Gérer la maintenance du pare-feu SNS

Formation Stormshield Network Security

Tutorial Thumbnail

Comme tout produit informatique, il est assez important de mettre à jour le pare-feu SNS afin de pleinement des derniers correctifs de sécurité et d'amélioration d'expérience (amélioration de l'interface, l'ajout d'une nouvelle fonctionnalité...). lors de l'achat d'un nouveau pare-feu, celui-ci peut être sur une ancienne version (généralement une des premières version SNS datant de 2015).


Mettre à jour le firmware SNS

Dans le premier menu de gestion des mises à jour, deux sections sont disponibles : une première section qui vous permets de rechercher une mise à jour en ligne. Lors de la recherche, un lien de téléchargement du fichier de mise à jour chiffré et ainsi que la note de version de la mise à jour est disponible.


Cette procédure nécessite une connexion Internet et cette option n'est pas toujours fonctionnelle. Le SHA1 permets de s'assurer de l'authenticité du fichier de mise à jour mis à disposition par Stormshield (ici un tutoriel de comparaison de fichier SHA avec Windows & Linux).



Menu de mise à jour du pare-feu SNS



Le second menu vous permets de téléverser un fichier de mise à jour téléchargé au préalable sur votre espace MyStormshield, depuis l'espace de téléchargement. Le tutoriel de rappel dans la formation SNS qui évoque l'utilisation de MyStormshield, dont l'espace de téléchargement des fichiers de mise à jour détaillant ce sujet est disponible juste ici.


Tous les pares-feux physiques dispose d'un disque de stockage destinant à stocker le firmware SNS. Cependant, Stormshield a bien fait les choses en séparant en deux le disque pour créer deux partitions virtuelle :

  • Une partition active qui stocke la version actuellement en cours d'utilisation sur le pare-feu,
  • Une partition passive qui héberge une sauvegarde de la version du firmware SNS dans une version spécifique : Soit une version antérieure lors d'une procédure de mise à jour du firmware ou alors une sauvegarde de partition manuelle contenant une version identique à celle en cours d'utilisation.


L'usage de la partition de secours est intéressante dans le cas où une mise à jour système s'est mal passé, dans ce cas, il sera simple de "switcher" la version stable de secours sur la partition principale.



Le fonctionnement du système de partition lors de la copie d'un fichier de mise à jour SNS



Sur le schéma ci-dessus, celui-ci illustre le fonctionnement des partitions lors de la procédure de mise à jour du firmware SNS. Dans la logique des choses, lors du téléversement d'un nouveau fichier de mise à jour (extension de fichier en .maj), la nouvelle version du système sera symbolisée par « x+1 ». Cette nouvelle version remplacera la version actuelle qui sera appelée « x ». Cette version se trouve sur la partition active du pare-feu.


Tout en gardant la même configuration « y » (nom du pare-feu, paramétrage réseau, règles de filtrages...), l’administrateur réseau peut choisir d'effectuer une sauvegarde de la configuration actuelle présente sur la partition en cours d'utilisation (active) à destination de la partition passive, dédiée à héberger une sauvegarde conforme à celle en ligne avant la mise à jour.



Mise à jour système et option de sauvegarde de la partition active > partition passive (selon modèles)



L’option « Sauvegarder la partition active sur la partition de sauvegarde avant de mettre à jour le firewall » signifie que si l’option en question est activée, alors l'ancienne version du système « x-1 » (version actuelle SNS) et ainsi que la configuration « y-1 » sur la partition passive seront définitivement perdues. À noter que cette option n'est disponible uniquement pour les firewalls disposant d'un système de partitionnement de disque actif & passif (cas des firewalls physiques).


Télécharger le pare-feu de formation

Lors de la configuration du pare-feu, celui-ci est sous une des premières versions de la version 4.x de Stormshield Network Security. Etant donné que la version date depuis un bon bout de temps (version 4.0.1) et que Stormshield a sorti depuis plusieurs version de SNS, il est nécessaire d'effectuer deux mises à jour à la suite.



Nous procéderont à une première mise à jour, passant de la version 4.0.1 vers la version 4.1.6 ; puis une seconde mise à jour de la version 4.1.6 vers la dernière version.


Il vous est impossible de passer directement vers la dernière version publiée par Stormshield : une erreur de déchiffrement du fichier de mise à jour sera affiché, dû à un changement des clés de signature des fichiers suite à un incident technique.


Ressources

Voici les fichiers de mises à jour, disponible en téléchargement, dans l'ordre de passage :


Sélectionnez le fichier de mise à jour téléchargé ci-dessus afin d'envoyer le fichier de mise à jour sur le SNS. Cliquer sur "Mettre à jour le firewall" afin de procéder au téléversement du fichier sur le pare-feu et démarrer la mise à jour de la solution.



Envoi du fichier de mise à jour .maj sur le firewall



Une fois la copie de la partition actuelle vers la partition de secours (si existant) et ainsi que la copie du fichier de mise à jour sur le système, le boitier redémarre afin d'appliquer la mise à jour.



Redémarrage automatiquement après téléversement du fichier pour installer la mise à jour



Sauvegardez la configuration du pare-feu

Le menu de sauvegarde est essentiel afin de copier la configuration du pare-feu dans le cas où vous souhaitez simplement effectuer des sauvegarde de configuration en cas de besoin (mauvaise manipulation, erreurs configurations...). Deux choix de configuration sont proposés par le pare-feu SNS : une sauvegarde manuelle à usage occasionnel ou alors une sauvegarde automatique sur un serveur externalisé.


Sauvegarde manuelle

Cette procédure est manuelle et le fichier chiffré portant l'extension .na est disponible au téléchargement sur l'ordinateur local. De plus, le nom du fichier de sauvegarde par défaut est égal au numéro de série du pare-feu SNS suivi de la date du jour. Le nom de fichier de sauvegarde peut être modifiable. Assurez-vous de garder l'extension de fichier SNS .na à la fin, utile pour l'importation future du fichier de configuration sur un autre firewall.




Depuis l'interface d'administration SNS, le fichier regroupe une sauvegarde complètes de toutes la configuration des différents modules du pare-feu (configurations réseau, filtrages & NAT, objets...). Dans la commande CLI de Stormshield


Si nécessaire, vous pouvez spécifier un mot de passe de déchiffrement afin d'assurer l'intégrité du fichier de configuration du pare-feu. La saisie du mot de passe, dans les paramètres avancés, doit être spécifié avant le téléchargement du fichier de sauvegarde.


Une sauvegarde globale (comme sur l'interface graphique) ou partielle peut être réalisée dans la console CLI du pare-feu :


# On souhaite créer un fichier de sauvegarde avec toute la configuration du pare-feu :
CONFIG BACKUP list=all comment="All configuration Backup" [password=mot_de_passe]> SNS_BkpAll_20221228.na

# On souhaite sauvegarder des modules en particulier :
CONFIG BACKUP list="global,network,system" comment="Part of configuration Backup" [password=mot_de_passe]> SNS_BkpPart_20221228.na


Sur la console graphique CLI (à voir plus tard dans la formation), il n'est pas nécessaire de spécifier un nom de fichier (après le "> xxxx.na"). De plus, les champs balisés par des crochets sont optionnels.


Une fois la commande effectuée, une fenêtre vous invite à télécharger le fichier généré :




Les extensions de fichiers de sauvegardes du SNS sont .na ou .na.enc.

La syntaxe des commandes CLI destinée à générer un fichier de sauvegarde partielle est disponible depuis ce lien.


Sauvegarde automatique externalisée

Lorsque l'usage des sauvegardes de configuration s'avèrent être pénible et dans l'objectif d'assurer une fréquence de sauvegarde particulière, le SNS propose deux modes de sauvegarde automatique sur un serveur externalisé à savoir :

  • Soit une sauvegarde sur les propres instances Cloud de Stormshield, ayant une limite de 5 backups par pare-feu.
  • Ou alors spécifier un serveur personnalisé en créer son propre serveur de mise à jour et dans ce cas, la limite des backups est infini.

Dans la section "Configuration avancée", nous avons la possibilité de gérer la fréquence de sauvegarde (soit chaque jour, chaque semaine ou alors chaque mois) dans la partie "Fréquence des sauvegardes". De plus, nous pouvons ajouter une protection du fichier de configuration par un mot de passe grâce au paramètre "Mot de passe du fichier de sauvegarde".



Sauvegarde automatique de la configuration du pare-feu soit dans le Cloud Stormshield ou sur un serveur personnalisé



Le paramétrage de la sauvegarde automatique Cloud est limitée à cinq fichiers de sauvegardes par pare-feu enregistré. Au-delà, le nouveau fichier écrasera le plus ancien. L'offre Cloud hébergée est comprise dans l'offre de maintenance de Stormshield. Ces fichiers sont disponibles sur l'espace client MyStormshield dans la section SUPPORT TECHNIQUE > Cloud-Backup.



Gestion des 5 dernières sauvegardes Cloud disponibles sur MyStormshield



Sur l'espace MyStormshield, les sauvegardes sont classées par entreprise. Vous pouvez télécharger ou supprimer les 5 dernières sauvegardes respectives qui ont été effectuées par pare-feu enregistré.


La partie réservée à la configuration d'un serveur personnalisé consiste à ajouter un serveur que vous avez configuré dans vos propres instances locales ou externes.



Inscrire un serveur de sauvegarde personnalisé



Les fichiers de configuration sont stockés sur un serveur dont l'adresse IP sera renseigné dans le paramètre "Serveur de sauvegarde". Plusieurs paramètres peuvent être configurés dans la "Configuration avancée" :

  • Le port du serveur : port d’écoute du serveur de sauvegarde.
  • Donner un nom à la sauvegarde : définir un nom pour les sauvegardes effectuées.
  • Le protocole de communication : soit le protocole HTTP ou HTTPS.
  • Le certificat du serveur : disponible uniquement si le protocole HTTPS est spécifié. Il permet de spécifier le certificat présenté par le serveur sur lequel sera envoyée la sauvegarde de configuration. L’objectif est que le firewall puisse s’assurer de l’identité du serveur avant de lui transmettre le fichier de sauvegarde, permettant ainsi une fiabilité en chiffrant le flux transitant entre le pare-feu et le serveur.
  • Le chemin d'accès : possibilité de spécifier le répertoire où seront stockés les fichiers de configuration sur le serveur. Nous remarquons qu'après les renseignements effectués, l'URL du serveur se construit toute seul.
  • La méthode d’envoi : Permet de choisir le type d’envoi HTTP soit par la méthode Authentification basic (auth basic), le type Authentification digest (auth digest) ou par la méthode POST.
  • Un identifiant et un mot de passe : Utilisés avec les méthodes d’envoi "Auth basic" et "Auth digest".
  • Spécifier un champ pour la méthode "POST – control name" : nom du champ de contrôle, disponible avec la méthode POST.
  • Choisir une fréquence de sauvegarde : spécifier une fréquence d’envoi des sauvegardes soit , positionnée par défaut à une semaine.
  • Choisir un mot de passe du fichier de sauvegarde : protège les fichiers de sauvegarde généré par un mot de passe prédéfini (recommandé).


Afin de choisir la méthode d'envoi du fichier, il est important de comprendre les trois types proposés par le SNS :

  • La méthode POST n’implique aucune authentification. Côté serveur, il nécessite un script pour traiter les données reçues (enregistrement des fichiers reçus dans un dossier particulier, etc.). Ce script vérifie également un "nom de contrôle" dans le trafic de données afin de le traiter.
  • La méthode d’identification de base (RFC 2617) n’est pas sécurisée par nature, car elle envoie le mot de passe chiffré en Base64 mais en texte brut, ce qui le rend facilement interprétable en tant que tel. Il n’est donc pas recommandé de transférer des informations d’identification et des données via une connexion chiffée HTTPS.
  • La méthode d’identification Digest (RFC 2617) est plus sécurisée car elle est basée sur un mécanisme de « défi / réponse » construit autour de l’empreinte MD5 du mot de passe client. Même si elle peut être utilisée dans le trafic HTTP, il est également fortement conseillé d’utiliser cette méthode via une connexion chiffrée HTTPS lors du transfert de données.


Un tutoriel consacré à l'installation d'un serveur de sauvegarde destinés aux produits SNS arrivera bientôt sur le site !


Restauration d'un fichier de configuration

Après avoir effectué une sauvegarde de la configuration du pare-feu, vous avez la possibilité de restaurer une configuration depuis le menu "Restauration". Dans les paramètres avancés, vous pouvez restituer, au choix, soit l'ensemble de la configuration ou alors chaque module séparément et si le fichier est protégé par un mot de passe, vous pouvez le spécifier.



Restauration d'un fichier de sauvegarde de configuration globale ou partielle



Le fichier de sauvegarde est ni plus ni moins qu'une archive chiffrée et compressée. Le processus de restauration consiste à déchiffrer le fichier en question, effectue une phase de décompression et dispose ensuite les fichiers sauvegardés dans chaque module respectif. L'ensemble des fichiers de configuration sont stocké dans le répertoire ConfigFiles, au chemin "/usr/Firewall/ConfigFiles".


Une commande vous permettant de déchiffrer le fichier de sauvegarde et le sortir en une archive TarGZ est effectué avec la commande decbackup. Il s'agit d'une commande disponible sur tous les pares-feux (présent dans le répertoire "/usr/Firewall/sbin") et sur le noyau Linux, très utile si on ne dispose pas forcément d'un UTM sous la main.


Syntaxe de decbackup :

decbackup -i <backup> -o <output archive> [-p <password>] [-d ]
-i <backup> : name of encrypted backup input file
-o <output archive> : name of decrypted backup output file
-p <password> : password used for backup encryption
-d : Dump backup header


Exemple :

decbackup -i backup.na/na.enc -o backup.tar.gz [-p password]

(Voir : https://documentation.stormshield.eu/SNS/v4/fr/Content/CLI_-_SSH_commands_Reference_Guide/Commands/ssh/DECBACKUP.htm).


Le résultat de cette commande va créer une archive déchiffrée tar.gz qui contiendra l'ensemble des fichiers de configuration du SNS, qui sont bien présent dans "/usr/Firewall/ConfigFiles".



Restaurer la dernière sauvegarde envoyée sur un serveur



Egalement, si vous disposez d'une connexion à un serveur Cloud ou personnalisé, vous pouvez restaurer la sauvegarde la plus récente.



Gestion de la configuration

Précédemment, nous avons vu l'organisation de la gestion du disque du Firmware SNS avec une partition active et passive.



Si le modèle dispose d'un système de partition, L’administrateur réseau peut sélectionner la partition qui deviendra active au prochain démarrage du firewall (principale ou de secours). Automatiquement l’autre partition deviendra la partition passive. Le bouton "Sauvegarder la partition active" permet de copier tout le contenu de la partition active (configuration + firmware) sur la partition passive.


Plus bas, vous avez la possibilité de gérer les états de redémarrage et d'extinction du firewall. Enfin, en cas d'assistance technique particulière, vous pouvez télécharger si besoin le rapport système (sysinfo) contenant de nombreux facteurs utile de diagnostic du firewall.

Niveau Débutant

Technologie utilisée :

Proposer une modification
Antoine
Par Antoine
Rédigé le Mardi 28 Décembre 2021