Académique Documents
Professionnel Documents
Culture Documents
FORMATION EXPERT
STORMSHIELD
NETWORK
SECURITY
3
Tunnels GRE et GRETAP 244
Tunnel GRE 245
Tunnel GRETAP 258
Authentification transparente 267
Introduction 268
SPNEGO 271
Certificat SSL 279
Agent SSO (single sign-on) 285
Multi-utilisateurs 291
Haute Disponibilité 296
Principe de fonctionnement 297
Créer un Cluster 306
Rejoindre un Cluster 309
Les Menus « haute disponibilité » 312
La supervision de la haute disponibilité 318
4
Labs 321
Schéma d'architecture 323
Installation et préparation de la plateforme virtuelle 326
LAB 1: Bases de configuration 329
LAB 2: Suivi stateful en environnement routé 330
LAB 3: Configuration des objets et de la politique de NAT 332
LAB 4: Evènement de protocoles applicatifs 333
LAB 5: PKI 336
LAB 6: Proxy SSL 337
LAB 7: VPN IPSec avec certificats 338
LAB 8: Tunnels GRE et GRETAP 340
LAB 9: Authentification transparente par certificat 341
LAB 10: Haute disponibilité 342
Les images de ce document ne sont pas contractuelles, l'aspect des produits présentés
peut éventuellement varier.
Programme de la formation
7
Prévention d'intrusion
INTRODUCTION
FIREWALL, FILTRAGE, STATEFUL ET
PRÉVENTION D’INTRUSION
Programme du module
➔ Introduction
Le moteur de prévention d’intrusion Stormshield Network
L’analyse protocolaire IP
L’analyse protocolaire sur la couche transport
L’analyse applicative
L’analyse contextuelle
Les profils protocolaires et applicatifs
Stormshield Network Vulnerability Manager
Les modes d’inspection
8
Prévention d'intrusion
Comme illustré lors du LAB Filtrage de la formation CSNA, l’Ad i ist ateu
s’atta he a à décrire les flux par les critères visibles sur le premier paquet de la
communication.
Selon les paramètres usuels d’u e règle de filtrage, les critères inspectés seraient
couramment :
• l’ad esse IP source du client initiateur de la communication
• l’ad esse IP de destination du serveur sollicité
• le protocole et le port de destination sur lequel le service ciblé est accessible
Ce qui pourrait être représenté schématiquement par un taux de couverture des
couches protocolaires :
Ci-dessous, un exemple de trame commune appartenant à une communication HTTP
:
9
Prévention d'intrusion
COUCHES PROTOCOLAIRES
Ci-dessous la représentation de la couverture des couches IP (RFC 791) et TCP (RFC
793) par les critères usuels de filtrage
En-tête IPv4
pa @IPa pb @IPb
LE MOTEUR DE
PRÉVENTION D’INTRUSION
STORMSHIELD NETWORK
PRÉVENTION D’INTRUSION
Programme du module
✔ Introduction
➔ Le moteur de prévention d’intrusion Stormshield Network
L’analyse protocolaire IP
L’analyse protocolaire sur la couche transport
L’analyse applicative
L’analyse contextuelle
Les profils protocolaires et applicatifs
Stormshield Network Vulnerability Manager
Les modes d’inspection
11
Prévention d'intrusion
Signatures contextuelles
Prévention Plugins
d’intrusion
IPS
TCP, UDP, ICMP
Fragmentation
Analyse IP
Analyses IPv4, IPv6
Ces analyses sont appliquées directement sur les connexions cherchant à traverser la
pile réseau du système.
Le système de prévention d’i t usio détecte et bloque les tentatives d’atta ues des
applicatifs grâce à des analyses contextuelles et comportementales complétées par
une identification par signatures. Cette association présente deux bénéfices
majeurs :
• Il permet de réaliser un traitement préventif sur toutes les couches de
communication (du réseau à l’appli atio fournissant ainsi une réelle protection
0-day,
12
Prévention d'intrusion
Les signatures utilisées par le moteur de prévention d’i t usio SNS sont
construites pour détecter des attaques identifiables mais également leurs
variantes potentielles. À titre d’exe ple, la signature contextuelle sur une
injection SQL par une commande SELECT (http:url:decoded:95) permet de
contrer plus de 1 540 variantes d’atta ues. En plus de maintenir un espace de
stockage contenu, cette technique permet d’opti ise les temps de traitement
et propose une protection contre de futures attaques basées sur les mêmes
principes.
13
Prévention d'intrusion
L’ANALYSE
PROTOCOLAIRE IP
PRÉVENTION D’INTRUSION
Programme du module
✔ Introduction
✔ Le moteur de prévention d’intrusion Stormshield Network
➔ L’analyse protocolaire IP
L’analyse protocolaire sur la couche transport
L’analyse applicative
L’analyse contextuelle
Les profils protocolaires et applicatifs
Stormshield Network Vulnerability Manager
Les modes d’inspection
14
Prévention d'intrusion
Signatures contextuelles
Plugins
Fragmentation
Analyses
Analyses IPv4, IPv6
IP
L’a al se protocolaire IP
• Les analyses de conformité du protocole IP
• Contrôle de légitimité des sources (anti usurpation)
• La mise en quarantaine de machines ou de connexions
• La fragmentation IP
• Les attaques par fragmentation IP
15
Prévention d'intrusion
10
16
Prévention d'intrusion
11
17
Prévention d'intrusion
12
Inscription en quarantaine
Les entrées de la quarantaine (liste noire) permettent de bannir toute
communication, de manière bidirectionnelle, entre deux entités IP (hôte avec hôte,
hôte avec réseau, réseau avec réseau et même hôte ou réseau avec « Any »).
En cas d’utilisatio de cette fonctionnalité, il est prudent d’i s i e en liste
d’Ex lusio de quarantaine les machines sensibles afin de les protéger d’u e
éventuelle mise en quarantaine dynamique détaillée page suivante.
Cette liste [BlackListExclude] ’est accessible u’e mode CLI (voir article KB).
Liste blanche
Une liste blanche (WhiteList ou ByPass ASQ), à définir en CLI, permet de contourner
les contrôles ASQ pour toute communication entre les couples d’o jets déclarés.
ATTENTION : contourner l’ASQ signifie également contourner la politique de filtrage
et les opérations de NAT, ainsi que les routage assuré par le moteur IPS (PBR et LB) !
18
Prévention d'intrusion
13
La mise en quarantaine dynamique ’est effective que pour une durée limitée
choisie à l’ava e.
19
Prévention d'intrusion
• Vérification de la fragmentation
Un paquet IP doit être fragmenté par le firewall si sa taille excède la taille limite
fixée par le paramètre MTU de l’interface de sortie
Fragmentation
Fragment 1
Paquet original
Fragment 2
Fragmentation
Fragment 1 Reconstruction du paquet
Analyse
Fragment 2
Émission selon la MTU de l’interface de
sortie
14
La fragmentation IP
La taille maximale d’u paquet IP est définie par la valeur du paramètre MTU. Il s’agit
d’u paramètre IP qui permet d’adapte la taille des paquets IP aux capacités de
transport de la couche physique (Ethernet, PPPoE, …) ou à l’utilisatio de liens
spécifiques requérant l’ajout d’e -têtes (VPN IPSec avec l'ajout d'un en-tête ESP).
20
Prévention d'intrusion
Offset 0
IP HTTP
header data part 2
280 octets
Offset 600
IP HTTP
Fragment #1 : IP Header (20) + IP DATA 1 (600) = 620 octets
data part
Fragment #2 : IP Header (20) + IP DATA 2 (600) = 620 octets header 3
Fragment #3 : IP Header (20) + IP DATA 3 (280) = 300 octets
Offset 1200
15
L’optio « offset » détermine la position de chaque portion des données qui ont dû
être fragmentées.
21
Prévention d'intrusion
16
22
Prévention d'intrusion
23
Prévention d'intrusion
IP IP
header Men header Men bourrage
Fragment #1 Fragment #1
Offset 0 600 octets Offset 0 600 octets
IP IP
header bourrage ace header ace
Fragment #2 Fragment #2
Offset 900 Offset 900 18
Dans tous les cas, le moteur de prévention d’i t usio Stormshield Network bloque
le chevauchement de fragments IP.
24
Prévention d'intrusion
L’ANALYSE PROTOCOLAIRE
SUR LA COUCHE
TRANSPORT
PRÉVENTION D’INTRUSION
Programme du module
✔ Introduction
✔ Le moteur de prévention d’intrusion Stormshield Network
✔ L’analyse protocolaire IP
➔ L’analyse protocolaire sur la couche transport
L’analyse applicative
L’analyse contextuelle
Les profils protocolaires et applicatifs
Stormshield Network Vulnerability Manager
Les modes d’inspection
25
Prévention d'intrusion
Signatures contextuelles
Plugins
20
26
Prévention d'intrusion
TCP,UDP,ICMP
Table des connexions pour le suivi de leurs états
Suivi des sessions Gestion automatique des paquets réponses
Suivi des flags, des options et du séquençage TCP
Liens entre messages ICMP et connexions en cours
21
Firewall stateful
La conservation de l’ tat des sessions permet de contrôler leur conformité aux
standards de communication au fil de leurs évolutions et pendant toute leur durée
de vie. On parle de suivi « stateful » ou « plein état ». Les mécanismes et contrôles
de suivi stateful permettent, non seulement, de gérer automatiquement les paquets
réponses à destination de l’i itiateu de la connexion, mais ils préviennent
également les tentatives d’atta ues par injection de paquets, en vérifiant que le
contenu de chaque paquet est cohérent avec l’ tat de la session en cours.
27
Prévention d'intrusion
• À l ’issue du handshake TCP, la connexion passe en état data; dès lors, les
valeurs minimales et maximales des numéros de séquences des segments
TCP sont alors contrôlées et comparées avec les quantités de données
émises et acquittées, ainsi que les fenêtres TCP annoncées. La conformité
des flags TCP à l’ tat en cours est contrôlée tout au long de la connexion.
Les options TCP positionnées sont également contrôlées, puisque
certaines ne sont utilisables u’à certains moments de la connexion.
• Les flags de clôture provoquent également des changements d’ tat de la
connexion (close sur réception d’u FIN puis closed après le dernier ACK)
Les contrôles sur ICMP consistent, quant à eux, principalement à l’ide tifi atio de
session TCP/UDP en rapport avec les messages ICMP retournés. Les réponses ICMP
(echo reply) sont également corrélées aux requêtes (echo request) en attente
conservées dans la table de stateful.
Quoique bien plus basique, le protocole UDP est également traité par plusieurs états
(open ou data) pour rendre compte d’u trafic unidirectionnel ou bidirectionnel,
dans le cas d’u dialogue.
Le checksum UDP (facultatif) est vérifié lo s u’il est positionné.
Lors d’u redémarrage, une copie de la table des connexions est écrite sur le disque
dur afin que son contenu, une fois restauré, permette de continuer le suivi des
connexions après que le système ait redémarré; les connexions les moins sensibles à
une inactivité pourront alors se poursuivre.
Pour les connexions TCP, le moteur de prévention d’i t usio Stormshield Network
offre un système de réécriture des numéros de séquence avec un aléa fort. Cette
fonctionnalité permet de compenser les lacunes de certains systèmes d’exploitatio
utilisant un générateur de numéros de séquence initiaux à faible aléa. Si cette option
est activée, les numéros de séquences initiaux seront remplacés par un numéro
généré avec un niveau d’al a bien plus élevé, basé sur l’algo ith e ARC4.
Cette fonctionnalité ’est pas activée par défaut.
Elle est applicable par profil d’i spe tio .
Elle est incompatible avec le suivi de connexion en mode d’i spe tio « firewall ».
28
Prévention d'intrusion
TCP,UDP,ICMP
Parcours des règles selon leur ordonnancement strict
Règles de filtrage
Application de l’action de la première règle qui coïncide
23
Règles de filtrage
Toute nouvelle connexion est évaluée par le moteur de filtrage Stormshield Network.
Dès u’u e règle passante de filtrage correspond à la tentative de connexion, cette
dernière est autorisée et le moteur de prévention d’i t usio crée un état
permettant de démarrer le suivi de la connexion. Toute connexion qui ’est pas
explicitement autorisée par une règle de filtrage sera bloquée implicitement sans
u’il ne soit besoin de terminer la politique de filtrage par une règle de blocage et,
par défaut, sans remontée de log.
29
Prévention d'intrusion
24
Profils applicatifs
Chaque règle de filtrage est associée à un profil d’i spe tio . Il est possible de choisir
le profil d’i spe tio à utiliser pour chaque règle tel que décrit ci-dessous:
• Lo s u’au u profil ’est sélectionné, ce sont les profils d’i spe tio par défaut
qui sont utilisés.
o Le profil ENTRANT par défaut (00) s’appli ue a aux connexions provenant
d’u e adresse IP source non protégée (ou non interne),
o Le profil SORTANT par défaut (01) s’appli ue a aux connexions provenant
d’u e adresse IP source incluse dans les réseaux protégés (réseaux
internes).
• Sélection d’u profil d’i spe tio particulier qui sera utilisé pour cette règle (il
existe 8 profils d’i spe tio pouvant être utilisés à la place des profils par défaut
et dont les paramètres sont personnalisables).
• Sélection du mode IDS pour lequel le trafic correspondant à cette règle sera
inspecté sans blocage mais émettra des alarmes en cas de trafic malveillant.
• Sélection du mode Firewall pour ’appli ue aucun contrôle de conformité et ne
mettre en œuv e u’u e gestion basique du suivi d’ tat (gestion primaire
d’ouve tu e et de fermeture de connexion, mais pas de contrôle de conformité
des options ou des numéros de séquence).
30
Prévention d'intrusion
Client Serveur
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 SYN
Port source Port destination Séquence = C
Numéro de séquence
Nu o d’ac uitte e t Séquence = S SYN-ACK
Fenêtre Acquittement = C+1
Taille en-tête Réservé URG ACK PSH RST SYN FIN
Somme de contrôle Poi teu d’u ge ce
Options Remplissage Séquence = C+1
ACK
Acquittement = S+1
Données
Données
Séquence = C+1
Acquittement = S+1
• Attaques possibles sur le séquençage Réponse
Séquence = C+1+size
Acquittement = S+1+size
25
31
Prévention d'intrusion
32
Prévention d'intrusion
Couche applicative
Applicative DATA 1460 octets
Taille de trame
ethernet IP TCP C 802.3 inadaptée
header Applicative DATA R 1518 octets
header header C
27
33
Prévention d'intrusion
34
Prévention d'intrusion
profil tcpudp_01
Client MSSLimit=1452 Serveur
Syn [mss=1460] Syn [mss=1452]
29
NOTE
La modification automatique de la MSS est appliquée par les analyses TCP du profil
d’i spe tio attaché au flux. Le profil d’a al se TCP contenant ce paramètre est un
composant d’u profil d’i spe tio .
Il faut attacher ce profil d’i spe tio à la règle de filtrage qui décrit l’ ta lisse e t
de connexion dans le sens client-> serveur.
Le suivi stateful de la connexion applique la modification sur le SYN et sur la réponse
SYN+ACK.
Une fois la connexion établie, les segments TCP envoyés par les deux correspondants
sont limités à une taille correspondant à la valeur forcée par la limite MSS, puisque
chacun d’eux « pense » que l’aut e a annoncé une capacité de réception maximum
bornée à cette valeur et u’ils doivent chacun s’ conformer.
Pour le traitement de flux pris en charge par un tunnel VPN IPSec, il est conseillé de
forcer cette valeur à 1300 octets (lorsque le MTU de l’i te fa e réseau est à 1500
octets) afin de s’assu e une marge suffisante pour éviter la fragmentation.
Cette valeur couvre la majorité des cas où la limitation de la charge TCP est
nécessaire.
Il ’est généralement pas souhaitable d’appli ue une telle modification globalement
en la positionnant sur un des profils par défaut.
Un profil particulier attaché à des règles de filtrage spécifiques évite d’i pa te
l’e se le des flux et permet une gestion fine de ce besoin en limitation de la taille
des segments TCP.
35
Prévention d'intrusion
30
Lorsque le seuil est atteint, l’a tio à appliquer est conditionnée par la configuration
de l’ala e associée.
Cette fonction permet effectivement une protection des serveurs, mais en revanche,
’est pas capable de protéger l’a s au service, puisque toute nouvelle tentative de
connexion excédant le seuil est bloquée sans aucun critère de sélection.
36
Prévention d'intrusion
31
Passer la souris sur le contenu de la colonne Action pour voir les encadrés affichés
ici.
Lorsque le seuil est atteint, l’a tio à appliquer est conditionnée par la configuration
de l’ala e associée.
Cette fonction permet effectivement une protection des serveurs, mais en revanche,
’est pas capable de protéger l’a s au service, puisque toute nouvelle tentative de
connexion excédant le seuil est bloquée sans aucun critère de sélection.
37
Prévention d'intrusion
LE PROXY SYN
Configuration
par règle de
filtrage (action):
32
Le proxy SYN
Le moteur de prévention d’i t usio Stormshield Network embarque un proxy SYN
pour protéger les serveurs internes contre les attaques de type SYN-flooding.
Le proxy SYN entre en action à partir d’u certain nombre de tentatives
d’ ta lisse e t de nouvelles connexions par seconde, à définir sous la forme d’u
seuil dans le champ « Action / Qualité de Service » d’u e règle de filtrage.
Il intercepte alors l’ouve tu e de connexion SYN et répond SYN+ACK à la place du
serveur pour vérifier que le handshake est complété. Si le client répond au SYN-ACK,
la demande de connexion est considérée comme légitime. Le proxy SYN rejoue donc
la phase d’ ta lisse e t de connexion avec le serveur en se faisant passer pour le
client.
Remarque :
Le Proxy SYN ’est applicable u’e protection de machines en zone d’ad essage
interne (machines connectées directement ou indirectement aux interfaces
protégées du Firewall).
38
Prévention d'intrusion
Mise en œuv e
L’a tivatio du proxy SYN Stormshield Network se configure dans le champ
« Action » de la règle de filtrage autorisant les flux entrants à destination d’u
serveur interne, par la définition d’u e limitation en nombre d’ ta lisse e t de
nouvelles connections par seconde. Le proxy SYN ’e t e en action que lorsque
le seuil acceptable de nouvelles connexions est atteint.
Si le client annonce qu'il supporte l’optio SACK (Selective ACK) et que le cache
indique que le serveur le supporte, le proxy SYN positionne cette option lorsqu'il
usurpe le SYN+ACK en réponse au client. Lorsque le proxy SYN réplique le SYN du
client à destination du serveur, il respecte les paramètres MSS, TCP window et
window scale initialement annoncés par le client. Il fait de même lors de l'envoi
du ACK vers le serveur. Ainsi ces valeurs seront toujours en adéquation avec
celles utilisées par les deux correspondants.
Le proxy SYN ayant choisi arbitrairement le numéro de séquence initial
positionné dans son SYN+ACK, il est obligé d’assu e le maintien du différentiel
de séquençage entre les réponses u’il envoit au client et les réponses u’il
obtient du serveur interne.
39
Prévention d'intrusion
34
Les traitements tcp/udp intègrent, depuis les firmwares v2.1, des fonctions
additionnelles de limitation du nombre de connexions basée sur les adresses IP
sources.
Ces fonctions se paramètrent dans le profil des traitements tcp/udp.
Bien u’appa e e t très similaires aux fonctions de limitations du nombre de
nouvelles connexions décrites précédemment, ces mécanismes visent
principalement à fournir de l’équité d’acc s aux services exposés.
40
Prévention d'intrusion
35
Connexion fermée :
La conservation de la connexion dans la table de stateful après sa clôture vise à
permettre une éventuelle réémission du deuxième FIN+ACK dans le cas où le dernier
ACK aurait été perdu sur le chemin.
42
Prévention d'intrusion
37
43
Prévention d'intrusion
44
Prévention d'intrusion
ANALYSES ICMP
Le délai en secondes de conservation d’un état icmp est paramétrable par
profil.
39
45
Prévention d'intrusion
46
Prévention d'intrusion
Connexion
VCONN Connexion
Client <-> Firewall
Proxy <-> Serveur
80
8080
41
47
Prévention d'intrusion
Il est donc nécessaire que la connexion virtuelle soit matérialisée dans le moteur
de prévention d’i t usio . C’est le proxy qui renseigne le moteur de prévention
d’i t usio en indiquant les paramètres qui établissent le lien entre les deux
connexions réelles u’il entretient avec les deux correspondants (Cx1 avec le
client et Cx2 avec le serveur).
48
Prévention d'intrusion
L’ANALYSE
APPLICATIVE
PRÉVENTION D’INTRUSION
Programme du module
✔ Introduction
✔ Le moteur de prévention d’intrusion Stormshield Network
✔ L’analyse protocolaire IP
✔ L’analyse protocolaire sur la couche transport
➔ L’analyse applicative
L’analyse contextuelle
Les profils protocolaires et applicatifs
Stormshield Network Vulnerability Manager
Les modes d’inspection
49
Prévention d'intrusion
L’ANALYSE APPLICATIVE
Signatures contextuelles
Fragmentation
44
L’a al se applicative
• La caractérisation des flux et l’ vasio de données
• Les analyses de conformité applicative
• La gestion des connexions filles
• Les protections web 2.0
50
Prévention d'intrusion
L’ANALYSE APPLICATIVE
Plugins
Caractérisation des flux
Attachement des plugins
explicitement ou par
détection automatique
45
51
Prévention d'intrusion
46
52
Prévention d'intrusion
47
53
Prévention d'intrusion
Analyse applicative
Plugins
Dialogue protocolaire
Phases d’authentification
Typage de flux Protection contre l’évasion de données
Définition du contexte applicatif
48
55
Prévention d'intrusion
Plugins
Connexions dynamiques
Connexions filles
50
56
Prévention d'intrusion
Plugins
Gestion des trafics non conformes
Désactivation
51
La désactivation d’u plugin peut être nécessaire pour éviter des blocages en cas
d’inconformités protocolaires applicatives avérées de la part d’u serveur auquel
l’a s reste toutefois nécessaire à la production, par exemple.
57
Prévention d'intrusion
52
Cette méthode présente l’ava tage d’appa aît e de manière évidente dans la
politique de filtrage. Elle ne laisse ainsi aucune ambiguïté sur le niveau de traitement
recherché par la règle de filtrage.
58
Prévention d'intrusion
53
59
Prévention d'intrusion
54
60
Prévention d'intrusion
Plugins
Inspection de code HTML
Analyses Web 2.0
Inspection de code Javascript
55
Le web 2.0
Ce terme tente de qualifier ce que les utilisateurs attendent aujou d’hui de l’usage
de leur logiciel de navigation et des fonctionnalités offertes sur le Web (Internet en
HTTP).
L’ volutio des sites web vers des contenus enrichis, dynamiques et interactifs a
permis l’ e ge e, puis la prolifération de nouvelles techniques d’atta ues
permettant de conquérir de nouvelles cibles, dont en premier lieu les postes clients.
En effet, couplé à l’e i hisse e t du contenu HTML et à l’utilisatio de Javascript,
l’usage des réseaux sociaux et des contenus proposés par leurs utilisateurs
deviennent involontairement vecteurs de diffusion des attaques.
Un tel constat rend impératif un examen, non plus uniquement des données
protocolaires, mais également des données applicatives, ’est-à-dire des contenus
HTML/Javascript, à la recherche d’a tio s suspectes.
61
Prévention d'intrusion
Header
REPONSE
Web application
56
Le web 2.0
Ce terme tente de qualifier ce que les utilisateurs attendent aujou d’hui de l’usage
de leur logiciel de navigation et des fonctionnalités offertes sur le Web (Internet en
HTTP).
L’ volutio des sites web vers des contenus enrichis, dynamiques et interactifs a
permis l’ e ge e, puis la prolifération de nouvelles techniques d’atta ues
permettant de conquérir de nouvelles cibles, dont en premier lieu les postes clients.
62
Prévention d'intrusion
En effet, couplé à l’e i hisse e t du contenu HTML et à l’utilisatio de Javascript, l’usage des
réseaux sociaux et des contenus proposés par leurs utilisateurs deviennent involontairement
vecteurs de diffusion des attaques.
Un tel constat rend impératif un examen, non plus uniquement des données protocolaires, mais
également des données applicatives, ’est-à-dire des contenus HTML/Javascript, à la recherche
d’a tio s suspectes.
63
Prévention d'intrusion
Normalisation HTML
• Supprime les caractères de surcharge utilisés comme variante d’attaque
• Décode les caractères encodés
Exemple : A devient la caractère ‘A’
Normalisation javascript
• Analyse syntaxiquement le code javascript et identifie les variables, les
fonctions et leurs paramètres
• Réévalue chaque fonction utilisée pour modifier la valeur d’une variable
Exemple : "attacxxxxxk".replace("x", "")
La chaîne "attacxxxxxk" devient "attack"
58
Une fois que le code HTML est nettoyé, il est transmis aux contextes de signatures
(exemple : http:html:tag:attribute ou http:html:tag:content).
64
Prévention d'intrusion
L’a tio associée à la détection d’u e attaque correspondant à une signature dépend
des options de configuration activées :
- Inspecter le code HTML : la connexion est interrompue.
- Supprimer automatiquement les contenus malveillants : les attributs et les tags
HTML suspects sont supprimés de la page avant transmission au client.
- Inspecter le code JavaScript : la connexion est interrompue sur détection d’u e
fonction suspecte (traitée par les signatures http:javascript:raw et
http:javascript:stack)
Normalisation javascript
À partir des balises HTML référençant du code Javascript (<script> et js externe), le
moteur de prévention d’i t usio agit en interpréteur Javascript. Les traitements
effectués peuvent être découpés en deux parties :
▪ Normalisation simple et analyse lexicale : Ces traitements consistent à
supprimer les caractères espace en trop ainsi que les commentaires.
L’a al se lexicale permet d’ide tifie les mots clés spécifiques (eval, alert),
les chaînes de caractères et de nombres et enfin repérer les parenthèses.
▪ Normalisation des évasions : Le but de ces traitements est de remplacer le
code Javascript permettant l’ vasio de données par la donnée effective
résultant de l’ex utio du code.
À titre d’exe ple on peut noter : String.fromCharCode(), eval js’ , string
concatenate, …
65
Prévention d'intrusion
L’ANALYSE
CONTEXTUELLE
PRÉVENTION D’INTRUSION
Programme du module
✔ Introduction
✔ Le moteur de prévention d’intrusion Stormshield Network
✔ L’analyse protocolaire IP
✔ L’analyse protocolaire sur la couche transport
✔ L’analyse applicative
➔ L’analyse contextuelle
Les profils protocolaires et applicatifs
Stormshield Network Vulnerability Manager
Les modes d’inspection
66
Prévention d'intrusion
Plugins
Signatures
Contextuelles
Plugins
TCP, UDP, ICMP
Fragmentation
61
67
Prévention d'intrusion
Signatures
Contextuelles
Identification des
applications
62
68
Prévention d'intrusion
Pattern Matching
La recherche de signatures et
l’identification des applications
s’effectuent dans un contexte donné Ide tifi atio d’appli atio
63
69
Prévention d'intrusion
64
Avant d’effe tue la recherche par signature, la contexte applicatif va nettoyer les
données reçues. L’exe ple retenu est une attaque ancienne qui ne présente plus de
faille de nos jours mais qui est suffisamment simple pour illustrer le mécanisme.
Le contexte applicatif peut alors confronter les données à sa base de signatures pour
y rechercher une correspondance. Dans l’exe ple choisi, on détecte une tentative
d’appel à la commande cmd.exe, le contexte applicatif lève l’ala e
http:url:decoded:48 (tentative d’utilisatio ou d’a s à cmd.exe).
70
Prévention d'intrusion
EXEMPLES D’ÉVÈNEMENTS
http:client:header
Exploit WebDAV sur la faille ntdll.dll
Virus W32.beagle.DS : activité de vers détecté
S ta e suspecte su l’utilisatio d’u ot cl HTTP
http:client:data
XMLRPC : possible injection de code à distance
JBOSS : script Autopwn détecté
http:client:useragent
Injection de code dans le user agent HTTP
Virus : variante de SpyEye détecté
http:javascript:raw
Code javascript unescape() suspect
Exploit détecté Phoenix Kit 2,3
Exploit détecté sur HCP depuis BlackHole Kit
65
71
Prévention d'intrusion
LES PROFILS
PROTOCOLAIRES ET
APPLICATIFS
PRÉVENTION D’INTRUSION
Programme du module
✔ Introduction
✔ Le moteur de prévention d’intrusion Stormshield Network
✔ L’analyse protocolaire IP
✔ L’analyse protocolaire sur la couche transport
✔ L’analyse applicative
✔ L’analyse contextuelle
➔ Les profils protocolaires et applicatifs
Stormshield Network Vulnerability Manager
Les modes d’inspection
72
Prévention d'intrusion
Signatures contextuelles
Profils
protocolaires Plugins
et applicatifs
TCP, UDP, ICMP
Fragmentation
Analyse IP
Analyses IPv4, IPv6
67
73
Prévention d'intrusion
Un profil d’i spe tio est constitué d’u ensemble de profils protocolaires et
applicatifs. La mise en place d’u profil d’i spe tio consiste donc à choisir le type
de configuration pour les analyses protocolaires et applicatives.
Dans l’exe ple présenté, le profil d’i spe tio « (0) IPS_00 » est constitué du profil
applicatif « (0) protocol_00 » de chaque analyse protocolaire et applicative. Les
autres profils sont construits par défaut selon le même schéma.
74
Prévention d'intrusion
69
75
Prévention d'intrusion
70
Ils permettent d’appli ue les divers traitements particuliers définis dans les profils
protocolaires.
Les flux ciblés par ces traitements sont décrits par une règle de filtrage à laquelle le
profil d’i spe tio particulier est assigné.
76
Prévention d'intrusion
71
77
Prévention d'intrusion
Capture le paquet
Cette option permet de conserver dans les journaux, une copie du
responsable de la
paquet responsable de l’ v e e t. La taille des informations
remontée
dépend du modèle de votre Firewall.
d’ala e
Les v e e ts pou les uels l’a tio appa aît g is e e so t pas pa a t a les
compris en mode CLI).
78
Prévention d'intrusion
73
79
Prévention d'intrusion
Alarmes globales
La configuration de quelques alarmes est commune à tous les profils
Alarmes sensibles
74
80
Prévention d'intrusion
81
Prévention d'intrusion
Les profils d’inspection par défaut peuvent être choisis par l’administrateur.
76
Les profils par défaut ne sont attachés que lo s u’au u profil d’i spe tio
particulier ’a été spécifié dans la règle de filtrage qui autorise le flux.
82
Prévention d'intrusion
83
Prévention d'intrusion
STORMSHIELD
NETWORK
VULNERABILITY
MANAGER
PRÉVENTION D’INTRUSION
Programme du module
✔ Introduction
✔ Le moteur de prévention d’intrusion Stormshield Network
✔ L’analyse protocolaire IP
✔ L’analyse protocolaire sur la couche transport
✔ L’analyse applicative
✔ L’analyse contextuelle
✔ Les profils protocolaires et applicatifs
➔ Stormshield Network Vulnerability Manager
Les modes d’inspection
84
Prévention d'intrusion
Pattern
Plugins
ASQ
Plugins
TCP, UDP, ICMP
79
85
Prévention d'intrusion
• Vulnerability Manager
Signatures
Contextuelles
Signatures contextuelles
Vulnerability Manager
Inventaire
applicatif
Fourniture de
correctifs à appliquer
80
Les bénéfices
• Surveiller le niveau de sécurité des applications utilisant le réseau,
• Visualiser en temps réel l’i ve tai e des applications installées,
• Obtenir une classification instantanée des sévérités,
• Consulter facilement les liens vers les corrections à appliquer,
• Analyser/évaluer les risques,
• Conserver les rapports d’ v e e ts de sécurité envoyés automatiquement par
email.
86
Prévention d'intrusion
SN VULNERABILITY MANAGER
Certaines machines
peuvent être exclues
de la supervision.
81
Configuration
Les vulnérabilités étant présentes dans les journaux, la journalisation doit également
être activée. Par défaut, l’espa e disque local réservé aux vulnérabilités est de 2% de
l’espa e total de stockage des journaux.
87
Prévention d'intrusion
IDENTIFICATION ET GESTION
82
Le fonctionnement
• Le moteur de prévention Stormshield Network analyse tous les paquets de trafic
jus u’à la couche applicative.
• L’ide tifi atio de systèmes d’exploitatio est assurée d’a o d par « prise
d’e p ei te » (fingerprinting) en examinant les combinaisons de paramètres
utilisés lors des communications réseau (options TCP, valeur de MSS, …), puis elle
est complétée grâce aux informations collectées par les plugins applicatifs
(bannières, user-agent,…) en même temps que sont recensées les versions des
logiciels utilisés.
• Stormshield Network Vulnerability Manager compare alors les logiciels détectés
avec sa base de données de vulnérabilités.
• La base de vulnérabilités est maintenue quotidiennement et publiée pour une
mise à disposition par Active Update.
Les informations collectées et consolidées sont ensuite inscrites dans les logs et
consultables en temps réel. Ainsi, l’ad i ist ateu peut suivre sa politique de
sécurité, corriger les failles sur le réseau, détecter les applications interdites dans la
politique d’e t ep ise ou encore prendre en charge en temps réel les risques relatifs à
une attaque.
NOTE
Attention, si une vulnérabilité a été détectée il y a moins de 7 jours, il ’ a aucune
nouvelle remontée dans les journaux. Pour visualiser l’e se le des vulnérabilités,
afficher les journaux sur les 30 derniers jours (comme dans l’exe ple ci-dessus), ou
sur une période de temps personnalisée, de plus de 7 jours.
88
Prévention d'intrusion
ACTION ET CORRECTION
83
Rapport
Vous pouvez ajouter des colonnes aux journaux affichés pour obtenir des
informations plus détaillées.
Action et correction
• Comprendre et connaître les vulnérabilités sur les versions logicielles impactées
ainsi que la date d’appa itio (cliquer droit sur la ligne de journal ou sur ses détails
fournit un lien vers une aide en ligne et la solution corrective adéquate),
• Vérifier et identifier les vulnérabilités pour une application particulière par famille,
machine, port applicatif, etc.
89
Prévention d'intrusion
LES MODES
D’INSPECTION
PRÉVENTION D’INTRUSION
Programme du module
✔ Introduction
✔ Le moteur de prévention d’intrusion Stormshield Network
✔ L’analyse protocolaire IP
✔ L’analyse protocolaire sur la couche transport
✔ L’analyse applicative
✔ L’analyse contextuelle
✔ Les profils protocolaires et applicatifs
✔ Stormshield Network Vulnerability Manager
➔ Les modes d’inspection
90
Prévention d'intrusion
Signatures contextuelles
Modes d’i spe tio
Plugins
Fragmentation
85
91
Prévention d'intrusion
86
92
Prévention d'intrusion
Bien que le mode IPS soit sélectionné, les actions associées aux évènements étant
paramétrables, il sera possible d’obtenir une action « pass » pour les évènements
explicitement configuré ainsi.
87
93
Prévention d'intrusion
• Inspection IDS
88
94
Prévention d'intrusion
• Inspection IDS
En cas d’évènement qualifié de « sensible » (comme ci-dessus), le plugin applicatif en cours de suivi
sera détaché. Dès lors les informations de niveau applicatif ne seront plus journalisés.
Le log en fin de connexion sera de niveau « Connexion » et non plus « Protocole ».
89
95
Prévention d'intrusion
• Inspection Firewall
Pour les protocoles nécessitant une gestion de connexions filles (FTP, SIP, DCERPC), les analyses
en mode Firewall sont équivalentes à celles du mode IDS pour les canaux de contrôle. Le niveau de
journalisation obtenu pour ces connexions inclue les opérations et arguments. 90
Inspection Firewall
Le mode d’i spe tio Firewall est à définir explicitement dans la règle de filtrage.
Après acceptation du premier paquet de connexion par la règle de filtrage, il ne
procure u’u suivi basique :
• Création d’u état sur réception d’u premier paquet valide,
• Suivi de la volumétrie des données échangées dans la connexion,
• Détection de la clôture de connexion,
• Aucune levée d’ala e en cas d’ v e e t anormal.
Le suivi des connexions dans ce mode d’i spe tio est appelé « FastPath ».
Dans ce mode d’i spe tio , aucun plugin d’a al se protocolaire ’est attaché, pas
même le plugin TCP.
Il en résulte que les analyses TCP (options, fenêtres et séquençage,…) en suivi
« FastPath » NE SONT PAS EFFECTIVES. Seuls les flags Fin et Reset sont recherchés
pour une détection correcte des clôtures de connexion.
Les canaux de contrôle des protocoles applicatifs FTP, SIP et DCERPC, parce u’ils
annoncent des connexions filles dynamiques, sont nécessairement suivis par leur
plugin respectif. Ces canaux de contrôle ne sont donc pas suivis en « FastPath »,
mais tels u’ils le seraient en mode IDS, cependant sans aucune remontée d’ala e
en cas d’ v e e t non conforme.
Les connexions filles sont quant à elles suivies en mode « Fastpath ».
96
Prévention d'intrusion
RECOMMANDATIONS DE SÉCURITÉ
91
Par défaut l’IPS est actif sur toutes les règles de filtrage en mode de détection du
protocole automatique. Afin de mieux inspecter les flux il est recommandé de
qualifier manuellement le type de protocole si le port utilisé ’est pas standard. L’IPS
risquerait de ne pas détecter correctement l’appli atio .
Si des flux sains déclenchent des alarmes, il sera sûrement nécessaire de modifier les
paramètres de l’ASQ pour ne pas bloquer la production. Dans ce cas, les
modifications doivent être faites au plus spécifique. De préférence dans un profil
dédié qui sera appliqué sur les règles identifiants précisément le trafic concerné.
N’h sitez pas à remonter au support ou votre contact privilégié les cas de faux positif
en configuration par défaut.
Afin de profiter pleinement des mises à jour de la liste des signatures IPS, il faut
régulièrement approuver les nouvelles alarmes.
97
Prévention d'intrusion
92
98
INFRASTRUCTURE À
CLÉS PUBLIQUES
CSNE - STORMSHIELD NETWORK SECURITY - VERSION 4.X
Programme de la formation
99
Infrastructure à clés publiques
QU’EST CE QUE LA
CRYPTOGRAPHIE ?
INFRASTRUCTURE À CLÉS PUBLIQUES
Programme du module
100
Infrastructure à clés publiques
CRYPTOGRAPHIE
Cryptographie
Ensemble des techniques permettant la protection des données en assurant :
• Leur confidentialité
• Leur intégrité
• L’authentification des émetteurs / destinataires des données
Clé
Une clé est un opérateur permettant de réaliser une opération
cryptographique (chiffrement, déchiffrement, signature numérique,…).
Concepts
• La cryptographie se base sur des opérations mathématiques généralement
appelées algorithmes. Les informations à transmettre de manière sécurisée
sont appelées « Message » dans la suite de ce module.
• Une fois que l’op atio mathématique de chiffrement est réalisée,
l’i fo atio d’o igi e (le message) est illisible en l’ tat.
• Le principe de l’op atio de chiffrement consiste à appliquer un algorithme
qui utilise comme paramètre d’e t e une clé de chiffrement.
• Pour effectuer l’op atio de déchiffrement, il faut fournir au destinataire du
message le moyen de le déchiffrer, à savoir la clé de déchiffrement.
Exemple
• L’algo ith e choisi, à savoir un décalage de (+/-) 10 lettres utilise « 10 »
comme clé : « A vaut K » donne une clé « +10 » pour le chiffrement et induit
une clé « -10 » pour le déchiffrement (« K vaut A ») ; et la réciproque est
toujours vraie, si « K vaut A » est choisi pour le chiffrement, « A vaut K » est
utilisé pour le déchiffrement.
101
Infrastructure à clés publiques
LES TYPES DE
CHIFFREMENT
INFRASTRUCTURE À CLÉS PUBLIQUES
Programme du module
102
Infrastructure à clés publiques
TYPES DE CHIFFREMENT
• Cryptographie symétrique :
1. Génère clé secrète
2. Transmet
3. Crée Message
4. Chiffre message
5. Transmet
Alice Bob
6. Déchiffre ( )=
Chiffrement symétrique
L’exe ple de l’algo ith e (+/-) N vu avec la clé N=10 sur une diapositive
précédente est simple mais permet de mettre en lumière des éléments de
compréhension importants :
• La clé utilisée est nommée clé symétrique, puis u’il existe une relation
mathématique évidente entre la clé de chiffrement « +10 » et la clé de
déchiffrement « -10 » (le déchiffrement est l’op atio mathématique
inverse),
• Plus généralement, si la connaissance de la clé de chiffrement, et/ou de
l’algo ith e de chiffrement utilisé, permet de calculer la clé de
déchiffrement, il s’agit d’u chiffrement symétrique (ou chiffrement à clé
secrète),
• La clé secrète ou clé symétrique est ainsi assimilée à une clé identique pour
les opérations de chiffrement et de déchiffrement. Les algorithmes utilisés
sont basés sur la combinaison d’op atio s mathématiques simples, ils
offrent donc l’ava tage d’effe tue les opérations cryptographiques
rapidement.
103
Infrastructure à clés publiques
104
Infrastructure à clés publiques
TYPES DE CHIFFREMENT
• Cryptographie asymétrique
1. Génère clé privée et clé publique
Alice 2. Transmet Bob
3. Crée Message
4. Chiffre message
5. Transmet
6. Déchiffre ( )=
Chiffrement asymétrique
Lorsque la connaissance de la clé de chiffrement et de l’algo ith e utilisé ne permet
pas de calculer la clé de déchiffrement, le chiffrement est dit asymétrique (ou
chiffrement à clé publique). Par ailleurs, la clé permettant le déchiffrement de
messages ’a pas besoin d’ t e échangée.
Les opérations étant plus complexes que les algorithmes symétriques, elles
consomment plus de ressources de calcul. Par conséquent, ces algorithmes sont
généralement mis en œuv e soit pour authentifier une communication soit pour
échanger la clé secrète qui sera utilisée plus tard par un chiffrement symétrique.
Outre des tailles de clés bien plus grandes que pour la cryptographie symétrique, la
robustesse d’u procédé cryptographique asymétrique réside ainsi dans l’usage
d’u e paire de clé :
• La clé publique, libre d’a s, sert à déchiffrer des informations chiffrés
par la clé privée (signature et haché d’u message), et à chiffrer un
contenu destiné au seul détenteur de la clé privée correspondante,
• La clé privée, déployée sur un seul système, sert à déchiffrer des
informations chiffrés par la clé publique (contenu d’u message), ou à
signer le message.
Les cas d’usage correspondants sont détaillés sur les diapositives suivantes.
105
Infrastructure à clés publiques
TYPES DE CHIFFREMENT
• Chiffrement asymétrique
1. Transmet clé publique
Alice 2. Crée Message Bob
3. Chiffre message
4. Transmet
5. Déchiffre ( )=
OBJECTIFS
Authentification Authentification Vitesse de
Confidentialité Intégrité
émetteur destinataire traitement
106
Infrastructure à clés publiques
TYPES DE CHIFFREMENT
OBJECTIFS
Authentification Authentification Vitesse de
Confidentialité Intégrité
émetteur destinataire traitement
Clé de session
Pour éviter que la clé symétrique puisse être cassée (par un individu mal intentionné
écoutant les échanges de messages chiffrés), elle a une durée de vie. La clé
symétrique échangée en toute sécurité selon le mécanisme ci-dessus, est nommée
l de sessio . Lo s u’elle expi e, u e ouvelle sessio doit t e go i e.
107
Infrastructure à clés publiques
TYPES DE CHIFFREMENT
• Contrôle d’intégrité
1. Transmet clé publique
Alice 2. Crée Message Bob
3. Calcule le haché du message
4. Chiffre le message et son haché
5. Transmet [ + ]
6. Déchiffre ( [ + ])= +
7. Calcule le haché du message
8. Compare le haché calculé et le haché reçu
OBJECTIFS
Authentification Authentification Vitesse de
Confidentialité Intégrité
émetteur destinataire traitement
10
108
Infrastructure à clés publiques
TYPES DE CHIFFREMENT
• Signature numérique
1. Transmet clé publique
2. Crée Message et son haché
3. Chiffre haché (clé privée Alice)
4. Transmet +
OBJECTIFS
Authentification Authentification Vitesse de
Confidentialité Intégrité
émetteur destinataire traitement
11
Signature numérique
109
Infrastructure à clés publiques
TYPES DE CHIFFREMENT
OBJECTIFS
Authentification Authentification Vitesse de
Confidentialité Intégrité
émetteur destinataire traitement
12
0 – Alice et Bob créent chacun une bi- l as t i ue, o pos e d’u e pa tie
pu li ue l pu li ue et d’u e pa tie p iv e l p iv e ,
1 – Bob envoie sa clé publique à Alice,
2 – Alice envoie sa clé publique à Bob,
3 – Alice écrit un message pour Bob, et calcule son haché,
4 – Alice chiffre le message pour Bob avec la clé publique de ce dernier, la
confidentialité du message est assurée par le chiffrement,
5 – Alice chiffre le haché pour Bob avec sa clé privée, ce haché ne pouvant être
d hiff u’ave la l pu li ue d’Alice, l’authentification de l’é etteur du
message est assurée,
6 – Alice envoie le message, et son haché, chiffrés à Bob,
7 – Bob déchiffre le message reçu avec sa clé privée, le message chiffré avec la clé
publique de Bob e pouva t t e d hiff u’ave la l p iv e de Bob,
l’authentification du destinataire est assurée,
8 – Bob d hiff e le ha h eçu ave la l pu li ue d’Alice,
9 – Bob o pa e le ha h d hiff et le ha h al ul ave le essage eçu, s’ils
so t ide ti ues, l’intégrité du essage est assu e il ’a pas t alt lo s de so
transport).
110
Infrastructure à clés publiques
La signature numérique consiste à chiffrer le haché d’u message avec la clé privée
de l’ etteu , garantissant à la fois l’i t g it du message et l’authe tifi atio de
son émetteur. En effet, sans chiffrement du haché, une personne malveillante peut
altérer le message et recalculer son haché à partir du nouveau message. De plus, le
chiffrement effectué avec la clé publique du destinataire permet d’assu e la
confidentialité du message et l’authe tifi atio du destinataire, sa clé privée étant
utilisée pour le déchiffrement.
111
Infrastructure à clés publiques
INFRASTRUCTURES À
CLÉS PUBLIQUES
INFRASTRUCTURE À CLÉS PUBLIQUES
Programme du module
112
Infrastructure à clés publiques
15
Certificat auto-signé
1. Alice crée une bi- l as t i ue, o pos e d’u e pa tie pu li ue l
pu li ue et d’u e pa tie p iv e l p iv e ,
2. Ali e e seig e l’e se le des i fo atio s pe etta t de l’ide tifie ,
3. Alice regroupe ces informations et sa clé publique dans un fichier structuré,
4. Ali e al ule le ha h de l’e se le de es do es,
5. Alice chiffre le haché avec sa clé privée (signature numérique).
6. Le fichier obtenu est un certificat auto-signé, et contient entre autres
l’algo ith e de sig atu e utilis et les ha h s sulta ts selo les diff e ts
algo ith es hoisis lo s de l’op atio .
Le certificat auto-sig ide tifie u e pe so e da s l’exe ple i-dessus, un système
ou un équipement.
Remarquez que le champ « Subject » et le champ « Issued by » sont identiques, ce
qui est toujours le cas pour un certificat auto-signé.
Alice peut transmettre son certificat à ses correspondants, afin que ces derniers
puissent l’authe tifie , en revanche, elle ne doit jamais transmettre sa clé privée à
quiconque.
L’e se le [clé privée + certificat] représente l’ide tit numérique d’u e personne.
Inconvénients
• En cas de perte ou de vol de son ordinateur, Alice ’a plus accès à sa clé privée,
• La gestion d’u grand nombre d’utilisateu s en entreprise ne peut pas s’appu e
sur des certificats auto-signés,
• Les personnes d’u e organisation doivent avoir une relation de confiance avec
Alice pour utiliser son certificat.
113
Infrastructure à clés publiques
Détentrice de
la clé privée
3. Publie les certificats et la CRL
Certificat
d’Alice
Bob
Liste des
certificats
révoqués
(CRL)
LDAP
16
PKI
Demande externe
1 – Alice envoie une demande de certificat (CSR = Certificate Signing Request) à la
CA,
2 – La CA vérifie l’authe ti it de l’ide tit du de a deu , et et u e tifi at
signé pour Alice,
3 – La CA publie le certificat sur un annuaire, pour le rendre visible à tous..
114
Infrastructure à clés publiques
NOTE
Une CSR contient un certificat auto-signé pour faciliter le travail de
l’ad i ist ateu de la CA : vérification de l’i t g it de la demande, par
conséquent vérification de la validité de la bi-clé du demandeur (clé publique +
clé privée), la clé publique proposée dans la CSR permettant de vérifier que la
signature numérique du demandeur (décrit sur la page précédente) est correcte
115
Infrastructure à clés publiques
116
Infrastructure à clés publiques
PKI STORMSHIELD
NETWORK
INFRASTRUCTURE À CLÉS PUBLIQUES
Programme du module
117
Infrastructure à clés publiques
Authentification d’utilisateurs
1. L’utilisateu mobile, ou l’ad i ist ateu de l’i te fa e web, souhaitant
s’authe tifie auprès du firewall présente son certificat utilisateur, soit par son
navigateur web, soit par son client VPN IPsec,
2. Le firewall vérifie la validité du certificat et contrôle l’ide tit de l’utilisateu sur
le serveur LDAP,
3. Les politiques d’a s attachées à cet utilisateur peuvent alors lui être
appliquées, pour permettre l’a s aux ressources réseau internes.
118
Infrastructure à clés publiques
21
119
Infrastructure à clés publiques
Identité CA racine
Certificat sous-CA
CA racine
CA interne
Cette fonctionnalité de gestion d’u e infrastructure à clés publiques permet de
répondre à un grand nombre de cas d’usage :
• Autorité de certification racine : Le boîtier SNS permet de définir les chaînes de
confiance nécessaires à une authentification par certificat. Des autorités par
défaut sont disponibles pour signer les certificats utilisés par le proxy SSL ou livrer
les certificats nécessaires au fonctionnement du VPN SSL.
Les fonctions proposées par le boitier SNS permettent de répondre pleinement au
rôle d’auto it de certification (création de certificat de différentes natures,
signature de CSR, révocation de certificat et gestion de CRL).
• Sous-autorité de certification : il est possible de définir un boitier SNS comme
étant une sous-autorité de certification d’u e CA parente. Une fois que le
certificat de la sous-autorité est signé par l’auto it parente et importé dans le
boîtier (dans le cas d’u e CA externe), cela permet d’o ga ise plus finement la
répartition et la distribution des identités, par usages ou par entités d’u e même
entreprise.
120
Infrastructure à clés publiques
23
CA externe
Dans le cadre d’usage d’u e CA externe, les fonctionnalités proposées permettent
essentiellement d’i po te des certificats et de définir les relations de confiance
pour divers usages :
• Import de certificats d’auto it de certification.
• Import de certificats d’ uipe e ts.
• Import de certificats et de clés privés d’ uipe e ts (fichiers .p12 protégés ou
pas par mot de passe).
121
Infrastructure à clés publiques
24
La barre de recherche
Si vous recherchez un certificat ou une CA existante en particulier, saisissez son nom.
Le champ de recherche vous permet de lister tous les certificats et les CA dont le
nom correspond aux mots clés saisis.
Exemple :
Si vous saisissez la lettre « a » dans la barre de recherche, la liste en dessous fera
apparaître tous les certificats possédant un « a ».
122
Infrastructure à clés publiques
La zone de filtre
Cette zone permet de choisir le type de certificat à afficher et de ne voir que les
éléments qui vous intéressent. Un menu déroulant vous propose les choix suivants :
Ajouter une
Lance l’assista t permettant de créer une identité Smartcard
identité
dépendant d’u e autorité de certification gérée par le boitier.
Smartcard
123
Infrastructure à clés publiques
CRÉATION D’UNE
AUTORITÉ DE
CERTIFICATION
INFRASTRUCTURE À CLÉS PUBLIQUES
Programme du module
124
Infrastructure à clés publiques
27
Unité d’organisation
Branche au sein de l’o ga isatio
(OU)
Lieu (L) Ville où est située l’o ga isatio
125
Infrastructure à clés publiques
28
Choix de la taille de la clé. Plus la taille de la clé est grande, plus les
Taille des clés
opérations réalisées avec cette clé sont sécurisées.
(bits)
Il existe 4 tailles de clés possibles : 1024, 1536, 2048 et 4096 (bits)
Ce champ correspond au nombre de jours durant lesquels votre
certificat d'autorité et par conséquent votre PKI seront valides.
Validité (jours)
Une fois ce certificat expiré, tous les certificats émis sont considérés
comme invalides. Cette valeur ’est pas modifiable par la suite.
126
Infrastructure à clés publiques
29
127
Infrastructure à clés publiques
30
Nous verrons plus tard dans ce module u’il est possible de générer une identité
utilisateur directement depuis l’a uai e LDAP interne du firewall.
Dans ce cas, le choix de l’auto it signataire se porte automatiquement sur la CA
désignée par défaut.
128
Infrastructure à clés publiques
CRÉATION D’UNE
IDENTITÉ SERVEUR
INFRASTRUCTURE À CLÉS PUBLIQUES
Programme du module
129
Infrastructure à clés publiques
32
130
Infrastructure à clés publiques
33
131
Infrastructure à clés publiques
34
132
Infrastructure à clés publiques
35
133
Infrastructure à clés publiques
36
134
Infrastructure à clés publiques
CRÉATION D’UNE
IDENTITÉ UTILISATEUR
INFRASTRUCTURE À CLÉS PUBLIQUES
Programme du module
135
Infrastructure à clés publiques
38
NOTE
Une fois le certificat généré et publié par l’ad i ist ateu , l’ide tit numérique de
l’utilisateu doit lui être transmise par une voie sécurisée.
136
Infrastructure à clés publiques
39
137
Infrastructure à clés publiques
40
138
Infrastructure à clés publiques
Confirmez le mot de Retapez une seconde fois votre mot de passe dans ce champ
passe afin de le confirmer.
Ce champ indique le niveau de sécurité de votre mot de
passe : « Très Faible », « Faible », « Moyen », « Bon » ou
Force du mot de
« Excellent ».
passe
Il est fo te e t o seill d’utilise les ajus ules et les
caractères spéciaux.
139
Infrastructure à clés publiques
42
Après validation de la création, la bi-clé est générée, le certificat est signé et tous
deux sont stockés localement sur le firewall dans les objets CERTIFICATS ET PKI ; une
copie du certificat est publiée dans la base LDAP lorsque l’optio correspondante a
été demandée.
140
Infrastructure à clés publiques
43
Note
• Lorsque l’a uai e est un LDAP de type Active Directory, l’a s en lecture/écriture
utilisant un compte ayant suffisamment de droits est requis pour publier les
certificats sur l’a uai e.
141
Infrastructure à clés publiques
• Vue du
certificat dans
l’annuaire
44
142
Infrastructure à clés publiques
Programme du module
143
Infrastructure à clés publiques
46
Menu Actions
Pour une autorité de certification interne (créée sur le firewall), les actions suivantes
sont possibles :
• Créer / Renouveler la CRL : Lo s u’u e autorité de certification est créée, vous
pouvez créer la CRL, puis la renouveler ultérieurement. Le renouvellement de la
CRL est automatique sur le firewall (une fois par mois), mais pas la maintenance
des éventuels points de distribution (CRLDP) aux emplacements où ils ont été
définis.
• Supprimer la CRL : il est possible de supprimer la CRL.
• Définir comme défaut : lors de la création d’u e identité utilisateur depuis sa
fiche LDAP, l’a uai e défini par défaut est automatiquement utilisé. L’optio est
grisée dans l’exe ple ci-dessus car l’auto it de certification en surbrillance est
déjà l’auto it par défaut.
Menu Télécharger
• Certificat : le format d’expo t contient des données en base64 (.pem) ou des
données binaires (.der)
• CRL : le fichier de CRL exporté permet de maintenir les CRLDP externes (même
format d’expo t que pour les certificats).
144
Infrastructure à clés publiques
47
Menu Actions
Pour un serveur ou un utilisateur, les actions suivantes sont possibles :
• Supprimer la clé privée : l’ide tit du serveur ou de l’utilisateu est stockée sur le
firewall. Après suppression de la clé privée, il reste seulement le certificat, les
icônes utilisées sont différentes, comme illustré ci-dessus.
• Publication LDAP (utilisateur uniquement) : lorsque le certificat d’u utilisateur
est présent sur le firewall, il peut être publié sur l’a uai e, si les champs ID (login)
et adresse e-mail correspondent, comme détaillé dans le chapitre « Création d’u e
identité utilisateur ».
Menu Télécharger
• Certificat : le format d’expo t contient des données en base64 (.pem) ou des
données binaires (.der). Le fichier exporté contient le certificat du porteur mais
également les certificats des autorités présentes dans la chaîne de confiance de ce
certificat.
• Identité : l’ide tit , puis u’elle contient une clé privée, est sensible et son export
doit être protégé par un mot de passe, lequel permet de chiffrer la clé privée u’il
contient. L’ide tit est pour rappel constituée de la clé privée du porteur, de son
certificat (qui contient sa clé publique), et des certificats de la chaîne de confiance.
le fichier d’expo t est un container .pem ou un container PKCS#12 (ou .p12).
145
Infrastructure à clés publiques
RÉVOCATION DE
CERTIFICATS ET CRL
INFRASTRUCTURE À CLÉS PUBLIQUES
Programme du module
146
Infrastructure à clés publiques
49
Révoquer le certificat
1. Mettez l’utilisateu souhaité en surbrillance,
2. Cliquez sur le menu Révoquer,
3. Tapez le mot de passe de la CA et choisissez la raison de la révocation,
4. Téléchargez la CRL (ré)générée et signée par la CA dès la fin de la révocation,
5. Si une copie du certificat utilisateur est stockée dans l’a uai e LDAP, cliquez sur
le bouton Supprimer.
147
Infrastructure à clés publiques
50
L’ad i ist ateu a la responsabilité de diffuser et publier la CRL sur les points de
distribution renseignés lors de la création de l’Auto it .
ATTENTION : cette liste est vérifiée dès lors u’elle est présente sur le firewall.
ELLE DOIT TOUJOURS ÊTRE EN COURS DE VALIDITÉ.
148
Infrastructure à clés publiques
51
La vérification s’effe tue uniquement sur les URL saisies sur le firewall, et non sur les
éventuels CRLDP présents dans le certificat de la CA externe.
NOTE
Le démon VPN IPSec charon utilisé par le firewall Stormshield a la possibilité
d’effe tue dynamiquement une requête avec le protocole OCSP (Online Certificate
Status Protocol) vers le serveur hébergeant la CRL, au lieu de devoir télécharger le
fichier correspondant.
149
Infrastructure à clés publiques
RECOMMANDATIONS DE SÉCURITÉ
52
Par défaut IPSec ne vérifie pas la révocation des certificats. Pour imposer la
vérification des CRL pour le profil 1, il faut utiliser les commandes NSRPC suivantes :
config ipsec update slot=01 CRLrequired=1
config ipsec activate
Faites attention à ce que la CRL soit bien bien accessible lors de l’ ta lisse e t de la
connexion.
150
Infrastructure à clés publiques
LAB 5 – PKI
53
151
PROXY SSL
CSNE - STORMSHIELD NETWORK SECURITY – VERSION 4.X
Programme de la formation
152
Proxy SSL
FONCTIONNEMENT
PROXY SSL
Programme du module
➔ Fonctionnement
Configuration
Exemples d’utilisatio
153
Proxy SSL
TCP handshake
Server Hello
Verifying the certificate Server Certificate
presented by the server: Server Hello done
• SNI=cn ou Altnames
• Validity
• Signed by a trusted CA
Client Key Exchange: [pre-master secret]server_pub_key
Change Cipher Spec
Generate session key K Finished: [client finished]K
using pre-master secret Generate session key K
Change Cipher Spec using pre-master secret
Finished: [server finished]K
K K
Actuellement, plusieurs services réseaux (web, mail, chat, transfert de fichiers, etc.)
utilisent le protocole TLS (Transport Layer Security), plus connu par son ancien nom
SSL (Secure Sockets Layer), pour authentifier les correspondants et chiffrer leurs
communications. Le protocole TLS a été standardisé par l’IETF depuis 1999 et la
dernière version TLSv1.3 a été publiée en 2018 dans la RFC 8446. Les firewalls SNS
supportent les versions TLSv1.0, TLSv1.1 et TLSv1.2.
La figure ci-dessus détaille l’ouve tu e d’u e session TLS dans le cas d’u e connexion
HTTPS avec une authentification du serveur seulement et un échange de clés basé
sur RSA :
1. TCP Handshake : le client commence par ouvrir une connexion TCP (SYN,
SYN+ACK et ACK) à destination du serveur sur le port TCP/443.
2. Client Hello : le client initie la session TLS en envoyant une commande « Client
Hello » dans laquelle il spécifie les algorithmes cryptographiques supportés
(chiffrement, hachage, etc.), les algorithmes de compression supportés et
différentes extensions. Parmi ces extensions, le SNI (Server Name Indication)
indique le nom du serveur (URL) auquel le client souhaite se connecter.
3. Server Hello : le serveur sélectionne les algorithmes cryptographiques, les
algorithmes de compression et les extensions acceptés parmi ceux proposés par
le client et les renvoie dans la commande « Server Hello ».
154
Proxy SSL
Après l’e voi des messages Finished et leurs bonnes réceptions, le tunnel TLS est
ouvert et la transmission chiffrée des flux HTTP démarre.
NOTES : Si les contrôles effectués dans l’ tape 6 ne sont pas valides, l’ouve tu e de la
session TLS continue, mais la connexion TCP est réinitialisée par le client juste après
l’ ta lisse e t du tunnel TLS. Un message d’ave tisse e t est affiché par le
navigateur du client pour l’i fo e du problème rencontré : certificat expiré, CN
non valide, certificat auto-signé, etc. La majorité des navigateurs proposent d’ajoute
une exception qui force la connexion au site, pour cela une nouvelle session TLS est
ouverte.
Dans le cas où la session TLS est ouverte à travers un firewall, ce dernier ne peut ni
analyser ni filtrer les données transmises dans le tunnel TLS, parce u’elles sont
chiffrées. Le firewall ne peut pas calculer la clé de chiffrement/déchiffrement d’u e
session TLS parce u’il ’a pas accès à la pre-master Key qui est chiffrée avec la clé
publique du serveur que seul lui pourra déchiffrer en utilisant sa clé privée.
155
Proxy SSL
Pour pouvoir analyser les données chiffrées par un tunnel TLS, les firewalls SNS
utilisent le proxy SSL qui est positionné comme « homme du milieu (man in the
middle) » entre le client et le serveur durant l’ouve tu e de la session TLS. La figure
ci-dessus illustre les différentes étapes de l’ouve tu e d’u e session TLS pour une
connexion HTTPS au travers du proxy SSL :
156
Proxy SSL
2. Ouverture d’une nouvelle session TLS par le proxy SSL à destination du serveur :
Dans le cas où aucune entrée ’est trouvée dans le cache pour ce site, à la
réception du message client Hello qui contient le nom du serveur SNI, le proxy SSL
entame une nouvelle connexion TCP et une nouvelle session TLS à destination du
serveur.
NOTE : Lorsque l’u e des actions Passer sans déchiffrer ou Bloquer sans
déchiffrer est définie pour un SNI, le trio [IP, port, SNI] est ajouté au cache pour
appliquer l’a tio directement dans l’ tape 1 lors d’u e prochaine tentative de
connexion à ce même serveur.
157
Proxy SSL
6. Génération d’un certificat usurpé (Fake Certificate) : Si l’a tio à appliquer est
Déchiffrer ou Bloquer sans déchiffrer, le proxy génère dynamiquement un
certificat qui présente le CN du certificat du serveur distant ainsi que ses noms
alternatifs. Les principales différences dans ce certificat sont les informations de
l’ etteu et la signature effectuée par l’auto it dédiée au proxy SSL. Les
certificats usurpés présentent la même clé publique générée avec sa clé privée
au démarrage du proxy SSL. Cette bi-clé est utilisée jus u’au redémarrage du
proxy SSL. Le numéro de série des certificats usurpés est incrémenté à chaque
accès vers un nouveau serveur externe. Pour éviter, en cas d’ho loge non
synchronisée, que le certificat présenté par le proxy ne soit pas encore valide, la
date de début de validité du certificat usurpé commence une semaine avant la
date courante (champ « Not Before » du certificat).
Après l’ tape 7, le trafic est sécurisé par la session TLS 1 entre le client et le firewall
et par la session TLS 2 entre le firewall et le serveur. Ceci permet au firewall
d’appli ue les protections applicatives sur le trafic qui transite en clair entre les
deux sessions TLS.
NOTE : L’a tivatio du proxy SSL impacte les performances du firewall SNS à cause
des opérations de déchiffrement/chiffrement appliquées à chaque session TLS. Il est
recommandé de choisir un modèle SNS dimensionné correctement pour supporter
tout le trafic traversant le proxy SSL.
158
Proxy SSL
CONFIGURATION
PROXY SSL
Programme du module
✔ Fonctionnement
➔ Configuration
Exemples d’utilisatio
159
Proxy SSL
CONFIGURATION
L’e ad Support contient deux options pour définir l’a tio à appliquer (Bloquer
ou Passer sans déchiffrer) dans le cas où le déchiffrement échoue et dans le cas où
le certificat ne peut être classifié dans les catégories de la base URL (Stormshield ou
Extended Web Control).
Dans le cas où l’a s à un site est bloqué par le proxy SSL à cause d’u des contrôles
ci-dessus, l’utilisateu voit sur son navigateur un message indiquant la raison du
blocage.
160
Proxy SSL
CONFIGURATION
10
Par défaut, le proxy SSL signe les certificats usurpés avec l’auto it SSL proxy default
authority déjà présente sur le firewall. La modification de cette autorité s’effe tue
dans le menu CONFIGURATION ⇒ PROTECTION APPLICATIVE ⇒ Protocoles ⇒
SSL ⇒ Accéder à la configuration globale ⇒ onglet PROXY.
Il suffit de sélectionner la nouvelle autorité dans C.A (signe les certificats) et son
mot de passe dans Mot de passe de l'autorité.
NOTE : Si vous modifiez la CA par défaut, veillez à sauvegarder son mot de passe
dans le cas d’u e réutilisation future. Le mot de passe peut être affiché en clair en
cliquant sur l’i ô e représentant une clé.
161
Proxy SSL
CONFIGURATION
11
Lorsque le proxy SSL reçoit le certificat du serveur distant, il vérifie s’il est signé par
une autorité de confiance publique ou privée. Les autorités de confiance publiques
sont préconfigurées et elles sont mises à jour automatiquement par le module
Active Update. Elles sont accessibles depuis le menu CONFIGURATION ⇒
PROTECTION APPLICATIVE ⇒ Protocoles ⇒ SSL ⇒ Accéder à la configuration
globale ⇒ AUTORITÉS DE CERTIFICATION PUBLIQUES. L’i te fa e permet
d’a tive /d sa tive une autorité en cas de besoin.
162
Proxy SSL
CONFIGURATION
12
Si vous souhaitez faire confiance à une autorité privée (non publique), il suffit de
l’ajoute dans le menu CONFIGURATION ⇒ PROTECTION APPLICATIVE ⇒ Protocoles
⇒ SSL ⇒ Accéder à la configuration globale ⇒ AUTORITÉS DE CERTIFICATION
PERSONNALISÉES. Dans ce cas, vous faites confiance à tous les certificats signés par
cette autorité.
Par contre si vous souhaitez faire confiance à un certificat serveur seulement, vous
pouvez ajouter ce certificat dans le menu CONFIGURATION ⇒ PROTECTION
APPLICATIVE ⇒ Protocoles ⇒ SSL ⇒ Accéder à la configuration globale ⇒
CERTIFICATS DE CONFIANCE.
163
Proxy SSL
PROXY HTTPS
13
Depuis le menu CONFIGURATION ⇒ OBJETS ⇒ Objets Web, dans l’o glet NOM DE CERTIFICAT
(CN), vous pouvez créer vos propres catégories, une catégorie contient une liste de SNI, à
ajouter en respectant les suggestions.
164
Proxy SSL
PROXY HTTPS
14
Depuis le menu CONFIGURATION ⇒ OBJETS ⇒ Objets Web, dans l’o glet GROUPE DE
CATÉGORIES, vous pouvez créer et éditer vos propres groupes de catégories. Choisissez de créer
un objet de type groupe de catégories Certificats.
Un groupe de catégories peut être composé de catégories présentes dans la base (EWC ou
embarquée), mais aussi de catégories personnalisées, comme dans l’e e ple ci-dessus.
Vous pouvez utiliser les touches CTRL et SHIFT pour présélectionner plusieurs groupes avant de
les déplacer.
165
Proxy SSL
CONFIGURATION
15
• Déchiffrer : le proxy SSL établit une session TLS avec le serveur et une autre avec
le client en lui présentant le certificat usurpé.
• Bloquer sans déchiffrer : le proxy SSL ferme les connexions TCP avec le serveur et
le client après l’ ta lisse e t des sessions TLS. Le client recevra quand même le
certificat usurpé.
• Passer sans déchiffrer : le proxy SSL ferme la connexion TCP après l’ ta lisse e t
de la session TLS et ouvre une deuxième connexion TCP pour renvoyer les
commandes TLS du client.
166
Proxy SSL
NOTES :
• Pour les actions Bloquer sans déchiffrer et Passer sans déchiffrer, le trio [IP, port,
SNI] est ajouté au cache du proxy SSL pour appliquer l’a tio dès la réception du
SNI lors d’u e prochaine connexion au même serveur.
• Pour limiter l’i pa t du proxy SSL sur les performances du firewall, le filtrage SSL
peut être utilisé pour passer sans déchiffrer plusieurs sites qui ne représentent
pas une menace sur la sécurité de l’e t ep ise, par exemple les sites de mises
jours des systèmes et des logiciels.
167
Proxy SSL
CONFIGURATION
17
168
Proxy SSL
CONFIGURATION
18
Une fois le proxy SSL activé, le client qui tente de se connecter à un site HTTPS
déchiffré, voit une alerte s’affi he dans le navigateur pour l’i fo e que le certificat
reçu ’est pas signé par une autorité connue. Cette alerte s’e pli ue par le fait que le
proxy SSL envoie un certificat usurpé signé par une autorité (CA) non publique.
Pour éviter l’affi hage de cette alerte qui peut perturber les utilisateurs, il faut
installer le certificat de la CA racine utilisée par le proxy SSL dans le navigateur (pour
Firefox) ou dans le magasin de certificats du système d’e ploitatio (pour Internet
Explorer, Edge et Chrome) et la déclarer comme une autorité racine de confiance.
NOTE : Certains sites Web utilisent HSTS (HTTP Strict Transport Security), directive
présentée comme un entête de réponse envoyé par le serveur au navigateur pour
préciser que le domaine interrogé doit être visité en HTTPS uniquement (voir RFC
6797). Le projet Chromium maintient une liste des sites HSTS pré-chargés sur les
navigateurs (Chrome, Firefox et Edge l’utilise t), avec leur certificat valide. Lorsque
vous tentez de joindre un de ces sites, la méthode 1 vue ci-dessus ne fonctionnera
pas (le certificat étant usurpé, ne sera pas accepté par le navigateur).
Vous devrez utiliser les méthodes 2 ou 3 vues sur la diapositive suivante, ou vous
connecter sur un site ’utilisa t pas HSTS, pour récupérer le certificat de la CA
utilisée par le proxy SSL. Une fois le certificat de cette CA installé dans le magasin des
certificats de confiance, les sites utilisant HSTS seront accessibles via le proxy SSL.
169
Proxy SSL
CONFIGURATION
– Avec authentification :
19
170
Proxy SSL
CONFIGURATION
20
171
Proxy SSL
CONFIGURATION
21
NOTES :
• Dans un domaine Active Directory, il est plus simple d’auto atise le déploiement
du certificat de la CA par l’utilisatio des stratégies de groupe (GPO).
• Le magasin de certificats de Windows est accessible par le menu Démarrer,
Exécuter, tapez certmgr.msc.
172
Proxy SSL
EXEMPLES
D’UTILISATION
PROXY SSL
Programme du module
✔ Fonctionnement
✔ Configuration
➔ Exemples d’utilisatio
173
Proxy SSL
EXEMPLES D’UTILISATION
23
Les protections applicatives (Filtrage URL, antivirus, antispam, filtrage SMTP, etc.)
doivent être activées sur les flux déchiffrés sortants du proxy SSL : règles 2 et 3.
174
Proxy SSL
EXEMPLES D’UTILISATION
24
175
Proxy SSL
EXEMPLES D’UTILISATION
25
Dans certains cas, l’ad i ist ateu souhaite seulement bloquer certaines catégories
de sites web qui peuvent être accessibles en HTTPS et il ne souhaite pas déchiffrer
les autres flux et déployer le certificat de la CA. Pour cela, il est possible d’a tive le
proxy SSL et d’utilise le filtrage SSL seulement pour bloquer des catégories avec
l’a tio Bloquer sans déchiffrer et pour tout le reste, il faut appliquer l’a tio Passer
sans déchiffrer.
Cet exemple a été abordé en formation CSNA.
NOTE : un utilisateur, qui essaye d’a de à un site bloqué, voit le message d’ale te
affiché par le navigateur pour le problème du certificat. Et s’il décide d’ajoute une
exception, il voit un message disant que la connexion a été rejetée par le serveur
SSL. Il ne verra jamais la page de blocage qui est affichée par le filtrage URL.
176
Proxy SSL
26
177
VPN IPSEC AVANCÉ
CSNE - STORMSHIELD NETWORK SECURITY - VERSION 4.X
Programme de la formation
178
VPN IPSec avancé
RAPPELS
VPN IPSEC AVANCÉ
Programme du module
➔ Rappels
NAT- Traversal
Dead Peer Detection (DPD) Liveness
Étoile / chainage
NAT dans IPSec
Site à site avec certificats issus de plusieurs autorités
Site à site avec certificats issus d'une seule autorité
Site à site par certificats avec définition du peer id = subject
Nomade par certificat
Nomade: mode xauth (IKEv1 uniquement)
Nomade: mode hybride (IKEv1 uniquement)
Nomade: mode config
Failover IPSec
179
VPN IPSec avancé
RAPPELS
@pub A
@pub B
Réseau A
Réseau B
180
VPN IPSec avancé
RAPPELS
IKE Phase 1
IKEv1 : ISAKMP-SA
IKEv2 : PARENT-SA
IKE Phase 2
Champs chiffrés
Champs authentifiés
4
La négociation des clefs et des algorithmes est prise en charge par le protocole applicatif
ISAKMP (Internet Security Association Key Management Protocol) également appelé IKE
(Internet Key Exchange)
L’i pl e tatio ISAKMP sur Stormshield v4 est compatible IKEv1 et IKEv2.
Le tunneling IPSec est assuré par le protocole ESP (Encapsulating Security Payload)
Le protocole ESP assure l’e apsulatio , l’i t g it et le chiffrement grâce à des algorithmes et
des clefs préalablement négociées.
Les négociations sont menées par ISAKMP sur demande de la pile IPSec lorsque du trafic doit
être pris en charge et que les IPSec-SA sont manquantes ou sur le point d’expi e .
181
VPN IPSec avancé
La version d’IKE utilisée est définie au préalable et doit être la même chez les deux
correspondants.
Pour IKEv1, le mode de négociation Main ou Aggressive doit être prédéfini sur les deux
correspondants et est conditionné par :
• La méthode d’authe tifi atio : PSK ou certificat,
• Le type d’ide tit : adresse IP, FQDN, adresse email ou certificat.
Contrairement à IKEv1, IKEv2 ne négocie pas les durées de vie (lifetime) des clés. Cette
valeur est gérée localement par chacun des correspondants.
Les politiques IPSec sont chargées dans une structure du noyau du système appelée SPD
(Security Policy Database). Leur contenu est visualisable dans le menu Supervision >
Supervision > Tunnels VPN IPSec.
Les clefs négociées pour IPSec, également appelées SA, sont stockées dans une structure
du noyau appelée la SAD (Security Association Database).
Les journaux de négociations IKE sont aussi consultables dans l’i te fa e web.
NOTE : Il est possible d’utilise des correspondants IKEv1 et IKEv2 dans la même
politique IPSec. Cette possibilité est ouverte à titre expérimental. Une telle configuration
’est donc pas recommandée en production.
182
VPN IPSec avancé
NAT-TRAVERSAL
VPN IPSEC AVANCÉ
Programme du module
✔ Rappels
➔ NAT- Traversal
Dead Peer Detection (DPD) Liveness
Étoile / chainage
NAT dans IPSec
Site à site avec certificats issus de plusieurs autorités
Site à site avec certificats issus d'une seule autorité
Site à site par certificats avec définition du peer id = subject
Nomade par certificat
Nomade: mode xauth (IKEv1 uniquement)
Nomade: mode hybride (IKEv1 uniquement)
Nomade: mode config
Failover IPSec
183
VPN IPSec avancé
IKE/UDP:500 IKE/UDP:20001
IKE/UDP:500 IKE/UDP:20002
IKE/UDP:500 IKE/UDP:20003
ESP(SPI1)/IP ESP(SPI1)/IP
ESP(SPI2)/IP ESP(SPI2)/IP
ESP(SPI3)/IP ESP(SPI3)/IP
ESP(SPI1)/IP
NAT Traversal
IKE/UDP:500 IKE/UDP:20001
IKE/UDP:4500 IKE/UDP:20011
ESP(SPI1)/UDP:4500/IP ESP(SPI1)/UDP:2011/IP
IKE/UDP:500 IKE/UDP:20002
IKE/UDP:4500 IKE/UDP:20022
ESP(SPI1)/UDP:4500/IP ESP(SPI1)/UDP:2022/IP
IKE/UDP:500 IKE/UDP:20003
IKE/UDP:4500 IKE/UDP:20033
ESP(SPI1)/UDP:4500/IP ESP(SPI1)/UDP:2033/IP
Ce mécanisme ’est cependant possible que pour des protocoles reposant sur des ports,
’est-à-dire TCP et UDP.
Le protocole ESP ne fait pas usage de ports. La solution adoptée et standardisée par le
NAT-T consiste donc à procéder à une encapsulation des paquets ESP dans de l’UDP afin
d’i t odui e la notion de port qui devient alors le facteur distinctif des différents
correspondants lo s u’ils sont translatés derrière la même adresse IP.
Pour IKEv2, NAT-T est une fonctionnalité intégrée dans le standard du protocole. Elle est
donc obligatoirement supportée dans cette version d’IKE.
Pour IKEv1, l’i pl e tatio NAT-T sur les produits Stormshield Network se conforme à
la RFC3947 (Janvier 2005).
Les versions annoncées au début des négociations sont RFC3947 et NAT-T Draft 2.
184
VPN IPSec avancé
La détection de NAT entre les deux correspondants IPSec chargés de négocier le tunnel
est réalisée pendant la négociation de la phase 1.
Les deux correspondants fournissent un haché de leur adresse IP et du port source u’ils
utilisent ainsi u’u haché de l’ad esse IP du correspondant distant et du port
destination u’ils ciblent ; ces deux informations étant issues de leur configuration.
À la réception de ces informations, chacun recalcule les valeurs de haché à partir des
adresses et ports présents dans l’e veloppe IP et UDP des paquets de négociation IKE.
La comparaison montre si les hachés recalculés sont identiques ou diffèrent des hachés
transmis. Les hachés différents révèlent les côtés où du NAT est appliqué.
Puis, sur IKEv1, lo s u’il s’agi a de NAT dynamique, avec modification du port source
original :
Remote port changed (142.61.46.180[20064])
185
VPN IPSec avancé
Programme du module
✔ Rappels
✔ NAT- Traversal
➔ Dead Peer Detection (DPD) Liveness
Étoile / chainage
NAT dans IPSec
Site à site avec certificats issus de plusieurs autorités
Site à site avec certificats issus d'une seule autorité
Site à site par certificats avec définition du peer id = subject
Nomade par certificat
Nomade: mode xauth (IKEv1 uniquement)
Nomade: mode hybride (IKEv1 uniquement)
Nomade: mode config
Failover IPSec
186
VPN IPSec avancé
10
La fonction DPD vise donc à fournir à ISAKMP, un mécanisme qui permettra de vérifier la
validité de sa clef ISAKMP-SA.
La méthode retenue sur IKEv1 pour tester la validité de cette clef consiste en des
opérations de chiffrement de messages applicatifs standardisés [R-U-THERE+id] pour
lesquels des réponses [R-U-THERE-ACK+id] sont attendues chiffrées avec la même
ISAKMP-SA.
L’i pl e tatio de cette fonctionnalité sur SNS s’a o pag e de plusieurs paramètres
permettant d’adapte le comportement du DPD/Liveness aux besoins et aux spécificités
de l’a hite tu e réseau.
187
VPN IPSec avancé
Si aucune réponse ’est obtenue aux tests de DPD et que donc le seuil du nombre
d’ he s maximum est atteint, IKE considérera que le correspondant ne répond plus et
l’i di ue a par le log « Remote seems to be dead ».
Dans ce cas, toutes les IPSec-SA ainsi que la ISAKMP-SA négociées avec ce correspondant
seront purgées.
188
VPN IPSec avancé
12
La fonction Dead Peer Detection sur IKEv1 (RFC 3706) est paramétré par défaut sur
« Passif ».
• Passif : Paramétré ainsi, IKE ne sera pas à l’i itiative de tests DPD, mais répondra aux
sollicitations du correspondant.
• Bas :
o Fréquence des tests R-U-There : toutes les 600 secondes
o Temps d’atte te de la réponse : 10 secondes
o Nombre d’ he s tolérés : 5
• Haut :
o Fréquence des tests R-U-There : toutes les 30 secondes
o Temps d’atte te de la réponse : 3 secondes
o Nombre d’ he s tolérés : 5
189
VPN IPSec avancé
13
La fonction Dead Peer Detection ou Liveness sur IKEv2 est paramétrée par défaut sur
« Passif » et ’est pas désactivable puisque ’est une fonction intégrée dans le standard du
protocole IKEv2.
• Passif : Paramétré ainsi, IKE ne sera pas à l’i itiative de tests DPD, mais répondra aux
sollicitations du correspondant.
• Bas :
o Fréquence des tests : toutes les 500 secondes
o Temps d’atte te de la réponse : 4 secondes. Chaque nouvelle tentative se
produira après une attente de 1,8 x [le temps d’atte te de la tentative
précédente]
o Nombre de réémission du test : 3
• Haut :
o Fréquence des tests : toutes les 30 secondes
o Temps d’atte te (de base) de la 1ère réponse : 4 secondes. Chaque nouvelle
tentative N se produira après une attente de 1,8 x [le temps d’atte te de la
tentative précédente]
o Nombre de réémission du test : 3
190
VPN IPSec avancé
R_PUB_IP FW_PUB_IP
1
Initial Dynamic NAT Security Association Database
Priv_IP R_PUB_IP
IKE/UDP:500 IKE/UDP:20001 R_PUB_IP FW_PUB_IP
ESP/UDP:20011 ESP/UDP:4500
IKE/UDP:4500 IKE/UDP:20011
ESP/UDP:4500 ESP/UDP:20011
2
New session of Dynamic NAT
R_PUB_IP
IKE/UDP:20022
ESP/UDP:20022
14
Dans la mesure où la ISAKMP-SA est négociée et que, par conséquent, sa durée de vie est
identique sur les deux correspondants, elle ne devrait jamais disparaître sur l’u des deux
correspondants alors u’elle serait restée valide sur l’aut e.
Toutefois, en considérant un tunnel négocié entre deux correspondants A et B, pour relier
les réseaux internes Net-A et Net-B, des situations similaires pourraient se produire dans
certaines conditions.
1er scénario :
Si le correspondant B est situé derrière un équipement qui réalise une translation
dynamique; l’ad esse IP publique que le correspondant A cherchera à joindre pour les
négociations IKE ainsi que le trafic chiffré est celle portée par le routeur frontal. Si ce
routeur porte une IP dynamique et que celle-ci change, aucun des deux correspondants A
ou B ne s’e apercevra. Et la situation sera bloquée :
• A continuera d’e vo e les paquets vers l’a ie e IP publique connue pour B,
• B continuera d’e vo e ses flux chiffrés et ses éventuelles tentatives de
renégociation de phase 2 vers A, qui ignorera l’e se le de ces paquets
puis u’ils proviendront d’u e adresse IP (la nouvelle IP du routeur côté B) avec
laquelle il ’a négocié aucun tunnel.
Il existe une variante de ce 1er cas, où le routeur frontal qui applique la translation
dynamique, provoque l’expi atio de la session de NAT allouée au trafic IKE/IPSec, à cause
d’u e inactivité prolongée de ce trafic (cas illustré ci-dessus).
191
VPN IPSec avancé
2eme scénario :
Mais si aucun trafic de Net-B ne cherchait à joindre Net-A, alors B ne déclencherait pas de
négociation et la situation resterait figée :
• A ’a a t pas détecté que B ne possède plus les clefs IPSec ou ’est plus
joignable à cette IP, continuerait d’e vo e des flux que B ne pourrait pas traiter,
• B ’a a t pas de flux à acheminer vers Net-A, ne tenterait pas de rétablir la
connectivité en remontant le tunnel.
La situation décrite dans ce cas pourrait également être évitée en activant du keep-alive,
au moins sur le site B pour forcer la renégociation du tunnel.
La fonction de DPD permettra de résoudre ces deux cas en mettant en évidence que le
dialogue IKE est devenu inopérant.
Au-delà du seuil d’ he , la fonction DPD conclura « Remote seems to be dead ».
Les SA IPSec et ISAKMP négociées entre ces deux correspondants seront alors purgées.
N’i po te quel trafic entre Net-A et Net-B nécessitant l’a s au tunnel provoquera alors
des renégociations de phase 1, puis phase 2, et un nouveau tunnel IPSec sera ainsi
opérationnel.
192
VPN IPSec avancé
� = + � × �
La recherche de valeurs basses pour obtenir le délai de détection minimal ne doit pas
conduire à favoriser le risque de provoquer des faux-positifs. Car, comme nous l’avo s dit
précédemment, lorsque DPD conclut « Remote seems to be dead », les SA sont purgées,
donc les tunnels deviennent indisponibles.
Il faut donc trouver un compromis entre un délai acceptable de réactivité du DPD et des
valeurs suffisamment tolérantes pour éviter les faux-positifs.
• La latence des lignes « Internet » : si les paquets de DPD sont échangés sur des lignes à
forte latence, il est possible que la latence d’a he i e e t de la requête R-U-There
cumulée à la latence de retour de la réponse R-U-There-Ack dépasse fréquemment ou
systématiquement le temps d’atte te toléré pour la réception de la réponse. Des
latences si élevées sont majoritairement constatées sur des liens empruntant plusieurs
sauts satellites.
193
VPN IPSec avancé
ÉTOILE / CHAINAGE
VPN IPSEC AVANCÉ
Programme du module
✔ Rappels
✔ NAT- Traversal
✔ Dead Peer Detection (DPD) Liveness
➔ Étoile / chainage
NAT dans IPSec
Site à site avec certificats issus de plusieurs autorités
Site à site avec certificats issus d'une seule autorité
Site à site par certificats avec définition du peer id = subject
Nomade par certificat
Nomade: mode xauth (IKEv1 uniquement)
Nomade: mode hybride (IKEv1 uniquement)
Nomade: mode config
Failover IPSec
194
VPN IPSec avancé
CONFIGURATION EN ÉTOILE
Réseau Central
Firewall Central
Firewall A Firewall B
Réseau A Réseau B
18
L’assista t est exécuté sur le site central. Pour les autres sites ’est un simple tunnel site
à site.
195
VPN IPSec avancé
CONFIGURATION EN ÉTOILE
19
Cette topologie vise à permettre à tous les sites distants de joindre le réseau du site
Central.
Pour un usage plus confortable de cet assistant, il est conseillé de procéder au préalable
à la création de tous les objets de type machines et réseaux de la topologie, ainsi que
des correspondants IPSec.
196
VPN IPSec avancé
Réseau Central
Firewall A Firewall B
20
L’a hite tu e en étoile vue précédemment a été étendue pour permettre une
communication entre les sites distants A et B en passant par le firewall central.
Cette architecture doit être définie dans les politiques du central et des sites distants
pour permettre à IPSec d’ide tifie que le flux doit être pris en charge par un tunnel.
Lors du dialogue IKE de phase 2 avec le firewall A, le Central annonce les deux réseaux
locaux : Central + réseau B
De même, dans les négociations de phase 2 avec B, le Central annonce les deux réseaux
locaux : Central + réseau A
Si d’aut es sites distants devaient rejoindre cette architecture pour interconnecter tous
les sites, il serait plus commode de créer des groupes de réseaux, chacun excluant l’u
des réseaux.
NOTE : L’utilisatio de routage sur interfaces VTI serait une alternative avantageuse (voir
CSNA)
197
VPN IPSec avancé
Programme du module
✔ Rappels
✔ NAT- Traversal
✔ Dead Peer Detection (DPD) Liveness
✔ Étoile / chainage
➔ NAT dans IPSec
Site à site avec certificats issus de plusieurs autorités
Site à site avec certificats issus d'une seule autorité
Site à site par certificats avec définition du peer id = subject
Nomade par certificat
Nomade: mode xauth (IKEv1 uniquement)
Nomade: mode hybride (IKEv1 uniquement)
Nomade: mode config
Failover IPSec
198
VPN IPSec avancé
Réseau A Réseau B
Net- A (réel) Firewall A Firewall B
Net- B (réel)
192.168.0.0/24 192.168.0.0/24
Net-A-virtuel Net-B-virtuel
192.168.11.0/24 192.168.22.0/24
Il faudra décider d’un plan d’adressage « virtuel » qui remplacera les adresses réelles
lors des communications au travers du tunnel IPSec
22
Les cas d’usage nécessaires de cette fonction de NAT dans IPSec sont les suivants :
• Recouvrement complet ou partiel des plans d’ad essage des réseaux à relier
• Recouvrement de l’u des plans d’ad essage avec un réseau déjà connu par
l’aut e site (par exemple, un réseau joignable par le biais d’u e route statique
ou d’u autre tunnel IPSec)
• Obligation de présenter, en sortie de tunnel, une adresse spécifique imposée
par l’ad i ist ateu de l’u des sites.
Les opérations de NAT sont nativement conçues pour opérer des modifications dans les
couches de transports (IP et TCP).
Il suffit donc ici d’appli ue une opération de NAT sur l’IP source (SNAT) avant que le
datagramme ne soit envoyé dans le tunnel IPSec, puis de restituer l’ad esse IP réelle de
la cible des datagrammes provenant du tunnel en en modifiant la destination, par une
opération de DNAT.
Il faut donc d’a o d choisir judicieusement des plans d’ad essages qui serviront
d’ad esses virtuelles pour chaque réseau. Ces plans d’ad essages seront décrits par des
objets réseaux. Le masque des « réseaux virtuels » devra être le même que celui des
réseaux réels.
Les opérations de NAT devront appliquer une transformation de manière à faire
correspondre une IP du réseau virtuel à chaque adresse du réseau réel.
199
VPN IPSec avancé
La politique VPN est en accord avec les adresses qui se présenteront à IPSec
23
La méthode la plus simple pour réaliser ces transformations de type « n sur n » sera
d’utilise des translations statiques (bimap) de réseaux.
Ces règles de NAT ayant pour but de couvrir un cas spécifique, il sera préférable de les
placer en tête de politique. Il est également recommandé de les décrire avec le
maximum de critères pour s’assu e u’elles ne seront appliquées que dans les cas
spécifiques prévus; ci-dessus, le critère Net-B-Virtuel a été ajouté dans le champ
destination de la règle de SNAT et dans le champ source de la règle de DNAT, afin de les
rendre toutes deux très précises et donc très spécifiques.
200
VPN IPSec avancé
Programme du module
✔ Rappels
✔ NAT- Traversal
✔ Dead Peer Detection (DPD) Liveness
✔ Étoile / chainage
✔ NAT dans IPSec
➔ Site à site avec certificats issus de plusieurs autorités
Site à site avec certificats issus d'une seule autorité
Site à site par certificats avec définition du peer id = subject
Nomade par certificat
Nomade: mode xauth (IKEv1 uniquement)
Nomade: mode hybride (IKEv1 uniquement)
Nomade: mode config
Failover IPSec
201
VPN IPSec avancé
Réseau A Réseau B
Cn=a-team-CA Cn=b-team-CA
Ou=IT Ou=IT
O=cieA O=cieB
L=VDA L=Lyon
ST=NPdC ST=AURA
C=Fr C=Fr
25
Ce mode d’authe tifi atio des correspondants IPSec est utilisable sur IKEv1 ou IKEv2
En remplacement d’u e identité portée par une simple chaîne de caractères associée à
une clef pré-partagée, il est possible de faire représenter les identités de correspondants
IKE/IPSec par des certificats numériques.
Cette méthode présente l’ava tage d’i pose aux correspondants la détention d’u e
identité :
• Dont l’ etteu devra être une autorité de confiance (CA),
• Dont l’i t g it est vérifiable par la signature de l’auto it ,
• Dont la durée de validité est par défaut limitée dans le temps,
• Dont la validité peut être écourtée par une révocation anticipée et une
inscription en CRL,
• Dont la chaîne « Subject » pourra, optionnellement, être définie comme
contrainte obligatoire dans la description du correspondant.
En IKEv1, dans le cas particulier des clients mobiles, cette méthode d’authe tifi atio
par certificat permet également de mener les négociations en mode Main, plus sécurisé
que le mode Aggressive.
202
VPN IPSec avancé
26
Pour un tunnel site-à-site, des certificats serveurs seront bien adaptés pour identifier les
correspondants.
Dans le cas où les deux correspondants sont des entreprises distinctes, il sera possible
que chacun utilise un certificat issu de sa propre autorité. La reconnaissance de l’ide tit
du tiers sera alors basée sur la confiance accordée à l’Auto it de Certification (CA)
tierce. Il faudra donc que les deux correspondants se procurent une copie du certificat
de la CA tierce et l’i po te dans le menu Objets > Certificats et PKI.
Les deux correspondants disposent chacun d’u e identité sous la forme d’u certificat
serveur et d’u e clé privée :
• Le certificat du firewall A a été émis par la CA de l’e t ep ise A (a-team-CA),
• Le certificat du firewall B a été émis par la CA de l’e t ep ise B (b-team-CA).
• IKEv2 :
No CA found for peer certificate
NOTE : Si le certificat présenté par le correspondant est signé par une CA intermédiaire
« CA2 », cette CA2 est donc elle-même approuvée par une autorité « CA1 » de niveau
supérieur. Chacune des CA doit être explicitement déclarée autorité de confiance.
203
VPN IPSec avancé
27
Le certificat encadré ici sera celui présenté par le firewall A à son correspondant
IKE/IPSec FW_B.
204
VPN IPSec avancé
• Présenter un certificat :
– Provenant d’une CA de confiance
– Valide (date d’expiration et d’émission)
– Non inscrit dans la liste de révocation (CRL)
28
Si en revanche une CRL est présente, il est impératif que celle-ci soit en cours de validité.
Sinon, tout certificat issu de la CA correspondante sera considéré comme invalide,
puis u’il sera impossible de vérifier son inscription à la CRL qui ’a pas été renouvelée.
• Avec IKEv1 la négociation échouera avec le log : Certificate with serial A17818F7 from
issuer /C=FR/ST=here/O=a-team/OU=IT/CN=a-team-CA: CRL has expired
• Avec IKEv2 la négociation se fait mais avec un avertissement : CRL expired since Dec
25 12:02:03 2019
Référez-vous au chapitre PKI pour tout complément d’i fo atio sur l’i po t et le
maintien à jour des CRL.
205
VPN IPSec avancé
Programme du module
✔ Rappels
✔ NAT- Traversal
✔ Dead Peer Detection (DPD) Liveness
✔ Étoile / chainage
✔ NAT dans IPSec
✔ Site à site avec certificats issus de plusieurs autorités
➔ Site à site avec certificats issus d'une seule autorité
Site à site par certificats avec définition du peer id = subject
Nomade par certificat
Nomade: mode xauth (IKEv1 uniquement)
Nomade: mode hybride (IKEv1 uniquement)
Nomade: mode config
Failover IPSec
206
VPN IPSec avancé
Firewall A Firewall B
Réseau A Réseau B
Cn=a-team-CA
Ou=IT
O=cieA
L=VDA
ST=NPdC
C=Fr
30
Les deux correspondants disposent chacun d’u e identité sous la forme d’u certificat
serveur :
• Le certificat du firewall A a été émis par sa CA locale (a-team-CA)
• Le certificat du firewall B a été émis par la CA du firewall A (a-team-CA)
L’ad i ist ateu de la CA centrale peut extraire le certificat du site B dans un format
PKCS12 afin de lui transmettre de manière sécurisée.
Dès réception du conteneur PKCS12, le site B peut alors l’i po te depuis le menu
Objets > Certificats et PKI.
207
VPN IPSec avancé
Firewall A Firewall B
Réseau A Réseau B
31
Chacun des sites doit impérativement ajouter la CA centrale à la liste des autorités de
confiance. Dans le cas contraire, l’ide tit du correspondant ne pourra être approuvée.
Même si la CA centrale est locale au site A, elle doit néanmoins être ajoutée aux
autorités de confiance dans le menu VPN IPSec pour valider la chaine de parenté du
certificat présenté par le correspondant B.
• IKEv2 :
No CA found for peer certificate
208
VPN IPSec avancé
Programme du module
✔ Rappels
✔ NAT- Traversal
✔ Dead Peer Detection (DPD) Liveness
✔ Étoile / chainage
✔ NAT dans IPSec
✔ Site à site avec certificats issus de plusieurs autorités
✔ Site à site avec certificats issus d'une seule autorité
➔ Site à site par certificats avec définition du peer id = subject
Nomade par certificat
Nomade: mode xauth (IKEv1 uniquement)
Nomade: mode hybride (IKEv1 uniquement)
Nomade: mode config
Failover IPSec
209
VPN IPSec avancé
33
Le champ Subject du certificat pourra être ajouté comme contrainte obligatoire dans le
champ Peer ID de la configuration du correspondant.
Le Subject d’u certificat constitue une chaîne descriptive de l’ide tit d’u
correspondant.
Le correspondant pourrait être une machine (correspondant IPSec) ou un utilisateur
(client nomade).
Pour le cas d’u firewall, le certificat à utiliser sera préférentiellement de type « server ».
L’usage veut que dans ce cas, le sujet contiennent un CN (CommonName) qui coïncide
avec le FQDN (nom d’hôte aussi appelé nom DNS) du correspondant IPSec.
Quelque soit la syntaxe, il est possible de décrire le sujet partiellement en utilisant des
« wildcards » : C=FR/ST=Hauts-de-France/L=vda/O=trainer-new/OU=*/CN=*
NOTE :
• Toute erreur de syntaxe dans cette chaîne entraînera un défaut de chargement de la
politique et peut même conduire à l’i possi ilit de démarrer le daemon en charge
des négociations IKE pour IPSec.
• La vérification de cette contrainte sur le « Subject » ’est effectuée que par le firewall
dont le rôle dans la négociation est « responder ».
210
VPN IPSec avancé
NOMADE PAR
CERTIFICAT
VPN IPSEC AVANCÉ
Programme du module
✔ Rappels
✔ NAT- Traversal
✔ Dead Peer Detection (DPD) Liveness
✔ Étoile / chainage
✔ NAT dans IPSec
✔ Site à site avec certificats issus de plusieurs autorités
✔ Site à site avec certificats issus d'une seule autorité
✔ Site à site par certificats avec définition du peer id = subject
➔ Nomade par certificat
Nomade: mode xauth (IKEv1 uniquement)
Nomade: mode hybride (IKEv1 uniquement)
Nomade: mode config
Failover IPSec
211
VPN IPSec avancé
@pub_fw
Ressources locales
35
L’appli atio VPN Stormshield Network est disponible en téléchargement sur votre
espace privé. Une version d’essai de trente jours est incluse par défaut. Pour utiliser
l’outil sans limite de date, une licence définitive doit être souscrite.
212
VPN IPSec avancé
• Principales différences :
– type d’identité utilisée
– extrémités de tunnels et de trafic distantes
36
213
VPN IPSec avancé
1 2
37
L’ext it de trafic distante (2) est prédéfinie sur « Tous » par l’assista t. Elle est
supposée être imprévisible car, pour le cas des nomades, elle dépend de ce que le client
présentera pendant la phase 2; en fonction de sa configuration et du réseau dans lequel
il se trouve au moment de la négociation.
Tous a donc comme signification « Any » en tant u’e tit IP indéfinie ; ’est-à-dire
’i po te quelle adresse ou plan d’ad essage.
214
VPN IPSec avancé
4
38
L’i pl e tatio IKEv2 actuelle sur les firmwares Stormshield ne permet pas une
authentification en mode Hybride, ni par Certificat + Xauth.
215
VPN IPSec avancé
39
216
VPN IPSec avancé
40
En IKEv1, le mode de négociation est positionné à MAIN; le champ LocalID peut être
laissé vide car le certificat suffit à porter l’ide tit .
217
VPN IPSec avancé
41
Si la PKI est locale au firewall, l’ad i ist ateu peut exporter depuis le menu
Configuration > Objets > Certificats et PKI l’ide tit numérique du client nomade dans
un conteneur PKCS12 afin de la transmettre à l’utilisateu par une voie sécurisée.
Cette vérification permet de faire le lien avec un utilisateur existant, puis de contrôler
son droit à l’utilisatio de tunnels IPSec et enfin, de récupérer son login pour
l’authe tifie automatiquement dans l’ASQ.
Pour que la montée du tunnel (et donc l’authe tifi atio de l’utilisateu fonctionne, il
est donc impératif u’u utilisateur possédant cette adresse e-mail existe dans
l’a uai e.
218
VPN IPSec avancé
42
Le lien avec le LDAP permet (et oblige) d’auto ise les utilisateurs, globalement ou
individuellement, à négocier un tunnel IPSec.
L’ide tit de l’utilisateu est désormais connue. Il faut néanmoins s’assu e que
l’utilisateu concerné dispose du droit VPN IPSec dans le menu Droits d’accès VPN.
Si le droit ’est pas attribué (individuellement ou globalement), le log VPN User Denied
sera alors remonté.
219
VPN IPSec avancé
43
Pour les tunnels nomades, aucune règle implicite ’existe, leur IP étant par définition
imprévisible.
Il est donc nécessaire d’auto ise explicitement ces flux par des règles de filtrage.
Les règles qui permettent de définir les flux autorisés au travers du tunnel IPSec peuvent
se baser sur l’utilisateu authentifié. En effet, une fois le tunnel monté, l’utilisateu est
authentifié dans l’ASQ.
220
VPN IPSec avancé
44
Phase 1 :
• Interface : permet de spécifier l’i te fa e réseau depuis laquelle les
négociations seront menées. La valeur « Any » laissera au système le soin de
sélectionner l’i te fa e permettant de joindre la destination désignée dans le
champ Adresse routeur distant.
• Adresse routeur distant : désigne l’ad esse IP du firewall à contacter pour les
négociations IKE/IPSec.
• Certificat : identité de l’utilisateu . En sélectionnant ce choix, vous devez
importer l’ide tit (certificat + clé privée) au format PEM ou inclus dans un
conteneur PKCS12 dans le magasin de certificats du client VPN STORMSHIELD.
Le certificat est automatiquement sélectionné pour la prochaine négociation
de phase 1.
• Cryptographie : contient les paramètres souhaités pour la proposition de
phase 1.
221
VPN IPSec avancé
45
Le champ Local ID est non modifiable et grisé. Il est automatiquement renseigné par le
sujet du certificat importé précédemment.
Si le mode de négociation ’est pas équivalent à celui paramétré sur le firewall, le log
VPN « Not acceptable mode » sera levé.
222
VPN IPSec avancé
46
Phase 2 :
• Dans l’e ad Adresses :
• Adresse du client VPN : permet de spécifier l’ad esse qui sera
positionnée en source des flux du client nomade avant leur
chiffrement. Le forçage d’u e adresse sur chaque client nomade
permettra de les individualiser et rendra donc plus aisée une
corrélation des logs de connexions sur le firewall avec les logs des
serveurs auxquels les clients nomades accéderont. De plus, un choix
pertinent de cette adresse permettra aussi de limiter très largement
les risques de recouvrement de plan d’ad essage entre les réseaux
connus sur, et autour du firewall, et les réseaux à partir desquels les
clients nomades opéreront.
En effet, si cette adresse ’est pas spécifiée, le client positionnera,
comme source des flux avant encapsulation, l’ad esse IP réelle utilisée
par la machine cliente.
• Type d’adresse : indique ici une adresse réseau
• Adresse réseau distant / Masque réseau : indiquent l’ad esse et le
masque du réseau que le client joindra par le tunnel IPSec
• ESP / PFS : spécifient les paramètres de la proposition de phase 2
223
VPN IPSec avancé
IKEv1
IKEv2
47
Les logs VPN font apparaître la vérification des droits utilisateur pendant la phase 1, puis
son authentification à l’issue de la phase 2.
Il apparaît également que le client nomade a positionné l’ad esse IP 192.168.227.1 dans
sa configuration comme extrémité locale de trafic (champ Adresse du client VPN vu
précédemment).
224
VPN IPSec avancé
48
La politique IPSec pour un client nomade ’est effective et donc présente u’à partir du
moment où la phase 2 a été négociée.
L’ext it de trafic présentée par le client est l’ad esse IP qui a été forcée dans sa
configuration (si ce paramètre ’est pas spécifié, l’ad esse présentée sera l’ad esse IP
réelle du poste client).
L’ad esse e-mail du certificat présenté comme identité du client pendant la phase 1
permet de faire le lien avec le login utilisateur dans l’a uai e LDAP et de l’authe tifie
directement dans l’ASQ.
Le nom de l’utilisateu est alors associé à l’ad esse IP u’il a présentée en extrémité de
trafic lors de la phase 2.
La durée initiale de l’authe tifi atio correspond à la durée de vie de la phase 2 ’est-à-
dire des IPSec-SA).
En complément de l’authe tifi atio de l’utilisateu , une requête LDAP est envoyée pour
récupérer la liste des groupes auquel il appartient.
225
VPN IPSec avancé
Programme du module
✔ Rappels
✔ NAT- Traversal
✔ Dead Peer Detection (DPD) Liveness
✔ Étoile / chainage
✔ NAT dans IPSec
✔ Site à site avec certificats issus de plusieurs autorités
✔ Site à site avec certificats issus d'une seule autorité
✔ Site à site par certificats avec définition du peer id = subject
✔ Nomade par certificat
➔ Nomade: mode xauth (IKEv1 uniquement)
Nomade: mode hybride (IKEv1 uniquement)
Nomade: mode config
Failover IPSec
226
VPN IPSec avancé
50
Depuis Stormshield VPN Client, les informations requises par le mode Xauth peuvent
être renseignées manuellement par l’utilisateu dans un pop-up qui s’affi he lors de la
négociation de la phase IKE ou pré-remplies directement dans la configuration du client
IPSec. La méthode à privilégier reste cependant la saisie interactive du login/password.
227
VPN IPSec avancé
51
228
VPN IPSec avancé
NOMADE: MODE
HYBRIDE (IKEV1
UNIQUEMENT)
VPN IPSEC AVANCÉ
Programme du module
✔ Rappels
✔ NAT- Traversal
✔ Dead Peer Detection (DPD) Liveness
✔ Étoile / chainage
✔ NAT dans IPSec
✔ Site à site avec certificats issus de plusieurs autorités
✔ Site à site avec certificats issus d'une seule autorité
✔ Site à site par certificats avec définition du peer id = subject
✔ Nomade par certificat
✔ Nomade: mode xauth (IKEv1 uniquement)
➔ Nomade: mode hybride (IKEv1 uniquement)
Nomade: mode config
Failover IPSec
229
VPN IPSec avancé
53
Lors de la phase 1, seule la passerelle IPSec va prouver son identité au client avec un
certificat. Le client, quant à lui, prouvera son identité grâce au mode Xauth
(authentification nom d’utilisateu + mot de passe).
Sur IKEv1, le mode hybride est resté à l’ tat de draft. L’IETF le référence sous le nom
draft-ietf-IPSec-isakmp-hybrid-auth-05.txt.
Sur le firewall, la configuration du mode hybride est définie dans les paramètres du
correspondant, par le champ méthode d’authe tifi atio .
Sur le client VPN Stormshield Network, le mode hybride s’a tive dans les paramètres
avancés de la phase 1 et nécessite le mode Xauth ainsi u’u e authentification par
certificat. Même si le client ne prouve pas son identité dans ce mode, cela permet de
présenter un certificat dont le payload est vide comme le précise le draft.
En théorie, dans ce mode, le client et la passerelle sont autorisés à initier le tunnel. Dans
la pratique, le client sera toujours à l’i itiative de la négociation de la phase 1 puis u’il
s’agit d’u e configuration anonyme).
Par ailleurs, la transaction des données liées au mode Hybride, doit être initiée par la
passerelle. Cette transaction est protégée par la clef ISAKMP négociée précédemment
durant la phase 1. Si l’utilisateu ne parvient pas à s’authe tifie (mauvais mot de passe
par exemple) la SA-ISAKMP sera alors détruite.
230
VPN IPSec avancé
Programme du module
✔ Rappels
✔ NAT- Traversal
✔ Dead Peer Detection (DPD) Liveness
✔ Étoile / chainage
✔ NAT dans IPSec
✔ Site à site avec certificats issus de plusieurs autorités
✔ Site à site avec certificats issus d'une seule autorité
✔ Site à site par certificats avec définition du peer id = subject
✔ Nomade par certificat
✔ Nomade: mode xauth (IKEv1 uniquement)
✔ Nomade: mode hybride (IKEv1 uniquement)
➔ Nomade: mode config
Failover IPSec
231
VPN IPSec avancé
Ressources locales
@pub_fw
55
Le mode Config est souvent comparé à un service DHCP. Bien que cette fonction
permette de fournir une adresse IP au client IPSec ainsi que l’ad esse IP d’u éventuel
serveur DNS à joindre, son mécanisme protocolaire ne fait aucunement usage du
protocole DHCP.
Sur IKEv1, le mode Config ’est pas standardisé dans une RFC, mais est resté à l’ tat de
draft (draft-ietf-IPSec-isakmp-mode-cfg-05).
Sur IKEv2, ’est une fonctionnalité standard du protocole.
La phase de transaction des données du mode config doit impérativement s’effe tue
une fois la SA-ISAKMP établie et avant que la négociation de la SA-IPSEC ’ait
commencée, puisque cette négociation de phase 2 nécessite une extrémité de trafic. Par
conséquent, tant que le client ’a pas obtenu d’ad esse IP, il ne peut démarrer cette
phase.
232
VPN IPSec avancé
56
Si vous activez le mode config sur une politique nomade qui ’a pas été ajoutée depuis
l’assista t, un pop-up vous demandera de sélectionner le réseau nomade, comme ci-
dessous:
233
VPN IPSec avancé
57
La sélection du mode config sur le client VPN Stormshield s’effe tue depuis les
paramètres avancés de la phase 1 pour IKEv1; et pour IKEv2 dans l’o glet Child_SA par
l’optio Obtenir la configuration depuis la passerelle
Un tunnel monté créera sur le poste client une carte réseau virtuelle (VPN TGB) dont
l’ad esse IP fait partie du pool (nommé net_mode_config dans l’exe ple ci-dessus) et
dont l’ad esse IP du serveur DNS à contacter est celui annoncé par la passerelle (DNS_srv
dans l’exe ple .
234
VPN IPSec avancé
FAILOVER IPSEC
VPN IPSEC AVANCÉ
Programme du module
✔ Rappels
✔ NAT- Traversal
✔ Dead Peer Detection (DPD) Liveness
✔ Étoile / chainage
✔ NAT dans IPSec
✔ Site à site avec certificats issus de plusieurs autorités
✔ Site à site avec certificats issus d'une seule autorité
✔ Site à site par certificats avec définition du peer id = subject
✔ Nomade par certificat
✔ Nomade: mode xauth (IKEv1 uniquement)
✔ Nomade: mode hybride (IKEv1 uniquement)
✔ Nomade: mode config
➔ Failover IPSec
235
VPN IPSec avancé
@pub B1
@pub B2
@pub A
: Tunnel principal
: Tunnel de secours
Réseau A
59
Démarre alors une nouvelle négociation avec le correspondant de secours du site @pu
B , à savoir @pu B2 .
Dans la SPD, un couple d’ext it s de trafic (locale et distante) ne peut être associé
u’à un correspondant à la fois. Par conséquent, en cas de détection d’u correspondant
injoignable, la SPD est actualisée avec la nouvelle adresse IP à contacter pour monter le
tunnel.
Sur le firewall, le fichier qui est actualisé en cas de modification de la SPD est
/var/tmp/racoon.conf.
236
VPN IPSec avancé
correspondant de secours
mode de secours
activation du DPD
60
237
VPN IPSec avancé
Réseau B
@pub B1
@pub B2
@pub A
: Tunnel principal
: Tunnel de secours
Réseau A
61
Mode Temporary : Le tunnel est monté entre @pub A et @pub B (tunnel principal). Le
DPD détecte que le correspondant @pub B ’est plus joignable, la négociation bascule
entre @pub A et @pub B2 (correspondant de secours). Si le correspond @pub B est à
nouveau joignable, alors une nouvelle bascule aura lieu pour utiliser le tunnel principal.
Mode Permanent : Le tunnel est monté entre @pub A et @pub B (tunnel principal). Le
DPD détecte que le correspondant @pub B ’est plus joignable, la négociation bascule
entre @pub A et @pub B2 (correspondant de secours). Si le correspond @pub B est à
nouveau joignable, le tunnel de secours reste actif. Pour re-basculer sur le tunnel
principal, il faudrait que le DPD détecte une indisponibilité du correspondant @pub B.
238
VPN IPSec avancé
Réseau B
: Tunnel principal
@pub B
: Tunnel de secours
R1
@pub A
R2
@pub A2
Réseau A
62
Il ’est pas tout à fait correct de parler de failover IPSec en fonction de la source puisque
ce mécanisme ne dépend pas du module IPSec mais de passerelle par défaut active au
moment de la négociation (donc du module de routage).
Dans l exe ple ci-dessus, le firewall A dispose de deux adresses IP publiques (@pub A et
@pub A2). Le tunnel principal est monté entre @pubA et @pubB. L’ad i ist ateu du
site A aimerait que le tunnel se négocie entre @pubA2 et @pubB en cas de défaillance
de sa première interface publique.
Pour ce faire, il suffit d’utilise un objet routeur comme passerelle par défaut. Cet objet
aura la passerelle R1 définie en principale et R2 en secondaire.
239
VPN IPSec avancé
Avec cette configuration, la politique chargée par le moteur IPSec utiliserait l’ad esse IP
de l’i te fa e connectée à la passerelle par défaut (R1) pour négocier le tunnel. Si on
détecte que le routeur R1 ’est plus opérationnel, la route par défaut du firewall sera
modifiée par l’ad esse IP du routeur R2 et l’ext it locale de tunnel serait mise à jour
avec l’ad esse IP de l’i te fa e connectée à ce routeur (en l’o u e e @pub A2).
Pour que la SPD soit mise à jour avec la nouvelle extrémité locale de tunnel, il faut
s’assu e que la passerelle locale, dans la configuration avancée du correspondant, soit
positionnée à « Any ». Ainsi, ’est sur la table de routage que se basera la sélection de
l’i te fa e à utiliser et donc de l’ad esse IP locale à utiliser pour construire la politique et
négocier le tunnel.
Il serait également possible d’assu e partiellement du failover IPSec sur des routes de
type PBR passant par les interfaces VTI (Virtual Tunneling Interface) de deux tunnels
distincts; cette architecture implique que les correspondants possèdent chacun deux
liens Internet distincts. Les VTI seront alors désignées comme objets routeurs, la
configuration requise devient équivalente à du failover de routes; les flux pouvant passer
par l’u ou l’aut e des deux tunnels montés en permanence.
Cette configuration ne supporte cependant pas le cas où chaque firewall perdrait un lien
Internet
Vous pouvez vous référer aux chapitres Objets Routeurs et VPN IPSec de la formation
CSNA pour la manipulation de ces fonctions.
240
VPN IPSec avancé
64
Le failover sur la source et la destination en même temps ’est pas une opération
supportée. Elle est décrite dans la base de connaissances car elle peut fonctionner en
respectant toutes les conditions mais aucune aide de la part du support technique ne
sera apportée pour la mise en œuv e ou le débug de cette fonctionnalité en production.
241
VPN IPSec avancé
RECOMMANDATIONS DE SÉCURITÉ
• Activer le DPD
65
Dans une règle de filtrage en provenance d’u réseau joignable via un tunnel IPSec, il
est recommandé de toujours préciser l’optio via tunnel VPN IPSec. Sinon, on
s’expose au risque d’a epte des paquets usurpés venant d’u e autre interface.
Afin de maitriser totalement les adresses IP données aux clients nomades, il est
recommandé de les configurer systématiquement en mode config.
Afin de ne pas laisser des tunnels dans un état inconnu en cas de déconnexion du
correspondant, il est recommandé de toujours activer le DPD, au moins en mode
passif.
Par défaut, la valeur du champ DSCP est répliquée sur le paquet chiffré. En cas de
besoin de sécurité renforcée, il est recommandé de forcer sa valeur pour limiter la
divulgation d’i fo atio s.
242
VPN IPSec avancé
66
243
TUNNELS GRE ET
GRETAP
CSNE - STORMSHIELD NETWORK SECURITY - VERSION 4.X
Programme de la formation
244
Tunnels GRE et GRETAP
TUNNEL GRE
TUNNELS GRE ET GRETAP
Programme du module
➔ Tunnel GRE
Tunnel GRETAP
245
Tunnels GRE et GRETAP
PRINCIPE DE FONCTIONNEMENT
GRE_A GRE_B
OUT_A OUT_B
Network A
Network B
192.168.1.0/24 @IP_A @IP_B 192.168.2.0/24
FW A FW B
GRE (Generic Routing Encapsulation) est un protocole d’e apsulatio qui permet de
transporter un paquet de couche 3 (réseau) dans un autre paquet de la même
couche. Conçu initialement par CISCO, il est devenu par la suite un standard de l’IETF
(RFC 2784). Son identifiant de protocole est 47 et son entête est constitué de 4
octets obligatoires qui renseignent principalement sur la version du protocole GRE
(version=0) et l’ID du protocole transporté. L’e t te peut contenir en plus des
champs optionnels.
Pour configurer un tunnel GRE, une interface GRE doit être créée sur chaque firewall
(GRE_A et GRE_B). Les deux interfaces portent des adresses IP faisant partie du
même réseau « 172.18.1.0/31 ». Les extrémités du tunnel (@IP_A et @IP_B) sont
renseignées sur chaque interface.
246
Tunnels GRE et GRETAP
Pour accéder à un réseau distant via un tunnel GRE, il suffit d’ajoute des routes
statiques. Pour l’exe ple ci-dessus, une route statique doit être ajoutée sur le
firewall A pour rendre accessible le réseau B via la passerelle GRE_B « 172.18.1.1 ».
Une route statique doit être également ajoutée sur le firewall B pour rendre
accessible le réseau A via la passerelle GRE_A « 172.18.1.0 ».
Ainsi, les paquets IP du réseau interne sont encapsulés à l’i t ieu de paquets GRE
qui sont également encapsulés dans des paquets IP ayant comme adresses source et
destination les adresses IP des extrémités du tunnel.
NOTE :
• Les adresses IP des interfaces GRE ’appa aisse t pas dans l’e t te GRE, ni dans le
datagramme IP transporté par GRE, car ces interfaces agissent comme des
routeurs. Par conséquent, leurs adresses IP ne seront pas visibles dans une
capture du trafic GRE, sauf si une communication IP avait lieu avec elles ou entre
elles.
• Le routage dynamique peut être utilisé comme une alternative au routage
statique pour découvrir les réseaux accessibles via le tunnel GRE.
247
Tunnels GRE et GRETAP
PRINCIPE DE FONCTIONNEMENT
L’i te fa e GRE est configurée par défaut comme une interface externe, cependant,
elle peut être configurée comme une interface interne.
248
Tunnels GRE et GRETAP
• Firewall A
• Firewall B
La création d’u e interface GRE s’effe tue dans l’o glet INTERFACE GRE du menu
CONFIGURATION ⇒ RÉSEAU ⇒ Interfaces virtuelles. Pour cela, il faut ajouter une
ligne et configurer les champs suivants :
• État : Permet d’a tive /d sa tive l’i te fa e,
• Nom : Nom logique de l’i te fa e qui est différent du nom système (gre0, gre1,
etc),
• Adresse IP : de l’i te fa e qui doit appartenir à un plan d’ad esse privé différent
de tout autre plan d’ad essage IP déjà connu sur d’autres interfaces du firewall,
• Masque réseau : de l’i te fa e. Il est recommandé d’utilise un masque en /30
parce que le tunnel GRE est un tunnel point à point qui possède seulement deux
extrémités, par conséquent deux adresses IP seront suffisantes,
• Source du tunnel : L’ad esse IP de l’ext it locale du tunnel,
• Destination du tunnel : L’ad esse IP de l’ext it distante du tunnel.
• Protégée : Permet de configurer l’i te fa e GRE comme une interface protégée
(interne) ou publique (externe). Ce paramètre est caché par défaut.
NOTE : Depuis la V3.3.0, il est possible de configurer un réseau /31 pour les
interfaces GRE qui ’o t pas besoin des adresses réseau et broadcast.
249
Tunnels GRE et GRETAP
• Firewall A
• Firewall B
Pour permettre l’a s à un réseau distant via le tunnel GRE, il suffit de définir une
route statique vers ce réseau.
La création de la route statique s’effe tue dans l’o glet ROUTAGE STATIQUE du menu
CONFIGURATION ⇒ RÉSEAU ⇒ Routage. Les paramètres suivants doivent être
renseignés dans la route statique :
• Le réseau de destination : Correspond au réseau distant accessible via le
tunnel GRE,
• La passerelle : Correspond à l’ad esses IP de l’i te fa e GRE distante,
• Interface : Le nom de l’i te fa e GRE locale.
250
Tunnels GRE et GRETAP
• Firewall A
• Firewall B
Dans les règles de filtrage, il faut autoriser en premier le trafic GRE entrant entre les
extrémités de tunnel; le trafic sortant est autorisé par une règle implicite.
Par la ensuite, il faut autorisé le trafic des réseaux qui communiquent via le tunnel.
Pour ces dernières règles, il est conseillé de préciser les interfaces source et
destination.
En ce qui concerne la translation d’ad esse, elle est appliquée sur le trafic avant
l’e apsulatio GRE.
251
Tunnels GRE et GRETAP
172.18.1.0/31 172.18.1.1/31
GRE_A GRE_B
OUT_A OUT_B
FW A FW B
FW C
192.36.242.100/24 192.36.252.20/24
Network C
192.168.1.0/24
252
Tunnels GRE et GRETAP
172.18.1.0/31 172.18.1.1/31
GRE_A GRE_B
OUT_A OUT_B
@IP_A @IP_B
FW A FW B
TV1 : 239.1.1.200
10
Cependant, les flux multicast ne sont toujours pas routables sur Internet ce qui rend
impossible la transmission de ce type de flux entre deux sites distants. Pour faire
face à ce problème, les tunnels GRE peuvent être utilisés pour encapsuler les flux
multicast et permettre leur transmission via un réseau qui ne le supporte pas.
Dans ce cas de figure, le routage statique multicast doit être utilisé pour router le
flux multicast entre les interfaces.
253
Tunnels GRE et GRETAP
11
254
Tunnels GRE et GRETAP
GRE_A GRE_B
@IP_A @IP_B
FW A FW B
172.18.1.0/31 172.18.1.1/31
Example 2
GRE_A GRE_B
@IP_VTI_A @IP_VTI_B
12
2. Dans le cas où les extrémités de trafic du tunnel VPN IPSec sont des
interfaces VTI, il suffit de renseigner les adresses IP de ces interfaces
comme extrémités de tunnel dans les paramètres des interfaces GRE.
255
Tunnels GRE et GRETAP
13
Les captures ci-dessus illust e t la o figu atio d’u tu el GRE via un VPN IPSec
su le fi e all A selo l’exe ple 1.
256
Tunnels GRE et GRETAP
14
257
Tunnels GRE et GRETAP
TUNNEL GRETAP
TUNNELS GRE ET GRETAP
Programme du module
✔ Tunnel GRE
➔ Tunnel GRETAP
258
Tunnels GRE et GRETAP
PRINCIPE DE FONCTIONNEMENT
bridge bridge
192.168.10.253/24 Interfaces of the GRETAP tunnel 192.168.10.254/24
IN GRETAP_A GRETAP_B IN
OUT_A OUT_B
FW A FW B
16
Le protocole GRE peut être utilisé pour l’e apsulatio d’u e trame de couche 2
(Ethernet) dans un paquet de couche 3 (IP). Ceci permet d’i te o e te au niveau
2 (bridge) deux réseaux distants faisant partie du même plan d’ad essage IP comme
l’illust e la figure ci-dessus.
Pour cela, une interface GRETAP doit être créée sur chaque firewall (GRETAP_A et
GRETAP_B). Chaque interface GRETAP est incluse dans un bridge qui contient
également le réseau u’o souhaite interconnecter. Ainsi, les deux réseaux
communiquent comme s’ils étaient connectés au même bridge (switch). Les
extrémités du tunnel (@IP_A et @IP_B) sont renseignées dans les paramètres de
chaque interface GRETAP.
L’e apsulatio d’u e trame Ethernet permet au tunnel GRETAP de faire transiter
entre les deux réseaux du trafic transmis en broadcast : ARP, DHCP, NetBIOS, etc..
L’i te fa e GRETAP possède les mêmes propriétés u’u e interface Ethernet; une
vitesse de media (fictive) de 10G full-duplex et une MTU de 1462 octets.
259
Tunnels GRE et GRETAP
17
• Le nom logique de l’i te fa e qui est différent de son nom système (gretap0,
gretap1, …),
• L’i te fa e sera dans la plupart des cas incluse dans un bridge existant,
• Source et destination du tunnel représentent respectivement l’ad esse IP locale et
distante des extrémités du tunnel.
L’i te fa e GRETAP possède les mêmes paramètres u’u e interface Ethernet. Elle se
distingue seulement par les adresses IP des extrémités de tunnel qui se trouvent
dans l’e ad Adresse du tunnel GRETAP.
260
Tunnels GRE et GRETAP
18
À l’i sta d’u tunnel GRE, il faut autoriser le trafic GRE en entrée entre les
extrémités de tunnel GRETAP, une règle implicite l’auto ise en sortie. Il faut
également autoriser le trafic transmis via le tunnel GRETAP en ajoutant deux règles
de filtrage dont les critères de sources et de destination seront le plan d’ad essage IP
du réseau interne commun aux deux firewalls et connectable par le tunnel GRETAP.
Les interfaces physique « in » et GRETAP « GRETAP_INTF_A » doivent être
renseignées comme interface source respectivement pour les flux sortants et
entrants.
La translation d’ad esse est toujours appliquée sur le trafic avant encapsulation dans
le tunnel GRETAP.
261
Tunnels GRE et GRETAP
BRIDGE BRIDGE
@IP_VLAN_A @IP_VLAN_B
FW A FW B
19
L’exe ple ci-dessous illustre la transmission d’u flux GRETAP via un VLAN. Pour cela,
les extrémités de tunnel renseignées dans les paramètres des interfaces GRETAP
doivent correspondre aux adresses IP des interfaces VLAN.
262
Tunnels GRE et GRETAP
@IP_A @IP_B
FW A FW B
20
L’exe ple ci-dessous illustre la possibilité de transmettre deux VLAN via un tunnel
GRETAP. Pour chaque VLAN, il faut créer deux interfaces VLAN avec un VLAN ID
identique « VLAN1_100 » et « VLAN2_100 » qui seront rattachées respectivement
aux interfaces « IN » et « GRETAP_X ».
Cela revient à créer un bridge d’i te fa e VLAN pour chaque VLAN ID à faire transiter.
Les interfaces physique et GRETAP ne doivent pas être incluses dans le même bridge
que les interfaces vlan.
263
Tunnels GRE et GRETAP
BRIDGE BRIDGE
Example 1
IN GRETAP_A GRETAP_B IN
@IP_A @IP_B
FW A FW B
BRIDGE BRIDGE
Example 2
IN GRETAP_A GRETAP_B IN
@IP_VTI_A @IP_VTI_B
21
À l’i sta du tunnel GRE, il est possible de transmettre les flux GRETAP via un tunnel
VPN IPSec selon les mêmes configurations possibles, à savoir la méthode standard
(exemple 1) ou en utilisant les interfaces VTI (exemple 2).
264
Tunnels GRE et GRETAP
BRIDGE BRIDGE
@IP_C @IP_D
FW A FW B
22
Pour les modèles de firewall qui disposent des interfaces d’ag gatio (SN510,
SN710, SN910, SN2000, SN3000 et SN6000), il est possible d’ag ge des interfaces
GRETAP dans une même interface d’ag gatio « AGG » pour augmenter le débit
entre les deux réseaux et pour assurer une tolérance aux pannes des liens.
265
Tunnels GRE et GRETAP
23
266
AUTHENTIFICATION
TRANSPARENTE
CSNE - STORMSHIELD NETWORK SECURITY - VERSION 4.X
Programme de la formation
267
Authentification transparente
INTRODUCTION
AUTHENTIFICATION TRANSPARENTE
Programme du module
➔ Introduction
SPNEGO
Certificat SSL
Agent SSO (single sign-on)
Multi-utilisateurs
268
Authentification transparente
INTRODUCTION
Les firewalls SNS implémentent plusieurs méthodes d’authe tifi atio qui peuvent
être classées en deux catégories :
• Les méthodes explicites via le portail captif : l’utilisateu est redirigé vers le
portail captif pour saisir un couple identifiant/mot de passe. Ces derniers sont
récupérés par le firewall pour vérifier l’ide tit de l’utilisateu en fonction de la
méthode utilisée : LDAP, RADIUS et KERBEROS. Trois autres méthodes
d’authe tifi atio explicites peuvent être utilisées pour des besoins spécifiques :
compte temporaires, invités et parrainage.
• Les méthodes implicites (transparentes) : l’authe tifi atio est transparente vis-
à-vis de l’utilisateu qui ’a pas besoin de saisir son couple identifiant/mot de
passe explicitement pour accéder au réseau.
NOTES :
• Le « multi-utilisateurs » avec la méthode cookie permet à plusieurs utilisateurs de
s’authe tifie depuis la même adresse IP. Étant donné que les utilisateurs sont
distingués par des cookies dans les requêtes HTTP, cette option fonctionne
seulement pour le flux HTTP et HTTPS avec un proxy SSL actif). Elle est disponible
avec toutes les méthodes d’authe tifi atio à l’ex eptio de l’age t SSO.
269
Authentification transparente
INTRODUCTION
Chaque utilisateur d’u réseau doit retenir un nombre important de mots de passe :
pour la connexion au poste de travail, pour l’a s à sa messagerie ou pour accéder à
diverses applications. Pour certains utilisateurs la gestion de multiples mots de passe
devient vite difficile et mène à un comportement négligent :
De ce principe découlent des méthodes d’authe tifi atio dites transparentes qui
permettent à un utilisateur d’ t e authentifié sur un système sans u’il ne renseigne
la moindre donnée d’authe tifi atio . Plusieurs méthodes d authe tifi atio
transparente sont proposées sur tous les firewalls de la gamme Stormshield
Network:
• SPNEGO,
• Certificats SSL,
• Agent SSO.
270
Authentification transparente
SPNEGO
AUTHENTIFICATION TRANSPARENTE
Programme du module
✔ Introduction
➔ SPNEGO
Certificat SSL
Agent SSO (single sign-on)
Multi-utilisateurs
271
Authentification transparente
SPNEGO
• SPNEGO : introduction
Active Directory
SPNEGO est un système d’authe tifi atio dans lequel interagissent un client
connecté au domaine, un contrôleur de domaine (Microsoft Active Directory) et un
firewall Stormshield Network. Pour fonctionner, cette méthode d’authe tifi atio
s'appuie sur le proxy HTTP du firewall. Dès u’u client non authentifié ouvre son
navigateur pour joindre un site web en HTTP, la mécanique d’authe tifi atio
SPNEGO démarre afin d’authe tifie l’utilisateu de manière transparente et lui
donner accès au site.
Les données d’authe tifi atio sont transmises par le protocole Kerberos. Ce
protocole est particulièrement sensible au temps car les tickets Kerberos transmis
ont une durée de validité (date de début et date de fin). Par conséquent, veillez à ce
que l’e se le des éléments participant aux échanges soient synchronisés (la date,
l’heu e et le fuseau horaire).
Toutes les étapes d’i stallatio sont décrites dans la note technique SPNEGO
disponible sur https://documentation.stormshield.eu. Nous ne détaillerons ici que le
fonctionnement de la méthode et les paramètres à indiquer sur le firewall.
Le script « spnego.bat » est disponible via l’a ti le « Where can I find the last version
of the ''spnego.bat'' script? » dans la base de connaissances, accessible depuis votre
espace privé.
272
Authentification transparente
SPNEGO
• SPNEGO : fonctionnement
1 – Authentification sur le domaine
7
Active Directory 2 – Authentification autorisée
3 – Connexion vers un site web HTTP
4 – Redi e tio ve s le po tail d’authe tifi atio
8 5 – Le navigateur se connecte au portail
6 – Le fi e all e uie t des do es d’authe tifi atio
7 – Demande de ticket Kerberos
8 – Après vérification, envoi du ticket
1 9 – Envoi du ticket et validation par le firewall
10 – Redirection vers le proxy et accès au site
2
3
10
7
6
Fonctionnement
Toutes les étapes citées ci-dessous ne requièrent aucune action de la part du client,
exceptée l’ouve tu e d’u navigateur pour joindre en HTTP le site web u’il désire.
Étape 1 : L’utilisateu ouvre sa session sur le domaine de l’e t ep ise en tant que
USERNAME.
Étape 2 : Le contrôleur de domaine autorise l’authe tifi atio de USERNAME.
Étape 3 : L’utilisateu ouvre son navigateur WEB pour se connecter en HTTP au site
Internet de son choix.
Étape 4 : Le proxy HTTP intercepte la requête afin de rediriger le navigateur vers le
portail d’authe tifi atio . L’assista t « Règle d’authentification » dans le filtrage doit
être utilisée pour valider cette étape.
Étape 5 : Le navigateur se connecte de manière transparente au portail captif selon
le critère défini dans le menu Configuration ⇒ Système ⇒ Configuration
générale ⇒ Configuration avancée ⇒ Redirection vers le portail captif. Si ce critère
contient un nom (nom du firewall, FQDN), il faut s’assu e u’u e entrée DNS soit
créée sur le contrôleur de domaine pour résoudre ce nom.
Étape 6 : Le firewall informe le navigateur u’il doit lui fournir un ticket client
Kerberos associé à son service (SPN).
273
Authentification transparente
NOTES :
• Il ’ a pas d’i te a tio directe entre le firewall et le contrôleur de domaine.
• Assurez-vous que les horloges et la date du client, du firewall et du contrôleur de
domaine soient parfaitement synchronisées. Un écart de quelques minutes peut
entraîner un échec d’authe tifi atio (5 minutes par défaut avec un domaine
Active Directory).
274
Authentification transparente
SPNEGO
Configuration du firewall
Étape 1 : Dans le menu Configuration ⇒ Utilisateurs ⇒ Authentification ⇒
Méthodes disponibles , ajoutez la méthode SPNEGO. Les paramètres à renseigner
so t fou is lo s de l’ex utio du s ipt sp ego. at su le o t ôleu de do ai e.
Le fichier keytab est la clé permettant de déchiffrer les éléments d’authe tifi atio
transmis par le navigateur dans l’ tape 9 de la diapositive précédente. Ce fichier est
obtenu suite à l’ex utio du script spnego.bat.
Étape 2 : Dans l’o glet POLITIQUE D’AUTHENTIFICATION, ajoutez une règle qui
définit la méthode SPNEGO en précisant les utilisateurs et la source des connexions.
Dans le cas où la méthode SPNEGO est utilisée, et si le lien vers l’a uai e ’est pas
encore configuré sur le SNS, le domaine none peut être utilisé.
275
Authentification transparente
SPNEGO
10
Étape 3 : Dans l’o glet PORTAIL CAPTIF, attachez le profil d’authe tifi atio
internal à l’i te fa e depuis la quelle se connecteront les utilisateurs, dans l’exe ple
ci-dessus, ’est l’i te fa e « IN ».
Étape 4 : Dans l’o glet PROFILS DU PORTAIL CAPTIF, dans le profil internal,
sélectionnez l’a uai e qui sera utilisé par défaut et qui doit correspondre à
l’a uai e renseigné sur la règle d’authe tifi atio . Vérifiez dans les propriétés
avancées que la case Activer le portail captif est bien cochée.
276
Authentification transparente
SPNEGO
11
277
Authentification transparente
SPNEGO
12
Pour mettre en œuv e ceci sur le firewall, rendez vous dans le menu Configuration
⇒ Objets ⇒ Certificats et PKI, ajoutez une autorité racine puis une identité serveur
dont le nom remplacera FW-NOMDNS dans l’URL (my.company.com dans l’exe ple
ci-dessus). Ensuite, personnalisez le portail captif afin de présenter le certificat
correspondant à cette identité plutôt que le numéro de série du firewall. Pour cela,
rendez vous dans le menu Configuration ⇒ Utilisateurs ⇒ Authentification ⇒
Portail Captif » puis sélectionnez l’ide tit créée précédemment dans le champ
« Certificat (clé privée) ».
NOTE : Pour plus de détails sur la création d’ide tit s ou d’auto it s de certification,
veuillez vous reporter au chapitre PKI.
278
Authentification transparente
CERTIFICAT SSL
AUTHENTIFICATION TRANSPARENTE
Programme du module
✔ Introduction
✔ SPNEGO
➔ Certificat SSL
Agent SSO (single sign-on)
Multi-utilisateurs
279
Authentification transparente
CERTIFICAT SSL
• Configuration : étape 1
• Configuration : étape 2
14
Introduction
La création de certificats SSL sur les SNS nécessite une CA. Pour toutes les
fonctionnalités relatives aux CAs, veuillez vous référer au chapitre correspondant.
Comme pour SPNEGO, la méthode d’authe tifi atio par certificats SSL requiert
l’a tivatio du proxy HTTP. Il est donc indispensable de mettre en place une politique
de filtrage URL ainsi u’u e redirection automatique vers le portail
d’authe tifi atio .
Configuration
Étape 1 : Pour activer la méthode d’authe tifi atio par certificats SSL, rendez-vous
dans le menu Configuration ⇒ Utilisateurs ⇒ Authentification ⇒ Méthodes
disponibles. Ici, ajoutez la méthode SSL. Cette méthode ne nécessite u’u seul
paramètre qui est la liste des autorités de confiance. Lo s u’u utilisateur présente
son certificat pour s’authe tifie , le champ « Émis par » du certificat contient la CA
qui l’a signé. Par conséquent, le firewall va consulter la liste des CA de confiance pour
confirmer la présence de cette autorité et valider ainsi l’authe tifi atio de
l’utilisateu . Les CA de confiance peuvent être internes (créées sur le firewall) ou
externes.
Étape 2 : Dans l’o glet POLITIQUE D’AUTHENTIFICATION, ajoutez une règle qui
définit la méthode SSL en précisant les utilisateurs d’u domaine spécifique et la
source des connexions. L’ l e t permettant de faire le lien entre l’utilisateu du
domaine et le certificat présenté est de préférence l’ad esse e-mail. En effet, il s’agit
d’u champ présent dans tout certificat utilisateur et dans la fiche descriptive de
l’utilisateu sur l’a uai e.
280
Authentification transparente
CERTIFICATS SSL
15
Étape 3 : Dans l’o glet PORTAIL CAPTIF, attachez le profil d’authe tifi atio
internal à l’i te fa e depuis laquelle se connecteront les utilisateurs, dans l’exe ple
ci-dessus, ’est l’i te fa e « IN ».
Étape 4 : Dans l’o glet PROFILS DU PORTAIL CAPTIF, dans le profil internal,
sélectionnez l’a uai e qui sera utilisé par défaut pour la recherche des utilisateurs
et qui doit correspondre à l’a uai e renseigné sur la règle d’authe tifi atio .
Vérifiez dans les propriétés avancées que la case Activer le portail captif est bien
cochée.
281
Authentification transparente
CERTIFICATS SSL
16
Étape 5 : Pour que l’utilisateu puisse présenter son certificat lo s u’il tente
d’a de à un site web d’I te et, il est impératif de créer une règle de redirection
automatique vers le portail d’authe tifi atio dans la politique de filtrage.
282
Authentification transparente
CERTIFICATS SSL
17
Utilisation
Pour tester ce type d’authe tifi atio , l’utilisateu doit préalablement importer son
identité dans le magasin de son navigateur. Ensuite, pour tout accès à un site web en
HTTP, le client est redirigé vers le portail d’authe tifi atio
(https://adresse_IP_FW/auth/proxy.html) et doit présenter son certificat.
Afin de rendre cette authentification transparente par la suite, vous pouvez cocher la
case « Se souvenir de cette décision » (le nom de cette option dépend du navigateur
utilisé). Ainsi, pour les prochaines connexions, ce choix sera toujours appliqué et
l’utilisateu sera authentifié sur le firewall sans effectuer la moindre action.
La validation de toutes ces étapes entraîne la génération d’u log d’authe tifi atio
« user is logged in for 4 hours » associée à la méthode SSL.
283
Authentification transparente
18
Depuis la V3.3.0, il est possible de spécifier plusieurs annuaires dans lesquels les
utilisateurs sont recherchés avec un ordre de priorité et en fonction de la valeur d’u
paramètre du certificat reçu durant l’authe tifi atio .
L’ajout des annuaires s’effe tue dans la configuration avancée de la méthode SSL en
activant la recherche dans plusieurs annuaires LDAP et en ajoutant une entrée dans
la liste des critères. Sur une entrée, il faut renseigner :
• Champ du certificat : le paramètre du certificat,
• Expression régulière : la chaîne à rechercher dans le paramètre du certificat. Ce
champ peut contenir une expression régulière (regex).
• Annuaire ou domaine : l’a uai e dans lequel il faut rechercher l’utilisateu .
284
Authentification transparente
Programme du module
✔ Introduction
✔ SPNEGO
✔ Certificat SSL
➔ Agent SSO (single sign-on)
Multi-utilisateurs
285
Authentification transparente
AGENT SSO
Interroge
Ouverture Authentification
de session Transparente
Client
20
L’authe tifi atio par la méthode agent SSO permet d’authe tifie les utilisateurs dès
l’ouve tu e d’u e session sur le domaine, elle se déroule en 3 étapes.
Les échanges entre l’age t et le firewall utilisent le port 1301/TCP et sont chiffrés
grâce au protocole SSL, algorithme PSK-AES256-CBC-SHA.
NOTES :
• Lo s u’elle est utilisée dans une règle, la méthode Agent SSO est
automatiquement la plus prioritaire des méthodes puis u’elle authentifie
l’utilisateu sur le firewall dès u’il ouvre une session sur son domaine.
• Pour l’i stallatio de l’age t SSO sur une machine, veuillez vous reporter à la note
technique disponible sur https://documentation.stormshield.eu.
286
Authentification transparente
AGENT SSO
21
287
Authentification transparente
AGENT SSO
22
Contrôleur de domaine :
La listes des adresses IP des contrôleurs de domaine du domaine.
Paramètres avancés : durée :
Par défaut, via la méthode agent SSO, un utilisateur est authentifié pendant 10 heures. Ce
paramètre peut être modifié avec une valeur maximale de 24 heures, soit une journée.
Lorsque le contenu d’u groupe est modifié, l’i fo atio sera transmise à l’age t toutes les
heures. Pour modifier cette fréquence utilisez l’optio « Délai de mises à jour des groupes
d’utilisateurs ».
Paramètres avancés : méthode de détection des déconnexions
L’ v e e t levé sur un contrôleur de domaine pour indiquer la fermeture de session d’u
utilisateur ’est pas pris en compte par l’age t SSO. Par conséquent, nous avons implémenté
deux méthodes permettant de vérifier si la machine est toujours accessible afin de
désauthentifier l’utilisateu le cas échéant.
La première méthode disponible est l’e voi d’u ping depuis l’age t vers la machine
concernée. Si aucune réponse ’est reçue, l’utilisateu associé à cette adresse IP sera alors
considéré comme déconnecté après une période de temps configurable.
La seconde consiste à envoyer à la fois un ping, et, en cas de réponse, d’effe tue une
requête sur la base de registre de la machine sur laquelle l’utilisateu est authentifié. La
requête RPC s’effe tue sur les ports 139 ou 445. Assurez-vous que le pare-feu du poste
autorise ces connexions entrantes.
Comptes d’ad inistration ignorés
La section Comptes d’ad inistration ignorés recense les utilisateurs pour lesquels un
évènement d’authe tifi atio ’est pas transmis au firewall. Par défaut, cette liste inclut les
comptes Administrateur et Administrator pour éviter les événements d’authe tifi atio
générés lors de l’ouve tu e d’u programme en tant u’ad i ist ateu .
288
Authentification transparente
AGENT SSO
Interroge
Ouverture Authentification
de session transparente
IP : 192.168.1.1
23
Lorsque l’utilisateu ouvre sa session sur le domaine, l’authe tifi atio transparente
effectuée par l’age t associe l’ad esse IP du poste à l’utilisateu sur le firewall.
289
Authentification transparente
AGENT SSO
Requête DNS
Entrée DNS
Mise à jour de la
modifiée
table des utilisateurs
IP : 192.168.1.1
24
Imaginons que l’ad esse IP du poste (192.168.1.1 dans notre exemple) soit obtenue
par un serveur DHCP du réseau. Ce bail DHCP a une durée de vie limitée qui dépend
uniquement de la configuration du serveur. À expiration du bail, l’ad esse IP du poste
peut changer alors que l’utilisateu est associé à cette adresse sur le firewall.
Pour faciliter la mise à jour de la table des utilisateurs authentifiés du firewall, l’age t
effectue une requête DNS toutes les 60 secondes (valeur par défaut) afin de
consulter la liste des entrées DNS associées à l’utilisateu « Client ». Il constate que
seule la nouvelle adresse attribuée au client (suite à l’expi atio du bail) lui est
associée.
Il transmet donc la nouvelle association « Adresse IP <-> Nom d’utilisateu » au
firewall afin u’il mette à jour sa table des utilisateurs authentifiés avec la nouvelle
adresse IP.
La fréquence des requêtes DNS émises par l’age t peut être modifiée en suivant la
procédure suivante :
• Arrêter le service agent SSO,
• Éditer le fichier config.ini situé dans le répertoire d’i stallatio de l’age t
SSO,
• Localiser le champ DnsInterval et renseigner la valeur souhaitée,
• Pour information, le champ DnsEnabled permet d’a tive /d sa tive cette
fonctionnalité (par défaut active : True)
• Enregistrer le fichier et redémarrer le service agent SSO.
MULTI-UTILISATEURS
AUTHENTIFICATION TRANSPARENTE
Programme du module
✔ Introduction
✔ SPNEGO
✔ Certificat SSL
✔ Agent SSO (single sign-on)
➔ Multi-utilisateurs
291
Authentification transparente
MULTI-UTILISATEURS
• Activation du multi-utilisateurs
26
Un serveur TSE (Terminal Service Edition) ou CITRIX qui autorise plusieurs utilisateurs
à accéder à des applications installées sur un serveur via une connexion RDP
(Remote Desktop Protocol) est un parfait exemple qui illustre le besoin du multi-
utilisateurs.
Il peut être activé avec toutes les méthodes d’authe tifi atio (implicite ou explicite)
utilisant le portail captif. Il ne fonctionne donc pas avec la méthode Agent SSO.
Pour l’a tive , il suffit d’ajoute l’o jet machine qui renseigne l’ad esse IP, depuis
laquelle se connecteront les différents utilisateurs, dans la fenêtre objets multi-
utilisateurs accessible depuis le menu Configuration ⇒ Utilisateurs ⇒
Authentification ⇒ onglet POLITIQUE D’AUTHENTIFICATION.
292
Authentification transparente
MULTI-UTILISATEURS
27
La distinction des utilisateurs se base sur des cookies fixés par le firewall lors de
l’authe tifi atio . Le navigateur ajoutera le cookie dans chaque requête HTTP
envoyée. Par conséquent, les utilisateurs peuvent être distingués seulement pour les
flux HTTP (et HTTPS si le proxy SSL est activé).
Les règle de filtrages définies pour des utilisateurs authentifiés et pour des flux
autres que HTTP, sont signalées par un message d’ave tisse e t et elle ne seront
pas utilisées.
293
Authentification transparente
MULTI-UTILISATEURS
28
294
Authentification transparente
29
295
HAUTE DISPONIBILITÉ
CSNE - STORMSHIELD NETWORK SECURITY - VERSION 4.X
Programme de la formation
296
Haute disponibilité
PRINCIPE DE
FONCTIONNEMENT
HAUTE DISPONIBILITÉ
Programme du module
➔ Principe de fonctionnement
Créer un Cluster
Rejoindre un Cluster
Les Menus « haute disponibilité »
La supervision de la haute disponibilité
297
Haute disponibilité
PRINCIPE DE FONCTIONNEMENT
Cluster HA
Slave Master
Master Master
Actif Passif
Lien de contrôle
Les firewalls d’u même cluster possèdent une configuration identique. Ils
fonctionnent en mode passif/actif : à un instant donné un seul firewall est actif et
gère l’e se le du trafic réseau ; l’aut e firewall est en mode passif. En cas de panne
du firewall fonctionnel, le firewall passif le détecte et bascule en mode actif pour
assurer la continuité des services.
NOTE : Si la communication entre les deux firewalls par les liens de contrôle est
interrompue, le firewall passif considèrera que le firewall actif ’est plus accessible
(fonctionnel) et passera en mode actif. Ceci provoquera un dysfonctionnement de
votre réseau parce que les deux firewalls seront actifs avec que les deux firewalls
seront actifs avec des adresses MAC identiques sur leurs interfaces.
298
Haute disponibilité
PRINCIPE DE FONCTIONNEMENT
Le firewall :
• Télécharge les configurations HA et
réseau
• Charge les configurations
• Télécharge la configuration complète
• Charge la configuration et redémarre
4
NOTE : Le firewall qui rejoint un cluster perd entièrement sa configuration qui est
écrasée par la configuration du premier firewall.
299
Haute disponibilité
PRINCIPE DE FONCTIONNEMENT
Serverd TCP/1300
SSH/RSYNC (TCP/22)
Différents types de trafic sont échangés entre les deux firewalls SNS pour la mise en
place et le fonctionnement d’u cluster HA :
• Trafic serverd (TCP/1300) : Utilisé par le firewall qui rejoint le cluster pour
récupérer les configurations HA et réseau.
• Trafic RSYNC dans une session SSH (TCP/22) : Permet au firewall qui
rejoint le cluster de télécharger les fichiers de configuration.
NOTE : Ces différents types de trafic sont autorisés implicitement (règles de filtrage
implicite) entre les deux firewalls lors de la mise en place de la HA. Le trafic HA est
filtré par un plugin spécifique de l’ASQ (hasync). Si vous souhaitez désactiver la règle
implicite et la remplacer par une explicite, vous devrez le faire en ligne de
commande.
300
Haute disponibilité
PRINCIPE DE FONCTIONNEMENT
– Synchronisation automatique :
• Les tables d’état (connexions, hôtes, etc)
• Les modules active update (signatures, antivirus, etc)
La synchronisation des informations entre les firewalls d’u même cluster est :
301
Haute disponibilité
PRINCIPE DE FONCTIONNEMENT
Dans le cas où les deux firewalls utilisent la même version du firmware, les tableaux
ci-dessus résument les informations qui sont synchronisées et les informations qui
ne le sont pas.
302
Haute disponibilité
PRINCIPE DE FONCTIONNEMENT
303
Haute disponibilité
PRINCIPE DE FONCTIONNEMENT
• Facteur de qualité :
�= � �� �� ��
σ�=1 ����ℎ� �
• �= �=�� � �� ��
σ�=1 ����ℎ� �
• Exemple :
× + × + ×75+ × + × + ×
• �= ≅ %
+ +75+ + +
Ce facteur est calculé par chaque firewall et une comparaison des deux facteurs est
effe tu e lo s de l’ le tio du fi e all a tif.
304
Haute disponibilité
PRINCIPE DE FONCTIONNEMENT
Non
Oui
Est-ce que les facteurs de
qualité des deux firewalls Est-ce que le firewall Est-ce que le firewall
Non Non
sont différents ? est prioritaire ? est déjà actif ?
10
Il est important de noter u’il est possible de forcer un firewall à être actif. Dans ce
cas, ce firewall sera actif même si son facteur de qualité est inférieur. Il est
déconseillé d’utilise cette option sur une ligne de production, elle est utilisée
principalement pour le débogage des configurations.
Cependant, il est possible de donner une priorité à un firewall pour u’il soit actif
dans le cas où les facteurs de qualité des deux firewalls sont égaux.
NOTE : Dans le mode dégradé, le processus d’ le tio du firewall actif est différent.
Dans la majorité des cas, le firewall qui a la plus ancienne version sera actif.
305
Haute disponibilité
CRÉER UN CLUSTER
HAUTE DISPONIBILITÉ
Programme du module
✔ Principe de fonctionnement
➔ Créer un Cluster
Rejoindre un Cluster
Les Menus « haute disponibilité »
La supervision de la haute disponibilité
306
Haute disponibilité
CRÉER UN CLUSTER
12
La création d’u cluster s’effe tue à l’aide d’u assistant dans le menu
CONFIGURATION ⇒ SYSTÈME ⇒ Haute disponibilité.
307
Haute disponibilité
CRÉER UN CLUSTER
13
La clé pré-partagée est définie dans la troisième étape et la dernière étape résume la
configuration des interfaces HA avant la création du cluster.
308
Haute disponibilité
REJOINDRE UN CLUSTER
HAUTE DISPONIBILITÉ
Programme du module
✔ Principe de fonctionnement
✔ Créer un Cluster
➔ Rejoindre un Cluster
Les Menus « haute disponibilité »
La supervision de la haute disponibilité
309
Haute disponibilité
REJOINDRE UN CLUSTER
15
310
Haute disponibilité
REJOINDRE UN CLUSTER
16
311
Haute disponibilité
LES MENUS
« HAUTE DISPONIBILITÉ »
HAUTE DISPONIBILITÉ
Programme du module
✔ Principe de fonctionnement
✔ Créer un Cluster
✔ Rejoindre un Cluster
➔ Les Menus « haute disponibilité »
La supervision de la haute disponibilité
312
Haute disponibilité
18
La création d’u cluster fait apparaitre deux nouvelles icônes dans l’e t te de la page
d’ad i ist atio WEB :
• Forcer le firewall actif dans le cas où les facteurs de qualité des deux
firewalls sont égaux avec le paramètre Firewall actif en cas d’égalité. Par
défaut, la valeur automatique est sélectionnée, ce qui signifie que le
firewall actif est désigné par le processus d’ le tio .
313
Haute disponibilité
19
314
Haute disponibilité
20
315
Haute disponibilité
21
• Onglet CONFIGURATION :
• Un menu déroulant permet de sélectionner le firewall à
redémarrer ou arrêter.
316
Haute disponibilité
22
317
Haute disponibilité
LA SUPERVISION DE LA
HAUTE DISPONIBILITÉ
HAUTE DISPONIBILITÉ
Programme du module
✔ Principe de fonctionnement
✔ Créer un Cluster
✔ Rejoindre un Cluster
✔ Les Menus « haute disponibilité »
➔ La supervision de la haute disponibilité
318
Haute disponibilité
24
L’ tat de la HA peut être visualisé depuis le menu Supervision > Matériel / Haute
disponibilité qui permet entre autres de visualiser le firewall actif, les facteurs de
qualité, la version de firmware de chacun des deux firewalls, etc..
319
Haute disponibilité
25
320
VIRTUAL LABS
321
322
Virtual Labs
SCHÉMA D’ARCHITECTURE
TRAINEE B
TRAINEE A
192.168.1.254 192.168.2.254
192.36.253.10 192.36.253.20
WAN
172.16.1.254 172.16.2.254
192.36.253.1
DNS : 172.16.1.10
WEB : 172.16.1.11 DNS : 172.16.2.10
FTP : 172.16.1.12 WEB : 172.16.2.11
MAIL : 172.16.1.13 FTP : 172.16.2.12
MAIL : 172.16.2.13
Debian Virtual
Machine Debian Virtual
Machine
Les labs seront effectués en virtuel sous VirtualBox. La plateforme des labs est
présentée ci-dessus, elle est constituée de 2 sites (Trainee A et Trainee B) reliés entre
eux via un réseau externe « 192.36.253.0/24 ».
Chaque site possède un firewall SNS virtuel (EVA1), une machine virtuelle (abrégé VM
pour Virtual Machine) Debian qui embarque 4 serveurs (DNS, WEB, FTP et MAIL).
Par ailleurs, une machine cliente graphique permettant la navigation sur Internet et
ayant un compte utilisateur autorisé à modifier ses paramètres réseau.
Le choix de cette machine graphique est laissé au stagiaire :
• Machine virtuelle fournie par Stormshield (conseillée), l’e se le des TP peut être
effectué en mode « configuration complètement virtualisée », simplifiant ainsi la
configuration réseau à configurer avec VirtualBox, et permettant d’avoi une machine
graphique par site.
• Machine hôte du stagiaire (déconseillée), la configuration réseau devant permettre
que la machine hôte agisse en tant que PC soit sur le réseau A, soit sur le réseau B.
Deux réseaux privés sont configurés sur chaque site : IN « 192.168.x.0/24 » et DMZ :
« 172.16.x.0/24 ». La machine virtuelle Debian est connectée au réseau privé DMZ.
NOTE : Sur tous les firewalls, le mot de passe de l’utilisateu « admin » est « admin ».
323
Virtual Labs
TRAINEE A TRAINEE B
Internal Network Internal Network
LAN_DMZ1_A Debian LAN_DMZ1_B Debian
NatNetwork
La configuration réseau des machines virtuelles est décrite sur la figure ci-dessus.
Elle permet d’a de à l’i te fa e Web du firewall SNS d’u site depuis la VM cliente
graphique déployée par OVA. Elle permet également aux firewalls de se connecter à
Internet via l’i te fa e « NatNetwork ».
324
Virtual Labs
TRAINEE A TRAINEE B
Internal Network Internal Network
LAN_DMZ1_A Debian LAN_DMZ1_B Debian
NatNetwork
La configuration réseau des machines virtuelles est décrite sur la figure ci-dessus.
Elle permet d’a de à l’i te fa e Web du firewall SNS d’u site depuis l’hôte
physique. Après démarrage des machines virtuelles, la carte réseau « Virtual Host-
only Ethernet Adapter #X » du site que l’o ’utilise pas peut être désactivée.
La configuration permet également aux firewalls de se connecter à Internet via
l’i te fa e « NatNetwork ».
NOTES :
• Toutes les interfaces VirtualBox « Virtual Host-only Ethernet Adapter #X » et le
réseau virtualBox « NatNetwork» doivent être créés et configurés avant de
démarrer les machines virtuelles.
• Stormshield fournissant une VM permettant de faire tous les labs en virtualisation
complète, l’utilisatio de l’hôte physique ne sera pas détaillée dans ce document.
PRÉREQUIS : L’i f ast u tu e virtuelle avec hôte physique décrite ci-dessus nécessite
un espace disque minimum de 7,5 Go (les VM fournies ont des disques à allocation
dynamique) et une mémoire RAM de 2,2 Go. Utilisez un hôte disposant de 6 Go de
RAM minimum pour un fonctionnement optimal.
325
Virtual Labs
1. Installez Virtualbox.
Ajoutez l’i te fa e
326
Virtual Labs
7. Clonez chaque VM, en cliquant droit sur une VM ⇒ Cloner. Dans l’assista t qui
se lance, renommez votre clone (les VM clonées seront sur le site de Trainee
B) et cochez la case « Réinitialisez l’ad esse MAC de chaque carte réseau ». Sur
la page suivante, cochez la case « Clone intégral » et cliquez sur le bouton
cloner (au lieu de cloner, il est également possible d’i po te à nouveau les
packages, le renommage des VM s’effe tue alors après import).
8. Modifiez les interfaces réseau pour les 3 VM, LAN_IN_A et LAN_DMZ1_A sont
renommées respectivement LAN_IN_B et LAN_DMZ1_B.
327
Virtual Labs
10. En lançant un terminal, vous pouvez vérifier que l’IP de votre carte réseau est
correcte avec la commande « ip address show » (format raccourci « ip a »), et
lancer un ping vers 10.0.0.254 (la connectivité avec le SNS est bien établie).
328
Virtual Labs
3. Paramétrez la langue (traces et clavier) et le fuseau horaire de votre firewall. Vérifiez que
votre firewall est à l’heu e après le redémarrage.
5. Modifiez le mot de passe du compte admin (le nouveau doit être composé d'au moins 8
caractères).
6. Vérifiez que le stockage local des logs est activé sur le disque dur de la VM et activez
l’e se le des rapports embarqués.
Notes :
• Pour permettre le bon fonctionnement de chaque lab, vous devez effectuer les configurations
demandées sur le site A, puis sur le site B.
• Lors des labs, si vous levez une alarme « Attaque possible des ressources (connexion) », ’est
que vous avez atteint le nombre de connexions maximum autorisé par la licence de la VM
pédagogique. Dans ce cas, toutes les nouvelles connexions sont bloquées, patientez quelques
minutes, le temps que la table des connexions se purge, pour revenir à un comportement
normal.
329
Virtual Labs
2. Activez la politique de filtrage/NAT (10) Pass all sur tous les firewalls.
330
Virtual Labs
SCHÉMA LAB 2
Client_TRAINING_A Client_TRAINING_B
IP = 192.168.1.2 IP = 192.36.253.30
Gw = 192.168.1.254 Gw = 192.36.253.20
192.168.1.254
Firewall_A Firewall_B
IP = 192.36.253.10 192.36.253.1 IP = 192.36.253.20
Gw = 192.36.253.1 Static route to Net-A
Gw = 192.36.253.1
11
7. À l’aide du schéma ci-dessus et des logs des firewalls, trouvez l’expli atio de
ce comportement inattendu. Quelle(s) solution(s) proposeriez-vous ?
331
Virtual Labs
2. Créez des objets de type « machine » portant les adresses IP internes et externes de
vos serveurs :
• "srv-dns" : 172.16.x.10
• "srv-web" : 172.16.x.11
• "srv-ftp" : 172.16.x.12
• "srv-ftp-pub" : 192.36.253.x2
Note :
Le « x » doit être remplacé suivant la lettre de l’e t ep ise A⇒1, B⇒2.
Pour la station cliente, le serveur DNS est le « srv-dns/ 172.16.x.10 ».
3. Votre firewall est maintenant configuré comme indiqué par le schéma page 3. Nous
considérons le réseau externe (192.36.253.0/24) comme un réseau public. Les
adressages privés ne doivent donc plus être visibles au-delà des LAN des
compagnies. Renommez la politique « (10) Pass all » en « (10) Pass all + NAT » et
ajoutez les règles de NAT pour permettre :
• À vos réseaux internes d'accéder à Internet.
• À votre serveur WEB d'être joignable depuis l'extérieur sur l'adresse
« 192.36.253.x0 ». Cette règle doit lever une alarme mineure.
• À votre serveur FTP d'être joignable depuis l'extérieur sur l'adresse
« 192.36.253.x2 ».
332
Virtual Labs
Sur la VM graphique A, installez le logiciel Wireshark. Pour cela ouvrez un terminal et tapez les
commandes suivantes :
• su -
• Saisissez le mot de passe root, qui est par défaut « toor »
• apt update
• apt install wireshark
1. Configuration générale :
1.1 Copiez la politique « (10) Pass all + NAT » vers une autre politique vide en la renommant
avec un nom de votre choix.
2.2 Affichez le document RFC 791 hébergé sur le site web distant. Déterminez les catégories de
traces (alarme, plugin ou connexion ?) dans lesquelles cet accès HTTP a été inscrit.
2.4 Remettez l’a tio de l’ala e à son état initial « Interdire » et utilisez le mode
d'inspection « IDS » sur vos règles de filtrage :
Testez encore une fois l’a s au document RFC 2616 et déterminez les catégories de
traces (alarme, plugin ou connexion ?).
2.5 Refaites le test précédent en utilisant cette fois le mode d'inspection « Firewall » sur
vos règles de filtrage.
2.6 Refaites une dernière fois le test en remettant le mode d'inspection « IPS » et en
spécifiant le protocole TCP sur vos règles.
3. Évènement FTP :
3.1 Configurez la politique de filtrage comme suit :
• Ajoutez une règle pour autoriser l'accès à votre serveur FTP depuis l'extérieur.
• Ajoutez une règle pour autoriser l'accès au serveur FTP de l’aut e entreprise
depuis votre réseau interne.
• Désactivez toute autre règle trop permissive.
• Testez l'accès au serveur FTP de l’aut e entreprise.
3.2 Installez le client ftp en invite de commandes. Pour cela ouvrez un terminal et tapez
les commandes suivantes :
• su -
• Saisissez le mot de passe root, qui est par défaut « toor »
• apt update
• apt install ftp
Connectez-vous au serveur FTP de l’aut e entreprise, en utilisant les commandes
suivantes dans un terminal :
• ftp
• ftp> open IP_Pub_FTP_autre_entreprise
• Name: anonymous
• Password: password (le mot de passe importe peu)
334
Virtual Labs
3.3 Positionnez vos règles relatives aux accès FTP en mode d'inspection "Firewall" :
• Refaites le test précédent en entrant les mêmes commandes.
• Le retour des commandes est-il identique au cas précédent ?
• Vérifiez qu'il vous est encore possible de lister le contenu du serveur.
• Par quelle méthode plus fine pouvons-nous gérer ce cas pour éviter
l'utilisation du mode d'inspection "Firewall" ?
3.4 Vérifiez que la règle de filtrage permettant l’a s à votre serveur FTP interne est en
mode IPS, puis configurez le profil entrant de votre plugin FTP avec comme seul
utilisateur autorisé « anonymous »
• Faites tester l’a s à votre serveur FTP par l’aut e entreprise qui utilisera un
login particulier (par exemple son nom ou son prénom).
Quelles sont les conséquences (regardez vos alarmes et visualisez le résultat côté
client de l’aut e entreprise).
335
Virtual Labs
LAB 5 : PKI
Attention : Vérifiez au préalable que la date, l'heure et le fuseau horaire de votre firewall
sont corrects.
1. Créez une autorité racine sur votre firewall avec les paramètres suivants :
• CN: CA-cie-X,
• organisation: cie-X,
• unité d'organisation: Lab PKI,
• lieu: Paris,
• état: IDF,
• pays: France,
• la durée de validité de cette autorité de certification est de 3650 jours,
• optionnellement, l'URI de distribution de la CRL pourra être précisée sous la
forme: http://www.x.net/CRL/cie-x.crl.pem
2. Définissez cette autorité comme CA par défaut.
3. Créez une identité serveur dont le FQDN est fw.X.net et pour laquelle la durée de
validité du certificat correspondant est de deux ans.
336
Virtual Labs
1. Utilisez la base d'URL Extended Web Control si elle est disponible, sinon la base
embarquée.
337
Virtual Labs
1. Configuration générale :
• Activez le portail captif sur les interfaces externes. Un règle de NAT statique
par port doit être créée pour que votre serveur web soit accessible depuis le
réseau public (193.36.253.0/24).
• Configurez une base LDAP interne avec les paramètres suivants:
• Organisation: Cie-x
• Domaine: net
• Pour la suite du lab, travaillez en binôme et décidez ensemble des profils de
chiffrement à utiliser.
• Pou fou i des fi hie s à l’aut e e t ep ise, utilisez vot e se veu FTP. Pou
cela, avec le logiciel WinSCP, connectez-vous à l’ad esse IP 1 2.16 .x.1 e
mode SCP (login : root, mot de passe : root). Placez le fichier dans le dossier
/ho e/ftp. L’aut e e t ep ise pou a t l ha ge le fi hie à l’ad esse
ftp://193.36.253.x2/fichier.
Il n’est pas possible de traiter les questions suivantes sur votre plateforme virtuelle,
car le client VPN IPSec n’est disponible que sous Windows.
4. Clients nomades :
• Installez le client VPN Stormshield Network sur votre poste.
• Désactivez la politique active.
• Créez un utilisateur pour l’aut e entreprise et son identité dans votre annuaire
et votre PKI. Exportez l’ide tit et déposez la sur votre serveur FTP.
• Attribuez le droit VPN IPSec à cet utilisateur.
• Dans une nouvelle politique IPSec nommée « Mobile Client », configurez une
politique nomade uniquement, pour que cet utilisateur puisse joindre votre
réseau Network_in.
338
Virtual Labs
339
Virtual Labs
1. Tunnel GRE :
2. Tunnel GRETAP :
• Créez un tunnel GRETAP pour interconnecter les deux réseaux DMZ des
deux firewalls qui doivent être configurés avec le même plan d’ad essage
« 172.16.XY.0/24 » (X et Y sont les identifiants des entreprises A⇒1,
B⇒2).
• Sur l’u des firewalls, activez le serveur DHCP avec une plage d’ad esses
IP faisant partie du plan d’ad essage précédent.
• Créez les règles de filtrage pour autoriser l’i te o exio des deux
réseaux.
• Connectez vos machines sur les interfaces DMZ. Vérifiez que les deux
machines récupèrent une adresse IP du serveur DHCP et confirmez
u’elles peuvent communiquer entre-elles.
340
Virtual Labs
• Créez un utilisateur dont le login est authuser-x et dont l'adresse e-mail est
authuser-x@cie-x.net.
• Créez son identité depuis sa fiche LDAP.
3. Activation de l’authentification :
• Ajoutez, dans votre politique de filtrage, une règle d'authentification en tête
de liste (en utilisant l'assistant).
• Tentez maintenant d'accéder directement à un site web extérieur en HTTP, et
assurez-vous que l'authentification fonctionne de façon transparente.
4. Bonus Multi-utilisateurs :
• Ajoutez un deuxième utilisateur et créez lui une identité.
• Activez le multi-utilisateurs pour votre machine locale.
• En utilisant les certificats, authentifiez les deux utilisateurs depuis deux
navigateurs différents.
• Appliquez à chaque utilisateur un filtrage d’URL spécifique et validez son
fonctionnement.
341
Virtual Labs
Il n’est pas possible de traiter les questions suivantes sur votre plateforme virtuelle,
car les firewalls virtuels ont le même numéro de série.
4. Connectez les interfaces internes d’u cluster et les interfaces de vos machines sur le
même switch (Les interfaces OUT resteront toujours connectées au switch externe).
Assurez-vous que vos deux machines peuvent sortir sur Internet. Si cela fonctionne,
envoyez un ping continu vers l'extérieur, et retirez un câble réseau du firewall actif (mais
pas le lien HA). Observez le nombre de pings perdus.
342
VIRTUAL LABS -
CORRIGÉS
343
344
Virtual Labs - Corrigés
2. Cliquez sur le nom d’utilisateu , puis sur Préférences (icone avec une clef et un
tournevis), sélectionnez ensuite dans la ligne Déconnexion en cas d'inactivité la
valeur Toujours rester connecté. Il n'y a pas de bouton de validation pour ce
changement, cela est pris en compte automatiquement.
345
Virtual Labs - Corrigés
346
Virtual Labs - Corrigés
6. Net-A ne peut pas joindre Client_TRAINING_B parce que le paquet ICMP « echo
request » est envoyé directement à Client_TRAINING_B grâce à la route directement
connectée que possède le FW-A et qui est prioritaire sur la route par défaut.
Client_TRAINING_B répond avec un paquet ICMP « echo reply » envoyé au firewall B
(passerelle par défaut) parce u’il ne possède pas de route statique correspondante.
Le firewall B bloque cette réponse parce u’elle ne correspond à aucune entrée dans
sa table de connexions l’e t e aurait dû être créée par un paquet ICMP echo
request). Ceci confirme le suivi Stateful des échanges ICMP. Une solution simple
consiste à ajouter une route statique sur la VM Client_TRAINING_B pour éviter le
routage asymétrique. Cela se fait en super utilisateur (root) avec la commande : « ip
route add 192.168.1.0/24 via 192.36.253.10 ».
347
Virtual Labs - Corrigés
2. Allez dans le menu Configuration ⇒ Objets ⇒ Objets réseaux. Cliquez sur le bouton
Ajouter. Assurez-vous de choisir un objet de type Machine, puis renseignez les
paramètres suivants : Nom de l'objet : srv-dns, Adresse IP : 172.16.1.10. Avec
l'option Créer et dupliquer, réitérez l'opération pour les objets srv-web, srv-ftp et
srv-ftp-pub en prenant soin de modifier leurs adresses IP respectives. Configurez
votre station pour utiliser le serveur DNS « srv-dns /172.16.1.10».
4. Validez vos règles de NAT en cliquant sur le bouton Appliquer. N'oubliez pas d'activer
votre politique pour que les modifications soient prises en compte. Respectez l'ordre
des règles comme défini ci-dessus pour éviter qu'une règle ne soit jamais appliquée.
348
Virtual Labs - Corrigés
1. Configuration générale :
Dans le menu Configuration ⇒ Politique de sécurité ⇒ Filtrage et NAT ⇒ Filtrage,
copier la politique « (10) Pass all + NAT » vers une politique vide en cliquant sur « Editer
⇒Copier vers ⇒ (0x) Filter 0x ». Sélectionnez la politique choisie et renommez-la en
cliquant sur « Editer ⇒ Renommer ».
2. Évènements http
2.1 Dans le menu Configuration ⇒ Politique de sécurité ⇒ Filtrage et NAT ⇒ Filtrage,
Ajoutez les règles suivantes :
Vous voyez des journaux de type Plugin dans les deux sens, et Alarme dans le sens
entrant (la colonne message permet de vérifier que ’est une alarme demandée dans la
règle de filtrage). Aucun journal connexion.
349
Virtual Labs - Corrigés
350
Virtual Labs - Corrigés
3. Évènement FTP :
3.1 Configuration de la politique de filtrage :
3.2 Lorsque la commande quote hello est envoyée, on constate dans les évènements
deux nouveaux logs:
• Un log plugin (pour FTP) qui a été détecté.
• Un log alarme dont l'action est à Bloquer/Majeur et dont l'intitulé est
Commande FTP inconnue.
351
Virtual Labs - Corrigés
LAB 5 : PKI
352
Virtual Labs - Corrigés
353
Virtual Labs - Corrigés
354
Virtual Labs - Corrigés
• Dans les logs web, on constate l'entrée suivante (tous les champs ne sont pas
renseignés) :
proto=http,
op=GET,
src=192.168.1.1,
srcport=49443,
srcportname=ephemeral_fw_tcp
dst=147.63.166.62,
dstport=443,
dstname=www.home.barclays,
modsrc=192.36.253.10,
modsrcport=17438,
origdst=127.0.0.2,
action=block cat_site=« Barclays-who-we-are »,
arg=« /who-we-are-barclays.html »,
msg=« Blocked url ».
355
Virtual Labs - Corrigés
Note : La correction présente la mise en place d'un tunnel entre les firewalls A et B pour
la partie site à site et d’u tunnel configuré avec le firewall A pour la partie nomade.
1. Configuration Générale :
• L’a tivatio du portail captif sur les interfaces externes est visible dans le
menu Configuration ⇒ Utilisateurs ⇒ Authentification ⇒ Portail captif. Le
profil External sur l’i te fa e « out » est lié à l’a uai e par défaut. Pour la
configuration de la base LDAP interne, accédez au menu Configuration ⇒
Utilisateurs ⇒ Configuration des annuaires, exécutez l'assistant de base LDAP
interne en renseignant les paramètres suivants:
• Organisation: Cie-x
• Domaine: net
356
Virtual Labs - Corrigés
• Cliquez sur Ajouter ⇒ Importer un fichier. Une fois importé, retournez dans
le menu Configuration ⇒ VPN ⇒ VPN IPSec ⇒ Identification puis dans
l'encadré Autorités de certification acceptées, cliquez sur Ajouter et
choisissez la CA du firewall B précédemment importée. Enfin, enregistrez les
modifications.
• Activez la politique et générez du trafic correspondant aux extrémités de trafic
pour provoquer la montée du tunnel (entre les réseaux 192.168.1.0/24 et
192.168.2.0/24 dans notre exemple).
357
Virtual Labs - Corrigés
358
Virtual Labs - Corrigés
359
Virtual Labs - Corrigés
1. Tunnel GRE :
• Pour créer un tunnel GRE, il faut créer une interface GRE sur chaque firewall
dans le menu Configuration ⇒ RÉSEAU ⇒ Interfaces virtuelles => onglet
INTERFACE GRE en renseignant les paramètres suivants :
• Nom de l’i te fa e « GRE_int_A »
• Adresse IP « 172.16.12.1 »
• Masque : 255.255.255.252
• Source tunnel : « Firewall_out »
• Destination tunnel : « FW_B : 192.36.253.20 »
• La création d’u e route statique pour le réseau distant s’effe tue dans le
menu Configuration ⇒ RÉSEAU ⇒ Routage => onglet ROUTES STATIQUES en
indiquant les informations suivantes :
• Réseau de destination « NET_B : 192.168.2.0/24 »
• Interface « GRE_int_A »
• Passerelle : l’ad esse IP de l’i te fa e GRE distante « 172.16.12.2 »
• Ajoutez les règles de filtrage ci-dessous :
• Bonus :
• Avec une configuration standard, il suffit de spécifier les adresses IP de
l’ext it s du tunnel GRE comme extrémité de trafic dans le tunnel
VPN IPSec et de sélectionner GRE dans la colonne protocole (pour
afficher la colonne protocole, cliquez sur la petite flèche qui apparait
en mettant le curseur de la souris sur la ligne des paramètres, ensuite
colonne et enfin côchez protocole).
360
Virtual Labs - Corrigés
2. Tunnel GRETAP :
361
Virtual Labs - Corrigés
362
Virtual Labs - Corrigés
3. Activation de l’authentification :
• Retournez dans le menu Configuration ⇒ Politique de sécurité ⇒ Filtrage et
NAT ⇒ Onglet Filtrage . Cliquez sur Nouvelle règle ⇒ Règle
d'authentification. Un assistant s'affiche, veuillez alors renseigner les valeurs
suivantes:
• Depuis : Network_in
• Vers: Internet
• Validez par le bouton Terminer puis activez cette nouvelle politique de filtrage.
4. Bonus Multi-utilisateurs :
• Pour l’ajout du deuxième utilisateur et la création de son identité, refaites les
étapes du point 1.
• Pour l’a tivatio du multi-utilisateurs, ajoutez l’ad esse IP de votre machine
locale dans la fenêtre objets multi-utilisateurs accessible depuis le menu
Configuration ⇒ Utilisateurs ⇒ Authentification ⇒ onglet Politique
d’authentification.
• Pour authentifier les deux utilisateurs, il faut d’a o d déconnecter le premier
utilisateur et installer le certificat du deuxième utilisateur sur le deuxième
navigateur. Ensuite, accédez à un site en HTTP depuis chaque navigateur.
Chaque utilisateur sera authentifié sur un navigateur grâce à son certificat.
• Commencez par définir deux politiques de filtrage URL différentes. Ensuite,
créez une règle de filtrage pour chaque utilisateur en appliquant à chaque
règle une politique de filtrage différente.
363
Virtual Labs - Corrigés
364
Virtual Labs - Corrigés
4. Utilisez un switch afin de connecter les machines aux interfaces internes du firewall
(L'adresse IP du poste stagiaire B devra être modifiée pour désormais être dans le plan
192.168.1.0/24). Assurez-vous que les deux stagiaires aient accès à Internet avant de
continuer l'exercice. Ouvrez une invite de commandes Windows et lancez un ping vers
l'extérieur. (par exemple ping -t 8.8.8.8). Dès que vous êtes prêt, vous pouvez
débrancher un câble du boîtier actif (sauf le lien HA) et constater le nombre de pings
perdus. La bascule est quasi instantanée et le nombre de pings perdus est au maximum
de 2.
5. Préparez le téléchargement d'un gros fichier. Par exemple, sur le serveur web du
formateur, à l'adresse 192.36.253.254/randfile.cgi?1G ou en téléchargeant un fichier ISO
sur Internet. Ensuite, débranchez un câble du boitier Actif (sauf le lien de HA), on
constate alors que le téléchargement n'est pas perdu et continue là où il a été
interrompu. La table des connexions et donc bel et bien répliquée entre les deux
équipements.
365
Lab - Exercices
training@stormshield.eu
366