mercredi 5 octobre 2011

Check Point et les règles de sécurité sur la base d'objects 'domain' faisant référence à des FQDN

Avec Check Point, vous allez être capable d'établir des règles de sécurité sur la base d'objets 'domain' faisant référence à des FQDN ou des noms de domaines dont un ou plusieurs domaines de niveau inférieur ont été omis.

Tout d'abord, que dit le support Check Point à ce sujet:
 1) Cela est déconseillé
 2) Si (toutefois) vous en avez besoin (alors qu'on le déconseille), placez ces règles en dernier
 3) Faites attention (;))

Pourquoi ? C'est très simple: les requêtes des utilisateurs qui vont transiter au travers du firewall sous forme de trames ne contiennent pas des FQDN mais des adresses IP.

Le firewall va alors tenter de faire correspondre la requête (@IP source/@IP destination/port destination) à chacune de ses règles de sécurité.
Arrivé à celle(s) contenant ces objets 'domain', le firewall va devoir interroger le DNS pour une résolution inverse lui permettant de traduire l'@IP concernée en un nom FQDN.
=> si le FQDN obtenu correspond à l'objet 'domain', la règle est validée.
=> dans le cas contraire: l'interrogation DNS aura été inutile et le firewall va alors tenter de faire correspondre la requête avec les règles suivantes.

Vous vous douter bien que:
 . Le firewall voit passer énormément de requêtes par seconde...
 . Il est impératif que les DNS soient 'proches' des firewalls
 . Le firewall est à présent dépendant d'un service externe qui peut ne pas être géré par les mêmes équipes qui gèrent le firewall.

Alors bien sûr, le firewall va emmagasiner les résultats des précédentes requêtes DNS.
Mais bon:
 . S'il est prévu une maintenance des serveurs DNS, n'oubliez pas de désactiver les règles de sécurité contenant des objets 'domain'
 . Regroupez ces règles de sécurité dans un label clairement identifié
 . Éliminez un maximum de flux auparavant

Aucun commentaire:

Enregistrer un commentaire