233 Membres 1105 Contributions

Open Community

Discussions - Fonctionnalités et système

Le contenu des versions, fonctionnalités, nouveautés ...

Non résolue

Restreindre l'accès à un serveur DMZ à l'aide d'une règle de filtrage par nom d'utilisateur en tant que source.

Posée par Vince Bjm dans Fonctionnalités et système

Bonjour à tous, 

J'ai pour but ce créer et configurer une DMZ sur le 8ème port sur un pare-feu Netasq U150S-A.

Dans cette DMZ j'aimerai y intégrer un serveur d'application et restreindre l'accès à ce réseau à seulement 3 utilisateurs.

J'ai donc procédé à la dernière mise à jour du pare-feu (9.1.9), j'ai créé différentes règles de Filtrage et Nat, l'accès à internet par cette DMZ est fonctionnel et pour restreindre l'accès, j'ai donc utilisé la liaison avec l'Active Directory.

Voici la règle : 
Etat       Action        Source          Destination      Port destination  Inspection de sécurité
 On        Passer    {nom.prénom}     SRV-TEST-DMZ             Any                       Firewall

Le but est de donner l'accès a la DMZ par nom d'utilisateur (de l'AD) et non pas par adresse IP fixe ou par PC, ainsi l'utilisateur pourra se connecter à distance sur le serveur DMZ sur n'importe quel poste grâce à sa session...

Voir la suite
Résolue

VPN IPSEC LAN 2 LAN en mode bridge

Posée par Aymeric D dans Fonctionnalités et système

 

 

 

Salut à tous,

Nous intégrons une nouvelle structure qui possède un Stormshield SN200 v3.2.1.

 J'essaye de monter un tunnel IPSEC avec notre Fortigate. (j'ai déja des tunnels en production sur ce pare-feu)

 La config sur le site du stormshield est:

livebox pro 192.168.1.1 <-> stormshield en bridge 192.168.1.240 <-> switch lan 192.168.1.0

Première question est-ce que l'on peut monter des tunnels en mode bridge ?

J'ai copier une config ikev1 psk qui tourne sur mon fortinet, mais le tunnel ne monte pas.

Surtout, je n'ai aucun trace sur le stormshield. Sur mon fortinet, je vois bien les traces d'initiator vers le stormshield, mais apparement, pas de réponse.

quelque screenshots:

 

Merci

Non résolue

VPN IPSEC netasq V8 - Stromshield

Posée par Jean Denisse dans Fonctionnalités et système



Bonjour à tous, je viens vers vous aujourd'hui car je ne comprends pas pourquoi mon vpn IPSEC ( site à site ) ne fonctionne pas.

je sais que netasq V8 n'est plus supporté etcc mais dans mon stormshield même pas il s'initilise et se met en erreur aprés c'est comme si le vpn ne se lançais pas du tout.

 

une idée ?

Merci d'avance.

 

 

 

 

 

Résolue

Option forwarding Stormshield v50

Posée par Foutatoro dans Fonctionnalités et système

Bonjour à tous,

J'ai mis en place la topologie suivante "réseau-1 " <--> "stormshield" <--> "resau distant", 
je veux que le stomshield fasse office de routeur afin de permettre aux clients du réseau-1 d'atteindre le réseau distant.

Le réseau distant est atteignable depuis la stormshield mais je n'arrive pas à activer l'option forwarding pour que stormshield fasse suivre les paquets du reseau-1.

Quelqu'un pourrait me suggerer une solution à ce probleme ?

Cordialement

Résolue

DNS à traver le stormshield.

Posée par Sébastien Malescot dans Fonctionnalités et système

Bonjour à tous petite question assez complexe.

 

 le firewall stormshield bloque t'il les reqûetes dns.

 

je m'explique jai un serveur ad AD + DNS sur une patte Vlan de mon stormshield (192.168.13.3)

quand sur le reseau 192.1638.13.0/255.255.255.0 je met en DNS par defaut L'ip de mon serveur tout fonctionne correctement.

 

quand sur mon reseau relié à une autre patte de mon firwall je met en DNS par default l'ip 192.168.13.3 rien ne work ( sauf quelques entrée dns lol )

 

ps : je me demande si le problème viens de mon stormshield ou de mon serveur.

 

Merci d'avance.

A bientôt.

Cordialement

Résolue

VPN IPsec ok mais aucun traffic entre Arkoon FAST360 et Stormshield SNS

Posée par Guillaume dans Fonctionnalités et système

Bonjour,

J'ai un souci pour la mise en place d'un VPN IPSec entre un Arkoon FAST360 (V5.0) et un Stromshield SN510 (v3.2.1).

Mon VPN monte bien, mais je n'ai aucun traffic entre les 2 LAN

voila la config du VPN :

clé partagé PSK
IKE DH2 MODP 1024bits, authentification SHA2_256, Chiffrement AES 256

le VPN est UP dans les log des 2 cotés mais je ne ping et n'accède à rien entre les deux LAN.
J'ai pensé que mes règles de flux était en cause mais j'ai l'impression que tous est ok

coté Arkoon :

  • Sources : LAN_local,LAN_disant
  • Destination : LAN_local,LAN_disant
  • Service : rien mis à cette endroit
  • Action : accepter
  • Translation : rien mis à cette endroit
  • Segment de chiffrement : 2 lignes
  •     source : appliance, destination : rien, chiffré par VPN specif, Mon tunnel
  •     source : rien, destination : appliance, chiffré par VPN specif, Mon tunnel

coté stromshield :
regle 1

  •   source : LAN_distant via Tunnel VPN IPsec, port : any
  •   destination : Network_lan_local, port : any
  •  
  • ...
Voir la suite
Résolue

Durée des sessions TCP

Posée par Jeremy G. dans Fonctionnalités et système

Quelqu'un sait-il quelle est la durée des session TCP parametrée par défaut sur un SN sans passer par l'IPS ?

Nous avons des soucis de connexion entre notre reverse proxy et notre serveur de mails, il semblerait que les sessions TCP soient interrompus avant la fin des transactions. Cela provoque de problèmes de synchro de mails, d'agenda et de contacts ...

Pourtant nous avons supprimés l'IPS sur tous les flux mais cela n'a pas changé notre problème.

Nous avons également un arkoon dans la chaine, du coup les interruptions peuvent venir de lui. Existe t-il un moyen de voir qui coupe la connexion ?

Merci par avance pour votre aide :)

 

 

Non résolue

[SNS 3.2.0] Filtrer le traffic SSL entrant à l'aide d'un certificat specifique

Posée par Vianney Petit dans Fonctionnalités et système

Bonjour à tous,

 

J'ai des services accessibles publiquement en HTTPS derriére une applicance Stormshield. Je souhaiterai pouvoir bénéficier de la protection de l'IPS pour ces services.

Savez-vous s'il est possible de configurer le pare-feu / proxy SSL pour déchiffrer le traffic correspondant à une régle de filtrage à l'aide d'un certificat + clé privée spécifique (au lieu d'en générer un à la volé avec l'autorité de certification du proxy SSL) ?

Je précise que je n'ai pas besoin de SNI, j'ai un certificat wildcard unique qui couvre tous ces services.

 

Merci d'avance pour tout conseil ou toute indication que vous auriez sur la maniére dont je pourrais réaliser cela.

Non résolue

SYSLOG / STORMSHIELD SN510 / VERSION 2.6

Posée par Pierre-Louis Picard dans Fonctionnalités et système

Bonjour,

j'ai activé l'envoi des traces SYSLOG (activation du service, choix des traces et règle de flux) mais le boitier ne génère aucun envoi syslog...
J'ai plusieurs boitiers où cela fonctionne très bien et d'autres où il ne se passe rien. Quand je dis rien, c'est rien (je surveille par un tcpdump l'interface du boitier). Aucun message d'erreur, aucun problème de routage (j'ai un autre service à l'adresse du syslog qui foncitonne très bien...) Boitier redémarré...

Si quelqu'un a une idée pour investiguer...

Cordialement

Résolue

Probleme de chargement de PDF avec Antivirus et/ou filtrage d'url

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

Je dispose d'un SN510 en version 3.1.2. Sur le site suivant http://www.gastonmille.com/index.php/millenium-full-protect.html , quand je cherche à charger le pdf de la fiche technique, le téléchargement échoue avec l'erreur dans le navigateur "Erreur Réseau". J'ai essayé avec IE, Chrome et Firefox, le message diffère mais le téléchargement échoue.

J'ai fait une règle spécifique pour mon poste qui prend les paramètres suivants:

Mon PC à destination Internet pour tous les protocoles j'accepte.

J'ai mis IPS, antivirus, et filtrage d'url.

Si j'enlève l'antivirus et le filtrage d'url  cela fonctionne (en conservant l'IPS). SI j'ajoute l'antivirus ou le filtrage d'URL le problème se reproduit.

Dans mes logs , je vois bien une premier ligne en pass qui applique ma règle qui a le N° 13, voir pièce jointe, puis une autre ligne en filtrage -1 (pareil voir pièce jointe) qui me met connexion Interrupted.

Je pense à un problème avec le proxy , mais quel peut être la...

Voir la suite
Non résolue

Filtrage HTTPS

Posée par Remmii03 dans Fonctionnalités et système

Bonjour,

Je souhaite mettre en place sur un SN300 le filtrage HTTPS. J'ai configuré une règle de décryptage avec le SSL, mais après cela je ne peu plus aller sur aucun site en https.  Une page avec l'erreur "La connexion n'est pas sécurisée" apparait ... J'ai fais pas mal de recherches sur internet sans vraiment trouver de réponses à ce problème, ni la sollution pour finaliser mon filtrage HTTPS.

 

Merci de votre aide.

++

 

Résolue

connxion ssh via winscp

Posée par Mah Ag dans Fonctionnalités et système

Bonjour

je tente depuis un moment à pouvoir reccuperer les logs sur un stormshield (firewall) via Winscp depuis une station windows 10 sans succès!

Je ne vois même pas les fichiers distants

quelqu'un peut aider????

merci

Ouverte

Limitation Bande Passante Mise à jour Windows

Publiée par Lgrain25 dans Fonctionnalités et système

Bonjour,

Ce post est la juste pour remonter quelquechose que je pense que bon nombre d'entre vous connaissent mais qui peut aider ceux qui ne le savaient pas.

Dans les modules IPS , il existe une alarme sur "Mise à jour Microsoft Windows" sur lesquelles on peut appliquer de la QOS pour limiter la bande passante que celles-ci nous prennent.

Cela n'enlève pas le fait que pour  moi un WSUS est nécessaire , mais pour des petites infra, ou en cour de journée, c'est pas mal.

Bonne journée

Résolue

Accéder à une dmz depuis l'extérieur

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

J'aimerai accéder à ma DMZ depuis l'extérieur. J'aimerai connaître la meilleur façon de faire. J'ai une adresse ip publique que je réserve uniquement à ma DMZ.

Quels sont les règles de NAT à mettre en place pour que le flux internet arrivant sur cette IP publique soit redigiré vers mon serveur web? Ainsi que les règles de Filtrage ?

La transformation de l'IP publique en une URL se fait via le firewall ou mon propre DNS ?

Dois-je configurer quelques choses en particuliers au niveau des interfaces ou du routage ?

Une documention, un lien ou une information m'indiquant "Où chercher" m'irait très bien.

Je n'ai aucune connaissance dans ce domaine, veuillez m'excuser si mes questions sont bêtes.

PS : J'ai un SN910.

Merci pour votre temps.

Cordialement,
Malcolm PASCAULT

 

Résolue

Impossible de récupéré un CSR généré dans un SN700, erreur winscp

Posée par Mikyas Tadesse dans Fonctionnalités et système

Bonjour,

 

 Je rencontre un problème lorsque j'essaye de récupérer un fichier(csr) d'un SN700 (version os 2.7) avec winscp. L'erreur c'est : "Unexpected directory listing line 'drwxr-xr-x 18 admin wheel 512".

Est c que quelqu'un d'entre vous a déjà renconter ce problème ?

Quelles sont les autres solutions pour récupéré un fichier d'un boitier stormshield ?

 

Merci de votre retour,

Résolue

Lire les logs d'un SN910 via SSH

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

Ayant un problème de lenteur sur un de mes serveurs et accusant mon firewall d'être la source de se ralentissement, je souhaiterai savoir comment lire mes logs de façon précise.

Je cherche en réalité à identifier "step by step" le voyage du serveur en question de son entrée à sa sortie sur mon FW.
Je me suis connecté en SSH sur mon SN mais j'ai peu de connaissance.
Une documentation ? Un endroit où regarder ? Des pistes ?

Merci par avance pour votre temps.

Cordialement,
Malcolm

Résolue

VPN SSL Portail et hebergement sites en https

Posée par Jeremy G. dans Fonctionnalités et système

Bonjour à tous,

L'un d'entre vous a-t'il déjà activé la fonctionnalité de VPN SSL Portail sur son boitier Stormshield ? Cela a-t'il affecté les règles de flux entrantes en https ?

Je m'explique, j'ai des serveurs hebergés en interne en https accessibles depuis Internet. On me demande d'activer un accès à notre messagerie interne depuis l'extérieur via le portail SSL.

Cela ne va t'il pas impacter l'accès à mes sites web hébergés en interne, si j'active cette fonctionnalité de VPN SSL Portail ?En gros l'activation du portail sur mon interface WAN ne va-t'elle pas prendre le dessus sur mes règles de du type Internet---->IP Pub FW:443---->Serveur Web ?

Merci par avance pour vos retour :)

Résolue

Droits de Lecture/écriture

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour à tous,
Une petite question d'utilisation du firewall : Stormshield SN910.

Est-il possible que deux administrateurs puissent se connecter en même temps sur le firewall et posséder les droits d'écriture ?

Merci par avance.

Malcolm

Non résolue

Portail d'authentification stormshield et site https

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

J'ai mis en place sur un stormshield SN510 en version 3.1 l'authentification SSo. Et j'ai activé la règle qui dit que si la personne n'est pas authentifiée, c'est la page du portail qui s'affiche afin que la personne puisse s'authentifier. Tout fonctionne bien à ceci près que si la page par défaut du navigateur web est une page en https( par ex: https://www.google.fr), rien ne s'affiche . Si la page est en http (par ex http://www.google.fr), le formulaire d'authentification s'affiche normalement.

Ai je oublier quelque chose, ou est ce normal et on ne peut rien y faire ?

Merci et bonne journée

Messages d'alerte