Role Based Firewalling

Sur un firewall statefull classique les politiques de flux sont définies par triptyque SOURCE/DESTINATION/PROTOCOL. La destination est relativement simple à définir, il s’agit souvent des plages d’IP relatives aux applications hébergées en datacenter. Le protocole quant à lui peut être affiné grâce au DPI.

 

Reste le cas du champ source qui à l’heure des laptops, de la mobilités des collaborateurs, et des periphériques BYOD reste complexe à spécifier.

L’objectif du Role Based est de pouvoir s’affranchir de l’aspect géographique (IP) de la source des flux et d’être dans la nécessité d’appliquer des ANY en source à de multiple endroits. Ce principe permet d’utiliser le rôle attribué à un utilisateur défini au niveau de l’annuaire (local ou central) comme source pour la création d’une règle de flux.

Le Role Based Firewalling s’intègre dans 2 modèles:

  • Autonome, où le firewall récupère les mappings IP sources / user-id sur un serveur tiers (AD par ex.)
    • C’est la solution IUF de Juniper
  • Unifié, basé sur les spécifications TNC qui englobe le NAC et le Role Based Firewalling
    • C’est la solution UAC (autour du protocole normalisé IF-MAP) proposée par Juniper

rolebasedune

Read More