Nom du document Version Date de MAJ Auteur Contenu

ConfSNSBases 1.0 20/04/2019 VEM Cours issu du support CSNA

Routage, NAT, Filtrage + URL
Lab 1 à 6

Table des matières

Phase 1 Prise en main – configuration initiale (p 52)...........................................................................2
1.1 Connexion au firewall................................................................................................................3
1.2 Configuration générale...............................................................................................................4
Phase 2 Mise en place du plan d’adressage réseau (p 116 – Lab3)......................................................8
2.1 Configuration des interfaces réseau...........................................................................................8
2.2 Route par défaut (p141)..............................................................................................................9
2.3 Routage statique.......................................................................................................................10
2.4 Tests du routage........................................................................................................................11
Phase 3 Configuration des Objets (p100-Lab2).................................................................................12
3.1 Présentation des Objets............................................................................................................12
3.2 Création des Objets Réseaux (LAB 2).....................................................................................13
3.3 Import/Export des Objets Réseaux (LAB 2 Bonus p 401).......................................................16
Phase 4 Configuration réseau avancée (p142)...................................................................................16
4.1 Modes de configuration............................................................................................................16
4.2 Types d’interfaces....................................................................................................................17
4.3 Configuration des interfaces VLAN (p154).............................................................................18
4.3.1 - Ajouter une interface VLAN...........................................................................................19
4.3.2 - VLAN d’extrémité..........................................................................................................19
4.3.3 - VLAN traversant.............................................................................................................20
Phase 5 Traduction d’adresses (NAT/PAT) (p119-Lab4)..................................................................21
5.1 Présentation de l’architecture...................................................................................................21
5.2 Mise en œuvre de la traduction d’adresses...............................................................................21
Phase 6 Filtrage (p208-Lab5).............................................................................................................25
6.1 Présentation des fonctionnalités...............................................................................................25
La notion de « stateful ».............................................................................................................25
L’Ordonnancement des règles de filtrage et de translation........................................................26
MENUs « filtrage »....................................................................................................................26
6.2 Mise en place des règles de filtrage (Lab 5).............................................................................28
6.3 Filtrage applicatif (p218)..........................................................................................................30
6.3.1 - Filtrage d’URL................................................................................................................30
6.4 Mise en place de règles de filtrage de contenu (Lab 6)............................................................34

1/35
2/35
Dans la suite du texte le terme firewall SN concerne l’appliance virtuelle ou le boîtier physique
Stormshield. L’architecture proposée (issue du kit de formation CSNA Stormshield) est constituée
de plusieurs agences (A, B, C…) et d’un siège (géré par l’enseignant). Chaque agence possède un
réseau interne IN privé composé d’un firewall Stormshield (physique ou virtuel) et d’une machine
(physique ou virtuelle), une DMZ et un réseau d’interconnexion OUT (simulant le WAN) relié au
siège de l’entreprise où les VM/boitiers sont déjà configurées pour permettre l’accès à Internet.

Chaque agence est composée :

 d’un réseau interne « 192.168.x.0/24 » relié à l’interface IN du firewall SN avec un poste
utilisateur et des services (DNS, WEB, FTP, MAIL) intégrés dans la machine virtuelle
Debian fournie dans le kit Stormshield CSNA.
 d’un réseau DMZ1 « 172.16.x.0/24 »
 d’un réseau DMZ2 « 192.168.56.x0/24 »
 d’un réseau externe OUT « 192.36.253.0/24 » auquel tous les firewalls de toutes les
agences seront connectés.
L’architecture ci-dessus peut être étendue à plus de participants en respectant le plan d’adressage :
IN : Réseau interne « 192.168.x.0/24 » @Interface IN 192.168.x.250 /24
OUT : Réseau d’interconnexion « 192.36.253.x0/24 » @Interface OUT 192.36.253.x0/24
DMZ1 : Réseau DMZ « 172.16.x.0/24 » @Interface DMZ1 172.16.x.254 /24
DMZ2 : Réseau d’administration « 192.168.56.0/24 » @Interface DMZ2 :192.168.56.x0/24
Il suffira de modifier le « x » suivant la lettre de l’agence A⇒1, B⇒2, C⇒3, D⇒4,...

Phase 1 Prise en main – configuration initiale (p 52)

La configuration d’usine par défaut du firewall SN (boîtier ou appliance VM) est la suivante :

3/35
Dans une configuration usine, la première interface du firewall physique est nommée « OUT », la
seconde « IN » et le reste des interfaces « DMZx ». L’interface « OUT » est une interface externe,
utilisée pour connecter le firewall à internet et le reste des interfaces sont internes et servent
principalement à connecter le firewall à des réseaux locaux. La distinction interne/externe pour les
interfaces permet de se protéger contre les attaques d’usurpation d’adresse IP.
Remarque : sur un boitier physique, toutes les interfaces sont incluses dans un bridge dont l’adresse
est 10.0.0.254/8. Un serveur DHCP est actif sur toutes les interfaces du bridge et il distribue des
adresses IP comprises entre 10.0.0.10 et 10.0.0.100. L’accès à l’interface web de configuration du
firewall se fait avec l’url : https://10.0.0.254
Par défaut, seul le compte système admin (mot de passe par défaut admin), disposant de tous les
privilèges sur le boîtier, existe et peut se connecter.
1.1 Connexion au firewall
Pour accéder à l’interface d’administration du firewall, il est indispensable de connecter votre
machine sur une interface interne (dans le cas des boitiers physiques sur le 2ème port qui correspond
à LAN1 et dans le cas des VM sur DMZ2) sous peine de devoir redémarrer le firewall qui détectera
une tentative d’usurpation d’adresse IP sur le bridge et bloquera tout le trafic généré par cette
machine.
 Vérifiez que votre machine hôte a bien obtenu sur une adresse IP dans la plage 10.0.0.0/24,
le cas échéant la configurer manuellement.
L’accès à l’interface graphique d’administration du firewall se fait par
https://10.0.0.254/admin à partir d’un navigateur (de préférence Mozilla Firefox ou Internet
Explorer)

Au premier démarrage d’un boitier firewall physique, un écran de configuration rapide vous est
proposé, dans la zone en bas de l’écran choisissez la langue Français, ressaisissez le mot de passe
admin puis dans la zone en bas sélectionnez Accès direct à l’interface d’administration
qui vous permet de sauter l’assistant de configuration.
NB : pour des raisons évidentes de sécurité, il conviendra de modifier ce mot de passe lorsque le
boitier sera utilisé en contexte réel d’entreprise.
Pour s’authentifier, l’utilisateur peut également sélectionner un certificat dans le magasin de son
navigateur (à configurer dans les préférences du firewall SN).
La page d’accueil de votre firewall SN s’ouvre sur le tableau de bord qui permet de visualiser
rapidement les éléments principaux de votre équipement.

4/35
 La zone de menu de gauche est constituée d’un ensemble
de panneaux qui permettent d’accéder aux différents
menus de votre firewall SN.
Nous étudierons dans un premier temps les éléments du
menu Configuration qui correspond à la configuration
générale : licence, mise à jour, mot de passe...

Lorsqu’on se connecte, l’interface d’administration s’ouvre sur le Tableau de bord qui permet de
visualiser un certain nombre d’informations sur le firewall et est personnalisable.

1.2 Configuration générale

Nous verrons ci-après un certain nombre d’éléments de configuration générale utiles pour la bonne
mise en œuvre de votre firewall SN.
1. Afin de ne jamais être déconnecté en cas d’inactivité sur l’interface d’administration pendant
ces exercices pratiques, il conviendra de modifier vos préférences, en usage réel vous utiliserez
un délai de 5 minutes pour éviter de laisser votre session ouverte sur le firewall SN.

 Cliquez sur l’icône Préférences (en haut à droite)

 Dans l’onglet Administration, sélectionnez ensuite dans la liste "déconnexion en cas
d’inactivité" la valeur Toujours rester connecté.
2. Sélectionnez dans le menu à gauche Configuration => Système puis Configuration. Le
volet Configuration générale est affiché.
 Commencez par donner un nom à votre boîtier : FW_AgenceX et changer la langue des
logs et de la console.

 Modifiez le fuseau horaire dans la zone Date et heure (Europe/Paris).

 Cliquez Synchroniser avec votre machine pour que les mises à jour d’heure d’été/heure
d’hiver soient également effectives.
 Cliquez Appliquer pour sauvegarder la configuration et Redémarrer maintenant.

5/35
  La zone Politique de mots de passe permet de définir la longueur du mot de passe (8
par défaut) et la zone Types de caractères obligatoires permet de gérer la complexité
du mot de passe (Aucun, Alphanumériques, Alphabétiques et spéciaux).

3. Voici quelques commandes rapides pour accéder au paramétrage initial du firewall.

 La modification du mot de passe admin (recommandée) se fait dans le menu
Configuration => Système => Administrateurs => onglet Compte ADMIN. Le mot
de passe doit par défaut, comporter au moins 5 caractères. La force du mot de passe choisit
s’affiche alors. Les boutons Exporter la clé privée et Exporter la clé publique du
firewall permettent respectivement de télécharger la clé privée et clé publique du compte
admin.
 La sauvegarde de la configuration se fait dans le menu Configuration => Système =>
Maintenance => onglet Sauvegarder. La sauvegarde automatique du fichier de
configuration peut être mise en place et effectuée sur le Cloud Stormshield.
 L’accès SSH s’active depuis le menu Configuration => Système => Configuration
onglet Administration du firewall, cocher Activer l’accès par SSH et Autoriser
l’utilisation de mot de passe.

 Le menu Configuration => Système => Licence du menu de gauche affiche les détails
de la licence et permet le cas échéant de l’installer (à récupérer par l’administrateur sur le
site mystormshield.eu avec les informations figurant sous le boitier). A noter que si vous
n’activez pas la licence au bout d’un certain temps les fonctionnalités se réduisent et surtout
vous ne pourrez pas stocker les logs sur les boitiers physiques.
 Le menu Configuration => Système => Maintenance => onglet Configuration
permet de déterminer la partition active et ainsi de garder deux versions du système
disponibles avec une partition de sauvegarde qui permet de revenir en arrière sur le boitier
(firmware n-1, config n-1).
NB : Pour revenir à une configuration ou version n-2 ou supérieure il faut utiliser USB Recovery.

6/35
  Le menu Configuration => Système => Maintenance => onglet Mise à jour du
système permet de mettre à jour le système le cas échéant. Afin d’appliquer un fichier de
mise à jour firmware, vous devrez l’uploader sur l’UTM (soit directement via le lien
, soit en allant le télécharger sur le site
https://mystormshield.eu).
Vous pouvez procéder en deux étapes : télécharger puis activer mais assurez-vous de bien
l’appliquer sur la partition principale et d’avoir coché la case Sauvegarder afin de pouvoir le
cas échéant revenir à la version précédente. L’opération prendra plusieurs minutes
surtout ne débranchez pas le boitier pendant la mise à jour.

 Le menu Configuration => Système => Active update affiche les Mises à jour
automatiques des signatures antispam, antivirus et autres listes noires préconfigurées par
Stormshield. Vous pouvez le cas échéant les désactiver mais au contraire vérifiez qu’elles
sont bien toutes activées.
4. Stockage des logs (disponible que sur les boitiers physiques)
 Insérez une carte SD dans l’emplacement en façade du firewall, elle sera détectée et le
système vous propose de la formater avant utilisation.
 L’activation du stockage local des logs se fait dans le menu Configuration =>
Notifications => Traces – Syslog - IPFIX en cochant l’option Activer le stockage
des traces et en sélectionnant la carte SD comme support de stockage. Le cas échéant,
cliquez Formater pour formater la carte SD.

7/35
La zone Action en cas de saturation du support propose deux options :
• Effacer les traces les plus anciennes (rotation) : les traces les plus anciennes sont écrasées par
les nouvelles traces, il s’agit du choix par défaut.
• Interrompre l’écriture des traces : les traces ne sont plus sauvegardées.
La zone Configuration de l’espace réservé pour les traces permet d’activer ou non l’écriture des
traces pour une famille donnée en double-cliquant dans la colonne État correspondante. Elle permet
également de configurer le pourcentage de l’espace disque réservé pour la famille de trace dans la
partie Pourcentage. Il est important de noter que le total des pourcentages ne doit pas dépasser
100%. La taille réelle de l’espace disque réservé à une famille de traces est indiquée dans la partie
Quota d’espace disque.
 L’activation des rapports embarqués s’effectue depuis le menu Configuration =>
Notifications => Configuration des rapports en cochant l’option Activer les
rapports et en sélectionnant les rapports souhaités.

NB : Afin de stocker les journaux du firewall sur un support externe (carte SD) vous devez d’abord
enregistrer la licence, le message d’erreur n’est pas explicite, le système fait comme s’il ne pouvait
détecter la carte SD.
Le menu LOGS - JOURNAUX D’AUDIT permet de visualiser des traces sauvegardées en local
sur le firewall, dans le cas où celui-ci dispose de disque dur (ou d’une carte mémoire SD avec
l’option de licence « stockage externe »). Il est constitué de deux sous-menus :
• VUES : Les traces sont organisées en groupes : trafic réseau, menaces, web, etc. Chaque groupe
représente une famille de traces ou une concaténation de plusieurs catégories.
• JOURNAUX : Il offre un accès direct à chaque famille de traces.
8/35
L’affichage des traces peut être restreint à une plage temporelle prédéfinie (dernière heure,
aujourd’hui, semaine dernière ou mois dernier) ou personnalisée. Les données sont affichées par
ordre chronologique (la trace la plus récente est en tête de liste).
En cliquant sur un type de trace, une fenêtre s’affiche pour offrir des raccourcis vers plusieurs
fonctionnalités qui diffèrent suivant le type de trace affiché : afficher de l’aide, ajouter la machine à
la base objet, filtrer les traces en se basant sur la valeur, voir la ligne complète de la trace, etc.
Pour filtrer les traces, une barre de recherche simple permet de rechercher une chaine de caractères
dans toutes les colonnes de toutes les traces.
 Téléchargez le pack d’administration (Stormshield Administration Suite) sur votre PC en

suivant le lien dans la barre en haut à droite .

 Installez-le et exécutez l’applicationReal Time Monitor puis connectez-vous à votre
firewall (menu Fichier => Connexion directe).
Vous aurez ainsi accès à une application de surveillance en temps
réel (sur la journée au maximum) de votre équipement.

Phase 2 Mise en place du plan d’adressage réseau (p 116 – Lab3)

2.1 Configuration des interfaces réseau
Dans une configuration usine, la première interface du firewall est nommée « OUT » ou WAN, la
seconde « IN » et le reste des interfaces « DMZx ». L’interface « OUT » est une interface externe,
utilisée pour connecter le firewall à internet (WAN) et le reste des interfaces sont internes et servent
principalement à connecter le firewall à des réseaux locaux. La distinction interface interne/externe
permet de se protéger contre les attaques d’usurpation d’adresse IP. Pour accéder à l’interface
d’administration du firewall, il faut connecter votre machine sur une interface interne sous
peine d’être détecté comme tentative d’intrusion qui nécessite le redémarrage du firewall.
Nous allons configurer votre firewall SN selon les paramètres de l’architecture globale présentée en
page 1 (interfaces IN, OUT et DMZ1).
@Interface OUT : 192.36.253.x0 /24 qui correspond au premier port (WAN)
@Interface IN : 192.168.x.254 /24 qui correspond au deuxième port (port LAN N°1)
@Interface DMZ1 : 172.16.x.254 /24 qui correspond au port DMZ
La passerelle par défaut de votre firewall sera le firewall Siège (ou enseignant) @ 192.36.253.254.
La configuration des interfaces s’effectue dans le menu Configuration => Réseau =>
Interfaces, en faisant sortir les interfaces Ethernet de l’interface bridge.

 Choisir une interface (par exemple IN)

9/35
  Cliquer dans la zone Plan d’adressage sur Ip fixe (statique)

 Cliquez sur +Ajouter et saisissez l’adresse IP de l’interface IN 192.168.x.254 puis le

masque en notation décimale pointée : 255.255.255.0

 Cliquer le bouton Appliquer puis Sauvegarder et à nouveau Sauvegarder.

Attention vous allez interrompre la connexion avec le firewall. Changez la configuration

IP de votre machine d’administration afin d’être dans le même réseau que le firewall
côté interface IN comme suit :
• Adresse IP : 192.168.x.100/24
• Passerelle par défaut : 192.168.x.254
• Serveur DNS : 192.168.x.10
 Accédez à votre firewall avec l’adresse suivante : https://192.168.x.254/admin
 Procédez de manière identique pour les deux autres interfaces à configurer.
2.2 Route par défaut (p141)
La configuration de la passerelle par défaut doit pointer sur l’adresse IP du firewall du siège
(enseignant) : 192.36.253.254
 Cliquez Configuration => Réseau => Routage => onglet Routes statiques

10/35
  Cliquez sur le signe pour ajouter un objet réseau et renseigner les champs Nom (Ex :
FWSiege_OUT) et adresse IP du firewall enseignant : 192.36.253.254 puis cliquer le
bouton Créer.

Attention : il faut absolument configurer une passerelle par défaut pour activer le routage.

2.3 Routage statique

Pour pouvoir joindre le LAN de l’entreprise voisine vous devez créer une route statique
Ici on se place en compagnie A et on va créer la route vers le LAN B
 Cliquez Configuration => Réseau => Routage => onglet Route statique
Vous allez indiquer l’adresse du LAN de l’entreprise voisine comme destination (LAN B)
 Cliquez sur le signe + Ajouter, cela ajoute une ligne dans la table

 Cliquez la zone Réseau de destination et cliquez sur puis choisir l’onglet Réseau.
 Donnez un nom à l’objet réseau LANx et saisir son adresse de réseau 192.168.x.0 /24 puis
cliquer le bouton Créer.

 Le nom saisi (LAN B) apparaît dans la ligne de la table de routage :

11/35
  Dans la colonne Interface, choisir dans la liste, votre interface concernée par cette route, il
s’agit ici de votre interface publique (OUT).
 Dans la colonne Passerelle, définir la passerelle concernée par cette route, il s’agit ici de
l’interface externe/publique (OUT) de l’entreprise voisine. Cliquez sur le signe + pour
ajouter un objet réseau vers le firewall de B puis choisir Machine, nommer l’objet
FWx_OUT et saisir son adresse IP externe (publique) 192.36.253.x0 puis cliquer le bouton
Créer.

 Activez la route (double-cliquer sur le bouton rouge Désactivé dans la colonne État)
Vous devez avoir une configuration comme ci-dessous :

 Cliquer le bouton Appliquer puis Sauvegarder.

La nouvelle route est active et fonctionnelle.
2.4 Tests du routage
1.Désactivation du filtrage
Pour la suite du travail, et les tests de configuration (ping, traceroute), vous devez activer la
politique de sécurité qui autorisera tous les trafics traversants ou à destination du firewall.
 Cliquez Configuration => Politique de sécurité=> Filtrage et NAT

La politique 1(Block all) est appliquée par défaut et permet de ne laisser passer le flux qu’en
https et vers le port 1300 (firewall_srv) et de pouvoir pinger le boitier.

 Sélectionnez dans la liste déroulante la politique de filtrage (10) = Pass all et cliquer sur
puis confirmer.

12/35
Une fois la configuration réseau et la configuration des routes statiques effectuée sur les deux
agences A et B, vous pouvez effectuer des tests de connectivité.
Pour cela renseignez sur votre machine hôte une adresse compatible avec le réseau d’une entreprise
et indiquez l’interface IN de votre firewall SN comme passerelle par défaut.
Phase 3 Configuration des Objets (p100-Lab2)
3.1 Présentation des Objets
Les menus de configuration des firewalls Stormshield Network utilisent la notion d’objets qui
représentent des valeurs (adresse IP, adresse réseau, URL, événement temporel, etc). L’utilisation
d’objets au lieu de valeurs présente deux avantages majeurs :
 Cela permet à l’administrateur de manipuler des noms, plus parlants que des valeurs.
 Dans le cas où une valeur change, il suffira de modifier la valeur au niveau de l’objet et non
dans tous les menus où l’objet est utilisé.
Les objets sont classés en 3 catégories :
1. Objets Réseaux : Regroupe tous les objets en relation avec les valeurs réseaux (adresse
IP, numéro de port, numéro de protocole, etc) et les objets temps.
2. Objets Web : Groupes d’URL (ou groupes de catégories) et groupes de noms de
certificats.
3. Certificats et PKI : Permet la création et la gestion des autorités de certification et de tous
les certificats (de type serveur, utilisateur, ou smartcard) qui en découlent.
Lors de la création des interfaces et des routes statiques, vous avez créé des objets Réseaux :
FWx_OUT, LANx.
La syntaxe des noms des objets doit respecter quelques restrictions définies dans le tableau ci-
dessous. De plus, elle est insensible à la casse.
La création et la configuration des objets s’effectuent :
 Dans le menu : CONFIGURATION ⇒ OBJETS
 Dans le menu raccourcis : OBJETS RÉSEAUX
 Depuis n’importe quel autre menu via le bouton (cf diapositive ci-dessous).

On peut distinguer deux types d’objets particuliers en plus des objets qui peuvent être créés par
l’administrateur :

13/35
• Objets implicites : Ils sont créés automatiquement par le firewall et dépendent de la configuration
réseau. Ces objets sont en lecture seule et ne peuvent être ni modifiés ni supprimés par
l’administrateur. Par exemple, l’objet « Firewall_out », créé automatiquement lorsqu’une adresse
IP est associée à l’interface « OUT » ou l’objet « Network_internals » qui regroupe tous les
réseaux accessibles via les interfaces internes.
• Objets préconfigurés : Ils sont présents par défaut dans la liste des objets. Ils représentent des
valeurs de paramètres réseaux standardisées (ports, protocoles, réseaux) et des valeurs nécessaires
pour le fonctionnement du firewall (adresse IP des serveurs Stormshield pour les mises à jour). On
trouvera par exemple le protocole ICMP et l’objet « Internet » ; ce dernier regroupe l’ensemble des
machines ne faisant pas partie des réseaux internes.
NOTE : Nous vous conseillons d’utiliser les objets implicites et préconfigurés et d’éviter de créer
d’autres objets portant les mêmes valeurs.
3.2 Création des Objets Réseaux (LAB 2)
Afin d’ajouter les objets requis, allez dans le menu Configuration => Objets puis Objets
réseaux ou directement par le menu Objets réseaux. Pour afficher les objets existants, cliquez
sur la petite croix du champ de recherche :

Menu Configuration Onglet Objets réseaux Afficher les objets existants

 Cliquez le bouton "Ajouter" pour ajouter les objets souhaités.

14/35
La base d’objets réseaux est accessible depuis le menu CONFIGURATION ⇒ OBJETS ⇒
Objets réseaux.
Elle comprend les types d’objets suivants :
• Machine : Une adresse IP,
• Nom DNS (FQDN) : Toutes les adresses IP associées à un nom FQDN par résolution
DNS,
• Réseau : Une adresse réseau,
• Plage d’adresses IP,
• Port – Plage de ports : Un port ou une plage de port. Il/Elle peut être limité(e) à un
protocole de transport particulier (TCP ou UDP),
• Protocole IP : l’ID du protocole au niveau IP,
• Groupe : Un groupe d’objets portant une ou plusieurs adresses IP : machines, plages
d’adresses IP, réseaux ou d’autres groupes,
• Groupe de ports : Un groupe d’objets portant des ports ou des plages de ports, ainsi que
d’autres groupes de ports,
• Groupe de régions : Un groupe de pays ou de continents. Ce type d’objet peut être utilisé
dans la géolocalisation des adresses IP,
• Routeur : Permet de renseigner une ou plusieurs passerelles pour un routage par
répartition de charge avec ou sans passerelle de secours.
• Temps : Un événement temporel (ponctuel, jour de l’année, jour(s) de la semaine ou
plage(s) horaire(s)).
Veillez à utiliser un typage d’objets adéquat (objet réseau pour les réseaux, objet machine pour les
parefeux, etc).
Vous pouvez utiliser le bouton « Créer et dupliquer » pour la création des objets du même type.
Note : Dans ce qui suit, le « x » correspond à l’agence considérée, A⇒1, B⇒2, C⇒3, D⇒4, etc.
3.2.1 - Créer des Objets Machines et Réseaux (LAB 2)
Créez les objets machines et réseaux pour toutes les autres Agences (déjà fait à la phase 2 pour un
des réseaux) :
– Firewalls distants (adresse des interfaces externes), exemple : FWA_OUT en 192.36.253.10
– Réseaux distants (adresse des réseaux internes), exemple : LANA en 192.168.1.0 / 255.255.255.0
3.2.2 - Créer un objet Port (LAB 2)
Ajoutez un nouvel objet Port basé sur TCP fonctionnant sur le port 2500, appelé Institute
 Cliquez le bouton "Ajouter" « Port », choisir le type Port, Nom de l’objet : Institute, Port :
2500, TCP/UDP : TCP puis Cliquez le bouton " Créer"

15/35
3.2.3 - Créer les objets internes (LAB 2)
a. Créez un objet "pc_admin" avec l’adresse 192.168.x.2

b. Créez un objet "srv_dns" dont l’adresse IP est 192.168.x.10

c. Créez un objet "srv_web" dont l’adresse IP est 192.168.x.11

d. Créez un objet "srv_ftp" dont l’adresse IP est 192.168.x.12

e. Créez un objet "srv_mail" dont l’adresse IP est 192.168.x.13

Vous devez avoir à la fin de la liste les nouveaux objets créés :

16/35
8. Créez un groupe d’objets (Ajouter/ Groupe) qui contiendra les 4 serveurs que vous venez de
définir de nom LANA_Serveurs

3.3 Import/Export des Objets Réseaux (LAB 2 Bonus p 401)

Utilisez les boutons Exporter et Importer pour modifier la base objets depuis un fichier csv.
 Exportez la base d’objets dans un fichier CSV.
 En vous basant sur le format de ce fichier, créez un autre fichier CSV contenant deux objets
machines :
« srv_ftp_pub » : 192.36.253.x2
« srv_mail_pub » : 192.36.253.x3
 Importez le fichier CSV dans la base d’objets réseaux.
Vous devez avoir les deux nouveaux objets machine dans la liste

Dans le fichier CSV ajoutez les adresses IP publiques des machines de vos voisins
« srv_dns_pub_X » :192.36.253.x0
« srv_web_pub_X » : 192.36.253.x1
« srv_ftp_pub_X » : 192.36.253.x2
« srv_mail_pub_X » : 192.36.253.x3
Phase 4 Configuration réseau avancée (p142)
4.1 Modes de configuration
Trois modes de configuration existent sur la gamme Stormshield Network Security:
 Mode transparent ou mode Bridge,
 Mode avancé ou mode routeur,
17/35
  Mode hybride.
Il est important de noter qu’il n’existe pas d’assistant pour la configuration de ces modes, il s’agit
uniquement d’une dénomination. La mise en œuvre de chacun des modes s’effectue suivant le
besoin, en configurant les interfaces réseaux et les règles de traduction.
Reportez-vous à la documentation (p138 et suivants) pour les modes transparent et hybride, dans la
suite nous allons travailler en mode avancé ou mode routeur.

Dans le mode avancé, le firewall (UTM) fonctionne comme un routeur en gérant plusieurs réseaux
logiques (adresses réseaux). Chaque interface est configurée avec un réseau IP particulier, ce qui
permet une segmentation du réseau aux niveaux physique et logique.
Dans l’image ci-dessus, le réseau local est composé de deux réseaux logiques : un réseau pour les
machines internes et un réseau pour les serveurs en DMZ. Chaque réseau est connecté au firewall
via une interface possédant un plan d’adressage IP spécifique. L’adresse IP publique est configurée
directement sur une interface externe du firewall.
Dans ce mode, le firewall SNS doit gérer les mécanismes de traduction d’adresse pour assurer
l’accès à Internet au réseau local.
4.2 Types d’interfaces
Il existe 5 types d’interfaces sur le firewall :
• Les interfaces physiques : Le nombre d’interfaces dépend du modèle du firewall,
• Les interfaces bridges : association de plusieurs interfaces physiques ou VLAN. Le nombre de
bridges dépend du modèle du firewall. (rappel : dans la configuration usine, toutes les interfaces
appartiennent à un seul et même bridge),
• Les interfaces VLAN : Segment réseau attaché à une interface physique du firewall et
caractérisée par un tag et un plan d’adressage spécifique. Le nombre maximal d’interfaces VLANs
dépend du modèle du firewall,
• Les interfaces Modem : Ce type d’interface permet la prise en charge d’une connexion entre le
firewall et un modem (ADSL, RNIS, RTC, …). Les types de connexions possibles sont : PPPoE,
PPP, PPTP et 3G.
• Les interfaces GRETAP : Interface d’encapsulation qui permet de relier deux réseaux distants au
niveau 2 (bridge). Pour cela, elle permet d’encapsuler des paquets Ethernet à l’intérieur de paquets
IP via le protocole GRE. Les machines des deux réseaux distants communiqueront comme s’ils
faisaient partie du même LAN.

18/35
La configuration des interfaces s’effectue dans le menu CONFIGURATION ⇒ Réseau
⇒ Interfaces. L’onglet Configuration Avancée permet d’accéder à différentes informations (cf
p 148-149)

Nous avons vu au chapitre Phase 2 comment configurer une interface physique.

Pour configurer les interfaces Modem, se reporter aux pages 152-153
4.3 Configuration des interfaces VLAN (p154)
Dans une architecture VLAN, les firewalls Stormshield Network peuvent se placer à deux endroits
différents (voir schéma ci-après) :
• En extrémité de VLANs: Dans ce cas, un VLAN est associé à une interface physique et le
firewall ajoute le tag VLAN sur les paquets émis et le retire sur les paquets reçus.
• Au cœur d’un VLAN (VLAN traversant) : Cette configuration préserve le marquage du trafic
VLAN traversant le firewall. Pour cela, le VLAN est associé à deux interfaces physiques et les deux
interfaces VLANs doivent faire partie du même bridge.

19/35
 4.3.1 - Ajouter une interface VLAN
La création d’une interface VLAN (extrémité ou traversant) se fait à l’aide d’un assistant qui se
lance en cliquant sur le bouton Ajouter ⇒ Ajouter un VLAN.

La première fenêtre de l’assistant permet de choisir le type l’interface VLAN.

4.3.2 - VLAN d’extrémité
Dans le cas d’une extrémité de VLAN, la deuxième fenêtre permet de définir :
• Interface parente : interface à laquelle sera rattaché le VLAN,
• Nom : nom de l’interface VLAN,
• Commentaire : descriptif de l’interface (ce paramètre est facultatif),
• Couleur : couleur de l’interface au niveau des outils de monitoring,
• Identifiant de VLAN : valeur du VLANID [1-4094],
• Priorité (CoS) : valeur inscrite dans le champ CoS sur tous les paquets envoyés par cette
interface,
• Cette interface est : choix du type de l’interface : interne ou externe,
• Adresse IPv4 : adresse IP de l’interface VLAN. Si ce champ est laissé vide cela indique que
l’interface est configurée avec une IP dynamique (DHCP).
Une fois la deuxième page validée, la nouvelle interface VLAN est visible dans la liste des
interfaces.

20/35
 4.3.3 - VLAN traversant
Dans le cas d’un VLAN traversant. La deuxième et la troisième fenêtre permettent de renseigner :

• Identification du VLAN :
• Nom : nom des deux interfaces qui seront créées. (par défaut, « Nom_1 » sera attribué à la
première interface et « Nom_2 » à la deuxième)
• Identifiant de VLAN : valeur du VLANID [1-4094]
• Couleur : couleur de l’interface au niveau des outils de monitoring.
• Plan d’adressage du VLAN :
• Bridge : choix du bridge dans lequel seront incluses les deux nouvelles interfaces VLANs. Deux
cas sont possibles : sélectionner un bridge existant ou créer un nouveau bridge.
• Nom : nom du nouveau bridge,
• Adresse IPv4 : adresse IPv4 portée par le bridge. Si ce champ est laissé vide cela indique que le
bridge est configuré avec une IP dynamique (DHCP). Il est important de noter que les deux
interfaces VLANs hériteront de cette adresse IP,
• Identification du VLAN entrant et Identifiant du VLAN sortant :
• Nom : nom de l’interface VLAN,
• Interface : interface physique à laquelle sera associée l’interface VLAN,
• Cette interface est : choix du type de l’interface : interne ou externe,
• Priorité (CoS) : valeur inscrite dans le champ CoS sur tous les paquets envoyés par cette
interface,
• Utiliser la même priorité pour le VLAN sortant : en cochant cette option, la même valeur CoS
sera utilisée par le VLAN sortant.
La dernière page de l’assistant offre une synthèse
des interfaces qui seront créées après validation :
deux interfaces VLANs et une interface bridge.
Ces dernières apparaitront dans la liste des
interfaces.

21/35
Phase 5 Traduction d’adresses (NAT/PAT) (p119-Lab4)
5.1 Présentation de l’architecture

Pour ce LAB, nous considérons le réseau externe inter-entreprises comme un réseau public dans
lequel aucune adresse IP privée n’est tolérée. De plus, le firewall du Siège (SNS Enseignant) est
connecté à internet via une interface autre que celles utilisées dans l’architecture du LAB.
5.2 Mise en œuvre de la traduction d’adresses
1. Désactivez les routes statiques ajoutées dans le lab précédent.
 Menu Configuration => Réseau => Routage => Routage statique, double-cliquez sur la
route à désactiver pour changer son état

2. Copiez la politique de filtrage/NAT (10) Pass all vers une autre politique vide en la renommant
« entreprise_X » (remplacez X par la lettre de votre entreprise). Ensuite, activez cette politique.
 Menu Politique de sécurité => Filtrage et NAT

 Choisir (10) Pass all puis « Editer » ensuite « copier vers » et choisir une politique vide
(par exemple la 5)
 Sélectionnez la politique correspondante dans la liste déroulante puis cliquez sur « Editer »
puis « Renommer » et renommez-là en « entreprise_X », puis « Activer cette politique ».

3. Ajoutez une règle de NAT afin que les machines de votre réseau interne (Network_in) puissent
accéder au réseau externe (Firewall_Out) sans que leur IP ne soit visible (DNAT). Testez l’accès
au réseau externe et l’accès à Internet depuis votre poste interne.

22/35
La règle de NAT dynamique est créée avec le bouton Nouvelle règle ⇒ règle de partage
d’adresse source (masquerading) qui ajoute automatiquement la plage de ports ephemeral_fw au
niveau du port src dans le trafic après traduction. Dans la section Trafic après translation, la
source est modifiée par l’adresse IP publique portée par l’interface « out » et le port source est
traduit par un numéro de port dans la plage ephemeral_fw.
 Dans votre politique entreprise_X, sélectionnez l’onglet NAT puis Nouvelle règle/ règle de
partage d’adresse source (masquerading)

Trafic avant translation : Permet de renseigner les valeurs des paramètres avant traduction. Dans
le cas où cette partie n’est pas renseignée, le trafic gardera les valeurs originales (par défaut any,
any).
• Source : L’adresse IP ou le réseau source, ici Network_in
• Destination : L’adresse IP ou le réseau destination, ici any.
• Port dest : Port destination, ici any.
Trafic après translation : Permet de renseigner les nouvelles valeurs des paramètres après
traduction (par défaut any, any)
• Source : L’adresse IP ou le réseau source, ici Firewall_Out
• Port src : Port source, ici any.
• Destination : L’adresse IP ou le réseau destination, ici any.
• Port dest : Port destination, ici any.
• Options : Permet de tracer le trafic qui correspond à la règle de traduction. Elle permet aussi
d’activer le NAT dans le tunnel IPSec.
 Créez la règle et cliquez Sauvegarder et Activer puis confirmer.

 Dans la colonne État, sélectionner

NB : l’accès à Internet est possible via la passerelle du formateur si la traduction est correctement
configurée.
Vous disposez de 2 adresses IP publiques « 192.36.253.x2 » et « 192.36.253.x3 » réservées
respectivement à vos serveurs FTP et MAIL (au besoin ajoutez ces 2 objets créés Partie 3).
4. Ajoutez les règles de NAT qui permettent de joindre chaque serveur depuis le réseau externe
grâce à son adresse IP publique.
 Dans votre politique entreprise_X, sélectionnez l’onglet NAT puis Nouvelle règle/ règle
de NAT statique(bimap), un assistant s’ouvre :
• Machine(s) privée(s) : L’adresse IP privée du serveur en interne
• Machine(s) virtuelle(s) : L’adresse IP publique virtuelle dédiée au serveur interne
• Uniquement sur l’interface : L’interface externe depuis laquelle le serveur est accessible
avec son adresse IP publique virtuelle.
• Uniquement pour les ports : La règle de NAT statique permet de translater tous les ports,
cependant, il est possible de la restreindre en spécifiant un ou une plage de ports au niveau
de ce paramètre. Il est conseillé de laisser cette valeur à Any et de restreindre le port
directement dans les règles de filtrage.
• publication ARP : cochez Activer la publication ARP pour l’adresse IP publique.
 Dans Adresse IP Privée, Machine(s) privée(s), choisissez l’adresse privée de la machine
FTP : objet srv_ftp
23/35
  Dans Adresse IP Virtuelle, Machine(s) virtuelle (s), choisissez l’adresse publique de la
machine FTP : objet srv_ftp_pub
 Laisser uniquement sur l’interface out et uniquement pour les ports Any et cocher
Publication ARP et cliquez Terminer

L’assistant ajoute deux règles NATs. La première règle pour la translation du flux sortant du
serveur interne vers le réseau public et la deuxième pour le flux entrant à destination de l’adresse
IP publique virtuelle. Les deux règles peuvent être modifiées par la suite indépendamment l’une de
l’autre. Deux règles sont automatiquement créées :

 Procédez de manière identique pour le serveur mail : objet srv_mail et objet srv_mail_pub

5. Ajouter une règle de NAT afin que votre serveur WEB (objet srv_web, protocole http) soit
joignable grâce à une redirection de port via l’adresse IP publique OUT de votre firewall :
« 192.36.253.x0 ».
 Dans votre politique entreprise_X, sélectionnez l’onglet NAT puis Nouvelle règle/ règle
simple, modifiez avec les paramètres suivants :
Source = Internet, Destination = Firewall_Out, Port dest= http, Source = Any, Destination =
srv_web, Port destination translaté = ephemeral_fw

24/35
  Menu Configuration/Politique de sécurité/ Filtrage et NAT/onglet NAT, cliquez sur
Réinitialiser les statistiques des règles dans le bandeau d’affichage des règles pour remettre
les compteurs à zéro.

6. Testez l’application de la première règle de NAT, en envoyant un ping vers la passerelle par
défaut
 Envoyez un ping vers la passerelle par défaut du Siège depuis la machine debian du réseau de
votre agence (CieX)
 Ouvrez Configuration/Politique de sécurité/ Filtrage et NAT/onglet NAT sur le firewall de
votre agence (CieX). Dans la liste des règles la barre devient verte quand les règles s’appliquent
et une info-bulle indique le nombre de fois où la règle a été appliquée :

7. Activez le traçage des règles de NAT pour les flux entrants, ceci permet d’avoir les informations
visibles dans les Journaux d’audit (logs).
 Double-cliquez une règle (par ex la règle 3), et choisissez l’onglet Options, et dans niveau
de trace tracer puis OK. Répétez l’opération pour les autres règles entrantes.

8. Testez l’accès à l’ensemble de vos ressources et vérifiez le traçage des règles demandées ( flux
entrants) dans les logs du firewall. Vous pouvez par exemple tenter d’accéder via des ping d’une
machine debian à l’autre.
Par exemple si vous envoyez un ping vers la passerelle par défaut comme précédemment, vous
obtenez sur votre firewall dans Journaux d’audit/ Vues/ Trafic réseau :

25/35
Phase 6 Filtrage (p208-Lab5)
Grâce à la politique de filtrage, l’administrateur est capable de définir les règles qui permettront
d’autoriser ou de bloquer les flux au travers de l’UTM Stormshield Network. Selon les flux,
certaines inspections de sécurité (analyse antivirale, analyse antispam, filtrage URL, …) peuvent
être activées (voir « Protection applicative »). Les règles de filtrage définies devront respecter la
politique de sécurité de l’entreprise.
Pour définir un flux, une règle de filtrage se base sur de nombreux critères ; ce qui offre un haut
niveau de granularité. Parmi ces critères, il est notamment possible de préciser :
• L’adresse IP source et/ou destination,
• La réputation et la géolocalisation de l’adresse IP source et/ou destination,
• L’interface d’entrée et/ou sortie,
• L’adresse réseau source et/ou destination,
• Le FQDN source et/ou destination,
• La valeur du champ DSCP,
• Le service TCP/UDP (n° de port de destination),
• Le protocole IP (dans le cas d’ICMP, le type de message ICMP peut être précisé),
• L’utilisateur ou le groupe d’utilisateurs devant être authentifié.
Le nombre de règles de filtrage actives dans une politique est limité. Cette limite dépend
exclusivement du modèle de firewall.
Le premier paquet appartenant à chaque nouveau flux reçu par l’UTM est confronté aux règles de
filtrage de la première à la dernière ligne. Il est donc recommandé d’ordonner au mieux les règles
de la plus restrictive à la plus généraliste.
Par défaut, tout trafic qui n’est pas autorisé explicitement par une règle de filtrage est bloqué.
Vous trouverez ci-dessous les liens vers deux notes techniques publiées par l’ANSSI
• Recommandations pour la définition d’une politique de filtrage réseau d’un parefeu :
https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Politique_pare_feu_NoteTech.pdf
• Recommandations de sécurisation d’un pare-feu Stormshield Network Security (SNS) :
https://www.ssi.gouv.fr/uploads/2016/04/np_recommandations_stormshield.pdf
6.1 Présentation des fonctionnalités
La notion de « stateful »
Les firewalls Stormshield Network utilisent la technologie SPI (Stateful Packet Inspection) qui leur
permet de garder en mémoire l’état des connexions TCP et des pseudo-connexions UDP et ICMP
afin d’en assurer le suivi et de détecter d’éventuelles anomalies ou attaques. La conséquence directe
de ce suivi « Stateful » est l’autorisation d’un flux par une règle de filtrage uniquement dans le sens
de l’initiation de la connexion ; les réponses faisant partie de la même connexion sont implicitement
autorisées. Ainsi, nous n’avons nul besoin d’une règle de filtrage supplémentaire pour autoriser les
paquets réponse d’une connexion établie au travers du firewall.

26/35
 L’Ordonnancement des règles de filtrage et de translation
Dans les firewalls SN, les règles de filtrage et de NAT sont organisées en différents niveaux appelés
« slot » représentés selon leur priorité dans la figure ci-dessus :
• Le filtrage implicite : Regroupe les règles de filtrage préconfigurées ou ajoutées
dynamiquement par le firewall pour autoriser ou bloquer certains flux après
l’activation d’un service. Par exemple, une règle implicite autorise les connexions à
destination des interfaces internes de l’UTM sur le port HTTPS (443/TCP) afin
d’assurer un accès continu à l’interface d’administration Web. Autre exemple, dès
l’activation du service SSH, un ensemble de règles implicites sera ajouté pour
autoriser ces connexions depuis toutes les machines des réseaux internes.
• Le filtrage global : Regroupe les règles de filtrage injectées au firewall depuis
l’outil d’administration « Stormshield Management Server » (SMC) ou après
affichage des politiques globales.
• Le filtrage local : Représente les règles de filtrage ajoutées par l’administrateur
depuis l’interface d’administration.
• Le NAT implicite : Regroupe les règles de NAT ajoutées dynamiquement par le
firewall. Ces règles sont utilisées principalement lors de l’activation de la haute
disponibilité.
• Le NAT global : à l’instar du filtrage global, il regroupe les règles de NAT injectées
au firewall depuis l’outil d’administration « Stormshield Management Server »
(SMC) ou après affichage des politiques globales.
• Le NAT local : Regroupe les règles de NAT ajoutées par l’administrateur depuis
l’interface d’administration.

27/35
Le premier paquet reçu est confronté aux règles de filtrage des différents slots suivant l’ordre
présenté dans la figure ci-dessus. Dès que les éléments du paquet correspondent à une règle dans un
slot, l’action de la règle (bloquer ou autoriser) est appliquée et le paquet n’est plus confronté aux
règles suivantes. Si aucune règle de filtrage ne correspond, le paquet est bloqué par défaut.
Dans le cas où le paquet est autorisé, il est confronté aux règles de NAT des différents slots toujours
suivant l’ordre présenté ci-dessus.
MENUs « filtrage »
MENUs « filtrage » : Filtrage implicite
Les règles implicites sont accessibles depuis le menu CONFIGURATION ⇒ POLITIQUE DE
SÉCURITÉ ⇒ Règles implicites. Chaque règle peut être activée/désactivée.
Note : La modification de l’état de ces règles a un impact direct sur le fonctionnement des services
du firewall. Pour que le service concerné fonctionne toujours, il faut s’assurer au préalable que le
flux est autorisé par les règles de priorité moindre telles que globales ou locales.
MENUs « filtrage » : Filtrage local
Les règles de filtrage font partie d’une politique présentée précédemment dans le chapitre
« Traduction d’adresses ».
L’onglet FILTRAGE est composé d’un en-tête pour la gestion des règles de filtrage:
• Nouvelle règle :
• Règle simple : Ajouter une règle de filtrage standard. Par défaut, une
nouvelle règle est désactivée et tous ses critères sont paramétrés à Any.
• Séparateur – regroupement de règles : Ajouter un séparateur qui regroupe
toutes les règles se trouvant au-dessous (ou jusqu’au prochain séparateur).
Cela permet de faciliter l’affichage d’une politique contenant un nombre de
règles important. Le séparateur peut être personnalisé par une couleur et un
commentaire.
• Règle d’authentification : Démarrer un assistant facilitant l’ajout d’une
règle dont le rôle est de rediriger les connexions des utilisateurs non-
authentifiés vers le portail captif (voir module « Utilisateurs et
Authentification » pour plus de détails à ce sujet).
• Règle d’inspection SSL : Démarrer un assistant qui facilite l’ajout de règles
pour l’activation du proxy SSL.
• Règle de proxy HTTP explicite : Démarrer un assistant qui facilite l’ajout
de règles pour l’activation du proxy HTTP explicite.

28/35
 • Supprimer : Supprimer une règle.
• Monter / Descendre : Monter ou descendre la/les règle(s) sélectionnée(s) d’une
position dans la liste.
• Tout dérouler / Tout fermer : Dérouler/Fermer tous les séparateurs pour
afficher/cacher les règles de filtrage.
• Couper : Couper la/les règle(s) sélectionnée(s).
• Copier : Copier la/les règle(s) sélectionnée(s).
• Coller : Coller la/les règle(s) auparavant copiée(s)/coupée(s) de la même ou d’une
autre politique.
• Réinitialiser les statistiques des règles : Réinitialiser les compteurs d’utilisation de
toutes les règles de filtrage et NAT de la politique active. La date de la dernière
réinitialisation s’affiche en positionnant la souris sur l’icône.
• Reinit Colonnes : Réinitialiser l’affichage des colonnes qui composent la fenêtre des
règles comme le prévoit l’affichage par défaut.
La fenêtre des règles est composée de plusieurs colonnes listées ci-après :

 Numéro de la règle et un indicateur (encadré en bleu) sur le nombre de fois où les

éléments du paquet reçu correspondent aux critères de la règle de filtrage.
 État : Permet d’activer/désactiver une règle de filtrage on/off.
 Action : Indique l’action appliquée sur la connexion : passer, bloquer, tracer,
renvoyer vers un portail captif, etc.
 Source : Spécifie la source du trafic : adresse IP ou réseau source, interface d’entrée,
utilisateur, etc.
 Destination : Spécifie la destination du trafic : adresse IP ou réseau destination,
interface de sortie.
 Port de dest : Indique le port destination du trafic.
 Protocole : Permet de renseigner le protocole utilisé par le trafic.
 Inspection de sécurité : Permet de sélectionner le niveau d’inspection
(IPS/IDS/Firewall) et d’activer l’inspection applicative.
Note: L’intérêt principal de l’indicateur est de réordonner les règles de filtrage les plus
utilisées en les plaçant en tête de liste tout en respectant la politique de sécurité. Cela
permet d’optimiser le temps de lecture de la politique avant de trouver l’action à appliquer.
L’affichage des colonnes de la fenêtre peut être personnalisé en cliquant sur l’icône indiquée par la
flèche bleue ci-dessous puis sur colonnes. Il suffit de sélectionner une colonne pour qu’elle
s’affiche. Les paramètres d’une règle peuvent être renseignés directement dans la fenêtre des règles
ou sur une nouvelle fenêtre (omnibox) qui s’affiche en double cliquant sur n’importe quel paramètre
de cette règle.

29/35
Les valeurs des paramètres étant des objets, ils peuvent être copiés d’une règle à une autre par un
simple glisser/déposer. Ce procédé permet également de déplacer les règles de filtrage en cliquant à
gauche sur le numéro de la règle. Enfin, les nouvelles règles ajoutées doivent être sauvegardées et
activées explicitement avec le bouton Sauvegarder et activer.

6.2 Mise en place des règles de filtrage (Lab 5)

Au besoin ajoutez les adresses IP publiques des machines de vos voisins dans les Objets Réseaux
(cf Phase 3)
« srv_dns_pub_X » :192.36.253.x0
« srv_web_pub_X » : 192.36.253.x1
« srv_ftp_pub_X » : 192.36.253.x2
« srv_mail_pub_X » : 192.36.253.x3

Vous allez mettre en place une nouvelle politique de sécurité, il faudra commencer par désactiver la
règle de filtrage Pass all préalablement copiée pour mettre en place les règles de NAT.
Ajoutez les règles de filtrage qui respecteront le cahier des charges suivant (utilisez les bandeaux
séparateurs en indiquant le rôle de chaque règle).
 Ouvrez Configuration/Politique de sécurité/ Filtrage et NAT/onglet NAT sur le firewall
de la Cie_X. Dans la politique de filtrage/NAT « entreprise_X », désactivez la règle de
filtrage Pass all. Cliquez sur Sauvegarder et activer puis Oui, activer…
 Faites un ping vers l’adresse interne ou externe de votre parefeu, vous constaterez que le
ping ne passe plus.
Trafics sortants :
a) Votre réseau interne doit pouvoir émettre un ping vers n’importe quelle destination.
 Cliquer Nouvelle règle /règle simple
• Action : Passer
• Source : L’adresse IP ou le réseau source, ici Network_in
• Protocole dest : Port destination, ici ICMP.
 Double-cliquer sur Protocole et remplir les champs comme ci-dessous :
 Type de protocole : IP
 Protocole IP : icmp
 Message ICMP choisir au milieu de la liste requête Echo (Ping) type 8 code 0

30/35
La nouvelle règle se présente ainsi

 Double cliquer sur la règle pour la passer à l’état on, puis cliquez sur Sauvegarder et
activer puis Oui, activer…
b) Votre réseau interne doit pouvoir joindre les serveurs FTP et Web de vos voisins.
 Cliquer Nouvelle règle /règle simple
• Action : Passer
• Source : Network_in
• Destination : srv_ftp_pub_X
• Port dest : Port destination, ici ftp.

 Cliquez sur Copier puis Coller pour créer la deuxième règle à partir de la précédente :
• Action : Passer
• Source : Network_in
• Destination : srv_web_pub_X
• Port dest : Port destination, ici http

 Double cliquer sur les règles pour les passer à l’état on, puis cliquez sur Sauvegarder et
activer puis Oui, activer…
c) Seul votre serveur DNS interne (192.168.x.10) est autorisé à résoudre vers l’extérieur, et plus
précisément vers l’IP publique du Siège (192.36.253.254).
 Cliquer Nouvelle règle /règle simple
• Action : Passer
• Source : srv_dns
• Destination : FWSiège_OUT
• Port dest : Port destination, ici dns_udp.

 Double cliquer sur la règle pour la passer à l’état on, puis cliquez sur Sauvegarder et
activer puis Oui, activer…
Exercice complémentaire (Lab 5)
Ajoutez les règles de filtrage qui respecteront le cahier des charges suivant (utilisez les
séparateurs en indiquant le rôle de chaque règle):
Trafics sortants :
1. Votre réseau interne, à l'exception de vos serveurs, doit pouvoir naviguer sur les sites web
d'Internet en HTTP et HTTPS, sauf sur les sites de la République de Corée (test avec
www.visitkorea.or.kr).
2. L’accès au site http://www.cnn.com doit être bloqué depuis le réseau interne, en utilisant un
objet FQDN.

31/35
 3. Un stagiaire, nouvellement arrivé dans l'entreprise, a l'interdiction d'effectuer la moindre
requête FTP. L'adresse IP de sa machine est 192.168.x.200.
4. Votre serveur de messagerie peut envoyer des mails vers les serveurs publiés par vos
voisins.
Trafics entrants :
5. Les voisins et le formateur peuvent joindre vos serveurs Web et FTP ; ces événements
doivent être tracés.
6. Les serveurs mails voisins sont autorisés à transmettre des e-mails à votre serveur de
messagerie
7. Les voisins sont autorisés à pinger l'interface externe de votre firewall; cet événement devra
lever une alarme mineure.
8. Le formateur est autorisé à pinger l'interface externe de votre firewall.
9. Les voisins et le formateur peuvent se connecter à votre firewall : via le Real-Time Monitor,
via l’interface web et en SSH. Ces événements devront lever des alarmes majeures.

Voici l’ensemble des règles que vous devez obtenir :

6.3 Filtrage applicatif (p218)

Plusieurs politiques de filtrage au niveau applicatif peuvent être mise en place avec les SNS
Stormshield :
• Filtrage d’URL
• Filtrage SMTP et antispam
• Analyse antivirale
• Analyse Breach Fighter
• Prévention d’intrusion et inspection de sécurité
Nous n’étudierons que le filtrage d’URL
6.3.1 - Filtrage d’URL
La fonction de filtrage des URL permet de contrôler l'accès aux sites web d'Internet pour l'ensemble
de vos utilisateurs.
Pour contrôler ces accès, la politique de filtrage URL va se baser sur une liste d’URL organisée en
catégories ou basée sur des mots clés personnalisés.
Deux fournisseurs de base URL sont disponibles :
1. Base URL embarquée composée de 16 catégories téléchargées sur les serveurs de mise à
jour
2. Extended Web Control (EWC) constituée de 65 catégories, toutes hébergées dans le Cloud.
Cette solution est disponible en option supplémentaire. L'avantage majeur est que la base de
données ne doit plus être téléchargée et permet d’éviter la saturation de l’espace disque
alloué au stockage de la base.
Fonctionnement d’Extended Web Control : sur réception d’une connexion HTTP à destination d’un
site web sur Internet, le firewall envoie une requête vers un des serveurs Extended Web Control afin
de recenser les catégories auxquelles appartient l'URL visitée à condition qu’elle ne soit pas

32/35
présente dans le cache local permettant de conserver la décision appliquée à une URL déjà visitée.
Le résultat sera ensuite confronté à la politique de filtrage URL active.
Les serveurs peuvent renvoyer jusqu’à 5 catégories par URL. Par conséquent, une URL peut se
trouver simultanément dans une catégorie bloquée et une catégorie autorisée. Dans ce cas, c'est
l'ordre des règles de filtrage URL qui prime; assurez-vous donc d'ordonnancer convenablement vos
règles de filtrage URL.
La taille du cache, dépendante du modèle, est dimensionnée pour conserver 1 jour de navigation ;
son contenu n’est pas visualisable (même en mode console).

Choix de la base d’URL active

 menu Configuration ⇒ Objets ⇒ Objets Web, choisir l'onglet Base d'URL.
 Choisir Extended Web Control
NB : Le passage de Extended Web Control à la base URL embarquée nécessite le
téléchargement des catégories ; cela vous est notifié par un message d'avertissement.

Création de catégories et groupes de catégories personnalisés

Depuis le menu Configuration ⇒ Objets ⇒ Objets Web, dans les onglets URL et Groupe de
catégories, vous pouvez créer vos propres catégories ou groupes de catégories.
Les groupes de catégories peuvent être composés de catégories présentes dans la base (EWC ou
embarquée) ainsi que des catégories personnalisées.

Le contenu des catégories ne peut être consulté, cependant, l'appartenance d’une URL à un groupe
peut être vérifiée par le biais des champs de classification.
33/35
Ces champs sont disponibles depuis les menus Objets Web ou au sein d’une politique de filtrage
URL.
Édition de la politique de filtrage URL
Depuis le menu Configuration ⇒ Politique de sécurité ⇒ Filtrage URL, choisissez une politique
à éditer (dans l’exemple ci-après la politique default00 a été renommée Banque_OK).

Il convient ensuite de choisir les sites à autoriser, bloquer ou à rediriger vers l’une des 4 pages de
blocage personnalisables.
Note : La création de catégories ne peut s'effectuer depuis ce menu contrairement aux groupes de
catégories qui peuvent être ajoutés depuis le panneau de gauche.
Seul le menu Objets ⇒ Objets web permet de créer des catégories personnalisées

Le bouton Ajouter des règles par catégorie permet de créer une politique très rapidement.

Cette option ajoute une ligne avec l'action Passer pour chaque catégorie présente dans la base. Les
groupes personnalisés ne sont pas pris en compte et devront être ajoutés manuellement.
Un site web peut être classé dans plusieurs catégories. Dans ce cas, l’ordre des règles de filtrage
définit l’action à appliquer pour le site concerné.
Exemple: www.decathlon.fr fait partie de trois groupes EWC (Sports, Fashion and beauty,
Shopping). L’ordre de ces trois groupes dans la politique de filtrage URL active va dicter le
comportement à appliquer pour toute visite sur le site www.decathlon.fr.
Application du filtrage URL dans la grille de filtrage
Une fois la politique de filtrage URL définie, il convient de l'appliquer à une règle de filtrage
autorisant les flux HTTP sortants, comme le montre l'exemple ci-dessous. Dans cette règle, le
réseau nommé Réseau_compta n’a accès qu’aux sites classifiés dans la catégorie Banques.
Cette manière de procéder permet d’activer plusieurs politiques de filtrage URL simultanément ;
afin de gérer les accès de différents réseaux ou machines sources.

34/35
Personnalisation des pages de blocage
Les pages de blocage peuvent être modifiées selon vos besoins :
 menu Configuration ⇒ Notifications ⇒ Messages de blocage ⇒ Onglet Page de blocage
HTTP. Le bouton Modifier en haut à gauche de cette page permet de :
• Modifier le contenu de la page de blocage,
• Renommer la politique en cours,
• Remettre en configuration usine,
• Copier le contenu de la page en cours vers une autre page.
Les modifications peuvent s'effectuer grâce à deux éditeurs (simplifié ou HTML) qui sont au format
WYSIWYG (aperçu instantané du contenu de la page). L'éditeur simplifié permet de modifier
rapidement les informations contenues dans la page telles que son titre, le message de blocage, l'e-
mail de la personne à contacter en cas de mauvaise classification de l'URL visitée ou encore le logo
à afficher.
Pour les personnes plus à l’aise avec les langages de programmation WEB, l’éditeur HTML permet
de personnaliser la page de manière beaucoup plus précise.

6.4 Mise en place de règles de filtrage de contenu (Lab 6)

a. Sélectionnez la base d’URL « ExtendedWeb Control », si elle est disponible.
b. Trouvez les catégories dans lesquelles sont classées les URL www.facebook.com,
www.home.barclays et www.cnn.com
c. Modifiez la page de blocage de votre choix avec le logo de votre entreprise. Cette page sera
affichée pour l'ensemble des sites interdits.
d. Configurez une politique de filtrage URL que vous renommerez "No_Online" et qui permet
l'accès à tous les sites Web sauf les sites de jeux en ligne, les sites de shopping et les sites de
News. Cependant, assurez-vous que le site www.bbc.com reste joignable.
e. Tentez d’accéder au site www.cnn.com et ensuite à www.euronews.com.
Pourquoi la page de blocage ne s’affiche pas pour www.cnn.com ?

35/35