La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Configuration d'un Pare-feu

Publié parMarcel Maxence Thibault Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Configuration d'un Pare-feu"— Transcription de la présentation:

1 Configuration d'un Pare-feu
TP Sécurité - Configuration d'un Pare-feu IOS Cisco avec SDM CFI_Site_Paris

2 Installation SDM - Objectifs  Utiliser le SDM pour configurer un routeur comme pare-feu  Comprendre le fonctionnement de base d'un pare-feu  Configurer le routage de base à travers un pare-feu  Vérification des paramètres du pare-feu en utilisant le SDM - Schéma du réseau Host Loopback /24 .50 FW Fa0/0 S0/0/1 DCE .2 .2 /24 /24 Fa0/0 S0/0/1 .1 EIGRP AS1 .3 INSIDE ISP Loopback /24 Loopback /24 - Scénario Dans ce Lab vous allez configurer un routeur de périphérie pour la société ITA en utilisant le SDM (Security Device Manager). La configuration guidée de pare-feu vous permet de créer une configuration relativement robuste en quelques étapes simples Chaque routeur représente un routeur dans un grand réseau d'entreprise. Le routeur ISP est le routeur frontal de l'opérateur connecté au pare-feu du réseau de l'entreprise ITA et l'interface loopback0 de ce routeur représente un réseau distant. FW est un routeur pare- feu d'entreprise et son interface loopback0 représente la DMZ (Demilitarized Zone) dans laquelle résident les serveurs Internet. INSIDE est un routeur interne d'entreprise et son interface loopback0 représente un sous-réseau dans le domaine de l'entreprise. CFI_Site_Paris

3 - Etape 1: Configurer les interfaces loopback et les interfaces physiques Configurez les interfaces Loopback avec les adresses figurant sur le schéma du réseau Configurez également les interfaces Serial. Configurez l'horloge sur l'interface appropriée et entrez la commande no shutdown sur toutes les interfaces Serial. Vérifiez que vous avez la connectivité entre routeurs en utilisant la commande ping. INSIDE(config)# interface loopback0 INSIDE(config-if)# ip address INSIDE(config-if)# interface fastethernet0/0 INSIDE(config-if)# ip address INSIDE(config-if)# no shutdown FW(config)# interface loopback0 FW(config-if)# ip address FW(config-if)# interface fastethernet0/0 FW(config-if)# ip address 10.l FW(config-if)# no shutdown FW(config-if)# interface serial0/0/1 FW(config-if)# ip address FW(config-if)# clockrate 64000 ISP(config)# interface loopback0 ISP(config-if)# ip address ISP(config-if)# interface serial0/0/1 ISP(config-if)# ip address ISP(config-if)# no shutdown - Etape 2: Configurer les protocoles de routage Comme ce scénario est limité à trois routeurs, assurez-vous de bien comprendre ce que représente chaque réseau principal dans le schéma L'espace d'adressage /8 représente le réseau interne détenu et géré par votre entre- prise. De par votre politique de sécurité, aucun trafic venant de ISP ne doit entrer dans le réseau interne sauf si la connexion a été initiée depuis le réseau interne situé derrière le pare-feu. La connexion entre FW et ISP est un sous-réseau globalement routable dans l'espace d'adressage public. Bien que le RFC 1918 définisse le réseau /16 comme privé, considérez le comme un espace d'adresse global pour les besoins de ce lab. L'interface Loopback0 sur le routeur FW est une interface dans la DMZ. Une DMZ est sou- vent utilisée pour héberger des serveurs web et d'autres serveurs pour lesquels des utilisa- teurs externes peuvent accéder à un contenu sans authentification ni autorisation Configurez EIGRP pour l'AS1 sur les routeurs FW et INSIDE. Annoncez le réseau principal /8 et dévalidez l'agrégation automatique. Ajoutez également le réseau sur le routeur FW pour qu'il l'annonce. Caractérisez l'interface loopback comme une inter- face passive car c'est simplement une DMZ pour des serveurs et non des routeurs. Le rou- teur ISP ne participe pas à ce processus de routage. CFI_Site_Paris

4 INSIDE(config)# router eigrp 1 INSIDE(config-router)# no auto-summary
INSIDE(config-router)# network FW(config)# router eigrp 1 FW(config-router)# no auto-summary FW(config-router)# network FW(config-router)# network FW(config-router)# passive-interface loopback0 Définir le but et le fonctionnement d'un pare-feu Le pare-feu existe pour renforcer la sécurité de l'entreprise. Il permet à une société de faire du commerce en ligne tout en fournissant la sécurité nécessaire entre le réseau de l'entre- prise et le réseau externe. En plus du contrôle d'accès le pare-feu fournit également un point central pour l'administration des mesures de sécurité Définir quelques règles de base sur comment le trafic doit être permit à travers le réseau Tout le trafic issu du réseau de l'entreprise destiné à la DMZ ou à l'ISP est permis Tout le trafic de la DMZ est permis en sortie vers l'ISP Tout le trafic issu de l'extérieur du réseau de l'entreprise est permis à travers le pare-feu uniquement s'il y a une session TCP ou UDP correspondante ouverte en premier pour le flux sortant Inspection complète de tous les paquets TCP ou UDP de l'extérieur vers l'intérieur Etape 3: Configurer les routes statiques pour atteindre Internet Comme ISP est connecté à Internet, il faut transmettre tout le trafic vers les réseaux non présents dans la table de routage vers ISP via une route par défaut. Cette route peut être crée de manière statique sur le routeur FW mais doit être redistribuée dans EIGRP pour que les routeurs à l'intérieur du réseau apprennent la route par défaut. FW(config)# ip route FW(config-router)# redistribute static Sur ISP, créer des routes statiques pour les réseaux principaux de l'entreprise. Rappelez vous que le réseau est la DMZ de la société et le réseau est le réseau interne. ISP(config)# ip route ISP(config)# ip route A ce point, vous avez la connectivité IP complète entre tous les réseaux du schéma. Une fois que le routeur FW est complètement configuré il y aura une connectivité partielle com- me résultat de l'implémentation de la politique de sécurité ISP# ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 112/112/112 ms CFI_Site_Paris

5 - Etape 4: Se connecter au routeur FW en utilisant le SDM Configurez l'adresse IP /24 sur le host en utilisant l'interface FastEthernet du routeur FW comme passerelle par défaut Préparez le routeur FW pour l'accès via le SDM. Rappelez-vous que le SDM utilise SSH et HTTPS et doit s'authentifier avec le routeur avant de commencer la configuration. FW(config)# username ciscosdm privilege 15 password ciscosdm FW(config)# ip http secure-server FW(config)# ip http authentication local FW(config)# line vty 0 4 FW(config-line)# transport input telnet ssh Connexion à FW en utilisant le SDM. Sélectionnez Edit> Preferences. Assurez-vous que la case Preview commands before delivering to router est cochée avant de continuer. Cliquez sur OK quand vous avez confi- guré vos préférences. CFI_Site_Paris

6 - Etape 5: Utiliser la configuration avancée et guidée du SDM Dans le SDM commencer la configuration avancée en cliquant sur Configure dans la barre des outils et ensuite en cliquant sur Firewall and ACL dans la barre d'outils à gauche. Dans l'onglet Create Firewall, choisissez Advanced Firewall et ensuite cliquez sur Launch the selected task. Dans ce lab, vous ne configurez pas un pare-feu de base car c'est une version moins robus- te du pare-feu avancé. Si vous savez configurer un pare-feu avancé, vous n'aurez aucun problème pour configurer le pare-feu de base. CFI_Site_Paris

7 CFI_Site_Paris

8 Lisez les informations pour la configuration avancée guidée et cliquez sur Next.
Choisissez l'interface qui est face au routeur ISP comme interface externe non sécurisée et l'interface qui est face au routeur INSIDE comme interface interne sécurisée. Ne cochez pas les cases inside et outside pour l'interface loopback. Sélectionnez cette inter- face comme interface DMZ. Vous n'avez pas besoin d'autoriser les accès SDM sécurisés à partir des interfaces externes. Une fois que vous avez configuré correctement toutes les in- terfaces, cliquez sur Next. CFI_Site_Paris

9 Comme vous n'avez pas coché l'option, le SDM vous avertit que vous ne pouvez pas confi-
gurer le routeur en utilisant le SDM à partir de l'interface externe. Ceci est acceptable car vous utilisez le SDM au travers de l'interface interne du routeur FW. Cliquez sur OK pour continuer. CFI_Site_Paris

10 Maintenant ajoutez les services DMZ en cliquant sur le bouton Add.
Ajoutez une liste de serveurs web avec les adresses à Configurez le service comme "www", un mot-clé que le routeur identifie avec le port TCP 80, le port HTTP standard. Cliquez sur OK quand votre configuration est terminée. CFI_Site_Paris

11 Vérifiez la liste des serveurs ajoutés dans la liste des services DMZ et ensuite cliquez sur
Next. La configuration des interfaces inside, outside et DMZ applique des listes de contrôle d'accès aux interfaces créant ainsi les délimitations du trafic du pare-feu Par conséquent vous voulez peut-être créer des autorisations à travers le pare-feu pour des applications particulières. Les listes de contrôle d'accès CBAC (Context-Based Access Lists) peuvent examiner les couches TCP et UDP des paquets traversant le pare-feu pour créer des "trous" par flux dans le pare-feu. CBAC examine les protocoles de transport standards tels que TCP et UDP, trace les connexions et permet du trafic entrant non sécurisé unique- ment si c'est un trafic retour pour une connexion TCP ou UDP initiée depuis le réseau in- terne. Pour certains protocoles très communs, CBAC examine les données de couche ap- plication pour s'assurer que les paquets respectent le protocole de l'application Pour ce lab, vous n'utiliserez pas la politique de sécurité par défaut mais vous allez en créer une. Cliquez sur Use a custom Application Security Policy et ensuite cliquez sur Create a new policy dans le menu déroulant. CFI_Site_Paris

12 Dans la partie gauche, cliquez sur HTTP et ensuite cliquez sur Enable HTTP inspection
sur la droite pour que CBAC s'assure que les paquets HTTP reçus sont valides. CFI_Site_Paris

13 CFI_Site_Paris

14 Cliquez sur Applications/Protocols sur le bouton à gauche pour le développer. Dans l'ar- bre sélectionnez General et les sous-entrées tcp et udp pour autoriser l'inspection généri- que TCP et UDP. Pour TCP , CBAC va superviser l'état TCP de chaque connexion initiée de l'intérieur et autorisera uniquement le trafic retour en correspondance avec cet état. Pour le trafic UDP, qui est en mode non-connecté et par conséquent sans état, CBAC autorisera le trafic retour qui correspond aux adresses source et destination et aux ports UDP dans une période d'expiration. Cliquez sur OK pour sauvegarder cette nouvelle politique. CFI_Site_Paris

15 La nouvelle politique apparaît dans la zone de texte
La nouvelle politique apparaît dans la zone de texte. Cliquez sur Next pour continuer. CFI_Site_Paris

16 Vérifiez que le résumé de la configuration est correct puis cliquez sur Finish.
CFI_Site_Paris

17 Prévisualisez les commandes que le SDM va appliquer au routeur et ensuite cliquez sur Deliver pour envoyer les commandes au routeur. Cliquez sur OK une fois que les commandes ont été transmises au routeur. CFI_Site_Paris

18 Une boîte de dialogue vous informe que la configuration du pare-feu a été faite avec succès. Cliquez sur OK. Le message de succès du SDM s'affiche. Cliquez sur OK et vous êtes de nouveau placé sur l'onglet Edit Firewall/ACL du SDM. CFI_Site_Paris

19 - Etape 6: Modifier la configuration du pare-feu
Sélectionnez Returning Traffic dans le haut de l'onglet pour voir les règles d'accès confi- guées pour le trafic retour passant à travers le routeur depuis l'interface externe vers l'in- terface interne. Faites défiler la liste d'accès jusqu'à l'instruction deny pour les réseaux /16. CFI_Site_Paris

20 Dans ce scénario tous les réseaux externes sont dans l'intervalle 192
Dans ce scénario tous les réseaux externes sont dans l'intervalle /16. Pour des raisons de sécurité tout le trafic issu de l'espace d'adressage de réseaux privés (RFC1918) est bloqué sur l'interface externe. Dans Internet ces adresses ne sont pas routables. CFI_Site_Paris

21 Sélectionnez l'instruction deny de la règle d'accès pour 192. 168
Sélectionnez l'instruction deny de la règle d'accès pour /16 et cliquez sur Cut pour retire cette instruction. Vérifiez que l'instruction est retirée et cliquez sur Apply Changes. CFI_Site_Paris

22 Prévisualisez les commandes que le SDM va transmettre au routeur et ensuite cliquez sur Deliver.
Cliquez sur OK après que les commandes aient été transmises. CFI_Site_Paris

23 - Etape 7: Superviser l'activité du pare-feu
Sur le routeur ISP ajoutez le mot de passe "cisco" aux terminaux virtuels (vty) puis autori- sez une session Telnet authentifiée avec le routeur. ISP(config)# line vty 0 4 ISP(config-line)# password cisco ISP(config-line)# login Sur le routeur INSIDE établissez une session Telnet sur l'interface loopback de ISP. INSIDE# telnet Trying Open User Access Verification Password: ISP> Pendant que la session Telnet est active, cliquez sur l'onglet Monitor du SDM et ensuite cliquez sur Firewall Status dans la partie gauche. Cliquez sur Update pour obtenir les dernières statistiques du pare-feu. Vous devez voir la session Telnet active dans la liste. CFI_Site_Paris

24 Après avoir affiché les paramètres de la session Telnet en utilisant la supervision du SDM, fermez la session Telnet en utilisant la commande exit. ISP> exit [Connection to closed by foreign host] INSIDE# A partir du routeur ISP, initiez une session Telnet vers l'interface Loopback du routeur INSIDE. ISP# telnet Trying % Destination unreachable; gateway or host down ISP# La session Telnet échoue, pourquoi? Sur le routeur FW un message de log apparaît indiquant que la session Telnet a été rejetée. Ce message de log apparaît car le mot-clé log est utilisée dans la liste d'accès appliquée à l'interface externe. FW# *Feb 17 22:21:01.085: %SEC-6-IPACCESSLOGP: list 102 denied tcp (20650) -> (23), 1 packet Affichez la configuration de l'interface externe sur le routeur FW en utilisant la commande show run. FW# show run interface serial0/0/1 Building configuration... Current configuration : 168 bytes ! interface Serial0/0/1 description $FW_OUTSIDE$ ip address ip access-group 102 in ip verify unicast reverse-path clock rate 64000 end Avec la commande show access-lists number vous pouvez voir que le mot-clé log fait par tie de la liste d'accès appliquée en entrée à l'interface externe. CFI_Site_Paris

25 Conclusion FW# show access-lists 102 Extended IP access list 102
10 deny ip any 20 deny ip any 30 permit icmp any host echo-reply 40 permit icmp any host time-exceeded 50 permit icmp any host unreachable 60 permit tcp any host eq www 70 permit tcp any host eq www 80 permit tcp any host eq www 90 permit tcp any host eq www 100 permit tcp any host eq www 110 permit tcp any host eq www 120 permit tcp any host eq www 130 permit tcp any host eq www 140 permit tcp any host eq www 150 permit tcp any host eq www 160 permit tcp any host eq www 170 deny ip any 180 deny ip any 190 deny ip any 200 deny ip host any 210 deny ip host any 220 deny ip any any log (1 match) Que représentent les entrées 170 à 190 dans la liste d'accès? Quelle autre commande appliquée dans la configuration par le SDM joue un rôle similaire aux entrées 170 à 190 de la liste d'accès. Conclusion D'après la configuration précédente de l'ACL, indiquez ce qui se passe dans les scénarios sui- vants et donnez en la raison:  Le routeur ISP envoie un ping vers  Le routeur ISP envoie un ping vers  Le routeur ISP envoie un ping vers  Imaginez que le routeur ISP envoie un ping vers un serveur web réel à l'adresse  Imaginez que le réseau connecté au routeur ISP initie une session TCP avec serveur web à l'adresse CFI_Site_Paris

Télécharger ppt "Configuration d'un Pare-feu"

Présentations similaires

Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n° 36243.

Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n°
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
Terminaux virtuels (VTY)

Terminaux virtuels (VTY)
Sécurité - Configuration du PIX avec un seul réseau interne

Sécurité - Configuration du PIX avec un seul réseau interne
- TP Listes d'Accès Etendues

- TP Listes d'Accès Etendues
Client léger VPN SSL avec ASDM

Client léger VPN SSL avec ASDM
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Sécurité - Configuration d'un

Sécurité - Configuration d'un
TP Sécurité - Configuration de Base d'un Routeur avec SDM

TP Sécurité - Configuration de Base d'un Routeur avec SDM
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Commande ip nat service

Commande ip nat service
Sécurité - Configuration du PIX

Sécurité - Configuration du PIX
Configuration avancée

Configuration avancée
Sécurité - VPN - Configurer la mise à jour du client

Sécurité - VPN - Configurer la mise à jour du client
Sécurité - ASA7.x/PIX 6.x et plus

Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP

Configuration EIGRP et IGRP
Tunnel pour paquets IP Multicast

Tunnel pour paquets IP Multicast

Présentations similaires

Annonces Google