Encapsulation d'un site Internet Ă  travers une politique IPSec

Tutoriel Stormshield

Tutorial Thumbnail

Nous disposons d'une architecture site à site reliant deux filiale de l'entreprise "CosmoTech". Cette derniÚre dispose de deux sites géographiques qui sont "LONDRES" (Royaume-Uni) et le site de "LILLE" (France) et ces derniers ont tout deux, deux firewalls Stormshield Network Security (SNS).


Le site de Londres souhaite accĂ©der Ă  un site internet français (ex : "impots.gouv.fr") et se retrouve bloquĂ© en raison de restrictions gĂ©ographiques imposĂ©es par le site Web. Notre objectif est de mettre en place un moyen de rendre accessible ce site internet depuis le site de LONDRES, par le paramĂ©trage d'une politique IPSec afin de router le flux en provenance du site de LONDRES dans le tunnel VPN IPSec afin qu'il sorte par l'accĂšs Internet de LILLE, en France.


Situation

L'entreprise dispose de l'infrastructure suivante :


  • L'entreprise dispose de deux rĂ©seaux locaux :
  • Site "LAN-LONDON" : 10.160.80.0/24
  • Site "LAN-LILLE" : 10.160.90.0/24
  • Le site de LONDRES Ă©tablie un tunnel IPSec vers le site de LILLE.
  • L'accĂšs au site Web "impots.gouv.fr" doit se rĂ©aliser depuis le site de LONDRES en passant par le tunnel, Ă  destination de LILLE.
  • Le site Web doit ĂȘtre accessible par le rĂ©seau local de LONDRES (10.160.80.0/24).


MĂ©thode de configuration

Au cours de ce tutoriel, nous allons vous présenter deux moyens de réaliser cette configuration et de la maniÚre à définir :

  • Tunnel IPSec par politique : Un tunnel VPN par politique chiffre et encapsule le trafic entre deux rĂ©seaux ou machines, dĂ©crits par cette politique.,
  • Tunnel IPSec par route (VTI) : Un tunnel VPN par route utilise des interfaces virtuelles vues comme des points d’entrĂ©e et de sortie du trafic passant Ă  travers le tunnel. Ce trafic est dĂ©crit par des routes..

Le rĂ©sultat sera le mĂȘme, c'est au niveau de la crĂ©ation du tunnel IPSec et de la logique de la maintenance des rĂ©seaux Ă  traverser dans le tunnel qui changera. Si aucun tunnel n'a Ă©tĂ© crĂ©Ă© entre les deux sites, dans votre cas, nous vous recommandons de suivre la mĂ©thode de crĂ©ation d'un tunnel IPSec par VTI.


Ces politiques sont à définir dans la partie CONFIGURATION > VPN > VPN IPSec > Site à Site (Gateway-Gateway).


Un tutoriel est disponible sur VemoTech.fr afin de prĂ©senter un mode opĂ©ratoire destinĂ© Ă  la crĂ©ation d'un tunnel IPSec site Ă  site 😉


Tunnel IPSec par politique

Nous devons ajouter une Phase 2 dans le tunnel IPSec, en précisant le coupe "réseau local source" (ici : réseau local "LAN-LONDON" - 10.160.80.0/24) et l'adresse IP Publique du site WEB (ici : "impots.gouv.fr" - adresse IP : "145.242.11.100").

On inversera le local / remote en fonction du firewall oĂč vous ajoutez la phase 2.


Pare-feu de LONDRES

  • RĂ©seau local : "LAN-LONDON"
  • RĂ©seau distant : objet machine "impots.gouv.fr"


Pare-feu de LILLE

  • RĂ©seau local : objet machine "impots.gouv.fr"
  • RĂ©seau distant : "LAN-LONDON"



Tunnel IPSec par VTI

Ici, nous allons créer notre politique IPSec avec chacune de nos VTI sources distinctes :

  • Site de "LONDRES" : VTI-LOND-LILLE - 10.10.4.1/30
  • Site de "LILLE" : VTI-LILLE-LOND - 10.10.4.2/30

On inversera le local / remote en fonction du firewall oĂč vous ajoutez la phase 2.


Pare-feu de LONDRES



Pare-feu de LILLE



Routage

Afin de transiter notre rĂ©seau, nous devons spĂ©cifier le fait de faire passer notre site internet Impotts.gouv.fr Ă  ĂȘtre encapsulĂ© dans le tunnel IPSec de niveau 3. Deux modes opĂ©ratoires sont prĂ©sentĂ©s :

  • Le routage statique,
  • Le routage PBR (routage par politique).


Routage statique

Nous devons créer une rÚgle de routage pour le site de destination (impots.gouv.fr) en passant par l'interface locale VTI, puis en routant le trafic vers l'interface VTI en face.


Cette partie se réalisera uniquement sur le firewall en FRANCE, celui qui a accÚs au site Web.




Soit les critĂšres techniques suivants :

  • RĂ©seau de destination : site internet Ă  "encapsuler" Ă  travers le tunnel IPSec par VTI - objet machine "impots.gouv.fr"
  • Interface : spĂ©cifier l'interface VTI du firewall (ici : VTI-LOND-LILLE pour le firewall de LONDRES)
  • Passerelle : VTI en face du tunnel IPSEC - depuis le firewall de LONDRES, mettre "VTI-LILLE-LOND"


Routage PBR

La seconde méthode bien plus fine et plus ciblée est de réaliser le routage par politique (PBR = Policy-Based Routing), qui sont des rÚgles de routage basé sur le filtrage.

L'objectif est donc de construire notre rÚgle de filtrage Internet classique (Réseau source local => Internet => Ports de destination) et de spécifier en plus dans la partie "Action", la VTI en face du site.


Vue firewall LONDRES :



Ordre de construction de la rĂšgle de filtrage :

  • Action : Autoriser ; et spĂ©cifier la route : VTI-DISTANTE - spĂ©cifier l'interface VTI du firewall (ici : VTI-LOND-LILLE pour le firewall de LONDRES)
  • Source : RĂ©seau Local (LAN-LONDON)
  • Destination : site internet Ă  "encapsuler" Ă  travers le tunnel IPSec par VTI - objet machine "impots.gouv.fr"
  • Port de destination : http ; https et dns


Astuce : double cliquer sur la rĂšgle afin d'afficher la fenĂȘtre de configuration de la rĂšgle de filtrage :





Cette rĂšgle nous permettra donc d'Ă©viter de router chaque site Internet dans le routage statique et ainsi ĂȘtre plus fin sur les permissions d'accĂšs par rĂ©seau source.


Ce qui peut ĂȘtre trĂšs intĂ©ressant Ă©galement serait de router directement tout "Internet". On choisira alors la destination comportant l'objet "Internet" :



Cette rĂšgle de filtrage PBR doit se rĂ©aliser sur le firewall qui souhaite router par l'adresse IP en face uniquement (et non sur les deux) ! 😉


Création des rÚgles de filtrage & de NAT

Nous devons ensuite ajouter une rĂšgle de NAT sur le Firewall de LILLE afin que le site internet "NAT" le flux en provenance du rĂ©seau local de LONDRES par son IP Publique. À noter qu'il faut impĂ©rativement activer l'option "NAT dans Tunnel IPSec" au niveau de cette rĂšgle de NAT. Pour rappel, cette partie se rĂ©alisera uniquement sur le firewall en FRANCE, celui qui a accĂšs au site Web.


Politique IPsec "Policy Based"

On va créer la rÚgle de filtrage qui autorisera depuis le site, donc le réseau local de LONDRES, à accéder à la ressource qui sera nattée dans le tunnel IPSec :

  • Source : RĂ©seau Local (LAN-LONDON) ;
  • Destination : objet machine "impots.gouv.fr" ;
  • Port de destination : il faut spĂ©cifier les ports (pas de "Any" !) - 'http' et 'https' (qui doivent correspondre Ă  la rĂšgle de NAT) et aux ports Web



Nous allons définir la politique NAT suivante :

  • Source :
  • RĂ©seau Local (LAN-LONDON)
  • Destination originale :
  • Machine de destination : objet machine "impots.gouv.fr"
  • Port de destination : il faut spĂ©cifier les ports (pas de "Any" !) - 'http' et 'https' (qui doivent correspondre Ă  la rĂšgle de filtrage)
  • Source translatĂ©e :
  • Machine source translatĂ©e : Firewall_out, qui sera l'adresse IP de sortie du firewall (IP publique cĂŽtĂ© LILLE)
  • Port source translatĂ© : "ephemeral_fw" et cocher la case "Choisir alĂ©atoirement le port source translatĂ©"
  • Options :
  • IMPORTANT : cocher la case : "NAT dans le tunnel IPSec (avant chiffrement, aprĂšs dĂ©chiffrement)"




Politique IPSec par VTI

On va créer la rÚgle de filtrage qui autorisera depuis le site, donc le réseau local de LONDRES, à accéder à la ressource qui sera nattée dans le tunnel IPSec :


  • Source : RĂ©seau Local (LAN-LONDON) et VTI source (VTI-LOND-LILLE)
  • Destination : objet machine "impots.gouv.fr"
  • Port de destination : il faut spĂ©cifier les ports (pas de "Any" !) - 'http' et 'https' (qui doivent correspondre Ă  la rĂšgle de NAT)



Nous allons définir la politique NAT suivante :

  • Source :
  • RĂ©seau Local (LAN-LONDON) et VTI source (VTI-LOND-LILLE)
  • Interface d'entrĂ©e : VTI-LILLE-LOND
  • Destination originale :
  • Machine de destination : objet machine "impots.gouv.fr"
  • Port de destination : il faut spĂ©cifier les ports (pas de "Any" !) - 'http' et 'https' (qui doivent correspondre Ă  la rĂšgle de filtrage)
  • Source translatĂ©e :
  • Machine source translatĂ©e : Firewall_out  qui sera l'adresse IP de sortie du firewall (IP publique cĂŽtĂ© LILLE)
  • Port source translatĂ© : "ephemeral_fw" et cocher la case "Choisir alĂ©atoirement le port source translatĂ©"
  • Options :
  • IMPORTANT : cocher la case : "NAT dans le tunnel IPSec (avant chiffrement, aprĂšs dĂ©chiffrement)"




Cas d'utilisation avec le routage par politique (PBR)

Un point important concernant la rÚgle de NAT afin d'encapsuler le site Internet : Les accÚs de filtrage se réaliseront directement dans la politique de filtrage et non plus dans la rÚgle de NAT. On pourra laisser Any en port source et ce sera bien par la rÚgle de filtrage que les ports de destination seront autorisés :




La différence est donc de laisser par défaut "Any", dans la colonne "Trafic original avant translation", au niveau des ports de destination.


Conclusion

Nous pouvons tester l'accessibilité du site internet à travers le site de Londres et nous devrions avoir accÚs à ce site à travers le tunnel IPSec.




Si vous n'avez pas forcément les moyens de tester ce cas pratique, vous pouvez suivre cette procédure avec un site internet qui affiche l'adresse IP publique, tel que "monip.org" par exemple, ce qui vous permettra de faire la différence avant et aprÚs l'application de cette procédure.


Cela est assez pratique dans le premier but de contourner les restrictions gĂ©ographiques ou restrictions par adresse IP source (exemple : IP source autorisĂ©e Ă  accĂ©der Ă  un site amĂ©ricain de streaming par exemple) 😉

Niveau Avancé

Technologie utilisée :

Proposer une modification
Antoine
Par Antoine
Rédigé le Samedi 25 Mai 2024