Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parAntoinette Gamache Modifié depuis plus de 6 années
1
- Utilisation des commandes nat, global, static, conduit,
PIX - Utilisation des commandes nat, global, static, conduit, acces-list et redirection de Port ccnp_cch
2
Sommaire ● Introduction - Composants utilisés
● Schéma du réseau Configuration initiale ● Autoriser l'accès en sortie - Autoriser certains hosts à accéder à des réseaux externes Autoriser le reste des hosts à accéder à des réseaux externes - Restreindre aux hosts internes l'accès à des réseaux externes ● Autoriser à des hosts inconnus d'accéder à des hosts internes de votre réseau sécurisé Utilisation de Conduits sur les PIX versions et suivantes Utilisation des ACLs sur les les PIX versions et suivantes ● Dévalider NAT ● Redirection de Port avec la commande static Schéma du réseau - Redirection de Port Configuration partielle du PIX - Redirection de Port ● NAT Outside - Schéma du réseau - NAT Outside Configuration partielle du PIX - NAT Outside ccnp_cch
3
Introduction Pour avoir une sécurité maximum quand on implémente un pare-feu PIX Cisco, il est important de comprendre comment les paquets sont passés d'une interface de sécurité élevée vers une interface de sécurité plus basse en utilisant les commandes nat, glo- bal, static, conduit ou access-list et access-group dans les versions logicielles de PIX et suivantes. Ce document explique les différences entre ces commandes et com- ment configurer la redirection de port dans les PIX version 6.0 et la fonctionnalité NAT (Network Address Translation) Outside dans les PIX version 6.2 Composants utilisés Ce document est basé sur les versions matérielles et logicielles suivantes: • Cisco PIX Firewall versions et suivantes Schéma du Réseau Outside NAT Réel : Enregistré: E1 E0 Réseau non sécurisé Hosts Internes à et à .82 /8 /24 Inside Outside /8 Inside NAT Configuration initiale Les interfaces sont nommées comme suit : ● nameif ethernet0 outside security0 ● nameif ethernet1 inside security100 ccnp_cch
4
Autoriser l'accès en sortie
L'accès en sortie décrit les connexions faites à partir d'une interface de niveau de sécu- rité élevé vers une interface de niveau de sécurité plus bas. Ceci inclut les connexions de l'intérieur vers les DMZ ( Demilitarized Zones) et DMZs vers l'extérieur. Ceci peut inclure les connexions d'une DMZ vers une autre, en supposant que l'interface de con- nexion source a un niveau de sécurité plus élevé que celui de la destination. Ceci peut être vérifié avec la commande nameif dans la configuration du PIX. Il y a deux politiques qui sont requises pour autoriser l'accès vers l'extérieur. La pre- mière est une méthode de traduction d'adresse. Cela peut être une traduction statique utilisant la commande static ou une traduction dynamique utilisant la commande nat global. L'autre politique pour l'accès en sortie est la présence d'une liste d'accès (ACL) qui doit autoriser le host source à accéder au host destination en utilisant le préfixe réseau et le numéro de port si nécessaire. Par défaut il n'y a pas de restriction d'accès sur les connexions en sortie à travers le PIX. Cela veut dire que s'il n'y a pas d'ACL configurée pour l'interface source alors par défaut la connexion en sortie sera autorisée si une méthode de traduction d'adresse est configurée. Les sections suivantes donnent des exemples des méthodes de traduction d'adresse et de restriction d'accès en sortie en utilisant une ACL. Autoriser certains hosts à accéder à des réseaux externes Dans cette configuration, nous voulons donner un accès vers l'extérieur à tous les hosts du sous-réseau /24. Pour accomplir cela, nous utilisons les commandes nat et global montrées ci-dessous : 1. Définir le réseau interne devant être inclus dans NAT nat (inside) 2. Spécifier le pool d'adresses sur l'interface outside sur laquelle les hosts définis dans l'instruction nat seront traduits. global (outside) − netmask Maintenant les hosts internes peuvent accéder aux réseaux externes. Quand les hosts initient une connexion vers l'extérieur, leur adresse est traduite en une adresse exter- ne prise dans le pool global. Notez que les adresses sont affectées depuis le pool glo- bal sur la base du premier arrivé premier traduit en commençant par l'adresse la plus basse du pool. par exemple, si le host est le premier à initier une connexion , celui-ci reçoit l'adresse Le prochain host recevra l'adresse et ainsi de suite. Ce n'est pas une traduction statique et cette traduction expire après une période d'inactivité définie par la commande timeout xlate hh:mm:ss. ccnp_cch
5
ccnp_cch Autoriser le reste des hosts à accéder à des réseaux externes
Le problème est qu'il y a plus de hosts internes que d'adresses externes disponibles. Pour autoriser tous les hosts à accéder à l'extérieur, on utilise PAT (Port Address Translation). si une seule adresse est spécifiée par la commande global, cette adresse est utilisée pour la traduction PAT. Le PIX autorise une traduction PAT par interface et cette traduction supporte jusqu'à objets traduits sur une seule adresse. Exécutez les étapes suivantes: Définissez les adresses internes incluses dans PAT. (En utilisant 0 0 vous sélec tionnez tous les hosts internes.) nat (inside) 2. Spécifiez l'adresse globale à utiliser pour PAT. global (outside) Il y a un certain nombre de points à prendre en compte en utilisant PAT: ● Les adresses IP que vous indiquez pour PAT ne peuvent pas être dans un autre pool d'adresses globales. ● PAT ne fonctionne pas avec des applications H.323, des serveurs DNS cache et PPTP (Point to Point Tunneling Protocol). PAT fonctionne avec DNS (Domain Name Server), FTP et FTP passif, HTTP, Mail, RPC (Remote Procedure Call), rshell, Telnet, filtrage d'URL et traceroute sortant. ● N'utilisez pas PAT quand des applications multimédia ont besoin d'être actives à travers le pare-feu. Des applications multimédia peuvent être en conflit avec la cor respondance de port utilisée par PAT. ● Les adresses IP dans le pool d'adresses global spécifiées avec la commande global exige des entrées "reverse DNS" pour assurer que toutes les adresses de réseau ex- ternes sont accessibles à travers le PIX. Pour créer des correspondances reverse DNS, utilisez un enregistrement DNS PTR (Pointer) dans la correspondance des adresses vers nom de domaine pour chaque adresse globale. Sans les entrées PTR, les sites peuvent subir des ralentissement ou des pertes de connectivité Internet et des échecs de connexion FTP. par exemple si une adresse IP globale est et le nom de domaine pour le PIX est pix.caguana.com alors l'enregistrement PTR est : in−addr.arpa. IN PTR pix3.caguana.com in−addr.arpa. IN PTR pix4.caguana.com ccnp_cch
6
Autoriser à des hosts inconnus d'accéder à des hosts de
Restreindre aux hosts internes l'accès à des réseaux externes Il a été statué que si une traduction valide existe pour le host source et aucune ACL n'est définie pour l'interface source du PIX alors la connexion vers la sortie sera auto- risée par défaut; cependant dans certains cas il sera nécessaire de restreindre la sor- tie sur la base de l'adresse source, destination, du protocole et/ou du numéro de port. Ceci peut être accompli en configurant une ACL avec la commande access-list et en l'appliquant à l'interface source de connexion du PIX avec la commande access-group. Les ACLs du PIX sont appliquées uniquement dans le sens entrée. Ce qui suit est un exemple autorisant l'accès en sortie de HTTP (HyperText Transfer Protocol) pour un sous-réseau mais l'interdit pour tous les autres hosts tout en autorisant tout autre trafic IP pour tous Définir l'ACL access−list acl_outbound permit tcp any eq www access−list acl_outbound deny tcp any any eq www access−list acl_outbound permit ip any any Note: Les ACLs du PIX diffèrent de celles de l'IOS des routeurs Cisco du fait que les ACLs du PIX n'utilisent pas de masque générique contrairement à l'IOS Cisco. Le PIX utilise un masque de sous-réseau classique dans la définition des ACLs. Comme les ACLs de l'IOS Cisco, les ACLs du PIX int une instruction "deny all" implicite à la fin de la liste de contrôle d'accès Appliquer l'ACL à l'interface interne access−group acl_outbound in interface inside Autoriser à des hosts inconnus d'accéder à des hosts de votre réseau sécurisé La majorité des organisations a besoin d'autoriser des hosts non reconnus à accéder à des ressources de leur réseau sécurisé avec comme exemple un serveur Web interne. Par défaut le PIX refuse les connexions de hosts externes vers des hosts internes. Pour autoriser cette connexion, utilisez les commandes static et conduit; dans les versions logicielles et suivantes les commandes access-list et access-group sont dispo- nibles en plus des commandes conduit. Aussi bien les conduits que les ACLs ont un sens pour un PIX à deux interfaces. Les conduits sont basés sur le sens de trafic; ils ont un concept de inside et de outside. Avec un PIX à deux interfaces, le conduit autorise depuis l'extérieur (outside) vers l'intérieur (inside). Contrairement aux conduits, les ACLs sont appliquées aux interfa- ces avec la commande access-group. Cette commande associe l'ACL avec l'interface pour examiner le flux de trafic dans une direction donnée. En opposition avec les commandes nat et global qui autorisent le trafic des hosts in- ternes à sortir, la commande static crée une traduction bidirectionnelle qui autorise le trafic des hosts internes à sortir et celui des hosts externes à entrer si les conduits appropriés sont crées ou les ACLs/groupe sont ajoutées (Logiciel PIX version et suivantes). ccnp_cch
7
Dans la configuration PAT des exemples précédents, si un host externe essaie de se
connecter à l'adresse globale il pourrait se connecter à des milliers de hosts internes. La commande static crée une correspondance une à une. La commande conduit ou access-list définit quel type de connexion est autorisé vers un host interne. Elle est toujours requise quand un host d'un niveau de sécurité inférieur se connecte avec un host de niveau de sécurité supérieur. La commande conduit ou access-list est basée sur le port et le protocole; elles peuvent être très permissives ou très restrictives selon ce que votre administrateur système souhaite autoriser. Le schéma de réseau précédent illustre l'utilisation de ces commandes pour configurer le PIX et autoriser tous les hosts de niveau de sécurité inférieur à se connecter au ser- veur web interne et le host de niveau inférieur à se connecter au ser- veur FTP de la même machine. Utilisation de Conduits sur les PIX versions et suivantes Voici les étapes pour les PIX versions logicielles et suivantes utilisent les conduits Définir une adresse de traduction statique pour le serveur web interne vers une adresse externe/globale static (inside,outside) 2. Définir sur quels ports des hosts peuvent se connecter pour le serveur Web/FTP conduit permit tcp host eq www any conduit permit tcp host eq ftp host Dans les versions logicielles et suivantes du PIX, les ACLs avec les groupes peu- vent être utilisées à la place des conduits. Les conduits sont toujours disponibles, mais une décision doit être prise pour utiliser soit les conduits soit les ACL. Il n'est pas souhaitable de combiner les conduits et les ACLs pour la même configuration. Si les deux sont configurées, les ACLs sont préférées aux conduits. Utilisation des ACLs sur les les PIX versions et suivantes Voici les étapes pour les PIX versions logicielles et suivantes pour l'utilisation des ACLs Définir une adresse de traduction statique pour le serveur web interne vers une adresse externe/globale static (inside,outside) 2. Définir sur quels ports des hosts peuvent se connecter pour le serveur Web/FTP access−list 101 permit tcp any host eq www access−list 101 permit tcp host host eq ftp ccnp_cch
8
3. Appliquer l'a liste d'accès à l'interface externe
3. Appliquer l'a liste d'accès à l'interface externe access−group 101 in interface outside Note: Soyez prudent en implémentant ces commandes. Si la commande conduit permit ip any any ou access-list 101 ip permit any any est implémentée, tout host d'un réseau de faible niveau de sécurité peut accéder à tout host de réseau sécurisé en utilisant IP tant qu'il a une traduction active. Dévalider NAT Si vous avez une adresse publique sur votre réseau interne et vous voulez que le trafic des hosts internes sorte vers l'extérieur sans traduction vous pouvez dévalider NAT. Vous devrez également changer la commande static. En utilisant l'exemple précédent, la commande nat sera changée comme suit: nat (inside) Si vous utilisez des ACLs dans les versions logicielles et suivantes du PIX, utili- sez les commandes suivantes: access−list 103 permit ip any nat (inside) 0 access−list 103 Cette commande dévalide NAT pour le réseau La commande static pour le le serveur sera la suivante: static (inside, outside) La commande suivante définit le conduit pour le serveur web: conduit permit tcp host eq www any Si vous utilisez les ACLs dans les versions logicielles et suivantes du PIX, utili- sez les commandes suivantes: access−list 102 permit tcp any host eq www access−group 102 in interface outside Notez la différence entre l'utilisation de nat 0 avec la spécification réseau/masque à l'opposé d'une ACL qui utilise le couple réseau/masque pour permettre l'initiation de connexion uniquement à partir de l'intérieur. L'utilisation d'ACLs permet l'initiation de connexions pour du trafic en entrée ou en sortie. Les interfaces du PIX doivent être dans des sous-réseaux différents pour éviter tout problème d'accessibilité. ccnp_cch
9
Redirection de Port avec la commande static
Dans le PIX 6.0, la fonctionnalité de redirection de port a été ajoutée pour permettre à des utilisateurs externes de se connecter à une adresse/port particulière et que le PIX redirige le trafic vers un serveur interne approprié; la commande static a été modifiée. L'adresse partagée peut être une adresse unique, une adresse partagée PAT externe ou partagée avec l'interface externe static [(internal_if_name, external_if_name)] {global_ip|interface} local_ip [netmask mask] [max_conns [emb_limit [norandomseq]]] static [(internal_if_name, external_if_name)] {tcp|udp} {global_ip|interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]] Nous voulons avoir les redirections de port suivantes dans notre réseau: ● Les utilisateurs externes transmettent des requêtes Telnet vers l'adresse IP unique que le PIX redirige vers ● Les utilisateurs externes transmettent des requêtes FTP vers l'adresse IP unique que le PIX redirige vers ● Les utilisateurs externes transmettent des requêtes Telnet vers l'adresse PAT que le PIX redirige vers ● Les utilisateurs externes transmettent des requêtes Telnet vers l'adresse IP externe que le PIX redirige vers ● Les utilisateurs externes transmettent des requêtes HTTP vers l'adresse IP externe ● Les utilisateurs externes transmettent des requêtes HTTP port 8080 vers l'adresse PAT que le PIX redirige vers port 80. Nous décidons également de bloquer l'accès externe à certains utilisateurs internes en utilisant l'ACL 100. Cette étape est optionnelle; par défaut tout trafic est permis de l'intérieur vers l'extérieur. ccnp_cch
10
Redirection de Port -Configuration partielle du PIX
Schéma du réseau - Redirection de Port Réseau Interne Réseau Externe Adresse PAT = Adresse Internes: port 23 port 21 port 23 port 23 port 80 port 80 Adresse Externes: port 23 port 21 port 23 port 23 port 80 port 8080 Configuration partielle du PIX - Redirection de Port Redirection de Port -Configuration partielle du PIX fixup protocol ftp 21 !−−− L'utilisation d'une ACL en sortie est optionnelle. access−list 100 permit tcp any eq www access−list 100 deny tcp any any eq www access−list 100 permit tcp any access−list 100 permit udp host eq 53 access−list 101 permit tcp any host eq telnet access−list 101 permit tcp any host eq ftp access−list 101 permit tcp any host eq telnet access−list 101 permit tcp any host eq telnet access−list 101 permit tcp any host eq www access−list 101 permit tcp any host eq 8080 ip address outside ip address inside global (outside) nat (inside) static (inside,outside) tcp telnet telnet netmask static (inside,outside) tcp ftp ftp netmask ccnp_cch
11
static (inside,outside) tcp 172. 18. 124. 208 telnet 10. 1. 1
static (inside,outside) tcp telnet telnet netmask static (inside,outside) tcp interface telnet telnet netmask static (inside,outside) tcp interface www www netmask static (inside,outside) tcp www netmask !−−− L'utilisation d'une ACL en sortie est optionnelle. access−group 100 in interface inside access−group 101 in interface outside NAT Outside Débutant avec le PIX 6.2, NAT et PAT peuvent être appliqués au trafic allant d'une in- terface externe de faible niveau de sécurité vers une interface interne de niveau de sé- curité plus élevé. Ceci est quelques fois appelé "NAT bidirectionnel". NAT/PAT Outside est similaire à NAT/PAT inside mais l'adresse de traduction est ap- pliquée aux adresses de hosts résidant sur l'interface externe (moins sécurisée) du PIX. Pour configurer NAT outside dynamique, spécifiez les adresses traduites sur l'in- terface de niveau de sécurité le plus bas et les adresses globales ou les adresses de l'interface interne de niveau de sécurité plus élevé. Pour configurer NAT statique, utili- sez la commande static pour spécifier une correspondance une à une. Après que NAT ait été configuré, quand un paquet arrive sur l'interface externe (moins sécurisée) du PIX, celui-ci essaie de localiser une traduction (entrée de traduction d'a- dresse) dans la base de données des connexions. Si aucune traduction n'existe alors le PIX recherche une politique NAT dans la configuration courante. Si une politique NAT est trouvée, une traduction est crée et insérée dans la base de données. Ensuite le PIX reécrit les adresses et transmet le paquet sur l'interface interne. Une fois que la traduction est établie, les adresses des paquets suivants peuvent être rapidement tra- duites en consultant la base de données des connexions. Outside NAT - Schéma du réseau inside outside Réseau x Réseau x/28 ccnp_cch
12
NAT Outside -Configuration partielle du PIX
Nous voulons les traduction suivantes: ● L'adresse sera traduite par NAT à l'adresse pour du trafic sortant. ● L'adresse sera traduite par NAT à l'adresse pour du trafic entrant. ● Les autres adresses des hosts du réseau x seront par NAT avec les adres- ses du pool pour du trafic sortant ● Connectivité depuis l'équipement ayant l'adresse vers l'équipe- ment avec l'équipement voyant l'équipement interne avec l'adresse et l'équipement voyant le trafic venant de comme venant de l'adresse (à cause de NAT outsi- de). On permet l'accès à tous les hosts x en utilisant les ACLs ou les con- duits. NAT Outside -Configuration partielle du PIX ip address outside ip address inside global (outside) − netmask nat (inside) static (inside,outside) netmask 0 0 static (outside,inside) netmask conduit permit ip !−−− Au lieu des conduits, nous avons gardé les instructions static avec !--- les instructions access-list. access−list 101 permit ip access−group 101 in interface outside ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.