La Mise en Place D'un Garde-Barrière Cisco PIX

Pix cisco
www.udivers.com
www.udivers.com www.udivers.com
Qu'est-Ce Qu'un Pare-Feu?
 (coupe-feu, garde-barrière ou Firewall en anglais),
 est un système permettant de protéger un

ordinateur ou un réseau d'ordinateurs des intrusions
provenant d'un réseau tiers (notamment Internet)
 Le pare-feu est un système permettant de filtrer les
paquets de données échangés avec le réseau, il
s'agit ainsi d'une passerelle filtrante comportant au
minimum les interfaces réseau suivantes :
 Une interface pour le réseau à protéger (réseau
interne) inside
 Une interface pour le réseau externe outside
Fonctionnement D'un
Systeme Pare-Feu
 Un système pare-feu contient un ensemble
de règles prédéfinies permettant :
 D'autoriser la connexion (allow)

 De bloquer la connexion (deny)
 De rejeter la demande de connexion sans
avertir l'émetteur (drop).
méthode de filtrage
On distingue habituellement deux types de politiques

de sécurité permettant :
1- soit d'autoriser uniquement les communications

ayant été explicitement autorisées :
 "Tout ce qui n'est pas explicitement autorisé est
interdit".
2- soit d'empêcher les échanges qui ont été

explicitement interdits.
Type de filtrage
1 Le filtrage simple de paquets (filtrage basic,

stateless packet filtering )
2 Le filtrage dynamique
Le filtrage simple de
paquets
 Il se base sur la couche 3 du modèle OSI
 Il analyse les en-têtes de chaque paquet de données
(datagramme) échangé entre une machine du réseau interne et
une machine extérieure.
 les en-têtes suivants, systématiquement analysés par le
Firewall :
identifier la machine
1- adresse IP de la machine émettrice émettrice et la machine
cible
2- adresse IP de la machine réceptrice
3- type de paquet (TCP, UDP, etc.) indication sur le type de

4- numéro de port (rappel: un port est un service utilisé
numéro associé à un service ou une
application réseau)
Le filtrage dynamique
 est basé sur l'inspection des couches 3 et 4 du modèle OSI
 permettant d'effectuer un suivi des transactions entre le client et

le serveur
 Un dispositif pare-feu de type « stateful inspection » est ainsi

capable d'assurer un suivi des échanges, c'est-à-dire de tenir
compte de l'état des anciens paquets pour appliquer les règles
de filtrage.
 à partir du moment où une machine autorisée initie une

connexion à une machine située de l'autre côté du pare-feu;
l'ensemble des paquets transitant dans le cadre de cette
connexion seront implicitement acceptés par le pare-feu.
présentation de Pix
 Les PIX Cisco sont des pares-feu qui

intègrent matériel et logiciel ainsi une
protection importante
Aspect du PIX
Sur la face avant du PIX, on a très peu d'informations.
 Le logo du constructeur
 La gamme du produit sur lequel on travaille.
 Trois diodes
Ces diodes servent à définir différents statuts

POWER - Elle permet de savoir si l'appareil est en marche ou
bien arrêté.
ACT - Cette diode est utile si on utilise une architecture de
redondance, c'est-à-dire plus d'un PIX. Si elle est allumée cela
veut dire que le PIX est actif. Sinon le PIX est en veille ou la
redondance n'est pas activée.
NETWORK - Elle est active lorsqu'au moins une interface réseau
du PIX laisse passer le trafic.
Aspect du PIX
 Sur la face arrière du PIX, nous pouvons voir

les différentes connectiques et les diodes qui
représentent le statut des interfaces
Le principe
 un PIX est considéré comme une porte verrouillée.
Pour passer au travers de cette porte et accéder
aux services disponibles sur l'autre segment réseau,
il faut posséder la clef, permettant de l'ouvrir. C'est
le PIX qui va décider de donner ou non cette clef.
 Par exemple, si l'on considère une machine sur

laquelle tourne le service WEB http et le daemon
sshd. Par défaut toutes les portes du PIX sont
fermées et seul le port 80 (http) a été ouvert
Une plateforme évolutive
 il est possible d’ajouter des cartes réseaux
donc des interfaces sur la majorité de la
gamme Pix Cisco
 Il est aussi possible de mettre à jour l’IOS du

Firewall comme c’est le cas pour les
routeurs. De ce fait nous pouvons ajouter des
fonctionnalités à nos Pix sans avoir à les
changer
Installation et configuration
graphique
 les Cisco Pix Firewall sont livrés avec un
logiciel d'administration graphique (PDM).
PDM permet à l'administrateur réseau de
configurer et de gérer le pare-feu Pix Firewall
à l'aide d'une interface GUI
 Il permet de récupérer, modifier et

administrer les politiques de sécurité ainsi
que de faire du monitoring
Pour le configurer, il faut utiliser les
commandes « [no] http adresse-ip
masque » et « [no] http server enable».
Par exemple:
Pix-fsts (config)# http server enable
pix-fsts (config)# http 192.168.0.2
255.255.255.255
Performance (algorithme
ASA)
 performances PIX découlent d'un système de
protection basé sur l'algorithme ASA
(Adaptive Security Algorithm).
 Cet algorithme assure une très grande

protection de l'accès au réseau interne en
comparant les paquets entrants et sortants
aux entrées d'une table. L'accès n'est
autorisé qu’après authentification.
Nombre de connections
 Le Cisco Secure Pix Firewall 515-R supporte

jusqu'à 64 000 sessions simultanées, le
Pix 515-UR en supporte jusqu'à 128 000 et le
Pix 520 jusqu'à 256 000
Tolérance de panne
 La plus part des Pix Cisco dispose d'un system de

tolérance de panne du nom de failover.
 Celui-ci permet de mettre un deuxième Pix en
cascade au premier au cas ou celui-ci tomberait en
panne
 Une interface est donc prévue à cet effet. Il suffit
juste de connecter les deux Pix à cette interface et à
activer le failover au niveau de l'IOS dans chacun
des Pix.
Tolérance de panne
 Le Pix 506 ne permet pas le Failover
 Les Pix 515, 525 et 535 supportent le Failover si et seulement si

vous avez une licence UR.
 Pour faire du Failover avec des Pix, il faut deux Pix Failover.
Dans tous les cas les 2 Pix doivent être rigoureusement
identique en matière de : RAM, Flash, IOS.
 Le Failover avec des Pix est du type actif/passif. C'est à dire que
le Pix2 est passif. Tout le trafic passe par le Pix1 qui est actif. Ce
n'est que si ce premier Pix tombe que le second devient actif.
Caractéristiques matérielles
( pix 515 )
 Processeur Intel Celeron cadencé à 433 Mhz
 128 Ko de mémoire cache niveau 2 cadencée à 433 Mhz
 Mémoire Flash de 16 Mo
 32 Mo ou 64 Mo de RAM selon la License restreinte ou non
restreinte
 Jusqu'à six interfaces selon les modèles
 Un port console pour l'administration
 Différentes diodes pour vérifier le statut de l'alimentation, du
réseau et de la redondance.
 Un débit de sortie jusqu'à 188 Mbps
 Support de différents protocoles de cryptage pour la
confidentialité des données utilisateur: 56 bit DES, 168 bits
3DES et 128 ou 256 bit AES
 Jusqu'à 60 / 130 Mbps pour les connexions VPN.
Caractéristiques
fonctionnelles
Le PIX est un pare-feu à inspection d'état,
peut assurer le suivi des échanges et utilise
l'ASA (Adaptive Security Algorithm) pour ce
filtrage dynamique.
Il peut aussi contrôler l'accès de différentes

applications, services et protocoles et
protège votre réseau contre les attaques
connues et courantes
 Ce pare-feu gère également le VPN (IKE et
IPSec). On peut ainsi créer des tunnels VPN
entre sites.
 Le PIX peut aussi faire office de serveur

DHCP pour les équipements connectés au
réseau interne et grâce au NAT, permet à
ces "clients" de se connecter à Internet avec
une même adresse IP publique
Configuration de base
Deux méthodes de configuration sont adaptées:
 La configuration du PIX peut s'effectuer via une

interface web : le Pix Device Manager (PDM).
 Ou par le biais de commandes entrées

manuellement par l'administrateur l'interface en ligne
de commande (CLI).
Modes de commandes
il existe plusieurs niveaux d'accès

administratifs :
- Mode utilisateur
- Mode privilégié
- Mode de configuration globale
Mode utilisateur
mode par défaut, on peut consulter certaines

informations sur le pare-feu mais sans
pouvoir effectuer de modifications
en mode utilisateur, on aura : PIX-FSTS>
Mode privilégié
 permet de procéder à la configuration de

base du pare-feu et de visualiser son état.
 En mode privilégié : PIX-FSTS #
Mode de configuration
globale
comme son nom l'indique, permet de

configurer les paramètres ayant une portée
globale.
Et en mode de configuration globale :

PIX-FSTS(config)#
 Pour passer d'un mode à l'autre il faut utiliser les
commandes suivantes :
 - enable pour passer du mode utilisateur à privilégié

et disable ou exit pour l'inverse.
 - configure terminal pour passer du mode privilégié

à configuration globale et exit pour l'inverse.
 Une bonne configuration mais avec une
bonne organisation !!
Méthode et Organisation de
la configuration de Pix
Pour que notre Firewall Pix soit bien

configurer il faut suivre une méthode de
configuration bien organisé qui va nous aider
par la suite de savoir les faille de la
configuration plus rapidement
Configuration de base
Ci-après les principes d’une configuration

organisée et moins réduite
Nom du Pix et domaine du
pix :
 hostname Pix-FSTS
 domain-name fsts.ac.ma
Mot de passe du pix pour
l'accès en mode enable
 enable password mot-de-passe encrypted
Mot de passe du pix pour
l'accès en telnet et ssh
 passwd password [encrypted]
Nommages des
équipements
 Pendant la configuration un administrateur réseaux
a eu la charge de rappeler toutes les adresses IP
nécessaire pour cette configuration
 alors pour faciliter cette tache, on affecte un nom à

chaque adresse IP et au lieu d’appliquer les règles
des contrôles d’accès ou d’autre configuration sur
les adresses IP il nous suffit juste de les appliquer
sur les noms affectés des hôtes ou des serveurs
utilisée
Configuration des
interfaces
Nom des interfaces et affectation d'un niveau de sécurité
 Le Pix interdit toute communication émanent d'une interface

ayant un niveau de sécurité bas vers une interface de niveau
élevé
 Il faut donc attribuer un niveau de sécurité de 0 pour l'interface

connectée à Internet et un niveau de 100 pour l'interface
connecter au LAN
 la DMZ (zone démilitarisée), on met un niveau de sécurité à 50
Configuration des
interfaces
 nameif hardware_id if_name security_level
Par exemple:
# nameif ethernet0 outside security0

# nameif ethernet1 dmz security50
# nameif ethernet2 inside security 100
Affectation des adresses ip
aux interfaces
 ip address if_name ip_address [netmask]
# ip address outside 172.16.80.100

255.255.255.0
# ip address dmz 192.168.36.19
255.255.255.0
Les ACLS
 les Access liste ,les listes de contrôles d’accès
 Une ACL sur un pare-feu, est une liste d'adresses

ou de ports autorisés ou interdits par le dispositif de
filtrage.
 ACLs sont les ligne de la configuration les plus

importantes au niveau du Pix c’est eux qui nous
permettent d’appliquer les règles de permission ou
de blocage soit des application ,des services ou des
hôtes
Définition des objets
(Object Grouping)
 Une ACL peut permettre au PIX d'autoriser un client
particulier à accéder à un serveur particulier pour un
service spécifique. Quand il y a seulement un client,
un serveur et un service, le nombre de lignes est
minimum dans l'ACL
 Cependant, en augmentant le nombre de clients, de

serveurs, le nombre de lignes dans une ACL
augmente exponentiellement.
Définition des objets
(Object Grouping)
 On peut grouper des objets de réseau tels que des
serveurs et des services pour simplifier la tâche de
création et d'application d'ACLs.
Ceci réduit le nombre d'entrées de contrôle d'accès

(ACEs) exigées pour mettre en application des
politiques complexes de sécurité.
 L'application d'un groupe d'objet à une commande est
l'équivalent d'appliquer chaque élément du groupe d'objet à la
commande
Par exemple:
 le groupe group_admin contient :
les hotes @ip_admin1, @ip_admin2, et @ip_admin3

 Le groupe group_service soutient les protocoles
HTTP, HTTPS et FTP

 L'application du groupe group_admin et group_service à un ACE
est équivalente à appliquer tous les hôtes et protocoles
individuellement à l'ACE.
Par conséquent, la commande :
 access-list outside permit tcp any object-group DMZ_Servers

object-DMZ_Services
Est équivalente à:
 access-list outside permit tcp any host @ip_admin1 eq http

access-list outside permit tcp any hos t@ip_admin1 eq https
access-list outside permit tcp any host @ip_admin1 eq ftp
access-list outside permit tcp any host @ip_admin2 eq http
access-list outside permit tcp any host @ip_admin2 eq https
access-list outside permit tcp any host @ip_admin3 eq http
access-list outside permit tcp any host @ip_admin3 eq https
Types d’objet groupe
 Grouper les objets fournit une manière de grouper des objets d'un type
identique de sorte qu'une ACL simple puisse s'appliquer à tous objets
dans le groupe. Vous pouvez créer les types suivants de groupes
d'objet :
 -Network : Utilisée pour grouper les hôtes et les sous-réseaux

 -Protocol : Utilisée pour grouper les protocoles
Peut contenir un des mots Clés Parmi icmp, ip, tcp, or udp, ou un entier
entre 1 à 254 représentant un numéro de protocole. Utiliser le mot
clé ip pour englober tous les protocoles Internet, incluant ICMP, TCP et
UDP.
- Service : Utilisée pour grouper les ports TCP or UDP assignés à
différents services.
- ICMP-type : Utilisée pour grouper les types de messages ICMP à
autoriser ou refuser.
Configuration d'un object-
group
object-group network pour nommer l'objet réseau et entre en mode
secondaire d'objet de réseau. Une fois à l'intérieur de ce mode, on peut
employer la commande network-object pour ajouter un serveur ou un
réseau au groupe d'objet de réseau.
 object-group network group-admin

network-object host 10.0.0.3 | administrateur-reseau
network-object 10.0.0.0 255.0.0.0
C'est similaire pour les objets service:
 object-group service Services tcp

port-object eq service
port-object range begin_service end_service(pour assigner un plage
de service
Configuration du NAT
 La translation d'adresse réseau, NAT, est un mécanisme
permettant, entre autre, de connecter plusieurs équipements
réseau à Internet via une seule adresse IP publique
 leurs adresses internes restant ainsi inconnues de l'extérieur.

Pour le configurer sur le PIX
 il faut utiliser les commandes suivantes. Ceci est nécessaire afin

de faire communiquer les hôtes avec un haut niveau de sécurité
vers ceux ayant un niveau plus bas
 nat [(if_name)] nat_id address [netmask] [dns][max_conns]
Vérification de la configuration NAT:
show nat :
Cette commande sert à afficher un hôte ou une ensemble d'hôte

translatés.
show global:
Affiche les pools d'adresses configurées sur le PIX.
show xlate:
Affiche la table de translation
Sauvegarde de La
configuration
 Obligatoire, importante et incontournable pour un
administrateur réseau parce que cette partie il va nous permettre
de garder les traces de la configuration finale
 Dans les cas d’ajout d’une configuration malveillante on peut

restaurer la configuration sauvegardée tranquillement sans
aucun doute, ni stress
 L’utilisation de la commande « write memory » va vous permettre

de sauvegarder dans la mémoire flash toute la configuration du
PIX que vous venez de réaliser
Complement de securité
 Afin de garantir un niveau de protection maximal, il est
nécessaire d'administrer le pare-feu et notamment de surveiller
son journal d'activité afin d'être en mesure de détecter les
tentatives d'intrusion et les anomalies.
 Par ailleurs, il est recommandé d'effectuer une veille de sécurité

afin de modifier le paramétrage de son dispositif en fonction de
la publication des alertes.
 La mise en place d'un Firewall doit donc se faire en accord

avec une véritable politique de sécurité
  y compris :
LE CLOISONNEMENT
 Le cloisonnement du réseau consiste à définir

plusieurs zones de niveaux de sécurité différents,
identifier les échanges entre les niveaux et limiter
les échanges au strict minimum. En effet, cela
permettra de :
 Séparer les zones de confiances différentes
 Assurer une meilleure protection des services IP,
 Assurer une meilleure séparation des flux.

Le cloisonnement du réseau sera accompagné des moyens techniques suivants :
1- Le filtrage des flux IP par l’utilisation des Firewalls
2- La translation d’adresse permettant de cacher la topologie du réseau interne aux

correspondants externes. Plusieurs types d’implémentation sont utilisés :
 Traduction statique d’adresses
 Traduction dynamique de ports : elle est appliquée aux postes de travail internes
pour naviguer sur Internet ou communiquer avec les différents serveurs métiers
localisés sur les autres zones de sécurité.
 Les services de filtrage et relais applicatifs sont réalisés sur des serveurs dédiés
comme les serveurs Proxy http (Antivirus SMTP, Antivirus http/FTP, Filtrage URL),
 Le service d’Authentification, d’Autorisation et d’Accounting est assuré par

une plateforme de contrôle d’accès basée sur le protocole Radius et Tacacs
PROTECTION ANTIVIRALE
DES FLUX HTTP/FTP
Les flux de messagerie entrants et
sortants sont routés vers la passerelle de
protection antivirale SMTP. En effet, cette
passerelle analyse le contenu des
messages reçus et vérifie qu’ils ne
contiennent aucun virus ou code malicieux
puis transférera le message vers le serveur
de messagerie ou Internet.
LA DETECTION D’INTRUSION
pour atténuer ces risques à mettre en place des détecteurs

d’intrusions réseaux sur les différents segments « Public » et «
Partenaires ».
Les principales fonctionnalités qui sont exploitées sont :
- Examen « silencieux » du trafic réseau ;

-envoi de Logs vers le serveur d’analyse de logs
-Comparaison du trafic capturé avec une base de données
d'attaques ;
-Mise en place éventuelles d’actions efficaces en cas d'attaque ;
-Remonté d'alertes vers une console centrale (+ mails, ...).
LA REDONDANCE ET
DISPONIBILITE
Afin de compléter la robustesse de l’infrastructure de
sécurité des accès Internet mise en place, une
amélioration du niveau de disponibilité est
indispensable, cette amélioration passe par :
 Redondance des équipements Firewalls en

FailOver,
 Redondance des serveurs passe les Antirus

SMTP/Antispam et Http/FTP.
conclusion
 N’oubliez pas que la configuration n’est pas

définitive et qu’il très important de faire un
suivi régulier, c'est-à-dire mettre à jour les
schémas réseaux lors de modifications et les
appliquer sur le PIX.
 Le PIX étant un produit très évolutif, vous
pourrez ajouter facilement des cartes
d’extension, ou bien mettre à jour l’IOS
Merci pour votre attention
Gracias por su atención

La Mise en Place D'un Garde-Barrière Cisco PIX

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

La Mise en Place D'un Garde-Barrière Cisco PIX

Загружено:

Авторское право:

Доступные форматы

Pix cisco

 est un système permettant de protéger un

 D'autoriser la connexion (allow)

On distingue habituellement deux types de politiques

1- soit d'autoriser uniquement les communications

2- soit d'empêcher les échanges qui ont été

1 Le filtrage simple de paquets (filtrage basic,

3- type de paquet (TCP, UDP, etc.) indication sur le type de

 est basé sur l'inspection des couches 3 et 4 du modèle OSI

 permettant d'effectuer un suivi des transactions entre le client et

 Un dispositif pare-feu de type « stateful inspection » est ainsi

 à partir du moment où une machine autorisée initie une

 Les PIX Cisco sont des pares-feu qui

 La gamme du produit sur lequel on travaille.

Ces diodes servent à définir différents statuts

 Sur la face arrière du PIX, nous pouvons voir

 Par exemple, si l'on considère une machine sur

 Il est aussi possible de mettre à jour l’IOS du

 Il permet de récupérer, modifier et

 Cet algorithme assure une très grande

 Le Cisco Secure Pix Firewall 515-R supporte

 La plus part des Pix Cisco dispose d'un system de

 Le Pix 506 ne permet pas le Failover

 Les Pix 515, 525 et 535 supportent le Failover si et seulement si

Il peut aussi contrôler l'accès de différentes

 Le PIX peut aussi faire office de serveur

Deux méthodes de configuration sont adaptées:

 La configuration du PIX peut s'effectuer via une

 Ou par le biais de commandes entrées

il existe plusieurs niveaux d'accès

mode par défaut, on peut consulter certaines

en mode utilisateur, on aura : PIX-FSTS>

 permet de procéder à la configuration de

 En mode privilégié : PIX-FSTS #

comme son nom l'indique, permet de

Et en mode de configuration globale :

 - enable pour passer du mode utilisateur à privilégié

 - configure terminal pour passer du mode privilégié

Pour que notre Firewall Pix soit bien

Ci-après les principes d’une configuration

 enable password mot-de-passe encrypted

 passwd password [encrypted]

 alors pour faciliter cette tache, on affecte un nom à

 Le Pix interdit toute communication émanent d'une interface

 Il faut donc attribuer un niveau de sécurité de 0 pour l'interface

 la DMZ (zone démilitarisée), on met un niveau de sécurité à 50

# nameif ethernet0 outside security0

# ip address outside 172.16.80.100

 les Access liste ,les listes de contrôles d’accès

 Une ACL sur un pare-feu, est une liste d'adresses

 ACLs sont les ligne de la configuration les plus

 Cependant, en augmentant le nombre de clients, de

Ceci réduit le nombre d'entrées de contrôle d'accès

les hotes @ip_admin1, @ip_admin2, et @ip_admin3

HTTP, HTTPS et FTP

 access-list outside permit tcp any object-group DMZ_Servers

 access-list outside permit tcp any host @ip_admin1 eq http

 -Network : Utilisée pour grouper les hôtes et les sous-réseaux

 object-group network group-admin

C'est similaire pour les objets service:

 object-group service Services tcp

 leurs adresses internes restant ainsi inconnues de l'extérieur.

 il faut utiliser les commandes suivantes. Ceci est nécessaire afin