[Dr.WoW] [No.12] Précautions de configuration et guide de dépannage

1 politique de sécurité
Dans les réseaux réels, des politiques de sécurité inappropriées entraînent souvent des interruptions de service. La commande display firewall statistic system discard peut être utilisée pour afficher des statistiques sur les paquets rejetés par les pare-feu. En analysant la sortie de la commande, nous pouvons déterminer si les paquets sont ignorés en raison de politiques de sécurité. Par exemple:

[FW] display firewall statistic system discard

Packets discarded statistic

Total packets discarded: 10

ACL deny packets discarded: 5

Default deny packets discarded: 5

Dans la sortie de la commande, la valeur "ACL refuser les paquets rejetés" indique le nombre de paquets rejetés en raison de politiques de sécurité. la valeur "Refuser par défaut les paquets rejetés" indique le nombre de paquets rejetés en raison du filtrage de paquets par défaut. Si les statistiques sur les paquets rejetés contiennent les informations précédentes, les stratégies de sécurité sont inexactes et doivent être dépannées.

Commencez par vérifier les conditions de correspondance dans les stratégies de sécurité. Si les conditions de correspondance sont incorrectes, les paquets ne peuvent pas correspondre aux politiques de sécurité et, par conséquent, les pare-feu ne peuvent pas effectuer les actions prédéfinies sur les paquets. Une fois la stratégie de sécurité configurée sur un pare-feu, si celui-ci ne traite pas les paquets de la manière attendue, vous devez vérifier la configuration de la stratégie de sécurité.

[FW] display policy interzone trust untrust outbound

policy interzone trust untrust outbound

firewall default packet-filter is deny

policy 1 (0 times matched)

action permit

policy service service-set http (predefined)

policy source 192.168.0.1 0

policy destination 172.16.0.1 0

Dans la sortie de commande précédente, 0 paquet correspondait à la stratégie 1. Si l'interface correspondante a été ajoutée à la zone de sécurité correcte, nous devons vérifier si les conditions de la stratégie sont correctes.

Deuxièmement, si plusieurs politiques de sécurité sont configurées dans un interzone, faites attention à leur séquence correspondante. Dans l'exemple suivant, deux stratégies de sécurité sont configurées dans l'interzone Trust-Untrust.

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 1

[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-1] policy destination 172.16.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-1] action permit

[FW-policy-interzone-trust-untrust-outbound-1] quit

[FW-policy-interzone-trust-untrust-outbound] policy 2

[FW-policy-interzone-trust-untrust-outbound-2] policy source 192.168.0.100 0

[FW-policy-interzone-trust-untrust-outbound-2] action deny

[FW-policy-interzone-trust-untrust-outbound-2] quit

Comme l'étendue de l'adresse source dans la politique 1 couvre celle de la politique 2, les paquets de 192.168.0.100 correspondent toujours à la politique 1 et passent à travers le pare-feu. L'action deny définie dans la politique 2 pour les paquets de 192.168.0.100 ne sera jamais prise.

Pour résoudre ce problème, nous pouvons exécuter la commande suivante pour déplacer la stratégie 2 avant la stratégie 1.

[FW-policy-interzone-trust-untrust-outbound] policy move 2 before 1

Ensuite, les paquets de 192.168.0.100 correspondent d’abord à la stratégie 2 et sont refusés par le pare-feu.

policy interzone trust untrust outbound

policy 2

action deny

policy source 192.168.0.100 0

policy 1

action permit

policy source 192.168.0.0 0.0.0.255

policy destination 172.16.0.0 0.0.0.255

Il est difficile de spécifier des conditions de correspondance précises pour les stratégies de sécurité. Les conditions de correspondance étendues comportent des risques de sécurité, tandis que les conditions de correspondance strictes peuvent empêcher certains paquets de correspondre aux stratégies, ce qui affecte les services. Ici, je souhaite vous présenter une feuille de route de configuration générale: d’abord, définissez l’action dans le filtrage de paquets par défaut sur "permission" pour mettre en service des services, assurant ainsi le fonctionnement normal du service. Ensuite, affichez la table de session et configurez les politiques de sécurité avec les informations enregistrées dans la table de session correspondant aux conditions. Enfin, restaurez la configuration de filtrage de paquets par défaut sur les services de commission, en vérifiant l'effet de la politique de sécurité.

Lorsque l'action dans le filtrage de paquets par défaut est permit, le pare-feu laisse passer tous les paquets, exposant ainsi le pare-feu à des risques. Par conséquent, il est recommandé d'utiliser ce paramètre uniquement pour la mise en service. Après la mise en service, vous devez restaurer la configuration de filtrage de paquets par défaut. C'est-à-dire, définissez l'action pour deny.

Regardons deux exemples. La figure 1-1 illustre la mise en réseau du premier exemple. Un PC et un serveur Web se connectent directement à un pare-feu. Le PC réside dans la zone de confiance, tandis que le serveur Web réside dans la zone non approuvée. Le PC doit accéder au serveur Web.

Figure 1-1 Mise en réseau d'un PC pour accéder à un serveur Web

Au début, nous ne connaissons pas la condition d’adéquation exacte. Par conséquent, définissez l'action de manière à autoriser le filtrage de paquets par défaut dans l'interzone Trust-Untrust et entrez y lorsque le message suivant s'affiche.

[FW] firewall packet-filter default permit interzone trust untrust direction outbound

Warning: Setting the default packet filtering to permit poses security risks. You are advised to configure the security policy based on the actual data flows. Are you sure you want to continue?[Y/N] y

À ce stade, le pare-feu permet à tous les paquets de passer de la zone de confiance à la zone de confiance. Utilisez le PC pour accéder au serveur Web. Une fois l'accès réussi, affichez la table de session sur le pare-feu.

[FW] display firewall session table verbose

Current Total Sessions : 1

http VPN:public --> public

Zone: trust--> untrust TTL: 00:00:10 Left: 00:00:07

Interface: GigabitEthernet0/0/1 NextHop: 172.16.0.1 MAC: 54-89-98-c0-15-c5

<--packets:4 bytes:465 -->packets:7 bytes:455

192.168.0.1:2052-->172.16.0.1:80

Une session a été générée pour la connexion du PC au serveur Web. Ensuite, configurez la stratégie de sécurité suivante:

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 1

[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.1 0

[FW-policy-interzone-trust-untrust-outbound-1] policy destination 172.16.0.1 0

[FW-policy-interzone-trust-untrust-outbound-1] policy service service-set http

[FW-policy-interzone-trust-untrust-outbound-1] action permit

[FW-policy-interzone-trust-untrust-outbound-1] quit

Enfin, définissez l'action sur Refuser pour le filtrage de paquets par défaut. La configuration de la politique de sécurité est terminée.

[FW] firewall packet-filter default deny interzone trust untrust direction outbound

La figure 1-2 illustre la mise en réseau du deuxième exemple. Un PC résidant dans la zone de confiance se connecte directement à un pare-feu. Un administrateur doit se connecter au pare-feu via Telnet à partir du PC.

Figure 1-2 Mise en réseau d'un administrateur pour qu'il se connecte à un pare-feu via Telnet à partir d'un PC

Commencez par configurer le filtrage de paquets par défaut dans l'interzone Trust-Local et définissez l'action sur Permettre. Lorsque le message suivant est affiché, entrez y.

[FW] firewall packet-filter default permit interzone trust local direction inbound

Warning: Setting the default packet filtering to permit poses security risks. You

are advised to configure the security policy based on the actual data flows. Are

you sure you want to continue?[Y/N] y

Utilise****lnet pour vous connecter au pare-feu à partir du PC. Une fois la connexion établie, affichez la table de session sur le pare-feu.

[FW] display firewall session table verbose

Current Total Sessions : 1

telnet VPN:public --> public

Zone: trust--> local TTL: 00:10:00 Left: 00:09:55

Interface: InLoopBack0 NextHop: 127.0.0.1 MAC: 00-00-00-00-00-00

<--packets:6 bytes:325 -->packets:8 bytes:415

192.168.0.1:2053-->192.168.0.2:23

Ensuite, configurez la stratégie de sécurité suivante en fonction de la session précédente:

[FW] policy interzone local trust inbound

[FW-policy-interzone-local-trust-inbound] policy 1

[FW-policy-interzone-local-trust-inbound-1] policy source 192.168.0.1 0

[FW-policy-interzone-local-trust-inbound-1] policy destination 192.168.0.2 0

[FW-policy-interzone-local-trust-inbound-1] policy service service-set telnet

[FW-policy-interzone-local-trust-inbound-1] action permit

Enfin, définissez l'action sur Refuser pour le filtrage de paquets par défaut. La configuration de la politique de sécurité est terminée.

[FW] firewall packet-filter default deny interzone trust local direction inbound

J'espère que ces deux exemples vous aideront à comprendre la feuille de route de configuration, de sorte que vous puissiez configurer des conditions de correspondance précises dans des réseaux réels.

2 ASPF
ASPF détermine si les pare-feu peuvent transférer correctement les paquets de protocoles spéciaux. Lorsque FTP est utilisé sur un réseau, vérifiez si ASPF est activé. Les pare-feu des séries USG2000 / 5000 sont utilisés à titre d'exemple. Le tableau 1-1 répertorie les protocoles pour lesquels ASPF peut être activé. Pour connaître les conditions de support des autres modèles de pare-feu, voir la documentation produit d'un modèle de pare-feu spécifique.

Tableau 1-1 Protocoles pour lesquels ASPF peut être activé sur l'USG2000 / 5000

Exécutez la commande display interzone pour vérifier si ASPF a été activé dans un interzone. Par exemple:

[FW] display interzone

interzone trust untrust

detect ftp

Le résultat de la commande indique qu'ASPF a été activé pour FTP dans l'interzone Trust-Untrust. Exécutez la commande display zone pour vérifier si ASPF a été activé dans une zone. Par exemple:

[FW] display zone

local

priority is 100

trust

priority is 85

detect qq

interface of the zone is (1):

GigabitEthernet0/0/1

untrust

priority is 5

interface of the zone is (0):

dmz

priority is 50

interface of the zone is (0):

Le résultat de la commande indique que ASPF a été activé pour QQ dans la zone de confiance.

Si ASPF pour un protocole défini par l'utilisateur ne prend pas effet, exécutez la commande display firewall server-map pour vérifier si l'entrée correspondante de la carte du serveur a été générée. Par exemple:

[FW] display firewall server-map

server-map item(s)

------------------------------------------------------------------------------

Type: STUN, ANY -> 192.168.0.1:55199, Zone:---

Protocol: udp(Appro: stun-derived), Left-Time:00:04:52, Pool: ---,

Vpn: public -> public

Le résultat de la commande indique que l’entrée mappe-serveur a été générée. Si l'entrée de mappe de serveur n'existe pas, vérifiez si les règles ACL sont correctement configurées et si les paquets peuvent correspondre aux règles ACL. Si la liste de contrôle d'accès est incorrecte, reconfigurez-la.

Questions du Dr. WoW:

1. Un administrateur configure les stratégies de sécurité suivantes en séquence dans l'interzone Trust-Untrust. Quel est le problème dans la configuration?

l Stratégie 1: refuser les paquets destinés au 172.16.0.0/24.

l Politique 2: Tous les paquets destinés à 172.16.0.100.

2. Quelles dimensions des conditions de correspondance sont disponibles pour les stratégies de sécurité unifiées sur les serveurs NGFW?

3. Dans le réseau où un client FTP accède à un serveur FTP, ASPF doit-il être activé si le client FTP fonctionne en mode passif (PASV)?

4. Dans l’hypothèse où OSPF s’exécute sur un pare-feu et que le type de réseau OSPF est Diffusé, renseignez le script de configuration ci-dessous afin de configurer des stratégies de sécurité précises dans l’interzone Untrust-Local (l’interface OSPF du pare-feu est activée). la zone non confiance).