> Tech > Les solutions TCP/IP et LAN

Les solutions TCP/IP et LAN

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

Nous venons de créer un réseau logique séparé sur le LAN existant, en utilisant l'espace 192.168.x.x IP pour les imprimantes TCP/IP. Comme nous ne voulons pas que ces unités soient accessibles par Internet, ce réseau est complètement séparé de notre réseau logique connecté sur Internet 10.x.x.x. Or, depuis que ce réseau a été activé, notre pare-feu Sonicwall émet des alarmes « IP spoof » plusieurs fois par minute. 

Etant donné que les imprimantes ne pointent pas vers le pare-feu comme une passerelle, je ne m'explique pas comment le pare-feu connaît la présence des imprimantes.
J'ai essayé de filtrer les adresses 192.168.x.x dans les règles du pare-feu, mais sans effet visible.

Les solutions TCP/IP et LAN

Vous avez raison de vouloir aller à la racine du problème. Confrontés à cette même difficulté, d’autres hélas se contenteraient de désactiver la journalisation du pare-feu, éliminant du même coup la raison d’être de celui-ci qui est, rappelons-le, de signaler toute situation insolite ou suspecte. Et, précisément, le pare-feu est en train de vous dire la vérité : un nouveau réseau inattendu est apparu sur votre LAN. Et il va continuer obstinément à déclencher l’alarme, tant que vous ne lui aurez pas dit que cette situation est normale.
 


Toutefois, avant de corriger le problème, il faut bien comprendre la manière dont le pare-feu le détecte. Même si vos imprimantes n’utilisent pas le pare-feu comme passerelle, elles n’en transmettent pas moins des paquets broadcast qui seront envoyés vers le pare-feu, de la même manière qu’ils sont envoyés vers toute autre unité du LAN. Quand le pare-feu voit que ces paquets ont une adresse d’origine inconnue, il les considère aussitôt hostiles. A juste titre, car les paquets pourraient fort bien émaner d’une connexion Internet par la petite porte, d’un tunnel VPN non autorisé, voire d’un point d’accès sans fil illicite. En toute hypothèse, comme ils signalent une menace potentielle pour la sécurité, le pare-feu les considère comme une grave anomalie.


Il faut donc dire au pare-feu que l’espace d’adresse 192.168.x.x est une partie légitime de votre LAN. Vous pouvez le faire en ajoutant une route statique au pare-feu en listant le réseau 192.168.0.0/16 comme destination (c’est-à-dire, un masque subnet 255.255.0.0) et votre routeur interne comme la passerelle du prochain tronçon. Dans votre cas, comme les imprimantes qui se trouvent dans cet espace d’adresse ne communiqueront jamais avec Internet, vous pouvez fort bien utiliser une adresse IP fictive dans votre réseau 10.x.x.x comme prochain tronçon. Seule exigence : l’adresse du prochain tronçon doit se trouver sur le même subnet logique que l’adresse LAN du pare-feu.


Vous devez néanmoins continuer à configurer des règles de filtrage qui empêchent les imprimantes d’atteindre le LAN, par mesure de sécurité. Dans le cas où un virus tenterait une attaque par déni de service (DoS) sur une imprimante en imitant son adresse IP, le pare-feu empêcherait ce trafic d’atteindre Internet.


Enfin, il est bon que le réseau privé soit le plus petit possible. Ainsi, si vos imprimantes tiennent toutes dans un réseau /24 unique, limitez la route statique que vous ajoutez au pare-feu à ce /24 unique, plutôt qu’à tout le réseau 192.168. 0.0/16. De sorte que si une autre unité malveillante apparaît sur votre réseau dans l’espace 192.168.x.x, sa présence vous sera signalée.

Téléchargez gratuitement cette ressource

IBMi et Cloud : Table ronde Digitale

IBMi et Cloud : Table ronde Digitale

Comment faire évoluer son patrimoine IBMi en le rendant Cloud compatible ? Comment capitaliser sur des bases saines pour un avenir serein ? Faites le point et partagez l'expertise Hardis Group et IBM aux côtés de Florence Devambez, DSI d'Albingia.

Tech - Par iTPro.fr - Publié le 24 juin 2010