Configuration d'un Pare-feu TP Sécurité - Configuration d'un Pare-feu IOS Cisco avec SDM CFI_Site_Paris

Installation SDM - Objectifs  Utiliser le SDM pour configurer un routeur comme pare-feu  Comprendre le fonctionnement de base d'un pare-feu  Configurer le routage de base à travers un pare-feu  Vérification des paramètres du pare-feu en utilisant le SDM - Schéma du réseau Host Loopback0 172.16.2.1/24 .50 FW Fa0/0 S0/0/1 DCE .2 .2 10.1.12.0/24 192.168.23.0/24 Fa0/0 S0/0/1 .1 EIGRP AS1 .3 INSIDE ISP Loopback0 10.1.1.1/24 Loopback0 192.168.3.1/24 - Scénario Dans ce Lab vous allez configurer un routeur de périphérie pour la société ITA en utilisant le SDM (Security Device Manager). La configuration guidée de pare-feu vous permet de créer une configuration relativement robuste en quelques étapes simples. Chaque routeur représente un routeur dans un grand réseau d'entreprise. Le routeur ISP est le routeur frontal de l'opérateur connecté au pare-feu du réseau de l'entreprise ITA et l'interface loopback0 de ce routeur représente un réseau distant. FW est un routeur pare- feu d'entreprise et son interface loopback0 représente la DMZ (Demilitarized Zone) dans laquelle résident les serveurs Internet. INSIDE est un routeur interne d'entreprise et son interface loopback0 représente un sous-réseau dans le domaine de l'entreprise. CFI_Site_Paris

- Etape 1: Configurer les interfaces loopback et les interfaces physiques Configurez les interfaces Loopback avec les adresses figurant sur le schéma du réseau. Configurez également les interfaces Serial. Configurez l'horloge sur l'interface appropriée et entrez la commande no shutdown sur toutes les interfaces Serial. Vérifiez que vous avez la connectivité entre routeurs en utilisant la commande ping. INSIDE(config)# interface loopback0 INSIDE(config-if)# ip address 10.1.1.1 255.255.255.0 INSIDE(config-if)# interface fastethernet0/0 INSIDE(config-if)# ip address 10.1.12.1 255.255.255.0 INSIDE(config-if)# no shutdown FW(config)# interface loopback0 FW(config-if)# ip address 172.16.2.1 255.255.255.0 FW(config-if)# interface fastethernet0/0 FW(config-if)# ip address 10.l.12.2 255.255.255.0 FW(config-if)# no shutdown FW(config-if)# interface serial0/0/1 FW(config-if)# ip address 192.168.23.2 255.255.255.0 FW(config-if)# clockrate 64000 ISP(config)# interface loopback0 ISP(config-if)# ip address 192.168.3.1 255.255.255.0 ISP(config-if)# interface serial0/0/1 ISP(config-if)# ip address 192.168.23.3 255.255.255.0 ISP(config-if)# no shutdown - Etape 2: Configurer les protocoles de routage Comme ce scénario est limité à trois routeurs, assurez-vous de bien comprendre ce que représente chaque réseau principal dans le schéma. L'espace d'adressage 10.0.0.0/8 représente le réseau interne détenu et géré par votre entre- prise. De par votre politique de sécurité, aucun trafic venant de ISP ne doit entrer dans le réseau interne sauf si la connexion a été initiée depuis le réseau interne situé derrière le pare-feu. La connexion entre FW et ISP est un sous-réseau globalement routable dans l'espace d'adressage public. Bien que le RFC 1918 définisse le réseau 192.168.0.0/16 comme privé, considérez le comme un espace d'adresse global pour les besoins de ce lab. L'interface Loopback0 sur le routeur FW est une interface dans la DMZ. Une DMZ est sou- vent utilisée pour héberger des serveurs web et d'autres serveurs pour lesquels des utilisa- teurs externes peuvent accéder à un contenu sans authentification ni autorisation. Configurez EIGRP pour l'AS1 sur les routeurs FW et INSIDE. Annoncez le réseau principal 10.0.0.0/8 et dévalidez l'agrégation automatique. Ajoutez également le réseau 172.16.0.0 sur le routeur FW pour qu'il l'annonce. Caractérisez l'interface loopback comme une inter- face passive car c'est simplement une DMZ pour des serveurs et non des routeurs. Le rou- teur ISP ne participe pas à ce processus de routage. CFI_Site_Paris

INSIDE(config)# router eigrp 1 INSIDE(config-router)# no auto-summary INSIDE(config-router)# network 10.0.0.0 FW(config)# router eigrp 1 FW(config-router)# no auto-summary FW(config-router)# network 10.0.0.0 FW(config-router)# network 172.16.0.0 FW(config-router)# passive-interface loopback0 Définir le but et le fonctionnement d'un pare-feu Le pare-feu existe pour renforcer la sécurité de l'entreprise. Il permet à une société de faire du commerce en ligne tout en fournissant la sécurité nécessaire entre le réseau de l'entre- prise et le réseau externe. En plus du contrôle d'accès le pare-feu fournit également un point central pour l'administration des mesures de sécurité. Définir quelques règles de base sur comment le trafic doit être permit à travers le réseau Tout le trafic issu du réseau de l'entreprise destiné à la DMZ ou à l'ISP est permis. Tout le trafic de la DMZ est permis en sortie vers l'ISP. Tout le trafic issu de l'extérieur du réseau de l'entreprise est permis à travers le pare-feu uniquement s'il y a une session TCP ou UDP correspondante ouverte en premier pour le flux sortant. Inspection complète de tous les paquets TCP ou UDP de l'extérieur vers l'intérieur. - Etape 3: Configurer les routes statiques pour atteindre Internet Comme ISP est connecté à Internet, il faut transmettre tout le trafic vers les réseaux non présents dans la table de routage vers ISP via une route par défaut. Cette route peut être crée de manière statique sur le routeur FW mais doit être redistribuée dans EIGRP pour que les routeurs à l'intérieur du réseau apprennent la route par défaut. FW(config)# ip route 0.0.0.0 0.0.0.0 192.168.23.3 FW(config-router)# redistribute static Sur ISP, créer des routes statiques pour les réseaux principaux de l'entreprise. Rappelez vous que le réseau 172.16.0.0 est la DMZ de la société et le réseau 10.0.0.0 est le réseau interne. ISP(config)# ip route 10.0.0.0 255.0.0.0 192.168.23.2 ISP(config)# ip route 172.16.0.0 255.255.0.0 192.168.23.2 A ce point, vous avez la connectivité IP complète entre tous les réseaux du schéma. Une fois que le routeur FW est complètement configuré il y aura une connectivité partielle com- me résultat de l'implémentation de la politique de sécurité. ISP# ping 10.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 112/112/112 ms CFI_Site_Paris

- Etape 4: Se connecter au routeur FW en utilisant le SDM Configurez l'adresse IP 10.1.12.50/24 sur le host en utilisant l'interface FastEthernet du routeur FW comme passerelle par défaut. Préparez le routeur FW pour l'accès via le SDM. Rappelez-vous que le SDM utilise SSH et HTTPS et doit s'authentifier avec le routeur avant de commencer la configuration. FW(config)# username ciscosdm privilege 15 password ciscosdm FW(config)# ip http secure-server FW(config)# ip http authentication local FW(config)# line vty 0 4 FW(config-line)# transport input telnet ssh Connexion à FW en utilisant le SDM. Sélectionnez Edit> Preferences. Assurez-vous que la case Preview commands before delivering to router est cochée avant de continuer. Cliquez sur OK quand vous avez confi- guré vos préférences. CFI_Site_Paris

- Etape 5: Utiliser la configuration avancée et guidée du SDM Dans le SDM commencer la configuration avancée en cliquant sur Configure dans la barre des outils et ensuite en cliquant sur Firewall and ACL dans la barre d'outils à gauche. Dans l'onglet Create Firewall, choisissez Advanced Firewall et ensuite cliquez sur Launch the selected task. Dans ce lab, vous ne configurez pas un pare-feu de base car c'est une version moins robus- te du pare-feu avancé. Si vous savez configurer un pare-feu avancé, vous n'aurez aucun problème pour configurer le pare-feu de base. CFI_Site_Paris

CFI_Site_Paris

Lisez les informations pour la configuration avancée guidée et cliquez sur Next. Choisissez l'interface qui est face au routeur ISP comme interface externe non sécurisée et l'interface qui est face au routeur INSIDE comme interface interne sécurisée. Ne cochez pas les cases inside et outside pour l'interface loopback. Sélectionnez cette inter- face comme interface DMZ. Vous n'avez pas besoin d'autoriser les accès SDM sécurisés à partir des interfaces externes. Une fois que vous avez configuré correctement toutes les in- terfaces, cliquez sur Next. CFI_Site_Paris

Comme vous n'avez pas coché l'option, le SDM vous avertit que vous ne pouvez pas confi- gurer le routeur en utilisant le SDM à partir de l'interface externe. Ceci est acceptable car vous utilisez le SDM au travers de l'interface interne du routeur FW. Cliquez sur OK pour continuer. CFI_Site_Paris

Maintenant ajoutez les services DMZ en cliquant sur le bouton Add. Ajoutez une liste de serveurs web avec les adresses 172.16.2.10 à 172.16.2.20. Configurez le service comme "www", un mot-clé que le routeur identifie avec le port TCP 80, le port HTTP standard. Cliquez sur OK quand votre configuration est terminée. CFI_Site_Paris

Vérifiez la liste des serveurs ajoutés dans la liste des services DMZ et ensuite cliquez sur Next. La configuration des interfaces inside, outside et DMZ applique des listes de contrôle d'accès aux interfaces créant ainsi les délimitations du trafic du pare-feu. Par conséquent vous voulez peut-être créer des autorisations à travers le pare-feu pour des applications particulières. Les listes de contrôle d'accès CBAC (Context-Based Access Lists) peuvent examiner les couches TCP et UDP des paquets traversant le pare-feu pour créer des "trous" par flux dans le pare-feu. CBAC examine les protocoles de transport standards tels que TCP et UDP, trace les connexions et permet du trafic entrant non sécurisé unique- ment si c'est un trafic retour pour une connexion TCP ou UDP initiée depuis le réseau in- terne. Pour certains protocoles très communs, CBAC examine les données de couche ap- plication pour s'assurer que les paquets respectent le protocole de l'application. Pour ce lab, vous n'utiliserez pas la politique de sécurité par défaut mais vous allez en créer une. Cliquez sur Use a custom Application Security Policy et ensuite cliquez sur Create a new policy dans le menu déroulant. CFI_Site_Paris

Dans la partie gauche, cliquez sur HTTP et ensuite cliquez sur Enable HTTP inspection sur la droite pour que CBAC s'assure que les paquets HTTP reçus sont valides. CFI_Site_Paris

CFI_Site_Paris

Cliquez sur Applications/Protocols sur le bouton à gauche pour le développer. Dans l'ar- bre sélectionnez General et les sous-entrées tcp et udp pour autoriser l'inspection généri- que TCP et UDP. Pour TCP , CBAC va superviser l'état TCP de chaque connexion initiée de l'intérieur et autorisera uniquement le trafic retour en correspondance avec cet état. Pour le trafic UDP, qui est en mode non-connecté et par conséquent sans état, CBAC autorisera le trafic retour qui correspond aux adresses source et destination et aux ports UDP dans une période d'expiration. Cliquez sur OK pour sauvegarder cette nouvelle politique. CFI_Site_Paris

La nouvelle politique apparaît dans la zone de texte La nouvelle politique apparaît dans la zone de texte. Cliquez sur Next pour continuer. CFI_Site_Paris

Vérifiez que le résumé de la configuration est correct puis cliquez sur Finish. CFI_Site_Paris

Prévisualisez les commandes que le SDM va appliquer au routeur et ensuite cliquez sur Deliver pour envoyer les commandes au routeur. Cliquez sur OK une fois que les commandes ont été transmises au routeur. CFI_Site_Paris

Une boîte de dialogue vous informe que la configuration du pare-feu a été faite avec succès. Cliquez sur OK. Le message de succès du SDM s'affiche. Cliquez sur OK et vous êtes de nouveau placé sur l'onglet Edit Firewall/ACL du SDM. CFI_Site_Paris

- Etape 6: Modifier la configuration du pare-feu Sélectionnez Returning Traffic dans le haut de l'onglet pour voir les règles d'accès confi- guées pour le trafic retour passant à travers le routeur depuis l'interface externe vers l'in- terface interne. Faites défiler la liste d'accès jusqu'à l'instruction deny pour les réseaux 192.168.0.0/16. CFI_Site_Paris

Dans ce scénario tous les réseaux externes sont dans l'intervalle 192 Dans ce scénario tous les réseaux externes sont dans l'intervalle 192.168.0.0/16. Pour des raisons de sécurité tout le trafic issu de l'espace d'adressage de réseaux privés (RFC1918) est bloqué sur l'interface externe. Dans Internet ces adresses ne sont pas routables. CFI_Site_Paris

Sélectionnez l'instruction deny de la règle d'accès pour 192. 168 Sélectionnez l'instruction deny de la règle d'accès pour 192.168.0.0/16 et cliquez sur Cut pour retire cette instruction. Vérifiez que l'instruction est retirée et cliquez sur Apply Changes. CFI_Site_Paris

Prévisualisez les commandes que le SDM va transmettre au routeur et ensuite cliquez sur Deliver. Cliquez sur OK après que les commandes aient été transmises. CFI_Site_Paris

- Etape 7: Superviser l'activité du pare-feu Sur le routeur ISP ajoutez le mot de passe "cisco" aux terminaux virtuels (vty) puis autori- sez une session Telnet authentifiée avec le routeur. ISP(config)# line vty 0 4 ISP(config-line)# password cisco ISP(config-line)# login Sur le routeur INSIDE établissez une session Telnet sur l'interface loopback de ISP. INSIDE# telnet 192.168.3.1 Trying 192.168.3.1 ... Open User Access Verification Password: ISP> Pendant que la session Telnet est active, cliquez sur l'onglet Monitor du SDM et ensuite cliquez sur Firewall Status dans la partie gauche. Cliquez sur Update pour obtenir les dernières statistiques du pare-feu. Vous devez voir la session Telnet active dans la liste. CFI_Site_Paris

Après avoir affiché les paramètres de la session Telnet en utilisant la supervision du SDM, fermez la session Telnet en utilisant la commande exit. ISP> exit [Connection to 192.168.3.1 closed by foreign host] INSIDE# A partir du routeur ISP, initiez une session Telnet vers l'interface Loopback du routeur INSIDE. ISP# telnet 10.1.1.1 Trying 10.1.1.1 ... % Destination unreachable; gateway or host down ISP# La session Telnet échoue, pourquoi? Sur le routeur FW un message de log apparaît indiquant que la session Telnet a été rejetée. Ce message de log apparaît car le mot-clé log est utilisée dans la liste d'accès appliquée à l'interface externe. FW# *Feb 17 22:21:01.085: %SEC-6-IPACCESSLOGP: list 102 denied tcp 192.168.23.3(20650) -> 10.1.1.1(23), 1 packet Affichez la configuration de l'interface externe sur le routeur FW en utilisant la commande show run. FW# show run interface serial0/0/1 Building configuration... Current configuration : 168 bytes ! interface Serial0/0/1 description $FW_OUTSIDE$ ip address 192.168.23.2 255.255.255.0 ip access-group 102 in ip verify unicast reverse-path clock rate 64000 end Avec la commande show access-lists number vous pouvez voir que le mot-clé log fait par- tie de la liste d'accès appliquée en entrée à l'interface externe. CFI_Site_Paris

Conclusion FW# show access-lists 102 Extended IP access list 102 10 deny ip 172.16.2.0 0.0.0.255 any 20 deny ip 10.1.12.0 0.0.0.255 any 30 permit icmp any host 192.168.23.2 echo-reply 40 permit icmp any host 192.168.23.2 time-exceeded 50 permit icmp any host 192.168.23.2 unreachable 60 permit tcp any host 172.16.2.10 eq www 70 permit tcp any host 172.16.2.11 eq www 80 permit tcp any host 172.16.2.12 eq www 90 permit tcp any host 172.16.2.13 eq www 100 permit tcp any host 172.16.2.14 eq www 110 permit tcp any host 172.16.2.15 eq www 120 permit tcp any host 172.16.2.16 eq www 130 permit tcp any host 172.16.2.17 eq www 140 permit tcp any host 172.16.2.18 eq www 150 permit tcp any host 172.16.2.19 eq www 160 permit tcp any host 172.16.2.20 eq www 170 deny ip 10.0.0.0 0.255.255.255 any 180 deny ip 172.16.0.0 0.15.255.255 any 190 deny ip 127.0.0.0 0.255.255.255 any 200 deny ip host 255.255.255.255 any 210 deny ip host 0.0.0.0 any 220 deny ip any any log (1 match) Que représentent les entrées 170 à 190 dans la liste d'accès? Quelle autre commande appliquée dans la configuration par le SDM joue un rôle similaire aux entrées 170 à 190 de la liste d'accès. Conclusion D'après la configuration précédente de l'ACL, indiquez ce qui se passe dans les scénarios sui- vants et donnez en la raison:  Le routeur ISP envoie un ping vers 10.1.1.1  Le routeur ISP envoie un ping vers 172.16.23.2  Le routeur ISP envoie un ping vers 172.16.2.1  Imaginez que le routeur ISP envoie un ping vers un serveur web réel à l'adresse 172.16.2.10.  Imaginez que le réseau connecté au routeur ISP initie une session TCP avec serveur web à l'adresse 172.16.2.10. CFI_Site_Paris