PfSense, volonté de tout bloquer excepté les maj Windows
-
Contexte : Bonjour à tous, dans le cadre d'une évolution au boulot, on a cloisonné une partie de nos serveurs derrière une VIP. Ces serveurs ne disposent plus d'adresse IP publiques.
Besoin : Maintenant, on aimerait fermer l'ensemble des ports et/ou empêcher toute navigation web, tout gardant la possibilité de faire les mises à jour Windows Server.
Règles Firewall : Aujourd'hui, seuls les ports 53, 123, 445 et 139 sont ouverts. Les ports 80 et 443 sont fermés. J'ai cependant essayé d'ouvrir le dialogue avec les serveurs de Microsoft (ci-joint)
Packages ajoutés : Snort est installé, squid fut tenté mais je n'ai pas réussi à configurer les ACL. Une erreur 503 m'était retourné lors des tests de mise à jour.
Question : J'aimerai savoir comment autoriser uniquement les mises à jour Windows et bloquer l'ensemble du trafic restant.
Recherches : Autoriser l'ensemble des ip publiques de Microsoft.
-
Plusieurs points dans cette approche.
La surcharge des fonctionnalités sur une unique machine (pfsense) n'est pas une très bonne idée. S'en est même une mauvaise. Si vous perdez cet équipement vous êtes en tongues sur la banquise. Désagréable.Je ne sais pas ce que vous recherchez avec Snort mais la façon dont vous approchez la question du cloisonnement de vos serveurs et du filtrage de flux applicatifs me laisse dubitatif.
Sur ce point, l'approche par adresses ip sur les réseaux de Microsoft est probablement vouée à l'échec. Microsoft ne vous téléphonera pas à l'avance pour vous informer des modifications de configuration de son réseau. Le filtrage sur la base du protocole ip n'est pas approprié. La solution pourrait être l'usage d'un proxy pour n'autoriser que les flux relatifs aux url de mise à jour. Là encore cette solution va être contraignante. Par ailleurs comme vous avez, légitimement une volonté de cloisonner vos serveurs, une autre approche me semble plus pertinente. Un serveur Wsus dans une zone réseau qui peut accéder à internet. Ce qui n'exclus pas le proxy mais pour d'autres raisons. Vos serveurs Microsoft feront ensuite leurs mises à jour à partir du serveur wsus. Maintenant vous pouvez utiliser du filtrage ip puisque vous maitrisez l'adressage du wsus.
Cette solution répond à votre besoin et elle isole complètement vos serveurs d'internet.
Même le trafic dns n'est plus nécessaire, celui-ci pouvant être source de gros problèmes de sécurité -
Merci d'avoir pris le temps de me répondre.
Le pfsense est évidemment redondé. De plus, il n'y a aucune volonté de l'entreprise de mettre en place un serveur WSUS, c'est même totalement exclus.
J'ai pensé faire un système de filtrage avec des aliases des domaines de Microsoft. Est-ce faisable selon vous ?
Sincères salutations -
A mon avis cette solution sera pénible à maintenir, si toutefois elle est fonctionnelle, ce dont je ne suis pas certain du tout. Vous vous engagez dans une impasse. Mais c'est vous le maitre à bord !
-
Ccnet +1 pour tous sujets (je suis très exceptionnellement en désaccord avec ccnet : ça se compte sur les doigts d'une main et sans doute d'un amputé !)
WSUS n'est pas très difficile à mettre en oeuvre. Cela économise de la bande passante puisque c'est la seule machine qui va chercher les mises à jour Windows, et les autres vont chercher dessus.
Snort est une fausse bonne idée : cela n'a d'intérêt que quand on a la compétence et le temps pour interpreter les alertes. Le fait de l'implanter sur le firewall, ce qui n'est pas la bonne place, montre une certaine méconnaissance.