Configuration des sauvegardes automatiques

En cas d’erreur de configuration, il est nécessaire de pouvoir rétablir rapidement une configuration saine. De plus, en cas de panne, il est nécessaire de pouvoir configurer un pare-feu SNS neuf à l’identique du précédent. Pour cela, il est recommandé de mettre en place un archivage automatique et régulier de la configuration du pare-feu SNS sur un serveur distant.

Le menu Configuration > Système > Maintenance > Sauvegarder permet de paramétrer l’export de la configuration du pare-feu SNS suivant trois modes :

  • Export instantané sur le poste utilisé pour accéder à l’interface web d’administration,

  • Export régulier à destination d’un serveur WebDAV hébergé sur internet dans une infrastructure gérée par Stormshield,

  • Export régulier à destination d’un serveur WebDAV personnalisé.

Lorsqu’un WebDAV personnalisé est choisi, il est possible d’utiliser une liaison HTTP ou HTTPS. Dans ce dernier cas, il est nécessaire de fournir au pare-feu SNS le certificat utilisé par le serveur.

R53 | SNS-SMC | Mettre en place une sauvegarde automatique sur un serveur maîtrisé
Il est recommandé d’activer la fonction de sauvegarde automatique de la configuration, chiffrée et protégée par un mot de passe. Son export doit être à destination d'un serveur WebDAV personnalisé et maîtrisé via une connexion HTTPS authentifiée ou d'un serveur SMC.

Il est également possible d’activer une sauvegarde automatique locale en ligne de commande. Il n’est cependant pas possible nativement d’exporter automatiquement ces fichiers de sauvegarde sur un serveur distant (SSH par exemple). Le fichier généré localement doit être transféré à l’aide d’un script personnalisé. Par ailleurs, il ne doit pas être récupéré en SSH par une connexion initiée par un serveur distant car cela nécessiterait l’usage d'un compte administrateur du pare-feu SNS, ce qui est fortement déconseillé. Il est recommandé de réaliser un script sur le pare-feu SNS qui se connecte en SSH sur un serveur distant et transfère le fichier de sauvegarde.

R53 ⁃ | SNS | Mettre en place une sauvegarde automatique via SSH
Si un serveur WebDAV maîtrisé ou un serveur SMC n’est pas disponible, il est recommandé de configurer une sauvegarde automatique, chiffrée et protégée par un mot de passe. Celle-ci sera exportée par SSH via une connexion initiée par le pare-feu SNS.

La commande config autobackup permet de paramétrer et d’activer la sauvegarde locale automatique du pare-feu SNS. Voici un exemple de configuration d’une sauvegarde automatique locale chiffrée déclenchée tous les jours :

config autobackup set state=1 distantbackup=0 period=1d backuppassword=<my_password>

Une fois cette sauvegarde paramétrée, il est nécessaire de l’activer :

config autobackup activate

La mise en place de sauvegardes automatiques à l’aide de ces commandes va générer le fichier backup.na dans le répertoire /data/Autobackup/. Ce fichier est écrasé à chaque nouvelle sauvegarde, il est donc nécessaire de le transférer avant par un canal sécurisé sur un équipement distant.

ATTENTION
Le fichier de sauvegarde porte toujours l’extension .na qu’il soit ou non chiffré par un mot de passe. Il est identique au fichier de sauvegarde qui serait généré à partir de l’interface web d’administration (menu Configuration > Système > Maintenance > Sauvegarder).