Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parÉmilie Bonin Modifié depuis plus de 6 années
1
Sécurité - Listes d'Accès Dynamiques - Lock and Key
ccnp_cch
2
Sommaire - Introduction - Au sujet de "Lock and Key" Avantages de "Lock and Key" Quand utiliser "Lock and Key" Comment "Lock and Key" fonctionne - Compatibilité avec les version IOS Cisco inférieures à 11.1 - Risque d'attaque avec Lock and Key Impact sur les performances des routeurs - Prérequis pour configurer "Lock and Key" - Configuration Conseils pour la configuration "Lock and Key" Listes d'accès dynamiques Authentification "Lock and Key" La commande autocommand - Vérifier la configuration "Lock and Key" Maintenance de "Lock and Key" Affichage des entrées des listes d'accès dynamiques Effacement manuel des entrées des listes d'accès dynamiques - Exemples de configuration "Lock and Key" Exemple "Lock and Key" avec authentification locale Exemple "Lock and Key" avec authentification TACACS+ ccnp_cch
3
Introduction Ce document décrit comment configurer la sécurité "Lock and Key" sur un routeur. "Lock and Key" est une fonctionnalité de sécurité pour le filtrage du trafic du protocole IP. Les sections suivantes sont traitées dans ce document: Au sujet de "Lock and Key" Compatibilité avec les versions IOS Cisco inférieures a Risque d'attaque sur "Lock and Key" Impact sur les performances du routeur Prérequis pour configurer "Lock and Key" Configuration de "Lock and Key" Vérification de la configuration "Lock and Key" Maintenance de "Lock and Key" - Exemples de configuration "Lock and Key" Au sujet de "Lock and Key" "Lock and Key" est une fonctionnalité de sécurité de filtrage de trafic dynamique du protocole IP. "Lock and Key" est configuré en utilisant les listes d'accès IP étendues dynamiques. "Lock and Key" peut être utilisé conjointement avec des listes d'accès standards et des listes d'accès étendues statiques. Quand "Lock and Key" est configuré, les utilisateurs désignés dont le trafic IP est normalement bloqué sur le routeur peuvent obtenir un accès temporaire à travers le routeur. Lorsqu'il est activé, "Lock and Key" reconfigure la liste d'accès de l'interface afin de permettre aux utilisateurs désignés de joindre les hosts désignés. Après quoi "Lock and Key" reconfigure la liste d'accès à son état original. Pour qu'un utilisateur obtienne l'accès à un host au travers d'un routeur avec "Lock and Key" configuré, cet utilisateur doit d'abord utiliser Telnet avec le routeur. Quand un utilisateur initie une session Telnet standard avec un routeur, "Lock and Key" ac- tive automatiquement l'authentification de l'utilisateur. Si l'utilisateur est authentifié, celui-ci obtient un accès temporaire au travers du routeur et peut ainsi joindre le host destinataire. Avantages de "Lock and Key" "Lock and Key" fournit les mêmes avantages que les listes d'accès standards et les listes d'accès étendues. Cependant "Lock and Key" a les avantages de sécurité sui vants par rapport aux listes d'accès: • "Lock and Key" utilise un mécanisme d'authentification individuel des utilisateurs • "Lock and Key" fournit une gestion plus simple pour de grands réseaux • Dans beaucoup de cas "Lock and Key" réduit la charge de traitement requise par les listes d'accès • "Lock and Key" réduit les opportunités d'entrées non autorisées dans le réseau. Avec "Lock and Key" vous pouvez spécifier quels utilisateurs ont le droit d'accès et à ccnp_cch
4
quelles ressources. Ces utilisateurs doivent passer l'authentification avec succès pour avoir accès à des hosts désignés. "Lock and Key" crée un accès utilisateur dynamique au travers d'un pare-feu sans compromettre les autres restrictions de sécurité. Quand utiliser "Lock and Key" Voici deux cas pour lesquels vous pouvez utiliser "Lock and Key": • Quand vous voulez qu'un utilisateur distant donné (ou un groupe d'utilisateurs distants) soit capable d'accéder à un host dans votre réseau à partir d'un host via Internet. "Lock and Key" authentifie l'utilisateur et permet un accès limité au tra vers de votre routeur pare-feu pour un host ou un sous-réseau et pour une durée limitée • Quand vous voulez que les hosts d'un sous-réseau d'un réseau local accèdent à un host d'un réseau distant protégé par un pare-feu. Avec "Lock and Key" vous pou vez valider l'accès au host distant uniquement pour l'ensemble des hosts d'utilisa teurs locaux. "Lock and Key" requiert l'authentification des utilisateurs par un serveur TACACS+ ou RADIUS avant que les hosts puissent accéder aux hosts dis tants. Comment fonctionne "Lock and Key" Le processus suivant décrit le fonctionnement de "Lock and Key" Un utilisateur ouvre une session Telnet vers un routeur (pare-feu) configuré pour fonctionner avec "Lock and Key". L'utilisateur se connecte via un port terminal virtuel sur le routeur Le logiciel IOS Cisco reçoit le paquet Telnet, ouvre une session Telnet, demande le mot de passe et réalise l'authentification de l'utilisateur. L'utilisateur doit être au thentifié avant que l'accès au travers du routeur soit autorisé Quand l'utilisateur est authentifié, la session Telnet est fermée et le logiciel crée une entrée temporaire dans la liste d'accès dynamique. (Pour votre configuration, cette entrée temporaire peut limiter l'intervalle de réseaux auquel l'utilisateur peut accéder) L'utilisateur échange des données au travers du pare-feu Le logiciel efface l'entrée temporaire de la liste d'accès lorsqu'un temps limite est atteint ou lorsque l'administrateur réseau l'efface manuellement. Le temps limite configuré peut être une durée d'inactivité ou une durée absolue. Note: L'entrée temporaire dans la liste d'accès n'est pas immédiatement effacée quand un utilisateur termine une session. L'entrée temporaire reste jusqu'à ce la durée d'inactivité soit atteinte ou jusqu'à ce que l'administrateur réseau l'efface. ccnp_cch
5
Compatibilité avec les versions IOS Cisco antérieures à 11
Compatibilité avec les versions IOS Cisco antérieures à Des améliorations de la commande access-list sont utilisées pour "Lock and Key". Ces améliorations ont une compatibilité descendante. Si vous migrez d'un version antéri- eure 11.1 vers une version postérieure à 11.1, les listes d'accès seront automatique- ment converties pour refléter ces améliorations. Toutefois si vous essayez d'utiliser "Lock and Key" avec des versions antérieures à 11.1, vous pouvez rencontrer de sévè- res problèmes de sécurité. Risques d'attaque avec "Lock and Key" Quand "Lock and Key" est déclenché, il crée une ouverture dynamique temporaire dans le pare-feu en reconfigurant temporairement la liste d'accès appliquée à l'interfa- ce pour autoriser l'accès à un utilisateur. Tant que cette ouverture existe, un autre host peut usurper l'adresse de l'utilisateur authentifié pour obtenir un accès derrière le pare-feu. "Lock and Key" ne crée pas le problème d'usurpation d'adresse; le problè- me identifié ici concerne uniquement l'utilisateur. L'usurpation d'adresse est un pro- blème inhérent à toutes les listes d'accès et "Lock and Key" ne résoud pas ce problème spécifique. Pour éviter l'usurpation d'adresse, vous pouvez configurer le cryptage des données. Configurez le cryptage de telle sorte que le trafic issu du routeur distant soit crypté et décrypté localement sur l'interface du routeur utilisant "Lock and Key". Vous assurez ainsi que tout le trafic utilisant "Lock and Key" sera crypté lorsqu'il entrera dans le routeur. De cette façon, les pirates ne peuvent usurper l'adresse source car ils ne se- ront pas capables de copier le cryptage ou de s'authentifier comme partie du processus d'établissement du cryptage. Impact sur les performances du routeur Quand "Lock and Key" est configuré, les performances du routeur peuvent être affec- tées de la manière suivante: • Quand "Lock and Key" est déclenché, la liste d'accès dynamique force une recons truction de la liste d'accès sur le SSE (Silicon Switching Engine). Ceci cause un ra lentissement momentané du SSE. • La liste d'accès dynamique requiert la facilité délai d'inactivité ( idle-timeout) (même si ce délai est laissé à sa valeur par défaut) et par conséquent ne peut pas être traité par le SSE. Ces entrées doivent être gérées par la fonctionnalité fast-switching du routeur. • Quand des utilisateurs distants déclenchent "Lock and Key" sur le routeur, des en trées additionnelles sont créées dans la liste d'accès sur l'interface du routeur. La liste d'accès de l'interface dynamiquement va évoluer en taille. Les entrées sont re tirées dynamiquement de la liste soit sur délai d'inactivité atteint soit à l'expiration du temps maximum alloué. De grandes listes d'accès peuvent dégrader les perfor mances de commutation des paquets. Si vous remarquez des problèmes de perfor mance sur le routeur d'accès, vous devez regarder la configuration pour voir si vous devez retirer des entrées temporaires générées par "Lock and Key" dans la liste d'accès. ccnp_cch
6
Prérequis pour configurer "Lock and Key" "Lock and Key" utilise des listes d'accès IP étendues. Vous devez avoir une très bonne compréhension de l'utilisation des listes d'accès pour le filtrage du trafic avant de tenter de configurer "Lock and Key". "Lock and Key" utilise l'authentification utilisateur et l'autorisation telle quelle est implémentée dans Cisco AAA (Authentication, Authorization, Accounting). Vous devez comprendre comment configurer l'authentification et l'autorisation AAA avant de con- figurer "Lock and Key". "Lock and Key" utilise la commande autocommand que vous devez connaître et com- prendre. Configurer "Lock and Key" Pour configurer "Lock and Key", utilisez les commandes suivantes en commençant en mode de configuration global. Tandis que vous exécutez ces étapes, assurez-vous de suivre les conseils indiqués dans la section "Conseils pour la configuration de "Lock and Key". Etape Commande But 1 access-list access-list-number [dynamic dynamic- name [timeout minutes]] {deny|permit} telnet source source-wildcard destination destination- wildcard [precedence precedence] [tos tos] [established] [log] Configure une liste d'accès dynamique qui sert de mo- dèle et de placement pour une entrée temporaire dans la liste d'accès 2 interface type number Configure l'interface 3 ip access-group access-list-number Applique la liste d'accès à l'interface en mode de configuration interface. 4 line vty line-number [ending-line-number] En mode de configuration global, définissez un ou plusieurs ports terminal virtuel. Si vous spécifiez plusieurs ports vty, ils doivent tous êtes configu-rés de manière identique car le logiciel recherche le premier port disponible dans le groupe. 5 login {tacacs|radius} ou username name password secret login local password password Configure l'authentifica-tion de l'utilisateur. ccnp_cch
7
Etape Commande But 6 autocommand access-enable [host] [timeout minutes] Valide la création d'entrées temporaires dans la liste d'accès. Si l'argument host n'est pas spécifié, tous les hosts du réseau activeront la création d'entrées tem- poraires dans la liste d'accès. La liste d'accès dynamique contient le masque de réseau pour permettre la connexion. Conseils pour la configuration "Lock and Key" Utilisez les indications suivantes pour configurer les listes d'accès dynamiques: • Ne créez jamais plus d'une seule liste d'accès dynamique pour n'importe quelle liste d'accès. Le logiciel se réfère uniquement à la première liste d'accès définies. • N'affectez pas le même nom pour une autre liste d'accès. En faisant cela, vous indi- quez au logiciel de réutiliser une liste d'accès déjà existante. Toutes les entrées nom- mées doivent être globalement uniques dans la configuration. • Affectez les attributs à la liste d'accès dynamique de la même manière que vous af- fectez les attributs à une liste d'accès statique. Les entrées temporaires de la liste d'accès héritent des attributs de la liste d'accès statique. • Configurez Telnet sur le routeur ainsi l'utilisateur devra utiliser Telnet sur le routeur pour être authentifié avant d'obtenir l'accès à travers le routeur. • Définissez soit un délai d'inactivité avec le mot clé timeout dans la commande access-enable de la commande autocommand soit définissez un délai absolu avec la commande access-list. Vous devez définir un délai d'inactivité ou un délai absolu autrement l"entrée temporaire de la liste d'accès restera configurée indéfiniment sur l'interface (même après la fin de session des utilisateurs) jusqu'à ce que l'administra- teur la retire manuellement. (vous pouvez configurer les deux délais si vous le dési- rez). • Si vous configurer le délai d'inactivité, ce délai doit être égal au délai d'inactivité utilisé sur le WAN. • Si vous configurez les deux délais, la valeur du délai d'inactivité doit être inférieure à la valeur maximum du délai absolu. • Les seules valeurs remplacées dans l'entrée temporaire sont l'adresse source ou destination selon que la liste d'accès est en entrée ou en sortie. Tous les autres attri- buts sont hérités de la liste d'accès dynamique principale. ccnp_cch
8
• Chaque nouvelle entrée dans la liste d'accès dynamique est placée en début de liste. Vous ne pouvez pas spécifier l'ordre d'insertion des entrées temporaires dans la liste d'accès • Les entrées temporaires des listes d'accès ne sont jamais écrites en NVRAM. • Pour effacer ou afficher les listes d'accès dynamiques, voir la section "Maintenance de "Lock and Key". Authentification "Lock and Key" Il y a trois méthodes possibles pour configurer la requête d'un processus d'authenti- fication. Voici ces trois méthodes: Méthode 1 -- Configurer un serveur de sécurité Utilisez un serveur de sécurité d'accès réseau tel TACACS+ ou RADIUS. Cette mé thode requiert des étapes de configuration supplémentaires sur le serveur TACACS mais permet une authentification améliorée ainsi que des services de trace amélio rés Routeur# login tacacs - Cette commande indique que les messages de log seront transmis vers un serveur TACACS Méthode 2 -- Utiliser la commande username Cette méthode est très efficace car elle est basée sur l'authentification d'un utilisa teur Routeur# username name password password Routeur# login local Méthode 2 -- Commandes password et login Cette méthode est moins efficace car le mot de passe est configuré pour le port et non pour l'utilisateur. Par conséquent tout utilisateur qui connaît le mot de passe peut être identifié avec succès Routeur# password password La commande autocommand Suivez ces conseils pour l'utilisation de la commande autocommand • Si vous utilisez un serveur TACACS+ ou RADIUS pour authentifier l'utilisateur, vous devez configurer la commande autocommand sur le serveur TACACS+ ou RADIUS pour chaque utilisateur. Si vous utilisez l'authentification locale, utilisez la commande autocommand pour la ligne (line). ccnp_cch
9
• Configurez tous les ports terminal virtuel avec la même commande autocommand L'oubli de la commande autocommand sur un port vty autorise n'importe quel host à accéder au routeur en mode EXEC et ne crée pas d'entrée temporaire dans la liste d'accès dynamique. • Si vous n'avez pas déjà défini un délai d'inactivité avec la commande autocommand access-enable, vous devez définir un délai absolu maintenant avec la commande access-list. Vous devez définir un délai d'inactivité ou un délai absolu autrement l'entrée temporaire de la liste d'accès restera configurée indéfiniment sur l'interface (même après la fin de session des utilisateurs) jusqu'à ce que l'administrateur la reti- re manuellement. (vous pouvez configurer les deux délais si vous le désirez). • Si vous configurez les deux délais, la valeur du délai d'inactivité doit être inférieure à la valeur maximum du délai absolu. Vérifier la configuration "Lock and Key" Vous pouvez vérifier que "Lock and Key" est bien configuré sur le routeur en deman- dant à un utilisateur de tester la connexion. L'utilisateur doit utiliser un host qui est autorisé dans la liste d'accès dynamique et il doit avoir également l'authentification et l'autorisation configurées. Pour tester la connexion, l'utilisateur doit faire un accès Telnet sur le routeur, permet- tre la fermeture de la session Telnet et ensuite tenter d'accéder à un host placé der- rière le routeur. Ce host doit être un de ceux permis par la liste d'accès dynamique. L'utilisateur doit accéder au host avec une application qui utilise le protocole IP. L'affichage suivant illustre ce que des utilisateurs distants doivent voir s'ils se sont authentifiés avec succès. Notez que la connexion Telnet est fermée automatiquement après que le mot de passe ait été entré et authentifié. L'entrée temporaire dans la liste d'accès est ensuite créee et le host qui avait initié la session Telnet a maintenant accès au réseau interne. Routeur# telnet lecfi Trying Connected to lecfi.domain.com Escape character is '^]'. User Access Verification Password: Connection closed by foreign host. Vous pouvez utiliser la commande show access-list sur le routeur pour afficher les listes d'accès dynamiques qui doivent inclure des entrées additionnelles permettant l'accès pour l'utilisateur à travers le routeur. Maintenance de "Lock and Key" Lorsque "Lock and Key" est en cours d'utilisation, les listes d'accès dynamiques aug- mentent de taille dynamiquement quand les entrées sont ajoutées. Vous devez vous assurer que les entrées sont effacées sur la base d'un délai car tant que ces entrées existent, le risque d'attaque par usurpation d'adresse existe. Egalement plus il y a ccnp_cch
10
Maintenance de "Lock and Key"
Lorsque "Lock and Key" est en cours d'utilisation, les listes d'accès dynamiques aug- mentent de taille dynamiquement quand les entrées sont ajoutées. Vous devez vous assurer que les entrées sont effacées sur la base d'un délai car tant que ces entrées existent, le risque d'attaque par usurpation d'adresse existe. Egalement plus il y a d'entrées plus grand sera l'impact sur les performances du routeur. Si vous n'avez pas de délai d'inactivité ou de délai absolu configuré, les entrées reste- ront dans la liste d'accès dynamique jusqu'à ce que vous les effaciez manuellement. Si c'est la cas, soyez très vigilant sur le retrait des entrées. Affichage des entrées des listes d'accès dynamiques Vous pouvez afficher les entrées temporaires des listes d'accès dynamiques lorsqu'elles sont en cours d'utilisation. Après qu'une entrée temporaire de liste d'accès soit effacée par vous-même, par le délai d'inactivité ou par le délai absolu, elle n'est plus visible. Le nombre de correspondances (hits) affiché indique le nombre de fois ou l'entrée de la liste d'accès a été utilisée et vérifiée. Pour afficher les listes d'accès dynamiques et les entrées temporaires des listes d'accès qui sont en cours d'utilisation, utilisez la commande suivante en mode EXEC privilégié. Commande But show access-list [access-list-number] Affiche les listes d'accès dynamiques et les entrées temporaires de listes d'accès. Effacer manuellement les entrées des listes d'accès dynamiques Pour effacer manuellement une entrée temporaire de liste d'accès, utilisez la comman- de suivante en mode EXEC privilégié. Commande But clear access-template [access-list-number| name] [dynamic-name][source][destination] Efface une liste d'accès dynamique. ccnp_cch
11
Exemples de configuration "Lock and Key"
Il y a deux exemples de configuration dans cette section: • Exemple "Lock and Key" avec authentification locale • Exemple de configuration "Lock and Key" avec authentification TACACS+ Cisco recommande que vous utilisiez les serveur d'authentification TACACS+ ou RADIUS. Exemple "Lock and Key" avec authentification locale Cet exemple montre comment configurer l'accès "Lock and Key" avec une authentifica- tion locale sur le routeur. "Lock and Key" est configuré sur l'interface Ethernet username name password password ! interface Ethernet0 ip address ip access-group 101 in ! access-list 101 permit tcp any host eq telnet access-list 101 dynamic mytestlist timeout 120 permit ip any any ! line vty login local autocommand access-enable timeout 5 La première entrée de la liste d'accès autorise uniquement Telnet sur le routeur. La se- conde entrée est ignorée jusqu'à ce que "Lock and Key" soit activé. Après que l'utilisa- teur ait initié une session Telnet sur le routeur, le routeur va tenter d'authentifier l'uti- lisateur. Si l'authentification est réussie, autocommand est exécutée et la session Tel- net est fermée. La commande autocommand crée une entrée temporaire dans la liste d'accès en entrée sur l'interface Ethernet0 d'après la deuxième entrée de la liste d'ac- cès (mytestlist). Cette entrée temporaire expirera cinq minutes après le début de la con- nexion. ccnp_cch
12
ccnp_cch Exemple "Lock and Key" avec authentification TACACS+
L'exemple suivant montre comment configurer l'accès "Lock and Key" avec une authen- tification par un serveur TACACS+. L'accès "Lock and Key" est configuré sur l'interface BRI0. Quatre ports vty sont définis avec le mot de passe cisco. aaa authentication login default tacacs+ enable aaa accounting exec stop-only tacacs+ aaa accounting network stop-only tacacs+ ! isdn switch-type basic-dms ! interface Ethernet0 ip address ! interface bri0 ip address encapsulation ppp dialer idle-timeout 3600 dialer wait-for-carrier-time dialer map ip name diane dialer string dialer-group ppp authentication chap ip access-group 102 in ! access-list 102 permit tcp any host eq telnet access-list 102 dynamic testlist timeout 5 permit ip any any ! ip route priority-list 1 interface BRI0 high tacacs-server host tacacs-server host tacacs-server key test1 tftp-server rom alias all ! dialer-list 1 protocol ip permit ! line cons password cisco line vty 0 4 autocommand access-enable timeout 5 password cisco ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.