Onglet Configuration générale

NOTE
Pour connaître les caractères autorisés ou interdits des différents champs à renseigner, reportez-vous à la section Noms autorisés.

Configuration générale

Nom du firewall	Ce nom est affiché sur la fenêtre principale du firewall et est utilisé dans les e-mails d'alarmes envoyés à l'administrateur. Il peut également être utilisé comme nom DNS du portail captif lorsque celui-ci est activé et que l’option Utiliser le nom du firewall est sélectionnée. La taille maximale du nom du firewall est de 127 caractères.
Langue du Firewall (traces)	Choix de la langue utilisée par le firewall pour les traces de types log, Syslog et la configuration CLI. Les langues disponibles sont : Français et Anglais.
Clavier (console)	Type de clavier supporté par le firewall. Les langues disponibles sont : Anglais, Français, Italien, Polonais, Suisse.

Paramètres cryptographiques

Activer la récupération régulière des listes de révocation de certificats (CRL)

Lorsque cette option est cochée, le firewall vérifie toutes les 6 heures la date de validité de chaque CRL téléchargée depuis les points de distribution spécifiés dans la PKI. Lorsqu’une CRL est proche de son expiration ou expirée, une alarme est alors générée.

Activer le mode de conformité « Diffusion Restreinte (DR) » version 2021

L’option Activer le mode de conformité « Diffusion Restreinte (DR) » version 2021 impose au firewall de respecter les recommandations de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) concernant l’usage des coprocesseurs et accélérateurs cryptographiques dans les produits visant une qualification. Elle est impérative sur les réseaux répondant à la classification « Diffusion Restreinte ».
Ce mode repose notamment sur l’utilisation de versions logicielles pour les algorithmes de cryptographie (asymétrique, génération d'aléa et symétrique). Concernant les algorithmes de cryptographie symétrique, les instructions dites "AES-NI", disponibles sur certains produits, bénéficient d'une dérogation car elles sont uniquement constituées d'« instructions simples d’accélération » de certaines opérations cryptographiques.

L’activation du mode « Diffusion Restreinte (DR) » en version SNS 4.3.34 LTSB implique les comportements suivants :

IPsec : seule l'authentification par certificat est autorisée.
IPsec : les certificat utilisés (du certificat final jusqu'à la CA de confiance commune) doivent respecter les spécifications suivantes: signature ECDSA ou ECSDSA sur courbe SECP ou Brainpool, SHA256 comme algorithme de hachage et une taille de clé à 256 bits.
IPsec : vérification que le firewall utilise bien la version 2 du protocole IKE.
IPsec : vérification que le champ ID du correspondant est renseigné.
IPsec : vérification que les algorithmes de chiffrement utilisés appartiennent bien aux groupes DH19 et DH28 (SECP et Brainpool 256).
IPsec : vérification que l'algorithme de chiffrement utilisé est soit AES_GCM_16 (AEAD : Authenticated Encryption with Associated DATA. AES_GCM_16 n'est donc associé à aucun algorithme d'authentification), soit AES_CTR, impérativement associé au protocole d'authentification SHA256.
IPsec : la vérification de révocation des certificats doit être active.
IPsec : la taille de la fenêtre d'anti-rejeu ne doit pas être nulle.
IPsec : l'algorithme de Pseudo-Random Function (PRF) doit être SHA256.

IMPORTANT
Lorsqu'une des conditions énoncées ci-dessus n'est pas respectée, la configuration IPsec non conforme est désactivée et le message suivant est affiché :
"Le mode 'Diffusion Restreinte' a désactivé la configuration VPN IPsec non conforme".
Ceci afin d'inciter l'administrateur à modifier la politique IPsec afin de pouvoir l'activer.

Sur les firewalls équipés de processeurs Intel, le mode « Diffusion Restreinte (DR) » permet l'utilisation des jeux d'instructions cryptographiques matérielles du coprocesseur. Sur les firewalls équipés d'autres types de processeurs, le mode « Diffusion Restreinte (DR) » force la désactivation de ces jeux d'instructions, ce qui entraîne des baisses de performances lors du chiffrement.
Le mode « Diffusion Restreinte (DR) » restreint les suites de chiffrement utilisables pour le portail d'authentification et le VPN SSL : seules les suites de chiffrement AES, SHA256, SHA384 et GCM sont autorisés.

NOTE
L’activation du mode « Diffusion Restreinte (DR) » nécessite un redémarrage du firewall.

Politique de mots de passe

Les paramètres indiqués s’appliquent à l’ensemble des mots de passe et clés pré-partagées définis sur le firewall (VPN PPTP, VPN IPsec, annuaire LDAP interne, etc.).

Longueur minimale des mots de passe	Indiquez le nombre minimum de caractères devant être respecté pour chaque mot de passe défini dans le firewall. NOTE La valeur définie par défaut est 1 pour des raisons de compatibilité en cas de migration en version 2 de configurations existantes.
Types de caractères obligatoires	Sélectionnez les types de caractères obligatoires à inclure dans chaque mot de passe : Aucun : le mot de passe n’est soumis à aucune obligation de présence de caractères alphanumériques ou spéciaux, Alphanumériques : le mot de passe doit contenir au minimum un caractère alphabétique et un chiffre, Alphabétiques et spéciaux : le mot de passe doit contenir au minimum un caractère alphanumérique et un caractère spécial (‘#’, ‘@’, etc…)
Entropie minimale	L'entropie est un paramètre permettant de définir le niveau de robustesse à respecter pour définir un mot de passe. Plus elle est élevée, plus la robustesse du mot de passe doit être importante. Lorsqu'elle est définie, elle intervient aussi bien dans le calcul des mots de passe générés aléatoirement (exemple : comptes temporaires) que pour les mots de passe définis manuellement. L'entropie tient compte de la longueur du mot de passe et de la taille du jeu de caractères utilisé. Sa formule de calcul est la suivante : Entropie = (Longueur du mot de passe)*(Log(Taille du jeu de caractères)/Log(2)). La valeur proposée par défaut pour l'entropie est : 20. Une valeur de 0 désactive la prise en compte de l'entropie dans la génération automatique ou la définition manuelle des mots de passe.

Paramètres de date et d'heure

Saisie manuelle	Cette option permet de régler manuellement la date et l'heure du firewall.
Synchroniser avec votre machine	Cette option permet de régler la date et l'heure du firewall selon les paramètres de votre machine.
Maintenir le firewall à l’heure (NTP)	Cette option permet de maintenir à jour l'horloge locale du firewall via le réseau par le biais de serveurs NTP (Network Time Protocol). Complétez cette configuration en vous reportant sur les grilles Liste des serveurs NTP et Liste des clés NTP.
Date	Ce champ s'affiche seulement si l'option Saisie manuelle est cochée. Choisissez la date souhaitée dans le calendrier.
Heure	Ce champ s'affiche seulement si l'option Saisie manuelle est cochée. Saisissez l'heure souhaitée au format HH:MM:SS.
Fuseau horaire	Fuseau horaire défini pour le firewall (GMT par défaut). Un changement de fuseau horaire nécessite un redémarrage du firewall.

NOTE
La date et l'heure auxquelles votre firewall Stormshield Network est réglé sont importantes : elles vous permettent de situer dans le temps un événement enregistré dans les fichiers de log. Elles servent également à la programmation horaire des configurations.

Liste des serveurs NTP

IMPORTANT
Les serveurs NTP utilisés doivent être compatibles NTPv4.

Cette grille s'affiche seulement si l’option Maintenir le firewall à l’heure (NTP) est cochée.

Serveurs NTP (machine ou groupe-plages d’adresses) (15 max)

Affiche les serveurs NTP utilisés pour maintenir à jour l'horloge locale du firewall.
Pour ajouter un serveur NTP, cliquez sur Ajouter et sélectionnez dans la liste déroulante l'objet représentant le serveur NTP que vous souhaitez ajouter. Si cet objet n'existe pas, cliquez sur l'icône de création d'objet pour le créer.
Pour retirer un serveur NTP de la liste, sélectionnez-le et cliquez sur Supprimer.

Identifiant de clé NTP

Vous pouvez renseignez une clé si l'accès à un serveur NTP en nécessite une pour s'authentifier. Sélectionnez dans ce champ un identifiant de clé parmi la liste des clés NTP déjà créées. Chaque identifiant est associé à une valeur représentant la clé NTP. Pour créer un nouvel identifiant de clé ou pour visualiser la liste des clés NTP déjà créées, reportez-vous à la grille Liste des clés NTP.

Liste des clés NTP

Cette grille s'affiche seulement si l’option Maintenir le firewall à l’heure (NTP) est cochée.

Identifiant de clé NTP

Affiche la liste des identifiants de clé NTP. Ces identifiants peuvent être sélectionnés dans la colonne Identifiant de clé NTP de la grille Liste des serveurs NTP.

Pour ajouter un identifiant de clé NTP, cliquez sur Ajouter et définissez-lui un identifiant unique compris entre 1 et 15. Pour supprimer un identifiant de la liste, sélectionnez-le et cliquez sur Supprimer.

Valeur

Affiche la valeur des clés NTP. Si vous ajoutez un nouvel identifiant de clé NTP, renseignez la valeur de sa clé dans ce champ (8 catactères maximum). Effectuez un double-clic sur une valeur existante pour la modifier.

Type de clé

Le type de clé est sélectionné par défaut et il n'est pas possible de le modifier. Cette colonne est masquée par défaut.

Configuration avancée

Matériel

Seuil d'inactivité de la surveillance matérielle (watchdog)	Ce dispositif teste l’activité du système du firewall. La fréquence de ce test est fixée par ce seuil. En cas d’inactivité, ce « chien de garde » redémarre le firewall et déclenche un événement système (24). Pour stopper la surveillance, choisissez la valeur Désactivé. L’option de surveillance de l’activité matérielle Watchdog est disponible sur tous les firewalls physiques. Elle n'est pas disponible sur les firewalls virtuels.
Activer le mode sûreté	Cette case s'affiche seulement sur les firewalls disposant de la fonction de bypass. Lorsque vous cochez cette case, vous activez le mode Sûreté du bypass. La fonction de bypass permet, lorsqu'elle est activée (prête à être déclenchée) et en cas de défaillance matérielle ou logicielle critique, de faire passer le trafic réseau au travers du firewall SNS sans qu'aucune analyse ne soit mise en œuvre. Cette fonction permet ainsi d’assurer une continuité de service dans les milieux sensibles. Lorsque ce mode est activé : Le mécanisme de bypass est activé (prêt à être déclenché) sur le segment bypass configuré pour l'utiliser (interfaces concernées regroupées dans un bridge), Lorsqu'un événement déclencheur survient (défaillance matérielle ou logicielle critique), le mécanisme de bypass est déclenché et le trafic réseau du segment bypass passe alors au travers du firewall SNS sans qu'aucune analyse ne soit mise en œuvre. Selon la défaillance rencontrée, le mécanisme de bypass est immédiatement déclenché ou après écoulement d'un compte à rebours. Une fois le mécanisme de bypass déclenché, seul un réarmement permet de retrouver un fonctionnement où le firewall SNS effectue de nouveau ses analyses. Vous ne pouvez pas activer le mode Sûreté sur un firewall SNS configuré en haute disponibilité. À noter que tant que le mode Sûreté n'est pas activé, la fonction de bypass reste désactivée en permanence, même si une défaillance critique survient.
Seuil d'inactivité du mode sûreté	Cette case s'affiche seulement sur les firewalls disposant de la fonction de bypass. Lors d'une défaillance logicielle, notamment lorsque le système d’exploitation du firewall SNS ne répond plus ou est surchargé, le mécanisme de bypass se déclenche après écoulement d'un compte à rebours dont le seuil de départ correspond au Seuil d'inactivité du mode sûreté. Sélectionnez le seuil souhaité. Les valeurs proposées vont de 1 minute à 4 minutes.
Réarmement du mode sûreté	Cette case s'affiche seulement sur les firewalls disposant de la fonction de bypass. Une fois le mécanisme de bypass déclenché, seul un réarmement permet de retrouver un fonctionnement où le firewall SNS effectue de nouveau ses analyses. Cliquez sur ce bouton pour réarmer le mécanisme de bypass. IMPORTANT Après un réarmement manuel, vous devez vérifier le fonctionnement correct des flux réseau. En effet, les connexions initiées pendant la phase active du bypass seront interrompues et devront être rétablies à l'initiative des machines distantes.

Pour plus d'informations sur le principe de fonctionnement du bypass, sur les firewalls et modules réseau équipés de la fonction de bypass et sur la manière de la configurer, reportez-vous à la note technique Gérer le bypass des firewalls SNS.

Portail captif

Redirection vers le portail captif

Cette option permet de choisir la dénomination du firewall utilisée lors de la génération des URI de redirection vers le portail captif. Quatre valeurs sont proposées :

Utiliser l'adresse du firewall.
Utiliser le nom du firewall.
Il s'agit du nom indiqué dans le champ Nom du firewall de la section Configuration générale ou du numéro de série du firewall si aucun nom n'a été précisé dans ce champ.
Utiliser le certificat du portail captif.
Il s'agit du nom du firewall précisé dans le certificat du portail.
Préciser un nom de domaine (FQDN).

Nom de domaine (FQDN)

Saisissez un nom DNS pleinement qualifié pour le firewall (ex. : firewall.company.org). Ce champ est accessible seulement si la valeur Préciser un nom de domaine (FQDN) a été sélectionnée dans le champ précédent.

Télémétrie

Autoriser l'envoi à Stormshield de données d'utilisation (anonyme)

Lorsque cette case est cochée, votre firewall envoie vers le Cloud Stormshield (sur le port 443) des données d'utilisation à des fins statistiques : consommation CPU, utilisation mémoire, nombre de lignes de log générées, taille des lignes de logs générées.
Ces données sont anonymes.

Invite de commande SSH

Nom du nœud système

Ce champ permet de définir un nom additionnel qui sera concaténé au nom du firewall. Ce nom de nœud système est particulièrement utile dans le cadre d'une configuration en haute disponibilité, puisqu'il vous permet d'identifier aisément le membre du cluster sur lequel vous êtes connecté lorsque vous ouvrez une session en mode console via SSH par exemple.

Lorsqu'il est configuré, ce nom du nœud système apparaît dans le bandeau supérieur de l'interface Web d’administration, entre parenthèses, derrière le numéro de série du firewall.