NetDefendOS 2 20 Final FR

Manuel utilisateur
D-Link Corporation
Manuel utilisateur
D-Link Corporation Publi le 09/01/2008 Copyright 2007
Note de copyright. Cette publication, ainsi que les photographies, illustrations et logiciels quelle contient, est protge par les lois internationales sur le copyright. Tous droits rservs. Le prsent manuel ainsi que les informations quil contient ne peuvent tre reproduits sans le consentement crit de leur auteur. Avis de non-responsabilit. Les informations contenues dans ce document peuvent tre modifies sans avis pralable. Le fabricant ne fait ni cas ni garantie dudit contenu et dcline toute garantie de qualit marchande ou dadquation tout usage particulier. Le fabricant se rserve le droit de faire une rvision de cette publication et dapporter des modifications ponctuelles audit contenu sans obligation de sa part den informer quiconque. Limitation de responsabilit. EN AUCUN CAS D-LINK OU SES FOURNISSEURS NE SERONT TENUS POUR RESPONSABLES DES DOMMAGES DE TOUS TYPES (PAR EXEMPLE, PERTE DE BNFICES, RESTAURATION DU LOGICIEL, ARRT DE TRAVAIL, PERTE DE DONNES SAUVEGARDES OU TOUT AUTRE DOMMAGE COMMERCIAL OU PERTE) DCOULANT DE LAPPLICATION, DU MAUVAIS USAGE OU DE LA PANNE DUN PRODUIT D-LINK, MME SI D-LINK EST INFORM DE LA POSSIBILIT DE TELS DOMMAGES. DE PLUS, D-LINK NE POURRA TRE TENU POUR RESPONSABLE DES RCLAMATIONS FAITES CONTRE LES CLIENTS PAR DES TIERS POUR TOUTE PERTE OU ENDOMMAGEMENT. D-LINK NE SERA EN AUCUN CAS TENU POUR RESPONSABLE DES DOMMAGES DPASSANT LE MONTANT VERS PAR LUTILISATEUR FINAL D-LINK POUR LE PRODUIT.
Table des matires

Prface ................................................................................................................................................... 1. Prsentation du produit ....................................................................................................................... propos de D-Link NetDefendOS ............................................................................................... Larchitecture NetDefendOS ........................................................................................................ Une architecture base sur ltat .......................................................................................... Blocs logiques de NetDefendOS ......................................................................................... Flux de paquets de base ....................................................................................................... Flux de paquets du moteur dtat de NetDefendOS ...................................................................... 2. Gestion et maintenance ...................................................................................................................... Gestion de NetDefendOS ............................................................................................................. Prsentation ........................................................................................................................ Comptes administrateur par dfaut ..................................................................................... Interface de ligne de commande ......................................................................................... Linterface utilisateur Web ................................................................................................. Utilisation des configurations ............................................................................................. vnements et consignation ......................................................................................................... Prsentation ........................................................................................................................ Messages dvnements ..................................................................................................... Rpartition des messages dvnements ............................................................................. Comptabilisation RADIUS .......................................................................................................... Prsentation ........................................................................................................................ Messages de comptabilisation RADIUS ............................................................................. Messages de comptabilisation dattente ............................................................................. Activation de la fonction de comptabilisation RADIUS .................................................... Scurit de comptabilisation RADIUS ............................................................................... Comptabilisation RADIUS et haute disponibilit ............................................................... Serveurs sans rponse ......................................................................................................... Comptabilisation et interruption systme ........................................................................... Limitations avec NAT ........................................................................................................ Surveillance .................................................................................................................................. Surveillance SNMP ............................................................................................................ Maintenance ................................................................................................................................. Mcanisme de mise jour automatique .............................................................................. Configuration des sauvegardes et des restaurations ............................................................ Rinitialisation des paramtres usine par dfaut ................................................................. 3. Fondamentaux ................................................................................................................................... Carnet dadresses ......................................................................................................................... Prsentation ........................................................................................................................ Adresses IP ......................................................................................................................... Adresses Ethernet ............................................................................................................... Groupes dadresses ............................................................................................................. Objets Address gnrs automatiquement .......................................................................... Services ........................................................................................................................................ Prsentation ........................................................................................................................ Services reposant sur les protocoles TCP et UDP .............................................................. Services ICMP .................................................................................................................... Services de Protocole IP personnaliss ............................................................................... Interfaces ...................................................................................................................................... Prsentation ........................................................................................................................ Ethernet .............................................................................................................................. VLAN ................................................................................................................................. PPPoE ................................................................................................................................. Tunnels GRE ...................................................................................................................... Groupes dinterfaces ........................................................................................................... ARP .............................................................................................................................................. Prsentation ........................................................................................................................ xi 1 1 2 2 2 3 5 9 9 9 9 9 11 14 19 19 19 20 22 22 22 24 24 24 25 25 25 25 26 26 27 27 27 28 29 29 29 29 30 31 31 31 31 33 34 35 36 36 37 39 40 42 44 45 45
iii
Manuel utilisateur
ARP dans NetDefendOS .................................................................................................... Cache ARP ......................................................................................................................... Entres ARP statiques et publies ...................................................................................... Paramtres ARP avancs .................................................................................................... Lensemble de rgles IP ............................................................................................................... Rgles de scurit ............................................................................................................... valuation des rgles IP ..................................................................................................... Actions des rgles IP .......................................................................................................... Modification des entres de lensemble de rgles IP .......................................................... Programmation ............................................................................................................................. Certificats X.509 .......................................................................................................................... Prsentation ........................................................................................................................ Certificats X.509 dans NetDefendOS ................................................................................. Configuration de la date et de lheure .......................................................................................... Paramtres de date et heure gnraux ................................................................................. Serveurs horaires ................................................................................................................ Recherche DNS ............................................................................................................................ 4. Routage .............................................................................................................................................. Erreur ! Signet non dfini. Prsentation .................................................................................................................................. Erreur ! Signet non dfini. Routage statique ........................................................................................................................... Principes de base du routage ............................................................................................... Routage statique ................................................................................................................. Basculement de route .......................................................................................................... Proxy ARP .......................................................................................................................... Routage bas sur des rgles .......................................................................................................... Prsentation ........................................................................................................................ Tables de routage bases sur des rgles .............................................................................. Rgles de routage ............................................................................................................... Slection de la table de routage base sur des rgles .......................................................... Le paramtre Ordering ........................................................................................................ Routage dynamique ...................................................................................................................... Prsentation du routage dynamique .................................................................................... OSPF .................................................................................................................................. Rgles de routage dynamique ............................................................................................. Routage multidiffusion ................................................................................................................. Prsentation ........................................................................................................................ Transfert multidiffusion avec rgle SAT Multiplex ........................................................... Configuration IGMP ........................................................................................................... Mode transparent .......................................................................................................................... Prsentation du mode transparent ....................................................................................... Comparaison avec le mode routage .................................................................................... Mise en uvre du mode transparent ................................................................................... Activation du mode transparent .......................................................................................... Haute disponibilit avec mode transparent ......................................................................... Scnarios de mode transparent ........................................................................................... 5. Services DHCP .................................................................................................................................. Prsentation .................................................................................................................................. Serveurs DHCP ............................................................................................................................ Attribution DHCP statique ........................................................................................................... Relais DHCP ................................................................................................................................ Groupes IP ................................................................................................................................... 6. Mcanismes de scurit ..................................................................................................................... Rgles daccs .............................................................................................................................. Introduction ........................................................................................................................ Usurpation dIP .................................................................................................................. Paramtres des rgles daccs ............................................................................................. Passerelles ALG (Application Layer Gateway) ........................................................................... Prsentation ........................................................................................................................
45 45 47 48 48 49 50 50 51 52 53 53 54 55 55 57 59
61 61 62 65 67 67 67 68 68 68 69 72 72 73 76 78 78 79 83 88 88 88 89 89 89 90 96 96 96 97 98 99 102 102 102 102 102 103 103
iv
Manuel utilisateur
HTTP .................................................................................................................................. FTP ..................................................................................................................................... TFTP ................................................................................................................................... SMTP .................................................................................................................................. POP3 ................................................................................................................................... SIP ...................................................................................................................................... H.323 .................................................................................................................................. Filtrage de contenu Web .............................................................................................................. Prsentation ........................................................................................................................ Traitement du contenu actif ................................................................................................ Filtrage de contenu statique ................................................................................................ Filtrage de contenu Web dynamique .................................................................................. Analyse antivirus .......................................................................................................................... Prsentation ........................................................................................................................ Mise en uvre .................................................................................................................... Activation de lanalyse antivirus ........................................................................................ La base de donnes des signatures ...................................................................................... Souscription au service antivirus de D-Link ....................................................................... Options de lantivirus ......................................................................................................... Prvention et dtection des intrusions .......................................................................................... Prsentation ........................................................................................................................ Disponibilit de lIDP sur les modles D-Link ................................................................... Rgles IDP .......................................................................................................................... Prvention des attaques de type insertion/vasion .............................................................. Erreur ! Signet non dfini. Filtrage par motif IDP ......................................................................................................... Groupes de signatures IDP ................................................................................................. Actions IDP ........................................................................................................................ Rcepteur de journaux SMTP pour les vnements IDP .................................................... Attaques de dni de service .......................................................................................................... Prsentation ........................................................................................................................ Mcanismes dattaque de dni de service ........................................................................... Les attaques Ping of Death et Jolt ....................................................................................... Les attaques de chevauchement de fragmentation : Teardrop, Bonk, Boink et Nestea ...... Les attaques Land et LaTierra ............................................................................................ Lattaque WinNuke ............................................................................................................ Les attaques damplification : Smurf, Papasmurf, Fraggle ................................................. Les attaques dinondation TCP SYN .................................................................................. Lattaque Jolt2 .................................................................................................................... Les attaques de dni de service distribu ............................................................................ Blacklisting des htes et rseaux .................................................................................................. 7. Traduction dadresses ........................................................................................................................ NAT dynamique ........................................................................................................................... Groupes NAT ............................................................................................................................... Traduction dadresses statique ..................................................................................................... Traduction dune adresse IP unique (1:1) ........................................................................... Traduction dadresses IP multiples (M:N) .......................................................................... Mappages tous-un (N:1) ..................................................................................................... Traduction de port .............................................................................................................. Protocoles grs par la SAT ............................................................................................... Multiples correspondances de rgles SAT .......................................................................... Rgles SAT et FwdFast ...................................................................................................... 8. Authentification de lutilisateur ......................................................................................................... Prsentation .................................................................................................................................. Configuration de lauthentification .............................................................................................. Rsum du paramtrage ...................................................................................................... La base de donnes locale .................................................................................................. Serveurs dauthentification externes ................................................................................... Rgles dauthentification .................................................................................................... Processus dauthentification ...............................................................................................
104 105 111 112 117 118 120 134 134 134 135 137 146 146 146 147 147 147 147 150 150 151 152
153 154 155 155 158 158 159 159 159 160 160 160 161 162 162 162 164 164 166 168 168 173 175 176 176 176 177 180 180 180 180 181 181 181 182
Manuel utilisateur
Authentification HTTP ....................................................................................................... 9. VPN ................................................................................................................................................... Prsentation .................................................................................................................................. La ncessit des VPN ......................................................................................................... Chiffrage VPN .................................................................................................................... Planification VPN ............................................................................................................... Distribution de cls ............................................................................................................. Guide de dmarrage rapide VPN ................................................................................................. LAN-LAN IPsec avec cls pr-partages ........................................................................... Clients itinrants IPsec avec cls pr-partages .................................................................. Clients itinrants IPsec avec certificats .............................................................................. Clients itinrants L2TP avec cls pr-partages ................................................................. Clients itinrants L2TP avec certificats .............................................................................. Clients itinrants PPTP ....................................................................................................... Dpannage VPN ................................................................................................................. IPsec ............................................................................................................................................. Prsentation ........................................................................................................................ Protocole dchange de cls par Internet (IKE) .................................................................. Authentification IKE .......................................................................................................... Protocoles IPsec (ESP/AH) ................................................................................................ Franchissement NAT .......................................................................................................... Listes de propositions ......................................................................................................... Cls pr-partages .............................................................................................................. Listes didentification ......................................................................................................... Tunnels IPsec ............................................................................................................................... Prsentation ........................................................................................................................ Tunnels LAN-LAN avec cls pr-partages ....................................................................... Clients itinrants ................................................................................................................. Recherche de CRL depuis un serveur LDAP alternatif ...................................................... PPTP/L2TP .................................................................................................................................. PPTP ................................................................................................................................... L2TP ................................................................................................................................... 10. Gestion du trafic .............................................................................................................................. Mise en forme du trafic ................................................................................................................ Introduction ........................................................................................................................ Mise en forme du trafic dans NetDefendOS ....................................................................... Limite simple de bande passante ........................................................................................ Limite de la bande passante dans les deux directions ......................................................... Cration de limites diffrencies avec des chanes ............................................................. Priorits .............................................................................................................................. Garanties ............................................................................................................................. Garanties diffrencies ....................................................................................................... Groupes .............................................................................................................................. Recommandations .............................................................................................................. Rcapitulatif de la mise en forme du trafic ......................................................................... Rgles aux seuils .......................................................................................................................... Prsentation ........................................................................................................................ Limite du taux de connexion / du nombre total de connexions .......................................... Groupement ........................................................................................................................ Actions des rgles ............................................................................................................... Actions multiples ................................................................................................................ Connexions dispenses ....................................................................................................... Rgles aux seuils et ZoneDefense ...................................................................................... Fonction de blacklisting des rgles aux seuils .............................................................. quilibrage du volume de trafic du serveur ................................................................................. Prsentation ........................................................................................................................ Identification des serveurs .................................................................................................. Mode de rpartition de la charge ........................................................................................ Algorithme de rpartition ................................................................................................... Surveillance de l'tat des serveurs ......................................................................................
183 188 188 188 188 188 189 189 189 190 192 192 194 194 195 197 197 198 203 204 205 206 207 208 209 209 210 210 216 216 216 218 223 223 223 223 225 226 227 228 229 230 231 232 233 234 234 234 234 234 234 235 235 235 235 235 236 237 237 239
vi
Manuel utilisateur
Rgles SLB_SAT ............................................................................................................... 11. Haute disponibilit ........................................................................................................................... Prsentation .................................................................................................................................. Mcanismes HA ........................................................................................................................... Configuration de la fonction HA .................................................................................................. Configuration matrielle ..................................................................................................... Configuration de NetDefendOS ......................................................................................... Vrification du fonctionnement du cluster ......................................................................... Problmes lis la fonction HA ................................................................................................... 12. ZoneDefense .................................................................................................................................... Prsentation .................................................................................................................................. Switches ZoneDefense ................................................................................................................. Fonctionnement de ZoneDefense ................................................................................................. SNMP ................................................................................................................................. Rgles avec seuil ................................................................................................................ Blocage manuel et listes d'exclusions ................................................................................. Limites ................................................................................................................................ 13. Paramtres avancs .......................................................................................................................... Paramtres IP ............................................................................................................................... Paramtres TCP ............................................................................................................................ Paramtres ICMP ......................................................................................................................... Paramtres ARP ........................................................................................................................... Paramtres de l'inspection dynamique ......................................................................................... Expiration des dlais de connexion .............................................................................................. Limites de taille par protocole ...................................................................................................... Paramtres de fragmentation ........................................................................................................ Paramtres de rassemblage des fragments locaux ...................................................................... Paramtres DHCP ........................................................................................................................ Paramtres des relais DHCP (DHCPRelay) ................................................................................. Paramtres du serveur DHCP (DHCPServer) .............................................................................. Paramtres IPsec .......................................................................................................................... Paramtres de consignation .......................................................................................................... Paramtres de synchronisation temporelle ................................................................................... Paramtres PPP ............................................................................................................................ Paramtre du moniteur matriel ................................................................................................... Paramtres de rassemblage des paquets ..................................................................................... Autres paramtres ........................................................................................................................ A. Abonnement aux mises jour de scurit ......................................................................................... B. Groupes de signatures IDP ................................................................................................................ C. Types de fichiers MIME vrifis ...................................................................................................... D. La structure OSI ................................................................................................................................ E. Bureaux internationaux de D-Link .................................................................................................... Index alphabtique .................................................................................................................................
239 243 243 243 244 244 246 246 247 248 248 248 248 248 249 249 251 253 253 254 259 259 261 263 264 266 269 269 270 271 271 272 272 274 274 275 275 277 279 284 289 290 292
vii
Liste des figures

1.1. Schma du flux de paquets Partie I ................................................................................................. 1.2. Schma du flux de paquets Partie II ................................................................................................ 1.3. Schma du flux de paquets Partie III .............................................................................................. 3.1. Exemple de cas de figure GRE ....................................................................................................... 4.1. Scnario de basculement de route pour un accs ISP ..................................................................... 4.2. Liens virtuels exemple 1 ................................................................................................................. 4.3. Liens virtuels exemple 2 ................................................................................................................. 4.4. Transfert multidiffusion sans traduction dadresses ....................................................................... 4.5. Transfert multidiffusion avec traduction dadresses ....................................................................... 4.6. Surveillance multicast ..................................................................................................................... 4.7. Proxy de multidiffusion .................................................................................................................. 4.8. Scnario 1 du mode transparent ...................................................................................................... 4.9. Scnario 2 du mode transparent ...................................................................................................... 6.1. Filtrage SPAM DNSBL .................................................................................................................. 6.2. Flux de filtrage de contenu dynamique ........................................................................................... 6.3. Mise jour de la base de donnes IDP ........................................................................................... 9.1. Le protocole AH ............................................................................................................................. 9.2. Le protocole ESP ............................................................................................................................ 10.1. Ensemble de rgles des tuyaux appliqu au flux de paquets des tuyaux ...................................... 10.2. Les huit priorits de tuyau ............................................................................................................ 10.3. Priorits de tuyau minimum et maximum ..................................................................................... 10.4. Trafic group par adresses IP ........................................................................................................ 10.5. Exemple de configuration de l'quilibrage du volume de trafic du serveur .................................. 10.6. Connexions provenant de trois clients .......................................................................................... 10.7. Mode persistance et algorithme Round-Robin ........................................................................ 10.8. Mode persistance et algorithme Connection Rate (Taux de connexion) ................................. 11.1. Configuration HA ......................................................................................................................... D.1. Les 7 couches du modle OSI ........................................................................................................ 1 6 8 29 61 65 75 76 80 82 84 84 90 110 131 138 188 204 223 225 228 229 231 236 238 238 243 289
viii
Liste des exemples

1. Exemple de notation .......................................................................................................................... 2.1. Autorisation de laccs SSH distant ................................................................................................ 2.2. Activation de la gestion HTTPS distante ........................................................................................ 2.3. Liste des objets de configuration .................................................................................................... 2.4. Affichage dun objet de configuration ............................................................................................ 2.5. Modification dun objet de configuration ....................................................................................... 2.6. Ajout dun objet de configuration ................................................................................................... 2.7. Suppression dun objet de configuration ........................................................................................ 2.8. Annulation de la suppression dun objet de configuration .............................................................. 2.9. Affichage de la liste des objets de configuration ............................................................................ 2.10. Activation et confirmation dune configuration ............................................................................ 2.11. Activation de lenregistrement sur un hte Syslog ....................................................................... 2.12. Envoi des interruptions SNMP un rcepteur dinterruptions SNMP ......................................... 2.13. Activation de la surveillance SNMP ............................................................................................. 2.14. Configuration des sauvegardes et des restaurations ...................................................................... 2.15. Rinitialisation complte .............................................................................................................. 3.1. Ajout dun hte IP .......................................................................................................................... 3.2. Ajout dun rseau IP ....................................................................................................................... 3.3. Ajout dune plage dadresses IP ..................................................................................................... 3.4. Suppression dun objet Address ..................................................................................................... 3.5. Ajout dune adresse Ethernet .......................................................................................................... 3.6. Rfrencement des services disponibles ......................................................................................... 3.7. Visualisation dun service spcifique ............................................................................................. 3.8. Ajout dun Service TCP/UDP ......................................................................................................... 3.9. Ajout dun service de protocole IP ................................................................................................. 3.10. Activation de DHCP ..................................................................................................................... 3.11. Dfinition dun VLAN ................................................................................................................. 3.12. Configuration dun client PPPoE sur linterface WAN avec routage du trafic via PPPoE ........... 3.13. Cration dun groupe dinterfaces ................................................................................................ 3.14. Affichage du cache ARP .............................................................................................................. 3.15. Alignement du cache ARP ............................................................................................................ 3.16. Dfinition dune entre ARP statique ........................................................................................... 3.17. Configuration dune rgle planifie .............................................................................................. 3.18. Chargement dun certificat X.509 ................................................................................................ 3.19. Association de certificats X.509 des tunnels IPsec .................................................................... 3.20. Configuration de la date et de lheure actuelles ............................................................................ 3.21. Configuration du fuseau horaire ................................................................................................... 3.22. Activer le passage lheure dt ................................................................................................. 3.23. Activation de la synchronisation du temps via SNTP ................................................................... 3.24. Dclenchement manuel de la synchronisation du temps ............................................................... 3.25. Modification de la valeur de rglage maximale ............................................................................ 3.26. Forcer la synchronisation du temps .............................................................................................. 3.27. Activation du serveur D-Link NTP .............................................................................................. 3.28. Configuration des serveurs DNS .................................................................................................. 4.1. Affichage de la table de routage ..................................................................................................... 4.2. Affichage des routes du noyau ........................................................................................................ 4.3. Cration dune table de routage base sur des rgles ...................................................................... 4.4. Cration de la route ......................................................................................................................... 4.5. Configuration du routage bas sur des rgles ................................................................................. 4.6. Importation de routes dun AS OSPF vers la table de routage principale ...................................... 4.7. Exportation des routes par dfaut vers un AS OSPF ...................................................................... 4.8. Transfert de trafic multidiffusion avec rgle SAT multiplex .......................................................... 4.9. Transfert multidiffusion avec traduction dadresses ....................................................................... 4.10. IGMP sans traduction dadresses .................................................................................................. 4.11. Configuration de if1 ...................................................................................................................... 4.12. Configuration dif2 et traduction de groupe ................................................................................. xi 10 14 15 15 16 17 17 17 18 18 20 22 26 28 28 29 30 30 30 30 32 32 34 36 38 40 41 44 46 46 47 52 54 55 55 56 56 57 58 58 58 59 59 63 64 69 70 70 77 78 80 82 84 86 87
ix
User Manual
4.13. Scnario 1 : paramtrage du mode transparent ............................................................................. 4.14. Scnario 2 : paramtrage du mode transparent ............................................................................. 5.1. Configuration dun serveur DHCP ................................................................................................. 5.2. Vrification de ltat dun serveur DHCP ...................................................................................... 5.3. Configuration du mode DHCP statique .......................................................................................... 5.4. Configuration dun relayeur DHCP ................................................................................................ 5.5. Cration dun groupe IP .................................................................................................................. 6.1. Configuration dune rgle daccs .................................................................................................. 6.2. Protection dun serveur FTP avec une passerelle ALG .................................................................. 6.3. Protection des clients FTP .............................................................................................................. 6.4. Protection des tlphones situs derrire les firewalls D-Link ....................................................... 6.5. H.323 avec adresses IP prives ....................................................................................................... 6.6. Deux tlphones situs derrire des firewalls D-Link diffrents .................................................... 6.7. Utilisation dadresses IP prives ..................................................................................................... 6.8. H.323 avec portier .......................................................................................................................... 6.9. H.323 avec un portier et deux firewalls D-Link ............................................................................. 6.10. Utilisation du H.323 ALG en entreprise ....................................................................................... 6.11. Configuration des entreprises distantes pour H.323 ..................................................................... 6.12. Autoriser la passerelle H.323 senregistrer auprs du portier .................................................... 6.13. limination des applets Java et ActiveX ...................................................................................... 6.14. Configuration des listes blanches et noires ................................................................................... 6.15. Activation du filtrage de contenu Web dynamique ...................................................................... 6.16. Activation du mode Audit ............................................................................................................ 6.17. Reclassement dun site bloqu ...................................................................................................... 6.18. Activation de lanalyse antivirus .................................................................................................. 6.19. Configuration dun rcepteur de journaux SMTP ......................................................................... 6.20. Configuration dun IDP pour un serveur de messagerie ............................................................... 7.1. Ajout dune rgle NAT ................................................................................................................... 7.2. Utilisation de pools NAT ................................................................................................................ 7.3. Autorisation du trafic vers un serveur Web protg par une DMZ ................................................. 7.4. Autorisation du trafic vers un serveur Web sur un rseau interne .................................................. 7.5. Traduction du trafic en direction de plusieurs serveurs Web protgs ........................................... 8.1. Cration dun groupe utilisateurs dauthentification ...................................................................... 8.2. Configuration de lauthentification utilisateur pour laccs au Web .............................................. 8.3. Configuration dun serveur RADIUS ............................................................................................. 9.1. Utilisation dune liste de propositions ............................................................................................ 9.2. Utilisation dune cl pr-partage ................................................................................................... 9.3. Utilisation dune liste didentification ............................................................................................ 9.4. Configuration dun tunnel VPN bas sur une cl pr-partage pour les clients itinrants .............. 9.5. Configuration dun tunnel VPN bas sur un certificat autosign pour les clients itinrants ........... 9.6. Configuration dun tunnel VPN bas sur un certificat mis par un serveur AC pour les clients itinrants ............................................................................................................................... 9.7. Configuration du mode de configuration ........................................................................................ 9.8. Utilisation du mode de configuration avec des tunnels IPsec ......................................................... 9.9. Configuration dun serveur LDAP ................................................................................................. 9.10. Configuration dun serveur PPTP ................................................................................................. 9.11. Configuration dun serveur L2TP ................................................................................................. 9.12. Configuration dun tunnel L2TP ................................................................................................... 10.1. Application dune limite simple de bande passante ...................................................................... 10.2. Limite de la bande passante dans les deux directions ................................................................... 10.3. Configuration de la fonction SLB ................................................................................................. 12.1. Un scnario ZoneDefense simple .................................................................................................
90 92 96 97 97 98 100 103 106 109 122 124 125 126 128 129 130 133 134 135 136 138 140 141 149 156 157 165 167 169 171 173 184 185 186 206 207 208 211 212 213 215 215 216 217 218 219 225 226 240 249
Prface
Public vis
Le prsent guide de rfrence sadresse aux administrateurs responsables de la configuration et de la gestion des Firewalls D-Link qui fonctionnent sous le systme dexploitation NetDefendOS. Ce guide suppose que le lecteur possde certaines connaissances de base sur les rseaux et leur systme de scurit.
Structure du texte et normes

Ce texte est subdivis en chapitres et sous-sections. Les sous-chapitres numrots sont consultables dans la table des matires au dbut du document. Un index est inclus la fin du document, rpertoriant les catgories par ordre alphabtique. En cliquant sur un lien Voir chapitre/section (tel que : voir) contenu dans le corps du texte, vous pouvez directement accder la partie en question. Le texte pouvant apparatre dans linterface utilisateur du produit est dsign en gras. Lorsquun terme est mis en valeur ou introduit pour la premire fois, il peut apparatre en italique. Une console dinteraction dans le corps du texte et en dehors dun exemple apparatra dans un encadr au fond gris. En cliquant sur une adresse Internet dans le texte, vous pouvez ouvrir lURL spcifie dans une nouvelle fentre du navigateur (certains systmes ne le permettent pas). Exemple : http://www.dlink.com.
Exemples
Les exemples dans le texte sont indiqus par len-tte Exemple et apparaissent sur fond gris, comme indiqu ci-dessous. Ils contiennent un exemple de linterface de ligne de commande et/ou un exemple dinterface Web selon le cas. (Le CLI Reference Guide (Guide de rfrence sur linterface de ligne de commande) associ fournit des informations sur toutes les commandes de linterface).
Exemple 1. Exemple de notation

Les informations sur ce que veut illustrer lexemple sont consultables ici, accompagnes parfois dune image dexplication. Interface de ligne de commande Lexemple dinterface de ligne de commande apparat ici. Linvite de commande apparat en premier, suivie de la commande :
gw-world:/> somecommand someparameter=somevalue
Interface Web Les exemples dactions sur linterface Web sont prsents ici. De manire gnrale, une liste numrote montrant les lments de larborescence sur la gauche de linterface, dans la barre de menu ou dans un menu flottant doit tre ouverte, suivie des informations sur les donnes qui doivent tre saisies :
o Slectionnez lment X > lment Y > lment Z o Entrez :

Donnelment1 : donnevaleur1 Donnelment2 : valeurdonne2
xi
Prface
Contenu important
Les sections spciales du texte auxquelles le lecteur doit prter une attention particulire sont indiques par des icnes gauche de la page, suivies dun petit paragraphe en italique. Voici les diffrents types de sections disponibles avec lobjectif correspondant :
Remarque
Elle indique une information complmentaire en relation avec le texte qui prcde. Elle peut concerner un sujet qui est mis en relief ou qui nest pas vident ou nonc explicitement dans le texte prcdent.
Conseil
Il indique une information non cruciale, quil est utile de connatre dans certains cas mais quil nest pas ncessaire de lire.
Attention
Elle indique les passages o le lecteur doit faire attention ses actions, un manque de prcaution pouvant engendrer une situation indsirable.
Important
Cette section marque un point essentiel que le lecteur doit lire et comprendre.
Avertissement
La lecture de ce passage est essentielle, car lutilisateur doit tre conscient que des problmes graves peuvent survenir si certaines actions sont ou ne sont pas accomplies.
xii
Chapitre 1. Prsentation du produit

Le prsent chapitre dcrit les principales fonctionnalits de NetDefendOS.
propos de D-Link NetDefendOS

D-Link NetDefendOS est le firmware, le moteur logiciel qui gre et contrle tous les produits Firewall D-Link. Conu comme un systme dexploitation de scurit rseau, NetDefendOS se distingue par un haut dbit et une grande fiabilit en plus dun contrle trs prcis. Contrairement aux produits reposant sur des systmes dexploitation standard (Unix ou Microsoft Windows), NetDefendOS sintgre en transparence tous les sous-systmes, permet de surveiller de manire approfondie toutes les fonctionnalits tout en rduisant la zone dattaque potentielle, ce qui lui permet dtre moins expos aux menaces de scurit. Du point de vue de ladministrateur, NetDefendOS repose sur une approche conceptuelle visant visualiser les oprations au moyen densemble de blocs logiques (ou objets) qui permettent de configurer le produit de mille-et-une manires. Ce contrle trs prcis permet ladministrateur de rpondre aux besoins des cas de figure les plus exigeants en matire de scurit rseau. NetDefendOS est un systme dexploitation de rseau puissant dot de nombreuses fonctionnalits. La liste ci-dessous prsente les principales fonctionnalits : Routage IP NetDefendOS propose de nombreuses options pour le routage IP, notamment le routage statique, le routage dynamique, ainsi que des fonctions de routage multidiffusion. En outre, NetDefendOS propose des fonctionnalits telles que les LAN virtuels, la surveillance du routage, le proxy-ARP et la transparence. Pour plus dinformations, reportez-vous au Chapitre 4, Routage. Pour des raisons de fonctionnalit et de scurit, NetDefendOS propose une fonction de traduction dadresses reposant sur des rgles. La traduction dadresses dynamiques (NAT) ainsi que la traduction dadresses statiques (SAT) est prise en charge et satisfait la plupart des types de besoins en matire de traduction dadresses. Nous aborderons cette fonctionnalit dans le Chapitre 7, Traduction d'adresses. Le cur du produit NetDefendOS propose des firewalls bass sur le filtrage dynamique pour les protocoles courants tels que TCP, UDP et ICMP. En tant quadministrateur, vous pouvez dfinir des stratgies dtailles en matire de firewalls, reposant sur les rseaux et interfaces source et de destination, le protocole, les ports, les authentifiants de lutilisateur, la priode de la journe et bien dautres lments. La section intitule Ensemble de rgles IP dcrit comment utiliser les aspects lis aux firewalls de NetDefendOS.
Traduction dadresses
Firewalls
Prvention et dtection des intrusions Pour attnuer les attaques de la couche dapplication qui exploitent des vulnrabilits dans les services et les applications, NetDefendOS propose un puissant moteur de prvention et de dtection des intrusions (Intrusion Detection and Prevention). Le moteur IDP repose sur des rgles. Il peut excuter une analyse et une dtection trs performante des attaques et bloquer ou mettre sur liste noire les htes responsables des attaques, si ncessaire. Pour plus de renseignements sur les capacits IDP de NetDefendOS, reportez-vous la section intitule Prvention et dtection des intrusions . Antivirus NetDefendOS intgre une fonctionnalit de passerelle anti-virus. Le trafic qui transite par la passerelle peut tre soumis une analyse antivirus en profondeur et les htes responsables des attaques peuvent tre, au choix,
Prsentation du produit
bloqus ou mis sur liste noire. La section intitule Analyse antivirus fournit des informations complmentaires sur lutilisation de la fonctionnalit antivirus intgre. Filtrage de contenu Web NetDefendOS propose divers mcanismes pour le filtrage du contenu Web considr comme inappropri daprs vos rgles dutilisation du Web. Le contenu Web peut tre bloqu selon la catgorie, les objets malveillants enlevs et les sites Web mis sur liste blanche ou noire, selon de multiples rgles. Pour plus dinformations, reportez-vous la section intitule Filtrage de contenu Web .
Rseau priv virtuel (Virtual Private Network) Un priphrique qui excute NetDefendOS est particulirement appropri pour participer un rseau priv virtuel. NetDefendOS prend en charge simultanment le VPN IPsec, L2TP et PPTP ; il peut tenir le rle de serveur ou de client pour tous les types de VPN et peut fournir des rgles de scurit individuelles pour chaque tunnel VPN. Le rseau priv virtuel est trait en dtail dans le chapitre 9, VPN. Gestion du trafic NetDefendOS prend en charge la mise en forme du trafic, les rgles aux seuils et les fonctionnalits dquilibrage du volume de trafic du serveur, ce qui en fait loutil idal pour la gestion du trafic. La fonctionnalit de mise en forme du trafic permet une limitation et un quilibrage trs prcis de la bande passante ; les rgles aux seuils permettent de mettre en uvre diffrents types de seuils pour avertir ou limiter le trafic du rseau l o cest ncessaire et lquilibrage du volume de trafic du serveur permet au priphrique qui excute NetDefendOS de distribuer les charges de rseau sur plusieurs htes. Le chapitre 10, Gestion du trafic, fournit des informations plus dtailles sur les diffrentes capacits de gestion du trafic. Pour faciliter la gestion dun priphrique NetDefendOS, le contrle administrateur est activ laide dune interface utilisateur de type Web ou par linterface de ligne de commande. De plus, NetDefendOS fournit des fonctions trs dtailles de consignation et de suivi dvnements ainsi que la prise en charge de la surveillance laide de standards tels que SNMP. Pour plus dinformations, reportez-vous au chapitre 2, Gestion et Maintenance. Vous pouvez utiliser NetDefendOS pour contrler les switches D-Link laide de la fonctionnalit ZoneDefense.
Oprations et maintenance
ZoneDefense
La lecture minutieuse de cette documentation vous permettra de tirer le meilleur parti de votre produit NetDefendOS. En plus de ce document, le lecteur devrait galement consulter les volumes additionnels suivants : NetDefendOS CLI Guide (guide NetDefendOS CLI) qui dtaille toutes les commandes console NetDefendOS. NetDefendOS Log Reference Guide (guide de rfrence des consignations de NetDefendOS) qui dtaille tous les messages du journal dvnements de NetDefendOS. Lensemble de ces documents forme la documentation indispensable pour le fonctionnement de NetDefendOS.
Remarque
La haute disponibilit, lantivirus, le filtrage de contenu Web et ZoneDefense ne sont pas disponibles avec certains modles, comme cela est prcis dans les chapitres qui se rapportent ces fonctionnalits.
Larchitecture NetDefendOS
Une architecture base sur ltat
Larchitecture NetDefendOS est centre autour du concept de connexions bases sur ltat. Les routeurs IP ou les switches traditionnels inspectent gnralement tous les paquets et effectuent ensuite des dcisions relatives au
transfert des donnes selon les informations trouves dans les en-ttes des paquets. Avec cette approche, les paquets sont transmis sans se proccuper du contexte, ce qui vite toute possibilit de dtecter et d'analyser des protocoles complexes et renforce les rgles de scurit correspondantes. Inspection dynamique. NetDefendOS emploie une technique appele inspection dynamique, ce qui signifie quil inspecte et transmet le trafic en se basant sur une seule connexion la fois. NetDefendOS dtecte lorsquune nouvelle connexion est tablie et conserve une faible quantit d'informations ou d'tats dans sa table d'tat pendant la dure de cette connexion. Grce cette opration, NetDefendOS est capable de comprendre le contexte du trafic rseau, ce qui lui permet notamment deffectuer une analyse du trafic en profondeur et dappliquer la gestion de la bande passante. Lapproche d'inspection dynamique propose en outre des performances de dbit leves en plus de latout dune conception hautement volutive. Le sous-systme NetDefendOS qui met en uvre linspection dynamique sera parfois appel moteur dtat NetDefendOS dans la documentation.
Blocs logiques de NetDefendOS

Les blocs logiques de base de NetDefendOS sont les interfaces, les objets logiques ainsi que les diffrents types de rgles (ou ensembles de rgles). Interfaces. Les interfaces sont les passages pour le trafic rseau en direction ou en provenance du systme. Sans interfaces, un systme NetDefendOS na aucun moyen de recevoir ou denvoyer du trafic. Diffrents types dinterfaces sont pris en charge : les interfaces physiques, les sous-interfaces physiques et les interfaces tunnels. Les interfaces physiques correspondent aux ports Ethernet physiques rels ; les sous-interfaces physiques incluent les interfaces VLAN et PPPoE, tandis que les interfaces tunnels sont utilises pour recevoir et envoyer le trafic dans les tunnels VPN. Symtrie dinterface. La conception de l'interface NetDefendOS est symtrique, ce qui signifie que les interfaces du priphrique ne sont pas fixes sur lextrieur non scuris ou lintrieur scuris dune topologie rseau. La notion de contenu interne et externe doit tre entirement dfinie par l'administrateur. Objets logiques. Les objets logiques peuvent tre considrs comme des blocs logiques prdfinis destins tre utiliss par les ensembles de rgles. Le carnet dadresses, par exemple, contient des objets nomms qui reprsentent les adresses rseau et htes. Les services, qui reprsentent un protocole spcifique et des combinaisons de ports, constituent dautres exemples dobjets logiques. Les objets de la passerelle ALG (Application Layer Gateway), utiliss pour dfinir des paramtres supplmentaires qui concernent des protocoles spcifiques tels que HTTP, FTP, SMTP et H.323, sont galement importants. Ensembles de rgles NetDefendOS. Enfin, les rgles dfinies par ladministrateur dans les diffrents ensembles de rgles sont utilises pour rellement mettre en uvre les rgles de scurit de NetDefendOS. L'ensemble de rgles le plus indispensable est lensemble de rgles IP, utilis aussi bien pour dfinir la rgle de filtrage de la couche 3 (IP) que pour raliser la traduction dadresses et lquilibrage du volume de trafic du serveur. Les rgles de mise en forme du trafic dfinissent la stratgie de gestion de la bande passante, les rgles IDP contrlent le comportement du moteur de prvention des intrusions, etc.
Flux de paquets de base

Cette section dcrit le flux de base dans le moteur dtat pour les paquets reus et transmis par NetDefendOS. Veuillez noter que cette description est simplifie et ne pourrait sappliquer entirement tous les cas de figure. Le principe de base est toutefois valable pour toutes les applications. Une trame Ethernet est reue par lune des interfaces Ethernet du systme. La procdure de validation de la trame Ethernet de base est effectue et le paquet est ignor si la trame nest pas valide. Le paquet est associ une interface source. Linterface source est dfinie comme suit : Si la trame Ethernet contient un ID de VLAN (identifiant de rseau virtuel), le systme vrifie lexistence dune interface VLAN configure possdant un ID de VLAN correspondant. Sil en dtecte une, celle-ci devient linterface source pour le paquet. Si aucune interface correspondante nest trouve, le paquet est ignor et lvnement est consign. Si la trame Ethernet contient une charge utile PPP, le systme vrifie lexistence dune interface PPPoE
correspondante. S'il en trouve une, celle-ci devient l'interface source pour le paquet. Si aucune interface correspondante nest trouve, le paquet est ignor et lvnement est consign. Dans tous les autres cas, linterface Ethernet rceptrice devient linterface source pour le paquet. Le datagramme IP inclus dans le paquet est transmis au vrificateur de cohrence NetDefendOS. Le vrificateur de cohrence effectue un certain nombre de tests pour vrifier que le paquet est sain, parmi lesquels la validation des totaux de contrle, les indicateurs de protocoles, la longueur du paquet, etc. Si le test de cohrence choue, le paquet est ignor et lvnement est consign. NetDefendOS tente prsent de rpertorier une connexion existante en associant les paramtres du paquet entrant. Un certain nombre de paramtres sont utiliss lors de la tentative de correspondance, notamment linterface source, les adresses IP source et de destination ainsi que le protocole IP. Si aucune correspondance nest trouve, le systme excute un processus dtablissement de connexion comprenant les tapes suivantes, jusqu ltape 9. Si une correspondance est dtecte, le processus de transmission continue ltape 10 ci-dessous. Les rgles daccs sont examines pour dterminer si l'adresse IP source de la nouvelle connexion est autorise sur linterface reue. Si aucune rgle daccs ne correspond, une rsolution de routage inverse est effectue. En dautres termes, une interface nacceptera par dfaut que les adresses IP sources appartenant aux rseaux routs par cette interface. Si les rgles daccs ou la rsolution de routage inverse dterminent que lIP source n'est pas valide, le paquet est ignor et lvnement est consign. Un chemin de routage est tabli en utilisant la table de routage approprie. Linterface de destination pour la connexion est prsent dtermine. Les rgles IP sont dsormais inspectes dans le but de trouver une rgle qui corresponde au paquet. Les paramtres suivants font partie du processus de mise en correspondance : Interfaces source et de destination Rseau source et de destination Protocole IP (par exemple TCP, UDP, ICMP) Ports TCP/UDP Types ICMP Point dans le temps faisant rfrence une planification prdfinie. Si aucune correspondance ne peut tre trouve, le paquet est ignor. Si une rgle correspondant la nouvelle connexion est trouve, le paramtre Action de la rgle dtermine la manire dont NetDefendOS exploitera cette connexion. Si laction est Drop (Ignorer), le paquet est ignor et l'vnement est consign en fonction des paramtres de consignation de la rgle. Si laction est Allow (Autoriser), le paquet est autoris transiter sur le systme. Un tat correspondant est ajout la table de connexion pour mettre en correspondance les prochains paquets appartenant la mme connexion. De plus, il se peut que lobjet de service qui correspondait au protocole et aux ports IP ait dj contenu une rfrence un objet de la passerelle ALG (Application Layer Gateway). Cette information est consigne dans ltat de manire ce que NetDefendOS sache que le traitement des couches dapplication devra tre effectu sur la connexion. Enfin, louverture de la nouvelle connexion est consigne en fonction des paramtres de consignation de la rgle.
Remarque
Il existe en ralit un certain nombre dactions supplmentaires disponibles, telles que la traduction dadresses et lquilibrage de charge du serveur. Le concept de base qui consiste interrompre et autoriser le trafic ne change pas.
Les rgles de dtection et de prvention des intrusions (IDP) sont prsent values dune manire comparable aux rgles IP. Si une correspondance est trouve, les donnes IDP sont consignes dans ltat. Grce cette opration, NetDefendOS sait que lanalyse IDP est suppose tre effectue sur tous les paquets appartenant cette connexion. La rgle de mise en forme du trafic et lensemble de rgles aux seuils sont prsent inspects. Si une correspondance est trouve, cette information est consigne dans ltat. Cela permettra une gestion correcte du trafic de la connexion. Grce aux informations stockes dans ltat, NetDefendOS sait prsent la manire dont il doit traiter le paquet entrant : Si linformation ALG existe ou si l'analyse IDP est sur le point d'tre effectue, la charge utile du paquet est prise en charge par le sous-systme de pseudo-rassemblement TCP, qui son tour utilise les diffrentes passerelles ALG, les moteurs d'analyse de la couche 7 et ainsi de suite, pour analyser ou transformer le trafic en profondeur. Si le contenu du paquet est encapsul (comme c'est le cas avec IPsec, L2TP/PPTP ou un autre type de protocole de tunnelisation), alors les listes dinterfaces sont analyses pour rechercher une interface correspondante. Si une interface correspondante est dtecte, le paquet est dcapsul et la charge utile (le texte brut) est renvoye NetDefendOS, linterface source tant alors linterface tunnel correspondante. En dautres termes, le processus se poursuit ltape 3 ci-dessus. Si les informations sur la gestion du trafic existent, le paquet peut tre mis en file dattente ou tre soumis des actions lies la gestion du trafic. Finalement, le paquet sera transmis l'interface de destination en fonction de ltat. Si l'interface de destination est une interface tunnel ou une sous-interface physique, des traitements supplmentaires tels que le chiffrement ou lencapsulation peuvent avoir lieu. La section suivante fournit un ensemble de schmas qui illustrent le flux de paquets qui traversent NetDefendOS.
Flux de paquets du moteur dtat de NetDefendOS

Les schmas de cette section offrent un rsum du flux de paquets qui traverse le moteur dtat de NetDefendOS. Les trois schmas suivants doivent tre lus de manire conscutive.
Figure 1.1 Schma du flux de paquets Partie I
Le flux de paquets se poursuit sur la page suivante.
Figure 1.2 Schma du flux de paquets Partie II
Le flux de paquets se poursuit sur la page suivante.
Figure 1.3 Schma du flux de paquets Partie III
Chapitre 2. Gestion et maintenance

Ce chapitre dcrit les aspects relatifs la gestion, la maintenance et aux oprations sur NetDefendOS.
Gestion de NetDefendOS
Prsentation
NetDefendOS est conu pour apporter un haut niveau de performances et une grande fiabilit. Non seulement il fournit un vaste ensemble de fonctions, mais aussi il permet ladministrateur de pleinement contrler tous les dtails du systme. En dautres termes, le produit peut tre dploy dans les environnements les plus difficiles. Une bonne comprhension de la manire de configurer NetDefendOS est cruciale pour la bonne utilisation du systme. Pour cette raison, cette section prsente de faon dtaille le sous-systme de configuration et dcrit la manire de travailler avec les multiples interfaces de gestion. Interfaces de gestion. NetDefendOS comprend les interfaces de gestion suivantes : Linterface utilisateur Web Linterface utilisateur Web propose une interface de gestion graphique conviviale et intuitive, accessible depuis un navigateur Web standard. Linterface de ligne de commande Linterface de ligne de commande, accessible en local via un port console srie ou distance via le protocole SSH (Secure Shell), propose le contrle le plus pointu de tous les paramtres de NetDefendOS.
Remarque
Microsoft Internet Explorer (version 6 ou suprieure), Firefox et Netscape (version 8 ou suprieure) sont les navigateurs Web recommands pour lutilisation de linterface utilisateur Web. Dautres navigateurs peuvent aussi convenir. Laccs aux interfaces de gestion distante peut tre contrl grce la stratgie de gestion distante. Ainsi, ladministrateur peut restreindre laccs au rseau source, linterface source et aux authentifiants. Il est possible dautoriser laccs linterface Web par des administrateurs de certains rseaux et laccs distant linterface de ligne de commande par un administrateur connect laide dun tunnel IPSec spcifique. Par dfaut, laccs linterface utilisateur Web est autoris aux utilisateurs rseau connects via linterface LAN du firewall (pour les produits dots de plusieurs interfaces LAN, LAN1 est linterface par dfaut).
Comptes administrateur par dfaut

Par dfaut, NetDefendOS a une base de donnes utilisateur locale : AdminUsers, avec un compte utilisateur prdfini. Nom dutilisateur : admin. Mot de passe : admin. Ce compte a tous les droits administrateur de lecture/dcriture.
Important
Pour des raisons de scurit, il est recommand de modifier le mot de passe du compte par dfaut aussitt que possible aprs connexion au firewall de D-Link. Cration de comptes. Des comptes utilisateur supplmentaires peuvent tre crs le cas chant. Les comptes peuvent appartenir soit au groupe des administrateurs (dans ce cas, ils ont tous les droits administrateur de lecture/dcriture), soit au groupe des auditeurs (dans ce cas, ils nont que les droits de lecture).
Interface de ligne de commande

NetDefendOS contient une interface de ligne de commande pour les administrateurs qui prfrent ou exigent une approche par ligne de commande, ou qui ont besoin dun contrle plus prcis de la configuration du systme.
Gestion et maintenance
Linterface de ligne de commande est disponible en local grce au port console srie ou distance grce au protocole SSH (Secure Shell). Linterface de ligne de commande dispose dun vaste ensemble de commandes qui permettent non seulement laffichage et la modification des donnes de configuration, mais aussi laffichage des donnes dexcution et la ralisation des tches de maintenance du systme. Cette section ne fait quun rsum de lutilisation de linterface de ligne de commande. Pour plus de prcisions sur les lignes de commande, reportez-vous au CLI Reference Guide (Guide de rfrence sur linterface de ligne de commande), fourni par D-Link. Console srie pour laccs linterface de ligne de commande. Le port console srie est un port RS-232 sur le firewall de D-Link, qui permet laccs linterface de ligne de commande grce une connexion srie sur un PC ou un terminal. Pour localiser le port console srie du systme D-Link, reportez-vous au Guide de dmarrage rapide de D-Link. Pour utiliser le port console, vous avez besoin des lments suivants : Un terminal ou un ordinateur avec un port srie et la capacit dmuler un terminal (par exemple, le logiciel Hyper Terminal inclus dans certaines ditions de Microsoft Windows). Le port console srie utilise les paramtres par dfaut suivants : 9600 bits par seconde, sans parit, 8 bits de donnes, 1 bit d'arrt. Un cble RS-232 avec les connecteurs appropris. Un cble RS-232 simulateur de modem est inclus dans le pack. Pour connecter un terminal au port console, suivez ces tapes : Paramtrez le protocole du terminal selon la procdure prcdemment dcrite. Branchez lun des connecteurs du cble RS-232 directement sur le port console du matriel. Branchez lautre extrmit du cble au terminal ou au port srie dun ordinateur qui excute le logiciel de communication. Appuyez sur la touche Entre du terminal. Linvite de connexion de NetDefendOS devrait apparatre sur lcran du terminal. Accs SSH linterface de ligne de commande. Le protocole SSH (Secure Shell) peut tre utilis pour accder linterface de ligne de commande par le biais du rseau dun hte distant. Le SSH est un protocole utilis lorigine pour des communications scurises sur des rseaux non scuriss, ce qui implique une forte authentification et lintgrit des donnes. Une grande partie des clients SSH sont disponibles gratuitement pour presque toutes les plates-formes matrielles. NetDefendOS est compatible avec la version 1, 1.5 et 2 du protocole SSH. Laccs SSH est contrl par la stratgie de gestion distante de NetDefendOS et dsactiv par dfaut.
Exemple 2.1. Autorisation de laccs SSH distant

Cet exemple montre comment vous pouvez autoriser laccs SSH distant depuis le rseau lannet grce une interface lan, en ajoutant une rgle la stratgie de gestion distante. Interface de ligne de commande
gw-world:/> add RemoteManagement RemoteMgmtSSH ssh Network=lannet Interface=lan LocalUserDatabase=AdminUsers
Interface Web Slectionnez System > Remote Management > Add > Secure Shell Management (Systme > Gestion distante > Ajouter > Gestion SSH). Saisissez le nom de la stratgie de gestion SSH distante (par exemple, ssh_policy). Dans les listes droulantes, slectionnez les options suivantes : User Database (Base de donnes utilisateur) : AdminUsers (Administrateurs)
10
Interface : lan Network (Rseau) : lannet Cliquez sur OK. Connexion linterface de ligne de commande. Quand laccs linterface de ligne de commande a t tabli pour NetDefendOS grce une console srie ou un client SSH, ladministrateur devra sidentifier sur le systme avant de pouvoir excuter nimporte quelle ligne de commande. Cette tape dauthentification est ncessaire pour assurer que seuls les utilisateurs autoriss peuvent accder au systme et pour fournir des informations utilisateur lors de vrifications. En accdant linterface de ligne de commande, le systme rpond par une invite de connexion. Saisissez votre nom dutilisateur et appuyez sur la touche Entre, puis insrez votre mot de passe et appuyez de nouveau sur la touche Entre. Une fois lauthentification russie, une invite de commande apparat. Si un message daccueil a t paramtr, il saffichera directement aprs lauthentification.
gw-world:/>
Pour des raisons de scurit, il est conseill de dsactiver ou de ne pas personnaliser le message daccueil de linterface de ligne de commande. Modification de linvite de linterface de ligne de commande. Linvite de linterface de ligne de commande par dfaut est :
Device:/>
Device est la rfrence du firewall de D-Link. Elle peut tre personnalise en gw-world:/> par exemple, laide de la ligne de commande :
Device:/> set device name="gw-world"
Le CLI Reference Guide (Guide de rfrence sur linterface de ligne de commande) utilise tout du long linvite de commande gw-world:/>.
Remarque
Quand linvite de ligne de commande est remplace par une nouvelle valeur, cette valeur apparat aussi comme le nouveau nom du priphrique dans le nud suprieur de larborescence de linterface utilisateur Web. Activation et confirmation des modifications. Si des modifications sont apportes la configuration en cours par linterface de ligne de commande, elles ne seront pas enregistres dans NetDefendOS jusqu ce que la commande
gw-world:/> activate
soit mise. Immdiatement aprs la commande activate, la commande

gw-world:/> commit
doit tre mise pour rendre ces modifications permanentes. Si une commande commit na pas t lance dans une priode par dfaut de 30 secondes, les modifications seront automatiquement ignores et lancienne configuration sera restaure. Dconnexion de linterface de ligne de commande. Aprs avoir fini de travailler avec linterface de ligne de commande, dconnectez-vous afin dempcher dautres personnes de se connecter au systme sans autorisation. Dconnectez-vous en utilisant la commande exit ou logout.
Linterface utilisateur Web

NetDefendOS propose une interface utilisateur Web trs polyvalente pour la gestion du systme par le biais dun navigateur Internet standard. Ainsi, ladministrateur peut effectuer une gestion distante de pratiquement nimporte quel endroit du monde sans avoir installer de clients tiers. Connexion linterface Web. Pour accder linterface Web, lancez un navigateur Internet standard et saisissez
11
ladresse IP du firewall. Ladresse par dfaut du fabricant pour tout firewall D-Link est 192.168.1.1. Lors de la premire connexion NetDefendOS, ladministrateur DOIT utiliser le protocole https:// dans lURL (par exemple, https://192.168.1.1). Lutilisation de HTTPS comme protocole chiffre le nom dutilisateur et le mot de passe lorsquils sont envoys vers NetDefendOS. Si la communication avec NetDefendOS est correctement tablie, une bote de dialogue dauthentification de lutilisateur similaire celle montre ci-dessous apparatra dans la fentre du navigateur.
Saisissez votre nom dutilisateur et cliquez sur le bouton Login (Connexion). Si les authentifiants de lutilisateur sont corrects, la page Web principale de linterface apparatra. Cette page dont les parties essentielles sont mises en vidence est prsente ci-dessous. Prise en charge de plusieurs langues. La bote de dialogue de connexion de linterface utilisateur Web offre la possibilit de choisir une autre langue que langlais dans linterface. Cette prise en charge sappuie sur un ensemble distinct de fichiers de ressources fournis avec NetDefendOS. Il arrive quune mise niveau de NetDefendOS ne bnficie temporairement pas dune traduction complte cause de contraintes de temps. Dans ce cas, la version originale en anglais sera utilise comme une solution temporaire. Interface du navigateur Internet. Sur le ct gauche de linterface utilisateur Web se trouve une arborescence qui permet de naviguer au travers des diffrents modules de NetDefendOS. La partie centrale de linterface utilisateur Web affiche les informations qui concernent ces modules. Les informations sur la performance en cours sont affiches par dfaut.
12
Pour obtenir des informations sur le nom dutilisateur et le mot de passe par dfaut, vous pouvez consulter la section Comptes administrateur par dfaut.
Remarque
Laccs linterface Web est contrl par la stratgie de gestion distante. Par dfaut, le systme nautorisera laccs quau rseau interne. Structure de linterface. Linterface Web principale est divise en trois sections majeures : La barre de menus La barre de menus situe en haut de linterface Web contient des boutons et des menus droulants utiliss non seulement pour lexcution des tches de configuration, mais aussi pour laccs divers outils et pages dtat. Home (Accueil) : renvoie la premire page de linterface Web. Configuration Save and Activate (Enregistrer et activer) : enregistre et active la configuration. Discard Changes (Ignorer les modifications) : ignore toutes les modifications apportes la configuration lors de la session en cours. View Changes (Afficher les modifications) : rpertorie les modifications apportes la configuration depuis la dernire sauvegarde. Tools (Outils) : contient plusieurs outils utiles la maintenance du systme. Status (tat) : propose diverses pages dtat utilisables lors de diagnostics du systme. Maintenance
13
Update Center (Centre de mise jour) : effectuez des mises jour manuelles ou programmes de la fonction de dtection des intrusions et des signatures de virus. License (Licence) : affichez les dtails de la licence ou saisissez le code dactivation. Backup (Sauvegarde) : sauvegardez la configuration sur votre ordinateur local ou restaurez une sauvegarde tlcharge prcdemment. Reset (Rinitialiser) : redmarrez le firewall ou rinitialisez les paramtres usine par dfaut. Upgrade (Mise niveau) : mettez niveau le firmware du firewall. Navigateur Le navigateur situ sur le ct gauche de linterface Web contient une arborescence de la configuration du systme. Larborescence est divise en plusieurs sections qui correspondent aux principales units lmentaires de la configuration. Larborescence peut tre dveloppe pour prsenter des sections supplmentaires.
Fentre principale La fentre principale contient les dtails de la configuration et de ltat qui correspondent la section slectionne dans le navigateur ou dans la barre de menus. Contrle de laccs linterface Web. Par dfaut, linterface Web nest accessible que via le rseau interne. Si vous devez autoriser laccs dautres parties du rseau, vous pouvez modifier la stratgie de gestion distante.
Exemple 2.2. Activation de la gestion HTTPS distante

gw-world:/> add RemoteManagement RemoteMgmtHTTP https Network=all-nets Interface=any LocalUserDatabase=AdminUsers HTTPS=Yes
Interface Web Slectionnez System > Remote Management > Add > HTTP/HTTPS Management (Systme > Gestion distante > Ajouter > Gestion HTTP/HTTPS). Saisissez le nom de la stratgie de gestion HTTP/HTTPS distante (par exemple, https). Cochez la case HTTPS. Dans les listes droulantes, slectionnez les lments suivants. User Database (Base de donnes utilisateur) : AdminUsers (Administrateurs) Interface : any (toute) Network (Rseau) : all-nets (tous les rseaux) Cliquez sur OK.
Attention
Lexemple ci-dessus est donn titre dinformation uniquement. Il nest jamais recommand de dvoiler une interface de gestion quiconque sur Internet. Dconnexion de linterface Web. Une fois le travail accompli sur linterface Web, vous devez toujours vous dconnecter pour empcher les utilisateurs qui peuvent se servir de votre poste de travail davoir un accs non autoris au systme. Dconnectez-vous en cliquant sur le bouton Logout (Dconnexion) droite de la barre de menus.
Conseil
Sil survient un problme avec linterface de gestion lors dune communication via des tunnels VPN, vrifiez la table de routage principale et cherchez une route all-nets (tous les rseaux) vers le tunnel VPN. Si aucune route spcifique nexiste jusqu linterface de gestion, le trafic de gestion en provenance de
14
NetDefendOS sera automatiquement dirig vers le tunnel VPN. Si tel est le cas, ladministrateur doit ajouter une route pour diriger le trafic de gestion destin au rseau de gestion vers la bonne interface.
Utilisation des configurations

La configuration du systme sappuie sur des objets. Chaque objet reprsente un lment configurable de tout type. Exemples dobjets de configuration : entres de la table de routage, entres du carnet dadresses, dfinitions du service et rgles IP. Chacun a plusieurs proprits qui constituent les valeurs de cet objet. Chaque objet de configuration a un type bien dfini. Le type dtermine les proprits disponibles pour lobjet de configuration et leurs contraintes. Par exemple, le type IP4Address est utilis pour tous les objets de configuration qui reprsentent une adresse IPv4 nomme. Dans linterface utilisateur Web, les objets de configuration sont organiss en une sorte darborescence et classs selon leur type. Dans linterface de ligne de commande, les types similaires dobjet de configuration sont regroups en catgories. Ces catgories sont diffrentes de la structure utilise dans linterface utilisateur Web, afin de permettre un accs plus rapide aux objets de configuration dans linterface de ligne de commande. Les types IP4Adress, IP4Group et EthernetAddress sont par exemple regroups dans une catgorie nomme Address (Adresse), puisquils reprsentent tous des adresses diffrentes. Par consquent, les objets Ethernet et VLAN sont tous regroups dans une catgorie nomme Interface puisquils sont des objets dinterface. Ces catgories nont en fait aucun impact sur la configuration du systme. Elles ne font que simplifier ladministration du systme. Les exemples suivants dcrivent la manire dutiliser les objets.
Exemple 2.3. Liste des objets de configuration

Pour identifier tous les objets de configuration existants, vous pouvez crer une liste de ceux-ci. Cet exemple dcrit la manire dtablir une liste de tous les objets de service. Interface de ligne de commande
gw-world:/> show Service
Une liste de tous les services classs selon leur type respectif saffiche. Interface Web Slectionnez Objects > Services (Objets > Services). Une page Web qui rpertorie tous les services saffiche. Une liste contient les lments de base suivants. Add (Ajouter) : le bouton affiche un menu droulant aprs avoir cliqu dessus. Le menu rpertorie tous les types dlment de configuration qui peuvent tre ajouts la liste. Header (En-tte) : la ligne den-tte affiche les titres des colonnes de la liste. Les petites icnes en flche situes prs de chaque titre peuvent tre utilises pour trier la liste dans chaque colonne. Rows (Lignes) : chaque ligne de la liste correspond un lment de configuration. De manire gnrale, chaque ligne dbute par le nom de lobjet (si llment a un nom), suivi par les valeurs des colonnes de la liste. Le fait de cliquer un endroit de la ligne sans lien hypertexte permet de ne slectionner quune seule ligne. Le fond de la ligne devient bleu fonc. Le fait de cliquer avec le bouton droit de la souris sur la ligne fait apparatre un menu grce auquel les objets peuvent tre modifis, supprims ou rordonns.
Exemple 2.4. Affichage dun objet de configuration

Lopration la plus simple effectuer sur un objet de configuration est dafficher son contenu, cest--dire les valeurs des proprits de cet objet. Cet exemple dcrit la manire dafficher le contenu dun objet de configuration qui reprsente le service telnet.
15

gw-world:/> show Service ServiceTCPUDP telnet Property Value ----------------- ------Name: telnet DestinationPorts: 23 Type: TCP SourcePorts: 0-65535 SYNRelay: No PassICMPReturn: No ALG: (none) MaxSessions: 1000 Comments: Telnet
La colonne Property (Proprit) rpertorie les noms de toutes les proprits de la classe ServiceTCPUDP et la colonne Value (Valeur) rpertorie les valeurs des proprits correspondantes. Interface Web Slectionnez Objects > Services (Objets > Services). Cliquez sur le lien hypertexte telnet dans la liste. Une page Web du service telnet saffiche.
Remarque
Pour accder un objet via linterface de ligne de commande, vous pouvez omettre le nom de la catgorie et simplement utiliser le nom du type. La ligne de commande de lexemple ci-dessus peut donc tre simplifie par :
gw-world:/> show ServiceTCPUDP telnet
Exemple 2.5. Modification dun objet de configuration

Pour modifier le fonctionnement de NetDefendOS, vous allez trs probablement devoir modifier un ou plusieurs des objets de configuration. Cet exemple dcrit la manire de modifier la proprit Comments du service telnet. Interface de ligne de commande
gw-world:/> set Service ServiceTCPUDP telnet Comments="Modified Comment"
Affichez nouveau lobjet pour vrifier la nouvelle valeur de la proprit :

gw-world:/> show Service ServiceTCPUDP telnet Property Value ----------------- ------Name: telnet DestinationPorts: 23 Type: TCP SourcePorts: 0-65535 SYNRelay: No PassICMPReturn: No ALG: (none) MaxSessions: 1000 Comments: Modified Comment
Interface Web Slectionnez Objects > Services (Objets > Services). Cliquez sur le lien hypertexte telnet dans la liste. Dans la zone de texte Comments (Commentaires), saisissez votre nouveau commentaire. Cliquez sur OK. Vrifiez que le nouveau commentaire a bien t mis jour dans la liste.
16
Important
Les modifications apportes un objet de configuration ne seront pas appliques au systme en cours dexcution tant que vous ne les aurez pas actives et confirmes.
Exemple 2.6. Ajout dun objet de configuration

Cet exemple dcrit la manire dont vous pouvez ajouter un nouvel objet IP4Address en crant ladresse IP 192.168.10.10 dans le carnet dadresses. Interface de ligne de commande
gw-world:/> add Address IP4Address myhost Address=192.168.10.10
Affichez le nouvel objet :

gw-world:/> show Address IP4Address myhost Property Value --------------------- ------------Name: myhost Address: 192.168.10.10 UserAuthGroups: (none) NoDefinedCredentials: No Comments: (none)
Interface Web Slectionnez Objects > Address Book (Objets > Carnet dadresses). Cliquez sur le bouton Add (Ajouter). Dans le menu droulant affich, slectionnez ladresse IP4. Dans la zone de texte Name (Nom), saisissez myhost. Saisissez 192.168.10.10 dans la zone de texte de ladresse IP. Cliquez sur OK. Vrifiez que la nouvelle adresse IP4 de lobjet a bien t ajoute la liste.
Exemple 2.7. Suppression dun objet de configuration

Cet exemple dcrit la manire de supprimer lobjet IP4Address rcemment ajout. Interface de ligne de commande
gw-world:/> delete Address IP4Address myhost
Interface Web Slectionnez Objects > Address Book (Objets > Carnet dadresses). Cliquez avec le bouton droit de la souris sur la ligne contenant lobjet myhost. Dans le menu droulant affich, slectionnez Delete (Supprimer). La ligne est barre, ce qui indique quelle est en cours de suppression.
Exemple 2.8. Annulation de la suppression dun objet de configuration

Un objet supprim peut toujours tre restaur avant que la configuration nait t active et confirme. Cet exemple dcrit la manire de restaurer lobjet IP4Address prcdemment supprim. Interface de ligne de commande
gw-world:/> undelete Address IP4Address myhost
17
Interface Web Slectionnez Objects > Address Book (Objets > Carnet dadresses). Cliquez avec le bouton droit de la souris sur la ligne qui contient lobjet myhost. Dans le menu droulant affich, slectionnez Undo Delete (Annuler la suppression). Consultation de la liste des objets modifis. Aprs avoir modifi plusieurs objets de configuration, vous pouvez avoir envie de consulter une liste des objets modifis, ajouts ou supprims depuis la dernire sauvegarde.
Exemple 2.9. Affichage de la liste des objets de configuration

Cet exemple dcrit la manire de rpertorier les objets de configuration modifis. Interface de ligne de commande
gw-world:/> show -changes Type Object ------------- ------ IP4Address myhost * ServiceTCPUDP telnet
Le signe + au dbut dune ligne indique que lobjet a t ajout. Le signe * indique que lobjet a t modifi. Le signe - indique que lobjet est en cours de suppression. Interface Web Dans la barre de menus, slectionnez Configuration > View Changes (Configuration > Afficher les modifications). Une liste des modifications apparat. Activation et confirmation dune configuration. Aprs avoir apport des modifications une configuration, cette dernire doit tre active pour que les modifications prennent effet sur le systme en cours dexcution. Lors du processus dactivation, la nouvelle configuration est valide et NetDefendOS essaye dinitialiser les sous-systmes affects avec les donnes de la nouvelle configuration.
Confirmation des modifications IPSec

Ladministrateur doit savoir que, si des modifications qui affectent les configurations des tunnels directs sont valides, les connexions de ces tunnels SERONT INTERROMPUES et devront tre relances. Si la nouvelle configuration est valide, NetDefendOS attendra une courte priode (30 secondes par dfaut) durant laquelle une connexion avec ladministrateur doit tre rtablie. titre de rappel, si la configuration a t active via linterface de ligne de commande grce la commande activate, une commande commit doit tre lance au cours de cette priode. Si une connexion perdue ne peut tre rtablie ou si la commande commit na pas t lance, NetDefendOS reviendra lancienne configuration. Il sagit dun mcanisme scurit intgre, notamment capable dviter quun administrateur distant ne procde au verrouillage.
Exemple 2.10. Activation et confirmation dune configuration

Cet exemple dcrit la manire dactiver et de confirmer une nouvelle configuration. Interface de ligne de commande
gw-world:/> activate
Le systme valide et commence utiliser la nouvelle configuration. Lorsque linvite de commande

gw-world:/> commit
rapparat, la nouvelle configuration est dsormais confirme. Interface Web
18
Dans la barre de menus, slectionnez Configuration > Save and Activate (Configuration > Enregistrer et activer). Cliquez sur OK. Le navigateur Web essaye automatiquement de se reconnecter linterface Web aprs 10 secondes. Si la connexion stablit, la gestion distante fonctionne toujours daprs linterprtation de NetDefendOS. La nouvelle configuration est automatiquement confirme.
Remarque
La configuration doit tre confirme avant que les modifications ne soient enregistres. Toutes les modifications apportes une configuration peuvent tre ignores en omettant ltape de confirmation.
vnements et consignation
Prsentation
La possibilit de consigner et danalyser les activits du systme reprsente une fonctionnalit essentielle de NetDefendOS. La consignation permet non seulement de surveiller ltat et le bon fonctionnement du systme, mais aussi de vrifier lutilisation du rseau et de faciliter le dpannage. NetDefendOS dfinit plusieurs event messages (messages dvnements) qui sont gnrs en consquence dvnements du systme correspondants. Exemples dvnements : tablissement ou chec de connexions, rception de paquets corrompus et interruption du trafic selon les rgles de filtrage. Quand un event message (message dvnement) est gnr, il peut tre filtr et affich par tous les event receivers (rcepteurs dvnements) aprs configuration. Ladministrateur peut configurer plusieurs event receivers (rcepteurs dvnements), qui peuvent avoir chacun leur propre event filter (filtre dvnements) personnalis. La conception complexe des mcanismes dvnements et de consignation de NetDefendOS garantit que la possibilit de connexion est simple et directe. Paralllement, le contrle de toutes les activits du systme reste trs fin pour les dploiements les plus avancs.
Messages dvnements
NetDefendOS dtermine plusieurs centaines dvnements pour lesquels des event messages (messages dvnements) peuvent tre gnrs. Les vnements peuvent tre : high-level (de haut niveau), customizable (personnalisables), user events (de lutilisateur), low-level (de bas niveau) ou mandatory system events (obligatoires au systme). Par exemple, lvnement conn_open est un vnement gnralement high-level (de haut niveau), qui gnre un event message (message dvnement) chaque fois quune nouvelle connexion est tablie. En effet, la rgle de scurit correspondante dfinit que les event messages (messages dvnements) doivent tre gnrs lors de cette connexion. Exemple dvnement low-level (de bas niveau) : lvnement startup_normal, qui gnre un event message (message dvnement) obligatoire lorsque le systme dmarre. Tous les event messages (messages dvnements) sont tablis sur un format commun, qui regroupe la catgorie, la gravit et les actions recommandes. Ces attributs permettent un filtrage facile des messages, dans NetDefendOS avant mme leur envoi un event receiver (rcepteur dvnement) ou lors de lanalyse aprs la consignation et le stockage des messages sur un serveur de consignation externe. Une liste de tous les event messages (messages dvnements) est consultable dans le Log Reference Guide (Guide de rfrence des vnements). Ce guide dcrit aussi la structure des event messages (messages dvnements), ainsi que les divers attributs disponibles. La gravit de chaque vnement est prdfinie et classe selon son degr : Emergency (Urgence) Alert (Alerte)
19
Critical (Critique) Error (Erreur) Warning (Avertissement) Notice (Avis) Info Debug (Dbogage) Par dfaut, tous les messages du niveau Info ou suprieur sont affichs. La catgorie Debug (Dbogage) nest destine quaux dpannages et ne doit tre active que sil est ncessaire de rsoudre un problme. Les messages de tout degr de gravit sont consultables dans le Log Reference Guide (Guide de rfrence des vnements) de NetDefendOS.
Rpartition des messages dvnements

Pour rpartir et enregistrer les event messages (messages dvnements) gnrs, il est ncessaire de dfinir un ou plusieurs event receivers (rcepteurs dvnements) qui spcifient quels vnements choisir et o les envoyer. NetDefendOS peut rpartir les event messages (messages dvnements) des faons suivantes : Memlog Le firewall D-Link a un mcanisme de consignation intgr, du nom de Memory Log (Mmoire des vnements). Il sauvegarde tous les messages dvnements dans la mmoire et permet de les afficher directement grce linterface Web. Le standard de rfrence pour la consignation dvnements des priphriques rseau. Si dautres priphriques rseau sont dj consigns sur les serveurs Syslog, utiliser Syslog avec les messages de NetDefendOS peut simplifier ladministration gnrale.
Syslog
Enregistrement vers des htes Syslog

Syslog est un protocole standard pour la transmission des donnes de journal, bien quil nexiste pas de format standard pour les messages de consignation eux-mmes. Le format utilis par NetDefendOS convient bien aux traitements, filtrages et recherches automatiques. Bien que les formats exacts de chaque entre de journal dpendent du mode de fonctionnement dun rcepteur Syslog, la plupart se ressemblent beaucoup. La faon dont les journaux sont lus dpend aussi du mode de fonctionnement du rcepteur Syslog. Les daemons Syslog des serveurs UNIX enregistrent gnralement des lments dans des fichiers texte, ligne par ligne. La plupart des rcepteurs Syslog font prcder chaque entre de journal dune indication dhorodatage et de ladresse IP de la machine lorigine de lenvoi des donnes de journal.
Feb 5 2000 09:45:23 gateway.ourcompany.com
Vient ensuite le texte denvoi choisi par lexpditeur.

Feb 5 2000 09:45:23 gateway.ourcompany.com EFW: DROP:
Le texte qui vient ensuite dpend de lvnement survenu. Afin de faciliter le traitement automatique de tous les messages, NetDefendOS crit toutes les donnes de journal en une seule ligne de texte. Toutes les donnes suivant le texte dorigine est prsent sur le format : name=value (nom=valeur). Ainsi, les filtres automatiques permettent de rechercher facilement des valeurs sans partir du fait quune donne spcifique se trouve un endroit spcifique dans lentre de journal.
Remarque
Le champ Prio= des messages Syslog contient les mmes informations que le champ Severity (Gravit) des messages de journal D-Link. Toutefois, lordre de numrotation est invers.
Exemple 2.11. Activation de lenregistrement sur un hte Syslog

Pour activer lenregistrement de tous les vnements dont le niveau de gravit est suprieur ou gal Notice (Avis) sur un serveur Syslog dont ladresse IP est 195.11.22.55, suivez les tapes prsentes ci-dessous.
20

gw-world:/> add LogReceiverSyslog my_syslog IPAddress=195.11.22.55
Interface Web Slectionnez System > Log and Event Receiver > Add > Syslog Receiver (Systme > Journal et rcepteur dvnements > Ajouter > Rcepteur Syslog). Spcifiez un nom adapt levent receiver (rcepteur dvnement). Par exemple : my_syslog. Saisissez ladresse IP 195.11.22.55. Slectionnez une option approprie dans la liste facility . Le nom facility est gnralement utilis comme un paramtre de filtrage pour la plupart des daemons Syslog. Cliquez sur OK. Le systme enregistre dsormais tous les vnements dont le niveau de gravit est suprieur ou gal Notice (Avis) dans le serveur Syslog 195.11.22.55.
Remarque
Le serveur Syslog devra peut-tre tre configur pour recevoir les messages de consignation de NetDefendOS. Consultez la documentation spcifique du logiciel de votre serveur Syslog afin de le configurer correctement.
Interruptions SNMP
Protocole SNMP. Le SNMP (Simple Network Management Protocol) est un moyen de communication entre un service de messagerie rseau et un priphrique gr. Il dfinit 3 types de messages : la commande Read pour que le service de messagerie rseau examine un priphrique gr, une commande Write pour modifier ltat dun priphrique gr et une commande Trap utilise par les priphriques grs pour envoyer des messages de manire dcale un service de messagerie rseau propos dun changement dtat. Interruptions SNMP dans NetDefendOS. NetDefendOS amne le concept dinterruption SNMP une tape plus loin en autorisant lenvoi de nimporte quel message comme une interruption SNMP. En dautres termes, ladministrateur peut configurer la notification dvnements sur linterruption SNMP que vous considrez comme tant importante pour lutilisation dun rseau. Le fichier DFLNNN-TRAP.MIB (NNN reprsente la rfrence du firewall) est fourni par D-Link. Il dfinit les objets SNMP et les types de donne utiliss pour dcrire une interruption SNMP reue de NetDefendOS.
Remarque
Il existe un fichier MIB diffrent pour chaque modle de firewall D-Link. Assurez-vous dutiliser le bon fichier. Pour chaque modle de firewall D-Link, il existe un objet dinterruption gnrique appel DLNNNosGenericTrap et utilis pour chaque interruption (NNN reprsente la rfrence). Cet objet inclut les paramtres suivants. System (Systme) : systme gnrant linterruption. Severity (Gravit) : gravit du message. Category (Catgorie) : problme rapport par le sous-systme de NetDefendOS. ID : identification unique dans la catgorie. Description : courte description textuelle. Action : action de NetDefendOS. Ces informations peuvent faire lobjet de rfrences croises Log Reference Guide (Guide de rfrence des vnements).
21
Remarque
NetDefendOS envoie des interruptions SNMP bases sur le standard SNMPv2c, comme le dfinissent RFC1901, RFC1905 et RFC1906.
Exemple 2.12. Envoi des interruptions SNMP un rcepteur dinterruptions SNMP

Pour permettre lenvoi dinterruptions SNMP pour tous les vnements dont le niveau de gravit est suprieur ou gal Alert (Alerte) un rcepteur dinterruptions SNMP dont ladresse IP est 195.11.22.55, suivez les tapes ci-dessous. Interface de ligne de commande
gw-world:/> add LogReceiver EventReceiverSNMP2c my_snmp IPAddress=195.11.22.55
Interface Web Slectionnez Log & Event Receivers > Add > EventReceiverSNMP2c (Journal et rcepteurs dvnements > Ajouter > EventReceiverSNMP2c). Spcifiez le nom de levent receiver (rcepteur dvnements). Par exemple : my_snmp. Saisissez ladresse IP 195.11.22.55. Saisissez une chane de communaut SNMP si le rcepteur dinterruption la requiert. Cliquez sur OK. Le systme envoie dsormais des interruptions SNMP pour tous les vnements dont le niveau de gravit est suprieur ou gal Alert (Alerte) un rcepteur dinterruptions SNMP 195.11.22.55.
Comptabilisation RADIUS
Prsentation
Dans un environnement rseau bas sur un grand nombre dutilisateurs, il est avantageux davoir un ou plusieurs serveurs centraux pour conserver les informations des comptes utilisateur et prendre en charge lidentification et les tches dautorisation. La base de donnes centrale se trouvant sur le ou les serveurs ddis conserve tous les authentifiants des utilisateurs ainsi que le dtail des connexions, ce qui rduit de manire significative la complexit de la tche dadministration. RADIUS (Remote Authentication Dial-in User Service) est un protocole dauthentification, dautorisation et de comptabilisation (AAA) largement utilis pour appliquer cette mthode et exploit par NetDefendOS pour mettre en uvre la comptabilisation des utilisateurs. Le protocole RADIUS est bas sur une architecture client/serveur. Le firewall D-Link agit comme le client du serveur RADIUS : il cre et envoie des requtes des serveurs spciaux. Dans la terminologie RADIUS, le firewall agit comme le serveur daccs rseau (NAS). Lors de lidentification de lutilisateur, le serveur RADIUS reoit les requtes, vrifie les informations de lutilisateur en consultant sa base de donnes, et accepte ou refuse le client demand. Dans RFC2866, RADIUS allait jusqu se charger de la remise des informations de comptabilisation. Il sagit du standard suivi par NetDefendOS pour la comptabilisation des utilisateurs. Les avantages davoir des serveurs centraliss stendent donc la comptabilisation des connexions utilisateur. (Pour obtenir des dtails sur lutilisation de RADIUS lors de lauthentification NetDefendOS, consultez la section Configuration de lauthentification.)
Messages de comptabilisation RADIUS

Les statistiques, telles que le nombre doctets mis et reus et le nombre de paquets mis et reus, sont mises jour et stockes tout au long des sessions RADIUS. Toutes les statistiques dun utilisateur authentifi sont mises jour chaque fois quune connexion relative cet utilisateur est coupe. Quand une nouvelle session client est ouverte par un utilisateur qui tablit une nouvelle connexion grce au firewall D-Link, NetDefendOS envoie un message AccountingRequest (rponse de comptabilisation) de type START un serveur spcial pour enregistrer le dbut dune nouvelle session. Les informations du compte
22
utilisateur sont transmises au serveur RADIUS. Le serveur va renvoyer un message daccus de rception AccountingResponse (rponse de comptabilisation) NetDefendOS. Par exemple, quand un utilisateur nest plus authentifi aprs sa dconnexion ou lexpiration de la session, un message AccountingRequest (requte de comptabilisation) de type STOP sur les statistiques importantes de la session est envoy par NetDefendOS. Les informations incluses dans ces statistiques sont configurables par lutilisateur. Le contenu des messages de type START ou STOP est dcrit ci-dessous. Paramtres du message de type START. Les paramtres inclus dans les messages de type START envoys par NetDefendOS sont les suivants. Type : signale le dbut (START) du service dans AccountingRequest (requte de comptabilisation). ID : identifiant unique pour permettre la concordance dAccountingRequest (requte de comptabilisation) et dAcct-Status-Type (Type-tat-compt.) dfini sur STOP. User Name (Nom de lutilisateur) : nom dutilisateur de la personne authentifie. NAS IP Address (Adresse IP NAS) : adresse IP du firewall de D-Link. NAS Port (Port NAS) : port du NAS sur lequel lutilisateur tait authentifi (il sagit dun port physique et non dun port TCP ou UDP). User IP Address (Adresse IP de lutilisateur) : adresse IP de lutilisateur authentifi. Ce message est envoy uniquement en cas dindication sur le serveur dauthentification. How Authenticated (Mode dauthentification) : mode dauthentification de lutilisateur. Il peut sagir soit de RADIUS si lutilisateur sest authentifi via RADIUS, soit de LOCAL si lutilisateur sest authentifi via la base de donne utilisateur locale. Delay Time (Temps dattente) : temps dattente (en secondes) entre lenvoi du paquet dAccountingRequest (requte de comptabilisation) et la rception de la reconnaissance de lauthentification. Ce temps peut tre soustrait au temps darrive sur le serveur afin de trouver le temps approximatif de la gnration de ce message AccountingRequest (requte de comptabilisation) par lvnement. Remarque : ce temps ne prend pas en compte les attentes rseau. Le paramtre de la premire tentative sera dfini sur 0. Timestamp (Estampille) : nombre de secondes coules depuis le 01/01/1970. Elle est utilise lors de lenvoi du paquet par NetDefendOS. Paramtres du message STOP. Les paramtres inclus dans les messages STOP envoys par NetDefendOS sont les suivants. Type : signale larrt dune session (STOP) dans AccountingRequest (requte de comptabilisation). ID : identifiant qui fait correspondre le paquet dAccountingRequest (requte de comptabilisation) prcdemment envoy avec lAcct-Status-Type (Type-tat-compt.) dfini sur START. User Name (Nom de lutilisateur) : nom dutilisateur de la personne authentifie. NAS IP Address (Adresse IP NAS) : adresse IP du firewall de D-Link. NAS Port (Port NAS) : port NAS sur lequel lutilisateur tait authentifi. (Il sagit dun port physique et non dun port TCP ou UDP.) User IP Address (Adresse IP de lutilisateur) : adresse IP de lutilisateur authentifi. Ce message est envoy uniquement en cas dindication sur le serveur dauthentification. Input Bytes (Octets entrants) : nombre doctets reus par lutilisateur. (*) Output Bytes (Octets sortants) : nombre doctets mis par lutilisateur. (*) Input Packets (Paquets entrants) : nombre de paquets reus par lutilisateur. (*)
23
Output Packets (Paquets sortants) : nombre de paquets mis par lutilisateur. (*) Session Time (Dure de la session) : dure de la session en secondes. (*) Termination Cause (Cause de larrt) : raison pour laquelle la session a t ferme. How Authenticated (Mode dauthentification) : mode dauthentification de lutilisateur. Il sagit soit de RADIUS si lutilisateur sest authentifi via RADIUS, soit de LOCAL si lutilisateur sest authentifi via la base de donne utilisateur locale. Delay Time (Temps dattente) : consultez la description ci-dessus. Timestamp (Estampille) : nombre de secondes coules depuis le 01/01/1970. Elle est utilise lors de lenvoi du paquet par le firewall de D-Link. De plus, deux attributs supplmentaires peuvent tre envoys. Input Gigawords (Gigawords entrants) : indique le nombre de tours effectus par le compteur dInput Bytes (Octets entrants). Cet attribut est envoy uniquement si le compteur a fait un tour et si lattribut Input Bytes (Octets entrants) est envoy. Output Gigawords (Gigawords sortants) : indique le nombre de tours effectus par le compteur dOutput Bytes (Octets sortants). Cet attribut est envoy uniquement si le compteur a fait un tour et si lattribut Output Bytes (Octets sortants) est envoy.
Remarque
Dans la liste ci-dessus, le symbole (*) indique que lenvoi du paramtre est configurable par lutilisateur.
Messages de comptabilisation dattente

En plus des messages START et STOP, NetDefendOS peut de manire facultative et priodique envoyer des Interim Accounting Messages (Messages de comptabilisation dattente) pour mettre jour le serveur de comptabilisation avec ltat en cours dun utilisateur authentifi. Un Interim Accounting Message (Message de comptabilisation dattente) peut tre considr comme une capture des ressources du rseau quun utilisateur authentifi a utilis jusqu un moment donn. Grce cette fonctionnalit, le serveur RADIUS peut tracer le nombre doctets et de paquets quun utilisateur authentifi a mis et reu jusquau moment o le dernier message a t envoy. Un Interim Accounting Message (Message de comptabilisation dattente) contient les valeurs en cours des statistiques dun utilisateur authentifi. Il contient plus ou moins les mmes paramtres que le message AccountingRequest (requte de comptabilisation) de type STOP, lexception faite que lAcct-Terminate-Cause (Cause-arrt-compt.) nest pas incluse (puisque lutilisateur nest pas encore dconnect). La frquence des Interim Accounting Messages (Messages de comptabilisation dattente) peut tre configure soit sur le serveur dauthentification, soit sur NetDefendOS. Le fait denclencher ce paramtre dans NetDefendOS remplace ce mme paramtre sur le serveur de comptabilisation.
Activation de la fonction de comptabilisation RADIUS

Pour activer la fonction de comptabilisation RADIUS, un certain nombre dtapes doivent tre suivies. Le serveur de comptabilisation RADIUS doit tre spcifi. Une rgle doit tre associe un objet dauthentification utilisateur sur le serveur RADIUS spcifi. Quelques points importants sont noter sur cette activation : La fonction de comptabilisation RADIUS ne fonctionnera pas pour une connexion soumise une rgle FwdFast paramtre dans les rgles IP. Il nest pas obligatoire dutiliser un mme serveur RADIUS pour lauthentification et la comptabilisation : un serveur peut se charger de lauthentification et un autre peut se charger des tches de comptabilisation. Des serveurs RADIUS multiples peuvent tre configurs dans NetDefendOS si le serveur principal est
24
inaccessible.
Scurit de comptabilisation RADIUS

La communication entre NetDefendOS et nimporte quel serveur de comptabilisation RADIUS est protge par lintermdiaire dun secret partag. Ce secret nest jamais envoy sur le rseau. la place, un Authenticator code (authentificateur) de 16 octets est calcul laide de la fonction de hachage MD5 et utilis pour authentifier les messages de comptabilisation. Le secret partag respecte la casse, peut contenir jusqu 100 caractres, et doit tre tap dexactement la mme faon sous NetDefendOS et sur le serveur RADIUS. Les messages sont envoys laide du protocole UDP. Le numro du port par dfaut est 1813. Ce paramtre peut tre configur par lutilisateur.
Comptabilisation RADIUS et haute disponibilit

Dans un cluster de haute disponibilit, les informations de comptabilisation sont synchronises entre les firewalls D-Link passifs et actifs. En dautres termes, les informations de comptabilisation sont automatiquement mises jour sur les deux membres du cluster lorsque la connexion est termine. Lunit active utilise deux vnements de comptabilisation spciaux pour tre synchrone avec lunit passive. Un vnement AccountingStart est envoy au membre inactif avec un paramtre de haute disponibilit chaque fois quune rponse est reue de la part du serveur de comptabilisation. Il indique que les informations de comptabilisation doivent tre stockes pour chaque utilisateur authentifi. Un problme avec la synchronisation des informations de comptabilisation peut survenir si les connexions associes un utilisateur authentifi dune unit active expirent avant quelles ne soient synchronises avec lunit passive. Pour rsoudre ce problme, un vnement spcial AccountingUpdate est envoy lunit passive sur la base dune temporisation. Cet vnement contient les informations de comptabilisation les plus rcentes sur les connexions.
Serveurs sans rponse

Une question se soulve lorsquun client qui envoie le paquet AccountingRequest (rponse de comptabilisation) de type START avec le serveur RADIUS ne donne jamais de rponse. NetDefendOS renverra la requte aprs une priode en secondes spcifie par lutilisateur. Cependant, lutilisateur bnficiera encore dun accs authentifi lorsque NetDefendOS essayera de contacter le serveur de comptabilisation. Aprs trois tentatives infructueuses, NetDefendOS considre le serveur de comptabilisation comme tant inaccessible. Ladministrateur peut utiliser le paramtre avanc AllowAuthIfNoAccountingResponse de NetDefendOS pour dterminer la manire de grer cette situation. Si ce paramtre est activ, la session de lutilisateur authentifi ne sera pas affecte. Dans le cas contraire, tous les utilisateurs effectifs seront automatiquement dconnects mme sils se sont dj authentifis.
Comptabilisation et interruption systme

Si le client choue dans lenvoi du paquet AccountingRequest (requte de comptabilisation) RADIUS de type STOP pour une quelconque raison, le serveur de comptabilisation ne pourra plus mettre jour ses statistiques utilisateur et en dduira probablement que la session est encore active. Cette situation doit tre vite. Si ladministrateur du firewall D-Link met une commande dinterruption alors que des utilisateurs authentifis sont encore connects, le paquet AccountingRequest (requte de comptabilisation) de type STOP ne sera probablement jamais envoy. Pour viter cela, NetDefendOS a le paramtre avanc LogOutAccUsersAtShutdown. Ce paramtre permet ladministrateur de spcifier explicitement que NetDefendOS doit envoyer un message de type STOP pour chaque utilisateur authentifi tous les serveurs RADIUS configurs avant de lancer linterruption.
Limitations avec NAT
25
Le module dauthentification utilisateur de NetDefendOS se base sur ladresse IP de lutilisateur. Des problmes peuvent survenir avec des utilisateurs partageant une mme adresse IP. Cela peut arriver par exemple quand plusieurs utilisateurs sont derrire le mme rseau et utilisent NAT pour pouvoir bnficier dun accs au rseau grce une seule adresse IP externe. En dautres termes, ds quun utilisateur est authentifi, le trafic provenant de ladresse IP de la passerelle NAT peut tre considr comme provenant de cet utilisateur authentifi, alors quil peut provenir dautres utilisateurs du mme rseau. La fonction de comptabilisation RADIUS de NetDefendOS regroupe donc les statistiques de tous les utilisateurs du rseau comme sil nen existait quun seul.
Surveillance
Surveillance SNMP
Prsentation. SNMP (Simple Network Management Protocol) est un protocole standard pour la gestion des priphriques rseau. Un client compatible SNMP peut se connecter un priphrique rseau galement compatible avec le protocole SNMP pour lui envoyer des requtes et la contrler. NetDefendOS est compatible avec la version 1 et 2 de SNMP. La connexion peut tre tablie par tout client compatible SNMP avec des priphriques NetDefendOS. Cependant, seules les oprations de requte sont autorises pour des raisons de scurit. NetDefendOS est plus particulirement compatible avec les oprations de requte SNMP suivantes : Lopration GET REQUEST. Lopration GET NEXT REQUEST. Lopration GET BULK REQUEST (pour les versions 2c de SNMP uniquement). MIB de NetDefendOS. MIB est une base de donnes, gnralement sous forme dun fichier, qui dfinit les paramtres dun priphrique rseau quun client SNMP peut modifier ou auquel il peut envoyer une requte. Le fichier MIB pour un priphrique NetDefendOS est fourni avec le pack standard NetDefendOS sous le nom de fichier DFLNNN-TRAP.MIB (NNN reprsente la rfrence du firewall). Ce fichier doit tre transfr sur le disque dur du poste de travail qui va excuter le client SNMP pour quil puisse tre import par le logiciel du client. Lorsque le client fonctionne, le fichier MIB est ouvert pour indiquer les valeurs qui peuvent faire lobjet dune requte sur un priphrique NetDefendOS. Dfinition de laccs SNMP. Laccs SNMP est dfini par un objet Remote de NetDefendOS avec un Mode de SNMP. Lobjet Remote requiert la saisie des lments suivants. Interface : interface de NetDefendOS dans laquelle la requte SNMP va arriver. Network (Rseau) : adresse IP ou rseau source de la requte SNMP. Community (Communaut) : chane de communaut qui garantit la scurit des mots de passe des accs. Chane de communaut. Pour la version 1 et 2 de SNMP, la scurit est garantie par la chane de communaut, qui ressemble un mot de passe daccs SNMP. La chane de communaut ne doit pas tre facile deviner et donc tre labore sur la mme base que tout autre mot de passe ( laide dune combinaison de majuscules, de minuscules et de chiffres). Activation dune rgle IP pour SNMP. Le paramtre avanc SNMPBeforeRules de la section RemoteAdmin (Administrateur distant) contrle si la configuration de la rgle IP surveille tous les accs par clients SNMP. Ce paramtre est dsactiv par dfaut, mais nous recommandons de toujours lactiver. La consquence de lactivation de ce paramtre est dajouter une rgle invisible en haut de lensemble des rgles IP, qui autorise automatiquement laccs au port 161 du rseau et linterface dfinie pour laccs SNMP. Le port 161 est gnralement utilis pour SNMP et NetDefendOS attend toujours le trafic SNMP sur ce port. Chiffrement des accs distants. Remarque : lors des accs la version 1 et 2c de SNMP, la chane de communaut est envoye en texte clair sur le rseau. Cette situation est clairement un cas dinscurit si un client distant est en communication via Internet. Il est donc conseill de faire en sorte que les accs distants seffectuent via un tunnel VPN chiffr ou tout autre moyen de communication au niveau de scurit quivalent.
26
Prvention de la surcharge SNMP. Le paramtre avanc SNMPReqLimit restreint le nombre de requtes SNMP autorises par seconde. Il peut aider prvenir des attaques bases sur une surcharge SNMP.
Exemple 2.13. Activation de la surveillance SNMP

Cet exemple active laccs SNMP par une interface lan interne depuis le rseau mgmt-net, laide de la chane de communaut Mg1RQqR. (Puisque la gestion du client se fait sur le rseau interne, nous navons pas besoin de lui appliquer un tunnel VPN.) Interface de ligne de commande
gw-world:/> add RemoteManagement RemoteMgmtSNMP my_snmp Interface=lan Network=mgmt-net SNMPGetCommunity=Mg1RQqR
Sil est ncessaire dactiver SNMPBeforeRules (activation par dfaut), la commande est alors :
gw-world:/> set Settings RemoteMgmtSettings SNMPBeforeRules=Yes
Interface Web Slectionnez System > Remote Management > Add > SNMP management (Systme > Gestion distante > Ajouter > Gestion SNMP). Pour Remote access (Accs distant), saisissez les lments suivants. Name (Nom) : nom adapt Community (Communaut) : Mg1RQqR Pour Access Filter (Filtre daccs), saisissez les lments suivants. Interface : lan Network (Rseau) : mgmt-net Cliquez sur OK. Sil est ncessaire dactiver SNMPBeforeRules (activation par dfaut), vous trouverez ce paramtre dans System > Remote Management > Advanced Settings (Systme > Gestion distante > Paramtres avancs).
Maintenance
Mcanisme de mise jour automatique
En ce qui concerne les mises jour automatiques et le filtrage de contenu, des fonctionnalits de NetDefendOS reposent sur des serveurs externes. Le systme de prvention et de dtection des intrusions ainsi que les modules antivirus requirent un accs des bases de donnes de signatures actualises pour garantir une protection contre les menaces les plus rcentes. Pour faciliter la fonctionnalit de mise jour automatique, D-Link assure une infrastructure internationale de serveurs qui fournissent des services de mise jour pour les firewalls de D-Link. Pour garantir une disponibilit et des temps de rponse courts, NetDefendOS utilise un mcanisme qui slectionne automatiquement le serveur le plus appropri pour garantir les mises jour. Pour plus de dtails sur ces fonctionnalits, vous pouvez consulter : La section Prvention et dtection des intrusions La section Analyse antivirus La section Filtrage de contenu Web Lannexe A Abonnement aux mises jour de scurit
27
Configuration des sauvegardes et des restaurations

La configuration NetDefendOS dun firewall D-Link peut tre sauvegarde ou restaure sur demande. Cela peut permettre par exemple de retrouver la dernire configuration connue pour tre bonne lors dessais dautres configurations.
Exemple 2.14. Configuration des sauvegardes et des restaurations

Interface Web Pour crer une sauvegarde de la configuration en cours dexcution : Slectionnez Tools > Backup (Outils > Sauvegarde). Tlchargez la configuration, slectionnez un nom et commencez la sauvegarde. Pour restaurer une configuration sauvegarde : Slectionnez Tools > Backup (Outils > Sauvegarde). Dans Restore units configuration (Restaurer la configuration de lunit), recherchez la sauvegarde en question. Cliquez sur Upload configuration (Charger la configuration) et choisissez lactivation de cette configuration.
Remarque
Les sauvegardes nincluent que les informations statiques de la configuration du firewall. Les informations dynamiques telles que lattribution dun serveur DHCP une base de donnes ne sont pas sauvegardes.
Rinitialisation des paramtres usine par dfaut

Une restauration des paramtres usine par dfaut peut tre applique pour quil soit possible de retourner ltat du firewall au moment de sa livraison par D-Link. Quand une restauration est applique, toutes les donnes telles que lIDP et les bases de donnes antivirus sont perdues et doivent tre recharges.
Exemple 2.15. Rinitialisation complte

gw-world:/> reset -unit
Interface Web Slectionnez Maintenance > Reset (Rinitialiser). Slectionnez Restore the entire unit to factory defaults (Restaurer lunit entire aux paramtres usine par dfaut), puis confirmez et attendez la fin de la restauration. Rinitialisation des options du DFL-210/260/800/860 uniquement. Pour rinitialiser le DFL-210/260/800/860, vous devez maintenir appuy le bouton situ sur le panneau arrire pendant 10 15 secondes lors de la mise sous tension de lunit. Relchez ensuite le bouton de rinitialisation. Le DFL-210/800 continue le chargement et dmarre en mode par dfaut, cest--dire avec 192.168.1.1 dans linterface LAN. Rinitialisation des options du DFL-1600 et du DFL-2500 uniquement. Appuyez sur nimporte quelle touche du clavier quand le message Press keypad to Enter Setup (Appuyez sur une touche pour entrer dans le menu de configuration) saffiche. Slectionnez Reset firewall (Rinitialiser le firewall), confirmez par Yes (Oui), et attendez la fin du processus.
Avertissement
NINTERROMPEZ JAMAIS LE PROCESSUS DE RINITIALISATION DES PARAMTRES USINE PAR DFAUT. En cas dabandon, le firewall de D-Link peut cesser de fonctionner correctement.
28
Chapitre 3. Fondamentaux
Le prsent chapitre dcrit les objets logiques fondamentaux qui forment NetDefendOS. Ces objets sont notamment de type adresse, service et programmation. De plus, le prsent chapitre explique le mode de fonctionnement des diffrentes interfaces prises en charge. Il dcrit la faon dont les rgles de scurit sont tablies et dont les paramtres systme de base sont configurs.
Carnet dadresses
Prsentation
Le carnet dadresses contient des objets nomms qui reprsentent diffrents types d'adresses (IP, rseau et Ethernet MAC). Lutilisation des objets du carnet dadresses offre trois avantages distincts. Elle augmente la lisibilit, rduit le risque de saisir des adresses rseau incorrectes et facilite la modification des adresses. Lutilisation des objets la place des adresses numriques vous permet deffectuer des modifications un seul emplacement, plutt que davoir les faire dans chaque partie de la configuration o apparat ladresse.
Adresses IP
Les objets IP Address servent dfinir des noms gnriques pour diffrents types dadresses IP. En fonction de la spcification de ladresse, un objet IP Address peut reprsenter un hte (une adresse IP unique), un rseau ou une plage dadresses IP. De plus, vous pouvez employer les objets IP Address pour spcifier les authentifiants de lutilisateur qui seront utiliss par la suite par les diffrents sous-systmes dauthentification. Pour plus dinformations, reportez-vous au chapitre 8, Authentification de lutilisateur. La liste suivante prsente les diffrents types dadresses quun objet IP Address peut dtenir, outre le format utilis pour reprsenter ce type spcifique. Hte Rseau IP Un hte unique est reprsent simplement par son adresse IP. Exemple : 192.168.0.14 Un rseau IP est reprsent en utilisant le format CIDR (Classless Inter Domain Routing). CIDR utilise une barre oblique et un chiffre (0 32) pour indiquer la taille du rseau (masque rseau). /24 correspond un rseau de classe C avec 256 adresses (masque rseau 255.255.255.0), /27 correspond un rseau avec 32 adresses (masque rseau 255.255.255.224) et ainsi de suite. Les nombres 0 32 correspondent au nombre de binaires dans le masque rseau. Exemple : 192.168.0.0/24 Plage dadresses IP Une plage dadresses IP est reprsente sous la forme a.b.c.d - e.f.g.h. Remarque : les plages ne sont pas restreintes aux limites des masques rseau. Elles peuvent inclure toute plage dadresses IP. Exemple : 192.168.0.10-192.168.0.15 reprsente six htes dans lordre conscutif.
Exemple 3.1. Ajout dun hte IP

Cet exemple ajoute lhte IP wwwsrv1 avec ladresse IP 192.168.10.16 au carnet dadresses. Interface de ligne de commande
gw-world:/> add Address IP4Address wwwsrv1 Address=192.168.10.16
Interface Web
29
Fondamentaux
Slectionnez Objects > Address Book > Add > IP address (Objets > Carnet dadresses > Ajouter > Adresse IP). Spcifiez un nom convenable pour lhte IP, par exemple wwwwsrv1. Saisissez 192.168.10.16 comme adresse IP. Cliquez sur OK.
Exemple 3.2. Ajout dun rseau IP

Cet exemple ajoute un rseau IP nomm wwwsrvnet avec l'adresse 192.168.10.0/24 au carnet d'adresses. Interface de ligne de commande
gw-world:/> add Address IP4Address wwwsrvnet Address=192.168.10.0/24
Interface Web Slectionnez Objects > Address Book > Add > IP address (Objets > Carnet dadresses > Ajouter > Adresse IP). Spcifiez un nom convenable pour le rseau IP, par exemple wwwwsrvnet. Saisissez 192.168.10.0/24 comme adresse IP. Cliquez sur OK.
Exemple 3.3. Ajout dune plage dadresses IP

Cet exemple ajoute une plage dadresses IP allant de 192.168.10.16 192.168.10.21 nomme wwwservers : Interface de ligne de commande
gw-world:/> add Address IP4Address wwwservers Address=192.168.10.16-192.168.10.21
Interface Web Slectionnez Objects > Address Book > Add > IP address (Objets > Carnet dadresses > Ajouter > Adresse IP). Spcifiez un nom convenable pour la plage dadresses IP, par exemple wwwwservers. Saisissez 192.168.10.16-192.168.10.21 comme adresse IP. Cliquez sur OK.
Exemple 3.4. Suppression dun objet Address

Pour supprimer un objet nomm wwwsrv1 du carnet dadresses, procdez comme suit : Interface de ligne de commande
gw-world:/> delete Address IP4Address wwwsrv1
Interface Web Slectionnez Objects > Address Book (Objets > Carnet dadresses). Dans la liste, cliquez avec le bouton droit de la souris sur lobjet Address wwwsrv1. Choisissez Delete (Supprimer) dans le menu Cliquez sur OK.
Adresses Ethernet
30
Fondamentaux
Les objets Ethernet Address sont utiliss pour dfinir des noms gnriques pour les adresses Ethernet (galement connues sous le nom dadresses MAC). Ils sont utiles, par exemple, lorsquon remplit la table ARP avec des entres ARP statiques, ou pour dautres lments de configuration o lon prfre utiliser des noms gnriques plutt que des adresses Ethernet numriques. Lorsque lon spcifie une adresse Ethernet, on doit utiliser le format aa-bb-cc-dd-ee-ff. Les adresses Ethernet sont donc affiches sous ce format.
Exemple 3.5. Ajout dune adresse Ethernet

Lexemple suivant ajoute l'objet Ethernet Address nomm wwwsrv1_mac avec ladresse MAC numrique suivante : 08-a3-67-bc-2e-f2 : Interface de ligne de commande
gw-world:/> add Address EthernetAddress wwwsrv1_mac Address=08-a3-67-bc-2e-f2
Interface Web Slectionnez Objects > Address Book > Add > Ethernet Address (Objets > Carnet dadresses > Ajouter > Adresse Ethernet). Spcifiez un nom convenable pour lobjet Ethernet Address, par exemple wwwsrv1_mac. Saisissez 08-a3-67-bc-2e-f2 comme adresse MAC. Cliquez sur OK.
Groupes dadresses
Il est possible de regrouper les objets Address pour simplifier la configuration. Considrez un certain nombre de serveurs publics qui doivent tre accessibles partir dInternet. Les serveurs possdent des adresses IP qui ne se suivent pas et ne peuvent donc pas tre rfrences comme une plage d'adresses IP unique. Par consquent, vous devez crer des objets IP Address individuels pour chaque serveur. Pour ne pas avoir grer la cration et la maintenance de rgles de filtrage spares autorisant le trafic vers chaque serveur, il est possible de crer un Groupe dadresses, nomm par exemple Webservers, avec les htes de serveur Web comme membres du groupe. Vous pouvez prsent utiliser une rgle unique pour ce groupe et rduire considrablement la charge de travail. Les objets Address Group ne sont pas restreints possder des membres du mme sous-type. En dautres termes, les objets IP host peuvent tre associs aux plages dadresses, rseaux IP, etc. Toutes les adresses de lensemble des membres du groupe sont associes, ce qui engendre vritablement une union des adresses. Par exemple, un groupe contenant deux plages dadresses IP, lune possdant les adresses 192.168.0.10 192.168.0.15 et lautre les adresses 192.168.0.14 192.168.0.19, engendrera une plage dadresses IP unique possdant les adresses 192.168.0.10 - 192.168.0.19. Noubliez pas cependant que pour des raisons videntes, vous ne pouvez pas associer les objets IP Address des adresses Ethernet.
Objets Address gnrs automatiquement

Pour simplifier la configuration, plusieurs objets Address sont gnrs automatiquement lors de la premire excution du systme. Ces objets sont utiliss par dautres lments de configuration ds le dmarrage. Les objets Address suivants sont gnrs automatiquement : Interface Addresses (adresses des interfaces) Pour chaque interface Ethernet du systme, deux objets IP Address sont prdfinis, lun pour ladresse IP de linterface en question et lautre reprsentant le rseau local pour cette interface. Les objets adresse IP de linterface sont nomms interfacename_ip et les objets rseau, interfacenamenet. Par exemple, une interface nomme lan aura un objet IP
31
Fondamentaux
dinterface nomm lan ip et un objet rseau nomm lannet. Default Gateway (passerelle par dfaut) Un objet IP Address nomm wan gw est gnr automatiquement et reprsente la passerelle par dfaut du systme. Lobjet wan_gw est utilis principalement par la table de routage, mais galement par le sous-systme client DHCP pour stocker les informations sur les adresses de la passerelle rcupres partir dun serveur DHCP. Si une adresse de passerelle par dfaut a t communique pendant la phase dinstallation, lobjet wan_gw contiendra cette adresse. Dans le cas contraire, lobjet sera laiss vide (en d'autres termes, l'adresse IP sera 0.0.0.0). All-nets (tout rseau) Lobjet adresse IP all-nets est initialis ladresse IP 0.0.0.0/0, qui reprsente toutes les adresses IP possibles. Cet objet est largement utilis tout au long de la configuration.
Services
Prsentation
Un objet de service fait rfrence un protocole IP spcifique avec des paramtres associs. La dfinition dun service repose gnralement sur lun des protocoles principaux, tels que TCP ou UDP, avec le(s) numro(s) de port(s) associ(s). Le service HTTP, par exemple, est dfini comme celui qui utilise le protocole TCP avec le port 80 associ. Toutefois, les objets de service ne sont en aucun cas restreints aux protocoles TCP ou UDP. Vous pouvez les utiliser pour dfinir des messages ICMP, tout comme nimporte quel protocole IP dfinissable par lutilisateur. Les services sont des objets passifs car ils ne peuvent eux-mmes entreprendre aucune action dans le systme. Au lieu de cela, les objets de service sont frquemment utiliss dans les diffrentes rgles de scurit dfinies par les ensembles de rgles. Une rgle contenue dans lensemble de rgles IP peut par exemple utiliser un objet de service en tant que filtre pour dcider dautoriser ou non un quelconque trafic travers le firewall D-Link. Pour plus dinformations sur lutilisation des objets de service avec les rgles IP, reportez-vous la section Ensemble de rgles IP. Un nombre important dobjets de service prdfinis accompagnent NetDefendOS. Ceux-ci comportent des services courants tels que HTTP, FTP, Telnet et SSH. Les services prdfinis peuvent tre utiliss et galement modifis de la mme faon que les services dfinis par lutilisateur. Toutefois, il est recommand de NE PAS modifier les services prdfinis, mais d'en crer plutt des nouveaux avec les paramtres dsirs.
Exemple 3.6. Rfrencement des services disponibles

Pour effectuer un rfrencement des services disponibles dans le systme : Interface de ligne de commande
gw-world:/> show Service
Le rsultat sera similaire la liste suivante :

ServiceGroup Name Comments ------------ -------------------------------------------------all_services All ICMP, TCP and UDP services all_tcpudp All TCP and UDP services ipsec-suite The IPsec+IKE suite l2tp-ipsec L2TP using IPsec for encryption and authentication l2tp-raw L2TP control and transport, unencrypted pptp-suite PPTP control and transport ServiceICMP ...
Interface Web
32
Fondamentaux
Slectionnez Objects > Services (Objets > Services).
Exemple 3.7. Visualisation dun service spcifique

Pour visualiser un service spcifique du systme : Interface de ligne de commande
gw-world:/> show Service ServiceTCPUDP echo
Le rsultat sera similaire la liste suivante:

Property Value ----------------- ---------------Name: echo DestinationPorts: 7 Type: TCPUDP (TCP/UDP) SourcePorts: 0-65535 PassICMPReturn: No ALG: (none) MaxSessions: 1000 Comments: Echo service
Interface Web Slectionnez Objects > Services (Objets > Services). Slectionnez lobjet de service spcifique dans la liste de contrle. Une liste rfrenant tous les services saffiche.
Services reposant sur les protocoles TCP et UDP

La plupart des applications utilisent le TCP et/ou lUDP comme protocoles de transport pour le transfert des donnes dapplications sur les rseaux IP. Le TCP (Transmission Control Protocol) est un protocole rserv la connexion qui inclut, entre autres, des mcanismes garantissant une transmission fiable des donnes. Le TCP est utilis par un grand nombre dapplications courantes telles que HTTP, FTP et SMTP, o les transferts exempts derreur sont obligatoires. Pour dautres types dapplications, tels que les services de diffusion audio et vido en continu, o lon accorde par exemple une grande importance aux performances, on prfrera utiliser le protocole UDP (User Datagram Protocol). LUDP est un protocole sans connexion, qui propose trs peu de services de rcupration derreur et entrane ainsi une surcharge du trafic bien plus faible que le TCP. Pour cette raison, lUDP est galement utilis pour les services de non-diffusion en continu et il est courant dans ces cas-l que les applications fournissent elles-mmes les mcanismes de rcupration derreur. Pour dfinir un service TCP ou UDP dans le firewall D-Link, on utilise un objet Service TCP/UDP. Ce type dobjet contient, outre un nom unique qui dcrit le service, des informations sur le type de protocole (TCP et/ou UDP) et le type de ports source et de destination qui peuvent sappliquer ce service. Les numros de ports peuvent tre spcifis de diffrentes manires : Single Port (port unique) Pour un grand nombre de services, un seul port de destination suffit. Le protocole HTTP, par exemple, utilise le port de destination 80 dans la plupart des cas. SMTP utilise le port 25, et ainsi de suite. Pour ces types de services, le numro de port unique est simplement spcifi dans lobjet Service TCP/UDP. Certains services utilisent une plage de ports de destination. Par exemple, le protocole NetBIOS utilis par Microsoft Windows utilise les ports de destination 137 139. Pour dfinir une plage de ports dans un objet Service TCP/UDP, on utilise le format mmm-nnn. Une plage de ports est inclusive, ce qui signifie qu'une plage dfinie sur 137 139 couvre les ports 137, 138 et 139.
Port Ranges (plages de ports)
33
Fondamentaux
Multiple Ports and Port Ranges (ports multiples et plages de ports) Il est galement possible de saisir des plages multiples ou des ports individuels, spars par des virgules. Cela permet de couvrir une vaste plage de ports en nutilisant qu'un seul objet Service TCP/UDP. Il est, par exemple, possible de couvrir l'ensemble du rseau Microsoft Windows en utilisant la dfinition de port suivante : 135-139,445. Vous pouvez couvrir HTTP et HTTPS en dfinissant les ports de destination sur 80,443.
Conseil
Les mthodes de spcification des numros de ports ci-dessus ne sont pas utilises uniquement pour les ports de destination. Les dfinitions de ports source peuvent suivre les mmes conventions, bien que, gnralement, ces derniers soient laisss sur la valeur par dfaut 0-65535, qui correspond tous les ports source possibles.
Exemple 3.8. Ajout dun Service TCP/UDP

Cet exemple montre comment ajouter un Service TCP/UDP en se servant du port de destination 3306 utilis par MySQL. Interface de ligne de commande
gw-world:/> add Service ServiceTCPUDP MySQL DestinationPorts=3306 Type=TCP
Interface Web Slectionnez Objects > Services > Add > TCP/UDP service (Objets > Services > Ajouter > Service TCP/UDP). Spcifiez un nom convenable pour le service, par exemple MySQL. A prsent, saisissez : Type : TCP Source : 0-65535 Destination : 3306 Cliquez sur OK. Outre les informations sur le protocole et le port, les objets de service TCP/UDP contiennent galement plusieurs autres paramtres dcrits plus en dtail dans les autres sections du prsent guide de l'utilisateur. SYN Flood Protection (protection SYN-Flood) Vous pouvez configurer un service TCP pour activer la protection contre les attaques SYN Flood. Pour plus de dtails sur le fonctionnement de cette fonctionnalit, reportez-vous la section intitule Attaques TCP-SYN-Flood . Passing ICMP Errors (ignorer les erreurs ICMP) Si une application utilisateur tente douvrir une connexion TCP derrire le firewall D-Link et que le serveur distant nest pas actif, un message derreur ICMP saffiche en rponse. Vous pouvez soit ignorer ces erreurs ICMP, soit les autoriser passer et retourner vers lapplication concerne. Passerelle ALG (Application Layer Gateway) Vous pouvez rattacher un Service TCP/UDP une passerelle ALG pour activer une inspection approfondie de certains protocoles. Pour plus dinformations, reportez-vous la section intitule Passerelles ALG . Max Sessions (sessions maximum). Un paramtre important associ un Service est le paramtre Max Sessions (sessions maximum). Ce paramtre se voit attribuer une valeur par dfaut lorsque le service est associ une passerelle ALG. La valeur par dfaut varie selon la passerelle ALG laquelle elle est associe. Si la valeur par dfaut est 100, cela signifie que seulement 100 connexions sont autorises au total pour ce service travers toutes les interfaces.
34
Fondamentaux
Pour un service comprenant, par exemple, une passerelle ALG HTTP, la valeur par dfaut peut souvent tre trop faible si un grand nombre de clients se connectent via le firewall D-Link. Il est par consquent recommand d'estimer si une valeur suprieure est exige pour un cas de figure particulier. Utilisation de All Services (tous les services). Au moment de la configuration des rgles de filtrage par service, il est possible dutiliser le service grouping_all services pour se rfrer tous les protocoles. Pour se rfrer uniquement aux protocoles principaux (TCP, UDP et ICMP), on peut utiliser le service group all_tcpundpicmp .
Services ICMP
Internet Control Message Protocol (ICMP) est un protocole intgr au protocole IP pour le rapport derreurs et la transmission des paramtres de contrle. Le service PING utilise par exemple ICMP pour tester la connexion Internet. Le message ICMP est distribu en paquets IP et comporte un Type de message qui spcifie le type, cest--dire le format du message ICMP et un Code utilis pour la dsignation du message. Le type de message Destination Unreachable (destination injoignable) utilise par exemple le paramtre Code pour spcifier la cause exacte de lerreur. Les types de messages ICMP que vous pouvez configurer dans NetDefendOS sont rpertoris ci-dessous : Echo Request (message dcho) : envoy par le protocole PING en direction dune destination pour vrifier la connectivit. Destination Unreachable (destination injoignable) : la source est informe quun problme est survenu lors de la remise du paquet. Il existe des codes allant de 0 5 pour ce type : Code 0 : Net Unreachable (rseau injoignable) Code 1 : Host Unreachable (hte injoignable) Code 2 : Protocol Unreachable (protocole injoignable) Code 3 : Port Unreachable (port injoignable) Code 4 : Cannot Fragment (fragmentation impossible) Code 5 : Source Route Failed (chec de la route source) Redirect (redirection) : la source est informe quune meilleure route existe pour un paquet donn. Les codes assigns sont les suivants : Code 0 : Redirect datagrams for the network (redirection des datagrammes pour le rseau) Code 1 : Redirect datagrams for the host (redirection des datagrammes pour lhte) Code 2 : Redirect datagrams for the Type of Service and the network (redirection des datagrammes pour le type de service et le rseau) Code 3 : Redirect datagrams for the Type of Service and the host (redirection des datagrammes pour le type de service et lhte) Parameter Problem (problme de paramtre) : identifie un paramtre incorrect sur le datagramme. Echo Reply (rponse cho) : rponse provenant de la destination, envoye comme message de rponse cho. Source Quenching (extinction de la source) : la source envoie les donnes trop rapidement pour le rcepteur, la mmoire tampon est pleine. Time Exceeded (temps dpass) : le paquet a t rejet car il a mis trop de temps tre transmis.
Services de Protocole IP personnaliss

35
Fondamentaux
Les services qui fonctionnent sur le protocole IP et qui assurent les fonctions de la couche dapplications/de transport peuvent tre affects dun identifiant unique grce aux numros de protocoles IP. Le protocole IP peut transporter des donnes pour un certain nombre de protocoles diffrents. Chacun dentre eux est identifi par un numro de protocole IP unique spcifi dans un champ se trouvant dans len-tte de lIP. Par exemple, ICMP, IGMP et EGP possdent respectivement les numros de protocoles 1,2 et 8. NetDefendOS prend en charge ces types de protocoles IP en utilisant le concept de Services de Protocole IP personnaliss. Un service de protocole IP personnalis est une dfinition de service qui donne un nom un numro de protocole IP. Certains des protocoles IP courants, tels que IGMP, sont dj prdfinis dans la configuration systme de NetDefendOS. Vous pouvez utiliser une plage de numros de protocoles IP semblable aux plages de ports TCP/UDP dcrites prcdemment pour spcifier de multiples applications pour un seul service.
Remarque
Les numros de protocoles IP affects actuellement ainsi que les rfrences sont publies par lIANA (Internet Assigned Numbers Authority) et peuvent tre consultes l'adresse suivante : http://www.iana.org/assignments/protocol-numbers.
Exemple 3.9. Ajout dun service de protocole IP

Cet exemple montre comment ajouter un service de protocole IP laide du Virtual Router Redundancy Protocol (protocole de redondance de routeur virtuel, VRRP). Interface de ligne de commande
gw-world:/> add Service ServiceIPProto VRRP IPProto=112
Interface Web Slectionnez Objects > Services > Add > IP protocol service (Objets > Services > Ajouter > Service de protocole IP). Spcifiez un nom convenable pour le service, par exemple VRRP. Saisissez 112 dans le contrle de protocole IP. Si ncessaire, saisissez Virtual Router Redundancy Protocol dans le contrle des commentaires. Cliquez sur OK.
Interfaces
Prsentation
Une interface est lun des plus importants blocs logiques de NetDefendOS. Lensemble du trafic rseau qui traverse le systme ou qui sinterrompt dans celui-ci s'effectue travers une ou plusieurs interfaces. Une interface peut tre considre comme un passage pour le trafic rseau, vers ou en provenance du systme. Donc, lorsque le trafic pntre le systme par une interface, on lappellera interface rceptrice (ou parfois interface dentre). Par consquent, lorsque le trafic quitte le systme, l'interface utilise pour expulser le trafic est appele interface d'envoi (ou parfois interface de sortie). NetDefendOS prend en charge un certain nombre de types dinterfaces qui peuvent tre rparties en quatre grands groupes, comme suit : Interfaces physiques Chaque interface physique reprsente un port physique dans un produit NetDefendOS. Lensemble du trafic rseau qui mane du systme ou qui sinterrompt dans celui-ci traversera donc en fin de compte lune des interfaces physiques. Ethernet est le seul type dinterface physique actuellement pris en charge par
36
Fondamentaux
NetDefendOS. Pour plus dinformations sur les interfaces Ethernet, reportez-vous la section intitule Ethernet . Sous-interfaces physiques Certaines interfaces ncessitent une mise en association avec une interface physique sous-jacente pour transfrer des donnes. Ce groupe dinterfaces est appel Sous-interfaces physiques. NetDefendOS prend en charge deux types de sous-interfaces physiques: Les interfaces VLAN (Virtual LAN ), comme spcifi par la norme IEEE 802.1Q. Si vous routez des paquets IP via une interface VLAN, ils seront encapsuls dans des trames Ethernet balises VLAN. Pour plus dinformations sur les interfaces Ethernet, reportez-vous la section intitule VLAN . Interfaces PPPoE (PPP-over-Ethernet) pour les connexions aux serveurs PPPoE. Pour plus dinformations sur les interfaces PPPoE, reportez-vous la section intitule PPPoE . Interfaces tunnels Les interfaces tunnels sont utilises lorsque le trafic rseau est achemin par un tunnel qui relie le systme et lautre extrmit du tunnel dans le rseau, avant quil soit rout vers sa destination finale. Pour raliser la tunnelisation, des en-ttes supplmentaires sont ajouts au trafic achemin par le tunnel. De plus, diverses transformations peuvent tre appliques au trafic rseau en fonction du type dinterface tunnel. Lorsque le trafic est rout via une interface IPsec par exemple, la charge utile est gnralement chiffre pour garantir la confidentialit. NetDefendOS prend en charge les types dinterfaces tunnels suivantes : Les interfaces IPsec sont utilises comme extrmits pour les tunnels VPN IPsec. Pour plus dinformations sur les interfaces VPN IPsec, reportez-vous la section intitule IPsec . Les interfaces PPTP/L2TP sont utilises comme extrmits pour les tunnels PPTP ou L2TP. Pour plus dinformations sur les interfaces PPTP/L2TP, reportez-vous la section intitule PPTP/L2TP . Les interfaces GRE sont utilises pour tablir des tunnels GRE. Pour plus dinformations sur les interfaces GRE, reportez-vous la section intitule Tunnels GRE . Mme si les divers types dinterfaces sont trs diffrents dans la manire dont ils sont dploys et la manire dont ils fonctionnent, NetdefendOS considre toutes les interfaces comme des interfaces IP logiques. En dautres termes, tous les types dinterfaces peuvent tre utilises pratiquement de manire interchangeable dans les diffrents sous-systmes et rgles. Il en rsulte une trs grande fiabilit dans le mode de contrle et de routage du trafic dans le systme. Chaque interface de NetDefendOS se voit attribuer un nom unique pour quelle puisse tre slectionne dans dautres sous-systmes. Certains types dinterfaces proposent des noms adapts par dfaut quil est possible de modifier si ncessaire, tandis que dautres types dinterfaces ncessitent un nom dfini par lutilisateur.
Avertissement
Si la dfinition d'une interface est supprime de la configuration de NetDefendOS, il est important de commencer par supprimer ou modifier toutes les rfrences cette interface. Il est conseill, par exemple, de supprimer ou de modifier les rgles contenues dans lensemble de rgles IP qui font rfrence cette interface. Les interfaces core et any. De plus, NetDefendOS propose deux interfaces logiques spciales nommes core et any : any reprsente toute les interfaces possibles, y compris les interfaces core
37
Fondamentaux
core indique que cest NetDefendOS lui-mme qui se chargera du trafic. Core est par exemple utilis lorsque le firewall D-Link fonctionne en tant que serveur PPTP ou L2TP ou doit rpondre aux requtes ping ICMP. Si vous dfinissez linterface de destination dune route en tant que core, NetDefendOS saura quil est lui-mme le rcepteur final du trafic.
Ethernet
La norme Ethernet IEEE 802.3 permet de raccorder diffrents priphriques au niveau de points arbitraires ou ports un mcanisme de transport physique (un cble coaxial, par exemple). Avec le protocole CSMA/CD, chaque priphrique connect par le biais dEthernet coute le rseau et envoie des donnes un autre priphrique connect alors qu'aucun autre envoi de donnes n'est en cours. Si deux priphriques diffusent simultanment, des algorithmes leur permettent de renvoyer les donnes diffrents moments. Les priphriques diffusent des donnes sous forme de trames et les autres priphriques coutent pour dterminer s'ils sont les destinataires viss par une de ces trames. Une trame est une suite de bits qui dfinit le priphrique source et de destination, le flux de donnes ainsi que les bits de vrification d'erreur. Une pause entre la diffusion de trames individuelles donne du temps aux priphriques pour traiter chaque trame avant larrive de la suivante. Cette pause se rduit progressivement au fur et mesure que les taux de transmission augmentent, passant de normal rapide puis une transmission Ethernet Gigabit. Chaque interface Ethernet dun firewall D-Link correspond un port Ethernet physique du systme. Le nombre de ports, leur vitesse de liaison et la faon dont les ports sont mis en place dpend du modle de matriel.
Remarque
Certains systmes utilisent un switch de couche 2 pour fournir des ports physiques Ethernet supplmentaires. Ces ports supplmentaires sont considrs comme une interface unique par NetDefendOS. Noms des interfaces Ethernet. Les noms des interfaces Ethernet sont prdfinis par le systme et sont calqus sur les noms des ports physiques ; un systme possdant un port wan aura une interface Ethernet nomme wan et ainsi de suite. Vous pouvez modifier les noms des interfaces Ethernet pour mieux traduire leur utilisation. Par exemple, si une interface nomme dmz est connecte un rseau local (LAN) sans fil, il peut tre pratique de renommer cette interface radio. Pour la maintenance et la rsolution des problmes, il est recommand de baliser le port physique correspondant avec le nouveau nom.
Remarque
Le processus de dmarrage va numrer toutes les interfaces Ethernet disponibles. Chaque interface se verra attribuer un nom de la forme lanN, wanN et dmz, o N reprsente le numro de linterface si votre firewall D-Link possde plusieurs de ces interfaces. Dans la plupart des exemples de ce guide, lan dsigne le trafic LAN et wan le trafic WAN. Si votre firewall D-Link ne possde pas ces interfaces, remplacez ces rfrences par le nom de l'interface choisie. Adresses IP Ethernet. Chaque interface Ethernet doit possder une Adresse IP Ethernet, qui peut tre soit une adresse statique, soit une adresse fournie par DHCP. Ladresse IP de linterface est utilise comme adresse principale pour communiquer avec le systme travers l'interface Ethernet spcifique. La norme consiste utiliser les objets adresse IP4 pour dfinir les adresses des interfaces Ethernet. Ces objets sont normalement gnrs automatiquement par le systme. Pour plus dinformations, reportez-vous la section intitule Objets adresse gnrs automatiquement .
Conseil
Vous pouvez spcifier plusieurs adresses IP pour une interface Ethernet en utilisant la fonctionnalit ARP Publish (publication ARP). Pour plus dinformations, reportez-vous la section intitule ARP . En plus des adresses IP de linterface, une adresse rseau est galement spcifie pour linterface Ethernet. Ladresse rseau fournit des informations NetDefendOS concernant les adresses IP accessibles directement par linterface, en dautres termes celles qui rsident sur le mme segment LAN que linterface elle-mme. Dans la table de routage associe linterface, NetDefendOS va crer automatiquement une route directe vers le rseau
38
Fondamentaux
spcifi via linterface en question. La passerelle par dfaut. Si ncessaire, vous pouvez spcifier une adresse de passerelle par dfaut pour une interface Ethernet. Ce paramtre indique NetDefendOS comment atteindre les htes pour lesquels il nexiste pas aucune route. En dautres termes, si une adresse de passerelle par dfaut a t spcifie, NetDefendOS va crer automatiquement une route par dfaut (rseau de destination tout rseau) via linterface en question en utilisant la passerelle spcifie. Pour des raisons videntes, vous ne pouvez affecter quune seule interface Ethernet la fois comme passerelle par dfaut. Utilisation de DHCP sur les interfaces Ethernet. NetDefendOS comprend un client DHCP pour laffectation dynamique des informations dadresse. Les informations qui peuvent tre dfinies via DHCP comportent les adresses IP de linterface, le rseau local auquel est connecte linterface et la passerelle par dfaut. Toutes les adresses reues du serveur DHCP sont affectes aux objets adresse IP4 correspondants. De cette manire, vous pouvez utiliser les adresses affectes de manire dynamique de la mme manire que les adresses statiques dans lensemble de la configuration. Par dfaut, les objets utiliss sont les mmes que ceux dfinis dans la section intitule Objets adresse gnrs automatiquement .
Exemple 3.10. Activation de DHCP

gw-world:/> set Interface Ethernet wan DHCPEnabled=Yes
Interface Web Slectionnez Interfaces > Ethernet. Dans la liste, cliquez sur lobjet Ethernet souhait. Activez loption Enable DHCP client (Activer le client DHCP). Cliquez sur OK.
VLAN
Prsentation. Les VLAN (Virtual LAN ) sont utiles dans plusieurs cas de figure, par exemple, lorsque le filtrage du trafic est ncessaire entre diffrents VLAN dune organisation, ou pour toute autre raison, lorsque ladministrateur souhaite augmenter le nombre dinterfaces. La prise en charge de VLAN par NetDefendOS permet de dfinir une ou plusieurs interfaces VLAN qui seront associes une interface physique donne. Celles-ci seront considres comme des interfaces logiques par NetDefendOS et pourront tre traites comme des interfaces physiques dans les ensembles de rgles et les tables de routage. Fonctionnement VLAN. NetDefendOS est conforme la norme IEEE 802.1Q relative aux rseaux VLAN. En ce qui concerne le protocole, VLAN fonctionne en ajoutant un ID de VLAN (Virtual LAN Identifier) aux en-ttes de trames Ethernet. LID du VLAN est un nombre compris entre 0 et 4095 utilis pour identifier le VLAN spcifique auquel appartient la trame. De cette manire, les trames Ethernet peuvent appartenir diffrents VLAN, tout en continuant partager la mme interface physique. Avec NetDefendOS, lID du VLAN doit tre unique pour linterface physique et le mme ID de VLAN peut tre utilis sur diffrentes interfaces physiques. Les paquets reus travers les trames Ethernet par une interface physique de NetDefendOS sont examins pour rechercher un ID de VLAN. Si un ID de VLAN valide est trouv et quune interface VLAN correspondante a t dfinie pour cette interface, NetDefendOS utilisera linterface VLAN comme interface source lors du traitement ultrieur avec les ensembles de rgles IP. Si aucun ID de VLAN valide nest associ une trame Ethernet reue par linterface physique, alors la trame est considre comme tant reue par linterface physique et non par une quelconque interface VLAN pouvant tre dfinie. Limitations de licence. Le nombre dinterfaces VLAN pouvant tre dfini pour une installation NetDefendOS est limit par les paramtres de la licence utilise. Les diffrents modles matriels possdent diffrentes licences et diffrentes limitations de VLAN.
39
Fondamentaux
Rsum de linstallation du VLAN. Il est important de comprendre que ladministrateur doit considrer une interface VLAN de la mme faon quune interface physique dans le sens o celles-ci requirent au moins des rgles IP et des routes pour tre dfinies et tre capables de fonctionner. Si, par exemple, aucune rgle Allow (Autoriser) nest dfinie dans lensemble de rgles IP pour une interface VLAN, alors les paquets qui arrivent sur cette interface seront ignors. Pour configurer une interface VLAN, procdez comme suit : Attribuez un nom linterface VLAN. Slectionnez linterface physique pour le VLAN. Attribuez un ID de VLAN unique sur linterface physique. Si ncessaire, prcisez une adresse IP pour le VLAN. Si ncessaire, prcisez une adresse IP de diffusion pour le VLAN. Crez la(les) route(s) pour le VLAN dans la table de routage approprie. Crez des rgles dans lensemble de rgles IP pour autoriser le trafic traverser linterface VLAN.
Exemple 3.11. Dfinition dun VLAN

Cet exemple simple dfinit un VLAN nomm VLAN10 avec lID de VLAN 10. Notez que cette interface de VLAN utilisera ladresse IP de linterface Ethernet correspondante, car aucune adresse IP nest spcifie. Interface de ligne de commande
gw-world:/> add Interface VLAN VLAN10 Ethernet=lan Network=all-nets VLANID=10
Interface Web Slectionnez Interfaces > VLAN > Add > VLAN (Interfaces > VLAN > Ajouter > VLAN). Saisissez un nom convenable pour le VLAN (dans notre exemple, VLAN10). A prsent, saisissez : Interface : lan VLAN ID (ID du VLAN) : 10 Cliquez sur OK.
PPPoE
PPPoE (Point-to-Point Protocol over Ethernet) est un protocole de tunnelisation utilis pour connecter Internet plusieurs utilisateurs dun rseau Ethernet par une interface srie commune, telle quune ligne DSL unique, un priphrique sans fil ou un modem cble. Tous les utilisateurs dEthernet partagent une connexion commune, tandis que le contrle daccs peut tre effectu en fonction des utilisateurs. Les FAI demandent souvent aux clients de se connecter leur service haut dbit par PPPoE. En utilisant PPPoE, le fournisseur peut : mettre en uvre des contrles de scurit et daccs en utilisant lauthentification par nom dutilisateur/mot de passe ; associer les adresses IP un utilisateur spcifique ; attribuer automatiquement des adresses IP aux utilisateurs PC (similaire DHCP). La fourniture dadresses IP peut se faire par groupe dutilisateurs.
Prsentation de PPP
40
Fondamentaux
PPP (Point-to-Point Protocol) est un protocole de communication entre deux ordinateurs qui utilisent une interface srie (cas dun ordinateur personnel connect sur une ligne tlphonique commute un FAI, par exemple). Concernant le modle OSI, PPP propose un mcanisme dencapsulation de couche 2 pour autoriser les paquets de nimporte quel protocole voyager travers les rseaux IP. PPP utilise le protocole LCP (Link Control Protocol) pour tablir des connexions, ainsi que pour la configuration et les tests. Une fois le LCP initialis, un ou plusieurs NCP (Network Control Protocols) peuvent tre utiliss pour transporter du trafic pour une suite de protocoles donne, de sorte que des protocoles multiples puissent tre relis par la mme connexion. Par exemple, les trafics IP et IPX peuvent tous deux partager une liaison PPP. Lauthentification est une option de PPP. Les protocoles dauthentification pris en charge sont : PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol) et Microsoft CHAP (versions 1 et 2). Lorsque lon utilise un protocole dauthentification, au moins lun des nuds doit sauthentifier avant que les paramtres de la couche rseau puissent tre ngocis laide de NCP. Pendant la ngociation LCP et NCP, des paramtres optionnels tels que le chiffrement peuvent galement tre ngocis.
Configuration du client PPPoE

Linterface PPPoE. Puisque le protocole PPPoE excute PPP via Ethernet, le firewall a besoin dutiliser lune des interfaces Ethernet normales pour excuter PPPoE via celle-ci. Chaque tunnel PPPoE est considr comme une interface logique par NetDefendOS, avec les mmes capacits de routage et de configuration que les interfaces habituelles, lensemble de rgles IP tant appliqu la totalit du trafic. Le trafic rseau qui arrive vers le firewall travers le tunnel PPPoE utilisera linterface tunnel PPPoE comme interface source. Linterface tunnel PPPoE sera linterface de destination pour le trafic sortant. Comme avec toute interface, une ou plusieurs routes sont dfinies de telle sorte que NetDefendOS puisse identifier les adresses IP en provenance desquelles il doit accepter le trafic et vers lesquelles il doit envoyer le trafic par le tunnel PPPoE. Vous pouvez configurer le client PPPoE de manire utiliser un nom de service permettant de distinguer les diffrents serveurs sur le mme rseau Ethernet. Informations relatives ladresse IP. PPPoE utilise lattribution automatique des adresses IP, comme le protocole DHCP. Lorsque NetDefendOS reoit ces informations relatives ladresse IP de la part du FAI, il les stocke dans un objet rseau et les utilise en tant quadresse IP de linterface. Authentification utilisateur. Si le FAI exige une authentification utilisateur, vous pouvez configurer le nom dutilisateur et le mot de passe dans NetDefendOS pour un envoi automatique en direction du serveur PPPoE. Connexion la demande. Si la connexion la demande est active, la connexion PPPoE sera uniquement oprationnelle lorsquil y aura du trafic sur linterface PPPoE. Il est possible de configurer la faon dont le firewall dtecte une activit sur linterface, sur le trafic sortant, le trafic entrant ou les deux. Vous pouvez galement configurer la dure dinactivit avant la dconnexion du tunnel.
Exemple 3.12. Configuration dun client PPPoE sur linterface WAN avec routage du trafic via PPPoE
gw-world:/> add Interface PPPoETunnel PPPoEClient EthernetInterface=wan Network=all-nets Username=exampleuser Password=examplepw
Interface Web Slectionnez Interfaces > PPPoE > Add > PPoE Tunnel (Interfaces > PPPoE > Ajouter > Tunnel PPoE). Saisissez : Name (nom) : PPPoEClient (client PPPoE) Physical Interface (interface physique) : wan Remote Network (rseau distant) : all-nets (tout-rseau, car lensemble du trafic sera rout vers le tunnel) Service Name (nom du service) : nom de service communiqu par le fournisseur daccs Username (nom d'utilisateur) : nom dutilisateur communiqu par le fournisseur daccs
41
Fondamentaux
Password (mot de passe) : mot de passe communiqu par le fournisseur daccs Confirm Password (confirmer le mot de passe) : Retype the password (retapez le mot de passe) Dans le menu Authentication (authentification), prcisez quel protocole dauthentification vous souhaitez utiliser (sil nest pas spcifi, le paramtre par dfaut sera utilis) Dsactivez loption Enable dial-on-demand (Activer la connexion la demande) Dans le menu Advanced (Avanc), si loption Add route for remote network (Ajouter une route pour le rseau distant) est active, alors une nouvelle route sera ajoute pour linterface Cliquez sur OK.
Remarque
Pour garantir une connexion point--point via Ethernet, chaque session PPP doit connatre ladresse Ethernet du nud distant et crer un identifiant de session unique. PPPoE intgre un protocole de dtection qui permet ce processus.
Tunnels GRE
Prsentation. Le protocole GRE (Generic Router Encapsulation) est un simple protocole dencapsulation qui peut tre utilis chaque fois quil est ncessaire dacheminer le trafic par un tunnel travers les rseaux et/ou via des priphriques rseau. Le protocole GRE ne propose pas de fonctions de scurit, mais son utilisation provoque ainsi une surcharge extrmement faible. Utilisation du protocole GRE. Le protocole GRE est gnralement utilis pour offrir une mthode permettant de connecter ensemble deux rseaux travers un troisime rseau tel que Internet. Les deux rseaux relis communiquent par un protocole commun qui est achemin par tunnel grce au protocole GRE par le rseau intermdiaire. Exemples dutilisation du protocole GRE : Pour passer travers un quipement rseau qui bloque un protocole donn. Pour la tunnelisation du trafic IPv6 via un rseau IPv4. Lorsquun flux de donnes UDP doit faire lobjet dun envoi en multidiffusion et quil est ncessaire de passer par un priphrique rseau qui ne prend pas en charge la multidiffusion. Le protocole GRE autorise la tunnelisation via le priphrique rseau. Scurit et performances du protocole GRE. Un tunnel GRE nutilise pas de chiffrement pour communiquer et nest donc pas, par dfinition, scuris. La scurit doit tre assure par le protocole achemin par tunnel. Lavantage de ce dfaut de chiffrement du protocole GRE sont les hautes performances garanties par la faible surcharge lors du traitement du trafic. Le dfaut de chiffrement peut tre acceptable dans certaines circonstances si la tunnelisation est effectue travers un rseau interne qui nest pas public. Configuration du protocole GRE. Comme certains autres tunnels de NetDefendOS tels que le tunnel IPsec, un tunnel GRE est considr comme une interface logique par NetDefendOS, avec les mmes capacits de filtrage, de mise en forme du trafic et de configuration quune interface standard. Les options du protocole GRE sont : Adresse IP : adresse IP de linterface denvoi. Cette information est facultative et peut rester vide. Si elle est vide, ladresse IP source sera ladresse de lhte local par dfaut : 127.0.0.1. Rseau distance : rseau distant auquel sera connect le tunnel GRE. Extrmit distante : adresse IP du priphrique distant auquel sera connect le tunnel. Utilisation dune cl de session : si ncessaire, vous pouvez spcifier un numro unique pour ce tunnel. Ce paramtre autorise plusieurs tunnels GRE fonctionner entre deux extrmits identiques. La variable cl de session permet de les diffrencier. Total de contrle dencapsulation supplmentaire : le protocole GRE permet un total de contrle supplmentaire au-del du total de contrle IPv4. Cela permet une vrification supplmentaire de lintgrit des donnes.
42
Fondamentaux
Les paramtres avancs dune interface GRE sont : Ajouter automatiquement une route pour un rseau distant : on vrifiera gnralement cette option pour que la table de routage soit mise jour automatiquement. Une solution alternative consiste crer manuellement la route souhaite. Adresse utiliser comme IP source : il est possible de spcifier une adresse IP particulire en tant quIP de linterface source pour le tunnel. Ensemble de rgles IP et GRE. Un tunnel GRE tabli ne signifie pas automatiquement que lensemble du trafic en provenance ou destination de ce tunnel est autoris. Bien au contraire, le trafic rseau en provenance du tunnel GRE sera transfr vers lensemble de rgles IP de NetDefendOS pour tre valu. Le tunnel GRE associ portera le nom de linterface source du trafic rseau. Ceci est galement valable pour le trafic en direction oppose, cest--dire en direction dun tunnel GRE. De plus, il faut dfinir une route pour que NetDefendOS identifie les adresses IP qui doivent tre acceptes et envoyes par le tunnel. Exemple de cas de figure GRE. Le schma ci-dessous illustre un cas de figure GRE type, o deux firewalls D-Link A et B doivent communiquer lun avec lautre travers le rseau interne intermdiaire 172.16.0.0/16. Tout le trafic transitant entre A et B est achemin par tunnel travers le rseau intermdiaire au moyen dun tunnel GRE. Le rseau tant interne et non public, aucun chiffrement nest requis.
Figure 3.1. Exemple de cas de figure GRE
Configuration du firewall D-Link A . En supposant que le rseau 192.168.10.0/24 est un rseau lannet sur linterface lan, voici les tapes de configuration de NetDefendOS sur le firewall A : Dans le carnet dadresses, configurez les objets IP suivants : remote_net_B: 192.168.11.0/24 remote_gw: 172.16.1.1 ip_GRE: 192.168.0.1 Crez un objet tunnel GRE nomm GRE_to_B ayant les paramtres suivants : Adresse IP : ip_GRE: Rseau distant : remote_net_B:
43
Fondamentaux
Extrmit distante : remote_gw: Utilisation dune cl de session : 1 Total de contrle dencapsulation supplmentaire : activ Dfinissez une route dans la table de routage principale qui achemine lensemble du trafic vers remote_net_B sur linterface GRE GRE_to_B. Cette opration nest pas ncessaire si loption Add route for remote network (Ajouter une route pour un rseau distant) est active dans longlet Advanced (Avanc), car la route sera alors ajoute automatiquement. Crez les rgles suivantes dans lensemble de rgles IP, qui autorisent le trafic traverser le tunnel : Nom To_B From_B Action Interface src Rseau src lannet remote_net_B: Interface de dest. Rseau de dest. GRE_to_B lan remote_net_B: lannet Service Tous Tous
Autoriser lan Autoriser GRE_to_B
Configuration du firewall D-Link B . En supposant que le rseau 192.168.10.0/24 est un rseau lannet sur linterface lan, voici les tapes de configuration de NetDefendOS sur le firewall B : Dans le carnet dadresses, configurez les objets IP suivants : remote_net_A: 192.168.10.0/24 remote_gw: 172.16.0.1 ip_GRE: 192.168.0.2 Crez un objet tunnel GRE nomm GRE_to_A ayant les paramtres suivants : Adresse IP : ip_GRE: Rseau distant : remote_net_A: Extrmit distante : remote_gw: Utilisation dune cl de session : 1 Total de contrle dencapsulation supplmentaire : activ Dfinissez une route dans la table de routage principale qui achemine lensemble du trafic vers remote_net_A sur linterface GRE GRE_to_A. Cette opration nest pas ncessaire si loption Add route for remote network (Ajouter une route pour un rseau distant) est active dans longlet Advanced (Avanc), car la route sera alors ajoute automatiquement. Crez les rgles suivantes dans lensemble de rgles IP, qui autorisent le trafic traverser le tunnel : Nom To_A From_A Action Interface src Rseau src lannet remote_net_A: Interface de dest. Rseau de dest. GRE_to_A lan remote_net_A: lannet Service Tous Tous
Autoriser lan Autoriser GRE_to_A
Groupes dinterfaces
Il est possible de regrouper plusieurs interfaces de NetDefendOS pour former un Groupe dinterfaces. Ce groupe logique peut par la suite tre soumis des rgles communes et dsign par un nom de groupe dans lensemble de rgles IP et dans les rgles dauthentification utilisateur. Un groupe peut tre compos dinterfaces Ethernet habituelles, dinterfaces VLAN ou de tunnels VPN et les membre dun groupe ne doivent pas tre du mme type. Un groupe peut tre compos, par exemple, de deux interfaces Ethernet et de quatre interfaces VLAN.
44
Fondamentaux
Exemple 3.13. Cration dun groupe dinterfaces

gw-world:/> add Interface InterfaceGroup examplegroup Members=exampleif1,exampleif2
Interface Web Slectionnez Interfaces > Interface Groups > Add > InterfaceGroup (Interfaces > Groupes dinterfaces > Ajouter > Groupe dinterfaces). Saisissez les informations suivantes pour dfinir le groupe : Name (nom) : nom du groupe qui sera utilis ultrieurement. Security/Transport Equivalent (quivalent scurit/transport) : lorsque cette option est active, vous pouvez utiliser le groupe dinterfaces en tant quinterface de destination dans les rgles pour lesquelles les connexions peuvent ncessiter dtre permutes entre les interfaces. Le Route Fail-Over (reprise de routes) et lOSPF sont des exemples dapplications. Interfaces : slectionnez les interfaces placer dans le groupe Cliquez sur OK.
ARP
Prsentation
ARP (Address Resolution Protocol) est un protocole qui mappe une adresse de protocole de couche rseau vers ladresse matrielle dune couche de liaison de donnes. Il est utilis pour traduire une adresse IP dans ladresse Ethernet correspondante. Il fonctionne sur la couche OSI Data Link (couche 2 : consultez lAnnexe D, La structure OSI) et est encapsul par des en-ttes Ethernet pour la transmission. Un hte du rseau Ethernet peut communiquer avec un autre hte uniquement sil connat ladresse Ethernet (adresse MAC) de cet hte. Des protocoles de plus haut niveau tels que le protocole IP utilisent des adresses IP foncirement diffrentes dun plan dadressage de plus bas niveau comme les adresses MAC. ARP est utilis pour retrouver ladresse MAC dun hte grce son adresse IP. Lorsquun hte a besoin de traduire une adresse IP dans ladresse Ethernet correspondante, il transmet un paquet de requtes ARP. Le paquet de requtes ARP contient ladresse MAC source et les adresses IP source et de destination. Chaque hte du rseau local reoit ce paquet. Lhte avec ladresse IP de destination spcifie envoie un paquet de rponses ARP lhte source avec son adresse MAC.
ARP dans NetDefendOS

NetDefendOS propose non seulement une prise en charge standard du protocole ARP, mais ajoute galement un certain nombre de contrles de scurit au cur de la mise en uvre du protocole. Par exemple, NetDefendOS nacceptera pas par dfaut les rponses ARP pour lesquelles le systme na envoy aucune requte ARP correspondante. Sans ce type de protection, le systme serait vulnrable aux dtournements de connexion . NetDefendOS prend en charge la fois lARP dynamique et statique, ce dernier tant disponible en deux modes : Publish et XPublish. LARP dynamique est le mode de fonctionnement principal dARP, dans lequel NetDefendOS envoie des requtes ARP chaque fois quil a besoin de traduire une adresse IP en adresse Ethernet. Les rponses ARP sont stockes dans le cache ARP du systme. LARP statique est utilis pour verrouiller manuellement une adresse IP sur une adresse Ethernet spcifique. Ce procd est expliqu plus en dtail dans les sections ci-dessous.
Cache ARP
45
Fondamentaux
Le cache ARP est la table temporaire de NetDefendOS pour stocker le mappage entre les adresses IP et Ethernet. Le cache ARP est vide au dmarrage du systme et ses entres seront remplies si besoin. Le contenu dun cache ARP typique (minimal) est similaire la table suivante : Type Dynamique Dynamique Publi Adresse IP 192.168.0.10 193.13.66.77 10.5.16.3 Adresse Ethernet 08:00:10:0f:bc:a5 0a:46:42:4f:ac:65 4a:32:12:6c:89:a4 Expiration 45 136 -
Le premier lment de ce cache ARP est une entre ARP dynamique qui nous apprend que ladresse IP 192.168.0.10 est mappe sur ladresse Ethernet 08:00:10:0f:bc:a5. Le second lment mappe de manire dynamique ladresse IP 193.13.66.77 sur ladresse Ethernet 0a :46 :42 :4f :ac :65. Enfin, le troisime lment est une entre ARP statique qui associe ladresse IP 10.5.16.3 ladresse Ethernet 4a :32 :12 :6c :89 :a4. La troisime colonne de la table, Expiration, est utilise pour indiquer la dure pendant laquelle lentre ARP sera valide. Le premier lment, par exemple, possde une valeur dexpiration de 45, ce qui signifie que cette entre sera rendue invalide et supprime du cache ARP aprs 45 secondes. Si un trafic est envoy ladresse IP 192.168.0.10 aprs lexpiration, NetDefendOS met une nouvelle requte ARP. Le temps dexpiration par dfaut pour les entres ARP dynamiques est de 900 secondes (15 minutes). Vous pouvez le changer en modifiant le paramtre avanc ARPExpire. Le paramtre ARPExpireUnknown prcise combien de temps NetDefendOS va garder en mmoire les adresses injoignables. Cette prcaution permet de sassurer que NetDefendOS ne sollicite pas ces adresses en continu. La valeur par dfaut pour ce paramtre est de 3 secondes.
Exemple 3.14. Affichage du cache ARP

Vous pouvez afficher le contenu du cache ARP partir de linterface de ligne de commande. Interface de ligne de commande
gw-world:/> arp -show ARP cache of iface lan Dynamic 10.4.0.1 = 1000:0000:4009 Expire=196 Dynamic 10.4.0.165 = 0002:a529:1f65 Expire=506
Alignement du cache ARP. Si un hte de votre rseau a rcemment t remplac par un nouveau matriel tout en conservant la mme adresse IP, il est trs probable quil dispose dune nouvelle adresse Ethernet. Si NetDefendOS possde une entre ARP pour cet hte, ladresse Ethernet de cette entre sera invalide, ce qui empchera les donnes envoyes vers lhte de parvenir destination. Aprs le temps dexpiration ARP, NetDefendOS apprendra videmment la nouvelle adresse Ethernet de lhte demand, mais il arrive parfois que lon doive forcer une nouvelle requte manuellement. Le plus simple consiste aligner le cache ARP, opration qui supprime toutes les entres ARP dynamiques du cache, ce qui force NetDefendOS mettre de nouvelles requtes ARP.
Exemple 3.15. Alignement du cache ARP

Cet exemple montre comment aligner le cache ARP partir de linterface de ligne de commande. Interface de ligne de commande
gw-world:/> arp -flush ARP cache of all interfaces flushed.
Taille du cache ARP. Par dfaut, le cache ARP peut dtenir 4 096 entres ARP la fois. Cela convient pour la plupart des dploiements, mais il se peut que vous deviez parfois ajuster cette valeur, par exemple lorsque plusieurs LAN trs volumineux sont connects directement au firewall. Vous pouvez le faire en modifiant le paramtre avanc ARPCacheSize.
46
Fondamentaux
Les tables de hachage sont utilises pour localiser des entres dans le cache ARP. Pour une efficacit maximale, un hachage doit tre deux fois plus grand que la table quil indexe, donc si le LAN connexion directe le plus volumineux contient 500 adresses IP, la table de hachage ARP doit comporter au moins 1 000 entres. Ladministrateur peut modifier le paramtre avanc ARPHashSize pour traduire des besoins rseau spcifiques. La valeur par dfaut pour ce paramtre est 512. Le paramtre ARPHashSizeVLAN est similaire au paramtre ARPHashSize mais il affecte la taille de hachage pour les interfaces VLAN uniquement. La valeur par dfaut est 64.
Entres ARP statiques et publies

NetDefendOS prend en charge la dfinition dentres ARP statiques (association statique dadresses IP aux adresses Ethernet) ainsi que la publication dadresses IP avec une adresse Ethernet spcifique. Entres ARP statiques. Les lments ARP statiques peuvent tre utiles lorsquun priphrique signale une adresse Ethernet incorrecte en rponse aux requtes ARP. Certains ponts entre les postes de travail, comme les modems radio, peuvent rencontrer ce type de problmes. Vous pouvez galement les utiliser pour verrouiller une adresse IP sur une adresse Ethernet spcifique dans le but daugmenter la scurit ou pour viter le dni de service lorsque des utilisateurs pirates se trouvent dans un rseau. Notez toutefois quune telle protection sapplique uniquement aux paquets envoys en direction de cette adresse IP, et non aux paquets envoys partir de celle-ci.
Exemple 3.16. Dfinition dune entre ARP statique

Cet exemple va crer un mappage statique entre ladresse IP 192.168.10.15 et ladresse Ethernet 4b:86:f6:c5:a2:14 sur linterface lan. Interface de ligne de commande
gw-world:/> add ARP Interface=lan IP=192.168.10.15 Mode=Static MACAddress=4b-86-f6-c5-a2-14
Interface Web Slectionnez Interfaces > ARP > Add > ARP (ARP > Ajouter > ARP). Dans les listes droulantes, slectionnez les options suivantes : Mode : Static (statique) Interface : lan Saisissez les paramtres suivants : Adresse IP : 192.168.10.15 MAC (Adresse MAC) : 4b-86-f6-c5-a2-14 Cliquez sur OK. Entres ARP publies. NetDefendOS prend en charge la publication dentres ARP, ce qui signifie que vous pouvez dfinir des adresses IP (et, si ncessaire, des adresses Ethernet) pour une interface. NetDefendOS propose alors des rponses ARP pour les requtes ARP qui se rapportent ces adresses IP. Ce processeur a deux utilits majeures : Donner limpression que linterface de NetDefendOS possde plusieurs adresses IP. Aider lquipement rseau proche rpondant aux requtes ARP de manire incorrecte. Cet usage est toutefois moins courant. Le premier usage est pratique lorsque plusieurs plages IP distinctes se trouvent sur un seul LAN. Les htes de chaque plage IP peuvent alors utiliser une passerelle de leur propre plage lorsque ces adresses de passerelles sont publies sur linterface NetDefendOS correspondante.
47
Fondamentaux
Un autre usage consiste publier plusieurs adresses sur une interface externe, ce qui permet NetDefendOS dadresser de manire statique les communications vers ces adresses et de les transmettre en direction des serveurs internes qui possdent des adresses IP prives. Il existe deux modes de publication : Publish et XPublish. La diffrence entre les deux est que Xpublish ment quant ladresse Ethernet de lexpditeur se trouvant dans len-tte Ethernet ; celle-ci est dfinie de manire tre identique ladresse Ethernet publie plutt qu ladresse Ethernet relle de linterface Ethernet. Si une adresse Ethernet publie est identique ladresse Ethernet de linterface, il ny aura pas de diffrence si vous slectionnez Publish ou XPublish. Dans les deux cas, le rsultat sera le mme.
Conseil
Dans la configuration des entres ARP, les adresses peuvent uniquement tre publies une la fois. Toutefois, vous pouvez utiliser la fonctionnalit ProxyARP pour grer la publication de rseaux entiers (reportez-vous la section nomme ARP Proxy ).
Paramtres ARP avancs

Cette section prsente certains paramtres avancs du protocole ARP. Dans la plupart des cas, vous navez pas besoin de modifier ces paramtres, mais pour certains dploiements, des modifications peuvent tre requises. La plupart se trouvent dans WebUI, via ARP > Advanced Settings (ARP > Paramtres avancs). Diffusion et multidiffusion. Les requtes et les rponses ARP qui contiennent des adresses de diffusion ou multidiffusion ne sont, en gnral, jamais correctes, lexception de certains priphriques dquilibrage du volume de trafic et de redondance, qui utilisent des adresses multidiffusion de la couche matrielle. Le comportement par dfaut de NetDefendOS consiste ignorer et consigner de telles requtes et rponses ARP. Vous pouvez toutefois le changer en modifiant les paramtres avancs ARPMulticast et ARPBroadcast. Rponses ARP non sollicites. Il est tout fait possible pour un hte prsent sur le LAN denvoyer une rponse ARP au firewall, mme si aucune requte ARP correspondante na t effectue. Selon les spcifications ARP, le rcepteur doit accepter ce type de rponses ARP. Toutefois, tant donn que ce processus peut faciliter le dtournement de connexions locales, NetDefendOS ignore et consigne normalement ces rponses. Vous pouvez changer ce comportement en modifiant le paramtre avanc UnsolicitedARPReplies. Requtes ARP. La spcification ARP dclare quun hte doit mettre jour son cache ARP avec les donnes des requtes ARP reues des autres htes. Toutefois, tant donn que cette procdure peut faciliter le dtournement de connexions locales, NetDefendOS ne lautorise pas. Pour rendre ce comportement compatible avec la spcification RFC 826, ladministrateur peut modifier le paramtre avanc ARPRequests. Mme lorsque le paramtre ARPRequests est dfini sur Drop (Ignorer), ce qui signifie que le paquet est rejet sans tre stock, le systme va tout de mme rpondre ce paquet, condition que dautres rgles acceptent la demande. Modifications du cache ARP. NetDefendOS propose quelques paramtres qui contrlent la faon de modifier le cache ARP. Une rponse ou une requte ARP reue peut modifier un lment existant du cache ARP. Le fait dautoriser cette opration peut permettre le dtournement de connexions locales. Toutefois, si on ne lautorise pas, cela peut causer des problmes si, par exemple, un adaptateur rseau est remplac, car NetDefendOS nacceptera pas la nouvelle adresse tant que lentre du cache ARP prcdente na pas expir. Vous pouvez rgler les paramtres avancs ARPChanges pour modifier le comportement. Le comportement par dfaut de NetDefendOS consiste autoriser les modifications, mais elles sont dans ce cas toutes consignes. On rencontre une situation similaire lorsque les informations contenues dans les rponses ou dans les requtes ARP concident avec les entres statiques du cache ARP. Cela nest, bien sr, jamais autoris. Toutefois, la modification du paramtre avanc StaticARPChanges autorise ladministrateur spcifier si oui ou non de telles situations doivent tre consignes. IP expditeur 0.0.0.0. Il est possible de configurer la faon dont NetDefendOS traite les requtes ARP qui possdent lIP expditeur 0.0.0.0. De tels IP expditeur ne sont jamais valides en rponse, mais les units rseau
48
Fondamentaux
qui nont pas encore dtect leur adresse IP posent parfois des requtes ARP avec un IP expditeur non spcifi . Normalement, ces rponses ARP sont ignores et consignes, mais vous pouvez changer ce comportement en modifiant le paramtre avanc ARPQueryNoSenderIP. Correspondance des adresses Ethernet. Par dfaut, NetDefendOS exige que ladresse de lexpditeur au niveau Ethernet soit conforme ladresse Ethernet indique par les donnes ARP. Si ce nest pas le cas, la rponse sera ignore et consigne. Vous pouvez changer ce comportement en modifiant le paramtre avanc ARPMatchEnetSender.
Lensemble de rgles IP
Rgles de scurit
Caractristiques des rgles. Les rgles de scurit NetDefendOS conues par ladministrateur dcident de la faon dont le trafic peut traverser un firewall D-Link. Dans NetDefendOS, les rgles sont dfinies par diffrents ensembles de rgles NetDefendOS. Ces ensembles de rgles partagent une manire commune de spcifier les critres de filtrage qui dterminent le type de trafic auquel elles vont sappliquer. Cet ensemble de critres comprend : Une interface source Un rseau source Une interface de destination Un rseau de destination Interface ou groupe dinterfaces qui reoit le paquet au niveau du firewall D-Link. Il peut aussi sagir dun tunnel VPN. Rseau contenant ladresse IP source du paquet. Il peut sagir dun objet IP NetDefendOS qui dfinit une adresse IP unique ou une plage dadresses. Interface ou groupe dinterfaces par lequel le paquet quitte le firewall D-Link. Il peut aussi sagir dun tunnel VPN. Rseau auquel appartient ladresse IP de destination du paquet. Il peut sagir dun objet IP NetDefendOS qui dfinit une adresse IP unique ou une plage dadresses. Type de protocole auquel appartient le paquet. Les objets de service dfinissent un type de protocole/de port, par exemple, HTTP ou ICMP. Vous pouvez galement dfinir des services personnaliss (reportez-vous la section Services pour plus dinformations).
Un service
Les ensembles de rgles de NetDefendOS, qui utilisent tous les mmes paramtres de filtrage, comprennent les lments suivants : Les rgles IP. Les pipe rules ou rgles de tuyau (reportez-vous la section intitule Mise en forme du trafic ). Les politiques dacheminement en fonction de rgles (reportez-vous la section intitule Acheminement en fonction de rgles ). Les rgles IDP (reportez-vous la section intitule Prvention et dtection des intrusions ). Les rgles dauthentification rseau/interface source uniquement (reportez-vous au chapitre 8, Authentification utilisateur). Spcification dune interface ou dun rseau. Au moment de spcifier le critre de filtrage dans lun des ensembles de rgles mentionns ci-dessus, vous pouvez utiliser trois options utiles prdfinies : Pour un rseau source ou de destination, loption all-nets (tout-rseau) quivaut ladresse IP 0.0.0.0/0, ce qui implique que toute adresse IP est acceptable. Pour une interface source ou de destination, vous pouvez utiliser loption Any afin que NetDefendOS ne soccupe pas de linterface destination ou en provenance de laquelle transite le trafic. Vous pouvez dfinir linterface de destination en tant que core . Cela signifie que le trafic, par exemple un Ping
49
Fondamentaux
ICMP, est destin au firewall D-Link lui-mme et que cest NetDefendOS qui va lui rpondre. Rgles IP. Lensemble de rgles IP est le plus important de ces ensembles de rgles de scurit. Il dfinit la fonction essentielle de filtrage des paquets de NetDefendOS, en rgulant ce qui est autoris ou non traverser le firewall D-Link et, si ncessaire, la faon dont sappliquent les traductions dadresses comme NAT. Il existe deux approches possibles pour dfinir comment doit tre trait le trafic qui traverse NetDefendOS : Sauf autorisation spcifique, tout est refus Sauf refus spcifique, tout est autoris Pour permettre la meilleure scurit possible, la premire de ces approches est adopte par NetDefendOS et laction Drop (Ignorer) est la rgle par dfaut de lensemble de rgles IP, ce qui signifie que lensemble du trafic est refus. Pour permettre tout trafic (notamment les rponses de NetDefendOS aux requtes Ping ICMP), ladministrateur doit dfinir des rgles IP qui autorisent le trafic traverser le firewall D-Link. Bien que le rejet des paquets est ralis sans quune rgle IP spcifique existe, il est recommand, des fins de consignation, quune rgle IP Drop avec consignation active soit place comme dernire rgle dans lensemble de rgles IP.
valuation des rgles IP

Lorsquune nouvelle connexion TCP/IP est tablie travers le firewall D-Link, la liste des rgles IP est examine de haut en bas jusqu ce quune rgle correspondant aux paramtres de la nouvelle connexion soit trouve. Laction de la rgle est alors excute. Si laction lautorise, ltablissement de la nouvelle connexion se poursuit. Une nouvelle entre (ou un tat) reprsentant la nouvelle connexion est ensuite ajoute la table dtat interne de NetDefendOS, ce qui permet de surveiller les connexions ouvertes et actives qui utilisent le firewall D-Link. Si laction est Drop (Ignorer) ou Reject (Rejeter), alors la nouvelle connexion est refuse. Filtrage dynamique. Aprs lvaluation de louverture de la connexion par la rgle initiale, les prochains paquets appartenant cette connexion nauront pas tre examins individuellement par lensemble de rgles. Au lieu de cela, un algorithme particulirement efficace recherche chaque paquet dans la table pour dterminer sil appartient une connexion dj tablie. Cette approche est appele filtrage dynamique et ne sapplique pas seulement aux protocoles dynamiques tels que TCP mais galement aux protocoles statiques tels que UDP et ICMP, au moyen de pseudo-connexions . Cette approche signifie que lexamen avec lensemble de rgles IP est uniquement effectu lors de la phase initiale douverture de connexion. La taille de lensemble de rgles IP a par consquent un effet ngligeable sur le dbit global. Le premier principe de correspondance. Si plusieurs rgles correspondent aux mmes paramtres, la premire rgle de correspondance dans un balayage de haut en bas est celle qui dcide de la manire dont la connexion va tre gre. Les rgles SAT sont une exception car elles reposent sur un appariement avec une seconde rgle pour fonctionner. Aprs avoir rencontr une rgle SAT correspondante, la recherche va se poursuivre pour trouver une seconde rgle qui corresponde (pour plus dinformations, reportez-vous la section Traduction dadresses statiques ). Trafic non-correspondant. Les paquets entrants qui ne correspondent aucune rgle de lensemble de rgles et qui ne possdent pas de connexion correspondante dans la table dtat seront automatiquement soumis laction Drop (Ignorer). Pour tre plus explicite, une rgle finale appele DropAll, possdant une action Drop (Ignorer) configure sur all-nets comme rseau source/de destination et all comme interface source/de destination, devrait exister dans lensemble de rgles.
Actions des rgles IP

Une rgle se compose de deux parties : les paramtres de filtrage et la mesure prendre si une correspondance existe avec ces paramtres. Comme dcrit ci-dessus, les paramtres de toute rgle NetDefendOS, notamment les rgles IP, sont :
50
Fondamentaux
Une interface source Un rseau source Une interface de destination Un rseau de destination Un service Llment service dune rgle IP est galement important car si un objet de la passerelle ALG (Application Layer Gateway) doit tre appliqu au trafic, il doit tre associ un objet de service (reportez-vous la section Passerelle ALG ). Lorsquune rgle IP est dclenche par une correspondance, lune des actions suivantes peut se produire : Autoriser Le paquet est autoris passer. tant donn que la rgle est applique uniquement louverture dune connexion, une entre est tablie dans la table dtat pour enregistrer louverture dune connexion. Le reste des paquets attribus cette connexion traversera le moteur dynamique de NetDefendOS. Laisse le paquet traverser le firewall D-Link sans configurer dtat qui lui soit spcifique dans la table dtat. Cela signifie que le processus de filtrage dynamique est vit et est, par consquent, moins scuris que les rgles Allow ou NAT. La dure de traitement des paquets est galement plus lente que pour les rgles Allow car chaque paquet est compar lensemble de rgles tout entier. La rgle NAT fonctionne comme la rgle Allow, mais avec la traduction dynamique dadresse (NAT) active (pour une description dtaille, reportez-vous la section intitule Traduction dynamique des adresses rseau du chapitre 7, Traduction dadresses). Cette action commande NetDefendOS de procder la traduction dadresse statique. Une rgle SAT ncessite toujours une rgle Allow, NAT ou FwdFast correspondante en plus de lensemble de rgles (pour une description dtaille, reportez-vous la section intitule Traduction dadresse statique du chapitre 7, Traduction dadresse).
FwdFast
NAT
SAT
Drop (Ignorer) Cette action commande NetDefendOS dignorer immdiatement le paquet. Il sagit dune version impolie de laction Reject (Rejeter), car aucune rponse nest envoye lexpditeur. Elle est souvent prfrable car elle ne donne, au pirate potentiel, aucune information sur ce qui est arriv leurs paquets. Reject (Rejeter) Cette action fonctionne comme laction Drop (Ignorer), mais retourne un message TCP RST ou ICMP Injoignable , qui informe lordinateur expditeur que le paquet a t rejet. Il sagit dune version polie de laction Drop (Ignorer). Connexions bidirectionnelles. Une erreur courante lors de la configuration des rgles IP est de dfinir deux rgles, lune pour le trafic allant dans un sens et lautre pour le trafic rentrant dans lautre sens. En fait, presque toutes les rgles IP autorisent un flux de trafic bidirectionnel une fois que la connexion initiale est configure. Le rseau source et linterface source dans la rgle correspondent la source de la requte de connexion initiale. Une fois quune connexion est autorise et tablie, le trafic peut alors circuler dans chaque direction. Lexception ce flux bidirectionnel sont les rgles FwdFast. Si laction FwdFast est utilise, alors la rgle nautorisera pas le trafic revenir de la destination la source. Si un flux bidirectionnel est exig, alors deux rgles FwdFast sont requises, cest--dire une pour chaque direction. Cest galement le cas lorsquune rgle FwdFast est utilise avec une rgle SAT. Utilisation de Reject (Rejeter). Dans certaines situations, laction Reject (Rejeter) est recommande, plutt que laction Drop (Ignorer), car une rponse polie est exige par NetDefendOS. Un exemple dune telle situation est la rponse au protocole didentification de lutilisateur IDENT.
Modification des entres de lensemble de rgles IP

Aprs avoir ajout diffrentes rgles lensemble de rgles, vous pouvez cliquer avec le bouton droit de la souris
51
Fondamentaux
sur la ligne de votre choix dans linterface Web pour la modifier. Un menu contextuel apparat avec les options suivantes : Modifier Supprimer Activer/Dsactiver Autorise la modification du contenu de la rgle. Supprime dfinitivement la rgle de lensemble de rgles. Permet de dsactiver la rgle en la conservant dans lensemble de rgles. Lorsque cette option est dfinie sur Dsactiver , la ligne de lensemble de rgles naffectera pas le trafic et apparatra grise dans linterface utilisateur. Vous pouvez la ractiver tout moment.
Options de dplacement La dernire section du menu contextuel permet de dplacer la rgle un autre emplacement dans lensemble de rgles, afin de lui affecter une priorit diffrente.
Programmation
Dans certains cas de figure, il peut tre utile de contrler non seulement quelle fonctionnalit est active, mais galement quel moment cette fonctionnalit est utilise. La politique informatique dune entreprise peut, par exemple, stipuler que le trafic Web en provenance dun service spcifique est uniquement autoris sortir du service pendant les heures normales de bureau. Un autre exemple : lauthentification qui utilise une connexion VPN spcifique est autorise uniquement les jours de semaine avant midi. NetDefendOS rpond cette en fournissant des objets programmation, ou simplement des programmes, que vous pouvez slectionner et utiliser avec diffrents types de rgles de scurit pour obtenir un contrle en fonction du temps. Cette fonctionnalit nest en aucun cas limite aux rgles IP, mais est valide pour la plupart des types de rgles, notamment les rgles de mise en forme du trafic et les rgles de dtection et de prvention des intrusions (IDP). Un objet programme est, en dautres termes, un composant trs puissant qui peut autoriser une rgulation dtaille des priodes dactivation ou de dsactivation des fonctions de NetDefendOS. Un objet programme vous permet dindiquer plusieurs plages horaires pour chaque jour de la semaine. De plus, il est possible de spcifier des dates de dbut et de fin qui imposeront des contraintes supplmentaires la programmation. Par exemple, vous pouvez dfinir le programme suivant : le lundi et le mardi, de 8 h 30 10 h 40 et de 11 h 30 14 h, le vendredi, de 14 h 30 17 h.
Important
tant donn que les programmes dpendent de la date et de lheure exacte, il est trs important que la date et lheure du systme soient correctement paramtres. De prfrence, la synchronisation de lheure a galement t active pour sassurer que les rgles planifies seront actives et dsactives au bon moment. Pour plus dinformations, reportez-vous la section Configuration de la date et de lheure .
Exemple 3.17. Configuration dune rgle planifie

Cet exemple cre un objet programme pour les heures de bureau en semaine et lassocie une rgle IP qui autorise le trafic HTTP. Interface de ligne de commande
gw-world:/> add ScheduleProfile OfficeHours Mon=8-17 Tue=8-17 Wed=8-17 Thu=8-17 Fri=8-17 gw-world:/> add IPRule Action=NAT Service=http SourceInterface=lan SourceNetwork=lannet DestinationInterface=any DestinationNetwork=all-nets Schedule=OfficeHours name=AllowHTTP
Interface Web Slectionnez Objects > Schedules > Add > Schedule (Objets > Programmation > Ajouter > Programme). Saisissez les paramtres suivants :
52
Fondamentaux
Name (nom): OfficeHours (heures de bureau) Dans la liste, slectionnez de 8 h 17 h, du lundi au vendredi. Cliquez sur OK. Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez les paramtres suivants : Name (nom): AllowHTTP (autoriser HTTP) Dans les listes droulantes, slectionnez les options suivantes : Action : NAT Service: http Schedule (programmation) : OfficeHours (heures de bureau) SourceInterface (interface source) : lan SourceNetwork lannet (rseau source lannet) DestinationInterface (interface de destination) : any (toutes) DestinationNetwork (rseau de destination) : all-nets (tout rseau) Cliquez sur OK.
Certificats X.509
NetDefendOS prend en charge des certificats numriques conformes la norme ITU-T X.509. Cela implique lutilisation dune hirarchie de certificats X.509 avec une cryptographie cl publique utilise pour la distribution de cls et lauthentification dentits.
Prsentation
Un certificat X.509 est une preuve didentit numrique. Il cre un lien entre une identit et une cl publique dans le but de dfinir si une cl publique appartient rellement au propritaire suppos. Par ce processus, il empche linterception des donnes transfres par un tiers malveillant qui pourrait poster une fausse cl avec le nom et lidentifiant utilisateur dun destinataire souhait. Certificats des tunnels VPN. Lusage prdominant des certificats dans NetDefendOS concerne les tunnels VPN. La faon la plus simple et la plus rapide de scuriser les extrmits dun tunnel est dutiliser des cls pr-partages (PSK). La complexit dutilisation des cls PSK augmente avec la taille des rseaux VPN. Les certificats sont un moyen de mieux grer la scurit dans les rseaux plus importants. Composants des certificats. Un certificat comprend les lments suivants : Une cl publique : lidentit de lutilisateur, par exemple son nom ou son identifiant utilisateur. Les signatures numriques : Une dclaration qui stipule que les informations contenues dans le certificat ont t approuves par une autorit de certification. En combinant les informations ci-dessus, un certificat est une cl publique comprenant une identification, couple un cachet de certification dun organisme agre. Autorits de certification. Une autorit de certification (AC) est une entit agre qui dlivre des certificats dautres entits. Lautorit de certification signe numriquement tous les certificats quelle dlivre. Une signature de lautorit de certification vrifie lidentit du propritaire du certificat et garantit que le certificat na pas t falsifi par un tiers.
53
Fondamentaux
Une autorit de certification se charge de vrifier que les informations de chaque certificat quelle dlivre sont correctes. Elle doit galement sassurer que lidentit du certificat correspond lidentit du propritaire du certificat. Une AC peut galement dlivrer des certificats dautres AC. Cela entrane une hirarchie de certificats sous forme darbre. LAC situe au plus haut de la hirarchie est appele lAC racine. Dans cette hirarchie, chaque AC est signe par lAC situe juste au-dessus, lexception de lAC racine qui est gnralement signe par elle-mme. Un chemin de certification fait rfrence au chemin de certificats allant dun certificat un autre. Lors du processus de vrification de la validit dun certificat dutilisateur, le chemin entier partant du certificat dutilisateur jusquau certificat du nud agre doit tre examin avant que la validit du certificat dutilisateur ne soit tablie. Le certificat AC est identique nimporte quel certificat, hormis le fait quil autorise la cl prive correspondante signer dautres certificats. Si la cl prive de lAC est altre, toute lAC est galement altre, y compris tous les certificats quelle a signs. Dure de validit. Un certificat nest pas valide indfiniment. Chaque certificat contient les dates de validit du certificat. Lorsque cette priode de validit arrive expiration, le certificat ne peut plus tre utilis et un nouveau certificat doit tre dlivr. Listes de rvocation de certificats. Une liste de rvocation de certificats (CRL) contient une liste de tous les certificats qui ont t annuls avant leur date dexpiration. Ces cas de figure peuvent se prsenter pour plusieurs raisons, notamment lorsque les cls du certificat ont t altres de quelque manire que ce soit ou que le propritaire du certificat a perdu les droits dauthentification qui utilisent ce certificat. Cela peut arriver, par exemple, si un employ a quitt lentreprise qui a dlivr le certificat. Une CRL est rgulirement publie sur un serveur auquel peuvent accder tous les utilisateurs de certificats, au moyen des protocoles LDAP ou HTTP. Les certificats contiennent souvent un champ de points de distribution CRL, qui spcifie lemplacement partir duquel la liste de rvocation de certificats peut tre tlcharge. Dans certains cas, les certificats ne contiennent pas ce champ. Dans ces cas-l, lemplacement de la liste CRL doit tre configur manuellement. LAC met jour sa CRL un intervalle donn. La longueur de cet intervalle dpend de la configuration de lAC. Gnralement, elle varie entre une heure et plusieurs jours. Approbation des certificats. Lorsquon utilise des certificats, NetDefendOS fait confiance toute personne qui dtient un certificat sign par une AC donne. Avant quun certificat soit approuv, la validit du certificat est vrifie de la manire suivante : Construction dun chemin de certification jusqu la racine AC agre. Vrification des signatures de tous les certificats contenus dans le chemin de certification. Recherche de chaque certificat dans la liste CRL afin de vrifier quaucun des certificats na t rvoqu. Listes didentification. En plus de vrifier les signatures des certificats, NetDefendOS utilise galement des listes didentification. Une liste didentification est une liste qui mentionne toutes les identits distantes qui possdent un accs autoris par un tunnel VPN spcifique, condition que la procdure de validation du certificat dcrite ci-dessus ait abouti. Rutilisation des certificats racine. Dans NetDefendOS, les certificats racines doivent tre considrs comme des entits globales qui peuvent tre rutilises entre les tunnels VPN. Mme si un certificat racine est associ un tunnel VPN dans NetDefendOS, il peut toujours tre rutilis avec le nombre dautres tunnels VPN diffrents que lon souhaite.
Certificats X.509 dans NetDefendOS

Les certificats X.509 peuvent tre chargs sur le firewall D-Link pour tre utiliss lors des authentifications IKE/IPsec, Webauth, etc. Deux types de certificats peuvent tre chargs : les certificats auto-signs et les certificats distants appartenant un nud distant ou un serveur AC.
54
Fondamentaux
Exemple 3.18. Chargement dun certificat X.509

Il peut sagir dun certificat auto-sign ou dun certificat appartenant un nud distant ou un serveur AC. Interface Web Slectionnez Objects > Authentication Objects > Add > Certificate (Objets > Objets dauthentification > Ajouter > Certificat). Spcifiez un nom convenable pour le certificat. Slectionnez lune des options suivantes : Upload self-signed X.509 Certificate (charger un certificat X.509 auto-sign) Upload a remote certificate (charger un certificat distant) Cliquez sur OK et suivez les instructions.
Exemple 3.19. Association de certificats X.509 des tunnels IPsec

Pour associer un certificat import un tunnel IPsec. Interface Web Slectionnez Interfaces > IPsec. Affichez les proprits du tunnel IPsec. Slectionnez longlet Authentication (Authentification). Slectionnez loption Certificat X509. Slectionnez la passerelle et les certificats racine corrects. Cliquez sur OK.
Configuration de la date et de lheure

Pour assurer le bon fonctionnement de NetDefendOS, il est important de configurer correctement la date et lheure. Les rgles planifies, les mises jour automatiques de lIDP et des bases de donnes antivirus, ainsi que dautres fonctionnalits du produit exigent que lhorloge systme soit rgle avec prcision. De plus, les messages de consignation sont horodats pour indiquer linstant o se produit un vnement spcifique. Cela suppose non seulement une horloge qui fonctionne, mais aussi quelle est correctement synchronise avec les autres priphriques du rseau. Pour garantir une date et une heure prcises, NetDefendOS utilise une horloge matrielle en temps rel intgre. Cette horloge est galement quipe dune pile de sauvegarde qui la protge contre les coupures de courant temporaires. De plus, NetDefendOS prend en charge les protocoles de synchronisation horaire, reposant sur des requtes envoyes des serveurs externes spcifiques, pour ajuster automatiquement lhorloge.
Paramtres de date et heure gnraux

Date et heure actuelles. Ladministrateur peut configurer la date et lheure manuellement. Cela est recommand lorsquune nouvelle installation de NetDefendOS est lance pour la premire fois.
Exemple 3.20. Configuration de la date et de lheure actuelles

Pour ajuster la date et lheure actuelles, suivez les tapes ci-dessous : Interface de ligne de commande
55
Fondamentaux
gw-world:/> time -set YYYY-mm-DD HH:MM:SS
O YYYY-mm-DD HH :MM :SS reprsente les nouvelles date et heure. Notez lordre de prsentation de la date : lanne, puis le mois et enfin le jour. Pour rgler la date et lheure sur le 27 avril 2007, 9 h 25, la commande sera :
gw-world:/> time -set 2007-04-27 09:25:00
Interface Web Slectionnez System > Date and Time (Systme > Date et heure). Cliquez sur Set Date and Time (Ajuster la date et lheure). Ajustez lanne, le mois, le jour et lheure laide des commandes droulantes. Cliquez sur OK.
Remarque
Ds quelles sont dfinies, NetDefendOS applique les nouveaux paramtres de date et heure. Fuseaux horaires. Le monde est divis en un certain nombre de fuseaux horaires, lHeure de Greenwich (GMT) Londres la longitude 0 tant utilise comme fuseau de rfrence. Tous les autres fuseaux horaires situs lEst et lOuest de la longitude 0 sont dfinis comme tant GMT plus ou moins un nombre dheures entier. Tous les emplacements comptabiliss comme tant lintrieur dun fuseau horaire donn possderont alors la mme heure locale, qui sera donne par un nombre entier reprsentant le dcalage horaire par rapport GMT. Le fuseau horaire de NetDefendOS correspond au fuseau horaire dans lequel se trouve physiquement le firewall D-Link.
Exemple 3.21. Configuration du fuseau horaire

Pour rgler le fuseau horaire de NetDefendOS sur GMT + 1 heure, suivez les tapes ci-dessous : Interface de ligne de commande
gw-world:/> set DateTime Timezone=GMTplus1
Interface Web Slectionnez System > Date and Time (Systme > Date et heure). Slectionnez (GMT+01:00) dans la liste droulante des fuseaux horaires. Cliquez sur OK. Passage lheure dt. De nombreuses rgions observent le passage lheure dt (Daylight Saving Time, DST), ce qui signifie que les horloges sont avances pour la priode estivale. Malheureusement, les principes qui rgulent le passage lheure dt varient suivant les pays et il existe, dans certains cas, des diffrences au sein dun mme pays. Pour cette raison, NetDefendOS ne sait pas automatiquement quand il doit passer lheure dt. Vous devez saisir cette information manuellement si vous souhaitez utiliser le passage lheure dt. Deux paramtres rgissent le passage lheure dt ; la priode DST et le dcalage DST. La priode de lheure dt indique quelles dates dbute et se termine le passage lheure dt. Le dcalage de lheure dt indique le nombre de minutes qui doit tre ajout lhorloge pendant la priode de lheure dt.
Exemple 3.22. Activer le passage lheure dt

Pour activer le passage lheure dt, suivez les tapes ci-dessous : Interface de ligne de commande
gw-world:/> set DateTime DSTEnabled=Yes
Interface Web
56
Fondamentaux
Slectionnez System > Date and Time (Systme > Date et heure). Cochez la case Enable daylight saving time (Activer le passage lheure dt). Cliquez sur OK.
Serveurs horaires
Lhorloge matrielle utilise par NetDefendOS peut parfois acclrer ou ralentir aprs une certaine priode dactivit. Il sagit dun comportement normal dans la plupart des quipements informatiques et rseau qui peut tre rsolu en utilisant des Serveurs horaires. NetDefendOS peut ajuster lhorloge automatiquement en fonction des informations reues de la part dun ou plusieurs serveurs horaires qui offrent une heure ultra-prcise, en utilisant gnralement les horloges atomiques. Lutilisation de serveurs horaires est fortement recommande car elle garantit que NetDefendOS alignera son heure et sa date sur celles des autres priphriques rseau. Protocoles de synchronisation de lheure. Les protocoles de synchronisation de lheure sont des mthodes normalises qui permettent de rcuprer les informations concernant lheure sur les serveurs horaires externes. NetDefendOS prend en charge les protocoles de synchronisation horaire suivants : SNTP - Dfini par la norme RFC 2030, le SNTP (Simple Network Time Protocol) est une forme allge du protocole NTP (RFC 1305). Il est utilis par NetDefendOS pour interroger les serveurs NTP. UDP/TIME - Le Time Protocol (UDP/TIME) est une ancienne mthode qui fournit un service de synchronisation horaire via Internet. Ce protocole propose une heure et une date indpendantes de tout site et lisibles par la machine. Le serveur renvoie lheure en secondes depuis le 1er janvier 1900, minuit. La plupart des serveurs horaires publics excutent le protocole NTP et sont accessibles via SNTP. Configuration des serveurs horaires. Jusqu trois serveurs horaires peuvent tre configurs pour lancer des requtes visant rcuprer les informations dheure. Lutilisation de plusieurs serveurs permet dviter les situations o un serveur injoignable entrane lchec du processus de synchronisation du temps. NetDefendOS interroge toujours lensemble des serveurs horaires configurs et calcule une heure moyenne en fonction de toutes les rponses. Des moteurs de recherche Internet peuvent tre utiliss pour tablir la liste des serveurs horaires accessibles au plus grand nombre.
Important
Assurez-vous quun serveur DNS externe est configur de manire ce que les URL des serveurs horaires puissent tre traduites (reportez-vous la section Recherche DNS ). Cette opration nest pas requise si vous utilisez des adresses IP de serveurs.
Exemple 3.23. Activation de la synchronisation du temps via SNTP

Dans cet exemple, la synchronisation du temps est configure de faon utiliser le protocole SNTP pour communiquer avec les serveurs NTP du Swedish National Laboratory for Time and Frequency. Les URL du serveur NTP sont ntp1.sp.se et ntp2.sp.se. Interface de ligne de commande
gw-world:/> set DateTime TimeSynchronization=custom TimeSyncServer1=dns:ntp1.sp.se TimeSyncServer2=dns:ntp2.sp.se TimeSyncInterval=86400
Web Interface Slectionnez System > Date and Time (Systme > Date et heure). Cochez la case Enable time synchronization (Autoriser la synchronisation du temps) Saisissez : Time Server Type (type de serveur horaire) : SNTP
57
Fondamentaux
Primary Time Server (serveur horaire primaire) : ntp1.sp.se Secondary Time Server (serveur horaire secondaire) : ntp2.sp.se Cliquez sur OK.
Remarque
Si le paramtre TimeSyncInterval nest pas spcifi lorsque linterface de ligne de commande est utilise pour paramtrer lintervalle de synchronisation, la valeur par dfaut de 86 400 secondes (1 jour) est applique.
Exemple 3.24. Dclenchement manuel de la synchronisation du temps

Vous pouvez dclencher la synchronisation du temps via linterface de ligne de commande. Le rsultat ci-dessous montre une rponse typique. Interface de ligne de commande
gw-world:/> time -sync Attempting to synchronize system time... Server time: 2007-02-27 12:21:52 (UTC+00:00) Local time: 2007-02-27 12:24:30 (UTC+00:00) (diff: 158) Local time successfully changed to server time.
Rglage du temps maximum. Pour viter les situations o un serveur horaire dfectueux provoque la mise jour de lhorloge avec une heure extrmement imprcise, vous pouvez paramtrer une valeur de rglage maximale (en secondes). Si la diffrence entre lheure actuelle de NetDefendOS et lheure reue partir dun serveur horaire est suprieure cette valeur de rglage maximale, alors la rponse du serveur horaire sera rejete. Supposons par exemple que la valeur de rglage maximale est de 60 secondes et que lheure actuelle de NetDefendOS est 16 h 42 min 35 s. Si la rponse dun serveur horaire est 16 h 43 min 38 s, alors la diffrence est de 63 secondes. Cette valeur est suprieure la valeur de rglage maximale donc aucune mise jour nest effectue pour cette rponse.
Exemple 3.25. Modification de la valeur de rglage maximale

gw-world:/> set DateTime TimeSyncMaxAdjust=40000
Web Interface Slectionnez System > Date and Time (Systme > Date et heure). Pour dfinir le dcalage de temps maximal quun serveur est autoris ajuster, entrez la dure maximale en secondes quun serveur est autoris ajuster. Cliquez sur OK. Il peut parfois tre ncessaire de remplacer le rglage maximal, par exemple lorsque la synchronisation du temps vient juste dtre active et que la diffrence de dure initiale est suprieure la valeur de rglage maximale. Il est alors possible de forcer manuellement une synchronisation et dignorer le paramtre de rglage maximal.
Exemple 3.26. Forcer la synchronisation du temps

Cet exemple dmontre comment forcer la synchronisation du temps, en remplaant le paramtre de rglage maximal. Interface de ligne de commande
gw-world:/> time -sync -force
Intervalles de synchronisation. Lintervalle entre chaque tentative de synchronisation peut tre ajust si ncessaire. La valeur par dfaut est de 86 400 secondes (1jour), ce qui signifie que le processus de synchronisation
58
Fondamentaux
sexcute une fois toutes les 24 heures. Serveurs horaires D-Link. Lutilisation des serveurs horaires propres D-Link est une option de NetDefendOS ; cest la mthode prconise pour synchroniser lhorloge du firewall. Ces serveurs communiquent avec NetDefendOS via le protocole SNTP. Lorsque loption serveur D-Link est slectionne, un ensemble de valeurs prdfinies sont utilises pour la synchronisation.
Exemple 3.27. Activation du serveur D-Link NTP

Pour activer lutilisation du serveur D-Link NTP : Interface de ligne de commande
gw-world:/> set DateTime TimeSynchronization=D-Link
Web Interface Slectionnez System > Date and Time (Systme > Date et heure). Slectionnez le bouton radio D-Link TimeSync Server. Cliquez sur OK. Comme mentionn ci-dessus, il est important de configurer un serveur DNS externe pour que les URL du serveur horaire D-Link puissent tre traduites durant le processus daccs.
Recherche DNS
Un serveur DNS peut traduire un Fully Qualified Domain Name (FQDN) en adresse IP numrique correspondante. Les FQDN sont des noms de domaines textuels non ambigus qui spcifient une position de nud unique dans larbre hirarchique du Systme de Noms de Domaines (DNS) Internet. La rsolution FQDN autorise la modification de ladresse IP physique relle tandis que le FQDN peut rester identique. La diffrence entre une URL (Uniform Resource Locator) et un FQDN est que lURL intgre, outre le FQDN, le protocole daccs. Le protocole http//: peut par exemple tre spcifi pour les pages du World Wide Web. Les FQDN sont utiliss dans de nombreux aspects dune configuration NetDefendOS o les adresses IP sont inconnues ou lorsquil savre plus judicieux dutiliser la rsolution DNS la place des adresses IP statiques. Pour raliser la rsolution DNS, NetDefendOS possde un client DNS intgr qui peut tre configur pour utiliser jusqu trois serveurs DNS.
Exemple 3.28. Configuration des serveurs DNS

Dans cet exemple, le client DNS est configur pour utiliser un serveur DNS primaire et un serveur DNS secondaire, possdant respectivement les adresses 10.0.0.1 et 10.0.0.2. Interface de ligne de commande
gw-world:/> set DNS DNSServer1=10.0.0.1 DNSServer2=10.0.0.2
Web Interface Slectionnez System > DNS (Systme > DNS). Saisissez les paramtres suivants : Primary DNS (DNS principal) : 10.0.0.1 Secondary DNS (DNS secondaire) : 10.0.0.2
59
Fondamentaux
Cliquez sur OK.
60
Chapitre 4. Routage
Le prsent chapitre dcrit comment configurer le routage IP sous NetDefendOS.
Prsentation
Les fonctionnalits de routage IP font partie des possibilits les plus fondamentales de NetDefendOS : tout paquet IP qui navigue dans le systme est soumis au moins une dcision de routage un moment donn et une configuration adapte du routage est cruciale pour que le systme de NetDefendOS fonctionne comme prvu. NetDefendOS prend en charge les types de mcanismes de routage suivants : Routage statique. Routage dynamique. De plus, NetDefendOS prend en charge la surveillance du routage pour accomplir le routage et la redondance des liens avec possibilit de fail-over (basculement).
Routage statique
Le Routage statique constitue la forme de routage la plus basique. Le terme statique se rapporte au fait que les entres de la table de routage sont ajoutes manuellement et sont donc permanentes (ou statiques) de nature. Cette approche manuelle fait du routage statique la mthode la plus approprie aux plus petits dploiements de rseaux, au sein desquels les adresses sont presque toutes fixes et o le nombre de rseaux connects sont limits. Cependant, pour des rseaux plus tendus (ou bien lorsque la topologie du rseau est complexe), les tches de maintenance manuelle des tables de routage statique seraient trop longues et problmatiques. Dans ces cas de figure, le routage dynamique est donc recommand. Pour plus dinformations sur les capacits de routage dynamique de NetDefendOS, veuillez consulter la section intitule Routage dynamique . Notez cependant que mme si vous choisissez de dployer un routage dynamique pour votre rseau, vous devez quand mme comprendre les principes du routage statique et la manire dont il sapplique NetDefendOS.
Principes de base du routage

Le routage IP est le mcanisme utilis dans les rseaux TCP/IP pour transmettre les paquets IP de leur source jusqu leur destination, en passant par de nombreux nuds intermdiaires, le plus souvent dsigns comme des routeurs ou des firewalls. Dans chaque routeur, une table de routage indique o le prochain paquet doit tre envoy. Une table de routage se compose gnralement de plusieurs routes. Chaque route contient en principe un rseau de destination, une interface vers laquelle transfrer le paquet et ventuellement ladresse IP de la prochaine passerelle se trouvant sur le chemin de la destination. Les images ci-dessous illustrent le dploiement typique dun firewall D-Link, ainsi que la reprsentation de la table de routage associe. Route n 1 2 3 4 Interface lan dmz wan wan Destination 192.168.0.0/24 10.4.0.0/16 195.66.77.0/24 all-nets (tout rseau) 195.66.77.4 Passerelle
La table de routage ci-dessus fournit les informations suivantes : Route n1 : tous les paquets allant vers les htes du rseau 192.168.0.0/24 doivent tre envoys via linterface lan. Comme aucune passerelle nest spcifie pour cette route, lhte est suppos se situer sur le segment du rseau ddi linterface lan.
61
Routage
Route n2 : tous les paquets allant vers les htes du rseau 10.4.0.0/16 doivent tre envoys via linterface dmz. De mme, aucune passerelle nest spcifie pour cette route. Route n3 : tous les paquets allant vers les htes du rseau 195.66.77.0/24 sont envoys via linterface wan. Aucune passerelle nest requise pour atteindre les htes. Route n4 : tous les paquets allant vers nimporte quel hte (all-nets correspond tous les htes) sont envoys via linterface wan vers les passerelles dont ladresse IP est 195.66.77.4. Cette passerelle va donc consulter sa table de routage pour savoir o transmettre les paquets. Une route dont la destination est all-nets (tout rseau) est souvent considre comme la route par dfaut puisquelle va correspondre tous les paquets pour lesquels aucune route spcifique na t dtermine. Lors de lvaluation dune table de routage, lordre des routes est important. En gnral, les routes les plus spcifiques dune table de routage sont values en premier. En dautres termes, si deux routes ont des rseaux de destination qui se chevauchent, le rseau le plus limit sera valu en premier par rapport un rseau plus tendu. Dans lexemple ci-dessus, un paquet dont ladresse IP de destination est 192.168.0.4 correspond thoriquement la premire et la dernire route. Cependant, la premire route correspond davantage. Lvaluation sarrte donc ici et le paquet est transmis en fonction de cette donne.
Routage statique
Cette section dcrit comment le routage est appliqu dans NetDefendOS et prsente la manire de configurer le routage statique. NetDefendOS prend en charge plusieurs tables de routage. Une table par dfaut appele main est prdfinie et est toujours prsente dans NetDefendOS. Cependant, ladministrateur peut dfinir des tables de routage supplmentaires et compltement indpendantes pour bnficier dun routage alternatif. Ces tables de routage supplmentaires dfinies par lutilisateur sont utiles pour mettre en uvre un Policy Based Routing (routage bas sur des rgles). Ceci signifie que ladministrateur peut tablir des rgles dans lensemble de rgles IP qui dterminent quelles tables de routage se chargeront de quel type de trafic (voir la section intitule Routage bas sur des rgles ). Le mcanisme de Route lookup (recherche de route). Le mcanisme de Route lookup (recherche de route) de NetDefendOS prsente quelques diffrences par rapport au mode de fonctionnement dautres routeurs. Pour beaucoup de routeurs chez lesquels les paquets IP sont transfrs sans contexte (cest--dire que le transfert est dpourvu dtat), la table de routage est analyse chaque fois que le routeur reoit un paquet IP. Dans NetDefendOS, les paquets sont transmis pourvus dun tat. Le processus de recherche de route est donc troitement intgr dans le mcanisme dinspection dynamique de NetDefendOS. Quand un paquet IP est reu sur nimporte laquelle des interfaces, la table de connexion est consulte pour vrifier si une connexion qui correspond au paquet reu nest pas dj tablie. Si une connexion existante est trouve, lentre de la table de connexion informe de la direction du paquet et vite ainsi toute recherche dans la table de routage. Cette solution est bien plus efficace que les recherches traditionnelles sur table de routage. Cest aussi lune des raisons qui explique les hautes performances de transmission de NetDefendOS. Si aucune connexion nest tablie, la table de routage est consulte. Il est important de comprendre que la recherche de route est effectue avant lvaluation des diffrentes sections de rgles. Ainsi, linterface de destination est connue au moment o NetDefendOS dcide si la connexion doit tre autorise ou ignore. Cette mthode permet un contrle plus fin des rgles de scurit. Dsignation des routes dans NetDefendOS. NetDefendOS dsigne les routes de manire lgrement diffrente par rapport la plupart des autres systmes, mais sa mthode est plus facile comprendre, ce qui peut viter les erreurs. Beaucoup dautres produits nutilisent pas linterface spcifique dans la table de routage, mais spcifient ladresse IP de linterface. La table de routage ci-dessous provient dun poste de travail Microsoft Windows XP :
==================================================================== Interface List 0x1 ........................... MS TCP Loopback interface 0x10003 ...00 13 d4 51 8d dd ...... Intel(R) PRO/1000 CT Network 0x20004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface ====================================================================
62
Routage
==================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.10 20 10.0.0.0 255.0.0.0 10.4.2.143 10.4.2.143 1 10.4.2.143 255.255.255.255 127.0.0.1 127.0.0.1 50 10.255.255.255 255.255.255.255 10.4.2.143 10.4.2.143 50 85.11.194.33 255.255.255.255 192.168.0.1 192.168.0.10 20 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.0.0 255.255.255.0 192.168.0.10 192.168.0.10 20 192.168.0.10 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.0.255 255.255.255.255 192.168.0.10 192.168.0.10 20 224.0.0.0 240.0.0.0 10.4.2.143 10.4.2.143 50 224.0.0.0 240.0.0.0 192.168.0.10 192.168.0.10 20 255.255.255.255 255.255.255.255 10.4.2.143 10.4.2.143 1 255.255.255.255 255.255.255.255 192.168.0.10 192.168.0.10 1 Default Gateway: 192.168.0.1 ==================================================================== Persistent Routes: None
La mme table de routage sous NetDefendOS ressemble ceci :

Flags Network Iface Gateway Local IP Metric ----- ------------------ -------- -------------- --------- -----192.168.0.0/24 lan 20 10.0.0.0/8 wan 1 0.0.0.0/0 wan 192.168.0.1 20
Le mode de dsignation des routes est plus facile lire et comprendre sous NetDefendOS. Un autre avantage de cette notation est que vous pouvez spcifier une passerelle pour une route particulire sans quune route ne couvre ladresse IP de la passerelle, ou malgr le fait que la route qui couvre ladresse IP de la passerelle passe normalement par une autre interface. Il convient aussi de mentionner que NetDefendOS vous permet de spcifier les routes pour des destinations qui ne sont pas alignes sur des masques de sous-rseau traditionnels. En dautres termes, il est parfaitement lgitime de spcifier une route pour les plages dadresses de destination comprises entre 192.168.0.5 et 192.168.0.17 et une autre route pour les adresses 192.168.18 192.168.0.254. Cette fonctionnalit rend NetDefendOS vraiment appropri au routage dans des topologies de rseau trs complexes. Affichage de la table de routage. Il est important de bien distinguer la table de routage active dans le systme et la table de routage que vous configurez. La table de routage que vous configurez ne contient que les routes que vous avez ajoutes manuellement (les routes statiques). Le contenu de la table de routage active, quant lui, varie selon plusieurs facteurs. Par exemple, si le routage dynamique a t activ, la table de routage sera alimente de routes connues lors des changes avec les autres routeurs du rseau. De plus, les fonctionnalits telles que le fail-over (basculement) des routes modifient parfois lapparence de la table de routage active.
Exemple 4.1. Affichage de la table de routage

Cet exemple indique comment afficher le contenu de la table de routage configure et de la table de routage active. Interface de ligne de commande Pour afficher la table de routage configure :
gw-world:/> cc RoutingTable main gw-world:/main> show Route # 1 2 3 Interface Network Gateway Local IP --------- -------- ------------- -------wan all-nets 213.124.165.1 (none) lan lannet (none) (none) wan wannet (none) (none)
Pour afficher la table de routage active, saisissez :
63
Routage
gw-world:/> routes Flags Network Iface Gateway Local IP Metric ----- ------------------ -------------- --------------- --------------- -----192.168.0.0/24 lan 0 213.124.165.0/24 wan 0 0.0.0.0/0 wan 213.124.165.1 0
Interface Web Pour afficher la table de routage configure : Slectionnez Routing > Routing Tables (Routage > Tables de routage). Cliquez avec le bouton droit de la souris sur la table de routage principale (main) figurant dans la liste. Dans le menu, slectionnez Edit (Modifier). La fentre principale rpertorie les routes configures. Pour afficher la table de routage active, slectionnez llment Routes dans le menu droulant Status (tat) de la barre de menu. La fentre principale affiche la table de routage active. Routes du noyau. NetDefendOS alimente automatiquement la table de routage active avec les routes du noyau. Ces routes ont pour but dindiquer au systme o diriger le trafic qui est destin au systme lui-mme. Une route est ajoute pour chaque interface du systme. En dautres termes, deux interfaces nommes lan et wan, dont les adresses IP sont respectivement 192.168.0.10 et 193.55.66.77, vont crer les routes suivantes : Route n 1 2 Interface noyau noyau Destination 192.168.0.10 193.55.66.77 Passerelle
Lorsque le systme reoit un paquet IP dont ladresse de destination est lune des adresses IP des interfaces, le paquet sera achemin vers linterface du noyau. En dautres termes, le traitement est assur par NetDefendOS lui-mme. Une route du noyau est aussi ajoute pour toutes les adresses multidiffusion : Route n 1 Interface noyau Destination 224.0.0.0/4 Passerelle
Pour inclure les routes du noyau lorsque vous affichez la table de routage active, vous devez spcifier une option dans la commande de routage.
Exemple 4.2. Affichage des routes du noyau

Cet exemple indique comment afficher les routes du noyau dans la table de routage active. Interface de ligne de commande
gw-world:/> routes -all Flags Network Iface Gateway Local IP Metric ----- ------------------ -------------- --------------- --------------- -----127.0.0.1 core (Shared IP) 0 192.168.0.1 core (Iface IP) 0 213.124.165.181 core (Iface IP) 0 127.0.3.1 core (Iface IP) 0 127.0.4.1 core (Iface IP) 0 192.168.0.0/24 lan 0 213.124.165.0/24 wan 0 224.0.0.0/4 core (Iface IP) 0 0.0.0.0/0 wan 213.124.165.1 0
Interface Web Slectionnez llment Routes dans le menu droulant Status (tat) de la barre de menu.
64
Routage
Cochez Show all routes (Afficher toutes les routes), puis cliquez sur le bouton Apply (Appliquer). La fentre principale affiche la table de routage active, y compris les routes du noyau.
Conseil
Pour plus dinformations sur la restitution des commandes de routage de linterface de ligne de commande, veuillez consulter le CLI Reference Guide (Guide de rfrence sur linterface de ligne de commande).
Basculement de route
Prsentation. Les firewalls D-Link sont souvent dploys dans des endroits critiques o leur disponibilit et leur connectivit sont cruciales. Par exemple, une socit dont le fonctionnement repose massivement sur laccs Internet, peut voir ses activits gravement interrompues si une connexion lInternet choue. Par consquent, il est frquent davoir une connexion Internet de secours en faisant appel un Fournisseur dAccs Internet (FAI) secondaire. Les accs Internet des deux FAI utilisent souvent des mthodes de connexion diffrentes pour prvenir tout point commun dchec. Pour simplifier les scnarios tels que les multiples FAI, NetDefendOS offre une fonctionnalit de failover (basculement) de route. Ainsi, si une route choue, le trafic sera automatiquement bascul vers une route alternative. La fonctionnalit de fail-over (basculement) de route de NetDefendOS sapplique avec la fonctionnalit de surveillance du routage, par laquelle NetDefendOS surveille la disponibilit des routes et commute le trafic sur une route alternative en cas dchec de la route principale.
Figure 4.1. Scnario de basculement de route pour un accs ISP
Configuration du basculement de route. La surveillance du routage doit tre active route par route . Pour activer la fonction de basculement de route dans un scnario comportant une route prfre et une route de sauvegarde, il faut activer la surveillance du routage sur la route prfre. Cette fonction na pas besoin dtre active sur la route de sauvegarde puisque aucune route ne lui est associe pour tout basculement. Pour une route dont la surveillance du routage est active, vous devez choisir parmi deux mthodes de surveillance : Interface Link Status (tat de liaison de linterface) NetDefendOS surveille ltat de liaison de linterface spcifie sur la route. Tant que linterface est active, la route apparat comme tant en bon tat de fonctionnement. Cette mthode permet de vrifier que linterface est attache physiquement et que le cblage fonctionne correctement. Cette mthode a la rponse lchec la plus rapide, puisque tout changement de ltat de liaison est tout de suite notifi. Gateway Monitoring (Surveillance des passerelles) Si une passerelle spcifique a t spcifie comme tant le prochain saut pour une route, la surveillance de laccessibilit de cette passerelle se fait par envoi priodique de requtes ARP. Tant que la passerelle rpond ces requtes, la route apparat comme tant en bon tat de
65
Routage
fonctionnement. Configuration de la mtrique dune route. Lors de la spcification des routes, ladministrateur doit configurer manuellement une mtrique des routes. La mtrique est un entier positif qui indique une prfrence dans le choix de la route emprunter vers la destination donne. Lorsque deux routes conduisent la mme destination, NetDefendOS slectionne celle qui possde la valeur mtrique la plus basse pour envoyer les donnes (si les deux routes ont la mme mtrique, la route trouve en premier dans la table de routage sera emprunte). Une route principale prfre doit avoir une mtrique basse (par exemple 10 ) et une route secondaire de basculement doit avoir une mtrique plus leve (par exemple 20 ). Routes de basculement multiples. Il est possible de spcifier plusieurs routes de basculement. Par exemple, il est possible dassocier une route principale deux routes de basculement au lieu dune seule. Dans ce cas, la mtrique doit tre diffrente pour chacune des trois routes. Par exemple : 10 pour la route principale, 20 pour la premire route de basculement et 30 pour la seconde route de basculement. La surveillance du routage doit tre active dans la table de routage pour les deux premires routes, mais pas pour la dernire (avec la mtrique la plus leve) puisquelle na pas de route associe vers laquelle basculer. Processus de basculement. Lorsque la surveillance dtermine quune route nest pas disponible, NetDefendOS marque la route comme dsactive et inspecte le basculement de route pour rechercher de nouvelles connexions ou des connexions existantes. Dans le cas de connexions dj tablies, une recherche de route est effectue pour dterminer la prochaine route qui correspond le mieux. Les connexions commutent alors vers la nouvelle route. Dans le cas de nouvelles connexions, la recherche de route ignore les routes dsactives et la prochaine route qui correspond le mieux est emprunte leur place. Le tableau ci-dessous dfinit deux routes par dfaut. Elles ont toutes deux une destination Tout rseau , mais nutilisent pas la mme passerelle. La premire, la route principale, a la mtrique la plus basse. La surveillance du routage est active. Pour la seconde, la route alternative, la surveillance du routage nest pas ncessaire puisque aucune route de basculement ne lui est associe. Route n 1 2 Interface wan wan Destination Tout rseau Tout rseau Passerelle 195.66.77.1 193.54.68.1 Mtrique 10 20 Surveillance Active Dsactive
Lorsquune connexion vers un hte sur Internet est sur le point dtre tablie, la recherche de route choisira la route qui a la mtrique la plus basse. Si le routeur principal WAN choue, NetDefendOS le dtectera et la premire route sera dsactive. Par consquent, une nouvelle recherche de route est effectue et la seconde route est slectionne. Ractivation des routes. Mme si une route a t dsactive, NetDefendOS continuera de vrifier son tat. Si la route est de nouveau disponible, elle sera ractive et les connexions existantes lui seront automatiquement r-attribues. Groupement de linterface de routage. Lors de lutilisation de la surveillance du routage, il est important de vrifier si le fail-over (basculement) vers une autre route provoquera des modifications dans linterface de routage. Au vu de cette possibilit, il est ncessaire de prendre quelques prcautions pour sassurer que les rgles et les connexions existantes seront maintenues. Pour illustrer ce problme, analysez la configuration suivante : Dabord, une rgle IP traduit les adresses rseau (NAT) de tout le trafic HTTP destination de lInternet par linterface wan : # 1 Action NAT Interface source lan Rseau source lannet Interface destination wan de Rseau de Paramtres destination Tout rseau http
Par consquent, la table de routage contient la route par dfaut suivante : Route n Interface Destination Passerelle Mtrique Surveillance
66
Routage
Route n 1
Interface wan
Destination Tout rseau
Passerelle 195.66.77.1
Mtrique 10
Surveillance Dsactive
On ajoute maintenant une route secondaire qui emprunte une connexion DSL de sauvegarde. La surveillance du routage est dsactive. La nouvelle table de routage ressemble ceci : Route n 1 2 Interface wan dsl Destination Tout rseau Tout rseau Passerelle 195.66.77.1 193.54.68.1 Mtrique 10 20 Surveillance Active Dsactive
Notez que la surveillance du routage est active pour la premire route et non pas pour la route de basculement de sauvegarde. Tant que la route wan prfre agira correctement, tout fonctionnera comme prvu. La surveillance du routage fonctionne galement, donc la route secondaire sera active si la route wan choue. Il existe cependant certains problmes avec cette configuration : si un basculement de route est effectu, la route par dfaut utilisera alors linterface dsl. Quand une nouvelle connexion HTTP est tablie depuis le rseau Internet, une recherche de route est effectue. Sa rponse est une interface de destination dsl. Les rgles IP sont donc values, mais la rgle NAT dorigine part du principe que linterface de destination est wan. La nouvelle connexion est donc ignore par lensemble de rgles. De plus, toute connexion existante qui correspond la rgle NAT est aussi ignore cause du changement dinterface de destination. Cette situation nest clairement pas souhaitable. Pour contourner ce problme, les interfaces de destination potentielles doivent tre regroupes dans un groupe dinterfaces et lindicateur de lquivalent scurit/transport doit tre activ pour ce groupe. Le groupe dinterfaces est dsormais utilis comme interface de destination lors de la configuration des rgles. Pour plus dinformations sur les groupes, veuillez consulter la section intitule Groupe dinterfaces . Gnration dARP gratuite. Par dfaut, NetDefendOS gnre une requte ARP gratuite lorsquun basculement de route survient, de sorte informer les systmes environnants quun changement de route a t effectu. Ce comportement peut tre contrl via le paramtre avanc RFO_GratuitousARPOnFail.
Proxy ARP
Comme expliqu prcdemment dans la section intitule ARP , le protocole ARP facilite le mappage entre une adresse IP et ladresse MAC dun nud sur un rseau Ethernet. Cependant, il arrive quun rseau excutant Ethernet soit divis en deux parties, avec un seul appareil de routage tel que le Firewall D-Link. Dans ce cas, NetDefendOS peut rpondre lui-mme aux requtes ARP diriges vers le rseau, vers la partie du firewall D-Link qui utilise la fonctionnalit connue sous le nom de proxy ARP. Par exemple, lhte A dun sous-rseau envoie une requte ARP pour trouver ladresse MAC de ladresse IP de lhte B sur un autre rseau spar. La fonctionnalit de proxy ARP suppose que NetDefendOS rponde cette requte ARP la place de lhte B. NetDefendOS envoie sa propre adresse MAC comme sil tait lhte de destination. Aprs rception de la rponse, lhte A envoie les donnes directement NetDefendOS qui, dans son rle de proxy, les transmettra vers lhte B. Durant cette procdure, lappareil peut examiner et filtrer les donnes. Diviser un rseau Ethernet en deux parties distinctes est une application courante dune fonctionnalit proxy ARP dun firewall D-Link. Laccs aux deux parties doit tre contrl. Dans ce cas, NetDefendOS peut surveiller et rguler tout le trafic transitant entre les deux parties.
Remarque
Seul le proxy ARP peut fonctionner pour les interfaces Ethernet et VLAN.
Routage bas sur des rgles

Prsentation
67
Routage
Le Policy-based Routing (Routage bas sur des rgles) est une extension du routage standard dcrit ci-dessus. Il offre aux administrateurs une flexibilit accrue lors de la mise en uvre de rgles de dcision de routage et permet de dfinir des rgles pour que les tables de routage alternatives soient utilises. Le routage normal transmet des paquets selon ladresse IP de destination drive de routes statiques ou dun protocole de routage dynamique. Par exemple, lors de lutilisation dOSPF, la route choisie pour les paquets est le chemin de plus bas cot (le plus court) driv dun calcul SPF. Le routage bas sur des rgles implique que les routes choisies pour le trafic peuvent tre bases sur des paramtres spcifiques de trafic. Le routage bas sur des rgles peut autoriser : Un routage bas sur la source Une table de routage supplmentaire peut tre ncessaire, selon la source du trafic. Quand les services Internet sont assurs par plusieurs FAI, le routage bas sur des rgles peut router le trafic provenant de diffrents groupes dutilisateurs au travers de diffrentes routes. Par exemple, le trafic provenant dune catgorie dadresses peut tre rout par un FAI et le trafic provenant dune autre catgorie dadresses rout par un autre FAI. Une table de routage supplmentaire peut tre ncessaire, en fonction du service. Le routage bas sur des rgles peut router un protocole donn tel que le HTTP travers des proxys tels que les caches Web. Les services spcifiques peuvent galement tre routs vers un FAI spcifique de sorte que lensemble du trafic HTTP soit gr par un seul FAI.
Un routage bas sur le service
Un routage bas sur lutilisateur Une table de routage supplmentaire peut tre ncessaire, selon lidentit de lutilisateur ou le groupe auquel lutilisateur appartient. Cette solution est particulirement utile dans des rseaux mtropolitains fournisseur indpendant, o tous les utilisateurs partagent le mme cur de rseau actif, mais o chacun peut choisir un FAI diffrent en souscrivant des fournisseurs diffrents. La mise en application du routage bas sur des rgles dans NetDefendOS a deux fondements : Une ou plusieurs Policy-based Routing Tables (Tables de routage bases sur des rgles), alternatives et dfinies par lutilisateur, en complment de la table de routage principale standard par dfaut. Une ou plusieurs Policy-based routing rules (Rgles de routage), qui dterminent quelle table de routage est utiliser pour quel trafic.
Tables de routage bases sur des rgles

NetDefendOS dispose dune table de routage standard par dfaut, appele main . En plus de cette table principale, il est possible de dfinir une ou plusieurs tables de routage alternatives supplmentaires (les tables de routage bases sur des rgles sont parfois appeles tables de routage alternatives dans la prsente section). Les tables de routage alternatives contiennent les mmes informations de dsignation des routes que la table de routage main , lexception dun paramtre supplmentaire ordering dfini pour chacune delles. Ce paramtre dtermine la manire dont est effectue la recherche de route laide des tables alternatives et de la table principale. Ce procd est dcrit plus loin, dans la section intitule Le paramtre Ordering .
Rgles de routage
Une rgle parmi lensemble de rgles de routage peut dterminer quelle est la table de routage utiliser. Une rgle de routage peut tre dclenche par le type de service (HTTP par exemple) conjointement avec linterface source ou de destination et le rseau source ou de destination. Lors dune recherche dans les rgles, cest la premire rgle correspondante trouve qui est active.
Slection de la table de routage base sur des rgles

Lorsquun paquet qui correspond une nouvelle connexion arrive, la table de routage est choisie de la manire
68
Routage
suivante : Une recherche dans les rgles de PBR doit tre effectue, mais il faut pour cela que linterface de destination du paquet soit dtermine, ce qui suppose une recherche dans la table de routage main . Il est donc important quune correspondance soit trouve pour le rseau de destination ou au moins quune route tout rseau par dfaut existe, qui pourrait sassocier tous les lments pour lesquels aucune correspondance explicite na t trouve. Une rgle de routage est ensuite recherche, qui correspond linterface source ou de destination du paquet, au rseau source ou de destination du paquet ainsi qu son service. Si une rgle correspondante est trouve, la table de routage utiliser est dtermine. Si aucune rgle en PRB nest trouve, la table main sera dans ce cas utilise. Une fois que la table de routage correspondante a t localise, le systme vrifie ladresse IP source afin de sassurer quelle appartient bien linterface rceptrice. Les rgles daccs sont dabord examines pour voir si elles peuvent effectuer cette vrification (pour plus dinformations sur cette fonctionnalit, consultez la section intitule Rgles daccs ). Sil ny a aucune rgle daccs ou quaucune correspondance avec les rgles ne peut tre trouve, une recherche inverse est effectue dans la table de routage slectionne laide de ladresse IP source. Si la vrification choue, un message derreur de rgle daccs par dfaut est alors gnr. cet instant, la recherche de route est effectue partir de la table de routage slectionne pour dterminer linterface de destination du paquet. Le paramtre ordering est utilis pour dterminer la procdure de recherche relle. Les options de cette procdure sont dcrites dans la section suivante. Pour mettre en uvre des systmes virtuels, loption dordering Only doit tre utilise. La connexion est alors soumise lensemble de rgles IP normal. Si une rgle SAT est rencontre, une traduction dadresses sera effectue. Le choix de la table utiliser est effectu avant la traduction dadresses et la recherche de route est effectue avec la nouvelle adresse. Notez que la recherche de route dorigine permettant de trouver linterface de destination utiliser pour toutes les recherches de rgles tait effectue avec ladresse originale non traduite.) Si lensemble de rgles IP le permet, la nouvelle connexion est ouverte dans la table dtat de NetDefendOS et le paquet est transmis par cette connexion.
Le paramtre Ordering
Une fois la table de routage de la nouvelle connexion slectionne et sil sagit dune table de routage alternative, le paramtre Ordering associ la table en question est utilis pour dcider de la manire elle doit tre combine avec la table de routage principale pour rechercher la route approprie. Les trois options disponibles sont : Default (Par dfaut) : le comportement par dfaut consiste rechercher dabord la route dans la table principale. Si aucune route correspondante nest trouve ou que la route par dfaut est trouve (la route avec la destination tout rseau 0.0.0.0/0), la recherche est poursuivie dans la table alternative. Si aucune correspondance nest trouve dans la table alternative, la route par dfaut de la table de routage principale sera utilise. First (En premier) : ce comportement implique de rechercher dabord la route de connexion dans la table alternative. Si aucune route correspondante nest trouve, la recherche est poursuivie dans la table principale. Dans le cas contraire, la route tout rseau par dfaut sera comptabilise comme correspondance dans la table alternative. Only (Uniquement) : cette option ignore lexistence de toute autre table que la table alternative. Ainsi, la recherche nest effectue que sur cette table. Une des applications de cette option est de permettre ladministrateur de ddier une table de routage un ensemble dinterfaces. Loption only (Uniquement) est utilise pour crer des systmes virtuels, puisquelle peut ddier une table de routage un ensemble dinterfaces. Les deux premires options peuvent tre vues comme une combinaison de la table alternative et de la table principale, qui assigne une route si une correspondance est trouve dans chacune des deux tables.
Important : apparition de la destination tout rseau dans la table principale

69
Routage
Une erreur courante avec le routage bas sur des rgles est labsence de route par dfaut avec une interface de destination tout rseau dans la table de routage principale. Sil nexiste aucune correspondance exacte, labsence dune route tout rseau par dfaut implique lchec de la connexion.
Exemple 4.3. Cration dune table de routage base sur des rgles
Dans cet exemple, nous crons une table de routage base sur des rgles appele TestPBRTable . Interface Web Slectionnez Routing > Routing Tables > Add > RoutingTable (Routage > Tables de routage > Ajouter > Table de routage). Entrez : Name (Nom) : TestPBRTable Pour lOrdering, slectionnez lune des options suivantes : First (En premier) : la table de routage cre est consulte en premier. Si cette recherche choue, elle se poursuivra dans la table de routage principale. Default (Par dfaut) : la table de routage principale est consulte en premier. Si la seule correspondance est la route par dfaut (tout rseau), la table de routage cre sera consulte. Si la recherche dans la table de routage cre choue, alors la recherche dans son intgralit aura chou. Only (Uniquement) : la table de routage cre est la seule tre consulte. Si cette recherche choue, elle ne se poursuivra pas dans la table de routage principale. Si loption Remove Interface IP Routes (Supprimer les routes IP de linterface) est active, les routes de linterface par dfaut sont supprimes, cest--dire les routes diriges vers linterface du noyau (qui sont des routes vers NetDefendOS lui-mme). Cliquez sur OK.
Exemple 4.4. Cration de la route

Aprs avoir dfini la table de routage TestPBRTable , nous allons prsent lui ajouter des routes. Interface Web Slectionnez Routing > Routing Tables > TestPBRTable > Add > Route (Routage > Tables de routage > TestPBRTable > Ajouter > Route). Entrez : Interface : linterface router. Network (Rseau) : le rseau router. Gateway (Passerelle) : la passerelle vers laquelle envoyer les paquets. Local IP Address (Adresse IP locale) : ladresse IP spcifie ici est automatiquement publie sur linterface correspondante. Cette adresse est aussi utilise comme adresse denvoi pour les requtes ARP. Si aucune adresse nest spcifie, ladresse IP de linterface du firewall sera utilise. Metric (Mtrique) : spcifie la mtrique de cette route (Plus particulirement utilise lors de scnarios de basculement de routes. Cliquez sur OK.
Exemple 4.5 Configuration du routage bas sur des rgles
70
Routage
Cet exemple illustre un scnario de FAI multiples, o il est normal dutiliser un routage bas sur des rgles. On considre que : Chaque FAI vous donne un rseau IP de sa propre gamme de rseaux. Considrons un scnario deux FAI, o le rseau 10.10.10.0/24 appartient au FAI A et le rseau 20.20.20.0/24 appartient au FAI B. Les passerelles des FAI sont respectivement 10.10.10.1 et 20.20.20.1. Pour plus de facilit, toutes les adresses de ce scnario sont des adresses publiques. Ceci est une structure simplissime : il ny a pas de sous-rseau explicite entre les passerelles des FAI et le firewall D-Link. Dans un rseau indpendant de tout fournisseur daccs, les clients auront probablement une adresse IP qui appartient un des FAI. Dans un scnario organisation unique, des serveurs accessibles au public seront configurs avec deux adresses IP spares : une pour chaque FAI. Cependant, cette diffrence importe peu pour la configuration des rgles de routage. Notez que pour cette organisation unique, la connexion Internet fournie par plusieurs FAI est normalement meilleure via le protocole BGP, qui permet de ne plus se soucier des diffrentes plages dadresses IP et des rgles de routage. Cette solution nest malheureusement pas toujours possible, cest pourquoi le routage bas sur des rgles devient une ncessit. Nous allons configurer la table de routage principale pour utiliser le FAI A et ajouter une table de routage r2 qui utilise la passerelle par dfaut du FAI B. Interface lan1 lan1 wan1 wan2 wan1 Rseau 10.10.10.0/24 20.20.20.0/24 10.10.10.1/32 20.20.20.1/32 Tout rseau 10.10.10.1 Passerelle Proxy ARP wan1 wan2 lan1 lan1
Voici le contenu de la table de routage base sur des rgles r2 : Interface wan2 Rseau Tout rseau Passerelle 20.20.20.1
Le paramtre Ordering de la table r2 est dfini sur Default (Par dfaut), ce qui implique quelle sera consulte si la recherche dans la table de routage principale trouve la route par dfaut (tout rseau). Voici le contenu des rgles de routage : Interface source lan1 wan2 Plage source Interface destination lan1 de Plage destination Tout rseau 20.20.20.0/24 de Service Table de Table de transfert VR retour VR TOUS TOUS r2 r2 r2 r2
10.10.10.0/24 wan2 Tout rseau
Pour configurer ce scnario : Interface Web Ajoutez les routes trouves dans la liste des routes de la table de routage principale, comme montr prcdemment. Crez une table de routage nomme r2 et assurez-vous que le paramtre ordering est dfini sur Default (Par dfaut). Ajoutez la route trouve dans la liste des routes de la table de routage r2 , comme montr prcdemment.
71
Routage
Ajoutez deux rgles VR selon la liste des rgles montre prcdemment. Slectionnez Routing > Routing Rules > Add > Routing Rule (Routage > Rgles de routage > Ajouter > Rgle de routage). Entrez les informations trouves dans la liste des rgles affiche prcdemment. Rptez la procdure pour ajouter la deuxime rgle.
Remarque
Les rgles de lexemple ci-dessus sont ajoutes pour les connexions entrantes et sortantes.
Routage dynamique.
Prsentation du routage dynamique
Le routage dynamique est diffrent du routage statique en ce sens que le firewall D-Link sadapte automatiquement aux changements de topologie du rseau et son trafic. NetDefendOS senquiert dabord auprs des rseaux connects directement, puis cherche des informations supplmentaires sur la route auprs des autres routeurs. Les routes dtectes sont classes et celles qui conviennent le mieux pour les destinations sont ajoutes dans la table de routage. Ces informations sont ensuite envoyes vers les autres routeurs. Le routage dynamique rpond instantanment aux mises jour, mais il prsente linconvnient dtre plus prdispos certains problmes tels que les boucles de routage. Sur Internet, deux types dalgorithmes de routage dynamique sont utiliss : lalgorithme Distance Vector (DV) et lalgorithme Link State (LS). Le type dalgorithme choisi dtermine la procdure suivie par le routeur pour slectionner la route optimale ou la meilleure et pour partager les informations mises jour avec dautres routeurs. Algorithmes Distance Vector. Lalgorithme Distance Vector (DV) est un algorithme de routage dcentralis qui calcule le meilleur chemin en rpartissant le travail. Chaque routeur calcule les cots de ses propres liens attachs et partage les informations de la route uniquement avec ses routeurs voisins. Le routeur va petit petit senqurir du chemin le moins coteux grce un procd de calcul itratif et dchange dinformations avec ses voisins. Le RIP (Protocole dInformation de Routage) est un algorithme DV bien connu qui implique lenvoi rgulier de messages de mise jour, ainsi que lenvoi des modifications de routage vers la table de routage. Le choix du chemin est bas sur sa longueur , cest--dire le nombre de routeurs intermdiaires (connu aussi sous le nom de pas ). Aprs avoir mis jour sa propre table de routage, le routeur commence immdiatement la transmettre aux routeurs voisins pour les informer des modifications. Algorithmes Link State. Contrairement aux algorithmes DV, les algorithmes Link State (LS) permettent aux routeurs de conserver des tables de routage qui refltent la topologie du rseau entier. Chaque routeur diffuse ses liens attachs et leur cot vers tous les autres routeurs du rseau. Quand un routeur reoit ces informations, il excute lalgorithme LS et calcule son propre ensemble de chemins moindre cot. Toute modification de ltat du lien sera envoy partout sur le rseau, afin que tous les routeurs aient les mmes informations sur la table de routage. Open Shortest Path First. LOpen Shortest Path First (OSPF) est un logarithme LS largement utilis. Un routeur compatible OSPF identifie en premier les routeurs et les sous-rseaux qui y sont directement connects, puis diffuse ces informations vers tous les autres routeurs. Chaque routeur utilise les informations quil reoit pour construire une table reprsentant lintgralit du rseau. Avec une table de routage complte, chaque routeur peut identifier les sous-rseaux et les routeurs qui conduisent nimporte quelle destination. Les routeurs qui utilisent lOSPF diffusent uniquement les mises jour qui informent dune modification, et non pas lintgralit de la table de routage. LOSPF dpend de plusieurs mtriques pour dterminer le chemin emprunter. Il prend aussi en compte les pas, la bande passante, le trafic et les dlais. LOSPF peut garantir un grand contrle sur le processus de routage puisque ses paramtres peuvent tre dfinis avec une grande prcision. Comparaison des algorithmes de routage dynamique. Puisque linformation sur ltat global du lien est envoye partout sur le rseau, les algorithmes LS offrent un haut degr de contrle de configuration et dvolutivit. Les changements entranent la diffusion vers dautres routeurs de linformation mise jour
72
Routage
uniquement, ce qui implique une convergence plus rapide et moins de risques de boucles de routage. LOSPF peut aussi fonctionner au sein dune hirarchie, bien que le RIP ne soit pas familier avec ladressage du sous-rseau. NetDefendOS utilise lOSPF comme algorithme de routage dynamique pour les multiples avantages quil offre. Mtriques de routage. Les mtriques de routage sont les critres quun algorithme de routage utilise pour calculer la meilleure route vers une destination. Un protocole de routage repose sur une ou plusieurs mtriques pour valuer les liens au travers dun rseau et dterminer le chemin optimal. Les principales mtriques utilises incluent : Path length (Longueur du chemin) La somme des cots associs chaque lien. Une des valeurs communment utilises pour cette mtrique est appele hop count (dcompte de pas). Elle reprsente le nombre dappareils de routage quun paquet doit traverser entre sa source et sa destination. Item Bandwidth (Bande passante de llment) Load (Charge) Delay (Dure) La capacit de trafic dun chemin, mesur en Mbps .
Lutilisation dun routeur. Elle peut tre value en fonction de lutilisation et du dbit du processeur. Le temps ncessaire pour transfrer un paquet de sa source sa destination. Cette dure dpend de plusieurs facteurs tels que la bande passante, la charge et la longueur du chemin.
OSPF
Prsentation. LOpen Shortest Path First (OSPF) est un protocole de routage dvelopp pour les rseaux IP par lIETF (Dtachement dIngnierie dInternet). Limplantation de lOSPF dans NetDefendOS se base sur la norme RFC 2328 et est compatible avec la norme RFC 1583. LOSPF route les paquets IP en se basant uniquement sur ladresse IP de destination trouve dans len-tte du paquet IP. Les paquets IP sont routs en ltat , cest--dire quils ne sont pas encapsuls dans des en-ttes de protocole supplmentaires lors de leur transit dans lAS (Systme Autonome). LOSPF est un protocole de routage dynamique qui dtecte rapidement les modifications topologiques dans lAS (tels que les checs dans linterface du routeur) et calcule les nouvelles routes dpourvues de boucles aprs une priode de temps. LOSPF est un protocole de routage link-state qui requiert lenvoi dannonces dtat de liens (LSA) vers tous les autres routeurs de la zone. Dans un protocole de routage link-state, chaque routeur entretient une base de donnes qui dsigne la topologie de lAS. Cette base de donnes est dnomme base de donnes link-state. Chaque routeur du mme AS possde une base de donnes identique. Grce aux informations de la base de donnes link-state, chaque routeur reprsente la base dun arbre des chemins les plus courts quil se construit lui-mme. Cet arbre des chemins les plus courts propose une route pour chaque destination dans lAS. LOSPF permet de regrouper diffrents rseaux : cest ce que lon appelle une zone. La topologie dune zone est cache du reste de lAS. Ce masquage des informations rduit limportance du trafic chang. De plus, le routage au sein mme de la zone est uniquement dtermin par sa propre topologie, ce qui protge la zone des mauvaises donnes de routage. Une zone est la gnralisation dun sous-rseau IP. Tous les changes du protocole OSPF peuvent tre authentifis. Ceci implique que seuls les routeurs qui sauthentifient correctement peuvent joindre lAS. Des schmas dauthentification diffrents peuvent tre utiliss, tels que none, passphrase ou MD5digest. Il est possible de configurer des mthodes dauthentification diffrentes pour chaque AS. Zones OSPF. LAS est divis en plus petites parties appeles Zones OSPF. Cette section dfinit les zones et les termes associs. Zones Une zone regroupe des rseaux et des htes au sein dun AS. Les routeurs qui ne font partie que dune zone sont appels routeurs internes. Toutes les interfaces des routeurs internes sont directement connects aux rseaux de la zone. La topologie dune zone est cache du reste de lAS. Les routeurs qui possdent des interfaces dans plusieurs zone sont appels ABR (Area Border Routers). Ceux-ci grent une base de donnes topologique diffrente pour chaque zone laquelle ils appartiennent.
ABR
73
Routage
ASBR
Les routeurs qui changent des informations de routage avec des routeurs appartenant dautres AS sont appels ASBR (Autonomous System Boundary Router). Ils indiquent au sein de lAS les routes quils dcouvrent lextrieur de la zone.
Zones de cur de rseau Tous les rseaux OSPF ont besoin dau moins une zone de cur de rseau, dont lID est 0. Il sagit de la zone laquelle toutes les autres zones doivent tre connectes. Ce cur de rseau assure la distribution des informations de routage parmi les zones connectes. Quand une zone nest pas directement connecte au cur de rseau, elle a besoin dtre lie virtuellement avec lui. Zone de stub Les zones de stub sont des zones par lesquelles ou dans lesquelles les annonces externes de lAS ne sont pas transmises. Quand une zone est configure comme une zone de stub, le routeur annonce automatiquement une route par dfaut afin que les routeurs de cette zone puissent atteindre des destinations extrieures. Les zones de transit sont utilises pour transfrer le trafic dune zone qui nest pas directement connecte la zone de cur de rseau.
Zones de transit
Le routeur ddi. Chaque rseau de diffusion OSPF possde un routeur ddi et un routeur ddi de sauvegarde. Les routeurs utilisent le protocole OSPF hello pour choisir le routeur ddi (DR) et le routeur ddi de sauvegarde (BDR) dun rseau, en se basant sur les priorits annonces par tous les routeurs. Sil y a dj un DR sur le rseau, le routeur lacceptera en dpit de ses propres priorits de routeurs. Voisins. Les routeurs qui appartiennent la mme zone deviennent voisins. Les voisins sont choisis via le protocole hello. Les paquets hello sont mis priodiquement par chaque interface qui utilise ladresse IP multidiffusion. Les routeurs deviennent voisins aussitt quils se voient rpertoris dans le mme paquet hello. De cette manire, deux moyens de communication sont garantis. Voici la dfinition des tats des voisins : Down Init Il sagir de ltat initial de la relation entre voisins. Lorsquun paquet HELLO est reu de la part dun voisin, mais quil ninclut PAS lID routeur du firewall, le voisin sera mis ltat Init. Aussitt que le voisin en question reoit un paquet HELLO, il connat les ID routeur des routeurs expditeurs. Il envoie alors un paquet HELLO qui contient ces informations. Ltat des voisins change alors pour ltat 2-way. Dans cet tat, la communication entre le routeur et le voisin est bidirectionnelle. Pour les interfaces de point point et de point multipoints, ltat passe Full. Sur des interfaces de diffusion, seuls les DR et les BDR prennent ltat Full avec leurs voisins. Tous les autres voisins restent ltat 2-Way. Prparation la construction dune contigut. Les routeurs changent des Descripteurs de donnes. Les routeurs changent des annonces dtat de liens. Il sagit de ltat normal dune contigut entre un routeur et le DR/BDR.
2-Way
ExStart Exchange Loading Full
Agrgats. Pour OSPF, les agrgats sont utiliss pour combiner des groupes de routes avec une adresse commune en une seule entre dans la table de routage. Ils sont gnralement utiliss pour rduire la table de routage. Liens virtuels. Les liens virtuels sont utiliss pour : Lier une zone qui na pas de connexion directe au cur de rseau. Relier le cur de rseau au cas o il serait partitionn. Les zones sans connexion directe avec le cur de rseau. Le cur de rseau doit ncessairement tre le centre de toutes les autres zones. Dans les rares cas o il est impossible de connecter physiquement une zone au cur de rseau, on peut utiliser un lien virtuel. Le lien virtuel fournit cette zone un chemin logique vers la zone de cur de rseau. Ce lien virtuel est tabli entre deux ABR se situant sur une zone commune, lun des ABR tant
74
Routage
connects la zone de cur de rseau. Dans lexemple ci-dessous, deux routeurs sont connects la mme zone (Zone 1) mais uniquement lun dentre eux (fw1) est connect physiquement la zone de cur de rseau.
Figure 4.2. Liens virtuels exemple 1
Dans lexemple ci-dessus, le lien virtuel est configur entre fw1 et fw2 sur la zone 1, puisquelle est utilise comme zone de transit. Dans cette solution, seul lID routeur doit tre configure. Le diagramme montre que fw2 a besoin dun lien virtuel vers fw1 avec lID routeur 192.168.1.1 et vice-versa. Ces liens virtuels doivent tre configurs dans la zone 1. Un cur de rseau partitionn. LOSPF autorise les liens virtuels vers un cur de rseau partitionn. Le lien virtuel doit tre configur entre deux diffrents ABR qui touchent le cur de rseau de chaque ct et qui partagent une zone commune.
Figure 4.3. Liens virtuels exemple 2
75
Routage
Le lien virtuel est configur entre fw1 et fw2 sur la zone 1, puisquelle est utilise comme zone de transit. Dans cette solution, seule lID routeur doit tre configure. Lexemple ci-dessus montre que fw2 ncessite un lien virtuel vers fw1 avec lID routeur 192.168.1.1 et vice-versa. Ces liens virtuels doivent tre configurs dans la zone 1. Assistance de haute disponibilit OSPF. Notez quil existe des limitations dans lassistance de haute disponibilit pour lOSPF : Chacune des parties actives et inactives dun cluster de haute disponibilit excutent des processus OSPF diffrents, bien que la partie inactive assure quelle nest pas le choix prfr pour le routage. Le matre et lesclave de haute disponibilit ne forment pas de contigut lun avec lautre et ne sont pas autoriss devenir des DR ou BDR sur un rseau de diffusion. Ceci peut tre accompli en forant la priorit du routeur 0. Pour que lassistance de haute disponibilit de lOSPF fonctionne correctement, le firewall D-Link doit possder une interface de diffusion avec au moins UN voisin pour CHAQUE zone laquelle le firewall est attach. Par dfinition, la partie inactive du cluster doit avoir un voisin pour en obtenir la base de donnes link state. Notez aussi quil nest pas possible de mettre un cluster de haute disponibilit sur le mme serveur de diffusion sans aucun voisin (ils ne forment pas de contigut ensemble parce que la priorit du routeur est 0). Cependant, il est possible selon le scnario de paramtrer un lien de point point entre eux. Une attention particulire doit tre porte lors du paramtrage dun lien virtuel un firewall de haute disponibilit. Le paramtrage final du lien vers le firewall de haute disponibilit doit comporter 3 liens diffrents : un lien vers lID routeur partage, un vers lID routeur du matre et un vers lID routeur de lesclave du firewall.
Rgles de routage dynamique

Prsentation. Dans un environnement de routage dynamique, il est important que les routeurs soient capables de rguler dans quelle mesure ils participent lchange du routage. Il ne faut pas quils acceptent ou se fient toutes les informations de routage reues. Il peut tre crucial dviter que certaines parties de la base de donnes du routage ne soient transmises dautres routeurs. Cest pour cette raison que NetDefendOS fournit des rgles de routage dynamique qui sont utilises pour rguler le flux des informations de routage dynamique.
76
Routage
Une rgle de routage dynamique filtre les routes aussi bien celles configures statiquement que celles dcouvertes par lOSPF, selon des paramtres tels que lorigine des routes, la destination, la mtrique et autres. Les routes correspondantes peuvent tre contrles par des actions pour tre soit exportes vers des processus OSPF, soit ajoutes une ou plusieurs tables de routage. Les utilisations les plus courantes des rgles de routage dynamique sont : Limportation des routes OSPF dun processus OSPF vers une table de routage. Lexportation des routes dune table de routage vers un processus OSPF. Lexportation de routes dun processus OPSF vers un autre.
Remarque
Par dfaut, NetDefendOS nimporte ni nexporte aucune route. En dautres termes, pour que le routage dynamique soit significatif, il est obligatoire de dfinir au moins une rgle de routage dynamique.
Exemple 4.6. Importation de routes dun AS OSPF vers la table de routage principale
Dans cet exemple, les routes reues qui utilisent lOSPF sont ajoutes dans la table de routage principale. Tout dabord, un filtre des rgles de routage dynamique doit tre cr. Le filtre doit tre nomm. Dans cet exemple, nous utiliserons le nom ImportOSPFRoutes puisquil explique la fonction du filtre. Le filtre doit aussi spcifier de quel AS OSPF les routes doivent tre importes. Dans cet exemple, nous utiliserons un AS OSPF prconfigur nomm as0. Selon la topologie de votre routage, vous pourriez vouloir importer seulement certaines routes en utilisant les filtres Destination Interface/Destination Network (Interface de destination/Rseau de destination), mais dans ce scnario toutes les routes qui sont en tout rseau (ce qui revient spcifier une adresse IP 0.0.0.0/0) sont incluses. Interface de ligne de commande
gw-world:/> add DynamicRoutingRule OSPFProcess=as0 Name=ImportOSPFRoutes DestinationNetworkExactly=all-nets
Interface Web Slectionnez Routing > Dynamic Routing Rules > Add > Dynamic routing policy rule (Routage > Rgles de routage dynamique > Ajouter > Rgle de routage dynamique). Saisissez un nom convenable pour le filtre (dans notre exemple, ImportOSPFRoutes). Dans Select OSPF Process (Slectionnez un processus OSPF), slectionnez as0. Choisissez all-nets dans le menu droulant Exactly Matches (correspondances exactes). Cliquez sur OK. Ltape suivante consiste crer une action de routage dynamique qui se chargera de limportation des routes vers une table de routage. Spcifiez la table de routage de destination laquelle les routes doivent tre ajoutes (dans cet exemple, main). Interface de ligne de commande
gw-world:/> cc DynamicRoutingRule ImportOSPFRoutes gw-world:/ImportOSPFRoutes> add DynamicRoutingRuleAddRoute Destination=MainRoutingTable
Interface Web Slectionnez Routing > Dynamic Routing Rules (Routage > Rgles de routage dynamique). Cliquez sur le filtre ImportOSPFRoutes rcemment cr.
77
Routage
Slectionnez OSPF Routing Action > Add > DynamicRoutingRuleAddRoute (Action de routage OSPF > Ajouter > Route de rgle de routage dynamique). Dans Destination, ajoutez la table de routage principale dans la liste Selected (Slection). Cliquez sur OK.
Exemple 4.7. Exportation des routes par dfaut vers un AS OSPF

Dans cet exemple, la route par dfaut de la table de routage principale est exporte vers un AS OSPF nomm as0. Ajoutez dabord un filtre de rgles de routage dynamique qui correspond la table de routage principale et la route par dfaut : Interface de ligne de commande
gw-world:/> add DynamicRoutingRule OSPFProcess=as0 name=ExportDefRoute RoutingTable=MainRoutingTable DestinationInterface=wan DestinationNetworkExactly=all-nets
Interface Web Slectionnez Routing > Dynamic Routing Rules > Add > Dynamic routing policy rule (Routage > Rgles de routage dynamique > Ajouter > Rgle de routage dynamique). Spcifiez un nom convenable pour le filtre (par exemple, ExportDefRoute). Dans From Routing Table (Depuis la table de routage), slectionnez Main Routing Table (Table de routage principale). Choisissez wan dans Destination Interface (Interface de destination). Choisissez all-nets dans la liste Exactly Matches (correspondances exactes). Cliquez sur OK. Puis, crez une action OSPF qui exportera la route filtre vers lAS OSPF spcifi : Interface de ligne de commande
gw-world:/> cc DynamicRoutingRule ExportDefRoute gw-world:/ExportDefRoute/> add DynamicRoutingRuleExportOSPF ExportToProcess=as0
Interface Web Slectionnez Routing > Dynamic Routing Rules (Routage > Rgles de routage dynamique). Cliquez sur le filtre ExportDefRoute rcemment cr. Slectionnez OSPF Action > Add > DynamicRoutingRuleExportOSPF (Action OSPF > Ajouter > OSPF dexportation de la rgle de routage dynamique). Dans Export to process (Exporter vers le processus), choisissez as0. Cliquez sur OK.
Routage multidiffusion
Prsentation
Certains types dinteractions sur Internet (telles que les confrences en ligne et la diffusion de vidos) impliquent quun seul client ou hte envoie le mme paquet plusieurs rcepteurs. Ce scnario est possible grce la duplication du paquet avec des adresses IP diffrentes par lmetteur ou grce la diffusion du paquet sur Internet. Ces solutions gaspillent normment les ressources de lmetteur ou la bande passante du rseau. Elles ne sont
78
Routage
donc pas satisfaisantes. Une solution approprie devrait aussi tre capable de rguler le grand nombre de rcepteurs. Le routage multidiffusion rsout ce problme grce aux routeurs du rseau eux-mmes, qui dupliquent et transmettent les paquets via une route optimale tous les membres dun groupe. Les standards IETF qui autorisent le routage multidiffusion sont : Classe D de la plage dadresses IP ddie au trafic multidiffusion. Chaque adresse IP multidiffusion reprsente un groupe arbitraire de rcepteurs. LIGMP (Internet Group Membership Protocol) autorise un rcepteur annoncer au rseau quil est membre dun groupe de multidiffusion particulier. Le PIM (Protocol Independent Multicast) est un groupe de protocoles de routage qui dterminent le chemin optimal emprunter pour les paquets de multidiffusion. Le routage multidiffusion fonctionne selon le principe o un rcepteur intress rejoint un groupe de multidiffusion en utilisant le protocole IGMP. Les routeurs PIM peuvent alors dupliquer et transmettre les paquets tous les membres de ce groupe de multidiffusion, ce qui cre un arbre de distribution pour le flux du paquet. Plutt que dacqurir de nouvelles informations sur le rseau, le PIM utilise les informations de routage des protocoles dj existants, tels que lOSPF, pour choisir le chemin optimal. Lun des mcanismes cl dans le processus de routage multidiffusion est le Reverse Path Forwarding (Transmission par chemin inverse). Pour le trafic diffusion unique, le routeur ne sintresse qu la destination du paquet. Avec l'envoi en multidiffusion, le routeur sintresse aussi la source du paquet puisquil transmet le paquet sur des chemins de sens descendant depuis la source. Cette approche est adopte pour viter les boucles dans larbre de distribution. Par dfaut, les paquets de multidiffusion sont routs par NetDefendOS jusqu linterface du noyau. Les rgles SAT Multiplex sont paramtres dans lensemble de rgles IP pour raliser la transmission vers les bonnes interfaces. Une dmonstration de cette situation apparat dans les exemples qui suivent.
Remarque
Pour que lenvoi en multidiffusion fonctionne sur une interface Ethernet avec nimporte quel firewall D-Link, cette interface doit avoir le paramtre multidiffusion sur On ou Auto. Pour plus de dtails, veuillez consulter la section intitule Ethernet .
Transfert multidiffusion avec rgle SAT Multiplex

La rgle SAT Multiplex est utilise pour effectuer la duplication et la transmission des paquets au travers de plusieurs interfaces. Cette fonctionnalit applique le transfert multidiffusion dans NetDefendOS, grce auquel un paquet de multidiffusion est envoy via plusieurs interfaces. Notez que si cette rgle outrepasse les tables de routage normales, les paquets qui doivent tre dupliqus par la rgle multiplex sont ncessairement routs vers linterface du noyau. Par dfaut, les adresses IP multidiffusion 224.0.0.0/4 sont toujours routes vers le noyau et ne doivent pas tre ajoutes manuellement aux tables de routage. Chaque interface de sortie spcifie peut tre configure sparment avec une traduction statique de ladresse de destination. Le champ Interface dans la bote de dialogue Interface/Net Tuple (N-uplet rseau) peut tre vide si le champ IPAddress (Adresse IP) est paramtr. Dans ce cas, linterface de sortie est dtermine lors dune recherche de route sur ladresse IP spcifie. La rgle multiplex peut fonctionner selon deux modes : Use IGMP (Avec IGMP) Les htes qui utilisent lIGMP doivent requrir le flux de trafic spcifi par la rgle multiplex avant que tout paquet de multidiffusion ne soit transmis au travers des interfaces spcifies. Cest le comportement par dfaut de NetDefendOS. Not Using IGMP (Sans IGMP) Le flux de trafic est transfr directement par les interfaces spcifies sans aucune interfrence de lIGMP.
Remarque
79
Routage
Puisque la rgle multiplex est une rgle SAT, une rgle Allow ou NAT doit tre spcifie avec la rgle multiplex.
Transfert multidiffusion sans traduction dadresses

Ce scnario indique comment configurer le transfert multidiffusion avec IGMP. Lmetteur de multidiffusion est 192.168.10.1 et gnre un flux de multidiffusion 239.192.10.0/24 :1234. Ces flux doivent tre transfrs depuis une interface wan en traversant les interfaces if1, if2 et if3. Les flux doivent tre transfrs uniquement si certains htes ont requis les flux avec le protocole IGMP. Lexemple ci-dessous ne traite que de la configuration du transfert multidiffusion. La configuration de lIGMP est consultable dans la section intitule Configuration de rgles IGMP sans traduction dadresses .
Figure 4.4. Transfert multidiffusion sans traduction dadresses
Remarque
Pensez bien ajouter une rgle Allow qui correspond la rgle SAT multiplex.
Exemple 4.8. Transfert de trafic multidiffusion avec rgle SAT multiplex

Dans cet exemple, nous allons crer une rgle multiplex afin de transfrer les groupes de multidiffusion 239.192.10.0/24:1234 vers les interfaces if1, if2 et if3. Tous les groupes ont le mme metteur 192.168.10.1, situ derrire linterface wan. Les groupes de multidiffusion doivent uniquement tre transfrs vers les interfaces de sortie si des clients derrire ces interfaces ont requis lutilisation de lIGMP. La procdure suivante doit tre respecte pour configurer le transfert du trafic multidiffusion. LIGMP doit tre configur part. Interface Web A. Crez un service personnalis pour lenvoi en multidiffusion nomm multicast_service : Slectionnez Objects > Services > Add > TCP/UDP (Objets > Services > Ajouter > TCP/UDP).
80
Routage
Saisissez : Name (nom) : multicast_service Type : UDP Destination : 1234 B. Crez une rgle IP : Slectionnez Rules > IP Rules > Add > IP Rule (Rgles > Rgles IP > Ajouter > Rgle IP). Sous General (Gnral), entrez : Name (nom) : un nom pour la rgle (par exemple, Multicast_Multiplex) Action : Multiplex SAT Service: multicast_service Sous Address Filter (Filtre dadresses), entrez : Source Interface (Interface source) : wan Source Network (Rseau source) : 192.168.10.1 Destination Interface (Interface de destination) : core (noyau) Destination Network (Rseau de destination) : 239.192.10.0/24 Cliquez sur longlet Multiplex SAT et ajoutez les interfaces de sortie if1, if2 et if3 une par une. Pour chaque interface, laissez le champ IP Address (Adresse IP) vide puisquaucune traduction dadresses de destination nest requise. Assurez-vous davoir activ le transfert avec IGMP. Cliquez sur OK.
Transfert multidiffusion avec traduction dadresses Figure 4.5. Transfert multidiffusion avec traduction dadresses
81
Routage
Ce scnario se base sur le scnario prcdent lexception que nous allons traduire le groupe de multidiffusion. Lorsque les flux de multidiffusion 239.192.10.0/24 sont transfrs via linterface if2, les groupes de multidiffusion doivent tre traduits en 237.192.10.0/24. Aucune traduction dadresses ne doit tre faite lors dun transfert via linterface if1. La configuration des rgles IGMP correspondantes est consultable dans la section intitule Configuration de rgles IGMP avec traduction dadresses .
Attention
Comme indiqu prcdemment, pensez ajouter une rgle Allow qui correspond la rgle SAT multiplex.
Figure 4.9. Transfert multidiffusion avec traduction dadresses

La rgle SAT multiplex suivante doit tre configure pour correspondre au scnario dcrit ci-dessus : Interface Web A. Crez un service personnalis pour lenvoi en multidiffusion nomm multicast_service : Slectionnez Objects > Services > Add > TCP/UDP (Objets > Services > Ajouter > TCP/UDP). Saisissez : Name (nom) : multicast_service Type : UDP Destination : 1234 B. Crez une rgle IP : Slectionnez Rules > IP Rules > Add > IP Rule (Rgles > Rgles IP > Ajouter > Rgle IP). Sous General (Gnral), entrez : Name (nom) : un nom pour la rgle, par exemple Multicast_Multiplex Action : Multiplex SAT
82
Routage
Service: multicast_service Sous Address Filter (Filtre dadresses), entrez : Source Interface (Interface source) : wan Source Network (Rseau source) : 192.168.10.1 Destination Interface (Interface de destination) : core (noyau) Destination Network (Rseau de destination) : 239.192.10.0/24 Cliquez sur longlet Address Translation (Traduction dadresses). Ajoutez linterface if1, mais laissez lIPAddress (Adresse IP) vide. Ajoutez linterface if2, mais cette fois entrez 237.192.10.0 comme adresse IP. Assurez-vous davoir activ le transfert avec IGMP. Cliquez sur OK.
Remarque
Si la traduction de ladresse source est requise, la rgle Allow qui suit la rgle SAT Multiplex doit tre remplace par une rgle NAT.
Configuration IGMP
La signalisation IGMP entre les htes et les routeurs peut tre divise en deux catgories : IGMP Reports (Rapports IGMP) Des rapports sont envoys depuis les htes vers les routeurs lorsquun hte veut souscrire un nouveau groupe de multidiffusion ou modifier ses actuelles souscriptions de multidiffusion. IGMP Queries (Requtes IGMP) Les requtes sont des messages IGMP mis par le routeur destination des htes afin de sassurer quaucun flux attendu par un hte ne sera interrompu. Normalement, ces deux types de rgles doivent tre spcifis pour que lIGMP fonctionne. Il existe une exception : si la source de multidiffusion est situe sur un rseau directement connect au routeur. Dans ce cas, il ny a pas besoin dune rgle de requte. Voici une autre exception : si un routeur voisin est configur statiquement pour dlivrer un flux de multidiffusion vers le firewall D-Link. L encore, il est inutile de spcifier une requte IGMP. NetDefendOS est compatible avec deux modes de fonctionnement dIGMP : surveillance et Proxy.
Figure 4.6. Surveillance multicast
83
Routage
Figure 4.7. Proxy de multidiffusion
En mode surveillance, le routeur agit de manire transparente entre lhte et un autre routeur IGMP. Il nenvoie aucune requte IGMP. Il se contente de transfrer les requtes et les rapports entre lautre routeur et lhte. En mode Proxy, le routeur agit comme un routeur IGMP envers les clients et envoie des requtes de manire active. Envers le routeur metteur, il agit comme un hte normal qui souscrit des groupes de multidiffusion la place de ses clients.
Configuration des rgles IGMP sans traduction dadresses

Cet exemple dcrit les rgles IGMP ncessaires pour configurer lIGMP selon le scnario sans traduction dadresses dcrit ci-dessus. Nous voulons que le routeur agisse comme un hte envers le routeur metteur. Il faut donc configurer lIGMP pour quil fonctionne en mode proxy.
Exemple 4.10. IGMP sans traduction dadresses
84
Routage
Lexemple suivant requiert un groupe dinterfaces configur, IfGrpClients, qui comprend les interfaces if1, if2 et if3. Ladresse IP du routeur IGMP metteur est connue en tant que UpstreamRouterIP. Nous avons besoin de deux rgles. La premire est une rgle de rapport qui permet aux clients se situant derrire les interfaces if1, if2 et if3 de souscrire au groupe de multidiffusion 239.192.10.0/24. La deuxime est une rgle de requte qui permet au routeur metteur de nous envoyer une requte pour les groupes de multidiffusion que les clients demandent. La procdure suivante doit tre respecte pour crer ces deux rgles : Interface Web A. Crez la premire rgle IGMP. Slectionnez Routing > IGMP > IGMP Rules > Add > IGMP Rule (Routage > IGMP > Rgles IGMP > Ajouter > Rgle IGMP). Sous General (Gnral), entrez : Name (nom) : un nom qui convient pour la rgle (par exemple, Reports). Type : Report (Rapport) Action : Proxy Output (Sortie) : wan (qui est linterface relais) Sous Address Filter (Filtre dadresses), entrez : Source Interface (Interface source) : lfGrpClients Source Network (Rseau source) : if1net, if2net, if3net Destination Interface (Interface de destination) : core (noyau) Destination Network (Rseau de destination) : auto Multicast Source (Source de multidiffusion) : 192.168.10.1 Multicast Group (Groupe de multidiffusion) : 239.192.10.0/24 Cliquez sur OK. B. Crez la deuxime rgle IGMP : Retournez dans Routing > IGMP > IGMP Rules > Add > IGMP Rule (Routage > Rgles IGMP > Ajouter > Rgle IGMP). Sous General (Gnral), entrez : Name (nom) : un nom qui convient pour la rgle (par exemple, Queries). Type : Query (Requte) Action : Proxy Output (Sortie) : IfGrpClients (qui est linterface de relais) Sous Address Filter (Filtre dadresses), entrez : Source Interface (Interface source) : wan Source Network (Rseau source) : UpstreamRouterIp (IP du routeur metteur) Destination Interface (Interface de destination) : core (noyau) Destination Network (Rseau de destination) : auto
85
Routage
Multicast Source (Source de multidiffusion) : 192.168.10.1 Multicast Group (Groupe de multidiffusion) : 239.192.10.0/24 Cliquez sur OK.
Configuration des rgles IGMP avec traduction dadresses

Les exemples suivant indiquent les rgles IGMP ncessaires pour configurer lIGMP selon le scnario de traduction dadresses dcrit dans la section intitule Transfert multicast avec traduction dadresses . Deux rgles de rapport IGMP sont ncessaires, cest--dire une pour chaque interface client. If1 ne fait pas de traduction dadresses et if2 traduit le groupe de multidiffusion en 237.192.10.0/24. Deux rgles de requte sont aussi ncessaires : une pour linterface et ladresse traduites, lautre pour lenvoi de ladresse dorigine vers if1. Vous trouverez ci-aprs deux exemples, un pour chaque paire de rgle. Le routeur qui met en multidiffusion utilise lIP UpstreamRouterIP.
Exemple 4.11. Configuration de if1

La procdure suivante doit tre respecte pour crer la paire de rgles de rapport et de requte pour if1 qui nutilise pas de traduction dadresses. Interface Web A. Crez la premire rgle IGMP. Slectionnez Routing > IGMP > IGMP Rules > Add > IGMP Rule (Routage > IGMP > Rgles IGMP > Ajouter > Rgle IGMP). Sous General (Gnral), entrez : Name (nom) : un nom qui convient pour la rgle (par exemple, Reports_if1). Type : Report (Rapport) Action : Proxy Output (Sortie) : wan (qui est linterface relais) Sous Address Filter (Filtre dadresses), entrez : Source Interface (Interface source) : if1 Source Network (Rseau source) : if1net Destination Interface (Interface de destination) : core (noyau) Destination Network (Rseau de destination) : auto Multicast Source (Source de multidiffusion) : 192.168.10.1 Multicast Group (Groupe de multidiffusion) : 239.192.10.0/24 Cliquez sur OK. B. Crez la deuxime rgle IGMP : Retournez dans Routing > IGMP > IGMP Rules > Add > IGMP Rule (Routage > Rgles IGMP > Ajouter > Rgle IGMP). Sous General (Gnral), entrez : Name (nom) : un nom qui convient pour la rgle (par exemple, Queries_if1).
86
Routage
Type : Query (Requte) Action : Proxy Output (Sortie) : if1 (qui est linterface relais) Sous Address Filter (Filtre dadresses), entrez : Source Interface (Interface source) : wan Source Network (Rseau source) : UpstreamRouterIp (IP du routeur metteur) Destination Interface (Interface de destination) : core (noyau) Destination Network (Rseau de destination) : auto Multicast Source (Source de multidiffusion) : 192.168.10.1 Multicast Group (Groupe de multidiffusion) : 239.192.10.0/24 Cliquez sur OK.
Exemple 4.12. Configuration dif2 et traduction de groupe

La procdure suivante doit tre respecte pour crer la paire de rgles de rapport et de requte pour if2 qui fait la traduction du groupe de multidiffusion. Notez que le groupe traduit et que les rapports IGMP incluent donc les adresses IP traduites. Les requtes contiennent les adresses IP dorigine. Interface Web A. Crez la premire rgle IGMP. Slectionnez Routing > IGMP > IGMP Rules > Add > IGMP Rule (Routage > IGMP > Rgles IGMP > Ajouter > Rgle IGMP). Sous General (Gnral), entrez : Name (nom) : un nom qui convient pour la rgle (par exemple, Reports_if2). Type : Report (Rapport) Action : Proxy Output (Sortie) : wan (qui est linterface relais) Sous Address Filter (Filtre dadresses), entrez : Source Interface (Interface source) : if2 Source Network (Rseau source) : if2net Destination Interface (Interface de destination) : core (noyau) Destination Network (Rseau de destination) : auto Multicast Source (Source de multidiffusion) : 192.168.10.1 Multicast Group (Groupe de multidiffusion) : 239.192.10.0/24 Cliquez sur OK. B. Crez la deuxime rgle IGMP : Retournez dans Routing > IGMP > IGMP Rules > Add > IGMP Rule (Routage > Rgles IGMP > Ajouter >
87
Routage
Rgle IGMP). Sous General (Gnral), entrez : Name (nom) : un nom qui convient pour la rgle, par exemple : Queries_if1. Type : Query (Requte) Action : Proxy Output (Sortie) : if2 (qui est linterface relais) Sous Address Filter (Filtre dadresses), entrez : Source Interface (Interface source) : wan Source Network (Rseau source) : UpstreamRouterIp (IP du routeur metteur) Destination Interface (Interface de destination) : core (noyau) Destination Network (Rseau de destination) : auto Multicast Source (Source de multidiffusion) : 192.168.10.1 Multicast Group (Groupe de multidiffusion) : 239.192.10.0/24 Cliquez sur OK.
Paramtres IGMP avancs

Il y a beaucoup de paramtres avancs qui englobent et sappliquent toutes les interfaces qui nont pas de paramtres IGMP explicitement spcifis. Ces paramtres globaux sont consultables dans le Chapitre 13, Paramtres avancs. Les paramtres individuels sont quant eux consultables dans la section IGMP de linterface dadministration.
Mode transparent
Prsentation du mode transparent
Le fait de dployer des firewalls D-Link qui fonctionnent en mode transparent dans une topologie de rseau prexistante peut renforcer sa scurit. Cette solution est simple raliser et ne requiert aucune reconfiguration des modes prexistants. Une fois dploy, NetDefendOS peut autoriser ou refuser laccs diffrents types de services (par exemple, le HPPT) et dans des directions spcifies. Tant que les utilisateurs du rseau accdent des services autoriss avec le firewall D-Link, ils ne ressentent pas sa prsence. Le fait de spcifier une route de commutation la place dune route standard active le mode transparent. La capacit du mode transparent accrotre la scurit trouve lune de ses applications en environnement dentreprise, o il peut tre ncessaire de protger les diffrents services les uns des autres. Le service financier peut navoir besoin daccder qu un petit panel de services (HTTP par exemple) sur le serveur du service des ventes et le service des ventes navoir besoin daccder qu un petit panel dapplications sur le rseau du service financier. En ne dployant quun seul firewall D-Link entre les rseaux de ces deux dpartements, un accs transparent mais contrl peut tre obtenu grce au mode transparent. Un autre exemple peut tre celui dune organisation qui autorise le trafic entre lInternet externe et un ensemble dadresses IP publiques sur un rseau interne. Le mode transparent peut contrler le type de services qui sont autoriss pour ces adresses IP et dans quelle direction. Par exemple, les seuls services autoriss dans une telle situation seraient laccs HTTP vers lInternet.
Comparaison avec le mode routage

Le firewall D-Link peut fonctionner sous deux modes : le mode routage ou le mode transparent. En mode routage,
88
Routage
le firewall D-Link a toutes les fonctionnalits dun routeur L3 (Layer 3). Si le firewall est install pour la premire fois sur un rseau ou si la topologie du rseau change, la configuration du routage doit donc tre consciencieusement vrifie pour sassurer que la table de routage est compatible avec la nouvelle structure. Une reconfiguration des paramtres IP peut tre requise pour les routeurs dj prsents et les serveurs protgs. Le fonctionnement de ce mode est adapt lorsquun contrle complet du routage est souhait. En mode transparent, une route de commutation est emprunte plutt quune Route. Le firewall agit donc presque la manire dun switch : il filtre les paquets IP et les transfre de manire transparente jusqu la bonne interface sans modifier les informations de source ni de destination au niveau de lIP ou dEthernet. Ce mode transparent prsente deux avantages : Lorsquun client change dinterface sans changer dadresse IP, il peut encore avoir accs aux mmes services quavant (par exemple HTTP, FTP) sans devoir reconfigurer le routage. Le mme type dadresse rseau peut exister sur plusieurs interfaces.
Remarque
Les firewalls D-Link ne doivent pas ncessairement fonctionner en mode transparent mais peuvent combiner le mode transparent avec le mode routage pour fonctionner en mode hybride. Ainsi, le firewall peut aussi bien tre dfini sur des routes de commutation que sur des routes standard. Il est aussi possible de crer une solution hybride en appliquant la traduction dadresses sur un tout autre trafic transparent.
Mise en uvre du mode transparent

En mode transparent, NetDefendOS autorise aux transactions ARP le passage au travers du firewall D-Link et dtermine grce ce trafic ARP la relation entre les adresses IP, les adresses physiques et les interfaces. NetDefendOS enregistre ces adresses afin de relayer les paquets dIP vers le bon rcepteur. Lors des transactions ARP, ni la source ni le destinataire ne se rendra compte de la prsence du firewall. Au dbut de la communication, un hte localise ladresse physique de lhte de destination en diffusant une requte ARP. Cette requte est intercepte par NetDefendOS qui paramtre une entre ARP Transaction State (tat de transaction ARP) et diffuse la requte ARP vers toutes les autres interfaces switch-routes, lexception de linterface de rception de la requte ARP. Si NetDefendOS reoit une rponse ARP de la destination durant une priode de temps configurable, il relaiera la rponse lmetteur de la requte en utilisant les informations prcdemment stockes dans lentre ARP Transaction State (tat de transaction ARP). Lors de la transaction ARP, NetDefendOS intgre les adresses source des metteurs de la requte et de la rponse. NetDefendOS utilise deux tables pour stocker ces informations : la table de mmoire contenu adressable (CAM) et le cache L3. La table CAM suit les adresses MAC disponibles sur une interface donne et le cache L3 mappe une adresse IP avec une adresse MAC et une interface. Puisque le cache L3 est uniquement utilis pour le trafic IP, ses entres sont stockes comme appartenant un hte unique sur la table de routage. Pour chaque paquet dIP qui passe par le firewall D-Link, une recherche de route vers la destination est effectue. Si la route du paquet correspond une route de commutation ou une entre du cache L3 dans la table de routage, NetDefendOS sait quil doit se charger de ce paquet dune manire transparente. Si une interface de destination et une adresse MAC sont disponibles sur une route, NetDefendOS a les informations ncessaires pour transfrer le paquet vers sa destination. Si la route est une route de commutation, aucune information spcifique sur la destination nest disponible et le firewall doit dcouvrir la localisation de la destination sur le rseau. NetDefendOS effectue cette recherche en envoyant des requtes ARP et ICMP (ping), comme sil tait lmetteur du paquet IP dorigine vers la destination sur les interfaces spcifies dans la route de commutation. Si une rponse ARP est reue, NetDefendOS mettra jour la table CAM et le cache L3 et transfrera le paquet jusqu sa destination. Si la table CAM ou le cache L3 sont saturs, les tables sont automatiquement alignes de manire partielle. Grce au mcanisme de recherche qui consiste envoyer des requtes ARP et ICMP, NetDefendOS dcouvre les destinations qui ont pu tre alignes.
Activation du mode transparent

Deux tapes sont normalement requises pour que NetDefendOS puisse fonctionner en mode transparent :
89
Routage
Si vous le souhaitez, crez un groupe des interfaces qui doivent tre transparentes. Les interfaces dun groupe peuvent tre marques comme quivalent scurit/transport si les htes doivent pouvoir se dplacer librement entre eux. Crez des routes de commutation et sil est en fonction, utilisez le groupe dinterfaces cr plus tt. En ce qui concerne le paramtre Network (Rseau), spcifiez la plage dadresses IP qui seront considres comme transparentes entre les interfaces. Lorsque le firewall entier fonctionne en mode transparent, cette plage est normalement all-nets (tout rseau).
Haute disponibilit avec mode transparent

Les routes de commutation ne peuvent pas tre utilises en haute disponibilit. Un vrai mode transparent ne peut donc pas tre mis en application dans un cluster de haute disponibilit de NetDefendOS. la place de routes de commutation, la solution pour un paramtrage de haute disponibilit consiste utiliser un proxy ARP pour sparer deux rseaux. Cette manipulation est dcrite plus en dtail dans la section intitule Proxy ARP . Linconvnient cl de cette approche est que les clients ne peuvent pas voyager travers les interfaces NetDefendOS en conservant la mme adresse IP.
Scnarios de mode transparent

Scnario 1. Le firewall en mode transparent est plac entre le routeur daccs Internet et le rseau interne. Le routeur est utilis pour partager la connexion Internet avec une adresse IP publique unique. Le rseau interne NAT derrire le firewall se dfinit sur la plage dadresses 10.0.0.0/24. Laccs Internet est autoris aux clients du rseau interne via le protocole HTTP.
Figure 4.8. Scnario 1 du mode transparent
Exemple 4.13. Scnario 1 : paramtrage du mode transparent

Interface Web Configurez les interfaces : Slectionnez Interfaces > Ethernet > Edit (wan) (Interfaces > Ethernet > Modifier (wan)). Saisissez : IP Address (Adresse IP) : 10.0.0.1 Network (Rseau) : 10.0.0.0/24
90
Routage
Default Gateway (Passerelle par dfaut) : 10.0.0.1 Transparent Mode (Mode transparent) : Enable (Activer) Cliquez sur OK. Slectionnez Interfaces > Ethernet > Edit (lan) (Interfaces > Ethernet > Modifier (lan)). Saisissez : IP Address (Adresse IP) : 10.0.0.2 Network (Rseau) : 10.0.0.0/24 Transparent Mode (Mode transparent) : Enable(Activer) Cliquez sur OK. Configurez les rgles : Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (nom): HTTPAllow Action : Allow (Autoriser) Service: http Source Interface (Interface source) : lan Destination Interface (Interface de destination) : any (toutes) Source Network (rseau source) : 10.0.0.0/24 Destination Network (Rseau de destination) : all-nets (0.0.0.0/0) Cliquez sur OK. Scnario 2. Ici, le firewall D-Link en mode transparent spare les ressources serveur dun rseau interne en les connectant une interface tierce avoir utiliser des plages dadresses diffrentes.
Figure 4.9. Scnario 2 du mode transparent
91
Routage
Tous les htes connects LAN et DMZ (les interfaces lan et dmz) partagent la plage dadresses 10.0.0.0/24. Puisque ceci est configur avec le mode transparent, nimporte quelle adresse IP peut tre utilise pour les serveurs et il nest pas ncessaire que les htes du rseau internet sachent si une ressource se trouve sur le mme rseau ou sur le DMZ. Les htes du rseau interne sont autoriss communiquer avec un serveur HTTP sur le DMZ alors que ces derniers peuvent tre atteints depuis Internet. Le firewall est transparent entre le DMZ et le LAN alors que le trafic est soumis lensemble de rgles IP.
Exemple 4.14. Scnario 2 : paramtrage du mode transparent

Configurez une route de commutation sur les interfaces LAN et DMZ pour la plage dadresses 10.0.0.0/24 (en supposant que linterface WAN est dj configure). Configurez les interfaces : Comme indiqu dans lexemple prcdent, vous devez dabord spcifier les interfaces lan et dmz impliques en utilisant les adresses IP donnes en exemple dans ce scnario. Groupes dinterfaces : Suivez les indications donnes dans lexemple prcdent. Configurez les interfaces lan et dmz dans le mme groupe. Switch Route (Route de commutation) : Suivez les indications donnes dans lexemple prcdent. Paramtrez la route de commutation selon le nouveau groupe dinterfaces cr plus tt. Configurez les rgles : Slectionnez Rules > New Rule (Rgles > Nouvelle rgle). La bote de dialogue Rule Properties (Proprits de la rgle) saffiche. Saisissez un nom qui convient pour la rgle (par exemple, HTTP-LAN-to-DMZ). Saisissez ensuite : Action : Allow (Autoriser)
92
Routage
Source Interface (interface source) : lan Destination Interface (Interface de destination) : dmz Source Network (rseau source) : all-nets (tout rseau) Destination Network (Rseau de destination) : 10.1.4.10 Sous longlet Service, choisissez http dans Pre-defined control (Contrle prdfini). Cliquez sur OK Slectionnez Rules > New Rule (Rgles > Nouvelle rgle). La bote de dialogue Rule Properties (Proprits de la rgle) saffiche. Saisissez un nom qui convient pour la rgle (par exemple, HTTP-WAN-to-DMZ). Saisissez ensuite : Action : SAT Source Interface (interface source) : wan Destination Interface (Interface de destination) : dmz Source Network (rseau source) : all-nets (tout rseau) Destination Network (Rseau de destination) : wan_ip Sous longlet Service, choisissez http dans Pre-defined control (Contrle prdfini). Sous longlet Address Translation (Traduction dadresses), choisissez Destination IP Address (Adresse IP de destination) et entrez 10.1.4.10 dans New IP Address control (Contrle de la nouvelle adresse IP). Cliquez sur OK. Slectionnez Rules > New Rule (Rgles > Nouvelle rgle). La bote de dialogue Rule Properties (Proprits de la rgle) saffiche. Saisissez un nom qui convient pour la rgle, par exemple HTTP-LAN-to-DMZ. Saisissez ensuite : Action : Allow (Autoriser) Source Interface (interface source) : wan Destination Interface (Interface de destination) : dmz Source Network (rseau source) : all-nets (tout rseau) Destination Network (Rseau de destination) : wan_ip Sous longlet Service, choisissez http dans le Pre-defined control (Contrle prdfini). Cliquez sur OK. Interface Web Configurez les interfaces : Slectionnez Interfaces > Ethernet > Edit (lan) (Interfaces > Ethernet > Modifier (lan)).
93
Routage
Saisissez : IP Address (Adresse IP) : 10.0.0.1 Network (Rseau) : 10.0.0.0/24 Transparent Mode (Mode transparent) : Disable (Dsactiv) Add route for interface network (Ajout dune route dans le rseau dinterface) : Disable (Dsactiv) Cliquez sur OK. Slectionnez Interfaces > Ethernet > Edit (dmz) (Interfaces > Ethernet > Modifier (dmz)). Saisissez : IP Address (Adresse IP) : 10.0.0.2 Network (Rseau) : 10.0.0.0/24 Transparent Mode (Mode transparent) : Disable (Dsactiv) Add route for interface network (Ajout dune route dans le rseau dinterface) : Disable (Dsactiv) Cliquez sur OK. Configurez les groupes dinterfaces : Slectionnez Interfaces > Interface Groups > Add > InterfaceGroup (Interfaces > Groupes dinterfaces > Ajouter > Groupe dinterfaces). Saisissez : Name (nom): TransparentGroup Security/Transport Equivalent (quivalent scurit/transport) : Disable (Dsactiv) Interfaces : slectionnez lan et dmz Cliquez sur OK. Configurez le routage : Slectionnez Routing > Main Routing Table > Add > SwitchRoute (Routage > Table de routage principale > Ajouter > Route de commutation). Saisissez : Switched Interfaces (Interfaces commutes) : TransparentGroup Network (Rseau) : 10.0.0.0/24 Metric (Mtrique) : 0 Cliquez sur OK. Configurez les rgles : Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (nom): HTTP-LAN-to-DMZ
94
Routage
Action : Allow (Autoriser) Service: http Source Interface (interface source) : lan Destination Interface (Interface de destination) : dmz Source Network (rseau source) : 10.0.0.0/24 Destination Network (Rseau de destination) : 10.1.4.10 Cliquez sur OK. Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (nom): HTTP-WAN-to-DMZ Action : SAT Service: http Source Interface (interface source) : wan Destination Interface (Interface de destination) : dmz Source Network (rseau source) : all-nets (tout rseau) Destination Network (Rseau de destination) : wan_ip Translate (Traduire) : slectionnez Destination IP (IP de destination). New IP Address (Nouvelle adresse IP) : 10.1.4.10 Cliquez sur OK. Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (nom): HTTP-WAN-to-DMZ Action : Allow (Autoriser) Service: http Source Interface (interface source) : wan Destination Interface (Interface de destination) : dmz Source Network (rseau source) : all-nets (tout rseau) Destination Network (Rseau de destination) : wan_ip Cliquez sur OK.
95
Chapitre 5. Services DHCP

Le prsent chapitre dcrit les services DHCP de NetDefendOS.
Prsentation
DHCP (Dynamic Host Configuration Protocol) est un protocole qui autorise les administrateurs rseau attribuer automatiquement des adresses IP aux ordinateurs dun rseau. Affectation des adresses IP. Un serveur DHCP est charg dattribuer des adresses IP aux clients DHCP. Ces adresses proviennent dun groupe dadresses IP prdfini gr par DHCP. Lorsquun serveur DHCP reoit une requte en provenance dun client DHCP, il retourne au client les paramtres de configuration (c'est--dire une adresse IP, une adresse MAC, un nom de domaine et une attribution dadresse IP) dans un message unicast. Attributions DHCP. Contrairement aux attributions statiques, o le client est propritaire de ladresse, ladressage dynamique par serveur DHCP attribue ladresse chaque client pour une priode de temps prdfinie. Pendant la dure de vie dune attribution, le client est autoris garder ladresse attribue et il est protg contre les tlescopages dadresses avec dautres clients. Pour pouvoir continuer utiliser ladresse IP attribue, le client doit renouveler lattribution avant son expiration partir du serveur. Le client peut donc dcider tout moment de ne plus utiliser ladresse IP qui lui a t attribue ; il peut mettre un terme lattribution et librer ladresse IP. La dure dattribution peut tre configure sur un serveur DHCP par ladministrateur.
Serveurs DHCP
NetDefendOS peut jouer le rle dun ou plusieurs serveurs logiques DHCP. Le filtrage des requtes en provenance des clients DHCP repose sur linterface, de telle sorte que chaque interface NetDefendOS peut possder, au plus, un seul serveur logique DHCP qui lui est associ. En dautres termes, NetDefendOS peut approvisionner les clients DHCP en utilisant diffrentes plages dadresses selon linterface sur laquelle ils se trouvent. Un certain nombre doptions standard peuvent tre configures pour chaque exemple de serveur DHCP : IP Address (adresse IP) Netmask (masque rseau) - masque rseau envoy au client DHCP. Subnet (sous-rseau) Gateway Address (adresse de passerelle) - prcise quelle adresse IP doit tre envoye au client pour tre utilise comme passerelle par dfaut. Si ladresse 0.0.0.0 est spcifie, alors lIP attribue au client sera envoye comme passerelle. Domain Name (nom de domaine) Lease Time (dure de lattribution) - dure en secondes pendant laquelle une attribution DHCP doit tre alloue un hte et lissue de laquelle le client doit renouveler cette attribution. DNS Servers (Serveurs DNS) WINS Servers (serveurs WINS) Next Server (serveur suivant) - adresse IP du serveur suivant dans le processus de dmarrage. Il sagit gnralement dun serveur TFTP. De plus, des options personnalises peuvent tre dfinies pour que les serveurs DHCP grent tous les types doptions prises en charges par la norme DHCP.
96
Services DHCP
Les serveurs DHCP attribuent et grent les adresses IP rcupres dans le groupe dadresses spcifi. Les serveurs DHCP de NetDefendOS ne se limitent pas distribuer une seule plage dadresses IP, mais peuvent utiliser nimporte quelle plage dadresses IP pouvant tre spcifie par un objet dadresse NetDefendOS.
Exemple 5.1. Configuration dun serveur DHCP

Cet exemple montre comment configurer un serveur DHCP appel DHCPServer1 qui attribue et gre les adresses IP provenant dun groupe dadresses appel DHCPRange1. Cet exemple suppose que vous avez cr une plage dadresses IP pour le serveur DHCP. Interface de ligne de commande
gw-world:/> add DHCPServer DHCPServer1 Interface=lan IPAddressPool=DHCPRange1 Netmask=255.255.255.0
Interface Web Slectionnez System > DHCP > DHCP Servers > Add > DHCPServer (Systme > DHCP > Serveurs DHCP > Ajouter > Serveur DHCP). Saisissez : Name (nom): DHCPServer1 Interface Filter (filtre dinterface) : lan IP Address Pool (groupe dadresses IP) : DHCPRange1 Netmask (masque rseau) : 255.255.255.0 Cliquez sur OK.
Exemple 5.2. Vrification de ltat dun serveur DHCP

Interface Web Dans la barre de menu, Slectionnez Status > DHCP Server (Statut > Serveur DHCP). Interface de ligne de commande Pour vrifier ltat de tous les serveurs :
gw-world:/> dhcpserver
Pour tablir une liste de tous les serveurs configurs :

gw-world:/> show dhcpserver
Conseil
Le systme garde en mmoire les attributions DHCP entre les redmarrages.
Attribution DHCP statique

Lorsque ladministrateur requiert une relation fixe entre un client et ladresse IP attribue, NetDefendOS permet dattribuer une adresse IP donne une adresse MAC spcifique.
Exemple 5.3. Configuration du mode DHCP statique

Cet exemple montre comment attribuer ladresse IP 192.168.1.1 ladresse MAC 00-90-12-13-14-15. Lexemple suppose que le serveur DHCP, DHCPServer1, a dj t dfini. Interface de ligne de commande
97
Services DHCP
Paramtrez tout dabord le contexte DHCPServer1 :

gw-world:/> cc DHCPServer DHCPServer1
Ajoutez ensuite lattribution DHCP statique :

gw-world:/> add DHCPServerPoolStaticHost Host=192.168.1.1 MACAddress=00-90-12-13-14-15
Vous pouvez tablir une liste de toutes les attributions statiques, chacune tant classe selon un numro dindex :
gw-world:/> show # Comments - ------+ 1 (none)
Vous pouvez consulter chaque attribution statique individuelle grce son numro dindex :
gw-world:/> show DHCPServerPoolStaticHost 1 Property Value ----------- ----------------Index: 1 Host: 192.168.1.1 MACAddress: 00-90-12-13-14-15 Comments: (none)
Lattribution pourra par la suite tre transforme en adresse IP 192.168.1.12 par la commande suivante :
gw-world:/> set DHCPServerPoolStaticHost 1 Host=192.168.1.12 MACAddress=00-90-12-13-14-15
Interface Web Slectionnez System > DHCP > DHCP Servers > DHCPServer1 > Static Hosts > Add > Static Host Entry (Systme > DHCP > Serveurs DHCP > Serveur DHCP 1 > Htes statiques > Ajouter > Entre dhte statique). Saisissez : Host (hte) : 19.168.1.1 MAC (adresse MAC) : 00-90-12-13-14-15 Cliquez sur OK.
Relais DHCP
Avec le protocole DHCP, les clients envoient des requtes pour localiser le(s)serveur(s) DHCP qui utilise(nt) des messages de diffusion. Toutefois, les messages de diffusion circulent uniquement travers le rseau local. Cela signifie que le serveur et le client DHCP doivent toujours se trouver dans le mme rseau physique pour pouvoir communiquer. Dans un environnement de la taille dInternet, cela signifie quun serveur diffrent pour chaque rseau est ncessaire. Ce problme est rsolu en utilisant un relayeur DHCP. Un relayeur DHCP remplace le serveur DHCP du rseau local pour tablir le lien entre le client et le serveur DHCP distant. Il intercepte les requtes en provenance des clients et les retransmet au serveur. Le serveur rpond ensuite au relayeur, qui transfre la rponse au client. Les relayeurs DHCP adoptent la fonctionnalit BOOTP relay agent (agent de redirection BOOTP) et conservent le format de message et le protocole de communication BOOTP, raison pour laquelle ils sont souvent appels agents de redirection BOOTP.
Exemple 5.4. Configuration dun relayeur DHCP

Cet exemple permet aux clients des interfaces VLAN dobtenir des adresses IP partir dun serveur DHCP. On suppose que le firewall est configur avec les interfaces VLAN, vlan1 et vlan2 , qui utilisent le relais DHCP, et que ladresse IP du serveur DHCP est dfinie dans le carnet dadresse comme ip-dhcp .
98
Services DHCP
NetDefendOS installe une route pour le client lorsquil a termin le processus DHCP et quil a obtenu une adresse IP. Interface de ligne de commande Ajout dinterfaces VLAN vlan1 et vlan2 qui doivent rediriger le trafic vers un groupe dinterfaces nomm ipgrp-dhcp :
gw-world:/> add Interface InterfaceGroup ipgrp-dhcp Members=vlan1,vlan2
Ajout dun relais DHCP nomm vlan-to-dhcpserver :

gw-world:/> add DHCPRelay vlan-to-dhcpserver Action=Relay TargetDHCPServer=ip-dhcp SourceInterface=ipgrp-dhcp AddRoute=Yes ProxyARPInterfaces=ipgrp-dhcp
Interface Web Ajout des interfaces VLAN vlan1 et vlan2 qui doivent rediriger le trafic vers un groupe dinterfaces nomm ipgrp-dhcp : Slectionnez Interface > Interface Groups > Add > InterfaceGroup (Interface > Groupes dinterfaces > Ajouter > Groupe dinterfaces). Saisissez : Name (nom) : ipgrp-dhcp Interfaces : slectionnez vlan1 et vlan2 dans la liste disponible et placez-les dans la liste Selected (Slection). Cliquez sur OK. Ajout dun relais DHCP nomm vlan-to-dhcpserver : Slectionnez System > DHCP > Add > DHCP Relay (Systme > DHCP > Ajouter > Relais DHCP). Saisissez : Name (nom) : vlan-to-dhcpserver Action : Relay (Rediriger) Source Interface (interface source) : ipgrp-dhcp DHCP Server to relay to (serveur DHCP vers lequel le trafic est redirig) : ip-dhcp Allowed IP offers from server (attributions dIP autorises partir du serveur) : all-nets (tout-rseau) Sous longlet Add Route (Ajouter une route), cochez Add dynamic routes for this relayed DHCP lease (ajouter routes dynamiques pour cette attribution HDCP relaye). Cliquez sur OK.
Groupes IP
Prsentation. On utilise les groupes IP pour permettre dautres accs sous-systmes un cache dadresses IP DHCP. Ces adresses sont rassembles dans un groupe en maintenant une srie de clients DHCP en interne (un par IP). Les serveurs DHCP utiliss par un groupe peuvent tre soit des serveurs externes, soit des serveurs DHCP dfinis dans NetDefendOS lui-mme. Les serveurs DHCP externes peuvent tre dfinis comme des serveurs sur une interface spcifique ou par une adresse IP unique. Vous pouvez configurer plusieurs groupes IP avec des identifiants diffrents. Lutilisation principale des groupes IP seffectue avec IKE Config Mode, fonctionnalit qui sert attribuer des adresses IP aux clients distants qui se connectent par des tunnels IPsec. Pour plus dinformations ce sujet,
99
Services DHCP
veuillez consulter la section intitule Utilisation du mode de configuration . Options de base des groupes IP. Voici les options de base disponibles pour un groupe IP : DHCP Server behind interface (serveur DHCP derrire une interface) Indique que le groupe IP doit utiliser le(s) serveur(s) DHCP se trouvant sur linterface spcifie. Server filter (filtre serveur) Paramtre facultatif servant spcifier quels serveurs doivent tre utiliss. Sil nest pas spcifi, chaque serveur DHCP de linterface sera utilis. Lordre des adresses ou des plages fournies (dans le cas dadresses multiples) sera utilis pour indiquer les serveurs prfrs.
Specify DHCP Server Address (spcifier ladresse du serveur DHCP) Sert spcifier la ou les adresses IP du serveur DHCP utiliser dans lordre croissant prfr. Lutilisation de ladresse IP de bouclage 127.0.0.1 indique que le serveur DHCP est NetDefendOS lui-mme. Client IP filter (filtre dIP client) Paramtre facultatif servant spcifier quelles adresses IP proposes sont valides et peuvent tre utilises. Dans la plupart des cas, cette option est dfinie sur le paramtre par dfaut, savoir all-nets (tout-rseau). Vous pouvez galement spcifier un ensemble de plages IP. Le filtre assure que seules certaines adresses IP en provenance des serveurs DHCP sont admises et on lutilise lorsque lon sattend ce quun serveur DHCP rponde avec une adresse IP non admise.
Options avances des groupes IP. Voici les options avances disponibles pour la configuration des groupes IP : Routing table (table de routage) Rgles de la table de routage qui doivent tre utilises pour les recherches lors de la rsolution des interfaces de destination pour les serveurs DHCP configurs. Receive interface (interface de rception) Interface de rception simule . Cette option peut tre utilise dans les rgles de routage bases sur des rgles et/ou pour dclencher une rgle de serveur DHCP spcifique si le groupe utilise un serveur DHCP dans NetDefendOS et si ladresse IP de ce serveur a t spcifie en tant quinterface de bouclage. MAC Range (plage MAC) Plage dadresses MAC qui sera utilise pour crer des faux clients DHCP. Cette option est utilise lorsque le(s) serveur(s) DHCP mappe(nt) des clients en adresse MAC. Lattribution en continu par le serveur DHCP de la mme adresse IP chaque client indique la ncessit dutiliser des plages MAC. Prefetched leases (attributions dadresses prcharges) Spcifie le nombre dattributions prcharger. Le prchargement amliore les performances car il ny aura pas de temps dattente lorsque le systme interrogera une adresse IP (lorsque des IP prcharges existent). Maximum free (maximum libre) Nombre maximum dadresses IP laisser libres . Doit tre gal ou suprieur au paramtre de prchargement. Le groupe dmarre le processus de libration (en restituant les adresses IP au serveur DHCP) lorsque le nombre de clients libres est suprieur cette valeur. Maximum clients (clients maximums) Paramtre facultatif utilis pour spcifier le nombre maximum de clients (adresses IP) autoriss dans le groupe. Utilisation des attributions prcharges. Comme mentionn dans la section prcdente, loption Prefetched Leases (attribution dadresses prcharges) spcifie la taille du cache des attributions dont la maintenance est assure par NetDefendOS. Ce cache permet une affectation rapide des attributions et peut amliorer les performances globales du systme. Il est important de noter toutefois que le nombre total dattributions prcharges est requis au dmarrage du systme et que, si ce nombre est trop lev, les performances initiales peuvent sen trouver affectes. Lorsque les attributions sont alloues dans le cache de prchargement, des requtes sont envoyes aux serveurs DHCP, de sorte que le cache est toujours rempli. Par consquent, ladministrateur doit dfinir la taille du cache de prchargement initiale de faon ce quelle soit optimale.
100
Services DHCP
Exemple 5.5. Cration dun groupe IP

Cet exemple montre comment crer un objet groupe IP qui utilisera le serveur DHCP ladresse IP 28.10.14.1 avec 10 attributions prcharges. On suppose que cette adresse IP est dj dfinie dans le carnet dadresses en tant quobjet IP nomm ippool_dhcp Interface de ligne de commande
gw-world:/> add IPPool ip_pool_1 DHCPServerType=ServerIP ServerIP=ippool_dhcp
Interface Web Slectionnez Objects > IP Pools > Add > IP Pool (Objets > Groupes IP > Ajouter > Groupe IP). Saisissez le nom : ip_pool_1 Slectionnez Specify DHCP Server Address (spcifier ladresse du serveur DHCP). Ajoutez ippool_dhcp la liste slectionne. Slectionnez longlet Advanced (Avanc). Dfinissez le nombre dattributions prcharges sur 10. Cliquez sur OK.
101
Chapitre 6. Mcanismes de scurit

Le prsent chapitre dcrit les fonctions de scurit de NetDefendOS.
Rgles daccs
Introduction
Lune des fonctions principales de NetDefendOS est de permettre uniquement aux connexions autorises daccder aux ressources de donnes protges. Le contrle daccs est tout dabord dfini par lensemble de rgles IP de NetDefendOS dans lequel une plage dadresses protges est traite comme un hte de confiance, le trafic provenant des sources non fiables ntant pas autoris pntrer les zones de confiance. Avant quune nouvelle connexion soit confronte lensemble de rgles IP, NetDefendOS confronte la source de la connexion un ensemble de rgles daccs. Les rgles daccs peuvent spcifier quelle source de trafic est attendue sur une interface donne et peuvent galement rejeter automatiquement le trafic provenant de sources spcifiques. Les rgles daccs sont mme de proposer un filtrage initial efficace et cibl des nouvelles tentatives de connexion. La rgle daccs par dfaut. Mme si ladministrateur ne dfinit pas explicitement de rgle daccs, une rgle daccs de base est toujours en place, appele rgle daccs par dfaut. Cette rgle par dfaut vrifie systmatiquement le trafic entrant en effectuant une recherche inverse dans la table de routage. Cette recherche vrifie que le trafic entrant provient dune source signale par les tables de routage comme tant accessible via linterface de destination du trafic. Si cette recherche inverse choue, la connexion est interrompue et un message rgle daccs par dfaut est gnr. Pour la plupart des configurations, la rgle daccs par dfaut suffit et ladministrateur na pas besoin de spcifier explicitement dautres rgles. La rgle par dfaut peut, par exemple, protger contre lusurpation dIP, dcrite dans la section suivante. Lorsque des rgles daccs sont explicitement spcifies, la rgle daccs par dfaut continue de sappliquer si une nouvelle connexion ne correspond aucune des rgles spcifies.
Usurpation dIP
Le trafic qui semble provenir dun hte de confiance peut avoir t envoy par un pirate pour tenter de contourner les mcanismes de scurit dun firewall. Une telle attaque est plus frquemment appele Spoofing (usurpation). Lusurpation dIP est lune des attaques de spoofing les plus courantes. On utilise des adresses IP scurises pour contourner le filtrage. Len-tte dun paquet IP, qui indique ladresse source du paquet, est modifi par le pirate de faon indiquer une adresse hte locale. Le firewall croit alors que le paquet provient dune source scurise. Puisquon ne peut pas rpondre correctement la source du paquet, une congestion de trafic inutile risque de se crer et une situation de dni de service (DoS) peut alors survenir. Mme si le firewall peut dtecter une situation de dni de service, elle est par nature difficile surveiller et stopper. Les VPN offrent un moyen dviter le spoofing mais pour les cas o ils ne constituent pas une solution approprie, les rgles daccs peuvent offrir une fonctionnalit anti-spoofing en mettant disposition un filtre supplmentaire pour la vrification des adresses source. Une rgle daccs peut vrifier que les paquets arrivant une interface donne ne possdent pas dadresse source associe au rseau dune autre interface. En dautres termes : Tout trafic entrant avec une adresse IP source appartenant un hte de confiance local nest PAS autoris. Tout trafic sortant avec une adresse IP source appartenant un hte externe non scuris nest PAS autoris. Le premier nonc empche un inconnu dutiliser ladresse dun hte local en tant quadresse source. Le second empche tout hte local de lancer le processus dusurpation.
Paramtres des rgles daccs

La configuration dune rgle daccs ressemble celle des autres types de rgles. Ses paramtres contiennent des
102
Mcanismes de scurit
champs de filtrage ainsi que laction entreprendre. Si une correspondance existe, la rgle est active et NetDefendOS excute laction spcifie. Champs de filtrage des rgles daccs. Les champs de filtrage des rgles daccs utiliss pour activer une rgle sont les suivants : Interface : Interface sur laquelle arrive le paquet. Network (Rseau) : La plage IP laquelle doit appartenir ladresse de lexpditeur. Actions des rgles daccs. Les actions des rgles daccs qui peuvent tre spcifies sont les suivantes : Drop (Ignorer) : ignore les paquets qui correspondent aux champs dfinis. Accept (Accepter) : accepte les paquets qui correspondent aux champs dfinis pour une inspection dtaille de lensemble de rgles. Expect (Prvoir) : si ladresse de lexpditeur du paquet correspond au rseau spcifi par cette rgle, linterface rceptrice est compare linterface spcifie. Si les interfaces correspondent, le paquet est accept de la mme faon que pour laction Accept (accepter). Si les interfaces diffrent, le paquet est ignor de la mme faon que pour laction Drop (Ignorer).
Remarque
Pour ces actions, la consignation peut tre active sur demande. Dsactivation des notifications de la rgle daccs par dfaut. Si, pour une quelconque raison, le message Rgle daccs par dfaut est gnr en continu par telle ou telle source et doit tre dsactiv, vous pouvez le faire en spcifiant une rgle daccs pour cette source avec une action Ignorer. Problmes lis au dpannage des rgles daccs. Il est noter que les rgles daccs constituent le filtre de trafic prioritaire par rapport aux autres modules de NetDefendOS. Pour cette raison, des problmes peuvent parfois survenir, tels que la configuration des tunnels VPN. Il est toujours conseill de vrifier les rgles daccs lorsque lon rsout des problmes embarrassants au cas o une rgle empche une autre opration de fonctionner correctement, comme la mise en place dun tunnel VPN par exemple.
Exemple 6.1. Configuration dune rgle daccs

On dfinit ici une rgle qui sassure quaucun trafic nest reu par linterface lan avec une adresse source en dehors du rseau lannet. Interface de ligne de commande
gw-world:/> add Access Name=lan_Access Interface=lan Network=lannet Action=Except
Interface Web Slectionnez Rules > Access (Rgles > Accs). Slectionnez Access Rule (Rgle daccs) dans le menu Add (Ajouter). Saisissez : Name (nom) : lan_Access Action : Except (sauf) Interface : lan Network (Rseau) : lannet Cliquez sur OK.
Passerelles ALG (Application Layer Gateway)

Prsentation
En complment du filtrage de paquets de bas niveau, qui inspecte uniquement les en-ttes de paquets des
103
Mcanismes de scurit
protocoles tels que IP, TCP, UDP et ICMP, les firewalls D-Link proposent des passerelles ALG qui assurent un filtrage au niveau suprieur de la couche dapplication OSI. Un objet ALG fonctionne comme un mdiateur daccs pour les applications Internet utilises couramment en dehors du rseau protg, telles que laccs Internet, le transfert de fichiers et le transfert de contenu multimdia. Les passerelles ALG proposent une scurit suprieure au filtrage de paquets car elles peuvent surveiller lensemble du trafic pour un protocole spcifique et effectuer des vrifications aux plus hauts niveaux de la pile TCP/IP. Voici les protocoles qui sont pris en charge par les passerelles ALG de NetDefendOS : HTTP FTP TFTP SMTP POP3 SIP H.323 Dploiement dune passerelle ALG. Une fois quune passerelle ALG est dfinie par ladministrateur, elle est mise en service, tout dabord, par son association un objet de service, ce service tant ensuite associ une rgle IP dans lensemble de rgles IP de NetdefendOS. Sessions de connexion maximales. Le service associ une ALG possde un paramtre configurable qui lui est associ, appel Max Sessions, dont la valeur par dfaut dpend du type dALG. Par exemple, la valeur par dfaut pour lALG HTTP est 1000. Cela signifie que 1000 connexions sont autorises au total pour le Service HTTP sur toutes les interfaces. Voici la liste complte des valeurs par dfaut minimales : ALG HTTP - 1000 sessions. ALG FTP - 200 sessions. ALG TFTP - 200 sessions. ALG SMTP - 200 sessions. ALG POP3 - 200 sessions. ALG H.323 - 100 sessions.
Remarque
Cette valeur par dfaut peut souvent tre trop basse pour le protocole HTTP si un grand nombre de clients se connectent par le firewall D-Link. Il est alors conseill denvisager lutilisation dune valeur suprieure. Les passerelles ALG et la protection SYN-flood. Il est important de noter que les objets de service dfinis par lutilisateur de manire personnalise permettent dactiver la protection SYN-flood, une fonctionnalit qui cible prcisment les attaques SYN-flood. Si cette option est active pour un objet de service, alors aucune ALG associe ce service ne sera utilise.
HTTP
HTTP (Hyper Text Transfer Protocol) est le protocole principal utilis pour accder Internet. Cest un protocole de la couche dapplication, dpourvu de connexion et dtat, reposant sur une architecture requte/rponse. Un client, tel quun navigateur Web, envoie une requte en tablissant une connexion TCP/IP vers un port connu (gnralement le port 80) dun serveur distant. Le serveur rpond par une chane de rponses, suivie dun message qui lui est propre. Ce message peut, par exemple, tre un fichier HTML destin tre affich dans le navigateur Web, un composant ActiveX destin tre excut sur lordinateur client, ou bien un message derreur.
104
Mcanismes de scurit
Le protocole HTTP rencontre certains problmes en raison du trs grand nombre de sites Web auxquels il est possible daccder et de la diversit des types de fichiers pouvant tre tlchargs suite ces accs. Le protocole ALG HTTP est un sous-systme tendu de NetDefendOS qui comprend un certain nombre de modules. Ceux-ci comprennent les fonctionnalits suivantes, qui sont dcrites dans les sections indiques du manuel qui leur sont ddies : Static Content Filtering (filtrage de contenu statique) - Il sagit du Blacklisting et du Whitelisting des URL spcifiques. URL Blacklisting ( blacklisting des URL) - Des URL spcifiques peuvent tre mises sur liste noire pour quelles ne soient plus accessibles. Le wildcarding peut tre utilis au moment de spcifier ces URL. URL Whitelisting ( whitelisting des URL) - Inverse du blacklisting , vrifie que certaines URL sont toujours autorises. Vous pouvez galement utiliser le wildcarding pour ces URL. Il est important de noter que le fait de mettre sur liste blanche une URL implique quaucune vrification, telle quune analyse antivirus ou un filtrage de contenu, ne sera applique au trafic HTTP. NetDefendOS va considrer que lon peut faire confiance au trafic provenant de cette URL. Ces fonctionnalits sont dcrites de faon dtaille dans la section intitule Filtrage de contenu statique . Filtrage de contenu dynamique Laccs des URL spcifiques peut tre autoris ou bloqu selon les rgles appliques un certain type de contenu Web. Laccs aux sites dactualits peut tre autoris, alors que laccs aux sites de jeux peut tre bloqu. Ces fonctionnalits sont dcrites de faon dtaille dans la section intitule Filtrage de contenu statique . Analyse antivirus - Le contenu des fichiers HTTP tlchargs peut tre analys afin de rechercher des virus. Ces fonctionnalits sont dcrites de faon dtaille dans la section intitule Analyse antivirus . Vrification de lintgrit des fichiers - Cette partie de la passerelle ALG gre le type de fichiers tlchargs. Vrification du type MIME - Cette fonction est utilise pour vrifier que le type du nom de fichier utilis pour le tlchargement saccorde avec le contenu du fichier. Tous les types de fichiers vrifis de cette manire par NetDefendOS figurent dans la liste de lAnnexe C, Types de fichiers MIME vrifis. Ces types de fichiers figurent galement dans la liste Allow/Block (Autoriser/Bloquer) dcrite ci-dessous. Tout tlchargement de fichier qui choue la vrification est interrompu par NetDefendOS. Autoriser/Bloquer les types slectionns - Cette option de liste fonctionne indpendamment de loption de vrification MIME dcrite ci-dessus. Il existe deux modes de fonctionnement de la liste : Block Selected (Bloquer la slection) signifie que le tlchargement des types de fichiers slectionns sera automatiquement bloqu. Le contenu dun fichier sera analys pour identifier le type de fichier correct. Par exemple, si un fichier contenant des donnes .exe est trouv, mais que le type du fichier nest pas .exe, alors il sera bloqu si les fichiers .exe sont bloqus. Bloquer est laction par dfaut, ce qui signifie que si rien nest slectionn dans la liste, aucune action nest entreprise. Allow Selected (Autoriser la slection) signifie que seuls les types de fichiers slectionns seront autoriss au tlchargement. Le contenu des fichiers est galement examin pour dterminer le vrai type de fichier. Les types de fichiers supplmentaires qui ne sont pas inclus par dfaut peuvent tre ajouts la liste Allow/Block (Autoriser/Bloquer). Ceux-ci ne peuvent toutefois pas tre soumis la vrification du type MIME, ce qui signifie que lextension du fichier sera considre comme correcte par rapport au contenu du fichier. De plus, vous pouvez dfinir une taille limite pour chaque opration de tlchargement. Dploiement dune passerelle ALG HTTP. Comme mentionn dans lintroduction, lobjet ALG HTTP est mis en service, tout dabord, par son association un objet de service, ce service tant ensuite associ une rgle IP dans lensemble de rgles IP de NetdefendOS. Un certain nombre de services HTTP prdfinis peuvent tre utiliss avec la passerelle ALG. Par exemple, vous pouvez slectionner le service HTTP cet effet. Tant que le
105
Mcanismes de scurit
service associ est li une rgle IP, la passerelle ALG sera applique au trafic cibl par cette rgle IP. Le service HTTPS (galement inclus dans le service http-all) ne peut pas tre utilis avec une passerelle ALG HTTP tant que le trafic HTTPS est chiffr.
FTP
Le File Transfer Protocol (FTP) est un protocole reposant sur le TCP/IP destin lchange de fichiers entre un client et un serveur. Le client lance la connexion en se reliant au serveur FTP. Normalement, le client doit sauthentifier lui-mme en fournissant un identifiant et un mot de passe prdfinis. Aprs avoir autoris laccs, le serveur propose au client une liste de fichiers/rpertoires partir desquels il peut tlcharger/charger des fichiers (selon les droits daccs). LALG FTP est utilise pour grer les connexions FTP par le firewall D-Link. Connexions FTP. Le FTP emploie deux canaux de communication, un pour les commandes de contrle et un autre pour les fichiers qui sont en cours de transfert. Lorsquune session FTP est ouverte, le client FTP tablit une connexion TCP (canal de contrle) vers le port 21 (par dfaut) sur le serveur FTP. Ce qui se passe ensuite dpend du mode de FTP utilis. Modes de connexion. Le FTP fonctionne selon deux modes : active (actif) et passive (passif). Ceux-ci dterminent le rle du serveur lors de louverture des canaux de donnes entre le client et le serveur. En mode actif, le client FTP envoie une commande au serveur FTP, qui indique ladresse IP et le port auxquels le serveur doit se connecter. Le serveur FTP tablit le canal de donnes retour vers le client FTP grce aux informations dadresse reues. En mode passif, le canal de donnes est ouvert par le client FTP vers le serveur FTP, de la mme faon que le canal de commande. Il sagit du mode par dfaut recommand pour les clients FTP bien que certains recommandent le mode inverse. Problmes de scurit du FTP. Les deux modes de fonctionnement du FTP rencontrent des problmes lis aux firewalls. Considrez un cas de figure o un client FTP du rseau interne se connecte travers le firewall un serveur FTP sur Internet. La rgle IP est alors configure pour autoriser le trafic rseau du client FTP vers le port 21 du serveur FTP. En mode actif, NetDefendOS ne sait pas que le serveur FTP est sur le point dtablir une nouvelle connexion vers le client FTP. Par consquent, la connexion entrante pour le canal de donnes sera interrompue. tant donn que le numro de port utilis pour le canal de donnes est dynamique, le seul moyen de rsoudre ce problme est dautoriser le trafic en provenance de tous les ports du serveur FTP sur tous les ports du client FTP. Ce nest videmment pas une bonne solution. En mode passif, le firewall na pas besoin dautoriser les connexions provenant du serveur FTP. Mais NetDefendOS ne sait toujours pas quel port le client FTP tente dutiliser pour le canal de donnes. Cela signifie quil doit autoriser le trafic provenant de tous les ports du client FTP vers tous les ports du serveur FTP. Bien que cette opration soit plus scurise que celle du mode actif, elle prsente toujours une menace de scurit potentielle. De plus, tous les clients FTP ne peuvent pas utiliser le mode passif. La solution. LALG FTP rsout ce problme en rassemblant entirement le flux TCP du canal de commande et en examinant son contenu. Le firewall sait donc quel port doit tre ouvert pour le canal de donnes. De plus, lALG FTP propose galement des fonctionnalits pour liminer certaines commandes de contrle grce son filtre, ainsi quune protection de base contre la saturation de la mmoire tampon. La fonctionnalit la plus importante de lALG FTP est sa capacit unique effectuer des conversions instantanes entre le mode passif et le mode actif. La conversion peut tre dcrite comme suit : Vous pouvez configurer le client FTP de manire ce quil utilise le mode passif, qui est le mode recommand pour les clients. Vous pouvez configurer le serveur FTP de manire ce quil utilise le mode actif, qui est le mode plus sr pour les serveurs. Lorsquune session FTP est tablie, le firewall D-Link reoit automatiquement et de manire transparente le canal des donnes passives du client FTP et le canal des donnes actives du serveur et les lie les unes avec les
106
Mcanismes de scurit
autres. Cette mise en uvre permet la fois au client et au serveur FTP de fonctionner dans leur mode le plus scuris. La conversion fonctionne galement linverse, c'est--dire que le client FTP utilise le mode actif et le serveur FTP le mode passif.
Exemple 6.2. Protection dun serveur FTP avec une passerelle ALG
Comme illustr ci-dessous, on connecte un serveur FTP au Firewall D-Link sur un port DMZ qui possde des adresses IP prives :
Pour permettre la connexion ce serveur partir dInternet via la passerelle ALG FTP, les rgles et la passerelle ALG FTP doivent tre configures comme suit : Interface Web A. Dfinition de la passerelle ALG : Slectionnez Objects > ALG > Add > FTP ALG (Objets > ALG > Ajouter > ALG FTP). Saisissez le nom : ftp-inbound Cochez la case Allow client to use active mode (Autoriser le client utiliser le mode actif). Dcochez la case Allow server to use passive mode (Autoriser le serveur utiliser le mode passif). Cliquez sur OK.
107
Mcanismes de scurit
B. Dfinition du service : Slectionnez Objects > Services > Add > TCP/UDP Service (Objets > Services > Ajouter > Service TCP/UDP). Saisissez les paramtres suivants : Name (nom): ftp-inbound Type : slectionnez TCP dans la liste Destination: 21 (le port sur lequel se trouve le serveur FTP). ALG : slectionnez ftp-inbound qui vient dtre cr. Cliquez sur OK. C. Dfinition dune rgle qui autorise les connexions vers les adresses IP publiques sur le port 21 et les transmet au serveur FTP interne : Slectionez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (nom): SAT-ftp-inbound Action : SAT Service: ftp-inbound Pour loption Address Filter (Filtre dadresses), saisissez : Source Interface (Interface source) : any (toutes) Destination Interface (Interface de destination) : core (noyau) Source Network (Rseau source) : all-nets (tout rseau) Destination Network (Rseau de destination) : wan_ip (en supposant que linterface externe a t dfinie ainsi) Pour SAT, cochez la case Translate the Destination IP Address (Traduire ladresse IP de destination). Slectionnez : New IP Address (Nouvelle adresse IP) : ftp-internal (en supposant que cette adresse IP interne pour le serveur FTP a t dfinie dans lobjet carnet dadresse). New Port (nouveau port) : 21 Cliquez sur OK. D. Le trafic en provenance de linterface interne ncessite une traduction NAT : Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (nom): NAT-ftp Action : NAT Service: ftp-inbound Pour loption Address Filter (Filtre dadresses), saisissez :
108
Mcanismes de scurit
Source Interface (Interface source) : dmz Destination Interface (Interface de destination) : core (noyau) Source Network (Rseau source) : dmznet Destination Network (Rseau de destination) : wan_ip Pour NAT, cochez la case Use Interface Address (Utiliser ladresse de linterface). Cliquez sur OK. E. Autoriser les connexions entrantes (SAT ncessite une seconde rgle Allow (Autoriser)) : Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (nom): Allow-ftp Action : Autoriser Service: ftp-inbound Pour loption Address Filter (Filtre dadresses), saisissez : Source Interface (Interface source) : any (toutes) Destination Interface (Interface de destination) : core (noyau) Source Network (Rseau source) : all-nets (tout rseau) Destination Network (Rseau de destination) : wan_ip Cliquez sur OK.
Exemple 6.3. Protection des clients FTP

Dans le cas de figure ci-dessous, le firewall D-Link protge une station de travail qui va se connecter des serveurs FTP sur Internet.
109
Mcanismes de scurit
Pour permettre la connexion ces serveurs partir du rseau interne via la passerelle ALG FTP, les rgles et la passerelle ALG FTP doivent tre configures comme suit : Interface Web A. Cration de la passerelle ALG FTP : Slectionnez Objects > ALG > Add > FTP ALG (Objets > ALG > Ajouter > ALG FTP). Saisissez le nom : ftp-outbound Dcochez la case Allow client to use active mode (Autoriser le client utiliser le mode actif). Cochez la case Allow server to use passive mode (Autoriser le serveur utiliser le mode passif). Cliquez sur OK. B. Cration du service : Slectionnez Objects > Services > Add > TCP/UDP Service (Objets > Services > Ajouter > Service TCP/UDP). Saisissez : Name (nom): ftp-outbound Type : slectionnez TCP dans la liste droulante. Destination : 21 (le port sur lequel se trouve le serveur FTP).
110
Mcanismes de scurit
ALG : slectionnez ftp-outbound, qui vient dtre cr. Cliquez sur OK. Rgles (lors de lutilisation dadresses IP publiques). La rgle suivante doit tre ajoute aux rgles IP lorsquon utilise des adresses IP publiques ; vrifiez quaucune autre rgle ninterdit ou nautorise dores et dj le mme type de port/de trafic. Le service employ est ftp-outbound, qui doit utiliser la dfinition ALG ftp-outbound comme dcrit prcdemment. C. Autoriser les connexions vers les serveurs FTP externes : Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (nom): Allow-ftp-outbound Action : Allow (Autoriser) Service: ftp-outbound Pour loption Address Filter (Filtre dadresses), saisissez : Source Interface (Interface source) : lan Destination Interface (Interface de destination) : wan Source Network (Rseau source) : lannet Destination Network (Rseau de destination) : all-nets (tout rseau) Cliquez sur OK. D. Rgles (lors de lutilisation dadresses IP prives). Si le firewall utilise des adresses IP prives, la nouvelle rgle NAT suivante doit tre ajoute : Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (nom): NAT-ftp-outbound Action : NAT Service: ftp-outbound Pour loption Address Filter (Filtre dadresses), saisissez : Source Interface (Interface source) : lan Destination Interface (Interface de destination) : wan Source Network (Rseau source) : lannet Destination Network (Rseau de destination) : all-nets (tout rseau) Cochez la case Use Interface Address (Utiliser ladresse de linterface). Cliquez sur OK.
TFTP
Trivial File Transfer Protocol (TFTP) est une version simplifie du protocole FTP avec des fonctionnalits plus limites. Son objectif est dautoriser un client charger des fichiers sur un systme hte ou de les tlcharger
111
Mcanismes de scurit
partir du systme hte. Le transport de donnes TFTP repose sur le protocole UDP. De ce fait, il offre ses propres protocoles de transport et de contrle de session, qui reprsentent des couches du protocole UDP. TFTP est largement utilis dans les entreprises pour la mise jour des logiciels et la sauvegarde des configurations des priphriques rseau. Par dfinition, TFTP est reconnu comme tant un protocole non scuris et son utilisation est souvent restreinte aux rseaux internes. La passerelle ALG de NetDefendOS propose une couche de scurit supplmentaire au TFTP car elle peut restreindre son utilisation. Options TFTP gnrales. Allow/Disallow Read (Autoriser/Refuser la lecture) La fonction GET de TFTP peut tre dsactive de manire ce que les fichiers ne puissent pas tre rcuprs par un client TFTP. La valeur par dfaut est Allow (Autoriser). Allow/Disallow Write (Autoriser/Refuser lcriture) La fonction PUT de TFTP peut tre dsactive de manire ce quun client TFTP ne puisse pas crire dans les fichiers. La valeur par dfaut est Allow (Autoriser). Remove Request Option (Supprimer les options de la requte) Prcise si les options doivent tre supprimes de la requte. La valeur par dfaut est False, qui signifie ne pas supprimer . Block Unknown Options (Bloquer les options inconnues) Cette option autorise bloquer toutes les options dune requte autres que la taille des blocs, la priode dexpiration et la taille du transfert de fichiers. La valeur par dfaut est False, qui signifie ne pas bloquer . Options des requtes TFTP. Tant que loption de suppression de requte dcrite ci-dessus est configure sur false (les options ne sont pas supprimes), les paramtres suivants sappliquent pour les options des requtes : Maximum Blocksize (Taille de bloc maximale) Vous pouvez prciser la taille de bloc maximale autorise. Les valeurs valides sont comprises entre 0 et 65 464 octets. La valeur par dfaut est 65 464 octets. Maxiumum File Size (Taille de fichier maximale) La taille maximale dun transfert de fichiers peut tre limite. La valeur par dfaut reprsente le maximum absolu autoris, c'est--dire 999 999 Ko. Allow Directory Traversal (Autoriser le parcours des rpertoires) Cette option peut interdire le parcours des rpertoires en utilisant des noms de fichiers contenant des points conscutifs ( .. ). Autoriser les expirations de requtes. La passerelle ALG TFTP de NetDefendOS bloque les requtes TFTP rptes provenant du mme port et de la mme adresse IP source dans une priode de temps fixe. Ceci sexplique par le fait que certains clients TFTP peuvent envoyer des requtes provenant du mme port source sans allouer de priode dexpiration approprie.
SMTP
Simple Mail Transfer Protocol (SMTP) est un protocole textuel utilis pour le transfert de messages lectroniques entre les serveurs de messagerie via Internet. Gnralement, le serveur SMTP local se situe sur une DMZ de telle sorte que les messages lectroniques envoys par les serveurs SMTP distants traverseront le firewall D-Link pour atteindre le serveur local (cette configuration est illustre plus loin dans la section intitule Filtrage de SPAM DNSBL ). Les utilisateurs locaux utiliseront ensuite le logiciel de messagerie client pour rcuprer leurs messages lectroniques du serveur local SMTP. Options ALG SMTP. Les principales fonctionnalits de la passerelle ALG SMTP sont les suivantes : Email Rate Limiting (Limitation du dbit des messages lectroniques) Vous pouvez spcifier un dbit maximal autoris pour les messages lectroniques. Email Size Limiting (Limitation de la taille des messages lectroniques) Vous pouvez spcifier une taille maximale autorise pour les messages lectroniques. Cette fonctionnalit
112
Mcanismes de scurit
compte la somme totale doctets envoye pour un seul message lectronique, qui correspond la taille de len-tte, ajoute celle du corps et celle de toutes les pices jointes au message aprs son encodage. Noubliez pas que la taille dun message lectronique comprenant, par exemple, une pice jointe de 100 Ko, dpassera 100 Ko. La taille transfre peut tre de 120 Ko ou plus, car lencodage, qui est automatique pour les pices jointes, peut augmenter considrablement la taille de la pice jointe transfre. Ladministrateur doit donc ajouter une marge raisonnable la taille du message lectronique prvue lorsquil dfinit cette limite. Email address blacklisting ( blacklisting dadresses lectroniques) Vous pouvez spcifier une liste noire dadresses lectroniques pour que les messages provenant de ces adresses soient bloqus. Email address whitelisting ( whitelisting dadresses lectroniques) Vous pouvez spcifier une liste blanche dadresses lectroniques pour que les messages provenant de cette adresse soient autoriss traverser lALG. Verify MIME-type (Vrification du type MIME) Les types de fichiers envoys en pices jointes dans les messages lectroniques peuvent tre vrifis. Vous pouvez trouver une liste de tous les types de fichiers examins dans lAnnexe C, Types de fichiers MIME examins. Anti-Virus Scanning (Analyse antivirus) Le module antivirus de NetDefendOS peut analyser les pices jointes des messages lectroniques afin de rechercher du code malveillant. Ces fonctionnalits sont dcrites de faon dtaille dans la section intitule Analyse antivirus .
Filtrage SPAM DNSBL

Les messages lectroniques non sollicits, souvent appels spams, sont devenus la fois une grande contrarit et un problme de scurit sur lInternet publique. Envoys en masse par des groupes de spammeurs, les courriers lectroniques non sollicits peuvent gaspiller les ressources, transporter des programmes malveillants et tentent galement de diriger le lecteur sur des pages Web qui peuvent exploiter certaines vulnrabilits prsentes sur les navigateurs. La passerelle ALG SMTP de NetDefendOS bnficie dun module SPAM intgr qui permet dappliquer le filtrage du spam aux messages lectroniques entrants selon leur provenance. Cela peut rduire de manire significative la charge de tels courriers lectroniques dans les botes de messagerie des utilisateurs situs derrire un firewall D-Link. NetDefendOS propose les options suivantes : Ignorer les courriers lectroniques ayant une forte probabilit dtre des spams. Laisser passer mais marquer les courriers lectroniques qui ont une probabilit modre dtre des spams. Mise en uvre de NetDefendOS. SMTP fonctionne comme un protocole denvoi de messages lectroniques entre serveurs. NetDefendOS applique le filtrage du spam aux messages lectroniques lorsquils traversent un firewall D-Link, en provenance dun serveur SMTP distant vers le serveur SMTP local ( partir duquel les clients locaux vont par la suite tlcharger les courriers lectroniques). Le serveur SMTP local est gnralement configur sur une DMZ et il y a habituellement un seul saut entre le serveur metteur et le serveur rcepteur local. Un certain nombre dorganisations prouves grent des bases de donnes accessibles au plus grand nombre qui peuvent tre interrogs via lInternet publique et dans lesquelles figurent les adresses IP dorigine des serveurs de spam SMTP connus. Ces listes sont appeles bases de donnes DNS Black List (DNSBL) et leurs informations sont accessibles via une mthode de requte standardise prise en charge par NetDefendOS. La figure ci-dessous illustre tous les lments qui entrent en jeu :
Figure 6.1. Filtrage SPAM DNSBL
113
Mcanismes de scurit
Lorsque la fonction de filtrage du spam de NetDefendOS est configure, ladresse IP du serveur qui met le message lectronique peut tre transmise un ou plusieurs serveurs DNSBL pour que ceux-ci nous informent si le message lectronique provient ou non dun spammeur (pour ce faire, NetDefendOS examine les en-ttes du paquet IP). La rponse envoye par un serveur peut tre une rponse not listed (non rpertorie) ou une rponse listed (rpertorie). Dans ce dernier cas, le serveur DSNBL indique que le message lectronique peut tre un spam et offre en gnral galement une information appele enregistrement TXT, qui constitue une explication textuelle pour la liste. Ladministrateur peut configurer lALG SMTP de NetDefendOS afin quelle consulte plusieurs serveurs DNSBL pour parvenir un consensus quand ladresse dorigine dun message lectronique. Lorsquun nouveau message lectronique arrive, on interroge les serveurs pour valuer la probabilit que le message soit un spam, en fonction de son adresse dorigine. Ladministrateur de NetDefendOS attribue un poids suprieur 0 pour chaque serveur configur, de telle sorte que la somme pondre puisse ensuite tre calcule en fonction de toutes les rponses. Ladministrateur peut configurer lune des actions suivantes, dtermines en fonction de la somme calcule : Si la somme est suprieure ou gale un Drop threshold (seuil de rejet) prdfini, alors le message lectronique est dfinitivement considr comme un spam et il est ignor, ou bien envoy une bote de messagerie prvue cet effet. Si la somme est suprieure ou gale un SPAM threshold (seuil de spam) prdfini, alors le message lectronique est considr comme tant probablement un spam, mais il est achemin vers le destinataire avec une notification. Exemple de calcul de seuil. Supposons, par exemple, que 3 serveurs DNSBL soient configurs : dnsbl1, dnsbl2 et dnsbl3. On leur attribue respectivement un poids de 3, 2 et 2. Le seuil de spam est alors dfini sur 5. Si dnsbl1 et dnsbl2 affirment quun message lectronique est un spam mais que dnsbl3 affirme le contraire, alors le total calcul sera 3+2+0=5. tant donn que le total, dans ce cas 5, est gal (ou suprieur) au seuil, le message lectronique sera considr comme un spam. Dans cet exemple, si lon configure le Drop threshold (seuil de rejet) sur 7, alors les 3 serveurs DNSBL devront ragir pour que la somme calcule entrane le rejet du message lectronique (3+2+2=7). Balisage des spams. Lorsquun message lectronique est considr comme un spam potentiel, c'est--dire lorsque la somme calcule est suprieure au SPAM threshold (seuil de spam) et infrieure au Drop threshold (seuil de rejet), alors le champ Subject (sujet) du message lectronique est modifi par lajout dun prfixe avant quil ne soit transmis au destinataire souhait. Le texte du message de la balise est spcifi par ladministrateur mais peut tre laiss vide (bien que cela ne soit pas recommand). Voici un exemple de balisage, le champ Subject (sujet) dorigine tant :
114
Mcanismes de scurit
Buy this stock today! (achetez ce produit aujourdhui !)
Si le texte de la balise est dfini ainsi : *** SPAM *** , alors le champ Subject (sujet) modifi du message lectronique sera :
*** SPAM *** Buy this stock today!
Cest ce que verra le destinataire du message lectronique dans le rsum du contenu de sa bote de rception. Lutilisateur individuel peut ensuite dcider de configurer ses propres filtres dans le client local pour quils se chargent de ces messages lectroniques baliss, en les envoyant ventuellement dans un dossier spar. De plus, des champs X-SPAM sont ajouts au contenu du message lectronique. Ceux-ci comprennent : X-Spam-Flag (indicateur X-Spam) Cette valeur sera toujours dfinie sur Yes (oui). X-Spam-Checker-Version (Vrificateur de version X-Spam) Version de NetDefendOS qui a balis le message lectronique X-Spam-Status (tat X-Spam) - Ce sera toujours DNSBL X-Spam-Report (rapport X-Spam) Liste de serveurs DNSBL qui ont marqu le message lectronique comme spam Vous pouvez faire appel ces champs dans les rgles de filtrage du serveur de messagerie configures par ladministrateur. Rejet des spams. Si la somme calcule est suprieure ou gale la valeur Drop threshold (seuil de rejet), alors le message lectronique nest pas transmis au destinataire souhait. Lladministrateur peut choisir lune ou lautre alternative suivante pour les messages lectroniques ignors : Une adresse de messagerie spciale peut tre configure pour recevoir tous les mails ignors. Une fois cette formalit accomplie, tous les messages TXT (mentionns prcdemment) envoys par les serveurs DNSBL qui ont identifi le message lectronique en tant que spam peuvent tre, si ncessaire, ajouts par NetDefendOS en pice jointe au message lectronique transfr. Si aucune adresse de messagerie destinataire nest configure pour les messages lectroniques rejets, alors ils sont ignors par NetDefendOS et un message derreur est envoy ladresse de lexpditeur avec les messages TXT provenant des serveurs DNSBL qui ont rejet le message lectronique. Autorisation des serveurs dchec DNSBL. Lorsquune requte vers un serveur DNSBL expire, NetDefendOS considre que la requte a chou et le poids donn ce serveur sera automatiquement soustrait des seuils de spam et de rejet pour le calcul du score attribu ce message lectronique. Si un nombre suffisant de serveurs DNSBL ne rpond pas, cette soustraction peut signifier que les valeurs de seuil deviennent ngatives. tant donn que le calcul du score donnera toujours la valeur 0 ou une valeur suprieure (les serveurs ne peuvent avoir de valeurs de poids ngatives), tous les messages lectroniques seront autoriss passer si les seuils de spam et de rejet deviennent tous deux ngatifs. Un message de consignation est gnr chaque fois quun serveur DNSBL configur ne rpond pas en temps voulu. Cette opration se produit une seule fois au dbut dune squence conscutive dchecs de rponses provenant dun serveur unique pour viter de rpter inutilement le message. Vrification de ladresse lectronique de lexpditeur. Dans le cadre du module anti-spam, loption de vrification de ladresse lectronique de lexpditeur refuse les messages qui comportent des erreurs dans ladresse SMTP From et dans len-tte From . En dautres termes, ladresse source de len-tte du protocole SMTP et len-tte de chargement des donnes SMTP doivent tre les mmes. Le spam peut les rendre diffrents, cest la raison pour laquelle cette fonctionnalit offre une vrification supplmentaire de lintgrit du message lectronique. Consignation. Trois types de consignations sont effectus par le module de filtrage du spam. Logging of dropped or SPAM tagged emails (Consignation des messages lectroniques ignors ou marqus comme spams) - Ces messages de consignation comportent ladresse de messagerie et ladresse IP sources, ainsi que le score de points pondrs et le DNSBL lorigine du message vnement. DNSBLs not responding (Les DNSBL ne rpondent pas) Les expirations des requtes DNSBL sont
115
Mcanismes de scurit
consignes. All defined DNBSLs stop responding (Tous les DNSBL dfinis cessent de rpondre) Il sagit dun vnement de haute gravit car les messages lectroniques seront autoriss passer si cet vnement se produit. Configuration du rseau. Rsum de la procdure de configuration. Les tapes de configuration du filtrage DNSBL du spam dans la passerelle ALG SMTP sont rsumes par la liste suivante : Spcifiez quels serveurs DNSBL seront utiliss. Ils peuvent tre plusieurs et peuvent tre utiliss soit pour sauvegarder des donnes entre eux, soit pour confirmer le statut dun expditeur. Spcifiez un poids (weight) pour chaque serveur, qui dterminera son importance dcider si un message lectronique est un spam ou non, lors du calcul de la somme pondre. Spcifiez le seuil pour quun message lectronique soit marqu comme spam. Si la somme pondre est suprieure ou gale ce seuil, le message lectronique sera considr comme tant un spam. Spcifiez une balise textuelle placer en prfixe dans le champ Subject (Objet) dun message lectronique marqu comme spam. Spcifiez le Drop threshold (seuil de rejet). Si la somme pondre est suprieure ou gale ce seuil, le message lectronique sera compltement ignor. Ce seuil doit tre suprieur ou gal au seuil de spam. Sils sont gaux, alors le seuil de rejet sera prioritaire de sorte que tous les messages lectroniques seront ignors lorsque ce seuil sera atteint. Spcifiez, si ncessaire, une adresse de messagerie vers laquelle seront envoys les messages lectroniques ignors (au lieu de simplement les effacer). Indiquez ventuellement si les messages TXT envoys par les serveurs dchec DNSBL doivent tre ajouts ces messages lectroniques. Mise en cache dadresses pour des performances accrues. Pour acclrer le traitement, NetDefendOS gre un cache contenant les adresses des expditeurs recherchs le plus rcemment dans la mmoire locale. Lorsque le cache est plein, lentre la plus ancienne est rcrite en premier. Ladministrateur peut modifier la valeur Address Timeout (expiration dadresse) du cache. Ce paramtre dtermine combien de temps une adresse, quelle quelle soit, sera valide une fois charge dans le cache. Une fois ce dlai expir, une nouvelle requte dadresse expditeur mise en cache doit tre envoye aux serveurs DNSBL. Le cache est vid au dmarrage ou chaque nouvelle configuration et ladministrateur peut contrler sa taille. La commande dnsbl de linterface de ligne de commande. La commande dnsbl de linterface de ligne de commande offre un moyen de contrler et de surveiller le fonctionnement du module de filtrage de spam. La commande dnsbl seule, sans option additionnelle, montre le statut global de toutes les ALG. Si le nom de la passerelle ALG SMTP sur laquelle est activ le filtrage de spam DNSBL est my_smtp_alg, le rsultat sera le suivant :
gw-world:/> dnsbl DNSBL Contexts: Name Status Spam Drop Accept ------------------------ -------- -------- -------- -------my_smtp_alg active 156 65 34299 alt_smtp_alg inactive 0 0 0
Loption -show propose un rsum de lopration de filtrage du spam dune ALG spcifique.
gw-world:/> dnsbl my_smtp_alg -show DNSBL used by ALG my_smtp_alg Drop Threshold : 20 Spam Threshold : 10 Append TXT records : yes IP Cache maximum size : 10 IP Cache current size : 5 IP Cache timeout : 600 Configured BlackLists : 4 Disabled BlackLists : 0
116
Mcanismes de scurit
Current Sessions Statistics: Total number of Number of mails Number of mails Number of mails : 3
mails checked : 34520 dropped : 65 spam tagged : 156 accepted : 34299
BlackList Status Value Total Matches -------------------------------- -------- ------ ------- ------server.spamcenter.org active 25 34520 221 node1.spamlister.org active 20 34520 65
Pour nettoyer le cache dnsbl de la passerelle my_smtp_alg et rinitialiser tous ses compteurs de statistiques, utilisez loption de commande suivante :
gw-world:/> dnsbl my_smtp_alg -clean
Remarque
Les URL du serveur DNSBL ci-dessus sont fictives et utiliss uniquement titre dexemple. Vous pouvez trouver une liste de DNSBL ladresse suivante: http://en.wikipedia.org/wiki/Comparison_of_DNS_blacklists.
POP3
POP3 est un protocole utilis pour le transfert de messages lectroniques qui diffre du protocole SMTP dans le sens o le transfert de messages lectroniques se fait directement dun serveur vers le logiciel client dun utilisateur. Options ALG POP3. Les principales fonctionnalits de la passerelle ALG POP3 sont les suivantes : Block Clear Text Authentication (Bloquer lauthentification en texte clair) Bloque les connexions entre les clients et les serveurs qui transmettent la combinaison nom dutilisateur/mot de passe en texte clair et donc facilement lisible (certains serveurs peuvent ne pas prendre en charge dautres mthodes de transmission que celle-ci). Hide User (Masquer lutilisateur) Cette option empche le serveur POP3 de dvoiler quun nom dutilisateur nexiste pas. Cela empche les utilisateurs dessayer plusieurs noms dutilisateurs jusqu ce quils en trouvent un valide.
Allow Unknown Commands (Autoriser les commandes inconnues) Vous pouvez autoriser ou interdire les commandes POP3 non standard qui ne sont pas reconnues par la passerelle ALG. Fail Mode (Mode chec) Lorsque lanalyse de contenu dtecte une mauvaise intgrit de fichier, celui-ci peut tre autoris ou interdit.
Verify MIME-type (Vrification du type MIME) Les types de fichiers envoys en pices jointes dans les messages lectroniques peuvent tre vrifis. Vous pouvez trouver une liste de tous les types de fichiers examins dans lAnnexe C, Types de fichiers MIME examins. Anti-Virus Scanning (Analyse antivirus) Le module antivirus de NetDefendOS peut analyser les pices jointes des messages lectroniques la recherche de code malveillant. Ces fonctionnalits sont dcrites de faon dtaille dans la section intitule Analyse antivirus . Les options disponibles sont les suivantes : Disable (Dsactiver) : dsactive la surveillance. Protect (Protger) : interrompt les tlchargements qui peuvent contenir un virus et les consigne. Audit (Vrification) : consigne les tlchargements pouvant contenir un virus sans les interrompre.
117
Mcanismes de scurit
Options de lantivirus. Lorsque lanalyse antivirus est active, vous pouvez utiliser les options suivantes pour contrler la vrification des fichiers : Anti-Virus Compression Rate (Taux de compression antivirus) Les fichiers compresss avec un taux de compression suprieur la valeur spcifie vont dclencher lune des actions suivantes : Allow (Autoriser) : poursuit sans analyse antivirus. Scan (Analyser) : poursuit lanalyse. Drop (Ignorer) : ignore le fichier et interrompt le transfert. Include/Exclude Filetypes (Inclure/Exclure les types de fichiers) Vous pouvez spcifier une liste de types de fichiers qui doivent tre inclus dans lanalyse ou exclus.
SIP
Session Initiation Protocol (SIP) est un protocole de signalisation textuel ASCII (UTF-8) utilis pour tablir des sessions entre les clients dun rseau IP. Il sagit dun protocole requte-rponse semblable aux protocoles HTTP et SMTP. Une session peut comprendre un appel VoIP ou reprsenter une confrence multimdia base sur la collaboration. Lutilisation du protocole SIP avec les appels VoIP implique que la tlphonie peut devenir une application IP supplmentaire pouvant sintgrer dans dautres services. SIP ne connat pas les dtails du contenu dune session et se charge uniquement dtablir, de terminer et de modifier des sessions. Les sessions configures par le protocole SIP sont gnralement utilises pour la diffusion en continu de contenus audio et vido sur Internet via le protocole UDP, mais elles peuvent galement comporter des changes bass sur le protocole TCP. Bien que les sessions VoIP reposant sur le protocole UDP sont courantes, les communications qui emploient dautres protocoles tels que TCP ou TLS peuvent galement tre impliques dans une session. Le protocole SIP est dfini par la norme RFC 3261, qui devient une norme de plus en plus prise pour la VoIP. On peut le comparer au H.323, mais un objectif de conception du SIP est de le rendre plus volutif que le H.323. (Pour plus dinformations sur la VoIP, reportez-vous galement la section intitule H.323 .) Composants SIP. Les composants suivants constituent les blocs logiques de la communication SIP : User Agents (Agents utilisateurs) Un User Agent est une terminaison ou un client qui participe une communication P2P. Il sagit gnralement dun poste de travail ou dun priphrique utilis pour la tlphonie sur IP. Dans cette section, le mot client sera souvent utilis dans ce contexte. Serveurs proxy Un serveur proxy joue le rle de routeur dans le protocole SIP. Il fonctionne la fois comme client et serveur lorsquil reoit des requtes de client. Les serveurs proxy transfrent les requtes aux clients localiss, authentifient et autorisent les accs aux services. Ils mettent galement en uvre les rgles de routage dappels. Le proxy est gnralement situ du ct non protg du firewall D-Link, c'est--dire lemplacement du proxy pris en charge par le SIP ALG de NetDefendOS. Registrars (Agents denregistrement) Un serveur qui gre les requtes SIP REGISTER est appel Registrar ou agent denregistrement . Le serveur denregistrement se charge de localiser lhte partir duquel le client associ est accessible. Le serveur denregistrement et le serveur proxy sont des entits logiques et peuvent se trouver sur le mme serveur physique. Protocoles SIP orients mdia. Les sessions SIP utilisent de nombreux sous-protocoles : SDP RTP Session Description Protocol (RFC4566) est utilis pour initialiser les sessions mdia. Real-time Transport Protocol (RFC3550) est utilis en tant que format de paquets sous-jacent pour la
118
Mcanismes de scurit
diffusion de contenus audiovisuels par IP grce au protocole UDP. RTCP Real-time Control Protocol (RFC3550) est utilis avec le RTP pour offrir une gestion du flux de contrle hors bande.
Exemples dutilisation du SIP. Le SIP ALG de NetDefendOS prend en charge les exemples dutilisation suivants : 1. Internal to External (Interne externe) La session SIP relie un client situ du ct protg du firewall D-Link un client situ du ct externe non protg. Gnralement, la communication a lieu via lInternet publique. 2. Same Network (Rseau identique) Une particularit du cas de figure interne interne est le cas o deux clients dune session se trouvent sur le mme rseau. Dans ces trois cas de figure, le serveur proxy est suppos se trouver du ct non protg du firewall D-Link. Options de configuration SIP. Vous pouvez configurer les options suivantes pour un objet SIP ALG : Maximum Sessions per ID (Nombre de sessions maximales par IP) Le nombre de sessions simultanes dans lesquelles peut tre impliqu un client unique est limit par cette valeur. La valeur par dfaut est 5. Maximum Registration Time (Dure maximale denregistrement) Dure maximale denregistrement avec un agent denregistrement SIP. La valeur par dfaut est 3 600 secondes. SIP Request-Response Timeout (Dlai dexpiration des requtes-rponses SIP) Dure maximale autorise pour rpondre des requtes SIP. Pass ce dlai, une condition dexpiration est applique. La valeur par dfaut est 180 secondes. SIP Signal Timeout (Dlai dexpiration du signal SIP) Dure maximale autorise pour les sessions SIP. La valeur par dfaut est 43 200 secondes. Data Channel Timeout (Dlai dexpiration du canal de donnes) Dure maximale autorise pour les priodes sans trafic lors dune session SIP. Lorsque cette valeur est dpasse, une condition dexpiration est applique. La valeur par dfaut est 120 secondes. Rsum de la configuration du SIP. Pour cette configuration, nous considrons un cas de figure o les utilisateurs VoIP se trouvent dans le rseau priv interne de leur socit et que la topologie de leur rseau est cache en utilisant NAT. Ce cas de figure est illustr ci-dessous :
Le serveur proxy SIP du schma ci-dessus peut galement tre localis distance via Internet. Le serveur proxy SIP doit tre configur avec la fonctionnalit Record-Route (Enregistrer route) active pour assurer que
119
Mcanismes de scurit
lensemble du trafic SIP en direction et en provenance des clients de la socit sera envoy par le serveur proxy SIP. Cette option est recommande, car si vous nautorisez que le trafic de signalisation SIP envoy par ce serveur proxy entrer sur le rseau local, la zone dattaque est minimise. Voici les tapes suivre :
Remarque
Les agents utilisateurs SIP et les serveurs proxy SIP ne doivent pas tre configurs pour lemploi du NAT Traversal (franchissement NAT) dans une installation. La technique Simple Traversal of UDP through NATs (STUN), par exemple, ne doit pas tre utilise. Le SIP ALG de NetDefendOS se chargera de tous les problmes de franchissement NAT dans une configuration SIP. Dfinissez un objet SIP ALG avec les options dcrites ci-dessus. Un objet de service est utilis pour lALG laquelle est associ le SIP ALG de ltape prcdente. Le service doit avoir les paramtres suivants : Destination Port (port de destination) configur sur 5060 Type configur sur UDP Dfinissez deux rgles dans lensemble de rgles IP : Une rgle NAT pour le trafic sortant depuis les agents utilisateurs du rseau interne vers le serveur proxy SIP localis lextrieur. Le SIP ALG prendra en charge toutes les traductions dadresses requises par la rgle NAT. Cette traduction va intervenir la fois au niveau IP et au niveau applicatif. Ni les agents utilisateurs, ni les serveurs proxy ne doivent tre au courant que les utilisateurs locaux subissent le NAT. Une rgle Allow (Autoriser) pour le trafic SIP entrant, en provenance du proxy SIP vers lIP du Firewall D-Link. Cette rgle utilisera linterface core (c'est--dire NetDefendOS lui-mme) en tant quinterface de destination. Cette rgle est obligatoire pour pouvoir fonctionner avec la rgle NAT prcdemment configure. Lorsquun appel entrant est reu, NetDefendOS localise automatiquement le rcepteur local, effectue la traduction dadresse et transfre les messages SIP au rcepteur. Cette opration sera ralise selon ltat interne de la passerelle ALG. Une rgle SAT nest pas ncessaire puisque lALG soccupe du mappage des adresses IP des utilisateurs individuels, situs derrire la passerelle, en adresses Internet publiques. Lorsquun utilisateur situ derrire un Firewall D-Link senregistre avec un proxy SIP, il envoie son URI SIP (pour lidentification de manire unique) ladresse IP publique du firewall. Lorsquun utilisateur externe lance par la suite un appel, le trafic SIP parvient ladresse IP publique et lALG effectue la traduction ncessaire en adresse IP interne de lutilisateur. Vrifiez que les clients sont correctement configurs. Le serveur proxy SIP joue un rle capital pour localiser lemplacement actuel du client associ pour la session. Ladresse IP du proxy nest pas spcifie directement dans lALG. Son emplacement est saisi directement dans le logiciel client utilis par le client, ou alors, dans certains cas, le client possde un moyen de retrouver ladresse IP du proxy automatiquement, via DHCP par exemple. Gestion du trafic de donnes. Les tapes de configuration ci-dessus traitent de la communication SIP pour tablir des communications P2P. Les deux rgles IP sont toujours ncessaires pour que les clients puissent accder au serveur proxy SIP, mais aucune rgle nest ncessaire pour manipuler le trafic de donnes rel impliqu, par exemple, lors dun appel VoIP. Le SIP ALG met en place automatiquement les objets NetDefendOS ncessaires pour permettre au trafic de donnes de traverser le Firewall D-Link, ceux-ci tant invisibles pour ladministrateur.
Conseil
Vrifiez quaucune rgle existante de lensemble de rgles IP ninterdit ou nautorise dores et dj le mme type de trafic. Selon lenvironnement SIP, le SIP ALG NetDefendOS peut oprer dans des environnements prsentant une topologie cache avec des adresses IP prives, ainsi que dans des environnements avec des adresses IP publiques. SIP est un protocole hautement configurable et les tapes suivantes dcrivent la configuration requise.
H.323
120
Mcanismes de scurit
H.323 est une norme approuve par lITU (International Telecommunication Union) qui garantit la compatibilit des transmissions des vidoconfrences sur les rseaux IP. Elle est utilise pour la communication audio, vido et de donnes en temps rel sur les rseaux reposant sur les paquets comme Internet. Elle spcifie les composants, les protocoles et les procdures pour offrir ces communications multimdia, notamment la tlphonie Internet et la VoIP. (Pour plus dinformations sur la VoIP, reportez-vous galement la section intitule SIP .) Composants H.323. H.323 comprend quatre lments principaux : Terminals (Terminaux) Priphriques utiliss pour la communication audio et, de manire optionnelle, la communication vido et de donnes, comme par exemple les tlphones, les appareils de confrence ou les softphones tels que le logiciel NetMeeting . Une passerelle H.323 relie deux rseaux diffrents et transporte le trafic entre eux. Elle propose une connectivit entre les rseaux H.323 et les rseaux non H.323 tels que les rseaux tlphoniques publics commuts (RTPC), en traduisant les protocoles et en convertissant les mdia entre eux. Une passerelle nest pas ncessaire pour la communication entre deux terminaux H.323. Le portier est un composant du systme H.323 utilis pour la traduction dadresse, la gestion des autorisations et des authentifications des terminaux et des passerelles. Il peut galement prendre en charge la gestion, la comptabilit et la facturation de la bande passante. Le portier peut autoriser que des appels soient effectus directement entre deux extrmits. Il peut galement assurer le routage de lappel, en signalant par lui-mme de lancer des fonctions telles que follow-me/find-me (suivez-moi, trouvez-moi), forward on busy (renvoi des appels en cas doccupation), etc. Il est ncessaire lorsque plusieurs terminaux H.323 se trouvent derrire un priphrique NAT possdant une seule adresse IP publique.
Gateways (Passerelles)
Gatekeepers (Portiers)
Multipoint Control Units (Units de contrle multipoint) Les MCU prennent en charge des confrences avec au moins trois terminaux H.323. Tous les terminaux H.323 qui participent lappel de confrence doivent tablir une connexion avec les MCU. Les MCU grent ensuite les appels, les ressources et les codecs vido et audio utiliss pendant lappel. Protocoles H.323. Voici les diffrents protocoles utiliss pour mettre en uvre H.323 : H.225 RAS signaling and Call Control (Setup) signaling (Signalisation H.225 RAS et signalisation Call Control) Utiliss pour signaler des appels. Permet dtablir une connexion entre deux extrmits H.323. Ce canal pour le signal dappel est ouvert entre deux extrmits H.323 ou entre une extrmit H.323 et un portier. Pour communiquer entre deux extrmits H.323, on utilise TCP 1720. Pour se connecter un portier, on utilise le port UDP 1719 (messages H.255 RAS). H.245 Media Control and Transport (Contrle multimdia et transport H.245) Propose un contrle des sessions multimdia tablies entre deux extrmits H.323. Sa tche principale est de ngocier louverture et la fermeture des canaux logiques. Un canal logique est, par exemple, un canal audio utilis pour les communications vocales. Les canaux vido et T.120 sont galement appels canaux logiques pendant la ngociation. T.120 Suite de protocoles de communication et dapplication Selon le type de produit H.323, le protocole T.120 peut tre utilis pour le partage dapplications, le transfert de fichiers, ainsi que pour les fonctionnalits de confrence comme les tableaux blancs.
Fonctionnalits H.323 ALG. Le H.323 ALG est une passerelle ALG flexible qui permet aux priphriques H.323 tels que les tlphones et les applications H.323 de passer et de recevoir des appels entre eux lorsquils sont connects sur des rseaux privs scuriss par les firewalls D-Link.
121
Mcanismes de scurit
La norme H.323 na pas t conue pour grer NAT, car les adresses IP et les ports sont envoys dans la charge utile des messages H.323. Le H.323 ALG modifie et traduit les messages H.323 pour sassurer quils seront routs vers la destination correcte et autoriss traverser le firewall D-Link. Le H.323 ALG prsente les caractristiques suivantes : Le H.323 ALG prend en charge la version 5 de la norme H.323. Cette norme est base sur H.225.0 v5 et H.245 v10. En plus de la prise en charge de la voix et des appels vido, le H.323 ALG permet galement le partage dapplications via le protocole T.120. T.120 utilise le protocole TCP pour le transport des donnes, tandis que la voix et la vido sont transportes via le protocole UDP. Pour prendre en charge les portiers, la passerelle ALG surveille le trafic entre les extrmits H.323 et le portier, afin de configurer correctement le firewall D-Link pour quil laisse passer les appels. Les rgles NAT et SAT sont prises en charge, ce qui permet aux clients et aux portiers dutiliser des adresses IP prives sur un rseau situ derrire le firewall D-Link. Configuration du H.323 ALG. La configuration du H.323 ALG standard peut tre modifie pour sadapter diffrents cas de figure. Voici les options paramtrables : Allow TCP Data Channels (Autoriser les canaux de donnes TCP) : cette option autorise la ngociation des canaux de donnes reposant sur le protocole TCP. Les canaux de donnes sont utiliss, par exemple, par le protocole T.120. Number of TCP Data Channels (Nombre de canaux de donnes TCP) : prcise le nombre de canaux de donnes TCP autoriss. Address Translation (Traduction dadresses) : vous pouvez spcifier le rseau pour le trafic trait par NAT, c'est--dire ce qui est autoris tre traduit. LIP externe pour le rseau, qui est ladresse IP traduire par NAT, est spcifie. Si lIP externe est configure sur Auto, elle est alors trouve automatiquement via une recherche de route. Translate Logical Channel Addresses (Traduction des adresses des canaux logiques) : cette option est gnralement toujours configure. Si elle nest pas active, aucune traduction des adresses des canaux logiques ne sera effectue et ladministrateur devra tre sr quant aux adresses IP et aux routes utilises dans un cas de figure particulier. Gatekeeper Registration Lifetime (Dure de vie denregistrement des portiers) : la dure de vie denregistrement des portiers peut tre contrle afin de forcer le renregistrement des clients partir dun certain temps. Un laps de temps plus court exige des clients de senregistrer plus frquemment auprs du portier et diminue la probabilit de rencontrer un problme si le rseau devient inaccessible et que le client pense quil est toujours enregistr. Vous trouverez ci-dessous des cas de figure rseau pour lesquels le H.323 ALG peut sappliquer. Pour chaque cas de figure, un exemple de configuration, la fois de la passerelle ALG et des rgles, est prsent. Voici les trois dfinitions de services utilises dans ces cas de figure : Gatekeeper (UDP ALL > 1719) H323 (H.323 ALG, TCP ALL > 1720) H323-Gatekeeper (H.323 ALG, UDP > 1719)
Exemple 6.4. Protection des tlphones situs derrire les firewalls D-Link
Dans le premier cas de figure, un tlphone H.323 est connect au firewall D-Link sur un rseau (lannet) avec des adresses IP publiques. Pour permettre de passer un appel partir de ce tlphone vers un autre tlphone H.323 sur Internet et autoriser les tlphones H.323 sur Internet appeler ce tlphone, nous devons configurer certaines rgles. Les rgles suivantes doivent tre ajoutes lensemble de rgles IP ; vrifiez quaucune autre rgle ninterdit ou nautorise dores et dj le mme type de port/de trafic.
122
Mcanismes de scurit
Interface Web Outgoing Rule (Rgle de sortie) : Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : H323AllowOut Action : Allow (Autoriser) Service : H323 Source Interface (Interface source) : lan Destination Interface (Interface de destination) : any (toutes) Source Network (Rseau source) : lannet Destination Network (Rseau de destination) : 0.0.0.0/0 (all-nets) Comment (commentaire) : Allow outgoing calls (Autoriser les appels sortants) Cliquez sur OK. Incoming Rule (Rgle dentre) : Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : H323AllowIn Action : Allow (Autoriser) Service : H323 Source Interface (Interface source) : any (toutes) Destination Interface (Interface de destination) : lan Source Network (Rseau source) : 0.0.0.0/0 (all-nets)
123
Mcanismes de scurit
Destination Network (Rseau de destination) : lannet Comment (commentaire) : Allow incoming calls (Autoriser les appels entrants) Cliquez sur OK.
Exemple 6.5. H.323 avec adresses IP prives

Dans ce cas de figure, un tlphone H.323 est connect au firewall D-Link sur un rseau avec des adresses IP prives. Pour permettre de passer un appel partir de ce tlphone vers un autre tlphone H.323 sur Internet et autoriser les tlphones H.323 sur Internet appeler ce tlphone, nous devons configurer certaines rgles. Les rgles suivantes doivent tre ajoutes lensemble de rgles IP ; vrifiez quaucune autre rgle ninterdit ou nautorise dores et dj le mme type de port/de trafic. tant donn que nous utilisons des adresses IP prives sur le tlphone, le trafic entrant doit subir une opration SAT comme illustr ci-dessous. Lobjet ip-phone ci-dessous doit tre lIP interne du tlphone H.323. Interface Web Outgoing Rule (Rgle de sortie) : Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : H323Out Action : NAT Service : H323 Source Interface (Interface source) : lan Destination Interface (Interface de destination) : any (toutes) Source Network (Rseau source) : lannet Destination Network (Rseau de destination) : 0.0.0.0/0 (all-nets) Comment (commentaire) : Allow outgoing calls (Autoriser les appels sortants) Cliquez sur OK. Incoming Rule (Rgle dentre) : Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : H323In Action : SAT Service : H323 Source Interface (Interface source) : any (toutes) Destination Interface (Interface de destination) : core (noyau) Source Network (Rseau source) : 0.0.0.0/0 (all-nets) Destination Network (Rseau de destination) : wan_ip (IP externe du firewall) Comment (commentaire) : Allow incoming calls to H.323 phone at ip-phone (Autoriser les appels entrants vers le tlphone H.323 par ip-phone)
124
Mcanismes de scurit
Pour SAT, saisissez Translate Destination IP Address (Traduire ladresse IP de destination) To New IP Address (En nouvelle adresse IP) : ip-phone (Adresse IP du tlphone). Cliquez sur OK. Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : H323In Action : Allow (Autoriser) Service : H323 Source Interface (Interface source) : any (toutes) Destination Interface (Interface de destination) : core (noyau) Source Network (Rseau source) : 0.0.0.0/0 (all-nets) Destination Network (Rseau de destination) : wan_ip (IP externe du firewall) Comment (commentaire) : Allow incoming calls to H.323 phone at ip-phone (Autoriser les appels entrants vers le tlphone H.323 par ip-phone) Cliquez sur OK. Pour passer un appel vers le tlphone situ derrire le firewall D-Link, passez un appel vers ladresse IP externe du firewall. Si plusieurs tlphones H.323 sont placs derrire le firewall, une rgle SAT doit tre configure pour chacun dentre eux. Cela signifie que plusieurs adresses externes doivent tre utilises. Toutefois, on prfre utiliser un portier H.323 comme dans le cas de figure H.323 avec portier , car il ne ncessite quune seule adresse externe.
Exemple 6.6. Deux tlphones situs derrire des firewalls D-Link diffrents
Dans ce cas de figure, deux tlphones H.323 sont connects derrire le firewall D-Link sur un rseau avec des adresses IP publiques. Pour passer des appels par Internet avec ces tlphones, les rgles suivantes doivent tre ajoutes dans les listes de rgles des deux firewalls. Vrifiez quaucune autre rgle ninterdit ou nautorise dores et dj le mme type de port/de trafic.
Interface Web Outgoing Rule (Rgle de sortie) : Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP).
125
Mcanismes de scurit
Saisissez : Name (Nom) : H323AllowOut Action : Allow (Autoriser) Service : H323 Source Interface (Interface source) : lan Destination Interface (Interface de destination) : any (toutes) Source Network (Rseau source) : lannet Destination Network (Rseau de destination) : 0.0.0.0/0 (all-nets) Comment (commentaire) : Allow outgoing calls (Autoriser les appels sortants) Cliquez sur OK. Incoming Rule (Rgle dentre) : Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : H323AllowIn Action : Allow (Autoriser) Service : H323 Source Interface (Interface source) : any (toutes) Destination Interface (Interface de destination) : lan Source Network (Rseau source) : 0.0.0.0/0 (all-nets) Destination Network (Rseau de destination) : lannet Comment (commentaire) : Allow incoming calls (Autoriser les appels entrants) Cliquez sur OK.
Exemple 6.7. Utilisation dadresses IP prives

Dans ce cas de figure, deux tlphones H.323 sont connects derrire le firewall D-Link sur un rseau avec des adresses IP prives. Pour passer des appels sur Internet avec ces tlphones, les rgles suivantes doivent tre ajoutes lensemble de rgles du firewall ; vrifiez quaucune autre rgle ninterdit ou nautorise dores et dj le mme type de port/de trafic. tant donn que nous utilisons des adresses IP prives sur les tlphones, le trafic entrant doit subir une opration SAT comme illustr ci-dessous. Lobjet ip-phone ci-dessous doit tre lIP interne du tlphone H.323 situ derrire chaque firewall. Interface Web Outgoing Rule (Rgle de sortie) : Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : H323Out Action : NAT
126
Mcanismes de scurit
Service : H323 Source Interface (Interface source) : lan Destination Interface (Interface de destination) : any (toutes) Source Network (Rseau source) : lannet Destination Network (Rseau de destination) : 0.0.0.0/0 (all-nets) Comment (commentaire) : Allow outgoing calls (Autoriser les appels sortants) Cliquez sur OK. Incoming Rules (Rgles dentre) : Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : H323In Action : SAT Service : H323 Source Interface (Interface source) : any (toutes) Destination Interface (Interface de destination) : core (noyau) Source Network (Rseau source) : 0.0.0.0/0 (all-nets) Destination Network (Rseau de destination) : wan_ip (IP externe du firewall) Comment (commentaire) : Allow incoming calls to H.323 phone at ip-phone (Autoriser les appels entrants vers le tlphone H.323 par ip-phone) Pour SAT, saisissez Translate Destination IP Address (Traduire ladresse IP de destination) To New IP Address (En nouvelle adresse IP) : ip-phone (Adresse IP du tlphone). Cliquez sur OK. Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : H323In Action : Allow (Autoriser) Service : H323 Source Interface (Interface source) : any (toutes) Destination Interface (Interface de destination) : core (noyau) Source Network (Rseau source) : 0.0.0.0/0 (all-nets) Destination Network (Rseau de destination) : wan_ip (IP externe du firewall) Comment (commentaire) : Allow incoming calls to H.323 phone at ip-phone (Autoriser les appels entrants vers le tlphone H.323 par ip-phone) Cliquez sur OK.
127
Mcanismes de scurit
Pour passer un appel vers le tlphone situ derrire le firewall D-Link, passez un appel vers ladresse IP externe du firewall. Si plusieurs tlphones H.323 sont placs derrire le firewall, une rgle SAT doit tre configure pour chacun dentre eux. Cela signifie que plusieurs adresses externes doivent tre utilises. Toutefois, on prfre utiliser un portier H.323 car celui-ci ne ncessite quune seule adresse externe.
Exemple 6.8. H.323 avec portier

Dans ce cas de figure, un portier H.323 est plac dans la DMZ du firewall D-Link. On configure une rgle pour le firewall, qui autorise le trafic entre le rseau priv o sont connects les tlphones H.323 en interne et le portier situ sur la DMZ. Le portier situ sur la DMZ est configur avec une adresse prive. Les rgles suivantes doivent tre ajoutes aux listes de rgles des deux firewalls ; vrifiez quaucune autre rgle ninterdit ou nautorise dores et dj le mme type de port/de trafic.
Interface Web Incoming Gatekeeper Rules (Rgles dentre du portier) : Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : H323In Action : SAT Service : H323-Gatekeeper Source Interface (Interface source) : any (toutes) Destination Interface (Interface de destination) : core (noyau) Source Network (Rseau source) : 0.0.0.0/0 (all-nets) Destination Network (Rseau de destination) : wan_ip (IP externe du firewall) Comment (commentaire) : SAT rule for incoming communication with the Gatekeeper located at ip-gatekeeper (Rgle SAT pour les communications entrantes avec le portier situ lemplacement ip-gatekeeper) Pour SAT, saisissez Translate Destination IP Address (Traduire ladresse IP de destination) To New IP Address (En nouvelle adresse IP) : ip-gatekeeper (Adresse IP du portier).
128
Mcanismes de scurit
Cliquez sur OK. Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : H323In Action : Allow (Autoriser) Service : H323-Gatekeeper Source Interface (Interface source) : any (toutes) Destination Interface (Interface de destination) : core (noyau) Source Network (Rseau source) : 0.0.0.0/0 (all-nets) Destination Network (Rseau de destination) : wan_ip (IP externe du firewall) Comment (commentaire) : Allow incoming communication with the Gatekeeper (Autoriser les communications entrantes avec le portier) Cliquez sur OK. Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : H323In Action : Allow (Autoriser) Service : Gatekeeper Source Interface (Interface source) : lan Destination Interface (Interface de destination) : dmz Source Network (Rseau source) : lannet Destination Network (Rseau de destination) : ip-gatekeeper (Adresse IP du portier). Comment (commentaire) : Allow incoming communication with the Gatekeeper (Autoriser les communications entrantes avec le portier) Cliquez sur OK.
Remarque
Il nest pas ncessaire de prciser de rgle spcifique pour les appels sortants. NetDefendOS surveille la communication entre les tlphones externes et le portier pour vrifier que les tlphones internes peuvent appeler les tlphones externes enregistrs auprs du portier.
Exemple 6.9. H.323 avec un portier et deux firewalls D-Link

Ce cas de figure est assez similaire au cas de figure n3, la diffrence que le firewall D-Link protge les tlphones externes . Le firewall D-Link avec le portier connect la DMZ doit tre configur exactement comme dans le cas de figure n3. Les autres firewalls D-Link doivent tre configurs comme suit. Ces rgles doivent tre ajoutes aux listes de rgles ; vrifiez quaucune autre rgle ninterdit ou nautorise dores et dj le mme type de port/de trafic.
129
Mcanismes de scurit
Interface Web Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : H323Out Action : NAT Service : H323-Gatekeeper Source Interface (Interface source) : lan Destination Interface (Interface de destination) : any (toutes) Source Network (Rseau source) : lannet Destination Network (Rseau de destination) : 0.0.0.0/0 (all-nets) Comment (commentaire) : Allow outgoing communication with a gatekeeper (Autoriser les communications sortantes avec un portier) Cliquez sur OK.
Remarque
Exemple 6.10. Utilisation du H.323 ALG en entreprise

Ce cas de figure est un exemple de rseau plus complexe qui montre comment le H.323 ALG peut tre dploy en entreprise. Un portier H.323 est plac au sige DMZ pour grer tous les clients H.323 des siges, des succursales et des bureaux distance. Cela permet lensemble de lentreprise dutiliser le rseau la fois pour la
130
Mcanismes de scurit
communication vocale et le partage dapplications. On suppose que les tunnels VPN sont correctement configurs et que tous les bureaux utilisent des plages dadresses IP prives sur leurs rseaux locaux. Tous les appels extrieurs seffectuent par le rseau tlphonique existant grce la passerelle (ip-gateway) connecte au rseau tlphonique ordinaire.
Le sige a plac un portier H.323 dans la DMZ du firewall D-Link dentreprise. Ce firewall doit tre configur comme suit : Interface Web Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : LanToGK Action : Allow (Autoriser) Service : Gatekeeper Source Interface (Interface source) : lan Destination Interface (Interface de destination) : dmz Source Network (Rseau source) : lannet Destination Network (Rseau de destination) : ip-gatekeeper
131
Mcanismes de scurit
Comment (commentaire) : Allow H.323 entities on lannet to connect to the Gatekeeper (Autoriser les entits H.323 sur lannet se connecter au portier) Cliquez sur OK. Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : LanToGK Action : Allow (Autoriser) Service : H323 Source Interface (Interface source) : lan Destination Interface (Interface de destination) : dmz Source Network (Rseau source) : lannet Destination Network (Rseau de destination) : ip-gateway Comment (commentaire) : Allow H.323 entities on lannet to call phones connected to the H.323 Gateway on the DMZ (Autoriser les entits H.323 sur lannet appeler les tlphones connects la passerelle H.323 sur la DMZ) Cliquez sur OK. Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : GWToLan Action : Allow (Autoriser) Service : H323 Source Interface (Interface source) : dmz Destination Interface (Interface de destination) : lan Source Network (Rseau source) : ip-gateway Destination Network (Rseau de destination) : lannet Comment (commentaire) : Allow communication from the Gateway to H.323 phones on lannet (Autoriser les communications de la passerelle vers les tlphones H.323 sur lannet) Cliquez sur OK. Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : BranchToGW Action : Allow (Autoriser) Service : H323-Gatekeeper Source Interface (Interface source) : vpn-branch
132
Mcanismes de scurit
Destination Interface (Interface de destination) : dmz Source Network (Rseau source) : branch-net Destination Network (Rseau de destination) : ip-gatekeeper, ip-gateway Comment (commentaire) : Allow communication with the Gatekeeper on DMZ from the Branch network (Autoriser les communications avec le portier sur la DMZ en provenance des succursales) Cliquez sur OK. Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : BranchToGW Action : Allow (Autoriser) Service : H323-Gatekeeper Source Interface (Interface source) : vpn-remote Destination Interface (Interface de destination) : dmz Source Network (Rseau source) : remote-net Destination Network (Rseau de destination) : ip-gatekeeper Comment (commentaire) : Allow communication with the Gatekeeper on DMZ from the Remote network (Autoriser les communications avec le portier sur la DMZ en provenance des rseaux distants) Cliquez sur OK.
Exemple 6.11. Configuration des entreprises distantes pour H.323

Si les tlphones H.323 et les applications des succursales ou des bureaux distance doivent tre configurs pour utiliser la passerelle H.323 du sige, les firewalls D-Link des succursales et des bureaux distance doivent tre configurs comme suit : (cette rgle devrait se trouver la fois dans les firewalls des succursales et dans ceux des bureaux distance). Interface Web Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : ToGK Action : Allow (Autoriser) Service : H323-Gatekeeper Source Interface (Interface source) : lan Destination Interface (Interface de destination) : vpn-hq Source Network (Rseau source) : lannet Destination Network (Rseau de destination) : hq-net Comment (commentaire) : Allow communication with the Gatekeeper connected to the Head Office DMZ (Autoriser les communications avec le portier connect au sige DMZ)
133
Mcanismes de scurit
Cliquez sur OK.
Exemple 6.12. Autoriser la passerelle H.323 senregistrer auprs du portier

Le firewall D-Link de la succursale possde une passerelle H.323 connecte sa DMZ. Pour autoriser la passerelle senregistrer auprs du portier H.323 du sige, vous devez configurer la rgle suivante : Interface Web Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : GWToGK Action : Allow (Autoriser) Service : H323-Gatekeeper Source Interface (Interface source) : dmz Destination Interface (Interface de destination) : vpn-hq Source Network (Rseau source) : ip-branchgw Destination Network (Rseau de destination) : hq-net Comment (commentaire) : Allow the Gateway to communicate with the Gatekeeper connected to the Head Office (Autoriser la passerelle communiquer avec le portier connect au sige) Cliquez sur OK.
Remarque
Filtrage de contenu Web

Prsentation
Le trafic Web est lune des plus grandes sources de problmes de scurit et des abus dInternet. La navigation sur des sites inappropris peut exposer un rseau un grand nombre de menaces de scurit ainsi qu des responsabilits lgales et rglementaires. La productivit et la bande passante Internet peuvent donc tre affaiblies. NetDefendOS propose trois mcanismes de filtrage du contenu Web considr comme inappropri pour une entreprise ou un groupe dutilisateurs : Le traitement du contenu actif peut tre utilis pour nettoyer les pages Web du contenu qui prsente une menace potentielle selon ladministrateur, tel que les objets ActiveX et les applets Java. Le filtrage de contenu statique permet de classer manuellement les sites Web comme tant bons ou mauvais . Cette fonctionnalit est galement appele blacklisting et whitelisting des URL. Le filtrage de contenu dynamique est une fonctionnalit efficace qui permet ladministrateur dautoriser ou de bloquer laccs aux sites Web selon la catgorie dans laquelle ils sont classs par un service de classement automatique. Le filtrage de contenu dynamique ncessite un effort minimum en matire de gestion et offre une trs haute prcision. Toutes les fonctions du filtrage de contenu Web sont actives via la passerelle ALG HTTP (reportez-vous la
134
Mcanismes de scurit
section intitule HTTP ).
Traitement du contenu actif

Certains contenus Web peuvent renfermer des codes malveillants conus pour nuire au poste de travail ou au rseau partir desquels navigue lutilisateur. Gnralement, ces codes sont intgrs dans divers types dobjets ou de fichiers contenus dans les pages Web. NetDefendOS prend en charge la suppression des types dobjets suivants du contenu dune page Web : Les objets ActiveX (y compris Flash) Les applets Java Les codes Javascript/VBScript Les cookies Les caractres UTF-8 au format invalide (un format dURL invalide peut tre utilis pour attaquer les serveurs Web) Vous pouvez slectionner individuellement les types dobjets supprimer en configurant les ALG HTTP correspondantes.
Attention
Des prcautions doivent tre prises avant dactiver la suppression dobjets du contenu Web. Un grand nombre de sites Web utilisent Javascript et dautres types de codes ct client et, dans la plupart des cas, ces codes ne sont pas malveillants. Des exemples frquents de ces codes sont les scripts utiliss pour mettre en place des menus droulants ou pour afficher ou masquer des lments sur les pages Web. La suppression de ce code lgitime peut, dans le meilleur des cas, entraner une dformation dans laffichage du site Web et dans le pire des cas, provoquer un dysfonctionnement total dans le navigateur. Le traitement du contenu actif doit donc tre uniquement utilis lorsque lon comprend parfaitement ses consquences.
Exemple 6.13. limination des applets Java et ActiveX

Cet exemple montre comment configurer une ALG HTTP pour liminer les applets Java et ActiveX. Cet exemple utilise lobjet ALG content_filtering et suppose que vous avez utilis lun des exemples prcdents. Interface de ligne de commande
gw-world:/> set ALG ALG_HTTP content_filtering RemoveActiveX=Yes RemoveApplets=Yes
Interface Web Slectionnez Objects > ALG (Objets > ALG). Dans la liste, cliquez sur notre objet HTTP ALG, content_filtering. Cochez la case Strip ActiveX objects (including flash) (liminer les objets ActiveX, y compris flash). Cochez la case Strip Java applets (liminer les applets Java). Cliquez sur OK.
Filtrage de contenu statique

NetDefendOS peut autoriser ou bloquer certaines pages Web en fonction de listes dURL configures appeles blacklists (listes noires) et whitelists (listes blanches). Ce type de filtrage est galement appel Static Content
135
Mcanismes de scurit
Filtering (filtrage de contenu statique). Le principal avantage du filtrage de contenu statique est quil est excellent pour cibler des sites Web spcifiques et dcider de les bloquer ou de les autoriser. Ordre de filtrage statique et dynamique. De plus, le filtrage de contenu statique a lieu avant le filtrage de contenu dynamique (dcrit ci-dessous), ce qui permet de faire manuellement des exceptions au processus automatique de classement dynamique. Dans un cas de figure o des produits doivent tre achets dans une boutique en ligne particulire, le filtrage de contenu dynamique peut tre configur pour empcher laccs aux sites dachats en bloquant la catgorie shopping . Si vous placez lURL de la boutique en ligne dans la liste blanche de la passerelle ALG HTTP, laccs cette URL sera toujours autoris, ayant la priorit sur le filtrage de contenu dynamique. Wildcarding. Les listes noires et les listes blanches dURL prennent toutes les deux en charge la correspondance joker des URL afin dtre plus flexibles. Cette correspondance joker sapplique galement au chemin qui suit le nom dhte de lURL, ce qui signifie que le filtrage peut tre contrl au niveau fichier et rpertoire. Voici quelques bons et mauvais exemples dURL de la liste noire utiliss pour le blocage : *.example.com/* www.example.com/* */*.gif www.example.com *example.com/* Correct. Bloque tous les htes du domaine example.com et toutes les pages Web desservies par ces htes. Correct. Bloque le site Web www.example.com et toutes les pages Web desservies par ce site. Correct. Bloque tous les fichiers ayant lextension de nom de fichier .gif . Incorrect. Bloque uniquement la premire requte au site Web. La navigation sur la page www.example.com/index.html, par exemple, ne sera pas bloque. Incorrect. Provoque galement le blocage du site www.myexample.com car cela bloque tous les sites se terminant par example.com.
Remarque
La fonctionnalit blacklisting des URL du filtrage de contenu Web est un concept qui se dtache de la section intitule Blacklisting des htes et rseaux .
Exemple 6.14. Configuration des listes blanches et noires

Cet exemple montre comment utiliser le filtrage de contenu statique qui permet NetDefendOS dautoriser ou de bloquer certaines pages Web en fonction des listes noires et blanches. tant donn que cest lutilisation du filtrage de contenu statique qui est illustre, le filtrage de contenu dynamique et le traitement du contenu actif ne sont pas activs dans cet exemple. Dans ce simple cas de figure, une rgle de navigation gnrale empche les utilisateurs de tlcharger des fichiers .exe. Toutefois, le site Web D-Link propose des programmes srs et indispensables que lon doit autoriser au tlchargement. Interface de ligne de commande Commencez par ajouter une ALG HTTP pour le filtrage du trafic HTTP :
gw-world:/> add ALG ALG_HTTP content_filtering
Crez ensuite une URL pour lALG HTTP afin de configurer une liste noire :
gw-world:/> cc ALG ALG_HTTP content_filtering gw-world:/content_filtering> add ALG_HTTP_URL URL=*/*.exe Action=Blacklist
Enfin, dfinissez une exception la liste noire en crant une liste blanche spcifique :
gw-world:/content_filtering> add ALG_HTTP_URL URL=www.D-Link.com/*.exe Action=Whitelist
Interface Web Commencez par ajouter une ALG HTTP pour le filtrage du trafic HTTP :
136
Mcanismes de scurit
Slectionnez Objects > ALG > Add > HTTP ALG (Objets > ALG > Ajouter > ALG HTTP). Saisissez un nom convenable pour lALG, par exemple : content_filtering. Cliquez sur OK. Crez ensuite une URL pour lALG HTTP afin de configurer une liste noire : Slectionnez Objects > ALG (Objets > ALG). Dans la liste, cliquez sur lALG HTTP rcemment cre (content_filtering), puis slectionnez Add > HTTP ALG URL (Ajouter > URL de lALG HTTP). Slectionnez Blacklist dans le menu droulant Action. Saisissez */*.exe dans la bote de texte URL Cliquez sur OK. Enfin, dfinissez une exception la liste noire en crant une liste blanche spcifique : Slectionnez Objects > ALG (Objets > ALG). Dans la liste, cliquez sur lALG HTTP rcemment cre (content_filtering), puis slectionnez Add > HTTP ALG URL (Ajouter > URL de lALG HTTP). Slectionnez Whitelist dans le menu droulant Action. Saisissez www.D-Link.com/*.exe dans la bote de texte URL. Cliquez sur OK. Il vous suffit simplement de continuer ajouter des listes noires et blanches spcifiques jusqu ce que le filtre rponde vos besoins.
Filtrage de contenu Web dynamique

Prsentation. NetDefendOS prend en charge le Dynamic Web Content Filtering (filtrage de contenu Web dynamique) qui permet un administrateur dautoriser ou de bloquer les accs aux pages Web suivant leur contenu. Cette fonctionnalit est automatise et vous navez pas spcifier manuellement les URL autoriser ou bloquer. D-Link garantit une infrastructure internationale de bases de donnes contenant un trs grand nombre dadresses URL de sites Web actuels, regroupes en plusieurs catgories : shopping, actualits, sport, contenu pour adultes, etc. Ces bases de donnes sont mises jour toutes les heures avec de nouvelles URL organises en catgories, pendant que les URL antrieures incorrectes sont rejetes. Le contenu de la base de donnes est international et englobe des sites Web en de nombreuses langues diffrentes qui sont hbergs dans des pays du monde entier.
Disponibilit du filtrage de contenu Web dynamique sur les modles D-Link

Le filtrage de contenu dynamique est disponible uniquement sur les produits DFL-260 et DFL-860 de D-Link. Flux de traitement des URL. Lorsquun utilisateur demande laccs un site Web, NetDefendOS envoie une requte ces bases de donnes pour rcuprer la catgorie du site demand. Laccs au site est ensuite autoris ou refus lutilisateur suivant les rgles de filtrage en place pour cette catgorie. Si laccs est refus, une page Web expliquant lutilisateur que le site demand a t bloqu saffiche. Pour rendre le processus de recherche de route aussi rapide que possible, NetDefendOS conserve les URL rcemment visits dans un cache local. La mise en cache peut savrer trs efficace car une communaut dutilisateurs donne, comme par exemple un groupe dtudiants duniversit, navigue souvent sur un nombre de sites limit.
Figure 6.2. Flux de filtrage de contenu dynamique
137
Mcanismes de scurit
Si lURL de la page Web demande nexiste pas dans les bases de donnes, alors le contenu de la page Web de cette URL sera automatiquement tlcharg dans lentrept central de donnes D-Link et automatiquement analys grce une combinaison de techniques telles que les rseaux de neurones et le filtrage par motif. Une fois organise en catgories, lURL est envoye aux bases de donnes internationales et NetDefendOS reoit la catgorie pour cette URL. Le filtrage de contenu dynamique ncessite, par consquent, un effort de gestion minimum.
Remarque
Les nouvelles URL qui ne sont pas classes en catgories et envoyes sur le rseau D-Link sont considres comme des propositions anonymes et les sources lorigine des nouvelles propositions ne sont pas mises en mmoire. Classement des pages et non des sites. Le filtrage dynamique de NetDefendOS classe les pages Web et non les sites. En dautres termes, un site Web peut contenir des pages spcifiques qui doivent tre bloques, sans que le site le soit dans son intgralit. NetDefendOS permet un blocage par pages, de faon ce que les utilisateurs puissent toujours accder aux parties des sites non bloques par la rgle de filtrage. Activation. Le filtrage de contenu dynamique est une fonctionnalit qui peut tre active en souscrivant un abonnement supplmentaire ce service. Cest une fonctionnalit qui sajoute la licence normale de NetDefendOS. Pour une description complte des services dabonnement, consultez lAnnexe A, Abonnement aux mises jour de scurit. Aprs avoir souscrit un abonnement, un objet ALG HTTP peut tre dfini avec le filtrage de contenu dynamique activ. Cet objet est ensuite associ un objet de service, lobjet de service tant lui-mme associ une rgle de lensemble de rgles IP pour dterminer quel trafic doit tre soumis au filtrage. Cela permet de configurer une rgle de filtrage dtaille en fonction des paramtres de filtrage utiliss pour les rgles de lensemble de rgles IP.
Conseil
Si vous souhaitez que le contenu de votre rgle de filtrage change suivant la priode de la journe, utilisez un objet programme dans la rgle IP correspondante. Pour plus dinformations, reportez-vous la section
138
Mcanismes de scurit
intitule Programmation .
Exemple 6.15. Activation du filtrage de contenu Web dynamique

Cet exemple montre comment configurer une rgle de filtrage de contenu dynamique pour le trafic HTTP de intnet vers all-nets. La rgle sera configure pour bloquer tous les moteurs de recherche et cet exemple suppose que le systme utilise une seule rgle NAT pour le trafic HTTP de intnet vers all-nets. Interface de ligne de commande (La rgle NAT est appele NATHttp pour cet exemple dans linterface de ligne de commande) Tout dabord, crez un objet ALG HTTP :
gw-world:/> add ALG ALG_HTTP content_filtering WebContentFilteringMode=Enabled FilteringCategories=SEARCH_SITES
Puis, crez un objet de service laide de la nouvelle ALG HTTP :

gw-world:/> add ServiceTCPUDP http_content_filtering Type=TCP DestinationPorts=80 ALG=content_filtering
Enfin, modifiez la rgle NAT pour utiliser le nouveau service :

gw-world:/> set IPRule NATHttp Service=http_content_filtering
Interface Web Tout dabord, crez un objet ALG HTTP : Slectionnez Objects > ALG > Add > HTTP ALG (Objets > ALG > Ajouter > ALG HTTP). Spcifiez un nom convenable pour la passerelle ALG, par exemple content_filtering. Cliquez sur longlet Web Content Filtering (Filtrage de contenu Web). Slectionnez Enabled (Activ) dans la liste Mode. Dans la liste Blocked Categories (Catgories bloques), slectionnez Search Sites (Recherche de sites) et cliquez sur le bouton >>. Cliquez sur OK. Crez ensuite un objet de service laide de la nouvelle ALG HTTP : Slectionnez Local Objects > Services > Add > TCP/UDP service (Objets locaux > Services > Ajouter > Service TCP/UDP). Spcifiez un nom convenable pour le service, par exemple http_content_filtering. Slectionnez TCP dans la liste droulante Type Saisissez 80 dans la bote de texte Destination Port (port de destination). Dans la liste ALG, slectionnez lALG HTTP que vous venez de crer. Cliquez sur OK. Enfin, modifiez la rgle NAT pour utiliser le nouveau service : Slectionnez Rules > IP Rules (Rgles > Rgles IP). Dans la commande de la liste, cliquez sur la rgle NAT qui gre votre trafic HTTP. Cliquez sur longlet Service. Slectionnez votre nouveau service (http_content_filtering) dans la liste pre-defined Service (Services prdfinis).
139
Mcanismes de scurit
Cliquez sur OK. Le filtrage de contenu dynamique est prsent activ pour lensemble du trafic Web de lannet all-nets. Pour valider la fonctionnalit, procdez comme suit : Sur un poste de travail du rseau lannet, lancez un navigateur Web standard. Essayez de naviguer sur un moteur de recherche, par exemple www.google.com. Si tout est configur correctement, votre navigateur affichera une page Web pour vous informer que le site demand est bloqu. Mode Audit. En Audit Mode (mode audit), le systme classe et consigne lensemble de la navigation selon la rgle de filtrage de contenu, mais les sites Web interdits sont toujours accessibles aux utilisateurs. Cela signifie que la fonctionnalit de filtrage de contenu de NetDefendOS peut tre utilise comme un outil danalyse pour examiner quelles catgories de sites Web font lobjet de tentatives daccs par une communaut dutilisateurs ainsi que la frquence de ces accs. Aprs quelques semaines de fonctionnement en mode audit, il est plus facile davoir une bonne comprhension du comportement de navigation et galement du gain de temps potentiel qui peut tre ralis en activant le filtrage de contenu. Il est recommand que ladministrateur mette en place progressivement le blocage, en bloquant seulement certaines catgories la fois. Cela permet aux utilisateurs individuels de shabituer lide que le blocage existe et dviter une contestation gnrale si toutes les catgories sont bloques simultanment. La mise en place progressive permet galement de mieux dterminer si les objectifs de blocage sont atteints.
Exemple 6.16. Activation du mode Audit

Cet exemple repose sur le mme cas de figure que lexemple prcdent, mais le mode Audit est prsent activ. Interface de ligne de commande Tout dabord, crez un objet ALG HTTP :
gw-world:/> add ALG ALG_HTTP content_filtering WebContentFilteringMode=Audit FilteringCategories=SEARCH_SITES
Interface Web Tout dabord, crez un objet ALG HTTP : Slectionnez Objects > ALG > Add > HTTP ALG (Objets > ALG > Ajouter > ALG HTTP). Spcifiez un nom convenable pour la passerelle ALG, par exemple content_filtering Cliquez sur longlet Web Content Filtering (Filtrage de contenu Web). Slectionnez Audit dans la liste Mode Dans la liste Blocked Categories (Catgories bloques), slectionnez Search Sites (Recherche de sites) et cliquez sur le bouton >>. Cliquez sur OK. Lexemple prcdent dcrit la procdure suivre pour crer ensuite un objet de service en utilisant la nouvelle ALG HTTP et modifier la rgle NAT pour utiliser le nouveau service. Autoriser lannulation. Le filtrage de contenu actif peut parfois empcher les utilisateurs de raliser des tches autorises. Imaginez un agent de change traitant avec des diteurs de jeux en ligne. Dans son travail quotidien, il peut avoir besoin de naviguer sur des sites de jeu de hasard pour procder aux valuations des entreprises. Si la rgle de son entreprise bloque les sites de jeu de hasard, il ne pourra pas faire son travail. Cest pourquoi NetDefendOS prend en charge une fonctionnalit appele Allow Override. Lorsque cette fonctionnalit est active, le filtrage de contenu affiche un avertissement lutilisateur, lui signalant quil est sur le point dentrer sur un site interdit daprs la politique dentreprise et que sa visite sur le site sera consigne. Cette page est appele restricted site notice (notification de site restreint). Lutilisateur est ensuite libre de continuer
140
Mcanismes de scurit
vers cette URL ou dabandonner la requte pour ne pas tre consign. En activant cette fonctionnalit, seuls les utilisateurs qui possdent une raison valable de visiter des sites inappropris pourront le faire. Les autres viteront ces sites afin de ne pas dvoiler leurs habitudes de navigation.
Attention
L'activation de cette fonctionnalit peut permettre aux utilisateurs de naviguer sur des sites en rapport avec le site visit. Reclassement des sites bloqus. tant donn que le processus de classement des sites Web inconnus est automatis, il existe toujours un risque minime dattribuer une classification incorrecte certains sites. NetDefendOS propose un mcanisme qui autorise les utilisateurs proposer manuellement une nouvelle classification pour les sites. Ce mcanisme peut tre activ au niveau de lALG HTTP, ce qui signifie que vous pouvez choisir dactiver cette fonctionnalit pour les utilisateurs habituels ou uniquement pour un groupe dutilisateurs slectionn. Lorsque le reclassement est activ et quun utilisateur demande laccs un site interdit, la page de blocage comportera une liste droulante contenant toutes les catgories disponibles. Si lutilisateur pense que le site Web demand est class de faon incorrecte, il peut choisir une catgorie plus approprie dans la liste droulante et la soumettre comme proposition. LURL du site Web demand ainsi que la catgorie propose sont alors envoyes vers lentrept de donnes central D-Link pour y subir une inspection manuelle. Cette inspection peut entraner le reclassement du site dans la catgorie propose ou bien dans une catgorie que lon estime approprie.
Exemple 6.17. Reclassement dun site bloqu

Cet exemple montre comment un utilisateur peut proposer le reclassement dun site Web lorsquil pense que son classement est incorrect. Ce mcanisme est activ au niveau de lALG HTTP. Interface de ligne de commande Tout dabord, crez un objet ALG HTTP :
gw-world:/> add ALG ALG_HTTP content_filtering WebContentFilteringMode=Enable FilteringCategories=SEARCH_SITES AllowReclassification=Yes
Poursuivez ensuite la configuration de lobjet service et la modification de la rgle NAT comme nous lavons fait dans les exemples prcdents. Interface Web Tout dabord, crez un objet ALG HTTP : Slectionnez Objects > ALG > Add > HTTP ALG (Objets > ALG > Ajouter > ALG HTTP). Spcifiez un nom convenable pour la passerelle ALG, par exemple content_filtering. Cliquez sur longlet Web Content Filtering (Filtrage de contenu Web). Slectionnez Enabled (Activ) dans la liste Mode. Dans la liste Blocked Categories (Catgories bloques), slectionnez Search Sites (Recherche de sites) et cliquez sur le bouton >>. Cochez la case Allow Reclassification (Autoriser le reclassement). Cliquez sur OK. Poursuivez ensuite la configuration de lobjet service et la modification de la rgle NAT comme nous lavons fait dans les exemples prcdents. Le filtrage de contenu dynamique est prsent activ pour lensemble du trafic Web de lannet all-nets et lutilisateur peut proposer un reclassement des sites bloqus. Pour valider la fonctionnalit, procdez comme suit :
141
Mcanismes de scurit
Sur un poste de travail du rseau lannet, lancez un navigateur Web standard. Essayez de naviguer sur un moteur de recherche, par exemple www.google.com. Si tout est configur correctement, votre navigateur Web affichera une page de blocage, contenant une liste droulante avec toutes les catgories disponibles. Lutilisateur peut prsent slectionner une catgorie plus approprie et proposer un reclassement.
Catgories de filtrage de contenu

Cette section fournit une liste de toutes les catgories utilises avec le filtrage de contenu dynamique et dcrit lusage de chaque catgorie. Catgorie 1 : Contenu pour adulte. Un site Web peut tre class dans la catgorie contenu pour adulte si son contenu comprend la description ou la reprsentation dactes sexuels ou rotiques, ou des messages caractre pornographique. Cette catgorie exclut les sites Web contenant des informations relatives la sexualit et la sant sexuelle, qui peuvent tre classes dans la catgorie sites de sant (21). Voici quelques exemples : www.naughtychix.com www.fullonxxx.com Catgorie 2 : Actualits. Un site Web peut tre class dans la catgorie actualits si son contenu comprend des articles dactualit comprenant des vnements locaux rcents (par exemple une ville, un pays) ou culturels, y compris les prvisions mtorologiques. Ceux-ci incluent gnralement la plupart des publications dactualit en ligne en temps rel ou les revues technologiques ou spcialises. Cette catgorie exclut les cours financiers (reportez-vous la catgorie sites daffaires (11)) et le sport (consultez la catgorie sports (16)). Voici quelques exemples : www.newsunlimited.com www.dailyscoop.com Catgorie 3 : Recherche demploi. Un site Web peut tre class dans la catgorie recherche demploi si son contenu comprend des services permettant de rechercher un emploi ou de mettre en ligne des demandes demploi. Cette catgorie comprend galement la rdaction et la publication de CV, les entretiens dembauche, le recrutement du personnel et les stages. Voici quelques exemples : www.allthejobs.com www.yourcareer.com Catgorie 4 : Jeux de hasard. Un site Web peut tre class dans la catgorie jeux de hasard si son contenu comprend des publicits, des encouragements et des services incitant participer toutes sortes de jeux de hasard, impliquant de largent ou non. Cette catgorie comprend les jeux en ligne, les cotes des bookmakers et les sites Web de loterie. Elle exclut les jeux traditionnels ou les jeux vido ; consultez la catgorie sites de jeux (10). Voici quelques exemples : www.blackjackspot.com www.pickapony.net Catgorie 5 : Voyages / Tourisme. Un site Web peut tre class dans la catgorie voyages / tourisme si son contenu comprend des informations concernant les voyages, notamment les voyages de loisir et les services de rservation. Voici quelques exemples : www.flythere.nu www.reallycheaptix.com.au Catgorie 6 : Shopping. Un site peut tre class dans la catgorie shopping si son contenu comprend toutes sortes de publicits pour des biens ou des services payants et peut galement inclure les services utiliss pour
142
Mcanismes de scurit
raliser ces transactions en ligne. Cette catgorie comprend la promotion de marchs, la vente de catalogues et les services de commercialisation. Voici quelques exemples : www.megamall.com www.buy-alcohol.se Catgorie 7 : Divertissement. Un site Web peut tre class dans la catgorie divertissement si son contenu comprend toute forme gnrale de divertissement qui nest pas prcisment couverte par une autre catgorie. Ce sont, par exemple, les sites de musique, de films, de hobbies, dintrt particulier et les fans clubs. Cette catgorie comprend galement les pages Web personnelles, notamment celles fournies par les FAI. Les catgories suivantes englobent plus prcisment diffrents types de contenus de divertissement : pornographie / sexe (1), jeux dargent (4), salons de discussion (8), sites de jeux (10), sport (16), clubs et socits (22) et tlchargement de musique (23). Voici quelques exemples : www.celebnews.com www.hollywoodlatest.com Catgorie 8 : Salons de discussion. Un site Web peut tre class dans la catgorie salons de discussion si son contenu comporte ou se focalise sur des groupes de discussion en ligne et en temps rel. Cette catgorie comprend galement les journaux internes, les serveurs tlmatiques, les forums en ligne, les groupes de discussion ainsi que les URL pour le tlchargement de logiciels de discussion. Voici quelques exemples : www.thetalkroom.org chat.yazoo.com Catgorie 9 : Sites de rencontres. Un site Web peut tre class dans la catgorie sites de rencontres si son contenu comporte des services permettant de soumettre et modifier des petites annonces personnelles, darranger des rencontres romantiques avec dautres personnes et sil comporte des agences matrimoniales d pouses sur catalogue et des services daccompagnement. Voici quelques exemples : adultmatefinder.com www.marriagenow.com Catgorie 10 : Les sites de jeux. Un site Web peut tre class dans la catgorie sites de jeux si son contenu comporte ou se focalise sur les tests de jeux vido ou de jeux traditionnels ou sil intgre les services de tlchargement de logiciels de jeux vido ou la participation des jeux en ligne. Voici quelques exemples : www.gamesunlimited.com www.gameplace.com Catgorie 11 : Sites dinvestissement. Un site Web peut tre class dans la catgorie sites dinvestissement si son contenu comporte des informations ou des services relatifs aux investissements personnels. Les URL de cette catgorie comportent du contenu tel que les services de courtage, les solutions de portefeuille en ligne, la gestion des gains et les cours de la bourse. Cette catgorie exclut les services bancaires en ligne ; consultez la catgorie banque en ligne (12). Voici quelques exemples : www.loadsofmoney.com.au www.putsandcalls.com Catgorie 12 : Banque en ligne. Un site Web peut tre class dans la catgorie banque en ligne si son contenu comprend des informations ou des services bancaires en ligne. Cette catgorie ninclut pas le contenu relatif aux investissements ; consultez la catgorie sites dinvestissement (11). Voici quelques exemples : www.nateast.co.uk www.borganfanley.com Catgorie 13 : Crimes / Terrorisme. Un site Web peut tre class dans la catgorie crimes / terrorisme si son
143
Mcanismes de scurit
contenu comporte la description, la promotion ou lenseignement dactivits, de cultures ou dides criminelles ou terroristes. Voici quelques exemples : www.beatthecrook.com Catgorie 14 : Croyances / Cultes personnels. Un site Web peut tre class dans la catgorie croyances / cultes personnels si son contenu comporte la description, la reprsentation ou lenseignement de systmes de croyances religieuses et de leurs pratiques. Voici quelques exemples : www.paganfed.demon.co.uk www.cultdeadcrow.com Catgorie 15 : Politique. Un site Web peut tre class dans la catgorie politique si son contenu comporte des ides ou des informations de nature politique, des informations lectorales et des groupes de discussions politiques. Voici quelques exemples : www.democrats.org.au www.political.com Catgorie 16 : Sport. Un site Web peut tre class dans la catgorie sport si son contenu comporte des informations ou des instructions lies aux sports de loisirs ou professionnels ou bien des comptes rendus et rsultats dvnements sportifs. Voici quelques exemples : www.sportstoday.com www.soccerball.com Catgorie 17 : Sites www de messagerie lectronique. Un site peut tre class dans la catgorie sites www de messagerie lectronique si son contenu comporte des services de messagerie en ligne bass sur le Web. Voici quelques exemples : www.coldmail.com mail.yazoo.com Catgorie 18 : Violence / Choc. Un site Web peut tre class dans la catgorie violence / choc si son contenu est extrmement violent ou de nature choquante. Cette catgorie comprend la promotion, la description ou la reprsentation dactes violents, ainsi que les sites Web contenu indsirable qui ne peuvent tre classs dans dautres catgories. Voici quelques exemples : www.itstinks.com www.ratemywaste.com Catgorie 19 : Malveillant. Un site Web peut tre class dans la catgorie malveillant si son contenu peut endommager un ordinateur ou un environnement informatique ou provoquer une consommation superflue de bande passante rseau. Cette catgorie inclut galement les URL de phishing , conues pour capter des informations personnelles dauthentification utilisateur en se faisant passer pour un organisme lgitime. Voici quelques exemples : hastalavista.baby.nu Catgorie 20 : Moteurs de recherche. Un site Web peut tre class dans la catgorie moteurs de recherche si son activit principale consiste offrir des services de recherche sur Internet. Consultez la section relative aux catgories uniques au dbut de ce document. Voici quelques exemples : www.zoogle.com www.yazoo.com Catgorie 21 : Sites de sant. Un site Web peut tre class dans la catgorie sites de sant si son contenu
144
Mcanismes de scurit
comporte des informations ou des services concernant la sant, y compris la sexualit et la sant sexuelle, ainsi que les groupes de soutien, les informations hospitalires et chirurgicales ainsi que les revues mdicales. Voici quelques exemples : www.thehealthzone.com www.safedrugs.com Catgorie 22 : Groupes et associations. Un site Web peut tre class dans la catgorie groupes et associations si son contenu comprend des informations et des services lis un groupe ou une association. Cette catgorie inclut les sites Web de membres ou de colloques. Voici quelques exemples : www.sierra.org www.walkingclub.org Catgorie 23 : Tlchargement de musique. Un site Web peut tre class dans la catgorie tlchargement de musique sil propose des services de tlchargement, denvoi et de partage de musique en ligne, ainsi que de la diffusion audio large bande passante. Voici quelques exemples : www.onlymp3s.com www.mp3space.com Catgorie 24 : Orient gestion. Un site Web peut tre class dans la catgorie orient gestion si son contenu fait rfrence aux activits quotidiennes gnrales ou au bon fonctionnement dInternet, comme par exemple les mises jour de navigateurs Web. Dans la plupart des cas, laccs aux sites Web de cette catgorie ne sera pas considr comme improductif ou inappropri. Catgorie 25 : Liste de blocage publique. Cette catgorie comporte des URL spcifies par un organisme gouvernemental, qui sont considres comme inappropries pour tre visionnes par le grand public du fait de leur nature extrme. Voici quelques exemples : www.verynastystuff.com www.unpleasantvids.com Catgorie 26 : ducatif. Un site Web class dans la catgorie ducatif peut appartenir dautres catgories mais possde un contenu qui se rapporte des services ducatifs, qui apporte une valeur pdagogique ou qui est considr ou comme une ressource ducative par les organismes dducation. Cette catgorie est remplie sur demande ou sur proposition de divers organismes dducation. Voici quelques exemples : highschoolessays.org www.learn-at-home.com Catgorie 27 : Publicit. Un site Web peut tre class dans la catgorie publicit si son activit principale consiste offrir des informations ou des services qui concernent la publicit. Voici quelques exemples : www.admessages.com www.tripleclick.com Catgorie 28 : Drogue/Alcool. Un site Web peut tre class dans la catgorie drogue/alcool si son contenu comprend des informations ou des services qui concernent la prvention de lalcool et des drogues. Certaines URL classes dans cette catgorie peuvent donc tre classes dans la catgorie sant . Voici quelques exemples : www.the-cocktail-guide.com www.stiffdrinks.com Catgorie 29 : Informatique/IT. Un site Web peut tre class dans la catgorie informatique/IT si son contenu comprend des informations ou des services qui concernent linformatique. Voici quelques exemples :
145
Mcanismes de scurit
www.purplehat.com www.gnu.org Catgorie 30 : Maillot de bain/lingerie/mannequinat. Un site Web peut tre class dans la catgorie maillot de bain/lingerie/mannequinat si son contenu comprend des informations ou des images concernant les maillots de bain, la lingerie ou le mannequinat en gnral. Voici quelques exemples : www.vickys-secret.com sportspictured.cnn.com/features/2002/swimsuit Catgorie 31 : Spam. Un site Web peut tre class dans la catgorie spam si on le trouve dans les messages lectroniques envoys en nombre ou dans les spams. Voici quelques exemples : kaqsovdij.gjibhgk.info www.pleaseupdateyourdetails.com Catgorie 32 : Non-grs. Les sites non classs et ceux qui ne rentrent pas dans lune des autres catgories sont placs dans ce groupe. Il nest pas courant de bloquer cette catgorie car cela peut occasionner le blocage de la plupart des URL inoffensives.
Analyse antivirus
Prsentation
Le module antivirus de NetDefendOS protge contre les codes malveillants transports au cours dun tlchargement de fichier. Les fichiers peuvent tre tlchargs dans le cadre dune page Web lors dun transfert HTTP, dun tlchargement FTP ou bien en tant que pice jointe dans un message lectronique distribu par SMTP. Les codes malveillants de ces tlchargements peuvent avoir diffrents objectifs qui varient des simples dsagrments causs par des programmes des objectifs plus srieux comme le renvoi de mots de passe, des numros de cartes de crdit et dautres informations sensibles. Le terme virus peut tre utilis comme description gnrique de toutes les formes de codes malveillants transports par les fichiers. Combinaison avec lanalyse antivirus client. Contrairement lIDP, orient principalement sur les attaques contre les serveurs, lanalyse antivirus se focalise sur les tlchargements effectus par les clients. Lantivirus de NetDefendOS est conu pour complter lanalyse antivirus standard, normalement effectue localement par un logiciel spcialis install sur les ordinateurs clients. IDP nest pas conu pour se substituer totalement lanalyse locale mais est plutt utilis comme bouclier supplmentaire pour renforcer la protection du client. Plus important encore, il peut jouer le rle de sauvegarde lorsque lanalyse antivirus locale du client ne fonctionne pas pour une quelconque raison. Lantivirus de NetDefendOS est activ via la passerelle ALG HTTP (reportez-vous la section intitule HTTP ).
Disponibilit de lantivirus sur les modles D-Link

Lanalyse antivirus est disponible uniquement sur les produits DFL-260 et DFL-860 de D-Link.
Mise en uvre :
Diffusion. Lorsquun transfert de fichier est diffus travers le firewall D-Link, NetDefendOS analyse le flux de donnes pour dtecter la prsence de virus si le module antivirus est activ. Puisque les fichiers sont diffuss et pas entirement lus en mmoire, une quantit de mmoire minimale est ncessaire et leffet sur le dbit global est minime. Filtrage par motif. Le processus de filtrage repose sur le pattern matching (filtrage par motif) qui compare les donnes aux schmas de virus connus stocks dans une base de donnes et peut dterminer si un virus est sur le point dtre tlcharg vers un utilisateur plac derrire un firewall D-Link. Lorsqu'un virus est reconnu dans le contenu d'un fichier, le tlchargement en cours peut tre arrt.
146
Mcanismes de scurit
Types de fichiers analyss. Le module antivirus de NetDefendOS peut analyser les types de tlchargements de fichiers suivants : HTTP, FTP, TFTP, SMTP et POP3 Tout type de fichier non compress transfr par ces protocoles. Si le fichier tlcharg a t compress, les fichiers ZIP et GZIP peuvent tre analyss. Ladministrateur peut toujours ignorer lanalyse de fichiers spcifiques ou prciser une taille limite pour les fichiers analyss. Si aucune taille limite nest spcifie, alors il nexiste aucune limite suprieure par dfaut pour les tailles de fichiers. Analyses simultanes. Il nexiste pas de limite fixe pour dfinir combien danalyses antivirus peuvent avoir lieu simultanment dans un seul firewall D-Link. Toutefois, la mmoire libre disponible peut limiter le nombre danalyses simultanes pouvant tre excutes. Ladministrateur peut augmenter la quantit de mmoire libre disponible par dfaut pour lanalyse antivirus en modifiant le paramtre avanc AVSE_MAXMEMORY. Ce paramtre prcise le pourcentage de mmoire totale utiliser pour lanalyse antivirus. Comportement spcifique du protocole. Puisque lanalyse antivirus est mise en uvre par une ALG, des fonctionnalits spcifiques du protocole sont mises en place dans NetDefendOS. Avec le FTP, par exemple, lanalyse considre les canaux de transfert de donnes et de double contrle ouverts et peut envoyer une requte via la connexion de contrle pour interrompre un tlchargement lorsquun virus est dtect.
Activation de lanalyse antivirus

Association avec une ALG. Lactivation de lanalyse antivirus est ralise par une ALG associe au protocole cible. Un objet ALG HTTP doit tout dabord tre cr, lantivirus tant activ. LALG doit ensuite tre associe lobjet de service appropri pour que le protocole soit analys. Cet objet de service est ensuite associ une rgle de lensemble de rgles IP, qui dfinit lorigine et la destination du trafic auquel va sappliquer lALG. Cration de rgles antivirus. Puisque lensemble de rgles IP permet de dployer la fonctionnalit antivirus, ce dploiement peut reposer sur des rgles (policy based). Les rgles IP peuvent spcifier que lALG et lanalyse antivirus qui lui est associe peuvent sappliquer au trafic allant dans une certaine direction et entre des adresses IP et/ou rseaux sources et de destination spcifiques. Vous pouvez galement appliquer une planification lanalyse antivirus, de faon ce quelle ait lieu uniquement certains moments.
La base de donnes des signatures

Safestream. Lanalyse antivirus de NetDefendOS est mise en uvre par D-Link via la base de donnes de signatures de virus SafeStream . La base de donnes SafeStream est cre et gre par Kaspersky, leader mondial en matire de dtection de virus. La base de donnes propose une protection contre presque toutes les menaces virales connues comme les chevaux de Troie, les vers, les portes drobes, etc. La base de donnes est galement entirement teste pour offrir un taux de faux positifs proche de zro. Mises jour de la base de donnes. La base de donnes SafeStream est mise jour quotidiennement avec des nouvelles signatures de virus. Les anciennes signatures sont rarement enleves, mais plutt remplaces par des signatures qui couvrent plusieurs virus. La copie locale NetDefendOS de la base de donnes SafeStream doit donc tre mise jour rgulirement et ce service de mise jour est activ dans le cadre de labonnement lantivirus D-Link.
Souscription au service antivirus de D-Link

La fonctionnalit antivirus de D-Link est un composant additionnel la licence de base de D-Link que vous pouvez acheter sous la forme dun abonnement renouvelable. Un abonnement antivirus comprend des mises jour rgulires de la base de donnes SafeStream de Kaspersky pendant la priode de souscription avec les signatures des dernires menaces virales. Pour vous abonner au service dantivirus, veuillez vous reporter lAnnexe A, Souscription aux mises jour de scurit .
147
Mcanismes de scurit
Options de lantivirus
Lors de la configuration de lanalyse antivirus dans une ALG, vous pouvez dfinir les paramtres suivants : 1. Options gnrales. Mode Doit tre dfini sur lune des options suivantes : A. Enabled (Activ), qui signifie que lantivirus est actif. B. Audit, qui signifie quil est actif mais que la consignation sera la seule action entreprise.
Fail mode behaviour (Comportement en mode chec) Si une analyse antivirus choue pour une quelconque raison, le transfert peut tre interrompu ou autoris, lvnement tant consign. 2. Type de fichier bloquer/ autoriser. Action Lorsquun type de fichier particulier est tlcharg, ladministrateur peut explicitement dcider si le fichier doit tre autoris ou bloqu au tlchargement.
Types de fichiers Le type de fichier bloquer ou autoriser peut tre ajout la liste. GIF peut, par exemple, tre ajout. Si un type de fichier figure dans la liste autorise, il faut noter que la correspondance MIME fonctionnera mme si elle est dsactive ( condition que le type de fichier fasse partie de la liste de lAnnexe C, Types de fichiers MIME vrifis . Ceci permet de se protger contre une attaque qui tente dexploiter le fait que le type de fichier figure dans la liste autorise. 3. Option exclure de lanalyse . Vous pouvez, si vous le souhaitez, exclure explicitement de lanalyse antivirus certains types de fichiers. Cela peut augmenter le dbit global si un type de fichier exclu est couramment rencontr dans un cas de figure particulier. 4. Limite du taux de compression. Si lon souhaite analyser des fichiers compresss, NetDefendOS doit les dcompresser pour examiner leur contenu. Certains types de donnes peuvent entraner des taux de compression trs levs o le fichier compress reprsente une petite fraction de sa taille dorigine lorsquil est dcompress. Cela peut ncessiter de dcompresser une pice jointe de petite taille en un fichier beaucoup plus important par comparaison, ce qui peut placer une charge excessive sur les ressources de NetDefendOS et ralentir sensiblement le dbit. Pour viter cette situation, ladministrateur peut spcifier une limite pour le Compression Ratio (taux de compression). Si la limite du taux est rgle sur 10, cela implique que si le fichier dcompress est 10 fois plus grand que le fichier compress, laction spcifie doit tre entreprise. Cette action peut tre lune des suivantes : Allow (Autoriser) : le fichier est autoris passer sans subir danalyse antivirus. Scan (Analyser) : comme dhabitude, analyse le fichier la recherche de virus Drop (Ignorer) : ignore le fichier Dans les trois cas ci-dessus, lvnement est consign. Vrification du type MIME. Vous pouvez utiliser les options de lALG concernant lintgrit des fichiers avec lanalyse antivirus pour vrifier que le contenu du fichier correspond au type MIME quil prtend tre. Le type MIME dsigne un type de fichier. Un fichier peut, par exemple, tre identifi comme tant de type .gif et doit, par consquent, contenir des donnes dimage de ce type. Certains virus peuvent tenter de se dissimuler lintrieur des fichiers en utilisant un type de fichier trompeur. Un fichier peut se faire passer pour un fichier .gif, mais les donnes du fichier ne vont pas correspondre au motif de donnes de ce type car il est infect par un virus. Lactivation de cette fonction est recommande pour sassurer que ce type dattaque ne puisse pas permettre un virus de passer. Les types MIME quil est possible de vrifier sont rpertoris dans lAnnexe C, Types de fichiers MIME vrifis.
148
Mcanismes de scurit
Configuration de lheure exacte du systme. Pour que la fonctionnalit de mise jour automatique du module antivirus puisse fonctionner correctement, il est important que lheure systme de NetDefendOS soit paramtre de faon exacte. Une heure incorrecte peut entraner la dsactivation de la mise jour automatique. La commande console
> updatecenter -status
affiche ltat actuel de la fonctionnalit de mise jour automatique. Vous pouvez galement le faire via linterface utilisateur Web. Mise jour dans les clusters de haute disponibilit. La mise jour des bases de donnes antivirus pour les deux firewalls D-Link dun cluster de haute disponibilit est effectue automatiquement par NetDefendOS. Dans un cluster, il y a toujours une unit active et une unit inactive. Seule lunit active du cluster vrifiera rgulirement les nouvelles mises jour de la base de donnes. Si une nouvelle mise jour de la base de donnes est disponible, on aura cette suite dvnements : Lunit active dtermine quune nouvelle mise jour est disponible et tlcharge les fichiers ncessaires pour cette mise jour. Lunit active effectue une reconfiguration automatique pour mettre jour sa base de donnes. Cette reconfiguration provoque un basculement, de sorte que lunit passive devient lunit active. Lorsque la mise jour est termine, la nouvelle unit active tlcharge galement les fichiers de mise jour et effectue une reconfiguration. Cette seconde reconfiguration provoque un nouveau basculement, de sorte que lunit passive redevient lunit active. Ces tapes entranent la mise jour des bases de donnes des deux firewalls D-Link dans un cluster et la restauration des rles actif/passif dorigine. Pour plus dinformations sur les clusters de haute disponibilit, consultez le chapitre 11, Haute disponibilit.
Exemple 6.18. Activation de lanalyse antivirus

Cet exemple montre comment configurer une rgle danalyse antivirus pour le trafic HTTP de lannet all-nets. Nous supposons quune rgle NAT pour grer ce trafic est dj dfinie dans lensemble de rgles IP. Interface de ligne de commande Tout dabord, crez un objet ALG HTTP en activant lanalyse antivirus :
gw-world:/> set ALG ALG_HTTP anti_virus Antivirus=Protect
Crez ensuite un objet de service laide de la nouvelle ALG HTTP :

gw-world:/> add ServiceTCPUDP http_anti_virus Type=TCP DestinationPorts=80 ALG=anti_virus
Enfin, modifiez la rgle NAT pour utiliser le nouveau service :

gw-world:/> set IPRule NATHttp Service=http_anti_virus
Interface Web A. Tout dabord, crez un objet ALG HTTP : Slectionnez Objects > ALG > Add > HTTP ALG (Objets > ALG > Ajouter > ALG HTTP). Spcifiez un nom convenable pour lALG, par exemple anti_virus. Cliquez sur longlet Antivirus. Slectionnez Protect (Protger) dans la liste droulante Mode. Cliquez sur OK.
149
Mcanismes de scurit
B. Crez ensuite un objet de service laide de la nouvelle ALG HTTP : Slectionnez Local Objects > Services > Add > TCP/UDP service (Objets locaux > Services > Ajouter > Service TCP/UDP). Spcifiez un nom convenable pour le service, par exemple http_anti_virus. Slectionnez TCP dans la liste droulante Type. Saisissez 80 dans la bote de texte Destination Port (Port de destination). Dans la liste droulante ALG, slectionnez lALG HTTP que vous venez de crer. Cliquez sur OK. C. Enfin, modifiez la rgle NAT (appele dans cet exemple NATHttp) pour utiliser le nouveau service : Slectionnez Rules > IP Rules (Rgles > Rgles IP). Dans la commande de la liste, cliquez sur la rgle NAT qui gre le trafic entre lannet et all-nets. Cliquez sur longlet Service. Slectionnez votre nouveau service, http_anti_virus, dans la liste droulante pre-defined Service (Services prdfinis). Cliquez sur OK. Lanalyse antivirus est prsent active pour lensemble du trafic Web de lannet all-nets.
Prvention et dtection des intrusions

Prsentation
Dfinition dune intrusion. Les ordinateurs serveurs peuvent parfois prsenter des vulnrabilits qui les exposent aux attaques vhicules par le trafic rseau. Les vers, les chevaux de Troie et les portes drobes sont des exemples de ces attaques qui peuvent potentiellement mettre en pril ou prendre le contrle dun serveur. Le terme gnrique intrusions peut tre utilis pour dcrire ces menaces orientes serveur. Dtection des intrusions. Les intrusions diffrent des virus dans le sens o un virus est normalement contenu dans un seul tlchargement de fichier qui est dhabitude tlcharg par un systme client. Une intrusion se manifeste comme un motif de donnes Internet malveillant qui vise contourner les mcanismes de scurit dun serveur. Les intrusions ne sont pas rares et peuvent constamment voluer car leur cration peut tre automatise par le pirate. LIDP de NetDefendOS propose une importante ligne de dfense contre ces menaces. La prvention et la dtection des intrusions (IDP) est un module de NetDefendOS conu pour se protger contre ces tentatives dintrusions. Il fonctionne en surveillant le trafic rseau lorsquil traverse le firewall D-Link, la recherche de motifs qui indiquent une tentative dintrusion. Une fois dtecte, lIDP de NetDefendOS autorise des actions qui permettent de neutraliser la fois la tentative dintrusion et sa source. Questions IDP. Pour avoir un systme efficace et fiable, les questions suivantes doivent tre abordes : Quelle sorte de trafic doit tre analys ? Quest ce quon doit rechercher dans ce trafic ? Quelle action doit tre entreprise lorsquune intrusion est dtecte ? Composants NetDefendOS IDP. LIDP NetDefendOS traite les questions IDP ci-dessus grce aux mcanismes suivants : Les rgles IDP sont dfinies par ladministrateur pour dterminer quel trafic doit tre analys.
150
Mcanismes de scurit
Le filtrage par motif est appliqu par lIDP NetDefendOS au trafic qui correspond une rgle IDP lorsquil traverse le firewall. Si lIDP NetDefendOS dtecte une intrusion, laction spcifie pour la rgle IDP dclenchante est entreprise. Les rgles IDP, le filtrage par motif et les actions de la rgle IDP sont dcrites dans les sections suivantes.
Disponibilit de lIDP sur les modles D-Link

IDP maintenance et IDP avanc. D-Link propose deux types dIDP : LIDP maintenance est un systme IDP de base fourni en standard avec les firewalls D-Link DFL-210/800/1600/2500. Il sagit dun IDP simplifi qui offre une protection de base contre les attaques. Il est possible de le mettre niveau vers la version professionnelle Advanced IDP (IDP avanc). LIDP avanc est un systme dabonnement IDP avec une plage de signatures de base de donnes largie pour les installations de type professionnel/entreprises. Cette fonctionnalit est disponible sur tous les firewalls D-Link. LIDP maintenance peut tre considr comme un sous-ensemble limit de lIDP avanc et les sections suivantes dcrivent le mode de fonctionnement du service IDP avanc. Souscription au service IDP avanc de D-Link. Vous pouvez acheter lIDP avanc en tant que composant additionnel la licence de base de NetDefendOS. Il sagit dun service dabonnement qui permet de tlcharger la base de donnes des signatures IDP sur une installation NetDefendOS, cette base de donnes tant rgulirement mise jour avec les dernires menaces dintrusions. Pour des informations compltes sur lobtention du service IDP, reportez-vous lAnnexe A, Abonnement aux mises jour de scurit.
Figure 6.3. Mise jour de la base de donnes IDP
Une nouvelle base de donnes de signatures, mise jour, est tlcharge automatiquement par le systme NetDefendOS un intervalle dfini. Le tlchargement seffectue via une connexion HTTP au rseau de serveurs
151
Mcanismes de scurit
D-Link qui distribue les mises jour les plus rcentes de la base de donnes de signatures. Si la base de donnes des signatures du serveur possde une version plus rcente que la base de donnes locale actuelle, cette nouvelle base de donnes sera tlcharge et remplacera la version antrieure.
IDP, IPS et IDS

Dans la terminologie D-Link, on utilise indiffremment les termes prvention et dtection des intrusions (IDP), systme de prvention des intrusions (IPS) et systme de dtection des intrusions (IDS). Configuration de lheure exacte du systme. Pour que la fonctionnalit de mises jour automatiques du module IDP puisse fonctionner correctement, il est important que lheure systme de NetDefendOS soit paramtre de faon exacte. Une heure incorrecte peut entraner la dsactivation des mises jour automatiques. La commande console
> updatecenter -status
affiche ltat actuel de la fonctionnalit de mise jour automatique. Vous pouvez galement le faire via linterface utilisateur Web. Mise jour dans les clusters de haute disponibilit. La mise jour des bases de donnes IDP pour les deux firewalls D-Link dun cluster de haute disponibilit est effectue automatiquement par NetDefendOS. Dans un cluster, il y a toujours une unit active et une unit inactive. Seule lunit active du cluster vrifiera rgulirement les nouvelles mises jour de la base de donnes. Si une nouvelle mise jour de la base de donnes est disponible, on aura cette suite dvnements : Lunit active dtermine quune nouvelle mise jour est disponible et tlcharge les fichiers ncessaires pour cette mise jour. Lunit active effectue une reconfiguration automatique pour mettre jour sa base de donnes. Cette reconfiguration provoque un basculement, de sorte que lunit passive devient lunit active. Lorsque la mise jour est termine, la nouvelle unit active tlcharge galement les fichiers de mise jour et effectue une reconfiguration. Cette seconde reconfiguration provoque un nouveau basculement, de sorte que lunit passive redevient lunit active. Ces tapes entranent la mise jour des bases de donnes des deux firewalls D-Link dans un cluster et la restauration des rles actif/passif dorigine. Pour plus dinformations sur les clusters de haute disponibilit, consultez le chapitre 11, Haute disponibilit.
Rgles IDP
Composants dune rgle. Une rgle IDP dfinit le type de trafic ou de service qui doit tre analys. Une rgle IDP ressemble en apparence une rgle IP. Les rgles IDP sont tablies comme les autres rgles de scurit de NetDefendOS telles que les rgles IP. Une rgle IDP spcifie une combinaison donne dinterfaces/adresses source/de destination et elle est galement associe un objet de service qui dfinit quels protocoles analyser. Un horodatage peut aussi tre associ une rgle IDP. Plus important encore, une rgle IDP prcise laction entreprendre lorsquune intrusion est dtecte dans le trafic cibl par la rgle. Traitement initial des paquets. Lordre initial du traitement des paquets par IDP est le suivant : Un paquet arrive au firewall et NetDefendOS effectue une vrification habituelle. Si le paquet fait partie de la nouvelle connexion, alors il est compar lensemble de rgles IP avant dtre transfr au module IDP. Si le paquet fait partie dune connexion existante, il est transfr directement au systme IDP. Si le paquet ne fait pas partie dune connexion existante ou quil est rejet par lensemble de rgles IP, alors il est ignor. Les informations sur la source et la destination du paquet sont compares lensemble de rgles IDP dfinies par ladministrateur. Si une correspondance est trouve, on passe ltape suivante du traitement IDP, cest--dire le filtrage par motif, dcrit ci-dessous. Sil nexiste aucune correspondance avec une rgle IDP, le paquet est accept et le systme IDP nentreprend pas dactions supplmentaires bien que celles dfinies dans
152
Mcanismes de scurit
lensemble de rgles IP, telles que la traduction dadresses ou la consignation, sappliquent. Vrification des paquets ignors. Cette option existe dans lIDP NetDefendOS pour rechercher des intrusions dans lensemble du trafic, mme dans les paquets qui sont rejets par lensemble de rgles IP qui vrifie les nouvelles connexions, ainsi que les paquets qui ne font pas partie dune connexion existante. Cela permet ladministrateur du firewall de dtecter tout trafic qui apparat comme une intrusion. Cette option permet uniquement laction consigner de la rgle IDP. Vous devez faire attention lorsque vous utilisez cette option car la charge de traitement peut tre plus leve lorsque tous les paquets de donnes sont vrifis.
Prvention des attaques de type insertion/vasion

Prsentation. Lorsquil dfinit une rgle IDP, ladministrateur a la possibilit dactiver ou de dsactiver loption Protect against Insertion/Evasion attack (Protection contre les attaques de type insertion/vasion). Les attaques de type Insertion/Evasion Attack visent spcifiquement les systmes IDP. Elles exploitent le fait que, dans les transferts de donnes TCP/IP, le flux de donnes doive frquemment tre reform partir de paquets de donnes plus petits. En effet, les paquets individuels sont souvent fragments ou arrivent dans le dsordre. Les attaques de type Insertions ou Evasions visent exploiter ce processus de rassemblage. Attaques de type Insertion. Une attaque de type Insertion consiste insrer des donnes dans un flux de telle faon que l'ordre des paquets de donnes soit accept par le sous-systme IDP mais refus par l'application cible. Au final, deux flux de donnes diffrents sont crs. Prenons lexemple dun flux de donnes compos de 4 paquets : p1, p2, p3 et p4. Le pirate peut commencer par envoyer les paquets p1 et p4 lapplication cible. Ces paquets sont mis en attente par le sous-systme IDP et par lapplication jusqu larrive des paquets p2 et p3 en vue du rassemblage. Le pirate envoie ensuite dlibrment deux paquets, p2' et p3', qui sont refuss par lapplication mais accepts par le systme IDP. Le systme IDP est dsormais en mesure de rassembler les paquets puisquil pense disposer du flux de donnes complet. Le pirate envoie alors deux paquets supplmentaires, p2 et p3, qui sont accepts par lapplication. Cette dernire procde au rassemblage et obtient un flux de donnes diffrent de celui gnr par le sous-systme IDP. Attaques de type vasion. Une attaque de type vasion procde linverse dune attaque de type Insertion mais provoque le mme rsultat : deux flux de donnes diffrents sont crs, celui du sous-systme IDP et celui de lapplication cible. Elle consiste envoyer des paquets de donnes qui sont refuss par le sous-systme IDP mais accepts par lapplication cible. Action de dtection. Si une attaque de type insertion/vasion est dtecte alors que loption de protection contre ce type dattaque est active, NetDefendOS corrige automatiquement le flux de donnes en supprimant les donnes parasites gnres par lattaque vnements Insertion/vasion. Le sous-systme Insertion/Evasion Attack de NetDefendOS peut gnrer deux types de message : Un message Attack Detected (Attaque dtecte), indiquant quune attaque a t identifie et vite. Un message Unable to Detect (Dtection impossible), indiquant que NetDefendOS na pas pu identifier dattaques potentielles lors du rassemblage dun flux de donnes TCP/IP bien quune telle attaque ait pu se produire. Cette situation est provoque par des schmas de donnes anormalement complexes et peu frquents dans le flux. Configuration recommande. Par dfaut, la protection contre les attaques de type Insertion/Evasion est active pour toutes les rgles IDP. Ce paramtrage est recommand pour la plupart des configurations. La dsactivation de cette option peut tre motive par lune des deux raisons suivantes : Augmentation du dbit Lorsquun dbit optimal est requis, la dsactivation de cette option peut augmenter sensiblement la vitesse de traitement. Nombre excessif de faux positifs Si un niveau anormalement lev de faux positifs Insertion/Evasion est prouv, il peut tre prudent de dsactiver cette option jusqu ce que les raisons de ce taux soient tudies.
Filtrage par motif IDP
153
Mcanismes de scurit
Signatures. Pour que le systme IDP identifie correctement une attaque, il utilise un profil dindicateurs, ou pattern (motif), associ diffrentes types dattaques. Ces motifs prdfinis, galement appels signatures, sont stocks dans une base de donnes locale de NetDefendOS et sont utiliss par le systme IDP pour comparer le trafic aux schmas dattaque. Chaque signature IDP est repre par un numro unique. Considrez lexemple suivant dune attaque simple impliquant un change avec un serveur FTP. Un utilisateur pirate peut tenter de rcuprer le fichier mot de passe passwd dun serveur FTP via la commande RETR passwd. Une signature cherchant les chanes de texte ASCII RETR et passwd trouvera alors une correspondance indiquant une attaque ventuelle. Dans cet exemple, le motif sapparente du texte brut mais le filtrage par motif est effectu de la mme manire sur les donnes purement binaires. Reconnaissance des menaces inconnues. Les pirates qui conoivent de nouvelles intrusions rutilisent souvent danciens codes. Cela signifie que leurs nouvelles attaques peuvent surgir rapidement dans la nature . Pour les contrer, le systme IDP de D-Link emploie une approche o le module inspecte ces composants rutilisables, grce au filtrage par motif qui recherche des units logiques plutt que des motifs de code entiers. Vous pouvez ainsi tre protgs contre les menaces connues ainsi que les nouvelles menaces peine sorties et encore inconnues , formes avec les composants logiciels rutiliss. Avis de signatures. Un advisory (avis) est une description textuelle explicative dune signature. La lecture dun avis de signatures explique ladministrateur ce que la signature va rechercher. tant donn que la base de donnes des signatures est en perptuel changement, les avis ne sont pas fournis avec la documentation D-Link mais sont disponibles sur le site Web de D-Link : http://security.dlink.com.tw Vous pouvez trouver les avis dans les options de NetDefend IDS du menu NetDefend Live . Types de signatures IDP. Le systme IDP offre trois types de signatures qui autorisent diffrents niveaux de scurit selon les menaces : Signatures de protection des intrusions (IPS) : celles-ci sont extrmement prcises, ce qui signifie quune correspondance indique presque automatiquement une menace. Il est recommand dutiliser laction Protection. Ces signatures peuvent dtecter les actions administrateur et les analyses de scurit. Signatures de dtection des intrusions (IDS) : celles-ci peuvent dtecter des vnements pouvant tre des intrusions. Elles sont moins prcises que les IPS et peuvent donner des faux positifs. Il est donc recommand dutiliser laction Audit avant dutiliser laction Protection. Signatures des rgles : celles-ci dtectent diffrents types de trafic entre les applications. Elles peuvent tre utilises pour bloquer certaines applications telles que le partage de fichiers et la messagerie instantane.
Groupes de signatures IDP

Utilisation des groupes. Il existe gnralement plusieurs lignes dattaques pour un protocole spcifique et il vaut mieux toutes les rechercher en mme temps lorsque lon analyse le trafic rseau. Pour cela, les signatures lies un protocole particulier sont regroupes. Par exemple, les signatures qui se rapportent au protocole FTP forment un groupe. Il vaut mieux spcifier un groupe qui fait rfrence au trafic inspect plutt que dexaminer des signatures individuelles. Pour des raisons de performances, lobjectif serait que NetDefendOS examine les donnes en utilisant le moins de signatures possibles. Spcification des groupes de signatures. Les groupes de signatures IDP sont organiss en une structure hirarchique trois niveaux. Au niveau le plus lev de cette hirarchie se trouve la signature Type ; la catgorie (Category) et la sous-catgorie (Sub-Category) reprsentent respectivement les deuxime et troisime niveaux. Le groupe de signatures appel POLICY_DB_MSSQL illustre ce principe o la rgle est le Type, la base de donnes la catgorie (Category) et MSSQL est la Sub-Category (sous-catgorie). Ces 3 composants de signature sont expliqus ci-dessous : 1. Type Groupe de signatures. Le type de groupe est lune des valeurs IDS, IPS ou Policy (Rgle). Ces types sont expliqus ci-dessous. 2. Catgorie Groupes de signatures. Ce deuxime niveau de dsignation dcrit le type dapplication ou de protocole. Voici des exemples :
154
Mcanismes de scurit
BACKUP (sauvegarde) DB (base de donnes) DNS FTP HTTP 3. Sous-catgorie Groupe de signatures. Le troisime niveau de dsignation indique la destination du groupe et prcise souvent lapplication, par exemple MSSQL. La sous-catgorie peut ne pas tre ncessaire si le Type et la Category (catgorie) suffisent indiquer le groupe, par exemple APP_ITUNES. Liste des groupes IDP. Une liste des groupes IDP se trouve l'Annexe, Groupes de signatures IDP. La liste indique des noms de groupes composs de la Category (catgorie), suivie de la Sub-Category (sous-catgorie) car le Type pourrait tre l'une des valeurs IDS, IPS ou POLICY (Rgle). Traitement doprations multiples. Pour toute rgle IDP, il est possible dindiquer plusieurs oprations et un type dopration, comme par exemple Protect (Protger), peut tre rpt. Chaque opration aura alors une ou plusieurs signatures ou groupes associs. Lorsqu'une correspondance de signature se produit, lopration seffectue de haut en bas, la correspondance des signatures pour la premire opration indique tant la premire effectue. Wildcarding des signatures IDP. Lors de la slection de groupes de signatures IDP, il est possible dutiliser le wildcarding pour slectionner plusieurs groupes. Le caractre ? peut tre utilis comme joker pour un seul caractre dans un nom de groupe. Le caractre * peut galement tre utilis comme joker pour tout ensemble de caractres de n'importe quelle longueur dans un nom de groupe.
Avertissement contre l'utilisation dun nombre excessif de signatures IDP

Nutilisez pas lensemble de la base de donnes de signatures et vitez dutiliser des signatures et des groupes de signatures inutilement. Veillez utiliser uniquement les signatures ou groupes qui sappliquent au type de trafic que vous tentez de protger. Par exemple, utiliser les groupes IDS_WEB*, IPS_WEB*, IDS_HTTP* et IPS_HTTP* IDP serait appropri pour protger un serveur HTTP. Lanalyse du trafic IDP cre une charge supplmentaire sur le matriel qui dans la plupart des cas ne devrait pas affecter les performances de faon notable. Lutilisation dun trop grand nombre de signatures lors de lanalyse peut rendre la charge sur le matriel du firewall inutilement lourde, affectant ngativement le dbit.
Actions IDP
Options daction. Une fois que la correspondance de motif reconnat une intrusion dans lobjet du trafic vers une rgle IDP, laction associe cette rgle est entreprise. Ladministrateur peut associer lune des trois options daction une rgle IDP : Ignorer Ne rien faire si une intrusion est dtecte et laisser la connexion ouverte Vrifier Laisser la connexion ouverte mais consigner l'vnement Protger Cette action ignore la connexion et consigne lvnement (avec la possibilit d'ajouter la liste noire la source de la connexion ou l'activation de ZoneDefense tel que dcrit ci-dessous). Listes noires IDP. Loption Protect (Protger) permet d'ajouter lhte ou le rseau particulier qui dclenche la rgle IDP une Blacklist (liste noire) de sources de trafic irrgulires. Ceci signifie que tout le trafic provenant dune source sur liste noire sera automatiquement ignor par NetDefendOS. Pour en savoir plus sur le fonctionnement des listes noires, consultez la section Blacklisting des htes et rseaux . ZoneDefense IDP. Laction Protect (Protger) permet de dsactiver le commutateur D-Link particulier qui dclenche la rgle IDP via la fonction ZoneDefense de D-Link. Pour en savoir plus sur le fonctionnement de ZoneDefense, consultez le Chapitre 12, ZoneDefense.
155
Mcanismes de scurit
Rcepteur de journaux SMTP pour les vnements IDP

Afin de recevoir des notifications par e-mail des vnements IDP, un rcepteur de journaux SMTP peut tre configur. Cet e-mail contiendra un rsum des vnements IDP qui se sont produits au cours dune priode de temps configurable par lutilisateur. Lorsquun vnement IDP se produit, le NetDefendOS patientera pendant les secondes de la dure de retenue (Hold Time) avant denvoyer le-mail de notification. Cependant, l'e-mail sera uniquement envoy si le nombre d'vnements produits au cours de cette priode est suprieur ou gal au seuil de consignation. Lorsque cet e-mail est envoy, NetDefendOS patientera pendant les secondes de la dure de rptition minimum avant denvoyer un nouvel e-mail.
Exemple 6.19. Configuration dun rcepteur de journaux SMTP

Dans cet exemple, une rgle IDP est configure avec un rcepteur de journaux SMTP. Une fois quun vnement IDP se produit, la rgle est dclenche. Au moins un nouvel vnement se produit au cours de la priode de retenue de 120 secondes, atteignant ainsi le niveau du seuil de consignation (au moins 2 vnements se sont produits). Ceci entrane lenvoi dun e-mail contenant un rsum des vnements IDP. Plusieurs vnements IDP supplmentaires peuvent se produire par la suite, mais pour viter dencombrer le serveur de messagerie, NetDefendOS patientera pendant 600 secondes (quivalent 10 minutes) avant denvoyer un nouvel e-mail. Un serveur SMTP est suppos avoir t configur dans le carnet dadresses avec le nom du serveur smtp. Interface de ligne de commande Ajout dun rcepteur de journaux SMTP :
gw-world:/> add LogReceiver LogReceiverSMTP smt4IDP IPAddress=smtp-server [email protected]
Rgles IDP :
gw-world:/> cc IDPRule examplerule gw-world:/examplerule> set IDPRuleAction 1 LogEnabled=Yes
Interface Web Ajout dun rcepteur de journaux SMTP : Slectionnez System > Log and Event Receivers > Add > SMTP Event Receiver (Systme > Rcepteurs de journaux et dvnements > Ajouter > Rcepteur dvnements SMTP). Saisissez : Name (Nom) : smtp4IDP SMTP Server (Serveur SMTP) : smtp-server Server Port (Port de serveur) : 25 Indiquez dautres adresses lectroniques (jusqu 3). Sender (Expditeur) : hostmaster Subject (Objet) : vnement de journal de NetDefendOS Minimum Repeat Delay (Dlai de rptition minimum) : 600 Hold Time (Dure de retenue) : 120 Log Threshold (Seuil de consignation) : 2 Cliquez sur OK. Rgles IDP :
156
Mcanismes de scurit
Slectionnez IDP > IDP Rules (IDP > Rgles IDP). Slectionnez une rgle dans la liste, cliquez sur le bouton droit de la souris et slectionnez Edit (Modifier). Slectionnez laction que vous souhaitez consigner et slectionnez Edit (Modifier). Cochez la case Enable logging (Activer la consignation) dans longlet Log Settings (Paramtres de consignation). Cliquez sur OK.
Exemple 6.20. Configuration dun IDP pour un serveur de messagerie

L'exemple suivant dtaille les tapes ncessaires la configuration d'un IDP pour un simple scnario dans lequel un serveur de messagerie est expos Internet sur le rseau DMZ avec une adresse IP publique. LInternet public peut tre atteint via le firewall sur linterface WAN tel qu'illustr ci-dessous.
Interface de ligne de commande Crez une rgle IDP :

gw-world:/> add IDPRule Service=smtp SourceInterface=wan SourceNetwork=wannet DestinationInterface=dmz DestinationNetwork=ip_mailserver Name=IDPMailSrvRule
Crez une action IDP :

gw-world:/> cc IDPRule IDPMailSrvRule gw-world:/IDPMailSrvRule> add IDPRuleAction Action=Protect IDPServity=All Signatures=IPS_MAIL_SMTP
Interface Web Crez une rgle IDP : Cette rgle IDP sera appele IDPMailSrvRule et sappliquera au service SMTP. Linterface source et le rseau source dfinissent l'origine du trafic, dans cet exemple le rseau externe. Linterface de destination et le rseau de destination dfinissent la destination du trafic, dans ce cas le serveur de messagerie. Le rseau de destination doit par consquent tre dfini sur l'objet dfinissant le serveur de messagerie. Slectionnez Rules > IP Rules > Add > IP Rule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : IDPMailSrvRule
157
Mcanismes de scurit
Service : smtp Also inspect dropped packets (Inspecter galement les paquets ignors) : Dans le cas o lensemble du trafic correspondant cette rgle devrait tre analys (ceci comprend galement le trafic que lensemble de rgles principales ignorerait), la case Also inspect dropped packets (Inspecter galement les paquets ignors) est coche, ce qui est le cas dans cet exemple. Source Interface (Interface source) : wan Source Network (Rseau source) : wannet Destination Interface (Interface de destination) : dmz Destination Network (Rseau de destination) : ip_mailserver Cliquez sur OK. Si l'on souhaite consigner des tentatives d'intrusion, ceci peut tre configur dans l'onglet Log Settings (Paramtres de consignation). Crez une action IDP : Lorsque cette rgle IDP a t cre, une action doit galement tre cre, indiquant les signatures que lIDP doit utiliser lors de lanalyse des donnes correspondant la rgle IDP et ce que NetDefendOS doit faire en cas de dtection d'intrusion. La connexion devrait tre ignore en cas de tentatives dintrusion, laction est donc dfinie sur Protect (Protger). La gravit est dfinie sur Attack (attaque), afin de correspondre toutes les attaques SMTP. Signatures est dfini sur IPS_MAIL_SMTP afin dutiliser les signatures qui dcrivent des attaques du rseau externe, concernant le protocole SMTP. Slectionnez Rules > IP Rules > Add > IP Rule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Action : Protect (Protger) Severity (Gravit) : All (Tous) Signatures : IPS_MAIL_SMTP Cliquez sur OK. En bref, voici ce qui se passera : En cas de trafic entre le rseau externe et le serveur de messagerie, lIDP sera activ. Si le trafic correspond lune des signatures du groupe de signatures IPS_MAIL_SMTP, la connexion sera ignore, protgeant ainsi le serveur de messagerie.
Attaques de dni de service

Prsentation
En adoptant Internet, les entreprises disposent de nouvelles opportunits commerciales et de croissance. Le rseau de lentreprise et les applications qui y sont excutes sont essentielles l'activit. Non seulement une socit touche un plus grand nombre de clients via Internet, mais elle peut les servir plus rapidement et de faon plus efficace. Dans le mme temps, lutilisation dun rseau IP public permet aux entreprises de rduire les cots lis linfrastructure. Malheureusement, les mmes avantages quInternet apporte lentreprise bnficient galement aux pirates qui utilisent la mme infrastructure publique pour dvelopper des attaques. Des outils dattaque sont disponibles sur Internet et le travail de dveloppement de ces outils est souvent divis entre plusieurs groupes de pirates dbutants connus sous le nom de script kiddies (pirates nophytes) ou larval hackers (pirates dbutants) - disperss aux quatre coins du monde, permettant une volution 24 h/24 des mthodes dattaques automatises. Bon nombre des nouvelles mthodes dattaque utilisent la nature distribue dInternet pour lancer des attaques de dni de service contre des organisations.
158
Mcanismes de scurit
tre victime d'une attaque de dni de service est probablement la dernire chose dont un administrateur rseau souhaite faire l'exprience. Les attaques peuvent apparatre sans prvenir et les consquences peuvent tre dvastatrices avec des serveurs endommags, des connexions Internet bloques et des systmes essentiels l'activit en surcharge. Cette section aborde lutilisation du firewall D-Link pour protger les organisations contre les attaques de dni de service.
Mcanismes dattaque de dni de service

Une attaque de dni de service peut tre ralise de plusieurs manires, mais il existe trois types d'attaques de base : consommation des ressources informatiques, comme la bande passante, lespace disque ou le temps de processeur ; interruption des informations de configuration, comme les informations dacheminement ; interruption des composants rseau physiques. Lune des mthodes les plus couramment utilises est la consommation des ressources informatiques, ce qui signifie que lattaque de dni de service inonde le rseau et bloque des ressources essentielles utilises pour excuter des applications importantes. Dans certains cas, des vulnrabilits dans les systmes dexploitation Unix et Windows sont exploites pour provoquer volontairement un crash du systme, alors que dans dautres cas, un volume important de trafic apparemment valide est dirig vers des sites jusqu ce que ceux-ci soient surchargs et fassent lobjet dun crash. Voici quelques-unes des attaques de dni de service les plus couramment utilises : Les attaques Ping of Death / Jolt Les attaques de chevauchement de fragmentation : Teardrop / Bonk / Boink / Nestea Les attaques Land et LaTierra Lattaque WinNuke Les attaques damplification : Smurf, Papasmurf, Fraggle Lattaque dinondation TCP SYN Lattaque Jolt2
Les attaques Ping of Death et Jolt

Lattaque ping of death est lune des attaques les plus anciennes de couche 3/4. Une des faons les plus simples de lexcuter est dexcuter ping -l 65510 1.2.3.4 sur un systme Windows 95 o 1.2.3.4 est ladresse IP de la victime cible. Lattaque Jolt est simplement un programme volontairement paramtr pour gnrer des paquets sur des systmes d'exploitation dont les commandes ping refusent de gnrer des paquets trop volumineux. Le facteur de dclenchement est le dernier fragment qui fait dpasser les 65 535 octets de volume de paquet, ce qui est le nombre le plus lev qu'un entier 16 bits peut stocker. Lorsque la valeur dborde, elle repasse un nombre trs faible. La suite dpend alors de la faon dont la pile d'IP de la victime est mise en uvre. NetDefendOS nautorisera jamais la transmission de fragments qui entraneraient un dpassement de volume total de 65 535 octets. De plus, il existe des limites configurables pour les tailles des paquets IP dans la section Paramtres avancs . Lattaque Ping of death apparatra dans les journaux NetDefendOS comme ignorances avec le nom de rgle dfini sur LogOversizedPackets . Ladresse IP de lexpditeur peut tre usurpe.
159
Mcanismes de scurit
Les attaques de chevauchement de fragmentation : Teardrop, Bonk, Boink et Nestea

Teardrop et les attaques drives sont des attaques de chevauchement de fragments. De nombreuses piles dIP ont montr un comportement erratique (puisement des ressources excessives ou crash) lorsquelles ont t exposes des fragments en chevauchement. NetDefendOS offre une protection totale contre les attaques de chevauchement de fragmentation. Les fragments en chevauchement ne sont jamais autoriss transiter par le systme. Lattaque Teardrop et ses drives apparatront dans les journaux NetDefendOS comme ignorances avec le nom de rgle dfini sur IllegalFrags . Ladresse IP de lexpditeur peut tre usurpe.
Les attaques Land et LaTierra

Les attaques Land et LaTierra fonctionnent par lenvoi dun paquet une victime et le fait que la victime y rponde, ce qui son tour gnre une autre rponse, etc. Ceci provoquera une panne ou un crash de la machine de la victime. Lattaque est accomplie par l'utilisation de l'adresse IP de la victime dans le champ source d'un paquet IP ainsi que dans le champ de destination. NetDefendOS protge contre cette attaque en appliquant une protection contre l'usurpation d'IP tous les paquets. Dans sa configuration par dfaut, il comparera simplement les paquets arrivant au contenu de la table de routage ; si un paquet arrive sur une interface diffrente de l'interface sur laquelle le systme prvoit la prsence de la source, le paquet sera ignor. Les attaques Land et LaTierra apparatront dans les journaux NetDefendOS comme ignorances avec le nom de rgle dfini sur AutoAccess par dfaut, ou, si vous avez crit des rgles daccs personnalises, le nom de la rgle daccs qui a ignor le paquet. Ladresse IP de lexpditeur est sans intrt ici car cest toujours la mme que ladresse IP de destination.
Lattaque WinNuke
Lattaque WinNuke fonctionne par une connexion un service TCP qui ne dispose d'aucun gestionnaire de donnes hors bande (segments TCP avec l'ensemble de bits URG), mais qui accepte tout de mme ces donnes. Ceci mettra en gnral le service dans une boucle serre qui consommera tout le temps de processeur disponible. Ce service tait NetBIOS sur le service TCP/IP sur les machines Windows, ce qui a donn son nom lattaque. NetDefendOS protge contre cette attaque de deux faons : Avec une rgle dentre attentive, la surface de lattaque est considrablement rduite. Seuls les services exposs peuvent potentiellement tre victimes de l'attaque et les services publics ont tendance tre mieux crits que les services qui doivent uniquement servir le rseau local. En liminant le bit URG par dfaut de tous les segments TCP qui traversent le systme, ce qui peut tre configur via Advanced Settings > TCP > TCPUrg (Paramtres avancs > TCP > TCPUrg). Les attaques WinNuke apparatront en gnral dans les journaux NetDefendOS comme ignorances normales avec le nom de votre rgle qui a interdit la tentative de connexion. Pour les connexions autorises via le systme, les entres de catgorie TCP ou DROP (selon le paramtre TCPUrg) apparatront, avec un nom de rgle de TCPUrg . Ladresse IP de lexpditeur nest pas susceptible dtre usurpe ; une liaison complte trois voies doit tre effectue avant de pouvoir envoyer des segments hors bande.
Les attaques damplification : Smurf, Papasmurf, Fraggle

Cette catgorie dattaques utilise des amplificateurs : des rseaux mal configurs qui amplifient un flux de paquets et lenvoient la cible ultime. Lobjectif est la consommation excessive de bande passante - consommer toute la capacit de connexion Internet de la victime. Un pirate avec suffisamment de bande passante peut
160
Mcanismes de scurit
dlaisser la totalit de ltape damplification et simplement diffuser suffisamment de bande passante la victime. Cependant, ces attaques permettent aux pirates qui disposent de moins de bande passante que la victime d'amplifier leur flux de donnes pour submerger la victime. Les attaques Smurf et Papasmurf envoient des paquets dcho ICMP ladresse de diffusion de rseaux ouverts sur de nombreuses machines, en faisant passer ladresse IP source pour celle de la victime. Toutes les machines prsentes sur le rseau ouvert rpondent alors la victime. Lattaque Fraggle utilise la mme ide gnrale, mais utilise la place lcho UDP (port 7) pour accomplir la tche. Lattaque Fraggle obtient en gnral des facteurs damplification plus faibles car il y a moins d'htes sur Internet qui ont activ le service d'cho UDP. Les attaques Smurf apparatront dans les journaux NetDefendOS comme des masses de paquets ICMP Echo Reply ignors. Les adresses IP source seront celles que les rseaux de l'amplificateur ont utilises. Les attaques Fraggle apparatront dans les journaux NetDefendOS comme masses de paquets ignors (ou autoriss, selon la rgle). Les adresses IP source seront celles que les rseaux de l'amplificateur ont utilises. viter le phnomne damplification. Mme si l'importance du flux de la bande passante est du ct de la victime, le fait d'tre slectionn comme rseau amplificateur peut galement consommer d'importantes ressources. Dans sa configuration par dfaut, NetDefendOS ignore explicitement les paquets envoys ladresse de diffusion des rseaux connects directement. Ceci peut tre configur via Advanced Settings > IP > DirectedBroadcasts (Paramtres avancs > IP > DirectedBroadcasts). Cependant, avec une rgle dentre raisonnable, aucun rseau protg ne devrait sinquiter de devenir amplificateur smurf. Protection du ct de la victime. Les attaques Smurf et ses drives sont des attaques dpuisement des ressources en ceci quelles utilisent toute la capacit de connexion Internet. En gnral, le firewall se trouve du mauvais ct du goulot dtranglement de la connexion Internet pour fournir une protection efficace contre ce type dattaques. Le mal est dj fait avant que les paquets atteignent le firewall. Cependant, NetDefendOS peut tre utile en permettant de maintenir la charge en dehors des serveurs internes, en les rendant disponibles pour le service interne, ou peut-tre un service via une connexion secondaire Internet non cible par l'attaque. Les inondations Smurf et Papasmurf seront considres comme des Rponses lcho ICMP du ct de la victime. moins dutiliser des rgles FwdFast , ces paquets ne sont jamais autoriss lancer de nouvelles connexions, que des rgles autorisent ou non le trafic. Des paquets Fraggle peuvent arriver sur nimporte quel port de destination UDP cibl par le pirate. Il peut tre utile de renforcer lensemble de rgles dentre. La fonction de mise en forme du trafic intgre NetDefendOS aide galement absorber une partie de linondation avant quelle natteigne des serveurs protgs.
Les attaques dinondation TCP SYN

Lattaque dinondation TCP SYN fonctionne en envoyant de grandes quantits de paquets TCP SYN vers un port donn, puis en ne rpondant pas aux SYN ACK envoys en rponse. Ceci bloquera les ressources de piles TCP locales sur la machine de la victime jusqu' ce qu'elle soit incapable de rpondre davantage de paquets SYN jusqu' l'expiration des connexions demi ouvertes existantes. NetDefendOS protgera contre les attaques dinondation TCP SYN sil est activ dans un objet Service associ la rgle dans lensemble de rgles IP qui autorise le trafic. Par dfaut, cest le cas des services prdfinis http-in, https-in, smtp-in et ssh-in. Si un nouvel objet Service personnalis est dfini par l'administrateur, la protection Syn Flood peut alors tre active ou dsactive comme on le souhaite. La protection SynRelay fonctionne en tablissant une liaison 3 voies avec le client avant d'tablir une deuxime liaison avec le service cible. Les situations de surcharge ne se produisent pas aussi facilement dans NetDefendOS en raison dune gestion des ressources bien meilleure et d'un manque de restrictions normalement plac sur un systme d'exploitation complet. Alors quun systme dexploitation normal peut prsenter des problmes avec 5 connexions demi ouvertes seulement, NetDefendOS peut remplir la totalit de sa table d'tat (des milliers ou des millions de connexions, selon le modle de votre produit) avant quun lment inhabituel apparaisse. Lorsque la table dtat se remplit, d'anciennes connexions SYN seront parmi les premires tre
161
Mcanismes de scurit
ignores pour faire de la place de nouvelles connexions. Les attaques dinondation TCP SYN apparatront dans les journaux NetDefendOS comme des quantits excessives de nouvelles connexions (ou dignorances, si l'attaque vise un port ferm). Ladresse IP de lexpditeur est presque toujours usurpe. noter : si la protection Syn Flood est active sur un objet Service et quun ALG est associ cet objet Service, lALG sera alors dsactive.
Lattaque Jolt2
Lattaque Jolt2 fonctionne en envoyant un flux stable de fragments identiques la machine de la victime. Quelques centaines de paquets par seconde bloqueront compltement les machines vulnrables jusqu' la fin du flux. NetDefendOS offre une protection complte contre cette attaque. Le premier fragment sera mis en file dattente en attendant l'arrive de fragments prcdents, de faon pouvoir tre transmis en ordre. Mais ceci n'arrive jamais, ce qui signifie que mme le premier fragment ne passe pas. Les fragments suivants seront limins car ils sont identiques au premier fragment. Si le pirate slectionne une compensation de fragment suprieure aux limites imposes par Advanced Settings > LengthLim (Paramtres avancs > LengthLim) dans NetDefendOS, les paquets niront mme pas jusque l ; ils seront immdiatement ignors. Les attaques Jolt2 peuvent apparatre dans les journaux NetDefendOS ou pas. Si le pirate slectionne une compensation de fragment trop leve pour lattaque, ces attaques apparatront comme ignorances de la part des rgles dfinies LogOversizedPackets . Si la compensation de fragment est assez faible, il ny aura aucune consignation. Ladresse IP de lexpditeur peut tre usurpe.
Les attaques de dni de service distribu

Une forme plus sophistique de dni de service est lattaque de dni de service distribu. Les attaques de dni de service distribu impliquent de diviser en centaines ou milliers des machines prsentes sur Internet pour y installer le logiciel de dni de service distribu, permettant au pirate de contrler toutes ces machines pour lancer des attaques coordonnes sur les sites victimes. Ces attaques puisent en gnral la bande passante, la capacit de traitement du routeur ou les ressources de piles du rseau, en interrompant la connectivit rseau vers les victimes. Bien que de rcentes attaques de dni de service distribu aient t lances partir de systmes institutionnels publics et d'entreprises prives, les pirates ont tendance favoriser les rseaux universitaires en raison de leur nature ouverte et distribue. Les outils utiliss pour lancer des attaques de dni de service distribu comprennent notamment : Trin00, TribeFlood Network (TFN), TFN2K et Stacheldraht.
Blacklisting des htes et rseaux

NetDefendOS met en place une Blacklist (liste noire) dadresses IP dhtes ou de rseaux qui peut tre utilise pour protger contre tout trafic provenant de sources Internet spcifiques. Certains modules de NetDefendOS, en particulier le module Intrusion Detection and Prevention (IDP) (Dtection et prvention des intrusions), ainsi que des rgles de seuil, peuvent utiliser la liste noire dans certaines situations, comme par exemple lorsque le trafic dclenche une rgle de limite de seuil. Lajout dun hte ou dun rseau la liste noire peut tre activ dans IDP et dans les rgles de seuil en indiquant laction Protect (Protger) en cas de dclenchement d'une rgle. Une fois activ, il existe trois options de blacklisting : Time to Block Host/Network in seconds (Dure de blocage dun hte/rseau en secondes)Lhte ou le rseau qui est la source du trafic sera maintenu sur la liste noire pendant la dure indique, avant dtre supprim. Si la mme source dclenche une autre entre dans la liste noire, la dure de blocage est alors ramene sa valeur complte d'origine (en d'autres termes, elle ne peut pas se cumuler). Block only this Service (Bloquer uniquement ce service) Par dfaut, le blacklisting bloque tous les services pour lhte de dclenchement.
162
Mcanismes de scurit
Exempt already established connections from Blacklisting (Exclure du blacklisting les connexions dj tablies) Si des connexions tablies ont la mme source que cette nouvelle entre de la liste noire, elles ne seront pas ignores si cette option est slectionne. Des adresses IP ou rseaux sont ajouts la liste et le trafic en provenance de ces sources est bloqu pendant un certain temps. La liste noire est maintenue, mme si le firewall D-Link sarrte ou redmarre. Liste blanche. Pour sassurer que de bonnes sources de trafic Internet ne sont en aucun cas mises sur liste noire, une Whitelist (liste blanche) est galement tenue par NetDefendOS.
Conseil
Il est recommand dajouter le firewall D-Link lui-mme la liste blanche ainsi que les adresses IP du poste de travail de gestion. Il est important de bien comprendre que bien que la liste blanche vite la mise sur liste noire d'une source de trafic rseau, ceci nempche pas les mcanismes tels que les rgles de seuil dignorer ou de refuser des connexions partir de cette source. Tout l'intrt de la liste blanche est d'empcher l'ajout d'une source une liste noire s'il s'agit de l'action qu'une rgle a indique. Pour plus dinformations, consultez les sections intitules Actions IDP , Blacklisting de rgles de seuil et la section intitule Rgles de seuil .
Remarque
Le blacklisting du filtrage de contenu est un objet distinct qui utilise une liste logique distincte (consultez la section intitule Filtrage du contenu Web ).
163
Chapitre 7. Traduction dadresses

Le prsent chapitre dcrit les fonctionnalits NetDefendOS de traduction dadresses. La capacit de NetDefendOS modifier les adresses IP des paquets lors de leur passage dans un firewall D-Link est connue sous le nom de traduction d'adresses. NetDefendOS prend en charge deux types de traduction : le NAT (Network Address Translation ou Traduction dadresses rseau) dynamique et le SAT (Static Address Translation ou Traduction dadresses statique). Les deux types de traduction sont bases sur des rgles, ce qui signifie quils peuvent tre appliqus un trafic spcifique en fonction du rseau source/de destination, de linterface source/de destination ainsi que du service. Deux types de rgles IP (rgles NAT et rgles SAT) sont utilise pour spcifier la traduction dadresses au sein de lensemble de rgles IP. L'utilisation de la traduction dadresses a deux principaux fondements : Fonctionnalit. Vous utilisez peut-tre des adresses IP prives sur votre rseau et vos htes protgs pour accder Internet. Dans ce cas, la traduction dadresses dynamique peut tre utilise. Vous pouvez galement utiliser des serveurs avec des adresses IP prives qui doivent tre accessibles au public. Dans ce cas, la traduction dadresses statique peut tre la solution. Scurit. En elle-mme, la traduction dadresses ne fournit pas un niveau plus important de scurit, mais elle rend difficile pour les intrus de comprendre la structure exacte du rseau protg que certaines machines voudraient attaquer. Dans le pire des scnarios, l'utilisation de la traduction d'adresses impliquerait que les attaques prendraient plus de temps, ce qui les rendrait aussi plus visibles dans les fichiers de consignation de NetDefendOS. Dans le meilleur des scnarios, lintrus renoncera simplement. Cette section dcrit le fonctionnement des traductions dadresses dynamique et statique, leurs fonctionnalits et leurs limites. Des exemples sont galement fournis pour vous aider configurer les rgles NAT et SAT.
NAT dynamique
La NAT dynamique propose un mcanisme de traduction des adresses IP de la source dorigine vers des adresses diffrentes. La NAT est plus frquemment adopte lorsquon utilise des adresses IP prives dans un rseau interne et qu'il est souhaitable que les connexions sortantes apparaissent comme provenant du firewall D-Link lui-mme plutt que des adresses internes. La NAT est un mode de traduction plusieurs-un, ce qui signifie que chaque rgle NAT traduira plusieurs adresses IP source en une seule. Pour maintenir les informations dtat de session, chaque connexion en provenance des adresses traduites de manire dynamique doit utiliser la mme combinaison numro de port/adresse IP que son metteur. NetDefendOS traduira donc automatiquement le numro de port source. Le port source est le prochain port libre, habituellement au-dessus de 32 768. Ceci implique lexistence dune limitation denviron 30 000 connexions simultanes qui utilisent la mme adresse IP source traduite. NetDefendOS prend en charge deux stratgies de traduction des adresses source : Use Interface Address (Utiliser ladresse de linterface) Lorsquune nouvelle connexion est tablie, la consultation de la table de routage permet de trouver l'interface de sortie de cette connexion. Ladresse IP de cette interface est alors utilise en tant que nouvelle adresse IP source lors de la traduction d'adresses par NetDefendOS. Specify Sender Address (Spcifier ladresse de lmetteur) Une adresse IP spcifique peut tre dtermine comme nouvelle adresse IP source. Ladresse IP spcifie doit ncessairement avoir une entre correspondante ARP Publish configure pour linterface de sortie. Sans cela, le firewall D-Link ne pourra pas recevoir le trafic retour. Lexemple suivant illustre la manire dont la NAT est applique sur une nouvelle connexion. Lmetteur (par exemple 192.168.1.5) envoie un paquet depuis un port assign en dynamique (par exemple le port 1038) vers un serveur (par exemple 195.55.66.77 port 80).
164
Traduction dadresse
192.168.1.5:1038 => 195.55.66.77:80 Dans cet exemple, loption Use Interface Address (Utiliser ladresse de linterface) est active. Elle utilise ladresse dinterface 195.11.22.33. De plus, le port source est chang pour un port libre sur le firewall D-Link (il se situe habituellement au-dessus de 32 768). Dans cet exemple, nous allons utiliser le port 32 789. Le paquet est donc envoy vers sa destination. 195.11.22.33:32789 => 195.55.66.77:80 Le serveur destinataire traite le paquet et envoie sa rponse. 195.55.66.77:80 => 195.11.22.33:32789 NetDefendOS reoit le paquet et le compare sa liste de connexions ouvertes. Une fois la connexion trouve, il restaure ladresse dorigine et transfre le paquet. 195.55.66.77:80 => 192.168.1.5:1038 L'metteur dorigine reoit la rponse.
Exemple 7.1. Ajout dune rgle NAT

Pour ajouter une rgle NAT qui fera une traduction dadresses pour tout trafic HTTP provenant du rseau interne, suivez les tapes ci-dessous : Interface de ligne de commande
gw-world:/> add IPRule Action=NAT Service=http SourceInterface=lan SourceNetwork=lannet DestinationInterface=any DestinationNetwork=all-nets Name=NAT_HTTP NATAction=UseInterfaceAddress
Interface Web Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Spcifiez un nom convenable pour la rgle, par exemple : NAT_HTTP. Saisissez : Action : NAT Service : http Source Interface (Interface source) : lan Source Network (Rseau source) : lannet Destination Interface (Interface de destination) : any (toutes) Destination Network (Rseau de destination) : all-nets (tout rseau) Sous longlet NAT, assurez-vous que l'option Use Interface Address (Utiliser ladresse de l'interface) est slectionne. Cliquez sur OK. Protocoles pris en charge par la NAT. La traduction dadresses dynamique est compatible avec les protocoles TCP, UDP et ICMP et ce avec un haut niveau de fonctionnalit puisque l'algorithme sait quelles valeurs peuvent tre ajustes pour devenir uniques dans ces trois protocoles. Pour dautres protocoles de niveau IP, les connexions uniques sont identifies par leurs adresses dmetteur, leurs adresses de destination et leurs numros de protocole. En dautres termes : Une machine interne peut communiquer avec plusieurs serveurs externes en utilisant le mme protocole IP.
165
Traduction dadresse
Une machine interne peut communiquer avec plusieurs serveurs externes en utilisant diffrents protocoles IP. Plusieurs machines internes peuvent communiquer avec des serveurs externes diffrents en utilisant le mme protocole IP. Plusieurs machines internes peuvent communiquer avec le mme serveur externe en utilisant diffrents protocoles IP. Plusieurs machines internes ne peuvent pas communiquer avec le mme serveur externe en utilisant le mme protocole IP.
Remarque
Ces restrictions sappliquent uniquement aux protocoles de niveau IP autres que TCP, UDP et ICMP, cest--dire les protocoles tels que OSPF, L2TP, etc. Elles ne sappliquent pas aux protocoles transports par TCP, UDP et ICMP, cest--dire : telnet, FTP, HTTP, SMTP, etc. NetDefendOS peut altrer le numro de port dans les en-ttes TCP et UDP pour rendre chaque connexion unique, mme si les adresses des metteurs de ces connexions ont t traduites par la mme adresse IP. Certains protocoles ne sintressent pas au mode de transport utilis, ce qui peut causer des problmes lors de la traduction d'adresses.
Groupes NAT
Prsentation. Comme spcifi dans la section intitule NAT dynamique , la NAT fait en sorte que plusieurs clients et htes internes avec des adresses IP internes prives et uniques puissent communiquer avec des htes distants grce une seule adresse IP publique externe. Lorsque plusieurs adresses IP externes publiques sont disponibles, alors un objet Groupe NAT peut tre utilis pour attribuer des nouvelles connexions ces adresses IP publiques. Les groupes NAT sont habituellement utiliss lorsquun grand nombre de connexions de port uniques sont ncessaires. Le gestionnaire de ports de NetDefendOS est limit 65 000 connexions pour la combinaison unique des adresses IP source et de destination. Lorsqu'un grand nombre de clients internes utilisent des applications telles que des logiciels de partage de fichiers, un trs grand nombre de ports peuvent tre requis pour chaque client. Cette situation peut tre aussi difficile si un grand nombre de clients accdent Internet par lintermdiaire dun serveur proxy. Le problme de la limitation du nombre de ports est rsolu en attribuant des adresses IP externes supplmentaires aux accs Internet et en utilisant des groupes NAT pour leur attribuer de nouvelles connexions. Types de groupes NAT. Un groupe NAT peut tre dun de ces trois types, chaque type attribuant les nouvelles connexions dune manire diffrente : Stateful (Pourvu dtat) Stateless (Dpourvu dtat) Fixed (Fix) Ces trois types sont prsents ci-dessous. Groupe NAT en Stateful (Pourvu d'tat). Quand loption Stateful (Pourvu dtat) est slectionne, NetDefendOS attribue une nouvelle connexion ladresse IP externe qui prsente ce moment le moins de connexions routes et qui est donc prsume tre la moins charge. NetDefendOS conserve en mmoire une trace de toutes ces connexions. Les connexions suivantes avec le mme client/hte interne utilisent alors la mme adresse IP externe. Lavantage de cette approche est quelle peut quilibrer les connexions entre plusieurs liens ISP externes tout en assurant la communication d'un hte externe avec la mme adresse IP. Ceci est essentiel avec des protocoles tels que le HTTP lorsquil y a des cookies. Les inconvnients sont la mmoire supplmentaire requise par NetDefendOS pour les enregistrements dans sa table dtat et la petite surcharge dactivit quimplique le traitement dune nouvelle connexion. Pour sassurer que la table dtat ne contient pas dentres caduques pour les communications qui ne sont plus actives, une dure State Keepalive (Entretien de ltat) peut tre spcifie. Cette dure reprsente le nombre de
166
Traduction dadresse
secondes d'inactivit possible avant qu'un tat ne soit effac de la table d'tat. Aprs cette priode, NetDefendOS suppose que plus aucune communication ne proviendra de lhte interne en question. Une fois que ltat est effac, la communication suivante du mme hte entranera la cration d'une nouvelle entre dans la table d'tat. Une adresse IP externe diffrente peut lui tre attribue par le groupe NAT. La table dtat elle-mme utilise de la mmoire et il est possible de limiter sa taille grce la valeur Max States dans un objet groupe NAT. La table dtat nest pas attribue entirement en une fois, mais sa taille peut tre augmente volont. Une entre dans la table d'tat suit toutes les connexions d'un seul hte derrire le firewall D-Link, quel que soit lhte externe. Si le Max States est atteint, alors ltat existant avec le plus long temps d'inactivit est cras. Si tous les tats de la table sont actifs, alors la nouvelle connexion est abandonne. En rgle gnrale, la valeur Max States doit correspondre au moins au nombre d'htes ou de clients locaux qui vont se connecter sur Internet. Il ny a quune seule table dtat par groupe NAT. Si un seul groupe NAT est rutilis dans des rgles IP NAT multiples, elles partagent alors la mme table dtat. Pools NAT en Stateless (Dpourvu dtat). Loption Stateless (dpourvu dtat) signifie quaucune table dtat nest cre et que ladresse IP externe choisie pour chaque nouvelle connexion est celle qui est pourvue du plus petit nombre de connexions. Ceci signifie que deux connexions entre un hte interne et un mme hte externe peuvent utiliser deux adresses IP externes diffrentes. Un groupe NAT dpourvu d'tat a lavantage doffrir une bonne rpartition des nouvelles connexions entre les adresses IP externes, de requrir moins de mmoire puisqu'elle n'est plus alloue une table d'tat et de limiter le temps pass paramtrer la nouvelle connexion. L'inconvnient est quil nest pas adapt aux communications qui ncessitent une adresse IP externe constante. Pools NAT en Fixed (Fix). Loption Fixed (Fix) implique qu'un algorithme de chiffrage attribue chaque client ou hte interne une des adresses IP externes. Bien que ladministrateur nait pas le contrle sur la rpartition des connexions externes, ce schma assure la communication dun client ou hte interne particulier avec une adresse IP externe fixe. Loption Fixed (Fix) a lavantage de ne requrir aucune mmoire pour une table dtat et d'tablir trs rapidement une nouvelle connexion. Bien que lquilibrage de la charge ne soit pas assur par cette option, la charge se rpartit sur les connexions externes grce la nature alatoire de lalgorithme dattribution. Utilisation du groupe IP. Lors de lattribution des adresses IP externes un groupe NAT, il nest pas ncessaire de leur donner un tat. Au lieu de quoi, un objet IP Pool de NetDefendOS peut tre slectionn. Les pools IP accumulent des adresses IP directement grce au DHCP et peuvent donc automatiquement fournir des adresses IP externes un groupe NAT. Pour plus de dtails, veuillez consulter la section intitule Groupes IP . Utilisation du proxy ARP. Lorsquun routeur externe envoie des requtes ARP un firewall D-Link pour rsoudre les adresses IP dun groupe NAT, NetDefendOS devra envoyer les bonnes rponses ARP afin que la rsolution d'adresse s'effectue grce son mcanisme de proxy ARP et que le routeur externe puisse construire correctement sa table de routage. Par dfaut, ladministrateur doit spcifier dans les paramtres du groupe NAT quelles interfaces doivent tre utilises avec ce groupe. Cependant, une option permet dactiver un proxy ARP pour un groupe NAT sur toutes les interfaces, mais ceci peut parfois causer des problmes du fait de la possible cration de routes vers des interfaces sur lesquelles des paquets ne devraient pas arriver. Il est toutefois recommand que les interfaces utiliser avec le mcanisme de groupe NAT avec un proxy ARP soient explicitement dsignes. Utilisation de pools NAT. Les pools NAT sont utiliss avec une rgle IP NAT normale. Lors de la dfinition dune rgle NAT, la bote de dialogue inclut une option qui permet de lui attribuer un groupe NAT. Cette association permet au groupe NAT de fonctionner.
Exemple 7.2. Utilisation de pools NAT

Dans cet exemple, nous allons crer un groupe NAT qui sappliquera sur la plage dadresses IP 10.6.13.10 10.16.13.15 ; puis nous allons lutiliser dans une rgle IP NAT pour le trafic HTTP sur linterface Wan. Interface Web
167
Traduction dadresse
A. Crez dabord un objet ddi la plage d'adresses dans le carnet d'adresses. Slectionnez Objects > Address Book > Add > IP address (Objets > Carnet dadresses > Ajouter > Adresse IP). Saisissez un nom convenable pour la plage IP : nat_pool_range. Entrez 10.6.13.10-10.16.13.15 dans la bote de texte Address (Adresse). (Ici, un rseau tel que 10.6.13.0/24 peut tre utilis, les adresses 0 et 255 seront automatiquement effaces) Cliquez sur OK. B. Ensuite, crez un objet groupe NAT en Stateful (pourvu dtat) nomm stateful_natpool : Slectionnez Objects > NAT Pools > Add > NAT Pool (Objets > Groupe NAT > Ajouter > Groupe NAT). Saisissez : Name (Nom) : stateful_natpool Pool type (Type du groupe) : stateful IP Range (Plage dIP) : nat_pool_range Slectionnez longlet proxy ARP et ajoutez linterface WAN. Cliquez sur OK. C. Dfinissez la rgle NAT dans lensemble de rgles IP. Allez dans Rules > IP Rules > Add > IP Rule (Rgles > Rgles IP > Ajouter > Rgle IP). Sous General (Gnral), entrez : Name (Nom) : saisissez un nom adapt Action : NAT Sous Address Filter (Filtre dadresses), entrez : Source Interface (Interface source) : int Source Network (Rseau source) : int-net Destination Interface (Interface de destination) : wan Destination Network (Rseau de destination) : all-nets (tout rseau) Service : HTTP Slectionnez longlet Address Translation (Traduction dadresses) et entrez : Cochez loption Use NAT Pool (Utiliser le groupe NAT). Slectionnez stateful_natpool dans la liste droulante. Cliquez sur OK.
Traduction dadresses statique

NetDefendOS peut traduire des plages entires dadresses IP et/ou de ports. Ces traductions sont des transpositions, cest--dire que chaque adresse est mappe sur une adresse ou un port correspondant dans la nouvelle plage, plutt que de les traduire toutes vers la mme adresse ou le mme port. Cette fonctionnalit est connue sous le nom de SAT (Static Address Translation ou Traduction dadresses statique).
168
Traduction dadresse
Contrairement la NAT, la SAT require plus d'une rgle SAT pour fonctionner. NetDefendOS nachve pas la recherche dans l'ensemble de rgles aprs qu'une rgle SAT correspondante ait t trouve. la place, la recherche continue jusqu trouver une rgle Allow, NAT ou FwdFast qui correspond. Cest seulement aprs avoir trouv une de ces rgles que NetDefendOS excute la rgle SAT.
Traduction dune adresse IP unique (1:1)

La forme la plus simple de lutilisation de la SAT est pour la traduction d'une adresse IP unique. Un des scnarios les plus communs consiste permette aux utilisateurs externes d'accder un serveur protg dont l'adresse est prive. Ce scnario est quelques fois appel Virtual IP (IP virtuelle) ou Virtual Server (Serveur virtuel) chez d'autres fabricants.
Exemple 7.3. Autorisation du trafic vers un serveur Web protg par une DMZ
Dans cet exemple, nous allons crer une rgle SAT qui traduira et autorisera les connexions provenant d'Internet vers un serveur Web situ dans une DMZ. Le firewall D-Link est connect Internet en utilisant une interface wan dont l'adresse IP est l'adresse de l'objet wan_ip (dfini par 195.55.66.77). Ladresse IP du serveur Web est 10.10.10.5 et peut tre atteint grce l'interface dmz. Interface de ligne de commande Dabord, crez une rgle SAT.
gw-world:/> add IPRule Action=SAT Service=http SourceInterface=any SourceNetwork=all-nets DestinationInterface=core DestinationNetwork=wan_ip SATTranslate=DestinationIP SATTranslateToIP=10.10.10.5 Name=SAT_HTTP_To_DMZ
Puis crez une rgle Allow correspondante.

gw-world:/> add IPRule action=Allow Service=http SourceInterface=any SourceNetwork=all-nets DestinationInterface=core DestinationNetwork=wan_ip Name=Allow_HTTP_To_DMZ
Interface Web Dabord, crez une rgle SAT. Slectionnez Rules > IP Rules > Add > IPRule Spcifiez un nom convenable pour la rgle, par exemple : SAT_HTTP_To_DMZ. Saisissez : Action : SAT Service : http Source Interface (Interface source) : any (toutes) Source Network (Rseau source) : all-nets (tout rseau) Destination Interface (Interface de destination) : core (noyau) Destination Network (Rseau de destination) : wan_ip Sous longlet NAT, assurez-vous que l'option Destination IP Address (Adresse IP de destination) est slectionne. Dans la bote de texte New IP Address (Nouvelle adresse IP), saisissez 10.10.10.5. Cliquez sur OK. Puis crez une rgle Allow correspondante. Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP).
169
Traduction dadresse
Spcifiez un nom convenable pour la rgle, par exemple : Allow_HTTP_To_DMZ. Saisissez : Action : Allow (Autoriser) Service : http Source Interface (Interface source) : any (toutes) Source Network (Rseau source) : all-nets (tout rseau) Destination Interface (Interface de destination) : core (noyau) Destination Network (Rseau de destination) : wan_ip Sous longlet Service, slectionnez http dans la Pre-defined list (Liste prdfinie). Cliquez sur OK. Cet exemple correspond aux deux rgles suivantes dans l'ensemble de rgles : # 1 Action SAT Interface source any (toutes) Rseau source all-nets (tout rseau) all-nets (tout rseau) Interface de Rseau de Paramtres destination destination core (noyau) wan_ip http SETDEST 10.10.10.5 80
Allow any (toutes) (Autoriser)
core (noyau)
wan_ip
http
Ces deux rgles nous permettent daccder au serveur Web via l'adresse IP externe du firewall D-Link. La rgle 1 nonce que la traduction dadresses peut tre effectue si la connexion a t autorise et la rgle 2 autorise la connexion. Bien entendu, nous avons aussi besoin dune rgle qui autorise les machines internes avoir une traduction dadresses dynamique pour accder Internet. Dans cet exemple, nous utilisons une rgle qui autorise tout ce qui provient du rseau interne accder lInternet via le masque NAT. # 3 Action NAT Interface source lan Rseau source lannet Interface destination any (toutes) de Rseau de Paramtres destination all-nets rseau) (tout Tous
Quelque chose ne convient pas avec cet ensemble de rgles. En admettant que nous voulions excuter la traduction dadresses pour des raisons tant de scurit que de fonctionnalit, on se rend compte que cet ensemble de rgles ne cache pas nos adresses internes dans la DMZ. La connexion des machines internes au port wan_ip 80 est autorise par la rgle 2 qui gre les communications. Dun point de vue interne, toutes les machines de la DMZ doivent tre considres comme nimporte quel serveur Internet connect. Cependant, on ne peut se fier tous les serveurs, cest pourquoi il faut dabord les localiser dans la DMZ. Deux solutions sont possibles : Vous pouvez modifier la rgle 2 pour qu'elle ne s'applique qu'au trafic externe. Vous pouvez changer les places des rgles 2 et 3 afin que la rgle NAT du trafic interne soit excute avant la rgle Allow. Laquelle de ces deux options est la meilleure ? Dans cette configuration, les deux solutions ne font aucune
170
Traduction dadresse
diffrence. Elles fonctionnent aussi bien lune que lautre. Cependant, en supposant que nous utilisions une autre interface (ext2) dans le firewall D-Link et que nous la connections un autre rseau, par exemple celui dune entreprise voisine, la communication serait alors bien plus rapide avec nos serveurs. Si l'option 1 a t choisie, lensemble de rgles doit donc tre ajust : # 1 Action SAT Interface source any (toutes) Rseau source all-nets (tout rseau) all-nets (tout rseau) ext2net lannet Interface de Rseau de Paramtres destination destination core (noyau) wan_ip http SETDEST 10.10.10.5 80
Allow wan (Autoriser) Allow ext2 (Autoriser) NAT lan
core (noyau)
wan_ip
http
3 4
core (noyau) any (toutes)
wan_ip
http
all-nets (tout Tous rseau)
Cette solution augmente le nombre de rgles : une pour chaque interface autorise communiquer avec le serveur Web. Cependant, lordre des rgles nest pas important, ce qui peut viter des erreurs. Si l'option 2 a t choisie, lensemble de rgles doit donc tre ajust : # 1 Action SAT Interface source any (toutes) Rseau source all-nets (tout rseau) lannet all-nets (tout rseau) Interface de Rseau de Paramtres destination destination core (noyau) wan_ip http SETDEST 10.10.10.5 80
2 3
NAT
lan
any (toutes) core (noyau)
all-nets (tout Tous rseau) wan_ip http
Allow any (toutes) (Autoriser)
Avec cette solution, il nest pas ncessaire daugmenter le nombre de rgles. Il ny a pas de problmes tant que toutes les interfaces sont suffisamment fiables pour pouvoir communiquer avec le serveur Web. Toutefois, si plus tard vous ajoutez une interface qui n'est pas suffisamment fiable pour pouvoir communiquer avec le serveur Web, des rgles Drop (Ignorer) doivent tre places avant celle qui autorise l'accs au serveur Web toutes les machines. Il faut dterminer la meilleure mthode au cas par cas et prendre en compte toutes les circonstances.
Exemple 7.4. Autorisation du trafic vers un serveur Web sur un rseau interne
L'exemple que nous avons choisi d'utiliser est celui d'un serveur Web avec une adresse prive situ sur un rseau interne. Du point de vue de la scurit, cette approche n'est pas bonne, car les serveurs Web sont trs vulnrables face aux attaques et doivent donc se situer sur une DMZ. Cependant, nous avons retenu ce modle dans notre exemple du fait de sa simplicit. Afin que des utilisateurs externes puissent accder au serveur Web, ils doivent pouvoir le contacter avec une adresse publique. Dans cet exemple, nous avons choisi de traduire le port 80 de ladresse externe du firewall D-Link en port 80 sur le serveur Web.
171
Traduction dadresse
# 1 2
Action SAT
Interface source any (toutes)
Rseau source
Interface de Rseau destination destination
de Paramtres http SETDEST wwwsrv 80 http
all-nets (tout core (noyau) wan_ip rseau) all-nets (tout core (noyau) wan_ip rseau)
Allow any (toutes) (Autoriser )
Ces deux rgles nous permettent daccder au serveur Web via l'adresse IP externe du firewall D-Link. La rgle 1 nonce que la traduction dadresse peut tre effectue si la connexion a t autorise et la rgle 2 autorise la connexion. Bien entendu, nous avons aussi besoin dune rgle qui autorise les machines internes avoir une traduction dadresses dynamique pour accder Internet. Dans cet exemple, nous utilisons une rgle qui autorise tout ce qui provient du rseau interne accder lInternet via le masque NAT. # 3 Action NAT Interface source lan Rseau source Interface de Rseau destination destination lannet any (toutes) all-nets rseau) de Paramtres (tout Tous
Le problme pos par cet ensemble de rgles est qu'il ne fonctionnera pas du tout pour tout trafic provenant du rseau interne. Afin dillustrer ce quil se passe exactement, nous utilisons les adresses IP qui suivent : wan_ip (195.55.66.77) : une adresse IP publique lan_ip (10.0.0.1) : ladresse IP interne prive du firewall D-Link wwwsrv (10.0.0.2) : ladresse IP prive des serveurs Web PC1 (10.0.0.3) : une machine avec une adresse IP prive PC1 envoie un paquet wan_ip pour atteindre www.notresocit.com : 10.0.0.3:1038 => 195.55.66.77:80 NetDefendOS traduit ladresse en fonction de la rgle 1 et transfre le paquet en fonction de la rgle 2. 10.0.0.3:1038 => 10.0.0.2:80 wwwsrv traite le paquet et rpond : 10.0.0.2:80 => 10.0.0.3:1038 Cette rponse arrive directement PC1 sans passer par le firewall D-Link. Ceci pose des problmes. Ce dysfonctionnement est caus par le fait que PC1 attend une rponse de la part de 195.55.66.77:80, et non pas de 10.0.0.2:80. La rponse non attendue est rejete et PC1 continue d'attendre une rponse qui narrivera pas. Le fait d'oprer un changement mineur dans l'ensemble de rgles comme dcrit ci-dessus rsout le problme. Dans cet exemple, nous avons choisi d'utiliser l'option 2 sans aucune raison particulire : # 1 2 3 Action SAT NAT Interface source any (toutes) lan Rseau source Interface de Rseau destination destination de Paramtres http SETDEST wwwsrv 80 (tout Tous http
all-nets (tout core (noyau) wan_ip rseau) lannet any (toutes) all-nets rseau)
Allow any (toutes) (Autoriser )
all-nets (tout core (noyau) wan_ip rseau)
172
Traduction dadresse
PC1 envoie un paquet wan_ip pour atteindre www.notresocit.com : 10.0.0.3:1038 => 195.55.66.77:80 NetDefendOS traduit ladresse de manire statique en fonction de la rgle 1 et de manire dynamique en fonction de la rgle 2 : 10.0.0.1:32789 => 10.0.0.2:80 wwwsrv traite le paquet et rpond : 10.0.0.2:80 => 10.0.0.1:32789 La rponse est reue et les deux adresses sont restaures : 195.55.66.77:80 => 10.0.0.3:1038 De cette manire, la rponse arrive PC1 avec la bonne adresse. Une autre solution consiste autoriser les clients internes sadresser directement 10.0.0.2, ce qui vitera tous problmes associs la traduction dadresses. Cependant, cette solution nest pas toujours pratique.
Traduction dadresses IP multiples (M:N)

Une rgle SAT unique peut tre utilise pour traduire une plage entire dadresses IP. Dans ce cas, le rsultat rside en une transposition o la premire adresse d'origine sera traduite par la premire adresse de la liste de traduction, et ainsi de suite. Par exemple, une rgle SAT qui spcifie que les connexions vers le rseau 194.1.2.16/29 doivent tre traduites par 192.168.0.50 entranera des transpositions suivant le tableau ci-dessous : Adresse dorigine 194.1.2.16 194.1.2.17 194.1.2.18 194.1.2.19 194.1.2.20 194.1.2.21 194.1.2.22 194.1.2.23 En dautres termes : Les tentatives de communication avec 194.1.2.16 entraneront une connexion avec 192.168.0.50. Les tentatives de communication avec 194.1.2.22 entraneront une connexion avec 192.168.0.56. Un exemple de lutilit de cette solution s'illustre lorsque chaque serveur protg par une DMZ ne doit tre accessible que par une adresse IP publique unique. Adresse traduite 192.168.0.50 192.168.0.51 192.168.0.52 192.168.0.53 192.168.0.54 192.168.0.55 192.168.0.56 192.168.0.57
Exemple 7.5. Traduction du trafic en direction de plusieurs serveurs Web protgs

Dans cet exemple, nous allons crer une rgle SAT qui traduira et autorisera les connexions provenant d'Internet vers cinq serveurs Web situs dans une DMZ. Le firewall D-Link est connect Internet via linterface wan et les adresses IP publiques utiliser font partie de la plage 195.55.66.77 195.55.66.81. Les adresses IP des serveurs Web font partie de la plage 10.10.10.5 10.10.10.9 et sont accessibles via l'interface dmz. Pour accomplir cette tche, les tapes suivantes doivent tre effectues : Dfinissez un objet adresse qui contient les adresses IP publiques. Dfinissez un autre objet adresses pour la base des adresses IP des serveurs Web.
173
Traduction dadresse
Publiez les adresses IP publiques sur l'interface wan en utilisant le mcanisme de lARP. Crez une rgle SAT qui oprera la traduction. Crez une rgle Allow qui autorisera les connexions HTTP entrantes. Interface de ligne de commande Crez un objet adresse pour les adresses IP publiques :
gw-world:/> add Address IP4Address wwwsrv_pub Address=195.55.66.77-195.55.66.81
Crez un autre objet pour la base des adresses IP des serveurs Web :
gw-world:/> add Address IP4Address wwwsrv_priv_base Address=10.10.10.5
Publiez les adresses IP publiques sur l'interface wan en utilisant lARP. Un lment ARP est ncessaire pour chaque adresse IP :
gw-world:/> add ARP Interface=wan IP=195.55.66.77 mode=Publish
Rptez lopration pour les cinq adresses IP publiques. Crez une rgle SAT pour la traduction :
gw-world:/> add IPRule Action=SAT Service=http SourceInterface=any SourceNetwork=all-nets DestinationInterface=core DestinationNetwork=wwwsrv_pub SATTranslateToIP=wwwsrv_priv_base SATTranslate=DestinationIP
Pour finir, crez une rgle Allow correspondante :

gw-world:/> add IPRule Action=Allow Service=http SourceInterface=any SourceNetwork=all-nets DestinationInterface=core DestinationNetwork=wwwsrv_pub
Interface Web Crez un objet adresse pour ladresse IP publique : Slectionnez Objects > Address Book > Add > IP address (Objets > Carnet dadresses > Ajouter > Adresse IP). Spcifiez un nom convenable pour lobjet, par exemple wwwsrv_pub. Entrez 195.55.66.77-195.55.66.77.81 comme adresse IP. Cliquez sur OK. Crez un autre objet adresse pour la base des adresses IP des serveurs Web : Slectionnez Objects > Address Book > Add > IP address (Objets > Carnet dadresses > Ajouter > Adresse IP). Spcifiez un nom convenable pour lobjet, par exemple wwwsrv_priv_base. Entrez ladresse IP10.10.10.5. Cliquez sur OK. Publiez les adresses publiques sur l'interface wan en utilisant lARP. Un lment ARP est ncessaire pour chaque adresse IP : Slectionnez Interfaces > ARP > Add > ARP (ARP > Ajouter > ARP). Saisissez : Mode : Publish (Publier) Interface : wan IP Address (Adresse IP) : 195.55.66.77
174
Traduction dadresse
Cliquez sur OK et rptez lopration pour les 5 adresses IP publiques. Crez une rgle SAT pour la traduction : Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Spcifiez un nom convenable pour la rgle, par exemple : SAT_HTTP_To_DMZ. Saisissez : Action : SAT Service : http Source Interface (Interface source) : any (toutes) Source Network (Rseau source) : all-nets (tout rseau) Destination Interface (Interface de destination) : core (noyau) Destination Network (Rseau de destination) : wwwsrv_pub Allez sur longlet SAT. Assurez-vous que loption Destination IP Address (Adresse IP de destination) est slectionne. Dans la liste droutante New IP Address (Nouvelle adresse IP), slectionnez wwwsrv_priv. Cliquez sur OK. Pour finir, crez une rgle Allow correspondante : Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Spcifiez un nom convenable pour la rgle, par exemple : Allow_HTTP_To_DMZ. Saisissez : Action : Allow (Autoriser) Service : http Source Interface (Interface source) : any (toutes) Source Network (Rseau source) : all-nets (tout rseau) Destination Interface (Interface de destination) : core (noyau) Destination Network (Rseau de destination) : wwwsrv_pub Cliquez sur OK.
Mappages tous-un (N:1)

NetDefendOS peut tre utilis pour traduire des plages et/ou des groupes en une seule adresse IP. # Action Interface Rseau source source Interface Rseau de destination de destinatio n core (noyau) Paramtres
SAT
any (toutes)
all-nets (tout rseau)
194.1.2.16-194.1.2.20, 194.1.2.30 http SETDEST all-to-one (tous-un) 192.168.0.50 80
175
Traduction dadresse
Cette rgle entrane une traduction N:1 de toutes les adresses dans le groupe (la plage 194.1.2.16 194.1.2.20 et 194.1.2.30) jusqu' l'IP 192.168.0.50. Les tentatives de communication avec 194.1.2.16 sur le port 80 entraneront une connexion avec 192.168.0.50. Les tentatives de communication avec 194.1.2.30 sur le port 80 entraneront une connexion avec 192.168.0.50.
Remarque
Quand all-nets (tout rseau) est la destination, un mappage tous-un est toujours effectu.
Traduction de port
La traduction de port, ou PAT (Port Address Translation, Traduction dadresses de port), peut tre utilise pour modifier le port source ou de destination. # Action Interface source SAT Rseau source Interface Rseau de Paramtres de destination destination core (noyau) wwwsrv_pub TCP 80-85 SETDEST 192.168.0.50 1080
any (toutes) all-nets (tout rseau)
Cette rgle effectue une traduction 1:1 de tous les ports de la plage 80 85 vers la plage 1080 1085. Les tentatives de communication avec ladresse publique des serveurs Web sur le port 80 entraneront une connexion avec ladresse prive des serveurs Web sur le port 1080. Les tentatives de communication avec ladresse publique des serveurs Web sur le port 84 entraneront une connexion avec ladresse prive des serveurs Web sur le port 1084.
Remarque
Afin de crer une rgle SAT qui permette la traduction de port, il faut utiliser un service personnalis.
Protocoles grs par la SAT

De manire gnrale, la traduction dadresses statique peut grer tous les protocoles qui permettent la traduction dadresses. Cependant, il existe certains protocoles qui ne peuvent tre traduits que dans des cas spciaux et dautres qui ne peuvent pas tre traduits du tout. Les protocoles qui ne peuvent pas tre traduits avec la SAT ne le sont vraisemblablement pas non plus avec NAT. Ceci sexplique de diffrentes manires : Le protocole cryptographique ncessite que les adresses ne soient pas altres, et ceci sapplique beaucoup de protocoles VPN. Le protocole intgre ses adresses IP dans les donnes de niveau TCP ou UDP et par la suite requiert que, dune faon ou dune autre, les adresses visibles au niveau de lIP soient les mmes que celles intgres dans les donnes. Quelques exemples de ces protocoles : le FTP et les ouvertures de sessions aux domaines NT via NetBIOS. Chaque partie essaie douvrir les nouvelles connexions dynamiques aux adresses visibles par cette mme partie. Dans certains cas, ce problme peut tre rsolu en modifiant lapplication ou bien la configuration du firewall. Il nexiste pas de liste dfinitive des protocoles qui peuvent ou ne peuvent pas subir de traduction dadresses. La rgle gnrale est que les protocoles VPN ne peuvent pas tre traduits. En outre, les protocoles qui ouvrent des connexions secondaires en plus des connexions initiales peuvent tre difficiles traduire. Certains protocoles dont l'adresse est difficile traduire peuvent tre pris en charge par des algorithmes spcialement crits pour eux, afin de lire et/ou altrer les donnes d'application. On les voque souvent en tant que passerelles ALG (Application Layer Gateways) ou filtres au niveau application. NetDefendOS prend en charge
176
Traduction dadresse
beaucoup de ces passerelles ALG. Pour obtenir plus d'informations, veuillez consulter la section intitule Passerelles ALG .
Multiples correspondances de rgles SAT

NetDefendOS nachve pas la recherche dans l'ensemble de rgles aprs qu'une rgle SAT correspondante ait t trouve. la place, la recherche continue jusqu trouver une rgle Allow, NAT ou FwdFast correspondante. Cest seulement aprs avoir trouv une de ces rgles que le firewall opre la traduction dadresses statique. Malgr cela, la premire rgle SAT correspondante trouve pour chaque adresse est celle qui est utilise. Chaque adresse signifie que deux rgles SAT peuvent tre effectives au mme moment sur la mme connexion, condition que l'une traduise l'adresse de l'metteur et l'autre l'adresse du rcepteur. # Action Interface source SAT Rseau source Interface Rseau de Paramtres de destination destination core (noyau) all-nets (tout rseau) wwwsrv_pub TCP 80-85 SETDEST 192.168.0.50 1080
any (toutes) all-nets (tout rseau) lan lannet
SAT
Standard
SETSRC pubnet
Les deux rgles ci-dessus peuvent tre excutes simultanment sur la mme connexion. Dans cet exemple, les adresses de l'metteur interne seront traduites dans le pubnet sur une base 1:1. De plus, si quiconque tente de se connecter ladresse publique du serveur Web, ladresse de destination changera pour son adresse prive. # 1 2 Action SAT SAT Interface source lan Rseau source lannet Interface de Rseau de Paramtres destination destination wwwsrv_pub TCP 80-85 TCP 80-85 SETDEST intrasrv 1080 SETDEST wwwsrv-priv 1080
any (toutes) all-nets (tout wwwsrv_pub rseau)
Dans cet exemple, les deux rgles sont paramtres pour traduire l'adresse de destination, ce qui signifie quune seule dentre elles sera excute. Si une tentative interne de communiquer avec l'adresse publique des serveurs Web est opre, elle sera redirige vers un serveur intranet. Si une quelconque autre tentative de communiquer avec l'adresse publique des serveurs Web est opre, elle sera redirige vers ladresse prive du serveur Web accessible au public. Encore une fois, notez que les rgles ci-dessus ne peuvent pas fonctionner si une rgle Allow ne leur est pas associe dans l'ensemble de rgles.
Rgles SAT et FwdFast

Il est possible dutiliser la traduction dadresses statique conjointement avec les rgles FwdFast, bien que le trafic retour doive tre explicitement autoris et traduit. Les rgles qui suivent forment un exemple concret de la traduction dadresses statique grce des rgles FwdFast vers un serveur situ sur un rseau interne. # 1 2 Action SAT SAT Interface source Rseau source Interface de Rseau de Paramtres destination destination wan_ip all-nets rseau) http SETDEST wwwsrv 80 (tout 80 -> All SETSRC wan_ip 80
any (toutes) all-nets core (noyau) (tout rseau) lan wwwsrv any (toutes)
177
Traduction dadresse
# 3 4
Action FwdFast FwdFast
Interface source
Rseau source
Interface de Rseau de Paramtres destination destination wan_ip all-nets rseau) http (tout 80 -> All
Ajoutons une rgle NAT pour autoriser les connexions depuis le rseau interne vers l'Internet. # 5 Action NAT Interface source lan Rseau source lannet Interface destination any (toutes) de Rseau destination all-nets rseau) de Paramtres (tout Tous
Que se passe til dsormais ? Le trafic externe vers wan_ip:80 correspond aux rgles 1 et 3 et est envoy vers wwwsrv. Vrai. Le trafic retour provenant de wwwsrv:80 correspond aux rgles 2 et 4 et apparat comme tant envoy par wan_ip:80. Vrai. Le trafic interne vers wan_ip:80 correspond aux rgles 1 et 3 et est envoy vers wwwsrv. Presque vrai, les paquets arrivent vers wwwsrv, mais : le trafic retour provenant de wwwsrv:80 et en direction des machines internes est envoy directement vers les machines elles-mmes. Cette solution ne fonctionnera pas, puisque les paquets seront vus comme provenant de la mauvaise adresse. Essayons maintenant de dplacer la rgle NAT entre les rgles SAT et FwdFast : # 1 2 3 4 5 Action SAT SAT NAT FwdFast FwdFast Interface source Rseau source Interface de Rseau de Paramtres destination destination wan_ip all-nets rseau) all-nets rseau) wan_ip all-nets rseau) http SETDEST wwwsrv 80 (tout 80 -> All SETSRC wan_ip 80 (tout All (Tous) http (tout 80 -> All (Tous)
any (toutes) all-nets core (noyau) (tout rseau) lan lan wwwsrv lannet any (toutes) any (toutes)
Que se passe til dsormais ? Le trafic externe vers wan_ip:80 correspond aux rgles 1 et 4 et est envoy vers wwwsrv. Vrai. Le trafic retour qui provient de wwwsrv:80 correspond aux rgles 2 et 3. Les rponses subissent donc une traduction dadresses dynamique. Ceci change compltement le numro de port source, qui ne fonctionnera plus. Le problme peut tre rsolu en utilisant lensemble de rgles qui suit : # 1 Action SAT Interface source Rseau source Interface de Rseau de Paramtres destination destination wan_ip http SETDEST wwwsrv 80
any (toutes) all-nets core (noyau) (tout rseau)
178
Traduction dadresse
# 2 3 4 5
Action SAT FwdFast NAT FwdFast
Interface source lan lan lan lan
Rseau source wwwsrv wwwsrv lannet wwwsrv
Interface de Rseau de Paramtres destination destination any (toutes) any (toutes) any (toutes) any (toutes) all-nets rseau) all-nets rseau) all-nets rseau) all-nets rseau) (tout 80 -> All SETSRC wan_ip 80 (tout 80 -> All (Tous) (tout All (Tous) (tout 80 -> All (Tous)
Le trafic externe vers wan_ip:80 correspond aux rgles 1 et 5 et est envoy vers wwwsrv. Le trafic retour qui provient de wwwsrv:80 correspond aux rgles 2 et 3. Le trafic interne vers wan_ip:80 correspond aux rgles 1 et 4 et est envoy vers wwwsrv. Ladresse de lmetteur est ladresse IP interne du firewall D-Link. Ceci garantit que le trafic retour passe par le firewall D-Link. Le trafic retour est automatiquement pris en charge par le mcanisme d'inspection dynamique du firewall D-Link.
179
Chapitre 8. Authentification de lutilisateur

Le prsent chapitre indique comment NetDefendOS met en application lauthentification de lutilisateur
Prsentation
Lorsque des utilisateurs individuels se connectent des ressources protges via un firewall D-Link, ladministrateur demande souvent leur authentification avant que laccs ne leur soit accord. Ce chapitre traite du paramtrage de l'authentification pour NetDefendOS. Mais dans un premier temps, nous allons examiner les problmes gnraux qui y sont lis. Confirmation didentit. Le but de lauthentification est de faire en sorte que lutilisateur prouve son identit afin que ladministrateur du rseau puisse autoriser ou refuser laccs aux ressources cet utilisateur identifi. Voici plusieurs manires de prouver son identit : A. Ce que l'utilisateur est. Un attribut unique qui est diffrent pour chaque personne : par exemple les empreintes digitales. B. Ce que l'utilisateur a : une carte daccs, un certificat numrique X.507 ou des cls prives ou publiques. C. Ce que l'utilisateur sait : un mot de passe. La mthode A requiert un lecteur dempreintes spcial. De plus, si ce dispositif est perdu, il ne peut dans la plupart des cas pas tre remplac. Les mthodes B et C sont donc les plus communes en matire de scurisation dun rseau. Cependant, elles prsentent des inconvnients : Les cls peuvent tre interceptes, les cartes daccs voles, les mots de passe devins ou les secrets difficiles garder. Les mthodes B et C sont souvent combines (cas dune carte daccs qui ncessite un mot de passe ou un code PIN pour fonctionner, par exemple). Utilisation de noms dutilisateur et de mots de passe. Ce chapitre traite spcialement de lauthentification de lutilisateur via la validation combine de son nom dutilisateur et de son mot de passe lorsqu'il essaie d'accder des ressources. Laccs Internet via le protocole HTTP et grce un firewall D-Link reprsente un bon exemple du cas de figure o la combinaison d'un nom d'utilisateur et d'un mot de passe est la mthode d'authentification de base. Avec cette approche, les mots de passe sont souvent soumis des attaques d'indsirables qui supposent le mot de passe ou bien qui font des recherches systmatiques. Pour parer cela, le mot de passe doit tre choisi avec prcaution. Le mot de passe idal doit : contenir plus de 8 caractres sans rptition ; utiliser des caractres alatoires quon ne retrouve gnralement pas dans des mots ; contenir des caractres en minuscule ET en majuscule ; contenir des chiffres ET des caractres spciaux. Pour une scurit optimale, les mots de passe doivent aussi : ntre inscrits nulle part ; ne jamais tre confis un tiers ; tre modifis de faon rgulire (une fois tous les trois mois).
Configuration de lauthentification
180
Authentification utilisateur
Rsum du paramtrage
La liste suivante rpertorie les tapes du paramtrage de lauthentification de lutilisateur avec NetDefendOS. Paramtrez une base de donnes des utilisateurs, chacun avec une combinaison nom dutilisateur/mot de passe. Elle peut se trouver en local dans un objet User DB (BD utilisateur) de NetDefendOS, ou distance dans un serveur RADIUS sur lequel elle est dsigne comme source de l'authentification. Lappartenance un groupe dauthentification peut tre ventuellement spcifie pour chaque utilisateur. Dfinissez une rgle dauthentification de lutilisateur qui indique quel trafic va tre authentifi et quelle source de lauthentification va tre utilise. Dfinissez un objet IP pour les adresses IP des clients qui vont tre authentifis. Associez ces adresses un groupe d'authentification si ncessaire. Paramtrez des rgles IP pour que l'authentification puisse s'oprer, mais galement pour permettre aux clients appartenant l'objet IP cr dans l'tape prcdente d'accder aux ressources. Les sections suivantes dcrivent en dtail les composants de ces tapes. Sources de lauthentification. Base de donnes quune rgle dauthentification utilise pour vrifier la combinaison nom d'utilisateur/mot de passe. Elle peut tre de l'un de ces deux types : La base de donnes locale au sein de NetDefendOS. Un serveur RADIUS qui est externe au firewall D-Link.
La base de donnes locale

La base de donnes utilisateur locale est un registre intgr NetDefendOS qui contient les profils des utilisateurs et des groupes d'utilisateurs autoriss. Des noms dutilisateurs et des mots de passe peuvent tre entrs dans cette base de donnes et les utilisateurs qui bnficient des mmes privilges peuvent tre rassembls en groupes pour une plus grande facilit de gestion. Il existe deux groupes dutilisateurs par dfaut : le groupe des administrateurs et le groupe des auditeurs. Les utilisateurs qui sont membres du groupe des administrateurs sont autoriss modifier la configuration de NetDefendOS, tandis que les utilisateurs qui appartiennent au groupe des auditeurs ne peuvent que voir la configuration. Cliquez sur les boutons situs sous la bote d'dition des groupes pour ajouter un utilisateur ces groupes.
Serveurs dauthentification externes

La ncessit des serveurs. Pour une topologie de rseau et une charge de travail administratif plus importants, il est souvent prfrable davoir une base de donnes dauthentification centrale sur un serveur ddi. Lorsquil y a plusieurs firewalls D-Link sur le rseau et des centaines dutilisateurs, le fait dentretenir des bases de donnes dauthentification spares sur chaque routeur devient problmatique. la place, un serveur dauthentification externe peut valider la combinaison nom d'utilisateur/mot de passe en rponse des requtes de NetDefendOS. Pour permettre cela, NetDefendOS prend en charge le protocole RADIUS (Service Utilisateur Entrant dAuthentification Distante). RADIUS et NetDefendOS. NetDefendOS agit comme un client RADIUS et envoie les authentifiants utilisateur et les paramtres de connexion dans un message RADIUS vers un serveur RADIUS prcis. Le serveur traite les requtes et rpond par un message RADIUS dautorisation ou de refus. Un ou plusieurs serveurs externes peuvent tre dfinis dans NetDefendOS. Scurit RADIUS. Pour garantir la scurit, un secret partag commun est configur sur le client RADIUS et le serveur. Ce secret permet le chiffrage des messages envoys depuis le client RADIUS vers le serveur. Il apparat gnralement sous la forme d'une chane textuelle relativement longue. Cette chane peut contenir jusqu' 100 caractres et est sensible la casse. RADIUS utilise le PPP pour transfrer les requtes nom d'utilisateur/mot de passe entre le client et le serveur
181
RADIUS et utilise galement les schmas d'authentification PPP tels que le PAP et le CHAP. Les messages RADIUS sont envoys comme des messages UDP via le port UDP 1812.
Rgles dauthentification
Les rgles dauthentification sont paramtres dune manire similaire dautres rgles de scurit de NetDefendOS, cest--dire en spcifiant quel trafic est soumis la rgle en question. Elles diffrent des autres rgles du fait que le rseau et l'interface de destination n'ont pas d'importance, contrairement au rseau et linterface source. Une rgle dauthentification possde les paramtres suivants : Interface : linterface source sur laquelle arrivent les connexions authentifier. Source IP (IP source) : le rseau source do proviennent ces connexions. Authentification Source (Source de lauthentification) : indique si lauthentification est opre par une base de donnes locale dfinie au sein de NetDefendOS ou par un serveur RADIUS (dtaill ci-dessous). Agent : le type du trafic authentifier. Il peut tre : HTTP ou HTTPS : les connexions Web authentifier via une page Web prdfinie ou personnalise (pour plus dinformations sur le HTTP, veuillez consulter les explications dtailles ci-dessous). PPP : tunnel dauthentification L2TP ou PPP. XAUTH : authentification IKE qui fait partie de ltablissement dun tunnel IPsec. Dlais d'expiration de la connexion. Une rgle d'authentification peut spcifier les dlais dexpiration relatifs une session utilisateur suivants : Idle Timeout (Dlai d'expiration de l'inactivit) : le dlai durant lequel une connexion peut tre inactive avant d'tre automatiquement acheve (1 800 secondes par dfaut). Session Timeout (Dlai dexpiration de la session) : la dure de vie maximale d'une connexion (aucune valeur n'est spcifie par dfaut). Si le choix est port vers un serveur d'authentification, alors l'option Use timeouts received from the authentication server (Utiliser les dlais d'expiration du serveur d'authentification) peut tre active pour utiliser les valeurs de ce serveur. Connexions multiples. Une rgle d'authentification peut indiquer comment traiter les connexions multiples lorsque plusieurs utilisateurs avec des adresses IP source diffrentes essaient de se connecter avec le mme nom dutilisateur. Voici les options disponibles : Autoriser les connexions multiples afin que plusieurs clients puissent utiliser la mme combinaison nom dutilisateur/mot de passe en mme temps. Nautoriser quune seule connexion la fois par nom dutilisateur. Nautoriser quune seule connexion la fois par nom dutilisateur et dconnecter un utilisateur dj prsent avec le mme nom sil est inactif depuis une certaine priode de temps lorsque la nouvelle connexion se produit.
Processus dauthentification
La liste ci-dessous dcrit le processus d'authentification du nom d'utilisateur et du mot de passe par NetDefendOS. Un utilisateur cre une nouvelle connexion vers le firewall D-Link. NetDefendOS saperoit de la nouvelle connexion utilisateur sur une interface et vrifie l'ensemble de rgles d'authentification pour voir si une rgle correspond au trafic sur cette interface, provenant de ce rseau et les donnes qui peuvent tre des types suivants : HTTP traffic (Trafic HTTP)
182
HTTPS traffic (Trafic HTTPS) IPsec tunnel traffic (Trafic tunnel IPsec) L2TP tunnel traffic (Trafic tunnel L2TP) PPTP tunnel traffic (Trafic tunnel PPTP) Si aucune rgle dauthentification ne correspond et si lensemble de rgles IP le permet, la connexion est autorise. Plus rien ne se produit alors dans le processus d'authentification. En fonction des paramtres de la rgle dauthentification correspondante, NetDefendOS invite lutilisateur sauthentifier. Lutilisateur rpond en saisissant ses informations didentification qui sont gnralement une combinaison nom dutilisateur/mot de passe. NetDefendOS valide les informations par rapport la source de lauthentification spcifie dans la rgle dauthentification. Elle peut tre soit une base de donnes locale de NetDefendOS, soit un serveur de base de donnes RADIUS externe. NetDefendOS permet alors le trafic travers cette connexion si lauthentification russit et tant que le service requis est autoris par lune des rgles de lensemble de rgles IP. L'objet rseau source de cette rgle peut avoir l'option No Defined Credentials (Pas d'authentifiants dfinis) active, ou bien peut tre associ un groupe dont l'utilisateur est membre. Si un dlai dexpiration est prcis dans la rgle dauthentification, alors lutilisateur authentifi sera automatiquement dconnect aprs avoir t inactif pendant cette priode. Tout paquet qui provient dune adresse IP et qui choue son authentification est rejet ( moins quil ne soit retenu par une autre rgle).
Authentification HTTP
Si des utilisateurs sont en communication grce un navigateur Web et via le protocole HTTP, ils peuvent sauthentifier avec des pages HTML o ils saisissent leurs informations utilisateur. Ce procd est souvent appel WebAuth et sa configuration requiert des prcautions particulires. Changement du port de linterface de gestion Web utilisateur. Lauthentification HTTP est incompatible avec la fonctionnalit de gestion distance de l'interface Web utilisateur, qui utilise aussi le port TCP 80. Pour viter cette situation, le numro de port de l'interface Web utilisateur doit tre chang avant de configurer l'authentification. Vous pouvez effectuer ceci sur l'interface Web utilisateur en allant dans Remote Management > Advanced Settings (Gestion distance > Paramtres avancs) et en modifiant le paramtre WebUI HTTP Port (Port HTTP de l'interface Web utilisateur). Le port numro 81 peut tre utilis la place. Options agents. Pour lauthentification HTTP et HTTPS, il existe un panel d'options dans les rgles d'authentification qui s'appellent options agents. Ces dernires sont : Login Type (Type de connexion). On distingue diffrents types : FORM : lutilisateur remplit une page dauthentification HTML. Les donnes sont envoyes NetDefendOS avec un POST. La page HTML est dj prdfinie par NetDefendOS, mais elle peut tre personnalise comme dcrit ci-dessous. BASICAUTH : cette option envoie un message 401 de requte d'authentification vers le navigateur, qui utilise alors sa propre bote de dialogue intgre pour demander la combinaison nom dutilisateur/mot de passe. Une chane de domaine peut ventuellement tre prcise. Elle apparat dans la bote de dialogue du navigateur. Loption FORM est recommande par rapport BASICAUTH car, dans certains cas, le navigateur peut conserver les donnes de connexion dans son cache. Si lagent est paramtr sur HTTPS, alors le certificat de lhte et le certificat racine doivent tre slectionns
183
parmi une liste de certificats dj prsents dans NetDefendOS. Paramtrage des rgles IP. Lauthentification HTTP na pas lieu tant quune rgle dautorisation nest pas ajoute dans lensemble de rgles IP. Si nous examinons lexemple de plusieurs clients du rseau local lannet qui veulent accder l'Internet public sur l'interface wan, lensemble de rgles IP contiendrait les rgles suivantes : Action 1 2 3 Interface source Rseau source lannet trusted_users lannet Interface destination core (noyau) wan wan de Rseau destination lan_ip all-nets rseau) all-nets rseau) de Service http-all (tout http-all (tout dns-all
Allow lan (Autoriser) NAT NAT lan lan
La premire rgle autorise lauthentification et suppose que le client tente daccder lan_ip, qui est ladresse IP de linterface du firewall D-Link sur laquelle le rseau local se connecte. La deuxime rgle autorise une navigation normale, mais on ne peut pas juste utiliser lannet comme rseau source puisque la rgle se dclencherait pour tout client non authentifi de ce rseau. la place, le rseau source est un objet IP dfini par l'administrateur et appel trusted_users. Il s'agit du mme rseau que lannet, lexception du fait que son option dauthentification No Defined Credentials (Pas d'authentifiants dfinis) est active, ou bien quil soit rattach un groupe dauthentification (celui dont sont membres les utilisateurs). La troisime rgle permet la surveillance DNS des URL. Authentification force. Avec ce paramtre, lorsque des utilisateurs qui ne sont pas authentifis tentent de naviguer vers nimporte quelle IP sauf lan_ip, les rgles le bloqueront et ses paquets seront ignors. Pour que ces utilisateurs dbouchent toujours sur la page d'authentification, nous devons ajouter une rgle SAT, ainsi que la rgle Allow associe. Lensemble de rgles est dsormais semblable celle-l : Action 1 2 3 4 Interface source Rseau source lannet trusted_users lannet lannet Interface destination core (noyau) wan wan wan de Rseau destination lan_ip all-nets rseau) all-nets rseau) de Service http-all (tout http-all (tout dns-all
Allow lan (Autoriser) NAT NAT SAT lan lan lan
all-nets (tout http-all rseau) All-to-one (plusieurs-un) 127.0.0.1 all-nets rseau) (tout http-all
Allow lan (Autoriser)
lannet
wan
La rgle SAT intercepte toutes les requtes non authentifies. Elle doit tre paramtre avec un mappage d'adresse en plusieurs-un qui les redirigera vers ladresse 127.0.0.1. Cette adresse est celle du noyau (NetDefendOS lui-mme).
Exemple 8.1. Cration dun groupe utilisateurs dauthentification

Dans lexemple dun objet dadresse dauthentification dans le carnet dadresses, nous allons utiliser le groupe dutilisateurs users pour permettre lauthentification utilisateur sur lannet . Cet exemple indique comment configurer un groupe dutilisateurs dans la base de donnes de NetDefendOS. Interface Web
184
tape A Slectionnez User Authentication > Local User Databases > Add > LocalUserDatabase (Authentification utilisateur > Bases de donnes utilisateur locale > Ajouter > Base de donnes utilisateur locale). Saisissez : Name (Nom) : lannet_auth_users Commentaires : dossier pour users : groupe utilisateurs dauthentification lannet . Cliquez sur OK. tape B Slectionnez lannet_auth_users > Add > User. Saisissez : Username (Nom d'utilisateur) : Entrez le nom de compte de lutilisateur, par exemple user1. Password (Mot de passe) : Entrez le mot de passe de lutilisateur. Confirm Password (Confirmer le mot de passe) : Ressaisissez le mot de passe. Groups (Groupes) : un utilisateur peut tre membre de plusieurs groupes. Entrez le nom des groupes spars par une virgule (users pour cet exemple). Cliquez sur OK. Rptez ltape B pour ajouter tous les utilisateurs lannet qui sont membres du groupe users dans le dossier lannet_auth_users.
Exemple 8.2. Configuration de lauthentification utilisateur pour laccs au Web

La configuration ci-dessous montre comment activer lauthentification utilisateur HTTP pour le groupe users sur lannet. Une des rgles IP dfinit que seuls les utilisateurs membres du groupe users peuvent avoir accs au navigateur Web aprs lauthentification. Nous supposons que lannet, users, lan_ip, le dossier de la base de donnes utilisateur locale lannet_auth_users et quun objet dadresse lannet_users ont t spcifis. Interface Web A. Paramtrez une rgle IP pour permettre lauthentification. Slectionnez Rules > IP Rules > Add > IP Rule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : http2fw Action : Allow (Autoriser) Service : HTTP Source Interface (Interface source) : lan Source Network (Rseau source) : lannet Destination Interface (Interface de destination) : core (noyau) Destination Network (Rseau de destination) : lan_ip Cliquez sur OK.
185
B. Configurez la rgle dauthentification. Slectionnez User Authentication > User Authentication Rules > Add > User Authentication Rule (Authentification utilisateur > Rgles dauthentification utilisateur > Ajouter > Rgle dauthentification utilisateur). Saisissez : Name (Nom) : HTTPLogin Agent : HTTP Authentication Source (Source de lauthentification) : local Interface : lan Originator IP (Gnrateur dIP) : lannet Pour Local User DB (Base de donnes utilisateur locale), slectionnez lannet_auth_users. Pour Login Type (Type de la connexion), slectionnez HTMLForm. Cliquez sur OK. C. Paramtrez une rgle IP pour autoriser les utilisateurs authentifis naviguer sur le Web. Slectionnez Rules > IP Rules > Add > IP Rule (Rgles > Rgles IP > Ajouter > Rgle IP). Saisissez : Name (Nom) : Allow_http_auth Action : NAT Service : HTTP Source Interface (Interface source) : lan Source Network (Rseau source) : lannet_users Destination Interface (Interface de destination) : any (toutes) Destination Network (Rseau de destination) : all-nets (tout rseau) Cliquez sur OK.
Exemple 8.3. Configuration dun serveur RADIUS

Interface Web Slectionnez User Authentication > External User Databases > Add > External User Database (Authentification utilisateur > Bases de donnes utilisateur externes > Ajouter > Base de donnes utilisateur externe). Saisissez : Name (Nom) : entrez le nom du serveur. Type : slectionnez RADIUS. IP Address (Adresse IP) : entrez ladresse IP du serveur ou entrez son nom symbolique si le serveur a dj t dfini dans le Carnet d'adresses. Port (Port) : 1812 (le service RADIUS utilise le port UDP 1812 par dfaut)
186
Retry Timeout (Dlai entre les tentatives) : 2 (NetDefendOS renvoie une requte d'authentification au serveur s'il n'a pas obtenu de rponse aprs le dlai, qui est ici de 2 secondes. Il ny a pas plus de trois tentatives.) Shared Secret (Secret partag) : entrez une chane textuelle pour un chiffrage basique des messages RADIUS. Confirm Secret (Confirmer le secret) : ressaisissez la chane pour confirmer celle que vous venez dentrer. Cliquez sur OK.
187
Chapitre 9. VPN
Le prsent chapitre dcrit lutilisation du VPN avec NetDefendOS.
Prsentation
La ncessit des VPN
La plupart des rseaux sont connects entre eux grce Internet. Les entreprises utilisent de plus en plus Internet puisquil offre des possibilits de communication efficaces et peu coteuses. Il est cependant ncessaire de garantir le transfert des donnes par Internet vers le bon rcepteur sans quun tiers puisse les lire ou les altrer. Il est galement important que le rcepteur puisse vrifier que personne ne falsifie les informations, cest--dire qu'elle ne se fasse pas passer pour quelqu'un d'autre. Les Rseaux Privs Virtuels (VPN) rpondent ce besoin et offrent une mthode trs rentable dtablir des liens srs afin que des donnes puissent tre changes de faon scurise.
Chiffrage VPN
Le chiffrage permet de crer des VPN sur Internet, sans aucun investissement de connectivit supplmentaire. Le chiffrage est une mthode globale qui comprend 3 techniques et autant davantages : Confidentialit Authentification et intgrit Personne dautre que le rcepteur ne peut recevoir et comprendre la communication. La confidentialit est garantie par le chiffrage. Cest la preuve pour le rcepteur que la communication est effectivement envoye par le bon expditeur et que les donnes n'ont pas t modifies durant leur cheminement. Ceci est assur par lauthentification, qui utilise elle-mme souvent la mthode de hachage chiffr. Cest la preuve que l'expditeur a effectivement envoy les donnes ; ainsi, il ne peut pas nier cet envoi par la suite. Le non rejet est gnralement un effet secondaire de l'authentification.
Non rejet
De manire gnrale, les VPN appliquent uniquement la confidentialit et lauthentification. Le non rejet nest normalement pas appliqu au niveau du rseau, mais plutt lors de transactions (document par document).
Planification VPN
En principe, un pirate qui vise une connexion VPN nessaiera pas de violer le chiffrage VPN puisque cela ncessiterait un travail norme. Il prfrera surveiller le trafic VPN afin de dterminer sil est utile dattaquer l'autre extrmit de la connexion. De manire gnrale, les clients nomades et les succursales reprsentent des cibles bien plus attrayantes que les rseaux des grandes entreprises. Une fois lintrusion accomplie, pntrer dans les rseaux des grandes entreprises devient un jeu denfant. Lors de la cration de la structure dun VPN, il faut sintresser plusieurs problmes subtils. Ceux-ci incluent : La protection des ordinateurs portables et de bureau. La restriction des accs par le VPN aux services dsirs uniquement, puisque les ordinateurs portables sont vulnrables. La cration de DMZ pour des services qui doivent ncessairement tre partags avec dautres entreprises, via le VPN. Ladaptation des rgles daccs VPN pour les diffrents groupes dutilisateurs. La cration de rgles de distribution des cls.
188
VPN
On pense souvent tort que les connexions VPN quivalent celles du rseau interne du point de vue de la scurit et qu'elles peuvent tre directement mises en relation sans plus de prcautions. Il est important de se rappeler que bien que la connexion VPN en elle-mme est sre, le niveau total de scurit nquivaut qu la scurit pourvue chaque extrmit du tunnel. Les utilisateurs nomades ont de plus en plus lhabitude de se connecter directement au rseau de leur entreprise via le VPN depuis leur ordinateur portable. Cependant, lordinateur portable lui-mme est rarement protg. Ceci signifie quun intrus peut avoir accs au rseau protg par lintermdiaire dun ordinateur portable non protg qui a des connexions VPN dj actives. Une connexion VPN ne doit jamais tre considre comme faisant partie intgrante dun rseau protg. Le firewall du VPN doit se situer sur un DMZ spcial ou sur un firewall externe ddi cette tche. De cette manire, vous pouvez slectionner les services auxquels il est possible d'accder via le VPN et le modem et vous assurer ainsi que ces services sont bien protgs contre les intrus. Dans les cas o le firewall intgre une fonctionnalit VPN, il est normalement possible de prciser les types de communication autoriss. Le module VPN de NetDefendOS fournit cette fonctionnalit.
Distribution de cls
Il est conseill dtablir les schmas de distribution des cls lavance. Plusieurs questions se posent : Comment les cls sont-elles distribues ? Lutilisation de-mails nest pas une bonne mthode. La communication par tlphone est suffisamment scurise. Combien de cls diffrentes convient-il dutiliser ? Une cl par utilisateur ? Une par groupe dutilisateurs ? Une par connexion LAN-LAN ? Une cl pour tous les utilisateurs et une cl pour chaque connexion LAN-LAN ? Il est probablement prfrable dutiliser plus de cls que ncessaire au moment prsent, car il sera plus facile dajuster les accs par utilisateur et par groupe dutilisateurs par la suite. Les cls doivent-elles tre renouveles ? Si oui, quelle frquence ? Dans les cas o les cls sont partages par plusieurs utilisateurs, vous pourriez vouloir se faire chevaucher les schmas afin que les vieilles cls fonctionnent encore pendant un petit laps de temps aprs que les nouvelles cls aient t dfinies. Que se passe-t-il quand un employ en possession des cls quitte l'entreprise ? Si plusieurs utilisateurs utilisent la mme cl, elle doit tre renouvele. Dans le cas o la cl nest pas directement programme dans une unit du rseau telle quun firewall VPN, comment la cl doit-elle tre stocke ? Sur une disquette ? Sur une phrase de passe mmoriser ? Sur une carte puce intelligente ? Sil sagit dun jeton physique, comment doit-on procder ?
Guide de dmarrage rapide VPN

Les composants du VPN seront prsents dans les prochaines sections de ce chapitre. Pour rendre les sections ultrieures plus explicites, le prsent guide de dmarrage rapide expose les tapes importantes du paramtrage VPN. Il dresse un tableau tape par tape du paramtrage VPN pour les scnarios les plus communs. Ces derniers sont : LAN-LAN IPsec avec cls pr-partages. Clients itinrants IPsec avec cls pr-partages. Clients itinrants IPsec avec certificats. Clients itinrants L2TP avec cls pr-partages. Clients itinrants L2TP avec certificats. Clients itinrants PPTP
LAN-LAN IPsec avec cls pr-partages

189
VPN
Crez un objet cl pr-partage. Vous pouvez galement crer un nouvel objet liste de proposition IKE et/ou un objet liste de proposition IPsec si les paramtres de la liste par dfaut ne sont pas satisfaisants. Tout dpend des capacits de lunit lautre bout du tunnel. Les htes et les rseaux crent des objets IP pour : La passerelle VPN distante qui est ladresse IP de lunit du rseau lautre bout du tunnel (nous appellerons cet objet remote_gw). Le rseau distant qui se situe derrire la passerelle VPN distante (nous appellerons cet objet remote_net). Le rseau local situ derrire le firewall D-Link et qui communique grce au tunnel. Ici, nous supposons quil sagit de ladresse prdfinie lannet et que ce rseau est associ linterface lan de NetDefendOS. Crez un objet tunnel IPsec (nous appellerons cet objet ipsec_tunnel). Spcifiez les paramtres du tunnel suivants : Dfinissez Local Network (Rseau local) sur lannet. Dfinissez Remote Network (Rseau distant) sur remote_net. Dfinissez Remote Gateway (Passerelle distante) sur remote_gw. Dfinissez Encapsulation mode (Mode dencapsulation) sur Tunnel. Slectionnez les listes de proposition IKE et IPsec. Pour Authentication (Authentification), slectionnez lobjet cl pr-partage dfini dans ltape (1) ci-dessus. Lobjet tunnel IPsec peut tre trait exactement comme tout autre objet dinterface de NetDefendOS dans les prochaines tapes. Paramtrez deux rgles IP dans lensemble de rgles IP pour ce tunnel. Une rgle Allow pour le trafic sortant avec pour interface de destination lobjet ipsec_tunnel dfini prcdemment. Le rseau de destination de la rgle est le rseau distant remote_net. Une rgle Allow pour le trafic entrant avec pour interface source lobjet ipsec_tunnel dfini prcdemment. Le rseau source est remote_net. Action Allow (Autoriser) Allow (Autoriser) Interface source lan ipsec_tunnel Rseau source lannet remote_net Interface destination ipsec_tunnel lan de Rseau destination remote_net lannet de Service All (Tous) All (Tous)
Le service utilis pour ces rgles est All (Tous), mais il peut sagir dun autre service prdfini. 6. Dfinissez une nouvelle route NetDefendOS qui spcifie que le tunnel VPN ipsec_tunnel est linterface utiliser pour le routage des paquets en direction du rseau distant lautre extrmit du tunnel. Interface ipsec_tunnel Rseau remote_net Passerelle
Clients itinrants IPsec avec cls pr-partages

Cette section dtaille le paramtrage avec des clients itinrants qui se connectent via un tunnel IPsec avec des cls
190
VPN
pr-partages. Voici deux types de clients itinrants : A. Ladresse IP des clients est connue au pralable. B. Ladresse IP des clients n'est pas connue au pralable et doit tre repre par NetDefendOS lors de leur connexion. A. Adresses IP dj attribues. Les adresses IP peuvent tre connues au pralable et pr-attribues aux clients itinrants avant quils ne se connectent. L'adresse IP des clients est intgre manuellement dans le logiciel du client VPN. Paramtrez lauthentification utilisateur. Lauthentification utilisateur XAuth nest pas requise avec les clients itinrants IPsec, mais elle est recommande (cette tape peut tre ignore pour simplifier le paramtrage). La source de lauthentification peut tre : Un objet base de donnes utilisateur locale, qui est interne NetDefendOS. Un serveur dauthentification externe. Une base de donnes utilisateur interne est plus facile configurer, nous en utiliserons une pour cet exemple. Changer pour un serveur externe est plus simple faire par la suite. Afin de mettre en pratique lauthentification utilisateur avec une base de donnes interne : Dfinissez un objet base de donnes utilisateur locale (nous appellerons cet objet TrustedUsers). Ajoutez des utilisateurs TrustedUsers. Lobjet doit contenir au moins une combinaison nom d'utilisateur/mot de passe. La chane de groupe dun utilisateur peut tre spcifie si laccs au groupe en question doit tre restreint certains rseaux source. Le groupe peut tre spcifi (avec la mme chane textuelle) dans la section d'authentification d'un objet IP. Si cet objet IP est utilis comme le rseau source dune rgle dans lensemble de rgles IP, alors cette rgle sappliquera seulement un utilisateur si sa chane de groupe correspond la chane de groupe de lobjet IP. (Remarque : le groupe na aucune signification dans les rgles dauthentification). Crez une nouvelle rgle dauthentification utilisateur avec lAuthentication Source (Source de lauthentification) dfini sur TrustedUsers. Les autres paramtres de la rgle sont : Agent XAUTH Source de Rseau source lauthentification Local all-nets (tout rseau) Interface any (toutes) IP source client all-nets (0.0.0.0/0)
2. Lobjet tunnel IP ipsec_tunnel doit avoir les paramtres suivants : Dfinissez Local Network (Rseau local) sur lannet. Dfinissez Remote Network (Rseau distant) sur all-nets (tout rseau). Dfinissez Remote Gateway (Passerelle distante) sur all-nets (tout rseau). Dfinissez Encapsulation mode (Mode dencapsulation) sur Tunnel. Slectionnez les listes de proposition IKE et IPsec pour correspondre aux capacits des clients. Aucune route ne peut tre prdfinie : l'option Dynamically add route to the remote network when tunnel established (Ajouter une route dynamiquement un rseau distant lorsqu'un tunnel est tabli) doit donc tre active pour lobjet tunnel. Activez loption Require IKE XAuth user authentication (Demander lauthentification utilisateur XAuth IKE) pour les tunnels IPsec entrants. Ceci permet de rechercher la premire rgle XAuth correspondante dans les rgles d'authentification.
191
VPN
3. L'ensemble de rgles IP doit contenir une seule rgle : Action Allow (Autoriser) Interface source ipsec_tunnel Rseau source all-nets rseau) Interface destination de Rseau destination lannet de Service All (Tous)
(tout lan
Une fois quune rgle Allow permet le paramtrage de la connexion, le trafic bidirectionnel est autoris. Cest pour cela quune seule rgle est ncessaire ici. Au lieu d'utiliser all-nets (tout rseau) comme ci-dessus, vous pouvez utiliser un objet IP dfini et plus sr, qui spcifie la plage exacte des adresses IP pr-attribues. B. Adresses IP repres par NetDefendOS. Si les adresses IP des clients ne sont pas connues, alors elles doivent tre repres par NetDefendOS. Pour cela, les paramtres ci-dessus doivent tre modifis comme suit : Si une plage dadresses IP spcifique doit tre utilise comme pool des adresses disponibles : Crez un objet pool mode de configuration (un seul objet de ce genre peut tre associ une installation NetDefendOS) et spcifiez sa plage dadresses. Activez loption IKE Config Mode (Mode de configuration IKE) dans lobjet tunnel IPsec ipsec_tunnel. Si les adresses IP des clients doivent tre repres par un DHCP : Crez un objet pool IP et spcifiez le serveur DHCP utiliser. Le serveur DHCP peut tre spcifi comme une simple adresse IP ou comme tant accessible sur une interface spcifique. Si un serveur DHCP interne doit tre utilis, spcifiez ladresse de bouclage 127.0.0.1 comme adresse IP du serveur HDCP. Crez un objet pool mode de configuration (un seul objet de ce genre peut tre associ une installation NetDefendOS) et associez-lui lobjet pool IP dfini dans ltape prcdente. Activez loption IKE Config Mode (Mode de configuration IKE) dans lobjet tunnel IPsec ipsec_tunnel. Configuration du client IPsec. Dans les cas (A) et (B), le client IPsec doit tre configur avec l'URL du firewall D-Link, ainsi qu'avec la cl pr-partage.
Clients itinrants IPsec avec certificats

Si des certificats sont utiliss avec des clients itinrants IPsec plutt que des cls pr-partages, alors lobjet cl pr-partage nest pas ncessaire. La procdure est la mme que celle dcrite ci-dessus, avec les diffrences suivantes : Chargez un Gateway Certificate (Certificat de passerelle) et un Root Certificate (Certificat du nud) dans NetDefendOS. Lors du paramtrage de lobjet tunnel IPsec, spcifiez les certificats utiliser dans Authentication (Authentification). Pour cela, procdez comme suit : Activez loption X.509 Certificate (Certificat X 509). Slectionnez le certificat de passerelle. Ajoutez le certificat de nud utiliser. Le logiciel du client IPsec devra tre configur de manire approprie avec les certificats et les adresses IP distantes. Ltape du paramtrage de l'authentification utilisateur est facultative puisqu'il ne s'agit que d'une scurit supplmentaire qui vient sajouter celle des certificats.
Clients itinrants L2TP avec cls pr-partages
192
VPN
cause du client L2TP intgr dans Microsoft Windows, le choix du L2TP est privilgi dans les scnarios de clients itinrants VPN. Le L2TP est habituellement encapsul dans lIPsec afin que lors du chiffrage, l'IPsec sexcute en transport mode (mode transport) plutt quen tunnel mode (mode tunnel). Voici les tapes du paramtrage L2TP avec IPsec : Crez un objet IP (nous lappellerons l2tp_pool) qui dfinit la plage dadresses IP disponibles pour les clients. La plage choisie peut tre de deux types : Une plage du rseau interne, sur lequel les clients vont se connecter. Si la plage du rseau interne est 192.168.0.0/24, alors la plage d'adresses utiliser serait 192.168.0.10 - 192.168.0.20. Le danger ici est quune adresse IP peut tre accidentellement utilise sur le rseau interne et distribue un client. Utilisez une nouvelle plage dadresses, totalement diffrente de celle dun rseau interne. Cette solution permet dviter quune adresse de la plage soit aussi utilise dans le rseau interne. Dfinissez deux autres objets IP : ip_ext, qui est l'adresse IP publique externe par laquelle les clients se connectent (supposons qu'il sagit de linterface ext). ip_int qui est ladresse IP interne de linterface laquelle le rseau interne est connect (appelons cette interface int). Dfinissez une cl pr-partage pour le tunnel IPsec. Dfinissez un objet tunnel IPsec (nous appellerons cet objet ipsec_tunnel) avec les paramtres suivants : Dfinissez Locat Network (Rseau local) sur ip_ext (ou sur all-nets si NetDefendOS est derrire la fonctionnalit de traduction dadresses rseau). Dfinissez Remote Network (Rseau distant) sur all-nets (tout rseau). Dfinissez Remote Gateway (Passerelle distante) sur none. Pour Authentication (Authentification), slectionnez lobjet cl pr-partage dfini lors de la premire tape. Dfinissez Encapsulation Mode (Mode dencapsulation) sur Transport. Slectionnez les listes de proposition IKE et IPsec utiliser. Activez loption de routage Dynamically add route to the remote network when tunnel established (Ajouter une route dynamiquement un rseau distant lorsquun tunnel est tabli). Dfinissez un objet serveur PPTP/L2TP (nous lappellerons l2tp_tunnel) avec les paramtres suivants : Dfinissez Inner IP Address (Adresse IP interne) sur ip_int. Dfinissez Tunnel Protocol (Protocole du tunnel) sur L2TP. Dfinissez Outer Interface Filter (Filtre de linterface extrieure) sur ipsec_tunnel. Dfinissez Outer Server IP (IP du serveur extrieur) sur ip_ext. Slectionnez Microsoft Point-to-Point Encryption allowed (Autorisation du chiffrage point point Microsoft). Puisque le chiffrage IPsec est en fonction, cette option peut tre dfinie sur None, car le double chiffrage pourrait affecter le dbit. Dfinissez IP Pool (Pool IP) sur l2tp_pool. Activez le proxy ARP sur linterface int laquelle le rseau interne est connect. Associez linterface une table de routage particulire afin que les routes soient automatiquement ajoutes cette table. Normalement, cest la table main qui est slectionne.
193
VPN
Pour lauthentification utilisateur : Dfinissez un objet base de donnes utilisateur locale (nous appellerons cet objet TrustedUsers). Ajoutez des utilisateurs TrustedUsers. Lobjet doit contenir au moins une combinaison nom d'utilisateur/mot de passe. La chane de groupe dun utilisateur peut aussi tre spcifie. Les tapes sont les mmes que celles dcrites dans la section prcdente Clients itinrants IPsec. Dfinissez une rgle dauthentification utilisateur : Agent PPP Source de Rseau source lauthentification Local all-nets (tout rseau) Interface l2tp_tunnel IP source client all-nets (0.0.0.0/0)
7. Pour permettre le trafic dans le tunnel L2TP, les rgles suivantes doivent tre dfinies dans l'ensemble de rgles IP : Action Allow (Autoriser) NAT Interface source l2tp_tunnel ipsec_tunnel Rseau source l2tp_pool l2tp_pool Interface destination any (toutes) ext de Rseau destination int_net de Service All (Tous)
all-nets (tout rseau) All (Tous)
La deuxime rgle est incluse pour permettre aux clients de naviguer sur Internet via l'interface ext du firewall D-Link. Le client se voit attribuer une adresse IP interne prive, qui peut subir une traduction NAT si les connexions vont vers l'Internet public via le firewall D-Link. 8. Paramtrez le client. En supposant que le systme dexploitation soit Windows XP, loption Create new connection (Crer une nouvelle connexion) dans Network Connections (Connexions rseau) doit tre slectionne pour excuter l'assistant Nouvelle connexion. Linformation la plus importante saisir dans cet assistant est lURL rsolvable du firewall D-Link ou bien son adresse IP ip_ext. Allez ensuite dans Network > Properties (Rseau > Proprits). Dans la bote de dialogue qui apparat, choisissez le tunnel L2TP et slectionnez Properties (Proprits). Dans la nouvelle bote de dialogue, slectionnez longlet Networking (Rseau) et choisissez Force to L2TP (Forcer vers L2TP). Revenez aux proprits du tunnel L2TP, slectionnez longlet Security (Scurit) et cliquez sur le bouton IPsec Settings (Paramtres IPsec). Saisissez la cl pr-partage.
Clients itinrants L2TP avec certificats

Si des certificats sont utiliss avec les clients itinrants L2TP plutt que des cls pr-partages, alors la procdure est la mme que celle dcrite ci-dessus, avec les diffrences suivantes : Chargez un Gateway Certificate (Certificat de passerelle) et un Root Certificate (Certificat de nud) dans NetDefendOS. Lors du paramtrage de lobjet tunnel IPsec, spcifiez les certificats utiliser dans Authentication (Authentification). Pour cela, procdez comme suit : Activez loption X.509 Certificate (Certificat X 509). Slectionnez le certificat de passerelle. Ajoutez le certificat de nud utiliser. Si vous utilisez le client L2TP de Windows XP, les certificats appropris doivent tre imports dans Windows avant de paramtrer la connexion avec lassistant Nouvelle connexion.
194
VPN
Ltape du paramtrage de l'authentification utilisateur est facultative puisqu'il ne s'agit que d'une scurit supplmentaire qui vient sajouter celle des certificats.
Clients itinrants PPTP

Le PPTP est plus simple paramtrer que le L2TP puisqu' la place de l'IPsec il utilise sa propre mthode de chiffrage, qui est moins puissante. Un deuxime inconvnient majeur de cette solution est limpossibilit de faire la traduction NAT des connexions PPTP par un tunnel. Plusieurs clients peuvent donc utiliser une seule connexion jusqu'au firewall D-Link. Si la traduction NAT est tout de mme active, seul le premier client qui tentera de se connecter y parviendra. Voici les tapes du paramtrage PPTP : Dans Hosts & Networks (Htes et rseaux), dfinissez les objets IP suivants : Un objet IP pptp_pool, qui reprsente la plage des adresses IP internes attribues par un rseau interne. Un objet int_net, qui reprsente le rseau interne depuis lequel les adresses arrivent. Un objet ip_int, qui reprsente ladresse IP interne de linterface connecte au rseau interne (supposons que cette interface est int). Un objet ip_ext, qui reprsente l'adresse IP publique externe laquelle les clients se connectent (supposons qu'il sagit de linterface ext). Dfinissez un objet PPTP/L2TP (nous lappellerons pptp_tunnel) avec les paramtres suivants : Dfinissez Inner IP Address (Adresse IP interne) sur ip_net. Dfinissez Tunnel Protocol (Protocole du tunnel) sur PPTP. Dfinissez Outer Interface Filter (Filtre de linterface extrieure) sur ext. Dfinissez Outer Server IP (IP du serveur extrieur) sur ip_ext. Pour le chiffrage point point de Microsoft, il est recommand de dsactiver toutes les options lexception du chiffrage en 128 bits. Dfinissez IP Pool (Pool IP) sur pptp_pool. Activez le proxy ARP sur linterface int. Comme pour le L2TP, autorisez linsertion automatique de nouvelles routes dans la table de routage principale main. Dfinissez une rgle dauthentification utilisateur, qui est presque identique celle du L2TP : Agent PPP Source de Rseau source lauthentification Local all-nets (tout rseau) Interface pptp_tunnel IP source client all-nets (0.0.0.0/0)
4. Paramtrez les rgles IP dans lensemble de rgles IP : Action Allow (Autoriser) NAT Interface source pptp_tunnel pptp_tunnel Rseau source pptp_pool pptp_pool Interface destination any (toutes) ext de Rseau destination int_net de Service All (Tous)
all-nets (tout rseau) All (Tous)
Comme pour le L2TP, la rgle NAT permet au client daccder lInternet public via le firewall D-Link.
195
VPN
5. Paramtrez le client. Pour Windows XP, la procdure suivre est exactement la mme que celle du L2TP dcrite ci-dessus, lexception quil ne faut pas saisir de cl pr-partage.
Dpannage VPN
Dpannage gnral
Dans tous les types de VPN, des vrifications basiques de dpannage sont effectues. Vrifiez que toutes les adresses IP ont t correctement spcifies. Vrifiez que toutes les cls pr-partages et les noms dutilisateur et mots de passe ont t correctement saisis. Si vous avez opt pour des certificats, vrifiez que ceux que vous utilisez sont corrects et qu'ils n'ont pas expir. Utilisez le Ping ICMP pour vous assurer du bon fonctionnement du tunnel. Avec des clients itinrants, il vaut mieux faire un ping depuis le client jusquaux adresses IP de linterface du rseau local via le firewall D-Link (dans des structures LAN-LAN, le ping peut tre effectu dans nimporte quelle direction). Si NetDefendOS peut rpondre un ping, alors la rgle qui suit doit figurer dans lensemble de rgles IP : Action Allow (Autoriser) Interface source vpn_tunnel Rseau source all-nets rseau) Interface destination de Rseau destination de Service
(tout core (noyau)
all-nets (tout rseau) ICMP
Assurez-vous quaucune dfinition de tunnel IPsec nempchera datteindre la bonne dfinition. La liste des tunnels est passe en revue de haut en bas. Si un tunnel avec le rseau distant dfini sur all-nets (tout rseau) et la passerelle distante dfinie sur none (aucun) est plac avant notre tunnel, il peut empcher d'atteindre le bon tunnel. Ce problme gnre souvent un message Incorrect Pre-shared Key (Cl pr-partage incorrecte). Essayez dviter la duplication des adresses IP entre le rseau distant accessible par un client et le rseau interne auquel un client itinrant appartient. Si un client itinrant fait temporairement partie d'un rseau tel qu'un rseau Wi-Fi dans un aroport, le client obtiendra une adresse IP de la part du serveur DHCP du rseau Wi-Fi. Si cette IP appartient aussi au rseau situ derrire le firewall D-Link accessible via un tunnel, alors Windows continuera de supposer que ladresse IP est disponible sur le rseau local du client. Windows nacheminera donc pas correctement les paquets en direction du rseau distance via le tunnel, mais les acheminera vers le rseau local. La solution ce problme de duplication de ladresse IP locale/distante est de crer une nouvelle route dans la table de routage Windows du client, qui route directement ladresse IP vers le tunnel. Si l'authentification des clients itinrants ne demande pas de nom d'utilisateur ni de mot de passe, assurez-vous que les paramtres avancs suivants sont activs : IPsecBeforeRules pour les clients itinrants IPsec. PPP_L2TPBeforeRules pour les clients itinrants L2TP. PPP_PPTPBeforeRules pour les clients itinrants PPTP. Ces paramtres doivent tre activs par dfaut puisqu'ils garantissent que le trafic d'authentification utilisateur entre NetDefendOS et le client puisse contourner lensemble de rgles IP. Si les paramtres appropris ne sont pas activs, une rgle explicite doit tre ajoute dans lensemble de rgles IP pour permettre au trafic dauthentification de circuler entre les clients itinrants et NetDefendOS. L'interface de destination de cette rgle devra tre le noyau.
Dpannage des tunnels IPsec

De nombreuses commandes peuvent tre utilises pour diagnostiquer les tunnels IPsec.
196
VPN
La commande console ipsecstat. Elle peut tre utilise pour voir si les tunnels IPsec ont t correctement tablis. Voici un exemple reprsentatif :
> ipsecstat --- IPsec SAs: Displaying one line per SA-bundle IPsec Tunnel Local Net Remote Net Remote GW ------------ -------------- ------------ ------------L2TP_IPSec 214.237.225.43 84.13.193.179 84.13.193.179 IPsec_Tun1 192.168.0.0/24 172.16.1.0/24 82.242.91.203
Pour examiner la premire phase de ngociation IKE du paramtrage du tunnel, utilisez :

> ipsecstat -ike
Pour obtenir les dtails complets du paramtrage du tunnel, utilisez :

> ipsecstat -u -v
La commande console ikesnoop. Un problme rcurrent avec le paramtrage IPsec rside dans le fait que la liste de proposition ne soit pas acceptable pour le priphrique qui se trouve l'autre extrmit du tunnel. La commande ikesnoop peut rvler les problmes lis la liste de proposition en dtaillant les ngociations qui ont eu lieu.
ikesnoop verbose
Une fois que cette commande a t saisie, un ping ICMP peut donc tre envoy vers le firewall D-Link depuis lautre extrmit du tunnel. Cette manipulation obligera ikesnoop verbose sortir les dtails des paramtres du tunnel. Les incompatibilits dans les listes de proposition IKE et/ou IPsec peuvent souvent tre sources de problmes, qui sont donc rvls par cette sortie. Sil y a plusieurs tunnels dans un paramtrage ou plusieurs clients dans un seul tunnel, la sortie de ikesnoop verbose peut tre accablante. Il est donc prfrable de spcifier que cette sortie provient dun seul tunnel en indiquant ladresse IP du client.
ikesnoop verbose <ip-address>
chec de linterface de gestion avec VPN

Si un tunnel VPN est paramtr et que linterface de gestion nest plus oprationnelle, il sagit alors srement dun problme avec le trafic de gestion qui est rout vers le tunnel VPN au lieu de l'interface qui convient. Ce problme survient lorsquune route tablie dans la table de routage principale route lensemble du trafic tout rseau via le tunnel VPN. Si le tunnel VPN n'atteint pas linterface de gestion, alors ladministrateur doit crer une route spcifique qui route le trafic de linterface de gestion qui sort du firewall D-Link vers le sous-rseau de gestion. Lorsquun tunnel VPN est dfini, une route tout rseau est automatiquement dfinie dans la table de routage. Ladministrateur doit donc toujours paramtrer une route spcifique pour que le trafic de linterface de gestion soit toujours rout correctement.
IPsec
Prsentation
LIPsec (Internet Protocole Security) est un ensemble de protocoles dfinis par lIETF (Internet Egineering Task Force) pour garantir la scurit IP au niveau des rseaux. Un VPN bas sur lIPsec est compos de deux parties : Le protocole dchange de cls par Internet (IKE). Les protocoles IPsec (AH/ESP/les deux). La premire partie, lIKE, est la phase de ngociation initiale, durant laquelle les deux extrmits du tunnel VPN
197
VPN
saccordent sur les mthodes utiliser pour assurer la scurit du trafic IP sous-jacent. De plus, lIKE est utilis pour grer les connexions : il dfinit un ensemble dAssociations de scurit (SA) pour chaque connexion. Les associations de scurit sont unidirectionnelles ; il y en a donc gnralement au moins deux par connexion IPsec. La deuxime partie est le transfert des donnes IP en cours, pendant lequel les mthodes de chiffrage et d'authentification convenues lors des ngociations IKE sont appliques. Ceci peut tre effectu de nombreuses manires : en utilisant les protocoles IPsec ESP ou AH ou bien une combinaison des deux. Le droulement des vnements peut tre dcrit brivement comme suit : LIKE ngocie la manire dont il doit tre protg. LIKE ngocie la manire dont lIPsec doit tre protg. LIPsec dplace les donnes dans le VPN. Les sections suivantes dcrivent chacune de ces tapes en dtail.
Protocole dchange de cls par Internet (IKE)

Cette section dcrit lIKE, le protocole dchange de cls par Internet, ainsi que ses paramtres dutilisation. Le chiffrage et lauthentification des donnes sont des mthodes plutt directes. Elles ne ncessitent que des algorithmes de chiffrage et d'authentification, ainsi que leurs cls associes. Le protocole IKE est vu comme une manire de distribuer ces cls de session , ainsi que comme un terrain dentente sur la protection des donnes entre les extrmits du tunnel VPN. LIKE a trois tches principales : Il aide chaque extrmit sauthentifier entre elles. Il tablit des nouvelles connexions IPsec (et cre des paires SA). Il gre les connexions existantes. LIKE garde une trace des connexions en attribuant un ensemble dassociations de scurit chacune d'elles. Une SA dcrit tous les paramtres associs une connexion particulire, tels que lutilisation du protocole IPsec (ESP/AH/les deux), ainsi que les cls de session utilises pour chiffrer/dchiffrer et/ou authentifier/vrifier les donnes transmises. Une SA est par nature unidirectionnelle, do la ncessit de plusieurs SA par connexion. Dans la plupart des cas o l'ESP ou l'AH est utilis, deux SA seront cres pour chaque connexion : une qui dcrit le trafic entrant et l'autre le trafic sortant. Dans les cas o lESP et lAH sont utiliss conjointement, quatre SA sont cres. Ngociation IKE. La procdure de ngociation des paramtres de session consiste en plusieurs phases et modes. Ceux-ci sont dcrits en dtail dans les sections suivantes. Le droulement des vnements peut tre rsum comme suit : IKE Phase 1 Ngociation de la faon de protger lIKE. IKE Phase 2 Ngociation de la faon de protger lIPsec. Extraction de nouvelles cls lors de lchange de cls de la phase 1, afin de fournir les cls de session utiliser lors du chiffrage et de lauthentification du flux de donnes VPN. Dures de vie de lIKE et de lIPsec. Les connexions IKE et IPsec ont des dures de vie limites, toutes deux exprimes en temps (secondes) et en donnes (kilo-octets). Ces dures de vie empchent une connexion dtre utilise trop longtemps, ce qui est prfrable dun point de vue crypto-analytique.
198
VPN
La dure de vie de lIPsec doit tre plus courte que celle de lIKE. La diffrence entre les deux doit tre dau moins 5 minutes. Ceci permet la connexion IPsec de r-obtenir des cls en excutant simplement une nouvelle ngociation de la phase 2. Il est inutile dexcuter nouveau la ngociation de la phase 1 tant que la dure de vie de l'IKE n'a pas expir. Propositions IKE. Une proposition IKE est une suggestion sur la manire de protger les donnes. Lunit VPN mettrice qui initialise une connexion IPsec envoie une liste de propositions qui suggre diffrentes mthodes pour protger la connexion. La connexion qui est ngocie peut tre soit une connexion IPsec qui protge le flux de donnes au travers du VPN, soit une connexion IKE qui protge la ngociation IKE elle-mme. Aprs avoir reu la liste de propositions, lunit VPN rceptrice dterminera la proposition la plus convenable selon ses propres rgles de scurit et rpondra en spcifiant son choix. Si aucune proposition acceptable n'est trouve, l'unit VPN rpondra qu'aucune proposition ne peut tre accepte, en indiquant si possible la raison. Les propositions contiennent toutes les paramtres ncessaires tels que les algorithmes utiliss pour le chiffrage et lauthentification des donnes, ou dautres paramtres comme dcrits dans la section Paramtres IKE. IKE Phase 1 : ngociation de la scurit IKE. Une ngociation IKE est effectue en deux tapes. La premire phase authentifie les deux firewalls VPN ou clients VPN l'un par rapport l'autre, en confirmant ladquation de la cl pr-partage de lunit distante. Cependant puisque nous ne voulons pas que la ngociation soit entirement en texte clair, il faut dabord protger le reste de la ngociation IKE. Pour cela, linitiateur doit envoyer une liste de propositions au rcepteur. Une fois que la liste a t envoye et que le rcepteur a accept une des propositions, il faut procder ltape dauthentification pour sassurer de lexacte identit des deux extrmits du tunnel VPN. La technique d'change de cls Diffie Hellman est utilise pour initialiser la cration dun secret partag entre les deux parties lors de la ngociation et lextraction de cls pour le chiffrage. Lauthentification peut tre opre grce des cls pr-partages, des certificats ou un chiffrage par cl publique. La mthode des cls pr-partages est la plus courante de nos jours. La fonction PSK et les certificats sont pris en charge par le module VPN de NetDefendOS. IKE Phase 2 : ngociation de la scurit IPsec. Dans la phase deux, une autre ngociation est effectue, dtaillant les paramtres de la connexion IPsec. Dans la phase 2, nous allons galement extraire de nouvelles cls de lchange de cls Diffie-Hellman de la phase 1, afin de fournir des cls de session utiliser pour protger le flux de donnes VPN. Si le protocole PFS (Perfect Forwarding Secrecy) est utilis, un nouvel change Diffie-Hellman est effectu pour chaque ngociation de la phase 2. Bien que cette mthode soit plus lente, elle assure qu'aucune cl ne dpende d'autres cls utilises prcdemment ; aucune cl n'est extraite des mmes cls d'origine. Il sagit de veiller ce que, dans le cas improbable o une cl serait altre, aucune cl suivante ne puisse tre extraite. Une fois la ngociation de la phase 2 termine, la connexion VPN est tablie et prte lemploi. Paramtres IKE. Un certain nombre de paramtres sont utiliss dans le processus de ngociation. Vous trouverez ci-dessous un rsum des paramtres de configuration ncessaires ltablissement dune connexion VPN. Il est vivement recommand de comprendre l'action de ces paramtres avant toute tentative de configuration des extrmits VPN, tant donn qu'il est trs important que les deux extrmits soient en mesure de s'accorder sur tous ces paramtres. Lors de linstallation de deux firewalls D-Link en extrmits VPN, ce processus est rduit la comparaison des champs dans deux botes de dialogue identiques. Cependant, cette opration nest pas si facile lorsque l'quipement provient de fournisseurs diffrents. Identification des extrmits LID local est une donne qui reprsente lidentit de la passerelle VPN. Avec les cls pr-partages, il sagit d'une donne unique qui identifie uniquement lextrmit du tunnel.
199
VPN
Lauthentification laide des cls pr-partages est base sur lalgorithme Diffie-Hellman. Rseaux/htes locaux et distants Il sagit des sous-rseaux ou des htes entre lesquels le trafic IP sera protg par le VPN. Dans le cadre dune connexion LAN-LAN, il sagira des adresses rseau des LAN respectifs. En cas dutilisation de clients itinrants, le rseau distant sera le plus probablement dfini tout rseau, ce qui signifie que le client itinrant peut se connecter de nimporte o. Mode tunnel/transport IPsec peut tre utilis en deux modes, tunnel ou transport. Le mode Tunnel indique que le trafic sera achemin par un tunnel vers un priphrique distant, qui dchiffrera/authentifiera les donnes, les extraira de leur tunnel et les transmettra leur destination finale. Ainsi, un indiscret verra uniquement le trafic chiffr allant d'une extrmit VPN une autre. En mode Transport, le trafic ne sera pas achemin par un tunnel et ne sapplique donc pas aux tunnels VPN. Il peut tre utilis pour scuriser une connexion d'un client VPN directement au firewall D-Link, par exemple pour une configuration distance protge par IPsec. Ce paramtre sera en gnral dfini sur tunnel dans la plupart des configurations. Passerelle distante La passerelle distante effectuera le dchiffrement/lauthentification et transmettra les donnes leur destination finale. Ce champ peut galement tre dfini sur none , ce qui force le VPN D-Link traiter ladresse distante comme passerelle distante. Ceci est particulirement utile en cas d'accs itinrant o les adresses IP des clients VPN distants ne sont pas connues lavance. Une configuration sur none permettra quiconque provenant dune adresse IP conforme ladresse rseau distante susmentionne douvrir une connexion VPN, condition quil sauthentifie correctement. La passerelle distante nest pas utilise en mode Transport. Mode Main/Aggressive La ngociation IKE compte deux modes de fonctionnement, le mode Main et le mode Aggressive. La diffrence entre les deux est la suivante : le mode Aggressive transmettra plus dinformations en paquets moins nombreux, ce qui prsente l'avantage d'tablir une connexion lgrement plus rapidement, condition de transmettre les identits des firewalls de scurit en clair. En mode Aggressive, certains paramtres de configuration, comme par exemple les groupes Diffie-Hellman et PFS, ne peuvent pas tre ngocis, ce qui rend dautant plus important d'avoir des configurations compatibles aux deux extrmits. Protocoles IPsec Les protocoles IPsec dcrivent la faon dont les donnes seront traites. Les deux protocoles sont AH (Authentication Header) et ESP (Encapsulating Security Payload). Le protocole ESP offre le chiffrement, lauthentification ou les deux. Cependant, nous ne recommandons pas d'utiliser uniquement le chiffrement, car cela rduira considrablement la scurit. Vous trouverez plus d'informations sur le protocole ESP dans ESP (Encapsulating Security Payload).
200
VPN
Le protocole AH offre uniquement lauthentification. La diffrence par rapport au protocole ESP (authentification uniquement) est que le protocole AH authentifie galement des parties de l'en-tte IP externe, par exemple les adresses source et destination, en s'assurant que le paquet provient rellement de l'en-tte IP prtendue. Vous trouverez plus dinformations sur le protocole AH dans AH (Authentification Header).
Remarque
Les firewalls D-Link ne prennent pas en charge le protocole AH. Chiffrement IKE Prcise lalgorithme de chiffrement utilis dans la ngociation IKE et, en fonction de lalgorithme, la taille de la cl de chiffrement utilise. Les algorithmes pris en charge par lIPsec NetDefendOS sont les suivants : AES Blowfish Twofish Cast128 3DES DES DES est fourni uniquement pour pouvoir interagir avec dautres dveloppements de VPN antrieurs. Lutilisation de DES doit tre vite autant que possible, car cest un algorithme ancien dont la scurit nest plus garantie. Authentification IKE Prcise les algorithmes dauthentification utiliss dans la phase de ngociation IKE. Les algorithmes pris en charge par lIPsec NetDefendOS sont les suivants : SHA1 MD5 Groupe IKE DH (Diffie-Hellman) Prcise le groupe Diffie-Hellman utiliser lors des changes de cls dans IKE. Les groupes Diffie-Hellman pris en charge par NetDefendOS sont les suivants : Groupe DH 1 (768 bits) Groupe DH 2 (1024 bits) Groupe DH 5 (1536 bits) La scurit des changes de cls est renforce car le bit du groupe DH prend de limportance, tout comme le temps consacr aux changes. Dure de vie de lIKE Il sagit de la dure de vie de la connexion IKE. Elle est exprime en temps (secondes) ainsi quen volume de donnes (kilooctets). lexpiration de lune des deux donnes, un nouvel change de phase 1 sera effectu. Si aucune donne na t transmise lors de la
201
VPN
dernire incarnation de la connexion IKE, aucune nouvelle connexion ne sera effectue avant que quelqu'un souhaite utiliser nouveau la connexion VPN. Cette valeur doit tre suprieure la dure de vie SA IPsec. PFS Lorsque le PFS est dsactiv, des cls d'origine sont cres lors de lchange de cls de la phase 1 de la ngociation IKE. Dans la phase 2 de la ngociation IKE, les cls de session de chiffrement et dauthentification seront extraites de ces cls dorigine. En utilisant PFS (Perfect Forwarding Secrecy), des cls totalement nouvelles seront toujours cres la r-obtention. Si une cl tait altre, aucune autre cl ne pourrait tre extraite laide de ces informations. PFS peut tre utilis en deux modes : le premier mode est PFS sur les cls, dans lequel un nouvel change de cls aura lieu lors de chaque ngociation de phase 2. Le deuxime mode est PFS sur les identits, dans lequel les identits sont galement protges en supprimant lassociation de scurit de phase 1 chaque fois quune ngociation de phase 2 est termine, en veillant ce quune seule ngociation de phase 2 soit chiffre en utilisant la mme cl. PFS nest en gnral pas ncessaire, car il est trs improbable que des cls de chiffrement ou d'authentification soient altres. Groupe PFS Prcise le groupe PFS utiliser avec PFS. Les groupes PFS pris en charge par NetDefendOS sont les suivants : 1 modp 768 bits 2 modp 1 024 bits 5 modp 1 536 bits La scurit est renforce au fur et mesure que les bits de groupe PFS prennent de l'importance, tout comme le temps consacr aux changes. Groupe DH IPsec Chiffrement IPsec Il s'agit d'un groupe Diffie-Hellman trs similaire celui de l'IKE. Cependant, celui-ci est utilis uniquement pour PFS. Algorithme de chiffrement utiliser sur le trafic protg. Ceci nest pas ncessaire lorsquon utilise le protocole AH ou lorsque le protocole ESP est utilis sans chiffrement. Les algorithmes pris en charge par les VPN du firewall D-Link sont les suivants : AES Blowfish Twofish Cast128 3DES DES Authentification IPsec Prcise lalgorithme dauthentification utilis sur le trafic protg. Cette fonction n'est pas utilise lorsque le protocole ESP est utilis sans
202
VPN
authentification, bien qu'il ne soit pas recommand d'utiliser le protocole ESP de cette manire. Les algorithmes pris en charge par les VPN du firewall D-Link sont les suivants : SHA1 MD5 Dure de vie de lIPsec Il sagit de la dure de vie de la connexion VPN. Elle est exprime la fois en temps (secondes) et en volume de donnes (kilo-octets). Lorsque lune de ces valeurs est dpasse, une nouvelle obtention de cl sera lance, fournissant de nouvelles cls de session de chiffrement et dauthentification IPsec. Si la connexion VPN na pas t utilise lors de la dernire priode dobtention de nouvelle cl, la connexion sera interrompue, puis rouverte depuis le dbut lorsqu'elle sera nouveau ncessaire. Cette valeur doit tre infrieure la dure de vie de lIKE.
Authentification IKE
Mode manuel. La faon la plus simple de configurer un VPN consiste utiliser une mthode appele mode manuel . Dans cette mthode, IKE nest pas du tout utilis ; les cls de chiffrement et d'authentification ainsi que certains autres paramtres sont directement configurs des deux cts du tunnel VPN.
Remarque
Les firewalls D-Link ne prennent pas en charge le mode manuel. Avantages du mode manuel. tant donn quil est trs direct, il garantit une bonne interoprabilit. La plupart des problmes dinteroprabilit rencontrs aujourdhui concernent lIKE. Le mode manuel contourne totalement IKE et dfinit son propre ensemble dassociations de scurit IPsec. Inconvnients du mode manuel. Cest une mthode ancienne, qui tait utilise avant larrive dIKE. Il lui manque donc toutes les fonctionnalits dIKE. Par consquent, cette mthode comporte un certain nombre de limites, comme par exemple l'obligation de toujours utiliser la mme cl de chiffrement/dauthentification ou l'absence de services anti-relecture et n'est pas trs souple. Il ny a aucun moyen non plus de s'assurer que l'hte/le firewall distant est rellement celui qu'il prtend tre. Ce type de connexion est galement vulnrable aux attaques de relecture , autrement dit une entit malveillante qui a accs au trafic chiffr peut enregistrer certains paquets et les envoyer vers sa destination ultrieurement. Lextrmit VPN de destination ne pourra pas indiquer si ce paquet est une relecture ou pas. Lutilisation dIKE limine cette vulnrabilit. PSK. Lutilisation dune cl pr-partage (PSK) est une mthode dans laquelle les extrmits du VPN partagent une cl secrte. Il sagit dun service fourni par IKE, avec tous les avantages qui y sont associs, ce qui le rend beaucoup plus souple que le mode manuel. Avantages du mode PSK. Le mode cls pr-partages (Pre-Shared Keying) prsente de nombreux avantages par rapport au mode manuel, notamment lauthentification des extrmits, qui dfinit rellement l'utilit des PSK. Il comprend galement tous les avantages de lutilisation dIKE. Au lieu dutiliser un ensemble fixe de cls de chiffrement, des cls de session seront utilises pendant une priode limite, l o un nouvel ensemble de cls de session est utilis. Inconvnients du mode PSK. La distribution des cls est un lment prendre en compte lors de lutilisation des cls pr-partages. Comment les cls pr-partages sont-elles distribues aux clients et firewalls VPN distants ? Il sagit dune question centrale, car la scurit d'un systme PSK est base sur le caractre secret des PSK. Si une cl pr-partage tait altre, la configuration devrait tre modifie pour utiliser une nouvelle cl pr-partage. Certificats. Chaque firewall de VPN a son propre certificat, ainsi quun ou plusieurs certificats de nud agrs. Lauthentification est base sur plusieurs lments :
203
VPN
Le fait que chaque extrmit possde la cl prive correspondant la cl publique trouve dans son certificat et que personne d'autre n'a accs la cl prive. Le fait que le certificat a t sign par une personne qui la passerelle distante fait confiance. Avantages des certificats. Plus de souplesse. De nombreux clients VPN, par exemple, peuvent tre grs sans avoir la mme cl pr-partage configure sur la totalit des clients, ce qui est souvent le cas lorsqu'on utilise des cls pr-partages et des clients itinrants. Au lieu de cela, si un client tait altr, le certificat du client pourrait simplement tre rvoqu. Il est inutile de reconfigurer chaque client. Inconvnients des certificats. Plus de complexit. Lauthentification base sur les certificats peut tre utilise dans le cadre dune infrastructure de cl publique plus importante, rendant tous les clients VPN et les firewalls dpendants des tiers. En dautres termes, il y a davantage dlments configurer et donc plus de possibilits derreur.
Protocoles IPsec (ESP/AH)

Les protocoles IPsec sont les protocoles utiliss pour protger le trafic rel transmis par le VPN. Les protocoles rels utiliss et les cls utilises avec ces protocoles sont ngocis par IKE. Deux protocoles sont associs IPsec : AH et ESP. Ils sont abords dans les sections ci-dessous. AH (Authentication Header). AH est un protocole utilis pour authentifier un flux de donnes.
Figure 9.1. Le protocole AH
Le protocole AH utilise une fonction de hachage chiffr pour produire une adresse MAC partir des donnes du paquet IP. Cette adresse MAC est alors transmise avec le paquet, ce qui permet la passerelle distante de vrifier l'intgrit du paquet IP d'origine en vrifiant que les donnes nont pas t falsifies lors de leur parcours sur Internet. En plus des donnes du paquet IP, le protocole AH authentifie galement des parties de l'en-tte IP. Le protocole AH insre un en-tte AH la suite de len-tte IP dorigine et, en mode Tunnel, len-tte AH est insr la suite de len-tte externe, mais avant len-tte IP interne dorigine. ESP (Encapsulating Security Payload). Le protocole ESP insre un en-tte ESP la suite de len-tte IP dorigine et, en mode Tunnel, len-tte ESP est insr la suite de len-tte externe, mais avant len-tte IP interne dorigine. Toutes les donnes la suite de len-tte ESP sont chiffres et/ou authentifies. La diffrence par rapport au protocole AH est que le protocole ESP fournit galement le chiffrement du paquet IP. La phase dauthentification diffre galement par le fait que le protocole ESP authentifie uniquement les donnes la suite de l'en-tte ESP ; l'en-tte IP externe nest donc pas protg. Le protocole ESP est utilis pour le chiffrement et lauthentification du paquet IP. Il peut galement tre utilis pour effectuer uniquement le chiffrement ou lauthentification.
204
VPN
Figure 9.2. Le protocole ESP
Franchissement NAT
Les protocoles IKE et IPsec prsentent tous deux un problme de fonctionnement du NAT. Les deux protocoles nont pas t conus pour fonctionner via des NAT et par consquent, une technique appele Franchissement NAT a vu le jour. Le franchissement NAT est un supplment aux protocoles IKE et IPsec qui leur permet de fonctionner alors quils subissent le NAT. NetDefendOS prend en charge la norme RFC3947 pour le franchissement NAT avec IKE. Le franchissement NAT se divise en deux parties : Les ajouts IKE qui permettent aux pairs IPsec de sindiquer quils prennent en charge le franchissement NAT et les versions spcifiques prises en charge. NetDefendOS prend en charge la norme RFC3947 pour le franchissement NAT avec IKE. Modifications l'encapsulation ESP. Lorsque le franchissement NAT est utilis, le protocole ESP est encapsul en UDP, ce qui garantit une traduction NAT plus souple. Voici une description plus dtaille des modifications apportes aux protocoles IKE et IPsec. Le franchissement est utilis uniquement si les deux extrmits le prennent en charge. Ainsi, les VPN qui ont connaissance du franchissement NAT envoient un ID fournisseur spcial, indiquant lautre extrmit quil comprend le franchissement NAT et indiquant les versions spcifiques qu'il prend en charge. Dtection NAT : les deux pairs IPsec envoient des hachages de leurs propres adresses IP ainsi que le port UDP source utilis dans les ngociations IKE. Ces informations sont utilises pour voir si ladresse IP et le port source que chaque pair utilise sont identiques ce que lautre pair voit. Si ladresse et le port source nont pas chang, cela signifie que le trafic na pas t trait par NAT et que le franchissement NAT nest pas ncessaire. Si ladresse et/ou le port source a chang, le trafic a t trait par NAT et le franchissement NAT est utilis. Une fois que les pairs IPsec ont dcid que le franchissement NAT tait ncessaire, la ngociation IKE passe du port UDP 500 au port 4500. Ceci est ncessaire car certains priphriques NAT traitent un paquet UDP sur le port 500 diffremment des autres paquets UDP afin de rsoudre les problmes de NAT avec IKE. Le problme est que cette gestion particulire des paquets IKE peut en ralit rompre les ngociations IKE, cest pourquoi le port UDP utilis par IKE a chang. Un autre problme rsolu par le franchissement NAT est le fait que le protocole ESP est un protocole IP. Il ny a pas dinformation de port comme pour TCP et UDP, ce qui rend impossible le fait davoir plusieurs clients traits par NAT connects la mme passerelle distante en mme temps. Ainsi, les paquets ESP sont encapsuls dans UDP. Le trafic ESP-UDP est envoy sur le port 4500, le mme port que IKE lors de lutilisation du franchissement NAT. Une fois le port modifi, toutes les communications IKE suivantes sont effectues via le port 4500. Des paquets Keepalive (entretien) sont galement envoys rgulirement pour entretenir le mappage NAT.
205
VPN
Configuration du franchissement NAT. La plupart des fonctions du franchissement NAT sont totalement automatiques et aucune configuration particulire nest ncessaire dans le firewall metteur. Cependant, deux lments doivent tre nots concernant les firewalls de rponse : Sur les firewalls de rponse, le champ Passerelle distante est utilis comme filtre sur l'IP source des paquets IKE reus. Celui-ci devrait tre paramtr pour autoriser l'adresse IP traite par NAT de l'metteur. Lors de lutilisation de cls pr-partages individuelles avec plusieurs tunnels se connectant un firewall distant, puis traites par NAT via la mme adresse, il est important de veiller ce que lID local soit propre chaque tunnel. LID local peut tre Automatique lID local est pris comme ladresse IP de linterface sortante. Il sagit du paramtre recommand moins que, dans un cas improbable, les deux firewalls aient la mme adresse IP externe. IP une adresse IP peut tre saisie manuellement DNS une adresse DNS peut tre saisie manuellement E-mail une adresse lectronique peut tre saisie manuellement
Listes de propositions
Pour saccorder sur des paramtres de connexion VPN, un processus de ngociation est lanc. Suite aux ngociations, des associations de scurit (SA) IKE et IPsec sont tablies. Comme son nom lindique, une proposition est le point de dpart de la ngociation. Une proposition dfinit les paramtres de chiffrement, par exemple lalgorithme de chiffrement, les dures de vie, etc. que le firewall du VPN prend en charge. Il existe deux types de propositions, les propositions IKE et IPsec. Les propositions IKE sont utilises lors de la phase 1 de l'IKE (ngociation de la scurit IKE), alors que les propositions IPsec sont utilises lors de la phase 2 de l'IKE (ngociation de la scurit IPsec). Une liste de propositions est utilise pour regrouper plusieurs propositions. Lors du processus de ngociation, les propositions de la liste sont offertes au firewall du VPN distant l'une aprs l'autre jusqu' trouver une correspondance. Plusieurs listes de propositions peuvent tre dfinies dans NetDefendOS pour diffrents scnarios de VPN. Deux listes de propositions IKE et deux listes de propositions IPsec sont dfinies par dfaut dans NetDefendOS. Les listes de propositions de clients itinrants IKE et ESP-TN conviennent aux tunnels VPN qui sont utiliss pour les clients VPN itinrants. Ces listes de propositions sont compatibles avec les listes de propositions par dfaut du client VPN D-Link. Comme leur nom l'indique, le LAN-LAN IKE et le LAN-LAN ESP-TN conviennent aux solutions VPN LAN-LAN. Ces listes de propositions sont adaptes linclusion de propositions bases sur AES et 3DES uniquement.
Exemple 9.1. Utilisation dune liste de propositions

Cet exemple montre comment crer et utiliser une liste de propositions IPsec utiliser dans le tunnel VPN. Il proposera les algorithmes de chiffrement 3DES et DES. Les fonctions de hachage SHA1 et MD5 seront utilises afin de vrifier si le paquet de donnes est altr lors de sa transmission. Notez que cet exemple nillustre pas comment ajouter lobjet de tunnel IPsec spcifique. Ceci sera galement utilis dans un exemple ultrieur. Interface de ligne de commande Crez dabord une liste dalgorithmes IPsec :
gw-world:/> add IPsecAlgorithms esp-l2tptunnel DESEnabled=Yes DES3Enabled=Yes SHA1Enabled=Yes MD5Enabled=Yes
Puis appliquez la liste de propositions au tunnel IPsec :

gw-world:/> set Interface IPsecTunnel MyIPsecTunnel IPsecAlgorithms=esp-l2tptunnel
Interface Web
206
VPN
Crez dabord une liste dalgorithmes IPsec : Slectionnez Objects > VPN Objects > IKE Algorithms > Add > IPsec Algorithms (Objets > Objets VPN > Algorithmes IKE > Ajouter > Algorithmes IPsec). Nommez la liste, par ex., esp-l2tptunnel. Vrifiez maintenant ce qui suit : DES 3DES SHA1 MD5 Cliquez sur OK. Puis appliquez la liste de propositions au tunnel IPsec : Slectionnez Interfaces > IPsec Dans la liste de contrle, cliquez sur le tunnel IPsec cible. Slectionnez le tunnel esp-12tp rcemment cr dans le contrle des algorithmes IPsec. Cliquez sur OK.
Cls pr-partages
Les cls pr-partages sont utilises pour authentifier les tunnels VPN. Les cls sont des secrets qui sont partags par les parties communicantes avant que la communication nait lieu. Pour communiquer, les deux parties doivent prouver quelles connaissent le secret. La scurit dun secret partag dpend de la valeur dune phrase de passe. Les phrases de passe qui sont des mots courants sont par exemple extrmement vulnrables aux attaques de dictionnaire. Les cls pr-partages peuvent tre automatiquement gnres par linterface utilisateur Web, mais galement par linterface de ligne de commande laide de la commande pskgen (cette commande est dtaille dans le Guide de rfrence de linterface de ligne de commande).
Exemple 9.2. Utilisation dune cl pr-partage

Cet exemple montre comment crer une cl pr-partage et comment lappliquer un tunnel VPN. tant donn que les mots et expressions ordinaires sont vulnrables aux attaques de dictionnaire, il ne faut pas les utiliser comme secrets. Ici, la cl pr-partage est une cl hexadcimale gnre de faon alatoire. Notez que cet exemple nillustre pas comment ajouter lobjet de tunnel IPsec spcifique. Interface de ligne de commande Crez dabord une cl pr-partage. Pour gnrer la cl automatiquement avec une cl 64 bits (valeur par dfaut), utilisez :
gw-world:/> pskgen MyPSK
Pour obtenir une cl plus longue (donc plus scurise) de 512 bits, la commande serait :
gw-world:/> pskgen MyPSK -size=512
Pour ajouter la cl pr-partage manuellement, utilisez :

gw-world:/> add PSK MyPSK Type=HEX PSKHex=<enter the key here>
Appliquez maintenant la cl pr-partage au tunnel IPsec :

gw-world:/> set Interface IPsecTunnel MyIPsecTunnel PSK=MyPSK
207
VPN
Interface Web Crez dabord une cl pr-partage : Slectionnez Objects > Authentication Objects > Add > Pre-shared key (Objets > Objets dauthentification > Ajouter > Cl pr-partage). Nommez la cl pr-partage, par ex., MyPSK. Slectionnez Hexadecimal Key (Cl hexadcimale) et cliquez sur Generate Random Key (Gnrer une cl alatoire) pour gnrer une cl dans la zone de texte de la phrase de passe. Cliquez sur OK. Appliquez ensuite la cl pr-partage au tunnel IPsec : Slectionnez Interfaces > IPsec Dans la commande de la liste, cliquez sur lobjet tunnel IPsec cible. Sous longlet Authentication (Authentification), slectionnez Pre-shared Key (Cl pr-partage) et slectionnez MyPSK. Cliquez sur OK.
Listes didentification
Lorsque les certificats X.509 sont utiliss comme mthode dauthentification des tunnels IPsec, le firewall D-Link accepte tous les firewalls ou clients VPN distants qui sont en mesure de prsenter un certificat sign par l'une des autorits de certification autorises. Ceci peut poser problme, en particulier lors de lutilisation de clients itinrants. Imaginez des employs en dplacement qui lon donne accs aux rseaux internes de lentreprise et qui utilisent des clients VPN. Lorganisation administre sa propre autorit de certification et les certificats ont t remis aux employs. Diffrents groupes demploys sont susceptibles davoir accs diffrentes parties des rseaux internes. Par exemple, des membres de l'quipe de vente ont besoin d'accder des serveurs qui excutent le systme de commande, alors que des ingnieurs techniques ont besoin d'accder des bases de donnes techniques. tant donn que les adresses IP des clients VPN des employs en dplacement ne peuvent pas tre connues l'avance, les connexions VPN entrantes des clients ne peuvent pas tre diffrencies. Ceci signifie que le firewall nest pas en mesure de contrler l'accs diffrentes parties des rseaux internes. Le concept de Listes didentification reprsente une solution ce problme. Une liste didentification contient une ou plusieurs identits (ID), o chaque identit correspond au champ objet dun certificat X.509. Les listes didentification peuvent donc tre utilises pour rguler les certificats X.509 qui sont accords pour accder des tunnels IPsec.
Exemple 9.3. Utilisation dune liste didentification

Cet exemple montre comment crer et utiliser une liste d'identification utiliser dans le tunnel VPN. Cette liste didentification contiendra une ID avec le DN de type, le nom distinctif, comme identifiant principal. Notez que cet exemple nillustre pas comment ajouter lobjet de tunnel IPsec spcifique. Interface de ligne de commande Crez dabord une liste didentification :
gw-world:/> add IDList MyIDList
Puis crez une ID :

gw-world:/> cc IDList MyIDList gw-world:/MyIDList> add ID JohnDoe Type=DistinguishedName CommonName="John Doe" OrganizationName=D-Link
208
VPN
OrganizationalUnit=Support Country=Sweden [email protected] gw-world:/MyIDList> cc
Enfin, appliquez la liste didentification au tunnel IPsec :

gw-world:/> set Interface IPsecTunnel MyIPsecTunnel AuthMethod=Certificate IDList=MyIDList RootCertificates=AdminCert GatewayCertificate=AdminCert
Interface Web Crez dabord une liste didentification : Slectionnez Objects > VPN Objects > ID List > Add > ID List (Objets > Objets VPN > Liste ID > Ajouter > Liste ID). Nommez la liste d'identification, par ex., MyIDList. Cliquez sur OK. Puis crez une ID : Slectionnez Objects > VPN Objects > ID List (Objets > Objets VPN > Liste ID). Dans la liste de contrle, cliquez sur MyIDList. Nommez lID, par ex., MonsieurX. Slectionnez Distinguished name (nom distinctif) dans la commande Type. Saisissez : Common Name (Nom usuel) : Monsieur X Organization Name (Nom de lorganisation) : D-Link Organizational Unit (Unit organisationnelle) : Support Country (Pays) : Sude Email address (Adresse lectronique) : [email protected] Cliquez sur OK. Enfin, appliquez la liste didentification au tunnel IPsec : Slectionnez Interfaces > IPsec. Dans la liste de contrle, cliquez sur lobjet tunnel IPsec concern. Sous longlet Authentication, slectionnez X.509 Certificate (Certificat X.509). Slectionnez le certificat appropri dans les commandes Root Certificate(s) (Certificat de nud) et Gateway Certificate (Certificat de passerelle). Slectionnez MyIDList dans la liste didentification. Cliquez sur OK.
Tunnels IPsec
Prsentation
Un tunnel IPsec dfinit une extrmit dun tunnel chiffr. Chaque tunnel IPsec est interprt comme interface logique par NetDefendOS, avec les mmes capacits de filtrage, de mise en forme du trafic et de configuration que
209
VPN
des interfaces ordinaires. Lorsquun autre firewall D-Link ou client VPN D-Link (ou tout produit conforme IPsec) tente dtablir un tunnel VPN IPsec vers le firewall D-Link, les tunnels IPsec configurs sont valus. Si une dfinition de tunnel IPsec correspondante est trouve, les ngociations IKE et IPsec ont alors lieu, entranant ltablissement dun tunnel VPN IPsec. Notez quun tunnel IPsec tabli ne signifie pas automatiquement que tout le trafic de ce tunnel IPsec est autoris. Au contraire, le trafic rseau qui a t dchiffr sera transfr vers lensemble de rgles pour une valuation supplmentaire. Le tunnel IPsec associ portera le nom de linterface source du trafic rseau dchiffr. De plus, une rgle dacheminement ou daccs, dans le cas dun client itinrant, doit tre dfinie pour que NetDefendOS accepte certaines adresses IP source en provenance du tunnel IPsec. Pour le trafic rseau allant dans le sens oppos, c'est--dire allant dans un tunnel IPsec, un processus inverse se produit. Dabord, le trafic non chiffr est valu par lensemble de rgles. En cas de correspondance d'une rgle et d'une route, NetDefendOS tente de trouver un tunnel IPsec tabli qui rpond aux critres. Dans le cas contraire, NetDefendOS tentera dtablir un tunnel vers le firewall distant indiqu par la dfinition du tunnel IPsec correspondante.
Remarque
Le trafic IKE et ESP/AH est envoy vers le moteur IPsec avant la consultation de lensemble de rgles. Le trafic chiffr vers le firewall na par consquent pas besoin dtre autoris dans l'ensemble de rgles. Ce comportement peut tre modifi dans la section Paramtres avancs IPsec.
Tunnels LAN-LAN avec cls pr-partages

Un VPN peut autoriser des rseaux locaux (LAN) distribus gographiquement communiquer de faon scurise sur lInternet public. Dans le cadre dune entreprise, ceci signifie que les LAN sur des sites gographiques distincts peuvent communiquer avec un niveau de scurit comparable celui qui existe dans le cadre d'un lien priv ddi. La communication scurise est possible grce lutilisation de la tunnelisation IPsec, le tunnel se prolongeant partir de la passerelle VPN dun site vers la passerelle VPN dun autre site. Le firewall D-Link est par consquent le vecteur de mise en place du VPN, tout en appliquant une surveillance de scurit normale du trafic passant par le tunnel. Cette section dtaille la configuration des tunnels Lan-Lan crs avec une cl pr-partage (PSK). Un certain nombre dtapes sont ncessaires pour configurer les tunnels LAN-LAN avec une cl pr-partage : Configurez une cl pr-partage ou un secret pour le tunnel VPN. Configurez les proprits du tunnel VPN. Configurez la route. Configurez les rgles (un tunnel 2 voies requiert 2 rgles).
Clients itinrants
Un employ en dplacement qui doit accder un serveur d'entreprise central partir d'un ordinateur portable depuis divers sites est un exemple typique de client itinrant. lexception du besoin daccs VPN scuris, lautre problme majeur des clients itinrants est que ladresse IP de lutilisateur mobile est souvent inconnue lavance. Pour grer ladresse IP inconnue, le NetDefendOS peut ajouter de faon dynamique des routes la table de routage au fur et mesure que des tunnels sont tablis. Gestion des adresses IP inconnues. Si ladresse IP du client nest pas connue lavance, le firewall D-Link doit donc crer une route dans sa table de routage de faon dynamique au fur et mesure que les clients se connectent. Cest le cas dans lexemple ci-dessous et le tunnel IPsec est configur pour ajouter des routes de faon dynamique. Si les clients doivent tre autoriss se connecter en itinrance de n'importe o, quel que soit leur adresse IP, le rseau distant doit tre paramtr sur tout rseau (adresse IP : 0.0.0.0/0), ce qui permettra toutes les adresses IPv4 existantes de se connecter via le tunnel.
210
VPN
Lors de la configuration de tunnels VPN pour les clients itinrants, il n'est gnralement pas ncessaire d'ajouter ou de modifier les listes de propositions qui sont prconfigures dans NetDefendOS.
Tunnels de clients bass sur PSK Exemple 9.4. Configuration dun tunnel VPN bas sur une cl pr-partage pour les clients itinrants
Cet exemple dcrit comment configurer un tunnel IPsec au niveau du firewall D-Link du sige social pour les clients itinrants qui se connectent au sige pour obtenir un accs distance. Le rseau du sige social utilise la plage rseau 10.0.1.0/24 avec IP de firewall externe wan_ip. Interface Web A. Crez une cl pr-partage pour lauthentification IPsec : Slectionnez Objects > Authentication Objects > Add > Pre-Shared Key (Objets > Objets dauthentification > Ajouter > Cl pr-partage). Saisissez : Name (Nom) : nommez la cl pr-partage, SecretKey par exemple. Shared Secret (Secret partag) : entrez une phrase de passe secrte. Confirm Secret (Confirmer le secret) : entrez nouveau la phrase de passe secrte. Cliquez sur OK. B. Configurez le tunnel IPsec : Slectionnez Interfaces > IPsec > Add > IPsec Tunnel (Interfaces > IPsec > Ajouter > Tunnel IPsec). Saisissez : Name (Nom) : RoamingIPsecTunnel Rseau local : 10.0.1.0/24 (il sagit du rseau local auquel les utilisateurs itinrants se connecteront) Remote Network (rseau distant) : all-nets (tout rseau) Extrmit distante : (aucune) Encapsulation Mode (mode dencapsulation) : Tunnel Pour les algorithmes, saisissez : Algorithmes IKE : moyen ou lev Algorithmes IPsec : moyen ou lev Pour lauthentification, saisissez : Cl pr-partage : Slectionnez la cl pr-partage cre auparavant. Sous longlet Routing (routage) : Activez loption : Dynamically add route to the remote network when a tunnel is established. (Ajouter un routage de faon dynamique au rseau distant lorsqu'un tunnel est tabli.) Cliquez sur OK. C. Enfin, configurez lensemble de rgles IP pour autoriser le trafic lintrieur du tunnel.
211
VPN
Tunnels de clients bass sur un certificat autosign Exemple 9.5. Configuration dun tunnel VPN bas sur un certificat autosign pour les clients itinrants
Cet exemple dcrit comment configurer un tunnel IPsec au niveau du firewall D-Link du sige social pour les clients itinrants qui se connectent au sige pour obtenir un accs distance. Le rseau du sige social utilise la plage rseau 10.0.1.0/24 avec IP de firewall externe wan_ip. Interface Web A. Crez un certificat autosign pour lauthentification IPsec : L'tape de cration relle de certificats autosigns est ralise en dehors de l'interface utilisateur Web l'aide d'un logiciel adapt. Le certificat doit tre au format de fichier PEM (Privacy Enhanced Mail). B. Chargez tous les certificats autosigns de client : Slectionnez Objects > Authentication Objects > Add > Certificate (Objets > Objets dauthentification > Ajouter > Certificat). Entrez un nom convenable pour lobjet Certificat. Slectionnez loption Certificat X.509. Cliquez sur OK. C. Crez des listes didentification : Slectionnez Objects > VPN Objects > ID List > Add > ID List (Objets > Objets VPN > Liste ID > Ajouter > Liste ID). Entrez un nom convenable, par ex., vente. Cliquez sur OK. Slectionnez Objects > VPN Objects > ID List > Sales > Add > ID List (Objets > Objets VPN > Liste ID > Ventes > Ajouter > Liste ID). Entrez le nom du client. Slectionnez le type Email. Dans le champ Adresse lectronique, entrez ladresse lectronique slectionne lors de la cration du certificat sur le client. Crez une nouvelle ID pour chaque client qui vous voulez accorder des droits daccs selon les instructions ci-dessus. D. Configurez le tunnel IPsec : Slectionnez Interfaces > IPsec > Add > IPsec Tunnel (Interfaces > IPsec > Ajouter > Tunnel IPsec). Saisissez : Name (Nom) : RoamingIPsecTunnel Rseau local : 10.0.1.0/24 (il sagit du rseau local auquel les utilisateurs itinrants se connecteront) Remote Network (rseau distant) : all-nets (tout rseau) Extrmit distante : (aucune)
212
VPN
Encapsulation Mode (mode dencapsulation) : Tunnel Pour les algorithmes, saisissez : Algorithmes IKE : moyen ou lev Algorithmes IPsec : moyen ou lev Pour lauthentification, saisissez : Slectionnez Certificat X.509 comme mthode dauthentification. Root Certificate(s) (Certificats de nud) : slectionnez tous vos certificats de clients et ajoutez-les la liste Selected (Slection). Gateway Certificate (Certificat de passerelle) : slectionnez votre certificat de firewall nouvellement cr. Liste didentification : Slectionnez la Liste dID que vous voulez associer votre tunnel VPN. Dans votre cas, il sagira des ventes (sales). Sous longlet Routing (routage) : Activez loption : Dynamically add route to the remote network when a tunnel is established. (Ajouter un routage de faon dynamique au rseau distant lorsqu'un tunnel est tabli.) Cliquez sur OK. E. Enfin, configurez lensemble de rgles IP pour autoriser le trafic lintrieur du tunnel.
Tunnels de clients bass sur des certificats mis par le serveur AC

La configuration des tunnels de client laide dun certificat X.509 mis par une autorit de certification est trs similaire lutilisation de certificats autosigns, l'exception de quelques tapes. Trs important : il incombe l'administrateur d'acqurir le certificat appropri auprs d'une autorit mettrice. Avec certains systmes, comme par exemple Windows 2000 Server, il existe un accs intgr un serveur AC (dans Windows 2000 Server, celui-ci se trouve dans les Services de certificat). Pour en savoir plus sur les certificats mis par un serveur AC, consultez la section intitule Certificats X.509 . Il incombe l'administrateur d'acqurir le certificat appropri auprs d'une autorit mettrice pour les tunnels de clients. Avec certains systmes, comme par exemple Windows 2000 Server, il existe un accs intgr un serveur AC (dans Windows 2000 Server, celui-ci se trouve dans les Services de certificat). Pour en savoir plus sur les certificats mis par un serveur AC, consultez la section intitule Certificats X.509 .
Exemple 9.6. Configuration dun tunnel VPN bas sur un certificat mis par un serveur AC pour les clients itinrants
Cet exemple dcrit comment configurer un tunnel IPsec au niveau du firewall D-Link du sige social pour les clients itinrants qui se connectent au sige pour obtenir un accs distance. Le rseau du sige social utilise la plage rseau 10.0.1.0/24 avec IP de firewall externe wan_ip. Interface Web A. Chargez tous les certificats de clients : Slectionnez Objects > Authentication Objects > Add > Certificate (Objets > Objets dauthentification > Ajouter > Certificat). Entrez un nom convenable pour lobjet Certificat. Slectionnez loption Certificat X.509. Cliquez sur OK.
213
VPN
B. Crez des listes didentification : Slectionnez Objects > VPN Objects > ID List > Add > ID List (Objets > Objets VPN > Liste ID > Ajouter > Liste ID). Entrez un nom descriptif, par ex., ventes. Cliquez sur OK. Slectionnez Objects > VPN Objects > ID List > Sales > Add > ID List (Objets > Objets VPN > Liste ID > Vente > Ajouter > Liste ID). Entrez le nom du client. Slectionnez le type Email. Dans le champ Adresse lectronique, entrez ladresse lectronique slectionne lors de la cration du certificat sur le client. Crez une nouvelle ID pour chaque client qui vous voulez accorder des droits daccs selon les instructions ci-dessus. C. Configurez le tunnel IPsec : Slectionnez Interfaces > IPsec > Add > IPsec Tunnel (Interfaces IPsec > Ajouter > Tunnel IPsec). Saisissez : Name (Nom) : RoamingIPsecTunnel Rseau local : 10.0.1.0/24 (il sagit du rseau local auquel les utilisateurs itinrants se connecteront) Remote Network (rseau distant) : all-nets (tout rseau) Extrmit distante : (aucune) Encapsulation Mode (mode dencapsulation) : Tunnel Pour les algorithmes, saisissez : Algorithmes IKE : moyen ou lev Algorithmes IPsec : moyen ou lev Pour lauthentification, saisissez : Slectionnez Certificat X.509 comme mthode dauthentification. Root Certificate(s) (Certificats de nud) : Slectionnez votre certificat de nud du serveur AC import prcdemment et ajoutez-le la liste Selected (Slection). Gateway Certificate (Certificat de passerelle) : Slectionnez votre certificat de firewall nouvellement cr. Liste didentification : Slectionnez la Liste dID que vous voulez associer votre tunnel VPN. Dans votre cas, il sagira des ventes (sales) Sous longlet Routing (routage) : Activez loption : Dynamically add route to the remote network when a tunnel is established (Ajouter un routage de faon dynamique au rseau distant lorsqu'un tunnel est tabli). Cliquez sur OK. D. Enfin, configurez lensemble de rgles IP pour autoriser le trafic lintrieur du tunnel.
214
VPN
Utilisation du mode de configuration

IKE Configuration Mode (Mode de configuration) est une extension IKE qui permet NetDefendOS de fournir des informations de configuration de LAN des clients VPN distants. Ce mode est utilis pour configurer de faon dynamique les clients IPsec avec des adresses IP et des masques rseau correspondants et pour changer d'autres types d'informations associs DHCP. Ladresse IP fournie un client peut soit tre base sur une plage d'adresses IP statiques prdfinies dfinie pour le mode de configuration, soit provenir de serveurs DHCP associs un objet IP Pool. Un groupe IP est un cache dadresses IP collectes partir de serveurs DHCP et les attributions sur ces adresses sont renouveles automatiquement lorsque la dure dattribution arrive expiration. Les groupes IP grent galement des informations supplmentaires, comme par exemple DNS et WINS/NBNS, la manire dun serveur DHCP ordinaire. Pour en savoir plus sur les groupes, consultez la section intitule Groupes IP ). Dfinition de lobjet Mode de configuration. Actuellement, un seul objet Config Mode (mode de configuration) peut tre dfini dans NetDefendOS et celui-ci est appel lobjet Config Mode Pool. Les paramtres cls qui y sont associs sont les suivants : Utiliser lobjet Groupe IP prdfini Utiliser un groupe statique DNS NBNS/WINS DHCP Sous-rseaux Lobjet Groupe IP qui fournit les adresses IP. Un ensemble statique d'adresses IP peut tre dfini comme alternative lutilisation dun groupe IP. Ladresse IP du DNS utilis pour la rsolution URL (dj fournie par un groupe IP). Ladresse IP pour la rsolution NBNS/WINS (dj fournie par un groupe IP). Indique lhte denvoyer nimporte quelle requte DHCP interne cette adresse. Une liste des sous-rseaux auxquels le client a accs.
Exemple 9.7. Configuration du mode de configuration

Dans cet exemple, lobjet Config Mode Pool (groupe de mode de configuration) est activ en lassociant un objet Groupe IP dj configur appel ip_pool1. Interface Web Slectionnez Objects > VPN Objects > IKE Config Mode Pool (Objets > Objets VPN > Groupe de mode de configuration IKE). La page Web des proprits de lobjet Config Mode Pool (groupe de mode de configuration) saffiche. Slectionnez Use a pre-defined IPPool object (Utiliser un objet Groupe IP prdfini). Slectionnez lobjet ip_pool1 dans la liste droulante IP Pool (Groupe IP). Cliquez sur OK. Aprs avoir dfini lobjet Config Mode (mode de configuration), il suffit dactiver le mode de configuration utiliser avec le tunnel IPsec.
Exemple 9.8. Utilisation du mode de configuration avec des tunnels IPsec

En supposant l'existence d'un tunnel prdfini appel vpn_tunnel1, cet exemple montre comment activer le mode de configuration pour ce tunnel. Interface Web
215
VPN
Slectionnez Interfaces > IPsec. Slectionnez le tunnel vpn_tunnel1 modifier. Slectionnez la liste droulante IKE Config Mode (mode de configuration IKE). Cliquez sur OK. Validation dIP. NetDefendOS vrifie toujours si ladresse IP source de chaque paquet lintrieur dun tunnel IPsec est la mme que ladresse IP attribue au client IPsec avec le mode de configuration IKE. Dans le cas dune non-concordance, le paquet est toujours ignor et un message de consignation est gnr avec un niveau de gravit Avertissement. Ce message comprend les deux adresses IP ainsi que l'identit du client. Il est possible de supprimer automatiquement lassociation de scurit concerne en cas d'chec de validation en activant le paramtre avanc IPsecDeleteSAOnIPValidationFailure. La valeur par dfaut pour ce paramtre est Disabled (Dsactiv).
Recherche de CRL depuis un serveur LDAP alternatif

Un certificat de nud X.509 comprend en gnral ladresse IP ou le nom dhte de lautorit de certification contacter lorsque des certificats ou des listes de rvocation de certificats doivent tre tlcharges sur le firewall D-Link. Le protocole LDAP (Lightweight Directory Access Protocol) est utilis pour ces tlchargements. Cependant, il arrive que ces informations manquent ou que ladministrateur souhaite utiliser un autre serveur LDAP. La section de configuration du serveur LDAP peut alors tre utilise pour spcifier manuellement dautres serveurs LDAP.
Exemple 9.9. Configuration dun serveur LDAP

Cet exemple montre comment configurer et spcifier manuellement un serveur LDAP. Interface de ligne de commande
gw-world:/> add LDAPServer Host=192.168.101.146 Username=myusername Password=mypassword Port=389
Interface Web Slectionnez Objects > VPN Objects > LDAP > Add > LDAP Server (Objets > Objets VPN > LDAP > Ajouter > Serveur LDAP). Saisissez : IP Address (Adresse IP) : 192.168.101.146 Username (Nom d'utilisateur) : monnomdutilisateur Password (mot de passe) : monmotdepasse Confirm Password (confirmer le mot de passe) : monmotdepasse Port (Port) : 389 Cliquez sur OK.
PPTP/L2TP
Laccs par un client qui utilise un lien de modem sur des rseaux commuts publics bas dbit, potentiellement avec une adresse IP imprvisible, vers des rseaux protgs via un VPN, pose problme. Les protocoles PPTP et L2TP fournissent deux moyens diffrents d'obtenir un accs VPN partir de clients distants.
PPTP
216
VPN
Prsentation. Le protocole tunnel point point (PPTP) est conu par le forum PPTP, un consortium dentreprises comprenant Microsoft. Cest un protocole de liaison de donnes de couche 2 OSI (voir l'Annexe D, La structure OSI) et c'est une extension de l'ancien protocole point point (PPP) utilis pour l'accs Internet en bas dbit, Ctait lun des premiers protocoles conus pour offrir un accs VPN des serveurs distants via des rseaux commuts et il est toujours largement utilis. Mise en uvre. Le protocole PPTP peut tre utilis dans le contexte VPN pour tunneliser diffrents protocoles sur Internet. La tunnelisation est possible grce l'encapsulation des paquets PPP dans des datagrammes IP l'aide du protocole Generic Routing Encapsulation (GRE protocole IP 47). Le client tablit dabord une connexion vers un FAI de faon normale en utilisant le protocole PPP, puis tablit une connexion TCP/IP sur Internet vers le firewall D-Link, qui sert de serveur PPTP (utilisation du port TCP 1723). Le FAI nest pas inform de lexistence du VPN car le tunnel stend du serveur PPTP au client. La norme PPTP ne dfinit pas la faon dont les donnes sont chiffres. Le chiffrement est en gnral possible en utilisant la norme MPPE (chiffrement point point de Microsoft). Dploiement. Le protocole PPTP offre une solution pratique pour un accs client simple dployer. Le protocole PPTP ne ncessite pas linfrastructure de certificat trouve dans L2TP mais repose sur une squence nom dutilisateur/mot de passe pour tablir une certaine confiance entre le client et le serveur. Le niveau de scurit fourni par une solution sans certificat est lun des inconvnients du protocole PPTP. Le protocole PPTP prsente galement des problmes dvolutivit avec certains serveurs PPTP en limitant le nombre de clients PPTP simultans. tant donn que le protocole PPTP nutilise pas IPsec, les connexions PPTP peuvent tre traites par NAT et le franchissement NAT nest pas requis. Le protocole PPTP a t fourni par Microsoft dans ses systmes d'exploitation depuis Windows 95 et par consquent un grand nombre de clients sont dj quips du logiciel. Dpannage du protocole PPTP. Un problme courant de configuration du protocole PPTP est qu'un routeur et/ou un commutateur sur un rseau bloque le port TCP 1723 et/ou le protocole IP 47 avant que la connexion PPTP soit tablie vers le firewall D-Link. Un examen du journal peut indiquer si ce problme a eu lieu, avec un message de consignation sous la forme suivante :
Error PPP lcp_negotiation_stalled ppp_terminated
Exemple 9.10. Configuration dun serveur PPTP

Cet exemple montre comment configurer un serveur rseau PPTP. Cet exemple suppose que vous avez dj cr certains objets adresse dans le carnet d'adresses. Vous devrez indiquer ladresse IP de linterface du serveur PPTP, une adresse IP externe (que le serveur PPTP doit couter) et un groupe IP que le serveur PPTP utilisera pour donner des adresses IP aux clients. Interface de ligne de commande
gw-world:/> add Interface L2TPServer MyPPTPServer ServerIP=lan_ip Interface=any IP=wan_ip IPPool=pp2p_Pool TunnelProtocol=PPTP AllowedRoutes=all-nets
Interface Web Slectionnez Interfaces > L2TP Servers > Add > L2TPServer (Interfaces > Serveurs L2TP > Ajouter > Serveur L2TP). Nommez le serveur PPTP, par ex., MyPPTPServer. Saisissez : Inner IP Address (Adresse IP interne) : lan_ip Tunnel Prococol (Protocole du tunnel) : PPTP Outer Interface Filter (Filtre dinterface externe) : any (nimporte lequel) Outer Server IP (IP du serveur externe) : wan_ip Sous longlet PPP Parameters (Paramtres PPP), slectionnez pptp_Pool dans la commande IP Pool (Groupe IP).
217
VPN
Sous longlet Add Route (Ajouter une route), slectionnez all_nets (tout rseau) dans Allowed Networks (Rseaux autoriss). Cliquez sur OK. Use User Authentication Rules (Utiliser les rgles d'authentification de l'utilisateur) est activ par dfaut. Pour pouvoir authentifier les utilisateurs laide du tunnel PPTP, vous devez galement configurer des rgles dauthentification qui ne seront pas abordes dans cet exemple.
L2TP
Le protocole de tunnelisation de couche 2 (L2TP) est une norme ouverte IETF qui permet de surmonter bien des problmes du PPTP. Sa conception est une combinaison du protocole de transmission de niveau 2 (L2F) et du PPTP qui utilise les meilleures caractristiques des deux. tant donn que la norme L2TP ne met pas en uvre le chiffrement, celui-ci est en gnral appliqu avec une norme IETF connue sous le nom de L2TP/IPsec, dans laquelle les paquets L2TP sont encapsuls par IPsec. Le client communique avec un concentrateur daccs local (LAC), qui communique via Internet avec un serveur rseau L2TP (LNS). Le firewall D-Link sert de LNS. Le LAC, en effet, tunnelise les donnes, comme par exemple une session PPP, l'aide d'IPsec vers le LNS via Internet. Dans la plupart des cas, le client servira lui-mme de LAC. L2TP est bas sur des certificats et par consquent est plus simple administrer avec un grand nombre de clients et offre une meilleure scurit que le protocole PPTP. Contrairement PPTP, il est possible de configurer plusieurs rseaux virtuels via un seul tunnel. tant donn quil est bas sur IPsec, L2TP requiert la mise en uvre du franchissement NAT (NAT-T) du ct LNS du tunnel.
Exemple 9.11. Configuration dun serveur L2TP

Cet exemple montre comment configurer un serveur rseau L2TP. Cet exemple suppose que vous avez cr certains objets adresse dans le carnet d'adresses. Vous devrez indiquer ladresse IP de linterface du serveur L2TP, une adresse IP externe (que le serveur L2TP doit couter) et un groupe IP que le serveur L2TP utilisera pour donner des adresses IP aux clients. Linterface sur laquelle le serveur L2TP acceptera des connexions est un tunnel IPsec virtuel, non illustr dans cet exemple. Interface de ligne de commande
gw-world:/> add Interface L2TPServer MyL2TPServer ServerIP=ip_l2tp Interface=l2tp_ipsec IP=wan_ip IPPool=L2TP_Pool TunnelProtocol=L2TP AllowedRoutes=all-nets
Interface Web Slectionnez Interfaces > L2TP Servers > Add > L2TPServer (Interfaces > Serveurs L2TP > Ajouter > Serveur L2TP). Entrez un nom convenable pour le serveur L2TP, par ex., MyL2TPServer. Saisissez : Inner IP Address (Adresse IP interne) : ip_l2tp Tunnel Prococol (Protocole du tunnel) : L2TP Outer Interface Filter (Filtre dinterface externe) : l2tp_ipsec Outer Server IP (IP du serveur externe) : wan_ip Sous longlet PPP Parameters (Paramtres PPP), slectionnez L2TP_Pool dans la commande IP Pool (Groupe IP). Sous longlet Add Route (Ajouter une route), slectionnez all_nets (tout rseau) dans Allowed Networks (Rseaux autoriss). Cliquez sur OK.
218
VPN
Use User Authentication Rules (Utiliser les rgles d'authentification de l'utilisateur) est activ par dfaut. Pour pouvoir authentifier les utilisateurs laide du tunnel PPTP, vous devez galement configurer des rgles dauthentification qui ne sont pas abordes dans cet exemple.
Exemple 9.12. Configuration dun tunnel L2TP

Cet exemple montre comment configurer un tunnel L2TP parfaitement fonctionnel et dtaille de nombreuses parties de la configuration VPN de base. Avant de commencer, vous devez configurer certains objets adresse, par exemple le rseau qui sera attribu aux clients L2TP. Les listes de propositions et les cls pr-partages sont galement ncessaires. Nous utiliserons ici les objets crs dans les exemples prcdents. Pour pouvoir authentifier les utilisateurs en utilisant le tunnel L2TP, on utilisera une base de donnes utilisateur locale. A. Commencez par prparer une nouvelle base de donnes utilisateur locale : Interface de ligne de commande
gw-world:/> add LocalUserDatabase UserDB gw-world:/> cc LocalUserDatabase UserDB gw-world:/UserDB> add User testuser Password=mypassword
Interface Web Slectionnez User Authentication > Local User Databases > Add > Local User Database (Authentification utilisateur > Bases de donnes utilisateur locale > Ajouter > Base de donnes utilisateur locale). Entrez un nom convenable de base de donnes utilisateur, par exemple UserDB. Slectionnez User Authentication > Local User Databases > UserDB > Add > User (Authentification utilisateur > Bases de donnes utilisateur locale > UserDB > Ajouter > Utilisateur). Saisissez : Username (Nom d'utilisateur) : utilisateurtest Password (mot de passe) : monmotdepasse Confirm Password (confirmer le mot de passe) : monmotdepasse Cliquez sur OK. Nous allons maintenant configurer le tunnel IPsec, qui sera ensuite utilis dans la section L2TP. tant donn que nous allons utiliser le protocole L2TP, le rseau local utilise la mme IP laquelle le tunnel L2TP se connectera, wan_ip. De plus, le tunnel IPsec doit tre configur pour ajouter de faon dynamique des routages vers le rseau distant lorsque le tunnel est tabli. B. Poursuivez la configuration du tunnel IPsec : Interface de ligne de commande
gw-world:/> add Interface IPsecTunnel l2tp_ipsec LocalNetwork=wan_ip RemoteNetwork=all-nets IKEAlgorithms=ike-roamingclients IPsecAlgorithms=esp-l2tptunnel PSK=MyPSK EncapsulationMode=Transport DHCPOverIPsec=Yes AddRouteToRemoteNet=Yes IPsecLifeTimeKilobytes=250000 IPsecLifeTimeSeconds=3600
Interface Web Slectionnez Interfaces > IPsec > Add > IPsec Tunnel (Interfaces IPsec > Ajouter > Tunnel IPsec). Nommez le tunnel IPsec, par ex., l2tp_ipsec. Saisissez :
219
VPN
Rseau local : wan_ip Remote Network (rseau distant) : all-nets (tout rseau) Extrmit distante : (aucune) Encapsulation Mode (mode dencapsulation) : Transport IKE Proposal List (Liste de propositions IKE) : ike-roamingclients IPsec Proposal List (Liste de propositions IPsec) : esp-l2tptunnel Entrez 3 600 dans la commande en secondes IPsec Life Time (dure de vie IPsec). Entrez 250 000 dans la commande en kilo-octets IPsec Life Time (dure de vie IPsec). Sous longlet Authentication, slectionnez Pre-shared Key (Cl pr-partage). Slectionnez MyPSK dans la commande Pre-shared Key (Cl pr-partage). Sous longlet Routing (Routage), vrifiez les commandes suivantes : Autorisez DHCP sur IPsec partir des clients htes uniques. Ajoutez une route de faon dynamique au rseau distant lorsqu'un tunnel est tabli. Cliquez sur OK. Il est temps maintenant de configurer le serveur L2TP. Ladresse IP interne doit faire partie du rseau partir duquel des adresses IP sont attribues aux clients, dans ce lan_ip. Le filtre dinterface externe est l'interface sur laquelle le serveur L2TP acceptera des connexions ; il sagira de linterface 12tp_ipsec cre prcdemment. Un proxy ARP doit galement tre configur pour les IP utilises par les clients L2TP. C. Configurez le tunnel L2TP : Interface de ligne de commande
gw-world:/> add Interface L2TPServer l2tp_tunnel IP=lan_ip Interface=l2tp_ipsec ServerIP=wan_ip IPPool=l2tp_pool TunnelProtocol=L2TP AllowedRoutes=all-nets ProxyARPInterfaces=lan
Interface Web Slectionnez Interfaces > L2TP Servers > Add > L2TPServer (Interfaces > Serveurs L2TP > Ajouter > Serveur L2TP). Nommez le tunnel L2TP, par ex., l2tp_tunnel. Saisissez : Inner IP Address (Adresse IP interne) : lan_ip Tunnel Prococol (Protocole du tunnel) : L2TP Outer Interface Filter (Filtre dinterface externe) : l2tp_ipsec Adresse IP du serveur : wan_ip Sous longlet PPP Parameters (Paramtres PPP), cochez la commande Use User Authentication Rules (Utiliser les rgles dauthentification utilisateur). Slectionnez l2tp_pool dans la commande IP Pool (Groupe IP). Sous longlet Add Route (Ajouter un routage), slectionnez all_nets (tout rseau) dans la commande Allowed Networks (Rseaux autoriss).
220
VPN
Dans la commande ProxyARP, slectionnez linterface lan. Cliquez sur OK. Afin dauthentifier les utilisateurs laide du tunnel L2TP, une rgle dauthentification dutilisateur doit tre configure. D. Nous allons ensuite configurer les rgles dauthentification : Interface de ligne de commande
gw-world:/> add UserAuthRule AuthSource=Local Interface=l2tp_tunnel OriginatorIP=all-nets LocalUserDB=UserDB agent=PPP TerminatorIP=wan_ip name=L2TP_Auth
Interface Web Slectionnez User Authentication > User Authentication Rules > Add > UserAuthRule (Authentification utilisateur > Rgles dauthentification utilisateur > Ajouter > Rgle dauthentification utilisateur). Entrez un nom convenable pour la rgle, par exemple L2TP_Auth. Saisissez : Agent : PPP Authentication Source (Source de lauthentification) : Locale Interface : l2tp_tunnel Originator IP (Gnrateur dIP) : all-nets (tout rseau) Terminator IP (Terminateur dIP) : wan_ip Sous longlet Authentication Options (Options dauthentification), entrez UserDB comme base de donnes utilisateur locale. Cliquez sur OK. Lorsque les autres parties sont termines, il ne reste que les rgles. Pour permettre un trafic via le tunnel, deux rgles IP doivent tre ajoutes. E. Pour finir, configurez les rgles : Interface de ligne de commande
gw-world:/> add IPRule action=Allow Service=all_services SourceInterface=l2tp_tunnel SourceNetwork=l2tp_pool DestinationInterface=any DestinationNetwork=all-nets name=AllowL2TP gw-world:/> add IPRule action=NAT Service=all_services SourceInterface=l2tp_tunnel SourceNetwork=l2tp_pool DestinationInterface=any DestinationNetwork=all-nets name=NATL2TP
Interface Web Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Nommez la rgle, par exemple AllowL2TP. Saisissez : Action : Allow (Autoriser) Service : all_services (tous les services) Source Interface (Interface source) : l2tp_tunnel
221
VPN
Source Network (Rseau source) : l2tp_pool Destination Interface (Interface de destination) : any (nimporte lequel) Destination Network (Rseau de destination) : all-nets (tout rseau) Cliquez sur OK. Slectionnez Rules > IP Rules > Add > IPRule (Rgles > Rgles IP > Ajouter > Rgle IP). Nommez la rgle, par exemple NATL2TP. Saisissez : Action : NAT Service : all_services (tous les services) Source Interface (Interface source) : l2tp_tunnel Source Network (Rseau source) : l2tp_pool Destination Interface (Interface de destination) : any (nimporte lequel) Destination Network (Rseau de destination) : all-nets (tout rseau) Cliquez sur OK.
222
Chapitre 10. Gestion du trafic

Le prsent chapitre dcrit la manire dont NetDefendOS gre le trafic rseau.
Mise en forme du trafic

Introduction
Qualit de service (QoS) avec le protocole TCP/IP. Une relle fonction de qualit de service (QoS) fait dfaut au protocole TCP/IP. La qualit de service consiste garantir et limiter la bande passante du rseau pour certains services et utilisateurs. Des solutions telles que l'architecture de services diffrencis (Diffserv) ont t conues afin de traiter les problmes de qualit de service sur les rseaux grande chelle ; elles utilisent les informations contenues dans les en-ttes des paquets pour fournir aux priphriques rseau des informations de qualit de service. Prise en charge de Diffserv par NetDefendOS. NetDefendOS prend en charge l'architecture Diffserv de deux manires : premirement, il transfre les 6 bits composant le point de code de services diffrencis (DSCP) Diffserv, puis copie ces bits provenant du trafic de donnes des tunnels VPN vers les paquets encapsuls. Deuximement, comme indiqu plus loin dans ce chapitre, les bits DSCP peuvent tre utiliss par le sous-systme de mise en forme du trafic de NetDefendOS en tant que base de dfinition des priorits du trafic traversant un firewall D-Link. Solution de mise en forme du trafic. Les architectures semblables Diffserv se rvlent limites si les applications fournissent elles-mmes au rseau les informations de qualit de service. En rgle gnrale, dans la plupart des rseaux, il ne convient pas que les applications et les utilisateurs du rseau dcident de la priorit de leur trafic. Si les utilisateurs ne sont pas fiables, l'quipement rseau doit prendre les dcisions quant aux priorits et l'allocation de la bande passante. NetDefendOS permet le contrle de la qualit de service en autorisant l'administrateur appliquer des limites et des garanties au trafic rseau traversant un firewall D-Link. Cette approche, souvent intitule mise en forme du trafic, est parfaitement adapte la gestion de la bande passante des rseaux locaux, ainsi qu' la gestion des goulots d'tranglement potentiels dans les rseaux tendus. Elle peut s'appliquer n'importe quel trafic, y compris celui qui traverse des tunnels VPN. Objectifs de la mise en forme du trafic. La mise en forme du trafic consiste mesurer et placer en file d'attente les paquets IP en tenant compte du nombre de paramtres configurables. Les objectifs sont les suivants : Appliquer des limites de bande passante et placer en file d'attente les paquets qui dpassent les limites configures, puis les envoyer une fois que les demandes de bande passante ont diminu. Ignorer les paquets lorsque la mmoire tampon des paquets est sature. Les paquets ignorer doivent tre slectionns parmi ceux responsables de l'embouteillage . Dfinir la priorit du trafic, d'aprs les dcisions de l'administrateur. Si le trafic de priorit leve augmente alors qu'une ligne de transmission est sature, le trafic de faible priorit peut tre temporairement limit afin de librer de l'espace pour le trafic de priorit suprieure. Fournir des garanties de bande passante. En gnral, cette opration s'effectue en attribuant une priorit leve un certain volume de trafic (volume garanti). Le trafic dpassant le volume garanti prsente alors la mme priorit que n'importe quel autre trafic et se retrouve en concurrence avec le reste du trafic non prioritaire. En gnral, la mise en forme du trafic ne consiste pas placer en file d'attente d'importants volumes de donnes, puis trier le trafic prioritaire envoyer avant d'envoyer le trafic non prioritaire. En effet, le volume du trafic prioritaire est mesur et le trafic non prioritaire est limit de manire dynamique de telle sorte qu'il n'affecte pas le dbit du trafic prioritaire.
Mise en forme du trafic dans NetDefendOS
223
Gestion du trafic
NetDefendOS offre des fonctions compltes de mise en forme du trafic pour les paquets traversant un firewall D-Link. Il est possible de crer diffrentes rgles rgissant les limites de dbit et les garanties de trafic en fonction de la source, de la destination et du protocole du trafic, selon la mme procdure que pour la cration des ensembles de rgles IP. Dans NetDefendOS, les deux composants cls de la mise en forme du trafic sont les suivants : Les tuyaux Les rgles des tuyaux Tuyaux. Le tuyau est l'objet essentiel de la mise en forme du trafic. Il s'agit d'un tuyau conceptuel que les paquets de donnes peuvent traverser. Diffrentes caractristiques dfinissent le mode de gestion du trafic le traversant. L'administrateur peut dfinir autant de tuyaux que ncessaire ; aucun n'est dfini par dfaut. Les tuyaux sont sommaires dans le sens o ils ne se proccupent pas des types de trafic qui les traversent, ni de la direction du trafic. Ils se contentent de mesurer les donnes qui les traversent et d'appliquer les limites configures par l'administrateur au niveau du tuyau dans son intgralit ou alors au niveau des Priorits et/ou des Groupes (voir les explications ci-dessous). NetDefendOS est capable de grer simultanment des centaines de tuyaux, mais dans la plupart des cas, seul un nombre rduit est ncessaire. Toutefois, des douzaines de tuyaux peuvent tre ncessaires dans des scnarios o des tuyaux spcifiques sont utiliss pour des protocoles spcifiques (ou clients, dans le cas des FAI). Rgles des tuyaux. Les rgles des tuyaux constituent l'ensemble de rgles des tuyaux. Chaque rgle est dfinie comme les autres rgles de NetDefendOS, cest--dire en dfinissant l'interface source/destination et le rseau source/destination, ainsi que le service auquel la rgle doit s'appliquer. Lorsqu'une nouvelle connexion est autorise par l'ensemble de rgles IP, les rgles correspondantes de l'ensemble de rgles des tuyaux sont systmatiquement recherches de la mme manire, de haut en bas. Si des rgles correspondantes sont trouves, la premire d'entre elles est utilise pour la mise en forme du trafic. l'origine, l'ensemble de rgles de tuyaux est vierge. Lorsqu'une rgle de tuyau est dfinie, les tuyaux utiliser avec cette dernire sont galement dfinis, puis placs dans l'une des deux listes figurant dans la rgle de tuyau. Ces listes sont les suivantes : Chanage denvoi Il s'agit des tuyaux qui seront utiliss pour le trafic sortant via le firewall D-Link. Il est possible d'indiquer un ou plusieurs tuyaux, ou alors aucun. Chanage de rception Il s'agit des tuyaux qui seront utiliss pour le trafic entrant. Il est possible d'indiquer un ou plusieurs tuyaux, ou alors aucun.
Figure 10.1. Ensemble de rgles des tuyaux appliqu au flux de paquets des tuyaux
224
Gestion du trafic
Lorsqu'un tuyau est spcifi dans une liste, il s'agit de celui dont les caractristiques seront appliques au trafic. Lorsqu'un ensemble de tuyaux est spcifi, ces derniers forment une chane de tuyaux qui sera traverse par le trafic. Une chane peut tre compose d'un maximum de 8 tuyaux. Si aucun tuyau n'est spcifi dans une liste, le trafic correspondant la rgle ne traversera aucun tuyau. Par ailleurs, il ne sera soumis aucune autre rgle de tuyau trouve ultrieurement dans l'ensemble de rgles.
Limite simple de bande passante

La manire la plus simple d'utiliser les tuyaux est dans le cadre de la limite de la bande passante. Par ailleurs, ce scnario ncessite une planification minime. L'exemple ci-dessous applique une limite de bande passante un trafic entrant uniquement. Il s'agit de la direction la plus mme d'entraner des problmes au niveau des connexions Internet.
Exemple 10.1. Application dune limite simple de bande passante

Tout d'abord, crez un tuyau simple qui limite tout le trafic le traversant 2 mgabits par seconde, quel que soit le trafic. Interface de ligne de commande
gw-world:/> add Pipe std-in LimitKbpsTotal=2000
Interface Web Slectionnez Traffic Management > Traffic Shaping > Pipes > Add > Pipe (Gestion du trafic > Mise en forme du trafic > Tuyaux > Ajouter > Tuyau). Indiquez un nom adapt pour le tuyau, par exemple std-in. Saisissez 2000 dans la zone de texte Total. Cliquez sur OK. Le trafic doit traverser le tuyau ; pour ce faire, le tuyau est utilis dans une rgle de tuyau. Nous utiliserons le tuyau ci-dessus pour limiter le trafic entrant. Cette limite s'appliquera aux paquets de donnes rels et non aux connexions. Dans le cadre de la mise en forme du trafic, nous nous concentrons sur la direction de circulation des donnes et non sur l'ordinateur qui a dmarr la connexion. Crez une rgle simple autorisant tout trafic sortant. Nous ajoutons le tuyau cr au chanage de rception. En d'autres termes, les paquets circulant dans le sens de rception de cette connexion (trafic entrant) doivent traverser
225
Gestion du trafic
le tuyau std-in. Interface de ligne de commande

gw-world:/> add PipeRule ReturnChain=std-in SourceInterface=lan SourceNetwork=lannet DestinationInterface=wan DestinationNetwork=all-nets Service=all_services name=Outbound
Interface Web Slectionnez Traffic Management > Traffic Shaping > Pipes > Add > Pipe Rule (Gestion du trafic > Mise en forme du trafic > Tuyaux > Ajouter > Rgle de tuyau). Indiquez un nom adapt pour le tuyau, par exemple sortant. Saisissez : Service : all_services (tout service) Source Interface (Interface source) : lan Source Network (Rseau source) : lannet Destination Interface (Interface de destination) : wan Destination Network (Rseau de destination) : all-nets (tout rseau) Dans l'onglet Traffic Shaping (Mise en forme du trafic), slectionnez std-in dans la liste Return Chain (Chanage de rception). Cliquez sur OK. Ce paramtrage limite tout le trafic entrant (en provenance d'Internet) 2 mgabits par seconde. Aucune priorit ni quilibrage dynamique n'est appliqu.
Limite de la bande passante dans les deux directions

Un tuyau unique ne tient pas compte de la provenance du trafic le traversant lorsqu'il calcule le dbit total. NetDefendOS permet d'utiliser le mme tuyau la fois pour le trafic sortant et le trafic entrant ; toutefois, les limites du tuyau ne seront pas clairement partitionnes entre les deux directions. Le scnario suivant illustre ce point. Dans l'exemple prcdent, seule la bande passante entrante est limite. Nous choisissons cette direction car dans la plupart des paramtrages, il s'agit de celle qui sature en premier. prsent, nous souhaitons limiter la bande passante sortante de la mme faon. Le simple fait d'insrer le tuyau std-in dans le chanage denvoi ne fonctionnera pas tant donn que vous souhaiterez probablement que la limite 2 Mbps du trafic sortant soit distincte de la limite 2 Mbps du trafic entrant. Si nous tentons de faire traverser 2 Mbps de trafic et 2 Mbps de trafic entrant dans le tuyau, on obtient alors 4 Mbps. tant donn que la limite du tuyau est 2 Mbps, vous pourrez obtenir environ 1 Mbps dans chaque direction. Le fait d'augmenter la limite totale du tuyau 4 Mbps ne rsoudra pas le problme tant donn que le tuyau unique ignorera qu'il tait prvu 2 Mbps de trafic entrant et 2 Mbps de trafic sortant. En effet, le rsultat obtenu peut donner un trafic sortant de 3 Mbps et un trafic entrant de 1 Mbps, ce qui revient galement 4 Mbps. Pour contrler la bande passante dans les deux directions, il est recommand d'utiliser deux tuyaux distincts : l'un pour le trafic entrant et l'autre pour le trafic sortant. Dans le prsent scnario, il s'agirait de limiter chaque tuyau 2 Mbps pour atteindre le rsultat escompt. L'exemple suivant prsente le paramtrage correspondant.
Exemple 10.2. Limite de la bande passante dans les deux directions

Crez un deuxime tuyau pour le trafic sortant :
226
Gestion du trafic

gw-world:/> add Pipe std-out LimitKbpsTotal=2000
Interface Web Slectionnez Traffic Management > Traffic Shaping > Pipes > Add > Pipe (Gestion du trafic > Mise en forme du trafic > Tuyaux > Ajouter > Tuyau). Indiquez un nom pour le tuyau, par exemple std-out. Saisissez 2000 dans la zone de texte Total. Cliquez sur OK. Aprs avoir cr un tuyau pour le contrle de la bande passante, ajoutez-le au chanage denvoi de la rgle cre dans l'exemple prcdent. Interface de ligne de commande
gw-world:/> set PipeRule Outbound ForwardChain=std-out
Interface Web Slectionnez Traffic Management > Traffic Shaping > Pipe Rules (Gestion du trafic > Mise en forme du trafic > Rgles des tuyaux). Cliquez avec le bouton droit de la souris sur la rgle de tuyau cre dans l'exemple prcdent, puis cliquez sur Edit (Modifier). Dans l'onglet Traffic Shaping (Mise en forme du trafic), slectionnez std-out dans la liste Forward Chain (Chanage denvoi). Cliquez sur OK. Toutes les connexions sortantes sont alors limites 2 Mbps dans chaque direction.
Cration de limites diffrencies avec des chanes

Dans les exemples prcdents, une limite de trafic statique est applique toutes les connexions sortantes. prsent, nous souhaitons limiter la navigation Web davantage que le reste du trafic. Il est possible dans ce cas de dfinir deux tuyaux de navigation pour le trafic entrant et le trafic sortant. Cependant, nous n'aurons vraisemblablement pas limiter le trafic sortant. En effet, la navigation est en gnral compose de courtes requtes sortantes suivies de longues rponses entrantes. Imaginons que la bande passante totale est limite 250 kbps, dont 125 kbps sont allous au trafic entrant de la navigation Web. Dans ce cas, un tuyau de navigation entrante est paramtr pour le trafic entrant, avec une limite de 125 kbps. Ensuite, une nouvelle rgle de tuyau est paramtre pour la navigation utilisant le tuyau de navigation entrante, puis est place avant la rgle rgissant tout le reste qui traverse le tuyau std-in. De cette manire, le trafic de navigation traverse le tuyau de navigation entrante et tout le reste est gr par la rgle et le tuyau crs prcdemment. Malheureusement, l'effet recherch n'est pas atteint, c'est--dire l'allocation d'un maximum de 125 kbps au trafic entrant de navigation compris dans le total de 250 kbps. En effet, le trafic entrant traversera l'un des deux tuyaux : celui autorisant 250 kbps ou celui autorisant 125 kbps, pour un total potentiel de 375 kbps de trafic entrant. Pour rsoudre ce problme, nous crons dans la rgle de tuyau du trafic de navigation une chane compose du tuyau de navigation entrante suivi du tuyau std-in. De cette faon, le trafic entrant de navigation traversera tout d'abord le tuyau de navigation entrante et sera limit 125 kbps maximum. Il traversera ensuite le tuyau std-in avec le reste du trafic entrant, ce qui permettra d'appliquer la limite totale de 250 kbps. Si la navigation utilise la limite de 125 kbps maximum, ces 125 kbps occuperont la moiti du tuyau std-in et ne laisseront que 125 kbps pour le reste du trafic. Si aucune navigation n'a lieu, l'intgralit des 250 kbps allous au tuyau std-in sera disponible pour le reste du trafic.
227
Gestion du trafic
Il ne s'agit pas d'une garantie de bande passante pour la navigation Web, mais d'une garantie de bande passante de 125 kbps pour tout ce qui ne concerne pas la navigation Web. Dans le cadre de la navigation Web, les rgles standard du premier arriv, premier transfr s'appliquent en cas de concurrence sur la bande passante. On peut alors obtenir 125 kbps, mais aussi une vitesse bien plus lente si la connexion est sature. Ce type de paramtrage des tuyaux permet uniquement de limiter les valeurs maximum de certains types de trafic et non de dfinir les priorits des diffrents types de trafic en concurrence.
Priorits
Tous les paquets qui traversent les tuyaux de mise en forme du trafic NetDefendOS sont associs une priorit. Dans les exemples prcdents, les priorits ne sont pas explicitement dfinies, de telle sorte que tous les paquets ont la mme priorit par dfaut, savoir 0. Il existe huit priorits, numrotes de 0 7, la priorit 0 tant la moins importante et la priorit 7 la plus importante. On peut considrer une priorit comme une file d'attente distincte du trafic ; le trafic de priorit 2 est transfr avant le trafic de priorit 0 et le trafic de priorit 4 avant celui de priorit 2. La signification propre d'une priorit provient du fait qu'elle est soit suprieure, soit infrieure une autre priorit. Par exemple, si l'on utilise deux priorits dans un scnario, le fait de slectionner les priorits 4 et 6 au lieu des priorits 0 et 3 ne fera aucune diffrence.
Figure 10.2. Les huit priorits de tuyau
Affectation des priorits. Le mode d'affectation de la priorit un paquet est dtermin par la rgle de tuyau qui contrle ce dernier et peut tre effectu de trois manires : Use the precedence of the first pipe (Utiliser la priorit du premier tuyau) : chaque tuyau est associ une priorit par dfaut et les paquets prennent la priorit par dfaut du premier tuyau qu'ils traversent. Use the allocated precedence (Utiliser la priorit affecte) : la rgle de tuyau affecte une priorit de manire explicite. Use the DSCP bits (Utiliser les bits DSCP) : la priorit provient des bits DSCP contenus dans le paquet. Le DSCP est un sous-ensemble de l'architecture Diffserv o les bits ToS (type de service) sont inclus dans l'en-tte du paquet IP. Priorits des tuyaux. Lors de la configuration d'un tuyau, il est possible d'indiquer une priorit par dfaut, une priorit minimum et une priorit maximum. La priorit par dfaut est celle que prend un paquet si la priorit n'est pas affecte de manire explicite par une rgle de tuyau (voir paragraphe prcdent). Les priorits minimum et maximum dfinissent la plage de priorits gre par le tuyau. Si la priorit affecte un paquet entrant est infrieure la valeur minimum, elle est modifie pour tre gale la priorit minimum. De mme, si la priorit affecte un paquet entrant est suprieure la valeur maximum, elle est modifie pour tre gale la priorit maximum. Au niveau de chaque tuyau, des limites de bande passante distinctes peuvent ventuellement tre indiques pour chaque niveau de priorit. Ces limites peuvent tre spcifies en kilobits par seconde et/ou en paquets par seconde
228
Gestion du trafic
(si vous spcifiez les deux, la premire limite atteinte sera utilise). En cas d'utilisation des priorits, la limite totale du tuyau dans son intgralit doit tre indique, de telle sorte que le tuyau connaisse sa capacit et, par consquent, sache quand les priorits sont utilises. La priorit meilleur effort . La priorit dfinie en tant que priorit de tuyau minimum a un sens particulier : elle joue le rle de priorit meilleur effort . Tous les paquets entrants ce niveau de priorit sont toujours traits selon le principe du premier arriv, premier transfr et ne peuvent pas tre envoys un autre niveau de priorit. Les paquets prsentant une priorit suprieure et qui dpassent les limites de cette priorit sont automatiquement transfrs vers la priorit meilleur effort et ne sont plus traits diffremment des paquets prsentant une priorit infrieure. Cette approche est utilise dans la mesure o une limite de priorit traduit galement une garantie de cette priorit.
Figure 10.3. Priorits de tuyau minimum et maximum
Les priorits n'ont aucun impact tant que la bande passante totale alloue un tuyau n'est pas atteinte, cest--dire tant que le tuyau n'est pas plein . ce stade, le trafic est hirarchis par NetDefendOS et les paquets de priorit suprieure sont envoys avant ceux de priorit infrieure. En effet, les paquets de priorit infrieure sont mis en mmoire tampon. Si l'espace de la mmoire tampon sature, ils sont supprims. Application des priorits. Nous ajoutons l'exemple prcdent l'exigence suivante : la priorit du trafic SSH et Telnet doit tre suprieure celle du reste du trafic. Pour ce faire, nous crons une rgle de tuyau tout spcialement pour le trafic SSH et Telnet et lui affectons une priorit suprieure, soit 2. Nous y indiquons les mmes tuyaux que ceux utiliss pour le reste du trafic. Par consquent, la rgle SSH et Telnet affecte la priorit suprieure aux paquets associs ces services et ces paquets sont envoys via le mme tuyau que le reste du trafic. Ensuite, le tuyau vrifie que ces paquets de priorit suprieure sont les premiers tre envoys lorsque la limite de bande passante totale indique dans la configuration du tuyau est dpasse. Les paquets de priorit infrieure sont alors mis en mmoire tampon, puis envoys lorsque le trafic de haute priorit utilise une bande passante infrieure au maximum dfini pour le tuyau. Ce processus de mise en mmoire tampon est galement appel rduction de l'encombrement dans la mesure o il rduit le dbit. Le besoin de garanties. Si le trafic prioritaire est un flux continu (par exemple, communication audio en temps rel), un problme peut toutefois survenir et entraner l'utilisation continue de toute la bande passante disponible et, par consquent, provoquer des temps d'attente considrables pour les autres services tels que la navigation, DNS ou FTP. Dans ce cas, il est ncessaire de garantir que le trafic de priorit infrieure bnficie d'une portion de la bande passante ; cela peut tre ralis grce aux garanties de bande passante.
229
Gestion du trafic
Garanties
Les garanties de bande passante assurent qu'une portion minimum de la bande passante est disponible pour une priorit donne. Pour cela, une limite maximum est spcifie pour la priorit d'un tuyau. Il s'agit de la portion maximum de bande passante admise par la priorit et qui sera envoye avant les priorits infrieures. Le trafic dpassant cette limite sera envoy au niveau de priorit meilleur effort , c'est--dire la priorit la plus basse. Pour modifier le trafic SSH et Telnet hirarchis de l'exemple prcdent et lui appliquer une garantie de 96 kbps, vous affectez 96 kbps la limite de priorit 2 du tuyau std-in. Cela ne signifie pas que le trafic entrant SSH et Telnet est limit 96 kbps. En effet, les limites de priorits suprieures la priorit meilleur effort limitent uniquement le volume du trafic qui circule dans la priorit concerne. Si le trafic entrant de priorit 2 est suprieur 96 kbps, le trafic excdentaire sera affect la priorit meilleur effort . L'intgralit du trafic de priorit meilleur effort est ensuite transfr selon le principe du premier arriv, premier transfr .
Remarque
Le fait de dfinir une limite maximum pour la priorit la plus basse ( meilleur effort ) ou pour toute autre priorit infrieure n'est d'aucune utilit et n'est pas pris en compte par NetDefendOS.
Garanties diffrencies
Un problme se soulve lorsque vous souhaitez attribuer une garantie de bande passante de 32 kbps au trafic Telnet et de 64 kbps au trafic SHH. Il est alors possible de dfinir une limite de 32 kbps pour la priorit 2 et une limite de 64 kbps pour la priorit 4, puis de faire circuler les diffrents types de trafic dans leurs priorits respectives. Cette approche prsente cependant deux problmes vidents : Quel trafic est le plus important ? Cette question ne pose pas de problme majeur dans ce cas, mais peut devenir stratgique mesure que votre scnario de mise en forme du trafic devient plus complexe. Le nombre de priorits est limit. Ce nombre peut tre insuffisant dans certains cas et faire obstacle au problme prcdent concernant l'importance du trafic. Dans ce cas, la solution consiste crer deux nouveaux tuyaux : l'un pour le trafic Telnet et l'autre pour le trafic SHH (comme le tuyau de navigation cr prcdemment). Tout d'abord, supprimez la limite de 96 kbps du tuyau std-in, puis crez deux nouveaux tuyaux : ssh-in et telnet-in. Attribuez aux deux tuyaux la priorit par dfaut 2, ainsi que les limites de priorit 2 respectives, soit 32 kbps et 64 kbps. Ensuite, divisez la rgle dfinie prcdemment pour la plage de ports 22 23 en deux rgles couvrant respectivement le port 22 et le port 23. Conservez la valeur std-out pour le chanage denvoi des deux rgles. Ici aussi et dans le but de simplifier cet exemple, nous nous concentrerons uniquement sur le trafic entrant car il s'agit de la direction la plus mme de saturer dans les configurations orientes client. Attribuez au chanage de rception de la rgle du port 22 la valeur ssh-in suivie de std-in. Attribuez au chanage de rception de la rgle du port 23 la valeur telnet-in suivie de std-in. Pour ces deux rgles, slectionnez Use the precedence of the first pipe (Utiliser la priorit du premier tuyau) pour l'affectation des priorits, afin que les valeurs par dfaut du premier tuyau soient utilises. La valeur par dfaut des tuyaux ssh-in et telnet-in est 2. l'inverse du codage en dur de la priorit 2 dans l'ensemble de rgles, cette approche vous permet de changer facilement la priorit de l'intgralit du trafic SSH et Telnet en modifiant la priorit par dfaut des tuyaux ssh-in et telnet-in. Notez que nous n'avons pas dfini de limite totale pour les tuyaux ssh-in et telnet-in. Cela n'est pas ncessaire dans la mesure o la limite totale sera applique par le tuyau std-in l'extrmit des chanes respectives.
230
Gestion du trafic
Les tuyaux ssh-in et telnet-in agissent en tant que filtre de priorit : ils garantissent que seul le total rserv, respectivement 64 kbps et 32 kbps, du trafic de priorit 2 atteindra le tuyau std-in. Le trafic SSH et Telnet dpassant la garantie atteindra le tuyau std-in avec une priorit 0, c'est--dire la priorit meilleur effort des tuyaux std-in et ssh-in.
Remarque
ce niveau, l'ordre des tuyaux dans le chanage de rception est important. En effet, si le tuyau std-in apparat avant les tuyaux ssh-in et telnet-in, le trafic atteint std-in au niveau de priorit le plus bas et entre alors en concurrence avec le reste du trafic pour les 250 kbps de bande passante disponible.
Groupes
NetDefendOS fournit une prcision accrue du contrle au sein des tuyaux. En effet, il permet de diviser la bande passante des tuyaux en fonction du rseau source/destination du paquet, de l'adresse IP, du port ou de l'interface. Cette opration est synonyme de cration de groupes, o les membres d'un groupe, parfois appels utilisateurs, peuvent tre soumis des limites et des garanties. En rgle gnrale, on utilise cette division du trafic en vue de crer des groupes par adresse IP ou par interface. En cas de cration de groupes par port, l'adresse IP est implicitement incluse de telle sorte que le port 1024 de l'ordinateur A est diffrent du port 1024 de l'ordinateur B et les connexions spcifiques sont identifiables. Si vous choisissez de crer des groupes par rseau, vous devez galement indiquer la taille du rseau (mme signification que le masque rseau). Scnario de groupes simple. Si la limite de bande passante totale d'un tuyau est de 400 bps et que vous souhaitez allouer cette bande passante plusieurs adresses IP de destination de sorte qu'aucune adresse IP ne puisse bnficier de plus de 100 bps de la bande passante, slectionnez le groupement Per DestIP (Par IP de destination) et saisissez une limite totale correspondante de 100 bps. La bande passante est alors alloue selon le principe du premier arriv, premier transfr et aucune adresse IP de destination ne peut recevoir plus de 100 bps. Quel que soit le nombre de connexions impliques, la bande passante totale combine ne peut toujours pas dpasser la limite de 400 bps dfinie pour le tuyau.
Figure 10.4. Trafic group par adresses IP
Au lieu d'indiquer une limite totale de groupe, vous pouvez galement activer l'option Dynamic Balancing (quilibrage dynamique). Cette option permet de garantir que la bande passante disponible est divise de manire gale entre toutes les adresses quel qu'en soit le nombre et ce, jusqu' la limite du tuyau. Si une limite totale de
231
Gestion du trafic
100 bps est galement indique pour les groupes, comme ci-dessus, alors aucun utilisateur ne pourra obtenir une capacit suprieure celle de la bande passante. Limites et garanties des groupes. Outre l'indication d'une limite totale pour les utilisateurs des groupes, il est possible de spcifier des limites pour chaque prfrence. Si l'on indique pour les utilisateurs des groupes une limite de 30 bps pour la priorit 2, cela signifie que les utilisateurs associs une priorit 2 par une rgle de tuyau bnficieront d'une garantie de 30 bps, quel que soit le nombre d'utilisateurs sur le tuyau. De la mme manire qu'avec les priorits de tuyau standard, le trafic des utilisateurs de priorit 2 dpassant les 30 bps est affect la priorit meilleur effort . En nous basant sur l'exemple prcdent, il est possible de limiter la quantit de bande passante garantie obtenue par chaque utilisateur interne pour le trafic entrant SSH. Cela permet d'empcher qu'un utilisateur utilise l'intgralit de la bande passante disponible de priorit leve. Tout d'abord, nous groupons les utilisateurs du tuyau ssh-in de sorte que des limites s'appliquent chaque utilisateur du rseau interne. Les paquets tant entrants, nous slectionnons le groupement Per DestIP (Par IP de destination) pour le tuyau ssh-in. Nous indiquons ensuite les limites par utilisateur, en affectant 16 kbps la limite de priorit 2 pour chacun. En d'autres termes, chaque utilisateur pourra obtenir une garantie de 16 kbps maximum pour le trafic SSH. Si vous le souhaitez, il est galement possible de limiter la bande passante totale du groupe pour chaque utilisateur, par exemple 40 kbps. Un problme survient lorsque plus de 5 utilisateurs utilisent le SSH simultanment : 16 kbps multipli par 5 donne un rsultat suprieur 64 kbps. La limite totale du tuyau sera toujours active et chaque utilisateur sera en concurrence pour la bande passante disponible de priorit 2, ainsi que pour la bande passante de basse priorit. Certains utilisateurs continueront obtenir les 16 kbps, d'autres non. Il est possible d'activer l'quilibrage dynamique pour amliorer cette situation et garantir que les 5 utilisateurs obtiennent la mme quantit de bande passante limite. Lorsque le cinquime utilisateur commence gnrer du trafic SSH, l'quilibrage abaisse la limite par utilisateur environ 13 kbps (64 kbps divis par 5 utilisateurs). L'quilibrage dynamique intervient sparment dans chaque priorit d'un tuyau. En d'autres termes, si les utilisateurs se voient attribuer une petite portion de trafic de priorit leve et une plus grande quantit de trafic de priorit meilleur effort , tous obtiendront leur part du trafic de priorit leve ainsi qu'une part quitable du trafic de priorit meilleur effort .
Recommandations
Importance de paramtrer une limite de tuyau. La mise en forme du trafic n'est effective que lorsqu'un tuyau NetDefendOS est plein, cest--dire lorsque le trafic qui le traverse a atteint la limite totale autorise. Si un tuyau de 500 kbps transporte 400 kbps de trafic de faible priorit et 90 kbps de trafic de priorit leve, il reste alors 10 kbps de bande passante. Il n'y a donc pas lieu de procder une rduction de l'encombrement. Il est toutefois important de prciser une limite totale pour un tuyau, de sorte que ce dernier connaisse sa capacit, dont le mcanisme des priorits dpend totalement. Limites de tuyau pour VPN. La mise en forme du trafic permet de mesurer le trafic circulant dans les tunnels VPN. Il s'agit des donnes brutes non chiffres, sans aucun protocole ; ainsi, leur volume est infrieur au trafic VPN rel. Les protocoles VPN tels qu'IPsec (Internet Protocol Security) peuvent ajouter une surcharge considrable aux donnes. Pour cette raison, il est recommand que les limites dfinies dans les tuyaux de mise en forme du trafic soient d'environ 20 % infrieures la bande passante relle disponible. Utilisation de la limite de groupe. Lorsqu'une limite totale de tuyau n'est pas spcifie, une limite de groupe peut alors tre utilise. La limite de bande passante est ensuite applique, par exemple, chaque utilisateur d'un rseau dont les utilisateurs doivent partager une ressource de bande passante fixe. Un FAI peut utiliser cette approche en vue de limiter la bande passante des utilisateurs individuels, en slectionnant le groupement Per DestIP (Par IP de destination). Il n'est pas important de savoir quand le tuyau est plein car la seule limite s'applique chaque utilisateur. En cas d'utilisation des priorits, le maximum du tuyau doit tre utilis. Les limites ne doivent pas dpasser la bande passante disponible. Si les limites de tuyau ont une valeur suprieure la bande passante dfinie, le tuyau ne pourra pas dterminer quand la connexion physique a atteint sa capacit maximum. Si la connexion atteint 500 kbps et que la limite totale de tuyau est dfinie 600 kbps, le tuyau
232
Gestion du trafic
estimera qu'il n'est pas plein et par consquent ne rduira pas l'encombrement des priorits infrieures. Les limites doivent tre lgrement infrieures la bande passante disponible. La valeur dfinie pour les limites de tuyau doit tre lgrement infrieure la bande passante du rseau. Il est recommand d'attribuer la limite de tuyau 95 % de la limite physique. La ncessit de cet cart s'attnue mesure que la bande passante disponible augmente ; en effet, 5 % reprsente alors une portion encore plus importante du total. Une limite infrieure de tuyau est utile dans le cadre du traitement du trafic par NetDefendOS. Pour les connexions sortantes, o les paquets quittent le firewall D-Link, il existe toujours la possibilit que NetDefendOS surcharge lgrement la connexion en raison des retards logiciels entrans par la dcision d'envoyer les paquets et les paquets rellement expdis des mmoires tampons. Pour les connexions entrantes, le contrle est moindre quant au trafic entrant et devant tre trait par le sous-systme de mise en forme du trafic ; par consquent, il est plus important de dfinir des limites de tuyau lgrement infrieures la limite de connexion relle de faon prendre en compte le temps ncessaire NetDefendOS pour s'adapter l'volution des conditions. Attaques visant la bande passante. La mise en forme du trafic ne peut pas contrer les attaques en force des ressources entrantes, telles que les attaques par dni de service ou les attaques par inondation. NetDefendOS empche ces paquets parasites d'atteindre les htes situs derrire le firewall D-Link, mais ne peut pas protger la connexion en surcharge vise par une attaque par inondation. Surveillance des fuites. Lorsque vous effectuez les paramtrages visant protger et mettre en forme un goulot d'tranglement du rseau, assurez-vous que l'intgralit du trafic traversant ce goulot d'tranglement traverse galement les tuyaux NetDefendOS dfinis. Si du trafic non dtect par les tuyaux passe par votre connexion Internet, ces derniers ne peuvent pas savoir quand la connexion Internet est sature. Les problmes causs par les fuites sont exactement identiques ceux rencontrs dans les scnarios dcrits ci-dessus. Lorsque du trafic s'chappe sans avoir t mesur par les tuyaux, il se produit les mmes consquences que lorsque la bande passante est absorbe par des tiers non contrls par l'administrateur mais qui partagent la mme connexion. Dpannage. Pour mieux comprendre ce qui se passe dans une configuration active, vous pouvez utiliser la commande console suivante :
pipe -u <pipename>
Cette commande vous permet d'afficher la liste des utilisateurs actuellement actifs dans chaque tuyau.
Rcapitulatif de la mise en forme du trafic

La mise en forme du trafic NetDefendOS fournit un ensemble sophistiqu de mcanismes pour le contrle et la hirarchisation des paquets rseau. Les points suivants rcapitulent son utilisation : Slection du trafic grer via les rgles des tuyaux. Les rgles des tuyaux envoient le trafic via les tuyaux. Une limite peut tre dfinie pour un tuyau et correspondre la quantit de trafic maximum autorise. Un tuyau peut dterminer qu'il est plein uniquement si une limite est spcifie. Un seul tuyau doit grer le trafic dans une seule direction (mme si les tuyaux bidirectionnels sont autoriss). Les tuyaux peuvent tre mis en chane de sorte que le trafic d'un tuyau alimente un autre tuyau. Certains types de trafic peuvent tre associs une priorit dans un tuyau. Les priorits peuvent se voir attribuer une limite maximum, qui correspond une garantie. Le trafic qui dpasse cette limite est envoy au niveau de priorit minimum, ou priorit meilleur effort .
233
Gestion du trafic
Tous les paquets de priorit meilleur effort sont traits selon le principe du premier arriv, premier transfr . Dans un tuyau, le trafic peut tre divis par groupes, par adresse IP source, par exemple. Chaque utilisateur d'un groupe (par exemple, chaque adresse IP source) peut se voir attribuer une limite maximum. Les priorits d'un groupe peuvent tre associes une limite/garantie. Il est inutile de spcifier une limite de tuyau si les membres du groupe sont associs une limite maximum. L'quilibrage dynamique peut tre utilis pour indiquer que tous les utilisateurs d'un groupe obtiennent une quantit quitable de bande passante.
Rgles aux seuils

Prsentation
L'objectif d'une rgle au seuil est de fournir un moyen de dtection des activits anormales lies aux connexions et d'y rpondre. Par exemple, une activit anormale peut survenir lorsqu'un hte interne est infect par un virus qui se connecte de manire rpte des adresses IP externes, ou lorsqu'une source externe tente d'ouvrir un nombre excessif de connexions. (Dans ce contexte, une connexion correspond tous les types de connexion tels que TCP, UDP ou ICMP, suivis par le moteur d'tat NetDefendOS.) Une rgle au seuil est similaire une rgle standard. Il est possible de spcifier une combinaison interface source/destination et rseau source/destination pour une rgle et d'y associer un type de service, par exemple HTTP. Chaque rgle peut tre associe une ou plusieurs actions, qui indiquent comment grer les diffrentes conditions de seuil. Un seuil prsente les paramtres suivants : Action : rponse au dpassement de la limite : Audit ou Protect (Protger) Group By (Grouper par) : Host Based (Bas sur l'hte) ou Network Based (Bas sur le rseau) Threshold (Seuil) : limite numrique qui doit tre dpasse pour le dclenchement d'une rponse Threshold Type (Type de seuil) : limite les connexions par seconde ou limite le nombre total de connexions simultanes Tous ces paramtres sont dcrits ci-dessous.
Limite du taux de connexion / du nombre total de connexions

La fonction Connection Rate Limiting (Limite du taux de connexion) permet l'administrateur d'appliquer une limite au nombre de nouvelles connexions ouvertes par seconde dans le firewall D-Link. La fonction Total Connection Limiting (Limite du nombre total de connexions) permet l'administrateur d'appliquer une limite au nombre total de connexions ouvertes dans le firewall D-Link. Cette fonction est trs utile lorsque des groupes NAT sont requis en raison du nombre important de connexions gnres par des utilisateurs P2P.
Groupement
Les deux groupements suivants sont possibles : Host Based (Bas sur l'hte) : le seuil est appliqu sparment aux connexions dont les adresses IP diffrent. Network Based (Bas sur le rseau) : le seuil est appliqu toutes les connexions qui correspondent aux rgles.
Actions des rgles

Lorsqu'une rgle au seuil est dclenche, l'une des deux rponses suivantes est possible :
234
Gestion du trafic
Audit : laisser la connexion telle quelle mais consigner l'vnement. Protect (Protger) : interrompt la connexion dclenchante. La consignation est prfrable si la valeur de dclenchement approprie ne peut tre dtermine au pralable. On peut appliquer des actions multiples pour une rgle donne ; par exemple l'action peut tre Audit pour un seuil donn et devenir Protect (Protger) pour un seuil suprieur.
Actions multiples
Lorsqu'une rgle est dclenche, NetDefendOS effectue les actions associes qui correspondent la condition survenue. Si plusieurs actions correspondent la condition, elles sont alors appliques dans leur ordre d'apparition sur l'interface utilisateur. Si plusieurs actions associes la mme combinaison de type et de groupement (voir ci-dessus pour la dfinition de ces termes) sont dclenches au mme moment, seule l'action prsentant la valeur de seuil la plus leve sera consigne.
Connexions dispenses
Certains paramtres avancs intituls BeforeRules (Avant les rgles) peuvent empcher certains types de connexion de gestion distance d'tre examins par l'ensemble de rgles NetDefendOS. Ces paramtres dispensent galement les connexions des rgles aux seuils.
Rgles aux seuils et ZoneDefense

Les rgles aux seuils sont utilises dans la fonction ZoneDefense de D-Link afin de bloquer les tentatives de connexions excessives provenant des htes internes. Pour plus d'informations ce sujet, reportez-vous au chapitre 12, ZoneDefense.
Fonction de blacklisting des rgles aux seuils

Si l'option Protect (Protger) est slectionne, les rgles aux seuils peuvent tre configures de telle sorte que la source qui a dclench la rgle soit automatiquement ajoute une blacklist (liste noire) d'adresses IP ou de rseaux. Si plusieurs actions Protect (Protger) pour lesquelles la fonction de blacklisting est active sont dclenches au mme moment, seule la premire sera excute par NetDefendOS. Lorsque la fonction de blacklisting est active pour une action base sur l'hte, cette dernire ajoute la blacklist un seul hte lorsqu'elle est dclenche. Lorsque la fonction de blacklisting est active pour une action base sur le rseau, cette dernire ajoute la blacklist le rseau source associ la rgle. Si la rgle au seuil est associe un service, il est possible de bloquer ce service uniquement. Lorsque la fonction de blacklisting est active, l'administrateur peut dcider que les connexions existantes provenant de la source dclenchante peuvent tre laisses telles quelles ou interrompues. Il est galement possible de paramtrer la dure, en secondes, pendant laquelle la source est mise sur liste noire. Cette option est dcrite en dtail dans la section intitule Blacklisting des htes et rseaux .
quilibrage du volume de trafic du serveur

Prsentation
La fonction d'quilibrage du volume de trafic du serveur (SLB) de NetDefendOS est un outil puissant qui permet d'amliorer les aspects suivants des applications rseau : Performances volutivit
235
Gestion du trafic
Fiabilit Facilit d'administration La fonction SLB permet de partager entre plusieurs serveurs les demandes de service rseau. Elle permet d'amliorer la fois les performances et l'volutivit des applications en permettant un cluster de serveurs (ou ferme de serveurs ) de grer un nombre de requtes bien plus important qu'un seul serveur. La figure ci-dessous illustre un scnario SLB habituel, o l'accs Internet aux applications est contrl par un firewall D-Link.
Figure 10.5. Exemple de configuration de l'quilibrage du volume de trafic du serveur
Outre l'amlioration des performances, la fonction SLB permet d'augmenter la fiabilit des applications rseau en surveillant activement les serveurs qui partagent la charge. La fonction SLB peut dtecter la dfaillance ou la congestion d'un serveur et cesse d'acheminer les requtes vers ce serveur jusqu' sa reprise ou jusqu' la rduction de la charge. La fonction SLB permet galement aux administrateurs rseau d'effectuer des tches de maintenance sur les serveurs ou les applications et ce, sans avoir interrompre les services. Chaque serveur peut tre redmarr, mis niveau, supprim ou remplac et de nouveaux serveurs et nouvelles applications peuvent tre ajouts ou dplacs sans affecter le reste de la grappe de serveurs ni manipuler les applications. Par ailleurs, la combinaison de la surveillance du rseau et de la rpartition de la charge offre un niveau supplmentaire de protection contre les attaques par dni de service. La fonction SLB de NetDefendOS est mise en uvre via l'utilisation des rgles SLB_SAT dans l'ensemble de rgles IP. Ces rgles proposent aux administrateurs plusieurs algorithmes visant rpartir la charge. Cela permet d'adapter au mieux la fonction SLB aux besoins du rseau. Lorsque vous utilisez la fonction SLB, pensez aux quatre lments suivants : les serveurs cible sur lesquels la charge doit tre quilibre ; le mode de rpartition de la charge ; l'algorithme SLB utilis ;
236
Gestion du trafic
le mode de surveillance. Tous ces points sont dcrits dans les sections suivantes.
Identification des serveurs

La premire tape consiste identifier les serveurs sur lesquels la charge doit tre quilibre. Il peut s'agir d'une grappe de serveurs, c'est--dire un cluster de serveurs paramtrs pour fonctionner comme un seul serveur virtuel . Vous devez indiquer les serveurs devant tre traits par la fonction SLB comme un seul serveur virtuel.
Mode de rpartition de la charge

Aucune mthode de rpartition du volume de trafic du serveur n'est idale pour tous les services. Chaque type de service prsente des besoins diffrents. L'administrateur peut configurer des rgles pour chaque service dans l'ensemble de rgles IP. La fonction SLB filtre ensuite le flux de paquets en fonction de ces rgles. La fonction SLB de NetDefendOS prend en charge les modes de rpartition suivants : Per-state Distribution (Rpartition par tat) La fonction SLB enregistre l'tat de toutes les connexions. L'intgralit de la session est ensuite rpartie sur un mme serveur. Ce mode garantit une transmission fiable des donnes pour cette session. IP Address Stickiness (Persistance de l'adresse IP) Toutes les connexions d'un client spcifique sont envoyes un mme serveur. Ce mode est particulirement important pour les services SSL tels que HTTPS, qui exigent une connexion constante un mme hte. Network Stickiness (Persistance du rseau) Ce mode est identique au prcdent hormis le fait que l'utilisation d'un masque de sous-rseau permet d'indiquer une plage d'htes de sous-rseau.
Algorithme de rpartition
Il existe plusieurs faons de dterminer comment une charge est partage sur une grappe de serveurs. La fonction SLB de NetDefendOS prend en charge les algorithmes suivants : Round Robin (RR) L'algorithme rpartit les nouvelles connexions entrantes vers une liste de serveurs tour de rle. Pour la premire connexion, l'algorithme choisit un serveur au hasard et lui affecte la connexion. Pour les connexions suivantes, l'algorithme se rpte dans la liste de serveurs et redirige la charge vers les serveurs, dans l'ordre. Quels que soient la capacit des serveurs ainsi que d'autres aspects les concernant (le nombre de connexions existantes sur un serveur et son temps de rponse, par exemple), tous les serveurs disponibles reoivent tour de rle la connexion suivante. Cet algorithme garantit que chaque serveur reoit le mme nombre de requtes ; par consquent, il est particulirement adapt aux grappes de serveurs prsentant des capacits identiques et dont les charges de traitement des requtes sont potentiellement similaires. Connection Rate (Taux de connexion) Cette algorithme prend en compte le nombre de requtes reu par chaque serveur sur un intervalle donn. La fonction SLB envoie la requte suivante au serveur ayant reu le moins de connexions durant cet intervalle. L'administrateur peut indiquer l'intervalle utiliser avec cet algorithme. Si l'algorithme Connection Rate (Taux de connexion) est utilis sans persistance, il se comporte de la mme manire que l'algorithme Round Robin, qui affecte les nouvelles connexions aux serveurs selon un ordre prcis. Il se comporte galement comme l'algorithme Round Robin sides clients avec une nouvelle adresse IP effectuent en permanence une connexion. L'utilisation de cet algorithme est rellement avantageuse avec les modes de rpartition persistance lorsque les clients effectuent plusieurs connexions. L'algorithme Connection Rate (Taux de connexion) garantit une rpartition des nouvelles connexions entre les serveurs aussi quitable que possible. Avant que l'intervalle
237
Gestion du trafic
n'atteigne le dlai d'expiration de persistance dfini, les nouvelles connexions entrantes provenant dune mme adresse IP qu'une connexion prcdente sont affectes au mme serveur. Les connexions associes une nouvelle adresse sont rediriges vers le serveur prsentant le taux de connexion le plus bas. Cet algorithme a pour objectif de rduire la charge des nouvelles connexions pour un serveur ; nanmoins, la rpartition peut s'avrer ingale si le client d'une adresse IP envoie un grand nombre de nouvelles connexions sur une courte priode et que les autres serveurs reoivent un nombre de connexions infrieur. Dans l'interface de gestion, la fentre de temps est variable pour le dcompte invers des secondes qui rcapitule le nombre de nouvelles connexions pour l'algorithme Connection Rate (Taux de connexion). Par dfaut, la valeur 10 est utilise, de sorte que le nombre de nouvelles connexions effectues sur chaque serveur au cours des 10 dernires secondes est enregistr. Un exemple est illustr dans la figure ci-dessous. Dans cet exemple, le firewall D-Link est charg d'quilibrer sur 2 serveurs les connexions de 3 clients associs des adresses diffrentes. Un mode de rpartition persistance est activ.
Figure 10.6. Connexions provenant de trois clients
Lorsque l'algorithme Round Robin est utilis, les premires requtes entrantes R1 et R2 du Client 1 sont affectes un serveur, disons le Serveur 1, conformment au mode persistance . La requte suivante, R3, du Client 2 est ensuite achemine vers le Serveur 2. Lorsque la requte R4 du Client 3 arrive, le Serveur 1 reprend son tour et se voit affecter R4.
Figure 10.7. Mode persistance et algorithme Round-Robin
Si l'on choisit d'utiliser l'algorithme Connection Rate (Taux de connexion), les requtes R1 et R2 sont envoyes vers le mme serveur en raison du mode persistance . Cependant, les requtes suivantes, R3 et R4, sont achemines vers un autre serveur tant donn que le nombre de nouvelles connexions sur chaque serveur dfini
238
Gestion du trafic
dans la fentre de temps est comptabilis pour la rpartition.
Figure 10.8. Mode persistance et algorithme Connection Rate (Taux de connexion)
Quel que soit l'algorithme choisi, le trafic est redirig vers d'autres serveurs en cas de dfaillance du serveur. la reprise du serveur, ce dernier peut tre automatiquement rintgr la grappe de serveurs et recevoir nouveau les requtes.
Surveillance de l'tat des serveurs

La fonction SLB utilise la surveillance de l'tat des serveurs pour vrifier en permanence la condition des serveurs dans une configuration SLB. La fonction SLB surveille diffrentes couches OSI afin de contrler le taux de connexion de chaque serveur, ainsi que son tat actuel. En cas de dfaillance du serveur et quel que soit l'algorithme utilis, la fonction SLB n'envoie plus de requtes vers ce serveur jusqu' sa reprise totale. La fonction SLB utilise la table de routage par dfaut, sauf si l'administrateur dfinit un emplacement de table de routage spcifique. La fonction SLB de D-Link fournit les modes de surveillance suivant : ICMP Ping (Ping ICMP) Fonctionne au niveau de la couche OSI 3. La fonction SLB excute la commande ping sur l'adresse IP de chaque serveur de la ferme. Cela permet de dtecter les serveurs dfaillants. TCP Connection (Connexion TCP) Fonctionne au niveau de la couche OSI 4. La fonction SLB tente de connecter chaque serveur un port spcifique. Par exemple, s'il est indiqu qu'un serveur excute les services Web sur le port 80, la fonction SLB envoie une requte TCP SYN ce port. Si la fonction SLB ne reoit pas de paquet TCP SYN/ACK en rponse, elle marque le port 80 de ce serveur comme dfaillant. La fonction SLB identifie les conditions pas de rponse, rponse normale ou rponse port ferm provenant des serveurs.
Rgles SLB_SAT
La dfinition de la rgle SLB_SAT dans l'ensemble de rgles IP constitue le composant cl de la configuration de la fonction SLB. Voici les tapes suivre : Dfinir un objet pour chaque serveur devant tre soumis la fonction SLB. Dfinir un groupe qui contient tous ces objets. Dfinir une rgle SLB_SAT dans l'ensemble de rgles IP qui se rapporte au groupe dfini et dans lequel tous les autres paramtres SLB sont dfinis. Dfinir une rgle supplmentaire qui copie l'interface source/destination et le rseau source/destination de la rgle SLB_SAT autorisant le trafic. Il peut exister une ou plusieurs combinaisons des lments suivants : ForwardFast
239
Gestion du trafic
Allow (Autoriser) NAT Le tableau ci-dessous prsente les rgles qui seraient dfinies dans le cadre d'un scnario typique o l'on quilibre le volume du trafic d'un ensemble de serveurs Web situs derrire un firewall D-Link. La rgle ALLOW permet aux clients externes d'accder aux serveurs Web. Nom de la rgle WEB_SLB WEB_SLB_ALW Type rgle SLB_SAT ALLOW de Interface source Rseau source any (toutes) any (toutes) all-nets rseau) all-nets rseau) Interface destination de Rseau destination ip_ext ip_ext de
(tout core (noyau) (tout core (noyau)
Si des clients se trouvent sur le mme rseau que les serveurs Web et qu'ils doivent aussi accder ces derniers, une rgle NAT est galement utilise : Nom de la rgle WEB_SLB WEB_SLB_NAT WEB_SLB_ALW Type rgle SLB_SAT NAT ALLOW de Interface source Rseau source any (toutes) lan any (toutes) all-nets rseau) lannet all-nets rseau) Interface destination de Rseau destination ip_ext ip_ext ip_ext de
(tout core (noyau) core (noyau) (tout core (noyau)
Notez que l'interface de destination est indique en tant que core , ce qui signifie que NetDefendOS s'en charge lui-mme. L'avantage cl d'une rgle distincte ALLOW est que les serveurs Web peuvent consigner l'adresse IP exacte qui gnre les requtes. Si l'on utilise uniquement une rgle NAT, ce qui est possible, les serveurs Web peuvent uniquement voir l'adresse IP du firewall D-Link.
Exemple 10.3. Configuration de la fonction SLB

Dans cet exemple, l'quilibrage du volume du trafic de serveur doit s'effectuer entre 2 serveurs Web HTTP situs derrire un firewall D-Link. Ces deux serveurs Web sont respectivement associs aux adresses IP prives 192.168.1.10 et 192.168.1.11. Les valeurs SLB par dfaut sont utilises pour la surveillance, le mode de rpartition et la persistance . Une rgle NAT est utilise avec la rgle SLB_SAT, de telle sorte que les clients situs derrire le firewall puissent accder aux serveurs Web. Une rgle ALLOW est utilise pour autoriser l'accs aux clients externes. Interface Web A. Crez un objet pour chaque serveur Web : Slectionnez Objects > Address Book > Add > IP Address (Objets > Carnet d'adresses > Ajouter > Adresse IP). Saisissez un nom adapt, par exemple server1. Saisissez l'adresse IP 192.168.1.10. Cliquez sur OK. Rptez l'opration ci-dessus de faon crer un objet intitul server2 pour l'adresse IP 192.168.1.11. B. Crez un groupe contenant les deux objets de serveur Web : Slectionnez Objects > Address Book > Add > IP4 Group (Objets > Carnet d'adresses > Ajouter > Groupe IP4). Saisissez un nom adapt, par exemple server_group.
240
Gestion du trafic
Ajoutez au groupe les objets server1 et server2. Cliquez sur OK. C. Spcifiez la rgle IP SLB_SAT : Slectionnez Rules > IP Rule Sets > main > Add > IP Rule (Rgles > Ensembles de rgles IP > principal > Ajouter > Rgle IP). Saisissez les lments suivants : Name (Nom) : Web_SLB Action : SLB_SAT Service : HTTP Source Interface (Interface source) : any (toutes) Source Network (Rseau source) : all-nets (tout rseau) Destination Interface (Interface de destination) : core (noyau) Destination Network (Rseau de destination) : ip_ext Slectionnez l'onglet SAT SLB. Sous Server Addresses (Adresses des serveurs), ajoutez server_group la valeur Selected (Slection). Cliquez sur OK. D. Spcifiez une rgle IP NAT correspondante pour les clients internes : Slectionnez Rules > IP Rule Sets > main > Add > IP Rule (Rgles > Ensembles de rgles IP > principal > Ajouter > Rgle IP). Saisissez les lments suivants : Name (Nom) : Web_SLB_NAT Action : NAT Service : HTTP Source Interface (Interface source) : lan Source Network (Rseau source) : lannet Destination Interface (Interface de destination) : core (noyau) Destination Network (Rseau de destination) : ip_ext Cliquez sur OK. E. Spcifiez une rgle IP ALLOW pour les clients externes : Slectionnez Rules > IP Rule Sets > main > Add > IP Rule (Rgles > Ensembles de rgles IP > principal > Ajouter > Rgle IP). Saisissez les lments suivants : Name (Nom) : Web_SLB_ALW Action : ALLOW
241
Gestion du trafic
Service : HTTP Source Interface (Interface source) : any (toutes) Source Network (Rseau source) : all-nets (tout rseau) Destination Interface (Interface de destination) : core (noyau) Destination Network (Rseau de destination) : ip_ext Cliquez sur OK.
242
Chapitre 11. Haute disponibilit

Le prsent chapitre prsente la fonction de tolrance aux pannes de haute disponibilit des firewalls D-Link.
Prsentation
High Availability (HA) est une fonction de tolrance aux pannes disponibles sur certains modles de firewalls D-Link. Actuellement, les firewalls offrant cette fonction sont les modles DFL-1600 et DFL-2500. Les licences prinstalles pour ces modles incluent la prise en charge de la fonction HA. Clusters HA. La fonction High Availability (HA) de D-Link consiste ajouter un firewall D-Link de sauvegarde esclave un firewall matre existant. Le matre et l'esclave sont connects l'un l'autre et composent un cluster HA logique. L'une des units d'un cluster est active tandis que l'autre est inactive et en mode veille. Au dpart, l'esclave est inactif et surveille le matre. S'il dtecte une absence de rponse du matre, un failover (basculement) a lieu et l'esclave devient actif. Par la suite, si le matre retrouve ses pleines fonctionnalits, l'esclave reste actif et le matre surveille son tour l'esclave. Un nouveau failover (basculement) a lieu uniquement en cas de dfaillance de l'esclave. Ce processus est galement appel mise en uvre HA active-passive. Unit matre et unit active. N'oubliez pas que l'unit matre d'un cluster n'est pas toujours l'unit active. L'unit active correspond au firewall D-Link qui traite l'intgralit du trafic un moment donn. Elle peut galement tre l'unit esclave si un failover (basculement) a eu lieu en raison de la dfaillance du matre. Interconnexion. Dans un cluster, l'unit matre et l'unit esclave doivent tre directement connectes l'une l'autre via une connexion de synchronisation, que NetDefendOS considre comme l'interface de synchronisation. L'une des interfaces normales du matre et de l'esclave est ddie l'interconnexion et ces derniers sont connects l'un l'autre par le biais d'un cble crois. Gestion du cluster. Un cluster HA compos de deux firewalls D-Link est gr comme une unit unique, avec un nom de cluster unique, qui apparat dans l'interface de gestion comme un seul firewall D-Link logique. Les oprations d'administration, par exemple le changement des rgles dans l'ensemble de rgles IP, sont effectues normalement ; les modifications sont automatiquement apportes aux configurations du matre et de l'esclave. Partage de la charge. Les clusters HA D-Link ne proposent pas le partage de charge. En effet, une seule unit est active tandis que l'autre est inactive et il ne peut exister que deux firewalls D-Link, le matre et l'esclave, dans un mme cluster. La seule fonction de traitement effectue par l'unit inactive consiste rpliquer l'tat de l'unit active et de prendre sa charge le traitement de l'intgralit du trafic si elle dtecte une absence de rponse de l'unit active. Duplication du matriel. La fonction HA de D-Link fonctionne uniquement entre deux firewalls D-Link. Le fonctionnement interne des diffrents logiciels de passerelle de scurit tant compltement dissemblable, aucune mthode commune n'est disponible pour communiquer des informations d'tat un priphrique diffrent. Par ailleurs, il est fortement recommand que les firewalls D-Link utiliss dans le cluster prsentent la mme configuration. Il doivent galement disposer des mmes licences qui permettent des fonctions identiques, y compris la capacit d'oprer dans un cluster HA. Redondance tendue. La mise en uvre d'un cluster HA permet de supprimer un point de dfaillance dans un rseau. Toutefois, les routeurs, les switches et les connexions Internet peuvent reprsenter des points de dfaillance potentiels. Ils doivent par consquent tre examins. Les sections suivantes dcrivent en dtail la fonction High Availability (HA).
Mcanismes HA
La fonction HA de D-Link fournit une configuration matrielle redondante avec synchronisation des tats. L'tat de l'unit active, par exemple la table de connexion et d'autres informations cruciales, est en permanence copi vers l'unit inactive via l'interface de synchronisation. En cas de failover (basculement) du cluster, l'unit inactive est informe des connexions actives et le trafic peut se poursuivre.
243
Haute disponibilit
Le systme inactif repre que le systme actif n'est plus oprationnel lorsqu'il ne dtecte plus suffisamment de pulsations du cluster. Les pulsations sont envoyes vers l'interface de synchronisation, ainsi que vers les autres interfaces. NetDefendOS envoie 5 pulsations par seconde depuis le systme actif ; lorsque 3 pulsations sont manquantes (c'est--dire aprs 0,6 secondes), un failover (basculement) est mis en place. En envoyant les pulsations vers toutes les interfaces, l'unit inactive dispose d'une vue gnrale de l'tat de l'unit active. Mme lorsque la synchronisation est dlibrment dconnecte, le failover (basculement) peut ne pas survenir si l'unit inactive reoit suffisamment de pulsations des autres interfaces via un switch partag. Toutefois, l'interface de synchronisation envoie deux fois plus de pulsations que les interfaces normales. L'administrateur peut dsactiver l'envoi de pulsations au niveau de n'importe quelle interface. Les pulsations ne sont pas envoyes plus frquemment car des retards peuvent survenir au cours d'oprations normales. Par exemple, l'ouverture d'un fichier peut entraner des retards suffisamment importants pour que le systme inactif devienne actif, mme si l'autre systme est rest actif. Les pulsations de cluster prsentent les caractristiques suivantes : L'adresse IP source est l'adresse de l'interface du firewall source. L'adresse IP de destination est l'adresse IP partage. La dure de vie (TTL) a toujours pour valeur 255. Si NetDefendOS reoit une pulsation de cluster avec une dure de vie diffrente, on considre que le paquet a travers un routeur et quil nest par consquent pas fiable. Il s'agit d'un paquet UDP, envoy du port 999 au port 999. L'adresse MAC de destination est l'adresse Ethernet multidiffusion correspondant l'adresse matrielle partage. En d'autres termes, 11-00-00-C1-4A-nn. Pour plus de scurit, on utilise des multidiffusions de niveau lien la place des paquets normaux unicast ; en effet, avec l'utilisation de paquets unicast, il est possible qu'un pirate local leurre les switches pour dtourner les pulsations, de sorte que le systme inactif ne les reoive jamais. En gnral, le failover (basculement) prend environ une seconde ; par consquent, les clients peuvent rencontrer une lgre perte de paquets en rafale. Dans le cas du protocole TCP, la dure ncessaire au failover (basculement) ne dpasse pas le dlai d'attente normal de retransmission ; les paquets perdus sont alors retransmis trs rapidement et la communication se poursuit. Peu fiable par nature, le protocole UDP ne permet pas la retransmission. Le matre et l'esclave connaissent les adresses IP partages. Le systme actif rpond aux requtes ARP concernant l'adresse IP partage ou toute autre adresse IP publie via la section de configuration ARP ou le proxy ARP. L'adresse matrielle de l'adresse IP partage et des autres adresses publies n'est pas associe aux adresses matrielles des interfaces. Au lieu de cela, l'adresse MAC est cre par NetDefendOS partir de l'ID cluster au format suivant : 10-00-00-C1-4A-nn. La valeur nn provient de la combinaison de l'ID cluster configur dans la section des paramtres avancs et du bus/emplacement/port matriel de l'interface. L'ID cluster doit tre unique pour chaque cluster d'un rseau. tant donn que l'adresse matrielle de l'adresse IP partage est toujours la mme, aucun temps de latence n'est constat au moment du failover (basculement) lorsque les caches ARP des units associes au mme LAN que le cluster sont mis jour. Lorsqu'un membre d'un cluster dcouvre qu'un autre membre n'est pas oprationnel, il diffuse des requtes ARP gratuites sur toutes les interfaces, en utilisant l'adresse matrielle partage en tant qu'adresse d'expditeur. Cela permet aux switches de rassimiler en quelques millisecondes o envoyer les paquets destins l'adresse partage. Par consquent, le seul retard de failover (basculement) est caus par la dtection de l'unit active dfaillante. Les requtes ARP sont galement diffuses intervalles rguliers afin de garantir que les switches n'oublient pas o envoyer les paquets destins l'adresse matrielle partage.
Configuration de la fonction HA
Cette section prsente les tapes suivre pour configurer un cluster HA.
244
Haute disponibilit
Configuration matrielle
Commencez par vous procurer deux firewalls D-Link physiquement identiques. Ils peuvent tous deux tre neufs ou l'un d'eux peut avoir t achet en vue de servir d'unit de sauvegarde (en d'autres termes, d'unit esclave). Effectuez les connexions physiques : Connectez les interfaces correspondantes du matre et de l'esclave via un switch commun. Slectionnez une interface sur le matre et sur l'esclave, que les units utiliseront afin de se surveiller mutuellement. Ensuite, connectez-les ensemble laide dun cble crois Ethernet. Il s'agit de l'interface de synchronisation de NetDefendOS. Il est recommand d'utiliser la mme interface pour le matre et l'esclave si l'on considre qu'il s'agit de systmes similaires.
Figure 11.1. Configuration HA
L'illustration ci-dessus prsente les connexions typiques de cluster HA. Toutes les interfaces du matre doivent normalement tre prsentes sur l'esclave et tre connectes aux mmes rseaux. Pour cela, vous devez connecter via un switch les mmes interfaces du matre et de l'esclave aux autres parties du rseau. L'interface LAN du matre et celle de l'esclave doivent tre connectes au mme switch, qui se connecte son tour un rseau interne. De la mme faon, l'interface WAN du matre et celle de l'esclave doivent se connecter un switch, qui se connecte son tour l'Internet externe. Choisissez une adresse IP partage pour chaque interface du cluster. Certaines interfaces ne peuvent partager
245
Haute disponibilit
des adresses qu'avec celles qui prsentent galement des adresses individuelles uniques. Les adresses partages et les adresses uniques sont utilises comme suit : Les adresses uniques non partages servent communiquer avec les firewalls D-Link pour des fonctions telles que le contrle distance et la surveillance. Elles peuvent galement faire l'objet d'une commande ping. Elles ne doivent pas tre associes au trafic qui traverse le cluster. Si l'une des units est inoprante, l'adresse IP associe sera inaccessible. Le firewall propritaire de l'adresse IP rpond aux requtes ARP des adresses respectives l'aide de l'adresse matrielle normale, selon la mme procdure que pour les units IP normales. L'adresse IP partage qui est utilise pour le routage est galement l'adresse utilise par la traduction d'adresses dynamiques, sauf si la configuration indique explicitement une autre adresse.
Remarque
L'adresse IP partage ne doit pas tre utilise pour la gestion distance ou des fins de surveillance. Par exemple, lorsque vous utilisez SSH pour la gestion distance des firewalls D-Link dans un cluster HA, vous devez utiliser les adresses IP individuelles des firewalls.
Configuration de NetDefendOS
Les tapes suivantes concernent la configuration du logiciel NetDefendOS via l'interface utilisateur Web : Connectez-vous l'unit matre via l'interface utilisateur Web. Slectionnez System > High Availability (Systme > Haute disponibilit). Cochez la case Enable High Availability (Activer Haute disponibilit). Dfinissez l'ID cluster. Il doit tre unique pour chaque cluster. Choisissez l'interface de synchronisation. Slectionnez le type de nud Master (Matre). Slectionnez Objects > Address book (Objets > Carnet d'adresses) et crez un objet d'adresse HA IP4 pour chaque interface. Chaque objet doit contenir l'adresse IP du matre et de l'esclave. Slectionnez Interfaces > Ethernet, accdez chaque interface de la liste et saisissez l'adresse IP partage de chacune dans le champ IP Address (Adresse IP). Ensuite, slectionnez l'onglet Advanced (Avanc) pour chaque interface et indiquez dans le champ High Availability Private IP Address (Adresse IP prive haute disponibilit) le nom de l'objet HA IP4 dfini pour l'interface au cours de l'tape prcdente (NetDefendOS slectionne automatiquement l'adresse approprie partir des adresses IP matre et esclave dfinies pour l'objet). Rptez les tapes ci-dessus pour le deuxime Firewall D-Link, mais en slectionnant le type de nud Slave (Esclave). La configuration doit tre identique pour les deux firewalls D-Link. La configuration est automatiquement synchronise entre les units. Pour modifier la configuration, connectez-vous au matre ou l'esclave, apportez les modifications souhaites et procdez au dploiement. Les changements sont automatiquement rpercuts sur les deux units.
Vrification du fonctionnement du cluster

Pour vrifier le bon fonctionnement du cluster, utilisez tout d'abord une commande ha sur chaque unit. Le rsultat obtenu se prsentera comme suit pour le matre :
> ha This device is an HA MASTER This device is currently ACTIVE (will forward traffic) HA cluster peer is ALIVE
246
Haute disponibilit
Utilisez ensuite la commande stat pour vrifier que le matre et l'esclave prsentent tous deux peu prs le mme nombre de connexions. Le rsultat obtenu doit inclure une ligne comme suit :
Connections 2726 out of 128000
o le plus petit nombre correspond au nombre de connexions et le nombre le plus lev reprsente la limite de connexions de la licence. Vous devez galement tenir compte des points suivants pour la configuration du cluster : S'il ne s'agit pas du premier cluster d'un rseau, le paramtre avanc ClusterID (ID cluster) doit tre modifi de faon prsenter une valeur unique (la valeur par dfaut est 0). Cela permet de garantir que l'adresse MAC du cluster est unique. Il est galement recommand d'activer le paramtre HAUseUniqueSharedMacAddressPerInterface (HA, Utiliser une adresse MAC partage unique par interface), de sorte que chaque interface possde sa propre adresse MAC. Lorsque ce paramtre n'est pas activ, les interfaces partagent la mme adresse MAC, ce qui peut dsorienter certains switches. Assurez-vous que le paramtre avanc HighBuffers (Mmoire tampon importante) est dfini sur automatique sur toutes les units d'un cluster. Ce paramtre alloue de la mmoire pour la gestion des connexions. Lorsqu'un cluster prsente des dizaines de milliers de connexions simultanes, il peut tre ncessaire de dfinir une valeur suprieure la valeur automatique. Cependant, des valeurs bien plus importantes peuvent augmenter les temps de latence du dbit.
Problmes lis la fonction HA

Lors de la gestion et de la configuration d'un cluster HA, gardez l'esprit les points suivants : SNMP. Les statistiques SNMP ne sont pas partages entre le matre et l'esclave. Les gestionnaires SNMP ne disposent pas de fonctions de failover (basculement). Par consquent, les deux firewalls d'un cluster doivent tre interrogs sparment. Utilisation dadresses IP individuelles. Les adresses IP individuelles du matre et de l'esclave peuvent tre utilises sans risque uniquement pour la gestion. Si vous les utilisez pour autre chose (par exemple, pour les adresses IP source dans des connexions NAT dynamiques ou pour les services de publication de ces adresses), vous rencontrerez invitablement des problmes. En effet, les adresses IP uniques disparatront en mme temps que le firewall correspondant. Interfaces dfaillantes. Les interfaces dfaillantes ne sont pas dtectes tant que leur tat n'affecte pas le fonctionnement de NetDefendOS. Par consquent, aucun failover (basculement) n'a lieu si l'unit active peut continuer envoyer des pulsations l'unit inactive via l'une de leurs interfaces et ce, mme si une ou plusieurs interfaces est inoprante. Modification de l'ID cluster. Il est recommand de ne pas changer l'ID cluster dans un environnement de production pour deux raisons. Premirement, cela modifierait l'adresse matrielle des adresses IP partages et provoquerait des problmes pour toutes les units associes au LAN ; en effet, ces dernires conserveraient l'ancienne adresse matrielle dans leurs caches ARP jusqu' son expiration. Il faudrait alors nettoyer les caches ARP de ces units. Deuximement, cela interromprait la connexion entre les firewalls du cluster aussi longtemps qu'ils utilisent des configurations diffrentes. Les deux firewalls seraient alors actifs en mme temps. Totaux de contrle non valides dans les paquets de pulsations. Les paquets de pulsations sont dlibrment crs avec des totaux de contrle non valides, de sorte qu'ils ne soient pas achemins. Certains routeurs peuvent signaler ces totaux de contrle non valides dans leurs messages consigns.
247
Chapitre 12. ZoneDefense

Le prsent chapitre dcrit la fonction ZoneDefense de D-Link.
Prsentation
Grce la fonction ZoneDefense, un firewall D-Link peut contrler des switches connects en local. Vous pouvez utiliser cette fonction comme parade pour empcher qu'un ordinateur appartenant un rseau local et infect par un virus n'infecte son tour les autres ordinateurs de ce rseau. Lorsque des htes ou des clients d'un rseau se retrouvent infects par des virus ou par toute autre forme de code malveillant, ils prsentent souvent des comportements anormaux qui laissent prsager une telle infection (le plus frquemment, il s'agit de l'ouverture d'un grand nombre de nouvelles connexions pour des htes extrieurs). Grce la configuration des rgles avec seuil et la fonction ZoneDefense, vous pouvez bloquer de manire dynamique les htes ou les rseaux qui dpassent la valeur de seuil dfinie pour le nombre de connexions. Les seuils sont bass soit sur le nombre de nouvelles connexions tablies par seconde, soit sur le nombre total de connexions ouvertes. Ces connexions peuvent tre tablies par un seul hte ou par tous les htes inclus dans une plage d'adresses rseau CIDR (Classless Inter Domain Routing routage inter-domaine sans classe) spcifie. Les adresses IP incluses dans cette plage sont la combinaison d'une adresse IP et de son masque rseau associ. Lorsque NetDefendOS dtecte qu'un hte ou qu'un rseau a atteint la limite dfinie, il tlcharge via une liaison ascendante les rgles ACL (Access Control List - liste de contrle d'accs) vers les switches appropris : tout trafic destin l'hte ou au rseau qui prsente un comportement inhabituel est alors bloqu. Cet hte et ce rseau restent ainsi bloqus jusqu' ce que l'administrateur systme les dbloque manuellement l'aide de l'interface Web ou de l'interface de ligne de commande.
Remarque
La fonction ZoneDefense est propose avec les modles D-Link DFL-800/860/1600/2500.
Switches ZoneDefense
Vous devez prciser manuellement les informations de switch relatives chacun des switches qui sera contrl par le firewall lors de la configuration de ce dernier. Les informations requises pour contrler un switch sont les suivantes : L'adresse IP de l'interface de gestion du switch Le type de modle du switch La chane de communaut SNMP (accs en criture) La fonction ZoneDefense prend actuellement en charge les switches suivants : D-Link DES 3226S (version minimale du firmware : R4.02-B14) D-Link DES 3250TG (version minimale du firmware : R3.00-B09) D-Link DES 3326S (version minimale du firmware : R4.01-B39) D-Link DES 3350SR (version minimale du firmware : R1.02.035) D-Link DES 3526 (version minimale du firmware : R3.01-B23) D-Link DES 3550 (version minimale du firmware : R3.01-B23) D-Link DGS 3324SR (version minimale du firmware : R4.10-B15)
248
ZoneDefense
Remarque
Avant d'activer la fonction ZoneDefense, vrifiez que les switches sont dots des versions minimales requises pour le firmware.
Fonctionnement de ZoneDefense
SNMP
Le protocole SNMP (Simple Network Management Protocol) est un protocole de la couche d'application conu pour les cas complexes de gestion rseau. Le protocole SNMP permet aux gestionnaires et aux units gres d'un rseau de communiquer entre eux. Gestionnaires SNMP. Un priphrique de gestion type, tel qu'un firewall D-Link, se sert du protocole SNMP pour surveiller et contrler les priphriques rseau au sein de l'environnement gr. Le gestionnaire peut se servir de la chane de communaut SNMP pour interroger les statistiques enregistres relatives aux priphriques contrls. Cette chane est comparable un ID utilisateur ou un mot de passe ; elle permet d'accder aux informations sur l'tat du priphrique. Si la chane de communaut est de type write (accs en criture), le gestionnaire sera autoris modifier l'tat du priphrique. Priphriques grs. Ces priphriques doivent tre compatibles avec le protocole SNMP. C'est le cas des switches D-Link. Ils enregistrent les donnes relatives aux tats dans des bases de donnes appeles bases d'informations pour la gestion du rseau (MIB - Management Information Base), puis ils transmettent ces donnes au gestionnaire en rponse aux requtes SNMP de ce dernier.
Rgles avec seuil

Une rgle avec seuil va dclencher la fonction ZoneDefense pour qu'elle bloque un hte spcifique ou tout un rseau si le nombre de connexions dpasse la valeur limite dfinie dans la rgle. Cette limite peut tre de deux types : Limite base sur le taux de connexion : dclenchement de la fonction si le nombre par seconde de nouvelles connexions au firewall dpasse le seuil dfini. Limite base sur le nombre total de connexions : dclenchement de la fonction si le nombre total de nouvelles connexions au firewall dpasse le seuil dfini. Les rgles avec seuil sont dotes de paramtres comparables ceux des rgles IP. Ces paramtres dfinissent le type de trafic auquel s'applique la rgle avec seuil. Une rgle avec seuil spcifique est dote des paramtres suivants : Interface source et rseau source Interface de destination et rseau de destination Service Type de seuil : bas sur l'hte et/ou le rseau Si un trafic rpond aux critres prcdents et qu'il est la cause du dpassement du seuil dfini pour un hte/rseau, la fonction ZoneDefense va tre dclenche. Cette fonction va empcher cet hte/ce rseau d'accder aux switches. Tout blocage en rponse une violation de seuil sera bas sur l'adresse IP de l'hte ou du rseau sur les switches. Lorsqu'un seuil bas sur un rseau est dpass, c'est tout le rseau source qui se retrouve bloqu (et pas uniquement l'hte fautif). Pour obtenir une description gnrale de la dfinition et du fonctionnement des rgles avec seuil, reportez-vous la section intitule Rgles avec seuil .
Blocage manuel et listes d'exclusions
249
ZoneDefense
En complment des rgles avec seuil, vous pouvez galement dfinir manuellement des htes et des rseaux qui seront bloqus ou exclus de manire statique. Lorsque vous bloquez manuellement des htes et des rseaux, ce blocage peut tre effectu par dfaut ou en fonction d'une programmation. Vous pouvez galement prciser les protocoles et les numros de port de protocole qui doivent tre bloqus. Vous pouvez crer et utiliser des listes d'exclusions en vue de dsigner les htes qui ne devront pas tre bloqus lorsqu'une limite d'une rgle avec seuil est atteinte. Nous vous recommandons d'ajouter dans cette liste l'adresse IP ou MAC de l'interface du firewall qui se connecte au switch ZoneDefense. Cette prcaution vite le blocage accidentel du firewall.
Exemple 12.1. Un scnario ZoneDefense simple

L'exemple simple suivant illustre les tapes ncessaires pour configurer la fonction ZoneDefense. On suppose que toutes les interfaces du firewall ont dj t configures. Un seuil HTTP de dix (10) connexions par seconde est appliqu. Si le taux de connexion dpasse cette limite, le firewall bloquera l'hte spcifique (inclus dans la plage des adresses rseau 192.168.2.0/24, par exemple) qui ne pourra plus du tout accder au switch.
C'est le modle de switch D-Link DES-3226S qui est utilis dans cet exemple, avec l'adresse 192.168.1.250 pour l'interface de gestion qui se connecte l'adresse d'interface 192.168.1.1 du firewall. Cette interface de firewall est ajoute la liste des exclusions pour viter que le firewall ne puisse plus accder au switch pour cause de verrouillage. Interface Web Ajoutez un nouveau switch dans la section ZoneDefense : Slectionnez ZoneDefense > Switches > Add > ZoneDefense switch (ZoneDefense > Switches > Ajouter > Switch ZoneDefense). Saisissez les donnes suivantes : Name (Nom) : switch1 Switch model (Modle du switch) : DES-3226S IP Address (Adresse IP) : 192.168.1.250 Dans le champ SNMP Community (Communaut SNMP), saisissez la chane de communaut avec accs en criture configure pour le switch. Cliquez sur Check Switch (Vrifier le switch) pour vrifier que le firewall peut communiquer avec le switch et que la chane de communaut est correcte.
250
ZoneDefense
Cliquez sur OK. Ajoutez l'interface de gestion du firewall la liste d'exclusions : Slectionnez ZoneDefense > Exclude list (ZoneDefense > Liste d'exclusions). Dans la zone Addresses (Adresses), slectionnez le nom d'objet de l'adresse d'interface 192.168.1.1 du firewall dans la liste des lments disponibles (Available) et placez-le dans la liste des lments slectionns (Selected). Cliquez sur OK. Configurez un seuil HTTP gal dix (10) connexions par seconde : Slectionnez Traffic Management > Threshold Rules > Add > Threshold Rule (Gestion du trafic > Rgles avec seuil > Ajouter > Rgle avec seuil). Pour le paramtre Threshold Rule (Rgle avec seuil), saisissez les valeurs suivantes : Name (Nom) : HTTP-Threshold (Seuil HTTP) Service : http Pour l'option Address Filter (filtre d'adresse), saisissez les donnes suivantes : Source Interface (Interface source) : l'interface de gestion du firewall Destination Interface (Interface de destination) : any (n'importe lequel) Source Network (Rseau source) : 192.168.2.0/24 (ou le nom de l'objet) Destination Network (Rseau de destination) : all-nets (tout rseau) Cliquez sur OK. Prcisez le seuil, le type de seuil et l'action excuter en cas de dpassement de ce seuil : Slectionnez Add > Threshold Action (Ajouter > Action en cas de dpassement du seuil). Configurez l'action en cas de dpassement du seuil comme suit : Action : Protect (Protger) Group By (Regroupement) : Host-based (Bas sur l'hte) Threshold (Seuil) : 10 Slectionnez l'unit de valeur Connections/Second (Connexions par seconde) pour le seuil. Cochez la case Use ZoneDefense (Utiliser ZoneDefense). Cliquez sur OK.
Limites
La fonction ZoneDefense ne fonctionne pas toujours tout fait de la mme manire selon le modle de switch utilis. La premire diffrence se situe au niveau du temps de latence entre le dclenchement d'une rgle de blocage et le moment o les switches commencent rellement bloquer le trafic dtect par la rgle. Tous les modles de switch ne requirent qu'un court temps de latence afin de mettre en uvre le blocage une fois que la rgle est dclenche. Mais certains modles peuvent activer le blocage du trafic en moins d'une seconde, tandis que d'autres peuvent ncessiter une minute, voire plus. Une seconde diffrence rside au niveau du nombre maximal de rgles prises en charge par les diffrents switches. Certains switches prennent en charge au maximum 50 rgles, alors que d'autres peuvent en grer jusqu' 800
251
ZoneDefense
(gnralement, pour bloquer un hte ou un rseau, il faut une rgle par port de switch). Lorsque cette limite est atteinte, aucun autre hte ou rseau ne sera bloqu.
Important
La fonction ZoneDefense utilise une plage de la rgle ACL (Access Control List - liste de contrle d'accs) dfinie sur le switch. Pour viter tout conflit potentiel au niveau des rgles et pour garantir le contrle d'accs du firewall, il est fortement recommand que l'administrateur efface la totalit de la rgle ACL dfinie sur le switch avant de configurer la fonction ZoneDefense.
252
Chapitre 13. Paramtres avancs

Le prsent chapitre dcrit les paramtres avancs que vous pouvez configurer dans NetDefendOS. Ces paramtres sont classs par catgories, comme suit :
Remarque
Lorsque vous modifiez un paramtre avanc, vous devez reconfigurer le firewall D-Link afin de charger sur ce dernier la nouvelle configuration NetDefendOS et de mettre en uvre les valeurs nouvellement dfinies.
Paramtres IP
LogChecksumErrors
Consigne les occurrences des paquets IP qui contiennent des totaux de contrle errons. Normalement, ce type d'erreur survient cause de l'endommagement des paquets au cours de leur transfert sur le rseau. Toutes les units rseau (routeurs et postes de travail compris) ignorent ces paquets IP qui contiennent des erreurs de total de contrle. Mais il est toutefois fort peu probable qu'une attaque soit base sur des totaux de contrle illgaux. Valeur par dfaut : Enabled (Activ)
LogNonIP4
Consigne les occurrences des paquets IP dont la version est diffrente de la version 4. NetDefendOS n'accepte que les paquets IP version 4. Il ignore tous les autres. Valeur par dfaut : 256
LogReceivedTTL0
Consigne les occurrences des paquets IP reus avec la valeur 0 (zro) affecte au paramtre de dure de vie (paramtre TTL - Time To Live). Une unit rseau, quelle qu'elle soit, ne doit en aucun cas envoyer de paquets avec la valeur 0 associe au paramtre de dure de vie. Valeur par dfaut : Enabled (Activ)
Block0000Src
Bloque l'adresse source 0.0.0.0. Valeur par dfaut : Drop (Ignorer)
Block0Net
Bloque les adresses source de type 0.*. Valeur par dfaut : DropLog (Ignorer et consigner)
Block127Net
Bloque les adresses source de type 127.*. Valeur par dfaut : DropLog (Ignorer et consigner)
BlockMulticastSrc
Bloque les deux adresses source 224.0.0.0 et 255.255.255.255 multidiffusion.
253
Paramtres avancs
Valeur par dfaut : DropLog (Ignorer et consigner)
TTLMin
Indique la dure de vie (valeur TTL - Time To Live) minimale accepte pour les paquets reus. Valeur par dfaut : 3
TTLOnLow
Dtermine l'action excuter pour les paquets dont la dure de vie (valeur TTL - Time To Live) est infrieure la valeur TTLMin prcise. Valeur par dfaut : DropLog (Ignorer et consigner)
DefaultTTL
Indique la dure de vie (valeur TTL - Time To Live) que NetDefendOS doit appliquer lorsqu'il est la source mettrice d'un paquet envoy. Il s'agit en rgle gnrale d'une valeur comprise entre 64 et 255. Valeur par dfaut : 255
LayerSizeConsistency
Vrifie que les informations relatives la taille incluses dans une couche spcifique (Ethernet, IP, TCP, UDP et ICMP) sont cohrentes avec celles des autres couches. Valeur par dfaut : ValidateLogBad (Valider et consigner en cas de non-correspondance)
IPOptionSizes
Vrifie la taille des options IP . Ces options sont de petits blocs d'informations qui peuvent tre ajouts la fin de chaque en-tte IP. Cette fonction vrifie la taille des types d'option les plus connus et garantit qu'aucune de ces options ne dpasse la taille limite prcise dans l'en-tte IP lui-mme. Valeur par dfaut : ValidateLogBad (valider et consigner en cas de non-correspondance)
IPOPT_SR
Indique si les options de routage source sont autorises. Ces options permettent l'expditeur de contrler le mode d'acheminement du paquet via chaque routeur et firewall. Elles constituent un risque considrable pour la scurit. NetDefendOS n'obit jamais aux routes source dfinies par ces options, quelle que soit la valeur affecte au paramtre IPOPT_SR. Valeur par dfaut : DropLog (Ignorer et consigner)
IPOPT_TS
Grce aux options d'horodatage, vous pouvez configurer chacun des routeurs et firewalls prsents sur la route du paquet de sorte qu'ils indiquent l'heure laquelle ils ont transfr ce paquet vers sa destination suivante. Ces options ne sont pas appliques dans le cadre d'un trafic normal. Les options d'horodatage peuvent galement servir enregistrer la route emprunte par un paquet, depuis son expditeur jusqu sa destination finale. NetDefendOS n'entre jamais d'informations dans ces options, quelle que soit la valeur affecte au paramtre IPOPT_TS. Valeur par dfaut : DropLog (Ignorer et consigner)
IPOPT_OTHER
Toute option diffrente de celles prcises ci-avant.
254
Paramtres avancs
Valeur par dfaut : DropLog (Ignorer et consigner)
DirectedBroadcasts
Indique si NetDefendOS transfre les paquets qui ont pour cible l'adresse de diffusion de ses rseaux connects directement. Vous pourriez tout fait obtenir la mme fonctionnalit en ajoutant des lignes dans la section Rules (Rgles). Mais une option part entire a galement t incluse ici pour plus de simplicit. Ce type de validation spcialis est plus rapide (il vous vite de saisir des donnes dans la section Rules). Valeur par dfaut : DropLog (Ignorer et consigner)
IPRF
Indique ce que NetDefendOS doit faire s'il existe des donnes dans les champs rservs des en-ttes IP. Normalement, la valeur 0 (zro) doit tre affecte ces champs. Les techniques de prise d'empreinte des systmes d'exploitation (OS Fingerprinting) exploitent ces champs. Valeur par dfaut : DropLog (Ignorer et consigner)
StripDFOnSmall
limine l'indicateur DF (Don't Fragment ne pas fragmenter) pour les paquets dont la taille est infrieure ou gale celle prcise par ce paramtre. Valeur par dfaut : 65535 bytes (65 535 octets)
Paramtres TCP
TCPOptionSizes
Vrifie la taille des options TCP. Le fonctionnement de ce paramtre est comparable celui de la fonction IPOptionSizes dcrite prcdemment. Valeur par dfaut : ValidateLogBad (Valider et consigner en cas de non-correspondance)
TCPMSSMin
Dtermine la valeur minimale acceptable pour la taille maximale des segments TCP (valeur MSS Maximum Segment Size). Les paquets contenant des segments dont la taille maximale est infrieure cette limite sont grs conformment au paramtre ci-aprs. Valeur par dfaut : 100 bytes (100 octets)
TCPMSSOnLow
Dtermine l'action excuter pour les paquets dont la valeur de la taille maximale des segments TCP est infrieure la valeur affecte au paramtre TCPMSSMin. Des valeurs trop faibles pourraient engendrer des problmes au niveau des piles TCP mal rdiges. Valeur par dfaut : DropLog (Ignorer et consigner)
TCPMSSMax
Dtermine la valeur maximale acceptable pour la taille maximale des segments TCP (valeur MSS Maximum Segment Size). Les paquets contenant des segments dont la taille maximale est suprieure cette limite sont grs conformment au paramtre ci-aprs. Valeur par dfaut : 1460 bytes (1 460 octets)
255
Paramtres avancs
TCPMSSVPNMax
Comme pour le paramtre TCPMSSMax, il s'agit de la valeur maximale autorise pour la taille maximale des segments (valeur MSS Maximum Segment Size). Toutefois, ce paramtre ne contrle que la taille maximale des segments dans le cas de connexions VPN (Virtual Private Network). Ainsi, NetDefendOS peut rduire la taille relle des segments utilise par le protocole TCP dans toutes les connexions VPN. Cela rduit la fragmentation TCP sur la connexion VPN, mme si les htes ne savent pas comment dterminer la taille maximale des segments pouvant tre transmis (valeur MTU - Maximum Transmission Unit). Valeur par dfaut : 1400 bytes (1 400 octets)
TCPMSSOnHigh
Dtermine l'action excuter pour les paquets dont la valeur de la taille maximale des segments TCP (valeur MSS Maximum Segment Size) est suprieure la valeur affecte au paramtre TCPMSSMax. Des valeurs trop leves pourraient engendrer des problmes au niveau des piles TCP mal rdiges ou gnrer une grande quantit de paquets fragments, ce qui nuira aux performances. Valeur par dfaut : Adjust (Ajuster)
TCPMSSAutoClamping
Fixe automatiquement la taille maximale des segments TCP (valeur MSS Maximum Segment Size) en fonction de la taille maximale des segments pouvant tre transmis (valeur MTU - Maximum Transmission Unit) dfinie pour les interfaces impliques, en plus du paramtre TCPMSSMax. Valeur par dfaut : Enabled (Activ)
TCPMSSLogLevel
Dtermine quand consigner les paquets dont la taille maximale des segments TCP est trop leve (valeur MSS Maximum Segment Size), s'ils ne sont pas dj consigns en fonction du paramtre TCPMSSOnHigh. Valeur par dfaut : 7000 bytes (7 000 octets)
TCPZeroUnusedACK
Dtermine si NetDefendOS doit affecter la valeur 0 au champ du numro de squence ACK des paquets TCP, si ce champ n'est pas utilis. Certains systmes d'exploitation dvoilent ainsi des informations sur les numros de squence. Cette caractristique pourrait tre exploite par des intrus qui voudraient dtourner des connexions tablies. Valeur par dfaut : Enabled (Activ)
TCPZeroUnusedURG
limine les pointeurs de donnes urgentes (URG) de tous les paquets. Valeur par dfaut : Enabled (Activ)
TCPOPT_WSOPT
Dtermine la manire dont NetDefendOS traite les options d'ajustement dynamique des fentres (WSOPT Window-Scaling Options). Ces options servent augmenter la taille des fentres utilises par le protocole TCP, c'est--dire accrotre la quantit d'informations pouvant tre transfres sans transmission d'accus de rception l'expditeur. Mais elles sont galement exploites par les techniques de prise d'empreinte des systmes d'exploitation (OS Fingerprinting). Ces options d'ajustement dynamique des fentres sont couramment rencontres dans les rseaux modernes. Valeur par dfaut : ValidateLogBad (Valider et consigner en cas de non-correspondance)
256
Paramtres avancs
TCPOPT_SACK
Dtermine la manire dont NetDefendOS traite les options d'accus de rception slectif (SACK Selective Acknowledgement). Ces options servent accuser rception de paquets spcifiques et non de sries entires de paquets, ce qui peut accrotre les performances pour les connexions pour lesquelles le taux de perte de paquets est important. Mais elles sont galement exploites par les techniques de prise d'empreinte des systmes d'exploitation (OS Fingerprinting). Les options d'accus de rception slectif sont couramment rencontres dans les rseaux modernes. Valeur par dfaut : ValidateLogBad (Valider et consigner en cas de non-correspondance)
TCPOPT_TSOPT
Dtermine la manire dont NetDefendOS traite les options d'horodatage (TSOPT - Time Stamp Options). Comme le stipule la mthode de protection contre les numros de squence encapsuls (mthode PAWS - Protect Against Wrapped Sequence numbers), les options d'horodatage servent empcher que les numros de squence (nombre cod sur 32 bits) ne dpassent leur limite suprieure sans que le destinataire n'en soit averti. Cela ne constitue normalement pas un problme. Grce au paramtre TSOPT, certaines piles TCP optimisent leur connexion en mesurant le temps qui s'coule pour qu'un paquet soit transmis vers et depuis sa destination. Cette information peut ensuite tre utilise pour acclrer le rythme des renvois par rapport aux prcdents. Mais elle est galement exploite par les techniques de prise d'empreinte des systmes d'exploitation (OS Fingerprinting). Les options d'horodatage sont couramment rencontres dans les rseaux modernes. Valeur par dfaut : ValidateLogBad (Valider et consigner en cas de non-correspondance)
TCPOPT_ALTCHKREQ
Dtermine la manire dont NetDefendOS traite les options de demande de totaux de contrle de remplacement (ALTCHKREQ - Alternate Checksum Request). la base, ces options ont t conues pour la ngociation afin d'utiliser des totaux de contrle optimum dans les en-ttes TCP. Toutefois, ces options ne sont pas comprises par tous les systmes standard actuels. Comme NetDefendOS ne peut pas comprendre les algorithmes de total de contrle diffrents de l'algorithme standard, il ne peut jamais accepter ces options. L'option ALTCHKREQ n'est normalement jamais rencontre dans les rseaux modernes. Valeur par dfaut : StripLog (liminer et consigner)
TCPOPT_ALTCHKDATA
Dtermine la manire dont NetDefendOS traite les options de donnes de totaux de contrle de remplacement (ALTCHKDATA - Alternate Checksum Data). Ces options sont utilises pour le transport des totaux de contrle de remplacement, lorsque l'option ALTCHKREQ l'autorise. Vous ne devriez normalement jamais rencontrer ces options sur des rseaux modernes. Valeur par dfaut : StripLog (liminer et consigner)
TCPOPT_CC
Dtermine la manire dont NetDefendOS traite les options de dcompte de connexions. Valeur par dfaut : StripLogBad (liminer et consigner en cas de non-correspondance)
TCPOPT_OTHER
Dfinit la manire dont NetDefendOS traite les autres options TCP, non traites dans les paramtres ci-dessus. Vous ne devriez normalement jamais rencontrer ces options dans les rseaux modernes. Valeur par dfaut : StripLog (liminer et consigner)
TCPSynUrg
257
Paramtres avancs
Dfinit la manire dont NetDefendOS traite les paquets TCP pour lesquels les indicateurs de synchronisation (SYN) et de donnes urgentes (URG) sont activs simultanment. La prsence d'un indicateur SYN indique qu'une nouvelle connexion est en train d'tre tablie et l'indicateur URG signifie que le paquet contient des donnes qui requirent une attention particulire de toute urgence. Ces deux indicateurs ne doivent pas tre activs pour un mme paquet, car ils ne sont utiliss que pour nuire aux ordinateurs dont les piles TCP ne bnficient pas d'une mise en uvre satisfaisante. Valeur par dfaut : DropLog (Ignorer et consigner)
TCPSynPsh
Dfinit la manire dont NetDefendOS traite les paquets TCP pour lesquels les indicateurs de synchronisation (SYN) et de transmission immdiate (PSH - Push) sont activs simultanment. L'indicateur PSH signifie que la pile du destinataire doit immdiatement transmettre les informations incluses dans le paquet l'application de destination prsente sur l'ordinateur. Ces deux indicateurs ne doivent pas tre activs en mme temps, car cela pourrait prsenter un risque potentiel de panne pour les piles TCP qui ne bnficient pas d'une mise en uvre satisfaisante. Toutefois, de nombreux ordinateurs Macintosh ne mettent pas en uvre l'en-tte TCP correctement. En d'autres termes, ils envoient systmatiquement des paquets SYN avec l'indicateur PSH activ. Aussi, c'est pour cette raison que NetDefendOS supprime normalement l'indicateur PSH et qu'il autorise le transfert du paquet, alors qu'il devrait logiquement l'ignorer. Valeur par dfaut : StripSilent (liminer en silence)
TCPFinUrg
Dfinit comment NetDefendOS traite les paquets TCP pour lesquels les indicateurs de fin de connexion (FIN Finish) et de donnes urgentes (URG) sont activs simultanment. Cela ne devrait normalement jamais se produire. En effet, logiquement, vous ne tentez pas de mettre fin une connexion qui doit en mme temps transmettre des donnes importantes . Cette association d'indicateurs pourrait servir pour gnrer une panne lorsque la mise en uvre des piles TCP n'est pas satisfaisante. Elle est galement exploite par les techniques de prise d'empreinte des systmes d'exploitation (OS Fingerprinting). Valeur par dfaut : DropLog (Ignorer et consigner)
TCPUrg
Dfinit la manire dont NetDefendOS traite les paquets TCP pour lesquels l'indicateur de donnes urgentes (URG) est activ, indpendamment de tout autre indicateur. De nombreuses piles TCP et applications ne traitent pas les indicateurs URG de manire adquate et risquent, dans le pire des cas, de ne plus fonctionner. Notez toutefois que certains programmes (FTP et MS SQL Server, par exemple) se servent presque systmatiquement de cet indicateur URG. Valeur par dfaut : StripLog (liminer et consigner)
TCPECN
Dfinit la manire dont NetDefendOS traite les paquets TCP pour lesquels l'indicateur Xmas ou l'indicateur Ymas est activ. l'heure actuelle, ces indicateurs sont la plupart du temps exploits par les techniques de prise d'empreinte des systmes d'exploitation (OS Fingerprinting). Remarque : la toute prochaine norme de notification explicite de congestion (norme ECN - Explicit Congestion Notification) utilise galement ces indicateurs TCP. Mais tant que le nombre de systmes d'exploitation qui peuvent prendre en charge cette norme restera faible, ces indicateurs devront tre supprims. Valeur par dfaut : StripLog (liminer et consigner)
TCPRF
Dfinit la manire dont NetDefendOS traite les informations prsentes dans le champ rserv de l'en-tte TCP (il doit normalement s'agir de la valeur 0). Ce champ est diffrent des indicateurs Xmas et Ymas. Les techniques
258
Paramtres avancs
de prise d'empreinte des systmes d'exploitation (OS Fingerprinting) exploitent ces champs. Valeur par dfaut : DropLog (Ignorer et consigner)
TCPNULL
Dfinit la manire dont NetDefendOS traite les paquets TCP pour lesquels aucun des indicateurs SYN, ACK, FIN ou RST n'est activ. Conformment la norme TCP, ces paquets sont illgaux et sont utiliss aussi bien par les techniques de prise d'empreinte des systmes d'exploitation (OS Fingerprinting) que par les techniques de balayage furtif des ports, tant donn que certains firewalls sont incapables de les dtecter. Valeur par dfaut : DropLog (Ignorer et consigner)
TCPSequenceNumbers
Ce paramtre dtermine si, avant de transfrer le segment, il convient de comparer la plage des numros de squence occupe par un segment TCP et la fentre de rception annonce par l'hte de rception. Si la valeur ValidateLogBad ou ValidateSilent est affecte ce paramtre, les segments qui ne correspondent pas la fentre de rception annonce par l'hte de rception sont ignors. Si la valeur ValidateLogBad est affecte ce paramtre, ces abandons seront galement consigns. La validation du numro de squence TCP n'est possible que pour les connexions dont le suivi est assur par le moteur d'tat (pas pour les paquets transmis l'aide d'une rgle FwdFast). Valeur par dfaut : ValidateLogBad (Valider et consigner en cas de non-correspondance)
Paramtres ICMP
ICMPSendPerSecLimit
Dfinit le nombre maximal de messages ICMP (Internet Control Message Protocol) que NetDefendOS peut gnrer par seconde. Ces messages comprennent les rponses ping, les messages de type Destination Unreachable (Destination injoignable), ainsi que les paquets de rinitialisation RST (Reset) TCP. En d'autres termes, ce paramtre limite le nombre de rejets par seconde que les rgles Reject (Rejeter) de la section Rules (Rgles) peuvent gnrer. Valeur par dfaut : 20 par seconde
SilentlyDropStateICMPErrors
Dfinit si NetDefendOS doit ignorer en silence les erreurs ICMP qui appartiennent des connexions ouvertes et dont le suivi est assur de manire dynamique. Si ces erreurs ne sont pas ignores par ce paramtre, elles sont transmises la rgle dfinie en vue de leur valuation, comme tout autre paquet. Valeur par dfaut : Enabled (Activ)
Paramtres ARP
ARPMatchEnetSender
Dtermine si NetDefendOS requiert que l'adresse de l'expditeur au niveau Ethernet soit conforme l'adresse du matriel signale dans les donnes ARP (Address Resolution Protocol). Valeur par dfaut : DropLog (Ignorer et consigner)
ARPQueryNoSenderIP
Dtermine ce qu'il faut faire des requtes ARP (Address Resolution Protocol) dont l'expditeur a l'adresse IP 0.0.0.0. De telles adresses IP d'expditeur ne sont jamais valides dans les rponses. Mais les units
259
Paramtres avancs
rseau qui ne connaissent pas encore leur adresse IP mettent parfois des interrogations ARP avec une adresse IP d'expditeur non spcifie . Valeur par dfaut : DropLog (Ignorer et consigner)
ARPSenderIP
Dtermine si l'adresse IP de l'expditeur doit tre conforme aux rgles dfinies dans la section Access (Accs). Valeur par dfaut : Validate (Valider)
UnsolicitedARPReplies
Dtermine la manire dont NetDefendOS traite les rponses ARP (Address Resolution Protocol) qui ne sont associes aucune interrogation. Conformment la spcification ARP, le destinataire doit les accepter. Toutefois, tant donn que cette obligation peut favoriser le dtournement des connexions locales, cette acceptation n'est gnralement pas autorise. Valeur par dfaut : DropLog (Ignorer et consigner)
ARPRequests
Dtermine si NetDefendOS ajoute automatiquement les donnes des requtes ARP (Address Resolution Protocol) dans sa table ARP. Selon la spcification ARP, il convient de procder ainsi. Mais comme cette procdure risque de favoriser le dtournement des connexions locales, cet ajout n'est gnralement pas autoris. Mme lorsque la valeur Drop (Ignorer) est affecte au paramtre ARPRequests (c'est--dire que le paquet est ignor sans tre enregistr), NetDefendOS rpond quand mme au paquet ( condition que les autres rgles dfinies acceptent cette demande). Valeur par dfaut : Drop (Ignorer)
ARPChanges
Dtermine la manire dont NetDefendOS traite les cas o une rponse ou une demande ARP (Address Resolution Protocol) reues entraneraient la modification d'un lment existant de la table ARP. Le fait d'autoriser cette opration risque de favoriser le dtournement des connexions locales. Toutefois, si on ne l'autorise pas, cela peut gnrer des problmes si, par exemple, un adaptateur rseau est remplac, car NetDefendOS n'acceptera pas la nouvelle adresse tant que l'entre de la table ARP prcdente n'est pas arrive expiration. Valeur par dfaut : AcceptLog (Accepter et consigner)
StaticARPChanges
Dtermine la manire dont NetDefendOS traite les cas o une rponse ou une demande ARP (Address Resolution Protocol) reues entraneraient la modification d'un lment statique de la table ARP. Cela n'est, bien sr, jamais autoris. Par contre, grce ce paramtre, vous pouvez prciser si ces cas doivent ou non tre consigns. Valeur par dfaut : DropLog (Ignorer et consigner)
ARPExpire
Dfinit la dure de conservation d'un lment dynamique normal de la table ARP (Address Resolution Protocol) avant dtre supprim de la table. Valeur par dfaut : 900 secondes (15 minutes)
ARPExpireUnknown
Prcise la dure pendant laquelle NetDefendOS va conserver en mmoire les adresses injoignables. Cela permet de s'assurer que NetDefendOS ne sollicite pas indfiniment de telles adresses.
260
Paramtres avancs
Valeur par dfaut : 3 secondes
ARPMulticast
Dtermine la manire dont NetDefendOS traite les demandes et les rponses ARP (Address Resolution Protocol) qui dclarent que leurs adresses sont des adresses multidiffusion. Ces dclarations ne sont jamais correctes (c'est le cas de certains priphriques d'quilibrage de la charge et de redondance qui utilisent des adresses multidiffusion de la couche matrielle). Valeur par dfaut : DropLog (Ignorer et consigner)
ARPBroadcast
Dtermine la manire dont NetDefendOS traite les demandes et les rponses ARP (Address Resolution Protocol) qui dclarent que leurs adresses sont des adresses de diffusion. Ces dclarations ne sont jamais correctes. Valeur par dfaut : DropLog (Ignorer et consigner)
ARPCacheSize
Dfinit le nombre total d'entres ARP (Address Resolution Protocol) que la mmoire cache peut contenir. Valeur par dfaut : 4096
ARPHashSize
Les tables dites de hachage permettent de localiser rapidement des entres dans une table. Pour une efficacit maximale, un hachage doit tre deux fois plus grand que la table qu'il indexe. Donc, si le rseau local connexion directe le plus volumineux contient 500 adresses IP, la table de hachage ARP doit comporter au moins 1 000 entres. Valeur par dfaut : 512
ARPHashSizeVLAN
Les tables dites de hachage permettent de localiser rapidement des entres dans une table. Pour une efficacit maximale, un hachage doit tre deux fois plus grand que la table qu'il indexe. Donc, si le rseau local connexion directe le plus volumineux contient 500 adresses IP, la table de hachage ARP doit comporter au moins 1 000 entres. Valeur par dfaut : 64
ARPIPCollision
Dtermine le comportement lors de la rception d'une demande ARP (Address Resolution Protocol) dont l'expditeur a une adresse IP qui entre en conflit avec une autre adresse dj utilise dans l'interface de rception. Actions possibles : Drop (Ignorer) ou Notify (Notifier). Valeur par dfaut : Drop (Ignorer)
Paramtres de l'inspection dynamique

LogConnectionUsage
Ce paramtre gnre un message de consignation pour chaque paquet transmis via une connexion configure dans le moteur d'tat de NetDefendOS. Le trafic dont la destination est le firewall D-Link lui-mme (par exemple, le trafic de gestion de NetDefendOS) n'est pas soumis ce paramtre.
261
Paramtres avancs
Le message de consignation inclut le port, le service, l'adresse IP de la source/destination et l'interface. Ce paramtre ne doit tre activ qu' des fins de diagnostic et de test, car il gnre des volumes de messages de consignation difficilement grables et peut galement dtriorer considrablement les performances en matire de dbit. Valeur par dfaut : Disabled (Dsactiv)
ConnReplace
Permet de remplacer les connexions les plus anciennes dans la liste des connexions de NetDefendOS par de nouvelles, lorsqu'il n'y a plus suffisamment d'espace libre disponible. Valeur par dfaut : ReplaceLog (Remplacer et consigner)
LogOpenFails
Dans certains cas o la section Rules (Rgles) dtermine qu'un paquet doit tre autoris passer, le mcanisme d'inspection dynamique peut aprs coup aller l'encontre de cette configuration et ne pas autoriser ce paquet ouvrir une nouvelle connexion. C'est ce qui se produit, par exemple, lorsqu'un paquet TCP qui, bien qu'autoris par la section Rules (Rgles) et bien que ne faisant pas partie d'une connexion dj tablie, a son indicateur de synchronisation (SYN) dsactiv. Ces paquets ne peuvent en aucun cas ouvrir de nouvelles connexions. En outre, les nouvelles connexions ne peuvent jamais tre ouvertes par d'autres messages ICMP qu'un message ECHO ICMP (ping). Ce paramtre dtermine si NetDefendOS doit consigner l'arrive de tels paquets. Valeur par dfaut : Enabled (Activ)
LogReverseOpens
Dtermine si NetDefendOS consigne les paquets qui tentent de rouvrir une nouvelle connexion via une connexion dj ouverte. Ce paramtre ne s'applique qu'aux paquets TCP dont l'indicateur de synchronisation (SYN) est activ, ainsi qu'aux paquets ECHO ICMP. Pour les autres protocoles (comme le protocole UDP, par exemple), il n'y a aucun moyen de dterminer si l'hte distant est en train de tenter d'ouvrir une nouvelle connexion. Valeur par dfaut : Enabled (Activ)
LogStateViolations
Dtermine si NetDefendOS consigne les paquets qui violent le diagramme de changement d'tat attendu pour une connexion (par exemple, avec l'obtention de paquets de fin de connexion FIN TCP en rponse des paquets de synchronisation SYN TCP). Valeur par dfaut : Enabled (Activ)
MaxConnections
Dfinit le nombre de connexions que NetDefendOS peut maintenir ouvertes simultanment tout instant. Chaque connexion consomme environ 150 octets de mmoire RAM. Lorsque la valeur dynamic (dynamique) est affecte ce paramtre, NetDefendOS tente d'utiliser autant de connexions que l'autorise chaque produit. Valeur par dfaut : <dynamic> (<dynamique>)
LogConnections
Dfinit la manire dont NetDefendOS consigne les connexions : NoLog (ne pas consigner) Il ne consigne aucune connexion. Par consquent, peu importe si la consignation est active pour les rgles Allow (Autoriser) ou NAT (Network Address Translation) dans la section Rules (Rgles), il n'y aura pas de consignation pour ces connexions. Toutefois, les rgles FwdFast (Transmettre immdiatement), Drop (Ignorer) et Reject (Rejeter) seront consignes, en fonction des paramtres de la section
262
Paramtres avancs
Rules (Rgles). Log (Consigner) Les connexions sont consignes selon une formule abrge. Ce paramtre donne une brve description de la connexion, indique la rgle qui a autoris son ouverture, ainsi que toute rgle SAT (Static Address Translation) qui s'applique. Les connexions sont galement consignes lorsqu'elles sont refermes. LogOC (Consigner le paquet d'ouverture et de clture) Comparable l'option Log, mais cette option inclut en plus les deux paquets qui provoquent l'ouverture et la clture de la connexion. Si une connexion est referme la suite de l'arrive expiration d'un dlai, aucun paquet de clture n'est consign. LogOCAll (Consigner tous les paquets d'ouverture et de clture) Consigne tous les paquets impliqus dans l'ouverture et la clture de la connexion. Dans le cas du protocole TCP, cela inclut tous les paquets pour lesquels les indicateurs de synchronisation (SYN), de fin de connexion (FIN) ou de rinitialisation (RST) sont activs. LogAll (Tout consigner) Consigne tous les paquets inclus dans la connexion. Valeur par dfaut : Log (Consigner)
Expiration des dlais de connexion

Les paramtres inclus dans cette section dfinissent la dure pendant laquelle une connexion peut rester inactive (c'est--dire, la dure pendant laquelle aucune donne n'est transmise via cette connexion) avant d'tre referme automatiquement. Notez que chaque connexion comprend deux valeurs de dlai d'expiration : une pour chaque direction. Une connexion est referme si l'une ou l'autre de ces deux valeurs est gale 0.
ConnLife_TCP_SYN
Indique la dure pendant laquelle une connexion TCP en cours d'tablissement peut rester inactive avant d'tre referme. Valeur par dfaut : 60 secondes
ConnLife_TCP
Indique la dure pendant laquelle une connexion TCP totalement tablie peut rester inactive avant d'tre referme. Une connexion est rpute tre totalement tablie partir du moment o des paquets dont l'indicateur de synchronisation (SYN) est dsactiv ont t transmis dans les deux directions. Valeur par dfaut : 262 144 secondes
ConnLife_TCP_FIN
Indique la dure pendant laquelle une connexion TCP sur le point d'tre referme peut rester inactive avant d'tre rellement referme. Les connexions atteignent cet tat lorsqu'un paquet dont l'indicateur de fin de connexion (FIN) est activ a t transmis dans l'une des deux directions. Valeur par dfaut : 80 secondes
ConnLife_UDP
Indique la dure pendant laquelle les connexions UDP (User Datagram Protocol) peuvent rester inactives avant d'tre refermes. Cette valeur de dlai d'expiration est en rgle gnrale faible, car le protocole UDP n'a aucun moyen de signaler lorsqu'une connexion est sur le point d'tre referme. Valeur par dfaut : 130 secondes
ConnLife_Ping
Indique la dure pendant laquelle une connexion ping (ECHO ICMP) peut rester inactive avant d'tre referme.
263
Paramtres avancs
Valeur par dfaut : 8 secondes
ConnLife_Other
Indique la dure pendant laquelle les connexions qui utilisent un protocole inconnu peuvent rester inactives avant d'tre refermes. Valeur par dfaut : 130 secondes
ConnLife_IGMP
Dure de vie des connexions IGMP (Internet Group Management Protocol). Valeur par dfaut : 12 secondes
AllowBothSidesToKeepConnAlive_UDP
Ce paramtre de connexion permanente bidirectionnelle UDP (User Datagram Protocol) permet de maintenir une connexion UDP active de part et d'autre. La valeur dfinie par dfaut permet NetDefendOS de marquer une connexion comme active (par opposition inactive ) chaque fois que le ct qui a tabli la connexion transmet des donnes. Les connexions qui ne reoivent aucune donne partir du ct ayant ouvert la connexion avant l'arrive expiration du dlai imparti pour la connexion UDP seront pas consquent refermes, mme si l'autre ct continue transmettre des donnes. Valeur par dfaut : False (Faux)
Limites de taille par protocole

Cette section contient des informations sur les limites de taille imposes aux protocoles dpendant directement du niveau IP (TCP, UDP, ICMP, etc.). Les valeurs dfinies dans cette section concernent les donnes IP incluses dans les paquets. Dans le cas d'Ethernet, un mme paquet peut contenir jusqu' 1 480 octets de donnes IP non fragmentes. De plus, 20 octets supplmentaires sont rservs pour l'en-tte IP et 14 octets pour l'en-tte Ethernet. Cela fait donc un maximum de 1 514 octets pour chaque unit de transmission (valeur MTU - Maximum Transmission Unit) sur les rseaux Ethernet.
MaxTCPLen
Dfinit la taille maximale d'un paquet TCP, l'en-tte compris. Cette valeur a gnralement un rapport avec la quantit de donnes IP qui peuvent tenir dans un paquet non fragment. En effet, le protocole TCP adapte en rgle gnrale la taille des segments qu'il transmet de sorte ce qu'elle corresponde la taille maximale des paquets. Toutefois, cette valeur peut ncessiter d'tre augmente de 20 50 octets sur certains systmes VPN (Virtual Private Network) les moins courants. Valeur par dfaut : 1480
MaxUDPLen
Dfinit la taille maximale d'un paquet UDP, l'en-tte compris. Cette valeur devra sans doute tre assez leve, car de nombreuses applications en temps rel utilisent des paquets UDP fragments volumineux. Si aucun de ces protocoles n'est utilis, vous pouvez sans doute rabaisser cette taille limite impose aux paquets UDP 1 480 octets. Valeur par dfaut : 60000 bytes (60 000 octets)
MaxICMPLen
Dfinit la taille maximale d'un paquet ICMP. Les messages d'erreur ICMP ne doivent jamais dpasser 600 octets
264
Paramtres avancs
(les paquets ping peuvent toutefois tre plus volumineux en cas de besoin). Vous pouvez rabaisser cette valeur 1 000 octets si vous ne souhaitez pas utiliser de paquets ping volumineux. Valeur par dfaut : 10000 bytes (10 000 octets)
MaxGRELen
Dfinit la taille maximale d'un paquet GRE. Entre autres applications, le protocole GRE (Generic Routing Encapsulation) sert notamment au transport des donnes PPTP (Point to Point Tunneling Protocol). Cette valeur dfinie doit tre gale la taille du paquet le plus volumineux autoris transiter via les connexions VPN, indpendamment de son protocole d'origine, laquelle vous rajoutez environ 50 octets. Valeur par dfaut : 2000 bytes (2 000 octets)
MaxESPLen
Dfinit la taille maximale d'un paquet ESP. Le protocole ESP (Encapsulation Security Payload) est utilis par les connexions IPsec en cas de cryptage des donnes. Cette valeur dfinie doit tre gale la taille du paquet le plus volumineux autoris transiter via les connexions VPN, indpendamment de son protocole d'origine, laquelle vous rajoutez environ 50 octets. Valeur par dfaut : 2000 bytes (2 000 octets)
MaxAHLen
Dfinit la taille maximale d'un paquet AH. Le protocole AH (Authentication Header) est utilis par les connexions IPsec o seule l'authentification est applique. Cette valeur dfinie doit tre gale la taille du paquet le plus volumineux autoris transiter via les connexions VPN, indpendamment de son protocole d'origine, laquelle vous rajoutez environ 50 octets. Valeur par dfaut : 2000 bytes (2 000 octets)
MaxSKIPLen
Dfinit la taille maximale d'un paquet SKIP (Simple Key management for Internet Protocol). Valeur par dfaut : 2000 bytes (2 000 octets)
MaxOSPFLen
Dfinit la taille maximale d'un paquet OSPF. Le protocole OSPF (Open Shortest Path First) est un protocole de routage principalement utilis dans les rseaux locaux de grande envergure. Valeur par dfaut : 1480
MaxIPIPLen
Dfinit la taille maximale d'un paquet IP dans IP. Le protocole d'encapsulation IP dans IP est utilis par les connexions Firewall-1/VPN-1 de Check Point lorsque le protocole IPsec n'est pas utilis. Cette valeur dfinie doit tre gale la taille du paquet le plus volumineux autoris transiter via les connexions VPN, indpendamment de son protocole d'origine, laquelle vous rajoutez environ 50 octets. Valeur par dfaut : 2000 bytes (2 000 octets)
MaxIPCompLen
Dfinit la taille maximale d'un paquet IPComp (IP Payload Compression). Valeur par dfaut : 2000 bytes (2 000 octets)
265
Paramtres avancs
MaxL2TPLen
Dfinit la taille maximale d'un paquet L2TP (Layer 2 Tunneling Protocol). Valeur par dfaut : 2000 bytes (2 000 octets)
MaxOtherSubIPLen
Dfinit la taille maximale des paquets dont les protocoles n'ont pas t cits ci-dessus. Valeur par dfaut : 1480 bytes (1 480 octets)
LogOversizedPackets
Dfinit si NetDefendOS consigne les paquets surdimensionns. Valeur par dfaut : Enabled (Activ)
Paramtres de fragmentation
Le protocole IP est capable de transporter jusqu' 65 536 octets de donnes. Toutefois, la plupart des supports (Ethernet, par exemple) ne peuvent pas transporter des paquets aussi volumineux. Pour pallier ce manque, la pile IP fragmente les donnes envoyer en plusieurs paquets, attribuant chacun son propre en-tte IP et ses propres informations IP qui aideront le destinataire reconstituer le paquet d'origine correctement. Toutefois, de nombreuses piles IP ne sont pas capables de grer les paquets mal fragments : cette caractristique risque d'tre exploite par des intrus pour nuire aux systmes concerns. NetDefendOS fournit diffrents moyens de protection contre ces attaques par fragmentation.
PseudoReass_MaxConcurrent
Nombre maximal de rassemblages de fragments concomitants. Pour ignorer tous les paquets fragments, affectez la valeur 0 (zro) au paramtre PseudoReass_MaxConcurrent. Valeur par dfaut : 1024
IllegalFrags
Dtermine la manire dont NetDefendOS traite les fragments mal conus. L'expression mal conus fait rfrence aux fragments qui se chevauchent ou dont la taille est incorrecte, aux doublons de fragments qui contiennent des donnes diffrentes, etc. Les valeurs possibles sont les suivantes : Drop (Ignorer) Ignore le fragment illgal sans le consigner. Conserve galement en mmoire que le paquet qui est en cours de rassemblage est suspect , ce qui peut servir pour consigner ultrieurement d'autres informations complmentaires. DropLog (Ignorer et consigner) Ignore et consigne le fragment illgal. Conserve galement en mmoire que le paquet qui est en cours de rassemblage est suspect , ce qui peut servir pour consigner ultrieurement d'autres informations complmentaires. DropPacket (Ignorer le paquet) Ignore le fragment illgal et tous les fragments prcdemment stocks. N'autorise aucun autre fragment de ce paquet passer pendant la priode dfinie (en secondes) par le paramtre ReassIllegalLinger. DropLogPacket (Ignorer et consigner le paquet) Comparable la valeur DropPacket, mais consigne en plus l'vnement. DropLogAll (Ignorer et tout consigner) Comparable la valeur DropLogPacket, mais consigne galement tous les autres fragments appartenant ce paquet qui arrivent pendant la priode dfinie (en secondes) par le paramtre ReassIllegalLinger.
266
Paramtres avancs
Le choix dignorer des fragments spcifiques ou de ne pas autoriser la totalit du paquet est rgi par les deux facteurs suivants : Il est plus sr d'ignorer la totalit du paquet. Si, aprs la rception d'un fragment illgal, vous choisissez d'ignorer la totalit du paquet, les pirates pourront interrompre les communications en envoyant des fragments illgaux au cours d'un rassemblage et ainsi bloquer presque toutes les communications. Valeur par dfaut : DropLog (Ignorer et consigner) Des fragments spcifiques sont ignors et la tentative de rassemblage suspecte correspondante est conserve en mmoire.
DuplicateFragData
Si le mme fragment arrive plusieurs fois, cela peut signifier soit qu'il a t dupliqu un instant donn au cours de son transfert vers son destinataire, soit qu'un pirate est en train d'essayer de perturber le rassemblage du paquet. Afin de dterminer laquelle de ces deux hypothses est la plus vraisemblable, NetDefendOS compare les composants de donnes du fragment. La comparaison peut tre effectue sur 2 512 emplacements alatoires dans le fragment (quatre octets sont prlevs chaque emplacement). Plus la comparaison porte sur un nombre important d'extraits, plus il y a de chances de dcouvrir des lments dupliqus non conformes. Toutefois, plus le nombre de comparaisons est important, plus la charge au niveau de l'UC est leve. Valeur par dfaut : Check8 (Vrifier 8) Comparaison de 8 emplacements alatoires, soit un total de 32 octets.
FragReassemblyFail
Les rassemblages peuvent chouer pour l'une des raisons suivantes : Certains fragments ne sont pas arrivs dans le dlai imparti dfini par les paramtres ReassTimeout ou ReassTimeLimit. Cela peut signifier qu'un ou plusieurs de ces fragments se sont perdus au cours du transfert via Internet, ce qui est assez frquent. NetDefendOS a t forc d'interrompre la procdure de rassemblage cause de l'arrive de nouveaux paquets fragments et le systme est temporairement cours de ressources. Les anciennes tentatives de rassemblage sont alors soit ignores, soit marques comme failed (chec). Un pirate a tent d'envoyer un paquet mal fragment. Normalement, vous ne souhaitez pas forcment consigner les checs, car ils sont frquents. Toutefois, il peut s'avrer utile de consigner les checs qui impliquent des fragments suspects . Ces checs peuvent se produire si, par exemple, la valeur Drop (Ignorer) a t affecte au paramtre IllegalFrags au lieu de la valeur DropPacket (Ignorer le paquet). Les valeurs disponibles pour le paramtre FragReassemblyFail sont les suivantes : NoLog (Ne pas consigner) Aucune consignation n'est effectue en cas d'chec d'une tentative de rassemblage. LogSuspect (Consigner les suspects) Les checs de tentative de rassemblage ne sont consigns que si des fragments suspects sont impliqus. LogSuspectSubseq (Consigner les suspects ultrieurs) Comparable la valeur LogSuspect, mais les fragments ultrieurs du paquet sont consigns lorsqu'ils arrivent (donnes temporelles incluses). LogAll (Tout consigner) Tous les checs de tentative de rassemblage sont consigns. LogAllSubseq (Consigner tous les fragments ultrieurs) Comparable la valeur LogAll, mais les fragments ultrieurs du paquet sont galement consigns lorsqu'ils arrivent (donnes temporelles incluses). Valeur par dfaut : LogSuspectSubseq (Consigner les suspects ultrieurs)
DroppedFrags
267
Paramtres avancs
Si l'entre du systme est refuse un paquet en raison des paramtres de la section Rules (Rgles), cela peut galement valoir la peine de consigner des fragments spcifiques de ce paquet. Le paramtre DroppedFrags dfinit comment NetDefendOS va ragir. Les valeurs possibles pour cette rgle sont les suivantes : NoLog (Ne pas consigner) Aucune consignation n'est effectue en dehors de celle stipule dans la rgle dfinie. LogSuspect (Consigner les suspects) Consigne les fragments spcifiques ignors associs aux tentatives de rassemblage affectes par des fragments suspects . LogAll (Tout consigner) Consigne systmatiquement tous les fragments ignors. Valeur par dfaut : LogSuspect (Consigner les suspects)
DuplicateFrags
Si le mme fragment arrive plusieurs fois, cela peut signifier soit qu'il a t dupliqu un instant donn au cours de son transfert vers son destinataire, soit qu'un pirate est en train d'essayer de perturber le rassemblage du paquet. Le paramtre DuplicateFrags dtermine si ce type de fragment doit tre consign. Notez que le paramtre DuplicateFragData peut galement provoquer la consignation de ces fragments si les donnes qu'ils contiennent ne sont pas conformes. Les valeurs possibles pour ce paramtre sont les suivantes : NoLog (Ne pas consigner) Normalement, aucune consignation n'est effectue. LogSuspect (Consigner les suspects) Les fragments dupliqus sont consigns si la procdure de rassemblage est affecte par des fragments suspects . LogAll (Tout consigner) Tous les fragments dupliqus sont systmatiquement consigns. Valeur par dfaut : LogSuspect (Consigner les suspects)
FragmentedICMP
Sauf en ce qui concerne les paquets ECHO ICMP (ping), les messages ICMP ne doivent normalement pas tre fragments, car ils contiennent trop peu de donnes pour justifier une fragmentation. Le paramtre FragmentedICMP dtermine l'action excuter lorsque NetDefendOS reoit des messages ICMP fragments qui ne sont ni des messages ECHO ICMP, ni des messages ECHOREPLY. Valeur par dfaut : DropLog (Ignorer et consigner)
MinimumFragLength
Le paramtre MinimumFragLength dtermine la valeur minimale pour tous les fragments, l'exception du fragment final, d'un paquet. Bien que l'arrive d'un trop grand nombre de fragments trop petits peut gnrer des problmes pour les piles IP, il n'est gnralement pas possible de dfinir une valeur trop leve pour cette limite. Il est rare que les expditeurs crent de trs petits fragments. Un expditeur peut envoyer des fragments de 1 480 octets. Un routeur ou un tunnel VPN placs sur leur route en direction du destinataire peuvent toutefois rduire aprs coup 1 440 octets la valeur relle de la taille maximale des segments pouvant tre transmis (MTU Maximum Transmission Unit). Par consquent, cela crerait un certain nombre de fragments de 1 440 octets et un nombre identique de fragments de 40 octets. cause des problmes potentiels que cela pourrait engendrer, les paramtres par dfaut de NetDefendOS ont t conus pour permettre le transfert des plus petits fragments possibles (soit des fragments de 8 octets). Pour une utilisation interne, o toutes les tailles des supports utiliss sont connues, vous pouvez augmenter cette valeur 200 octets ou plus. Valeur par dfaut : 8 bytes (8 octets)
ReassTimeout
Une tentative de rassemblage sera interrompue si aucun autre fragment n'arrive dans le dlai imparti dfini (en secondes) par le paramtre ReassTimeout, aprs rception du prcdent fragment. Valeur par dfaut : 65 secondes
268
Paramtres avancs
ReassTimeLimit
Une tentative de rassemblage sera systmatiquement interrompue l'arrive expiration du dlai ReassTimeLimit imparti dfini (en secondes), aprs la rception du premier fragment. Valeur par dfaut : 90 secondes
ReassDoneLinger
Une fois qu'un paquet a t rassembl, NetDefendOS est capable de le conserver en mmoire pendant une brve priode afin d'empcher l'arrive d'autres fragments (par exemple, des anciens fragments dupliqus) de ce paquet. Valeur par dfaut : 20 secondes
ReassIllegalLinger
Une fois qu'un paquet a t globalement marqu en tant que paquet illgal, NetDefendOS peut conserver cette information en mmoire afin d'empcher l'arrive d'autres fragments de ce paquet. Valeur par dfaut : 60 secondes
Paramtres de rassemblage des fragments locaux

LocalReass_MaxConcurrent
Nombre maximal de rassemblages locaux concomitants. Valeur par dfaut : 256
LocalReass_MaxSize
Taille maximale d'un paquet rassembl en local. Valeur par dfaut : 10000
LocalReass_NumLarge
Nombre de tampons (de la taille dfinie ci-avant) pour le rassemblage en local de paquets volumineux (au-del de 2 Ko). Valeur par dfaut : 32
Paramtres DHCP
DHCP_MinimumLeaseTime
Dure d'attribution minimale (en secondes) accepte sur le serveur DHCP. Valeur par dfaut : 60
DHCP_ValidateBcast
Requiert que l'adresse de diffusion attribue soit l'adresse la plus grande possible au sein du rseau attribu. Valeur par dfaut : Enabled (Activ)
DHCP_AllowGlobalBcast
269
Paramtres avancs
Permet au serveur DHCP d'attribuer l'adresse 255.255.255.255 en tant qu'adresse de diffusion. (Non standard.) Valeur par dfaut : Disabled (Dsactiv)
DHCP_UseLinkLocalIP
Si ce paramtre est activ, NetDefendOS utilise l'adresse IP locale de la couche de liaison (169.254.*.*) au lieu de l'adresse 0.0.0.0 en attendant une attribution. Valeur par dfaut : Disabled (Dsactiv)
DHCP_DisableArpOnOffer
Dsactive la vrification ARP (Address Resolution Protocol) effectue par NetDefendOS portant sur l'adresse IP propose. La vrification met une demande ARP afin de vrifier si cette adresse IP est dj utilise. Valeur par dfaut : Disabled (Dsactiv)
Paramtres des relais DHCP (DHCPRelay)

DHCPRelay_MaxTransactions
Nombre maximal de transactions simultanes. Valeur par dfaut : 32
DHCPRelay_TransactionTimeout
Dure possible d'une transaction DHCP. Valeur par dfaut : 10 secondes
DHCPRelay_MaxPPMPerIface
En une minute, le nombre de paquets DHCP qu'un client peut envoyer via NetDefendOS vers le serveur DHCP. Valeur par dfaut : 500 packets (500 paquets)
DHCPRelay_MaxHops
Le nombre de pas que la demande DHCP peut effectuer entre le client et le serveur DHCP. Valeur par dfaut : 5
DHCPRelay_MaxLeaseTime
La dure d'attribution maximale autorise via NetDefendOS. Si le serveur DHCP est dot de valeurs suprieures pour les attributions, ces valeurs seront rabaisses en fonction de la valeur DHCPRelay_MaxLeaseTime. Valeur par dfaut : 10 000 secondes
DHCPRelay_MaxAutoRoutes
Le nombre de relais qui peuvent tre actifs simultanment. Valeur par dfaut : 256
DHCPServer_SaveRelayPolicy
270
Paramtres avancs
La rgle qui doit tre utilise pour enregistrer la liste des relais sur le disque. Les paramtres possibles sont Disabled, ReconfShut ou ReconfShutTimer. Valeur par dfaut : ReconfShut
DHCPRelay_AutoSaveRelayInterval
La frquence laquelle la liste des relais doit tre enregistre sur le disque, si la valeur ReconfShutTimer est attribue au paramtre DHCPServer_SaveRelayPolicy. Valeur par dfaut : 86400
Paramtres du serveur DHCP (DHCPServer)

DHCPServer_SaveLeasePolicy
La rgle qui doit tre utilise pour enregistrer la base de donnes des attributions sur le disque. Les paramtres possibles sont Disabled, ReconfShut ou ReconfShutTimer. Valeur par dfaut : ReconfShut
DHCPServer_AutoSaveLeaseInterval
La frquence laquelle la base de donnes des attributions doit tre enregistre sur le disque, si la valeur ReconfShutTimer est attribue au paramtre DHCPServer_SaveLeasePolicy. Valeur par dfaut : 86400
Paramtres IPsec
IKESendInitialContact
Dtermine si la technologie IKE doit ou non envoyer le message de notification Initial Contact (contact initial). Ce message est envoy chaque passerelle distante lorsqu'une connexion est ouverte vers cette passerelle et qu'il n'y a pas d'association de scurit IPsec antrieure qui utilise cette passerelle. Valeur par dfaut : Enabled (Activ)
IKESendCRLs
Prcise si les listes de rvocation des certificats (CRL - Certificate Revocation Lists) doivent tre envoyes ou non en tant que partie intgrante de l'change IKE. Ce paramtre doit normalement tre activ, sauf lorsque l'hte distant ne comprend pas les donnes utiles des listes de rvocation des certificats. Valeur par dfaut : Enabled (Activ)
IKECRLValidityTime
Une liste de rvocation des certificats contient un champ ddi la prochaine mise jour : il prcise la date et l'heure laquelle une nouvelle liste pourra tre tlcharge partir de l'autorit de certification. Le dlai entre les mises jour des listes de rvocation des certificats peut aller de quelques heures beaucoup plus, en fonction de la configuration de l'autorit de certification. La plupart des logiciels pour les autorits de certification permettent l'administrateur de l'autorit de certification de publier de nouvelles listes de rvocation des certificats tout moment. Donc, mme si le champ de la prochaine mise jour indique qu'une nouvelle liste sera disponible dans 12 heures, il se peut quune soit dj propose pour le tlchargement. Ce paramtre limite la dure de validit d'une liste de rvocation des certificats. Une nouvelle liste de rvocation des certificats est tlcharge lorsque le paramtre IKECRLValidityTime arrive expiration ou lorsque le dlai imparti selon le champ de la prochaine mise jour est coul. L'vnement dclencheur est celui qui se produit
271
Paramtres avancs
en premier. Valeur par dfaut : 90000
IKEMaxCAPath
Pour vrifier la signature d'un certificat utilisateur, NetDefendOS examine le champ issuer name (nom de l'metteur) inclus dans ce certificat afin d'identifier le certificat d'autorit de certification en fonction duquel ce certificat a t sign. Ce certificat d'autorit de certification peut son tour avoir t sign par une autre autorit de certification, qui peut aussi tre signe par une autre autorit de certification, et ainsi de suite. Chaque certificat sera vrifi jusqu' ce que l'un d'entre eux soit marqu comme fiable ou jusqu' ce quil soit reconnu qu'aucun d'entre eux n'est fiable. Si le nombre de certificats inclus dans ce chemin est suprieur celui dfini par ce paramtre, le certificat utilisateur est considr comme non valide. Valeur par dfaut : 15
IPsecCertCacheMaxCerts
Dtermine le nombre maximal de certificats/listes de rvocation de certificats qui peuvent tre conservs dans la mmoire cache interne des certificats. Lorsque la mmoire cache des certificats arrive saturation, les entres sont supprimes en fonction d'un algorithme LRU (Least Recently Used), c'est--dire que les entres qui n'ont pas t utilises depuis le plus longtemps sont supprimes. Valeur par dfaut : 1024
IPsecBeforeRules
Permet de transfrer directement vers le moteur IPsec le trafic IKE et IPsec (ESP/AH) envoy vers NetDefendOS, sans consultation de la rgle dfinie. Valeur par dfaut : Enabled (Activ)
IPsecDeleteSAOnIPValidationFailure
Contrle ce qui se passe pour les associations de scurit si la validation IP en mode de configuration choue. Si ce paramtre est activ, les associations de scurit sont supprimes en cas d'chec. Valeur par dfaut : Disabled (Dsactiv)
Paramtres de consignation
LogSendPerSecLimit
Ce paramtre limite le nombre de paquets de consignation que NetDefendOS peut envoyer par seconde. Vous ne devez jamais affecter une valeur trop faible ce paramtre, car un nombre trop important d'vnements risqueraient de ne pas tre consigns. Mais vous ne devez pas non plus choisir une valeur trop leve. Un cas dans lequel une valeur trop leve pourrait gnrer des problmes, c'est lorsque NetDefendOS envoie un message de consignation un serveur dont le rcepteur de consignation n'est pas actif. Ce serveur renverra en retour un message ICMP UNREACHABLE (injoignable), ce qui risque damener NetDefendOS renvoyer un autre message de consignation. Le serveur gnrera encore une fois son tour un autre message ICMP UNREACHABLE, et ainsi de suite. En limitant le nombre de messages de consignation que NetDefendOS envoie chaque seconde, vous viterez ces scnarios catastrophiques, avec une forte consommation de bande passante. Valeur par dfaut : 3 600 secondes (soit une fois par heure)
Paramtres de synchronisation temporelle
272
Paramtres avancs
TimeSync_SyncInterval
Le nombre de secondes coules entre chaque nouvelle synchronisation. Valeur par dfaut : 86400
TimeSync_MaxAdjust
Le dcalage temporel maximal qu'un serveur est autoris ajuster. Valeur par dfaut : 3600
TimeSync_ServerType
Le type de serveur pour la synchronisation temporelle, savoir UDPTime ou SNTP (Simple Network Time Protocol). Valeur par dfaut : SNTP
TimeSync_GroupIntervalSize
Frquence laquelle les rponses serveur sont regroupes. Valeur par dfaut : 10
TimeSync_TimeServerIP1
Nom de l'hte DNS ou adresse IP du serveur horaire Timeserver 1. Valeur par dfaut : none (aucun)
TimeSync_TimeZoneOffs
Dcalage en minutes entre les fuseaux horaires. Valeur par dfaut : 0
TimeSync_DSTEnabled
Rgle l'heure d't en fonction des valeurs DSTOffs/DSTStartDate/DSTEndDate. Valeur par dfaut : OFF (Dsactiv)
TimeSync_DSTOffs
Dcalage en minutes avec l'heure d't. Valeur par dfaut : 0
273
Paramtres avancs
TimeSync_DSTStartDate
Le mois et le jour de l'application de l'heure d't, au format MM-JJ. Valeur par dfaut : none (aucun)
TimeSync_DSTEndDate
Le mois et le jour de fin de l'heure d't, au format MM-JJ. Valeur par dfaut : none (aucun)
Paramtres PPP
PPP_L2TPBeforeRules
Transmet directement au serveur L2TP le trafic L2TP (Layer 2 Tunneling Protocol) envoy au firewall D-Link, sans consultation de la rgle dfinie. Valeur par dfaut : Enabled (Activ)
PPP_PPTPBeforeRules
Transmet directement au serveur PPTP le trafic PPTP (Point to Point Tunneling Protocol) envoy au firewall D-Link, sans consultation de la rgle dfinie. Valeur par dfaut : Enabled (Activ)
Paramtre du moniteur matriel

HWM_PollInterval
Frquence d'interrogation du moniteur matriel, soit le dlai en millisecondes entre les lectures des valeurs du moniteur matriel. Minimum : 100 ; maximum : 10 000. Valeur par dfaut : 500 millisecondes
HWMMem_Interval
Frquence d'interrogation de la mmoire, soit le dlai en minutes entre les lectures des valeurs en mmoire. Minimum : 1 ; maximum : 200. Valeur par dfaut : 15 minutes
HWMMem_LogRepetition
Indique s'il faut envoyer un message de consignation aprs chaque interrogation qui renvoie un niveau Alert (Alerte), Critical (Critique) ou Warning (Avertissement), ou s'il ne faut n'en envoyer un que lorsqu'il y a un changement de niveau. Si ce paramtre est dfini sur True (Vrai), un message est envoy chaque fois que le paramtre HWMMem_Interval est dclench. S'il est dfini sur False (Faux), un message est envoy lorsqu'une valeur change de niveau. Valeur par dfaut : False (Faux)
HWMMem_UsePercent
Valeur True (Vrai) si l'unit utilise pour la surveillance de la mmoire est le pourcentage ; valeur False (Faux) si l'unit est le mga-octet. S'applique aux valeurs HWMMem_AlertLevel, HWMMem_CriticalLevel et
274
Paramtres avancs
HWMMem_WarningLevel. Valeur par dfaut : True (vrai)
HWMMem_AlertLevel
Gnre un message de consignation de niveau Alert (alerte) si la mmoire disponible est infrieure cette valeur. Vous pouvez dsactiver ce paramtre en lui affectant la valeur 0. La valeur maximale est 10 000. Valeur par dfaut : 0
HWMMem_CriticalLevel
Gnre un message de consignation de niveau Critical (Critique) si la mmoire disponible est infrieure cette valeur. Vous pouvez dsactiver ce paramtre en lui affectant la valeur 0. La valeur maximale est 10 000. Valeur par dfaut : 0
HWMMem_WarningLevel
Gnre un message de consignation de niveau Warning (avertissement) si la mmoire disponible est infrieure cette valeur. Vous pouvez dsactiver ce paramtre en lui affectant la valeur 0. La valeur maximale est 10 000. Valeur par dfaut : 0
Paramtres de rassemblage des paquets

Le rassemblage d'un paquet collecte les fragments IP afin de former des datagrammes IP complets. Pour le protocole TCP, l'opration de rassemblage rorganise ces segments de sorte ce qu'ils soient traits dans l'ordre adquat. Cela permet galement d'assurer le suivi de chevauchements potentiels entre les segments et d'informer les autres sous-systmes de ces chevauchements. Les paramtres associs limitent la quantit de mmoire utilise par le sous-systme de rassemblage.
Reassembly_MaxConnections
Ce paramtre dfinit le nombre de connexions que le systme de rassemblage peut utiliser simultanment. Il est exprim en pourcentage du nombre total de connexions autorises. Minimum : 1 ; maximum : 100. Valeur par dfaut : 80
Reassembly_MaxProcessingMem
Ce paramtre prcise la quantit de mmoire que le systme de rassemblage peut allouer pour traiter les paquets. Il est exprim en pourcentage de la quantit de mmoire totale disponible. Minimum : 1 ; maximum : 100. Valeur par dfaut : 3
Autres paramtres
BufFloodRebootTime
Comme solution ultime, NetDefendOS redmarre automatiquement si ses mmoires tampons sont en surcharge depuis une longue dure. Ce paramtre prcise cette dure. Valeur par dfaut : 3600
MaxPipeUsers
Le nombre maximal d'utilisateurs de tuyaux qu'il est possible d'allouer. tant donn que le suivi des utilisateurs de
275
Paramtres avancs tuyaux n'est assur que pendant un 20e de seconde, vous n'avez en rgle gnrale pas besoin de rapprocher ce nombre du nombre rel d'utilisateurs, ni du nombre de connexions surveilles de manire dynamique. Si aucun tuyau n'est configur, aucun utilisateur de tuyau ne sera allou, quelle que soit la valeur de ce paramtre. Pour plus d'informations sur les tuyaux et les utilisateurs de tuyaux, reportez-vous au chapitre 10, intitul Gestion du trafic . Valeur par dfaut : 512
276
Annexe A. Abonnement aux mises jour de scurit

Introduction
Les modules antivirus (AV), de dtection et de prvention des intrusions (IDP) et de filtrage de contenu Web dynamique de NetDefendOS utilisent tous des bases de donnes D-Link externes, qui contiennent des informations sur les derniers virus, les menaces de scurit et la catgorisation d'URL. Ces bases de donnes sont en permanence mises jour. Pour avoir accs aux dernires mises jour, vous devez vous abonner aux mises jour de scurit D-Link. Pour cela, procdez comme suit : Achetez un abonnement auprs de votre revendeur local D-Link. Vous recevrez alors un code d'activation unique pour vous identifier en tant qu'utilisateur du service. Sur l'interface Web de votre firewall D-Link, slectionnez Maintenance > License (Maintenance > Licence), puis saisissez ce code d'activation. NetDefendOS indique que le code est accept et active le service de mise jour. (Assurez-vous que vous avez accs l'Internet public lors de cette opration.)
Remarque
Un guide d'inscription dtaill expliquant les procdures d'inscription et de service de mise jour peut tre tlcharg sur le site Web de D-Link.
Renouvellement de l'abonnement
Sur l'interface Web, slectionnez Maintenance > License (Maintenance > Licence) et vrifiez les services de mise jour qui sont activs ainsi que leur date d'expiration.
Attention
Pensez renouveler votre abonnement avant la fin de l'abonnement en cours !
Contrle des mises jour des bases de donnes

Sur l'interface Web, slectionnez Maintenance > Update (Maintenance > Mise jour) pour configurer la mise jour automatique des bases de donnes. Vous pouvez galement vrifier la date de la dernire mise jour ainsi que son tat. Par ailleurs, cette section de l'interface Web vous permet aussi de lancer manuellement la mise jour en slectionnant Update now (Mettre jour maintenant), afin de tlcharger les dernires signatures dans la base de donnes.
Commandes console des bases de donnes

Les bases de donnes IDP et antivirus (AV) peuvent tre contrles directement via plusieurs commandes console. Anticiper les mises jour des bases de donnes. Il est possible d'appliquer la mise jour d'une base de donnes 277 277
Paramtres avancs
IDP tout moment l'aide de la commande suivante :

gw-world:/> updatecenter -update IDP
De la mme faon, une mise jour de la base de donnes antivirus peut tre lance l'aide de la commande suivante :
gw-world:/> updatecenter -update Antivirus
Obtenir l'tat des mises jour. Pour obtenir l'tat des mises jour IDP, utilisez la commande suivante :
gw-world:/> updatecenter -status IDP
Pour obtenir l'tat des mises jour AV :

gw-world:/> updatecenter -status Antivirus
Obtenir l'tat des serveurs. Pour obtenir l'tat des serveurs de rseau D-Link, utilisez la commande suivante :
gw-world:/> updatecenter -servers
Supprimer les bases de donnes locales. Certains problmes techniques touchant le fonctionnement des modules IDP ou antivirus peuvent se rsoudre par la suppression de la base de donnes, suivie d'un redmarrage. Pour la base de donnes IDP, utilisez la commande suivante :
gw-world:/> removedb IDP
Pour supprimer la base de donnes antivirus, utilisez la commande suivante :

gw-world:/> removedb Antivirus
Une fois les bases de donnes supprimes, vous devez redmarrer le systme et lancer une mise jour des bases de donnes. Il est galement recommand de supprimer la base de donnes si la base IDP ou antivirus n'est pas utilise pendant de longues priodes.
Remarque
L'optimisation des mises jour de la base de donnes antivirus exige quelques secondes aprs le tlchargement d'une mise jour. Par consquent, le fonctionnement du firewall est momentanment interrompu. Il peut alors tre prfrable de planifier les mises jour au moment o le trafic est rduit, comme par exemple tt le matin. La suppression d'une base de donnes peut galement entraner une interruption du fonctionnement.
278
Annexe B. Groupes de signatures IDP

Pour l'analyse IDP, les groupes de signatures ci-dessous peuvent tre slectionns. Ces groupes sont disponibles uniquement pour le service IDP avanc de D-Link. Une version de chaque groupe se trouve sous les trois types IDS, IPS et Policy (Rgle). Pour plus d'informations, reportez-vous la section intitule Prvention et dtection des intrusions . Nom de groupe APP_AMANDA APP_ETHEREAL APP_ITUNES APP_REALPLAYER APP_REALSERVER APP_WINAMP APP_WMP AUTHENTICATION_GENERAL AUTHENTICATION_KERBEROS AUTHENTICATION_XTACACS BACKUP_ARKEIA BACKUP_BRIGHTSTOR BACKUP_GENERAL BACKUP_NETVAULT BACKUP_VERITAS BOT_GENERAL BROWSER_FIREFOX BROWSER_GENERAL BROWSER_IE BROWSER_MOZILLA COMPONENT_ENCODER COMPONENT_INFECTION COMPONENT_SHELLCODE DB_GENERAL DB_MSSQL DB_MYSQL DB_ORACLE DB_SYBASE DCOM_GENERAL DHCP_CLIENT 279 279 Type d'intrusion Amanda, logiciel de sauvegarde rpandu Ethereal Lecteur Apple iTunes Lecteur multimdia de RealNetworks Lecteur RealServer RealNetworks WinAMP Lecteur multimdia MS Windows Authentification Kerberos XTACACS Solution de sauvegarde rseau Solutions de sauvegarde de CA Solutions gnrales de sauvegarde Solution de sauvegarde NetVault Solutions de sauvegarde Activits lies aux robots, y compris ceux contrls par canaux IRC Mozilla Firefox Attaques gnrales visant les clients/navigateurs Web Microsoft IE Mozilla Browser Encodeurs intgrs une attaque Infection intgre une attaque Code shell intgr aux attaques Systmes de base de donnes MS SQL Server MySQL DBMS Oracle DBMS Serveur Sybase MS DCOM Activits lies au client DHCP
Groupes de signature IDP
Nom de groupe DHCP_GENERAL DHCP_SERVER DNS_EXPLOIT DNS_GENERAL DNS_OVERFLOW DNS_QUERY ECHO_GENERAL ECHO_OVERFLOW FINGER_BACKDOOR FINGER_GENERAL FINGER_OVERFLOW FS_AFS FTP_DIRNAME FTP_FORMATSTRING FTP_GENERAL FTP_LOGIN FTP_OVERFLOW GAME_BOMBERCLONE GAME_GENERAL GAME_UNREAL HTTP_APACHE HTTP_BADBLUE HTTP_CGI HTTP_CISCO HTTP_GENERAL HTTP_MICROSOFTIIS HTTP_OVERFLOWS HTTP_TOMCAT ICMP_GENERAL IGMP_GENERAL IMAP_GENERAL IM_AOL IM_GENERAL IM_MSN IM_YAHOO IP_GENERAL IP_OVERFLOW IRC_GENERAL LDAP_GENERAL LDAP_OPENLDAP LICENSE_CA-LICENSE LICENSE_GENERAL MALWARE_GENERAL METASPLOIT_FRAME
Type d'intrusion Protocole DHCP Activits lies au serveur DHCP Attaques DNS Systmes de noms de domaine Attaque par dbordement DNS Attaques lies aux requtes Protocole/mises en uvre Echo Dbordement de la mmoire tampon Echo Finger backdoor Protocole/mise en uvre Finger Dbordement de protocole/mise en uvre Finger Andrew File System Attaque des noms de rpertoire Attaque des chanes de format Protocole/mise en uvre FTP Attaques de connexion Saturation de la mmoire tampon FTP Jeu Bomberclone Serveurs/clients de jeux gnriques Serveur UnReal Game Apache httpd Serveur Web Badblue HTTP CGI Serveur Web intgr Cisco Activits gnrales HTTP Attaques HTTP propres au serveur Web MS IIS Saturation de la mmoire tampon des serveurs HTTP Tomcat JSP Protocole/mise en uvre ICMP IGMP Protocole/mise en uvre IMAP AOL IM Mises en uvre d'Instant Messenger MSN Messenger Yahoo Messenger Protocole/mise en uvre IP Dbordement de protocole/mise en uvre IP Internet Relay Chat Clients/serveurs LDAP gnraux LDAP ouvert Gestion des licences des logiciels CA Gestionnaire global des licences Attaque de programme malveillant Attaque de structure Metasploit
280
Groupes de signature IDP Groupes de signature IDP
Nom de groupe METASPLOIT_GENERAL MISC_GENERAL MSDTC_GENERAL MSHELP_GENERAL NETWARE_GENERAL NFS_FORMAT NFS_GENERAL NNTP_GENERAL OS_SPECIFIC-AIX OS_SPECIFIC-GENERAL OS_SPECIFIC-HPUX OS_SPECIFIC-LINUX OS_SPECIFIC-SCO OS_SPECIFIC-SOLARIS OS_SPECIFIC-WINDOWS P2P_EMULE P2P_GENERAL P2P_GNUTELLA PACKINGTOOLS_GENERAL PBX_GENERAL POP3_DOS POP3_GENERAL POP3_LOGIN-ATTACKS POP3_OVERFLOW POP3_REQUEST-ERRORS PORTMAPPER_GENERAL PRINT_GENERAL PRINT_OVERFLOW REMOTEACCESS_GOTOMYPC REMOTEACCESS_PCANYWHERE REMOTEACCESS_RADMIN REMOTEACCESS_VNC-CLIENT REMOTEACCESS_VNC-SERVER RLOGIN_GENERAL RLOGIN_LOGIN-ATTACK ROUTER_CISCO 281
Type d'intrusion Attaque gnrale de Metasploit Attaque gnrale MS DTC Microsoft Windows Help NetWare Core Protocol Format Protocole/mise en uvre NFS Protocole/mise en uvre NNTP AIX Systme d'exploitation gnral HP-UX Linux SCO Solaris Windows Outil P2P eMule Outils P2P gnraux Outil P2P Gnutella Attaques gnrales d'outils de compression PBX Dni de service (Dos) pour POP Protocole POP3 Recherche de mot de passe et attaque de connexion associe Dbordement du serveur POP3 Erreur de requte PortMapper Serveur d'impression LP : LPR LPD Dbordement de protocole/mise en uvre LPR/LPD GotoMYPC PcAnywhere Remote Administrator (radmin) Attaques visant les clients VNC Attaque visant les serveurs VNC Protocole/mise en uvre RLogin Attaques de connexion Attaque de routeur Cisco
REMOTEACCESS_WIN-TERMINAL Terminal Windows/Remote Desktop
281
Groupes de signature IDP
Nom de groupe ROUTER_GENERAL ROUTING_BGP RPC_GENERAL RPC_JAVA-RMI RSYNC_GENERAL SCANNER_GENERAL SCANNER_NESSUS SECURITY_GENERAL SECURITY_ISS SECURITY_MCAFEE SECURITY_NAV SMB_ERROR SMB_EXPLOIT SMB_GENERAL SMB_NETBIOS SMB_WORMS SMTP_COMMAND-ATTACK SMTP_DOS SMTP_GENERAL SMTP_OVERFLOW SMTP_SPAM SNMP_ENCODING SNMP_GENERAL SOCKS_GENERAL SSH_GENERAL SSH_LOGIN-ATTACK SSH_OPENSSH SSL_GENERAL TCP_GENERAL TCP_PPTP TELNET_GENERAL TELNET_OVERFLOW TFTP_DIR_NAME TFTP_GENERAL TFTP_OPERATION TFTP_OVERFLOW TFTP_REPLY TFTP_REQUEST TROJAN_GENERAL UDP_GENERAL UDP_POPUP UPNP_GENERAL VERSION_CVS VERSION_SVN
Type d'intrusion Attaque gnrale de routeur Protocole de routeur BGP Protocole/mise en uvre RFC RMI Java Rsync Scanners gnriques Scanner Nessus Solutions antivirus Logiciel Internet Security Systems McAfee Solution antivirus Symantec Erreur SMB SMB Exploit Attaques SMB Attaques NetBIOS Vers SMB Attaque de commande SMTP Dni de service (Dos) pour SMTP Protocole/mise en uvre SMTP Dbordement SMTP SPAM Encodage SNMP Protocole/mise en uvre SNMP Protocole/mise en uvre SOCKS Protocole/mise en uvre SSH Recherche de mot de passe et attaques de connexion associe Serveur OpenSSH Protocole/mise en uvre SSL Protocole/mise en uvre TCP Protocole PPTP Protocole/mise en uvre Telnet Attaque par dbordement Telnet Attaque des noms de rpertoire Protocole/mise en uvre TFTP Attaque de l'exploitation Attaque par dbordement TFTP Attaque de rponse TFTP Attaque de requte TFTP Chevaux de Troie UDP gnral Fentre contextuelle pour MS Windows UPNP CVS Subversion
282
Groupes de signature IDP Groupes de signature IDP
Nom de groupe VIRUS_GENERAL VOIP_GENERAL VOIP_SIP WEB_CF-FILE-INCLUSION WEB_FILE-INCLUSION WEB_GENERAL WEB_JSP-FILE-INCLUSION WEB_PACKAGES WEB_PHP-XML-RPC WEB_SQL-INJECTION WEB_XSS WINS_GENERAL WORM_GENERAL X_GENERAL
Type d'intrusion Virus Protocole/mise en uvre VoIP Protocole/mise en uvre SIP Inclusion de fichiers en coldfusion Inclusion de fichiers Attaques d'applications Web Inclusion de fichiers JSP Packages d'applications Web rpandues PHP XML RPC SQL Injection Cross-Site-Scripting MS WINS Service Vers Applications X gnriques
283 283
Annexe C. Types de fichiers MIME vrifis

La passerelle ALG (Application Layer Gateway) HTTP peut vrifier que le contenu des fichiers tlchargs via le protocole HTTP correspond au type de fichier indiqu par leur nom. Cette annexe rpertorie les types de fichiers MIME qui peuvent tre vrifis par NetDefendOS afin de garantir que le contenu correspond bien au type de fichier d'un tlchargement. La vrification est effectue si l'option Check MIME Type (Vrifier type MIME) est active comme indiqu dans la section intitule HTTP . Par ailleurs, la vrification est toujours effectue si le type de fichier est slectionn dans la liste Allow Selected (Autoris les types slectionns) pour une passerelle ALG HTTP. Extension de type de fichier 3ds 3gp aac ab ace ad3 ag aiff, aif am arc alz avi arj ark arq as asf avr aw bh bmp box bsa bz, bz2 cab cdr 284 284 Application Fichiers 3d Studio Fichiers multimdia 3GPP Fichiers MPEG-2 Advanced Audio Coding Applix Builder Archive ACE Fichiers son compresss pour systmes Dec Fichiers Applix Graphic Fichiers Audio Interchange Applix SHELF Macro Fichiers d'archive Fichiers compresss ALZip Fichiers Audio Video Interleave Archive compresse Archive de fichiers compresss QuArk Archive compresse Fichiers Applix Spreadsheet Fichiers Advanced Streaming Format Son Audio Visual Research Fichiers Applix Word Fichiers de format d'archive Blackhole Graphiques Windows Bitmap Fichiers de messages vocaux VBOX Archive compresse BSARC Fichiers compresss Bzip UNIX Fichiers Microsoft Cabinet Fichiers Corel Vector Graphic Drawing
Types de fichiers MIME vrifis Types de fichiers MIME vrifis
Extension de type de fichier cgm chz class cmf core/coredump cpl dbm dcx deb djvu dll dpa dvi eet egg elc emd esp exe fgf flac flc fli flv gdbm gif gzip, gz, tgz hap hpk hqx icc icm ico imf Inf it java 285 285
Application Computer Graphics Metafile Archive de fichiers compresss ChArc Pseudo-code Java Creative Music file Unix core dump Fichiers Windows Control Panel Extension Fichiers de base de donnes Fichiers Bitmap Multipage PCX Fichiers Debian Linux Package Fichiers DjVu Fichiers de bibliothque de liens dynamiques Windows Donnes d'archive DPA Document TeX Device Independent Archive EET Fichier de donnes Allegro Code source compil eMacs Lisp Byte Fichier ABT EMD Module/Song Format Donnes d'archive ESP Excutable Windows Fichiers Free Graphics Format Fichiers Free Lossless Audio Codec FLIC Animated Picture FLIC Animation Macromedia Flash Video Fichiers de base de donnes Fichiers Graphic Interchange Format Archive compresse Gzip Donnes d'archive HAP Archive de fichiers compresss HPack Archive compresse Macintosh BinHex 4 Kodak Color Management System, profil ICC Fichiers Microsoft ICM Color Profile Fichiers Windows Icon Donnes sonores Imago Orpheus Fichiers d'informations Sidplay Impulse Tracker Music Module Code source Java
Types de fichiers MIME vrifis
Extension de type de fichier jar jng jpg, jpeg, jpe, jff, jfif, jif jrc jsw kdelnk lha lim lisp lzh md mdb mid,midi mmf mng mod mp3 mp4 mpg,mpeg mpv Fichiers Microsoft msa niff, nif noa nsf obj, o ocx ogg out pac pbf pbm pdf pe pfb pgm pkg pll pma png ppm ps psa psd
Application Archive Java JAR Format vido JNG Fichiers JPEG Archive compresse Jrchive Just System Word Processor Ichitaro Fichier lien KDE Archive de fichiers compresss LHA Archive compresse Limit Donnes d'archive LIM Archive de fichiers compresss LZH Archive de fichiers compresss MDCD Microsoft Access Database Musical Instrument Digital Interface MIDI-sequention Sound Yamaha SMAF Synthetic Music Mobile Application Format Multi-image Network Graphic Animation Donnes sonores Ultratracker MPEG Audio Stream, Layer III Fichiers vido MPEG-4 Fichiers vido MPEG 1 System Stream Fichiers vido MPEG-1 Fichiers Miscrosoft Office et autres fichiers Microsoft Donnes d'archive Atari MSA Navy Interchange file Format Bitmap Nancy Video CODEC Fichiers son NES Fichiers objet Windows, fichiers objet Linux Object Linking and Embedding (OLE) Control Extension Fichiers WAV compresss Ogg Vorbis Codec Excutable Linux Donnes d'archive CrossePAC Image Portable Bitmap Format Portable Bitmap Graphic Acrobat Portable Document Format Fichiers Portable Executable PostScript Type 1 Font Portable Graymap Graphic SysV R4 PKG Datastreams Donnes d'archive PAKLeo Donnes d'archive PMarc Portable (Public) Network Graphic PBM Portable Pixelmap Graphic Fichiers PostScript Donnes d'archive PSA Fichiers Photoshop Format
286
Types de fichiers MIME vrifis Types de fichiers MIME vrifis
Extension de type de fichier qt, mov, moov qxd ra, ram rar rbs riff, rif rm rpm rtf, wri sar sbi sc sgi sid sit sky snd, au so sof sqw sqz stm svg svr4 swf tar tfm tiff, tif tnef torrent ttf txw ufa vcf viv wav wk 287 287
Application Fichiers QuickTime Movie Document QuarkXpress RealMedia Streaming Media Archive compresse WinRAR Fichiers ReBirth Song Fichiers Microsoft Audio RealMedia Streaming Media RedHat Package Manager Fichiers Rich Text Format Archive compresse Streamline Fichiers SoundBlaster Instrument Tableur SC Fichiers Silicon Graphics IRIS Fichiers de musique Commodore64 (C64) (fichiers SID) Archives StuffIt Archive compresse SKY Fichiers audio Sun/NeXT Fichiers de librairie partage UNIX Archive ReSOF Donnes d'archive SQWEZ Donnes d'archive Squeeze It Scream Tracker v2 Module Fichiers Scalable Vector Graphics SysV R4 PKG Datastreams Fichiers Macromedia Flash Format Fichiers Tape Archive Donnes TeX font metric Fichiers Tagged Image Format Transport Neutral Encapsulation Format Fichiers BitTorrent Metainfo TrueType Font Fichiers audio Yamaha TX Wave Donnes d'archive UFA Fichiers Vcard Fichiers vido en streaming VivoActive Player Waveform Audio Documents Lotus 1-2-3
Types de fichiers MIME vrifis
Extension de type de fichier wmv wrl, vrml xcf xm xml xmcd xpm yc zif zip zoo zpk z
Application Windows Media file Fichiers Plain Text VRML Fichiers d'image GIMP Fichiers audio Fast Tracker 2 Extended Module Fichiers XML Fichiers de base de donnes xmcd pour kscd BMC Software Patrol UNIX Icon file Archive compresse YAC Image ZIF Archive de fichiers compresss Zip Archive de fichiers compresss ZOO Donnes d'archive ZPack Fichiers compresss Unix
288
Annexe D. La structure OSI

Le modle OSI (Open Systems Interconnection) dfinit une structure pour les communications entre ordinateurs. Il classe les diffrents protocoles d'un grand nombre d'applications rseau en sept couches plus petites et par consquent, plus simples grer. Ce modle dcrit comment transfrer, via un support rseau, les donnes d'une application d'un ordinateur vers une application d'un autre ordinateur. Le contrle du trafic de donnes passe d'une couche la suivante ; il commence au niveau de la couche application d'un ordinateur, soit la couche du bas, puis est transfr via le support vers un autre ordinateur pour atteindre finalement le haut de la hirarchie. Chaque couche gre un ensemble de protocoles, de sorte que les tches visant atteindre une application peuvent tre rparties sur diffrentes couches et tre mises en uvre sparment.
Figure D.1. Les 7 couches du modle OSI

Numro de couche Couche 7 Couche 6 Couche 5 Couche 4 Couche 3 Couche 2 Couche 1 Chaque couche a une fonction propre : Couche application Couche prsentation Couche session Couche transport Couche rseau Dfinit l'interface utilisateur qui prend directement en charge les applications. Protocoles : HTTP, FTP, DNS, SMTP, Telnet, SNMP, etc. Convertit les diffrentes applications de faon uniformiser les formats rseau identifiables par les autres couches. tablit, gre et ferme les sessions sur le rseau. Protocoles : NetBIOS, RPC, etc. Contrle le flux des donnes et permet le traitement des erreurs. Protocoles : TCP, UDP, etc. Effectue l'adressage et le routage. Protocoles : IP, OSPF, ICMP, IGMP, etc. Objet de la couche Application Prsentation Session Transport Rseau Liaison de donnes Physique
Couche liaison de donnes Cre une structure de donnes pour la transmission sur la couche physique et permet la vrification/correction des erreurs. Protocoles : Ethernet, PPP, etc. Couche physique Dfinit les connexions matrielles physiques.
289 289
Annexe E. Bureaux internationaux de D-Link

Vous trouverez ci-dessous la liste complte des bureaux de ventes internationaux de D-Link. Pour plus de dtails sur la prise en charge des produits D-Link ainsi que sur les coordonnes du support local, consultez le site Web associ votre pays. Australie Belgique Brsil 1 Giffnock Avenue, North Ryde, NSW 2113, Australia. TEL. : 61-2-8899-1800, FAX : 61-2-8899-1868. Site Web : www.dlink.com.au Rue des Colonies 11, B-1000 Brussels, Belgium. TEL. : +32(0)2 517 7111, Fax : +32(0)2 517 6500. Site Web : www.dlink.be Av das Nacoes Unidas, 11857 14- andar - cj 141/142, Brooklin Novo, Sao Paulo - SP - Brazil. CEP 04578-000 (code postal) TEL. : (55 11) 21859300, FAX : (55 11) 21859322. Site Web : www.dlinkbrasil.com.br 2180 Winston Park Drive, Oakville, Ontario, L6H 5W1 Canada. TEL. : 1-905-8295033, FAX : 1-905-8295223. Site Web : www.dlink.ca No.202,C1 Building, Huitong Office Park, No. 71, Jianguo Road, Chaoyang District, Beijing, 100025, China. TEL. : +86-10-58635800, FAX : +86-10-58635799. Site Web : www.dlink.com.cn Vaclavske namesti 36, Praha 1, Czech Republic. TEL. : +420 (603) 276 589 Site Web : www.dlink.cz Naverland 2, DK-2600 Glostrup, Copenhagen Denmark. TEL. : 45-43-969040, FAX : 45-43-424347. Site Web : www.dlink.dk 47, El Merghany street, Heliopolis, Cairo-Egypt. TEL. : +202-2919035, +202-2919047, FAX : +202-2919051. Site Web : www.dlink-me.com 4th Floor, Merit House, Edgware Road, Colindale, London NW9 5AB, UK. TEL. : 44-20-8731-5555, FAX : 44-20-8731-5511. Site Web : www.dlink.co.uk Latokartanontie 7A, FIN-00700 HELSINKI, Finland. TEL. : +358-10 3098840, FAX : +358-10 309 8841. Site Web : www.dlink.fi 2, Alle de la Fresnerie, 78330 Fontenay le Fleury, France. TEL. : 33-1-30238688, FAX : 33-1-30238689. Site Web : www.dlink.fr Schwalbacher Strasse 74, D-65760 Eschborn, Germany. TEL. : 49-6196-77990, FAX : 49-6196-7799300. Site Web : www.dlink.de 101, Panagoulis Str. 163-43, Helioupolis Athens, Greece. TEL. : +30 2109914512, FAX : +30 210 9916902. Site Web : www.dlink.gr R-k-czi-t 70-72, HU-1074, Budapest, Hungary. TEL. : +36 (0) 1 461 30 00, FAX : +36 (0) 1 461 30 09. Site Web : www.dlink.hu D-Link House, Kurla Bandra Complex Road, Off CST Road, Santacruz (East), Mumbai - 400098, India. TEL. : 91-022-26526696/56902210, FAX : 91-022-26528914. Site Web : www.dlink.co.in 11 Hamanofim Street, Ackerstein Towers, Regus Business Center, P.O.B 2148, Hertzelia-Pituach 46120, Israel. TEL. : +972-9-9715700, FAX : +972-9-9715601. Site Web : www.dlink.co.il
Canada Chine
Rpublique tchque Danemark gypte Europe (R.U.) Finlande France Allemagne Grce Hongrie Inde
Isral
290
D-Link worldwide offices
Italie Amrique latine Luxembourg Moyen-Orient (Duba)
Via Nino Bonnet n. 6/b, 20154 Milano, Italy. TEL. : 39-02-2900-0676, FAX : 39-02-2900-1723. Site Web : www.dlink.it Isidora Goyeechea 2934, Ofcina 702, Las Condes, Santiago Chile. TEL. : 56-2-232-3185, FAX : 56-2-232-0923. Site Web : www.dlink.cl Rue des Colonies 11, B-1000 Brussels, Belgium TEL : +32 (0)2 517 7111, FAX : +32 (0)2 517 6500. Site Web : www.dlink.be P.O.Box : 500376, Office : 103, Building : 3, Dubai Internet City, Dubai, United Arab Emirates. TEL. : +971-4-3916480, Fax : +971-4-3908881. Site Web : www.dlink-me.com Weena 290, 3012 NJ, Rotterdam, Netherlands. TEL. : +31-10-282-1445, FAX : +31-10-282-1331. Site Web : www.dlink.nl Karihaugveien 89 N-1086 Oslo, Norway. TEL. : +47 99 300 100, FAX : +47 22 30 95 80. Site Web : www.dlink.no Budynek Aurum ul. Walic-w 11, PL-00-851, Warszawa, Poland. TEL. : +48 (0) 22 583 92 75, FAX : +48 (0) 22 583 92 76. Site Web : www.dlink.pl Rua Fernando Pahla, 50 Edificio Simol, 1900 Lisbon, Portugal. TEL. : +351 21 8688493. Site Web : www.dlink.es Grafsky per., 14, floor 6, Moscow, 129626 Russia. TEL. : 7-495-744-0099, FAX : 7-495-744-0099 #350. Site Web : www.dlink.ru 1 International Business Park, #03-12 The Synergy, Singapore 609917. TEL : 65-6774-6233, FAX : 65-6774-6322. Site Web : www.dlink-intl.com Einstein Park II, Block B, 102-106 Witch-Hazel Avenue, Highveld Technopark, Centurion, Gauteng, Republic of South Africa. TEL. : 27-12-665-2165, FAX : 27-12-665-2186. Site Web : www.d-link.co.za Avenida Diagonal, 593-95, 9th floor, 08014 Barcelona, Spain. TEL. : 34 93 4090770, FAX : 34 93 4910795. Site Web : www.dlink.es P.O. Box 15036, S-167 15 Bromma, Sweden. TEL. : 46-(0)8564-61900, FAX : 46-(0)8564-61901. Site Web : www.dlink.se Glatt Tower, 2.OG CH-8301, Glattzentrum Postfach 2.OG, Switzerland. TEL. : +41 (0) 1 832 11 00, FAX : +41 (0) 1 832 11 01. Site Web : www.dlink.ch No. 289 , Sinhu 3rd Rd., Neihu District, Taipei City 114, Taiwan. TEL. : 886-2-6600-0123, FAX : 886-2-6600-1188. Site Web : www.dlinktw.com.tw Cetin Emec Bulvari, 74.sokak, ABC Plaza No:9/3, Ovecler/Ankara- TURKEY. TEL. : 0090 312 473 40 55, FAX : 0090 312 473 40 58. Site Web : www.dlink.com.tr 17595 Mt. Herrmann Street, Fountain Valley, CA 92708. TEL. : 1-800-326-1688. Site Web : www.dlink.com
Pays-Bas Norvge Pologne Portugal Russie Singapour Afrique du Sud
Espagne Sude Suisse Tawan Turquie
tats-Unis
291
Alphabetical Index
A A
rgles d'accs, 102 comptabilit, 22 messages Interim, 24 limites avec la fonction NAT, 25 messages, 22 arrts systme, 25 carnet d'adresses, 29 adresses Ethernet, 30 adresses IP, 29 groupes d'adresses, 31 traduction dadresses, 164 comptes d'administration, 9 ALG (voir passerelle ALG ) all-nets, objet IP, 31 Allow, rgle IP, 50 AllowBothSidesToKeepConnAlive_UDP, 264 analyse antivirus, 146 activation, 147 base de donnes, 147 configuration mmoire requise, 146 analyses simultanes, 146 passerelle ALG, 103 dploiement, 104 FTP, 106 H.323, 120 HTTP, 104 POP3, 117 SIP, 118 SMTP, 112 filtrage anti-spam, 113 TFTP, 111 ARP, 45 gratuit, 65 proxy, 67 statique, 47 ARPBroadcast, paramtre, 260 ARPCacheSize, paramtre, 261 ARPChanges, paramtre, 260 ARPExpire, paramtre, 260 ARPExpireUnknown, paramtre, 260 ARPHashSize, paramtre, 261 ARPHashSizeVLAN, paramtre, 261 ARPIPCollision, paramtre, 261 ARPMatchEnetSender, paramtre, 259 ARPMulticast, paramtre, 260 ARPQueryNoSenderIP, paramtre, 259 ARPRequests, paramtre, 260 ARPSenderIP, paramtre, 259 authentification, 180 bases de donnes, 180
HTTP, 183 base de donnes locale, 181 rgles, 181 serveurs, 181 rsum de la configuration, 180 mise jour automatique, 27
B
bande passante garantie, 229 liste noire htes et rseaux, 162 IDP, 155 rgles avec seuil, 235 URL, 135 caractres gnriques, 135 Block0000Src, paramtre, 253 Block0Net, paramtre, 253 Block127Net, paramtre, 253 blocage des applications avec IDP, 150 BlockMulticastSrc, paramtre, 253 BufFloodRebootTime, paramtre, 275
C
autorit de certification, 53 chanes mise en forme du trafic, 223 interface de ligne de commande, 9 SSH (Secure Shell), 10 interface de ligne de commande, changement d'invite, 11 cluster (voir haute disponibilit ) cluster, ID (voir haute disponibilit ) ligne de commande, interface (voir interface de ligne de commande ) configuration, mode, 215 configurations, 14 connexions, limitation (voir rgles avec seuil ) taux de connexion, limitation (voir rgles avec seuil ) ConnLife_IGMP, paramtre, 263 ConnLife_Other, paramtre, 263 ConnLife_Ping, paramtre, 263 ConnLife_TCP, paramtre, 263 ConnLife_TCP_FIN, paramtre, 263 ConnLife_TCP_SYN, paramtre, 263 ConnLife_UDP, paramtre, 263 ConnReplace, paramtre, 261 filtrage de contenu, 134 contenu actif, 134 catgories, 142 dynamique, 137 phishing, 144 spam, 146 statique, 135 noyau, interface, 37 noyau, routes, 64
D
horodatage, paramtre, 55
292
Index alphabtique
rgle d'accs par dfaut, 102 DefaultTTL, paramtre, 253 dni de service, 158 DHCP, 96 Ethernet, 38 relais, 98 serveurs, 96 attribution statique, 97 DHCP_AllowGlobalBcast, paramtre, 269 DHCP_DisableArpOnOffer, paramtre, 270 DHCP_MinimumLeaseTime, paramtre, 269 DHCP_UseLinkLocalIP, paramtre, 269 DHCP_ValidateBcast, paramtre, 269 DHCPRelay_AutoSaveRelayInterval, paramtre, 270 DHCPRelay_MaxAutoRoutes, paramtre, 270 DHCPRelay_MaxHops, paramtre, 270 DHCPRelay_MaxLeaseTime, paramtre, 270 DHCPRelay_MaxPPMPerIface, paramtre, 270 DHCPRelay_MaxTransactions, paramtre, 270 DHCPRelay_TransactionTimeout, paramtre, 270 DHCPServer_AutoSaveLeaseInterval, paramtre, 271 DHCPServer_SaveLeasePolicy, paramtre, 271 DHCPServer_SaveRelayPolicy, paramtre, 270 Diffserv, 223 DirectedBroadcasts, paramtre, 254 Distance Vector (DV), algorithme, 72 distribution, algorithmes, 237 DNS, listes noires (voir filtrage anti-spam ) DNS, recherche, 59 attaque par dni de service (voir dni de service ) Drop, rgle IP, 50 DroppedFrags, paramtre, 267 DSCP, 223 paramtrage des priorits, 228 DuplicateFragData, paramtre, 266 DuplicateFrags, paramtre, 268 quilibrage dynamique tuyaux, 231 rgle de routage dynamique, 76
GRE, 42 total de contrle supplmentaire, 42 rgles IP, 43 configuration, 42 groupes authentification, 181 tuyaux, 231
H
H.323, ALG, 120 disponibilit, haute (voir haute disponibilit ) cluster haute disponibilit (voir haute disponibilit ) haute disponibilit, 243 ID de cluster, 247 problmes, 247 mcanismes, 243 configuration, 244 mode transparent, 90 HighBuffers, paramtre haute disponibilit, 247 HTTP ALG, 104 authentification, 183 HWM_PollInterval, paramtre, 274 HWMMem_AlertLevel, paramtre, 274 HWMMem_CriticalLevel, paramtre, 275 HWMMem_Interval, paramtre, 274 HWMMem_LogRepetition, paramtre, 274 HWMMem_UsePercent, paramtre, 274 HWMMem_WarningLevel, paramtre, 275
I
ICMPSendPerSecLimit, paramtre, 259 icnes, xi IDENT et IP, rgles, 50 listes d'identification, 208 IDP (voir intrusion, dtection et prvention ) IKE, 198 dures de vie, 198 IKECRLValidityTime, paramtre, 271 IKEMaxCAPath, paramtre, 271 IKESendCRLs, paramtre, 271 IKESendInitialContact, paramtre, 271 ikesnoop dpannage, 196 IllegalFrags, paramtre, 266 prvention des attaques de type Insertion, 152 interfaces, 36 groupes, 44 Internet Key Exchange (voir IKE ) rgle de dtection des intrusions, 152 intrusion, dtection et prvention, 150 groupes de signatures, 154 total de contrle non valide pulsations de cluster, 245 adresse IP, objets, 31 groupes IP, 99 mode de configuration, 215 jeu de rgles IP, 49
E
Ethernet, 37 passerelle par dfaut, 38 adresses IP, 38 DHCP, 38 prvention des attaques de type Evasion, 152 vnements, 19 distribution, 20 messages, 19
F
FragmentedICMP, paramtre, 268 FragReassemblyFail, paramtre, 267 FTP, ALG, 106 FwdFast, rgle IP, 50
G
Generic Router Encapsulation (voir GRE ) ARP gratuit, gnration, 67
293
Index alphabtique
rgles IP ordre d'valuation, 50 validation IP mode de configuration, 215 IPOPT_OTHER, paramtre, 254 IPOPT_SR, paramtre, 254 IPOPT_TS, paramtre, 254 IPOptionSizes, paramtre, 253 IPRF, paramtre, 254 IPsec, 197 guide de dmarrage rapide, 189 dpannage, 195 tunnels, 209 IPsecBeforeRules, paramtre, 272 IPsecCertCacheMaxCerts, paramtre, 272 IPsecDeleteSAOnIPValidationFailure, paramtre, 272
MaxTCPLen, paramtre, 264 MaxUDPLen, paramtre, 264 MinimumFragLength, paramtre, 268 routage de multidiffusion, 78 authentification en cas de sessions multiples, 181
N
NAT, 164 rgles IP, 50 groupes, 166 Network Address Translation (voir NAT ) NTP (voir synchronisation temporelle )
O
OSPF, 73 agrgats, 74 ignorer le filtrage de contenu, 140
L
L2TP, 218 guide de dmarrage rapide, 192 tunnels LAN-LAN, 210 LayerSizeConsistency, paramtre, 253 LDAP, serveurs, 216 Link State, algorithme, 72 LocalReass_MaxConcurrent, paramtre, 269 LocalReass_MaxSize, paramtre, 269 LocalReass_NumLarge, paramtre, 269 messages de consignation, 19 dconnexion de l'interface de ligne de commande, 11 LogChecksumErrors, paramtre, 253 LogConnections, paramtre, 262 LogConnectionUsage, paramtre, 261 consignation, 19 connexion, authentification, 181 LogNonIP4, paramtre, 253 LogOpenFails, paramtre, 262 LogOversizedPackets, paramtre, 266 LogReceivedTTL0, paramtre, 253 LogReverseOpens, paramtre, 262 LogSendPerSecLimit, paramtre, 272 LogStateViolations, paramtre, 262
P
flux de paquets diagramme, 5 phishing (voir filtrage de contenu ) tuyaux, rgles, 223, 224 tuyaux, 223, 224 rgles, 49 routage bas sur des rgles, 67 POP3, ALG, 117 traduction des adresses de port, 176 PPoE, 40 configuration des clients, 40 PPP_L2TPBeforeRules, paramtre, 274 PPP_PPTPBeforeRules, paramtre, 274 PPTP, 216 guide de dmarrage rapide, 194 cls pr-partages, 189, 207 priorits tuyaux, 228 listes de proposition, 206 PseudoReass_MaxConcurrent, paramtre, 266
M
adresses MAC, 45 interfaces de gestion, 9 nombre maximal de sessions paramtres des services, 34 MaxAHLen, paramtre, 265 MaxConnections, paramtre, 262 MaxESPLen, paramtre, 264 MaxGRELen, paramtre, 264 MaxICMPLen, paramtre, 264 MaxIPCompLen, paramtre, 265 MaxIPIPLen, paramtre, 265 MaxL2TPLen, paramtre, 265 MaxOSPFLen, paramtre, 265 MaxOtherSubIPLen, paramtre, 265 MaxPipeUsers, paramtre, 275 MaxSKIPLen, paramtre, 265
Q
service, qualit (voir qualit de service ) qualit de service, 223
R
RADIUS comptabilit, 22 authentification, 181 ReassDoneLinger, paramtre, 268 Reassembly_MaxConnections, paramtre, 275 Reassembly_MaxProcessingMem, paramtre, 275 ReassIllegalLinger, paramtre, 269 ReassTimeLimit, paramtre, 268 ReassTimeout, paramtre, 268 Reject, rgle IP, 50 restauration des paramtres d'usine par dfaut, 28 clients itinrants, 210 basculement de route, 65
294
Index alphabtique
notation de route, 62 routage, Erreur ! Signet non dfini. dynamique, 72 mesures, 72 surveillance, 65 statique, 61
S
SafeStream, 147 SAT, 168 SAT, rgle IP, 50 planifications, 52 Secure Shell (voir SSH ) port de console srie, 10 quilibrage des charges serveur, 235 routage bas sur les services, Erreur ! Signet non dfini. services, 31 personnaliss, 35 ICMP, 34 nombre maximal de sessions, 34 TCP et UDP, 33 SilentlyDropStateICMPErrors, paramtre, 259 Simple Network Management Protocol (voir SNMP ) SIP ALG, 118 SMTP ALG, 112 vrification des en-ttes, 115 SNMP chane de communaut, 26 MIB, 26 surveillance, 26 piges, 21 rgles IP, 26 routage bas sur les sources, Erreur ! Signet non dfini. spam (voir filtrage de contenu ) filtrage anti-spam, 113 mise en mmoire cache, 116 consignation, 115 balisage, 114 usurpation, 102 SSH, 10 moteur d'tat, 2 flux de paquets, 5 inspection dynamique (voir moteur d'tat ) groupes NAT dynamiques, 166 Static Address Translation (voir SAT ) StaticARPChanges, paramtre, 260 StripDFOnSmall, paramtre, 254 SYN Flood, protection, 34, 161 ALG, 104 Syslog, consignation, 20
TCPMSSAutoClamping, paramtre, 255 TCPMSSLogLevel, paramtre, 255 TCPMSSMax, paramtre, 255 TCPMSSMin, paramtre, 254 TCPMSSOnHigh, paramtre, 255 TCPMSSOnLow, paramtre, 255 TCPMSSVPNMax, paramtre, 255 TCPNULL, paramtre, 258 TCPOPT_ALTCHKDATA, paramtre, 257 TCPOPT_ALTCHKREQ, paramtre, 256 TCPOPT_CC, paramtre, 257 TCPOPT_OTHER, paramtre, 257 TCPOPT_SACK, paramtre, 256 TCPOPT_TSOPT, paramtre, 256 TCPOPT_WSOPT, paramtre, 256 TCPOptionSizes, paramtre, 254 TCPRF, paramtre, 258 TCPSequenceNumbers, paramtre, 258 TCPSynPsh, paramtre, 257 TCPSynUrg, paramtre, 257 TCPUrg, paramtre, 257 TCPZeroUnusedACK, paramtre, 256 TCPZeroUnusedURG, paramtre, 256 TFTP, ALG, 111 rgles avec seuil, 234, 249 ZoneDefense, 248 synchronisation temporelle, 57 TimeSync_DSTEnabled, paramtre, 273 TimeSync_DSTEndDate, paramtre, 274 TimeSync_DSTOffs, paramtre, 273 TimeSync_DSTStartDate, paramtre, 273 TimeSync_GroupIntervalSize, paramtre, 273 TimeSync_MaxAdjust, paramtre, 272 TimeSync_ServerType, paramtre, 273 TimeSync_SyncInterval, paramtre, 272 TimeSync_TimeServerIP1, paramtre, 273 TimeSync_TimeServerIP2, paramtre, 273 TimeSync_TimeServerIP3, paramtre, 273 TimeSync_TimeZoneOffs, paramtre, 273 mise en forme du trafic, 223 bande passante garantie, 229 limitation de la bande passante, 225 groupes, 231 priorits, 228 recommandations, 232 rsum, 233 mode transparent, 88 mise en uvre, 89 mode de routage, 88 haute disponibilit, 90 TTLMin, paramtre, 253 TTLOnLow, paramtre, 253 tunnels, 36
U
UnsolicitedARPReplies, paramtre, 259 utilisateur, authentification (voir authentification ) routage bas sur les utilisateurs, Erreur ! Signet non dfini.
T
TCPECN, paramtre, 258 TCPFinUrg, paramtre, 257
295
Index alphabtique
V
rseau VLAN (voir VLAN ) liens virtuels, 74 rseau VPN (voir VPN ) VLAN, 39 limitation du nombre de licences, 39 voix sur IP H.323, 120 SIP, 118 VoIP (voir voix sur IP ) VPN, 188 planification, 188 guide de dmarrage rapide, 189 dpannage, 195
W
Web, interface utilisateur (voir interface utilisateur Web ) WebAuth, 183 interface utilisateur Web, 11 liste blanche htes et rseaux, 163 URL, 135 caractres gnriques, 135 caractres gnriques listes noires et listes blanches, 135 rgles IDP, 154
X
X.509, certificats, 53 listes d'identification, 208 IPsec, 192
Z
ZoneDefense, 248 switches, 248 ZoneDefense IDP, 155
296

NetDefendOS 2 20 Final FR

Transféré par

Droits d'auteur :

Formats disponibles

NetDefendOS 2 20 Final FR

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

NetDefendOS 2 20 Final FR

Transféré par

Droits d'auteur :

Formats disponibles

Manuel utilisateur

Table des matires

61 61 62 65 67 67 67 68 68 68 69 72 72 73 76 78 78 79 83 88 88 88 89 89 89 90 96 96 96 97 98 99 102 102 102 102 102 103 103

Liste des figures

Liste des exemples

Structure du texte et normes

Exemple 1. Exemple de notation

o Slectionnez lment X > lment Y > lment Z o Entrez :

Chapitre 1. Prsentation du produit

propos de D-Link NetDefendOS

Blocs logiques de NetDefendOS

Flux de paquets de base

Flux de paquets du moteur dtat de NetDefendOS

Figure 1.1 Schma du flux de paquets Partie I

Le flux de paquets se poursuit sur la page suivante.

Figure 1.2 Schma du flux de paquets Partie II

Le flux de paquets se poursuit sur la page suivante.

Figure 1.3 Schma du flux de paquets Partie III

Chapitre 2. Gestion et maintenance

Comptes administrateur par dfaut

Interface de ligne de commande

Exemple 2.1. Autorisation de laccs SSH distant

soit mise. Immdiatement aprs la commande activate, la commande

Linterface utilisateur Web

Exemple 2.2. Activation de la gestion HTTPS distante

Utilisation des configurations

Exemple 2.3. Liste des objets de configuration

Exemple 2.4. Affichage dun objet de configuration

Interface de ligne de commande

Exemple 2.5. Modification dun objet de configuration

Affichez nouveau lobjet pour vrifier la nouvelle valeur de la proprit :

Exemple 2.6. Ajout dun objet de configuration

Affichez le nouvel objet :

Exemple 2.7. Suppression dun objet de configuration

Exemple 2.8. Annulation de la suppression dun objet de configuration

Exemple 2.9. Affichage de la liste des objets de configuration

Confirmation des modifications IPSec

Exemple 2.10. Activation et confirmation dune configuration

Le systme valide et commence utiliser la nouvelle configuration. Lorsque linvite de commande

rapparat, la nouvelle configuration est dsormais confirme. Interface Web

Rpartition des messages dvnements

Enregistrement vers des htes Syslog

Vient ensuite le texte denvoi choisi par lexpditeur.

Exemple 2.11. Activation de lenregistrement sur un hte Syslog

Interface de ligne de commande

Exemple 2.12. Envoi des interruptions SNMP un rcepteur dinterruptions SNMP

Messages de comptabilisation RADIUS

Messages de comptabilisation dattente

Activation de la fonction de comptabilisation RADIUS

Scurit de comptabilisation RADIUS

Comptabilisation RADIUS et haute disponibilit

Serveurs sans rponse

Comptabilisation et interruption systme

Limitations avec NAT

Exemple 2.13. Activation de la surveillance SNMP

Configuration des sauvegardes et des restaurations

Exemple 2.14. Configuration des sauvegardes et des restaurations

Rinitialisation des paramtres usine par dfaut

Exemple 2.15. Rinitialisation complte

Exemple 3.1. Ajout dun hte IP