Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parCéline Virginie Papineau Modifié depuis plus de 6 années
1
IOS Firewall - Blocage d'applets Java
ccnp_cch ccnp_cch
2
Sommaire • Introduction • Composants utilisés
• Bloquer les applets Java issues d'Internet • Configurer • Vérifier • Résolution de problèmes? ccnp_cch
3
Serveur Web 2 non autorisé
Introduction Cet exemple de configuration montre comment utiliser la fonctionnalité CBAC (Context Based Access Control) de l'IOS Firewall Cisco pour autoriser les applets Java de sites donnés et bloquer les autres. Ce type de blocage interdit l'accès à des applets Java qui ne sont pas embarquées dans une archive ou un fichier compressé. Composants utilisés Les informations présentées dans ce document sont basées sur les versions de logiciel et de matériel suivantes: • Routeur Cisco • IOS Cisco Release C1700-k9o3sy7-mz T.bin Interdire les applets Java issues d'Internet Suivre cette procédure: Créer des listes de contrôle d'accès (ACLs) 2. Ajouter la commande ip inspect http java à la configuration 3. Appliquez les commandes ip inspect et access-list à l'interface de sortie Note: Dans cet exemple, la liste d'accès 3 autorise les applets Java issues du site de confiance ( ) et interdit implicitement tous les autres sites. Les adresses affectées à l'interface externe ne sont pas routables sur Internet car cet exemple a été configuré dans un laboratoire de test. Note: Remarquez également qu'il n'est plus nécessaire d'appliquer la liste d'accès à l'interface de sortie si vous utilisez l'IOS Cisco release 12.4(4)T ou ultérieure. Configurer Dans cette section sont présentées les informations nécessaires pour configurer les fonctionnalités décrites dans ce document. Schéma du réseau Internet Réseau x Serveur Web Inside Ethernet Outside FastEthernet Serveur Web 2 non autorisé ccnp_cch
4
Configuration du Routeur
Configurations Configuration du Routeur Current configuration : 1224 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname Routeur_FW boot-start-marker boot-end-marker memory-size iomem 15 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 no aaa new-model ip subnet-zero ip cef ip inspect name firewall tcp ip inspect name firewall udp !--- ACL utilisée pour Java. ip inspect name firewall http java-list 3 audit-trail on ip ips po max-events 100 no ftp-server write-enable interface FastEthernet0/0 ip address !--- ACL utilisée pour bloquer le trazfic entrant !--- sauf celui permis par l'inspection. !--- Ceci n'est plus requis sur l'IOS Cisco !--- Release T ou suivantes. ip access-group 100 in ip nat outside ip inspect firewall out ip virtual-reassembly speed auto interface Serial0/0 no ip address shutdown no fair-queue interface Ethernet1/0 ip address ip nat inside half-duplex ccnp_cch
5
Vérification ccnp_cch
ip classless ip route no ip http server no ip http secure-server !--- ACL utilisée pour Network Address Translation (NAT). ip nat inside source list 1 interface FastEthernet0/0 overload ! !--- ACL utilisée pour NAT. access-list 1 permit !--- ACL utilisée pour Java. access-list 3 permit !--- ACL utilisée pour bloquer le trafic entrant !--- excepté celui permis pat l'inspection. !--- Ceci n'est plus requis sur l'IOS Cisco !--- Software Release T ou ultérieur. access-list 100 deny ip any any control-plane line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 login end Vérification Cette section fournit des informations que vous pouvez utiliser pour confirmer que votre configuration fonctionne correctement. • show ip inspect session [detail ] - Affiche les sessions existantes tracées et inspec- tées par CBAC. Le mot-clé optionnel detail permet d'afficher des informations supplé- mentaires sur les sessions. Résolution de problèmes Commandes utilisables: • no ip inspect alert-off - Valide les messages d'alerte CBAC. Si l'interdiction http est configurée, vous pouvez voir les messages affichés sur la console. • debug ip inspect - Affiche les messages sur les évènements CBAC. Voici un exemple de la sortie de la commande debug ip inspect detail après une tenta- tive de connexion au serveur Web à l'adresse et à un autre site non certi- fié qui des applets Java. ccnp_cch
6
ccnp_cch Log Java rejeté
*Jan 12 21:43:42.919: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2673) -- responder ( :80) *Jan 12 21:43:43.571: %FW-3-HTTP_JAVA_BLOCK: JAVA applet is blocked from ( :80) to ( :2673). *Jan 12 21:43:43.575: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2673) sent 276 bytes -- responder ( :80) sent 0 bytes *Jan 12 21:43:43.575: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2674) *Jan 12 21:43:43.823: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2672) sent 486 bytes -- responder ( :80) sent 974 bytes *Jan 12 21:43:44.007: %FW-3-HTTP_JAVA_BLOCK: JAVA applet is blocked from ( :80) to ( :2674). *Jan 12 21:43:44.011: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2674) sent 276 bytes -- responder ( :80) sent 1260 bytes *Jan 12 21:43:44.011: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2675) *Jan 12 21:43:44.439: %FW-3-HTTP_JAVA_BLOCK: JAVA applet is blocked from ( :80) to ( :2675). *Jan 12 21:43:44.443: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2675) sent 233 bytes *Jan 12 21:43:44.443: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2676) *Jan 12 21:43:44.879: %FW-3-HTTP_JAVA_BLOCK: JAVA applet is blocked from ( :80) to ( :2676). *Jan 12 21:43:44.879: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2676) sent 233 bytes *Jan 12 21:43:44.899: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2677) ccnp_cch
7
ccnp_cch Log Java permis
Jan 12 21:44:12.143: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2685) -- responder ( :80) *Jan 12 21:44:12.343: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2686) *Jan 12 21:44:17.343: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2685) sent 626 bytes -- responder ( :80) sent 533 bytes *Jan 12 21:44:17.351: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2686) sent 314 bytes -- responder ( :80) sent 126 bytes *Jan 12 21:44:23.803: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2687) *Jan 12 21:44:27.683: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2691) *Jan 12 21:44:28.411: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2692) *Jan 12 21:44:28.451: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2693) *Jan 12 21:44:28.463: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2694) *Jan 12 21:44:28.475: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2695) *Jan 12 21:44:28.487: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2696) *Jan 12 21:44:28.499: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2697) *Jan 12 21:44:28.515: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2698) *Jan 12 21:44:28.527: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2699) *Jan 12 21:44:28.543: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2700) *Jan 12 21:44:28.551: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2701) *Jan 12 21:44:29.075: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2734) *Jan 12 21:44:29.135: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2735) *Jan 12 21:44:29.155: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2736) ccnp_cch
8
ccnp_cch *Jan 12 21:44:29.159: %FW-6-SESS_AUDIT_TRAIL_START:
Start http session: initiator ( :2737) -- responder ( :80) *Jan 12 21:44:29.215: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2739) *Jan 12 21:44:29.231: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2740) *Jan 12 21:44:29.251: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2742) *Jan 12 21:44:29.395: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2747) *Jan 12 21:44:29.403: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2748) *Jan 12 21:44:29.423: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2749) *Jan 12 21:44:30.091: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2798) *Jan 12 21:44:30.095: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2799) *Jan 12 21:44:30.115: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2800) *Jan 12 21:44:30.119: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2801) *Jan 12 21:44:30.123: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2802) *Jan 12 21:44:30.191: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2803) *Jan 12 21:44:30.219: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2804) *Jan 12 21:44:30.399: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2805) *Jan 12 21:44:30.411: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2806) *Jan 12 21:44:30.423: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2807) *Jan 12 21:44:31.103: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2843) *Jan 12 21:44:31.115: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2844) *Jan 12 21:44:31.127: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2845) ccnp_cch
9
ccnp_cch *Jan 12 21:44:31.139: %FW-6-SESS_AUDIT_TRAIL_START:
Start http session: initiator ( :2846) -- responder ( :80) *Jan 12 21:44:31.147: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2847) *Jan 12 21:44:31.159: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2848) *Jan 12 21:44:31.171: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2849) *Jan 12 21:44:31.183: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2850) *Jan 12 21:44:31.195: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2851) *Jan 12 21:44:31.203: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2852) *Jan 12 21:44:32.107: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2908) *Jan 12 21:44:32.123: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2909) *Jan 12 21:44:32.143: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2910) *Jan 12 21:44:32.163: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2911) *Jan 12 21:44:32.175: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2912) *Jan 12 21:44:32.187: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2913) *Jan 12 21:44:32.199: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2914) *Jan 12 21:44:32.211: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2915) *Jan 12 21:44:32.223: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2916) *Jan 12 21:44:32.235: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2917) *Jan 12 21:44:33.151: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2982) *Jan 12 21:44:33.163: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2983) *Jan 12 21:44:33.175: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2984) ccnp_cch
10
ccnp_cch *Jan 12 21:44:33.187: %FW-6-SESS_AUDIT_TRAIL_START:
Start http session: initiator ( :2985) -- responder ( :80) *Jan 12 21:44:33.199: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2986) *Jan 12 21:44:33.211: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2987) *Jan 12 21:44:33.223: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2988) *Jan 12 21:44:33.235: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2989) *Jan 12 21:44:33.251: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2990) *Jan 12 21:44:33.259: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2991) ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.