La console CLI NSRPC

Formation Stormshield Network Security

Tutorial Thumbnail

Les firewalls Stormshield Network Security embarquent une interface en ligne de commandes CLI (en anglais Command Line Interface, Interface en ligne de commande), constitués d’un jeu de commandes propriétaire. Les commandes sont accessibles via un Shell et elles permettent de configurer et de superviser toutes les fonctionnalités du firewall.


Présentation

L’accès au Shell CLI se fait via un protocole propriétaire Stormshield sécurisé qui est le NSRPC (pour NETASQ Secure Remote Procedure Call). Deux méthodes d'accès sont proposées par le firewall à savoir :

  • Une connexion en local sur le firewall (ligne de commande et interface web) sur le pare-feu,
  • Depuis une machine à distance en utilisant un client de connexion console exécutables dédiés sous Windows et Linux. Les commandes CLI peuvent être regroupées dans un fichier texte pour former un script CLI qui peut être, à son tour, exécuté en local ou à distance.

L'interface Web privilégié par Stormshield est semblable à celle-ci :



Console graphique CLI NSRPC



Cette console, aujourd'hui remplacée par le client natif NSRPC de Stormshield est utile afin d'apporter une configuration spécifique au pare-feu. Par exemple, vous pouvez créer des objets spécifiques, comme modifier ou spécifier une configuration réseau particulière.


Un document PDF très complet proposé par Stormshield vous permets d'obtenir un regroupement global des commandes CLI afin de créer par exemple une configuration réseau particulière, un objet... (ref : CLI - Configuration technique de base SNS). Il est à noter que les commandes CLI effectuées sont les commandes interprétées par l'interface IHM graphique du firewall.


L'écosystème des produits SNS firewall de Stormshield se reposent sur ce langage de commande. L'interface Web d'administration repose sur cet interpréteur de commande NSRPC de SNS.


En voici un exemple :



Un exemple d'un script NRPC



De plus, il est assez assez utilisé dans le cadre d'un déploiement centralisé avec Stormshield Management Center de déployer des scripts de configuration sur des firewalls distants à l'aide d'un script NSRPC. Depuis l'interface de ligne de commande.


Vous pouvez ajouter un script dans le répertoire de scripts sur le serveur SMC et l'exécuter immédiatement, exécuter un script déjà stocké sur le serveur SMC, ajouter un script dans le répertoire de scripts sur le serveur SMC, supprimer un script du répertoire de scripts du serveur SMC, afficher la liste des scripts stockés sur le serveur SMC.

Quelques commandes utiles

Voici quelques commandes essentielles afin de configurer le SNS avec le NSRPC.


Système

Accès administration

Modifier la langue de la session courante (ici en Français) :

SYSTEM SESSION language=fr


Obtenir les droits d'écriture :

MODIFY on force


Obtenir les droits RGPD sur les logs (visualiser adresses IP, réseaux...) :

MODIFY monitor on force


Changer la longueur minimale du mot de passe :

CONFIG PASSWDPOLICY SET minLength=5 minSetOfChars=None
CONFIG PASSWDPOLICY ACTIVATE


Changer le mot de passe d'accès :

CONFIG CONSOLE SETPASSPHRASE oldpassword=admin newpassword=P@sSw0rd!
CONFIG CONSOLE ACTIVATE


Administration WEB

Définir le port d'administration de l'interface WEB (ici avec l'objet "https" : port TCP 443) :

CONFIG WEBADMIN PORT https
CONFIG WEBADMIN ACTIVATE


Autoriser l'administration par tout le monde (gestion de l'ACL) :

CONFIG WEBADMIN ACCESS ADD Any


... ou autoriser un réseau en particulier :

CONFIG WEBADMIN ACCESS ADD Network_in


Enlever les permissions générales :

CONFIG WEBADMIN ACCESS REMOVE Any


Administration SSH

Activer l'accès par SSH avec utilisation du mot de passe comme moyen d'identification :

CONFIG CONSOLE SSH state=1 userpass=1 port=ssh
CONFIG CONSOLE ACTIVATE
Règle de filtrage supplémentaire ou règle implicite permets d'administration SSH dans les réseaux protégés du SNS.


Désactiver l'accès avec l'arrêt du service (state = 0) et sans mot de passe (userpass = 0) :

CONFIG CONSOLE SSH state=0 userpass=0 port=ssh
CONFIG CONSOLE ACTIVATE


Afficher la configuration courante du service SSH :

CONFIG OBJECT GET type=service name=ssh


Réseau

Interfaces réseau

Connaître le nom des interfaces réseau :

CONFIG NETWORK INTERFACE SHOW


Renommer une interface réseau :

CONFIG NETWORK INTERFACE RENAME ifname=ethernet0 name=Port_1


Sortir une interface réseau du "bridge" :

CONFIG NETWORK INTERFACE UPDATE state=0 bridge= ifname=ethernet0
CONFIG NETWORK INTERFACE ACTIVATE


La remettre dans le "bridge" :

CONFIG NETWORK INTERFACE UPDATE state=1 bridge=bridge0 ifname=ethernet0
CONFIG NETWORK INTERFACE ACTIVATE


Changer les paramètres d'une interface

CONFIG NETWORK INTERFACE ADDRESS UPDATE ifname=bridge0 address=10.0.0.254 mask=255.255.255.0 addrnb=0 addressComment=Interface DMZ 2
CONFIG NETWORK INTERFACE ACTIVATE


Création d'un pont réseau

Création d'un pont nommé "brDemo" , ayant comme passerelle "10.28.0.254/24" contenant les interfaces 3 & 4 :

CONFIG NETWORK INTERFACE CREATE mtu=1500 name=brDemo interfaces=ethernet3,ethernet2 ifname=bridge1 address=10.28.0.254 mask=255.255.255.0 addressComment=
CONFIG NETWORK INTERFACE ACTIVATE


Routage

Afficher la route par défaut

CONFIG NETWORK DEFAULTROUTE SHOW


Définir une route par défaut

Créer un objet machine ayant comme nom "defaultGW", description "Passerelle par défaut - FAI" et adresse IP "192.168.0.254" :

CONFIG OBJECT HOST NEW name=defaultGW comment="Passerelle par défaut - FAI" ip="192.168.0.254"
CONFIG OBJECT ACTIVATE


Définir l'objet créé précédemment comme route par défaut (objet defaultGW) :

CONFIG NETWORK DEFAULTROUTE SET type=ipv4 name=defaultGW
CONFIG NETWORK DEFAULTROUTE ACTIVATE


Supprimer l'objet machine "defaultGW" :

CONFIG OBJECT HOST DELETE name=defaultGW force=1
CONFIG OBJECT ACTIVATE


Afficher la configuration du routage dynamique :

CONFIG BIRD SHOW


Afficher la configuration du MODEM :

CONFIG MODEM SHOW


Supervision

Afficher la configuration SNMP

CONFIG SNMP SHOW


Filtrage

Passer la politique de filtrage à "tout passant" :

CONFIG SLOT ACTIVATE type=filter slot=10


Rechercher une nouvelle mise à jour système

SYSTEM UPDATE CHECK force=1


Conclusion

Gardez à l'esprit qu'il n'est pas nécessaire de connaitre pour l'écosystème des commandes NSRPC pour le moment. Les commandes CLI sont réservées pour un utilisateur à l'aise avec la configuration de l'UTM SNS et ayant un niveau expert.


La notion de gestion du pare-feu en ligne de commande NSRPC sera étudié par la suite de la formation proposée sur le site 😉

Niveau Débutant

Technologie utilisée :

Proposer une modification
Antoine
Par Antoine
Rédigé le Vendredi 07 Janvier 2022