215 Membres 982 Contributions

Open Community

Discussions par mots clés : stormshield

Non résolue

Communication NAT to NAT Stormshield

Posée par Theo Quennehen dans Fonctionnalités et système

Bonjour, 

Je souhaiterai faire communiquer deux serveurs entre eux via leur IP publique. Les deux serveurs sont dans un LAN (le même) et leur IP interne est en NAT en 1:1.

Les serveurs sont bien joignable depuis l’extérieur mais impossible de communiquer entre eux via les ip publique (ping @ip-pub-srv1 -> @ip-pub-srv2)

Savez-vous si ce fonctionnement est possible avec des firewall Stormshield v200 (VM) ? il y a t-il une configuration particulière appliquer ?

Merci beaucoup pour votre aide.

Théo

 

Non résolue

StormShield - PKI request type CA

Posée par xmabille

Bonjour,

J'ai une erreur paramètre invalide, lorsque j'exécute la commande suivante pour la génération d'une REQUEST de type CA, pour la création d'une CA enfant de ma CA maitre Offline.

pki request create type=ca cn="Fw-CA-ROOT" shortname="CA-FW" C="France" ST="31" L="Toulouse" O="Demo-Infra" OU="Firewall" passphrase="aaAA1234$"

Et quelle est la commande pour générer la clé privée.

Merci pour votre aide.

Résolue

IP Spoofing Type 3

Posée par Bastien Cacciuttolo dans Administration

Bonjour à tous et à toutes.

 

J'ai un petit problème. Mon Stormshield SN500 se trouve derrière un routeur de tête FAI. Il n'a donc aucune adresse IP publique, c'est le routeur qui les a.

J'ai vu avec celui-ci et tout le traffic envoyé à cette adresse (publique) et redirigée vers l'adresse privée de mon firewall (sur l'interface à adressage privé du réseau entre le FW et le routeur).

Seulement du coup je me retrouve avec de l'IP spoofing, ou (usurpation d'identité) de type 3 quand j'essaye d'atteindre cette adresse publique depuis un poste nomade. Le but étant de pouvoir y connecter un VPN SSL, c'est problématique ! Un simple ping me permet de voir aussi cette erreur.

 

Help ! Merci,

@+

CACCIUTTOLO Bastien.

Non résolue

SES v6 Import Export Group d'Agents

Posée par Donnie Brasco dans Fonctionnalités et système

Bonjour,

je travaille sur SES v6 (je ne peux pas updater ma version malheuresement, donc merci de ne pas repondre en disant d'updater ma version) et j'ai un soucis au niveau des groupes d'agents.
J'ai des agents qui ont beaucoup d'Hostnames ou IP (un agent avec 30 Hostnames differentes par example) et j'aimerais exporter la liste des hostnames d'un agent et l'importer dans un autre agent. Dans SES v6 on peux bien exporter une liste en format srxml ou scep, par contre cette liste ne peux pas etre importer dans un autre groupe car le format d'import est seulement .sg ...... pouvez vous m'aider à ce sujet? Existe une solution à ce type de soucis? Je ne comprends vraiment pas comment on peux exporter une liste d'hostname et l' importer dans un autre groupe d'agents, j'espere que vous pourrais m'aider! J'avais pensé à créer un script, mais vu que le format d'import est .sg, je ne sais pas du tout comment faire ce script!

Merci beaucoup et desolé pour la question peut etre trop...

Voir la suite
Résolue

Client Stormshield VPN SSL - Demande de mot de passe

Posée par Dimitri Raymond dans Securité

Bonjour,

Existe-t-il un moyen de demander le mot de passe d'un utilisateur systématiquement lorsque celui-ci essaie de se connecter au vpn ? Actuellement il doit le saisir une fois, et peut se déconnecter/reconnecter autant de fois qu'il le souhaite sans retaper son mot de passe à condition qu'il ne quitte pas le client Stormshield VPN 2.1.0.

Merci :)

Résolue

Problèmes ports Stormshield SN200

Posée par Dylan Brochet dans Administration

Bonjour,

j'ai un problème sur un stormshield sn200, j'ai 3 ports donc le port 1 en sortie vers la ligne internet et les deux autres qui sont en bridge et qui servent au réseau interne de l'entreprise.

Lorsque je connecte mon poste sur le port 2, tout fonctionne correctement les règles de filtrage et  je reçois bien une adresse par mon serveur DHCP mais avec une autre machine sur le même port je n'ai pas de réseau, je n'arrive pas à avoir une adresse par le DHCP auriez-vous des solutions ?

Non résolue

SPNEGO + Stormshield V 2.4.1 + IE8

Posée par Bv5029 dans Fonctionnalités et système

Bonjour à tous,

Nous venons de remplacer nos arkoon par des produits Stormshield.

Nous fonctionnons en environnement TSE 2003 avec IE ou Firefox et aussi en RDS 2012 R2.

Pour répondre au besoin d'authentification de chaque user, nous avons mis en place l'authentification spnego via le portail captif du stormshield.

La configuration de IE sous 2012 R2 fonctionne, sous firefox + w2003 srver aussi mais je n'arrive pas à faire fonctionner cela avec IE8.

J'ai suivi les note disponible pour Netasq et la config IE6 ou IE7 mais cela ne fonctionne pas sous IE8.

La zone de confiance est bien paramétrée dans l'intranet local, les authenitifcation intégrée aussi et les ssl2.0 ou 3.0 cochée pour IE8.

J'ai aussi essayé en TLS 1.0 seul et TLS 1.0 avec SSL2.0/3.0 mais j'ai toujours la page d'erreur en pièce jointe sous IE.

 

Si quelqu'un a des infos ou une solution svp ?

 

Merci

Résolue

Problème filtrage ne fonctionnant pas avec une source utilisateur

Posée par Dylan Brochet

Bonjour à tous,

après avoir réussi à synchroniser l'annuaire Active Directory avec mon stormshield SN200, j'essaie de mettre en place en place une règle de filtrage avec en source mon nom d'utilisateur sur le domaine et en destination " Internet ", problème cela ne fonctionne pas la règle n'est pas prise en compte, le compteur reste à 0, je n'ai pas de règle avant celle-ci qui pourrrait entraver son fonctionnant.

Avec utilisateur.PNG

Lorsque je met directement l'objet machine et non l'utilisateur LDAP, cela fonctionne.

Avec poste objet.PNG

Auriez-vous des idées s'il vous plaît ?

Résolue

SNS Alerte "Niveau de chiffrement non autorisé"

Posée par Jb dans Trucs et Astuces

Bonjour,

Nous rencontrons depuis plusieurs jours des soucis d'accès aux services Google depuis le navigateur Chrome. L'alarme levée par l'ASQ est "Niveau de chiffrement non autorisé".

Certains d'entre vous ont-ils été confrontés au même soucis ? Est-ce dû au certificat généré par le proxy https ? Comment le résoudre sur le poste ou sur le firewall ?

Architecture : cluster de SN3000 en v2.3.2 avec proxy explicite.

En vous remerciant par avance,

JB

Résolue

Stormshield - Requete LDAP à travers un VPN IPSec

Posée par Jb dans Administration

Bonjour,

Nous avons besoin d'effectuer des requêtes sur un serveur Active Directory situé sur un réseau "LAN-A" protégé par un cluster SN3000 depuis un réseau distant "LAN-B" situé derrière un cluster de SN500. Les deux appliance sont en version 2.3.2. Les LAN-A et LAN-B sont en VPN IPSec Lan to Lan.

Nous avons suivi la procédure décrite dans cette KB : https://kb.stormshield.eu/en/index.php/NETASQ_LDAP_query_via_IPSec_VPN . Elle a bien fonctionné. (Petit retour d'expérience : sur la règle de flux, nous avons dû forcer le trafic entrant via le Tunnel IPSec).

Seulement, nous avons configuré un serveur LDAP de secours qui est situé sur le même site. Je souhaitais donc savoir si il faut monter un deuxième VPN d'authentification pour ce dernier ou y a-t-il une astuce ?

En vous remerciant par avance,

JB

Résolue

Problèmes d'authentification portail Stormshield

Posée par Lgrain25 dans Fonctionnalités et système

Bonjour,

J'ai un SN200 en version 2.3 attaché à un active directory sous windows 2012 R2. J'ai configuré le portail d'authentification et pour certains utilisateurs j'ai des problèmes d'authentifications. En fait il me rejete l'authentification.

Sur le premier compte, j'ai supposé que le problème provenait du login qui contenait un espace, mais apparement non (A moins que ce soit le cas et que le problème provienne encore d'ailleurs) J'avais changé son login pour supprimé l'espace.

Je stormshield interroge bien l'AD du moins je pense. Quand je recherche un utilisateur ou un groupe cela fonctionne, et pour d'autres utilisateurs je n'ai pas de problèmes.

Je précise que j'ai établis mes règles à partir des groupes AD pour l'authentification

Par contre je me suis aperçu quand je recherche un groupe, je vois bien les personnes faisant partie du groupe , mais quand j'interrroge la personne je ne vois pas l'appartenance au fameux groupe !!!!

Une idée  car la je sèche ;)

Voir la suite
Résolue

Lecture de fichier NA

Posée par Sec Urity dans Administration

Bonjour chère communauté,

J'ai une question pour vous, je souhaiterai lire un ficher NA (un export de fichier de configuration d'un STORMSHIELD NS200).

Aucun éditeur de texte n'a pu ouvrir le fichier en text clair..

Auriez-vous une idée ou une alternative pour lecture externalisée de configuration de mon Stormshield?

Merci d'avance

 

Résolue

Question relatif au filtrage applicatif

Posée par Kevin L dans Securité

Bonjour à tous,

 

Souhaitant configuré un pare-feu de sorte à se comporter comme un pare-feu applicatif sans pour autant faire office d'IPS ou d'IDS je vous adresse cette question : Les pare-feu Stormshield, modèle SN2000 (ou équivalent) permettent-ils de faire du filtrage applicatif sans pour autant activer l'Inspection level en mode IPS ou IDS ?

En effet je souhaiterai juste m'assurer que lorsqu'une règle autorise un port en particulier à passer, celle-çi n'autorise qu'un certain protocole à passer (mettre HTTP sur le port 5999 par exemple) sans pour autant activer l'inspection IPS/IDS qui serait trés consommateur en ressource.

 

Merci par avance pour vos retours,

 

Cordialement,

Kévin L

Résolue

Stormshield VPN Site à Site avec Livebox3

Posée par Peyot33 dans Administration

Bonjour à tous,

Je rencontre des difficultés pour faire un VPN site à site entre un Stormshield SN200 et une Livebox 3. (UPNP désactivé)

Je n'arrive pas à passer la Phase 1...

Firewall : 192.168.0.254, Date : 20:13, Niveau d'erreur : Information, Phase : 1, Source : Firewall_out, Adresse de la source : 37.xxx.xxx.xxx, Destination : GW-reims, Adresse de la destination : xxx.xxx.xxx.65, Message : Negotiation failed due to timeout, Identité du distant : , SPI entrant : , SPI sortant : , Cookie (entrant/sortant) : 0x7266a7df43afea79/0x75eafe00c6c470e1, Rôle : responder, Réseau distant : , Réseau local 

Les paramètres sont exactement les mêmes des 2 cotés comme vous pouvez le voir dans les screens shot.

Si vous avez une idée, elle serait la bienvenue. Merci d'avance

Résolue

Interconnexion réseau

Posée par Bastien Cacciuttolo dans Administration

Bonjour à tous,

 

Je commence à planter sur un problème depuis un moment et je ne sais pas comment m'en sortir. De plus le support Stormshield ne pourra pas me répondre avant un moment me semble-t-il. J'en fais donc appel à vous merci !

Je veux donc utiliser un stormshield SN500 pour ma boîte en remplacement d'un modèle d'une autre marque. Celui-ci est en sortie de réseau et permet de relier le site principal et le site secondaire  à Internet. Lorsque je le mets en place, le site principal se connecte correctement, le secondaire se connecte correctement au site principal (indépendant du firewall normalement) mais il ne parvient pas à se connecter à Internet. Je ne comprends pas pourquoi. Je ne pense pas que cela vienne d'un problème de route mais plutôt de manque d'autorisation. En effet je peux apercevoir des messages "Usurpation d'identité" en provencance de mon site distant. Est-ce du au fait que les deux sites sont sur des sous réseaux différents ? Il y-t-il je...

Voir la suite
Résolue

Attaque par force brute

Posée par Tony C dans Securité

Bonjour,

Depuis quelques temps, il m'arrive régulièrement d'avoir un message pour me connecter à la console de mon stormshield U250S "LA protection de l'authentification contre les attaques par force brute a été activée. Prochaine tentative de connexion dans 60 secondes"

Je suis obligé de redémarrer mon FW pour de nouveau y avoir accès.

Comment faire pour ne plus avoir ce problème? J’imagine qu'il ne faut mieux pas désactiver cette protection? Est qu'il y a une règle à créer pour sécuriser mon U250S?

Merci d'avance pour votre aide.

cdlt.

 

 

Messages d'alerte