219 Membres 1027 Contributions

Open Community

Discussions - Securité

Débat et discussion sur les failles de sécurité. Comment fonctionne l'attaque, comment la bloquer....

Non résolue

Stormshield SN300 SSL certyficate error

Posée par Sporpigal0 Sporpigal dans Securité

Hello all so I have this ongoing problem with my setup on Stormshield when I try to implement these : http://www.stormshield.pl/Pomoc/Poradniki-i-instrukcje/Firmware-3x/Polityki-filtrowania/SSL-Proxy every time I get this message on one gov website : 

I have Imported the SSL_proxy_default_authority_certificate from Stormshield as suggested to my computer and installed it in Trusted certificates but still I get this message. I'am using chrome and firefox. I guesse that the default website certificate is self signed but still should it be such an issue ? Any ideas how to set it up on storm ?

Résolue

Stormshield SN300 Spoofing problems

Posée par Sporpigal0 Sporpigal dans Securité

Hello all I know this is a french forum but since I can't speak french and I was looking for any kind of stormshield forums on the internet I think mabey someone here can help me.

I have a stormshield sn300 in my networking environment and since few days I have a lot of ip address spoofing (type=1) alarms on the main panel monitor. And since i blocked it I alsow can't get any updates from Active Update from http://update1-sns.stormshieldcs.eu/1 cuz it's alsow on port:1.  Any ideas what could be going on ? Do I need to add some new regules on my stormshield to filter this traffic ?

Résolue

Connexion suspecte PPTP

Posée par Siegfried M. dans Securité

Bonjour,

Cette nuit, j'ai eu ce message plusieurs fois sur un SNS 710:

Connexion cliente sur le serveur PPTP local terminée pour @UNSPEC

Quelqu'un a t-il essayé de d'y connecter d'une manière "brutale" ? 

Merci pour votre aide.

Cordialement.

Siegfried.

 

Résolue

StormShield choisir interface de sortie en fonction de l'URL

Posée par Prénom Nom dans Securité

Bonjour à tous,

J'ai un STORMSHIELD SN200 qui est actuellement configuré pour un partage de connexion internet (avec 2 box différentes).

Je voudrais savoir si il est possible de configurer ce pare feu pour que quand j'ai certaines URL internet demandées, je sors les paquets via la box 1 sinon sur l'une des 2 box.

Merci à vous pour votre aide car je galère !

Résolue

fichier keytab

Posée par Service Informatique dans Securité

Bonjour,

Je tente de mettre en place l'authentification Spnego.

J'ai donc généré mon fichier keytab depuis mon AD, le fichier a été généré correctement, le fichier log n'indique rien de problématique. Cependant lorsque j'ajoute la méthode d'authentification dans l'UTM que je renseigne le nom de service, la domaine et le fichier keytab, je valide mais mon fichier keytab ,n'est pas "pris en compte" car quand je reviens dessus, la ligne est vide. (j'ai essayé plusieurs fois et toujours le même souci)

Y-at'il une chose que je fais mal ? Je reprends les champs indiqué dans le fichier log à l'identique pourtant.

Merci d'avance

Résolue

Authentification et Filtrage

Posée par Service Informatique dans Securité

Bonjour à tous,

 

Deux SN510 fraichement reçu, je me suis occupé de mettre en place ce qui y était déjà fait sur mes anciens NETASQ à savoir du filtrage http et https (tout simple)

Mais j'aimerai aller plus loin au niveau de l'authentification, mes utiilisateurs travaillent pour la plupart sur des Serveurs TSE et lors des accès à internet je ne récupère pas les noms.

Je suis parvenu à faire authentifier mes utilisateurs par le portail mais ça ne plait pas trop car pas très pratique. J'ai donc parcouru la doc et j'ai vu qu'il existait l'authentification par navigateur (HTTP 407) qui fonctionne avec des objets multi-utilisateurs mais impossible de le faire fonctionner ... le proxy est bien déclarer, les cases sont ben cochés dans application / protocoles /http/ proxy mais rien n'y fait. Je n'ai pas pousser plus loin car j'ai ensuite qu'il n'y avait pas de filtrage SSL possibile avec ce type d'authentification ... Je ne sais pas comment ça ferait dans mon cas où je...

Voir la suite
Ouverte

Protection des données contre la collecte d'information

Publiée par Tvk dans Securité

Bonsoir,

Je travaille maintenant depuis un moment avec vos appliances, et je voudrais remonter un point qui revient de plus en plus dans les discussions que j'ai avec d'autres administrateurs/utilisateurs/responsables soucieux de la sécurité de leurs informations critiques.

Voici maintenant un moment que Microsoft à visiblement démarré une campagne colossale de collecte d'informations au travers de ses différents produits (principalement Windows client), et depuis ces derniers mois cela n'a fait qu'empirer. Non seulement les nouveaux OS comme Windows 10 sont directement concernés, mais des "correctifs" ont visiblement été déployés pour les OS plus anciens (jusqu'à Windows 7) afin de mettre en place ce genre de collecte sur la totalité des OS Windows client utilisés sur le marché pour l'instant.

On peut entre-autre trouver des exemples et des raisons de s'inquiéter sur ces pages ;

Résolue

question VPN-SSL stormshield

Posée par Thomas Leclerc dans Securité

bonjour

j'imagine une configuration type pour mon reseau et je souhaites une confirmation concernant des fonctionnalités offertes ou non par les appliances stormshield SNS170 au nieau des tunnels VPN SSL. je m'adresse à la communauté car je ne trouve jusqu'ici pas la reponse à ces questions et pour l'instant cela freine mon projet. N'ayant pas une appliance à disposition pour tester par moi même, je ne peux pas declencher d'achat sans reponse à ces questions.

mon souhait : 

1 - le client VPN se lance à l'ouverture de session

2 - Le client detecte qu'il est ou non sur le LAN de l'entreprise 

2 - si le client n'est pas sur le LAN, le client se connecte tout seul à la passerelle stormshield (soit par un certificat client soit en recuperant les identifiants et mdp windows de l'utilisateur)

3 - une fois le tunnel établi tout le trafic reseau remonte à la passerelle stormshield, y compris les requetes DNS.

4 - le client vérifie regulierement le statut de la connection et tente...

Voir la suite
Résolue

problème VPN stormshield U70S

Posée par David Hauguel dans Securité

Bonjour

J'ai un problème avec mon stormshield U70S-A :

les règles 25 et 26 servent pour mon serveurpro4 qui sert d'accès vpn depuis l'extérieur (un serveur windows 2012 en pptp).
Jusque là pas de problème, ça fonctionne et j'ai testé ces deux règles sont indispensables.

Mon problème vient après, j'ai des postes qui se connectent en local (comme ordi_hawai ou srv pekin2) vers des vpn pptp. D'où les régles 27 et 28.
Je sais qu'ici ces règles ne vont pas être appliquées à cause de la règle 26 qui vient avant et si je remonte une des règles effectivement mon poste en question va pouvoir se connecter mais moi je les voudrais tous à la fois mais visiblement je ne peux faire qu'un à la fois !

Alors comment faire ? Plutot que de mettre un ordi à la fois j'ai essayé de mettre des groupes d'ordinateur mais impossible...
Les any ou autre non plus....

Help svp !

Résolue

UTM FAST360 v6.0/11, Statut de la version = INVALID

Posée par Nicolas Gregoire dans Securité

Bonjour,

Nous avons reçu un mail de noreply@stormshield.eu le 03/10/2016 indiquant "la disponibilité des nouvelles versions Arkoon Fast360 6.0/11 et 5.0/37".

Or la page https://support-https.arkoon.net/Version.php?product=fast360&ver=6_0&ver_type=major indique "Statut de la version = INVALID" pour la version Fast360 6.0/11 (cf. copie d'écran en pièce jointe).

La documentation associée (https://support-https.arkoon.net/downloads/fast360/Release_Notes_FAST360_6_0_11_FR.pdf) indique pourtant :

- Statut de la version : OK.

- Commentaire : La version est valide et peut être appliquée.

 

Résolue

Où trouver les MIB ARkoon

Posée par Sory Sangare dans Securité

Bonjour,

Je souhaite superviser le firewall arkoon p1808 à travers un centreon que j'ai installé et configuré. Pour ce faire, j'aurai besoin du fichier MIB d'ARKOON P1808.

Savez-vous s'il y a un lien pour télécharger de ce MIB sur le site d'arkoon?

Cordialement

Résolue

blocked by filter - default deny on input

Posée par Samuel Bruyere dans Securité

Bonjour à tous,

 J'ai fait une ouverture de port du Wan vers le Lan, et quand je fait un telnet sur le port en question, celui-ci est bloqué avec "blocked by filter - default deny on input".

 

Merci de votre aide !

++

Sam

Résolue

probleme ssl pour un hotspot avec un stormshield

Posée par Damien Richard dans Securité

Bonjour,

J'ai un petit stormshield pour gérer un salle.

J'ai un système de filtrage ssl dont j'ai installé les certificats sur les postes.

Je voudrai mettre du wifi en hotspot  et mon problème se pose sur les erreurs de certificats.

J'ai cherché mais toujours pas trouvé sauf d'installer le certificat sur le poste.

Y a t il pas une solution pour contourner ce problème ?

Merci par avance damien

 

Résolue

Ajouter 16000 IP à bloquer dans NG1000-a

Posée par Florent Gay dans Securité

Bonjour,

Je souhaite rentrer 16000 IP à bloquer dans mon pare-feu.

Après recherche, je vais utiliser l'outil nsrpc qui me permet de faire un script qui lance des commandes pour créer un groupe, créer chaque adresse, et ajouter cette adresse dans le groupe.

Seulement, je coince je ne peux pas créer 16000 objets, le NG1000 est limité à 10300 objets.

Est-ce-qu'il y a un autre moyen de rentrer ces IP ?

Je n'arrive pas à trouver si je peux créer une sorte de liste qui sera considérer comme un objet et insérer toutes les IP dedans .

Avez-vous une idée ? merci

Résolue

Client Stormshield VPN SSL - Demande de mot de passe

Posée par Dimitri Raymond dans Securité

Bonjour,

Existe-t-il un moyen de demander le mot de passe d'un utilisateur systématiquement lorsque celui-ci essaie de se connecter au vpn ? Actuellement il doit le saisir une fois, et peut se déconnecter/reconnecter autant de fois qu'il le souhaite sans retaper son mot de passe à condition qu'il ne quitte pas le client Stormshield VPN 2.1.0.

Merci :)

Résolue

Comment bloquer un client OpenVpn

Posée par Jacques Dubant dans Securité

Bonjour

 

J'ai actuellement un Netasq U800S qui sera prochainement remplacé par un SN2000.

Je me suis rendu compte que l'un de mes utilisateurs utilse un client openvpn (openvpn-gui) sur son PC de boulot pour monter un VPN vers son domicile.

Comment puis-je le bloquer sachant que c'est un PC qui doit avoir accès à Internet et que je  ne peux pas bloquer le port 443 ? J'ai bien récupéré son Ip public, cela m'a permis de mettre une règle temporaire, mais je souhaiterai bloquer ce type de comportement de façon générale.

J'ai cherché du coté de l'IPS (Ips01), mais je n'ai rien trouvé de très concluant.

Merci d'avance pour vos réponses.

 

JD

Résolue

Stormshield ou Netasq ?

Posée par Michaël dans Securité

Bonjour,

Nous venons d'acquérir un firewall Stormshield, et dès la première connexion, celui-ci nous affiche un certificat... Netasq ! D'ailleurs, nous retrouvons ces références à Netasq un peu partout.

Du coup, je me pose la question : avons-nous acheté un vrai firewall Stormshield ?

Le certificat est tout de même une part importante de la sécurité et de la confiance. Si celui-ci ne correspond même pas au produit, que penser de cet équipement de "sécurité" ?
Puis-je faire confiance à ce certificat ? Et à ce firewall ?

Iriez-vous sur Google ou n'importe quel autre site, si celui-ci vous présentait un certificat nommé "Netasq" ou "Je_Suis_Un_Gentil_Pirate_Faites_Moi_Confiance"?

Cordialement.

Résolue

VPN et signatures algorithmes IKE SHA

Posée par Adrien Luye dans Securité

Bonjour à toutes et à tous,

Nous venons de monter un tunnel vpn ipsec en test avec deux boitiers Arkoon Fast360.

Nous avons eu des difficultés à faire passer un ping entre les hôtes à chaque extrémité.

Après avoir lu plusieurs postes, nous avons vu qu'il était parfois conseillé de changer la signature de l'algorithme IKE en SHA1 à la place de SHA256.

Après modifications, cela a effectivement fonctionné.

Ma question est la suivante : pourquoi ? Pourquoi la signature en SHA256 entraîne-t-elle une non-transmission des paquets à la sortie du tunnel?

Je vous remercie pour les réponses que vous pourrez m'apporter.

Résolue

Site particulier et SN500

Posée par Guillaume B dans Securité

Bonjour

lorsque j'essaie de me connecter au site http://igokisen.web.fc2.com/ j'ai un délait d'attente dépassé. Or, si je passe par un proxy anonyme en ligne (http://anonymouse.org/cgi-bin/anon-www.cgi/http://igokisen.web.fc2.com/) celui ci fonctionen bien. Je n'ai pas de trace de blocage sur mon firewall tormshield SN500.

Avez vous une idée de ce qui peut bloquer?

Merci

Guillaume

 

Messages d'alerte