Analysez vos configurations firewall avec #Springbok
Springbok est un outil tout juste sorti qui permet d'analyser les configurations de vos firewall.
Après avoir chargé le fichier de configuration dans l'outil, il est possible d'afficher un graphe du réseau sur lequel sont représentés les pares-feux ainsi que les machines et groupes de machines.
On peut ensuite utiliser l'outil pour « interroger » la configuration pour vérifier que la configuration est correcte et détecter des anomalies. Par exemple :
- Chercher tous les chemins entre un subnet (ou une IP) et un autre, sur des ports source et destinations donnés (voir l'image plus haut) ;
- Détecter les anomalies dans la configuration, et notamment les règles qui se surchargent entre elles. Deux mécanismes de détection sont possibles :
- Détection « centralisée » : on cherche toutes les anomalies dans une ACL ;
- Détection « décentralisée » : l'outil cherche toutes les anomalies dans tous les réseaux et chemins disponibles.
L'outil est pour le moment en version alpha et son code est ouvert1 et disponible sur Github. Pour l'instant, les seuls firewall supportés sont Cisco ASA, Fortigate et Juniper Netscreen2
Si vous le testez (j'espère que oui !), n'hésitez pas à reporter des bugs ou des idées de fonctionnalités sur Github pour que l'outil parvienne vite à une version stable et complète ! :)
Quelques screenshots pour vous donner une idée de l'outil :
Recherche des chemins entre 192.168.0.42 et 192.168.1.43 sur le port tcp/3700
Résultat de la recherche. Les chemins trouvés sont listés à droite
Détection d'anomalies dans la configuration
Affichage des règles d'un ACL
Objets définis mais non utilisés
Détection « centralisée » : Anomalies dans une ACL
Détection « décentralisée » : Anomalies dans tous les chemins
Et en plus, c'est fait dans ma boîte, si c'est pas beau ça3 !
