Notes sur le CBAC 2° partie, Notes de Fondements informatiques
Francine88
Francine888 January 2014

Notes sur le CBAC 2° partie, Notes de Fondements informatiques

PDF (1 MB)
29 pages
373Numéro de visites
Description
Notes de fondements informatiques sur le CBAC - 2° partie. Les principaux thèmes abordés sont les suivants: Configuration du CBAC, les diffèrentes taches, exemples de CBAC, commandes show, commandes debug, limitations, c...
20points
Points de téléchargement necessaire pour télécharger
ce document
Télécharger le document
Aperçu3 pages / 29
Ceci c'est un aperçu avant impression
3 shown on 29 pages
Télécharger le document
Ceci c'est un aperçu avant impression
3 shown on 29 pages
Télécharger le document
Ceci c'est un aperçu avant impression
3 shown on 29 pages
Télécharger le document
Ceci c'est un aperçu avant impression
3 shown on 29 pages
Télécharger le document

Configuration du CBAC

docsity.com

Tâche 1

docsity.com

Tâche 2

Router(config)# logging on Router(config)# logging 10.0.0.3 Router(config)# ip inspect audit-trail

Une alerte est générée quand un paquet IP se voit rejeté par le CBAC

docsity.com

Tâche 3

docsity.com

Tâche 4

docsity.com

Tâche 4

docsity.com

Tâche 5

docsity.com

Tâche 5

Router# sh ip port-map ftp Default mapping: ftpport 21 system defined Host specific: ftpport 1000 in list 10 user

docsity.com

Tâche 6

docsity.com

Tâche 6

Router(config)# ip inspect name FWRULE smtp alert on audit-trail on timeout 300

Router(config)# ip inspect name FWRULE ftp alert on audit-trail on timeout 300

Router(config)# ip inspect name FWRULE http java-list 10 alert on audit-trail on timeout 300

Router(config)# ip access-list 10 deny 172.26.26.0 0.0.0.255

Router(config)# ip access-list 10 permit 172.27.27.0 0.0.0.255

docsity.com

Tâche 6

Router(config)# ip inspect name FWRULE rpc program-number 100022 wait-time 0 alert off audit-trail on

docsity.com

Tâche 7

Router(config)# ip inspect name FWRULE fragment max 254 timeout 4

max : nombre maxi de fragments avant Réassemblage

timeout : attente maximum de réassemblage avant rejet

docsity.com

Tâche 8

docsity.com

Tâche 9

docsity.com

Tâche 10

docsity.com

Tâche 10

docsity.com

46

CBAC : exemple 1

docsity.com

47

Autorise le trafic initié par les hôtes du réseau 10.0.0.0/24

Router(config)# interface e0/0 Router(config-if)# ip inspect OUTBOUND in Router(config-if)# ip access-group 101 in

Router(config)# access-list 101 permit ip 10.0.0.0 0.0.0.255 any

Router(config)# access-list 101 deny ip any any

Router(config)# ip inspect name OUTBOUND tcp Router(config)# ip inspect name OUTBOUND udp

Configure CBAC pour l’inspection du trafic TCP et UDP

CBAC : exemple 1

Applique les règles d’inspection et l’ACL à l’interface e0/0 en entrée (patte inside du firewall)

docsity.com

48

Router(config)# interface e0/1 Router(config-if)# ip access-group 102 in

Router(config)# access-list 102 permit icmp any host 10.0.0.3

Router(config)# access-list 102 permit tcp any host 10.0.0.3 eq www

Router(config)# access-list 102 deny ip any any

Applique l’ACL à l’interface e0/1 en entrée (patte outside du routeur)

Autorise seulement le trafic ICMP et HTTP vers 10.0.0.3, initié depuis l’extérieur

CBAC : exemple 1

docsity.com

49

CBAC : exemple 2

docsity.com

RE16 50 • Applique les règles d’inspection et l’ACL à l’interface e0/0 en entrée

(patte inside du firewall)

Autorise le trafic initié par les hôtes du réseau 10.0.0.0/24

Router(config)# interface e0/0 Router(config-if)# ip inspect OUTBOUND in Router(config-if)# ip access-group 101 in

Router(config)# access-list 101 permit ip 10.0.0.0 0.0.0.255 any

Router(config)# access-list 101 deny ip any any

Router(config)# ip inspect name OUTBOUND tcp Router(config)# ip inspect name OUTBOUND udp

Configure CBAC pour l’inspection du trafic TCP et UDP

CBAC : exemple 2

docsity.com

RE16 51 • Applique les règles d’inspection et l’ACL à l’interface e0/1 en entrée

(patte outside du firewall)

Autorise le trafic ICMP et HTTP initié depuis l’extérieur et à destination de l’hôte 172.16.0.2

Router(config)# interface e0/1 Router(config-if)# ip inspect INBOUND in Router(config-if)# ip access-group 102 in

Router(config)# access-list 102 permit icmp any host 172.16.0.2

Router(config)# access-list 102 permit tcp any host 172.16.0.2 eq www

Router(config)# access-list 102 deny ip any any

CBAC : exemple 2

Router(config)# ip inspect name INBOUND tcp

Configure CBAC pour l’inspection du trafic tcp

docsity.com

RE16 52

Router(config)# interface e1/0 Router(config-if)# ip access-group 103 in Router(config-if)# ip access-group 104 out

Router(config)# access-list 103 permit icmp host 172.16.0.2 any Router(config)# access-list 103 deny ip any any

Router(config)# access-list 104 permit icmp any host 172.16.0.2 Router(config)# access-list 104 permit tcp any host 172.16.0.2 eq www

Router(config)# access-list 104 deny ip any any

N’autorise que le trafic ICMP initié depuis la DMZ

N’autorise que le trafic ICMP et HTTP initié depuis l’extérieur et à destination de l’hôte 172.16.0.2

CBAC : exemple 2

Applique les deux ACL à l’interface e /0

docsity.com

RE16 53

show ip inspect name inspection-name show ip inspect config show ip inspect interfaces show ip inspect session [detail] show ip inspect all

Affiche les configurations CBAC, les configurations des interfaces et les sessions

•CBAC : commandes show Router#

Router# sh ip inspect session Established Sessions Session 6155930C (10.0.0.3:35009)=>(172.30.0.50:34233) tcp SIS_OPEN Session 6156F0CC (10.0.0.3:35011)=>(172.30.0.50:34234) tcp SIS_OPEN Session 6156AF74 (10.0.0.3:35010)=>(172.30.0.50:5002) tcp SIS_OPEN

docsity.com

RE16 54

Commandes de debug générales

CBAC : commandes debug

Router#

debug d’un protocole particulier

Router(config)#

debug ip inspect function-trace debug ip inspect object-creation debug ip inspect object-deletion debug ip inspect events debug ip inspect timers

debug ip inspect protocol

docsity.com

commentaires (0)
Aucun commentaire n'a été pas fait
Écrire ton premier commentaire
Ceci c'est un aperçu avant impression
3 shown on 29 pages
Télécharger le document