Configuration de l’appareil. Juniper Networks SSG 5 ISDN, SSG 5 V.92, SSG 5 ISDN-WLAN, SSG 5 Serial, SSG 5 V.92-WLAN, SSG 5 Serial-WLAN
Chapitre 3
Configuration de l’appareil
Le logiciel ScreenOS est installé de manière préalable dans les appareils SSG 5. Lors de la mise sous tension de l’appareil, ce dernier est prêt à être configuré. L’appareil dispose d’une configuration par défaut définie en usine qui permet de procéder à la connexion initiale de l’appareil. Une configuration supplémentaire adaptée à vos exigences réseau spécifiques est cependant nécessaire.
Ce chapitre présente les sections suivantes :
« Accès à l’appareil », page 24
« Paramètres par défaut de l’appareil », page 27
« Configuration de base de l’appareil », page 29
« Configuration sans fil de base », page 33
« Configuration du réseau étendu », page 37
« Protections pare-feu de base », page 39
« Vérification de la connectivité externe », page 39
« Restauration des paramètres par défaut de l’appareil », page 40
REMARQUE : une fois l’appareil configuré et la connectivité vérifiée via le réseau distant, vous devez enregistrer le produit à l’adresse www.juniper.net/support/ de manière à ce que certains services ScreenOS, tels que le service de signatures Deep Inspection et l’antivirus (disponibles séparément), puissent être activés dans l’appareil. Une fois votre produit enregistré, utilisez l’interface utilisateur Web pour obtenir un abonnement au service de votre choix. Pour plus d’informations au sujet de l’enregistrement de votre produit et de l’obtention d’abonnements pour des services spécifiques, reportez-vous au volume Fundamentals du manuel Concepts
& Examples ScreenOS Reference Guide correspondant à la version de ScreenOS exécutée dans l’appareil.
23
Guide d’installation et de configuration du matériel SSG 5
Accès à l’appareil
Vous pouvez configurer et gérer un appareil SSG 5 de différentes manières :
Console : le port Console de l’appareil permet d’accéder à l’unité par l’intermédiaire d’un câble série connecté à votre poste de travail ou terminal.
Pour configurer l’appareil, saisissez des commandes CLI (interface de ligne de commande) ScreenOS sur votre terminal ou dans un programme d’émulation de terminal exécuté sur votre poste de travail.
Interface utilisateur Web : l’interface utilisateur Web de ScreenOS est une interface graphique disponible par l’intermédiaire d’un navigateur. Dans le cadre de l’utilisation initiale de l’interface utilisateur Web, le poste de travail sur lequel vous exécutez le navigateur doit être situé dans le même sous-réseau que l’appareil. Vous pouvez également accéder à l’interface utilisateur Web par l’intermédiaire d’un serveur sécurisé utilisant le protocole (SSL) avec un protocole HTTP sécurisé (S-HTTP).
Telnet/SSH : Telnet et SSH sont des applications permettant d’accéder à des appareils par l’intermédiaire d’un réseau IP. Pour configurer l’appareil, saisissez des commandes CLI (interface de ligne de commande) ScreenOS dans une session Telnet depuis votre poste de travail. Pour plus d’informations, reportez-vous au volume Administration du manuel Concepts & Examples
ScreenOS Reference Guide.
NetScreen-Security Manager : NetScreen-Security Manager est une application de gestion de Juniper Networks à l’échelle des entreprises qui permet de contrôler et de gérer les appareils de réseau privé virtuel IPSec/de pare-feu de
Juniper Networks. Pour obtenir des instructions relatives à la procédure de gestion de l’appareil à l’aide de NetScreen-Security Manager, reportez-vous au manuel NetScreen-Security Manager Administrator’s Guide.
Utilisation d’une connexion de console
REMARQUE : utilisez un câble série RJ-45 direct de catégorie 5 avec un connecteur RJ-45 mâle lors de la connexion au port Console de l’appareil.
Procédez comme suit pour établir une connexion de console :
1.
Connectez la fiche femelle de l’adaptateur DB-9 fourni au port série de votre poste de travail (veillez à ce que le connecteur DB-9 soit inséré correctement et
fermement). La Figure10 illustre le type de connecteur DB-9 nécessaire.
24 Accès à l’appareil
Figure 10 : adaptateur DB-9
Prise RJ-45
Câble RJ-45
Adaptateur
DB-9
2.
Connectez la fiche mâle du câble série RJ-45 de catégorie 5 au port Console de l’appareil SSG 5 (veillez à ce que l’autre fiche du câble de catégorie 5 soit insérée correctement et fermement dans l’adaptateur DB-9).
3.
Lancez un programme d’émulation de terminal série sur votre poste de travail.
Les paramètres nécessaires au lancement d’une session de console sont les suivants :
Débit (en bauds) : 9600
Parité : aucune
Bits de données : 8
Bit d’arrêt : 1
Contrôle de flux : aucun
4.
Si vous n’avez pas encore modifié les nom d’utilisateur et mot de passe par défaut, saisissez netscreen aux invites de connexion et de mot de passe
(n’utilisez que des lettres minuscules, les champs du nom de connexion et du mot de passe respectent tous deux la casse).
Pour obtenir des informations relatives à la configuration de l’appareil à l’aide des commandes CLI, reportez-vous au manuel Concepts & Examples ScreenOS
Reference Guide.
5.
(Facultatif) Par défaut, la session de la console arrive à expiration et s’arrête automatiquement après 10 minutes d’inactivité. Pour désactiver le délai d’expiration, saisissez set console timeout 0.
Utilisation de l’interface utilisateur Web
Dans le cadre de l’utilisation de l’interface utilisateur Web, le poste de travail à partir duquel vous gérez l’appareil doit initialement être situé dans le même sous-réseau que l’appareil. Procédez comme suit pour accéder à l’appareil à l’aide de l’interface utilisateur Web :
1.
Connectez le poste de travail au port 0/2 — 0/6 (interface bgroup0 de la zone
Trust) de l’appareil.
2.
Assurez-vous que le poste de travail est configuré pour le protocole DHCP
(Dynamic Host Configuration Protocol) ou est configuré de manière statique avec une adresse IP du sous-réseau 192.168.1.0/24.
Accès à l’appareil
25
Guide d’installation et de configuration du matériel SSG 5
3.
Lancez le navigateur, saisissez l’adresse IP de l’interface bgroup0 (l’adresse IP par défaut est 192.168.1.1/24), puis appuyez sur Entrée.
REMARQUE : si vous accédez pour la première fois à l’appareil par l’intermédiaire de l’interface utilisateur Web, l’Initial Configuration Wizard (Assistant de configuration initiale) apparaît. Si vous souhaitez configurer l’appareil à l’aide de l’Initial Configuration
Wizard, reportez-vous à la section « Initial Configuration Wizard », page 51.
L’interface utilisateur Web affiche l’invite de connexion représentée à la
Figure 11 : invite de connexion de l’interface utilisateur Web
4.
Si vous n’avez pas encore modifié les nom d’administrateur et mot de passe par défaut, saisissez netscreen aux invites de connexion et de mot de passe
(n’utilisez que des lettres minuscules, les champs du nom de connexion et du mot de passe respectent tous deux la casse).
Utilisation de Telnet
Procédez comme suit pour établir une connexion Telnet :
1.
Connectez le poste de travail au port 0/2 — 0/6 (interface bgroup0 de la zone
Trust) de l’appareil.
2.
Assurez-vous que le poste de travail est configuré pour le protocole DHCP ou est configuré de manière statique avec une adresse IP du sous-réseau
192.168.1.0/24.
3.
Démarrez une application cliente Telnet sur l’adresse IP de l’interface bgroup0
(l’adresse IP par défaut est 192.168.1.1). Saisissez, par exemple, telnet
192.168.1.1
.
L’application Telnet affiche l’invite de connexion.
4.
Si vous n’avez pas encore modifié les nom d’utilisateur et mot de passe par défaut, saisissez netscreen aux invites de connexion et de mot de passe
(n’utilisez que des lettres minuscules, les champs du nom de connexion et du mot de passe respectent tous deux la casse).
5.
(Facultatif) Par défaut, la session de la console arrive à expiration et s’arrête automatiquement après 10 minutes d’inactivité. Pour désactiver le délai d’expiration, saisissez set console timeout 0.
26 Accès à l’appareil
Paramètres par défaut de l’appareil
Cette section détaille les paramètres par défaut et le fonctionnement d’un appareil
SSG 5.
Le Tableau 4 présente les liaisons de zones par défaut des ports des appareils.
Tableau 4 : interface physique par défaut des liaisons de zones
Mention attribuée au port Interface
Ports Ethernet 10/100 :
0/0
0/1
0/2
0/3
0/4
0/5
0/6
AUX
Ports de réseau étendu :
RNIS
V.92
ethernet0/0 ethernet0/1 bgroup0 (ethernet0/2) bgroup0 (ethernet0/3) bgroup0 (ethernet0/4) bgroup0 (ethernet0/5) bgroup0 (ethernet0/6) serial0/0 bri0/0 serial0/0
Zone
Untrust
Null
Untrust
DMZ
Trust
Trust
Trust
Trust
Trust
Null
Le groupe pont (bgroup) permet aux utilisateurs réseau de commuter entre le trafic câblé et le trafic sans fil sans devoir reconfigurer ou redémarrer l’appareil. Par défaut, les interfaces ethernet0/2 — ethernet0/6, portant les mentions ports 0/2 —
0/6 sur l’appareil, sont regroupées en tant qu’interface bgroup0, disposent de l’adresse IP 192.168.1.1/24 et sont reliées à la zone de sécurité Trust. Vous pouvez configurer un maximum de quatre groupes bgroup.
Si vous souhaitez placer une interface Ethernet ou sans fil dans un groupe bgroup, vous devez d’abord vous assurer que l’interface Ethernet ou sans fil se trouve dans la zone de sécurité Null. Si vous retirez l’interface Ethernet ou sans fil du groupe bgroup, elle est placée dans la zone de sécurité Null. Une fois attribuée à la zone de sécurité Null, l’interface Ethernet peut être reliée à une zone de sécurité et une autre adresse ID peut lui être attribuée.
Paramètres par défaut de l’appareil
27
Guide d’installation et de configuration du matériel SSG 5
Pour retirer l’interface ethernet0/3 du groupe bgroup0 et la placer dans la zone Trust avec l’adresse IP statique 192.168.3.1/24, utilisez l’interface utilisateur Web ou les commandes CLI de la manière suivante :
WebUI
Network > Interfaces > List > Edit (bgroup0) > Bind Port : désélectionnez
ethernet0/3, puis cliquez sur Apply.
List > Edit (ethernet0/3) : saisissez les informations suivantes, puis cliquez sur
Apply :
Zone Name: Trust (sélection)
IP Address/Netmask: 192.168.3.1/24
CLI
unset interface bgroup0 port ethernet0/3 set interface ethernet0/3 zone trust set interface ethernet0/3 ip 192.168.3.1/24 save
Tableau 5 : liaisons des interfaces sans fil et des interfaces logiques
SSG 5-WLAN Interface Zone
Interface sans fil
Définit une interface sans fil qui peut
être configurée de manière à fonctionner sur des bandes de signaux radioélectriques de 2,4 G et/ou 5 G.
wireless0/0 (l’adresse IP par défaut est
192.168.2.1/24) wireless0/1-0/3.
Trust
Null
Interfaces logiques
Interface de couche 2
Interfaces tunnel vlan1 fait référence aux interfaces logiques utilisées pour la gestion et l’arrêt de trafic du réseau privé virtuel lorsque l’appareil est en mode transparent.
S/O tunnel.n fait référence à une interface tunnel logique. Cette interface est destinée au trafic de réseau privé virtuel.
S/O
Vous pouvez modifier l’adresse IP par défaut de l’interface bgroup0 conformément aux adresses de votre réseau local et de votre réseau local sans fil. Pour configurer
REMARQUE : l’interface bgroup ne fonctionne pas en mode transparent lorsqu’elle inclut une interface sans fil.
Pour obtenir des informations supplémentaires au sujet du groupe bgroup et des exemples, reportez-vous au manuel Concepts & Examples ScreenOS Reference Guide.
Aucune autre adresse IP par défaut n’est configurée sur les autres interfaces
Ethernet ou sans fil de l’appareil. Vous devez définir les adresses IP des autres interfaces, interfaces de réseau étendu incluses.
28 Paramètres par défaut de l’appareil
Configuration de base de l’appareil
Cette section détaille les paramètres de configuration de base suivants :
Nom et mot de passe de l’administrateur racine
Adresse de l’interface de gestion
Configuration de l’interface non sécurisée secondaire
Nom et mot de passe de l’administrateur racine
L’administrateur racine dispose de tous les droits nécessaires à la configuration des appareils SSG 5. Nous vous recommandons de modifier immédiatement le nom et le mot de passe par défaut de l’administrateur racine (tous deux netscreen).
Pour modifier le nom et le mot de passe de l’administrateur racine, utilisez l’interface utilisateur Web ou les commandes CLI de la manière suivante :
WebUI
Configuration > Admin > Administrators > Edit (pour le nom de l’administrateur) : saisissez les informations suivantes, puis cliquez sur OK :
Administrator Name:
Old Password: netscreen
New Password:
Confirm New Password:
REMARQUE : les mots de passe ne sont pas affichés dans l’interface utilisateur Web.
CLI
set admin name nom set admin password motdepasse save
Configuration de base de l’appareil
29
Guide d’installation et de configuration du matériel SSG 5
Date et heure
L’heure définie dans un appareil SSG 5 affecte des événements tels que la configuration des tunnels de réseau privé virtuel. Le moyen le plus simple pour régler la date et l’heure de l’appareil consiste à utiliser l’interface utilisateur Web pour synchroniser l’horloge système de l’appareil sur l’horloge du poste de travail.
Pour configurer la date et l’heure d’un appareil, utilisez l’interface utilisateur Web ou les commandes CLI de la manière suivante :
WebUI
1.
Configuration > Date/Time : cliquez sur le bouton Sync Clock with Client.
Un message contextuel s’affiche, invitant à préciser si l’option de passage à l’heure d’été a été activée au niveau de l’horloge de votre poste de travail.
2.
Cliquez sur Yes pour synchroniser l’horloge système et la régler en tenant compte de l’heure d’été ou sur No pour synchroniser l’horloge système sans tenir compte de l’heure d’été.
Vous pouvez également utiliser la commande CLI set clock dans une session Telnet ou de console afin de saisir manuellement la date et l’heure de l’appareil.
Interfaces du groupe pont
Par défaut, l’appareil SSG 5 dispose des interfaces Ethernet ethernet0/2—ethernet0/4, regroupées dans la zone de sécurité Trust. Le fait de regrouper les interfaces les place dans un sous-réseau. Vous pouvez retirer une interface d’un groupe et l’affecter à une autre zone de sécurité. Avant d’être affectées à un groupe, les interfaces doivent se trouver dans la zone de sécurité Null.
Pour placer une interface regroupée dans la zone de sécurité Null, utilisez la commande CLI unset interface interface port interface.
Les appareils SSG 5-WLAN permettent de regrouper des interfaces Ethernet et sans fil dans un même sous-réseau.
REMARQUE : seules les interfaces Ethernet et sans fil peuvent être placées dans un groupe bgroup.
Pour configurer un groupe disposant d’interfaces Ethernet et sans fil, utilisez l’interface utilisateur Web ou les commandes CLI de la manière suivante :
WebUI
Network > Interfaces > List > Edit (bgroup0) > Bind Port : désélectionnez
ethernet0/3 et ethernet0/4, puis cliquez sur Apply.
Edit (bgroup1) > Bind Port : sélectionnez ethernet0/3, ethernet0/4 et
wireless0/2, puis cliquez sur Apply.
>Basic : saisissez les informations suivantes, puis cliquez sur Apply :
Zone Name: DMZ (sélection)
IP Address/Netmask: 10.0.0.1/24
30 Configuration de base de l’appareil
CLI
unset interface bgroup0 port ethernet0/3 unset interface bgroup0 port ethernet0/4 set interface bgroup1 port ethernet0/3 set interface bgroup1 port ethernet0/4 set interface bgroup1 port wireless0/2 set interface bgroup1 zone DMZ set interface bgroup1 ip 10.0.0.1/24 save
Accès administratif
Par défaut, tous les utilisateurs connectés à votre réseau peuvent gérer l’appareil dès lors qu’ils en connaissent le nom de connexion et le mot de passe. Pour configurer l’appareil de manière à ce qu’il ne puisse être géré qu’à partir d’un hôte spécifique du réseau, utilisez l’interface utilisateur Web ou les commandes CLI de la manière suivante :
WebUI
Configuration > Admin > Permitted IPs : saisissez les informations suivantes, puis cliquez sur Add :
IP Address/Netmask: adr_ip/masque
CLI
set admin manager-ip adr_ip/masque save
Services de gestion
ScreenOS propose des services de configuration et de gestion de l’appareil, tels que
SNMP, SSL et SSH, que vous pouvez activer en fonction de l’interface. Pour configurer les services de gestion de l’appareil, utilisez l’interface utilisateur Web ou les commandes CLI de la manière suivante :
WebUI
Network > Interfaces > List > Edit (pour l’interface ethernet0/0) : sous
Management Services, activez les services de gestion à utiliser dans l’interface, puis cliquez sur Apply.
CLI
set interface ethernet0/0 manage web unset interface ethernet0/0 manage snmp save
Configuration de base de l’appareil
31
Guide d’installation et de configuration du matériel SSG 5
Nom d’hôte et nom de domaine
Le nom de domaine définit le réseau ou le sous-réseau auquel appartient l’appareil tandis que le nom d’hôte fait référence à un appareil spécifique. Le nom d’hôte et le nom de domaine permettent d’identifier ensemble de manière unique l’appareil au sein du réseau. Pour configurer le nom d’hôte et le nom de domaine d’un appareil, utilisez l’interface utilisateur Web ou les commandes CLI de la manière suivante :
WebUI
Network > DNS > Host : saisissez les informations suivantes, puis cliquez sur
Apply :
Host Name: nom
Domain Name: nom
CLI
set hostname nom set domain nom save
Route par défaut
La route par défaut est une route statique utilisée pour diriger les paquets adressés à des réseaux qui ne figurent pas de manière explicite dans le tableau de routage. Si un paquet arrive dans l’appareil et dispose d’une adresse pour laquelle l’appareil ne dispose d’aucune information de routage, ce dernier envoie le paquet à la destination définie par la route par défaut. Pour configurer la route par défaut de l’appareil, utilisez l’interface utilisateur Web ou les commandes CLI de la manière suivante :
WebUI
Network > Routing > Destination > New (trust-vr) : saisissez les informations suivantes, puis cliquez sur OK :
IP Address/Netmask: 0.0.0.0/0.0.0.0
Next Hop
Gateway: (sélection)
Interface: ethernet0/2 (sélection)
Gateway IP Address: adr_ip
CLI set route 0.0.0.0/0 interface ethernet0/2 gateway adr_ip save
Adresse de l’interface de gestion
L’interface Trust dispose de l’adresse IP par défaut 192.168.1.1/24 et est configurée pour les services de gestion. Si vous connectez les ports 0/2—0/4 de l’appareil à un poste de travail, vous pouvez configurer l’appareil à partir d’un poste de travail du sous-réseau 192.168.1.1/24, à l’aide d’un service de gestion tel que Telnet.
Vous pouvez modifier l’adresse IP par défaut de l’interface Trust. Vous pouvez, par exemple, modifier l’interface conformément aux adresses IP qui existent déjà sur le réseau local.
32 Configuration de base de l’appareil
Configuration de l’interface non sécurisée secondaire
L’appareil SSG 5 permet de configurer une interface secondaire en cas de défaillance de l’interface non sécurisée. Procédez comme suit pour définir une interface secondaire, utilisée en cas de défaillance de l’interface non sécurisée :
1.
Placez l’interface secondaire dans la zone de sécurité Null à l’aide de la commande CLI unset interface interface [ port interface ].
2.
Reliez l’interface secondaire à la même zone de sécurité que l’interface principale à l’aide de la commande CLI set interface interface zone nom_zone.
REMARQUE : l’interface principale et l’interface secondaire doivent se trouver dans la même zone de sécurité. L’interface principale ne dispose que d’une seule interface secondaire et l’interface secondaire que d’une seule interface principale.
Pour définir l’interface ethernet0/4 comme interface secondaire de l’interface ethernet0/0, utilisez l’interface utilisateur Web ou les commandes CLI de la manière suivante :
WebUI
Network > Interfaces > Backup > : saisissez les informations suivantes, puis cliquez sur Apply.
Primary: ethernet0/0
Backup: ethernet0/4
Type: track-ip (sélection)
CLI
unset interface bgroup0 port ethernet0/4 set interface ethernet0/4 zone untrust set interface ethernet0/0 backup interface ethernet0/4 type track-ip save
Configuration sans fil de base
Cette section fournit des informations relatives à la configuration de l’interface sans fil de l’appareil SSG 5-WLAN. Les réseaux sans fil sont désignés par des noms SSID
(Service Set Identifiers). La définition des SSID permet de disposer de plusieurs réseaux sans fil au même emplacement sans que ceux-ci n’interfèrent les uns avec les autres. Un nom SSID peut compter un maximum de 32 caractères. Si le nom
SSID inclut une espace, la chaîne de caractères doit être placée entre guillemets.
Une fois le nom SSID défini, vous pouvez configurer d’autres attributs SSID. Pour bénéficier des capacités de réseau local sans fil de l’appareil, vous devez configurer au moins un SSID et le relier à une interface sans fil.
L’appareil SSG 5-WLAN permet de créer un maximum de 16 SSID. Cependant, seuls quatre peuvent être utilisés simultanément. Vous pouvez configurer l’appareil de manière à ce que les quatre SSID soient utilisés dans le même émetteur-récepteur ou répartir l’utilisation entre les deux émetteurs-récepteurs (trois SSID attribués au
Configuration sans fil de base
33
Guide d’installation et de configuration du matériel SSG 5 réseau local sans fil 0 et un SSID attribué au réseau local sans fil 1, par exemple).
Utilisez la commande CLI set interface interface_sans_fil wlan { 0 | 1 | both } pour
régler les émetteurs-récepteurs radio de l’appareil SSG 5-WLAN. La Figure 12
présente la configuration par défaut de l’appareil SSG 5-WLAN.
Une fois un SSID défini sur l’interface wireless0/0, vous pouvez accéder à l’appareil
à l’aide de l’adresse IP par défaut de l’interface wireless0/0 (voir les étapes de la
section « Accès à l’appareil », page 24).
REMARQUE : si vous utilisez l’appareil SSG 5-WLAN dans un pays autre que les États-Unis, le
Japon, le Canada, la Chine, Taïwan, la Corée, Israël ou Singapour, vous devez utiliser la commande CLI set wlan country-code ou la définir dans la page
Wireless > General Settings de l’interface utilisateur WebUI avant de pouvoir
établir une connexion du type réseau local sans fil. Cette commande définit la plage de canaux disponibles et le niveau de puissance émise.
Si le code de votre région est ETSI, vous devez définir le code national adapté aux réglementations locales en matière de spectre des radiofréquences.
Figure 12 : configuration par défaut de l’appareil SSG 5-WLAN
Callouts wireless0/0
SSG 5
POWER
802.11A
TX /RX
STATUS B /G
WLAN
CD
V.92
V.9 2
CONSOL E
TX/RX
0
LINK TX/RX
1
LINK TX/RX
2
LINK TX/RX
3
LINK TX/RX
4
LINK TX/RX
5
LINK TX/RX
6
LINK
10/100 10/100 10/100 10/100 10/100 10/100 10/100
Console
Zone
Trust
L’interface wireless0/0 est configurée par défaut avec l’adresse IP 192.168.2.1/24.
Tous les clients sans fil qui doivent se connecter à la zone Trust doivent disposer d’une adresse IP au sein du sous-réseau sans fil. Vous pouvez également configurer l’appareil de manière à ce qu’il utilise le protocole DHCP pour attribuer automatiquement à vos appareils des adresses IP au sein du sous-réseau
192.168.2.1/24.
Par défaut, les interfaces wireless0/1 – wireless0/3 sont définies comme Null et ne disposent d’aucune adresse IP. Si vous souhaitez utiliser une des autres interfaces sans fil, vous devez configurer une adresse IP pour l’interface, lui attribuer un SSID
et la relier à une zone de sécurité. Le Tableau 6 présente les méthodes de
chiffrement et d’authentification sans fil.
34 Configuration sans fil de base
Tableau 6 : options de chiffrement et d’authentification sans fil
Authentification Chiffrement
Ouverte
Clé partagée
WPA-PSK
WPA
WPA2-PSK
WPA2
WPA-Auto-PSK
WPA-Auto
802.1x
Permet à n’importe quel client sans fil d’accéder à l’appareil.
Clé partagée WEP
AES/TKIP avec une clé partagée au préalable
AES/TKIP avec une clé du serveur RADIUS
Compatible 802.11i avec une clé partagée au préalable
Compatible 802.11i avec un serveur RADIUS
Type WPA ou WPA2 avec une clé partagée au préalable
Type WPA ou WPA2 avec un serveur RADIUS
WEP avec une clé du serveur RADIUS
Pour obtenir des exemples de configuration, ainsi que des informations sur les attributs SSID et les commandes CLI relatives aux configurations de sécurité sans fil, reportez-vous au manuel Concepts & Examples ScreenOS Reference Guide.
Pour configurer une interface sans fil dans le cadre de la connectivité de base, utilisez l’interface utilisateur Web ou les commandes CLI de la manière suivante :
WebUI
1.
Définissez le code national et l’adresse IP du réseau local sans fil.
Wireless > General Settings > sélectionnez les éléments suivants, puis cliquez sur Apply :
Country code: sélection de votre code
IP Address/Netmask: adr_ip/masque_réseau
2.
Définissez le SSID.
Wireless > SSID > New : saisissez les informations suivantes, puis cliquez sur
OK :
SSID:
Authentication:
Encryption:
Wireless Interface Binding:
3.
(Facultatif) Définissez la clé WEP.
SSID > WEP Keys : sélectionnez l’identifiant de la clé, puis cliquez sur Apply.
4.
Définissez le mode du réseau local sans fil.
Network > Interfaces > List > Edit (interface sans fil) : sélectionnez Both pour le mode du réseau local sans fil, puis cliquez sur Apply.
5.
Activez les modifications apportées à l’interface sans fil.
Wireless > General Settings > cliquez sur Activate Changes.
Configuration sans fil de base
35
Guide d’installation et de configuration du matériel SSG 5
CLI
1.
Définissez le code national et l’adresse IP du réseau local sans fil.
set wlan country-code { code_id } set interface interface_sansfil ip adr_ip/masque_réseau
2.
Définissez le SSID.
set ssid name nom set ssid name_str authentication type_auth encryption type_chiffrement set ssid nom interface interface
(Facultatif) set ssid nom key-id numéro
3.
Définissez le mode du réseau local sans fil.
set interface interface_sansfil wlan both
4.
Activez les modifications apportées à l’interface sans fil.
save exec wlan reactivate
Vous pouvez configurer le SSID de manière à ce qu’il fonctionne au sein du même sous-réseau que le sous-réseau câblé. Cette action permet aux clients de travailler dans une interface ou de l’autre sans devoir se connecter à un autre sous-réseau.
Pour placer une interface Ethernet et une interface sans fil dans la même interface de groupe pont, utilisez l’interface utilisateur Web ou les commandes CLI :
WebUI
Network > Interfaces > List > Edit (nom_bgroup) > Bind Port : sélectionnez les interfaces sans fil et Ethernet, puis cliquez sur Apply.
CLI
set interface nom_bgroup port interface_sansfil set interface nom_bgroup port interface_ethernet
REMARQUE : nom_bgroup peut être bgroup0—bgroup3.
interface_ethernet peut être ethernet0/0—ethernet0/6.
interface_sansfil peut être wireless0/0—wireless0/3.
Si une interface sans fil est configurée, vous devez réactiver le réseau local sans fil
à l’aide de la commande CLI exec wlan reactivate ou cliquer sur Activate
Changes dans la page Wireless > General Settings de l’interface utilisateur Web.
36 Configuration sans fil de base
Configuration du réseau étendu
Cette section indique comment configurer les interfaces de réseau étendu suivantes :
Interface RNIS
Le réseau numérique à intégration de services (RNIS) est un ensemble de normes pour la transmission numérique via différents supports créées par le CCITT
(Consultative Committee for International Telegraphy and Telephone) et l’ITU
(International Telecommunications Union). En tant que service de connexion à la demande, il dispose d’un temps d’établissement des communications réduit et d’un faible délai de transit. Il est également en mesure de procéder à des transmissions de vidéos, de données et de la voix de haute qualité. Le RNIS est également un service de commutation de circuits qui peut être utilisé pour les connexions point à point et connexions à points multiples. Le RNIS propose un routeur de services avec une connexion PPP (Point-to-Point Protocol) à liaisons multiples pour les interfaces réseau. L’interface RNIS est généralement configurée en tant qu’interface secondaire de l’interface Ethernet permettant d’accéder à des réseaux externes.
Pour configurer l’interface RNIS, utilisez l’interface utilisateur Web ou les commandes CLI :
WebUI
Network > Interfaces > List > Edit (bri0/0) : saisissez ou sélectionnez les
éléments suivants, puis cliquez sur OK :
BRI Mode: Dial Using BRI
Primary Number: 123456
WAN Encapsulation: PPP
PPP Profile: isdnprofile
CLI
set interface bri0/0 dialer-enable set interface bri0/0 primary-number "123456" set interface bri0/0 encap ppp set interface bri0/0 ppp profile isdnprofile save
Pour configurer l’interface RNIS en tant qu’interface secondaire, reportez-vous à la
section « Configuration de l’interface non sécurisée secondaire », page 33.
Pour plus d’informations au sujet de la configuration de l’interface RNIS, reportez-vous au manuel Concepts & Examples ScreenOS Reference Guide.
Configuration du réseau étendu
37
Guide d’installation et de configuration du matériel SSG 5
Interface à modem V.92
L’interface V.92 dispose d’un modem analogique interne qui permet d’établir une connexion PPP à un fournisseur de services. Vous pouvez configurer l’interface série en tant qu’interface principale ou secondaire (utilisée en cas de défaillance de l’interface principale).
REMARQUE : l’interface V.92 ne fonctionne pas en mode transparent.
Pour configurer l’interface V.92, utilisez l’interface utilisateur Web ou les commandes CLI :
WebUI
Network > Interfaces > List > Edit (pour l’interface serial0/0) : saisissez les informations suivantes, puis cliquez sur OK :
Zone Name: untrust (sélection)
ISP: saisissez les informations suivantes, puis cliquez sur OK :
ISP Name: isp_juniper
Primary Number: 1234567
Login Name: juniper
Login Password: juniper
Modem: saisissez les informations suivantes, puis cliquez sur OK :
Modem Name: mod1
Init String: AT&FS7=255S32=6
Active Modem setting
Inactivity Timeout: 20
CLI
set interface serial0/0 zone untrust set interface serial0/0 modem isp isp_juniper account login juniper password juniper set interface serial0/0 modem isp isp_juniper primary-number 1234567 set interface serial0/0 modem idle-time 20 set interface serial0/0 modem settings mod1 init-strings AT&FS7=255S32=6 set interface serial0/0 modem settings mod1 active
Pour obtenir des informations relatives à la configuration de l’interface à modem
V.92, reportez-vous au manuel Concepts & Examples ScreenOS Reference Guide.
38 Configuration du réseau étendu
Protections pare-feu de base
Les appareils sont configurés avec une règle par défaut qui permet aux postes de travail qui se trouvent dans la zone Trust de votre réseau d’accéder aux ressources de la zone de sécurité Untrust alors que les ordinateurs extérieurs à votre réseau ne sont pas autorisés à accéder ou à démarrer des sessions à l’aide de vos postes de travail. Vous pouvez configurer des règles de sécurité de façon à ce que l’appareil autorise les ordinateurs extérieurs à votre réseau à initier des sessions de type spécifique avec vos ordinateurs. Pour obtenir des informations au sujet de la création ou de la modification des règles, reportez-vous au manuel Concepts &
Examples ScreenOS Reference Guide.
L’appareil SSG 5 dispose de différentes méthodes de détection et de différents mécanismes de défense pour lutter contre les vérifications et attaques dont l’objectif est de compromettre ou de nuire à un réseau ou à une ressource du réseau :
Les options SCREEN de ScreenOS sécurisent une zone en vérifiant, puis en autorisant ou en refusant, l’ensemble des tentatives de connexion qui nécessitent le transit vers la zone en question par l’intermédiaire d’une interface. Vous pouvez, par exemple, activer une protection par interrogation des ports dans la zone Untrust de manière à empêcher la source d’un réseau distant d’identifier les services à cibler en vue de futures attaques.
L’appareil applique des règles de pare-feu, qui peuvent inclure des composants de filtrage du contenu et de détection et de prévention des intrusions, au trafic qui passe d’une zone à l’autre via les filtres SCREEN. Par défaut, aucun trafic n’est autorisé à passer d’une zone à l’autre par l’intermédiaire de l’appareil.
Pour autoriser le passage du trafic d’une zone à l’autre par l’intermédiaire de l’appareil, vous devez créer une règle qui annule le comportement par défaut.
Pour définir les options SCREEN de ScreenOS d’une zone, utilisez l’interface utilisateur Web ou les commandes CLI de la manière suivante :
WebUI
Screening > Screen : sélectionnez la zone à laquelle les options s’appliquent.
Sélectionnez les options SCREEN souhaitées, puis cliquez sur Apply.
CLI
set zone zone screen option save
Pour plus d’informations au sujet de la configuration des options de sécurité réseau disponibles sous ScreenOS, reportez-vous au volume Attack Detection and Defense
Mechanisms du manuel Concepts & Examples ScreenOS Reference Guide.
Vérification de la connectivité externe
Afin de vérifier que les postes de travail connectés à votre réseau sont en mesure d’accéder aux ressources sur Internet, lancez un navigateur sur n’importe quel poste de travail connecté à votre réseau et saisissez l’adresse URL suivante : www.juniper.net.
Protections pare-feu de base
39
Guide d’installation et de configuration du matériel SSG 5
Restauration des paramètres par défaut de l’appareil
Si vous égarez votre mot de passe d’administrateur, vous pouvez restaurer les paramètres par défaut de l’appareil. Cette action écrase les configurations existantes mais restaure l’accès à l’appareil.
AVERTISSEMENT : la réinitialisation de l’appareil supprime tous les paramètres de configuration existants et désactive les services de pare-feu et de réseau privé virtuel existants.
Procédez de l’une des manières suivantes pour restaurer les paramètres par défaut de l’appareil :
À l’aide d’une connexion de console. Pour plus d’informations, reportez-vous au volume Administration du manuel Concepts & Examples ScreenOS Reference
Guide.
Par l’intermédiaire du trou d’épingle de réinitialisation situé sur le panneau arrière de l’appareil, comme décrit dans la section suivante.
Vous pouvez réinitialiser l’appareil et en restaurer les paramètres par défaut en appuyant sur le bouton situé dans le trou d’épingle de réinitialisation. Pour effectuer cette opération, vous devez soit consulter les DEL d’état situées sur le panneau avant de l’appareil, soit ouvrir une session de console comme indiqué dans la
section Utilisation d’une connexion de console page 24.
Procédez comme suit pour réinitialiser l’appareil et restaurer les paramètres par défaut à l’aide du trou d’épingle de réinitialisation :
1.
Repérez le trou d’épingle de réinitialisation situé sur le panneau arrière de l’appareil. En utilisant un fil de fer fin et rigide (un trombone déplié, par exemple), appuyez sur le bouton situé dans le trou d’épingle pendant quatre à six secondes, puis relâchez-le.
La DEL STATUS clignote en rouge. Un message s’affiche sur la console, indiquant que la suppression de la configuration a commencé, et le système transmet une alerte SNMP/SYSLOG.
2.
Patientez une à deux secondes.
Après la première réinitialisation, la DEL STATUS clignote en vert, l’appareil attend maintenant la deuxième réinitialisation. Le message de la console indique maintenant que l’unité attend une deuxième confirmation.
3.
Appuyez de nouveau sur le bouton situé dans le trou d’épingle de réinitialisation pendant quatre à six secondes.
Le message de la console valide la seconde réinitialisation. La DEL STATUS s’allume en rouge pendant une demi-seconde, puis retourne à l’état clignotant vert.
40 Restauration des paramètres par défaut de l’appareil
L’appareil est maintenant réinitialisé et ses paramètres par défaut ont été restaurés. Lorsque l’appareil se réinitialise, la DEL STATUS s’allume en rouge pendant une demi-seconde, puis s’allume en vert. La console affiche les messages d’amorçage de l’appareil. Le système génère des alertes SNMP et
SYSLOG aux hôtes de déroutements SYSLOG ou SNMP configurés.
Une fois l’appareil redémarré, la console affiche l’invite de connexion à l’appareil. La DEL STATUS clignote en vert. Le nom de connexion et le mot de passe sont netscreen.
Si vous ne suivez pas la procédure entière, le processus de réinitialisation s’interrompt et le message affiché sur la console indique que l’effacement de la configuration est annulé. La DEL STATUS clignote de nouveau en vert. Si l’appareil n’a pas été réinitialisé, une alerte SNMP est transmise afin de confirmer l’échec de la procédure.
Restauration des paramètres par défaut de l’appareil
41
Guide d’installation et de configuration du matériel SSG 5
42 Restauration des paramètres par défaut de l’appareil
Enlace público actualizado
El enlace público a tu chat ha sido actualizado.
