Sécurité - Configuration d'un Routeur avec trois interfaces avec CBAC et sans NAT ccnp_cch
Sommaire - Introduction - Prérequis - Composants utilisés - Configuration - Schéma du réseau - Configurations - Vérification ccnp_cch
Introduction Ce document fournit un exemple de configuration typique pour une petite entreprise connectée à Internet et possédant ses propres serveurs. La connexion à Internet est effectuée via une liaison série. L'interface Ethernet 0 est connectée au réseau interne (un seul LAN). L'interface Ethernet 1 est connectée à un réseau "DMZ" lequel contient une seule machine pour fournir des services accessibles depuis l'extérieur. Le fournis- seur d'accès a affecté le bloc d'adresses 192.168.27.0/24. Ce bloc est réparti entre le réseau DMZ et le réseau interne avec u n masque de sous-réseau /25. La politique de base est la suivante: • Autoriser les utilisateurs du réseau interne à accéder à tous les services Internet. • Autoriser l'accès depuis Internet aux services Web, FTP et SMTP sur le serveur dans le réseau DMZ et la réponse aux requêtes DNS. Ceci permet aux utilisateurs externes d'accéder aux pages Web de la société, de déposer du courrier et de télé- charger des fichiers mis à disposition. • Permettre aux utilisateurs internes de se connecter au service POP pour retirer leur courrier et au serveur par Telnet pour l'administrer. • Ne pas permettre n'importe quel établissement de connexion sur le réseau DMZ soit vers le réseau public soit vers le réseau privé. • Auditer toutes les connexions qui traversent le pare-feu vers un serveur SYSLOG situé sur le réseau privé. Les machines situées sur le réseau interne utilisent le DNS de la DMZ. Des listes d'accès en entrée sont utilisées sur toutes les interfaces pour éviter l'usurpation d'adresse. Des listes d'accès en sortie sont utilisées pour contrôler quel trafic peut être transmis sur une interface donnée. Prérequis Versions de Matériel et de Logiciel utilisées: Cette configuration a été réalisée et testée en utilisant les versions suivantes: • Cisco IOS Release 11.2(15).T13 • Cisco Routeur 7204 VXR Configuration Dans cette section sont présentées les informations pour nécessaires pour configurer les fonctionnalités décrites dans ce document. Schéma du Réseau Serveur 192.168.27.3 Réseau Interne E3/0 192.168.27.129/25 S2/0 Internet R7204 DMZ E3/1 10.89.129.194/30 192.168.27.1/25 10.89.129.192/30 ccnp_cch
Configurations ccnp_cch R7204 Current configuration: ! version 11.2 ! no service udp-small-servers no service tcp-small-servers service password encryption ! enable secret 5 $1$Rtuvw$3F9TdY/q3S0vu1 ! hostname R7204 ! ip subnet-zero ! no ip domain-lookup ! !-- Configuration de l'inspection ! ip inspect audit-trail ! ip inspect tcp idle-time 14400 ! !-- Définit la durée pour laquelle une session TCP est gérée !-- après inactivité. ! ip inspect udp idle-time 1800 ! !-- Définit la durée pour laquelle une session UDP est gérée !-- après inactivité. ip inspect dns-timeout 7 ! !-- Définit la durée pour laquelle une requête DNS est gérée !-- après inactivité. ! !-- Liste d'inspection "Standard" à utiliser pour l'inspection en !-- entrée sur les interfaces Ethernet0 et Serial0. ! ip inspect name Standard cuseeme ip inspect name Standard ftp ip inspect name Standard h323 ip inspect name Standard http ip inspect name Standard rcmd ip inspect name Standard realaudio ip inspect name Standard smtp ip inspect name Standard sqlnet ip inspect name Standard streamworks ip inspect name Standard tftp ip inspect name Standard udp ip inspect name Standard tcp ip inspect name Standard vdolive ! ccnp_cch
ip audit notify log ip audit po max-events 100 ip audit notify log ip audit po max-events 100 ! interface Ethernet3/0 ip address 192.168.27.129 255.255.255.128 ! !-- Applique la liste d'accès pour permettre le trafic légitime !-- issu du réseau interne et évite l'usurpation d'adresse. ! ip access-group 101 in ! !-- Applique la liste d'inspection "Standard" en entrée. !-- Cette inspection ouvre des entrées temporaires dans les !-- listes d'accès 11 et 121. ! ip inspect Standard in no ip directed-broadcast ! interface Ethernet3/1 ip address 192.168.27.1 255.255.255.128 ! !-- Applique la liste d'accès pour permettre le trafic DMZ sur !-- l'interface DMZ en entrée. La DMZ n'a pas la permission !-- d'initier du trafic sortant sauf pour ICMP. ! ip access-group 111 in ! !-- Applique la liste d'inspection "Standard" en sortie sur cette !-- interface.. !-- Cette inspection ouvre des entrées temporaires dans la liste !-- d'accès 111 et protéger le serveur contre des attaques de !-- type DDoS (Distributed Denial of Service). ! ip inspect Standard out no ip directed-broadcast ! interface Serial2/0 ip address 10.89.129.194 255.255.255.252 ! !-- Liste d'accès 121 pour permettre du trafic légal. ! ip access-group 121 in ! ip classless no ip http-server ! ip route 0.0.0.0 0.0.0.0 Serial2/0 ! logging 192.168.27.131 ! !-- Cette commande donne l'adresse du serveur SYSLOG !-- La liste d'accès 20 est utilisée pour autoriser l'accès SNMP !-- par la station de gestion de réseau ! access-list 20 permit 192.168.27.5 ! ccnp_cch
-- La liste d'accès 101 permet le trafic légitime issu du réseau !-- La liste d'accès 101 permet le trafic légitime issu du réseau !-- interne et empêche le spoofing. Les utilisateurs du réseau interne !-- peuvent accéder aux services Telnet et POP3 du serveur 192.168.27.3 !-- de la DMZ et peuvent également "pinguer" la DMZ. !-- Les utilisateurs du réseau interne peuvent accéder aux services !-- d'Internet. ! access-list 101 permit tcp 192.168.27.128 0.0.0.127 host 192.168.27.3 eq pop3 access-list 101 permit tcp 192.168.27.128 0.0.0.127 host 192.168.27.3 eq telnet access-list 101 permit icmp 192.168.27.128 0.0.0.127 192.168.27.0 0.0.0.127 access-list 101 deny ip 192.168.27.128 0.0.0.127 192.168.27.0 0.0.0.127 access-list 101 permit ip 192.168.27.128 0.0.0.127 any access-list 101 deny ip any any ! !-- La liste d'accès 111 permet le png depuis la DMZ et rejette tout !-- trafic issu de la DMLZ. L'inspection ouvre des entrées temporaires !-- dans cette liste d'accès. ! access-list 111 permit icmp 192.168.27.0 0.0.0.127 any access-list 111 deny ip any any ! !-- Permet les accès depuis Internet aux services WWW, FTP, DNS et SMTP !-- sur le serveur de la DMZ. Elle permet également le trafic ICMP. ! access-list 121 permit udp any host 192.168.27.3 eq domain access-list 121 permit tcp any host 192.168.27.3 eq domain access-list 121 permit tcp any host 192.168.27.3 eq www access-list 121 permit tcp any host 192.168.27.3 eq ftp access-list 121 permit tcp any host 192.168.27.3 eq smtp access-list 121 permit icmp any 192.168.27.0 0.0.0.255 time-exceeded access-list 121 permit icmp any 192.168.27.0 0.0.0.255 traceroute access-list 121 permit icmp any 192.168.27.0 0.0.0.255 administratively-prohibited access-list 121 permit icmp any 192.168.27.0 0.0.0.255 echo access-list 121 permit icmp any 192.168.27.0 0.0.0.255 unreachable access-list 121 permit icmp any 192.168.27.0 0.0.0.255 echo-reply access-list 121 permit icmp any 192.168.27.0 0.0.0.255 packet-to-big access-list 121 deny ip any any ! !-- Liste d'accès 20 appliquée au processus SNMP ! snmp-server community secret RO 20 snmp-server enable traps tty ! line cons 0 login local password 7 14191D185023F2036 transport input none line aux 0 line vty 0 4 login local paswword 7 14191D185023F2036 ! end ccnp_cch
Vérification Cette section fournit des informations que vous pouvez utiliser pour confirmer que vo- tre configuration fonctionne correctement. • show access-list -- Affiche les listes d'accès configurées. R7204#show access-list Standard IP access list 20 10 permit 192.168.27.5 Extended IP access list 101 10 permit tcp 192.168.27.128 0.0.0.127 host 192.168.27.3 eq pop3 20 permit tcp 192.168.27.128 0.0.0.127 host 192.168.27.3 eq telnet 30 permit icmp 192.168.27.128 0.0.0.127 192.168.27.0 0.0.0.127 40 deny ip 192.168.27.128 0.0.0.127 192.168.27.0 0.0.0.127 50 permit ip 192.168.27.128 0.0.0.127 any 60 deny ip any any Extended IP access list 111 10 permit icmp 192.168.27.0 0.0.0.127 any 20 deny ip any any Extended IP access list 121 10 permit udp any host 192.168.27.3 eq domain 20 permit tcp any host 192.168.27.3 eq domain 30 permit tcp any host 192.168.27.3 eq www 40 permit tcp any host 192.168.27.3 eq ftp 50 permit tcp any host 192.168.27.3 eq smtp 60 permit icmp any 192.168.27.0 0.0.0.255 time-exceeded 70 permit icmp any 192.168.27.0 0.0.0.255 traceroute 80 permit icmp any 192.168.27.0 0.0.0.255 administratively-prohibi ted 90 permit icmp any 192.168.27.0 0.0.0.255 echo 100 permit icmp any 192.168.27.0 0.0.0.255 unreachable 110 permit icmp any 192.168.27.0 0.0.0.255 echo-reply 120 permit icmp any 192.168.27.0 0.0.0.255 packet-to-big 130 deny ip any any R7204# • show ip audit all -- affiche la configuration des commandes de logging. R7204#show ip audit all Event notification through syslog is enabled Event notification through Net Director is enabled Default action(s) for info signatures is alarm Default action(s) for attack signatures is alarm Default threshold of recipients for spam signatures is 250 PostOffice: HostID:0 OrgID:0 Msg dropped:0 :Curr Event Buf Size:0 Configured:100 PostOffice is nor enabled - No connections are active R7204# ccnp_cch
• show ip inspect all -- Affiche la configuration des règles d'inspection CBAC pour chaque interface. R7204#show ip inspect all Session audit trail is enabled Session alert is enabled one-minute (sampling period) thresholds are [400:500] connections max-incomplete sessions thresholds are [400:500] max-incomplete tcp connections per host is 50. Block-time 0 minute. tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec tcp idle-time is 14400 sec -- udp idle-time is 1800 sec dns-timeout is 7 sec Inspection Rule Configuration Inspection name Standard cuseeme alert is on audit-trail is on timeout 14400 ftp alert is on audit-trail is on timeout 14400 h323 alert is on audit-trail is on timeout 14400 http alert is on audit-trail is on timeout 14400 rcmd alert is on audit-trail is on timeout 14400 realaudio alert is on audit-trail is on timeout 14400 smtp alert is on audit-trail is on timeout 14400 sqlnet alert is on audit-trail is on timeout 14400 streamworks alert is on audit-trail is on timeout 1800 tcp alert is on audit-trail is on timeout 14400 tftp alert is on audit-trail is on timeout 1800 udp alert is on audit-trail is on timeout 180 vdolive alert is on audit-trail is on timeout 14400 Interface Configuration Interface Ethernet3/0 Inbound inspection rule is Standard cuseeme alert is on audit-trail is on timeout 14400 ftp alert is on audit-trail is on timeout 14400 h323 alert is on audit-trail is on timeout 14400 http alert is on audit-trail is on timeout 14400 rcmd alert is on audit-trail is on timeout 14400 realaudio alert is on audit-trail is on timeout 14400 smtp alert is on audit-trail is on timeout 14400 sqlnet alert is on audit-trail is on timeout 14400 streamworks alert is on audit-trail is on timeout 1800 tcp alert is on audit-trail is on timeout 14400 tftp alert is on audit-trail is on timeout 1800 udp alert is on audit-trail is on timeout 180 vdolive alert is on audit-trail is on timeout 14400 Outgoing inspection is not set Inbound access list is 101 Outgoing access list is not set Interface Configuration Interface Ethernet3/1 Inbound inspection rule is not set Outgoing inspection rule is Standard cuseeme alert is on audit-trail is on timeout 14400 ftp alert is on audit-trail is on timeout 14400 h323 alert is on audit-trail is on timeout 14400 http alert is on audit-trail is on timeout 14400 rcmd alert is on audit-trail is on timeout 14400 ccnp_cch
rcmd alert is on audit-trail is on timeout 14400 realaudio alert is on audit-trail is on timeout 14400 smtp alert is on audit-trail is on timeout 14400 sqlnet alert is on audit-trail is on timeout 14400 streamworks alert is on audit-trail is on timeout 1800 tcp alert is on audit-trail is on timeout 14400 tftp alert is on audit-trail is on timeout 1800 udp alert is on audit-trail is on timeout 180 vdolive alert is on audit-trail is on timeout 14400 Inbound access list is 111 Outgoing access list is not set R7204# ccnp_cch