NAT dynamique : règle d'accès à Internet

Formation Stormshield Network Security

Tutorial Thumbnail

Le NAT Dynamique (Network Address Translation) consiste à fournir à un réseau local un accès à Internet à votre réseau local. L'objectif est donc de translater un réseau IP privé en une adresse IP publique.



Principe

Rappelons le, mais typiquement le réseau local n'est pas routable sur Internet (10.28.0.0/24, 192.168.0.0/24...). Il est nécessaire donc d'utiliser l'adresse IP publique fournie par votre FAI (par exemple via la fibre optique ou par l'interface modem PPPoE...).


Le NAT fonctionne en remplaçant l'adresse IP locale d'une machine par votre adresse IP publique afin d'accéder aux ressources situées en dehors de votre réseau. Pour ce faire, le routeur va attribuer chaque nouvelle connexion un port aléatoire éphémère pour les différencier.


Sur les pares-feux SNS, les r√®gles NAT doivent √™tre r√©alis√©es √† la main. Pour cela, acc√©der √† l'interface Web du SNS, puis rendez-vous dans la section CONFIGURATION > POLITIQUE DE S√ČCURIT√Č > Filtrage et NAT, puis le second onglet "NAT" :




Une règle de NAT en général est séparée en deux sections qui sont :

  • Le trafic avant translation : il s'agit du trafic original, trafic souhaitant √™tre translat√©, trafic arrivant sur les interfaces du pare-feu SNS.
  • Le trafic apr√®s translation : le paquet IP sortant des interfaces du pare-feu SNS.


Par défaut sur le pare-feu, aucune règle par défaut n'est créée car un pare-feu n'as pas forcément besoin d'accéder soit à Internet. Dans cette partie de l'interface, il peut y avoir plusieurs règles de NAT et l'ordre de lecture des règles est séquentiel.


Ces règles sont appliquées dans l'ordre de la priorité la plus haute vers la plus basse. Par défaut, chaque règle NAT est désactivée.


À noter que dans ce cas, la construction des règles NAT est toujours la même pour chaque réseau et il est important de réaliser ces règles avec précaution, car en cas d'erreur, ces règles peuvent éventuellement couper l'accès au SNS ! La connexion en mode console sera nécessaire afin de reprendre la main... Gardez également à l'esprit que les règles de filtrages ne remplacent pas les règles de NAT, elles sont également nécessaires.



Création d'une règle simple afin d'accéder à Internet

Lors de la création d'une règle NAT simple, celle-ci permets de rendre accessible une ressource en dehors d'un réseau, telle qu'elle est présentée. Cette ressource peut être par exemple un serveur Web, un serveur de messagerie, nécessitant d'être accessible depuis l'extérieur (Internet par exemple).


Source originale avant translation

Au niveau de l'édition, soit vous glissez-déposez chaque objet à son emplacement, ou bien vous double-cliquez sur la règle afin d'ouvrir l'assistant de création.

La partie "Source original" est le réseau local, la machine qui souhaite avoir un accès au réseau Internet. Deux volets sont présents qui sont : l'onglet Général et Configuration Avancée.


Dans l'onglet Général, vous pouvez choisir votre réseau source avant translation :




Vous n'êtes pas obligé de sélectionner une interface source. Le SNS détecte l'interface qui porte le réseau et qu'en cas d'usurpation, l'IPS de Stormshield bloquera cet accès.


Vous pouvez choisir √©galement le groupe en lecture seul "Network_Internals", mais je vous conseille de cr√©er une r√®gle par r√©seau, afin de mieux visualiser les choses ūüėČ

Si vous souhaitez, vous pouvez dédier, filtrer une règle à un utilisateur, un groupe récupérés depuis un annuaire LDAP configuré sur le pare-feu SNS. Nous verrons cela plus en détails prochainement dans la formation.



La partie Configuration Avancée est généralement la partie la moins utilisée. Elle recense d'option de paramétrer le port source et ainsi que le DSCP (pour la QoS). Aussi, vous pouvez choisir la méthode d'authentification afin que la règle matche :



Dans notre cas, nous n'allons pas modifier ces options.



Destination originale avant translation

Au niveau de la partie "Destination originale", on souhaite spécifier l'accès au réseau Internet. Dans la partie Générale, recherchez l'objet "Internet" et ajoutez-le en tant que machines destinations :




De plus, vous voyez également que vous pouvez spécifier une liste de ports de destination. Il est possible de mettre plusieurs type de ports.


Dans la partie Configuration Avanc√©e, vous pouvez sp√©cifier une interface de sortie, dans le cas o√Ļ vous avez plusieurs passerelles de sortie √† Internet. La publication ARP consiste √† faire en sorte que si l'adresse IP publique de destination (avant application du NAT) est une IP virtuelle et n'est pas celle de l'UTM, alors le m√©canisme va publier l'adresse MAC et IP de l'interface de sortie, g√©n√©ralement n√©cessaire pour les acc√®s √† des machines depuis Internet.




Dans notre cas, nous souhaitons créer une règle NAT permettant à un réseau local d'accéder à Internet. Ici, notre réseau local "Network_In" (1.2.3.0/24) doit accéder à Internet :




Nous allons ainsi spécifier le réseau source qui doit avoir accès à Internet, à destination de l'objet "Internet" (différent des réseaux locaux, de l'objet "Network_Internals"), qui est le trafic original avant translation.


Pourquoi ne pas mettre "Any" au lieu de l'objet "Internet" ? ūü§Ē

Le fait de mettre l'objet "Internet", permets de translater uniquement le trafic destiné à accéder à Internet. Si jamais vous mettez l'objet "Any", ce dernier représente tout le trafic, que cela soit des réseaux privée ou non, il va donc translater tout le trafic qui passe à travers cette règle NAT. Si jamais vous faite cette erreur, vous risquez donc de perdre l'accès à votre pare-feu SNS. Faite très attention !


Au niveau des ports de destination, nous souhaitons translater tout le trafic tel que les demandes HTTP, ICMP. Il est bien évidemment possible de créer une règle NAT de de dédier celle-ci à certains ports.



Source après translation

Apr√®s translation, c'est cette partie qui sortira sur l'interface du pare-feu. √Čtant donn√© que nous avons vu qu'un r√©seau local n'est pas accessible depuis Internet, nous devons modifier l'adresse IP source par l'adresse IP publique de notre FAI (ou celle de notre Box Internet qui porte l'adresse IP publique du FAI). Niveau th√©orique du NAT, on va modifier le champ "Source" par l'adresse IP publique vers la destination, qui elle ne change pas.


On va modifier ainsi deux choses : la source et les ports sources.


L'interface source sera effectivement l'interface de sortie raccordée au pare-feu. Il peut s'agir de votre IP publique, de votre modem, ou bien l'adresse IP privée du réseau de la box d'accès à Internet. Il s'agit donc de la source qui sera routable sur Internet, l'équipement qui à accès à Internet :




Dans notre règle de NAT, nous avons définis trois paramètres :

  • Machine source translat√©e : adresse IP de l'interface de sortie du pare-feu (par d√©faut : "Firewall_out"), connect√©e √† Internet.
  • Port source translat√© : choisir l'objet "ephemeral_fw", qui est une rang√©e de num√©ro de ports allant de 20000 √† 59999, utilis√© pour des protocoles de la couche de transport. Ils sont utilis√©s pendant une courte p√©riode, lors de la dur√©e d‚Äôune session de communication. Ces ports de courte dur√©e sont allou√©s automatiquement dans une plage pr√©d√©finie.
  • Activer l'option "Choisir al√©atoirement le port source translat√©" : sans l'option, chaque connexion utilisera un port qui commencera de 20000 en incr√©mentant toujours de 1 pour chacune des connexions √©tablies, ce qui peut rendre pr√©visible la connexion. Le fait d'activer cette option permets alors de choisir de mani√®re al√©atoire le num√©ro de port de connexion, augmentant ainsi la pr√©diction du num√©ro de port de connexion.


ūüĎČ La destination quant √† elle ne change pas et de m√™me que pour le port de destination. Il s'agit de l'adresse publique du serveur de destination (serveur Web par exemple).

À noter que quand dans la colonne, la case est blanche, les valeurs sont celles du trafic original :



Ainsi, voici à ce quoi ressemble la partie après translation :




Règle complète

Voici un aperçu général de la règle créée :




Dans ce cas, vous n'êtes pas obligé de spécifier une interface mais utile pour gagner un peu plus de temps, vous pouvez quand même spécifier l'interface de sortie du pare-feu afin d'éviter au SNS d'analyser et de trouver la correspondance avec le réseau et l'interface.


Modifier les options de la règle

Des options peuvent êtres activées : le niveau de filtrage et NAT dans le tunnel IPsec (avant chiffrement, après déchiffrement). Ces options sont uniquement disponibles en double-cliquant sur la règle NAT, puis dans la partie "Options" :




Nous verrons la partie "Niveau de trace" dans la partie "Règles de filtrage" dans le cadre de la formation.


Avec cette r√®gle de configur√©e, on n'oublie pas de l'activer en double cliquant sur l'√©tat "On" , et normalement le r√©seau local source disposera d'un acc√®s √† Internet ! ūüėÄ


ūüĎČ Cependant, il est n√©cessaire de cr√©er des r√®gles de filtrages afin d'autoriser l'acc√®s √† Internet. Par d√©faut, le pare-feu bloque tout trafic et c'est justement l'objectif du prochain tutoriel de cette formation.


Règle de partage d'adresse source (masquerading)

La règle de partage d'adresse source (masquerading) permets de définir automatiquement les ports éphémères, qui est la seule différence. Dans notre cas nous avons réalisé la configuration de la règle de NAT au complet, afin de mieux situer et comprendre les choses.



Les séparateurs

Les séparateurs sont des repères visuels, afin de mieux classifier et ranger vos différentes règles. Il s'agit ici juste d'une question d'affichage et n'impacte pas les règles. Vous pouvez y insérer du texte, mais également changer la couleur de celui-ci :




Le séparateur comptabilise le nombre de règles englobées et l'intervalle des règles comprises au prochain séparateur. Vous pouvez déplier / replier également celui-ci :




Les jeux de règles

Stormshield a décidé de proposer un système de slot, un système de jeux de 10 règles. Par défaut, six règles sont prédéfinis par défaut dont 4 volets vides.

Vous pouvez retrouver ce menu en haut à gauche de l'interface :




Le slot actif est caract√©ris√© par l'ic√īne vert ou un ic√īne orange indiquant que les modifications ont √©t√© enregistr√©es, mais qu'elle n'ont pas √©t√© activ√©es et prises en compte par l'administrateur, si jamais vous cliquez sur le bouton "Plus tard" :




Chaque changement de slot prends en compte le changement des règles de filtrages et des règles de NAT !


Il est très conseillé de ne pas modifier ou d'ajouter vos propres règles dans les slots par défaut mais d'utiliser un slot vide pour vos règles de filtrages et de NAT. Si jamais vous avez un problème avec vos règles, il sera très facile de modifier le slot en cours d'utilisation en CLI.



N'oubliez pas qu'une r√®gle de NAT et de filtrage sont √† prendre en compte toutes les deux et sont √† faire en m√™me temps, et inversement ! Une r√®gle de NAT n'est pas suffisante pour autoriser le trafic √† acc√©der √† la ressource. Dans le cadre d'une r√®gle de NAT dynamique, lors de l'acc√®s √† Internet, il est n√©cessaire de cr√©er par la suite des r√®gles de filtrages autorisant ces flux ūüėČ

Niveau Intermédiaire

Technologie utilisée :

Proposer une modification
Antoine
Par Antoine
Rédigé le Jeudi 26 Octobre 2023