233 Membres 1105 Contributions

Open Community

Questions

Non résolue

SHA256 et certificat auto signé (stormshield)

Posée par Jean Korn dans Administration

Bonjour

j'ai un Stormshield v 2.5.1,

je rencontre des problèmes avec le certificat autosigné en SHA-1 sur Google Chrome et les iDevices sous iOS 11.

Je souhaite donc mettre à jour mes certificats en SHA-256.

pour le certificat "serveur" avec cette commande

"setconf /Firewall/ConfigFiles/Certificates/SSL\ proxy\ default\ authority/CA.conf server digest sha256"

cela me génère bien un certificat en SHA256

 En revanche, le certificat racine reste en SHA1. Comment peut-on faire pour générer un certificat racine autosigné en SHA256 ?

Merci

Non résolue

Classification d'une URL

Posée par Karl dans Administration

Bonjour,

Notre stormshield classe l'url d'un webmail interne en tant que "Malware".

Avant de mettre cette adresse en liste blanche, j'aurais voulu savoir si il était possible de connaitre la raison pour laquelle le SNS effectuait cette classification.

Merci

Non résolue

Personnaliser la géolocalisation

Posée par Michaël dans Administration

Bonjour,

Sur SNS (et/ou SVC), serait-il possible, par un moyen détourné, de personnaliser la géolocalisation ? (Celle utilisée dans les rapports, pour afficher une carte mondiale).

Nos firewalls ne sont pas en frontal d'internet, nous souhaterions donc pouvoir remplacer la base de géolocalisation par notre plan d'adressage interne (par exemple, pouvoir indiquer que le 10.128.0.0/16 correspond à l'Allemagne, 10.223.11.0/24 correspond à l'Inde, ...)

Je sais que cette possiblité n'est pas offerte via la gui, mais je me dis qu'en grattant les bons fichiers, ça doit être possible, ce ne sont que des IP à modifier. Je suis prêt à tout faire à la main, il faudrait juste que je sâche où modifier, si c'est possible.

 

Cela nous permettrait, même sur notre réseau interne, de pourvoir surveiller plus efficacement certains pays.

Merci d'avance :)
Cordialement.

Non résolue

Restreindre l'accès à un serveur DMZ à l'aide d'une règle de filtrage par nom d'utilisateur en tant que source.

Posée par Vince Bjm dans Fonctionnalités et système

Bonjour à tous, 

J'ai pour but ce créer et configurer une DMZ sur le 8ème port sur un pare-feu Netasq U150S-A.

Dans cette DMZ j'aimerai y intégrer un serveur d'application et restreindre l'accès à ce réseau à seulement 3 utilisateurs.

J'ai donc procédé à la dernière mise à jour du pare-feu (9.1.9), j'ai créé différentes règles de Filtrage et Nat, l'accès à internet par cette DMZ est fonctionnel et pour restreindre l'accès, j'ai donc utilisé la liaison avec l'Active Directory.

Voici la règle : 
Etat       Action        Source          Destination      Port destination  Inspection de sécurité
 On        Passer    {nom.prénom}     SRV-TEST-DMZ             Any                       Firewall

Le but est de donner l'accès a la DMZ par nom d'utilisateur (de l'AD) et non pas par adresse IP fixe ou par PC, ainsi l'utilisateur pourra se connecter à distance sur le serveur DMZ sur n'importe quel poste grâce à sa session...

Voir la suite
Non résolue

SSH TCP Forwarding

Posée par Entrax Entrax dans Administration

Hello,

 

Est-il possible de configurer la directive AllowTcpForwarding dans la configuration SSH de boitiers Stormshield SN ?

Je souhaite accèder au portail d'administration via tunnel SSH (ssh -L port_local:localhost:443 ....).

Cependant, je n'ai rien trouvé pour configurer le TCP Forwarding dans la WebUI et le fichier /etc/ssh/sshd_config est réécris au reboot.

Sans cela , un joli :

'channel 3: open failed: administratively prohibited: open failed'

 

Thanks,

Non résolue

Interco publique avec interface VLAN

Posée par Entrax Entrax dans Administration

Hello all,

J'administre depuis peu des SN510 & + et je suis resté avec le même problème sur chacun d'eux.

 

J'ai mon routeur A et mon SNXXX B (version 3.2.1).

Je souhaite faire une interco publique entre les deux sur vlan.

 

Device A : Interface 1 porte l'ip publique : X.X.X.1 en VLAN 3.

Device B :

- Interface VLAN1 qui porte l'ip publique X.X.X.2 en VLAN 3;

- Gateway de l'interface VLAN1 : X.X.X.1;

- Route par défaut : IP pub du device A.

 

Tests :

- Depuis le device A :

>> ping interface int1 X.X.X.2 : OK

>> telnet interface int1 X.X.X.2 port 443 : KO ( mais je vois le flux arrivé en tcpdump sur le SN)

>> ping interface int1 8.8.8.8 : OK

 

- Depuis le device B :

>> ping -S IP_VLAN1 X.X.X.1 : OK

>> ping -S IP_VLAN1 8.8.8.8 : KO - "Ping: sendto: Network is down"

 

Dans mes règles, j'autorise bien l'icmp et mon routeur à venir en 443 pour les tests.

J'ai ajouté également des règles pour autorisé un device C pour les tests mais les...

Voir la suite
Non résolue

Configuration QoS

Posée par Zbigniew Luszczyk dans Administration

Bonjour à tous

L'équipement concerné est un SN2000.

Le problème: la bande passante Internet saturée.

Nous avons quelques applications en mode SaaS. Il arrive que le temps de réponse de ces applications est inacceptable. Je me suis aperçu que certains utilisateurs saturent la bande passante Internet. De quelle façon je peux garantir la bande passante pour les applications SaaS ?

Merci d’avance pour votre aide.

Résolue

Proxy SSL

Posée par Laurent Casenave dans Appliances virtuelles

Bonsoir,

J'utilise une appliance virtuelle V50-A en version 3.2.1.

Je suis en train de faire des tests sur le proxy ssl, ça marche trés bien avec internet explorer.

Par contre j'ai un problème avec firefox erreur : "Ce site a recours à HTTP Strict Transport Security (HSTS) pour indiquer à Firefox de n’établir qu’une connexion sécurisée. Ainsi il n’est pas possible d’ajouter d’exception pour ce certificat." (j'ai ce message d'erreur avec toutes les recherches en HTTPS)

J'ai aussi une erreur avec Kaspersky: "Le certifcat du serveur est suspect"

Voilà la configuration que j'ai mis en place:

Les régles de firewall :

régles_FW.jpg

Le filtrage_ssl:

Filtrage_ssl.jpg

J'ai installé le certificat de la pki "SSL proxy default authority" le fichier .der, sur ma VM de test dans la partie "Autorités de certification racines de confiance"

Sur le REALTIME MONITOR voici les message d'erreur qu'il me retourne:

REALTIME_MONITOR.jpg

Auriez vous une idée pour résoudre mon...

Voir la suite
Résolue

SN310 et H323

Posée par Alain Bosco dans Administration

Bonjour.

Suite à la mise en place d'un SN310 firewall 3.2.1 je rencontre des problèmes de visioconférence en H323.
A priori avant, avec un routeur plus basique, il n'y avait pas de problème particulier.

Lors d'une visioconférence le son se coupe après quelques minutes environ.
Un redémarrage de la visioconférence résout le problème pour à nouveau quelques minutes.
Ma config me semble correcte.

J'ai réalisé plusieurs essais (avec ou sans QOS, etc ...) et le problème persiste.

Avez-vous une retour d'expérience sur le H323 avec ces produits ?


 

Résolue

Importation blacklist

Posée par Nico ... dans Administration

Bonjour,

 

nosus testons des Stormshield SN510 afin de remplacer nos Arkoon.

Nous deovons faire appliquer des listes de blocages url et d'@ip qui représentent des fichiers de 5000 lignes environ.

Sur les Arkoon nous arrivions à imoporter ces fichiers en .csv, mais je n'ai pas trouvé comment faire sur les Stormshield.

Merci d'avance pour votre aide.

Cordialement, Nicolas.

Résolue

Signatures de protection contextuelles personnalisées

Posée par Taoufik Mahir dans Présentation des dernières fonctionnalités

Bonjour,

Je ne trouve aucune documentation sur le fonctionnement de ce type de signtaure.

J'avais cru comprendre via un partenaire (qui lui aussi croit comprendre via le support stromshield) qu'il s'agissait de signatures basées sur le contenu non pas  des URL mais des paquets qui transitent (par exemple une chaîne de caractère repérée via  WireShark pour le contrôle de l'usage d'iune application spécifique, ce qui m'intéresse et est par exemple possible dans la SonicWall).

Dans la note descriptive de la V 3.2.1 c'est mentionné très brièvement (comme un cheveux sur la soupe) : il est question d'une machine d'hébergement des signatures personnalisées.

Où peut-on trouver de la doc sérieuse ? 

Merci.

 

Résolue

Stormshield V50 - 2 interfaces disponibles sur 4 détectées...

Posée par Marc Milan dans Appliances virtuelles

Bonjour à tous,

 

J'ai un souci avec ma VM STORMSHIELD :

FW V50-A (M / EUROPE)
Firewall software version 3.2.0 VM-RELEASE

J'ai déclaré dans l'hyperviseur 4 interfaces (E1000), il les détecte bien : (extract DMESG)

[1] pci2: <network, ethernet> at device 0.0 (no driver attached)
[1] pci2: <network, ethernet> at device 2.0 (no driver attached)
[1] pci2: <network, ethernet> at device 3.0 (no driver attached)
[1] pci2: <network, ethernet> at device 4.0 (no driver attached)

 

Mais il n'en active que 2 :

[3] em0: <Intel(R) PRO/1000 Legacy Network Connection 1.0.5> port 0x2400-0x243f mem 0xef5c0000-0xef5dffff,0xefff0000-0xefffffff irq 18 at device 0.0 on pci2
[4] em1: <Intel(R) PRO/1000 Legacy Network Connection 1.0.5> port 0x2440-0x247f mem 0xef5a0000-0xef5bffff,0xeffe0000-0xeffeffff irq 16 at device 2.0 on pci2

Dans l'interface web je ne trouve pas de réglage "limitant" à 2 interfaces actives et je n'ai pas d'interfaces inactives présentées dans...

Voir la suite
Résolue

VPN IPSEC LAN 2 LAN en mode bridge

Posée par Aymeric D dans Fonctionnalités et système

 

 

 

Salut à tous,

Nous intégrons une nouvelle structure qui possède un Stormshield SN200 v3.2.1.

 J'essaye de monter un tunnel IPSEC avec notre Fortigate. (j'ai déja des tunnels en production sur ce pare-feu)

 La config sur le site du stormshield est:

livebox pro 192.168.1.1 <-> stormshield en bridge 192.168.1.240 <-> switch lan 192.168.1.0

Première question est-ce que l'on peut monter des tunnels en mode bridge ?

J'ai copier une config ikev1 psk qui tourne sur mon fortinet, mais le tunnel ne monte pas.

Surtout, je n'ai aucun trace sur le stormshield. Sur mon fortinet, je vois bien les traces d'initiator vers le stormshield, mais apparement, pas de réponse.

quelque screenshots:

 

Merci

Non résolue

Portail captif LAN/WAN/WIFI

Posée par Karl dans Administration

Bonjour,

Je n'arrive pas à configurer "proporement" mes portails d'authentifications sur mes appliances Stormshield. Quelque-chose doit m'échaper.

Voici la configuration que nous déployons régulièrement sur nos sites :

Cluster de SN300 ou 500

Une interface WAN, pour sortir sur internet

Une interface LAN, qui donne accès au réseau d'entreprise via un VPN IPsec

Une interface Wifi, pour offrir un accès internet grand public, non connecté au réseau d'entreprise.

J'aimerais mettre en place, dans un premier temps, une authentification sur les accès LAN et WIFI.

Pour l'accès LAN, j'utilise la méthode SSO et j'aimerais proposer le portail captif pour des ordinateurs hors domaines qui viennent se connecter sur le LAN.

Pour l'accès WIFI, j'utilise la méthode Guest.

Et c'est là que ça se corse...

Le portail captif a un serveur ssl porté par un certificat wildcard digicert (*.maisadour.com) [Dans Authentification -> Portail captif] afin que les intervenants externes puisse se...

Voir la suite
Non résolue

VPN IPSEC netasq V8 - Stromshield

Posée par Jean Denisse dans Fonctionnalités et système



Bonjour à tous, je viens vers vous aujourd'hui car je ne comprends pas pourquoi mon vpn IPSEC ( site à site ) ne fonctionne pas.

je sais que netasq V8 n'est plus supporté etcc mais dans mon stormshield même pas il s'initilise et se met en erreur aprés c'est comme si le vpn ne se lançais pas du tout.

 

une idée ?

Merci d'avance.

 

 

 

 

 

Résolue

Certificat SMC/SVC

Posée par Michaël dans Administration

Bonjour,

Je ne trouve pas comment intégrer un certificat issu d'une PKI externe dans SMC et SVC (Je parle du certificat qui est présenté lors de la connexion à la page web d'admin).

 

J'ai bien trouvé (sur SMC) une commande nommée fwadmin-install-certificate, mais l'aide de cette commande indique que c'est pour envoyer un certificat sur un firewall SNS, et non pour SMC/SVC.

Je n'ai trouvé aucun chapitre dans le guide d'administration qui semble traiter de ce sujet, mais je suis peut-être passé à côté.

Comment faire SVP ?

 

Cordialement.

Résolue

Option forwarding Stormshield v50

Posée par Foutatoro dans Fonctionnalités et système

Bonjour à tous,

J'ai mis en place la topologie suivante "réseau-1 " <--> "stormshield" <--> "resau distant", 
je veux que le stomshield fasse office de routeur afin de permettre aux clients du réseau-1 d'atteindre le réseau distant.

Le réseau distant est atteignable depuis la stormshield mais je n'arrive pas à activer l'option forwarding pour que stormshield fasse suivre les paquets du reseau-1.

Quelqu'un pourrait me suggerer une solution à ce probleme ?

Cordialement

Non résolue

Nagios / SNMP

Posée par Michaël dans Administration

Bonjour,

Je monitore des Arkoon (Performance, V6) via Nagios. J'utilise des scripts qui avaient été fournis par Arkoon il y a quelques temps et tout fonctionnait bien jusqu'à ce que je commence à migrer en SNMP v3.

 

Je récupère la liste des services en cours d'exécution ici : iso.3.6.1.2.1.25.4.2.1.2 (je ne l'ai pas inventé, c'était dans les scripts fournis par Arkoon).

Hors, dès que je passe un firewall en SNMPv3, cet OID ne remonte plus le service pluto, alors qu'en SNMPv2, le service est bien remonté.

Je n'ai pas ce soucis avec les autres services que je monitore (mysqld et smtpfwdd), ni même avec la surveillance de la taille des partitions. Seul pluto pose problème.

 

Est-ce qu'il y a une astuce pour pouvoir surveiller le service pluto en SNMPv3 ?

 

Merci d'avance,
Cordialement.

Résolue

DNS à traver le stormshield.

Posée par Sébastien Malescot dans Fonctionnalités et système

Bonjour à tous petite question assez complexe.

 

 le firewall stormshield bloque t'il les reqûetes dns.

 

je m'explique jai un serveur ad AD + DNS sur une patte Vlan de mon stormshield (192.168.13.3)

quand sur le reseau 192.1638.13.0/255.255.255.0 je met en DNS par defaut L'ip de mon serveur tout fonctionne correctement.

 

quand sur mon reseau relié à une autre patte de mon firwall je met en DNS par default l'ip 192.168.13.3 rien ne work ( sauf quelques entrée dns lol )

 

ps : je me demande si le problème viens de mon stormshield ou de mon serveur.

 

Merci d'avance.

A bientôt.

Cordialement

Résolue

[FAST360] Y a t-il un outil capable de générer un fichier AKX XML depuis un fichier de backup

Posée par Alegrand

Est-il possible de récupérer un fichier de configuration XML de type AKX depuis un fichier de backup touvé dans :

/var/config_card.backup/configcard-2017-07-11-xxxxx.bak.tgz

Après avoir perdu la partition /dev/sda6 je n'ai plus de version akx de la configuration. Je ne peux donc plus la réinjecter sur un Arkoon Fast360  de secours.

Merci pour vos réponses.

Non résolue

SHA256 et certificat auto signé (stormshield)

Posée par Jean Korn dans Administration

Bonjour

j'ai un Stormshield v 2.5.1,

je rencontre des problèmes avec le certificat autosigné en SHA-1 sur Google Chrome et les iDevices sous iOS 11.

Je souhaite donc mettre à jour mes certificats en SHA-256.

pour le certificat "serveur" avec cette commande

"setconf /Firewall/ConfigFiles/Certificates/SSL\ proxy\ default\ authority/CA.conf server digest sha256"

cela me génère bien un certificat en SHA256

 En revanche, le certificat racine reste en SHA1. Comment peut-on faire pour générer un certificat racine autosigné en SHA256 ?

Merci

Non résolue

Classification d'une URL

Posée par Karl dans Administration

Bonjour,

Notre stormshield classe l'url d'un webmail interne en tant que "Malware".

Avant de mettre cette adresse en liste blanche, j'aurais voulu savoir si il était possible de connaitre la raison pour laquelle le SNS effectuait cette classification.

Merci

Non résolue

Personnaliser la géolocalisation

Posée par Michaël dans Administration

Bonjour,

Sur SNS (et/ou SVC), serait-il possible, par un moyen détourné, de personnaliser la géolocalisation ? (Celle utilisée dans les rapports, pour afficher une carte mondiale).

Nos firewalls ne sont pas en frontal d'internet, nous souhaterions donc pouvoir remplacer la base de géolocalisation par notre plan d'adressage interne (par exemple, pouvoir indiquer que le 10.128.0.0/16 correspond à l'Allemagne, 10.223.11.0/24 correspond à l'Inde, ...)

Je sais que cette possiblité n'est pas offerte via la gui, mais je me dis qu'en grattant les bons fichiers, ça doit être possible, ce ne sont que des IP à modifier. Je suis prêt à tout faire à la main, il faudrait juste que je sâche où modifier, si c'est possible.

 

Cela nous permettrait, même sur notre réseau interne, de pourvoir surveiller plus efficacement certains pays.

Merci d'avance :)
Cordialement.

Non résolue

Restreindre l'accès à un serveur DMZ à l'aide d'une règle de filtrage par nom d'utilisateur en tant que source.

Posée par Vince Bjm dans Fonctionnalités et système

Bonjour à tous, 

J'ai pour but ce créer et configurer une DMZ sur le 8ème port sur un pare-feu Netasq U150S-A.

Dans cette DMZ j'aimerai y intégrer un serveur d'application et restreindre l'accès à ce réseau à seulement 3 utilisateurs.

J'ai donc procédé à la dernière mise à jour du pare-feu (9.1.9), j'ai créé différentes règles de Filtrage et Nat, l'accès à internet par cette DMZ est fonctionnel et pour restreindre l'accès, j'ai donc utilisé la liaison avec l'Active Directory.

Voici la règle : 
Etat       Action        Source          Destination      Port destination  Inspection de sécurité
 On        Passer    {nom.prénom}     SRV-TEST-DMZ             Any                       Firewall

Le but est de donner l'accès a la DMZ par nom d'utilisateur (de l'AD) et non pas par adresse IP fixe ou par PC, ainsi l'utilisateur pourra se connecter à distance sur le serveur DMZ sur n'importe quel poste grâce à sa session...

Voir la suite
Non résolue

SSH TCP Forwarding

Posée par Entrax Entrax dans Administration

Hello,

 

Est-il possible de configurer la directive AllowTcpForwarding dans la configuration SSH de boitiers Stormshield SN ?

Je souhaite accèder au portail d'administration via tunnel SSH (ssh -L port_local:localhost:443 ....).

Cependant, je n'ai rien trouvé pour configurer le TCP Forwarding dans la WebUI et le fichier /etc/ssh/sshd_config est réécris au reboot.

Sans cela , un joli :

'channel 3: open failed: administratively prohibited: open failed'

 

Thanks,

Non résolue

Interco publique avec interface VLAN

Posée par Entrax Entrax dans Administration

Hello all,

J'administre depuis peu des SN510 & + et je suis resté avec le même problème sur chacun d'eux.

 

J'ai mon routeur A et mon SNXXX B (version 3.2.1).

Je souhaite faire une interco publique entre les deux sur vlan.

 

Device A : Interface 1 porte l'ip publique : X.X.X.1 en VLAN 3.

Device B :

- Interface VLAN1 qui porte l'ip publique X.X.X.2 en VLAN 3;

- Gateway de l'interface VLAN1 : X.X.X.1;

- Route par défaut : IP pub du device A.

 

Tests :

- Depuis le device A :

>> ping interface int1 X.X.X.2 : OK

>> telnet interface int1 X.X.X.2 port 443 : KO ( mais je vois le flux arrivé en tcpdump sur le SN)

>> ping interface int1 8.8.8.8 : OK

 

- Depuis le device B :

>> ping -S IP_VLAN1 X.X.X.1 : OK

>> ping -S IP_VLAN1 8.8.8.8 : KO - "Ping: sendto: Network is down"

 

Dans mes règles, j'autorise bien l'icmp et mon routeur à venir en 443 pour les tests.

J'ai ajouté également des règles pour autorisé un device C pour les tests mais les...

Voir la suite
Non résolue

Configuration QoS

Posée par Zbigniew Luszczyk dans Administration

Bonjour à tous

L'équipement concerné est un SN2000.

Le problème: la bande passante Internet saturée.

Nous avons quelques applications en mode SaaS. Il arrive que le temps de réponse de ces applications est inacceptable. Je me suis aperçu que certains utilisateurs saturent la bande passante Internet. De quelle façon je peux garantir la bande passante pour les applications SaaS ?

Merci d’avance pour votre aide.

Non résolue

Portail captif LAN/WAN/WIFI

Posée par Karl dans Administration

Bonjour,

Je n'arrive pas à configurer "proporement" mes portails d'authentifications sur mes appliances Stormshield. Quelque-chose doit m'échaper.

Voici la configuration que nous déployons régulièrement sur nos sites :

Cluster de SN300 ou 500

Une interface WAN, pour sortir sur internet

Une interface LAN, qui donne accès au réseau d'entreprise via un VPN IPsec

Une interface Wifi, pour offrir un accès internet grand public, non connecté au réseau d'entreprise.

J'aimerais mettre en place, dans un premier temps, une authentification sur les accès LAN et WIFI.

Pour l'accès LAN, j'utilise la méthode SSO et j'aimerais proposer le portail captif pour des ordinateurs hors domaines qui viennent se connecter sur le LAN.

Pour l'accès WIFI, j'utilise la méthode Guest.

Et c'est là que ça se corse...

Le portail captif a un serveur ssl porté par un certificat wildcard digicert (*.maisadour.com) [Dans Authentification -> Portail captif] afin que les intervenants externes puisse se...

Voir la suite
Non résolue

VPN IPSEC netasq V8 - Stromshield

Posée par Jean Denisse dans Fonctionnalités et système



Bonjour à tous, je viens vers vous aujourd'hui car je ne comprends pas pourquoi mon vpn IPSEC ( site à site ) ne fonctionne pas.

je sais que netasq V8 n'est plus supporté etcc mais dans mon stormshield même pas il s'initilise et se met en erreur aprés c'est comme si le vpn ne se lançais pas du tout.

 

une idée ?

Merci d'avance.

 

 

 

 

 

Non résolue

Nagios / SNMP

Posée par Michaël dans Administration

Bonjour,

Je monitore des Arkoon (Performance, V6) via Nagios. J'utilise des scripts qui avaient été fournis par Arkoon il y a quelques temps et tout fonctionnait bien jusqu'à ce que je commence à migrer en SNMP v3.

 

Je récupère la liste des services en cours d'exécution ici : iso.3.6.1.2.1.25.4.2.1.2 (je ne l'ai pas inventé, c'était dans les scripts fournis par Arkoon).

Hors, dès que je passe un firewall en SNMPv3, cet OID ne remonte plus le service pluto, alors qu'en SNMPv2, le service est bien remonté.

Je n'ai pas ce soucis avec les autres services que je monitore (mysqld et smtpfwdd), ni même avec la surveillance de la taille des partitions. Seul pluto pose problème.

 

Est-ce qu'il y a une astuce pour pouvoir surveiller le service pluto en SNMPv3 ?

 

Merci d'avance,
Cordialement.

Non résolue

P-XS3 bloqué sur "recovering journal" au boot

Posée par Guillaume

Bonjour,

J'ai un souci avec un P-XS3 qui ne veut plus démarrer.
avec le port console, je vois qu'il bloque à l'étape
[/sbin/fsck.ext3 (1) -- /dev/sd6] fsck.ext3 -a /dev/sda6
Var: recovering journal
Et reste sur cette ligne indéfiniment.

Il bloque toujours sur cette étape même si je passe par:

  • au prompt <Del> or <F2>
    que je prenne la partition normal ou la factory
  • au prompt "Wait 5 sec or press key to enter menu"
    que je passe par Normal boot, Rescue ou Init

 

Une idée de comment le débloquer

Non résolue

multiple VPN vers une Peer Unique

Posée par Julien Renaux dans Trucs et Astuces

Bonjour,

L'objectif est de monter l'architecture suivante :

-2 Subnets sont connectés au Stormshield;

 

-Ces derniers doivent communiquer avec leur pair sur un site distant A' et B', via VPN.

-L'idée étant d'avoir un VPN distinct pour chaque subnet.

-Les points de montage des VPN sont respectivement 2 VIP publiques A et B sur le stormshield.

-En revanche sur le site distant seule une IP publique est présentée (C);

 

Le but est donc de monter de VPN A et B comme suit  :

VPN A :

-Local Network : Sub A

-Remote network : Sub A'

-Remote gateway : IP publique C

-Local gateway : IP publique A

VPN B:

-Local Network : Sub B

-Remote network : Sub B'

-Remote gateway/Peer ID : IP publique C

-Local gateway/Local ID : IP publique B

Les autres paramètres sont laissés à l'identique entre le VPN A et le VPN B.

 

 

 

 

Aujourd'hui après avoir passé plusieurs jours à trifouiller mes configurations VPN, j'en arrive à la conclusion suivante  :  Cette architecture n'est pas possible...

Voir la suite
Non résolue

Alarmes DNS

Posée par Siegfried M. dans Administration

Bonjour,

Depuis la mise à jour en V3 (3.1.2), j'ai beaucoup d'alertes de ce type:

DNS id spoofing

Champ query DNS contradictoire

Savez vous d'ou cela peut provenir?

Merci.

Non résolue

Comportement IPS - Protocole Skype détecté. Skype request on SSL.

Posée par Taoufik Mahir dans Securité

Bonjour,

L'IPS de notre Stromshield SN910 aussi bien en veriosn 3.1.2 qu'en 3.0.3 drope des flux avec l'alerte "Protocole Skype détecté (Skype request on SSL)" cette signature de l'IPS sur les flux sortants est considérée comme Majeure et par défaut elle est en Interdit.

Cela se produit alors qu'il s'agit de navigation simple et depuis des machines très diverses sans skype ni quoi que ce soit. On a effectué un test avec une machine en l'état configuration usine sortie du carton.

Le support avait préconisé au départ un upgarde vers la 3.1.2 mais malgré la mise à jour, cela persiste.

Dans l'attente de la réponse du support. Est-ce queqlqu'un a déjà vu clea ?

Merci.

Non résolue

[SNS 3.2.0] Filtrer le traffic SSL entrant à l'aide d'un certificat specifique

Posée par Vianney Petit dans Fonctionnalités et système

Bonjour à tous,

 

J'ai des services accessibles publiquement en HTTPS derriére une applicance Stormshield. Je souhaiterai pouvoir bénéficier de la protection de l'IPS pour ces services.

Savez-vous s'il est possible de configurer le pare-feu / proxy SSL pour déchiffrer le traffic correspondant à une régle de filtrage à l'aide d'un certificat + clé privée spécifique (au lieu d'en générer un à la volé avec l'autorité de certification du proxy SSL) ?

Je précise que je n'ai pas besoin de SNI, j'ai un certificat wildcard unique qui couvre tous ces services.

 

Merci d'avance pour tout conseil ou toute indication que vous auriez sur la maniére dont je pourrais réaliser cela.

Non résolue

Soucis VPN SSL - Netasq - Blocage Java - Navigateurs

Posée par Jean Duport dans Securité

Bonjour,

J'ai un Firewall Netasq NG-1000A en version 9.1.9.

Le VPN SSL via le portail (avec applet Java) est configuré dessus et permet à mes utilisateurs de se connecter sur mes serveurs internes. Cela fonctionnait bien depuis quelques années, mais depuis la version de Firefox 52 et les dernieres version de Google Chrome... celles-ci bloquent java et donc empechent la connexion VPN d'aboutir.

Il y a la solution de contournement dans Firefox pour modifier les paramêtres et autoriser les plugins java mais j'ai 150 personnes qui se connectent au VPN, je ne peux pas leur demander de modififer ça, puis avec les mises à jour de firefox 54; changements de versions... les parametres changeront toujours.

J'ai vu que la version Stormshield 3.0 résout ce problème mais cette version ne s'installe pas sur mes Netasq NG1000 (ceux-ci ne peuvent supporter que la version 2.7).

Auriez-vous une solution à me proposer pour resoudre ce probleme de java ou le contourner svp ? (à part remplacer...

Voir la suite
Non résolue

Request Timed Out SVC

Posée par Maxime Berlioz dans Appliances virtuelles

Bonjour,

 

J'ai un souci sur SVC que je n'avais pas avant sur virtual log appliance.

Lorsque j'essaye d'actualiser une vue "web" par exemple sur une durée supérieur à un mois, j'obtiens le message "request timed out 30000ms". Tout fonctionne bien si je requête sur des logs de moins d'un mois apparemment.

J'ai doublé le nombre de coeur et mis un peu plus de RAM sur la VM car lors des requêtes les process logstash et elastic faisait grimper la conso CPU/RAM mais pas d'amélioration .

Quelqu'un aurait-il le même souci ? Je dois monter des tableaux pour fin Juin et j'aimerai y intégrer des stats du SVC...

Merci d'avance

Non résolue

Equivalence stormshield / Arkoon, dimensionnement

Posée par Benoît B dans Matériels et performances

Bonjour,

D'après vos expériences, quelle serait l'équivalence stormshield pour remplacer un P1206 arkoon?

Plus généralement, pour une société entre 70 et 100 personnes, quelle appliance stormshield vous semble raisonnable?

Et sur des sites jusqu'a 10 utilisateurs?

 

Merci d'avance de vos contributions

--

Benoît

Non résolue

Stormshield, QoS

Posée par Jean Korn dans Administration

Bonjour,

Grâce toujours à vos bons conseils, j'arrive à la fin de mon paramétrage 

 

je dois maintenant mettre en place de la QoS pour de la VoIP.

J'ai fait la demande au niveau de l'opérateur.

Au niveau de mes 2 Stormshield, comment faire pour mettre en place  du "QoS niveau 3 DiffServ Best Effort" demandé par notre téléphoniste ?

 

j'ai bien vu comment  appliquer la règle :

Configuration->politique de sécurité->Filtrage et Nat -> sélection de la règle -> Action -> Qualité de service

Pour créer la file d'attente, "Configuration->politique de sécurité->Qualité de service".

Mais comment la paramétrer ?

Merci

Non résolue

SYSLOG / STORMSHIELD SN510 / VERSION 2.6

Posée par Pierre-Louis Picard dans Fonctionnalités et système

Bonjour,

j'ai activé l'envoi des traces SYSLOG (activation du service, choix des traces et règle de flux) mais le boitier ne génère aucun envoi syslog...
J'ai plusieurs boitiers où cela fonctionne très bien et d'autres où il ne se passe rien. Quand je dis rien, c'est rien (je surveille par un tcpdump l'interface du boitier). Aucun message d'erreur, aucun problème de routage (j'ai un autre service à l'adresse du syslog qui foncitonne très bien...) Boitier redémarré...

Si quelqu'un a une idée pour investiguer...

Cordialement

Résolue

Proxy SSL

Posée par Laurent Casenave dans Appliances virtuelles

Bonsoir,

J'utilise une appliance virtuelle V50-A en version 3.2.1.

Je suis en train de faire des tests sur le proxy ssl, ça marche trés bien avec internet explorer.

Par contre j'ai un problème avec firefox erreur : "Ce site a recours à HTTP Strict Transport Security (HSTS) pour indiquer à Firefox de n’établir qu’une connexion sécurisée. Ainsi il n’est pas possible d’ajouter d’exception pour ce certificat." (j'ai ce message d'erreur avec toutes les recherches en HTTPS)

J'ai aussi une erreur avec Kaspersky: "Le certifcat du serveur est suspect"

Voilà la configuration que j'ai mis en place:

Les régles de firewall :

régles_FW.jpg

Le filtrage_ssl:

Filtrage_ssl.jpg

J'ai installé le certificat de la pki "SSL proxy default authority" le fichier .der, sur ma VM de test dans la partie "Autorités de certification racines de confiance"

Sur le REALTIME MONITOR voici les message d'erreur qu'il me retourne:

REALTIME_MONITOR.jpg

Auriez vous une idée pour résoudre mon...

Voir la suite
Résolue

SN310 et H323

Posée par Alain Bosco dans Administration

Bonjour.

Suite à la mise en place d'un SN310 firewall 3.2.1 je rencontre des problèmes de visioconférence en H323.
A priori avant, avec un routeur plus basique, il n'y avait pas de problème particulier.

Lors d'une visioconférence le son se coupe après quelques minutes environ.
Un redémarrage de la visioconférence résout le problème pour à nouveau quelques minutes.
Ma config me semble correcte.

J'ai réalisé plusieurs essais (avec ou sans QOS, etc ...) et le problème persiste.

Avez-vous une retour d'expérience sur le H323 avec ces produits ?


 

Résolue

Importation blacklist

Posée par Nico ... dans Administration

Bonjour,

 

nosus testons des Stormshield SN510 afin de remplacer nos Arkoon.

Nous deovons faire appliquer des listes de blocages url et d'@ip qui représentent des fichiers de 5000 lignes environ.

Sur les Arkoon nous arrivions à imoporter ces fichiers en .csv, mais je n'ai pas trouvé comment faire sur les Stormshield.

Merci d'avance pour votre aide.

Cordialement, Nicolas.

Résolue

Signatures de protection contextuelles personnalisées

Posée par Taoufik Mahir dans Présentation des dernières fonctionnalités

Bonjour,

Je ne trouve aucune documentation sur le fonctionnement de ce type de signtaure.

J'avais cru comprendre via un partenaire (qui lui aussi croit comprendre via le support stromshield) qu'il s'agissait de signatures basées sur le contenu non pas  des URL mais des paquets qui transitent (par exemple une chaîne de caractère repérée via  WireShark pour le contrôle de l'usage d'iune application spécifique, ce qui m'intéresse et est par exemple possible dans la SonicWall).

Dans la note descriptive de la V 3.2.1 c'est mentionné très brièvement (comme un cheveux sur la soupe) : il est question d'une machine d'hébergement des signatures personnalisées.

Où peut-on trouver de la doc sérieuse ? 

Merci.

 

Résolue

Stormshield V50 - 2 interfaces disponibles sur 4 détectées...

Posée par Marc Milan dans Appliances virtuelles

Bonjour à tous,

 

J'ai un souci avec ma VM STORMSHIELD :

FW V50-A (M / EUROPE)
Firewall software version 3.2.0 VM-RELEASE

J'ai déclaré dans l'hyperviseur 4 interfaces (E1000), il les détecte bien : (extract DMESG)

[1] pci2: <network, ethernet> at device 0.0 (no driver attached)
[1] pci2: <network, ethernet> at device 2.0 (no driver attached)
[1] pci2: <network, ethernet> at device 3.0 (no driver attached)
[1] pci2: <network, ethernet> at device 4.0 (no driver attached)

 

Mais il n'en active que 2 :

[3] em0: <Intel(R) PRO/1000 Legacy Network Connection 1.0.5> port 0x2400-0x243f mem 0xef5c0000-0xef5dffff,0xefff0000-0xefffffff irq 18 at device 0.0 on pci2
[4] em1: <Intel(R) PRO/1000 Legacy Network Connection 1.0.5> port 0x2440-0x247f mem 0xef5a0000-0xef5bffff,0xeffe0000-0xeffeffff irq 16 at device 2.0 on pci2

Dans l'interface web je ne trouve pas de réglage "limitant" à 2 interfaces actives et je n'ai pas d'interfaces inactives présentées dans...

Voir la suite
Résolue

VPN IPSEC LAN 2 LAN en mode bridge

Posée par Aymeric D dans Fonctionnalités et système

 

 

 

Salut à tous,

Nous intégrons une nouvelle structure qui possède un Stormshield SN200 v3.2.1.

 J'essaye de monter un tunnel IPSEC avec notre Fortigate. (j'ai déja des tunnels en production sur ce pare-feu)

 La config sur le site du stormshield est:

livebox pro 192.168.1.1 <-> stormshield en bridge 192.168.1.240 <-> switch lan 192.168.1.0

Première question est-ce que l'on peut monter des tunnels en mode bridge ?

J'ai copier une config ikev1 psk qui tourne sur mon fortinet, mais le tunnel ne monte pas.

Surtout, je n'ai aucun trace sur le stormshield. Sur mon fortinet, je vois bien les traces d'initiator vers le stormshield, mais apparement, pas de réponse.

quelque screenshots:

 

Merci

Résolue

Certificat SMC/SVC

Posée par Michaël dans Administration

Bonjour,

Je ne trouve pas comment intégrer un certificat issu d'une PKI externe dans SMC et SVC (Je parle du certificat qui est présenté lors de la connexion à la page web d'admin).

 

J'ai bien trouvé (sur SMC) une commande nommée fwadmin-install-certificate, mais l'aide de cette commande indique que c'est pour envoyer un certificat sur un firewall SNS, et non pour SMC/SVC.

Je n'ai trouvé aucun chapitre dans le guide d'administration qui semble traiter de ce sujet, mais je suis peut-être passé à côté.

Comment faire SVP ?

 

Cordialement.

Résolue

Option forwarding Stormshield v50

Posée par Foutatoro dans Fonctionnalités et système

Bonjour à tous,

J'ai mis en place la topologie suivante "réseau-1 " <--> "stormshield" <--> "resau distant", 
je veux que le stomshield fasse office de routeur afin de permettre aux clients du réseau-1 d'atteindre le réseau distant.

Le réseau distant est atteignable depuis la stormshield mais je n'arrive pas à activer l'option forwarding pour que stormshield fasse suivre les paquets du reseau-1.

Quelqu'un pourrait me suggerer une solution à ce probleme ?

Cordialement

Résolue

DNS à traver le stormshield.

Posée par Sébastien Malescot dans Fonctionnalités et système

Bonjour à tous petite question assez complexe.

 

 le firewall stormshield bloque t'il les reqûetes dns.

 

je m'explique jai un serveur ad AD + DNS sur une patte Vlan de mon stormshield (192.168.13.3)

quand sur le reseau 192.1638.13.0/255.255.255.0 je met en DNS par defaut L'ip de mon serveur tout fonctionne correctement.

 

quand sur mon reseau relié à une autre patte de mon firwall je met en DNS par default l'ip 192.168.13.3 rien ne work ( sauf quelques entrée dns lol )

 

ps : je me demande si le problème viens de mon stormshield ou de mon serveur.

 

Merci d'avance.

A bientôt.

Cordialement

Résolue

[FAST360] Y a t-il un outil capable de générer un fichier AKX XML depuis un fichier de backup

Posée par Alegrand

Est-il possible de récupérer un fichier de configuration XML de type AKX depuis un fichier de backup touvé dans :

/var/config_card.backup/configcard-2017-07-11-xxxxx.bak.tgz

Après avoir perdu la partition /dev/sda6 je n'ai plus de version akx de la configuration. Je ne peux donc plus la réinjecter sur un Arkoon Fast360  de secours.

Merci pour vos réponses.

Résolue

NTP personnalisé sur SVC

Posée par Michaël dans Administration

Bonjour,

Je souhaiterai spécifier le serveur NTP à utiliser dans SVC.

Par contre, dès que j'active l'option dans svc-configurator, j'obtiens le message suivant :
SVC must have an access to internet to be synchronized.
Et pas de possibilité de spécifier l'IP du serveur à utiliser. Bien entendu, notre SVC n'a aucun accès internet.

Une recherche sur le terme NTP dans le guide d'administration SVC ne rapporte aucun résultat.

 

Du coup, comment faire pour spécifier l'IP du serveur NTP à utiliser ?

Merci d'avance,
Cordialement.

Résolue

STORMSHIELD

Posée par Emery Mbazou dans Administration

Bonjour, je suis en  stage et on m'a confié un firewall stormshield SN300 que je dois mettre en place et autoriser l'accès internet aux PC du sous réseau.

- je dispose de deux adresses ip publique, une connectée à l'interface OUT (41.159.X.141)  de mon firewall et l'autre est celle du Gateway (41.159.X.137) connecté au Firewall)

- Mon interface IN à une adrèsse IP Privée (192.168.X.0/24)

Filtrage et NAT: j'ai mis any any partout mais rien...

Routage statique, j'ai mis le réseau distant (@ip public), interface IN (192.168.X.150)

Comment faire? Merci d'avance

Résolue

VPN IPsec ok mais aucun traffic entre Arkoon FAST360 et Stormshield SNS

Posée par Guillaume dans Fonctionnalités et système

Bonjour,

J'ai un souci pour la mise en place d'un VPN IPSec entre un Arkoon FAST360 (V5.0) et un Stromshield SN510 (v3.2.1).

Mon VPN monte bien, mais je n'ai aucun traffic entre les 2 LAN

voila la config du VPN :

clé partagé PSK
IKE DH2 MODP 1024bits, authentification SHA2_256, Chiffrement AES 256

le VPN est UP dans les log des 2 cotés mais je ne ping et n'accède à rien entre les deux LAN.
J'ai pensé que mes règles de flux était en cause mais j'ai l'impression que tous est ok

coté Arkoon :

  • Sources : LAN_local,LAN_disant
  • Destination : LAN_local,LAN_disant
  • Service : rien mis à cette endroit
  • Action : accepter
  • Translation : rien mis à cette endroit
  • Segment de chiffrement : 2 lignes
  •     source : appliance, destination : rien, chiffré par VPN specif, Mon tunnel
  •     source : rien, destination : appliance, chiffré par VPN specif, Mon tunnel

coté stromshield :
regle 1

  •   source : LAN_distant via Tunnel VPN IPsec, port : any
  •   destination : Network_lan_local, port : any
  •  
  • ...
Voir la suite
Résolue

Connexion VPN SSL impossible si accent dans le password

Posée par Didier Fourt dans Administration

Bonjour,

J'utilise le client Stormshiel 2.0 VPN SSL mais impossible d'établir une connexion si le mot de passe contient un accent.

J'ai le message suivant : "Unable to connect to UTM : User not allowed"

Mon firewall est un Stormshield SN710 v3.0.3

Pouvez-vous m'aider ?

Par la même occasion, impossible de trouver la version 2.1 du client sur mon interface client Stormshiel

Didier

Résolue

Durée des sessions TCP

Posée par Jeremy G. dans Fonctionnalités et système

Quelqu'un sait-il quelle est la durée des session TCP parametrée par défaut sur un SN sans passer par l'IPS ?

Nous avons des soucis de connexion entre notre reverse proxy et notre serveur de mails, il semblerait que les sessions TCP soient interrompus avant la fin des transactions. Cela provoque de problèmes de synchro de mails, d'agenda et de contacts ...

Pourtant nous avons supprimés l'IPS sur tous les flux mais cela n'a pas changé notre problème.

Nous avons également un arkoon dans la chaine, du coup les interruptions peuvent venir de lui. Existe t-il un moyen de voir qui coupe la connexion ?

Merci par avance pour votre aide :)

 

 

Résolue

Comportement de la Gateway Antivirus Kaspersky

Posée par Taoufik Mahir dans Securité

Bonjour,

Sur un Stromshield SNS910 aussi bien en version 3.1.2 qu'en 3.0.3, dès qu'un flux routé par le FW entre deux interfaces différentes (int LAN vers int Zone serveurs) et passant par une règle sur laquelle l'analyse antivirale est activée, ce dernier perd son adresse IP source d'origine !

L'adresse IP source d'origine est remplacée par l'@IP de la Gateway de la machine cible.

Très embêtant quand la machine cible est un serveur HTTP avec une application web devant par exemple contrôler les @IP sources pour différencier des droits d'accès à des fonctionnalités de l'application ...

Le support est au courant mais dans l'attente de leur retour, quelqu'un est-il au courant de cela ? est-ce documenté quelque part ? et (par miracle) existerait-il une solution sans bien entendu désactiver l'analyse antivirale qui peut être très légitime pour certaines applications web avec de lkupload par exemple.

 

Ps : il n'y a aucun sur les machines protagonistes NAT.

 

Merci.

Résolue

Caractères spécifiques dans nom d'utilisateurs

Posée par Maxime Berlioz dans Securité

Bonjour,

Je deploie petit à petit SPNEGO pour l'authentification de mes utilisateurs.

Je viens seulement de me rendre compte que certains caractères spéciaux dans le nom d'utilisateur ne sont pas pris en compte par l'appliance (le & pour ma part) J'ai un rejet avec "invalid username"

Y 'a t'il d'autres caractères non pris en compte ? J'avais mis ce caractères pour différencier certains compte de d'autres et j'aimerai si possibile garder ce système.

Merci d'avance

 

Résolue

Internet/routage

Posée par Sébastien Malescot dans Administration

Bonjour à tous je viens poster aujourd'hui car j'ai un petit problème sur mon firewall stormshield SN 700 je m'explique :

 

je viens de paramétrer une interface lan relié à un vlan pour brancher un Wifi Visiteur jusque le pas de soucis. 

par contre dés que je me connecte à mon réseau Wifi je n'arrive pas à avoir internet j'ai tout essayer sur l'interface et le réseau même avec la règle suivante impossibilité d'avoir internet.

Si quelqu'un à une idées je suis preneur.

 ps : quand je fais les bonnes règles sur le firewall j'ai accés à tout mon lan tout ping correctement etcc

 

Merci d'avance.

A bientôt.

Cordialement

Résolue

Problème double authentification Agent SSO

Posée par Tony C dans Securité

Bonjour,

Je rencontre un problème sur mon firewall stormshield U250S en version 2.7.0.

Quand un utilisateur s'authentifie avec l'agent SSO, il se connecte à plusieurs IP en meme temps,(voir doc joint) du coup des personnes se retouvre connecter avec le mauvais nom d'utilisateur et donc pas forcement le bon filtrage URL.

J'ai mis à jour l'agent SSO 1.4 > 1.5 mais toujours le meme problème.

Merci d'avance.

Cordialement.

 

Résolue

Stormshield, VPN et DHCP

Posée par Jean Korn dans Administration

Bonjour

Grâce à vos bons conseils, j'ai réussi à parametrer les 2 netasq pour qu'il communique ensemble.

j'ai donc :

Site n°1 : vlan_5 : 10.5.0.0/24
Site n°2 : vlan_5 : 192.168.5.0/24

 

Maintenant, comment faire pour que les hosts situés sur le site n°2 obtienne un IP. Le serveur DHCP etant situé sur le site n°1 ?

Merci pour vos precieux conseils.

Messages d'alerte