Préparer une clé USB de configuration (Staging)

Tutoriel Stormshield

Tutorial Thumbnail
  1. Tutoriels
  2. Stormshield
  3. Préparer une clé USB de configuration (Staging)

Dans plusieurs cas particulier, il peut être assez intéressant d'automatiser une installation d'un nouveau pare-feu Stormshield Network Security. Qu'il soit en configuration usine sortie du carton ou lors d'une remise en configuration par défaut, nous allons voir ensemble qu'il est en effet possible de préparer une clé USB avec nos fichiers souhaités.


L'objectif serait en effet de voir le formatage et l'installation des fichiers relatifs à la poste configuration du pare-feu de la clé USB, puis des manipulations réalisées sur le pare-feu.


Sommaire
  1. Prérequis
  2. Ordre d'application des opérations
  3. Préparation
    1. Copier les fichiers nécessaires à la racine de la clé USB
      1. Fichier de licence (.licence)
      2. Mise à jour du firmware (.maj)
      3. Importation d'un fichier de configuration (.na)
    2. Mise en place
    3. Aperçu de l'exécution
  4. Conclusion

Prérequis

Afin de suivre ce tutoriel, assurez vous de respecter les éléments suivants :

  • Une clé USB (certaines clés ne sont pas reconnues par le pare-feu, n'hésitez pas à en essayer d'une autre marque),
  • Un câble USB pour se connecter en série sur un premier pare-feu de test,
  • Les fichiers « .licence » de chaque pare-feu,
  • Les fichiers « .maj » adaptés aux modèles,
  • Le fichier de configuration « .na » si nécessaire afin de restaurer une configuration déjà effectuée.


Ordre d'application des opérations

Lors du démarrage du firewall sur une clé USB, les fichiers présents sur la clé sont importés / installés / exécutés automatiquement selon la séquence suivante :



L'opération se déroule de la manière suivante :


1. Licence (extension .licence).

2. Mise à jour de firmware (extension .maj) : entraîne un redémarrage du firewall.


IMPORTANT : La clé USB doit être retirée au moment du redémarrage du firewall.


3. Fichier de sauvegarde de configuration (extension .na).

4. Package de rattachement à un serveur Stormshield Management Center (SMC) (extension .pack).

5. Certificats (extension .p12), à partir de la version SNS 3.9.0.

6. Mot de passe du compte admin (extension .pwd), à partir de la version SNS 3.9.0.

7. Fichiers de configuration de routage dynamique (extensions .bird et .bird6), à partir de la version SNS 3.10.2 ou de la version SNS 4.1.1.

8. Fichiers de configuration additionnelle (extension .csv), à partir de la version SNS 3.9.0.


Lorsque l'un des types de fichiers listés ci-dessus est absent de la clé, l'étape correspondante est simplement ignorée.


Préparation

Nous allons dans un premier temps, nous allons formatter la clé USB en format "FAT32", décochez la case "Formatage rapide". Cliquez enfin sur "Démarrer" :



Déposez les fichiers que vous récupérez, dans un cas de restauration dit "classique" :

  • Fichier de licence : à récupérer sur MyStormshield.eu, rubrique Produits > Gestion des produits & sélectionnez le numéro de série du bon pare-feu. Vous obtenez un fichier .licence.
  • Fichier de mise à jour firmware : à récupérer sur MyStormshield.eu, rubrique Téléchargements. Sélectionnez le bon firmware avec le bon modèle. Vous obtenez un fichier .maj.
  • Fichier de configuration : à récupérer sur votre pare-feu, depuis la partie CONFIGURATION > Système > Maintenance > Sauvegarder. Vous obtenez un fichier .na.


Copier les fichiers nécessaires à la racine de la clé USB

Maintenant que notre clé USB est formatée, nous devons disposer les fichiers de licence et de mise à jour, dans notre exemple.


Attention ! Les fichiers firmware et de licence doivent conserver leurs noms par défaut !


Exemple de nomenclature :

  • Fichier de licence : Firewall_Serial_Number.licence (ex : SNSX02B5204A9.licence),
  • Fichier firmware SNS : fwupd-version-SNS-architecture-modele.maj (ex : fwupd-4.7.4-SNS-amd64-M.maj),
  • Fichier de configuration SNS :
  • si fichier de configuration global, nommer le fichier : default.na
  • si fichier spécifique, nommer en fonction du numéro de série du firewall de destination : SNSX02B5204A9.na

Le processus d'auto configuration sélectionne automatiquement le fichier adapté au modèle en fonction de son nom. Ce qui peut être pratique et très bien dans le cas où vous souhaitez rapidement déployer une configuration sur plusieurs firewall est que le SNS est capable de prendre le bon fichier de licence et le bon fichier de firmware en fonction de son numéro de série et de son architecture.


Pour un besoin de cohérence, le fichier de configuration peut être nommé default.na.


Fichier de licence (.licence)

Chaque firewall dispose d'un fichier de licence qui lui est propre. Ces fichiers sont disponibles dans votre espace personnel MyStormshield, section Produit > Gestion des Produits.

Un fichier licence installé via clé USB doit être nommé Firewall_Serial_Number.licence.


Exemple : SNSX02B5204A9.licence


Mise à jour du firmware (.maj)

Il est possible de réaliser une mise à jour du firewall. Lorsque plusieurs firewalls doivent être configurés à l'aide d'une même clé USB, plusieurs fichiers de mise à jour logicielle peuvent être nécessaires (architectures firewalls différentes, versions logicielles préchargées différentes...).


Exemples :

  • fwupd-3.0.0-SNS-armv6-S.maj
  • fwupd-4.7.4-SNS-amd64-M.maj
  • etc...


Concernant la différence de mise à jour du firmware, si l'écart entre la version majeure du firmware du pare-feu lors de sa sortie d'usine et les versions logicielles présentes sur la clé est inférieur à 2 (par exemple, le pare-feu est en version 3.9.0 et le firmware est en version 4.0.0 sur la clé), seule la version logicielle la plus récente présente sur la clé est installée.


Dans le cas contraire, s'il y a plus de deux versions d'écart (par exemple, le pare-feu est en version 2.14.0 et les firmwares disponibles sont en version 3.9.0 et 4.0.0 sur la clé), une version intermédiaire du firmware doit être présente sur la clé pour permettre une mise à jour automatique par étapes.


La clé USB doit être retirée au moment du redémarrage du firewall !


Importation d'un fichier de configuration (.na)

Si la configuration destinée à être chargée sur les firewalls est générique, le fichier de sauvegarde peut être nommé default.na. S'il est différent pour les firewalls à configurer via la clé USB, chaque fichier de sauvegarde doit être nommé : Firewall_Serial_Number.na.


Exemples :

  • SNSX02B5204A9.na
  • SNSX02B5205A9.na
  • SNSX02B5206A9.na
  • etc...


Généralement, il faudra saisir toujours le numéro de série du firewall de destination pour les fichiers.

👉 Vous pouvez retrouver plus de détails à ce sujet depuis la documentation technique Stormshield : https://documentation.stormshield.eu/SNS/v4/fr/Content/PDF/SNS-TechnicalNotes/sns-fr-configuration_initiale_par_cle_usb_note_technique.pdf



Mise en place

Voici les étapes à suivre au moment de la mise en place de cette procédure de déploiement post configuration :

  1. Dans un premier temps, connectez votre pare-feu avec le câble série afin de visualiser les différentes étapes du processus,
  2. Brancher la clé USB sur un port USB,
  3. Effectuer une réinstallation usine, deux choix possible :
  4. Appui long sur le bouton reset usine du pare-feu
  5. Commande "DEFAULTCONFIG" : la commande defaultconfig propose des options qui la rendent plus complète et plus fine que "cleanfw", et la rendent donc plus appropriée à une restauration en configuration usine.
defaultconfig -f -p -u -r -c -L -d

Parmi les options sélectionnées :

  • Ne crée pas de copie du répertoire "ConfigFiles",
  • Supprime les fichiers de logs,
  • Procède à une réplication de l’état de la partition courante sur la partition de backup, ainsi que la configuration restaurée en paramètres usine.

4. Durant ce processus de démarrage, les fichiers de configuration disposés sur la clé USB seront dans un premier temps analysés et installé en respectant les conditions préalables (installations des fichiers en fonction du numéro de série ; architectures matériel (modèle du FW)).



Aperçu de l'exécution

Vous pouvez retrouver un exemple lié à l'installation de la licence et le démarrage de l'installation de la mise à jour sur le pare-feu concerné :




Nous pouvons voir également un aperçu de l'installation de la configuration :




Conclusion

Lorsque toutes les étapes de configuration sont terminées, le pare-feu est opérationnel et prêt à être déployé.

Vous pouvez-vous connecter à son interface d'administration web directement (https://FW_IP/admin) ou depuis Stormshield Management Center (SMC) si le pare-feu est lui -même rattaché à un serveur SMC.


Les opérations réalisées lors de la configuration initiale du firewall, sauf les éventuels imports de licences et mises à jour de firmware, sont enregistrées dans un fichier de log créé à la racine de la clé USB et nommé <SNSXXXXXXXXX_staging>.log 😉

Niveau Débutant

Technologie utilisée :

Proposer une modification
Antoine
Par Antoine
Rédigé le Mardi 19 Mars 2024