels les adresses IP des spammeurs et relais sont récupérées.
Les paramètres de l'analyse heuristique permettent quant à eux de:

• Choisir le préfixe à positionner pour les e-mails publicitaires,
• Choisir le préfixe à positionner pour les e-mails considérés comme SPAM,
• Définir le score minimal pour considérer un e-mail comme SPAM.
243
L'analyse antispam peut s'appliquer sur des flux SMTP et POP3. Les flux SMTPS et
POP3S, devront au préalable être déchiffrés par une règle d'inspection SSL.
L’exe ple montre ici l’a tivatio d’u e analyse antispam pour un flux SMTP entrant.
244
245
Le choix du moteur antiviral s'effectue depuis le menu Configuration ⇒ Protection

applicative ⇒ Antivirus.
L'offre de service antivirus sur les firewalls Stormshield Network se compose de deux
solutions:
• ClamAV: Ce moteur antiviral est intégré gratuitement et par défaut dans
l’e se le des produits de la gamme Stormshield Network.
• Kaspersky: Pour bénéficier du service antivirus Kaspersky, il est nécessaire
de souscrire à un pack de sécurité incluant cette option. Pour plus
d’i fo atio s sur le service antivirus Kaspersky, veuillez contacter votre
revendeur.
En cas de changement de moteur, un message vous indiquera que ce changement

nécessite le téléchargement de la base concernée. Par conséquent, et durant toute
la durée du téléchargement, l'analyse antivirale échouera.
246
Vous trouverez des paramètres additionnels à appliquer aux protocoles pouvant être
soumis à une analyse antivirale (voir le menu Configuration ⇒ Protection
Applicative ⇒ Protocoles ⇒ HTTP, SMTP, FTP ou POP3 ⇒ Analyse des fichiers)
Ce menu est identique pour les protocoles FTP, SMTP et POP3 où il contient:
• La taille maximale pour l'analyse antivirale,
• Les actions sur les messages.
Pour le protocole HTTP, une section supplémentaire contient le comportement de

l'antivirus en fonction des types MIME déclarés dans l'entête HTTP.
247
Depuis le menu Configuration ⇒ Notifications ⇒ Messages de blocage, il est

possible de modifier les notifications envoyées aux utilisateurs lo s u’u mail ou un
fichier téléchargé par FTP contient un virus.
Il s’agit d’u paramètre global. Il ’est pas possible de distinguer un message pour les
flux entrants et les flux sortants par exemple.
248
Les flux pouvant être analysés par le moteur antiviral sont:

• HTTP et HTTPS*,
• FTP et FTPS*,
• SMTP et SMTPS*,
• POP3 et POP3S*.
Pour mettre en oeuvre cette analyse, il suffit de sélectionner l'inspection applicative

Antivirus dans la colonne inspection de sécurité de la règle de de filtrage concernée.
* Pour être soumis à une analyse antivirale les flux HTTPS, FTPS, SMTPS et POP3S
doivent au préalable être déchiffrés par une règle d’i spe tio SSL.
249
250
Les équipements Stormshield Network sont équipés nativement d'un module de

prévention d'intrusion nommé ASQ (Active Security Qualification). Chaque paquet
reçu par l'UTM sera soumis à un ensemble d'analyses à commencer par la
vérification du protocole IP.
Le rôle principal de l'ASQ est de s'assurer de la conformité du paquet par rapport aux
protocoles utilisés de la couche IP jus u’à la couche applicative (grâce aux plugins) et
aux signatures contextuelles (ou Patterns).
C’est également l'ASQ qui est en charge de filtrer les flux et d'appliquer une
opération de NAT si nécessaire.
Le fonctionnement détaillé de l'ASQ ainsi que ses options sont abordés dans le
cursus Expert.
251
Chaque paquet reçu par l'UTM sera soumis à la politique de filtrage. Par défaut,
l'analyse IPS est appliquée, ce qui signifie que le firewall est capable de détecter une
anomalie et de bloquer le paquet correspondant.
D'autres modes d'inspections peuvent être utilisés, à des fins de tests ou par
nécessité ; par exemple si on contacte un serveur ne respectant pas la RFC des
protocoles qu'il gère.
Ces modes sont à sélectionner dans la colonne Inspection de sécurité de la règle de
filtrage concernée.
• IPS: Détecter et bloquer (choix par défaut). L'ASQ va soumettre le paquet à

l'ensemble des couches qu'il est capable d'analyser et le bloquer en cas
d'anomalie.
• IDS: Détecter. L'ASQ effectue une analyse similaire à l'IPS sauf que le paquet
sera toujours autorisé. C'est un profil permettant de faire un audit rapide
pour une règle de filtrage donnée.
• Firewall: Ne pas inspecter. L'ASQ ne va effectuer que très peu d’analyses sur
le paquet reçu. Pour connaître la liste exhaustive des alarmes qui ne sont pas
contournées par le mode Firewall, veuillez vous référer à l’a ti le "Is there
some alarm that are not bypassed by Firewall Mode(Security Inspection)?" de
la base de connaissances du support technique.
252
L'ASQ est composé de 10 configurations (également nommées profils IPS). Chacune

de ces configuration peut être éditée en fonction des besoins de l'administrateur.
Par défaut, et comme indiqué dans le menu Configuration ⇒ Protection applicative

⇒ Profils d'inspection, les profils IPS_00 et IPS_01 seront appliqués respectivement
aux connexions entrantes (paquet dont l'adresse IP source ne fait pas partie d'un
réseau protégé) et aux connexions sortantes (paquet dont l'adresse IP source fait
partie d'un réseau protégé).
Malgré cette configuration, il est possible, dans la grille de filtrage, de forcer

l'utilisation d'un profil ASQ spécifique depuis la colonne Inspection de sécurité. Les
profils sont ensuite administrables depuis les menus Protocoles et Applications et
protections sous Configuration ⇒ Protection applicative.
253
254
• Introduction
• Configuration
• Utilisations diverses
• Agent SSO
255
Utilisateurs & authentification
256
La fonctionnalité d’authe tifi atio permet de définir des droits d’a s différents
aux utilisateurs de votre réseau. Selon les méthodes d'authentification actives, les
utilisateurs présenteront un mot de passe, un certificat, ou démarreront simplement
leur session sur le domaine pour être authentifié sur l'UTM et accéder aux
ressources qui leur sont autorisées.
À la fin de ce chapitre, vous serez capable de configurer une base utilisateurs, de

choisir la ou les méthodes d’authe tifi atio actives et d’utiliser l’authe tifi atio au
sein de vos règles de filtrage comme critère d’appli atio .
La configuration de l'annuaire s'effectue depuis le menu Configuration ⇒

Utilisateurs ⇒ Configuration de l'annuaire. Notez qu'une seule base LDAP peut être
active à la fois. Par conséquent, si vous configurez un annuaire Active Directory alors
qu'une base interne existe déjà, cette dernière sera écrasée.
Afin de relancer l'assistant, il suffit de cliquer sur le bouton représentant une

baguette magique , situé en haut à droite de l'écran du menu Configuration de
l’annuaire.
257
258
La configuration de l'annuaire interne s'effectue depuis le menu Configuration ⇒

Utilisateurs ⇒ Configuration de l'annuaire.
Renseignez les paramètres de votre base LDAP:

• Organisation: Le nom de votre société (ex: STORMSHIELD)
• Domaine: Le domaine DNS de votre société (ex: STORMSHIELD.EU)
• Mot de passe: Un mot de passe permettant au firewall de se connecter
sur l’a uaire LDAP ou de s'y connecter depuis un navigateur LDAP.
Seul le mot de passe sera modifiable après validation. Le compte disposant de tous
les droits sur l'annuaire est par défaut NetasqAdmin.
Dans cette seconde et dernière étape, quelques paramètres complémentaires de la

base LDAP peuvent être validés :
• Autoriser l’accès à la base LDAP: donne la possibilité d’a éder à

l’a uaire LDAP depuis une adresse IP publique ; un client peut se
connecter à l’a uaire via un navigateur LDAP. Si l’a s à la base ’est pas
nécessaire, il est vivement conseillé de ne pas activer cette option.
259
• Autoriser l’accès au portail captif depuis les réseaux protégés (interfaces

internes): il s’agit d’u e pré-configuration liée au menu d’authe tifi atio .
Elle équivaut à l’optio « Activer le portail captif/uniquement depuis les
interfaces internes (protégées) ». L’authe tifi atio est différenciée par les
interfaces sur lesquelles arrive le trafic. Il est possible d’a tiver
l’authe tifi atio uniquement sur les interfaces internes, uniquement sur
les interfaces externes ou sur les deux en simultané.
• Activer l’enrôle ent des utilisateurs via le portail Web: permet d’a tiver
le service d’e rôle e t autorisant les utilisateurs à remplir un formulaire
de création de compte qui sera validé ou rejeté par l’ad i istrateur
ensuite.
Une fois l'assistant terminé, une fenêtre affiche un récapitulatif des paramètres.
Depuis cette fenêtre, il est possible d’a tiver ou non l’a s sécurisé à la base (via le
protocole SSL ; dans ce cas il est nécessaire de sélectionner le certificat présenté par
le serveur LDAP, importé sur le firewall au préalable), ainsi que choisir l’algorith e
de hachage des mots de passe. En effet, certaines méthodes d’authe tifi atio
doivent stocker le mot de passe utilisateur sous forme d’u « hash » (résultat d’u e
fonction de hachage appliquée au mot de passe) qui évite le stockage en clair des
mots de passe.
Dans ce cas, vous devez choisir la méthode désirée : SHA-1, MD5, SSHA (Salt SHA-1 –
permet de générer une empreinte différente pour un même mot de passe,
empêchant par exemple l’utilisatio d'attaques dites rainbow table), SMD5 (Salt
MD5), CRYPT (dérivé de DES), ou aucune (mot de passe stocké en clair et non
recommandé).
Pour une base LDAP interne, la méthode par défaut est SHA-1 ; la méthode la plus
sécurisée et recommandée est SSHA.
260
La configuration de ces deux types d’annuaires s'effectue depuis le menu

Configuration ⇒ Utilisateurs ⇒ Configuration de l'annuaire.
Nous avons regroupé leur configuration dans un chapitre identique car l'assistant est
sensiblement équivalent.
Renseignez les paramètres du serveur à contacter:

• Serveur: objet correspondant à l'adresse IP du serveur. NOTE: Dans le cas
de l’utilisatio du protocole SSL, le choix du nom de l’o jet doit
correspondre au « Common Name » du certificat de votre serveur LDAP,
sinon, le nom de l’o jet a peu d’i porta e.
• Port: Vous devez renseigner le port d’é oute de votre serveur LDAP. Les
ports par défaut sont: 389 pour une authentification en clair (ldap) et 636
pour une authentification en SSL (ldaps)
• Domaine racine (Base DN): renseignez le DN de la racine de votre
annuaire (exemple: stormshield.com ou dc=stormshield,dc=com)
• Identifiant (user DN): Un compte administrateur permettant au firewall de
se connecter sur votre serveur LDAP et d’effe tuer des lectures/écritures
sur certains champs. Nous vous recommandons de créer un compte
spécifique pour le firewall et de lui attribuer les droits uniquement sur les
champs qui lui sont nécessaires (ex : cn=SpecialAdmin,ou=Formation)
261
• Mot de passe :Mot de passe qui permet à l’utilisateur cité au dessus de se

connecter au serveur LDAP
Dans cette seconde étape, un paramètre complémentaire de la base LDAP peut être
validé:
• Autoriser l’accès au portail captif depuis les réseaux protégés (interfaces
internes): il s’agit d’u e pré-configuration liée au menu d’authe tifi atio .
Elle équivaut à l’optio Activer le portail captif/uniquement depuis les
interfaces internes (protégées) . L’authe tifi atio est différenciée suivant
les interfaces sur lesquelles arrive le trafic. Il est possible d’a tiver
l’authe tifi atio uniquement sur les interfaces internes, uniquement sur
les interfaces externes ou sur les deux en simultané.
262
Une fois l'assistant terminé, une fenêtre affiche un récapitulatif des paramètres.
Depuis cette fenêtre, il est possible d’a tiver ou non l’a s sécurisé à la base et de
configurer un serveur de secours (serveur à contacter si la connexion TCP avec le
serveur principal échoue)
Les options de l'onglet Structure permettent de filtrer les utilisateurs et les groupes
de la base LDAP.
• Filtre de sélection des utilisateurs: Seuls les utilisateurs correspondant au

filtre seront récupérés et utilisables dans les diverses configurations. Par
défaut ce filtre correspond à (objectclass=user) pour un serveur Active
Directory et à (objectclass=InetOrgPerson) pour un LDAP externe.
• Filtre de sélection des groupes d’utilisateurs: seuls les groupes

correspondant au filtre seront récupérés et utilisables dans les diverses
configurations. Par défaut, ce filtre correspond à (objectclass=group) pour
un serveur Active Directory et à (objectclass=GroupOfNames) pour un
LDAP externe.
263
• Branche de l’autorité de certification: Ce champ définit l’e pla e e t de

l’autorité de certification présente dans la base LDAP externe ou Active
Directory. Cet emplacement est notamment utilisé lors de la recherche de
la CA utilisé pour la méthode d’authe tifi atio SSL. Il ’est pas
indispensable de configurer ce champ mais dans ce cas, pour que la
méthode d’authe tifi atio SSL fonctionne, il faut spécifier la CA dans la
liste des CA de confiance dans la configuration de la méthode SSL (Voir
Authentification ⇒ Méthodes disponibles ⇒ Certificat SSL)
• Hachage des mots de passe: Certaines méthodes d’authe tifi atio

doivent stocker le mot de passe utilisateur sous forme d’u « hash »
(résultat d’u e fonction de hachage appliquée au mot de passe) qui évite
le stockage en clair de ce mot de passe. Dans ce cas, vous devez choisir la
méthode désirée : SHA-1, MD5, SSHA (Salt SHA-1 – permet de générer une
empreinte différente pour un même mot de passe, empêchant par
exemple l’utilisatio d'attaques dites rainbow table), SMD5 (Salt MD5),
CRYPT (dérivé de DES), ou aucune (mot de passe stocké en clair – non
recommandé).
264
Correspondance d’attri uts

Correspondance d'attributs: Vous pouvez indiquer ici la correspondance entre les
attributs utilisés par Stormshield Network et ceux utilisés dans la base externe ou
Active Directory. Par exemple, en appliquant le modèle Microsoft Active Directory,
l’attri ut STORMSHIELD uid aura comme équivalent Active Directory
sAMAccountName.
265
Par défaut, seule l'utilisation d'une base LDAP interne permet la création
d'utilisateurs depuis l'UTM lui-même. Pour ce faire, il suffit de se rendre dans le
menu Configuration ⇒ Utilisateurs ⇒ Utilisateurs et cliquer sur Ajouter un
utilisateur. En cliquant sur Créer ou modifier le mot de passe une nouvelle fenêtre
s’ouvre pour renseigner le mot de passe qui permettra d'authentifier cet utilisateur.
Note: la création d’utilisateur est impossible dès u’u e correspondance d’attri uts
existe entre l’UTM et la base LDAP externe.
L'onglet Membre des groupes liste les groupes auxquels l'utilisateur est rattaché. Il
faut créer le groupe au préalable pour l'ajouter à cette liste.
266
La configuration du portail d’authe tifi atio s'effectue depuis le menu

Configuration ⇒ Utilisateurs ⇒ Authentification ⇒ Onglet Portail Captif. L’a s au
portail s’effe tue via l’adresse https://<adresse_IP_UTM>/auth.
Les quelques paramètres du menu Configuration avancée permettent de

personnaliser le portail d’authe tifi atio :
• Modifier le logo affiché

• Sélectionner le fichier CSS pour la mise en page du portail
• Sélectionner le fichier (au format PDF ou HTML) contenant les conditions
d’utilisatio de l’e treprise. Cette sélection sera particulièrement utile,
notamment pour la méthode d’authe tifi atio Guest qui se base sur la
validation de cette charte.
• Importer un certificat personnalisé pour le portail captif
267
Chaque utilisateur peut avoir une méthode d’authe tifi atio différente, cependant
la méthode doit au préalable avoir été configurée.
Les méthodes disponibles sont LDAP, Certificat SSL, RADIUS, KERBEROS,
authentification transparente (SPNEGO), agent SSO et la méthode Guest.
• LDAP: l’utilisateur doit saisir un nom et un mot de passe. Les informations

transitent en SSL (port 443) si l’utilisateur utilise HTTPS comme protocole
pour se connecter au Firewall. C’est le mode par défaut lors de la création
d’u utilisateur, ou lors de son enrôlement.
• Certificat SSL : L’utilisateur est authentifié au moyen d’u certificat installé
sur sa machine (dans son navigateur par exemple). Les communications
sont chiffrées en SSL, aussi l’utilisateur est obligé de se connecter en
utilisant HTTPS (port 443).
• RADIUS : L’authe tifi atio est transmise à un serveur RADIUS externe. Le
mot de passe est transmis au firewall de la même manière que pour la
méthode LDAP.
• Kerberos : L’authe tifi atio est relayée à un serveur Kerberos externe. Le
mot de passe est transmis au firewall de la même manière que pour la
méthode LDAP. La synchronisation du temps avec la méthode Kerberos est
cruciale. Veillez à vérifier l’heure et le fuseau horaire de votre machine
pour éviter tout échec d’authe tifi atio .
268
• Authentification transparente (SPNEGO) : Si l’utilisateur est authentifié

sur un domaine Active Directory, il sera alors automatiquement authentifié
sur le Firewall suite à une requête HTTP au travers du proxy HTTP. La
synchronisation du temps avec la méthode SPNEGO est cruciale. Veillez à
vérifier l’heure et le fuseau horaire de votre machine pour éviter tout
échec d’authe tifi atio .
• Agent SSO (Single Sign-On): Si l’utilisateur est déjà authentifié sur un
domaine Active Directory, il est alors automatiquement authentifié sur le
Firewall. Cette méthode est détaillée dans un chapitre dédié.
• Méthode Guest: Méthode permettant à un utilisateur temporaire de
s’authe tifier après validation des conditions générales d’utilisatio sur le
portail d’authe tifi atio . Cette méthode sera généralement utilisée dans
des lieux publics tels que les hôtels, les gares ou les hot-spot publics. Le
seul paramètre à renseigner pour cette méthode est la fréquence
d’affi hage des conditions d’utilisatio sur le portail.
269
La politique d’authe tifi atio permet d’i di uer la ou les méthodes

d’authe tifi atio à appliquer en fonction de différents critères tels que:
• L’adresse IP source ou
• L’i terfa e d’e trée
• L’utilisateur ou le groupe d’utilisateurs
Les règles seront analysées par ordre de création.
Enchaînement des méthodes d’authentification
Comme l’i di ue la règle 2, tous les utilisateurs du réseau bridge devront, en

premier lieu, s’authe tifier via la méthode Agent SSO. Si l’authe tifi atio via cette
méthode échoue, alors on proposera à l’utilisateur de sélectionner son certificat.
Enfin, si cette seconde méthode ’a outit toujours pas (pas de certificat pour cet
utilisateur par exemple), il sera convié à renseigner un couple login/mot de passe
pour valider l’authe tifi atio via la méthode LDAP.
Note: lors u’elle est sélectionnée, la méthode Agent SSO sera automatiquement
placée en première position des méthodes à tester
270
Les onglets Interfaces internes et externes permettent de gérer:

• la politique de modification des mots de passe,
• les durées d’authe tifi atio proposées sur le portail,
• l’e rôle e t des utilisateurs (création d’u nouvel utilisateur en
remplissant un formulaire depuis le portail d’authe tifi atio )
• afficher les conditions d’utilisatio et spécifier la fréquence. La fréquence
à définir indique sauf méthode Guest car la fréquence pour cette
méthode est à définir dans les paramètres de la méthode elle-même,
depuis l’o glet Méthodes disponibles.
271
L’a s au portail d’authe tifi atio s’effe tue depuis l’adresse

https://<adresse_IP_firewall>/auth.
Lorsque l’e rôle e t est activé, le bouton Nouvel utilisateur permet de remplir un
formulaire avec les coordonnées du nouvel utilisateur.
La demande est ensuite transmise à l’ad i istrateur de l’UTM. Dans l’atte te de sa

validation, l’utilisateur ne pourra donc pas s’authe tifier.
Les demandes en attente sont listées dans le menu Configuration ⇒ Utilisateurs ⇒

Enrôlement. Depuis ce menu, l’ad i istrateur a également la possibilité de modifier
le format de l’ide tifia t. Par défaut cette valeur est %F.%L, ce qui signifie
PRENOM.NOM (la casse étant respectée). Ce format peut être modifié en spécifiant
le nombre de lettres du nom ou du prénom comme suit:
Exemples:
• %f1%l donnerait pnom
• %f%L1 donnerait prenomN
272
273
L’a s au portail d’authe tifi atio s’effe tue depuis l’adresse

https://<adresse_IP_firewall>/auth. Il est disponible dans plusieurs langues selon
les besoins.
Les logs liés à l’authe tifi atio peuvent être visualisés dans le menu traces du
rapport d’a tivités ou bien depuis l’outil Stormshield Network Event Reporter de la
suite d’ad i istratio , dans la section Services ⇒ Authentification.
Le nom de l’utilisateur correspond au champ Identifiant de la fiche utilisateur.
Pour vous authentifier avec des méthodes telles que Kerberos ou SPNEGO, la
synchronisation du temps est cruciale. Veillez à vérifier l’heure et le fuseau horaire
de votre machine pour éviter tout échec d’authe tifi atio .
La déconnexion de l’utilisateur peut se faire sans renseigner le nom d’utilisateur ou

le mot de passe, en cliquant sur « Déconnexion ». Dans ce cas, le portail fera appel
au cookie d’authe tifi atio stocké dans le navigateur. Ce mécanisme sera
fonctionnel si et seulement si le même navigateur est utilisé pour les étapes de
connexion et de déconnexion.
274
Depuis la politique de filtrage, un assistant (nommé Règle d’authentification)

permet de créer rapidement une règle qui redirige le flux HTTP à destination
d’I ter et vers le portail d’authe tifi atio pour tout utilisateur ’éta t pas encore
identifié auprès de l’A“Q. La liste des utilisateurs authentifiés est accessible depuis
STORMSHIELD Real-Time Monitor, dans la section Utilisateurs.
L’optio Hormis pour les URLs de la règle, permet de sélectionner la catégorie

(contenant un ensemble de sites web) qui ne sera pas soumise à cette redirection
automatique. Ainsi, vous pouvez donner accès à certains sites sans authentification
préalable. Par défaut, le groupe authentification bypass est sélectionné; vous pouvez
alors modifier son contenu ou créer votre propre catégorie/groupe de catégories
depuis le menu Configuration ⇒ Objets ⇒ Objets WEB.
275
Lors de l’éditio de la source d’u e règle de filtrage ou de NAT, le champ Utilisateur

permet de spécifier l’utilisateur (ou le groupe) devant être authentifié pour que la
règle s’appli ue. Plusieurs entrées sont listées:
• Aucun: choix par défaut lors de l’ajout d’u e nouvelle règle. La règle sera
appliquée sans authentification préalable.
• Tous: la règle s’appli ue si un des utilisateurs de la base est authentifié,
peu importe lequel.
• Utilisateurs inconnus: la règle s’appli ue à tout utilisateur qui ’est pas
encore authentifié. Cette valeur est principalement utilisée pour rediriger
l’utilisateur vers le portail d’authe tifi atio lors u’il tente d’a éder à des
sites web au travers du proxy HTTP. Pour s’assurer de la syntaxe de ce type
de règle, il est préférable d’utiliser l’optio Nouvelle règle ⇒ Règle
d’authentification.
• <Utilisateur>@<Objet>: la règle s’appli ue si l’utilisateur est authentifié
depuis l’o jet choisi
Dans la dernière image, l’utilisateur utilisateur est associé à l’adresse IP

192.168.250.1 dans la table des utilisateurs authentifiés (vu depuis Stormshield
network Real-Time Monitor).
Si le paquet reçu depuis cette adresse IP est à destination d’I ter et sur les ports
HTTP, FTP ou POP3, alors il sera autorisé et soumis à une analyse antivirale.
276
Depuis le menu Configuration ⇒ Système ⇒ Administrateurs ⇒ Onglet

Administrateurs, il est possible de définir une politique de droits d’a s en fonction
des utilisateurs de la base LDAP. Ainsi, plusieurs statuts sont disponibles:
• Administrateur sans droits

• Administrateur avec accès en lecture seule uniquement
• Administrateur avec tous les droits
L’éditio des règles propose deux modes d’affi hage, la vue simple et la vue avancée
pour obtenir davantage de détails sur les droits accordés.
277
278
279
L’authe tifi atio par la méthode agent SSO se déroule en 3 étapes.
1. L’ouverture de session du client sur le domaine va générer un log

d’authe tifi atio sur le contrôleur de domaine Active Directory. Ces
évènements portent les ID 540 ou 672 sur un serveur Windows 2003
alors u’ils portent les ID 4624 ou 4768 sur les serveurs Windows 2008 et
2012.
2. L’age t SSO va ensuite consulter les journaux d’év e e ts du contrôleur

de domaine. Sur réception d’u nouvel évènement, les informations liées
à l’adresse IP et au nom du client sont transmises à l’UTM afin de les
ajouter à la table des utilisateurs authentifiés.
3. Les échanges entre l’age t et l’UTM utilisent le port 1301/TCP et sont

chiffrés grâce au protocole SSL, algorithme PSK-AES256-CBC-SHA.
280
La configuration de l’age t SSO s’effe tue depuis le menu Configuration ⇒

Utilisateurs ⇒ Authentification ⇒ Méthodes disponibles. Après ajout de la
méthode agent SSO, quelques paramètres sont à renseigner:
• Objet correspondant à l’adresse IP du serveur où est installé l’age t SSO. Il

est possible d’i staller l’age t sur le contrôleur de domaine. Consultez la
note technique pour plus d i for atio s à ce sujet.
• Port utilisé pour tout échange entre l’age t et l’UTM. Par défaut, le port
agent_ad est sélectionné; sa valeur est 1301/TCP. Assurez-vous
d’har o iser ce port avec celui configuré sur l’age t
• La liste des contrôleurs de domaine
281
Par défaut, via la méthode agent SSO, un utilisateur est authentifié pendant 36000
secondes. Ce paramètre peut être modifié avec une valeur maximale de 1440
minutes, soit une journée.
Lorsque le contenu d’u groupe est modifié, l’i for atio sera transmise à l’age t
toutes les heures. Pour modifier cette fréquence utilisez l’optio Délai de mises à
jour des groupes d’utilisateurs.
Méthode de détection des déconnexions

Sur un contrôleur de domaine, il ’existe pas d’év e e ts indiquant la fermeture
de session d’u utilisateur. Par conséquent, nous avons implémenté deux méthodes
permettant de vérifier si la machine est toujours accessible afin de désauthentifier
l’utilisateur le cas échéant.
La première méthode disponible est l’e voi d’u ping depuis l’age t vers la machine
concernée. Si aucune réponse ’est reçue, l’utilisateur associé à cette adresse IP sera
alors déconnecté.
La seconde consiste à envoyer à la fois un ping, et, en cas de réponse, d’effe tuer
une requête sur la base de registre de la machine sur laquelle l’utilisateur est
authentifié. La requête RPC s’effe tue sur les ports 139 ou 445. Assurez-vous que le
pare-feu du poste autorise ces connexions entrantes.
282
Comptes d’ad inistration ignorés

La section Comptes d’ad inistration ignorés recense les utilisateurs pour lesquels
aucune authentification ne sera transmise à l’UTM. Par défaut, cette liste inclut les
comptes Administrateur et Ad i istrator pour éviter les évènements de logon
générés lors de l’ouverture d’u programme en tant u’ad i istrateur.
283
284
• Les différents réseaux privés virtuels

• VPN IPSec – Concepts et généralités
• VPN IPSec – Tunnels site-à-sites
• VPN IPSec – Virtual Tunneling Interface
• VPN IPSec – Correspondant dynamique
285
Virtual Private Network
286
287
288
289
Tunneling :
Chaque datagramme IP émis par un hôte du réseau A et destiné à un hôte du réseau

B est pris en charge par IPSec; le datagramme IP est alors chiffré et encapsulé dans le
protocole ESP (Encapsulating Security Payload).
Les paquets ESP résultants sont transportés au travers du réseau public Internet dans
un datagramme IP dont l’e -tête porte comme source @pubA et comme destination
@pubB
Une fois acheminés jus u à la passerelle de sécurité @pubB, ces paquets ESP sont
déchiffrés pour restituer les datagrammes IP d'origine tels qu'ils avaient été générés
par leurs émetteurs.
Les datagrammes IP ainsi restitués sont alors acheminés jus u’à leur destination sur
le réseau B.
Les paramètres qui caractérisent un tunnel sont :

• Les extrémités de tunnels = les adresses IP @pubA et @pubB des correspondants
qui assureront le tunneling en se transmettant les paquets ESP.
• Les extrémités de trafic = les entités IP (hôtes ou réseaux) qui pourront
communiquer ensemble au travers du tunnel; ils sont donc à considérer comme
les usagers du tunnel.
290
Deux modes de fonctionnement conditionnent différemment la décision d’PSec de

prendre en charge des datagrammes IP par une encapsulation dans ESP :
Matching de politique (fonctionnement STANDARD) :

- Concordance des adresses IP des usagers avec la politique IPSec; ce mode de
fonctionnement repose sur les critères [IP source + IP de destination] de ces
datagrammes IP en comparaison avec la politique chargée dans les structures IPSec
du système.
Dans ce mode de fonctionnement, la politique IPSec est évaluée en amont des
directives générales de routage IP. Son application repose exclusivement sur le
« matching » de la politique.
Virtual Tunneling Interface (fonctionnement basé sur routage par VTI) :

- Routage par une passerelle reliée et joignable par une VTI (Virtual Tunneling
Interface)
Les interfaces VTI permettent de définir des routes passant par le tunnel IPSec.
Ces interfaces VTI agissent comme passerelles réciproques l’u e de l’aut e.
Elles sont comme des points d’e t ée et de sortie du tunnel.
Ce mode de fonctionnement est prioritaire sur le « matching de politique ».
291
Le protocole ESP est référencé sous le numéro de protocole 50 ( ’est le numéro qui
est indiqué dans tout en-tête IP transportant un paquet ESP)
Ce protocole est utilisable grâce à des associations de sécurité, également appelées
« SA » (pour Security Associations) caractérisées par :
• une clef de chiffrement + un algorithme de chiffrement adapté à son
usage
• un algorithme de condensé (ou hash)
• une durée de vie (lifetime)
Ces caractéristiques seront identiques sur les deux correspondants IPSec pour leur
tunnel commun.
292
IKE = Internet Key Exchange

IKEv1 est décrit par la RFC 2409
IKEv2 est initialement décrit par la RFC 4306 de Décembre 2005
Les dernières mises à jour pour IKEv2 sont décrites par la RFC 7296 d’O to e 2014
Pour simplifier et conserver une certaine homogénéité dans la présentation des logs,
nous avons choisi de continuer d’utilise la terminologie de IKEv1 (phase 1 et phase
2) sur IKEv2, bien que ces deux étapes soient décrites comme Parent_SA et Child_SA
dans le standard du protocole IKEv2.
Le mode de négociation sélectionné (IKEv1 ou IKEv2) sera global à l’e se le des

tunnels IPSec site-à-site ET tunnels nomades.
293
Les propositions sont constituées de « bouquets » combinant les éléments suivants :

• un algorithme de chiffrement (et la taille de la clé utilisable avec cet
algorithme)
• un algorithme de condensé (hash) (et la taille de clef utilisable avec ou
imposée par cet algorithme de hash)
• un groupe de clés Diffie-Hellman
• un durée de vie exprimée en secondes
294
Des identités numériques sous la forme de certificats x509 sont également

utilisables pour tout type de correspondants.
L’utilisatio de certificats pour l’authe tifi atio ISAKMP est abordée dans la
formation CSNE.
295
296
En IKEv1, il est impératif que les extrémités de trafic (description des usagers du
tunnel) soient identiques sur les deux correspondants.
A défaut, la négociation de phase 2 échoue.
EN IKEv2, bien que des différences sur les extrémités de trafic ne conduisent pas
systématiquement à un échec de la négociation, il est formellement recommandé de
configurer ces paramètres à l’ide ti ue sur les deux correspondants pour éviter tout
effet de bord indésirable (masque de réseau différents de part et d’aut e,…)
297
298
299
300
301
302
La colonne « keepalive » est cachée par défaut; pour la faire apparaître, cliquer sur
l’e -tête de colonne, puis sélectionner le menu « Colonnes » et cocher la case
« Keepalive ».
La fonction « Keepalive » vise à maintenir le tunnel disponible en permanence en
générant du trafic qui provoque la négociation initiale du tunnel, puis ses
renégociations périodiques.
303
304
305
306
307
308
309
310
Un clic droit sur le tunnel permet d’o te i l’affi hage de la politique sortante ou
entrante correspondante et ainsi de voir les extrémités de trafic prises en charge par
ce tunnel.
La colonne État peut afficher trois valeurs:

• larval: le tunnel est en cours de négociation,
• mature: la négociation des SA de phase 2 a abouti et le tunnel est
opérationnel,
• dying: les SA de phase 2 ont atteint 80% de leur durée de vie.
Il est possible d’o te i des informations supplémentaires dans ce panneau en

ajoutant des colonnes à l’affi hage (ReqID, SPI); l’exploitatio de ces informations
supplémentaires est abordée en CSNTS.
311
Dans le cadre d’u diagnostic, en particulier en cas de message d’e eu ou

d’ave tisse e t, il est essentiel de relever la phase de négociation pour laquelle les
messages sont rapportés.
Les colonnes affichées ici dans le RT Monitor ont volontairement été limitées au
minimum nécessaire à l’exe ple.
Le premier extrait illustre des logs de négociation en IKEv1, le deuxième couvre
IKEv2.
Davantage d’i fo atio s, plus techniques, pourront être affichées en ajoutant des
colonnes par un clic droit sur l’e -tête de colonnes, puis une sélection des colonnes
supplémentaires souhaitées. L’exploitatio de ces informations supplémentaires est
abordée en cours CSNTS.
312
Les règles implicites pour IPSec, affichées ici par le RealTime Monitor, couvrent les
différents types de trafic nécessaires aux négociations ISAKMP et à la réception de
paquets ESP constituant le(s) tunnel(s).
Le port udp/4500 permettra l’usage de NAT-Traversal pour le cas où au moins l’u
des deux correspondants IPSec serait situé derrière du NAT.
Les règles implicites ne concernent que les flux entrants car les flux sortants sont
déjà couverts par les règles flux implicite du firewall.
313
La règle n°1 permet l’initiation de connexions à partir du LAN local Network_in et à

destination du LAN Net-A-IN-IPSec-Remote du site distant
La règle n°2 permet l’initiation de connexions à partir du du LAN Net-A-IN-IPSec-
Remote du site distant et à destination du LAN local Network_in
Ces règles sont très permissives puis u’elles ne spécifient pas de flux particuliers; en
situation réelle, il conviendra de définir une politique de filtrage qui décrira
strictement les flux à autoriser afin de couvrir rigoureusement les communications
nécessaires entre les différentes machines des deux sites.
314
IKEv1
Quelle que soit la méthode choisie, la politique chargée sera identique dans les deux
cas.
En effet, les objets de type réseau, contenus dans les groupes, seront appariés pour
engendrer quatre politiques distinctes (une pour chaque couple de réseaux à relier)
La méthode 1) permet d’utilise des profils de chiffrement différents ou de ’a tive

le keepalive que pour certains tunnels choisis.
La méthode 2) est plus concise et donc plus lisible à condition d’adopte , pour le
nommage des groupes, une nomenclature rigoureuse et suffisamment descriptive
afin d’évite toute ambiguïté et tout risque de confusion lors d’u e relecture
ultérieure.
Dans les deux cas, quatre tunnels distincts ( ’est-à-dire quatre phase 2) seront
négociés.
C’est également le comportement STANDARD de la majorité des implémentations
IKEv1/IPSec.
En IKEv2, un seul tunnel prendra en charge l’e se le des communications entre les
réseaux situés derrière les deux correspondants; ce comportement est parfois
qualifié de « SharedSA »
315
IKEv2
Sur ce protocole de négociation, le comportement sera différent selon la méthode

d’é itu e des politiques.
Chaque ligne de configuration d’u e politique aboutira à la négociation d’u tunnel
(une phase 2).
Lorsque les politiques ne distinguent pas explicitement chaque couple de réseaux à

relier par IPSec, mais au contraire les décrivent plus globalement, de part et d’aut e,
par des groupes d’o jets, alors un seul tunnel sera négocié et servira à faire transiter
l’e se le des communications entre ces différents réseaux.
Ce comportement est parfois qualifié de « SharedSA »
Il sera donc essentiel d’ide tifie le comportement des différents correspondants

IPSec distants afin d’adapte la configuration à leurs attentes et leurs exigences.
Attention: il sera ainsi impératif d’har oniser la méthode de configuration des

politiques pour les tunnels entre produits STORMSHIELD et négociés en IKEv2.
316
317
318
319
320
Les interfaces VTI créées sur les deux correspondants portent chacune un nom
commun et une adresse IP du même plan d’ad essage.
Sur A, la VTI est nommée « localdomain.ext » et son IP est 172.25.255.1/30
Sur B, la VTI est nommée « remote.ext » et son IP est 172.25.255.2/30
Pour éviter toute ambiguïté avec l’a hite tu e existante et ses futures évolutions, il
conviendra de choisir un plan d’ad essage dédié à l’usage des VTI, dans une plage
officiellement privée et suffisamment originale pour ne pas entrer en collision avec
un réseau déjà existant ou le réseau distant d’u e interconnexion future.
Les nom communs de ces interfaces seront automatiquement associés sur chacun
des correspondants à un objet local implicite :
Sur A : Firewall_localdomain.ext
Sur B : Firewall_remote.ext
Il faudra sur chacun également créer l’o jet décrivant l’IP de la VTI du correspondant
d’e face.
321
Comme pour toute description d’o jet, il est judicieux de définir une nomenclature
rigoureuse en utilisant des noms évocateurs.
Cette bonne pratique facilitera l’utilisatio des VTI sur des architectures VPN IPSec
aux correspondants multiples.
322
Au contraire des configurations IPSec basées sur le matching de politique, ce ne sont

pas exclusivement les flux de communications entre les deux adresses IP des
interfaces VTI qui seront pris en charge par IPSec, mais tout flux qui passera par ces
interfaces grâce à l’aiguillage appliqué par le routage.
323
Dans ce mode de fonctionnement, il est essentiel de veiller à ce que le routage des

paquets retour coïncide avec le tunnel emprunté par les paquets aller.
Ici, les routes statiques indiquent globalement sur chaque correspondant que les
réseaux distants sont joignables par le même tunnel.
324
L’usage de directives de routage par politique (PBR), impose également de gérer le

routage des paquets retour par le même tunnel.
C’est pourquoi, il est nécessaire de définir la route de retour par la VTI
correspondante au tunnel par lequel les paquets aller sont arrivés.
Ces directives devront être appliquées sur les deux correspondants si les
communications dans le tunnel peuvent être initiées indifféremment par des
réseaux côté A vers des réseaux côté B et inversement.
Policy Matching vs VTI routing :
La sélection de tunnel par routage sur VTI est prioritaire sur le « matching de
politique » IPSec; ’est-à-dire u’e cas de concurrence entre une politique définie
sur matching des extrémités de trafic et une politique basée sur du routage par VTI,
’est la politique par routage sur VTI qui s’appli ue a.
325
326
Ce type de configuration est applicable à :

• des tunnels « site-à-site » avec des firewalls possédant une adresse IP
dynamique (au lieu d’u e adresse IP fixe)
• des clients nomades
327
Seule l’ext é ité de trafic locale doit être sélectionnée (1)

Ici, les machines à rendre joignables par IPSec sont localisées sur Network_in.
L’ext é ité de trafic distante est prédéfinie sur « Tous » par l’assista t. Elle est
supposée être imprévisible car, pour le cas des nomades, elle dépend de ce que le
client présentera pendant la phase 2 en fonction de sa configuration et du réseau
dans lequel il se trouve au moment de la négociation.
« Tous » a donc comme signification « Any » en tant u’e tité IP indéfinie; ’est-à-
dire ’i po te quelle adresse ou plan d’ad essage.
328
Deux panneaux successifs de l’assista t sont présentés ici.

Ils permettent de :
• choisir un nom pour la configuration des correspondants dynamiques.
• sélectionner le mode d’authe tifi atio par PSK
Le prochain panneau ouvrira la table des clefs pré-partagées pour permettre d’

ajouter une entrée.
329
Renseigner l’ide tité d’u correspondant dynamique; ici un firewall dont l’IP est
dynamique.
L’ide tité « fw.remote.ext » est de type FQDN (Fully Qualified Domain Name)
d’o di ai e un nom d’hôte pleinement qualifié.
330
En IKEv1, sur définition d’u e identité de type FQDN, la configuration bascule

automatiquement le mode de négociation sur AGGRESSIVE
331
332
La configuration correspondante sur le firewall distant dont l’IP est dynamique sera
de type site-à-site avec :
• les extrémités de tunnel pleinement définies,
• les extrémités de trafic également pleinement définies,
• l’ide tité de ce firewall doit être définie sous la forme d’u FQDN
(fw.remote.ext conformément à la configuration exemple exposée ici),
• la PSK associée à l’ide tité du firewall dont l’IP est fixe
(fw.localdomain.ext dans notre configuration exemple).
Chaque firewall présentera donc sa propre identité de type FQDN.
En IKEv1, le mode de négociation est basculé automatiquement sur AGGRESSIVE dès

lors u’u identifiant est spécifié dans le champ « LocalID ».
Lorsque ce champ ’est pas renseigné, l’ide tifia t du firewall est son adresse IP fixe
et le mode de négociation sélectionné est MAIN.
La RFC2409 (§5.4) impose que les identifiants soient les adresses IP des
correspondants lorsque le mode de négociation est MAIN et que l’authe tifi atio
s’appuie sur une PSK.
Le mode AGGRESSIVE s’i pose donc dès lors u’au moins l’u des deux
correspondants ne peut pas être identifié par une adresse IP fixe.
333
Il ’ a aucune règle implicite pour les tunnels « Anonymes », leur IP étant par
définition imprévisible.
Il est donc nécessaire d’auto ise explicitement les flux protocolaires de négociation
et de tunneling par des règles de filtrage.
En plus de ces règles qui permettent les négociations et le tunneling, il faudra
également (comme pouor les tunnels site-à-site) définir les règles de filtrage
régissant les flux à l’i té ieu du tunnel.
334
335
• Concepts et généralités
• Mise en œuv e d’u tunnel
336
VPN SSL
337
VPN SSL
Note :
• Les deux modes VPN SSL (portail et complet) peuvent fonctionner en même
temps.
• Le VPN SSL portail ’est pas abordé dans le cadre de cette formation. Ainsi, dans
la suite du document, la mention « VPN SSL » se rapporte exclusivement au VPN
SSL en mode complet.
338
VPN SSL
Le VPN SSL permet à des utilisateurs distants d’a éde de manière sécurisée aux
ressources internes d’u e entreprise. Les communications entre l’utilisateu distant
et le firewall sont encapsulées et protégées via un tunnel TLS chiffré.
Au niveau du firewall, les tunnels VPN SSL sont gérés par le serveur OpenVPN
(logiciel libre) qui est intégré au firmware comme un nouveau service. Ce dernier
peut fonctionner sur ’i po te quel port TCP à l’ex eptio de quelques-uns
(smtp_proxy : 8081/TCP, ftp_proxy : 8083/TCP, pop3_proxy : 8082/TCP, ssl_proxy :
8084/TCP, http_proxy : 8080/TCP, loopback_proxyssl : 8085/TCP, firewall_srv :
1300/TCP, ldap : TCP/389, ldaps TCP/636, pptp : TCP/1723, TCP/4444, TCP/8087 et
smux_tcp : TCP/199) qui sont utilisés pour le fonctionnement interne du firewall.
En ce qui concerne les utilisateurs nomades, le tunnel est géré par le client VPN SSL
(stormshield ou standard openVPN) qui doit être installé au niveau des machines.
Une fois le tunnel ouvert, la machine distante récupère une adresse IP fournie par le
serveur VPN SSL. Elle sera considérée comme faisant partie des réseaux internes
(protégés) du firewall et l’utilisateu sera vu comme authentifié.
339
VPN SSL
340
VPN SSL
Les clients VPN SSL compatibles :
• Le client VPN SSL Stormshield Network (basé sur le client OpenVPN) peut être
lancé depuis un poste utilisateur Windows avec les droits d’utilisateu (par contre
son installation nécessite les droits administrateur), et ce de façon entièrement
transparente pour ce dernier. Ce client est disponible en téléchargement libre
depuis votre espace privé mystormshield.com et depuis le portail captif du
firewall après authentification.
• Un client OpenVPN standard doit être lancé avec les droits d’ad i ist atio du
poste client.
• Les terminaux de type Smartphones / Tablettes (Androïd ou IOS) peuvent

également se connecter via un VPN SSL avec un client OpenVPN Connect
(disponible sur Google Play Store et Apple Store).
341
VPN SSL
Les clients VPN SSL font partie d’u même réseau défini au niveau du firewall. Ce
réseau est considéré comme un réseau interne (protégé) et par conséquent, il ne
doit pas recouvrir un réseau interne existant.
Pour son fonctionnement interne, le serveur réserve le premier sous-réseau en /30

issu du réseau VPN SSL (une interface tun0 est créé portant la première adresse IP
du réseau. Cette interface est visible seulement en ligne de commande). Les sous-
réseaux en /30 suivants sont utilisés par les clients .
Par exemple, dans le cas où le réseau 192.168.100.0/24 est utilisé par le service VPN
SSL. Le premier client VPN SSL utilisera le deuxième sous-réseau en /30 :
• Adresse réseau : 192.168.100.4
• Adresse de l’i te fa e du tunnel côté serveur : 192.168.100.5
• Adresse de l’i te fa e du tunnel côté client : 192.168.100.6
• Adresse de diffusion (broadcast) : 192.168.100.7
Ainsi, le nombre maximum de clients VPN SSL sur ce réseau est donc de 63 (64 sous-
réseaux en /30 dont un utilisé par le serveur).
342
VPN SSL
L’éta lisse e t d’u tunnel VPN SSL s’effe tue en 3 étapes principales :
1. Le client VPN SSL authentifie l’utilisateu via le portail captif. Durant cette étape,
le firewall vérifie si l’utilisateu authentifié possède les droits d’ouv i un tunnel
VPN SSL.
2. Dans le cas où l’authe tifi atio réussit, le client envoie une requête pour
récupérer les fichiers de configuration qui sont renvoyés par le firewall dans un
répertoire compressé « openvpn_client.zip ». Le répertoire contient les fichiers
suivants :
• Le certificat de l’auto ité de certification (CA.cert.pem),
• Le certificat du client et sa clé privée (openvpnclient.cert.pem et
openvpnclient.pkey.pem),
• La configuration du client OpenVPN.
3. Le client entame l’ouve tu e du tunnel TLS avec une authentification par

certificat en utilisant les certificats récupérés dans l’étape précédente. Avant
l’ouve tu e du tunnel, le firewall vérifie que le nombre d’utilisateu s ’est pas
encore atteint et u’u sous réseau peut être réservé pour ce nouveau client. Si
toutes les conditions sont vérifiées, le tunnel est ouvert et l’utilisateu est
considéré comme authentifié.
343
VPN SSL
344
VPN SSL
La première étape de l’éta lisse e t d’u tunnel VPN SSL est l’authe tifi atio de
l’utilisateu via le portail captif, ce qui signifie que :
• un annuaire externe ou interne doit être configuré au niveau du firewall,
• le portail captif doit être actif (dans le cas où il ne l’est pas, l’a tivatio du service
VPN SSL vous le proposera),
• une méthode d’authe tifi atio doit être configurée.
Les méthodes d’authe tifi atio possibles pour le service VPN SSL sont les méthode
explicites qui nécessite un couple identifiant/mot de passe, en l’o u e e LDAP
(interne, externe ou Microsoft Active Directory), Kerberos et Radius.
345
VPN SSL
L’authe tifi atio entre le client et le serveur VPN SSL s’effe tue par certificat. Pour
cela, une autorité de certification (CA) racine existe dans la configuration usine de
tous les firewalls Stormshield Network. Cette CA est nommée sslvpn-full-default-
authority, et elle contient un certificat serveur (qui identifie le serveur VPN SSL), et
un certificat client (qui identifie tous les clients; chacun d’e t e eux sera ensuite
différencié par un couple login/mot de passe).
NOTE : Il est bien sûr possible de créer une CA dédiée au VPN SSL sans faire appel à
la CA par défaut. La création des CA est présentée dans le niveau expert.
346
VPN SSL
Pour autoriser un utilisateur à ouvrir un tunnel VPN SSL, il faut lui attribuer les droits
dans le menu Configuration ⇒ Utilisateurs ⇒ Droits d’accès VPN.
Il est possible de choisir un accès par défaut quelque soit l’utilisateu dans l’o glet
ACCES PAR DEFAUT ⇒ Encadré VPN SSL. Choisir Autoriser dans le champ Politique
VPN SSL par défaut
Cependant, une gestion plus fine des droits d’a s est préconisée en laissant la
politique VPN SSL par défaut à Interdire et en ajoutant les utilisateurs ou les groupes
d’utilisateu s dans l’o glet ACCES VPN ⇒ Ajouter avec le droits VPN SSL à Autoriser.
347
VPN SSL
Pour permettre aux clients VPN SSL d’a éde au portail d’authe tifi atio sur les
interfaces externes du firewall, la règle de filtrage implicite nommée Autoriser
l’accès au portail d’authentification et au VPN SSL pour les interfaces externes (non
protégées) (Authd_ext) doit être activée.
Si ce ’est pas le cas, il sera impératif d’ajoute des règles de filtrage explicites dans
la politique active autorisant les flux à destination de l’i te fa e publique sur le port
d’é oute du service.
348
VPN SSL
Le paramétrage du Service VPN SSL s’effe tue dans le menu Configuration ⇒ VPN ⇒
VPN SSL.
• Encadré Paramètres réseaux :
• Adresse IP (ou FQDN) de l’UTM utilisée : il s’agit de l’ad esse sur laquelle
vont se connecter les clients VPN SSL (adresse publique la plupart du
temps). Attention, la saisie d’u FQDN induit une résolution de noms via
un service DNS,
• Port : port d’é oute du service VPN SSL. Attention, certains ports sont à
usage interne et ne peuvent être choisis ici. Ces ports sont smtp_proxy :
8081/TCP, ftp_proxy : 8083/TCP, pop3_proxy : 8082/TCP, ssl_proxy :
8084/TCP, http_proxy : 8080/TCP, loopback_proxyssl : 8085/TCP,
firewall_srv : 1300/TCP, ldap : TCP/389, ldaps TCP/636, pptp : TCP/1723,
TCP/4444, TCP/8087 et smux_tcp : TCP/199.
• Réseaux ou machines accessibles : machines ou réseaux auxquels les
utilisateurs pourront avoir accès une fois le tunnel établi (l’a s dépendra
néanmoins de la politique de filtrage active). Il est possible de choisir
l’o jet « Any ». Dans ce cas, tous les flux du client VPN passeront par le
tunnel et seront soumis aux opérations de filtrage et de NAT du firewall.
• Réseau assigné aux clients : réseau qui sera attribué aux clients nomades
une fois le tunnel établi. La valeur minimale pouvant être choisie ici est un
réseau en /29.
• Maximum de tunnels simultanés autorisés : paramètre non configurable
dans l’IHM. Il indique le nombre de tunnels (clients) maximum autorisés
qui est le MIN entre le nombre de tunnels autorisés pour le modèle du
firewall et le nombre de tunnels possibles calculé à partir du réseau
assigné aux clients.
349
VPN SSL
Comme vu précédemment, ce réseau est découpé en sous-réseaux de /30

dont un est utilisé par le serveur pour son fonctionnement interne et les
autres sont utilisés par les clients. Ainsi, un réseau en /24 permettra au
maximum 63 tunnels.
• Encadré Paramètres DNS envoyés au client :
• Nom de domaine : il s’agit en général du domaine dont dépendent les
réseaux accessibles par le client
• Serveur DNS primaire (et secondaire): interne à l’e t ep ise si le client
doit pouvoir accéder à des ressources locales. Sinon, le choix d’u serveur
public est autorisé.
• Encadré Configuration avancée :
• Permet de définir des scripts qui sont exécutés lors de la connexion et de
la déconnexion du client. Des exemples de scripts sont détaillés dans le
document snfrtno_VPN_SSL_Tunnel.pdf accessible via
https://mystormshield.eu.
• Encadré Certificats utilisés :
• Personnalisation des certificats utilisés. Pour rappel, le certificat serveur
permet d’ide tifie le serveur VPN SSL tandis que le certificat utilisateur
permet d’ide tifie les clients VPN SSL (chaque client sera ensuite
distingué par son login). En cas de modification de ces certificats, assurez-
vous u’ils soient issus de la même autorité de certification. Dans le cas
contraire, la configuration ne sera pas appliquée.
350
VPN SSL
Dans le cas où le portail captif ’est pas activé sur les interfaces externes, l’a tivatio
du service VPN SSL fera apparaitre une fenêtre qui vous l’i di ue a et vous
proposera de l’a tive .
351
VPN SSL
L’appli atio VPN SSL Stormshield Network est disponible en téléchargement sur
votre espace privé https://mystormshield.eu et sur le portail captif du firewall après
authentification.
Une fois démarré, le client VPN SSL nécessite trois paramètres:

• L’ad esse IP ou le FQDN du firewall à contacter,
• L’ide tifia t de l’utilisateu disposant des droits VPN SSL,
• Le mot de passe associé à l’utilisateu .
Un pop-up indique que la connexion à ce site ’est pas sécurisée car la CA signataire
du certificat serveur présenté par le portail captif du firewall ’est pas de confiance
pour le client. Il est donc possible de:
• Afficher le certificat : afin de connaître notamment la CA signataire,
• Faire confiance à ce certificat : ajoute la CA aux autorités de confiance et
permet de continuer l’éta lisse e t du tunnel,
• Annuler la connexion : dans ce cas, l’éta lisse e t du tunnel sera
interrompu.
En cas d’é he lors de la montée du tunnel, un clic-droit sur l’i ô e Stormshield

Network VPN SSL permet d’affi he les journaux (logs).
Lorsque le tunnel est monté, le poste client disposera d’u e interface spécifique au
tunnel VPN SSL dont l’ad esse IP fait partie de l’o jet Réseau assigné au client de la
configuration serveur.
352
VPN SSL
L’i ô e du client VPN SSL Stormshield qui apparaît dans la zone de notification de la
barre de tâches de Windows possède un code couleur qui correspond à son état :
• Rouge : le client est déconnecté,

• Jaune : le client essaye d’ouv i le tunnel,
• Bleu : le client est connecté.
Lorsque le client est connecté, des informations sur la connexion apparaissent

lorsque le curseur de la souris est positionné au-dessus de l’i ô e.
353
VPN SSL
La règle de filtrage n°1 permet l’initiation de connexions à partir des clients VPN SSL
et à destination du serveur interne SRV_INTRANET,
La règle de filtrage n°2 permet l’initiation de connexions à partir des clients VPN SSL
et à destination d’I te et, dans ce cas, une règle de NAT doit également être
implémentée.
354
VPN SSL
Depuis Stormshield Real-Time Monitor, il est possible de consulter les tunnels VPN
SSL ouverts dans le menu Tunnel VPN => onglet Tunnels VPN SSL. Il est également
possible de supprimer un tunnel en cliquant sur Supprimer ce tunnel accessible par
un clic-droit.
Les utilisateurs connectés via un tunnel VPN SSL sont considérés comme authentifiés
et ils peuvent être visualisés depuis le menu utilisateurs. La colonne
Authentification informe que le client1 est authentifié via un tunnel VPN SSL.
355
VPN SSL
356
ANNEXES
357
• DNS dynamique
• DHCP
• Proxy Cache DNS
358
Annexe - Configuration réseau
359
Le DNS dynamique permet d’asso ie un nom de domaine à un firewall qui ne

possède pas une adresse IP publique fixe. Ainsi, le firewall sera toujours accessible
en utilisant son nom de domaine. Cette fonctionnalité est basée sur un fournisseur
de service DNS. Les firewalls Stormshield Network supportent deux fournisseurs :
DynDNS et No-IP.
Le principe de fonctionnement est illustré dans la figure ci-dessus. Elle fait intervenir
deux entités : un client intégré au firewall Stormshield Network qui transmet des
mises à jour d’ad esse IP à un serveur maintenu par le fournisseur de service DNS. Le
nom du domaine est associé à une interface. La mise à jour est effectuée à chaque
fois que l’ad esse IP de l’i te fa e change. Dans le cas où l’ad esse ne change pas,
une mise à jour est effectuée par défaut tous les 28 jours.
360
Le DNS dynamique est configurable dans le menu CONFIGURATION ⇒ RÉSEAU ⇒

DNS dynamique.
La page du menu est constituée de deux parties :
1. Liste des Profils DNS dynamique : Il est possible d’ajoute , supprimer et
de réinitialiser des profils. Un profil peut être activé/désactivé avec un
double clic sur le champ État. Le bouton Réinitialiser s’a tive pour un
profil lorsque la communication avec le fournisseur de service DNS
échoue. Ce bouton relance une nouvelle tentative de communication.
2. Les paramètres du profil DNS dynamique :
• Nom du domaine : Renseigne le nom du domaine qui sera utilisé
pour accéder au firewall. Par exemple : firewall.stormshield.eu.
• Interface associée au nom du domaine : L’i te fa e dont l’ad esse
IP est associée au nom du domaine. Une interface ne peut pas
être utilisée par deux profils différents.
• Effectuer la résolution DNS pour les sous-domaines (gestion du
wildcard): Si cette option est cochée, tous les sous-domaines
(www.firewall.stormshield.eu) du domaine renseigné ci-dessus
(firewall.stormshield.eu) seront associés à la même adresse IP.
• Fournisseur DNS dynamique : Indique le fournisseur de service
DNS utilisé par le profil. Actuellement, deux fournisseurs de
service sont supportés : DynDNS et No-IP.
361
• Nom d’utilisateur et Mot de passe : L’ide tifia t et le mot de passe

utilisés pour authentifier le client auprès du fournisseur de service DNS.
• Serveur DNS dynamique : Indique le serveur du fournisseur de service
DNS sous la forme d’u objet machine dont le nom est résolu
automatiquement (voir le Module « Objet »).
• Service DNS dynamique : Indique le service souscrit auprès du
fournisseur de service DNS.
362
363
Le firewall Stormshield Network intègre un serveur et un relai DHCP :

• Serveur DHCP : Permet de gérer dynamiquement l’att i utio d’ad esses
IP dans un LAN. Les messages DHCP sont échangés en broadcast ou en
unicast entre le client et le firewall en se basant sur le protocole UDP
(port 68 côté client et port 67 côté serveur). Ces échanges sont illustrés
dans la figure ci-dessus. Les échanges débutent par l’e voi d’u message
« DHCP DISCOVER » par le client afin de découvrir le(s) serveur(s) DHCP
présent(s) sur le LAN. Le firewall répond par un message « DHCP OFFER »
qui contient une offre d’ad esse IP avec tous les paramètres nécessaires
(passerelle, DNS, etc). Le client retient l’offre en renvoyant un message
« DHCP REQUEST » avec l’ad esse IP désirée (annoncée pendant le DHCP
OFFER). Le serveur termine l’é ha ge en acquittant la requête du client
par un message « DHCP ACK ». L’ad esse IP sera valable durant un bail
déterminé. Le serveur DHCP est opérationnel uniquement sur les
interfaces internes (protégées) du firewall.
• Relai DHCP : Le firewall va relayer les messages DHCP entre le client et un
serveur. Les messages DHCP sont relayés en unicast entre le firewall et le
serveur DHCP.
Le firewall ne peut gérer les fonctions de serveur et relai DHCP simultanément.
364
La configuration du serveur ou du relai DHCP s’effe tue dans le menu

CONFIGURATION ⇒ RÉSEAU ⇒ DHCP. La composition du menu diffère en fonction
du service sélectionné :
• Serveur DHCP:
L’e ad é Paramètres permet de définir les informations par défaut transmis
aux clients DHCP : Nom de domaine, Passerelle par défaut, Serveur DNS
primaire et Serveur DNS secondaire. Ces informations peuvent être
personnalisées pour chaque plage d’ad esse définie dans l’e ad é PLAGE
D’ADRESSES. Les plages doivent respecter les conditions suivantes :
• Une plage doit appartenir au même plan d’ad essage que celui d’u e
interface protégée.
• Deux plages d’ad esses IP ne doivent pas se chevaucher.
• La passerelle spécifiée pour une plage doit être dans le même plan
d’ad essage.
365
Toujours dans le même menu, la partie RÉSERVATION permet de réserver des

adresses IP fixes pour des machines dans le LAN, identifiées par leur adresse
MAC.
Attention : Les adresses IP réservées doivent être en dehors des plages

d’ad esses renseignées dans l’o glet précédent.
La réservation s’effe tue en ajoutant une ligne dans la liste avec le bouton
Ajouter. Un objet machine doit être renseigné dans le champ Réservation.
Cet objet doit contenir l’ad esse IP qui sera assignée au client et l’ad esse
MAC de la machine qui obtiendra cette adresse IP. Si l’o jet machine
renseigné ne contient pas d’ad esse MAC, une erreur s’affi he a pour
informer de l’i possi ilité de trouver une adresse MAC pour la machine. Il
est possible de renseigner une passerelle spécifique pour l’ad esse IP
réservée dans le champ Passerelle .
Dans la configuration avancée, des éléments complémentaires peuvent être

transmis aux clients et la durée de bail attribuée peut être modifiée.
366
• Relai DHCP
Dans l’e ad é Paramètres l’o jet correspondant au serveur DHCP vers

lequel les messages DHCP vont être relayés est à renseigner.
L’optio Adresse IP utilisée pour relayer les requêtes DHCP permet quant à
elle de choisir l’ad esse IP source des requêtes DHCP relayées par le firewall.
Par conséquent, seuls les objets « Firewall_ » y sont listés.
Si l’optio Relayer les requêtes DHCP pour toutes les interfaces est cochée,
le firewall écoutera les requêtes des clients sur l’e se le de ses interfaces
réseaux.
Le cas contraire, la liste suivante permet de préciser les interfaces pour
lesquelles les requêtes doivent être relayées.
367
368
La fonctionnalité proxy cache DNS permet de stocker les adresses IP des noms
résolus par des requêtes DNS afin de préserver la bande passante en évitant
plusieurs résolutions du même nom. Cette fonctionnalité peut être mise en œuv e
dans deux cas de figure :
• Dans le premier cas, le réseau local utilise le firewall comme un serveur
DNS. La requête DNS est reçue par le firewall qui vérifie la présence du
nom dans le cache. Si le nom ’existe pas, il effectue une résolution en
utilisant ses serveurs DNS; il ajoute dans le cache le nom accompagné des
adresses IP et il envoie enfin une réponse DNS au réseau local. Si le nom
existe dans le cache, le firewall envoie une réponse DNS en se basant sur
les informations présentes.
• Dans le deuxième cas, le réseau local utilise ’i po te quel serveur DNS.
La requête DNS destinée au serveur X est interceptée par le firewall qui
commence par vérifier la présence du nom dans le cache. Si le nom
’existe pas, il effectue une résolution en utilisant ses serveurs DNS et
non le serveur X; il ajoute dans le cache le nom accompagné des adresses
IP et enfin il envoie une réponse DNS au réseau local en usurpant
l’ad esse IP du serveur X ce qui fait croire au réseau local que la résolution
a été effectuée par ce serveur. Si le nom existe dans le cache, le firewall
envoie une réponse DNS basée sur les informations existantes, en
usurpant également l’ad esse IP du serveur X.
369
Le menu CONFIGURATION ⇒ Réseau ⇒ Proxy cache DNS permet d’a tive le cache
DNS. Les objets autorisés à utiliser ce cache doivent être explicitement ajoutés dans
la « liste des clients autorisés à utiliser le cache DNS ». Ces objets peuvent être des
machines, des réseaux, des plages d’ad esses ou des groupes.
Dans la configuration avancée, il est possible de :

• Modifier la taille du cache qui est par défaut fixée à 1Mo.
• L’optio Mode transparent (intercepte toutes les requêtes DNS émises
par les clients autorisés) doit être cochée pour le fonctionnement du
cache DNS dans le 2ème cas de figure présenté précédemment.
• L’optio interrogation aléatoire des serveurs DNS permet au firewall
d’utilise aléatoirement la liste de ses serveurs DNS configurée dans le
menu SYSTÈME ⇒ Configuration ⇒ PARAMÈTRES RÉSEAUX ⇒ Résolution
DNS
370
• Configurations avancées
371
Annexe - Translation d'adresses
372
Sur une règle de NAT, il est possible de spécifier l’i te fa e d’e t ée du trafic pour
lequel la règle doit s’appli ue . Cette configuration avancée qui s’effe tue au niveau
du champ source d’u e règle permet de répondre à plusieurs cas d’usage.
Le premier cas est présenté ci-dessus, il consiste à translater deux réseaux physiques
(in et dmz1) appartenant au même réseau logique (network_bridge) avec deux
adresses IP publiques Firewall_out et IP_pub_virtuelle. La spécification de
l’i te fa e d’e t ée est le seul moyen pour distinguer les deux réseaux physiques.
373
Le deuxième cas d’usage est la translation des différents alias réseaux portés par une
interface avec l’ad esse IP publique du Firewall. Dans ce cas, on devrait ajouter tous
les réseaux des alias. La spécification d’u e interface sur une règle de translation
d’ad esse permet d’utilise Any en réseau source afin de translater tous les alias de
cette interface.
374
Sur une règle de NAT, il est possible également de spécifier l’i te fa e de sortie du
trafic pour laquelle la règle doit s’appli ue . Cette spécification s’effe tue au niveau
du champ destination du trafic avant translation ce qui permet de restreindre la
règle de translation uniquement au trafic sortant de cette interface (Cette dernière
est décidée au préalable par la fonction de routage qui fixe l’ad esse MAC
destination du paquet avec l’ad esse MAC de la passerelle distante).
Les figures ci-dessus illustrent l’utilisatio de l’i te fa e de sortie dans le cas où le

firewall dispose de deux accès WAN et quand on souhaite mettre en place de la
répartition de charge sur les deux liens.
Rappel : Le partage de charge est mis en place au niveau du routage.
375
Les paramètres de configuration avancée des règles de translation permettent la

répartition des connexions redirigées pour les connexions entrantes et sortantes :
• Répartition des connexions sortantes : Elle consiste à translater les
connexions sortantes avec plusieurs adresses IP sources.
• Répartition des connexions entrantes sur plusieurs serveurs ou services
(ports). On distingue différents cas:
• Répartition sur plusieurs machines : Elle consiste à rediriger les
connexions entrantes vers plusieurs machines en renseignant
plusieurs adresses IP comme destination pour le trafic après
translation. Elle peut être utilisée dans le cas où un service est
hébergé sur plusieurs serveurs.
• Répartition sur plusieurs ports : Elle consiste à rediriger les
connexions entrantes vers plusieurs ports destinations d’u e seule
machine en spécifiant une plage de ports pour le trafic après
translation. Elle est utilisée dans le cas où la machine héberge
plusieurs instances d’u e même application. Chacune des instances
écoutant sur un port particulier de la plage de ports de destination.
• Répartition sur plusieurs machines et plusieurs ports : Elle
représente une combinaison des deux répartitions précédentes.
Elle permet de répartir le trafic entrant sur les différents ports de
destination de plusieurs machines.
376
Les différents types de répartition peuvent se baser sur quatre types d’algo ith es :
• Round-robin : Les adresses IP ou les numéros de port seront utilisés de
façon alternée par les connexions.
• Hachage de l’IP source : Un hash de l’ad esse IP source, de la connexion
avant translation, est calculé pour choisir l’ad esse IP ou le numéro de
port. Cet algorithme permet de garantir que les connexions de la même
machine seront toujours associées avec la même adresse IP ou le même
numéro de port.
• Hachage de la connexion : Un hash des paramètres de connexion avant
translation (IP source, port source, IP destination, port destination) est
calculé pour choisir l’ad esse IP ou le numéro de port. Cet algorithme
permet de répartir les connexions provenant de la même machine sur
plusieurs adresses IP ou plusieurs numéros de port.
• Aléatoire : L’ad esse IP ou le numéro de port sont choisis aléatoirement.
NOTE : L’a essi ilité de l’ad esse IP ou du numéro de port choisi n'est pas vérifiée
(S’ils ne sont pas accessibles, le firewall continuera à leur transmettre du trafic).
377
La configuration avancée des règles de translation d’ad esse permet de définir

d’aut es critères sources. On distingue :
• La spécification d’utilisateurs ou de groupes d’utilisateurs : Permet de
définir des règles de translation spécifiques aux utilisateurs authentifiés
(cela suppose u’u LDAP et un mécanisme d’authe tifi atio ont été
préalablement configurés au niveau du firewall).
• La spécification de champ (champ DSCP) : Permet de translater les
adresses en fonction des valeurs du champs DSCP. Ce dernier se trouve au
niveau de l’e t te IP d’u paquet et indique la classe de service (QoS) à
laquelle appartient le trafic.
378
Dans certaines configurations, il peut être nécessaire de ne pas effectuer l’opé atio
de translation pour certains trafics. Dans l’exe ple présenté ci-dessus, l’e se le
des adresses du LAN sont translatées sur l’ad esse IP de l’i te fa e externe du
Firewall à l’ex eptio du trafic à destination du réseau partenaire.
Pour mettre en œuv e cette configuration, une règle de translation spécifique doit
être ajoutée pour indiquer que le trafic du réseau interne vers le réseau partenaire
ne doit pas être translaté. Dans cette règle, les paramètres du trafic après translation
doivent être identiques aux paramètres du trafic avant translation. De plus, cette
règle doit être positionnée avant la règle de translation à destination d’I te et pour
éviter une situation de recouvrement.
NOTE : Il est également possible d’utilise l’ex eptio de translation pour une
machine spécifique d’u réseau translaté.
379
• Configurations avancées
380
Annexe - Filtrage
381
Annexe - Filtrage
Les règles de filtrage global donnent accès à une nouvelle action qui permet de
déléguer le choix de l’a tio au filtrage local. Ainsi, les paquets qui correspondent à
une règle de filtrage global dont l’a tio est déléguer continueront à être confrontés
directement aux règles de filtrage local.
Une fois activée, cette règle est visible via Stormshield Network Real-Time Monitor
dans la section « Politique de Filtrage » et contient l’a tio « Jump » suivie du
nombre de règles à ne pas analyser pour atteindre le filtrage local.
382
Annexe - Filtrage
Une règle de filtrage permet d’utilise le port source comme critère d’ide tifi atio
d’u trafic. Ce paramètre ’appa ait pas par défaut dans la fenêtre des règles mais il
peut être affiché en sélectionnant la colonne qui lui correspond. Sa configuration
peut s’effe tue également au niveau de l’o glet CONFIGURATION AVANCÉE du
champ source.
383
Annexe - Filtrage
La valeur du champ DSCP peut être utilisée pour identifier un trafic dans une règle
de filtrage. La sélection de la valeur s’effe tue au niveau du paramètre DSCP
source dans l’o glet CONFIGURATION AVANCÉE du champ source qui offre
également la possibilité de définir une valeur personnalisée non standard.
Rappel : le champ DSCP fait partie de l’entête IP et indique la classe de service (QoS)
à laquelle appartient un paquet IP.
384
Annexe - Filtrage
Les firewalls Stormshield Network offrent le moyen de forcer la valeur du champ

DSCP pour un trafic au niveau du champ Action d’u e règle de filtrage. Ainsi, les
paquets IP appartenant à ce trafic seront marqués avec la valeur du champ DSCP
choisie à la sortie du firewall. La configuration de ce marquage s’effe tue dans la
partie DSCP de l’o glet QUALITÉ DE SERVICE appartenant au champ Action.
385
• Méthode guest
386
Annexe - Utilisateurs & authentification
387
La méthode Guest est simple et rapide à configurer. Dans la liste des méthodes
disponibles, le seul paramètre à renseigner concerne la fréquence d’affi hage des
conditions d’utilisatio (par défaut à une valeur de 1080 minutes).
Dans l’éditio de la politique d’authe tifi atio , un assistant est prévu pour
facilement configurer la méthode Guest. Cet assistant ne demande que le réseau ou
l’i te fa e depuis laquelle les machines clientes vont s’authe tifie . La méthode
Guest sera donc appliquée à tous les utilisateurs provenant de l’o jet ou l’i te fa e
sélectionnés.
Enfin, pour permettre à l’utilisateu de valider la charte lors de sa navigation WEB, il

est nécessaire de configurer une redirection automatique vers le portail
d’authe tifi atio comme l’i di ue la dernière image. Pour rappel, un assistant
nommé Règle d’authentification est disponible pour cela depuis le bouton Nouvelle
règle.
388
Un modèle est configuré par défaut mais un fichier au format PDF ou HTML peut
être importé depuis les paramètres avancés du portail captif afin de personnaliser
son contenu.
389
• Point-to-Point Tunneling Protocol
390
Annexe - Virtual Private Network
391
392
La plage d’ad esses allouée aux clients PPTP doit impérativement être dédiée à cet
usage; aucune machine du LAN ne doit porter une de ces adresses car cela aboutirait
à un conflit d’ad esse IP sur le LAN.
393
Le mot de passe PPTP est indépendant du mot de passe que l’utilisateu présenterait
au portail dans le cadre d’u e simple authentification.
En conséquence, dans le cas où le firewall s’appuie ait sur un LDAP de type Active
Directory ou plus généralement un LDAP externe, le mot de passe PPTP ’est pas
synchronisé avec le mot de passe d’authe tifi atio de l’utilisateu .
394
LABS CSNA
395
396
Labs
La figure ci-dessus p ése te l’a hite tu e éseau ue ous allo s ett e e pla e au
fu et à esu e des t avaux p ati ues. L’a hite tu e est o stituée de plusieu s
e t ep ises ui poss de t ha u e u éseau p ivé o posé d’u fi e all
STORMSHIELD et d’u e a hi e ph si ue. Cette de i e si ule u éseau i te e
« 192.168.x.0/24 » avec un poste utilisateur et un parc de serveurs (DNS, WEB, FTP,
MAIL) embarqués dans une machine virtuelle Debian fournie par le formateur.
Chaque entreprise possède également un réseau DMZ « 172.16.x.0/24 » et les
firewalls de toutes les entreprises sont connectés entre eux à travers le réseau
externe « 192.36.253.0/24 ».
Cha ue pa ti ipa t au a e ha ge l’ad i ist atio d’u e e t ep ise. Pou

l’i stallatio et la o figu atio de la a hi e vi tuelle De ia epo tez-vous au
fichier PDF « VMServer » fourni par le formateur.
Note : L’a hite tu e illust ée i-dessus peut être étendue à plus de participants en
espe ta t le pla d’ad essage :
• Réseau interne « 192.168.x.0/24 »,
• Réseau DMZ « 172.16.x.0/24 »,
• Interface externe du firewall « 192.36.253.x0/24 ».
Il suffira de modifier le « x » suiva t la lett e de l’e t ep ise A⇒1, B⇒2, c⇒3, D⇒4,
etc.
397
Labs
LAB 1 : Prise en main du Firewall
1. Remettez la configuration usine sur votre firewall et connectez-vous à son

interface d’ad i ist atio web.
2. Modifiez vos préférences pour ne jamais être déconnecté en cas d'inactivité

sur l’i te fa e d'administration.
3. Paramétrez la langue (traces et clavier) et le fuseau horaire de votre UTM.

Vérifiez que votre firewall est à l’heu e après le redémarrage.
4. Activez le service SSH avec l'authentification par mot de passe.
5. Vérifiez la validité de votre licence et des éventuelles options disponibles.
6. Déterminez la partition active sur votre firewall (principale ou secours ?). Dans
le cas où votre firewall ’est pas à jour par rapport à la dernière version fournie
par le formateur, mettez à jour la partition principale tout en gardant l’a ie e
version sur la partition de secours.
7. Faites une sauvegarde de la configuration en local.
8. Modifiez le mot de passe de l’utilisateu « admin » (il faut choisir un mot de

passe d’au moins 8 caractères).
9. Activer le stockage local des logs en sélectionnant la carte SD comme support.

Formatez la carte avant d’appli ue la configuration.
10. Installez le pack administration suite sur votre PC (fichier « .exe » fourni par le
formateur). Lancez les applications « Real Time Monitor » et « Event
Reporter ». Connectez-vous à votre firewall depuis ces applications.
11. Activez les rapports embarqués suivants :
• Top des machines à l’o igi e des alarmes,
• Top des utilisateurs par volume échangé,
• Top des alarmes les plus fréquentes,
• Top des sites web les plus visités,
• Top des sites web les plus bloqués.
398
Labs
LAB 2 : Les Objets
1. Créez les objets machines et réseaux pour toutes les autres Compagnies :
– Firewalls distants (adresse des interfaces externes)
• Exemple : Fw_A en 192.36.253.10
– Réseaux distants (adresse des réseaux internes)
• Exemple : Reseau_A en 192.168.1.0 / 255.255.255.0
2. Ajoutez un nouveau service basé sur TCP fonctionnant sur le port 2500, appelé
Institute
3. Créez un objet "pc_admin" ave l’ad esse . 6 .x.
4. Créez un objet "srv_dns" dont l'adresse IP est 192.168.x.10
5. Créez un objet "srv_web" dont l'adresse IP est 192.168.x.11
6. Créez un objet "srv_ftp" dont l'adresse IP est 192.168.x.12
7. Créez un objet "srv_mail" dont l'adresse IP est 192.168.x.13
8. Créez un groupe d'objets dont vous choisirez le nom et qui contiendra les 4
serveurs que vous venez de définir
Note : Le « x » doit t e e pla é suiva t la lett e de l’e t ep ise A⇒1, B⇒2, C⇒3,
D⇒4, etc.
399
Labs
LAB 3 : Configuration réseau et routage
Pour la suite des labs, vous devez sélectionner et activer la politique de filtrage (10)
Pass all dans le menu CONFIGURATION ⇒ POLITIQUE DE SÉCURITÉ ⇒ Filtrage et
NAT qui autorisera tous les trafics traversant ou à destination du firewall.
1. Configurez votre firewall SN selon les paramètres de l’a hite tu e

globale (interfaces IN, OUT et DMZ1) . La passerelle par défaut de votre
firewall est le firewall du formateur « 192.36.253.254 ».
2. Configurez votre station avec une adresse IP fixe « 192.168.x.2 », passerelle

« 192.168.x.254 » et serveur DNS « 192.168.x.10 »
3. Configurez le routage statique sur votre firewall pour permettre à votre station
de joindre le réseau interne « 192.168.x.0/24 » des autres entreprises.
LAB Bonus : DHCP
1. Configurez le serveur DHCP en lui indiquant les informations suivantes :
• Serveur DNS : srv_dns « 192.168.x.10 »
• Une nouvelle plage d’ad esses IP de 192.168.x.20 à 192.168.x.50. La

passerelle pour cette plage sera l’ad esse IP de l’i te fa e du firewall
connectée à votre réseau interne.
Ensuite, configurez votre poste en DHCP pour tester l'attribution d'adresse IP.
2. Modifiez l'objet "pc_admin" pour lui associer l'adresse MAC de votre machine.
3. Configurez le serveur DHCP pour réserver l'adresse IP portée par l’o jet
« pc_admin » à votre machine. La passerelle de cette machine sera également
l’ad esse IP de l’i te fa e du firewall connectée à votre réseau interne. Testez à
nouveau l'attribution d'adresse IP sur votre poste pour confirmer le
fonctionnement de la réservation.
400
Labs
LAB Bonus : Virtual Log Appliance for Stormshield

1. Installez la machine Vitual Log appliance (VLA) à partir du fichier « .ova » fourni
par le formateur.
2. Co figu ez la VLA ave l’ad esse IP stati ue « 192.168.X.14 ».
3. Activez le Syslog au niveau du firewall pour transmettre tous les logs vers la VLA.
4. Co e tez vous su l’i te fa e e de la VLA et vé ifiez ue les logs so t ie
reçus.
401
Labs
LAB 4 : Translation d’adresses
Pour ce LAB, nous considérons le réseau externe inter-entreprises comme un réseau

pu li da s le uel au u e ad esse IP p ivée ’est tolé ée. De plus, le fi e all du
formateur est connecté à internet via une interface autre que celles utilisées dans
l’a hite tu e du LAB :
1. Désactivez les routes statiques ajoutées dans le lab précédent.
2. Copiez la politique de filtrage/NAT (10) Pass all vers une autre politique vide en la
renommant « entreprise_X » (remplacez X par la lettre de votre entreprise).
Ensuite, activez cette politique.
3. Ajoutez une règle de NAT afin que les machines de votre réseau interne puissent
a éde au éseau exte e sa s ue leu IP p ivée ’ soit vue. E suite, testez
l’a s au éseau exte e et l’a s à i te et depuis vot e poste i te e (l’a s
à internet est possible via la passerelle du formateur si la translation est
correctement configurée).
4. Vous disposez de 2 adresses IP publiques supplémentaires « 192.36.253.x2 » et
« 192.36.253.x3 » réservées respectivement à vos serveurs FTP et MAIL. Ajoutez
les règles de NAT qui permettent de joindre chaque serveur depuis le réseau
externe grâce à son adresse IP publique.
5. Ajouter une règle de NAT afin que votre serveur WEB soit joignable grâce à une
edi e tio de po t via l’ad esse IP pu li ue po tée pa vot e fi e all
« 192.36.253.x0 ».
6. Tracez les règles de NAT pour les flux entrants.
7. Avec votre voisin, testez l'accès à l'ensemble de vos ressources et confirmer le
traçage des règles demandées avec Stormshield Event Reporter ou depuis
l’i te fa e web Rapports d’activités.
402
Labs
LAB 5 : Filtrage
Dans la politique de filtrage/NAT « entreprise_X », supprimez la règle de filtrage Pass

all et ajoutez les règles de filtrage qui respecteront le cahier des charges suivant
(utilisez les séparateurs en indiquant le rôle de chaque règle):
Trafics sortants :
1. Votre réseau interne, à l'exception de vos serveurs, doit pouvoir naviguer sur
les sites web d'Internet en HTTP et HTTPS.
2. Un stagiaire, nouvellement arrivé dans l'entreprise, a l'interdiction d'effectuer
la moindre requête FTP. L'adresse IP de sa machine est 192.168.x.200.
3. Votre réseau interne doit pouvoir joindre les serveurs FTP et Web de vos
voisins.
4. Votre réseau interne doit pouvoir émettre un ping vers n'importe quelle
destination.
5. Seul votre serveur DNS interne (192.168.x.10) est autorisé à résoudre vers
l'extérieur, et plus précisément vers l'IP publique du formateur
(192.36.253.254).
6. Votre serveur de messagerie peut envoyer des mails vers les serveurs publiés
par vos voisins.
Trafics entrants :
7. Les voisins et le formateur peuvent joindre vos serveurs Web et FTP ; ces
événement doivent être tracés.
8. Les serveurs mails voisins sont autorisés à transmettre des e-mails à votre
serveur de messagerie
9. Les voisins sont autorisés à pinger l'interface externe de votre firewall; cet
événement devra lever une alarme mineure.
10. Le formateur est autorisé à pinger l'interface externe de votre firewall.
11. Les voisins et le formateur peuvent se connecter à votre firewall : via le Real-
Time Monitor, via l’i te fa e web et en SSH. Ces événements devront lever des
alarmes majeures.
403
Labs
13. Testez les trafics sortants et faites tester les trafics entrants par vos voisins. En
consultant les traces, Confirmez :
 Le traitement de chaque flux par la règle de filtrage qui lui correspond,

 Le traçage et la levée des alarmes pour les règles demandées.
14. Grâce aux rapports embarqués, identifiez :
 Les alarmes les plus fréquemment levées,

 Les machines qui ont levé le plus d’ala es.
Note : Vous pouvez configurer un client de messagerie pour tester l’envoi d'e-mails
en SMTP et leur rapatriement en POP3. Ci-dessous les informations nécessaires à la
configuration (remplacez « x » par la lettre de l’entreprise : a, b, c, d, etc) :
• Serveur SMTP : mail.x.net

• Serveur pop : mail.x.net
• Utilisateur : user
• Mot de passe : user
404
Labs
LAB 6 : Filtrage de contenu (HTTP)
1. Sélectionner la base d’URL « Extended Web Control », si ’est disponible.
2. Trouvez les catégories dans lesquelles sont classées les URL

www.facebook.com, www.home.barclays et www.lequipe.fr
3. Modifiez la page de blocage de votre choix avec le logo de votre entreprise.

Cette page sera affichée pour l'ensemble des sites interdits.
4. Configurez une politique de filtrage URL que vous renommerez "No_Online" et

qui permet l'accès à tous les sites Web sauf les sites de jeux en ligne et les sites
de shopping. Cependant, assurez-vous que le site ebay.com reste joignable.
5. Bloquez l’a s au fichier mp3 hébergé sur le serveur Web du formateur.
6. En utilisant les rapports embarqués, identifiez les sites web les plus visités et
les plus bloqués.
405
Labs
LAB 7 : Authentification
1. Lancez l’assista t LDAP et créez une base LDAP interne
 Le nom d’o ga isatio est EntrepriseX, et le domaine est

entrepriseX.fr.
 Autorisez l'accès au portail captif sur les interfaces protégées ainsi

que l'enrôlement des utilisateurs via le portail Web.
 Testez l’a s au portail captif.
2. Créez un utilisateur Jean Dupont :
 Identifiant : jdupont
 Mot de passe : password
 Adresse email : jdupont@entrepriseX.fr
3. En utilisant la fonction d’e ôle e t, créez un utilisateur « Pierre Martin »

avec le mot de passe : pmartin1
4. Adaptez la politique de filtrage afin que tous les utilisateurs soient

redirigés vers le portail captif lorsqu'ils tentent d'accéder à des sites WEB,
sauf les sites présents dans la catégorie News.
5. Tester l’a s en HTTP à un site appartenant à la catégorie news et

confirmer la redirection vers le portail pour tout autre site en HTTP
’appa te a t pas à cette catégorie.
6. Pour l'utilisateur Pierre Martin, seul l'accès aux sites d'achats en ligne sera
autorisé. Pour le reste des utilisateurs, la politique de filtrage URL
« No_Online » sera appliquée.
7. Complétez la politique de filtrage pour que l'envoi de pings depuis votre

réseau interne ne soit autorisé qu'aux utilisateurs authentifiés. Cette règle
devra systématiquement lever une alarme mineure.
8. Avec les rapports embarqués, identifiez les utilisateurs qui ont échangé la
quantité de données la plus élevée au travers le firewall.
9. Donnez à Jean Dupont les droits de supervision sur le Firewall.
10. Connectez-vous avec le Real-Time Monitor sur l'UTM avec le

compte « jdupont » et validez l'accès aux différents menus. Testez
également l'authentification avec ce compte sur le portail
d'authentification.
406
Labs
Bonus dans le cas où un serveur AD est disponible :
Relancez l'assistant LDAP afin de configurer une base Active Directory dont
l'adresse IP est « 192.36.253.250 » :
o Domaine AD : dc=Institute,dc=com
o Identifiant : cn=Administrateur,cn=Users
Le formateur vous fournira le mot de passe ainsi qu'un compte utilisateur pour
que vous puissiez tester l'authentification sur votre portail captif.
407
Labs
LAB 8 : VPN IPsec (Site à site)
Commencez par réactiver la politique de filtrage « (10) Pass All » sur votre UTM.
1. Créez les profils de chiffrement suivants :

 IKE Phase 1 : Diffie-Hellman (Group 2), Durée de vie maximum
( 6 s , algo ith e d’authe tifi atio (sha 160bits) et
algorithme de chiffrement (AES 128bits).
 IPSEC Phase 2 : PFS (Group 2), durée de vie (3600s), algorithme
d’authe tifi atio (h a _sha 160bits) et algorithme de
chiffrement (AES 128bits).
2. Configurez un tunnel IPsec avec une authentification par PSK pour relier votre
réseau interne « 192.168.x.0/24 » à elui de l’u de vos voisi s en utilisant les
profils de chiffrement précédemment créés (Mettez-vous d'accord sur la PSK à
utiliser)
3. Générez du trafic correspondant aux extrémités de trafic et suivez les étapes

de négociations des tunnels et l'activité dans les tunnels (section Tunnel VPN)
depuis SN RTM.
4. Modifiez vos politiques IPSec pour relier cette fois vos deux réseaux Internes
(IN + DMZ) aux réseaux internes (IN + DMZ) de votre voisin.
 Activez la fonction keep-alive pour les deux tunnels.
 Regardez le nombre de tunnels négociés dans le SN RTM
5. Après avoir vérifié que vos tunnels sont fonctionnels, réactivez la politique de
filtrage « entreprise_X » et ajoutez les règles autorisant les machines distantes à
joindre votre serveur FTP et à le pinger.
6. Réalise l’i te o exio de es es éseaux, ais e o figu a t, ette fois,

des tunnels basés sur des interfaces VTI.
408
Labs
LAB 9 : VPN SSL
1. Installez le client Stormshield VPN SSL fourni par le formateur.
2. Configurez le VPN SSL pour permettre l'accès à l'ensemble de vos réseaux

protégés (Network_internals) :
• Le réseau alloué aux utilisateurs VPN SSL se nomme Net-SSLVPN et a
pour valeur 172.31.x.0/24.
• Le serveur DNS annoncé au client correspond à la machine srv-dns.
3. Donnez le droit VPN SSL à l'utilisateur Jean Dupont.
4. Au niveau du filtrage :
• Autorisez votre réseau à accéder aux firewalls de vos voisins en HTTPS
pour tous les utilisateurs (authentifiés et non authentifiés).
• Autorisez le réseau Net-SSLVPN d’a éde aux réseaux internes.
5. Montez un tunnel en utilisant le client VPNSSL fourni par le formateur.
6. Avec le SN RTM, consultez la liste des utilisateurs authentifiés dans l'ASQ ainsi
que les logs relatifs au VPN SSL.
7. Validez l’a s aux différents serveurs.
8. Enfin, fermez le tunnel en déconnectant le client.
Bonus :
1. Modifiez la configuration du VPN SSL pour donner accès à l'objet "Any".
2. Ajoutez les règles (NAT + Filtrage) permettant au réseau Net-SSLVPN d'accéder

à Internet une fois le tunnel monté.
3. Ajoutez une politique de filtrage URL pour que seul l'accès aux sites des
groupes "Information Security" et "News" soit autorisé.
409
Labs
410
CORRIGES LABS CSNA
411
412
Labs - Corrigés
LAB 1 : Prise en main du Firewall
1. Appuyez sur le bouton « reset » jus u’à l’é issio d’u bip sonore. Connectez
votre station à ’i po te quelle interface sauf la première une fois que le
firewall a fini de démarrer. Sur un navigateur, entrez l’URL
« https://10.0.0254/admin ».
2. Cliquez sur l'icône "Préférences" (tout en haut à droite, icône ronde avec une
clef et un tournevis), onglet Administration, sélectionnez ensuite dans la ligne
"déconnexion en cas d'inactivité" la valeur "Toujours rester connecté".
3. Langue et fuseau horaire : cliquez sur le menu "système => configuration" dans
le menu de gauche. Vous pourrez ici configurer la date, l'heure, le fuseau
horaire, ainsi que la langue des messages générés par l'UTM dans l’o glet
« configuration générale ».
4. Le SSH s'active depuis le menu "système => configuration => onglet
administration du firewall" en cochant « activer l’a s par SSH » et « Autoriser
l’utilisatio de mot de passe ».
5. Les détails de la licence sont visualisables via le menu "Système => licence" du
menu de gauche. On détermine la partition active dans le menu « Système
=>Maintenance => onglet configuration ».
6. Afin d'appliquer un fichier de mise à jour firmware, vous devrez l'uploader sur
l'UTM via le menu "Système => maintenance => onglet Mise à jour système".
Assurez-vous de bien l’appli ue sur la partition principale.
7. La sauvegarde de la configuration se fait dans le menu « Système =>
Maintenance => onglet sauvegarder ».
8. La modification du mot de passe se fait dans le menu « Système =>
Administrateurs => onglet Compte ADMIN ».
9. L’a tivatio du stockage local se fait dans le menu « Configuration => Traces –
syslog » en cochant l’optio « Activer le stockage des traces » et en
sélectionnant la carte SD comme support de stockage » (la version du firmware
doit être ≥ 1.1.1).
11. L’a tivatio des rapports embarqués s’effe tue depuis la page
« https://@IP_firewall/reports » en activant l’optio « Activer l'analyse des
données » dans le menu « Rapports d’a tivités => Configuration ». Ensuite, il
faut activer les rapports demandés en changeant leur état.
413
Labs - Corrigés
LAB 2 : Les Objets
Afin d'ajouter les objets requis, allez dans le menu "Configuration => Objets =>
Objets réseaux". Pour afficher les objets existants, cliquez sur la petite croix du
champ de recherche. Ensuite, ajoutez les objets demandés en utilisant le bouton
"Ajouter". Veillez à utiliser un typage d'objets adéquat (objet réseau pour les
réseaux, objet machine pour les UTMs, etc). Vous pouvez utiliser le bouton « Créer
et dupliquer » pour la création des objets du même type.
414
Labs - Corrigés
LAB 3 : Configuration réseau et routage
1. La configuration des interfaces s’effe tue dans le menus Configuration =>

Réseau => Interfaces, en faisant sortir les interfaces Ethernet de l’i te fa e
bridge. La configuration de la passerelle par défaut, quand à elle, s’effe tue
dans le menu (Configuration => Réseau => Routage => onglet Route statique).
2. En fonction du système de votre machine, configurez la carte réseau
manuellement.
3. Pour pouvoir joindre le LAN de votre voisin vous devez créer une route statique
(Configuration => Réseau => Routage => onglet Route statique). Spécifiez le
LAN de votre voisin comme destination et son adresse IP publique en
passerelle (rappel, votre Firewall connaît l’ad esse publique de votre voisin car
les Firewalls appartiennent au même réseau) et activez la route.
LAB Bonus : DHCP
1. La configuration du serveur DHCP s'effectue via le menu "Configuration =>

Réseau => DHCP". Le service doit être activé, et configuré en mode "serveur
DHCP" (encadré "Général") :
• Dans la partie "Paramètres", ajouter le nom de domaine, ainsi qu'un
serveur DNS (l'objet "srv_dns", créé lors de l'exercice précédent).
• Via la partie "Plage d'adresses", ajoutez la plage d'adresses demandée
dans l'exercice, et supprimez la plage par défaut (nommée dhcp_range).
Renseignez "Firewall_in" en tant que passerelle pour votre plage.
2. Éditer l'objet "pc_admin" pour y inclure l'adresse MAC de votre machine (vous
trouverez cette adresse dans un résultat de commande "ipconfig /all" sur votre
système windows, ou "ifconfig" si vous utilisez un système Linux).
3. Sélectionnez l'objet "pc_admin" dans la partie "Réservation" du menu de
configuration du module DHCP. Afin de tester l'attribution de la nouvelle
adresse IP, assurez-vous que votre machine soit en mode DHCP, et
déconnecter/reconnecter le câble réseau qui le connecte UTM.
415
Labs - Corrigés
LAB 4 : Translation d’adresses
Désactivez les routes statiques vers les réseaux distants (menu "Configuration =>
Réseau => Routage => Routage statique"). Créez deux nouveaux objets qui seront
ensuite utilisés dans vos règles de NAT: srv_ftp_pub = 192.36.253.x2 et srv_mail_pub
= 192.36.253.x3. Afin de construire votre politique, allez dans le menu "Politique de
sécurité => Filtrage et NAT". Copiez la politique « (10) Pass all » vers une politique
vide en cliquant sur « Editer » ensuite « copier vers ». Depuis le menu déroulant,
sélectionnez la politique correspondante puis cliquez sur « Editer » puis
« Renommer ». Terminez par l’a tivatio de la politique en cliquant sur
« Activer cette politique ». Enfin, ajoutez les règles de NAT suivantes:
N'oubliez pas d'activer la politique et de valider les accès avec votre voisin.
416
Labs - Corrigés
LAB 5 : Filtrage
Au préalable, vous devrez créer un objet de type machine nommé "stagiaire",

portant l'adresse IP 192.168.x.200.
Afin de réaliser votre politique de filtrage, allez dans le menu "Politique de sécurité
=> filtrage et NAT".
Ensuite, ajoutez la politique suivante:
Pour autoriser, le formateur et les voisins à se connecter à votre firewall via Real-Time
Monitor et l’i te fa e web, il faut ajouter leurs adresses IP publiques dans l’e ad é Accès
aux pages d’ad i ist atio du firewall du menu SYSTÈME => Configuration => onglet
ADMINISTRATION DU FIREWALL.
417
Labs - Corrigés
LAB 6 : Filtrage de contenu (HTTP)
1. La séle tio de la ase URL s’effe tue da s le e u « Configuration => Objets

=> O jets e => Base d’URL ». Le télé ha ge e t de la ase d’URL
embarquée peut prendre un certain temps.
2. Pour déterminer les groupes dans lesquelles les URL www.facebook.com,

www.home.barclays et www.lequipe.fr sont classées, rendez-vous dans le
menu Objets WEB puis entrez ces valeurs dans le champ "Vérifier la
classification d'une URL". En fonction de la base URL choisie (embarquée ou
EWC) les catégories listées seront respectivement Online, Bank, Entertainment
et News (base embarquée) ; Social Networking, Finance, Sports (EWC).
3. La odifi atio de la page de lo age s’effe tue da s le e u « Configuration

=> Messages de blocage => Page de blocage HTTP »
4. Pour le besoin de cet exercice, deux groupes d'URLs personnalisés doivent être
créés.
• Un groupe nommé "laredoute", contenant l'URL "*ebay*.com/*"
• Un groupe nommé "mp3", contenant l'URL "*.mp3"
Allez dans le menu "configuration => politique de sécurité => filtrage URL",
renommez le slot de filtrage URL default00 en No_Online, et modifiez son
contenu afin que celui-ci comporte la politique suivante :
PASSER laredoute
BLOCKPAGE 00 shopping
BLOCKPAGE 00 online
PASSER any
Ensuite, modifiez la politique de filtrage (via le menu "configuration =>

politique de sécurité => filtrage et NAT") et éditez la règle qui autorise votre
réseau à accéder à Internet en HTTP, et ajouteé dans la colonne "inspection de
sécurité" le filtrage URL No_Online.
5. Pour bloquer le téléchargement de MP3 sur le site web du formateur, créez

une politique de filtrage URL contenant la politique suivante:
BLOCKPAGE 00 mp3
PASSER Any
6. Ajoutez une règle de filtrage à destination de l'adresse IP du formateur

(192.36.253.254) et du port HTTP pour laquelle l'inspection filtrage URL
contiendra la politique créée ci-dessus. Il faut impérativement que cette règle
de filtrage soit placée au-dessus de la règle dont la destination est Internet.
418
Labs - Corrigés
LAB 7 : Authentification
1. Pour utiliser un annuaire LDAP interne, lancez l'assistant de configuration LDAP.

Pour cela, allez dans le menu "Configuration => Utilisateurs => Configuration de
l'annuaire". Choisissez l'option "annuaire LDAP interne", et renseignez les
champs demandés (pensez à autoriser l'enrôlement des utilisateurs sur le
dernier écran du créateur LDAP).
2. Depuis le menu Configuration => Utilisateurs => Utilisateurs, cliquez sur Ajouter
un utilisateur dont l'identifiant est jdupont. Une fois validé, cliquez sur Créer ou
modifier le mot de passe et renseignez "password".
3. Pour créer Pierre Martin par l'enrôlement, connectez-vous au portail puis cliquez
sur Nouvel Utilisateur. Remplissez le formulaire avec les informations
nécessaires puis validez. Sur l'UTM, rendez-vous dans la section Configuration =>
Utilisateurs => Enrôlement, sélectionnez l'utilisateur Pierre Martin et cliquez sur
Valider.
4. Dans la politique de filtrage, créer la règle permettant l'authentification des

utilisateurs, lorsque ceux-ci ne sont pas authentifiés. Pour cela, ajoutez une règle
d'authentification en tête de liste qui contiendra: PASS (+redirection vers le
service authentification) from Utilisateurs Inconnus@Network_in to Internet
(service http) + Exception pour le groupe News
5. Depuis un navigateur, accéder à un site en HTTP. Le portail captif devrait

apparaitre automatiquement.
6. Dans un premier temps, créez une politique de filtrage URL (nommée URLMartin
par exemple) qui contient:
PASS Shoppin
BLOCKPAGE 00 Any
ajoutez deux règles qui contiendront
PASS from PIERRE.MARTIN@Network_in to Internet port http
FiltrageURL=URLMartin
PASS from Any@Network_in to Internet port http FiltrageURL=No_Online
7. Pour l'envoi de pings, créez une règle dont la syntaxe est:

PASS log:Mineur from Any@Network_in to Any Protocole:ICMP
Message:Requête Echo
8. Accédez à la page rapports d’a tivités et consultez le rapport « Top des

utilisateurs par volume échangé »
419
Labs - Corrigés
9. Dans le menu Configuration => Système => Administrateurs, ajoutez une entrée
pour l'utilisateur jdupont en lui donnant les droits de supervision et validez.
10. Lancez le logiciel STORMSHIELD Real-Time Monitor, connectez-vous à l'UTM

(192.168.X.254) avec le compte jdupont. De la même manière, connectez-vous
au portail captif (https://192.168.x.254/auth) et testez l'authentification avec cet
utilisateur.
Bonus Dans le cas où un serveur AD est disponible :
L'intégration avec le serveur Active Directory du formateur est configurable via le

menu "Configuration => Utilisateurs => Configuration de l'annuaire". À partir de là,
suivez l'assistant: "Connexion à un annuaire Microsoft Active Directory" -> Serveur:
l'objet correspondant à l'adresse "192.36.253.250", port: LDAP, domaine racine:
dc=institute,dc=com, identifiant: cn=Administrateur,cn=Users, mot de passe : celui
fourni par le formateur. Validez via le bouton "suivant", et cliquez sur "terminer".
Activez le portail captif, via le menu "configuration => Utilisateurs =>
Authentification", onglet "Général", case "Activer le portail captif". Vous devriez
maintenant pouvoir tester l'authentification de l'utilisateur de test sur votre portail
(https://192.168.x.254/auth/).
420
Labs - Corrigés
LAB 8 : VPN Ipsec (site à site)
1. La création des profils de chiffrement s’effe tue dans le menu « Configuration

=> VPN => VPN IPSEC => Profils de chiffrement ». En bas à gauche de la fenêtre,
vous pouvez créer les profils de phase 1 phase 2 en renseignant les paramètres
spécifiées.
2. Dans le menu « Configuration => VPN => VPN IPSEC => politique de chiffrement
–tunnels => site à site (gateway-gateway) », lancez l’assista t pour la création
d’u tunnel site à site « ajouter => Tunnel site à site ». L’assista t, vous
demandera de configurer les extrémités de trafic et le mode d’authe tifi atio
par PSK en renseignant la clé pré-partagée. La sélection du profil de
chiffrement pour la phase 1 s’effe tue avec le paramètre « Profil IKE » au
niveau du correspondant dans l’o glet « Correspondants ». Pour le profil de
chiffrement de la phase 2, la sélection se fait avec le paramètre « Profil de
chiffrement » au niveau de la politique VPN.
4. Pour relier les réseaux DMZ, il faut créer deux objets groupes. Le premier
contiendra les réseaux « IN » et « DMZ » locaux et le deuxième contiendra les
réseaux « IN » et « DMZ » du site distant. Modifiez les extrémités de trafic de
votre politique VPN en utilisant les deux objets groupes créés. Pour activer
l’optio keep-alive, il faudra afficher la colonne qui correspondant à cette
option dans la fenêtre des politiques VPN, et ensuite modifier sa valeur de
0=>30
5. Ajoutez les règles de filtrage suivantes pour permettre l’a s et le ping à votre
serveur FTP :
Votre voisin devra ajouter les politiques suivantes pour pouvoir accéder à votre
serveur FTP :
421
Labs - Corrigés
6. Pour interconnecter les deux sites en utilisant les interfaces VTI, il faut suivre les
étapes suivantes au niveau des deux firewalls en adaptant les adresses IP et
réseaux :
o Créez une interface VTI qui porte une adresse dans un réseau différent des
réseaux configurés au niveau du firewall :
o Ajoutez des routes statiques (ou des routes par politique) pour accéder
aux éseaux dista ts via l’i te fa e VTI lo ale et l’ad esse IP de l’i te fa e
VTI distante :
o Modifiez la politique VPN IPSec en utilisant les adresses IP des interfaces

VTIs comme extrémités de trafic :
o Modifiez les gles de filt age pou i di ue l’i te fa e VTI o e

interface source et destination pour le trafic transmis via le tunnel VPN
IPSec :
422
Labs - Corrigés
LAB 9 : VPN SSL
1. Installez sur votre poste le client Stormshield VPN SSL fourni par le formateur.
Une icône s’ajoute dans la zone de notification de la barre de tâches windows.
En double cliquant sur cette icône le menu du client VPN SSL s’affi he pour
renseigner des paramètres de connexion.
2. Pour configurer le serveur VPN SSL, accédez au menu Configuration ⇒ VPN ⇒

VPN SSL. Commencez par activer le serveur en cochant Activer le VPN SSL.
Ensuite renseignez les informations suivantes dans les sections paramètres
réseaux et Paramètres DNS envoyés au client :
• L’ad esse IP de l’UTM utilisée : 192.36.253.x0 (l’ad esse IP de l’i te fa e

out),
• Réseaux ou machine accessibles : Network_internals,
• Réseau assigné aux clients : créez l’o jet réseau Net-SSLVPN qui portera
l’ad esse 172.31.x.0/24,
• Nom de domaine : x.net,
• Serveur DNS primaire : srv-dns (192.168.x.10).
• Appliquez la configuration.
3. L’att i utio du droit VPN SSL à l’utilisateu créé dans le lab VPN IPsec s’effe tue
dans le menu Configuration ⇒ Utilisateurs ⇒ Droits d’a s VPN ⇒ Onglet Accès
VPN. Changez la valeur du paramètre VPN SSL de l’utilisateu vers autoriser.
Terminez en cliquant sur appliquer.
4. Ajoutez les règles de filtrage suivantes :
5. Demandez à votre voisin d’a éde au menu de son client VPN SSL et de
renseigner les informations suivantes : Adresse IP de votre
firewall (192.36.253.x0), l’ide tifia t de l’utilisateu créé précédemment et son
mot de passe. En cliquant sur OK, une fenêtre s’affi he pour vous informer que le
certificat présenté ’a pas été signé par une autorité publique connue. La fenêtre
vous offre le moyen d’affi he le certificat, de faire confiance au certificat ou
d’a ule la connexion. Une fois connecté, la couleur de l’i ô e du client VPN SSL
devient bleue et un message s’affi he pour vous informer que vous êtes
connecté au serveur en affichant votre adresse IP.
423
Labs - Corrigés
6. Vous pouvez consulter l’utilisateu connecté depuis SN RTM dans le menu

utilisateurs.
7. Testez l’a s aux serveurs web et ftp de vos voisins en utilisant les adresses IP
privées des serveurs.
8. Pour fermer le tunnel, cliquez avec le bouton droit sur l’i ô e du client VPN SSL
ensuite déconnecter.
Bonus :
1. Accédez au menu Configuration ⇒ VPN ⇒ VPN SSL et sélectionnez l’o jet

« any » au niveau du paramètre « Réseaux ou machines accessibles ».
2. Ajoutez les règles de filtrage et de NAT suivantes :
3. Sélectionnez une nouvelle politique de filtrage URL dans le menu Configuration

⇒ Politique de sécurité ⇒ Filtrage URL. dans le champ action de la règle par
défaut Any, redirigez vers une page de blocage. Ajoutez deux nouvelles règles
au-dessus avec l’a tio passer pour les catégories information Security
et News. Appliquez la configuration. Dans le menu Configuration ⇒ Politique
de sécurité ⇒ Filtrage et NAT, sélectionnez la politique de filtrage d’URL que
vous venez de définir au niveau de l’i spe tio de sécurité de la règle qui
autorise le réseau VPN SSL à accéder à internet. Appliquez et activez la
politique de filtrage.
424
425
Lab - Exercices
training@stormshield.eu
426

CSNA v2 Livre de Formation 2016 02 21 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CSNA v2 Livre de Formation 2016 02 21 PDF

Transféré par

Droits d'auteur :

Formats disponibles

SOLUTIONS UNIFIED THREAT MANAGEMENT ET NEXT-GENERATION FIREWALLS

NETWORK SECURITY I ENDPOINT SECURITY I DATA SECURITY

Labs - Corrigés 411

• Les niveaux des formations et des certifications

Le centre de formation Stormshield Network délivre trois niveaux de formation

• CSNA (Certified Stormshield Network Administrator) : L’o je tif de cette

Toutes les formations se déroulent en 3 jours et sont constituées d’u e partie

La composition de l’exa e dépend du niveau de certification :

• CSNA : L’exa e est un QCM/QRM de 70 questions.

Le groupe Airbus comprend les branches suivantes :

Permettre aux utilisateurs de partager des informations confidentielles en se basant

Destinée à la protection des postes de travail et des serveurs, la solution Stormshield

• Full control : Permet de définir de manière granulaire l’utilisatio d’u poste de

La solution SES dispose également de trois fonctionnalités optionnelles :

• Antivirus : À base de signature, il permet d’a al se en temps réel les fichiers et

• Encryption : Permet le chiffrement de surface des disques durs et des disques

La gamme des produits Stormshield Network Security est composée principalement

• Les produits de la gamme SN sont organisés en trois familles :

• Les Fonctions standards

Les produits Stormshield Network Security intègrent des fonctionnalités de base :

• Analyse protocolaire IPS: Regroupe l’e se le des contrôles effectués sur

Certaines fonctionnalités supplémentaires sont disponibles après souscription d’u pack de

Les différents packs :

• SN710 intègre 8 ports 10/100/1000 et peut supporter en plus 8 ports

• SN2000 et SN3000 intègrent 10 ports 10/100/1000 en standard et peut supporter

• SN6000 intègrent 10 ports 10/100/1000 de base et peut supporter en plus 48

• Inscription du firewall sur l’espa e client Stormshield

Cet espace privé et sécurisé permet l’a s à plusieurs ressources et informations

Si vous ne possédez pas de compte client, vous pouvez en créer un en enregistrant

L’e egist e e t du premier firewall vous propose de remplir un formulaire,

• Télécharger les licences d’a tivatio , les nouvelles versions de firmware,

La base documentaire contient l’e se le des documentations public :

Restauration de la configuration usine :

La distinction interne/externe pour les interfaces permet de se protéger contre les

• : icône permettant d’a éde aux rapports d’a tivités

Nous détaillerons ultérieurement ces deux menus.

L’assista t d’i stallatio vous permet de configurer votre firewall en quelques

o Configuration des serveurs web et e-mail de l’e t ep ise,

• L’installation manuelle: Permet de mettre à jour la licence, restaurer une

Le menu propose également de modifier la langue de l’assista t d’i stallatio ou

L’i te fa e d’ad i ist atio est découpée en trois parties :

• : Démarre l’outil « Rapports d’a tivités » dans un nouvel onglet du

2. Les menus (partie encadrée en rouge) : Regroupe tous les menus de

3. Le contenu du menu (partie encadrée en bleu) : Affiche le contenu du menu

Le tableau de bord, regroupe l’e se le des informations et indicateurs du firewall :

Le tableau de bord est entièrement paramétrable. Les fenêtres peuvent être

Le menu CONFIGURATION ⇒ SYSTÈME ⇒ Configuration permet de configurer les

• Les paramètres horaires: date, heure et fuseau horaire. Ces paramètres

• Il est possible d’a tive l’a s par SSH (connexion sécurisée) et de

• Les firewalls Stormshield Network supportent le protocole IPv6 et

Note : Cette action étant irréversible, la sauvegarde de la configuration du

• Un ou plusieurs serveurs DNS peuvent être ajoutés. Le firewall contacte

Le menu CONFIGURATION ⇒ SYSTÈME ⇒ Licence, affiche toutes les informations

Le menu est constitué de deux onglets:

Le menu CONFIGURATION ⇒ SYSTÈME ⇒ Maintenance permet de gérer les mises à

1. Mise à jour du système :

La figure ci-dessus illustre la mise à jour du système des partitions. La nouvelle

Dans la « configuration avancée », l’ad i ist ateu peut choisir de télécharger et

• Réseau (interface, routage et DNS dynamique),

L’ad i ist ateu peut également activer la sauvegarde automatique du fichier de

• Cloud backup : En activant cette option, le fichier de configuration est

• Serveur personnalisé : Avec cette option les fichiers de configuration sont

Note : Le mot de passe de l’utilisateur « admin » n’est ni sauvegardé ni restauré.