116 Membres 1127 Contributions

Open Community

Questions

Non résolue

SVC : Filtrages

Posée par Karl dans Trucs et Astuces

Bonjour

Nous avons mis en place une plateforme SVC 1.1.1 pour centraliser les logs de nos différents SNS

Malgré mes recherches, je trouve que très peu de documentation sur l'utilisation du produit (à l'exeption de l'admin guide en fait).

Je bloque tout simplement, par exemple, sur le filtrage des logs WEB :

Comment est il possible d'afficher les logs WEB d'une source identifiée par un sous réseau (par exemple 10.1.1.0/24 ?

Dernier essai avec cette reqète, infructueux :

 

{
"query": {
"match": {
"src": {
"query": "[10.1.1.0 TO 10.1.1.255]",
"type": "phrase"
}
}
}
}

Merci de votre aide

Non résolue

Google Safe Search

Posée par Sébastien Razet dans Fonctionnalités et système

Bonjour à tous,

Est-ce que la fonctionnalité Safe Search permettant de filtrer le contenu proposé dans les principaux moteurs de recherches est toujours active ?

Je trouve une option "Activer le filtrage des moteurs de recherche (Safesearch)" dans CONFIGURATION/PROTECTION APPLICATIVE/Protocoles/HTTP.

Elle semble ne rien modifier pour les recherches sur google/google image.

Je me dis que le passage en https de google rend peut-être les choses plus compliquées.

Y a-t-il alors des précautions à prendre ?

D'avance, merci,

Sébastien

SNS 3.2.1

Résolue

Filtrage HTTPS

Posée par Johnny Cash dans Fonctionnalités et système

Bonjour à tous,

 

Je dois mettre en place un filtrage spécifique uniquement pour quelques postes sur mon réseau. Je me suis renseigné sur la mise en place déjà "de base" du filtrage, cela nécessite de filtrer la partie HTTPS car effectivement si on fait un filtrage "simple" on ne filtre que tout ce qui est uniquement HTTP. 

Si j'en réfère à l'article suivant :

http://seleh.fr/netasq-v9-filtrer-le-flux-https/

Une fois les règles effectuées, il suffit de déployer via GPO le certificat sur les machines. Ma question est la suivante :

si je réalise ces règles pour effectuer le filtrage https mais uniquement en définissant dans l'onglet "objet" quelques machines que j'aurai determinées, est-ce que ça va s'appliquer uniquement dessus ? Et pour le reste du parc, il n y aura pas de filtrage ? 

 

Je ne sais pas si c'est clair, n'hésitez pas à me demander des précisions, je vous remercie !

 

 

Non résolue

VPN Stormshield sans trace, ni initiation

Posée par Remmii03 dans Fonctionnalités et système

Bonjour,

Nous avons mis en place un nouveau Stormshield sur lequel nous avons déja une quinzaine de VPN, mais princiapelement avec des Arkoons (2 avec un troisième stormshield). Etant donné que nous avons 2 connexion internet, j'ai créé des routes fixes pour indiqué la connexion secondaire (SDSL) pour les VPN et une route de retour.

Sur le second Stormshield, nous 2 VPN établies avec un Arkoon, aucun problème. Celui-ci n'a qu'une seul connexion internet (Livebox) donc pas de route fixe, ni de route de retour.

 

Lorsque je souhaite monter un VPN IPSEC entre les 2 Stormshield, je ne voit aucune trace d'initialisation VPN dans le REAl-TIME Monitor. Mes configurations VPN semblent correctes, nous utilisons toujours les même profils de chiffrements.

 

Je ne vois plus ou regarder, avez vous une idée ?

Je reste à dispo pour plus de rensignements.

 

Merci.

Bonne après-midi.

 

Rémi

 

Non résolue

Stormshield - Tcp timeout

Posée par Fredj21 dans Securité

Bonjour,

peut-on configurer une durée de session TCP sur un port en en particuiler ? ou dans le contexte d'une rêgle de filtrage ?

En version 2 ou 3 de stormshield

Cdt,

 

 

 

 

Résolue

EXPORT d'objet

Posée par Hubert Hla dans Administration

Bonjour à tous

qq sait -il comment exporter les objets d'un SN700 en V2.3 ? (les machines,les listes url ...)

pour les importer sur un autre

merci

à part la sauvegarde complète bien sur

Non résolue

OverTheBox et SN300

Posée par Joffrey B dans Administration

Bonjour,

Nous avons actuellement un stormshield SN300 avec 2 liens internet (fibre + ovh) et deux boxes 4G (oui nous sommes dans le désert numérique) configurés pour faire de la répartition de charge. Nous allons nous munir de la solution OVERTHEBOX d'OVH d'ici la semaine prochaine pour aggréger les 4 connexions. Toutefois je ne vois pas trop quelles configurations appliquées  pour faire fonctionner le tout. 

Je vous remercie d'avance et vous souhaite une bonne fin de journée. 

Résolue

Sauvegarde logs proxy web SNS 3

Posée par Siegfried M.

Bonjour,

Comment puis-je sauvegarder les logs de mon firewall? J'aimerais exporter toutes les traces concernant le filtrage http pour les archiver.

Merci pour votre aide.

 

Résolue

SMC - Rattachement machine virtuelle

Posée par Jpperget dans Appliances virtuelles

Bonjour,

J'ai une question concernant le rattachement d'une VM Stormshield (V200) à un serveur SMC.

Dans la documentation, il est indiqué que le rattachement se fait par clé USB (contenant le package de rattachement et la config de backup).

Dans le cas d'une VM, quelle est la méthode/procédure de rattachement ?

Dans le cas Arkoon/AMC, le rattachement se faisait en commande (via minarkconf), y a t il l'équivalement sur Stormshield ? ou est ce prévu ?

Merci de vos retours.

Résolue

Stormshield et multicast

Posée par Yannick Dalencon dans Administration

Bonjour,

J"essaye tant bien que mal de faire du routage multicast statique sur un SN300 en v3.2.1

J'ai défini l'objet que représente mon groupe multicast, l'interface source et celle de destination. Cependant ça ne fonctionne pas.

Bien sur le routage multicast statique est activé, et ma règle est activée aussi.

Ai-je manqué quelques choses?

 

Merci

Résolue

Admin From et ajout d'une route statique

Posée par Yann Le Normand dans Administration

Bonjour,

Je souhaite administrer un Arkoon FAST 360 PS-4 version 6.0/12 depuis mon poste de travail et j'ai donc renseigné la plage réseau dans le "Admin From" de Minarkconf sans préciser l'interface d'entrée.

Cependant, pour que cela fonctionne, il faut absolument ajouter une route statique sur le pare-feu pour que les flux d'admin repasse par la même interface.

Mon PC a l'IP 10.44.202.221 et l'interface eth0 de l'Arkoon par laquelle je souhaite l'administrer 172.20.6.32.

Sans la route statique, voici le tcpdump sur l'interface d'entrée des flux d'admin :

root@constantine:/root> tcpdump -n -i eth0 host 10.44.202.221
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:53:51.733430 IP 10.44.202.221.49709 > 172.20.6.32.822: S 3766689029:3766689029(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>
10:53:51.736643 arp who-has 10.44.202.221 tell 172.20.6.32
10:53:52.736673 arp...

Voir la suite
Résolue

SN 210 sur Lien fibre Orange

Posée par Virgil Astran dans Fonctionnalités et système

bonjour,

Je viens cherchcer de l'aide pour l'implementation d'une connexion C2E sur un SN210 3.21

Les STAS C2E m' oblige à utiliser un vlan a l’accès (vlan 2900),et de tagguer 802.1p (COS 2) les flux sortants du routeur.

j'ai essayer mais sans succés ( voir pj )

Merci de votre retour.

cdt

Résolue

Downgrade de version Arkoon

Posée par Lgrain25 dans Administration

Bonjour,

J'ai un arkoon en version 5 qui est maitre de configuration. Celui-ci a laché et j'ai recu un arkoon de remplacement mais qui est en version 6. Je n'arrive pas à trouver sur Arkoon.net de procédure pour le downgrade version.

Y aurait-il quelqu'un qui aurait le lien ?

Merci d'avance et bonne journée.

Non résolue

recherche maj pour Netasq U120 U30

Posée par Damien Brenot

bonjour

je recherche des fichiers de MAJ pour Netasq / Stormshield U120 et U30 version 9.0.1 à 9.0.8,

stormshield ne propose plus sur son espace client que les versions 9.1.x et supérieur

si qqun a téléchargé ces .maj , cela m'interresserait vivement

merci et bonne journée :)

 

Résolue

Routage SN210 / CISCO

Posée par Virgil Astran dans Fonctionnalités et système

Bonsoir,

j'ai un routeur cisco enf frontal de mon lien fibre.

Je souhaite installé un SN210 entre mon LAN et le cisco.

Faut il ajouter une route statique ? Si oui de quelle genre car je seche

Merci d'avance.

cdt

virgil

Non résolue

Etude solution Security Box

Posée par Loïc Fabre

Bonjour, je suis alternant chez Groupama et on m'a assigné la tache de faire une étude d'évaluation de la solution Security Box. Je n'ai pas trouvé de documentation technique ni d'information concernant le coût de la solution, le système de licence ou la formation. Pourriez-vous me communiquer un lien ou un document technique de la solution?

Cordialement

Résolue

Ressources arkoon

Posée par Benoît B dans Administration

Bonjour,

Clients arkoon depuis 5 ans, nous allons basculer prochainement sur stormshield.

Notre parc arkoon n'avait pas été mis à jour depuis la 6.0.2 et je cherche actuellement à récuperer les dernières version fast360, ainsi que l'admin suite, mais il est maintenant impossible d'accèder au site arkoon https://support-https.arkoon.net/

Les outils d'admin et les versions sont elles encore disponibles?

 

Merci d'avance

--

Benoît

Non résolue

SVC : Filtrages

Posée par Karl dans Trucs et Astuces

Bonjour

Nous avons mis en place une plateforme SVC 1.1.1 pour centraliser les logs de nos différents SNS

Malgré mes recherches, je trouve que très peu de documentation sur l'utilisation du produit (à l'exeption de l'admin guide en fait).

Je bloque tout simplement, par exemple, sur le filtrage des logs WEB :

Comment est il possible d'afficher les logs WEB d'une source identifiée par un sous réseau (par exemple 10.1.1.0/24 ?

Dernier essai avec cette reqète, infructueux :

 

{
"query": {
"match": {
"src": {
"query": "[10.1.1.0 TO 10.1.1.255]",
"type": "phrase"
}
}
}
}

Merci de votre aide

Non résolue

Google Safe Search

Posée par Sébastien Razet dans Fonctionnalités et système

Bonjour à tous,

Est-ce que la fonctionnalité Safe Search permettant de filtrer le contenu proposé dans les principaux moteurs de recherches est toujours active ?

Je trouve une option "Activer le filtrage des moteurs de recherche (Safesearch)" dans CONFIGURATION/PROTECTION APPLICATIVE/Protocoles/HTTP.

Elle semble ne rien modifier pour les recherches sur google/google image.

Je me dis que le passage en https de google rend peut-être les choses plus compliquées.

Y a-t-il alors des précautions à prendre ?

D'avance, merci,

Sébastien

SNS 3.2.1

Non résolue

VPN Stormshield sans trace, ni initiation

Posée par Remmii03 dans Fonctionnalités et système

Bonjour,

Nous avons mis en place un nouveau Stormshield sur lequel nous avons déja une quinzaine de VPN, mais princiapelement avec des Arkoons (2 avec un troisième stormshield). Etant donné que nous avons 2 connexion internet, j'ai créé des routes fixes pour indiqué la connexion secondaire (SDSL) pour les VPN et une route de retour.

Sur le second Stormshield, nous 2 VPN établies avec un Arkoon, aucun problème. Celui-ci n'a qu'une seul connexion internet (Livebox) donc pas de route fixe, ni de route de retour.

 

Lorsque je souhaite monter un VPN IPSEC entre les 2 Stormshield, je ne voit aucune trace d'initialisation VPN dans le REAl-TIME Monitor. Mes configurations VPN semblent correctes, nous utilisons toujours les même profils de chiffrements.

 

Je ne vois plus ou regarder, avez vous une idée ?

Je reste à dispo pour plus de rensignements.

 

Merci.

Bonne après-midi.

 

Rémi

 

Non résolue

Stormshield - Tcp timeout

Posée par Fredj21 dans Securité

Bonjour,

peut-on configurer une durée de session TCP sur un port en en particuiler ? ou dans le contexte d'une rêgle de filtrage ?

En version 2 ou 3 de stormshield

Cdt,

 

 

 

 

Non résolue

OverTheBox et SN300

Posée par Joffrey B dans Administration

Bonjour,

Nous avons actuellement un stormshield SN300 avec 2 liens internet (fibre + ovh) et deux boxes 4G (oui nous sommes dans le désert numérique) configurés pour faire de la répartition de charge. Nous allons nous munir de la solution OVERTHEBOX d'OVH d'ici la semaine prochaine pour aggréger les 4 connexions. Toutefois je ne vois pas trop quelles configurations appliquées  pour faire fonctionner le tout. 

Je vous remercie d'avance et vous souhaite une bonne fin de journée. 

Non résolue

recherche maj pour Netasq U120 U30

Posée par Damien Brenot

bonjour

je recherche des fichiers de MAJ pour Netasq / Stormshield U120 et U30 version 9.0.1 à 9.0.8,

stormshield ne propose plus sur son espace client que les versions 9.1.x et supérieur

si qqun a téléchargé ces .maj , cela m'interresserait vivement

merci et bonne journée :)

 

Non résolue

Etude solution Security Box

Posée par Loïc Fabre

Bonjour, je suis alternant chez Groupama et on m'a assigné la tache de faire une étude d'évaluation de la solution Security Box. Je n'ai pas trouvé de documentation technique ni d'information concernant le coût de la solution, le système de licence ou la formation. Pourriez-vous me communiquer un lien ou un document technique de la solution?

Cordialement

Non résolue

Classification d'une URL

Posée par Karl dans Administration

Bonjour,

Notre stormshield classe l'url d'un webmail interne en tant que "Malware".

Avant de mettre cette adresse en liste blanche, j'aurais voulu savoir si il était possible de connaitre la raison pour laquelle le SNS effectuait cette classification.

Merci

Non résolue

Personnaliser la géolocalisation

Posée par Michaël dans Administration

Bonjour,

Sur SNS (et/ou SVC), serait-il possible, par un moyen détourné, de personnaliser la géolocalisation ? (Celle utilisée dans les rapports, pour afficher une carte mondiale).

Nos firewalls ne sont pas en frontal d'internet, nous souhaterions donc pouvoir remplacer la base de géolocalisation par notre plan d'adressage interne (par exemple, pouvoir indiquer que le 10.128.0.0/16 correspond à l'Allemagne, 10.223.11.0/24 correspond à l'Inde, ...)

Je sais que cette possiblité n'est pas offerte via la gui, mais je me dis qu'en grattant les bons fichiers, ça doit être possible, ce ne sont que des IP à modifier. Je suis prêt à tout faire à la main, il faudrait juste que je sâche où modifier, si c'est possible.

 

Cela nous permettrait, même sur notre réseau interne, de pourvoir surveiller plus efficacement certains pays.

Merci d'avance :)
Cordialement.

Non résolue

SSH TCP Forwarding

Posée par Entrax Entrax dans Administration

Hello,

 

Est-il possible de configurer la directive AllowTcpForwarding dans la configuration SSH de boitiers Stormshield SN ?

Je souhaite accèder au portail d'administration via tunnel SSH (ssh -L port_local:localhost:443 ....).

Cependant, je n'ai rien trouvé pour configurer le TCP Forwarding dans la WebUI et le fichier /etc/ssh/sshd_config est réécris au reboot.

Sans cela , un joli :

'channel 3: open failed: administratively prohibited: open failed'

 

Thanks,

Non résolue

Interco publique avec interface VLAN

Posée par Entrax Entrax dans Administration

Hello all,

J'administre depuis peu des SN510 & + et je suis resté avec le même problème sur chacun d'eux.

 

J'ai mon routeur A et mon SNXXX B (version 3.2.1).

Je souhaite faire une interco publique entre les deux sur vlan.

 

Device A : Interface 1 porte l'ip publique : X.X.X.1 en VLAN 3.

Device B :

- Interface VLAN1 qui porte l'ip publique X.X.X.2 en VLAN 3;

- Gateway de l'interface VLAN1 : X.X.X.1;

- Route par défaut : IP pub du device A.

 

Tests :

- Depuis le device A :

>> ping interface int1 X.X.X.2 : OK

>> telnet interface int1 X.X.X.2 port 443 : KO ( mais je vois le flux arrivé en tcpdump sur le SN)

>> ping interface int1 8.8.8.8 : OK

 

- Depuis le device B :

>> ping -S IP_VLAN1 X.X.X.1 : OK

>> ping -S IP_VLAN1 8.8.8.8 : KO - "Ping: sendto: Network is down"

 

Dans mes règles, j'autorise bien l'icmp et mon routeur à venir en 443 pour les tests.

J'ai ajouté également des règles pour autorisé un device C pour les tests mais les...

Voir la suite
Non résolue

Configuration QoS

Posée par Zbigniew Luszczyk dans Administration

Bonjour à tous

L'équipement concerné est un SN2000.

Le problème: la bande passante Internet saturée.

Nous avons quelques applications en mode SaaS. Il arrive que le temps de réponse de ces applications est inacceptable. Je me suis aperçu que certains utilisateurs saturent la bande passante Internet. De quelle façon je peux garantir la bande passante pour les applications SaaS ?

Merci d’avance pour votre aide.

Non résolue

Portail captif LAN/WAN/WIFI

Posée par Karl dans Administration

Bonjour,

Je n'arrive pas à configurer "proporement" mes portails d'authentifications sur mes appliances Stormshield. Quelque-chose doit m'échaper.

Voici la configuration que nous déployons régulièrement sur nos sites :

Cluster de SN300 ou 500

Une interface WAN, pour sortir sur internet

Une interface LAN, qui donne accès au réseau d'entreprise via un VPN IPsec

Une interface Wifi, pour offrir un accès internet grand public, non connecté au réseau d'entreprise.

J'aimerais mettre en place, dans un premier temps, une authentification sur les accès LAN et WIFI.

Pour l'accès LAN, j'utilise la méthode SSO et j'aimerais proposer le portail captif pour des ordinateurs hors domaines qui viennent se connecter sur le LAN.

Pour l'accès WIFI, j'utilise la méthode Guest.

Et c'est là que ça se corse...

Le portail captif a un serveur ssl porté par un certificat wildcard digicert (*.maisadour.com) [Dans Authentification -> Portail captif] afin que les intervenants externes puisse se...

Voir la suite
Non résolue

VPN IPSEC netasq V8 - Stromshield

Posée par Jean Denisse dans Fonctionnalités et système



Bonjour à tous, je viens vers vous aujourd'hui car je ne comprends pas pourquoi mon vpn IPSEC ( site à site ) ne fonctionne pas.

je sais que netasq V8 n'est plus supporté etcc mais dans mon stormshield même pas il s'initilise et se met en erreur aprés c'est comme si le vpn ne se lançais pas du tout.

 

une idée ?

Merci d'avance.

 

 

 

 

 

Non résolue

Nagios / SNMP

Posée par Michaël dans Administration

Bonjour,

Je monitore des Arkoon (Performance, V6) via Nagios. J'utilise des scripts qui avaient été fournis par Arkoon il y a quelques temps et tout fonctionnait bien jusqu'à ce que je commence à migrer en SNMP v3.

 

Je récupère la liste des services en cours d'exécution ici : iso.3.6.1.2.1.25.4.2.1.2 (je ne l'ai pas inventé, c'était dans les scripts fournis par Arkoon).

Hors, dès que je passe un firewall en SNMPv3, cet OID ne remonte plus le service pluto, alors qu'en SNMPv2, le service est bien remonté.

Je n'ai pas ce soucis avec les autres services que je monitore (mysqld et smtpfwdd), ni même avec la surveillance de la taille des partitions. Seul pluto pose problème.

 

Est-ce qu'il y a une astuce pour pouvoir surveiller le service pluto en SNMPv3 ?

 

Merci d'avance,
Cordialement.

Non résolue

P-XS3 bloqué sur "recovering journal" au boot

Posée par Guillaume

Bonjour,

J'ai un souci avec un P-XS3 qui ne veut plus démarrer.
avec le port console, je vois qu'il bloque à l'étape
[/sbin/fsck.ext3 (1) -- /dev/sd6] fsck.ext3 -a /dev/sda6
Var: recovering journal
Et reste sur cette ligne indéfiniment.

Il bloque toujours sur cette étape même si je passe par:

  • au prompt <Del> or <F2>
    que je prenne la partition normal ou la factory
  • au prompt "Wait 5 sec or press key to enter menu"
    que je passe par Normal boot, Rescue ou Init

 

Une idée de comment le débloquer

Non résolue

multiple VPN vers une Peer Unique

Posée par Julien Renaux dans Trucs et Astuces

Bonjour,

L'objectif est de monter l'architecture suivante :

-2 Subnets sont connectés au Stormshield;

 

-Ces derniers doivent communiquer avec leur pair sur un site distant A' et B', via VPN.

-L'idée étant d'avoir un VPN distinct pour chaque subnet.

-Les points de montage des VPN sont respectivement 2 VIP publiques A et B sur le stormshield.

-En revanche sur le site distant seule une IP publique est présentée (C);

 

Le but est donc de monter de VPN A et B comme suit  :

VPN A :

-Local Network : Sub A

-Remote network : Sub A'

-Remote gateway : IP publique C

-Local gateway : IP publique A

VPN B:

-Local Network : Sub B

-Remote network : Sub B'

-Remote gateway/Peer ID : IP publique C

-Local gateway/Local ID : IP publique B

Les autres paramètres sont laissés à l'identique entre le VPN A et le VPN B.

 

 

 

 

Aujourd'hui après avoir passé plusieurs jours à trifouiller mes configurations VPN, j'en arrive à la conclusion suivante  :  Cette architecture n'est pas possible...

Voir la suite
Non résolue

Alarmes DNS

Posée par Siegfried M. dans Administration

Bonjour,

Depuis la mise à jour en V3 (3.1.2), j'ai beaucoup d'alertes de ce type:

DNS id spoofing

Champ query DNS contradictoire

Savez vous d'ou cela peut provenir?

Merci.

Résolue

Filtrage HTTPS

Posée par Johnny Cash dans Fonctionnalités et système

Bonjour à tous,

 

Je dois mettre en place un filtrage spécifique uniquement pour quelques postes sur mon réseau. Je me suis renseigné sur la mise en place déjà "de base" du filtrage, cela nécessite de filtrer la partie HTTPS car effectivement si on fait un filtrage "simple" on ne filtre que tout ce qui est uniquement HTTP. 

Si j'en réfère à l'article suivant :

http://seleh.fr/netasq-v9-filtrer-le-flux-https/

Une fois les règles effectuées, il suffit de déployer via GPO le certificat sur les machines. Ma question est la suivante :

si je réalise ces règles pour effectuer le filtrage https mais uniquement en définissant dans l'onglet "objet" quelques machines que j'aurai determinées, est-ce que ça va s'appliquer uniquement dessus ? Et pour le reste du parc, il n y aura pas de filtrage ? 

 

Je ne sais pas si c'est clair, n'hésitez pas à me demander des précisions, je vous remercie !

 

 

Résolue

EXPORT d'objet

Posée par Hubert Hla dans Administration

Bonjour à tous

qq sait -il comment exporter les objets d'un SN700 en V2.3 ? (les machines,les listes url ...)

pour les importer sur un autre

merci

à part la sauvegarde complète bien sur

Résolue

Sauvegarde logs proxy web SNS 3

Posée par Siegfried M.

Bonjour,

Comment puis-je sauvegarder les logs de mon firewall? J'aimerais exporter toutes les traces concernant le filtrage http pour les archiver.

Merci pour votre aide.

 

Résolue

SMC - Rattachement machine virtuelle

Posée par Jpperget dans Appliances virtuelles

Bonjour,

J'ai une question concernant le rattachement d'une VM Stormshield (V200) à un serveur SMC.

Dans la documentation, il est indiqué que le rattachement se fait par clé USB (contenant le package de rattachement et la config de backup).

Dans le cas d'une VM, quelle est la méthode/procédure de rattachement ?

Dans le cas Arkoon/AMC, le rattachement se faisait en commande (via minarkconf), y a t il l'équivalement sur Stormshield ? ou est ce prévu ?

Merci de vos retours.

Résolue

Stormshield et multicast

Posée par Yannick Dalencon dans Administration

Bonjour,

J"essaye tant bien que mal de faire du routage multicast statique sur un SN300 en v3.2.1

J'ai défini l'objet que représente mon groupe multicast, l'interface source et celle de destination. Cependant ça ne fonctionne pas.

Bien sur le routage multicast statique est activé, et ma règle est activée aussi.

Ai-je manqué quelques choses?

 

Merci

Résolue

Admin From et ajout d'une route statique

Posée par Yann Le Normand dans Administration

Bonjour,

Je souhaite administrer un Arkoon FAST 360 PS-4 version 6.0/12 depuis mon poste de travail et j'ai donc renseigné la plage réseau dans le "Admin From" de Minarkconf sans préciser l'interface d'entrée.

Cependant, pour que cela fonctionne, il faut absolument ajouter une route statique sur le pare-feu pour que les flux d'admin repasse par la même interface.

Mon PC a l'IP 10.44.202.221 et l'interface eth0 de l'Arkoon par laquelle je souhaite l'administrer 172.20.6.32.

Sans la route statique, voici le tcpdump sur l'interface d'entrée des flux d'admin :

root@constantine:/root> tcpdump -n -i eth0 host 10.44.202.221
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:53:51.733430 IP 10.44.202.221.49709 > 172.20.6.32.822: S 3766689029:3766689029(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>
10:53:51.736643 arp who-has 10.44.202.221 tell 172.20.6.32
10:53:52.736673 arp...

Voir la suite
Résolue

SN 210 sur Lien fibre Orange

Posée par Virgil Astran dans Fonctionnalités et système

bonjour,

Je viens cherchcer de l'aide pour l'implementation d'une connexion C2E sur un SN210 3.21

Les STAS C2E m' oblige à utiliser un vlan a l’accès (vlan 2900),et de tagguer 802.1p (COS 2) les flux sortants du routeur.

j'ai essayer mais sans succés ( voir pj )

Merci de votre retour.

cdt

Résolue

Downgrade de version Arkoon

Posée par Lgrain25 dans Administration

Bonjour,

J'ai un arkoon en version 5 qui est maitre de configuration. Celui-ci a laché et j'ai recu un arkoon de remplacement mais qui est en version 6. Je n'arrive pas à trouver sur Arkoon.net de procédure pour le downgrade version.

Y aurait-il quelqu'un qui aurait le lien ?

Merci d'avance et bonne journée.

Résolue

Routage SN210 / CISCO

Posée par Virgil Astran dans Fonctionnalités et système

Bonsoir,

j'ai un routeur cisco enf frontal de mon lien fibre.

Je souhaite installé un SN210 entre mon LAN et le cisco.

Faut il ajouter une route statique ? Si oui de quelle genre car je seche

Merci d'avance.

cdt

virgil

Résolue

Ressources arkoon

Posée par Benoît B dans Administration

Bonjour,

Clients arkoon depuis 5 ans, nous allons basculer prochainement sur stormshield.

Notre parc arkoon n'avait pas été mis à jour depuis la 6.0.2 et je cherche actuellement à récuperer les dernières version fast360, ainsi que l'admin suite, mais il est maintenant impossible d'accèder au site arkoon https://support-https.arkoon.net/

Les outils d'admin et les versions sont elles encore disponibles?

 

Merci d'avance

--

Benoît

Résolue

IPSEC

Posée par Sébastien Malescot dans Fonctionnalités et système

Bonjour à tous petites question ipsec.

 

que veux dire l'erreur suivante :

 

PEER REJECTED local authentification.

 

merci d'avance.

A bientôt.

Cordialement

 

Résolue

OpenVPN Client

Posée par Laurent Casenave dans Appliances virtuelles

Bonjour,

J'utilise une appliance virtuelle U-50A.

Voilà j'ai une petie question, j'ai un firewall distant avec un serveur openvpn, je voulais savoir si avec mon appliance je pouvais me connecter en client openvpn.

J'ai fait plusieurs recherches sur internet mais je ne trouve aucune option openvpn!!!

Il y a que vpn ipsec !!! 

Auriez vous une piste ?

Merci d'avance

Laurent

Résolue

SHA256 et certificat auto signé (stormshield)

Posée par Jean Korn dans Administration

Bonjour

j'ai un Stormshield v 2.5.1,

je rencontre des problèmes avec le certificat autosigné en SHA-1 sur Google Chrome et les iDevices sous iOS 11.

Je souhaite donc mettre à jour mes certificats en SHA-256.

pour le certificat "serveur" avec cette commande

"setconf /Firewall/ConfigFiles/Certificates/SSL\ proxy\ default\ authority/CA.conf server digest sha256"

cela me génère bien un certificat en SHA256

 En revanche, le certificat racine reste en SHA1. Comment peut-on faire pour générer un certificat racine autosigné en SHA256 ?

Merci

Résolue

Restreindre l'accès à un serveur DMZ à l'aide d'une règle de filtrage par nom d'utilisateur en tant que source.

Posée par Vince Bjm dans Fonctionnalités et système

Bonjour à tous, 

J'ai pour but ce créer et configurer une DMZ sur le 8ème port sur un pare-feu Netasq U150S-A.

Dans cette DMZ j'aimerai y intégrer un serveur d'application et restreindre l'accès à ce réseau à seulement 3 utilisateurs.

J'ai donc procédé à la dernière mise à jour du pare-feu (9.1.9), j'ai créé différentes règles de Filtrage et Nat, l'accès à internet par cette DMZ est fonctionnel et pour restreindre l'accès, j'ai donc utilisé la liaison avec l'Active Directory.

Voici la règle : 
Etat       Action        Source          Destination      Port destination  Inspection de sécurité
 On        Passer    {nom.prénom}     SRV-TEST-DMZ             Any                       Firewall

Le but est de donner l'accès a la DMZ par nom d'utilisateur (de l'AD) et non pas par adresse IP fixe ou par PC, ainsi l'utilisateur pourra se connecter à distance sur le serveur DMZ sur n'importe quel poste grâce à sa session...

Voir la suite
Résolue

Proxy SSL

Posée par Laurent Casenave dans Appliances virtuelles

Bonsoir,

J'utilise une appliance virtuelle V50-A en version 3.2.1.

Je suis en train de faire des tests sur le proxy ssl, ça marche trés bien avec internet explorer.

Par contre j'ai un problème avec firefox erreur : "Ce site a recours à HTTP Strict Transport Security (HSTS) pour indiquer à Firefox de n’établir qu’une connexion sécurisée. Ainsi il n’est pas possible d’ajouter d’exception pour ce certificat." (j'ai ce message d'erreur avec toutes les recherches en HTTPS)

J'ai aussi une erreur avec Kaspersky: "Le certifcat du serveur est suspect"

Voilà la configuration que j'ai mis en place:

Les régles de firewall :

régles_FW.jpg

Le filtrage_ssl:

Filtrage_ssl.jpg

J'ai installé le certificat de la pki "SSL proxy default authority" le fichier .der, sur ma VM de test dans la partie "Autorités de certification racines de confiance"

Sur le REALTIME MONITOR voici les message d'erreur qu'il me retourne:

REALTIME_MONITOR.jpg

Auriez vous une idée pour résoudre mon...

Voir la suite
Résolue

SN310 et H323

Posée par Alain Bosco dans Administration

Bonjour.

Suite à la mise en place d'un SN310 firewall 3.2.1 je rencontre des problèmes de visioconférence en H323.
A priori avant, avec un routeur plus basique, il n'y avait pas de problème particulier.

Lors d'une visioconférence le son se coupe après quelques minutes environ.
Un redémarrage de la visioconférence résout le problème pour à nouveau quelques minutes.
Ma config me semble correcte.

J'ai réalisé plusieurs essais (avec ou sans QOS, etc ...) et le problème persiste.

Avez-vous une retour d'expérience sur le H323 avec ces produits ?


 

Résolue

Importation blacklist

Posée par Nico ... dans Administration

Bonjour,

 

nosus testons des Stormshield SN510 afin de remplacer nos Arkoon.

Nous deovons faire appliquer des listes de blocages url et d'@ip qui représentent des fichiers de 5000 lignes environ.

Sur les Arkoon nous arrivions à imoporter ces fichiers en .csv, mais je n'ai pas trouvé comment faire sur les Stormshield.

Merci d'avance pour votre aide.

Cordialement, Nicolas.

Résolue

Signatures de protection contextuelles personnalisées

Posée par Taoufik Mahir dans Présentation des dernières fonctionnalités

Bonjour,

Je ne trouve aucune documentation sur le fonctionnement de ce type de signtaure.

J'avais cru comprendre via un partenaire (qui lui aussi croit comprendre via le support stromshield) qu'il s'agissait de signatures basées sur le contenu non pas  des URL mais des paquets qui transitent (par exemple une chaîne de caractère repérée via  WireShark pour le contrôle de l'usage d'iune application spécifique, ce qui m'intéresse et est par exemple possible dans la SonicWall).

Dans la note descriptive de la V 3.2.1 c'est mentionné très brièvement (comme un cheveux sur la soupe) : il est question d'une machine d'hébergement des signatures personnalisées.

Où peut-on trouver de la doc sérieuse ? 

Merci.

 

Résolue

Stormshield V50 - 2 interfaces disponibles sur 4 détectées...

Posée par Marc Milan dans Appliances virtuelles

Bonjour à tous,

 

J'ai un souci avec ma VM STORMSHIELD :

FW V50-A (M / EUROPE)
Firewall software version 3.2.0 VM-RELEASE

J'ai déclaré dans l'hyperviseur 4 interfaces (E1000), il les détecte bien : (extract DMESG)

[1] pci2: <network, ethernet> at device 0.0 (no driver attached)
[1] pci2: <network, ethernet> at device 2.0 (no driver attached)
[1] pci2: <network, ethernet> at device 3.0 (no driver attached)
[1] pci2: <network, ethernet> at device 4.0 (no driver attached)

 

Mais il n'en active que 2 :

[3] em0: <Intel(R) PRO/1000 Legacy Network Connection 1.0.5> port 0x2400-0x243f mem 0xef5c0000-0xef5dffff,0xefff0000-0xefffffff irq 18 at device 0.0 on pci2
[4] em1: <Intel(R) PRO/1000 Legacy Network Connection 1.0.5> port 0x2440-0x247f mem 0xef5a0000-0xef5bffff,0xeffe0000-0xeffeffff irq 16 at device 2.0 on pci2

Dans l'interface web je ne trouve pas de réglage "limitant" à 2 interfaces actives et je n'ai pas d'interfaces inactives présentées dans...

Voir la suite
Messages d'alerte