La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

IOS Firewall - Blocage d'applets Java

Publié parCéline Virginie Papineau Modifié depuis plus de 5 années

Présentations similaires

Présentation au sujet: "IOS Firewall - Blocage d'applets Java"— Transcription de la présentation:

1 IOS Firewall - Blocage d'applets Java
ccnp_cch ccnp_cch

2 Sommaire • Introduction • Composants utilisés
• Bloquer les applets Java issues d'Internet • Configurer • Vérifier • Résolution de problèmes? ccnp_cch

3 Serveur Web 2 non autorisé
Introduction Cet exemple de configuration montre comment utiliser la fonctionnalité CBAC (Context Based Access Control) de l'IOS Firewall Cisco pour autoriser les applets Java de sites donnés et bloquer les autres. Ce type de blocage interdit l'accès à des applets Java qui ne sont pas embarquées dans une archive ou un fichier compressé. Composants utilisés Les informations présentées dans ce document sont basées sur les versions de logiciel et de matériel suivantes: • Routeur Cisco • IOS Cisco Release C1700-k9o3sy7-mz T.bin Interdire les applets Java issues d'Internet Suivre cette procédure: Créer des listes de contrôle d'accès (ACLs) 2. Ajouter la commande ip inspect http java à la configuration 3. Appliquez les commandes ip inspect et access-list à l'interface de sortie Note: Dans cet exemple, la liste d'accès 3 autorise les applets Java issues du site de confiance ( ) et interdit implicitement tous les autres sites. Les adresses affectées à l'interface externe ne sont pas routables sur Internet car cet exemple a été configuré dans un laboratoire de test. Note: Remarquez également qu'il n'est plus nécessaire d'appliquer la liste d'accès à l'interface de sortie si vous utilisez l'IOS Cisco release 12.4(4)T ou ultérieure. Configurer Dans cette section sont présentées les informations nécessaires pour configurer les fonctionnalités décrites dans ce document. Schéma du réseau Internet Réseau x Serveur Web Inside Ethernet Outside FastEthernet Serveur Web 2 non autorisé ccnp_cch

4 Configuration du Routeur
Configurations Configuration du Routeur Current configuration : 1224 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname Routeur_FW boot-start-marker boot-end-marker memory-size iomem 15 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 no aaa new-model ip subnet-zero ip cef ip inspect name firewall tcp ip inspect name firewall udp !--- ACL utilisée pour Java. ip inspect name firewall http java-list 3 audit-trail on ip ips po max-events 100 no ftp-server write-enable interface FastEthernet0/0 ip address !--- ACL utilisée pour bloquer le trazfic entrant !--- sauf celui permis par l'inspection. !--- Ceci n'est plus requis sur l'IOS Cisco !--- Release T ou suivantes. ip access-group 100 in ip nat outside ip inspect firewall out ip virtual-reassembly speed auto interface Serial0/0 no ip address shutdown no fair-queue interface Ethernet1/0 ip address ip nat inside half-duplex ccnp_cch

5 Vérification ccnp_cch
ip classless ip route no ip http server no ip http secure-server !--- ACL utilisée pour Network Address Translation (NAT). ip nat inside source list 1 interface FastEthernet0/0 overload ! !--- ACL utilisée pour NAT. access-list 1 permit !--- ACL utilisée pour Java. access-list 3 permit !--- ACL utilisée pour bloquer le trafic entrant !--- excepté celui permis pat l'inspection. !--- Ceci n'est plus requis sur l'IOS Cisco !--- Software Release T ou ultérieur. access-list 100 deny ip any any control-plane line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 login end Vérification Cette section fournit des informations que vous pouvez utiliser pour confirmer que votre configuration fonctionne correctement. • show ip inspect session [detail ] - Affiche les sessions existantes tracées et inspec- tées par CBAC. Le mot-clé optionnel detail permet d'afficher des informations supplé- mentaires sur les sessions. Résolution de problèmes Commandes utilisables: • no ip inspect alert-off - Valide les messages d'alerte CBAC. Si l'interdiction http est configurée, vous pouvez voir les messages affichés sur la console. • debug ip inspect - Affiche les messages sur les évènements CBAC. Voici un exemple de la sortie de la commande debug ip inspect detail après une tenta- tive de connexion au serveur Web à l'adresse et à un autre site non certi- fié qui des applets Java. ccnp_cch

6 ccnp_cch Log Java rejeté
*Jan 12 21:43:42.919: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2673) -- responder ( :80) *Jan 12 21:43:43.571: %FW-3-HTTP_JAVA_BLOCK: JAVA applet is blocked from ( :80) to ( :2673). *Jan 12 21:43:43.575: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2673) sent 276 bytes -- responder ( :80) sent 0 bytes *Jan 12 21:43:43.575: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2674) *Jan 12 21:43:43.823: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2672) sent 486 bytes -- responder ( :80) sent 974 bytes *Jan 12 21:43:44.007: %FW-3-HTTP_JAVA_BLOCK: JAVA applet is blocked from ( :80) to ( :2674). *Jan 12 21:43:44.011: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2674) sent 276 bytes -- responder ( :80) sent 1260 bytes *Jan 12 21:43:44.011: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2675) *Jan 12 21:43:44.439: %FW-3-HTTP_JAVA_BLOCK: JAVA applet is blocked from ( :80) to ( :2675). *Jan 12 21:43:44.443: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2675) sent 233 bytes *Jan 12 21:43:44.443: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2676) *Jan 12 21:43:44.879: %FW-3-HTTP_JAVA_BLOCK: JAVA applet is blocked from ( :80) to ( :2676). *Jan 12 21:43:44.879: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2676) sent 233 bytes *Jan 12 21:43:44.899: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2677) ccnp_cch

7 ccnp_cch Log Java permis
Jan 12 21:44:12.143: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2685) -- responder ( :80) *Jan 12 21:44:12.343: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2686) *Jan 12 21:44:17.343: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2685) sent 626 bytes -- responder ( :80) sent 533 bytes *Jan 12 21:44:17.351: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator ( :2686) sent 314 bytes -- responder ( :80) sent 126 bytes *Jan 12 21:44:23.803: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2687) *Jan 12 21:44:27.683: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2691) *Jan 12 21:44:28.411: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2692) *Jan 12 21:44:28.451: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2693) *Jan 12 21:44:28.463: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2694) *Jan 12 21:44:28.475: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2695) *Jan 12 21:44:28.487: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2696) *Jan 12 21:44:28.499: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2697) *Jan 12 21:44:28.515: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2698) *Jan 12 21:44:28.527: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2699) *Jan 12 21:44:28.543: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2700) *Jan 12 21:44:28.551: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2701) *Jan 12 21:44:29.075: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2734) *Jan 12 21:44:29.135: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2735) *Jan 12 21:44:29.155: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2736) ccnp_cch

8 ccnp_cch *Jan 12 21:44:29.159: %FW-6-SESS_AUDIT_TRAIL_START:
Start http session: initiator ( :2737) -- responder ( :80) *Jan 12 21:44:29.215: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2739) *Jan 12 21:44:29.231: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2740) *Jan 12 21:44:29.251: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2742) *Jan 12 21:44:29.395: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2747) *Jan 12 21:44:29.403: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2748) *Jan 12 21:44:29.423: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2749) *Jan 12 21:44:30.091: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2798) *Jan 12 21:44:30.095: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2799) *Jan 12 21:44:30.115: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2800) *Jan 12 21:44:30.119: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2801) *Jan 12 21:44:30.123: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2802) *Jan 12 21:44:30.191: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2803) *Jan 12 21:44:30.219: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2804) *Jan 12 21:44:30.399: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2805) *Jan 12 21:44:30.411: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2806) *Jan 12 21:44:30.423: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2807) *Jan 12 21:44:31.103: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2843) *Jan 12 21:44:31.115: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2844) *Jan 12 21:44:31.127: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2845) ccnp_cch

9 ccnp_cch *Jan 12 21:44:31.139: %FW-6-SESS_AUDIT_TRAIL_START:
Start http session: initiator ( :2846) -- responder ( :80) *Jan 12 21:44:31.147: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2847) *Jan 12 21:44:31.159: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2848) *Jan 12 21:44:31.171: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2849) *Jan 12 21:44:31.183: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2850) *Jan 12 21:44:31.195: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2851) *Jan 12 21:44:31.203: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2852) *Jan 12 21:44:32.107: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2908) *Jan 12 21:44:32.123: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2909) *Jan 12 21:44:32.143: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2910) *Jan 12 21:44:32.163: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2911) *Jan 12 21:44:32.175: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2912) *Jan 12 21:44:32.187: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2913) *Jan 12 21:44:32.199: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2914) *Jan 12 21:44:32.211: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2915) *Jan 12 21:44:32.223: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2916) *Jan 12 21:44:32.235: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2917) *Jan 12 21:44:33.151: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2982) *Jan 12 21:44:33.163: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2983) *Jan 12 21:44:33.175: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2984) ccnp_cch

10 ccnp_cch *Jan 12 21:44:33.187: %FW-6-SESS_AUDIT_TRAIL_START:
Start http session: initiator ( :2985) -- responder ( :80) *Jan 12 21:44:33.199: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2986) *Jan 12 21:44:33.211: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2987) *Jan 12 21:44:33.223: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2988) *Jan 12 21:44:33.235: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2989) *Jan 12 21:44:33.251: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2990) *Jan 12 21:44:33.259: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator ( :2991) ccnp_cch

Télécharger ppt "IOS Firewall - Blocage d'applets Java"

Présentations similaires

Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n° 36243.

Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n°
Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
Sécurité - Configuration du PIX avec un seul réseau interne

Sécurité - Configuration du PIX avec un seul réseau interne
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Sécurité - Configuration d'un

Sécurité - Configuration d'un
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN

Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)

Registre de Configuration (Configuration Register)
Commande ip nat service

Commande ip nat service
Sécurité - Configuration du PIX

Sécurité - Configuration du PIX
Sécurité - ASA7.x/PIX 6.x et plus

Sécurité - ASA7.x/PIX 6.x et plus
Sécurité - Configuration d'un

Sécurité - Configuration d'un
Tunnel pour paquets IP Multicast

Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77

Configuration Routeur SOHO77
Configuration d'un accès

Configuration d'un accès
Sécurité - Listes d'Accès - Standards et Etendues - Configuration

Sécurité - Listes d'Accès - Standards et Etendues - Configuration

Présentations similaires

Annonces Google