Cheat Sheet Stormshield NSRPC

Formation Stormshield Network Security

Tutorial Thumbnail
  1. Tutoriels
  2. Stormshield
  3. Cheat Sheet Stormshield NSRPC

Les firewalls Stormshield Network Security embarquent une interface en ligne de commandes CLI (en anglais Command Line Interface, Interface en ligne de commande), constituĂ©s d’un jeu de commandes propriĂ©taire. Les commandes sont accessibles via un Shell et elles permettent de configurer et de superviser toutes les fonctionnalitĂ©s du firewall.


Sommaire
  1. Présentation
  2. Quelques commandes utiles
    1. SystĂšme
      1. AccĂšs administration
        1. Modifier la langue de la session courante (ici en Français)
        2. Obtenir les droits d'Ă©criture
        3. Changer la longueur minimale du mot de passe
        4. Changer le mot de passe d'accĂšs
      2. Administration WEB
        1. DĂ©finir le port d'administration de l'interface WEB (ici avec l'objet "https" : port TCP 443)
        2. Autoriser l'administration par tout le monde (gestion de l'ACL)
      3. Administration SSH
        1. Activer l'accĂšs par SSH avec utilisation du mot de passe comme moyen d'identification
      4. RĂ©seau
        1. Interfaces réseau
          1. Connaßtre le nom des interfaces réseau
          2. Renommer une interface réseau
          3. Sortir une interface réseau du "bridge"
          4. Changer les paramĂštres d'une interface
          5. Création d'un pont réseau
        2. Routage
          1. Afficher la route par défaut
          2. Définir une route par défaut
          3. Afficher la configuration du routage dynamique
          4. Afficher la configuration du MODEM
        3. Supervision
          1. Afficher la configuration SNMP
        4. Filtrage
        5. Rechercher une nouvelle mise Ă  jour systĂšme
      5. Conclusion

Présentation

L’accĂšs au Shell CLI se fait via un protocole propriĂ©taire Stormshield sĂ©curisĂ© qui est le NSRPC (pour NETASQ Secure Remote Procedure Call). Deux mĂ©thodes d'accĂšs sont proposĂ©es par le firewall Ă  savoir :

  • Une connexion en local sur le firewall (ligne de commande et interface web) sur le pare-feu,
  • Depuis une machine Ă  distance en utilisant un client de connexion console exĂ©cutables dĂ©diĂ©s sous Windows et Linux. Les commandes CLI peuvent ĂȘtre regroupĂ©es dans un fichier texte pour former un script CLI qui peut ĂȘtre, Ă  son tour, exĂ©cutĂ© en local ou Ă  distance.

L'interface Web privilégié par Stormshield est semblable à celle-ci :



Console graphique CLI NSRPC



Cette console, aujourd'hui remplacée par le client natif NSRPC de Stormshield est utile afin d'apporter une configuration spécifique au pare-feu. Par exemple, vous pouvez créer des objets spécifiques, comme modifier ou spécifier une configuration réseau particuliÚre.


Un document PDF trÚs complet proposé par Stormshield vous permets d'obtenir un regroupement global des commandes CLI afin de créer par exemple une configuration réseau particuliÚre, un objet... (ref : CLI - Configuration technique de base SNS). Il est à noter que les commandes CLI effectuées sont les commandes interprétées par l'interface IHM graphique du firewall.


L'écosystÚme des produits SNS firewall de Stormshield se reposent sur ce langage de commande. L'interface Web d'administration repose sur cet interpréteur de commande NSRPC de SNS.


En voici un exemple :



Un exemple d'un script NRPC



De plus, il est assez assez utilisé dans le cadre d'un déploiement centralisé avec Stormshield Management Center de déployer des scripts de configuration sur des firewalls distants à l'aide d'un script NSRPC. Depuis l'interface de ligne de commande.


Vous pouvez ajouter un script dans le répertoire de scripts sur le serveur SMC et l'exécuter immédiatement, exécuter un script déjà stocké sur le serveur SMC, ajouter un script dans le répertoire de scripts sur le serveur SMC, supprimer un script du répertoire de scripts du serveur SMC, afficher la liste des scripts stockés sur le serveur SMC.

Quelques commandes utiles

Voici quelques commandes essentielles afin de configurer le SNS avec le NSRPC.


SystĂšme

AccĂšs administration

Modifier la langue de la session courante (ici en Français) :

SYSTEM SESSION language=fr


Obtenir les droits d'Ă©criture :

MODIFY on force


Obtenir les droits RGPD sur les logs (visualiser adresses IP, réseaux...) :

MODIFY monitor on force


Changer la longueur minimale du mot de passe :

CONFIG PASSWDPOLICY SET minLength=5 minSetOfChars=None
CONFIG PASSWDPOLICY ACTIVATE


Changer le mot de passe d'accĂšs :

CONFIG CONSOLE SETPASSPHRASE oldpassword=admin newpassword=P@sSw0rd!
CONFIG CONSOLE ACTIVATE


Administration WEB

DĂ©finir le port d'administration de l'interface WEB (ici avec l'objet "https" : port TCP 443) :

CONFIG WEBADMIN PORT https
CONFIG WEBADMIN ACTIVATE


Autoriser l'administration par tout le monde (gestion de l'ACL) :

CONFIG WEBADMIN ACCESS ADD Any


... ou autoriser un réseau en particulier :

CONFIG WEBADMIN ACCESS ADD Network_in


Enlever les permissions générales :

CONFIG WEBADMIN ACCESS REMOVE Any


Administration SSH

Activer l'accĂšs par SSH avec utilisation du mot de passe comme moyen d'identification :

CONFIG CONSOLE SSH state=1 userpass=1 port=ssh
CONFIG CONSOLE ACTIVATE
RÚgle de filtrage supplémentaire ou rÚgle implicite permets d'administration SSH dans les réseaux protégés du SNS.


DĂ©sactiver l'accĂšs avec l'arrĂȘt du service (state = 0) et sans mot de passe (userpass = 0) :

CONFIG CONSOLE SSH state=0 userpass=0 port=ssh
CONFIG CONSOLE ACTIVATE


Afficher la configuration courante du service SSH :

CONFIG OBJECT GET type=service name=ssh


RĂ©seau

Interfaces réseau

Connaßtre le nom des interfaces réseau :

CONFIG NETWORK INTERFACE SHOW


Renommer une interface réseau :

CONFIG NETWORK INTERFACE RENAME ifname=ethernet0 name=Port_1


Sortir une interface réseau du "bridge" :

CONFIG NETWORK INTERFACE UPDATE state=0 bridge= ifname=ethernet0
CONFIG NETWORK INTERFACE ACTIVATE


La remettre dans le "bridge" :

CONFIG NETWORK INTERFACE UPDATE state=1 bridge=bridge0 ifname=ethernet0
CONFIG NETWORK INTERFACE ACTIVATE


Changer les paramĂštres d'une interface

CONFIG NETWORK INTERFACE ADDRESS UPDATE ifname=bridge0 address=10.0.0.254 mask=255.255.255.0 addrnb=0 addressComment=Interface DMZ 2
CONFIG NETWORK INTERFACE ACTIVATE


Création d'un pont réseau

Création d'un pont nommé "brDemo" , ayant comme passerelle "10.28.0.254/24" contenant les interfaces 3 & 4 :

CONFIG NETWORK INTERFACE CREATE mtu=1500 name=brDemo interfaces=ethernet3,ethernet2 ifname=bridge1 address=10.28.0.254 mask=255.255.255.0 addressComment=
CONFIG NETWORK INTERFACE ACTIVATE


Routage

Afficher la route par défaut

CONFIG NETWORK DEFAULTROUTE SHOW


Définir une route par défaut

Créer un objet machine ayant comme nom "defaultGW", description "Passerelle par défaut - FAI" et adresse IP "192.168.0.254" :

CONFIG OBJECT HOST NEW name=defaultGW comment="Passerelle par défaut - FAI" ip="192.168.0.254"
CONFIG OBJECT ACTIVATE


Définir l'objet créé précédemment comme route par défaut (objet defaultGW) :

CONFIG NETWORK DEFAULTROUTE SET type=ipv4 name=defaultGW
CONFIG NETWORK DEFAULTROUTE ACTIVATE


Supprimer l'objet machine "defaultGW" :

CONFIG OBJECT HOST DELETE name=defaultGW force=1
CONFIG OBJECT ACTIVATE


Afficher la configuration du routage dynamique :

CONFIG BIRD SHOW


Afficher la configuration du MODEM :

CONFIG MODEM SHOW


Supervision

Afficher la configuration SNMP

CONFIG SNMP SHOW


Filtrage

Passer la politique de filtrage Ă  "tout passant" :

CONFIG SLOT ACTIVATE type=filter slot=10


Rechercher une nouvelle mise Ă  jour systĂšme

SYSTEM UPDATE CHECK force=1


Conclusion

Gardez à l'esprit qu'il n'est pas nécessaire de connaitre pour l'écosystÚme des commandes NSRPC pour le moment. Les commandes CLI sont réservées pour un utilisateur à l'aise avec la configuration de l'UTM SNS et ayant un niveau expert.


La notion de gestion du pare-feu en ligne de commande NSRPC sera Ă©tudiĂ© par la suite de la formation proposĂ©e sur le site 😉

Niveau DĂ©butant

Technologie utilisée :

Proposer une modification
Antoine
Par Antoine
Rédigé le Vendredi 07 Janvier 2022