Configuration avancée

Slides:



Advertisements
Présentations similaires
Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n°
Advertisements

Version du document: 1.00 Version de logiciel v3.7.1 Version CBox: C5 Téléassistance Configuration Client Langage: Français.
Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant
Terminaux virtuels (VTY)
Liste de contrôle d’accès
L’accès au portail en deux étapes Que contient cette fiche?
Client léger VPN SSL avec ASDM
Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Sécurité - Configuration d'un
TP Sécurité - Configuration de Base d'un Routeur avec SDM
QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne
Registre de Configuration (Configuration Register)
Commande ip nat service
Sécurité - Configuration du PIX
Sécurité - VPN - Configurer la mise à jour du client
Sécurité - ASA7.x/PIX 6.x et plus
Tunnel pour paquets IP Multicast
Configuration NAT Overload (PAT)
Sécurité - Listes d'Accès - Standards et Etendues - Configuration
Sécurité - Configuration de TCP Intercept
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration BGP de base
CBAC - Introduction et Configuration
Comprendre la politique
CBAC - Avantages et Limitations
(Switch Database Management)
show ip nat translations
Centralisation de logs
Sous-résaux LAN dupliqués
NAT - Supervision et Maintenance
Préparation de mise à jour
TP Sécurité - IOS Firewall - Configuration de base d'un site avec SDM
Routage S 7 - Questionnaire N°1
Sécurité - Configuration de
Sécurité - Configuration de
- Instructions NAT - PAT
Intégration de NAT avec les VPNs MPLS
Sécurité - Configuration de l'autorisation d'Applets Java
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
- Comment changer le Logo WebVPN
Sécurité - Configuration de -
QoS - Appliquer la QoS à des Sous-interfaces
Pile IGMPv3 de Host.
Changer les critères de nommage
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
Configuration d'un Pare-feu
Commande show dialer ccnp_cch ccnp_cch.
Sécurité - Configuration d'un
Configuration d'un accès
entre trois routeurs utilisant des
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
Configuration de groupes l'autorisation via ASDM
(Switch Database Management)
QoS - Configuration Fragmentation
Exemples de paramétrages Interfaces IP
Windows Server 2012 Objectifs
Configuration NAT Statique
Configuration NAT Dynamique
La gestion des habilitations par le partenaire
Implémentation de FTP Rappel sur FTP Relation entre un site Web et FTP
DONNÉE DE BASE QM Manuel de formation. Agenda 2  Introduction  Objectif de la formation  Données de base QM: Caractéristique de contrôle Catalogue.
Configuration post installation
LES RESEAUX. Besoin de communication LES RESEAUX Pour communiquer via un réseau informatique Support de transmission Carte réseau Éléments de réseau.
Transcription de la présentation:

Configuration avancée TP Sécurité - IOS Firewall - Configuration avancée de pare-feu d'un site avec SDM CFI_Site_Paris

Configuration de base d'un pare-feu d'un site avec SDM - Objectifs  Configuration de l'IOS Pare-feu avancé sur un routeur d'un site en utilisant SDM - Schéma du réseau Serveur Web 192.168.1.1/24 Serveur FTP 192.168.1.2/24 FastEthernet0/0 172.28.49.101/24 Interface Inside FastEthernet 0/1 192.168.1.101/24 Interface DMZ S0/1/0 12.1.1.101/24 Interface Outside Opérateur Internet RPF1 Vlan 1 10.10.10.1/24 Interface Inside - Scénario Dans ce Lab vous allez configurer un routeur d'un site distant via Cisco Security Device Manager (SDM). Le routeur pare-feu a l'interface externe (Serial 0/1/0) connectée à l'opé- rateur Internet via une liaison série, l'interface FastEthernet 0/1 connectée avec la DMZ et les interfaces internes (FastEthernet0/0 et Interface Vlan1) connectées aux réseaux pri- vés du site. Cette configuration comprend deux parties: - Configuration avancée du de l'IOS Cisco Pare-feu - Configuration de l'IOS Cisco Pare-feu applicatif CFI_Site_Paris

Configuration avancée du de l'IOS Cisco Pare-feu La première partie est l'autorisation des protocoles qui seront utilisés dans ce scénario. Les protocoles autorisés sur le pare-feu du site sont Telnet et SMTP pour les trafics interne et externe. Il y aura inspection du trafic issu des sous-réseaux du site et du trafic venant d'In- ternet. Configuration de pare-feu avancé L'assistant Cisco SDM Firewall peut sécuriser le site en utilisant des règles prédéfinies ou des règles personnalisées pour protéger les réseaux privés et la DMZ des attaques les plus communes. L'assistant de pare-feu avancé vous permet de sécuriser votre réseau privé par les actons suivantes: Il autorise les utilisateurs du réseau privé à accéder à Internet, il protège votre routeur et votre routeur et votre réseau privé des attaques externes, il vous permet de con- figurer les services administrés dans la zone démilitarisée (DMZ) qui sont accessibles depuis Internet. L'assistant de pare-feu avancé applique les règles d'accès aux interfaces interne (sécurisée), externe (non-sécurisée) et à la DMZ, applique les des règles d'inspection aux interfaces externe et DMZ et valide l'acheminement IP unicast "reverse path" sur les interfa- ces externes. Dans la fenêtre principale, cliquez sur Configure puis sur Firewall and ACL ensuite cliquez sur l'onglet Create Firewall et sélectionnez Advanced Firewall avec le bouton radio puis cliquez sur Launch the selected task pour lancer l'assistant pare-feu avancé. CFI_Site_Paris

La fenêtre Assistant de pare-feu s'affiche Dans ce scénario, sélectionnez FastEthernet0/1 pour l'interface DMZ, sélectionnez l'interfa- ce Serial 0/1/0 comme interface externe et l'interface FastEhternet0/0 comme interface interne, cochez la case Allow secure SDM access from outside interfaces puis cliquez sur Next. Note: Allow secure SDM access from outside interfaces sera dévalidé si les conditions suivantes sont satisfaites: 1. HTTPS ou SSH n'est pas validé sur le routeur ou 2. Aucune des interfaces externes n'est configurée avec une adresse IP statique. CFI_Site_Paris

Pour l'accès SDM distant, spécifiez les interfaces externes à utiliser pour l'administration distante et les hosts à partir desquels les administrateurs peuvent se connecter pour admi- nistrer le routeur. Dans ce scénario le SDM a détecté une interface externe, Serial 0/1/0, sélectionnez Serial 0/1/0 puis choisissez Host IP Address avec la liste déroulante du champ Type, remplissez le champ IP Address avec : 77.1.1.1 puis cliquez sur Next. CFI_Site_Paris

Pour la configuration des services DMZ, ajoutez les intervalles d'adresses IP et les protocoles autorisés dans ce scénario. Les intervalles d'adresses IP et les protocoles suivants sont auto- risés dans la zone DMZ. - 192.168.1.1 – 192.168.1.1 pour tcp/www - 192.168.1.2 – 192.168.1.2 pour tcp/ftp - 192.168.1.1 – 192.168.1.1 pour tcp/smtp - 192.168.1.2 – 192.168.1.2 pour udp/tftp Cliquez sur Next. CFI_Site_Paris

Preview Commands pour voir le détail puis cliquez sur Next. Pour la configuration de pare-feu avancé le SDM fournit des politiques de sécurité d'applica- tion prédéfinies, High Security, Medium Security et Low Security que vous pouvez utiliser pour protéger votre réseau ou vous pouvez créer vos propres politiques. Dans ce scénario, sélectionnez Use a Default SDM Application Security avec High Security puis cliquez sur Preview Commands pour voir le détail puis cliquez sur Next. High Security - Le routeur identifie le trafic de messagerie instantanée et Peer to Peer entrant et sortant et vérifie le trafic HTTP entrant et sortant et le trafic e-mail pour la conformité de protocole. - Le trafic retour pour les autres applications TCP et UDP est routé si une session a déjà été ouverte depuis le réseau interne. Medium Security entrant et sortant et l'élimine. - Le trafic retour TCP et UDP est routé si un session a déjà été ouverte depuis le réseau interne. - Le routeur n'identifie pas le trafic spécifique à une application. Le trafic TCP et UDP retour est routé si une session a déjà été ouverte depuis le réseau interne. CFI_Site_Paris

Pour la configuration Advanced Firewall Domain Name Server, l'Application de sécurité re- quiert que la recherche par nom de domaine soit validée et que au moins un serveur DNS soit configuré. Remplissez les champs: Primary DNS Server: 171.68.10.70, Secondary DNS Server: (Optional) 206.13.28.12 puis cliquez sur Next. Quand la fenêtre de résumé est affichée, regardez la configuration puis cliquez sur Finish pour valider la configuration puis cliquez sur OK pour continuer. Vous allez être redirigé vers Policy Firewall/ACL. CFI_Site_Paris

Cette fenêtre montre que le trafic issu du réseau interne du site vers la DMZ est filtré par la liste d'accès 100 et inspecté par la règle d'inspection SDM_HIGH. Une fois que le pare-feu est configuré avec l'assistant pare-feu avancé, utilisez la fenêtre Firewall and ACL> Edit Firewall Policy/ACL pour afficher et modifier la configuration si vous le désirez et utilisez Firewall and ACL> Application Security pour voir les détails des règles d'inspection. CFI_Site_Paris

Cisco SDM -Table de politique de pare-feu La table de politique de pare-feu de Cisco SDM affiche les droits d'accès pour un flux de tra- fic particulier et les règles d'inspection pour une interface particulière. Cette fenêtre montre que le trafic issu du réseau interne du site vers Internet est filtré par la liste d'accès 100 et inspecté par la règle d'inspection SDM_HIGH. CFI_Site_Paris

La table de politique de pare-feu de Cisco SDM affiche également le trafic retour via le bouton radio Returning traffic. Cette fenêtre montre le trafic en retour venant d'Internet qui entre sur l'interface externe du pare-feu IOS Cisco. La règle d'inspection SDM_High, assure que le trafic retour n'est pas bloqué par la liste d'accès 102. CFI_Site_Paris

Cette fenêtre montre que le trafic venant d'Internet entre sur l'interface DMZ du pare-feu IOS Cisco (FastEthernet0/1). La liste d'accès 102 est utilisée pour filtrer le trafic et la règle d'ins- pection dmzinspect inspecte le trafic transmis vers la DMZ (FastEthernet0/1). CFI_Site_Paris

Cette fenêtre montre que le trafic issu de la zone DMZ est filtré par la liste d'accès 101. Le filtre assure qu'aucun trafic ne peut être généré par une interface DMZ, ce qui empêche les "hackers" d'attaquer des hosts internes depuis la DMZ si celle-ci a été compromise. La règle d'inspection dmzinspect assure que le trafic retour n'est pas bloqué par la liste d'accès 101. Note: Si les serveurs de la zone DMZ doivent accéder aux hosts internes, il faut personnali- ser la liste d'accès 101 pour autoriser le trafic. CFI_Site_Paris

Configuration du pare-feu spécifique au site La politique de pare-feu spécifique au site permet au réseau interne de faire des accès Telnet, FTP et HTTP vers Internet. Vous devez configurer la règle d'inspection pour autoriser le trafic retour. L'administrateur doit fusionner la configuration de base du pare-feu avec la configura- tion du pare-feu spécifique au site. Maintenant ave la table de politique de pare-feu IOS Cisco il est simple et aisé de fusionner des entrées de listes d'accès. Pour utiliser la Table de politi- que de pare-feu de l'IOS Cisco avec SDM pour fusionner les listes d'accès, exécutez les étapes suivantes: 1. Dans la fenêtre principale cliquez sur Configure, sélectionnez l'onglet Firewall and ACL, cliquez sur l'onglet Edit Firewall Policy/ACL. 2. Sélectionnez le sens de Fastethernet0/1 vers Serial 0/1/0 puis cliquez sur Go. 3. Allez sur le panneau Services. 4. Cliquez sur Add et sélectionnez Insert Before. 5. La fenêtre Add an Extended Rule Entry apparaît.  Action: Permit  Source Host/network: - Type: A network - IP Address: 172.16.49.0 (note: le réseau interne) - Wildcard Mask: 0.0.0.255  Destination host/Network: - Type: Any IP Address  Protocol and Service: - TCP/Source Port Service = telnet - Destination Port Service = telnet  Décochez la case Log matches against this entry  Cliquez sur OK CFI_Site_Paris

6. Répétez les étapes 4 et 5 pour ajouter FTP et HTTPS (443) 7 6. Répétez les étapes 4 et 5 pour ajouter FTP et HTTPS (443) 7. Cliquez sur Apply Changes en bas de la fenêtre dans le milieu pour appliquer les modifi- cations. 8. Cliquez sur OK pour continuer. Cette fenêtre montre la liste d'accès 100 fusionnée. CFI_Site_Paris

Utilisation de la Table de politique de pare-feu pour créer une règle d'inspection Pour créer des règles d'inspection, appliquez la règle d'inspection BranchFIRE au trafic entrant sur l'interface externe. Exécutez les étapes suivantes:  Cliquez sur Configure dans la fenêtre principale, sélectionnez Firewall and ACL puis cliquez sur l'onglet Edit Firewall Policy/ACL.  Sélectionnez le sens de Serial0/1/0 vers FastEthernet0/0.  Cliquez sur Add, sélectionnez Add…  Entrez l'information puis cliquez sur OK. Dans Inspection Rule Editor, le champ Inspection Rule Name est BarnchFIRE. Vérifiez si les cases tcp et udp sont cochées dans la colonne Protocol. CFI_Site_Paris

Pour transmettre les modifications au routeur, cliquez sur Deliver. CFI_Site_Paris

Configuration de l'IOS Cisco Pare-feu applicatif Cisco SDM supporte la configuration des fonctionnalités de pare-feu suivantes:  Advanced Application Inspection and Control - Cette fonctionnalité applique les règles de conformité pour HTTP, SMTP (simple mail Transfer Protocol), ESMTP (Extended Simple Mail Transfer Protocol), IMAP (Internet Mail Access Protocol) et POP3 avec des moteurs d'inspection. Son aide permet la détection et évite le mauvais usage par les applications des protocoles listés précédemment.  Instant Messaging and Peer to Peer (P2P) File Sharing Application Blocking - Cette fonc- tionnalité permet au logiciel pare-feu IOS Cisco de contrôler la messagerie instantanée et les applications P2P sur les réseaux.  Cisco IOS Firewall Engine (Context BAC) - Ce moteur fournit l'inspection "stateful" de pa- quet pour le trafic TCP, UDP et ICMP pour un contrôle d'accès basé sur l'application vers des utilisateurs internes. Connu également comme CBAC (Context Based Access Control).  La traversée de la voix est fournie par une intelligence niveau application du protocole pour les communications et les canaux associés qui sont ouverts.  Granular Protocol Inspection - Les protocoles conformes au RFC 1700 et les ports prédé- finis par l'utilisateur peuvent être spécifiés dans TCP et UDP pour une inspection plus fine de ces protocoles.  Dynamic Port Mapping - Cette fonctionnalité permet aux administrateurs de réseau d'acti- ver des applications supportées par le pare-feu IOS cisco sur des ports non standards. CFI_Site_Paris

Dans la fenêtre principale sélectionnez Configure puis Firewall and ACL et ensuite cliquez sur l'onglet Application Security, la fenêtre Application Firewall apparaît. Exemple: Pour voir ou pour modifier les politiques créées par l'assistant Advanced Firewall plus tôt, cliquez sur Policy Name. Le menu déroulant dans le coin supérieur gauche du pan- neau indique SDM_HIGH et dmzinspect. S'il n'y aucune règle configurée, cette liste est vide. Pour créer une nouvelle politique, cliquez sur le bouton Action et choisissez Add. Cliquez sur le bouton Associated… dans le coin supérieur droit du panneau, la boîte de dia- logue Associate with an Interface s'affiche. CFI_Site_Paris

Cette fenêtre montre que la règle SDM_HIGH est appliquée au trafic entrant sur l'interface FastEthernet0/0. La boite de dialogue permet de choisir les interfaces et de spécifier le sens du trafic auquel la politique est à appliquer. Cliquez sur OK pour fermer cette fenêtre. Cliquez sur le bouton Global Settings… dans le coin supérieur droit de l'onglet Application Security, la boite de dialogue Global Timeouts and Thresholds s'affiche. Elle autorise les seuils et les timeouts globaux de CBAC (Context Based Access Control). CBAC utilise des timeouts et des seuils pour déterminer la durée de gestion de l'information d'état d'une ses- sion et déterminer quand éliminer les sessions qui ne sont pas totalement établies. Ces time- outs et ces seuils s'appliquent à toutes les sessions. CFI_Site_Paris

 TCP FIN Wait-timeout : Durée pendant laquelle une session TCP sera toujours gérée après la détection de FIN par le pare-feu.  TCP idle timeout : Durée pendant laquelle une session TCP sera toujours gérée après dé- tection d'inactivité.  UDP idle timeout : Durée pendant laquelle une session UDP sera toujours gérée après dé- tection d'inactivité.  DNS timeout : Durée pendant laquelle une recherche de nom DNS sera gérée après détec- tion d'inactivité.  SYN flooding DoS Attack Thresholds : Un nombre inhabituel élevé de sessions semi-ouver- tes peut indiquer qu'une attaque DoS (Denial of Service) est en cours. Les seuils d'attaque DoS permettent au routeur de commencer à effacer des sessions semi-ouvertes après que le nombre total de celles-ci ait dépassé un seuil maximum. En définissant des seuils, vous pouvez spécifier quand le routeur doit commencer à effacer les sessions semi-ouvertes et CFI_Site_Paris

quand il doit arrêter de les effacer.  One-minute Session Thresholds - Ces champs vous permettent de spécifier les valeurs de seuils pour les tentatives de nouvelles connexions. - Low : Arrêt d'effacement des nouvelles connexions après que le nombre de nouvelles connexions passe en dessous de cette valeur. - High : Début d'effacement des nouvelles connexions quand le nombre de nouvelles connexions dépasse cette valeur.  Maximum Incomplete session Thresholds - Ces champs vous permettent de spécifier les valeurs de seuils pour le nombre total de sessions semi-ouvertes. - Low : Arrêt d'effacement des sessions semi-ouvertes après que le nombre de sessions semi-ouvertes passe en dessous de cette valeur. - High : Début d'effacement des sessions semi-ouvertes quand le nombre de sessions semi-ouvertes dépasse cette valeur.  TCP Maximum Incomplete Session per Host - Le routeur commence à effacer les sessions semi-ouvertes pour le même host quand le nombre total de sessions semi-ouvertes pour ce host dépasse ce seuil.  Enable Audit Globally - Cochez cette case si vous voulez activer les messages d'audit de CBAC pour tous les types de trafic.  Enable Alert Globally - Cochez cette case si vous voulez activer les messages d'alerte de CBAC pour tous les types de trafic. Cliquez sur OK pour fermer cette fenêtre. CFI_Site_Paris

Cliquez sur E-mail dans la partie gauche de l'onglet Application Security. La configuration par défaut de e-mail pour SDM-High est affichée. Vous pouvez faire des modifications des paramètres de sécurité de l'application e-mail. Cliquez sur le bouton Apply Changes si des modifications sont nécessaires. CFI_Site_Paris

Cliquez sur Instant Messaging (IM) dans la partie gauche de l'onglet Application Security. La configuration par défaut de IM pour SDM_High est affichée. Utilisez cette fenêtre pour contrôler le trafic de applications de Messagerie Instantanée. SDM supporte Yahoo Messen- ger, NMS Messenger et AIM. Dans la colonne Action choisissez Permit pour autoriser le trafic lié à cette option ou Block pour rejeter le trafic. Si vous voulez qu'une alarme soit transmise vers le système de log quand ce type de trafic est rencontré, cochez la case Send Alarm. Cliquez sur le bouton Apply Changes (non montré dans la figure ci-dessus) si vous devez faire des modifications. (Note: Le logging doit être validé pour que l'application de sécurité transmette des alarmes au système de log. Allez à Additionnal Tasks> Router Properties> Logging). Cliquez sur Point-2-Point (P2P) dans la partie gauche de l'onglet Application Security. La configuration par défaut P2P pour SDM_High est affichée. Cette fenêtre vous permet de mo- difier les paramètres de sécurité pour les applications P2P. SDM supporte BitTorrent, KaZaA, Gnutella et eDonkey. Dans la colonne Action choisissez Permit pour autoriser le trafic lié à cette option ou Block pour rejeter le trafic. Cliquez sur le bouton Apply Changes (non montré dans la figure ci-des- sus) si vous devez faire des modifications. CFI_Site_Paris

Cliquez sur HTTP dans la partie gauche de l'onglet Application Security. La configuration HTTP par défaut pour SDM_High est affichée. Cette fenêtre vous permet de spécifier ou de modifier les paramètres généraux pour l'inspection du trafic HTTP. Cliquez sur HTTP/Header Options. La configuration HTTP/Header Options par défaut pour SDM_High est affichée. Cette fenêtre vous permet de configurer le routeur pour permettre ou refuser le trafic sur la base de la longueur de l'en-tête HTTP et de la méthode de requête contenue dans l'en-tête. CFI_Site_Paris

Cochez la case Set Maximum Header Length si vous voulez que le routeur autorise ou re- jette le trafic sue la base de la longueur de l'en-tête HTTP et spécifiez la longueur maximum de l'en-tête d'une Requête (Request) et d'une Réponse (Response). Utilisez Permit, Block ou Alarm pour spécifier l'action faite par le routeur si la longueur de l'en-tête excède ses valeurs. Si vous voulez que le routeur autorise ou rejette le trafic sur la base de Extension Request Method, cochez la case près de la méthode de requête. Utilisez Permit, Block ou Alarm pour spécifier l'action faite par le routeur quand il rencontre du trafic HTTP qui utilise cette mé- thode. Si vous voulez que le routeur autorise ou rejette le trafic sur la base de RFC Request Method spécifiée dans le RFC 2616, Hypertext Transfer Protocol-HTTP/1.1, cochez la case près de la méthode de requête. Cliquez sur HTTP/Content Option. La configuration HTTP/Content Option par défaut pour SDM_High est affichée. Cette fenêtre vous permet de configurer le routeur pour qu'il examine le contenu du trafic HTTP et qu'il permette ou rejette le trafic et génère une alarme pour les paquets que vous voulez que le routeur examine. Cochez la case Verify Content Type si vous voulez que le routeur vérifie le contenu du pa- quet HTTP pour la correspondance entre la réponse et la requête ou en validant une alarme pour les types de contenu inconnus ou en utilisant ces deux méthodes. Utilisez Permit, Block ou Alarm pour spécifier l'action faite par le routeur quand les réponses ne correspondent pas aux requêtes et quand il rencontre un type de contenu inconnu. Cochez la case Set Content Length pour fixer la longueur maximum et la longueur mini- mum des données dans le paquet HTTP et entrez les valeurs dans les champs prévus à cet effet. Utilisez Permit, Block ou Alarm pour spécifier l'action faite par le routeur quand la taille des données est inférieure à la longueur minimale ou quand elle dépasse la longueur maximale. Pour Configure Transfer Encoding, SDM supporte la liste d'encodage ci-dessous. Utilisez Permit, Block ou Alarm pour spécifier l'action faite par le routeur quand il rencontre les encodages de transfert que vous avez choisis. Encodages supportés: - chunk : Le format d'encodage est spécifié dans RFC 2616, Hypertext Transfer Protocol- HTTP/1.1. Le corps du message est transféré en une série de blocs; chaque bloc contient son propre indicateur de taille. - compress : Format d'encodage produit par l'utilitaire "compress" d'UNIX. - deflate :format "ZLIB" définit par le RFC 1950, ZLIB Compressed Dtata Format Spécifica- tion version 3.3, combiné avec le mécanisme de décompression décrit par le RFC 1951, DEFLATE Compressed Data Format Spécification version 1.3. - gzip : Format d'encodage produit par le programme GNU zip ("gzip"). - identity : Encodage par défaut qui indique qu'il n'y a aucun encodage. CFI_Site_Paris

Cliquez sur Applications/Protocols dans la partie gauche de l'onglet Application Security. La configuration Applications/Protocol par défaut pour SDM_High est affichée. SDM groupe les protocoles sur la base d'une technologie pour visualiser les règles d'inspection granulaire de protocole et rendre la configuration simple et aisée. L'arborescence Applications/Protocols vous permet de filtrer la liste de droite selon le type d'applications et de protocoles que vous voulez voir. Choisissez d'abord la branche pour le type que vous voulez afficher. Le tableau de la partie droite de la fenêtre affiche les items pour le type que vous avez choisi. Si un signe plus (+) apparaît à gauche de la branche, il y a des sous-catégories que vous pouvez utiliser pour affiner le filtre. Cliquez sur le signe + développer la branche et ensuite sélectionner la sous-catégorie que vous voulez afficher. Si la liste à droite est vide c'est qu'il n'y a pas pas d'application ou de protocole pour ce type. Pour choisir une application, cochez la case correspondante dans l'arbre ou cochez la case dans la liste du tableau. Exemple: Si vous voulez afficher et choisir les applications liées à la voix, développez Root, développez Voice. L'arbre affiche les applications supportées. Cette liste apparaît dans le tableau à droite dans la fenêtre qua nd vous cliquez sur Voice. CFI_Site_Paris

Utilisez le bouton Edit… en haut dans la partie droite de la fenêtre pour éditer les paramè- tres pour ces applications. Les paramètres que vous configurez outrepassent les paramètres globaux configurés sur le routeur. Cliquez sur le bouton Edit…, la boite de dialogue Edit Inspection Rule est affichée.  Alert/Audit: - default : Utilise les paramètres globaux pour les alertes - on : Génère une alerte quand ce type de trafic est rencontré - off : Ne génère pas d'alerte quand ce type de trafic est rencontré  Timeout : Entrez le nombre de secondes pendant lesquelles une session pour cette appli- cation doit être gérée après qu'aucune activité ait été détectée. La valeur de timeout que vous entrez fixe la valeur TCP Idle Timeout si c'est une application TCP ou UDP Idle Time- out si c'est une application UDP.  Router Traffic : Valide l'inspection de trafic destiné ou généré par le routeur. Applicable uniquement pour les protocoles TCP, UDP et H323. CFI_Site_Paris

PAM (Port Application Mapping) vous permet de personnaliser les ports UDP ou TCP pour les applications ou les services réseau. PAM utilise cette information pour supporter des en- vironnements réseau qui opèrent aves des services utilisant des ports différents des ports enregistrés ou bien connus associés à une application. Pour établir PAM, dans l'arbre Applications/Protocols développez Root puis sélectionnez User Defined. Cliquez sur le bouton Add Custom protocol en haut à droite dans la fenêtre et la boite de dialogue Add Port Map Entry s'affiche. Utilisez le bouton Edit près du bouton Add Custom protocol pour spécifier la règle d'inspec- tion pour l'application définie par l'utilisateur. CFI_Site_Paris

Par exemple si vous voulez spécifier une application basée sur le web utilisant le port TCP 3001:  Protocol : user-HTTP  Description : web-based application  Port Type : TCP  Port Number : 3001  Host Address of Service: 10.10.10.1 Supervision L'activité de votre pare-feu est supervisée au travers de la création d'entrées de log. Si le logging est validé sur le routeur, chaque fois qu'une règle (règle d'accès ou d'inspection) qui est configurée pour générer une entrée de log est invoquée (par exemple si une connexion est tentée à partir d'une adresse IP rejetée ou une application est bloquée par le pare-feu) alors une entre de log est générée et peut être affichée en mode Monitor. Assurez-vous que le logging est validé sur le routeur. Dans la fenêtre principale cliquez sur Configure> Additionnal Tasks> Router Properties. Développez Router Properties puis choisissez Logging. Pour que l'application de sécurité log les entrées à collecter, vous devez configurer le niveau de logging à Informational (6) ou supérieur. Si vous avez déjà configuré le logging avec le niveau debugging (7), le log contiendra les messages de log de l'application de sécurité. Dans cet exemple, la propriété Syslog est validée (Enabled), la propriété Logging Level est configurée avec debugging (7). CFI_Site_Paris

Pour voir le log du pare-feu, dans fenêtre principale cliquez sur Monitor> Firewall Status puis cliquez sur l'onglet Firewall Log. Cet extrait de la fenêtre Firewall Status montre les statistiques suivantes pour le pare-feu:  Firewall Log : Indique si le routeur est configuré ou non pour maintenir un log des tentatives de connexion autorisées ou rejetées par le pare-feu.  Nombres de tentatives rejetées par le pare-feu : Montre le nombre de tentatives de connexion rejetées par le pare-feu. Utilisez le bouton Update à droite dans le haut de la fenêtre pour mettre à jour l'information affichée sur l'écran. CFI_Site_Paris

Cliquez sur l'onglet Application Security log Cliquez sur l'onglet Application Security log. La fenêtre Application Security Log montre les alarmes générées quand le routeur a rencontré du trafic venant d'applications ou de protocoles. Dans cet extrait de fenêtre Application Security Log, du trafic im-msm venant du réseau privé 10.10.10.11 est bloqué et les paquets sont éliminés. Utilisez le bouton Update à droite dans le haut de la fenêtre pour mettre à jour l'information affichée sur l'écran. CFI_Site_Paris