Réseau

Configuration de l’IP : Configuration de l’adresse IP et des paramètres du réseau

L’en-tête d’onglet visible sur les écrans /appliance, mettant en évidence l’onglet de Réseau et de Configuration IP.

Les entreprises dotées de configurations de réseau complexes peuvent configurer plusieurs adresses IP sur les ports Ethernet de la B Series Appliance. L’utilisation de plusieurs ports permet d’accroître la sécurité ou d’autoriser des connexions suivant des réseaux non-standards. Par exemple, si vos employés n’ont pas le droit d’utiliser internet, mais qu’ils doivent travailler hors ligne, il est possible, avec l’utilisation d’un port pour votre réseau interne privé et l’utilisation d’un second port pour l’internet public, de permettre aux utilisateurs du monde entier d’accéder aux systèmes sans enfreindre votre politique de sécurité liée au réseau.

L’association NIC regroupe les contrôleurs réseau physiques (NIC) de votre système dans une interface logique unique. L’association NIC fonctionne en mode « Sauvegarde active ». Une des cartes d’interface réseau sert à transporter tout le trafic du réseau. Si le lien de cette carte est perdu pour une raison quelconque, l’autre carte devient active. Avant d’activer le couplage NIC, assurez-vous que les deux cartes NIC sont connectées au même segment de réseau (sous-réseau) et que vos adresses IP sont uniquement configurées sur l’une des NIC existantes.

si vous utilisez un environnement de Cloud Appliance ou virtuel, l’option Activer le couplage NIC n’est pas disponible.

La section de Configuration NIC dans /appliance où vous pouvez activer le DHCP et ajouter/modifier des adresses IP.

Bien que plusieurs adresses IP peuvent être attribuées à chaque NIC, ne configurez aucun NIC de sorte qu’il ait une adresse IP se trouvant sur le même sous-réseau en tant qu’adresse IP de l’autre NIC. Dans ce cas, il y a un risque de perte de paquets lorsque les paquets provenant de l’IP du NIC sans la passerelle par défaut. Veuillez prendre en considération l’exemple de configuration suivant :

  • eth0 est configuré avec la passerelle par défaut 192.168.1.1
  • eth0 est associé à 192.168.1.5
  • eth1 est associé à 192.168.1.10
  • eth0 et eth1 sont connectés au même commutateur de sous-réseau

Avec cette configuration, le trafic des deux NIC est envoyé vers la passerelle par défaut (192.168.1.1), quelle que soit la NIC ayant reçu le trafic. Les commutateurs configurés avec des ARP dynamiques envoient des paquets aléatoirement à eth0 (192.168.1.5) ou à eth1 (192.168.1.10), mais pas aux deux. Lorsque eth0 reçoit ces paquets du commutateur destiné à eth1, eth0 abandonne les paquets. Certains commutateurs sont configurés avec un protocole ARP statique. Ces commutateurs abandonnent tous les paquets reçus par eth1, puisque cette carte NIC n’a pas de passerelle par défaut et ne se trouve pas dans le tableau ARP statique de la passerelle. Si vous souhaitez configurer des cartes NIC redondantes sur le même sous-réseau, utilisez le couplage NIC.

Par défaut, Dynamic Host Configuration Protocol (DHCP) est activé pour votre B Series Appliance. Le DHCP est un protocole de réseau qui utilise le serveur DHCP pour contrôler la distribution des paramètres de réseau, notamment les adresses IP, ce qui permet aux systèmes de demander ces paramètres automatiquement. Ainsi, la configuration manuelle des paramètres est réduite. Dans ce cas, lorsqu’on coche cette option, l’adresse IP est obtenue à partir du serveur DHCP et elle est retirée du groupe d’adresses IP disponibles.

pour en savoir plus sur DHCP, consultez Dynamic Host Configuration Protocol (DHCP).

Informations relatives à la configuration NIC

Cliquez sur Afficher les informations pour consulter et vérifier les statistiques de transmission et de réception pour chaque port Ethernet sur la B Series Appliance.

 

Capture d’écran de la configuration globale du réseau dans /appliance

Dans la section Configuration globale du réseau, configurez le nom d’hôte pour votre BeyondTrust Appliance B Series.

 

le champ Nom d’hôte ne doit satisfaire aucune exigence technique. Cela n’affecte pas la connexion du nom d’hôte du logiciel client ou des utilisateurs distants. (Pour effectuer ces changements, consultez /login > État > Informations > Logiciel client est paramétré pour tenter. Si le nom d’hôte tenté par un logiciel client doit changer, prévenez l’BeyondTrust Technical Support des changements requis afin qu’elle puisse créer une mise à jour logicielle.) Le champ Nom d’hôte sert principalement à vous aider à faire la différence entre plusieurs B Series Appliances. Ce champ est également utilisé en tant qu’identificateur de serveur local lorsqu’on établit des connexions SMTP pour envoyer des alertes par e-mail. Cette option est utile lorsque le Serveur relais SMTP défini dans /appliance > Sécurité > Configuration e-mail est verrouillé. Dans ce cas, le nom d’hôte configuré doit parfois correspondre à la résolution DNS inverse de l’adresse IP de la B Series Appliance.

Assignez une passerelle par défaut, en sélectionnant le port Ethernet à utiliser. Saisissez une adresse IP pour un ou plusieurs serveurs DNS. Si le protocole DHCP est activé, le bail DHCP offre une passerelle par défaut, ainsi qu’une liste de serveurs DNS par ordre de préférence. Les serveurs DNS configurés de façon statique répertoriés dans les serveurs DNS personnalisés sont prioritaires lors des tentatives de connexion, suivis des serveur DNS provenant du DHCP. Si ces serveurs DNS locaux ne sont pas disponibles, l’option Utiliser des serveurs OpenDNS de récupération permet au B Series Appliance d’utiliser des serveurs DNS publics disponibles sur OpenDNS. Pour plus d’information à propos d'OpenDNS, rendez-vous sur www.opendns.com

Autorisez votre B Series Appliance à répondre à des commandes ping afin de tester le fonctionnement de l’hôte. Configurez le nom d’hôte ou l’adresse IP par rapport à un serveur NTP (protocole d’heure réseau) avec lequel vous souhaitez synchroniser votre B Series Appliance.

Configuration du numéro de port

Deux options sont disponibles dans la Configuration du numéro de port : Ports détectés par le serveur et Ports URL par défaut. Lors de la configuration, n’oubliez pas que les connexions à des ports valables sont susceptibles d’être rejetées en raison des restrictions liées au réseau définies dans /appliance > Sécurité > Administration de l'appliance et dans /login > Gestion > Sécurité. L’inverse est tout aussi vrai : les connexions à des ports non valables sont rejetées, même si elles satisfont aux restrictions du réseau.

La section Ports détectés par le serveur permet de définir les ports détectables par la B Series Appliance. Vous pouvez utiliser jusqu’à 15 ports séparés par la virgule pour le protocole HTTP et 15 ports séparés par la virgule pour le protocole HTTPS. Un port ne doit apparaître qu’une seule fois dans un champ, et il doit apparaître dans un seul champ, pas dans les deux champs. La B Series Appliance répond aux connexions HTTP associées aux ports répertoriés dans le champ HTTP, et la B Series Appliance répond aux connexions HTTPS associées aux ports du champ HTTPS. Il est impossible de modifier les ports d’écoute intégrés (80 et 443).

Pour accéder à la B Series Appliance sur un port donné avec un navigateur, vous devez indiquer le port dans l’URL (par exemple : support.example.com:8200). Les clients téléchargés depuis la B Series Appliance tentent de se connecter aux ports répertoriés sur la page /login > État > Information dans Ce logiciel client est paramétré pour se connecter à. Ces ports ne sont pas configurables depuis /login ou /appliance. Pour les changer, vous devez contacter l’assistance technique BeyondTrust pour qu’elle vous fournisse une nouvelle mise à jour pour votre B Series Appliance. Une fois installée, la mise à jour définit les ports de Tentative tels que définis par l’assistance technique BeyondTrust dans les paramètres de la mise à jour.

L’option Ports URL par défaut est utilisée lors de la création d’URL pointant vers la B Series Appliance, comme une clé de session générée par la console du technicien d’assistance. Lorsque les ports par défaut sont bloqués sur le réseau (ou qu’ils sont susceptibles de ne pas fonctionner pour toute autre raison), il est possible de changer les ports URL par défaut pour obtenir des URL générées par les ports que l’on souhaite. Les ports que vous saisissez doivent aussi être répertoriés dans les Ports détectés par le serveur ; dans le cas contraire, les ports par défaut ne se connectent pas. Ainsi, si vous saisissez 8080 dans le champ Ports URL par défaut, vérifiez que 8080 se trouve également dans le champ Ports détectés HTTP ou dans le champ Ports détectés HTTPS. Contrairement aux champs Ports détectés, il est impossible d’indiquer plus d’un port dans les deux champs Ports URL. Vous ne pouvez pas indiquer le même port dans les deux champs.

Modification d’une adresse IP

Lors de l’ajout ou de la modification d’une adresse IP, vous pouvez choisir d’activer ou de désactiver cette IP. Sélectionnez le port réseau pour lequel cette IP doit fonctionner. Le champ Adresse IP configure l’adresse à laquelle votre B Series Appliance peut répondre, et le champ Masque de sous-réseau permet à BeyondTrust de communiquer avec d’autres appareils.

Lorsque vous modifiez une adresse IP se trouvant sur le même sous-réseau qu’une autre adresse IP pour cette B Series Appliance, vous pouvez la définir en tant qu’adresse Principale. Lorsque cette case est cochée, la B Series Appliance la considère comme adresse IP principale ou comme adresse IP de départ pour le sous-réseau. Cette option permet, par exemple, de s’assurer que tout trafic réseau provenant de la B Series Appliance sur le sous-réseau respecte un ensemble de règles définies liées au pare-feu.

Depuis Type d’accès, vous pouvez limiter l’accès à cette IP au site public ou au client d’utilisateur. Utilisez Autoriser les deux pour permettre l’accès au site public et au client d’utilisateur.

pour limiter l’accès à l’interface /login, définissez les restrictions de réseau dans /login > Gestion > Sécurité. Pour limiter l’accès à l’interface /appliance, définissez les restrictions de réseau dans /appliance > Sécurité > Administration de l’appliance.

Configuration de l’adresse IP par défaut

Lorsque vous consultez l’adresse IP de gestion1, le menu déroulant du Serveur Telnet propose trois options : Complet, Simplifié et Désactivé (voir explications ci-dessous). Ces paramètres servent à changer les options du menu du serveur Telnet disponibles uniquement sur cette IP privée. Cette fonctionnalité peut se révéler utile dans les situations de récupération d’urgence. Dans la mesure où la fonction Telnet est liée à l’IP privée intégrée, elle n’apparaît dans aucune autre adresse IP configurée.

Paramètre Fonction
Complet Permet au serveur Telnet d’utiliser l’ensemble de ses fonctionnalités
Simplifié Offre quatre options différentes : Voir l’erreur du FIPS, Revenir aux paramètres d’usine par défaut, Éteindre et Redémarrer
Désactivé(e) Désactive complètement le serveur Telnet