La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Pare-feu basé sur la zone

Présentations similaires


Présentation au sujet: "Pare-feu basé sur la zone"— Transcription de la présentation:

1 Pare-feu basé sur la zone
TP Sécurité - Configuration de CBAC et de Pare-feu basé sur la zone CFI_Site_Paris

2 Objectifs  Partie 1: Configuration de base des équipements réseau
▪ Configuration des paramètres de base tels que le nom de host, les adresses IP des interfaces et les mots de passe d’accès. ▪ Configurer le protocole de routage EIGRP. ▪ Utiliser Nmap pour tester les vulnérabilités du routeur.  Partie 2: Configurer un pare-feu CBAC (Context-Based Access Control) ▪ Configurer CBAC en utilisant AutoSecure ▪ Examiner la configuration CBAC résultante ▪ Vérifier la fonctionnalité de pare-feu  Partie 3: Configurer une stratégie de pare-feu basée sur la zone (ZBF, ZPF ou ZFW) ▪ Configurer une stratégie de pare-feu basée sur la zone en utilisant SDM. ▪ Examiner la configuration CBAC résultante. ▪ Utiliser SDM Monitor pour vérifier la configuration Rappels La forme la plus basique d'un Pare-feu IOS Cisco utilise les listes de contrôle d'accès avec filtrage de trafic IP supervision de motifs de trafic. Ceci est référencé comme un Pare-feu IOS traditionnel. Dans les versions les plus récentes de l'IOS Cisco, cette approche a évolué vers une méthode appelée CBAC (Context-Based Access Control) ou Inspect/CBAC qui est basée sur l'inspection 'Stateful' de paquet. CBAC rend la création de pare-feu plus aisée et donne à l'administrateur plus de contrôle sur les différents types de trafic d'application issus de l'intérieur ou de l'extérieur du réseau protégé. Quand AutoSecure de l'IOS Cisco est activé, il demande de créer un pare-feu CBAC et génère une configuration de base. Pour des réseaux simples avec une seule interface internet et externe, CBAC plus est aisé à configurer que les pare-feu IOS Cisco traditionnels. Des configurations avec plusieurs interfaces et des exigences de DMZ deviennent plus complexes et difficile à gérer avec CBAC. La méthode courante utilisée par SDM pour sécuriser un routeur est appelée stratégie de pare-feu basée sur la zone. Une stratégie de pare-feu basée sur la zone fournit le même type de fonctionnalité que CBAC mais elle est mieux adaptée pour plusieurs interfaces qui ont des exigences de sécurité identiques ou différentes. Tandis que AutoSecure génère un pare-feu CBAC, SDM génère une stratégie de pare-feu basée sur la zone (ZBF). Dans ce lab vous construisez un réseau comprenant plusieurs routeurs et vous configurez les routeurs et les hosts. Vous utilisez AutoSecure pour configurer un pare-feu CBAC et SDM pour configurer une stratégie de pare-feu basée sur la zone. Note: Assurez-vous que les routeurs et les commutateurs n’ont pas de configuration de démarrage. CFI_Site_Paris

3 Ressources requises • 3 routeurs avec SDM (Cisco 1841 avec Cisco IOS Release 12.4(20)T1 ou comparable) • 2 commutateurs (Cisco 2960 ou comparable) • PC-A : Windows XP, Vista ou serveur avec un logiciel serveur RADIUS disponible • PC-C : Windows XP ou Vista • Tous les câbles pour connecter le équipements. CFI_Site_Paris

4 R2 R1 R3 S1 S3 Table d'adressage IP CFI_Site_Paris Equipement
DCE DCE /30 /30 S0/0/0 S0/0/1 R1 R3 Fa0/1 Fa0/1 Fa0/5 Fa0/5 S1 S3 Fa0/6 Fa0/18 /24 /24 PC-C PC-A Table d'adressage IP Equipement Interface Adresse IP Masque Passerelle par défaut Port de commutateur R1 Fa0/ N/A S1 Fa0/5 S0/0/ R2 S0/0/ (DCE) S0/0/ R3 Fa0/ S3 Fa0/5 S0/0/ PC-A Carte S1 Fa0/6 PC-C Carte S3 fa0/18 CFI_Site_Paris

5 Partie 1: Configuration de base du routeur
Dans la partie 1 de ce lab, vous construisez le réseau et vous configurez les paramètres de base tels que les adresses IP des interfaces et le routage dynamique, l'accès à l'équipement et les mots de passe. Note: Toutes les tâches doivent être exécutées sur R1, R2 et R3. La procédure pour R1 est celle utilisée comme exemple. Tâche 1: Configuration des paramètres de base du routeur Etape 1: Câblage du réseau selon la topologie précédente. Câblez le réseau selon la topologie donnée. Etape 2: Configurer les paramètres de base de chaque routeur. a. Configurez les noms de hosts conformément à la topologie. b. Configurez les adresses IP des interfaces en vous aidant du tableau fourni page précédente. c. Configurez les horloges pour le routeur R2 qui a des câbles série DCE attachés aux interfaces serial. R2(Config)# interface serial s0/0/0 R2(config-if)# clock rate Etape 3: Dévalidation de la recherche DNS Pour éviter que le routeur tente de traduire des commandes incorrectement entrées , dévalidez la recherche DNS. R1(Config)# no ip domain-lookup Etape 4: Configuration du protocole de routage EIGRP sur R1, R2 et R3 a. Utilisez les commandes suivantes sur R1. R1(config)#router eigrp 101 R1(config-router)#network R1(config-router)#network R1(config-router)#no auto-summary b. Utilisez les commandes suivantes sur R2. R2(config)#router eigrp 101 R2(config-router)#network R2(config-router)#network R2(config-router)#no auto-summary CFI_Site_Paris

6 c. Utilisez les commandes suivantes sur R3.
R3(config)#router eigrp 101 R3(config-router)#network R3(config-router)#network R3(config-router)#no auto-summary Etape 5: Configurer les paramètres IP des PC hosts. a. Configurez l'adresse IP statique, le masque de sous-réseau et la passerelle par défaut pour PC-A comme le montre le tableau précédent. b. Configurez l'adresse IP statique, le masque de sous-réseau et la passerelle par Etape 6: Vérification de la connectivité de base a. Entrez une commande ping de R1 vers R3. Est-ce que la commande réussit?_____________ Si la commande échoue, vous devez résoudre le problème avant de continuer. b. Entrez une commande ping depuis PC-A du LAN de R1 vers PC-C du LAN de R3. Etape 7: Configurer la longueur minimale des mots de passe Note: Les mots de passe sont fixés à une longueur minimum de 10 caractères Ils sont relativement simples pour faciliter ce lab. Dans un réseau de production des mots de passe plus complexes sont requis. Utilisez la commande security passwords pour fixer une longueur minimum de 10 caractères pour les mots de passe R1(config)# security passwords min-length 10 Etape 8: Configuration de base de la console, du port auxiliaire et des lignes vty. a. Configurez le mot de passe console et validez le login pour le routeur R1. Pour avoir plus de sécurité, la commande exec-timeout entraîne la déconnexion de la ligne au bout de 5 minutes d'inactivité. La commande logging synchronous évite que les messages console soient mélangés avec les commandes en cours d'entrée. Note: pour éviter des connexions répétitives durant le lab, la commande exec-timeout 0 0 peut être entrée ce qui son expiration. Ce n'est pas une bonne pratique de sécurité. CFI_Site_Paris

7 R1(config)# line console 0
R1(config-line)# password ciscoconpass R1(config-line)# exec-timeout 5 0 R1(config-line)# login R1(config-line)# logging synchronous b. Configurez un mot de passe pour le port AUX sur le routeur R1. R1(config)# line aux 0 R1(config-line)# password ciscoauxpass c. Configurez le mot de passe pour les lignes vty sur le routeur R R1(config)# line vty 0 4 R1(config-line)# password ciscovtypass d. Répétez ces configurations pour R2 et R3. Etape 9: Valider le serveur HTTP. La validation de ce service permet au routeur d'être administré en utilisant une interface graphique et un navigateur web. R1(config)#ip http server Etape 10: Configuration du cryptage des mots de passe. a. Utilisez la commande service password-encryption pour crypter les mots de passe console, aux et vty. R1(config)# service password-encryption b. Entrez la commande show run. Pouvez-vous lire les mots de passe console, aux et vty? Pourquoi?_______________________________________________________ c. Répétez les étapes de configuration pour R2 et R3. Etape 11: Sauvegardez la configuration de base des trois routeurs Sauvegardez la configuration courante dans la configuration de démarrage R1#copy running-config startup-config CFI_Site_Paris

8 Tâche 2: Utilisation du Scanner de port Nmap pour déterminer les vulnérabilités
du routeur. Dans cette tâche déterminez quels sont les ports ouverts ou les services opérationnels sur R1 en utilisant Nmap avant de configurer le pare-feu. Etape 1: (Optionnel) Téléchargement et installation de Nmap et de Zenmap Nmap ("Network Mapper") est un utilisateur gratuit et "open source" pour de l'exploration réseau ou de l'audit de sécurité. a. Si Nmap est déjà installé sur PC-A et PC-C, passez à l'étape 2. Autrement téléchargez la dernière version pour Windows à partir de: b. Sur PC-A et PC-C lancez l'utilitaire d'installation de Nmap et installez tous les composants y compris l'interface graphique Zenmap. Cliquez sur Next pour accepter les paramètres par défaut quand cela est demandé. Etape 2: Faire une scrutation des ports ouverts sur R1 en utilisant Nmap à partir du host interne PC-A a. A partir du host interne PC-A, démarrez l'application Nmap-Zenmap et entrez l'adresse IP de la passerelle par défaut, Fa0/1 de R1 ( ) comme Target. Acceptez les commandes Nmap par défaut entrées pour vous dans la fenêtre Command et utilisez le profil Intense scan. Note: Si le PC opère avec un pare-feu personnel il peut être nécessaire de l'arrêter temporairement pour obtenir des résultats corrects. CFI_Site_Paris

9 b. Cliquez sur le bouton Scan pour débuter la scrutation de R1 à partir du host
interne PC-A. Attendez que la scrutation se termine. Les deux écrans suivants montrent la totalité du résultat de la scrutation. CFI_Site_Paris

10 a. Cliquez sur le bouton Services en haut et à gauche de l'écran
a. Cliquez sur le bouton Services en haut et à gauche de l'écran. Quels sont les ports ouverts sur R1 vus du host interne PC-A?_____________________________ Quelle est l'adresse MAC de l'interface FA0/1 de R1?________________________ Quel type d'équipement et version d'OS Nmap a-t-il découvert pour R1? ___________________________________________________________________________ Etape 3: Faire une scrutation des ports ouverts sur R1 en utilisant Nmap à partir du host interne PC-C a. A partir du host interne PC-A, démarrez l'application Nmap-Zenmap et entrez l'adresse IP de l'interface S0/0/0 de R1 ( ) comme Target. Acceptez les commandes Nmap par défaut entrées pour vous dans la fenêtre Command et utilisez le profil Intense scan. b. Cliquez sur le bouton Scan pour débuter la scrutation de R1 à partir du host interne PC-C. Attendez que la scrutation se termine. Les deux écrans suivants montrent la totalité du résultat de la scrutation. CFI_Site_Paris

11 CFI_Site_Paris

12 c. Cliquez sur le bouton Services en haut et à gauche de l'écran
c. Cliquez sur le bouton Services en haut et à gauche de l'écran. Quels sont les ports ouverts sur R1 vus du host interne PC-C?_____________________________ ____________________________________________________________________________ d. Dans la sortie de scrutation de Nmap, référez-vous à l'information TRACEROUTE. Combien y-a-t-il de sauts entre PC-C et R1 et par quelles adresses IP la scrutation doit passer pour atteindre R1?_____________________ ______________________________________________________________ CFI_Site_Paris

13 Partie 2: Configuration d'un Pare-feu CBAC (Context-Based Access
Control) Dans la partie 2 de ce lab, vous configurez CBAC sur R1 en utilisant AutoSecure. Ensuite vous revoyez et testez les résultats de votre configuration. Tâche 1: Vérification de l'accès au LAN de R1 à partir de R Dans cette tâche vous vérifiez que sans pare-feu en place le routeur externe R2 peut atteindre l'interface S0/0/0 de R1 et PC-A sur le LAN de interne de R1 par un ping. Etape 1: Faire un ping depuis R2 vers R a. Depuis R2 faire un ping vers l'interface S0/0/0 de R1 à l'adresse IP R2# ping b. Est-ce que la commande ping réussit?______________ Si la commande ping est en échec, résoudre le problème avant de continuer. Etape 2: Faire un ping depuis R2 vers PC-A du LAN de R a. Depuis R2 faire un ping vers PC-A du LAN de R1 à l'adresse IP R2# ping Etape 3: Affichage de la configuration courante de R1 avant l'utilisation de AutoSecure a. Entrez la commande show run pour revoir la configuration de base de R1. b. Y-a-t-il des commandes relatives au contrôle d'accès?_________________________ _____________________________________________________________________________ Tâche 2: Utilisation de AutoSecure pour sécuriser R1 et activer CBAC AutoSecure simplifie la configuration de la sécurité d'un routeur et rend la confi- guration du routeur plus robuste. Dans cette tâche, vous lancez AutoSecure et vous activez CBAC pendant le processus. Etape 1: Utilisation de la fonctionnalité AutoSecure de l'IOS Cisco pour activer CBAC. a. Entrez en mode EXEC privilégié en utilisant la commande enable. b. Entrez la commande auto secure sur R1. Répondre aux questions et aux invite de AutoSecure comme cela est montré dans la sortie suivante. Les réponses sont en caractères gras. CFI_Site_Paris

14 à la question Configure CBAC Firewall feature?.
Note: L'intérêt ici sont les commandes générées par AutoSecure pour CBAC aussi vous ne validez pas toutes les fonctionnalités de sécurité potentielles que AutoSecure fournit, tel que l'accès SSH. Assurez-vous de répondre 'yes' à la question Configure CBAC Firewall feature?. R1#auto secure --- AutoSecure Configuration --- *** AutoSecure configuration enhances the security of the router, but it will not make it absolutely resistant to all security attacks *** AutoSecure will modify the configuration of your device. All configuration changes will be shown. For a detailed explanation of how the configuration changes enhance security and any possible side effects, please refer to Cisco.com for Autosecure documentation. At any prompt you may enter '?' for help. Use ctrl-c to abort this session at any prompt. Gathering information about the router for AutoSecure Is this router connected to internet? [no]: yes Enter the number of interfaces facing the internet [1]: 1 Interface IP-Address OK? Method Status Protocol FastEthernet0/0 unassigned YES unset administratively down down FastEthernet0/ YES manual up up Serial0/0/ YES SLARP up up Serial0/0/ unassigned YES unset administratively down down Enter the interface name that is facing the internet: serial0/0/0 Securing Management plane services... Disabling service finger Disabling service pad Disabling udp & tcp small servers Enabling service password encryption Enabling service tcp-keepalives-in Enabling service tcp-keepalives-out Disabling the cdp protocol Disabling the bootp server Disabling the http server Disabling the finger service Disabling source routing Disabling gratuitous arp CFI_Site_Paris

15 Here is a sample Security Banner to be shown at every access to device.
Modify it to suit your enterprise requirements. Authorized Access only This system is the property of So-&-So-Enterprise. UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED. You must have explicit permission to access this device. All activities performed on this device are logged. Any violations of access policy will result in disciplinary action. Enter the security banner {Put the banner between k and k, where k is any character}: $ Unauthorized Access Prohibited $ Enable secret is either not configured or is the same as enable password Enter the new enable secret: cisco12345 Confirm the enable secret : cisco12345 Enter the new enable password: cisco67890 Confirm the enable password: cisco67890 Configuration of local user database Enter the username: admin Enter the password: cisco12345 Confirm the password: cisco12345 Configuring AAA local authentication Configuring Console, Aux and VTY lines for local authentication, exec-timeout, and transport Securing device against Login Attacks Configure the following parameters Blocking Period when Login Attack detected: 60 Maximum Login failures with the device: 2 Maximum time period for crossing the failed login attempts: 30 Configure SSH server? [yes]: no Configuring interface specific AutoSecure services Disabling the following ip services on all interfaces: no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply Disabling mop on Ethernet interfaces Securing Forwarding plane services... Enabling CEF (This might impact the memory requirements for your platform) Enabling unicast rpf on all interfaces connected to internet CFI_Site_Paris

16 CFI_Site_Paris Configure CBAC Firewall feature? [yes/no]: yes
This is the configuration generated: no service finger no service pad no service udp-small-servers no service tcp-small-servers service password-encryption service tcp-keepalives-in service tcp-keepalives-out no cdp run no ip bootp server no ip http server no ip finger no ip source-route no ip gratuitous-arps no ip identd banner motd ^C Unauthorized Access Prohibited ^C security authentication failure rate 10 log enable secret 5 $1$m.de$Mp5tQr/I8W5VhuQoG6AoA1 enable password F1C E415C47 username admin password D E731F1A5C aaa new-model aaa authentication login local_auth local line con 0 login authentication local_auth exec-timeout 5 0 transport output telnet line aux 0 exec-timeout 10 0 line vty 0 4 transport input telnet line tty 1 exec-timeout 15 0 login block-for 60 attempts 2 within 30 service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone logging facility local2 logging trap debugging service sequence-numbers logging console critical logging buffered interface FastEthernet0/0 no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply no mop enabled CFI_Site_Paris

17 CFI_Site_Paris interface FastEthernet0/1 no ip redirects
no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply no mop enabled interface Serial0/0/0 interface Serial0/0/1 interface Vlan1 access-list 100 permit udp any any eq bootpc ip verify unicast source reachable-via rx allow-default 100 ip inspect audit-trail ip inspect dns-timeout 7 ip inspect tcp idle-time 14400 ip inspect udp idle-time 1800 ip inspect name autosec_inspect cuseeme timeout 3600 ip inspect name autosec_inspect ftp timeout 3600 ip inspect name autosec_inspect http timeout 3600 ip inspect name autosec_inspect rcmd timeout 3600 ip inspect name autosec_inspect realaudio timeout 3600 ip inspect name autosec_inspect smtp timeout 3600 ip inspect name autosec_inspect tftp timeout 30 ip inspect name autosec_inspect udp timeout 15 ip inspect name autosec_inspect tcp timeout 3600 ip access-list extended autosec_firewall_acl permit udp any any eq bootpc deny ip any any ip inspect autosec_inspect out ip access-group autosec_firewall_acl in ! end Apply this configuration to running-config? [yes]: yes Applying the config generated to running-config R1# 000043: *Dec 29 21:28: UTC: %AUTOSEC-1-MODIFIED: AutoSecure configuration has been Modified on this device CFI_Site_Paris

18 Etape 2: Configuration du pare-feu R1 pour autoriser les mises à jour EIGRP Le pare-feu AutoSecure CBAC sur R1 ne permet pas les hellos EIGRP et les associations de voisins de se faire et par conséquents aucune mise à jour ne sera reçue ou envoyée. Comme les mises à jour EIGRP sont bloquées, R1 ne connaît pas les réseaux /30 et /24 et R2 ne connaît pas le réseau / Note: Quand vous configurez le pare-feu ZBF sur R3 en partie 3 de ce lab, SDM offre l'option d'autoriser la réception des mises à jour de routage EIGRP sur R3. a. Affichez l'ACL étendue appelée autosec-firewall_acl laquelle est appliquée en entrée sur S0/0/0. R1#show access-list autosec_firewall_acl Extended IP access list autosec_firewall_acl 10 permit udp any any eq bootpc 20 deny ip any any (10) b. Notez les 10 correspondances sur l'ACL ligne 20. Ceci correspond à quel résultat?____________________________________________________________________ c. Configurez R1 pour qu'il autorise les mises à jour EIGRP en ajoutant une instruction à l'ACL étendue autosec_firewall_acl pour permettre le protocole EIGRP. R1(config)#ip access-list extended autosec_firewall_acl R1(config-ext-nacl)#15 permit eigrp any any R1(config-ext-nacl)#end d. Affichez de nouveau l'ACL étendue autosec-firewall_acl. 15 permit eigrp any any (5) Notez que maintenant il y a de l'activité de paquets EIGRP pour l'instruction 15 de l'ACL. Etape 3: Sauvegarde de la configuration courante de R1. Entrez la commande suivante en mode EXEC privilégié pour sauvegarder la configuration courante. R1# copy running-config startup-config CFI_Site_Paris

19 Etape 4: Scrutation des ports ouverts sur R1 en utilisant Nmap à partir du host
externe PC-C. a. A partir du host externe PC-C, utilisez Nmap-Zenmap pour scruter R1 à l'adresse cible Acceptez les commandes Nmap entrées par défaut dans la fenêtre Command. Utilisez le profil Intense scan. b. Cliquez sur le bouton Scan pour commencer la scrutation. Maintenant que le pare-feu R1 CBAC est en place, quels sont les services disponibles sur R1 et quel est l'état de R1 vu du host externe PC-C. Tâche 3: Revoir la configuration AutoSecure CBAC Etape 1: Revoir les commandes qui ont été délivrées au routeur R1. a. Affichez la configuration courante de R1. La sortie pour AutoSecure est similaire à celle de la Tâche 2, Etape b. Quel est le type de la majorité des commandes entrées lié à CBAC? ______________________________________________________________________________ c. CBAC crée des règles pour tracer les flux TCP et UDP en utilisant la commande ip inspect name name protocol. A quelle interface le nom autosec_inspect est-il appliqué et dans quel sens? CFI_Site_Paris

20 Tâche 4: Vérification de la fonctionnalité CBAC
Etape 2: Affichage des protocoles disponibles avec la commande ip inspect a. Pour voir les protocoles disponibles, entrez la commande ip inspect name name ?. Note: La majorité des protocoles listés sont des protocoles de couche application. les dernières versions de l'IOS Cisco ont plus de protocoles listés. R1(config)# ip inspect name autosec_inspect ? iapp IEEE WLANs WG IAPP ace-svr ACE Server/Propagation appfw Application Firewall appleqtc Apple QuickTime bgp Border Gateway Protocol biff Biff mail notification bittorrent bittorrent <Partie supprimée> b. Combien de protocoles peuvent être configurés pour l'inspection?_____________ c. Référez-vous à la sortie de la configuration courante ou à la sortie AutoSecure de la Tâche 2, Etape 1. Quels protocoles AutoSecure a-t-il configuré pour qu'ils soient inspectés en sortie sur l'interface S0/0/0. ______________________________________________________________________________ d. A quelle interface l'ACL autosec_firewall_acl est-elle appliquée et dans quel sens? _______________________________________________________________________ e. Quel est le but de l'ACL autosec_firewall_acl? Tâche 4: Vérification de la fonctionnalité CBAC Pour les protocoles identifiés comme devant être inspectés, le pare-feu CBAC autorise le trafic en retour pour les connexions initiées depuis l'intérieur mais bloque toutes les autres connexions issues de l'extérieur. Etape 1: Depuis PC-A faire un ping de l'interface du LAN interne de R a. Faire un ping depuis PC-A vers l'interface Fa0/1 de R1 à l'adresse C:\>ping b. Est-ce que la commande réussit? Pourquoi? _________________________________ Etape 2: Depuis PC-A faire un ping vers l'interface WAN externe de R2. a. Faire un ping depuis PC-A vers l'interface S0/0/0 de R1 à l'adresse IP C:\>ping _____________________________________________________________________________ CFI_Site_Paris

21 Etape 3: Ajout de ICMP à la liste autosec_inspect.
A partir du mode de configuration global, configurez R1 pour qu'il inspecte ICMP et autorise les réponses ICMP depuis les host externes. R1(config)#ip inspect name autosec_inspect icmp timeout 5 Etape 4: Depuis PC-A faire un ping vers l'interface WAN externe de R2. a. Faire un ping depuis PC-A vers l'interface S0/0/0 de R1 à l'adresse IP C:\>ping b. Est-ce que la commande réussit? Pourquoi? _________________________________ _____________________________________________________________________________ c. Retirez ICMP de la liste inspect. Ceci restaure la configuration CBAC vers celle générée par AutoSecure R1(config)#no ip inspect name autosec_inspect icmp timeout 5 Etape 5: Test de l'accès Telnet de R2 vers R1. a. A partir du routeur externe R2 faire un Telnet vers R1 à l'adresse IP R2>telnet Trying % Connection timed out; remote host not responding Etape 6: Configuration de R1 pour permettre l'accès Telnet à partir de hosts externes a. Affichez l'ACL étendue nommée autosec_firewall_acl qui est appliquée à l'interface S0/0/0 de R1 en entrée. R1#show access-list autosec_firewall_acl Extended IP access list autosec_firewall_acl 10 permit udp any any eq bootpc 15 permit eigrp any any (15) 20 deny ip any any (57 matches) b. Notez les 57 correspondances de l'ACL ligne 20. A quoi cela correspond-t-il? __________________________________________________________________________ c. Configurez R1 pour permettre l'accès Telnet en ajoutant l'instruction qui permet TCP port 23 (Telnet) à l'ACL étendue autosec_firewall_acl. R1(config)#ip access-list extended autosec_firewall_acl R1(config-ext-nacl)#18 permit tcp any any eq 23 R1(config-ext-nacl)#end CFI_Site_Paris

22 d. A partir du routeur externe R2 faire de nouveau un Telnet vers R1 à l'adresse
IP R2>telnet Trying Open Unauthorized Access Prohibited User Access Verification Username: admin password: cisco12345 R1> e. A partir de la session Telnet ouverte sur R1, affichée l'ACL étendue modifiée autosec_firewall_acl R1>show access-list autosec_firewall_acl Extended IP access list autosec_firewall_acl 10 permit udp any any eq bootpc 15 permit eigrp any any (25) 18 permit tcp any any eq telnet (12 matches) 20 deny ip any any (57 matches) f. Notez la nouvelle ligne 18 dans l'ACL et les 12 correspondances. Que cela représente-t-il?_________________________________________________________ g. Retirez l'accès Telnet externe de l'ACL du pare-feu R1. R1(config)#ip access-list extended autosec_firewall_acl R1(config-ext-nacl)#no 18 permit tcp any any eq telnet R1(config-ext-nacl)#end Note: SSH est recommandé à la place de Telnet car il fournit un moyen plus sécurisé pour autoriser un accès d'administration distant à un routeur ou à tout autre équipement réseau. SSH fournit une communication cryptée mais une configuration additionnelle est requise pour supporter la connexion SSH. Etape 7: Test de l'accès à partir du host interne PC-A ver le routeur externe R2. a. A partir de PC-A faire un Telnet vers R2 à l'adresse IP C:\>telnet b. Est-ce que la commande réussit? Pourquoi? _________________________________ _____________________________________________________________________________ c. Connectez-vous à R2 en fournissant le mot de passe vty ciscovtypass. e. Laissez la session Telnet ouverte. CFI_Site_Paris

23 Tâche 5: Vérification de la configuration et du fonctionnement de CBAC
Etape 1: Affichage de l'information d'inspection CBAC. a. Utilisez la commande show inspect all pour voir la configuration et l'état d'inspection. R1#show ip inspect all Session audit trail is enabled Session alert is enabled one-minute (sampling period) thresholds are [unlimited : unlimited] connections max-incomplete sessions thresholds are [unlimited : unlimited] max-incomplete tcp connections per host is unlimited. Block-time 0 minute. tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec tcp idle-time is sec -- udp idle-time is 1800 sec tcp reassembly queue length 16; timeout 5 sec; memory-limit 1024 kilo bytes dns-timeout is 7 sec Inspection Rule Configuration Inspection name autosec_inspect cuseeme alert is on audit-trail is on timeout 3600 ftp alert is on audit-trail is on timeout 3600 http alert is on audit-trail is on timeout 3600 rcmd alert is on audit-trail is on timeout 3600 smtp max-data alert is on audit-trail is on timeout 3600 tftp alert is on audit-trail is on timeout 30 udp alert is on audit-trail is on timeout 15 tcp alert is on audit-trail is on timeout 3600 Interface Configuration Interface Serial0/0/0 Inbound inspection rule is not set Outgoing inspection rule is autosec_inspect realaudio alert is on audit-trail is on timeout 3600 Inbound access list is autosec_firewall_acl Outgoing access list is not set Established Sessions Session 6556C128 ( :1185)=>( :23) tcp SIS_OPEN b. Dans la section Established Sessions, Quelle est l'adresse IP source et le numéro de port pour la Session 655C128? ________________________________________________________________________________ c. Quelle est l'adresse IP destination et quel est le numéro de port pour la Session 655C128?____________________________________________________________________ CFI_Site_Paris

24 Etape 2: Voir l'information détaillée de la session.
a. Affichez l'information détaillée de session en utilisant la commande show ip inspect sessions detail sur R1. R1#show ip inspect sessions detail Established Sessions Session 6556C128 ( :1185)=>( :23) tcp SIS_OPEN Created 00:00:09, Last heard 00:00:02 Bytes sent (initiator:responder) [45:154] In SID [23:23]=> [1185:1185] on ACL autosec_firewall_acl (19 matches) b. Fermez la session Telnet quand vous avez fini de vérifier le fonctionnement de CBAC. Partie 3: Configuration d'un pare-feu basé sur la zone (ZBF) en utilisant SDM. Dans cette partie du lab, vous configurez un pare-feu basé sur zone (ZBF) sur R3 en utilisant SDM. Tâche 1: Vérification de l'accès au LAN de R3 à partir de R2. Dans cette tâche, vous vérifiez que sans pare-feu en place, que le routeur externe R2 peut accéder à l'interface S0/0/0 de R3 et à PC-C sur le LAN interne de R3. Etape 1: Faire un ping depuis R2 vers R3. a. A partir de R2 faire un ping vers l'interface S0/0/0 de R3 à l'adresse IP R2#ping b. Est-ce que la commande ping réussit?_________________________________________ Si la commande ping échoue, résoudre le problème avant de continuer. Etape 2: Faire un ping depuis R2 vers PC-C sur LAN de R3. a. A partir de R2 faire un ping vers PC-C sur le LAN de R3 à l'adresse IP R2#ping Si la commande ping échoue, résoudre le problème avant de continuer. Etape 3: Affichage de la configuration courante avant l'utilisation de SDM. a. Entrez la commande show run pour afficher la nouvelle configuration courante de base sur R3. b. Vérifiez la configuration courante de R3 par rapport à celle de la Partie 1 de ce lab. Y-a-t-il des commandes de sécurité liées au contrôle d'accès?____________ CFI_Site_Paris

25 Tâche 2: Création d'une stratégie de pare-feu basé sur la zone.
Dans cette tâche, vous utilisez Cisco SDM pour créer une stratégie de pare-feu basé sur la zone sur R3. Etape 1: Configuration du mot de passe enable secret et de l'accès HTTP au routeur avant de lancer SDM. a. A partir de la CLI configurez le mot de passe enable secret pour l'utilisation de SDM sur R3. R3(config)#enable secret cisco12345 b. Validez le serveur HTTP sur R3. R3(config)# ip http server Etape 2: Accédez au SDM et fixez les préférences de délivrance de commande. a. Lancer l'application SDM ou ouvrez un navigateur web sur PC-C et démarrez SDM en entrant l'adresse IP de R dans le champ adresse. b. Connectez-vous sans nom d'utilisateur et avec le mot de passe enable secret cisco c. Dans la boîte de dialogue "Password Needed - Networking", entrez cisco12345 dans le champ Password puis cliquez sur Yes. d. Sélectionnez Edit> Preferences pour configurer SDM pour qu'il permettre de visualiser les commandes avant de les transmettre au routeur. Dans la fenêtre User Preferences cochez la case Preview commands before delivering to router puis cliquez sur OK. Etape 3: Utilisez l'assistant pare-feu SDM pour configurer un pare-feu basé sur la zone. a. Sur la page d'accueil du SDM, Référez-vous à la partie Configuration Overview de l'écran. Quel est l'état de Firewall Policies?_________________________________ ______________________________________________________________________________ b. Cliquez sur le bouton Configure en haut de l'écran du SDM puis cliquez sur Firewall and ACL. Lisez les présentations générales pour les options Basic et Advanced Firewall. Quelles sont quelques unes des différences essentielles? __________________________________________________________________________ CFI_Site_Paris

26 c. Sélectionnez Basic Firewall puis cliquez sur le bouton Launch the selected
task. d. Dans la fenêtre de l'assistant Basic Firewall Configuration, mettez vous au courant de ce que fait Basic Firewall. Que fait Basic Firewall avec le trafic issu des zones externes qui va vers les zones internes?____________________________ e. Cliquez sur Next pour continuer. f. Cochez la case Inside(trusted) pour FastEthernet0/1 et la case Outside (untrusted) pour Serial0/0/1. Cliquez sur Next. CFI_Site_Paris

27 g. Cliquez sur OK quand le message d'avertissement vous indique que vous ne
pourrez plus lancer SDM à partir de l'interface S0/0/1 après que l'assistant ait terminé. h. Déplacez le curseur sur High, Medium et Low Security pour vous familiariser avec ce que chaque niveau fournit. Quelle est la principale différence entre High Security et Medium ou Low Security? ________________________________ __________________________________________________________________________ i. Placez le curseur sur Low Security puis cliquez sur Preview Commands pour visualiser les commandes qui sont délivrées au routeur. Quand vous avez fini de revoir les commandes, cliquez sur Close puis sur Next. j. Relisez Firewall Configuration Summary. Que fournit cet affichage?__________ ____________________________________________________________________________ k. Cliquez sur Finish pour terminer l'assistant Firewall. l. Quand la fenêtre Routing Traffic configuration s'affiche, assurez-vous que la case Allow EIGRP updates to come through the firewall est cochée puis cliquez sur OK. Note: Cet écran s'affiche uniquement si un protocole de routage dynamique est configuré. m. Que se passerait-il si cette case n'était pas cochée?____________________________ _______________________________________________________________ n. Quels sont les autres protocoles de routage dont les mises à jour sont autorisées par le pare-feu?___________________________________________________ _____________________________________________________________________________ o. Dans la fenêtre Deliver Configuration to Router, assurez-vous que la case Save running configuration to router's startup config est cochée puis cliquez sur Deliver. CFI_Site_Paris

28 p. Cliquez sur OK dans la fenêtre Commands Delivey Status. Combien de
commandes ont été générées par l'assistant de Firewall?______________________ q. Cliquez sur OK pour affichez le message indiquant que vous avez configuré le pare-feu avec succès sur le routeur. Cliquez sur OK pour fermer la fenêtre du message. r. La fenêtre Edit Firewall Policy s'affiche avec le Rule Diagram. s. Dans Rule Diagram, localisez la liste d'accès 100 (icône dossier). Quelle action est prise et quelles options de règle sont appliquées au trafic avec une adresse source invalide dans l'intervalle /8?________________________________ _____________________________________________________________________________ Tâche 3: Revoir la configuration de Pare-feu basé sur la zone Etape 1: Examen de la configuration courante de R3 avec la CLI. a. A partir de la CLI de R3, affichez la configuration courante pour voir les changements faits par l'assistant SDM Basic Firewall dans le routeur. CFI_Site_Paris

29 b. Les commandes suivantes sont liées à l'ACL 100 et class-map sdm-invalid-
source. class-map type inspect match-all sdm-invalid-src match access-group 100 policy-map type inspect sdm-inspect class type inspect sdm-invalid-src drop log <partie supprimée> access-list 100 remark SDM_ACL Category=128 access-list 100 permit ip host any access-list 100 permit ip any access-list 100 permit ip any c. Dans l'ACL, notez que les adresses source listées sont permises. L'ACL utilise des instructions permit pour identifier ces adresses comme un groupe ainsi elles peuvent être comparées avec la commande class-map type inspect match-all sdm-invalid-src et ensuite éliminées et logguées par la commande class type inspect sdm-invalid-src qui est un des types de classe spécifié pour sdm-inspect policy-map. d. Entrez la commande show run | begin EIGRP pour afficher les lignes de la configuration courante qui contiennent la première occurrence de "EIGRP". Continuez avec la touche Enter jusqu'à ce que vous ayez vu toutes les commandes qui sont liées au protocole de routage EIGRP dans la configuration du pare-feu sur R3. Vous devez voir les commandes suivantes: class-map type inspect match-any SDM_EIGRP match access-group name SDM_EIGRP class-map type inspect match-any SDM_EIGRP_TRAFFIC match class-map SDM_EIGRP class-map type inspect match-all SDM_EIGRP_PT policy-map type inspect sdm-permit class type inspect SDM_EIGRP_PT pass class class-default drop Etape 2: Examen de la configuration du pare-feu en utilisant SDM. a. Revenez à la page d'accueil du SDM (Home) . Référez-vous à la partie Configuration Overview de l'écran. Quel est l'état de Firewall Policies? __________________________________________________________________________ b. Cliquez sur la flèche double vers le bas sur la droite de la section Firewall Policies. Qu'est-il affiché?_________________________________________________ CFI_Site_Paris

30 interdites telles l'adresse de broadcast 255.255.255.255 et le réseau
c. Cliquez sur le bouton Configure et sélectionnez Additional Tasks> ACL Editor> Firewall Rules. Il doit y avoir une ACL qui liste les adresses source interdites telles l'adresse de broadcast et le réseau /8. Celles-ci ont été identifiées dans la sortie de la configuration courante Tâche 3, Etape 1b. d. Cliquez sur le bouton Configure et sélectionnez Additional Task> Zones pour vérifier la configuration des zones. Quelles interfaces sont listées et quelle est la zone de chacune d'elles?__________________________________________________ _____________________________________________________________________________ e. Cliquez sur le bouton Configure et sélectionnez Additional Task> Zones Pairs pour vérifier la configuration des paires de zones. Remplissez le tableau suivant. Paire de zones Source Destination Stratégie f. Cliquez sur le bouton Configure et sélectionnez Additional Tasks> C3PL. g. Quel est le rôle de C3PL?____________________________________________________ h. Développez le menu C3PL puis sélectionnez Class Map> inspection. Combien de class maps ont été créées par l'assistant SDM Firewall?___________________ i. Sélectionnez C3PL> Policy Map> Protocol Inspection. Combien de policy maps ont été créées par l'assistant SDM Firewall?____________________________ j. Examinez les détails de la policy map sdm-permit qui est appliquée à la paire de zones sdm-zp-out-self. Remplissez les lignes ci-dessous. Listez l'action pour le trafic correspondant à chacune des class maps référencées avec la sdm-permit policy map. Match Class Name: ______________________ Action: ___________ CFI_Site_Paris

31 Tâche 4: Vérification du fonctionnement du routage EIGRP sur R3
Etape 1: Affichage de la table de routage de R3 en utilisant la CLI a. Dans la Tâche 2-Etape 3, l'assistant de pare-feu a configuré le routeur pour qu'il autorise les mises à jour EIGRP. Vérifiez que les messages EIGRP sont toujours échangés en utilisant la commande show ip route et vérifiez qu'il y a toujours des routes apprises par EIGRP dans la table de routage R3#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area <Partie supprimée> Gateway of last resort is not set /30 is subnetted, 2 subnets C is directly connected, Serial0/0/1 D [90/ ] via , 00:34:12, Serial0/0/1 D /24 [90/ ] via , 00:32:16, Serial0/0/1 C /24 is directly connected, FastEthernet0/1 b. Quels réseaux R3 a-t-il appris via le protocole de routage EIGRP? ______________________________________________________________________________ Tâche 5: Vérification de la fonctionnalité de Pare-feu basé sur la zone Etape 1: A partir de PC-C, faire un ping vers l'interface LAN de R3. a. A partir de PC-C faire un ping vers l'interface Fa0/1 de R3 à l'adresse IP C:\> ping b. La commande ping réussit-elle? Pourquoi?____________________________________ Etape 2: A partir de PC-C, faire un ping vers l'interface WAN de R2. a. A partir de PC-C faire un ping vers l'interface S0/0/0 de R2 à l'adresse IP C:\>ping Etape 3: A partir de R2 faire un ping vers PC-C. a. A partir de R2 faire un ping vers PC-C à l'adresse IP R2# ping CFI_Site_Paris

32 Etape 4: Ouverture d'une session Telnet depuis R2 vers R3. a
Etape 4: Ouverture d'une session Telnet depuis R2 vers R a. A partir de R2 ouvrir une session Telnet vers R3 à l'adresse IP R2#telnet Trying Open Trying % Connection timed out; remote host not responding b. La commande telnet échoue? Pourquoi?____________________________________ Etape 5: Ouverture d'une session Telnet depuis PC-C vers le routeur externe R2. a. A partir de PC-C ouvrir une session Telnet vers R2 à l'adresse IP et connectez-vous au routeur. C:\>telnet User Access verification Password: ciscovtypass b. Avec la session Telnet ouverte de PC-C vers R2, entrez en mode EXEC privilégié avec la commande enable et le mot de passe cisco12345. c. Entre la commande show policy-map type inspect zone-pair session sur R3. Continuez à dérouler avec la touche Enter jusqu'à ce que vous voyez une section Inspect Established session vers la fin. La sortie doit être similaire à la suivante: Inspect Number of Established Sessions = 1 Established Sessions Session C0 ( :1274)=>( :23) tacacs:tcp SIS_OPEN Created 00:01:20, Last heard 00:01:13 Bytes sent (initiator:responder) [45:65] d. Dans Established Sessions, quelle est l'adresse IP source et le numéro de port pour la Session C0? ______________________________________________________________________ e. Quelle est l'adresse IP destination et le numéro de port number pour Session 657344C0? _______________________________________________________________________ CFI_Site_Paris

33 Etape 6: Vérification de la fonction ZBF en utilisant SDM Monitor.
a. Dans SDM cliquez sur le bouton Monitor dans le haut de l'écran puis sélectionnez Firewall Status. b. Sélectionnez la stratégie sdm-zp-out-self de la liste des stratégies. Cette stratégie s'applique au trafic venant de la zone externe vers la zone routeur (self) c. Vérifiez que Active Sessions est sélectionné et que l'intervalle de vue est fixé à Real-time data every 10 sec. Cliquez sur le bouton Monitor Policy pour démarrer la supervision du trafic de la zone externe vers la zone interne. d. A partir de la CLI de R2, faire un ping vers l'interface S0/0/1 de R3 à l'adresse IP Le ping doit échouer. e. A partir de la CLI de R2, ouvrez une session Telnet vers l'interface S0/0/1 de R3 à l'adresse IP L'ouverture de session Telnet doit échouer f. Cliquez sur l'option Dropped Packets et observer le graphe montrant le nombre de paquets éliminés qui sont le résultat du ping et de la session Telnet qui ont échoué. L'écran doit être similaire au suivant: CFI_Site_Paris

34 g. Cliquez sur l'option Allowed Packets et observer le graphe montrant le nombre
de paquets EIGRP reçus du routeur R2. Ce nombre va continuer à croître au rythme constant des mises à jour EIGRP venant de R2. h. Cliquez sur Stop Monitoring et fermez SDM. CFI_Site_Paris

35 Tâche 6: Réflexion Quels sont les facteurs à prendre en compte quand on configure des pare-feu en utilisant des méthodes manuelles traditionnelles comme la CLI par rapport à des méthodes automatisées comme AutoSecure CBAC et l'interface graphique de l'assistant SDM Firewall? ______________________________________________________________________________ CFI_Site_Paris


Télécharger ppt "Pare-feu basé sur la zone"

Présentations similaires


Annonces Google