Page 1 GUIDE STORMSHIELD NETWORK SECURITY MANUEL D'UTILISATION ET DE CONFIGURATION Version 4.6.4 Dernière mise à jour du document : 11 avril 2023 Référence : sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4...
Page 2 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 4.3.3 Envoi des alertes SNMPv1 (traps) Table des matières 4.4 MIB et Traps SNMP 4.4.1 Télécharger les MIB 4.4.2 MIB Stormshield Network 1. BIENVENUE 1.1 Recommandations sur 5. ALERTES E-MAIL l'environnement d'utilisation 5.1 Onglet Configuration...
Page 3 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9.1.2 Méthodes d’authentification 10.2.4 Ajouter une identité Smartcard 9.1.3 LDAP 10.2.5 Ajouter une identité serveur 9.1.4 Certificat (SSL) 10.2.6 Importer un fichier 9.1.5 RADIUS 10.3 Révoquer une autorité, une sous- 9.1.6 Kerberos autorité...
Page 4 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 13.2.2 Onglet "Configuration de la 17.3 Service « Relai DHCP » QoS" 17.3.1 Paramètres 13.2.3 Onglet "Configuration des 17.3.2 Interfaces d’écoute et de sortie du services Web" service DHCP Relai 14.
Page 5 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23.2.3 La sélection multiple 27.2.1 Si vous avez choisi de créer un cluster 23.2.4 Le glisser-déposer (« drag’n’drop ») 27.2.2 Si vous avez choisi de rejoindre un 23.3 L’onglet Filtrage cluster 27.3 Étape 3 ...
Page 6 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28.11.2 Panneau de configuration 31.1 Firewalls disposant de plusieurs d'une interface USB / Ethernet (pour modèles pour une même plate-forme clé USB / Modem) physique 28.12 Modes de configuration 31.2 L’onglet Général réseau 31.2.1 Les boutons 28.12.1 Mode Bridge...
Page 7 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 35.1.1 Les interactions 39.1 Inspection de sécurité 35.1.2 Le filtre 39.1.1 Configuration globale 35.2 Les différents types d’objets 259 39.1.2 Configurer les profils 35.2.1 Machine 40. PROTOCOLES 35.2.2 Nom DNS (FQDN) 40.1 Recherche 35.2.3 Réseau 35.2.4 Plage d’adresses...
Page 8 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40.18.1 Paramètres 40.29 Protocole MS-RPC 40.18.2 Redondance 40.29.1 Onglet DCE/RPC (IPS) 40.18.3 Gestion des ASDU 40.29.2 Onglet NETBIOS EPMAP (IPS) 40.18.4 Support 40.29.3 Onglet OPC AE (IPS) 40.19 Onglet MODBUS (IPS) 40.29.4 Onglet OPC DA (IPS) 40.19.1 Paramètres généraux 40.29.5 Onglet OPC HDA (IPS)
Page 9 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40.42.3 Onglet IPS - NTP v2 43.2.5 Rapports Vulnérabilité 40.42.4 Onglet IPS - NTP v3 43.2.6 Rapports Réseau 40.42.5 Onglet IPS - NTP v4 43.2.7 Rapports Réseau industriel 40.43 POP3 43.2.8 Rapports Analyse Sandboxing 43.2.9 Rapports SD-WAN 40.43.1 Onglet IPS - PROXY...
Page 10 49.3.2 Informations au sujet du (SA) IKE » dernier import 51.12.4 La grille « Associations de sécurité (SA) IPsec » 50. STORMSHIELD MANAGEMENT 51.13 Liste noire / liste blanche CENTER 51.13.1 La grille "Temps réel" 50.1 Rattachement du firewall à...
Page 11 58.5.1 Principe de fonctionnement 58.5.2 Configuration d’un profil 56. VPN IPsec 58.6 Services VPN SSL sur le portail Web 56.0.1 Recommandations Stormshield Network 56.1 L’onglet Politique de 58.6.1 Accédez aux sites Web de votre chiffrement – Tunnels entreprise par un tunnel SSL 56.1.1 Site à...
Page 12 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 60.8.1 L’onglet « Filtrage » 61. Noms autorisés ou interdits 61.1 Nom du Firewall 61.2 Identifiant & Mot de passe 61.3 Commentaires (caractères interdits) 61.4 Séparateurs de règles (caractères interdits) 61.5 Nom d'interfaces 61.6 Objets 61.7 Objets de type Nom DNS...
Page 13 à la commercialisation et d’adéquation à un usage particulier, n’est accordée quant à la précision, à la fiabilité ou au contenu du document. Stormshield se réserve le droit de réviser ce document ou de le retirer à n’importe quel moment sans préavis.
Page 14 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 1. BIENVENUE 1.1.1 Recommandations Mesures de sécurité physiques Les firewalls SNS et le serveur SMC doivent être installés et stockés conformément à l’état de l’art concernant les dispositifs de sécurité sensibles : local à accès protégé, câbles blindés en paire torsadée, étiquetage des câbles, etc.
Page 15 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 1. BIENVENUE Clés cryptographiques Les clés cryptographiques générées en dehors du firewall SNS et importées sur ce dernier doivent avoir été générées conformément aux recommandations du référentiel général de sécurité (RGS) de l'Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Agents humains Les administrateurs sont des personnes non hostiles et compétentes, disposant des moyens nécessaires à...
Page 16 1.1.2 Configurations et mode d’utilisation des firewalls SNS soumis à l’évaluation Le mode d’utilisation soumis à l’évaluation présente les caractéristiques suivantes : Le cadre de l’évaluation comprend la suite logicielle Stormshield UTM / NG-Firewall installée sur l’ensemble des versions de firewalls Stormshield, allant du SN210 au SN6100, ainsi que les modèles industriels SNi20 et SNi40.
Page 17 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 1. BIENVENUE Tout service externe utilisé par le firewall SNS sera hors du cadre de l’évaluation. Néanmoins, ces services doivent être dédiés à cette utilisation, et à jour de tous les correctifs concernant leur système d’exploitation et les logiciels applicatifs qui les équipent.
Page 18 Le mode d’utilisation soumis à l’évaluation exclut le fait que le firewall SNS s’appuie sur d’autres services que ceux évoqués auparavant. Les modules que Stormshield fournit en option pour la prise en charge de ces services sont désactivés par défaut et doivent le rester.
Page 19 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 1. BIENVENUE Les algorithmes cryptographiques d’IKE et d’IPsec mis en œuvre doivent être : Standard IPsec IPsec DR Identification Clé pré-partagée ou certificat avec Certificat avec une clé ECDSA une clé RSA ou ECDSA ( 1 ) ou ECDSA ( 2 ) Authentification / SHA-2 en 256, 384 ou 512 bits...
Page 20 Si le boîtier a configuré un certificat signé par une autre autorité, il faut y ajouter cette autorité à la place de celles de NETASQ et Stormshield. En conséquence, la connexion initiale au boîtier ne déclenchera plus d'avertissement du navigateur relatif à...
Page 21 Il est donc nécessaire de déployer ces autorités de certification utilisées par une GPO sur les navigateurs des utilisateurs. Par défaut, ces autorité sont la CA NETASQ et la CA Stormshield, disponibles sur les liens suivants : http://pki.stormshieldcs.eu/netasq/root.crt.
Page 22 Cette tâche qui se révèle parfois fastidieuse peut être facilitée par des mécanismes d’authentification qui automatise le verrouillage (token USB par exemple). Dans la documentation, Stormshield Network Security est désigné sous la forme abrégée : SNS et Stormshield Network sous la forme abrégée : SN. Page 20/524...
Page 23 Si la Base d'URL Stormshield Network est choisie comme Fournisseur de Base d’URL (menu Objets > URL, onglet Base d’URL), d'autres serveurs que ceux de Stormshield Network peuvent être renseignés. Cela permet ainsi de mettre à jour la Base URL Stormshield Network par des sites miroirs internes ou d’importer votre propre base URL.
Page 24 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 3. ADMINISTRATEURS 3. ADMINISTRATEURS Ce module est composé de trois onglets : Administrateurs : il permet de créer des administrateurs en octroyant des droits d’administration aux utilisateurs utilisant une des méthodes d’authentification suivantes : LDAP RADIUS, KERBEROS, ou SSL.
Page 25 Il n’existe qu’un seul super-administrateur qui présente les caractéristiques suivantes : Il est le seul à être habilité à se connecter via la console locale sur les Firewalls Stormshield Network, et ce uniquement lors de l’installation du firewall ou pour des opérations de maintenance, en dehors de l’exploitation.
Page 26 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 3. ADMINISTRATEURS Administrateur de Ce type d'administrateur peut uniquement gérer les comptes temporaires définis sur comptes temporaires le firewall (création, modification, suppression). Administrateur avec Ce type d'administrateur peut accéder à l'ensemble des logs en cliquant sur le lien Logs : accès restreint afin d'activer le droit Logs : accès complet (données accès aux données personnelles) sans devoir saisir un code d'accès aux données privées.
Page 27 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 3. ADMINISTRATEURS  NOTE Toute modification des permissions d’un administrateur n’est effective qu’à la prochaine connexion de cet administrateur. Si vous souhaitez qu’une modification soit immédiatement prise en compte, vous devez forcer la déconnexion de l’administrateur concerné (par exemple avec la commande CLI : monitor flush user Droits en vue simple...
Page 28 Filtrage (global) Droits d’accès à la politique de filtrage globale base, modify, globalfilter Rapports (E) Droits de modifier Stormshield Network Activity Report base, report_ read Rapports (L) Droits d’accès à Stormshield Network Activity Report base, report_ read Accès au TPM...
Page 29  NOTE Stormshield Network utilise un système de chiffrement dit « asymétrique », à savoir qu’il utilise une paire composée d’une clé publique, servant à chiffrer les données, et d’une clé privée, servant à déchiffrer. L’intérêt de cette utilisation est qu’elle supprime le problème de transmission sécurisée de la clé, et permet la signature électronique.
Page 30 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 3. ADMINISTRATEURS 3.3 Onglet Gestion des tickets Cette grille permet à un administrateur possédant le droit de gestion des accès aux données personnelles de créer des tickets d'accès temporaires à ces données. 3.3.1 La grille Cette grille présente l'ensemble des informations relatives aux tickets d'accès aux données personnelles.
Page 31 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 4. AGENT SNMP 4. AGENT SNMP  IMPORTANT Afin de suivre au mieux les recommandations de la RFC2578, et pour résoudre un problème de compatibilité avec certains logiciels de supervision, toutes les tables SNMP pour lesquelles le premier indice était positionné...
Page 32 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 4. AGENT SNMP SNMPv1/v2c Active les versions v1/v2c de SNMP. V1 est la première version du protocole. La seule vérification faite par cette version concerne la chaîne de caractères « Community ». La version v2c est une version qui améliore les types d’opération de SNMPv2p et utilise la sécurité...
Page 33 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 4. AGENT SNMP 4.2.2 Authentification Mot de passe Mot de passe de l’utilisateur qui consultera les MIB. Ce mot de passe devra obligatoirement être en conformité avec la politique générale de mots de passe du firewall, définie dans la section Politique de mots de passe du module Configuration (onglet Configuration générale ), et contenir au moins 8 caractères.
Page 34 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 4. AGENT SNMP Identifiant (engineID) Chaîne en hexadécimal créée par la station de gestion pour identifier l’utilisateur de manière unique de type 0x0011223344. Le moteur ID doit être composé au minimum de 5 octets et au maximum de 32 octets.
Page 35 SNMP v1, v2c, et v3. Pour la configuration du suivi des informations et pour recevoir les traps Stormshield, vous devez au préalable télécharger les MIB (des fichiers au format texte qui décrivent une liste d’objets SNMP utilisés par le superviseur).
Page 36 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 4. AGENT SNMP La MIB STORMSHIELD-SMI-MIB est une MIB chapeau de l'ensemble des MIB. La MIB STORMSHIELD-VPN-MIB est une MIB chapeau des MIB VPNIKESA, VPNSA et VPNSP. MIB Stormshield Network CLI / Serverd...
Page 37 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 5. ALERTES E-MAIL 5. ALERTES E-MAIL L’écran se compose de 3 onglets : Configuration : permet de procéder aux réglages de base du module comme le paramétrage du serveur SMTP, la fréquence d’envoi des e-mails (en minutes), les alarmes de prévention d’intrusion et les événements système.
Page 38 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 5. ALERTES E-MAIL 5.1.2 Fréquence d’envoi des e-mails (en minutes) Fréquence d’envoi Cette option vous permet de spécifier la fréquence d'envoi des rapports. Un rapport contient toutes les alarmes détectées depuis le rapport précédent. Ainsi, la réception de l'e-mail s'effectue par tranche horaire et non par alarme déclenchée.
Page 39 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 5. ALERTES E-MAIL Envoyer uniquement En cochant cette option, le groupe sélectionné dans le champ suivant recevra les les alarmes majeures événements système majeurs, qui auront l’action de notification e-mail configurée (module Applications et Protections / colonne Avancé...
Page 40 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 5. ALERTES E-MAIL 5.2.3 Supprimer un groupe 1. Sélectionnez dans la zone de gauche le groupe que vous souhaitez supprimer. 2. Cliquez sur Supprimer, puis confirmez la suppression. Si le groupe concerné est utilisé dans la configuration du firewall, vous pouvez : forcer sa suppression, vérifier où...
Page 41 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 5. ALERTES E-MAIL 5.3.3 Demande de certificat Accepter la demande de certificat : modèle d'e-mail spécifiant que la demande de certificat a été approuvée par l’administrateur. Refuser la demande de certificat : modèle d'e-mail spécifiant que la demande de certificat a été...
Page 42 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 5. ALERTES E-MAIL Type Minor Action Block Date 2010-10-11 15:08:32 Interface dmz2 Protocol Source 10.2.18.5:55987 (ed:ephemeral_fw_tcp) Destination 66.249.92.104:80 (www.google.com) Description Prévention injection SQL : instruction OR suspecte dans l'URL Page 40/524 sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023...
Page 43 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 6. ANTISPAM 6. ANTISPAM L’écran de configuration de l’antispam se compose de 3 onglets : Général : configuration de base du module Antispam (activation, paramètres SMTP, Analyse par réputation…), Domaines en liste blanche : contient la liste des domaines qui doivent être systématiquement considérés comme légitimes, Domaines en liste noire ...
Page 44 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 6. ANTISPAM niveau de cette option un seuil de confiance modéré, tous les mails de niveau modéré et élevé (donc au dessus de 200) seront rejetés alors que ceux au dessus de 100 à 200 seront gardés. ...
Page 45 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 6. ANTISPAM Analyse heuristique L’analyse heuristique est basée sur le moteur antispam Vade Secure. Cet antispam délivre, par un algorithme particulier, un degré de légitimité aux messages. L’antispam effectue le calcul et attribue un score définissant le caractère "non sollicité" d’un message.
Page 46 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 6. ANTISPAM Certaines opérations, listées dans la barre des tâches, peuvent être réalisées en effectuant un clic droit sur la grille des domaines en liste blanche.  NOTE Le filtrage par liste blanche et liste noire prévaut sur les méthodes d'analyses par liste noire DNS et analyse heuristique.
Page 47 7.2 Paramètres 7.2.1 L’analyse des fichiers ClamAV Dans ce menu, vous configurez les types de fichiers qui doivent être analysés par le service Antivirus du firewall Stormshield Network. Analyse des Cette option permet d'activer le moteur de décompression (Diet,Pkite, Lzexe, exécutables...
Page 48 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 7. ANTIVIRUS Analyse sandboxing Seuil d'analyse Indiquez le niveau de classification sandboxing à partir duquel les fichiers doivent sandboxing à partir être directement bloqués par l'antivirus avancé : duquel les fichiers Mineur, seront bloqués Suspect,...
Page 49 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 8. APPLICATIONS ET PROTECTIONS 8. APPLICATIONS ET PROTECTIONS Ce module va vous permettre de gérer la configuration des alarmes générées par les applications et les protections du Firewall. Notez que l'intitulé des alarmes est affiché dans la langue du firewall (champ Langue du Firewall dans l'onglet Configuration générale du module Système >...
Page 50 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 8. APPLICATIONS ET PROTECTIONS Certains intitulés de colonnes affichent l’icône . Par un simple clic, un menu s’affiche et propose d’assigner un même paramètre à plusieurs alarmes sélectionnées (Action, Niveau, Nouveau et Avancé).
Page 51 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 8. APPLICATIONS ET PROTECTIONS Malwares Ces alarmes sont basées sur les signatures connues de logiciels malveillants, reconnus par des types d’activité suspects. Il est conseillé d’examiner les machines à l’origine de cette catégorie d’alarmes. Rechercher Cet emplacement permet de n’afficher que la ou les alarmes contenant la lettre ou le mot saisi.
Page 52 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 8. APPLICATIONS ET PROTECTIONS Profil applicatif Profil applicatif contenant l’alarme configurée dans ce profil d’inspection. Action Lorsqu’une alarme est remontée, le paquet qui a provoqué cette alarme subit l’action associée. Vous pouvez choisir d’ Autoriser ou d’ Interdire un trafic qui remonte une alarme.
Page 53 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 8. APPLICATIONS ET PROTECTIONS l'URL (Invalid %u encoding char in URL). Cette alarme considérée comme sensible, bloque l’accès au site. L’action Autoriser appliquée à une alarme bloquant le trafic, stoppe l’analyse protocolaire de cette connexion (incluant les requêtes suivantes).
Page 54 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9. AUTHENTIFICATION 9. AUTHENTIFICATION La fonction d’authentification permet à l’utilisateur de s’identifier via un login et un mot de passe ou de manière totalement transparente (SSO / certificat). Pour cela, elle peut utiliser une base de données LDAP (Lightweight Directory Access Protocol) stockant des fiches utilisateurs et, éventuellement, le certificat numérique x509 qui lui est associé.
Page 55 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9. AUTHENTIFICATION 9.1.2 Méthodes d’authentification La colonne de gauche est dédiée à la liste des méthodes d’authentification. La colonne de droite affiche les options de paramétrage de la méthode d’authentification sélectionnée. Le bouton Ajouter une méthode ouvre une liste déroulante vous proposant de choisir parmi les méthodes d’authentification suivantes, que vous pourrez Supprimer si besoin ...
Page 56 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9. AUTHENTIFICATION Ajouter L’ajout d’une autorité de certification dans la liste des autorités de certification de confiance permet d’accepter cette autorité comme autorité reconnue et de valider tous les certificats signés par cette autorité de certification. En cliquant sur le bouton , puis sur l’icône s’affichant sur la ligne...
Page 57 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9. AUTHENTIFICATION Domaine ou annuaire Sélectionnez l'annuaire LDAP à parcourir pour authentifier les utilisateurs dont le champ de certificat défini contient une chaîne correspondant à l'expression régulière. 9.1.5 RADIUS RADIUS est un protocole d’authentification standard, fonctionnant en mode client-serveur. Il permet de définir les accès réseau à...
Page 58 Kerberos. Cela signifie qu’un utilisateur se connectant à son domaine par une solution basée sur un serveur Kerberos serait automatiquement authentifié sur un firewall Stormshield Network dans le cas d’un accès à Page 56/524 sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023...
Page 59 (Ce nom correspond au nom indiqué dans le script Stormshield Network livré avec le matériel d’installation). Le Nom du service sera le numéro de série précédé de la mention « HTTP/ ». Exemple : HTTP/U70XXAZ0000000 Dans le cas d’un firewall en haute disponibilité, l’identifiant devant être commun, il est...
Page 60 Configuration des annuaires . Agent SSO Adresse IP Adresse IP du serveur de la machine hébergeant Stormshield Network SSO Agent . Port Par défaut, le port "agent_ad" est sélectionné, correspondant au port 1301. Le protocole utilisé est TCP.
Page 61 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9. AUTHENTIFICATION Précisez l'expression régulière destinée à rechercher les adresses IP dans les logs Recherche d'adresse hébergés par le serveur syslog. IP (expr. régulière) Exemple : ([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})\s\| Précisez l'expression régulière destinée à rechercher les noms d'utilisateurs dans Recherche les logs hébergés par le serveur syslog.
Page 62 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9. AUTHENTIFICATION Méthode de Sélectionnez entre les méthodes de déconnexion PING ou Base de Registre : détection PING : l’agent SSO teste l'accessibilité de toutes les machines authentifiées sur le Firewall toutes les 60 secondes par défaut.
Page 63 TOTP que de firewalls sur lesquels il doit se connecter.  NOTE Stormshield recommande fortement d'activer la synchronisation de temps via NTP pour le firewall en cochant la case Maintenir le firewall à l'heure (NTP) et en précisant des serveurs NTP (module Système ...
Page 64 Émetteur Vous pouvez préciser l'émetteur du code TOTP (nom de votre entreprise par exemple). La valeur proposée par défaut est Stormshield Network Security. Personnaliser le message d’enrôlement des utilisateurs TOTP Message à afficher Vous pouvez définir un message (optionnel) qui sera affiché sur le portail captif du (1024 caractères...
Page 65 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9. AUTHENTIFICATION Réinitialiser la base En cliquant sur ce bouton, vous pouvez réinitialiser la base complète des utilisateurs TOTP ayant réalisé leur enrôlement TOTP. Les utilisateurs devront donc de nouveau suivre la procédure complète d'enrôlement TOTP lors de leur prochaine authentification.
Page 66 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9. AUTHENTIFICATION 9.2 Onglet Politique d’authentification La grille de filtrage vous permet de définir les règles de la politique d’authentification à appliquer à travers le Firewall. Les règles prioritaires sont placées en haut. Le firewall exécute les règles dans l’ordre (règle N°1, 2 et ainsi de suite) et s'arrête dès qu’il trouve une règle correspondant au trafic.
Page 67 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9. AUTHENTIFICATION Supprimer Supprime la règle sélectionnée. Monter Ce bouton permet de placer la règle sélectionnée avant la règle directement au- dessus. Descendre Ce bouton permet de placer la règle sélectionnée après la règle directement en- dessous.
Page 68 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9. AUTHENTIFICATION  NOTE Le choix d’une interface propose l’interface VPN SSL, désignant l’interface sur laquelle sont connectés les utilisateurs d’un tunnel VPN SSL. Étape 3 : Méthodes d'authentification Cette étape n'est pas proposée pour les règles associées aux méthodes "Invités", "Comptes temporaires"...
Page 69 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9. AUTHENTIFICATION Les interactions Certaines opérations, listées dans la barre des tâches, peuvent être réalisées en effectuant un clic droit sur la grille des objets multi-utilisateurs : Ajouter, Supprimer. 9.3 Onglet Portail captif Afin de renforcer la sécurité, la connexion au portail d’authentification et à...
Page 70 Il est donc nécessaire de déployer ces autorités de certification utilisées par une GPO sur les navigateurs des utilisateurs. Ces autorité sont la CA NETASQ et la CA Stormshield, elles sont disponibles sur les liens suivants : http://pki.stormshieldcs.eu/netasq/root.crt. http://pki.stormshieldcs.eu/products/root.crt.
Page 71 Masquer l'en-tête Cette option permet de masquer l'en-tête qui apparaît sur le portail captif. Par défaut, (logo) il s'agit du logo Stormshield. Sélectionnez un logo Vous pouvez personnaliser l’image qui sera affichée dans l’en-tête du portail captif. à afficher (800x50 Par défaut, le format de l’image doit être de 800 x 50 px.
Page 72 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9. AUTHENTIFICATION Activer le parrainage Cette option active la méthode parrainage en plus de la méthode d'authentification choisie par défaut. Cette case est automatiquement cochée et grisée lorsque la méthode Parrainage est sélectionnée dans le champ ci-dessus. 9.4.3 Conditions d'utilisation de l'accès à...
Page 73 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9. AUTHENTIFICATION Autoriser l'accès au Cette option autorise la publication du fichier .PAC pour les utilisateurs se présentant fichier de depuis les interfaces réseau associées au profil d'authentification. configuration du proxy (.pac) pour ce profil Interdire...
Page 74 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9. AUTHENTIFICATION Ce champ est modifiable si l'option Les utilisateurs doivent changer leur mot de Durée de vie (jours) passe est sélectionnée. Indiquez le nombre de jours de validité d'un mot de passe. Lorsqu'un mot de passe atteint sa durée de vie maximale, il expire à...
Page 75 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9. AUTHENTIFICATION Voici ci-dessous, une brève description des mécanismes permettant cette authentification Multi-utilisateur. Ces modes sont détaillés dans les sections suivantes. Mode Cookie Le cas d’objets Multi-utilisateur est rendu possible grâce au Mode Cookie. Lors de la première connexion à...
Page 76 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9. AUTHENTIFICATION Ce mode est recommandé car il répond à toutes les demandes souhaitées : authentification de l’utilisateur selon la méthode choisie, Filtrage SSL (blocage de sites internet en HTTPS par exemple), etc.
Page 77 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 9. AUTHENTIFICATION Le mode explicite implique des flux HTTPS par la méthode CONNECT. Le trafic HTTPS est alors encapsulé en HTTP et la méthode d’envoi des requêtes permet d’établir une relation de confiance entre le client et le serveur.
Page 78 Pour l’utilisation de la fonctionnalité VPN SSL, l'autorité de certification « sslvpn-full-default- authority » comprend une identité serveur « openvpnserver » ainsi qu'une identité utilisateur « openvpnclient ». Cela permet au client et au service VPN SSL du firewall Stormshield Network de s’identifier mutuellement sans avoir recours à une autorité externe.
Page 79 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 10. CERTIFICATS ET PKI 10.1 Les actions possibles 10.1.1 La barre de recherche Si vous recherchez un certificat, une identité ou une autorité, saisissez son nom dans le champ de recherche. La liste de tous les certificats, identités et autorités correspondant à...
Page 80 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 10. CERTIFICATS ET PKI Pour plus d'informations sur ces opérations, consultez la section Révoquer une autorité, une sous autorité ou un certificat. 10.1.5 Actions Les actions possibles diffèrent selon le type d’objet sélectionné dans la liste de gauche : Autorité ...
Page 81 5. Renseignez les attributs de l'autorité. Ces informations seront présentes dans le certificat de l'autorité ainsi que dans les certificats qu'elle émettra. Organisation (O) : Nom de votre société (ex : Stormshield). Unité d’organisation (OU) : "branche" de votre société (ex : Documentation).
Page 82 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 10. CERTIFICATS ET PKI Onglet « Détails » 4 fenêtres présentent les données de l'autorité : Sa Validité : dates d'émission et d'expiration de l'autorité, Son destinataire (Émis pour), Son Émetteur : l'autorité elle-même, Ses Empreintes : numéro de série de l'autorité, algorithmes de chiffrement et de signature utilisés...
Page 83 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 10. CERTIFICATS ET PKI 10. Modifiez éventuellement la Taille de clé (en bits). Bien que les clés de grande taille soient plus efficaces, il est déconseillé d’utiliser celles-ci avec les équipements d’entrée de gamme, pour des raisons de temps de génération. 11.
Page 84 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 10. CERTIFICATS ET PKI Créer une identité utilisateur 1. Cliquez sur Ajouter. 2. Sélectionnez Identité Utilisateur. 3. Renseignez un CN (obligatoire). Il s'agit d'un nom permettant d’identifier l'utilisateur dans la limite de 64 caractères. 4.
Page 85 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 10. CERTIFICATS ET PKI Onglet Révocation (CRL) Les adresses (URL) des Points de distribution de CRL de l'autorité parente, Les adresses (URL) des Serveurs OCSP si le protocole OCSP est utilisé pour le renouvellement des certificats.
Page 86 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 10. CERTIFICATS ET PKI 11. Lorsque le firewall dispose d'un TPM et que celui-ci a été initialisé, cochez la case Protéger cette identité à l'aide du TPM pour enregistrer cette identité sur le TPM. 12.
Page 87 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 10. CERTIFICATS ET PKI Créer une identité serveur 1. Cliquez sur Ajouter. 2. Sélectionnez Identité Serveur. 3. Renseignez un Nom de domaine qualifié (FQDN) (obligatoire). La taille limite de ce champ est de 64 caractères. Exemple : myserver.mycompany.com. 4.
Page 88 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 10. CERTIFICATS ET PKI 10.2.6 Importer un fichier Il est possible d'importer un fichier contenant un ou plusieurs éléments de la liste suivante : Certificat(s), Clé(s) privée(s), CRL, Requête(s) de signature de certificat (CSR - Certificate Signing Request). Importer un fichier 1.
Page 89 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 10. CERTIFICATS ET PKI 4. Vous pouvez sélectionner la Raison de cette révocation dans la liste déroulante. Cette raison de révocation sera affichée dans la CRL de l'autorité parente de l'entité révoquée.
Page 90 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 10. CERTIFICATS ET PKI 10.4 Créer, renouveler ou supprimer une CRL Lorsqu'une autorité ou une sous-autorité est ajoutée à la PKI, sa liste de révocation de certificats (CRL - Certificate Revocation List) doit être créée. De même, bien qu'une CRL se mette à...
Page 91 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 10. CERTIFICATS ET PKI Une boîte de dialogue s'ouvre. 4. Validez la suppression en cliquant sur OK. 10.5 Supprimer la clé privée d'une identité (et conserver le certificat) Après qu'une identité (utilisateur, serveur ou Smartcard) ait été créée sur le firewall et fournie à l'utilisateur final (généralement dans conteneur chiffré...
Page 92 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 10. CERTIFICATS ET PKI 1. Sélectionnez l'identité dans la liste de gauche. 2. Cliquez sur Télécharger. 3. Sélectionnez Identité puis choisissez le format du fichier d'export (PEM, DER ou P12). 4.
Page 93 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 11. COMPTES TEMPORAIRES 11. COMPTES TEMPORAIRES Ce service permet la gestion de comptes dont la durée de validité est limitée. Ces comptes sont destinés à fournir temporairement un accès Internet public à des personnes externes à l'entreprise.
Page 94 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 11. COMPTES TEMPORAIRES Mot de passe Le mot de passe associé au compte temporaire. Ce mot de passe est généré automatiquement par le firewall. 11.1.2 Les actions possibles Actualiser Lorsque plusieurs personnes sont habilitées à créer des comptes temporaires, un clic sur ce bouton permet de rafraîchir la liste des comptes et de visualiser l'ensemble des saisies réalisées.
Page 95 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 11. COMPTES TEMPORAIRES Société, Date de début de validité, Date de fin de validité. Seuls l'identifiant (définitif après création d'un compte) et le mot de passe du compte ne peuvent être modifiés par ce biais. 1.
Page 96 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 12. CONFIGURATION 12. CONFIGURATION L’écran de configuration se compose de 3 onglets : Configuration générale : définition des caractéristiques du firewall (nom, langue, clavier) des paramètres cryptographiques et de date et d’heure, de la politique de mots de passe ainsi que des serveurs NTP.
Page 97 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 12. CONFIGURATION Activer le mode L’option Activer le mode « Diffusion Restreinte (DR) » version 2020 impose au « Diffusion firewall de respecter les recommandations de l'ANSSI (Agence Nationale de la Restreinte (DR) ...
Page 98 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 12. CONFIGURATION 12.1.3 Politique de mots de passe Les paramètres indiqués s’appliquent à l’ensemble des mots de passe et clés pré-partagées définis sur le firewall (VPN PPTP, VPN IPsec, annuaire LDAP interne, etc.). Longueur minimale Indiquez le nombre minimum de caractères devant être respecté...
Page 99  NOTE La date et l'heure auxquelles votre firewall Stormshield Network est réglé sont importantes : elles vous permettent de situer dans le temps un événement enregistré dans les fichiers de log. Elles servent également à la programmation horaire des configurations.
Page 100 Ce champ est accessible seulement si la valeur Préciser un un (FQDN) nom de domaine (FQDN) a été sélectionnée dans le champ précédent. Télémétrie Lorsque cette case est cochée, votre firewall envoie vers le Cloud Stormshield des Autoriser l'envoi à données d'utilisation à des fins statistiques : Stormshield de données d'utilisation...
Page 101 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 12. CONFIGURATION 12.1.6 Firewalls industriels uniquement (modèles SNi20 et SNi40) Afin d’assurer une continuité de service dans les milieux industriels, les firewalls modèles SNi20 et SNi40 sont équipés d’un bypass matériel qui permet, une fois activé, de faire passer le trafic réseau sans qu'aucune analyse ne soit mise en œuvre.
Page 102 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 12. CONFIGURATION Sélectionnez le délai au delà duquel le bypass de type OnTimer doit se déclencher. Seuil d'inactivité du mode sûreté Les valeurs proposées sont : 1 min 1 min 30 sec 2 min 2 min 30 sec 3 min...
Page 103 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 12. CONFIGURATION Tentatives Nombre maximum de tentatives de connexion autorisées pour un administrateur d’authentification avant blocage (erreur d’identifiant ou de mot de passe / sensibilité à la casse par autorisées exemple).
Page 104 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 12. CONFIGURATION Autoriser l’utilisation En cochant cette case, tous les comptes déclarés administrateurs du firewall avec le de mot de passe droit "Console (SSH)" ainsi que le compte admin peuvent se connecter au firewall par SSH en utilisant leur mot de passe.
Page 105 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 12. CONFIGURATION 12.3 Onglet Paramètres réseaux 12.3.1 Support IPv6 ON / OFF Placez le sélecteur sur ON afin d'activer le support d’IPv6 sur le firewall. Pour connaître le champ d’application du support IPv6 et les changements des Support IPv6 différents modules de l’interface d’administration, consultez le chapitre ...
Page 106 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 13. CONFIGURATION DE LA SUPERVISION 13. CONFIGURATION DE LA SUPERVISION Les données et courbes de supervision se basent sur les traces enregistrées sur le firewall. Ces traces sont analysées. L'écran se divise en 2 parties : En haut ...
Page 107 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 13. CONFIGURATION DE LA SUPERVISION module Politique de sécurité > Qualité de service. La grille présente les colonnes suivantes : Sélectionnez dans la liste déroulante la file d'attente de QoS devant être supervisée Les interactions Certaines opérations, listées dans la barre des tâches, peuvent être réalisées en effectuant un clic droit sur la grille des files d'attente supervisées :...
Page 108 LDAP est un protocole standard permettant de gérer des annuaires, c’est-à-dire d’accéder à des bases d’informations sur les utilisateurs d’un réseau par l’intermédiaire de protocoles TCP/IP. Les firewalls Stormshield Network embarquent une base LDAP interne. Celle-ci stocke les informations relatives aux utilisateurs devant s’authentifier pour passer au travers du firewall.
Page 109 Vérifier la connexion à un annuaire ou de Vérifier l'utilisation d'un annuaire au sein de la configuration du firewall. 14.2 Création d’un LDAP interne Ce type d’annuaire est hébergé par votre firewall multifonctions Stormshield Network, vos informations y seront stockées une fois l’annuaire LDAP construit. 14.2.1 Étape 1 : Choix de l’annuaire Comme précisé...
Page 110 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 14. CONFIGURATION DES ANNUAIRES Robustesse du mot Cette jauge indique le niveau de sécurité de votre mot de passe : « Très Faible », de passe « Faible », « Moyen », « Bon » ou « Excellent ». Il est fortement conseillé...
Page 111 Il est recommandé de sélectionner SSHA256. 14.3 Connexion à un annuaire LDAP externe Le LDAP externe est un annuaire auquel votre firewall multifonctions Stormshield Network va se connecter. 14.3.1 Etape 1 : Choix de l’annuaire Sélectionnez la base LDAP correspondant à votre choix. Ceci est la première étape de la configuration de cet annuaire.
Page 112 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 14. CONFIGURATION DES ANNUAIRES Domaine racine Vous devez renseigner le Domaine racine (DN) de votre annuaire. Le DN représente (Base DN) le nom d’une entrée, sous la forme d’un chemin d’accès à celle-ci, depuis le sommet de l’arborescence.
Page 113 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 14. CONFIGURATION DES ANNUAIRES Port Ce champ reprend le port d’écoute que vous avez préalablement sélectionné à la page précédente. Domaine racine Le Domaine racine de votre annuaire tel que défini lors de sa création. (Base DN) ...
Page 114 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 14. CONFIGURATION DES ANNUAIRES Vérifier le certificat Lors d’une connexion à la base LDAP, le firewall vérifie que le certificat a bien été auprès d'une Autorité délivré par l’Autorité de certification (CA) spécifiée en-dessous. racine Sélectionner une Ce champ permet de sélectionner l’Autorité...
Page 115 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 14. CONFIGURATION DES ANNUAIRES Attributs de Cette colonne représente la valeur donnée à l’attribut au sein de l’annuaire externe. l’annuaire externe  EXEMPLES Cn=COMPAGNIE telephoneNumber= +33 (0)3 61 96 30 mail = salesadmin@compagnie.com Configuration avancée Hachage des mots de passe ...
Page 116 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 14. CONFIGURATION DES ANNUAIRES Aucune Pas de chiffrement du mot de passe, celui-ci est stocké en clair.  AVERTISSEMENT Cette méthode est très peu recommandée car vos données ne sont pas protégées.
Page 117 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 14. CONFIGURATION DES ANNUAIRES Nom de domaine Nom permettant d'identifier l'annuaire interne lorsque plusieurs annuaires sont définis sur le firewall. Dans une configuration comportant des annuaires multiples, ce nom devra compléter l'identifiant de l'utilisateur pour réaliser une authentification (identifiant@nom_de_domaine).
Page 118 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 14. CONFIGURATION DES ANNUAIRES Onglet « Configuration » La page affichée présente une fenêtre récapitulative des informations saisies pour votre LDAP externe et différents services concernant l’accès à votre annuaire. Annuaire distant Activer l’utilisation de Cette option permet de démarrer le service LDAP.
Page 119 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 14. CONFIGURATION DES ANNUAIRES Activer l’accès en SSL Cette option permet d’effectuer une vérification de votre certificat numérique généré par l’autorité racine du firewall. Les informations sont chiffrées en SSL. Cette méthode utilise le port 636. L’accès public au LDAP est protégé...
Page 120 Attributs de Cette colonne représente la valeur donnée à l’attribut au sein de l’annuaire externe. l’annuaire externe Pour un annuaire LDAP de type PosixAccount , l’attribut Stormshield member prend la valeur memberUid . Configuration avancée Hachage des mots de passe : La méthode de chiffrement des mots de passe des nouveaux utilisateurs.
Page 121 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 14. CONFIGURATION DES ANNUAIRES CRYPT Le mot de passe est protégé par l'algorithme CRYPT, dérivé de l'algorithme DES permettant le chiffrement par bloc, en utilisant des clés de 56 bits. Il est peu conseillé, possédant un niveau de sécurité...
Page 122 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 14. CONFIGURATION DES ANNUAIRES Serveur Vous devez choisir un objet correspondant à votre serveur LDAP au sein de la liste déroulante. Cet objet doit être créé au préalable et référencer l'adresse IP de votre serveur LDAP.
Page 123 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 14. CONFIGURATION DES ANNUAIRES Identifiant L’identifiant permettant au firewall de se connecter sur votre serveur LDAP.  EXEMPLE cn=Administrateur,cn=utilisateurs Mot de passe Le mot de passe créé sur le firewall pour vous connecter sur le serveur LDAP. Connexion sécurisée (SSL) Pour pouvoir établir une connexion sécurisée (LDAPS) entre le firewall et l'annuaire, il est nécessaire que le serveur hébergeant l'annuaire externe supporte et utilise l'une des suites de...
Page 124 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 14. CONFIGURATION DES ANNUAIRES Sélectionner une Cette option permet de sélectionner l’Autorité de certification qui sera utilisée pour Autorité de vérifier le certificat serveur délivré par le serveur LDAP, afin d’assurer l’authenticité certification de de la connexion à...
Page 125 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 14. CONFIGURATION DES ANNUAIRES Attributs de Cette colonne représente la valeur donnée à l’attribut au sein de l’annuaire externe. l’annuaire externe  EXEMPLES Cn= COMPAGNIE telephoneNumber= +33 (0)3 61 96 30 mail = salesadmin@compagnie.com Configuration avancée Hachage des mots de passe ...
Page 126 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 14. CONFIGURATION DES ANNUAIRES Branche ‘utilisateurs’ Donnez le nom de la branche LDAP pour stocker les utilisateurs.  EXEMPLE ou=users Branche ‘groupes’ Donnez le nom de la branche LDAP pour stocker les groupes d'utilisateurs. ...
Page 127 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 15. CONFIGURATION DES RAPPORTS 15. CONFIGURATION DES RAPPORTS Ce module permet d'activer les rapports statiques ainsi que les courbes historiques du firewall. Ces derniers se basent sur l’ensemble du trafic traité par le firewall, c’est-à-dire toutes les connexions transitant par toutes les interfaces, qu’elles soient internes ou externes.
Page 128  NOTE Ces données peuvent être envoyées via Syslog à destination de la solution Virtual Log Appliance for Stormshield afin de construire des rapports ou d’effectuer leur archivage. 15.3 Onglet Liste des graphiques historiques État Active ou désactive le graphique historique concerné.
Page 129 Affiche la liste des utilisateurs connectés, en montrant les droits utilisateurs (par niveau) et les droits pour la session en cours (SessionLevel). Permet d’afficher de consulter les journaux d’activités du firewall multifonction Stormshield Network, regroupant 6 commandes. MODIFY Cette commande est un droit spécifique permettant à l’utilisateur de modifier la configuration d’un module, en plus de la lecture.
Page 130 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 16. CONSOLE CLI MONITOR Permet d’accéder aux fonctions relatives au MONITOR, contenant 20 commandes. Aucune action ne sera effectuée, tout en évitant la déconnexion du serveur. Permet d’afficher ou de télécharger la PKI, regroupant 7 commandes. QUIT Permet de se déconnecter.
Page 131 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 16. CONSOLE CLI  EXEMPLE Si vous saisissez la commande CONFIG, toutes les commandes relatives à celle-ci apparaîtront à l’écran. Pour utiliser l’une de ces commandes, entrez dans la zone de saisie « CONFIG », suivi d’un espace et de la commande voulue, comme ...
Page 132 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 17. DHCP 17. DHCP Le module DHCP se présente en un seul écran, sauf si le support d'IPv6 est activé. Si ce support est activé, le module DHCP se compose de deux onglets distincts et ce paramétrage s'effectue dans l'onglet DHCPv4.
Page 133 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 17. DHCP 17.2.2 Plage d’adresses Pour qu’un serveur DHCP fournisse des adresses IP, il est nécessaire de configurer une réserve d’adresses dans laquelle il pourra puiser. Les boutons d'action Pour pouvoir ajouter ou supprimer des plages d’adresses, cliquez sur le bouton Ajouter ou le bouton Supprimer.
Page 134 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 17. DHCP 17.2.3 Réservation Bien qu’utilisant un serveur distribuant dynamiquement des adresses IP aux clients, il est possible de réserver une adresse IP spécifique pour certaines machines. Cette configuration se rapproche d’un adressage statique, mais rien n’est paramétré...
Page 135 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 17. DHCP 17.2.4 Configuration avancée D’autres types de serveurs à utiliser peuvent être envoyés par le biais du service DHCP aux postes clients. Filename Nom du fichier d'amorçage et de configuration que le poste client peut récupérer au démarrage.
Page 136 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 17. DHCP 17.3.1 Paramètres Serveur(s) DHCP La liste déroulante permet de sélectionner un objet machine, ou un objet groupe contenant des machines. Le Firewall relaiera les requêtes des clients vers ce(s) serveur(s) DHCP.
Page 137 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 18. DNS DYNAMIQUE 18. DNS DYNAMIQUE L’écran de configuration du client DNS dynamique se décompose en 2 parties : Sur la gauche, la Liste des profils DNS dynamique. Sur la droite, la Résolution DNS, ou configuration du profil préalablement sélectionné. 18.1 Liste des profils de DNS dynamique Le tableau présentant les profils se compose de 2 colonnes ...
Page 138 Configuration avancée. Ils permettent notamment de renouveler l'enregistrement du changement d'adresse. Fréquence de Période de renouvellement du service DNS dynamique. Cette période est fixée à 28 renouvellement (en jours par défaut par Stormshield Network. jours)  REMARQUE Ces fournisseurs punissent les renouvellements abusifs (fermeture du compte…).
Page 139 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 19. DROITS D'ACCÈS 19. DROITS D'ACCÈS Ce module se compose de 3 onglets : Accès par défaut : permet de définir les accès VPN SSL Portail, VPN IPsec, VPN SSL ainsi que la politique de parrainage par défaut.
Page 140 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 19. DROITS D'ACCÈS 19.1.2 Parrainage Le parrainage permet à un utilisateur externe présent dans l'entreprise de soumettre depuis le portail captif une demande d'accès à Internet pour une durée déterminée. Politique de Le parrainage permet à...
Page 141 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 19. DROITS D'ACCÈS 19.2.2 La grille Accès détaillé État Affiche l'état de la configuration de la règle d'accès détaillé de l’utilisateur ou du groupe d’utilisateurs. Double-cliquez pour modifier l'état.  NOTE Le firewall évalue les règles dans leur ordre d’apparition à...
Page 142 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 19. DROITS D'ACCÈS 19.3.1 Les interactions Certaines opérations, listées dans la barre des tâches, peuvent être réalisées en effectuant un clic droit sur la grille des comptes PPTP : Ajouter, Supprimer, Modifier le mot de passe.
Page 143 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 20. ENREGISTREMENT DES COMMANDES DE CONFIGURATION 20. ENREGISTREMENT DES COMMANDES DE CONFIGURATION Lorsqu'il a été activé dans les préférences, le bouton d'enregistrement des commandes de configuration est affiché dans la partie droite du panneau supérieur de l'interface Web d'administration.
Page 144 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 21. ENRÔLEMENT 21. ENRÔLEMENT Le service d'enrôlement Web permet à un utilisateur "inconnu" à la base des utilisateurs de demander la création de son compte d’accès (à Internet, au serveur mail, à tous les services qui nécessitent une authentification) et de son certificat.
Page 145 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 21. ENRÔLEMENT Cette zone affiche les informations de la demande d'enrôlement utilisateur ou de certificat sélectionnée. Pour les demandes de Certificat, seul le champ Adresse e-mail apparaît. Identifiant Identifiant de connexion qui sera créé si l'utilisateur est validé. Vous pouvez modifier le format servant à...
Page 146 Cette alarme est reportée dans les logs, et peut être envoyée par Syslog, (partie Traces - Syslog) ou par e-mail (voir module Alertes e-mails). Tracer : Le firewall Stormshield Network n'effectue aucune action. Ceci est utile si vous voulez juste tracer certains flux sans appliquer d'action particulière.
Page 147 Lorsque vous sélectionnez un événement au sein de la liste en positionnant votre curseur dessus, un lien « Afficher l’aide » apparaît. En cliquant sur celui-ci, vous serez renvoyé sur la base de connaissances Stormshield Network, donnant plus de détails sur les informations relatives à l’événement. Configurer Envoyer un e-mail ...
Page 148 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT 23. FILTRAGE ET NAT Le Filtrage et le NAT sont réunis en un seul module et font partie du menu Politique de Sécurité. 23.1 Evaluation du filtrage et impact du NAT La politique de filtrage est évaluée sur les adresses IP avant modification par le NAT, c'est-à-dire les adresses IP du paquet réseau avant qu’il n’atteigne le firewall.
Page 149 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT 23.2.1 Sélection de la politique de filtrage Le menu déroulant propose 10 politiques de filtrage pré-configurées, numérotées de 1 à 10 : « Block all (1) » Par défaut, cette politique de filtrage est activée en configuration d’usine.
Page 150 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT 23.2.2 Les actions Activer cette Active immédiatement la politique en cours d’édition: Les paramètres enregistrés écrasent politique les paramètres en vigueur et la politique est appliquée immédiatement sur le firewall. ...
Page 151 Indique que l’objet ne peut être ajouté à la cellule choisie. 23.3 L’onglet Filtrage La technologie de prévention d’intrusion Stormshield Network inclut un moteur de filtrage dynamique des paquets (« stateful inspection ») avec optimisation du traitement des règles permettant une application de la politique de filtrage de manière sûre et rapide.
Page 152 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT 23.3.1 Les actions sur les règles de la politique de filtrage Rechercher Ce champ permet la recherche par occurrence, lettre ou mot.  EXEMPLE Si vous saisissez « Network_internals » dans le champ, toutes les règles de filtrage comportant «...
Page 153 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Nouvelle règle Insère une ligne prédéfinie ou à définir après la ligne sélectionnée. 5 choix sont possibles, les règles d’authentification, d’inspection SSL et de proxy HTTP explicite seront définies via un assistant dans une fenêtre à part : Page 151/524 sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023...
Page 154 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Règle simple: Cette option permet de créer une règle vide laissant à l’administrateur la possibilité de remplir les différents champs de la grille de filtrage. Séparateur – regroupement de règles : Cette option permet d’insérer un séparateur au-dessus de la ligne sélectionnée.
Page 155 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Supprimer Supprime la ligne sélectionnée. Monter Placer la ligne sélectionnée avant la ligne directement au-dessus. Descendre Placer la ligne sélectionnée après la ligne directement en dessous. Tout dérouler Étendre l’arborescence des règles.
Page 156 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Supprimer, Couper, Copier, Coller, Chercher dans les logs, Chercher dans la supervision. Comparaison mathématique Chaque fois que vous rencontrerez une liste déroulante d’objets au sein des colonnes (exceptées « ...
Page 157 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT selon le pourcentage du compteur de la règle la plus utilisée : de 0 à 2% de 2 à 20% (de 2 à 100% si le compteur est inférieur à 10 000) de 20 à...
Page 158 Action Il est possible d’effectuer 5 actions différentes : Passer : Le firewall Stormshield Network laisse passer le paquet correspondant à cette règle de filtrage. Le paquet ne descend plus dans la liste de règles. Bloquer : Le firewall Stormshield Network bloque silencieusement le paquet correspondant à...
Page 159 Cliquer sur Ok pour valider votre configuration. Onglet Qualité de service Le module de QoS, intégré au moteur de prévention d’intrusion Stormshield Network est associé au module Filtrage pour offrir les fonctionnalités de Qualité de Service. Dès sa réception ; le paquet est traité par une règle de filtrage puis le moteur de prévention d’intrusion l’affecte à...
Page 160 Zone Seuil de connexion Le firewall Stormshield Network peut limiter le nombre maximal de connexions acceptées par seconde pour une règle de filtrage. On peut définir le nombre désiré, pour les protocoles correspondants à la règle (TCP, UDP, ICMP et quelques requêtes applicatives). Cette option vous permet notamment d'éviter le déni de service que pourrait tenter d'éventuels pirates : vous...
Page 161 Ce service sera sélectionné lors de création de règles par l'assistant règle d’authentification. Redirection d’appels Cette option permet au firewall Stormshield Network de gérer les communications SIP (UDP) entrants entrantes basées sur le protocole SIP vers des machines internes masquées par de la translation d'adresses (NAT).
Page 162 Zone Configuration avancée Compter Si vous cochez cette case, le firewall Stormshield Network comptera le nombre de paquets correspondants à cette règle de filtrage et générera un rapport. Il est ainsi possible d’obtenir des informations de volumétrie sur les flux désirés.
Page 163 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Onglet Général Zone Général Utilisateur La règle s’appliquera à l’utilisateur que vous sélectionnerez dans ce champ. Vous pouvez filtrer l'affichage des utilisateurs selon la méthode ou l'annuaire LDAP désiré...
Page 164 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT un protocole autre qu’HTTP, ne s’appliquent pas aux Objets Multi-utilisateurs (Authentification > Politique d’authentification). Ce comportement est inhérent au mécanisme de traitement des paquets effectué par le moteur de prévention d’intrusion. Onglet Géolocalisation ...
Page 165 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Zone Réputation des adresses IP publiques Sélectionnez une Ce champ permet d'appliquer la règle de filtrage aux machines dont l'adresse catégorie de IP publique est classifiée dans l'une des catégories de réputation prédéfinies : réputation anonymiseur : proxies, convertisseurs IPv4 vers IPv6.
Page 166 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Cliquer sur OK pour valider votre configuration. Onglet Configuration avancée Zone Configuration avancée Port source Ce champ permet de préciser le port utilisé par la machine source, si c'est une valeur particulière.
Page 167 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Onglet Géolocalisation / Réputation Zone Géolocalisation Sélectionnez une Ce champ permet d'appliquer la règle de filtrage aux machines destination dont région l'adresse IP publique appartient à des pays, continents ou groupes de régions (groupe de pays et/ou de continents - préalablement définis dans le module Objets >...
Page 168 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Zone NAT sur la destination Destination Si vous souhaitez translater l’adresse IP de destination du trafic, sélectionnez en une parmi les objets de la liste déroulante. Sinon, laissez le champ tel qu’il est : à savoir « ...
Page 169 Zone Général Champ Niveau d’inspection IPS (Détecter et Si vous sélectionnez cette option, l’IPS Stormshield Network (Intrusion Prevention bloquer) System) détectera et bloquera les tentatives d’intrusion de la couche « réseau » à la couche « applicative » du modèle OSI.
Page 170 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT IDS (Détecter) En sélectionnant cette option, l’IDS Stormshield Network ( Intrusion Detection System ) détectera les tentatives d’intrusion sur votre trafic, mais sans les bloquer. Firewall (Ne pas Cette option ne donne accès qu’aux fonctions de base de sécurité...
Page 171 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Vous pouvez ajouter une description permettant de distinguer plus facilement votre règle de filtrage et ses caractéristiques. Le commentaire des nouvelles règles indique la date de création et l'utilisateur l’ayant créée si celui-ci n’est pas le compte « ...
Page 172 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Nouvelle règle Insère une ligne à configurer après la ligne sélectionnée, 4 choix sont possibles : Règle simple : Cette option permet de créer une règle de NAT inactive et qui devra être paramétrée.
Page 173 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Supprimer Ce champ permet de supprimer la ligne sélectionnée. Monter Placer la ligne sélectionnée avant la ligne directement au-dessus. Descendre Placer la ligne sélectionnée après la ligne directement en dessous. Tout dérouler Étendre l’arborescence des règles.
Page 174 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Supprimer, Couper, Copier, Coller, Chercher dans les logs, Chercher dans la supervision. Comparaison mathématique Chaque fois que vous rencontrerez une liste déroulante d’objets au sein des colonnes (exceptées État et Action), une icône d’opérateur de comparaison mathématique apparaîtra ( ).
Page 175 : si deux clients passent par le même firewall, ils ne pourront pas se connecter sur un même serveur en même temps. Le moteur de prévention d’intrusion Stormshield Network va bloquer les paquets reçus par le second client.
Page 176 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Interface d’entrée Interface sur laquelle s’applique la règle de translation présentée sous forme de liste déroulante. Par défaut, le firewall la sélectionne automatiquement en fonction de l'opération et des adresses IP source et destination.
Page 177 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Onglet Configuration avancée Zone Configuration avancée Interface de sortie Cette option permet de choisir l’interface de sortie du flux translaté. Par défaut, le firewall la sélectionne automatiquement en fonction de l'opération et des adresses IP source et destination.
Page 178 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Onglet Configuration avancée Zone Répartition de charge Type de répartition Cette option permet de répartir les adresses IP sources d’émission du paquet après translation. La méthode de répartition de charge dépend de l’algorithme utilisé. Plusieurs algorithmes de répartition de charge sont disponibles ...
Page 179 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Zone Répartition de charge Type de répartition Cette option permet de répartir la transmission de paquets entre plusieurs adresses IP de destination. La méthode de répartition de charge dépend de l’algorithme utilisé. Plusieurs algorithmes de répartition de charge sont disponibles ...
Page 180 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 23. FILTRAGE ET NAT Protocole Ethernet Lorsque ce type de protocole est sélectionné , choisissez le protocole Ethernet souhaité dans la liste déroulante. Options Niveau de trace Le traçage des flux permet de faciliter le diagnostic et le dépannage. Ce résultat sera stocké...
Page 181 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 24. FILTRAGE SMTP 24. FILTRAGE SMTP Ce module se compose de 2 zones : Une zone destinée aux profils, Une zone destinée aux règles de filtrage SMTP. 24.1 Les profils Le bandeau vous permet de manipuler les profils associés au filtrage SMTP.
Page 182 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 24. FILTRAGE SMTP 1. Sélectionnez un profil dans la liste des profils de filtrage d’URL. 2. La grille de filtrage se présente ainsi qu’un écran d’indication d’erreur. 24.2.1 Les manipulations possibles Les boutons disponibles sont les suivants : Ajouter Insérer une ligne à...
Page 183 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 24. FILTRAGE SMTP Destinataire (to, cc, Définition du destinataire du mail. cci) Commentaire Commentaire associé à la règle. La saisie d'un masque d'e-mails peut comporter la syntaxe suivante : * : remplace une séquence de caractères quelconque. ...
Page 184 25. FILTRAGE SSL Le filtrage SSL est désormais intégré à la nouvelle politique de sécurité des firewalls multifonctions Stormshield Network. Ce module permet de filtrer l’accès aux sites web sécurisés. Il rend possible l’autorisation et l’interdiction des sites web ou des certificats comportant des risques.
Page 185 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 25. FILTRAGE SSL Fournisseur de base Ce lien redirige vers le module permettant de configurer le fournisseur de Base d’URL (module Objets / URL / onglet Base d’URL ) 25.2 Les règles Référez-vous à...
Page 186 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 25. FILTRAGE SSL Copier, Coller. 25.2.3 La grille La grille présente les colonnes suivantes : État État de la règle : Activé, la règle est utilisée pour le filtrage. Désactivé, la règle n’est pas utilisée pour le filtrage. Lorsque la règle est désactivée, la ligne est grisée afin de refléter la désactivation.
Page 187 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 26. FILTRAGE URL 26. FILTRAGE URL Ce module se compose de 2 zones : Une zone destinée aux profils, Une zone destinée aux règles de filtrage d’URL. 26.1 Les profils Le bandeau vous permet de manipuler les profils associés au filtrage URL.
Page 188 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 26. FILTRAGE URL 26.2 Les règles Référez-vous à la procédure suivante pour éditer un profil de filtrage d’URL : 1. Sélectionnez un profil dans la liste des profils de filtrage d’URL. 2.
Page 189 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 26. FILTRAGE URL État État de la règle : Activé, la règle sera active lorsque cette politique de filtrage sera sélectionnée. Désactivé, la règle ne sera pas opérationnelle. La ligne sera grisée afin de refléter la désactivation.
Page 190 « passif » prend le relai de manière transparente. Ainsi, le firewall « passif » devient « actif ». Une vidéo de la WebTV Stormshield Network sur YouTube vous guide pas à pas pour la configuration d’un groupe de firewalls Stormshield Network (cluster). Cliquez sur ce lien pour accéder à...
Page 191 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 27. HAUTE DISPONIBILITE Rejoindre un groupe Lorsque vous cochez cette option, le boîtier va tenter de se connecter à celui de firewalls (cluster) renseigné par l’adresse IP définie lors de la création du cluster. Ainsi, ce second firewall va récupérer les infos du premier et se synchroniser à...
Page 192 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 27. HAUTE DISPONIBILITE Utiliser un second Cochez cette option afin de dégriser les champs du dessous et de définir un lien lien de secondaire pour votre cluster. communication Interface Interface secondaire utilisée pour relier les deux firewalls constituant le cluster. Sélectionnez-là...
Page 193 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 27. HAUTE DISPONIBILITE  NOTE Pour qu'un lien fonctionne, les 2 membres du cluster doivent utiliser la même interface. 27.3 Étape 3 : Clé pré-partagée du cluster et chiffrement des données 27.3.1 En cas de création de cluster Pour sécuriser la connexion entre les membres du cluster, vous devez définir une clé...
Page 194 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 27. HAUTE DISPONIBILITE Clé pré partagée Entrez le mot de passe / la clé pré partagée que vous avez défini dans l'assistant lors de la création du cluster. Cette icône permet d’afficher le mot de passe en clair pour vérifier qu’il n’est pas erroné.
Page 195 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 27. HAUTE DISPONIBILITE tant que lien principal. En effet, le changement de lien peut provoquer une coupure de la communication entre les membres du cluster, pouvant résulter en un cluster non fonctionnel. 27.5.2 Configuration avancée Modifier la clé...
Page 196 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 27. HAUTE DISPONIBILITE Configuration du basculement Cette option accélère notamment la prise en compte de la bascule d’un cluster en mode bridge par les équipements environnants. Redémarrer toutes Si l’option est active, les interfaces du bridge sont réinitialisées au moment de la les interfaces bascule pour forcer les commutateurs connectés au firewall à...
Page 197 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES 28. INTERFACES Le module Interfaces permet de gérer, ajouter, supprimer des éléments réseaux appelés "interfaces réseau". Ils représentent des éléments physiques ou non de communication entre les différents réseaux qui transitent par le firewall. L'écran du module se compose d'une grille contenant : La liste des interfaces du firewall et leurs informations.
Page 198 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Tout réduire Regroupe l’arborescence des interfaces. Tout déplier Déplie l’arborescence des interfaces. Rafraîchir les Actualise les informations présentées dans la grille des interfaces. données affichées Éditer Permet d'éditer l'interface réseau sélectionnée ou l'un des deux profils de modem. Ajouter Ajoute une nouvelle interface.
Page 199 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES 3. Positionnez votre souris sur Bridge. 4. Cliquez sur Avec interface_1, interface_2 ..Le nouveau bridge est ajouté aux interfaces et son panneau de configuration s’affiche. 28.4.2 Panneau de configuration d'un bridge Pour ouvrir le panneau de configuration d'une interface bridge, faites un double-clic dessus.
Page 200 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Gestion des membres Vous devez sélectionner au moins deux interfaces qui composeront le bridge. Pour ajouter ou retirer des membres du bridge, déplacez les interfaces d'un cadre à un autre en utilisant les flèches, en effectuant un glisser-déposer ou en double-cliquant sur l’interface.
Page 201 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Émettre les RA L’adresse du firewall est envoyée comme routeur par défaut. Les informations relayées par cette annonce sont décrites ci-après. Cette configuration est recommandée afin de permettre aux machines directement connectées (lien local) de faire du SLAAC.
Page 202 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Commentaire Permet de donner un commentaire au préfixe annoncé. Onglet Configuration avancée Autres paramètres Longueur maximale (en octets) des paquets émis sur le support physique (Ethernet) afin que ceux-ci soient transmis en une seule fois (sans fragmentation). Ce choix n’est pas disponible pour une interface contenue dans un bridge.
Page 203 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Numéro de révision Choisissez un numéro de révision pour la région. Le numéro de révision doit être identique dans la configuration MSTP de tous équipements réseau appartenant à cette région.
Page 204 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Paramètres généraux Nom de l'interface. Vous pouvez le modifier si souhaité. Commentaire Permet de donner un commentaire pour l'interface. Cette interface est Une interface peut être : Interne (protégée) : en choisissant cette option, vous indiquez le caractère protégé...
Page 205 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES IP fixe (statique) En choisissant cette option, l'adresse IP de l'interface est fixe (statique). Une grille apparaît dans laquelle vous devez ajouter l'adresse IP et son masque de sous- réseau.
Page 206 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Paramètres d'autoconfiguration Émettre les RA si Si le service DHCPv6 est activé sur le firewall (module Configuration > Réseau > DHCPv6 activé DHCP ), le firewall va émettre automatiquement des annonces (Router Advertisement –...
Page 207  IMPORTANT Si le firewall est directement connecté à un modem ADSL, Stormshield Network vous recommande de forcer le média que vous voulez utiliser sur l’interface en question. Routage sans analyse Cette zone apparaît seulement si l'option Plan d’adressage hérité...
Page 208 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Préserver le routage Cette option demande au firewall de ne pas modifier la destination dans la couche initial Ethernet lorsqu'un paquet le traverse. Le paquet sera réémis à destination de la même adresse MAC qu'à...
Page 209 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Commentaire Permet de donner un commentaire pour l'interface. Cette interface est Une interface peut être : Interne (protégée) : en choisissant cette option, vous indiquez le caractère protégé de l’interface (matérialisé par un bouclier). Une interface protégée n’accepte que les paquets provenant d’un plan d’adressage connu, tel qu’un réseau directement connecté...
Page 210 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES 28.7 Interface VLAN 28.7.1 Ajouter un VLAN Ajouter un VLAN sans membre 1. Cliquez sur Ajouter. 2. Positionnez votre souris sur VLAN. 3. Cliquez sur Sans membre. Le nouveau VLAN est ajouté aux interfaces et son panneau de configuration s’affiche. Ajouter un VLAN contenant des interfaces pré-sélectionnées 1.
Page 211 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Cette interface est Une interface peut être : Interne (protégée) : en choisissant cette option, vous indiquez le caractère protégé de l’interface (matérialisé par un bouclier). Une interface protégée n’accepte que les paquets provenant d’un plan d’adressage connu, tel qu’un réseau directement connecté...
Page 212 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Onglet Configuration du routage (IPv6 seulement)  NOTE Cet onglet apparaît seulement si l'IPv6 est activé dans la configuration du firewall. Sur chaque interface, bridge ou interface agrégée, les messages d’annonces du routeur (Router Advertisement - RA) peuvent être envoyés périodiquement à...
Page 213 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Désactiver Aucune annonce de routeur (RA) n’est diffusée. Cette configuration est recommandée en bridge si un routeur IPv6 est directement connecté (lien local). Annonces du routeur (RA) Cette zone est accessible seulement si l'option Émettre les RA est sélectionnée. Annoncer le préfixe Le préfixe annoncé...
Page 214 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Autres paramètres Longueur maximale (en octets) des paquets émis sur le support physique (Ethernet) afin que ceux-ci soient transmis en une seule fois (sans fragmentation). Adresse MAC Adresse MAC de l'interface réseau à laquelle appartient le VLAN. physique Routage sans analyse Cette zone apparaît seulement si l'option Plan d’adressage hérité...
Page 215 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES LACP : la fonction d’agrégation de liens LACP permet d’améliorer la bande passante du firewall tout en maintenant un niveau de disponibilité élevé (redondance des liens). Redondance : la fonction de redondance permet de disposer d'un lien de secours au cas où le lien principal (Maître) ne répond plus.
Page 216 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Cette interface est Une interface peut être : Interne (protégée) : en choisissant cette option, vous indiquez le caractère protégé de l’interface (matérialisé par un bouclier). Une interface protégée n’accepte que les paquets provenant d’un plan d’adressage connu, tel qu’un réseau directement connecté...
Page 217 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Gestion des membres Pour ajouter ou retirer des membres de l'agrégat, déplacez les interfaces d'un cadre à l'autre en utilisant les flèches, en effectuant un glisser-déposer ou en double-cliquant sur l’interface. Une interface devenant membre d'un agrégat perd ses paramètres de configuration pour ...
Page 218 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES 28.9.1 Ajouter une interface GRETAP 1. Cliquez sur Ajouter. 2. Cliquez sur Interface GRETAP. L'interface GRETAP est ajoutée aux interfaces et son panneau de configuration s’affiche. 28.9.2 Panneau de configuration d'une interface GRETAP Pour ouvrir le panneau de configuration d'une interface GRETAP, faites un double-clic dessus.
Page 219 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES IP dynamique En choisissant cette option, l’adresse IP de l'interface est définie par DHCP. Une zone (obtenue par DHCP) Configuration DHCP avancée apparaît avec les paramètres suivants : Nom DNS (facultatif) : vous pouvez indiquer un nom d’hôte DHCP pleinement qualifié...
Page 220 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Préserver le routage Cette option demande au firewall de ne pas modifier la destination dans la couche initial Ethernet lorsqu'un paquet le traverse. Le paquet sera réémis à destination de la même adresse MAC qu'à...
Page 221 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES 28.10.2 Panneau de configuration d'une interface modem PPPoE Pour ouvrir le panneau de configuration d'une interface modem, faites un double-clic dessus. Le panneau de configuration dispose de plusieurs onglets. Onglet Configuration générale État ON / OFF...
Page 222 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Paramètres généraux Nom associé au modem. Vous pouvez le modifier si souhaité. Commentaire Permet de donner un commentaire pour le modem. Type de modem Rappel du type de modem choisi lors de la création. Connectivité...
Page 223 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Paramètres généraux Saisissez un nom pour le profil de modem. Modèle Saisissez le modèle du modem auquel s'adresse le profil (texte libre). Identifiant Identifiant propre à chaque constructeur de modem ( VendorId ou VID ). Il s'agit d'une constructeur chaîne hexadécimale.
Page 224 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 28. INTERFACES Cette interface est Une interface peut être : Interne (protégée) : en choisissant cette option, vous indiquez le caractère protégé de l’interface (matérialisé par un bouclier). Une interface protégée n’accepte que les paquets provenant d’un plan d’adressage connu, tel qu’un réseau directement connecté...
Page 225 Certaines interfaces possèdent la même adresse IP et d'autres ont une adresse distincte. Le mode hybride utilise une combinaison des deux modes précédents. Ce mode ne peut être employé que pour les produits Stormshield Network possédant plus de deux interfaces réseau. Vous pouvez définir plusieurs interfaces en mode bridge.
Page 226 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 29. INTERFACES VIRTUELLES 29. INTERFACES VIRTUELLES Le module Interfaces virtuelles permet de gérer, ajouter, supprimer des éléments réseaux virtuels. Selon leur nature, ces interfaces virtuelles pourront être utilisées dans une configuration de routage dynamique (interfaces de type loopback), pour établir des tunnels (interfaces GRE) ou des tunnels routés (interfaces IPsec).
Page 227 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 29. INTERFACES VIRTUELLES Vérifier l'utilisation. 29.1.3 Présentation de la grille La grille présente cinq informations : État État des interfaces : Activé : Double-cliquez pour activer l’interface créée. Désactivé : L’interface n’est pas opérationnelle. La ligne sera grisée afin de refléter la désactivation.
Page 228 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 29. INTERFACES VIRTUELLES Supprimer Supprime une ou plusieurs interfaces préalablement sélectionnée(s). Utiliser les touches Ctrl / Shift + Supprimer pour la suppression de plusieurs interfaces Vérifier l’utilisation Matérialisé par l’icône , ce bouton vous renseigne sur l’utilisation de l’interface sélectionnée dans le reste de la configuration.
Page 229 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 29. INTERFACES VIRTUELLES 29.3.1 Présentation de la barre de boutons Recherche Recherche qui porte sur une interface. Ajouter Ajoute une nouvelle interface. L’ajout de l’interface (envoi de commande) devient effectif une fois la nouvelle ligne éditée et les champs Nom et Adresse IP remplis. Supprimer Supprime une ou plusieurs interfaces préalablement sélectionnée(s).
Page 230 La carte mémoire doit être de préférence au format physique SD "full-size". Seuls les adaptateurs fournis avec la carte doivent être utilisés. Stormshield recommande l'utilisation de cartes de gamme haute endurance / industrielle ou embarquant de préférence de la flash de type MLC, issues des majors du secteur (ex : SanDisk, Western Digital, Innodisk, Transcend, etc.) et de taille minimale 32 Go.
Page 231 Le stockage sur support externe s’effectue uniquement sur carte SD. Ce service n’est pas compatible avec d’autres supports de stockage comme une clé USB ou un disque dur externe. Pour plus d’information, consultez le Guide PRÉSENTATION ET INSTALLATION DES PRODUITS STORMSHIELD NETWORK Gamme SN disponible sur le site de Documentation Technique Stormshield.
Page 232 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 30. LOGS - JOURNAUX D'AUDIT Cette combinaison de critères de recherche peut alors être enregistrée en tant que « filtre ». Ceux-ci sont gardés en mémoire et peuvent être réinitialisés via le module Préférences de l’interface d’administration.
Page 233 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 30. LOGS - JOURNAUX D'AUDIT Exporter les données Matérialisé par le symbole , ce bouton permet de télécharger les données au format CSV. Les valeurs sont séparées par des virgules et enregistrées dans un fichier texte.
Page 234 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 30. LOGS - JOURNAUX D'AUDIT Ajouter cette valeur comme critère de recherche : raccourci pour créer un critère recherchant la valeur dans le champ correspondant et dans l’ensemble de la vue Ce type de recherche est identique au glisser/déposer de la valeur.
Page 235 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 30. LOGS - JOURNAUX D'AUDIT Réinitialiser le score de réputation de cet objet : en cliquant sur ce menu, le score de réputation de l'objet sélectionné est remis à zéro. Placer cet objet en liste noire : permet de positionner une machine, une plage d'adresses IP ou un réseau en liste noire (quarantaine).
Page 236 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 30. LOGS - JOURNAUX D'AUDIT Applications (navigateurs Internet, clients de messagerie ...), Services, Informations (Système d'exploitation détecté,...), Délai de réponse au Ping et chemin réseau (Traceroute) pour joindre la machine. Réinitialiser le score de réputation de cet objet : en cliquant sur ce menu, le score de réputation de l'objet sélectionné...
Page 237 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 30. LOGS - JOURNAUX D'AUDIT Ajouter le service à la base objet et/ou l’ajouter à un groupe : cette option permet de créer un service et/ou de l’ajouter à un groupe depuis un fichier de traces. Ainsi, un service identifié...
Page 238 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 30. LOGS - JOURNAUX D'AUDIT Authentification l_auth Connexions réseaux l_connection Filtrage l_filter Proxy FTP l_ftp VPN IPsec l_vpn Connexions applicatives (plugin) l_plugin Proxy POP3 l_pop3 Proxy SMTP l_smtp Proxy SSL l_ssl Événements systèmes l_system...
Page 239 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 30. LOGS - JOURNAUX D'AUDIT Vulnérabilités Cette vue affiche le journal Vulnérabilités. Deux filtres prédéfinis sont proposés recherchant les Vulnérabilités de type Client (targetclient=1) et de type Serveur (targetserver=1) E-mails Cette vue affiche les journaux Connexions réseaux, Connexions applicatives, Proxy POP3 et Proxy SMTP selon certaines catégorisations ...
Page 240 Dernière vérification d’une mise à jour de licence effectuée le : dernière date à laquelle une demande de recherche de licence a été faite manuellement ou automatiquement. Le firewall Stormshield Network est livré par défaut avec l'ensemble de ses fonctionnalités. Cependant, certaines fonctionnalités (filtrage URL, Haute Disponibilité...) sont optionnelles et ne Page 238/524 sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023...
Page 241 Fichier de licence Ce champ vous permet d’insérer votre licence préalablement récupérée sur le site web Stormshield Network et ainsi activer la configuration de votre firewall. Le bouton Installer le fichier de licence valide l’installation du fichier de licence sur le boîtier.
Page 242 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 31. LICENCE Installation de la Si vous sélectionnez toujours manuelle (via le bouton « installer une nouvelle licence après licence »), le bouton Installer la nouvelle licence s’affiche dès qu’une licence est téléchargement proposée.
Page 243 Date limite de mise à jour du moteur heuristique de filtrage des spams. heuristique Sandboxing Breach Date limite d'analyse de fichiers via le sandboxing. Fighter Bases d'URL Date limite de mise à jour des bases de filtrage d’URL Stormshield Network. embarquées Page 241/524 sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023...
Page 244 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 31. LICENCE Bases d'URL Date limite de mise à jour des bases de filtrage d’URL Stormshield Network Extended Extended Web Web Control. Control Mise à jour Date limite de mise à jour du boîtier.
Page 245 Antispam : moteur Active ou désactive le moteur heuristique de filtrage des spams. (Valeur par défaut : heuristique Bases d'URL Active ou désactive le filtrage d’URL via la base Stormshield Network dans le proxy. embarquées (Valeur par défaut : 1). Bases d'URL Active ou désactive le filtrage d’URL via la base Stormshield Network Extended Web...
Page 246 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 31. LICENCE DNS dynamique Active ou désactive le client DynDNS de mise à jour de serveur DNS. Enrôlement Active ou désactive l’enrôlement. (Valeur par défaut : 1). Base LDAP interne Active ou désactive la base LDAP interne (Valeur par défaut ...
Page 247 Les rapports détaillés comportent un résumé des vulnérabilités, ainsi que leur description détaillée (famille, client, possibilité d’exploitation à distance), ainsi qu’un lien vers sa référence dans la base de connaissances Stormshield Network, qui inclut généralement des indications sur le correctif à appliquer.
Page 248 Choix de l’objet réseau pour lequel s’applique la surveillance. (machine ou groupe Cet objet est analysé par le moteur Stormshield Network Vulnerability Manager qui – réseau – plage se basera sur les règles contenues dans le profil de supervision associé.
Page 249  AVERTISSEMENT L'inventaire d'applications réalisé par Stormshield Network Vulnerability Manager se base sur l'adresse IP de la machine initiant le trafic pour indexer les applications. Le cas de machines ayant une adresse IP partagée par plusieurs utilisateurs, par exemple un proxy HTTP, un serveur TSE ou encore un routeur réalisant du NAT dynamique de la source,...
Page 250 33.1 Onglet Mise à jour du système Une Note Technique vous guide pas à pas pour la mise à jour d'un groupe de firewalls Stormshield Network (cluster). Cliquez sur ce lien pour accéder au document : Mise à jour logicielle d'un cluster.
Page 251 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 33. MAINTENANCE 2. Revenez dans le module Maintenance, onglet Mise à jour du système et sélectionnez "Ce firewall" comme Firewall à mettre à jour 3. En configuration avancée, cochez l'option "Activer le firmware précédemment téléchargé"...
Page 252 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 33. MAINTENANCE Télécharger la Le fichier sera sauvegardé au format .na (Stormshield Network Archives). sauvegarde de Cliquez sur ce bouton pour l’enregistrer. configuration Configuration avancée Il est fortement recommandé de protéger le fichier de sauvegarde par un mot de passe robuste.
Page 253 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 33. MAINTENANCE Serveur personnalisé Si vous avez sélectionné une sauvegarde sur un serveur personnalisé, vous devez renseigner sa configuration : URL du serveur Localisation utilisée pour le dépôt des sauvegardes. Cette URL est définie par la résolution du serveur Cloud ou du serveur personnalisé...
Page 254 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 33. MAINTENANCE Sauvegarde à Cliquez sur le bouton à droite du champ afin d’insérer le fichier de sauvegarde au restaurer format .na à restaurer. Restaurer la Cliquez ensuite sur ce bouton afin de procéder à la restauration de la configuration configuration à...
Page 255 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 33. MAINTENANCE Au démarrage, utiliser Choisissez la partition de démarrage du produit : la partition principale ou de secours. la partition Partition principale : si vous cochez cette option, votre firewall utilisera cette partition au démarrage.
Page 256 Ce champ permet de modifier le texte du message reçu si un virus est détecté dans un mail.  EXEMPLE Le firewall Stormshield Network a détecté un virus dans cet e-mail, il a été extrait par l’antivirus intégré, les pièces jointes infectées ont été supprimées. 34.1.2 Protocole SMTP Code d’erreur SMTP Limité...
Page 257 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 34. MESSAGES DE BLOCAGE Message associé Cet emplacement est réservé au message informationnel qui sera envoyé avec le code d’erreur lors de la détection d’un virus au sein de l’envoi / de la réception d’un fichier vers / depuis un serveur FTP.
Page 258 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 34. MESSAGES DE BLOCAGE La page est déclinée en plusieurs langues par défaut et offre la possibilité d’en ajouter de nouvelles Des variables existent, permettant de rendre dynamiques les informations contenues, comme les catégories auxquelles appartiennent les sites bloqués.
Page 259 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 35. OBJETS RÉSEAU 35. OBJETS RÉSEAU Ce module regroupe les objets réseau et les objets temps. Il est divisé en deux parties : La barre d’actions en haut, permettant de trier et de manipuler les objets. Deux colonnes dédiées aux objets ...
Page 260 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 35. OBJETS RÉSEAU Ajouter Lorsque vous cliquez sur ce bouton, une boîte de dialogue s’affiche et vous propose de créer un objet, en indiquant son type et les informations lui étant relatives dans les champs appropriés.
Page 261 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 35. OBJETS RÉSEAU Machine Matérialisée par l’icône , cette option permet d’afficher uniquement les objets de type « machine » dans la colonne de gauche. Nom DNS (FQDN) Matérialisée par l’icône , cette option permet d’afficher uniquement les objets de type « ...
Page 262 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 35. OBJETS RÉSEAU Résolution DNS La résolution DNS (Domain Name System) associe des adresses IP et un nom de domaine. Deux choix sont possibles : Aucune (IP statique) : L’objet sélectionné possède une adresse IP fixe qui sera utilisé...
Page 263 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 35. OBJETS RÉSEAU Adresses IPv4 Nom de l’objet Nom donné à l’objet lors de sa création. Ce champ est modifiable, il faudra cliquer sur « Appliquer » ou « Sauvegarder » pour enregistrer le changement. Début Première adresse IP associée à...
Page 264 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 35. OBJETS RÉSEAU Méthode de détection Deux méthodes de détection de l'état des passerelles peuvent être sélectionnées : ICMP : la détection est basée sur l'envoi de requêtes ICMP (ping) et la réponse ou non des passerelles testées.
Page 265 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 35. OBJETS RÉSEAU Taux d'indisponibilité (%) Cette métrique représente le pourcentage de temps pendant lequel une passerelle a été hors-service ou inactive sur la période de mesure. Ce paramètre existe principalement afin d'afficher des statistiques concernant la disponibilité...
Page 266 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 35. OBJETS RÉSEAU  NOTE Les paramètres définissant le délai entre deux tests de disponibilité (« frequency »), le délai d’attente maximum pour une réponse (« wait ») et le nombre de tests à réaliser avant de déclarer la passerelle injoignable (« ...
Page 267 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 35. OBJETS RÉSEAU Copier Permet de créer par duplication un nouvel objet routeur reprenant les mêmes caractéristiques. Annuler Annule la configuration du routeur. 35.2.6 Groupe Cet écran va vous permettre d’agréger vos objets selon votre topologie réseau, par exemple. Nom de l’objet Nom donné...
Page 268 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 35. OBJETS RÉSEAU Nom de l’objet Nom du service utilisé. Ce champ est grisé et non modifiable. Port Numéro du port associé au service sélectionné. Plage de ports En cochant cette case, vous attribuerez une plage de ports au service sélectionné et dégrisez les deux cases du dessous.
Page 269 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 35. OBJETS RÉSEAU Éditer ce groupe Ce bouton comporte une boîte de dialogue d’ajout d’objet(s) au sein du groupe. Deux colonnes apparaissent : Celle de gauche comporte la liste de tous les objets réseau que vous pouvez ajouter à...
Page 270 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 35. OBJETS RÉSEAU Éditer ce groupe Ce bouton comporte une boite de dialogue permettant d’ajouter des pays ou continents au sein du groupe. Lorsque vous cliquez dessus, vous pouvez, d’une part, changer le nom du groupe et lui attribuer un commentaire, et d’autre part, effectuer une recherche de pays ou continents et en inclure de nouveaux au sein du groupe.
Page 271 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 35. OBJETS RÉSEAU Jour(s) de la semaine Les jours concernés par l’événement sont marqués par cette icône . Si vous souhaitez en retirer un, cliquez une fois dessus. Si vous souhaitez en appliquer un supplémentaire, comme le samedi par exemple, cliquez une fois sur la case « ...
Page 272 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 36. OBJETS URL 36. OBJETS URL Ce module propose de : Créer des catégories personnalisées d’URL et de certificats, Créer des groupes pouvant contenir des catégories personnalisées et dynamiques, Définir le fournisseur de Base d’URL utilisé mettant à disposition les catégories d’URL dynamiques.
Page 273 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 36. OBJETS URL Supprimer Supprime une catégorie existante. Sélectionnez la catégorie concernée, puis cliquez sur le bouton. Si la catégorie est utilisée, un message d’avertissement vous demande de confirmer l'action. Vérifier l’utilisation Vérifie si une catégorie est utilisée dans une configuration.
Page 274 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 36. OBJETS URL Remplace un caractère unique.  EXEMPLE ???.compagnie.com est équivalent à www.compagnie.com ou de ftp.compagnie.com ; mais pas à www1.compagnie.com. 36.2 Onglet Nom de certificat (CN) Cet écran propose de créer des catégories personnalisées de noms de certificat, ce qui peut s’avérer utile pour le filtrage SSL (module Configuration >...
Page 275 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 36. OBJETS URL La grille présente les éléments indiqués ci-dessous : Nom de certificat (CN) Nom du nom de certificat. Il peut contenir le méta-caractère (wildcard) * tant qu'il est placé en début d'URL et suivi d'un point. Commentaire Vous avez la possibilité...
Page 276 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 36. OBJETS URL La grille présente les éléments indiqués ci-dessous : Type Représente le type de groupe de catégories. Groupe de catégories Nom du groupe de catégories. Commentaire Description du groupe de catégories. Nombre de groupes Précise le nombre d'objets dans le groupe de catégories.
Page 277 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 36. OBJETS URL Extended Web Control : cette base d’URL étant hébergée « dans le Cloud », le téléchargement est réalisé dynamiquement et de manière transparente. Si les serveurs sont temporairement inaccessibles, une page indique que la mécanique d’interrogation pour la classification du site est automatiquement relancée.
Page 278 TLS activées, conformément aux recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). 37.1 Connexion Pour pouvoir configurer votre firewall Stormshield Network, il faut vous connecter à l’interface d’administration web. La configuration d’un firewall n’est accessible qu’aux administrateurs du produit.
Page 279 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 37. PORTAIL D’IDENTIFICATION  AVERTISSEMENT Le firewall Stormshield Network est sensible à la casse, il fait donc la différence entre les majuscules et les minuscules, aussi bien pour le nom d'utilisateur que pour le mot de passe. Options Langue Langue de l’interface Web d'administration.
Page 280  REMARQUE Étant donné les droits du compte "admin", Stormshield Network conseille de n’utiliser ce compte qu’en test ou dans le cas d’une maintenance. Seul l’ « admin » peut attribuer des droits d’administration à d’autres utilisateurs. 37.3 Déconnexion Pour vous déconnecter d’un firewall, suivez la procédure suivante ...
Page 281 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 38. PRÉFÉRENCES 38. PRÉFÉRENCES Le module Préférences vous permet de gérer les paramètres de l'interface web d'administration du firewall et de gagner en ergonomie et rapidité selon vos choix d’options. Il est accessible en haut à...
Page 282 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 38. PRÉFÉRENCES 38.1.2 Paramètres de l’interface de management Vérifier tous les champs d’un objet Lorsque vous effectuez une recherche par lettre ou par mot dans les lors d’une recherche champs dédiés, le moteur va aussi bien vérifier les noms que les commentaires, tout ce qui concerne le sujet de la recherche.
Page 283 38.3.1 Liens externes URL d’accès à l’aide en ligne Cette URL vous rappelle l’adresse d’accès à l’aide en ligne Stormshield Network : vous y trouverez l’arborescence des modules par ordres alphabétique. Cliquez sur le module de votre choix afin d’afficher la page correspondante.
Page 284 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 39. PROFILS D’INSPECTION 39. PROFILS D’INSPECTION Le module de profils d’inspection se compose de 2 écrans : Une zone dédiée à la configuration par défaut et un menu rétractable pour le mode avancé. Une zone de configuration pour l’association des profils protocolaires, accessible via le bouton Accéder au profils.
Page 285 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 39. PROFILS D’INSPECTION Configuration avancée Considérer les En cochant cette case, les interfaces IPsec deviennent des interfaces internes et interfaces IPsec (sauf donc protégées. Tous les réseaux pouvant se présenter au travers des tunnels IPsec doivent alors interfaces IPsec être légitimés et les routes statiques permettant de les joindre doivent être virtuelles) comme...
Page 286 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40. PROTOCOLES Ce module contient la liste des divers protocoles configurables depuis votre interface web. Il est divisé en 2 zones distinctes : La liste des protocoles (colonne de gauche). Certains protocoles sont regroupés par thématique : Messageries instantanées, Protocoles IP (ICMP, IP, SCTP et TCP-UDP),...
Page 287 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.3.2 Les boutons Éditer Cette fonction permet d’effectuer 3 actions sur les profils : Renommer : en cliquant sur cette option, une fenêtre composée de deux champs à remplir s’affiche. Celle-ci propose de modifier le nom d’une part et d’ajouter un commentaire d’autre part.
Page 288 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Le trafic HTTPS sera analysé par le plugin SSL. Le trafic déchiffré par le proxy SSL sera analysé par le plug-in HTTP. Proxy Cette option s’active en configuration globale des protocoles HTTP, SMTP, POP3 et SSL. Elle s’applique à...
Page 289 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.4.2 Configuration globale du protocole SSL Onglet Proxy Génération des certificats pour émuler le serveur SSL C.A (signe les Choisissez la Sous-autorité utilisée pour signer les certificats générés par le proxy certificats) SSL.
Page 290 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Onglet IPS Analyse des certificats Délai de conservation Pour optimiser les performances d'analyse des certificats serveur, un mécanisme de des certificats dans cache a été implémenté afin de ne pas déclencher la récupération d'un certificat le cache (TTL) lorsque celui-ci est déjà...
Page 291 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Support Désactiver la En cochant cette option, l'analyse du protocole Live Messenger (MSN) sera prévention désactivée et le trafic sera autorisé si la politique de filtrage le permet. d’intrusion Tracer chaque Active ou désactive les logs permettant de tracer les requêtes Live Messenger.
Page 292 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.9 IP 40.9.1 Onglet « IPS » Imposer une limite Le MTU (Maximum Transmission Unit) représente la taille maximale d’un paquet IP. MTU (force la En cochant cette option, vous dégriserez la suivante et pourrez définir votre limite. fragmentation) Valeur maximale du Définissez la valeur maximale du datagramme IP, comprise entre 140 et 65535...
Page 293 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.10.1 Onglet « IPS » Configuration spécifique Nombre max. Ce paramètre définit le nombre maximum d'adresses IP autorisées pour une extrémité d'association SCTP ( multi-homing ). d'adresses IP par extrémité...
Page 294 écrasés et remplacés par le moteur de prévention d’intrusion un aléa fort (arc4) Stormshield Network, qui produira des numéros de séquence aléatoires. Protéger contre En cochant cette option, vous vous protégez contre le vol de session, ou attaque de l’envoi répété...
Page 295 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Expiration (en secondes) Délai d’ouverture Temps maximum, exprimé en secondes, autorisé pour l’établissement complet de la d’une connexion connexion TCP (SYN / SYN+ACK / ACK). Ce temps est compris entre 10 et 60 (SYN) secondes (valeur par défaut : 20 secondes).
Page 296 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.12.2 Support Désactiver la En cochant cette option, l'analyse du protocole IEC 61850 GOOSE sera désactivée et prévention le trafic sera autorisé si la politique de filtrage le permet. d’intrusion Tracer chaque Active ou désactive les logs permettant de tracer les requêtes IEC 61850 GOOSE.
Page 297 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES VMD Support, Program Invocation Management, Unit Control, Event Condition. Les services MMS additionnels prédéfinis sont autorisés par défaut (action Analyser) et cette action peut être modifiée pour chacun d'entre eux. Le bouton Modifier tous les services permet de modifier l'action (Analyser / Bloquer) appliquée à...
Page 298 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES jeu de services et Modifier tous les services permettent de modifier l'action (Analyser / Bloquer) appliquée au jeu de services sélectionné ou à l'ensemble des services listés dans la grille. Liste blanche des Logical Nodes Cette grille recense les services ne devant pas être soumis à...
Page 299 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.15 BACnet/IP 40.15.1 Gestion des services Onglet "Services avec confirmation" Cette grille recense les identifiants et services avec confirmation BACnet/IP associés (services nécessitant une réponse) prédéfinis dans le firewall. Ces codes sont classifiés par jeu de services (Service choice) : Alarm and Event, File Access, Object Access, Remote Device Management, Virtual Terminal et Security.
Page 300 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.16 CIP 40.16.1 Paramètres Nombre max. de Le code de service CIP Multiple_Service_Packet permet d'encapsuler plusieurs services CIP dans un commandes CIP dans un même paquet réseau. Ce champ permet de définir le paquet nombre de commandes pouvant être regroupées dans un seul paquet.
Page 301 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.17.2 Gestion des commandes Commandes publiques Cette liste recense les commandes EtherNet/IP publiques autorisées par défaut par le firewall. L'action (Analyser / Bloquer) appliquée à chaque commande peut être modifiée en cliquant dans la colonne Action.
Page 302 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Nombre max. de Il s'agit du nombre maximal de connexions à établir au sein d'un groupe de connexions redondance. redondantes 40.18.3 Gestion des ASDU Identifiants de type publiques Cette grille recense les ASDU ...
Page 303 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Unit ID autorisés Cette liste recense les Unit Id autorisés. Il est possible d’Ajouter ou de Supprimer des éléments de cette liste en cliquant sur les boutons du même nom. 40.19.2 Paramètres Modbus Taille max.
Page 304 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.20 Onglet OPC AE (IPS) 40.20.1 Gestion des services OPC AE Services prédéfinis Cette grille recense les services OPC AE (OPC Alarms and Events) prédéfinis dans le firewall. Ces services sont classifiés par jeu de service: Component Categories, OPC Events,...
Page 305 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES OPC Server OPC Type Library. Les services OPC HDA prédéfinis sont autorisés (analysés) par défaut (action Analyser). Les boutons Bloquer par jeu de services, Analyser par jeu de services et Modifier tous les services permettent de modifier l'action (Analyser / Bloquer) appliquée au jeu de services sélectionné...
Page 306 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.24 PROFINET IO A l'instar du protocole FTP, le protocole PROFINET IO peut être amené à établir plusieurs connexions pour un même flux : une connexion mère du client vers le serveur sur le port dédié au service, suivie d'une ou plusieurs connexions filles sur des ports aléatoires pour l'échange des données.
Page 307 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Détecter et inspecter Si le protocole est activé, l'inspection sera automatiquement appliquée à la automatiquement le découverte d'un trafic correspondant, autorisé par le filtrage. protocole 40.25 PROFINET-RT 40.25.1 Paramètres Durée max.
Page 308 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Autres opérations Autres JOBS bloqués Cette liste permet d'interdire des codes ou des plages de codes de fonctions S7 supplémentaires appartenant au jeu d'opérations de type JOB. Il est possible d’Ajouter ou de Supprimer des éléments de cette liste en cliquant sur les boutons du même nom.
Page 309 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.27.3 Gestion des fonctions S7 Plus Onglet Services classiques Cette grille recense les codes et les fonctions S7 Plus correspondants prédéfinis dans le firewall. Code Numéro de code S7 Plus selon la nomenclature définie par Siemens. Nom du service Nom de service affecté...
Page 310 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.27.5 Support Désactiver la En cochant cette option, l'analyse du protocole S7 Plus sera désactivée et le trafic prévention sera autorisé si la politique de filtrage le permet. d’intrusion Tracer chaque Active ou désactive les logs permettant de tracer les requêtes S7 Plus.
Page 311 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.28.3 Support Désactiver la En cochant cette option, l'analyse du protocole sera désactivée et le trafic sera prévention autorisé si la politique de filtrage le permet. d’intrusion 40.29 Protocole MS-RPC Afin de sécuriser le trafic Microsoft RPC, basé...
Page 312 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES "Interdire par groupe de services" et "Autoriser par groupe de services" permettent de modifier l'action affectée à un groupe complet de services. Les services interdits lèveront l’alarme « Service DCERPC interdit». Une info-bulle affiche l’UUID (Universal Unique Identifier) de chaque service au survol de celui- Ces principales Applications Microsoft ayant des services MS-RPC prédéfinis, sont les suivants ...
Page 313 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Les squelettes Cochez cette case pour autoriser les services EPMAP à créer des squelettes de peuvent uniquement connexion. être créés si Elle est cochée par défaut. l'adresse retournée dans la réponse DCE/RPC est identique à...
Page 314 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.29.5 Onglet OPC HDA (IPS) Gestion des services OPC HDA Services prédéfinis Cette grille recense les services OPC HDA (OPC Historical Data Access) prédéfinis dans le firewall. Ces services sont classifiés par jeu de service: Component Categories, OPC Browser, OPC ...
Page 315 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Support Désactiver la En cochant cette option, l'analyse du protocole NetBios CIFS sera désactivée et le prévention trafic sera autorisé si la politique de filtrage le permet. d’intrusion 40.31 Onglet NETBIOS EPMAP (IPS) Ce protocole permet l’amorçage des procédures hébergées à...
Page 316 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Paramètres de session MGCP Taille max. d’une Une commande peut comporter entre 32 et 1024 octets. commande (octets) Nb max. de Le nombre de paramètres pouvant figurer au sein d’une commande doit être compris paramètres par entre 32 et 1024 octets.
Page 317 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Support Désactiver la En cochant cette option, l'analyse du protocole RTP sera désactivée et le trafic sera prévention autorisé si la politique de filtrage le permet. d’intrusion Tracer chaque Active ou désactive les logs permettant de tracer les requêtes RTP.
Page 318 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.36.4 Fonctionnalités RTSP Activer le support de En cochant cette case, vous autorisez le protocole RTSP à encapsuler dans sa propre l’entrelacement connexion TCP les protocoles RTP/RTCP utilisés pour le transport des médias et habituellement basés sur UDP.
Page 319 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.37.1 Commandes SIP Commandes SIP autorisées Ajouter Insérer dans la liste des commandes additionnelles qui nécessitent une autorisation. Supprimer Sélectionnez la commande à retirer de la liste et cliquez sur Supprimer . Commandes SIP interdites Ajouter Insérer dans la liste des commandes additionnelles qui ne sont pas autorisées.
Page 320 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Activer l’extension Le protocole SIP inclut un mécanisme normalisé pour permettre à n'importe quel SUSCRIBE, NOTIFY client (un téléphone en VoIP étant un exemple de client SIP) de surveiller l'état d'un (RFC3265) autre dispositif.
Page 321 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.38 Onglet SOFBUS / LACBUS (IPS) Les protocoles SOFBUS / LACBUS sont la propriété intellectuelle de LACROIX Sofrel. SOFBUS / LACBUS sont des protocoles applicatifs industriels principalement utilisés dans les infrastructures de gestion des eaux pour faire de la télégestion, qui consiste à...
Page 322 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Taille des messages DNS Activer la détection Cette case à cocher permet d'activer l'option vérifiant la longueur des messages DNS des messages de afin de générer une alarme en cas de dépassement d'un seuil précisé. grande taille Seuil de Indiquez la taille à...
Page 323 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES les attaques comme FTP Bounce, FTP PASV DoS, Buffer Overflow…Ce protocole est indispensable pour permettre au trafic FTP de traverser le firewall et de gérer dynamiquement les connexions de données du protocole FTP. 40.40.1 Onglet IPS Détecter et inspecter Si le protocole est activé, l'inspection sera automatiquement appliquée à...
Page 324 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.40.2 Onglet Proxy Filtrer la bannière En cochant cette option, la bannière du serveur ne sera plus envoyée lors d’une d’accueil envoyée connexion FTP. par le serveur FTP Interdire les rebonds Permet d’éviter le spoofing, ou usurpation d’adresse IP.
Page 325 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Commande Nom de la commande. Action 3 autorisations possibles entre « Passer sans analyser », « Analyser » et « Bloquer ». Type de commande Indication du type de commande. Les commandes FTP dites «d’écriture» définies dans les RFC sont des commandes pouvant entraîner des modifications au niveau du serveur comme, par exemple, la suppression de données ou encore la création de répertoires.
Page 326 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES EPSV : Cette commande sélectionne le mode de transfert passif étendu. Cette commande doit être passée avec au plus un argument. Cette commande est bloquée par défaut. FEAT : Cette commande affiche les extensions supportées par le serveur. Elle n’accepte pas d’argument.
Page 327 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES REIN : Cette commande termine la session en cours (initialisée avec l’utilisateur). Par défaut, une analyse est faite afin de vérifier la conformité à la RFC. REST : Cette commande spécifie l’offset par lequel le transfert doit être repris. Par défaut, une analyse est faite afin de vérifier la conformité...
Page 328 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES APPE : Cette commande ajoute (ou crée) à la localisation donnée. Cette commande fait l’objet d’un filtrage plus important. En effet, cette commande est interdite lorsque l’analyse antivirale est activée (risque de contournement). Dans le cas contraire, on vérifie qu’au moins un argument est présent.
Page 329 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.40.5 Onglet Analyse des fichiers Taille max. pour Il est possible ici de déterminer la taille maximale utilisée pour l’analyse des fichiers. l'analyse antivirale et Vous pouvez également configurer l’action à entreprendre si le fichier est supérieur à sandboxing (Ko) la taille autorisée.
Page 330 Code RED, Code Blue, NIMDA, HTR, Buffer Overflow ou encore Directory Traversal. La gestion des débordements de tampons (ou Buffer Overflow) est primordiale chez Stormshield Network, c’est pourquoi la définition des tailles maximales permises pour les tampons dans le cadre du protocole HTTP est particulièrement développée. 40.41.1 Onglet IPS Détecter et inspecter...
Page 331 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Options des moteurs de recherche Activer le filtrage des Ce mécanisme permet d’exclure des sites web, les documents ou images moteurs de manifestement inappropriés ou indésirables des résultats d’une recherche effectués recherche sur les principaux moteurs de recherche (Google, Bing, Yahoo) (Safesearch)
Page 332 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Supprimer Plutôt que d’interdire la connexion TCP, l'analyse efface le contenu malveillant (ex: automatiquement les attribut, balise HTML) et laisse passer le reste de la page HTML. contenus malveillants ...
Page 333 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Format des entêtes HTTP (en octets) Nombre de lignes par Nombre maximum de lignes (ou headers) que peut contenir une requête, du client requête cliente vers le serveur (Min :16 ; Max : 512). Nombre de plages Nombre maximum de plages de données (ou range) que peut contenir une requête, par requête cliente...
Page 334 WebDAV est un ensemble d’extensions au protocole HTTP concernant l’édition et la connexions WebDAV gestion collaborative de documents. Si cette option est cochée, le protocole WebDav (lecture et écriture) est autorisé au travers du firewall Stormshield Network. Page 332/524 sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023...
Page 335 CONNECT) Si cette option est cochée la méthode CONNECT est autorisée au travers du firewall Stormshield Network. Tunnels TCP : Liste des ports de destinations autorisés Cette zone sert à spécifier quels types de service peuvent utiliser la méthode CONNECT.
Page 336 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Serveur ICAP Serveur Indication du serveur ICAP. Port ICAP Indication du port ICAP. Nom du service ICAP Indication du nom du service à mettre en place. Cette information est différente suivant la solution utilisée, le serveur ICAP ainsi que le port utilisé.
Page 337 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Taille maximale d’un Lorsque les fichiers téléchargés sur l’Internet, via HTTP, sont trop imposants, ils fichier [0- peuvent dégrader la bande passante du lien Internet et cela pour une durée parfois 2147483647(Ko)] très longue.
Page 338 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Lorsque l’antivirus ne Cette option définit le comportement de l’antivirus si l’analyse du fichier qu’il est en peut analyser train de scanner échoue.  EXEMPLE Il ne réussit pas à analyser le fichier parce qu’il est verrouillé. Si Bloquer est spécifié, le fichier en cours d’analyse n’est pas transmis.
Page 339 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.42 NTP Network Time Protocol (« protocole d'heure réseau ») ou NTP est un protocole qui permet de synchroniser, via le réseau informatique, l'horloge locale d'ordinateurs sur une référence d'heure.
Page 340 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Support Désactiver la En cochant cette option, l'analyse du protocole NTP sera désactivée et le trafic sera prévention autorisé si la politique de filtrage le permet. d’intrusion Tracer chaque Active ou désactive les logs permettant de tracer les requêtes NTP.
Page 341 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.42.4 Onglet IPS - NTP v3 Configuration de base Taille maximale des Renseignez la taille maximale autorisée pour les paquets NTP v3 (valeur par défaut: paquets (octets) 120 octets). Modes NTP Cette liste recense les modes NTP v3 connus (réservé, symétrique actif, symétrique passif, client, serveur, broadcast, messages de contrôle NTP, utilisation privée) et l'action appliquée à...
Page 342 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Cliquez sur le bouton Block All pour déplacer toutes les Reference Id NTP prédéfinies de la liste blanche vers la liste noire. Il est également possible d’ajouter ou de supprimer des Reference Id : Cliquez sur le bouton Ajouter et précisez le nom de la Reference Id, Sélectionnez une Reference Id et cliquez sur le bouton Supprimer.
Page 343 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.43.2 Onglet Commandes POP3 Proxy Commandes principales Ce menu vous permet d'autoriser ou de rejeter les commandes POP3 définies dans les RFC. Vous pouvez laisser passer une commande, la bloquer ou analyser la syntaxe et vérifier que la commande est conforme aux RFC en vigueur.
Page 344 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Lorsqu’un virus est Ce champ contient 2 options. En sélectionnant « Bloquer », le fichier analysé n’est détecté pas transmis. En sélectionnant « Passer », l’antivirus transmet le fichier dans son état.
Page 345 SMTP. Il permet d’envoyer des e- mails. Il est utilisé par Stormshield Vulnerability Manager pour détecter la version du client et / ou du serveur e-mail afin de remonter d’éventuelles vulnérabilités.
Page 346 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Support Désactiver la En cochant cette option, l'analyse du protocole SMTP sera désactivée et le trafic sera prévention autorisé si la politique de filtrage le permet. d’intrusion Tracer chaque Active ou désactive les logs permettant de tracer les requêtes SMTP.
Page 347 Taille maximum du Indique la taille maximale que peut prendre un message passant par le firewall message [0 – Stormshield Network. Les messages dont la taille est excessive seront refusés par le 2147483647 (Ko)] firewall. 40.44.3 Onglet Commandes SMTP Ce menu vous permet d'autoriser ou de rejeter les commandes SMTP définies dans les RFC.
Page 348 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.44.4 Onglet Analyse des fichiers Taille max. pour Cette option correspond à la taille maximale qu’un fichier peut atteindre afin qu’il soit l'analyse antivirale et analysé. La taille positionnée par défaut dépend du modèle de firewall : sandboxing (Ko) Firewalls modèles SN160(W), SN210(W) et SN310 : 4000 Ko.
Page 349 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Type de fichiers L'option sandboxing propose l'analyse de quatre types de fichiers attachés en pièce- jointe: Archive : sont inclus les principaux types d'archives (zip, arj, lha, rar, cab…) Document bureautique (logiciels Office): tous les types de documents pouvant être ouverts avec la suite MS Office.
Page 350 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.45.3 Gestion des commandes SNMP Opérations SNMP Cette liste recense les commandes SNMP autorisées par défaut par le firewall. L'action (Analyser / Bloquer) appliquée à chaque commande peut être modifiée en cliquant dans la colonne Action.
Page 351 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Exemple : ajouter l'OID 1.3.6.1.2.1 dans cette grille implique que les OID 1.3.6.1.2.1.1, 1.3.6.1.2.1.2, etc... seront également bloqués. Liste blanche Cette grille permet de lister les OID pour lesquels les paquets SNMP ne seront pas soumis aux traitements d’inspection de contenu.
Page 352 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES TLS v1.3 Autoriser le En cochant cette case, le moteur d'analyse IPS autorise les requêtes TLS utilisant le mécanisme 0-RTT mécanisme 0-RTT (Zero Round Trip Time - Temps Aller Retour Zero) qui réduit le Handshake (poignée de mains) à...
Page 353 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Sélectionnez l'action appliquée au flux TLS lorsque la CA ayant signé le certificat Lorsque la CA n'est serveur n'est pas définie dans la liste des CA de confiance : pas de confiance Continuer l'analyse : le moteur de prévention d'intrusion poursuit l'analyse du certificat et les analyses protocolaires sur le flux TLS 1.3 concerné.
Page 354 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Autoriser les Les attaques par repli consistent à intercepter une communication et à imposer une algorithmes variante cryptographique la plus faible possible. En activant cette option, le firewall cryptographiques de annoncera un pseudo-algorithme cryptographique permettant de signaler une signalement (SCSV)
Page 355 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Détection des données non chiffrées (trafic en clair) Méthode de détection Ne pas détecter : les données non chiffrées ne seront pas analysées. Inspecter tout le flux : tous les paquets reçus seront analysés par le protocole SSL afin de détecter du trafic en clair Échantillonnage (7168 octets) ...
Page 356 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES 40.46.2 Onglet Proxy Connexion Conserver l’adresse Lorsqu’une requête est effectuée par un client web (navigateur) vers le serveur, le IP source originale firewall l’intercepte et vérifie que celle-ci soit conforme aux règles de filtrage d’URL puis il relaie la demande.
Page 357 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Certificats inconnus Cette option va déterminer l’action à effectuer lorsque vous rencontrez des certificats inconnus : Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client.
Page 358 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Autoriser les Cette option permet d’autoriser ou non l'accès à un site par son adresse IP et non par adresses IP dans les son nom de domaine SSL. noms de domaine Support Si le déchiffrement...
Page 359 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 40. PROTOCOLES Port par défaut Le nom du port affecté par défaut. Il est possible de créer un nouveau port en cliquant sur l’icône à droite de la colonne. Port SSL par défaut Nom du port attribué...
Page 360 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 41. PROXY CACHE DNS 41. PROXY CACHE DNS Lorsque vous effectuez une requête DNS vers votre navigateur ou vers une adresse mail, le serveur DNS transforme le nom de domaine connu (par exemple www.compagnie.com ou smtp.compagnie.com ) en adresse IP et vous la communique.
Page 361 Comme son nom l’indique cette option vise à rendre transparent le service DNS du (intercepte toutes les firewall Stormshield Network. Ainsi lorsque cette option est activée la redirection des requêtes DNS émise flux DNS vers le cache DNS est invisible aux utilisateurs qui pensent accéder à leur par les clients serveur DNS.
Page 362 42.1 L'onglet Files d'attente 42.1.1 Files d’attente Le module de QoS, intégré au moteur de prévention d’intrusion Stormshield Network est associé au module Filtrage pour offrir les fonctionnalités de Qualité de Service. Dès sa réception, le paquet est traité par une règle de filtrage puis le moteur de prévention d’intrusion l’affecte à...
Page 363 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 42. QUALITE DE SERVICE (QOS) Ajout d’une file d’attente par classe d’application ou d’affectation Pour ajouter une file d’attente par classe d’application ou d’affectation : 1. Cliquez sur le bouton Ajouter. 2.
Page 364 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 42. QUALITE DE SERVICE (QOS) Bp inv. garantie Agissant comme une garantie de service, cette option permet la garantie d’un débit donné et d’un délai maximal de transfert descendant. Configurée en Kbits/s, Mbits/s, Gbit/s ou en pourcentage de la valeur de référence, cette valeur est partagée entre tous les trafics affectés par la règle de QoS.
Page 365 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 42. QUALITE DE SERVICE (QOS) Le détail des propriétés d'une file d'attente de type Surveillance du trafic (MONQ) est décrit ci- dessous. Modification d’une surveillance du trafic Nom de la file d’attente à configurer. Type Pour une file d'attente de type surveillance du trafic, il est indiqué...
Page 366 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 42. QUALITE DE SERVICE (QOS) Priorité Permet de choisir le niveau de priorité du trafic affecté à la queue. Les cellules de cette colonne ne sont éditables que pour les queues de type PRIQ. Il est possible de sélectionner une valeur allant de 7 (priorité...
Page 367 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 42. QUALITE DE SERVICE (QOS) Bande passante Indiquez la bande passante sortante maximale réservée au Traffic shaper. Lors de la définition d'un Trafic shaper destiné à l'interface en lien avec le routeur sortante d'accès Internet, il est conseillé...
Page 368 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 43. RAPPORTS 43. RAPPORTS Le module Rapports propose des rapports statiques qui se basent sur les traces enregistrées sur le firewall. Ils sont répartis en plusieurs catégories : Web, Sécurité, Virus, Spam, Vulnérabilité, Réseau, Réseau industriel, Sandboxing, SD-WAN et Services Web.
Page 369 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 43. RAPPORTS 43.1 Les actions possibles sur les rapports Échelle de temps Modifie l’échelle de temps du rapport. Plusieurs choix sont possibles : dernière heure, vue par jour, 7 derniers jours et les 30 derniers jours. À noter que : La dernière heure est calculée depuis la minute précédant celle en cours.
Page 370 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 43. RAPPORTS Pour les rapports relatifs aux Sites, les interactions avec les éléments et la légende sont l’interrogation de la catégorie d’une URL ainsi que l’accès direct à l’URL. Le Top des recherches Web permet quant à...
Page 371 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 43. RAPPORTS Les rapports Alarmes se basent sur les alarmes du module Configuration > Protection applicative > Applications et protections et les événements système du module Configuration > Notifications > Evénements système). Pour les rapports relatifs aux alarmes, vous pouvez modifier l’action, changer le niveau d’alerte et accéder à...
Page 372 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 43. RAPPORTS Émetteurs de virus Top des émetteurs de virus par e-mail. Les virus par e-mail détectés sur le trafic mail des réseaux internes (protocoles par e-mail SMTP et SMTPS si l'inspection SSL est activée) sont listés par émetteurs. Les expéditeurs sont identifiés selon leur identifiant d’utilisateur authentifiés.
Page 373 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 43. RAPPORTS Vulnérabilités Top des vulnérabilités Serveur. Ce rapport remonte toutes les vulnérabilités détectées avec une cible Serveur, qui Serveur ont un degré de sévérité « 2 » (Moyen), « 3 » (Élevé) ou « 4 » (Critique). Celles-ci incluent les vulnérabilités qui ont à...
Page 374 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 43. RAPPORTS Applications serveur Top des applications serveur par volume échangé. Ce rapport présente les applications serveur les plus utilisés sur la totalité des par volume échangé volumes échangés par toutes les machines pendant la période donnée. 43.2.7 Rapports Réseau industriel L’activité...
Page 375 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 43. RAPPORTS Protocoles ayant le Top des protocoles ayant recours à l'analyse Sandboxing. Ce rapport présente les protocoles réseau (HTTP, SSL, SMTP, FTP) ayant provoqué le plus recours à plus d'analyses sandboxing. l'analyse Sandboxing Utilisateurs ayant Top des utilisateurs ayant soumis des fichiers à...
Page 376 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 43. RAPPORTS Services Web par Top des services Web par nombre de connexions. Ce rapport présente les services Web présents dans la configuration du firewall et nombre de pour lesquels le nombre de connexions relevées est le plus important. connexions Page 374/524 sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023...
Page 377 (Serverd) : les administrateurs pourront se connecter via les réseaux internes sur le port 1300 du firewall. Ce service est utilisé notamment par des outils annexes Stormshield (exemple : Stormshield Network Centralized Management). Autoriser l’accès au port ssh du Firewall pour les interfaces protégées : permet d'ouvrir l'accès au firewall par SSH afin de pouvoir se connecter dessus en lignes de commande à...
Page 378 Deux cas peuvent être dangereux : Désactiver la règle « Serverd » : peut amener, en cas d’absence de règle explicite, à ne plus avoir d’accès avec les outils annexes Stormshield utilisant le port 1300 (exemple : Stormshield Network Centralized Management).
Page 379 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 44. RÈGLES IMPLICITES 44.1.2 Configuration avancée Inclure les règles Cette case, cochée par défaut, active les règles implicites de sortie pour les services implicites de sortie hébergés par le firewall. des services Cette fonctionnalité, qui était présente dans les versions antérieures de firmware, ne hébergés...
Page 380 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 45. RÉPUTATION DES MACHINES 45. RÉPUTATION DES MACHINES Cette fonctionnalité, qui peut être combinée à la géolocalisation, permet de limiter le risque d’attaques subies par une entreprise. Via sa politique de sécurité, l’administrateur peut bloquer les connexions des machines ayant une mauvaise réputation.
Page 381 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 45. RÉPUTATION DES MACHINES Analyse échouée [0- Réglez le curseur afin de définir le poids des fichiers dont l'analyse sandboxing a échoué dans le calcul de réputation d'une machine (fichier corrompu,...). Statistiques Réinitialiser le score En cliquant sur ce bouton, vous effacez les scores de réputation de toutes les...
Page 382 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 46. ROUTAGE 46. ROUTAGE Le fonctionnement du routage est segmenté en plusieurs onglets. Ceux IPv6 sont accessibles seulement si l'IPv6 est activé dans la configuration du firewall. Routes statiques IPv4 / IPv6 : permet la définition des routes statiques. Le routage statique représente un ensemble de règles définies par l'administrateur ainsi qu'une route par défaut.
Page 383 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 46. ROUTAGE 46.1.2 Routes statiques Les actions possibles Certaines actions peuvent également être réalisées en effectuant un clic droit dans la grille. Recherche Recherche qui porte sur un objet machine, un réseau ou un groupe. Ajouter Ajoute une ligne vide dans la grille.
Page 384 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 46. ROUTAGE Ripv2 OSPFv2 pour IPv4 et OSPFv3 pour IPv6 BGPv4 pour IPv4 et IPv6 Ces onglets permettent d’activer et de configurer le moteur de routage dynamique BIRD. L'onglet Routage dynamique IPv6 est accessible seulement si l'IPv6 est activé dans la configuration du firewall.
Page 385 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 46. ROUTAGE L'onglet Routes de retour IPv6 est accessible seulement si l'IPv6 est activé dans la configuration du firewall. 46.3.1 Routes de retour Les actions possibles Certaines actions peuvent également être réalisées en effectuant un clic droit dans la grille. Ajouter Ajoute une ligne vide dans la grille.
Page 386 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 47. ROUTAGE MULTICAST 47. ROUTAGE MULTICAST Le routage multicast est une technologie dont l’objectif est de préserver la bande passante en délivrant un flux unique d’information à plusieurs destinataires, potentiellement en très grand nombre (plusieurs milliers).
Page 387 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 47. ROUTAGE MULTICAST 47.1.2 Les interactions Certaines opérations, listées dans la barre des tâches, peuvent être réalisées en effectuant un clic droit sur la grille des routes statiques multicast : Ajouter, Supprimer, Monter,...
Page 388 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 47. ROUTAGE MULTICAST 47.2 L'ONGLET ROUTAGE DYNAMIQUE  IMPORTANT Le routage multicast dynamique est en accès anticipé dans SNS 4. Veuillez impérativement consulter les Problèmes connus et les Limitations et précisions sur les cas d'utilisation des Notes de version SNS 4 avant d'activer cette fonctionnalité.
Page 389 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 47. ROUTAGE MULTICAST Les actions possibles Tout Ce bouton permet de sélectionner toutes les lignes de la grille afin de les supprimer en une sélectionner seule action. Ajouter Ce bouton permet d'insérer une ligne après la ligne sélectionnée pour ajouter une interface. Supprimer Ce bouton permet de supprimer la ligne sélectionnée.
Page 390 Sélectionnez l'interface réseau du firewall qui servira d'identifiant au firewall dans le mécanisme d'élections. Stormshield recommande d'utiliser une interface de loopback dédiée à cet effet. Les interfaces de loopback peuvent être définies dans le module Réseau > Interfaces virtuelles > onglet Loopback .
Page 391 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 47. ROUTAGE MULTICAST Pour supprimer toutes les adresses de groupes multicast, cliquez sur Tout sélectionner puis sur Supprimer. Rendez-vous Points (RP) statiques  NOTE Il est nécessaire d'être très rigoureux dans la gestion des groupes multicast (pas de recouvrement d'adresses) pour utiliser simultanément le mécanisme d'élections de RP et la définition de RP ...
Page 392 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 48. SERVEUR PPTP 48. SERVEUR PPTP L’écran de configuration du serveur PPTP se divise en 2 zones : Configuration générale : Activation du serveur PPTP, choix du pool d’adresses. Configuration avancée : Chiffrement du trafic. La mise en place est très simple et rapide et se déroule en trois étapes : Les adresses IP des clients PPTP (objet).
Page 393 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 48. SERVEUR PPTP MPPE56 bits Autorise l'utilisation du protocole de chiffrement MPPE 56 bits. MPPE128 bits Autorise l'utilisation du protocole de chiffrement MPPE 128 bits. Page 391/524 sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023...
Page 394 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 49. SERVICES WEB 49. SERVICES WEB Ce module présente les services Web définis sur le firewall. Ils sont destinés à être utilisés au sein de la politique de filtrage. Il en existe deux types : Les services Web officiels (onglet Liste des services Web) : ils sont téléchargés automatiquement via le module Active...
Page 395 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 49. SERVICES WEB Nom : le nom du service Web (exemple : MonServiceWebPersonnalisé), Description : correspond au commentaire optionnel précisé pour le service dans le fichier d'import, En lecture seule : indique si le service est modifiable ou peut être supprimé. Un service personnalisé...
Page 396 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 49. SERVICES WEB Tout sélectionner En cliquant sur le bouton, tous les groupes de services présents dans la grille sont sélectionnés. Ce bouton permet de créer un nouveau groupe personnalisé vide : Ajouter 1.
Page 397 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 49. SERVICES WEB Ce bouton permet d'ajouter des services Web (officiels et personnalisés) ou des Ajouter groupes de services Web dans le groupe personnalisé en cours d'édition : 1. Cliquez sur Ajouter. La liste des services Web et des groupes de services définis sur le firewall s'affiche.
Page 398 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 49. SERVICES WEB 49.3.2 Informations au sujet du dernier import Après un import réussi, ce cadre présente un résumé des données importées : Dernier import de Date et heure du dernier import réalisé avec succès. services Web personnalisés Nombre de services...
Page 399 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 50. STORMSHIELD MANAGEMENT CENTER 50. STORMSHIELD MANAGEMENT CENTER Si vous disposez du serveur d’administration centralisée Stormshield Management Center, ce panneau vous permet d’installer le package de rattachement afin de connecter votre firewall au serveur SMC.
Page 400 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION 51. SUPERVISION Le module Supervision propose des données en temps réel ainsi que des courbes historiques (si cette option a été activée dans le module Configuration des rapports) concernant : L'état du matériel et de la haute disponibilité, L'utilisation des ressources système du firewall, Le niveau d'utilisation des interfaces réseaux,...
Page 401 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION 51.0.2 La grille Recherche Ce champ permet la recherche de graphiques ou grilles de supervision par mot clé. 51.0.3 Les info-bulles Le survol à la souris de certains types d'objets permet d'en afficher les propriétés dans une info-bulle.
Page 402 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION E-mail, Téléphone, Adresse IP de la machine de connexion et nom de l'objet machine correspondant s'il est défini dans la base objets, Interface du firewall par laquelle cette machine est vue, Bande passante entrante utilisée, Bande passante sortante utilisée.
Page 403 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION En survolant la référence d'un disque à l'aide de la souris, le détail des tests S.M.A.R.T. réalisés et leurs résultats sont affichés dans une info-bulle. 51.1.2 L'onglet "Détails du cluster" Cet onglet n'est accessible que lorsque la Haute Disponibilité...
Page 404 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Récupération des Indique sous la forme d'un voyant vert ou rouge si le firewall a répondu à la requête informations HA permettant de récupérer les données concernant la Haute Disponibilité. Modèle de firewall Précise le modèle de firewall (SN200, SN6000...).
Page 405 MM-JJ HH:MM:SS). N° du dernier Indique le n° de révision du dernier déploiement de configuration réalisé via déploiement SMC Stormshield Management Center (N/A si les firewalls ne sont pas gérés par un serveur SMC). 51.2 Système 51.2.1 L'onglet "Temps réel"...
Page 406 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Les interactions Un clic sur l’un des indicateurs référencés dans la légende permet de masquer / afficher les données correspondantes sur le graphique. En survolant une courbe à l’aide de la souris, la valeur de l’indicateur et l’heure de mesure correspondante sont affichées dans une info-bulle.
Page 407 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Les actions Tout fermer Le bouton permet de replier l'ensemble des graphiques de la page en une seule action. Tout dérouler Le bouton permet de déplier l'ensemble des graphiques de la page en une seule action.
Page 408 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Développer Le bouton permet de déplier l'ensemble des graphiques de la page en une seule action. Ajouter une colonne Ce bouton permet d'augmenter le nombre de colonnes d'affichage des courbes et informations.
Page 409 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Les interactions Un clic sur l’un des indicateurs référencés dans la légende permet de masquer / afficher les données correspondantes sur le graphique. En survolant une courbe à l’aide de la souris, la valeur de l’indicateur et l’heure de mesure correspondante sont affichées dans une info bulle.
Page 410 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION 51.5 Machines 51.5.1 L'onglet "Temps réel" L’écran se compose de 2 vues : Une vue qui liste les machines. Une vue qui liste les Connexions, Vulnérabilités, Applications, Services, Informations, et Historique de réputation en rapport avec la machine sélectionnée.
Page 411 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Menu contextuel Un clic droit sur le nom ou l'adresse IP d'une machine donne accès aux menus contextuels suivants : Rechercher cette valeur dans les traces, Vérifier (l'utilisation de) cette machine, Afficher les détails de la machine, Réinitialiser le score de réputation de cet objet, Placer cet objet en liste noire (Pour 1 minute, Pour 5 minutes, Pour 30 minutes ou Pour 3...
Page 412 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Panneau « FILTRAGE SUR » Vous pouvez ajouter un critère en glissant la valeur depuis un champ des résultats dans le panneau. Vue « Connexions » Cette vue permet de visualiser toutes les connexions détectées par le firewall. Une ligne représente une connexion.
Page 413 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION État Ce paramètre indique le statut de la connexion correspondant par exemple, à son initiation, son établissement ou sa fermeture. Nom de file d'attente Nom de la file d'attente QoS utilisée par la connexion. Nom de la règle Lorsqu'un nom a été...
Page 414 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Filtrer Cliquez sur ce bouton pour : Sélectionner des critères de filtrage (Critère de recherche). Pour la vue "connexions", ces critères sont les suivants : Par plage d'adresses ou par adresse IP (grisé si une machine a été sélectionnée dans la vue "machines").
Page 415 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Identifiant Identifiant de la vulnérabilité. Indication du nom de la vulnérabilité. Famille Nombre de machines affectées. Sévérité Indication du niveau de sévérité de la vulnérabilité. Il existe 4 niveaux de sévérité : "...
Page 416 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Service Indique le nom du service en incluant son numéro de version (exemple : lighthhtpd_ 1.4.28). Détails Donne un complément d'information sur le service détecté. Famille Famille du service (exemple : Web server). Vue « ...
Page 417 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION En survolant une courbe à l’aide de la souris, la valeur de l’indicateur et l’heure de mesure correspondante sont affichées dans une info bulle. 51.5.2 L'onglet "Historique" Cette vue présente sous forme graphique l'évolution de réputation de la machine sélectionnée (réputation moyenne et réputation maximum).
Page 418 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION 51.7 Utilisateurs 51.7.1 L'onglet "Temps réel" L’écran se compose de 2 vues : Une vue qui liste les utilisateurs authentifiés sur le firewall. Une vue qui liste les Connexions, Vulnérabilités, Applications, Services et Informations en rapport avec l'utilisateur sélectionné.
Page 419 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION La barre d'actions Vous pouvez combiner plusieurs critères de recherche. Ces critères doivent être remplis conjointement pour être affichés, car les critères de recherche se cumulent. Cette combinaison de critères de recherche peut alors être enregistrée en tant que « filtre ». Ceux-ci sont gardés en mémoire et peuvent être réinitialisés via le module Préférences de l’interface d’administration.
Page 420 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Date Indication de la date et de l'heure de connexion de l'objet. Connexion Identifiant de la connexion Connexion parente Certains protocole peuvent générer des connexions "filles" (exemple : FTP) et, dans ce cas de figure, cette colonne référence l'identifiant de la connexion parente.
Page 421 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Catégorie de Indique la catégorie de réputation de la machine externe si celle-ci est classifiée. réputation  EXEMPLE SPAM, Phishing... Argument Information complémentaire pour certains protocoles exemple : HTTP). Opération Information complémentaire pour certains protocoles exemple : HTTP).
Page 422 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Filtrer Cliquez sur ce bouton pour : Sélectionner des critères de filtrage (Critère de recherche). Pour la vue "connexions", ces critères sont les suivants : Par plage d'adresses ou par adresse IP. Par interface.
Page 423 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Identifiant Identifiant de la vulnérabilité. Indication du nom de la vulnérabilité. Famille Nombre de machines affectées. Sévérité Indication du niveau de sévérité de la/les machine(s) concernée(s) par la vulnérabilité.
Page 424 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Nom du service Indique le nom du service (exemple : lighthhtpd). Service Indique le nom du service en incluant son numéro de version (exemple : lighthhtpd_ 1.4.28). Détails Donne un complément d'information sur le service détecté.
Page 425 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Les actions Échelle de temps Ce champ permet le choix de l’échelle de temps : dernière heure, vue par jour, 7 derniers jours et les 30 derniers jours. La dernière heure est calculée depuis la minute précédant celle en cours.
Page 426 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Adresse source multi- Adresse IP présentée par la machine à l'origine d'une connexion SCTP. Pour rappel, un équipement dialoguant en SCTP peut disposer de plusieurs adresses IP ( multi- homing (SCTP) homing ).
Page 427 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Catégorie de Indique la catégorie de réputation de la machine externe si celle-ci est classifiée. réputation  EXEMPLE SPAM, Phishing... Argument Information complémentaire pour certains protocoles ( exemple : HTTP). Opération Information complémentaire pour certains protocoles ( exemple : HTTP).
Page 428 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION (menu Sélectionnez un filtre pour lancer la recherche correspondante. La liste propose les déroulant Filtres) filtres enregistrés au préalable et pour certaines Vues, des filtres prédéfinis. La sélection de l’entrée (Nouveau filtre) permet de réinitialiser le filtre en supprimant la sélection de critères.
Page 429 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Filtrer Cliquez sur ce bouton pour : Sélectionner des critères de filtrage (Critère de recherche). Pour la vue "connexions", ces critères sont les suivants : Par plage d'adresses, par adresse IP ou par machine source. Par interface.
Page 430 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Exporter les résultats Ce bouton permet de télécharger un fichier au format CSV contenant les informations de la grille. Lorsqu'un filtre est appliqué, seuls les résultats correspondant à ce filtre sont exportés.
Page 431 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Concerne uniquement les passerelles. Type Indique dans quel type de route une passerelle est utilisée. Les valeurs possibles sont : Routage par politique, Route par défaut. Concerne les routeurs et les passerelles. État L'état d'un routeur est déterminé...
Page 432 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Méthode de détection Concerne uniquement les routeurs. Affiche le type de tests de connexion pour établir l'état d'un routeur. Les valeurs possibles sont : ICMP, TCP Probe (protocole utilisé). Concerne uniquement les passerelles.
Page 433 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Concerne les routeurs et les passerelles. Statut SLA Indique si l'engagement SLA SD-WAN défini (lorsqu'il est activé dans la définition de l'objet routeur) est respecté pour les passerelles le routeur. L'état SLA d'un routeur est déterminé...
Page 434 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION 2. Si vous souhaitez afficher les courbe d'une autre passerelle, ou afficher les courbe d'une autre passerelle en plus de celle sélectionnée par défaut, utilisez la liste déroulante Choisir une passerelle (max.
Page 435 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION La barre d'actions Actualiser Ce bouton permet d'actualiser les données présentées à l'écran. Exporter les résultats Ce bouton permet de télécharger un fichier au format CSV contenant les informations de la grille.
Page 436 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION 51.11.2 La grille "Informations" Cette grille liste le nombre de tunnels établis : Nombre total de tunnels (UDP + TCP) Nombre de tunnels UDP Nombre de tunnels TCP Un message d'avertissement est affiché...
Page 437 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION État Un voyant vert accompagné de la mention OK, ou rouge accompagné de la mention KO, indique l'état des tunnels de la politique concernée. Nom donné à la règle IPsec (boite d'édition de la règle > Paramètres Nom de règle généraux ...
Page 438 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Accéder à la configuration de cette politique IPsec, Accéder à la configuration de ce correspondant. Un clic droit sur les champs Passerelle locale, Adresse IP de la passerelle locale, Passerelle distante ou Adresse IP ...
Page 439 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Indique l'état de la SA IKE (exemple: established ). État Rôle de la passerelle locale dans l'établissement du tunnel ( initiator ou responder ). Rôle Cookie initiateur Marqueur d'identité temporaire de l'initiateur de la négociation. Exemple : «...
Page 440 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION Indique si l'encapsulation UDP des paquets ESP est activée. Encapsulation UDP Cette encapsulation est automatiquement forcée lorsque le mode DR est activé (Configuration > Système > Configuration > onglet Configuration Générale > Activer le mode "Diffusion Restreinte (DR)").
Page 441 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION 51.14 Captures réseau L'outil de captures réseau est basé sur l'analyseur de paquets en ligne de commande tcpdump. Le module se compose de deux grilles : Grille Captures en cours : permet de lancer des captures réseau, de lister celles en cours, de les stopper et de copier leurs filtres TCPDump, Grille Captures terminées : permet de lister les captures passées, de télécharger leurs fichiers PCAP et métadonnées, de les supprimer et de copier leurs filtres TCPDump.
Page 442 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION réseau. Si l'espace disque utilisé par les captures est égal ou supérieur à 95 %, il n'est plus possible de lancer une nouvelle capture. Lorsque ce seuil est atteint, toutes les captures en cours s'arrêtent automatiquement.
Page 443 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION  NOTE Dans une configuration en Haute Disponibilité (HA), les captures réseau peuvent être arrêtées seulement depuis le firewall qui les a lancées. Lors du basculement du firewall actif en passif, les captures en cours continuent de s'exécuter jusqu'à...
Page 444 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 51. SUPERVISION  NOTE Dans une configuration en Haute Disponibilité (HA), les fichiers d'une capture réseau peuvent être téléchargés ou supprimés seulement depuis le firewall qui a lancé la capture. La grille Nom du fichier PCAP de la capture.
Page 445 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 52. TABLEAU DE BORD 52. TABLEAU DE BORD Le tableau de bord présente une vue d’ensemble des informations concernant le firewall. Il est accessible à n'importe quel moment pendant la configuration du firewall en cliquant sur l'onglet Monitoring dans le bandeau supérieur, puis sur Tableau de bord dans le menu de gauche.
Page 446 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 52. TABLEAU DE BORD Action Lorsqu’une alarme est remontée le paquet qui a provoqué cette alarme subit l’action associée. Les actions sont « Bloquer » ou « Passer ». Identifiant unique de l'alarme. Classe Classe liée à...
Page 447 Couleur rouge : état critique du service. Les indicateurs pris en compte pour chacun des indicateurs de santé sont les suivants : Management Center État de la connexion entre le firewall et le serveur Stormshield Management Center. Page 445/524 sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023...
Page 448 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 52. TABLEAU DE BORD Active Update Date de mise à jour du module Active Update. Sandboxing État de la connexion aux serveurs Sandboxing. Cloud Backup État de la connexion à l'infrastructure Cloud Backup lorsque les sauvegardes automatiques sont activées.
Page 449 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 52. TABLEAU DE BORD Mémoire État de la mémoire utilisée par le firewall. Différents types de mémoire sont analyés : Machine : pourcentage de la mémoire allouée au traitement d'une machine. Fragmenté ...
Page 450 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 52. TABLEAU DE BORD Identifiant client Cette entrée peut afficher un identifiant optionnel choisi lors de l'import de l'image d'installation ou lors de la création de cette image par le partenaire afin d'identifier le propriétaire de l'EVA.
Page 451 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 53. TRACES - SYSLOG - IPFIX 53. TRACES - SYSLOG - IPFIX L’écran de configuration des traces se compose de 3 onglets : Stockage local, Syslog, IPFIX. 53.1 Onglet Stockage local La configuration des traces permet d'allouer de l'espace disque pour chaque famille de traces du firewall.
Page 452 Statistiques Événements liés au monitoring temps réel. Management des Événements liés à l’application de consultation des vulnérabilités sur le réseau vulnérabilités Stormshield Network Vulnerability Manager. Proxy FTP Événements liés au trafic FTP. Proxy SSL Événements liés au trafic SSL. Page 450/524...
Page 453 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 53. TRACES - SYSLOG - IPFIX Sandboxing Événements liés à l'analyse sandboxing des fichiers lorsque cette option a été souscrite et activée. Captures réseau Données issues des captures réseau déclenchées depuis le firewall. Statistiques des Données issues des statistiques des routeurs et de leurs passerelles.
Page 454 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 53. TRACES - SYSLOG - IPFIX Certificat serveur Ce champ n'est actif que lorsque le protocole TLS a été choisi. Sélectionnez le certificat que doit présenter le serveur Syslog pour s'authentifier auprès du firewall.
Page 455 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 53. TRACES - SYSLOG - IPFIX Ce bouton permet d'activer ou de désactiver l'envoi des traces vers un collecteur IPFIX. Quatre patrons sont définis par défaut : connexions IPv4 sans translation d'adresses (NAT), connexions IPv4 avec NAT, connexions IPv6, alarmes.
Page 456 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 54. TRUSTED PLATFORM MODULE (TPM) 54. TRUSTED PLATFORM MODULE (TPM) Les modèles de firewalls équipés d'un TPM sont les suivants : SN-M-Series-520, SN-M-Series-720, SN-M-Series-920, SN1100, SN3100, SNi20. Le TPM (Trusted Platform Module) est un module physique de stockage sécurisé destiné à protéger les certificats, clés privées, fichiers de sauvegarde de configuration...
Page 457 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 55. UTILISATEURS 55. UTILISATEURS Le service d'authentification des utilisateurs nécessite la création de comptes utilisateurs au niveau du firewall. Pour accéder aux fonctionnalités de ce module, vous devez avoir, au préalable, créé...
Page 458 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 55. UTILISATEURS Le champ de recherche vous permet de lister tous les utilisateurs et / ou groupes d’utilisateurs dont le nom, le prénom, et / ou l'identifiant (login) correspondent aux mots-clés saisis. ...
Page 459 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 55. UTILISATEURS Cliquez sur le bouton Appliquer de cette fenêtre pour valider la création du mot de passe.  NOTE La création du mot de passe utilisateur n’est pas obligatoire. Il suffit de cliquer sur le bouton Annuler de la fenêtre pour passer cette étape.
Page 460 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 55. UTILISATEURS 55.1.6 Vérifier l’utilisation Matérialisé par l’icône , ce bouton vous renseigne sur les groupes dont vos utilisateurs font partie, ainsi que sur l’utilisation de l’utilisateur ou du groupe dans le reste de la configuration. ...
Page 461 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 55. UTILISATEURS 55.2.1 Onglet Compte Créer ou modifier le En cliquant sur cette option, vous pouvez créer le mot de passe d’authentification de mot de passe l’utilisateur dans une fenêtre spécifique, affichant également le niveau de sécurité. ...
Page 462 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 55. UTILISATEURS 55.2.3 Onglet Membres des groupes Il permet d’inclure l’utilisateur dans un ou plusieurs groupes : 1. Cliquez sur le bouton Ajouter. Une ligne vierge vient s’ajouter au tableau des groupes. 2.
Page 463 Les services proposés par l’IPsec Stormshield Network offrent le contrôle d'accès, l'intégrité en mode non connecté, l'authentification de l'origine des données, la protection contre le rejeu, la confidentialité...
Page 464 L’écran du module VPN IPsec est composé de 4 onglets : Politique de chiffrement – Tunnels : créez des tunnels IPsec entre deux firewalls (Site à site – Gateway- Gateway) ou entre un firewall multifonctions Stormshield Network et un utilisateur nomade (Anonyme – Utilisateurs nomades).
Page 465 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC Actions Cette fonction permet d’effectuer 3 actions sur les profils : Renommer : en cliquant sur cette option, une fenêtre composée de deux champs à remplir s’affiche. Celle-ci propose de modifier le nom d’une part et d’ajouter un commentaire d’autre part.
Page 466 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC Afficher les Pour faciliter la configuration du tunnel avec un équipement distant (passerelle ou client mobile), un clic sur cette icône affiche les différentes informations de la politique IPsec : détails Résumé...
Page 467 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC 1. Passerelle distante : choisissez l’objet correspondant à l’adresse IP de l’extrémité du tunnel au sein de la liste déroulante. Vous pouvez également en ajouter à l’aide du bouton 2.
Page 468 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC 56.1.2 La grille Ligne Cette colonne indique le numéro de la ligne (1,2,3…) traitée par ordre d’apparition à l’écran. État Cette colonne affiche l’état du tunnel. Lorsque vous créez un tunnel, celui-ci s’active par défaut : cliquez deux fois dessus pour le désactiver.
Page 469 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC L’adresse IP d’extrémité de trafic, quant à elle, peut être soit choisie par le correspondant (cas « classique »), ou distribuée par la passerelle (« Mode Config »). Il est possible de construire une politique IPsec nomade contenant plusieurs correspondants dès lors qu'ils utilisent le même profil de chiffrement IKE.
Page 470 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC Hybride Si vous optez pour la méthode hybride, vous devrez également fournir un « Certificat » (serveur) à présenter au correspondant et éventuellement, sa CA. L’authentification du serveur est faite par certificat durant la phase 1, et celle du client le sera par XAuth juste après cette phase 1.
Page 471 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC Afficher Pour faciliter la configuration du tunnel avec un équipement distant (passerelle ou client mobile), un clic sur cette icône affiche les différentes informations de la politique IPsec : les détails Résumé...
Page 472 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC Réseau distant Choisissez parmi la liste déroulant d’objets, votre machine, groupes de machines, plage d’adresses, réseau ou groupe de réseaux accessibles via le tunnel IPsec avec le correspondant. ...
Page 473 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC Mode Config Cette colonne rend possible l’activation du « Mode Config », désactivé par défaut. Ce mode permet de distribuer l’adresse IP d’extrémité de trafic au correspondant. ...
Page 474 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC À gauche : la liste des correspondants VPN IPsec site à site (Passerelles distantes) et VPN IPsec nomades (Correspondants mobiles). À droite : les informations du correspondant sélectionné. 56.2.1 La liste des correspondants Entrer un filtre...
Page 475 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC Certificat Si vous avez choisi la méthode d’authentification par certificat, ce champ affiche le certificat à présenter au correspondant pour établir le tunnel IPsec. Si vous avez opté pour la clé pré-partagée, ce champ n'est pas affiché. Local ID (Optionnel) Ce champ représente une extrémité...
Page 476 IMPORTANT Cette fonctionnalité apporte une stabilité au service VPN sur les Firewalls Stormshield Network, à la condition que le DPD soit correctement configuré. Pour configurer l’option de DPD , quatre choix sont disponibles : Inactif : les requêtes DPD provenant du correspondant sont ignorées.
Page 477 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC Adresse locale Ce champ permet de sélectionner l'interface externe présentée pour établir le tunnel avec le correspondant affiché. Profil IKE Cette option permet de choisir le modèle de protection associé à votre politique VPN, parmi les 3 profils pré-configurés: StrongEncryption , GoodEncryption , et Mobile .
Page 478 IMPORTANT Cette fonctionnalité apporte une stabilité au service VPN sur les Firewalls Stormshield Network, à la condition que le DPD soit correctement configuré. Pour configurer l’option de DPD , quatre choix sont disponibles : Inactif : les requêtes DPD provenant du correspondant sont ignorées.
Page 479 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC Ajouter Lorsque vous cliquez sur ce bouton, une fenêtre regroupant les CA et sous CA que vous avez créées au préalable apparaît. Sélectionnez les autorités qui permettront de vérifier les identités de vos correspondants, en cliquant sur Sélectionner .
Page 480 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC 56.3.3 Configuration avancée Activer la recherche Lorsque plusieurs annuaires LDAP sont définis, cocher cette case permet au firewall de au travers de parcourir ces annuaires séquentiellement pour authentifier un correspondant mobile. plusieurs Cette méthode est disponible quel que soit le type d'authentification choisi (clé...
Page 481 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC 56.4.2 Tableau des profils Ce tableau propose une série de profils de chiffrement prédéfinis, de phases 1 (IKE) ou 2 (IPsec). Les actions possibles Ajouter En cliquant sur ce bouton, vous pouvez choisir d’ajouter un Nouveau profil de phase 1 (IKE) ou un Nouveau profil de phase 2 (IPsec), qui sera affiché...
Page 482 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC Durée de vie Période de temps au bout de laquelle les clés sont renégociées. maximum (en La durée de vie par défaut pour un profil de type IKE est 21600 secondes. secondes) Propositions Cette grille vous propose de modifier ou d’ajouter des combinaisons d'algorithmes de...
Page 483 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC Profil IPsec Pour chaque profil IPsec ajouté ou sélectionné, vous verrez apparaître ses caractéristiques à droite de l’écran (champs « Général », « Propositions d’authentification » et « Propositions de chiffrement ...
Page 484 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 56. VPN IPSEC Algorithme 4 choix vous sont proposés : hmac_sha1 (obsolète), hmac_sha256, hmac_sha384, hmac_sha512. Force Nombre de bits définis pour l’algorithme sélectionné. Propositions de chiffrement Cette grille vous propose de modifier ou d’ajouter des algorithmes de chiffrement à la liste pré- établie du profil sélectionné.
Page 485 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 57. VPN SSL 57. VPN SSL Le VPN SSL permet à des utilisateurs distants d’accéder de manière sécurisée aux ressources internes de l’entreprise par des communications chiffrées en SSL. Son utilisation requiert l’installation d’un client VPN SSL installé...
Page 486 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 57. VPN SSL Réseaux ou Indiquez quels seront les réseaux et hôtes visibles pour les clients. Tous les paquets machines issus du client et destinés à ces réseaux passeront par le tunnel SSL. accessibles Cet objet peut être du type « ...
Page 487 SSL (exemple : déconnexion d’un disque à un partage réseau distant).  NOTE Seules les machines clientes fonctionnant sous Windows et avec le client Stormshield Network peuvent bénéficier du service des scripts exécutables. Le format des fichiers est obligatoirement du type « .bat ».
Page 488 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 57. VPN SSL connexion/déconnexion (exemple : %USERDOMAIN%, %SystemRoot%, etc.). Deux variables d’environnement liées au tunnel VPN SSL sont également utilisables : %NS_USERNAME% : le nom d’utilisateur servant à l’authentification, %NS_ADDRESS% : l’adresse IP attribuée au client. 57.4 Certificats utilisés Certificat serveur Sélectionnez le certificat présenté...
Page 489 58. VPN SSL PORTAIL 58. VPN SSL Portail Le VPN SSL Portail Stormshield Network permet à vos utilisateurs nomades ou non de se connecter sur les ressources de votre société de façon sécurisée. Le VPN SSL Portail Stormshield Network n’impose pas d’installation de clients sur les postes de...
Page 490 58.1.1 Configuration avancée Accès aux serveurs via le VPN SSL Préfixe du répertoire La technologie VPN SSL Stormshield Network permet de masquer l’adresse réelle des racine de l’URL serveurs vers lesquels les utilisateurs sont redirigés en réécrivant l’ensemble des URL contenues dans les pages HTTP rencontrées. Ces URL sont remplacées par un préfixe suivi de 4 chiffres.
Page 491 VPN SSL (Exemple : http://serveur de destination/URL : chemin d’accès). Nom du lien sur le Le lien défini apparaît sur le portail Web Stormshield Network. Lorsque l’utilisateur portail utilisateur clique sur ce lien, il est redirigé vers le serveur correspondant.
Page 492 évolué d'Outlook Web Access fait appel au Webdav, une extension du protocole HTTP. Ces extensions n’étant pas supportées par tous les équipements réseau (le mode premium d'OWA est supporté par le module VPN SSL des Firewalls Stormshield Network), le transit de ces trafics pourrait poser des problèmes de compatibilité en particulier sur Internet.
Page 493 58.2.2 Ajout d’un serveur web OWA Le module VPN SSL des Firewalls Stormshield Network supporte les serveurs OWA ("Outlook Web Access") : Exchange 2003, 2007, 2010. Le mode « Premium » est basé sur les technologies web comme html, css, javascript mais également sur des technologies propriétaires Microsoft comme htc, xml, activeX.
Page 494 58. VPN SSL PORTAIL 58.2.3 Ajout d’un serveur web Lotus Domino Le module VPN SSL des Firewalls Stormshield Network supporte les serveurs Lotus domino. Il est possible d’ajouter dans la liste des serveurs d’accès Web, un serveur HTTP avec certaines options spécifiquement pré...
Page 495 4. Sélectionnez dans la liste déroulante Ouvrir l'accès sécurisé dans un pop-up.  AVERTISSEMENT Il est important que l'applet VPN SSL Stormshield Network fonctionne en tâche de fond. 5. Sélectionnez ensuite Accès portail\Portail puis saisissez votre nom d'utilisateur, votre mot de passe et le domaine.
Page 496 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 58. VPN SSL PORTAIL 58.4 Suppression d’un serveur Pour supprimer un serveur, suivez la procédure suivante : 1. Sélectionnez le serveur à supprimer. 2. Cliquez sur le bouton Supprimer.  AVERTISSEMENT Lorsqu’un serveur est retiré...
Page 497 4. Dans la colonne « VPN SSL », choisissez le profil défini au préalable. 5. Cliquez sur le bouton Appliquer. 58.6 Services VPN SSL sur le portail Web Stormshield Network Lorsque l’authentification sur le firewall est activée (module Utilisateurs\ Authentification\ onglet Général, et coche « ...
Page 498 "127.0.0.1:Port_Ecoute" où "Port_Ecoute" est le port spécifié dans la configuration du serveur. Le port d’écoute pour chacun des serveurs configurés est rappelé dans la page du portail Web Stormshield Network. Page 496/524 sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023...
Page 499 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 59. WI-FI 59. WI-FI Le module Réseau WI-Fi permet l'activation du réseau Wi-Fi. Il présente également certains paramètres physiques de ce réseau.  NOTE Les paramètres présentés dans cet écran sont communs aux deux points d'accès disponibles sur le firewall.
Page 500 Stormshield Network (Bird6) est également compatible. Le mécanisme SLAAC (StateLess Address AutoConfiguration) est implémenté sur le Firewall Stormshield Network afin de générer des Annonces Routeur (RA - Router Advertisements). Celles-ci permettent l’auto-configuration des machines du réseau par la distribution des préfixes IPv6 à...
Page 501 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 60. SUPPORT IPV6 écouter sur les deux protocoles. Active Update Les fonctions de protection applicative prises en charge par Active Update (Antispam, Antivirus, etc.) peuvent récupérer leurs mises à jour depuis un serveur miroir disposant d’une adresse IPv6.
Page 502 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 60. SUPPORT IPV6 Filtrage : IPS L’analyse protocolaire est applicable aux protocoles de niveau 7 transportés sur IPv6 (exemple : HTTP, SMTP, etc.). Qualité de service Des traitements de qualité de service peuvent être appliqués aux flux IPv6. Règles implicites IPv6 Des règles implicites propres aux services IPv6 (Annonces de routeur, DHCPv6) ont été...
Page 503 IPv6. Dans ce cas, il est nécessaire d’installer un serveur miroir de mises à jour configuré en double pile (IPv4 / IPv6) : ce dernier pourra se synchroniser en IPv4 avec les serveurs Active Update de Stormshield, et mettre à disposition ses mises à jour aux firewalls en IPv6.
Page 504 Ces alias peuvent vous permettre d’utiliser ce Firewall Stormshield Network comme un point de routage central. De ce fait, un bridge peut être connecté à différents sous-réseaux ayant un adressage différent. Pour les ajouter ou les retirer, il suffit d’utiliser les boutons d’action Ajouter et Supprimer situés au-dessus des champs du...
Page 505 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 60. SUPPORT IPV6  NOTE Si les annonces de routeur sont activées sur un bridge, ces annonces sont uniquement diffusées sur les interfaces protégées. Paramètres d'autoconfiguration Émettre les RA si Si le service DHCPv6 est activé...
Page 506 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 60. SUPPORT IPV6 Préfixes annoncés Comme il est préconisé que le préfixe annoncé soit le même que celui de l’interface, dans le cas où l’interface en spécifie plusieurs, ce champ précise le préfixe à utiliser. Préfixes Préfixe à...
Page 507 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 60. SUPPORT IPV6 Adressage IPv6 En cochant cette option, l’interface dispose d’une adresse IPv6 fixe. Renseignez cette adresse et son masque de réseau associé, en notation CIDR (exemple : 2001:db8::70/32), dans le champ situé sous la case à cocher. Une fois l’interface hors du bridge, vous avez accès aux paramètres de l’interface décrits dans la section Interface Ethernet en mode Bridge.
Page 508 Pour plus d’information sur la configuration du routage dynamique, reportez-vous à la Note Technique Routage Dynamique BIRD, disponible sur le site de Documentation Technique Stormshield. Le routage statique et le routage dynamique fonctionnent simultanément; le routage statique reste cependant prioritaire pour l’acheminement des paquets sur le réseau.
Page 509 Pour plus d’information sur la configuration du routage dynamique ou sur la migration de ZebOS vers BIRD, reportez-vous à la Note technique Routage Dynamique BIRD, disponible sur le site de Documentation Technique Stormshield. Configuration avancée Ajouter les réseaux Cette option permet d'injecter automatiquement dans la table des réseaux protégés IPv6 distribués par le...
Page 510 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 60. SUPPORT IPV6  AVERTISSEMENT Aucune vérification syntaxique n’est effectuée lors de l’envoi de la configuration du moteur de routage dynamique. 60.5.3 L’onglet « Routes de retour IPv6 » Lorsque plusieurs passerelles sont utilisées pour réaliser du partage de charge, cet onglet permet de définir la passerelle par laquelle les paquets retour doivent impérativement transiter afin de garantir la cohérence des connexions.
Page 511 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 60. SUPPORT IPV6 60.6 DHCP Les paramètres du service DHCP sont regroupés au sein de l’onglet DHCP IPv6. 60.6.1 Général Activer le service : permet d’activer le service DHCP selon 2 modes spécifiques : serveur ou relai.
Page 512 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 60. SUPPORT IPV6 Les boutons d'action Pour pouvoir ajouter ou supprimer des plages d’adresses, cliquez sur le bouton Ajouter ou le bouton Supprimer. Ajouter Permet d'ajouter une plage d’adresses. Sélectionnez ou créez une plage d’adresses IPv6 (objet réseau de type Plage d’adresses IP ).
Page 513 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 60. SUPPORT IPV6 Supprimer Permet de supprimer une réservation d’adresse IP. Si une réservation est supprimée, la machine concernée se verra attribuer aléatoirement une nouvelle adresse lors de son renouvellement. La grille affiche les objets machines pour lesquels une réservation d’adresse est effectuée (chaque objet contenant obligatoirement l’adresse IPv6 réservée), ainsi que leur identifiant unique associé...
Page 514 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 60. SUPPORT IPV6 Par défaut (heure) Pour des raisons d’optimisation des ressources réseau, les adresses IP sont délivrées pour une durée limitée. Il faut donc indiquer ici le temps par défaut pendant lequel les stations garderont la même adresse IP.
Page 515 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 60. SUPPORT IPV6 60.7 Objets Réseau Ce module est divisé en deux parties : La barre d’actions, en haut de l’écran, permettant de trier et de manipuler les objets. Deux colonnes dédiées aux objets : l’une les listant, et l’autre affichant leurs propriétés. ...
Page 516 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 60. SUPPORT IPV6 Adresse IPv6 L’adresse IPv6 du réseau sélectionné et son masque associé, en notation CIDR.  Exemple 2001:db8::/32 Afin de simplifier la saisie de l’adresse IPv6, une liste déroulante propose l’ensemble des préfixes globaux renseignés sur le Firewall.
Page 517 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 60. SUPPORT IPV6 Règle incluant des objets IPv6 et [Règle X] Les inspections applicatives s’appliqueront uniquement faisant appel aux inspections sur le trafic IPv4. applicatives (Antivirus, Antispam, filtrage URL, filtrage SMTP, filtrage FTP ou filtrage SSL) Page 515/524 sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023...
Page 518 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 61. NOMS AUTORISÉS OU INTERDITS 61. Noms autorisés ou interdits Voici les caractères autorisés ou interdits des éléments enregistrés sur votre firewall : 61.1 Nom du Firewall Le nom du firewall ne peut contenir qu’au maximum 127 caractères. Les caractères autorisés sont ...
Page 519 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 61. NOMS AUTORISÉS OU INTERDITS 61.6 Objets Caractères interdits : <tab> <space> | ! " # , = @ [ \ ] Préfixes interdits : Firewall_ Network_ ephemeral_ Global_ Noms interdits : any internet none anonymous broadcast all 61.7 Objets de type Nom DNS (FQDN) Caractères interdits :...
Page 520 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 61. NOMS AUTORISÉS OU INTERDITS 61.12 Qualité de service (QoS) 61.12.1 Files d'attente de QoS Le nom est limité à 31 caractères. Les caractères interdits sont : @ [ ] # ! \ " | <space> <tab> Le nom ne doit pas contenir les expressions réservées suivantes ...
Page 521 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 62. STRUCTURE D'UNE BASE OBJETS AU FORMAT CSV 62. Structure d'une base objets au format CSV Cette section définit, pour chaque type d'objet pouvant être importé ou exporté, la structure d'une ligne constituant la base objets au format CSV.
Page 522 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 62. STRUCTURE D'UNE BASE OBJETS AU FORMAT CSV Adresse IPv6 (optionnel), Commentaire (optionnel) : chaîne de texte encadrée par des guillemets.  EXEMPLE fqdn,www.free.fr,212.27.48.10,,"" 62.4 Réseau Type d'objet (obligatoire) : network, Nom (obligatoire) : chaîne de texte respectant les caractères acceptés (voir section Noms autorisés),...
Page 523 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 62. STRUCTURE D'UNE BASE OBJETS AU FORMAT CSV Derrnier port de la plage (obligatoire) : numéro du dernier port utilisé par la plage de ports, Commentaire (optionnel) : chaîne de texte encadrée par des guillemets. ...
Page 524 SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4 63. STRUCTURE DU FICHIER D'IMPORT DE SERVICES WEB PERSONNALISÉS (FORMAT CSV) 63. Structure du fichier d'import de services Web personnalisés (format CSV) Cette section définit, pour chaque service Web personnalisé pouvant être importé ou exporté, la structure d'une ligne constituant le fichier au format CSV.
Page 525 Les images de ce document ne sont pas contractuelles, l'aspect des produits présentés peut éventuellement varier. Copyright © Stormshield 2023. Tous droits réservés. Tous les autres produits et sociétés cités dans ce document sont des marques ou des marques déposées de leur détenteur respectif.

Ce manuel est également adapté pour:

Sn-m-serie-720 Sn-m-serie-920 Network security Sn160 Sn160w Sn210 ... Afficher tout

Stormshield SN-M-Serie-520 Manuel D'utilisation Et De Configuration

Liens rapides

Manuels Connexes pour Stormshield SN-M-Serie-520

Sommaire des Matières pour Stormshield SN-M-Serie-520

Ce manuel est également adapté pour: