Politique de filtrage entrant dans le cas d'un VPN IPsec

Un attaquant sur le réseau peut envoyer des flux au pare-feu SNS en usurpant l’adresse rouge d’un correspondant légitime. Ces messages sans encapsulation doivent être identifiés et rejetés. Le blocage peut s’opérer grâce à une règle de filtrage n’autorisant le flux clair que s’il provient d’un tunnel VPN IPsec. Si le tunnel n’est pas monté, il sera systématiquement rejeté.

Dans l’édition d’une règle de filtrage, la valeur Tunnel VPN IPsec doit être renseignée dans le champ Source > Configuration avancée > Via.

Sur un pare-feu SNS, cette configuration a lieu dans le menu Configuration > Politique de sécurité > Filtrage et NAT > Filtrage.

Sur un serveur SMC, cette configuration a lieu dans le menu Configuration > Firewalls et dossiers > Règles de filtrage.

R42 | SNS-SMC | S'assurer de la provenance des flux entrants
Renseigner la provenance des flux dont la source est accessible uniquement au travers d’un tunnel VPN afin de filtrer le trafic arrivant en clair avec la même adresse source.

Par ailleurs, les politiques de sécurité de chaque tunnel VPN IPsec assurent que les flux transitent au travers du tunnel qui leur est légitime.

Anti-usurpation IP sur un tunnel VPN IPsec

Les extrémités de tunnels VPN IPsec sont considérées par un SNS comme une interface. À ce titre, le statut d’interface interne, expliqué dans le chapitre Anti-usurpation IP sur les interfaces réseau, leur est également applicable. Le menu Configuration > Protection applicative > Profils d'inspection permet d’activer l'option Considérer les interfaces IPsec (sauf interfaces IPsec virtuelles) comme internes. S'applique à tous les tunnels : les réseaux distants devront être explicitement légitimés. Cette option, associée à une définition des routes et des règles de filtrage, augmente la sécurité du réseau.

R43 | SNS-SMC | Déclarer l'interface VPN interne
Il est recommandé de déclarer l'interface VPN "interne" afin de profiter des mécanismes d’anti-usurpation IP.