L’onglet « NAT »

Le NAT (Network Address Translation) ou la translation d’adresses a pour principe de convertir une adresse IP en une autre lors du passage par le firewall, quelle que soit la provenance de la connexion. Il est également possible par son biais de faire de la translation de ports.

Vérification en temps réel de la politique

La politique de NAT d’un firewall est un des éléments les plus importants pour la sécurité des ressources que le firewall protège. Bien que cette politique évolue sans cesse, s’adapte aux nouveaux services, aux nouvelles menaces, aux nouvelles demandes des utilisateurs, elle doit conserver une cohérence parfaite afin que des failles n’apparaissent pas dans la protection que propose le firewall.

L’enjeu est d’éviter la création de règles qui en inhiberaient d’autres. Lorsque la politique de filtrage est conséquente, le travail de l’administrateur est d’autant plus fastidieux que ce risque s’accroît. De plus lors de la configuration avancée de certaines règles de filtrage très spécifiques, la multiplication des options pourrait entraîner la création d’une règle erronée, ne correspondant plus aux besoins de l’administrateur.

Pour éviter cela, l’écran d’édition des règles de filtrage des firewalls dispose d’un champ de « Vérification de la politique » (situé en dessous de la grille de filtrage), qui prévient l’administrateur en cas d’inhibition d’une règle par une autre ou d’erreur sur une des règles créées.

Exemple : [Règle 2] Cette règle ne sera jamais appliquée car elle est couverte par la règle 1.

Les actions sur les règles de la politique de NAT

Rechercher

Ce champ permet la recherche par occurrence, lettre ou mot.

Exemple : Si vous saisissez « Any » dans le champ, toutes les règles de NAT comportant « Any » s’afficheront dans la grille.

Nouvelle règle

Insérer une ligne à configurer après la ligne sélectionnée, 4 choix sont possibles :

  • Règle simple : Cette option permet de créer une règle de NAT inactive et qui devra être paramétrée.
  • Règle de partage d'adresse source (masquerading) : Cette option permet de créer une règle de NAT dynamique de type PAT (Port Address Translation). Ce type de règle permet une conversion d’adresse IP multiples vers une ou N adresses IP. Le port source est également réécrit ; la valeur sélectionnée par défaut est ephemeral_fw (correspondant à une plage de ports compris entre 20000 et 59999).

    L’assistant choisit en interface de destination, l’interface correspondant au réseau de cette source après translation.

  • Séparateur-regroupement de règles : Cette option permet d’insérer un séparateur au-dessus de la ligne sélectionnée.

    Ce séparateur permet de regrouper des règles qui régissent le trafic vers les différents serveurs et contribue à améliorer la lisibilité et la visibilité de la politique de filtrage en y indiquant un commentaire.

    Les séparateurs indiquent le nombre de règles regroupées et les numéros de la première et dernière de ces règles. sous la forme : « Nom de la règle (contient nombre total règles, de n° première à n° dernière) ».

    Vous pouvez plier et déplier le nœud du séparateur afin de masquer ou afficher le regroupement de règle. Vous pouvez également copier/coller un séparateur d’un emplacement à un autre.

  • Règle de NAT statique (bimap) : Le principe de la translation d’adresse statique est de convertir une adresse IP (ou N adresses IP, ou adresse publique par exemple) en une autre (ou en N adresses IP privée, par exemple) lors du passage par le firewall, quelle que soit la provenance de la connexion.

    Une fenêtre d’assistant vous permet d’associer une IP privée et une IP publique (virtuelle) en définissant leurs paramètres. Vous devez choisir au sein des listes déroulantes, les Machines privées et virtuelles pour vos IP, ainsi que l’interface sur laquelle vous souhaitez les appliquer.

    Le champ de Configuration avancée permet de restreindre l’application à un port ou un groupe de ports, ainsi que d’activer la Publication ARP. Cette dernière permet de rendre disponible l’IP à publier via l’adresse MAC du firewall.

    Toutefois, il est recommandé de restreindre l’accès à un port ou un groupe de ports par le biais d’une règle de filtrage correspondant à ce flux. Cela permet d’y ajouter d’autres critères afin de rendre ce filtrage plus précis.

 

Cliquez ensuite sur Terminer pour valider votre configuration.

 NOTE

Pour une règle de translation bidirectionnelle (bimap) de N vers N, les plages d’adresses, réseaux ou groupes de machines originaux et translatés doivent être de même taille.

La translation bidirectionnelle est généralement utilisée pour donner accès à un serveur depuis l'extérieur avec une adresse IP publique qui n'est pas l'adresse réelle de la machine.

 

Les plages d’adresses sont supportées par l’action bidirectionnelle. Les adresses sources et translatées sont utilisées dans l’ordre : la plus "petite" adresse du champ source est translatée vers la plus "petite" adresse du champ translaté.

 

Lors du choix de l'adresse IP virtuelle, la sélection de l'interface correspondante est automatique. Celle-ci sera utilisée en source pour la règle de redirection et en destination pour les règles de réécriture de la source.

 

Supprimer

Ce champ permet de supprimer la ligne sélectionnée.

Monter

Placer la ligne sélectionnée avant la ligne directement au-dessus.

Descendre

Placer la ligne sélectionnée après la ligne directement en dessous.

Tout dérouler

Étendre l’arborescence des règles.

Tout fermer

Regrouper l’arborescence des règles.

Couper

Couper une règle de filtrage dans le but de la dupliquer.

Copier

Copier une règle de filtrage dans le but de la dupliquer.

Coller

Dupliquer une règle de filtrage, après l’avoir copié.

Chercher dans les logs

Lorsqu'une règle de NAT est sélectionnée, cliquez sur ce bouton pour lancer automatiquement une recherche portant sur le nom de la règle dans la vue "Tous les journaux" (module Logs > Journaux d'audit > Vues). Si aucun nom n'a été spécifié pour la règle sélectionnée, un message d'avertissement précise que la recherche est impossible.

Chercher dans la supervision Lorsqu'une règle de NAT est sélectionnée, cliquez sur ce bouton pour lancer automatiquement une recherche portant sur le nom de la règle dans le module de supervision des connexions.
Réinitialiser les statistiques des règles En cliquant sur ce bouton, vous réinitialisez les compteurs numériques et graphiques d'utilisation des règles de NAT situés dans la première colonne de la grille.
Réinitialiser l'affichage des colonnes

Lorsque vous cliquez sur la flèche de droite dans le champ du nom d’une colonne (exemple : Etat), vous avez la possibilité d’afficher des colonnes supplémentaires ou d’en retirer afin qu’elles ne soient pas visibles à l’écran, grâce à un système de coche.

Exemple : Vous pouvez cocher les cases « Nom » et « Port src » qui ne sont pas affichées par défaut.

En cliquant que le bouton réinit. colonnes, vos colonnes réapparaîtront à l’état initial, avant que vous n’ayez coché de case additionnelle. Ainsi, les cases « Nom » et « Port src » seront de nouveau masquées.

 

NOTE GENERALE :

Chaque fois que vous rencontrerez une liste déroulante d’objets au sein des colonnes (exceptées « Etat » et « Action ») une icône d’opérateur de comparaison mathématique apparaîtra (). Elle ne sera utilisable que si un autre objet que « Any » est sélectionné.

Vous pourrez ainsi personnaliser les paramètres de votre trafic par le biais de l’icône suivante de 4 manières différentes :

« = » (ou ): la valeur de l’attribut correspond à ce qui est sélectionné.

« != »  (ou ) la valeur de l’attribut est différente de ce qui est sélectionné.

« < »  (ou ; utilisable pour les ports source et destination uniquement) : le numéro de port du trafic est inférieur à ce qui est sélectionné.

« > » (ou ; utilisable pour les ports source et destination uniquement) : le numéro du port du trafic est supérieur à ce qui est sélectionné.

NOTE

Si vous cliquez rapidement 10 fois sur le bouton "Monter", vous distinguez la règle monter visuellement mais la fenêtre d'attente n'apparaît que lorsqu'on ne touche plus au bouton au-delà de 2 ou 3 secondes. Et au final, une seule commande sera passée. Ceci rend le déplacement des règles beaucoup plus fluide.

Les interactions

Certaines opérations, listées dans la barre des tâches, peuvent être réalisées en effectuant un clic droit sur la grille des règles de NAT :

  • Nouvelle règle (Règle simple, Règle de partage d'adresse source [masquerading], Séparateur - Regroupement de règles, Règle de NAT statique [bimap]),
  • Supprimer,
  • Couper,
  • Copier,
  • Coller,
  • Chercher dans les logs,
  • Chercher dans la supervision.

La grille de NAT

Elle vous permet de définir les règles de NAT à appliquer. Ordonnez-les afin d'avoir un résultat cohérent : le firewall va évaluer les règles dans leur ordre d’apparition à l’écran : une à une en partant du haut. Dès qu'il rencontre une règle qui correspond à la demande, il effectue l'action spécifiée et spécifiée et ne continue pas la lecture des règles suivantes.

Il convient donc de définir les règles dans l'ordre du plus restrictif au plus général.

La grille du NAT est divisée en deux : elle comporte d’une part, le Trafic original (avant translation), et d’autre part, le Trafic translaté.

Réorganisation des règles

Chaque règle peut être glissée et déplacée pour réorganiser aisément la politique (filtrage ou NAT). Le symbole ainsi que l'infobulle "Glissez et déplacez pour réorganiser" apparaissent lorsque la souris survole le début de la règle.

Etat

Cette colonne affiche l’état On/ Off de la règle. Double-cliquez dessus pour changer l’état : en effectuant cette manipulation une fois, vous activez la règle de NAT. Renouvelez l’opération pour la désactiver.

NOTE

La translation d’adresse source gère les protocoles IP sans état (type GRE) toutefois avec la limitation suivante :

Si deux clients passent par le même firewall, ils ne pourront pas se connecter sur un même serveur en même temps. Le moteur de prévention d’intrusion Stormshield Network va bloquer les paquets reçus par le second client.

Au bout de 5 minutes, le moteur de prévention d’intrusion jugera la session trop ancienne et permettra au second client de prendre le relai.

Menu Général de la boite d'édition de la règle de NAT

Général

État Sélectionnez l'état On ou Off pour respectivement activer ou désactiver la règle en cours d'édition.
Commentaire

Vous pouvez saisir un commentaire : celui-ci sera affiché en toute fin de règle lors de l'affichage de la politique de translation d'adresses.

Configuration avancée

Nom de la règle Vous pouvez affecter un nom à la règle de NAT: ce nom est repris dans les logs est facilité l'identification de la règle de NAT lors d'une recherche dans les logs ou vues (menu Logs - journaux d'audit).

Le trafic original (avant translation)

En cliquant dans la colonne « Interface d’entrée » une fenêtre de configuration s’affiche :

Source avant translation (originale)

Onglet « Général »

Général

Utilisateur

La règle s’appliquera à l’utilisateur ou au groupe d'utilisateurs que vous sélectionnerez dans ce champ.

Il en existe trois par défaut :

« No user » : Cette option permet de vider le champ utilisateur et de ne plus y appliquer de critère pour la règle.

« Any user » : désigne tout utilisateur authentifié.

« Unknown users » : désigne tout utilisateur inconnu ou non authentifié.

 

Machines sources

La règle s’appliquera à l’objet que vous sélectionnerez dans ce champ. La machine source est la machine d’où provient le paquet traité : elle est l’émetteur du paquet.

Vous pouvez Ajouter ou Supprimer un ou plusieurs objets en cliquant sur l’icône et Créer un objet en cliquant sur l’icône .

Interface d’entrée

Interface sur laquelle s’applique la règle de translation présentée sous forme de liste déroulante. Par défaut, le firewall la sélectionne automatiquement en fonction de l'opération et des adresses IP source et destination. Il est possible de la modifier pour appliquer la règle sur une autre interface.

Il est possible de la modifier pour appliquer la règle sur une autre interface. Cela permet également de spécifier une interface particulière si « Any » a été sélectionnée comme machine source.

Cliquer sur Ok pour valider votre configuration.

Onglet « Configuration avancée »

Configuration avancée

Port source

Ce champ permet de préciser le port source utilisé par la machine source.

Par défaut, le mode « Stateful » mémorise le port source utilisé et seul celui-ci est autorisé pour les paquets retour.

DSCP source

Ce champ désigne le code DSCP source du paquet reçu.

Authentification

Méthode d'authentification

Ce champ permet de restreindre l'application de la règle de filtrage à la méthode d'authentification sélectionnée.

Cliquer sur Ok pour valider votre configuration.

Destination avant translation (originale)

Onglet « Général »

Général

Machines destinations

Sélectionnez dans la base objets figurant dans la liste déroulante, la machine destinataire de votre trafic IP.

Port destination

Si vous souhaitez translater le port de destination du trafic, sélectionnez en un parmi les objets de la liste déroulante. L’objet « Any » est sélectionné par défaut.

Vous pouvez Ajouter ou Supprimer un ou plusieurs objets en cliquant sur l’icône et Créer un objet en cliquant sur l’icône . Cliquer sur Ok pour valider votre configuration.

NOTE

Des types d’équilibrages de charge autres que le hachage de connexion peuvent être sélectionnés avec une plage de ports de destination.

Onglet « Configuration avancée »

Configuration avancée

Interface  de sortie

Cette option permet de choisir l’interface de sortie du flux translaté.

Par défaut, le firewall la sélectionne automatiquement en fonction de l'opération et des adresses IP source et destination. Il est possible de la modifier pour restreindre la règle à une interface.

 

Publication ARP

Cette option permet de rendre disponible l’IP à publier via l’adresse MAC du firewall.

NOTE

L’option de publication ARP est affectée à la destination originale (trafic avant translation), dont l’adresse IP est effectivement publiée, et non à la destination translatée.

Le trafic après translation

Source après translation

Onglet « Général »

Machine source translatée

La règle s’appliquera à l’objet que vous sélectionnerez dans ce champ. La machine source translatée fait référence à la nouvelle adresse IP de la machine source, après sa translation.

Port source translaté

Ce champ permet de préciser le port source utilisé par la machine source après la translation.

Par défaut, le mode "Stateful" mémorise le port source utilisé et seul celui-ci est autorisé pour les paquets retour. La création d’une règle de partage d'adresse source (masquerading) assigne la valeur ephemeral_fw à ce champ.

 

Choisir aléatoirement le port source translaté

En cochant cette option, le firewall va sélectionner de manière aléatoire le port source translaté dans la liste (ex : ephemeral_fw). Cela permet d’éviter une anticipation des connexions suivantes car les ports sources sont assignés de manière consécutive. Cela renforce ainsi la sécurité.

Cliquer sur Ok pour valider votre configuration.

 

Onglet « Configuration avancée »

Répartition de charge

Type de répartition

Cette option permet de répartir les adresses IP sources d’émission du paquet après translation. La méthode de répartition de charge dépend de l’algorithme utilisé.

 

Plusieurs algorithmes de répartition de charge sont disponibles :

 

Aucune : Aucune répartition de charge ne sera effectuée.

 

Round-robin : Cet algorithme permet de répartir équitablement la charge parmi les différentes IP de la plage d’adresses sélectionnée. Chacune de ces adresses IP sources seront utilisées de façon alternée.

 

Hachage de l’IP source : Un hash de l'adresse source est effectué pour choisir l'adresse de la plage à utiliser. Cette méthode permet de garantir qu'une adresse source donnée sera toujours associée avec la même adresse de la plage.

 

Hachage de la connexion : L'utilisateur peut maintenant choisir le hachage par connexion (IP source + port source + adresse IP destination + port destination) comme méthode de répartition de charge (load balancing) dans ses règles de NAT. Cela permet aux connexions d’une source vers un même serveur, d’être réparties en fonction du port source et de l’adresse IP source.

 

Aléatoire : Le firewall sélectionne aléatoirement une adresse parmi la plage d’adresses sélectionnée

 

Publication ARP

Cette option permet de rendre disponible l’IP à publier via l’adresse MAC du firewall.

Cliquer sur Ok pour valider votre configuration.

Destination après translation

Onglet « Général »

Machine destination translatée

Ce champ permet de sélectionner la machine destinataire du paquet translaté au sein de la liste déroulante d’objets.

Port destination translaté

Ce champ permet de préciser le port destination utilisé par la machine de destination.

Cliquer sur Ok pour valider votre configuration.

Onglet « Configuration avancée »

Des types d’équilibrages de charge autres que le hachage de connexion peuvent être sélectionnés avec une plage de ports de destination.

Répartition de charge

Type de répartition

Cette option permet de répartir la transmission de paquets entre plusieurs adresses IP de destination. La méthode de répartition de charge dépend de l’algorithme utilisé.

 

Plusieurs algorithmes de répartition de charge sont disponibles :

 

Aucune : Aucune répartition de charge ne sera effectuée.

 

Round-robin : Cet algorithme permet de répartir équitablement la charge parmi les différentes IP de la plage d’adresses sélectionnée. Chacune de ces adresses IP sources seront utilisées de façon alternée.

 

Hachage de l’IP source : Un hash de l'adresse source est effectué pour choisir l'adresse de la plage à utiliser. Cette méthode permet de garantir qu'une adresse source donnée sera toujours associée avec la même adresse de la plage.

 

Hachage de la connexion : L'utilisateur peut maintenant choisir le hachage par connexion (IP source + port source + adresse IP destination + port destination) comme méthode de répartition de charge (load balancing) dans ses règles de NAT. Cela permet aux connexions d’une source vers un même serveur, d’être réparties en fonction du port source et de l’adresse IP source.

 

Aléatoire : Le firewall sélectionne aléatoirement une adresse parmi la plage d’adresses sélectionnée

Entre les ports

Cette option permet de répartir la transmission de paquets entre plusieurs ports de destination. La méthode de répartition de charge dépend de l’algorithme utilisé. Les  algorithmes de répartition de charge sont les mêmes que ceux décrits que précédemment.

Cliquer sur Ok pour valider votre configuration.

Protocole

Type de protocole

Selon le type de protocole que vous choisissez ici, le champ qui suivra s’affichera différemment :

Détection automatique du protocole (par défaut)

Si vous cochez cette option, un champ du même nom apparaîtra en dessous avec les données suivantes :

Protocole applicatif : Basé sur les ports par défaut ou le contenu

Protocole IP : Tous

Protocole applicatif

L’intérêt de ce choix  est d’appliquer une analyse applicative sur un port différent du port par défaut. Lorsque vous cochez cette case, le champ suivant portant le même nom vous propose de choisir :

Protocole applicatif : Choisissez le protocole souhaité dans la liste déroulante.

Protocole IP : Tous

Protocole IP

Si vous cochez cette option, le champ suivant proposera une liste déroulante de différents protocoles IP.

Options

Niveau de trace

Le traçage des flux permet de faciliter le diagnostic et le dépannage. Ce résultat sera stocké dans les fichiers de traces de type filtrage.

NAT dans le tunnel IPSec (avant chiffrement, après déchiffrement)

Si l'option est cochée, la politique de chiffrement est appliquée sur le trafic translaté. L’opération de NAT est effectuée juste avant le chiffrement par le module IPsec à l'émission et après le déchiffrement des paquets à la réception.

Commentaire

Vous pouvez ajouter une description permettant de particulariser votre règle de NAT et ses caractéristiques.