Onglet Configuration générale

NOTE
Pour connaître les caractères autorisés ou interdits des différents champs à renseigner, reportez-vous à la section Noms autorisés.

Configuration générale

Nom du firewall Ce nom est affiché sur la fenêtre principale du firewall et est utilisé dans les e-mails d'alarmes envoyés à l'administrateur. Il peut également être utilisé comme nom DNS du portail captif lorsque celui-ci est activé et que l’option Utiliser le nom du firewall est sélectionnée. La taille maximale du nom du firewall est de 127 caractères.
Langue du Firewall (traces)

Choix de la langue utilisée par le firewall pour les traces de types log, Syslog et la configuration CLI. Les langues disponibles sont : Français et Anglais.
Clavier (console) Type de clavier supporté par le firewall. Les langues disponibles sont : Anglais, Français, Italien, Polonais, Suisse.

Paramètres cryptographiques

Activer la récupération régulière des listes de révocation de certificats (CRL) Lorsque cette option est cochée, le firewall vérifie toutes les 6 heures la date de validité de chaque CRL téléchargée depuis les points de distribution spécifiés dans la PKI. Lorsqu’une CRL est proche de son expiration ou expirée, une alarme est alors générée.
Activer le mode de conformité « Diffusion Restreinte (DR) » version 2021 L’option Activer le mode de conformité « Diffusion Restreinte (DR) » version 2021 impose au firewall  de respecter les recommandations de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) concernant l’usage des coprocesseurs et accélérateurs cryptographiques dans les produits visant une qualification. Elle est impérative sur les réseaux répondant à la classification « Diffusion Restreinte ».
Ce mode repose notamment sur l’utilisation de versions logicielles pour les algorithmes de cryptographie (asymétrique, génération d'aléa et symétrique). Concernant les algorithmes de cryptographie symétrique, les instructions dites "AES-NI", disponibles sur certains produits, bénéficient d'une dérogation car elles sont uniquement constituées d'« instructions simples d’accélération » de certaines opérations cryptographiques.

L’activation du mode « Diffusion Restreinte (DR) » en version SNS 4.8.5 implique les comportements suivants :
  • IPsec : seule l'authentification par certificat est autorisée.
  • IPsec : les certificat utilisés (du certificat final jusqu'à la CA de confiance commune) doivent respecter les spécifications suivantes: signature ECDSA ou ECSDSA sur courbe SECP ou Brainpool, SHA256 comme algorithme de hachage et une taille de clé à 256 bits.
  • IPsec : vérification que le firewall utilise bien la version 2 du protocole IKE.
  • IPsec : vérification que le champ ID du correspondant est renseigné.
  • IPsec : vérification que les algorithmes de chiffrement utilisés appartiennent bien aux groupes DH19 et DH28 (SECP et Brainpool 256).
  • IPsec : vérification que l'algorithme de chiffrement utilisé est soit AES_GCM_16 (AEAD : Authenticated Encryption with Associated DATA. AES_GCM_16 n'est donc associé à aucun algorithme d'authentification), soit AES_CTR, impérativement associé au protocole d'authentification SHA256.
  • IPsec : la vérification de révocation des certificats doit être active.
  • IPsec : la taille de la fenêtre d'anti-rejeu ne doit pas être nulle.
  • IPsec : l'algorithme de Pseudo-Random Function (PRF) doit être SHA256.

    • IMPORTANT
    Lorsqu'une des conditions énoncées ci-dessus n'est pas respectée, la configuration IPsec non conforme est désactivée et le message suivant est affiché :
    "Le mode 'Diffusion Restreinte' a désactivé la configuration VPN IPsec non conforme".
    Ceci afin d'inciter l'administrateur à modifier la politique IPsec afin de pouvoir l'activer.

  • Sur les firewalls équipés de processeurs Intel, le mode « Diffusion Restreinte (DR) » permet l'utilisation des jeux d'instructions cryptographiques matérielles du coprocesseur. Sur les firewalls équipés d'autres types de processeurs, le mode « Diffusion Restreinte (DR) » force la désactivation de ces jeux d'instructions, ce qui entraîne des baisses de performances lors du chiffrement.
  • Le mode « Diffusion Restreinte (DR) » restreint les suites de chiffrement utilisables pour le portail d'authentification et le VPN SSL : seules les suites de chiffrement AES, SHA256, SHA384 et GCM sont autorisés.

NOTE
L’activation du mode « Diffusion Restreinte (DR) » nécessite un redémarrage du firewall.

Politique de mots de passe

Les paramètres indiqués s’appliquent à l’ensemble des mots de passe et clés pré-partagées définis sur le firewall (VPN PPTP, VPN IPsec, annuaire LDAP interne, etc.).

Longueur minimale des mots de passe Indiquez le nombre minimum de caractères devant être respecté pour chaque mot de passe défini dans le firewall.

NOTE
La valeur définie par défaut est 1 pour des raisons de compatibilité en cas de migration en version 2 de configurations existantes.
Types de caractères obligatoires Sélectionnez les types de caractères obligatoires à inclure dans chaque mot de passe :
  • Aucun : le mot de passe n’est soumis à aucune obligation de présence de caractères alphanumériques ou spéciaux,
  • Alphanumériques : le mot de passe doit contenir au minimum un caractère alphabétique et un chiffre,
  • Alphabétiques et spéciaux : le mot de passe doit contenir au minimum un caractère alphanumérique et un caractère spécial (‘#’, ‘@’, etc…)
Entropie minimale L'entropie est un paramètre permettant de définir le niveau de robustesse à respecter pour définir un mot de passe. Plus elle est élevée, plus la robustesse du mot de passe doit être importante.
Lorsqu'elle est définie, elle intervient aussi bien dans le calcul des mots de passe générés aléatoirement (exemple : comptes temporaires) que pour les mots de passe définis manuellement.
L'entropie tient compte de la longueur du mot de passe et du nombre de caractères uniques dans le mot de passe.

Sa formule de calcul est la suivante :
Entropie = (Longueur du mot de passe)*(Log(Nombre de caractères uniques dans le mot de passe)/Log(2)).

La valeur proposée par défaut pour l'entropie est : 20.
Une valeur de 0 désactive la prise en compte de l'entropie dans la génération automatique ou la définition manuelle des mots de passe.

Paramètres de date et d'heure

Saisie manuelle Cette option permet de régler manuellement la date et l'heure du firewall.
Synchroniser avec votre machine Cette option permet de régler la date et l'heure du firewall selon les paramètres de votre machine.
Maintenir le firewall à l’heure (NTP)

Cette option permet de maintenir à jour l'horloge locale du firewall via le réseau par le biais de serveurs NTP (Network Time Protocol). Complétez cette configuration en vous reportant sur les grilles Liste des serveurs NTP et Liste des clés NTP.
Date Ce champ s'affiche seulement si l'option Saisie manuelle est cochée. Choisissez la date souhaitée dans le calendrier.
Heure Ce champ s'affiche seulement si l'option Saisie manuelle est cochée. Saisissez l'heure souhaitée au format HH:MM:SS.
Fuseau horaire Fuseau horaire défini pour le firewall (GMT par défaut). Un changement de fuseau horaire nécessite un redémarrage du firewall.

NOTE
La date et l'heure auxquelles votre firewall Stormshield Network est réglé sont importantes : elles vous permettent de situer dans le temps un événement enregistré dans les fichiers de log. Elles servent également à la programmation horaire des configurations.

Liste des serveurs NTP

IMPORTANT
Les serveurs NTP utilisés doivent être compatibles NTPv4.

Cette grille s'affiche seulement si l’option Maintenir le firewall à l’heure (NTP) est cochée.

Serveurs NTP (machine ou groupe-plages d’adresses) (15 max) Affiche les serveurs NTP utilisés pour maintenir à jour l'horloge locale du firewall.
Pour ajouter un serveur NTP, cliquez sur Ajouter et sélectionnez dans la liste déroulante l'objet représentant le serveur NTP que vous souhaitez ajouter. Si cet objet n'existe pas, cliquez sur l'icône de création d'objet pour le créer.
Pour retirer un serveur NTP de la liste, sélectionnez-le et cliquez sur Supprimer.
Identifiant de clé NTP

Vous pouvez renseignez une clé si l'accès à un serveur NTP en nécessite une pour s'authentifier. Sélectionnez dans ce champ un identifiant de clé parmi la liste des clés NTP déjà créées. Chaque identifiant est associé à une valeur représentant la clé NTP. Pour créer un nouvel identifiant de clé ou pour visualiser la liste des clés NTP déjà créées, reportez-vous à la grille Liste des clés NTP.

Liste des clés NTP

Cette grille s'affiche seulement si l’option Maintenir le firewall à l’heure (NTP) est cochée.

Identifiant de clé NTP

Affiche la liste des identifiants de clé NTP. Ces identifiants peuvent être sélectionnés dans la colonne Identifiant de clé NTP de la grille Liste des serveurs NTP.

Pour ajouter un identifiant de clé NTP, cliquez sur Ajouter et définissez-lui un identifiant unique compris entre 1 et 15. Pour supprimer un identifiant de la liste, sélectionnez-le et cliquez sur Supprimer.
Valeur

Affiche la valeur des clés NTP. Si vous ajoutez un nouvel identifiant de clé NTP, renseignez la valeur de sa clé dans ce champ (8 catactères maximum). Effectuez un double-clic sur une valeur existante pour la modifier.
Type de clé Affiche l'algorithme utilisé pour la clé NTP. Vous pouvez le modifier en sélectionnant l'algorithme souhaité dans la liste déroulante.

Configuration avancée

Surveillance d’inactivité (watchdog)

Compteur de la surveillance d'inactivité (watchdog)

Ce dispositif teste l’activité du système du firewall. Ce test est réalisé de manière :

  • Logicielle sur les firewalls virtuels (EVA),
  • Matérielle et logicielle sur les firewalls physiques.

La fréquence de ce test est fixée par ce seuil.
En cas d’inactivité du système, ce « chien de garde » (watchdog) redémarre le firewall et déclenche un événement système (24).
Pour stopper la surveillance, choisissez la valeur Désactivé.

Matériel

La zone Matériel s'affiche seulement sur les firewalls disposant de la fonction de bypass.

La fonction de bypass permet, lorsqu'elle est activée (prête à être déclenchée) et en cas de défaillance matérielle ou logicielle critique, de faire passer le trafic réseau au travers du firewall SNS sans qu'aucune analyse ne soit mise en œuvre. Cette fonction permet ainsi d’assurer une continuité de service dans les milieux sensibles.

Activer le mode sûreté

Lorsque vous cochez cette case, vous activez le mode Sûreté du bypass. Lorsque ce mode est activé :

  • Le mécanisme de bypass est activé (prêt à être déclenché) sur tous les segments bypass configurés pour l'utiliser (interfaces concernées regroupées dans un bridge). Une liste indique les segments bypass sur lesquels le mode Sûreté sera activé.
  • Lorsqu'un événement déclencheur survient (défaillance matérielle ou logicielle critique), le mécanisme de bypass est déclenché et le trafic réseau des segments bypass concernés passe alors au travers du firewall SNS sans qu'aucune analyse ne soit mise en œuvre. Selon la défaillance rencontrée, le mécanisme de bypass est immédiatement déclenché ou après écoulement d'un compte à rebours.
  • Une fois le mécanisme de bypass déclenché, seul un réarmement permet de retrouver un fonctionnement où le firewall SNS effectue de nouveau ses analyses.

Vous ne pouvez pas activer le mode Sûreté sur un firewall SNS configuré en haute disponibilité.

À noter que tant que le mode Sûreté n'est pas activé, la fonction de bypass reste désactivée en permanence, même si une défaillance critique survient.
Seuil d'inactivité du mode sûreté

Lors d'une défaillance logicielle, notamment lorsque le système d’exploitation du firewall SNS ne répond plus ou est surchargé, le mécanisme de bypass se déclenche après écoulement d'un compte à rebours dont le seuil de départ correspond au Seuil d'inactivité du mode sûreté.

Sélectionnez le seuil souhaité. Les valeurs proposées vont de 1 minute à 4 minutes.
Réarmement du mode sûreté

Une fois le mécanisme de bypass déclenché, seul un réarmement permet de retrouver un fonctionnement où le firewall SNS effectue de nouveau ses analyses. Cliquez sur ce bouton pour réarmer le mécanisme de bypass.

IMPORTANT
Après un réarmement manuel, vous devez vérifier le fonctionnement correct des flux réseau. En effet, les connexions initiées pendant la phase active du bypass seront interrompues et devront être rétablies à l'initiative des machines distantes.

Pour plus d'informations sur le principe de fonctionnement du bypass, sur les firewalls et modules réseau équipés de la fonction de bypass et sur la manière de la configurer, reportez-vous à la note technique Gérer le bypass des firewalls SNS.

Portail captif

Redirection vers le portail captif Cette option permet de choisir la dénomination du firewall utilisée lors de la génération des URI de redirection vers le portail captif. Quatre valeurs sont proposées :
  • Utiliser l'adresse du firewall.
  • Utiliser le nom du firewall.
    Il s'agit du nom indiqué dans le champ Nom du firewall de la section Configuration générale ou du numéro de série du firewall si aucun nom n'a été précisé dans ce champ.
  • Utiliser le certificat du portail captif.
    Il s'agit du nom du firewall précisé dans le certificat du portail.
  • Préciser un nom de domaine (FQDN).
Nom de domaine (FQDN) Saisissez un nom DNS pleinement qualifié pour le firewall (ex. : firewall.company.org). Ce champ est accessible seulement si la valeur Préciser un un nom de domaine (FQDN) a été sélectionnée dans le champ précédent.

Télémétrie

NOTE
Lorsque l'administrateur qui consulte ce module est connecté avec un compte autre que admin (super-administrateur), ce cadre est grisé et intitulé Télémétrie (nécessite le compte 'admin').

Autoriser l'envoi à Stormshield de données d'utilisation (anonyme)

Lorsque cette case est cochée, votre firewall envoie vers le Cloud Stormshield (sur le port 443) des données d'utilisation à des fins statistiques (liste ci-dessous).

En transmettant ces données parfaitement anonymes, vous aidez Stormshield à affiner les paramètres de performances du proxy et les tailles et limites des futures versions et plate-formes matérielles SNS.

Liste des données d'utilisation à des fins statistiques :

  • Nombre de lignes générées dans chaque fichier de log,
  • Taille de chaque fichier de logs,
  • Consommation CPU,
  • Utilisation mémoire,
  • Nombre de connexions prises en charge par le proxy, par protocole,
  • Nombre de connexions dégradées prises en charge par le proxy, par protocole,
  • Nombre maximal de connexions simultanées prises en charge par le proxy, par protocole,
  • Nombre maximal de connexions dégradées simultanées prises en charge par le proxy, par protocole,
  • Nombre d'objets dans la base objet, par type,
  • Nombre de règles de filtrage et de NAT,
  • Nombre de connexions simultanées au travers du firewall,
  • Nombre de machines connues du firewall,
  • Nombre d'authentifications par type,
  • Nombre de contrôles antivirus effectués,
  • Nombre d'utilisateurs connectés pour chaque méthode d'authentification,
  • Nombre d'Agents TS connectés,
  • Statistiques de consommation mémoire des sockets,
  • Informations d'utilisation de la partition des logs,
  • Statistiques de consommation mémoire et CPU des démons,
  • Information sur l'utilisation ou non du TPM,
  • Statistiques sur la PKI (nombre de CA, de certificats, d'identités et de certificats protégés par le TPM),
  • Nombre d'URL correspondant à la catégorie d'URL "URL compromises",
  • Information sur l’utilisation ou non de la solution de classification d'URL Extended Web Control (EWC),
  • Nombre de requêtes de classification d'URL,
  • Nombre de tunnels IPsec site à site configurés et activés dans la politique IPsec active,
  • Nombre maximal de tunnels IPsec site à site établis,
  • Nombre de tunnels IPsec mobiles configurés et activés dans la politique IPsec active,
  • Nombre maximal de tunnels IPsec mobiles établis,
  • Nombre de tunnels IPsec IKE v1 configurés dans la politique IPsec active,
  • Nombre de tunnels IPsec IKE v2 configurés dans la politique IPsec active,
  • Nombre de tunnels IPsec avec authentification par clé pré-partagée configurés dans la politique IPsec active,
  • Nombre de tunnels IPsec avec authentification par certificat configurés dans la politique IPsec active,
  • Nombre de tunnels IPsec avec authentification par certificat et XAUTH configurés dans la politique IPsec active,
  • Nombre de tunnels IPsec avec authentification EAP-GTC configurés dans la politique IPsec active,
  • Nombre de tunnels IPsec avec authentification par certificat et EAP-GTC configurés dans la politique IPsec active,
  • Nombre d'entrées présentes dans le cache TLS 1.3,
  • Nombre d'entrées avec l'erreur de délai d'attente dépassé (timeout) présentes dans le cache TLS 1.3,
  • Nombre de vidages du cache TLS 1.3 suite à son remplissage,
  • Nombre de signaux d'interruption pour fin anormale d'un processus,
  • Date de la dernière émission d'un signal d'interruption pour fin anormale d'un processus.

Invite de commande SSH

Nom du nœud système

Ce champ permet de définir un nom additionnel qui sera concaténé au nom du firewall. Ce nom de nœud système est particulièrement utile dans le cadre d'une configuration en haute disponibilité, puisqu'il vous permet d'identifier aisément le membre du cluster sur lequel vous êtes connecté lorsque vous ouvrez une session en mode console via SSH par exemple.

Lorsqu'il est configuré, ce nom du nœud système apparaît dans le bandeau supérieur de l'interface Web d’administration, entre parenthèses, derrière le numéro de série du firewall.