Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Stormshield
  3. Interfaces de gestion
Extrait - Stormshield Configuration et mise en oeuvre de votre pare-feu
Extraits du livre
Stormshield Configuration et mise en oeuvre de votre pare-feu
1 avis
Revenir à la page d'achat du livre

Interfaces de gestion

Objectifs du chapitre

Ce chapitre couvre les moyens offerts à l’administrateur d’un produit SNS pour accéder à la configuration présente en sortie d’usine. Ceci est valable pour les nouveaux produits reçus et pour ceux qui auront été réinitialisés par un « default config ». Nous allons donc découvrir comment accéder à l’IHM (Interface Homme Machine, aussi appelé GUI pour Graphical User Interface). Nous étudierons les outils que nous pouvons utiliser, avec les niveaux de sécurité associés.

Concernant l’accès via la console, nous passerons en revue les trois manières disponibles d’y accéder. Il s’agit d’informations qui peuvent s’avérer utiles, surtout dans le cas où un administrateur ne saurait pas comment accéder à la configuration ou s’il constatait l’impossibilité de se connecter au firewall pour diverses raisons (un protocole ou un port filtré depuis le réseau d’où il se connecte, un problème sur l’interface graphique, etc.). Nous aborderons aussi dans ce chapitre l’interface centralisée SMC.

Configuration par défaut présente sur l’UTM physique

Lorsque l’on acquiert une UTM physique (le cas spécifique d’une UTM virtuelle sera étudié plus tard, dans ce même chapitre), celle-ci est déjà préparamétrée. Elle comporte une configuration par défaut, qui peut varier selon les modèles (le nombre d’interfaces peut être différent, par exemple), mais globalement cela reste assez similaire. Bien la connaître peut nous faire gagner du temps lorsque, notamment, on souhaite s’authentifier sur l’UTM pour commencer à la paramétrer ou restaurer une configuration le plus rapidement possible dans le cadre d’un RMA ou prêt de SNS.

1. Authentification

Le nom de l’utilisateur qui possède tous les droits sur l’UTM est « admin » et, lorsque vous recevez le produit en paramétrage d’usine, son mot de passe est « admin ». Cet utilisateur peut, en paramétrage par défaut, s’authentifier en GUI et en console, mais pas via une connexion SSH car ce service n’est pas activé par défaut. Nous verrons plus tard comment activer cet accès.

2. Réseau

Toutes les interfaces réseau font partie d’un bridge. Ce terme désigne un ensemble d’interfaces (physiques ou logiques)...

Interface graphique (IHM ou GUI)

Une fois que votre ordinateur a bien récupéré une adresse IP fournie par le SNS, vous êtes prêt à vous connecter sur la GUI. Pour cela, il vous faut un navigateur web recommandés par Stormshield comme Microsoft Edge, Google Chrome et Mozilla Firefox, tous trois dans leur dernière version.

Dans la barre d’URL, il faut taper https://10.0.0.254/admin. Cette connexion sur le port TCP/443 est bien chiffrée car le protocole utilisé est HTTPS.

Lorsque l’on y accède en utilisant un navigateur Mozilla Firefox pour Ubuntu version 75.0 (64 bits), l’algorithme utilisé pour le chiffrement de la communication SSL est : TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f). La version du protocole TLS utilisée est la 1.2.

Un avertissement doit s’afficher sur votre navigateur concernant le certificat présenté par l’UTM. Bien évidemment, l’Autorité de Certification (aussi appelée CA, pour Certification Authority) qui l’a signé ne fait pas partie des CA de confiance du magasin de certificats du navigateur (ou du magasin de certificats du système d’exploitation utilisé par le client). Chaque UTM possède une CA générée automatiquement lors du premier démarrage, qui signe le certificat utilisé par le serveur web lorsqu’il...

Configuration par défaut sur une VM

Une machine virtuelle ne comporte pas de configuration par défaut, par contre il y a un assistant de configuration qui s’exécute lors du déploiement de la machine dans le cas d’une EVA ou lorsqu’elle est démarrée dans le cas d’une VM classique.

1. Déploiement d’une EVA sur VMware

Dans cet exemple, nous allons utiliser VMware, version 5.

 Vous devez commencer par effectuer le déploiement d’un template (modèle) OVA, téléchargé au préalable sur le site de Stormshield.

images/03EP006.png

Voici les détails du template qui va être utilisé pour installer la VM EVA :

images/03EP007.png

 Vous devez accepter les conditions générales d’utilisation et la licence de l’utilisateur avant de continuer avec le déploiement.

images/03EP008.png

 Effectuez le choix du nom et de la localisation dans l’arborescence de VMware.

images/03EP009.png

 Puis vous devez choisir l’Hôte / Cluster (Host / Cluster) :

images/03EP010.png

 Choisissez ensuite l’emplacement de stockage (Storage) :

images/03EP012.png

 Puis sélectionnez le format du disque virtuel (Disk Format) :

images/03EP011.png

Ici commence la configuration à proprement parler de la machine virtuelle.

 Choisissez les réseaux virtuels (Network Mapping) pour les deux interfaces par défaut qui sont proposées :

images/03EP013.png

 Maintenant, il vous faut rentrer...

Interface CLI

Nous allons aborder dans cette section les trois manières d’accéeder en console locale ou distante sur le SNS. Les deux premières sont relatives à une console "classique", invite de commandes, la troisième concerne la console SRP (SNS).

1. Accès en console

a. Sur une UTM physique

Dans le colis contenant votre UTM physique se trouve un câble permettant de vous connecter en série. Il sera différent selon le modèle acquis :

  • Un câble USB "A vers B" pour les modèles SN160(W), SN210(W) et SN310(W).

  • Un câble RJ45 vers DB9F pour les modèles SN510, SN710, SN2100, SN3100 et SN6100.

  • Un câble DB9F pour le SNi40.

Les paramètres à utiliser sur des logiciels comme Putty, minicom ou d’autres terminaux sont les suivants :

  • 115200 bauds, 8 bits de données N pour pas de parité, 1 bit de stop (ou 115200/8N1), pour les modèles SN160(W), SN210(W) et SN310(W), SN510, SN710, SN2100, SN3100 et SN6100.

  • 9600/8N1, pour le modèle SN910.

 En vous connectant en série sur l’UTM, il vous faudra entrer le login et le mot de passe pour vous authentifier :

NS-BSD/arm (SN160W16K0330A7) (ttyu0) 
 
login :

b. Sur une UTM virtuelle

Chaque superviseur a une manière différente pour atteindre l’accès en console d’une VM. Normalement c’est assez intuitif et, dans la plupart des cas, la console s’ouvre automatiquement quand vous lancez la machine virtuelle.

2. Accès avec un client SSH

En configuration d’usine, l’accès en SSH n’est pas activé. Pour ce faire, il faut procéder comme suit :

 Rendez-vous dans la fenêtre Configuration - Système - Configuration, cliquez sur l’onglet Administration du Firewall, puis cherchez l’encadré Accès distant par SSH. Il faut cocher Activer l’accès SSH et si vous souhaitez utiliser l’authentification par mot de passe, cochez Autoriser l’utilisation du mot de passe (si vous souhaitez utiliser des biclés SSH seulement, vous n’êtes pas obligé de cocher cette dernière option).

images/03EP005.png

 Par ailleurs, depuis ce même écran de configuration, vous pouvez changer le port d’écoute du serveur SSH dans l’UTM.

Lorsque l’on...

Interface centralisée (SMC)

La gestion centralisée de plusieurs UTM Stormshield s’effectue à travers le SMC, Stormshield Management Centralized. Il s’agit d’un produit développé par Stormshield et téléchargeable depuis l’Espace client.

Il est accessible par un navigateur web et s’installe comme une VM. La licence gratuite permet de gérer jusqu’à cinq UTM. Au-delà, il faut souscrire une licence. 

Le chapitre Gestion centralisée SMC lui est entièrement consacré.