124 Membres 1218 Contributions

Open Community

Discussions par mots clés : stormshield

Résolue

Real-Time Monitor Stormshield

Posée par Henri Erre dans Administration

Bonjour,

J'ai récupéré un réseau avec un StormShield SN510 en production.

Mon premier reflex étant de connecter le RTM dessus et voici le message que j'ai :

J'ai beau être en local, VPN SSL ou même taper depuis l'adresse WAN rien à faire, j'ai essayé plusieurs comptes, admin ou pas, même chose ...

Les ports 443 et 1300 sont ouverts, j'avoue sécher ...

Merci de votre aide.

PS : Pour info le firmware est version 3.4.0

Résolue

MAJ Firmware SN710 de 1.x à 3.x

Posée par Fat Dam dans Administration

Bonjour,

J'envisage à maj la version firmware de nos SN710 à partir du 1.5.0 à 3.x

Je procéderai comme suivant:

1/ vers v2.11.0

2/ ensuite vers v3.5.2

Pourriez-vous me confirmer que ces versions sont stables et que le passage aboutira?

car Je n'ai pas de retour d'expériences sur ces versions.

Merci.

 

Résolue

SN710 reset bouton problème

Posée par Fat Dam dans Matériels et performances

Bonjour,

On a acheté des firewalls SN710 pour faire les tests.
Pendant la configuration initiale, j'ai supprimé l'interface bridge par erreur.
Du coup, j'ai perdu la main du FW.
J'ai voulu le mettre en conf usine en appuyant sur le bouton RESET.
Mais je ne connais pas le délais car les voyants sont restés stables.

Je voudrais savoir une procédure si quelqu'un a déjà pratiqué.

Merci.

Ouverte

Meilleur visibilité des périphériques sur le tabeau de bord

Publiée par Fighter 777 dans Fonctionnalités et système

Bonjour,

 

depuis quelques temps, j'utilise le tableau de bord pour faire de l'administraton superficiel, hors lors du branchement d'un nouvel ordinateur sur le réseau, la seule chose que je vois indiqué est son IP.

il n'y aucune adresse mac et aucun nom affiché dans l'infobulle, pourtant ces informations peuvent être récupérés dans la partie trace du logiciel stormshield realtime monitor.

De même, le pare-feu ne possède pas de partie BAUD DHCP, je trouve cela dommage car il permet de connaitre les machines enregistrés dans le DHCP.

 

 

Cordialement.

Résolue

Vlan traversant BGP session

Posée par Loic Verriez

Bonjour à tous,

une petite question me traverse l'esprit .

Une session bgp entre deux equipements peut elle traverser par le biais d'un vlan traversant un firewall SN300. ?

Par avance, merci.

 

NB:Equipement1 Session BGP ------------||||FW|||-------BGP Equipement2

 

Non résolue

Temps de réponse élevé VPN SN160

Posée par Johann Bourbon dans Matériels et performances

Bonjour à tous !

Nous avons fait installer un VPN Stormshield SN160 par la société OBS afin d'assurer une maintenance à distance d'un de nos sites.

 

Le problème, c'est que les temps de réponses sont assez catastrophique (en moyenne 60ms), j'ai contacté OBS qui m'informe qu'ils ne peuvent pas faire mieux et je suis surpris.

 

Au niveau de l'ADSL côté VPN le débit est plus que correct, d'ailleurs pour palier à ce problème, nous utilisons teamviewer installé sur un poste du site et avec ce procédé nous y arrivons mais ce n'est pas la solution.

 

Ayant les droits administrateur de l'appareil, je voudrais savoir s'il n'y a pas des paramètres que je puisse modifier pour améliorer ce débit ?

 

En vous remerciant à tous d'avance pour votre aide.

 

Salutations.

 

Résolue

problème SGA port 1300

Posée par J 94 dans Administration

Bonjour,

 

Madame, Monsieur,

 

J'ai un problème avec mon équipement Stormshield SN200 concernant la mise en place de mon équipement sur ma topologie SGA .

Mon équipement Stormshield se trouve actuellement derrière mon routeur SFR.

Le port 1300 servant d'administration pour les équipements Stormshield Network Security (Firewall_srv : port TCP : 1300)  n'est pas pris en charge par mon routeur SFR , ce port est actuellement réservé par mon opérateur.

 

J'ai essayé une méthode,je ne sais pas si je peux faire cela.

 

Je m'explique,j'ai décidé par le biais de mon routeur d'ouvrir le port 1341 en remplacement pour mon routeur .Ayant créé un port sur mon stormshield (Storm : port TCP : 1341 ) sur mon stormshield et l'ayant attribué à mon groupe Admin_srv quand je créer ma topologie sur mon SGA,j'ai une connexion refusée.

Je signale que j'accède bien en HTTPS, sur mon Stormshield le logiciel Stormshield Real-Time Monitor est bien fonctionnel quand je regarde je n'ai...

Voir la suite
Non résolue

alarme filtrage

Posée par Olivier de Amicis dans Securité

bonjour !

je possede un SN700 depuis qq années, et je me penche sur les alarmes dernierement.

j'aimerai bien pouvoir desactiver completement le systeme IPS, beaucoup tro sensible a mon gout, mais il semble que ce n'est pas possible.

j'ai donc désactivé les alarmes qui me posaient des problemes de "bloquer" à "autoriser"

sauf que : sur une patte ou se trouve mon wifi, j'ai des alarmes de type :

anonymous  broadcast alarme de filtrage 

anonymous  broadcast  detection de protocol non autorisé (UDP)

ce sont des demandes en bootpc(68)

 

malheursement, je ne peux pas changer le mode bloquer par autoriser car l'option est grisée.

auriez vous une astuce pour soit :

- dévérouillé le mode grisé et passer mon option a autoriser ?

- desactivé completement le mode IPS dont je ne me sert pas (tout est sur Firewall car lIDS et l'IPS me saquagent les connexions réseaux)

 

merci d'avance pour vos lumieres.

 

amicalement

 

oliv

 

Résolue

OverTheBox et SN300

Posée par Joffrey B dans Administration

Bonjour,

Nous avons actuellement un stormshield SN300 avec 2 liens internet (fibre + ovh) et deux boxes 4G (oui nous sommes dans le désert numérique) configurés pour faire de la répartition de charge. Nous allons nous munir de la solution OVERTHEBOX d'OVH d'ici la semaine prochaine pour aggréger les 4 connexions. Toutefois je ne vois pas trop quelles configurations appliquées  pour faire fonctionner le tout. 

Je vous remercie d'avance et vous souhaite une bonne fin de journée. 

Résolue

Stormshield et multicast

Posée par Yannick Dalencon dans Administration

Bonjour,

J"essaye tant bien que mal de faire du routage multicast statique sur un SN300 en v3.2.1

J'ai défini l'objet que représente mon groupe multicast, l'interface source et celle de destination. Cependant ça ne fonctionne pas.

Bien sur le routage multicast statique est activé, et ma règle est activée aussi.

Ai-je manqué quelques choses?

 

Merci

Résolue

SHA256 et certificat auto signé (stormshield)

Posée par Jean Korn dans Administration

Bonjour

j'ai un Stormshield v 2.5.1,

je rencontre des problèmes avec le certificat autosigné en SHA-1 sur Google Chrome et les iDevices sous iOS 11.

Je souhaite donc mettre à jour mes certificats en SHA-256.

pour le certificat "serveur" avec cette commande

"setconf /Firewall/ConfigFiles/Certificates/SSL\ proxy\ default\ authority/CA.conf server digest sha256"

cela me génère bien un certificat en SHA256

 En revanche, le certificat racine reste en SHA1. Comment peut-on faire pour générer un certificat racine autosigné en SHA256 ?

Merci

Non résolue

Interco publique avec interface VLAN

Posée par Entrax Entrax dans Administration

Hello all,

J'administre depuis peu des SN510 & + et je suis resté avec le même problème sur chacun d'eux.

 

J'ai mon routeur A et mon SNXXX B (version 3.2.1).

Je souhaite faire une interco publique entre les deux sur vlan.

 

Device A : Interface 1 porte l'ip publique : X.X.X.1 en VLAN 3.

Device B :

- Interface VLAN1 qui porte l'ip publique X.X.X.2 en VLAN 3;

- Gateway de l'interface VLAN1 : X.X.X.1;

- Route par défaut : IP pub du device A.

 

Tests :

- Depuis le device A :

>> ping interface int1 X.X.X.2 : OK

>> telnet interface int1 X.X.X.2 port 443 : KO ( mais je vois le flux arrivé en tcpdump sur le SN)

>> ping interface int1 8.8.8.8 : OK

 

- Depuis le device B :

>> ping -S IP_VLAN1 X.X.X.1 : OK

>> ping -S IP_VLAN1 8.8.8.8 : KO - "Ping: sendto: Network is down"

 

Dans mes règles, j'autorise bien l'icmp et mon routeur à venir en 443 pour les tests.

J'ai ajouté également des règles pour autorisé un device C pour les tests mais les...

Voir la suite
Résolue

Option forwarding Stormshield v50

Posée par Foutatoro dans Fonctionnalités et système

Bonjour à tous,

J'ai mis en place la topologie suivante "réseau-1 " <--> "stormshield" <--> "resau distant", 
je veux que le stomshield fasse office de routeur afin de permettre aux clients du réseau-1 d'atteindre le réseau distant.

Le réseau distant est atteignable depuis la stormshield mais je n'arrive pas à activer l'option forwarding pour que stormshield fasse suivre les paquets du reseau-1.

Quelqu'un pourrait me suggerer une solution à ce probleme ?

Cordialement

Résolue

VPN IPsec ok mais aucun traffic entre Arkoon FAST360 et Stormshield SNS

Posée par Guillaume dans Fonctionnalités et système

Bonjour,

J'ai un souci pour la mise en place d'un VPN IPSec entre un Arkoon FAST360 (V5.0) et un Stromshield SN510 (v3.2.1).

Mon VPN monte bien, mais je n'ai aucun traffic entre les 2 LAN

voila la config du VPN :

clé partagé PSK
IKE DH2 MODP 1024bits, authentification SHA2_256, Chiffrement AES 256

le VPN est UP dans les log des 2 cotés mais je ne ping et n'accède à rien entre les deux LAN.
J'ai pensé que mes règles de flux était en cause mais j'ai l'impression que tous est ok

coté Arkoon :

  • Sources : LAN_local,LAN_disant
  • Destination : LAN_local,LAN_disant
  • Service : rien mis à cette endroit
  • Action : accepter
  • Translation : rien mis à cette endroit
  • Segment de chiffrement : 2 lignes
  •     source : appliance, destination : rien, chiffré par VPN specif, Mon tunnel
  •     source : rien, destination : appliance, chiffré par VPN specif, Mon tunnel

coté stromshield :
regle 1

  •   source : LAN_distant via Tunnel VPN IPsec, port : any
  •   destination : Network_lan_local, port : any
  •  
  • ...
Voir la suite
Non résolue

[SNS 3.2.0] Filtrer le traffic SSL entrant à l'aide d'un certificat specifique

Posée par Vianney Petit dans Fonctionnalités et système

Bonjour à tous,

 

J'ai des services accessibles publiquement en HTTPS derriére une applicance Stormshield. Je souhaiterai pouvoir bénéficier de la protection de l'IPS pour ces services.

Savez-vous s'il est possible de configurer le pare-feu / proxy SSL pour déchiffrer le traffic correspondant à une régle de filtrage à l'aide d'un certificat + clé privée spécifique (au lieu d'en générer un à la volé avec l'autorité de certification du proxy SSL) ?

Je précise que je n'ai pas besoin de SNI, j'ai un certificat wildcard unique qui couvre tous ces services.

 

Merci d'avance pour tout conseil ou toute indication que vous auriez sur la maniére dont je pourrais réaliser cela.

Résolue

Problème double authentification Agent SSO

Posée par Tony C dans Securité

Bonjour,

Je rencontre un problème sur mon firewall stormshield U250S en version 2.7.0.

Quand un utilisateur s'authentifie avec l'agent SSO, il se connecte à plusieurs IP en meme temps,(voir doc joint) du coup des personnes se retouvre connecter avec le mauvais nom d'utilisateur et donc pas forcement le bon filtrage URL.

J'ai mis à jour l'agent SSO 1.4 > 1.5 mais toujours le meme problème.

Merci d'avance.

Cordialement.

 

Non résolue

Equivalence stormshield / Arkoon, dimensionnement

Posée par Benoît B dans Matériels et performances

Bonjour,

D'après vos expériences, quelle serait l'équivalence stormshield pour remplacer un P1206 arkoon?

Plus généralement, pour une société entre 70 et 100 personnes, quelle appliance stormshield vous semble raisonnable?

Et sur des sites jusqu'a 10 utilisateurs?

 

Merci d'avance de vos contributions

--

Benoît

Non résolue

Stormshield, QoS

Posée par Jean Korn dans Administration

Bonjour,

Grâce toujours à vos bons conseils, j'arrive à la fin de mon paramétrage 

 

je dois maintenant mettre en place de la QoS pour de la VoIP.

J'ai fait la demande au niveau de l'opérateur.

Au niveau de mes 2 Stormshield, comment faire pour mettre en place  du "QoS niveau 3 DiffServ Best Effort" demandé par notre téléphoniste ?

 

j'ai bien vu comment  appliquer la règle :

Configuration->politique de sécurité->Filtrage et Nat -> sélection de la règle -> Action -> Qualité de service

Pour créer la file d'attente, "Configuration->politique de sécurité->Qualité de service".

Mais comment la paramétrer ?

Merci

Messages d'alerte