Articles taggés ‘Firewall’
Bridging d’interface Vlan
Dans certaines situations, le bridging d’interface Vlan peut présenter une solution à certaines problématiques d’architecture. Dans notre cas d’étude, les contraintes sont les suivantes : Une seule interface est disponible/doit être utilisée sur le Firewall (ce qui nous oblige à faire du 802.1q sur l’interface) Pas de NAT ni de routage supplémentaire pour des raisons d’optimisation Pouvoir filtrer les ...
Configuration DHCP Relay sur Checkpoint
La configuration du DHCP Relay est connue pour les Firewalls Checkpoint, cependant les flux à autoriser sont parfois compliqués à connaître : Sur ce schéma ce sont deux agences connectées en VPN IPSec (de type HQ-SOHO "HeadQuarters & Small Office/Home Office) Règles au niveau du FW HQ (HeadQuarters) : Règles au ...
Configuration d’interface PPPoE sur Checkpoint
Sur les OS SPLAT et GAIA de Checkpoint, il est possible de créer des interfaces PPPoE et d’effectuer la négociation PPP(ce cas devient fréquent avec la généralisation de la Fibre). De son côté, l’opérateur livre une interface Ethernet (RJ45) au lieu de la traditionnelle paire de cuivre (RJ11) . Par contre pour les OS IPSO, au-delà des versions 4.2 cela n’est pas possible (limitation CP) > Il faudra migrer vers GAIA pour ...
[CheckPoint] Des paquets ICMP bypassent le VPN
Il vient de m'arriver un sale bug qui m'a occupé 2h lors d'une formation Checkpoint : autant en faire profiter tout le monde ! Lorsque la règle implicite "Accept ICMP requests" est activée (cf menu "Global properties"), les pings entre deux réseaux - reliés par un VPN - n'empruntent plus ce VPN !! Après avoir sniffé l'interface externe, on voit bien les paquets ICMP sortirent NATés et non encapsulés, comme si les règles VPN (basées sur la ...
Un firewall récent pas si moderne
Il est commun de croire que tous les firewall d'entreprise modernes effectuent une « Stateful Inspection ». Et pourtant à l'occasion d'un test récent nous avons pu mettre en évidence la non activation de cette fonction. Faisons tout d'abord un rappel : la fonctionnalité « Stateful Inspection » a été inventée par CheckPoint Software vers le milieu des années 90. Avant, chaque firewall possèdait un filtre par ...
Rebond sur un PIX : évolutions au fil des versions
Par construction, le PIX en version 6.3 ne permettait pas à un paquet entré par une interface de sortir par cette même interface. Ceci était particulièrement contraignant car empêchait la construction de réseaux VPN architecturés en Hub and Spoke à l'aide de PIXs : la solution alternative était alors soit d'utiliser un routeur (ou un concentrateur VPN) sur le site central, soit de mettre en oeuvre ...
Points d’interrogation dans les mots de passe
Suite à la migration d'un PIX 501 v6.3 en PIX 515E en v7.2.1, nous observons une régression : les pre-shared keys ne peuvent plus contenir de point d'interrogation ("?") alors que nos mots de passe de groupes en contenaient. En effet, le parser IOS considère le "?" comme une demande d’aide et non un caractère utile. La solution consiste à insérer un CTRL-V avant le "?". Le CTRL-V a pour effet d’annihiler le comportement par défaut du ...
Nouvelle gamme Cisco ASA (PIX)
Cisco vient de mettre en ligne un court dossier en français sur la nouvelle gamme ASA. À retenir : Ces boitiers intègrent un firewall (i.e PIX), un IPS et concentrateur VPN (i.e VPN3000) Au PIX 501 (resp. 515E) correspond 5505 (resp. 5510 et 5520) L'interface d'administration est la classique ASDM