Configuration de base d’un Stormshield

Introduction

Stormshield, un leader européen dans le domaine de la cybersécurité, offre une gamme de solutions de pare-feu et de sécurité réseau performantes.

Cet article vous guide à travers les étapes essentielles de la configuration de base d’un Stormshield, afin de vous aider à tirer le meilleur parti de cet outil puissant pour protéger votre infrastructure réseau.

Que vous soyez un administrateur réseau ou un débutant, ce guide vous permettra de sécuriser  vos systèmes tout en optimisant leur performance.

Maquette

Tout d’abord, voici le schéma d’architecture que nous allons mettre en place :

Configuration stormshield

Configuration système du Stormshield

Connectez-vous à l’interface web en utilisant l’adresse IP par défaut :

 

Dans « Option » vous pouvez choisir la langue de l’interface.

Stormshield

Ignorez les notifications concernant la télémétrie.

Accédez à l’onglet « CONFIGURATION », puis à « Configuration > Système > Administrateurs > Compte Admin ». Personnalisez votre mot de passe et cliquez sur « Appliquer » pour enregistrer les modifications.

Maintenant, nous allons nous rendre dans l’onglet « Configuration » puis « Configuration > Système > Configuration > Configuration Générale« . Ensuite, renseignez le nom de la machine, la politique de mots de passe et la configuration NTP.

Une fois que cela est fait, faites « Appliquer » les modifications en bas de page. Enfin, un message vous demandera de redémarrer le Firewall.

Pour redémarrer le firewall, allez dans « Configuration > Maintenance > Configuration » et cliquez sur le bouton « Redémarrer le firewall ».

Une fois le firewall redémarrer retourner dans « Configuration > System > Administration du firewall ».Modifier le port d’administration par un port non conventionnel.

Pour cela il faut créer un nouvel objet correspondant au port défini avec le petit icone à la fin du champ. (Il faudra procéder de la même manier à chaque fois que nous avons besoin de renseigner des IP).

Nous sommes dans la section « PORT » il faut définir le nom de l’objet et le port. Il faut spécifier le protocole et faire « Créer ».

Dans la section « Accès aux pages d’administration du firewall », vous pourrez affiner l’accès en spécifiant une plage d’adresses IP ou une IP spécifique, une fois que le plan d’adressage du firewall aura été modifié.

Par ailleurs, il est également possible d’activer l’accès SSH ; cependant, je vous recommande de personnaliser le port de connexion. Evitez d’utiliser le port 2222, qui est désormais trop fréquemment employé pour le SSH et peut donc représenter un risque supplémentaire.

Configuration des interfaces du Stormshield

Reconnectez-vous au firewall en utilisant le nouveau port via l’adresse suivante : https://10.0.0.254:11443/admin/admin.html.

Ensuite, naviguez vers « Réseau > DHCP » pour créer la future plage DHCP de votre réseau.

Accédez à « Réseau > Interface ». Par défaut, tous les ports sont configurés en mode Bridge. Pour modifier cette configuration, il vous suffit de retirer les interfaces du bridge en les faisant glisser hors de celui-ci.

Stormshield

Sélectionnez l’interface « in » et ajustez son adresse IP en fonction de la plage IP souhaitée, puis cliquez sur « Appliquer ».

Vous perdrez temporairement la connexion au firewall, car le plan d’adressage a été modifié. Vous devrez alors renouveler votre bail DHCP pour obtenir une nouvelle adresse IP.

Pour ce faire, utilisez les commandes suivantes « ipconfig /release && ipconfig /renew».

Vous pouvez maintenant vous reconnecter à l’interface en utilisant la nouvelle adresse IP : https://192.168.10.254:11443/admin/admin.html

Il est possible que vous soyez en mode lecture seule. Dans ce cas, cliquez sur « Lecture » pour rétablir les droits d’écriture.

Retournez dans « Configuration > Réseau > Interface ».

Vous pouvez maintenant supprimer le bridge, il suffit de le sélectionner et fire « supprimer«  et configurer l’interface « OUT ». Pour cet exemple, attribuez-lui l’adresse IP 192.168.1.254, assurez vous que l’interface connecté a internet soit bien catégorisé en « Externe ».

N’oubliez pas de redémarrer le firewall pour appliquer les modifications.

Configuration de la route par défaut du stormshield

Nous allons configurer le routage vers Internet. Pour ce faire, accédez à « Configuration > Réseau > Routage » et, dans la section « Configuration générale », créez un nouvel objet avec l’adresse IP qui servira de passerelle par défaut, en spécifiant cette adresse comme « next-hop ».

Création des règles de filtrage et NAT

Il est maintenant nécessaire de créer les règles d’accès à Internet en accédant à « Configuration > Politique de sécurité > Filtrage et NAT ».

Par défaut, le profil est réglé sur « Block all ». Il est recommandé de ne pas modifier les profils prédéfinis, mais plutôt de créer des règles spécifiques pour autoriser l’accès selon vos besoins.

Nous allons sélectionner le profil « Filter 05 », qui est actuellement vide. Ensuite, créez de nouvelles règles en cliquant sur « Nouvelle règle » puis en choisissant « Règle simple »:

  1. Une Règle d’accès à l’administration du FW
  2. Une règle qui autorise le ping
  3. Une règle pour la navigation Internet.
  4. Une règle pour la résolution des noms DNS.
  5. Une règle de blocage de tous les autres flux.

Aucune règle de blocage n’est nécessaire, car celles-ci sont déjà gérées par les règles implicites. Cependant cela peut être utile pour du debug.

Vous pouvez également créer des séparateurs pour vous organiser, il faut faire « nouvelle règle > Séparateur – Regroupement de règle ».

 N’oubliez pas d’enregistrer vos modifications en cliquant sur le bouton « Appliquer » en bas de la page.

Stormshield config

Dans l’onglet « NAT », il est nécessaire de créer une règle de NAT pour les flux sortants, afin que ces flux modifient leur adresse IP source pour utiliser celle du firewall.

Pour ce faire, cliquez sur « Nouvelle règle », puis sélectionnez « Règle de partage d’adresse source ».

Assurez-vous que le port source après translation est défini sur « ephemeral_fw », qui est configuré par défaut et indiquer en Source après translation l’adresse IP de votre interface de sortie.

Enfin, cliquez sur « Appliquer » pour sauvegarder les modifications.

Stormshield config

La configuration minimale est maintenant terminée. Pour sauvegarder votre configuration, procédez à une sauvegarde sur la partition de secours.

Rendez-vous dans « Configuration > Système > Maintenance > Configuration » et cliquez sur le bouton « Sauvegarder la partition active ».

Une fois la sauvegarde sur la partition de secours effectuée, vous pouvez également télécharger le fichier de configuration pour disposer d’une sauvegarde externe. Cela vous permet d’avoir une copie de sécurité supplémentaire en cas de besoin.

configuration de base d'un Stormshield en Français

Conclusion

La configuration d’un Stormshield est une étape essentielle pour renforcer la sécurité de votre réseau contre les cybermenaces modernes. En prenant le temps de bien comprendre et d’ajuster les différentes options de sécurité, vous pouvez non seulement protéger vos données sensibles, mais aussi améliorer la résilience globale de votre infrastructure. Stormshield offre une interface intuitive et des fonctionnalités avancées qui répondent aux besoins variés des entreprises, quelle que soit leur taille. En finalisant cette configuration, vous posez les bases d’une défense robuste et adaptable, prête à évoluer avec les défis de demain.

Retour
Étiquettes: ,