Discussions par mots clés : ssl

Non résolue

Problème certificat filtrage SSL

Posée par Johnny Cash dans Open Community dans Fonctionnalités et système

Bonjour,

 

J'ai mis en place un filtrage au sein de mon réseau :

 

 

ça fonctionne bien, sauf que j'ai un souci dès qu'on tombe sur quelques sites SSL, par exemple si la personne veut aller sur francebleu.fr ça donne :

 

Reason : The SSL server certificate authority is not trusted
Common name: Kubernetes Ingress Controller Fake Certificate

 

ou un autre site :

 

Reason : The SSL server certificate is expired or not yet valid

 

J'ai installé pourtant le certificat généré en .der du netasq sur le navigateur (on utilise tous firefox)

Je ne suis pas un expert... alors si vous pouvez m'éclairer ! Merci beaucoup !

Résolue

Connexion VPN SSL impossible si accent dans le password

Posée par Didier Fourt dans Open Community dans Administration

Bonjour,

J'utilise le client Stormshiel 2.0 VPN SSL mais impossible d'établir une connexion si le mot de passe contient un accent.

J'ai le message suivant : "Unable to connect to UTM : User not allowed"

Mon firewall est un Stormshield SN710 v3.0.3

Pouvez-vous m'aider ?

Par la même occasion, impossible de trouver la version 2.1 du client sur mon interface client Stormshiel

Didier

Non résolue

[SNS 3.2.0] Filtrer le traffic SSL entrant à l'aide d'un certificat specifique

Posée par Vianney Petit dans Open Community dans Fonctionnalités et système

Bonjour à tous,

 

J'ai des services accessibles publiquement en HTTPS derriére une applicance Stormshield. Je souhaiterai pouvoir bénéficier de la protection de l'IPS pour ces services.

Savez-vous s'il est possible de configurer le pare-feu / proxy SSL pour déchiffrer le traffic correspondant à une régle de filtrage à l'aide d'un certificat + clé privée spécifique (au lieu d'en générer un à la volé avec l'autorité de certification du proxy SSL) ?

Je précise que je n'ai pas besoin de SNI, j'ai un certificat wildcard unique qui couvre tous ces services.

 

Merci d'avance pour tout conseil ou toute indication que vous auriez sur la maniére dont je pourrais réaliser cela.

Résolue

Allow unknown cipher

Posée par François Prat dans Open Community dans Fonctionnalités et système

Bonjour,

Un flux HTTPS est bloqué sur mon appliance FAST 360. La raison du blocage est: ClientHello message contains an unknown cipher. Même en modifiant le client web comme décrit ici, ça ne fonctionne pas.

Je vois bien la politique FAST SSL/TLS "allow-unknows-ciper", mais est-il possible de gérer ce paramètre au sein d'un règle ? ou ce paramètre est-il forcément appliqué globalement ?

Merci d'avance pour vos réponses.

François

Résolue

Erreur 403 forbidden pour la connexion vpn ssl portal stormshield v 3.0.3

Posée par Mikyas Tadesse dans Open Community dans Fonctionnalités et système

Bonjour à tous,

 Je suis entrain de mettre en place un vpn ssl portal sur une vm stormshield version 3.0.3. Mais quand j'essaye d'accéder la page d'authentification j'ai l'erreur 403 forbidden. 

 

 Les actions que j'ai fait sont les suivants :

 

   -dans Configuration->vpn ssl portal onglet générale j'ai activer le vpn ssl uniquement pour serveur web

    -dans Configuration->vpn ssl portal onglet serveur web j'ai ajouté un serveur web

 -dans Configuration->vpn ssl portal onglet profils utilisateur j'ai ajouté un profil utilisateur

-dans Configuration->vpn ssl j'ai rempli les champs et activer le vpn ssl

Et c'est tout ce que j'ai fait. Il ya forcément un élément que j'ai oublié. Quelqu'un pourrai-t-il me le dire ? Je serrai reconnaissant !

Ps : Je suis en pass all

 

Résolue

question VPN-SSL stormshield

Posée par Thomas Leclerc dans Open Community dans Securité

bonjour

j'imagine une configuration type pour mon reseau et je souhaites une confirmation concernant des fonctionnalités offertes ou non par les appliances stormshield SNS170 au nieau des tunnels VPN SSL. je m'adresse à la communauté car je ne trouve jusqu'ici pas la reponse à ces questions et pour l'instant cela freine mon projet. N'ayant pas une appliance à disposition pour tester par moi même, je ne peux pas declencher d'achat sans reponse à ces questions.

mon souhait : 

1 - le client VPN se lance à l'ouverture de session

2 - Le client detecte qu'il est ou non sur le LAN de l'entreprise 

2 - si le client n'est pas sur le LAN, le client se connecte tout seul à la passerelle stormshield (soit par un certificat client soit en recuperant les identifiants et mdp windows de l'utilisateur)

3 - une fois le tunnel établi tout le trafic reseau remonte à la passerelle stormshield, y compris les requetes DNS.

4 - le client vérifie regulierement le statut de la connection et tente...

Voir la suite
Résolue

Client Stormshield VPN SSL - Demande de mot de passe

Posée par Dimitri Raymond dans Open Community dans Securité

Bonjour,

Existe-t-il un moyen de demander le mot de passe d'un utilisateur systématiquement lorsque celui-ci essaie de se connecter au vpn ? Actuellement il doit le saisir une fois, et peut se déconnecter/reconnecter autant de fois qu'il le souhaite sans retaper son mot de passe à condition qu'il ne quitte pas le client Stormshield VPN 2.1.0.

Merci :)

Résolue

Problème fonctionnement VPN SSL Netasq

Posée par AlexandreR dans Open Community dans Fonctionnalités et système

Bonjour

Lors d'un ajout d'un serveur dans la config du VPN SSL, j'ai eu le message NOM DE SERVEUR INCORRECT.
Ne comprenant pas ce message et n'arrivant pas à déterminer ce qui posait problème, j'ai fait les opérations suivantes:
- reboot du firewall
- mise à jour
- reboot
- effacement de toute la configuration du VPN SSL

Maintenant, même si je ne mets qu'un seul serveur dans le VPN SSL, j'obtiens ce message (voir PJ). Je ne comprends pas d'où il vient ni comment y remdédier...

Appliance: Netasq U450
Version: 9.1.4.1

Merci et bonne semaine :)

Résolue

Problème Fast avec Google Chrome : ClientHello message contains an unknown cipher et Unexpected ApplicationData record

Posée par Guilhem M dans Open Community dans Trucs et Astuces

Bonjour,

Je me permet de publier ce petit billet car cela fait un moment que j'ai un problème de blocage Fast sur les sites en https quand j'utilise google chrome.

Pour résoudre mon problème je me suis inspiré de deux anciens posts de la communauté. Si cela en intéresse certains voici ma démarche.

 

Mon Appliance est en 6.0/2 et donc normalement conforme aux dernières RFC en matière de ssl/tls.

Le problème vient du fait que Google utilise des algo et des protocoles maison qui ne sont pas encore validés dans les RFC, et de mon côté je ne veux pas du tout modifier ma politique Fast, je préfère donc modifier la façon de fonctionner du navigateur en ajoutant des switchs de configuration dans son raccourci.

 

Premier blocage Fast : ClientHello message contains an unknown cipher

A priori cela viendrait du fait que Chrome essaye d'utiliser un algo de chiffrement non identifié dans la RFC (certainement en cours d'implémentation). J'ai cette erreur sur tous les sites...

Voir la suite
Résolue

Skype via le proxy http

Posée par Atchoum dans Open Community dans Fonctionnalités et système

Bonjour,

Sur une appliance FASt 360 en version 6.1, comment autoriser Skype à travers le relais http ?

L'article KB 1327 ne m'aide pas trop, car surcharger les règles du relais pour désactiver l'analyse FAST http/https ne semble faisable que globalement, c'est-à-dire pour tous les clients et tous les serveurs web, ce qui n'est pas trop sécurisé.

En effet, le nombre d'adresses IP publiques de destination pour les flux Skype est tellement important, qu'il est illusoire de les identifier pour restreindre les règles du relais à surcharger; de même, il n'est pas question d'autoriser des utilisateurs à surfer sur Internet via le proxy, sans aucun contrôle applicatif sur les protocoles http ou https.

J'avais cru comprendre que la V6.1 permettrait d'identifier des flux Skype ou Facebook ?

Merci pour votre aide,

===================================================

Le Contexte :

En principe, les utilisateurs surfent sur le web à travers le relais http, mais cela est...

Voir la suite
Résolue

Google chrome et SSL/TLS, FAST360 PS/4 v6.0/3

Posée par Thierry Airault dans Open Community dans Securité

Bonjour,

Si l'analyse FAST est installé sur le relai http, cela semble completement empecher l'utilisation du navigateur google chrome, les journaux ips remontent des erreurs unkown cipher, qui sont désactivable via le module FAST, mais ensuite dans les journaux d'alertes, il y a des erreurs Violation de protocole applicatif FAST SSL/TLS - Unexpected Application Data record before state negotiation, c'est systématique avec facebook.com par exemple.

J'ai tenté de modifier les paramètres de l'analyse FAST, mais je n'ai trouvé aucune solution, si ce n'est de la désactiver completement.

Si quelqu'un a déjà rencontré le problème et connais la solution je suis preneur.

 

Merci d'avance.

 

 

Résolue

Problème de négociation SSL entre Arkoon Manager et appliances

Posée par brunoT dans Open Community dans Administration

Bonjour,

Je suis confronté à un problème a priori peu banal: je n'arrive pas à me connecter via Arkoon Manager, depuis l'une de mes machines (qui est malheureusement désormais mon poste principal) à nos appliances.

Au niveau de Arkoon Manager, je reçois l'erreur suivante (dans un popup):

"L'établissement de connexion SSL a rencontré une erreur inconnue"

 

Sur l'appliance, apparaît au même moment une erreur dans /var/log/messages:

May 23 11:14:00 xxx akserver[2219]: SSL connection (ssl2) failed from 192.168.x.y:37798: Certificate refused: no shared cipher

Du coup, j'ai effectué 2 captures réseau, l'une depuis la machine qui peut se connecter, et l'autre depuis la machine problématique, et la grosse différence entre les deux est que, dans le cas où ça fonctionne, le "client hello" du SSL présente 35 ciphers, y compris ceux permettant un chiffrement de 256 bits et ceux basés sur les courbles elliptiques, alors que sur la machine problématique, seuls 16 ciphers...

Voir la suite
Résolue

FTP/SSL

Posée par Jerome dans Open Community dans Fonctionnalités et système

Bonjour,

Je voudrais savoir si l'un d'entre vous a réussi à créer une règle de sortie simple pour du FTP over SSL (port 990 pour info) ?

  • Si on utilise une politique Fast FTP, erreur applicative car impossible de lire correctement les commandes (cryptées),
  • Si on utilise une politique Fast TLS/SSL, erreur applicative (SSL 3.3),
  • Si on utilise pas de politique Fast, obligation de gérer manuellement la session DATA (lourd).

Quelque chose m'aurait-il échappé ?

Bye

 

Résolue

Filtrage applicatif SSL 3.3

Posée par Steph dans Open Community dans Fonctionnalités et système

Pouvez-vous me dire quand la version 3.3 de SSL sera implémentée dans la politique FAST SSL/TLS des appliances FAST360. Depuis quelques temps j'ai le message d'erreur suivant :Blocked by application control Unsuported SSL version (3.3) in SSL/TLS payload

J'ai essayer en vains de trouver SSL-3.3 dans les options du module FAST SSL/TLS.

Le support ARKOON me propose comme solution de simplement désactiver l'analyse FAST sur mon protocole HTTPS afin de ne plus avoir cette erreur.

Les erreurs proviennent de connexion depuis des iPhone/IPad avec IOS 5.

Cordialement.

 

Stéphane

Messages d'alerte