Nous venons de créer un réseau logique séparé sur le LAN existant, en utilisant l'espace 192.168.x.x IP pour les imprimantes TCP/IP. Comme nous ne voulons pas que ces unités soient accessibles par Internet, ce réseau est complètement séparé de notre réseau logique connecté sur Internet 10.x.x.x. Or, depuis que ce réseau a été activé, notre pare-feu Sonicwall émet des alarmes « IP spoof » plusieurs fois par minute.
Etant donné que les imprimantes ne pointent pas vers le pare-feu comme une passerelle, je ne m'explique pas comment le pare-feu connaît la présence des imprimantes.
J'ai essayé de filtrer les adresses 192.168.x.x dans les règles du pare-feu, mais sans effet visible.
Vous avez raison de vouloir aller à la racine du problème. Confrontés à cette même difficulté, d’autres hélas se contenteraient de désactiver la journalisation du pare-feu, éliminant du même coup la raison d’être de celui-ci qui est, rappelons-le, de signaler toute situation insolite ou suspecte. Et, précisément, le pare-feu est en train de vous dire la vérité : un nouveau réseau inattendu est apparu sur votre LAN. Et il va continuer obstinément à déclencher l’alarme, tant que vous ne lui aurez pas dit que cette situation est normale.
Toutefois, avant de corriger le problème, il faut bien comprendre la manière dont le pare-feu le détecte. Même si vos imprimantes n’utilisent pas le pare-feu comme passerelle, elles n’en transmettent pas moins des paquets broadcast qui seront envoyés vers le pare-feu, de la même manière qu’ils sont envoyés vers toute autre unité du LAN. Quand le pare-feu voit que ces paquets ont une adresse d’origine inconnue, il les considère aussitôt hostiles. A juste titre, car les paquets pourraient fort bien émaner d’une connexion Internet par la petite porte, d’un tunnel VPN non autorisé, voire d’un point d’accès sans fil illicite. En toute hypothèse, comme ils signalent une menace potentielle pour la sécurité, le pare-feu les considère comme une grave anomalie.
Il faut donc dire au pare-feu que l’espace d’adresse 192.168.x.x est une partie légitime de votre LAN. Vous pouvez le faire en ajoutant une route statique au pare-feu en listant le réseau 192.168.0.0/16 comme destination (c’est-à-dire, un masque subnet 255.255.0.0) et votre routeur interne comme la passerelle du prochain tronçon. Dans votre cas, comme les imprimantes qui se trouvent dans cet espace d’adresse ne communiqueront jamais avec Internet, vous pouvez fort bien utiliser une adresse IP fictive dans votre réseau 10.x.x.x comme prochain tronçon. Seule exigence : l’adresse du prochain tronçon doit se trouver sur le même subnet logique que l’adresse LAN du pare-feu.
Vous devez néanmoins continuer à configurer des règles de filtrage qui empêchent les imprimantes d’atteindre le LAN, par mesure de sécurité. Dans le cas où un virus tenterait une attaque par déni de service (DoS) sur une imprimante en imitant son adresse IP, le pare-feu empêcherait ce trafic d’atteindre Internet.
Enfin, il est bon que le réseau privé soit le plus petit possible. Ainsi, si vos imprimantes tiennent toutes dans un réseau /24 unique, limitez la route statique que vous ajoutez au pare-feu à ce /24 unique, plutôt qu’à tout le réseau 192.168. 0.0/16. De sorte que si une autre unité malveillante apparaît sur votre réseau dans l’espace 192.168.x.x, sa présence vous sera signalée.
Téléchargez cette ressource
Guide de technologie 5G pour l’entreprise
Le livre blanc "The Big Book of Enterprise 5G" vous fournit les informations stratégiques dont vous avez besoin pour prendre des décisions éclairées et préparer votre entreprise à prospérer dans l'ère de la 5G. Cradlepoint, part of Ericsson est le leader mondial des solutions de réseau sans fil 4G LTE et 5G fournies via le cloud. Connectez vos employés, lieux et objets avec la 4G LTE et la 5G pour un WAN sans fil d'entreprise.
