Sécurité - Configuration d'un

Slides:

Advertisements

Présentations similaires

Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n°

Advertisements

Sécurité Réseau Alain AINA AFNOG 2009.

Pare-feu basé sur la zone

Les Listes de Contrôle d'Accès (Access-Control-Lists)

Sécurité - Configuration du PIX avec un seul réseau interne

Remote Desktop Protocol l'Appliance de Sécurité

Configuration PIX avec deux Routeurs

Sécurité - Configuration d'un

Configurer NAT et PAT statique pour support d'un serveur Web interne

Commande ip nat service

Sécurité - Configuration du PIX

Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec

Sécurité - ASA7.x/PIX 6.x et plus

Sécurité - Configuration d'un

Tunnel pour paquets IP Multicast

Configuration Routeur SOHO77

Configuration d'un accès

Sécurité - Listes d'Accès - Standards et Etendues - Configuration

IS-IS - Adjacence Point à Point

CBAC - Configuration ccnp_cch ccnp_cch.

Configuration BGP - avec deux FAI différents (Multihoming)

BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback

CBAC - Introduction et Configuration

Comprendre la politique

Interconnexion de Domaines IPv6

Sécurité - Configuration de

PIX/ASA - Configuration Serveur et Client DHCP

(Network Address Translation)

Configuration Routeur à Routeur avec PAT & Client VPN Cisco

CBAC - Avantages et Limitations

Configuration Routeur SOHO77

OSPF - Configuration initiale sur Liaisons Non-Broadcast

show ip nat translations

Client VPN pour VPN public Internet

BGP - Support de Route-Map Policy list

Configuration Routeur SOHO77

Sous-résaux LAN dupliqués

Sécurité - Configuration de

Sécurité - Configuration de

Sécurité - Configuration de l'autorisation d'Applets Java

Proxy ARP ccnp_cch ccnp_cch.

Configuration NAT Utilisation de la commande outside source list

- Utilisation des commandes nat, global, static, conduit,

Configuration de Voice VLAN

d'un commutateur Catalyst

Sécurité - Configuration de

Sécurité - Configuration de -

QoS - Appliquer la QoS à des Sous-interfaces

Configuration Routeur SOHO77

Pile IGMPv3 de Host.

Configuration IPSec LAN Privé à LAN Privé et NAT statique

RIP - Configuration des Extensions.

trois réseaux internes

Configuration d'un Pare-feu

Configuration Frame Relay "Priority Queuing"

Configuration Routeur SOHO77 AAL5MUX Routage IP, Multi PVCs

Configuration d'un accès

OSPF - Configuration initiale sur des Sous-Interfaces Frame Relay

Configuration DDR Standard Sites multiples aves RNIS

entre trois routeurs utilisant des

IOS Firewall - Blocage d'applets Java

QoS - Configuration de NBAR (Network-Based Application Recognition)

trois réseaux internes

QoS - Configuration Fragmentation

Liste de contrôle d’accès

Authentification CHAP PPP Utilisation des commandes ppp chap hostname

Configuration Routeur SOHO77

Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec

QoS - Configuration de COPS pour RSVP

Introduction aux routeurs CISCO. AFNOG Table des Matières  Les composants d’un routeur  Le fonctionnement du routeur  Procédure de configuration.

Transcription de la présentation:

Sécurité - Configuration d'un Routeur avec deux interfaces avec CBAC et sans NAT ccnp_cch

Sommaire - Introduction - Prérequis - Composants utilisés - Configurer - Schéma du réseau - Configurations ccnp_cch

Introduction Cet exemple de configuration est fait pour une petite structure connectée directement à Internet en supposant que les services Web, DNS et SMTP sont fournis par un systè- me distant situé chez un opérateur Internet. Il n'y a pas de services sur le réseau interne par conséquent c'est une configuration simple de pare-feu et il n'y a que deux interfaces. Il n'y a pas de log car il n'y a pas de host disponible pour fournir les services de log. Comme cette configuration utilise uniquement des listes d'accès en entrée, elle permet le filtrage de trafic et l'anti-spoofing avec la même liste d'accès. Cette configuration fonctionne uniquement pour un routeur avec deux interfaces. L'interface Ethernet0 est le réseau "inside". L'interface serial0 est la liaison Frame Relay vers le fournisseur de service Internet. Prérequis Versions de Matériel et de Logiciel utilisées: Cette configuration a été réalisée et testée en utilisant les versions suivantes: • Cisco IOS Release 11.3.3.T • Cisco Routeur 2514 Configurer Dans cette section sont présentées les informations pour nécessaires pour configurer les fonctionnalités décrites dans ce document. Schéma du Réseau E0 S0 195.95.95.1 199.99.99.1 Internet Réseau Interne 195.95.95.0 Réseau Externe 195.95.95.0 ccnp_cch

Configurations ccnp_cch RT-FAI Current configuration: ! version 11.3.3.T ! no service udp-small-servers no service tcp-small-servers service password encryption no cdp run ! hostname RT-FAI ! no ip source-route ! enable secret 5 $1$Rtuvw$3F9TdY/q3S0vu1 ! username cisco password 7 14191D1815023F2036 ! ip domain-name cisco.com ip name-server 199.99.99.5 ! !-- Configuration de l'inspection ! ip inspect name MyFw cuseeme timeout 3600 ip inspect name MyFw ftp timeout 3600 ip inspect name MyFw http timeout 3600 ip inspect name MyFw rcmd timeout 3600 ip inspect name MyFw realaudio timeout 3600 ip inspect name MyFw smtp timeout 3600 ip inspect name MyFw tftp timeout 30 ip inspect name MyFw udp timeout 15 ip inspect name MyFw tcp timeout 3600 ! interface Ethernet0 description Reseau Interne ip address 195.95.95.1 255.255.255.0 ! !-- Applique la liste d'accès pour permettre le trafic légitime !-- issu du réseau interne ! ip access-group 101 in ! !-- Applique la liste d'inspection en entrée. !-- Quand des connexions sont initiées depuis le réseau interne !-- vers le réseau externe, cette inspection autorisera le !-- trafic retour de manière temporaire dans la liste d'accès !-- 111 de l'interface Serial0. ! ip inspect MyFw in no ip directed-broadcast no cdp enable ! ccnp_cch

interface Serial0 description Interface Frame relay ip address 199. 99 encapsulation frame-relay IETF no ip route-cache no arp frame-relay bandwidth 56 service-module 56 clock source line service-module 56k network-type dds frame-relay lmi-type ansi ! !-- La liste d'accès 111 permet du trafic ICMP et Telnet. !-- Elle fait également fonction d'anti-spoofing. ! ip access-group 111 in no ip directed-broadcast bandwidth 56 no cdp enable frame-relay interface-dlci 16 ! ip classless ip route 0.0.0.0 0.0.0.0 Serial0 ! !-- La liste d'accès 20 est utilisée pour autoriser l'accès SNMP !-- par la station de gestion de réseau ! access-list 20 permit 195.95.95.8 ! !-- La liste d'accès 101 permet le trafic légitime issu du réseau !-- interne et empêche le spoofing. ! access-list 101 permit icmp 195.95.95.0 0.0.0.255 any access-list 101 permit tcp 195.95.95.0 0.0.0.255 any access-list 101 permit udp 195.95.95.0 0.0.0.255 any access-list 101 deny ip any any ! !-- La liste d'accès 111 contrôle ce qui vient du réseau externe !-- et empêche le spoofing. ! access-list 111 deny ip 127.0.0.0 0.255.255.255 any access-list 111 deny ip 195.95.95.0 0.255.255.255 any ! !-- Contrôle du trafic ICMP ! access-list 115 permit icmp any 195.95.95.0 0.0.0.255 time-exceeded access-list 115 permit icmp any 195.95.95.0 0.0.0.255 traceroute access-list 115 permit icmp any 195.95.95.0 0.0.0.255 administratively-prohibited access-list 115 permit icmp any 195.95.95.0 0.0.0.255 echo access-list 115 permit icmp any 195.95.95.0 0.0.0.255 unreachable access-list 115 permit icmp any 195.95.95.0 0.0.0.255 echo-reply access-list 115 permit icmp any 195.95.95.0 0.0.0.255 packet-to-big ! ccnp_cch

-- Autorisation du trafic Telnet depuis une station ! !-- Autorisation du trafic Telnet depuis une station !-- d'administration ! access-list 111 permit tcp 211.11.11.0 0.0.0.255 host 195.95.95.1 eq telnet ! access-list 111 deny ip any any ! !-- Liste d'accès 20 appliquée au processus SNMP ! snmp-server community secret RO 20 ! line cons 0 login local password 7 14191D185023F2036 transport input none line aux 0 line vty 0 4 login local paswword 7 14191D185023F2036 ! end ccnp_cch