Sécurité - Configuration de l'autorisation d'Applets Java

Présentation au sujet: "Sécurité - Configuration de l'autorisation d'Applets Java"— Transcription de la présentation:

1 Sécurité - Configuration de l'autorisation d'Applets Java
ccnp_cch

2 Sommaire - Introduction - Prérequis Versions de Matériel et de Logiciel - Rejeter les Applets Java issus d'Internet Configuration Schéma du réseau Configurations - Vérification - Résolution de problèmes ccnp_cch

3 Outside Fastethernet0/0
Introduction Cet exemple de configuration montre comment utiliser la fonctionnalité CBAC (Context Based Access Control) du pare-feu de l'IOS Cisco pour autoriser les Applets Java de si- tes spécifiques et interdire les autres Ce type de blocage rejette les Applets Java qui ne sont pas inclus dans un fichier com- pressé. Le pare-feu IOS Cisco a été introduit dans les versions et T. Prérequis Versions de Matériel et de Logiciel utilisées: Cette configuration a été réalisée et testée en utilisant les versions suivantes: • Cisco IOS Release C1700-k9o3sy T.bin • Cisco Routeur Rejeter les Applets issus d'Internet Suivre cette procédure: Créer les listes de contrôle d'accès (ACLs) Ajouter la commande ip inspect http java à la configuration Appliquer les commandes ip inspect et ip access-group à l'interface externe Note: Dans cet exemple, la liste d'accès 3 autorise les Applets Java issus d'un site re- connu ( ) et rejette implicitement les Applets Java issus d'autres sites. Les adresses affectées à l'interface externe du routeur ne sont pas des adresses Inter- net routables car cet exemple est configuré dans un environnement de laboratoire. Note: Remarquez qu'il n'est plus nécessaire d'appliquer la liste d'accès à l'interface si vous utilisez l'IOS Cisco T ou suivants. Ceci est documenté dans la nouvelle fonctionnalité "Firewall ACL Bypass". Configuration Dans cette section sont présentées les informations nécessaires pour la configuration des fonctionnalités décrites dans ce document Schéma du Réseau Réseau /24 Inside Ethernet1/ R_FW Outside Fastethernet0/0 Serveur Web 2 Non reconnu Internet Serveur Web ccnp_cch

4 ccnp_cch R_FW Current configuration: 1224 bytes
! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R_FW ! boot-start-maker boot-end-maker ! memory-size iomem 15 nmi polling-intervall 60 no nmi auto-configure no nmi pvc nmi snmp-timeout 180 no aaa new-model ip subnet-zero ! ip cef ! ip inspect name FW tcp ip inspect name FW udp ! !-- Liste d'accès pour Java ! ip inspect name FW http java-list 3 audit-trail on ip ips po max-events 100 no ftp-server write-enable ! interface FastEthernet0/0 ip address ! !-- ACL utilisée pour bloquer tout le trafic en entrée sauf celui !-- permit par inspect. Ceci n'est plus requis avec l'IOS Cisco ! T et versions supérieures. ! ip access-group 100 in ip nat outside ip inspect FW out ip virtual-reassembly speed auto ! interface Serial0/0 no ip address shutdown no fair-queue ! < Voir page suivante ccnp_cch

5 interface Ethernet1/0 ip address 192. 168. 10. 1 255. 255. 255
interface Ethernet1/0 ip address ip nat inside ip virtual-reassembly half-duplex ! ip classless ip route no ip http server ! ip nat inside source list 1 Interface FastEthernet0/0 overload ! !-- ACL utilisée pour NAT ! access-list 1 permit ! !-- ACL utilisée pour Java ! access-list 3 permit ! !-- ACL utilisée pour bloquer tout le trafic en entrée sauf celui !-- permit par inspect. Ceci n'est plus requis avec l'IOS Cisco ! T et versions supérieures. ! access-list 100 deny ip any any ! line cons 0 exec-timeout line aux 0 line vty 0 4 login ! end Vérification Cette section fournit des informations que vous pouvez utiliser pour confirmer que votre configuration fonctionne correctement. • show ip inspect sessions [detail] -- Affiche les sessions courantes tracées et inspectées par CBAC. Le mot clé detail donne des informations complémentaires sur les sessions. ccnp_cch

6 Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des problèmes liés à votre configuration. Commandes utilisables • no ip inspect alert-off - Valide les messages d'alerte CBAC. Si les rejet HTTP sont configurés, vous pouvez voir les messages sur la console • debug ip inspect - Affiche les message sur les évènements de CBAC. Voici un exemple de sortie de la commande debug ip inspect detail après une tenta- tive de connexion aux serveurs Web à l'adresse et autre site non auto- risé qui a des Applets Java (comme cela a été défini dans la liste d'accès). Log de Java rejeté *Jan 12 21:43:42.919: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2673) -- responder ( :80) *Jan 12 21:43:43.571: %FW-3-HTTP_JAVA_BLOCK: JAVA applet is blocked from ( :80) to ( :2673) *Jan 12 21:43:43.575: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2673) sent 276 bytes -- responder ( :80) sent 0 bytes *Jan 12 21:43:43.575: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2674) -- responder ( :80) *Jan 12 21:43:43.823: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2672) sent 486 bytes -- responder ( :80) sent 974 bytes *Jan 12 21:43:44.007: %FW-3-HTTP_JAVA_BLOCK: JAVA applet is blocked from ( :80) to ( :2674) *Jan 12 21:43:44.011: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2674) sent 276 bytes -- responder ( :80) sent 1260 bytes Log de Java autorisé *Jan 12 21:44:12.143: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2685) -- responder ( :80) *Jan 12 21:44:12.343: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2686) -- responder ( :80) *Jan 12 21:44:17.343: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2685) sent 626 bytes -- responder ( :80) sent 533 bytes *Jan 12 21:44:17.351: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2686) sent 314 bytes -- responder ( :80) sent 126 bytes ccnp_cch