Comme tout systÚme d'information, il est nécessaire de configurer convenablement la solution en indiquant un nom d'appareil explicite, la langue des fichiers journaux et de la console ou bien de gérer la liste d'accÚs aux pages d'administration du pare-feu.
Configuration générale
Le premier onglet de configuration est Configuration Générale. C'est à cet endroit que nous modifions les options générales du pare-feu à savoir son nom, la langue des traces (logs) du pare-feu et ainsi que la langue du clavier en mode console.
Vous pouvez spécifier un nom au firewall, par défaut le numéro de série du produit. Le nom du firewall doit contenir des caractÚres alphanumériques, des symboles tels que -, _ et . et ne doit pas dépasser 127 caractÚres.
Configuration générale
Modifier la langue des fichiers journaux & du clavier
Dans le modÚle SNS de formation fournit, spécifier la langue de traduction de votre choix. Ces paramÚtres sont applicables pour le choix de traduction des traces et du clavier en mode console. Plusieurs langues sont disponible pour la langue du clavier : le français, l'anglais, l'italien, le polonais et le suisse. Cependant, seul le français, l'anglais est disponible pour la langue des fichiers journaux (ou trace, comme Stormshield nomme ainsi).
Choix de la langue des fichiers journaux dans le Monitoring SNS et la langue du clavier en mode console
ParamĂštres cryptographiques
Une premiÚre option "Activer la récupération réguliÚre des listes de révocations de certificats (CRL)" active la récupération effectuée toute les 6 heures des listes de révocations de certificat présentes sur les certificats se trouvant dans la configuration locale du pare-feu.
Un paramÚtre lié au précédent, est l'activation du mode "Diffusion Restreinte (DR)". Ce mode mets en conformité le produit dans son utilisation en terme de sécurité exigé par l'Agence nationale de la sécurité des systÚmes d'information (ANSSI) dans la vérification de la version IKEv2 du VPN IPSec du pare-feu et la vérification des meilleurs algorithmes de sécurité et matériels proposés sur le produit. Si les exigences suivantes ne sont pas respectées, un avertissement sera levé (visible d'ailleurs directement sur la tableau de bord du pare-feu).
ParamĂštres cryptographiques
Adopter une politique de mots de passe générale
La politique de mots de passe définit la longueur minimale et les caractÚres obligatoires des mots de passe créés dans les différents menus du firewall (par exemple : mots de passe des utilisateurs dans l'annuaire interne (LDAP), mots de passe qui protÚgent les fichiers de sauvegarde, mots de passe des certificats créés au niveau du firewall).
Par dĂ©faut, la longueur minimale est fixĂ©e Ă 8 caractĂšres et aucun type de caractĂšre ne sera obligatoire. Enfin, la longueur de l'entropie minimale est fixĂ©e Ă 20. Cependant, lâadministrateur peut imposer des mots de passe alphanumĂ©riques seulement ou alphanumĂ©riques avec des caractĂšres spĂ©ciaux, et modifier la valeur minimale de lâentropie des mots de passe.
Lâentropie dĂ©finit le niveau de robustesse du mot de passe. Plus elle est Ă©levĂ©e, plus la robustesse du mot de passe doit ĂȘtre importante. Elle tient compte de la longueur du mot de passe et de la taille du jeu de caractĂšres utilisĂ©.
Modifier l'heure du pare-feu
Cet endroit permets à l'administrateur de modifier les paramÚtres horaires du firewall : la date, l'heure et le fuseau horaire. Les paramÚtres horaires sont trÚs importants sur un systÚme informatique comme sur le pare-feu car la date et l'heure est utilisée pour de nombreuses fonctionnalités comme les mises à jour Active Update, mise à jour du firmware, les fichiers journaux...
Ajuster la date et l'heure du firewall
Au choix, vous avez la possibilité d'ajuster la date et heure du jour manuellement, synchroniser le pare-feu avec l'heure locale de votre navigateur, ou alors synchroniser les paramÚtres horaires depuis un ou plusieurs serveurs NTP (Network Time Protocol) de votre choix. Cette derniÚre option est recommandée afin de prévenir contre tout changement d'heure inopiné, tels que le passage à l'heure d'hivers. Par défaut, Stormshield propose deux de ses serveurs. Vous pouvez bien évidemment mettre vos propres serveurs, soit 15 serveurs au maximum. Une fois les modifications enregistrées, cette procédure nécessitera un redémarrage systÚme.
Administration du firewall
Dans l'administration du firewall, c'est Ă cet endroit que vous aller pouvoir modifier le comportement de la page de connexion du pare-feu. Vous allez pouvoir dĂ©finir le port d'Ă©coute de l'interface, quels sont les machines Ă accĂ©der Ă cet interface, paramĂ©trer le systĂšme de brute force de connexion et mĂȘme ajouter un avertissement MOTD, et Ă©galent configurer le serveur SSH interne au SNS.
Paramétrage avancé de l'interface d'administration
Parmi l'ensemble des paramÚtres, le premier encadré en rouge offre la possibilité de désactiver l'accÚs administratif au firewall depuis le compte admin. Attention à bien créer un utilisateur disposant des droits équivalents au compte admin, sinon il ne sera plus possible de se connecter depuis le compte admin.
EncadrĂ© en vert, vous pouvez dĂ©finir le port d'Ă©coute de l'interface Web d'administration du pare-feu. Par dĂ©faut, celle-ci Ă©coute sur le port standard 443 (HTTPS). Par exemple, cette fonctionnalitĂ© peut ĂȘtre utilisĂ©e dans le cadre d'une translation entre un serveur Web et un pare-feu et ayant besoin donc du port 443. Dans ce cas, la nouvelle adresse d'administration du pare-feu sera https://<ip>:<port>/admin. Vous avez Ă©galement un raccourcis qui vous renverra dans la configuration du certificat SSL de l'interface Web.
En bleu, vous avez la possibilité de paramétrer pour tous les utilisateurs la durée d'inactivité sur l'interface Web d'administration du pare-feu. Nous avons vu précédemment comment pouvons nous définir le temps d'inactivité maximale pour le compte actuel connecté, donc cette option sera appliquée pour tous les comptes. Si la durée globale configurée est inférieure à celle configurée par l'utilisateur, alors le temps de l'utilisateur sera pris en compte. Dans le cas contraire, le temps global écrasera le temps de l'utilisateur.
Enfin, encadrĂ© en orange, vous avez la possibilitĂ© d'activer ou non la protection contre les attaques brute force pour l'accĂšs Ă lâinterface Web d'administration. Le nombre de tentatives ainsi que le temps dâattente, exprimĂ© en minutes, sont paramĂ©trables. Par dĂ©faut, aprĂšs 3 tentatives dâauthentification, l'accĂšs depuis cette adresse IP sera bloquĂ© pendant 1 minute.
AccĂšs aux pages d'administration du firewall
Vous avez la possibilité de restreindre l'accÚs à l'interface Web d'administration aux réseaux autorisés à afficher l'écran de connexion. L'administrateur peut ajouter des machines, des réseaux ou une plage d'adresses réseaux afin d'autoriser cet accÚs. Stormshield fonctionne par notion d'objet réseau. Par défaut, seuls les réseaux internes représentés par l'objet "Network_internals" ou alors tous les réseaux représentés par "Any" sont autorisés à y accéder. La notion des objets sera consacrée dans un chapitre, plus tard dans la formation.
Ajouter une adresse, un réseau ou une plage IP afin d'autoriser l'accÚs à la page d'administration
Les adresses, réseaux ou une plages IP n'ayant pas les autorisations d'accÚs ont une page d'erreur, semblable à celle-ci ou dans certains cas, si aucun service HTTPS n'est autorisé, le serveur HTTP sera injoignable :
Si la machine ou réseau n'est pas enregistré dans l'ACL du SNS
En tant qu'administrateur réseau, adoptez de bonnes pratiques de sécurité en créant un réseau d'administration sans accÚs à Internet afin d'accéder à l'administration des systÚmes de sécurité. Le principal avantage est de renforcer la sécurité du réseau en séparant les accÚs administratifs du réseau principal et ainsi régulariser les accÚs en fonction des utilisateurs autorisés. De ce fait, vous autoriserais uniquement l'administration du SNS à destination du réseau d'administration.
Dans le cas oĂč vous avez effectuĂ© une mauvaise manipulation et que vous n'avez plus accĂšs Ă l'interface d'administration, il vous est possible de modifier la liste des objets de l'ACL depuis la console CLI du pare-feu :
# Pour autoriser tous le monde à accéder à l'interface
CONFIG WEBADMIN ACCESS ADD any
# Certains objets ont accĂšs Ă l'interface
ï»żCONFIG WEBADMIN ACCESS ADD HOST_OBJECT
# On active la configuration de l'interface d'administration (important)
CONFIG WEBADMIN ACTIVATE
Le dĂ©nommĂ© HOST_OBJECT est un objet machine mais peut ĂȘtre Ă©galement un objet rĂ©seau, une plage dâadresses IP ou lâobjet any, qui autorise tous le monde.
Avertissement pour l'accĂšs Ă l'interface d'administration
Dans certain cas et se mettant en conformitĂ©, vous avez la possibilitĂ© d'ajouter un texte d'avertissement (disclaimer) sur la page de connexion Ă l'interface Web d'administration du firewall. Il s'affiche alors Ă droite de la fenĂȘtre d'authentification et nĂ©cessite un clic sur le bouton J'ai compris afin de valider la lecture du message et accĂ©der Ă la connexion. Le message restera tout de mĂȘme visible pendant la connexion. Le fichier contenant ce texte peut-ĂȘtre chargĂ© sur le firewall Ă l'aide du sĂ©lecteur de fichiers.
Importation d'un message d'avertissement sur la page de connexion du SNS
Le fichier peut ĂȘtre au format HTML afin de mettre en Ă©vidence un Ă©lĂ©ment clĂ© du texte affichĂ©, mais ne doit pas comporter de code JavaScript. Une fois le fichier enregistrĂ© sur le firewall, son contenu peut ĂȘtre affichĂ© Ă l'aide du bouton 
. Vous avez également la possibilité d'enlever le message et supprimer l'avertissement en cliquant sur 
. Un fichier disclamer est disponible au téléchargement, en guise d'exemple.
Vous obtenez ainsi le rendu suivant :
Message d'avertissement avant toute connexion au pare-feu Stormshield
AccĂšs distant par SSH
L'accÚs à la console systÚme du pare-feu Stormshield à distance est possible. Grùce au serveur SSH (Secure Shell) intégré, c'est un protocole qui permet de se connecter à une machine distante avec une liaison sécurisée. Les données sont chiffrées entre le pare-feu et la machine cliente par le biais d'un certificat SSL.
Le SSH permet également d'exécuter des commandes sur un serveur distant dans un terminal, mais également transférer des fichiers à l'aide d'un client SCP (Filezilla, WinSCP...).
Activation du service SSH sur le firewall
En activant l'accÚs par SSH, vous autorisez la connexion uniquement par l'échange de paires de clés privés & publiques. Pour un accÚs simple avec utilisateur et mot de passe, activez l'option "Autoriser l'utilisation de mot de passe". à noter que cette option n'est accessible que si l'activation du service SSH a été effectuée.
Cette commande peut s'effectuer depuis la console CLI du pare-feu :
# Pour activer le SSH avec l'utilisation du mot de passe "admin" et définir un port particulier (objet)
CONFIG CONSOLE SSH state=1 userpass=1 port=ssh
# DĂ©sactivation de l'accĂšs SSH
CONFIG CONSOLE SSH state=0
# Prise en compte de la configuration (important)
CONFIG CONSOLE ACTIVATE
Dans les fichiers de configuration du SNS, rendez-vous dansConfigFiles/webadminafin d'Ă©diter l'ACL
Vous pouvez spĂ©cifier un port d'Ă©coute diffĂ©rent de celui par dĂ©faut (port 22 TCP) pour des raisons spĂ©cifiques. Cependant, el port doit ĂȘtre obligatoirement utiliser le protocole TCP.
ParamÚtres réseaux
Les paramÚtres réseaux sont présents afin de configurer les paramÚtres de connectivité du pare-feu comme le support IPV6, la résolution DNS et les paramÚtres Proxy.
ParamÚtres réseaux
Le support IPv6
Le support IPv6 du pare-feu peut ĂȘtre optionnellement activĂ© afin de profiter des fonctionnalitĂ©s comme lors de l'attribution d'adresse IPv6 sur des interfaces, routage, le VPN, filtrage IPv6. Ă noter que cette actions est irrĂ©versible est que le seul moyen de dĂ©sactiver le service est de restaurer une configuration antĂ©rieure ou une remise Ă la configuration usine (reset) du firewall. En activant cette option, le pare-feu nĂ©cessitera un redĂ©marrage.
Prise en charge support IPv6
C'est pour cela que l'assistant IPV6 vous impose d'effectuer une sauvegarde du firewall.
Imposer une sauvegarde de configuration avant l'activation de IPv6
Serveur Proxy
Vous avez la possibilitĂ© de spĂ©cifier un serveur Proxy avec des options de connexions optionnelles. Cette option peut ĂȘtre nĂ©cessaire dans la transition du pare-feu vers un rĂ©seau externe nĂ©cessitant un serveur Proxy pour d'accĂ©der Ă Internet.
Spécifier un serveur Proxy
RĂ©solution DNS
La résolution DNS est importante afin de résoudre les noms de domaines des serveurs pointant vers un domaine DNS. Par exemple, lors d'une résolution d'objets dynamiques par une adresse IP, l'UTM sera capable de rendre en retour l'adresse IP derriÚre le nom de domaine ; ou bien essentiellement la résolution des serveurs Stormshield (serveurs de mises à jour, NTP...).
Serveurs DNS pour le pare-feu SNS
Par défaut, Stormshield a choisi d'utiliser les serveurs DNS de Google, pointant vers les adresses IP 8.8.8.8 & 8.8.4.4. Vous avez la possibilité d'utiliser d'autres serveurs DNS (2 au minimum conseillé pour la disponibilité) comme par exemple ceux de Cloudflare (1.1.1.1) ou bien ceux de Quad9 (9.9.9.9).
L'ordre des serveurs DNS, dans la liste des serveurs DNS utilisĂ©s par le firewall, fonctionne par maniĂšre logique Ă savoir que si, par exemple, deux requĂȘtes DNS cherchent Ă ĂȘtre rĂ©solu, la premiĂšre requĂȘte fera appel au premier serveur prĂ©sent au dĂ©but de la liste DNS. Ensuite, la seconde requĂȘte fera appel au second serveur DNS afin de rĂ©soudre le deuxiĂšme noms, et ainsi de suite. C'est pour cela qu'il est conseillĂ© de spĂ©cifier au minimum deux serveurs DNS afin de respecter une redondance et diviser la charge considĂ©rablement, mĂȘme si la diffĂ©rence n'est pas toujours flagrante.
Dans le cadre d'une configuration technique spĂ©cifique du pare-feu, oĂč ce dernier doit rĂ©soudre des domaines sur des serveurs DNS locaux, il est trĂšs important de ne pas mĂ©langer des serveurs publics et privĂ©s. Dans le cas contraire, ils seront incapables de rĂ©soudre les noms de domaines privĂ©s.
