Réseau
Configuration de l’IP : Configuration de l’adresse IP et des paramètres du réseau
Les entreprises dotées de configurations de réseau poussées peuvent configurer plusieurs adresses IP sur les ports Ethernet de la B Series Appliance. L’utilisation de plusieurs ports permet d’accroître la sécurité ou d’autoriser des connexions suivant des réseaux non-standards. Par exemple, si vos employés n’ont pas le droit d’utiliser internet, mais qu’ils doivent travailler hors ligne, il est possible, avec l’utilisation d’un port pour votre réseau interne privé et l’utilisation d’un second port pour l’internet public, de permettre aux utilisateurs du monde entier d’accéder aux systèmes sans enfreindre votre politique de sécurité liée au réseau.
Le couplage NIC regroupe les cartes d’interface réseau physiques de votre système en une seule interface logique. Le couplage NIC fonctionne en mode actif-sauvegarde. Une des cartes d’interface réseau sert à transporter tout le trafic du réseau. Si le lien de cette carte est perdu pour une raison quelconque, l’autre carte devient active. Avant d’activer le couplage NIC, assurez-vous que les deux cartes NIC sont connectées au même segment de réseau (sous-réseau) et que vos adresses IP sont uniquement configurées sur l’une des NIC existantes.
si vous utilisez un environnement de Cloud Appliance ou virtuel, l’option Activer le couplage NIC n’est pas disponible.
Bien que plusieurs adresses IP peuvent être attribuées à chaque contrôleur d’interface réseau (NIC), ne configurez pas un NIC de sorte qu’il est une adresse IP se trouvant sur le même sous-réseau en tant qu’adresse IP de l’autre carte NIC. Dans ce cas, il y a un risque de perte de paquets lorsque les paquets provenant de l’IP du NIC sans la passerelle par défaut. Veuillez prendre en considération l’exemple de configuration suivant :
- eth0 est configuré avec la passerelle par défaut 192.168.1.1
- eth0 est associé à 192.168.1.5
- eth1 est associé à 192.168.1.10
- eth0 et eth1 sont connectés au même commutateur de sous-réseau
Avec cette configuration, le trafic des deux cartes NIC est envoyé vers la passerelle par défaut (192.168.1.1), quelle que soit la carte NIC ayant reçu le trafic. Les commutateurs configurés à l’aide de protocoles de résolution d’adresse dynamiques (ARP) envoient des paquets aléatoirement à eth0 (192.168.1.5) ou à eth1 (192.168.1.10), pas aux deux cartes. Lorsque eth0 reçoit ces paquets du commutateur destiné à eth1, eth0 abandonne les paquets. Certains commutateurs sont configurés avec un protocole ARP statique. Ces commutateurs abandonnent tous les paquets reçus par eth1, puisque cette carte NIC n’a pas de passerelle par défaut et ne se trouve pas dans le tableau ARP statique de la passerelle. Si vous souhaitez configurer des cartes NIC redondantes sur le même sous-réseau, utilisez le couplage NIC.
Par défaut, Dynamic Host Configuration Protocol (DHCP) est activé pour votre B Series Appliance. Le DHCP est un protocole de réseau qui utilise le serveur DHCP pour contrôler la distribution des paramètres de réseau, notamment les adresses IP, ce qui permet aux systèmes de demander ces paramètres automatiquement. Ainsi, la configuration manuelle des paramètres est réduite. Dans ce cas, lorsqu’on coche cette option, l’adresse IP est obtenue à partir du serveur DHCP et elle est retirée du groupe d’adresses IP disponibles.
Pour en savoir plus sur DHCP, consultez Qu’est-ce que DHCP ? .
Cliquez sur Afficher les informations pour consulter et vérifier les statistiques de transmission et de réception pour chaque port Ethernet sur la B Series Appliance.
Dans la section Configuration globale du réseau, configurez le nom d’hôte pour votre B Series Appliance.
le champ Nom d’hôte ne doit satisfaire aucune exigence technique. Cela n’affecte pas la connexion du nom d’hôte du logiciel client ou des utilisateurs distants. Si le nom d’hôte tenté par un logiciel client doit changer, prévenez l’BeyondTrust Technical Support des changements requis afin qu’elle puisse créer une mise à jour logicielle. Le champ Nom d’hôte sert principalement à effectuer une différenciation quand il y a plus d’une B Series Appliance. Ce champ est également utilisé en tant qu’identificateur de serveur local lorsqu’on établit des connexions SMTP pour envoyer des alertes par e-mail. Cette option est utile lorsque le Serveur relais SMTP défini dans /appliance > Sécurité > Configuration e-mail est verrouillé. Dans ce cas, le nom d’hôte configuré doit parfois correspondre à la résolution DNS inverse de l’adresse IP de la B Series Appliance.
Assignez une passerelle par défaut, en sélectionnant le port Ethernet à utiliser. Saisissez une adresse IP pour un ou plusieurs serveurs DNS. Si le protocole DHCP est activé, le bail DHCP offre une passerelle par défaut, ainsi qu’une liste de serveurs DNS par ordre de préférence. Les serveurs DNS configurés de façon statique répertoriés dans les serveurs DNS personnalisés sont prioritaires lors des tentatives de connexion, suivis des serveur DNS provenant du DHCP. Si ces serveurs DNS locaux ne sont pas disponibles, l’option Utilisation des serveurs DNS publics permet à la B Series Appliance d’utiliser des serveurs DNS publics disponibles sur OpenDNS.
Pour plus d’informations sur OpenDNS, veuillez consulter www.opendns.com.
Autorisez votre B Series Appliance à répondre aux pings si vous souhaitez que la fonction teste si l’hôte fonctionne. Configurez le nom d’hôte ou l’adresse IP par rapport à un serveur NTP (protocole d’heure réseau) avec lequel vous souhaitez synchroniser votre B Series Appliance.
Deux options sont disponibles dans la Configuration du numéro de port : Ports détectés par le serveur et Ports URL par défaut. Lors de la configuration, n’oubliez pas que les connexions à des ports valables sont susceptibles d’être rejetées en raison des restrictions liées au réseau définies dans /appliance > Sécurité > Administration de l'appliance et dans /login > Gestion > Sécurité. L’inverse est tout aussi vrai : les connexions à des ports non valables sont rejetées, même si elles satisfont aux restrictions du réseau.
La section Ports détectés par le serveur permet de définir les ports détectables par la B Series Appliance. Vous pouvez utiliser jusqu’à 15 ports séparés par la virgule pour le protocole HTTP et 15 ports séparés par la virgule pour le protocole HTTPS. Un port ne doit apparaître qu’une seule fois dans un champ, et il doit apparaître dans un seul champ, pas dans les deux champs. La B Series Appliance répond aux connexions HTTP associées aux ports répertoriés dans le champ HTTP, et la B Series Appliance répond aux connexions HTTPS associées aux ports du champ HTTPS. Il est impossible de modifier les ports d’écoute intégrés (80 et 443).
Pour accéder à la B Series Appliance sur un port donné, utilisez un navigateur qui vous oblige à indiquer le port dans l’URL du navigateur (ex. : support.example.com:8200). Les clients téléchargés depuis la B Series Appliance tentent de se connecter aux ports répertoriés sur la page /login > État > Information dans Ce logiciel client est paramétré pour se connecter à. Ces ports ne sont pas configurables depuis /login ou /appliance. Pour les changer, vous devez contacter l’assistance technique BeyondTrust pour qu’elle vous fournisse une nouvelle mise à jour pour votre B Series Appliance. Une fois installée, la mise à jour définit les ports de Tentative tels que définis par l’assistance technique BeyondTrust dans les paramètres de la mise à jour.
L’option Ports URL par défaut est utilisée lors de la création d’URL pointant vers la B Series Appliance, comme une clé de session générée par la console d’accès. Lorsque les ports par défaut sont bloqués sur le réseau (ou qu’ils sont susceptibles de ne pas fonctionner pour toute autre raison), il est possible de changer les ports URL par défaut pour obtenir des URL générées par les ports que l’on souhaite. Les ports indiqués doivent aussi être répertoriés dans les Ports détectés par le serveur ; dans le cas contraire, les ports par défaut ne se connectent pas. Ainsi, si vous saisissez 8080 dans le champ Ports URL par défaut, vérifiez que 8080 se trouve également dans le champ Ports détectés HTTP ou dans le champ Ports détectés HTTPS. Contrairement aux champs Ports détectés, il est impossible d’indiquer plus d’un port dans les deux champs Ports URL. Vous ne pouvez pas indiquer le même port dans les deux champs.
Lors de l’ajout ou de la modification d’une adresse IP, vous pouvez choisir d’activer ou de désactiver cette IP. Sélectionnez le port réseau pour lequel cette IP doit fonctionner. Le champ Adresse IP configure l’adresse à laquelle votre B Series Appliance peut répondre, et le champ Masque de sous-réseau permet à BeyondTrust de communiquer avec d’autres appareils.
Lorsque vous modifiez une adresse IP se trouvant sur le même sous-réseau qu’une autre adresse IP pour cette B Series Appliance, vous pouvez la définir en tant qu’adresse Principale. Lorsque cette case est cochée, la B Series Appliance la considère comme adresse IP principale ou comme adresse IP de départ pour le sous-réseau. Cette option permet, par exemple, de s’assurer que tout trafic réseau provenant de la B Series Appliance sur le sous-réseau respecte un ensemble de règles définies liées au pare-feu.
Depuis Type d’accès, vous pouvez limiter l’accès à cette IP au site public ou à tous les clients (y compris les consoles mobiles et Web) en dehors du trafic Web normal. Utilisez Autoriser les deux (trafic Web et session) pour permettre l’accès à la fois au site public et à tous les clients.
Il est possible de séparer le trafic Web et le trafic de session en modifiant la configuration du réseau. Le processus exact dépend de la configuration existante du réseau. Pour plus d’informations, contactez l’assistance technique.
pour limiter l’accès à l’interface /login, définissez les restrictions de réseau dans /login > Gestion > Sécurité. Pour limiter l’accès à l’interface /appliance, définissez les restrictions de réseau dans /appliance > Sécurité > Administration de l’appliance.
Lorsque vous consultez l’adresse IP de gestion1, le menu déroulant du Serveur Telnet propose trois options : Complet, Simplifié et Désactivé (voir explications ci-dessous). Ces paramètres servent à changer les options du menu du serveur Telnet disponibles uniquement sur cette IP privée. Cette fonctionnalité peut se révéler utile dans les situations de récupération d’urgence. Dans la mesure où la fonction Telnet est liée à l’IP privée intégrée, elle n’apparaît dans aucune autre adresse IP configurée.
| Paramètre | Fonction |
|---|---|
| Complet | Permet au serveur Telnet d’utiliser l’ensemble de ses fonctionnalités |
| Simplifié | Offre quatre options différentes : Voir l’erreur du FIPS, Revenir aux paramètres d’usine par défaut, Éteindre et Redémarrer |
| Désactivé(e) | Désactive complètement le serveur Telnet |
