Onglet Administration du Firewall

Accès à l’interface d’administration du Firewall

Autoriser le compte ‘admin’ à se connecter Le compte admin est le seul compte ayant tous les droits. Il peut se connecter sans certificat. Décochez cette case pour désactiver l'accès à l'interface d'administration du firewall au compte admin. Il conservera son accès en SSH ou en Console sur le firewall.

IMPORTANT
Ce compte est à considérer comme « dangereux » aux vues de l’étendue des possibilités de configuration et des accès lui étant attribués.

Port d’écoute Ce champ représente le port sur lequel les administrateurs peuvent accéder à l’interface d’administration (https, tcp/443 par défaut). Vous pouvez créer un port d’écoute supplémentaire en cliquant sur l’icône prévue à cet effet. Ce nouvel objet doit obligatoirement utiliser le protocole « TCP ».
Configurer le certificat SSL du service Cliquez sur ce lien pour modifier le certificat présenté par l’interface d’administration et le portail d’authentification du firewall.
Délai maximal d'inactivité (tous administrateurs) Définissez le délai maximal d'inactivité autorisé avant déconnexion pour tous les comptes administrateurs du firewall.
Un compte administrateur peut définir dans ses préférences un temps de déconnexion en cas d'inactivité tant qu'il est inférieur au délai maximal paramétré.
Activer la protection contre les attaques par force brute Les attaques par force brute se définissent par des tentatives de connexion répétées au firewall, en testant toutes les combinaisons de mot de passe possibles.
Cette protection concerne l'ensemble des connexions destinées à l'administration du firewall : connexions à l'interface Web d'administration mais aussi connexions SSH.
Cochez cette case pour activer cette protection.
Tentatives d’authentification autorisées

Nombre maximum de tentatives de connexion autorisées pour un administrateur avant blocage (erreur d’identifiant ou de mot de passe / sensibilité à la casse par exemple). Les tentatives d’authentification autorisées sont limitées à 3 par défaut.

Ce champ est accessible seulement si la case Activer la protection contre les attaques par force brute est cochée.

Durée de blocage (minutes)

Temps durant lequel un administrateur ne peut plus se connecter au firewall après le nombre d’échecs spécifié ci-dessus. La durée ne peut excéder 60 minutes.

Ce champ est accessible seulement si la case Activer la protection contre les attaques par force brute est cochée.

Accès aux pages d’administration du Firewall

Ajouter Choisissez un objet réseau au sein de la liste déroulante. Celui-ci sera considéré comme un Poste d’administration autorisé à se connecter à l’interface d’administration. Cela peut être une machine, un groupe de machines, un réseau ou une plage d’adresses.
Supprimer Sélectionner la ligne à retirer de la liste et cliquez sur Supprimer.

Avertissement pour l'accès à l'interface d'administration

Fichier d'avertissement Vous pouvez ajouter un texte d'avertissement (disclaimer) sur la page de connexion à l'interface Web d'administration du firewall. Il s'affiche alors à droite de la fenêtre d'authentification et nécessite un clic sur le bouton J'ai compris afin d'activer cette fenêtre d'authentification.
Le fichier contenant ce texte peut-être chargé sur le firewall à l'aide du sélecteur de fichiers .
Pour une mise en forme enrichie, le texte peut être au format HTML mais ne doit pas comporter de JavaScript. Une fois le fichier enregistré sur le firewall, son contenu peut être affiché à l'aide du bouton .
Supprimer le fichier d'avertissement Ce bouton permet de supprimer le fichier d'avertissement préalablement chargé sur le firewall.

Accès distant par SSH

NOTE
Modifier les paramètres d'accès distant par SSH nécessite d'être connecté avec le compte admin.

Activer l’accès par SSH

Le SSH (Secure Shell) est un protocole qui permet de se connecter à une machine distante avec une liaison sécurisée. Les données sont chiffrées entre machines. Le SSH permet également d'exécuter des commandes sur un serveur distant.

 

En cochant cette case, vous activez l'accès au firewall par SSH aux comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" ainsi qu'au compte admin. En decochant cette case, aucun compte ne peut se connecter au firewall par SSH.

 

Toutes les tentatives de connexion réussies ou échouées par SSH génèrent des logs.

Autoriser l’utilisation de mot de passe

En cochant cette case, tous les comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" ainsi que le compte admin peuvent se connecter au firewall par SSH en utilisant leur mot de passe. En décochant cette case, les administrateurs doivent alors utiliser un couple clé privée / clé publique pour s'authentifier. 

Ce champ est accessible seulement si la case Activer l’accès par SSH est cochée.

Utiliser le shell nsrpc pour les administrateurs autres que le compte admin

En cochant cette case, tous les comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" utilisent exclusivement l'interpréteur shell nsrpc à l'ouverture d'une session SSH sur le firewall. Cet accès leur permet d'utiliser les commandes CLI / Serverd selon les droits dont ils disposent.

 

En décochant cette case, tous les comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" utilisent par défaut l'interpréteur shell. Le compte admin n'est pas concerné et bénéficie toujours par défaut de l'interpréteur shell.

IMPORTANT
L'accès à l'interpréteur shell donne des privilèges sans aucune restriction, équivalent à un accès super-administrateur. Les commandes utilisées par cet accès ne génèrent pas de logs.


Ce champ est accessible seulement si la case Activer l’accès par SSH est cochée.

Port d’écoute

Ce champ représente le port sur lequel les administrateurs peuvent accéder au firewall en SSH. ssh, tcp/22 par défaut). Vous pouvez créer un port d’écoute supplémentaire en cliquant sur l’icône prévue à cet effet. Ce nouvel objet doit obligatoirement utiliser le protocole « TCP ».

Ce champ est accessible seulement si la case Activer l’accès par SSH est cochée.

Recommandations

Sur le firewall

Il est recommandé :

  • D’utiliser une clé ECDSA pour s’authentifier,
  • Pour une utilisation au delà de l'année 2030, le groupe minimal à utiliser doit être le groupe Diffie-Hellman 15,

  • De configurer les suites cryptographiques suivantes dans le fichier ConfigFiles/System :

    [SSHCiphers]
    aes256-gcm@openssh.com
    chacha20-poly1305@openssh.com
    aes256-ctr

    [SSHKex]
    curve25519-sha256
    curve25519-sha256@libssh.org
    ecdh-sha2-nistp256

    [SSHMACs]
    hmac-sha2-256-etm@openssh.com

  • De ne pas utiliser les suites cryptographiques de type Mac-then-Encrypt :

    hmac-sha2-256
    hmac-sha2-512

Sur le poste client qui se connecte au firewall

Il est recommandé de configurer la suite cryptographique ecdsa-sha2-nistp256.