Sécurité - Configuration d'un

Slides:



Advertisements
Présentations similaires
Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n°
Advertisements

Sécurité Réseau Alain AINA AFNOG 2009.
Pare-feu basé sur la zone
Les Listes de Contrôle d'Accès (Access-Control-Lists)
Sécurité - Configuration du PIX avec un seul réseau interne
Remote Desktop Protocol l'Appliance de Sécurité
Configuration PIX avec deux Routeurs
Sécurité - Configuration d'un
Configurer NAT et PAT statique pour support d'un serveur Web interne
Commande ip nat service
Sécurité - Configuration du PIX
Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec
Sécurité - ASA7.x/PIX 6.x et plus
Sécurité - Configuration d'un
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
Configuration d'un accès
Sécurité - Listes d'Accès - Standards et Etendues - Configuration
IS-IS - Adjacence Point à Point
CBAC - Configuration ccnp_cch ccnp_cch.
Configuration BGP - avec deux FAI différents (Multihoming)
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
CBAC - Introduction et Configuration
Comprendre la politique
Interconnexion de Domaines IPv6
Sécurité - Configuration de
PIX/ASA - Configuration Serveur et Client DHCP
(Network Address Translation)
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
CBAC - Avantages et Limitations
Configuration Routeur SOHO77
OSPF - Configuration initiale sur Liaisons Non-Broadcast
show ip nat translations
Client VPN pour VPN public Internet
BGP - Support de Route-Map Policy list
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
Sécurité - Configuration de
Sécurité - Configuration de
Sécurité - Configuration de l'autorisation d'Applets Java
Proxy ARP ccnp_cch ccnp_cch.
Configuration NAT Utilisation de la commande outside source list
- Utilisation des commandes nat, global, static, conduit,
Configuration de Voice VLAN
d'un commutateur Catalyst
Sécurité - Configuration de
Sécurité - Configuration de -
QoS - Appliquer la QoS à des Sous-interfaces
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Configuration IPSec LAN Privé à LAN Privé et NAT statique
RIP - Configuration des Extensions.
trois réseaux internes
Configuration d'un Pare-feu
Configuration Frame Relay "Priority Queuing"
Configuration Routeur SOHO77 AAL5MUX Routage IP, Multi PVCs
Configuration d'un accès
OSPF - Configuration initiale sur des Sous-Interfaces Frame Relay
Configuration DDR Standard Sites multiples aves RNIS
entre trois routeurs utilisant des
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
trois réseaux internes
QoS - Configuration Fragmentation
Liste de contrôle d’accès
Authentification CHAP PPP Utilisation des commandes ppp chap hostname
Configuration Routeur SOHO77
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
QoS - Configuration de COPS pour RSVP
Introduction aux routeurs CISCO. AFNOG Table des Matières  Les composants d’un routeur  Le fonctionnement du routeur  Procédure de configuration.
Transcription de la présentation:

Sécurité - Configuration d'un Routeur avec deux interfaces avec CBAC et sans NAT ccnp_cch

Sommaire - Introduction - Prérequis - Composants utilisés - Configurer - Schéma du réseau - Configurations ccnp_cch

Introduction Cet exemple de configuration est fait pour une petite structure connectée directement à Internet en supposant que les services Web, DNS et SMTP sont fournis par un systè- me distant situé chez un opérateur Internet. Il n'y a pas de services sur le réseau in- terne par conséquent c'est une configuration simple de pare-feu et il n'y a que deux interfaces. Il n'y a pas de log car il n'y a pas de host disponible pour fournir les servi- ces de log. Comme cette configuration utilise uniquement des listes d'accès en entrée, elle permet le filtrage de trafic et l'anti-spoofing avec la même liste d'accès. Cette configuration fonctionne uniquement pour un routeur avec deux interfaces. L'interface Ethernet0 est le réseau "inside". L'interface serial0 est la liaison Frame Relay vers le fournisseur de service Internet. Prérequis Versions de Matériel et de Logiciel utilisées: Cette configuration a été réalisée et testée en utilisant les versions suivantes: • Cisco IOS Release 11.3.3.T • Cisco Routeur 2514 Configurer Dans cette section sont présentées les informations pour nécessaires pour configurer les fonctionnalités décrites dans ce document. Schéma du Réseau E0 S0 195.95.95.1 199.99.99.1 Internet Réseau Interne 195.95.95.0 Réseau Externe 195.95.95.0 ccnp_cch

Configurations ccnp_cch RT-FAI Current configuration: ! version 11.3.3.T ! no service udp-small-servers no service tcp-small-servers service password encryption no cdp run ! hostname RT-FAI ! no ip source-route ! enable secret 5 $1$Rtuvw$3F9TdY/q3S0vu1 ! username cisco password 7 14191D1815023F2036 ! ip domain-name cisco.com ip name-server 199.99.99.5 ! !-- Configuration de l'inspection ! ip inspect name MyFw cuseeme timeout 3600 ip inspect name MyFw ftp timeout 3600 ip inspect name MyFw http timeout 3600 ip inspect name MyFw rcmd timeout 3600 ip inspect name MyFw realaudio timeout 3600 ip inspect name MyFw smtp timeout 3600 ip inspect name MyFw tftp timeout 30 ip inspect name MyFw udp timeout 15 ip inspect name MyFw tcp timeout 3600 ! interface Ethernet0 description Reseau Interne ip address 195.95.95.1 255.255.255.0 ! !-- Applique la liste d'accès pour permettre le trafic légitime !-- issu du réseau interne ! ip access-group 101 in ! !-- Applique la liste d'inspection en entrée. !-- Quand des connexions sont initiées depuis le réseau interne !-- vers le réseau externe, cette inspection autorisera le !-- trafic retour de manière temporaire dans la liste d'accès !-- 111 de l'interface Serial0. ! ip inspect MyFw in no ip directed-broadcast no cdp enable ! ccnp_cch

interface Serial0 description Interface Frame relay ip address 199. 99 encapsulation frame-relay IETF no ip route-cache no arp frame-relay bandwidth 56 service-module 56 clock source line service-module 56k network-type dds frame-relay lmi-type ansi ! !-- La liste d'accès 111 permet du trafic ICMP et Telnet. !-- Elle fait également fonction d'anti-spoofing. ! ip access-group 111 in no ip directed-broadcast bandwidth 56 no cdp enable frame-relay interface-dlci 16 ! ip classless ip route 0.0.0.0 0.0.0.0 Serial0 ! !-- La liste d'accès 20 est utilisée pour autoriser l'accès SNMP !-- par la station de gestion de réseau ! access-list 20 permit 195.95.95.8 ! !-- La liste d'accès 101 permet le trafic légitime issu du réseau !-- interne et empêche le spoofing. ! access-list 101 permit icmp 195.95.95.0 0.0.0.255 any access-list 101 permit tcp 195.95.95.0 0.0.0.255 any access-list 101 permit udp 195.95.95.0 0.0.0.255 any access-list 101 deny ip any any ! !-- La liste d'accès 111 contrôle ce qui vient du réseau externe !-- et empêche le spoofing. ! access-list 111 deny ip 127.0.0.0 0.255.255.255 any access-list 111 deny ip 195.95.95.0 0.255.255.255 any ! !-- Contrôle du trafic ICMP ! access-list 115 permit icmp any 195.95.95.0 0.0.0.255 time-exceeded access-list 115 permit icmp any 195.95.95.0 0.0.0.255 traceroute access-list 115 permit icmp any 195.95.95.0 0.0.0.255 administratively-prohibited access-list 115 permit icmp any 195.95.95.0 0.0.0.255 echo access-list 115 permit icmp any 195.95.95.0 0.0.0.255 unreachable access-list 115 permit icmp any 195.95.95.0 0.0.0.255 echo-reply access-list 115 permit icmp any 195.95.95.0 0.0.0.255 packet-to-big ! ccnp_cch

-- Autorisation du trafic Telnet depuis une station ! !-- Autorisation du trafic Telnet depuis une station !-- d'administration ! access-list 111 permit tcp 211.11.11.0 0.0.0.255 host 195.95.95.1 eq telnet ! access-list 111 deny ip any any ! !-- Liste d'accès 20 appliquée au processus SNMP ! snmp-server community secret RO 20 ! line cons 0 login local password 7 14191D185023F2036 transport input none line aux 0 line vty 0 4 login local paswword 7 14191D185023F2036 ! end ccnp_cch