Manuel d'Utilisation Cryptosmart-Box 5.0 SP9-AA

Manuel d'utilisation Cryptosmart-Box

Version 5.0 SP9 Rvision AA

Fvrier 2015

2

Copyright 2008-2015 par ERCOM. Tous droits rservs. Cette publication est prvue pour l'usage avec des produits d'ERCOM par le personnel, les partenaires, les clients et les utilisateurs d'ERCOM. La reproduction sous aucune forme n'est pas autorise sans permission crite de l'diteur.

Cryptosmart est un nom dpos dERCOM. Tous les autres noms dposs, marques et noms de produit utiliss dans ce guide sont la proprit de leurs propritaires respectifs.

Contenu sujet au changement sans communication pralable.

ERCOM

Immeuble Rome

6, rue Dewoitine

CS 30539

78457 VELIZY Cedex

France

Tl. : +33 1 39 46 50 50

Fax : +33 1 39 46 25 25

Web : www.ercom.fr

Email : [email protected]

Support : +33 1 39 46 83 03

Manuel d'utilisation Cryptosmart-Box 3

Prface

Le manuel de la Cryptosmart-Box aborde linstallation, la configuration, ladministration et la maintenance de la Cryptosmart-Box.

Ce manuel est disponible au format PDF.

A qui sadresse ce manuel

Ce manuel est destin aux administrateurs.

Des connaissances gnrales dans les domaines des rseaux, des tlcommunications et des PKI ainsi que des concepts de scurit sont considres comme acquis.

Pr-requis

Avant dinstaller la Cryptosmart-Box, il est recommand de lire le Guide de Dploiement Cryptosmart.

4

Sommaire

Prface ................................................................................................................3

Chapitre 1 - Prsentation de Cryptosmart-Box ....................................................7

Rle ...................................................................................................... 7

Architecture interne de la Cryptosmart-Box ........................................... 8

Carte Cryptosmart ................................................................................. 8

Chapitre 2 - Installation .......................................................................................9

Prambule............................................................................................. 9

Cryptosmart-Box 10 ...................................................................................... 9

Cryptosmart-Box 100 .................................................................................. 10

Pr-requis ........................................................................................... 10

Paramtrage dusine ........................................................................... 11

Mise en route initiale .......................................................................... 11

Chapitre 3 - Configuration et Administration ..................................................... 12

Interface Web ..................................................................................... 13

Prsentation ............................................................................................... 13

Connexion ladministration web de la Cryptosmart-Box ........................ 13

Prsentation gnrale de linterface dadministration .............................. 16

Premire connexion ................................................................................... 21

Menu Settings ....................................................................................... 22

Menu Access control ............................................................................ 50

Menu Status .......................................................................................... 66

Menu More ........................................................................................... 80

Console dadministration ..................................................................... 81

Dfinition du clavier ................................................................................... 82

Changement du mot de passe root ............................................................ 83

Adresse IP des interfaces ............................................................................ 84

Interfaces pour ladministration ................................................................. 85

Redmarrage de la Cryptosmart-Box ......................................................... 86


Rinitialisation ltat usine ...................................................................... 87

Chapitre 4 - Procdures exceptionnelles ............................................................ 88

Rinitialisation aux paramtres dusine ............................................... 88

Chapitre 5 - Limitations ..................................................................................... 89

Chapitre 6 - FAQ ................................................................................................ 90

Chapitre 7 - En cas de problme ........................................................................ 91

Annexe 1 - MIB .................................................................................................. 92

Annexe 2 - Licences ........................................................................................... 98


Chapitre 1 - Prsentation de Cryptosmart-Box

Rle

La Cryptosmart-Box est un routeur de chiffrement IPSec destin la scurisation des communications entre deux sous-rseaux.

8 Chapitre 1 - Prsentation de Cryptosmart-Box

Architecture interne de la Cryptosmart-Box

Le diagramme suivant illustre larchitecture interne de la Cryptosmart-Box :

Sou

s-r

seau

Messagerie

Intranet

Proxy

Administration

Cryptosmart-Box

Configuration

IPsec

Au sein de la Cryptosmart-Box, les cartes puces Cryptosmart sont utilises pour :

Lauthentification des Cryptosmart-Gateway/Box distantes,

La ngociation des cls de chiffrement des donnes en mode flux (IPsec).

Carte Cryptosmart

La Cryptosmart-Box sappuie sur une carte puce Cryptosmart au format ISO (avec dcoupe SIM) intgre dans un lecteur USB :

Lancien format microSD avec un adaptateur USB reste support :


Chapitre 2 - Installation

Prambule

La Cryptosmart-Box dispose de deux interfaces rseaux (ports RJ45) ayant chacune une fonction ddie :

NET : Interface externe capable de communiquer avec Internet ou un rseau considr comme non fiable,

LAN : Interface interne pour la communication avec le sous-rseau protger. Cette interface est galement utilisable pour ladministration de la Cryptosmart-Box.

Important : La Cryptosmart-Box fonctionne uniquement avec des adresses IP V4 ; les adresses IP V6 ne sont pas supportes.

Cryptosmart-Box 10

Les Cryptosmart-Box 10 sont destines tre utilises en mobilit par un utilisateur nomade et pour la protection dun trs petit rseau local (quelques PC et/ou tlphones IP).

De ce fait, le seul fonctionnement support est louverture dun seul tunnel vers une Cryptosmart-Gateway ou une autre Cryptosmart-Box.

Important : Louverture simultane de plusieurs tunnels gnre des erreurs alatoires dues des manques de ressources.

Alimentation

Carte Cryptosmart

ClavierInterface LANInterface NET

Ecran

Face arrire de la Cryptosmart-Box 10

10 Chapitre 2 - Installation

Cryptosmart-Box 100

Les Cryptosmart-Box 100 sont destines tre installes dans des environnements informatiques en tant que routeurs IPsec dinfrastructure.

Elles peuvent tablir simultanment plusieurs tunnels IPsec avec des Cryptosmart-Gateway et/ou Cryptosmart-Box.

Alimentation

Carte Cryptosmart

Clavier Interface LANInterface NET

Ecran (VGA)Ecran (DVI)

Face arrire de la Cryptosmart-Box 100

Remarque : Le port USB du clavier peut galement tre utilis pour une deuxime carte Cryptosmart pour apporter de la redondance.

Pr-requis

Pour effectuer linstallation et la configuration de la Cryptosmart-Box, il faut prvoir :

Un ordinateur avec un navigateur rcent et une interface rseau RJ45,

Un cble RJ45 (droit ou crois),

Une prise dalimentation.

Remarque : Il nest pas ncessaire de prvoir dcran ou de clavier.

Outre ces lments et en fonction de lenvironnement, il faut prvoir et paramtrer les accs rseau vers Internet et vers les serveurs internes.


Paramtrage dusine

Les adresses IP par dfaut sont :

192.168.0.100 pour linterface externe (NET),

192.168.1.100 pour linterface interne (LAN).

DHCP :

Activ en mode serveur sur linterface LAN,

Dsactiv sur linterface NET.

Les ports utiliss par dfaut sont :

Authentification : 12180/TCP,

IPsec : 4500/UDP (cette valeur nest pas modifiable),

Administration : 443/TCP (cette valeur nest pas modifiable).

Remarque : Les autres paramtres nont pas de valeur par dfaut.

Mise en route initiale

Ce chapitre indique les actions minimales pour la mise en route initiale de la Cryptosmart-Box :

Insrer la carte puce Cryptosmart dans une des prises USB situe larrire. Les ports USB tant tous quivalents, les cartes puces peuvent tre enfiches indiffremment dans nimporte quel port disponible.

Brancher lalimentation de la Cryptosmart-Box,

Dfinir ladresse IP de lordinateur avec une adresse appartenant au sous-rseau de linterface LAN ou activer le mode DHCP,

Raccorder lordinateur la Cryptosmart-Box en utilisant un cble rseau (droit ou crois),

Allumer la Cryptosmart-Box,

Se connecter la Cryptosmart-Box en utilisant le navigateur de lordinateur,

12 Chapitre 3 - Configuration et Administration

Chapitre 3 - Configuration et Administration

La Cryptosmart-Box offre deux types de connexion :

Une interface web.

Une console (locale ou ssh) pour effectuer des oprations exceptionnelles sur de la Cryptosmart-Box,

La configuration, ladministration et lexploitation de la Cryptosmart-Box seffectue via linterface web ; le mode console na pas tre utilis sauf en cas de modification darchitecture rseau ou pour une rinitialisation complte.

Un scnario gnrique de configuration de la Cryptosmart-Box est fourni dans le Guide de dploiement Cryptosmart.

Il ne faut jamais effectuer dopration dadministration en se connectant directement en mode console sur la Cryptosmart-Box sauf pour les actions explicitement documentes.


Interface Web

Prsentation

La Cryptosmart-Box sadministre au travers dune application web via son interface rseau LAN (par dfaut 192.168.1.100). En fonction de la configuration, ladministration distante au travers dun lien IPsec est galement disponible. La communication entre le poste de ladministrateur et la Cryptosmart-Box est scurise par le protocole SSL.

Linterface web dadministration doit tre accde en utilisant un navigateur rcent tel quInternet Explorer 9, Mozilla Firefox 15 ou Google Chrome 21. Il ny a pas de contrainte sur le systme dexploitation du poste de ladministrateur.

Lutilisation de linterface web ne ncessite aucune installation (except le navigateur) sur le poste de ladministrateur.

Connexion ladministration web de la Cryptosmart-Box

Laccs linterface web dadministration seffectue en saisissant lURL https:// (https://192.168.1.100 par dfaut) dans la barre dadresse du navigateur. Pour les accs ultrieurs, cette URL peut tre place dans les favoris du navigateur.

Remarque : Un message davertissement peut safficher pour indiquer que le certificat nest pas valide. Pour viter que ce message saffiche lors des futurs accs, il est possible dajouter le certificat au magasin de votre navigateur. La procdure dajout dpend du navigateur.


Laccs la Cryptosmart-Box est protg par lauthentification de ladministrateur. Celle seffectue au travers dun formulaire spcifique.

Le nom dutilisateur est admin et le mot de passe par dfaut est ercom. Cet utilisateur (administrateur) dispose de tous les droits au niveau de ladministration Web de la Cryptosmart-Box. Il existe galement lutilisateur monitor avec le mme mot de passe par dfaut (ercom). Cet utilisateur (auditeur) dispose dun accs limit la consultation.

Important : Bien que la station dadministration doive tre situe dans un endroit sr, il est recommand de modifier les mots de passe par dfaut (cf. Changement du mot de passe administrateur/auditeur [page 47]).


Aprs une authentification russie, lcran daccueil de linterface dadministration est affich.

Lcran daccueil contient un statut synthtique de la Cryptosmart-Box. Il peut tre affich partir de toutes les pages de linterface web dadministration en cliquant sur le logo Cryptosmart.

Lcran contient les informations suivantes :

Running modules : Nombre de modules internes actifs de la Cryptosmart-Box par rapport au nombre thorique. En fonctionnement nominal, les deux nombres doivent tre gaux.

Number of cards : Nombre de cartes Cryptosmart prsentes sur la Cryptosmart-Box et utilisables par celle-ci.


Prsentation gnrale de linterface dadministration

Organisation des pages

Toutes les pages de linterface web dadministration ont une organisation similaire.

La partie droite du bandeau suprieur (celui contenant le logo Cryptosmart) contient le titre de la page en cours. Un clic sur licne Cryptosmart renvoie vers lcran daccueil.

En dessous du bandeau suprieur se trouve un menu donnant accs aux diffrentes fonctions de ladministration de la Cryptosmart-Box. Lappui sur un titre de menu permet dafficher les diffrentes fonctions accessibles partir de celui-ci. Les diffrentes fonctions accessibles au travers des menus sont dcrites par la suite.

Le bandeau du bas fournit des informations synthtiques sur la Cryptosmart-Box :

Nom de la Cryptosmart-Box,

Identifiant de ladministrateur courant,

Lien Logout permettant de se dconnecter de linterface dadministration et dafficher lcran dauthentification.

Date/heure courante de la Cryptosmart-Box (il sagit de lheure GMT).


Sur les pages de paramtres ncessitant une validation de ladministrateur se trouvent les boutons :

Apply qui sert appliquer les modifications de configuration la Cryptosmart-Box. Attention, pour la modification de certains paramtres systme, un redmarrage de la Cryptosmart-Box peut tre ncessaire. Si cela est le cas, il est automatiquement propos aprs lapplication des paramtres.

Reset qui sert revenir aux informations courantes de configuration ; toutes les modifications effectues dans la page sont alors perdues.

Si, lors dun changement de page, des donnes ont t modifies mais non appliques, la fentre suivante saffiche et demande confirmation :

Gestion des listes

Bandeau infrieur dune liste

Lorsquun cran contient une liste (telle que la liste des tunnels), le bandeau infrieur de la liste contient les informations sur la liste ainsi que les boutons permettant den manipuler le contenu.

A gauche du bandeau se trouvent les boutons servant sa gestion :

Ouverture du formulaire dajout dune entre dans la liste.

Ouverture du formulaire de modification dune entre de la liste.

Suppression dune entre de la liste. Une confirmation est alors demande.

Dfinition dun filtre de slection pour la liste (cf. Filtre de slection [page 18]).

Rafraichissement du contenu de la liste (cf. Rafraichissement des pages [page 18]).


Durant la modification dune entre de liste, il est possible daccder aux autres entres de celle-ci.

Bandeau infrieur dun lment de liste

Dplacement vers lentre prcdente. Lorsquil ny a pas dentre prcdente, le bouton est inactif.

Dplacement vers lentre suivante. Lorsquil ny a pas dentre suivante, le bouton est inactif.

Rafraichissement des pages

Les crans contenant des informations (journaux, connexions actives) sont rafraichis priodiquement. Il est galement possible de forcer la mise jour en cliquant sur le bouton situ en bas gauche de lcran.

Filtre de slection

Des filtres peuvent tre appliqus dans les pages contenant des listes. Ces filtres servent tablir des filtres sur chacune des colonnes de la liste concerne.

Pour effectuer une recherche dans une liste, il faut effectuer les actions suivantes :

1. Cliquer sur licne situe dans le coin en bas gauche de la liste. Les listes ne disposant pas de cette icne ne supportent pas la fonction de filtrage. Lappui sur cette icne entraine laffichage de la fentre de dfinition du filtre :


2. Slectionner la colonne sur laquelle doit porter le filtre :

3. Slectionner loprateur de comparaison utiliser pour le filtrage :

4. Entrer la valeur de comparaison :

5. Si ncessaire, il est possible de dfinir un filtre sur une autre colonne en

cliquant sur licne . De mme, il est possible de supprimer le filtrage dune

colonne en cliquant sur licne .

6. Le filtrage peut seffectuer en slectionnant les lments de la liste rpondant tous les critres simultanment (all) ou en slectionnant les lments rpondant au moins un des critres (any) :


7. La recherche est lance en cliquant sur le bouton .

Remarque : Il est possible de supprimer tous les critres en cliquant sur le bouton

.


Premire connexion

Lors de la premire connexion la Cryptosmart-Box, il est ncessaire de dfinir le mot de passe du compte root du systme dexploitation de la Cryptosmart-Box.

Il sagit dun compte technique disposant de tous les privilges sur le systme dexploitation de la Cryptosmart-Box.

Ce compte root est compltement diffrent de celui utilis pour ladministration de la Cryptosmart-Box au travers de linterface web ; il nest utilis que pour les accs effectus en connectant un cran et un clavier directement sur la Cryptosmart-Box, ou en utilisant ssh (cf. Console dadministration [page 81]).Le mot de passe du compte root doit comporter au moins 8 caractres.

Il est impratif de dfinir un mot de passe fort et de bien le conserver car il peut savrer ncessaire uniquement des mois ou des annes plus tard.


Menu Settings

Le menu Settings donne accs la configuration de la Cryptosmart-Box.

Chaque item du menu correspond une fonctionnalit configurable de la Cryptosmart-Box :

Network interfaces : Configuration des interfaces rseau de la Cryptosmart-Box.

IP routes : Dfinition des routes statiques.

DNS : Configuration dun serveur de nom.

NTP : Configuration dun serveur de temps.

SNMP : Activation de la supervision avec le protocole SNMP.

Logs : Configuration dun serveur syslog externe et du filtrage des vnements.

Management : Les oprations dadministration et dexploitation de la Cryptosmart-Box.


Configuration des interfaces rseau

Cet cran est destin la configuration des interfaces rseau de la Cryptosmart-Box.

Chaque interface de la Cryptosmart-Box doit appartenir un sous-rseau diffrent.

Important : Le redmarrage de la Cryptosmart-Box est ncessaire pour la prise en compte des modifications concernant les interfaces rseau.

Remarque : Des routes statiques peuvent tre ajoutes manuellement (cf. Routages IP [page 25]).

Interface externe (NET)

Use DHCP : Indique si la configuration de linterface externe (NET) doit tre obtenue auprs dun serveur DHCP (typiquement un routeur ADSL) ou en utilisant les autres paramtres de la configuration. Lorsque la case est coche, les autres paramtres sont inaccessibles.

Address : Adresse IP de linterface externe. Il nest pas possible dutiliser un nom DNS.

Mask : Masque de sous rseau.


MTU : Taille maximale dun paquet pouvant tre transmis sans segmentation. La valeur 0 correspond lutilisation de la valeur par dfaut (1500).

Default Gateway : Passerelle par dfaut sous la forme dune adresse IP (pas un nom DNS).

Important : Cette interface doit tre joignable de lextrieur (Internet) sur ladresse IP et les ports TCP et UDP configurs.

Interface interne (LAN)

Address : Adresse IP de linterface LAN. Il nest pas possible dutiliser un nom DNS.

Mask : Masque de sous rseau.

MTU : Taille maximale dun paquet pouvant tre transmis sans segmentation. La valeur 0 correspond lutilisation de la valeur par dfaut (1500).

Admin access : Indique sil est possible deffectuer des oprations dadministration (console SSH ou web dadministration) au travers de cette interface rseau. Lautorisation de ladministration au travers dun lien IPsec se fait dans la dfinition de celui-ci (cf. Mode client [page 58]).

DHCP server : Indique si la Cryptosmart-Box se comporte comme un serveur DHCP sur son interface interne (LAN) afin de fournir des adresses IP aux postes connects.

Remarque : Lactivation du serveur DHCP sert notamment :

la configuration de la Cryptosmart-Box avec un ordinateur en mode DHCP ;

son utilisation en mode nomadisme pour scuriser globalement les communications entre un ordinateur nomade et lorganisation.

From : Dbut de la plage des adresses IP attribues par le serveur DHCP. Ce champ nest accessible que si le mode DHCP serveur est actif.

To : Fin de la plage des adresses IP attribues par le serveur DHCP. Ce champ nest accessible que si le mode DHCP serveur est actif.

Divers

External TCP port for key negotiation : Numro du port TCP utilis pour ltablissement des cls de chiffrement. La valeur doit tre suprieure ou gale 1024.


Routages IP

Cet cran contient les routes statiques dfinies au niveau de la Cryptosmart-Box.

Cette fonction est notamment utilise pour dfinir une route statique vers un sous-rseau local accessible au travers dun tunnel IPsec et distinct de celui de linterface LAN de la Cryptosmart-Box.

Remarque : La route par dfaut est dfinie dans les paramtres des interfaces rseaux.

Ajout dun routage IP

Ce formulaire est destin la saisie des informations dune route statique.

On : Indique si la route statique est active.

Network : Sous-rseau cible de la route statique sous la forme dune adresse IP.

Mask : Masque dfinissant le sous-rseau cible

Gateway : Adresse IP de la passerelle utiliser pour accder au sous-rseau cible.

Comment : Commentaires libres ventuels. Le champ peut tre vide.

Important : Il est ncessaire de bien dfinir la route retour galement.


Modification dun routage IP

Ce formulaire est destin la modification des informations dune route statique.

Tous les champs sont modifiables et ont la mme signification que pour la cration.

Suppression dun routage IP

Pour la suppression dune route statique, une confirmation est demande.

Remarque : Pour une suppression temporaire dune route IP, il est possible de simplement la dsactiver.


Configuration DNS

Cet cran sert dfinir les serveurs DNS utiliss par la Cryptosmart-Box pour effectuer les rsolutions de nom.

DNSConfiguration

IP of the main DNS server : Adresse IP du serveur DNS principal.

IP of the alternate DNS server : Adresse IP du serveur DNS de secours. Cette donne est optionnelle.


Entres statiques

Outre les rsolutions de noms par DNS, il est galement possible de dfinir des entres locales la Cryptosmart-Box. Ces noms sont utilisables en remplacement de nimporte quelle adresse IP dans la configuration y compris comme adresse de serveur DNS.

Ajout dune entre statique

Ce formulaire est destin ajouter un nom local la Cryptosmart-Box.

On : Indique si le nom local est actif.

FQDN : Nom local la Cryptosmart-Box

IP : Adresse IP correspondante au nom local

Description : Commentaires libres ventuels. Le champ peut tre vide.

Modification dune entre statique

Ce formulaire est destin la modification dun nom local la Cryptosmart-Box.

Tous les champs sont modifiables et ont la mme signification que pour laddition.


Suppression dune entre statique

Pour la suppression dun nom local, une confirmation est demande.

Remarque : Pour une suppression temporaire dun nom local, il est possible de simplement le dsactiver.


Interface avec un serveur de temps (NTP)

Cet cran sert dfinir un serveur NTP utilis pour la mise lheure automatique de la Cryptosmart-Box.

Remarque : En interne, la Cryptosmart-Box fonctionne en heure GMT.

Enable NTP : Indique si un serveur NTP doit tre utilis pour mettre jour automatiquement lheure sur la Cryptosmart-Box. Les autres champs ne sont remplir que si un serveur NTP est utilis.

NTP server address : Adresse IP (ou nom DNS) du serveur de temps sur lequel la Cryptosmart-Box se synchronise.

Important : Le serveur de temps utilis doit tre joignable au travers de linterface interne (LAN) ou de linterface externe (NET) via un tunnel IPsec.


SNMP

La Cryptosmart-Box est accessible en SNMP pour de la consultation de paramtres de fonctionnement. Cet accs est disponible par linterface interne (LAN) ou par linterface externe (NET) via un tunnel IPsec.

Les paramtres accessibles au travers de linterface SNMP correspondent aux MIB suivantes :

SNMPv2-MIB,

DISMAN-EVENT-MIB,

IF-MIB,

RFC1213-MIB,

IP-MIB,

TCP-MIB,

UDP-MIB,

IP-FORWARD-MIB,

HOST-RESOURCES-MIB,

NOTIFICATION-LOG-MIB,

CRYPTOSMART-MIB.

Remarque : Le contenu de la MIB Cryptosmart est en annexe du manuel (cf. MIB [page 92]).

Enable SNMPv1 : Indique si les paramtres de fonctionnement de la Cryptosmart-Box sont accessibles via le protocole SNMP V1 et V2C.

Enable SNMPv3 : Indique si les paramtres de fonctionnement de la Cryptosmart-Box sont accessibles via le protocole SNMP V3.

Community String : Chaine servant didentifiant/mot de passe pour les accs SNMP V1/V2C. La valeur classique est public mais une valeur diffrente peut tre dfinie pour protger laccs.

Important : La chaine est transmise en clair sur le rseau.

User name : Identifiant utiliser pour les accs effectus avec le protocole SNMP V3.


User passphrase : Mot de passe utiliser pour les accs effectus avec le protocole SNMP V3. Le mot de passe doit contenir au moins 8 caractres.

Important : Seul lalgorithme SHA est support dans lauthentification SNMP.

User passphrase (confirm) : Confirmation de la saisie du mot de passe. La valeur saisie doit tre identique la prcdente.

Encryption key : Cl de chiffrement pour les changes effectus en SNMP V3. Cette valeur est optionnelle ; si elle nest pas saisie, aucun chiffrement nest effectu. La cl, si elle est utilise, doit contenir au moins 8 caractres.

Important : Seul lalgorithme AES est support pour le chiffrement des changes.

Encryption key (confirm) : Confirmation de la saisie de la cl de chiffrement. La valeur saisie doit tre identique la prcdente.


Configuration de la journalisation

Interface avec un serveur Syslog externe (Syslog configuration)

Cette zone sert dfinir un serveur syslog externe destin recevoir les vnements gnrs par la Cryptosmart-Box.

Enable Syslog : Indique si les vnements de journalisation doivent tre transmis un serveur syslog externe. Les autres champs ne sont remplir que si un serveur syslog externe est utilis.

Syslog server : Adresse IP (ou nom DNS) et numro de port TCP/UDP du serveur Syslog externe. Les deux donnes sont spares par le caractre : sans espace (exemple : 192.168.1.1:514).

Important : Le serveur Syslog doit tre joignable par linterface interne (LAN) ou par linterface externe (NET) via un tunnel IPsec.

Forwarding protocol : Protocole (UDP ou TCP) utilis pour laccs au serveur syslog externe.

Filtrage des vnements de journalisation (Logs levels)

Cette zone permet dtablir un filtrage des vnements de journalisation pour chacun des composants de la Cryptosmart-Box (cf. Statut global [page 67]). Ce filtrage est tabli en fonction du niveau de chaque vnement (cf. Journaux [page 78]).


Il est recommand de laisser les valeurs par dfaut (INFO pour tous les modules) sauf recommandation contraire du support Cryptosmart.


Gestion (Management)

Lcran Management de ladministration de la Cryptosmart-Box donne accs aux fonctions suivantes :

Redmarrage de la Cryptosmart-Box,

Arrt de la Cryptosmart-Box,

Modification du nom de la Cryptosmart-Box,

Sauvegarde de la configuration,

Restauration de la configuration,

Mise jour du logiciel interne de la Cryptosmart-Box,

Changement du mot de passe administrateur/auditeur,

Changement de la date et de lheure.

Redmarrage

Cette opration provoque un redmarrage de la Cryptosmart-Box ; elle ne doit donc tre entreprise quen cas de faible utilisation de la Cryptosmart-Box.

1. La demande de redmarrage est initie partir de lcran de gestion de la Cryptosmart-Box en cliquant sur le bouton reboot .

2. Une confirmation du redmarrage est demande. En cas de refus, la Cryptosmart-Box nest pas redmarre.


3. Sur validation de la demande de redmarrage, un message est affich pour indiquer que lopration est en cours.

4. Lorsque le redmarrage est effectu, le message suivant est affich.

Remarque : Ce message indique que la Cryptosmart-Box a redmarr mais elle nest pas encore forcment totalement oprationnelle.


Arrt

Cette opration va provoquer larrt de la Cryptosmart-Box ; elle ne doit donc tre entreprise quen cas de faible utilisation de la Cryptosmart-Box.

1. La demande darrt est initie partir de lcran de gestion de la Cryptosmart-Box en cliquant sur le bouton halt .

2. Une confirmation de larrt est demande. En cas de refus, la Cryptosmart-Box nest pas arrte.

3. Lorsque larrt est effectif, le message suivant est affich.

Pour redmarrer la Cryptosmart-Box, il est ncessaire de la dbrancher lectriquement puis de la rebrancher.


Nom de la Cryptosmart-Box

Cette opration est destine mettre jour le nom de la Cryptosmart-Box.

1. Saisir le nouveau nom de la Cryptosmart-Box. (le champ est pr-initialis avec le nom courant) :

Name : Nom logique de la Cryptosmart-Box. Ce nom est notamment utilis dans les journaux.

2. Valider la modification en cliquant sur le bouton Submit . La modification est alors enregistre.

3. Un redmarrage immdiat est propos. En cas de refus, la Cryptosmart-Box nest pas redmarre immdiatement ; lancien nom continue tre utilis jusquau prochain redmarrage.



5. Lorsque le redmarrage est fait, le message suivant est affich.



Sauvegarde

Cette opration sauvegarde la totalit de la configuration dune Cryptosmart-Box sous la forme dun fichier unique. Ce fichier est transfr sur le poste de ladministrateur.

1. Le lancement de la sauvegarde des informations de configuration seffectue en cliquant sur le bouton backup .

2. Le fichier contenant les donnes de configuration est remont par la Cryptosmart-Box. Ladministrateur doit demander lenregistrement du fichier sur son poste. Le nom du fichier correspond lhorodate de la sauvegarde.

Remarque : Linterface denregistrement ainsi que la localisation du fichier sauvegard dpendent du navigateur et du systme dexploitation du poste de ladministrateur.


Restauration

Cette fonction est destine restaurer une sauvegarde prcdemment effectue.

La restauration annule toutes les modifications de configuration qui auraient pu tre effectues depuis la sauvegarde utilise.

Ne jamais restaurer une sauvegarde effectue avec une version prcdente de Cryptosmart-Box (y compris un Service Pack) car celle-ci peut ne pas tre compatible.

1. La slection du fichier contenant la configuration sauvegarde est initialise en cliquant sur le bouton Browse .

2. La fentre standard de slection dun fichier souvre. Il faut slectionner le fichier contenant la sauvegarde.

Remarque : Linterface de slection du fichier de sauvegarde dpend du systme dexploitation du poste de ladministrateur.

3. Lorsque le fichier est slectionn, la procdure de restauration est lance en appuyant sur le bouton Restore .


4. Une demande de confirmation de la restauration est effectue. En cas de refus de la restauration, aucune opration na t effectue au niveau de la Cryptosmart-Box.

5. Un message indique que le fichier de restauration est en cours de transfert et dapplication sur la Cryptosmart-Box.

6. Lorsque lopration est effectue, un message indique que la restauration a t correctement effectue.

7. Un redmarrage immdiat est propos. En cas de refus, la Cryptosmart-Box nest pas redmarre immdiatement ; la restauration sera termine lors du prochain redmarrage.



9. Lorsque le redmarrage est fait et que la restauration a t effectue, le message suivant est affich.



Mise jour

Cette fonction est destine la mise jour du logiciel interne de la Cryptosmart-Box.

Ne jamais effectuer une migration vers une version antrieure (y compris un Service Pack) du logiciel.

Cette fonction ne doit pas tre utilise pour effectuer une migration partir dune version antrieure la 5.0.

Cette opration va ncessiter un redmarrage de la Cryptosmart-Box ; elle ne doit donc tre entreprise quen cas de faible utilisation de la Cryptosmart-Box.

1. Slection du fichier contenant la nouvelle version de logiciel pour la Cryptosmart-Box. Pour cela, il faut appuyer sur le bouton Browse .

2. La fentre standard de slection dun fichier souvre. Il faut slectionner le

fichier box.iso fourni avec la mise jour logicielle.

Remarque : Linterface de slection du fichier de mise jour dpend du systme dexploitation du poste de ladministrateur.

3. Lorsque le fichier de mise jour est slectionn, la procdure de mise jour est lance en appuyant sur le bouton update .


4. Une demande de confirmation de la mise jour est effectue. En cas de refus de la mise jour, aucune opration na t effectue au niveau de la Cryptosmart-Box.

5. Un message indique que le fichier de mise jour est en cours de transfert sur la Cryptosmart-Box.

6. Lorsque le fichier est transfr, un message indique que la prise en compte de la mise jour demande de redmarrer la Cryptosmart-Box.

7. Un redmarrage immdiat (et donc la mise jour) est propos. En cas de refus, la Cryptosmart-Box nest pas redmarre immdiatement ; la mise jour sera effectue lors du prochain redmarrage.



9. Lorsque le redmarrage est fait et que la mise jour a t effectue, le message suivant est affich.


Il est recommand deffectuer une sauvegarde de la configuration (cf. Sauvegarde [page 40]) aprs lapplication dune mise jour car les sauvegardes prcdentes peuvent ne plus tre compatibles.


Changement du mot de passe administrateur/auditeur

Cette fonction sert changer le mot de passe des utilisateurs prdfinis admin et

monitor . Lutilisateur dont le mot de passe est modifi est celui qui est connect ladministration de la Cryptosmart-Box.

1. Entrer le nouveau mot de passe ainsi que sa confirmation de saisie.

2. Valider la demande de modification de mot de passe en cliquant sur le bouton Change admin password ou Change monitor password . Le libell du bouton dpend de lutilisateur connect.


Changement de la date et de lheure

Cette fonction est destine la mise lheure de la Cryptosmart-Box.

Remarque : Cette fonction nest pas prsente si un serveur NTP est dfini.

La Cryptosmart-Box doit toujours tre rgle lheure GMT. Une heure/date incorrecte peut entrainer des checs dauthentification avec les Cryptosmart-Gateway/Box distantes.

1. Cliquer dans la zone contenant la date et lheure actuelles de la Cryptosmart-Box pour faire apparaitre la fentre de saisie pour la nouvelle date et heure.

2. Saisir la nouvelle date et heure (en GMT) de la Cryptosmart-Box :

Important : Les dates postrieures au 19 janvier 2038 ne sont pas supportes.


3. Fermer la fentre en cliquant sur la croix situe dans le coin en haut droite.

4. Valider le changement de date et dheure en cliquant sur le bouton Change date and time

La modification de la date et de lheure est applique immdiatement.


Menu Access control

Le menu Access control donne accs la configuration de laccs des Cryptosmart-Gateway/Box distantes.

Chaque item du menu correspond une fonction participant au contrle daccs de la Cryptosmart-Box :

PKI : Dfinition de linterface avec la PKI (certificats et CRL).

IPsec : Configuration des tunnels IPsec clients et serveurs.


Interface avec la PKI

Cet cran est destin au paramtrage de linterface avec la PKI que celle-ci soit interne (i.e. apporte par Cryptosmart-CardManager) ou externe.

Certificats dautorits

Les certificats dautorit prsents dans la liste sont utiliss pour la validation des certificats des Cryptosmart-Gateway/Box distantes. Pour quun certificat soit valide, il faut que tous les certificats dautorit de sa hirarchie soient dclars (pas uniquement le certificat racine).

Pour chaque certificat de la liste, les informations prsentes sont :

Name : Il sagit du champ Subject du certificat. Linfo-bulle obtenue en plaant la souris sur le nom permet dafficher la totalit du champ Subject.

Issuer : Le nom de lautorit ayant produit le certificat. Il sagit du champ Issuer du certificat. Dans le cas de certificats racine, cest la mme valeur que le champ prcdent. Linfo-bulle obtenue en plaant la souris sur le nom permet dafficher la totalit du champ Issuer.

Serial : Il sagit du numro de certificat de lautorit. Il est affich en dcimal et en hexadcimal.

Start date : Tant que cette date nest pas atteinte, le certificat nest pas utilis pour valider des certificats tiers.

End date : Si cette date est dpasse, le certificat nest plus utilis pour valider des certificats tiers.


Ajout dun certificat dautorit

Cette opration est destine lajout dun certificat dautorit au niveau de la Cryptosmart-Box.

1. La slection du fichier contenant le certificat de lautorit (format binaire) est initialise en cliquant sur le bouton Browse .

2. La fentre standard de slection dun fichier souvre. Il faut slectionner le fichier contenant le certificat de lautorit.

Remarque : Linterface de slection du fichier du certificat dpend du systme dexploitation du poste de ladministrateur.

3. Lorsque le fichier est slectionn, la procdure dimportation est lance en appuyant sur le bouton Upload .

4. Un message indique que le fichier contenant le certificat est en cours de transfert vers la Cryptosmart-Box.


5. Lorsque lopration est effectue, un message indique que limportation a t correctement effectue et quun redmarrage est ncessaire.

6. Un redmarrage immdiat est propos. En cas de refus, la Cryptosmart-Box nest pas redmarre immdiatement ; le certificat sera pris en compte lors du prochain redmarrage.


8. Lorsque le redmarrage est fait, le message suivant est affich.



Suppression dun certificat dautorit.

Pour la suppression dun certificat dautorit, une confirmation est demande.

Un redmarrage de la Cryptosmart-Box est ncessaire pour prendre en compte le retrait du certificat ; tant que la Cryptosmart-Box na pas t redmarre, le certificat continue tre utilis.


CRL

Les CRL sont utilises pour tester la validit des certificats des Cryptosmart-Gateway/Box distantes. Ces CRL contiennent la liste des certificats ne plus utiliser ; elles sont propres chaque autorit de certification qui les met jour rgulirement. Les CRL sont disponibles en tlchargement sur des serveurs LDAP ou HTTP. La localisation dune CRL sur un serveur est appel un point de distribution. Les CRL partielles (delta) ne sont pas supportes.

Ajout dun point de distribution de CRL

Cet cran est destin lajout dun point de distribution dune CRL mise par une autorit de certification.

On : Indique si le point de distribution est actif. Sil est actif, la CRL associe sera tlcharge rgulirement.

Url : Dsigne la localisation de la CRL pour en effectuer le tlchargement. Il sagit dune URL HTTP (cf. RFC 1738) ou LDAP (cf. RFC 2255).

Downloading period : Indique la priodicit de rafraichissement de la CRL par la Cryptosmart-Box. Cette priode est exprime en minutes.

Modification dun point de distribution de CRL

Cet cran est destin la modification dun point de distribution existant.

Tous les champs sont modifiables et les informations sont identiques celles utilises pour la cration.


Suppression dun point de distribution de CRL

En cas de suppression dun point de distribution, une confirmation est requise.

Remarque : Pour supprimer temporairement un point de distribution, il est recommand de le dsactiver.


IPsec

Cet cran est destin la gestion des tunnels IPsec de la Cryptosmart-Box.

Important : Si un tunnel est dfini entre toutes les adresses internes et le reste du monde (0.0.0.0), la Cryptosmart-Box ne pourra pas tre administre partir dune machine locale. En effet, les flux dadministration seront encapsuls dans le tunnel.


Mode client

Ce mode est destin fournir les paramtres ncessaires ltablissement de tunnels vers une Cryptosmart-Gateway/Box distante.

Important : Ltablissement de plusieurs tunnels simultans nest pas support par les Cryptosmart-Box 10.

Les tunnels sont tablis ds que possible ; aucun flux applicatif nest ncessaire pour cet tablissement. De mme, en cas de fermeture dun tunnel, celui-ci est rtabli ds que possible.

Prenez garde ne pas modifier de paramtres conduisant la perte de ladministration distance lorsque celle-ci est utilise.


Ajout dun tunnel IPsec client

Cette fonction permet de dfinir les paramtres d'un tunnel IPsec vers une Cryptosmart-Gateway/Box distante.

On : Indique si le tunnel IPsec est actif ou non.

Remote ip : Adresse IP externe (ou nom DNS) de la Cryptosmart-Gateway/Box distante.

Authentication port : Port TCP utilis pour lchange des cls (la valeur par dfaut est 12180).

Remote id : Identit de la Cryptosmart-Gateway/Box distante. Cette identit est la valeur du sous-champ CommonName (CN) issu du champ Subject de son certificat.

Important : Chaque Cryptosmart-Gateway/Box (cliente ou serveur) doit avoir un nom distinct sauf pour les Cryptosmart-Gateway lorsquelles sont en redondance.

Local subnets : Sous-rseaux locaux protger. Chaque sous-rseau est dfini sous la forme x.x.x.x/l (exemple : 192.168.1.0/24). Les sous-rseaux sont spars par des espaces.

Remote subnets : Sous-rseaux distants protger. Chaque sous-rseau est dfini sous la forme x.x.x.x/l (exemple : 192.168.1.0/24). Les sous-rseaux sont spars par des espaces.

Allow distant administration : Indique si ladministration de la Cryptosmart-Box est autorise au travers du tunnel IPsec. Ce paramtre ne concerne pas lautorisation dadministration en Web ou en SSH (cf. Configuration des interfaces rseau [page 23]).

Important : Pour que cette fonction soit oprationnelle, la station dadministration doit appartenir un rseau reli une interface autorisant ladministration distance (cf. Configuration des interfaces rseau [page 23]).


Comment : Commentaire libre sur la dfinition du tunnel IPsec.


Modification dun tunnel IPsec client

Cette fonction permet de modifier les paramtres d'un tunnel IPsec prcdemment dfini.



Suppression dun tunnel IPsec client

Pour la suppression dun tunnel IPsec, une confirmation est demande.

Remarque : Pour supprimer temporairement un tunnel, il est possible de simplement le dsactiver.


Mode serveur

Ce mode est destin fournir les paramtres ncessaires ltablissement de tunnels initis par une Cryptosmart-Gateway/Box distante.

Important : Ltablissement de plusieurs tunnels simultans nest pas support par les Cryptosmart-Box 10.

Ajout dun tunnel IPsec serveur

Cette fonction permet de dfinir les paramtres pour un tunnel IPsec initi par une Cryptosmart-Gateway/Box distante.

On : Indique si le tunnel IPsec est actif ou non.

Remote id : Identit de la Cryptosmart-Gateway/Box distante. Cette identit est la valeur du sous-champ CommonName (CN) issu du champ Subject de son certificat.

Important : Chaque Cryptosmart-Gateway/Box (cliente ou serveur) doit avoir un nom distinct sauf pour les Cryptosmart-Gateway lorsquelles sont en redondance.

Local subnets : Sous-rseaux locaux protger. Chaque sous-rseau est dfini sous la forme x.x.x.x/l (exemple : 192.168.1.0/24). Les sous-rseaux sont spars par des espaces.

Remote subnets : Sous-rseaux distants protger. Chaque sous-rseau est dfini sous la forme x.x.x.x/l (exemple : 192.168.1.0/24). Les sous-rseaux sont spars par des espaces.

Remote internal ip : Adresse de linterface LAN1 de la Cryptosmart-Gateway distante (ou adresse de linterface LAN dans le cas dune Cryptosmart-Box). Cette adresse nest ncessaire que si la Cryptosmart-Gateway/Box est administre distance. Elle na pas besoin de faire partie des sous-rseaux distants (Remote subnets).

Comment : Commentaire libre sur la dfinition du tunnel IPsec.


Modification dun tunnel IPsec serveur

Cette fonction permet de modifier les paramtres d'un tunnel IPsec prcdemment dfini.



Suppression dun tunnel IPsec serveur

Pour la suppression dun tunnel IPsec, une confirmation est demande.

Remarque : Pour supprimer temporairement un tunnel, il est possible de simplement le dsactiver.


Menu Status

Ce menu est utilis pour accder aux diffrents crans daffichages des statuts au niveau de la Cryptosmart-Box ainsi qu ses journaux de fonctionnement.

Toutes les informations ne sont pas mises jour en temps rel mme en demandant le rafraichissement dun cran. La mise jour des informations peut ncessiter jusqu 15 secondes.


Statut global

Cet cran indique ltat des diffrents modules de la Cryptosmart-Box.

Pour chaque module interne de Cryptosmart-Box, les informations suivantes sont affiches :

Module : Il sagit dun code mnmonique spcifique chaque module et qui est utilis dans les journaux. Les modules internes de la Cryptosmart-Box sont les suivants :

o Access controller (ACT) : Authentification des Cryptosmart-Gateway/Box distantes et contrle de leurs permissions.

o Crypto manager (CMR) : Gestionnaire des accs aux cartes Cryptosmart.

o Status/log manager (DCR) : Gestionnaire des journaux et de la configuration.

o IPsec (IPS) : Module de chiffrement de flux de donnes au niveau IP.

o Management (MGT) : Module de supervision du fonctionnement de la Cryptosmart-Box.

o VPN (VPN) : Module de ngociation des cls de chiffrement.

Description : Bref libell dtaillant le module.

Managed : Indique si le fonctionnement du module interne est supervis par le module de supervision (MGT) de la Cryptosmart-Box. Les modules manags sont automatiquement relancs en cas de dfaillance.

Uptime : Temps coul depuis le dmarrage du module. Sauf problme ayant ncessit une relance, le temps des diffrents modules doit tre quasiment identique.

Load : Indique la charge instantane dun module interne de la Cryptosmart-Box. La signification dpend du module : nombre de clients pour les modules VPN, DCR et ACT ; nombre de cartes pour le module CMR ; non utilis pour les autres modules.


Cumulative load : Indique la charge cumule dun module depuis son dmarrage. La signification dpend du module : nombre dauthentifications effectues pour CMR ; nombre de connexions pour VPN ; non utilis pour les autres modules.

Administrative state : Etat administratif conformment la norme X.731. Ltat est normalement unlocked pour tous les modules manags.

Operational state : Etat oprationnel conformment la norme X.731. En fonctionnement normal, tous les modules manags sont ltat enabled .

Usage state : Etat dutilisation conformment la norme X.731. Cela indique si le module manag est actif ( active ) ou non ( idle ) au moment de laffichage de la page.

Version : Version interne de chaque module. Normalement, tous les modules doivent avoir la mme version (lorsque celle-ci est dfinie).


Statut des cartes puce

Cet cran affiche la liste des cartes Cryptosmart enfiches sur la Cryptosmart-Box.

Pour chaque carte Cryptosmart, les informations suivantes sont affiches :

Reader status : Etat du lecteur de carte puce. En fonctionnement normal, ltat est Ready .

Card state : Etat de la carte puce. Les cartes effectivement utilisables ont ltat Ready .

Card serial : Numro de srie de la carte puce.

Certificate common name : Sous-champ CommonName issu du certificat X.509 de la carte puce.

Issuer : Autorit de certification ayant mis le certificat X.509 de la carte puce.

Certificate serial : Numro de srie du certificat X.509 de la carte puce.

Server extension : Indique si la carte puce est dclare comme tant de type serveur (avec lextension idoine dans le certificat X.509).

Toutes les cartes puce dune Cryptosmart-Box doivent avoir la mme valeur pour le champ CommonName (CN) de leur certificat.


IPsec

Cet cran fournit la liste des tunnels IPsec actuellement tablis.

Id : Identifiant technique du tunnel.

Status : Statut courant du tunnel. Les valeurs possibles sont :

Down : Le tunnel est entirement ferm.

Waiting_probe : Cet tat (spcifique au mode serveur) indique que lauthentification avec le client a t effectue mais que le tunnel nest pas encore entirement tabli.

Starting : Cet tat (spcifique au mode client) indique que lauthentification avec le serveur a t effectue mais que le tunnel nest pas encore entirement tabli.

Established : Le tunnel est oprationnel.

Expiring : La dure de vie du tunnel est presque atteinte. Une rengociation des cls est en cours.

Uptime : Dure coule depuis ltablissement du tunnel.

Remote address : Adresse IP de la Cryptosmart-Gateway/Box distante. Lutilisation du lien Administrate (immdiatement aprs ladresse) ouvre une fentre pour ladministration de la Cryptosmart-Gateway/Box distante. Ce lien nest prsent que si ladministration distance est autorise par le distant.

Important : Il est ncessaire que les routages IP soient correctement configurs afin de permettre laccs la Cryptosmart-Gateway/Box distante partir du poste de ladministrateur. De plus, il faut que ladministration distante ait t autorise.

In : Volume (en octets) des donnes reues au travers du tunnel IPsec.

Out : Volume (en octets) des donnes mises au travers du tunnel IPsec.


Informations systme

Les diffrents crans qui suivent sont le rsultat direct de lexcution de commandes standards sur la Cryptosmart-Gateway. Ces rsultats peuvent vous tre demands par le support ERCOM.

Processus

Cet cran affiche les processus en cours sur la Cryptosmart-Box.


Routes

Cet cran affiche les routes rseau dfinies au niveau de la Cryptosmart-Box.


Message de la console

Cet cran affiche les messages affichs sur la console systme.


Connexions IP

Cet cran affiche la liste des connexions IP actives ainsi que les ports en coute.


Tables ARP

Cet cran affiche le contenu courant de la table ARP de la Cryptosmart-Box.


Statut des interfaces rseau (ifconfig)

Cet cran affiche le statut des diffrentes interfaces rseau de la Cryptosmart-Box.


Espace disque

Cet cran affiche lespace disque disponible sur la Cryptosmart-Box.

Important : Il doit toujours au moins rester 20% despace disque libre.


Journaux

Cet cran contient le journal dexploitation de la Cryptosmart-Box.

Pour chaque vnement du journal, les informations suivantes sont affiches :

Date : Horodate de survenance de lvnement. Lhorodate est affiche dans la langue du navigateur utilis.

Module : Code mnmonique du module interne de la Cryptosmart-Box ayant gnr lvnement. En plus des modules du statut gnral (cf. Statut global [page 67]), il peut y avoir galement :

o SYS : Gestion des journaux de la Cryptosmart-Box.

Level : Niveau de lvnement (cf. RFC 5424) :

0 Emergency : system is unusable

1 Alert : action must be taken immediately

2 Critical : critical conditions

3 Error : error conditions

4 Warning : warning conditions

5 Notice : normal but significant condition

6 Info : informational messages

7 Debug : debug-level messages

Les messages de niveau 5 et infrieurs sont destins ladministrateur de la Cryptosmart-Box. Les messages de niveaux 6 et 7 peuvent tre tudier en cas de dysfonctionnement et peuvent notamment tre demands par le support dErcom.


Thread id : Identifiant du thread ayant produit lvnement. Cet identifiant peut tre ncessaire au support ERCOM.

Event : Identifiant de lvnement au sein dun module interne de la Cryptosmart-Box.

Parameters : Paramtres associs lvnement. La liste de ces paramtres dpend de lvnement gnr.

Le journal tant potentiellement trs volumineux, il nest pas charg dans sa globalit. Le principe de fonctionnement est bas sur des pages. Lorsque le journal est affich, seuls les premires entres sont affiches, pour obtenir les suivantes, il faut utiliser lascenseur ; la page suivante est ainsi automatiquement charge. Le principe sapplique pour les pages suivantes.

Il est possible de dsactiver le rafraichissement automatique du journal en cliquant sur le bouton Turn off automatic refresh . Ce rafraichissement automatique peut tre ractiv en cliquant de nouveau sur le bouton Turn on automatic refresh .

Le journal est automatiquement purg : seuls les 1 million dvnements les plus rcents sont conservs ; les plus anciens sont automatiquement supprims.

Afin de conserver une trace des vnements, il est recommand de dfinir un serveur Syslog externe (cf. Configuration de la journalisation [page 33]) charg de centraliser et de sauvegarder tous les vnements produits par la Cryptosmart-Box.


Menu More

Dsactivation des bulles daide

Ce menu est destin lactivation ou la dsactivation des bulles daide affiches au niveau des diffrents champs de linterface dadministration de la Cryptosmart-Box.

A propos

Version : Numro de version du logiciel de la Cryptosmart-Box. Ce numro est ncessaire en cas dappel au support.


Console dadministration

La connexion en mode console est rserve aux utilisateurs avancs. Lexploitation normale de la Cryptosmart-Box ne ncessite pas ce type de connexion.

Laccs la console dadministration nest ncessaire que pour effectuer une rinitialisation complte ou en cas de modification de la configuration IP rendant impossible laccs son interface web dadministration.

Important : Le mot de passe utiliser est celui fix lors du premier dmarrage de la Cryptosmart-Box.

Lensemble des fonctions de la Cryptosmart-Box disponibles via la console est

regroup dans un outil nomm setup quil faut lancer manuellement aprs stre connect sous le compte root.

Le type du clavier est automatiquement demand au lancement de loutil tant quaucun clavier na t dfini ; les autres fonctions ne sont pas proposes tant que cette opration na pas t effectue.

Lorsque le clavier a t dfini, il est ncessaire de dfinir le mot de passe de root. Les autres fonctions, lexception du changement de clavier, ne sont pas proposes tant que cette opration na pas t effectue.


Dfinition du clavier

Cette opration est charge de dfinir le type de clavier connect la Cryptosmart-Box. Il est impratif de correctement dfinir le clavier sans quoi les saisies ultrieures sur la console seront errones.

La dfinition du type de clavier ncessite les oprations suivantes :

1. Lancer loutil setup 2. Choisir de la fonction 1 (Change keyboard layout) 3. Slectionner le clavier utiliser en entrant son numro dans la liste. Il est

recommand dutiliser le clavier numrique pour effectuer la saisie car il est gnralement oprationnel quel que soit le clavier utilis.

La liste des claviers utilise une mnmonique sur deux lettres pour identifier chacun dentre eux :

ar Arabe fr Franais no Norvgien

bg Bulgare gr Grec pl Polonais

by Bilorusse hu Hongrois ro Roumain

cf Canadien-Franais il Hbreu ru Russe

de Allemand it Italien sg Singapourien

dk Danois kg Kirghize sr Serbe

es Espagnol kk Kazakh ua Ukrainien

et Estonien lt Lithuanien uk Anglais

fa Persan mk Macdonien us Amricain

fi Finnois nl Nerlandais wo Wolof


Changement du mot de passe root

Lors de la dfinition du mot de passe de root, il est impratif que le clavier soit correctement dfini sans quoi la valeur saisie pourrait tre diffrente de celle effectivement retenue par la Cryptosmart-Box.

Cette opration est destine fixer ou modifier le mot de passe du compte root de la Cryptosmart-Box. Il sagit dun compte technique disposant de tous les privilges sur le systme dexploitation de la Cryptosmart-Box.

Remarque : Le compte root est compltement distinct du compte admin destin effectuer les oprations dadministration au travers de linterface web.

Le changement du mot de passe du compte root ncessite les oprations suivantes :

1. Lancer loutil setup 2. Choisir de la fonction 2 (Change root password) 3. Saisir le nouveau mot de passe (au moins 8 caractres) 4. Confirmer le nouveau mot de passe.

Remarque : Il nest jamais ncessaire de saisir lancien mot de passe.


Adresse IP des interfaces

Lutilisation de cette commande permet de fixer les adresses IP des interfaces rseau de la Cryptosmart-Box.

Cette commande est notamment utile aprs avoir chang le plan dadressage de la Cryptosmart-Box si linterface web dadministration nest pas disponible.

Pour les interfaces rseau, seules des adresses IP sont autorises ; il nest pas possible dutiliser des noms DNS. Pour chaque donne, la valeur actuelle (ou la valeur par dfaut le cas chant) est affiche, si aucune valeur nest saisie, celle-ci est conserve.

Pour changer les adresses IP de la Cryptosmart-Box, il faut effectuer les oprations suivantes :

1. Lancer loutil setup. 2. Choisir la fonction 3 (Network setup). 3. Saisir ladresse IP de linterface externe (NET). 4. Saisir le masque de linterface externe (NET). 5. Saisir ladresse IP de linterface interne (LAN). 6. Saisir le masque de linterface interne (LAN).

Aprs changement des adresses IP, il est ncessaire de redmarrer la Cryptosmart-Box pour que les modifications soient prises en compte.


Interfaces pour ladministration

Lutilisation de cette commande permet dautoriser/interdire lutilisation de linterface rseau interne (LAN) pour ladministration de la Cryptosmart-Box (i.e. laccs au Web dadministration ou louverture dune console en SSH).

Remarque : Ce paramtre ne concerne pas ladministration au travers dun tunnel IPsec qui est gre par ailleurs (cf. Mode client [page 58]).

Ltat actuel de linterface interne (ou ltat par dfaut le cas chant) est affich, si aucune valeur nest saisie, celui-ci est conserv.

Pour autoriser/interdire ladministration de la Cryptosmart-Box par son interface interne (LAN), il faut effectuer les oprations suivantes :

1. Lancer loutil setup 2. Choisir la fonction 4 (Configure administration through internal interfaces) 3. Indiquer si linterface interne (LAN) est utilisable pour ladministration (yes ou

no)

Aprs changement, il est ncessaire de redmarrer la Cryptosmart-Box pour que les modifications soient prises en compte.


Redmarrage de la Cryptosmart-Box

Cette fonction sert redmarrer la Cryptosmart-Box notamment en cas de changement de configuration.

Pour redmarrer la Cryptosmart-Box, il faut effectuer les oprations suivantes :

1. Lancer loutil setup 2. Choisir la fonction 5 (Reboot)

Remarque : Aucune confirmation nest ncessaire.


Rinitialisation ltat usine

Cette fonction est destine la rinitialisation complte de la Cryptosmart-Box. Toutes les informations de configuration et les journaux sont effacs.

Pour effectuer une rinitialisation complte, il faut effectuer les oprations suivantes :

1. Lancer loutil setup. 2. Choisir la fonction 6 (Return to factory defaults). 3. Confirmer lopration en saisissant la lettre y. 4. Attendre au moins 5 minutes.

88 Chapitre 4 - Procdures exceptionnelles

Chapitre 4 - Procdures exceptionnelles

Les procdures de maintenance dcrites ci aprs doivent tre excutes par des personnels de confiance et qualifis.

Rinitialisation aux paramtres dusine

Afin dcraser la configuration existante et de restaurer le paramtrage dusine, suivez les instructions suivantes :

Brancher un clavier et un cran sur la Cryptosmart-Box,

Se connecter avec le compte root,

Entrer la commande reboot afin de redmarrer la Cryptosmart-Box,

Appuyer plusieurs fois simultanment sur les touches CTRL et C jusqu ce le processus de chargement du systme dexploitation soit interrompu,

Entrer : linux GWMODE=FACTORY (Remarque : le clavier par dfaut est de type qwerty)

La Cryptosmart-Box retrouve alors son paramtrage dusine.


Chapitre 5 - Limitations

Ce chapitre fournit les limitations techniques de chaque type de Cryptosmart-Box :

10 100

Nombre maximal de cartes puce 1 2

Nombre maximal de Cryptosmart-Gateway/Box distantes 1 50

Nombre maximal de tunnels IPsec actifs 1 100

Dbit chiffr maximal (en Mbits/s) 8 80

90 Chapitre 6 - FAQ

Chapitre 6 - FAQ

Q Est-il possible de mlanger des cartes puces Cryptosmart de familles diffrentes ?

Non, ce nest pas possible.

Q Peut-on connecter la Cryptosmart-Box directement Internet ?

La Cryptosmart-Box dispose dun pare-feu interne et repose sur une approche minimaliste afin de rduire les risques dintrusion. Cependant, dans une optique de dfense en profondeur, il est recommand de placer la Cryptosmart-Box dans une DMZ lorsque cela est possible.

Q Peut-on configurer et administrer la Cryptosmart-Box sur son interface externe ?

Oui, en autorisant ladministration distance au travers dun tunnel IPsec.

Q Comment peut-on tester les interfaces rseaux ?

La Cryptosmart-Box rpond au ping sur chacune de ses interfaces.

Q Que se passe-t-il en cas de crash du logiciel de la Cryptosmart-Box ?

Un mcanisme de surveillance est inclus. En cas de crash, la Cryptosmart-Box est automatiquement redmarre.

Q Comment viter lalerte de scurit sur le certificat de la Cryptosmart-Box ?

Pour viter que le navigateur affiche une erreur lors de laccs linterface dadministration de la Cryptosmart-Box, il faut dfinir son certificat comme tant de confiance dans le navigateur utilis. La procdure dpend du navigateur utilis.


Chapitre 7 - En cas de problme

P Pourquoi la synchronisation NTP ne fonctionne-t-elle pas au dmarrage ?

La premire synchronisation NTP a lieu immdiatement aprs lactivation des interfaces rseaux. Il se peut que le switch auquel la Cryptosmart-Box est raccorde ne soit pas encore prt.

P Que faire si des erreurs dinsertion dans les journaux se produisent ?

Il faut baisser le niveau des vnements stocks dans les journaux et/ou utiliser un serveur syslog externe.

P Suite un retour en configuration usine, la Cryptosmart-Box nest plus accessible ou ne fonctionne pas correctement.

La procdure de retour usine est assez longue et na pas d entirement seffectuer. Il faut la recommencer en attendant au moins 5 minutes avant darrter la Cryptosmart-Box. Ne pas larrter alors quelle est en train de redmarrer.

P Laffectation dadresse en DHCP fonctionne mal ou pas du tout.

Il faut vrifier que la fonctionnalit DHCP serveur est correctement configure sur la Cryptosmart-Box. Si cela est le cas, il faut sassurer quun autre serveur DHCP nest pas prsent dans le mme rseau.

P Impossibilit dtablir un tunnel au travers dun routeur ADSL

Le pare-feu interne de certains routeurs ADSL est configur par dfaut pour filtrer le port 4500 ncessaire au protocole IPsec. Il faut vrifier que ce port est bien autoris dans la configuration du routeur ADSL.

92 Annexe 1 - MIB

Annexe 1 - MIB

La dfinition de la MIB tant commune avec les Cryptosmart-Gateway, certaines donnes ne sont pas prsentes dans le cas des Cryptosmart-Box.

CRYPTOSMART-MIB DEFINITIONS ::= BEGIN

IMPORTS

MODULE-IDENTITY, OBJECT-TYPE, enterprises, Integer32,

TimeTicks, Gauge32, IpAddress

FROM SNMPv2-SMI

MODULE-COMPLIANCE, OBJECT-GROUP

FROM SNMPv2-CONF

DateAndTime, DisplayString, TEXTUAL-CONVENTION

FROM SNMPv2-TC -- RFC 2579

;

cryptosmart MODULE-IDENTITY

LAST-UPDATED "201407040000Z" -- 04 July 2014

ORGANIZATION "ERCOM"

CONTACT-INFO

"Email: [email protected]

www.ercom.com"

DESCRIPTION

"The MIB module for Cryptosmart-Gateway/Box product

Copyright (C) Ercom (2014)"

REVISION "201407040000Z" -- 04 July 2014

DESCRIPTION

"The initial revision"

::={ ercom 100 }

ercom OBJECT IDENTIFIER ::= { enterprises 3236 }

cryptosmartMIBObjects OBJECT IDENTIFIER ::= { cryptosmart 1 }

-- definition of our own textual convention

UpDownStateValue ::= TEXTUAL-CONVENTION

STATUS current

DESCRIPTION

"Represents the state of an entity (module, connection)"

SYNTAX INTEGER {

up(1),

down(2)

}

CardStateValue ::= TEXTUAL-CONVENTION

STATUS current

DESCRIPTION

"Represents the state of a Cryptosmart card"

SYNTAX INTEGER {

unknown(1),

noReader(2),

noCard(3),

wrongCard(4),

blocked(5),

waitingPUK(6),

invalidCertificate(7),

waitingSecurityCode(8),

ready(9),

restricted(10)

}

CardTypeValue ::= TEXTUAL-CONVENTION

STATUS current

DESCRIPTION

"Represents the type of a Cryptosmart card"

SYNTAX INTEGER {


server(1),

client(2),

unknown(3)

}

GatewayModeValue ::= TEXTUAL-CONVENTION

STATUS current

DESCRIPTION

"Represents the operating mode of Cryptosmart-Gateway"

SYNTAX INTEGER {

standalone(1),

master(2),

backup(3),

unknown(4)

}

--- Modules Table --

--------------------

modulesTable OBJECT-TYPE

SYNTAX SEQUENCE OF ModulesEntry

MAX-ACCESS not-accessible

STATUS current

DESCRIPTION

"List of Cryptosmart modules"

::={ cryptosmartMIBObjects 1 }

modulesEntry OBJECT-TYPE

SYNTAX ModulesEntry


STATUS current

DESCRIPTION

"Entry of module table"

INDEX { modulesIndex }

::= { modulesTable 1 }

ModulesEntry ::= SEQUENCE {

modulesIndex Integer32,

modulesName DisplayString,

modulesState UpDownStateValue,

modulesUptime TimeTicks

}

modulesIndex OBJECT-TYPE

SYNTAX Integer32 (0..100)


STATUS current

DESCRIPTION

"Index of the module in the table"

::= { modulesEntry 1 }

modulesName OBJECT-TYPE

SYNTAX DisplayString

MAX-ACCESS read-only

STATUS current

DESCRIPTION

"Name of module (Trigram)"


modulesState OBJECT-TYPE

SYNTAX UpDownStateValue


STATUS current

DESCRIPTION

"State of module"


modulesUptime OBJECT-TYPE

SYNTAX TimeTicks


STATUS current

DESCRIPTION

"Module uptime (in 100th of second)"


--------------------------

--------------------------

94 Annexe 1 - MIB

--- Cards Table ----

--------------------

cardsTable OBJECT-TYPE

SYNTAX SEQUENCE OF CardsEntry


STATUS current

DESCRIPTION

"List of Cryptosmart cards"


cardsEntry OBJECT-TYPE

SYNTAX CardsEntry


STATUS current

DESCRIPTION

"Entry of card table"

INDEX { cardsIndex }

::= { cardsTable 1 }

CardsEntry ::= SEQUENCE {

cardsIndex Integer32,

cardsCommonName OCTET STRING,

cardsEndDate DateAndTime,

cardsType CardTypeValue,

cardsState CardStateValue

}

cardsIndex OBJECT-TYPE



STATUS current

DESCRIPTION

"Index of the Cryptosmart card in the table"

::= { cardsEntry 1 }

cardsCommonName OBJECT-TYPE

SYNTAX OCTET STRING


STATUS current

DESCRIPTION

"Common name of the subject issued of the card certificate"


cardsEndDate OBJECT-TYPE

SYNTAX DateAndTime


STATUS current

DESCRIPTION

"Date of expiry of the card certificate"


cardsType OBJECT-TYPE

SYNTAX CardTypeValue


STATUS current

DESCRIPTION

"Type of Cryptosmart card"


cardsState OBJECT-TYPE

SYNTAX CardStateValue


STATUS current

DESCRIPTION

"State of Cryptosmart card"


--------------------------

--------------------------

-- LDAP Table --

----------------

ldapTable OBJECT-TYPE

SYNTAX SEQUENCE OF LdapEntry


STATUS current

DESCRIPTION


"List of LDAP servers"


ldapEntry OBJECT-TYPE

SYNTAX LdapEntry


STATUS current

DESCRIPTION

"Entry of LDAP table"

INDEX { ldapIndex }

::= { ldapTable 1 }

LdapEntry ::= SEQUENCE {

ldapIndex Integer32,

ldapAddress IpAddress,

ldapPort Integer32,

ldapState UpDownStateValue

}

ldapIndex OBJECT-TYPE



STATUS current

DESCRIPTION

"Index of LDAP server in the table"

::= { ldapEntry 1 }

ldapAddress OBJECT-TYPE

SYNTAX IpAddress


STATUS current

DESCRIPTION

"Address (IP or FQDN) of LDAP server"

::= { ldapEntry 2 }

ldapPort OBJECT-TYPE

SYNTAX Integer32(0..65535)


STATUS current

DESCRIPTION

"Port of LDAP server"

::= { ldapEntry 3 }

ldapState OBJECT-TYPE

SYNTAX UpDownStateValue


STATUS current

DESCRIPTION

"State of the connection to LDAP server"

::= { ldapEntry 4 }

--------------------------

--------------------------

vpn OBJECT IDENTIFIER ::= { cryptosmartMIBObjects 5 }

vpnSessions OBJECT-TYPE

SYNTAX Gauge32


STATUS current

DESCRIPTION

"Number of VPN sessions"

DEFVAL{ 0 }

::= { vpn 1 }

vpnConnections OBJECT-TYPE

SYNTAX Gauge32


STATUS current

DESCRIPTION

"Number of VPN connections"

DEFVAL{ 0 }

::= { vpn 2 }

voice OBJECT IDENTIFIER ::= { cryptosmartMIBObjects 6}

--------------------------

96 Annexe 1 - MIB

--------------------------

voiceRegistered OBJECT-TYPE

SYNTAX Gauge32


STATUS current

DESCRIPTION

"Number of registered users for secure voice"

::={ voice 2 }

voiceCalls OBJECT-TYPE

SYNTAX Gauge32


STATUS current

DESCRIPTION

"Number of current secure voice calls"

::={ voice 3 }

gatewayInformations OBJECT IDENTIFIER ::= { cryptosmartMIBObjects 7 }

gatewayName OBJECT-TYPE

SYNTAX OCTET STRING


STATUS current

DESCRIPTION

"Name of Cryptosmart-Gateway"

::={ gatewayInformations 1 }

gatewayVersion OBJECT-TYPE

SYNTAX OCTET STRING


STATUS current

DESCRIPTION

"Version of Cryptosmart-Gateway"


gatewayMode OBJECT-TYPE

SYNTAX GatewayModeValue


STATUS current

DESCRIPTION

"Operating mode of Cryptosmart-Gateway: backup/master or standalone"


cryptosmartMIBConformance OBJECT IDENTIFIER ::= { cryptosmart 2 }

cryptosmartMIBCompliance MODULE-COMPLIANCE

STATUS current

DESCRIPTION

"Conformance declaration for Cryptosmart MIB"

MODULE

GROUP cryptosmartMIBGroup

DESCRIPTION "cryptosmartMIBGroup have all objects"

::={ cryptosmartMIBConformance 1 }

cryptosmartMIBGroup OBJECT-GROUP

OBJECTS {

modulesName,

modulesState,

modulesUptime,

cardsCommonName,

cardsEndDate,

cardsType,

cardsState,

ldapAddress,

ldapPort,

ldapState,

vpnSessions,

vpnConnections,

voiceRegistered,

voiceCalls,

gatewayName,

gatewayVersion,

gatewayMode

}

STATUS current

DESCRIPTION


"Collection of all objects of Cryptosmart MIB."

::= { cryptosmartMIBConformance 2 }

END

98 Annexe 2 - Licences

Annexe 2 - Licences

Cette annexe contient les licences des produits open-source utiliss pour le dveloppement de Cryptosmart-Box et qui demande la publication de leur licence dans la documentation.

Libpqxx

Copyright (c) 2001-2011 Jeroen T. Vermeulen

All rights reserved.

Redistribution and use in source and binary forms, with or without modification,

are permitted provided that the following conditions are met:

* Redistributions of source code must retain the above copyright notice, this

list of conditions and the following disclaimer.

* Redistributions in binary form must reproduce the above copyright notice,

this list of conditions and the following disclaimer in the documentation

and/or other materials provided with the distribution.

* Neither the name of the author, nor the names of other contributors may be

used to endorse or promote products derived from this software without

specific prior written permission.

THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND

ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED

WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE

DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE LIABLE FOR

ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES

(INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;

LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON

ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT

(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS

SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.


Msinttypes

// ISO C9x compliant inttypes.h for Microsoft Visual Studio

// Based on ISO/IEC 9899:TC2 Committee draft (May 6, 2005) WG14/N1124

//

// Copyright (c) 2006 Alexander Chemeris

//

// Redistribution and use in source and binary forms, with or without

// modification, are permitted provided that the following conditions are met:

//

// 1. Redistributions of source code must retain the above copyright notice,

// this list of conditions and the following disclaimer.

//

// 2. Redistributions in binary form must reproduce the above copyright

// notice, this list of conditions and the following disclaimer in the

// documentation and/or other materials provided with the distribution.

//

// 3. The name of the author may be used to endorse or promote products

// derived from this software without specific prior written permission.

//

// THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR IMPLIED

// WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF

// MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO

// EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,

// SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,

// PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS;

// OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,

// WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR

// OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF

// ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

//

///////////////////////////////////////////////////////////////////////////////

100 Annexe 2 - Licences

OpenSSL

OpenSSL License

---------------

/* ====================================================================

* Copyright (c) 1998-2008 The OpenSSL Project. All rights reserved.

*

* Redistribution and use in source and binary forms, with or without

* modification, are permitted provided that the following conditions

* are met:

*

* 1. Redistributions of source code must retain the above copyright

* notice, this list of conditions and the following disclaimer.

*

* 2. Redistributions in binary form must reproduce the above copyright

* notice, this list of conditions and the following disclaimer in

* the documentation and/or other materials provided with the

* distribution.

*

* 3. All advertising materials mentioning features or use of this

* software must display the following acknowledgment:

* "This product includes software developed by the OpenSSL Project

* for use in the OpenSSL Toolkit. (http://www.openssl.org/)"

*

* 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to

* endorse or promote products derived from this software without

* prior written permission. For written permission, please contact

* [email protected].

*

* 5. Products derived from this software may not be called "OpenSSL"

* nor may "OpenSSL" appear in their names without prior written

* permission of the OpenSSL Project.

*

* 6. Redistributions of any form whatsoever must retain the following

* acknowledgment:

* "This product includes software developed by the OpenSSL Project

* for use in the OpenSSL Toolkit (http://www.openssl.org/)"

*

* THIS SO

Documents

Manuel d'Utilisation Cryptosmart-Box 5.0 SP9-AA