Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Configuration PIX avec deux Routeurs
ccnp_cch
2
Sommaire • Configuration • Concepts • Introduction
- Composants utilisés • Configuration - Schéma du réseau Configurations • Concepts • Protocoles de réseau non recommandés avec un pare-feu ccnp_cch
3
Introduction Configuration Composants utilisés ccnp_cch
Ce document illustre comment sécuriser un réseau constitué d'une combinaison de routeurs Cisco et d'un pare-feu PIX. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles suivantes : ● PIX Software version et suivantes Note : les commandes utilisées dans les autres versions de PIX varient légèrement. Référez-vous à la documentation du PIX avant d'implémenter cette configuration. Configuration Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Schéma du réseau Réseau /24 Ethernet 0 /24 RTRB RTRA PIX .2 .1 Internet d'entreprise Serveur Mail Serveur HTTP/FTP ccnp_cch /24
4
Configurations ccnp_cch PIX
!−−− Configure l'adresse externe du Firewall PIX. ip address outside !−−− Configure l'adresse interne du Firewall PIX. ip address inside !−−− Configure le pool global des hosts internes. global (outside) − !−−− Permet la traduction des adresses du réseau nat (inside) !−−− Configure une traduction statique pour une station !−−− d'administration avec l'adresse locale : static (inside,outside) !−−− Permet aux paquets syslog de traverser le à partir de RTRA. !−−− Vous pouvez utiliser les conduits ou les access−lists pour !--- autoriser le trafic. !−−− Les conduits ont été ajoutés pour montrer la commande bien !−−− qu'il soit recommandé d'utiliser les listes d'accès. !−−− Vers la station d'administration (serveur syslog) !−−− Utilisation de conduit: !−−− conduit permit udp host eq 514 host !−−− Utilisation d'access−list: Access−list 101 permit udp host host eq 514 Access−group 101 in interface outside !−−− Pour permettre les connexions mail entrantes vers static (inside, outside) !−−− Utilisation de conduits !−−− conduit permit TCP host eq smtp any !−−− Utilisation de listes d'accès, on utilise la liste d'accès 101 !−−− qui est déjà appliquée à l'interface externe. access−list 101 permit tcp any host eq smtp !−−− Le PIX a besoin de routes statiques ou d'utiliser des !--- protocoles de routage pour connaître les réseaux directement !−−− connectés. !−−− Ajouter une route pour le réseau /24. route inside !−−− Ajouter une route par défaut pour le reste du trafic à !--- destination d'Internet. Route outside ccnp_cch
5
!−−− Valide la fonction "Mail Guard" pour accepter uniquement les
!−−− sept commandes SMTP !−−− HELO, MAIL, RCPT, DATA, RSET, NOOP, and QUIT: !−−− (ceci peut être arrêté pour permettre ESMTP en utilisant la !−−− commande no fixup protocol smtp 25). fixup protocol smtp 25 !−−− Pour permettre Telnet à partir de la station interne à !--- l'adresse sur l'interface interne du PIX. telnet !−−− Active le logging. logging on !−−− Pour valider la catégorie de logging 20. logging facility 20 !−−− Pour valider le niveau 7. logging history 7 !−−− Pour valider le logging sur l'interface interne. logging host inside Note: RTRA est le routeur bouclier externe; il doit protéger le pare-feu des attaques di- rectes, protéger le serveur HTTP/FTP et agir comme système d'alarme. Si quelqu'un arrive à pénétrer RTRA, l'administrateur système doit être immédiatement averti. RTRA no service tcp small−servers !−−− Evite certaines attaques contre le routeur lui-même. logging trap debugging !−−− Force le routeur à transmettre un message vers le serveur !−−− syslog pour chaque évènement sur le routeur, incluant les !−−− paquets rejetés par une liste d'accès et les modifications !−−− de configuration. Il agit comme un système de première !−−− alerte pour l'administrateur système, lui indiquant que !−−− quelqu'un tente une intrusion ou a réussi à s'introduire !−−− pour essayer de créer un "trou" dans le pare-feu. ! logging !−−− Le routeur logge tous les évènements vers ce host qui dans !−−− ce cas est l'adresse externe traduite de la station de !−−− l'administrateur système. enable secret xxxxxxxxxxx interface Ethernet 0 ip address interface Serial 0 ip unnumbered ethernet 0 ip access−group 110 in !−−− Protège le PIX et le serveur HTTP/FTP des attaques. ccnp_cch
6
ccnp_cch access−list 110 deny ip 131.1.23.0 0.0.0.255 any log
!−−− RTRA et Pare-feu PIX. !−−− Empêche les attaques de type "spoofing". access−list 110 deny ip any host log !−−− Empêche les attaques directes contre l'interface externe du !−−− PIX et logge toute tentative de connexion à l'interface !−−− externe du PIX vers le serveur syslog. access−list 110 permit tcp any established !−−− Permet les paquets qui font partie d'une session TCP !−−− déjà établie. access−list 110 permit tcp any host eq ftp !−−− Autorise les connexions FTP dans le serveur FTP/HTTP. access−list 110 permit tcp any host eq ftp−data !−−− Autorise les connexions ftp−data dans le serveur FTP/HTTP. access−list 110 permit tcp any host eq www !−−− Autorise les connexions HTTP dans le serveur FTP/HTTP. access−list 110 deny ip any host log !−−− Interdit toutes autres connexions au serveur FTP/HTTP, !--- et logge toute tentative de connexion de ce serveur au !−−− serveur syslog. access−list 110 permit ip any !−−− Permet d'autre trafic destiné au réseau entre le PIX et RTRA. ! line vty 0 4 login password xxxxxxxxxx access−class 10 in !−−− Restreint l'accès Telnet au routeur aux adresses IP listées !−−− dans la liste d'accès 10, détaillée ci-dessous. access−list 10 permit ip !−−− Permet uniquement l'accès Telnet sur le routeur à la station !−−− de l'administrateur réseau; cette liste d'accès peut être !−−− modifiée pour permettre l'accès à partir d'Internet pour !−−− de la maintenance mais doit avoir le minimum d'entrées !--- possibles. Note: Le routeur RTRB est le routeur bouclier interne; il est la dernière défense dans votre système pare-feu et le point d'entrée de votre réseau interne. ccnp_cch
7
ccnp_cch RTRB logging trap debugging logging 10.14.8.50
!−−− Logge toute activité sur ce routeur vers le serveur syslog !−−− situé sur la station de l'administrateur y compris les !−−− modifications de configuration. ! interface Ethernet 0 ip address no ip proxy−arp ip access−group 110 in !−−− Empêche aux adresses internes et externes !−−− d'être mingling; garde contre les attaques lancées !−−− depuis le pare-feu PIX ou le serveur SMTP. access−list 110 permit udp host !−−− Permet les messages syslog destinés à la station de !−−− l'administrateur. access−list 110 deny ip host any log !−−− Rejette les autres paquets issus du pare-feu PIX. access−list permit tcp host eq smtp !−−− Permet les connexions du serveur SMTP vers les hosts internes. access−list deny ip host !−−− Rejette tout autre trafic issu du serveur mail. access−list deny ip any !−−− Empêche l'usurpation d'adresses sécurisées sur le réseau !−−− interne. access−list permit ip !−−− Permet tout autre traffic issu du réseau situé entre le !−−− pare-feu PIX et RTRB. line vty 0 4 login password xxxxxxxxxx access−class 10 in !−−− Restreint l'accès Telnet au routeur aux adresses IP listées !−−− dans la liste d'accès 10, détaillée ci-dessous. access−list 10 permit ip !−−− Permet uniquement l'accès Telnet sur le routeur à la station !−−− de l'administrateur réseau; cette liste d'accès peut être !−−− modifiée pour permettre l'accès à partir d'Internet pour !−−− de la maintenance mais doit avoir le minimum d'entrées !--- possibles. Aussi à cause du fait que ce n'est pas un réseau !−−− connecté, une route statique ou un protocole de routage doit !−−− être utilisé pour que le routeur connaisse le réseau x !−−− qui est à l'intérieur du réseau de l'entreprise. ccnp_cch
8
Concepts Rappelez-vous que le but des pare-feux est d'empêcher des entrées non autorisées dans votre réseau tout en autorisant le trafic désiré en même temps. Il est probable- ment plus aisé de commencer avec une analyse de quel pourrait être l'objectif d'une intrusion et ensuite de considérer comment rendre cette intrusion dans votre réseau difficile pour un criminel potentiel. Supposons dans ce cas présent que le criminel a en mémoire un serveur qui contient des informations qui seraient de grande valeur pour vos concurrents. L'adresse IP de ce serveur, que le criminel a apprise, est la suivante: Toute de suite, le criminel est face à un sérieux problème: l'adresse du serveur est une adresse qui ne peut pas être atteinte au travers d'Internet car cette adresse ne sera jamais acheminée dans Internet. Cela force le criminel soit à tenter de trouver quelle adresse est traduite sur Internet ( un bon administrateur système ne laissera jamais cette adresse traduite sur Internet) ou de s'introduire directement dans votre réseau dans le but d'obtenir un "camp de base" à partir duquel il attaquera le serveur conte- nant les données sensibles. Supposons que le criminel ne puisse trouver aucun moyen pour attaquer le serveur directement et ainsi commence à attaquer votre réseau pour pouvoir attaquer le serveur depuis l'intérieur de votre réseau. Le premier obstacle auquel votre criminel fait face est la DMZ (Demilitarized zone) qui est située entre RTRA et le pare-feu PIX. Le criminel peut tenter d'entrer dans RTRA mais le routeur est configuré pour accepter les connexions uniquement de la station d'administration et bloque toutes celles qui sont issues de la DMZ elle-même. Le crimi- nel n'est toujours pas entré dans le réseau et ne peut toujours pas attaquer le host contenant les données sensibles. Le criminel pourrait aussi tenter de s'introduire dans le serveur FTP/HTTP laquelle est une possibilité qu'il faut ragarder - ce host doit être sécurisé au maximum contre ce genre d'attaque. Si le criminel s'introduit dans le serveur FTP/HTTP, il ne sera toujours pas en position d'attaquer directement le host contiennent les données sensibles mais il sera en position d'attaquer directement le pare-feu PIX. Dans tous les cas les activi- tés du criminel devront être loggés très tôt dans le processus afin que l'administrateur système soit prévenu de la présence d'un intrus. Si l'attaquant arrive à s'introduire dans la DMZ externe, il se trouvera en position d'at- taquer le PIX et un peu plus; ainsi la seconde DMZ devient le prochain but à atteindre. Il peut atteindre ce but en attaquant le pare-feu PIX lui-même ou en attaquant RTRB qui est configuré pour accepter les sessions Telnet venant uniquement de la station d'administration. Une fois encore, les tentatives d'intrusion dans la DMZ d'origine se- ront loggées par le pare-feu PIX et RTRB ainsi l'administrateur système aura des aler- tes et sera capable de stopper cette attaque avant que l'attaquant arrive au point où il peut attaquer directement le serveur sensible. L'attaquant pourrait également traverser la DMZ externe et tenter une intrusion dans la DMZ origine en attaquant le serveur mail. Ce host est protégé par le pare-feu PIX et doit être protégé au travers d'une surveillance et d'une configuration soignées. C'est le point le plus vulnérable de tout le système. ccnp_cch
9
Protocoles de réseau non recommandés avec un pare-feu
comme vous pouvez le voir, le concept est de fournir plusieurs couches de défense plu- tôt qu'un seul "super pare-feu". Les éléments doivent se verrouiller entre eux en une seule structure de pare-feu solide qui est assez flexible pour permettre le trafic dont vous avez besoin mais également beaucoup d'alarmes et d'alertes précoces. Protocoles de réseau non recommandés avec un pare-feu Du à la nature inhérente de leur insécurité quelques protocoles de réseau ne sont ap- propriés pour fonctionner à travers des pare-feux à partir d'un réseau non sécurisé vers un réseau sécurisé. Des exemples de protocoles non sécurisés sont: ● NFS ● rlogin ● rsh ● tout protocole basé RPC De récentes versions du PIX ont le support des protocoles RPC inclus. Cisco décourage fortement cette capacité car RPC est vraiment très vulnérable. Cette fonctionnalité est faite pour être utilisée dans des cas très particuliers. ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.