Dans le cadre de la formation, nous effectueront nos procédures de configuration sur un pare-feu virtuel Stormshield EVA1. Bien évidemment, si vous avez la chance d'avoir un pare feu physique (ex : SN210, SN310...), vous pouvez bien évidement suivre la formation. Dans ce cas là , ce tutoriel n'est pas nécessairement utile, sauf pour la logique du fonctionnement du laboratoire de formation (notamment pour le plan de connectivité).
Télécharger le pare-feu virtuel
Pour l'installation de l'instance avec une machine virtuelle, le principe des interfaces est quasiment identique. Grùce à Stormshield, vous avez la possibilité de télécharger gratuitement une instance virtuelle EVA1.
L'installation de la machine virtuelle de formation sera démontrée sous VirtualBox, logiciel gratuit de virtualisation. Il est à noter que le modÚle de la machine virtuelle est également fonctionnel sous un hyperviseur VMware (Workstation, ESXi...) : il s'agit d'un modÚle OVA, donc un modÚle d'importation universel. Si vous souhaitez importer la machine virtuelle sous Microsoft Hyper-V, sélectionnez le disque .vmdk et avec quelques procédures supplémentaires, l'importation devrait se dérouler convenablement.
Avant toute opération, assurez-vous d'avoir téléchargé la machine virtuelle, depuis le site officiel de Stormshield. Décompressez l'archive et copiez l'ensemble des fichiers sur votre poste local (trÚs important, si jamais une perte de connexion réseau devait se produire).
Installation de l'instance virtuelle de formation
Téléchargez le logiciel VirtualBox gratuitement depuis le site officiel de téléchargement et dirigez-vous, sur la page d'accueil du logiciel, sur le bouton "Importer".
Page d'accueil de VirtualBox - Importer une nouvelle machine virtuelle
Notre objectif est de construire un laboratoire local contenant le pare-feu Stormshield de formation et ainsi qu'une machine virtuelle sous Windows (7, 10, 11) ou alors une machine Linux (Debian, Mint, Ubuntu). Personnellement, je vous recommande d'installer une machine virtuelle sous Windows, au minimum Windows 7. Utiliser Linux peut s'avĂ©rer ĂȘtre une solution plus contraignante au niveau de la configuration pour les utilisateurs moins Ă l'aise avec Linux. Je ne vous recommande pas de vous servir en tant que machine cliente votre ordinateur physique (nĂ©cessitant de modifier rĂ©guliĂšrement la configuration rĂ©seau).
En revanche, l'administration du pare-feu Stormshield depuis son interface Web est conseillée en passant par le navigateur présent sur la machine physique (meilleures performances à mon goût, plus facile à faire passer les fichiers de configurations et de mise à jour). Cette opération sera disponible grùce au partage de la carte réseau externe du Stormshield et la carte réseau physique de l'ordinateur.
Voici l'infrastructure de notre laboratoire virtuel local que nous souhaitons avoir :
Schéma de l'infrastructure virtuelle VirtualBox
Le pare-feu disposera de deux interfaces : une interface externe (OUT) pour permettre un accÚs par pont à Internet au pare-feu et une interface interne (IN) qui distribuera notre réseau local Stormshield à la machine virtuelle cliente.
Procédez à l'importation de la machine virtuelle en sélectionnant le fichier .ovf de la machine virtuelle (fichier FWSNS_Training_VemoTech.ovf, dans le dossier décompressé "SNS_Training_Only_VemoTech").
Obtenez ensuite un récapitulatif de l'importation de la machine virtuelle EVA1 indiquant le nom, la description, le fabriquant, les informations systÚmes (RAM, CPU) et les cartes réseaux. Laissez les options par défaut. Nous procéderont à quelques modifications plus tard.
Importation de la machine virtuelle
N'hésitez-pas également à lire les conditions générales d'utilisation (traduit en français, un peu plus bas). Puis l'importation est réalisée une fois l'acception des termes de contrat de licence de Stormshield.
Et voilĂ ! Votre machine virtuelle est importĂ©e sur votre poste. Cependant, quelques paramĂštres doivent ĂȘtre modifiĂ©, notamment les cartes rĂ©seaux. En sĂ©lectionnant la machine importĂ©e, cliquez sur "Configuration".
Modifier la configuration de la machine virtuelle "FWSNS_Training_VemoTech"
Dirigez-vous dans les paramĂštres rĂ©seaux afin d'obtenir la mĂȘme organisation des interfaces qu'un pare-feu physique. Rappelons-nous qu'il faut au minimum une interface externe (OUT) et une interface interne (IN). Dans le laboratoire de formation Stormshield, nous allons nous contentez de seulement deux interfaces et non de trois. En sĂ©lectionnant "Adapter 1", cette interface dĂ©signera l'interface "OUT". Activer cette interface si ce n'est pas le cas et assurez-vous d'avoir une connexion par pont comme mode d'accĂšs rĂ©seau. SĂ©lectionnez l'interface qui dispose d'une connexion Ă Internet.
Modification de l'interface 1 (OUT)
Pour la deuxiÚme interface "IN", sélectionnez "Adapter 2" et sélectionnez comme mode d'accÚs réseau "Réseau privé d'hÎte". Sélectionnez comme nom d'adaptateur réseau celui que VirtualBox a créé par défaut. Cette connexion sera un "canal" réseau privé, sans Internet qui sera connecté directement à notre machine virtuelle cliente.
Modification de l'interface 2 (IN)
Désactivez l'interface 3. Elle ne sera pas utilisée lors de cette formation pour le moment.
DerniÚre modification à effectuer au niveau de l'adaptateur réseau VirtualBox pour l'interface 2 (IN) du Stormshield est de désactiver le serveur DHCP de VirtualBox. Rendez-vous dans Fichier > Gestionnaire de réseau hÎte.
En fonction du connecteur VirtualBox spécifié lors de la configuration de l'interface "Adaptater 2", correspondant à l'interface IN (dans notre cas : VirtualBox Host-Only Ethernet Adapater). Désactivez le serveur DHCP proposé par VirtualBox. Ensuite, cliquer sur Fermer.
DĂ©sactivation du serveur DHCP interne de VirtualBox
Au niveau de la connectivitĂ© de l'interface de la machine virtuelle cliente, n'ajouter qu'une seule interface interne, qui doit correspondre Ă la mĂȘme configuration que l'interface "Adaptater 2" du pare-feu Stormshield (dans notre cas, RĂ©seau privĂ© d'hĂŽte - VirtualBox Host-Only Ethernet Adapater).
Configuration de l'interface réseau de la machine virtuelle cliente
Voilà , tout semble opérationnel ! Démarrons dÚs à présent le pare-feu de formation virtuel Stormshield, pour le moment, pas besoin de démarrer la machine virtuelle cliente. Cliquez sur le bouton "Démarrer".
Lors du premier démarrage du pare-feu SNS, l'assistant de configuration vous invite a choisir la langue du clavier. Sélectionner le bon numéro en fonction de la langue que vous souhaitez (saisir 4 pour un clavier en Azerty)
Choisir la langue du clavier
Spécifiez ensuite un mot de passe à spécifier au compte Administrateur du pare-feu. Ce compte "admin" dispose de tous les privilÚges sur le pare-feu. C'est avec ce compte que nous nous connecterons à l'interface d'administration Web du firewall et ainsi qu'en mode console.
Modifier le mot de passe par défaut du compte "admin"
Si nĂ©cessaire (et vivement conseillĂ©), spĂ©cifiez une adresse IP statique pour l'interface externe OUT. Par dĂ©faut, les deux interfaces portent une adresse IP en DHCP. SpĂ©cifiez y afin de modifier l'adresse IP DHCP en statique en indiquant un adresse IP, un masque rĂ©seau et la passerelle par dĂ©faut. L'adresse IP doit ĂȘtre une adresse libre, appartenant au rĂ©seau externe branchĂ© sur le mĂȘme rĂ©seau local. Cette adresse IP est nĂ©cessaire afin de rendre accessible le pare-feu Ă Internet.
Spécifier n dans ce cas afin de garder une adresse IP en DHCP. à noter qu'il sera tout as fait possible de modifier cette option plus tard dans l'administration. Pour le moment, gardez l'adresse IP en DHCP pour l'interface interne IN.
Configuration des adresses IP des interfaces réseaux
Sur le pare-feu Stormshield, le systÚme dispose d'une liste de contrÎle d'accÚs (une ACL). Vous aurez la possibilité de gérer les réseaux et les machines autorisées à accéder à l'interface d'administration. La derniÚre étape consiste à autoriser ou refuser l'accÚs à l'interface d'administration du pare-feu par le biais de l'interface externe OUT. Sélectionner y afin d'autoriser dans notre cas et ainsi permettre l'accÚs direct à l'interface sur notre ordinateur physique.
Cette procédure expose l'accÚs à l'interface d'administration du SNS sur le réseau externe du pare-feu (donc "Internet"). Dans notre cas, cela n'est pas dérangeant car le pare-feu ne sort pas du réseau local (pas d'ouverture de port externe de l'interface Web).
En tant qu'administrateur réseau, adoptez de bonnes pratiques de sécurité en créant un réseau d'administration sans accÚs à Internet afin d'accéder à l'administration des systÚmes de sécurité. Le principal avantage est de renforcer la sécurité du réseau en séparant les accÚs administratifs du réseau principal et ainsi régulariser les accÚs en fonction des utilisateurs autorisés. De ce fait, vous autoriserais uniquement l'administration du SNS à destination du réseau d'administration.
Une fois l'assistant de configuration terminé, nous obtenons un virtuel des interfaces et ainsi que les informations du pare-feu.
Interface de démarrage du pare-feu SNS
SurlignĂ© en jaune, nous obtenons le N° de sĂ©rie du pare-feu. Ce numĂ©ro est associĂ© Ă l'abonnement de licence souscrit lors de l'achat du SNS (abonnement signatures IPS, Antivirus...). Ce numĂ©ro est unique. En bleu, nous obtenons le modĂšle du firewall, ici un EVA1; et en vert la version logicielle qui est installĂ©e sur le pare-feu. Plus bas, vous avez directement accĂšs Ă l'invite console du SNS, oĂč vous avez la possibilitĂ© de vous y connecter grĂące au compte "admin", prĂ©cĂ©demment configurĂ©.
Dans la poursuite de la formation, nous allons nous consacrer à la découverte de l'interface d'administration du SNS et établir une configuration systÚme afin de bien démarrer.
