Gestion des interfaces réseaux

Formation Stormshield Network Security

Tutorial Thumbnail

Comme pour chaque équipement informatique, il est très probable que celui-ci nécessite de se connecter à un ou plusieurs réseaux informatiques soit en tant que client ou en tant que distributeur. Dans cette partie très important, nous allons voir que lors de la configuration des pares-feux Stormshield Network Security, il est nécessaire de créer des connexions capables d'interagir soit avec un réseau public - dans le cas d'un accès à Internet par exemple - ou bien un réseau privé qui sera distribué par le pare-feu et configuré avec des règles de sécurité différentes et créer un adressage IP conforme aux topologies réseaux spécifiées.


Dans ce regroupement de chapitre consacré au module RÉSEAU du pare-feu dans formation SNS, nous allons voir ensemble les notions de configuration des interfaces publiques et protégées, créer un regroupement d'interfaces par pont (mode bridge) ou alors d'autres interfaces réseaux tels qu'une interfaces VLAN ; GRETAP ; Modem ; mais également créer un profil d'interface USB, pour les clés 4G branchées sur le pare-feu sur un port USB.


Les interfaces physiques

Comme pour tout système informatique connecté, il est nécessaire de disposer d’un moyen de communication afin d’interconnecter le périphérique à un réseau spécifique comme Internet par exemple. Dans l'onglet « Interfaces » de l’interface, vous disposez d'une vue générale des interfaces physiques et virtuelles connectées et créées sur le pare-feu.

Par défaut, vous obtenez une vue globale des interfaces physiquement connectées sur le pare-feu.


Stormshield a défini deux types de classification d’interfaces :

  • Une interface publique Externe,
  • Une interface interne Protégée.



Visualisation des interfaces physiques du SNS



Les interfaces externes

Une interface externe (publique) est indispensable à la connexion à un réseau public tel que le réseau Internet ou bien un réseau interne public à l’entreprise. Ce type d'interface peut accepter tout type de paquets provenant de n'importe quel plan d'adressage qui ne fait pas partie des plans d'adresse des interfaces internes au pare-feu.


Ces interfaces sont naturellement tolérantes vis-à-vis des IP sources qui leur sont présentées.


Les interfaces internes

Une interface interne protégée permet de distribuer soit le réseau directement connecté et donc déduit de l’adresse de l’interface ou bien par un routage statique partant de cette interface spécifique. Ce type d'interface offre une protection interne spécifique au pare-feu Stormshield tel qu’une mémorisation des machines connectées, mais encore le système d’usurpation d’adresses IP proposé par le moteur IPS, qui sera défini par la suite dans les règles de filtrages.


Ces interfaces sont intolérantes vis-à-vis des IP sources qui leur sont étrangères (IP address spoofing, type1). Les réseaux directement attachés à ces interfaces ou associées à ces interfaces par des routes statiques héritent du caractère "protégé".


Ils entrent alors dans le groupe de réseau "Network_internals". Ils peuplent la table des "Protected Addresses" (protaddr) • Enregistrement dans la table des hôtes des adresses IP qui se présentent légitimement sur ces interfaces.


Généralement, les interfaces proposées depuis l'interface de visualisation des interfaces physiques et regroupées dans un bridge. Le nombre d'interfaces proposées correspond aux interfaces physiques disponibles sur le parc le pare-feu virtuel.


À noter que les interfaces privées sont différenciées par une icône symbolisant un bouclier . L'icône indique que l’administrateur est connecté au pare-feu depuis l’interface correspondante.


Concrètement, pendant la conception de votre architecture réseau, si vous souhaitez connecter votre pare-feu à un réseau public que vous ne gérez pas (…Et donc que vous ne faites pas confiance) choisissez d’utiliser une interface externe publique. Si en revanche vous souhaitez créer un réseau privé de confiance depuis le pare-feu Stormshield et que le distribuerais par la suite dans un réseau local par exemple, utilisez une interface interne protégée.



Interface bridge

Un bridge est une interface logique rassemblant plusieurs interfaces physiques. Il permet de segmenter physiquement un réseau logique et ainsi de soumettre à une politique de sécurité, des flux réseaux entre des machines du même plan d’adressage. En conservant un même réseau logique, cette segmentation évite de multiplier les plans d’adressage à gérer.


La création d'un "bridge" doit contenir au minimum deux interfaces. Ce bridge est configurable depuis l'interface Web SNS :




Cliquez sur le bouton Ajouter > Bridge > Sans membre ou bien alors, sélectionnez les interfaces membre du nouveau bridge, puis Ajouter > Bridge > Avec "interface A, interface B".


L'adresse IP et l'adresse MAC est communes à toutes les interfaces qui font parties de ce bridge. La MTU est également commune à toutes les interfaces de celui-ci.


SNS permet de définir plusieurs bridges. La limitation du nombre de bridge maximum dépend du modèle d’Appliance et peut être consulté par la commande Shell :

sfctl -s limit


Les échanges ARP, qui permettent la découverte des adresses physiques de machines du même réseau logique, circulent librement au travers d’un bridge; comme sur un LAN. Un bridge permet la diffusion, sans aucune analyse, de protocoles non IPv4, tels que IPX, Appletalk, NetBIOS,…



Interfaces VLAN

Deux types de VLAN proposés :

  • VLAN rattaché à UNE interface (extrémité du VLAN) : Le pare-feu assure le filtrage entre les VLAN et assure la communication entre les VLAN et les réseaux connectés aux autres interfaces du pare-feu. Ils peuvent être placés en fin de VLAN pour ajouter ou supprimer des balises VLAN. Les VLAN sont perçus par le firewall comme appartenant à des interfaces virtuelles, ce qui permet leur totale intégration au sein du réseau.
  • VLAN rattaché à DEUX interfaces (VLAN transversal) : même principe, sauf que les interfaces VLAN seront créée dans un bridge et donc aura l'ID du VLAN commun aux deux.


VLAN à une interface

L'interface est directement rattachée à une interface physique. Cette dernière est obligatoirement raccordée au switch qui diffuse ou transmets le VLAN 802.1Q créé. Le but de l'interface VLAN sur le SNS est qu'il sera capable d'identifier le trafic source. En effet, l'interface VLAN est considérée comme une interface, mais virtuellement. Qui dit interface, dit adresse IP pour celle-ci.


Se connecter à l'interface d'administration, puis aller dans CONFIGURATION > RÉSEAU > Interfaces.

Sélectionnez l'interface réseau rattachée au switch, puis clic droit sur l'interface > Ajouter > VLAN.



Plusieurs informations à respecter :

  • Nom de l'interface du VLAN (respectez le même nom),
  • Commentaire : descriptif de l'interface VLAN (ressources qui y'a derrière),
  • Interface parente : "in",
  • Identifiant : ID du VLAN (ici : 10),
  • Cette interface est : INTERNE (car le trafic proviendra du firewall),
  • Plan d'adressage fixe : @IP de la GW pour ce réseau + masque CIDR


Interface GRETAPP

Un firewall SNS est capable d'encapsuler le trafic de niveau 2 le traversant. Ceci est utile si vous souhaitez étendre un réseau local à un site distant, si vous souhaitez utiliser le même réseau sur les deux sites.


Les avantages de cette solution sont nombreux :

  • Vous n'aurez pas besoin de créer un réseau par site et de créer les règles de routages qui vont bien pour les sous-réseaux,
  • Pas besoin de re/configurer les ordinateurs clients : le fonctionnement sera transparent car il verra uniquement un seul réseau pour les deux sites,
  • Le domaine de diffusion partagé (prend en charge 802.1Q) permet d'utiliser les protocoles (y compris la multidiffusion et IPv6) sans routage,
  • Le réseau est adaptable et flexible si jamais un nouveau site devait s'y rajouter dans le future se fera simplement : il suffira de rajouter l'interface.


Pour cela, le système s'appuie sur l'interface GRETAP (Generic Routing Encapsulation TAP), qui n'est autre qu'un tunnel GRE (RFC 2784 et 2890) avec le champ type de protocole défini sur 0x6558 (Transparent Ethernet Bridging) pour supporter la norme NVGRE ( en utilisant Generic Routing Encapsulated Network Virtualization - RFC 7637).




L'interface doit être rattachée à un bridge, afin de diffuser l'interface du réseau local vers les différents sites. Ainsi, les données GRE doivent prendre comme source l'interface VTI locale à destination de la VTI du second firewall. Si vous disposez déjà d'une topologie VPN, créée en une seconde et placez les bonnes interfaces VTI.


Si il s'agit d'une interface locale au firewall, l'interface GRETAPP doit avoir la même caractéristique (ici : interface interne protégée).



Sources :

  • https://doc.ycharbi.fr/index.php/Encapsulation_niveau_2_-_stormshield

Niveau Débutant

Technologie utilisée :

Prérequis :

Proposer une modification
Antoine
Par Antoine
Rédigé le Mardi 08 Février 2022