CCNP Security Ch03 PDF

BIG SOFT
Technologie Cisco Firewall

Caractéristiques, fonctionnement et stratégie de sécurité réseau
Chapitre 3
Préparé par : Younes GUEROUANI 1
PLAN
• Contrôler et limiter les menaces à l’aide des Pare-feux

• Assimiler le concept des pare-feux
 Avantage & contexte d’utilisation
 Différents types des pare-feux
 Solutions Firewall Cisco Systems
 Stratégie de sécurité basée sur le contrôle d’accès (CBAC)
 Stratégie de sécurité basée sur les zones (ZBF ou ZPF)
• Configuration de stratégies (CBAC & ZBF)

 Configuration de CBAC à l’aide de Cisco IOS & SDM
 Configuration de ZBF à l’aide de Cisco IOS & SDM
Chapitre 3
Technologie des pare-feux
 Qu'est-ce qu'un pare-feu ?
• Un pare-feu est un système (ensemble de composants) qui applique une
stratégie de contrôle d'accès entre deux réseaux.
• Propriétés communes des pare-feux :
 Le pare-feu est résistant aux attaques ;
 Le pare-feu vérifie et inspecte la conformité du trafic entre réseaux ;
 Le principe des pare-feux est simple, tout ce qui n’est pas explicitement
autorisé est interdit.
Chapitre 3
 Pare-feu (Firewall)
• Définition : ensemble de composants appliquant une politique de
contrôle d'accès entre deux réseaux
• Fonctions :
- Autoriser ou interdire l'ouverture d'un service utilisant un protocole
- Autoriser ou bannir une adresse IP source / destination
- Vérifier / inspecter la conformité du trafic
- Principe : tout ce qui n'est pas explicitement autorisé, est interdit
- Objectifs :
- Se protéger des malveillances "externes"
- Éviter la fuite d’information non contrôlée vers l’extérieur
- Surveiller les flux d'informations internes / externes
- Faciliter l’administration du réseau
Chapitre 3
 Avantages des pare-feux
• Un pare-feu est un donc composant réseau qui permet non seulement
de concentrer l'administration de la sécurité en des points d'accès limités
au réseau d'entreprise mais aussi de créer un périmètre de sécurité, par
exemple entre le réseau Intranet de l'entreprise et le réseau Internet.
• Un pare-feu correctement configuré rends l'application de la stratégie de
sécurité simple, robuste et évolutive.
• Un pare-feu réduit la complexité de l'administration de la sécurité en
plaçant la majorité du contrôle d'accès réseau sur peu de points du
réseau.
Chapitre 3
 Filtrage de paquets simple
• Filtrage de paquets sans états (stateless packets filtering)
C'est la méthode de filtrage la plus simple, elle opère au niveau de la
couche réseau et transport du modèle OSI.
La plupart des routeurs d'aujourd'hui permettent d'effectuer le filtrage simple
de paquet. Cela consiste à accorder ou refuser le passage de paquets d'un
réseau à un autre en se basant sur :
- L'adresse IP source/destination.
- Le numéro de port source/destination.
- Type de paquet (TCP, UDP)
- Numéro de port
Le pare-feu sans états examine les paquets indépendamment les uns
aux autres et les compare à une liste de règles pré-configurée.
Cela nécessite de configurer le firewall ou le routeur par des règles de
filtrages, généralement appelées des ACL (Access Control Lists).
Chapitre 3
• Filtrage de paquets sans états (stateless)
Système pare-feu à filtrage de paquets (stateless)
Vulnérables aux attaques par

fragmentation, le premier fragment
est réécrit par un fragment suivant de
façon à remplacer une adresse par
une nouvelle violant la politique de
sécurité du pare-feu
Chapitre 3
• Filtrage de paquets sans états (stateless packets filtering)
Les adresses IP contenues dans les paquets permettent d'identifier la
machine source et la machine cible, tandis que le type de paquet et le
numéro de port donnent une indication sur le type de service utilisé.
Quelques exemple de règles de pare-feu :
Règle Action IP Source IP Destination Protocole Port Src Port Dst
1 permit 192.168.14.51 192.154.84.5 tcp any 25
2 permit 192.168.14.51 201.49.100.92 tcp any 8080
3 permit any 192.168.1.251 tcp any 80
5 permit 192.168.14.0/24 any tcp any 80
5 deny any any any any any
Chapitre 3
 Filtrage de paquets dynamique
• Filtrage de paquets à états (stateful inspection)
Les applications utilisent, généralement, des ports sources dont on ne peut
connaître à l'avance la valeur (le port source est choisi aléatoirement entre
1024 et 65535 dans le cas d'un ﬂux TCP).
Le ﬁltrage dynamique de paquets (stateful) permet de suivre l'état des
sessions et d'adapter de manière dynamique les règles du pare-feu.
L'amélioration par rapport au filtrage simple (stateless) réside dans la
conservation de la trace des sessions et des connexions dans des tables
d'états internes au firewall.
Le firewall prend alors ses décisions en fonction des états de connexions
et seuls des paquets correspondants à un état préexistant sont accepté
(conformité des paquets à une connexions en cours).
Chapitre 3
• Filtrage de paquets à états (stateful inspection)
Pour les protocoles UDP et ICMP, il n'y a pas de mode connecté.
La solution consiste à autoriser pendant un certain délai les réponses
légitimes aux paquets envoyés.
Système pare-feu à filtrage de paquets (stateful)
Certains suivis de connexion ne sont pas simples à faire et nécessitent

des algorithmes spécifiques, comme principalement le protocole FTP, ce qui
nécessite de ressources supplémentaires.
Chapitre 3
• Filtrage de paquets à états (statefull)
Système pare-feu à filtrage de paquets (stateful)
Le filtrage à états examine la conformité de
paquets à une connexions en cours.
Si le filtrage dynamique est plus performant
que le filtrage de paquets simple, il ne protège
pas pour autant de l'exploitation des failles
liées aux vulnérabilités des applications. Or
ces vulnérabilités représentent la part la plus
importante des risques en terme de sécurité.
Chapitre 3
• Filtrage de paquets avec états (stateful) - TCP Handling
Chapitre 3
• Filtrage de paquets avec états (stateful) - UDP Handling
Chapitre 3
 Pare-feu applicatif (proxy)
• Filtrage applicatif (proxy applicatif)
Le filtrage applicatif permet de filtrer les communications application par
application. Les pare-feu applicatifs vérifient la conformité du paquet à un
protocole attendu (filtrage de l'information de couche 7) et chaque protocole
est filtré par un processus dédié.
Par exemple, ce type de pare-feu permet de vérifier que seul le protocole
HTTP passe par le port TCP 80 et aussi d’assurer une protection plus
complète (suppression du contenu actifs dans des pages web, suppression
des macros dans des documents, …).
Ce traitement est très gourmand en temps de calcul dés que le débit
devient très important, ce qui impacte les performances.
Le contrôle et le filtrage sont réalisés par des logiciels.
Chapitre 3
Système pare-feu à filtrage applicatif (proxy)
Les proxy applicatifs est un dispositif

performant, assurant une bonne protection du
réseau, pour peu qu'il soit correctement
administré. En contrepartie, une analyse fine
des données applicatives requiert une grande
puissance de calcul et se traduit donc souvent
par un ralentissement des communications,
chaque paquet devant être finement analysé.
Les proxy applicatifs doivent nécessairement être en

mesure d'interpréter une vaste gamme de protocoles et de
connaître les failles afférentes pour être efficace.
Chapitre 3
Un firewall effectuant un filtrage applicatif est appelé généralement
« passerelle applicative » (ou « proxy »), car il sert de relais entre deux
réseaux en effectuant une validation fine du contenu des paquets échangés.
Chapitre 3
 Pare-feu Matériel
• Les pare-feux matériel/ Hardware Firewall
Matériel de type boite noire, vendue comme «prêt-à-l'emploi» sur lequel un
logiciel et des applications sont pré-installés par des constructeurs par ex.
Cisco, Fortinet, Nortel, etc.
Leurs avantages tiennent dans la simplicité de configuration et une bonne
intégration avec les autres fonctionnalités du routeur.
De plus, la partie logiciel étant liée au matériel, l'accès au code est assez
difficile. puisque le constructeur produit des système de codes « signés » afin
d'authentifier le logiciel. Cela évite un remplacement du logiciel par un autre
(ie non produit par le fabricant)
Néanmoins, il faut savoir que l'on est totalement dépendant du constructeur
du matériel pour les mises à jour, ce qui peut être assez contraignant.
Chapitre 3
 Pare-feu logiciel
• Les pare-feux logiciel/ software Firewall
Tournant généralement sous linux ou BSD (Packet Filter), car ces OS
offrent une sécurité réseau plus élevée et un contrôle plus adéquat, ils ont
généralement pour but d'avoir le même comportement que les firewall
matériels, mais ils sont configurables à la main.
Le plus courant est Netfilter et iptables, qui utilise directement le noyau
Unix/Linux.
Chapitre 3
 Solutions pare-feu Cisco Systems
• Cisco IOS Firewall
Le pare-feu Cisco IOS est un ensemble de fonctionnalités qui rendent le
logiciel Cisco IOS plus efficace pour le périmètre de sécurité.
Les fonctionnalités de pare-feu sont basées sur l'inspection de données
dans les paquets y compris les données après les en-têtes.
- Stratégie de pare-feu basée sur la zone pour une administration
plus intuitive (ZBF) ;
- Pare-feu pour protocole VoIP
- Pare-feu pour VRF (Virtual Routing and Forwarding)
- Pare-feu pour sans fil intégré (Wireless)
- Support local de liste blanche et de liste noire d'URL
- Inspection d'application pour le trafic web et e-mail
• PIX 500 series

• ASA 5500 series
Chapitre 3
• ASA 5500 series (5505/2005)
ASA 5505 est le plus petit modèle de la gamme des pare-feux.
Il y a exactement deux modèles : 5505 Base et Security Plus, qui
accepte plus de connexions, de sessions VPN, et VLAN et supporte
le filtrage dynamique des services (stateless).
Chapitre 3
• ASA 5500 series (5545/2006)
Au vu de ses caractéristiques et performances impressionnantes, cette
appliance est dédiée aux très grands groupes ayants de très
nombreux collaborateurs nomades et télétravailleurs.
Chapitre 3
• ASA 5500 series (5580-40/2008)
Cette référence de la gamme ASA est le plus gros équipement
possible. Il est dédié aux Datacenter ou pour les très grands campus.
Au vu de ses performances, il serait totalement inutile hors de ce rôle.
Chapitre 3
Politique de sécurité du réseau selon le contexte
 Stratégie de contrôle d’accès basée sur la stratégie (CBAC)
• La fonctionnalité CBAC (Context-Based Access Control) de l'ensemble
des fonctionnalités de l'IOS Cisco Firewall inspecte l'activité de trafic et
spécifie le trafic qui doit pouvoir entrer et le trafic qui doit pouvoir sortir en
utilisant des listes de contrôle d'accès.
• Les listes de contrôle d'accès CBAC comprennent des instructions
inspect qui autorisent l'inspection du protocole afin de s'assurer qu'il n'a
pas été corrompu avant que celui-ci passe vers les systèmes situés
derrière le pare-feu.
• CBAC fait que le routeur garde un état en permanence basé sur
l'information d'inspection des paquets et utilise cette information d'état
pour décider quel trafic doit être acheminé.
• CBAC est la pièce maîtresse de la fonctionnalité de pare-feu et des
autres fonctionnalités constituées autour de CBAC.
Note : Les informations de connexion peuvent être rassemblées par

CBAC et transmises à un serveur Syslog.
Chapitre 3
 Principe CBAC
• Le pare-feu Cisco IOS est un système d'inspection de paquets.
C'est un système "Stateful", il garde des informations au sujet des
connexions qui se terminent en dehors de la durée de vie d'un paquet.
• CBAC est une fonctionnalité pour IP uniquement. Un routeur utilisant
CBAC reconnaît TCP, UDP et quelques autres protocoles de couches
supérieures et examine les paquets au-delà des en-têtes. Il garde une
trace des informations apprises des paquets qu'il examine.
Par exemple CBAC permet le trafic retour d'une connexion TCP une fois
que la connexion a été initiée et il fournit les bases pour effectuer des
statistiques et des logs de sessions.
• La fonctionnalité de log utilise les informations de CBAC pour transmettre
des informations de traçabilité vers un serveur Syslog. Les logs
comprennent des informations au sujet des host qui communiquent, des
numéros de ports et du nombre d'octets transférés.
Chapitre 3
 Fonctionnement CBAC
• CBAC bloque le trafic réseau uniquement quand il reconnaît une
violation de protocole ou quelque chose qui est reconnu comme une
attaque. Ce blocage est une fonctionnalité importante mais pour des
besoins de configuration CBAC crée des ouvertures dans le pare-feu.
• Avec CBAC, la configuration des listes d'accès du routeur permet de
spécifier quelles sessions (au lieu de paquets) qui seront autorisées à
passer au travers du routeur. Ces listes d'accès ont seulement besoin de
permettre le premier paquet de couche application d'une communication.
CBAC crée automatiquement les entrées dynamiques temporaires dans
les listes d'accès pour permettre le trafic retour et le trafic sur des
connexions secondaires associées avec la communication.
Note : CBAC crée uniquement les exceptions spécifiques qui sont

réellement nécessaires.
Chapitre 3
 Schéma d’un réseau CBAC
Réseau
protégé
S0/0 fe0/0
Internet
Cisco IOS Firewall
Ce schéma du réseau est une configuration simple d'un pare-feu avec un réseau
privé sur FastEthernet0/0 et Internet sur Serial0/0.
La stratégie de sécurité consiste à ce que les utilisateurs du réseau privé seront

capables de se connecter aux services d'Internet mais avec aucun accès depuis
Internet dans le réseau privé.
Le réseau privé n'a aucun serveurs que le monde extérieur pourrait l’utiliser.
Chapitre 3
 Schéma d’un réseau (sans CBAC)
!--- FastEthernet0/0 est le réseau interne protégé.
interface FastEthernet 0/1
ip address 10.0.0.1
!--- Le trafic réseau d'Internet arrive sur la Serial0/0.
ip address 172.16.30.1
ip access-group 101 in
!--- Laisse entrer les données associées à une connexion initiée en sortie.
!--- Cette ouverture permet des attaques de type fragmentation
access-list 101 permit tcp any any established
!--- Le serveur DNS interne 10.0.0.2 peut transmettre des requêtes
!--- aux autres serveurs DNS en utilisant le port 53. Cette entrée
!--- permet également aux machines externes d'atteindre le DNS.
access-list 101 permit udp any host 10.0.0.2 eq 53
!--- Cette liste d'accès est nécessaire pour permettre aux utilisateurs
!--- internes d'atteindre des services UDP externes.
access-list 101 permit udp any any gt 1024
!--- Cette liste d'accès est nécessaire pour autoriser les utilisateurs
!--- à accéder à un FTP passive.
access-list 101 permit tcp any any gt 1023
access-list 101 deny ip any any
Chapitre 3
 Schéma d’un réseau (avec CBAC)
!--- Ethernet0 est le réseau interne protégé.
ip address 10.0.0.1
!--- L'inspection est appliquée en entrée car les paquets d'initiation
!--- entrent par cette interface en provenance du réseau privé interne.
!--- Inspection est toujours appliquée dans la direction de l'initiation
!--- des connexions bien qu'elle traite les paquets circulant dans les deux
!--- sens. Aucune initiation de conversation n'est autorisée de l'Internet
!--- vers le réseau privé interne.
ip inspect firewall in
!
!--- Le trafic réseau d'Internet entre par l'interface Serial0/0.
interface serial 0
ip address 1.1.1.1
ip access-group 101 in
!
!--- La liste d'accès ne permet aucun trafic vers le réseau privé interne.
!--- CBAC crée des ouvertures en réponse aux connexions initiées depuis le
!--- réseau privé interne pour que le trafic retour puisse entrer.
access-list 101 deny ip any any
Chapitre 3
 Schéma d’un réseau (avec CBAC)
!--- Voici la liste des protocoles inspectés. L'hypothèse est que nous
!--- voulons que les utilisateurs du réseau privé puissent initier toutes
!--- sortes de conversations en sorties.
!
ip inspect name firewall icmp
ip inspect name firewall ftp
ip inspect name firewall h323
ip inspect name firewall http
ip inspect name firewall rcmd
ip inspect name firewall smtp
ip inspect name firewall sqlnet
ip inspect name firewall streamworks
ip inspect name firewall tftp
!
!--- L'inspection TCP Generique permet le fonctionnement normal de la
!--- majorité des protocoles tant qu'ils utilisent une seule connexion TCP.
ip inspect name firewall tcp
!
!--- L'inspection UDP Generique UDP est identique à l'inspection générique
!--- TCP tant qu'il y a une seule paire client host/port et serveur
!--- host/port.
ip inspect name firewall udp
Chapitre 3
 Schéma d’un réseau (Vérification CBAC)
• show ip access-lists : displays the contents of all current IP
access lists.
• show ip inspect name inspection-name : shows a particular

configured inspection rule.
• show ip inspect config : shows the complete CBAC inspection

configuration.
• show ip inspect interfaces : shows interface configuration with

regards to applied inspection rules and access lists.
• show ip inspect session [detail] : shows existing sessions

that are currently being tracked and inspected by CBAC.
• show ip inspect all : shows all CBAC configuration and all

existing sessions that are currently being tracked and inspected by CBAC.
Chapitre 3
 Schéma d’un réseau (Vérification CBAC)
• debug ip inspect events : displays messages about CBAC

software events, including information about CBAC packet
processing.
• debug ip inspect timers : displays messages about CBAC

timer events such as when a CBAC idle timeout is reached.
• debug ip inspect detail : enables the detailed option, which

can be used in combination with other options to get additional
information.
• debug ip inspect tcp : displays messages about CBAC-

inspected TCP events, including details about TCP packets.
• debug ip inspect udp : displays messages about CBAC-

inspected UDP events, including details about UDP packets.
Chapitre 3
Politique de sécurité du réseau selon des zones
 Stratégie de sécurité basée sur les zones (ZBF)
• Le modèle de configuration Zone-based policy firewall (ZPF or ZBF) a été
introduit en 2006 avec l’IOS 12.4(6)T.
• Avec ZBF, les interfaces sont assignées à une des zones sur lesquelles
une règle d’inspection du trafic (inspection policy) est appliquée et qui
vérifie le trafic qui transite entre les zones.
• Une règle par défaut bloque tout trafic tant qu’une règle explicite ne
contredit pas ce comportement.
• ZBF supporte toutes les fonctionnalités Stateful Packet Inspection (SPI),
filtrage des URLs et contre-mesure des DoS.
Chapitre 3
 Stratégie de sécurité basée sur les zones (ZBF)
• Le pare-feu de la politique de sécurité basée sur les zones change la
configuration du pare-feu de l'ancien modèle basé sur l'interface pour un
modèle plus souple et plus facilement compréhensible basé sur des zones.
• Des interfaces sont affectées aux zones et la politique d'inspection est
appliquée au trafic qui se déplace entre les zones.
Stratégie
Private-DMZ
DMZ
Stratégie Stratégie
DMZ-Private Public-DMZ
Private Public
Internet
Non
Sécurisé
sécurisé
Stratégie
Private-Public
Chapitre 3
 Principe de ZBF
• Une zone doit être configurée (créée) avant qu’une interface puisse en
faire partie. Une interface ne peut être assignée qu’à une seule zone.
• Tout le trafic vers ou venant d’une interface donnée est bloqué quand elle
est assignée à une zone sauf pour le trafic entre interfaces d’une même
zone et pour le trafic du routeur lui-même (Self zone).
• Une politique de sécurité (zone-pair) peut contrôler le trafic entre deux
zones en faisant référence à un ensemble de règles (policy-map).
• Un policy-map prend des actions et fait référence à des critères de filtrage
(class-maps).
• Quand du trafic passe d’une zone à une autre (zone-pair), un policy-map
est appliqué.
• Pour chaque class-map (critère de filtrage) du policy-map, une action est
prise : pass, inspect ou drop de manière séquentielle.
Chapitre 3
 Conception de la politique selon la zone (ZBF)
• Une zone de sécurité devrait être configurée pour chaque région de
sécurité dans le réseau, de sorte que toutes les interfaces qui sont
affectées à la même zone soient protégées avec un niveau de sécurité
semblable.
• Par ex. un routeur d'accès avec trois interfaces :
- Un interface connectée à l'Internet/ réseau public (non sécurisé)
- Une interface connectée à un LAN/ réseau privé qui ne doit pas être
accessible depuis l'Internet
- Une interface connectée à une zone démilitarisée (DMZ), où un
serveur Web, un serveur DNS et un serveur de messagerie
électronique doivent être accessibles à l'Internet
Chapitre 3
 Actions de ZBF
• Lors de l’analyse du trafic, ZBF peut appliquer trois actions:
"inspect" :
- Action qui configure l'inspection stateful de paquet, il met en place un
pare-feu à état (équivalent à la commande ip inspect)
- Capable de suivre les protocoles comme ICMP ou FTP (avec de
multiples connexions data et session)
"drop" :
- Action analogue à l’action "deny" dans une ACL ;
- Une option log est possible pour journaliser les paquets rejetés.
"pass" :
- Action analogue à l’action "permit" dans une ACL.
- Ne suit pas l’état des connexions ou des sessions
- Nécessite une règle correspondante pour du trafic de retour
Chapitre 3
 Politique de sécurité ZBF
• Généralement, le réseau aura trois politiques principales :
- Connectivité de zone privée à Internet (Private-Public)
- Connectivité de zone privée aux hôtes DMZ (Private-DMZ)
- Connectivité de zone Internet aux hôtes DMZ (Public-DMZ)
Chapitre 3
 Cisco Policy Language (CPL)
Règles :
1. Définir des class-maps (critères de filtrage) qui décrivent le trafic que
la politique de sécurité va vérifier à travers un policy-map.
2. Définir les policy-maps qui définissent les politiques de sécurités : le

trafic filtré et l’action à prendre : drop, pass, inspect
Zones :
1. Définir les zones (zone security)
2. Assigner les interfaces aux zones (zone-member security)
3. Définir les zone-pairs (zone-pair security) Application :
4. Appliquer les policy-maps aux zone-pairs (service-policy)
Chapitre 3
 Configuration de ZBF
smtp.isp.com
dns.isp.com
172.16.0.2
10.0.0.2 10.0.0.3 172.16.0.1
HQ
172.16.10.32/28
10.0.0.0/24 Internet
10.0.0.1 www.web.com
192.168.201.6
172.18.25.10
Inside Outside
1. Créer des zones pour le pare-feu 3. Spécifier les stratégies de pare-feu avec
avec la commande : la commande :
zone security policy-map type inspect
2. Définir des classes de trafic avec 4. Appliquer les stratégies de pare-feu aux
la commande : paires de zones source et destination
class-map type inspect avec la commande :
zone-pair security
5. Affecter les interfaces du routeur aux zones en utilisant la commande :
zone-member security interface
Chapitre 3
smtp.isp.com
dns.isp.com
172.16.0.2
10.0.0.2 10.0.0.3 172.16.0.1
HQ
172.16.10.32/28
192.168.201.6
172.18.25.10
Inside Outside
1. Créer des zones pour le pare-feu
avec la commande zone security
HQ(config)# zone security Inside

HQ(config-sec-zone)# description Inside network
HQ(config-sec-zone)# exit
!
HQ(config)# zone security Outside
HQ(config-sec-zone)# description Outside network
HQ(config-sec-zone)# exit
Chapitre 3
smtp.isp.com
dns.isp.com
172.16.0.2
10.0.0.2 10.0.0.3 172.16.0.1
HQ
172.16.10.32/28
192.168.201.6
172.18.25.10
Inside Outside
2. Définir des classes de trafic avec la commande :
class-map type inspect
HQ(config)# class-map type inspect INSIDE-OUTSIDE-CMAP
HQ(config-cmap)# match access-group 101
HQ(config-cmap)# match protocol tcp
HQ(config-cmap)# match protocol udp
HQ(config-cmap)# match protocol icmp
HQ(config-cmap)# exit
!
HQ(config)# access-list 101 permit ip 10.0.0.0 0.0.0.255 any
Chapitre 3
smtp.isp.com
dns.isp.com
172.16.0.2
10.0.0.2 10.0.0.3 172.16.0.1
HQ
172.16.10.32/28
192.168.201.6
172.18.25.10
Inside Outside
3. Spécifier les stratégies de pare-feu avec la commande :
policy-map type inspect
HQ(config)# policy-map type inspect INSIDE-to-OUTSIDE-PMAP

HQ(config-pmap)# class type inspect INSIDE-OUTSIDE-CMAP
HQ(config-pmap-c)# inspect
HQ(config-pmap-c)# exit
Chapitre 3
smtp.isp.com
dns.isp.com
172.16.0.2
10.0.0.2 10.0.0.3 172.16.0.1
HQ
172.16.10.32/28
192.168.201.6
172.18.25.10
Inside Outside
4. Appliquer les stratégies de pare-feu aux paires de zones source et destination
avec la commande :
zone-pair security
HQ(config)# zone-pair security INSIDE-to-OUTSIDE
source Inside destination Outside
HQ(config-sec-zone-pair)# description Internet Access
HQ(config-sec-zone-pair)# service-policy type inspect
INSIDE-to-OUTSIDE-PMAP
HQ(config-sec-zone-pair)# exit
Chapitre 3
smtp.isp.com
dns.isp.com
172.16.0.2
10.0.0.2 10.0.0.3 172.16.0.1
HQ
172.16.10.32/28
192.168.201.6
172.18.25.10
Inside Outside
5. Affecter les interfaces du routeur aux zones en utilisant la commande :
zone-member security interface
HQ(config)# interface fa0/0
HQ(config-if)# zone-member security Inside
HQ(config-if)# exit
!
HQ(config)# interface s0/0.1 point-to-point
HQ(config-if)# zone-member security Outside
HQ(config-if)# exit
Chapitre 3
 Etapes de configuration de ZBF à l’aide de SDM
- Etape 1 : Définir les zones
- Etape 2 : Configurer les class maps pour décrire le

trafic entre zones
- Etape 3 : Créer des policy maps pour appliquer des

actions au trafic défini dans les class maps
- Etape 4 : Définir les paires de zones et affecter les

policy maps aux paires de zones
Chapitre 3
Etape 1: Définir les zones
1. Choisir Configure > Additional Tasks > Zones
2. Cliquer sur Add
3. Entrer un nom de zone
4. Choisir les interfaces pour cette zone
5. Cliquer sur OK pour créer la zone puis sur OK dans la fenêtre

Commands Delivery Status
Chapitre 3
Etape 2: Configurer les class map
1. Choisir Configure > Additional Tasks > C3PL > Class Map > Inspections
2. Revoir, créer et éditer des class maps. Pour éditer une class map,
choisir la class map à partir de la liste puis cliquer sur Edit
Chapitre 3
Etape 3: Créer les policy map
1. Choisir Configure > Additional Tasks > C3PL > Policy Map > Protocol Inspection
2. Cliquer sur Add
3. Entrer un nom de stratégie et une description

4. Cliquer sur Add pour ajouter une nouvelle class map
6. Choisir Pass, Drop ou Inspect

5. Entrer le nom de la class map à appliquer.
Cliquer sur la flèche pour obtenir une liste
si le nom n'est pas connu.
7. Cliquer sur OK
Chapitre 3
Etape 4: Accéder à la configuration du pare-feu de base
1. Choisir Configure > Firewall and ACL
2. Cliquer sur l'option Basic Firewall puis cliquer sur

le bouton Launch the Selected Task
3. Cliquer sur Next pour débuter la configuration
Chapitre 3
Etape 5: Configurer la sécurité pare-feu de base
2. Sélectionnez le niveau de sécurité
3. Cliquer sur le bouton Preview Commands

pour afficher les commandes de l'IOS.
Chapitre 3
Etape 5: Vérifier la configuration de la sécurité pare-feu de base
Résumé de configuration de la sécurité

pare-feu de base
2. Cliquer sur Finish
Chapitre 3
Etape 5: Revoir la stratégie de sécurité
Chapitre 3
 Vérification ZBF
show commands
• show class-map type inspect
• show policy-map type inspect
• show zone-pair security
• show policy-map type inspect zone-pair
debug commands
• debug policy-firewall detail
• debug policy-firewall events
• debug policy-firewall protocol tcp
• debug policy-firewall protocol udp
Chapitre 3
Zone Based Firewall (ZBF) vs. CBAC (ZPF)
 CBAC vs. ZBF
CBAC Zone Based Firewall

Interface Based Configuration Zone Based Configuration
Controls Inbound and Outbound access Controls Bidirectional access between
on an interface zones.
Uses inspect statements and stateful
Uses Class-Based Policy language
ACLs
Support Application Inspection and
-Not supported-
Control
Support from IOS Release 11.2 Support from IOS Release 12.4 (6) T
Chapitre 3
Chapitre 3

CCNP Security Ch03 PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

CCNP Security Ch03 PDF

Загружено:

Авторское право:

Доступные форматы

BIG SOFT

Technologie Cisco Firewall

• Contrôler et limiter les menaces à l’aide des Pare-feux

• Configuration de stratégies (CBAC & ZBF)

Vulnérables aux attaques par

Quelques exemple de règles de pare-feu :

Règle Action IP Source IP Destination Protocole Port Src Port Dst

1 permit 192.168.14.51 192.154.84.5 tcp any 25

2 permit 192.168.14.51 201.49.100.92 tcp any 8080

3 permit any 192.168.1.251 tcp any 80

5 permit 192.168.14.0/24 any tcp any 80

5 deny any any any any any

Certains suivis de connexion ne sont pas simples à faire et nécessitent

Les proxy applicatifs est un dispositif

Les proxy applicatifs doivent nécessairement être en

• PIX 500 series

Note : Les informations de connexion peuvent être rassemblées par

Note : CBAC crée uniquement les exceptions spécifiques qui sont

Cisco IOS Firewall

La stratégie de sécurité consiste à ce que les utilisateurs du réseau privé seront

• show ip inspect name inspection-name : shows a particular

• show ip inspect config : shows the complete CBAC inspection

• show ip inspect interfaces : shows interface configuration with

• show ip inspect session [detail] : shows existing sessions

• show ip inspect all : shows all CBAC configuration and all

• debug ip inspect events : displays messages about CBAC

• debug ip inspect timers : displays messages about CBAC

• debug ip inspect detail : enables the detailed option, which

• debug ip inspect tcp : displays messages about CBAC-

• debug ip inspect udp : displays messages about CBAC-

2. Définir les policy-maps qui définissent les politiques de sécurités : le

2. Assigner les interfaces aux zones (zone-member security)

3. Définir les zone-pairs (zone-pair security) Application :

4. Appliquer les policy-maps aux zone-pairs (service-policy)

HQ(config)# zone security Inside

HQ(config)# policy-map type inspect INSIDE-to-OUTSIDE-PMAP

- Etape 1 : Définir les zones

- Etape 2 : Configurer les class maps pour décrire le

- Etape 3 : Créer des policy maps pour appliquer des

- Etape 4 : Définir les paires de zones et affecter les

3. Entrer un nom de zone

4. Choisir les interfaces pour cette zone

5. Cliquer sur OK pour créer la zone puis sur OK dans la fenêtre

2. Cliquer sur Add

3. Entrer un nom de stratégie et une description

6. Choisir Pass, Drop ou Inspect

1. Choisir Configure > Firewall and ACL

2. Cliquer sur l'option Basic Firewall puis cliquer sur

3. Cliquer sur Next pour débuter la configuration

1. Choisir Configure > Firewall and ACL

2. Sélectionnez le niveau de sécurité

3. Cliquer sur le bouton Preview Commands

1. Choisir Configure > Firewall and ACL

Résumé de configuration de la sécurité

2. Cliquer sur Finish

1. Choisir Configure > Firewall and ACL

• show policy-map type inspect

• show zone-pair security

• show policy-map type inspect zone-pair

• debug policy-firewall events

• debug policy-firewall protocol tcp

• debug policy-firewall protocol udp

CBAC Zone Based Firewall