RÈGLES IMPLICITES
Règles de filtrage implicites
Cet écran vous informe qu’il est possible de générer automatiquement différentes règles de filtrage IP pour autoriser l’utilisation des services du firewall. Si vous activez un service, le firewall crée de lui-même les règles de filtrage nécessaires, sans avoir besoin de créer des règles « explicites » dans la politique de filtrage.
Pour détecter et bloquer les attaques de type SYN Flood contre les services internes du firewall, les règles implicites à destination des services internes du firewall doivent être désactivées et remplacées par des règles explicites équivalentes. Dans ce cas, le firewall génère des logs spécifiques permettant de tracer les tentatives de déni de service via ce type d'attaques.
La grille de règles
La grille présente les colonnes suivantes :
Activé | Affiche l'état de la règle. Effectuez un double-clic pour activer / désactiver la règle implicite. |
Nom | Affiche le nom de la règle implicite. Celui-ci n’est pas modifiable. |
Les règles suivantes figurent dans la colonne Nom :
- Autoriser l’accès au serveur PPTP : les utilisateurs peuvent contacter le firewall via le protocole PPTP pour accéder au serveur, s’il est activé.
- Autoriser l’accès mutuel entre les membres d’un groupe de firewalls (cluster HA) : cela permet aux différents membres du cluster HA de communiquer entre eux.
- Autoriser ISAKMP (port 500 UDP) et le protocole ESP pour les correspondants VPN IPsec : les correspondants VPN IPsec pourront contacter le firewall via ces deux protocoles permettant de sécuriser les données circulant sur le trafic IP.
- Autoriser l’accès au service DNS (port 53) du Firewall pour les interfaces protégées : les utilisateurs peuvent joindre le service DNS, et donc utiliser le proxy cache DNS, si ce dernier est activé.
- Bloquer et réinitialiser les requêtes ident (port 113) pour les interfaces modems (dialup).
- Bloquer et réinitialiser les requêtes ident (port 113) pour les interfaces ethernet.
- Autoriser l’accès au serveur d’administration (port 1300) du firewall pour les interfaces protégées (Serverd) : les administrateurs pourront se connecter via les réseaux internes sur le port 1300 du firewall. Ce service est utilisé notamment par des outils annexes Stormshield (exemple : Stormshield Network Centralized Management).
- Autoriser l’accès au port ssh du Firewall pour les interfaces protégées : permet d'ouvrir l'accès au firewall par SSH afin de pouvoir se connecter dessus en lignes de commande à partir d’une machine située sur les réseaux internes.
- Autoriser l’accès au portail d’authentification et au VPN SSL pour les interfaces associées aux profils d'authentification (Authd) : une règle autorisant l’accès au service https (port 443) est créée pour chaque interface associée à un profil d'authentification ayant activé le portail captif. Les utilisateurs peuvent donc s’authentifier et accéder au VPN SSL depuis les réseaux correspondant à ces interfaces.
- Autoriser l'accès au serveur d'administration web du firewall (WebAdmin) : les administrateurs pourront se connecter à l’interface d’administration web.
NOTE
Cette règle autorise l’accès au portail captif, et donc à l’interface d’administration web pour tous les utilisateurs connectés depuis une interface protégée. Pour restreindre l’accès à l’administration web (répertoire /admin/), il faut indiquer une ou plusieurs machines depuis le module Système > Configuration onglet Administration du Firewall. Un tableau permet de restreindre l’accès à ces pages au niveau applicatif web. - Autoriser les requêtes "Bootp" avec une adresse IP spécifiée pour relayer les requêtes DHCP : les requêtes du service BOOTP (Bootstrap Protocol) vers un serveur DHCP relayé par le firewall sont autorisées lorsqu’elles utilisent une adresse IP spécifiée dans la configuration du relai DHCP (option « adresse IP utilisée pour relayer les requêtes DHCP »). Cette option est utilisée pour relayer les requêtes DHCP d’utilisateurs distants au travers d’un tunnel IPsec vers un serveur interne.
- Autoriser les clients à joindre le service VPN SSL du firewall sur les ports TCP et UDP : les connexions relatives à l'établissement de tunnel VPN SSL sont autorisées sur les ports TCP et UDP.
- Autoriser les sollicitations de routeur (RS) en multicast ou à destination du firewall
: si le support d’IPv6 est activé sur le Firewall, les nœuds IPv6 peuvent envoyer des sollicitations de routeur (RS) en multicast ou au firewall. - Autoriser les requêtes au serveur DHCPv6 et les sollicitations multicast DHCPv6 : si le support d’IPv6 est activé sur le Firewall, les clients DHCPv6 peuvent émettre des requêtes de sollicitations au serveur ou relai DHCPv6 présent sur le firewall.
-
Ne pas tracer les paquets IPFIX dans le trafic IPFIX : cette règle permet de ne pas inclure les paquets nécessaires au fonctionnement du protocole IPFIX dans les traces envoyées vers le (s) collecteur(s) IPFIX.
Deux cas peuvent être dangereux :
- Désactiver la règle « Serverd » : peut amener, en cas d’absence de règle explicite, à ne plus avoir d’accès avec les outils annexes Stormshield utilisant le port 1300 (exemple : Stormshield Network Centralized Management).
- Désactiver la règle « WebAdmin » : vous n’aurez plus accès à l’interface d’administration web, sauf si une règle explicite l’autorise.
Configuration avancée
Inclure les règles implicites de sortie des services hébergés (indispensable) | Cette case, cochée par défaut, active les règles implicites de sortie pour les services hébergés par le firewall. Cette fonctionnalité, qui était présente dans les versions antérieures de firmware, ne pouvait jusqu’à présent être modifiée qu’à l’aide d’une commande CLI. IMPORTANT |