Gestion des interfaces réseaux

Formation Stormshield Network Security

Tutorial Thumbnail
  1. Tutoriels
  2. Stormshield
  3. Gestion des interfaces réseaux

Comme pour chaque équipement informatique, il est trÚs probable que celui-ci nécessite de se connecter à un ou plusieurs réseaux informatiques soit en tant que client ou en tant que distributeur. Dans cette partie trÚs important, nous allons voir que lors de la configuration des pares-feux Stormshield Network Security, il est nécessaire de créer des connexions capables d'interagir soit avec un réseau public - dans le cas d'un accÚs à Internet par exemple - ou bien un réseau privé qui sera distribué par le pare-feu et configuré avec des rÚgles de sécurité différentes et créer un adressage IP conforme aux topologies réseaux spécifiées.


Dans ce regroupement de chapitre consacrĂ© au module RÉSEAU du pare-feu dans formation SNS, nous allons voir ensemble les notions de configuration des interfaces publiques et protĂ©gĂ©es, crĂ©er un regroupement d'interfaces par pont (mode bridge) ou alors d'autres interfaces rĂ©seaux tels qu'une interfaces VLAN ; GRETAP ; Modem ; mais Ă©galement crĂ©er un profil d'interface USB, pour les clĂ©s 4G branchĂ©es sur le pare-feu sur un port USB.


Sommaire
  1. Les interfaces physiques
    1. Les interfaces externes
    2. Les interfaces internes
  2. Interface bridge
  3. Interfaces VLAN
    1. VLAN Ă  une interface
  4. Interface GRETAP

Les interfaces physiques

Comme pour tout systĂšme informatique connectĂ©, il est nĂ©cessaire de disposer d’un moyen de communication afin d’interconnecter le pĂ©riphĂ©rique Ă  un rĂ©seau spĂ©cifique comme Internet par exemple. Dans l'onglet « Interfaces Â» de l’interface, vous disposez d'une vue gĂ©nĂ©rale des interfaces physiques et virtuelles connectĂ©es et crĂ©Ă©es sur le pare-feu.

Par défaut, vous obtenez une vue globale des interfaces physiquement connectées sur le pare-feu.


Stormshield a dĂ©fini deux types de classification d’interfaces :

  • Une interface publique Externe,
  • Une interface interne ProtĂ©gĂ©e.



Visualisation des interfaces physiques du SNS



Les interfaces externes

Une interface externe (publique) est indispensable Ă  la connexion Ă  un rĂ©seau public tel que le rĂ©seau Internet ou bien un rĂ©seau interne public Ă  l’entreprise. Ce type d'interface peut accepter tout type de paquets provenant de n'importe quel plan d'adressage qui ne fait pas partie des plans d'adresse des interfaces internes au pare-feu.


Ces interfaces sont naturellement tolérantes vis-à-vis des IP sources qui leur sont présentées.


Les interfaces internes

Une interface interne protĂ©gĂ©e permet de distribuer soit le rĂ©seau directement connectĂ© et donc dĂ©duit de l’adresse de l’interface ou bien par un routage statique partant de cette interface spĂ©cifique. Ce type d'interface offre une protection interne spĂ©cifique au pare-feu Stormshield tel qu’une mĂ©morisation des machines connectĂ©es, mais encore le systĂšme d’usurpation d’adresses IP proposĂ© par le moteur IPS, qui sera dĂ©fini par la suite dans les rĂšgles de filtrages.


Ces interfaces sont intolérantes vis-à-vis des IP sources qui leur sont étrangÚres (IP address spoofing, type1). Les réseaux directement attachés à ces interfaces ou associées à ces interfaces par des routes statiques héritent du caractÚre "protégé".


Ils entrent alors dans le groupe de rĂ©seau "Network_internals". Ils peuplent la table des "Protected Addresses" (protaddr) ‱ Enregistrement dans la table des hĂŽtes des adresses IP qui se prĂ©sentent lĂ©gitimement sur ces interfaces.


Généralement, les interfaces proposées depuis l'interface de visualisation des interfaces physiques et regroupées dans un bridge. Le nombre d'interfaces proposées correspond aux interfaces physiques disponibles sur le parc le pare-feu virtuel.


À noter que les interfaces privĂ©es sont diffĂ©renciĂ©es par une icĂŽne symbolisant un bouclier . L'icĂŽne indique que l’administrateur est connectĂ© au pare-feu depuis l’interface correspondante.


ConcrĂštement, pendant la conception de votre architecture rĂ©seau, si vous souhaitez connecter votre pare-feu Ă  un rĂ©seau public que vous ne gĂ©rez pas (
Et donc que vous ne faites pas confiance) choisissez d’utiliser une interface externe publique. Si en revanche vous souhaitez crĂ©er un rĂ©seau privĂ© de confiance depuis le pare-feu Stormshield et que le distribuerais par la suite dans un rĂ©seau local par exemple, utilisez une interface interne protĂ©gĂ©e.



Interface bridge

Un bridge est une interface logique rassemblant plusieurs interfaces physiques. Il permet de segmenter physiquement un rĂ©seau logique et ainsi de soumettre Ă  une politique de sĂ©curitĂ©, des flux rĂ©seaux entre des machines du mĂȘme plan d’adressage. En conservant un mĂȘme rĂ©seau logique, cette segmentation Ă©vite de multiplier les plans d’adressage Ă  gĂ©rer.


La création d'un "bridge" doit contenir au minimum deux interfaces. Ce bridge est configurable depuis l'interface Web SNS :




Cliquez sur le bouton Ajouter > Bridge > Sans membre ou bien alors, sélectionnez les interfaces membre du nouveau bridge, puis Ajouter > Bridge > Avec "interface A, interface B".


L'adresse IP et l'adresse MAC est communes Ă  toutes les interfaces qui font parties de ce bridge. La MTU est Ă©galement commune Ă  toutes les interfaces de celui-ci.


SNS permet de dĂ©finir plusieurs bridges. La limitation du nombre de bridge maximum dĂ©pend du modĂšle d’Appliance et peut ĂȘtre consultĂ© par la commande Shell :

sfctl -s limit


Les Ă©changes ARP, qui permettent la dĂ©couverte des adresses physiques de machines du mĂȘme rĂ©seau logique, circulent librement au travers d’un bridge; comme sur un LAN. Un bridge permet la diffusion, sans aucune analyse, de protocoles non IPv4, tels que IPX, Appletalk, NetBIOS,




Interfaces VLAN

Deux types de VLAN proposés :

  • VLAN rattachĂ© Ă  UNE interface (extrĂ©mitĂ© du VLAN) : Le pare-feu assure le filtrage entre les VLAN et assure la communication entre les VLAN et les rĂ©seaux connectĂ©s aux autres interfaces du pare-feu. Ils peuvent ĂȘtre placĂ©s en fin de VLAN pour ajouter ou supprimer des balises VLAN. Les VLAN sont perçus par le firewall comme appartenant Ă  des interfaces virtuelles, ce qui permet leur totale intĂ©gration au sein du rĂ©seau.
  • VLAN rattachĂ© Ă  DEUX interfaces (VLAN transversal) : mĂȘme principe, sauf que les interfaces VLAN seront crĂ©Ă©e dans un bridge et donc aura l'ID du VLAN commun aux deux.


VLAN Ă  une interface

L'interface est directement rattachée à une interface physique. Cette derniÚre est obligatoirement raccordée au switch qui diffuse ou transmets le VLAN 802.1Q créé. Le but de l'interface VLAN sur le SNS est qu'il sera capable d'identifier le trafic source. En effet, l'interface VLAN est considérée comme une interface, mais virtuellement. Qui dit interface, dit adresse IP pour celle-ci.


Se connecter à l'interface d'administration, puis aller dans CONFIGURATION > RÉSEAU > Interfaces.

Sélectionnez l'interface réseau rattachée au switch, puis clic droit sur l'interface > Ajouter > VLAN.



Plusieurs informations Ă  respecter :

  • Nom de l'interface du VLAN (respectez le mĂȘme nom),
  • Commentaire : descriptif de l'interface VLAN (ressources qui y'a derriĂšre),
  • Interface parente : "in",
  • Identifiant : ID du VLAN (ici : 10),
  • Cette interface est : INTERNE (car le trafic proviendra du firewall),
  • Plan d'adressage fixe : @IP de la GW pour ce rĂ©seau + masque CIDR


Interface GRETAP

Un firewall SNS est capable d'encapsuler le trafic de niveau 2 le traversant. Ceci est utile si vous souhaitez Ă©tendre un rĂ©seau local Ă  un site distant, si vous souhaitez utiliser le mĂȘme rĂ©seau sur les deux sites.


Les avantages de cette solution sont nombreux :

  • Vous n'aurez pas besoin de crĂ©er un rĂ©seau par site et de crĂ©er les rĂšgles de routages qui vont bien pour les sous-rĂ©seaux,
  • Pas besoin de re/configurer les ordinateurs clients : le fonctionnement sera transparent car il verra uniquement un seul rĂ©seau pour les deux sites,
  • Le domaine de diffusion partagĂ© (prend en charge 802.1Q) permet d'utiliser les protocoles (y compris la multidiffusion et IPv6) sans routage,
  • Le rĂ©seau est adaptable et flexible si jamais un nouveau site devait s'y rajouter dans le future se fera simplement : il suffira de rajouter l'interface.


Pour cela, le systÚme s'appuie sur l'interface GRETAP (Generic Routing Encapsulation TAP), qui n'est autre qu'un tunnel GRE (RFC 2784 et 2890) avec le champ type de protocole défini sur 0x6558 (Transparent Ethernet Bridging) pour supporter la norme NVGRE ( en utilisant Generic Routing Encapsulated Network Virtualization - RFC 7637).




L'interface doit ĂȘtre rattachĂ©e Ă  un bridge, afin de diffuser l'interface du rĂ©seau local vers les diffĂ©rents sites. Ainsi, les donnĂ©es GRE doivent prendre comme source l'interface VTI locale Ă  destination de la VTI du second firewall. Si vous disposez dĂ©jĂ  d'une topologie VPN, crĂ©Ă©e en une seconde et placez les bonnes interfaces VTI.


Si il s'agit d'une interface locale au firewall, l'interface GRETAP doit avoir la mĂȘme caractĂ©ristique (ici : interface interne protĂ©gĂ©e).

Niveau DĂ©butant

Technologie utilisée :

Prérequis :

Proposer une modification
Antoine
Par Antoine
Rédigé le Mardi 08 Février 2022