Notes sur le CBAC - 3° partie, Notes de Fondements informatiques
Francine88
Francine888 January 2014

Notes sur le CBAC - 3° partie, Notes de Fondements informatiques

PDF (1.2 MB)
28 pages
302Numéro de visites
Description
Notes de fondements informatiques sur le CBAC - 1° partie. Les principaux thèmes abordés sont les suivants: ACL dynamique: authentication, ACL à caractère temporel, emplacement ACL, Turbo ACL, Zone Based-Policy Firewall,...
20points
Points de téléchargement necessaire pour télécharger
ce document
Télécharger le document
Aperçu3 pages / 28
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Aperçu avant impression terminé
Chercher dans l'extrait du document
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Aperçu avant impression terminé
Chercher dans l'extrait du document

59

ACL DYNAMIQUE AUTHENTIFICATION

• Il faut les utiliser quand : – on veut qu’un utilisateur particulier distant (ou un petit groupe) puisse

accéder à certaines ressources du réseau, à travers Internet – on veut qu’un groupe d’hôtes du réseau local puisse accéder à un hôte

d’un autre réseau protégé par un firewall

• Il est possible de limiter la durée de l’autorisation de connexion

docsity.com

ACL DYNAMIQUE AUTHENTIFICATION

docsity.com

ACL DYNAMIQUE AUTHENTIFICATION

1. Un utilisateur sollicite une session telnet sur le firewall configuré avec une ACL dynamique (ligne vty)

2. L’IOS Cisco ouvre une session telnet et demande son nom et son mot de passe à l’utilisateur

3. L’authentification peut être assurée par le firewall lui- même ou par un serveur TACACS+ ou RADIUS

4. Quand l’utilisateur est identifié, le firewall met fin à la session TELNET.

5. Il crée ensuite une entrée temporaire dans l’ACL dynamique (cette instruction temporaire permet de limiter l’accès à certaines machines)

6. Les données sont échangées à travers le firewall 7. L’IOS détruit l’entrée temporaire au bout d’un certain

temps paramétrable (soit en mesurant une durée d’inactivité, soit en mesurant le temps de connexion)

docsity.com

62

ACL dynamique

• ACL dynamique car elle n’apparaît que sur sollicitation de l’utilisateur, et après authentification de celui-ci

Je laisse passer seulement si il s’identifie ! Je m’identifie en faisant un telnet

docsity.com

RE16 63

ACL dynamique Exemple avec authentification locale au

routeur username toto password tutu

interface ethernet0 ip address 172.18.23.2 255.255.255.0 ip access-group 101 in

access-list 101 permit tcp any host 172.18.23.2 eq telnet access-list 101 dynamic mytestlist timeout 120 permit ip any any line vty 0 login local autocommand access-enable timeout 5

autorisation du telnet sur l’@IP de l’interface du routeur

entrée dynamique qui autorise tout le trafic IP

l’authentification se fera en local

définition d’une ligne vty

définition de l’utilisateur et de son mot de passe

commande d’activation de la partie dynamique de l’ACL : elle sera ajoutée après un telnet authentifié elle restera dans l’ACL pendant 5 minutes

docsity.com

64

ACL DYNAMIQUE AUTHENTIFICATION

• L’entrée dynamique ne peut pas être la seule entrée de l’ACL

• L’instruction ajoutée dans une liste dynamique l’est toujours au début de la liste

• Il ne faut qu’une instruction dynamique par ACL (seule la première sera prise en compte)

• Utiliser un nom différent pour chaque instruction dynamique

• Il faut autoriser le telnet sur le routeur pour que tout cela puisse marcher

• Il faut toujours définir un temps de connexion maximum

docsity.com

65

ACL DYNAMIQUE AUTHENTIFICATION

• Utilise un mécanisme d’authentification des utilisateurs (et pas seulement des hôtes)

• Permet de réduire la taille des ACL classiques en réduisant le nombre des instructions nécessaires

• Avec cette technique, on peut spécifier quel utilisateur peut accéder à des ressources (définies en @IP et n° de port), en spécifiant depuis quels hôtes il a le droit de le faire

• On peut ainsi donner un accès dynamique à un utilisateur à travers un firewall, sans compromettre les autres restrictions de sécurité

docsity.com

66

ACL A CARACTERE TEMPOREL

• Ce genre d’ACL permet d’interdire certains trafics pendant certains périodes

• La référence de temps utilisée est l’horloge interne du routeur, il est dans ce cas intéressant d’utiliser le protocole NTP (Network Time Protocol ) pour bien synchroniser tous les équipements

docsity.com

ACL A CARACTERE TEMPOREL

les connexions telnet sont autorisées les lundi, mercredi et vendredi de 8h à 17h

docsity.com

ACL A CARACTERE TEMPOREL

Exercice: Créer une ACL nommée employee-time qui autorise tous type de trafic, tous les jours de la semaine seulement de 12-13H et de 17 à 19H

docsity.com

ACL A CARACTERE TEMPOREL Correction :

R1(config)# time-range employee-time R1(config-time-range)# periodic weekdays 12:00 to 13:00 R1(config-time-range)# periodic weekdays 17:00 to 19:00 R1(config-time-range)# exit

R1(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any time-range employee-time R1(config)# access-list 100 deny ip any any

R1(config)# interface FastEthernet 0/1 R1(config-if)# ip access-group 100 in R1(config-if)# exit

docsity.com

EMPLACEMENT ACL • Emplacement ACL Standard:

Près de la destination, ACL Standard sont basées sur l’adresse source , placer ces ACL prés de la source peut dénier l’ensemble du trafic .

docsity.com

RE16 71

Turbo ACL • Quand une ACL contient un grand nombre d’instructions, cela peut

gravement ralentir le fonctionnement du routeur les Turbo ACLs sont utilisables avec les IOS Cisco 12.1.5.T et sont

disponibles uniquement sur les routeurs des séries 7200, 7500, et supérieures

docsity.com

Zone Based-Policy Firewall

docsity.com

ZPF Définition  ZPF permettant de filtrer nos communications en nous basant sur des zones, en effet lors de l’implémentation de ZPF nous allons segmenter notre réseau en plusieurs zones.

Puis, nous allons définir la politique à appliquer entre chaque zones c’est-à-dire qu’on va spécifier le trafic autorisé ou interdit entre la zone A et la zone B mais aussi le trafic entre B et A.

ZPF présente plusieurs avantages :

ZPF ne dépend pas des interfaces

Nous permet de visualiser notre réseau facilement grâce aux différentes zones.

Utilise le C3PL (Cisco Common Classification Policy Language) ce qui rend la configuration de notre politique facile à comprendre et à débugger.

docsity.com

ZPF Exemple1

docsity.com

ZPF Exemple2

docsity.com

ZPF Principes  Regrouper les interfaces sous forme de zones, et de spécifier quel type de trafic peut

passer d’une zone à une autre. Cela utilise des service-policy et class map (cisco MQF).

Application des politiques de sécurité entre les zones, pas par interfaces (une zone peut être constituée d’une ou plusieurs interfaces)

Il y a une politiques deny all par défaut (donc pas besoin d’ACL).

On peut, via l’utilisation de classmap, spécifier des politiques différentes par host et par subnet, ou par protocoles

Il faut configurer les zones avant d’y ajouter des interfaces. et une interface ne peut faire partie que d’une seule zone à la fois. Les commandes pour créer une zone et y affecter des interfaces

Router(config)#zone security zone_securisee Router(config-sec-zone)#description zone securise! Router(config-sec-zone)#exit Router(config)#interface fastEthernet 0/1 Router(config-if)#zone-member security zone_securisee

docsity.com

ZPF Principes Par défaut, le trafic sera supprimé entre:

Une interface membre d’une zone vers une interface membre d’une autre zone

Une interface membre d’une zone vers une interface non membre d’aucune zone; Ce traffic ne pourra être autorisé, même avec des ACL ou des service-policy, une interface faisant partie d’une zone ne peux communiquer qu’avec des interfaces dansune zone selon la configuration

Et le trafic sera autorisé entre:

Deux interface d’une même zone

Deux interface ne faisant partie d’aucune zone (comportement normal, sauf ACL)

D’une interface membre d’une zone vers le routeur (= zone « self« , correspond aux paquets destinés aux interfaces du routeur : on peut utilisée cette zone spéciale pour modifier le comportement du routeur)

docsity.com

ZPF Principes D’une zone à l’autre, trois actions peuvent être prises :

Pass: Le trafic est autorisé à transiter d’une zone à l’autre

Inspect: Autoriser le trafic et inspecter le trafic retour (= ip inspect)

Drop: Supprimer le trafic

Ces actions peuvent bien sur être appliquée différemment selon le type de trafic (à régler par les class-map).

Pour réguler le trafic entre deux zones, il faut créer une zone-pair, que l’on va créer entre deux zone. Une zone pair est unidirectionnelle, il faudra donc créer deux zone-pair pour autoriser le trafic dans les deux sens. Pour autoriser le trafic, on utilisera des service policy, qui utiliseront des class-maps.

docsity.com

ZPF Principes Création d’une zone-pair (après création d’une

seconde zone) :

Router(config)#zone security zone_non_securisee Router(config-sec-zone)#exit Router(config)#int f0/0 Router(config-if)#zone-member security zone_non_securisee Router(config-if)#exit Router(config)#zone-pair security secure_vers_unsecure

source zone_securisee destination zone_non_securisee Router(config-sec-zone-pair)#service-policy type inspect

XXX Router(config-sec-zone-pair)#exit

docsity.com

Configuration ZPF La configuration de ZPF se fait en plusieurs étapes :

• Création des zones.

• Création d’une class-map.

• Création d’une policy-map.

• Création des zones paire.

• Affecter les interfaces à une zone.

docsity.com

Etude de cas 1

docsity.com

Etude de cas 1

docsity.com

Etude de cas 1

docsity.com

Etude de cas 2

docsity.com

Etude de cas 2

docsity.com

Etude de cas 2

docsity.com

commentaires (0)
Aucun commentaire n'a été pas fait
Écrire ton premier commentaire
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Docsity n'est pas optimisée pour le navigateur que vous utilisez. Passez à Google Chrome, Firefox, Internet Explorer ou Safari 9+! Téléchargez Google Chrome