Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Sécurité - Configuration d'un
Routeur avec trois interfaces avec CBAC et sans NAT ccnp_cch
2
Sommaire - Introduction - Prérequis - Composants utilisés
- Configuration Schéma du réseau Configurations - Vérification ccnp_cch
3
Introduction Ce document fournit un exemple de configuration typique pour une petite entreprise connectée à Internet et possédant ses propres serveurs. La connexion à Internet est effectuée via une liaison série. L'interface Ethernet 0 est connectée au réseau interne (un seul LAN). L'interface Ethernet 1 est connectée à un réseau "DMZ" lequel contient une seule machine pour fournir des services accessibles depuis l'extérieur. Le fournis- seur d'accès a affecté le bloc d'adresses /24. Ce bloc est réparti entre le réseau DMZ et le réseau interne avec u n masque de sous-réseau /25. La politique de base est la suivante: • Autoriser les utilisateurs du réseau interne à accéder à tous les services Internet • Autoriser l'accès depuis Internet aux services Web, FTP et SMTP sur le serveur dans le réseau DMZ et la réponse aux requêtes DNS. Ceci permet aux utilisateurs externes d'accéder aux pages Web de la société, de déposer du courrier et de télé charger des fichiers mis à disposition • Permettre aux utilisateurs internes de se connecter au service POP pour retirer leur courrier et au serveur par Telnet pour l'administrer. • Ne pas permettre n'importe quel établissement de connexion sur le réseau DMZ soit vers le réseau public soit vers le réseau privé. • Auditer toutes les connexions qui traversent le pare-feu vers un serveur SYSLOG situé sur le réseau privé. Les machines situées sur le réseau interne utilisent le DNS de la DMZ. Des listes d'accès en entrée sont utilisées sur toutes les interfaces pour éviter l'usurpation d'adresse. Des listes d'accès en sortie sont utilisées pour contrôler quel trafic peut être transmis sur une interface donnée. Prérequis Versions de Matériel et de Logiciel utilisées: Cette configuration a été réalisée et testée en utilisant les versions suivantes: • Cisco IOS Release 11.2(15).T • Cisco Routeur 7204 VXR Configuration Dans cette section sont présentées les informations pour nécessaires pour configurer les fonctionnalités décrites dans ce document. Schéma du Réseau Serveur Réseau Interne E3/0 /25 S2/0 Internet R7204 DMZ E3/1 /30 /25 /30 ccnp_cch
4
Configurations ccnp_cch R7204 Current configuration:
! version 11.2 ! no service udp-small-servers no service tcp-small-servers service password encryption ! enable secret 5 $1$Rtuvw$3F9TdY/q3S0vu1 ! hostname R7204 ! ip subnet-zero ! no ip domain-lookup ! !-- Configuration de l'inspection ! ip inspect audit-trail ! ip inspect tcp idle-time ! !-- Définit la durée pour laquelle une session TCP est gérée !-- après inactivité. ! ip inspect udp idle-time 1800 ! !-- Définit la durée pour laquelle une session UDP est gérée !-- après inactivité. ip inspect dns-timeout 7 ! !-- Définit la durée pour laquelle une requête DNS est gérée !-- après inactivité. ! !-- Liste d'inspection "Standard" à utiliser pour l'inspection en !-- entrée sur les interfaces Ethernet0 et Serial0. ! ip inspect name Standard cuseeme ip inspect name Standard ftp ip inspect name Standard h323 ip inspect name Standard http ip inspect name Standard rcmd ip inspect name Standard realaudio ip inspect name Standard smtp ip inspect name Standard sqlnet ip inspect name Standard streamworks ip inspect name Standard tftp ip inspect name Standard udp ip inspect name Standard tcp ip inspect name Standard vdolive ! ccnp_cch
5
ip audit notify log ip audit po max-events 100
ip audit notify log ip audit po max-events 100 ! interface Ethernet3/0 ip address ! !-- Applique la liste d'accès pour permettre le trafic légitime !-- issu du réseau interne et évite l'usurpation d'adresse. ! ip access-group 101 in ! !-- Applique la liste d'inspection "Standard" en entrée. !-- Cette inspection ouvre des entrées temporaires dans les !-- listes d'accès 11 et ! ip inspect Standard in no ip directed-broadcast ! interface Ethernet3/1 ip address ! !-- Applique la liste d'accès pour permettre le trafic DMZ sur !-- l'interface DMZ en entrée. La DMZ n'a pas la permission !-- d'initier du trafic sortant sauf pour ICMP. ! ip access-group 111 in ! !-- Applique la liste d'inspection "Standard" en sortie sur cette !-- interface.. !-- Cette inspection ouvre des entrées temporaires dans la liste !-- d'accès 111 et protéger le serveur contre des attaques de !-- type DDoS (Distributed Denial of Service). ! ip inspect Standard out no ip directed-broadcast ! interface Serial2/0 ip address ! !-- Liste d'accès 121 pour permettre du trafic légal. ! ip access-group 121 in ! ip classless no ip http-server ! ip route Serial2/0 ! logging ! !-- Cette commande donne l'adresse du serveur SYSLOG !-- La liste d'accès 20 est utilisée pour autoriser l'accès SNMP !-- par la station de gestion de réseau ! access-list 20 permit ! ccnp_cch
6
-- La liste d'accès 101 permet le trafic légitime issu du réseau
!-- La liste d'accès 101 permet le trafic légitime issu du réseau !-- interne et empêche le spoofing. Les utilisateurs du réseau interne !-- peuvent accéder aux services Telnet et POP3 du serveur !-- de la DMZ et peuvent également "pinguer" la DMZ. !-- Les utilisateurs du réseau interne peuvent accéder aux services !-- d'Internet. ! access-list 101 permit tcp host eq pop3 access-list 101 permit tcp host eq telnet access-list 101 permit icmp access-list 101 deny ip access-list 101 permit ip any access-list 101 deny ip any any ! !-- La liste d'accès 111 permet le png depuis la DMZ et rejette tout !-- trafic issu de la DMLZ. L'inspection ouvre des entrées temporaires !-- dans cette liste d'accès. ! access-list 111 permit icmp any access-list 111 deny ip any any ! !-- Permet les accès depuis Internet aux services WWW, FTP, DNS et SMTP !-- sur le serveur de la DMZ. Elle permet également le trafic ICMP. ! access-list 121 permit udp any host eq domain access-list 121 permit tcp any host eq domain access-list 121 permit tcp any host eq www access-list 121 permit tcp any host eq ftp access-list 121 permit tcp any host eq smtp access-list 121 permit icmp any time-exceeded access-list 121 permit icmp any traceroute access-list 121 permit icmp any administratively-prohibited access-list 121 permit icmp any echo access-list 121 permit icmp any unreachable access-list 121 permit icmp any echo-reply access-list 121 permit icmp any packet-to-big access-list 121 deny ip any any ! !-- Liste d'accès 20 appliquée au processus SNMP ! snmp-server community secret RO 20 snmp-server enable traps tty ! line cons 0 login local password D185023F2036 transport input none line aux 0 line vty 0 4 login local paswword D185023F2036 ! end ccnp_cch
7
Vérification Cette section fournit des informations que vous pouvez utiliser pour confirmer que vo- tre configuration fonctionne correctement. • show access-list -- Affiche les listes d'accès configurées. R7204#show access-list Standard IP access list permit Extended IP access list permit tcp host eq pop permit tcp host eq telnet permit icmp deny ip permit ip any deny ip any any Extended IP access list permit icmp any deny ip any any Extended IP access list permit udp any host eq domain permit tcp any host eq domain permit tcp any host eq www permit tcp any host eq ftp permit tcp any host eq smtp permit icmp any time-exceeded permit icmp any traceroute permit icmp any administratively-prohibi ted permit icmp any echo permit icmp any unreachable permit icmp any echo-reply permit icmp any packet-to-big deny ip any any R7204# • show ip audit all -- affiche la configuration des commandes de logging R7204#show ip audit all Event notification through syslog is enabled Event notification through Net Director is enabled Default action(s) for info signatures is alarm Default action(s) for attack signatures is alarm Default threshold of recipients for spam signatures is PostOffice: HostID:0 OrgID:0 Msg dropped: :Curr Event Buf Size:0 Configured: PostOffice is nor enabled - No connections are active R7204# ccnp_cch
8
• show ip inspect all -- Affiche la configuration des règles d'inspection CBAC pour chaque interface. R7204#show ip inspect all Session audit trail is enabled Session alert is enabled one-minute (sampling period) thresholds are [400:500] connections max-incomplete sessions thresholds are [400:500] max-incomplete tcp connections per host is 50. Block-time 0 minute tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec tcp idle-time is sec -- udp idle-time is 1800 sec dns-timeout is 7 sec Inspection Rule Configuration Inspection name Standard cuseeme alert is on audit-trail is on timeout ftp alert is on audit-trail is on timeout h323 alert is on audit-trail is on timeout http alert is on audit-trail is on timeout rcmd alert is on audit-trail is on timeout realaudio alert is on audit-trail is on timeout smtp alert is on audit-trail is on timeout sqlnet alert is on audit-trail is on timeout streamworks alert is on audit-trail is on timeout tcp alert is on audit-trail is on timeout tftp alert is on audit-trail is on timeout udp alert is on audit-trail is on timeout vdolive alert is on audit-trail is on timeout Interface Configuration Interface Ethernet3/ Inbound inspection rule is Standard cuseeme alert is on audit-trail is on timeout ftp alert is on audit-trail is on timeout h323 alert is on audit-trail is on timeout http alert is on audit-trail is on timeout rcmd alert is on audit-trail is on timeout realaudio alert is on audit-trail is on timeout smtp alert is on audit-trail is on timeout sqlnet alert is on audit-trail is on timeout streamworks alert is on audit-trail is on timeout tcp alert is on audit-trail is on timeout tftp alert is on audit-trail is on timeout udp alert is on audit-trail is on timeout vdolive alert is on audit-trail is on timeout Outgoing inspection is not set Inbound access list is Outgoing access list is not set Interface Configuration Interface Ethernet3/ Inbound inspection rule is not set Outgoing inspection rule is Standard cuseeme alert is on audit-trail is on timeout ftp alert is on audit-trail is on timeout h323 alert is on audit-trail is on timeout http alert is on audit-trail is on timeout rcmd alert is on audit-trail is on timeout 14400 ccnp_cch
![• show ip inspect all -- Affiche la configuration des règles d inspection CBAC pour chaque interface. R7204#show ip inspect all Session audit trail is enabled Session alert is enabled one-minute (sampling period) thresholds are [400:500] connections max-incomplete sessions thresholds are [400:500] max-incomplete tcp connections per host is 50. Block-time 0 minute. tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec tcp idle-time is sec -- udp idle-time is 1800 sec dns-timeout is 7 sec Inspection Rule Configuration Inspection name Standard](http://slideplayer.fr/slide/12471348/74/images/8/%E2%80%A2+show+ip+inspect+all+--+Affiche+la+configuration+des+r%C3%A8gles+d+inspection+CBAC+pour+chaque+interface.+R7204%23show+ip+inspect+all+Session+audit+trail+is+enabled+Session+alert+is+enabled+one-minute+%28sampling+period%29+thresholds+are+%5B400%3A500%5D+connections+max-incomplete+sessions+thresholds+are+%5B400%3A500%5D+max-incomplete+tcp+connections+per+host+is+50.+Block-time+0+minute.+tcp+synwait-time+is+30+sec+--+tcp+finwait-time+is+5+sec+tcp+idle-time+is+sec+--+udp+idle-time+is+1800+sec+dns-timeout+is+7+sec+Inspection+Rule+Configuration+Inspection+name+Standard.jpg "cuseeme alert is on audit-trail is on timeout ftp alert is on audit-trail is on timeout h323 alert is on audit-trail is on timeout http alert is on audit-trail is on timeout rcmd alert is on audit-trail is on timeout realaudio alert is on audit-trail is on timeout smtp alert is on audit-trail is on timeout sqlnet alert is on audit-trail is on timeout streamworks alert is on audit-trail is on timeout 1800 tcp alert is on audit-trail is on timeout tftp alert is on audit-trail is on timeout 1800 udp alert is on audit-trail is on timeout 180 vdolive alert is on audit-trail is on timeout Interface Configuration Interface Ethernet3/0 Inbound inspection rule is Standard cuseeme alert is on audit-trail is on timeout ftp alert is on audit-trail is on timeout h323 alert is on audit-trail is on timeout http alert is on audit-trail is on timeout rcmd alert is on audit-trail is on timeout realaudio alert is on audit-trail is on timeout smtp alert is on audit-trail is on timeout sqlnet alert is on audit-trail is on timeout streamworks alert is on audit-trail is on timeout 1800 tcp alert is on audit-trail is on timeout tftp alert is on audit-trail is on timeout 1800 udp alert is on audit-trail is on timeout 180 vdolive alert is on audit-trail is on timeout Outgoing inspection is not set Inbound access list is 101 Outgoing access list is not set Interface Configuration Interface Ethernet3/1 Inbound inspection rule is not set Outgoing inspection rule is Standard cuseeme alert is on audit-trail is on timeout ftp alert is on audit-trail is on timeout h323 alert is on audit-trail is on timeout http alert is on audit-trail is on timeout rcmd alert is on audit-trail is on timeout ccnp_cch.")
9
rcmd alert is on audit-trail is on timeout realaudio alert is on audit-trail is on timeout smtp alert is on audit-trail is on timeout sqlnet alert is on audit-trail is on timeout streamworks alert is on audit-trail is on timeout tcp alert is on audit-trail is on timeout tftp alert is on audit-trail is on timeout udp alert is on audit-trail is on timeout vdolive alert is on audit-trail is on timeout Inbound access list is Outgoing access list is not set R7204# ccnp_cch
Présentations similaires
