Discussions par mots clés : stormshield

Résolue

SHA256 et certificat auto signé (stormshield)

Posée par Jean Korn dans Open Community dans Administration

Bonjour

j'ai un Stormshield v 2.5.1,

je rencontre des problèmes avec le certificat autosigné en SHA-1 sur Google Chrome et les iDevices sous iOS 11.

Je souhaite donc mettre à jour mes certificats en SHA-256.

pour le certificat "serveur" avec cette commande

"setconf /Firewall/ConfigFiles/Certificates/SSL\ proxy\ default\ authority/CA.conf server digest sha256"

cela me génère bien un certificat en SHA256

 En revanche, le certificat racine reste en SHA1. Comment peut-on faire pour générer un certificat racine autosigné en SHA256 ?

Merci

Non résolue

Interco publique avec interface VLAN

Posée par Entrax Entrax dans Open Community dans Administration

Hello all,

J'administre depuis peu des SN510 & + et je suis resté avec le même problème sur chacun d'eux.

 

J'ai mon routeur A et mon SNXXX B (version 3.2.1).

Je souhaite faire une interco publique entre les deux sur vlan.

 

Device A : Interface 1 porte l'ip publique : X.X.X.1 en VLAN 3.

Device B :

- Interface VLAN1 qui porte l'ip publique X.X.X.2 en VLAN 3;

- Gateway de l'interface VLAN1 : X.X.X.1;

- Route par défaut : IP pub du device A.

 

Tests :

- Depuis le device A :

>> ping interface int1 X.X.X.2 : OK

>> telnet interface int1 X.X.X.2 port 443 : KO ( mais je vois le flux arrivé en tcpdump sur le SN)

>> ping interface int1 8.8.8.8 : OK

 

- Depuis le device B :

>> ping -S IP_VLAN1 X.X.X.1 : OK

>> ping -S IP_VLAN1 8.8.8.8 : KO - "Ping: sendto: Network is down"

 

Dans mes règles, j'autorise bien l'icmp et mon routeur à venir en 443 pour les tests.

J'ai ajouté également des règles pour autorisé un device C pour les tests mais les...

Voir la suite
Résolue

Option forwarding Stormshield v50

Posée par Foutatoro dans Open Community dans Fonctionnalités et système

Bonjour à tous,

J'ai mis en place la topologie suivante "réseau-1 " <--> "stormshield" <--> "resau distant", 
je veux que le stomshield fasse office de routeur afin de permettre aux clients du réseau-1 d'atteindre le réseau distant.

Le réseau distant est atteignable depuis la stormshield mais je n'arrive pas à activer l'option forwarding pour que stormshield fasse suivre les paquets du reseau-1.

Quelqu'un pourrait me suggerer une solution à ce probleme ?

Cordialement

Résolue

VPN IPsec ok mais aucun traffic entre Arkoon FAST360 et Stormshield SNS

Posée par Guillaume dans Open Community dans Fonctionnalités et système

Bonjour,

J'ai un souci pour la mise en place d'un VPN IPSec entre un Arkoon FAST360 (V5.0) et un Stromshield SN510 (v3.2.1).

Mon VPN monte bien, mais je n'ai aucun traffic entre les 2 LAN

voila la config du VPN :

clé partagé PSK
IKE DH2 MODP 1024bits, authentification SHA2_256, Chiffrement AES 256

le VPN est UP dans les log des 2 cotés mais je ne ping et n'accède à rien entre les deux LAN.
J'ai pensé que mes règles de flux était en cause mais j'ai l'impression que tous est ok

coté Arkoon :

  • Sources : LAN_local,LAN_disant
  • Destination : LAN_local,LAN_disant
  • Service : rien mis à cette endroit
  • Action : accepter
  • Translation : rien mis à cette endroit
  • Segment de chiffrement : 2 lignes
  •     source : appliance, destination : rien, chiffré par VPN specif, Mon tunnel
  •     source : rien, destination : appliance, chiffré par VPN specif, Mon tunnel

coté stromshield :
regle 1

  •   source : LAN_distant via Tunnel VPN IPsec, port : any
  •   destination : Network_lan_local, port : any
  •  
  • ...
Voir la suite
Non résolue

[SNS 3.2.0] Filtrer le traffic SSL entrant à l'aide d'un certificat specifique

Posée par Vianney Petit dans Open Community dans Fonctionnalités et système

Bonjour à tous,

 

J'ai des services accessibles publiquement en HTTPS derriére une applicance Stormshield. Je souhaiterai pouvoir bénéficier de la protection de l'IPS pour ces services.

Savez-vous s'il est possible de configurer le pare-feu / proxy SSL pour déchiffrer le traffic correspondant à une régle de filtrage à l'aide d'un certificat + clé privée spécifique (au lieu d'en générer un à la volé avec l'autorité de certification du proxy SSL) ?

Je précise que je n'ai pas besoin de SNI, j'ai un certificat wildcard unique qui couvre tous ces services.

 

Merci d'avance pour tout conseil ou toute indication que vous auriez sur la maniére dont je pourrais réaliser cela.

Résolue

Problème double authentification Agent SSO

Posée par Tony C dans Open Community dans Securité

Bonjour,

Je rencontre un problème sur mon firewall stormshield U250S en version 2.7.0.

Quand un utilisateur s'authentifie avec l'agent SSO, il se connecte à plusieurs IP en meme temps,(voir doc joint) du coup des personnes se retouvre connecter avec le mauvais nom d'utilisateur et donc pas forcement le bon filtrage URL.

J'ai mis à jour l'agent SSO 1.4 > 1.5 mais toujours le meme problème.

Merci d'avance.

Cordialement.

 

Non résolue

Equivalence stormshield / Arkoon, dimensionnement

Posée par Benoît B dans Open Community dans Matériels et performances

Bonjour,

D'après vos expériences, quelle serait l'équivalence stormshield pour remplacer un P1206 arkoon?

Plus généralement, pour une société entre 70 et 100 personnes, quelle appliance stormshield vous semble raisonnable?

Et sur des sites jusqu'a 10 utilisateurs?

 

Merci d'avance de vos contributions

--

Benoît

Non résolue

Stormshield, QoS

Posée par Jean Korn dans Open Community dans Administration

Bonjour,

Grâce toujours à vos bons conseils, j'arrive à la fin de mon paramétrage 

 

je dois maintenant mettre en place de la QoS pour de la VoIP.

J'ai fait la demande au niveau de l'opérateur.

Au niveau de mes 2 Stormshield, comment faire pour mettre en place  du "QoS niveau 3 DiffServ Best Effort" demandé par notre téléphoniste ?

 

j'ai bien vu comment  appliquer la règle :

Configuration->politique de sécurité->Filtrage et Nat -> sélection de la règle -> Action -> Qualité de service

Pour créer la file d'attente, "Configuration->politique de sécurité->Qualité de service".

Mais comment la paramétrer ?

Merci

Résolue

Stormshield, VPN et DHCP

Posée par Jean Korn dans Open Community dans Administration

Bonjour

Grâce à vos bons conseils, j'ai réussi à parametrer les 2 netasq pour qu'il communique ensemble.

j'ai donc :

Site n°1 : vlan_5 : 10.5.0.0/24
Site n°2 : vlan_5 : 192.168.5.0/24

 

Maintenant, comment faire pour que les hosts situés sur le site n°2 obtienne un IP. Le serveur DHCP etant situé sur le site n°1 ?

Merci pour vos precieux conseils.

Non résolue

SYSLOG / STORMSHIELD SN510 / VERSION 2.6

Posée par Pierre-Louis Picard dans Open Community dans Fonctionnalités et système

Bonjour,

j'ai activé l'envoi des traces SYSLOG (activation du service, choix des traces et règle de flux) mais le boitier ne génère aucun envoi syslog...
J'ai plusieurs boitiers où cela fonctionne très bien et d'autres où il ne se passe rien. Quand je dis rien, c'est rien (je surveille par un tcpdump l'interface du boitier). Aucun message d'erreur, aucun problème de routage (j'ai un autre service à l'adresse du syslog qui foncitonne très bien...) Boitier redémarré...

Si quelqu'un a une idée pour investiguer...

Cordialement

Résolue

Stormshield / VLAN / VPN

Posée par Jean Korn dans Open Community dans Administration

Bonjour, 
 
je possède sur le site n°1 un VLAN_5 (192.168.5.0/24) 
je possède sut le site n°2 un VLAN_5 (192.168.5.0/24) 
 
J’ai un VPN qui existe entre les 2 sites, malheureusement, je n'arrive pas a faire communiquer mes 2 VLAN ensemble. 
 
Dans la partie VPN des 2 stormshield 
j'ai bien : reseau local : Network_5  - reseau distant : reseau_5 
 
Dans la partie Filtrage et Nat des 2 stormshield 
j'ai une règle : 
"passer - source : reseau_5 - destination Network_5 " 
"passer - source Network_5 - reseau_5" 
 
sur un switch HP du site n°1, j'arrive a pinger un host sur le VLAN_5 situé sur le site n°1 
sur un switch HP du site n°2, j'arrive à pinger un host  du VLAN_5 situé sur le site n°2 
 
En revanche, je n'arrive pas à pinger un host du VLAN_5 situé sur le site n°2 à partir du VLAN_5 situé sur site n°1 et inversement. 
 
il doit me manquer un truc  
auriez vous une idée ? 
 
Merci

Résolue

Stormshield Global Administration 3.0 et Event Reporter disparu

Posée par Jean-François Godeliez dans Open Community dans Administration

Bonjour,

Je suis un nouvel utilisateur de Stormshield, et je commence à prendre en main le produit.

Lorsque je télécharger la suite d'administration en v3.0.0 (par le lien sur l'interface du FW), et que je l'installe, il n'y a plus d'application "Event Reporter" (par contre avec l'ancienne version 2.4 il était bien présent).

Savez-vous si il existe un moyen de le télécharger pour l'installer séparément ?

Ou sinon, avec quel autre produit je peux faire des analyses de logs ?

 

Bonne journée.

Jeff

Résolue

Stockage externe pour logs et traces

Posée par Nadia Z dans Open Community dans Administration

Bonjour,

 

Je constate qu'au niveau de la configuration des logs sur mon cluister de SN300 il m'est impossible de configurer une carte SD comme support externe de stockage. Quand je me rend dans la section "Détails de la licence" je vois que l'option est "Non disponible", néanmoins je ne trouve pas l'info dans l'espace privé MyStormshield d'ou je télécharge mes licences.

Comment peut-on l'activer pour générer le bon fichier de licence ?

Cette option est-elle payante ?

 

Merci d'avance.

Nadia.

Non résolue

[SNS v3.1] impossble de récupérer les CRLs

Posée par Steven dans Open Community dans Administration

Bonjour à tous.

Nous avons 2 clusters de boitiers SN910 en version 3.1. Ce matin, nous ne pouvons plus monter de tunnels vers ces boitiers.

Après une courte investigation, il semblerait que les boitiers ne puissent plus mettre à jour les CRLs.

Lorsque je fais un "checkcrl -d", toutes les CRL retournent des erreurs "errno 0" ou "ERR = 3". Certaines CRLs sont normalement récupérées en LDAP et d'autres en HTTP.

A t on moyen de trouver plus de logs sur les boitiers pour voir ce qu'il se passe?

Peut on lancer manuellement une récupération des CRLs?

Sinon comment débloquer notre situation, svp?

D'avance merci pour votre aide.

Résolue

Accéder à une dmz depuis l'extérieur

Posée par Malcolm Pascault dans Open Community dans Fonctionnalités et système

Bonjour,

J'aimerai accéder à ma DMZ depuis l'extérieur. J'aimerai connaître la meilleur façon de faire. J'ai une adresse ip publique que je réserve uniquement à ma DMZ.

Quels sont les règles de NAT à mettre en place pour que le flux internet arrivant sur cette IP publique soit redigiré vers mon serveur web? Ainsi que les règles de Filtrage ?

La transformation de l'IP publique en une URL se fait via le firewall ou mon propre DNS ?

Dois-je configurer quelques choses en particuliers au niveau des interfaces ou du routage ?

Une documention, un lien ou une information m'indiquant "Où chercher" m'irait très bien.

Je n'ai aucune connaissance dans ce domaine, veuillez m'excuser si mes questions sont bêtes.

PS : J'ai un SN910.

Merci pour votre temps.

Cordialement,
Malcolm PASCAULT

 

Résolue

Impossible de récupéré un CSR généré dans un SN700, erreur winscp

Posée par Mikyas Tadesse dans Open Community dans Fonctionnalités et système

Bonjour,

 

 Je rencontre un problème lorsque j'essaye de récupérer un fichier(csr) d'un SN700 (version os 2.7) avec winscp. L'erreur c'est : "Unexpected directory listing line 'drwxr-xr-x 18 admin wheel 512".

Est c que quelqu'un d'entre vous a déjà renconter ce problème ?

Quelles sont les autres solutions pour récupéré un fichier d'un boitier stormshield ?

 

Merci de votre retour,

Résolue

Lire les logs d'un SN910 via SSH

Posée par Malcolm Pascault dans Open Community dans Fonctionnalités et système

Bonjour,

Ayant un problème de lenteur sur un de mes serveurs et accusant mon firewall d'être la source de se ralentissement, je souhaiterai savoir comment lire mes logs de façon précise.

Je cherche en réalité à identifier "step by step" le voyage du serveur en question de son entrée à sa sortie sur mon FW.
Je me suis connecté en SSH sur mon SN mais j'ai peu de connaissance.
Une documentation ? Un endroit où regarder ? Des pistes ?

Merci par avance pour votre temps.

Cordialement,
Malcolm

Résolue

Problème VPN SSL (avec certificat)

Posée par Alexandre Szymkiw dans Open Community

Bonjour à tous,

Je veux configurer une connexion VPN SSL en authentifiant un utilisateur avec un certificat.

J'ai un FireWall SN300, j'ai créé un certificat server et un second client.

J'utilise le client VPN : SoftEther.

J'ai bien remis le certificat server et celui du client.

Ensuite j'ai bien rentré l'adresse du server et j'ai coché connexion TCP.

Et quand j'essaye de me connecter, cela me met un code erreur 1. Et dans wireshark je vois : alert handshake failure.

Pouvez-vous m'aider ?

Bien cordialement,

Alexandre Szymkiw

Messages d'alerte