Sécurité - Configuration de l'autorisation d'Applets Java

Slides:



Advertisements
Présentations similaires
Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n°
Advertisements

Effacer la Configuration LWAPP sur un LAP
Sécurité - Configuration du PIX avec un seul réseau interne
Remote Desktop Protocol l'Appliance de Sécurité
Configuration PIX avec deux Routeurs
Sécurité - Configuration d'un
QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)
Commande ip nat service
Sécurité - Configuration du PIX
Sécurité - ASA7.x/PIX 6.x et plus
Sécurité - Configuration d'un
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
Sécurité - Cisco ASA Supervision du contenu
Configuration d'un accès
Sécurité - Listes d'Accès - Standards et Etendues - Configuration
Configuration BGP - avec deux FAI différents (Multihoming)
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
CBAC - Introduction et Configuration
Comprendre la politique
Sécurité - Configuration de
PIX/ASA - Configuration Serveur et Client DHCP
(Network Address Translation)
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
de listes d'accès filtres
Configuration Routeur SOHO77
OSPF - Configuration initiale sur Liaisons Non-Broadcast
Comportement de RIP & IGRP avec les mises à jour de Routage
BGP - Support de Route-Map Policy list
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
Hot Standby Router Protocol standby preempt et standby track
NAT - Supervision et Maintenance
Cisco IOS - Login Enhancements
PIX - Gestion du trafic VoIP
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Sécurité - Configuration de
Intégration de NAT avec les VPNs MPLS
- Comment changer le titre WebVPN
Configuration NAT Utilisation de la commande outside source list
Configuration de Voice VLAN
QoS - Configuration RSVP
Sécurité - Configuration de
Sécurité - Configuration de -
QoS - Appliquer la QoS à des Sous-interfaces
IOS - IP Traffic Export ccnp_cch.
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Configuration IPSec LAN Privé à LAN Privé et NAT statique
RIP - Configuration des Extensions.
trois réseaux internes
interfaces de couche 3 Commutateur Catalyst 4006
Sécurité - Configuration d'un
Configuration Routeur SOHO77 AAL5MUX Routage IP, Multi PVCs
Configuration d'un accès
OSPF - Configuration initiale sur des Sous-Interfaces Frame Relay
Configuration DDR Standard Sites multiples aves RNIS
entre trois routeurs utilisant des
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
QoS - Configuration Fragmentation
Liste de contrôle d’accès
Configuration Routeur SOHO77
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
QoS - Configuration de COPS pour RSVP
Configuration de VLANs Contrôleur LAN sans-fil
Transcription de la présentation:

Sécurité - Configuration de l'autorisation d'Applets Java ccnp_cch

Sommaire - Introduction - Prérequis - Versions de Matériel et de Logiciel - Rejeter les Applets Java issus d'Internet - Configuration - Schéma du réseau - Configurations - Vérification - Résolution de problèmes ccnp_cch

Outside Fastethernet0/0 Introduction Cet exemple de configuration montre comment utiliser la fonctionnalité CBAC (Context Based Access Control) du pare-feu de l'IOS Cisco pour autoriser les Applets Java de si- tes spécifiques et interdire les autres. Ce type de blocage rejette les Applets Java qui ne sont pas inclus dans un fichier com- pressé. Le pare-feu IOS Cisco a été introduit dans les versions 11.3.3 et 12.05.T. Prérequis Versions de Matériel et de Logiciel utilisées: Cette configuration a été réalisée et testée en utilisant les versions suivantes: • Cisco IOS Release C1700-k9o3sy7.123-8.T.bin • Cisco Routeur 1751 Rejeter les Applets issus d'Internet Suivre cette procédure: 1. Créer les listes de contrôle d'accès (ACLs) 2. Ajouter la commande ip inspect http java à la configuration 3. Appliquer les commandes ip inspect et ip access-group à l'interface externe Note: Dans cet exemple, la liste d'accès 3 autorise les Applets Java issus d'un site re- connu (10.66.79.236) et rejette implicitement les Applets Java issus d'autres sites. Les adresses affectées à l'interface externe du routeur ne sont pas des adresses Inter- net routables car cet exemple est configuré dans un environnement de laboratoire. Note: Remarquez qu'il n'est plus nécessaire d'appliquer la liste d'accès à l'interface si vous utilisez l'IOS Cisco 12.3.4.T ou suivants. Ceci est documenté dans la nouvelle fonctionnalité "Firewall ACL Bypass". Configuration Dans cette section sont présentées les informations nécessaires pour la configuration des fonctionnalités décrites dans ce document. Schéma du Réseau Réseau 192.168.10.0/24 Inside Ethernet1/0 192.168.10.1 R_FW Outside Fastethernet0/0 10.66.79.39 Serveur Web 2 Non reconnu Internet Serveur Web 1 10.66.79.236 ccnp_cch

ccnp_cch R_FW Current configuration: 1224 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R_FW ! boot-start-maker boot-end-maker ! memory-size iomem 15 nmi polling-intervall 60 no nmi auto-configure no nmi pvc nmi snmp-timeout 180 no aaa new-model ip subnet-zero ! ip cef ! ip inspect name FW tcp ip inspect name FW udp ! !-- Liste d'accès pour Java ! ip inspect name FW http java-list 3 audit-trail on ip ips po max-events 100 no ftp-server write-enable ! interface FastEthernet0/0 ip address 10.66.79.39 255.255.255.224 ! !-- ACL utilisée pour bloquer tout le trafic en entrée sauf celui !-- permit par inspect. Ceci n'est plus requis avec l'IOS Cisco !-- 12.3.4T et versions supérieures. ! ip access-group 100 in ip nat outside ip inspect FW out ip virtual-reassembly speed auto ! interface Serial0/0 no ip address shutdown no fair-queue ! < Voir page suivante ccnp_cch

interface Ethernet1/0 ip address 192. 168. 10. 1 255. 255. 255 interface Ethernet1/0 ip address 192.168.10.1 255.255.255.0 ip nat inside ip virtual-reassembly half-duplex ! ip classless ip route 0.0.0.0 0.0.0.0 10.66.79.33 no ip http server ! ip nat inside source list 1 Interface FastEthernet0/0 overload ! !-- ACL utilisée pour NAT ! access-list 1 permit 192.168.10.0 0.0.0.255 ! !-- ACL utilisée pour Java ! access-list 3 permit 10.66.79.236 ! !-- ACL utilisée pour bloquer tout le trafic en entrée sauf celui !-- permit par inspect. Ceci n'est plus requis avec l'IOS Cisco !-- 12.3.4T et versions supérieures. ! access-list 100 deny ip any any ! line cons 0 exec-timeout 0 0 line aux 0 line vty 0 4 login ! end Vérification Cette section fournit des informations que vous pouvez utiliser pour confirmer que votre configuration fonctionne correctement. • show ip inspect sessions [detail] -- Affiche les sessions courantes tracées et inspectées par CBAC. Le mot clé detail donne des informations complémentaires sur les sessions. ccnp_cch

Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des problèmes liés à votre configuration. Commandes utilisables • no ip inspect alert-off - Valide les messages d'alerte CBAC. Si les rejet HTTP sont configurés, vous pouvez voir les messages sur la console. • debug ip inspect - Affiche les message sur les évènements de CBAC. Voici un exemple de sortie de la commande debug ip inspect detail après une tenta- tive de connexion aux serveurs Web à l'adresse 10.66.79.236 et autre site non auto- risé qui a des Applets Java (comme cela a été défini dans la liste d'accès). Log de Java rejeté *Jan 12 21:43:42.919: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator (192.168.10.2:2673) -- responder (128.138.223.2:80) *Jan 12 21:43:43.571: %FW-3-HTTP_JAVA_BLOCK: JAVA applet is blocked from (128.138.223.2:80) to (192.168.10.2:2673) *Jan 12 21:43:43.575: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator (192.168.10.2:2673) sent 276 bytes -- responder (128.138.223.2:80) sent 0 bytes *Jan 12 21:43:43.575: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator (192.168.10.2:2674) -- responder (128.138.223.2:80) *Jan 12 21:43:43.823: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator (192.168.10.2:2672) sent 486 bytes -- responder (10.66.79.236:80) sent 974 bytes *Jan 12 21:43:44.007: %FW-3-HTTP_JAVA_BLOCK: JAVA applet is blocked from (128.138.223.2:80) to (192.168.10.2:2674) *Jan 12 21:43:44.011: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator (192.168.10.2:2674) sent 276 bytes -- responder (128.138.79.223:80) sent 1260 bytes Log de Java autorisé *Jan 12 21:44:12.143: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator (192.168.10.2:2685) -- responder (10.66.79.236:80) *Jan 12 21:44:12.343: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator (192.168.10.2:2686) -- responder (10.66.79.236:80) *Jan 12 21:44:17.343: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator (192.168.10.2:2685) sent 626 bytes -- responder (10.66.79.236:80) sent 533 bytes *Jan 12 21:44:17.351: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator (192.168.10.2:2686) sent 314 bytes -- responder (10.66.79.236:80) sent 126 bytes ccnp_cch

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.