Notes sur le CBAC 2° partie, Notes de Fondements informatiques. Université Vincennes Saint-Denis (Paris VIII)
Francine88
Francine88

Notes sur le CBAC 2° partie, Notes de Fondements informatiques. Université Vincennes Saint-Denis (Paris VIII)

29 pages
401Numéro de visites
Description
Notes de fondements informatiques sur le CBAC - 2° partie. Les principaux thèmes abordés sont les suivants: Configuration du CBAC, les diffèrentes taches, exemples de CBAC, commandes show, commandes debug, limitations, c...
20 points
Points de téléchargement necessaire pour télécharger
ce document
Télécharger le document
Aperçu3 pages / 29
Ceci c'est un aperçu avant impression
3 pages affichées sur 29 total
Télécharger le document
Ceci c'est un aperçu avant impression
3 pages affichées sur 29 total
Télécharger le document
Ceci c'est un aperçu avant impression
3 pages affichées sur 29 total
Télécharger le document
Ceci c'est un aperçu avant impression
3 pages affichées sur 29 total
Télécharger le document

Configuration du CBAC

docsity.com

Tâche 1

docsity.com

Tâche 2

Router(config)# logging on Router(config)# logging 10.0.0.3 Router(config)# ip inspect audit-trail

Une alerte est générée quand un paquet IP se voit rejeté par le CBAC

docsity.com

Tâche 3

docsity.com

Tâche 4

docsity.com

Tâche 4

docsity.com

Tâche 5

docsity.com

Tâche 5

Router# sh ip port-map ftp Default mapping: ftpport 21 system defined Host specific: ftpport 1000 in list 10 user

docsity.com

Tâche 6

docsity.com

Tâche 6

Router(config)# ip inspect name FWRULE smtp alert on audit-trail on timeout 300

Router(config)# ip inspect name FWRULE ftp alert on audit-trail on timeout 300

Router(config)# ip inspect name FWRULE http java-list 10 alert on audit-trail on timeout 300

Router(config)# ip access-list 10 deny 172.26.26.0 0.0.0.255

Router(config)# ip access-list 10 permit 172.27.27.0 0.0.0.255

docsity.com

Tâche 6

Router(config)# ip inspect name FWRULE rpc program-number 100022 wait-time 0 alert off audit-trail on

docsity.com

Tâche 7

Router(config)# ip inspect name FWRULE fragment max 254 timeout 4

max : nombre maxi de fragments avant Réassemblage

timeout : attente maximum de réassemblage avant rejet

docsity.com

Tâche 8

docsity.com

Tâche 9

docsity.com

Tâche 10

docsity.com

Tâche 10

docsity.com

46

CBAC : exemple 1

docsity.com

47

Autorise le trafic initié par les hôtes du réseau 10.0.0.0/24

Router(config)# interface e0/0 Router(config-if)# ip inspect OUTBOUND in Router(config-if)# ip access-group 101 in

Router(config)# access-list 101 permit ip 10.0.0.0 0.0.0.255 any

Router(config)# access-list 101 deny ip any any

Router(config)# ip inspect name OUTBOUND tcp Router(config)# ip inspect name OUTBOUND udp

Configure CBAC pour l’inspection du trafic TCP et UDP

CBAC : exemple 1

Applique les règles d’inspection et l’ACL à l’interface e0/0 en entrée (patte inside du firewall)

docsity.com

48

Router(config)# interface e0/1 Router(config-if)# ip access-group 102 in

Router(config)# access-list 102 permit icmp any host 10.0.0.3

Router(config)# access-list 102 permit tcp any host 10.0.0.3 eq www

Router(config)# access-list 102 deny ip any any

Applique l’ACL à l’interface e0/1 en entrée (patte outside du routeur)

Autorise seulement le trafic ICMP et HTTP vers 10.0.0.3, initié depuis l’extérieur

CBAC : exemple 1

docsity.com

49

CBAC : exemple 2

docsity.com

RE16 50 • Applique les règles d’inspection et l’ACL à l’interface e0/0 en entrée

(patte inside du firewall)

Autorise le trafic initié par les hôtes du réseau 10.0.0.0/24

Router(config)# interface e0/0 Router(config-if)# ip inspect OUTBOUND in Router(config-if)# ip access-group 101 in

Router(config)# access-list 101 permit ip 10.0.0.0 0.0.0.255 any

Router(config)# access-list 101 deny ip any any

Router(config)# ip inspect name OUTBOUND tcp Router(config)# ip inspect name OUTBOUND udp

Configure CBAC pour l’inspection du trafic TCP et UDP

CBAC : exemple 2

docsity.com

RE16 51 • Applique les règles d’inspection et l’ACL à l’interface e0/1 en entrée

(patte outside du firewall)

Autorise le trafic ICMP et HTTP initié depuis l’extérieur et à destination de l’hôte 172.16.0.2

Router(config)# interface e0/1 Router(config-if)# ip inspect INBOUND in Router(config-if)# ip access-group 102 in

Router(config)# access-list 102 permit icmp any host 172.16.0.2

Router(config)# access-list 102 permit tcp any host 172.16.0.2 eq www

Router(config)# access-list 102 deny ip any any

CBAC : exemple 2

Router(config)# ip inspect name INBOUND tcp

Configure CBAC pour l’inspection du trafic tcp

docsity.com

RE16 52

Router(config)# interface e1/0 Router(config-if)# ip access-group 103 in Router(config-if)# ip access-group 104 out

Router(config)# access-list 103 permit icmp host 172.16.0.2 any Router(config)# access-list 103 deny ip any any

Router(config)# access-list 104 permit icmp any host 172.16.0.2 Router(config)# access-list 104 permit tcp any host 172.16.0.2 eq www

Router(config)# access-list 104 deny ip any any

N’autorise que le trafic ICMP initié depuis la DMZ

N’autorise que le trafic ICMP et HTTP initié depuis l’extérieur et à destination de l’hôte 172.16.0.2

CBAC : exemple 2

Applique les deux ACL à l’interface e /0

docsity.com

RE16 53

show ip inspect name inspection-name show ip inspect config show ip inspect interfaces show ip inspect session [detail] show ip inspect all

Affiche les configurations CBAC, les configurations des interfaces et les sessions

•CBAC : commandes show Router#

Router# sh ip inspect session Established Sessions Session 6155930C (10.0.0.3:35009)=>(172.30.0.50:34233) tcp SIS_OPEN Session 6156F0CC (10.0.0.3:35011)=>(172.30.0.50:34234) tcp SIS_OPEN Session 6156AF74 (10.0.0.3:35010)=>(172.30.0.50:5002) tcp SIS_OPEN

docsity.com

RE16 54

Commandes de debug générales

CBAC : commandes debug

Router#

debug d’un protocole particulier

Router(config)#

debug ip inspect function-trace debug ip inspect object-creation debug ip inspect object-deletion debug ip inspect events debug ip inspect timers

debug ip inspect protocol

docsity.com

Aucun commentaire n'a été pas fait
Ceci c'est un aperçu avant impression
3 pages affichées sur 29 total
Télécharger le document