Stormshield

Tutoriels stormshield français

Règles de base

Règles de base Stormshield

Règles de base

Filtrage de base

Il existe par défaut de nombreux profils disponibles. Le premier est le "(1) Block all". Ce profil est standard : on bloque tout. 

On va donc autoriser certains trafics avant la règle qui va tout bloquer.

Les règles de filtrage s'appliquent de haut en bas.

Par défaut, on a une règle tout en haut qui va nous permettre d'accéder à l'interface d'administration de notre Stormshield.

image-1646576793324.png

Pour avoir un fonctionnement "normal" dès le départ, on créer les règles 3 et 4 qui vont nous permettre la résolution DNS et le flux web HTTP / HTTPS.

Règle 3

Cette règle autorise l'accès de mon PC (de mon LAN) vers les serveurs de mon Lab situés dans le LAN du Stormshield.

Règle 4

Cette règle autorise le ping du LAN vers Internet (uniquement)

Règle 5

Cette règle autorise le flux web HTTP / HTTPS du LAN de mon lab vers l'extérieur. 

Règle 6

Cette règle autorise le flux DNS de mon Pi-Hole sur mon LAN vers mes deux serveurs contrôleurs de domaine de mon lab.

Règle 7

Cette règle bloque le reste du trafic.

 

Règles de base

NAT

Par défaut, nous n'avons pas de NAT. Cependant, cela est nécessaire.

Une seule règle nous intéresse ici afin d'avoir du NAT fonctionnel pour le LAN : la règle 6.

image-1646337876210.png

Tout le trafic du LAN vers Internet sera translaté. 

Port-Forwarding Stormshield (redirection de port)

Pour faire passer un port depuis l'extérieur vers une machine du LAN, il faut faire du port-forwarding (ou redirection de port)

Sous "Configuration", "Filter - NAT" et l'onglet "NAT", on ajoute une règle semblable à celle-ci : 

image-1646338366370.png

Ici, le trafic arrivant sur l'interface WAN du Stormshield avec le port 3390 est redirigé vers RN-SRV-DC01 avec le port 3390.

Il faut ensuite autoriser ce trafic dans l'onglet "Filtering" :

image-1646339041749.png

Pensez à remplacer "RDP" par le port que vous avez mis à la première étape. Dans mon cas, j'ai 4 règles de redirection de ports (3390 à 3394). Donc "RDP" est un groupe de ports.

Dans mon cas :

image-1646576932848.png

Générer un certificat SSL/TLS Stormshield depuis un AD CS

On ajoute nos certificats de l'autorité de certification racine et de l'autorité de certification intermédiaire.

image.png

En CLI, on demande un certificat :

PKI REQUEST CREATE type=server cn=stormshield.home.khroners.fr C=FR ST=Bretagne L=Rennes O="Khroners Labs" OU=IT shortname=sns.home.khroners.fr-20231110 size=4096 ALTNAMES=stormshield.home.khroners.fr

On récupère la demande :

PKI REQUEST GET name=sns.home.khroners.fr-20231110 format=pem

image.png

On place notre fichier dans un dossier que l'on renomme "SNS.csr".

image.png

Dans AD CS, on crée notre modèle comme ici : Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x/7.x (2112009).

On en profite pour passer le chiffrement en 4096.

Ensuite, en CLI ou via l'interface web (on privilégie le CLI), on soumet la demande :

certreq.exe -submit -attrib "CertificateTemplate:SNS" C:\CertRequests\SNS.csr

On importe le certificat en PEM :

image.png

Une fois importé, on le définit dans la config.

image.png