Précisions sur les cas d'utilisation une fois le module TPM initialisé

Ce chapitre présente des précisions sur des cas d'utilisation une fois le module TPM initialisé :

• Sauvegarde de configuration,

• Restauration d'une sauvegarde de configuration,

• Procédure de configuration initiale par clé USB,

• Calcul du facteur de qualité de la haute disponibilité (HA).

Sauvegarde de configuration

Vous pouvez sauvegarder manuellement ou automatiquement la configuration d'un firewall SNS. Des spécificités existent selon la méthode utilisée.

NOTE
Il est recommandé de protéger le fichier de sauvegarde par un mot de passe lorsque cela est possible.

Sauvegarde manuelle

Depuis l'interface Web d'administration

Ce cas concerne exclusivement les versions SNS 4.3 LTSB et SNS 4.7 et supérieures. Pour les versions SNS 3.11 LTSB, vous devez réaliser la sauvegarde depuis la console CLI.

1. Rendez-vous dans Configuration > Système > Maintenance, onglet Sauvegarder.
2. Dans le cadre Configuration avancée :
   • Vous pouvez protéger par un mot de passe le fichier de sauvegarde en complétant le champ Mot de passe,
   • Renseignez le mot de passe du TPM dans le champ correspondant.
3. Cliquez sur Télécharger la sauvegarde de configuration.

La sauvegarde contient toutes les clés privées de certificats du firewall, mais celles protégées par le TPM sont incluses déchiffrées.

Depuis la console CLI

Exécutez la commande suivante :

CONFIG BACKUP list=all password=<filepassword> tpmpassword=<tpmpassword> > /tmp/backup.na

• password=<filepassword> permet de protéger le fichier de sauvegarde par un mot de passe,
• list=all permet de sauvegarder tous les modules du firewall. Vous pouvez remplacer all par les modules à sauvegarder (list=network,vpn-ssl),
• Par défaut, la sauvegarde contient toutes les clés privées de certificats du firewall, mais celles protégées par le TPM sont incluses déchiffrées. Pour les conserver chiffrées, et si vous allez restaurer cette sauvegarde sur le même firewall, renseignez ondiskprotect=1,

• Si nécessaire, affichez l'aide de la commande avec :

  CONFIG BACKUP HELP

Pour récupérer la sauvegarde, connectez-vous au firewall avec un client SCP. L'accès SSH doit être autorisé sur le firewall et une règle de filtrage doit autoriser la connexion.

Depuis le serveur SMC

Vous pouvez sauvegarder manuellement la configuration d'un firewall SNS avec un script CLI. Pour inclure les clés privées de certificats du firewall (protégées par le TPM ou non), le script doit contenir le mot de passe du TPM en clair.

CONFIG BACKUP list=all password=<filepassword> tpmpassword=<password> $SAVE_TO_DATA_FILE("Backup_with_decyphered_private_keys.na")

Pour plus d'informations sur les jetons de configuration de la commande, reportez-vous à la section ci-dessus Depuis la console CLI.

Pour plus d'informations sur la mise en œuvre de cette sauvegarde, reportez-vous à la section Sauvegarder la configuration des firewalls du Guide d'administration SMC.

Sauvegarde automatique

Depuis l'interface Web d'administration

1. Rendez-vous dans Configuration > Système > Maintenance, onglet Sauvegarder.
2. Dans le cadre Sauvegarde automatique de configuration, activez la sauvegarde automatique et complétez les informations. Vous pouvez protéger par un mot de passe le fichier de sauvegarde en complétant le champ Mot de passe du fichier de sauvegarde.
3. Appliquez la configuration.

La sauvegarde contient toutes les clés privées de certificats du firewall, et celles protégées par le TPM sont incluses chiffrées.

Depuis le serveur SMC

Le serveur SMC permet de sauvegarder automatiquement la configuration des firewalls SNS. Lorsque le TPM est initialisé sur le firewall SNS, toutes les clés privées de certificats du firewall (protégés par le TPM ou non) sont exclues des sauvegardes automatiques.

Pour plus d'informations, reportez-vous à la section Sauvegarder la configuration des firewalls du Guide d'administration SMC.

Tableau récapitulatif

Sauvegarde manuelle			Sauvegarde automatique
Interface Web SNS	Console CLI	SMC (Script CLI)	Interface Web SNS	SMC
Toutes les privées sont incluses   Celles protégées par le TPM sont déchiffrées	Toutes les clés privées sont incluses en renseignant le jeton tpmpassword   Celles protégées par le TPM sont déchiffrées, sauf en renseignant le jeton ondiskprotect=1		Toutes les privées sont incluses   Celles protégées par le TPM restent chiffrées	-

Restauration d'une sauvegarde de configuration

Une sauvegarde contenant des clés privées chiffrées de certificats protégées par le TPM ne peut être restaurée que sur le firewall source. Sur un autre firewall, les clés privées chiffrées ne pourront plus être déchiffrées car la clé symétrique sera différente.

Quelques exceptions existent dans les cas suivants :

• Lorsque le mécanisme de dérivation de la clé symétrique est activé et que le mot de passe du TPM est le même sur l'autre firewall,
• À la suite d'un échange de firewall (RMA) configuré en haute disponibilité. Pour plus d'informations, reportez-vous aux instructions de l'article Following an RMA, how can I synchronize the configuration and the content of the TPM? de la Base de connaissances Stormshield (anglais uniquement).

Procédure de configuration initiale par clé USB

Lors d'une configuration initiale d'un firewall par clé USB, des opérations permettent d’interagir avec le module TPM du firewall SNS :

• L'opération inittpm permet d'initialiser le module TPM. Son format est le suivant :

  "serial | any", inittpm, "tpmpassword"

  • Le mécanisme de dérivation de la clé symétrique est activé par défaut,
  • Cette opération doit être réalisée avant de protéger par le TPM une clé privée.

• L'opération p12import permet d'importer des fichiers PKCS#12 au format .p12 et de protéger par le TPM la clé privée contenue dans le fichier. Son format est le suivant :

  "serial | any", p12import, none|ondisk, "p12file", "p12password"

Pour plus d'informations sur la mise en œuvre de cette procédure et sur les opérations possibles, reportez-vous à la note technique Configuration initiale par clé USB.

Calcul du facteur de qualité de la haute disponibilité (HA)

Ce cas concerne exclusivement les versions SNS 4.3 LTSB et SNS 4.7 et supérieures.

L'état du module TPM peut être pris en compte dans le calcul du facteur de qualité de la haute disponibilité (HA). Le jeton de configuration TPMQualityIncluded=1 présent dans la section [Global] du fichier de configuration ConfigFiles/HA/highavailability indique que l'état du module TPM est pris en compte.

Pour plus d'informations sur le calcul du facteur de qualité de la haute disponibilité (HA), reportez-vous à la note technique Haute disponibilité sur SNS.