Vous louez des services vocaux à vos clients et souhaitez vous assurer que votre réseau n'est en aucun cas vulnérable aux attaques?
C’est le seul moyen d’assurer une disponibilité à 100%. Dans ce qui suit, je vais vous expliquer comment utiliser votre pare-feu Huawei pour mettre en œuvre ce type de scénario. Pour ce test, je vais utiliser un USG2110-A-GW-W => reportez-vous à la version d'affichage ci-dessous:
Logiciel de plate-forme de routage polyvalent Huawei
Version du logiciel: USG2110 V300R001C00SPC900 (logiciel VRP (R), version 5.30)
Droit d'auteur (C) 2008-2013 Huawei Technologies Co., Ltd.
Secospace USG2110-A-GW-W le temps de disponibilité est 0 semaine, 0 jour, 6 heures, 47 minutes
Lors de la discussion sur la mise en œuvre du filtrage de paquets avec état, la première chose à faire est d'utiliser ASPF. ASPF est simple à configurer car il vous suffit de configurer une seule commande (detect [protocol]). Le problème avec ASPF est que, pour le trafic vocal, principalement le trafic SIP, il ne peut détecter que l'adresse de destination et le numéro de port (5080), ajouter une entrée dans la table des sessions de pare-feu et autoriser tout le trafic vers cette destination spécifique avec le numéro de port de destination 5080. En raison de ce comportement, votre réseau devient vulnérable aux attaques DDOS UDP sur le port de destination 5080.
Pour résoudre ce problème, vous devez implémenter DPI (Deep Packet Inspection). Le DPI est une fonctionnalité de sécurité qui filtre les paquets en fonction des données de la couche application et offre une protection contre les attaques DDOS UDP.
J'ai configuré DPI en utilisant l'interface Web et je recommande de faire la même chose car la configuration de la CLI est vraiment complexe. Suivez les étapes ci-dessous pour configurer DPI:
Étape 1: accédez à http://sec.huawei.com et téléchargez le dernier package DPI - veuillez vous reporter aux images ci-dessous:
Choisissez la version du logiciel que vous utilisez sur votre Eudemon.
Sélectionnez le dernier package DPI et téléchargez-le.
Etape 2: téléchargez le package sur votre Eudemon via FTP / TFTP
Étape 3: Après avoir téléchargé le package sur votre pare-feu, je vous suggère de configurer DPI à partir de l'interface Web car la configuration de la CLI est vraiment complexe. Une fois connecté à l'interface Web, accédez à UTM => Policy
Étape 4: Ajouter une nouvelle politique en saisissant le nom et appliquer
Étape 5: Une fois la stratégie créée, vous devez la configurer pour autoriser uniquement le trafic VOIP et refuser tout autre trafic. Pour cela, appuyez sur le bouton de configuration:
Étape 6: Modifiez la stratégie de toutes les autorisations implicites en «Block», puis ajoutez une nouvelle règle:
Étape 7: Configurez la règle pour n’autoriser que le trafic VOIP (vous avez également la possibilité de sélectionner les protocoles spécifiques de la combinaison VOIP à autoriser)
Étape 8: Une fois cette stratégie créée avec succès, allez à Firewall => Security Policy => Forward Policy et ajoutez une nouvelle règle de transfert inter-zones pour les zones concernées:
Étape 9: Ajoutez les zones entre lesquelles le trafic SIP sera transféré, cochez la case Contrôle de l'application, sélectionnez la stratégie de contrôle que vous avez créée (dans ce cas, nommée «test») et Appliquez.
Félicitations! Vous avez maintenant un réseau vocal entièrement protégé.