Onglet Administration du Firewall
Accès à l’interface d’administration du Firewall
Autoriser le compte ‘admin’ à se connecter |
Le compte admin est le seul compte ayant tous les droits. Il peut se connecter sans certificat. Décochez cette case pour désactiver l'accès à l'interface d'administration du firewall au compte admin. Il conservera son accès en SSH ou en Console sur le firewall. IMPORTANT
|
Port d’écoute | Ce champ représente le port sur lequel les administrateurs peuvent accéder à l’interface d’administration (https, tcp/443 par défaut). Vous pouvez créer un port d’écoute supplémentaire en cliquant sur l’icône prévue à cet effet. Ce nouvel objet doit obligatoirement utiliser le protocole « TCP ». |
Configurer le certificat SSL du service | Cliquez sur ce lien pour modifier le certificat présenté par l’interface d’administration et le portail d’authentification du firewall. |
Délai maximal d'inactivité (tous administrateurs) | Définissez le délai maximal d'inactivité autorisé avant déconnexion pour tous les comptes administrateurs du firewall. Un compte administrateur peut définir dans ses préférences un temps de déconnexion en cas d'inactivité tant qu'il est inférieur au délai maximal paramétré. |
Activer la protection contre les attaques par force brute | Les attaques par force brute se définissent par des tentatives de connexion répétées au firewall, en testant toutes les combinaisons de mot de passe possibles. Cette protection concerne l'ensemble des connexions destinées à l'administration du firewall : connexions à l'interface Web d'administration mais aussi connexions SSH. Cochez cette case pour activer cette protection. |
Tentatives d’authentification autorisées |
Nombre maximum de tentatives de connexion autorisées pour un administrateur avant blocage (erreur d’identifiant ou de mot de passe / sensibilité à la casse par exemple). Les tentatives d’authentification autorisées sont limitées à 3 par défaut. Ce champ est accessible seulement si la case Activer la protection contre les attaques par force brute est cochée. |
Durée de blocage (minutes) |
Temps durant lequel un administrateur ne peut plus se connecter au firewall après le nombre d’échecs spécifié ci-dessus. La durée ne peut excéder 60 minutes. Ce champ est accessible seulement si la case Activer la protection contre les attaques par force brute est cochée. |
Accès aux pages d’administration du Firewall
Ajouter | Choisissez un objet réseau au sein de la liste déroulante. Celui-ci sera considéré comme un Poste d’administration autorisé à se connecter à l’interface d’administration. Cela peut être une machine, un groupe de machines, un réseau ou une plage d’adresses. |
Supprimer | Sélectionner la ligne à retirer de la liste et cliquez sur Supprimer. |
Avertissement pour l'accès à l'interface d'administration
Fichier d'avertissement | Vous pouvez ajouter un texte d'avertissement (disclaimer) sur la page de connexion à l'interface Web d'administration du firewall. Il s'affiche alors à droite de la fenêtre d'authentification et nécessite un clic sur le bouton J'ai compris afin d'activer cette fenêtre d'authentification. Le fichier contenant ce texte peut-être chargé sur le firewall à l'aide du sélecteur de fichiers ![]() Pour une mise en forme enrichie, le texte peut être au format HTML mais ne doit pas comporter de JavaScript. Une fois le fichier enregistré sur le firewall, son contenu peut être affiché à l'aide du bouton ![]() |
Supprimer le fichier d'avertissement | Ce bouton permet de supprimer le fichier d'avertissement préalablement chargé sur le firewall. |
Accès distant par SSH
NOTE
Pour modifier les paramètres d'accès distant par SSH, vous devez être connecté avec le compte admin.
Activer l’accès par SSH |
Le SSH (Secure Shell) est un protocole qui permet de se connecter à une machine distante avec une liaison sécurisée. Les données sont chiffrées entre machines. Le SSH permet également d'exécuter des commandes sur un serveur distant.
En cochant cette case, vous activez l'accès au firewall par SSH aux comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" ainsi qu'au compte admin. En décochant cette case, aucun compte ne peut se connecter au firewall par SSH.
Toutes les tentatives de connexion réussies ou échouées par SSH génèrent des logs. |
Autoriser l’utilisation de mot de passe |
En cochant cette case, tous les comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" ainsi que le compte admin peuvent se connecter au firewall par SSH en utilisant leur mot de passe. En décochant cette case, les administrateurs doivent alors utiliser un couple clé privée / clé publique pour s'authentifier. Ce champ est accessible seulement si la case Activer l’accès par SSH est cochée. IMPORTANT
|
Utiliser le shell nsrpc pour les administrateurs autres que le compte admin |
En cochant cette case, tous les comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" utilisent exclusivement l'interpréteur shell nsrpc à l'ouverture d'une session SSH sur le firewall. Cet accès leur permet d'utiliser les commandes CLI / Serverd selon les droits dont ils disposent.
En décochant cette case, tous les comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" utilisent par défaut l'interpréteur shell. Le compte admin n'est pas concerné et bénéficie toujours par défaut de l'interpréteur shell. IMPORTANT
Ce champ est accessible seulement si la case Activer l’accès par SSH est cochée. |
Port d’écoute |
Ce champ représente le port sur lequel les administrateurs peuvent accéder au firewall en SSH. ssh, tcp/22 par défaut). Vous pouvez créer un port d’écoute supplémentaire en cliquant sur l’icône prévue à cet effet. Ce nouvel objet doit obligatoirement utiliser le protocole « TCP ». Ce champ est accessible seulement si la case Activer l’accès par SSH est cochée. |
Recommandations
Sur le firewall
Il est recommandé :
- D’utiliser une clé ECDSA pour s’authentifier,
-
Pour une utilisation au delà de l'année 2030, le groupe minimal à utiliser doit être le groupe Diffie-Hellman 15,
-
De configurer les suites cryptographiques suivantes dans le fichier ConfigFiles/System :
[SSHCiphers]
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com
aes256-ctr
[SSHKex]
curve25519-sha256
curve25519-sha256@libssh.org
ecdh-sha2-nistp256
[SSHMACs]
hmac-sha2-256-etm@openssh.com -
De ne pas utiliser les suites cryptographiques de type Mac-then-Encrypt :
hmac-sha2-256
hmac-sha2-512
Sur le poste client qui se connecte au firewall
Il est recommandé de configurer la suite cryptographique ecdsa-sha2-nistp256.
Modifier le jeu de caractères pour permettre une connexion SSH avec un mot de passe contenant des caractères non ASCII
Si votre mot de passe contient des caractères non ASCII (exemple : '€', 'à'), et pour vous connecter via SSH à un firewall en version 4 de SNS, qui utilise par défaut le jeu de caractères ISO-8859-15 pour le stockage des mots de passe, vous devez procéder comme suit.
Option 1 : modifier le jeu de caractères sur le client SSH pour adopter ISO-8859-15
Poste sous Windows utilisant le client SSH Putty
- Sélectionnez la session correspondant à la connexion au firewall.
- Positionnez-vous dans le menu de gauche Window > Translation.
- Pour le champ Remote Character Set, sélectionnez la valeur ISO-8859-15.
Système Unix utilisant un terminal Gnome
- Positionnez-vous dans le menu Preferences > Profils.
- Cliquez sur le bouton "+" pour ajouter un nouveau profil.
- Nommez-le (exemple : ISO).
- Dans l'onglet Compatibilité de ce profil, modifiez le champ Codage pour ISO-8859-15.
- Dans la fenêtre principale du terminal, faites un clic droit et choisissez Profils > ce_nouveau_profil (ISO dans cet exemple) pour l'appliquer,
Système Unix utilisant un terminal UTF-8 quelconque
Après avoir installé l'utilitaire luit, lancez la connexion SSH avec la commande suivante :
luit -encoding ISO8859-15 ssh <login>@<FW_IP_address>
Option 2 : modifier le jeu de caractères sur le firewall (nécessite un redémarrage du firewll)
- Modifiez temporairement le mot de passe du compte admin pour un mot de passe ne comprenant aucun caractère non ASCII.
- Connectez-vous en SSH au firewall avec ce nouveau mot de passe.
- Changez le jeu de caractères du firewall à l'aide de la commande : setconf /usr/Firewall/ConfigFiles/language Language PswdCharset UTF-8.
- Redémarrez le firewall.
- Modifiez de nouveau le mot de passe du compte admin en y incluant des caractères non ASCII si vous le souhaitez.
- Vérifiez qu'une connexion SSH au firewall avec un client SSH utilisant par défaut le jeu de caractères UTF-8.