La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

RE161 ACL : notions avancées Le principe des ACL a été expliqué au chapitre précédent Ces ACL de base présentent des limitations qui peuvent être résolues.

Présentations similaires


Présentation au sujet: "RE161 ACL : notions avancées Le principe des ACL a été expliqué au chapitre précédent Ces ACL de base présentent des limitations qui peuvent être résolues."— Transcription de la présentation:

1 RE161 ACL : notions avancées Le principe des ACL a été expliqué au chapitre précédent Ces ACL de base présentent des limitations qui peuvent être résolues par lutilisation des : –ACL dynamiques –ACL « réflexives » –ACL à caractère temporel –turbo ACL –ACL dépendantes du contexte : le CBAC

2 RE162 Commenter une ACL Alors que nous allons sérieusement compliquer lécriture et le rôle des ACL, il est utile de de les commenter dans la configuration du routeur ou du firewall Un commentaire dACL sera visible dans la configuration, mais il sera aussi affiché par la commande show access-lists Une remarque dACL est donc différente dun commentaire introduit par ! Miami(config)# access-list 102 remark Allow traffic to file server Miami(config)# access-list 102 permit ip any host

3 RE163 Méthode de travail Il est important de respecter les conseils suivants : –il faut dabord bien réfléchir à ce que lon veut autoriser et interdire –ce travail doit se faire avant de faire quoi que ce soit sur les routeurs –il faut sarranger pour pouvoir « copier/coller » les ACLs –ne pas hésiter à stocker des ACLs dans des fichiers texte pour faire une sorte de « librairie » dACLs –si possible, tester les ACLs hors ligne avant de les installer sur le réseau exploité

4 RE164 ACL dynamique Une ACL dynamique permet de résoudre le problème de lauthentification Les ACL classiques utilisent ladresse IP pour déterminer quelle machine communique, mais il ny a pas de vérification de lidentité de lutilisateur lui-même Il est souvent utile de demander à lutilisateur de sidentifier : –nom dutilisatreur –mot de passe Il faut alors utiliser une ACL dynamique

5 RE165 ACL dynamique Il faut les utiliser quand : –on veut quun utilisateur particulier distant (ou un petit groupe) puisse accéder à certaines ressources du réseau, à travers Internet –on veut quun groupe dhôtes du réseau local puisse accéder à un hôte dun autre réseau protégé par un firewall Il est possible de limiter la durée de lautorisation de connexion

6 RE166 ACL dynamique 1.Un utilisateur sollicite une session telnet sur le firewall configuré avec une ACL dynamique (ligne vty) 2.LIOS Cisco ouvre une session telnet et demande son nom et son mot de passe à lutilisateur 3.Lauthentification peut être assurée par le firewall lui-même ou par un serveur TACACS+ ou RADIUS 4.Quand lutilisateur est indentifié, le firewall met fin à la session telnet 5.Il crée ensuite une entrée temporaire dans lACL dynamique (cette instruction temporaire permet de limiter laccès à certaines machines) 6.Les données sont échangées à travers le firewall 7.LIOS détruit lentrée temporaire au bout dun certain temps paramétrable (soit en mesurant une durée dinactivité, soit en mesurant le temps de connexion)

7 RE167 ACL dynamique ACL dynamique car elle napparaît que sur sollicitation de lutilisateur, et après authentification de celui-ci Je laisse passer seulement si il sidentifie ! Je midentifie en faisant un telnet

8 RE168 ACL dynamique Exemple avec authentification locale au routeur username toto password tutu interface ethernet0 ip address ip access-group 101 in access-list 101 permit tcp any host eq telnet access-list 101 dynamic mytestlist timeout 120 permit ip any any line vty 0 login local autocommand access-enable timeout 5 autorisation du telnet sur de linterface du routeur entrée dynamique qui autorise tout le trafic IP lauthentification se fera en local définition dune ligne vty définition de lutilisateur et de son mot de passe commande dactivation de la partie dynamique de lACL : elle sera ajoutée après un telnet authentifié elle restera dans lACL pendant 5 minutes

9 RE169 ACL dynamique Lentrée dynamique ne peut pas être la seule entrée de lACL Linstruction ajoutée dans une liste dynamique lest toujours au début de la liste Il ne faut quune instruction dynamique par ACL (seule la première sera prise en compte) Utiliser un nom différent pour chaque instruction dynamique Il faut autoriser le telnet sur le routeur pour que tout cela puisse marcher Il faut toujours définir un temps de connexion maximum

10 RE1610 ACL dynamique Utilise un mécanisme dauthentification des utilisateurs (et pas seulement des hôtes) Permet de réduire la taille des ACL classiques en réduisant le nombre des instructions nécessaires Avec cette technique, on peut spécifier quel utilisateur peut accéder à des ressources (définies et n° de port), en spécifiant depuis quels hôtes il a le droit de le faire On peut ainsi donner un accès dynamique à un utilisateur à travers un firewall, sans compromettre les autres restrictions de sécurité

11 RE1611 Proxy dauthentification Les ACLs dynamiques obligent lutilisateur à initier une session telnet Le proxy dauthentification permet dobtenir à peu près le même fonctionnement, mais en passant par un navigateur Internet Il peut être utilisé depuis lintérieur du réseau comme depuis lextérieur

12 RE1612 Proxy dauthentification Les utilisateurs qui sont bloqués par une ACL peuvent (si le routeur est configuré en ce sens) utiliser un simple navigateur web pour sidentifier auprès du serveur TACACS+ ou RADIUS Ils doivent se connecter au serveur HTTP résidant dans le routeur prévu à cet effet Ce serveur HTTP remplace le serveur telnet comme intermédiaire entre lutilisateur et le serveur TACACS+ ou RADIUS Après authentification, le serveur donnera au routeur linstruction quil doit ajouter en tête dACL pour permettre à lutilisateur de rentrer sur le réseau

13 RE1613 Proxy dauthentification Les différences entre les ACL dynamiques et le proxy dauthentification sont : –lACL dynamique est activée par une connexion telnet sur le routeur, alors que le proxy dauthentification est activé par HTTP sur le routeur –le proxy dauthentification ne supporte pas lauthentification locale (nécessité dun serveur TACACS+ ou RADIUS) –contrairement aux ACLs dynamiques, le serveur dauthentification peut ajouter plusieurs instruction à lACL –le serveur dauthentification na quune temporisation absolue, et pas de temporisation dinactivité

14 RE1614 ACL réflexive Permet de filtrer les paquets IP en fonction des informations de session (qui a commencé ?) des couches supérieures On peut ainsi autoriser un certain trafic, seulement si il a été initié depuis lintérieur du réseau On pouvait déjà obtenir ce fonctionnement avec des ACL étendues, en utilisant loption established, mais cette option ne vaut que pour TCP (UDP est en effet un protocole non connecté) Les ACL réflexives permettent de faire ce type de filtrage avec TCP, mais aussi UDP et ICMP

15 RE1615 ACL étendue : rappel Quand on utilise un numéro de port pour filtrer, il faut savoir que seul le port destination est filtré Si je mets une ACL pour interdire à host denvoyer des requêtes HTTP, le serveur ne verra jamais rien Si je mets une ACL qui filtre le trafic HTTP en entrée, alors host peut faire une requête, le serveur peut répondre, et cette réponse ne sera pas bloquée en entrée du routeur ! Le filtrage ne se fait que sur le port destination On peut nautoriser le trafic HTTP que en réponse à une demande de host en utilisant : access-list 101 permit tcp any any eq http established Cette technique utilise les bits ACK et RST de len-tête TCP, et nest donc pas valable pour UDP et ICMP

16 RE1616 ACL réflexive Les sessions TCP sont suivies grâce aux bits ACK, RST et FIN des en-têtes TCP La fin de la session TCP est repérée de la façon suivante : –quand le bit FIN de len-tête TCP est placé à 1, le routeur devine que la session va se terminer, il attend 5 secondes pour laisser le temps à lhôte et au serveur de terminer leur session, puis il bloque le trafic –quand le bit RST est mis à 1, le routeur détecte une interruption abrupte de session et bloque immédiatement le trafic –par défaut au bout dun certain temps (paramétrable) dinactivité pour cette session

17 RE1617 ACL réflexive Les sessions UDP sont suivies par les source/destination n° port source/destination La fin de la session ne peut être détectée que par défaut au bout dun certain temps dinactivité

18 RE1618 ACL réflexive Il y a deux restrictions à lutilisation des ACL réflexives : –elles doivent être utilisées uniquement avec les ACLs étendues (cela ne marche pas avec les standards qui ne portent pas mention des n° de port) –cette technique ne fonctionne pas avec les applications qui changent de numéro de port en cours de session (par exemple FTP en mode actif)

19 RE1619 FTP : rappel Le mode par défaut de FTP est le mode actif En mode actif : –le client ouvre une connexion de contrôle sur le port 21 du serveur –quand le client demande des données le serveur utilise son port 20 pour lui envoyer En mode passif : –le client ouvre une connexion de contrôle sur le port 21 du serveur –le serveur lui indique un numéro de port pour le transfert des données –quand le client demande des données, il sollicite une connexion sur le port que le serveur lui a indiqué Le mode actif est donc incompatible avec les ACLs réflexives

20 RE1620 ACL réflexive : exemple 1 interface Serial 1 description Acces à Internet ip access-group inboundfilters in ip access-group outboundfilters out ! ip reflexive-list timeout 120 ! ip access-list extended outboundfilters permit tcp any any reflect tcptraffic ! ip access-list extended inboundfilters permit bgp any any permit eigrp any any deny icmp any any evaluate tcptraffic utilisation dACL nommées sessions considérées comme inactives et par conséquent interdites au bout de 120 secondes définition de lACL nommée outboudfilters, elle ne contient quune instruction : autoriser tout le trafic IP, mais en pistant au passage les sessions sous le nom tcptrafic définition de lACL nommée inboundfilters : on autorise tout le trafic BGP on autorise tout le trafic EIGRP on interdit tout trafic ICMP tout le reste est évalué selon la règle tcptrafic côté réseau localcôté réseau dinterconnexion S1

21 RE1621 ACL réflexive : exemple 1 interface Serial 1 description Acces à Internet ip access-group inboundfilters in ip access-group outboundfilters out ! ip reflexive-list timeout 120 ! ip access-list extended outboundfilters permit tcp any any reflect tcptraffic ! ip access-list extended inboundfilters permit bgp any any permit eigrp any any deny icmp any any evaluate tcptraffic remarque : on peut intercaler des instructions classiques (non réflexives), elles sont alors normalement évaluées. Ceci est utile quand on ne souhaite pas tout pister ! côté réseau localcôté réseau dinterconnexion S1

22 RE1622 ACL réflexive : exemple 2 côté réseau localcôté réseau dinterconnexion E0 DMZ www smtp dns laccès à la DMZ doit être possible à linitiative lextérieur : on ne peut pas mettre lACL réflexive sur S1 il faut la mettre sur E0 S1 interface Ethernet 0 description Acces a notre reseau ip access-group inboundfilters in ip access-group outboundfilters out ! ip reflexive-list timeout 120 ! ip access-list extended outboundfilters deny icmp any any evaluate tcptraffic ! ip access-list extended inboundfilters permit tcp any any reflect tcptraffic

23 RE1623 ACL à caractère temporel Ce genre dACL permet dinterdire certains trafics pendant certains périodes La référence de temps utilisée est lhorloge interne du routeur, il est dans ce cas intéressant dutiliser le protocole NTP (Network Time Protocol ) pour bien synchroniser tous les équipements les connexions telnet sont autorisées les lundi, mercredi et vendredi de 8h à 17h

24 RE1624 Turbo ACL Quand une ACL contient un grand nombre dinstructions, cela peut gravement ralentir le fonctionnement du routeur les Turbo ACLs sont utilisables avec les IOS Cisco T et sont disponibles uniquement sur les routeurs des séries 7200, 7500, et supérieures

25 RE1625 Context Based Acces Control : CBAC Les ACL étendues permettent de filtrer le trafic en sortie du réseau car seul le port destination est filtré. –Le retour vers le client ne peut être filtré car le numéro de port utilisé est aléatoire –un « faux retour » ne peut pas filtré Les ACL réflexives sont plus performantes que les ACL étendues car elles tiennent compte de linformation de session –un « faux retour » sera bloqué en entrée, sauf si il arrive pendant une session ouverte Le CBAC est plus performant car il tient compte en plus dinformations protocolaires de niveau application

26 RE1626 CBAC Les limitations des ACL classiques sont : –le filtrage ne se fait que sur et ports source et destination –les ports ouverts le sont tout le temps Les limitations des ACL réflexives sont : –elles ne fonctionnent pas avec les applications qui négocient les ports –elles ne permettent pas de limiter le nombre de sessions autorisées simultanément –elles ne tiennent pas compte des informations du protocole de niveau application

27 RE1627 CBAC Les paquets qui arrivent sur linterface externe du firewall sont inspectés par les ACL classiques Seuls les paquets qui passent ce premier barrage sont inspectés par le CBAC CBAC interdit ou autorise uniquement le trafic TCP ou UDP spécifié Des tables détat sont mises à jour grâce aux informations de session, pour chaque connexion active (ouverture, synchronisation, acquittements, relachement) Le filtrage se fait par lajout dynamique dACL ip inspect name inspection-name protocol [timeout seconds]

28 RE1628 CBAC Le CBAC est capable de reconnaître les commandes des protocoles dapplications sur les canaux de contrôle Le CBAC utilise les numéros de séquence de tous les segments TCP Utilisé pour protéger un serveur, le CBAC est aussi capable de reconnaître certaines attaques de niveau application comme le DoS. Dans ce cas, il peut : –générer des messages dalerte –bloquer les paquets concernés

29 RE1629 CBAC : client sortant Le trafic autorisé en sortie (tout ou seulement certains protocoles) est inspecté pour : –en extraire les informations de session et détat du protocole de transport mais aussi du protocole dapplication –ajouter une ACL en entrée pour laisser entrer le trafic réponse Le trafic autorisé en entrée est inspecté pour : –voir si il fait partie dune session en cours –voir si il est conforme à la table détat des protocoles de transport et dapplication

30 RE1630 CBAC : client sortant

31 RE1631 CBAC : client entrant Le CBAC utilise des temporisations et des valeurs seuil pour gérer les états des sessions Les sessions qui ne sont pas établies complètement (de part et dautre) au bout dun certain temps sont fermées par envoi dune fin de session de part et dautre Fixer des valeurs de temporisation de session protège des attaques DoS en libérant les resources du serveur Le nombre de sessions demi-ouvertes est ainsi contrôlable, ce qui protège le serveur

32 RE1632 CBAC : client entrant Plusieurs seuils sont possibles pour bloquer les attaques DoS : –le nombre de connexions simultanées possibles –le nombre de connexions par unité de temps –le nombre de demi-connexion par hôte Ce type de filtrage est à mettre en oeuvre uniquement sur les protocoles dapplication que lon veut filtrer, tous les autres étants interdits

33 RE1633 CBAC

34 RE1634 CBAC Les protocoles de niveau transport supportés sont : –TCP (canal de contrôle seulement) –UDP (canal de contrôle seulement)

35 RE1635 CBAC Les protocoles de niveau application supportés sont : –RPC –FTP –TFTP –UNIX R-commands (rlogin, rexec, rsh,...) –SMTP –HTTP Java –SQL*Net –RTSP (RealNetworks) –H.323 (NetMeeting, ProShare, CUSeeMe) –Autres multimedia : Microsoft NetShow StreamWorks VDOLive

36 RE1636 Alertes et rapports daudit –CBAC génère des alertes temps réel et des rapports daudit –Les rapports daudit sont envoyés à un serveur Syslog Spour rendre compte de toutes les transactions qui sont apparues sur le réseau –On peut configurer les alertes et rapports daudit sur la base des protocoles dapplication

37 RE1637 Configuration du CBAC Les étapes de la mise en fonction du CBAC sont : – fixer les paramètres des alertes et des rapports daudit – fixer les temporisations et les seuils (nombre de connexions) – definir le Port-to-Application Mapping (PAM) – definir les règles dinspection – appliquer les règles dinspection et les ACL aux interfaces – Tester le fonctionnement

38 RE1638 CBAC : alertes Met en route les alertes qui sont envoyées à la console Une alerte est générée quand un paquet IP se voit rejeté par le CBAC no ip inspect alert-off

39 RE1639 Router(config)# logging on Router(config)# logging Router(config)# ip inspect audit-trail Autorise le serveur Syslog et le met en fonction CBAC : rapports ip inspect audit-trail

40 RE1640 ip inspect tcp synwait-time seconds ip inspect tcp finwait-time seconds Spécifie combien le firewall laissera de temps pour que la connexion TCP atteigne létat établie Spécifie combien le firewall attendra de temps léchange des bits FIN avant dinterdire la session CBAC : temporisations Router(config)#

41 RE1641 ip inspect dns-timeout seconds ip inspect tcp idle-time seconds ip inspect udp idle-time seconds Spécifie le temps maximum dinactivité autorisé Même chose pour une session DNS CBAC : temporisations Router(config)#

42 RE1642 ip inspect max-incomplete high number ip inspect max-incomplete low number Définition du nombre maximum de demi-sessions. Quand ce nombre est atteint, le routeur détruit les sessions les plus anciennes jusquà ce que le nombre atteigne le seuil bas défini ci-dessous Définition du nombre de demi-sessions ouvertes qui provoque larret de la destruction des plus anciennes CBAC : seuils Router(config)#

43 RE1643 ip inspect one-minute high number ip inspect one-minute low number Définition du nombre maximum de nouvelles demi-sessions autorisées par minute. Si ce nombre est dépassé, le firewall detruit les plus anciennes jusquà ce que leur nombre atteigne le seuil bas défini ci-dessous Définition du nombre de demi-sessions ouvertes qui provoque larret de la destruction des plus anciennes CBAC : seuils Router(config)#

44 RE1644 ip inspect tcp max-incomplete host number block-time seconds CABC : limitation du nombre de demi-connexions par hôte Définition du nombre maximum de demi-sessions TCP vers le même hôte destination avant que le routeur ne commence à les détruire Quand le nombre de demi-sessions vers le même hôte a été dépassé, le firewall détruit les détruit de la façon suivante : –si block-time est à 0, la plus vielle demi-session est détruite pour faire place à la nouvelle –si block-time plus grand que 0, toutes les demi-connexions existantes sont détruites, et les nouvelles connexions vers cet hôte sont interdites pendant le temps correspondant à block-time Router(config)#

45 RE1645 CBAC : Port-to-Application Mapping Il est possible de configurer les numéros de port que le firewall attribue aux applications CBAC utilise le PAM pour déterminer quel port est attribué aux applications

46 RE1646 Fait correspondre un port à une application Même chose pour un hôte particulier Même chose pour un réseau particulier CBAC : Port Mapping Router(config)# ip port-map appl_name port port_num access-list permit acl_num ip_addr ip port-map appl_name port port_num list acl_num access-list permit acl_num ip_addr wildcard_mask ip port-map appl_name port port_num list acl_num

47 RE1647 show ip port-map montre toutes les informations relatives au port mapping show ip port-map appl_name même chose pour une application show ip port-map port port_num même chose pour un port particulier CBAC : port mapping Router# Router# sh ip port-map ftp Default mapping: ftpport 21 system defined Host specific: ftpport 1000 in list 10 user

48 RE1648 ip inspect name inspection-name protocol [alert {on|off}] [audit-trail {on|off}] [timeout seconds] CBAC : inspection dun protocole dapplication Définit le protocole dapplication à inspecter Sera appliqué à une interface Alertes, rapports daudit et timeout sont configurables par protocole et sont prioritaires sur les réglages globaux Router(config)# Router(config)# ip inspect name FWRULE smtp alert on audit-trail on timeout 300 Router(config)# ip inspect name FWRULE ftp alert on audit-trail on timeout 300

49 RE1649 Router(config)# ip inspect name FWRULE http java-list 10 alert on audit-trail on timeout 300 Router(config)# ip access-list 10 deny Router(config)# ip access-list 10 permit Contrôle le blocage de java avec une ACL standard CBAC : java ip inspect name inspection-name http java-list acl-num [alert {on|off}] [audit-trail {on|off}] [timeout seconds] Router(config)#

50 RE1650 Router(config)# ip inspect name FWRULE rpc program-number wait-time 0 alert off audit-trail on Autorise certains numéros de programmes RPC wait-time limite la durée de connexion CBAC : application RPC ip inspect name inspection-name rpc program-number number [wait-time minutes] [alert {on|off}] [audit-trail {on|off}] [timeout seconds] Router(config)#

51 RE1651 Router(config)# ip inspect name FWRULE smtp Nautorise que les commandes légales suivantes pour SMTP : DATA, EXPN, HELO, HELP, MAIL, NOOP, QUIT, RCPT, RSET, SAML, SEND, SOML et VRFY Sans ce filtre, toutes les transactions SMTP sont autorisées CBAC : SMTP ip inspect name inspection-name smtp [alert {on|off}] [audit-trail {on|off}] [timeout seconds] Router(config)#

52 RE1652 Router(config)# ip inspect name FWRULE fragment max 254 timeout 4 Utilisé pour se protéger contre certaines attaques de type DoS : –max : nombre maxi de fragments avant réassemblage –timeout : attente maximum de réassemblage avant rejet CBAC : fragmentation des paquets ip inspect name inspection-name fragment max number timeout seconds Router(config)#

53 RE1653 ip inspect inspection-name {in | out} CBAC : application à une interface Applique une règle dinspection (repérée par son nom) à une interface Router (config-if)# Router(config)# interface e0/0 Router(config-if)# ip inspect FWRULE in Applique une règle dinspection à linterface e0/0 dans le sens entrant

54 RE1654 CBAC : méthode de travail –Sur les interfaces depuis lesquelles le trafic sera initié : appliquer lACL dans le sens entrant qui autorise uniquement le trafic désiré appliquer les règles dinspection dans le sens entrant, ces règles sappliquant au trafic autorisé –Sur les autres interfaces appliquer lACL dans le sens entrant qui interdit tout le trafic non désiré Le firewall appliquera le filtrage dynamique au sens du CBAC

55 RE1655 CBAC : exemple 1

56 RE1656 Applique les règles dinspection et lACL à linterface e0/0 en entrée (patte inside du firewall) Autorise le trafic initié par les hôtes du réseau /24 Router(config)# interface e0/0 Router(config-if)# ip inspect OUTBOUND in Router(config-if)# ip access-group 101 in Router(config)# access-list 101 permit ip any Router(config)# access-list 101 deny ip any any Router(config)# ip inspect name OUTBOUND tcp Router(config)# ip inspect name OUTBOUND udp Configure CBAC pour linspection du trafic TCP et UDP CBAC : exemple 1

57 RE1657 Router(config)# interface e0/1 Router(config-if)# ip access-group 102 in Router(config)# access-list 102 permit icmp any host Router(config)# access-list 102 permit tcp any host eq www Router(config)# access-list 102 deny ip any any Applique lACL à linterface e0/1 en entrée (patte outside du routeur) Autorise seulement le trafic ICMP et HTTP vers , initié depuis lextérieur CBAC : exemple 1

58 RE1658 CBAC : exemple 2

59 RE1659 Applique les règles dinspection et lACL à linterface e0/0 en entrée (patte inside du firewall) Autorise le trafic initié par les hôtes du réseau /24 Router(config)# interface e0/0 Router(config-if)# ip inspect OUTBOUND in Router(config-if)# ip access-group 101 in Router(config)# access-list 101 permit ip any Router(config)# access-list 101 deny ip any any Router(config)# ip inspect name OUTBOUND tcp Router(config)# ip inspect name OUTBOUND udp Configure CBAC pour linspection du trafic TCP et UDP CBAC : exemple 2

60 RE1660 Applique les règles dinspection et lACL à linterface e0/1 en entrée (patte outside du firewall) Autorise le trafic ICMP et HTTP initié depuis lextérieur et à destination de lhôte Router(config)# interface e0/1 Router(config-if)# ip inspect INBOUND in Router(config-if)# ip access-group 102 in Router(config)# access-list 102 permit icmp any host Router(config)# access-list 102 permit tcp any host eq www Router(config)# access-list 102 deny ip any any CBAC : exemple 2 Router(config)# ip inspect name INBOUND tcp Configure CBAC pour linspection du trafic tcp

61 RE1661 Router(config)# interface e1/0 Router(config-if)# ip access-group 103 in Router(config-if)# ip access-group 104 out Router(config)# access-list 103 permit icmp host any Router(config)# access-list 103 deny ip any any Router(config)# access-list 104 permit icmp any host Router(config)# access-list 104 permit tcp any host eq www Router(config)# access-list 104 deny ip any any Nautorise que le trafic ICMP initié depuis la DMZ Nautorise que le trafic ICMP et HTTP initié depuis lextérieur et à destination de lhôte CBAC : exemple 2 Applique les deux ACL à linterface e1/0

62 RE1662 show ip inspect name inspection-name show ip inspect config show ip inspect interfaces show ip inspect session [detail] show ip inspect all Affiche les configurations CBAC, les configurations des interfaces et les sessions CBAC : commandes show Router# Router# sh ip inspect session Established Sessions Session C ( :35009)=>( :34233) tcp SIS_OPEN Session 6156F0CC ( :35011)=>( :34234) tcp SIS_OPEN Session 6156AF74 ( :35010)=>( :5002) tcp SIS_OPEN

63 RE1663 Commandes de debug générales CBAC : commandes debug Router# debug dun protocole particulier Router(config)# debug ip inspect function-trace debug ip inspect object-creation debug ip inspect object-deletion debug ip inspect events debug ip inspect timers debug ip inspect protocol

64 RE1664 no ip inspect Enlève toute la configuration CBAC Remet toutes les temporisations et les seuils à leur valeur par défaut Détruit toutes les sessions existantes Enlève toutes les ACL dynamiques générées par le CBAC Enlever le CBAC Router(config)#

65 RE1665 CBAC : limitations Le CBAC ninspecte que le trafic explicitement spécifié. Cest un avantage car le contrôle peut se faire finement, mais il faut souvent beaucoup dentrées « ip inspect » pour couvrir tous les types de connexions Le CBAC nest pas très simple dutilisation et demande une bonne connaissance des protocoles et des applications utilisés Le trafic que le routeur lui-même génère nest pas inspecté Le trafic qui est envoyé au routeur lui-même nest pas inspecté CBAC ne peut inspecter les données cryptées (IPSec). Il peut cependant inspecter les canaux VPN dont il est à lorigine Seul le mode passif de FTP est compatible avec le CBAC

66 RE1666 Conclusion Les ACL étendues permettent de filtrer le trafic en sortie du réseau car seul le port destination est filtré. –Le retour vers le client ne peut être filtré car le numéro de port utilisé est aléatoire –un « faux retour » ne peut pas filtré Les ACL réflexives sont plus performantes que les ACL étendues car elles tiennent compte de linformation de session –un « faux retour » sera bloqué en entrée, sauf si il arrive pendant une session ouverte Le CBAC est plus performant car il tient compte en plus dinformations protocolaires de niveau application –seules les commandes autorisées dans les protocoles connus passent à travers le firewall –le firewall piste les attaques connues –appliqué dans le sens sortie puis entrée, le CBAC permet de ne laisser entrer sur le réseau que ce qui fait partie dune session « propre » –appliqué dans le sens entrée puis sortie, le CBAC permet de se protéger contre les attaques de type DoS


Télécharger ppt "RE161 ACL : notions avancées Le principe des ACL a été expliqué au chapitre précédent Ces ACL de base présentent des limitations qui peuvent être résolues."

Présentations similaires


Annonces Google