ZYXEL Your Networking Ally Administration a dis- tance Série firewall Zyxel USG a partir de la version de firmware 4.10 Knowledge Base KB-3517 Octobre 2016 © Zyxel Communication Corp.ZYXEL ADMINISTRATION A DISTANCE L'USG propose différents types d’accés pour la configuration et I'administration a distance. interface web est chiffrée et sécurisée en standard par le biais d’une connexion HTTPS, la ligne de ‘commandes via SSH. Pour les travaux de maintenance, I'USG propose en plus une interface série Accés au WebGUI via HTTP/HTTPS: Un acces via navigateur web sur l'adresse IP WAN ou LAN est accept par I'USG via son port 80 {(http:/ip-adresse) ou son port 443 (hitos//ip-adresse). Le nom d'utilisateur et le mot de passe pour le compte administrateur sont par admin et 1234. Premier apercu avec le tableau de bord Aprés une connexion réussie, I'USG montre les principaux paramétres de systéme a I'aide du ta- bleau de bord individualisé. Selon les besoins, il est possible d’arranger ou de masquer les widgets Le navigateur enregistre les paramétrages en tant que cookie, pour réinitialiser 'apercu, il suffit de vider le cache du navigateur. Fae ca [wasn [7 Gewe terme spn tne veattd “Tn Fal Oe dead a ie “Tr Fa Oe dead rae ie Administration a dist 2 jossir yawZYXEL Les composants de la surface de configuration Seen name 2.) La console fournt un emplacement simple pour un termi- nal SSH install en local. Condition version Java actuelle. 1.) Laide sense au contexte fourit des aides précieuses dans tous les domaines dela configuration. _ to en serene uaeay a Wl a] ne gone aie alr etrae ca 5) treacle 1) ea ck se [eer tte Soares) 3) La fenéte CLlatfiche en lve les com- ‘andes CL équivalartas duWebGUI {7 oer tems See rere JF sowed ences rarer er es 2 orton Seb “conan ste rs ee Biome 0 fon wrens pss etc Ste may Dh Teale At age BS OOGOS088S 4) Les paramétrages des wid- {gets affchent ou masquent les widgets 5.) Le systéme de menu de IUSG permet un chan- ‘gement simple ene les pages de configuration et les pages de controle 8.3517 /SRLZYXEL Configuration > System > WWW Service contol |_Lan og Hrs Portserveur pour la connexion HTTPS enave an 5 Aumenteate om certcates (See Tuts cas emer Carine ors = Reson HTTP to HTTPS ‘amin Service Comtot Odd [8 Hen Ne PLP Pe Le Redirect transtére les cequétes http vers interface HTTPS Le HTTP-Redirect nécesste le service http pour pouvoir accepter les requetes ( Object > Certificate Xt Storage Space in Use ‘my contests Soting ees = Nane~ type sunject, sssuer va From vaste 5 “catgut SELF CMaung1TOOTUEF CNeusgi10_1070EF. 20140221 071801 GMT 202602-19021401 2 mycenae SELF chet92 150101 ONeISDY6E101 —_-aOLEUTAs1T29S4GMT 20170702 INS LC [rae Jorn > 1 stow/so ye ters enigma 1-20 Administration @ stance 5 8.3517 /SRUZYXEL Configuration > Object > Certificate > My Certificates Setting > Add © nad ty certiates a configretion a Nom du cerifcat nowellement cr ture certs Subject intomation Adresse IP de interface que le cetficat attibue au navigateur lors de I'éablssement de a connexion. @ Host Adve (azaeaana Sie certificat doit etre valable pour plusieurs interfaces, © wonton Name ‘on peut utliser un nom de domaine LLP pee et Remarque importante: Somes (ona Le Key Type plus sor de Secure Hash Algorithm SHA-2 ev Tne Tm a fest disponible & partir de la version 4.15 du micro logi- Gel. Un navigateurrécent requit d'une clé minimale de vey Lay 12s wows 2048s Estended Key Usene Server Auteneston Neco Un certficat signé sotméme n'est pas au: ie ‘thentifié par une instance publique de signa- tures et doit etre distribué manuellement en © Crete a stsines cotfeate Create 2 caticaton request and sve ically rater vanuaenvolnent Aprés ‘ouverture du certificat_nouvellement créé, on trouve l'option pour |'enregistrement. eu my Cortcates Pr Configuration tuane ican cetiteation Path ‘iin Resse ned Le certfiat enregsté avec 1a terminaison * cer simple limportulteieu. oe stbsoned x09 coete pep Parma gematin OLD. gemnet oe myCertficate.cerZYXEL La méthode d'import du certificat varie selon les systémes d'exploitation. Méme les applications peuvent varier dans leur utilisation. Tandis qu'Internet Explorer tient compte des certificats importés au niveau du systéme d’exploitation, d'autres navigateurs tels que Firefox par exemple utilisent leur propre mémoire de certificats. Si le certificat dispose d'une terminaison en *.cer, il suffit sous Windows de double-ciquer sur le fichier pour démarrer l'assistant d'import. Chaque ordinateur avec le certificat en mémoire Autorité de certification racine digne de confiance peut accéder & 'USG aprés import, sans autre message d'erreur. eo you want to open thi fie al eerste vee Soames fom Gres ipa oats nate — oer py) Sie ‘Ws ot cte sinter or the lowing pss serie Abaya fore opening thi fe en Issued (2168101 eaten onde 27]2034 8a 7132907 inaatcebet.) t eont CscR ‘Welcome tothe Certificate Import Wizard Oteatrcine pptergea aunt scent, rein atone ee Olea set te cota seb entn oecemate Bias seteaernlieaoergaw Administration a dist 7 jossir yawZYXEL Sol he te ter you were Cote aes aer at cote wei istonstysea sures oral ‘priegaapstoay sb sentne sya tlw er Onsenatedy tte anf tarbacetirte toner (eit ohanfemsntetana ae ‘Completing the Certificate Import Wizard ‘uh cde oh tes Vou about inal «cote fom ecsifcaton autho (CA) ming to reprsere swansa04 Windows cannot veidate tat the cenit eactualy rom "S2183101"You shoud confirm te gin by comeing "192166101 The lawn mum ll you ma proce ‘Turbpit (d SOS058:5AR2 aaDDSSEE BAISBEDAFFSATES Wering you natal this oot cette Windows wll atomatcly us 20) ceficate sud by this CA, Insaling a cerifcate wth on uncorfimed Sumit sesecaty ik yeuthak Ves you sstontesgts Do you wart instal this cenit) Administration @ stance 8 8.3517 /SRUZYXEL Pour que |'USG puisse aussi effectivement fournir notre nouveau certificat lors de |'établissement de la connexion, celuici doit étre sélectionné dans WW\V comme Server Certificate pour les con- nexions HTTPS. Configuration > System > WWW Service Control | Lange Hrs @ Enabie (See iusted cas) seer cement = xe Détermine quel certficat est atribué au navigateur lors de létablssement de la (9) Roget HTTP to HTTPS EM pe connexion su le WebGUI ‘amin Serves Contot "ie OM: eine Aprés un logout et l'actualisation de I'apercu, le navigateur atteste une connexion HTTPS authentifiée, chiffrée et basée sur un certificat : [e veossrmaneotan 2- ac) Sissi 4 oy ears you ae sing Goel Administration @ stance 9 8.3517 /SRUZYXEL Console SSH La console (CLI, Command Line Interface) propose I'acces complet a toutes les options de configu- ration et d'information de I'USG. En standard, le service SSH est activé. La connexion établit un programme approprié, par exemple PuTTY, disponible gratuitement pour divers. systémes d'exploitation et facile a utiliser (http:/www.chiark,greenend.org.uk/~sgtatham/putty). Configuration > System > SSH Genera etinge 1) Enabe 1 Version 1 Sener cat: dak Service Contra Ode (Est Home i a- zoe ress ation aL AL ‘eco Wi < [Page [EJots > Pi | stow/50 name aptyng tot Comme PUTTY vérifie le certificat lors de I’établissement de la connexion SSH, la premiére tentative de connexion affiche une alerte sur le certificat encore inconnu. Aprés une seule acceptation d'un certificat valable, celui-ci est placé dans le cache de PuTTY et le message n’est plus affiché ultérieu- rement, Seen Basen a ou Pu sion ert Sporty the desnatn yu rts corescs roto oa ree Careomye evr Shee ere Onna Sree SI” eines gj, Soto norma scuerac Tin Tse hey de etna one BUTT 3 ‘rhein sei meets ne Deaton [ straight Seems SEES Seen sssoe cosets Son Sete ate op Tene feu Tee Phentoe edits mer meade teseciee te ome seen erage amie, eo Bee Ropicruttes ete sadness So cues anet omlncananomerig patton sheeache nite you wane abandon te connection completly, Wit (nee Hing Caneel the ONLY grenade Cine” Stew @)dny encen et AdministraZYXEL Le login se fait avec le méme nom d’utilisateur et le méme mot de passe que dans le WebGUI B 192.168.10.1- PUTTY - =a Console Telnet Telnet représente 'alternative non chiffrée de SSH et est désactivée par défaut sur I'USG pour des raisons de sécurité. Comme sur les systémes d’exploitation actuels il faut d'abord installer le client Telnet, son utilisation n'a pratiquement plus de sens aujourd'hui Configuration > System > SS Enable Cree | zone ones ‘Aeton : ALL AL Acceot Console série interface série ne dépend pas d'un stack réseau qui fonctionne. En consequence, I'USG peut aussi établir un protocole complet du processus de démarrage. Méme si le firmware n’existe plus que de maniére erronée, on peut démarrer un processus de rétablissement avec le mode Debug. Pour la connexion, on a besoin d'un programme terminal avec l'aide du port série. Tera Term et XTerm sont deux représentants communs, mais PUTTY, qu'on utilise déja pour SSH, répond aussi cette condition préalable.ZYXEL Les paramétres de connexion sont : 115200, n, 8 1 (Baud, parité, bits de données, bits de stop). Dans Serial line il faut désélectionner linterface série utilsée de l'ordinateur. a PATTY Configuration Ey Sean os sr ou FUTY ein oot Spach desnatn you pts eames Keytoaid id oad oa cos “ie Feaae Canesin ye ison Bow Tote! O Rhoh Oss [lose epee ameal dies tn ee, Salers Secon Ceoues jolait Sating® Connection Dotan bose fae = Toe eee law Sea ‘Close window on eit rage Nev On once Bal Bown fy [cet Lorsque le processus de démarrage est terminé, la console habituelle avec toutes les fonctions du CLI est disponible sur linterface série. Si par exemple on s'exclut du systéme avec une régle de firewall trop restrictive, les commandes configure terminal et no Firewall active désactivent le firewall sans avoir 8 accéder au WebGUI B - =