Sécurité

Vous pouvez configurer les paramètres de sécurité tels que le chiffrement réseau, le chemin d’accès virtuel IPSec, le pare-feu et les certificats applicables à toutes les appliances du réseau.

Zones pare-feu

Vous pouvez configurer des zones dans le réseau et définir des stratégies pour contrôler la manière dont le trafic entre et quitte les zones. Les zones suivantes sont disponibles par défaut :

  • Default_lan_zone : s’applique au trafic vers ou en provenance d’un objet avec une zone configurable, où la zone n’a pas été définie.
  • Internet_Zone : s’applique au trafic vers ou en provenance d’un service Internet à l’aide d’une interface approuvée.
  • Untrusted_Internet_Zone : s’applique au trafic vers ou en provenance d’un service Internet à l’aide d’une interface non fiable.

Zones pare-feu

Vous pouvez également créer vos propres zones et les affecter aux types d’objets suivants :

  • Interfaces réseau virtuelles
  • Services Intranet
  • Tunnels GRE
  • Tunnels IPSec LAN

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Paramètres par défaut du pare-feu

Vous pouvez configurer les paramètres globaux de pare-feu qui peuvent être appliqués à toutes les appliances du réseau SD-WAN. Les paramètres peuvent également être définis au niveau du site, ce qui remplace le paramètre global.

Paramètres par défaut du pare-feu

  • Action de pare-feu par défaut : sélectionnez une action (Allow/Drop) dans la liste pour les paquets qui ne correspondent pas à une stratégie.

  • Suivi de l’état de connexion par défaut : active le suivi de l’état de connexion directionnel pour les flux TCP, UDP et ICMP qui ne correspondent pas à une stratégie de filtre ou à une règle NAT.

    Remarque

    Les flux asymétriques sont bloqués lorsque le suivi de l’état de connexion par défaut est activé même lorsqu’aucune stratégie de pare-feu n’est définie. S’il existe une possibilité de flux asymétriques sur un site, il est recommandé de l’activer au niveau du site ou de la politique et non globalement.

  • Denied Timeout (s) : Temps (en secondes) d’attente de nouveaux paquets avant de fermer les connexions refusées.

  • TCP Initial Timeout (s) : Temps (en secondes) d’attente de nouveaux paquets avant de fermer une session TCP incomplète.

  • TCP Idle Timeout (s) : Temps (en secondes) d’attente de nouveaux paquets avant de fermer une session TCP active.

  • TCP Closing Timeout : Temps (en secondes) d’attente de nouveaux paquets avant de fermer une session TCP après une demande de fin.

  • TCP Time Wait Timeouts (sP : Temps (en secondes) d’attente de nouveaux paquets avant de fermer une session TCP terminée.

  • TCP Closed Timeout (s) : Temps (en secondes) d’attente de nouveaux paquets avant de fermer une session TCP abandonnée.

  • UDP Initial Timeout (s) : Temps (en secondes) d’attente de nouveaux paquets avant de fermer la session UDP qui n’a pas vu de trafic dans les deux sens.

  • UDP Idle Timeout (s) : Temps (en secondes) d’attente de nouveaux paquets avant de fermer une session UDP active.

  • ICMP Initial Timeout (s) : Temps (en secondes) d’attente de nouveaux paquets avant de fermer une session ICMP qui n’a pas vu de trafic dans les deux directions

  • ICMP Idle Timeout (s) : Temps (en secondes) d’attente de nouveaux paquets avant de fermer une session ICMP active.

  • Generic Initial Timeout (s) : Temps (en secondes) d’attente de nouveaux paquets avant de fermer une session générique qui n’a pas vu de trafic dans les deux sens.

  • Generic Idle Timeout (s) : Temps (en secondes) d’attente de nouveaux paquets avant de fermer une session générique active.

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Profils pare-feu

Les profils de pare-feu assurent la sécurité en garantissant que le trafic réseau est limité uniquement à une règle de pare-feu spécifique en fonction des critères de correspondance et en appliquant des actions spécifiques. Les profils de pare-feu contiennent trois sections.

  • Profils globaux — Profil global est une agrégation de quelques règles de pare-feu. Le profil que vous créez dans la section Profils globaux s’applique à tous les sites du réseau.
  • Profils spécifiques au site — Vous pouvez appliquer les règles de pare-feu définies sur certains sites spécifiques.
  • Profil global de remplacement  : vous pouvez remplacer les profils globaux et spécifiques au site à l’aide des profils globaux de remplacement.

Profils pare-feu

Vous pouvez définir des règles de pare-feu et les placer en fonction de la priorité. Vous pouvez choisir l’ordre de priorité à partir du haut de la liste, du bas de la liste ou d’une ligne spécifique.

Il est recommandé d’avoir des règles plus spécifiques pour les applications ou les sous-applications en haut, suivies de règles moins spécifiques pour celles qui représentent un trafic plus large.

Paramètres par défaut du pare-feu

Pour créer une règle de pare-feu, cliquez sur Créer une nouvelle règle.

Détails de stratégie de pare-feu

  • Indiquez un nom de profil et activez la case à cocher Profil actif si vous souhaitez appliquer toutes les règles de pare-feu.
  • Les critères de correspondance définissent le trafic de la règle, par exemple, une application, une application définie personnalisée, un groupe d’applications, une famille d’applications ou un protocole IP.

  • Critères de filtrage :

    • Zone source : zone de pare-feu source.

    • Zone de destination : zone de pare-feu de destination.

    • Type de service source : Le type de service SD-WAN source — Local, Chemin virtuel, Intranet, Hôte IP ou Internet sont des exemples de types de service.

    • Nom du service source : nom d’un service lié au type de service. Par exemple, si le chemin virtuel est sélectionné pour le type de service source, il s’agit du nom du chemin virtuel spécifique. Cela n’est pas toujours obligatoire et dépend du type de service sélectionné.

    • IP source : l’adresse IP et le masque de sous-réseau que la règle utilise pour correspondre.

    • Port source : port source utilisé par l’application spécifique.

    • Type de service Dest : Le type de service SD-WAN de destination — Local, Chemin virtuel, Intranet, Hôte IP ou Internet sont des exemples de types de service.

    • Nom du service Dest : nom d’un service lié au type de service. Cela n’est pas toujours obligatoire et dépend du type de service sélectionné.

    • IP Dest : l’adresse IP et le masque de sous-réseau que le filtre utilise pour correspondre.

    • Port Dest : port de destination utilisé par l’application spécifique (c’est-à-dire le port de destination HTTP 80 pour le protocole TCP).

    • Protocole IP : si ce type de correspondance est sélectionné, sélectionnez un protocole IP avec lequel la règle correspond. Les options incluent ANY, TCP, UDP ICMP et ainsi de suite.

    • DSCP : permet à l’utilisateur de faire correspondre un paramètre de balise DSCP.

    • Autoriser les fragments : autorise les fragments IP qui correspondent à cette règle.

    • Inverser aussi : ajoutez automatiquement une copie de cette stratégie de filtre avec les paramètres source et destination inversés.

    • Correspondance établie : Faites correspondre les paquets entrants pour une connexion à laquelle les paquets sortants ont été autorisés.

  • Les actions suivantes peuvent être exécutées sur un flux apparié :

    • Autoriser : Autoriser le flux à travers le pare-feu.

    • Drop : Refuser le flux à travers le pare-feu en déposant les paquets.

    • Rejeter : Refuser le flux via le pare-feu et envoyer une réponse spécifique au protocole. TCP envoie une réinitialisation, ICMP envoie un message d’erreur.

    • Compter et continuer : comptez le nombre de paquets et d’octets pour ce flux, puis continuez vers le bas de la liste des stratégies.

Outre la définition de l’action à effectuer, vous pouvez également sélectionner les journaux à capturer.

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Chiffrement réseau

Sélectionnez le mécanisme de chiffrement à utiliser sur le réseau. Vous pouvez configurer les paramètres de sécurité globaux qui sécurisent l’ensemble du réseau SD-WAN.

Le mode de chiffrement réseau définit l’algorithme utilisé pour tous les chemins chiffrés du réseau SD-WAN. Elle ne s’applique pas aux chemins non chiffrés. Vous pouvez définir le chiffrement comme AES-128 ou AES-256.

Mode de chiffrement réseau

Prévention des intrusions

Le système de prévention des intrusions (IPS) détecte et empêche les activités malveillantes d’entrer sur votre réseau. IPS inspecte le trafic réseau et effectue des actions automatisées sur tous les flux de trafic entrant.

IPS utilise la détection basée sur la signature, qui fait correspondre les paquets entrants à une base de données de modèles d’exploits et d’attaques identifiables de manière unique.

La base de données des signatures est automatiquement mise à jour quotidiennement. Comme il y a des milliers de signatures, les signatures sont regroupées en types Catégorie et Classe. Vous pouvez sélectionner des attributs de signature de type Catégorie ou Classe spécifiques pour créer des règles de prévention des intrusions. S’il existe une règle correspond aux journaux IPS, bloque ou autorise les paquets en fonction de l’action de règle.

Vous pouvez créer des règles IPS globalement pour l’ensemble du réseau et choisir d’activer ou de désactiver la prévention des intrusions tout en définissant des profils de sécurité.

Remarque

  • Étant donné que la prévention des intrusions est un processus sensible au calcul, utilisez uniquement l’ensemble minimal de catégories de signatures pertinentes pour vos déploiements de sécurité Edge.
  • Le pare-feu SD-WAN supprime le trafic sur tous les ports WAN L4 qui ne sont pas transférés par port et ne sont pas visibles dans le moteur IPS. Cela fournit une couche de sécurité supplémentaire contre les attaques DOS et scan triviales.

Pour créer des règles de prévention des intrusions, au niveau du réseau, accédez à Configuration > Sécurité > Prévention des intrusions, puis cliquez sur Nouvelle règle.

La prévention des intrusions crée une règle

Fournissez un nom et une description de la règle. Sélectionnez les attributs de signature de catégorie ou de type de classe de correspondance, sélectionnez l’action de règle et activez la. Vous pouvez choisir parmi les actions de règle suivantes :

Action de règle Fonction
Recommandé Des actions recommandées sont définies pour chaque signature. Effectuez l’action recommandée pour les signatures.
Activer le journal Autoriser et consigner le trafic correspondant à l’une des signatures de la règle.
Activer le bloc si recommandé est activé Si l’action de règle est Recommandée et que l’action recommandée par la signature est Activer le journal, abandonnez le trafic correspondant à l’une des signatures de la règle.
Activer le bloc Suppriment le trafic correspondant à l’une des signatures de la règle.
Désactiver Les signatures sont désactivées. Autoriser le trafic à continuer vers la destination sans journalisation.
Autoriser la liste Les réseaux source et de destination de la signature sont modifiés pour exclure les réseaux définis par la variable de liste d’autorisation.

Page Règle

Vous pouvez définir des profils de sécurité et activer ou désactiver les règles de prévention des intrusions. Les profils de sécurité sont utilisés pour créer des règles de pare-feu. Pour plus d’informations, consultez Profil de sécurité — Prévention des intrusions.

Paramètres IPSec du chemin virtuel

Les paramètres IPsec du chemin virtuel définissent les paramètres du tunnel IPsec pour garantir la transmission sécurisée des données sur les chemins virtuels statiques et les chemins virtuels dynamiques. Sélectionnez l’onglet Chemins virtuels statiques IPsec ou Chemins virtuels dynamiques IPsec pour définir les paramètres du tunnel IPSec.

  • Type d’encapsulation : choisissez l’un des types de sécurité suivants :
    • ESP : Les données sont encapsulées et chiffrées.
    • ESP+Auth : Les données sont encapsulées, chiffrées et validées avec un HMAC.
    • AH : Les données sont validées avec un HMAC.
  • Mode de chiffrement : algorithme de chiffrement utilisé lorsque ESP est activé.
  • Algorithme de hachage : algorithme de hachage utilisé pour générer un HMAC.
  • Durée de vie (s) : Durée préférée, en secondes, pour qu’une association de sécurité IPSec existe. Entrez 0 pour illimité.

Pour plus d’informations sur la configuration du service IPsec, reportez-vous au service IPsec.

Paramètre IPsec du chemin virtuel

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Certificats

Il existe deux types de certificats : Identité et Certificat de confiance. Les certificats d’identité sont utilisés pour signer ou chiffrer des données afin de valider le contenu d’un message et l’identité de l’expéditeur. Les certificats approuvés sont utilisés pour vérifier les signatures de message. Les appliances Citrix SD-WAN acceptent à la fois les certificats d’identité et les certificats approuvés. Les administrateurs peuvent gérer les certificats dans l’Éditeur de configuration.

Certificat

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Pour ajouter un certificat, cliquez sur Ajouter un certificat.

  • Nom du certificat : Indiquez le nom du certificat.

  • Type de certificat : sélectionnez le type de certificat dans la liste déroulante.

    • Certificats d’identité : les certificats d’identité exigent que la clé privée du certificat soit disponible pour le signataire. Certificats d’identité ou leurs chaînes de certificats qui sont approuvés par un homologue pour valider le contenu et l’identité de l’expéditeur. Les certificats d’identité configurés et leurs empreintes digitales respectives sont affichés dans l’éditeur de configuration.

    • Certificats approuvés : Les certificats approuvés sont auto-signés, des certificats d’autorité de certification intermédiaire (CA) ou d’autorité de certification racine utilisés pour valider l’identité d’un homologue. Aucune clé privée n’est requise pour un certificat de confiance. Les certificats approuvés configurés et leurs empreintes digitales respectives sont répertoriés ici.

Certificat de sécurité.

Sécurité