IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Configuration de l'antispoofing IP
Principe de l'antispoofing IP
Le spoofing IP consiste à usurper une adresse IP légitime dans le but de contourner les règles de filtrage mises en place. Ceci consiste par exemple à envoyer depuis un réseau externe des paquets ayant pour source une adresse IP interne à destination d’une autre adresse IP interne. Sans vérification des interfaces utilisées, le pare-feu interprète la requête comme légitime et provenant du réseau interne vers le réseau interne. Le trafic malicieux est alors routé comme du trafic interne légitime.
Afin de se protéger de ce type d’attaque, les mécanismes d’antispoofing sont activés par défaut. Ils consistent à vérifier sur chaque interface d’entrée la légitimité de l’adresse IP source des paquets. Cette légitimité repose sur la topologie réseau définie par :
-
Les interfaces réseau, pour les réseaux directement connectés,
-
La table de routage, pour les réseaux distants.
INFORMATION
En plus d’être un élément indispensable à la sécurité, l’antispoofing IP est extrêmement efficace pour détecter des erreurs de configuration réseau (mauvaise configuration de règles de routage par exemple).
Antispoofing sur les interfaces réseau
Un pare-feu SNS utilise la notion d’interface "interne" pour identifier les interfaces qui alimentent le mécanisme d’antispoofing. Le menu Réseau > Interface > Configuration de l'interface permet de configurer le type d’interface : un bouclier apparaît lorsqu’une interface est protégée par l’antispoofing. Dès lors, une telle interface n’acceptera que des paquets dont l’adresse IP source provient du réseau de commutation de l’interface. De plus, les autres interfaces du pare-feu refuseront ces mêmes paquets en entrée. Ces règles d’antispoofing sont appliquées avant même l’évaluation de la politique de filtrage réseau.
INFORMATION
Il est possible de compléter la liste des adresses IP autorisées à accéder à une interface "interne" en utilisant l’antispoofing par la table de routage décrit dans le chapitre Antispoofing par la table de routage.
R21 | Déclarer les interfaces internes
Afin de profiter des mécanismes d’antispoofing, il est recommandé de déclarer une ou plusieurs interfaces "interne".
ATTENTION
Des règles implicites de filtrage autorisent l’administration des équipements à partir des interfaces internes. Ces règles devront êtres désactivées comme expliqué dans le chapitre Règles implicites.
Antispoofing par la table de routage
La définition des routes statiques renseigne le pare-feu sur la topologie réseau et complète implicitement les mécanismes d’antispoofing. Toute route à destination d’un réseau distant joignable par une interface "interne" est ajoutée aux tables d’antispoofing. Ainsi si des paquets dont l’adresse IP source est déclarée joignable par une interface "interne" sont reçus sur une autre interface, ils seront rejetés avant même l’évaluation de la politique de filtrage réseau en place sur le pare-feu. Les routes utilisant des interfaces "externes" ne sont pas protégées car, en général, elles servent à répondre à des équipements dont les adresses IP sources ne sont pas connues à l’avance.
R22 | Définir des routes statiques pour les réseaux internes
Il est nécessaire de définir des routes statiques pour l’ensemble des réseaux internes connus auxquels les interfaces du pare-feu n’appartiennent pas afin de profiter des mécanismes d’antispoofing. Ces routes sont reconnaissables dans le menu Réseau > Routage > Routage statique par la présence d’un bouclier.
ATTENTION
Il est nécessaire de déclarer des routes pour l’intégralité des réseaux distants joignables par les interfaces "internes". Dans le cas contraire, leurs paquets seront systématiquement rejetés par le pare-feu.
Antispoofing sur un bridge
Un bridge permet de connecter plusieurs interfaces physiques sur un même réseau. Le pare-feu applique toutefois ses mécanismes d’antispoofing indépendamment sur chacune des interfaces du bridge. Cette fonctionnalité d’antispoofing ne nécessite pas de paramétrage particulier de la part des administrateurs lorsque le bridge est activé.
Lorsque les équipements sont sur le même réseau de commutation que le pare-feu, celui-ci maintient à jour une table (dite table des hôtes) contenant chaque adresse IP rencontrée et l’interface physique associée. Si une adresse est détectée sur une autre interface que celle renseignée, une alerte est alors levée.
ATTENTION
La table des hôtes n’est renseignée qu’à partir du premier paquet envoyé par un équipement. L’antispoofing du bridge ne protège donc pas un interlocuteur directement connecté et n’ayant encore émis aucun trafic.
Dans le cas de réseaux distants, des règles de routage sont nécessaires, précisant l’interface physique utilisée. L’antispoofing par la table de routage détaillé dans le chapitre Antispoofing par la table de routage est employé.
Règles complémentaires
Certaines configurations ne peuvent pas être prises en compte par les mécanismes d’antispoofing natifs de l’équipement. En particulier, un certain nombre de plages d’adresses particulières définies dans la RFC 5735 sont pré-configurées dans l’équipement au sein d’un groupe spécifique. Ces plages concernent des réseaux privés et ne devraient pas être utilisées sur une interface publique
R23 | Compléter les règles d'antispoofing
Il est recommandé de compléter autant que possible les règles d’antispoofing citées précédemment par des règles de filtrage déduites de la topologie réseau. Par exemple, il est recommandé d’interdire explicitement les plages d’adresses du groupe RFC 5735 en provenance d’Internet.