Blog ENI : Toute la veille numérique !
🎃 Jusqu'à -30% sur les livres en ligne, vidéos et e-formations.
Code : GHOST30.
Cliquez ici !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici

UTM Pare-feu

Introduction

Pourquoi ?

Cette section se concentre sur la configuration firewall de l’UTM. L’évolution des pare-feu a suivi de près les évolutions technologiques et les besoins croissants en matière de sécurité des réseaux. Depuis leurs débuts simples en tant que dispositifs de filtrage de paquets, les pare-feu ont évolué pour devenir des solutions complexes et sophistiquées de sécurité réseau. Voici un aperçu de leur évolution au fil du temps.

Les premiers pare-feu sont basés sur la technologie Firewall Stateless Packet Inspection ou « pare-feu sans état ». C’est une méthode utilisée pour filtrer le trafic réseau en se basant sur les informations contenues dans chaque paquet individuel, sans conserver en mémoire l’état de la connexion. La décision est prise en fonction des en-têtes des paquets réseau, tels que les adresses IP source, destination, les ports ainsi que les protocoles. Ce sont généralement des bases de routeurs avec des règles statiques appelées Access Control List (ACL), celles-ci sont utilisées pour bloquer ou autoriser le trafic. Cependant, ils manquaient de granularité et n’étaient pas adaptés à la gestion des applications ou des utilisateurs.

Les pare-feu de deuxième génération sont basés sur la technologie Firewall Stateful Packet Inspection ou « pare-feu avec état »....

Stratégies de pare-feu

Pourquoi ?

Le pare-feu est l’un des premiers rôles joués par un UTM. Les technologies Firewall Stateful Packet Inspection et Deep Packet Inspection (DPI) permettent un premier niveau de protection en suivant l’état des connexions réseau et en inspectant l’en-tête et les données des paquets.

Par exemple, une connexion qui est initiée de l’intérieur vers l’extérieur du réseau peut revenir automatiquement grâce à la fonctionnalité Stateful. Sur cette même connexion, DPI peut inspecter les données des paquets (non chiffrés) à la recherche d’anomalies. Cette approche permet de protéger efficacement contre des attaques telles que les tentatives half-open, les attaques SYN Flood, etc.

Le pare-feu permet aussi de contrôler les flux entre différentes zones. Pour ce faire, manuellement on ajoute, modifie ou supprime des stratégies ou règles dans la FireWall Table ou table du pare-feu ou encore table des stratégies. Celle-ci doit refléter les besoins de sécurité spécifiques d’un réseau et peut contenir des centaines voire des milliers de lignes, selon la complexité de l’environnement.

La table de pare-feu peut être vue comme une liste ordonnée de règles qui sont évaluées séquentiellement pour chaque paquet entrant ou sortant. Chaque règle spécifie des critères de correspondance, tels que les adresses IP source et destination, les ports, les protocoles, etc. Lorsqu’un paquet est reçu, le pare-feu parcourt la table de haut en bas, en vérifiant chaque règle pour trouver une correspondance.

Lorsqu’une règle correspond au paquet en cours d’évaluation, une action est appliquée, le pare-feu peut prendre une décision sur le sort du paquet, en le laissant passer, en le bloquant ou en l’envoyant vers d’autres modules de traitement, tels que l’antivirus, le filtrage de contenu, etc. Dans le cas où aucune règle ne correspond au paquet, normalement, celui-ci devrait être bloqué. Cette approche est adoptée par de nombreux acteurs de la sécurité, mais il est important de noter que ce n’est pas une pratique universelle....

Stratégies IPsec Mobile VPN

Pourquoi ?

Par défaut, lors de la mise en place d’un Mobile VPN with IPsec, une stratégie qui laisse tout passer est créée automatiquement. Concrètement, les utilisateurs des mobiles VPN avec IPsec ont accès à toutes les ressources sans restriction. Dans cette fenêtre, vous pouvez créer des règles plus spécifiques afin de renforcer la sécurité.

Informations

Une faille décrite dans la CVE-2002-1623 touche Mobile VPN with IPsec.

Il est donc recommandé de ne plus utiliser Mobile VPN with IPsec et de lui préférer Mobile VPN with IKEv2 ou Mobile VPN with SSL (voir le chapitre UTM Réseau privé VPN).

images/03EP210.png

Alias

Pourquoi ?

Un alias permet d’identifier un élément sur l’UTM avec un nom « friendly », souvent utilisé pour identifier une IP ou un groupe d’IP (hôtes, réseaux ou interfaces) dans les stratégies. Ainsi, il est plus simple d’utiliser les alias que les IP dans les stratégies du Firebox.

Informations

Attention aux alias de type ANY-X, qui sont des regroupements d’autres alias (Any-External, Any-trusted, etc.).

Exemple

Voici un exemple pour appliquer des stratégies à des alias représentant des IP spécifiques.

 Rendez-vous dans PARE-FEU - Alias et indiquez un nom et une description, puis cliquez sur Ajouter. Puis choisissez le type de membre IPv4 hôtes et entrez la valeur de l’IP.

images/03EP211.png

Il est possible de créer des alias avec plusieurs types de membres (ex FQDN, groupes d’utilisateurs, etc.).

Une fois un alias créé, il est disponible lors de la création des stratégies dans les fenêtres DE et À.

Actions de proxy

Pourquoi ?

Pour rappel, le firewall permet un contrôle sur les flux, entre des zones. Dans sa mission, il se sert d’une table de stratégies, stratégies qui définissent si oui ou non elles laissent passer le flux ou si un traitement particulier doit lui être appliqué. Les proxys et les actions de proxy sont difficiles à comprendre la première fois qu’on les rencontre.

Généralement, dans le monde de l’informatique, un proxy est un intermédiaire qui peut appliquer un traitement spécifique au flux. En l’occurrence, le rôle du proxy est joué par l’UTM qui va appliquer un traitement sur un protocole.

Filtre de paquets VS proxy

Pour illustrer la différence entre les stratégies de type « filtres de paquets » et les proxys, nous allons utiliser une analogie. Imaginez un proxy réseau comme un livreur de courses pour vos commandes en ligne. Lorsque vous passez une commande auprès d’un magasin en ligne, au lieu d’aller chercher les produits vous-même, un livreur est chargé de récupérer les articles en magasin et de les livrer jusqu’à votre porte. Cependant, il est important de noter que le livreur peut également examiner et potentiellement modifier le contenu de votre commande sans que vous en ayez forcément conscience.

Pour en revenir à l’utilisation de l’UTM, la stratégie filtres...

Actions de contenu

Pourquoi ?

Les actions de contenu permettent de rediriger le flux entrant (de l’extérieur vers l’intérieur) vers des serveurs web situés en interne derrière l’UTM. C’est utilisé spécifiquement pour deux choses :

  • Host Header Redirect : router les flux vers des serveurs web (derrière l’UTM) et diminuer les IP publiques.

  • TLS/SSL Offloading : faire du déchargement de chiffrement TLS de serveurs web (derrière l’UTM).

Informations

Pour utiliser une action de contenu, allez dans PARE-FEU - Stratégies de pare-feu, puis créez une stratégie. L’action de contenu est disponible lors de la création d’une stratégie, en sélectionnant la stratégie de type Proxies / HTTP-proxy.

Une seule action de contenu est disponible par défaut et elle s’appelle HTTP-Content.Standard.

Celle-ci permet la redirection d’IP et port + déchargement TLS/SSL.

images/03EP216.png

Profils TLS

Pourquoi ?

Les profils TLS (Transport Layer Security) sont un ensemble de réglages en sécurité (version TLS, conformité TLS, chiffrement PFS) utilisé dans les actions de proxy lors de l’inspection HTTPS (DPI SSL/TLS ou DPI SSL/TLS).

Ce qu’il faut savoir ici c’est que, par défaut, il y a quatre profils TLS disponibles pour l’inspection HTTPS :

  • TLS-Client.Standard (TLS v1.0 / OCSP désactivé / PFS autorisé / conforme TLS non appliqué)

  • TLS-Server.Standard (TLS v1.0 / OCSP NA / PFS autorisé / conforme TLS appliqué)

  • TLS-Client-HTTPS.Standard (TLS v1.0 / OCSP permissif / PFS autorisé / conforme TLS non appliqué)

  • TLS-Server-HTTPS.Standard (TLS v1.0 / OCSP NA / PFS autorisé / conforme TLS non appliqué)

Profils TLS que l’on peut déployer dans les quatre types d’actions de proxy suivants :

  • Proxy IMAP

  • Proxy HTTPS

  • Proxy POP3

  • Proxy SMTP

Informations

Chaque profil dispose de plusieurs options que l’on configure pour trouver un équilibre entre la « sécurité » et la « fonctionnalité ». Trop de sécurité va rendre l’expérience utilisateur infernale en bloquant les services. À l’inverse, pas de sécurité va rendre l’expérience utilisateur trop permissive, faisant prendre...

Gestion du trafic (TM + QoS)

Pourquoi ?

La gestion du trafic ou Traffic Management (TM) ne doit pas être confondue avec la qualité de service (QoS), ce sont deux services différents proposés par l’UTM :

Traffic Management (TM)

Permet de garantir un maximum et/ou un minimum aux flux qui passent par l’UTM, un peu comme une route avec plusieurs voies pour les voitures. Cela peut être décidé par interface, par protocole, par utilisateur ou encore par application :

  • La gestion du trafic se configure dans PARE-FEU - Gestion du trafic - Action de trafic.

  • Puis les actions sont activées dans les stratégies par l’onglet Gestion du trafic.

Quality of Service (QoS)

Permet de ralentir ou accélérer le flux, un peu à la manière d’un péage sur l’autoroute. La QoS fonctionne si l’ensemble des équipements sur le chemin entre la source et la destination respectent le marquage de la QoS. Internet ne permet pas de faire de la QoS car vous n’avez pas accès aux équipements entre la source et la destination. Donc les candidats idéaux pour la QoS sont les réseaux privés sur lesquels vous avez accès à la configuration ou alors lorsque l’on vous garantit la QoS.

La QoS se configure sur les stratégies, onglet Avancés - QoS.

Informations pour la gestion du trafic (TM)

Le principe...

Planification

Pourquoi ?

Cette fenêtre permet une planification des stratégies à partir d’un calendrier. Exemple : on peut choisir d’activer ou désactiver automatiquement une stratégie qui bloquerait les téléchargements pendant une plage horaire spécifique.

Informations

L’idée est de créer des calendriers en fonction des besoins. Il est possible d’utiliser un calendrier avec plusieurs stratégies. Dans le cas d’utilisation des services avec abonnements, WatchGuard recommande de faire plusieurs calendriers (exemple : WebBlocker). 

Pour activer la planification, allez dans Pare-feu - Planification - Always On. La configuration du calendrier se présente sous forme de tableau représentant la semaine et les heures.

SNAT (Static NAT)

Pourquoi ?

Le SNAT (Static Network Address Translation) est une méthode de traduction d’adresses IP qui permet d’établir une correspondance permanente entre une adresse IP publique et une adresse IP privée spécifique (de l’extérieur vers l’intérieur).

Contrairement au DNAT (Dynamic Network Address Translation) où les traductions d’adresses IP sont réalisées de manière dynamique lors de la communication (de l’intérieur vers l’extérieur), le SNAT utilise une configuration statique pour associer une adresse IP publique à une adresse IP privée spécifique.

Dans un scénario de SNAT, une adresse IP publique est réservée et assignée de manière fixe à un serveur interne du réseau local. Lorsqu’un paquet provenant de l’adresse IP privée spécifiée est envoyé vers Internet, l’adresse IP source du paquet est traduite en l’adresse IP publique correspondante. De cette manière, les communications sortantes semblent provenir de l’adresse IP publique assignée, tandis que les réponses correspondantes sont renvoyées à cette adresse IP publique et sont ensuite traduites en l’adresse IP privée appropriée pour atteindre le serveur interne.

Attention, il y a souvent une confusion entre SNAT (Static NAT) qui permet un flux de l’extérieur vers l’intérieur et SNAT (Source NAT) qui permet un flux de l’intérieur vers l’extérieur. Dans ce chapitre, nous parlons toujours de Static NAT pour désigner un flux entrant.

Informations

Sur un UTM WatchGuard, il y a deux actions SNAT possibles :

  • NAT statique : redirige le trafic WAN entrant vers une adresse IP du LAN avec port différent.

  • Équilibrage de charge côté serveur : redirige le trafic WAN entrant à plusieurs serveurs situés dans le LAN.

SNAT peut être utilisé dans le cadre d’un WAN/LAN mais aussi dans un cadre LAN/LAN.

WatchGuard parle de « Static NAT » lorsqu’il utilise le terme SNAT pour les entrées du flux sur le LAN.

images/03EP227.png

Logigramme SNAT

WatchGuard parle de « Dynamic NAT » lorsqu’il utilise le terme...

Gestion des paquets par défaut

Pourquoi ?

La gestion des paquets par défaut appelée en anglais Default Packet Handling Options permet à l’UTM l’analyse du flux en entrée et en sortie (IP et port), puis il cherche les suites de trames pouvant être une menace pour le réseau. Par défaut, il peut détecter et traiter les activités dangereuses suivantes :

  • Drop Spoofing Attacks (attaques par usurpation sur IPv4)

  • Drop IP Source Route, Record Route (IP de la route source et son enregistrement sur IPv4)

  • Block Port Scan (analyse de port sur IPv4)

  • Block IP Scan (analyse des IP sur IPv4)

  • Drop IPSEC Flood Attack (attaque IPsec Flood sur IPv4 et IPv6)

  • Drop IKE Flood Attack (attaque IKE Flood sur IPv4 et IPv6)

  • Drop ICMP Flood Attack (attaque ICMP Flood sur IPv4 et IPv6)

  • Drop SYN Flood Attack (attaque SYN Flood sur IPv4 et IPv6)

  • Drop UDP Flood Attack (attaque UDP Flood sur IPv4 et IPv6)

Il peut détecter et traiter les paquets non gérés avec deux options :

  • Bloquer automatiquement l’adresse IP source des paquets externes non traités (recommandé)

  • Relâcher le message d’erreur aux clients dont les connexions sont désactivées (pas vraiment nécessaire)

Nous vous recommandons de cocher la case Bloquer automatiquement l’adresse IP source des paquets externes non traités, c’est immédiat et très puissant...

Sites bloqués

Pourquoi ?

L’UTM peut bloquer des sites web (leurs adresses IP) lorsque l’option Bloquer automatiquement l’adresse IP source des paquets externes non traités est cochée dans le menu Gestion des paquets par défaut.

Il y a deux types de sites bloqués :

  • Permanent : sites ajoutés manuellement seulement depuis cette fenêtre : PARE FEU, Sites bloqués.

  • Temporairement : sites bloqués automatiquement si l’option Bloquer automatiquement l’adresse IP source des paquets externes non traités est cochée dans Gestion des paquets par défaut.

Sites bloqués en permanence (vers et depuis)

Les blocages permanents sont à ajouter manuellement dans cette fenêtre en appuyant sur le bouton AJOUTER.

Liste des sites bloqués automatiquement / temporairement bloqués

Si l’option Bloquer automatiquement l’adresse IP source des paquets externes non traités est activée, alors l’UTM refuse les connexions des sites temporairement bloqués pendant la durée de vingt minutes par défaut.

La liste des IP bloquées est disponible dans ÉTAT DU SYSTÈME - Site bloqués.

Informations

Exceptions aux sites bloqués

Dans le cas où l’UTM bloque un site fiable de manière récurrente, il faut ajouter une exception. Les sites ajoutés...

Ports bloqués

Pourquoi ?

L’UTM peut bloquer des ports réseau pour protéger votre SI des menaces. Dans la configuration par défaut, l’UTM bloque une liste de ports (TCP et UDP).

Quotas

Pourquoi ?

L’option Quotas permet de définir une limite de bande passante (Mo/j) et de temps (minutes/j) sur le flux bidirectionnel (TCP/UDP) des utilisateurs derrière l’UTM qui consultent des sites et services extérieurs. Généralement, il est utilisé pour du contrôle de temps et de bande passante des utilisateurs qui naviguent sur Internet.

Informations

Avant de pouvoir utiliser les quotas, vous devez ajouter des utilisateurs et des groupes à l’UTM. La raison principale est que les quotas fonctionnent sur les utilisateurs et les groupes.

  • Étape 1 : créer une règle de quotas qui définit les utilisateurs ou groupes et les actions (Mo/jour et Min/jour).

  • Étape 2 : appliquer une action de quota à une règle.

  • Étape 3 : activer la règle de quotas dans une stratégie qui a obligatoirement des utilisateurs ou groupes.

  • Étape 4 : appliquer des exceptions si nécessaire.

Exception : cela permet de ne pas compter le flux sur une destination spécifique.

Authentification des quotas : l’authentification utilisateur est obligatoire pour l’utilisation des quotas.

Réinitialiser un quota : manuellement, automatiquement à 00h00, lors de modification ou lors de redémarrage.

Statut des quotas : l’emplacement pour réinitialiser et voir le statut...