Alphorm.com support de la formation Stormshield, Expert

07/09/2016
1
Formation Stormshield, Expert alphorm.com™©
Formation
Stormshield
Expert
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Matthieu BAYLE
Formateur et Consultant
Ingénierie systèmes et réseaux
Bayle.matthieu.alphorm@gmail.com

07/09/2016
2
Plan
• Présentation du Formateur
• Le plan de formation
• Les prérequis de la formation
• La configuration de base des boitiers avant la formation
• Les objectifs de la formation

07/09/2016
4
Cursus Stormshield
Stormshield,
Expert
Stormshield,
Administration

07/09/2016
5
Le plan de la formation
• Module 1 – Les modules avancés
• La haute disponibilité (HA)
• Le routage avec plusieurs passerelles
• La PKI
• Les utilisateurs – LDAP Interne
• Les utilisateurs – LDAP Externe
• Les utilisateurs – Utilisation dans les règles
• L’antivirus
• L’antispam
• Inspection des flux SSL
• Filtrage d’URL avancée
• Le portail Captif
• Explications sur les VPNs
• Les VPN - Site à site
• Les VPN - Nomades
• Les VPN - SSL
• Le SSO
• La QoS
• La protection applicative
• Les notifications par mails
• Gestion du Syslog
• Monitoring via Cacti et Centreon
• Le Debug (outils Stormshield)
• Les outils payant de Stormshield
• La CLI
Module 3 – Conclusion

07/09/2016
6
Les prérequis de la formation
• Dans cette formation orientée expert nous avons besoin de:
• 4 boitiers Stormshield avec licence Haute disponibilité
• Avoir configurer au moins 1 boitier par site pour la partie NAT/Filtrage de
base.
• Connaitre le modèle OSI
• Connaitre les boitiers Stormshield

07/09/2016
7
Avoir suivi la formation précédente
•Stormshield, Administration :
http://www.alphorm.com/tutoriel/formation-en-ligne-stormshield-
network-administrateur-csna

07/09/2016
8
Les Objectifs de la formation
• Cette formation à pour but de vous apprendre à utiliser pleinement vos
boitiers StormdShield
• Après cette formation vous serez en mesure de :
Réaliser des VPN et comprendre leurs fonctionnement
Gérer des utilisateurs et leurs appliquer des politiques spécifiques
Utiliser et comprendre chaque module de vos boitiers
Gérer une infrastructure multi-sites
Faire du debug sur vos boitiers
Faire du monitoring sur vos boitiers

07/09/2016
9
D’autres formations sur d’autres firewall

07/09/2016
10
C’est Parti !!

07/09/2016
11
Présentation du LAB
Matthieu BAYLE

07/09/2016
12
Plan
•L’environnement de travail
•La configuration de VMware
•Plan Visio du LAB
•Récapitulatif des noms des machines et adresses IP

07/09/2016
13
Mon poste de travail
• Processeur Intel i7-3770K
• Mémoire 32Go DDR3
• OS Windows 7 Pro sur un SDD 256Go
• VM Sur un NAS Synology 4x4To en RAID 5

07/09/2016
14
Les logiciels
• VMware Workstation 10
• Client Windows 10 Pro
• Serveur 2012 R2
• Appliance Stormshield Version 2.3 / 2.4

07/09/2016
15
La configuration de VMware Workstation
• La configuration des VM
• La configuration du réseau
• Un Virtual Network par site, un Virtual Network pour Internet et un pour
la partie VPN
Les VMs Stromshield
• Mémoire 4 Go
• 1 Processeur
• 1 disque de 15Go
• 8 Cartes réseaux
• OS Spécifique
Les VMs client
• Mémoire 4 Go
• 1 Processeur
• 1 Cartes réseau
• OS Windows 10
Pro
Les VMs Serveurs
• Mémoire 6 Go
• 2 Processeurs
• 1 Cartes réseau
• OS Windows
2012R2

07/09/2016
16
Plan Visio du LAB

07/09/2016
17
Adressage IP
Site de TOULOUSE
Stormshield LAN 10.10.10.1 255.255.255.0
Stormshield OUT DHCP DHCP
Stormshield DMZ 10.10.110.1 255.255.255.0
Stormshield HA 10.10.100.253 255.255.255.252
Stromshield 2 HA 10.10.100.254 255.255.255.252
Hyper-V LAN 10.10.10.10 255.255.255.0
Exchange DMZ 10.10.110.11 255.255.255.0
Serveur AD LAN 10.10.10.12 255.255.255.0
Serveur monitoring LAN 10.10.10.13 255.255.255.0
Client LAN 10.10.10.100 255.255.255.0

07/09/2016
18
Adressage IP
Site de PARIS
Stormshield LAN 10.10.20.1 255.255.255.0
Stormshield OUT DHCP DHCP
Stormshield HA 10.10.200.253 255.255.255.252
Stormshield 2 HA 10.10.200.254 255.255.255.252
Hyper-V LAN 10.10.20.10 255.255.255.0
Client LAN 10.10.20.100 255.255.255.0

07/09/2016
19
Ce qu’on a couvert
•Le lab de notre formations, les sites, les
adresses IP.

07/09/2016
20
La haute disponibilité
Les modules avancés
Matthieu BAYLE

07/09/2016
3
Présentation du Formateur
Matthieu Bayle
• Bayle.matthieu.alphorm@gmail.com
• Consultant en sécurité et Ingénieur systèmes/réseaux
• Ma mission actuelle

07/09/2016
27
Plan
•Pourquoi avoir plusieurs passerelles?
•Schéma de l’implémentation
•Le mise en application
•L’impact sur les règles

07/09/2016
28
Pourquoi avoir plusieurs passerelles?
• Le fait d’avoir plusieurs passerelles permet, comme le HA,
une redondance, mais cette fois ci des liens externes.
• Généralement une société dispose d’un accès SDSL pour
Internet et les VPN ainsi qu’une ligne ADSL pour un
fonctionnement en mode dégradé.
• Permet également plusieurs types d’accès, par utilisateur
par exemple (filtrage d’URL ou non etc.)
• Peut éventuellement permettre un accès pour le service
informatique.

07/09/2016
29
Schéma de l’implémentation
Livebox PRO
Gateway 2
Gateway 1

07/09/2016
30
•Les concepts de plusieurs passerelles
•La configuration particulière de notre labo
•La mise en application de cette configuration
•Voir l’impact sur les règles de filtrage et de NAT

07/09/2016
31
La PKI
Matthieu BAYLE

07/09/2016
32
Plan
•Les principes
•Détails sur les certificats
•La mise en place

07/09/2016
33
Les principes
• Avec une infrastructure PKI il est possible de faire:
• De l’authentification
• De l’inspection SSL
• Des VPN
• Des mails
• Un certificat possède une période de validité, en dehors de
cette période le certificat est automatiquement révoqué
• Il est possible d’avoir une infrastructure PKI directement sur
un serveur AD ou autre.

07/09/2016
34
Détails sur les certificats
• Un certificat permet d’associer une clef publique à quelqu’un
(utilisateurs) ou à quelque chose (machines, site WEB etc.), ce certificat
est signé numériquement par une entité de confiance (ici notre
Stormshield) ou CA (Certification Authority).
• Un certificats possède plusieurs informations :
Version du certificat
Numéro de série
Algorithme de chiffrement
Date de début et de fin
Etc…
• Lors de l’enrôlement ou de la diffusion seule la clef publique est
distribuée

07/09/2016
35
Rappel
• Une formation complète sur le PKI sous Windows 2012 R2 :
http://www.alphorm.com/tutoriel/formation-en-ligne-le-pki-avec-adcs-
2012-r2

07/09/2016
36
•Mettre en place les certificats sur les boitiers
Stormshield
•Gérer l’authentification au boitier via des certificats
•Comprendre comment fonctionne l’enrôlement et
la diffusion de certificats

07/09/2016
37
Le LDAP interne
Matthieu BAYLE

07/09/2016
38
Plan
•Les concepts
•L’intérêt de mettre en place un annuaire LDAP
•La mise en place sur nos boitiers
•L’impact sur les modules

07/09/2016
39
Les concepts
• LDAP est avant tout un protocole avant d’être un annuaire. Il existe de
très nombreux annuaires LDAP, Active Directory, le rôle Windows, et le
plus célèbre d’entre eux,
• Permet d’authentifier des utilisateurs du réseau pour l’accès aux
ressources,
• Permet la mise en place d’une PKI
• Définit à minima des objets avec les attributs suivants :
Un nom
Un identifiant
Des attributs obligatoires et d’autres personnalisés

07/09/2016
40
L’intérêt de mettre en place un LDAP
• Pourvoir authentifier les utilisateurs et faire du filtrage (URL et règles) à
partir de groupes ou d’utilisateurs
• Mettre en place une PKI liée aux utilisateurs nomades et aux ressources
• Pouvoir faire du VPN SSL
• Pouvoir également faire du Sigle Sign On (SSO)
• Gérer des VPN distants avec authentification par utilisateur (ou par
certificat)
• Attention cependant tout dans votre boitier peut être un danger,
comme d’habitude avec plus d’options activées = plus de puissance
nécessaires.

07/09/2016
41
•Les principe de LDAP dans les grandes lignes
•L’intérêt de mettre en place un LDAP sur nos
boitiers
•La mise en place sur notre boitier
•La modification des règles pour des utilisateurs
spécifiques

07/09/2016
42
Le LDAP externe
Matthieu BAYLE

07/09/2016
43
Plan
•La différence avec le LDAP interne
•La mise en place sur nos boitiers
•Les limitations de l’installation avec un LDAP
externe

07/09/2016
44
La différance avec le LDAP interne
• La principale différence, avec l’utilisation d’un LDAP
internet, c’est la complexité d’avoir plusieurs endroits à
configurer pour faire la même action.
Une création de groupe sera en premier faite dans l’annuaire avant
d’être répercuté sur le boitier, ou inversement, ce délai est à prendre
en compte.
Nous allons également le voir, mais la configuration d’un LDAP
externe n’est pas du tout la même.
Les fonctionnalités apportées restent cependant presque identiques

07/09/2016
45
•La configuration d’un LDAP externe
•Les différence entre LDAP interne et externe
•Les limitations qu’apporte une installation avec
LDAP externe

07/09/2016
46
Interaction avec les
utilisateurs et groupes
Matthieu BAYLE

07/09/2016
47
Plan
•Les possibilités que nous avons
•Ce que nous pourront faire ensuite

07/09/2016
48
Les possibilités que nous avons
• A ce moment de la formation, nos utilisateurs et groupes
peuvent interagir avec :
Les règles de filtrage et de NAT
Le filtrage d’URL
La connexion au boitier
La génération de certificats
L’accès à internet avec le filtrage d’url
Etc…

07/09/2016
49
Ce que nous pourront faire ensuite
• Nous allons voir au fur et à mesure de la formation d’autres
interactions avec les utilisateurs et les groupes, notamment :
Les VPN SSL
Le SSO
L’inspection SSL
L’authentification des utilisateurs VPN
Etc..

07/09/2016
50
•L’ensemble des possibilités que nous offre
l’annuaire
•Les interactions avec les groupes et toutes les
possibilités que nous avons.

07/09/2016
51
L’antivirus
Matthieu BAYLE

07/09/2016
52
Plan
•Comment fonctionne l’antivirus
•Mise en place de l’antivirus Gratuit
•Mise en place de l’antivirus Payant

07/09/2016
53
Comment fonctionne l’antivirus
• Dans un premiers temps, il faut que vous vous rappelez que l’antivirus
est extrêmement gourmand en ressources sur votre boitier.
• L’antivirus fonctionne de manière assez simple :
Il va scanner tout les fichiers qui passent par le boitier, et trouver les trojans,
backdoors et autre malwares
Il est bien sûr paramétrable
Vous pouvez ajouter certains types de fichiers
L’antivirus gratuit comme le payant ont leur limite
• Le plus important reste la sensibilisation de vos utilisateurs sur les
bonnes pratiques et l’utilisation d’internet

07/09/2016
54
Mise en place de l’antivirus Gratuit
• L’antivirus gratuit est mis à jour automatiquement avec le reste des
modules comme nous l’avons vu.
• L’antivirus gratuit du boitier possède une configuration de base :
Nous allons activer cette protection
Créer des règles
Voir quelles archives seront analysées
Modifier certains paramètres
L’antivirus gratuit possède certaines limitations (format d’archive ou l’analyse
est possible etc.)
L’antivirus payant possède un niveau de configuration bien plus important

07/09/2016
55
Mise en place de l’antivirus Payant
• L’antivirus payant est mis à jour automatiquement avec le reste des
modules, mais possède également des options de mise à jour
paramétrables.
• L’antivirus payant du boitier possède une configuration de base :
Nous allons activer cette protection
Les règles créées avec l’antivirus gratuit sont également valables après
l’activation de l’antivirus payant.
Voir quelles archives seront analysées, bien plus important que l’antivirus
gratuit
Modifier certains paramètres

07/09/2016
56
•Explication sur le fonctionnement de l’antivirus
•Mise en place de l’antivirus gratuit
•Mise en place de l’antivirus payant
•Création de règles
•Analyse du fonctionnement et des limitations

07/09/2016
57
L’anti SPAM
Matthieu BAYLE

07/09/2016
58
Plan
•Comment fonctionne l’anti-spam chez Stromshield?
•Comment l’activer et le maintenir?

07/09/2016
59
Comment fonctionne l’anti-spam?
• L’antispam fonctionne un petit peu comme l’antivirus, il est capable de
se mettre à jour automatiquement avec les autres modules
• Il ne supprime pas les emails qu’il considère comme SPAM, il ajoute un
simple tag SPAM que votre outil de messagerie sera capable de voir et
classera donc l’email.
• Nous avons également la possibilité de créer des règles pour les emails
entrant.
• Ces règles sont sensibles à l’ordre, comme les règles de filtrage et de
filtrage d’URL et elles sont basées sur des noms de domaine.

07/09/2016
60
•Le fonctionnement de l’antispam
•La mise en place de l’antispam
•La création de règles et leurs effets

07/09/2016
61
Inspection de flux SSL
Matthieu BAYLE

07/09/2016
68
Plan
•Mise en place de l’option
•Explication sur le fonctionnement
•Mise en place des créneaux horaires

07/09/2016
69
• L’installation et la configuration du module filtrage d’URL
payant
• Mise en place du créneau horaire
• Détails sur le fonctionnement de cette option
• Tarifs

07/09/2016
70
Le portail captif
Matthieu BAYLE

07/09/2016
71
Plan
•Dans quel cas et pourquoi?
•Schéma particulier pour la mise en place du portail
•La mise en place du portail captif
•Les explications sur le fonctionnement

07/09/2016
72
Dans quel cas et pourquoi?
• Le portail captif est très intéressant dans les cas où vous
disposez d’un wifi public par exemple :
Le portail captif, permet de donner accès à des ressources,
uniquement au connexion qui sont authentifiées. Par exemple les
utilisateurs sans authentification ont simplement accès à internet, les
connexions authentifiées internet + le WEBMAIL
Le portail captif est différent du SSO
Pour le portail captif il y a plusieurs méthodes d’authentification
SPNEGO LDAP etc.

07/09/2016
73
Le schéma pour le portail captif

07/09/2016
74
•Les explications sur le fonctionnement d’un portail
captif standard
•La configuration du portail et les règles
d’authentification.
•Les principes de fonctionnement.

07/09/2016
75
Les VPN – la théorie
Matthieu BAYLE

07/09/2016
76
Plan
•Le principe de fonctionnement
•Alice, Bob, et Eve
•Les détails de l’étape 1
•Les détails de l’étape 2

07/09/2016
77
Les grands principes
• Les VPNIPSEC sont les VPN les plus utilisés actuellement. Les tunnels
IPSEC sont un standard, donc compatibles avec tout les boitiers qui sont
capables de gérer ce type de tunnel.
• Un tunnel VPN IPSEC comporte plusieurs phases pour réaliser ce tunnel:
1. La phase 1 : pour l’authentification et le chiffrement
2. La phase 2 : pour l’echange des clefs et les paramètres du tunnel
• Dans chaque phase, plusieurs propositions sont possibles, et une, au
moins doit être commune entre les 2 boitiers.
• Il faut bien faire la différence entre la partie chiffrement et
authentification!
• Dans cette formations nous allons voir les VPN site à site et nomades

07/09/2016
78
Alice, Bob, et Eve
• Alice, Bob et Eve sont les protagonistes couramment
utilisés dans Diffie-Hellman (DH)
• Alice et Bob choisissent un nombre premier p et une
base g. Dans notre exemple, p=23 et g=3
• Alice choisit un nombre secret a=6
• Elle envoie à Bob la valeur A = ga [mod p] = 36 [23] =
16
• Bob choisit à son tour un nombre secret b=15
• Bob envoie à Alice la valeur B = gb [mod p] = 315 [23]
= 12
• Alice peut maintenant calculer la clé secrète :
(B)a [mod p] = 126 [23] = 9
• Bob fait de même et obtient la même clé qu'Alice :
(A)b [mod p] = 1615 [23] = 9

07/09/2016
79
La phase 1
• Pour la phase 1 qui gère donc l’authentification entre les 2 boitiers et
règle également chiffrement :
Vous pouvez créer des profils pour chaque type de connexion avec autant de
propositions que vous souhaitez.
Dans les propositions disponibles pour cette phase 1 nous disposons de :
Pour l’authentification : Pour le chiffrement:
• SHA2 256 - AES 128 et 256
• SHA1 - Blowfish 128 et 256
• MD5 - 3des

07/09/2016
80
La phase 2
• Pour la phase 2, les échanges sont déjà authentifiés (phase 1). Cette
phase concerne :
Les négociations des paramètres de sécurité grâce à IKE
Protection contre le rejeu : La négociation est vérifiée pour éviter de rejouer
certaine phase
Génération des clefs IPSEC, cette génération de clefs s’appuie sur la
génération de clefs de la phase 1, elles seront utilisés pour le tunnel IPSEC
Vous pouvez créer des profils pour chaque type de connexion avec autant de
propositions que vous souhaitez.

07/09/2016
81
•Les grands principes du chiffrement
•Les phases des VPN
•L’intérêt de chaque phase et l’approche des profils

07/09/2016
82
Les VPN – Site à Site
Matthieu BAYLE

07/09/2016
83
Plan
•Création d’un profils spécifiques sur les 2 boitiers
•Ajout des objets
•Création du tunnel
•Les règles de filtrage pour le VPN

07/09/2016
84
Les Profils
• Pour un VPN site à site classique, nous allons utiliser des
profils particuliers :
Plus fermer, seulement une proposition pour plus de sécurité
Nous allons aussi mettre tous les paramètres de sécurité au plus haut
Nous allons également créer les objets dont nous avons besoin
(adresse de l’autre boitiers, adresse du réseaux distant, etc)
Appliquer le tout à notre règle de VPN site à site
Faire une revue des règles de filtrage.

07/09/2016
85
• La création complète d’un tunnel VPN IPSEC site à site
• Les règles de filtrage que nous pouvons appliquer au VPN
• Les différents profils que nous pouvons utiliser.

07/09/2016
86
Les VPN - Nomades
Matthieu BAYLE

07/09/2016
87
Plan
•Pourquoi les VPN Nomades et pas SSL?
•Comment les mettre en place?
•La mise en place

07/09/2016
88
Pourquoi un VPN nomade?
• Dans l’utilisation, un VPN nomade, est fait pour les utilisateurs,
typiquement comme les commerciaux ou les dirigeants. Un VPN SSL est
plutôt pour des terminaux mobiles ou les utilisateurs qui ne font pas
partie de votre structure (Réseaux public, etc.).
• Les VPN offrent plusieurs niveaux d’authentification :
• Par utilisateur (via leurs adresse mail)
• Par clefs partagées
• L’intérêt des VPN nomades est aussi de résoudre un problème
important, la gestion des changements de mot de passe à l’ouverture
de session.
• Stormshield possède son logiciel de VPN client (payant)

07/09/2016
89
La mise en place
• Nous allons voir plusieurs méthodes pour mettre en place des VPN
nomades :
Via des clefs
Via des utilisateurs avec un couple adresse email password
Via des certificats
• Chacune a ses avantages et inconvénients au travers de la mise en
place, à vous de voir la méthode qui correspond le mieux à vos besoin.
• Petite précision cependant, pour mettre en place des VPN nomades via
des utilisateurs, un annuaire est obligatoire.

07/09/2016
90
• La différence entre les VPN nomades et SSL
• La mise en place de VPN nomade via des clefs
• La mise en place de VPN nomade via des utilisateur
• La configuration des clients

07/09/2016
91
Les VPN - SSL
Matthieu BAYLE

07/09/2016
92
Plan
•A quoi servent les VPN SSL?
•La mise en place

07/09/2016
93
Pourquoi les VPN SSL?
• Les VPN SSL servent essentiellement pour les clients mobiles.
• Le VPN SSL ne permet pas un accès complet aux ressources mais à des
applications publiées au travers du boitier (via un applet JAVA)
• Avoir un certificat valide est un plus ( d’une autorité de certification
connue)
• Il est possible de publier plusieurs types d’applications, webmail, TSE

07/09/2016
94
• Les explications sur les VPN SSL
• La mise en place d’un portail et présentation d’application
• Test à partir d’un poste standard pour avoir une
représentation
• Etre conscient des limitations des VPN SSL

07/09/2016
95
Le SSO
Matthieu BAYLE

07/09/2016
100
Plan
•Qu’est ce que la QoS?
•La mise en place

07/09/2016
101
La Qos
• La QoS pour Quality of Service est le principe de priorité des flux. C’est-
à-dire que nous allons définir qu’un flux est prioritaire par rapport à un
autre.
• Cette fonctionnalité est particulièrement utilisée dans le VOIP et lors de
l’implémentation de backup (particulièrement externalisé), ou le
transfert de fichier de gros volume.
• Généralement la Qos est utilisée pour ne pas perturber l’accès internet
pour les utilisateurs, il est possible de définir des plages horaires afin de
prioriser un traffic la nuit par exemple et un autre la journée
• A partir du moment où la QoS est en place elle doit l’être sur
l’intégralité des flux. Un flux sans QoS sera automatiquement prioritaire

07/09/2016
102
•Comment fonctionne la QoS sur les boitiers
Stormshield
•Les différents niveaux
•La mise en place sur notre LAB
•Les plages horaires de fonctionnement.

07/09/2016
103
Matthieu BAYLE
La protection
applicative

07/09/2016
104
Plan
•La protection applicative?
•La mise en place
•Les tests de fonctionnement

07/09/2016
105
La protection applicative?
• La protection applicative, permet d’être beaucoup plus fin
que le filtrage d’URL
• Par exemple vous pouvez donner accès à Facebook à vos
utilisateurs mais bloquer certain jeux.
• On peut aussi autoriser ou bloquer certains protocoles,
mais ne pas confondre avec les règles de filtrage.
• Plusieurs profils sont également disponibles.

07/09/2016
106
• A quoi sert la protection applicative
• Mise en place du blocage des jeux sur Facebook.
• Vue de l’ensemble des possibilités de la protection
applicative
• Réalisation des tests de validation

07/09/2016
107
Les Notifications
par email
Matthieu BAYLE

07/09/2016
108
Plan
•Les notifications par email, les pour et les contre
•La mise en place sur les boitiers

07/09/2016
109
Les pour et les contre
• Les notifications par emails, permettent de recevoir un email lors du
déclanchement d’un évènement :
Arrêt d’une Appliance
Déclanchement d’une alerte
Etc
• Les alertes par emails sont très pratiques, par contre, en cas de
configuration pas assez fine, vous risquez de recevoir trop d’emails.
• Attention de ne pas faire doublons avec d’autres outils de monitoring,
comme Centreron ou syslog.
• Il faut clairement définir des seuils aux nombres d’emails envoyés par
alertes

07/09/2016
110
• La mise en place des alertes par email
• Définir des alerte pour plusieurs types d’alertes
• Voir les risques de ce type de mise en place
• Définir des seuils (nombres de mail etc.)
• Question : Et si le boitier ne fonctionne plus?

07/09/2016
111
Le monitoring –
Principes et Syslog
Matthieu BAYLE

07/09/2016
112
Plan
•Pourquoi faire du monitoring?
•Par quel biais?
•Détails sur Syslog

07/09/2016
113
Pourquoi?
• Pourquoi faire du monitoring? La question est vaste, et l’intérêt
dépends de votre utilisation du boitier et votre besoin.
• Si vous avez de forte contraintes/besoins de sécurité, le monitoring
vous permet d’avoir des traces des différentes alertes
• Il peut vous permettre de prévenir des erreurs matérielles
• Grâce au monitoring vous pouvez être proactif
• Dans le cas d’astreintes il peut également déclencher des appels ou
autres.
• Tout dépends de ce que vous souhaitez activer comme alertes et quel
type.

07/09/2016
114
Par quel biais?
• Il existe de très nombreux moyens et de très nombreuses solutions pour
faire du monitoring, dans cette formation je vais vous présenter les plus
couramment utilisés :
Syslog - Ce n’est pas un outil mais une méthode, que nous allons voir juste
après, collecte les évènements système
Les notification par mail – La plus souple et paramétrable des méthodes, les
notifications sont directement configurables sur le boitier
Par le biais d’un outils tiers – Il en existe de très nombreux, Centreon
(Nagios), Cacti (Réseaux), SCOM (Microsoft), Zabbix, PRTG, etc.

07/09/2016
115
•Les différents types de monitoring,
•Les différences entre ces types
•La configuration de Syslog (local et distant)

07/09/2016
116
Le monitoring
Cacti et Centreon
Matthieu BAYLE

07/09/2016
117
Plan
• Cacti – C’est quoi?
Mise en place du monitoring via Cacti
• Centreon – C’est quoi?
Mise en place du monitoring via Centreon

07/09/2016
118
Cacti?
• Cacti est un outil très pratique, principalement utilisé pour le
monitoring réseaux (Switch, routeur), il est donc particulièrement
adapté pour nos firewalls Stormshield. Nous allons pouvoir faire du
monitoring :
Pour les interfaces (Débit, up ou non etc.)
Pour les liens (Saturation, utilisation etc.)
Permet d’avoir des graphes et une Weathermap
Interface WEB
Alertes (emails, et autre) paramétrables
Outil gratuit avec une grande communauté

07/09/2016
119
Centreon?
• Centreon est une combinaison de Nagios qui est un outil en ligne de
commande uniquement, et d’une interface web :
Nagios est très complexe, c’est à la fois un point positif et négatif
Permet le monitoring de tout type de serveurs
Est capable de faire du monitoring sur des services
Très fin dans sa configuration
Gestion des notifications par email également
Génération de graphe et de weathermap
Egalement un outil disponible gratuitement et avec une forte communauté

07/09/2016
120
•Le fonctionnement de Cacti et la mise en place du
monitoring sur Cacti
•Le fonctionnement de Centreon et la mise en place
du monitoring sur Centreon

07/09/2016
121
Debug – Les outils
Stormshield
Matthieu BAYLE

07/09/2016
126
Plan
•Centralized Manager
Mise en place
•Virtual log Appliance
Mise en place

07/09/2016
127
Centralized manager
• Cet outil permet non seulement de faire de la gestion de configuration,
afin d’avoir un historique des modifications :
Il permet également de gérer les cycles de vie des équipements (gestion des
licences)
Permet de définir une politique globale, mais en tenant compte des
spécifications de chaque site
Il gère également la partie supervision
Vous disposez également des alertes en temps réel
Réponds aux exigences MSSP
• Vous l’aurez compris, cette option payante n’est utile qu’avec un
nombres significatifs d’appliances

07/09/2016
128
Virtual log appliance
• Comme son nom l’indique cette Appliance supplémentaire permet la
collecte et la gestion centralisée des logs, de nos Appliances :
Propose plusieurs tableaux de bord
Permet une vue d’ensemble de votre infra (si plusieurs appliances)
Dispose également d’un serveur de syslog
Compatible également avec les Firewalls NetASQ V9
Image virtuelle préconfigurée
Tout les tableaux sont personnalisables
• C’est également une option payante

07/09/2016
129
•Les outils disponibles
•Leurs mises en place
•Leurs configurations
•Leurs utilisations

07/09/2016
130
La CLI
Matthieu BAYLE

07/09/2016
131
Plan
•Dans quel cas utiliser la CLI
•Les différentes commandes de base

07/09/2016
132
La CLI dans quels cas?
• L’interface en ligne de commande peut être utile dans certains cas,
notamment si vous perdez l’accès à distance à votre boitier.
• Pour accéder à cette interface il y a plusieurs méthodes :
En SSH (que nous allons utiliser)
Physiquement sur le boitier (port console)
Via l’interface web, une partie de cette CLI est disponible, mais seulement
certaines commandes
• Il est possible de perdre l’accès au boitier en faisant une mauvaise
manipulation dans les règles de filtrage ou autre.
• Je vais vous montrez des cas concrets en provoquant ce type d’erreurs

07/09/2016
133
Les commandes
• Les Firewalls Stormshield (comme NetASQ) est basé sur un système
BSD, les commandes UNIX s’appliquent donc à notre boitier.
• Vous pouvez presque tout faire en ligne de commande.
• Nous allons principalement utiliser :
Ifconfig
Tcpdump
Defaultconfig
Netstat
Etc.

07/09/2016
134
•Avoir vu la CLI Stromshield
•Vu comment résoudre certains problèmes courants
•Connaitre certaines commandes standard

07/09/2016
135
Stormshield
Expert
Conclusion
Matthieu BAYLE

07/09/2016
136
Cursus administration Stormshield
Niveau Administration Niveau Expert

07/09/2016
137
Ce que vous êtes capable de faire
• Apres cette formation vous êtes en mesure de:
• Mieux comprendre le
fonctionnement d’un boitier UTM
• Mettre vos appliance en cluster et
comprendre son fonctionnement.
• Etre capable de gérer des
utilisateur et des groupes via
votre boitier.
• Authentifier des utilisateurs par
plusieurs biais.
• Gerer des certificats
• Configurer tout les modules de
votre boitier.
• Faire de l’inspection sur les flux
SSL
• Réalisez tout type de VPN (SSL,
IPSEC, Nomade, site à site)
• Faire du monitoring sur votre
boitier.
• Afficher et exporter des graphes

07/09/2016
138
D’autres formations sur d’autres firewall

07/09/2016
139
Présentation du Formateur
Matthieu Bayle
• Bayle.matthieu.alphorm@gmail.com
• Consultant en sécurité et Ingénieur systèmes/réseaux
• Ma mission actuelle

07/09/2016
140
Et maintenant?
• Que faire grâce a vos nouvelles compétences?
• Acheter un boitier Stormshield
• Vendre des équipements Stormshield
• Etre capable d’apporte votre expertise sur cet équipement
• Installer les équipement Stormshield, même dans des
structures complexe.
• Passer les certification Stormshield
• Maitriser votre infrastructure si vous êtes SysAdmin

07/09/2016
141
FIN

Alphorm.com support de la formation Stormshield, Expert

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (20)

Similar a Alphorm.com support de la formation Stormshield, Expert

Similar a Alphorm.com support de la formation Stormshield, Expert (20)

Más de Alphorm

Más de Alphorm (20)

Alphorm.com support de la formation Stormshield, Expert