Modification d’une interface GRETAP

Une interface GRETAP est représentée sous forme de nœud fils par rapport au bridge. Un bridge peut contenir plusieurs nœuds fils.

Vous pouvez modifier les paramètres de chaque interface GRETAP. Pour cela, sélectionnez une interface GRETAP située sous un bridge dans la partie gauche de la fenêtre. Deux onglets s'affichent :

Onglet « Configuration de l’interface »

Nom (obligatoire)

Nom associé à l’interface GRETAP. (Voir l’avertissement en introduction de la section Interfaces)

Commentaire

Permet de donner un commentaire pour l'interface.

VLAN(s) attaché(s) à l’interface

Liste des VLANs attachés à l’interface sélectionnée.

 

Il ne vous est pas demandé de redémarrer le boîtier lors de la suppression d’un VLAN.

Couleur

Couleur attribuée à l'interface.

Cette interface est

Une interface peut être « interne (protégée) » ou « externe (publique) ».

 

Si vous sélectionnez « interne (protégée) », vous indiquez le caractère protégé de l’interface. Cette protection comprend une mémorisation des machines connectées sur cette interface, des mécanismes de sécurisation du trafic conventionnel (TCP) et des règles implicites pour les services proposés par le Firewall comme le DHCP (voir la section Règles Implicites). Le caractère protégé de l’interface est matérialisé par un bouclier ().

 

Si vous sélectionnez l’option « externe (publique) », vous indiquez que cette partie du réseau est reliée à Internet. Dans la majorité des cas, l'interface externe, reliée à Internet, doit être en mode externe. L’icône du bouclier disparaît lorsque cette option est cochée.

Adresse du tunnel GRETAP

Source du tunnel

Sélectionnez l’objet réseau correspondant au bridge qui supporte l’interface GRETAP.

Destination du tunnel

Sélectionnez (ou créez) l’objet réseau correspondant à l’adresse publique de l’équipement qui héberge l’interface GRETAP distante.

Plan d’adressage

Aucun (interface désactivée)

En cochant/décochant cette option on active/désactive l’interface. En désactivant une interface, on la rend inutilisable. En terme d’utilisation cela peut correspondre à une interface que l’on a prévu de déployer dans un futur proche ou éloigné mais qui n’est pas en activité. Une interface désactivée car non utilisée est une mesure de sécurité supplémentaire contre les intrusions.

IP dynamique (obtenue par DHCP)

Lorsque votre firewall ne possède pas d’adresse IP statique (son adresse IP est renouvelée régulièrement par votre fournisseur d’accès, DHCP, etc.), il est possible d’associer via un fournisseur de services DNS (dyndns.org par exemple) l’adresse IP allouée et un nom de domaine (qui lui est fixe) afin de pouvoir contacter ce firewall sans pour autant connaître son adresse IP.

 

Cette option vous permet d’activer cette fonctionnalité en sélectionnant un compte DNS dynamique que vous avez préalablement configuré. Pour plus d’informations au sujet du client DNS dynamique, veuillez-vous référer au module DNS dynamique.

 

Ce champ permet donc de spécifier au firewall que la configuration du bridge (adresse IP et masque) est définie par DHCP. Dans ce cas, la zone « DHCP » de l’onglet Configuration avancée est active.

Plan d’adressage hérité du Bridge

Si l’interface fait partie d’un bridge, dans ce cas, il est possible de récupérer le plan d’adressage du bridge.

IP fixe (statique)

En cochant cette option, l’interface a un adressage statique. Il faut dans ce cas indiquer son adresse IP et le masque de réseau du sous-réseau auquel appartient l’interface.

Ici, plusieurs adresses IP et masques associés peuvent être définis pour le même bridge (besoin de création d’alias par exemple). Ces alias peuvent vous permettre d’utiliser ce firewall Stormshield Network comme un point de routage central. De ce fait, un bridge peut être connecté à différents sous-réseaux ayant un adressage différent. Pour les ajouter ou les retirer, il suffit d’utiliser les boutons d’action Ajouter et Supprimer situés au-dessus des champs du tableau.

Il est possible d'ajouter plusieurs adresses IP (alias) dans le même plan d'adressage sur une interface. Dans ce cas, il est impératif que ces adresses aient toutes le même masque. Le rechargement de la configuration réseau appliquera ce masque sur la première adresse, et un masque de /32 sur les suivantes.

Onglet « Configuration avancée »

Adresse physique (MAC)

L’interface GRETAP étant contenue dans un bridge, elle possède donc la même adresse MAC que celui-ci.

NOTE

Ce champ est grisé lorsque l'interface appartient à un bridge. Il n’est ni modifiable, ni supprimable.

DHCP

NOTE

Indication « désactivé » si l’option IP dynamique (obtenue par DHCP) n’est pas cochée dans l’onglet Configuration de l’interface et les options sont grisées.

 

Nom DNS (facultatif)

Nom du serveur DNS (FQDN) pour la connexion.

 

Ce champ facultatif, n’identifie pas le serveur DHCP mais le firewall. Si le champ est rempli et que le serveur DHCP externe possède l’option de mise à jour automatique du serveur DNS, alors le serveur DHCP met à jour automatiquement le serveur DNS avec le nom fourni par le firewall et l’adresse IP qui lui a été fournie.

 

Ce nom se compose de 6 octets en hexadécimal séparés par des :

Durée de bail demandée

Période de conservation de l'adresse IP avant renégociation.

Demander les serveurs DNS au serveur DHCP et créer les objets machine associés

Lorsque cette option est cochée, le firewall récupère les serveurs DNS auprès du serveur DHCP (fournisseur d’accès par exemple) qu’il contacte pour obtenir son adresse IP.

 

Dès que cette option est cochée deux objets sont dynamiquement créés dans la base d’objets : Firewall_<nom de l’interface>_dns1 et Firewall_<nom de l’interface_dns2. Ils peuvent ainsi être utilisés dans la configuration du service DHCP. Ainsi si le firewall offre un service DHCP aux utilisateurs de son réseau, les utilisateurs seront crédités des serveurs DNS fournis par le fournisseur d’accès.

NOTE

Cette option est désactivée si l’option IP dynamique (obtenue par DHCP) n’est pas activée dans l’onglet Configuration de l’interface.

Routage sans analyse

NOTE

Indication « désactivé » si l’option Plan d’adressage hérité du bridge n’est pas cochée dans l’onglet Configuration de l’interface et les options sont grisées.

 

Autoriser sans analyser

Permet de laisser passer les paquets IPX (réseau Novell), NetBIOS (sur NETBEUI), paquets AppleTalk (pour les machines Macintosh), PPPoe ou IPv6 entre les interfaces du pont. Aucune analyse ou aucun filtrage de niveau supérieur n’est réalisé sur ces protocoles (le firewall bloque ou laisse passer).

Routage par interface

NOTE

Indication « désactivé » si l’option Plan d’adressage hérité du bridge n’est pas cochée dans l’onglet Configuration de l’interface et les options sont grisées.

 

Préserver le routage initial

Cette option demande au firewall de ne pas modifier la destination dans la couche Ethernet lorsqu'un paquet le traverse. Le paquet sera réémis à destination de la même adresse MAC qu'à la réception. Le but de cette option est de faciliter l'intégration des firewalls dans un réseau existant de manière transparente, car elle permet de ne pas avoir à modifier la route par défaut des machines du réseau interne.

Limitations connues

Les fonctionnalités du firewall qui insèrent ou modifient des paquets dans les sessions par le firewall pourraient ne pas fonctionner correctement. Ces fonctionnalités sont :

  • la réinitialisation des connexions induite par une alarme,
  • le proxy SYN (activé dans le filtrage),
  • la demande de réémission de paquets perdus afin d’accélérer l’analyse,
  • la réécriture de paquets par les analyses applicatives (SMTP, HTTP et web 2.0, FTP et NAT, SIP et NAT).
Préserver les identifiants de Vlan

Cette option permet la transmission des trames taguées sans que le firewall soit une terminaison du VLAN. Le tag VLAN de ces trames est conservé ainsi le firewall peut être placé sur le chemin d’un VLAN sans pour autant que ce VLAN soit coupé par le firewall. Le firewall agit de manière complètement transparente pour ce VLAN.

 

Cette option requiert l’activation de l’option précédente "Préserver le routage initial".

Adresse de la passerelle

Ce champ sert au routage par interface. Tous les paquets arrivant sur cette interface seront routés via une passerelle spécifiée.

Bande passante de l’interface (informatif)

Bande passante

Définit le débit sur une interface. Il s‘agit d’une entrée automatique, non obligatoire : sert au monitoring pour le calcul de la bande passante).