Interface Ethernet

Vous pouvez modifier les paramètres de chaque interface Ethernet, mais il n’est pas possible d’en ajouter ou d'en supprimer. Dans le cas où une interface Ethernet est membre d'un :

  • Bridge : certains champs du panneau de configuration de l'interface ne sont pas modifiables (grisés) du fait qu'ils sont hérités du bridge.

  • Agrégat : seuls les champs État, Nom, Commentaire et Média sont visibles. Les autres paramètres sont hérités de la configuration de l’agrégat.

Panneau de configuration d'une interface Ethernet

Pour ouvrir le panneau de configuration d'une interface Ethernet, faites un double-clic dessus. Le panneau de configuration dispose de plusieurs onglets.

État

ON / OFF

Positionnez le sélecteur sur ON / OFF pour activer ou désactiver l'interface.
Désactiver une interface la rend inutilisable. Une interface désactivée (car non utilisée, déployée ultérieurement, ...) est une mesure de sécurité supplémentaire contre les intrusions.

Paramètres généraux

Nom Nom de l'interface. Vous pouvez le modifier si souhaité.
Commentaire Permet de donner un commentaire pour l'interface.
Cette interface est

Une interface peut être :

  • Interne (protégée) : en choisissant cette option, vous indiquez le caractère protégé de l’interface (matérialisé par un bouclier). Une interface protégée n’accepte que les paquets provenant d’un plan d’adressage connu, tel qu’un réseau directement connecté ou un réseau défini par une route statique. Cette protection comprend une mémorisation des machines connectées à cette interface, des mécanismes de sécurisation du trafic conventionnel (TCP) et des règles implicites pour les services proposés par le firewall comme le DHCP.

  • Externe (publique) : en choisissant cette option, vous indiquez que l’interface est dépourvue des protections d’une interface protégée et peut donc recevoir des paquets provenant de n’importe quel plan d’adressage (qui ne font pas partie des plans d’adresses des interfaces internes). Ce type d’interface est utilisé principalement pour connecter le firewall à Internet.

Plan d’adressage

Plan d’adressage hérité du bridge En choisissant cette option, l'interface fait partie d'un bridge. Plusieurs paramètres sont alors hérités du bridge (comme le plan d'adressage). Ce choix débloque l'accès au champ Bridge. Sélectionnez dans ce champ le bridge parent de l'interface.
Dynamique / Statique

En choisissant cette option, vous indiquez que l'adresse IP de l'interface est dynamique (obtenue par DHCP) ou fixe (statique). Ce choix débloque l'accès au champ Adresse IPv4 ainsi qu'au champ Adresse IPv6 si l'IPv6 est activé dans la configuration du firewall. Ils comportent les mêmes options à configurer.
IP dynamique (obtenue par DHCP)

En choisissant cette option, l’adresse IP de l'interface est définie par DHCP. Une zone Configuration DHCP avancée apparaît avec les paramètres suivants :

  • Nom DNS (facultatif) : vous pouvez indiquer un nom d’hôte DHCP pleinement qualifié (FQDN) pour la requête DHCP.

    Si ce champ est rempli et que le serveur DHCP externe possède l’option de mise à jour automatique du serveur DNS, alors le serveur DHCP met automatiquement à jour le serveur DNS avec le nom fourni par le firewall, l’adresse IP qui lui a été fournie et la durée du bail alloué (champ ci-dessous).

  • Durée de bail demandée (secondes) : en complément du nom DNS, indiquez une période de conservation de l'adresse IP avant renégociation.

  • Demander les serveurs DNS au serveur DHCP et créer les objets machines : cochez ce paramètre pour que le firewall récupère les serveurs DNS auprès du serveur DHCP (fournisseur d’accès par exemple) qui lui a fourni son adresse IP. L'activation de cette option entraîne la création de deux objets : Firewall_<nom de l’interface>_dns1 et Firewall_<nom de l’interface>_dns2. Ils peuvent ainsi être utilisés dans la configuration du service DHCP. Ainsi, si le firewall offre un service DHCP aux utilisateurs de son réseau, les utilisateurs seront crédités des serveurs DNS fournis par le fournisseur d’accès.
IP fixe (statique)

En choisissant cette option, l'adresse IP de l'interface est fixe (statique). Une grille apparaît dans laquelle vous devez ajouter l'adresse IP et son masque de sous-réseau. Il est possible d'ajouter plusieurs adresses IP et masques associés (besoin de création d’alias par exemple). Ces alias peuvent vous permettre d’utiliser le firewall comme un point de routage central. De ce fait, une interface peut être connectée à différents sous-réseaux ayant un adressage différent.

Si vous ajoutez plusieurs adresses IP (alias) dans le même plan d'adressage, il est impératif que ces adresses aient toutes le même masque. Le rechargement de la configuration réseau appliquera ce masque sur la première adresse, et un masque de /32 sur les suivantes.

NOTE
Cet onglet apparaît seulement si l'IPv6 est activé dans la configuration du firewall.

Sur chaque interface, bridge ou interface agrégée, les messages d’annonces du routeur (Router Advertisement - RA) peuvent être envoyés périodiquement à tous les nœuds IPv6 (multicast) du segment via l’adresse de la liaison locale ou en réponse à la sollicitation de routeur (Routeur Sollicitation - RS) d’une machine du réseau.

Cette annonce permet à un nœud IPv6 d’obtenir les informations suivantes :

  • L’adresse du routeur par défaut, en l’occurrence celle du firewall,
  • Le(s) préfixe(s) utilisé(s) sur le lien (en 64bits),
  • L’indication de l’utilisation de l’auto-configuration sans état (SLAAC) ou du DHCPv6 (Managed),
  • L’indication de récupérer d’autres paramètres via DHCPv6 (OtherConfig),
  • D’éventuels paramètres DNS (RFC4862).

L’auto-configuration, native dans IPv6 est sans état (Stateless Address Autoconfiguration - SLAAC), c’est-à-dire que le serveur ne choisit pas les IPs des clients et n’a pas à les retenir.

Une machine a une adresse de liaison locale dont l’unicité a été vérifiée via NPD DAD (protocole Neighbor Discovery Protocol - Duplicated Address Detection) avec succès. La machine reçoit ensuite l’annonce du routeur (RA) périodique ou sollicitée. Si l’information d’auto-configuration sans état est spécifiée, la machine se construit alors une ou plusieurs adresses IPv6 à partir du ou des préfixe(s) annoncé(s) et de son identifiant d’interface (aléatoire ou basé sur l'adresse MAC). L’adresse IP du routeur (celle du firewall) servira alors de passerelle par défaut.

Par défaut, le mode d’émission des annonces de routeur (RA) diffuse le premier préfixe déduit de l’interface. Les serveurs DNS sont par défaut ceux configurés pour le firewall dans le module Configuration > Système > Configuration, onglet Paramètres réseau.

NOTE
Si les annonces de routeur sont activées sur un bridge, ces annonces sont uniquement diffusées sur les interfaces protégées.

Paramètres d'autoconfiguration

Émettre les RA si DHCPv6 activé Si le service DHCPv6 est activé sur le firewall (module Configuration > Réseau > DHCP), le firewall va émettre automatiquement des annonces (Router Advertisement – RA) sur les interfaces correspondantes, indiquant aux nœuds IPv6 de s’auto-configurer en DHCPv6 (les options Managed et Other config sont alors activées par défaut).
Si le firewall fait office de serveur DHCPv6, l’interface configurée doit appartenir à l’une des plages d’adresses renseignées en configuration DHCPv6. Si le firewall sert de relai à un serveur DHCPv6, l’interface configurée doit appartenir à la liste des interfaces d’écoute du service.
Si le service DHCPv6 n’est pas actif, l’émission des RA est désactivée.
Émettre les RA

L’adresse du firewall est envoyée comme routeur par défaut. Les informations relayées par cette annonce sont décrites ci-après. Cette configuration est recommandée afin de permettre aux machines directement connectées (lien local) de faire du SLAAC.
Désactiver Aucune annonce de routeur (RA) n’est diffusée. Cette configuration est recommandée en bridge si un routeur IPv6 est directement connecté (lien local).

Annonces du routeur (RA)

Cette zone est accessible seulement si l'option Émettre les RA est sélectionnée.

Annoncer le préfixe déduit de l'interface Le préfixe annoncé est celui configuré dans le plan d’adressage IPv6 de l’interface dans l'onglet Configuration générale. La taille du masque (longueur du préfixe - CIDR) de l’adresse IPv6 configurée doit obligatoirement être de 64 bits.

Configuration avec serveur DHCPv6

Le serveur DHCPv6 délivre les adresses (Managed)

L’annonce indique que les adresses IPv6 sollicitées seront distribuées par le service DHCPv6 activé sur le firewall (module Configuration > Réseau > DHCP). Ce service est mis en œuvre par le firewall ou un relai directement connecté (lien local).
Le serveur DHCPv6 délivre des options supplémentaires (Other config)

L’annonce indique que les autres paramètres d’auto-configuration tels que les adresses de serveurs DNS ou un autre type de serveur, seront délivrés par le serveur DHCPv6 (firewall ou relai) directement connecté (lien local).

Configuration avancée

Paramètres DNS

Ce cadre est accessible si l'option Le serveur DHCPv6 délivre des options supplémentaires (Other config) n'est pas activée.

Nom de domaine Nom de domaine par défaut pour joindre un serveur interrogé sans domaine.
Serveur DNS primaire Adresse IP du serveur DNS primaire. Si ce champ n’est pas renseigné, l’adresse envoyée est celle utilisée par le firewall (module Configuration > Système > Configuration, onglet Paramètres réseau).
Serveur DNS secondaire Adresse IP du serveur DNS secondaire. Si ce champ n’est pas renseigné, l’adresse envoyée est celle utilisée par le firewall (module Configuration > Système > Configuration, onglet Paramètres réseau).

Préfixes annoncés

Cette grille est accessible si l'option Le serveur DHCPv6 délivre les adresses (Managed) n'est pas activée.

Préfixes

Préfixe à annoncer aux machines. Il est préconisé que le préfixe annoncé soit le même que celui de l’interface. Dans le cas où l’interface en spécifie plusieurs, ce champ précise le préfixe à utiliser.
Autonomous

Instruction d’auto-configuration sans état (SLAAC) : si cette case est cochée, la machine se construit une ou plusieurs adresses IPv6 à partir du préfixe annoncé et d’un identifiant d’interface (aléatoire et/ou basé sur l'adresse MAC).
On link Cette option précise à la machine que toutes les machines ayant le même préfixe peuvent être joignables directement, sans passer par le routeur. En IPv4, cette information était déduite du masque réseau.
Commentaire Permet de donner un commentaire au préfixe annoncé.

Autres paramètres

MTU Longueur maximale (en octets) des paquets émis sur le support physique (Ethernet) afin que ceux-ci soient transmis en une seule fois (sans fragmentation). Ce choix n’est pas disponible pour une interface contenue dans un bridge.
Adresse MAC Permet de spécifier une adresse MAC pour l'interface plutôt que d’utiliser l’adresse allouée par le firewall (adresse MAC physique par défaut).
Ce choix n’est pas disponible pour une interface contenue dans un bridge.
Adresse MAC physique Adresse MAC matérielle de la carte réseau.

Média

Média

Vitesse de liaison du réseau. Par défaut, le firewall détecte le média automatiquement mais vous pouvez forcer l'utilisation d'un mode particulier en le sélectionnant dans la liste déroulante.

IMPORTANT
Si le firewall est directement connecté à un modem ADSL, Stormshield Network vous recommande de forcer le média que vous voulez utiliser sur l’interface en question.

Routage sans analyse

Cette zone apparaît seulement si l'option Plan d’adressage hérité du bridge est cochée dans le champ Adressage de l'onglet Configuration générale.

Autoriser sans analyser Permet de laisser passer les paquets IPX (réseau Novell), NetBIOS (sur NETBEUI), paquets AppleTalk (pour les machines Macintosh), PPPoe ou IPv6 entre les interfaces du pont. Aucune analyse ou aucun filtrage de niveau supérieur n’est réalisé sur ces protocoles (le firewall bloque ou laisse passer).

Routage par interface

Cette zone apparaît seulement si l'option Plan d’adressage hérité du bridge est cochée dans le champ Adressage de l'onglet Configuration générale.

Préserver le routage initial Cette option demande au firewall de ne pas modifier la destination dans la couche Ethernet lorsqu'un paquet le traverse. Le paquet sera réémis à destination de la même adresse MAC qu'à la réception. Le but de cette option est de faciliter l'intégration des firewalls dans un réseau existant de manière transparente, car elle permet de ne pas avoir à modifier la route par défaut des machines du réseau interne.
Cette option doit être activée pour assurer le bon fonctionnement d'un serveur DHCP situé sur l'interface considérée et dont les réponses aux requêtes sont de type unicast.
LIMITATIONS CONNUES
Les fonctionnalités du firewall qui insèrent ou modifient des paquets dans les sessions par le firewall pourraient ne pas fonctionner correctement. Ces fonctionnalités sont :
  • La réinitialisation des connexions induite par une alarme,
  • Le proxy SYN (activé dans le filtrage),
  • La demande de réémission de paquets perdus afin d’accélérer l’analyse,
  • La réécriture de paquets par les analyses applicatives (SMTP, HTTP et web 2.0, FTP et NAT, SIP et NAT).
Préserver les identifiants de Vlan Cette option permet la transmission des trames taguées sans que le firewall soit une terminaison du VLAN. Le tag VLAN de ces trames est conservé ainsi le firewall peut être placé sur le chemin d’un VLAN sans pour autant que ce VLAN soit coupé par le firewall. Le firewall agit de manière complètement transparente pour ce VLAN.
Cette option requiert l’activation de l’option précédente "Préserver le routage initial".