Tutoriel Stormshield
Dans plusieurs cas particulier, il peut être assez intéressant d'automatiser une installation d'un nouveau pare-feu Stormshield Network Security. Qu'il soit en configuration usine sortie du carton ou lors d'une remise en configuration par défaut, nous allons voir ensemble qu'il est en effet possible de préparer une clé USB avec nos fichiers souhaités.
L'objectif serait en effet de voir le formatage et l'installation des fichiers relatifs à la poste configuration du pare-feu de la clé USB, puis des manipulations réalisées sur le pare-feu.
Afin de suivre ce tutoriel, assurez vous de respecter les éléments suivants :
Lors du démarrage du firewall sur une clé USB, les fichiers présents sur la clé sont importés / installés / exécutés automatiquement selon la séquence suivante :
L'opération se déroule de la manière suivante :
1. Licence (extension .licence
).
2. Mise à jour de firmware (extension .maj
) : entraîne un redémarrage du firewall.
IMPORTANT : La clé USB doit être retirée au moment du redémarrage du firewall.
3. Fichier de sauvegarde de configuration (extension .na
).
4. Package de rattachement à un serveur Stormshield Management Center (SMC) (extension .pack
).
5. Certificats (extension .p12
), à partir de la version SNS 3.9.0.
6. Mot de passe du compte admin (extension .pwd
), à partir de la version SNS 3.9.0.
7. Fichiers de configuration de routage dynamique (extensions .bird
et .bird6
), à partir de la version SNS 3.10.2 ou de la version SNS 4.1.1.
8. Fichiers de configuration additionnelle (extension .csv
), à partir de la version SNS 3.9.0.
Lorsque l'un des types de fichiers listés ci-dessus est absent de la clé, l'étape correspondante est simplement ignorée.
Nous allons dans un premier temps, nous allons formatter la clé USB en format "FAT32", décochez la case "Formatage rapide". Cliquez enfin sur "Démarrer" :
Déposez les fichiers que vous récupérez, dans un cas de restauration dit "classique" :
.licence
..maj
..na
.Maintenant que notre clé USB est formatée, nous devons disposer les fichiers de licence et de mise à jour, dans notre exemple.
Attention ! Les fichiers firmware et de licence doivent conserver leurs noms par défaut !
Exemple de nomenclature :
Firewall_Serial_Number.licence
(ex : SNSX02B5204A9.licence),fwupd-version-SNS-architecture-modele.maj
(ex : fwupd-4.7.4-SNS-amd64-M.maj),default.na
SNSX02B5204A9.na
Le processus d'auto configuration sélectionne automatiquement le fichier adapté au modèle en fonction de son nom. Ce qui peut être pratique et très bien dans le cas où vous souhaitez rapidement déployer une configuration sur plusieurs firewall est que le SNS est capable de prendre le bon fichier de licence et le bon fichier de firmware en fonction de son numéro de série et de son architecture.
Pour un besoin de cohérence, le fichier de configuration peut être nommé default.na
.
Chaque firewall dispose d'un fichier de licence qui lui est propre. Ces fichiers sont disponibles dans votre espace personnel MyStormshield, section Produit > Gestion des Produits.
Un fichier licence installé via clé USB doit être nommé Firewall_Serial_Number.licence
.
Exemple : SNSX02B5204A9.licence
Il est possible de réaliser une mise à jour du firewall. Lorsque plusieurs firewalls doivent être configurés à l'aide d'une même clé USB, plusieurs fichiers de mise à jour logicielle peuvent être nécessaires (architectures firewalls différentes, versions logicielles préchargées différentes...).
Exemples :
Concernant la différence de mise à jour du firmware, si l'écart entre la version majeure du firmware du pare-feu lors de sa sortie d'usine et les versions logicielles présentes sur la clé est inférieur à 2 (par exemple, le pare-feu est en version 3.9.0 et le firmware est en version 4.0.0 sur la clé), seule la version logicielle la plus récente présente sur la clé est installée.
Dans le cas contraire, s'il y a plus de deux versions d'écart (par exemple, le pare-feu est en version 2.14.0 et les firmwares disponibles sont en version 3.9.0 et 4.0.0 sur la clé), une version intermédiaire du firmware doit être présente sur la clé pour permettre une mise à jour automatique par étapes.
La clé USB doit être retirée au moment du redémarrage du firewall !
Si la configuration destinée à être chargée sur les firewalls est générique, le fichier de sauvegarde peut être nommé default.na. S'il est différent pour les firewalls à configurer via la clé USB, chaque fichier de sauvegarde doit être nommé : Firewall_Serial_Number.na
.
Exemples :
Généralement, il faudra saisir toujours le numéro de série du firewall de destination pour les fichiers.
Vous pouvez retrouver plus de détails à ce sujet depuis la documentation technique Stormshield : https://documentation.stormshield.eu/SNS/v4/fr/Content/PDF/SNS-TechnicalNotes/sns-fr-configuration_initiale_par_cle_usb_note_technique.pdf
Voici les étapes à suivre au moment de la mise en place de cette procédure de déploiement post configuration :
defaultconfig
propose des options qui la rendent plus complète et plus fine que "cleanfw", et la rendent donc plus appropriée à une restauration en configuration usine.defaultconfig -f -p -u -r -c -L -d
Parmi les options sélectionnées :
4. Durant ce processus de démarrage, les fichiers de configuration disposés sur la clé USB seront dans un premier temps analysés et installé en respectant les conditions préalables (installations des fichiers en fonction du numéro de série ; architectures matériel (modèle du FW)).
Vous pouvez retrouver un exemple lié à l'installation de la licence et le démarrage de l'installation de la mise à jour sur le pare-feu concerné :
Nous pouvons voir également un aperçu de l'installation de la configuration :
Lorsque toutes les étapes de configuration sont terminées, le pare-feu est opérationnel et prêt à être déployé.
Vous pouvez-vous connecter à son interface d'administration web directement (https://FW_IP/admin) ou depuis Stormshield Management Center (SMC) si le pare-feu est lui -même rattaché à un serveur SMC.
Les opérations réalisées lors de la configuration initiale du firewall, sauf les éventuels imports de licences et mises à jour de firmware, sont enregistrées dans un fichier de log créé à la racine de la clé USB et nommé <SNSXXXXXXXXX_staging>.log