CBAC - Introduction et Configuration

Slides:



Advertisements
Présentations similaires
Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n°
Advertisements

Pare-feu basé sur la zone
Les Listes de Contrôle d'Accès (Access-Control-Lists)
Sécurité - Configuration du PIX avec un seul réseau interne
Remote Desktop Protocol l'Appliance de Sécurité
Configuration PIX avec deux Routeurs
Sécurité - Configuration d'un
QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne
Commande ip nat service
Sécurité - Configuration du PIX
Sécurité - ASA7.x/PIX 6.x et plus
Sécurité - Configuration d'un
Configuration Routeur SOHO77
Configuration d'un accès
Sécurité - Listes d'Accès - Standards et Etendues - Configuration
CBAC - Configuration ccnp_cch ccnp_cch.
Configuration BGP - avec deux FAI différents (Multihoming)
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Comprendre la politique
Sécurité - Configuration de
PIX/ASA - Configuration Serveur et Client DHCP
(Network Address Translation)
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
CBAC - Avantages et Limitations
Configuration Routeur SOHO77
(Switch Database Management)
OSPF - Configuration initiale sur Liaisons Non-Broadcast
show ip nat translations
Client VPN pour VPN public Internet
BGP - Support de Route-Map Policy list
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
Hot Standby Router Protocol standby preempt et standby track
PIX - Gestion du trafic VoIP
Configuration d'une Passerelle par défaut avec les commandes IP
Sécurité - Configuration de
Sécurité - Configuration de
Intégration de NAT avec les VPNs MPLS
Sécurité - Configuration de l'autorisation d'Applets Java
Proxy ARP ccnp_cch ccnp_cch.
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
- Mapper des appels sortants Passerelles Analogiques
Configuration de Voice VLAN
QoS - Configuration RSVP
Sécurité - Configuration de
Sécurité - Configuration de -
QoS - Appliquer la QoS à des Sous-interfaces
Configuration IPSec LAN Privé à LAN Privé et NAT statique
RIP - Configuration des Extensions.
trois réseaux internes
Configuration d'un Pare-feu
interfaces de couche 3 Commutateur Catalyst 4006
Configuration Frame Relay "Priority Queuing"
Sécurité - Configuration d'un
Configuration Routeur SOHO77 AAL5MUX Routage IP, Multi PVCs
Configuration d'un accès
OSPF - Configuration initiale sur des Sous-Interfaces Frame Relay
TP - IPv6 Tunnels Manuels
entre trois routeurs utilisant des
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
QoS - Configuration Fragmentation
Liste de contrôle d’accès
Authentification CHAP PPP Utilisation des commandes ppp chap hostname
Configuration Routeur SOHO77
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
QoS - Configuration de COPS pour RSVP
Configuration de VLANs Contrôleur LAN sans-fil
Transcription de la présentation:

CBAC - Introduction et Configuration ccnp_cch ccnp_cch

Sommaire • Introduction • Prérequis • Rappel • Quel trafic voulez-vous laisser sortir? • Quel trafic voulez-vous laisser entrer? - Liste de contrôle d'accès IP étendue 101 - Liste de contrôle d'accès IP étendue 102 - Liste de contrôle d'accès IP étendue 102 modifiée • Quel trafic voulez-vous inspecter? ccnp_cch

Introduction ccnp_cch La fonctionnalité CBAC (Context-Based Access Control) de l'ensemble des fonctionnali- tés de l'IOS Cisco Firewall inspecte l'activité de trafic derrière le pare-feu. CBAC spéci- fie le trafic qui doit pouvoir entrer et le trafic qui doit pouvoir sortir en utilisant des lis- tes d'accès (de la même manière que l'IOS Cisco les utilise). Cependant les listes d'accès CBAC comprennent des instructions inspect qui autorisent l'inspection du protocole afin de s'assurer qu'il n'a pas été corrompu avant que celui-ci passe vers les systèmes situés derrière le pare-feu. Prérequis Il n'y a aucun prérequis nécessaire et ce document n'est pas restreint à une version de logiciel ou à une plateforme matérielle. Rappel CBAC peut être également utilisé avec NAT (Network Address Translation) mais ce docu- ment fait référence uniquement à l'inspection. Si vous utilisez NAT, votre liste d'accès a besoin de refléter les adresses globales et non les adresses réelles. Avant de configurer, il faut se poser les questions qui seront traitées dans les sections suivantes: • Quel trafic voulez-vous laisser sortir? • Quel trafic voulez-vous laisser entrer? • Quel trafic voulez-vous inspecter? Quel trafic voulez-vous laisser sortir? Le trafic que vous voulez laisser sortir dépend de la politique de sécurité de votre site mais dans cet exemple très général tout est permis en sortie. Si votre liste d'accès re- jette tout alors aucun trafic ne pourra sortir. Vous spécifiez le trafic sortant en utilisant une liste d'accès IP étendue comme suit: access-list 101 permit ip [source-network] [source-mask] any access-list 101 deny ip any any Quel trafic voulez-vous laisser sortir? Le trafic que vous voulez laisser sortir dépend de la politique de sécurité de votre site mais la réponse logique est tout ce qui ne nuit pas à votre réseau. Dans cet exemple, il y a une liste de trafics qui semble logique de laisser entrer. Le tra- fic ICMP (Internet Control Message Protocol) est également acceptable mais peut per- mettre certaines attaques de type DoS. L'exemple suivant est une liste d'accès IP pour du trafic entrant. ccnp_cch

Liste de contrôle d'accès IP étendue 101 access-list 101 permit tcp 10 Liste de contrôle d'accès IP étendue 101 access-list 101 permit tcp 10.10.10.0 0.0.0.255 any access-list 101 permit udp 10.10.10.0 0.0.0.255 any access-list 101 permit icmp 10.10.10.0 0.0.0.255 any access-list 101 deny ip any any permit tcp 10.10.10.0 0.0.0.255 any (84 matches) permit udp 10.10.10.0 0.0.0.255 any permit icmp 10.10.10.0 0.0.0.255 any (3 matches) deny ip any any Liste de contrôle d'accès IP étendue 102 access-list 102 permit eigrp any any access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo-reply access-list 102 permit icmp any 10.10.10.0 0.0.0.255 unreachable access-list 102 permit icmp any 10.10.10.0 0.0.0.255 administratively- prohibited access-list 102 permit icmp any 10.10.10.0 0.0.0.255 packet-too-big access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo access-list 102 permit icmp any 10.10.10.0 0.0.0.255 time-exceeded access-list 102 deny ip any any permit eigrp any any (486 matches) permit icmp any 10.10.10.0 0.0.0.255 echo-reply (1 match) permit icmp any 10.10.10.0 0.0.0.255 unreachable permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited permit icmp any 10.10.10.0 0.0.0.255 packet-too-big permit icmp any 10.10.10.0 0.0.0.255 echo (1 match) permit icmp any 10.10.10.0 0.0.0.255 time-exceeded deny ip any any (62 matches) La liste d'accès 101 est pour le trafic sortant. La liste d'accès 102 est pour le trafic en- trant. Les listes d'accès permettent uniquement un protocole de routage (EIGRP) et un trafic ICMP spécifique en entrée. Dans cet exemple, un serveur situé côté Ethernet du routeur n'est pas accessible à par- tir d'Internet. La liste d'accès empêche l'établissement d'une session. Pour le rendre ac- cessible, la liste d'accès doit être modifiée pour permettre l'établissement d'une session. Pour modifier une liste d'accès, vous devez retirer la liste d'accès, l'éditer et réappliquer cette liste d'accès modifiée. Note: La raison du retrait de la liste d'accès 102 avant de l'éditer et de la réappliquer est due à l'instruction "deny ip any any" à la fin de la liste d'accès. Dans ce cas, si nous avions ajouté une nouvelle entrée avant de retirer la liste d'accès, la nouvelle entrée serait apparue après la dernière ligne et par conséquent ne serait jamais vérifiée. ccnp_cch

Cet exemple ajoute le protocole SMTP uniquement pour 10. 10. 10. 1 Cet exemple ajoute le protocole SMTP uniquement pour 10.10.10.1. Liste de contrôle d'accès IP étendue 102 modifiée permit eigrp any any (385 matches) permit icmp any 10.10.10.0 0.0.0.255 echo-reply permit icmp any 10.10.10.0 0.0.0.255 unreachable permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited permit icmp any 10.10.10.0 0.0.0.255 packet-too-big permit icmp any 10.10.10.0 0.0.0.255 echo permit icmp any 10.10.10.0 0.0.0.255 time-exceeded permit tcp any host 10.10.10.1 eq smtp (142 matches) Quel trafic voulez-vous inspecter? CBAC dans l'IOS Cisco supporte les trafics suivants: Acronyme Protocole cuseeme Protocole CUSeeMe ftp Protocole FTP h323 Protocole H23 ( Microsoft NetMeeting ou Intel Video Phone) http Protocole HTTP rcmd Commandes R ( Rlogin, Rexec, Rsh) realaudio Protocole Real Audio rpc Protocole RPC smtp Protocole SMTP sqlnet Protocole SQL Net streamworks Protocole Streamworks tcp Protocole TCP tftp Protocole TFTP udp Protocole UDP vdolive Protocole VDOLive ccnp_cch

Chaque protocole est repéré par un acronyme Chaque protocole est repéré par un acronyme. Vous utilisez cet acronyme pour indiquer quel protocole doit être inspecté sur une interface. Par exemple la configuration ci-des- sous inspecte FTP, SMTP et Telnet. Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip inspect name mysite ftp Router1(config)#ip inspect name mysite smtp Router1(config)#ip inspect name mysite tcp Router1#show ip inspect config Session audit trail is disabled one-minute (sampling period) thresholds are [400:500]connections max-incomplete sessions thresholds are [400:500] max-incomplete tcp connections per host is 50. Block-time 0 minute. tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec tcp idle-time is 3600 sec -- udp idle-time is 30 sec dns-timeout is 5 sec Inspection Rule Configuration Inspection name mysite ftp timeout 3600 smtp timeout 3600 tcp timeout 3600 Dans ce document vous avez été informé du trafic que vous voulez laissez sortir, du trafic que vous voulez laissez entrer et du trafic que vous voulez inspecter. Maintenant que vous êtes prêts à configurer CBAC, suivez ces étapes: 1. Appliquez la configuration 2. Entrez les listes d'accès telles qu'elles sont configurées ci-dessus. 3. Configurez les instructions d'inspections 4. Appliquez les listes d'accès aux interfaces Après les étapes ci-dessus, votre configuration doit ressembler à celle du schéma et des configurations suivants: INSIDE OUTSIDE Serveur SMTP 10.10.10.1 S0.1 10.10.11.2 Frame Relay Router1 E0 10.10.10.2 Serveur ccnp_cch

Configuration CBAC Router1 version 11.2 no service password-encryption service udp-small-servers service tcp-small-servers ! hostname Router1 ! no ip domain-lookup ! ip inspect name mysite ftp ip inspect name mysite smtp ip inspect name mysite tcp interface Ethernet0 ip address 10.10.10.2 255.255.255.0 ip access-group 101 in ip inspect mysite in interface Serial0 no ip address encapsulation frame-relay no fair-queue interface Serial0.1 point-to-point ip address 10.10.11.2 255.255.255.252 ip access-group 102 in frame-relay interface-dlci 200 IETF router eigrp 69 network 10.0.0.0 no auto-summary ip default-gateway 10.10.11.1 ! no ip classless ! ip route 0.0.0.0 0.0.0.0 10.10.11.1 ! access-list 101 permit tcp 10.10.10.0 0.0.0.255 any access-list 101 permit udp 10.10.10.0 0.0.0.255 any access-list 101 permit icmp 10.10.10.0 0.0.0.255 any access-list 101 deny ip any any access-list 102 permit eigrp any any access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo-reply access-list 102 permit icmp any 10.10.10.0 0.0.0.255 unreachable access-list 102 permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited ccnp_cch

access-list 102 permit icmp any 10.10.10.0 0.0.0.255 packet-too-big access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo access-list 102 permit icmp any 10.10.10.0 0.0.0.255 time-exceeded access-list 102 permit tcp any host 10.10.10.1 eq smtp access-list 102 deny ip any any ! line con 0 line vty 0 4 login end ccnp_cch