Préparer une clé USB de configuration (Staging)

Tutoriel Stormshield

Tutorial Thumbnail
  1. Tutoriels
  2. Stormshield
  3. Préparer une clé USB de configuration (Staging)

Dans plusieurs cas particulier, il peut ĂȘtre assez intĂ©ressant d'automatiser une installation d'un nouveau pare-feu Stormshield Network Security. Qu'il soit en configuration usine sortie du carton ou lors d'une remise en configuration par dĂ©faut, nous allons voir ensemble qu'il est en effet possible de prĂ©parer une clĂ© USB avec nos fichiers souhaitĂ©s.


L'objectif serait en effet de voir le formatage et l'installation des fichiers relatifs à la poste configuration du pare-feu de la clé USB, puis des manipulations réalisées sur le pare-feu.


Sommaire
  1. Prérequis
  2. Ordre d'application des opérations
  3. Préparation
    1. Copier les fichiers nécessaires à la racine de la clé USB
      1. Fichier de licence (.licence)
      2. Mise Ă  jour du firmware (.maj)
      3. Importation d'un fichier de configuration (.na)
    2. Branchement de la clé USB
    3. Mise en place
    4. Aperçu de l'exécution en console
  4. Conclusion

Prérequis

Afin de suivre ce tutoriel, assurez vous de respecter les éléments suivants :

  • Une clĂ© USB (certaines clĂ©s ne sont pas reconnues par le pare-feu, n'hĂ©sitez pas Ă  en essayer d'une autre marque),
  • Un cĂąble USB pour se connecter en sĂ©rie sur un premier pare-feu de test,
  • Les fichiers « .licence » de chaque pare-feu,
  • Les fichiers « .maj » adaptĂ©s aux modĂšles,
  • Le fichier de configuration « .na » si nĂ©cessaire afin de restaurer une configuration dĂ©jĂ  effectuĂ©e.


Ordre d'application des opérations

Lors du démarrage du firewall sur une clé USB, les fichiers présents sur la clé sont importés / installés / exécutés automatiquement selon la séquence suivante :



L'opération se déroule de la maniÚre suivante :


1. Licence (extension .licence).

2. Mise à jour de firmware (extension .maj) : entraßne un redémarrage du firewall.


IMPORTANT : La clĂ© USB doit ĂȘtre retirĂ©e au moment du redĂ©marrage du firewall.


3. Fichier de sauvegarde de configuration (extension .na).

4. Package de rattachement Ă  un serveur Stormshield Management Center (SMC) (extension .pack).

5. Certificats (extension .p12), Ă  partir de la version SNS 3.9.0.

6. Mot de passe du compte admin (extension .pwd), Ă  partir de la version SNS 3.9.0.

7. Fichiers de configuration de routage dynamique (extensions .bird et .bird6), Ă  partir de la version SNS 3.10.2 ou de la version SNS 4.1.1.

8. Fichiers de configuration additionnelle (extension .csv), Ă  partir de la version SNS 3.9.0.


Lorsque l'un des types de fichiers listés ci-dessus est absent de la clé, l'étape correspondante est simplement ignorée.


Préparation

Nous allons dans un premier temps, nous allons formatter la clé USB en format "FAT32", décochez la case "Formatage rapide". Cliquez enfin sur "Démarrer" :



Déposez les fichiers que vous récupérez, dans un cas de restauration dit "classique" :

  • Fichier de licence : Ă  rĂ©cupĂ©rer sur MyStormshield.eu, rubrique Produits > Gestion des produits & sĂ©lectionnez le numĂ©ro de sĂ©rie du bon pare-feu. Vous obtenez un fichier .licence.
  • Fichier de mise Ă  jour firmware : Ă  rĂ©cupĂ©rer sur MyStormshield.eu, rubrique TĂ©lĂ©chargements. SĂ©lectionnez le bon firmware avec le bon modĂšle. Vous obtenez un fichier .maj.
  • Fichier de configuration : Ă  rĂ©cupĂ©rer sur votre pare-feu, depuis la partie CONFIGURATION > SystĂšme > Maintenance > Sauvegarder. Vous obtenez un fichier .na.


Copier les fichiers nécessaires à la racine de la clé USB

Maintenant que notre clé USB est formatée, nous devons disposer les fichiers de licence et de mise à jour, dans notre exemple.


Attention ! Les fichiers firmware et de licence doivent conserver leurs noms par défaut !


Exemple de nomenclature :

  • Fichier de licence : Firewall_Serial_Number.licence (ex : SNSX02B5204A9.licence),
  • Fichier firmware SNS : fwupd-version-SNS-architecture-modele.maj (ex : fwupd-4.7.4-SNS-amd64-M.maj),
  • Fichier de configuration SNS :
  • si fichier de configuration global, nommer le fichier : default.na
  • si fichier spĂ©cifique, nommer en fonction du numĂ©ro de sĂ©rie du firewall de destination : SNSX02B5204A9.na

Le processus d'auto configuration sĂ©lectionne automatiquement le fichier adaptĂ© au modĂšle en fonction de son nom. Ce qui peut ĂȘtre pratique et trĂšs bien dans le cas oĂč vous souhaitez rapidement dĂ©ployer une configuration sur plusieurs firewall est que le SNS est capable de prendre le bon fichier de licence et le bon fichier de firmware en fonction de son numĂ©ro de sĂ©rie et de son architecture.


Pour un besoin de cohĂ©rence, le fichier de configuration peut ĂȘtre nommĂ© default.na.


Fichier de licence (.licence)

Chaque firewall dispose d'un fichier de licence qui lui est propre. Ces fichiers sont disponibles dans votre espace personnel MyStormshield, section Produit > Gestion des Produits.

Un fichier licence installĂ© via clĂ© USB doit ĂȘtre nommĂ© Firewall_Serial_Number.licence.


Exemple : SNSX02B5204A9.licence


Mise Ă  jour du firmware (.maj)

Il est possible de rĂ©aliser une mise Ă  jour du firewall. Lorsque plusieurs firewalls doivent ĂȘtre configurĂ©s Ă  l'aide d'une mĂȘme clĂ© USB, plusieurs fichiers de mise Ă  jour logicielle peuvent ĂȘtre nĂ©cessaires (architectures firewalls diffĂ©rentes, versions logicielles prĂ©chargĂ©es diffĂ©rentes...).


Exemples :

  • fwupd-3.0.0-SNS-armv6-S.maj
  • fwupd-4.7.4-SNS-amd64-M.maj
  • etc...


Concernant la différence de mise à jour du firmware, si l'écart entre la version majeure du firmware du pare-feu lors de sa sortie d'usine et les versions logicielles présentes sur la clé est inférieur à 2 (par exemple, le pare-feu est en version 3.9.0 et le firmware est en version 4.0.0 sur la clé), seule la version logicielle la plus récente présente sur la clé est installée.


Dans le cas contraire, s'il y a plus de deux versions d'Ă©cart (par exemple, le pare-feu est en version 2.14.0 et les firmwares disponibles sont en version 3.9.0 et 4.0.0 sur la clĂ©), une version intermĂ©diaire du firmware doit ĂȘtre prĂ©sente sur la clĂ© pour permettre une mise Ă  jour automatique par Ă©tapes.


La clĂ© USB doit ĂȘtre retirĂ©e au moment du redĂ©marrage du firewall !


Importation d'un fichier de configuration (.na)

Si la configuration destinĂ©e Ă  ĂȘtre chargĂ©e sur les firewalls est gĂ©nĂ©rique, le fichier de sauvegarde peut ĂȘtre nommĂ© default.na. S'il est diffĂ©rent pour les firewalls Ă  configurer via la clĂ© USB, chaque fichier de sauvegarde doit ĂȘtre nommĂ© : Firewall_Serial_Number.na.


Exemples :

  • SNSX02B5204A9.na
  • SNSX02B5205A9.na
  • SNSX02B5206A9.na
  • etc...


Généralement, il faudra saisir toujours le numéro de série du firewall de destination pour les fichiers.

👉 Vous pouvez retrouver plus de dĂ©tails Ă  ce sujet depuis la documentation technique Stormshield : https://documentation.stormshield.eu/SNS/v4/fr/Content/PDF/SNS-TechnicalNotes/sns-fr-configuration_initiale_par_cle_usb_note_technique.pdf



Branchement de la clé USB

Il est nécessaire de brancher la clé USB sur le premier port USB, situé à l'arriÚre du produit. L'emplacement varie en fonction du modÚle spécifié.

Voici un exemple pour un SNS 320 :


Mise en place

Voici les étapes à suivre au moment de la mise en place de cette procédure de déploiement post configuration :

  1. Dans un premier temps, connectez votre pare-feu avec le cùble série afin de visualiser les différentes étapes du processus,
  2. Brancher la clé USB sur un port USB,
  3. Effectuer une réinstallation usine, deux choix possible :
  4. Appui long sur le bouton reset usine du pare-feu
  5. Commande "DEFAULTCONFIG" : la commande defaultconfig propose des options qui la rendent plus complÚte et plus fine que "cleanfw", et la rendent donc plus appropriée à une restauration en configuration usine.
defaultconfig -f -p -u -r -c -L -d

Parmi les options sélectionnées :

  • Ne crĂ©e pas de copie du rĂ©pertoire "ConfigFiles",
  • Supprime les fichiers de logs,
  • ProcĂšde Ă  une rĂ©plication de l’état de la partition courante sur la partition de backup, ainsi que la configuration restaurĂ©e en paramĂštres usine.

4. Durant ce processus de démarrage, les fichiers de configuration disposés sur la clé USB seront dans un premier temps analysés et installé en respectant les conditions préalables (installations des fichiers en fonction du numéro de série ; architectures matériel (modÚle du FW)).



- Patienter 15 minutes le temps que l’ensemble des voyants en façade soient toutes allumĂ©es, dans l'ordre :

  • Le voyant orange "POWER" indique le le firewall est alimentĂ© Ă©lectriquement (1 voyant par alimentation) ;
  • Le voyant vert "STATUS" indique le dĂ©marrage du produit en console ;
  • Le voyant vers "ONLINE" indique que l'OS du firewall est chargĂ© et que SNS est prĂȘt.


Aperçu de l'exécution en console

Vous pouvez retrouver un exemple lié à l'installation de la licence et le démarrage de l'installation de la mise à jour sur le pare-feu concerné :




Nous pouvons voir également un aperçu de l'installation de la configuration :




Conclusion

Lorsque toutes les Ă©tapes de configuration sont terminĂ©es, le pare-feu est opĂ©rationnel et prĂȘt Ă  ĂȘtre dĂ©ployĂ©.

Vous pouvez-vous connecter Ă  son interface d'administration web directement (https://FW_IP/admin) ou depuis Stormshield Management Center (SMC) si le pare-feu est lui -mĂȘme rattachĂ© Ă  un serveur SMC.


Les opĂ©rations rĂ©alisĂ©es lors de la configuration initiale du firewall, sauf les Ă©ventuels imports de licences et mises Ă  jour de firmware, sont enregistrĂ©es dans un fichier de log crĂ©Ă© Ă  la racine de la clĂ© USB et nommĂ© <SNSXXXXXXXXX_staging>.log 😉

Niveau DĂ©butant

Technologie utilisée :

Proposer une modification
Antoine
Par Antoine
Rédigé le Mardi 19 Mars 2024