Vous êtes sur la page 1sur 140

Cisco

La scurit des rseaux

VincentREMAZEILLES

Rsum
Ce livre sur la scurit des rseaux avec CISCO sadresse aux administrateurs rseaux dsireux damliorer la scurit de leur domaine et aussi aux tudiants dj familiers de la gamme du constructeur. Des clbres Access-lists aux dernires innovations en matire danalyse protocolaire et de VPN SSL, en passant par la scurit des rseaux sans fil, ce livre propose un tour dhorizon de ce quil est possible dentreprendre pour protger efficacement son rseau en exploitant au mieux les possibilits offertes par les quipements couramment utiliss par les entreprises. Le thme de la scurit est dans un premier temps abord en oprant une correspondance avec les couches du modle OSI avant dtre examin dans le dtail avec les configurations propres aux points daccs Wi-Fi, aux routeurs, aux commutateurs Ethernet et aux pare-feux. Les problmatiques de scurit autour de la tlphonie sur IP font quant elles lobjet dun chapitre dans lequel sont galement dveloppes les mesures permettant de prserver la confidentialit des communications grce la cryptographie. Le livre se veut didactique et prsente les rflexions pralables la construction dune infrastructure scurise ainsi que les configurations des quipements, illustres avec les innombrables possibilits de la ligne de commande Cisco.

L'auteur
Vincent Remazeilles est Ingnieur Rseau et Scurit, titulaire d'un DESS Scurit des SI. Il effectue diffrentes missions en tant que consultant Senior dans le domaine de la scurit auprs de grands comptes industriels. A travers ce livre, le lecteur bnficie de toute son expertise et exprience dans le domaine de la scurit et des quipements Cisco

Ce livre numrique a t conu et est diffus dans le respect des droits dauteur. Toutes les marques cites ont t dposes par leur diteur respectif. La loi du 11 Mars 1957 nautorisant aux termes des alinas 2 et 3 de larticle 41, dune part, que les copies ou reproductions strictement rserves lusage priv du copiste et non destines une utilisation collective, et, dautre part, que les analyses et les courtes citations dans un but dexemple et dillustration, toute reprsentation ou reproduction intgrale, ou partielle, faite sans le consentement de lauteur ou de ses ayants droit ou ayant cause, est illicite (alina 1er de larticle 40). Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les articles 425 et suivants du Code Pnal. Copyright Editions ENI

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Introduction
CelivreestdestinunpublicquipossdequelquesnotionssurlaconfigurationdesquipementsdelagammeCisco enlignedecommandeainsiquenrseauxIP.Lobjectifdecelivreestdedonneraulecteurunevuesurlespossibilits offertesparCiscosurlesrouteurs,lescommutateursEthernetetlesparefeulespluscommunmentrencontrsdans lesentreprises.Ilestquestionicidetirerlemeilleurpartidecesquipementsdansledomainedelascuritavecdes manipulationsaismentcomprhensibles. NousaborderonslascuritdesrseauxdedonnesennousrfrantauxcouchesdumodleOSI.Cetteapprochea lavantagedefaciliterlacomprhensiondesdiversestechniquesmisesen uvreetaidegrandementlorsquilsagitde sepencherauchevetdunrseauenpanne. Lesextraitsdeconfigurationetlesexemplesquiillustrentleschapitresdecelivresontengrandepartieissusdela ligne de commande (CLI (Command Line Interface)), ce choix est motiv par une grande rgularit de celleci contrairementauxinterfacesgraphiquesquisontenperptuellevolution. Audel des couches du modle OSI, nous avons fait le choix de mettre en avant les parefeu et la scurit de la tlphoniesurIPenleurconsacrantdeuxchapitres.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Structuredulivre
Lechapitre"Lascuritdescouchesuneetdeux"estconsacrauxdeuxpremirescouchesdumodleOSI.Cesdeux couches basses trs proches du mdia physique sont la porte dentre dans le systme dexploitation des quipementsoudeshtesdunrseau.Nousaborderonsdanscechapitrelaprotectiondelacouchephysiquecontre les tentatives daccs. Quant la couche 2, elle est la cible de nombreuses attaques visant sintroduire frauduleusementsurlesrseauxenusurpantlidentitdunhtequisytrouvedj.Nousaborderonsgalementle sujetdelauthentificationpralabletouteconnexionsurlerseau. Lechapitre"Lascuritdelacoucherseau"estddiauxcouchesrseauettransportdumodleOSI.Cestlunivers duprotocoleTCP/IPquiestlemodedecommunicationdurseauInternetetdesrseauxdentreprise.Lesrseaux,si aucune mesure nest prise, communiquent naturellement entre eux et les mesures de protection abordes dans ce chapitre introduisent les listes de filtrage daccs destines limiter les communications lorsque le besoin sen fait sentir.LescommunicationsquiutilisentTCP/IPncessitentparfoisuneprotectioncontrelescoutesafindeprserver unniveaulevdeconfidentialit.Nousprsenteronsdanscechapitreunemaniredescuriserlescommunications intersitesavecIPSec. Le chapitre "La scurit des rseaux sans fil" aborde les problmatiques lies au rseaux sans fil communment dsignsparlenomdeWiFi. Ces rseaux utilisent les ondes radio pour interconnecter les clients au rseau filaire. ToutcommepourTCP/IP,siriennestentrepris,lespointsdaccssansfilspeuventtoutfaitoffrirleursservicesau premiervenucequinestpassouhaitable.Nousaborderonslesmthodesdaccsscurisesetlesmesuressimples quipermettentdelimiterlaportedesondesradiotoutenoffrantunservicedequalit. Lechapitre"Notionsdarchitecturerseauscurise"traitedesnotionsdarchitecturerseautoujourssousleprisme delascurit.Ciscorecommandeunmodlerseaudcoupenzonesquifavoriselapplicationderglesdescurit enfonctiondelaprotectionncessiteparlazone.Cedcoupagecorrespondaussiceluideszonesfonctionnellesde lentreprisecommenousleverrons.Nousaborderonslesrelationsentrecesdiverseszonesetlesensparticulierdes fluxentreelles.Larchitecturerevtdeparlestudesquellegnreunegrandeimportancepourlaconsistancedun rseau. Le chapitre "La protection des quipements" introduit labsolue ncessit de porter une grande attention la protection des quipements qui constituent lossature du rseau. Sans une protection adquate des quipements ceuxci sont exposs aux attaques mais aussi aux erreurs de manipulation. La protection des journaux est aussi voque. Lechapitre"ScuritdelatlphoniesurIP"estconsacrlascuritdelatlphoniesurIPquifaitpartiedenotre quotidienprofessionneletpersonnel.Nousconstateronsquecettetechnologieentantquapplicationenrseauhrite des problmes de scurit de toutes les couches du modle OSI. La tlphonie sur IP pour la protection des conversationsetdelasignalisationfaitlargementappellacryptographie.Lesfonctionsdefiltragesurlasignalisation permettentdentraverlestentativesdefraudes. Le chapitre "Firewalls" est entirement consacr aux parefeu et tout particulirement au modle phare de Cisco, le modleASA.CechapitrecomportedesdescriptionsdesfonctionstellesqueleslistesdescuritsouACL,lacration deszonesdmilitarises(ouDMZ)etlaTraductiondAdressesRseau.UnepartieestconsacrelatlphoniesurIP ainsiquauxVPNSSLquiconstituentunmoyendaccsscurispourlesutilisateursnomades.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Lapolitiquedescuritrseau
Cestuneexpression,unconceptparfoisunpeufloudontonentendparlerlorsquildevientncessairedesorganiser. Questcequunepolitiquedescurit?Enavonsnousbesoin?Larponseestoui. Une politique de scurit est un document dans lequel se trouvent (sil est bien labor) toutes les rponses aux questions quun ingnieur en charge dune tude se pose lorsquil aborde le volet scurit dun projet informatique dontlarussitedpendentreautresdelapriseencomptedsledbutdescontraintesdescurit.(Nousparlons aussi dexigences). Une politique de scurit est donc un document confidentiel (largement diffus toutefois) qui en faisantabstractiondescontingencesmatriellesettechniquesfournitunecollectiondedirectivesdescuritclasses parthmes.Lamiseenpratiquedelapolitiquedescuritestlapplicationdesdirectivesauxthmescouvertsparle projet. Lathmatiquerseaudanslapolitiquedescuritenglobelesrecommandationspourlexploitationdesliensrseaux etdesquipements.Lesdomainesabordsvoluentaveclesintrtsconomiquesdelentrepriseetconcernententre autres:
G

lagestiondesaccsaurseauetauxressources(enrelationaveclagestiondesidentitsetdesdroits) lacryptographie lascuritdesquipementsetdesconfigurations lascuritdessystmesterminaux.

Cependant,ilseraitillusoireetcoteuxdevouloirtoutprixprotgerlentiretduneinfrastructureinformatiquela manire dun Fort Knox. Cest pourquoi, la politique de scurit sapplique des degrs divers aux rseaux et aux quipementsenfonctionduniveaudeconfidentialitentrelespopulationsetlesressources. La conception de la politique de scurit dbute donc avec une classification du niveau de confidentialit des ressourcesetdhabilitationdespopulations.Enfonctiondecetteclassification,desrglessontmisesetcritesdans ledocument.Cetravailestfastidieuxmaisnerevtpasuncaractreobligatoire.Ilestenvisageabledetoutclassifier unniveauuniqueetainsidesimplifierlapolitiquedescurit. Leschmasuivantillustrecettenotion.

Considronsunexemplesimple : Une population reoit une habilitation de niveau confidentiel. Un ensemble de documents est galement class confidentiel. Lapolitiquedescuritindique :

ENI Editions - All rigths reserved - Moha Anisa

- 1-

laccsdesdocumentsclasss confidentielnestautorisquauxpersonnelsdisposantdunehabilitationce niveauouunniveausuprieur laduredutilisationdesdocumentsclasssdetypeconfidentielestenregistre lesdocumentsclasssconfidentielsontuniquementaccessiblesenlectureseule lesdocumentsclasssconfidentielsontconsultablesdistanceuniquementautraversduncanalchiffrsurles rseauxdetypeLANouWAN.

Cet exemple illustre la relation entre une population, une ressource, un niveau de confidentialit et la politique de scurit. Cette approche est primordiale dans la mesure o les rseaux dentreprise ne sont plus limits leurs frontirestraditionnellesmaisstendent vers les rseaux de leurs partenaires tout en recevant les connexions des employsendplacementetcourammentdsignscomme"nomades". Ces rgles sont audessus de toute contingence technique. Une obligation de chiffrer les communications sur une liaisonnindiquepasobligatoirementqueltypedechiffrementserautilisdanslamesureolestechniquesvoluent en permanence. Malgr tout, il est envisageable de le prciser condition de veiller la mise jour priodique du document. Compltonslexempleprcdent: ...autraversduncanalchiffrsurlesrseauxdetypeLANouWAN.ChiffrementenAES256surlesquipementsdu rseauavecauthentificationparcertificats.Ilestgalementpossible,encomplmentdecetteprcision,quelamiseen uvre du chiffrement relve dune autre documentation dfinissant les standards en vigueur pour le dploiement. Enfin,ladocumentationtechniqueprciselamaniredontleprotocoleestconfigursurlesquipementsdurseau. La rdaction dune politique de scurit est un travail sur mesure dont le document final est applicable toutes les ressourcesettouteslespopulationsdelentreprise.Cedocumentestobligatoirementvalidauplushautniveaude lahirarchie.Ilestimportantdefairevoluerlapolitiquedescuritenfonctiondesliensquinemanquentpasdese tisser avec les partenaires et les clients. Une politique qui nvolue pas perd tout son sens et devient peu peu inapplicable.LalittratureanglosaxonnereprendlinfinileconceptdudocteurDEMING Plan,Do,Check,Act cequi dansnotrelanguesetraduitparplanifier,faire,vrifier,corriger.Cecisappliquetoutfaitlapolitiquedescuritet constitueunvritablecycledvolutionpermanente. La rdaction de la politique de scurit nen est pas pour autant une affaire de spcialistes extrieurs. Dans lentreprise,ilestrecommanddecrerungroupedetravailautourdelardactiondecedocument.

- 2-

ENI Editions - All rigths reserved - Moha Anisa

Terminologie
Nous allons brivement voquer les quelques motscls qui sont largement repris dans la littrature informatique lorsquelascuritestaborde. Une vulnrabilit est une faiblesse le plus souvent cache touchant une infrastructure informatique. Ce terme est frquemmentassociauxlogicielsmaisilregroupeplusgnralementtoutefaiblessequellequensoitlanature.Une erreurdeconfigurationdunquipementrseauconstitueunevulnrabilittoutcommeunmotdepassevideoutrivial. Lexpressionfailledescuritestgalementemploye.Lesmoyensetlesmthodesvisantliminerlesvulnrabilits sontfacilesmettreenpratiqueetrequirent :
G

deseteniraucourantdesvulnrabilitsauprsduconstructeur dopreruneveilletechnologiquepartirdesitesInternetddislascuritinformatique detestersurunenvironnementdevalidationlescorrectifspublis detesteruneprocdurederetourenarrire dinstallerlecorrectif dobserverlecomportementdelinfrastructuredeproduction.

Un risque est la probabilit quun problme survienne lorsquune vulnrabilit est expose une population malveillantequitenteradelexploiter.Ilexistedautresdfinitionsselonlanormelaquelleonserfre.Lobjectifde lascuritinformatiqueestdediminuerlepluspossiblelerisquepartouslesmoyensdisponibles. Exploiter une vulnrabilit revient utiliser cette faiblesse pour mettre mal le dispositif vis par lattaque. Concrtement,unexploitestunpetitprogrammequiestlancendirectiondeladresserseaudusystmevis.Les quipements et les architectures informatiques comportent parfois de multiples vulnrabilits qui ne sont jamais rvles publiquement et ne sont donc jamais corriges, en revanche les individus qui les ont dcouvertes les exploitentleurguisepourleurproprecompte. Mettre jour un systme ou un quipement rseau consiste appliquer les correctifs publis par le constructeur et faisantsuitelarvlationdunevulnrabilit.Enlamatire,laprudencesimpose et avec elle toutes les sries de tests ncessaires afin de vrifier le bon fonctionnement de lensemble concern une fois que les correctifs ont t appliqus. Quoi quil en soit, un suivi rgulier des publications, des correctifs et des retours dexprience sont fortementrecommands. Lapolitiquedescuritestlaboreenfonctiondunevariableconnuesouslenomdenvironnement.Lenvironnement dansledomainedelascuritinformatiqueestladfinitiondeluniversdanslequelvolueunsystmedinformation. Lenvironnement,dansledomainedelascurittablitunecartedesmenacespotentiellesquiplanentsurunsystme dinformation. Il sagit au final de dterminer la porte de la politique de scurit en fonction des menaces dont lentreprisesouhaiteseprmunir.Parexemple,uneentreprisedcidedinstaurerdesmesuresdeprotectioncontreles menaceslespluscourantes(etdyconsacreruncertainbudget)maisdcidedenepastraiterlesmenacesmanant dagences gouvernementales. La variable denvironnement est donc utilise pour rgler le degr de protection de la politiquedescuritfaceunecatgoriedemenaces.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Cycledelapolitiquedescurit
Commenouslavonsvoqu,lapolitiquedescuritsuituncycleconnulenomdecycledeDEMING.Parcouronsenles phases.

1.Laplanification(Plan...)
La planification commence avec la dcision dorganiser formellement la scurit. Elle consiste en un inventaire exhaustifdesressourcesprotgeretlardactiondedirectivespourchaquedomaineconcern.lafindecette phasedeplanification,lapolitiquedescuritserardigeparlegroupedetravailaveclassistanceventuelledun consultantayantunevueextrieuresurlentrepriseetsonprojet.Unefoiscriteetrelue,elledoitabsolumenttre valide par la plus haute autorit afin quaucune contestation ne soit possible quant son cadre dapplication. Ltape suivante est sa publication sous la forme dun document confidentiel mais facilement accessible. Sa publication va de pair avec une large diffusion auprs des quipes en charge des projets et de lexploitation de linfrastructure informatique. Il est primordial dinclure les contraintes de scurit ds les premires phases qui jalonnentledroulementdunprojetafindenepasrisquerdelinterrompresilvenaitprendreunevoiecontraire lapolitiquedescuritenvigueur. Lapolitiquedescuritestdclineendomainesfonctionnelsquireprsententlemodledusystmedinformation delentreprise.Sonorganisationprendlaformedechapitresauseindesquelsfigurentlespointsrespecter.Citons parexemple,lechapitresurlascuritdessystmesdexploitation,lascuritdesbasesdedonnesetlascurit des communications qui nous intresse au premier chef. Les divers intervenants lors de la phase de planification devronttoujoursavoirlespritqueleurtexteserviradebaseauxtravauxdescurisationquinemanquerontpasde sesuccder.Ainsilaclartetlaprcisiondespropossontdemiselorsdellaborationdelapolitiquedescurit.

2.Lamiseenuvre(Do...)
La mise en uvre de la politique de scurit correspond point pour point ce que nous venons de dcrire prcdemment.Ladhsiondetousaurespectdesrglesdcritesestlefondementdunebonnepriseencomptede lascurit. Lapolitiquedescuritestprincipalementmiseen uvrelorsdespremiresphasesdeprogressiondunprojetquel quilsoit.Celivresecantonnelascuritdesrseaux,maislechampdapplicationdelapolitiquedescuritest vaste. La politique de scurit est une rfrence qui doit tre introduite dans chaque activit en relation avec le systmedinformation. titre dexemple, un projet partant dune feuille blanche ou visant modifier une partie de larchitecturedoitimprativementserfrerlapolitiquedescurit.Ainsi,lesspcificationstechniquesreprennent touteslesrfrencesutilesdelapolitiquedescuritafindelesintgrernaturellement.Lexpriencemontrequela scuritsiellenestpaspriseencomptedslesprmicesdunprojetpeineparlasuitesyintgrer.Cestlaraison pourlaquelleladiffusiondelapolitiquedescuritdoitviserunlargepublicetilestbonquechaqueresponsablede secteur(basededonnes,dveloppement,rseaux)matriselapartiequileconcerne.

3.Lesuivi(Check...)
Le suivi de la politique de scurit consiste sassurer que les contraintes imposes par le texte sont prises en compte par les quipes en charge des projets et celles en charge de lexploitation. Cela implique une prsence systmatique dun reprsentant ou responsable de la scurit aux runions de suivi et un contrle des processus dexploitation en vigueur. Les menaces et les techniques voluent perptuellement et une politique de scurit en aucun cas ne saurait rester fige. Le risque tant quelle ne soit tout simplement plus applique. Cette approche concernedonclesuividelapplicationdelapolitiquedescurit Lvolution de la politique est donc prise en compte ds sa dfinition par llaboration dune mthode de rvision accompagnedunfacteurtemps.Silentreprisesurveillelvolutiondesmatrielsetdestechnologiesquellemeten uvre, le suivi du processus de mise jour de la politique de scurit en sera grandement facilit. Toutefois, les menacesetlestechniquesdeprotectionenperptuellevolutioncommandentdetempsautreunevolutiondela politiquedescuritavantladatedervisionplanifie.Cecidoitmalgrtoutresterexceptionnelcarlapolitiquede scuritdeparsonmodedlaborationbalayeunlargepaneldemesures.

4.Agir(Act...)
Lorsquelebesoinsenfaitsentiroulorsqueladateplanifiedervisionapproche,ilsagitaprsanalyseetreflexion demodifierlapolitiquedescuritdanslebutdeladapterauxmenacesquipsentsurlesservicesquellecouvreou surdenouveauxservices.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Prenons par exemple le cas des VPN SSL que nous aborderons lors du chapitre consacr aux parefeu. Cette techniquepartentiremritedesevoirconsacrerunchapitredelapolitiquedescuritcarellemeten uvredes fonctionnalits rparties sur de trop nombreux chapitres pour tre exploitable en ltat. Sur ce point, il semble raisonnabledanticiperlvolutiondelapolitiquedescuritpournepasavoirgrerenmmetempslesquestions inhrentesunprojetencoursaveccellesquinemanquentpasdeseposerlorsdunerefontedunteldocument. Lquipeenchargedusuividelapolitiquedescuritpassedonclamaincelleenchargedesonvolutionetdesa rvision.Unefoisceprocessustermin,lapolitiquedescuritrviseestremiseenservicepuisdiffuse.

- 2-

ENI Editions - All rigths reserved - Moha Anisa

Miseenapplication
Nous allons dans ce livre mettre en pratique la phase de planification du cycle de vie dune politique de scurit au travers de chapitres qui au dpart suivront les couches qualifies de basses du modle OSI. En la matire, le raisonnementencoucheestparfaitementadaptcarilpermetundcoupageetunenchanementlogiquedestches qui conduisent un modle de scurit acceptable et applicable. Audessus de la couche rseau et de la couche transport nous pntrons dans luniversdesapplicationspourlesquellesnousdisposonsgalementdefonctionsde scuritavances.

Pourchacunedecestapesnousposerons,pralablementtoutdveloppement,unelistedexigencesdescuritau regarddelaquellenoustrouveronslessolutionscorrespondantes.Cetteapproche,dslesprmicesdunprojetapour avantagedefaciliterlexpressionordonnedesbesoinsoulardactiondunappeldoffrecohrent.Enrglegnrale, lesexigencessontclassespargrandsthmesgnriquesquisontdclinsparlasuiteenexigencesunitaireselles mmesaccompagnesdunebrvedescriptionetparfoisderfrencesdautresexigences.Cetteclassificationestun fondementdelapolitiquedescurit.Leschmareprsenteunevueclatedunextraitdesexigencesdescurit rseau.Chaqueflchedveloppeunsousdomainejusqudvoilerlexigencequistipulelutilisationdunprotocolede chiffrement.Ilestnoterquaucunproduit(aucunemarque)nesticicit. Les exigences de scurit ont pour objectif dans les chapitres qui suivent lintroduction des solutions techniques qui sontproposesparCisco.cetitre,ellesrestentpositionnesunniveaulevquelonpourraitqualifierdegnral, chacuntantlibreparlasuitedelesdclinerenfonctiondesesproprescontraintes.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Conclusion
Lapolitiquedescuritestunlmentindispensableetpralabletouteentreprise(danslesensdumotprojet).Elle slaborepartirdunerflexionportantsurlaprotectiondesressourcesetleniveaudaccsdesutilisateursquiest luimme fonction dun niveau de confiance et de responsabilit. Ce document est le fruit dun travail itratif et doit suivre,voiretreenavance,surlvolutiondelarchitecture. La politique de scurit est mise disposition des entits qui travaillent notamment la planification ainsi qu la ralisationdeprojets.Cesderniresdoiventimprativementsaisirlancessitdelintgrerdslespremiresphases en drivant ses prconisations sous la forme dexigences destines faciliter la rdaction dappels doffre ou llaborationdelarchitecturechoisie.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Introduction
Ce chapitre aborde des notions gnrales et fondamentales sur la protection des rseaux de donnes et sur les couchesditesbassesdumodleOSI.Lescouchessontinterdpendanteslogiquementparleursinterfacescommunes respectives. Lacompromissiondunecoucheentraneunrisquelevdecompromissiondescouchessuprieures Lesnotionsquenousallonsaborderconcernentlacouchephysiqueetsontapplicablesquelquesoitlefabricantdu matriel utilis. Lobjectif de ce chapitre est de dcrire et de classifier les menaces les plus courantes pour sen protgergrceauxpossibilitsoffertesparlesquipementsdurseau.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Scuritetcouchephysique
La couche physique permet la transmission du signal lectrique ou optique mis par les interfaces rseau. Cette transmissionseffectue sur un cble paires torsades, sur fibre optique ou par radio. Les mthodes de codage de linformationetlescaractristiquestechniquesdechaquemdiasontchoisiesenfonctiondelarchitecturedsire. Dslespremiresbauchesdunenouvellearchitecturerseauouaucoursdunemigration,lascuritautourdela couchephysiquedoittreconsidreavecattentioncar,toutcommelaqualitdetransmissiondelinformationrsulte delaqualitdelacouchephysique,lascuritdelinformationdcouleaussiduniveaudeprotectiondecettecouche. Lesexemples,hlas,secomptentpardizaines.Lescoutes,lesinterceptions,hormislevoldirectdelinformationla source,sonttropsouventlaconsquencedunemauvaiseprotectiondelacouchephysique. Toutefois,lesmesuresdeprotection,toujoursindpendantesduchoixdunconstructeur,sontrelativementsimples mettre en uvre. Nous citerons entre autres la protection des locaux dans lesquels rsident les quipements dinterconnexionetlaslectiondemdiasappropris.Enfinuneattentiontouteparticulireseraportesurlaccsau rseau.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Laprotectiondesaccsaurseau
Lestypesdaccsaurseausontparnaturedpendantdumdiautilis.Quelquesoitcedernier(fibre,cble,radio)il estprimordialdenlimiterstrictementlaccsauxpersonnelsdmentautoriss.Enlamatire,lesauditsetautrestests de pntration (et bien entendu les personnes mal intentionnes) dbutent en rgle gnrale leur travail (ou leurs agissements) en sefforant de connecter leurs quipements sur le rseau cibl par tous les moyens soffrant eux sans effraction notable. Citons, sans rechercher une quelconque exhaustivit, les petits concentrateurs utiliss pour prolongerlerseaudanscertainsbureaux,lespointsdaccssansfildployssansenrfrerauxresponsablesde linfrastructureouencore,lesconnecteursmurauxderrirelesquelsonpeutesprertrouverunsignal.

1.Lecasduconnecteurmural
Ilsagitdelaccslepluslargementdisponible.Ilfutintroduitaveclavnementdesordinateursindividuelsconnects enrseauaudbutdesannes90. LaccsaurseauparconnecteurmuraldetypeRJ45(Ethernet)esttoujourslargementrpandu.Lacarterseaude lordinateurestrelieparuncordonuneprisemurale.Decetteprisepart(danslesol,lefauxplafond,oulemur)un cble en cuivre paires torsades qui aboutit sur un panneau de raccordement. Ce panneau (baie de brassage) regroupelesarrivesquicorrespondentauxbureauxdunouplusieurstages.Enfin,lesconnecteursdecepanneau sontrelisnombrepournombreauxportsdelquipementrseaudontlaconfigurationnousintresse.

2.Lecasdupointdaccssansfil(AccessPointWiFi)
Les accs aux rseaux sans fil se sont considrablement dmocratiss depuis les annes 2000. Lintrt principal rside dans la possibilit pour un utilisateur de se dplacer librement tout en restant connect au rseau. Ainsi depuis quelques annes, les accs sans fil soffrent tout un chacun dans divers lieux publics afin daccder au rseauInternet. Au sein des rseaux dentreprise, la technologie WiFi offre la possibilit avec une infrastructure unique de se connecter tout le rseau local pour les personnels autoriss ou uniquement Internet pour les personnes extrieures. Linfrastructuresansfilsecomposeprincipalementdepointsdaccsalliantlatechnologieradiocelleplusclassique delEthernetsurcble.Cettedernireconnexionrelielepointdaccsaurseautraditionnel.Dslintroductiondela technologie WiFi, les points daccs au rseau ont embarqu des fonctions de scurit visant protger les informationsetlesaccs.Lacryptographieestlargementutilisepouryparvenir.

3.Lespremiresmesuresdeprotection
Sans pour linstant aborder la configuration proprement dite dun quipement (mais nous y viendrons) quelques mesuressimposentdellesmmespourcontribuerlamliorationdelascuritdurseau. Nousavonsbrivementdcritlesmoyensprincipauxquidonnentaccsaurseau.Certainesprcautionsempchent physiquementlesconnexionsetparmicellesci,laplussimplemettreen uvreconsisteintroduireunecoupure sur le lien. Dans le cas dun rseau cbl, il suffit simplement de ne pas connecter la prise murale lquipement rseau. Cette mthode fort simple nest que rarement utilise et nombreux sont les rseaux accessibles partir dune prise murale partir des endroits les plus anodins. Une autre mthode consiste sur lquipement rseau fermeradministrativement lesportsquinesontpasrelisunordinateur.Toutcecirequiertunebonneorganisation. Dansuncascommedanslautre,lesoprateursdurseaucblentouretirentlecblagelademandeenfonction des mouvements internes des employs. De mme, ils procdent lactivation ou la dsactivation des ports sur lquipementderaccordement. Lesaccssansfilsontparnatureplusdifficilesprotgercontrelestentativesphysiquesdeconnexionparlerseau radio.Ilssontvulnrablesdesattaquessurlesportscblsquisont,rappelonsle,quasidirectementconnectsau reste du rseau. Les ondes radios quant elles ne connaissent pas les frontires. Une approche de protection consistepositionnerlespointsdaccssansfilauplusloindeszonespubliques.LeportEthernettantpoursapart habillement protg afin dinterdire tout accs physique. Cette protection sapparente celle dun distributeur de billetsdebanqueolcranestvisibleductaccessibleaupublic(lesantennesdanslecasdupointdaccs)alors quelarservedebillets(leportEthernet)esthorsdatteinte. Chaqueentreprisedanssonplandescuritestencourageisolerleszonespubliquesdeszonesprivesfaisant partiedurseauditinterne.LeszonespubliquesmettentdispositiondesvisiteursunaccsInternetfaiblement contrl grce une borne WiFi au rayonnement rduit. Le passage dune zone lautre ncessite une authentification.Malgrtout,lesaccsInternetdetype invits (filaireouWiFi)peuventresterdisponiblesdans deszonestellesquelessallesderunionsdanslesquellesdespersonnestrangreslentreprisesontautorises pntrer.Danscederniercas,uneisolationlogiqueouphysiqueseramiseen uvreafindegarantirlasparation

ENI Editions - All rigths reserved - Moha Anisa

- 1-

entrelerseau invits etlerseaudeproduction. Pour conclure, citons le cas des locaux dans lesquels se trouvent les quipements rseau. Il va de soi que leur protectionrequiertuneattentiontouteparticulire.Danscedomaine,ilestfortementrecommanddefaireappel unprofessionneldelascuritphysiquematrisantlestechniquesdecontrledaccs,deblindage,etdeprotection contrelesrayonnementslectromagntiques.

- 2-

ENI Editions - All rigths reserved - Moha Anisa

Scuritetcoucheliaisondedonnes
Nous abordons prsent la partie pour laquelle nous allons dcrire puis mettre en uvre matriellement les possibilitsquinoussontoffertesparlesquipementsCisco. Cestpartirdelacoucheliaisondedonnesquapparatlanotiondadresserseau.Cettecoucheestresponsablede lacommunicationdentitsparlebiaisdunmdiacommun.Sesfonctionscomprennententreautreslagnrationdes tramesetladtectionderreurs.ParmilesprotocolesdeniveaudeuxlesplusconnusnoustrouvonsEthernetetPPP. Comme nous lavons dcrit lors du chapitre prcdent, une politique de scurit est indispensable pour assurer un dveloppement et un suivi cohrent de la protection des donnes. Cette politique couvre les aspects affrents au rseau de lentreprise. Il en va de mme lors dun projet rseau dont un volet abordera et prendra en compte la scurit.Afindeslectionnerdanslecadredunappeldoffreplusieurscandidats,llaborationduncahierdescharges prcis savre indispensable. Cest sur ce point quintervient lquipe ou le responsable charg de la scurit. Il doit fournir ses exigences qui transcrites dans le cahier des charges, sont fournies aux quipementiers. Pour chaque exigence, un degr de priorit est prcis. Enfin, en regard de chaque exigence, lquipementierrenseigneunecase avecsescommentaires.Voiciunexempledansletableausuivantquenousavonsvolontairementsimplifi,librevous deltendreenfonctiondevosexigences. Exigencesdescuritdelquipementrseaupourlacouche2 Exigences Limiterlaccsauportuneliste dadressesMac. CrationdeVLAN. Implmentationdelanorme 802.1X. CrationdeVLANprivs. Degrsdepriorit Obligatoire Rponses Disponiblesurlesmodles

Obligatoire Souhait

Disponibleaudeldumodle Indisponibleavant2ans.

Optionnel

Indisponible

Cetteprsentationstendraventuellementtouteslesfonctionnalitsdelquipement.Cestdecetypedetableau que dcoule le cahier de test et dvaluation du matriel dans lequel les exigences obligatoires figureront avec le rsultatdutestvisantenvrifierlebonfonctionnement.

1.Exigencesetrisquesdescuritpourlacoucheliaisondedonnes
Posons tout dabord nos exigences de scurit sous la forme dun tableau et mettonsles en regard des solutions techniques que CISCO nous apporte. Nous partons du principe que toutes les exigences revtent un caractre obligatoire. Exigencesdescuritdelquipementrseaupourlacouche2 Exigences LimiterlesadressesMacparport. Authentifierlaccsaurseau. LimiterleschangesdansunVLAN. InterdirelechangementdeVLAN. Prserverlintgritdunecommunication. ProtgerlesattaquesdanslesVLAN. EmpcherlinstallationdeserveursDHCPnon autoriss. portsecurity 802.1x privateVLAN Configuration Stickyarp,dynamicarpinspection, dynamicarpinspection DHCPSnooping Technique

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Nouspouvonsextrapolerdecetableaulesattaquesdirigesverslacouche2.Cesont(danslordredutableau) :
G

lesattaquespar macflooding lechangementdeVLANou VLANhopping lesattaques ManInTheMiddle lesattaquesauseindunVLAN lesinterruptionsdeservices(parfoisinvolontaires)parintroductiondunserveurDHCPnonofficiel.

2.Descriptionsdesattaquesetprvention
Nousallonsnousattacherpourchaquetypedattaquedonnerunexemplequicorrespondelaralitdunrseau de production en y associant les risques potentiels. Notons que cette notion de risque peut servir de base la dfinitiondesexigencesdescurit.

a.Lesattaquesparmacflooding
Un commutateur Ethernet est communment dsign par lappellation de switch. Si un concentrateur Ethernet ou hubestunquipementsansintelligence(parfoiscomparunemultiprise)leswitchquantluipossdeunetable CAM (Content Addressable Memory) dans laquelle sont inscrits des couples port adresse MAC. Les ponts possdaient dj une table de ce type mais en revanche navaient quun nombre de ports trs limits. Voici un aperudelattaquemacflooding. Flooding signifie peu de choses prs inondation. Cette attaque bien connue consiste saturer la table CAM du switchenluienvoyantplusieursmilliersdentres.Leswitch,pourlescouplesquilneconnaitpasrecopieleurtrafic sur tous ses ports au lieu de ne lenvoyer quaux ports concerns. La description de cette attaque est largement documente.Toutefois,bienquellesoitsimplemenergrceunpetitoutilnomm macof,leswitchsousattaque voitsesperformancessedgraderconsidrablementaupointquelesordinateursconnectsontleplusgrandmal placerleurstramessurlerseau.NousavonsreproduitcetteattaquesurunswitchdumodleCisco2950.Aprs avoir satur la table CAM avec laide de loutil macof (et avoir arrt ce dernier) nous avons russi capturer du trafic unicast au sein dun VLAN, cestdire le trafic direct entre deux machines. Cette capture est possible si les deuxmachinesnesontpasconnuesduswitchaumomentdelasaturation.

VoiciunecapturedcranmontrantmacofenvoyantdestramesdontladresseMACestgnrealatoirement. Switch# sh mac-address-table count Mac Entries for Vlan 2: --------------------------Dynamic Address Count : 5088 Static Address Count : 0 Total Mac Addresses : 5088

- 2-

ENI Editions - All rigths reserved - Moha Anisa

Total Mac Address Space Available: 0 Au bout de quelques secondes, la table CAM du switch est sature comme lindique ici le total des adresses MAC disponible.

Le switch diffuse sur tous les ports le trafic (un ping) entre deux stations dont il dcouvre les adresses MAC ne sachantpasoellessontphysiquementlocalises. Lacommandeportsecurity Afin de contrer une telle attaque, Cisco propose une commande switchport permettent :
G

port-security dont les options

delimiterlenombredadressesMACassociesunportduswitch deragirencasdedpassementdecenombre defixeruneadresseMACsurunport deneretenirquelapremireadresseMACquiseprsente.

Configurationetvrification Dcrivonslesquatretapesncessaireslaconfigurationdecesfonctions :
G

Lafonctionport-securityestdansunpremiertempsactiveglobalementauniveaudelinterface :

SW0(config)#int fastEthernet 0/2 SW0(config-if)#switchport port-security Puis,ilfautrenseignerlemodedapprentissagedesadressesMACquiserontassociesauport.cestade, ladresseestentremanuellementoubienappriseparleswitchparlebiaisdeloptionsticky. SW0(config-if)#switchport port-sec mac-address 0018.8B 7E.20E9 ou, SW0(config-if)# switchport port-security mac-address sticky Il faut par la suite indiquer au switch le nombre maximal dadresses quil tolrera sur le port (2 dans la commandecidessous).

SW0(config-if)#switchport port-security maximum 2

Ilfautfinalementindiquerauswitchlafaondontilragiraencasdedpassementdunombredadresses MACautoris.Troismodessontdisponibles :

ENI Editions - All rigths reserved - Moha Anisa

- 3-

rejetdesadressesendpassementsansnotification,modeprotect rejetdesadressesendpassementavecnotification,moderestrict fermetureduport,modeshutdown(modepardfaut).

SW0(config-if)#switchport port-security violation shutdown Voici,quelquesconfigurationscompltesduneinterface : interface FastEthernet0/2 switchport access vlan 2 switchport mode access switchport port-security switchport port-security maximum 3 switchport port-security violation restrict spanning-tree portfast interface FastEthernet0/2 switchport access vlan 2 switchport mode access switchport port-security switchport port-security maximum 2 switchport port-security mac-address 0018.abcd.abcd switchport port-security violation restrict spanning-tree portfast Danscettedernireconfiguration,surla6 m e ligne,nousobservonsladresseMACapprisedynamiquementgrce lutilisationdelacommandesticky. VrifionslecomportementduswitchlorsduneattaqueparsaturationdelatableCAM.Leswitchestconfigurpour fermerleportencasdedpassementdelavaleurautorise. *Mar 1 01:15:36 CET: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/2, putting Fa0/2 in err-disable state SW0# *Mar 1 01:15:36 CET: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 66a7.644e.3976 on port FastEthernet0/2. SW0# *Mar 1 01:15:37 CET: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to down SW0# *Mar 1 01:15:38 CET: %LINK-3-UPDOWN: Interface FastEthernet0/2, changed state to down Linterfaceestbelleetbienferme.Pourlaremettreenservicenousutilisonslasquencesuivante : SW0(config-if)#shut down SW0(config-if)#no shut down DanslecasduntlphoneIPsurlequelsetrouveconnectunPC,troisadressesMACsontncessaires aubonfonctionnementdelensemble.Lacommandeseradoncswitchport port-security maximum 3.

UneadresseMACappriseetinscritedanslaconfigurationcourante(option sticky)nestpassauvegarde encasdextinctionduswitch. Respecterlasquenceshutpuisno shutafinderemettreenservicelinterface.

Lacommandeshutdownpermetdefermer"administrativement"unport.Celaquivautenquelquesorte unedconnexionvirtuelleducblerseaucarcedernierrestephysiquementconnect.Lacommande no

- 4-

ENI Editions - All rigths reserved - Moha Anisa

shutdownpermetdouvrirleport. Commetoujours,lescommandesshowpermettentdevrifierlersultatduparamtrage. LescommandeschezCiscopossdentpourlaplupartdentreellesuneformeabrge.Lacommande show sersumeparlecondenssh.

SW0#sh port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -----------------------------------------------------------------Fa0/2 3 1 0 Protect -----------------------------------------------------------------Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024

b.Lesaccsillicitesaurseauetleprotocole802.1X
La scurit dun rseau dbute sa porte dentre. Nous avons dcrit une mthode simple afin dempcher une connexionaurseauquiconsistedconnecterlecblagedinfrastructure.Cettefaondeprocderesttoutefois trs contraignante. Heureusement les switchs (et les routeurs) Cisco possdent une commande qui permet ladministrateur de fermer distance un port daccs.Ilsagitdelacommande shutdown.Cettepratiquenestpas adaptepourunrseaucomprenantplusieurscentainesouplusieursmilliersdutilisateurs.Uneautremthodeest ncessairepourdchargerlesquipesdadministrationdunetchesirptitive. Descriptionetfonctionnement 802.1x est un standard qui dfinit un mcanisme dauthentification pour laccs au rseau. 802.1x peut tre comparauprotocolePPPlargementdiffuslpoque(passilointaine)olaccsInternetncessitaitlutilisation dunmodem.LeprotocolePPPsappuyaitsurunmcanismeembarquchargdelauthentificationpourlequeldeux sousprotocolestaientpropossauchoix :PAPetCHAP.Schmatiquement,nouspourrionscrire :accsInternet =modem+PPP+(PAPouCHAP)+TCP/IP. 802.1X sil est utilis sur un quipement tel quun switch oblige lutilisateur connectant son ordinateur au rseau (filaireousansfil)sauthentifieravantdentamertouteactivit.lissueduprocessusdauthentification(etencas desuccs)leclientreoitunprofilrseau(TCP/IPetVLAN)ainsiquunassortimentderglesdescurit. 802.1X sappuie sur EAP (Extensible Authentication Protocol). EAP est un moyen de transporter un protocole dauthentification. Cest pourquoi il existe autant dappellations autour dEAP que de protocoles dauthentification embarqus.EAPtransportsurunlienEthernetestdnommEAPOLpourEAPOverLan.Citonstitredexemple :
G

LEAP(protocolepropritaireCisco) EAPMD5(quitransportedesmessages hachs parMD5) EAPTLS(authentificationbasesurlchangedecertificats) PEAP(quitransporteuneauthentificationMicrosoftCHAPVersion2) EAPFAST(proposparCISCOpourremplacerLEAP).

Nousallonsdtaillerlefonctionnementde802.1XaveclutilisationdePEAPdanslecadreduneconnexionEthernet. PEAPestpropossurlessystmesdexploitationMicrosoftXPetVista. 802.1Xfaitintervenir3entits :


G

leclient(ousupplicantenterminologieanglaise)esttypiquementunPC leswitch(ouauthenticator)

ENI Editions - All rigths reserved - Moha Anisa

- 5-

leserveurdauthentification(ouauthenticationserver)quiestunserveurRADIUS.

Les messages EAP transportent les changes dauthentification entre le client et le serveur dauthentification. Le switchnefaitquelesrelayer,toutefoisdepartetdautreduswitch,lesmessagesEAPnesontpastransportsde lammefaon.
G

Entreleclientetleswitch,EAPestdirectementdanslachargeutiledestramesEthernet. EntreleswitchetleserveurRADIUS,EAPesttransportdanslesmessagesRADIUS.

LeschangesEAPentreleclientetleserveurRADIUSpassentpardeuxphases :
G

UnesriedchangescomportantlidentitduclientetlesparamtresdemiseenplaceduntunnelTLS. LtablissementdutunnelTLSdanslequeltransiteraleprotocoledauthentificationMSCHAPV2.

lissue de ces changes et si lauthentification est correcte, le serveur RADIUS ordonne au switch de connecter pleinement le client au rseau. Pour terminer, le client et le switch reoivent ventuellement des paramtres en provenance du serveur RADIUS comme un numro de VLAN, une adresse IP ou encore une liste de filtrage ACL (AccessControlList). Silauthentificationnaboutitpas,leclientvoitsademandedeconnexionrejete.Ilestventuellementdirigvers unVLANdattentelaconnectivitlimite.Tantqueleclientnestpasauthentifi,seuleslestramesEAPtransitent entreleclientetleswitchlexclusiondetoutautreprotocolesuprieurtelqueTCP/IP. Variantededploiement Nousutiliseronsunclient802.1XetlimplmentationduprotocoleRADIUSfournisparMicrosoft.CeserviceRADIUS estgalementdisponibleavecunserveurACSdechezCiscoousurunserveurLinux(FreeRADIUS).Denombreuses implmentationsdeRADIUSsontdisponiblesparailleurs. Nous ne dcrirons pas dans le dtail linstallation des composants de la partie Microsoft. Nous prsenterons une liste des fonctions activer. Linstallation dun serveur RADIUS afin dauthentifier des utilisateurs avec 802.1X requiert :
G

uneinstallationfonctionnelledeMicrosoftWindows2000ou2003Serverentantquecontrleurdedomaine ActiveDirectory(ycomprislesservicesDNS) lacrationdesutilisateursavecautorisationdaccsdistant leregroupementdesutilisateursdansdesgroupesglobauxquiserontutilissparlespolitiquesdaccs leservicedecertificatsenayantprissoindegnreruncertificatautosignpourleserveur leservicedauthentificationInternetquiseraenregistrdanslActiveDirectory.


G

Leswitchfournissantleservice802.1Xseradclarentantqueclient. Uneouplusieurspolitiquesdaccsenfonction :
G

desadressesIPdespointsdaccs(NAS) dugroupedutilisateurauthentifier desattributsRADIUSdfinissantleVLANdanslequeldirigerlutilisateurunefoisauthentifi :


G

TunnelType[64]=VLAN TunnelMediumType[65]=802 TunnelPrivateGroupId[81]=NomduVLAN


ENI Editions - All rigths reserved - Moha Anisa

- 6-

LecertificatprcdemmentmisseradclardanslespropritsEAP(propritsdauthentification duprofildelapolitique).

Surlespostesdetravail :
G

activation de lauthentification dans les proprits de la connexion rseau (pour Vista dpend du serviceConfigurationautomatiquederseaucblquiestdsactivpardfaut) paramtragedePEAP(enchoisissantounondevrifierlecertificatduserveurRADIUS).

Voiciprsentlaconfigurationduswitch2950 : SW0#sh run Building configuration... ! aaa new-model ! aaa authentication dot1x default group radius aaa authorization network default group radius aaa accounting dot1x default start-stop group radius dot1x system-auth-control dot1x guest-vlan supplicant ! ! interface FastEthernet0/11 switchport mode access switchport port-security maximum 3 dot1x port-control auto spanning-tree portfast ! radius-server host 10.xxx.xxx.42 key 7 030752180500 Dcrivonscetteconfiguration:
G

La commande aaa new-model active les fonctions dauthentification, dautorisation et de comptabilit du switch. Les trois commandes suivantes dfinissent les services du serveur RADIUS (dclar plus bas) qui auralachargedauthentifierlesutilisateurs,deleuraffecterventuellementunVLANdaccueiletdegarder unetracedeleurduredeconnexion. Lacommandeglobaledot1x system-auth-controlactive802.1Xpourtoutleswitch. Lacommandeglobale dot1x guest-vlan supplicantdirigelesclientsquinesupportentpas802.1Xoudont lauthentificationachouversunVLANprvuceteffet. Lacommande(enmodeinterface)dot1x port-control autoactive802.1xsurlinterfaceetdemandeauport de suivre les instructions du protocole lui ordonnant de souvrir (en cas de succs) ou de ne pas donner accsaurseau. La commande radius-server dclare le serveur RADIUS qui fournit les services demands ainsi quune cl dauthentification.

c.ScuritetVLANs
Surunswitch,unVLANestungroupedeports.Lesmachinesconnectescesportspeuventcommuniquerentre elles librement. En revanche, toute communication est impossible avec un port tranger au VLAN. On imagine aisment deux rseaux cbls isols lun de lautre et qui de fait ne communiquent pas. Rpartis sur un rseau Ethernetcommut,lesVLANoffrentparexempleunesolutionpratiquepourisolerlesunesdesautresdessocits partageant une infrastructure commune. Aprs avoir t largement promue et recommande, cette technique est maintenant remplace par le dploiement de rseaux routs au plus prs de lutilisateurfinal.Toutefois,lesVLAN nontpastotalementdisparus.Onlesrencontretoujourssurlesquipementsdextrmit,lolesutilisateurs(ou lesserveurs)sontphysiquementconnects. DenouvellesexigencesdescuritdcoulentdelutilisationdesVLAN.Eneffet,ilestindispensabledegarantirque
ENI Editions - All rigths reserved - Moha Anisa - 7-

deuxpopulationscensestreisoleslunedelautrelesonteffectivement. ScuritlintrieurdunVLAN(VLANACL,PrivateVLAN,DynamicArpinspection) Les attaques virales qui ont branl les rseaux dentreprises ces dernires annes ont prouv la ncessit de possder un niveau disolation supplmentaire au sein des VLAN. Les vers ayant caus le plus de dgts embarquaient un dispositif permettant lexpansion rapide de lattaque aux machines les plus proches. Ainsi, les rseauxdirectementconnectsunefoisconnusparlevers,furentinondsdemessagesjusquleffondrement. lintrieurdunVLANdutilisateurs,lapolitiquedescuritimposeparfoisuneisolationdespostesdetravailentre euxafinquaucunedonnenesoitpartagedirectement.UneexigenceidentiqueestenvisageabledansunVLANo setrouventdesserveurs. Les communications directes entre les membres dun mme VLAN si elles sont autorises doivent toutefois tre protges contre toute tentative dintrusion visant lusurpation didentit ou de donnes, cest pourquoi des contrlesavancssurlacoucheliaisondedonnesviennentrenforcerceuxquenousavonsprcdemmentdcrits. LesVLANACL Les VLAN ACL (pour VLAN Access Control Lists) sapparentent aux ACL de niveau trois cestdire aux ACL qui sappliquent sur les interfaces routes. Mais comme leur nom lindique, elles sapposent dans des VLAN ou plus exactementtouslespaquetsquiyentrent.IlestainsipossibledelimiterletraficauseinmmedunVLAN. Les VLAN ACL (ou VACL) sont dfinies dans la configuration par une suite de squences numrotes. Chaque squencecomprenduneidentificationdutrafictraiteretuneactionluiadministrer,letoutestensuiteappliqu auVLANprotger. Parmilesactionsfigureauctdesoptionsdropetforwardloptioncapture.Ellepermetdecapturerletraficetdele copierversunportsurlequelunesondededtectiondintrusionestconnecte. Lestapespourlamiseen uvredesVACLsont :
G

La programmation dune ou plusieurs ACL classiques qui sont examines lune aprs lautre en squence. CesACLsontbasessurdesadressesIPouMAC. LacrationdelaVACLquiappellelACLprcdemmentdfinieetdcideduneaction. LapplicationdelaVACLauVLANdanslequelonsouhaitefiltrerletrafic.

Les crans qui suivent montrent un cas simple permettant aux stations dun VLAN de sortir vers Internet (via un proxy)enayantaupralableinterrogunserveurDNS. Switch#conf t Switch(config)# Switch(config)#ip access-list extended juste-internet Switch(config-ext-nacl)#10 permit udp any host DNS1 eq domain Switch(config-ext-nacl)#15 permit udp any host DNS2 eq domain Switch(config-ext-nacl)#20 permit udp host DNS1 eq domain any Switch(config-ext-nacl)#25 permit udp any host DNS2 eq domain Switch(config-ext-nacl)#30 permit tcp any host PROXY eq 8080 Switch(config-ext-nacl)#35 permit tcp host PROXY eq 8080 any Switch(config-ext-nacl)#end Switch# Labrviation conf t condense la commande configuration Terminal qui donne accs au mode de configurationdelquipementviauneconsoleouunterminal.

La commande end permet de sortir du mode de configuration (et de tous ces sousmodes) pour revenir directementlinvitedecommande(enanglais"prompt"). LACLdetypetenduenommejusteinternetcomporte6squencespermettantautraficissuduVLANdesortir(et derevenir)pourlactivitDNS(domain)etWEBsurleportTCP8080.DeuxserveursDNSetunserveurproxyHTTP sontdclars. Switch#conf t Switch(config)#vlan access-map limitation 10 Switch(config-access-map)#match ip address juste-internet

- 8-

ENI Editions - All rigths reserved - Moha Anisa

Switch(config-access-map)#action forward Switch(config-access-map)#end Switch# Ici,laVACLestcre.Ellesenomme limitationetportelenumrodesquence10.Elleappelle(pourlasquence 10) lACL justeinternet prcdemment cre et permet au trafic autoris par lACL de quitter le VLAN (action forward). Switch# conf t Switch(config)# vlan filter limitation vlan-list 2 Switch(config)#^Z Switch# Pourterminer,laVACLlimitationestappliqueauVLANfiltrer,icileVLAN2. Switch#sh ip access-lists Extended IP access list juste-internet 10 permit udp any host DNS1 eq domain 15 permit udp any host DNS2 eq domain 20 permit udp host DNS1 eq domain any 25 permit udp host DNS2 eq domain any 30 permit tcp any host PROXY eq 8080 35 permit tcp host PROXY eq 8080 any Switch#sh vlan filter VLAN Map limitation is filtering VLANs: 2 Switch#sh vlan access-map Vlan access-map "limitation" 10 Match clauses: ip address: juste-internet Action: forward Lescommandesshownousfournissentdesinformationsquipermettentdevrifierlaconfiguration.Lescommandes utilessont sh ip access-lists, sh vlan filteret sh vlan access-map.Cetexempleestrelativementsimplecaril prsente une unique squence tant pour lACL que pour laccessmap. Il est tout fait possible de rallonger les squencespourplusdegranularit. LesPrivateVLAN Lobjectif des Private VLAN est de fournir une isolation au niveau 2 entre des ports connects au mme VLAN. Un exempletypiqueauseindunVLANestdinterdireauxstationsdecommuniquerentreellesdirectementetdeneleur laisser que le routeur par dfaut comme porte de sortie. Avant cette technique, une solution consistait crer autantdesousrseauxIPquedegroupesisoler. Il est important de se renseigner afin de dterminer si le switch et la version du logiciel IOS vous permettent de dployercettefonctionnalit.Siellenestpasdisponible,unecommandealternativeoffresurcertainsmodlesune fonctionquivalente.Lescontraintesetlimitationslemploides PrivateVLANsontnombreuses.Nousvousinvitons vousrfrerladocumentationcorrespondantvotremodledeswitchetcelledesonsystmedexploitation IOSouCATOS. Entreautrescontraintes :
G

LeswitchdoittreconfigurmodeVTPtransparent. UnseulVLANsecondairedetypeisolatedpeuttrerattachauVLANprimaire.

ENI Editions - All rigths reserved - Moha Anisa

- 9-

Ici,lesportsde15nepeuventcommuniquerquavecleport6. Avantdaborderlaconfiguration,unebonnecomprhensiondelaterminologiesimpose. LatechnologiePrivateVLANfaitappeltroistypesdeVLANettroistypesdeports.OntrouvepourlesVLAN :


G

LeVLANdetypeprimarysurlequelseregroupentlesVLANsecondaires. LesVLANsecondairesdetype :
G

isolated(lesportsmembressontisolsentreeux) community(seulslesportsdunemmecommunautpeuventcommuniquerentreeux).

Quantauxportslestroistypessont :
G

promiscuous.CetypedeportappartientauVLANprimaireetpeutcommuniqueravectouslesautrestypes de ports des VLAN secondaires associs au VLAN primaire. Il est utilis pour acheminer le trafic hors du VLAN. isolated.CetypedeportmembredunVLAN isolatedestisoldesautresports(danssonVLAN)etnepeut communiquerquavecleportpromiscuous. community. Ce type de port membre dunVLAN community ne peut communiquer quavec les ports de sa communautetleportpromiscuous.

Laconfigurationcomprendplusieurstapes :
G

LadclarationdesVLANetdeleurtype.CettetapecomprendlacrationdunVLANprimaireetdetousles VLANsecondaires(isolated,communityoulesdeux). LassociationdesVLANsecondairesauVLANprimaire. LassociationdesVLANsecondaireslinterfacedeniveau3duVLANprimary(interfacevlan). Laconfigurationdesinterfacesdeniveau2puisleurrattachementleurVLANsecondaireetprimaire. LaconfigurationduportpromiscuousetsonrattachementauVLANprimaryainsiquauxVLANsecondaires.

- 10 -

ENI Editions - All rigths reserved - Moha Anisa

Afindillustrercettedescription,nousprsentonsunexempledeconfigurationralissurunswitchCiscoCatalyst 2980G utilisant le systme dexploitation CatOS. Dans les captures dcran qui suivent, nous avons conserv les rponsesdusystmeetquelquesretoursdelaideenligne. sw1> (enable) set vtp mode transparent VTP domain modified switch> (enable) set vlan 10 pvlan-type primary name VLAN_PRIMAIRE VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 10 configuration successful

switch> (enable) set vlan 11 pvlan-type ? primary Set private vlan as primary vlan isolated Set private vlan as isolated vlan community Set private vlan as community vlan none Set vlan to be a normal vlan twoway-community Set private vlan as twoway community vlan switch> (enable) set vlan 11 pvlan-type isolated name ISOLATED_1 VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 11 configuration successful LeswitchesttoutdabordmisenmodeVTPtransparentquilaissepasserlesinformationsdeceprotocole sansentenircompte. LeVLANprimaryestcr.Ilportelenumro10etlenom VLAN_PRIMAIRE . UnVLANsecondairedetypeisolatedestsontourcr.Ilportelenumro11etlenomISOLATED_1

switch> (enable) set vlan 12 pvlan-type isolated name ISOLATED_2 VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 12 configuration successful switch> (enable) set vlan 13 pvlan-type isolated name ISOLATED_3 VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 13 configuration successful switch> (enable) set vlan 14 pvlan-type community name COMMUNAUTE_1 VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 14 configuration successful switch> (enable) set vlan 15 pvlan-type community name COMMUNAUTE_2 VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 15 configuration successful QuelquesautresVLANsecondairessontcrs. switch> (enable) set pvlan 10 11 Vlan 11 configuration successful Successfully set association between 10 and 11. switch> (enable) set pvlan 10 12 Primary private vlan already has an isolated vlan associated. Failed to set association between 10 and 12. switch> (enable) set pvlan 10 13 Primary private vlan already has an isolated vlan associated. Failed to set association between 10 and 13. switch> (enable) set pvlan 10 14 Vlan 14 configuration successful Successfully set association between 10 and 14.

ENI Editions - All rigths reserved - Moha Anisa

- 11 -

LesVLANsecondairessontassocisauVLAN primary.NotonsquelesVLAN12et13nepeuventpastreassocis auVLANprimarycarcedernierestdjassociauVLAN11. switch> Primary ------10 10 10 (enable) show pvlan Secondary Secondary-Type Ports --------- ---------------- -----------11 isolated 14 community 15 community 12 isolated 13 isolated

Lacommandeshow pvlannousmontrelestroisVLANrattachsauVLANprimary. switch> (enable) set pvlan 10 11 2/22-32 Successfully set the following ports to Private Vlan 10,11: 2/22-32 switch> Primary ------10 (enable) sh pvlan Secondary Secondary-Type Ports --------- ---------------- -----------11 isolated 2/22-32

QuelquesportssontassocisauVLANisolated(etdoncauVLANprimary). switch> (enable) set pvlan mapping 10 11 2/17 Successfully set mapping between 10 and 11 on 2/17 CettedernirecommandedeconfigurationdclareleportpromiscuousetlassocieauVLANprimary. switch> Primary ------10 (enable) sh pvlan isolated Secondary Secondary-Type Ports --------- ---------------- -----------11 isolated 2/22-32

switch> (enable) sh pvlan mapping Port Primary Secondary ---- ------- --------2/17 10 11 Lesdeuxcommandes sh pvlan isolatedet sh pvlan mappingnousmontrentlesportsdansleVLAN isolatedetle portpromiscuous. LeportpromiscuousestdansnotretypedeconfigurationconnectunrouteurafindetransmettreletraficduVLAN verslerestedurseau.Avecunswitchfournissantdesservicesdeniveau3,leportpromiscuousauraittaffect uneinterfaceVLAN. Afin datteindre cet objectif disolation entre les ports sur un modle de switch ne disposant pas de la fonction private VLAN, nous avons sur un switch modle 2950 utilis la commande switchport protected en mode de configurationduneinterface. SW0#conf t Enter configuration commands, one per line. SW0(config)#int f0/3 SW0(config-if)#switchport protected SW0(config-if)#end SW0#

End with CNTL/Z.

Notezaupassagequelacommandeendpermetdepasserdirectementdumodedeconfigurationaumodeexec. Il existe, comme souvent, une mthode permettant de contourner lisolement dans le cas o une porte de sortie existeraitviaunrouteurouuneinterfaceVLAN.UneinterfaceVLANestuneinterfacevirtuellerecevantuneadresse IP,elleestmembrepartentireduVLANetpermetdeleconnecteraurestedurseau.Toutenrespectantles principes de cette technologie, que se passetil si nous adressons des paquets IP (destins un autre rseau) verslinterfaceVLAN? Le routeur accomplira sa tche et adressera le paquet vers ladresse IP de destination rduisant nant la protectionprcdemmentmiseenplace.Afindertablirnosexigencesinitiales,ilfautconfigurerlerouteuravecune ACLdeniveau3pourrejeterletraficenprovenanceetdestinationdurseauIPduprivateVLAN.

- 12 -

ENI Editions - All rigths reserved - Moha Anisa

EnvoyerverslinterfaceVLANsignifieenvoyerletraficversladressedeniveau2delinterfaceVLAN.

PrvenirleschangementsdeVLAN Un rseau commut peut hberger de nombreux VLAN. Ils sont locaux (valides sur un seul switch) ou propags entre plusieurs switch. Dans le premier cas (VLAN local) un PC dans le VLAN 2 du switch A ne pourra pas communiqueravecunPCmembreduVLAN2surleswitchB.Danslesecondcas,leVLAN2estdisponibledesdeux cts. LorsquelesVLANsontpropagsdeswitchenswitch,lepassagedunVLANunautreconstitueuneatteintela scurit.Examinonsleschmasuivant:

Les trois brins entre les deux switch portent le nom de trunk. Il sagit dun lien logique sur lequel transitent les paquets marqus comme appartenant aux divers VLAN. Un trunk est physiquement contenu sur un mdia unique (cble,fibre). Deuxtypesdattaquesexistent.

Lapremireconsistepourunestationprendrelaplacedunswitchetdeseformerun trunk.Lastationobtient ainsisesentresdanslesVLAN.CetteattaqueestconnuesouslenomdattaqueDTP(DynamicTrunkProtocol).

ENI Editions - All rigths reserved - Moha Anisa

- 13 -

La seconde, plus labore consiste forger un paquet qui sera marqu avec deux identifiants de VLAN en loccurrenceleVLANnatifdu trunketleVLANdanslequelonsouhaitepntrer.LetraficquitransitedansleVLAN natif nest pas marqu, le second switch reoit le paquet et ne voit que la marque 2 car la marque 1 nest pas prservelorsdupassagedansle trunk.IlmetdonccepaquetdansleVLANnumro2.UnsautdeVLANestainsi ralis. Il faut pour mener bien cette attaque que la machine lorigine de celleci soit connecte sur le VLAN correspondantauVLANnatifduswitch.DesoutilscommeScapyouYersiniasontidauxpourcegenredattaque. Lesparadesdisponiblessonttrssimplesmettreen uvre.Ilsuffitdeplanifieravecprcaution :
G

La configuration des VLAN sur les ports en prenant soin de ne jamais affecter un port le VLAN natif du trunk. Laconfigurationdesportsdestinsrecevoirdesmachines.Ilsserontforcsnejamaisdevenirdesports detypetrunkaveclacommande :switchport mode access. DenejamaisplacerdeportsdansleVLAN1.

d.LuttercontrelesserveursDHCPindsirables
La dcouverte dun serveur DHCP (Dynamic Host Configuration Protocol) non dclar va de pair avec la soudaine dconnexiondurseaudeplusieursmachines.UnepremireenqutesurleterrainrvlequelesadressesIPdes machinesisolesnesontpasissuesdestendueshabituelles.Uneinspectionplusapprofondie(aveclacommande ipconfig /all)montrequeleserveurDHCPayantdlivrcesadressesdpenddudomaine mshome.netlequelest inconnu.LenqutesepoursuitparuneinspectiondestablesCAMlarechercheduportocetindsirableserveur se trouve connect. Aprs une remonte de cblage sans doute fastidieuse, lintrus est enfin dmasqu. Il sagit dunordinateurportablevoyageantrguliremententrelerseaudelentrepriseetledomiciledesonpropritaire oilestconnectuneligneADSLquilpartageloisiravectoutelamaisonetpourquoipaslevoisinage. Cecasconstitueundnideserviceinvolontaireetunepersonnemalintentionnerussissantinstallerunserveur DHCPpiratesurlerseauetdclarantunestationsoussoncontrlecommetantlapasserellepardfautpourra voirpasserletraficdesstationsleurres.Cetteattaqueparinterpositiondanslefluxporteenanglaislenomde maninthemiddle.UneautreattaqueconsisteviderlarservedadressesIPduserveurDHCPpardesdemandes incessantesprovenantduneouplusieursmachinessouslecontrledelapersonnemalintentionne. Lepremierincidentestassezfrquentsurunrseauquinemetpasen uvrelesprotectionsadquates.Enoutre, laconnexionsurlerseaudunemachineitinrantesoulvebiendautresquestions.Commetoujours,lessolutions existent et sont une fois de plus fort simples. Quelques commandes permettent sur les ports rservs aux utilisateurs de filtrer ce qui de prs ou de loin ressemble des messages provenant dun serveur DHCP. Cette techniqueportelenomdeDHCPSnooping. Le principe de base du DHCP Snooping est de considrer que sur un port quelconque aucun message du type de ceux mis par un serveur DHCP ne doit transiter. En revanche, les messages DHCP normalement mis par une station sont autoriss transiter. Avec DHCP Snooping, le switch construit une table de correspondance entre les
- 14 ENI Editions - All rigths reserved - Moha Anisa

adresses MAC, les adresses IP dlivres et les ports physiques. Cette table est galement exploite par la technologie Dynamic Arp Inspection dans le cadre de la dtection de tentatives dusurpationdadresses MAC (mac spoofing). UnportestconfigurcommetantdutypetrustsilestconnectdirectementouindirectementunserveurDHCP.Il estdoncprimordialdtudierlachanedesswitchetlespositionsdesports trustafindassurerlaprennitdela configuration.Signalonsenfinquelesportssontpardfautdetypeuntrust.

Voicilaconfiguration. SW0#conf t Enter configuration commands, one per line. SW0(config)#ip dhcp snooping SW0(config)#ip dhcp snooping vlan 2 SW0(config)# SW0(config)#^Z LafonctionnalitsactiveunefoisenmodeglobalpuispourchacundesVLANprotger. SW0#sh ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 2 Insertion of option 82 is enabled Interface Trusted Rate limit (pps) --------------------------------------------Unecommandeshowdonneunpremieraperu. SW0#conf t Enter configuration commands, one per line. End with CNTL/Z. SW0(config)#int f0/1 SW0(config-if)#ip dhcp snooping trust SW0(config-if)#ip dhcp snooping limit rate 100 Leportf0/1estconfigur(trust)afinqueDHCPsnoopinglaissepasserlesmessagesissusdunserveurdirectement ou indirectement connect, la commande limit rate autorise seulement 100 messages du protocole DHCP par seconde.Attentionbientudieraupralablelaquantitdemessagesdevanttransitersurlelienafindenepasla sousvalueretentranerundnideservice. SW0# sh ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 2 Insertion of option 82 is enabled Interface Trusted Rate limit (pps)

End with CNTL/Z.

ENI Editions - All rigths reserved - Moha Anisa

- 15 -

-----------------------FastEthernet0/1

------yes

---------------100

SW0# sh ip dhcp snooping binding Option 82 on untrusted port is not allowed MacAddress IpAddress Lease(sec) Type ---------- --------------- ---------- ------x:x:x:19:03 10.xxx.xxx.x60 172724 dynamic FastEthernet0/12

VLAN ---2

Interface ----------

Lacommandesh ip dhcp snoopingmontrequelinterfacef0/1estlaseuleautorisefairetransiterlesmessages DHCPissusdunserveur.Quantlacommande sh ip dhcp snooping binding,ellemontreleportf0/12etladresse MACdelastationconnecte.CettetableestexploitepouranalyserlesmessagesDHCPvenir.

e.Luttercontrelesinterceptions
Ici, le protocole ARP (Address Resolution Protocol) est directement mis en cause ou plus exactement son implmentationsurlessystmesdexploitation.ARPestchargdersoudreetdemaintenirunetabledescouples adresseIPetadresseMAC.LesmessagesduprotocoleARPcherchentquelleadressedeniveau2correspondune adresse de niveau 3, le but est de trouver la carte rseau vers laquelle envoyer les trames de niveau 2 qui contiennentlinformationtransmettre.UndialoguetypiquedeschangesARPestlesuivant :
G

quelleadresseMACdoisjeenvoyerletraficdestinladresseIP192.168.0.1 ?(cemessageestrecopi surtouslesportsduswich) Je suis ladresse IP 192.168.0.1 et mon adresse MAC est la suivante : 00.18.ab.cd.ab.cd (ce message est transmisdirectement).

LadministrateurdunsystmepeutgalementrenseignermanuellementlatableARP. C:\Users\RZS>arp -a Interface: 10.xxx.xxx.x66 --- 0xb Internet Address Physical Address 10.xxx.xxx.x 00-02-b3-95-e4-4e 10.xxx.xxx.x 00-b0-d0-ec-8d-a4 10.xxx.xxx.x 00-0c-29-48-bd-64 10.xxx.xxx.x 00-0e-7f-3e-57-83 10.xxx.xxx.x 00-0d-02-d1-64-65 10.xxx.xxx.x 00-16-d4-ee-df-4d 10.xxx.xxx.x 00-0f-fe-77-2d-3f 10.xxx.xxx.x ff-ff-ff-ff-ff-ff 224.0.0.22 01-00-5e-00-00-16 224.0.0.252 01-00-5e-00-00-fc VoicilatableARPdunemachineWindows. UnmessageARPimportantestlemessageARPgratuit(gratuitousARP).Cemessageestmisaudmarrageparun htequicherchesavoirsiuneadresseIPidentiquelasienneexistedj.Cetterequteestreuepartousles hteslcoutequimettentjour(aveclinformationreue)leurpropretableARP.LeprotocoleARPnepossdant pas de mcanisme dauthentification,leshtesdun sousrseau prennent en compte les messages qui leur sont adresssmmesilsnontriendemand. LeprincipedesattaquesARPconsisteenvoyerrgulirementverslamachinetrompersoitdesmessagesARP gratuits,soitdesmessagesrpondantunedemandequina jamais t effectue. Lhtevictime,larception des messages provenant de la machine de lattaquant met jour sa table ARP sans autre forme de procs. Lattaquantfaitainsicroiresesvictimesquilestparexemplelapasserellepardfautetsilattaqueaboutit,les communicationsdesvictimesdestinationdelextrieurdusousrseaupasserontparlui. Lesswitchsontvulnrablescegenredattaquescarlestablesdtatsnetiennentpascompteducoupleadresse MACadresseIP,maisducoupleadresseMACport. IlesttoujourspossibledefixerlescouplesMACIPdemanirestatique,maissurunrseaudegrandedimension la tche savre quasi impossible. Un dispositif automatique doit donc prendre en charge la vrification de la prennit des couples adresse MAC adresse IP et surveiller tout changement anormal. Un programme comme ArpwatchdisponiblesousLinuxsechargedecettetcheetrenseigneunfichieraveclescouplesdcouvertsetles changementsventuels.Leprogrammedisposeduneoptionpouravertirparcourrielladministrateur. ethernet vendor: Compaq (HP) timestamp: Friday, April 18, 2008 11:28:23 +0200

Type dynamic dynamic dynamic dynamic dynamic dynamic dynamic static static static

- 16 -

ENI Editions - All rigths reserved - Moha Anisa

From: arpwatch (Arpwatch TestStation) To: root Subject: new station (xx.xxx.xxxxxxx.xxxxx.net) eth0 hostname: ip address: interface: ethernet address: ethernet vendor: timestamp: xx.xxx.xxxxxxx.xxxxx.net 10.yyy.yyy.yyy eth0 0:b0:d0:xx:xx:xx Dell Computer Corp. Friday, April 18, 2008 11:28:40 +0200

Voiciunbrefextraitdufichierdanslequelleprogrammecritlescouplesquildcouvreencoutantlesousrseau. Pourmmoire,lechampethernetvendorestdduitpartirdelapremiremoitideladresseMAC. Apr 18 15:20:16 TestStation arpwatch: changed ethernet address 10.xxx.xxx.xxx 0:17:42:xx:xx:xx (0:b:5d:xx:xx:xx) eth0 CemessagemontreunchangementdadresseMACpouruneadresseIPprcdemmentconnue. Installer un dispositif comme Arpwatch pour chaque sousrseau ncessite la mise disposition de machines ddies.Deplus,lesnombreuxmessagesdoiventtreexploitslarecherchedeschangementssuspects.Enfin, Arpwatchneprendaucunedcisionlorsquilconstateunchangement. CiscooffreunesolutiondesurveillancedescouplesadresseMACadresseIPbaptiseDAI( DynamicArpInspection). Cette fonctionnalit sappuie sur les services que nous avons utilis pour protger les serveurs DHCP. Plus prcisment,DAIlorsquilestactivrecherchedanslatableduDHCPsnoopinglescouplesvalides.Silenvironnement rseaunestpasconfigurenDHCP,DAIserfreuneACLARP(filtragesurlesadressesMAC). LesACLARPsontprioritairessurlatabledu DHCPsnooping.SiuneACLestplacedanslaconfigurationetassocie unVLAN,lerejetimplicite(deny)lafindelACLbloqueraletraficnonautorismmesicedernierestinscritdans latableduDHCPsnooping. LestapesdelaconfigurationdeDAIsontsimples.Quelquesprcautionssontprendresilapolitiquedescurit imposeunelimitationdunombredemessagesARPsuruntempsdonn,silesinterfacessontenportchannelouen trunk.Undpassementdelalimiteentranantalorsunrejetdutrafic. ExaminonslaconfigurationdeDAI. Switch#conf t Enter configuration commands, one per line. Switch(config)#ip dhcp snooping Switch(config)#ip dhcp snooping vlan 2 Switch(config)#ip arp inspection vlan 2

End with CNTL/Z.

Nous activons les fonctions DHCP snooping et DAI dans le VLAN2 en prenant bien soin dactiver DHCP snooping globalement. Switch(config)#int f0/1 Switch(config-if)#ip arp inspection trust Switch(config-if)#ip dhcp snooping trust Switch(config-if)#end Comme nous lavions fait pour DHCP snooping, nous dclarons une interface derrire laquelle nous savons quun serveurDHCPliciteestconnectdirectementouindirectement. 00:23:13: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/2, vlan 2.([0018.8b7e.20e9/10.xxx.xxx.212/0000.0000.0000/10.xxx.xxx.153/00:23:12 UTC Mon Apr 12 2008]) Considrons le cas o notre switch (un modle 3550) regroupe des machines non configures avec le protocole DHCP.LeswitchdtectesurlinterfaceFastEthernet0/2unemachinequinefigurenidanslatableduDHCPsnooping nidansuneACLARP.Cemessageestaffichgrcelacommande logging consoleenmodeglobal.Afinqueson traficpuissetraverserleVLAN,ilfautconfigureruneACLdeniveau2commesuit : Switch(config)#arp access-list ARP-ACL-TEST Switch(config-arp-nacl)#? Extended ARP Access List configuration commands: default Set a command to its defaults deny Specify packets to reject exit Exit ACL configuration mode no Negate a command or set its defaults

ENI Editions - All rigths reserved - Moha Anisa

- 17 -

permit

Specify packets to forward

Onentredanslemodedeconfigurationetondonneunnomlaccesslist. Switch(config-arp-nacl)#permit ip host 10.xxx.xxx.212 mac 0018.8Bxx.xxxx 0.0.0 Cette commande (sans le retour la ligne) associe ladresse IP 10.xxx.xxx.212 ladresse MAC 0018.8Bxx.xxxx. 0.0.0estunmasquepourladresseMACquisignifie : cetteadresseprcisment . Switch(config)#ip arp inspection filter ARP-ACL-TEST vlan 2 Pourterminer,lACLARPACLTESTestappliqueauVLAN(leVLAN2dansnotrecas). Commenouslavonssoulign,cetteACLestprioritaire.Cestpourquoiilestrecommanddenepasmlangersurun mmesousrseaudesmachinesutilisantetnutilisantpasleprotocoleDHCP. SinousconsidronsunrseauentirementconfiguravecDHCP,unestationrequiertuneadresseIPetlareoit dunserveur.Aupassage,DHCPsnoopingrenseignesatable.Rappelonsqueceserveurestauboutdelachane desportsdclarstrust. Switch#sh ip dhcp snooping binding MacAddress IpAddress Interface ------------------ ---------------------------------00:0B:5D:xx:xx:xx 10.xxx.xxx.152 FastEthernet0/3 Total number of bindings: 1 Lease(sec) ---------172769 Type ------------dhcp-snooping VLAN ---2

Lacommande sh ip dhcp snooping bindingmontrelatabledanslaquellesetrouventlescouplessurveills.Encas dechangement,DAIrejetteletraficissudelamachineincrimine.

f.Rsum
Nous avons au cours de ce chapitre pass en revue les principales mesures de protection des deux premires couchesdumodleOSI.
G

Laprotectionphysiquedesquipementsetdelaccsaurseauestunpointcrucialcaraucuneattaquene sauraittremenesansconnexion. Leraccordementauportphysiquedunswitchestscuristantauniveauphysiquequelogique.ceteffet, lestechniques802.1XainsiquelalimitationdesadressesMACparportsontconsidrer. LesVLANnesontpluslapanace,ilconvientdereleverleurniveaudescuritavecdestechniquescomme lesPrivateVLAN,les VLANACL(VACL).Deplus,danslecasdun trunkentredeuxswitch,ilestindispensable deseprmunircontretoutepossibilitdechangementintempestifdeVLAN. Les switch offrent une isolation du trafic port port (comparativement un concentrateur) mais sont vulnrablessilatabledescouplesadressesMACportestsatureoucorrompue.chaqueportcorrespond unnombreminimaldadressesMACncessaireaubonfonctionnementdudispositifconnect(PCseulouPC etTlphoneIP). Les serveurs DHCP installs sans autorisation sur un sousrseau entrainent des dnis de services. La technologieDHCPsnoopingpermetdeseprmunircontrecegenredaccident. Lesswitchdansleurconfigurationpardfautneprotgentnullementlessystmesdexploitationcontrela corruptiondeleursproprescachesARP.Cependant,latechnologie DynamicArpInspectionpalliecettat defaiteninspectantetensurveillantlescouplesadresseMACadresseIP(aveclaidedeDHCPsnooping).

Pour clore ce chapitre, nous ajoutons une mesure de scurit reprise sur le chapitre traitant des protections globales dun quipement Cisco. Le protocole CDP (Cisco Discovery Protocol) se situe au niveau deux et prsente quelquesrisquessilestactiv.Silnestpasncessaireaubonfonctionnementdurseau,ilestfortementconseill deledsactiver.

- 18 -

ENI Editions - All rigths reserved - Moha Anisa

Conclusion
Nous venons dexaminer les menaces et les mesures de protection qui permettent de garantir la scurit des deux premirescouchesdemodleOSI.Lascuritcommenceiciavecunstrictcontrledelaccsauxmdiasquesontles rseauxcbls(filaireouoptique).Nousaborderonsdansunprochainchapitrecemmethmeappliqucettefoisaux rseaux sans fils qui utilisent les ondes radiolectriques comme mdia. La seconde couche du modle OSI a la responsabilitdacheminerlescommunicationsentredeshtespartageantunmmemdia,cetitreelleestlacible denombreusesattaquesvisantdtournerletraficversdestiersayantaupralableusurpdesadressesphysiques. Cettecoucheestgalementvictimedattaquesayantpourobjectiflasaturationdesmmoiresrservesaustockage decesmmesadresses. Aveclextensiondesrseauxdentreprise,lebesoinsestfaitsentirdisolerlessegmentslesunsdesautresafinde restreindre les domaines de collision au niveau de la couche 2. Cette exigence est accomplie par les VLAN qui, nous lavonsvu,negarantissentpasuneisolationsuffisante.Demme,lintrieurdesVLAN,unautreniveaudisolation estparfoisrequisafinquelesmembresdunsegmentnepuissentpascommuniquerentreeux. Lascuritdelacouche2estprimordialecarlesmesuresdeprotectionappliquesauxcouchessuprieurespeuvent dpendretroitementdescouchesinfrieures. LechapitresuivantnouspropulsedeuxcouchesplushautverslesniveauxtroisetquatredansluniversdeTCP/IP.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Notionssurlacouche3
Au niveau de la couche 3 du modle OSI, les quipements terminaux reoivent en plus de leur adresse physique (propre la couche 2) une adresse dite logique. Les machines qui sont connectes un rseau et qui doivent changerdesdonnesnesontpastoutesobligatoirementsurlemmesegmentphysiqueetnontdoncpasunevue directelesunesdesautreslorsdelamiseen uvredesprotocolesdeniveau2(commeARP)quenousavonsvoqu au chapitre prcdent. Il est donc ncessaire dutiliser un autre niveau pour communiquer en saffranchissant des barrires.AinsinaquitInternetquioffredenosjourslapossibilittoutunchacundchangerdesinformationsavec descorrespondantslointains.Uneanalogietrssouventemployeetfortproposestcelledutlphone.Ilesten effetaisdaborderlesconceptsdadressageetdesegmentationenlescomparantaveclamaniredontlesnumros de tlphone sont organiss par pays, par rgion, par central tlphonique urbain et par rpartiteur dans chaque quartier.Cettechanehirarchiqueestutilisepourlocaliserlescorrespondantsenvuedtablirlacommunication(et delafacturer).IlenestdemmepourlesadressesIPquipossdentdespropritsutilisesparlesarchitectesafin de segmenter les rseaux. Une fois physiquement et logiquement spars, les quipements terminaux utilisent les services offerts par dautres quipements afin de communiquer en saffranchissant de la segmentation. Ces quipementssontconnussouslenomderouteurs. Cependant,siriennestfait,lerseauachemineraaveuglmentlesdonnespourvuquuneroute(unchemin)existe entre tous les participants. Si le but espr est atteint en terme de communication hors des limites physiques du rseau local, il nen est pas de mme en matire de scurit (aux exigences prs). Du point de vue scuritaire, la couche3etleprotocoleTCP/IPenparticulieroffrentunegammedeservicesdontlesobjectifspremierssontjustement defaciliterlescommunicationsdansununiverstrslargeolaconfiancergne.Cemondeparfaitnexistehlaspaset lesrseauxouvertsauxpartenaireshonnteslesontaussiauxpiratesdetoutpoil. Avant de poursuivre, et de poser nos exigences de scurit, admettons comme postulat de dpart que les rseaux sont de deux types : internes et externes. Cette distinction est la consquence directe du manque dadresses publiquespourlesquipementsIP.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Exigencesdescurit
Comme pour le chapitre prcdent, nous allons exposer les exigences de scurit qui rappelonsle sont des contraintesrespecterdanslecadredelapolitiquedescurit.Nouspartonscettefoisduprincipequelesexigences revtentuncaractreobligatoire.Lesexigencessontmisesdirectementencorrespondanceaveclatechnique. Exigencesdescuritdelquipementrseaupourlacouche3 Exigences DisposerduneredondanceIPsrepourlaroute pardfaut. FiltrerletraficentrerseauxIPentenantcompte desconnexionsetdeleursens. SeprotgerdesattaquesTCP. Prserverlaconfidentialitetlintgritdes changes. Scuriserlesprotocolesderoutage. Sparerlesadressesinternesdesadresses publiquestoutenassurantlacorrespondance entreelles. HSRP Technique

ContextBasedaccesscontrolACL

TCPIntercept IPSec

Contrlesembarqusdanslesprotocoles AdressesRFC1918

ENI Editions - All rigths reserved - Moha Anisa

- 1-

LeprotocoleHSRP
Lobjectif atteindre est de disposer dune suret de fonctionnement renforce sur une passerelle IP dont la disponibilitestprimordiale. IlestproprementparlerdlicatdeprterauprotocoleHSRPunefonctiondescuritausensstrict,toutefoissousla perspectivedelascuritdefonctionnement,leprotocoleHSRPassuredesfonctionsintressantesetembarqueun contrledescurit.LeprotocoleHSRPoffreainsi,avecauminimumdeuxrouteurs,despossibilitsderecouvrement. LeprincipedefonctionnementdeHSRPestsimplecomprendre.LesrouteursmembresdunmmegroupeHSRPsont connects sur un brin physique commun. Ils sont configurs de telle manire quun seul dentre eux rponde ladresse IP de passerelle par dfaut dclare sur les stations de travail. En cas dindisponibilit du routeur actif, le routeurpassifprendlerelais.Lorsquelancienrouteuractifredevientdisponible,ilpeutenfonctiondelaconfiguration reprendresaplacederouteuractifoudemeurerpassif.Lesdeuxrouteurssepartagentdonclagestionduneadresse IPvirtuelle(VIP)toutengardantleursadressespropres. Le protocole HSRP est capable de dclencher une bascule de ladresse virtuelle si lune des interfaces externes ne fonctionneplus.Ceciconcernelinterfacephysique(lineprotocoldown)etnonladisparitionduneroute.Enfin,signalons que le protocole HSRP offre une fonction dauthentification mutuelle grce lchangedemessageshachsenMD5. HSRPestdisponibleendeuxversions.Examinonsprsentuneconfigurationtype.

La station de travail possde une adresse de passerelle par dfaut pointant sur ladresse virtuelle gnre par les routeursR0etR1quiimplmententleprotocoleHSRP.CesdeuxrouteurssontconnectsaurouteurR2quipossde une interface de bouclage (dite de loopback). Le but est de conserver la connectivit de la station de travail vers linterfacedebouclage(loopback0)vialundesdeuxrouteursHSRP(R0ouR1)etce,demaniretransparente.Nous rappelons quune interface de bouclage est une interface purement virtuelle et qui ce titre est toujours prsente (tantquelerouteurestsoustension). 1 2 3 4 5 6 7 8 interface FastEthernet0/0 ip address 10.226.121.79 255.255.255.0 duplex auto speed auto standby 0 ip 10.226.121.80 standby 0 preempt standby 0 authentication md5 key-string 7 00071A150754 standby 0 track FastEthernet0/1 30

VoicilaconfigurationHSRPdurouteurR0.Nousobservonssurlaligne5ladressevirtuellequiseracogreavecR1 (10.226.121.80), le mot preempt sur la ligne 6 indique que R0 sil venait tomber en panne et revenir en service reprendrait alors la gestion de ladresse virtuelle. Squence dauthentification entre les deux partenaires HSRP qui viteunrouteurindsirabledentrerdanslegroupedegestiondecetteadressevirtuelle. 1 2 3 4 5 6 - interface FastEthernet0/0 - ip address 10.226.121.78 255.255.255.0 - duplex auto - speed auto - standby 0 ip 10.226.121.79 - standby 0 preempt

ENI Editions - All rigths reserved - Moha Anisa

- 1-

7 8 -

standby 0 priority 80 standby 0 authentication md5 key-string 7 00071A150754

La configuration de R1 montre sur la ligne 7 le mot priority 80 qui indique que le routeur R1 lors de la premire ngociationavecR0(quipossdeune priorityde100pardfaut)neprendrapaslecontrledeladressevirtuelle. Notonslasimilitudedessquencesdauthentificationenmd5. HSRPdisposeduneoptionparticulirementintressanteencasdepannenonpasdurouteurenluimmemaisdune desesinterfaces.ImaginonssurleschmaprcdentunecoupuredulienentreR0etR2.HSRPgrcelacommande track(voirlaconfigurationdeRO)vadcrmenterlavaleurdepriorit(priority)durouteurR0detellesortequelle soitinfrieurecelledurouteurR1quiprendraalorssoncomptelagestiondeladressevirtuelle.Dansnotrecas,la valeur priority du routeur R0 passera de 100 70 grce la dernire ligne de commande de notre configuration. ObservonslesractionsdesrouteurslorsdunebasculesuitelarrtdelinterfaceentreR0etR2. Fa0/0 Hello Fa0/0 Hello out 10.226.121.78 Standby pri 80 vIP 10.226.121.79 in 10.226.121.77 Active pri 70 vIP 10.226.121.79

Hello rcvd from lower pri Active router (70/10.226.121.77) Fa0/0 Nbr 10.226.121.77 no longer active for group 0 (Standby) Fa0/0 Nbr 10.226.121.77 Was active Fa0/0 Grp 0 Hello out 10.226.121.78 Active pri 80 vIP 10.226.121.79 SurcettecapturetronquepourplusdelisibilitnousobservonslavaleurprioritydurouteurR0quiestde70aprs coupuredesoninterfaceversR2.R1(.78)prenddoncgestiondeladressevirtuelle(.79)avecunepriorityde80. C:\Users\RZS>ping 192.168.2.1 -t Pinging 192.168.2.1 with 32 bytes of data: Reply Reply Reply Reply Reply Reply Reply Reply Reply Reply Reply Reply Reply Reply Reply from from from from from from from from from from from from from from from 192.168.2.1: bytes=32 time=6ms TTL=254 192.168.2.1: bytes=32 time=6ms TTL=254 192.168.2.1: bytes=32 time=6ms TTL=254 10.226.121.77: Destination host unreachable. 10.226.121.77: Destination host unreachable. 10.226.121.77: Destination host unreachable. 10.226.121.77: Destination host unreachable. 10.226.121.77: Destination host unreachable. 192.168.2.1: bytes=32 time=6ms TTL=254 192.168.2.1: bytes=32 time=6ms TTL=254 192.168.2.1: bytes=32 time=4ms TTL=254 192.168.2.1: bytes=32 time=5ms TTL=254 192.168.2.1: bytes=32 time=5ms TTL=254 192.168.2.1: bytes=32 time=5ms TTL=254 192.168.2.1: bytes=32 time=5ms TTL=254

LetestquiprcdeconsisteenvoyerdesPINGversladressedebouclagedeR2encoupantlelienentreR0etR2. LadresseIPvirtuellebasculeentranantlapertedecinqpaquets. IlesttoutfaitenvisageabledecrerdesgroupesHSRPmultiplesafinderpartirdesgroupementsdemachinessur plusieurspasserellesvirtuelles.

- 2-

ENI Editions - All rigths reserved - Moha Anisa

LesACL
Lobjectifatteindreestdedisposerdunefonctiondefiltrageprenantencomptelhistoriquedesconnexionsencours afindenepasaccepterdutraficquinauraitpastdemandpartirdunezoneprcisedurseau. Leslistesdecontrledaccs(enanglaisAccessControlListouACL)semblentavoirtoujoursexistsurlesrouteurs Cisco et rares sont les configurations o elles napparaissent pas. Les ACL servent principalement au filtrage des paquetssurlesinterfacesphysiquescependantleurmodededfinitionestemploypourcatgoriserlesrseauxen vue,entreautre,delesinjecterdansunprotocolederoutageoudelessoumettreunergledequalitdeservice. LestypesdACLproposssontlessuivants :
G

lesACLstandardsquifiltrentsurladressesource les ACL tendues qui filtrent sur ladresse source, ladresse destination ainsi que les ports sources et destination lesACLlockandKeysemettentenplaceaprsauthentificationdelutilisateur(entelnet) lesnamedACLsontdesACLtenduesquireoiventunnomaulieudunnumro lesACLreflexivesutilisentlesinformationsdesessionpourlaisserentrerlespaquetsderetourcorrespondant auxpaquetsenvoys lestimebasedACLsontactivessuruneplagedetempsdonne les ACL Contextbased access control utilisent les informations de session pour autoriser la demande et en fonctiondusensdinitialisationlepassagedutrafic.

LadfinitiondesACLdansuneconfigurationestlobjetdetrsnombreuxchapitresvoiredelivresentiersaussinous netraiteronspasicitouslescasdefiguremaisuneslectionconcernantlascurit.

1.ACLetpolitiquedescurit
Les ACL sont ncessaires pour limplmentation de nombreux points de la politique de scurit rseau. Rsumons dansuntableaulesexigenceslespluscourantesdanslesquelleslesACLsontsollicites. Communicationsverslesquipementsdurseau SeullesrseauxdadministrationpeuventseconnecterauxquipementssurlesportsHTTPS,SSLet SNMPchoisis. Communicationsdesquipementsverslerseau LesquipementsdurseaucommuniquentaveclesrseauxdadministrationsurlesportsSYSLOGet TFTP. Lesquipementsdurseauchangentlesroutesentreeuxauseindummegroupeadministratifavecle protocoleOSPF. LesquipementsdurseausurlesinterfacesWANacceptentuniquementlesprotocolesdelasuitede chiffrementIPSec. Communicationsentrerseaux InterdireautraficInternetnonsollicitdentrersurlerseau. FiltrerletraficentrelesVLAN. Filtrerletraficenentreetensortiesurlesfermesdeserveurs.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

AssurerlouverturedynamiquedesportspourlescommunicationsVoIP. Cecourttableauestajustableenfonctiondescontraintesimposesparlapolitiquedescurit.Ilestimpratifdy fairefigurerlarglededniimpliciterejetanttoutcequinapastdumentautorisensachanttoutefoisquecest unergleincontournablesurlesrouteursCiscobienquellenapparaissepas. LargledednilorsquelleestintgrelafinduneACLestassocieaveclemot"log"afindegarderune tracedutraficrejet.Cettepratiqueestrecommande.

2.LesACLtendues
UneACLsecomposededeuxparties.Lapremireopreuneslectionetlasecondeappliquecetteslectionun processus. PrenonslexempleduntraficfiltrersuruneinterfaceavecuneACLtendue:
G

Laslectionsopresurunquadrupletadressesourceadressedestinationportsourceportdestination. cequadrupletestjointlemotpermitoudenyquislectionneouneslectionnepasletraficdsign. DanslecasduneACLayantvocationfiltrerletraficslectionn,lemot permitautoriseletrafictransiter etlemotdenylebloque. UneACLpeutcontenirplusieurssquences.Letraficestcomparchacunedecessquencesdemanire descendante. Lorsquunecorrespondanceesttrouve,lacomparaisonsarrteetletraficestautoristraverserlinterface ourejet(attentionnepasinsrerunpermituniverselaumilieudelACL). Undenyimplicite(etinvisible)estajoutlafindechaqueACL.

LexempletypedufiltragedepaquetsIPsuruneinterfacephysiqueressemblececi : interdirelouverturedune sessiontelnetsurladresse192.168.2.1 . Dansunpremiertempsletraficestidentifiparlacrationdunergle,puiscettergleestappliqueuneinterface. ! interface FastEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip access-group No-Telnet-In in duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.2.1 255.255.255.0 duplex auto speed auto ! ip access-list extended No-Telnet-In deny tcp any host 192.168.2.1 eq telnet log Toutefois, sur cet extrait de configuration la configuration de linterface apparait avant. La rgle dcrite prcdemmentestappliqueici.NotonslafindelACLlemotlog. R2#sh ip access-lists Extended IP access list No-Telnet-In 10 deny tcp any host 192.168.2.1 eq telnet log (1 match) LogpermetdegarderunetracedespaquetsquiseronttraitsparlACLetenloccurrencerejetscommelemontre lersultatdelacommandeshow ip access-lists.

- 2-

ENI Editions - All rigths reserved - Moha Anisa

Les ACL Standard sont la forme la plus simple mise en uvre sur les routeurs et le contrle porte uniquementsurladressesourceoulerseausource.

R1(config)#access-list 10 permit 10.10.10.32 0.0.0.15 Ici, le rseau 10.10.10.32 est autoris, en fonction de lutilisation de lACL, passer une interface, tre injectdansunprotocoledynamiqueparexemple.Commenttrouverlechiffre15danslemasqueinversqui accompagne lACL ? Pour ceux qui ne connaissent pas lastuce, la voici : avant de programmer cette ACL, vous savez que les adresses autoriser sont du type 10.10.10.0 255.255.255.240. Combien vaut la diffrence entre 240et255 ?15 !Letourestjou.IlestfortementrecommanddeprparerlavancelesACLdansunditeurde textesimpledutilisationetdelescopiercollerdanslafentreduterminal.Noubliezpasdajouterunretourchariot aprs la dernire ligne pour la valider automatiquement. Cest galement une bonne ide de penser la sauvegardesousformedefichiertextedetoutesvosACL. LesACLtenduesoffrentlapossibilitdeclasserlesentresavecdesnumrosdesquence. R1#sh ip access-lists Extended IP access list Filtrage 10 permit tcp any host 192.168.1.1 20 permit tcp any host 192.168.2.2 30 permit tcp any host 192.168.2.2 40 permit tcp any host 192.168.2.3 50 permit tcp any host 192.168.2.3

eq eq eq eq eq

domain www 443 smtp pop3

CetextraitdeconfigurationmontreuneACLtenduepermettantlaccsdiversserveurspartirdenimportequel rseau source ( any). Tentons prsent de rorganiser notre ACL pour faire remonter la ligne concernant le trafic POP3. Les ACL tant lues de manire squentielle, il est primordial de positionner au plus haut les rgles les plus utilises.Ceciestvalablepourtouslesfirewallfonctionnantdelasorte. R1#conf t Enter configuration commands, one per line. End with CNTL/Z. R1(config)# ip access-list extended Filtrage R1(config-ext-nacl)#no 50 permit tcp any host 192.168.2.3 eq pop3 R1(config-ext-nacl)#15 permit tcp any host 192.168.2.3 eq pop3 R1(config-ext-nacl)#^Z R1#sh ip access-lists Extended IP access list Filtrage 10 permit tcp any host 192.168.1.1 eq domain 15 permit tcp any host 192.168.2.3 eq pop3 20 permit tcp any host 192.168.2.2 eq www 30 permit tcp any host 192.168.2.2 eq 443 40 permit tcp any host 192.168.2.3 eq smtp NousrorganisonslACLenannulantdansunpremiertempslasquence50etenlarepositionnantsouslenumro 15.Ellepasseainsiensecondeposition. Sidaventureunincrmentde5taitsouhaitpartirdupremiernumrodesquence(enloccurrence10),ilnous faudraitutiliserlacommanderesequencecommesuit. R1(config)#ip access-list resequence Filtrage 10 5 R1(config)#^Z R1#sh ip access-lists Extended IP access list Filtrage 10 permit tcp any host 192.168.1.1 eq domain 15 permit tcp any host 192.168.2.3 eq pop3 20 permit tcp any host 192.168.2.2 eq www 25 permit tcp any host 192.168.2.2 eq 443 30 permit tcp any host 192.168.2.3 eq smtp IlesttrsfaciledintroduireuneerreurdansuneACL.Lapiredetouteestdese couperlapatte cestdirede mettre fin sa propre session ce qui est fcheux sur un accs distant lorsque lon ne dispose pas dun chemin alternatif.Lacommandereloadoffrelapossibilitdeprogrammerleredmarragedunrouteur.Lafaondeprocder estlasuivante :
G

Lancementdelacommandereloadassortieduncertaindlaipourlancerleredmarrage.

ENI Editions - All rigths reserved - Moha Anisa

- 3-

Letravaileffectuer. Sitoutestcorrect :annulationdelacommandereload (reload cancel)etsauvegardedelaconfiguration. Encasdecoupureintempestive,lerouteurredmarrerasursaconfigurationprcdente.

R1#reload in ? Delay before reload (mmm or hhh:mm) R1#reload in 15 System configuration has been modified. Save? [yes/no]: yes Building configuration... [OK] Reload scheduled in 15 minutes by vty0 (10.226.121.161) Reload reason: Reload Command Proceed with reload? [confirm] R1# R1# !------commandes passer au routeur------! R1# !------commandes passer au routeur------! R1# !------commandes passer au routeur------! R1#reload cancel R1#

*** *** --- SHUTDOWN ABORTED --*** R1#

3.LesACLbasessurlecontexte(ACLCBAC)
LesACL CBACoffrentlapossibilitdedistinguerdansunflotdepaquetsceuxquiappartiennentunesessionen coursdeceuxquiviennentseheurterauxparoisdurouteuretnappartiennentpasunesessionvalide.Lerouteur estalorstransformenunvritablefirewallconservationdtat(enanglais :stateful).Ilnestainsiplusncessaire de configurer une ACL ddie au trafic retour. De plus, il devient possible de laisser le routeur prendre linitiative douvrir des ports la vole en fonction de la ngociation protocolaire de certaines applications multimdias. Le dploiementdetellesACLaidecombattrelesattaquesdednideserviceparsaturationdelapileTCP/IP.LesACL CBAContaussilacapacitdinspecterlescommandespassesdanslesprotocolesfiltrslarecherchedattaques parmilesplusconnues.LesACLCBACncessitentlaversionfirewalldelIOS. Rsumonsenlespossibilits :
G

Ouverturedynamiquederglesautorisantleretourduntraficayantdbutdansunezonedeconfiance. Inspectionprotocolaire. SurveillancedesnumrosdesquenceTCP Paramtragedelexpirationdessessions. Dispositifdalerte. Blocagedestraficssuspects. BlocagedappletsJava. FiltragedURL

- 4-

ENI Editions - All rigths reserved - Moha Anisa

Les ACL CBAC sont particulirement indiques pour amliorer la scurit des architectures voix sur IP. Cisco a dveloppsonpropreprotocolevoixquiportelenomde skinnyouSCCP.LestlphonesIPsontdpendantsdun serveur central (le Call Manager) auquel ils sont connects et avec qui ils changent des messages de maintien (keepalive).LorsdeltablissementdunecommunicationavecunautreposteIP,leCallManagerdsignelappareil appelantladresseIPdesoncorrespondantainsiquunport.Sionconsidreplusieurscommunicationsrpartiessur unrseautendu,ilfaudraitprocderlouverturedautantdeportssurlesquipementsdescuritquesontles firewall.IciinterviennentlesACLCBACquiouvrent(etferment)lademandelesportsncessairesltablissement des communications. Notons que les ACL CBAC ajoutent la fonction que nous venons de dcrire la technologie dinspectionapplicativequenousretrouvonsdanslesfonctionsdedtectiondintrusiondelIOSfirewall.Danslecas delavoixsurIP,lesenttesduprotocoleSCCPsontinspectslarechercheduneincohrencepouvantmasquer uneattaque. Examinons prsent une implmentation unidirectionnelle des ACL CBAC. Cet exemple est simplifi afin de ne pas nuirelexplication.SacheztoutefoisquuneseuleACLCBACpeutexaminerplusieursprotocolesetquelesACLCBAC sontpositionnablesdanstouteslesdirections.

NousobservonssurceschmaunPCconnectunrouteurluimmereliunserveur.Lobjectifatteindreiciest douvrirdynamiquementlACLBlocagepositionnesurlinterfaceextrieure(f0/0)afindelaisserentrerletraficretour issudesrequteslancesparlePCversleserveur.Toutautretraficentrantserabloqu. ip ip ip ip ip inspect inspect inspect inspect inspect max-incomplete low 50 max-incomplete high 100 one-minute low 50 one-minute high 100 name WEBINSPECT http alert on audit-trail on

Nousappliquonstoutdabordquelquescommandesafindenousprmunircontrelesattaquespardnideservicequi consistent ouvrir des connexions TCP moiti et les laisser dans cet tat. Les commandes ip inspect maxincomplete high 100 et ip inspect max-incomplete low 50 sont complmentaires. Il sagit ici de demander au routeurdliminerlesconnexions(moitisouvertes)lorsqueleurnombredpassecentetdarrterdelessupprimer lorsquil nen reste que 50. Les deux commandes suivantes ip inspect one-minute lowet ip inspect one-minute highsontsimilairesmaissebasentsurlenombredeconnexions(moitiouvertes)parminute. Puisvientlacommande ip inspect name WEBINSPECT httpquiintroduitlalistedesprotocolesinspecter.Ici,nous inspectons le protocole http et nous activons les alertes et le suivi des vnements. Ces informations seront desseindirigesversunserveurdetypesyslog. Interface FastEthernet0/0 description EXTERNE ip address 192.168.0.40 255.255.255.0 ip access-group blocage in ! interface FastEthernet1/0 description INTERNE ip address 192.168.2.1 255.255.255.0 ip access-group WebOK in ip inspect WEBINSPECT in !
ENI Editions - All rigths reserved - Moha Anisa - 5-

ip access-list extended Blocage deny ip any any ip access-list extended WebOK permit tcp any any eq www ! Sur linterface externe du routeur nous trouvons une ACL nomme Blocage et applique au trafic entrant comme lindique le mot in. Cette ACL dans le cas prsent interdit tout trafic entrant sur linterfaceexterne.Cest sur cette ACLquelespaquetsderetourserontpourtantbeletbienautorisspntrerverslintrieurdurseaucondition quils aient satisfait les exigences de linspection.Cesouverturessontdynamiquesetcommandesparlinspection directementsurlACL. Sur linterface interne nous trouvons une ACL (applique au trafic entrant) qui autorise nimporte quelle station communiquer vers nimporte quel serveur en http et la commande ip inspect WEBINSPECT in qui dclenche le processusdinspection.IlestimportantdenoterquecettedernireACLestindispensableaubonfonctionnementde CBAC.IlestobligatoiredautoriserletraficparlebiaisduneACLafinquilsoitprisencompteparlinspection. FW#sh ip inspect all Session audit trail is disabled Session alert is enabled one-minute (sampling period) thresholds are [50 : 100] connections max-incomplete sessions thresholds are [50 : 100] max-incomplete tcp connections per host is unlimited. Block-time 0 minute. tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec tcp idle-time is 3600 sec -- udp idle-time is 30 sec dns-timeout is 5 sec Inspection Rule Configuration Inspection name WEBINSPECT http alert is on audit-trail is on timeout 3600 Interface Configuration Interface FastEthernet1/0 Inbound inspection rule is WEBINSPECT http alert is on audit-trail is on timeout 3600 Outgoing inspection rule is not set Inbound access list is WebOK Established Sessions Session 64AAAF84 (192.168.2.2:55046)=>(192.168.0.38:80) http SIS_OPEN Nousproposonsicipourmmoirelersultatdelacommandeshow ip inspect allquiretourneunrsumdelamise en uvredelatechniqueCBAC.Notonsquunesessionestencoursentrelamachinedurseauinterneetleserveur httpsitulextrieur.Lasessionestidentifieparunnumrodordreetmentionnelequadrupletlabasedetoute communicationTCP/IP. FW#sh ip inspect stat Packet inspection statistics [process switch:fast switch] tcp packets: [3:15781] http packets: [0:9937] Interfaces configured for inspection 1 Session creations since subsystem startup or last reset 3 Current session counts (estab/half-open/terminating) [1:0:0] Maxever session counts (estab/half-open/terminating) [1:1:1] Last session created 00:05:17 Last statistic reset never Last session creation rate 0 Maxever session creation rate 1 Last half-open session total 0 Ici,nousobservonslesstatistiquesdelinspection. Les lignes Current session counts et Maxever session counts indiquent respectivement le nombre de sessions (tablies,semiouvertesetseterminant)pourlinstantconsidr(current)etlemaximumcomptdepuislamiseen servicedelACL. IP: tableid=0, s=192.168.2.2 (FastEthernet1/0), d=192.168.0.38 (FastEthernet0/0), routed via FIB

- 6-

ENI Editions - All rigths reserved - Moha Anisa

*Mar 1 02:34:57.907: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator (192.168.2.2:36663) -- responder (192.168.0.38:80) *Mar 1 02:34:57.915: IP: s=192.168.2.2 (FastEthernet1/0), d=192.168.0.38 (FastEthernet0/0), g=192.168.0.38, len 60, forward *Mar 1 02:34:57.919: ack=0, win=5840 SYN TCP src=36663, dst=80, seq=4135566562,

*Mar 1 02:35:03.155: %FW-6-SESS_AUDIT_TRAIL: Stop http session: initiator (192.168.2.2:36663) sent 432 bytes -- responder (192.168.0.38:80) sent 257 bytes *Mar 1 02:35:09.475: IP: s=192.168.94.1 (FastEthernet1/0), d=239.255.255.250, len 312, access denied Surcettecapturedelacommandedebug ip packet detailetdelaconsole,nousobservonsderrirelesigne%FW6 linterceptiondutraficparlACLCBACettoujourslequadruplet. FW#sh ip access-lists Extended IP access list Blocage 10 deny ip any any (504 matches) Extended IP access list WebOK 10 permit tcp any any eq www (15258 matches) LescompteursdesACLnousmontrentquedutraficentrantatbloqu(enentre)surlinterfaceexterne. IP: tableid=0, s=192.168.0.38 (FastEthernet0/0), d=192.168.2.2 (FastEthernet1/0), routed via FIB IP: s=192.168.0.38 (FastEthernet0/0), d=192.168.2.2 (FastEthernet1/0), len 40, access denied TCP src=80, dst=55046, seq=1764435692, ack=1006152707, win=512 ACK IP: tableid=0, s=192.168.0.40 (local), d=192.168.0.38 (FastEthernet0/0), routed via FIB IP: s=192.168.0.40 (local), d=192.168.0.38 (FastEthernet0/0), len 56, sending ICMP type=3, code=13 Cetextraitmontrelerouteurrecevantunpaquetforgaveclutilitaire HPING2quitentedesintroduireautraversde lACL CBAC en se prsentant comme un trafic retour. cet effet nous avons retourn les adresses source et destination ainsi que les ports source et destination et nous avons ajout le drapeau ACK. Le routeur refuse le paquetetenvoieverslamachinetentantdusurperlaconnexionunmessageICMPtype3(destinationinjoignable) code13(communicationinterditeadministrativement). Pour conclure cette partie de chapitre sur les ACL, voici une indication sur leur emplacement idal. Les ACL sont idalement positionnes au plus prs des lments protger nous y reviendrons au cours du chapitre sur larchitecturegnriquedelascuritdesrseaux.Prenonstroisexemples :
G

La protection dun rseau par rapport Internet seffectue logiquement lentre du rseau et plus particulirementsurlerouteurdaccs. LaprotectiondunefermedeserveurseffectuelentreduVLANquihbergelesressources. Le filtrage sur un VLAN utilisateurs est effectu afin de dterminer si les adresses sources qui tentent de sortirdu VLANsontdanslesplagesdadressagesconvenues.Cefiltrageestmisenplaceensortiedu VLAN avantlaconnexionaurestedurseau.

ENI Editions - All rigths reserved - Moha Anisa

- 7-

IPSec
Lobjectifestdassurerlaconfidentialitetlauthenticitdesdonnesentransitsurunrseaunonscuris. Onabeaucoupcritsurlacryptographieetelleesttoujourslobjetdenombreuxfantasmes.Lacryptographieintrigue toujours. Estelle lapanage des services secrets ? Que protgetelle vraiment ? Qui en est le matre absolu ? La cryptographieprotgevossecretsetvousenteslematreabsolu.Niplus,nimoins.Lartdedissimuleruneinformation remonteauxsourcesdelhumanit.Depuislestempslesplusanciens,lescivilisationsenguerreonttoujourssouhait protgerlessecretsmilitairestactiques.Simplespermutationsdelettresouenroulementsdelaniresdecuirsurdes cylindres de bois au diamtre secret, la cryptographie a lentement volu pour bnficier depuis le 19e sicle des recherches les plus pousses en mathmatiques. Rendons ici un modeste hommage Pierre de Fermat dont le thorme dit du petit Fermat servit de base de travail aux trois mathmaticiens amricains Rivest, Shamir et Adleman(RSA)quidcouvrirentlundessystmesdechiffrementquifigureparmilesplusutilissdanslemonde.Nous nallons pas ici entrer dans les dtails tortueux mais combien passionnants du calcul modulaire mais dbuter cette approchedelacryptographiesurlesquipementsCiscoparquelquesrglesdor :
G

Laforcedunsystmedechiffrementreposeavanttoutsurlaforcedelaclpluttquesurlatechnologiesous jacente (bien quelle ait son importance). titre dexemple le systme dit du chiffre de Vernam ncessite une feuilledepapier,unboncrayonet...unromandevotrechoix.Cechiffremanuelestreconnuparlesplusgrands spcialistescommelesystmeleplussrcarlacldechiffrementestaussilonguequeletextechiffrer.Les amateurs de cinma se remmoreront sans peine une scne du film "larme des ombres" montrant Lino Venturaentraindechiffrerunmessagelaidedunlivredontsoncorrespondantpossdelammedition. Lesfondementsscuritdunsystmedechiffrementreposentsurlaprotectiondontbnficientlescls.Cette remarque parait incongrue de prime abord mais, certaines socits nhsitent pas pour des raisons de commoditconfierleursclsdestiers.Quelcrditapportercegenredepratiques?

Ilexistedeuxtechniquesdemploiduchiffrementquisontlechiffrementenligneetlechiffrementhorsligne :
G

Lechiffrementenlignechiffrelesinformationslorsdeleurtransmission.IPSecentredanscettecatgorie. Lechiffrementhorslignencessiteunchiffrementdelinformationavantdelatransmettrecarlquipementde transmissionnepossdeaucunefonctioncryptographique.LechiffredeVernamdanssaversionmanuelleentre danscettecatgorie.

Ilexistedeuxtypesdeclspourlechiffrement :
G

Lesclssymtriques.Lammeclestutiliseparlescorrespondantspourlechiffrementetledchiffrement.Ce typedeclestutilisparIPSec. Lesclsasymtriques.Chaquecorrespondantpossdeuncoupledecls,lunesertauchiffrement,lautreau dchiffrement.Nousnetraiteronspascettetechnique.Sacheztoutefoisquelleestemployepourlasignature lectronique.

IPSecestunensembledeprotocolesquipermetunchiffrementenlignedelinformation,leprotocoleestdirectement implmentsurlesrouteurs,lesclssontdetypesymtrique.IPSecestcompos :
G

DuprotocoleIKE(InternetKeyExchange)quisert :
G

Authentifierlesdeuxpartenaires. Ngocierlesparamtresdechiffrement Protgerlasuitedeschangesdontlchangedesclsdesession.

Dedeuxmodes(auchoix)quipermettentsoitdetransmettrelespaquetsenconservantlesadressessources et destinations dorigine soit de gnrer des paquets ayant comme adresses source et destination les interfacesexternesdesrouteurs. De deux modes (au choix) permettant soit lauthentification seule des paquets, soit le chiffrement et lauthentificationdespaquets.

Examinonscestroistapesdanslecadredunchiffremententredeuxrouteurs.
ENI Editions - All rigths reserved - Moha Anisa - 1-

Lamiseen uvredeIKEsedrouleendeuxphases :
G

Lapremirephasepermetauxrouteursdesauthentifiermutuellementetdemonteruncanalscurisafinde procder la seconde phase. Lauthentification mutuelle seffectue par le biais dune paires de cls pr partages ( Pre Shared Key) ou sur prsentation de certificats. Un change de messages permet grce au protocole DiffieHellman de calculer un secret commun qui permet son tour de calculer les futures cls de session. La seconde phase est entirement protge et scelle vritablement lassociation entre les deux partenaires IPSec.Lesclsdesessionssontcalculesetlesparamtresderengociationfixs.

lissue de cette ngociation le tunnel proprement dit est tabli conformment aux choix fixs dans la configuration. Ceschoixpermettentcommenouslavonsdcritbrivementplushaut :
G

Encequiconcernelemodedetransmission :
G

Deconserverlesadressessourcesetdestinationdorigine.Cestlemodetransport. De chiffrer les adresses dorigine (cestdire tout le paquet original) et de doter le nouveau paquet ainsi obtenu de nouvelles adresses qui correspondent aux adresses des interfaces externes des routeurs.Cestlemodetunnel.

Encequiconcernelaprotectiondespaquets :
G

Dauthentifier le paquet et de garantir son intgrit sans le chiffrer. Cest le mode AH (Authentication Header). De chiffrer, dauthentifier et de garantir lintgrit des paquets. Cest le mode ESP (EncryptionSecurity Payload).

Ilestprsenttempsdexamineruneconfiguration.

Voici comme de coutume une configuration trs simple. Nous nabordons pas la traduction dadresse qui serait ncessaire si le rseau central tait public. Cette configuration utilise une paire de cls prpartage pour la phase dauthentification mutuelle des routeurs. tudions les tapes de configuration du routeur R1. Ici les communications sontchiffresentrelesdeuxinterfacesdesrouteursR1etR2quisefontface. R1(config)#ip access-list extended CHIFFRER R1(config-ext-nacl)#10 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Avant toute chose, une ACL est dfinie afin didentifier le trafic chiffrer, nous avons voqu cet aspect des ACL qui nontpaspourvocationuniquelefiltragedespaquetsdesfinsdeblocage. R1(config)#key config-key password-encrypt securitemaximale123 R1(config)#password encryption aes CettecommandepermetdechiffrerenAESlesclsprpartagesdanslaconfigurationdurouteur. R1(config)#crypto isakmp policy 10 R1(config-isakmp)#encr aes R1(config-isakmp)#authentication pre-share R1(config-isakmp)#group 5 Nousobservonsicilaconfigurationdesphasesduprotocole IKEquiestappelISAKMP.Lerouteurestconfiguravec une stratgie ( policy) unique pour des raisons de clart. Sachez quil est envisageable de configurer plusieurs stratgies policy ainsi que des profils. Les phases dauthentification mutuelle des routeurs sont protges avec le

- 2-

ENI Editions - All rigths reserved - Moha Anisa

protocole AES et le protocole de DiffieHellman au niveau 5 (group 5), les deux routeurs utilisent une mme cl pr partage.Commenouslavonssoulignprcdemment,ilestindispensabledeprotgerleschangesdauthentification mutuelsafindeseprmunircontretoutetentativedintrusionlorsdecettephase. R1(config)#crypto isakmp key 0 cisco address 192.168.3.2 Voici la cl prpartage commune aux deux routeurs. Sur le routeur R1, nous configurons la cl qui correspond au partenaireIPSec.CestpourquoifiguresurcettelignedecommandeladresseIPdurouteurR2.Laclestenclairdans cettelignedecommande.Uneclprpartageestacceptejusqu128caractres.Ici,laclestlemotCISCO.Notons au passage quil est recommand de ne jamais utiliser une cl aussi triviale. Rfrezvous en la matire aux recommandationsdescuritdesmotsdepasse(utilisationdecaractresspciaux,dechiffres,demajuscules).Sinous passonsenrevuelaconfigurationnoustrouvonslaclsouscetteforme : crypto isakmp key 6 A_gL\QY[FDAXg_DOFi[AKY^P\SSAAB address 192.168.3.2 LaclesticichiffreavecleprotocoleAES.Nousremarquonslechiffre6entrelemot keyetlaclaulieuduchiffre0. Celaconfirmelechiffrementdelacl. R1(config)#crypto ipsec security-association lifetime kilobytes 3000 R1(config)#crypto ipsec security-association idle-time 900 Les deux commandes security-association lifetime et idle-timelimitentdansletempsetenvolumelavaliditde lassociation des deux routeurs. Audel de la limite de 3 mgaoctets ou de 900 secondes sans change, les cls de chiffrementsontrengocies. R1(config)#crypto ipsec transform-set CHIFFRE esp-aes 256 esp-shahmac Nous choisissons de chiffrer les paquets avec le protocole aes-256 et den protger lintgrit avec le protocole de hachagesha,pardfautlemodetunnelestemploycelasignifiequelespaquetsdorigine(etnotammentlesadresses IP)serontchiffrsmasquantainsileurorigineetleurdestinationsurlesrseauxlocaux. R1(config)#crypto map LAN-LAN_VPAN 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured. VoicilacommandequinommelafonctionIPSecetquilarattachelastratgiepolicycreaudbut.Lerouteurnous informequecettecommandenestdaucuneutilittantquunpartenaireIPSecneserapasdclarettantquuneACL dterminantletraficchiffrernaurapastcre.Poursuivonsaveclessouscommandesdecrypto map. R1(config-crypto-map)#set peer 192.168.3.2 R1(config-crypto-map)#set transform-set CHIFFRE R1(config-crypto-map)#set pfs group5 R1(config-crypto-map)#match address CHIFFRER Dtaillonscettesquencedecommandes. Tout dabord le partenaire IPSec est dclar. Il sagit de ladresse externe du routeur R2. Puis, nous appelons les fonctions de chiffrement dfinies auparavant avec la commande crypto ipsec transform-set. La commande suivante estimportante,ellepermetdescuriserlesmessageschiffrsaveclesclsantrieuresuneclcompromisegrce une rengociation par le protocole de DiffieHellman (avec un modulo lev). En clair, si une cl venait tre compromise,unattaquantauraitdumaldchiffrerlesmessagesmisaveclesclsprcdentes,carcesderniresne seraientplusliesentreelles.Enfin,lACLnommeCHIFFRERestappele.Cettedernire,dfinitletraficchiffrersurle lien. R1(config)#int f1/0 R1(config-if)#crypto map LAN-LAN_VPAN Comme de coutume avec les routeurs Cisco, tout le travail que nous venons deffectuer sapplique sur une interface physiqueoulogique.Enloccurrence,linterfaceextrieuredurouteurR1(FastEthernet1/0). Uneconfigurationdignedecenomsachvetoujoursparquelquescommandesshowafindelavalider. R1#sh crypto engine connections active ID Interface 001 FastEthernet1/0 2002 FastEthernet1/0 IP-Address 192.168.3.1 192.168.3.1 State Algorithm set AES256+SHA set AES256+SHA Encrypt 0 7 Decrypt 7 0

ENI Editions - All rigths reserved - Moha Anisa

- 3-

Les deux dernires lignes nous montrent que 7 paquets ont t chiffrs et dchiffrs par le routeur. Notons que le routeurdiffrencielesdirectionsdanslesquellesseffectuentlesoprations(ID2001et2002).Ilenestmmepourles associationsdescuritlorsquedeuxrouteurssontpartenaires,ellessontaussiaunombrededeux. R1#sh crypto ipsec sa interface: FastEthernet1/0 Crypto map tag: LAN-LAN_VPAN, local addr 192.168.3.1 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0) current_peer 192.168.3.2 port 500 PERMIT, flags={origin_is_acl,ipsec_sa_request_sent} #pkts encaps: 7, #pkts encrypt: 7, #pkts digest: 7 #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. Failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 3, #recv errors 0 local endpt.: 192.168.3.1, remote crypto endpt.: 192.168.3.2 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet1/0 current outbound spi: 0xF8CD0F54(4174188372) inbound esp sas: spi: 0x81CD9180(2177732992) transform: esp-256-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2001, flow_id: SW:1, crypto map: LAN-LAN_VPAN sa timing: remaining key lifetime (k/sec): (2861/3587) IV size: 16 bytes replay detection support: Y Status: ACTIVE outbound esp sas: spi: 0xF8CD0F54(4174188372) transform: esp-256-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2002, flow_id: SW:2, crypto map: LAN-LAN_VPAN sa timing: remaining key lifetime (k/sec): (2861/3579) IV size: 16 bytes replay detection support: Y Status: ACTIVE Leretourdecettecommandeattronqupourplusdevisibilit.Nousydistinguonsclairementdesdeuxassociations descurit.Nousobservonsgalementtroiserreurs.Ellescorrespondentauxpremierspaquetsquisontperduslorsde langociationprotocolaireentrelespartenairesIPSec. Nous passons volontairement sous silence le retour des commandes debug qui sont dune trs grande utilit maisextrmementverbeusespourtrereproduitesici,nousvouslaissonslesoindelesdcouvriretdobserver ltablissementdIPSec. Ces commandes sont : debug crypto ipsec, debug crypto isakmpet debug crypto engine. Pourmmoire,lacommande(ultracourte)mettantfintouslesdebugetpermettantderetrouveruncalmerelatifsur laconsoleest :u all(ellersumelacommandeundebug all).

Il existe deux mthodes dauthentification mutuelle pour IPSec qui sont les cls prpartages (que nous venons de dcrire) et les certificats. Ces derniers offrent plus de souplesse une fois en place et librent ladministrateur des risques inhrents la gestion des cls sous forme de squence de caractres. Toutefois, la miseenplaceetledploiementduneinfrastructuredecertificats(ditePKI)estcomplexeetnesejustifieenterme depraticitpourlaconfigurationquaudeldunnombrelevderouteurs.Icicestlapolitiquedescuritetses directives en la matire qui prvaudront. Sachez que le niveau de scurit dune cl prpartage est tout fait acceptable condition de respecter quelques rgles de base qui sont une production partir dun gnrateur alatoiresretunegestionrigoureusedesclsdelagnrationladestructionenpassantparladistribution. titredexemple,cettecommandeduprogrammeopensslgnreuneclalatoirede128caractresquiestlataille maximaleduneclprpartage :opensslrandbase64 128.
- 4 ENI Editions - All rigths reserved - Moha Anisa

LesACLdelaconfigurationIPSecserventdfinirletraficquiestchiffrersurlelien.Untraficnondfinipar lACLpasserasurlelienenclair.Ilestcommundepenserquilserarefussurlinterface.Ilnenestrien !

ENI Editions - All rigths reserved - Moha Anisa

- 5-

TCPintercept
LobjectifestdeseprotgercontrelesattaquesparinondationdepaquetsSYNautrementappelesynflooding. Les connexions TCP/IP font appel un mcanisme bien connu pour ltablissement des communications. Souvent nomme threewayhandshake,cettesquencesielleestmalexcutepeutmobiliserrapidementlesressourcesdun serveurparlallocationdeplusenplusdemmoireauxconnexionsentrantesjugeslgitimes.Uneattaqueconsiste monopoliser les ressources du serveur en lanant vers celuici une multitude de paquets douverture de connexions sanstoutefoisallerjusqulaconclusionduthreewayhandshake.Cetteattaquepardnideserviceestredoutable. Les routeurs mettent en uvre une protection contre cette attaque. Positionn entre un serveur et ses clients potentiels,lerouteurvalidelesdemandesdeconnexionsavantdeleretransmettreauserveur.Sitelnestpaslecas, la tentative de connexion est annule. La dure de la tentative dtablissement de la connexion est troitement surveille et des rglages sont disponibles afin de la limiter. La mise en place du dispositif est effective aprs applicationduneACLquidterminelequadrupletsurveiller.

Lerouteurreoitdansunpremiertempslademandedeconnexionduclientetconclutavecluilethreewayhandshake. Ilprocdelammeoprationvisvisduserveuretseretirelaissantlesdeuxpartenairescontinuerleurchange.Si un client ne rpond pas dans le temps imparti ou sil persiste envoyer en nombre des paquets de type SYN sans rpondre aux sollicitations du routeur, la fonction tcp intercept intervient en liminant les communications moiti ouvertesaufuretmesure. Dtaillonslamiseen uvredecettefonctionnalitenexaminantlaconfiguration. R1(config)# ip access-list extended TCP_INTER R1(config-ext-nacl)#10 permit tcp any host 192.168.1.3 eq www LafonctionnalittcpinterceptncessitetoutdaborduneACLafindedterminerletraficsurveiller.Prsentement,le traficdsignestceluidestinationduserveur192.168.1.3surleporttcpwww(80). R1(config)# R1(config)# R1(config)# R1(config)# ip ip ip ip tcp tcp tcp tcp intercept intercept intercept intercept mode intercept list TCP_INTER one-minute low 50 one-minute high 100

Cesquatrecommandesprisesdanslordrelancentlafonction tcpintercept,donnentlarfrencedelACLpuisfixent 100 connexions incompltes par minute le seuil haut partir duquel il faudra commencer purger pour ne pas justementdpasserceseuil.Silenombredeconnexionsincompltespasseendessousde50connexions,tcpintercept leslaisseexpirer.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

R1#sh tcp intercept connections Incomplete: Client Server Timeout Mode Established: Client Timeout Mode 192.168.2.3:44435 23:59:55 I

State

Create

Server 192.168.1.3:80

State ESTAB

Create 00:00:05

Uneconnexioncomplteesttablieentreleclientetleserveur,ici,nousnobservonsaucuneconnexionincomplte. partir du client, nous allons avec lutilitaire hping2lancerversleserveurdesdemandesdeconnexions.Ilsagitde paquetsavecledrapeauSYN.Lacommandeest :hping2 192.168.1.3 -p 80 -S. R1#sh tcp intercept connections Incomplete: Client Server Timeout Mode 192.168.2.3:2448 192.168.1.3:80 00:00:00 I 192.168.2.3:2449 192.168.1.3:80 00:00:01 I 192.168.2.3:2450 192.168.1.3:80 00:00:02 I 192.168.2.3:2451 192.168.1.3:80 00:00:03 I 192.168.2.3:2452 192.168.1.3:80 00:00:04 I 192.168.2.3:2453 192.168.1.3:80 00:00:05 I Established: Client Timeout Mode 192.168.2.3:41775 23:59:57 I

State SYNRCVD SYNRCVD SYNRCVD SYNRCVD SYNRCVD SYNRCVD

Create 00:00:14 00:00:13 00:00:12 00:00:11 00:00:10 00:00:09

Server 192.168.1.3:80

State ESTAB

Create 00:00:17

Voiciunextraitdesconnexionscompltesetincompltesvisiblessurlerouteur.NotonsqueltatmentionneSYNRCVD quisignifieSYNreu. R1#sh tcp intercept stat Intercepting new connections using access-list TCP_INTER 99 incomplete, 1 established connections (total 100) 399 connection requests per minute La commande show cidessus indique le nombre de connexions bloques et incompltes (99), montre une connexion tablieetletauxde399connexionsparminutes. Peudetempsaprs,lemessagesuivantapparatsurlaconsole : %TCP-6-INTERCEPT: getting aggressive, count (100/100) 1 Cemessageissude tcpinterpectnousinformequeleseuilhautestatteint.Sinousstopponslenvoidepaquetsavec hpihgzlemessagesuivantsaffiche : %TCP-6-INTERCEPT: calming down, count (0/50) 1 min 3n Ici,lerouteurindiqueunretourunesituationnormaletellequelleatdfiniedanslaconfigurationcestdire50 connexionsparminute. Ilestimportantdeprteruneattentiontouteparticulirequantladfinitiondesvaleursdeparamtrage.Eneffet, un rglage trop bas conduirait sans aucun doute le routeur carter du trafic lgitime. Une technique consiste observer le trafic lors dune activit normale du rseau et tout particulirement le nombre maximum de connexions ouvertesetmoitisouvertes.partirdecesvaleurs,ilestrecommanddappliquerunpetitc fficient de scurit pournepasbloquerlerseaulorsdunpicdetraficlgitime.

- 2-

ENI Editions - All rigths reserved - Moha Anisa

Lesprotocolesderoutage
Lobjectif est de protger les changes protocolaires des protocoles de routage afin que le trafic soit correctement acheminsurlerseau,enentreetensortiedeceluici. Quelonconsidreunrseauditlocal,mtropolitainoulInternettoutentier,aucunecommunicationnesauraitavoirlieu sans laide des protocoles de routage. Ils forment avec les services DNS les fondations de nos rseaux actuels. Ces fondations toutefois ne manquent pas de susciter la convoitise des personnes les plus malveillantes. Parmi les protocolesderoutagequinousintressentplusparticulirementfigurentBGP(BorderGatewayProtocol)etOSPF(Open ShortestPathFirst)carcesontlespluspopulaires.Cesdeuxprotocolessontdisponiblessurlaplupartdesquipements deroutagequelquesoitleconstructeur.SiOSPFestmajoritairementdploysurlesrseauxprivs,BGPestpoursa partleprotocolederoutagedInternet.

Voici l uvre les deux protocoles de routage. Les deux systmes autonomes (AS 1001 et AS 1002) sont deux entits indpendantes lune de lautre et possdant chacune son propre protocole de routage. Les deux AS utilisent pour la gestion de leurs routes le protocole OSPF indpendamment lune de lautre. Si une connexion est envisage entre les deux AS, il faut mettre en place un protocole de routage diffrent dOSPF afin de garantir chaque AS une indpendancetotalepourlagestiondesesroutestoutencommuniquantcertainesdentresellesavecsonpartenaire. Cest ici quintervient le protocole BGP dans son rle de transporteur de routes entre systmes autonomes. Cette explicationconstitueuneapproche(rapideetschmatiqueilestvrai)durseauInternet.Cettevuenousmontreaussi limportancedesprotocolesderoutage.Ilestaisdeconstaterquunepannesurlunoulautredesprotocoles(etce malgr les redondances non reprsentes ici) entrainerait des perturbations dans lacheminement du trafic. De ces perturbationspotentiellesvontdcoulernosexigencesdescurit :
G

Rsisterauxtentativesdednideservicesurleprotocole. Rsisterauxtentativesdedtournementdinformationderoutage.

Cesdeuxexigencesgnralessontdclinesenmesuresdeprotectionquinesontpastouteshlasproposesparle protocoleluimme.Enfait,lesdeuxprotocolesderoutagequenousvenonsdvoquernembarquentpourleurscurit quuncontrlebassurunmotdepasseet(ou)lafonctiondehachageMD5.Celapeutparatrebienminceauregard desmenacesquiplanentsurlesrseauxinformatiquesmais,dansledomainedesprotocolesderoutage,lescoupures de service les plus svres ont eu lieu suite des erreurs de configuration ce qui na pas orient sembletil la communautversuneapprochescuritaire. Les tentatives de dni de service sur le protocole visent perturber ce dernier sur ses fonctions dans le but de le perturber,deleralentiroudelarrtertotalement.Lesprotocolesderoutageprocdentlchangedemessagespour associer entre eux les routeurs dun mme domaine et bien entendu changer des informations sur les routes disponibles.titredexemple,leprotocoleOSPFsilreoitdesmessagesforgsetcontenantdesinformationserrones auratendanceutiliserdeplusenplusdemmoirelorsdesestentativesdecalculpourrorganiserlatopologiedu rseau,letoutpouvantgalementconsommerdimportantesquantitsdebandepassante.LeprotocoleBGPquant lui,possdeunefonctionquiliminelinformationconcernantuneroutesicellecitendapparaitreetdisparatretrop

ENI Editions - All rigths reserved - Moha Anisa

- 1-

souvent. Ici aussi, une squence de messages savamment construits leurrera le routeur et causeront la disparition dinformationsderoutage.Citonsgalementlesattaquesparsaturationdelabandepassantedeslienssurlesquels circuleunprotocolederoutage. Lestentativesdedtournementderoutageconsistentfournirauprotocolederoutagedesinformationsderoutage erronesenvuededtournerletraficversunendroitprcisoupire,defairedisparaitredesroutes. Quelssontlesmoyensmisnotredispositionpourcontrecarrerefficacementlescasquenousvenonsdeciter ? Une solution est lutilisation de la fonction de hachage MD5 qui est disponible pour les deux protocoles. En voici le fonctionnement. 1.LamisejourderoutageetuneclpartageentrentdansunefonctionMD5.Unrsultatestcalcul. 2. La mise jour de routage et le rsultat de la fonction MD5 prcdemment calcule sont envoys aux routeurs destinatairesdelamisejour. 3.Aprsrception,lamisejourreueestdenouveauaveclaclpartageentredanslafonctionMD5,unrsultat estcalcul. 4.Cersultatestcomparceluireuaveclamisejourreueltape3. Ce systme est peu coteux en ressources. Une autre recommandation est de protger la configuration du routeur contretoutaccsillgitimepourquelaclnetombepasentredemauvaisesmains. Pourillustrercettefonctionnalit,nousavonsconnectdeuxrouteurs(R1etR2)vialeursinterfacesrseaurespectives afindobserverleurcomportementlorsdelamiseen uvredelaprotection. R1(config-if)#ip ospf message-digest-key 1 md5 cisco R1(config-if)#ip ospf authentication message-digest Enmodeconfigurationdelinterface,cesdeuxcommandesactiventlauthentificationtellequedcrite. Lechiffre1,surlapremirecommandeindiquequilestpossibledentrerplusieurscls.Ceciesttrsutilelors dunchangementdesclssansaltrerlefonctionnementdurseau.

R1#sh ip ospf interface f1/0 FastEthernet1/0 is up, line protocol is up Internet Address 192.168.0.2/24, Area 0 Process ID 1, Router ID 192.168.0.2, Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 192.168.0.2, Interface address 192.168.0.2 Backup Designated router (ID) 192.168.0.1, Interface address 192.168.0.1 Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:07 Supports Link-local Signaling (LLS) Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 0, maximum is 1 Last flood scan time is 0 msec, maximum is 4 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 192.168.0.1 (Backup Designated Router) Suppress hello for 0 neighbor(s) Message digest authentication enabled Youngest key id is 2 Rollover in progress, 1 neighbor(s) using the old key(s): key id 1 Ici,nousobservonslersultatdelacommande sh ip ospf interface f1/0.Elleesttrsutileetmontreprcisment quune mise jour de la cl est en cours sur le routeur R1 et que le routeur R2 utilise encore lancienne cl. Pour effectuer le changement dfinitif, il suffira sur R2 dentrer la nouvelle cl et de retirer les anciennes cls des deux routeurs. interface FastEthernet1/0 ip address 192.168.0.2 255.255.255.0 ip ospf authentication message-digest ip ospf message-digest-key 2 md5 7 104D000A0602 duplex auto

- 2-

ENI Editions - All rigths reserved - Moha Anisa

speed auto Sileservicedechiffrementdesmotsdepasse(servicepasswordencryption)estactiv,nousnotonsquelaprotectiondu motdepassedanslaconfigurationdurouteuresthlasconfieaveclemode7quiestunchiffrementfaible.Ilfaudra doncveillerbienprotgerlaccsaurouteur.Quoiquilensoit,lauthentificationmutuelledespartenairesOSPF(on parle aussi de voisins) est fortement recommande pour viter lintroduction dun routeur tranger au rseau et linjectiondinformationsderoutageindsirables. UneautresolutionpasseparunrenforcementdelaconfigurationetlutilisationdACLquiviennentunefoisencoreau secoursdeladministrateurrseau. ExaminonsleprotocoleBGP. router bgp 1 no synchronization bgp log-neighbor-changes neighbor 10.0.0.1 remote-as 26001 neighbor 10.0.0.1 password 7 070C285F4D06 no auto-summary BGPoffreuneprotectionsimilairecommelemontrelacapturecidessus.BGPmriteraituneprotectionrenforcetoutdu moins pour sa version sur IPV4 car il constitue lpine dorsale dInternet et aussi de nombreux rseaux dentreprise tendus.BGPatconuunepoqueolascuritntaitpaslaprincipaledesproccupationscaraucunemenace srieuseneplanaitencoresurlerseaudesrseaux.Leretardafortheureusementtrattrapdanslaversionde BGPdestineIPV6. Lascuritdesprotocolesderoutagereposeprincipalementsurlaconfigurationdesrouteursetlaprotectiondecelle ci.CesticiquinterviennentlesACL.Lesprincipesdebasesontsimples:
G

Identifierlespartenairesquienvoientlesmisesjourderoutageetauthentifiercesdernires.BGPquiutilise descommunicationssurunportTCPbienconnu(179)estaptetransiterdirectementdansuntunnelchiffr. Cette solution impliquerait un dploiement dIPSec entre routeurs ce qui nest pas toujours ralisable principalement pour des problmes de logistique comme la distribution des cls ou des certificats entre des milliersdepartenairesnappartenantpasauxmmesorganisations.DanslecasdOSPF,lasolutionrequiertla crationduneinterfacedetypetunneletsonchiffrementavantdyfairetransiterlesmisesjour. Nepasaccepterdundenospartenairesquilsnousinformentsurnospropresroutesinternesafindenepas crer de boucles de routage. Cette rgle est valable dans les deux sens dans la mesure o un routeur partenairenestpasnonplusintressparunretourdesmisesjourquilenvoie. Lespartenairestantgnralementdirectementconnects,nepasaccepterdemisejourvenantdunrouteur loign.CeciestralisableencontraignantlespaquetscontenantdesmisesjourseprsenteravecunTTL (TimeToLive)suprieurunecertainevaleurquenepourrontjamaispossderdesmachineslointaines. RefusersystmatiquementlesrseauxdontlesprfixessontrservsparlesinstancesdirigeantesdInternet. Cettelistequiportelenomde bogonnetworksestlargementdiffuse.IlsuffitdassociercesrseauxuneACL enentre. NelaisserentrerlesmisesjourderoutagequenprovenancederouteursconnusgrcedesACLtendues.

La liste des rseaux non attribus sur Internet http://www.iana.org/assignments/ipv4addressspace

est

disponible

ladresse

suivante :

ENI Editions - All rigths reserved - Moha Anisa

- 3-

RFC1918
RaressontlesentreprisesquimettentdispositiondupublicdesservicesInternetncessitantdegrandesquantits dadressesIPdetype4.Cesderniresannes,lesadressesIPsontdevenuesunedenrerareetlesentreprisessur leursrseauxprivsensontdegrandesconsommatrices. Afin de palier un manque global dadresses IP, il a t dcid au niveau des instances rgulatrices dInternet de proposerauxentreprisestroisplagesdadressesIPlibresdutilisationsurlesrseauxprivsetdefaitnonvalablessur Internet. La mise disposition dun mcanisme de conversion entre les adresses prives et les adresses publiques permettoujoursauxentreprisesdeconverseraveclemondeextrieur.CemcanismeportelenomdeNAT(Network AddressTranslation).Aveccesystme,leshtesdunrseauprivdsirantseconnecterInternetlefontenutilisant uneadressepubliqueuniqueetcontinuentcommuniquerentreeuxgrceauxadressesrserves.Enrevanche,un htedsiranttrevisiblesurInternetdoitimprativementdisposerduneadressepublique. Lesplagesdadressesprives,libresdutilisationetnonvalablessurInternetsont :
G

leprfixe10.0.0.0/8quireprsentelesadressesIPde10.0.0.110.255.255.254 leprfixe172.16.0.0/12quireprsentelesadressesIPde172.16.0.1172.31.255.254 leprfixe192.168.0.0/16quireprsentelesadressesIPde192.168.0.1192.168.255.254.

LesmcanismesdeNATsontgnralementeffectusparlesrouteursoulesparefeulalimiteentrelerseauprivet Internet.

Nous observons sur ce schma deux htes du rseau priv 192.168.2.0 /24 qui envoient du trafic vers lextrieuren direction dInternet. La fonction de traduction dadresse (NAT) sur le routeur transforme les champs adresses source despaquetssortantetsubstitueauxadressesprivesladressepubliquedesoninterfaceexterne.Ladiffrenciation entre les deux trafics lors du retour est effectue grce au port TCP (ou UDP). Dans notre exemple, les paquets revenantverslerouteuravecunportTCPdestinationde24000serontdirigsverslhte192.168.2.2.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Conclusion
Aucoursdecechapitre,nousavonsexaminlesmenacesquipsentsurcettecoucheetlesmesuresdeprotection adquates. Lacouche3dumodleOSIestlpinedorsaledelamajeurepartiedesrseauxdentrepriseetdInternet.cetitresa scurit requiert une attention particulire. Si aucune mesure de filtrage nest applique entre les rseaux, les protocoles de routage et les tables ponymes se chargent tout naturellement dacheminerletrafictousazimuts.Ce nest gnralement pas lobjectif des rseaux dentreprise pour lesquels un minimum disolation est requis. Pour satisfaireauxexigencesdefiltrage,leslistesdecontrlesdaccs(ACL)sontdungrandsecourspourpratiquertoutes sortes de restrictions de trafic. Les ACL de type CBAC sont en mesure de transformer un routeur en parefeu conservation dtat (stateful). Ce type dquipement conserve en mmoire les connexions sortantes afin dautoriser dynamiquementletraficretour. IPSecquiestcomposdunesuitedeprotocolesalafaveurdesentreprisespourlechiffrementenlignedesdonnes surdescircuitsdetypepointpointoupointmultipoints.Sonutilisationtoutefoissembleenpertedevitessedansle domaine des connexions nomades car son implmentation et sa configuration bien que souples restent assez dlicates. LesprotocolesIPetTCPsonttrslis.cetitre,nousavonsabordlesmesuresdescuritquivisentprotgerla pile IP contre les attaques par dni de service qui saturent les services en demandes de connexions laisses sans suite.Ilconvientdeprendreencomptecetypedemenacescarlasaturationdunrseauconduitrapidementson effondrementaveclesconsquencesquecelaimplique. Lacheminement des paquets bon port est dterminant pour le bon fonctionnement dun rseau. Il sagit l dune vidence.Lesprotocolesderoutagedynamiquesquiontremplaclestablesstatiquesmritentpourleurconfiguration une attention particulire car, bien quils soient vulnrables des attaques ayant pour but de drouter le trafic, les protocolesderoutagesontaussivictimesderreursdeconfiguration.Lauthentificationdesmisesjoursavrealors indispensable.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Gnralits
Cesquatrelettresfontpartiedenotreenvironnementquotidien:WiFi.Chezsoi,aurestaurant,danslesgaresetles aroports,lespointsdaccsontcesderniresannescolonissleslieuxpublicsetlessalons.Faciledaccsetpeu coteux,parfoisgratuitpourlegrandpublic,le WiFisupplantepeupeulesrseauxcblsdanslesentrepriseset apportebiensrsonlotdesoucislislascurit.LeWiFifaitappelauxondesradiosquiparnatureneconnaissent commelimitequeleurporteetsascuritaconnudssesdbutsdegravesdboiresavecleprotocoleWEPdonton connaitprsentlesfaiblesses. ParmilesutilisationsdesrseauxsansfildetypeWiFiontrouve :
G

Le remplacement des lignes loues entre des btiments se trouvant de part et dautre dun domaine public. LesquipementsWiFi(gnralementdesponts)sontdanscecasconnectdesantennesdirectionnellesqui sefontfacedesdistancespouvantatteindreplusieursdizainesdemtre. Lesconnexionsaurseaulocalitinrantesquinutilisentplusdecblagestandard(connecteurRJ45). LesconnexionsInternetlibres(oupas)pourdespopulationsitinrantespartirdelieuxpublicsouprivs.

LesrseauxWiFisecomposentprincipalement,declientsradio,debornesdaccs(oupointsdaccs)etdemanire optionnelleduneinfrastructuredescuritexterne. LesclientsradiossontlquivalentdescartesrseauxEthernettellesquenouslesconnaissonsdepuisdenombreuses annes. Le connecteur RJ45 est remplac par une antenne. On trouve les clients radio sous la forme de cartes insrerdanslesconnecteursdunecartemredePCmaisaussisousformedeclsUSB.Ilssontparfoisdirectement intgrs aux ordinateurs portables et sont reprables au petit logo qui ne manque pas daccompagner cette technologie. Les points daccs sont gnralement des botiers munis de plusieurs antennes (au moins deux) qui sont dun ct relisauxclientsradiodunepartetlinfrastructurefilairedautrepart. Linfrastructuredescuritesttotalementcontenuedanslepointdaccsouenpartiedportesurunsousrseaude linfrastructure filaire. Elle comprend un ou plusieurs serveurs dauthentification dont le rle est gnralement de contrlerlesaccsaurseaufilairevialespointsdaccssansfil. Ciscosestbienentenduintresslatechnologiesansfiletproposetouteunegammedematrielquienglobeles pointsdaccsetlesclients(gamme Aironet)maisaussidiversoutilsdecontrleetdegestiondelinfrastructuresans fil.Nousallonsnousconcentrericisurlespossibilitsdeconfiguration(etdescurisation)dunpointdaccs sans fil toutendonnantpourmmoiredesconseilsdeconfigurationpourlesclients.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Scuritautourdesrseauxsansfil
Comme nous lavons expos dans les chapitres prcdents, une bonne approche de la scurit des systmes dinformationconsisteposerquelquesexigences(simples)enfacedesquelleslestechnologiesadquatessontmises encorrespondance. ExigencesdescuritpourlesquipementsWiFi Exigences Scuriserlaccsaurseauetassurerla confidentialitetlauthenticitdesdonnes. 802.1X WPA(WirelessProtectedAccess) EAP(ExtensibleAuthenticationProtocol) AESmodeCCM Seprotgerdesattaquespardnideservice. Dtecterlesquipementsnonautoriss. Limiterlaportedusignal. Protectionphysiqueetlogiquedesquipements radio. InterdirelescommunicationsentreclientsWiFi. Sparationdesrseauxsansfiletdesrseaux dinfrastructure. Limitationdutempsetdesheuresdeconnexion (avecousanstrafic). Configuration WIDS(WirelessIDS) Configuration Configurationetinstallationphysique Techniques

ACLIPetACLMAC UtilisationdeVLANetdeFirewall

Configuration

Pour les clients, cestdire les machines se connectant au rseau sans fil grce leur cartes embarques, nous proposonsquelquesexigencesgnrales : Seprmunircontrelesconnexionsentrantes. Impossibilitdepasserdurseausansfilau rseaufilaire. Chiffrementauniveaulepluslev. Nepasaccepterdeconfigurationautomatique. Nepasseconnecterautomatiquement. Utilisationdunfirewallpersonneletdunantivirus. Pasdactivationdescartessansfiletfilaire simultanment. ProtocolesdescuritWPA2etAES. DsactiverWindowsZeroConfiguration. Dsactivationdelafonctionnalit.

Cesmesuresgnralessontfacilementapplicablesetaismentcomprhensiblesdautantplusquelescasdattaques surlesordinateursportablesparlebiaisduWiFisesontmultiplisdansleslieuxpublicscommelesaroports.Nous vousconseillonsgalementdevousrfrerunexempledepolitiquedescuritrelativeauxstationsdetravail.Bien que nos exigences le stipulent, nous insistons sur linterdiction faite aux utilisateurs du rseau dintroduire et de connecter celuici des dispositifs sans fil. Cette bonne pratique nest hlas parfois pas suivie et certaines architecturesfilairessevoientdotesdeportesdesortiessansfilruinantpotentiellementtoutletravaildeprotection entreprisaupralable.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

ScuriserlaccsaurseauWiFi
Ceci est la premire de nos exigences, son objectif est tout comme nous lavons fait pour les rseaux filaires de conditionnerlaccsaurseau(parlebiaisdelaconnexionsansfil)laprsentationdidentifiantsvalides. Pourillustrercepropos,nousutiliseronsunpointdaccsCiscodetype1230etundispositifprochedeceluiemploy pourprotgerlesaccsfilaires.EnmatiredeWiFilematreacronymeretenirestWPApour WiFiProtectedAccess. WPAestdisponibleendeuxversions(WPAetWPA2)etpourchacunedellesdedeuxmodes(personneletentreprise). Initialement,WPAatconuafinderemplacerleprotocoleWEP(WiredEquivalentPrivacy)dontlemodledescurit fut mis mal peu de temps aprs sa mise en service. De trs nombreux articles existent sur ce sujet ainsi quune collectiondoutils permettant la rcupration des cls de chiffrement seulement aprs quelques heures dcoutedun rseau.

1.WPA
WPAamlioradssapremiremouturelechiffrementutilisparleprotocoleWEPenproposantlutilisationdunecl pluslongue(enfait,ilsagitduvecteurdinitialisation),ainsiquunmeilleursystmededistributionetdedrivation, unmeilleurcontrledintgritetlutilisationduneclchaquepaquetchiffr. WPA2introduitleprotocoledechiffrementAES(AdvancedEncryptionStandard)enremplacementdeRC4(utilispar WEP)avecdesclsde128 bitsainsiquunenouvellecollectiondesystmesvisantassurerlintgritdesmessages. WPAentreprise(ouWPA2entreprise):cetteversionncessitelamiseenplacedelundesprotocolesEAPetdun serveurRADIUScommenouslavonsdcritdanslecadredelaprotectiondesrseauxfilaires.Ici,laccsestautoris uniquement aprs prsentation dun couple utilisateur et mot de passe valide ou dun certificat personnel de type X509.LeserveurRADIUSprendgalementenchargelagnrationetladistributiondesclsdechiffrement. WPA personnel (ou WPA personnel) : dans cette version de WPA, une cl prpartage est utilise entre les participants. Nous pouvons comparer ce mode de fonctionnement celui dIPSec qui utilise galement une cl partage.Cemodeestvulnrableencasdeclmalchoisieeticiencoredesoutilsexistentpourtenterdedevinerla clnotammentenutilisantdesdictionnairescontentantdesmilliersdemotsoudephrasestype. NousallonsutilisericipourtudierlaprotectiondunrseausansfilleprotocoleWPA2entrepriseavecEAPTLS.

a.WPA2,EAPTLSetFreeRADIUS
NousdevrionsrajouterAESpourtrecomplet,cesteneffetceprotocoledechiffrementquenousallonsemployer car cest le plus puissant mis disposition. Lutilisation dEAPTLS nest pas chose aise car elle demande le dploiement et la gestion dune infrastructure de type PKI. Cela comprend lmission des certificats et la maintenancedelalistedervocation. Leprincipedefonctionnementchoisidanslecadredenotretudeest :
G

delaisserlutilisateurchoisirsonrseauWiFi(SSID) dauthentifierunutilisateurparlebiaisduncertificatdetypeX509enEAPTLSencontrlantquesonnom dutilisateurcorrespondceluiducertificat defournirleVLANdetravailetladresseIPdynamiquementenfonctionduSSIDsurlequellutilisateursest authentifi.

Nousavonschoisidutiliser :
G

leserveurRADIUSlibreFreeRADIUSenremplacementduserveurRADIUSMicrosoftquenousavionsemploy pourltudedu802.1Xfilaire leclientWPA2entreprisepropossousWindowsVista.

InstallationduserviceRADIUSetducertificatclient: Linstallation du service RADIUS FreeRADIUS a t accomplie sur une machine Linux Fedora partir de la simple commande :# yum install FreeRADIUS. Leserveurcomportelesfichiersdeconfigurationsuivants :radiusd.conf, eap.conf,clients.conf.Ilssontsitusdansle rpertoire/etc/raddb/.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

eap { default_eap_type = tls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = yes tls { certdir = ${confdir}/certs cadir = ${confdir}/certs private_key_password = whatever private_key_file = ${certdir}/server.pem certificate_file = ${certdir}/server.pem CA_file = ${cadir}/ca.pem dh_file = ${certdir}/dh random_file = ${certdir}/random fragment_size = 1024 check_crl = yes CA_path=${certdir}/WIFIcrl.pem check_cert_issuer="/C=FR/L=Toulouse/O=TESTLAB" check_cert_cn = %{User-Name} cipher_list = AES256-SHA } } Lefichier radiusd.confnapastmodifietnousdonnonsicilaconfigurationdufichiereap.confquicommesonnom lindiqueconfigurelesprotocolesEAP. Nousobservons :
G

Les noms et les emplacements des divers certificats ncessaires cestdire celui de lautorit de certification(CA)etduserveurRADIUSdontlaphrasedescuritfigureenclairdanslaconfiguration. La liste de rvocation (CRL) est ici configure afin de rejeter tout certificat qui sy trouverait. Il est ce proposindispensabledeconfigurerlaCApourquesoncertificatpuissesigneruneCRL.Nousvousinvitons vousrapprocherdelaconfigurationdevotrePKI.DanslecasdOpenSSLlacommande keyUsage = cRLSign estncessairedanslefichierdeconfiguration. Enfin,noustestonsquelquesattributsducertificat,lenomdutilisateurprsentetnousforonsleprotocole dechiffrementAES.

Une seule modification intresse le fichier clients.conf et consiste dclarer le point daccs sans fil comme client RADIUSavecsonadresserseauetsonsecret. Client 192.168.1.16 { secret = cisco } IlestensuiteindispensabledeconfigurerdescertificatssurlesquelssappuieleprotocoleEAPTLS.Cesfichierssont danslerpertoire/etc/raddb/certsetdoiventpossderdesdroitspermettantauserveurFreeRADIUSdeleslire. Sontncessaires :
G

Uncertificatautosignpoursimuleruneautoritdecertification(CA)auformat deretdelinstallerdansle magasin nomm autorits principales de confiance. Pour mmoire les certificats sont imports partir dInternetExplorerensuivantlechemin :OutilsOptionsInternet ContenuCertificatsImporter. UncertificatpourleserveurRADIUSsignparcetteautoritdecertification.UnscriptfourniavecFreeRADIUS danslerpertoire /certspermetdecrerlescertificatsdelautoritdecertificationetduserveur(cesdeux premierscertificatssontcrsaveclescommandes :make caetmake server). un certificat pour le client galement sign par cette mme autorit de certification. Ce certificat est mis sous la forme dun fichier dont lextension est de type .p12 avant dtre charg dans le magasin nomm Personnel.Ilestcraveclescommandessuivantes :

openssl req -new -out client.csr -keyout client.key -

- 2-

ENI Editions - All rigths reserved - Moha Anisa

config ./client.cnf openssl x509 -req -in client.csr -out client.crt -CA ca.pem -CAkey ca.key -CAserial serial openssl pkcs12 -export -inkey client.key -in client.crt out client.p12 Il est important de mentionner que dans notre cas, le certificat client est directement sign par lautorit de certification sans passer par une autorit intermdiaire ce qui est gnralement le cas. Cela implique de ne pas partager cette autorit de certification avec une autre organisation qui (si tel tait le cas) pourrait signer des certificatsvalidesvotreplace.Danscetexemple,celaneposeaucunproblme. SienplusdelaCAracine,ilexisteuneCAintermdiaire,lesdeuxcertificatsdevronttrerassemblsdans un seul fichier qui sera dclar avec la commande CA_file = du fichier eap.conf. Un certificat nest que rarementdlivrparuneCAracine.IllestgnralementparlintermdiaireduneCAintermdiaire.Sitelestle cas,lecertificatdelaCAracineetdelaCAintermdiairedoiventtrefusionnsdansunfichierunique.Cefichier seradclardanslefichiereap.confaveclacommande"CA_file=".Pourmmoire,lacommandeUNIXquipermet deconcatnerdeuxfichiersest:catfichier_1fichier_2>fichier_3.

Soulignons de mme quil est fortement recommand lors de limportation du certificat client de cocher loption afin que la phrase de protection de la cl prive soit demande systmatiquement lors de lutilisationducertificat.

ENI Editions - All rigths reserved - Moha Anisa

- 3-

Nous observons sur ces deux images dun mme certificat client la chane de certification et le dtail des champs. Comme indiqu, ce certificat a t directement sign pour lutilisateur Vincent par lautorit de certification TESTLABWIFI. Configurationdupointdaccssansfil(AP1231G): hostname ap ! aaa new-model aaa group server radius rad_eap server 192.168.1.3 auth-port 1812 acct-port 1813 aaa authentication login eap_methods group rad_eap aaa session-id common ! dot11 ssid EAP-TLS authentication open eap eap_methods authentication network-eap eap_methods authentication key-management wpa ! username vincent privilege 15 secret5 $3HBC$EpW82SUbZNtmI3PG0rU2z ! bridge irb ! interface Dot11Radio0 no ip address no ip route-cache encryption mode ciphers aes-ccm broadcast-key change 1800 ssid EAP-TLS bridge-group 1 ! interface FastEthernet0 bridge-group 1 ! interface BVI1

- 4-

ENI Editions - All rigths reserved - Moha Anisa

ip address 192.168.1.16 255.255.255.0 ! ip radius source-interface BVI1 ! radius-server host 192.168.1.3 auth-port 1812 acct-port 1813 key 7 13061E010803 bridge 1 route ip BienquelespointsdaccsCiscobnficientduneinterfacegraphique,nousprsentonsicilaconfigurationenmode textepourdesraisonspratiques. Les cinq premires lignes configurent le systme AAA (Authentication Authorization Accounting) sur le point daccs dontnousvoyonsaupassagequilseconfigurecommeunrouteur.Pourmmoirelacommandeaaa new-modelactive les fonctions dauthentification externalises sous la responsabilit de serveurs de type RADIUS ou TACACS. Le serveurradiusestunepremirefoisdfiniauseindungroupe( rad_eap)aveclenomdelamthodepoursyrfrer (eap_methods). Le SSID (EAP-TLS) est lidentifiant du rseau sans fil. Cest le nom du rseau qui saffiche lorsque ce dernier est dcouvert par le systme dexploitation au voisinage du point daccs. Le SSID appelle la mthode eap_methods laquelle,nousvenonsdelevoir,serfreaugrouperadius rad_eap.WPAestchoisiceniveau. Dtaillonsprsentungroupedecommandeparticulier. Lacommandebridge irbpermetdeconfigurerlepointdaccs(quiestlabaseunrouteur)detellesortequilse comportecommeunpont(enanglaisbridge).LepointdaccsdevientdonclquivalentduncommutateurEthernet munidedeuxinterfacesphysiques(radioetfilaire)entrelesquelleslespaquetsvonttransiter.Ilestncessairede dclarerlesinterfacesquiparticipentceprocessusenincluantdansleurconfigurationlacommande :bridge-group 1.NoustrouvonsbiencellecisurlinterfaceradioetsurlinterfaceEthernet. LinterfaceBVI(BridgegroupVirtualInterface)possdeuneinterfacerouteparlaquellelepointdaccsestjoignable pour les tches administratives. Cette interface reprsente le pont tout comme linterface dadministration dun commutateurEthernet.LenumrodelinterfaceBVI(1dansnotrecas)estlelienaveclenumrodu bridgegroup(1 galement). Lacommandebridge 1 route ipindiquequuneinterfaceIPestprsenteetqueletraficIPentrantluiestdestin. Linterface dot11radio0 est configure pour mettre en uvre le chiffrement des informations avec le protocole AES (aesccm)puisestrattacheauSSIDEAPTLS.Elleparticipeaupontaveclacommandedcriteprcdemment. LinterfaceEthernetparticipeaupontgrcelammecommande. Viennent au final les commandes permettant la communication avec le serveur RADIUS. Deux commandes sont prsentes. La commande ip radius source-interface BVI1 permet au point daccs de communiquer avec le serveur RADIUS par le biais de ladresse IP affecte linterface BVI. La commande radius-server host donne ladresse IP du serveur RADIUS ainsi que le secret partag. Attention aux valeurs des ports qui par dfaut sur le pointdaccsnecorrespondentpartoujoursauxvaleurspardfautduserveurFreeRADIUS. NotonsquaucunecommandevisantconfigurerladresseIPduclientfinal(DHCP)nesticiprsente.Ceciestduau rledepont(bridge)tenuparlepointdaccs. FonctionnementduserveurRADIUS : /usr/sbin/radiusd -X FreeRADIUS Version 2.0.5, for host i386-redhat-linux-gnu, built on Jul 30 2008 at 10:41:14 Copyright (C) 1999-2008 The FreeRADIUS server project and contributors. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. You may redistribute copies of FreeRADIUS under the terms of the GNU General Public License v2. Starting - reading configuration files ... Listening on authentication address 192.168.1.3 port 1812 La commande figurant en premier dans la capture cidessus, permet de lancer le serveur RADIUS la main en activantlavisualisationdesvnements.Silaconfigurationsavrecorrecte,leserveursemetencoutesurleport 1812.Lacaptureatvolontairementtronque. rad_recv: Access-Request packet from host 192.168.1.16 port 1645, id=22, length=127 User-Name = "vincent"

ENI Editions - All rigths reserved - Moha Anisa

- 5-

Framed-MTU = 1400 Called-Station-Id = "001b.53ba.46d0" Calling-Station-Id = "001f.3c05.653c" Service-Type = Login-User Message-Authenticator = 0xd2135a7903682b3398591113c2565c66 EAP-Message = 0x0202000c0176696e63656e74 NAS-Port-Type = Wireless-802.11 NAS-Port = 265 NAS-IP-Address = 192.168.1.16 NAS-Identifier = "ap" Nousobservonsicilarrive dune requte en provenance de notre point daccs.Yfigurentlenomdelutilisateur ainsiqueladresseIPetlenom(ap)dupointdaccs. auth: type "EAP" +- entering group authenticate rlm_eap: Request found, released from the list rlm_eap: EAP/tls rlm_eap: processing type tls rlm_eap_tls: Authenticate rlm_eap_tls: processing TLS TLS Length 108 rlm_eap_tls: Length Included eaptls_verify returned 11 (other): before/accept initialization TLS_accept: before/accept initialization rlm_eap_tls: <<< TLS 1.0 Handshake [length 0067], ClientHello TLS_accept: SSLv3 read client hello A rlm_eap_tls: >>> TLS 1.0 Handshake [length 004a], ServerHello TLS_accept: SSLv3 write server hello A rlm_eap_tls: >>> TLS 1.0 Handshake [length 085a], Certificate TLS_accept: SSLv3 write certificate A rlm_eap_tls: >>> TLS 1.0 Handshake [length 00a5], CertificateRequest TLS_accept: SSLv3 write certificate request A TLS_accept: SSLv3 flush data TLS_accept: Need to read more data: SSLv3 read client certificate A In SSL Handshake Phase Le client et le serveur RADIUS par lintermdiaire du point daccs mettent en uvre le protocole EAPTLS. Le certificatserveurestprsentetleserveurRADIUSdemandeauclientWiFideprsenterlesien. --> User-Name = vincent --> BUF-Name = vincent --> subject = /C=FR/ST=MidiPyrenees/L=Toulouse/O=TESTLAB/emailAddress=vincent.remazeilles @laposte.net/CN=vincent --> issuer = /C=FR/ST=MidiPyrenees/L=Toulouse/O=TESTLAB/emailAddress=vincent.remazeilles @laposte.net/CN=TESTLAB-WIFI --> verify return:1 TLS_accept: SSLv3 read client certificate A rlm_eap_tls: <<< TLS 1.0 Handshake [length 0106], ClientKeyExchange TLS_accept: SSLv3 read client key exchange A rlm_eap_tls: <<< TLS 1.0 Handshake [length 0106], CertificateVerify TLS_accept: SSLv3 read certificate verify A rlm_eap_tls: <<< TLS 1.0 ChangeCipherSpec [length 0001] rlm_eap_tls: <<< TLS 1.0 Handshake [length 0010], Finished TLS_accept: SSLv3 read finished A rlm_eap_tls: >>> TLS 1.0 ChangeCipherSpec [length 0001] TLS_accept: SSLv3 write change cipher spec A rlm_eap_tls: >>> TLS 1.0 Handshake [length 0010], Finished TLS_accept: SSLv3 write finished A TLS_accept: SSLv3 flush data (other): SSL negotiation finished successfully SSL Connection Established eaptls_process returned 13
- 6 ENI Editions - All rigths reserved - Moha Anisa

... ... rlm_eap_tls: processing TLS rlm_eap_tls: Received EAP-TLS ACK message rlm_eap_tls: ack handshake is finished eaptls_verify returned 3 eaptls_process returned 3 rlm_eap: Freeing handler ++[eap] returns ok Le certificat client est ici examin et accept mettant fin avec succs lchange SSLv3 entre le client WiFi et le serveurRADIUS. Nous venons de dcrire une configuration base sur EAPTLS entre un client WiFi et un serveur RADIUS par lintermdiaire dun point daccs de type 1231. EAPTLS nest pas le seul protocole disponible pour ce genre dauthentification.LeprotocolePEAPquenousavionsdcritprcdemmentestparfaitementefficaceetplussimple dployercarilnencessitepasdecertificatsclients.PEAPetEAPTLSsontdisponiblesaveclesversionscourantes dusystmedexploitationWindows.

2.LWAPP
Lesrseauxsansfilsontvictimesdattaquesvisantprincipalementdconnecterlesclientsencoursdesessionou perturber le lien radio par lenvoi dondes lectromagntiques puissantes, concentres et diriges vers les points daccssansfils.Dautresattaquessontdirigesverslesstationsdetravaildanslebutdedtournerlutilisateurdun point daccs officiel pour le rediriger vers un point daccs maquill par lattaquant. Ces attaques se droulent en deuxtemps.Lutilisateuresttoutdabordforcsedconnecterdupointdaccslgitimepuisinvitseconnecter un point daccscontrlparlattaquant.Enfin,existentdesattaquesdirectespourlesquelleslordinateur cible est directementvictimedelattaque. LespointsdaccssansfildeCiscosontdespontsEthernetquinepossdentpasnativementlintelligencencessaire ladtectiondesattaquesquenousvenonsdeciter.Lespointsdaccssontconsidrscommedesquipements isols dont ladministration nest pas centralise. Il en est de mme pour le rassemblement des journaux dvnements.Enltat,ladtectiondesattaquesestrenduetrsdifficile. Afin de complter sa gamme avec une solution de scurit cohrente et intgre au maximum, Cisco propose des quipementscomplmentairesetunprotocoledecommunicationspcifique. Le protocole LWAPP est la premire brique de cette approche de la gestion des points daccs WiFi. Il permet de centraliserlestchesdeconfiguration,desurveillanceetdedpannage.Lestchesdeconfigurationcomprennentla miseenplaceetledploiementdepolitiquedescuritsousformedACL.Unautrepointquenousallonsaborderest la gestion des ondes radios. Avec le protocole LWAPP, ladministrateur dun rseau WiFi a la possibilit de grer (dunemanirecentralise)lespuissancesdmissiondespointsdaccs.Enmatirededtectiondesintrusions,le protocole LWAPP se charge de centraliser les informations en provenance des fonctionnalits de sondes IDS disponiblessurlespointsdaccs. Deuxquipementssedmarquentdanslagammedesproduitsdegestiondesrseauxsansfil.Cesontlecontrleur de rseau WLC ( Wireless Lan Controler) et le WCS (Wireless Control System). Le WLC est un commutateur Ethernet bas entre autre sur le chssis du Catalyst 3750. Il est possible dempiler les WLC pour augmenter la capacit de traitement des points daccs sans fil. Le WLC doit tre abord comme le dpositaire des politiques WiFi de lorganisationenmatiredescurit,degestiondessignauxradio,dequalitdeserviceetdegestiondelamobilit. La mobilit est la capacit pour un utilisateur de se dplacer munis dun quipement terminal WiFi sans devoir se rauthentifierlorsdesesdplacementsentreplusieurszonesdecouvertures. LeWCSestunesuitelogiciellecomprenantunebasededonnesetdesapplicationswebquioffrentlapossibilitde planifieravecprcisionleszonesdecouverturedunezonepardespointsdaccs.Lerseauunefoisoprationnel est alors troitement surveill. Lapplicationweb,sousformedun portail, prsente des informations statistiques et desvuesentempsreldelacouvertureradioetdetouslesincidents.Unservicedegolocalisationestgalement disponibleafindeconnatresilebesoinsenfaitsentirlapositiondenimportequelclientsansfil.Pourconcluresurce logiciel,lascuritestpriseencompteavecdessignaturesdattaques(crationsdesignatures)etladtectionde pointsdaccsnonautoriss( rogueaccesspoints).Pourdeplusamplesinformations,nousvousinvitonsconsulterle siteInternetdeCisco.

ENI Editions - All rigths reserved - Moha Anisa

- 7-

Ces quipements aux capacits et aux fonctionnalits remarquables sont relativement coteux et linvestissement quils reprsentent doit tre compens par les services quils offrent. Limage montre une page du logiciel WCS sur laquellesontdisponiblesdiversrapportsconcertantlascurit. Lagolocalisationetlagestioncentralisedelacouvertureradiosontlapanagedesolutionsrservesauxrseaux comprenantplusieursdizainesvoirecentainesdepointsdaccs.Toutefois,ilestparfaitementenvisageableavecdes moyenslimitsauseulpointdaccsdepratiquerltudedelacouvertureradiodunbtiment.

3.Protectionautonome
Unedenosexigencesdescuritestdelimiterlaportedusignalafinquelerseauradiosoitlepluspossiblehors deportedepersonnesmalintentionnes.Ilesttoutfaitenvisageablededterminersonprimtredetravail(et descurit)avecunemachinedevotreparcquipedunecarterseauWiFivosstandards. En se dplaant mthodiquement avec cette machine tout en ayant non moins mthodiquement plac un point daccssansfil,voustracerezsurunplanlesvaleursdusignalcaptparvotrecarterseautoutaulongdevotre parcours. Le but de lexercice est de fournir un signal radio aux utilisateurs en vitant le chevauchement des frquencestoutennedbordantpasduprimtrefix. Toujours en fonction de la politique de scurit il est tolr ou non que les signaux dpassent du primtre des btiments.Iciencorelesrglagesdespuissancesdmissionsontajustsenfonctiondesbesoins.Lobjectiffixpar lapolitiquedescuritpeuttoutfaitimposerquaucunsignalnepuissetrecaptdansledomainepublicavecun matriel conventionnel. Hlas, des techniques existent pour amliorer considrablement la prcision et la directivit desantennesWiFiafinderecevoirdessignauxlointainsetaffaiblisdurantleurtransmission.Nousentronsicidansle domainedescoutesillicites. Lapuissancedmissiondespointsdaccssansfilsestmodifiabledanslaconfigurationetilestgalementpossible aupointdaccsdimposerunepuissancedmissionauclientsansfilenpassedeseconnecter. ap(config)#int dot11Radio 0 ap(config-if)# power local ? cck Set local power for CCK rates ofdm Set local power for OFDM rates ap(config-if)# power local cck ? <1 - 50> One of: 1 5 10 20 30 50 maximum Set local power to allowed maximum ap(config-if)# power local ofdm ? <1 - 30> One of: 1 5 10 20 30 maximum Set local power to allowed maximum

- 8-

ENI Editions - All rigths reserved - Moha Anisa

Chaquetypedemodulation(CCKetOFDM)possdeunegammederglagepourlapuissancedmission.Lesvaleurs sontdonnesenmW(milliwatt).Lemotclpourconfigurerlapuissancedmissiondupointdaccsestlocal. ap(config)#int dot11Radio 0 ap(config-if)#power client ? <1 - 50> One of: 1 5 10 20 30 50 local Set client power to Access Point local power maximum Set client power to allowed maximum Icinousobservonslespossibilitsderglagedelapuissancedmissionduclientimposesparlepointdaccs. Aveccepetitpaneldecommandes,ilestprsentenvisageablederglerfinementlespuissancesdmissionafinde resterdansleprimtreimposparlapolitiquedescurit.

4.Limitationsdeconnexion
Noussavonsquunpointdaccssansfilestunpontaccomplissantsatcheauniveau2dumodleOSI.Ceciimplique si rien nest entrepris une connectivit totale entre les clients sans fil ayant russi se rattacher au point daccs. Ceciesttoutfaitconcevablesilondsiremettreenserviceunrseauentirementouvertauseinduqueltoutun chacunalapossibilitdecommuniqueravectouslesmembresconnects.Mais,danslemondedelentrepriseetdu service,cetteapprochenestpasdemiseetlespolitiquesdescuritimposent(laplupartdutemps)unelimitation strictedescommunications. Notrepointdaccssansfilvarecevoiruneconfigurationlimitantsonenclinnaturelquiconsisterelierentreeuxtous lesclientssansfiletdelesconnecterensembleaurestedurseaufilaire.

Les points daccs Cisco offrent la possibilit dassocier les VLAN au SSID. Un rsum extrmement bref serait dnoncer le principe suivant : chaque SSID son VLAN, sa mthode dauthentification propre et sa plage dadressesIPCeciesttrssduisant.Leschmacidessusnousmontreunetelleconfiguration. Icinousobservons :
G

un transporteur de VLAN sur un lien physique unique aussi appel trunk qui relie un point daccs un commutateurdotdefonctionsderoutage deuxSSIDpropossparlepointdaccsetcorrespondantauxVLANWiFiLABetGUEST pourchaqueSSIDquunepolitiquedauthentificationspcifiqueestpropose surlquipementdinfrastructure :lesdeux VLANprcitsetleVLANdadministration(hbergeantleserveur RADIUSparexemple).

Les tendues DHCP mises la disposition des clients ne sont pas reprsentes pour des raisons de clart sur le schma.Examinonslaconfigurationdupointdaccs.
ENI Editions - All rigths reserved - Moha Anisa - 9-

ap(config-if)#int dot11Radio 0.1 ap(config-subif)#encapsulation ? dot1Q IEEE 802.1Q Virtual LAN ap(config-subif)#encapsulation dot1 ap(config-subif)#encapsulation dot1Q ? <1-4094> IEEE 802.1Q VLAN ID ap(config-subif)#encapsulation dot1Q 1 ? native Make this as native vlan second-dot1q Configure this subinterface as a 1Q-in-1Q subinterface <cr> ap(config-subif)#encapsulation dot1Q 1 native ap(config-subif)#exit -----------------------------------------------------------ap(config-if)#int f0.1 ap(config-subif)#enca ap(config-subif)#encapsulation dot ap(config-subif)#encapsulation dot1Q 1 native Tout dabord nous configurons une sousinterface sur linterface radio. Pour mmoire une sous interface est cre lorsquelonfaitdirectementsuivreladsignationdelinterfaceparunpointsuividunchiffrequidsignelenumro dordredelasousinterface.Ici,nouscronslasousinterfacenumro1etnouslaffectonsauVLAN1enindiquantde surcroitquilsagitduVLANnatif. Puis,lidentiqueunesousinterfaceestcresurlinterfacefilaire.ElleestgalementrattacheauVLAN1.Cesdeux sousinterfacesmembresdu VLAN1sontautomatiquementliesau bridge-group 1prcdemmentcr.Rappelons quecemmebridge-group 1estlilinterfaceBVI1. Toutcecipeutsemblerconfus,maisilfautgarderlespritqueCiscoutilisefrquemmentdanslesconfigurationsles chiffresetlesmotsclspourlierlescommandesentreelles. ! interface FastEthernet0.2 encapsulation dot1Q 2 no ip route-cache bridge-group 2 no bridge-group 2 source-learning bridge-group 2 spanning-disabled ! interface FastEthernet0.3 encapsulation dot1Q 3 no ip route-cache bridge-group 3 no bridge-group 3 source-learning bridge-group 3 spanning-disabled Voiciunextraitdelaconfigurationdessousinterfacesfilairesnumro2et3rattachesauxVLAN2et3. ! interface Dot11Radio0.2 encapsulation dot1Q 2 no ip route-cache bridge-group 2 bridge-group 2 subscriber-loop-control bridge-group 2 block-unknown-source no bridge-group 2 source-learning no bridge-group 2 unicast-flooding bridge-group 2 spanning-disabled ! interface Dot11Radio0.3 encapsulation dot1Q 3 no ip route-cache bridge-group 3 bridge-group 3 subscriber-loop-control bridge-group 3 block-unknown-source

- 10 -

ENI Editions - All rigths reserved - Moha Anisa

no bridge-group 3 source-learning no bridge-group 3 unicast-flooding bridge-group 3 spanning-disabled Ici,nousobservonsdanscetextraitlaconfigurationcorrespondantesurlessousinterfacesradio. ap(config)# dot11 ssid WIFILAB ap(config-ssid)# vlan 2 ap(config-ssid)# authentication open eap eap_methods ap(config-ssid)# authentication network-eap eap_methods ap(config-ssid)# authentication key-management wpa ----------------------------------------ap(config)# dot11 ssid GUEST ap(config-ssid vlan 3 ap(config-ssid authentication open ap(config-ssid mbssid guest-mode Ici,lesdeuxSSIDsontcrsetassocisrespectivementauxVLAN2et3.Sontaussiprcisslesmodesetmthodes dauthentification. ap(config)#interface Dot11Radio 0 ap(config-if)# encryption mode ciphers aes-ccm ap(config-if)# encryption vlan 2 mode ciphers aes-ccm ap(config-if)# broadcast-key change 1800 membership-termination capability-change ap(config-if)# broadcast-key vlan 2 change 1800 membershiptermination capability-change ap(config-if)# ssid GUEST ap(config-if)# ssid WIFILAB Les deux SSID prcdemment crs sont associs linterface radio principale. Le mode de chiffrement que nous avionspralablementchoisiestconserv. Enfacedecetteconfiguration,ilfaut :
G

disposerunquipementdeniveau3recevantletrunksuruneinterfacephysique crerdesinterfacesdetypeVLANquifontofficedepasserellepardfautpourlesclientsdesSSID associerchaqueinterfaceVLANunserviceDHCPpourlesclientssansfil.

interface FastEthernet0/1 switchport trunk allowed vlan 1-3 switchport mode trunk spanning-tree portfast LinterfaceestprsentementconfigurepouraccueillirlesVLANde13. vlan 2 name WIFILAB ! vlan 3 name GUEST ! interface Vlan1 ip address 192.168.1.254 255.255.255.0 no ip route-cache ! interface Vlan2 ip address 192.168.2.254 255.255.255.0 no ip route-cache ! interface Vlan3 ip address 192.168.3.254 255.255.255.0 no ip route-cache

ENI Editions - All rigths reserved - Moha Anisa

- 11 -

LesdeuxVLANWIFILABetGUESTsontactivsaveclestroisinterfacesVLAN.LesadressesIPsontlespasserellespar dfautdesclientssansfilraccordscesVLAN.LeVLAN1dansnotrecasnestpascrcarilexistetoujours. service dhcp ! ip dhcp excluded-address 192.168.2.254 ip dhcp excluded-address 192.168.3.254 ! ip dhcp pool WIFILAB network 192.168.2.0 255.255.255.0 dns-server 192.168.4.1 default-router 192.168.2.254 ! ip dhcp pool GUEST network 192.168.3.0 255.255.255.0 default-router 192.168.3.254 dns-server 192.168.4.1 LeserviceDHCPestactivsurlquipementdeniveau3( service dhcp)puislesadressesdespasserellespardfaut sontexcluesdestenduesafindenepassevoiraffectesunclient. Deux tendues ( dhcp pool) sont actives et rfrencent pour chacun des VLANlapasserellepardfautainsiquun serveurDNScommun.LelienentrelestenduesDHCPetlesinterfacesdetypeVLANseffectuesurlacorrespondance entrelesadressesderseaudestendues( network)etlesadressesIPdesinterfacesVlan. Un problme se pose toutefois ce niveau. Si rien nest fait, les membres du VLAN WIFILAB et GUEST peuvent changerdespaquetscequinestpassouhaitable.Cephnomneestnaturelcarlquipementdeniveautroisroute nativemententresesinterfaces.LesACLunefoisencoreviennentdnouerlasituation.Cependant,lesclientsausein dun VLAN sur le point daccs ont encore la possibilit de dialoguer entre eux ce qui nest pas conforme aux exigencesdescurit.Denouvelles ACLserontpositionnessurlesinterfacesroutes.Enfin,lesclientssansfilsne sauraient communiquer avec une autre adresse source que celle qui leur a t communique. Faisons le point en nousposantcommeobservateurdespaquetsentransitsurlinterface VLAN.Ilneresteplusqutraduireletableau suivantenACLdetypetendues. AdresseIPSourceduclientsansfilfournieparDHCP. AdresseIPSourceduclientsansfilnonconforme. AdresseIPdedestinationcorrespondantuneadresselocaleauVLANdappartenance. AdresseIPdedestinationnonlocaleauVLANetautoriseparlapolitiquedescurit. Autoris Interdit Interdit Autoris

5.Timeouts
La dernire exigence stipule ( demimots) quun client inactif durant un certain temps doit tre dconnect du rseau.Danslemmeespritondsirelimiterlaccsaurseausansfilcertainesplageshoraires. La commande dot1x reauth-period en mode gnral permet de forcer un client authentifi se rauthentifier en fonctiondutempsparamtr. Pourlimiterlaccsaurseausansfil,unemthodeconsistepositionneruneACLassocieuneconditiondetemps (time based ACL). Ceci est intressant pour limiter laccs des invits (voire des employs) audel dune certaine heure.

6.Autresmesures
LechampdesmesuresdeprotectiondesrseauxsansfilestsivastequeCiscoaintgrdanssagammedeproduits unesolutiondesondeIDS( IntrusionDetectionSystem)basesurlanalysecomportementaledutraficpassantparles pointsdaccsoucaptpareux.Lestentativesdereconnaissancedurseausontainsidtectesetsignalessous formedunealarme.Pourcefairelespointsdaccssansfilpeuventtreconfigursafindofficiercommedessondes passiveslcoutedurseauradiodansleurprimtre. La solution porte le nom de WCS ( Wireless Control System), elle se compose dun service installer sous Microsoft WindowsouLinuxRedhatEnterprise5etduneinterfacedadministration. LepointdaccssansfilquenousavonsutilispeuttreconfigurafindeparticiperunrseaudesondeIDSsans fil, aprs avoir dclar son rattachement une station WDS le point daccs est configur en mode scanner ou en
- 12 ENI Editions - All rigths reserved - Moha Anisa

mode monitor.Lemodescannersurveilletouslescanauxalorsquenmodemonitor,lepointdaccsnesurveilleque lecanalsurlequelilestconfigur.

ENI Editions - All rigths reserved - Moha Anisa

- 13 -

Conclusion
Les connexions sans fil aux rseaux dentreprise ou Internet sont trs populaires et disponibles sur une gamme tendue de matriels commencer par les ordinateurs personnels, mais aussi les assistants personnels et certains modlesdetlphones.LemodledescuritduWiFiaconnudssesdbutsdegravesproblmesdescuritdont il hrite encore cause de la compatibilit descendante que le protocole se doit de maintenir. WEP est toujours disponiblealorsquesonutilisationnestfranchementpasrecommande. Fort heureusement, la situation sest considrablement amliore avec la mise en service des protocoles WPA notammentdansleurversionentreprise.Laconditionsinequanonuneamliorationdelascuritdesrseauxsans filestdedployersystmatiquementcesprincipesenlescouplantdesmcanismesdauthentificationforte.Ici,les serveurs RADIUS adosss des bases de comptes comme Active Directory ou de jetons usage unique sont recommands. Un point primordial est aussi la prise de conscience collective et individuelle des risques lis linstallation non autorisedepointsdaccsoudecartesrseausansfil.Cesinitiativesmalheureusesentraventetvontlencontrede touteslesmesuresdeprotectionquenousvenonsdvoquer.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Larchitecturerseauetscurit
Un rseau est soumis rgulirement de nombreuses volutions et modifications qui sont le fruit dune rflexion impliquantletravailduservicedarchitecture.Lesentrepriseslesplusmodestesnesontpasdotesduntelservicequi resteenrglegnralelapanagedesgroupesplusgrands.Toutefois,larflexionsurlestenantsetlesaboutissants dune volution relve de la mme logique. Ce travail soulve principalement des questions concernant limpact des modificationssurlexistantetlamaniredeprocderlintgration.Lestchesduservicedarchitecturesilexistesont rparties autour de ples lis aux spcialits qui composent le systme dinformation et nous y trouvons tout naturellementdesspcialistesdelascuritetdesrseaux.Pourcespersonnes,uneconnaissanceapprofondiede lexistantestimprativepralablementtoutetudedvolutiondurseau.Pourlesentreprisesdetaillemodeste,le responsable informatique fait office darchitecte et prend conseil auprs de ressources extrieures tout en restant matredeseschoix. Lesrseauxontbnficicesderniresannesdavancestechnologiquesdansledomainedelascurit.Citonsau passagelesprotectionsdiversesetvariesfacelInternet,lavnementdelatlphoniesurIPetdesrseauxsans fil. De nos jours, de nombreuses socits ouvrent leur rseau leurs partenaires dans le but de leur permettre daccderdesapplicationsoudesdocuments.Toutcecisoulvedemultiplesquestionsauxquelleslesarchitectes dudomainerseauetscuritsontsommsderpondrepournepascompromettrelabonnemarchedelentreprise. Uneapprochemthodiqueconsistescinderlarchitectureglobaleenzonesfonctionnellesrecevantchacuneunniveau descuritenfonctiondesapositionetdesonrle. Les techniques que nous avons abordes lors des chapitres prcdents vont ici tre mise contribution. chaque zonedescuritnousferonscorrespondreunjeudemesurestechniquesetorganisationnelles.

Il est important de comprendre quaudel de la protection du seul rseau, larchitecture de scurit a pour objectif ultime la disponibilit des applications et des donnes. Le schma montre en entre (bulles suprieures) les composantesdelarchitecturescuriseetensortiedecelleci,lesservicesfournisauxdiversprocessusdployspar lentreprise. Nousallonsprsenterdanscechapitreleszonesdescuritquiconnecteslesunesauxautresconstituentlerseau scurisdanssonentiret.Nousallonsmettreencorrespondancepourchacunedeszoneslesfonctionsdescurit abordesaucoursdeschapitresprcdents.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

LavisiondeCisco
Ciscoprsenteunconceptnomm" theselfdefendingNetwork",lerseauquisedfendseul,lerseauautodfense. Cette approche de la scurit des rseaux stend toutes les couches du modle OSI et offre des services scuritaires aux quipements, aux utilisateurs et aux applications. Cette offre est troitement connecte des systmesdecontrleetdesurveillance.Ceconceptsedclineensolutionscestdireenproduitsquisontintgrs larchitecturerseau.Ilenrsulteunearchitecturerseauscurise. LestroisgrandesfamillesdesolutionsintroduitesparCiscosont:
G

le contrle des menaces pour les infrastructures, les quipements dextrmit et la messagerie dont les produits entre autres englobent : les parefeu, les systmes de prvention et de dtection dintrusion, les contrleursdaccsaurseau,lesagentsdescurit,lespasserellesdemessagerie la scurit des communications dont les produits fournissent des services IPSec ou VPN SSL : ce sont les routeursetlesparefeu le contrle daccs au rseau avec lquipement NAC (Network Access Control) qui contrle la scurit des quipementsvoulantseconnecteraurseau.

Ces trois grandes familles de produits sont rparties sur des zones de scurit qui correspondent aux zones de sgrgationhabituelles.Pourmmoire,unezonedesgrgationcorrespondundcoupagefonctionneldurseaude lentreprise en rgions. Ces rgions sont connectes les unes aux autres avec un certain niveau de scurit. Ce principeestdiamtralementopposceluiderseau"plat"ouschmatiquementtouslesquipementspartagentle mmerseauphysiquevoirelogique. Ciscorecommandedoncdescinderlerseauenzonesquisont:
G

linfrastructurequireprsentelerseauinterne.Cederniertantsontourdivisentroiszones lesfiliales les rseaux longue distance (WAN). Il sagit des zones dinterconnexions entre lentreprise et ses filiales via desrseauxdedonnesfournispardesprestatairesdetlcommunications(fournisseurdeserviceInternet, oprateurTlcom) lazoneDMZ les zones applicatives ou (Datacenter) qui comprennent les aires de stockage, les centres applicatifs et les servicesdetlphoniesurIP.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Dcoupageenzonesdescurit
Nousallonsdonnerunaperududcoupagequipermetdaffecterchaquezonedesfonctionsdescuritbasessur sonrle.Cedcoupagefonctionnelfaciliteconsidrablementlestchesdesurveillanceetdadministrationenciblantles mesuresdescuritenfonctiondelazoneconcerne.Deplus,chaquezoneobtientunecertaineindpendancedans sa gestion ce qui ne remet pas en cause la gestion de la scurit des autres zones qui lentourent.Toutefois,ilfaut garderenmmoirequelascuritdunezoneesttroitementdpendantedecelledeszonesquilentourent. Quelquesrglessontobserverencequiconcernelacrationetlexploitationdeszonesdescurit :
G

un quipement ou un hte qui viendrait changer de zone doit se conformer aux rgles de scurit de la nouvelle zone. Ceci est du ressort de la scurit systme et vise tout particulirement les processus de renforcement(OSHardening). letraficnedoitpastransiterentredeuxzonesdanslesensdelazonelamoinsscuriseverslazonelaplus scurise.

1.Lazoneinfrastructure

La zone infrastructure est la premire des zones de scurit considrer car elle est au centre du systme dinformation.Ltenduedecettezonecomprend,danslecadredecelivre,lec urdurseauetlazonedaccs.Les documentspublisparCiscoontintroduittroiszonesdebase :
G

Leszonesdaccssontlextrmitdurseauetcomprennentlescommutateurssurlesquelssontconnects lespostesdetravail.Leszonesdaccssontdrivesendeuxfamilles :
G

Leszonesdanslesquellessontfournisdesaccsfilaires. Leszonesdanslesquellessontfournisdesaccssansfil.

Les zones dagrgationsontconstituesparleregroupementdeszonesdaccsetsontreliesauc urdu rseauavecunniveauderedondance. Lec urderseauestcomposidalementdquipementsrapidesquirelaientletraficdunezonelautre.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Sur le schma reprsentant la zone dinfrastructure, les zones daccs et dagrgation sont confondues. Cette architectureestconseillepourlesstructuresdetaillemoyenne. Nousavonsdcomposlazoneinfrastructureentroissouszonesenregarddesquellesnousallonsfairefigurerun groupedquipementdescuritoudetechniquesvoquesdansleschapitresprcdents. Lazonedaccsestessentiellementscuriseautourduniveau2.Cest ici quintervientlauthentificationobligatoire avanttoutepossibilitdecommuniquer.Limplmentationduprotocole802.1Xestrecommande.Cettefonctionest combinableaveclestechniquesquilimitentlescommunicationsunefoislaconnexiontablie.Citonsentreautresles VACL et les private ACL. Nous avons galement notre disposition toutes les mesures de protection contre les attaquespardnideserviceouparusurpationdesessionquesontdynamicarpinspectionetDHCPsnooping. Lazonedagrgationestsitueimmdiatementlasuitedelazonedaccslaquelleellepeuttrecombinedes finsdesimplification.Ici,larchitecturefaitintervenirleroutageentreleszonesdaccsetlerestedurseauavecles limitations imposes par la politique de scurit. Ce sont donc les techniques de scurit au niveau 3 qui prvalent commelefiltrageinterVLAN,lesACLdetoustypesetbiensrlaprotectiondesprotocolesderoutage. Lazoneduc urderseaunereoitpasproprementparlerdefortesmesuresdescuritcar,tantaucentredece dernier,ellebnficiedelascuritdeszonesquilentourent.Deplus,larapiditdetraitementestdemiseausein de cette zone qui ne saurait souffrir daucune latence due de coteux contrles. Malgr tout, la scurit de cette zoneexiste.Elleseconcentreautourdesprincipesdescuritdesquipements,desprotocolesderoutageetdela sretdefonctionnementgrceauxmultiplestechniquesderedondance. Il va sans dire que la zone dinfrastructure bnfice dune scurit physique renforce eut gard son rle minemment stratgique. Ici, la moindre interruption de service dunlien,mmepriseenchargeparlaredondance, doittreremiseentatleplusrapidementpossible.Eneffet,ladfaillancedunlienbienquepriseencompteparun dispositifdesecoursprsenteuneprisederisquenotableencasderuptureduliendesecours.Ici,ilestimportantde disposerdunsystmedalerteefficaceenmesurededtectertoutdfaut.

2.Filiales
Unefilialeestunezonepartentiredelentrepriseetdisposeenrglegnraledemoyenslimitspourassurersa propre scurit. Ici, lefficacit maximale est recherche avec un nombre rduit dquipements. La filiale est gnralement traite comme une extension du rseau local et ce titre bnficie de tous les services applicatifs. Toutefois, une filiale dispose rarement dun c ur de rseau part entire et sappuie frquemment sur un unique quipement multifonction qui a pour mission de grer la scurit et les connexions vers le site central. La scurit dunefiliale(considrecommeuneextensiondurseaulocal)estsensiblementidentiquecelledeszonesdaccset dagrgation. Ici, le protocole 802.1X est charg dassurer une stricte authentification des utilisateurs ainsi que la distributiondedroitsdaccsrseausouslaformedACLreuesaprsleprocessusdeconnexion.Toutcommesurle rseaudusitecentral,lepaneldesprotectionsdelacouche2estentirementdisponiblepouroprerdessparations entredeszonesauxdegrsdeconfidentialitdivers. Lescommunicationsdelafilialeverslesitecentralsonthabituellementchiffres.Cettemesuresejustifiepleinementsi le rseau Internet est vou cette tche dinterconnexion. La suite IPSec est tout naturellement indique pour accomplir cette tche entre un quipement de la filiale (mutualis) et un quipement ddi sur le site central. Bien entendu,des ACLoprentunesgrgationentreletraficchiffreretceluiautoristransiterenclair.Cecijustifie amplementunetudepralableafindedterminerlestypesdetraficprotger.

- 2-

ENI Editions - All rigths reserved - Moha Anisa

Cette notion est importante car les ressources consommes par les processus de chiffrement peuvent se rvler importantes. La zone filiale dploie sur lquipement de connexion toutes les protections ncessaires visvis des rseauxextrieurs.CecisappliquetoutparticulirementsilInternetestutilispourlaconnexionverslesitecentral. Noustrouvonsici,lesACLdontlebutestdefiltrerlesbogonnetworksetdesmesuresvisantlimiterlestentativesde connexionfrauduleusesutilisesdesfinsdesaturation. Nous avons abord au chapitre "La scurit de la couche rseau" la notion de logon network. Il sagit de lensemble des rseaux IP non attribus sur Internet dont la liste est disponible sur lURL suivante : www.iana.org/assignments/ipv4addressspace Lafiguremontreunezonefilialerelativementsimplepourlaquelledeuxquipementssontenservice.Lecommutateur EthernetainsiquelerouteursontparfoisintgrsdansunquipementuniquecommeleparefeuASA.

3.WAN
LazoneWANestraccordeauxdiversesinterfacesquilarelientaumondeextrieur.

ENI Editions - All rigths reserved - Moha Anisa

- 3-

Ainsi,unsousrseauestattribuaurecueildescollaborateursnomades,unautrecorrespondauxarrivesInternet etundernierestddiauxfiliales.LascuritsurcettezonecomprendlesACLquicartentdurseautouslestrafics indsirables en provenance dInternet et la protection logique des quipements. Ces ACL reprennent les bogon networks.Ilestprimordialdeprendrelesmesuresdeprotectionvisantlimitercertainstypesdetraficenfonctionde leurdbitafindeseprmunircontrelesattaquesparsaturation. LesarrivesdespersonnelsnomadesseffectuentsurlesquipementsddisquesontlesconcentrateursVPNoules parefeu. Ces derniers embarquent des fonctions de chiffrement de type IPSEC ou SSL. Nous aborderons cette spcificitdanslechapitreconsacrauxparefeu.ChaquearriveWANestlieunepolitiquedescuritrelativeaux technologies dployes qui portent par exemple sur la force du chiffrement, lauthentification des utilisateurs et les ACLspcifiquesdonthritentlesutilisateursunefoisquilssontauthentifis. LazoneWANassuregalementlerecueildesconnexionsenprovenancedesfiliales.Lesliaisonssonttabliessurdes ligneslouesousurInternet.Enfonctiondutypedeliaison,lesmesuresdeprotectiondiffrent.Silaliaisonutilise unevoieloue,ilestimportantdesassurerauprsdeloprateurdetlcommunicationsdelabonneisolationentre lerseaudinterconnexionetlesrseauxdeloprateurvoireceuxdautresclients. Lentre de la zone WAN mrite une troite surveillance des interfaces afin de visualiser toute irrgularit dans le trafic.Unpicouuncreuxdetraficindiquentsouventlimminencedunproblmeplusgrave. LesparefeuetlesrouteurssontlesprincipauxintervenantsdanslazoneWAN.Ilestnoterquelesdeuxfonctions peuventfigurersurlemmequipement.

4.LazoneDMZ
Les DMZ (Demilitarized Zones) sont apparues avec la ncessit de mettre disposition sur Internet des services applicatifsetdedonneraccsverslextrieurauxpersonnelsdelentreprise.Silonconsidrelafournituredeservice, ilesttoutfaitinconcevableentermedescuritdautoriserunaccsinternedesclientschappanttoutcontrle. Ainsi naquit lide de positionner ces services sur une zone dporte formant cran entre le domaine public et le rseauinternedelentreprise. Une DMZ est donc une zone tampon situe entre ce qui est considr extrieur et ce qui est considr intrieur linfrastructurecentrale.UneDMZdisposedediversdispositifsdefiltragerseau,maisaussiderelaisapplicatifsdans lebutdenerienlaisserentrerdirectementauseindelinfrastructure.

LesDMZsontconnectesparlehautlazoneWANsurlaquelleentrentlesconnexionsenprovenancedelextrieur du rseau et par le bas la zone dinfrastructure. Le schma montre trois DMZ organises comme suit : une DMZ externe,uneDMZdetransitetuneDMZinterne.Lesdeuxzonesdextrmithbergentdesrelaisapplicatifs(internes ou externes) qui sont habituellement des serveurs de messagerie, des relais HTTP ( web proxies) et des relais de rsolution de nom (DNS). Ces relais possdent leur propre systme de dfense. La DMZ de transit quant elle hberge opportunment des dispositifs de dtection dintrusion et de vrification de code comme par exemple les firewall XML de Cisco car le trafic nest analysable quune fois quil est dchiffr. Les zones DMZ peuvent galement

- 4-

ENI Editions - All rigths reserved - Moha Anisa

hbergerdesapplicationsautonomesdontlesdonnesproviennentdelintrieurdurseau.Icisappliquelargledu moindreprivilgequiindiquequeletraficnesauraittreinitialisdunezonefaibleniveaudescuritversunezone dontleniveaudescuritestpluslev.Cestpourcetteraisonquetroisflchessontdessinessurleschma,cela indiqueentreautresquelesdonnesprsentesdanslesDMZproviennentdelintrieurdurseauetquenaucuncas uneentitdelaDMZ(unserveurparexemple)nevadesonproprechefrechercherdesdonneslintrieurdela zoneinfrastructure.Desexceptionsexistenttoutefoisafinderendrevisibledelextrieurlerseauduneentreprise.Il sagit alors de laisser pntrer dans les DMZ publiques le trafic en provenance de lextrieur. Ces drogations font lobjetderglesdescuritdanslesconfigurationsdesquipementsetdunetroitesurveillance,ellessontdeplus limitesauxpremireszones,voireuneseulezoneditepublique.

5.LazoneDatacenter
La zone Datacenter hberge les serveurs centraux et des baies de stockage de grande capacit. La notion de Datacenter implique une concentration des moyens en un lieu unique dont la scurit logique est lune des composantesfortes.UnDatacentercombineeneffettouteslescomposantesdelascuritetrequiertunniveaude disponibilit la hauteur de la criticit des informations quil hberge. Les mesures de protections associes au Datacentervontdelaprotectionphysiquedesaccs,laredondancelectriqueenpassantparlaprotectioncontre les incendies et la surveillance de la qualit de lair ambiant pour nen citer que quelquesunes. Lobjectif du Datacenterestavanttoutechose,ladisponibilitdelinformation.

Le Datacenter dispose de sa propre scurit au niveau des systmes dopration et se repose sur la scurit du rseaupournerecevoirquedesdemandessurlesservicesquiloffre.titredexemple,unefractionduDatacenter fournissant des services de type http (WEB) attend uniquement des connexions sur le port 80. Celuiciseraleseul autorisenentresurladitezone. LascuritauniveaurseauduDatacenterreposeprincipalementsurledploiementdACLquivisegarantirquele trafic entrant autoris correspond aux services fournis par le Datacenter. Il en va de mme en sens inverse en sassurantdelacorrespondancedutraficsortantaveclesrequtesmisesdelextrieur. Cest ici aussi la politique de scurit qui dicte les choix en matire de sens dinitialisation du trafic. Le Datacenter tant une zone interne, le trafic qui y transite nest habituellement pas chiffr. Cette disposition favorise le dploiementdedispositifdanalyseetdesurveillancecommelessondesdedtectionsdintrusionsfinementajustes sur les trafics caractristiques de la zone. Sil est dcid de chiffrer le trafic, il conviendra de disposer de relais si la surveillanceestsouhaite. Unezoneauseindudatacentersedmarque,ilsagitdecellequireoitlesservicesdetlphoniesurIP.Cettezone est idalement isole car la tlphonie est un service hautement stratgique tant par sa confidentialit que par la hautedisponibilitquilncessite.

ENI Editions - All rigths reserved - Moha Anisa

- 5-

Lesparefeu(Firewalls)
Lecimententrelesdiverseszonesquenousvenonsdexaminerestleparefeuoufirewallenanglais.Lesparefeuont pourrledefiltrerletraficenfonctiondesinformationscontenuesdanslescouches3et4dumodleOSI.Lvolution desparefeuverslesmodlesconservantltatdessessions(modlesstateful)autoriseunsuividusensdinitialisation desconnexionscequiesttrsutileentreautressurlemodledechanagedesDMZochacunepossdeunniveaude scuritquiluiestpropre.Commeexpliqudanslechapitresurlascuritauniveau3,lapolitiquedescuritimpose quelesfluxsoienttoujoursinitialissdunezonedontleniveaudescuritestlevversunezonedontleniveaude scurit est infrieur. Les contrles dtat des connexions se charge de laisser entrer les paquets retours venant en rponseauxtraficsinitiaux.

Ce schma montre un parefeu laissant passer les trafics faisant partie dune session autorise et bloquant un trafic provenantdunezonedunfaibleniveaudescuritettentantdetrouverunpassageverslintrieurdurseau. LesrouteursCiscoetlescommutateursdeniveau3sontaptesremplirlerledeparefeuentreleszonesconues parlarchitectedescurit.Cependant,lalimitedesparefeuestflagrantesilonseplaceauniveaudescouchesdites hautesdumodleOSI.Eneffetunfiltragemmeavecmmorisationdeltatneprotgeaucunementunservicecontre une attaque purement applicative cestdire exploitant une faille dans un programme donn. Nous entrons ici dans luniversdesattaquesentreautresparinjectiondecodemalicieuxdunclientversuneapplication. Ilestdevenuindispensabledeprotgerlesapplicationscontrecetypedemalveillancequinesontpaspriseencompte par les firewalls classiques. Le dploiement (pour le protocole http) de relais (proxies) et de relais inverss (reverse proxies)dotsdefonctionsdescuritrpondparfaitementcetteexigencedefiltrageentrelesclientsetlesserveurs. CesquipementsembarquentdenombreuxcontrlescommelefiltragedURLetlesscannersantivirus. Linscurit crot aussi avec lutilisation intensive de la messagerie et des services Web dont les flux transitent entre applications grce la souplesse du langage XML embarqu lintrieur des protocoles HTTP ou HTTPS. Comme le montre le schma cidessus, les flux 1 et 2 sont grs par le contrle dtat et sont autoriss transiter dans des directionsenfonctiondesrglesdescurit(ACLCBAC).Leflux3,inconnuestarrt.Letrafic,bienqutantconforme auxrglesdescurit,vhiculepotentiellementducodemalveillantetlquipementdefiltragesiperfectionnsoitilny verraquedufeu.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Conclusion
Larchitecture de scurit du rseau est troitement lie larchitecturedurseau.Cetteimbricationnest pas sans soulever quelques problmes lors des volutions qui ne manquent pas de se produire dans les deux domaines. Les volutionsdanslunoulautredomainencessitentuneparfaitesynchronisationainsiquuneparfaitedocumentation. Les zones darchitecture que nous venons dvoquer impliquent une division logique du rseau et le passage dun rseau dit " plat" un rseau hirarchis. Ce remaniement saccompagne opportunment dune refonte du plan dadressageIPetdunrenforcementdufiltrageentreleszones. Toutcommelapolitiquedescurit,larchitectureestenperptuellevolutioncardenouvellesfonctionnalitsetde nouveauxprocessusviennentenrichirlesservicesdontlentreprisebnficieouquelleoffresespartenaires.Toutes cesouverturesexposentlesystmedinformationdenouveauxrisquesetdenouvellesmenaceslesquellesseront traitespourunrenforcementdelascuritarchitecturale.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Ncessitdeprotgerlesquipements
Cblesarrachs,alimentationscoupes,motsdepasseperdusetconfigurationseffacessontlelotcommundeceux quineprtentaucuneattentionlascuritphysiqueetlogiquedesquipementsdurseau. Lesquipementsdecommunicationmritentquelonsintresseeuxdeprsencequiconcernelascurit.Car,si toutes les mesures de protection logiques des couches rseau sont correctement prises, il serait particulirement gnantdebriserlachanedesfluxcausedunquipementdontlascuritintrinsqueauraittnglige.Deplus, lesconfigurationsinternesdesmatrielscontiennentdeslmentshautementconfidentielsetrvlentrapidement un ilexercunepartiedelarchitecturedurseauetdesascurit. La ncessit de procder une scurisation rigoureuse dun routeur ou de tout autre matriel est ds lors toute justifie. Unepolitiquedescuritdestineauxquipementsdurseausavre ncessaire et doit dcrire les exigences ainsi quelesprocduresdadministrationetdexploitationscurises. Nousallonsdiviserlesexigencesdescuritentroispartiesdistinctes.Lapolitiquequiendcouleracomprendradonc galementtroisparties.Nousallonstoutdabordnousintresserlascuritphysiquedelquipement,sascurit logiqueetlaprotectiondesconfigurations.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Exigencesdescuritetsolutions
1.Physique
Abordonstoutdabordsousformedetableaulesexigencesdescuritphysique.Nousmettronsenfacedechaque exigenceunebrvedescriptiondelasolutionavantdeladvelopper. Exigencesdescuritphysique Lerouteurseraphysiquementprotg. localprotgaccsscurisparbadgeavec enregistrementdesaccs. attachementdescbles,tatdesconnecteurs, reprage. alimentationredondante. sondedetempraturedanslelocaletsurveillance descompteursSNMPsurlquipement. SurveillancedescompteursSNMP. SurveillancedescompteursSNMP.

Lecblageseraidentifiable.

Lalimentationlectriqueseragarantie. Latempratureresteradanslesnormespublies parleconstructeur. LachargeCPUetmmoireserasurveille. Lachargedesliensrseauserasurveille.

a.Protectionphysique
NousavonsdjabordcetaspectdelascuritaveclacouchephysiquedumodleOSI.Toutefoisici,nousentrons dansledomainedelascuritdesinstallationsinformatiquesquivontdusimplelocaltechnique,lasallemachine enpassantparledatacenter. Toutquipementsedoitdebnficierduneprotectionphysiquelahauteurdesoncotmaisgalementdeson importanceauseindurseau.Lestechniquesdedtectionetdeluttecontrelesincendiesdpassentlecadredece livremaissontprimordialesetprendreencomptelorsdelaconstructiondunlocalvocationinformatique. Laprotectionphysiquedunquipementrseausetraduitparsoninstallationdansunlocaldontlescaractristiques deprotectionphysiquerespectentltatdelart.Nousparlonsicidecontrledesaccslasalleinformatiqueetde la capacit de ce contrle tenir un journal permettant de retracer les entres et les sorties. Les exigences de scurit (et donc la politique de scurit) imposent parfois le recours une armoire spcifique et scurise pour laccueildesquipementsrseau. Lecblageinformatiqueestundomaineminemmentstratgiqueetilesttrsimportantdedisposerduninventaire prcis et complet indiquant les chemins. Les quipements dinfrastructure du rseau peuvent occuper une place partentiresurleplandecblagedelentreprise.Decettemanirelorsquesurvientunvnementcritique,ilest plusaisdedfiniruncheminalternatifoudecouperdeslienssincessaire.Auniveaudechaquequipement,un reprage mticuleux des cbles rattachs aux quipements savre indispensable tout dabord pour identifier les extrmits dans un mme local. Ici, il est opportun de disposer dune base de donnes contenant lensembledes quipements,leursconnexionsetlescblesquiysontrattachs. quipement RouteurXXX Interface InterfaceFx/x IDCble CbleNYYY EquipementArr SwitchZZZ InterfaceArr InterfaceFy/yy

Ce bref exemple montre un exemple dinventaire de cblage avec lequel il est ais de retrouver un chemin. Cette techniqueestaussivalablepourlesstationsdetravail.Lescblesrseauxmunisdtiquettesprnumrotessont largementdisponiblesetilexisteaussidenombreuxsystmesdtiquetageindustrielspermettantdidentifiertous typesdecbles(rseauxetlectrique).

b.lectricit
Les systmes dalimentation lectrique haute disponibilit ne sont pas accessibles toutes les entreprises. Les systmes dalimentation lectrique totalement redondants sont coteux car ils mettent en uvre des sources alternativescomprenantdessriesdebatteriesetdesgroupeslectrognesmoteurthermique.Lentretiendune

ENI Editions - All rigths reserved - Moha Anisa

- 1-

telle installation requiert de surcroit une main d uvre spcialise. Les onduleurs, en cas de coupure lectrique, fournissentpartirdebatteriesinternesducourantpouruneduredfiniedurantlaquelleilestpossibledteindre lematrieloudattendreunretourdelalimentation.Cesonduleurssontgalementcapablesderemonterencasde coupureunealarmeverslesquipesdadministration. Si certaines de ces mesures sont tant bien que mal adoptes, il est toutefois primordial de soigner le cblage lectriquequiestsouventleparentpauvre.Lexprienceetlesauditsmontrentencoretropsouventdesmontages lectriques douteux alimentant des quipements sensibles. Citons brivement les cascades de prises multiples quipes dun interrupteur gnral qui, sil venait tre actionn couperait irrmdiablement lalimentation des machines situes en aval. Quant aux cbles proprement dits, tiquetages et fixations solides sont naturellement recommands.

c.Temprature
Les quipements du rseau comme tout autre ordinateur sont conus pour fonctionner dans une plage de temprature qui est indique sur la notice du constructeur. Audel ou en de de cette plage de temprature, la bonnemarchedusystmenestplusgarantie.Surlafichetechniqueestindiquelaquantitdechaleurmiselors du fonctionnement. Cette quantit est le souvent exprime en BTU (British Thermal Unit). La somme de lnergie calorifiquedgageindiquelapuissancedelaclimatisationquilfaudrachoisir.Lensembledudispositifdeventilation est dans la mesure du possible quip dun dispositif dalarme en cas dapproche des seuils indiqus par le constructeur.

d.CPUetMmoire
Tout comme un ordinateur individuel, un quipement rseau fonctionne avec un processeur et plusieurs types de mmoire quil est primordial de surveiller. linstar de la temprature, une augmentation (tendant vers la limite publie)delaconsommationdemmoireoudeprocesseurindiqueundysfonctionnementencoursouvenir.Afin de surveiller les compteurs dutilisation, lactivation du protocole SNMP est toute indique en respectant les prcautionsdusageenmatiredescurit.

e.Chargedesliensrseau
Lesinterfacesphysiquesouvirtuellesdunrouteurparexemplesontenpermanencesoumisesunecertainecharge detrafic.Enfonctiondesheuresdujouretdelanuit,dunepriodeparticuliredelanne,voiredunvnement. Comme la temprature, les compteurs mmoire et CPU, la charge de trafic est une indication particulirement intressantesousplusieursaspects.Toutdabordelleindiquesilerseaureoitdutraficetsitelestlecasildevient possible dobserver lactivit en temps rel. Une telle surveillance si elle est de plus couple avec un systme dalarmeencasdedpassementdeseuilpermetdedtecterparexempleunemonteenchargeinhabituelle.Des logiciels libres et trs performants sacquittent de ces tches en offrant de surcrot dintressantes fonctions dhistoriquedontlanalysepermetdanticiperlesredimensionnementsfutursdurseau.

- 2-

ENI Editions - All rigths reserved - Moha Anisa

Voiciunexempleduncrandesurveillancedupourcentagedoccupationdesliensdunrseau.Lelogicielutilisest Weathermap 4 RRD. Les couleurs des flches donnent rapidement une tendance de lutilisation des interfaces surveilles.CelogicielexploiteunebaseRRDquipermetdeconserverunhistoriquedutrafic. RRDtool(RoundRobinDatabase)estunlogiciellibredunegrandepuissancequipermetdegnrerdesgraphes.Il estdisponibleici :http://oss.oetiker.ch/rrdtool/

2.Scuritlogique
La scurit logique des quipements rseau concerne principalement la protection des accs la console ou au serveurWebembarqu.Ciscoamunisesproduitsdinterfacesphysiquesetlogiquesafinquunadministrateurpuisse seconnecteretaccderlalignedecommande. Toutcommepourlascuritphysique,ilnousfautenpremierlieuexprimerlesexigencesdescurit. Exigencesdescuritlogique Tempssynchronisavecauthentificationdela source. Protectiondesaccsvialesportssrieetauxiliaire. Enregistrementdestentativesdaccs. Contrerlestentativesdedcouverteduncompte. Authentificationetchiffrementdesaccs. Limiterletempsdinactivit. Limiterlaccscertainescommandeset informations. Protgerlesinformationsmisesparlerouteur. ProtocoleNTPavecauthentificationMD5.

Authentificationparcomptelocalouexterne. Commandeslogin on-failure,login on-success. Commandelogin block-for. ProtocoleSSHversion2. Commandeexec-timeout. Accslalignedecommandebassurdesrles.

ChiffrementdesmessagesSYSLOGetSNMP.

a.labonneheure
LesinformationsgnresparSYSLOGnesontpasvritablementexploitablestantquellesnesontpasestampilles aveclheurelaquellelvnementsestproduit.Cestpourcetteraisonquilestindispensablederglerlheuredun quipement avant sa mise en exploitation. Il est recommand pour ce faire dutiliser les services dun serveur de tempsconnuaussisousladsignationdeserveurNTP( NetworkTimeProtocol).Riendeplussimpleavecunrouteur Cisco,ilsuffitdentrerlacommandesuivante : R0(config)#ntp server 192.168.0.38 R0#sh ntp status Clock is synchronized, stratum 2, reference is 192.168.0.38 nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**18 reference time is CC7651DA.62FA027C (14:51:06.386 UTC Sat Sep 13 2008) clock offset is -8.7854 msec, root delay is 36.13 msec root dispersion is 14.43 msec, peer dispersion is 5.63 msec Voicilersultatdelacommande show ntp statusmontrantlasynchronisationdelheuredurouteuravecleserveur detemps. Mais, dans un souci vident de scurit, pouvonsnous faire confiance aux informations provenant du serveur de temps configur ici ? Rien nest moins sr et il faut recourir une nouvelle fois un protocole offrant un systme dauthentification. R0(config)#ntp authenticate R0(config)#ntp authentication-key 1 md5 cisco

ENI Editions - All rigths reserved - Moha Anisa

- 3-

R0(config)#ntp trusted-key ? <1-4294967295> Key number R0(config)#ntp trusted-key 1 R0(config)#ntp server 192.168.0.38 key 1 R0(config)#ntp access-group peer 10 Toutdabord,lauthentificationestactive.Puisuneclportantlenumro1estcre.Cetteclseraprotgeen md5.Lacommande trusted-keydsignecetteclcommetantuneclvalide.Lacommandedanslaquellesetrouve ladresseIPdurouteurassocieceluiciaveclaclnumro1.Pourterminer,uneACLestappliqueauxrequtesNTP. Unefoislquipementsynchronis,lesdeuxcommandessuivantespermettentdestampilleraveclheureetladate lesvnementsSYSLOGetlesmessagesissusdescommandesdeloutildediagnosticdebug. R0(config)#service timestamps log datetime localtime year R0(config)#service timestamps debug datetime localtime year

b.PortsConsoleetAuxiliaire
Examinons tout dabord les connecteurs externes. Nous trouvons sur un routeur un port Console et un port Auxiliaire. LeportconsoleseprsentesouslaformedunconnecteurDB9oudetypeRJ45.Uncbleconnectceportetau portsriedunPC(COM1)donneaccslalignedecommandedurouteurviauneinterfacegnralementnomme con0. Laccs la ligne de commande via cette interface ne souffre daucune drogation en matire de scurit. Il est possibledeprotgerlaconnexionselondeuxmthodes :lemotdepasseenableouuncomptedutilisateur.
G

La premire mthode donne accs dans un premier temps au mode non privilgi. Il est alors ncessaire dentrerlemotdepasseenablepouraccderaumodeprivilgi. Lasecondemthodeestplusscurisequelapremireetrequiertlacrationduncomptelocal.Cecompte estalorsrequislorsdelaconnexionconditiontoutefoisdavoirconfigurlinterfacecon0encesens.

R0(config)#username vincent password cisco R0(config)#line con 0 R0(config-line)#login local La premire ligne cre un compte local lquipement. La troisime ligne impose aux connexions entrantes via le portconsoleuneauthentificationaveclabasedecomptelocaledurouteur. Cetteinterfaceesttrspratiquelorsquelquipementdoittredpannetquilestinaccessibleparlerseau.Afin de faciliter les oprations en cas durgence, il est recommand de laisser le cble de la console ct de lquipement. Le port AUX (auxiliaire) du type DB 25 ou RJ 45 est utilis pour connecter un modem au routeur afin de le rendre accessible par lintermdiaire dune ligne tlphonique analogique. Une fois connect, il est ncessaire de sauthentifiertoutcommepourleportconsole. Il est primordial de tracer les tentatives de connexions russies ou se soldant par un chec. Deux commandes existentpoursatisfairecetteexigence : R0(config)#login on-failure log R0(config)#login on-success log Ici,lestentativescouronnesdesuccsetinfructueusessontenregistresvialeserviceSYSLOG. Toutquipementpeuttrevictimeduneattaquevisantdcouvriruncomptevalable.Ilestpossibledelimiterdans letempscestentativesenintroduisantundlaientreelles. R0(config)#login block-for 120 attempts 3 within 10 Ici,lerouteurrefuseratoutetentativedurantdeuxminutes(120s)silaprcdemmentreuplusdetroistentatives daccs(sanssuccs)enmoinsdedixsecondes.

c.TelnetetSSH

- 4-

ENI Editions - All rigths reserved - Moha Anisa

Telnet est un protocole client serveur qui nous semble provenir du fond des ges tant il est intgr dans les ordinateursaupointquesonnomestentrdanslelangagecourant.BassurTCP/IP,Telnetrenddinnombrables servicesdeparlemondeetsonctpratiquealargementcontribusadistributionetsapopularit.Toutefois, Telnet prsente en terme de scurit de trs nombreux dsavantages comme celui de ne pas chiffrer les communications. Ainsi, la squence dauthentification entre le client et le serveur passant en clair sur le rseau rvledirectementlemotdepassedelutilisateurquitentedeseconnecter. UnrouteurCiscoimplmentepardfautunserviceTelnetquiestdisponiblesurlesinterfacesvirtuelleVTY(Virtual Terminal).Ilestmalgrtoutindispensabledavoirentrunmotdepassedanslaconfigurationoudefaireappelau servicedauthentification.Toutcecirestecependantinsuffisantauregarddesmenacesactuellesquiplanentsurles rseaux. La protection des accs (via le rseau) la ligne de commande est une ncessit et ce fait est universellement reconnu.CestlaraisonpourlaquelleleprotocoleSSHconnaitdepuisquelquesannesunfrancsuccs. LimplmentationduprotocoleSSH(SecureShell)surlesproduitsCiscooffrelapossibilitdeseconnecterentoute scuritunhtedistantenchiffranttoutelacommunicationycomprislasquencedauthentification.Ciscofournit galement un client SSH en remplacement du client Telnet. Il est noter que SSH ncessite une version dIOS fournissantlesservicesdechiffrement. ObservonslaconfigurationdeSSHsurunrouteurainsiquunetentativedeconnexion. Router#conf t Enter configuration commands, one per line. Router(config)#host R0 R0(config)# ip domain name TestLab.fr R0(config)#crypto key generate rsa modulus 2048 The name for the keys will be: R0.TestLab.fr % The key modulus size is 2048 bits % Generating 2048 bit RSA keys, keys will be non-exportable...[OK] R0(config)# *Mar 1 00:06:38.919: %SSH-5-ENABLED: SSH 1.99 has been enabled R0(config)# ip ssh version 2 Enmodedeconfigurationilsuffit :
G

End with CNTL/Z.

dedonnerunnomdhteaurouteuretunnomdedomainedansunpremiertemps de gnrer une paire de cls de type RSA. Un modulo de 2048 bits est requis ici. La politique de scurit relativeauchiffrementindiquelacomplexitrequisepourlemodulo. delancerSSHdanssaversion2.Pourmmoire,leretourmentionnantSSH1.99renseignesurlapossibilit dutiliserSSHversion1cequinestpasrecommandpourdesraisonsdescurit.

R0(config)#line vty 0 4 R0(config-line)#transport input ssh R0(config-line)#login local R0(config-line)#exec-timeout 0 30 R0(config)#access-class 10 in R0(config-line)#exit R0(config)#username vincent password cisco R0(config)#service password-encryption R0(config)#enable secret cisco LeslignessuivantessepassentdecommentairessilelecteurestfamilierdelaconfigurationdesquipementsCisco. Cependant, une commande est ici importante. Il sagit de transport input ssh qui oblige la connexion distante utiliserSSH. La commande exec-timeout 0 30 est primordiale car elle permet de ne pas laisser la console connecte en cas dinactivit de lutilisateur. Le premier chiffre (ici 0) reprsente les minutes et le second (ici 30) reprsente les secondes.Danslecasexpos,lutilisateurseradconnectaprs30secondesdinactivit. Pourmmoire,nouscronsunutilisateurlocaletnousactivonsleservicedechiffrementdesmotsdepasse. EnfonctiondesversionsilestparfoisncessairepouractiverSSHdentrerlacommande :aaa new-model.

ENI Editions - All rigths reserved - Moha Anisa

- 5-

NepasoublierdepositionneruneACLpourdonnerlatouchefinalelaprotectiondesaccsviaSSHavec lacommande :access-class 10 in.

Lorsdelapremireconnexion,uncrandecetypeapparatetdemandelutilisateurdevaliderlempreintedelacl publiqueduserveur.Ilestimportantquunutilisateurdistantconnaisseaupralablecetteempreinte.Dslors,la rceptiondecetcranlutilisateurseraenmesuredelavalideraveccellequilpossdedj.Danslecascontraire, lutilisateursexposeaurisquedesubiruneattaquedutype maninthemiddle cestdiredesevoirprsenter uneclappartenantunepersonnemalveillante.

Voicilcranquiprcdelaconnexion.noter,ilestdemandauclientSSHdenepasmmoriserlemotdepasseen mmoire.Cettemesureestapplicabletouslesclientsquelsquilssoient. NousvenonsdemontrerquelimplmentationduprotocoleSSHestexcessivementsimple.Ilesttoutefoisncessaire depossderunrouteurdisposantdesfonctionsdechiffrementcequioccasionneuncotsupplmentaire.

d.SNMPetSYSLOG
SNMP SNMPou SimpleNetworkManagementProtocolassureenmodeclientserveurlenvoidemessagesentrelquipement surlequelrsidelagentSNMPetunserveurquiinterrogeceluici.LagentSNMPestaussicapabledmettredelui mme des messages destination du serveur. Ces messages portent le nom de trap. Il existe trois versions du protocoleSNMPquisediffrencientlesunesdesautresparleniveaudescuritoffert.Seulelaversion3permetle
- 6 ENI Editions - All rigths reserved - Moha Anisa

chiffrement et lauthentification des messages. Cette version est privilgier dans les environnements hautement scuriss.Examinonsunexempledeconfiguration. R0(config)# snmp-server group TESTLAB v3 priv access 10 R0(config)# snmp-server user vincent TESTLAB v3 auth sha cisco priv aes 128 cisco access 10 Ces deux commandes sont assez complexes et sont associes lune lautre avec le mot TESTLAB. La premire commande dfinit un groupe nomm TESTLAB qui utilise la version 3 du protocole SNMP. Le mot priv spcifie lauthentificationetlechiffrementdesmessages.LACL10estappliquepourfiltrerladressesourcedesrequtes. LasecondecommandedclarelutilisateurvincentdanslegroupeTESTLAB.Laversion3deSNMPestutiliseavec uneauthentificationbasesurlesprotocolesSHAetchiffreenaes128.Laccesslist10estgalementapplique.

VoiciunclientSNMPsurlepointdinterrogerlagentSNMPdelquipementafindobtenirladescriptiondusystme. Sep 13 2008 20:03:05: SNMP: Packet received via UDP from 192.168.0.38 on FastEthernet0/0 Sep 13 2008 20:03:05: SNMP: Get request R0(config)#, reqid 59802776, errstat 0, erridx 0 system.1.0 = NULL TYPE/VALUE Sep 13 2008 20:03:05: Incoming SNMP packet Sep 13 2008 20:03:05: v3 packet security model: v3 security level: priv Sep 13 2008 20:03:05: username: vincent Sep 13 2008 20:03:05: snmpEngineID: 800000090300C2000F340000 Sep 13 2008 20:03:05: snmpEngineBoots: 1 snmpEngineTime: 2633 Sep 13 2008 20:03:05: SNMP: Response, reqid 59802776, errstat 0, erridx 0 system.1.0 = Cisco IOS Software, 3700 Software (C3725ADVSECURITYK9-M), Version 12.4(11)XW5, RELEASE SOFTWARE (fc1) Sep 13 2008 20:03:05: SNMP: Packet sent via UDP to 192.168.0.38

ENI Editions - All rigths reserved - Moha Anisa

- 7-

Nousobservonsdanslesretoursdescommandes debug snmp packets et debug snmp headers,larrive du paquet SNMP,letypedauthentificationetlarponseenvoyeparlagentSNMPdurouteurversleclientSNMP. Le protocole SNMP facilite la surveillance de trs nombreux paramtres parmi lesquels lactivit des interfaces rseau. Les outils de mesure doccupation des liens effectuent une simple soustraction entre deux valeurs des compteursifinoctets(traficentrantenOctets)etunedivisionparlintervalledetempsentrelesdeuxmesures. SYSLOG LeprotocoleSYSLOGestsansdoutecontemporaindeTelnet.Deplus,ilesttoutcommeluiefficacecequilarendu populaireetindispensable.SYSLOGseproposedenvoyersurlerseaulesmessagesissusdvnementsgnrs par un systme dexploitation. Les messages SYSLOG sont clairement visibles lorsque lon quitte le mode de configurationpourrevenirenmodeexecaveclacommandeend(oulasquencesimultanesdestouches[Ctrl]Z). R0(config)#logging on R0(config)#logging console ? <0-7> Logging severity level alerts Immediate action needed critical Critical conditions debugging Debugging messages discriminator Establish MD-Console association emergencies System is unusable errors Error conditions guaranteed Guarantee console messages informational Informational messages notifications Normal but significant conditions warnings Warning conditions

(severity=1) (severity=2) (severity=7) (severity=0) (severity=3) (severity=6) (severity=5) (severity=4)

Lesmessagesissusdusystmesontvisiblessurlaconsolequiestdisponibledirectementsurleportdummenom (Con0danslaconfiguration)ousurunesessiondistante(TelnetouSSH)aveclacommandeterminal monitor. Toutdabord,ilestindispensabledepasserlacommande logging on afin dactiverglobalementleservice,puisde signifier au systme les types de messages renvoyer vers la console. La commande logging console 6dirigera verslaconsolelesmessagessystmeduneseverity de 6jusqu0ignorantlesmessagesdeniveau7. R0(config)#logging on R0(config)#logging host 192.168.0.38 CettesquencedecommandesdirigetouslesmessagesversunserveurSYSLOGexternecommeceluipropospar lasocitKIWIentreprise.

Voici,prsentsdanslelogicielKiwiSyslogmanager,lesmessagesissusdunrouteur.Nousytrouvonsplemledes informationsrelativesdesaccs,desmodificationsdelaconfigurationouencoredesmessagesprovenantdACL lafindesquellessetrouvelemotlog. SilesretoursdeSYSLOGsontrenvoysverslaconsoleaveclacommandelogging consoleunproblmede scuritseposeencasdchecdauthentificationsicettedernireesteffectuesurleportconsole(con0). En effet, le message indique si le rejet est du une erreur de nom dutilisateur ou du mot de passe. Ces informationssontautantdindications fournies une personne malveillante dans sa qute dunaccscommele montrelecodesuivant.

Username: vincent Password:


- 8 ENI Editions - All rigths reserved - Moha Anisa

% Login invalid Username: Sep 13 2008 20:33:44: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: vincent] [Source: 0.0.0.0] [localport: 0] [Reason: Login Authentication Failed - BadPassword] at 20:33:44 UTC Sat Sep 13 2008 Username: Ici, nous savons que le nom dutilisateur est correct mais que le mot de passe est erron. Nous sommes donc en possession de la moiti de la squence dauthentification. Il est donc recommand de dsactiver la commande logging console.

e.Rlesadministratifs
Ilestsouhaitabledansuneentrepriseayantgrerunparcdquipementconsquentdedisposerdunepolitique daccs aux diverses fonctionnalits des quipements. Il est possible de crer des rles dans le but de donner chacun deuxlaccs un ensemble limit de fonctions. Ainsi, la confidentialit de la configuration du routeur et la rpartitiondesresponsabilitssentrouventamliores. DanslaterminologieutiliseparCisco,letermedevue(view)estemploy.Ilenexistedeuxtypes :
G

Lavuerootquidisposedetouslesprivilgesdontceluidecrerdautresvues. Lesvuesliesunrlequidisposentdetoutlepaneldescommandesexistantessurlquipement.

Avant toute chose, il est indispensable dactiver AAA avec la commande aaa new-model puis de se dconnecter du modeprivilgiavantdeconfigurerlquipementsuivantlexemplesuivant. R0>enable view Password: R0# *Mar 1 02:42:51.331: %PARSER-6-VIEW_SWITCH: successfully set to view root. La premire commande suivie du mot de passe enable permet dentrer dans la vue root partir de laquelle nous allonsparamtrerlesautresvues. R0#conf t Enter configuration commands, one per line. R0(config)#parser view admin-reseau R0(config-view)#

End with CNTL/Z.

Lavueportantlenomadminreseauestcrepartirdelavueroot. R0(config-view)# R0(config-view)# R0(config-view)# R0(config-view)# R0(config-view)# R0(config-view)# R0(config-view)# secret 0 commands commands commands commands commands commands cisco configure include all interface exec include traceroute exec include ping exec include configure terminal exec include configure exec include all show ip

cettevuesontajouteslescommandesjugesncessairespourcerledadministration.Lemotdepassesecret decettevueseranaturellementchiffrparlesystme. R0>enable view admin-reseau Password: R0# *Mar 1 02:58:17.631: %PARSER-6-VIEW_SWITCH: successfully set to view admin-reseau. R0#? Exec commands: configure Enter configuration mode enable Turn on privileged commands
ENI Editions - All rigths reserved - Moha Anisa - 9-

exit ping show traceroute

Exit from the EXEC Send echo messages Show running system information Trace route to destination

R0#sh R0#show ? ip IP information Pour accder au rle, il faut tout dabord entrer la commande enable view suivie du nom de la vue. Le message SYSLOGindiquequenoussommesentrsdanscettevueavecsuccs.Enentrantlepointdinterrogationseulnous observons toutes les commandes disponibles dans le mode Exec. Nous pouvons aussi examiner les options disponibles aprs la commande show. Dans notre cas, seules les commandes commenant par show ip sont disponibles. R0#conf t Enter configuration commands, one per line. End with CNTL/Z. R0(config)#? Configure commands: do To run exec commands in config mode exit Exit from configure mode interface Select an interface to configure Ici, nous procdons la verification du mode de configuration. Comme prvu, seul le mode de configuration des interfacesestpropos.

f.Protectiondesdonnesmises
Lapolitiquedescuritimposeparfoisdeprotgerlesinformationsissuesdelquipementenfonctiondutypede liaison(localeoudistante)etdutypederseau(privoupublic).NousvenonsdexaminerlesprotocolesSYSLOGet SNMPquientrentdanscecasdefigure.Lesinformationsmisesparcesdeuxservicestransportentltatphysique etlogiquedelappareillorsdesonfonctionnement.Ilestdoncprimordialdassureruntransitscurisdecestats afinquilsnesoientniinterceptsetencoremoinsmodifissurletrajetentrelquipementetleserveurchargde rceptionnerlesdonnes.Encasdelitigelaprotectiondesinformationsdurantletransitenassurantlintgritdu messageetnotammentlacorrespondanceentrelvnementetsonheuredoccurrence. LeprotocoleIPSecesttoutnaturellementdsignpouraccomplircettetche.Nousavonsexaminsaconfiguration dansunchapitreprcdent.LaprotectiondesdonnesissuesdesservicesSNMPetSYSLOGconsistedonccrer unecryptomapentrelerouteuretleserveuraccueillantlesmessages.LesservicesIPSecsontdisponiblessurles platesformes Microsoft et Linux. Soulignons aussi lopportunit de filtrer ces communications vers les serveurs de destinationlaidedACLappropries.

3.Scuritdesconfigurationsetdusystmedexploitation
Desinformationssensiblessontprsentesdanslaconfigurationdunquipementrseau.Citonsentreautrelesmots de passe des utilisateurs locaux et cls de chiffrement IPSec. Le systme dexploitation est lui aussi au centre de touteslesattentions.Prsentonscommelaccoutumelesexigencesdescurit. Exigencesdescuritdesconfigurationsetdusystmedexploitation NepasinstalleruneimageIOScorrompue. Protgerlesmotsdepassedanslefichierdeconfiguration. Protectiondesclsdechiffrement. UtilisationdeMD5. Chiffrementdesmotsdepasse. Chiffrementdesclsdansla configuration.

a.ScuritdelimagedulogicielIOS
LesystmedexploitationdunrouteurCiscosenommeIOS(InternetworkOperatingSystem)etcelogicielnestpas exempt de dfauts tant ses possibilits sont tendues. Ces imperfections (on parle de bug) ont parfois un impact direct sur la scurit de lquipement et par extension sur le rseau tout entier. La politique de scurit impose gnralementdesurveillerlesvulnrabilitsetdappliquerlescorrectifsquisimposentenrespectanttoutefoisune certaine procdure. Les entreprises ne sont pas toutes gales face aux menaces informatiques et ceci est principalement d au manque de moyen dans les fonctions de scurit et plus particulirement en matire de
- 10 ENI Editions - All rigths reserved - Moha Anisa

surveillancedesvulnrabilitsimpactantleparcinformatique. ConcernantlesystmedexploitationIOS,ilestfortementrecommanddesuivrelespublicationsdevulnrabilitsle concernant et de prendre les bonnes dcisions en fonction des impacts potentiel sur le rseau voire le systme dinformationtoutentier.Leschangementsdeversionsncessitentlapplicationdeprocduresrelativementsimples mais incontournables. Elles consistent principalement appliquer la nouvelle version sur un quipement reprsentatif de ceux se trouvant en cours dexploitation.Siaucunquipementreprsentatifnest disponible, une fentre dintervention sera ngocie afin de procder au changement de version sur un quipement en cours dexploitation.Cettefentreseraplanifieentenantcomptedutempsncessairepoureffectuerunventuelretour en arrire. Bien entendu la configuration et lIOS en cours seront sauvegards. Pralablement toute installation dunnouvelIOSsurunquipement,ilfautletlchargersurlesiteInternetdeCiscoouseleprocurerauprsde sonfournisseur.Afindviterunecorruptiondulogiciel(onparleaussidimage)unevrificationsimposeetconsiste vrifierlempreinteMD5delIOS.Voicicommentprocder. Toutdabord,lesitewebdeCiscofournituneempreinteMD5delimagequelonestsurlepointdetlcharger.Une foislIOSreu,ilsuffitdevrifiersonempreintegrceunutilitaire.

LempreinteMD5estdonnedanscetableau.Puisilfauteffectueruncopiercollerdecetteinformationdansloutil devrificationdanslequelonchargegalementlIOSvrifier.

Nous observons ici que lempreinte copie partir du site Internet correspond celle de lIOS tlcharg. Cependant, il est toujours possible de corrompre une image lors de son transfert. Fort heureusement, les quipements disposent dune fonction qui vrifie lempreinte de lIOS au moment de son transfert. Cette fonction sactiveaveclacommande file verify auto.Unefoiscettecommandepasse,lesimagesserontvrifieschaque tlchargement dans lquipement et en cas dchec lors de la vrification limage sera efface. Il est noter que cette commande effectuera aussi une vrification systmatique de limage en place dans lquipement lors de sa rinitialisation.

b.Protectiondesmotsdepasse
La politique de scurit impose une protection logique du routeur. Nous avons plusieurs reprises dans les chapitres prcdents cr des comptes dutilisateurs distants auxquels nous avons systmatiquement associ un motdepassequinaturellementseretrouvedanslaconfiguration.Ilsagitdoncdeprotgerefficacementcemotde passe au cas o la configuration viendrait tomber entre de mauvaises mains. Cisco propose deux mthodes de chiffrement pour les mots de passe, nous disposons pour notre part dun levier qui est la complexit du mot de passe.Enlamatireilconvientdeserfrerlapartiedelapolitiquedescurittraitantdelagnrationdesmots depasseetdappliquerlacomplexitrequise. Ilexistedoncdeuxtypesdeprotectiondesmotsdepassedanslesconfigurations. Lapremiremthodeappliqueunalgorithmehlasrversiblequilfautviterautantquepossible. enable password 7 02050D480809 !
ENI Editions - All rigths reserved - Moha Anisa - 11 -

username vincent password 7 01100F175804 ! line vty 0 4 password 7 104D000A0618 login VoiciunexempledecechiffrementrversibleutilispourprotgerlesaccsTelnet.Ilestidentifiablegrceauchiffre 7aprslemotpassword.

Denombreuxsiteswebpermettentdedcoderlechiffrementdetype7.Ici,quellequesoitlacomplexitdumotde passe il est rcuprable. Notez quil est indispensable au pralable dactiver la commande service passwordencryption. LasecondemthodeutiliseuneversiondeMD5modifieparCiscoquinestpasdirectementrversible. R0(config)#enable secret cisco ! R0(config)#username vincent secret cisco Enentrantlescommandescidessus,nousobtenonslorsdelarevuedelaconfigurationceci: enable secret 5 $1$m3hk$LpKovptYw61uMDjauPeCt0 ! username vincent secret 5 $1$OCOM$75BPe3ttOA.dUPKsjxdd61 Ici,nousobservonslempreinteMD5dumotdepasseenableetcelledumotdepassedunutilisateur. Le chiffrement de type 7 qui protge le mot de passe daccs aux lignes virtuelles devrait tre systmatiquement cart au profit dun protocole scuris tel que SSH. Ce dernier sappuie sur une authentificationpesonnalise(ventuellementlocale)etseconfigurecommesuit.

R0(config)#aaa new-model R0(config)#aaa authentication login default local Cette configuration seule suffit protger avec un compte local les interfaces Telnet (vty), Console (con 0) et Auxiliaire. Ciscometdispositionunecommandequipermetdeconfigurerunmotdepasseusageuniqueaveclacommande one-timeutilisedansunesquencecommecelleci :username vincent one-time secret cisco.Cettetechniqueest applicable une stratgie dinstallation distance dun quipement disposant dune configuration minimale. Un administrateurseconnecteenSSHlquipementaveclemotdepasseuniquepuisytlchargeuneconfiguration pluscompltecomportantdeslmentsconfidentielsavantdelasauvegarderdanslammoireaveclacommande wr.Lemotdepasseuniqueestcemomentldfinitivementperduetremplacparlecomptedfinitif. Lutilisationdecomptelocauxdeprfrencelimiteuncompteafindexposerlemoinspossiblelquipementaux attaquesquitententdesenemparer.Ilesthabituellementconsidrcommeuncomptedesecours.Eneffet,ilest recommand daccder au routeur par le biais dun compte hberg sur une base externe lquipement comme celledunserveurdetypeRADIUScedernierinterrogeantventuellementsontouruneautrebasedecompte.

c.Protectiondesclsdechiffrement
NousavonsabordlesujetdelaprotectiondesclsdechiffrementdanslechapitretraitantdIPSec.Pourmmoire lescommandesutilisersont :key config-key password-encryptetpassword encryption aes. Ilnefautpaslimiterlaprotectiondesclsdechiffrementlaseuleconfiguration.Lesclsdechiffrementunefois gnres sont idalement conserves dans un lieu sr et font lobjet dune comptabilit soigne quant leur attribution, leur changement et leur destruction. La gestion des cls sur un mdia lectrique implique une protectiondeceluiciparunchiffrementadquat.

- 12 -

ENI Editions - All rigths reserved - Moha Anisa

ENI Editions - All rigths reserved - Moha Anisa

- 13 -

Conclusion
La protection des quipements, si elle est nglige, facilite considrablement les agissements des personnes mal intentionnes mais favorise aussi les erreurs de configuration ou de manipulation. Les consquences de tels manquements peuvent tre dramatiques et difficilement reprables en cas, par exemple, dun mauvais rglage de lheure. Il en va de mme pour lenvironnementphysiquedesquipementsquinesauraitsouffrirdaucunengligencecarla prservation des performances et la dure de vie dun quipement dpendent de facteurs sensibles comme la tempratureoulhygromtrie. Les journaux, en fonction de leur utilisation, sont protger durant leur transit sur le rseau et sur leur lieu de stockageafinquilspuissentlecaschantservirdepreuvelorsduneenquteconscutiveunaccident,unepanne ouunactedevandalisme. Enfin,ilestfortementrecommanddefairesuivreauxclsdechiffrementuncycleviestrictallantdeleurgnration leurmiseenservicejusquleurdestruction.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Introduction
Pourcertains,ctaitunphnomnedemodemaispourdautresctaitunencessit.liminertoutjamaisdescaves et des soussols les encombrantes armoires tlphoniques, les centraux et les autocommutateurs. La tlphonie classique, analogique puis numrique, tait pour les entreprises un centre de cot sans cesse croissant avec lembauchedenouveauxcollaborateurschacunncessitantlinstallationdunpostetlphoniqueetlaconsommation duncertainvolumedecommunications.celasajoutelephnomnedemondialisationdelconomiequiapoursa partgrandementcontribulaccroissementconsidrabledeschangestlphoniquesnationauxetinternationaux. Jusquunedizainedannes,dansledomainedestlcommunications,latlphonievhiculaitlinformatiqueetlon trouvait dans les salles machines bon nombre de modems (modulateurs dmodulateurs) raccords des lignes tlphoniquesouvertesenpermanence.Cesliaisonsextrmementcoteusespermettaientderelierlesgrossystmes informatiques entre eux et den assurer la maintenance distance. Tout cela fonctionnait fort bien mais, de lignes loues analogiques en cartes dextension en passant par le cot des appels longue distance, la facture tlcommunicationcroissaitchaqueanneunpeuplus. AveclavnementdInternetetlesprogrsenmatiredenumrisationdelavoixsontapparusaufildesannesdes logiciels permettant dtablir une communication vocale sur le rseau des rseaux avec des correspondants dj connects.LepasverslatlphoniesurIPfutrapidementfranchietlesconstructeurscomprirentquilspourraientsans tarderproposerauxctsdeleursproduitspharesdesquipementsquipermettraientderemplacerdfinitivementles centrauxtlphoniques.grandrenfortdepublicitetdecommunicationlesentreprisesprirentconsciencegalement quaudeldespremiersinvestissements,latlphoniesurIPetlesservicesassocisdiminueraientconsidrablement lescotstoutenaccroissantlasouplesseetlaproductivit. prsent,lesrseauxinformatiquesvhiculentletlphone.Cettetransitionnaurapasdurunedcennie. Nousallonsdanscechapitrenumrerlesmenacesquiplanentsurlesrseauxhbergeantdesservicesdetlphonie surIPetprsenterlesmesuresdeprotectionadquates.

Le tlphone IP sur son poste de travail. Cest chose possible avec Cisco IP communicator un tlphone logiciel ressemblantcommedeuxgouttesdeauauxmodlesdelasrie74XX.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Stratgieetscurit
Letlphonefaitdepuisplusdunsiclepartiedenotrevieaupointquilpassetotalementinaperucarilestunobjet de consommation courante et le service quil fournit est particulirement stable. Les rseaux tlphoniques sont les nerfs de notre civilisation moderne dont dpend notre mode vie au point quils revtent une dimension stratgique sans quivoque. Cest sans doute pour cette raison qui furent et restent encore dans une moindre mesure sous le contrledestatsquipeupeucdentdeslicencesdexploitationdescompagniesprives.Lec urdesrseauxde tlcommunicationettoutesoninfrastructuresontainsiprotgsetsurveillsaveclaplusgrandeattentiontantleur arrtetlinterruptiondeservicequisensuivraitauraientdesconsquencesdsastreusessurnotreconomieetnotre viecourante.Ilsuffitpourceladesongeruninstantlimpossibilitdejoindreunservicedesecoursoulincapacit decesmmesservicessecoordonnerencasdecatastrophe.Ilenvademmedansledomaineconomique.Pour toutescesraisons,lascuritdesrseauxdetlcommunicationestfondamentale. Nousallonsexaminerdanscechapitrelascuritdesrseauxinformatiquestransportantlesservicesdetlphonie surIPplusconnusouslesigneTOIPpour TelephonyOverIP.LesservicesdeTOIPsupplantentlesservicesclassiques de tlphonie analogique ou numrique car ils sintgrent parfaitement linfrastructure des entreprises dont ils partagent la capacit avec les autres services comme la messagerie. Le succs que connaissent actuellement les services de tlphonie sur IP sont en partie du cette troite imbrication qui diminue considrablement sur le long terme les cots dexploitation de la tlphonie classique. Ainsi, il nest plus ncessaire de maintenir un cblage spcifiqueenparallledeceluidestinaurseauinformatique.Deplus,lesservicesdeTOIPsonthbergssurdes serveursaummetitrequetouteslesautresapplications. CesthlasenpartiecausedecesavantagesquelesrseauxTOIPentrentdanslaproblmatiquegnraledela scuritinformatique.Enfait,ilshritenttoutnaturellementdesmmesmenacesetdesmmesfaiblesses.Examinons les.

1.Menacesetfaiblesses
Au chapitre des menaces et faiblesses planant sur les rseaux de TOIP nous trouvons les attaques par dni de service qui prennent ici une dimension mesurable par tous les utilisateurs dun rseau tlphonique. Nous nous sommeseneffethabitusanneaprsanneuneexcellentedisponibilitdurseautlphoniquedomestiqueet uneamliorationconstantedelaqualitdelavoixdenoscorrespondants.Raressontdenosjourslesproblmesde distorsion ou de diaphonie et notre interlocuteur nous parat naturellement proche. Toutefois, les rseaux de tlphonie sur IP souffrent dautres imperfections comme lcho qui dpend troitement du temps dacheminement des paquets sur le rseau et le hachage des conversations ds que la bande passante vient manquer. Les attaques par dni ou dgradation de service disposent donc dun terrain favorable du fait mme de la technologie utilise. Les attaques portent principalement sur les quipements du rseau ou sur les serveurs hbergeant les servicesdetlphoniesurIP,cesderniersayantremplaclestraditionnelscentrauxtlphoniques.Lesattaquesne manquent pas et consistent rendre un poste indisponible en le faisant sonner sans cesse ou en diffusant un message en boucle aprs avoir dcroch le combin. Quant au c ur du systme toutes les techniques visant mettrehorsserviceunserveursontthoriquementutilisables. Lescoutestlphoniquesnourrissenttouslesfantasmesdepuislapparitiondutlphoneetdonnenttoujourslieu dimportantsscandalespoliticomdiatiques.cetitreellesattirenttoujourslattentiondescurieuxentoutgenre. Lescoutessoprentauseindedeuxprimtresbiendistincts,cesontlevoisinagedirectdelappareilpigerou le rseau de loprateur.Cest sur ce dernier quoprent les services gouvernementaux qui seuls ont le droit sous couvertdelajusticedepratiquerlescoutes.Levoisinagedirectdupostetlphoniquestendduposteluimme lentre sur le rseau de loprateur tlphonique. Pour mmoire, au voisinage du poste, les coutes des rseaux analogiques ne ncessitaient que trs peu de matriel, un simple fer souder et des pinces crocodiles taient amplementsuffisants.Puis,latlphonieavantdebasculerdansluniversIPquenousallonsdcrireestpassepar une tape intermdiaire pendant laquelle la voix, dj numrise, cheminait sur un protocole informatique nomm RNIS. Les coutes sur le rseau au voisinage des appareils requraient la mise en uvre dappareil drivs des analyseursdeceprotocole.Lescoutesntaientdslorspluslaportedupremiervenucarlematrieltaitassez coteux. Avec lavnement de la TOIP, nous pouvons dire quen matire de scurit sopre un certain retour en arrire car cette technologie, si rien nest fait pour la protger, redevient sujette aux coutes avec des moyens relativementsimplesetsurtouttrslargementdiffuss.Fortheureusement,pourpalliercettatdefait,desmesures deprotectionsontdisponibles. Lun des multiples cauchemars dun responsable de la scurit veillant sur un rseau fournissant des services de TOIPestlafraude.Cetermedsigneausenslargelesappelssortantduprimtredelentrepriseversdesservices payants ou des contres lointaines. La facture tlphonique augmente considrablement et les agissements des fraudeursdoiventtreentravsleplusrapidementpossible.Lesmthodesutilisesdescendentenlignedirectede celles utilises du temps de la tlphonie analogique et consistent manipuler des prfixes ou jouer des mcanismesderedirectiondappel.

2.Mesuresdeprotection
Lesmesuresdeprotectionnemanquentheureusementpaspourentraverlesattaquesquenousvenonsbrivement

ENI Editions - All rigths reserved - Moha Anisa

- 1-

dvoquer. Tout comme la TOIP repose sur les rseaux de donnes IP en hritant des problmes de scurit, elle hrite aussi des mthodes de dfense qui vont sarticuler autour du rseau et des quipements que sont les tlphonesetlesserveursdevoixsurIP. Auniveauphysique,unedosedeprotectionsavrerancessairepournepasnuirelintgritdutlphoneIPet encoremoinscelledesserveurs.Lacouche2dumodleOSIsert,linstardecequenousavonsdjexamin, lancer des attaques dinterception du trafic dont le but ultime nchappera personne. Les couches session et rseau sont extrmement sollicites par la tlphonie sur IP qui est fortement consommatrice de ports attribus dynamiquementetquilconviendradelimiteretdefiltreravecleplusgrandsoin.Lacoucheapplicationquantelle nestpasenrestecarlesserveursainsiquelestlphonessontlesvictimesdattaquesdiversestantauniveaudes protocolesdevoixsurIPquauniveaudesdiversesinterfacesdadministration quilconvientdeprotgeravecsoin par le biais de protocoles HTTPS ou SSH tout en veillant dconnecter les sessions ouvertes aprs un temps dinactivitraisonnable.

- 2-

ENI Editions - All rigths reserved - Moha Anisa

LavisiondeCisco
Ciscoproposedepuislemilieudesannes90unservicedetlphoniesurIPintgrconnusouslappellationdeCall ManagermaisdontlenomcommercialactuelestCUCMpour CiscoUnifiedCommunicationManager.Cevritablecentral tlphoniqueIP(onparledIPBX)outresescapacitsgrerdesmilliersdappelsoffretouteunegammedeservices annexes comme la mobilit, la prsence ou encore les confrences. Cisco fournit avec son systme un protocole propritaire de tlphonie sur IP nomm SCCP (ou Skinny), il est rput pour sa lgret comparativement au protocoleH323.SCCPestactifentreletlphoneIPetleCallManagerpourltablissementdunappel.Examinonstrs schmatiquementledroulementdunecommunication.

Nous observons sur ce schma simple ltablissement dune communication entre deux postes tlphoniques IP. La mthodedescendenlignedirectedecellemiseen uvreparlatlphonieanalogique. 1 Lappelant dcroche son combin et compose le numro de son correspondant. Ds le dcroch du combin, le serveurTOIPdtecteuneactivitetattendlanumrotationavantdelinterprter. 2 Le serveur de TOIP cherche la correspondance entre le numro compos par lappelant et ladresse IP du correspondantetlorsquillatrouvefaitsonnerlaligne.Enretour,ilannoncecettatlappelantquireoitlatonalit desonnerie. 3Lecorrespondantdcrochesoncombin.LeserveurTOIPinformealorslesdeuxcorrespondantssurleursadresses IPrespectivesetlesportsutiliserafindentamerlacommunication.lissue,leserveurTOIPseretireetlaisseles deuxcorrespondantschangerlibrementdespaquetscontenantdelavoixnumrise. Lestapesnumrotes1et2sontdsignesentermestlphoniquescommetantleprotocoledesignalisationou parextensiondelangage :lasignalisation.Ltapenumro3constituelaconversationtlphoniqueproprementdite etfaitappeldautresprotocoles. Nouspouvonsdjpartirdecesimpleschmaaborderlescasdanslesquelslascuritseraitmenace.Toutefois, lesarchitecturesTOIPneselimitentpascemodlecarlesarchitectureslespluscomplexesprvoientdespointsde sortiesverslesrseauxpublicviadespasserellesspcialises.CertainsrseauxdeTOIPmettentaussien uvredes quipementsdestinslaconversionentrelesprotocolesTOIP,maisnousexamineronspourplusdeclartdescasde figurerelevantdelexempledcritdansceschma.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Exigencesdescuritetsolutions
Les versions de CUCM voluent sans cesse, aussi nous avons dcid de ne pas encombrer le lecteur de multiples cransdeconfigurationetavonschoisidedcrirelesmenusconduisantlaconfigurationsouhaitetelsquilsexistent danslaversion6.0.1. Nous pouvons dj partir du simple schma dcrivant une communication aborder les cas dans lesquels la scurit seraitmenace.Toutefois,lesarchitecturesTOIPneselimitentpascemodlecarlesarchitectureslespluscomplexes prvoient des points de sorties vers les rseaux public via des passerelles spcialises. Certains rseaux de TOIP mettentaussien uvredesquipementsdestinslaconversionentrelesprotocolesTOIP.Pourplusdeclart,nous nexamineronsquedescasdefigurerelevantdelexempledcritdansceschma. LobjectifdecechapitreestdedcrirelesprincipalesmenacesquipsentsurunrseauTOIPetdelescontrergrce aux mesures de protection dj implmentes sur un rseau IP et celles propres aux services de tlphonie. La politiquedescuritdelentreprisehritedunnouveauchapitreaveclavnementdesservicesdeTOIP,chapitredont nousverronsquilesttroitementliceluisurlascuritauxniveauxdeuxettroisdumodleOSI. Lescransdecechapitreproviennentdelaversion6deCiscoUnifiedCommunicationManager.

1.Exigenceslieslascuritrseau
ExigencesdescuritphysiquesetrseauappliqueslaTOIP ProtectiondesservicesdeTOIP. Protgerphysiquementetlogiquementles quipementsdextrmit. Protectionphysiquedeslocaux. Surveillancedesbureauxsensibles. DsactivationdelinterfaceWeb MiseenplacedeVLANddislavoixetfiltrage entrelesVLAN. Dispositifsdesurveillanceauniveau2. NoncoutedesmessagesgratuitousARP. LesservicesdetlphoniesurIPsont,nouslavonssoulign,stratgiquesetnesauraientsouffrirdaucunepanne. Ceci est en partie d lexcellente fiabilit laquelle nous sommes habitus de la part des rseaux tlphoniques prcdents. Maintenir un tel niveau de disponibilit ncessite une haute protection physique des services. Toutes les rgles voquesprcdemmentsontdispositionafindatteindrecetobjectif. Les appareils dextrmit comme les tlphones IP et les stations de tlconfrence doivent tre lobjet dune attention toute particulire car leur intgrit physique garantit directement le niveau de confidentialit de toute la chanedecommunication.Avantdaborder limprieusencessitdechiffrerlescommunicationsetlasignalisation,il estindispensabledeprciserquelesattaqueslesplusaudacieusesportentdirectementsurlesquipementsavant mme que tout chiffrement intervienne. Il sagitalorsdepigerlesmicrosoucouteurscestdire les composants chargsdecapterlavoixhumaineoudelarestituer.Ainsi,unmicrometteurhabillementdissimuldansuncombin contournetouteslesmesuresdeprotectionprisesenavalcommelechiffrementcarilintervientavantlanumrisation dusignaletsonchiffrement. Certains postes de par leur position dans des locaux sensibles comme les salles de confrence doivent faire lobjet dune attention soutenue par le biais par exemple de camras de vido surveillance. Les quipements dextrmits disposentparfoisdemicrophonesdambiancedestinscapterlavoixlorsquelecombineestraccrochcequipermet de poursuivre une conversation les mains libres. Ces microphones sont gnralement activables par le logiciel du tlphoneetsoninterfacedadministration.Encasdedfaillancelogicielleoudengligencequantlaprotectiondes accscetteinterface,lesconversationspourraienttransiterviacemicrophonediscrtementactiv.Sadsactivation simpose donc. De mme, la plupart des tlphones IP disposent dune interface dadministration Web qui peut enfreindrelapolitiquedescuritetsevoiraffectedebugslogiciels.

Assurerlasparationdutraficvoixetdonnes.

Interdirelesattaquesdetypemaninthemiddle.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

VoicicequelonobtientenseconnectantenhttpladresseIPdutlphoneaprsstrebienentenduconnectau VLANvoix.CettepageaffichequelquesinformationsquiindiquententreautressesURLsurleCUCMquipermettentde seconnecterentantquutilisateuroudelanceruneattaquevisanttrouveruncoupledauthentificationvalide. Nonobstantcettemesure,letlphoneprsentelutilisateurparlebiaisdesmenusdesinformationssensiblesde scurit.

Ici, lutilisateur visualise les options de scurit de son tlphone et avec la combinaison de touches **# a la possibilit doprer quelques modifications. Tout comme pour le serveur HTTP embarqu, la prsentation de la configurationlutilisateurestuneoptionquilestprfrablededsactiver. Les donnes issues des postes de travail et celles provenant des appareils de tlphonie sur IP doiventelles emprunter le mme chemin ? Les rgles de scurit que nous avons dcrites recommandent une sgrgation du rseauenzonesfonctionnelles.Ilenvademmepourlesdonnessiellessontissuesdoriginesquilconvientdisoler lesunesdesautrespourdesraisonsdeconfidentialit.Ceciestlaissladiscrtiondelapolitiquedescurit.En matiredetlphoniesurIPunesparationentrelavoixetlesdonnesestrecommandeafinentreautredelimiter limpact dune perturbation sur le rseau rserv aux donnes. Cette exigence de sparation repose quasi essentiellementsurlesVLAN.Danslapratique,deuxapprochessontenvisageables :
G

LapremireconsistepourunmmeutilisateurdedissocierlaconnexiondutlphoneIPaurseaudecellede

- 2-

ENI Editions - All rigths reserved - Moha Anisa

lordinateur,chacunoccupantunportsurlquipementderaccordement.
G

Lasecondeconsisteconnecterlordinateursurletlphonecederniertantconnectviauntrunk802.1Q lquipementderaccordement.Cettederniresolutionestlapluscourammentemployecarelleconomiseun port.

Ici,letlphonejouelerleduncommutateurEthernetenacceptantdunctun trunkcomposdedeuxVLANetde lautreunordinateurindividuel.UnVLANdonnesaccueillelordinateuretunVLANvoixreoitlespaquetsmisparle tlphoneIP. Sicetteconfigurationestdployepardfaut,leportrservauPCserapartoutdisponibleycomprissurlespostes tlphoniques qui ne sont pas destins en recevoir un. Ceci entrave ventuellement la politique de scurit en offrantuneportedentreaurseausurunlieupublic,ilestalorsindispensabledavoirlapossibilitdedsactiverce port. Nousavonsdjabordlesproblmespossparlesattaquesdetypemaninthemiddleaucoursdesquellesuntiers intercepteletraficentredeuxcorrespondantsentrompantlessystmesdexploitationauniveaudelacouche2du modle OSI. Cette attaque transpose dans le monde de la tlphonie sur IP signifie que les conversations seront coutes linsu des correspondants lgitimes. Les attaques sont galement bases sur le protocole ARP et consistent empoisonner le cache ARP dun tlphone ( ARP poisoning). Larsenal quil convient demployer est identiqueceluidcritdanslechapitresurlaprotectionauniveau2.Encomplmentnotonsquelaconfigurationdun poste IP permet de dsactiver tout ce qui nest pas strictement ncessaire au fonctionnement de lappareil comme lacceptationdesmessagesgratuitousARP. LetlphoneIPlorsdesoninitialisationfaitappelauxservicesdunserveurDHCPpourobtenirsonadresseIP.Les protections tudies au chapitre La scurit des couches physiques et liaison de donnes sont aussi appliquer imprativement.

ENI Editions - All rigths reserved - Moha Anisa

- 3-

Voiciuneillustrationdesoptionsdontnousvenonsdeparler.LaccsauVLANvoixparletlphoneseffectuelorsde la premire prise de contact grce au protocole CDP dont nous savons quil est vulnrable de multiples attaques do limportance de veiller lisolation du PC par rapport au VLAN voix qui une fois dcouvert ouvre la porte potentiellementbiendesdbordements.Cesoptionssontvisiblesdanslonglet Device,puisdanslonglet Phone.Il fautensuiterechercherlespropritsdunnumrooucreruntlphone. SilasparationentrevoixetdonnesesteffectivegrcelemploidesVLAN,unnouveauproblmeseposesilest dciddedployerdestlphoneslogicielssurlerseaurservauxdonnes.Ilsagitdegarantirentoutescurit lepassagedutraficprovenantdestlphoneslogicielsversleVLANddilavoix.Deplus,ilestconseilldenepas laisserseconnectervialerseaudedonnesuntlphonelogicielsansquilsoitauthentifi. LasolutionproposeparCiscoestdeforcerlepassagedecetraficparunfirewallASAquisechargedauthentifierle tlphone logiciel avant de transmettre la signalisation vers le CUCM. Cette technique requiert la configuration de certificats sur le firewall qui, groups dans un fichier CTL, sont proposs au tlphone ainsi quune obligation sauthentifier.

2.Confidentialitetauthentification
Lemythiquetlphonerougeestlaportedetous.Ilesttoutfaitpossibledepassersoncollguedebureauun appeltlphoniquechiffr,toutcecinestpluslapanagedesgrandespuissancesnuclairesetlatechnologieesttout aussipuissantequecelleutilisedurantlatristementclbreguerrefroide. Aprsavoirprocdlaconfigurationdelascuritphysiqueetrseau,ilfautprsentexaminerlesmesuresqui renforcent la confidentialit des changes tlphoniques. En prenant pour rfrence le schma montrant ltablissement dune communication, des grandes phases principales se dtachent et chacune delles correspond

- 4-

ENI Editions - All rigths reserved - Moha Anisa

desmesuresdescurit.Posonslesexigencesenmatiredeconfidentialitetdauthentification. ExigencesdeconfidentialitetdauthentificationappliqueslaTOIP Assurerlascuritdelasignalisation. Authentifierlquipementdextrmit. Assurerlaconfidentialitetlintgritdela communication. Chiffrerlesfichiersdeconfiguration. UtilisationdeTLS UtilisationdeTLS UtilisationdeSRTP

Dispositifdechiffrementdesfichiersde configuration

CiscorecommandetoutdabordlactivationdIPSECencasdutilisationdungroupementdeserveursredondantscaril nestpasprvunativementdeprotectionentrelesserveurs.Concernantlescommunicationsetlasignalisation,Cisco basesasolutionsurlamiseen uvreduneinfrastructuredeclspubliques(PKI)etlepanelhabitueldesprotocoles descuritdontTLS.LechiffrementdelavoixutilisequantluileprotocoleSRTP(SecureRealTimeProtocol).

a.Protectiondelasignalisation
Lasignalisationestlpine dorsale de tout systme tlphonique car elle transporte entre autres la numrotation composesurlecadrandelappareil.Dunemaniregnrale,unefoislecombindcroch,lasignalisationentreen jeu pour dune part informer lutilisateur sur le succs de ses requtes (diverses tonalits) et dautre part pour informer le central tlphonique du numro avec lequel il devra tablir une liaison. Les protocoles de signalisation utiliss pour la tlphonie sur IP sont SIP, H 323 et SCCP qui est proprit de Cisco bien que quelques implmentationsexistentchezdautresmarques(IPBlue,Asterisk).Laprotectiondelasignalisationestunprrequis pourlchange scuris de mdia entre le CUCM et les quipements. La signalisation est donc un flux stratgique quil convient de protger car toute attaque contre elle met en pril linfrastructure tlphonique par une dsorganisation en temps rel. Cela se manifeste entre autre par un taux lev dappel qui naboutissent pas correctementoupasdutout. LasignalisationentrelestlphonesetleCUCMestprotgeparleprotocoleTLS( Transport Layer Security)quia succd SSL (Secure Socket Layer). Dans le cas dun rseau tlphonique entirement chiffr (excluant pour linstantlestlphoneslogiciels)aucuneanalyseduprotocolenestenvisageable.Ilestenvisageableaveclefirewall ASA, qui possde une fonction de proxy TLS et sintercale entre un tlphone IP et le CUCM, de dchiffrer la signalisationvenantdutlphone,denanalyserlespropritsetdelachiffrerdenouveauavantdeladirigervers le CUCM. Cette technique ncessite la production de certificats et leur installation sur le firewall afin quil puisse sinterposerentrelestlphonesetleCUCM.

b.Protectiondelavoix
Afindecombattreefficacementlescoutestlphoniques,lechiffrementseposecommeunesolutiondechoix.Le protocolemiscontributionsenommeSRTP(SecureRealTimeProtocol)etsebasesurdeuxprotocolesbienconnus qui sont AES (pour le chiffrement) et SHA (pour le contrle dintgrit). Un prrequis lutilisation de SRTP est la protectiondelasignalisationcarelletransportelesclsdechiffrementdelavoix.SRTPestdfiniparlaRFC3711.

c.Protectiondesmdias(imagesetconfigurations)
Lauthentificationdesimagesoudesconfigurationspermetdviterquunquipementreoiveunlogicielcorrompuou pigparuntiers.LeprocessusdevrificationdesimagesestindpendantduCUCM.Lesproduitslogicielsdestins auxquipementsdetlphoniesontsignslectroniquementlorsdeleurproductionparCisco. Ilestenfinrecommanddauthentifieretdechiffrerlesfichiersdeconfigurationreusparletlphoneetprovenant duserveurTFTP,cesfichierscomportenteneffetquelquesinformationssensibles.Lactivationdecettefonctionnalit estfacilitesiletlphoneestdtenteurduncertificatdanslecascontraireuncodeestentrauclavieravantle tlchargementdufichierdeconfiguration. Nousvenonsdaborderdesfonctionnalitsparticulirementutilespourlaprotectiondesdiverschangesentreles composants de linfrastructure de tlphonie IP. Toutefois, rien de tout ceci ne serait envisageable sans une mthodedauthentificationentreleslmentsquicomposentcetteinfrastructure.LeCUCMembarqueceteffetune PKI dont tche est la production de certificats X509 destins aux divers composants de service du CUCM et aux tlphones.

d.LinfrastructureclpubliqueduCUCM

ENI Editions - All rigths reserved - Moha Anisa

- 5-

Avant toute chose, il est important de souligner les difficults qui accompagnent toujours le dploiement dune architecturedeclspubliquesouPKIenanglais.Letravailfournirsarticuleautourdeproblmatiquestechniques et organisationnelles. Ainsi, la phase dtude ne saurait tre nglige au bnfice de la phase technique et vice versa. DanslecadreduCUCMsetrouventaumoinstroisautoritsdecertification(CA)quisontlesCUCM,lesserveursTFTP etleCAPF(CertificateAuthorityProxyFunction).Noussommesgalementenprsencedetroistypesdecertificatsqui sediffrencientenfonctiondelautoritparlaquelleilsonttsigns.Cesont :
G

les certificats autosigns par les serveurs centraux pour leurs propres besoins (accs administratifs en HTTPS) lescertificatssignsparlesprocessusdefabricationdirectementchezCiscosontappelsMIC(Manufacturing InstalledCertificate) lescertificatssignsparleCAPFouparuneCAexternesontappelsLSC( LocallySignificantCertificates).

LestlphonesIPenfonctiondeleurmodlereoiventuncertificatMIClorsdeleurfabricationousilnensontpas munisdevrontrecevoiruncertificatLSCenvuedutiliserlesfonctionsdechiffrement. Des certificats mis par des autorits de certification diffrentes ne pourront sauthentifier mutuellement qu condition que leurs autorits respectives dpendent dune autorit suprieure commune. Cest le principe de la chanedecertification.CiscopourregrouperlesmultiplesautoritsdecertificationquicomposentlarchitectureCUCM propose un logiciel nomm CTL Client (Certificate trust List Client) dont la fonction est dinteragir avec une cl de scuritUSB(eToken)quisignelalistedescertificatsdesautoritsdecertification.Cetteliste(signe)estcharge danschaquetlphonelorsdesondmarrage.Lorsdunprocessusdauthentificationpralableuneprocdurede chiffrement, le tlphone examine le certificat quil reoit de son partenaire et le confronte la liste CTL quil possde. LelogicielCTLClientesttlchargsurunestationdetravailpartirdunepagedelinterfacedadministrationdu CUCM rserve aux plugins et aux API et ncessite une cl USB de scurit du type eToken sur laquelle seront dposslesclsprivesetlescertificatsdesautoritsdecertification.

eTokenCisco CetteclUSBestunlmentdescuritquiportelappellationdeTokenrenfermeunepairedecl(publiquesigne etprive)gnreparCisco. LeprincipedelaCTLestcomparableceluidelalisteblanchequidfinitlesCAautorisesvalideruncertificatau contraireduneCRL(CertificateRevocationList)quiestunelistedecertificatsinterdits.

- 6-

ENI Editions - All rigths reserved - Moha Anisa

LorsdupremierchargementduneCTL,unappareilquinenpossdepasaccepterasansautreformedeprocsune CTLquellequesoitsonorigine.Lerseausurlequelseffectuecettepremireinstallationdoittreirrprochable. Une fois la PKI active (lopration nest pas triviale) les tlphones sont configurs pour utiliser le protocole de signalisationchiffrpralablementdfinidansunprofilpuissenrlentauprsduCUCM. La cryptographie correctement configure au niveau des quipements et du protocole de signalisation, les tlphonesayantlacapacitdentameruneconversationprotgeentreeuxlefontnaturellementenprocdant unevrificationmutuelledeleurscertificats.Desmodesdgradssonttoutefoisenvisageablespourlestlphones nepossdantpastouteslesfonctionsdescurit.Cestlecasdestlphoneslogiciel( Softphones)dutypeCiscoIP communicatorquiontseulementlacapacitdeprotgerlasignalisation.

3.Luttecontrelafraude
La lutte contre la fraude est une priorit pour les entreprises afin de ne pas sexposer des comportements dangereuxetirresponsablespouvantengendrerdesfacturationstrslourdes.Lephnomneremonteauxorigines mme de la tlphonie. Les entreprises offrent leurs collaborateurs quelques facilits qui si elles ne font lobjet daucune surveillance sont un facteur aggravant du phnomne de fraude. Linformation concernant la dcouverte dune martingale schange entre initis et le montant des factures qui connait dans les premiers temps une croissancemodre explose quelquesmoisplustard.Ilestnoterquelafraudenerevtpassystmatiquement uncaractretechniqueparlebiaisdesavantesmanipulations,maisconsisteparfoisenuneutilisationdraisonnable des moyens octroys au collaborateur. Citons titre dexemple les postes bnficiant dun accs linternational utilisspardesutilisateursmalveillantsdsledpartenfindejournedutitulairedelaligne.Uneutilisationabusive estaussiconsidrecommeunefraudepartentire. Lafraudequimetprofituneutilisationindirectedelalignesappuiedonctrsfrquemmentsurlesfacilitsoffertes parlecentraltlphoniqueIP.Lesservicesderedirectiondappelsilnesontpasscurisspermettentderedirigerun appel entrant (provenant de lextrieur de lentreprise) vers un service surtax ou un pays exotique. De mme un appelinternepeutsevoirredirigverslextrieur.Cesmthodesncessitentuncompliceparmilescollaborateurs moins que le bnficiaire nopre seul. Les services de bote vocale permettent aussi sous certaines conditions de bnficierdunefonctionnalitderedirectiondappel. Nous ne prsentons pas ici comme laccoutume un tableau dexigences car la lutte contre la fraude est une exigenceuniquedontilestpossibledeseprmuniraveclesconfigurationsquenousallonsexaminer.

a.Techniquesantifraude
Lestechniquespermettantderestreindrelespossibilitsdecontrlerlaredirectionoulesappelssontbasessur lanalysedunumrocompos.NoussavonsparexemplequenFrance,unappelinternationaldbutetoujoursparla squence (ou prfixe) "00", de plus, lintrieur de lentreprise, il faut traditionnellement ajouter un "0" pour indiquerunappelverslextrieur.Lasquencedenumrotationdbutedoncpar"000".Lelogicieldexploitationdu

ENI Editions - All rigths reserved - Moha Anisa

- 7-

centraltlphoniqueIPestenconsquenceconfigurpourreconnaitretouteslessquences(enanglaispatterns) quicorrespondentauxdestinationsinternes,nationales,internationalesetdiversservices.Schmatiquement,pour filtrerlesappelsoulesredirectionslamarchesuivreestlasuivante:


G

dfinitiondesgroupesdeprfixesdenumrotation(00033 00044 ) crationsdegroupesdutilisateursenfonctiondeleursprivilges regroupement des groupes dutilisateurs et des groupes de prfixes afin de dterminer les destinations permisesauxmembresdesgroupes.

Les trois points que nous venons de dcrire sont reprsents sur le schma cidessus et se traduisent par la terminologieCiscosuivante :
G

dans le menu call routing, le sousmenu translation pattern permet de crer les squences qui sont compares avec le numro compos. Des caractres spciaux sont prvus la manire des scripts shell (Unix/Linux)pourdsignerdessquencesoudessuitesdechiffres.Parexemplelasquence000 1!dsigne touslesnumrosdetlphonecommenantparleschiffres0001 suividenimportequelautrechiffre. une partition est un ensemble de pattern qui groups sont applicables une ligne tlphonique IP. Toutefois,lesnumrosnecorrespondantaucun patternneserontpasjoignablessanslaidedesespaces derecherchesdappellescallingcallspace. les calling call space regroupent des partitions selon un certain classement. Ils sont appliqus un quipementtlphoniqueIPcommeuntlphoneouunelignecommeindiqusurleschma.

Deux termes importants sont utiliss ici et mritent un claircissement car ils couvrent la notion de poste tlphonique et de ligne tlphonique. Au dbut de ce chapitre figure limage dun tlphone logiciel IP. Sur la gauchedelimagesetrouventhuitboutonsrondsmatrialisanthuitlignestlphoniquespotentiellesdontseulela premireestconfigurepourunutilisateur.Pardduction,unpostetlphoniqueestunobjet(logicielouphysique) quipeutrecevoiruneouplusieurslignestlphoniques. Direction Appelsinternationaux Europe Appelsinternationaux Amriquedunord Appelsinternationaux autresdestinations OK OK Encadrement X Employs

OK

OK

OK

- 8-

ENI Editions - All rigths reserved - Moha Anisa

Appelsnationaux Appelsverslesmobiles Appelsrgionaux Numrosdurgence

OK OK OK OK

OK OK OK OK

X X OK OK

Voici un tableau relatif aux appels ou aux redirections en fonction dune position hirarchique dans lentreprise. chaquecaseOKcorrespondlapossibilitdtablirouderedirigerunappelverslesprfixesappartenantauxfamilles de la colonne de gauche. Le CUCM offre deux autres techniques complmentaires celles que nous venons dtudier :

La limitation des appels en fonction de lheure et du jour de la semaine. Cette mthode ncessite la dfinitionduntimeperiodreporterdansuntimescheduledclarerdansunepartition.Cettedernireest dclarerdansuncallingsearchspaceluimmeappliquunquipementouuneligne. Lobligation faite un utilisateur dentrer un code secret pralablement un appel et ce, en fonction du prfixeetduneprioritentreleniveaudautorisationdeceprfixeetceluidelaroutetlphoniquequildoit emprunter.

Ces descriptions peuvent paratre relativement abstraites il est donc fortement recommand de se reporteraumanuelduCUCMpourdeplusamplesexplicationsrelativeslaconfiguration.

Uneroutetlphoniqueestuncheminverslextrieurdudomaine,engnralverslerseautlphonique public.CettenotionestprochedecelledunerouteIPquiseraitextrieureaurseaulocal.

ENI Editions - All rigths reserved - Moha Anisa

- 9-

Conclusion
LescentrauxtlphoniquesIPontpeupeuprislaplacedeleuranctresanalogiquesdanslesentreprisesquelleque soit leur taille qui, connectes Internet, abaissent le cot de leurs communications et celui de lentretien de linfrastructuretlphonique.Ceciestaussidlaconvergencephysiquedesrseauxdedonnesettlphoniques quiempruntentdsormaisdesroutescommunes. LessystmesdetlphoniesurIPhritentaussidetouteslesmenacesetvulnrabilitsquidgradentrgulirement le fonctionnement des rseaux informatiques. De plus, les agissements de personnes ou dorganisation hostiles et malveillantessontfacilitsdansledomainenotammentdescoutesetautresindiscrtions.Toutefois,lesprotections disponiblessurlesrseauxdedonnesprofitentdirectementauxrseauxtlphoniquesquiontleurdispositionun arsenalcompletdemesuresparmilesquelleslacryptographietientuneplacedechoix.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Gnralitsethistorique
Les parefeu ou firewalls sont apparus et ont connu leur heure de gloire lorsque les rseaux dentreprise se sont progressivement vus connects Internet, ce rseau qui a toujours t peru comme une menace. Dune manire gnrale,lesfirewallsprotgentlesrseauxinternesdesrseauxextrieursetcettatdefaitesttoujoursdemise aujourdhui. Les architectures voluant, les firewalls tout en restant leur place originelle investissent lintrieur du rseau. Les modes de travail tendent vers une troite imbrication des acteurs qui gravitent autour du systme dinformationetilestdevenucourantdefournirdespartenaireslaccsdesressourcesinternes.Cettesituation entrane un tel bouleversement dans les architectures de scurit (et rseau) quune rflexion simpose afin de redfinir les nouvelles limites et les nouvelles rgles de scurit encadrant un trafic toujours plus dense et plus complexeauprofitdesapplicationsquilvhicule. Les firewalls trouvent toujours leur place dans cette redistribution des cartes et leurs capacits se sont au fil des annes toffes avec lapparition de fonctionnalits devenues indispensables parmi lesquelles figurent lauthentification des utilisateurs, les VPN SSL et la surveillance des protocoles applicatifs. Toutefois, les firewalls accomplissenttoujourslefiltragedesprotocolesrseauquiestloriginedeleurcration. Nousallonsdanscechapitrebrosserunportraitdesfonctionnalitsproposesparlesfirewallsendbutantparleurs missionspremires(lefiltrageIP)jusquauxderniersdveloppements(lesVPNSSL).Nousavonschoisipourillustrer notreproposlemodleASA5505quiestlefirewalldentredegammedeCiscoaumomentdelcrituredecelivre. Cisco sest illustr dans le domaine du firewall avec le clbre modle PIX (Private Internet Exchange) livr ds ses dbuts sous la forme dun quipement compact et fiable librant ladministrateur des contraintes de gestion dun systme dexploitation sousjacent. Tel ntait pas le cas des autres firewalls quasi exclusivement conus pour tre installs sur des platesformes Unix ou Windows. La gamme PIX sest teinte en 2008. Elle est remplace par la gammeASA(AdaptiveSecurityAppliances)quiperptuelatraditiondesquipementsddisetautonomes. Cette nouvelle famille fait la part belle aux techniques mergentes comme les VPN SSL qui ont pour vocation de remplacerlestunnelsVPNbasssurIPSecddisauxutilisateursdistants.Lebutavoudecettetechnologieestde faciliterlaccs(scuris)auxapplicationspubliesauformatWEBtouslesemploysetpartenairesdelentreprise enfonctionderlespralablementdfinisetfinementattribus.Lefirewallestdevenuainsiaudeldesafonctionde filtragerseauunevritablepasserellemultiniveauassurantdesservicesdaccsetdescuritsurtouteltendue dumodleOSI.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

PrsentationdelASA5505
LefirewallASA5505estprsentsouslaformedunpetitbotierdontlesdimensionsleplaceparmilespluscompacts du march : 20 cm x 17cm x 4.5 cm. Il est principalement destin aux petites et moyennes entreprises, aux tltravailleurs ainsi quaux agences de taille modeste. Ses possibilits en revanche sont proches de celles des modlessuprieurs.Toutefois,lesfonctionsdehautedisponibilitnesontpasoffertes(aveclalicencedebase)etle nombredeVLANgrsestlimit.Ilnestgalementpaspossibledexploiterlatechnologiedescontextesdescurit qui autorise la cration de multiples instances de firewall virtuelles au sein dun mme quipement physique. Le Firewall ASA 5505 est un quipement dentre de gamme relativement limit dans ses capacits de configuration rseauparrapportauxmodlessuprieurs.Ilestenrevancheadministravecunoutiltrsvolu.

LafaceavantdubotiercomportedesLEDindiquantltatdelquipementetdesconnexionsrseau.LeportUSBnest pasutilis.

Sur la face arrire nous trouvons les huit ports dun commutateur Ethernet qui ont la possibilit dtre organiss en troisVLANlocaux.Leportzroestpardfautrservlinterfaceexterneconnecteaurseaulemoinssr.Lessept autres ports sont considrs comme tant internes au rseau. Les deux derniers ports offrent une alimentation lectriqueafindalimenterunpostetlphoniqueIP.Leconnecteurdelaconsoleestentourdebleuetlesdeuxports USB sont rservs de futures applications. Un emplacement est rserv pour accueillir une carte dextension qui prendenchargeunmoduleddilinspectionvirale.Surladroiteduportconsole,lapetitefentepermetdattacherle firewallunsupportlaideduncbledescuritdummetypequeceuxutilisspourlesordinateursportables. Ciscoannonceunecapacitdetraitementde150Mbpsparlefirewallet100Mbpslorsquelechiffrementestactiv.En fonctiondeslicences,lefirewallestlimitennombredutilisateursnormauxouutilisantlesconnexionsprotgesde typeVPNIPSecouVPNSSL.

1.Configurationdebase
Nous prsentons la configuration du firewall ASA en nous basant principalement sur la ligne de commande (CLI). LinterfacegraphiquedadministrationASDMseraprsenteenannexe. Le firewall est livr avec une configuration de base qui comporte deux interfaces routes. Ce sont des interfaces VLANidentiquescellesdescommutateursdelagamme.Chacunedentreellereoitunedsignationquiestreprise parexempledanslescommandesdetraductionsdadresse. LesdeuxinterfacesVLANdelaconfigurationdebasesontnommes insideet outside.Chacunedelleestassocie unniveaudescurit. ! interface Vlan1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 192.168.2.1 255.255.255.0

ENI Editions - All rigths reserved - Moha Anisa

- 1-

! Dans cet extrait de configuration, nous remarquons la commande nameif qui donne son appellation aux deux interfaces.Lacommandesecurity-levelestquantellesuiviedunevaleurquiindiquesonniveaudescurit.Plus lechiffreestgrandetpluslinterfaceestdignedeconfiancetoutcommelesrseauxquiysontconnects(centestle maximum). Il faut retenir que par dfaut, le trafic transite uniquement entre deux interfaces du niveau le plus lev vers le niveaulemoinslev.Danslextraitdeconfigurationcidessus,lesmembresduVLAN1(quireprsentelintrieurdu rseau)peuventinitialiserdesconnexionsversleVLAN2(quireprsentelextrieurdurseau).Pourdrogercette rgledebaselutilisationduneACLestindispensable. Une spcificit de lASA 5505 livr avec une licence de base est lobligation de rendre unidirectionnel le trafic entre deuxdestroisinterfacesVLANquilestpossibledecrer.SilondcidedeconfigurertroisinterfacesdetypeVLAN.Le messagesuivantapparatalors : ERROR: This license does not allow configuring more than 2 interfaces with nameif and without a "no forward" command on this interface or on 1 interface(s) Cemessagenousmetengardeetindiquequilfautlimiterletraficentredeuxdestroisinterfaces. interface Vlan3 no forward interface Vlan1 nameif DMZ security-level 50 Ici, linterface VLAN3 est configure de telle sorte quelle ne puisse pas initialiser de communication vers linterface VLAN1.Dautrepart,sonniveaudescuritestde50cequilasitueentrelesvaleursdesdeuxautresinterfaces. interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 switchport access vlan 3 Les interfaces physiques du commutateur Ethernet intgr dans lASA sont au final raccordes aux divers VLAN en utilisantlacommandeswitchport access vlansuiviebienentendudunnumrodeVLAN.Pourcefaire,ilfaututiliser lemodedeconfigurationduneinterfacephysique.LesinterfacesdansleVLAN1napparaissentpasdanslerappelde configuration. Tout comme pour les autres quipements, le firewall ASA dispose du protocole SSH afin de scuriser les accs administratifs. ASA-5505(config)# ASA-5505(config)# ASA-5505(config)# ASA-5505(config)# ASA-5505(config)# ASA-5505(config)# ASA-5505(config)# ASA-5505(config)# domain-name testlab.com crypto key generate rsa modulus 2048 username vincent password cisco aaa authentication ssh console LOCAL ssh 192.168.1.2 255.255.255.255 inside ssh timeout 5 ssh version 2 management-access inside

Cet extrait de configuration est relativement explicite. Notons toutefois la simplification en comparaison avec un routeur. Ici, les interfaces VTY ont disparu. Il est simplement indiqu au protocole SSH ladresse IP de la station dadministration et linterface VLAN sur laquelle ce trafic aboutit. Il sagit en loccurrence de linterface inside qui correspondlinterfaceVLAN1. username vincent password Vtb/ZufSkY.w0v3m encrypted privilege 15 Lecomptelocal(utilisateurvincent)vuaprsunrappeldelaconfigurationmontreicisonmotdepassechiffretson niveaudeprivilge.

- 2-

ENI Editions - All rigths reserved - Moha Anisa

Exigencesdescurit
Nous avons voqu la place des firewalls dans larchitecture rseau en insistant sur le fait quelle ne se limite plus uniquementauxfrontirestraditionnelles.Desserviceshautementsensiblescommelatlphonie,bienquhbergs lintrieurduprimtre,ncessitentuneprotectionaccrueafinqueriendautrequelesprotocolesassocislavoixne pntredanslazonedesserveursddislavoix.Ilenvademmepourdautreszonesapplicatives.Toutefois,les firewalls ne quitteront sans doute jamais les emplacements qui marquent la sparation du rseau dune entreprise aveclemondeextrieur. Lavaleurajoutedespremiersquipementsdefiltragetaitbienfaiblemalgrladjonctiondesservicesdetraduction dadressesdevenusindispensableaveclavnementdInternetetlesmenacesquilnemanquepasdecharrier.Cest pourquoi,lesditeursdefirewallslesontdotsdefonctionnalitsplusvoluesquiconcentrentsurunquipement unique des fonctions annexes comme lauthentification des utilisateurs et la surveillance approfondie des protocoles applicatifs. NousavonsexaminaucoursduchapitreLascuritdelacoucherseaulaconfigurationsurunrouteurdelasuite IPSecquiestinitialementdestineauxcommunicationsderseaurseau.CettetechniquecourammentnommeVPN est galement applicable la relation entre un individu (sa station de travail) et un rseau central. Elle ncessite linstallationdunclientlourdaccompagnderglagesspcifiquesdelasuiteIPsecetdelacoucherseau.Partantdu principequunestationdetravailpossdeunnavigateurInternetdisposantdefonctioncryptographique,dessolutions sont apparues qui utilisent les fonctions SSL du navigateur en substitution de celle dun client lourd. Les accs au rseau central sont de fait envisageables depuis nimporte quelle station de travail ce qui pose, nous le verrons, quelquesproblmes. Ce sont ces techniques que nous allons dcrire mais auparavant, dfinissons comme de coutume des exigences de scuritparrapportauxfonctionnalitsquenousvenonsdvoquer. ExigencesdescuritFirewallpourlesfonctionsdefiltrageIP FiltrageIPavecconservationdeltatdessessions ImplmentationdeDMZ Traductiondadresseetprotectiondesserveurs publics Dtectionetprotectioncontrelesmenacesausein desprotocolesapplicatifs ACL Configuration NAT

Servicedinspectiondesprotocolesapplicatifs

1.LesACL
Bien entendu le firewall ASA possde la capacit de garder en mmoire ltat des sessions en cours. Comme nous lavons dcrit lors du chapitre sur la scurit au niveau 3, le firewall autorise le trafic retour correspondant celui dfinisurlACL. LaterminologiedesACLdiffrelgrementdecelleenvigueursurlesrouteurs,ilestgalementpossiblededclarer (grouper)desrseaux,desquipements,desprotocolesetdesservicespourlesintgrerlaconfigurationdelACL. LapplicationdelACLlinterfaceneseffectuepasdanslemodedecelleci. ASA-5505(config)# object-group ? configure mode commands/options: icmp-type Specifies a group of network Specifies a group of protocol Specifies a group of service Specifies a group of

ICMP types, such as echo host or subnet IP addresses protocols, such as TCP, etc TCP/UDP ports/services

ASA-5505(config)# object-group network inside ASA-5505(config-network)# ? description Specify description text group-object Configure an object group as an object help Help for network object-group configuration commands network-object Configure a network object no Remove an object or description from object-group

ENI Editions - All rigths reserved - Moha Anisa

- 1-

ASA-5505(config-network)# network-object 192.168.4.0 255.255.255.0 ASA-5505(config-network)# network-object 192.168.5.0 255.255.255.0 ASA-5505(config-network)# network-object 192.168.6.0 255.255.255.0 Cestroiscapturesdeconfigurationmontrentlestapesdelacrationdetroisobjetsdsignantchacununrseau. Nous crons un groupe dobjets( object-group) de type network portant le nom inside. Puis, nous associons trois objets rseaux ce groupe. Le but est de dsigner sous un nom unique trois rseaux interieurs qui ne sont pas directementconnectslinterfaceinterne. object-group network inside network-object 192.168.4.0 255.255.255.0 network-object 192.168.5.0 255.255.255.0 network-object 192.168.6.0 255.255.255.0 Cetextraitdelaconfigurationmontreplusexplicitementleregroupementdestroisrseaux. ASA-5505(config)# access-list ACL-Interne extended permit ip object-group inside any ASA-5505(config)# access-group ACL-Interne in interface inside LapremiredesdeuxcommandescidessuscreuneACLetlanomme ACL-Internedetypetendueetslectionne legroupedobjetsnomminsidecommesourcedutraficIPetdestinationdenimportequelledirection. LasecondecommandeappliquelACLenentre( in)surlinterfaceinside. ASA-5505(config)# access-list ACL-Interne line 2 deny ip 192.168.9.0 255.255.255.0 la manire de ce qui existe pour les routeurs il est possible de numroter les entres duneACLafinde faciliterlinclusiondunenouvellelignedanslaliste.

ASA-5505(config)# sh access-list access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300 access-list ACL-Interne; 5 elements access-list ACL-Interne line 1 extended inside any 0x4d17491e access-list ACL-Interne line 1 extended 255.255.255.0 any (hitcnt=0) 0x6b96d490 access-list ACL-Interne line 1 extended 255.255.255.0 any (hitcnt=0) 0xf64614a7 access-list ACL-Interne line 1 extended 255.255.255.0 any (hitcnt=0) 0x4ac0eade access-list ACL-Interne line 2 extended 255.255.255.0 any (hitcnt=0) 0x60adaa36

permit ip object-group permit ip 192.168.4.0 permit ip 192.168.5.0 permit ip 192.168.6.0 deny ip 192.168.9.0

Le retour de la commande show access-list nous montre la ligne 1 qui fait rfrence au groupe dobjets nomm inside.Puis,nousobservonslaligne2quiinterditlerseau192.168.9.0.Silonsouhaiteintercaleruneligneentrela ligne1etlaligne2,ilsuffitdecrerunenouvelleligne2.Lancienneligne2devientalorslaligne3.

2.LesDMZetNAT
Nous allons aborder deux notions qui sont troitement lies sur tous les rseaux scuriss, ce sont la cration de zonesdmilitarises(DMZ)etlutilisationdelatraductiondadresse(NAT). LacombinaisondecesdeuxtechniquesetlappuidesACLpermettent :
G

demasquerlerseauinternelavuedumondeextrieur decrerunezonedescuritintermdiaireentrelintrieuretlextrieur depublierdesinformationsdanscettezoneenlarendantaccessibledelextrieur.


ENI Editions - All rigths reserved - Moha Anisa

- 2-

VoiciunereprsentationdunfirewallASA5505surlequeltroiszonessontcres.LesinterfacesphysiquesEthernet 37sontpardfautrattachesauVLAN1etfontpartiedelazoneINSIDE(intrieure). Il existe une rgle dor concernant les DMZ, celle qui recommande de ne pas laisser une zone initialiser des communicationsversunezonedontleniveaudescuritestsuprieurausien.Cestleprincipedumoindreprivilge. Cette rgle applique par dfaut nos trois interfaces par le firewall est rsume dans ce tableau. Il existe cependant des cas de figure pour lesquels les communications doivent stablir afin dalimenter la zone DMZ en informations. Ces communications devraient dbuter partir de la zone INSIDE vers la zone DMZ. Il est parfois opportundinterdireautraficdescoulerdanslesensquiestautorispardfaut.SinousconsidronslazoneDMZ muniedunserveurWEB,nouspouvonssouleverlaquestiondelutilitpourcettezonedtablirdescommunications aveclextrieur.Eneffet,cetypedeserveurrenvoieverslextrieurdesinformationsetnecommuniquejamaisdesa propre initiative vers lextrieur. Ce nest par contre pas le cas des serveurs de messagerie. Un autre cas dapplicationdecettergleinterdiraitlazoneOUTSIDEdecontacterlaDMZsurlaquellesontdploysdesservices vocation publique. Il apparait clairement que lorganisation des flux (vue sous laspect scurit) ne relve pas uniquementdelanaturedelazonedoriginemalgrlebienfondduprincipedumoindreprivilge.Afindedroger cettergleimplmentepardfautsurlesFirewallASA(aveclesniveauxdescurit),ilfautdployerdesACL.Elles seulessontmmedautoriserdemaniregranulairedesaccsquisontinterditspardfaut. La cration de DMZ sur le firewall ASA sopre par la configuration du niveau de scurit des interfaces VLAN. Le schma reprsente lexemple type dans lequel la zone interne (INSIDE) reoit la valeur de 100, la zone externe (OUTSIDE)lavaleurminimalede0,laDMZquantellereoitlavaleurintermdiairede50. Aveccetteconfiguration,nousobtenonspardfautletableausuivantquirespecteleprincipedemoindreprivilge. versINSIDE deINSIDE deDMZ deOUTSIDE OK NON NON OK OK NON versDMZ OK OK N/A versOUTSIDE

AudbutdInternet,lesquipementsterminauxrecevaienttousuneadressepublique.Ilstaientdefaitdirectement joignables. Ce nest plus le cas de nos jours o la plupart des systmes terminaux utilisent des adresses dites privesmasques(NAT)paruneouplusieursadressespubliques.Nousallonsdcrirelesdeuxcaslespluscourants, ilsagitdelaconnexiondunrseauprivInternetetdelamisedispositiondunservicepublicsuruneDMZavec un adressage priv. Ces cas sont des classiques du genre, mais ont pour mrite daider grandement la comprhensiondecettetechnique. NAT (Network Address Translation) est considr comme une fonction de scurit part entire car ses caractristiques permettent une isolation entre les rseaux publics et privs. NAT est apparu avec la ncessit dconomiser les adresses IP publiques dInternet. De plus, il est rapidement devenu inconcevable en matire de scuritdelaisserunordinateurdirectementconnectInternet.DesplagesdadressesIPonttdclaresnon routables (donc inutilisables) sur Internet et mise disposition des entreprises pour un usage interne. Ces plages dadressessontconnuessouslappellationRFC1918etsont :
G

10.0.0.110.255.255.254 172.16.0.1172.31.255.254

ENI Editions - All rigths reserved - Moha Anisa

- 3-

192.168.0.1192.168.255.254.

NATmodifieleschampssourceoudestinationdespaquetsIPaupassagedecesdernierssurlefirewall.Danslescas qui suivent, nous utiliserons NAT pour modifier ladresse source des paquets IP sortant du rseau INSIDE vers le rseau OUTSIDE et pour modifier ladresse destination des paquets IP en provenance du rseau OUTSIDE vers le rseauDMZ.

NousmontreronsgalementcommentnepasutiliserNATentrelerseauINSIDEetlerseauDMZ. Nous allons dcrire les trois cas les plus courants, il sagit (en 1) de la connexion du rseau INSIDE au rseau OUTSIDE,delaconnexion(en2)durseauINSIDEverslerseauDMZetdelaconnexion(en3)durseauOUTSIDE verslaDMZ.CestroisconfigurationsutilisentlatraductiondadresseetlesACL. CasN1: LerseauINSIDEseconnecteaurseauOUTSIDE.Cecasmontreunestationdetravaildunrseauinternequise connectesurInternet.Commeellenedisposepasduneadressepublique(routablesurInternet)ilestabsolument ncessairedechangerladresseIPsourcedespaquetsIP.Sitelntaitpaslecas,lespaquetsretournepourraient trouverleurdestination.

LorsdesonpassagetraverslefirewalllepaquetIPchangedadressesource.SonadressedetypeRFC1918est transformeenadresseIPpublique,enloccurrencecelledelinterfaceoutside.AucuneACLnesticincessairecarle rseau INSIDE bnfice du niveau de scurit maximal. Cet exemple montre le rseau INSIDE en correspondance avecladressedelinterfaceOUTSIDEdufirewall. ASA-5505(config)# nat (inside) 1 192.168.1.0 255.255.255.0 ASA-5505(config)# global (outside) 1 interface LasyntaxedescommandesNATnestpasfacilereteniretmritedesexplicationsapprofondies.

- 4-

ENI Editions - All rigths reserved - Moha Anisa

Ici, nous dclarons un processus NAT qui porte le numro 1. Il est indiqu que le rseau 192.168.1.0 rsidant sur linterface inside(commande nameifdelinterfaceVLAN1)estcandidatpourlatransformationdesadressessources (nat)aupassagedufirewallverslerseauoutsidequisesitueenzonepublique( global).Lesdeuxlignessontlies parlenumro1.Lorsdupassagedunpaquet,latabledecorrespondancedeNATestrenseigneafindepermettre ladistributioncorrectedupaquetretour. ASA-5505(config)# nat (inside) 1 192.168.1.0 255.255.255.0 ASA-5505(config)# global (outside) 1 198.10.10.10-198.10.10.240 Il est galement possible de faire correspondre le rseau INSIDE un groupe dadresses publiques routes sur linterface OUTSIDE. Dans cet extrait de configuration, aux adresses du rseau INSIDE correspondent une plage dadressespubliquescestdiretouteslesadressesentre198.10.10.10et198.10.10.240 CasN2: FautilactiverlesfonctionsNATpourtouslestypesdetrafic ?Celaneparatpasindispensableentredeuxrseaux quipossdentdesadressesIPprives.Lecasseprsentedansnotrearchitecturepourlescommunicationsentrele rseau INSIDE et le rseau DMZ. Le cas N1 transforme toutes les adresses du rseau INSIDE. Si la fonction NAT nest pas ncessaire entre le rseau INSIDE et le rseau DMZ, il faut indiquer au processus NAT quil ne doit pas traitercertainspaquets.

NousobservonsiciquelespaquetsentrelerseauINSIDEetlerseauDMZconserventleuradressesource. ASA-5505(config)# access-list PasDeNat permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0 ASA-5505(config)# nat (inside) 0 access-list PasDeNat UneACL(nommePasDeNat)dsigneletraficentrelerseauINSIDEetlerseauDMZ.Puis,cetteACLestapplique unecommandeNATsappliquantsurlinterfaceinsidesuivieduchiffre0indiquantquilnefautpastransformerles adressessourcescorrespondantlACLPasDeNat. CasN3: Les services offerts au public sont gnralement installs sur des zones dmilitarises afin de bnficier de la protectionoffertedanscesespaces.Latraductiondadresseestlunedecesprotections.Ilfautqueleserveurdans le rseau DMZ soit accessible de lextrieur par son adresse publique. Puis NAT modifie ladresse de destination publique vers ladresse prive du serveur telle que configure sur sa carte rseau. En outre, cette communication stablit entre linterface outside(securitylevel0)etlinterface dmz(securitylevel50)cequincessitelajoutdune ACLpourdrogerauprincipedumoindreprivilge.

ENI Editions - All rigths reserved - Moha Anisa

- 5-

NousconstatonslechangementduchampIPdestinationdanslepaquetlorsdupassageautraversdufirewall.Cette configurationncessiteunroutagedeladresse198.10.10.100surladressedelinterfaceoutside. static (inside,outside) 198.10.10.100 192.168.3.2 netmask 255.255.255.255 access-list VersDMZ extended permit tcp host 198.10.10.100 eq www host 192.168.3.2 eq www access-group VersDMZ in interface outside Cesdeuxcommandesdcrivent :
G

lassociationentreladressepubliqueduserveur(198.10.10.100)etsonadresseprive(192.168.3.2) lindispensableACLpourpasserdunniveaudescuritlautre.Examinonslesdansledtail.

Lapremirecommandenest pas aise mmoriser de prime abord. Elle indique au routeur quuneadresseIPdu ctdelinterface insideeststatiquementtraduitesurlinterfaceoutsideparNAT.Noustrouvonsensuiteladresse IPpubliqueduserveursuiviedesonadresseprive.Cettesyntaxeestquelquepeudroutantedufaitdelinversion desadressesparrapportlordredesmotsinsideetoutside. LasecondecommandeestuneACLtendueclassiquequiautoriseladressepubliqueduserveurseconnecter sonadresseprive,lesportssontprcissetcorrespondentauprotocoleHTTP(port 80). Descontrlessupplmentairesexistentpourlesrglesdetraductionetconcernentlacouchesession.Ilestpossible de configurer un nombre maximum de connexions TCP et UDP. La quantit de connexions moiti ouvertes est galementconfigurable.

3.Dtectionetprotectioncontrelesmenaces
Lesattaquesportantsurlesprotocolesdurseaunemanquentpas.Ellesschelonnentdelasimplereconnaissance de port la mise hors service dun rseau par lenvoi en grand nombre de paquets volontairement errons. Les attaques de ce genre peuvent tout fait traverser un firewall si elles correspondent du trafic autoris. Il peut sembler irraliste denregistrer dans les journaux ces trafics lgitimes, mais une brutale augmentation dune catgorie de trafic est une information de premier choix hlas noye dans le flux incessant qui traverse un quipement de scurit. Ce principe est sduisant mais induit pour un firewall, aussi dot en mmoire soitil, une chargedetravailconsidrable.Ilestprfrablededlguerdautresoutilslesoindesurveillerlachargedesliens du rseau voire la conformit applicative du trafic. Parmi ces outils nous trouvons les dispositifs de corrlation de journauxquiprsententunavantageincontestableencomptabilisantlesoccurrencesdunmmevnementaulieu decrerunelignepourchacundentreeux. Aprs la dtection dune activit paraissant suspecte, il convient de prendre une dcision quant au traitement du traficincrimin.Ilestenvisageabledelliminertotalementouderestreindresontauxdepntrationdanslerseau

- 6-

ENI Editions - All rigths reserved - Moha Anisa

parlebiaisdesoutilsdequalitdeservice. Nous avons examin sur les routeurs des ACL qui permettent de rejeter sur les interfaces externes, du trafic semblant provenir des rseaux internes. De mme, nous avons soulign lintrt reprsent par un filtrage la sourceauplusprsdesconnexionsdesutilisateurs. NousallonsprsentexaminerlessolutionsproposessurlefirewallASA. Le taux de messages de scurit concernant le nombre de paquets rejets par des ACL est tout particulirement intressantcarilindiqueuneanomaliedueounonuneattaquesurlerseau. ASA-5505(config)# threat-detection basic-threat Cette premire commande active la dtection des menaces sur une liste prdtermine dirrgularit comme les rejetssurlesACL,unnombretropimportantdepaquetsSYNenattentedesynchronisationouunereconnaissance parscandeports.Unmessageestenregistrsurlejournaldufirewall.Lestauxdedtectionsonttrsfacilement paramtrables et portent sur la dure pendant laquelle seront calcules les moyennes, le taux moyen de paquets rejetsparsecondeetuntauxdepicsurunintervallepluscourt.Cescommandesneprsententaucunedifficult particuliremaisncessitentunparamtrageralisteenfonctiondesseuilssouhaits. hostname(config)# threat-detection rate {acl-drop | bad-packet-drop | conn-limit-drop | dos-drop | fw-drop | icmp-drop | inspect-drop |interface-drop | scanning-threat | syn-attack} rate-interval rate_interval average-rate av_rate burstrate burst_rate threat-detection rate syn-attack rate-interval 1200 average-rate 100 Ledtaildelacommandeestdonnpourinformation.Noustrouvonsaudessous,unecommandevisantremonter unealerteencasdedpassementduncertainrglagedanslecasduneattaqueparinondationdepaquetsSYN. Aprs chaque mot cl et avant chaque valeur en secondes, lutilisation du point dinterrogationfournit(enanglais) desexplicationstrsdtaillessurlutilisationdechaquemotcl.Cetteaideenligneestdunetrsgrandequalit. La commande en exemple se traduit de la manire suivante : le taux de dtection des menaces pour une attaque SYN(prsume)estcalculsurunintervallede1200secondesetdclencheunealarmepouruntauxde100paquets parseconde. ASA-5505(config)# threat-detection scanning-threat shun duration 60 Cetteautrecommandeconcerneplusparticulirementlesreconnaissancesparscandeport.Ilesticiquestionnon seulementderemonterunmessageencasdereconnaissancemaisaussidedconnecterlegneurpourunedure duneminutegrceloptionshunquiestoptionnelle.Pourmmoireunereconnaissanceestunnombreconsidrable de tentatives de connexions sur tous les ports connus afin de dterminer quels sont ceux sur lesquels le systme dexploitationvisestencoute. Cisco sous lappellation de normalisation du protocole TCP offre une myriade doptions trs intressantes pour tenter de paramtrer finement la dtection des attaques dont TCP est la victime. Ici aussi le point dinterrogation apporte beaucoup dinformations. Citons toutefois quelques options portant sur la dtection des drapeaux ACK ou URGENTmalpositionnsainsiquelapossibilitdaccepterunevariationdelatailledesfentres. LemcanismedapplicationdelanormalisationduprotocoleTCPuneinterfacesuitleschmautilispourajusterla qualitdeservice.LasyntaxeutiliseparCiscoest tiroir etmritequelonsyarrtequelquesinstants.

ENI Editions - All rigths reserved - Moha Anisa

- 7-

Toutdabord,nousdfinissonslesparamtresdenormalisation(enbasdroite),puisuneclass-mapestcredans laquelleletraficdfiniparuneACLestslectionnpourlanormalisation.Toutceciestintgrdansune policy-map (qui peut contenir plusieurs entres class-map et set). Pour terminer, une service-policy englobe la policy-map avantdesevoiraffectelinterfaceoutside. ASA-5505(config)# access-list trafic_entrant extended permit tcp any host 198.10.10.100 eq www ASA-5505(config)# tcp-map ASA-5505(config-tcp-map)# ASA-5505(config-tcp-map)# ASA-5505(config-tcp-map)# ASA-5505(config-tcp-map)# normalisation checksum-verification reserved-bits clear syn-data drop exit

ASA-5505(config)# class-map tcp_norm ASA-5505(config-cmap)# match access-list trafic_entrant ASA-5505(config-cmap)# exit ASA-5505(config)# policy-map tcp_normalisation ASA-5505(config-pmap)# class tcp_norm ASA-5505(config-pmap-c)# set connection advanced-options normalisation ASA-5505(config-pmap-c)# exit ASA-5505(config-pmap)# exit ASA-5505(config)# service-policy tcp_normalisation interface outside ASA-5505(config)# Cette capture comporte la totalit des commandes qui correspondent au schma dorganisation de cette configurationencascade.Noustouchonsiciauxsquencesdecommandesparmilespluscomplexesintroduitespar Cisco.

4.OlonreparledelatlphoniesurIP

- 8-

ENI Editions - All rigths reserved - Moha Anisa

LefirewallASAoffredesmesuresdescuritpourlatlphoniesurIPparmilesquellesnousretiendronslapossibilit dedchiffrerlavolelasignalisationafindelinspecter(TLSproxy),linspectionprotocolaireproprementditeetla fonctionphoneproxy.

a.TLSproxy
TLSproxyplaceleparefeuencoupureentreuntlphoneetleCUCMafinde dfaireetrefaire lasessionTLS qui protge la signalisation. Une fois en clair, la signalisation est inspecte puis chiffre nouveau avant dtre redirigeversleCUCM.Cettearchitecturencessitelamiseenplaceduncertificatsurleparefeulamanirede celuiprsentsurleCUCMetlamisejourdelalistedeconfianceprsentesurletlphone.TLSproxyncessite linstallationdecertificatssurleparefeuafindereprsenterleCUCMpourlestlphonesetunemisejourdeleur listedescuritinterne.

b.Inspectionprotocolaire
Il est ici question de vrifier la conformit du protocole de signalisation par rapport des rgles dfinies dans la configuration du parefeu. Ces rgles seront confrontes la signalisation. Linspection du protocole vrifie galementlespropritsTCPdelaconnexionetoffrelopportunitderendrealatoirelesnumrosdesquences. Enfin,unergledequalitdeservicepeutaussitreappliqueautrafic(enloccurrencelasignalisation). class-map VoIP match any ! policy-map type inspect skinny Inspection-SCCP parameters enforce-registration message-id max 0x141 sccp-prefix-len max 65536 timeout media 0:01:00 timeout signaling 0:05:00 rtp-conformance enforce-payloadtype policy-map global-policy description Telephonie class VoIP inspect skinny Inspection-SCCP set connection conn-max 100 embryonic-conn-max 20 per-client-max 3 set connection timeout tcp 1:00:00 reset dcd 0:15:00 5 set connection decrement-ttl ! service-policy global-policy global CetextraitmontrelaconfigurationdelaprotectionduprotocoleSCCP.Leschmaconsistedclarerunpolicymap de type inspect puis linsrer dans une policymap nomme globalpolicy. Cette dernire est appele dans une commande service-policy applique globalement (global). La classmap nomme VoIP dsigne tout trafic sans distinction.Elleestappeledanslapolicymapnommeglobalpolicy. Les paramtres concernant SCCP sont sous le mot parameters. Ceux concernant TCP sont dans la classnomme VoIP.Cetteinspectionestbienentenduapplicablesurdutraficenclairmaisaussisurdutraficchiffrcondition davoiractivlafonctionTLSproxy.

c.Phoneproxy
Cette technique est particulirement utile pour scuriser les rseaux au sein desquels sont prsents des tlphonesIPlogiciel(SoftPhone).Lesrseauxdetlphonieetceuxdedonnesemploientenrglegnraledeux VLANdistincts.Siuntlphonelogicielestinstallsurunestationdetravail(membreduVLAN donnes )ilest alorsncessairedefairetransiterlatlphoniedunVLANverslautrecequisoulvequelquesproblmesdusla naturedesportsUDPetleurdsignationdynamiqueparleCUCM.Cetteconfigurationncessitetoutcommepour leTLSproxylinstallationdecertificatssurleparefeuafindereprsenterleCUCMpourlestlphonesetunemise jourdeleurlistedescuritinterne. LeCUCMestcapabledintercepterlesmessagesenprovenanceduntlphonelogicielduVLANdedonnesetde leforcersauthentifier. lissuedecettesquencelasignalisationindiqueauparefeulesportsparlesquelsle trafictlphoniqueseraautorispasser.Cettetechniquevitedonclouverturestatiquedunetropgrandeplage deportsUDP.

ENI Editions - All rigths reserved - Moha Anisa

- 9-

5.VPNSSL
Les applications de type client serveur ncessitent en temps normal linstallation dun logiciel spcifique sur la machineclienteetcelanevapassansposerdenombreuxproblmesdedploiementetdemisejourdesversions en production. De plus, les accs distants au rseau de lentreprise sur lesquels rsident des clients spcifiques ncessitentunsupplmentdeconfigurationaveclinstallationdeslogicielsddislacommunication.Lavnement desapplicationsdveloppespourInternetaconsidrablementmodifiladonneensimplifiantlesaccsauxrseaux distants. En effet, partir dun simple navigateur Web il est possible daccder en toute scurit un portail sur lequeldesliensredirigentlutilisateurverssesapplications.Pourcertainesdentreellescemodedefonctionnement nestpasenvisageableenraisonducotdemigrationoudeshabitudesprisesparlesutilisateurs.Lamessagerieest un exemple typique pour lequel les utilisateurs ont quelques difficults troquer leur traditionnel client contre une messagerie en ligne offrant pourtant les mmes facilits. Afin de palier cet inconvnient, il est possible de tlchargerlademandedesfonctionnalitsadditionnellespourcanalisercestypesdetraficdanslacommunication protgeparSSL. LesparefeuCiscoASAoffrenttroistechniquesquenousallonsexaminersousleprismedelascurit.Cesmodesde fonctionnementsont :laconnexionVPNSSLsansclient,celleavecunouplusieursconnecteursspcifiques(plugin) etcelleavecunclientlourd. Le dploiement de cette technologie ncessite une bonne organisation afin de planifier avec soin les groupes dutilisateursetlesdroitsdaccsauxressources.Ici,lanotiondegroupestendenfonctiondesprojetsbienau del des utilisateurs de lentreprise. Ceci est du au fait que la technologie VPN SSL repousse les limites des connexionstraditionnellesetoffreainsilapossibilituneentreprisedouvrirsesressourcessespartenairessans quilsoitncessairedematriserleurinfrastructure.Untelprojetsaccompagneaussidunetudesurlesprocdures decrationetdechangementconcernantlesressources,lesgroupesdutilisateursetlesrelationsquilesunissent. Cestudessont,soulignonsle,troitementlieslorganisationdesannuairesdentrepriseetplusglobalementla gestiondesidentits. Cettetudecomportebienentendu(etcommetoujours)unedfinitionpralabledesexigencesdescurit. ExigencesdescuritdesVPNSSL Authentifierlesutilisateurs Leurattribuerdesdroitsdaccs Validerunniveaudescuritsurlesstations distantes AAA(associationgroupesressources) Gestiondesmotsdepasse. Vrificationdelantivirus,niveauminimalde chiffrement,expirationdessessions, authentificationmutuelle(certificats) Securedesktop,effacementducache,clavier virtuel,dtectiondesenregistreursdeclavier

Renforcerlascuritencasdaccspartirde machinespubliques

CesexigencescouvrentlesdeuxdomainesquesontlquipementVPNSSLcentraletlastationdistante.

Voici une reprsentation trs schmatique dune architecture VPN SSL sur laquelle nous observons les lments constitutifs et les flux associs en partant du principe que lquipement VPN SSL est en mode rout et dlgue quelques fonctions de scurit. Si tel nest pas le cas, il savre indispensable dintercaler un routeur ou un commutateurEthernetmunisdefonctionsderoutage.Dcrivonscettearchitecture :
G

Les stations de travail passent au travers dun premier firewall qui a pour vocation de filtrer le protocole entrantenveillantlabonneconformitdelacoucheTCP/IPetenassurantunebarrirecontrelesattaques parsaturation.

- 10 -

ENI Editions - All rigths reserved - Moha Anisa

Lquipement terminal VPN SSL termine la session chiffre avec lutilisateur distant et examine ses droits gnralement en fonction de son groupe dappartenance. Les annuaires de lentreprise sont mis contribution.Ilsnesontpasicireprsents,maissontpositionnsdansunezonedescurit,carrappelons le,aucuntraficexternenedoitdirectementaccderaurseauInterne.CesannuairesDMZpeuventtredes imagesdesannuairesinternesdisposantdunsystmederplicationdelintrieurverslaDMZ. Letraficestroutversunquipementdetypereverseproxyafindepasserdenouveauxservicesdescurit commelanalysedescaractresdangereuxavantdtre(gnralementenfonctiondelURI)versleserveur deproduction.Ilestrecommanddechiffrercettecommunicationpourassurerunmaximumdeconfidentialit auseinmmedesDMZ. Cedernierestalimentendonneparlintrieurdurseauenapplicationduprincipedemoindreprivilge.

Des mcanismes additionnels qui sortent du cadre de ce livre offrent la possibilit de grer les droits daccs en fonction de lapplication demande lors des requtes HTTP ainsi que lauthentification unique plus connue sous lappellationdeSSO(SingleSignOn).ToutefoiscertainesapprochesduSSOsontprisesencompteparlefirewallASA.

a.VPNSSLsansclient
IlsagitdumodeprivilgiquiutiliselesfonctionsdechiffrementdunavigateurInternetpourassurerlascurit. Les clients se connectent un portail personnalis sur le firewall et en fonction de leur identit ont accs aux ressourcespourlesquellesilsontdesdroits.Ilestgalementpossibledeparcourirdesrpertoiresetdesfichiers lamaniredelexplorateurdunestationdetravail.Unavantageincontestableestlaccsauxdonnespartirde nimportequelpostedetravailrelieInternet. Nous allons dcrire les configurations qui conduisent la construction dun exemple simple mettant en avant les fonctionsdescurit.Nousnaborderonspaslesmultiplescapacitsdeceproduitenmatiredepersonnalisation desportails. ASA-5505(config)# webvpn ASA-5505(config-webvpn)# enable outside Ces deux commandes activent le VPN SSL sur linterface extrieure du firewall. Les paramtres de scurit sont affectslutilisateurunefoisfranchielapagedauthentification.Ilsproviennentdunecombinaisondesproprits de lutilisateur et du groupe auquel il appartient. Cest ce groupe dappartenance qui fixe les rgles de scurit auxquellesestsoumislutilisateurpendantsasession. group-policy "Entreprise 1" internal group-policy "Entreprise 1" attributes banner value Bonjour bonjour vpn-access-hours none vpn-simultaneous-logins 3 vpn-idle-timeout 30 vpn-session-timeout 240 vpn-tunnel-protocol webvpn group-lock none vlan none webvpn url-list value template_entreprise_1 filter none port-forward disable customization value Entreprise_1 hidden-shares none smart-tunnel disable file-entry enable file-browsing enable url-entry enable smart-tunnel auto-signon disable username Paul password NUNxeiV/zZIW3X5z encrypted username Paul attributes vpn-group-policy "Entreprise 1" vpn-access-hours none vpn-simultaneous-logins 1 vpn-idle-timeout 30 vpn-session-timeout 240 vpn-filter none vpn-tunnel-protocol webvpn password-storage disable
ENI Editions - All rigths reserved - Moha Anisa - 11 -

group-lock Entreprise_1 service-type remote-access webvpn file-browsing enable file-entry enable url-entry enable port-forward disable homepage none hidden-shares none url-list none customization value Entreprise_1 svc keep-installer installed svc keepalive none svc compression deflate svc dtls enable svc mtu 1406 svc profiles none smart-tunnel disable smart-tunnel auto-signon disable tunnel-group Entreprise_1 type remote-access tunnel-group Entreprise_1 general-attributes default-group-policy "Entreprise 1" password-management password-expire-in-days 2 tunnel-group Entreprise_1 webvpn-attributes customization Entreprise_1 group-alias ent1 enable VoiciunlargeextraitdelaconfigurationdunASAquimontreleparamtragedunVPNSSL. Cetteconfigurationminimalisteestdonnetitreinformatifetneproposeaucunefonctionnalitweb,elleapour vocation dillustrer la manire dont lutilisateur hrite des paramtres du VPN SSL sur lequel il se connecte. Ces paramtresviennentsajouterauxsiensetceuxdesongroupedappartenance. Les attributs de lutilisateur Paul sont clairement visibles et notamment la politique de groupe laquelle il est rattach.Lesparamtresdepersonnalisationduportailnesontpasvisiblessurlaconfigurationcarilssontstocks dansunfichierXMLluimmesauvegardenmmoireflash.Parcommodit,cetteconfigurationnefaitpasappel unannuairecentralismaisutiliselabaselocaleAAA.Lecontrleeffectusurlexpirationdumotdepasseestbas surlalecturedespropritsvenantdelannuaire.Lefirewallpermetlutilisateurdechangerluimmesonmotde passe. Ledtaildecetteconfigurationestlesuivant :
G

Unepolitiquedegroupeestcreetnomme Entreprise 1.Ellereoitquelquesproprits.Ellesfigurent surleslignesquisontdcalesduncaractresurladroite. Lacommandevpn-tunnel-protocol webvpnappellelacommande webvpnsituetroislignesplusbaslaquelle reoitgalementdesproprits(denouveaudcalesduncaractredroite). La commande webvpn est assortie de proprits de personnalisation du portail comme la liste dURL (template_entreprise_1). LutilisateurPaulestdfinietunesriedecaractristiquesluisontappliquesdontsonrattachementla politiquedegroupeEntreprise 1. Le portail est finalement cr avec la commande tunnel-group Entreprise_1. Entreprise_1 et reoit la politique

Les exigences de scurit indiquent que la slection des paramtres de cryptographie participe lvaluation du niveaudescuritdelastationdistante.LesnavigateursInternetetlesserveursngocientlasuitedechiffrement etenfonctiondeleurspossibilitssaccordentsurunesuitefaible. ASA5505(config)# ssl encryption aes256-sha1 aes128-sha1 3des-sha1 ASA5505(config)# ssl server-version tlsv1-only CesdeuxlignesmontrentlaconfigurationSSLductdufirewallASA.Langociationestacceptepourcestrois suites et le protocole gnral choisi est TLS V1 ce qui signifie quune station distante sera rejete si elle se prsenteavecunesuitediffrentedestroisproposes.Lobjectificiestdeforcerlangociationsurlessuitesles plusfortes.

- 12 -

ENI Editions - All rigths reserved - Moha Anisa

Leclaviervirtuel:

Ces deux captures montrent le menu de configuration du clavier virtuel et le rsultat obtenu lors dune tentative douverturedesession.Cedispositifprotgecontrelesenregistreursdeclavierdontlebutestdecapturerlesmots depasseentrsparlutilisateur. Securedesktop CiscoSecureDesktop(CSD)estunenvironnementdetravailscurisquiesttlchargpuisinstallparunclient distant. Cette technologie est souvent compare un bac sable logiciel duquel on ne peut sortir. CSD est une machine virtuelle chiffre qui une fois cre sur la station distante sintercale entre lutilisateur et le systme dexploitation.Lutilisateurdslors,interagitavecsesapplicationslintrieurdecetespacevirtuellocal.Unefoisla sessiontermine,lenvironnementestdtruit. Lamiseen uvredeCSDseffectueentroisphases :
G

sontlchargementsurlesitedeCisco,sacopiesurlesystmedefichierdufirewalletsonactivation lacrationdunepolitiquedevrificationentrelemomentolutilisateurentamelaconnexionetlemoment oilentresesidentifiants.Leprincipeestdeprocderdescontrlespralablesdfinissantunniveaude scuritdontdpendraletypedeservicesdisponiblesoulanonconnexion(sileniveauminimalnestpas atteint) Laconnexionproprementditedansleclientscuris.

ASA5505(config)# webvpn ASA5505(config-webvpn)# csd image disk0:/cte/securedesktop-asa3.3.0.129-k9.pkg ASA5505(config-webvpn)# csd enable CestroiscommandesactiventcsdpartirduneimagelogiciellepralablementtlchargesurlesiteInternetde Cisco. Cette image est copie dans un systme de fichiers nomm disk 0:. La commande csd enable active globalementlafonction.

ENI Editions - All rigths reserved - Moha Anisa

- 13 -

Ici,unefoisnestpascoutumenousprsentonsunextraitgraphiquedelaconfigurationdelaphasenumrodeux. Ilesticipossiblegraphiquementdeconcevoirunelogiqueafindeclasserleniveaudescuritdelastationdistante en fonction de certaines de ses caractristiques. En fonction du niveau de scurit, CSD autorisera certaines fonctionnalits.Danscetexemple,CSDexaminelesystmedexploitationdelastationdistanteetexigelaprsence duncertaintype(2K/XP/Vista)avantdepoursuivreparunexamendeladresseoudurseauIP.Sicerseauest conforme celui configur dans la rgle la station est reconnue sre. La chane de caractre reconnue sre devientdefaitlenomdunepolitiqueCSD. LalogiquepoursuitsoncheminementencasderreursurladresseoulerseauIPetlastationestreconnuemoins sre. Afin de lui permettre daccder un jeu rduit de fonctionnalits, cette nouvelle tentative recherche sur la stationdistanteunfichierunemplacementprcis.Silesttrouv,lastationestaffectedeltiquette reconnue moinssre dontlachanedecaractresdevientsontourlenomdunepolitiqueCSD.

Ilestpossibledecrerplusieurspolitiquesenfonctionduneanalyseprliminairedecertainescaractristiquesdu poste de travail. Par exemple, toute station ne possdant pas une cl spcifique dans sa base de registre est considrecommetantdansunlieunonscuris.Cettepolitiqueouvreparlasuiteledroitdeffectuercertaines actions comme la navigation sur Internet ou laccs des fichiers. Limage nous montre aussi les icnes de configurationdesdiverscontrlesdescuritdechaquepolitique.Nousytrouvonslesdispositifsdenettoyagedu cachedelastationdistanteainsiquediversautrescontrlesvisantprmunirlastationcontrelesenregistreurs declavieroulintroductiondemdiasamovibles.

- 14 -

ENI Editions - All rigths reserved - Moha Anisa

VoicilutilisateursurlepointdentrerdanssonenvironnementprotgparCSD.Ilestindiququaucunenregistreur declaviernatdtectsurlastation. Politiquedaccsdynamique Cetypedepolitiquepermetdaffecterdesdroitsdaccsetdecirculationsurlerseauunutilisateurenfonction desespropritsdauthentification (AAA) et de la prsence sur sa machine dunlogicieldescuritcorrectement paramtr.

Voici lexemple dune politique daccs dynamique concernant les utilisateurs dun profil de connexion qui doivent galementsatisfairedesconditionsdeversiondantivirus(moteuretsignature).Silunedesconditionsnestpas remplieouaucontraireestremplie,desattributssupplmentairessontaffectslutilisateuretviennentprendrele
ENI Editions - All rigths reserved - Moha Anisa - 15 -

dessus sur les valeurs obtenues par lauthentification AAA. Sur la capture dcran, en cas de nonconformit, la connexionestcoupe. Protectionapplicative Lun des objectifs de linspection applicative est dexaminer le contenu des paquets (filtrs par une ACL) afin de permettre au parefeu douvrir les ports ncessaires la communication. Cette ouverture dynamique est suivie dune fermeture des ports une fois la communication acheve. Ce principe est appliqu lors de la traverse des protocolesassocieslatlphoniesurIP. Linspectionvaaussiconfronterlespaquetsungroupederglesdestinesdtecterdventuellesirrgularits letoutdonnantlieuunedcisioncommedanslexemplesuivrequiconcerneHTTPetSCCP. class-map Inspection_SCCP match any ! class-map Inspection_HTTP match any ! ! policy-map type inspect http Niveau_de_securite_HTTP parameters protocol-violation action drop-connection log class asdm_high_security_methods drop-connection match request header non-ascii drop-connection policy-map Inspection_SCCP_et_HTTP class Inspection_SCCP inspect skinny set connection conn-max 100 embryonic-conn-max 20 per-client-max 100 set connection timeout tcp 1:00:00 reset dcd 0:15:00 5 class Inspection_HTTP inspect http Niveau_de_securite_HTTP ! service-policy Inspection_SCCP_et_HTTP global Nousretrouvonsiciletraditionnelschma classmap dans une policymapdansune servicepolicy (cettephrase est retenir !). Toutefois, nous observons une petite nuance. Il sagit de la policymap de type inspect qui est appele dans la policy-map Inspection_SCCP_et_HTTP. Cette policymap dfinit des actions en cas dirrgularit dansleprotocole.Noussommesdoncenprsencedunpetitarsenaldeluttecontrelesattaquesdissimulesdans lesprotocolesapplicatifs.

b.VPNSSLavecSmartTunnels
Latechnologie SmartTunnelpermetdefairetransiterdesapplicationsTCP(nonWEB)entrelordinateurdistantet le site central. Smart Tunnel vient en remplacement du client lger prcdent qui assurait des fonctions de redirection de port la manire dun client SSH. Malgr tout, il est toujours possible dactiver les fonctions de redirectiondeportpourlesapplicationsquinesontpassupportesparlatechnologieSmartTunnel(OutlookMAPI). SmartTunnelnencessitepasdedisposerdesdroitsadministrateursurlepostedetravailetmetdispositionde lutilisateur des connecteurs (plugins) pour certaines applications prdfinies. Les connecteurs dispensent lutilisateurdelinstallationdunprogrammeadditionnel. ASA5505(config)# webvpn ASA5505(config-webvpn)# smart-tunnel list Messagerie 1 thunderbird.exe platform windows ASA5505(config-webvpn)# group-policy "Entreprise 1" attributes ASA5505(config-group-policy)# webvpn ASA5505(config-group-webvpn)# smart-tunnel enable Messagerie Ici,nousconfiguronsSmartTunnelpourfairetransiterletraficissudelapplicationdemessageriethunderbird.exequi fonctionnesuruneplateformeMicrosoftWindows. Les connecteurs sinstallent dans la mmoire flash de lquipement via linterface graphique aprs les avoir tlchargs sur le site de Cisco. Une fois en place, ils apparaissent dans le portail et donnent lintrieur dune pageweblapossibilitdelanceruneconnexionSSH,RDP,CitrixouencoreVNC.

- 16 -

ENI Editions - All rigths reserved - Moha Anisa

c.VPNSSLavecleclientAnyConnect
Leclient lourd AnyConnectsinstallemanuellementouautomatiquementsurunposteclientetcresurceluici uneinterfacerseauvirtuelleainsiquuneroutestatique.Ceclientpossdeunavantagecertainparrapportun clientdetypeVPNIPSeccarilestexemptdetouteconfiguration.Unefoisinstall,lutilisateurdmentauthentifi est directement connect sur le rseau local de lentreprise. La configuration dAnyConnect comporte plusieurs tapes. ip local pool AnyConnect 192.168.1.10-192.168.1.20 mask 255.255.255.0 ! group-policy Client1 internal group-policy Client1 attributes banner value Bonjour bonjour vpn-access-hours none vpn-simultaneous-logins 3 vpn-idle-timeout 30 vpn-session-timeout none vpn-filter none vpn-tunnel-protocol svc group-lock value AnyConnect msie-proxy method no-proxy vlan none nac-settings none address-pools value AnyConnect webvpn url-list value template_entreprise_1 svc dtls enable svc keep-installer installed svc keepalive none svc compression deflate svc profiles none svc ask none default svc customization value Entreprise_1 deny-message value Des droits vous manquent Toutdabord,unepolitiquedegroupeestcre.Ellecomportequelquespropritscommelindicationdelamiseen place dun tunnel SSL vpn-tunnel-protocol svc et laffectation dun groupe dadresses IP address-pools value AnyConnect. LesinstructionssouswebvpnconcernentleclientVPNetindiquententreautredelaisserleprogrammedinstallation surlamachinehteetdeforcersoninstallation. username Paul password bI0TiI3IJ4S1atiy encrypted username Paul attributes vpn-group-policy Client1 MrPaulestrattachlapolitiquedegroupeprcdemmentcre. tunnel-group AnyConnect type remote-access tunnel-group AnyConnect general-attributes address-pool AnyConnect authentication-server-group (outside) LOCAL default-group-policy Client1 tunnel-group AnyConnect webvpn-attributes group-alias AnyC enable Letunnelestmisenplaceetreoitlespropritsprcdemmentcres.Lacommandedauthentificationappellele serveurAAAinterne(LOCAL)dufirewallpourassurercettefonctionsurlinterfaceexterne.

ENI Editions - All rigths reserved - Moha Anisa

- 17 -

Encliquantsurlepetitcadenas(premireicnegauche)nousobtenonslafentrequifournitquelquesindications commeladresseIPobtenueetcelleduparefeusurlaquellesetermineletunnelSSLVPN.

Ici,nousobservonsleretourdelacommande netstat -nrsurlastationdetravailetnousconstatonslaprsence duneroutepardfautpointantversladresseinterneduparefeu. ASA5505# sh vpn-sessiondb svc Session Type: SVC Username Assigned IP Protocol License Encryption Bytes Tx Group Policy Login Time Duration NAC Result VLAN Mapping : : : : : : : : : : : Paul Index 192.168.1.10 Public IP Clientless SSL-Tunnel DTLS-Tunnel SSL VPN 3DES AES256 Hashing 53140 Bytes Rx Client1 Tunnel Group 18:58:50 UTC Fri Oct 24 2008 0h:01m:25s Unknown N/A VLAN : 2 : 198.10.10.2

: SHA1 : 22736 : AnyConnect

: none

Voici le rsultat de la commande show vpn-sessiondb svc qui montre les caractristiques de la connexion de Mr Paul.Lesinformationsfourniessonttrslisiblesetdirectementexploitablestoutefois,lemot clientlessquiapparait iciporteconfusion. Dans cette configuration ne figure aucune indication concernant le splittunneling qui est la technique autorisant lutilisateurduntunnelensortirpouraccdercertainesressources.Celasignifieenltatquecechoixnestpas permis. Le splittunnelingestutilispourlesconnexionsInternetpartirdelastationdetravaildunutilisateurnomade.
- 18 ENI Editions - All rigths reserved - Moha Anisa

EnfonctiondelapolitiquedescuritletraficInternetdelutilisateurnomadeestsoitcontraintdepasserparle sitecentraloubienautorissortirdirectementcequinevapassanssouleverquelquesinterrogations. Ici,lapolitiquedescuritdurseaurejointcelledesstationsdetravailquipourlesaccsnomadesimposedes protectionscommelesfirewallspersonnels,lesantivirusetdesmcanismes(ouprocdures)dedsactivationdes interfacesautresquecellesurlaquelleletunnelesttabli. Signalonsenfinquauniveaurseauenfonctiondelarchitecturelesrglesdetraductiondadressesdevronttre ajuste.Laconfigurationprsentencessiteunergledexclusioncarlerseauaffectlastationnomadeexiste surlerseauinterne.

ENI Editions - All rigths reserved - Moha Anisa

- 19 -

Conclusion
NousavonsexposdanscechapitrequelquesunesdesmultiplesfonctionnalitsoffertesparleparefeuASAquivont bien audel de la simple confrontation du trafic des rgles de filtrage. Sans cette volution, ce type de matriel serait sans doute tomb en dsutude. Le parefeu ASA de Cisco est un quipement multifonction aux possibilits remarquablesquireprendlesfonctionsdebasecommelefiltrageetyajoutecellesissuesdesbotiersVPN.Toutesles couches du modle OSI sont couvertes et les protocoles applicatifs bnficient dun puissant service danalyse permettantdeparerauxproblmesdirrgularitsetdattaquesembarques. LeVPNSSLestuneavancesignificativepermettantauxentreprisesdefournirdesaccsapplicatifsentoutescurit leurs partenaires avec ou sans linstallation dun client spcifique. Ces accs sont galement subordonns des contrlesdescuritsurleposteclientportantsurletypedesystmedexploitationoudantivirus. LeparefeuASAvientgalementauservicedelatlphoniesurIPavecunepriseencomptedesspcificitsdeses protocolesparmilesquellesfigurentlattributiondynamiquedesportsdecommunication. Danslarchitecturedescurit,leparefeudeCiscooccupe,deparsescapacitsdanalysemulticouches,despositions qui ne se limitent pas aux frontires avec le monde extrieur car ses spcificits font de lui un appareil capable de protgergalementlintrieurdurseau.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Virtualisation(VMware)
Ce livre a grandement bnfici de lessor des technologies de virtualisation et dmulation. Nous allons dans ce chapitre dcrire les mthodes qui nous ont permis de raliser les maquettes destines concevoir et valider les configurations prsentes dans ce livre. Deux logiciels particulirement performants ont t mis contribution. Nous citeronsenpremierlincontournableVMwarepuislecoupleDynamips,GNS3. La virtualisation consiste utiliser un systme dexploitation afin de faire fonctionner en son sein dautressystmes dexploitation. La virtualisation est apparue pour le grand public la fin des annes 90 avec lavnement du logiciel VMware.Ellepossdesonactifdenombreuxavantagesparmilesquelsnouspouvonsciterunerductiondunombre de machines prsentes dans les salles informatiques grce aux regroupements effectus sur des machines htes. Outre le gain de place vident, la virtualisation simplifie la cration et le dplacement de systmes dexploitation virtuelsentrelesmachineshtesdiminuantainsilescotsassocislexploitation.

Lavirtualisationprsentedindniablesavantagesencequiconcernelacrationderseauxdesfinsdessaislorsde phasesdintgrationetdevalidationdunprojetinformatique.Ilesteneffetfaciledecrer,demodifier,dedplaceret de supprimer un systme dexploitation virtuel. Un autre avantage est de pouvoir aisment dplacer un groupe de machinesvirtuellesdanslecadrededmonstrationscarellesprennentlaformedunensembledequelquesfichiers.La capture dcran montre une machine hte Microsoft Windows Vista hbergeant une machine virtuelle Linux. Lhte fournissant le service dhbergement est galement dsign par lappellation dhyperviseur. Les machines virtuelles avec certaines versions de VMware (ACE) peuvent tre chiffres et recevoir des politiques de scurit. VMware est aussi prsent sous une forme qui constitue ellemme un systme dexploitation. Il sagit de la version ESX qui sinstalle directement sur le matriel. Il nest plus indispensable dinstaller un systme dexploitation hte comme MicrosoftWindows(cequiestlecassurlacapturedcran). La virtualisation dun systme Linux permet de bnficier de tous les services rseaux offerts par les distributions. Nous avons pour la prparation de ce livre utilis VMware pour installer sur notre machine hte un serveur Linux FEDORAsurlequelnousavonsinstallleserveurFreeRADIUS. LesrseauxetVMware Unemachinevirtuelleestutilisableencircuitferm.CetteconfigurationestutilepourdcouvrirlesystmeLinux(ouun autre)sansavoirlinstallerdemeureetdemanireisole.Toutefois,unemachinevirtuellepeutseconnecterla machinehteetaurseaudecelleci.Laversionquenousavonsutiliseproposetroismodesdefonctionnementqui consistent :
G

Connecter la machine virtuelle uniquement la machine hte. Il sagit du mode host Only disponible gnralementsurlinterfaceVMNet1.LamachinevirtuellesevoitattribueruneadresseIPparleserveurDHCP de Vmware. Ce mode de fonctionnement permet la machine virtuelle de dialoguer uniquement avec la machinehte. Connecterlamachinevirtuelleaumondeextrieurvialamachinehte.Pourcefairecettedernireopreune traductiondadresse.IlsagitdumodeNATdisponiblesurlinterfaceVMNet8.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Connecterlamachinevirtuelleauxctsdesonhtesurlemmerseau.Ilsagitdumodebridgedpourlequel lamachinevirtuellepossdesapropreadresseIPcommenimportequelleautremachinesurdurseaulocal.

Cetteimageillustrenotredescription:http://sebsauvage.net/temp/ccm/types_reseau_vmware.png

Installationduproduit Linstallationdunemachinevirtuelleestrelativementsimple.PourinstallerunsystmeLinux,ilestrecommanddese procureruneimageISOquiesthabituellementutilisepourgraverunCDouunDVDdusystme. Pourcrerunenouvellemachinevirtuelle,ilsuffitdesuivrelestapessuivantes :


G

Slectionner Filepuis New puis Virtual Machine et suivre lassistant. Ce dernier propose plusieurs choix de systmesdexploitationainsiquelespacedisquerservlamachinevirtuellesurlesystmehte. SlectionnerleCDRometchoisirdutiliseruneimageISO. Cliquersurletrianglevertpourlancerlinstallationdusystmequisedroulecommelorsquunordinateurest misenrouteetselanceavecundisquedanslelecteurdeCDRom.

Cette capture dcran montre ltape durant laquelle limage ISO du systme Linux Fedora est slectionne pour linstallation.

- 2-

ENI Editions - All rigths reserved - Moha Anisa

mulation
NousavonsgalementfaitusagedelatechniquedmulationpoursimulerunrseauderouteursCisco.Lafrontire est mince entre lmulation et ce que nous venons de dcrire avec la virtualisation. Ici, lordinateur va simuler llectroniquedurouteurafindefairefonctionnerlelogicielIOS.Cettetechniquedmulationesttrsutilisedansle monde du dveloppement sur microprocesseur. Nous la retrouvons aussi dans un autre domaine qui se trouve tre celuideluniversdesjeuxvidosdesannes80.Cesjeuxdarcadeonteneffettrouvunesecondejeunessegrce auxmultiplesmulateursquipournotreplusgrandbonheurressuscitentdesjeuxcommeleclbrePacman. DynamipsetGNS3 Ces deux logiciels sont indissociables et permettent dmuler un routeur Cisco sans son systme dexploitation. Les diversesplateformesquilestpossibledmulersontlessuivantes :C1700,C2600,C2691,C3600,C3700,C7200. Il est important de prciser que le systme dexploitation IOS est sous licence. Pour utiliser Dynamips, il est donc indispensabledepossderlgalementuneimagesystme. Dynamipsreoitdoncuneimagesystmecompatibleavec la plateforme choisie ainsi quun fichier de configuration qui comporte le paramtrage des interfaces et des interconnexionsaveclesautresrouteursetmmelacarterseaudelhtelocal.Dynamipsseconfigureaussiavecune interfacegraphiquenommeGNS3. Installationduproduit Le logiciel est disponible pour Windows et MacOs X. Le code source est galement propos sur le site Internet www.gns3.net. Le tlchargement pour Windows comprend tous les lments additionnels requis. Parmi eux figure linterfacedeprogrammation(API)PCAPbienconnuedesutilisateursdulogicielWireshark(exEthereal)quipermetde capturerletraficsurunrseauEthernetnoncommut. Aprslinstallationquiestdesplusclassique,lelogicielmontresurunecolonneplusieursicnesreprsentantchacune unmodlederouteurs,decommutateurEthernet,framerelay,ATMainsiqueleparefeuPIX.Enslectionnantlemenu editpuis IOSimagesethypervisorsonobtientlafentrequipermetderenseignerlaversiondIOSquiserautilise parlasuite.

En faisant glisser les icnes de la colonne de gauche vers le centre de linterface graphique et en reliant les icnes entre elles comme le montre la capture dcran, nous crons une petite architecture sur laquelle apparaissent deux routeurs,uncommutateurEthernetetunnuage.Lesliaisonssedessinentaprsavoirslectionnlicnereprsentant une souris, il convient alors de tracer les liaisons entre les divers quipements. Lorsque le pointeur se trouve au dessusdelobjetconnecter,unepetitefentreapparaitetpermetdeslectionnerlinterfacededestination. Lenuageestunobjetpartentire.Ilestutilispourrelierlamaquettelacarterseaudelordinateurhteafinde la rendre disponible distance et de la connecter divers services comme des annuaires, des enregistreurs de journaux(Syslog)oudesserveursdauthentification. Lorsquetouteslestapesmenantlaralisationdelamaquettesonttermines,ilestrecommanddesauvegarder laconfiguration.LefichierdeconfigurationpourDynamipsestalorscr. [localhost] [[7200]] image = \Program Files\Dynamips\images\c7200-jk9o3s-mz. 124-7a.image # On Linux / Unix use forward slashes:
ENI Editions - All rigths reserved - Moha Anisa - 1-

#image = /opt/7200-images/c7200-ik9o3s-mz.124-5a.image npe = npe-400 ram = 160 [[ROUTER R1]] F1/0 = S1 1 [[ethsw S1]] 1 = access 1 2 = access 20 3 = dot1q 1 # Note, replace the interface below with a valid interface # on your system or Dynamips will crash! #4 = dot1q 1 NIO_gen_eth:eth0 4 = dot1q 1 NIO_gen_eth:\Device\NPF_{B00A38DD-F10B-43B4-99F4B4A078484487} VoiciunexempledeconfigurationdeDynamips.NousobservonslimageIOSchoisiepourlesrouteursdelamaquette. Chaque routeur fait lobjet dune dclaration sur laquelle figurent ses connexions vers les autres objets de la maquette. Ici, le routeur R1 est connect par son interface F1/0 (pour Fast Ethernet 1/0) au port numro 1 du commutateurS1cederniertantreprsentparlentreethswS1quicomporte3interfaces.Lesinterfacesnumro1 et 2 sont chacune dans un VLAN (1 et 20), quant linterface 3 elle est relie un trunk de type dot1q luimme connectunecarterseaudelamachinehte.

Voici le dtail de la configuration du nuage vu par linterface graphique. Une liste droulante montre toutes les interfacesdelamachinehteligiblespourservirdeconnexionentrelamaquetteetlamachinehte.

Voici une maquette comprenant quatre routeurs relis entre eux par un commutateur Ethernet. Le routeur R0 est

- 2-

ENI Editions - All rigths reserved - Moha Anisa

connectlacarterseaudelamachinehteenpassantparlenuageC0(Cloud0).

ENI Editions - All rigths reserved - Moha Anisa

- 3-

Conclusion
Lesavantagesdesproduitscomme VMware ou Dynamips, GNS3sontmultiples,maislereversdelamdailleestune augmentationconsidrabledesressources(mmoireetprocesseur)quisontconsommesparcesprogrammessurle systme hte. Il devient possible dans un environnement rduit une seule machine de mettre en uvre une maquette rseau et systme trs complte et relativement complexe. Ces techniques permettent aisment de sauvegarderlesdiversesconfigurationsetdelesinstallerloisir.Lestechniquesdevirtualisationetdmulationsont enquelquesorterespectueusesdelenvironnementenpermettantderaliserdesconomiesdlectricitetdespace, cestpourcesraisonsquellesconnaissentdepuisquelquesannesdjunfrancsuccs.

ENI Editions - All rigths reserved - Moha Anisa

- 1-

Conclusion
Ciscodepuis1985proposedessolutionspourlesrseauxetasudslecommencementdesonactivitassocierses produitsdesfonctionsdescuritinnovantes.NousavonslargementutilisaucoursdecelivrelesfameusesACLqui audeldeleurrleenmatiredescuritsontemployeschaquefoisquuneslectiondetraficsavrencessaire. Dslors,Ciscoaentamunesriedacquisitiondesocitdontcertainesontapportleursavoirfairedansledomaine de la scurit. Ce fut le cas pour le parefeu phare de la marque dont nous avons tudi le successeur. De mme, chaquediversificationdanslagammedeproduitfutsystmatiquementaccompagnedinnovationsvisantprotger lesfonctionsderoutage,decommutationouplusrcemmentdevoixsurIP. Nousnavonspastexhaustifsdanscelivrecarnousavonseulavolontdetraiterlevastesujetquereprsentela scurit avec Cisco sous le prisme des quipements les plus couramment rencontrs dans les petites et moyennes entreprises. Bien dautres solutions et technologies sont disponibles au catalogue comme les sondes de dtections dintrusion, la protection de la messagerie ou les dispositifs daccs au rseau (NAC). Malgr tout, nous avons indirectementabordquelquesunsdecessujetsnotammentaucoursduchapitresurlascuritdelacouchelogique. Lapprochematrielleettechnologiquenestpourtantpassuffisantepourassurerpleinementlamissionconsistant protger un rseau et les applications qui lempruntent. Avec laccroissement des menaces et la diversification des matriels,lesquipementsseulsnesuffisentpasaccomplirlatchequileurestconfiesansunesolideorganisation. Cestpourquoi,avanttoutechose,ilestprimordialdemenerbienunerflexionstructureauprsdesutilisateursdu rseau afin de connatre et donc de comprendre leurs besoins scuritaires et les risques associs la perte ou lindisponibilitdurseau. Des quations complexes alliant la multiplication de la variable risque la division par la variable menace sont disponiblesunpeupartoutetleslongsrapportsdanalysederisquesbasssurdimprobableshypothsesdedpart versentparfoisdanslecatastrophismelepluspathtique.Dansledomainedelascurit,touteslesinformationssont recevablesetlesdcisionsdoiventtreprisesendehorsdetoutepeurouaffolementsavammententretenuparles marchands de solutions miracles qui ne manquent pas de se presser aux portes des entreprises. Une analyse pragmatiqueaccompagnedebonsensvalentsouventbienmieuxquecertainestudesbienloignesdelaralit delentreprise.Laphasedtudeetderflexionestdautantplusimportantequeleprixdesquipementsdescurit estrelativementlevetleurimplmentationcomplexe. Le principal acteur de la scurit trop souvent oubli est lutilisateur. Les architectures, les systmes et les rseaux sont tous au service des utilisateurs. Il peut arriver que ce facteur humain soit nglig ou tout bonnement cart. Pourtant, aucune politique de scurit nest totalement oprationnelle sans ladhsion totale et sans rserve des utilisateurs.Icietl,sedveloppentdescampagnesdesensibilisationparfoisfortcoteusessurlebienfonddela scuritinformatiqueetsonlientroitaveclasantconomiquedelentreprise.Hlas,cestentativesquirestenttrop souventvainesconduisentirrmdiablementlesresponsablesdurcirlesrglesaugrandmcontentementdetous. Nouslobservonsfrquemmentdanslapresse,lesaffairesimpliquantlascuritinformatiquesemultiplientetlapart de plus en plus importante quoccupe lconomie numrique dans le monde incite les criminels en systmes dinformationdployertoujoursplusdingniositpoursemparerdinformationssensiblesoudargent.Facecette menace,lascuritdesrseauxetdesdonnesquiytransitentdevientuneproccupationpourtouslesacteursde cetteconomiecommencerparlesusagerseuxmmes. Ce livre consacr la scurit des rseaux avec les solutions de Cisco se veut avant tout une ouverture vers lensembledesapprochesmatriellesetconceptuellesdanscepassionnantdomainequinapasfinidefaireparlerde lui.

ENI Editions - All rigths reserved - Moha Anisa

- 1-