Onglet Configuration générale

NOTE
Pour connaître les caractères autorisés ou interdits des différents champs à renseigner, reportez-vous à la section Noms autorisés.

Configuration générale

Nom du firewall Ce nom est affiché sur la fenêtre principale du firewall et est utilisé dans les e-mails d'alarmes envoyés à l'administrateur. Il peut également être utilisé comme nom DNS du portail captif lorsque celui-ci est activé et que l’option Utiliser le nom du firewall est sélectionnée. La taille maximale du nom du firewall est de 127 caractères.
Langue du Firewall (traces)

Choix de la langue utilisée par le firewall pour les traces de types log, Syslog et la configuration CLI. Les langues disponibles sont : Français et Anglais.
Clavier (console) Type de clavier supporté par le firewall. Les langues disponibles sont : Anglais, Français, Italien, Polonais, Suisse.

Paramètres cryptographiques

Activer la récupération régulière des listes de révocation de certificats (CRL) Lorsque cette option est cochée, le firewall vérifie toutes les 6 heures la date de validité de chaque CRL téléchargée depuis les points de distribution spécifiés dans la PKI. Lorsqu’une CRL est proche de son expiration ou expirée, une alarme est alors générée.
Activer le mode de conformité « Diffusion Restreinte (DR) » version 2021 L’option Activer le mode de conformité « Diffusion Restreinte (DR) » version 2021 impose au firewall  de respecter les recommandations de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) concernant l’usage des coprocesseurs et accélérateurs cryptographiques dans les produits visant une qualification. Elle est impérative sur les réseaux répondant à la classification « Diffusion Restreinte ».
Ce mode repose notamment sur l’utilisation de versions logicielles pour les algorithmes de cryptographie (asymétrique, génération d'aléa et symétrique). Concernant les algorithmes de cryptographie symétrique, les instructions dites "AES-NI", disponibles sur certains produits, bénéficient d'une dérogation car elles sont uniquement constituées d'« instructions simples d’accélération » de certaines opérations cryptographiques.

L’activation du mode « Diffusion Restreinte (DR) » en version SNS 4.3.32 LTSB implique les comportements suivants :
  • IPsec : seule l'authentification par certificat est autorisée.
  • IPsec : les certificat utilisés (du certificat final jusqu'à la CA de confiance commune) doivent respecter les spécifications suivantes: signature ECDSA ou ECSDSA sur courbe SECP ou Brainpool, SHA256 comme algorithme de hachage et une taille de clé à 256 bits.
  • IPsec : vérification que le firewall utilise bien la version 2 du protocole IKE.
  • IPsec : vérification que le champ ID du correspondant est renseigné.
  • IPsec : vérification que les algorithmes de chiffrement utilisés appartiennent bien aux groupes DH19 et DH28 (SECP et Brainpool 256).
  • IPsec : vérification que l'algorithme de chiffrement utilisé est soit AES_GCM_16 (AEAD : Authenticated Encryption with Associated DATA. AES_GCM_16 n'est donc associé à aucun algorithme d'authentification), soit AES_CTR, impérativement associé au protocole d'authentification SHA256.
  • IPsec : la vérification de révocation des certificats doit être active.
  • IPsec : la taille de la fenêtre d'anti-rejeu ne doit pas être nulle.
  • IPsec : l'algorithme de Pseudo-Random Function (PRF) doit être SHA256.

    • IMPORTANT
    Lorsqu'une des conditions énoncées ci-dessus n'est pas respectée, la configuration IPsec non conforme est désactivée et le message suivant est affiché :
    "Le mode 'Diffusion Restreinte' a désactivé la configuration VPN IPsec non conforme".
    Ceci afin d'inciter l'administrateur à modifier la politique IPsec afin de pouvoir l'activer.

  • Sur les firewalls équipés de processeurs Intel, le mode « Diffusion Restreinte (DR) » permet l'utilisation des jeux d'instructions cryptographiques matérielles du coprocesseur. Sur les firewalls équipés d'autres types de processeurs, le mode « Diffusion Restreinte (DR) » force la désactivation de ces jeux d'instructions, ce qui entraîne des baisses de performances lors du chiffrement.
  • Le mode « Diffusion Restreinte (DR) » restreint les suites de chiffrement utilisables pour le portail d'authentification et le VPN SSL : seules les suites de chiffrement AES, SHA256, SHA384 et GCM sont autorisés.

NOTE
L’activation du mode « Diffusion Restreinte (DR) » nécessite un redémarrage du firewall.

Politique de mots de passe

Les paramètres indiqués s’appliquent à l’ensemble des mots de passe et clés pré-partagées définis sur le firewall (VPN PPTP, VPN IPsec, annuaire LDAP interne, etc.).

Longueur minimale des mots de passe Indiquez le nombre minimum de caractères devant être respecté pour chaque mot de passe défini dans le firewall.

NOTE
La valeur définie par défaut est 1 pour des raisons de compatibilité en cas de migration en version 2 de configurations existantes.
Types de caractères obligatoires Sélectionnez les types de caractères obligatoires à inclure dans chaque mot de passe :
  • Aucun : le mot de passe n’est soumis à aucune obligation de présence de caractères alphanumériques ou spéciaux,
  • Alphanumériques : le mot de passe doit contenir au minimum un caractère alphabétique et un chiffre,
  • Alphabétiques et spéciaux : le mot de passe doit contenir au minimum un caractère alphanumérique et un caractère spécial (‘#’, ‘@’, etc…)
Entropie minimale L'entropie est un paramètre permettant de définir le niveau de robustesse à respecter pour définir un mot de passe. Plus elle est élevée, plus la robustesse du mot de passe doit être importante.
Lorsqu'elle est définie, elle intervient aussi bien dans le calcul des mots de passe générés aléatoirement (exemple : comptes temporaires) que pour les mots de passe définis manuellement.
L'entropie tient compte de la longueur du mot de passe et de la taille du jeu de caractères utilisé.

Sa formule de calcul est la suivante :
Entropie = (Longueur du mot de passe)*(Log(Taille du jeu de caractères)/Log(2)).

La valeur proposée par défaut pour l'entropie est : 20.
Une valeur de 0 désactive la prise en compte de l'entropie dans la génération automatique ou la définition manuelle des mots de passe.

Paramètres de date et d'heure

Saisie manuelle Cette option permet de régler manuellement la date et l'heure du firewall.
Synchroniser avec votre machine Cette option permet de régler la date et l'heure du firewall selon les paramètres de votre machine.
Maintenir le firewall à l’heure (NTP)

Cette option permet de maintenir à jour l'horloge locale du firewall via le réseau par le biais de serveurs NTP (Network Time Protocol). Complétez cette configuration en vous reportant sur les grilles Liste des serveurs NTP et Liste des clés NTP.
Date Ce champ s'affiche seulement si l'option Saisie manuelle est cochée. Choisissez la date souhaitée dans le calendrier.
Heure Ce champ s'affiche seulement si l'option Saisie manuelle est cochée. Saisissez l'heure souhaitée au format HH:MM:SS.
Fuseau horaire Fuseau horaire défini pour le firewall (GMT par défaut). Un changement de fuseau horaire nécessite un redémarrage du firewall.

NOTE
La date et l'heure auxquelles votre firewall Stormshield Network est réglé sont importantes : elles vous permettent de situer dans le temps un événement enregistré dans les fichiers de log. Elles servent également à la programmation horaire des configurations.

Liste des serveurs NTP

IMPORTANT
Les serveurs NTP utilisés doivent être compatibles NTPv4.

Cette grille s'affiche seulement si l’option Maintenir le firewall à l’heure (NTP) est cochée.

Serveurs NTP (machine ou groupe-plages d’adresses) (15 max) Affiche les serveurs NTP utilisés pour maintenir à jour l'horloge locale du firewall.
Pour ajouter un serveur NTP, cliquez sur Ajouter et sélectionnez dans la liste déroulante l'objet représentant le serveur NTP que vous souhaitez ajouter. Si cet objet n'existe pas, cliquez sur l'icône de création d'objet pour le créer.
Pour retirer un serveur NTP de la liste, sélectionnez-le et cliquez sur Supprimer.
Identifiant de clé NTP

Vous pouvez renseignez une clé si l'accès à un serveur NTP en nécessite une pour s'authentifier. Sélectionnez dans ce champ un identifiant de clé parmi la liste des clés NTP déjà créées. Chaque identifiant est associé à une valeur représentant la clé NTP. Pour créer un nouvel identifiant de clé ou pour visualiser la liste des clés NTP déjà créées, reportez-vous à la grille Liste des clés NTP.

Liste des clés NTP

Cette grille s'affiche seulement si l’option Maintenir le firewall à l’heure (NTP) est cochée.

Identifiant de clé NTP

Affiche la liste des identifiants de clé NTP. Ces identifiants peuvent être sélectionnés dans la colonne Identifiant de clé NTP de la grille Liste des serveurs NTP.

Pour ajouter un identifiant de clé NTP, cliquez sur Ajouter et définissez-lui un identifiant unique compris entre 1 et 15. Pour supprimer un identifiant de la liste, sélectionnez-le et cliquez sur Supprimer.
Valeur

Affiche la valeur des clés NTP. Si vous ajoutez un nouvel identifiant de clé NTP, renseignez la valeur de sa clé dans ce champ (8 catactères maximum). Effectuez un double-clic sur une valeur existante pour la modifier.
Type de clé Le type de clé est sélectionné par défaut et il n'est pas possible de le modifier. Cette colonne est masquée par défaut.

Configuration avancée

Matériel

L’option de surveillance de l’activité matérielle Watchdog est disponible sur tous les firewalls physiques. Elle n'est pas disponible sur les firewalls virtuels.

Seuil d'inactivité de la surveillance matérielle (watchdog) Ce dispositif teste l’activité du système du firewall. La fréquence de ce test est fixée par ce seuil. En cas d’inactivité, ce « chien de garde » redémarre le firewall et déclenche un événement système (24).
Pour stopper la surveillance, choisissez la valeur Désactivé.

Portail captif

Redirection vers le portail captif Cette option permet de choisir la dénomination du firewall utilisée lors de la génération des URI de redirection vers le portail captif. Quatre valeurs sont proposées :
  • Utiliser l'adresse du firewall.
  • Utiliser le nom du firewall.
    Il s'agit du nom indiqué dans le champ Nom du firewall de la section Configuration générale ou du numéro de série du firewall si aucun nom n'a été précisé dans ce champ.
  • Utiliser le certificat du portail captif.
    Il s'agit du nom du firewall précisé dans le certificat du portail.
  • Préciser un nom de domaine (FQDN).
Nom de domaine (FQDN) Saisissez un nom DNS pleinement qualifié pour le firewall (ex. : firewall.company.org). Ce champ est accessible seulement si la valeur Préciser un nom de domaine (FQDN) a été sélectionnée dans le champ précédent.

Télémétrie

Autoriser l'envoi à Stormshield de données d'utilisation (anonyme)

Lorsque cette case est cochée, votre firewall envoie vers le Cloud Stormshield (sur le port 443) des données d'utilisation à des fins statistiques : consommation CPU, utilisation mémoire, nombre de lignes de log générées, taille des lignes de logs générées.
Ces données sont anonymes.

Invite de commande SSH

Nom du nœud système

Ce champ permet de définir un nom additionnel qui sera concaténé au nom du firewall. Ce nom de nœud système est particulièrement utile dans le cadre d'une configuration en haute disponibilité, puisqu'il vous permet d'identifier aisément le membre du cluster sur lequel vous êtes connecté lorsque vous ouvrez une session en mode console via SSH par exemple.

Lorsqu'il est configuré, ce nom du nœud système apparaît dans le bandeau supérieur de l'interface Web d’administration, entre parenthèses, derrière le numéro de série du firewall.

Firewalls industriels uniquement (modèles SNi20 et SNi40)

Afin d’assurer une continuité de service dans les milieux industriels, les firewalls modèles SNi20 et SNi40 sont équipés d’un bypass matériel qui permet, une fois activé, de faire passer le trafic réseau sans qu'aucune analyse ne soit mise en œuvre.

NOTES
  • Ce mécanisme ne peut pas être activé sur des firewalls en haute disponibilité.
  • Ce mécanisme ne peut être activé que sur les deux premières interfaces du firewall.

Deux modes de fonctionnement du firewall sont proposés :

  • Mode Sécurité : ce mode privilégie la sécurité et la protection du réseau. Le mécanisme de bypass ne peut pas être activé. C’est le mode de fonctionnement par défaut du firewall.
  • Mode Sûreté : ce mode privilégie la continuité de service. Le mécanisme de bypass sera activé en cas de coupure ou de défaillance du firewall.

Lorsque le mode Sûreté est activé, trois types de déclenchements du bypass peuvent être distingués :

  • Bypass de type SystemOff : il se déclenche lors d’une défaillance électrique du firewall ou lors d’une coupure de courant.
  • Bypass de type JustOn : il se déclenche lors d’un redémarrage du produit et se désactive ensuite.
  • Bypass de type OnTimer : lorsque le produit est soumis à une surcharge de connexions, le bypass se déclenche après écoulement du délai précisé dans la configuration du mode Sûreté. Une fois le bypass déclenché, le mode Sûreté peut alors être réarmé par l’administrateur du firewall.

IMPORTANT
Une vérification du fonctionnement correct des flux réseau doit être réalisée immédiatement après un réarmement manuel. En effet, les connexions initiées pendant la phase active du bypass ne seront pas reconnues par le firewall et donc systématiquement rejetées.

Lorsque le bypass est déclenché, les deux premières interfaces du firewall sont représentées de la manière suivante :

 
Activer le mode sûretéLorsque vous cochez cette case, vous activez le mécanisme de bypass du firewall. Les trois modes de déclenchement sont automatiquement disponibles.
Seuil d'inactivité du mode sûretéSélectionnez le délai au delà duquel le bypass de type OnTimer doit se déclencher. Les valeurs proposées sont :
  • 1 min
  • 1 min 30 sec
  • 2 min
  • 2 min 30 sec
  • 3 min
  • 3 min 30 sec
  • 4 min
Réarmement du mode sûretéLorsque le bypass de type OnTimer s'est déclenché, vous pouvez cliquer sur ce bouton afin de le désactiver pour repasser le firewall en mode Sûreté.