-364 Membres 1386 Contributions

Open Community

Questions

Non résolue

Mise en place d'une DMZ

Posée par Bs 45S dans Administration

Bonjour à tous,

Je dois mettre en place une DMZ dans mon entreprise et c'est une première. C'est pour un serveur FTP. J'aimerais savoir si ce que je compte faire est bon ou à l'inverse, est une belle erreur. Merci par avance. :-) 

Actuellement, nous avons un SN510 qui fait office de coeur de réseau. Une interface est paramétrée avec différentes IP en 192.168.X.254/24 suivant les services nécessaires (plage PC, Wiifi, serveurs, etc...), ceci est donc notre LAN. A savoir également que notre routeur fibre est branchée sur une autre interface.

Pour la mise en place de la DMZ, je pensais brancher notre serveur FTP sur une 3ème interface. Par exemple, l'IP de l'interface du SN serait 10.0.1.254/24 et l'IP du serveur en 10.0.1.10/24. Cette partie là est-elle déjà bonne ?

Concernant les flux, j'ai besoin que certains utilsateurs accèdent à ce serveur FTP, je peux paramétrer une règle avec les users renseignés ? Le SN est relié à notre AD.  

Pour l'externe, les clients...

Voir la suite
Non résolue

TimeOut sur Authentification à 2 facteurs

Posée par Alain Sanna dans Securité

Bonjour,

Afin de sécuriser les accès VPN SSL, je souhaite ajouter un serveur RADIUS qui gère un deuxième facteur d'authentification (OTP, SMS ...) .

Ca fonctionne ... pour peu que l'utilisateur soit très rapide à saisir son 2ieme facteur sinon le client VPN part en timeout.

 

Malgré mes recherche, je n'ai pas trouvé comment augmenter le temps d'autorisation de connexion ni dans l'interface Stormshield (SN310) ni dans le client côté PC. ça ne semble pas non plus être un paramètre accessible au niveau du serveur RADIUS.

Quelqu'un connait t'il un moyen de régler ce timeout ?

 

Non résolue

IPS - Fonctionnement blocage des paquets

Posée par Rosarosa21 dans Fonctionnalités et système

Bonjour, 

Dans le cadre de la mise en place du paramétrage ips sur un SN2000, nous avons paramétré le firewall avec un nombre limite de connexions  : X sur le protocole tcp/udp . Celui-ci a été atteint  et cela est visible dans les  logs cependant aucun blocage par le fw n' est constaté. Quelles actions supplémentaire devons-nous mettre en place afin d'y parvenir s'il vous plaît.

Non résolue

Modification réseau d'une interface

Posée par Jean Korn dans Administration

Bonjour,
Sur notre SN510, j'ai une interface Public(3)  dont le réseau associé est 192.168.7.0/24 malheureusement c'est plage IP est trop restreinte pour mes besoins : Wifi ouvert.


Est-il possible de changer de plage d'IP afin d'obtenir un nombre plus important d'IP ?

 

Merci

Non résolue

SN210 - configuration de port entrant - Débutant

Posée par Bernard Coudron dans Administration

Bonjour,

Je découvre cette gamme de firewalls chez un nouveau client, et j'ai quelques problèmes pour aborder sa configuration.

J'essaie tout simplement de configurer un accès entrant (venant d'internet), du port RDP (TCP 3389) et le rediriger vers un serveur interne (avec le port 3389 actif et ouvert sur le serveur - et le host créé avec la bonne IP interne).

 

J'ai configuré le firewall :

 

Et j'ai configuré le NAT :

 

Mais ça ne passe pas.

 

Pourriez-vous SVP m'aider à trovuer mon erreur ?

Merci d'avance pour votre aide.

Non résolue

Changement interface HA sur SNS

Posée par Bruno dans Fonctionnalités et système

Bonjour,

Je dispose en production d'un cluster de SN6100 en version 4.1.4, situé sur un même site. Les liens HA entre les 2 appliances sont actuellement sur des interfaces Ethernet.

Suite à la restructuration de notre organisation, je vais devoir séparer les 2 appliances sur 2 sites distincts reliés via des fibres noires. Je vais donc devoir changer les interfaces HA pour les positionner sur des nouvelles interfaces fibre disponibles. Quelqu'un a t'il des retours pour la reconstruction de cluster HA en utilisant de nouvelles interfaces ?

J'ai déjà pris connaissance de la KB (https://kb.stormshield.eu/en/network-security/sns-appliance/system/high-availability/how-to-rebuild-the-ha-cluster) mais si des utilisateurs qui ont déjà effectué cette opération pouvaient me faire un retour d'expérience je suis preneur.
Merci de vos retours

 

Cordialement

Bruno

Non résolue

Stormshield SN500 - Limite de taille de fichier téléchargé

Posée par Alain Bosco dans Administration

Bonjour.

Sur un SN500 en version 3.7.14 j'essaye de mettre en oeuvre une limite de taille de fichier téléchargé.
Dans la partie "Application Protection" puis "Protocols" puis "Analyzing file" du http concerné je mets 102400 en taille limite (100 Mo).
Quand je fais des tests je vois que la règle de nat et le numéro d'ips prévus sont bien utilisés mais je peux tout de même télécharger n'importe quels fichiers.

Dans l'onglet IPS si je bloque la commande GET tous les téléchargements sont bien bloqués ce qui confirme que je modifie bien le bon protocole.

Quels sont les réglages à faire pour mettre en oeuvre la limite de taille svp ?

Non résolue

Mise à jour antivirus Kaspersky via serveur de dépôt - HTTP/1/1 403 Forbidden

Posée par Anonyme dans Securité

Bonjour, 

Nous voulons mettre à jour l'antivirus Kaspersky sur  les SN2000. Pour cela ,nous disposons d'un serveur de dépôt linux  possèdant les packages de mise à jour téléchargés sur le site de Forcepoint. Le problème  est que l'on a l'erreur suivante lorsque le  firewall tente de récupérer ces packages sur le serveur : HTTP/1/1 403 Forbidden. Aucun flux est bloqué  entre le serveur de dépôt et le firewalls. La mise à jour de la base antivirale échoue dû à cette erreur. 

Avez-vous pû rencontré ce type de problème à la suite  de la mise à jour de l'antivirus Kaspersky sur vos firewalls  s'il vous plaît ? 

Non résolue

VPN Stormshield - limite de temps d'accès

Posée par Jean Pierre dans Fonctionnalités et système

Bonsoir,

Administrateur d'un FW Stormshield  EVA2 avec des clients Stormshield VPN SSL, j'ai des pb de deconnexion.
A savoir que si un client oublie de déconnecter son VPN, il reste connecté si'il n'arrête pas son PC.

J'ai même fait un cas : une fois connecté, vous plier l'écran pour être en veille, vous revenez le lendemain et zou, le VPN est encore ouvert !!!

Est-ce qu'il y a une solution pour fermer ce VPN si la session est en veille ou le sans activité depuis ... heures ?

Par avance merci.

P.S. : l'identification se fait en mode Radius.

Non résolue

Comment Nat le port 443 quand il est déjà utilisé ?

Posée par Nash Daniel dans Trucs et Astuces

Bonjour,

 

J'ai un SN310, j'ai le port https - 443 qui est déjà utilisé par un serv exchange et je ne peux pas le changer pour des problèmes de certificats.

Le truc c'est que j'ai monté un cloud via un XAMPP sur un windows serv et que pour installer un certificat SSL il faut utiliser le port 443. 

Je souhaite donc savoir comment vous procéder dans ce genre de configuration ? 

 

Merci pour vos retours,

Résolue

Soucis avec FILTRAGE URL sur SN710 ...

Posée par Johann Coquillet dans Administration

Bonjour,

Je rencontre un soucis avec un SN710 et le filtrag URL.
Lorsque je rentre une catégorie et que je valide la config, pas d'erreur, mais quand je reviens sur ma règle de filtrage, j'ai le message d'erreur comme joint.
Quelqu'un aurait il une idée pour que je solutionne.
A noter que cela le fait sur n'importe quel filtrage !!

Merci de votre aide

Johann

Non résolue

L2TP/IPSEC SN310

Posée par Patrick Leroux dans Fonctionnalités et système

bonjour,

J'ai une extension de 3 LANs a réaliser au travers de deux boitiers SN310 par IPSEC. Ceci n'étant pas possible en réalisant un tunnel IPSEC classique, j'envisage la solution L2TP / IPSEC. est ce réalisable sur stormshield ?

 

Merci

Non résolue

Stormhield API python

Posée par Hunter Fi dans Securité

Bonjour,

J'aimerais avoir votre aide concernant l'API python.

En effet, j'ai un SIEM (Security Information and Event Management), qui a la possibilité d'envoyer des alertes via des webhook, et j'aimerais automatiser la réponse de mon SIEM, (Ex: s'il détecte un scan de port, il bloque tutomatiquement l'adresse IP source sur le firewall).et j'ai lu sur github que l'API python peut répondre à cette problématique mais je n'ai pas su comment l'utiliser.

pouvez-vous me donner quelques examples de configuration, et comment le connecter à mon SIEM et mon firewall?

 

Merci pour votre aide.

Bien cordialement.

Résolue

Limitation

Posée par Sébastien Malescot dans Fonctionnalités et système

Bonjour à tous j'ai mis en place depuis un bon moment ce genre de règle pour réalisé du filtrage https et http. par contre je rencontre un léger soucis.

 

nous possedons une fibre optique 500 mega dediée à l'internet et chaque collaborateur qui est log sur le stormshield via l'agent ne peux aller au dela de 2 mbit ?

 

0_o

 

Auriez vous une idée?

 

Merci d'avance.

 

Bonne journée.

 

Cordialement

Non résolue

SN510 Avec plusieurs liaison WAN ...

Posée par Johann Coquillet dans Fonctionnalités et système

Bonjour,

J'ai chez un de mes clients un SN510 avec 3 liaisons Internet différentes pour répartir les flux entre les postes et serveurs, et une dernière liaison 4G en secours.
Pour dispatcher les accès Internet entre les liaisons pas de soucis, mais j'ai un problème sur l'ouverture de port et surtout le "https".

En fait, l'ouverture du port "https" sur la liaison WAN principal, pas de soucis, cela fonctionne.
Par contre, j'ai un serveur Exchange derrière une autre sortie WAN1. En entrée, le port smtp pour la réception des mails, pas de soucis, mais dès que j'ouvre le port "https" avec la même config, cela ne fonctionne pas.

Du coup, je me demande si il n'y a pas une restriction lié à l'interface WebAdmin, ou quelque chose comme cela qui est sur l'interface WAN.

Si quelqu'un à une idée pour que je puisse chercher.

Cordialement et merci !!

Non résolue

lenteur VPN via stormshield

Posée par Sylvain Paquet dans Matériels et performances

Bonjour

Je me permets de venir vers vous car j'ai un client qui rencontre un soucis de lenteur sur un vpn via un stormshield.

Juste petite précision mon client voulait absoluement prendre orange pour ses liens internet je lui ai donc dit de voir avec orange pour gérer les liens VPN en même temps.

En attendant que orange n'installe leur équipement j'ai installé mes propres équipements afin qu'il puisse travailler. Je tiens à preciser lorsque mes équipements étaient installés tout fonctionnait bien.

Déjà un topo sur l'infra de mon client.

Vu les débits internet en adsl de mon client voici ce que je lui ai préconisé pour ses sites

il possède 3 sites

chaque site possède un lien adsl pour le surf et un lien SDSL 4Mo pour le vpn

les sites distant utilisent se connectent sur un serveur RDS pour utiliser leur application

Donc orange a configuré les liens sur les stormshield afin de bien repartir chaque liens

Mais depuis qu'orange à installer les stormshield mon client...

Voir la suite
Résolue

Stormshield SNS4 - VPN IPSEC. Soucis de tunnels. help :)

Posée par Chuck Maurice dans Fonctionnalités et système

Bonjour la communauté,

Je fais face à un souci concernant un tunnel site-to-site IPSEC.

Je dois atteindre plusieurs machines faisant partie du même subnet distant via un tunnel.

Les machines ne sont joignables uniquement lorsque je monte un tunnel par machine et non pas plusieurs dans le même tunnel, ni même si elles sont réparties dans plusieurs tunnels.

Un seul tunnel peut monter à la fois. J'ai l'impression qu'il y a une sorte de concurrence.

Que puis-je faire à part faire des incantations de magie autour du boitier ?

Merci :)

Non résolue

Stormshield SN510 Création d'un certificat avec Let's encrypt pour le portail Captif.

Posée par Jason.p dans Securité

Bonjour à tous. 

 

Depuis quelques temps déjà, nous rencontrons un problème de certificat sur notre portail d'authentification des utilisateurs sur Stormshield. En effet, le certificat par défaut utilise un algorithme de signature et un algorithme de hachage des signatures en SHA1. Cela signifie que sur la plupart des navigateurs il est impossible d'accéder au portail d'authentification, ou du moins de manière simple pour les utilisateurs de notre service informatique. Avec l'arrivée du petit dernier de chez Microsoft (Microsoft Edge), les utilisateurs rencontrent encore plus de problèmes qu'avant pour accéder à la page d'authentification des utilisateurs. Dans une optique de nous rendre la vie plus simple autant pour moi que pour les utilisateurs j'aimerai changer de certificat en utilisant Let's Encrypt pour avoir une certificat vérifié et de ne pas passer par une méthode d'auto signature. Je mets une capture d'écran de notre portail d'authentification à votre...

Voir la suite
Non résolue

Mise en place d'une DMZ

Posée par Bs 45S dans Administration

Bonjour à tous,

Je dois mettre en place une DMZ dans mon entreprise et c'est une première. C'est pour un serveur FTP. J'aimerais savoir si ce que je compte faire est bon ou à l'inverse, est une belle erreur. Merci par avance. :-) 

Actuellement, nous avons un SN510 qui fait office de coeur de réseau. Une interface est paramétrée avec différentes IP en 192.168.X.254/24 suivant les services nécessaires (plage PC, Wiifi, serveurs, etc...), ceci est donc notre LAN. A savoir également que notre routeur fibre est branchée sur une autre interface.

Pour la mise en place de la DMZ, je pensais brancher notre serveur FTP sur une 3ème interface. Par exemple, l'IP de l'interface du SN serait 10.0.1.254/24 et l'IP du serveur en 10.0.1.10/24. Cette partie là est-elle déjà bonne ?

Concernant les flux, j'ai besoin que certains utilsateurs accèdent à ce serveur FTP, je peux paramétrer une règle avec les users renseignés ? Le SN est relié à notre AD.  

Pour l'externe, les clients...

Voir la suite
Non résolue

TimeOut sur Authentification à 2 facteurs

Posée par Alain Sanna dans Securité

Bonjour,

Afin de sécuriser les accès VPN SSL, je souhaite ajouter un serveur RADIUS qui gère un deuxième facteur d'authentification (OTP, SMS ...) .

Ca fonctionne ... pour peu que l'utilisateur soit très rapide à saisir son 2ieme facteur sinon le client VPN part en timeout.

 

Malgré mes recherche, je n'ai pas trouvé comment augmenter le temps d'autorisation de connexion ni dans l'interface Stormshield (SN310) ni dans le client côté PC. ça ne semble pas non plus être un paramètre accessible au niveau du serveur RADIUS.

Quelqu'un connait t'il un moyen de régler ce timeout ?

 

Non résolue

IPS - Fonctionnement blocage des paquets

Posée par Rosarosa21 dans Fonctionnalités et système

Bonjour, 

Dans le cadre de la mise en place du paramétrage ips sur un SN2000, nous avons paramétré le firewall avec un nombre limite de connexions  : X sur le protocole tcp/udp . Celui-ci a été atteint  et cela est visible dans les  logs cependant aucun blocage par le fw n' est constaté. Quelles actions supplémentaire devons-nous mettre en place afin d'y parvenir s'il vous plaît.

Non résolue

Modification réseau d'une interface

Posée par Jean Korn dans Administration

Bonjour,
Sur notre SN510, j'ai une interface Public(3)  dont le réseau associé est 192.168.7.0/24 malheureusement c'est plage IP est trop restreinte pour mes besoins : Wifi ouvert.


Est-il possible de changer de plage d'IP afin d'obtenir un nombre plus important d'IP ?

 

Merci

Non résolue

SN210 - configuration de port entrant - Débutant

Posée par Bernard Coudron dans Administration

Bonjour,

Je découvre cette gamme de firewalls chez un nouveau client, et j'ai quelques problèmes pour aborder sa configuration.

J'essaie tout simplement de configurer un accès entrant (venant d'internet), du port RDP (TCP 3389) et le rediriger vers un serveur interne (avec le port 3389 actif et ouvert sur le serveur - et le host créé avec la bonne IP interne).

 

J'ai configuré le firewall :

 

Et j'ai configuré le NAT :

 

Mais ça ne passe pas.

 

Pourriez-vous SVP m'aider à trovuer mon erreur ?

Merci d'avance pour votre aide.

Non résolue

Changement interface HA sur SNS

Posée par Bruno dans Fonctionnalités et système

Bonjour,

Je dispose en production d'un cluster de SN6100 en version 4.1.4, situé sur un même site. Les liens HA entre les 2 appliances sont actuellement sur des interfaces Ethernet.

Suite à la restructuration de notre organisation, je vais devoir séparer les 2 appliances sur 2 sites distincts reliés via des fibres noires. Je vais donc devoir changer les interfaces HA pour les positionner sur des nouvelles interfaces fibre disponibles. Quelqu'un a t'il des retours pour la reconstruction de cluster HA en utilisant de nouvelles interfaces ?

J'ai déjà pris connaissance de la KB (https://kb.stormshield.eu/en/network-security/sns-appliance/system/high-availability/how-to-rebuild-the-ha-cluster) mais si des utilisateurs qui ont déjà effectué cette opération pouvaient me faire un retour d'expérience je suis preneur.
Merci de vos retours

 

Cordialement

Bruno

Non résolue

Stormshield SN500 - Limite de taille de fichier téléchargé

Posée par Alain Bosco dans Administration

Bonjour.

Sur un SN500 en version 3.7.14 j'essaye de mettre en oeuvre une limite de taille de fichier téléchargé.
Dans la partie "Application Protection" puis "Protocols" puis "Analyzing file" du http concerné je mets 102400 en taille limite (100 Mo).
Quand je fais des tests je vois que la règle de nat et le numéro d'ips prévus sont bien utilisés mais je peux tout de même télécharger n'importe quels fichiers.

Dans l'onglet IPS si je bloque la commande GET tous les téléchargements sont bien bloqués ce qui confirme que je modifie bien le bon protocole.

Quels sont les réglages à faire pour mettre en oeuvre la limite de taille svp ?

Non résolue

Mise à jour antivirus Kaspersky via serveur de dépôt - HTTP/1/1 403 Forbidden

Posée par Anonyme dans Securité

Bonjour, 

Nous voulons mettre à jour l'antivirus Kaspersky sur  les SN2000. Pour cela ,nous disposons d'un serveur de dépôt linux  possèdant les packages de mise à jour téléchargés sur le site de Forcepoint. Le problème  est que l'on a l'erreur suivante lorsque le  firewall tente de récupérer ces packages sur le serveur : HTTP/1/1 403 Forbidden. Aucun flux est bloqué  entre le serveur de dépôt et le firewalls. La mise à jour de la base antivirale échoue dû à cette erreur. 

Avez-vous pû rencontré ce type de problème à la suite  de la mise à jour de l'antivirus Kaspersky sur vos firewalls  s'il vous plaît ? 

Non résolue

VPN Stormshield - limite de temps d'accès

Posée par Jean Pierre dans Fonctionnalités et système

Bonsoir,

Administrateur d'un FW Stormshield  EVA2 avec des clients Stormshield VPN SSL, j'ai des pb de deconnexion.
A savoir que si un client oublie de déconnecter son VPN, il reste connecté si'il n'arrête pas son PC.

J'ai même fait un cas : une fois connecté, vous plier l'écran pour être en veille, vous revenez le lendemain et zou, le VPN est encore ouvert !!!

Est-ce qu'il y a une solution pour fermer ce VPN si la session est en veille ou le sans activité depuis ... heures ?

Par avance merci.

P.S. : l'identification se fait en mode Radius.

Non résolue

Comment Nat le port 443 quand il est déjà utilisé ?

Posée par Nash Daniel dans Trucs et Astuces

Bonjour,

 

J'ai un SN310, j'ai le port https - 443 qui est déjà utilisé par un serv exchange et je ne peux pas le changer pour des problèmes de certificats.

Le truc c'est que j'ai monté un cloud via un XAMPP sur un windows serv et que pour installer un certificat SSL il faut utiliser le port 443. 

Je souhaite donc savoir comment vous procéder dans ce genre de configuration ? 

 

Merci pour vos retours,

Non résolue

L2TP/IPSEC SN310

Posée par Patrick Leroux dans Fonctionnalités et système

bonjour,

J'ai une extension de 3 LANs a réaliser au travers de deux boitiers SN310 par IPSEC. Ceci n'étant pas possible en réalisant un tunnel IPSEC classique, j'envisage la solution L2TP / IPSEC. est ce réalisable sur stormshield ?

 

Merci

Non résolue

Stormhield API python

Posée par Hunter Fi dans Securité

Bonjour,

J'aimerais avoir votre aide concernant l'API python.

En effet, j'ai un SIEM (Security Information and Event Management), qui a la possibilité d'envoyer des alertes via des webhook, et j'aimerais automatiser la réponse de mon SIEM, (Ex: s'il détecte un scan de port, il bloque tutomatiquement l'adresse IP source sur le firewall).et j'ai lu sur github que l'API python peut répondre à cette problématique mais je n'ai pas su comment l'utiliser.

pouvez-vous me donner quelques examples de configuration, et comment le connecter à mon SIEM et mon firewall?

 

Merci pour votre aide.

Bien cordialement.

Non résolue

SN510 Avec plusieurs liaison WAN ...

Posée par Johann Coquillet dans Fonctionnalités et système

Bonjour,

J'ai chez un de mes clients un SN510 avec 3 liaisons Internet différentes pour répartir les flux entre les postes et serveurs, et une dernière liaison 4G en secours.
Pour dispatcher les accès Internet entre les liaisons pas de soucis, mais j'ai un problème sur l'ouverture de port et surtout le "https".

En fait, l'ouverture du port "https" sur la liaison WAN principal, pas de soucis, cela fonctionne.
Par contre, j'ai un serveur Exchange derrière une autre sortie WAN1. En entrée, le port smtp pour la réception des mails, pas de soucis, mais dès que j'ouvre le port "https" avec la même config, cela ne fonctionne pas.

Du coup, je me demande si il n'y a pas une restriction lié à l'interface WebAdmin, ou quelque chose comme cela qui est sur l'interface WAN.

Si quelqu'un à une idée pour que je puisse chercher.

Cordialement et merci !!

Non résolue

lenteur VPN via stormshield

Posée par Sylvain Paquet dans Matériels et performances

Bonjour

Je me permets de venir vers vous car j'ai un client qui rencontre un soucis de lenteur sur un vpn via un stormshield.

Juste petite précision mon client voulait absoluement prendre orange pour ses liens internet je lui ai donc dit de voir avec orange pour gérer les liens VPN en même temps.

En attendant que orange n'installe leur équipement j'ai installé mes propres équipements afin qu'il puisse travailler. Je tiens à preciser lorsque mes équipements étaient installés tout fonctionnait bien.

Déjà un topo sur l'infra de mon client.

Vu les débits internet en adsl de mon client voici ce que je lui ai préconisé pour ses sites

il possède 3 sites

chaque site possède un lien adsl pour le surf et un lien SDSL 4Mo pour le vpn

les sites distant utilisent se connectent sur un serveur RDS pour utiliser leur application

Donc orange a configuré les liens sur les stormshield afin de bien repartir chaque liens

Mais depuis qu'orange à installer les stormshield mon client...

Voir la suite
Non résolue

Stormshield SN510 Création d'un certificat avec Let's encrypt pour le portail Captif.

Posée par Jason.p dans Securité

Bonjour à tous. 

 

Depuis quelques temps déjà, nous rencontrons un problème de certificat sur notre portail d'authentification des utilisateurs sur Stormshield. En effet, le certificat par défaut utilise un algorithme de signature et un algorithme de hachage des signatures en SHA1. Cela signifie que sur la plupart des navigateurs il est impossible d'accéder au portail d'authentification, ou du moins de manière simple pour les utilisateurs de notre service informatique. Avec l'arrivée du petit dernier de chez Microsoft (Microsoft Edge), les utilisateurs rencontrent encore plus de problèmes qu'avant pour accéder à la page d'authentification des utilisateurs. Dans une optique de nous rendre la vie plus simple autant pour moi que pour les utilisateurs j'aimerai changer de certificat en utilisant Let's Encrypt pour avoir une certificat vérifié et de ne pas passer par une méthode d'auto signature. Je mets une capture d'écran de notre portail d'authentification à votre...

Voir la suite
Non résolue

Ping -l supérieur à 68octets bloqué

Posée par Nicolas Jacopin dans Fonctionnalités et système

Bonjour, 

Voulais tester la fragmentation suite à la mise en place du boitier chez un client. Je suis pour le coup étonné du résultat, lorsque je fais un 

ping 8.8.8.8. -f -l 1200

J’ai en réponse:

Envoi d’une requête 'Ping' 8.8.8.8 avec 1200 octets de données :
Délai d’attente de la demande dépassé.

Il faut que je descende à 68  pour avoir une réponse. 

ping 8.8.8.8 -f -l 68

Envoi d’une requête 'Ping' 8.8.8.8 avec 68 octets de données :
Réponse de 8.8.8.8 : octets=68 temps=26 ms TTL=116
Réponse de 8.8.8.8 : octets=68 temps=26 ms TTL=116
Réponse de 8.8.8.8 : octets=68 temps=26 ms TTL=116
Réponse de 8.8.8.8 : octets=68 temps=27 ms TTL=116

Statistiques Ping pour 8.8.8.8:
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 26ms, Maximum = 27ms, Moyenne = 26ms

si ça peut aider, j'ai réglé la valeur mss à 1300 sur les profils 00 et 01. 

Vous avez une explication ?

Je suis...

Voir la suite
Non résolue

Création d'un webhook firewall stormshield

Posée par Hunter Fi dans Trucs et Astuces

Bonjour,

Actuellement j'utilise le SIEM ELK et je voudrais envoyer des requêtes à partit de mon SIEM vers le firewall pour créer de nouvelle règles pour pouvoir faire de la réponse automatique une fois une attaque est détectée. Pour cela, j'ai besoin d'utiliser un webhook mais je n'ai aucune idée de comment le mettre en place et comment l'utiliser.

Pouvez-vous me donner quelques informations sur ce sujet s'il vous plaît !

 

Merci à vous!

Bonne journée :)

Non résolue

résolution de nom entre réseau wifi et réseau IN

Posée par Nicolas Jacopin dans Fonctionnalités et système

Bonsoir, 

j'ai mis en place un SN160W, comme son nom l'indique, il fait wifi. tout marche nickel sauf la résolution de nom entre le wifi et le reseau IN. j'ai pourtant créé deux règles pour autoriser le traffic entre ces deux réseaux. j'ai laisser le protocol à any pour l'instant. ci joint la configuration DHCP. tout marche bien, je peux attaquer mon serveur en tse ou naviger sur internet mais je ne peux pas mapper un lecteur réseau avec le nom de mon serveur. sa marche avec son IP. si vous avez une idée je suis reneur car je suis sur que c'est une connerie.

Merci 

Nico

Résolue

Soucis avec FILTRAGE URL sur SN710 ...

Posée par Johann Coquillet dans Administration

Bonjour,

Je rencontre un soucis avec un SN710 et le filtrag URL.
Lorsque je rentre une catégorie et que je valide la config, pas d'erreur, mais quand je reviens sur ma règle de filtrage, j'ai le message d'erreur comme joint.
Quelqu'un aurait il une idée pour que je solutionne.
A noter que cela le fait sur n'importe quel filtrage !!

Merci de votre aide

Johann

Résolue

Limitation

Posée par Sébastien Malescot dans Fonctionnalités et système

Bonjour à tous j'ai mis en place depuis un bon moment ce genre de règle pour réalisé du filtrage https et http. par contre je rencontre un léger soucis.

 

nous possedons une fibre optique 500 mega dediée à l'internet et chaque collaborateur qui est log sur le stormshield via l'agent ne peux aller au dela de 2 mbit ?

 

0_o

 

Auriez vous une idée?

 

Merci d'avance.

 

Bonne journée.

 

Cordialement

Résolue

Stormshield SNS4 - VPN IPSEC. Soucis de tunnels. help :)

Posée par Chuck Maurice dans Fonctionnalités et système

Bonjour la communauté,

Je fais face à un souci concernant un tunnel site-to-site IPSEC.

Je dois atteindre plusieurs machines faisant partie du même subnet distant via un tunnel.

Les machines ne sont joignables uniquement lorsque je monte un tunnel par machine et non pas plusieurs dans le même tunnel, ni même si elles sont réparties dans plusieurs tunnels.

Un seul tunnel peut monter à la fois. J'ai l'impression qu'il y a une sorte de concurrence.

Que puis-je faire à part faire des incantations de magie autour du boitier ?

Merci :)

Résolue

script Stormshield VPN SLL

Posée par Jean Pierre dans Trucs et Astuces

Bonjour,

Novice dans le paramétrage d'un tunnel VPN SLL, Stormshield Network SSL VPN Client permet également d’exécuter des scripts.

Question : Où doit-on les enregistrer (sur le poste client ou sur le serveur et où?).
avec quel chemin d'accès ?

Je n'ai pas trouver de réponse à ce jour.

Merci à vous

Jean

Résolue

Création tunnel IPSec

Posée par Philippe T dans Fonctionnalités et système

Bonjour à tous,

Je viens vers vous pour un soucis de création de tunnel VPN IPSec.

Notre entreprise dispose d'un réseau MPLS (réseau fermé) et d'une ligne Internet standard par laquelle nous devons créer un tunnel ipsec avec un prestataire.Ces 2 box ainsi que le réseau LAN sont connectés sur notre SN710.

Cependant lors de la création du tunnel je ne trouve pas l'option pour forcer le transit par la passerelle "Internet standard". Dans l'onglet monitoring VPN IPSec, nous avons toujours l'autre passerelle déclarée.

Quelq'un d'autres aurait-il déjà rencontré ce problème?Auriez vous une idée?

Merci,

AMicalement,

Résolue

Mon sn210W temperature de 70c°!

Posée par Achraf Kamal

Bonjour les amis;

je voulais juste savoir est ce que c normal si les SN210W travail avec une temperature de 70c° (j'ai lû sur le manuel 40c°). 

j'ai 4 sn210w repartie dans differentes villes; et tous ont la temperature elevée et merci.

Résolue

SN210 : VLAN Traversant Configuration

Posée par Cyril Kerrec dans Administration

Bonjour,
J'ai configuré un SN210. (licence OK, upgrade 3.10 OK)
Je souhaite configurer de nouvelles interfaces (en dehors de l'interface d'administration) afin de pouvoir côté LAN brancher un switch (Cisco) (port VLAN ou TRUNK ?) et de l'autre (port WAN) brancher un automate (config IP).
J'ai essayé de nombreuses manipulations sans succes.
Si je débranche ce SN210, et branche l'automate directement sur mon LAN aucun probleme.

Cdlt,

Résolue

Routage sous Stormsheild

Posée par Fabrice B. dans Administration

Bonjour à tous,

Je me retourne vers vous car, j'ai un souci que je n'arrive pas à régler.

La configuration dont je dispose se trouve dans l'image en pièce jointe.


- Le tunel IPSec est monté entre le "Lan A" et le "Lan B" qui communiquent bien ensemble.
- Il n'y a pas de tunel VPN entre "Lan B" et la "DMZ"
- Le "Lan A"qui est connecté sur le Stormsheild FW1 communique sans problème avec la "DMZ"
- Par contre, le Lan B n'arrive pas à communiquer avec la "DMZ" !

Voilà, je me doute que pour que le "Lan B" accède à la "DMZ", il faudrait une route sur le Stormsheild FW2 qui lui indique qu'il faut interroger le FW1 pour trouver la "DMZ".

Hors, toutes mes tentatives de configuration ont échoué dans la partie "Réseau->Routage" du FW2:
net dest: 192.168.60.2
interface: In
Passerelle: Je nes sais pas quelle passerelle mettre: la 192.168.61.254 ou l'adresse IP Publique 1

De plus, j'ai l'impression que FW2 n'arrive pas à communique lui-même avec le "Lan A", FW1 et "DMZ" alors que le "Lan...

Voir la suite
Résolue

Problème réécriture certificat stormshield

Posée par Dimitri Mestdag dans Securité

Bonjour,

Je viens d'arriver dans ma nouvelle entreprise et je recontre un problème à cause de ce qui semble être une mauvaise conf dans le stormshield au niveau de la réécriture de certificat.

En temps normal j'irais voir dans le stormshield mais là je n'ai pas les accès : ma question est tout simplement pour ma culture générale.

Je vous explique : 

Il y a de nombreux blocage lorsque des logiciels tente d'accèder à internet comme les logiciels d'installation de pilotes.

Un autre exemple concrès : lorsque je lance un wget sur ma machine, j'ai le resultat suivant :

Avertissement : impossible de vérifier l’attribut github.com du certificat, émis par «CN=SSL Proxy Trusted CA,OU=SSL traffic analyzing,O=Stormshield,ST=Default state,C=US» :
Récupération d’un certificat autosigné.

 

Cela vient du fait que le Stormshield réécrit le certificat avec un autre autosigné. Comment ce certificat a été créé ? Est il possible de le signé proprement ?

 

Merci d'avance...

Voir la suite
Résolue

Stormshield SN510 SSH/SFTP Software caused connection abort/Connection reset by peer

Posée par Tom P.

Bonjour à tous !

 

Je suis actuellement en stage dans une entreprise, et j'ai pour mission de gérer le parc informatique de la société.

 

Depuis ce matin, nous rencontrons des problèmes pour se connecter à distance sur le Firewall via SSH, ou encore d'utiliser notre serveur SFTP. Ces problèmes sont survenus après un redémarrage du Firewall vendredi dernier.  Le message qui apparait lors des tentatives de connexions et le suivant : "Software caused connection abort"

 

La connexion à distance sur le Firewall ainsi que l'utilisation du serveur SFTP fonctionnaient tous les deux parfaitement sans problèmes avant le redémarrage de vendredi.

 

Ce que j'ai fait :

Dans "OBJETS RÉSEAU", j'ai créé un nouvel objet afin de spécifier un nouveau numéro de port, dans mon cas j'ai pris le port 19967. J'ai ensuite appliqué la redirection dans mes règles de filtrage et tout fonctionne correctement, j'ai bien accès au serveur SFTP de l'exterieur du réseau de l'entreprise. J'ai...

Voir la suite
Résolue

perte du superadmin password sur SN3100

Posée par Alain Diet

Bonjour messieurs,

Me demande quoi faire suite à une perte de superadmin password sur SN3100

- faut-il faire un restore complet d'une conf ? impact sur le mdp superadmin?

- faut-il faire un retour usine sur un des firewalls puis jongler avec les mises en service et jeux de configurations?

- meilleure idée bienvenue !

 

thx for help

Résolue

Configuration BGP pour exporter tous les réseaux directement connectés

Posée par Ludo Daix dans Administration

Bonjour à tous!

Pouvez vous m'indiquer le meilleur moyen pour configurer bird afin d'exporter les réseaux directement connectés à l'appliance (toutes les interfaces réseaux). 

Pour l'instant je fais ça avec un filtre que j'appelle dans la conf du protocol bgp.

Mon fichier de conf fonctionnel est le suivant:

# The direct protocol automatically generates device routes to
# all network interfaces.
protocol direct {
}

# This pseudo-protocol performs synchronization between BIRD's routing
# tables and the kernel.
protocol kernel {
learn; # Learn all alien routes from the kernel
persist; # Don't remove routes on bird shutdown
scan time 20; # Scan kernel routing table every 20 seconds
import all; # Default is import all
export all; # Default is export none
preference 254; # Protect existing routes
}

# This pseudo-protocol watches all interface up/down events.
protocol device {
scan time 10; # Scan interfaces every 10 seconds
}

filter out_BGP { if net ~ [ 10.2.2.0/24 ] then accept; else ...

Voir la suite
Résolue

Certificat et StormShield

Posée par Jean Korn dans Administration

Bonjour

je souhaiterais acquérir un certificat SSL chez Gandi par exemple pour l'accès mon StormShield (portail captif, interface d'administration).

 

Chez Gandi, on me demande de générer un CSR. 

Dois je le faire sur le Stormshiedl et comment faire ?

Ou je peux le faire à partir de n'importe quelle poste ?

Merci

Résolue

remplacement boitier dans un HA

Posée par Nicolas Julien

Bonjour,

 

Je dois changer un Sn710 présent dans un HA et je voudrais connaitre la meilleur méthode pour intégrer le nouveau boitier dans le cluster ?

 

Merci

 

Nicolas

Résolue

DHCP multiples à faire passer dans VTI Stormshield

Posée par Thomas Authier dans Administration

Bonjour à tous.

J'ai un firewall Stormshield sur un site A et un autre sur un site B.

Actuellement un tunnel VPN IPSec est en place sur les deux Storms.

Sur le site A nous avons 3 DHCP à faire acheminer sur le site de B.

Les 3 DHCP ne sont pas dans le même adressage. Est-il possible de parmètrer pour que le DHCP passe par les interfaces VTI du Storm ?

Résolue

INFORMATION SIGNATURE IPS

Posée par Marc Chevalier dans Securité

Bonjour,

je suis novice sur les équipements StormShield. Dans la partie Applications et Protections,il y a les profils d'inspection avec les signatures pour les applications, protections et malwares.

Souhaitant modifier ces règles je cherche à accèder à la base d'aide des signatures. En effet lorsque l'on clique sur aide on peux accéder à une description de la signature(détaillés ou non).

J'aimerais accéder à ces aides autre part qu'en passant sur le stormshield directement. Car pour interdire ou autoriser il faut queje comprenne le protocole etc.

 

Merci d'avance

Résolue

Latence openvpn

Posée par Pascal Le Bihan dans Administration

Bonjour à toutes et à tous, 

J'ai activé le service openvpn en TCP sur des stormshield 710 pour permettre à mes collègues de télétravailler. J'observe des latences énormes vers les machines de mon lan

A titre d'exemple j'ai un ping qui tourne vers la pate Lan et un autre vers la pate WAN

je peux monter jusqu'a 375ms sur la pate Lan alors que mon ping WAN est à 40ms environ. Mon ping Wan est un peu pourri car je suis en 4G.

J'ai tenté en IPSec, les latences sur la pate lan sont tres proches des latences WAN

 

Est ce un bug openvpn ? Paramétrage client ? 

J'utilise openvpn en mode TCP , l'accès WAN de mon routeur est une FTTB 100M et mes firewall sont en 3.9.0.

 

Merci pour vos idées et vos conseils

Pascal

Messages d'alerte