La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Www.udivers.com www.ntic2.xtreemhost.com Pix cisco www.ntic2.xtreemhost.com ntic2.xtreemhost.com ntic2.xtreemhost.com www.udivers.com.

Présentations similaires


Présentation au sujet: "Www.udivers.com www.ntic2.xtreemhost.com Pix cisco www.ntic2.xtreemhost.com ntic2.xtreemhost.com ntic2.xtreemhost.com www.udivers.com."— Transcription de la présentation:

1 www.udivers.com www.ntic2.xtreemhost.com
Pix cisco ntic2.xtreemhost.com ntic2.xtreemhost.com

2 Qu'est-Ce Qu'un Pare-feu?
(coupe-feu, garde-barrière ou Firewall en anglais), est un système permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (notamment Internet) Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau suivantes : Une interface pour le réseau à protéger (réseau interne) inside Une interface pour le réseau externe outside ntic2.xtreemhost.com ntic2.xtreemhost.com

3 Fonctionnement D'un Système Pare-feu
Un système pare-feu contient un ensemble de règles prédéfinies permettant : D'autoriser la connexion (allow)  De bloquer la connexion (deny)  De rejeter la demande de connexion sans avertir l'émetteur (drop). ntic2.xtreemhost.com ntic2.xtreemhost.com

4 méthode de filtrage On distingue habituellement deux types de politiques de sécurité permettant : 1- soit d'autoriser uniquement les communications ayant été explicitement autorisées : "Tout ce qui n'est pas explicitement autorisé est interdit". 2- soit d'empêcher les échanges qui ont été explicitement interdits. ntic2.xtreemhost.com ntic2.xtreemhost.com

5 Type de filtrage 1 Le filtrage simple de paquets (filtrage basic, stateless packet filtering ) 2 Le filtrage dynamique ntic2.xtreemhost.com ntic2.xtreemhost.com

6 Le filtrage simple de paquets
Il se base sur la couche 3 du modèle OSI Il analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine du réseau interne et une machine extérieure. les en-têtes suivants, systématiquement analysés par le Firewall : 1- adresse IP de la machine émettrice 2- adresse IP de la machine réceptrice 3- type de paquet (TCP, UDP, etc.) 4- numéro de port (rappel: un port est un numéro associé à un service ou une application réseau) identifier la machine émettrice et la machine cible indication sur le type de service utilisé ntic2.xtreemhost.com ntic2.xtreemhost.com

7 Le filtrage dynamique est basé sur l'inspection des couches 3 et 4 du modèle OSI permettant d'effectuer un suivi des transactions entre le client et le serveur Un dispositif pare-feu de type « stateful inspection » est ainsi capable d'assurer un suivi des échanges, c'est-à-dire de tenir compte de l'état des anciens paquets pour appliquer les règles de filtrage. à partir du moment où une machine autorisée initie une connexion à une machine située de l'autre côté du pare-feu; l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement acceptés par le pare-feu. ntic2.xtreemhost.com ntic2.xtreemhost.com

8 présentation de Pix Les PIX Cisco sont des pare-feu qui intègrent matériel et logiciel ainsi une protection importante ntic2.xtreemhost.com ntic2.xtreemhost.com

9 Aspect du PIX Sur la face avant du PIX, on a très peu d'informations.
Le logo du constructeur La gamme du produit sur lequel on travaille. Trois diodes Ces diodes servent à définir différents statuts POWER - Elle permet de savoir si l'appareil est en marche ou bien arrêté. ACT - Cette diode est utile si on utilise une architecture de redondance, c'est-à-dire plus d'un PIX. Si elle est allumée cela veut dire que le PIX est actif. Sinon le PIX est en veille ou la redondance n'est pas activée. NETWORK - Elle est active lorsqu'au moins une interface réseau du PIX laisse passer le trafic. ntic2.xtreemhost.com ntic2.xtreemhost.com

10 Aspect du PIX Sur la face arrière du PIX, nous pouvons voir les différentes connectiques et les diodes qui représentent le statut des interfaces ntic2.xtreemhost.com ntic2.xtreemhost.com

11 Le principe un PIX est considéré comme une porte verrouillée. Pour passer au travers de cette porte et accéder aux services disponibles sur l'autre segment réseau, il faut posséder la clef, permettant de l'ouvrir. C'est le PIX qui va décider de donner ou non cette clef. Par exemple, si l'on considère une machine sur laquelle tourne le service WEB http et le daemon sshd. Par défaut toutes les portes du PIX sont fermées et seul le port 80 (http) a été ouvert ntic2.xtreemhost.com ntic2.xtreemhost.com

12 ntic2.xtreemhost.com ntic2.xtreemhost.com

13 Une plateforme évolutive
il est possible d’ajouter des cartes réseaux donc des interfaces sur la majorité de la gamme Pix Cisco Il est aussi possible de mettre à jour l’IOS du Firewall comme c’est le cas pour les routeurs. De ce fait nous pouvons ajouter des fonctionnalités à nos Pix sans avoir à les changer ntic2.xtreemhost.com ntic2.xtreemhost.com

14 Installation et configuration graphique
les Cisco Pix Firewall sont livrés avec un logiciel d'administration graphique (PDM). PDM permet à l'administrateur réseau de configurer et de gérer le pare-feu Pix Firewall à l'aide d'une interface GUI Il permet de récupérer, modifier et administrer les politiques de sécurité ainsi que de faire du monitoring ntic2.xtreemhost.com ntic2.xtreemhost.com

15 Pour le configurer, il faut utiliser les commandes « [no] http adresse-ip masque » et « [no] http server  enable». Par exemple: Pix-fsts (config)# http server enable pix-fsts (config)# http ntic2.xtreemhost.com ntic2.xtreemhost.com

16 ntic2.xtreemhost.com ntic2.xtreemhost.com

17 Performance (algorithme ASA)
performances PIX découlent d'un système de protection basé sur l'algorithme ASA (Adaptive Security Algorithm). Cet algorithme assure une très grande protection de l'accès au réseau interne en comparant les paquets entrants et sortants aux entrées d'une table. L'accès n'est autorisé qu’après authentification. ntic2.xtreemhost.com ntic2.xtreemhost.com

18 Nombre de connections Le Cisco Secure Pix Firewall 515-R supporte jusqu'à 64 000 sessions simultanées, le Pix 515-UR en supporte jusqu'à 128 000 et le Pix 520 jusqu'à 256 000 ntic2.xtreemhost.com ntic2.xtreemhost.com

19 Tolérance de panne La plus part des Pix Cisco dispose d'un system de tolérance de panne du nom de failover. Celui-ci permet de mettre un deuxième Pix en cascade au premier au cas ou celui-ci tomberait en panne Une interface est donc prévue à cet effet. Il suffit juste de connecter les deux Pix à cette interface et à activer le failover au niveau de l'IOS dans chacun des Pix. ntic2.xtreemhost.com ntic2.xtreemhost.com

20 Tolérance de panne Le Pix 506 ne permet pas le Failover
Les Pix 515, 525 et 535 supportent le Failover si et seulement si vous avez une licence UR. Pour faire du Failover avec des Pix, il faut deux Pix Failover. Dans tous les cas les 2 Pix doivent être rigoureusement identique en matière de : RAM, Flash, IOS. Le Failover avec des Pix est du type actif/passif. C'est à dire que le Pix2 est passif. Tout le trafic passe par le Pix1 qui est actif. Ce n'est que si ce premier Pix tombe que le second devient actif. ntic2.xtreemhost.com ntic2.xtreemhost.com

21 Caractéristiques matérielles ( Pix 515 )
Processeur Intel Celeron cadencé à 433 Mhz 128 Ko de mémoire cache niveau 2 cadencée à 433 Mhz Mémoire Flash de 16 Mo 32 Mo ou 64 Mo de RAM selon la License restreinte ou non restreinte Jusqu'à six interfaces selon les modèles Un port console pour l'administration Différentes diodes pour vérifier le statut de l'alimentation, du réseau et de la redondance. Un débit de sortie jusqu'à 188 Mbps Support de différents protocoles de cryptage pour la confidentialité des données utilisateur: 56 bit DES, 168 bits 3DES et 128 ou 256 bit AES Jusqu'à 60 / 130 Mbps pour les connexions VPN. ntic2.xtreemhost.com ntic2.xtreemhost.com

22 Caractéristiques fonctionnelles
Le PIX est un pare-feu à inspection d'état, peut assurer le suivi des échanges et utilise l'ASA (Adaptive Security Algorithm) pour ce filtrage dynamique. Il peut aussi contrôler l'accès de différentes applications, services et protocoles et protège votre réseau contre les attaques connues et courantes ntic2.xtreemhost.com ntic2.xtreemhost.com

23 Ce pare-feu gère également le VPN (IKE et IPSec)
Ce pare-feu gère également le VPN (IKE et IPSec). On peut ainsi créer des tunnels VPN entre sites. Le PIX peut aussi faire office de serveur DHCP pour les équipements connectés au réseau interne et grâce au NAT, permet à ces "clients" de se connecter à Internet avec une même adresse IP publique ntic2.xtreemhost.com ntic2.xtreemhost.com

24 Configuration de base Deux méthodes de configuration sont adaptées:
La configuration du PIX peut s'effectuer via une interface web : le Pix Device Manager (PDM). Ou par le biais de commandes entrées manuellement par l'administrateur l'interface en ligne de commande (CLI). ntic2.xtreemhost.com ntic2.xtreemhost.com

25 Modes de commandes il existe plusieurs niveaux d'accès administratifs : Mode utilisateur Mode privilégié Mode de configuration globale ntic2.xtreemhost.com ntic2.xtreemhost.com

26 Mode utilisateur mode par défaut, on peut consulter certaines informations sur le pare-feu mais sans pouvoir effectuer de modifications en mode utilisateur, on aura : PIX-FSTS> ntic2.xtreemhost.com ntic2.xtreemhost.com

27 Mode privilégié permet de procéder à la configuration de base du pare-feu et de visualiser son état. En mode privilégié : PIX-FSTS # ntic2.xtreemhost.com ntic2.xtreemhost.com

28 Mode de configuration globale
comme son nom l'indique, permet de configurer les paramètres ayant une portée globale. Et en mode de configuration globale : PIX-FSTS(config)# ntic2.xtreemhost.com ntic2.xtreemhost.com

29 Pour passer d'un mode à l'autre il faut utiliser les commandes suivantes :
- enable pour passer du mode utilisateur à privilégié et disable ou exit pour l'inverse. - configure terminal pour passer du mode privilégié à configuration globale et exit pour l'inverse. ntic2.xtreemhost.com ntic2.xtreemhost.com

30 Une bonne configuration mais avec une bonne organisation !!
ntic2.xtreemhost.com ntic2.xtreemhost.com

31 Méthode et Organisation de la configuration de Pix
Pour que notre Firewall Pix soit bien configurer il faut suivre une méthode de configuration bien organisé qui va nous aider par la suite de savoir les faille de la configuration plus rapidement ntic2.xtreemhost.com ntic2.xtreemhost.com

32 Configuration de base Ci-après les principes d’une configuration organisée et moins réduite  ntic2.xtreemhost.com ntic2.xtreemhost.com

33 Nom du Pix et domaine du pix :
hostname Pix-FSTS domain-name fsts.ac.ma ntic2.xtreemhost.com ntic2.xtreemhost.com

34 Mot de passe du pix pour l'accès en mode enable
enable password mot-de-passe encrypted ntic2.xtreemhost.com ntic2.xtreemhost.com

35 Mot de passe du pix pour l'accès en telnet et ssh
 passwd password [encrypted] ntic2.xtreemhost.com ntic2.xtreemhost.com

36 Nommages des équipements
Pendant la configuration un administrateur réseaux a eu la charge de rappeler toutes les adresses IP nécessaire pour cette configuration  alors pour faciliter cette tache, on affecte un nom à chaque adresse IP et au lieu d’appliquer les règles des contrôles d’accès ou d’autre configuration sur les adresses IP il nous suffit juste de les appliquer sur les noms affectés des hôtes ou des serveurs utilisée ntic2.xtreemhost.com ntic2.xtreemhost.com

37 Configuration des interfaces
Nom des interfaces et affectation d'un niveau de sécurité Le Pix interdit toute communication  émanent d'une interface ayant un niveau de sécurité bas vers une interface de niveau élevé Il faut donc attribuer un niveau de sécurité de 0 pour l'interface connectée à Internet et un niveau de 100 pour l'interface connecter au LAN la DMZ (zone démilitarisée), on met un niveau de sécurité à 50 ntic2.xtreemhost.com ntic2.xtreemhost.com

38 Configuration des interfaces
nameif hardware_id if_name security_level Par exemple: # nameif ethernet0 outside security0 # nameif ethernet1 dmz security50 # nameif ethernet2 inside security 100 ntic2.xtreemhost.com ntic2.xtreemhost.com

39 Affectation des adresses ip aux interfaces
ip address if_name ip_address [netmask] # ip address outside # ip address dmz ntic2.xtreemhost.com ntic2.xtreemhost.com

40 Les ACLS les Access liste ,les listes de contrôles d’accès
Une ACL sur un pare-feu, est une liste d'adresses ou de ports autorisés ou interdits par le dispositif de filtrage. ACLs sont les ligne de la configuration les plus importantes au niveau du Pix c’est eux qui nous permettent d’appliquer les règles de permission ou de blocage soit des application ,des services ou des hôtes ntic2.xtreemhost.com ntic2.xtreemhost.com

41 Définition des objets (Object Grouping)
Une ACL peut permettre au PIX d'autoriser un client particulier à accéder à un serveur particulier pour un service spécifique. Quand il y a seulement un client, un serveur et un service, le nombre de lignes est minimum dans l'ACL  Cependant, en augmentant le nombre de clients, de serveurs, le nombre de lignes dans une ACL augmente exponentiellement. ntic2.xtreemhost.com ntic2.xtreemhost.com

42 Définition des objets (Object Grouping)
On peut grouper des objets de réseau tels que des serveurs et des services pour simplifier la tâche de création et d'application d'ACLs. Ceci réduit le nombre d'entrées de contrôle d'accès (ACEs) exigées pour mettre en application des politiques complexes de sécurité. ntic2.xtreemhost.com ntic2.xtreemhost.com

43 le groupe group_admin contient :
L'application d'un groupe d'objet à une commande est l'équivalent d'appliquer chaque élément du groupe d'objet à la commande Par exemple: le groupe group_admin contient : Le groupe group_service soutient les protocoles HTTP, HTTPS et FTP L'application du groupe group_admin et group_service à un ACE est équivalente à appliquer tous les hôtes et protocoles individuellement à l'ACE. ntic2.xtreemhost.com ntic2.xtreemhost.com

44 Par conséquent, la commande :
access-list outside permit tcp any object-group DMZ_Servers object-DMZ_Services Est équivalente à: access-list outside permit tcp any eq http access-list outside permit tcp any hos eq https access-list outside permit tcp any eq ftp access-list outside permit tcp any eq http access-list outside permit tcp any eq https access-list outside permit tcp any eq ftp access-list outside permit tcp any eq http access-list outside permit tcp any eq https access-list outside permit tcp any eq ftp ntic2.xtreemhost.com ntic2.xtreemhost.com

45 Types d’objet groupe Grouper les objets fournit une manière de grouper des objets d'un type identique de sorte qu'une ACL simple puisse s'appliquer à tous objets dans le groupe. Vous pouvez créer les types suivants de groupes d'objet : -Network : Utilisée pour grouper les hôtes et les sous-réseaux -Protocol : Utilisée pour grouper les protocoles Peut contenir un des mots Clés Parmi icmp, ip, tcp, or udp, ou un entier entre 1 à 254 représentant un numéro de protocole. Utiliser le mot clé ip pour englober tous les protocoles Internet, incluant ICMP, TCP et UDP. - Service : Utilisée pour grouper les ports TCP or UDP assignés à différents services. - ICMP-type : Utilisée pour grouper les types de messages ICMP à autoriser ou refuser. ntic2.xtreemhost.com ntic2.xtreemhost.com

46 Configuration d'un object-group
object-group network pour nommer l'objet réseau et entre en mode secondaire d'objet de réseau. Une fois à l'intérieur de ce mode, on peut employer la commande network-object pour ajouter un serveur ou un réseau au groupe d'objet de réseau. object-group network group-admin network-object host | administrateur-reseau network-object C'est similaire pour les objets service: object-group service Services tcp port-object eq service port-object range begin_service end_service(pour assigner un plage de service ntic2.xtreemhost.com ntic2.xtreemhost.com

47 Configuration du NAT  La translation d'adresse réseau, NAT, est un mécanisme permettant, entre autre, de connecter plusieurs équipements réseau à Internet via une seule adresse IP publique leurs adresses internes restant ainsi inconnues de l'extérieur. Pour le configurer sur le PIX il faut utiliser les commandes suivantes. Ceci est nécessaire afin de faire communiquer les hôtes avec un haut niveau de sécurité vers ceux ayant un niveau plus bas ntic2.xtreemhost.com ntic2.xtreemhost.com

48 nat [(if_name)] nat_id address [netmask] [dns][max_conns]
Vérification de la configuration NAT: show nat : Cette commande sert à afficher un hôte ou une ensemble d'hôte translatés. show global: Affiche les pools d'adresses configurées sur le PIX. show xlate: Affiche la table de translation ntic2.xtreemhost.com ntic2.xtreemhost.com

49 Sauvegarde de La configuration
Obligatoire, importante et incontournable pour un administrateur réseau parce que cette partie il va nous permettre de garder les traces de la configuration finale Dans les cas d’ajout d’une configuration malveillante on peut restaurer la configuration sauvegardée tranquillement sans aucun doute, ni stress L’utilisation de la commande « write memory » va vous permettre de sauvegarder dans la mémoire flash toute la configuration du PIX que vous venez de réaliser ntic2.xtreemhost.com ntic2.xtreemhost.com

50 Complement de securité
Afin de garantir un niveau de protection maximal, il est nécessaire d'administrer le pare-feu et notamment de surveiller son journal d'activité afin d'être en mesure de détecter les tentatives d'intrusion et les anomalies. Par ailleurs, il est recommandé d'effectuer une veille de sécurité afin de modifier le paramétrage de son dispositif en fonction de la publication des alertes. La mise en place d'un Firewall doit donc se faire en accord avec une véritable politique de sécurité  y compris : ntic2.xtreemhost.com ntic2.xtreemhost.com

51 LE CLOISONNEMENT Le cloisonnement du réseau consiste à définir plusieurs zones de niveaux de sécurité différents, identifier les échanges entre les niveaux et limiter les échanges au strict minimum. En effet, cela permettra de : Séparer les zones de confiances différentes Assurer une meilleure protection des services IP, Assurer une meilleure séparation des flux. ntic2.xtreemhost.com ntic2.xtreemhost.com

52 1- Le filtrage des flux IP par l’utilisation des Firewalls
Le cloisonnement du réseau sera accompagné des moyens techniques suivants : 1- Le filtrage des flux IP par l’utilisation des Firewalls 2- La translation d’adresse permettant de cacher la topologie du réseau interne aux correspondants externes. Plusieurs types d’implémentation sont utilisés : Traduction statique d’adresses Traduction dynamique de ports : elle est appliquée aux postes de travail internes pour naviguer sur Internet ou communiquer avec les différents serveurs métiers localisés sur les autres zones de sécurité. Les services de filtrage et relais applicatifs sont réalisés sur des serveurs dédiés comme les serveurs Proxy http (Antivirus SMTP, Antivirus http/FTP, Filtrage URL), Le service d’Authentification, d’Autorisation et d’Accounting est assuré par une plateforme de contrôle d’accès basée sur le protocole Radius et Tacacs ntic2.xtreemhost.com ntic2.xtreemhost.com

53 PROTECTION ANTIVIRALE DES FLUX HTTP/FTP
Les flux de messagerie entrants et sortants sont routés vers la passerelle de protection antivirale SMTP. En effet, cette passerelle analyse le contenu des messages reçus et vérifie qu’ils ne contiennent aucun virus ou code malicieux puis transférera le message vers le serveur de messagerie ou Internet. ntic2.xtreemhost.com ntic2.xtreemhost.com

54 LA DETECTION D’INTRUSION
pour atténuer ces risques à mettre en place des détecteurs d’intrusions réseaux sur les différents segments « Public » et « Partenaires ». Les principales fonctionnalités qui sont exploitées sont : - Examen « silencieux » du trafic réseau ; -envoi de Logs vers le serveur d’analyse de logs -Comparaison du trafic capturé avec une base de données d'attaques ; -Mise en place éventuelles d’actions efficaces en cas d'attaque ; -Remonté d'alertes vers une console centrale (+ mails, ...). ntic2.xtreemhost.com ntic2.xtreemhost.com

55 LA REDONDANCE ET DISPONIBILITE
Afin de compléter la robustesse de l’infrastructure de sécurité des accès Internet mise en place, une amélioration du niveau de disponibilité est indispensable, cette amélioration passe par : Redondance des équipements Firewalls en FailOver, Redondance des serveurs passe les Antirus SMTP/Antispam et Http/FTP. ntic2.xtreemhost.com ntic2.xtreemhost.com

56 conclusion N’oubliez pas que la configuration n’est pas définitive et qu’il très important de faire un suivi régulier, c'est-à-dire mettre à jour les schémas réseaux lors de modifications et les appliquer sur le PIX. Le PIX étant un produit très évolutif, vous pourrez ajouter facilement des cartes d’extension, ou bien mettre à jour l’IOS ntic2.xtreemhost.com ntic2.xtreemhost.com

57 Merci pour votre attention
Gracias por su atención ntic2.xtreemhost.com ntic2.xtreemhost.com


Télécharger ppt "Www.udivers.com www.ntic2.xtreemhost.com Pix cisco www.ntic2.xtreemhost.com ntic2.xtreemhost.com ntic2.xtreemhost.com www.udivers.com."

Présentations similaires


Annonces Google