Configuration de l'anti-usurpation IP

Principe de l'anti-usurpation IP

L'usurpation IP (spoofing en anglais) consiste à usurper une adresse IP légitime dans le but de contourner les règles de filtrage mises en place. Ceci consiste par exemple à envoyer depuis un réseau externe des paquets ayant pour source une adresse IP interne à destination d’une autre adresse IP interne. Sans vérification des interfaces utilisées, le pare-feu SNS interprète la requête comme légitime et provenant du réseau interne vers le réseau interne. Le trafic malicieux est alors routé comme du trafic interne légitime.

Afin de se protéger de ce type d’attaque, les mécanismes d’anti-usurpation IP sont activés par défaut. Ils consistent à vérifier sur chaque interface d’entrée la légitimité de l’adresse IP source des paquets. Cette légitimité repose sur la topologie réseau définie par :

  • Les interfaces réseau, pour les réseaux directement connectés,

  • La table de routage, pour les réseaux distants.

INFORMATION
En plus d’être un élément indispensable à la sécurité, l’anti-usurpation IP est extrêmement efficace pour détecter des erreurs de configuration réseau (mauvaise configuration de règles de routage par exemple).

Anti-usurpation IP sur les interfaces réseau

Un pare-feu SNS utilise la notion d’interface "interne" pour identifier les interfaces qui alimentent le mécanisme d’anti-usurpation IP. Le menu Configuration > Réseau > Interfaces permet de configurer le type d’interface : un bouclier apparaît lorsqu’une interface est protégée par l’anti-usurpation IP. Dès lors, une telle interface n’acceptera que des paquets dont l’adresse IP source provient du réseau de commutation de l’interface. De plus, les autres interfaces du pare-feu SNS refuseront ces mêmes paquets en entrée. Ces règles d’anti-usurpation IP sont appliquées avant même l’évaluation de la politique de filtrage réseau.

INFORMATION
La liste des réseaux protégés est alimentée par la tableau de routage. Il est possible de compléter la liste des IP autorisées à communiquer vers une interface protégée en configurant celle-ci comme indiqué dans le chapitre Anti-usurpation IP par la table de routage.

R21 | SNS-SMC | Déclarer les interfaces internes
Seules les interfaces donnant accès à un réseau public (Internet) ou non maîtrisé doivent être externes. Il est recommandé de configurer l'ensemble des autres interfaces comme protégées (internes).

ATTENTION
Par défaut, les règles implicites de filtrage autorisent l’administration des pare-feux SNS à partir des interfaces internes. Ces règles devront êtres désactivées comme expliqué dans le chapitre Règles implicites.

Anti-usurpation IP par la table de routage

La définition des routes renseigne le pare-feu SNS sur la topologie réseau et complète implicitement les mécanismes d’anti-usurpation IP. Toute route à destination d’un réseau distant joignable par une interface "interne" est ajoutée aux tables d’anti-usurpation IP. Ainsi, si des paquets dont l’adresse IP source est déclarée joignable par une interface "interne" sont reçus sur une autre interface, ils seront rejetés avant même l’évaluation de la politique de filtrage réseau en place sur le pare-feu SNS. Les routes utilisant des interfaces "externes" ne sont pas protégées car, en général, elles servent à répondre à des équipements dont les adresses IP sources ne sont pas connues à l’avance.

R22 | SNS | Définir des routes statiques pour les réseaux internes
Il est nécessaire de définir des routes statiques pour l’ensemble des réseaux internes connus auxquels les interfaces du pare-feu SNS n’appartiennent pas afin de profiter des mécanismes d’anti-usurpation IP. Ces routes sont reconnaissables dans le menu Configuration > Réseau > Routage, onglets Routes statiques IPv4 et Routes statiques IPv6 par la présence d’un bouclier.

ATTENTION
Il est nécessaire de déclarer des routes IPv4 et IPv6 pour l’intégralité des réseaux distants joignables par les interfaces "internes". Dans le cas contraire, leurs paquets seront systématiquement rejetés par le pare-feu SNS.

Anti-usurpation IP sur un bridge

Un bridge permet de connecter plusieurs interfaces physiques sur un même réseau. Le pare-feu SNS applique toutefois ses mécanismes d’anti-usurpation IP indépendamment sur chacune des interfaces du bridge. Cette fonctionnalité d’anti-usurpation IP ne nécessite pas de paramétrage particulier de la part des administrateurs lorsque le bridge est activé.

Lorsque les équipements sont sur le même réseau de commutation que le pare-feu SNS, celui-ci maintient à jour une table (dite table des hôtes) contenant chaque adresse IP rencontrée et l’interface physique associée. Si une adresse est détectée sur une autre interface que celle renseignée, une alerte est alors levée.

ATTENTION
La table des hôtes n’est renseignée qu’à partir du premier paquet reçu par un pare-feu SNS. L’anti-usurpation IP du bridge ne protège donc pas un interlocuteur directement connecté et n’ayant encore émis aucun trafic.

Dans le cas de réseaux distants, des règles de routage sont nécessaires, précisant l’interface physique utilisée. L’anti-usurpation IP par la table de routage détaillé dans le chapitre Anti-usurpation IP par la table de routage est employé.

Règles complémentaires

Certaines configurations ne peuvent pas être prises en compte par les mécanismes d’anti-usurpation IP natifs du pare-feu SNS. En particulier, un certain nombre de plages d’adresses particulières définies dans la RFC 5735 sont pré-configurées dans le pare-feu SNS au sein d’un groupe spécifique. Ces plages concernent des réseaux privés et ne devraient pas être utilisées sur une interface publique.

R23 | SNS | Compléter les règles d'anti-usurpation IP
Il est recommandé de compléter autant que possible les règles d’anti-usurpation IP citées précédemment par des règles de filtrage déduites de la topologie réseau. Par exemple, il est recommandé d’interdire explicitement les plages d’adresses du groupe RFC 5735 en provenance d’Internet.