La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

CBAC - Introduction et Configuration

Présentations similaires


Présentation au sujet: "CBAC - Introduction et Configuration"— Transcription de la présentation:

1 CBAC - Introduction et Configuration
ccnp_cch ccnp_cch

2 Sommaire • Introduction • Prérequis • Rappel
• Quel trafic voulez-vous laisser sortir? • Quel trafic voulez-vous laisser entrer? Liste de contrôle d'accès IP étendue Liste de contrôle d'accès IP étendue 102 - Liste de contrôle d'accès IP étendue 102 modifiée • Quel trafic voulez-vous inspecter? ccnp_cch

3 Introduction ccnp_cch
La fonctionnalité CBAC (Context-Based Access Control) de l'ensemble des fonctionnali- tés de l'IOS Cisco Firewall inspecte l'activité de trafic derrière le pare-feu. CBAC spéci- fie le trafic qui doit pouvoir entrer et le trafic qui doit pouvoir sortir en utilisant des lis- tes d'accès (de la même manière que l'IOS Cisco les utilise). Cependant les listes d'accès CBAC comprennent des instructions inspect qui autorisent l'inspection du protocole afin de s'assurer qu'il n'a pas été corrompu avant que celui-ci passe vers les systèmes situés derrière le pare-feu. Prérequis Il n'y a aucun prérequis nécessaire et ce document n'est pas restreint à une version de logiciel ou à une plateforme matérielle. Rappel CBAC peut être également utilisé avec NAT (Network Address Translation) mais ce docu- ment fait référence uniquement à l'inspection. Si vous utilisez NAT, votre liste d'accès a besoin de refléter les adresses globales et non les adresses réelles. Avant de configurer, il faut se poser les questions qui seront traitées dans les sections suivantes: • Quel trafic voulez-vous laisser sortir? • Quel trafic voulez-vous laisser entrer? • Quel trafic voulez-vous inspecter? Quel trafic voulez-vous laisser sortir? Le trafic que vous voulez laisser sortir dépend de la politique de sécurité de votre site mais dans cet exemple très général tout est permis en sortie. Si votre liste d'accès re- jette tout alors aucun trafic ne pourra sortir. Vous spécifiez le trafic sortant en utilisant une liste d'accès IP étendue comme suit: access-list 101 permit ip [source-network] [source-mask] any access-list 101 deny ip any any Quel trafic voulez-vous laisser sortir? Le trafic que vous voulez laisser sortir dépend de la politique de sécurité de votre site mais la réponse logique est tout ce qui ne nuit pas à votre réseau. Dans cet exemple, il y a une liste de trafics qui semble logique de laisser entrer. Le tra- fic ICMP (Internet Control Message Protocol) est également acceptable mais peut per- mettre certaines attaques de type DoS. L'exemple suivant est une liste d'accès IP pour du trafic entrant. ccnp_cch

4 Liste de contrôle d'accès IP étendue 101 access-list 101 permit tcp 10
Liste de contrôle d'accès IP étendue access-list 101 permit tcp any access-list 101 permit udp any access-list 101 permit icmp any access-list 101 deny ip any any permit tcp any (84 matches) permit udp any permit icmp any (3 matches) deny ip any any Liste de contrôle d'accès IP étendue access-list 102 permit eigrp any any access-list 102 permit icmp any echo-reply access-list 102 permit icmp any unreachable access-list 102 permit icmp any administratively- prohibited access-list 102 permit icmp any packet-too-big access-list 102 permit icmp any echo access-list 102 permit icmp any time-exceeded access-list 102 deny ip any any permit eigrp any any (486 matches) permit icmp any echo-reply (1 match) permit icmp any unreachable permit icmp any administratively-prohibited permit icmp any packet-too-big permit icmp any echo (1 match) permit icmp any time-exceeded deny ip any any (62 matches) La liste d'accès 101 est pour le trafic sortant. La liste d'accès 102 est pour le trafic en- trant. Les listes d'accès permettent uniquement un protocole de routage (EIGRP) et un trafic ICMP spécifique en entrée. Dans cet exemple, un serveur situé côté Ethernet du routeur n'est pas accessible à par- tir d'Internet. La liste d'accès empêche l'établissement d'une session. Pour le rendre ac- cessible, la liste d'accès doit être modifiée pour permettre l'établissement d'une session. Pour modifier une liste d'accès, vous devez retirer la liste d'accès, l'éditer et réappliquer cette liste d'accès modifiée. Note: La raison du retrait de la liste d'accès 102 avant de l'éditer et de la réappliquer est due à l'instruction "deny ip any any" à la fin de la liste d'accès. Dans ce cas, si nous avions ajouté une nouvelle entrée avant de retirer la liste d'accès, la nouvelle entrée serait apparue après la dernière ligne et par conséquent ne serait jamais vérifiée. ccnp_cch

5 Cet exemple ajoute le protocole SMTP uniquement pour 10. 10. 10. 1
Cet exemple ajoute le protocole SMTP uniquement pour Liste de contrôle d'accès IP étendue 102 modifiée permit eigrp any any (385 matches) permit icmp any echo-reply permit icmp any unreachable permit icmp any administratively-prohibited permit icmp any packet-too-big permit icmp any echo permit icmp any time-exceeded permit tcp any host eq smtp (142 matches) Quel trafic voulez-vous inspecter? CBAC dans l'IOS Cisco supporte les trafics suivants: Acronyme Protocole cuseeme Protocole CUSeeMe ftp Protocole FTP h323 Protocole H23 ( Microsoft NetMeeting ou Intel Video Phone) http Protocole HTTP rcmd Commandes R ( Rlogin, Rexec, Rsh) realaudio Protocole Real Audio rpc Protocole RPC smtp Protocole SMTP sqlnet Protocole SQL Net streamworks Protocole Streamworks tcp Protocole TCP tftp Protocole TFTP udp Protocole UDP vdolive Protocole VDOLive ccnp_cch

6 Chaque protocole est repéré par un acronyme
Chaque protocole est repéré par un acronyme. Vous utilisez cet acronyme pour indiquer quel protocole doit être inspecté sur une interface. Par exemple la configuration ci-des- sous inspecte FTP, SMTP et Telnet. Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip inspect name mysite ftp Router1(config)#ip inspect name mysite smtp Router1(config)#ip inspect name mysite tcp Router1#show ip inspect config Session audit trail is disabled one-minute (sampling period) thresholds are [400:500]connections max-incomplete sessions thresholds are [400:500] max-incomplete tcp connections per host is 50. Block-time 0 minute. tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec tcp idle-time is 3600 sec -- udp idle-time is 30 sec dns-timeout is 5 sec Inspection Rule Configuration Inspection name mysite ftp timeout 3600 smtp timeout 3600 tcp timeout 3600 Dans ce document vous avez été informé du trafic que vous voulez laissez sortir, du trafic que vous voulez laissez entrer et du trafic que vous voulez inspecter. Maintenant que vous êtes prêts à configurer CBAC, suivez ces étapes: Appliquez la configuration Entrez les listes d'accès telles qu'elles sont configurées ci-dessus Configurez les instructions d'inspections Appliquez les listes d'accès aux interfaces Après les étapes ci-dessus, votre configuration doit ressembler à celle du schéma et des configurations suivants: INSIDE OUTSIDE Serveur SMTP S Frame Relay Router1 E Serveur ccnp_cch

7 Configuration CBAC Router1
version 11.2 no service password-encryption service udp-small-servers service tcp-small-servers ! hostname Router1 ! no ip domain-lookup ! ip inspect name mysite ftp ip inspect name mysite smtp ip inspect name mysite tcp interface Ethernet0 ip address ip access-group 101 in ip inspect mysite in interface Serial0 no ip address encapsulation frame-relay no fair-queue interface Serial0.1 point-to-point ip address ip access-group 102 in frame-relay interface-dlci 200 IETF router eigrp 69 network no auto-summary ip default-gateway ! no ip classless ! ip route ! access-list 101 permit tcp any access-list 101 permit udp any access-list 101 permit icmp any access-list 101 deny ip any any access-list 102 permit eigrp any any access-list 102 permit icmp any echo-reply access-list 102 permit icmp any unreachable access-list 102 permit icmp any administratively-prohibited ccnp_cch

8 access-list 102 permit icmp any 10.10.10.0 0.0.0.255 packet-too-big
access-list 102 permit icmp any echo access-list 102 permit icmp any time-exceeded access-list 102 permit tcp any host eq smtp access-list 102 deny ip any any ! line con 0 line vty 0 4 login end ccnp_cch


Télécharger ppt "CBAC - Introduction et Configuration"

Présentations similaires


Annonces Google