💥 Accédez en illimité à
tous nos livres & vidéos, sur l'IA, le dev, les réseaux... Cliquez ici
-100€ sur l'abonnement annuel à
la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres & vidéos
  2. Stormshield
  3. Exemples de configuration
Extrait - Stormshield Configuration et mise en oeuvre de votre pare-feu
Extraits du livre
Stormshield Configuration et mise en oeuvre de votre pare-feu
3 avis
Revenir à la page d'achat du livre

Exemples de configuration

Introduction

Ce chapitre est dédié à des exemples de configuration assez classiques qui aideront le lecteur à appréhender la manière de configurer une UTM SNS. Nous allons privilégier la configuration en utilisant la GUI, excepté dans les cas nécessitant d’utiliser la CLI ou des commandes shell sur l’UTM. À chaque fois qu’il sera nécessaire d’éclaircir des concepts ou compléter avec d’autres informations pour mettre en place des éléments de configuration, cela sera fait.

La sauvegarde de cette configuration fera partie des fichiers à récupérer.

Réseau

1. GRETAP

Une entreprise basée à Lille a acquis une autre société sur Paris. Toutes deux possèdent une UTM SNS qui protège leurs réseaux. À Lille, le SNS porte l’adresse IP publique 1.1.1.1 et à Paris l’IP 2.2.2.2. Toutes deux partagent le même sous-réseau sur les deux sites distants, à savoir, 192.168.25.0/24. Sur le firewall de Lille, une interface porte l’adresse IP 192.168.25.253 et sur le firewall de Paris l’adresse IP 192.168.25.254.

Il est possible d’utiliser les interfaces GRETAP pour relier ces deux réseaux. Des services tels que DNS ou DHCP seront pris en compte comme des services locaux. Pour assurer la confidentialité et l’intégrité des échanges, nous allons faire passer ces flux par un tunnel VPN IPSec.

a. Firewall Lille

Vous allez d’abord créer l’interface GRETAP. Pour cela :

 Dans Configuration - Réseau - Interfaces, cliquez sur Ajouter - Interface GRETAP. Il faut tout d’abord activer l’interface, puis lui donner un nom et remplir les champs Source du tunnel (qui sera, normalement, l’interface out) puis Destination du tunnel, qui sera l’adresse IP publique de l’autre SNS.

images/EP07_003_001.png

Maintenant, vous allez paramétrer un bridge et y placer l’interface qui vous intéresse puis l’interface GRETAP :

 Dans Configuration - Réseau - Interfaces, cliquez sur Ajouter - Bridge. Vous allez placer dans le bridge l’interface qui porte...

Politique de sécurité

1. Filtrage et NAT

Nous allons étudier quelles seraient les règles de filtrage de base pour sécuriser un réseau vis-à-vis d’Internet. Il est conseillé de prendre à partir du profil de filtrage 05, les quatre premiers étant déjà utilisés ainsi que le 09 et le 10.

 Le slot 05 est vide. Une bonne pratique est de renommer le slot de filtrage. Dans votre cas, appelez-le Production. Cliquez sur le bouton Nouvelle règle et ajoutez la première règle en cliquant sur Règle simple qui est créée désactivée et possède cette configuration :

images/EP07_04001.png

 Vous allez créer une règle de filtrage type qui sera dupliquée et modifiée à chaque fois que vous souhaiterez créer une nouvelle règle de filtrage. La première chose à faire est de changer l’état à on, puis modifier l’action à passer. La source est Network_internals, dans la plupart des cas. Ce terme représente l’ensemble de tous les réseaux protégés par l’UTM, c’est-à-dire tous les réseaux des interfaces considérés comme protégés, plus les réseaux déclarés par des routes statiques sur ces interfaces.

 Pour savoir quels sont ces réseaux, vous pouvez lancer la commande suivante :

Firewall.loc-VMSNSX09K0639A9>sfctl -s protaddr 
 
Protected address (ASQ): 
                         network   interface 
                     10.0.0.1/32  sslvpn_udp 
                 192.168.58.0/24        dmz2 
                 192.168.46.0/24        dmz1 
                 192.168.26.0/24          in ...

Utilisateurs

Pour connecter un annuaire Active Directory, nous avons besoin de l’adresse IP du serveur, d’un compte administrateur de l’AD et de la base DN (Distinguished Name ou nom distinct).

Vous pouvez retrouver cette dernière en lançant la commande dsquery *. Il s’agit de la première ligne affichée :

C:\Windows\system32>dsquery *  
"DC=gorilla,DC=corp"  
"CN=Users,DC=gorilla,DC=corp" 
[...]

Vous avez également besoin de l’identifiant (user DN), que vous pouvez retrouver en lançant la commande dsquery user -name nom_utilisateur :

C:\Windows\system32>dsquery user -name stormadmin1  
"CN=stormadmin1,OU=Admins,OU=Utilisateurs,DC=gorilla,DC=corp" 
[...]

Le mot de passe de cet utilisateur administrateur est également nécessaire.

images/EP07_005_001.png

 Une fois toutes ces informations entrées et après avoir cliqué sur Suivant, l’annuaire AD est bien connecté. Dans les Annuaires configurés, vous pouvez retrouver celui-ci :

images/EP07_005_002.png

 Pour vérifier s’il est bien paramétré, vous pouvez cliquer sur Action, puis Vérifier la connexion :

images/EP07_005_003.png

 Désormais, vous pouvez vérifier la liste des utilisateurs dans CONFIGURATION - UTILISATEURS et encore UTILISATEURS :

images/EP07_005_004.png

VPN SSL

Le module VPN SSL est très populaire de nos jours. Il est très facile de monter un tunnel VPN SSL depuis un PC sous Microsoft Windows en utilisant le client officiel Stormshield VPN SSL Client ou depuis n’importe quel client OpenVPN ou compatible.

1. Configuration sur le SNS

Nous allons activer le portail captif du SNS. Une fois ceci fait, nous allons faire le paramétrage du serveur OpenVPN embarqué par le SNS, puis la configuration côté client.

 Activez le portail captif sur l’interface externe dans CONFIGURATION - UTILISATEURS - Authentification - Portail captif.

images/EP07_005_005.png

 Donnez les droits aux utilisateurs pour monter le tunnel VPN SSL dans CONFIGURATION - Utilisateurs - Droits d’accès - Accès détaillé.

images/EP07_005_006.png

 Maintenant, testez si les utilisateurs peuvent s’authentifier sur le portail captif. Pour cela, connectez-vous à l’aide de votre navigateur sur l’URL https://firewall.loc/auth :

images/EP07_005_007.png

 Réalisez l’authentification avec un utilisateur :

images/EP07_005_008.png

 Pour continuer la configuration du SNS, dirigez-vous dans CONFIGURATION - VPN SSL et renseignez les paramètres suivants :

images/EP07_005_009.png

2. Configuration sur client

Côté client, nous allons télécharger le client VPN SSL Stormshield depuis le portail captif du SNS.

 Le client authentifié sur le portail captif télécharge le Stormshield VPN SSL Client...