La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Ntic2.xtreemhost.com Pix cisco www.ntic2.xtreemhost.com.

Présentations similaires


Présentation au sujet: "Ntic2.xtreemhost.com Pix cisco www.ntic2.xtreemhost.com."— Transcription de la présentation:

1 ntic2.xtreemhost.com Pix cisco

2 ntic2.xtreemhost.com Qu'est-Ce Qu'un Pare-feu? (coupe-feu, garde-barrière ou Firewall en anglais), est un système permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (notamment Internet) Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau suivantes :passerelle filtrante Une interface pour le réseau à protéger (réseau interne)  inside Une interface pour le réseau externe  outside

3 ntic2.xtreemhost.com Fonctionnement D'un Système Pare- feu Un système pare-feu contient un ensemble de règles prédéfinies permettant : D'autoriser la connexion (allow) De bloquer la connexion (deny) De rejeter la demande de connexion sans avertir l'émetteur (drop).

4 ntic2.xtreemhost.com méthode de filtrage On distingue habituellement deux types de politiques de sécurité permettant : 1- soit d'autoriser uniquement les communications ayant été explicitement autorisées :  "Tout ce qui n'est pas explicitement autorisé est interdit". 2- soit d'empêcher les échanges qui ont été explicitement interdits.

5 ntic2.xtreemhost.com Type de filtrage 1 Le filtrage simple de paquets (filtrage basic, stateless packet filtering ) 2 Le filtrage dynamique

6 ntic2.xtreemhost.com Le filtrage simple de paquets Il se base sur la couche 3 du modèle OSI Il analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine du réseau interne et une machine extérieure.paquet de données les en-têtes suivants, systématiquement analysés par le Firewall : 1- adresse IP de la machine émettrice 2- adresse IP de la machine réceptrice 3- type de paquet (TCP, UDP, etc.)TCPUDP 4- numéro de port (rappel: un port est unport numéro associé à un service ou une application réseau) identifier la machine émettrice et la machine cible indication sur le type de service utilisé

7 ntic2.xtreemhost.com Le filtrage dynamique est basé sur l'inspection des couches 3 et 4 du modèle OSI permettant d'effectuer un suivi des transactions entre le client et le serveur Un dispositif pare-feu de type « stateful inspection » est ainsi capable d'assurer un suivi des échanges, c'est-à-dire de tenir compte de l'état des anciens paquets pour appliquer les règles de filtrage. à partir du moment où une machine autorisée initie une connexion à une machine située de l'autre côté du pare-feu; l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement acceptés par le pare-feu.

8 ntic2.xtreemhost.com présentation de Pix Les PIX Cisco sont des pare-feu qui intègrent matériel et logiciel ainsi une protection importante

9 ntic2.xtreemhost.com Aspect du PIX Sur la face avant du PIX, on a très peu d'informations. Le logo du constructeur La gamme du produit sur lequel on travaille. Trois diodes Ces diodes servent à définir différents statuts POWER - Elle permet de savoir si l'appareil est en marche ou bien arrêté. ACT - Cette diode est utile si on utilise une architecture de redondance, c'est-à-dire plus d'un PIX. Si elle est allumée cela veut dire que le PIX est actif. Sinon le PIX est en veille ou la redondance n'est pas activée. NETWORK - Elle est active lorsqu'au moins une interface réseau du PIX laisse passer le trafic.

10 ntic2.xtreemhost.com Aspect du PIX Sur la face arrière du PIX, nous pouvons voir les différentes connectiques et les diodes qui représentent le statut des interfaces

11 ntic2.xtreemhost.com Le principe un PIX est considéré comme une porte verrouillée. Pour passer au travers de cette porte et accéder aux services disponibles sur l'autre segment réseau, il faut posséder la clef, permettant de l'ouvrir. C'est le PIX qui va décider de donner ou non cette clef. Par exemple, si l'on considère une machine sur laquelle tourne le service WEB http et le daemon sshd. Par défaut toutes les portes du PIX sont fermées et seul le port 80 (http) a été ouvert

12 ntic2.xtreemhost.com

13 Une plateforme évolutive il est possible d’ajouter des cartes réseaux donc des interfaces sur la majorité de la gamme Pix Cisco Il est aussi possible de mettre à jour l’IOS du Firewall comme c’est le cas pour les routeurs. De ce fait nous pouvons ajouter des fonctionnalités à nos Pix sans avoir à les changer

14 ntic2.xtreemhost.com Installation et configuration graphique les Cisco Pix Firewall sont livrés avec un logiciel d'administration graphique (PDM). PDM permet à l'administrateur réseau de configurer et de gérer le pare-feu Pix Firewall à l'aide d'une interface GUI Il permet de récupérer, modifier et administrer les politiques de sécurité ainsi que de faire du monitoring

15 ntic2.xtreemhost.com Pour le configurer, il faut utiliser les commandes « [no] http adresse-ip masque » et « [no] http server enable». Par exemple: Pix-fsts (config)# http server enable pix-fsts (config)# http

16 ntic2.xtreemhost.com

17 Performance (algorithme ASA) performances PIX découlent d'un système de protection basé sur l'algorithme ASA (Adaptive Security Algorithm). Cet algorithme assure une très grande protection de l'accès au réseau interne en comparant les paquets entrants et sortants aux entrées d'une table. L'accès n'est autorisé qu’après authentification.

18 ntic2.xtreemhost.com Nombre de connections Le Cisco Secure Pix Firewall 515-R supporte jusqu'à sessions simultanées, le Pix 515-UR en supporte jusqu'à et le Pix 520 jusqu'à

19 ntic2.xtreemhost.com Tolérance de panne La plus part des Pix Cisco dispose d'un system de tolérance de panne du nom de failover. Celui-ci permet de mettre un deuxième Pix en cascade au premier au cas ou celui-ci tomberait en panne Une interface est donc prévue à cet effet. Il suffit juste de connecter les deux Pix à cette interface et à activer le failover au niveau de l'IOS dans chacun des Pix.

20 ntic2.xtreemhost.com Tolérance de panne Le Pix 506 ne permet pas le Failover Les Pix 515, 525 et 535 supportent le Failover si et seulement si vous avez une licence UR. Pour faire du Failover avec des Pix, il faut deux Pix Failover. Dans tous les cas les 2 Pix doivent être rigoureusement identique en matière de : RAM, Flash, IOS. Le Failover avec des Pix est du type actif/passif. C'est à dire que le Pix2 est passif. Tout le trafic passe par le Pix1 qui est actif. Ce n'est que si ce premier Pix tombe que le second devient actif.

21 ntic2.xtreemhost.com Caractéristiques matérielles ( Pix 515 ) Processeur Intel Celeron cadencé à 433 Mhz 128 Ko de mémoire cache niveau 2 cadencée à 433 Mhz Mémoire Flash de 16 Mo 32 Mo ou 64 Mo de RAM selon la License restreinte ou non restreinte Jusqu'à six interfaces selon les modèles Un port console pour l'administration Différentes diodes pour vérifier le statut de l'alimentation, du réseau et de la redondance. Un débit de sortie jusqu'à 188 Mbps Support de différents protocoles de cryptage pour la confidentialité des données utilisateur: 56 bit DES, 168 bits 3DES et 128 ou 256 bit AES Jusqu'à 60 / 130 Mbps pour les connexions VPN.

22 ntic2.xtreemhost.com Caractéristiques fonctionnelles Le PIX est un pare-feu à inspection d'état, peut assurer le suivi des échanges et utilise l'ASA (Adaptive Security Algorithm) pour ce filtrage dynamique. Il peut aussi contrôler l'accès de différentes applications, services et protocoles et protège votre réseau contre les attaques connues et courantes

23 ntic2.xtreemhost.com Ce pare-feu gère également le VPN (IKE et IPSec). On peut ainsi créer des tunnels VPN entre sites. Le PIX peut aussi faire office de serveur DHCP pour les équipements connectés au réseau interne et grâce au NAT, permet à ces "clients" de se connecter à Internet avec une même adresse IP publique

24 ntic2.xtreemhost.com Configuration de base Deux méthodes de configuration sont adaptées: La configuration du PIX peut s'effectuer via une interface web : le Pix Device Manager (PDM). Ou par le biais de commandes entrées manuellement par l'administrateur l'interface en ligne de commande (CLI).

25 ntic2.xtreemhost.com Modes de commandes il existe plusieurs niveaux d'accès administratifs : - Mode utilisateur - Mode privilégié - Mode de configuration globale

26 ntic2.xtreemhost.com Mode utilisateur mode par défaut, on peut consulter certaines informations sur le pare-feu mais sans pouvoir effectuer de modifications en mode utilisateur, on aura : PIX-FSTS>

27 ntic2.xtreemhost.com Mode privilégié permet de procéder à la configuration de base du pare-feu et de visualiser son état. En mode privilégié : PIX-FSTS #

28 ntic2.xtreemhost.com Mode de configuration globale comme son nom l'indique, permet de configurer les paramètres ayant une portée globale. Et en mode de configuration globale : PIX-FSTS(config)#

29 ntic2.xtreemhost.com Pour passer d'un mode à l'autre il faut utiliser les commandes suivantes : - enable pour passer du mode utilisateur à privilégié et disable ou exit pour l'inverse. - configure terminal pour passer du mode privilégié à configuration globale et exit pour l'inverse.

30 ntic2.xtreemhost.com Une bonne configuration mais avec une bonne organisation !!

31 ntic2.xtreemhost.com Méthode et Organisation de la configuration de Pix Pour que notre Firewall Pix soit bien configurer il faut suivre une méthode de configuration bien organisé qui va nous aider par la suite de savoir les faille de la configuration plus rapidement

32 ntic2.xtreemhost.com Configuration de base Ci-après les principes d’une configuration organisée et moins réduite

33 ntic2.xtreemhost.com Nom du Pix et domaine du pix : hostname Pix-FSTS domain-name fsts.ac.ma

34 ntic2.xtreemhost.com Mot de passe du pix pour l'accès en mode enable enable password mot-de-passe encrypted

35 ntic2.xtreemhost.com Mot de passe du pix pour l'accès en telnet et ssh passwd password [encrypted]

36 ntic2.xtreemhost.com Nommages des équipements Pendant la configuration un administrateur réseaux a eu la charge de rappeler toutes les adresses IP nécessaire pour cette configuration  alors pour faciliter cette tache, on affecte un nom à chaque adresse IP et au lieu d’appliquer les règles des contrôles d’accès ou d’autre configuration sur les adresses IP il nous suffit juste de les appliquer sur les noms affectés des hôtes ou des serveurs utilisée

37 ntic2.xtreemhost.com Configuration des interfaces Nom des interfaces et affectation d'un niveau de sécurité Le Pix interdit toute communication émanent d'une interface ayant un niveau de sécurité bas vers une interface de niveau élevé Il faut donc attribuer un niveau de sécurité de 0 pour l'interface connectée à Internet et un niveau de 100 pour l'interface connecter au LAN la DMZ (zone démilitarisée), on met un niveau de sécurité à 50

38 ntic2.xtreemhost.com Configuration des interfaces nameif hardware_id if_name security_level Par exemple: # nameif ethernet0 outside security0 # nameif ethernet1 dmz security50 # nameif ethernet2 inside security 100

39 ntic2.xtreemhost.com Affectation des adresses ip aux interfaces ip address if_name ip_address [netmask] # ip address outside # ip address dmz

40 ntic2.xtreemhost.com Les ACLS les Access liste,les listes de contrôles d’accès Une ACL sur un pare-feu, est une liste d'adresses ou de ports autorisés ou interdits par le dispositif de filtrage.pare-feuadressesports ACLs sont les ligne de la configuration les plus importantes au niveau du Pix c’est eux qui nous permettent d’appliquer les règles de permission ou de blocage soit des application,des services ou des hôtes

41 ntic2.xtreemhost.com Définition des objets (Object Grouping) Une ACL peut permettre au PIX d'autoriser un client particulier à accéder à un serveur particulier pour un service spécifique. Quand il y a seulement un client, un serveur et un service, le nombre de lignes est minimum dans l'ACL  Cependant, en augmentant le nombre de clients, de serveurs, le nombre de lignes dans une ACL augmente exponentiellement.

42 ntic2.xtreemhost.com Définition des objets (Object Grouping) On peut grouper des objets de réseau tels que des serveurs et des services pour simplifier la tâche de création et d'application d'ACLs.  Ceci réduit le nombre d'entrées de contrôle d'accès (ACEs) exigées pour mettre en application des politiques complexes de sécurité.

43 ntic2.xtreemhost.com L'application d'un groupe d'objet à une commande est l'équivalent d'appliquer chaque élément du groupe d'objet à la commande Par exemple: le groupe group_admin contient : Le groupe group_service soutient les protocoles HTTP, HTTPS et FTP L'application du groupe group_admin et group_service à un ACE est équivalente à appliquer tous les hôtes et protocoles individuellement à l'ACE.

44 ntic2.xtreemhost.com Par conséquent, la commande : access-list outside permit tcp any object-group DMZ_Servers object-DMZ_Services Est équivalente à: access-list outside permit tcp any eq http access-list outside permit tcp any hos eq https access-list outside permit tcp any eq ftp access-list outside permit tcp any eq http access-list outside permit tcp any eq https access-list outside permit tcp any eq ftp access-list outside permit tcp any eq http access-list outside permit tcp any eq https access-list outside permit tcp any eq ftp

45 ntic2.xtreemhost.com Types d’objet groupe Grouper les objets fournit une manière de grouper des objets d'un type identique de sorte qu'une ACL simple puisse s'appliquer à tous objets dans le groupe. Vous pouvez créer les types suivants de groupes d'objet : -Network : Utilisée pour grouper les hôtes et les sous-réseaux -Protocol : Utilisée pour grouper les protocoles Peut contenir un des mots Clés Parmi icmp, ip, tcp, or udp, ou un entier entre 1 à 254 représentant un numéro de protocole. Utiliser le mot clé ip pour englober tous les protocoles Internet, incluant ICMP, TCP et UDP. - Service : Utilisée pour grouper les ports TCP or UDP assignés à différents services. - ICMP-type : Utilisée pour grouper les types de messages ICMP à autoriser ou refuser.

46 ntic2.xtreemhost.com Configuration d'un object-group object-group network pour nommer l'objet réseau et entre en mode secondaire d'objet de réseau. Une fois à l'intérieur de ce mode, on peut employer la commande network-object pour ajouter un serveur ou un réseau au groupe d'objet de réseau. object-group network group-admin network-object host | administrateur-reseau network-object C'est similaire pour les objets service: object-group service Services tcp port-object eq service port-object range begin_service end_service(pour assigner un plage de service

47 ntic2.xtreemhost.com Configuration du NAT La translation d'adresse réseau, NAT, est un mécanisme permettant, entre autre, de connecter plusieurs équipements réseau à Internet via une seule adresse IP publique leurs adresses internes restant ainsi inconnues de l'extérieur. Pour le configurer sur le PIX il faut utiliser les commandes suivantes. Ceci est nécessaire afin de faire communiquer les hôtes avec un haut niveau de sécurité vers ceux ayant un niveau plus bas

48 ntic2.xtreemhost.com nat [(if_name)] nat_id address [netmask] [dns][max_conns] Vérification de la configuration NAT: show nat : Cette commande sert à afficher un hôte ou une ensemble d'hôte translatés. show global: Affiche les pools d'adresses configurées sur le PIX. show xlate: Affiche la table de translation

49 ntic2.xtreemhost.com Sauvegarde de La configuration Obligatoire, importante et incontournable pour un administrateur réseau parce que cette partie il va nous permettre de garder les traces de la configuration finale Dans les cas d’ajout d’une configuration malveillante on peut restaurer la configuration sauvegardée tranquillement sans aucun doute, ni stress L’utilisation de la commande « write memory » va vous permettre de sauvegarder dans la mémoire flash toute la configuration du PIX que vous venez de réaliser

50 ntic2.xtreemhost.com Complement de securité Afin de garantir un niveau de protection maximal, il est nécessaire d'administrer le pare-feu et notamment de surveiller son journal d'activité afin d'être en mesure de détecter les tentatives d'intrusion et les anomalies. Par ailleurs, il est recommandé d'effectuer une veille de sécurité afin de modifier le paramétrage de son dispositif en fonction de la publication des alertes. La mise en place d'un Firewall doit donc se faire en accord avec une véritable politique de sécurité  y compris :

51 ntic2.xtreemhost.com LE CLOISONNEMENT Le cloisonnement du réseau consiste à définir plusieurs zones de niveaux de sécurité différents, identifier les échanges entre les niveaux et limiter les échanges au strict minimum. En effet, cela permettra de : Séparer les zones de confiances différentes Assurer une meilleure protection des services IP, Assurer une meilleure séparation des flux.

52 ntic2.xtreemhost.com Le cloisonnement du réseau sera accompagné des moyens techniques suivants : 1- Le filtrage des flux IP par l’utilisation des Firewalls 2- La translation d’adresse permettant de cacher la topologie du réseau interne aux correspondants externes. Plusieurs types d’implémentation sont utilisés : Traduction statique d’adresses Traduction dynamique de ports : elle est appliquée aux postes de travail internes pour naviguer sur Internet ou communiquer avec les différents serveurs métiers localisés sur les autres zones de sécurité. Les services de filtrage et relais applicatifs sont réalisés sur des serveurs dédiés comme les serveurs Proxy http (Antivirus SMTP, Antivirus http/FTP, Filtrage URL), Le service d’Authentification, d’Autorisation et d’Accounting est assuré par une plateforme de contrôle d’accès basée sur le protocole Radius et Tacacs

53 ntic2.xtreemhost.com PROTECTION ANTIVIRALE DES FLUX HTTP/FTP Les flux de messagerie entrants et sortants sont routés vers la passerelle de protection antivirale SMTP. En effet, cette passerelle analyse le contenu des messages reçus et vérifie qu’ils ne contiennent aucun virus ou code malicieux puis transférera le message vers le serveur de messagerie ou Internet.

54 ntic2.xtreemhost.com LA DETECTION D’INTRUSION pour atténuer ces risques à mettre en place des détecteurs d’intrusions réseaux sur les différents segments « Public » et « Partenaires ». Les principales fonctionnalités qui sont exploitées sont : - Examen « silencieux » du trafic réseau ; -envoi de Logs vers le serveur d’analyse de logs -Comparaison du trafic capturé avec une base de données d'attaques ; -Mise en place éventuelles d’actions efficaces en cas d'attaque ; -Remonté d'alertes vers une console centrale (+ mails,...).

55 ntic2.xtreemhost.com LA REDONDANCE ET DISPONIBILITE Afin de compléter la robustesse de l’infrastructure de sécurité des accès Internet mise en place, une amélioration du niveau de disponibilité est indispensable, cette amélioration passe par : Redondance des équipements Firewalls en FailOver, Redondance des serveurs passe les Antirus SMTP/Antispam et Http/FTP.

56 ntic2.xtreemhost.com conclusion N’oubliez pas que la configuration n’est pas définitive et qu’il très important de faire un suivi régulier, c'est-à-dire mettre à jour les schémas réseaux lors de modifications et les appliquer sur le PIX. Le PIX étant un produit très évolutif, vous pourrez ajouter facilement des cartes d’extension, ou bien mettre à jour l’IOS

57 ntic2.xtreemhost.com Merci pour votre attention Gracias por su atención


Télécharger ppt "Ntic2.xtreemhost.com Pix cisco www.ntic2.xtreemhost.com."

Présentations similaires


Annonces Google