Configuration PIX avec deux Routeurs ccnp_cch

Sommaire • Configuration • Concepts • Introduction - Composants utilisés • Configuration - Schéma du réseau - Configurations • Concepts • Protocoles de réseau non recommandés avec un pare-feu ccnp_cch

Introduction Configuration Composants utilisés ccnp_cch Ce document illustre comment sécuriser un réseau constitué d'une combinaison de routeurs Cisco et d'un pare-feu PIX. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles suivantes : ● PIX Software version 5.3.1 et suivantes Note : les commandes utilisées dans les autres versions de PIX varient légèrement. Référez-vous à la documentation du PIX avant d'implémenter cette configuration. Configuration Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Schéma du réseau 10.10.254.1 Réseau 10.10.254.0/24 Ethernet 0 131.1.23.0/24 RTRB RTRA PIX .2 .1 10.10.250.0 Internet d'entreprise Serveur Mail 10.10.254.3 Serveur HTTP/FTP 131.1.23.3 ccnp_cch 10.1.1.0/24

Configurations ccnp_cch PIX !−−− Configure l'adresse externe du Firewall PIX. ip address outside 131.1.23.2 !−−− Configure l'adresse interne du Firewall PIX. ip address inside 10.10.254.1 !−−− Configure le pool global des hosts internes. global (outside) 1 131.1.23.12−131.1.23.254 !−−− Permet la traduction des adresses du réseau 10.0.0.0. nat (inside) 1 10.0.0.0 !−−− Configure une traduction statique pour une station !−−− d'administration avec l'adresse locale 10.14.8.50: static (inside,outside) 131.1.23.11 10.14.8.50 !−−− Permet aux paquets syslog de traverser le à partir de RTRA. !−−− Vous pouvez utiliser les conduits ou les access−lists pour !--- autoriser le trafic. !−−− Les conduits ont été ajoutés pour montrer la commande bien !−−− qu'il soit recommandé d'utiliser les listes d'accès. !−−− Vers la station d'administration (serveur syslog) !−−− Utilisation de conduit: !−−− conduit permit udp host 131.1.23.11 eq 514 host 131.1.23.1 !−−− Utilisation d'access−list: Access−list 101 permit udp host 131.1.23.1 host 131.1.23.11 255.255.255.0 eq 514 Access−group 101 in interface outside !−−− Pour permettre les connexions mail entrantes vers 131.1.23.10. static (inside, outside) 131.1.23.10 10.10.254.3 !−−− Utilisation de conduits !−−− conduit permit TCP host 131.1.23.10 eq smtp any !−−− Utilisation de listes d'accès, on utilise la liste d'accès 101 !−−− qui est déjà appliquée à l'interface externe. access−list 101 permit tcp any host 131.1.23.10 eq smtp !−−− Le PIX a besoin de routes statiques ou d'utiliser des !--- protocoles de routage pour connaître les réseaux directement !−−− connectés. !−−− Ajouter une route pour le réseau 10.14.8.0/24. route inside 10.14.8.0 255.255.255.0 10.10.254.2 !−−− Ajouter une route par défaut pour le reste du trafic à !--- destination d'Internet. Route outside 0.0.0.0 0.0.0.0 131.1.23.1 ccnp_cch

!−−− Valide la fonction "Mail Guard" pour accepter uniquement les !−−− sept commandes SMTP !−−− HELO, MAIL, RCPT, DATA, RSET, NOOP, and QUIT: !−−− (ceci peut être arrêté pour permettre ESMTP en utilisant la !−−− commande no fixup protocol smtp 25). fixup protocol smtp 25 !−−− Pour permettre Telnet à partir de la station interne à !--- l'adresse 10.14.8.50 sur l'interface interne du PIX. telnet 10.14.8.50 !−−− Active le logging. logging on !−−− Pour valider la catégorie de logging 20. logging facility 20 !−−− Pour valider le niveau 7. logging history 7 !−−− Pour valider le logging sur l'interface interne. logging host inside 10.14.8.50 Note: RTRA est le routeur bouclier externe; il doit protéger le pare-feu des attaques di- rectes, protéger le serveur HTTP/FTP et agir comme système d'alarme. Si quelqu'un arrive à pénétrer RTRA, l'administrateur système doit être immédiatement averti. RTRA no service tcp small−servers !−−− Evite certaines attaques contre le routeur lui-même. logging trap debugging !−−− Force le routeur à transmettre un message vers le serveur !−−− syslog pour chaque évènement sur le routeur, incluant les !−−− paquets rejetés par une liste d'accès et les modifications !−−− de configuration. Il agit comme un système de première !−−− alerte pour l'administrateur système, lui indiquant que !−−− quelqu'un tente une intrusion ou a réussi à s'introduire !−−− pour essayer de créer un "trou" dans le pare-feu. ! logging 131.1.23.11 !−−− Le routeur logge tous les évènements vers ce host qui dans !−−− ce cas est l'adresse externe traduite de la station de !−−− l'administrateur système. enable secret xxxxxxxxxxx interface Ethernet 0 ip address 131.1.23.1 255.255.255.0 interface Serial 0 ip unnumbered ethernet 0 ip access−group 110 in !−−− Protège le PIX et le serveur HTTP/FTP des attaques. ccnp_cch

ccnp_cch access−list 110 deny ip 131.1.23.0 0.0.0.255 any log !−−− RTRA et Pare-feu PIX. !−−− Empêche les attaques de type "spoofing". access−list 110 deny ip any host 131.1.23.2 log !−−− Empêche les attaques directes contre l'interface externe du !−−− PIX et logge toute tentative de connexion à l'interface !−−− externe du PIX vers le serveur syslog. access−list 110 permit tcp any 131.1.23.0 0.0.0.255 established !−−− Permet les paquets qui font partie d'une session TCP !−−− déjà établie. access−list 110 permit tcp any host 131.1.23.3 eq ftp !−−− Autorise les connexions FTP dans le serveur FTP/HTTP. access−list 110 permit tcp any host 131.1.23.3 eq ftp−data !−−− Autorise les connexions ftp−data dans le serveur FTP/HTTP. access−list 110 permit tcp any host 131.1.23.3 eq www !−−− Autorise les connexions HTTP dans le serveur FTP/HTTP. access−list 110 deny ip any host 131.1.23.3 log !−−− Interdit toutes autres connexions au serveur FTP/HTTP, !--- et logge toute tentative de connexion de ce serveur au !−−− serveur syslog. access−list 110 permit ip any 131.1.23.0 0.0.0.255 !−−− Permet d'autre trafic destiné au réseau entre le PIX et RTRA. ! line vty 0 4 login password xxxxxxxxxx access−class 10 in !−−− Restreint l'accès Telnet au routeur aux adresses IP listées !−−− dans la liste d'accès 10, détaillée ci-dessous. access−list 10 permit ip 131.1.23.11 !−−− Permet uniquement l'accès Telnet sur le routeur à la station !−−− de l'administrateur réseau; cette liste d'accès peut être !−−− modifiée pour permettre l'accès à partir d'Internet pour !−−− de la maintenance mais doit avoir le minimum d'entrées !--- possibles. Note: Le routeur RTRB est le routeur bouclier interne; il est la dernière défense dans votre système pare-feu et le point d'entrée de votre réseau interne. ccnp_cch

ccnp_cch RTRB logging trap debugging logging 10.14.8.50 !−−− Logge toute activité sur ce routeur vers le serveur syslog !−−− situé sur la station de l'administrateur y compris les !−−− modifications de configuration. ! interface Ethernet 0 ip address 10.10.254.2 255.255.255.0 no ip proxy−arp ip access−group 110 in !−−− Empêche aux adresses internes et externes !−−− d'être mingling; garde contre les attaques lancées !−−− depuis le pare-feu PIX ou le serveur SMTP. access−list 110 permit udp host 10.10.250.5 0.0.0.255 !−−− Permet les messages syslog destinés à la station de !−−− l'administrateur. access−list 110 deny ip host 10.10.254.1 any log !−−− Rejette les autres paquets issus du pare-feu PIX. access−list permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp !−−− Permet les connexions du serveur SMTP vers les hosts internes. access−list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255 !−−− Rejette tout autre trafic issu du serveur mail. access−list deny ip 10.10.250.0 0.0.0.255 any !−−− Empêche l'usurpation d'adresses sécurisées sur le réseau !−−− interne. access−list permit ip 10.10.254.0 0.0.0.255 10.10.250.0 0.255.255.255 !−−− Permet tout autre traffic issu du réseau situé entre le !−−− pare-feu PIX et RTRB. line vty 0 4 login password xxxxxxxxxx access−class 10 in !−−− Restreint l'accès Telnet au routeur aux adresses IP listées !−−− dans la liste d'accès 10, détaillée ci-dessous. access−list 10 permit ip 10.14.8.50 !−−− Permet uniquement l'accès Telnet sur le routeur à la station !−−− de l'administrateur réseau; cette liste d'accès peut être !−−− modifiée pour permettre l'accès à partir d'Internet pour !−−− de la maintenance mais doit avoir le minimum d'entrées !--- possibles. Aussi à cause du fait que ce n'est pas un réseau !−−− connecté, une route statique ou un protocole de routage doit !−−− être utilisé pour que le routeur connaisse le réseau 10.14.8.x !−−− qui est à l'intérieur du réseau de l'entreprise. ccnp_cch

Concepts Rappelez-vous que le but des pare-feux est d'empêcher des entrées non autorisées dans votre réseau tout en autorisant le trafic désiré en même temps. Il est probable- ment plus aisé de commencer avec une analyse de quel pourrait être l'objectif d'une intrusion et ensuite de considérer comment rendre cette intrusion dans votre réseau difficile pour un criminel potentiel. Supposons dans ce cas présent que le criminel a en mémoire un serveur qui contient des informations qui seraient de grande valeur pour vos concurrents. L'adresse IP de ce serveur, que le criminel a apprise, est la suivante: 10.100.100.10. Toute de suite, le criminel est face à un sérieux problème: l'adresse du serveur est une adresse qui ne peut pas être atteinte au travers d'Internet car cette adresse ne sera jamais acheminée dans Internet. Cela force le criminel soit à tenter de trouver quelle adresse est traduite sur Internet ( un bon administrateur système ne laissera jamais cette adresse traduite sur Internet) ou de s'introduire directement dans votre réseau dans le but d'obtenir un "camp de base" à partir duquel il attaquera le serveur conte- nant les données sensibles. Supposons que le criminel ne puisse trouver aucun moyen pour attaquer le serveur directement et ainsi commence à attaquer votre réseau pour pouvoir attaquer le serveur depuis l'intérieur de votre réseau. Le premier obstacle auquel votre criminel fait face est la DMZ (Demilitarized zone) qui est située entre RTRA et le pare-feu PIX. Le criminel peut tenter d'entrer dans RTRA mais le routeur est configuré pour accepter les connexions uniquement de la station d'administration et bloque toutes celles qui sont issues de la DMZ elle-même. Le crimi- nel n'est toujours pas entré dans le réseau et ne peut toujours pas attaquer le host contenant les données sensibles. Le criminel pourrait aussi tenter de s'introduire dans le serveur FTP/HTTP laquelle est une possibilité qu'il faut ragarder - ce host doit être sécurisé au maximum contre ce genre d'attaque. Si le criminel s'introduit dans le serveur FTP/HTTP, il ne sera toujours pas en position d'attaquer directement le host contiennent les données sensibles mais il sera en position d'attaquer directement le pare-feu PIX. Dans tous les cas les activi- tés du criminel devront être loggés très tôt dans le processus afin que l'administrateur système soit prévenu de la présence d'un intrus. Si l'attaquant arrive à s'introduire dans la DMZ externe, il se trouvera en position d'at- taquer le PIX et un peu plus; ainsi la seconde DMZ devient le prochain but à atteindre. Il peut atteindre ce but en attaquant le pare-feu PIX lui-même ou en attaquant RTRB qui est configuré pour accepter les sessions Telnet venant uniquement de la station d'administration. Une fois encore, les tentatives d'intrusion dans la DMZ d'origine se- ront loggées par le pare-feu PIX et RTRB ainsi l'administrateur système aura des aler- tes et sera capable de stopper cette attaque avant que l'attaquant arrive au point où il peut attaquer directement le serveur sensible. L'attaquant pourrait également traverser la DMZ externe et tenter une intrusion dans la DMZ origine en attaquant le serveur mail. Ce host est protégé par le pare-feu PIX et doit être protégé au travers d'une surveillance et d'une configuration soignées. C'est le point le plus vulnérable de tout le système. ccnp_cch

Protocoles de réseau non recommandés avec un pare-feu comme vous pouvez le voir, le concept est de fournir plusieurs couches de défense plu- tôt qu'un seul "super pare-feu". Les éléments doivent se verrouiller entre eux en une seule structure de pare-feu solide qui est assez flexible pour permettre le trafic dont vous avez besoin mais également beaucoup d'alarmes et d'alertes précoces. Protocoles de réseau non recommandés avec un pare-feu Du à la nature inhérente de leur insécurité quelques protocoles de réseau ne sont ap- propriés pour fonctionner à travers des pare-feux à partir d'un réseau non sécurisé vers un réseau sécurisé. Des exemples de protocoles non sécurisés sont: ● NFS ● rlogin ● rsh ● tout protocole basé RPC De récentes versions du PIX ont le support des protocoles RPC inclus. Cisco décourage fortement cette capacité car RPC est vraiment très vulnérable. Cette fonctionnalité est faite pour être utilisée dans des cas très particuliers. ccnp_cch