Foire aux questions

1) Que signifie le message : “Impossible de localiser la machine en x.x.x.x” ?

2) Comment vérifier la (les) adresse(s) IP réellement affectée(s) au firewall ?

3) Que signifie le message : "Vous avez perdu le privilège MODIFY" ?

4) Que signifie le message : "L'opération a dépassé le temps imparti" ?

5) Comment suis-je au courant d'une tentative d'intrusion ?

6) Est-il possible de laisser passer d'autres protocoles qu'IP ?

 

 

1) Que signifie le message “Impossible de localiser la machine en x.x.x.x” ?

Ce message signifie que la machine sur laquelle vous êtes connecté ne peut pas joindre le firewall avec l'adresse IP que vous avez précisée dans la fenêtre de connexion. Le problème peut être dû à plusieurs choses.

 

Vérifiez:

  • Que l'adresse IP que vous avez spécifiée dans la fenêtre de connexion est bien celle du firewall (celle de l'interface interne en mode avancé).
  • Que votre machine possède bien une adresse IP différente du firewall mais dans le même sous-réseau.
  • Que les branchements sont corrects (utilisez un câble croisé uniquement si vous branchez le firewall directement à une machine ou un routeur). Saisissez "arp -a" dans une fenêtre DOS sous Windows pour voir si le PC connaît l'adresse physique (Ethernet) du firewall Stormshield Network. Si ce n'est pas le cas, vérifier vos câbles, les connexions physiques à votre hub.
  • Que vous n'avez pas changé de mode de fonctionnement du firewall (transparent ou avancé).
  • Que l'adresse IP est bien prise en compte au niveau du firewall (cf. Comment vérifier l'adresse IP affectée au firewall).
  • Que le serveur d'accès à l'interface graphique n'a pas été désactivé sur le firewall.

 

2) Comment vérifier l'(les) adresse(s) IP réellement affectée(s) au firewall ?

Afin de vérifier la(les) adresse(s) IP affectée(s) au firewall ainsi que le mode de fonctionnement, il suffit de se connecter en mode console au firewall. Pour cela, vous pouvez soit faire un SSH sur le firewall (si le SSH est activé et autorisé), soit vous connecter directement sur le boîtier par le port série ou en branchant un écran et un clavier sur le boîtier.

Une fois connecté en mode console (avec le login admin), saisissez la commande "if info". Le résultat vous donne la configuration des cartes réseau et le mode de fonctionnement actuel.

 

3) Que signifie le message "Vous avez perdu le privilège MODIFY" ?

Il ne peut y avoir qu'un seul utilisateur ayant les droits de modification connecté au firewall. Ce message signifie qu'une session est ouverte par un utilisateur ayant le droit de modification.

Pour forcer la fermeture de cette session, il suffit de se connecter en ajoutant un point d'exclamation devant le nom d'utilisateur ( !admin).

AVERTISSEMENT

Si une session avec le droit MODIFY est ouverte sur une autre machine, elle sera fermée.

 

4) Que signifie le message "L'opération a dépassé le temps imparti" ?

Par mesure de sécurité, toute connexion, aboutie ou non, entre le firewall et l'interface graphique est stoppée au bout d'un certain temps. Cela évite notamment d'attendre indéfiniment la connexion dans le cas où le firewall n'est pas joignable sur le réseau.

 

5) Comment suis-je au courant d'une tentative d'intrusion ?

Chaque tentative d'intrusion peut être configurée pour déclencher une alarme majeure ou mineure suivant son importance. Vous êtes informés de ces alarmes par quatre moyens différents :

  • Premièrement, les leds sur la face avant du boîtier s'allument (rouge) ou clignotent (jaune) pour vous signaler l'alarme.
  • Ensuite, les alarmes sont tracées dans un fichier spécifique consultable à partir de l'interface graphique (Stormshield Network Real-Time Monitor).
  • Vous pouvez recevoir un rapport d'alarmes à une fréquence régulière (cf. réception des alarmes) via l'interface Web d'administration du firewall . Celui-ci peut-être configuré pour que la levée d'une alarme entraîne l'envoi d'un mail. Lorsque plusieurs alarmes sont levées dans un laps de temps très courts, elles sont regroupées au sein d'un mail commun.
  • Enfin, Stormshield Network Real-Time Monitor affiche à l'écran, en temps réel, les alarmes reçues.

 

6) Est-il possible de laisser passer d'autres protocoles qu'IP ?

Le firewall ne peut analyser (cohérence avec l'alarme "protocole IP non-analysé") que les protocoles s'appuyant sur IP (modèle OSI=architecture en couches). Tout protocole qui n'est pas analysé  par le firewall est considéré comme suspect et se retrouve bloqué.

Cependant, avec le mode de fonctionnement transparent, il est possible de laisser passer d'autres protocoles bien qu'ils ne soient pas analysés. Ces protocoles sont "IPX" de Novell, "IPv6", "PP Poe", "Appletalk" et "NetBIOS".