Sur un firewall statefull classique les politiques de flux sont définies par triptyque SOURCE/DESTINATION/PROTOCOL. La destination est relativement simple à définir, il s’agit souvent des plages d’IP relatives aux applications hébergées en datacenter. Le protocole quant à lui peut être affiné grâce au DPI.
Reste le cas du champ source qui à l’heure des laptops, de la mobilités des collaborateurs, et des periphériques BYOD reste complexe à spécifier.
L’objectif du Role Based est de pouvoir s’affranchir de l’aspect géographique (IP) de la source des flux et d’être dans la nécessité d’appliquer des ANY en source à de multiple endroits. Ce principe permet d’utiliser le rôle attribué à un utilisateur défini au niveau de l’annuaire (local ou central) comme source pour la création d’une règle de flux.
Le Role Based Firewalling s’intègre dans 2 modèles:
- Autonome, où le firewall récupère les mappings IP sources / user-id sur un serveur tiers (AD par ex.)
- C’est la solution IUF de Juniper
- Unifié, basé sur les spécifications TNC qui englobe le NAC et le Role Based Firewalling
- C’est la solution UAC (autour du protocole normalisé IF-MAP) proposée par Juniper
Le modèle Autonome
Dans ce modèle le firewall se rapproche de l’active directory (via LDAP) afin de récupérer “à priori” les informations de l’utilisateur et de créer une “auth entry”.
Si lors d’une connexion aucune “auth entry” n’est présente dans le firewall il est possible de configurer l’équipement afin de réaliser une authentification (redirection vers captive portal par exemple) qui sera réalisée via les mécanismes liés à l’AD de microsoft (SPNEGO et Kerberos).
Ce modèle à l’avantage de pouvoir être rapidement mis en oeuvre. Cependant cela ne fonctionne que sur des flux web qui permettent d’afficher une fenêtre d’authentification à l’utilisateur.
La fédération IF-MAP
L’objectif de la fédération IF-MAP, extension du modèle d’accès aux données TNC est de centraliser le stockage des mapping “user-ID/role/IP” (méta données) et standardiser les échanges entre:
– Les équipements en charge de collecter l’information, une fois l’utilisateur authentifié, ex: VPN-SSL, NAC (client 802.1X), DHCP serveur, DNS server, Controleur de domaine, etc: le IF-MAP client
– Le serveur en charge du stockage des informations: IF-MAP server
– Les équipements en charge de l’application de la politique globale (quelle application/ressource pour quel rôle), le Policy enforcer (PEP) via un mécanisme de souscription auprès du serveur IF-MAP (comme le fait MQTT par exemple)
Cette extension permet, en plus de l’ouverture de flux “à la volée” basée sur le rôle de l’utilisateur de, par exemple, couper un flux suite à une alerte remontée par le SIEM ou l’IDS.