alphorm.com support de la formation stormshield administration

25/07/2016

1

Formation Stormshield, Administration alphorm.com™©

Formation

StormshieldAdministration

Site : http://www.alphorm.comBlog : http://blog.alphorm.com

Matthieu BAYLEFormateur et ConsultantIngénierie systèmes et ré[email protected]

25/07/2016

2


Plan

• Présentation du Formateur

• L’intérêt de Firewall dans une infrastructure

• Le plan de formation

• Les objectifs de la formation

• Site Stormshield

• Les téléchargements et liens

• Les autres Formations disponibles

25/07/2016

3


Présentation du Formateur

Matthieu Bayle

• [email protected]

• Consultant en sécurité et Ingénieur systèmes/réseaux

• Ma mission actuelle

25/07/2016

4


L’intérêt de Firewall dans une infrastructure

• Rendre accessible des ressources (Web, applicative etc.)

• Protéger le réseau interne

• Filtrer les accès à internet

• Respecter la loi

• Créer des accès distants (VPN pour les collaborateurs ou entre sites)

• Filtrer les accès entrants ou sortants

25/07/2016

5


Cursus Stormshield

Stormshield, Expert

Stormshield, Administration

25/07/2016

6


Le plan de formation

• Module 1 – Introduction à Stormshield

• Historique

• Les Appliances V8

• Les Appliances V9

• Les Appliances Stormshield

• Les fonctions des Appliances

• Module 2 – Configuration de base de Stormshield

• Présentation de l'interface

• Partie réseau

• Les Objets

• Configuration système et mises à jours

• Module 3 – Les services Stormshield

• Les Vlan

• Le DNS

• Le DHCP

• Le Routage

• NAT

• PAT

• Matrice de flux et Filtrage

• Filtrage d’URL

• Première approche des VPN

Module 3 – Conclusion

25/07/2016

7


Les objectifs de la formation

• Installer et configurer une Appliance Stormshield

• Créer des VPN site à site

• Filtrer les URL

• Créer des règles de filtrage simples

• Rendre accessible des ressources depuis l’extérieur

• Vous protéger ainsi que votre société

• Comprendre les enjeux de la sécurité

25/07/2016

8


Site Stormshield

• Présentation du site Stormshield

• Téléchargement de versions

• Aperçu des note de versions

• Les logiciels spécifiques

• Les explications sur le Support Stormshield

• Les certifications

25/07/2016

9


Les téléchargements et liens

• Téléchargement de la machine virtuelle Stormshield

� Télécharger la machine virtuelle (sur le site de Stormshield + mise a jours 9.1.2.3 => 9.1.7 => 1.2.2 => 1.4.4 => 2.3.3)

� Les autres possibilités avec le contact direct de Stormshield

• Les obligations légales d’une entreprise

� https://www.cnil.fr/fr/le-controle-de-lutilisation-dinternet-et-de-la-messagerie-electronique

� https://www.cnil.fr/sites/default/files/typo/document/FICHETRAVAIL_INFORMATIQUE.pdf

• Les lien pour Stormshield

� Site officiel : https://www.stormshield.eu/fr/

� La documentation: https://www.stormshield.eu/documentation/?

� Blog sécurité: https://thisissecurity.net/

25/07/2016

10


D’autres formations sur d’autres firewall

25/07/2016

11


C’est Parti !!

25/07/2016

12


Présentation du LAB

Présentation



25/07/2016

13


Plan

• Mon poste de travail

• Les logiciels

• La configuration de VMware Workstation

• Plan du Visio du LAB

• Récapitulatif des noms des machines et adresses IP

25/07/2016

14


Mon poste de travail

• Processeur Intel i7-3770K

• Mémoire 32Go DDR3

• OS Windows 7 Pro sur un SDD 256Go

• VM Sur un NAS Synology 4x4To en RAID 5

25/07/2016

15


Les logiciels

• VMware Workstation 10

• Client Windows 10 Pro

• Serveur 2012 R2

• Appliance Stormshield Version 2.3 / 2.4

• NetASQ version 9

• NetASQ version 8 + Logiciels

25/07/2016

16


La configuration de VMware Workstation

• La configuration des VM

• La configuration du réseau

• Un Virtual Network par site, un Virtual Network pour Internet et un pour la partie VPN

Les VMs Stromshield/ NetASQ

• Mémoire 2 / 4 Go• 1 Processeur• 1 disque de 15Go• 6/8 Cartes réseaux• OS Spécifique

Les VMs client

• Mémoire 4 Go• 1 Processeur• 1 disque de 60Go• 1 Cartes réseau• OS Windows 10

Pro

Les VMs Serveurs

• Mémoire 6 Go• 2 Processeurs• 1 disque de 60Go• 1 Cartes réseau• OS Windows

2012R2

25/07/2016

17


Plan du Visio du LAB

25/07/2016

18


Récapitulatif des noms et adresse IPSociété A

Stormshield VS5 Société A LAN 10.10.0.1 255.255.255.0

Stormshield VS5 - VPN Société A VPN 110.100.0.10 255.255.255.0

Client Société A LAN 10.10.0.10 255.255.255.0

Serveur Société A LAN 10.10.0.200 255.255.255.0

Société B

NetASQ V9 Société B LAN 10.10.20.1 255.255.255.0

NetASQ V9 - VPN Société B VPN 110.100.0.20 255.255.255.0

Client Société B LAN 10.10.20.10 255.255.255.0

Serveur Société B LAN 10.10.20.200 255.255.255.0

Société CNetASQ V8 Société C LAN 10.10.30.1 255.255.255.0

NetASQ V8 - VPN Société C VPN 110.100.0.30 255.255.255.0

Client Société C LAN 10.10.30.10 255.255.255.0

Serveur Société C LAN 10.10.30.200 255.255.255.0

25/07/2016

19


Historique et présentation de Stormshield

Introduction



25/07/2016

20


Plan

•Histoire

•Les versions de Netasq

� V8 et antérieures

� V9

•Les versions de Stormshield

25/07/2016

21


Histoire

• Fondée en 1988

• Société de sécurité Françaisedepuis toujours

• Présente dans plus de 40 pays

• Basée à Villeneuve D’Ascq

• NetASQ rachetée en Octobre 2012 par Cassidian devient Stormshield

• En avril 2013 Cassidian rachète également Arkoon

25/07/2016

22


Les versions de NetASQ – V8 et antérieures

• Boitiers séries F

• Version 8 et antérieure

• Fin de support de la V8 le 30 Juin 2014

• Les premiers modèles de la série U étaient en V8

• Logiciels spécifiques pour l’administration

• Interface plus complexe et vieillissante

25/07/2016

23


Les versions de NetASQ – V9

• Les boitiers de Séries U étaient en V9 ou V8 sur demande.

• Exploitables à partir de la version 9.1

• Apparition de l’interface WEB

• Support des cartes SD

• Boitiers plus puissants

• Possibilité de décrypter les flux SSL

• Apparition des boitiers identiques en version S plus puissants

25/07/2016

24


Les versions de Stormshield

• Installation possible sur les boitiers de la série U en version S

• 12 boitiers au total

• Interface semblable à celle de la V9 de NetASQ

• Support des cartes SD

• Boitiers encore plus puissants

• Meilleure gestion des terminaux nomades (Mobile, tablette etc.)

25/07/2016

25


Ce qu’on a couvert

•Histoire

•Les versions de Netasq

� V8 et antérieures

� V9

•Les versions de Stormshield

25/07/2016

26


Les AppliancesV8

Introduction



25/07/2016

27


Plan• Les Appliances

• F25

• F50

• F200

• F500

• F800

• F2000

• Présentation de l’interface

25/07/2016

28


Les Appliances – F25 et F50

• 5 ports Ethernet

• 5000 Connexions simultanées

• Pas de VPN SLL

• Nombre max d’utilisateurs 10

• Plus de support



• Pas de VPN SLL


• Plus de support

25/07/2016

29






• Disque dur de 40Go

• Rack 1U

• Plus de support

• 4 ports Ethernet + 2 Ports Gigabit




• Rack 1U

• Plus de support

25/07/2016

30



• 6 ports Ethernet + 2 Ports Gigabit




• Rack 1U

• Plus de support

• 24 ports Ethernet (12 Ports Gigabit)


• Disque dur de 2*73Go

• Rack 4U

• Plus de support

25/07/2016

31


Les Appliances – Présentation de l’interface

• Pour rappel, la gamme NetASQ F ne possède plus aucun support, mais il est encore fréquent d’en voir dans certaine structure, et des projets de migration sont à prévoir. Nous allons donc voir ensemble:

� Les outils pour l’administration

� Une rapide présentation de l’interface

� Une sauvegarde du boitier

25/07/2016

32



•Toutes les Appliances de la gamme Netasq F.

•Présentation de l’ancienne interface

25/07/2016

33


Les AppliancesV9

Introduction



25/07/2016

34



• U30 et U30S

• U70 et U70S

• U120 et U150S

• U250 et U250S

• U450 et U500S

• U800S

• Présentation de l’interface

25/07/2016

35


Les Appliance – U30 et U30S

• Débit max: 200Mbps

• Nombre d’interfaces: 2

• Interface 10/100

• 50 000 connexions simultanées

• Tunnels VPN: 50

• Plus de support à partir du 30/09/2016


• Nombre d’interfaces: 5 (1+2*2)

• Interface 10/100


• Tunnels VPN: 50

25/07/2016

36






• Tunnels VPN: 100

• 8 000 nouvelles connexions par seconde

• Carte SD en options





• 6000 nouvelles connexions par seconde


25/07/2016

37














• Stockage 120 Go

25/07/2016

38


Les Appliances – U250 et U250S




• Tunnels VPN: 1 000








• Stockage 120 Go

25/07/2016

39


Les Appliances – U450 et U500S

• Débit max: 1 000Mbps








• 1 200 000 connexions simultanées



• Stockage 120 Go

25/07/2016

40


Les Appliances – U800S


• Nombre d’interfaces: 12 +2

• 1 500 000 connexions simultanées



• Stockage 120 Go

25/07/2016

41


Les Appliances – Présentation de l’interface

• Pour rappel, la gamme NetASQ U ne possède plus de support à partir de Septembre 2016, mais il est encore fréquent d’en voir dans certaine structure, et des projets de migration sont à prévoir. Nous allons donc voir:

� Une rapide présentation de l’interface

� Une sauvegarde du boitier

� Pour rappel les Serie S de NetASQ sont peuvent encore être sous maintenance.

25/07/2016

42



•Toutes les Appliances de la gamme NetASQ.

•Un rapide aperçu de l’interface V9 de NetASQ

25/07/2016

43


Les AppliancesPME et TPE

Introduction



25/07/2016

44



• SN150

• SN200

• SN300

• SN500

• SN510

• SN700

• SN710

• Présentation de l’interface Stormshield

25/07/2016

45


Les Appliances – SN150

• Idéal pour les sites distants ou très petites structures

• 1 interface externe

• 4 interfaces internes (en mode switch uniquement, 1 zone)

• 25 VPN IPSEC et 5 VPN SSL

• 30 000 Connexions simultanées

• Débit Firewall 400 Mbps

• 1 200 euros environ avec 5 ans de maintenance

25/07/2016

46



• Idéal pour les petites structures

• Support des cartes SD (option)

• 1 interface Externe

• 4 interfaces internes (en mode switch, 2 zones)




• 1 500 euros environ avec 5ans de maintenance

25/07/2016

47



• Idéal pour les structures moyennes

• Support des Cartes SD (option)

• 8 interfaces indépendantes

• Mise en cluster possible (option)





25/07/2016

48



• Rackable 1U



• Disque dur 120 Go Support carte SD (option)



• Débit Firewall 1Gbps


25/07/2016

49



• Rackable 1U



• Disque dur 320 Go





25/07/2016

50



• Rackable 1U



• Disque dur 120 Go Support carte SD (option)





25/07/2016

51



• 8-16 interfaces indépendantes Ethernet

• 0-4 Interfaces fibre 1Gb



• 1 000 VPN IPSEC et 150 VPN SSL

• 1 000 000 Connexions simultanées



25/07/2016

52



•Toutes les Appliances de la gamme Stormshield pour TPE et PME.

•Les tarifs

•L’interface Stromshield

25/07/2016

53


Les AppliancesGrande Entreprises

Introduction



25/07/2016

54



• SN900

• SN910

• SN2000

• SN3000

• SN6000

• Les Appliance Virtuelles

• Fin de la configuration des machines du LAB

25/07/2016

55



• 12 interfaces indépendantes Ethernet







25/07/2016

56






• Disque dur 120 Go SSD





25/07/2016

57






• Disque dur 120 Go SSD

• 5 000 VPN IPSEC et 1 024 VPN SSL




25/07/2016

58






• Disque dur 120 Go SSD en RAID1

• Alimentation redondante





25/07/2016

59






• Disque dur 256 Go SSD en RAID1

• Alimentation redondante





25/07/2016

60


Les Appliances – Les Appliances Virtuelles

• Disponibles sous VMware

• Possibilité d’installation sur Hyper-V

• Nombre limité d’adresses IP protégées

• Haute disponibilité facile

• Coût par adresse IP V50 V100 V200 V500

Adresse IP protégées

50 100 200 500

Connexions simultanées

100 000 200 000 400 000 600 000

Nb de VLAN 128

VPN IPSEC 100 500 1 000 1 000

VPN SSL 20 35 70 175

25/07/2016

61



•Toutes les Appliances de la gamme Stormshield.

•Les tarifs

•Finalisation de la configuration du LAB.

25/07/2016

62


Fonctions des Appliance

Introduction



25/07/2016

63


Plan

• Les fonctions standard

� Analyse ASQ (protocolaire et contextuelle)

� Antivirus

� Antispam

� Filtrage web

� Routage dynamique

� Services (DHCP, DNS etc.)

• Les fonctions optionnelles

� Vulnérability manager

� Antivirus

� Filtrage WEB

� HA

25/07/2016

64


Les Fonctions standard – Analyse ASQ

• Utilise la technologie STATEFULL.

• Plusieurs types de filtrage disponibles (IPS, IDS, Firewall).

• Plusieurs politiques applicables.

• Limitation du nombres de règles en fonction des boitiers.

• Importance de l’ordre des règles.

• Possibilité de faire de l’inspection sur le Traffic SSL

25/07/2016

65


Les Fonctions standard – Antivirus / Antispam

• Antivirus :

� Antivirus ClamAV fourni avec l'Appliance

� Analyse le trafic pour y détecter d’éventuels virus

� Scan des pièces jointes mails

� Mises à jours avec la licence

� Pas de surcoût

• Antispam :

� Filtrage des mails entrants

� Pas de blocage

� Analyse basée sur une liste d’adresses IP de Spammeur

� Mise à jour très régulièrement

� Fonctionne également avec la Licence.

25/07/2016

66


Les Fonctions standard – Filtrage Web / Routage

• Filtrage WEB :

� Filtrage Web par liste blanche

� Filtrage par liste noire

� Filtrage par type de contenu

� Mis à jour régulièrement

� Possibilité d’ajout manuel à la liste (blanche ou noire)

� Fonctionne également avec la Licence

• Routage :

� Accepte tout le protocole à partir du SN200

� Permet également le routage statique

� Accepte OSPF, RIP, BGP…

� BPG Full Route n’est accepté que sur les gros boitiers

25/07/2016

67


Les Fonctions standard – Les services

• Les services disponibles sur les Appliances Stormshield sont nombreux, de base et sans surcoût les boitiers proposent :

• Client DHCP

• Serveur / Relai DHCP

• Client DynDNS

• Client NTP

• Agent SNMP

• Cache DNS

• Syslog

• VPN SSL

• PKI & CA (sauf SN150)

• Logs local (sauf SN150)

25/07/2016

68


Les Fonctions optionnelles – Vulnerability manager / Antivirus

• Vunlnerability Manager :

� Vulnerability manager est un module qui analyse et collecte en temps réel des informations sur son réseau (OS, applications)

� Permet de prévenir en cas d’utilisation de logiciel non désiré sur le réseau d’entreprise

� Traite la vulnérabilité grâce à une base de données.

• Antivirus :

� Kaspersky Antivirus est disponible

� Remplace ClamAV

� Base de signatures de virus plus riche

� Fréquence de mise à jour paramétrable

� Intègre plus de formats d’archives

� Implémente des algorithmes de scan spécifique

25/07/2016

69


Les Fonctions optionnelles – Filtrage WEB / HA

• Filtrage WEB :

� En option, il est possible de remplacer les catégories de filtrage par celles de la base de données Optinet

� Plus de 100 millions d’URL

� 60 catégories

� Fréquence de mises à jours paramétrable

• Haute Disponibilité (HA) :

� La haute disponibilité est en option.

� Elle nécessite 2 boitiers identiques (même référence)

� Un réseau dédié

� D’avoir souscrit à l’option lors de l’achat des 2 boitiers.

25/07/2016

70



•Les différentes fonctions des Appliances

•Les fonctions incluses dans les boitiers

•Les fonctions additionnelles payantes.

25/07/2016

71


Présentation de l’interface

Configuration de base



25/07/2016

72


Plan

•Connexion au Firewall

•Présentation de l’interface

25/07/2016

73


Première connexion au Firewall

•Connexion au Firewall

•Login / Mot de passe

� admin

� admin

25/07/2016

74


Présentation de l’interface


•La page d’accueil

•Les différents widgets disponibles

25/07/2016

75



•La connexion à l'Appliance

•La page d’accueil et les différents Menus et Widgets

25/07/2016

76


Partie réseau




25/07/2016

77


Plan

• Interfaces en mode BRIDGE

� Explication sur le fonctionnement

� Ajouter ou supprimer des interfaces

� Plan d’adressage

• Les interfaces Physiques

� Nomenclature

� Utilisation

25/07/2016

78


Interfaces en mode BRIDGE

• En configuration initiale, toutes les interfaces sont membres d’un bridge.

• Le bridge fonctionne comme un switch

• Nous pouvons ajouter ou supprimer des interfaces du bridge

• Chaque interface fait partie du réseau du bridge

• Il est possible d’ajouter des VLAN au bridge

• Il est possible d’avoir plusieurs bridges

25/07/2016

79


Les interfaces Physique

• Pour les interfaces qui ne font plus parties du Bridge

� Doivent avoir leur propre plan d’adresse

� Peuvent avoir plusieurs Vlan et Modem

� Définir un nomenclature précise

� Les options avancées

25/07/2016

80



• La différence entre les interfaces BRIDGE et PHYSIQUE

• Configurer un BRIDGE

• Configurer une interface physique

• Définir une nomenclature

25/07/2016

81


Les Objets




25/07/2016

82


Plan

• Les Objets réseaux

� Introduction

� Les différents types d’objet

• Les Objets dynamiques

25/07/2016

83


Les Objets réseaux – Introduction

• Plusieurs types d’objets

• Utilisables partout (règles de filtrage et de translation, VPN)

• Préfixes interdits:

• Firewall_

• Network_

• Ephemeral_

• Global_

• Vlan_

• Bridge_

• Caractères interdits dans le nom:

� !

� ‘’

� #

� ,

� =

� @

� []

� \

• Noms d’objets interdits:

� Any

� None

� Anonymous

� Broadcast

� Internet

• Caractères interdits dans les commentaires:

� Les tabulations

� ‘’ et @ et #

25/07/2016

84


Les Objets réseaux – Les différents type d’objet

• Les objets réseaux peuvent être :

� Des Machines (Correspondance entre un nom machine et une IP)

� Des Plages d’adresses

� Des Réseaux

� Des Services ( Nom de service, port et protocole)

� Des Groupes (Machines et/ou réseaux; plages, groupes d’utilisateurs, groupes de services)

• Tous les objets sont modifiables après leur création

25/07/2016

85


Les objets dynamiques

• Les objets dynamiques sont créés automatiquement

• Ils sont utilisés par beaucoup de modules

• Ils sont en lecture seule

• Quelques exemples d’objets dynamiques existants :

� Network_Internals : Regroupe l’ensemble des réseaux internes protégés par le Firewall

� Internet : Représente tous les réseaux non protégés par le firewall

� Firewall_all : Regroupe l’ensemble des interfaces du Firewall

25/07/2016

86



•Les différents types d’objets

•Créer et modifier des objets

•Les utilisations principales des objets

25/07/2016

87


Configuration du système et mise à jours




25/07/2016

88


Plan

•Configuration de base

� Configuration générale

� Le mot de passe administrateur

•Configuration réseau

� Plan de nommage des interfaces et adressage

•Mettre à jour le firewall

25/07/2016

89


Configuration de base - Configuration générale

• Dans un premier temps et avant d’utiliser les Firewalls, il est important qu’ils s’intègrent parfaitement dans votre environnement.

� Renommer le firewall

� Valider depuis quel endroit nous pouvons accéder au Firewall

� Gérer les CRL

� La partie NTP

� Valider l’installation de la licence

� Etc.

25/07/2016

90


Configuration de base – Le mot de passe administrateur

• Le mot de passe administrateur est très important, il est possible de définir une stratégie spécifique.

� Définition d’une stratégie

� Changement du mot de passe admin

� Test du compte.

25/07/2016

91


Configuration réseau – Nommage et adressage

• Les interfaces sont de base, membres d’un bridge qui contient toutes les interfaces.

� Renommer les interfaces en fonction d’une convention de nommage

• [TYPE]_[UTILISATION]_[SOCIETE]

• Exemple:

• SRV_WEB_Societe_A

• FW_Societe_A

• NWK_LAN_Societe_A

25/07/2016

92


Mettre à jour le Firewall

• Avant de configurer les règles, il faut vérifier qu’il est à jour :

� Vérification des mises à jour

� Sauvegarder le système

� Télécharger le Firmware

� Mettre à jour le Firewall

25/07/2016

93



•La configuration de base

� Système

� Réseaux

� Mise à jour

25/07/2016

94


Les VLANs et Modem

Les Services



25/07/2016

95


Plan

•Les VLANs

� Ajout d’un VLAN simple

� Ajout d’un VLAN présent sur 2 interfaces

•Les Modems

� Installation d’un modem sur une interface

� Configuration particulière de l’interface

25/07/2016

96


Les VLANs – Ajout d‘un VLAN simple

• Ajoute une interface virtuelle sur un port

• Permet de configurer des options supplémentaires

• Demande une adresse IP (Passerelle)

• Limite du nombre de VLAN en fonction des boitiers

25/07/2016

97


Les VLAN – Ajout d’un VLAN sur 2 interfaces

• VLAN traversant

• Crée automatiquement un Bridge

• Demande au moins 2 interfaces

• Spécifier une interface d’entrée et une de sortie

25/07/2016

98


Les Modems – Installation d’un modem

• Installation sur une interface externe obligatoirement

• Demande une convention de nommage particulière

• Demande également les login/mot de passe du fournisseur d’accès (FAI)

• Ajoute automatiquement des objets

� Passerelle du FAI

� DNS du FAI

� Etc.

25/07/2016

99


Les Modems – Configuration particulière

• Lors de l’ajout d’un modem sur un interface, la modification du MTU est presque toujours obligatoire

• MTU normal pour une ligne ADSL classique est de maximum 1500

• Lorsque le paquet IP passe par le modem, le modem ajoute automatiquement des informations, le paquet devient donc plus gros et le trafic fonctionne moins bien.

• Il faut donc descendre la VALEUR du MTU

25/07/2016

100



•La configuration de VLAN

� Simple et traversant

•La configuration de Modem

� Installation et configuration particulières

25/07/2016

101


Le DNS

Les Services



25/07/2016

102


Plan

• La configuration DNS de L'Appliance

• La configuration d’un DynDNS

• Les DNS avec le Modem

� Les Objets

� La configuration dans le DHCP

� La configuration sur les clients

25/07/2016

103


La configuration DNS de l'Appliance

• Utile pour la résolution DNS de l'Appliance uniquement

• Utilise les règles de filtrage implicite du boitier.

• Permet d’avoir une résolution différente pour les clients et l’Appliance

• Possibilité d’utiliser le DNS du modem

• Ordre des DNS important

25/07/2016

104


La configuration d’un DynDNS

• Utile si vous n’avez pas d’adresse IP fixe

• Permet d’avoir un nom de domaine et donc le diffusion de ressources

• Service indépendant du boitier

• Service qui peut être payant.

25/07/2016

105


Les DNS avec le Modem

• Lors de la création d’un modem, les objets DNS hérités de la configuration sont automatiquement ajoutés.

� Présentation des Objets,

� Configuration sur la partie DHCP.

� Tests

25/07/2016

106



• La configuration DNS de l'Appliance

• Les objets créés automatiquement avec le Modem

• La configuration du DHCP avec le DNS

• Le proxy cache DNS

25/07/2016

107


Le DHCP

Les Services



25/07/2016

108


Plan

• Comment fonctionne un DHCP

� Attribution d’un bail

� Renouvellement d’un bail

• La configuration

� Configuration du DHCP Sur Stormshield

25/07/2016

109


Comment fonctionne un DHCP – les baux

• 4 étapes

• Demande du client en Brodcast

• Offre du ou des serveurs

• Décision du client

• Attribution définitive d’une adresse IP

• Port UDP 67

25/07/2016

110


Comment fonctionne un DHCP – Renouvellement

• Au démarrage de la machine

• Demande de renouvellement à 50%

• Nouvelle demande à 87,5 du temps (7/8)

• Bail expiré = nouvelle demande complète

• Port UDP 67

25/07/2016

111


Configuration sur les Appliance Stormshield

• Configuration de la partie DHCP

• Explication sur toute les options DHCP

• Test de la configuration

• Validation de la configuration

25/07/2016

112


Le relai DHCP

25/07/2016

113



•Le fonctionnement théorique du DHCP

•La configuration sur l'Appliance

•Le fonctionnement du relai DHCP

•La validation de la configuration

25/07/2016

114


Le routage

Les Services



25/07/2016

115


Plan

•Les passerelles par défaut

� La partie Modem

•Les routes statiques

25/07/2016

116


Les passerelles par défaut – Les modems

• Lors de l’ajout d’un modem une passerelle par défaut est automatiquement ajoutée.

• Il est possible de ne pas automatiquement ajouter de passerelles

• Il est possible d’avoir plusieurs passerelles, une passerelle active et une passerelle de secours.

• Le firewall négocie automatiquement l’ouverture de la ligne et réinitialise la connexion en cas de coupure.

25/07/2016

117


Les routes statiques

• Explication sur les routes statiques

� Les routes statiques permettent de forcer une route manuellement, c’est le cas par exemple pour accéder à un réseau spécifique situé derrière un routeur, dont votre Appliance n’a pas la connaissance

• Explication sur la construction des règles

25/07/2016

118



•Configuration des passerelles par défaut

•La configuration à partir du modem

•Construction de règles de routage statique

25/07/2016

119


Le NAT

Les Services



25/07/2016

120


Plan

•Le NAT

� Les principes

� La mise en application

25/07/2016

121


Le NAT – Les principes

• Le NAT ou Network Address Translation permet de donner accès àinternet à votre réseau local.

• Généralement, les réseaux internes ne sont pas routables sur internet (10.0.0.0 ou encore 192.168.0.0) et il faut utiliser l’adresse IP publique que nous fournit le FAI (par le biais d’un modem par exemple)

• Le principe du NAT est de remplacer l’adresse IP locale d’une machine par votre adresse IP publique afin d’accéder aux ressources situées à l’extérieur de votre réseau.

• Pour cela votre routeur attribue un port aléatoire à chaque connexion afin de les différencier

25/07/2016

122


Le NAT – La mise en application

• Sur les boitiers Stormshield, les règles de NAT doivent être réalisées à la main.

• Il peut y avoir plusieurs règles de NAT, l’ordre de lecture des règles est séquentiel, et elles sont appliquées dans l’ordre de la plus haute à la plus basse

• La construction des règles est toujours la même.

• Il est important de réaliser ces règles avec précaution, en cas d’erreur ces règles peuvent couper votre accès au boitier, et seule la ligne de commande pourra vous aider à débloquer votre accès.

• Attention les règles de firewall ne remplacent pas les règles de NAT, elles sont également nécessaires.

25/07/2016

123



25/07/2016

124



25/07/2016

125



25/07/2016

126



• Rendre internet accessible depuis votre réseau local

• Comprendre comment fonctionne le NAT

• Une vue d’ensemble des paquets TCP/IP

25/07/2016

127


Le Reverse NAT et le PAT

Les Services



25/07/2016

128


Plan

•Le Reverse NAT

� Les principes

� Rendre disponible des ressources

•Le PAT

� Les principes

� Rendre disponible des ressources

25/07/2016

129


Le Reverse NAT – Les Principes

• Le Reverse NAT ou Reverse Network Address Translation permet de donner accès à des ressources de votre réseau local depuis l’extérieur.

• Le principe du Reverse NAT est de remplacer l’adresse IP publique d’une machine par votre adresse IP locale afin d’accéder aux ressources situées à l’interieur de votre réseau.

25/07/2016

130


Le PAT – Les Principes

• Le PAT ou Port Address Translation permet de donner accès à des ressources de votre réseau local depuis l’extérieur.

• Grâce à ce système il est possible de donner accès à plusieurs ressources même avec une seule adresse IP publique en utilisant des ports différents

• Il faut faire attention à ce qui est exposé à internet, même si votre Firewall vous protège, la ressource qui est exposée, comme un site web, est vulnérable. En cas d’attaque, c’est tout votre réseau qui peut se retrouver exposé.

• Attention les règles de firewall ne remplacent pas les règles dePAT, elles sont également nécessaires.

25/07/2016

131



• Rendre disponible des ressources depuis votre réseau local sur internet

• Sensibiliser les administrateurs aux dangers d’exposer des ressources

• Faire la différence entre Règle de NAT/PAT et règle de filtrage

• Faire du PAT et du Reverse NAT

25/07/2016

132


Matrice de flux et filtrage

Les Services



25/07/2016

133


Plan

• Explication sur les règles de filtrage

� Les différents niveaux

� L’ordre des règles

� Les matrices de flux

• Création des règles de filtrage

� La logique de création

� Les différents niveaux d’analyse

25/07/2016

134


Explication sur les règles – Les différents niveaux

• Il y a 10 niveaux différents possibles sur les Appliances Stormshield :

� Le niveau le plus bas est le plus restrictif (block all)

� Le niveau le plus haut est le plus permissif (pass all)

� Chaque niveau est personnalisable

� Un seul niveau peut être actif en même temps

� Ces niveaux ne concernent que la partie règles de filtrage et NAT

25/07/2016

135


Explication sur les règles – l’ordre des règles

• L’ordre des règles est très important dans les Appliance Stormshield :

� Il est vivement conseillé de ne pas modifier les règles de pass all et de block all et de créer le ou les vôtres

� Dans chaque niveau, l’ordre des règles est séquentiel du plus haut dans la liste au plus bas

� Par défaut tout ce qui n’est pas explicitement autorisé est bloqué

25/07/2016

136


Explication sur les règles – Les matrices de flux

• Il est très important d’avoir un fichier qui résume la configuration du firewall :

� C’est important d’avoir un schéma qui représente les différents flux ouverts

� Depuis quel endroit et vers quel endroit

� Savoir quels serveurs sont exposés et sur quel port

� Maintenir ce diagramme à jour.

25/07/2016

137


Explication sur les règles – Les matrices de flux

25/07/2016

138


Création des règles – la logique de création

• Création de règles de base :

� Création de règles pour l’accès à internet

� Création de règles pour l’administration du boitier

� Explication sur la logique que j’utilise

� Rendre disponible une ressource sur internet

25/07/2016

139


Création des règles – Les types d’analyses

• Il existe 3 types d’analyses sur les firewall Stromshield :

� IPS = Inspecte le flux et bloque le contenu non valide

� IDS = Inspecte le flux mais ne bloque pas

� Firewall = pas d’inspection

• Ces différents niveaux d’inspection sont disponibles pour chaque règle

25/07/2016

140



• La création de règles

• Le respect d’une logique de création de règles

• La création d’un fichier de référence

• Les différents niveaux d’analyse disponible par règle

25/07/2016

141


Le Filtrage d’URL

Les Services



25/07/2016

142


Plan

• Le Filtrage d’URL :

� Pourquoi faire du filtrage d’URL?

� Quelles sont les obligations légales

� Le mettre en place sur le boitier

� Ajouter une liste blanche ou liste noire

25/07/2016

143


Le Filtrage d’URL – Pourquoi faire du filtrage

• Le Filtrage d’URL est une obligation pour toute société

• Eviter que les employés de la société puissent aller sur des sites non autorisés

• Préserver votre entreprise d’éventuels virus et autres malwares

• Pouvoir appliquer des politiques de filtrage en fonction des heures et du type d’utilisateur

25/07/2016

144


Le Filtrage d’URL – Les obligations legales

• Quand le personnel de la société accède à internet, cela place votre société dans la position de Fournisseur d’Accès Internet (FAI) et à ce titre, la CNIL vous impose un certain nombre de règles qu’il est obligatoire de respecter.

• Obligation de garder les LOGs avec les Sites visités par IP pendant 1 an.

• Interdiction de consulter les LOGs

• Obligation d’informer le personnel

• Le lien de la CNIL :

� https://www.cnil.fr/fr/le-controle-de-lutilisation-dinternet-et-de-la-messagerie-electronique

25/07/2016

145


Le Filtrage d’URL – Mise en place

• Une règle de filtrage d’URL s’applique sur une règle de Firewall :

� N’importe quelle règle (pour des sites Web internes par exemple)

� Voir ou sont contenus les logs

� Voir les différentes choses que vous pouvez activer ou pas

� Les pages de blocage

25/07/2016

146


Filtrage d’URL – Les listes Noire/Blanche

• En plus des listes de base du boitier il est possible de créer vos propres listes

• Les listes peuvent contenir une liste de sites précis ou un ensemble de sites dans le même domaine.

• La liste blanche implique un blocage total et elle est compliquée à maintenir, surtout vu la complexité des sites WEB d’aujourd’hui

• Une liste noire par contre s’ajoute à la liste des sites déjà contenus dans le boitier

25/07/2016

147



• Les aspects légaux du filtrage d’URL

� Les obligations que la DSI doit prendre afin d’être couverte par la loi.

• La mise en place du filtrage sur votre boitier

• La création d’une liste noire et d’une liste blanche

25/07/2016

148


Première approche des VPNs

Les Services



25/07/2016

149


Plan

•A quoi servent les VPN?

•Les prérequis


25/07/2016

150


A quoi servent les VPNs

• Les VPN (Virtual Private Network) permettent de connecter 2 sociétés distantes (ou une succursale) par le biais d’internet de manière sécurisée.

• Cette connexion permet de faire communiquer ces 2 structures comme si elles étaient dans le même réseau.

• Il existe plusieurs types de VPNs, et plusieurs niveaux de sécurité

• Il est également possible de connecter des appareils nomades (postes distants, Smartphones)

• Le nombre de VPN possibles est limité par chaque boitier (en fonction de la puissance du boitier)

• Il est également possible de gérer des utilisateurs via le VPN

25/07/2016

151


Les pré-requis

• Afin de réaliser les VPN il vous faut 2 boitiers Stormshield ou 2 boitiers capables de gérer ce type de VPN.

• Les 2 entités que vous souhaitez connecter doivent avoir une adresse de réseau différente (Impossible de connecter 2 entités qui ont un réseau en 192.168.1.0/24)

• Il faut également créer un mot de passe qui sera connu par les administrateurs des 2 entités.

• Créer des objets dans votre Stormshield avec le réseau de l’autre entité et éventuellement les ressources (Serveur ou autre).

25/07/2016

152



• Un premier aperçu des VPN

• La sécurité des VPN

25/07/2016

153


StromshieldAdministration

Conclusion



25/07/2016

154


Plan

• Le troubleshooting

� Comment faire et à quel endroit voir les traces?

• Le point sur la formation

� Ce que vous êtes capable de faire

� Ce qu’il reste à voir

• Les autres formation disponibles

• Mes coordonnées

25/07/2016

155


Le troubleshooting

• Après avoir fait la configuration du boitier nous allons regarder les logs et analyser les erreurs.

� Où trouver les traces?

� Comment les analyser

� Vider les logs

25/07/2016

156


Ce que vous êtes capable de faire

• Apres cette formation vous êtes en mesure de:

• Etre capable de conseiller sur le type de boitier a prendre

• Savoir quelle options sont disponible et lesquelles sont disponible de base

• Faire la configuration de base de votre boitier

• Configurer toute la partie réseaux (modem, vlan, etc.)

• Rendre internet accessible à votre LAN et faire du filtrage d’URL

• Rendre des ressources disponible sur internet

• Etre capable de construire une matrice de flux

• Savoir comment fonctionne les VPN

• Se connecter sur toute les gamme Netasq/Stormshield

25/07/2016

157


Cursus administration Stormshield

Niveau Administration Niveau Expert

25/07/2016

158


Ce qu’il reste à voir

• Grace à la prochaine formation Stormshield vous serez en mesure de:

• Voir des règles complexe

• Gérer la partie haute disponibilité (HA)

• Le monitoring des l’appliances

• Voir la gestion des utilisateurs avec un active directory

• Faire de la QoS

• Voir le portail captif

• Faire des VPN SSL

• Faire des VPN IPSEC site à site et des VPN pour les clients nomade

• La gestion des terminaux mobile

• L’inspection des flux SSL

• La partie PKI

• Les option payantes (antivirus, antispam, etc.

25/07/2016

159


D’autres formations sur d’autres firewall

25/07/2016

160


Présentation du Formateur

Matthieu Bayle

• [email protected]

• Consultant en sécurité et Ingénieur systèmes/réseaux

• Ma mission actuelle

25/07/2016

161


FIN

alphorm.com support de la formation stormshield administration

Technology