Discussions par mots clés : filtrage
Ajouter un badge au post
Débogage du trajet d'un paquet traversant un Stormshield
Posée par Bruno Tréguier dans Open Community dans Trucs et Astuces
Bonjour,
Je souhaiterais savoir quelles techniques vous utilisez pour arriver à tracer le trajet d'un paquet au travers d'une appliance, de l'nterface d'entrée, à l'interface de sortie (en passant par les étapes de filtrage/NAT et les décisions de routage).
La raison de ma question est la suivante: j'ai un paquet (un SYN/ACK en réponse à un SYN) que je vois entrer (via un tcpdump), mais pas ressortir par l'interface vers laquelle il aurait dû être envoyé. Pour autant, les logs de filtrage montrent bien une action "pass"...
Donc pour l'instant, à ma disposition j'ai:
- tcpdump
- les logs
Et puis c'est tout. ;-)
Je suis preneur d'autres idées qui pourraient me permettre d'arriver à tracer ce paquet récalcitrant...
L'appliance est un Stormshield SN910, pour info.
Merci ! :-)
Bruno
Ajouter un badge au post
Negotiation with client error (negotiation aborted) - Filtrage SSL
Posée par Jean Korn dans Open Community dans Administration
Bonjour,
sur notre Stormshield, nous réalisons de l'inspection SSL.
je rencontre régulièrement des sites web bloqués par le pare-feu
l'erreur qui s'affiche est : "Negotiation with client error (negotiation aborted); Règle de filtrage; Id de la règle :94; Config: IPS_01; Politique : Filtrage_SSL"
règle 94 : decrypt HTTPS SSL Filter
régle 95 : pass HTTPS URL Filter
Auriez vous une idée de quoi pourrait venir ce probleme ?
Merci
Ajouter un badge au post
gateway différente pour office 365
Posée par Julien Auger dans Open Community dans Trucs et Astuces
Bonjour,
J'utilise deux sorties web différentes sur un SN210, une adsl et une 4G.
La sortie web par défaut se fait sur la 4G mais je souhaiterais mettre le flux vers la messagerie office 365 sur l'adsl (et accessoirement windows update en+)
J'ai créé une règle spécifique vers un objet FQDN (cdg-efz.ms-acdc.office.com dans mon cas) mais celui-ci pointe vers de multiple IP et la règle ne s'applique donc pas à chaque fois.
J'ai une multitude d'adresse ici : https://docs.microsoft.com/fr-fr/office365/enterprise/urls-and-ip-address-ranges#skype-for-business-online-and-microsoft-teams
mais aucune ne correspond au flux constaté sur mon infra lors de l'utilisation d'outlook...
Une idée pour améliorer ?
Bonne journée
Julien
Ajouter un badge au post
alarme filtrage
Posée par Anonyme dans Open Community dans Securité
bonjour !
je possede un SN700 depuis qq années, et je me penche sur les alarmes dernierement.
j'aimerai bien pouvoir desactiver completement le systeme IPS, beaucoup tro sensible a mon gout, mais il semble que ce n'est pas possible.
j'ai donc désactivé les alarmes qui me posaient des problemes de "bloquer" à "autoriser"
sauf que : sur une patte ou se trouve mon wifi, j'ai des alarmes de type :
anonymous broadcast alarme de filtrage
anonymous broadcast detection de protocol non autorisé (UDP)
ce sont des demandes en bootpc(68)
malheursement, je ne peux pas changer le mode bloquer par autoriser car l'option est grisée.
auriez vous une astuce pour soit :
- dévérouillé le mode grisé et passer mon option a autoriser ?
- desactivé completement le mode IPS dont je ne me sert pas (tout est sur Firewall car lIDS et l'IPS me saquagent les connexions réseaux)
merci d'avance pour vos lumieres.
amicalement
oliv
Ajouter un badge au post
Problème certificat filtrage SSL
Posée par Anonyme dans Open Community dans Fonctionnalités et système
Bonjour,
J'ai mis en place un filtrage au sein de mon réseau :
ça fonctionne bien, sauf que j'ai un souci dès qu'on tombe sur quelques sites SSL, par exemple si la personne veut aller sur francebleu.fr ça donne :
Reason : The SSL server certificate authority is not trusted
Common name: Kubernetes Ingress Controller Fake Certificate
ou un autre site :
Reason : The SSL server certificate is expired or not yet valid
J'ai installé pourtant le certificat généré en .der du netasq sur le navigateur (on utilise tous firefox)
Je ne suis pas un expert... alors si vous pouvez m'éclairer ! Merci beaucoup !
Ajouter un badge au post
Filtrage HTTPS
Posée par Anonyme dans Open Community dans Fonctionnalités et système
Bonjour à tous,
Je dois mettre en place un filtrage spécifique uniquement pour quelques postes sur mon réseau. Je me suis renseigné sur la mise en place déjà "de base" du filtrage, cela nécessite de filtrer la partie HTTPS car effectivement si on fait un filtrage "simple" on ne filtre que tout ce qui est uniquement HTTP.
Si j'en réfère à l'article suivant :
http://seleh.fr/netasq-v9-filtrer-le-flux-https/
Une fois les règles effectuées, il suffit de déployer via GPO le certificat sur les machines. Ma question est la suivante :
si je réalise ces règles pour effectuer le filtrage https mais uniquement en définissant dans l'onglet "objet" quelques machines que j'aurai determinées, est-ce que ça va s'appliquer uniquement dessus ? Et pour le reste du parc, il n y aura pas de filtrage ?
Je ne sais pas si c'est clair, n'hésitez pas à me demander des précisions, je vous remercie !
Ajouter un badge au post
Restreindre l'accès à un serveur DMZ à l'aide d'une règle de filtrage par nom d'utilisateur en tant que source.
Posée par Anonyme dans Open Community dans Fonctionnalités et système
Bonjour à tous,
J'ai pour but ce créer et configurer une DMZ sur le 8ème port sur un pare-feu Netasq U150S-A.
Dans cette DMZ j'aimerai y intégrer un serveur d'application et restreindre l'accès à ce réseau à seulement 3 utilisateurs.
J'ai donc procédé à la dernière mise à jour du pare-feu (9.1.9), j'ai créé différentes règles de Filtrage et Nat, l'accès à internet par cette DMZ est fonctionnel et pour restreindre l'accès, j'ai donc utilisé la liaison avec l'Active Directory.
Voici la règle :
Etat Action Source Destination Port destination Inspection de sécurité
On Passer {nom.prénom} SRV-TEST-DMZ Any Firewall
Le but est de donner l'accès a la DMZ par nom d'utilisateur (de l'AD) et non pas par adresse IP fixe ou par PC, ainsi l'utilisateur pourra se connecter à distance sur le serveur DMZ sur n'importe quel poste grâce à sa session...
Ajouter un badge au post
Option forwarding Stormshield v50
Posée par Anonyme dans Open Community dans Fonctionnalités et système
Bonjour à tous,
J'ai mis en place la topologie suivante "réseau-1 " <--> "stormshield" <--> "resau distant",
je veux que le stomshield fasse office de routeur afin de permettre aux clients du réseau-1 d'atteindre le réseau distant.
Le réseau distant est atteignable depuis la stormshield mais je n'arrive pas à activer l'option forwarding pour que stormshield fasse suivre les paquets du reseau-1.
Quelqu'un pourrait me suggerer une solution à ce probleme ?
Cordialement
Ajouter un badge au post
[SNS 3.2.0] Filtrer le traffic SSL entrant à l'aide d'un certificat specifique
Posée par Anonyme dans Open Community dans Fonctionnalités et système
Bonjour à tous,
J'ai des services accessibles publiquement en HTTPS derriére une applicance Stormshield. Je souhaiterai pouvoir bénéficier de la protection de l'IPS pour ces services.
Savez-vous s'il est possible de configurer le pare-feu / proxy SSL pour déchiffrer le traffic correspondant à une régle de filtrage à l'aide d'un certificat + clé privée spécifique (au lieu d'en générer un à la volé avec l'autorité de certification du proxy SSL) ?
Je précise que je n'ai pas besoin de SNI, j'ai un certificat wildcard unique qui couvre tous ces services.
Merci d'avance pour tout conseil ou toute indication que vous auriez sur la maniére dont je pourrais réaliser cela.
Ajouter un badge au post
Problèmes ports Stormshield SN200
Posée par Anonyme dans Open Community dans Administration
Bonjour,
j'ai un problème sur un stormshield sn200, j'ai 3 ports donc le port 1 en sortie vers la ligne internet et les deux autres qui sont en bridge et qui servent au réseau interne de l'entreprise.
Lorsque je connecte mon poste sur le port 2, tout fonctionne correctement les règles de filtrage et je reçois bien une adresse par mon serveur DHCP mais avec une autre machine sur le même port je n'ai pas de réseau, je n'arrive pas à avoir une adresse par le DHCP auriez-vous des solutions ?
Ajouter un badge au post
Problème filtrage ne fonctionnant pas avec une source utilisateur
Posée par Anonyme dans Open Community
Bonjour à tous,
après avoir réussi à synchroniser l'annuaire Active Directory avec mon stormshield SN200, j'essaie de mettre en place en place une règle de filtrage avec en source mon nom d'utilisateur sur le domaine et en destination " Internet ", problème cela ne fonctionne pas la règle n'est pas prise en compte, le compteur reste à 0, je n'ai pas de règle avant celle-ci qui pourrrait entraver son fonctionnant.
Lorsque je met directement l'objet machine et non l'utilisateur LDAP, cela fonctionne.
Auriez-vous des idées s'il vous plaît ?
Ajouter un badge au post
Interconnexion réseau
Posée par Anonyme dans Open Community dans Administration
Bonjour à tous,
Je commence à planter sur un problème depuis un moment et je ne sais pas comment m'en sortir. De plus le support Stormshield ne pourra pas me répondre avant un moment me semble-t-il. J'en fais donc appel à vous merci !
Je veux donc utiliser un stormshield SN500 pour ma boîte en remplacement d'un modèle d'une autre marque. Celui-ci est en sortie de réseau et permet de relier le site principal et le site secondaire à Internet. Lorsque je le mets en place, le site principal se connecte correctement, le secondaire se connecte correctement au site principal (indépendant du firewall normalement) mais il ne parvient pas à se connecter à Internet. Je ne comprends pas pourquoi. Je ne pense pas que cela vienne d'un problème de route mais plutôt de manque d'autorisation. En effet je peux apercevoir des messages "Usurpation d'identité" en provencance de mon site distant. Est-ce du au fait que les deux sites sont sur des sous réseaux différents ? Il y-t-il je...
Voir la suiteAjouter un badge au post
Exportation vers csv partie FILTRAGE/NAT des Stormshield
Posée par Anonyme dans Open Community dans Administration
Bonjour
Je souhaiterai pouvoir extraire (sous format csv) l'ensemble des régles de la partie Filtrage et Nat de mes boitiers Stormshield.
Cette option est-elle possible? prévue dans la future nouvelle version? y-a-t-il un script pour faire cela?
Merci de votre retour
Ajouter un badge au post
Mises à jour des catégories de filtrage avancé ADVANCED_URL
Posée par Anonyme dans Open Community dans Fonctionnalités et système
Bonjour,
J'administre des appliances (Performance en V5.0/28) qui ont des licences actives pour les mises à jours des listes de filtrage d'URL avancé.
Ces appliances sont paramétrées avec une mise à jour automatique quotidienne.
Précédemment, ces appliances obtenaient environ une fois par mois une mise à jour des catégories ADVANCED_URL. Or, je constate qu'actuellement, leur dernière version téméchargée et installée est la V300/0 qui date du 10 novembre 2013.
La V300/0 est-elle bien la version la plus récente des listes de filtrage ADVANCED_URL ?
J'ai regardé sur l' Espace Clients Arkoon mais je n'y ai pas trouvé cette option en téléchargement (voir copie d'écran ci-attachée).
Comment connaître la version la plus récente des ADVANCED URL , et comment procéder à une mise à jour de cette option en mode déconnecté ?
Merci,
Ajouter un badge au post
VPN et filtrage mac adresse
Posée par Anonyme dans Open Community dans Fonctionnalités et système
Bonsoir, j'ai lu dans le forum que le moyen d'utiliser le filtrage par mac adress était de reserver une IP dans le DHCP à l'adresse mac du client...
Est-il possible de filtrer les clients nomades qui utilisent le vpn avec cette méthode, sachant que l'arkoon n'a pas le role dhcp dans ma config
Merci
Ajouter un badge au post
idée d'amélioration
Publiée par Anonyme dans Open Community dans Fonctionnalités et système
Filtrage des flux par la geo-localisation de l'IP source de la connexion.
client A dispose d'un site internet accessible en libre, mais il souhaite qrestreindre l'accès aux plages IP de la France uniquement.
Arkoon ne fournit pas cette fonctionnalité. Est il prévu de l'introduire dans une futur version ?
Cette fonctionnalité a été introduite par un autre constructeur, et permet donc de filtrer les connexions - tentatives d'attaques, provenant de pays moins secure (inutile d'en citer)
sans vouloir faire de pub pour la concurence, je poste ce lien à titre informatif seulement : http://yurisk.info/2012/02/09/finally-geo-location-blocking-has-arrived-to-fortigate/
Ajouter un badge au post
Utilitaire en ligne de commande pour interroger les catégories ADVANCED_URL ?
Posée par Anonyme dans Open Community dans Administration
Bonjour,
Je voulais savoir s'il y avait une commande en ligne sur les appliances, pour interroger la base des ADVANCED_URL et savoir si une URL (ou un pattern) y est présent(e) ou pas. J'ai l'impression d'avoir déjà utilisé une telle commande, mais je ne me souviens plus laquelle, et mon alzheimer me travaille. ;)
Merci !
Ajouter un badge au post
Filtrage web: quelques questions sur les catégories
Posée par Anonyme dans Open Community dans Fonctionnalités et système
Bonjour,
Je me pose quelques questions sur certaines catégories de filtrage web:
2 d'entre elles: ADVANCED_URL_arjel et ADVANCED_URL_celebrities ne figurent pas dans la doc mais sont disponibles dans la configuration. A quoi correspondent-elles ? Pour la catégorie ADVANCED_URL_arjel, il doit s'agir des sites de jeux dûment autorisés par l'ARJEL, mais est-ce bien ça ? Il pourrait s'agir, au contraire, des sites interdits par l'ARJEL ;-)
Concernant ADVANCED_URL_celebrities, c'est plus flou: s'agit-il de sites concernant l'actualité (générale) des célébrités, ou s'agit-il de sites plus... orientés, toujours concernant les célébrités ?
Autres questions concernant 2 autres catégories:
- quelle différence y a-t-il entre ADVANCED_URL_adult et ADVANCED_URL_mixed_adult ?
- qu'est-ce qu'un site "réaffecté" dans la catégorie ADVANCED_URL_reaffected ?
Si quelqu'un a des réponses là-dessus, je suis preneur, merci !
Bruno
Ajouter un badge au post
Filtrage Web - Proposition de critère de type URL référente
Publiée par Anonyme dans Open Community
Bonjour,
Je vous retransmets une suggestion de développement qui m'a été proposée.
Il s'agirait de proposer du filtrage d'URL incluant un critère d'"URL référente", éventuellement récursif.
Un intérêt serait de simplifier la gestion manuelle de catégories de filtrage d'URL "utilisateurs", en partant du principe qu'en autorisant (ou interdisant) l'accès à un site web, l'accès aux "liens externes" référencés par ce site seraient automatiquementautorisés (ou interdits).
Exemples d'utilisation :
Sans récursivité :
1) Tous les accès à une URL de la catégorie "Permis" sont autorisés
2) Tous les accès à une URL qui a une URL référente dans la catégorie "Permis" sont autorisés
3) Tous les autres accès sont interdits.
AVec plusieurs niveaux de récursivité , les régles précédentes seraient interprétées comme :
1) Tous les accès à une URL de la catégorie "Permis" sont autorisés
2) Tous les accès à une URL qui a une URL référente dans la...
Ajouter un badge au post
Advanced_URL: Utilisation de variables dans les pages HTML personnalisées
Posée par Anonyme dans Open Community dans Fonctionnalités et système
Bonjour,
Suite à la mise en place d'un filtrage disons... énergique ;-) chez nous, et à la personnalisation de la page renvoyée en cas d'inaccessibilité d'un site (suite à un code d'erreur 490), je souhaiterais savoir si, dans cette page (qui est stockée sur l'appliance, dans notre cas, sous /var/http/ErrorDocument, comme précisé dans la doc), il était possible d'utiliser des variables, par exemple (et surtout, en fait) celle qui permet de savoir sur la base de quelle catégorie Advanced_URL le blocage a été fait (afin que l'utilisateur puisse nous fournir rapidement cette info, et qu'on lui explique, ou qu'on fasse le nécessaire pour débloquer la page si elle est légitime).
Cette info est présente dans la page par défaut présentée par l'appliance, mais je n'ai pas trouvé de moyen simple de la récupérer en cas de personnalisation de cette page.
La fonctionnalité utilisée ici étant a priori basée sur le mécanisme "ErrorDocument" de Apache, j'ai quelques...
Voir la suite