Alphorm.com Support de la Formation Stormshield Administration

25/07/2016
1
Formation Stormshield, Administration alphorm.com™©
Formation
Stormshield
Administration
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Matthieu BAYLE
Formateur et Consultant
Ingénierie systèmes et réseaux
Bayle.matthieu.alphorm@gmail.com

25/07/2016
2
Plan
• Présentation du Formateur
• L’intérêt de Firewall dans une infrastructure
• Le plan de formation
• Les objectifs de la formation
• Site Stormshield
• Les téléchargements et liens
• Les autres Formations disponibles

25/07/2016
5
Cursus Stormshield
Stormshield,
Expert
Stormshield,
Administration

25/07/2016
6
Le plan de formation
• Module 1 – Introduction à Stormshield
• Historique
• Les Appliances V8
• Les Appliances V9
• Les Appliances Stormshield
• Les fonctions des Appliances
• Module 2 – Configuration de base de
Stormshield
• Présentation de l'interface
• Partie réseau
• Les Objets
• Configuration système et mises à jours
• Module 3 – Les services Stormshield
• Les Vlan
• Le DNS
• Le DHCP
• Le Routage
• NAT
• PAT
• Matrice de flux et Filtrage
• Filtrage d’URL
• Première approche des VPN
Module 3 – Conclusion

25/07/2016
7
Les objectifs de la formation
• Installer et configurer une Appliance Stormshield
• Créer des VPN site à site
• Filtrer les URL
• Créer des règles de filtrage simples
• Rendre accessible des ressources depuis l’extérieur
• Vous protéger ainsi que votre société
• Comprendre les enjeux de la sécurité

25/07/2016
8
Site Stormshield
• Présentation du site Stormshield
• Téléchargement de versions
• Aperçu des note de versions
• Les logiciels spécifiques
• Les explications sur le Support Stormshield
• Les certifications

25/07/2016
9
Les téléchargements et liens
• Téléchargement de la machine virtuelle Stormshield
Télécharger la machine virtuelle (sur le site de Stormshield + mise a jours 9.1.2.3 => 9.1.7 => 1.2.2 => 1.4.4 =>
2.3.3)
Les autres possibilités avec le contact direct de Stormshield
• Les obligations légales d’une entreprise
https://www.cnil.fr/fr/le-controle-de-lutilisation-dinternet-et-de-la-messagerie-electronique
https://www.cnil.fr/sites/default/files/typo/document/FICHETRAVAIL_INFORMATIQUE.pdf
• Les lien pour Stormshield
Site officiel : https://www.stormshield.eu/fr/
La documentation: https://www.stormshield.eu/documentation/?
Blog sécurité: https://thisissecurity.net/

25/07/2016
10
D’autres formations sur d’autres firewall

25/07/2016
11
C’est Parti !!

25/07/2016
12
Présentation du LAB
Présentation
Matthieu BAYLE

25/07/2016
13
Plan
• Mon poste de travail
• Les logiciels
• La configuration de VMware Workstation
• Plan du Visio du LAB
• Récapitulatif des noms des machines et adresses IP

25/07/2016
14
Mon poste de travail
• Processeur Intel i7-3770K
• Mémoire 32Go DDR3
• OS Windows 7 Pro sur un SDD 256Go
• VM Sur un NAS Synology 4x4To en RAID 5

25/07/2016
15
Les logiciels
• VMware Workstation 10
• Client Windows 10 Pro
• Serveur 2012 R2
• Appliance Stormshield Version 2.3 / 2.4
• NetASQ version 9
• NetASQ version 8 + Logiciels

25/07/2016
16
La configuration de VMware Workstation
• La configuration des VM
• La configuration du réseau
• Un Virtual Network par site, un Virtual Network pour Internet et un pour
la partie VPN
Les VMs Stromshield
/ NetASQ
• Mémoire 2 / 4 Go
• 1 Processeur
• 1 disque de 15Go
• 6/8 Cartes réseaux
• OS Spécifique
Les VMs client
• Mémoire 4 Go
• 1 Processeur
• 1 Cartes réseau
• OS Windows 10
Pro
Les VMs Serveurs
• Mémoire 6 Go
• 2 Processeurs
• 1 Cartes réseau
• OS Windows
2012R2

25/07/2016
17
Plan du Visio du LAB

25/07/2016
18
Récapitulatif des noms et adresse IP
Société A
Stormshield VS5 Société A LAN 10.10.0.1 255.255.255.0
Stormshield VS5 - VPN Société A VPN 110.100.0.10 255.255.255.0
Client Société A LAN 10.10.0.10 255.255.255.0
Serveur Société A LAN 10.10.0.200 255.255.255.0
Société B
NetASQ V9 Société B LAN 10.10.20.1 255.255.255.0
NetASQ V9 - VPN Société B VPN 110.100.0.20 255.255.255.0
Client Société B LAN 10.10.20.10 255.255.255.0
Serveur Société B LAN 10.10.20.200 255.255.255.0
Société C
NetASQ V8 Société C LAN 10.10.30.1 255.255.255.0
NetASQ V8 - VPN Société C VPN 110.100.0.30 255.255.255.0
Client Société C LAN 10.10.30.10 255.255.255.0
Serveur Société C LAN 10.10.30.200 255.255.255.0

25/07/2016
19
Historique et présentation
de Stormshield
Introduction
Matthieu BAYLE

25/07/2016
20
Plan
•Histoire
•Les versions de Netasq
V8 et antérieures
V9
•Les versions de Stormshield

25/07/2016
21
Histoire
• Fondée en 1988
• Société de sécurité Française
depuis toujours
• Présente dans plus de 40 pays
• Basée à Villeneuve D’Ascq
• NetASQ rachetée en Octobre 2012
par Cassidian devient Stormshield
• En avril 2013 Cassidian rachète
également Arkoon

25/07/2016
22
Les versions de NetASQ – V8 et antérieures
• Boitiers séries F
• Version 8 et antérieure
• Fin de support de la V8 le 30 Juin
2014
• Les premiers modèles de la série U
étaient en V8
• Logiciels spécifiques pour
l’administration
• Interface plus complexe et
vieillissante

25/07/2016
23
Les versions de NetASQ – V9
• Les boitiers de Séries U étaient en V9 ou V8
sur demande.
• Exploitables à partir de la version 9.1
• Apparition de l’interface WEB
• Support des cartes SD
• Boitiers plus puissants
• Possibilité de décrypter les flux SSL
• Apparition des boitiers identiques en
version S plus puissants

25/07/2016
24
Les versions de Stormshield
• Installation possible sur les boitiers de la
série U en version S
• 12 boitiers au total
• Interface semblable à celle de la V9 de
NetASQ
• Support des cartes SD
• Boitiers encore plus puissants
• Meilleure gestion des terminaux nomades
(Mobile, tablette etc.)

25/07/2016
25
Ce qu’on a couvert
•Histoire
•Les versions de Netasq
V8 et antérieures
V9
•Les versions de Stormshield

25/07/2016
26
Les Appliances
V8
Introduction
Matthieu BAYLE

25/07/2016
27
Plan
• Les Appliances
• F25
• F50
• F200
• F500
• F800
• F2000
• Présentation de l’interface

25/07/2016
28
Les Appliances – F25 et F50
• 5 ports Ethernet
• 5000 Connexions simultanées
• Pas de VPN SLL
• Nombre max d’utilisateurs 10
• Plus de support
• Pas de VPN SLL
• Plus de support

25/07/2016
29
• Disque dur de 40Go
• Rack 1U
• Plus de support
• 4 ports Ethernet + 2 Ports Gigabit
• Rack 1U
• Plus de support

25/07/2016
30
• 6 ports Ethernet + 2 Ports Gigabit
• Rack 1U
• Plus de support
• 24 ports Ethernet (12 Ports
Gigabit)
• Disque dur de 2*73Go
• Rack 4U
• Plus de support

25/07/2016
31
Les Appliances – Présentation de l’interface
• Pour rappel, la gamme NetASQ F ne possède plus aucun support, mais
il est encore fréquent d’en voir dans certaine structure, et des projets de
migration sont à prévoir. Nous allons donc voir ensemble:
Les outils pour l’administration
Une rapide présentation de l’interface
Une sauvegarde du boitier

25/07/2016
32
•Toutes les Appliances de la gamme Netasq F.
•Présentation de l’ancienne interface

25/07/2016
33
Les Appliances
V9
Introduction
Matthieu BAYLE

25/07/2016
34
Plan
• Les Appliances
• U30 et U30S
• U70 et U70S
• U120 et U150S
• U250 et U250S
• U450 et U500S
• U800S
• Présentation de l’interface

25/07/2016
35
Les Appliance – U30 et U30S
• Débit max: 200Mbps
• Nombre d’interfaces: 2
• Interface 10/100
• 50 000 connexions simultanées
• Tunnels VPN: 50
• Plus de support à partir du
30/09/2016
(1+2*2)
• Interface 10/100
• 75 000 connexions
simultanées
• Tunnels VPN: 50

25/07/2016
36
Les Appliance – U70 et U70S
• Tunnels VPN: 100
• 8 000 nouvelles connexions par
seconde
• Carte SD en options
• Tunnels VPN: 100
• 6000 nouvelles connexions par
seconde
• Plus de support à partir du
30/09/2016

25/07/2016
3
Présentation du Formateur
Matthieu Bayle
• Bayle.matthieu.alphorm@gmail.com
• Consultant en sécurité et Ingénieur systèmes/réseaux
• Ma mission actuelle

25/07/2016
41
Les Appliances – Présentation de l’interface
• Pour rappel, la gamme NetASQ U ne possède plus de support à partir
de Septembre 2016, mais il est encore fréquent d’en voir dans certaine
structure, et des projets de migration sont à prévoir. Nous allons donc
voir:
Une rapide présentation de l’interface
Une sauvegarde du boitier
Pour rappel les Serie S de NetASQ sont peuvent encore être sous
maintenance.

25/07/2016
42
•Toutes les Appliances de la gamme NetASQ.
•Un rapide aperçu de l’interface V9 de NetASQ

25/07/2016
43
Les Appliances
PME et TPE
Introduction
Matthieu BAYLE

25/07/2016
44
Plan
• Les Appliances
• SN150
• SN200
• SN300
• SN500
• SN510
• SN700
• SN710
• Présentation de l’interface Stormshield

25/07/2016
45
Les Appliances – SN150
• Idéal pour les sites distants ou très
petites structures
• 1 interface externe
• 4 interfaces internes (en mode
switch uniquement, 1 zone)
• 25 VPN IPSEC et 5 VPN SSL
• 30 000 Connexions simultanées
• Débit Firewall 400 Mbps
• 1 200 euros environ avec 5 ans de
maintenance

25/07/2016
46
• Idéal pour les petites structures
• Support des cartes SD (option)
• 1 interface Externe
• 4 interfaces internes (en mode
switch, 2 zones)
• 1 500 euros environ avec 5ans de
maintenance

25/07/2016
47
• Idéal pour les structures moyennes
• Support des Cartes SD (option)
• 8 interfaces indépendantes
• Mise en cluster possible (option)
maintenance

25/07/2016
48
• Rackable 1U
• Disque dur 120 Go Support carte
SD (option)
• Débit Firewall 1Gbps
maintenance

25/07/2016
49
• Rackable 1U
• Disque dur 320 Go
maintenance

25/07/2016
50
• Rackable 1U
• Disque dur 120 Go Support carte
SD (option)
maintenance

25/07/2016
51
• 8-16 interfaces indépendantes
Ethernet
• 0-4 Interfaces fibre 1Gb
• Disque dur 320 Go
• 1 000 VPN IPSEC et 150 VPN SSL
• 1 000 000 Connexions simultanées
maintenance

25/07/2016
4
L’intérêt de Firewall dans une infrastructure
• Rendre accessible des ressources (Web, applicative etc.)
• Protéger le réseau interne
• Filtrer les accès à internet
• Respecter la loi
• Créer des accès distants (VPN pour les collaborateurs ou entre sites)
• Filtrer les accès entrants ou sortants

25/07/2016
56
Ethernet
• Disque dur 120 Go SSD
• 1 000 VPN IPSEC et 300 VPN SSL
maintenance

25/07/2016
57
Ethernet
• Disque dur 120 Go SSD
• 5 000 VPN IPSEC et 1 024 VPN SSL
maintenance

25/07/2016
58
Ethernet
• Disque dur 120 Go SSD en RAID1
• Alimentation redondante
maintenance

25/07/2016
59
Ethernet
• Disque dur 256 Go SSD en RAID1
• Alimentation redondante
maintenance

25/07/2016
60
Les Appliances – Les Appliances Virtuelles
• Disponibles sous VMware
• Possibilité d’installation sur Hyper-V
• Nombre limité d’adresses IP protégées
• Haute disponibilité facile
• Coût par adresse IP V50 V100 V200 V500
Adresse IP
protégées
50 100 200 500
Connexions
simultanées
100 000 200 000 400 000 600 000
Nb de VLAN 128
VPN IPSEC 100 500 1 000 1 000
VPN SSL 20 35 70 175

25/07/2016
61
•Toutes les Appliances de la gamme Stormshield.
•Les tarifs
•Finalisation de la configuration du LAB.

25/07/2016
62
Fonctions
des Appliance
Introduction
Matthieu BAYLE

25/07/2016
63
Plan
• Les fonctions standard
Analyse ASQ (protocolaire et
contextuelle)
Antivirus
Antispam
Filtrage web
Routage dynamique
Services (DHCP, DNS etc.)
• Les fonctions optionnelles
Vulnérability manager
Antivirus
Filtrage WEB
HA

25/07/2016
64
Les Fonctions standard – Analyse ASQ
• Utilise la technologie STATEFULL.
• Plusieurs types de filtrage disponibles (IPS, IDS, Firewall).
• Plusieurs politiques applicables.
• Limitation du nombres de règles en fonction des boitiers.
• Importance de l’ordre des règles.
• Possibilité de faire de l’inspection sur le Traffic SSL

25/07/2016
65
Les Fonctions standard – Antivirus / Antispam
• Antivirus :
Antivirus ClamAV fourni avec
l'Appliance
Analyse le trafic pour y détecter
d’éventuels virus
Scan des pièces jointes mails
Mises à jours avec la licence
Pas de surcoût
• Antispam :
Filtrage des mails entrants
Pas de blocage
Analyse basée sur une liste
d’adresses IP de Spammeur
Mise à jour très régulièrement
Fonctionne également avec la
Licence.

25/07/2016
66
Les Fonctions standard – Filtrage Web / Routage
• Filtrage WEB :
Filtrage Web par liste blanche
Filtrage par liste noire
Filtrage par type de contenu
Mis à jour régulièrement
Possibilité d’ajout manuel à la liste
(blanche ou noire)
Fonctionne également avec la
Licence
• Routage :
Accepte tout le protocole à partir du
SN200
Permet également le routage
statique
Accepte OSPF, RIP, BGP…
BPG Full Route n’est accepté que
sur les gros boitiers

25/07/2016
67
Les Fonctions standard – Les services
• Les services disponibles sur les Appliances Stormshield sont nombreux,
de base et sans surcoût les boitiers proposent :
• Client DHCP
• Serveur / Relai DHCP
• Client DynDNS
• Client NTP
• Agent SNMP
• Cache DNS
• Syslog
• VPN SSL
• PKI & CA (sauf SN150)
• Logs local (sauf SN150)

25/07/2016
68
Les Fonctions optionnelles – Vulnerability manager / Antivirus
• Vunlnerability Manager :
Vulnerability manager est un
module qui analyse et collecte en
temps réel des informations sur son
réseau (OS, applications)
Permet de prévenir en cas
d’utilisation de logiciel non désiré
sur le réseau d’entreprise
Traite la vulnérabilité grâce à une
base de données.
• Antivirus :
Kaspersky Antivirus est disponible
Remplace ClamAV
Base de signatures de virus plus
riche
Fréquence de mise à jour
paramétrable
Intègre plus de formats d’archives
Implémente des algorithmes de
scan spécifique

25/07/2016
69
Les Fonctions optionnelles – Filtrage WEB / HA
• Filtrage WEB :
En option, il est possible de
remplacer les catégories de filtrage
par celles de la base de données
Optinet
Plus de 100 millions d’URL
60 catégories
Fréquence de mises à jours
paramétrable
• Haute Disponibilité (HA) :
La haute disponibilité est en option.
Elle nécessite 2 boitiers identiques
(même référence)
Un réseau dédié
D’avoir souscrit à l’option lors de
l’achat des 2 boitiers.

25/07/2016
70
•Les différentes fonctions des Appliances
•Les fonctions incluses dans les boitiers
•Les fonctions additionnelles payantes.

25/07/2016
71
Présentation
de l’interface
Configuration de base
Matthieu BAYLE

25/07/2016
72
Plan
•Connexion au Firewall
•Présentation de l’interface

25/07/2016
73
Première connexion au Firewall
•Connexion au Firewall
•Login / Mot de passe
admin
admin

25/07/2016
74
Présentation de l’interface
•La page d’accueil
•Les différents widgets disponibles

25/07/2016
75
•La connexion à l'Appliance
•La page d’accueil et les différents Menus et
Widgets

25/07/2016
76
Partie réseau
Matthieu BAYLE

25/07/2016
77
Plan
• Interfaces en mode BRIDGE
Explication sur le fonctionnement
Ajouter ou supprimer des interfaces
Plan d’adressage
• Les interfaces Physiques
Nomenclature
Utilisation

25/07/2016
78
Interfaces en mode BRIDGE
• En configuration initiale, toutes les interfaces sont membres
d’un bridge.
• Le bridge fonctionne comme un switch
• Nous pouvons ajouter ou supprimer des interfaces du
bridge
• Chaque interface fait partie du réseau du bridge
• Il est possible d’ajouter des VLAN au bridge
• Il est possible d’avoir plusieurs bridges

25/07/2016
79
Les interfaces Physique
• Pour les interfaces qui ne font plus parties du Bridge
Doivent avoir leur propre plan d’adresse
Peuvent avoir plusieurs Vlan et Modem
Définir un nomenclature précise
Les options avancées

25/07/2016
80
• La différence entre les interfaces BRIDGE et PHYSIQUE
• Configurer un BRIDGE
• Configurer une interface physique
• Définir une nomenclature

25/07/2016
81
Les Objets
Matthieu BAYLE

25/07/2016
82
Plan
• Les Objets réseaux
Introduction
Les différents types d’objet
• Les Objets dynamiques

25/07/2016
83
Les Objets réseaux – Introduction
• Plusieurs types d’objets
• Utilisables partout (règles de filtrage et de translation, VPN)
• Préfixes interdits:
• Firewall_
• Network_
• Ephemeral_
• Global_
• Vlan_
• Bridge_
• Caractères interdits
dans le nom:
!
‘’
#
,
=
@
[]

• Noms d’objets interdits:
Any
None
Anonymous
Broadcast
Internet
• Caractères interdits dans les
commentaires:
Les tabulations
‘’ et @ et #

25/07/2016
84
Les Objets réseaux – Les différents type d’objet
• Les objets réseaux peuvent être :
Des Machines (Correspondance entre un nom machine et une IP)
Des Plages d’adresses
Des Réseaux
Des Services ( Nom de service, port et protocole)
Des Groupes (Machines et/ou réseaux; plages, groupes d’utilisateurs, groupes
de services)
• Tous les objets sont modifiables après leur création

25/07/2016
85
Les objets dynamiques
• Les objets dynamiques sont créés automatiquement
• Ils sont utilisés par beaucoup de modules
• Ils sont en lecture seule
• Quelques exemples d’objets dynamiques existants :
Network_Internals : Regroupe l’ensemble des réseaux internes protégés par le
Firewall
Internet : Représente tous les réseaux non protégés par le firewall
Firewall_all : Regroupe l’ensemble des interfaces du Firewall

25/07/2016
86
•Les différents types d’objets
•Créer et modifier des objets
•Les utilisations principales des objets

25/07/2016
87
Configuration du
système et mise à jours
Matthieu BAYLE

25/07/2016
88
Plan
•Configuration de base
Configuration générale
Le mot de passe administrateur
•Configuration réseau
Plan de nommage des interfaces et adressage
•Mettre à jour le firewall

25/07/2016
89
Configuration de base - Configuration générale
• Dans un premier temps et avant d’utiliser les Firewalls, il est
important qu’ils s’intègrent parfaitement dans votre
environnement.
Renommer le firewall
Valider depuis quel endroit nous pouvons accéder au Firewall
Gérer les CRL
La partie NTP
Valider l’installation de la licence
Etc.

25/07/2016
90
Configuration de base – Le mot de passe administrateur
• Le mot de passe administrateur est très important, il est
possible de définir une stratégie spécifique.
Définition d’une stratégie
Changement du mot de passe admin
Test du compte.

25/07/2016
91
Configuration réseau – Nommage et adressage
• Les interfaces sont de base, membres d’un bridge qui
contient toutes les interfaces.
Renommer les interfaces en fonction d’une convention de nommage
• [TYPE]_[UTILISATION]_[SOCIETE]
• Exemple:
• SRV_WEB_Societe_A
• FW_Societe_A
• NWK_LAN_Societe_A

25/07/2016
92
Mettre à jour le Firewall
• Avant de configurer les règles, il faut vérifier qu’il est à jour :
Vérification des mises à jour
Sauvegarder le système
Télécharger le Firmware
Mettre à jour le Firewall

25/07/2016
93
•La configuration de base
Système
Réseaux
Mise à jour

25/07/2016
94
Les VLANs et Modem
Les Services
Matthieu BAYLE

25/07/2016
95
Plan
•Les VLANs
Ajout d’un VLAN simple
Ajout d’un VLAN présent sur 2 interfaces
•Les Modems
Installation d’un modem sur une interface
Configuration particulière de l’interface

25/07/2016
96
Les VLANs – Ajout d‘un VLAN simple
• Ajoute une interface virtuelle sur un port
• Permet de configurer des options supplémentaires
• Demande une adresse IP (Passerelle)
• Limite du nombre de VLAN en fonction des boitiers

25/07/2016
97
Les VLAN – Ajout d’un VLAN sur 2 interfaces
• VLAN traversant
• Crée automatiquement un Bridge
• Demande au moins 2 interfaces
• Spécifier une interface d’entrée et une de sortie

25/07/2016
110
Comment fonctionne un DHCP – Renouvellement
• Au démarrage de la machine
• Demande de renouvellement à 50%
• Nouvelle demande à 87,5 du temps (7/8)
• Bail expiré = nouvelle demande complète
• Port UDP 67

25/07/2016
111
Configuration sur les Appliance Stormshield
• Configuration de la partie DHCP
• Explication sur toute les options DHCP
• Test de la configuration
• Validation de la configuration

25/07/2016
112
Le relai DHCP

25/07/2016
113
•Le fonctionnement théorique du DHCP
•La configuration sur l'Appliance
•Le fonctionnement du relai DHCP
•La validation de la configuration

25/07/2016
114
Le routage
Les Services
Matthieu BAYLE

25/07/2016
115
Plan
•Les passerelles par défaut
La partie Modem
•Les routes statiques

25/07/2016
116
Les passerelles par défaut – Les modems
• Lors de l’ajout d’un modem une passerelle par défaut est
automatiquement ajoutée.
• Il est possible de ne pas automatiquement ajouter de passerelles
• Il est possible d’avoir plusieurs passerelles, une passerelle active et une
passerelle de secours.
• Le firewall négocie automatiquement l’ouverture de la ligne et
réinitialise la connexion en cas de coupure.

25/07/2016
117
Les routes statiques
• Explication sur les routes statiques
Les routes statiques permettent de forcer une route manuellement,
c’est le cas par exemple pour accéder à un réseau spécifique situé
derrière un routeur, dont votre Appliance n’a pas la connaissance
• Explication sur la construction des règles

25/07/2016
118
•Configuration des passerelles par défaut
•La configuration à partir du modem
•Construction de règles de routage statique

25/07/2016
119
Le NAT
Les Services
Matthieu BAYLE

25/07/2016
120
Plan
•Le NAT
Les principes
La mise en application

25/07/2016
121
Le NAT – Les principes
• Le NAT ou Network Address Translation permet de donner accès à
internet à votre réseau local.
• Généralement, les réseaux internes ne sont pas routables sur internet
(10.0.0.0 ou encore 192.168.0.0) et il faut utiliser l’adresse IP publique
que nous fournit le FAI (par le biais d’un modem par exemple)
• Le principe du NAT est de remplacer l’adresse IP locale d’une machine
par votre adresse IP publique afin d’accéder aux ressources situées à
l’extérieur de votre réseau.
• Pour cela votre routeur attribue un port aléatoire à chaque connexion
afin de les différencier

25/07/2016
122
Le NAT – La mise en application
• Sur les boitiers Stormshield, les règles de NAT doivent être réalisées à la
main.
• Il peut y avoir plusieurs règles de NAT, l’ordre de lecture des règles est
séquentiel, et elles sont appliquées dans l’ordre de la plus haute à la
plus basse
• La construction des règles est toujours la même.
• Il est important de réaliser ces règles avec précaution, en cas d’erreur
ces règles peuvent couper votre accès au boitier, et seule la ligne de
commande pourra vous aider à débloquer votre accès.
• Attention les règles de firewall ne remplacent pas les règles de NAT,
elles sont également nécessaires.

25/07/2016
123

25/07/2016
124

25/07/2016
125

25/07/2016
126
• Rendre internet accessible depuis votre réseau local
• Comprendre comment fonctionne le NAT
• Une vue d’ensemble des paquets TCP/IP

25/07/2016
127
Le Reverse NAT
et le PAT
Les Services
Matthieu BAYLE

25/07/2016
128
Plan
•Le Reverse NAT
Les principes
Rendre disponible des ressources
•Le PAT
Les principes
Rendre disponible des ressources

25/07/2016
129
Le Reverse NAT – Les Principes
• Le Reverse NAT ou Reverse Network Address Translation permet de
donner accès à des ressources de votre réseau local depuis l’extérieur.
• Le principe du Reverse NAT est de remplacer l’adresse IP publique
d’une machine par votre adresse IP locale afin d’accéder aux ressources
situées à l’interieur de votre réseau.

25/07/2016
130
Le PAT – Les Principes
• Le PAT ou Port Address Translation permet de donner accès à des
ressources de votre réseau local depuis l’extérieur.
• Grâce à ce système il est possible de donner accès à plusieurs
ressources même avec une seule adresse IP publique en utilisant des
ports différents
• Il faut faire attention à ce qui est exposé à internet, même si votre
Firewall vous protège, la ressource qui est exposée, comme un site web,
est vulnérable. En cas d’attaque, c’est tout votre réseau qui peut se
retrouver exposé.
• Attention les règles de firewall ne remplacent pas les règles de
PAT, elles sont également nécessaires.

25/07/2016
131
• Rendre disponible des ressources depuis votre réseau local sur internet
• Sensibiliser les administrateurs aux dangers d’exposer des ressources
• Faire la différence entre Règle de NAT/PAT et règle de filtrage
• Faire du PAT et du Reverse NAT

25/07/2016
132
Matrice de flux
et filtrage
Les Services
Matthieu BAYLE

25/07/2016
133
Plan
• Explication sur les règles de filtrage
Les différents niveaux
L’ordre des règles
Les matrices de flux
• Création des règles de filtrage
La logique de création
Les différents niveaux d’analyse

25/07/2016
134
Explication sur les règles – Les différents niveaux
• Il y a 10 niveaux différents possibles sur les Appliances Stormshield :
Le niveau le plus bas est le plus restrictif (block all)
Le niveau le plus haut est le plus permissif (pass all)
Chaque niveau est personnalisable
Un seul niveau peut être actif en même temps
Ces niveaux ne concernent que la partie règles de filtrage et NAT

25/07/2016
135
Explication sur les règles – l’ordre des règles
• L’ordre des règles est très important dans les Appliance Stormshield :
Il est vivement conseillé de ne pas modifier les règles de pass all et de block
all et de créer le ou les vôtres
Dans chaque niveau, l’ordre des règles est séquentiel du plus haut dans la
liste au plus bas
Par défaut tout ce qui n’est pas explicitement autorisé est bloqué

25/07/2016
136
Explication sur les règles – Les matrices de flux
• Il est très important d’avoir un fichier qui résume la configuration du
firewall :
C’est important d’avoir un schéma qui représente les différents flux ouverts
Depuis quel endroit et vers quel endroit
Savoir quels serveurs sont exposés et sur quel port
Maintenir ce diagramme à jour.

25/07/2016
137
Explication sur les règles – Les matrices de flux

25/07/2016
138
Création des règles – la logique de création
• Création de règles de base :
Création de règles pour l’accès à internet
Création de règles pour l’administration du boitier
Explication sur la logique que j’utilise
Rendre disponible une ressource sur internet

25/07/2016
139
Création des règles – Les types d’analyses
• Il existe 3 types d’analyses sur les firewall Stromshield :
IPS = Inspecte le flux et bloque le contenu non valide
IDS = Inspecte le flux mais ne bloque pas
Firewall = pas d’inspection
• Ces différents niveaux d’inspection sont disponibles pour chaque règle

25/07/2016
140
• La création de règles
• Le respect d’une logique de création de règles
• La création d’un fichier de référence
• Les différents niveaux d’analyse disponible par règle

25/07/2016
141
Le Filtrage d’URL
Les Services
Matthieu BAYLE

25/07/2016
142
Plan
• Le Filtrage d’URL :
Pourquoi faire du filtrage d’URL?
Quelles sont les obligations légales
Le mettre en place sur le boitier
Ajouter une liste blanche ou liste noire

25/07/2016
143
Le Filtrage d’URL – Pourquoi faire du filtrage
• Le Filtrage d’URL est une obligation pour toute société
• Eviter que les employés de la société puissent aller sur des sites non
autorisés
• Préserver votre entreprise d’éventuels virus et autres malwares
• Pouvoir appliquer des politiques de filtrage en fonction des heures et
du type d’utilisateur

25/07/2016
144
Le Filtrage d’URL – Les obligations legales
• Quand le personnel de la société accède à internet, cela place votre
société dans la position de Fournisseur d’Accès Internet (FAI) et à ce
titre, la CNIL vous impose un certain nombre de règles qu’il est
obligatoire de respecter.
• Obligation de garder les LOGs avec les Sites visités par IP pendant 1 an.
• Interdiction de consulter les LOGs
• Obligation d’informer le personnel
• Le lien de la CNIL :
https://www.cnil.fr/fr/le-controle-de-lutilisation-dinternet-et-de-la-
messagerie-electronique

25/07/2016
145
Le Filtrage d’URL – Mise en place
• Une règle de filtrage d’URL s’applique sur une règle de Firewall :
N’importe quelle règle (pour des sites Web internes par exemple)
Voir ou sont contenus les logs
Voir les différentes choses que vous pouvez activer ou pas
Les pages de blocage

25/07/2016
146
Filtrage d’URL – Les listes Noire/Blanche
• En plus des listes de base du boitier il est possible de créer vos propres
listes
• Les listes peuvent contenir une liste de sites précis ou un ensemble de
sites dans le même domaine.
• La liste blanche implique un blocage total et elle est compliquée à
maintenir, surtout vu la complexité des sites WEB d’aujourd’hui
• Une liste noire par contre s’ajoute à la liste des sites déjà contenus dans
le boitier

25/07/2016
147
• Les aspects légaux du filtrage d’URL
Les obligations que la DSI doit prendre afin d’être couverte par la loi.
• La mise en place du filtrage sur votre boitier
• La création d’une liste noire et d’une liste blanche

25/07/2016
148
Première approche
des VPNs
Les Services
Matthieu BAYLE

25/07/2016
149
Plan
•A quoi servent les VPN?
•Les prérequis

25/07/2016
150
A quoi servent les VPNs
• Les VPN (Virtual Private Network) permettent de connecter 2 sociétés
distantes (ou une succursale) par le biais d’internet de manière
sécurisée.
• Cette connexion permet de faire communiquer ces 2 structures comme
si elles étaient dans le même réseau.
• Il existe plusieurs types de VPNs, et plusieurs niveaux de sécurité
• Il est également possible de connecter des appareils nomades (postes
distants, Smartphones)
• Le nombre de VPN possibles est limité par chaque boitier (en fonction
de la puissance du boitier)
• Il est également possible de gérer des utilisateurs via le VPN

25/07/2016
151
Les pré-requis
• Afin de réaliser les VPN il vous faut 2 boitiers Stormshield ou 2 boitiers
capables de gérer ce type de VPN.
• Les 2 entités que vous souhaitez connecter doivent avoir une adresse
de réseau différente (Impossible de connecter 2 entités qui ont un
réseau en 192.168.1.0/24)
• Il faut également créer un mot de passe qui sera connu par les
administrateurs des 2 entités.
• Créer des objets dans votre Stormshield avec le réseau de l’autre entité
et éventuellement les ressources (Serveur ou autre).

25/07/2016
152
• Un premier aperçu des VPN
• La sécurité des VPN

25/07/2016
153
Stromshield
Administration
Conclusion
Matthieu BAYLE

25/07/2016
154
Plan
• Le troubleshooting
Comment faire et à quel endroit voir les traces?
• Le point sur la formation
Ce que vous êtes capable de faire
Ce qu’il reste à voir
• Les autres formation disponibles
• Mes coordonnées

25/07/2016
155
Le troubleshooting
• Après avoir fait la configuration du boitier nous allons regarder les logs
et analyser les erreurs.
Où trouver les traces?
Comment les analyser
Vider les logs

25/07/2016
156
Ce que vous êtes capable de faire
• Apres cette formation vous êtes en mesure de:
• Etre capable de conseiller sur le
type de boitier a prendre
• Savoir quelle options sont
disponible et lesquelles sont
disponible de base
• Faire la configuration de base de
votre boitier
• Configurer toute la partie réseaux
(modem, vlan, etc.)
• Rendre internet accessible à votre
LAN et faire du filtrage d’URL
• Rendre des ressources disponible
sur internet
• Etre capable de construire une
matrice de flux
• Savoir comment fonctionne les
VPN
• Se connecter sur toute les
gamme Netasq/Stormshield

25/07/2016
157
Cursus administration Stormshield
Niveau Administration Niveau Expert

25/07/2016
158
Ce qu’il reste à voir
• Grace à la prochaine formation Stormshield vous serez en mesure de:
• Voir des règles complexe
• Gérer la partie haute disponibilité
(HA)
• Le monitoring des l’appliances
• Voir la gestion des utilisateurs
avec un active directory
• Faire de la QoS
• Voir le portail captif
• Faire des VPN SSL
• Faire des VPN IPSEC site à site et
des VPN pour les clients nomade
• La gestion des terminaux mobile
• L’inspection des flux SSL
• La partie PKI
• Les option payantes (antivirus,
antispam, etc.

25/07/2016
159
D’autres formations sur d’autres firewall

25/07/2016
160
Présentation du Formateur
Matthieu Bayle
• Bayle.matthieu.alphorm@gmail.com
• Consultant en sécurité et Ingénieur systèmes/réseaux
• Ma mission actuelle

25/07/2016
161
FIN

Alphorm.com Support de la Formation Stormshield Administration

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to Alphorm.com Support de la Formation Stormshield Administration

Similar to Alphorm.com Support de la Formation Stormshield Administration (20)

More from Alphorm

More from Alphorm (20)

Alphorm.com Support de la Formation Stormshield Administration