Configurer la connectivité sécurisée des filiales locales
Maintenant que vous avez vérifié la connectivité LAN/WAN, vous êtes prêt à utiliser l’interface DE ligne de commande Junos pour déployer des VLAN et des stratégies associées afin de sécuriser la connectivité LAN et WAN.
Les plates-formes SRX sont axées sur la sécurité. C’est ce qu’ils font. La sécurisation de la connectivité locale et Internet à l’ère moderne est essentielle. Nous vous montrerons comment configurer le SRX pour répondre à vos besoins en matière de sécurité.
Configuration des VLAN et des stratégies de sécurité
Objectifs de connectivité des filiales locales
La Figure 1 détaille les objectifs de connectivité des filiales locales utilisés dans ces procédures.
locales
Voici comment nous pourrons atteindre ces objectifs :
- Placer les employés dans la zone ()/trustVLAN devlan-trust confiance. Leur permet d’accéder pleinement à Internet et d’initier une connectivité spécifique aux équipements de la contractors zone.
- La filiale gère les ventes au détail et fournit une connexion Wi-Fi gratuite aux clients. Placez le guests VLAN dans la guests zone et autorisez un accès Internet limité.
- Les sous-traitants travaillent sur une nouvelle application d’entreprise basée sur le Web dans les filiales locales. Placez les sous-traitants dans la contractors zone/VLAN sans leur permettre d’accéder à Internet. Les sous-traitants ne peuvent pas communiquer avec ces zones ou guests ces trust zones.
Le tableau suivant résume les exigences de connectivité VLAN :
| ID VLAN | Nom/zone | Sous-réseau | Accès à Internet ? | Stratégie de sécurité |
|---|---|---|---|---|
| 3 * | vlan-trust/trust * | 192.168.2.0/24 * | Complet * |
|
| 20 | Invités | 192.168.20.0/24 | HTTP et HTTPS uniquement |
|
| 30 | Entrepreneurs | 192.168.30.0/24 | Non |
|
Les entrées du tableau marquées d’un « * » pour vlan-trust sont déjà en place via la configuration par défaut définie en usine. Nous vous avons dit que ce serait facile ! Tout ce qui est nécessaire pour la zone par défaut définie en trust usine est d’ajouter une stratégie de sécurité autorisant les protocoles spécifiés de la trust zone à la contractors zone.
Autoriser la confiance aux sous-traitants pour le trafic de la zone
Pour atteindre les objectifs de connectivité stipulés, créez une stratégie de sécurité permettant d’autoriser un trafic spécifique (HTTP/HTTPS et ping) de la trust zone vers la contractors zone. En tant qu’équipement de sécurité, le SRX dispose d’une stratégie de refus-tout par défaut pour le trafic inter-zone. Dans la configuration par défaut définie en usine, le trafic n’est autorisé que pour les trust untrust zones.
set security policies from-zone trust to-zone contractors policy trust-to-contractors match source-address any set security policies from-zone trust to-zone contractors policy trust-to-contractors match destination-address any set security policies from-zone trust to-zone contractors policy trust-to-contractors match application junos-http set security policies from-zone trust to-zone contractors policy trust-to-contractors match application junos-https set security policies from-zone trust to-zone contractors policy trust-to-contractors match application junos-ping set security policies from-zone trust to-zone contractors policy trust-to-contractors then permit
Dans cet exemple, nous la restons simple et correspondons à n’importe quelle adresse IP source ou de destination. Ici, il suffit de correspondre à la zone source et de destination pour le contrôle des stratégies. Pour une meilleure sécurité, envisagez de définir des entrées de carnet d’adresses pour le trust sous-réseau et contractors les préfixes 192.168.2.0/24 et 192.168.30.0/24 de cette filiale. Avec l’entrée du carnet d’adresses, vous pouvez assortir et .source-address trust destination-address contractors
De plus, vous pouvez ajouter des entrées de carnet d’adresses spécifiques à l’hôte pour contrôler les adresses IP spécifiques autorisées à communiquer entre les zones. Si vous utilisez une adresse IP spécifique à l’hôte dans votre stratégie, assurez-vous d’attribuer une adresse IP statique aux hôtes associés. Si vous vous souvenez, nous utilisons DHCP dans cet exemple. Ainsi, si un contrat de location est obsolète ou qu’une machine client redémarre, les machines clientes se voient automatiquement attribuer une nouvelle adresse IP, sauf si vous avez affecté des adresses IP statiques aux hôtes associés.
Configuration du VLAN, de la zone de sécurité et des stratégies de sécurité des invités
Mettons ces invités en service. Après tout, ils ont des achats en ligne à faire! À un niveau élevé, cette tâche implique les éléments clés suivants :
- Définir le guest VLAN et l’associer à une ou plusieurs interfaces LAN
- Définir l’interface intégrée de routage et de pontage (IRB) du VLAN
- Configurer un serveur DHCP pour attribuer des adresses IP aux membres du VLAN
- Définir une zone et une stratégie de sécurité en fonction des besoins de connectivité du VLAN
- Connectez-vous en tant que root à l’équipement SRX. Vous pouvez utiliser un accès console ou SSH. Lancez l’interface CLI et entrez le mode de configuration.
login: branch_SRX (ttyu0) root@branch_SRX% cli root@branch_SRX> configure Entering configuration mode [edit] root@branch_SRX#
- Définissez le guests VLAN et associez-le à une interface IRB. Cette interface IRB sert de passerelle par défaut pour les équipements du VLAN.
[edit] root@branch_SRX# set vlans guests vlan-id 20 root@branch_SRX# set vlans guests l3-interface irb.20
- Placez l’interface ge-0/0/1 dans le guests VLAN. Dans la configuration par défaut, cette interface, comme la plupart, appartient au trust VLAN. Vous commencez par supprimer l’association VLAN actuelle de l’interface afin de la remplacer par le VLAN mis à jour guests .
[edit] root@branch_SRX# delete interfaces ge-0/0/1 unit 0 root@branch_SRX# set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members guests
- Configurez l’interface IRB pour le guests VLAN. Cette étape affecte un sous-réseau IP au VLAN. Dans cet exemple, vous associez l’ID VLAN au numéro d’unité IRB pour que les choses se mémorisent plus facilement. Cette association est réservée à la commodité. Vous pouvez utiliser n’importe quel numéro d’unité inutilisé pour cette étape.
[edit] root@branch_SRX# set interfaces irb unit 20 family inet address 192.168.20.1/24
- Configurez le serveur DHCP pour le guests VLAN. Notez que l’interface IRB du VLAN est configurée en tant qu’interface de serveur DHCP. Cette configuration attribue des adresses IP à partir de la plage spécifiée et attribue également au client un routage par défaut et une adresse de serveur DNS public. Le routage par défaut indique l’IRB du VLAN comme saut suivant pour tout trafic non local (entre VLAN et LAN vers WAN).
[edit] root@branch_SRX# set system services dhcp-local-server group GUEST-POOL interface irb.20 root@branch_SRX# set access address-assignment pool GUEST-POOL family inet network 192.168.20.0/24 root@branch_SRX# set access address-assignment pool GUEST-POOL family inet range GUEST-POOL-IP-RANGE low 192.168.20.10 root@branch_SRX# set access address-assignment pool GUEST-POOL family inet range GUEST-POOL-IP-RANGE high 192.168.20.100 root@branch_SRX# set access address-assignment pool GUEST-POOL family inet dhcp-attributes domain-name srx-branch.com root@branch_SRX# set access address-assignment pool GUEST-POOL family inet dhcp-attributes name-server 8.8.8.8 root@branch_SRX# set access address-assignment pool GUEST-POOL family inet dhcp-attributes router 192.168.20.1
- Les membres du guests VLAN bénéficient d’un accès Internet. Étant donné que la filiale locale utilise uniquement des adresses IP RFC-1918 à usage local, l’accès Internet nécessite que le SRX exécute la traduction d’adresses nat source sur l’adresse IP de l’interface WAN. Seules les adresses IP routables à l’échelle mondiale peuvent être utilisées sur Internet. Voici comment définir une stratégie NAT source pour le guests VLAN :
[edit] root@branch_SRX# set security nat source rule-set guests-to-untrust from zone guests root@branch_SRX# set security nat source rule-set guests-to-untrust to zone untrust root@branch_SRX# set security nat source rule-set guests-to-untrust rule guest-nat-rule match source-address 0.0.0.0/0 root@branch_SRX# set security nat source rule-set guests-to-untrust rule guest-nat-rule then source-nat interface
- Presque terminé. Ensuite, vous créez la zone de guests sécurité. Dans le cadre de ce processus, vous placez l’IRB du VLAN associé dans la nouvelle zone. Une partie de la définition d’une zone consiste à spécifier les protocoles et services autorisés à circuler depuis cette zone vers le plan de contrôle de l’équipement SRX.
Par exemple, vous autorisez les utilisateurs du VLAN à lancer du guests trafic DHCP et ping dans le plan de contrôle local. Cela permet à l’invité de demander une adresse IP à l’aide de DHCP, et de ping iRB de son VLAN à des fins de débogage, tout en bloquant tous les autres services et protocoles vers l’hôte local. Par conséquent, les utilisateurs de la guest zone sont bloqués pour lancer Telnet ou SSH vers la passerelle SRX de filiale. En revanche, les utilisateurs de la trust zone sont autorisés à initier des connexions SSH au SRX.
[edit] root@branch_SRX# set security zones security-zone guests interfaces irb.20 root@branch_SRX# set security zones security-zone guests host-inbound-traffic system-services dhcp root@branch_SRX# set security zones security-zone guests host-inbound-traffic system-services ping
- La dernière étape consiste à définir les stratégies de sécurité pour le guests VLAN. Pour raccourcir les instructions de configuration, nous nous « garons » dans la
[edit security policies]hiérarchie. Pour limiter l’accès à Internet, votre stratégie prend uniquement en charge HTTP, HTTPS, DNS et ping.[edit security policies ] root@branch_SRX# set from-zone guests to-zone untrust policy guests-to-untrust match source-address any root@branch_SRX# set from-zone guests to-zone untrust policy guests-to-untrust match destination-address any root@branch_SRX# set from-zone guests to-zone untrust policy guests-to-untrust match application junos-http root@branch_SRX# set from-zone guests to-zone untrust policy guests-to-untrust match application junos-https root@branch_SRX# set from-zone guests to-zone untrust policy guests-to-untrust match application junos-ping root@branch_SRX# set from-zone guests to-zone untrust policy guests-to-untrust match application junos-dns-udp root@branch_SRX# set from-zone guests to-zone untrust policy guests-to-untrust then permit
Configurations rapides
Invités Configuration rapide VLAN
Voici la configuration complète pour définir le guests VLAN et ses stratégies de sécurité dans un format défini. Pour être opérationnel rapidement, il vous suffit de modifier les instructions de configuration selon les besoins de votre environnement et de les coller dans votre SRX.
set vlans guests vlan-id 20 set vlans guests l3-interface irb.20 delete interfaces ge-0/0/1 unit 0 set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members guests set interfaces irb unit 20 family inet address 192.168.20.1/24 set system services dhcp-local-server group GUEST-POOL interface irb.20 set access address-assignment pool GUEST-POOL family inet network 192.168.20.0/24 set access address-assignment pool GUEST-POOL family inet range GUEST-POOL---IP-RANGE low 192.168.20.10 set access address-assignment pool GUEST-POOL family inet range GUEST-POOL---IP-RANGE high 192.168.20.100 set access address-assignment pool GUEST-POOL family inet dhcp-attributes domain-name srx-branch.com set access address-assignment pool GUEST-POOL family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool GUEST-POOL family inet dhcp-attributes router 192.168.20.1 set security nat source rule-set guests-to-untrust from zone guests set security nat source rule-set guests-to-untrust to zone untrust set security nat source rule-set guests-to-untrust rule guest-nat-rule match source-address 0.0.0.0/0 set security nat source rule-set guests-to-untrust rule guest-nat-rule then source-nat interface set security zones security-zone guests interfaces irb.20 set security zones security-zone guests host-inbound-traffic system-services dhcp set security zones security-zone guests host-inbound-traffic system-services ping set security policies from-zone guests to-zone untrust policy guests-to-untrust match source-address any set security policies from-zone guests to-zone untrust policy guests-to-untrust match destination-address any set security policies from-zone guests to-zone untrust policy guests-to-untrust match application junos-http set security policies from-zone guests to-zone untrust policy guests-to-untrust match application junos-https set security policies from-zone guests to-zone untrust policy guests-to-untrust match application junos-ping set security policies from-zone guests to-zone untrust policy guests-to-untrust match application junos-dns-udp set security policies from-zone guests to-zone untrust policy guests-to-untrust then permit
Entrepreneurs Configuration rapide VLAN
Le contractors VLAN et la zone de sécurité associée sont semblables à ceux détaillés ci-dessus pour le guests VLAN. Nous économisons du papier en passant directement à la configuration rapide pour le contractors VLAN.
Le manque de définition des stratégies de sécurité pour la contractors zone est important. Avec une stratégie explicite, la politique de refus par défaut de toutes les stratégies est pleinement effective pour tout trafic inter-zone initié à partir de cette zone ! En conséquence, tout le trafic qui s’initie dans la contractors zone est bloqué pour entrer dans toutes les autres zones.
set vlans contractors vlan-id 30 set vlans contractors l3-interface irb.30 delete interfaces ge-0/0/3 unit 0 set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members contractors set interfaces irb unit 30 family inet address 192.168.30.1/24 set system services dhcp-local-server group CONTRACTORS-POOL interface irb.30 set access address-assignment pool CONTRACTORS-POOL family inet network 192.168.30.0/24 set access address-assignment pool CONTRACTORS-POOL family inet range CONTRACTORS-POOL-IP-RANGE low 192.168.30.10 set access address-assignment pool CONTRACTORS-POOL family inet range CONTRACTORS-POOL-IP-RANGE high 192.168.30.100 set access address-assignment pool CONTRACTORS-POOL family inet dhcp-attributes domain-name srx-branch.com set access address-assignment pool CONTRACTORS-POOL family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool CONTRACTORS-POOL family inet dhcp-attributes router 192.168.30.1 set security zones security-zone contractors interfaces irb.30 set security zones security-zone contractors host-inbound-traffic system-services dhcp set security zones security-zone contractors host-inbound-traffic system-services ping
Assurez-vous de valider votre configuration pour activer les modifications sur l’équipement SRX.
Résultats
Les résultats de votre configuration VLAN sécurisée sont affichés au format Junos curly brace. Nous avons omis la configuration par défaut définie en usine dans la section ci-dessous pour plus de brièveté.
root@branch_SRX# [edit]
root@branch-srx# show interfaces irb
. . .
unit 20 {
family inet {
address 192.168.20.1/24;
}
}
unit 30 {
family inet {
address 192.168.30.1/24;
}
}
[edit]
root@branch-srx# show vlans
contractors {
vlan-id 30;
l3-interface irb.30;
}
guests {
vlan-id 20;
l3-interface irb.20;
}
. . .
group CONTRACTORS-POOL {
interface irb.30;
}
group GUEST-POOL {
interface irb.20;
}
[edit]
root@branch-srx# show access address-assignment
. . .
pool CONTRACTORS-POOL {
family inet {
network 192.168.30.0/24;
range CONTRACTORS-POOL-IP-RANGE {
low 192.168.30.10;
high 192.168.30.100;
}
dhcp-attributes {
domain-name srx-branch.com;
name-server {
8.8.8.8;
}
router {
192.168.30.1;
}
}
}
}
pool GUEST-POOL {
family inet {
network 192.168.20.0/24;
range GUEST-POOL---IP-RANGE {
low 192.168.20.10;
high 192.168.20.100;
}
dhcp-attributes {
domain-name srx-branch.com;
name-server {
8.8.8.8;
}
router {
192.168.20.1;
}
}
}
}
. . .
nat {
source {
rule-set guests-to-untrust {
from zone guests;
to zone untrust;
rule guest-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
. . .
from-zone guests to-zone untrust {
policy guests-to-untrust {
match {
source-address any;
destination-address any;
application [ junos-http junos-https junos-ping junos-dns-udp ];
}
then {
permit;
}
}
}
}
zones {
. . .
security-zone contractors {
host-inbound-traffic {
system-services {
dhcp;
ping;
}
}
interfaces {
irb.30;
}
}
security-zone guests {
host-inbound-traffic {
system-services {
dhcp;
ping;
}
}
interfaces {
irb.20;
}
}
}
Nous vous montrerons ensuite comment vérifier que votre configuration fonctionne comme prévu pour sécuriser les communications des filiales locales.