1
Formation CSNA
2
Vos Interlocuteurs
Xavier Prost
Stormshield
Responsable du service formation
Partenariat avec les établissements
Achat de matériel physique
Pascal AugierStormshield
Formateur SNS
Mise en œuvre de la formation
CSNA
Questions techniques
Echange sur les TP
Valérie MartinezRéseau CERTA
Enseignante BTS SIO
Formatrice SNS
Relais avec le Certa et les
enseignants de BTS SIO
Animation de la liste de diffusion
Gestion de l’organisation de la
formation
Contact Formation certa [email protected]
Une liste de diffusion [email protected]
Toutes les informations utiles https://www.reseaucerta.org/partenariat-certa-stormshield
Une plateforme de partage https://institute.stormshield.eu
Contact Stormshield Institute [email protected]
3
• Prise en main d’un firewall SNS
• Monitoring et logs
• Les objets
• Configuration réseau
• Translation d’adresses (NAT)
• Filtrage
• Proxys
• Authentification et utilisateurs
• Les réseaux privés virtuels
• VPN SSL
+ 10 labs
Contenu de la formation CSNA
Définissons une première politique de sécurité
4
Plateforme Stormshield Institute
Ressources pour la formation SNS
Support de cours au format PDF
Environnement virtuel autonome à télécharger et déployer
avec son module de e-learning d’installation (vidéo) Guide du partenariat
Webinaires CERTA
Guide complémentaire
d’installation de
l’environnement virtuel
A partir du 30/06Examen CSNA
2 tentatives
Jusqu’à mi novembre
Ressources partenariat CERTA
1
2
3
5
Plateforme virtuelle pédagogique
1 modules e-learning vidéo + 1 guide complémentaire
Pour pouvoir installer la solution
Des VM utilisables à la carte
Pour créer votre propre topologie ou
s’adapter à vos environnements existants
+ 1 environnement 100% autonome
Pour que chaque étudiant ou enseignant
puisse poursuivre l’expérience sur son
ordinateur
Jusqu’à 50 connexions actives
Pour ne pas être mis en production et
permettre un partage sans limite
Virtual BOX
Pour pouvoir les utiliser sans
contrainte de licence.
Possibilité de conversion pour
l’environnement Vmware ou
Proxmox.
Mises à la disposition des enseignants et pouvant être partagées avec les étudiants
6
L’OVA permet de mettre en œuvre
• Le réseau de 2 sociétés avec une VM
Linux Debian préconfigurée pour
simuler les services hébergés (FTP,
HTTP, …). Chaque société est
protégée par un firewall Virtuel SNS.
• Un firewall SNS (trainer) préconfiguré
qui gère l’interconnexion des sociétés
et la sortie vers Internet (NAT)
Configuration requise PC hôte :
• 6 Go de RAM mini, 16 Go si vous
utilisez une VM Windows pour
l’administration
• 5 Go d’espace disque
Plateforme virtuelles pédagogiques
Un package OVA qui comprend plusieurs machines pour avoir une topologie complète
7
Accès à la Documentation Technique Stormshield
https://documentation.stormshield.eu
• Contenu
• Notes de version
• Guides
• Notes techniques
• Outils• Moteur de recherche
• Téléchargement d’archive clé en main
• Sans authentification
8
Examen CSNAhttp://institute.stormshield.eu
24h/24h, 7J/7J
du 30 mars au 30 septembre
2 passages d’examens
QCM en ligne de 70 questions
1h30
70% de bonne réponses nécessaires
80% si vous souhaitez devenir instructeur
et former des étudiants à la certification
CSNA
Résultat envoyé par email sous 48h ouvré
Validité : 3 ans
Support de cours, notes
et VM autorisés
9
Installation et prise en main de
l’environnement virtuel
du Kit CSNA
10
Sommaire
• Vérifications après installation de l’ova• Certaines manipulations sont nécessaires suivant votre mode
d’accès à Internet (DHCP ou non).
• Modifications dans les labs avec infra virtuelle• Certaines fonctionnalités (remise-à-zéro et stockage des logs
sur carte SD) ne sont pas disponibles sur les VM
• Administrer les Firewalls A et B par le réseau 192.168.56.0/24
permet de s’affranchir des problématiques de désactivation de
réseau
11
Vérifications après installation du kit OVA
12
Vérification des firewalls
Par défaut, configuration en DHCP sur l’interface côté Internet :
• Accédez à la console pour vérifier
l’IP de dmz2 (commande ifinfo)
• Testez une résolution de noms
sur une URL publique (entrez en mode
CLI, puis tapez la commande
system nslookup host=<URL>)
Firewall Trainer :Remarque : il est possible d'utiliser la carte Wifi ou filaire de la machine hôte notamment
pour l'accès à internet, wifi ou filaire pas de différence du point de vue de VMWare
13
Vérification des firewalls
Firewall Trainer statique (1/3) :
En cas de configuration statique sur l’interface côté accès à Internet :
• Accédez à l’interface graphique pour configurer l’IP de dmz2 (https://192.168.56.50/admin) :
14
Vérification des firewalls
Firewall Trainer statique (2/3) :
En cas de configuration statique sur l’interface côté accès à Internet :
• Configurez l’IP de la passerelle par défaut :
• Cliquez sur le bouton « Créer un objet » en regard de la passerelle par défaut
• Nommez l’objet et renseignez son adresse IP
15
Vérification des firewalls
Firewall Trainer statique (3/3) :
En cas de configuration statique sur l’interface côté accès à Internet :
• Configurez les serveurs DNS sur le Firewall
• Cliquez sur le bouton « Ajouter » dans la liste des serveurs DNS
• Créez et nommez l’objet, renseignez son adresse IP
• Supprimez les objets inutiles.
16
Vérification des firewalls
Firewall Cie A ou B :
• Comme vous avez pu le remarquer les interfaces du firewall sauf la dernière ont toute la même adresse : 10.0.0.254/8 et sont configurées, comme sur le boitier physique, en mode « bridge » avec cette adresse par défaut qu'on peut joindre (dans le cas d’un boitier physique) en se reliant physiquement à un port interne du boîtier (in, dmz1 et dmz2 sont considérées comme internes).
• Accédez à l’interface graphique de configuration via https://192.168.56.X/admin (X=10 pour A, 20 pour B), ce réseau sur dmz2 n’est utilisé que pour faciliter l’utilisation des machines virtuelles, vous n’en trouverez pas mention dans les labs.
• Désactivez alternativement l’interface liée à Virtual Host # 2 ou #3 sur la machine physique (via Panneau de configuration) afin de jouer alternativement le rôle d’un hôte dans le réseau de Company A ou Company B.
• Commencez les labs.
17
Modifications dans les labs avec une infrastructure virtuelle
18
Labs sur infra virtuelle
LAB 1 : Prise en main du Firewall (1/2) :
1. Le retour à la configuration usine demandé dans le point 1 n’adresse que les boitiers physiques. Sur vos plateformes virtuelles, vous pouvez, après les vérifications vues ensemble, créer un instantané de chaque VM
6. Un firewall virtuel n’a pas de partition de sauvegarde, ignorez le point 6 :
19
Labs sur infra virtuelle
LAB 1 : Prise en main du Firewall (2/2) :
9. Le stockage local des logs est activé, mais sur le disque dur du firewall virtuel. Le formatagede la carte SD n’est utile que sur les Firewalls physiques, les petit modèles utilisés enformation n’ayant pas de disque dur, une carte SD est nécessaire pour avoir des traces enlocal.
20
Labs sur infra virtuelle
LAB 3 : Configuration réseau :
• Continuez à administrer les Firewalls A et B par le réseau 192.168.56.0/24.
2. Pour tester le routage statique (via ping vers une adresse interne du Trainee distant), n’importe quelle IP de la Debian (ou l’IP interne du Firewall) peuvent être ciblées.
Remarque : Veillez bien à désactiver la carte réseau non utilisée (liée à Virtual Host # 2 ou #3), que vous soyez avec un hôte physique ou avec une VM dédiée pour jouer l’un des 2 trainee.
De manière générale, ne laissez pas actives ces 2 interfaces simultanément, ou si vous avez de la RAM disponible, tentez d’avoir une VM client Windows par Trainee pour vous affranchir de ces manipulations.
21
Labs sur infra virtuelle
22
Labs sur infra virtuelle
23
Prochaines étapesEn autonomie
Webinaires d’accompagnement
Etude du support de cours et mise en pratique des labs
Passage de certification CSNA avant fin 2019
Echange avec Stormshield
N’hésitez pas à poser vos questions sur la liste de diffusion dédiéeet à vous coacher entre vous pour les « révisions » avant la certificationcerta_stage_stormshield_mars19@listes.reseaucerta.org
24
MerciAu plaisir de vous revoir
N’hésitez pas à poser vos questions sur la liste de diffusion dédiéeet à vous coacher entre vous pour les « révisions » avant la certificationcerta_stage_stormshield_mars19@listes.reseaucerta.org