Présentation Firewall.
La protection des systèmes AIX est renforcée par la mise en place de filtres réseaux, empêchant certains flux d’accéder à des services actifs.
Ainsi, il sera mis en place un filtre pour n’accepter du sous réseau des clients qu’un accès à un nombre déterminé de ports. Les postes ne pourront par exemple pas accéder à une session ‘ssh’ si leur adresse IP se trouve dans un sous-réseau interdit.
Pour pouvoir utiliser ces fonctionnalités intégrées dans AIX, il faut vérifier la présence des produits suivants :
Fileset Level State Type Description (Uninstaller)
----------------------------------------------------------------------------
bos.msg.en_US.net.ipsec 5.3.0.0 C F IP Security Messages - U.S.
English
bos.net.ipsec.keymgt 5.3.0.40 C F IP Security Key Management
bos.net.ipsec.rte 5.3.0.40 C F IP Security
Démarrage et arrêt du filtrage.
Avant de démarrer manuellement le filtrage, il est important d’être sûr de la configuration et de s’assurer qu’il y a un moyen de substitution pour accéder à la machine( Console par exemple) en cas de blocage.
Consulter les filtres définis par la commande ‘lsfilt –v4’ et contrôler la validité de chaque règle.
Pour démarrer le filtrage IPSEC, utiliser SMIT en lançant ‘smit ips4_start’.
Sélectionner ‘Now and After Reboot’ à ‘Start IP Security’ et ‘no’ à ‘Deny All Non_Secure…’.
Vérifier la présence des éléments actifs Ipsec par la commande ‘lsdev –Cc ipsec’ :
# lsdev -Cc ipsec
ipsec_v4 Available IP Version 4 Security Extension
ipsec_v6 Available IP Version 6 Security Extension
Pour arrêter le filtrage IPSec et rouvrir tous les accès, lancer ‘smit ips4_stop’.
Commandes principales.
‘lsfilt –v4 ‘: Affichage des filtres en place, même si filtrage arrêté.
‘lsfilt -v4 –a’ : Affichage le statut de la filtration et les règles en vigueur.
‘lsfilt -v4 –aO’ : Affichage les règles en vigueur.
‘rmfilt –n all –v4 ‘ : Effacer tous les filtres définis.
« /usr/sbin/expfilt -v 4 -f '/tmp' -l 'all' « : Export des règles dans ‘/tmp/ipsec_fltr_rule.exp’.
‘/usr/sbin/mkfilt -v 4 –u’ : Activation ou mise à jour des règles.
‘/usr/sbin/mkfilt –g start/stop’ : Activation/désactive le suivi des trames.
‘/usr/sbin/rmdev -l ipsec_v4 ‘: Arrêt du filtrage IPsec.
‘/usr/sbin/mkfilt -v 4 –d’ : Désactivation des filtres.
‘lsdev –Cc ipsec’ : Validation de l’activation du filtrage IPSEC.
‘/usr/sbin/expfilt -v 4 -f '/tmp' -l 'all' ‘ : Export des filtres dans ‘/tmp/ ipsec_fltr_rule.exp’.
Ajout d’une règle.
L’ajout d’une règle peut s’effectuer via les menus de SMIT, en tapant la commande ‘smit ipsec4’ et en choisissant l’option ‘Advanced IP Security Configuration’, puis ‘Configure IP Security Filter Rules’. Depuis ce menu, il est possible d’ajouter, de lister ou de supprimer des règles :
List IP Security Filter Rules
Add an IP Security Filter Rule
Change IP Security Filter Rules
Move IP Security Filter Rules
Export IP Security Filter Rules
Import IP Security Filter Rules
Delete IP Security Filter Rules
L’écran de saisie d’une nouvelle règle est similaire à celui ci-dessous :
Add an IP Security Filter Rule
Type or select values in entry fields.
Press Enter AFTER making all desired changes.
[TOP] [Entry Fields]
* Rule Action [deny] +
* IP Source Address [172.18.2.94]
* IP Source Mask [255.255.255.0]
IP Destination Address [172.18.48.13]
IP Destination Mask [255.255.255.0]
* Apply to Source Routing? (PERMIT/inbound only) [yes] +
* Protocol [all] +
* Source Port / ICMP Type Operation [any] +
* Source Port Number / ICMP Type [0] #
* Destination Port / ICMP Code Operation [any] +
* Destination Port Number / ICMP Type [23] #
* Routing [both] +
* Direction [both] +
* Log Control [yes] +
* Fragmentation Control [0] +
* Interface [] +
Expiration Time (sec) [] #
Pattern Type [none] +
Pattern []
Description []
[BOTTOM]
F1=Help F2=Refresh F3=Cancel F4=List
Esc+5=Reset F6=Command F7=Edit F8=Image
F9=Shell F10=Exit Enter=Do
Les zones en orange sont obligatoires( présence de l’étoile ‘*’). Les champs en bleu sont des exemples de valeur pour une interdiction(deny) de l’accès au port 23 depuis la machine 172.18.2.94 quand celle-ci s’adresse au serveur par l’interface dont l’adresse IP est 172.18.48.13.
Activation/mise à jour des règles.
Pour activer une règle préalablement définie, il suffit de rentrer dans le menu Smit par ‘smit ipsec4’, pour sélectionner l’option ‘Advanced IP Security Configuration’, pour demander ensuite ‘Activate/Update/Deactivate IP Security Filter Rule’. Il suffit alors de sélectionner ‘Activate / Update’ pour mettre à jour les règles.
Au même niveau se trouve l’option pour désactiver les règles en vigueur.
Enlèvement d’une règle.
L’enlèvement d’une règle peut s’effectuer via les menus de SMIT, en tapant la commande ‘smit ipsec4’ et en choisissant l’option ‘Advanced IP Security Configuration’, puis ‘Configure IP Security Filter Rules’. Depuis ce menu, il est possible d’ajouter, de lister ou de supprimer des règles :
List IP Security Filter Rules
Add an IP Security Filter Rule
Change IP Security Filter Rules
Move IP Security Filter Rules
Export IP Security Filter Rules
Import IP Security Filter Rules
Delete IP Security Filter Rules
Déplacement d’une règle.
Le déplacement d’une règle peut s’effectuer via les menus de SMIT, en tapant la commande ‘smit ipsec4’ et en choisissant l’option ‘Advanced IP Security Configuration’, puis ‘Configure IP Security Filter Rules’. Depuis ce menu, il est possible d’ajouter, de lister ou de supprimer des règles :
List IP Security Filter Rules
Add an IP Security Filter Rule
Change IP Security Filter Rules
Move IP Security Filter Rules
Export IP Security Filter Rules
Import IP Security Filter Rules
Delete IP Security Filter Rules
Il s’agit de faire lire une règle avant une autre, augmentant ou réduisant le nombre de filtres à positionner.
Exemple :
Dans le cas d’une interdiction globale, il faut positionner le blocage(DENY) à la fin des règles autorisant(PERMIT) un certain nombre.
Dans le cas d’une autorisation globale, il faut donner la permission(PERMIT) en début de règles, avec les interdictions derrière(DENY).
Export de règles.
Il est possible d’exporter les filtres d’un serveur en vue de les importer dans un autre serveur.
Le fichier ‘ipsec_flt_rule.exp’ sera généré dans le répertoire de destination donné.
Il est possible de modifier ensuite ce fichier pour rajouter des règles supplémentaires.
Ce fichier sera lu par les opérations d’import. ( demande du répertoire source)
Pour exporter les règles, procéder comme suit :
Se logger sur le serveur avec le compte ‘root’.
Lancer ‘smit ips4_export_filter’
Donner le nom du répertoire, le nom des règles à exporter ou ‘all’ pour toutes.
Sélectionner No à l’option ‘Reverse direction on Filter Rules’.
Valider par la touche entrée.
Le fichier ‘ipsec_flt_rule.exp’ est ainsi généré dans le répertoire.
Import de règles.
Il est possible d’importer des règles de filtrage depuis un fichier au format spécial, issu généralement d’un premier export.
Pour importer les règles, procéder comme suit :
Se logger sur le serveur avec le compte ‘root’.
Lancer ‘smit ips4_import_filter’.
Donner le nom du répertoire,
Sélectionner le nom des règles à importer.
Valider par la touche entrée.
Fichier de paramétrage.
Options.
Les journaux sont stockés au travers de SYSLOG par le biais du type ‘local4’.
Pour avoir des remontées via ‘syslog’, une ligne doit donc exister dans le fichier ‘/etc/syslog.conf’ :
‘local4.debug @D600 # vers serveur SYSLOG D600’
Si la ligne est ajoutée , le service ‘syslogd’ doit être rafraîchit par ‘refresh –s syslogd’.
Exemples firewall.
Beginning of IPv4 filter rules.
Rule 1:
Rule action : permit
Source Address : 0.0.0.0
Source Mask : 0.0.0.0
Destination Address : 0.0.0.0
Destination Mask : 0.0.0.0
Source Routing : no
Protocol : udp
Source Port : eq 4001
Destination Port : eq 4001
Scope : both
Direction : both
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : yes
Expiration Time : 0
Description : Default Rule
Rule 2:
*** Dynamic filter placement rule for IKE tunnels ***
Logging control : no
Rule 3:
Rule action : permit
Source Address : 172.18.2.0
Source Mask : 255.255.255.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : yes
Protocol : all
Source Port : any 0
Destination Port : any 0
Scope : both
Direction : both
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 4:
Rule action : permit
Source Address : 172.18.46.0
Source Mask : 255.255.255.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : yes
Protocol : all
Source Port : any 0
Destination Port : any 0
Scope : both
Direction : both
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 5:
Rule action : permit
Source Address : 172.18.47.0
Source Mask : 255.255.255.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : yes
Protocol : all
Source Port : any 0
Destination Port : any 0
Scope : both
Direction : both
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 6:
Rule action : permit
Source Address : 172.18.48.0
Source Mask : 255.255.255.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : yes
Protocol : all
Source Port : any 0
Destination Port : any 0
Scope : both
Direction : both
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 7:
Rule action : permit
Source Address : 172.18.49.0
Source Mask : 255.255.255.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : yes
Protocol : all
Source Port : any 0
Destination Port : any 0
Scope : both
Direction : both
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 8:
Rule action : permit
Source Address : 0.0.0.0
Source Mask : 0.0.0.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : yes
Protocol : all
Source Port : any 0
Destination Port : eq 1521
Scope : both
Direction : inbound
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 9:
Rule action : deny
Source Address : 172.18.0.0
Source Mask : 255.255.0.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : yes
Protocol : all
Source Port : any 0
Destination Port : lt 32768
Scope : both
Direction : inbound
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 10:
Rule action : deny
Source Address : 172.18.0.0
Source Mask : 255.255.0.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : no
Protocol : all
Source Port : any 0
Destination Port : gt 65534
Scope : both
Direction : inbound
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 11:
Rule action : deny
Source Address : 172.17.0.0
Source Mask : 255.255.0.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : yes
Protocol : all
Source Port : any 0
Destination Port : lt 32768
Scope : both
Direction : inbound
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 12:
Rule action : deny
Source Address : 172.17.0.0
Source Mask : 255.255.0.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : no
Protocol : all
Source Port : any 0
Destination Port : gt 65534
Scope : both
Direction : inbound
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 13:
Rule action : deny
Source Address : 172.18.0.0
Source Mask : 255.255.0.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : yes
Protocol : all
Source Port : any 0
Destination Port : lt 32768
Scope : both
Direction : inbound
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 14:
Rule action : deny
Source Address : 172.18.0.0
Source Mask : 255.255.0.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : no
Protocol : all
Source Port : any 0
Destination Port : gt 65534
Scope : both
Direction : inbound
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 15:
Rule action : deny
Source Address : 172.16.0.0
Source Mask : 255.255.0.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : yes
Protocol : all
Source Port : any 0
Destination Port : lt 32768
Scope : both
Direction : inbound
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 16:
Rule action : deny
Source Address : 172.16.0.0
Source Mask : 255.255.0.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : no
Protocol : all
Source Port : any 0
Destination Port : gt 65534
Scope : both
Direction : inbound
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 17:
Rule action : permit
Source Address : 172.16.2.0
Source Mask : 255.255.255.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : yes
Protocol : all
Source Port : any 0
Destination Port : any 0
Scope : both
Direction : both
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 18:
Rule action : permit
Source Address : 172.16.4.0
Source Mask : 255.255.255.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : yes
Protocol : all
Source Port : any 0
Destination Port : any 0
Scope : both
Direction : both
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 19:
Rule action : permit
Source Address : 192.168.100.0
Source Mask : 255.255.255.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : yes
Protocol : all
Source Port : any 0
Destination Port : any 0
Scope : both
Direction : both
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 20:
Rule action : permit
Source Address : 10.0.0.0
Source Mask : 255.255.255.0
Destination Address : 0.0.0.0
Destination Mask : 255.255.255.255
Source Routing : yes
Protocol : all
Source Port : any 0
Destination Port : any 0
Scope : both
Direction : both
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description :
Rule 0:
Rule action : permit
Source Address : 0.0.0.0
Source Mask : 0.0.0.0
Destination Address : 0.0.0.0
Destination Mask : 0.0.0.0
Source Routing : yes
Protocol : all
Source Port : any 0
Destination Port : any 0
Scope : both
Direction : both
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description : Default Rule
End of IPv4 filter rules.
Beginning of IPv6 filter rules.
Rule 1:
*** Dynamic filter placement rule for IKE tunnels ***
Logging control : no
Rule 0:
Rule action : permit
Source Address : ::
Source Mask : 0
Destination Address : ::
Destination Mask : 0
Source Routing : yes
Protocol : all
Source Port : any 0
Destination Port : any 0
Scope : both
Direction : both
Logging control : no
Fragment control : all packets
Tunnel ID number : 0
Interface : all
Auto-Generated : no
Expiration Time : 0
Description : Default Rule
End of IPv6 filter rules.
