IMPORTANT
Action requise : Appliquez le correctif pour les disques SSD des firewalls SNS.
Merci de suivre la procédure détaillée dans l’article How to update my SSD Firmware - Stormshield Knowledge Base (authentification nécessaire).
Onglet Administration du Firewall
Accès à l’interface d’administration du Firewall
| Autoriser le compte ‘admin’ à se connecter | Le compte admin est le seul compte ayant tous les droits. Il peut se connecter sans certificat. Décochez cette case pour désactiver l'accès à l'interface d'administration du firewall au compte admin. Il conservera son accès en SSH ou en Console sur le firewall. IMPORTANT |
| Port d’écoute | Ce champ représente le port sur lequel les administrateurs peuvent accéder à l’interface d’administration (https, tcp/443 par défaut). Vous pouvez créer un port d’écoute supplémentaire en cliquant sur l’icône prévue à cet effet. Ce nouvel objet doit obligatoirement utiliser le protocole « TCP ». |
| Configurer le certificat SSL du service | Cliquez sur ce lien pour modifier le certificat présenté par l’interface d’administration et le portail d’authentification du firewall. |
| Délai maximal d'inactivité (tous administrateurs) | Définissez le délai maximal d'inactivité autorisé avant déconnexion pour tous les comptes administrateurs du firewall. Un compte administrateur peut définir dans ses préférences un temps de déconnexion en cas d'inactivité tant qu'il est inférieur au délai maximal paramétré. |
| Activer la protection contre les attaques par force brute | Les attaques par force brute se définissent par des tentatives de connexion répétées au firewall, en testant toutes les combinaisons de mot de passe possibles. Cette protection concerne l'ensemble des connexions destinées à l'administration du firewall : connexions à l'interface Web d'administration mais aussi connexions SSH. Cochez cette case pour activer cette protection. |
| Tentatives d’authentification autorisées |
Nombre maximum de tentatives de connexion autorisées pour un administrateur avant blocage (erreur d’identifiant ou de mot de passe / sensibilité à la casse par exemple). Les tentatives d’authentification autorisées sont limitées à 3 par défaut. Ce champ est accessible seulement si la case Activer la protection contre les attaques par force brute est cochée. |
| Durée de blocage (minutes) |
Temps durant lequel un administrateur ne peut plus se connecter au firewall après le nombre d’échecs spécifié ci-dessus. La durée ne peut excéder 60 minutes. Ce champ est accessible seulement si la case Activer la protection contre les attaques par force brute est cochée. |
Accès aux pages d’administration du Firewall
| Ajouter | Choisissez un objet réseau au sein de la liste déroulante. Celui-ci sera considéré comme un Poste d’administration autorisé à se connecter à l’interface d’administration. Cela peut être une machine, un groupe de machines, un réseau ou une plage d’adresses. |
| Supprimer | Sélectionner la ligne à retirer de la liste et cliquez sur Supprimer. |
Avertissement pour l'accès à l'interface d'administration
| Fichier d'avertissement | Vous pouvez ajouter un texte d'avertissement (disclaimer) sur la page de connexion à l'interface Web d'administration du firewall. Il s'affiche alors à droite de la fenêtre d'authentification et nécessite un clic sur le bouton J'ai compris afin d'activer cette fenêtre d'authentification. Le fichier contenant ce texte peut-être chargé sur le firewall à l'aide du sélecteur de fichiers  .Pour une mise en forme enrichie, le texte peut être au format HTML mais ne doit pas comporter de JavaScript. Une fois le fichier enregistré sur le firewall, son contenu peut être affiché à l'aide du bouton  . |
| Supprimer le fichier d'avertissement | Ce bouton permet de supprimer le fichier d'avertissement préalablement chargé sur le firewall. |
Accès distant par SSH
NOTE
Modifier les paramètres d'accès distant par SSH nécessite d'être connecté avec le compte admin.
| Activer l’accès par SSH |
Le SSH (Secure Shell) est un protocole qui permet de se connecter à une machine distante avec une liaison sécurisée. Les données sont chiffrées entre machines. Le SSH permet également d'exécuter des commandes sur un serveur distant.
En cochant cette case, vous activez l'accès au firewall par SSH aux comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" ainsi qu'au compte admin. En decochant cette case, aucun compte ne peut se connecter au firewall par SSH.
Toutes les tentatives de connexion réussies ou échouées par SSH génèrent des logs. |
| Autoriser l’utilisation de mot de passe |
En cochant cette case, tous les comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" ainsi que le compte admin peuvent se connecter au firewall par SSH en utilisant leur mot de passe. En décochant cette case, les administrateurs doivent alors utiliser un couple clé privée / clé publique pour s'authentifier. Ce champ est accessible seulement si la case Activer l’accès par SSH est cochée. |
| Utiliser le shell nsrpc pour les administrateurs autres que le compte admin |
En cochant cette case, tous les comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" utilisent exclusivement l'interpréteur shell nsrpc à l'ouverture d'une session SSH sur le firewall. Cet accès leur permet d'utiliser les commandes CLI / Serverd selon les droits dont ils disposent.
En décochant cette case, tous les comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" utilisent par défaut l'interpréteur shell. Le compte admin n'est pas concerné et bénéficie toujours par défaut de l'interpréteur shell. IMPORTANT
Ce champ est accessible seulement si la case Activer l’accès par SSH est cochée. |
| Port d’écoute |
Ce champ représente le port sur lequel les administrateurs peuvent accéder au firewall en SSH. ssh, tcp/22 par défaut). Vous pouvez créer un port d’écoute supplémentaire en cliquant sur l’icône prévue à cet effet. Ce nouvel objet doit obligatoirement utiliser le protocole « TCP ». Ce champ est accessible seulement si la case Activer l’accès par SSH est cochée. |