Professional Documents
Culture Documents
RE16 1
Commenter une ACL
RE16 2
Mthode de travail
RE16 3
ACL dynamique
RE16 4
ACL dynamique
RE16 5
ACL dynamique
RE16 7
ACL dynamique
RE16 9
ACL dynamique
RE16 10
Proxy dauthentification
RE16 11
Proxy dauthentification
Les utilisateurs qui sont bloqus par une ACL peuvent (si le
routeur est configur en ce sens) utiliser un simple navigateur
web pour sidentifier auprs du serveur TACACS+ ou RADIUS
Ils doivent se connecter au serveur HTTP rsidant dans le
routeur prvu cet effet
Ce serveur HTTP remplace le serveur telnet comme
intermdiaire entre lutilisateur et le serveur TACACS+ ou
RADIUS
Aprs authentification, le serveur donnera au routeur
linstruction quil doit ajouter en tte dACL pour permettre
lutilisateur de rentrer sur le rseau
RE16 12
Proxy dauthentification
RE16 13
ACL rflexive
RE16 14
ACL tendue : rappel
Quand on utilise un numro de port pour filtrer, il faut savoir que
seul le port destination est filtr
Si je mets une ACL pour interdire host
denvoyer des requtes HTTP, le serveur ne
verra jamais rien
Les sessions TCP sont suivies grce aux bits ACK, RST et FIN
des en-ttes TCP
La fin de la session TCP est repre de la faon suivante :
quand le bit FIN de len-tte TCP est plac 1, le routeur devine
que la session va se terminer, il attend 5 secondes pour laisser le
temps lhte et au serveur de terminer leur session, puis il
bloque le trafic
quand le bit RST est mis 1, le routeur dtecte une interruption
abrupte de session et bloque immdiatement le trafic
par dfaut au bout dun certain temps (paramtrable) dinactivit
pour cette session
RE16 16
ACL rflexive
RE16 17
ACL rflexive
RE16 18
FTP : rappel
En mode passif :
le client ouvre une connexion de contrle sur le port 21 du serveur
le serveur lui indique un numro de port pour le transfert des
donnes
quand le client demande des donnes, il sollicite une connexion
sur le port que le serveur lui a indiqu
S1
S1
interface Ethernet 0 E0 S1
description Acces a notre reseau
ip access-group inboundfilters in ct rseau local ct rseau
dinterconnexion
ip access-group outboundfilters
DMZ
out
! www
smtp
ip reflexive-list timeout 120 dns
!
ip access-list extended
outboundfilters laccs la DMZ doit tre possible linitiative
deny icmp any any lextrieur :
on ne peut pas mettre lACL rflexive sur S1
evaluate tcptraffic
il faut la mettre sur E0
!
ip access-list extended
inboundfilters
permit tcp any any reflect
tcptraffic
RE16 22
ACL caractre temporel
Ce genre dACL permet dinterdire certains trafics pendant
certains priodes
La rfrence de temps utilise est lhorloge interne du routeur,
il est dans ce cas intressant dutiliser le protocole NTP
(Network Time Protocol ) pour bien synchroniser tous les
quipements
RE16 23
Turbo ACL
RE16 24
Context Based Acces Control : CBAC
RE16 25
CBAC
RE16 26
CBAC
RE16 28
CBAC : client sortant
RE16 29
CBAC : client sortant
RE16 30
CBAC : client entrant
RE16 31
CBAC : client entrant
RE16 32
CBAC
RE16 33
CBAC
RE16 34
CBAC
RE16 36
Configuration du CBAC
RE16 37
CBAC : alertes
no ip inspect alert-off
RE16 38
CBAC : rapports
ip inspect audit-trail
Router(config)# logging on
Router(config)# logging 10.0.0.3
Router(config)# ip inspect audit-trail
RE16 39
CBAC : temporisations
Router(config)#
ip inspect tcp synwait-time seconds
Spcifie combien le firewall laissera de temps pour que la
connexion TCP atteigne ltat tablie
Router(config)#
ip inspect tcp finwait-time seconds
Spcifie combien le firewall attendra de temps lchange des bits
FIN avant dinterdire la session
RE16 40
CBAC : temporisations
Router(config)#
ip inspect tcp idle-time seconds
ip inspect udp idle-time seconds
Spcifie le temps maximum dinactivit autoris
Router(config)#
ip inspect dns-timeout seconds
Mme chose pour une session DNS
RE16 41
CBAC : seuils
Router(config)#
ip inspect max-incomplete high number
Dfinition du nombre maximum de demi-sessions. Quand ce nombre
est atteint, le routeur dtruit les sessions les plus anciennes jusqu ce
que le nombre atteigne le seuil bas dfini ci-dessous
Router(config)#
ip inspect max-incomplete low number
Dfinition du nombre de demi-sessions ouvertes qui provoque
larret de la destruction des plus anciennes
RE16 42
CBAC : seuils
Router(config)#
ip inspect one-minute high number
Dfinition du nombre maximum de nouvelles demi-
sessions autorises par minute. Si ce nombre est
dpass, le firewall detruit les plus anciennes jusqu
ce que leur nombre atteigne le seuil bas dfini ci-
dessous
Router(config)#
ip inspect one-minute low number
Dfinition du nombre de demi-sessions ouvertes qui
provoque larret de la destruction des plus anciennes
RE16 43
CABC : limitation du nombre
de demi-connexions par hte
Router(config)#
ip inspect tcp max-incomplete host number
block-time seconds
Dfinition du nombre maximum de demi-sessions TCP vers le mme hte
destination avant que le routeur ne commence les dtruire
Quand le nombre de demi-sessions vers le mme hte a t dpass, le firewall
dtruit les dtruit de la faon suivante :
si block-time est 0, la plus vielle demi-session est dtruite pour faire place la
nouvelle
si block-time plus grand que 0, toutes les demi-connexions existantes sont dtruites,
et les nouvelles connexions vers cet hte sont interdites pendant le temps
correspondant block-time
RE16 44
CBAC : Port-to-Application
Mapping
Il est possible de configurer les numros de port que le
firewall attribue aux applications
CBAC utilise le PAM pour dterminer quel port est
attribu aux applications
RE16 45
CBAC : Port Mapping
Router(config)#
ip port-map appl_name port port_num
Fait correspondre un port une
application
Router(config)#
access-list permit acl_num ip_addr
ip port-map appl_name port port_num list acl_num
Mme chose pour un hte particulier
Router(config)#
access-list permit acl_num ip_addr wildcard_mask
ip port-map appl_name port port_num list acl_num
Mme chose pour un rseau
RE16particulier 46
CBAC : port mapping
Router#
show ip port-map
montre toutes les informations relatives au port
mapping
Router#
show ip port-map appl_name
mme chose pour une application
Router#
show ip port-map port port_num
mme chose pour un port particulier
Router(config)#
ip inspect name inspection-name protocol [alert {on|
off}] [audit-trail {on|off}] [timeout seconds]
Dfinit le protocole dapplication inspecter
Sera appliqu une interface
Alertes, rapports daudit et timeout sont configurables par protocole et sont
prioritaires sur les rglages globaux
Router(config)#
ip inspect name inspection-name http java-list
acl-num [alert {on|off}] [audit-trail {on|off}]
[timeout seconds]
Contrle le blocage de java avec une ACL standard
Router(config)#
ip inspect name inspection-name rpc
program-number number [wait-time minutes]
[alert {on|off}] [audit-trail {on|off}]
[timeout seconds]
Autorise certains numros de programmes RPC
wait-time limite la dure de connexion
Router(config)#
ip inspect name inspection-name smtp [alert
{on|off}] [audit-trail {on|off}] [timeout
seconds]
Nautorise que les commandes lgales suivantes pour
SMTP : DATA, EXPN, HELO, HELP, MAIL, NOOP, QUIT,
RCPT, RSET, SAML, SEND, SOML et VRFY
Sans ce filtre, toutes les transactions SMTP sont
autorises
Router(config)#
ip inspect name inspection-name fragment max
number timeout seconds
Utilis pour se protger contre certaines attaques de
type DoS :
max : nombre maxi de fragments avant
rassemblage
timeout : attente maximum de rassemblage
avant rejet
Router(config)# ip inspect name FWRULE
fragment max 254 timeout 4
RE16 52
CBAC : application une
interface
Router (config-if)#
ip inspect inspection-name {in | out}
Applique une rgle dinspection (repre par son nom) une interface
RE16 53
CBAC : mthode de travail
appliquer lACL dans le sens entrant qui autorise uniquement le trafic dsir
appliquer les rgles dinspection dans le sens entrant, ces rgles
sappliquant au trafic autoris
appliquer lACL dans le sens entrant qui interdit tout le trafic non dsir
RE16 54
CBAC : exemple 1
RE16 55
CBAC : exemple 1
RE16 58
CBAC : exemple 2
Router#
show ip inspect name inspection-name
show ip inspect config
show ip inspect interfaces
show ip inspect session [detail]
show ip inspect all
Affiche les configurations CBAC, les configurations des interfaces et
les sessions
Router# sh ip inspect session
Established Sessions
Session 6155930C (10.0.0.3:35009)=>(172.30.0.50:34233)
tcp SIS_OPEN
Session 6156F0CC (10.0.0.3:35011)=>(172.30.0.50:34234)
tcp SIS_OPEN
Session 6156AF74 (10.0.0.3:35010)=>(172.30.0.50:5002) tcp
SIS_OPEN RE16 62
CBAC : commandes debug
Router#
debug ip inspect function-trace
debug ip inspect object-creation
debug ip inspect object-deletion
debug ip inspect events
debug ip inspect timers
Commandes de debug gnrales
Router(config)#
debug ip inspect protocol
debug dun protocole particulier
RE16 63
Enlever le CBAC
Router(config)#
no ip inspect
Enlve toute la configuration CBAC
Remet toutes les temporisations et les seuils
leur valeur par dfaut
Dtruit toutes les sessions existantes
Enlve toutes les ACL dynamiques gnres par
le CBAC
RE16 64
CBAC : limitations
RE16 65
Conclusion
Les ACL tendues permettent de filtrer le trafic en sortie du rseau car seul le port destination
est filtr.
Le retour vers le client ne peut tre filtr car le numro de port utilis est alatoire
un faux retour ne peut pas filtr
Les ACL rflexives sont plus performantes que les ACL tendues car elles tiennent compte de
linformation de session
un faux retour sera bloqu en entre, sauf si il arrive pendant une session ouverte