228 Membres 1081 Contributions

Open Community

Discussions - Fonctionnalités et système

Le contenu des versions, fonctionnalités, nouveautés ...

Non résolue

VPN IPsec ok mais aucun traffic entre Arkoon FAST360 et Stormshield SNS

Posée par Guillaume dans Fonctionnalités et système

Bonjour,

J'ai un souci pour la mise en place d'un VPN IPSec entre un Arkoon FAST360 (V5.0) et un Stromshield SN510 (v3.2.1).

Mon VPN monte bien, mais je n'ai aucun traffic entre les 2 LAN

voila la config du VPN :

clé partagé PSK
IKE DH2 MODP 1024bits, authentification SHA2_256, Chiffrement AES 256

le VPN est UP dans les log des 2 cotés mais je ne ping et n'accède à rien entre les deux LAN.
J'ai pensé que mes règles de flux était en cause mais j'ai l'impression que tous est ok

coté Arkoon :

  • Sources : LAN_local,LAN_disant
  • Destination : LAN_local,LAN_disant
  • Service : rien mis à cette endroit
  • Action : accepter
  • Translation : rien mis à cette endroit
  • Segment de chiffrement : 2 lignes
  •     source : appliance, destination : rien, chiffré par VPN specif, Mon tunnel
  •     source : rien, destination : appliance, chiffré par VPN specif, Mon tunnel

coté stromshield :
regle 1

  •   source : LAN_distant via Tunnel VPN IPsec, port : any
  •   destination : Network_lan_local, port : any
  •  
  • ...
Voir la suite
Résolue

Durée des sessions TCP

Posée par Jeremy G. dans Fonctionnalités et système

Quelqu'un sait-il quelle est la durée des session TCP parametrée par défaut sur un SN sans passer par l'IPS ?

Nous avons des soucis de connexion entre notre reverse proxy et notre serveur de mails, il semblerait que les sessions TCP soient interrompus avant la fin des transactions. Cela provoque de problèmes de synchro de mails, d'agenda et de contacts ...

Pourtant nous avons supprimés l'IPS sur tous les flux mais cela n'a pas changé notre problème.

Nous avons également un arkoon dans la chaine, du coup les interruptions peuvent venir de lui. Existe t-il un moyen de voir qui coupe la connexion ?

Merci par avance pour votre aide :)

 

 

Non résolue

[SNS 3.2.0] Filtrer le traffic SSL entrant à l'aide d'un certificat specifique

Posée par Vianney Petit dans Fonctionnalités et système

Bonjour à tous,

 

J'ai des services accessibles publiquement en HTTPS derriére une applicance Stormshield. Je souhaiterai pouvoir bénéficier de la protection de l'IPS pour ces services.

Savez-vous s'il est possible de configurer le pare-feu / proxy SSL pour déchiffrer le traffic correspondant à une régle de filtrage à l'aide d'un certificat + clé privée spécifique (au lieu d'en générer un à la volé avec l'autorité de certification du proxy SSL) ?

Je précise que je n'ai pas besoin de SNI, j'ai un certificat wildcard unique qui couvre tous ces services.

 

Merci d'avance pour tout conseil ou toute indication que vous auriez sur la maniére dont je pourrais réaliser cela.

Non résolue

SYSLOG / STORMSHIELD SN510 / VERSION 2.6

Posée par Pierre-Louis Picard dans Fonctionnalités et système

Bonjour,

j'ai activé l'envoi des traces SYSLOG (activation du service, choix des traces et règle de flux) mais le boitier ne génère aucun envoi syslog...
J'ai plusieurs boitiers où cela fonctionne très bien et d'autres où il ne se passe rien. Quand je dis rien, c'est rien (je surveille par un tcpdump l'interface du boitier). Aucun message d'erreur, aucun problème de routage (j'ai un autre service à l'adresse du syslog qui foncitonne très bien...) Boitier redémarré...

Si quelqu'un a une idée pour investiguer...

Cordialement

Résolue

Probleme de chargement de PDF avec Antivirus et/ou filtrage d'url

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

Je dispose d'un SN510 en version 3.1.2. Sur le site suivant http://www.gastonmille.com/index.php/millenium-full-protect.html , quand je cherche à charger le pdf de la fiche technique, le téléchargement échoue avec l'erreur dans le navigateur "Erreur Réseau". J'ai essayé avec IE, Chrome et Firefox, le message diffère mais le téléchargement échoue.

J'ai fait une règle spécifique pour mon poste qui prend les paramètres suivants:

Mon PC à destination Internet pour tous les protocoles j'accepte.

J'ai mis IPS, antivirus, et filtrage d'url.

Si j'enlève l'antivirus et le filtrage d'url  cela fonctionne (en conservant l'IPS). SI j'ajoute l'antivirus ou le filtrage d'URL le problème se reproduit.

Dans mes logs , je vois bien une premier ligne en pass qui applique ma règle qui a le N° 13, voir pièce jointe, puis une autre ligne en filtrage -1 (pareil voir pièce jointe) qui me met connexion Interrupted.

Je pense à un problème avec le proxy , mais quel peut être la...

Voir la suite
Non résolue

Filtrage HTTPS

Posée par Remmii03 dans Fonctionnalités et système

Bonjour,

Je souhaite mettre en place sur un SN300 le filtrage HTTPS. J'ai configuré une règle de décryptage avec le SSL, mais après cela je ne peu plus aller sur aucun site en https.  Une page avec l'erreur "La connexion n'est pas sécurisée" apparait ... J'ai fais pas mal de recherches sur internet sans vraiment trouver de réponses à ce problème, ni la sollution pour finaliser mon filtrage HTTPS.

 

Merci de votre aide.

++

 

Résolue

connxion ssh via winscp

Posée par Mah Ag dans Fonctionnalités et système

Bonjour

je tente depuis un moment à pouvoir reccuperer les logs sur un stormshield (firewall) via Winscp depuis une station windows 10 sans succès!

Je ne vois même pas les fichiers distants

quelqu'un peut aider????

merci

Ouverte

Limitation Bande Passante Mise à jour Windows

Publiée par Lgrain25 dans Fonctionnalités et système

Bonjour,

Ce post est la juste pour remonter quelquechose que je pense que bon nombre d'entre vous connaissent mais qui peut aider ceux qui ne le savaient pas.

Dans les modules IPS , il existe une alarme sur "Mise à jour Microsoft Windows" sur lesquelles on peut appliquer de la QOS pour limiter la bande passante que celles-ci nous prennent.

Cela n'enlève pas le fait que pour  moi un WSUS est nécessaire , mais pour des petites infra, ou en cour de journée, c'est pas mal.

Bonne journée

Non résolue

Accéder à une dmz depuis l'extérieur

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

J'aimerai accéder à ma DMZ depuis l'extérieur. J'aimerai connaître la meilleur façon de faire. J'ai une adresse ip publique que je réserve uniquement à ma DMZ.

Quels sont les règles de NAT à mettre en place pour que le flux internet arrivant sur cette IP publique soit redigiré vers mon serveur web? Ainsi que les règles de Filtrage ?

La transformation de l'IP publique en une URL se fait via le firewall ou mon propre DNS ?

Dois-je configurer quelques choses en particuliers au niveau des interfaces ou du routage ?

Une documention, un lien ou une information m'indiquant "Où chercher" m'irait très bien.

Je n'ai aucune connaissance dans ce domaine, veuillez m'excuser si mes questions sont bêtes.

PS : J'ai un SN910.

Merci pour votre temps.

Cordialement,
Malcolm PASCAULT

 

Non résolue

Impossible de récupéré un CSR généré dans un SN700, erreur winscp

Posée par Mikyas Tadesse dans Fonctionnalités et système

Bonjour,

 

 Je rencontre un problème lorsque j'essaye de récupérer un fichier(csr) d'un SN700 (version os 2.7) avec winscp. L'erreur c'est : "Unexpected directory listing line 'drwxr-xr-x 18 admin wheel 512".

Est c que quelqu'un d'entre vous a déjà renconter ce problème ?

Quelles sont les autres solutions pour récupéré un fichier d'un boitier stormshield ?

 

Merci de votre retour,

Résolue

Lire les logs d'un SN910 via SSH

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

Ayant un problème de lenteur sur un de mes serveurs et accusant mon firewall d'être la source de se ralentissement, je souhaiterai savoir comment lire mes logs de façon précise.

Je cherche en réalité à identifier "step by step" le voyage du serveur en question de son entrée à sa sortie sur mon FW.
Je me suis connecté en SSH sur mon SN mais j'ai peu de connaissance.
Une documentation ? Un endroit où regarder ? Des pistes ?

Merci par avance pour votre temps.

Cordialement,
Malcolm

Résolue

VPN SSL Portail et hebergement sites en https

Posée par Jeremy G. dans Fonctionnalités et système

Bonjour à tous,

L'un d'entre vous a-t'il déjà activé la fonctionnalité de VPN SSL Portail sur son boitier Stormshield ? Cela a-t'il affecté les règles de flux entrantes en https ?

Je m'explique, j'ai des serveurs hebergés en interne en https accessibles depuis Internet. On me demande d'activer un accès à notre messagerie interne depuis l'extérieur via le portail SSL.

Cela ne va t'il pas impacter l'accès à mes sites web hébergés en interne, si j'active cette fonctionnalité de VPN SSL Portail ?En gros l'activation du portail sur mon interface WAN ne va-t'elle pas prendre le dessus sur mes règles de du type Internet---->IP Pub FW:443---->Serveur Web ?

Merci par avance pour vos retour :)

Résolue

Droits de Lecture/écriture

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour à tous,
Une petite question d'utilisation du firewall : Stormshield SN910.

Est-il possible que deux administrateurs puissent se connecter en même temps sur le firewall et posséder les droits d'écriture ?

Merci par avance.

Malcolm

Non résolue

Portail d'authentification stormshield et site https

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

J'ai mis en place sur un stormshield SN510 en version 3.1 l'authentification SSo. Et j'ai activé la règle qui dit que si la personne n'est pas authentifiée, c'est la page du portail qui s'affiche afin que la personne puisse s'authentifier. Tout fonctionne bien à ceci près que si la page par défaut du navigateur web est une page en https( par ex: https://www.google.fr), rien ne s'affiche . Si la page est en http (par ex http://www.google.fr), le formulaire d'authentification s'affiche normalement.

Ai je oublier quelque chose, ou est ce normal et on ne peut rien y faire ?

Merci et bonne journée

Résolue

Allow unknown cipher

Posée par François Prat dans Fonctionnalités et système

Bonjour,

Un flux HTTPS est bloqué sur mon appliance FAST 360. La raison du blocage est: ClientHello message contains an unknown cipher. Même en modifiant le client web comme décrit ici, ça ne fonctionne pas.

Je vois bien la politique FAST SSL/TLS "allow-unknows-ciper", mais est-il possible de gérer ce paramètre au sein d'un règle ? ou ce paramètre est-il forcément appliqué globalement ?

Merci d'avance pour vos réponses.

François

Résolue

Https connexion non sécurisée

Posée par Laura Piccirilli dans Fonctionnalités et système

Bonjour,

Quand on se connecte en tant qu'administrateur sur l'interface web du pare-feu SN300, notre connexion est toujours non sécurisée que ce soit dans Chrome ou Firefox et cela en ayant coché ou non "S'authentifier en utilisant un certificat SSL", quand on la coche, il est impossible de se connecter. on a essayé d'ajouter le certificat sur chacun des navigateurs mais cela ne change rien. Cela nous dérange et nous voudrions savoir comment procéder pour avoir un connexion sécurisée ?

Résolue

Routage par FQDN de destination : Est il possible d'utiliser des wildcard ?

Posée par Jean-Hervé Rivard dans Fonctionnalités et système

Bonjour,

Je souhaite faire du routage par FQDN de destination dans mes SN500 sous firmware V 3

çà fonctionne très bine pour un FQDN unique

J'ai besoin de le faire pour tous les sous domaines d'un FQDN "parent".

J'ai tenté de saisir un objet FQDN avec une wildcard (ex "*.domaineparent.com"), mais le parefeu, sous FW Stormshield 3.0.3, refuse de créer cet objet.

Quelqu'un aurait'il une solution ?

Merci

Résolue

pb migration

Posée par Romain Angibaud dans Fonctionnalités et système

Bonjour à tous,

J'ai migrer mon Netasq U120 vers un stormshiel SN200.

Toutes mes données ont été reprise et sont similaires à mon ancien netasq. (export de conf)

Depuis impossible de me connecter via winscp à mon SN200. Le message d'erreur est le suivant : Listing du répertoire inattendu a la ligne 'drwxr-xr-x 9 admin wheel 512 28 fév 11:27 ..'.

 

De même impossible d'enregister à présent mes logs (par syslog) sur ma machine en local.

Le SVC fait-il la même chose si oui comment l'installer ?

 

Merci et bonne journée !

Messages d'alerte