224 Membres 1053 Contributions

Open Community

Discussions - Fonctionnalités et système

Le contenu des versions, fonctionnalités, nouveautés ...

Ouverte

Limitation Bande Passante Mise à jour Windows

Publiée par Lgrain25 dans Fonctionnalités et système

Bonjour,

Ce post est la juste pour remonter quelquechose que je pense que bon nombre d'entre vous connaissent mais qui peut aider ceux qui ne le savaient pas.

Dans les modules IPS , il existe une alarme sur "Mise à jour Microsoft Windows" sur lesquelles on peut appliquer de la QOS pour limiter la bande passante que celles-ci nous prennent.

Cela n'enlève pas le fait que pour  moi un WSUS est nécessaire , mais pour des petites infra, ou en cour de journée, c'est pas mal.

Bonne journée

Non résolue

Accéder à une dmz depuis l'extérieur

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

J'aimerai accéder à ma DMZ depuis l'extérieur. J'aimerai connaître la meilleur façon de faire. J'ai une adresse ip publique que je réserve uniquement à ma DMZ.

Quels sont les règles de NAT à mettre en place pour que le flux internet arrivant sur cette IP publique soit redigiré vers mon serveur web? Ainsi que les règles de Filtrage ?

La transformation de l'IP publique en une URL se fait via le firewall ou mon propre DNS ?

Dois-je configurer quelques choses en particuliers au niveau des interfaces ou du routage ?

Une documention, un lien ou une information m'indiquant "Où chercher" m'irait très bien.

Je n'ai aucune connaissance dans ce domaine, veuillez m'excuser si mes questions sont bêtes.

PS : J'ai un SN910.

Merci pour votre temps.

Cordialement,
Malcolm PASCAULT

 

Non résolue

Impossible de récupéré un CSR généré dans un SN700, erreur winscp

Posée par Mikyas Tadesse dans Fonctionnalités et système

Bonjour,

 

 Je rencontre un problème lorsque j'essaye de récupérer un fichier(csr) d'un SN700 (version os 2.7) avec winscp. L'erreur c'est : "Unexpected directory listing line 'drwxr-xr-x 18 admin wheel 512".

Est c que quelqu'un d'entre vous a déjà renconter ce problème ?

Quelles sont les autres solutions pour récupéré un fichier d'un boitier stormshield ?

 

Merci de votre retour,

Résolue

Lire les logs d'un SN910 via SSH

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

Ayant un problème de lenteur sur un de mes serveurs et accusant mon firewall d'être la source de se ralentissement, je souhaiterai savoir comment lire mes logs de façon précise.

Je cherche en réalité à identifier "step by step" le voyage du serveur en question de son entrée à sa sortie sur mon FW.
Je me suis connecté en SSH sur mon SN mais j'ai peu de connaissance.
Une documentation ? Un endroit où regarder ? Des pistes ?

Merci par avance pour votre temps.

Cordialement,
Malcolm

Résolue

VPN SSL Portail et hebergement sites en https

Posée par Jeremy G. dans Fonctionnalités et système

Bonjour à tous,

L'un d'entre vous a-t'il déjà activé la fonctionnalité de VPN SSL Portail sur son boitier Stormshield ? Cela a-t'il affecté les règles de flux entrantes en https ?

Je m'explique, j'ai des serveurs hebergés en interne en https accessibles depuis Internet. On me demande d'activer un accès à notre messagerie interne depuis l'extérieur via le portail SSL.

Cela ne va t'il pas impacter l'accès à mes sites web hébergés en interne, si j'active cette fonctionnalité de VPN SSL Portail ?En gros l'activation du portail sur mon interface WAN ne va-t'elle pas prendre le dessus sur mes règles de du type Internet---->IP Pub FW:443---->Serveur Web ?

Merci par avance pour vos retour :)

Résolue

Droits de Lecture/écriture

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour à tous,
Une petite question d'utilisation du firewall : Stormshield SN910.

Est-il possible que deux administrateurs puissent se connecter en même temps sur le firewall et posséder les droits d'écriture ?

Merci par avance.

Malcolm

Non résolue

Portail d'authentification stormshield et site https

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

J'ai mis en place sur un stormshield SN510 en version 3.1 l'authentification SSo. Et j'ai activé la règle qui dit que si la personne n'est pas authentifiée, c'est la page du portail qui s'affiche afin que la personne puisse s'authentifier. Tout fonctionne bien à ceci près que si la page par défaut du navigateur web est une page en https( par ex: https://www.google.fr), rien ne s'affiche . Si la page est en http (par ex http://www.google.fr), le formulaire d'authentification s'affiche normalement.

Ai je oublier quelque chose, ou est ce normal et on ne peut rien y faire ?

Merci et bonne journée

Résolue

Allow unknown cipher

Posée par François Prat dans Fonctionnalités et système

Bonjour,

Un flux HTTPS est bloqué sur mon appliance FAST 360. La raison du blocage est: ClientHello message contains an unknown cipher. Même en modifiant le client web comme décrit ici, ça ne fonctionne pas.

Je vois bien la politique FAST SSL/TLS "allow-unknows-ciper", mais est-il possible de gérer ce paramètre au sein d'un règle ? ou ce paramètre est-il forcément appliqué globalement ?

Merci d'avance pour vos réponses.

François

Résolue

Https connexion non sécurisée

Posée par Laura Piccirilli dans Fonctionnalités et système

Bonjour,

Quand on se connecte en tant qu'administrateur sur l'interface web du pare-feu SN300, notre connexion est toujours non sécurisée que ce soit dans Chrome ou Firefox et cela en ayant coché ou non "S'authentifier en utilisant un certificat SSL", quand on la coche, il est impossible de se connecter. on a essayé d'ajouter le certificat sur chacun des navigateurs mais cela ne change rien. Cela nous dérange et nous voudrions savoir comment procéder pour avoir un connexion sécurisée ?

Résolue

Routage par FQDN de destination : Est il possible d'utiliser des wildcard ?

Posée par Jean-Hervé Rivard dans Fonctionnalités et système

Bonjour,

Je souhaite faire du routage par FQDN de destination dans mes SN500 sous firmware V 3

çà fonctionne très bine pour un FQDN unique

J'ai besoin de le faire pour tous les sous domaines d'un FQDN "parent".

J'ai tenté de saisir un objet FQDN avec une wildcard (ex "*.domaineparent.com"), mais le parefeu, sous FW Stormshield 3.0.3, refuse de créer cet objet.

Quelqu'un aurait'il une solution ?

Merci

Résolue

pb migration

Posée par Romain Angibaud dans Fonctionnalités et système

Bonjour à tous,

J'ai migrer mon Netasq U120 vers un stormshiel SN200.

Toutes mes données ont été reprise et sont similaires à mon ancien netasq. (export de conf)

Depuis impossible de me connecter via winscp à mon SN200. Le message d'erreur est le suivant : Listing du répertoire inattendu a la ligne 'drwxr-xr-x 9 admin wheel 512 28 fév 11:27 ..'.

 

De même impossible d'enregister à présent mes logs (par syslog) sur ma machine en local.

Le SVC fait-il la même chose si oui comment l'installer ?

 

Merci et bonne journée !

Résolue

Stormshield Visblility Center (SVC) - 502 BAD GATEWAY

Posée par Laura Piccirilli dans Fonctionnalités et système

Bonjour, aujourd'hui nous avons voulu nous connecter à notre SVC et il nous demande de nous connecter comme d'habitude et une fois fait il nous redirige sur une page affichant : "502 BAD GATEWAY" or les paramètres réseau sont bien configurés, de plus nous n'avons rien changer en terme de réseau sur nos pares-feu SN300 et quand on se log sur la console de SVC -> Service Status -> Kibana server is not running. Nous ne savons pas d'où ça vient, ça arrive du jour au lendemain comme ça alors que cela marchait très bien ces derniers jours.

MERCI

Résolue

Probleme d'authentification

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

J'ai un problème d'authentification d'utilisateur ou nous avions identifié que la présence de parenthèse dans le nom affiché empêchait au stormshield de remonter l'appartenance aux groupes.

La doc de la version 3.1 indiquait résoudre ce problème , mais chez moi cela ne fonctionne toujours pas. J'ai fait le test sur un utilisateur en enlevant les parenthèses et en les remettant dans le nom affiché, l'appartenance aux groupes remonte ou disparait toujours en fonction de la présence de parenthèses.

Comme j'ai pas mal d'utilisateurs, est ce que vous savez si le problème va bientôt est réellement corrigé, ou bien je dois me résigner à supprimer les parenthèses de mes 150 utilisateurs ;( ?

 

Bonne journée

Résolue

SVC et xymon

Posée par Isabelle Tahir dans Fonctionnalités et système

Bonjour

Nous monitorons tous nos serveurs avec xymon. Mais il faut installer un client sur le serveur.

Comment puis-je le faire sur SVC?

C'est important. Le disque est régulièrement plein. Il faut qu'on puisse être alerter suffisamment à l'avance pour pouvoir effacer des données.

 

Merci

Résolue

Stormshield Visibility Center - SVC

Posée par Laura Piccirilli dans Fonctionnalités et système

Bonjour, nous avons installé un SVC, mais dans l'onglet SNS - Interfaces View seulement 2 interfaces de notre pare-feu apparaissent la 0 et 1, nous avons cherché pendant plusieurs heures comment ajouter des interfaces et objets ou en créer. Nous avons appelé le support Stormshield et ils nous ont donné une solution qui ne marche pas : "Sur le pare-feu SN300 allez dans Notifications -> Configuration de la supervision -> Configuration des interfaces -> ajouter interfaces". Sachant qu'on a bien paramétré et activé  le syslog dans l'onglet Traces - Syslog - IPFIX.

Nous avons exactement suivi cette démarche mais cela n'a rien changé. Je ne sais pas si vous savez comment faire mais merci d'avance ppour votre aide.

Résolue

Upload fichier et Proxy SSL

Posée par Maxime Berlioz dans Fonctionnalités et système

Bonjour à tous,

 

J'en appel à vos lumières car je ne sais plus quoi chercher.

J'ai un SN510 avec du filtrage tout simple en proxy tranparant.

Certains de mes utilisateurs ont besoin d'accéder à ce site (https://famileo.com)

L'accès au site se passe sans souci, seul bémole, les utilisateurs ne peuvent pas uploader de photos (le problème ne vient pas du site car lorsque j'ai fait une règle temporaire pour mon poste sans filtrage, tout marche sans souci)

Je n'ai aucune trace dans les logs (que ce soit au niveau alarm, ou au niveau web)

J'ai tenté de désactiver l'anti-virus, idem.

J'ai ajouté le site dans le bypass, idem aussi

Lorsque j'essaye d'uploader une image et que j'active l'inspecteur au niveau navigateur, j'ai une ligne : Méthode : POST, type : Document qui reste jusqu'a expiration ....

Au niveau protocoles /SSL j'ai essayé d'activer certaines choses au niveau de la négotiation mais rien du tout.

Auriez-vous une idée de l'origine du problème ?

Merci d'avance Voir la suite

Résolue

Lenteur serveur web

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

J'ai créé un serveur pydio et je l'ai mis dans une DMZ. C'est fonctionnel seulement je fais face à un problème :
. Depuis que mon serveur pydio est en DMZ, il est très très très lent. Avant, lorsqu'il était sur le réseau LAN de l'entreprise, il était fluide, rapide, performant et j'en passe.
Depuis l'URL j'arrive très rapidement sur la page d'authentification mais au moment de m'identifier, il faut 10 ans pour arriver à la page suivante. Une fois sur la page suivante, 10 ans pour arriver à l'autre.

Ma question est : Le stormshield, peut-il être responsable de cette lenteur ?

Au niveau de la configuration, j'utilise une interface dmz basique avec un débit de 1 Gbps.
J'ai mis en place les règles de filtrage nécessaire pour établir la connexion.

PS : il faut savoir que l'authentification se fait via ldap (oui les ports ldap sont ouvert sur mes règles).

Merci par avance,
Malcolm

Résolue

Déchiffrement SSL et Chrome

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

J'ai mis en place sur un SN510 la solution de déchiffrement SSl qui fonctionne bien . Enfin à un petit détail près et ce avec Chrome. Je pense que vous aurez vu à quoi je fait allusion. En effet quand j'arrive sur une page en https, il m'indique que je suis sur une page non sécurisée. Sachant que le certificat a été déployé par GPO, qu'il fonctionne normalement sous IE et que normalement Chrome s'appuie sur le conteneur de IE , comment faire ?

J'avais trouvé sur un autre site qu'il fallait ajouter –ignore-certificate-errors dans le raccrouci de Chrome car apparement il détecte une attaque MITM, mais cela n'a rien changé.

Comment vous l'avez géré avec Chrome?

Pour Firefox, faut que je penche sur le fait de le déployer par GPO, ca à mon avis c'est une autre histoire à moins que quelqu'un ai une solution miracle.

Bonne journée et à bientôt.

Résolue

SN910 accès interface

Posée par Malcolm Pascault dans Fonctionnalités et système

Bonjour,

Je possède actuellement 1firewall SN910.

Mon but est de créé une DMZ, voici ce que j'ai déjà fait :

J'ai créé un serveur avec l'IP suivante : 192.168.1.1 qui est sur le VLAN 20. La passerelle de mon serveur en question est 192.168.1.254.

Sur mon SN910 j'ai créé une interface dmz rattaché au VLAN 20 avec une IP fixe : 192.168.1.254

Jusqu'ici rien de sorcier.

J'ai également créé le lien physique allant de mon SN910 sur un port de mon switch. Sur le switch, j'ai créé mon VLAN20 que j'ai attribué au port du switch connecté au SN910.

Depuis mon switch, où j'ai configuré le vlan 20 avec cette adresse ip : 192.168.1.253 j'accède à mon serveur.

Problème : depuis mon serveur et mon switch, impossible de joindre mon interface SN910 (192.168.1.254).
Avez-vous une idée pour rendre accessible mon interface ? Dois-je faire quelques en particuliers ?

Merci par avance du temps que vous allez me consacrer.

Très cordialement,

Malcolm

Messages d'alerte