j'ai compris

[Dr.WoW] [No.10] Politiques de sécurité dans la zone locale

publié il y a  2020-4-28 14:45:04 9 0 0 0

Les pare-feu transfèrent certains services sur les réseaux et traitent certains autres services. Par exemple, les administrateurs se connectent aux pare-feu pour la gestion; Les appareils Internet et les utilisateurs établissent des VPN avec les pare-feu; les pare-feu et les routeurs exécutent des protocoles de routage, tels que Open Shortest Path First (OSPF); et les pare-feu s'interconnectent avec les serveurs d'authentification.

Pour le traitement normal des services, nous devons configurer les politiques de sécurité correspondantes sur les pare-feu pour permettre la réception de paquets de services. Pour être précis, configurez les politiques de sécurité entre la zone locale des pare-feu et les zones de sécurité où résident les interfaces utilisées par les services.

Dans les parties précédentes, nous décrivons les politiques de sécurité pour les paquets passant par les pare-feu. Voyons maintenant comment configurer les politiques de sécurité pour les paquets à traiter par les pare-feu. Les paquets OSPF sont utilisés comme exemple.

1 Configuration d'une politique de sécurité dans la zone locale pour OSPF

Un USG9500 exécutant V300R001 est connecté à deux routeurs, comme illustré à la figure 1-1.

REMARQUE
Cette section vérifie la configuration de la politique de sécurité entre la zone de sécurité où réside l'interface de pare-feu et la zone locale lorsque le pare-feu participe au calcul de l'itinéraire OSPF. Si le pare-feu ne participe pas au calcul de l'itinéraire OSPF, transmet uniquement de manière transparente les paquets OSPF et utilise des interfaces dans différentes zones de sécurité pour envoyer et recevoir des paquets OSPF, une politique de sécurité doit être configurée sur le pare-feu pour permettre aux paquets OSPF de passer.

Figure 1-1 Mise en réseau pour l'échange de paquets OSPF

[Dr.WoW] [No.10] Stratégies de sécurité dans la zone locale-1311977-1

 

La configuration sur le pare-feu est la suivante:

[FW] interface GigabitEthernet1/0/1

[FW-GigabitEthernet1/0/1] ip address 192.168.0.1 24

[FW-GigabitEthernet1/0/1] quit

[FW] firewall zone untrust

[FW-zone-untrust] add interface GigabitEthernet1/0/1

[FW-zone-untrust] quit

[FW] ospf

[FW-ospf-1] area 1

[FW-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255

La configuration sur le routeur 1 est la suivante:

[Router1] interface GigabitEthernet0/0/1

[Router1-GigabitEthernet0/0/1] ip address 192.168.0.2 24

[Router1-GigabitEthernet0/0/1] quit

[Router1] interface GigabitEthernet0/0/2

[Router1-GigabitEthernet0/0/2] ip address 192.168.1.1 24

[Router1-GigabitEthernet0/0/2] quit

[Router1] ospf

[Router1-ospf-1] area 1

[Router1-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255

[Router1-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255

La configuration sur le routeur 2 est la suivante:

[Router2] interface GigabitEthernet0/0/1

[Router2-GigabitEthernet0/0/1] ip address 192.168.1.2 24

[Router2-GigabitEthernet0/0/1] quit

[Router2] ospf

[Router2-ospf-1] area 1

[Router2-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255


Par défaut, aucune politique de sécurité n'est définie entre la zone non fiable où réside GE1 / 0/1 et la zone locale, et par conséquent les paquets ne sont pas autorisés à voyager entre les zones.

Une fois la configuration terminée, exécutez la commande display ospf peer pour afficher la relation de voisin OSPF.

[FW] display ospf peer                                 

                                                                                

         OSPF Process 1 with Router ID 192.168.0.1                              

                 Neighbors                                                     

                                                                                

 Area 0.0.0.1 interface 192.168.0.1(GigabitEthernet1/0/1)'s neighbors            

 Router ID: 192.168.1.1    Address: 192.168.0.2                                 

   State: ExStart  Mode:Nbr is  Slave  Priority: 1                             

   DR: None   BDR: None   MTU: 0                                               

   Dead timer due in 32  sec                                                   

   Retrans timer interval: 0                                                    

   Neighbor is up for 00:00:00                                                 

   Authentication Sequence: [ 0 ]


Exécutez la commande display ospf peer sur le routeur 1 pour afficher la relation de voisin OSPF.

[Router1] display ospf peer                                               

                                                                               

         OSPF Process 1 with Router ID 192.168.1.1                           

                 Neighbors                                                      

                                                                               

 Area 0.0.0.1 interface 192.168.0.2(GigabitEthernet0/0/1)'s neighbors             

 Router ID: 192.168.0.1       Address: 192.168.0.1         GR State: Normal        

   State: ExStart  Mode:Nbr is  Slave  Priority: 1                             

   DR: 192.168.0.1  BDR: 192.168.0.2  MTU: 0                                         

   Dead timer due in 32  sec                                                   

   Neighbor is up for 00:00:00                                                 

   Authentication Sequence: [ 0 ]

 

                 Neighbors                                                     

                                                                                

 Area 0.0.0.1 interface 192.168.1.1(GigabitEthernet0/0/2)'s neighbors             

 Router ID: 192.168.1.2       Address: 192.168.1.2         GR State: Normal        

   State: Full  Mode:Nbr is  Slave  Priority: 1                             

   DR: 192.168.1.2  BDR: 192.168.1.1  MTU: 0                                         

   Dead timer due in 32  sec                                                   

   Neighbor is up for 00:09:28                                                 

   Authentication Sequence: [ 0 ]

 

L'état de voisin OSPF est ExStart sur le pare-feu et le routeur 1. Selon le processus d'établissement d'une relation de voisin OSPF illustré à la figure 1-2, nous pouvons constater que la relation de voisin OSPF n'a pas pu être établie car le pare-feu et le routeur 1 ne l'ont pas fait. ne pas échanger les paquets de description de base de données (DD).

Figure 1-2 Processus d'établissement d'une relation de voisinage OSPF

[Dr.WoW] [No.10] Stratégies de sécurité dans la zone locale-1311977-2

 

Il est suspecté que le pare-feu ait rejeté les paquets DD. Exécutez la commande display firewall statistic system discarded sur le pare-feu pour afficher des informations sur les paquets rejetés.

[FW] display firewall statistic system discarded              

Packets discarded statistic on slot 3 CPU 3                                    

                                   Total packets discarded :  31           

                                                                                

                                Total deny bytes discarded : 1,612            

                            Default deny packets discarded : 31


La sortie de la commande montre que les paquets ont été rejetés en raison du filtrage de paquets par défaut. Cela est dû au fait que nous n'avons pas configuré de politique de sécurité pour autoriser le passage des paquets DD, et par conséquent, les paquets correspondaient au filtrage de paquets par défaut et ont été rejetés. De plus, nous constatons que le nombre de paquets rejetés augmente, indiquant que le module OSPF continue d'envoyer des paquets DD pour établir la relation de voisinage OSPF, mais les paquets sont toujours rejetés.

Ensuite, nous configurons une politique de sécurité dans l'interzone Local-Untrust pour permettre le passage des paquets OSPF. Notez que la politique de sécurité doit être définie dans les directions entrantes et sortantes car le pare-feu doit envoyer et recevoir des paquets DD.

POINTE

Pour correspondre exactement à OSPF, nous utilisons l'ensemble de services OSPF fourni par les politiques de sécurité. Si cet ensemble de services n'est pas disponible, créez-le et définissez le numéro de protocole sur 89.

[FW] policy interzone local untrust inbound

[FW-policy-interzone-local-untrust-inbound] policy 1

[FW-policy-interzone-local-untrust-inbound-1] policy service service-set ospf

[FW-policy-interzone-local-untrust-inbound-1] action permit

[FW-policy-interzone-local-untrust-inbound-1] quit

[FW-policy-interzone-local-untrust-inbound] quit

[FW] policy interzone local untrust outbound

[FW-policy-interzone-local-untrust-outbound] policy 1

[FW-policy-interzone-local-untrust-outbound-1] policy service service-set ospf

[FW-policy-interzone-local-untrust-outbound-1] action permit


Exécutez la commande display ospf peer sur le pare-feu et le routeur 1 pour afficher la relation de voisin OSPF. Le résultat suivant peut apparaître après plusieurs minutes, ou nous pouvons exécuter la commande reset ospf process pour redémarrer le processus OSPF pour accélérer sa présentation.

[FW] display ospf peer                                 

                                                                               

         OSPF Process 1 with Router ID 192.168.0.1                              

                 Neighbors                                                      

                                                                               

 Area 0.0.0.1 interface 192.168.0.1(GigabitEthernet1/0/1)'s neighbors            

 Router ID: 192.168.0.2    Address: 192.168.0.2                                  

   State: Full  Mode:Nbr is  Slave  Priority: 1                             

   DR: 192.168.0.2   BDR: 192.168.0.1   MTU: 0                                               

   Dead timer due in 32  sec                                                   

   Retrans timer interval: 4                                                   

   Neighbor is up for 00:00:51                                                 

   Authentication Sequence: [ 0 ]

 

[Router1] display ospf peer                                              

                                                                               

         OSPF Process 1 with Router ID 192.168.1.1                           

                 Neighbors                                                      

                                                                               

 Area 0.0.0.1 interface 192.168.0.2(GigabitEthernet0/0/1)'s neighbors             

 Router ID: 192.168.0.1       Address: 192.168.0.1         GR State: Normal        

   State: Full  Mode:Nbr is  Slave  Priority: 1                             

   DR: 192.168.0.1  BDR: 192.168.0.2  MTU: 0                                         

   Dead timer due in 32  sec                                                   

   Neighbor is up for 00:00:00                                                 

   Authentication Sequence: [ 0 ]

 

                 Neighbors                                                     

                                                                               

 Area 0.0.0.1 interface 192.168.1.1(GigabitEthernet0/0/2)'s neighbors             

 Router ID: 192.168.1.2       Address: 192.168.1.2         GR State: Normal        

   State: Full  Mode:Nbr is  Slave  Priority: 1                             

   DR: 192.168.1.2  BDR: 192.168.1.1  MTU: 0                                         

   Dead timer due in 32  sec                                                   

   Neighbor is up for 01:35:43                                                 

   Authentication Sequence: [ 0 ]


Comme l'indique la sortie de la commande, la relation de voisinage OSPF a été établie et le pare-feu a appris la route OSPF vers le segment de réseau 192.168.1.0/24.

[FW] display ip routing-table protocol ospf                   

Route Flags: R - relay, D - download to fib                                    

------------------------------------------------------------------------------ 

Public routing table : OSPF                                                    

         Destinations : 2           Routes : 2                                 

                                                                               

OSPF routing table status : <Active>                                           

         Destinations : 1           Routes : 1                                 

                                                                               

Destination/Mask    Proto  Pre  Cost       Flags NextHop         Interface     

                                                                               

     192.168.1.0/24  OSPF   10   2         D     192.168.0.2     GigabitEthernet1/0/1


En conclusion, nous devons configurer une politique de sécurité entre la zone de sécurité où réside l'interface compatible OSPF et la zone locale pour permettre le passage des paquets OSPF, afin que le pare-feu puisse établir une relation de voisinage OSPF avec le périphérique connecté.

En fait, nous pouvons également considérer ce problème du point de vue des paquets unicast et multicast. Pour les pare-feu, les paquets unicast sont contrôlés par des politiques de sécurité dans la plupart des cas, et par conséquent, les politiques de sécurité doivent être configurées pour permettre aux paquets de passer. Cependant, les paquets de multidiffusion ne sont pas contrôlés par des politiques de sécurité et aucune politique de sécurité supplémentaire ne doit être configurée.

Quels paquets OSPF sont des paquets unicast et quels sont les paquets multicast? Les types de paquets OSPF varient selon les types de réseau, comme indiqué dans le tableau 1-1 .

CONSEIL
La commande ospf network-type peut être utilisée pour modifier le type de réseau OSPF.

Tableau 1-1 Types de réseaux et de paquets OSPF


Type de réseau

Bonjour

Base de données

La description

État du lien

Demande

État du lien

Mise à jour

État du lien

Ack

Diffuser

Multidiffusion

Unicast

Unicast

Multidiffusion

Multidiffusion

P2P

Multidiffusion

Multidiffusion

Multidiffusion

Multidiffusion

Multidiffusion

NBMA

Unicast

Unicast

Unicast

Unicast

Unicast

P2MP

Multidiffusion

Unicast

Unicast

Unicast

Unicast


Comme l'indique le tableau 1-1, lorsque le type de réseau est Diffusion, les paquets OSPF DD et LSR sont unicast et les politiques de sécurité doivent être configurées pour permettre aux paquets unicast de passer. Lorsque le type de réseau est P2P, tous les paquets OSPF sont multidiffusés et aucune politique de sécurité supplémentaire ne doit être configurée. Ce principe de configuration de politique de sécurité s'applique également aux types de réseaux NBMA et P2MP. Dans les réseaux réels, si l'état OSPF est anormal sur un pare-feu, vérifiez si les politiques de sécurité ne sont pas configurées pour les paquets OSPF unicast.

En plus des paquets OSPF, d'autres services que les pare-feu doivent traiter nécessitent la configuration de politiques de sécurité dans la zone locale pour permettre le passage des paquets. Dans la partie suivante, je vais vous expliquer comment configurer les politiques de sécurité pour ces services.

2 Quels protocoles nécessitent des politiques de sécurité configurées dans la zone locale sur les pare-feu?

Comme le montre la figure 1-3 , la série USG2000 / 5000 est utilisée comme exemple. Le pare-feu doit traiter les services suivants: un administrateur se connecte au pare-feu; le pare-feu s'interconnecte avec un serveur d'authentification; un périphérique Internet ou un utilisateur établit un VPN avec le pare-feu; et le pare-feu exécute OSPF pour communiquer avec un routeur.

REMARQUE Le
VPN GRE, le VPN L2TP, le VPN IPSec et le VPN SSL seront décrits dans les chapitres suivants.
Figure 1-3 Types courants de services traités par les pare-feu

[Dr.WoW] [No.10] Stratégies de sécurité dans la zone locale-1311977-3

 

Lors de la configuration des politiques de sécurité pour ces services, nous devons garantir le fonctionnement normal du service et sécuriser le pare-feu. Par conséquent, nous devons spécifier des conditions de correspondance affinées pour les politiques de sécurité. Comment spécifier des conditions d'appariement précises? Nous devons *** yze informations telles que les adresses source, les adresses de destination et les types de protocole des services.

Dans le tableau 1-2, je fournis des conditions de correspondance pour les services illustrés dans la figure 1-3 à titre de référence.
Tableau 1-1 Définition des conditions de correspondance dans les stratégies de sécurité basées sur des protocoles ou des applications


Un service

Conditions correspondantes dans les politiques de sécurité


Zone source

Zone de destination

Adresse source

Adresse de destination

Application ou protocole + port de destination

Telnet

Confiance

Local

192.168.0.2

192.168.0.1

Telnet

Ou port TCP + 23

SSH

Confiance

Local

192.168.0.2

192.168.0.1

SSH

Ou port TCP + 22

FTP

Confiance

Local

192.168.0.2

192.168.0.1

FTP

Ou TCP + port 21

HTTP

Confiance

Local

192.168.0.2

192.168.0.1

HTTP

Ou TCP + port 80

HTTPS

Confiance

Local

192.168.0.2

192.168.0.1

HTTPS

Ou port TCP + 443

RAYON

Local

DMZ

172.16.0.1

172.16.0.2

RAYON

Ou port UDP + 1645/1646/1812/1813 *

Envoi de paquets de négociation OSPF (sortants)

Local

Méfiance

1.1.1.1

1.1.1.2

OSPF

Réception des paquets de négociation OSPF (entrants)

Méfiance

Local

1.1.1.2

1.1.1.1

OSPF

Envoi de demandes d'établissement de tunnel VPN GRE (sortant)

Local

Méfiance

1.1.1.1

2.2.2.2

GRE

Réception des demandes d'établissement de tunnel GRE VPN (entrantes)

Méfiance

Local

2.2.2.2

1.1.1.1

GRE

Envoi de demandes d'établissement de tunnel VPN L2TP (sortant)

Local

Méfiance

1.1.1.1

2.2.2.2

L2TP

Ou UDP + port 1701

Réception des demandes d'établissement de tunnel VPN L2TP (entrantes)

Méfiance

Local

2.2.2.2

1.1.1.1

L2TP

Ou UDP + port 1701

Envoi de demandes d'établissement de tunnel VPN IPSec (sortant)

Local

Méfiance

1.1.1.1 **

2.2.2.2

Mode manuel:

Aucune configuration n'est requise.

Mode IKE (environnements de traversée non NAT):

UDP + port 500

Mode IKE (environnements de traversée NAT):

Ports UDP + 500 et 4500

Réception des demandes d'établissement de tunnel VPN IPSec (entrantes)

Méfiance

Local

2.2.2.2

1.1.1.1

Mode manuel:

AH / ESP

Mode IKE (environnements de traversée non NAT):

AH / ESP et UDP + port 500

Mode IKE (environnements de traversée NAT):

Ports UDP + 500 et 4500

VPN SSL

Méfiance

Local

TOUT

1.1.1.1

Mode fiable:

UDP + port 443 ***

Mode rapide:

UDP + port 443

*: Le numéro de port par défaut est utilisé ici. Pour le numéro de port spécifié, consultez la configuration du serveur RADIUS.

**: Dans les environnements de traversée NAT, les adresses source et de destination peuvent être des adresses publiques ou privées. Soyez soumis à la situation réelle.

***: Si le pare-feu prend en charge à la fois HTTPS et SSL VPN, soyez soumis à leurs ports réels.


 

 

 

 

Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici .


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise
Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.