Onglet Configuration générale

NOTE
Pour connaître les caractères autorisés ou interdits des différents champs à renseigner, reportez-vous à la section Noms autorisés.

Configuration générale

Nom du firewall Ce nom est affiché sur la fenêtre principale du firewall et est utilisé dans les e-mails d'alarmes envoyés à l'administrateur. Il peut également être utilisé comme nom DNS du portail captif lorsque celui-ci est activé et que l’option Utiliser le nom du firewall est sélectionnée. La taille maximale du nom du firewall est de 127 caractères.
Langue du Firewall (traces)

Choix de la langue utilisée par le firewall pour les traces de types log, Syslog et la configuration CLI. Les langues disponibles sont : Français et Anglais.
Clavier (console) Type de clavier supporté par le firewall. Les langues disponibles sont : Anglais, Français, Italien, Polonais, Suisse.

Paramètres cryptographiques

Activer la récupération régulière des listes de révocation de certificats (CRL) Lorsque cette option est cochée, le firewall vérifie toutes les 6 heures la date de validité de chaque CRL téléchargée depuis les points de distribution spécifiés dans la PKI. Lorsqu’une CRL est proche de son expiration ou expirée, une alarme est alors générée.
Activer le mode de conformité « Diffusion Restreinte (DR) » version 2021 L’option Activer le mode de conformité « Diffusion Restreinte (DR) » version 2021 impose au firewall  de respecter les recommandations de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) concernant l’usage des coprocesseurs et accélérateurs cryptographiques dans les produits visant une qualification. Elle est impérative sur les réseaux répondant à la classification « Diffusion Restreinte ».
Ce mode repose notamment sur l’utilisation de versions logicielles pour les algorithmes de cryptographie (asymétrique, génération d'aléa et symétrique). Concernant les algorithmes de cryptographie symétrique, les instructions dites "AES-NI", disponibles sur certains produits, bénéficient d'une dérogation car elles sont uniquement constituées d'« instructions simples d’accélération » de certaines opérations cryptographiques.

L’activation du mode « Diffusion Restreinte (DR) » en version SNS 4.8.4 implique les comportements suivants :
  • IPsec : seule l'authentification par certificat est autorisée.
  • IPsec : les certificat utilisés (du certificat final jusqu'à la CA de confiance commune) doivent respecter les spécifications suivantes: signature ECDSA ou ECSDSA sur courbe SECP ou Brainpool, SHA256 comme algorithme de hachage et une taille de clé à 256 bits.
  • IPsec : vérification que le firewall utilise bien la version 2 du protocole IKE.
  • IPsec : vérification que le champ ID du correspondant est renseigné.
  • IPsec : vérification que les algorithmes de chiffrement utilisés appartiennent bien aux groupes DH19 et DH28 (SECP et Brainpool 256).
  • IPsec : vérification que l'algorithme de chiffrement utilisé est soit AES_GCM_16 (AEAD : Authenticated Encryption with Associated DATA. AES_GCM_16 n'est donc associé à aucun algorithme d'authentification), soit AES_CTR, impérativement associé au protocole d'authentification SHA256.
  • IPsec : la vérification de révocation des certificats doit être active.
  • IPsec : la taille de la fenêtre d'anti-rejeu ne doit pas être nulle.
  • IPsec : l'algorithme de Pseudo-Random Function (PRF) doit être SHA256.

    • IMPORTANT
    Lorsqu'une des conditions énoncées ci-dessus n'est pas respectée, la configuration IPsec non conforme est désactivée et le message suivant est affiché :
    "Le mode 'Diffusion Restreinte' a désactivé la configuration VPN IPsec non conforme".
    Ceci afin d'inciter l'administrateur à modifier la politique IPsec afin de pouvoir l'activer.

  • Sur les firewalls équipés de processeurs Intel, le mode « Diffusion Restreinte (DR) » permet l'utilisation des jeux d'instructions cryptographiques matérielles du coprocesseur. Sur les firewalls équipés d'autres types de processeurs, le mode « Diffusion Restreinte (DR) » force la désactivation de ces jeux d'instructions, ce qui entraîne des baisses de performances lors du chiffrement.
  • Le mode « Diffusion Restreinte (DR) » restreint les suites de chiffrement utilisables pour le portail d'authentification et le VPN SSL : seules les suites de chiffrement AES, SHA256, SHA384 et GCM sont autorisés.

NOTE
L’activation du mode « Diffusion Restreinte (DR) » nécessite un redémarrage du firewall.

Politique de mots de passe

Les paramètres indiqués s’appliquent à l’ensemble des mots de passe et clés pré-partagées définis sur le firewall (VPN PPTP, VPN IPsec, annuaire LDAP interne, etc.).

Longueur minimale des mots de passe Indiquez le nombre minimum de caractères devant être respecté pour chaque mot de passe défini dans le firewall.

NOTE
La valeur définie par défaut est 1 pour des raisons de compatibilité en cas de migration en version 2 de configurations existantes.
Types de caractères obligatoires Sélectionnez les types de caractères obligatoires à inclure dans chaque mot de passe :
  • Aucun : le mot de passe n’est soumis à aucune obligation de présence de caractères alphanumériques ou spéciaux,
  • Alphanumériques : le mot de passe doit contenir au minimum un caractère alphabétique et un chiffre,
  • Alphabétiques et spéciaux : le mot de passe doit contenir au minimum un caractère alphanumérique et un caractère spécial (‘#’, ‘@’, etc…)
Entropie minimale L'entropie est un paramètre permettant de définir le niveau de robustesse à respecter pour définir un mot de passe. Plus elle est élevée, plus la robustesse du mot de passe doit être importante.
Lorsqu'elle est définie, elle intervient aussi bien dans le calcul des mots de passe générés aléatoirement (exemple : comptes temporaires) que pour les mots de passe définis manuellement.
L'entropie tient compte de la longueur du mot de passe et du nombre de caractères uniques dans le mot de passe.

Sa formule de calcul est la suivante :
Entropie = (Longueur du mot de passe)*(Log(Nombre de caractères uniques dans le mot de passe)/Log(2)).

La valeur proposée par défaut pour l'entropie est : 20.
Une valeur de 0 désactive la prise en compte de l'entropie dans la génération automatique ou la définition manuelle des mots de passe.

Paramètres de date et d'heure

Saisie manuelle Cette option permet de régler manuellement la date et l'heure du firewall.
Synchroniser avec votre machine Cette option permet de régler la date et l'heure du firewall selon les paramètres de votre machine.
Maintenir le firewall à l’heure (NTP)

Cette option permet de maintenir à jour l'horloge locale du firewall via le réseau par le biais de serveurs NTP (Network Time Protocol). Complétez cette configuration en vous reportant sur les grilles Liste des serveurs NTP et Liste des clés NTP.
Date Ce champ s'affiche seulement si l'option Saisie manuelle est cochée. Choisissez la date souhaitée dans le calendrier.
Heure Ce champ s'affiche seulement si l'option Saisie manuelle est cochée. Saisissez l'heure souhaitée au format HH:MM:SS.
Fuseau horaire Fuseau horaire défini pour le firewall (GMT par défaut). Un changement de fuseau horaire nécessite un redémarrage du firewall.

NOTE
La date et l'heure auxquelles votre firewall Stormshield Network est réglé sont importantes : elles vous permettent de situer dans le temps un événement enregistré dans les fichiers de log. Elles servent également à la programmation horaire des configurations.

Liste des serveurs NTP

IMPORTANT
Les serveurs NTP utilisés doivent être compatibles NTPv4.

Cette grille s'affiche seulement si l’option Maintenir le firewall à l’heure (NTP) est cochée.

Serveurs NTP (machine ou groupe-plages d’adresses) (15 max) Affiche les serveurs NTP utilisés pour maintenir à jour l'horloge locale du firewall.
Pour ajouter un serveur NTP, cliquez sur Ajouter et sélectionnez dans la liste déroulante l'objet représentant le serveur NTP que vous souhaitez ajouter. Si cet objet n'existe pas, cliquez sur l'icône de création d'objet pour le créer.
Pour retirer un serveur NTP de la liste, sélectionnez-le et cliquez sur Supprimer.
Identifiant de clé NTP

Vous pouvez renseignez une clé si l'accès à un serveur NTP en nécessite une pour s'authentifier. Sélectionnez dans ce champ un identifiant de clé parmi la liste des clés NTP déjà créées. Chaque identifiant est associé à une valeur représentant la clé NTP. Pour créer un nouvel identifiant de clé ou pour visualiser la liste des clés NTP déjà créées, reportez-vous à la grille Liste des clés NTP.

Liste des clés NTP

Cette grille s'affiche seulement si l’option Maintenir le firewall à l’heure (NTP) est cochée.

Identifiant de clé NTP

Affiche la liste des identifiants de clé NTP. Ces identifiants peuvent être sélectionnés dans la colonne Identifiant de clé NTP de la grille Liste des serveurs NTP.

Pour ajouter un identifiant de clé NTP, cliquez sur Ajouter et définissez-lui un identifiant unique compris entre 1 et 15. Pour supprimer un identifiant de la liste, sélectionnez-le et cliquez sur Supprimer.
Valeur

Affiche la valeur des clés NTP. Si vous ajoutez un nouvel identifiant de clé NTP, renseignez la valeur de sa clé dans ce champ (8 catactères maximum). Effectuez un double-clic sur une valeur existante pour la modifier.
Type de clé Affiche l'algorithme utilisé pour la clé NTP. Vous pouvez le modifier en sélectionnant l'algorithme souhaité dans la liste déroulante.

Configuration avancée

Surveillance d’inactivité (watchdog)

Compteur de la surveillance d'inactivité (watchdog)

Ce dispositif teste l’activité du système du firewall. Ce test est réalisé de manière :

  • Logicielle sur les firewalls virtuels (EVA),
  • Matérielle et logicielle sur les firewalls physiques.

La fréquence de ce test est fixée par ce seuil.
En cas d’inactivité su système, ce « chien de garde » (watchdog) redémarre le firewall et déclenche un événement système (24).
Pour stopper la surveillance, choisissez la valeur Désactivé.

Portail captif

Redirection vers le portail captif Cette option permet de choisir la dénomination du firewall utilisée lors de la génération des URI de redirection vers le portail captif. Quatre valeurs sont proposées :
  • Utiliser l'adresse du firewall.
  • Utiliser le nom du firewall.
    Il s'agit du nom indiqué dans le champ Nom du firewall de la section Configuration générale ou du numéro de série du firewall si aucun nom n'a été précisé dans ce champ.
  • Utiliser le certificat du portail captif.
    Il s'agit du nom du firewall précisé dans le certificat du portail.
  • Préciser un nom de domaine (FQDN).
Nom de domaine (FQDN) Saisissez un nom DNS pleinement qualifié pour le firewall (ex. : firewall.company.org). Ce champ est accessible seulement si la valeur Préciser un un nom de domaine (FQDN) a été sélectionnée dans le champ précédent.

Télémétrie

NOTE
Lorsque l'administrateur qui consulte ce module est connecté avec un compte autre que admin (super-administrateur), ce cadre est grisé et intitulé Télémétrie (nécessite le compte 'admin').

Autoriser l'envoi à Stormshield de données d'utilisation (anonyme)

Lorsque cette case est cochée, votre firewall envoie vers le Cloud Stormshield (sur le port 443) des données d'utilisation à des fins statistiques :

  • Nombre de lignes générées dans chaque fichier de log,
  • Taille de chaque fichier de logs,
  • Consommation CPU,
  • Utilisation mémoire,
  • Nombre de connexions prises en charge par le proxy, par protocole,
  • Nombre de connexions dégradées prises en charge par le proxy, par protocole,
  • Nombre maximal de connexions simultanées prises en charge par le proxy, par protocole,
  • Nombre maximal de connexions dégradées simultanées prises en charge par le proxy, par protocole,
  • Nombre d'objets dans la base objet, par type,
  • Nombre de règles de filtrage et de NAT,
  • Nombre de connexions simultanées au travers du firewall,
  • Nombre de machines connues du firewall,
  • Nombre d'authentifications par type,
  • Nombre de contrôles antivirus effectués,
  • Nombre d'utilisateurs connectés pour chaque méthode d'authentification,
  • Nombre d'Agents TS connectés,
  • Statistiques de consommation mémoire des sockets,
  • Informations d'utilisation de la partition des logs,
  • Statistiques de consommation mémoire et CPU des démons,
  • Information sur l'utilisation ou non du TPM,
  • Statistiques sur la PKI (nombre de CA, de certificats, d'identités et de certificats protégés par le TPM),
  • Nombre d'URL correspondant à la catégorie d'URL "URL compromises",
  • Information sur l’utilisation ou non de la solution de classification d'URL Extended Web Control (EWC),
  • Nombre de requêtes de classification d'URL,
  • Nombre de tunnels IPsec site à site configurés et activés dans la politique IPsec active,
  • Nombre maximal de tunnels IPsec site à site établis,
  • Nombre de tunnels IPsec mobiles configurés et activés dans la politique IPsec active,
  • Nombre maximal de tunnels IPsec mobiles établis,
  • Nombre de tunnels IPsec IKE v1 configurés dans la politique IPsec active,
  • Nombre de tunnels IPsec IKE v2 configurés dans la politique IPsec active,
  • Nombre de tunnels IPsec avec authentification par clé pré-partagée configurés dans la politique IPsec active,
  • Nombre de tunnels IPsec avec authentification par certificat configurés dans la politique IPsec active,
  • Nombre de tunnels IPsec avec authentification par certificat et XAUTH configurés dans la politique IPsec active ,
  • Nombre de tunnels IPsec avec authentification EAP-GTC configurés dans la politique IPsec active,
  • Nombre de tunnels IPsec avec authentification par certificat et EAP-GTC configurés dans la politique IPsec active ,
  • Nombre d'entrées présentes dans le cache TLS 1.3,
  • Nombre d'entrées avec l'erreur de délai d'attente dépassé (timeout) présentes dans le cache TLS 1.3,
  • Nombre de vidages du cache TLS 1.3 suite à son remplissage,
  • Nombre de signaux d'interruption pour fin anormale d'un processus,
  • Date de la dernière émission d'un signal d'interruption pour fin anormale d'un processus

En transmettant ces données parfaitement anonymes, vous aidez Stormshield à affiner les paramètres de performances du proxy et les tailles et limites des futures versions et plate-formes matérielles SNS.

Invite de commande SSH

Nom du nœud système

Ce champ permet de définir un nom additionnel qui sera concaténé au nom du firewall. Ce nom de nœud système est particulièrement utile dans le cadre d'une configuration en haute disponibilité, puisqu'il vous permet d'identifier aisément le membre du cluster sur lequel vous êtes connecté lorsque vous ouvrez une session en mode console via SSH par exemple.

Lorsqu'il est configuré, ce nom du nœud système apparaît dans le bandeau supérieur de l'interface Web d’administration, entre parenthèses, derrière le numéro de série du firewall.

Bypass - Firewalls industriels et firewalls équipés du module 8 ports Cuivre 1Gbit/s - 4 bypass (NA-EX-CARD-BP-8xG-C)

Firewalls industriels (SNi20 et Sni40)

Afin d’assurer une continuité de service dans les milieux industriels, les firewalls modèles SNi20 et SNi40 sont équipés d’un bypass matériel qui permet, une fois activé, et en cas de défaillance du firewall, de faire passer le trafic réseau sans qu'aucune analyse ne soit mise en œuvre.

NOTES
  • Ce mécanisme ne peut pas être activé sur des firewalls en haute disponibilité,
  • Ce mécanisme ne peut être activé que sur les deux premières interfaces du firewall.

Firewalls équipés du module 8 ports Cuivre 1Gbit/s - 4 bypass (NA-EX-CARD-BP-8xG-C)

De la même manière que pour les firewalls industriels, et afin d’assurer une continuité de service sans devoir opter pour une configuration en haute disponibilité, les firewalls modèles SN-M-Series-520, SN-M-Series-720, SN-M-Series-920 et SN1100 peuvent recevoir un module 8 ports Cuivre 1Gbit/s gérant jusqu'à 4 bypass matériels (NA-EX-CARD-BP-8xG-C).

Notez que l'utilisation de la fonctionnalité de bypass sur un firewall modèle SN1100 impose que ce module soit inséré dans l'emplacement d'extension de gauche du firewall.

Sur le module 8 ports Cuivre 1Gbit/s - 4 bypass (NA-EX-CARD-BP-8xG-C), les interfaces sont associées verticalement par paire pour le fonctionnement en mode bypass : cette association est figée matériellement et ne peut pas être modifiée. Ces paires sont également appelées "segments bypass".

L'activation du mode bypass sur l'une des interfaces d'un segment bypass nécessite que cette interface et son interface associée soient regroupées au sein d'un même bridge.
Un avertissement est affiché si ce n'est pas le cas.

NOTES
  • Sur les modèles de firewalls pré-cités, le mécanisme de bypass ne peut être activé que sur les interfaces du module 8 ports Cuivre 1Gbit/s - 4 bypass (NA-EX-CARD-BP-8xG-C).
  • Ce mécanisme ne peut pas être activé sur des firewalls en haute disponibilité ou sur des interfaces de ce module incluses dans un agrégat.

Fonctionnement et activation des bypass

Deux modes de fonctionnement du firewall sont proposés :

  • Mode Sécurité : ce mode privilégie la sécurité et la protection du réseau. Le mécanisme de bypass ne peut pas être activé. C’est le mode de fonctionnement par défaut du firewall.
  • Mode Sûreté : ce mode privilégie la continuité de service. Le mécanisme de bypass sera activé en cas de coupure ou de défaillance du firewall.

Lorsque le mode Sûreté est activé, trois types de déclenchements du bypass peuvent être distingués :

  • Bypass de type SystemOff : il se déclenche lors d’une défaillance électrique du firewall ou lors d’une coupure de courant.
  • Bypass de type JustOn : il se déclenche lors d’un redémarrage du produit et se désactive ensuite.
  • Bypass de type OnTimer : lorsque le produit est soumis à une surcharge de connexions, le bypass se déclenche après écoulement du délai précisé dans la configuration du mode Sûreté. Une fois le bypass déclenché, le mode Sûreté peut alors être réarmé par l’administrateur du firewall.

IMPORTANT
Une vérification du fonctionnement correct des flux réseau doit être réalisée immédiatement après un réarmement manuel. En effet, les connexions initiées pendant la phase active du bypass ne seront pas reconnues par le firewall et donc systématiquement rejetées.

Lorsque le bypass est déclenché, les interfaces concernées du firewall sont représentées de la manière suivante :

 
Activer le mode sûreté

Lorsque vous cochez cette case, vous activez le mécanisme de bypass du firewall.

Les trois modes de déclenchement sont automatiquement disponibles.

Seuil d'inactivité du mode sûretéSélectionnez le délai au delà duquel le bypass de type OnTimer doit se déclencher. Les valeurs proposées sont :
  • 1 min
  • 1 min 30 sec
  • 2 min
  • 2 min 30 sec
  • 3 min
  • 3 min 30 sec
  • 4 min
Réarmement du mode sûretéLorsque le bypass de type OnTimer s'est déclenché, vous pouvez cliquer sur ce bouton afin de le désactiver pour repasser le firewall en mode Sûreté.