Un pare-feu physique Stormshield Network Security (SNS) présentent sur tous ses modèles des ports USB (2.0 & 3.0) dans lequel offre la possibilité de brancher une clé 4G, souvent afin d'offrir une tolérance de panne et une redondance réseau. Voyons ensemble comment ajouter une nouvelle interface USB pour une clé 4G.

Introduction

Bien que ce tutoriel a été réalisé avec une clé 4G Huawei & SNS 4.x, cette méthode est quasiment similaires pour les autres clés USB disponibles sur le marché. Utilisez la documentation du constructeur afin d'ajuster ce tutoriel

Cette fonctionnalité n'est disponible que pour les pares-feux disposant d'une carte USB.

Récupérer les informations nécessaires à la configuration

Avant de configurer l'interface modem pour la clé 4G, il est nécessaire de récupérer des informations tel que le VendorID, le ProductIDInit, ModeSwitchString et le ProductID.

Ces informations servent à identifier précisément le type d'appareil afin de garantir le meilleur dialogue possible entre le SNS et la clé 4G.

Récupérer les informations de configuration VendorId & ProductIdInit

Connectez vous à la console du pare-feu en console ou via le protocole sécurisé SSH à l'aide d'un logiciel de type Putty ou MobaXTerm. Activez le mode debug pour le gestionnaire de modems 3G/4G à l'aide de la commande suivante :

sysctl hw.usb.u3g.debug=1

Connectez votre modem au port USB du firewall et spécifiez la commande suivante :

ndmesg

Identifiez les lignes commençant par la chaîne u3g_test_autoinst et relevez le couple de paramètres présentés entre parenthèses derrière le nom du constructeur du modem :

Exemple:

[2023-03-17 09:01:00]ugen4.2: <XXX> at usbus4
[2023-03-17 09:01:00]u3g_test_autoinst: checking if device XXX:XXX (12d1:1f01) is a umass device and needs to be ejected
[2023-03-17 09:01:00]u3g_test_autoinst: device XXX:XXX (12d1:1f01) was not matched => will not be ejected
[2023-03-17 09:01:00]umass0: <Mass Storage> on usbus4

Pour le modem de cet exemple, le VendorID est "12d1" et le ProductIDInit est "1f01".

Récupérer les informations ModeSwitchString & ProductID

Consultez le fichier device_reference.txt, disponible sur le site de Draisberghof.de, qui va ainsi regrouper un grand nombre de références de modems.

Recherchez dans ce fichier la valeur de ProductIDInit relevée précédemment. Elle correspond à la chaîne DefaultProduct.

Les paramètres associés ProductID et ModeSwitchString y sont alors respectivement identifiés par les chaînes TargetProduct et MessageContent.

Exemple :

######################################################## 
# Huawei E352
#
# Contributor: Antonio Talarico

DefaultVendor= 0x12d1     <<---- = Identifiant constructeur (VendorID)
DefaultProduct=0x1449     <<---- = Identifiant initial du produit (ProductIDInit)

TargetVendor=  0x12d1     <<---- = Identifiant constructeur (VendorID)
TargetProduct= 0x1444     <<---- = Identifiant cible de produit (ProductID)

MessageContent="55534243123456780000[...]000100000000000000"     <<---- = Identifiant cible de produit (ModeSwitchString)

Configuration de l'interface sur le SNS

Afin de créer cette nouvelle interface pour notre clé 4G, rendez-vous dans le menu de votre pare-feu depuis l'interface Web d'administration dans : CONFIGURATION > RÉSEAU > Interfaces. Sélectionnez ensuite le bouton Ajouter, puis Interface USB/Ethernet (Clé USB/Modem) :

Créer une interface USB / Ethernet

Il est nécessaire de configurer au moins un profil de modem pour la clé 4G. Prenons le temps de configurer dans un premier temps le profil de modem associé à la clé USB.

À noter qu’il est important de brancher la clé 4G Huawei sur le port 3.0 (port USB bleu).

Vous apercevez à l’écran une boite de dialogue nous demandant de renseigner quelques informations sur le modèle de la clé 4G.

Renseignez les champs de renseignements d’information dans les paramètres généraux, à l’aide des informations suivantes :

• Nom : Huawei 4G
• Modèle : HUAWEI E3372h
• Identifiant constructeur : 12d1 (VendorID)
• Identifiant initial du produit : 1f01 (ProductIdInit)
• Identifiant cible de produit : 14dc
• Identifiant cible de produit : 55534243123456780000000000000011062000000101000100000000000000 (ProductId)

Cliquez ensuite sur "Paramètres avancés" :

Changer le « port des commandes de configuration » de 0 vers 1. Les autres champs ne sont pas nécessaires.

Appliquer ensuite et enregistrer la configuration actuelle en cliquant sur "Appliquer".

Si cette erreur ci-dessous apparait, veuillez vérifier les « Identifiant cible de produit » et la « Chaine de passage en mode modem ». Ces champs ont effectivement été intervertit depuis la version 4 de Stormshield Network Security. Vérifiez ensuite les champs de saisie.

Une fois l'enregistrement effectués, il est nécessaire de redémarrer ensuite votre pare-feu Stormshield afin d’appliquer les modifications effectuées. Un bouton de redémarrage sera présent en haut à droite de l’interface Web dans la barre de menu :

Une fois le redémarrage effectué, vous devez normalement avoir l’interface configurée dans CONFIGURATION > RÉSEAU > Interfaces :

Enregistrez ensuite les modifications en appuyant sur le bouton Appliquer, situé en bas de la page.

Configurer le NAT

Notre périphérique est maintenant installé, configurons ensuite les Règles de filtrages et NAT. Veuillez vous situer dans l’onglet de configuration du Filtrage et NAT, puis, ensuite, se diriger dans la section « Politique de Sécurité », puis « Filtrage et NAT ». Nous allons ajouter une règle NAT en critère (10) Pass all.

Ajouter par la suite une Nouvelle règle, puis Règle de partage d’adresse source (masquerading).

Renseignez comme source : « Network_internals » à destination « Any », port de destination « Any », source « Firewall_usbethernet ».

Vérifier que dans le port source translaté vous avez bien l’objet « ephemeral_fw ».

Enregistrer vos modifications avec le bouton « Appliquer » puis activez ensuite la politique « Pass All » :

Configuration du routage

Configurer ensuite le Routage. Pour cela, rendons-nous dans CONFIGURATION > RÉSEAU > Routage.

Sélectionnez ensuite « Routes Statiques IPV4 », et sélectionnez la passerelle par défaut pour le routeur « Firewall_usbethernet_router».

Sauvegardez ensuite vos modifications avec le bouton .

Vérifier la connexion

Afin de récupérer l’adresse IP de l’interface de la clé 4G, déplacez votre curseur en direction de Firewall_usbethernet_router :

Vous visionnez l’adresse IP du routeur de la clé Huawei (dans cet exemple : 192.168.8.1). Vous obtenez ensuite, en copiant/coller dans un navigateur l’adresse IP, cette interface suivante :

On peut alors effectuer rapidement un test afin de vérifier la connectivité à Internet en effectuant une requête Ping vers les DNS de Cloudflare depuis la console CLI / NSRPC (CONFIGURATION > SYSTÈME > Console CLI) :

NSRPC> SYSTEM PING host=1.1.1.1

Ou bien directement sur la console SSH du SNS :

SNSFW1-SN910Axxxxxxxxx>ping 1.1.1.1
PING 1.1.1.1 (1.1.1.1): 56 data bytes
64 bytes from 1.1.1.1: icmp_seq=0 ttl=55 time=12.671 ms  <<---- ICMP Echo/Reply OK
64 bytes from 1.1.1.1: icmp_seq=1 ttl=55 time=13.005 ms
64 bytes from 1.1.1.1: icmp_seq=2 ttl=55 time=12.868 ms
64 bytes from 1.1.1.1: icmp_seq=3 ttl=55 time=13.052 ms

Lien vers la KB constructeur : https://kb.stormshield.eu/en/network-security/sns-appliance/network/interfaces/modem/modems/how-to-find-all-the-parameters-needed-to-configure-my-3g-4g-modem

Src. : https://documentation.stormshield.eu/SNS/v4/fr/Content/Configuring_a_3G-4G_modem_on_SNS/11-Gathering-VendorID-and-ProductIdInit.htm

Conclusion

Et voilà ! Maintenant, vous avez un petit bagage sur la configuration d'une clé 4G. Bien que la procédure a été décrite avec une clé Huawei pour un Stormshield, la configuration est assez similaires pour d'autres clés 4G. Je vous invite donc à vous renseigner à ce sujet pour plus d'informations complémentaires

Pour toute suggestion / amélioration du tutoriel, n'hésitez-pas à Proposer une modification !