Onglet Administration du Firewall

Accès à l’interface d’administration du Firewall

Autoriser le compte ‘admin’ à se connecter

Le compte admin est le seul compte ayant tous les droits. Il peut se connecter sans certificat. Décochez cette case pour désactiver l'accès à l'interface d'administration du firewall au compte admin. Il conservera son accès en SSH ou en Console sur le firewall.

IMPORTANT
Ce compte est à considérer comme « dangereux » aux vues de l’étendue des possibilités de configuration et des accès lui étant attribués.
Port d’écoute Ce champ représente le port sur lequel les administrateurs peuvent accéder à l’interface d’administration (https, tcp/443 par défaut). Vous pouvez créer un port d’écoute supplémentaire en cliquant sur l’icône prévue à cet effet. Ce nouvel objet doit obligatoirement utiliser le protocole « TCP ».
Configurer le certificat SSL du service Cliquez sur ce lien pour modifier le certificat présenté par l’interface d’administration et le portail d’authentification du firewall.
Délai maximal d'inactivité (tous administrateurs) Définissez le délai maximal d'inactivité autorisé avant déconnexion pour tous les comptes administrateurs du firewall.
Un compte administrateur peut définir dans ses préférences un temps de déconnexion en cas d'inactivité tant qu'il est inférieur au délai maximal paramétré.
Activer la protection contre les attaques par force brute Les attaques par force brute se définissent par des tentatives de connexion répétées au firewall, en testant toutes les combinaisons de mot de passe possibles.
Cette protection concerne l'ensemble des connexions destinées à l'administration du firewall : connexions à l'interface Web d'administration mais aussi connexions SSH.
Cochez cette case pour activer cette protection.
Tentatives d’authentification autorisées

Nombre maximum de tentatives de connexion autorisées pour un administrateur avant blocage (erreur d’identifiant ou de mot de passe / sensibilité à la casse par exemple). Les tentatives d’authentification autorisées sont limitées à 3 par défaut.

Ce champ est accessible seulement si la case Activer la protection contre les attaques par force brute est cochée.
Durée de blocage (minutes)

Temps durant lequel un administrateur ne peut plus se connecter au firewall après le nombre d’échecs spécifié ci-dessus. La durée ne peut excéder 60 minutes.

Ce champ est accessible seulement si la case Activer la protection contre les attaques par force brute est cochée.

Accès aux pages d’administration du Firewall

Ajouter Choisissez un objet réseau au sein de la liste déroulante. Celui-ci sera considéré comme un Poste d’administration autorisé à se connecter à l’interface d’administration. Cela peut être une machine, un groupe de machines, un réseau ou une plage d’adresses.
Supprimer Sélectionner la ligne à retirer de la liste et cliquez sur Supprimer.

Avertissement pour l'accès à l'interface d'administration

Fichier d'avertissement Vous pouvez ajouter un texte d'avertissement (disclaimer) sur la page de connexion à l'interface Web d'administration du firewall. Il s'affiche alors à droite de la fenêtre d'authentification et nécessite un clic sur le bouton J'ai compris afin d'activer cette fenêtre d'authentification.
Le fichier contenant ce texte peut-être chargé sur le firewall à l'aide du sélecteur de fichiers .
Pour une mise en forme enrichie, le texte peut être au format HTML mais ne doit pas comporter de JavaScript. Une fois le fichier enregistré sur le firewall, son contenu peut être affiché à l'aide du bouton .
Supprimer le fichier d'avertissement Ce bouton permet de supprimer le fichier d'avertissement préalablement chargé sur le firewall.

Accès distant par SSH

NOTE
Pour modifier les paramètres d'accès distant par SSH, vous devez être connecté avec le compte admin.

Activer l’accès par SSH

Le SSH (Secure Shell) est un protocole qui permet de se connecter à une machine distante avec une liaison sécurisée. Les données sont chiffrées entre machines. Le SSH permet également d'exécuter des commandes sur un serveur distant.

 

En cochant cette case, vous activez l'accès au firewall par SSH aux comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" ainsi qu'au compte admin. En décochant cette case, aucun compte ne peut se connecter au firewall par SSH.

 

Toutes les tentatives de connexion réussies ou échouées par SSH génèrent des logs.
Autoriser l’utilisation de mot de passe

En cochant cette case, tous les comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" ainsi que le compte admin peuvent se connecter au firewall par SSH en utilisant leur mot de passe. En décochant cette case, les administrateurs doivent alors utiliser un couple clé privée / clé publique pour s'authentifier. 

Ce champ est accessible seulement si la case Activer l’accès par SSH est cochée.

IMPORTANT
Si le mot de passe d'un ou plusieurs comptes d'administrateurs autorisés à se connecter en SSH contient des caractères non ASCII (exemple : '€', 'à'), il est nécessaire de vous reporter à la procédure Modifier le jeu de caractères pour permettre une connexion SSH avec un mot de passe contenant des caractères non ASCII décrite au bas de cette page.
Utiliser le shell nsrpc pour les administrateurs autres que le compte admin

En cochant cette case, tous les comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" utilisent exclusivement l'interpréteur shell nsrpc à l'ouverture d'une session SSH sur le firewall. Cet accès leur permet d'utiliser les commandes CLI / Serverd selon les droits dont ils disposent.

 

En décochant cette case, tous les comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" utilisent par défaut l'interpréteur shell. Le compte admin n'est pas concerné et bénéficie toujours par défaut de l'interpréteur shell.

IMPORTANT
L'accès à l'interpréteur shell donne des privilèges sans aucune restriction, équivalent à un accès super-administrateur. Les commandes utilisées par cet accès ne génèrent pas de logs.


Ce champ est accessible seulement si la case Activer l’accès par SSH est cochée.
Port d’écoute

Ce champ représente le port sur lequel les administrateurs peuvent accéder au firewall en SSH. ssh, tcp/22 par défaut). Vous pouvez créer un port d’écoute supplémentaire en cliquant sur l’icône prévue à cet effet. Ce nouvel objet doit obligatoirement utiliser le protocole « TCP ».

Ce champ est accessible seulement si la case Activer l’accès par SSH est cochée.

Recommandations

Sur le firewall

Il est recommandé :

  • D’utiliser une clé ECDSA pour s’authentifier,

  • Pour une utilisation au delà de l'année 2030, le groupe minimal à utiliser doit être le groupe Diffie-Hellman 15,

  • De configurer les suites cryptographiques suivantes dans le fichier ConfigFiles/System :

    [SSHCiphers]
    aes256-gcm@openssh.com
    chacha20-poly1305@openssh.com
    aes256-ctr

    [SSHKex]
    curve25519-sha256
    curve25519-sha256@libssh.org
    ecdh-sha2-nistp256

    [SSHMACs]
    hmac-sha2-256-etm@openssh.com

  • De ne pas utiliser les suites cryptographiques de type Mac-then-Encrypt :

    hmac-sha2-256
    hmac-sha2-512

Sur le poste client qui se connecte au firewall

Il est recommandé de configurer la suite cryptographique ecdsa-sha2-nistp256.

Modifier le jeu de caractères pour permettre une connexion SSH avec un mot de passe contenant des caractères non ASCII

Si votre mot de passe contient des caractères non ASCII (exemple : '€', 'à'), et pour vous connecter via SSH à un firewall en version 4 de SNS, qui utilise par défaut le jeu de caractères ISO-8859-15 pour le stockage des mots de passe, vous devez procéder comme suit.

Option 1 : modifier le jeu de caractères sur le client SSH pour adopter ISO-8859-15

Poste sous Windows utilisant le client SSH Putty
  1. Sélectionnez la session correspondant à la connexion au firewall.
  2. Positionnez-vous dans le menu de gauche Window > Translation.
  3. Pour le champ Remote Character Set, sélectionnez la valeur ISO-8859-15.
Système Unix utilisant un terminal Gnome
  1. Positionnez-vous dans le menu PreferencesProfils.
  2. Cliquez sur le bouton "+" pour ajouter un nouveau profil.
  3. Nommez-le (exemple : ISO).
  4. Dans l'onglet Compatibilité de ce profil, modifiez le champ Codage pour ISO-8859-15.
  5. Dans la fenêtre principale du terminal, faites un clic droit et choisissez Profils > ce_nouveau_profil (ISO dans cet exemple) pour l'appliquer,
Système Unix utilisant un terminal UTF-8 quelconque

Après avoir installé l'utilitaire luit, lancez la connexion SSH avec la commande suivante :

luit -encoding ISO8859-15 ssh <login>@<FW_IP_address>

Option 2 : modifier le jeu de caractères sur le firewall (nécessite un redémarrage du firewll)

  1. Modifiez temporairement le mot de passe du compte admin pour un mot de passe ne comprenant aucun caractère non ASCII.
  2. Connectez-vous en SSH au firewall avec ce nouveau mot de passe.
  3. Changez le jeu de caractères du firewall à l'aide de la commande : setconf /usr/Firewall/ConfigFiles/language Language PswdCharset UTF-8.
  4. Redémarrez le firewall.
  5. Modifiez de nouveau le mot de passe du compte admin en y incluant des caractères non ASCII si vous le souhaitez.
  6. Vérifiez qu'une connexion SSH au firewall avec un client SSH utilisant par défaut le jeu de caractères UTF-8.