Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Stormshield
  3. Gestion centralisée SMC
Extrait - Stormshield Configuration et mise en oeuvre de votre pare-feu
Extraits du livre
Stormshield Configuration et mise en oeuvre de votre pare-feu
1 avis
Revenir à la page d'achat du livre

Gestion centralisée SMC

Introduction

De nos jours, les entreprises et d’autres opérateurs sensibles optent pour une gestion centralisée de la sécurité informatique. Quelques avantages se dégagent de cette approche. Le premier est de disposer d’une configuration homogène sur tout notre parc informatique. En effet, des éléments de sécurité tels qu’un firewall qui ne seraient pas trop utilisés et/ou oubliés peuvent représenter le maillon faible de toute une infrastructure informatique. Une seule interface de gestion simplifiera la mise en place, entre autres, de tunnels VPN IPSec entre les différents correspondants. Un unique point pour vérifier, par exemple, les versions des logiciels peut être aussi un point très positif.

Installation

1. Téléchargement de la machine virtuelle SMC

 Depuis l’espace client Stormshield, qui se trouve à l’adresse https://mystormshield.eu, vous pouvez télécharger la machine virtuelle SMC. Il faut suivre le chemin Téléchargements - Téléchargements - Stormshield Network Security - Management Center - SMC et en bas de l’écran vous pouvez télécharger la machine virtuelle :

images/EP06_001.png

Vous avez le choix entre différents types de machines virtuelles :

  • Hyper -V

  • KVM

  • VMware

2. Installation

Dans notre exemple, nous allons utiliser Virtualbox pour installer SMC ; vous avez le choix, comme vu plus haut, d’autres hyperviseurs.

 Vous devez importer le fichier ova dans Virtual Box.

images/EP06_002.png

 En cliquant sur Next, quelques informations sont affichées à l’écran et vous pouvez cliquer sur Import :

images/EP06_003.png

 Vous devez accepter les termes et les conditions de la licence du SMC :

images/EP06_004.png

3. Assistant d’installation en ligne de commande

Nous allons utiliser l’assistant de configuration en ligne de commandes pour configurer les paramètres de base de SMC (configuration initiale).

 Une fois la machine virtuelle importée, lancez-la.

images/EP06_005.png

 Appuyez sur n’importe quelle touche pour entrer dans l’assistant de configuration lorsque vous verrez le message :

[...] 
Press a key to enter manual server setup...

Gestion de SMC

1. Installation d’une licence valide

Pour avoir la possibilité d’ajouter des UTM à notre SMC, il faut avoir une licence valide. Nous allons voir comment l’installer.

 Une fois l’assistant terminé, vous pouvez vous authentifier avec l’utilisateur admin sur l’interface graphique, en utilisant le mot de passe que vous avez défini.

images/EP06_014.png

 Vous recevez un message précisant que vous ne possédez pas encore de licence valide sur le SMC, ainsi, aucun firewall ne peut être géré par ce SMC.

images/EP06_015.png

 Il vous faut donc installer une licence valide pour continuer à travailler avec ce SMC :

images/EP06_016.png

2. Paramètres

Il s’agit ici des paramètres réseau propres au bon fonctionnement du serveur SMC lui-même. Le nom d’hôte peut être changé, ainsi que le serveur DNS, et vous pouvez modifier les paramètres des différentes interfaces présentes sur votre serveur.

images/EP06_017.png

3. Maintenance

Depuis ce menu, vous pouvez mettre à jour, sauvegarder la configuration du serveur SMC et la restaurer ou lancer un rapport technique de diagnostic du serveur.

images/EP06_018.png

Le rapport technique peut être demandé par le support Stormshield pour l’aide au diagnostic d’un problème remonté à l’éditeur. Il s’agit d’une archive ZIP contenant plusieurs dossiers et un fichier...

Supervision

Voici le principal menu du serveur SMC. C’est ici que vous ajoutez les firewalls qui sont gérés par le SMC. Lors de la création d’un firewall, une nouvelle fenêtre s’ouvre, vous demandant le Nom du firewall, sa Description et le Lieu physique où il se trouve. Une adresse IP est utilisée pour les topologies VPN. Elle peut être apprise par le SMC, vous pouvez la rentrer manuellement (adresse IP fixe) ou prendre le choix de n’importe quelle adresse IP (dynamique). Ce dernier choix est fait lorsque le firewall que vous êtes en train de créer ne porte pas d’adresses IP fixes, mais dynamiques.

Vous devez aussi choisir l’interface locale de sortie par défaut pour le VPN. Vous disposez des choix suivants : Any, Firewall_in et Firewall_out.

La dernière option est celle de la création du package de rattachement. En effet, un package doit être généré par le SMC et installé dans le SNS.

images/EP06_022.png

Lorsque vous cliquez sur Valider, une nouvelle fenêtre d’information s’ouvre afin d’expliquer que toute la configuration globale existante sur le nouveau firewall que vous ajoutez à votre SMC sera supprimée. C’est bien au niveau de la configuration globale et non au niveau de la configuration locale que le SMC va faire des modifications dans les SNS gérés.

L’avant-dernier...

Configuration

1. Firewalls et dossiers

a. Filtrage

Depuis ce menu, vous pouvez, entre autres choses, créer des Règles de filtrage et des Règles de translation. Une fois que ces règles sont créées, elles peuvent être appliquées à vos firewalls. La procédure pour créer des règles de filtrage et NAT est très similaire à celle des firewalls SNS. La voici en détail :

 Lorsque vous cliquez sur Ajouter après, une règle de filtrage basique s’ajoute. Vous pouvez la modifier par la suite. Dans notre cas, créons une règle de filtrage qui permettra le trafic depuis le réseau Network_in vers Internet. Cette règle de filtrage est créée dans le dossier SMC.

images/EP06_029.png

 Puisque vos deux firewalls sont bien dans ce dossier, vous pouvez déployer la configuration, et ainsi voir apparaître cette règle de filtrage dans chacun de vos firewalls, dans la partie globale.

images/EP06_030.png

 Une fois affiché Déploiement terminé avec succès, vous pouvez vérifier sur vos firewalls si les règles de filtrage ont bien été créées soit en IHM, soit en console. Pour cette dernière solution, utilisez la commande sfctl. Voici la vérification en console sur celui de Paris :

sfctl -s filter 
[...] 
1  :1  : pass from 192.168.26.0-192.168.26.255...

Objets réseau

Dans ce menu, l’administrateur a accès à tous les objets réseau présents dans le SMC. Ils peuvent être filtrés par nom, par type et on peut même en créer depuis l’icône en forme de page bleue.

Pour en modifier un, il vous suffit de cliquer deux fois sur l’objet et une fenêtre s’ouvre au centre de votre écran.

images/EP06_040.png

Déploiement

Il s’agit d’un menu très simple et intuitif. Lorsque SMC détecte la nécessité de déployer des configurations, une icône orange vous interpelle sur la bande en haut de l’IHM de SMC.

images/EP06_042.png

 Cliquez sur l’icône pour vous rendre dans le menu Déploiement. Dans celui-ci, vous accédez à la liste des firewalls attachés au SMC. Vous pouvez en sélectionner un, plusieurs ou bien l’intégralité pour déployer les configurations sur ces SNS. Vous pouvez aussi voir si le firewall est bien connecté au SMC.

images/EP06_043.png

En déclenchant le déploiement, vous avez un retour concernant le résultat de l’action menée dans l’onglet Déploiement.

Maintenance

Il existe une sauvegarde automatique de la configuration du serveur SMC ainsi que des firewalls qui y sont attachés. Par défaut, elle est activée.

images/EP06_045.png

Scripts CLI SNS

L’administrateur a la possibilité de créer des scripts CLI SNS et de les déployer sur les firewalls attachés. Il s’agit d’une fonctionnalité avancée qui requiert une connaissance approfondie des commandes SRP.