Comme tout système d'information, il est nécessaire de configurer convenablement la solution en indiquant un nom d'appareil explicite, la langue des fichiers journaux et de la console ou bien de gérer la liste d'accès aux pages d'administration du pare-feu.

Configuration générale

Le premier onglet de configuration est Configuration Générale. C'est à cet endroit que nous modifions les options générales du pare-feu à savoir son nom, la langue des traces (logs) du pare-feu et ainsi que la langue du clavier en mode console.

Vous pouvez spécifier un nom au firewall, par défaut le numéro de série du produit. Le nom du firewall doit contenir des caractères alphanumériques, des symboles tels que -, _ et . et ne doit pas dépasser 127 caractères.

Configuration générale

Modifier la langue des fichiers journaux & du clavier

Dans le modèle SNS de formation fournit, spécifier la langue de traduction de votre choix. Ces paramètres sont applicables pour le choix de traduction des traces et du clavier en mode console. Plusieurs langues sont disponible pour la langue du clavier : le français, l'anglais, l'italien, le polonais et le suisse. Cependant, seul le français, l'anglais est disponible pour la langue des fichiers journaux (ou trace, comme Stormshield nomme ainsi).

Choix de la langue des fichiers journaux dans le Monitoring SNS et la langue du clavier en mode console

Paramètres cryptographiques

Une première option "Activer la récupération régulière des listes de révocations de certificats (CRL)" active la récupération effectuée toute les 6 heures des listes de révocations de certificat présentes sur les certificats se trouvant dans la configuration locale du pare-feu.

Un paramètre lié au précédent, est l'activation du mode "Diffusion Restreinte (DR)". Ce mode mets en conformité le produit dans son utilisation en terme de sécurité exigé par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) dans la vérification de la version IKEv2 du VPN IPSec du pare-feu et la vérification des meilleurs algorithmes de sécurité et matériels proposés sur le produit. Si les exigences suivantes ne sont pas respectées, un avertissement sera levé (visible d'ailleurs directement sur la tableau de bord du pare-feu).

Paramètres cryptographiques

Adopter une politique de mots de passe générale

La politique de mots de passe définit la longueur minimale et les caractères obligatoires des mots de passe créés dans les différents menus du firewall (par exemple : mots de passe des utilisateurs dans l'annuaire interne (LDAP), mots de passe qui protègent les fichiers de sauvegarde, mots de passe des certificats créés au niveau du firewall).

Par défaut, la longueur minimale est fixée à 8 caractères et aucun type de caractère ne sera obligatoire. Enfin, la longueur de l'entropie minimale est fixée à 20. Cependant, l’administrateur peut imposer des mots de passe alphanumériques seulement ou alphanumériques avec des caractères spéciaux, et modifier la valeur minimale de l’entropie des mots de passe. 

L’entropie définit le niveau de robustesse du mot de passe. Plus elle est élevée, plus la robustesse du mot de passe doit être importante. Elle tient compte de la longueur du mot de passe et de la taille du jeu de caractères utilisé.

Modifier l'heure du pare-feu

Cet endroit permets à l'administrateur de modifier les paramètres horaires du firewall : la date, l'heure et le fuseau horaire. Les paramètres horaires sont très importants sur un système informatique comme sur le pare-feu car la date et l'heure est utilisée pour de nombreuses fonctionnalités comme les mises à jour Active Update, mise à jour du firmware, les fichiers journaux...

Ajuster la date et l'heure du firewall

Au choix, vous avez la possibilité d'ajuster la date et heure du jour manuellement, synchroniser le pare-feu avec l'heure locale de votre navigateur, ou alors synchroniser les paramètres horaires depuis un ou plusieurs serveurs NTP (Network Time Protocol) de votre choix. Cette dernière option est recommandée afin de prévenir contre tout changement d'heure inopiné, tels que le passage à l'heure d'hivers. Par défaut, Stormshield propose deux de ses serveurs. Vous pouvez bien évidemment mettre vos propres serveurs, soit 15 serveurs au maximum. Une fois les modifications enregistrées, cette procédure nécessitera un redémarrage système.

Administration du firewall

Dans l'administration du firewall, c'est à cet endroit que vous aller pouvoir modifier le comportement de la page de connexion du pare-feu. Vous allez pouvoir définir le port d'écoute de l'interface, quels sont les machines à accéder à cet interface, paramétrer le système de brute force de connexion et même ajouter un avertissement MOTD, et égalent configurer le serveur SSH interne au SNS.

Paramétrage avancé de l'interface d'administration

Parmi l'ensemble des paramètres, le premier encadré en rouge offre la possibilité de désactiver l'accès administratif au firewall depuis le compte admin. Attention à bien créer un utilisateur disposant des droits équivalents au compte admin, sinon il ne sera plus possible de se connecter depuis le compte admin.

Encadré en vert, vous pouvez définir le port d'écoute de l'interface Web d'administration du pare-feu. Par défaut, celle-ci écoute sur le port standard 443 (HTTPS). Par exemple, cette fonctionnalité peut être utilisée dans le cadre d'une translation entre un serveur Web et un pare-feu et ayant besoin donc du port 443. Dans ce cas, la nouvelle adresse d'administration du pare-feu sera https://<ip>:<port>/admin. Vous avez également un raccourcis qui vous renverra dans la configuration du certificat SSL de l'interface Web.

En bleu, vous avez la possibilité de paramétrer pour tous les utilisateurs la durée d'inactivité sur l'interface Web d'administration du pare-feu. Nous avons vu précédemment comment pouvons nous définir le temps d'inactivité maximale pour le compte actuel connecté, donc cette option sera appliquée pour tous les comptes. Si la durée globale configurée est inférieure à celle configurée par l'utilisateur, alors le temps de l'utilisateur sera pris en compte. Dans le cas contraire, le temps global écrasera le temps de l'utilisateur.

Enfin, encadré en orange, vous avez la possibilité d'activer ou non la protection contre les attaques brute force pour l'accès à l’interface Web d'administration. Le nombre de tentatives ainsi que le temps d’attente, exprimé en minutes, sont paramétrables. Par défaut, après 3 tentatives d’authentification, l'accès depuis cette adresse IP sera bloqué pendant 1 minute.

Accès aux pages d'administration du firewall

Vous avez la possibilité de restreindre l'accès à l'interface Web d'administration aux réseaux autorisés à afficher l'écran de connexion. L'administrateur peut ajouter des machines, des réseaux ou une plage d'adresses réseaux afin d'autoriser cet accès. Stormshield fonctionne par notion d'objet réseau. Par défaut, seuls les réseaux internes représentés par l'objet "Network_internals" ou alors tous les réseaux représentés par "Any" sont autorisés à y accéder. La notion des objets sera consacrée dans un chapitre, plus tard dans la formation.

Ajouter une adresse, un réseau ou une plage IP afin d'autoriser l'accès à la page d'administration

Les adresses, réseaux ou une plages IP n'ayant pas les autorisations d'accès ont une page d'erreur, semblable à celle-ci ou dans certains cas, si aucun service HTTPS n'est autorisé, le serveur HTTP sera injoignable :

Si la machine ou réseau n'est pas enregistré dans l'ACL du SNS

En tant qu'administrateur réseau, adoptez de bonnes pratiques de sécurité en créant un réseau d'administration sans accès à Internet afin d'accéder à l'administration des systèmes de sécurité. Le principal avantage est de renforcer la sécurité du réseau en séparant les accès administratifs du réseau principal et ainsi régulariser les accès en fonction des utilisateurs autorisés. De ce fait, vous autoriserais uniquement l'administration du SNS à destination du réseau d'administration.

Dans le cas où vous avez effectué une mauvaise manipulation et que vous n'avez plus accès à l'interface d'administration, il vous est possible de modifier la liste des objets de l'ACL depuis la console CLI du pare-feu :

# Pour autoriser tous le monde à accéder à l'interface
CONFIG WEBADMIN ACCESS ADD any

# Certains objets ont accès à l'interface
CONFIG WEBADMIN ACCESS ADD HOST_OBJECT

# On active la configuration de l'interface d'administration (important)
CONFIG WEBADMIN ACTIVATE 

Le dénommé HOST_OBJECT est un objet machine mais peut être également un objet réseau, une plage d’adresses IP ou l’objet any, qui autorise tous le monde.

Avertissement pour l'accès à l'interface d'administration

Dans certain cas et se mettant en conformité, vous avez la possibilité d'ajouter un texte d'avertissement (disclaimer) sur la page de connexion à l'interface Web d'administration du firewall. Il s'affiche alors à droite de la fenêtre d'authentification et nécessite un clic sur le bouton J'ai compris afin de valider la lecture du message et accéder à la connexion. Le message restera tout de même visible pendant la connexion. Le fichier contenant ce texte peut-être chargé sur le firewall à l'aide du sélecteur de fichiers.

Importation d'un message d'avertissement sur la page de connexion du SNS

Le fichier peut être au format HTML afin de mettre en évidence un élément clé du texte affiché, mais ne doit pas comporter de code JavaScript. Une fois le fichier enregistré sur le firewall, son contenu peut être affiché à l'aide du bouton . Vous avez également la possibilité d'enlever le message et supprimer l'avertissement en cliquant sur . Un fichier disclamer est disponible au téléchargement, en guise d'exemple.

Vous obtenez ainsi le rendu suivant :

Message d'avertissement avant toute connexion au pare-feu Stormshield

Accès distant par SSH

L'accès à la console système du pare-feu Stormshield à distance est possible. Grâce au serveur SSH (Secure Shell) intégré, c'est un protocole qui permet de se connecter à une machine distante avec une liaison sécurisée. Les données sont chiffrées entre le pare-feu et la machine cliente par le biais d'un certificat SSL.

Le SSH permet également d'exécuter des commandes sur un serveur distant dans un terminal, mais également transférer des fichiers à l'aide d'un client SCP (Filezilla, WinSCP...).

Activation du service SSH sur le firewall

En activant l'accès par SSH, vous autorisez la connexion uniquement par l'échange de paires de clés privés & publiques. Pour un accès simple avec utilisateur et mot de passe, activez l'option "Autoriser l'utilisation de mot de passe". À noter que cette option n'est accessible que si l'activation du service SSH a été effectuée.

Cette commande peut s'effectuer depuis la console CLI du pare-feu :

# Pour activer le SSH avec l'utilisation du mot de passe "admin" et définir un port particulier (objet)
CONFIG CONSOLE SSH state=1 userpass=1 port=ssh

# Désactivation de l'accès SSH
CONFIG CONSOLE SSH state=0

# Prise en compte de la configuration (important)
CONFIG CONSOLE ACTIVATE

Dans les fichiers de configuration du SNS, rendez-vous dans ConfigFiles/webadmin afin d'éditer l'ACL

Vous pouvez spécifier un port d'écoute différent de celui par défaut (port 22 TCP) pour des raisons spécifiques. Cependant, el port doit être obligatoirement utiliser le protocole TCP.

Paramètres réseaux

Les paramètres réseaux sont présents afin de configurer les paramètres de connectivité du pare-feu comme le support IPV6, la résolution DNS et les paramètres Proxy.

Paramètres réseaux

Le support IPv6

Le support IPv6 du pare-feu peut être optionnellement activé afin de profiter des fonctionnalités comme lors de l'attribution d'adresse IPv6 sur des interfaces, routage, le VPN, filtrage IPv6. À noter que cette actions est irréversible est que le seul moyen de désactiver le service est de restaurer une configuration antérieure ou une remise à la configuration usine (reset) du firewall. En activant cette option, le pare-feu nécessitera un redémarrage.

Prise en charge support IPv6

C'est pour cela que l'assistant IPV6 vous impose d'effectuer une sauvegarde du firewall.

Imposer une sauvegarde de configuration avant l'activation de IPv6

Serveur Proxy

Vous avez la possibilité de spécifier un serveur Proxy avec des options de connexions optionnelles. Cette option peut être nécessaire dans la transition du pare-feu vers un réseau externe nécessitant un serveur Proxy pour d'accéder à Internet.

Spécifier un serveur Proxy

Résolution DNS

La résolution DNS est importante afin de résoudre les noms de domaines des serveurs pointant vers un domaine DNS. Par exemple, lors d'une résolution d'objets dynamiques par une adresse IP, l'UTM sera capable de rendre en retour l'adresse IP derrière le nom de domaine ; ou bien essentiellement la résolution des serveurs Stormshield (serveurs de mises à jour, NTP...).

Serveurs DNS pour le pare-feu SNS

Par défaut, Stormshield a choisi d'utiliser les serveurs DNS de Google, pointant vers les adresses IP 8.8.8.8 & 8.8.4.4. Vous avez la possibilité d'utiliser d'autres serveurs DNS (2 au minimum conseillé pour la disponibilité) comme par exemple ceux de Cloudflare (1.1.1.1) ou bien ceux de Quad9 (9.9.9.9).

L'ordre des serveurs DNS, dans la liste des serveurs DNS utilisés par le firewall, fonctionne par manière logique à savoir que si, par exemple, deux requêtes DNS cherchent à être résolu, la première requête fera appel au premier serveur présent au début de la liste DNS. Ensuite, la seconde requête fera appel au second serveur DNS afin de résoudre le deuxième noms, et ainsi de suite. C'est pour cela qu'il est conseillé de spécifier au minimum deux serveurs DNS afin de respecter une redondance et diviser la charge considérablement, même si la différence n'est pas toujours flagrante.

Dans le cadre d'une configuration technique spécifique du pare-feu, où ce dernier doit résoudre des domaines sur des serveurs DNS locaux, il est très important de ne pas mélanger des serveurs publics et privés. Dans le cas contraire, ils seront incapables de résoudre les noms de domaines privés.