Notes sur le CBAC 2° partie, Notes de Fondements informatiques
Francine88
Francine888 January 2014

Notes sur le CBAC 2° partie, Notes de Fondements informatiques

PDF (1.1 MB)
29 pages
358Numéro de visites
Description
Notes de fondements informatiques sur le CBAC - 2° partie. Les principaux thèmes abordés sont les suivants: Configuration du CBAC, les diffèrentes taches, exemples de CBAC, commandes show, commandes debug, limitations, c...
20points
Points de téléchargement necessaire pour télécharger
ce document
Télécharger le document
Aperçu3 pages / 29
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Aperçu avant impression terminé
Chercher dans l'extrait du document
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Aperçu avant impression terminé
Chercher dans l'extrait du document

Configuration du CBAC

docsity.com

Tâche 1

docsity.com

Tâche 2

Router(config)# logging on Router(config)# logging 10.0.0.3 Router(config)# ip inspect audit-trail

Une alerte est générée quand un paquet IP se voit rejeté par le CBAC

docsity.com

Tâche 3

docsity.com

Tâche 4

docsity.com

Tâche 4

docsity.com

Tâche 5

docsity.com

Tâche 5

Router# sh ip port-map ftp Default mapping: ftpport 21 system defined Host specific: ftpport 1000 in list 10 user

docsity.com

Tâche 6

docsity.com

Tâche 6

Router(config)# ip inspect name FWRULE smtp alert on audit-trail on timeout 300

Router(config)# ip inspect name FWRULE ftp alert on audit-trail on timeout 300

Router(config)# ip inspect name FWRULE http java-list 10 alert on audit-trail on timeout 300

Router(config)# ip access-list 10 deny 172.26.26.0 0.0.0.255

Router(config)# ip access-list 10 permit 172.27.27.0 0.0.0.255

docsity.com

Tâche 6

Router(config)# ip inspect name FWRULE rpc program-number 100022 wait-time 0 alert off audit-trail on

docsity.com

Tâche 7

Router(config)# ip inspect name FWRULE fragment max 254 timeout 4

max : nombre maxi de fragments avant Réassemblage

timeout : attente maximum de réassemblage avant rejet

docsity.com

Tâche 8

docsity.com

Tâche 9

docsity.com

Tâche 10

docsity.com

Tâche 10

docsity.com

46

CBAC : exemple 1

docsity.com

47

Autorise le trafic initié par les hôtes du réseau 10.0.0.0/24

Router(config)# interface e0/0 Router(config-if)# ip inspect OUTBOUND in Router(config-if)# ip access-group 101 in

Router(config)# access-list 101 permit ip 10.0.0.0 0.0.0.255 any

Router(config)# access-list 101 deny ip any any

Router(config)# ip inspect name OUTBOUND tcp Router(config)# ip inspect name OUTBOUND udp

Configure CBAC pour l’inspection du trafic TCP et UDP

CBAC : exemple 1

Applique les règles d’inspection et l’ACL à l’interface e0/0 en entrée (patte inside du firewall)

docsity.com

48

Router(config)# interface e0/1 Router(config-if)# ip access-group 102 in

Router(config)# access-list 102 permit icmp any host 10.0.0.3

Router(config)# access-list 102 permit tcp any host 10.0.0.3 eq www

Router(config)# access-list 102 deny ip any any

Applique l’ACL à l’interface e0/1 en entrée (patte outside du routeur)

Autorise seulement le trafic ICMP et HTTP vers 10.0.0.3, initié depuis l’extérieur

CBAC : exemple 1

docsity.com

49

CBAC : exemple 2

docsity.com

RE16 50 • Applique les règles d’inspection et l’ACL à l’interface e0/0 en entrée

(patte inside du firewall)

Autorise le trafic initié par les hôtes du réseau 10.0.0.0/24

Router(config)# interface e0/0 Router(config-if)# ip inspect OUTBOUND in Router(config-if)# ip access-group 101 in

Router(config)# access-list 101 permit ip 10.0.0.0 0.0.0.255 any

Router(config)# access-list 101 deny ip any any

Router(config)# ip inspect name OUTBOUND tcp Router(config)# ip inspect name OUTBOUND udp

Configure CBAC pour l’inspection du trafic TCP et UDP

CBAC : exemple 2

docsity.com

RE16 51 • Applique les règles d’inspection et l’ACL à l’interface e0/1 en entrée

(patte outside du firewall)

Autorise le trafic ICMP et HTTP initié depuis l’extérieur et à destination de l’hôte 172.16.0.2

Router(config)# interface e0/1 Router(config-if)# ip inspect INBOUND in Router(config-if)# ip access-group 102 in

Router(config)# access-list 102 permit icmp any host 172.16.0.2

Router(config)# access-list 102 permit tcp any host 172.16.0.2 eq www

Router(config)# access-list 102 deny ip any any

CBAC : exemple 2

Router(config)# ip inspect name INBOUND tcp

Configure CBAC pour l’inspection du trafic tcp

docsity.com

RE16 52

Router(config)# interface e1/0 Router(config-if)# ip access-group 103 in Router(config-if)# ip access-group 104 out

Router(config)# access-list 103 permit icmp host 172.16.0.2 any Router(config)# access-list 103 deny ip any any

Router(config)# access-list 104 permit icmp any host 172.16.0.2 Router(config)# access-list 104 permit tcp any host 172.16.0.2 eq www

Router(config)# access-list 104 deny ip any any

N’autorise que le trafic ICMP initié depuis la DMZ

N’autorise que le trafic ICMP et HTTP initié depuis l’extérieur et à destination de l’hôte 172.16.0.2

CBAC : exemple 2

Applique les deux ACL à l’interface e /0

docsity.com

RE16 53

show ip inspect name inspection-name show ip inspect config show ip inspect interfaces show ip inspect session [detail] show ip inspect all

Affiche les configurations CBAC, les configurations des interfaces et les sessions

•CBAC : commandes show Router#

Router# sh ip inspect session Established Sessions Session 6155930C (10.0.0.3:35009)=>(172.30.0.50:34233) tcp SIS_OPEN Session 6156F0CC (10.0.0.3:35011)=>(172.30.0.50:34234) tcp SIS_OPEN Session 6156AF74 (10.0.0.3:35010)=>(172.30.0.50:5002) tcp SIS_OPEN

docsity.com

RE16 54

Commandes de debug générales

CBAC : commandes debug

Router#

debug d’un protocole particulier

Router(config)#

debug ip inspect function-trace debug ip inspect object-creation debug ip inspect object-deletion debug ip inspect events debug ip inspect timers

debug ip inspect protocol

docsity.com

55

no ip inspect

Enlève toute la configuration CBAC Remet toutes les temporisations et les seuils à leur

valeur par défaut Détruit toutes les sessions existantes Enlève toutes les ACL dynamiques générées par le

CBAC

Enlever le CBAC

Router(config)#

docsity.com

56

CBAC : limitations • Le CBAC n’inspecte que le trafic explicitement spécifié. C’est un

avantage car le contrôle peut se faire finement, mais il faut souvent beaucoup d’entrées « ip inspect » pour couvrir tous les types de connexions

• Le CBAC n’est pas très simple d’utilisation et demande une bonne connaissance des protocoles et des applications utilisés

• Le trafic que le routeur lui-même génère n’est pas inspecté • Le trafic qui est envoyé au routeur lui-même n’est pas inspecté • CBAC ne peut inspecter les données cryptées (IPSec). Il peut

cependant inspecter les canaux VPN dont il est à l’origine • Seul le mode passif de FTP est compatible avec le CBAC

docsity.com

57

Conclusion • Les ACL étendues permettent de filtrer le trafic en sortie du réseau car

seul le port destination est filtré. Le retour vers le client ne peut être filtré car le numéro de port utilisé

est aléatoire un « faux retour » ne peut pas filtré

Les ACL réflexives sont plus performantes que les ACL étendues car elles tiennent compte de l’information de session un « faux retour » sera bloqué en entrée, sauf si il arrive pendant une

session ouverte Le CBAC est plus performant car il tient compte en plus d’informations

protocolaires de niveau application seules les commandes autorisées dans les protocoles connus passent

à travers le firewall le firewall piste les attaques connues appliqué dans le sens sortie puis entrée, le CBAC permet de ne laisser

entrer sur le réseau que ce qui fait partie d’une session « propre » appliqué dans le sens entrée puis sortie, le CBAC permet de se

protéger contre les attaques de type DoS

docsity.com

ACL DYNAMIQUE AUTHENTIFICATION

• Une ACL dynamique permet de résoudre le problème de l’authentification.

• Les ACL classiques utilisent l’adresse IP pour déterminer quelle machine communique, mais il n’y a pas de vérification de l’identité de l’utilisateur lui-même.

• Il est souvent utile de demander à l’utilisateur de s’identifier : –nom d’utilisateur. –mot de passe.

• Suivi des numéros de séquence TCP – Surveillance des numéros de séquence des paquets entrants

et sortants pour suivre les flux de communication. – Protection contre les attaques « man in the middle ».

docsity.com

commentaires (0)
Aucun commentaire n'a été pas fait
Écrire ton premier commentaire
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Docsity n'est pas optimisée pour le navigateur que vous utilisez. Passez à Google Chrome, Firefox, Internet Explorer ou Safari 9+! Téléchargez Google Chrome