Stormshield
Configuration et mise en oeuvre de votre pare-feu
éditions-ENI
Chapitre 1
Introduction
1. Objectifs du livre15
2. Public visé16
3. Connaissances préalables recommandées16
4. Organisation de l'ouvrage18
5. Conventions d'écriture19
Chapitre 2
La gamme Stormshield Network Security
1. Qu'est-ce que Stormshield ?21
1.1 Un portefeuille de produits pour une réponse globale aux besoins de sécurité des environnements IT/OT22
1.1.1 Protection des réseaux physiques et des infrastructures virtualisées22
1.1.2 Protection des données22
1.1.3 Protection des postes et des serveurs22
1.2 Certifications et qualifications françaises des produits de sécurité23
2. Recommandations de sécurisation d'un pare-feu SNS. Guide ANSSI24
2.1 Administration du pare-feu25
2.2 Configuration réseau25
2.3 Configuration des services25
2.4 Politique de filtrage réseau et NAT26
2.5 Certificats et PKI26
2.6 VPN IPSec26
2.7 Supervision27
2.8 Sauvegarde27
2.9 Journalisation27
2.10 Gestion du parc27
3. Stormshield Academy, certifications Stormshield Network Security (SNS)27
3.1 Cursus SNS29
3.2 Partenariat avec les grandes écoles et universités30
4. Gestion des produits SNS31
4.1 Espace client31
4.1.1 Base de connaissances Stormshield34
4.2 Documentation35
4.3 Création d'un ticket36
4.4 RMA (Return Marchandise Authorization, ou Procédure d'échange matériel)39
4.4.1 Garantie standard39
4.4.2 Garantie Express40
4.4.3 Échange DOA (Dead On Arrival, « Mort dès son arrivée »)40
4.4.4 Serenity for ail (Sérénité pour tous)40
4.5 Licence40
4.5.1 Administration41
4.5.2 Modules41
4.5.3 Options42
4.5.4 Global43
4.5.5 Matériel44
4.5.6 Limites44
4.5.7 Réseau44
4.5.8 Proxy45
4.5.9 Services46
4.5.10 VPN (Virtual Private Network)47
4.6 Types d'offres47
4.6.1 Remote Office Security Pack47
4.6.2 UTM Security Pack48
4.6.3 Premium UTM Security Pack48
4.6.4 Enterprise Security Pack48
4.6.5 Pay-as-you-go (Payer au fur et à mesure)48
5. Modèles de la gamme SNS49
5.1 SN160(W)50
5.1.1 Descriptif50
5.1.2 Spécifications techniques50
5.2 SN210(W)52
5.2.1 Descriptif52
5.2.2 Spécifications techniques52
5.3 SN31054
5.3.1 Descriptif54
5.3.2 Spécifications techniques54
5.4 SN51055
5.4.1 Descriptif55
5.4.2 Spécifications techniques56
5.4.3 Options matérielles57
5.5 SN71057
5.5.1 Descriptif57
5.5.2 Spécifications techniques57
5.5.3 Options matérielles58
5.6 SN91059
5.6.1 Descriptif59
5.6.2 Spécifications techniques59
5.7 SN210061
5.7.1 Descriptif61
5.7.2 Spécifications techniques61
5.7.3 Options matérielles62
5.8 SN310063
5.8.1 Descriptif63
5.8.2 Spécifications techniques63
5.8.3 Options matérielles65
5.9 SN610065
5.9.1 Descriptif65
5.9.2 Spécifications techniques65
5.9.3 Options matérielles67
5.10 SNi4067
5.10.1 Descriptif67
5.10.2 Spécifications techniques67
5.10.3 Options matérielles68
5.11 Machines virtuelles69
5.11.1 Descriptif69
5.11.2 Modèles et performances69
5.11.3 Prérequis concernant les hyperviseurs71
Chapitre 3
Interfaces de gestion
1. Objectifs du chapitre73
2. Configuration par défaut présente sur l'UTM physique74
2.1 Authentification74
2.2 Réseau74
2.3 Filtrage75
3. Interface graphique (IHM ou GUI)75
4. Configuration par défaut sur une VM80
4.1 Déploiement d'une EVA sur VMware80
4.2 Déploiement d'une VM sur Virtualbox91
5. Interface CLI97
5.1 Accès en console97
5.1.1 Sur une UTM physique97
5.1.2 Sur une UTM virtuelle97
5.2 Accès avec un client SSH98
5.2.1 Putty sur Windows99
5.2.2 Client SSH sur Linux101
5.3 Accès en SRP102
5.3.1 Depuis une UTM102
5.3.2 Depuis un poste GNU/Linux103
5.3.3 Depuis un poste Windows104
6. Interface centralisée (SMC)108
Chapitre 4
Configuration
1. Introduction109
2. Menu « admin »110
2.1 Obtenir ou libérer le droit d'écriture111
2.1.1 Obtenir le droit d'écriture111
2.1.2 Libérer le droit d'écriture115
2.2 Obtenir ou libérer le droit d'accès aux données personnelles (logs)117
2.3 Préférences121
2.3.1 Restaurer les paramètres de connexion122
2.3.2 Paramètres de connexion122
2.3.3 Paramètres de l'application122
2.4 Se déconnecter123
3. Système124
3.1 Configuration124
3.1.1 Configuration générale124
3.1.2 Administration du firewall129
3.1.3 Paramètres réseau132
3.2 Administrateurs134
3.2.1 Administrateurs134
3.2.2 Compte Admin137
3.2.3 Gestion de tickets138
3.3 Licence140
3.3.1 Général140
3.3.2 Détails de la licence142
3.4 Maintenance143
3.4.1 Mise à jour du système143
3.4.2 Sauvegarder146
3.4.3 Restaurer148
3.4.4 Configuration149
3.5 Active update (Mises à jour automatiques)152
3.5.1 Configuration avancée153
3.6 Haute disponibilité154
3.6.1 Créer un groupe de firewalls (cluster)156
3.6.2 Joindre un cluster160
3.7 Management Center165
3.7.1 Rattachement du firewall au serveur SMC166
3.8 Console CLI168
4. Réseau169
4.1 Interfaces169
4.1.1 Interfaces externes ou internes (protégées)170
4.1.2 Paramètres des interfaces171
4.1.3 Interface ethernet173
4.1.4 Interface bridge174
4.1.5 Interface VLAN177
4.1.6 Interface GRETAP181
4.1.7 Interface Modem PPoE181
4.1.8 Interface Modem PPTP184
4.1.9 Interface USB/Ethernet (Clé USB/Modem)186
4.1.10 Interface d'agrégation de liens (LACP)189
4.2 Interfaces virtuelles192
4.2.1 Interfaces VTI192
4.2.2 Interfaces GREtun193
4.2.3 Loopback194
4.3 Routage195
4.3.1 Routage statique195
4.3.2 Routage dynamique196
4.3.3 Routes de retour198
4.4 Routage multicast199
4.5 DNS dynamique201
4.6 DHCP202
4.6.1 Serveur DHCP202
4.6.2 Relai DHCP205
4.7 Proxy Cache DNS206
5. Objets208
5.1 Objets réseau208
5.1.1 Objet de type Machine (hôte)209
5.1.2 Objet de type FQDN (Nom DNS)211
5.1.3 Objet de type Réseau212
5.1.4 Objet de type Plage d'adresses IP213
5.1.5 Objet de type Routeur214
5.1.6 Objet de type Groupe (hôtes et réseaux)216
5.1.7 Objet de type Protocole IP218
5.1.8 Objet de type Port220
5.1.9 Objet de type Groupe de ports221
5.1.10 Objet de type Groupe de régions222
5.1.11 Objets de type Temps223
5.2 Objets Web225
5.2.1 URL225
5.2.2 Nom de certificat (Common Name)226
5.2.3 Groupe de catégories227
5.2.4 Base d'URL229
5.3 Certificats et PKI236
5.3.1 Création d'une CA (Root CA)240
5.3.2 Ajout d'une CA243
6. Utilisateurs246
6.1 Utilisateurs246
6.2 Comptes temporaires247
6.3 Droits d'accès248
6.3.1 Accès par défaut249
6.3.2 Accès détaillé250
6.3.3 Serveur PPTP250
6.4 Authentification251
6.4.1 Méthodes disponibles251
6.4.2 Politique d'authentification257
6.4.3 Portail captif259
6.4.4 Profils du portail captif259
6.5 Enrôlement261
6.6 Configuration des annuaires263
7. Politique de sécurité268
7.1 Filtrage et NAT269
7.1.1 Onglet Filtrage269
7.1.2 Onglet NAT282
7.2 Filtrage URL284
7.3 Filtrage SSL285
7.4 Filtrage SMTP288
7.5 Qualité de service289
7.6 Règles implicites291
8. Protection applicative293
8.1 Applications et protections293
8.2 Protocoles295
8.3 Profils d'inspection297
8.4 Management de vulnérabilités298
8.5 Réputation des machines299
8.5.1 Configuration299
8.5.2 Machines300
8.6 Antivirus300
8.6.1 Kaspersky300
8.6.2 Clamav301
8.7 Antispam302
8.7.1 Général302
8.7.2 Domaines en liste blanche303
8.7.3 Domaines en liste noire304
9. VPN304
9.1 VPN IPSec304
9.1.1 Politique de chiffrement - tunnels305
9.1.2 Correspondants306
9.1.3 Identification308
9.1.4 Profils de chiffrement309
9.2 VPN SSL Portail311
9.3 VPN SSL312
9.4 Serveur PPTP314
10. Notifications315
10.1 Traces-Syslog-IPFix315
10.2 Agent SNMP319
10.3 Alertes e-mail321
10.4 Événements système323
10.5 Messages de blocage324
10.6 Configuration des rapports326
10.7 Configuration de la supervision327
Chapitre 5
Monitoring
1. Introduction329
2. Tableau de bord330
2.1 Réseau331
2.2 Propriétés331
2.3 Services332
2.4 Protections332
2.5 Indicateurs de santé333
3. Logs - Journaux d'audit333
4. Rapports335
5. Supervision339
Chapitre 6
Gestion centralisée SMC
1. Introduction343
2. Installation344
2.1 Téléchargement de la machine virtuelle SMC344
2.2 Installation345
2.3 Assistant d'installation en ligne de commande346
2.4 Assistant d'installation par l'interface graphique du SMC348
3. Gestion de SMC351
3.1 Installation d'une licence valide351
3.2 Paramètres353
3.3 Maintenance354
3.4 Administrateurs355
3.5 Journaux/traces356
4. Supervision357
5. Configuration361
5.1 Firewalls et dossiers361
5.1.1 Filtrage361
5.1.2 Topologies VPN362
5.2 Certificats365
5.3 Profils de chiffrement367
5.3.1 Ajout d'un profil de chiffrement367
6. Objets réseau368
7. Déploiement369
8. Maintenance370
9. Scripts CLI SNS370
Chapitre 7
Exemples de configuration
1. Introduction371
2. Réseau371
2.1 GRETAP371
2.1.1 Firewall Lille372
2.1.2 Firewall Paris375
2.1.3 Vérification de la connectivité entre les deux réseaux identiques375
2.2 Gretun, interface virtuelle377
3. Politique de sécurité377
3.1 Filtrage et NAT377
3.2 Règles implicites383
3.2.1 Règles implicites plugin387
3.2.2 HA388
3.2.3 Requêtes ident (port TCP/113)390
3.2.4 Serveur PPTP390
3.2.5 GRE391
3.2.6 SRP391
3.2.7 SSH392
3.2.8 OpenVPN (VPN SSL « full »)393
3.2.9 VPN IPSec393
3.2.10 Fwdefault394
3.3 Proxy SSL395
3.3.1 Création d'une règle de filtrage397
3.3.2 Création de l'Autorité de certification399
3.3.3 Paramétrage du proxy SSL400
3.3.4 Ajout de la CA dans un navigateur Mozilla Firefox401
3.3.5 Filtrage SSL404
3.3.6 Filtrage URL406
3.3.7 Alarmes IPS407
4. Utilisateurs409
5. VPN SSL411
5.1 Configuration sur le SNS411
5.2 Configuration sur client414
Chapitre 8
Débogage
1. Introduction419
2. Outils d'aide au diagnostic419
2.1 Connaître l'adresse IP d'un hôte419
2.1.1 Microsoft Windows419
2.1.2 GNU/Linux420
2.1.3 SNS422
2.2 Tester la connectivité réseau entre deux hôtes424
2.3 Résolution DNS d'un hôte426
2.3.1 Microsoft Windows426
2.3.2 CNU/Linux428
2.3.3 SNS429
2.4 Table de routage430
2.4.1 Microsoft Windows430
2.4.2 GNU/Linux431
2.5 Prendre des captures432
2.5.1 GNU/Linux et SNS432
2.5.2 Microsoft Windows436
3. Récupération de la configuration440
3.1 Réinitialisation du mot de passe de l'utilisateur admin440
3.2 Récupération de la configuration par defaultconfig441
4. Réseau444
4.1 Bridge444
4.1.1 Enregistrement des hôtes444
4.1.2 Mode protégé du bridge445
4.2 Routage445
4.2.1 Interface de sortie445
5. Objets446
5.1 Régénération des CA présentes dans l'UTM446
6. IPS447
6.1 Commandes sfctl (Stateful control)447
6.1.1 Règles de filtrage et NAT447
6.1.2 Correspondance des règles449
6.1.3 Hôtes450
6.1.4 Connexions450
6.1.5 Utilisateurs452
6.1.6 Routage vis-à-vis de l'IPS452
6.1.7 Autres commandes sfctl453
Index455