NetASQ U70 v9 : FTPS ?

NetASQ U70 v9 : FTPS ? - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 22-09-2011 à 10:23:05    

Bonjour à tous,
 
Nous venons de mettre en place un U70 dans la société. Avant de le mettre en prod, j'ai vu que la v9 était dispo. Apparemment, c'est une grosse mise à jour, et celle-ci, contrairement aux autres mises à jour, nécessite de tout reconfigurer. Du coup, plutôt que d'attendre que le U70 soit en prod pour le basculer sur la nouvelle version, j'ai décidé de le faire pendant mes tests. Bon, je pense que c'est une erreur, cette V9 me pose pas mal de soucis que je n'avais pas avec la v8 pendant mes tests.
Bref, pas mal de choses ont changé, et je suis un peu perdu.
 
Au niveau de la config réseau, c'est relativement simple : 2 modems PPPoE, chacun connectés directement sur les ports 1 et 2 du U70. En 3, j'ai la patte vers mon LAN, 4/5 pour l'instant inutilisé, et en 6 la DMZ.
 
J'ai activé le load balancing entre les 2 connections ADSL, pas de soucis.
 
Maintenant j'aimerai, lorsque je veux me connecter depuis mon LAN vers une IP particulière (monHost, 10.0.0.1), utiliser une seule des 2 connections. J'ai donc rajouté une route statique :


Destination |  Adresse range  | Interface | Gateway
monHost       10.0.0.1                 IN           Firewall_Orange_dial_peer


 
J'ai l'impression que ça va pas mal, en tout cas j'arrive depuis le lan à ping l'ip 10.0.0.1 et en faisant des traceroutes je sors bien sur Orange. Maintenant, quand j'essaie de lancer ma connection FTPS, je me retrouve avec ça comme alarme :
(jeu. 22. sept. 10:21:03 2011)


Firewall : 192.168.88.10, Date : 10:07:33, Date UTC : 08:07:33, Date de début : 10:07:32, Date de début UTC : 08:07:32, Fuseau horaire : +0200, Traces : Alarme, Action : block, Priorité : Majeur, Règle : , Config : Config, Politique : , Utilisateur : , Protocole : ephemeral_fw_tc, Groupe de connexions : , Interface source : Orange_dial, Source : monHost.com, Adr source : 10.0.0.1, Port src. : ftps, Port src.(num) : 990, Source modif. : , Port src modif. : , Dest originale : , Port dest. original : , Interface de destination : , Destination : Firewall_Orange_dial, Adr. destination : Mon.IP.Publique.Orange, Port de destination : ephemeral_fw_tcp, Port de dst (num) : 20011, Détails : [b]Usurpation d'adresse IP (type=2)[/b]; Config: Config, Alarme sensible : Non, Copie : , Id : 1, Contexte : protocol, Type d'alarme : Protocole, Appelant : , Appelé : , Durée : , Envoyé : , Reçu : , Opération : , Résultat : , Paramètre : , Catégorie : , Niveau de spam : , Virus : , Protocole IP : tcp, Média : , Message : Usurpation d'adresse IP (type=2), Code ICMP : , Type ICMP : , Paquet :


Usurpation d'adresse IP ?
 
Si je désactive la route statique, je n'ai pas le problème (bon je me fais bloquer mais là c'est mon filtrage en sortie qui a priori est à revoir...).
Une idée ?


Message édité par petoulachi le 26-09-2011 à 19:27:34
Reply

Marsh Posté le 22-09-2011 à 10:23:05   

Reply

Marsh Posté le 23-09-2011 à 17:39:40    

tu peux faire du bypass asq pour éviter les alarmes pour certaines connections;  
essaies de voir si ça répond à ton problème;

Reply

Marsh Posté le 24-09-2011 à 09:22:50    

J'ai pas trouvé ou tu pouvais faire ça sur la v9 ?

Reply

Marsh Posté le 26-09-2011 à 19:33:20    

Bon je n'arrive même pas à faire fonctionner le FTPS sans avoir de loadbalancing : forcement au moment de l'ouverture du canal de donnée, le netasq ne voit pas passer la commande PASV et donc n'autorise pas temporairement le port demandé en sortie (car je bloque les ports en sortie).
Si j'essaie de mettre en place du decryptage sur le port 990, j'arrive meme plus à me connecter au serveur FTPS...

 

Quelqu'un a déjà réussi à faire ça ?


Message édité par petoulachi le 26-09-2011 à 19:34:01
Reply

Marsh Posté le 06-02-2012 à 01:24:28    

Bonjour,
 
Ce n'est pas le protocole FTPS qui pose problème.
Il s'agit de spoofing d'adresse IP de type 2, soit comme l'indique la base de connaissance NETASQ (accessible depuis ton espace client) :
 
-----------------
The "IP address spoofing" alarm is raised when there is an inconsistency between an IP address and the interface which receives it.
 
There are three types of IP address spoofing :
 
"type 1" : It is triggered when a packet is received by a protected interface but it's source IP address does not belong to a network protected by this interface.
 
"type 2" : This alarm is raised when a packet originating from a protected network is received by a non protected interface.
 
"type 3" : The UTM raises this alarm when it receives a packet whose source IP is one of the UTM interfaces.
 
 
More detail on the IP address spoofing can be found in the NETASQ UTM best practices. (available from your private area on NETASQ website  
-----------------------
 
Quelle est exactement le route statique que tu as créé? Je la soupçonne d'être à l'origine de ton problème.
En effet, le fait de créer une route statique pour joindre la machine 10.0.0. entraîne que cette machine est considérée comme protégée par l'ASQ 'prévention d'intrusion) du NETASQ. Or, je suppose que ton interface "Orange_dial" est non protégée.
Je te déconseille de passer à "protégéeé ton interface, je te conseille plutôt de supprimer ta route statique et de plutôt créer une règle de PBR (policy based routing) directement au sein de la politique de filtrage (double clique sur l'action et séléctionne ta passerelle que tu souhaites utiliser pour contacter ton serveur).
 
Crée une règle du genre :
- etat: on
- action: passer + routage vers ton routeur
- source: network_lan
- destination: 10.0.0.1


Message édité par lino599 le 06-02-2012 à 01:26:40
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed