Installer et configurer le pare-feu virtuel de formation

Formation Stormshield Network Security

Tutorial Thumbnail

Dans le cadre de la formation, nous effectueront nos procédures de configuration sur un pare-feu virtuel Stormshield EVA1. Bien évidemment, si vous avez la chance d'avoir un pare feu physique (ex : SN210, SN310...), vous pouvez bien évidement suivre la formation. Dans ce cas là, ce tutoriel n'est pas nécessairement utile, sauf pour la logique du fonctionnement du laboratoire de formation (notamment pour le plan de connectivité).


Télécharger le pare-feu virtuel

Pour l'installation de l'instance avec une machine virtuelle, le principe des interfaces est quasiment identique. Grâce à Stormshield, vous avez la possibilité de télécharger gratuitement une instance virtuelle EVA1.




L'installation de la machine virtuelle de formation sera démontrée sous VirtualBox, logiciel gratuit de virtualisation. Il est à noter que le modèle de la machine virtuelle est également fonctionnel sous un hyperviseur VMware (Workstation, ESXi...) : il s'agit d'un modèle OVA, donc un modèle d'importation universel. Si vous souhaitez importer la machine virtuelle sous Microsoft Hyper-V, sélectionnez le disque .vmdk et avec quelques procédures supplémentaires, l'importation devrait se dérouler convenablement.


Avant toute opération, assurez-vous d'avoir téléchargé la machine virtuelle, depuis le site officiel de Stormshield. Décompressez l'archive et copiez l'ensemble des fichiers sur votre poste local (très important, si jamais une perte de connexion réseau devait se produire).


Installation de l'instance virtuelle de formation

Téléchargez le logiciel VirtualBox gratuitement depuis le site officiel de téléchargement et dirigez-vous, sur la page d'accueil du logiciel, sur le bouton "Importer".



Page d'accueil de VirtualBox - Importer une nouvelle machine virtuelle




Notre objectif est de construire un laboratoire local contenant le pare-feu Stormshield de formation et ainsi qu'une machine virtuelle sous Windows (7, 10, 11) ou alors une machine Linux (Debian, Mint, Ubuntu). Personnellement, je vous recommande d'installer une machine virtuelle sous Windows, au minimum Windows 7. Utiliser Linux peut s'avérer être une solution plus contraignante au niveau de la configuration pour les utilisateurs moins à l'aise avec Linux. Je ne vous recommande pas de vous servir en tant que machine cliente votre ordinateur physique (nécessitant de modifier régulièrement la configuration réseau).


En revanche, l'administration du pare-feu Stormshield depuis son interface Web est conseillée en passant par le navigateur présent sur la machine physique (meilleures performances à mon goût, plus facile à faire passer les fichiers de configurations et de mise à jour). Cette opération sera disponible grâce au partage de la carte réseau externe du Stormshield et la carte réseau physique de l'ordinateur.


Voici l'infrastructure de notre laboratoire virtuel local que nous souhaitons avoir :



Schéma de l'infrastructure virtuelle VirtualBox



Le pare-feu disposera de deux interfaces : une interface externe (OUT) pour permettre un accès par pont à Internet au pare-feu et une interface interne (IN) qui distribuera notre réseau local Stormshield à la machine virtuelle cliente.

Procédez à l'importation de la machine virtuelle en sélectionnant le fichier .ovf de la machine virtuelle (fichier FWSNS_Training_VemoTech.ovf, dans le dossier décompressé "SNS_Training_Only_VemoTech").



Obtenez ensuite un récapitulatif de l'importation de la machine virtuelle EVA1 indiquant le nom, la description, le fabriquant, les informations systèmes (RAM, CPU) et les cartes réseaux. Laissez les options par défaut. Nous procéderont à quelques modifications plus tard.



Importation de la machine virtuelle



N'hésitez-pas également à lire les conditions générales d'utilisation (traduit en français, un peu plus bas). Puis l'importation est réalisée une fois l'acception des termes de contrat de licence de Stormshield.




Et voilà ! Votre machine virtuelle est importée sur votre poste. Cependant, quelques paramètres doivent être modifié, notamment les cartes réseaux. En sélectionnant la machine importée, cliquez sur "Configuration".



Modifier la configuration de la machine virtuelle "FWSNS_Training_VemoTech"



Dirigez-vous dans les paramètres réseaux afin d'obtenir la même organisation des interfaces qu'un pare-feu physique. Rappelons-nous qu'il faut au minimum une interface externe (OUT) et une interface interne (IN). Dans le laboratoire de formation Stormshield, nous allons nous contentez de seulement deux interfaces et non de trois. En sélectionnant "Adapter 1", cette interface désignera l'interface "OUT". Activer cette interface si ce n'est pas le cas et assurez-vous d'avoir une connexion par pont comme mode d'accès réseau. Sélectionnez l'interface qui dispose d'une connexion à Internet.




Modification de l'interface 1 (OUT)



Pour la deuxième interface "IN", sélectionnez "Adapter 2" et sélectionnez comme mode d'accès réseau "Réseau privé d'hôte". Sélectionnez comme nom d'adaptateur réseau celui que VirtualBox a créé par défaut. Cette connexion sera un "canal" réseau privé, sans Internet qui sera connecté directement à notre machine virtuelle cliente.



Modification de l'interface 2 (IN)


Désactivez l'interface 3. Elle ne sera pas utilisée lors de cette formation pour le moment.

Dernière modification à effectuer au niveau de l'adaptateur réseau VirtualBox pour l'interface 2 (IN) du Stormshield est de désactiver le serveur DHCP de VirtualBox. Rendez-vous dans Fichier > Gestionnaire de réseau hôte.




En fonction du connecteur VirtualBox spécifié lors de la configuration de l'interface "Adaptater 2", correspondant à l'interface IN (dans notre cas : VirtualBox Host-Only Ethernet Adapater). Désactivez le serveur DHCP proposé par VirtualBox. Ensuite, cliquer sur Fermer.



Désactivation du serveur DHCP interne de VirtualBox



Au niveau de la connectivité de l'interface de la machine virtuelle cliente, n'ajouter qu'une seule interface interne, qui doit correspondre à la même configuration que l'interface "Adaptater 2" du pare-feu Stormshield (dans notre cas, Réseau privé d'hôte - VirtualBox Host-Only Ethernet Adapater).



Configuration de l'interface réseau de la machine virtuelle cliente



Voilà, tout semble opérationnel ! Démarrons dès à présent le pare-feu de formation virtuel Stormshield, pour le moment, pas besoin de démarrer la machine virtuelle cliente. Cliquez sur le bouton "Démarrer".




Lors du premier démarrage du pare-feu SNS, l'assistant de configuration vous invite a choisir la langue du clavier. Sélectionner le bon numéro en fonction de la langue que vous souhaitez (saisir 4 pour un clavier en Azerty)



Choisir la langue du clavier



Spécifiez ensuite un mot de passe à spécifier au compte Administrateur du pare-feu. Ce compte "admin" dispose de tous les privilèges sur le pare-feu. C'est avec ce compte que nous nous connecterons à l'interface d'administration Web du firewall et ainsi qu'en mode console.



Modifier le mot de passe par défaut du compte "admin"



Si nécessaire (et vivement conseillé), spécifiez une adresse IP statique pour l'interface externe OUT. Par défaut, les deux interfaces portent une adresse IP en DHCP. Spécifiez y afin de modifier l'adresse IP DHCP en statique en indiquant un adresse IP, un masque réseau et la passerelle par défaut. L'adresse IP doit être une adresse libre, appartenant au réseau externe branché sur le même réseau local. Cette adresse IP est nécessaire afin de rendre accessible le pare-feu à Internet.


Spécifier n dans ce cas afin de garder une adresse IP en DHCP. À noter qu'il sera tout as fait possible de modifier cette option plus tard dans l'administration. Pour le moment, gardez l'adresse IP en DHCP pour l'interface interne IN.



Configuration des adresses IP des interfaces réseaux



Sur le pare-feu Stormshield, le système dispose d'une liste de contrôle d'accès (une ACL). Vous aurez la possibilité de gérer les réseaux et les machines autorisées à accéder à l'interface d'administration. La dernière étape consiste à autoriser ou refuser l'accès à l'interface d'administration du pare-feu par le biais de l'interface externe OUT. Sélectionner y afin d'autoriser dans notre cas et ainsi permettre l'accès direct à l'interface sur notre ordinateur physique.


Cette procédure expose l'accès à l'interface d'administration du SNS sur le réseau externe du pare-feu (donc "Internet"). Dans notre cas, cela n'est pas dérangeant car le pare-feu ne sort pas du réseau local (pas d'ouverture de port externe de l'interface Web).



En tant qu'administrateur réseau, adoptez de bonnes pratiques de sécurité en créant un réseau d'administration sans accès à Internet afin d'accéder à l'administration des systèmes de sécurité. Le principal avantage est de renforcer la sécurité du réseau en séparant les accès administratifs du réseau principal et ainsi régulariser les accès en fonction des utilisateurs autorisés. De ce fait, vous autoriserais uniquement l'administration du SNS à destination du réseau d'administration.


Une fois l'assistant de configuration terminé, nous obtenons un virtuel des interfaces et ainsi que les informations du pare-feu.



Interface de démarrage du pare-feu SNS



Surligné en jaune, nous obtenons le N° de série du pare-feu. Ce numéro est associé à l'abonnement de licence souscrit lors de l'achat du SNS (abonnement signatures IPS, Antivirus...). Ce numéro est unique. En bleu, nous obtenons le modèle du firewall, ici un EVA1; et en vert la version logicielle qui est installée sur le pare-feu. Plus bas, vous avez directement accès à l'invite console du SNS, où vous avez la possibilité de vous y connecter grâce au compte "admin", précédemment configuré.


Dans la poursuite de la formation, nous allons nous consacrer à la découverte de l'interface d'administration du SNS et établir une configuration système afin de bien démarrer.

Niveau Débutant

Technologies utilisées :

Proposer une modification
Antoine
Par Antoine
Rédigé le Lundi 20 Décembre 2021