Vous êtes sur la page 1sur 68

LA SECURITE

Il existePlusieurs solutions CISCO pour protger votre rseau : Le CISCO PIX FIREWALL L'IOS FIREWALL SOFTWARE LES OUTILS DE MONITORING

La gamme Cisco Secure PIX Firewall (ex-PIX Firewall) est une ligne d'appareils de scurisation hautes performances, faciles installer et intgrant composants matriels et logiciels. Elle vous permet de protger votre rseau interne du monde extrieur et offre toutes les garanties de scurit d'un pare-feu de rseau.

Scurit ingale pour les rseaux d'entreprise


La gamme Cisco Secure PIX Firewall est une gamme d'appareils de scurisation hautes performances, faciles installer et intgrant composants matriels et logiciels. Elle vous permet de protger votre rseau interne du monde extrieur et offre toutes les garanties de scurit d'un pare-feu de rseau. Contrairement aux serveurs proxy permanents, gros consommateurs de ressources systme, qui appliquent des procdures de scurit chaque paquet de donnes au niveau applicatif, les pare-feu Cisco Secure PIX utilisent un systme ddi de scurisation en temps rel (non UNIX). Ces pare-feu PIX sont exceptionnellement performants : ils prennent en charge plus de 256 000 connexions simultanes, traitent plus de 6 500 connexions par seconde et atteignent des dbits de prs de 170 Mbits/s. Ces capacits dpassent de loin celles des autres quipements pare-feu ddis ou des pare-feu logiciels bass sur des systmes d'exploitation centraux.

Spcifications Techniques

Caractristiques PIX Firewall PIX Firewall PIX Firewall 515R 515UR 520

Sessions simultanes

50 000

100 000

128, 1 024 ou 250 000

Interfaces

2 ports Ethernet

4-6 ports Ethernet

2-6 ports Ethernet 3 ports TR 2 ports FDDI Combo Ethernet et TR

Slots PCI

Connexions 10/100

RAM

32 MB

64 MB

128 MB

Vitesse du processeur

200 Mhz

200 Mhz

350 Mhz

Dimensions (cm) (H x L x P)

4,37x42,72x29,97

4,37x42,72x29,97

13,3x42,72x44,5

Catgorie de service

12

12

12

Prsentation du FIREWALL PIX515

Prsentation des interfaces 1 port ethernet 10/100 inside = port 1 1 port ethernet 10/100 outside = port 2

LA REDONDANCE: le failover

Exemples de configurations
2 Interfaces sans NAT - (configuration basique)
When you first add a PIX Firewall to an existing network, it is easiest to implement its use if you do not have to renumber all the inside and outside IP addresses. The configuration in Figure 5-1 illustrates this scenario. Syslog is enabled to facilitate troubleshooting. All inside hosts can start connections. All external hosts are blocked from initiating connections or sessions on inside hosts. If you use Inter-NIC registered IP addresses, only use those addresses that you own.

2 Interfaces sans NAT Configuration


nameif ethernet0 outside security0 nameif ethernet1 inside security100 interface ethernet0 auto interface ethernet1 auto

Description PIX Firewall provides nameif and interface command statements for the interfaces in the default configuration.

ip address outside 192.150.50.3 255.255.255.0 ip address inside 172.31.2.100 255.255.255.0 hostname pixfirewall

Identify the IP addresses for both interfaces.

Specifies the host name for the PIX Firewall. This name appears in the command line prompt. Sets the ARP timeout to 14,400 seconds (four hours). Entries are kept in the ARP table for four hours before they are flushed. Four hours is the standard default value for ARP timeouts. Disables failover access. Enables use of text strings instead of IP addresses. This makes your

arp timeout 14400

no failover names

configuration files more readable.


pager lines 24

Enables paging so that if when 24 lines of information display, PIX Firewall pauses the listing and prompts you to continue. Enables syslog messages, which provide diagnostic information and status for the PIX Firewall. PIX Firewall makes it easy to view syslog messages with the show logging command. Lets inside IP addresses be recognized on the outside network and lets inside users start outbound connections. Sets RIP listening attributes. The first command causes the PIX Firewall to broadcast a default route on the inside interface. Broadcasting a default route sends network traffic to the PIX Firewall if your internal network is running RIP. The next command disables passive RIP listening on the inside. The next command disables broadcasting a default route on the outside. This is desirable when the network is attached to the Internet, but not when on an intranet. The last command disables passive RIP listening on the outside. Sets the outside default route to the router attached to the Internet.

logging buffered debugging

nat (inside) 0 172.31.2.0 255.255.255.0 rip inside default no rip inside passive no rip outside default no rip outside passive

route outside 0.0.0.0 0.0.0.0 192.150.50.1 1 timeout xlate 3:00:00 conn 1:00:00 half-closed0:10:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server community public mtu outside 1500 mtu inside 1500

Default values for the maximum duration that PIX Firewall resources can remain idle until being freed. Additional users cannot make connections until a connection resource is freed either by a user dropping a connection or by an xlate and conn timer time out.

Specifies that SNMP information may be accessed by internal hosts that know the community string, but PIX Firewall does not send trap information to any host.

Sets the maximum transmission unit value for Ethernet access.

2 Interfaces avec NAT


This configuration shows the use of PAT (Port Address Translation), denying Java applets, using the AAA commands, creating a mail server, permitting NFS, initializing SNMP, and setting console access with Telnet.

2 Interfaces avec NAT Configuration


nameif ethernet0 outside security0 nameif ethernet1 inside security100 interface ethernet0 auto interface ethernet1 auto ip address inside 10.1.1.1 255.255.255.0 ip address outside

Description PIX Firewall provides nameif and interface command statements for the interfaces in the default configuration.

Identify the IP addresses for both interfaces.

204.31.17.10 255.255.255.0 logging on logging host 10.1.1.11 logging trap 7 logging facility 20 no logging console arp timeout 600

The logging host command statement specifies which host runs a syslog server. This command also causes the PIX Firewall to start sending syslog messages to that host. The logging trap command statement sets syslog to send all possible messages to the syslog host. The no logging console command statement disables displaying messages to the console.

Set an ARP timeout to 600 seconds (10 minutes). Use this arp timeout command statement when you set up a network and change inside and outside host addresses often. Permit all inside users to start outbound connections using the translated IP addresses from the global pool.

nat (inside) 1 0.0.0.0 0.0.0.0 nat (inside) 2 192.168.3.0 255.255.255.0 global (outside) 1 204.31.17.25204.31.17.27 global (outside) 1 204.31.17.24 global (outside) 2 192.159.1.1192.159.1.254 conduit permit icmp any any outbound 10 deny 192.168.3.3 255.255.255.255 1720 outbound 10 deny 0 0 80 outbound 10 permit 192.168.3.3 255.255.255.255 80 outbound 10 deny 192.168.3.3 255.255.255.255 java outbound 10 permit

Create two pools of global addresses to let the nat command statements use the address pools for translating internal IP addresses to external addresses. Each pool is designated by the number from the nat command statement, in this case, 1 and 2.

Allow inbound and outbound pings. Create access lists to determine which hosts can access services. The first outbound command statement denies host 192.168.3.3from accessing H.323 (port 1720) services such as MS NetMeeting or InternetPhone. The next command statement denies all hosts from accessing the Web (port 80). The next two command statements permits host 192.168.3.3 to use the Web, but denies its users from downloading Java applets. The last outbound command statement permits host 10.1.1.11 access to the Web (at port 80) and to download Java applets. This permit command statement outweighs the previous deny regardless of the order in which the command statements are entered into the configuration.

10.1.1.11 255.255.255.255 80 apply (inside) 10 outgoing_src

Specify that the outbound group regulates the activities of inside hosts starting outbound connections.

no rip outside passive no rip outside default

The first command disables RIP listening on the outside interface. The second command disables broadcasting a default route on the outside. The third command enables RIP listening on the inside and the last command causes PIX Firewall to broadcast a default route on the inside interface.

rip inside passive rip inside default route outside 0 0 204.31.17.1 1

Set the default route on the outside network to be 204.31.17.1. This is the IP address of the host connecting to the Internet.

aaa-server TACACS+ (inside) host 10.1.1.12 1q2w3e aaa authentication any inside 192.168.3.0 255.255.255.0 0 0 TACACS+ aaa authorization any inside 192.168.3.0 255.255.255.0 0 0

The aaa-server command specifies the IP address of the TACACS+ authentication server. The aaa authentication command statement specifies that users on network 192.168.3.0 starting FTP, HTTP, and Web connections from the inside interface be prompted for their usernames and passwords before being permitted to access these servers on other interfaces. The aaa authorization command statement lets the users on 192.168.3.0 access FTP, HTTP, or Telnet, and any TCP connections to anywhere as authorized by the AAA server. Even though it appears that the aaa commands let the PIX Firewall set security policy, the authentication server actually does the work to decide which users are authenticated and what services they can access when authentication is permitted. The static command statement creates a net static command statement, which is a static command statement for a Class IP address, in this case for IP addresses 204.31.19.1 through 204.31.19.254. The static command shows the use of the connection limit and the embryonic limit arguments. The maximum number of connections limits the number of connections a host can use. This command permits access to only 10 users and up to 30 SYNs (embryonic connections). Note that the static command's maximum connections option applies to both inbound and outbound connections. The conduit command statement lets users on the Internet send InternetPhone (port h323) requests to users on 192.168.3.x

static (inside, outside) 204.31.19.0 192.168.3.0 netmask 255.255.255.0 conduit permit tcp 204.31.19.0 255.255.255.0 eq h323 any

while addressing them as 204.31.19.x.


static (inside, outside) 204.31.17.29 10.1.1.11 conduit permit tcp host 204.31.17.29 eq 80 any conduit permit udp host 204.31.17.29 eq rpc host 204.31.17.17

The static command statement with the conduit command statement establishes an externally visible IP address for Web access (port 80 in the conduit command statement).

Refine the accessibility of the static command by permitting Sun RPC over the UDP portmapper on port 111. Refer to the UNIX /etc/rpc file and the UNIX rpc(3N) command page for more information. Once you create a conduit for RPC, you can use the following command from outside host 204.31.17.17 to track down the activity of a PCNFSD on RPC 150001: rpcinfo -u 204.31.17.29 150001 Another use of RPC is with the following command to see the exports of 204.31.17.29 if you want to allow NFS mounting from outside in: showmount -e 204.31.17.29 Many protocols based on RPC, as well as NFS, are insecure and should be used with caution. Review your security policies carefully before permitting access to RPC.

conduit permit udp host 204.31.17.29 eq 2049 host 204.31.17.17 static (inside, outside) 204.31.17.30 10.1.1.3 netmask 255.255.255.255 10 10 conduit permit tcp host 204.31.17.30 eq smtp any

Permit NFS access, which occurs at port 2049 and provides access between the outside and inside, such that 204.31.17.17can mount 10.1.1.11.

Identify access to the 10.1.1.3 mail server through global address 204.31.17.30. The conduit permits any outside host access to the static via SMTP (port 25). By default, PIX Firewall restricts all access to mail servers to RFC 821 section 4.5.1 commands of DATA, HELO, MAIL, NOOP, QUIT, RCPT, and RSET. This occurs via the Mail Guard service which is set with the following default configuration command: fixup protocol smtp 25 Another aspect of providing access to a mail server is setting being sure that you have a DNS MX record for the static's global address, which outside users access when sending mail to your site.

conduit permit tcp host 204.31.17.30 eq 113 any

Create access to port 113, the IDENT protocol. If the mail server has to talk to many mail servers on the outside which connect back with the now obsolete and highly criticized IDENT protocol, use this conduit command statement to speed up mail transmission. These commands specify that host 192.168.3.2 can receive SNMP events, which the PIX Firewall sends via syslog. The location and contact commands identify where the host is and who administers it. The community command describes the password in use at the SNMP server for verifying network access with the server.

snmp-server host 192.168.3.2 snmp-server location building 42 snmp-server contact polly hedra snmp-server community ohwhatakeyisthee telnet 10.1.1.11 255.255.255.255 telnet 192.168.3.0 255.255.255.0

These commands permit host access to the PIX Firewall console. The first telnet command permits a single host, 10.1.1.11 to access the PIX Firewall console with Telnet. The 255 value in the last octet of the netmask means that only the specified host can access the console. The second telnet command permits PIX Firewall console access from all hosts on the 192.168.3.0 network. The 0 value in the last octet of the netmask permits all hosts in that network access. However, Telnet only permits 16 hosts simultaneous access to the PIX Firewall console over Telnet.

Outils de configurations Il existe plusieurs moyens de configurer le PIX: - Le pix Wizard Setup (Attention il faut la version 5.0(3) de l'ios ). - Par interface CLI (via l'hyperterminal).

REFLASHAGE
MISE A JOUR d'un ios partir du routeur (sans unit floppy)

PIX BIOS (4.0) #0: Tue May 18 16:29:54 PDT 1999 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Flash boot interrupted. 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.1004 Use ? for help. monitor> monitor> monitor> help ? this help message address [addr] set IP address file [name] set boot file name gateway [addr] set IP gateway help this help message interface [num] select TFTP interface ping <addr> send ICMP echo reload halt and reload system server [addr] set server IP address tftp TFTP download timeout TFTP timeout trace toggle packet tracing monitor> monitor> monitor> address 172.31.112.35 address 172.31.112.35 monitor> interface 1 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.1004 monitor> server 172.31.112.1 server 172.31.112.1 monitor> monitor> file pixFWbin503.bin file pixFWbin503.bin monitor> monitor> tftp tftp pixFWbin503.bin@172.31.112.1 et la nouvelle version d'ios s'installe

Plus de documentation sur le Cisco PIX Firewall :


http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/index.htm

Prsentation Gnrale
Le logiciel Cisco IOS Firewall tend et renforce les capacits de scurit de la plate-forme logicielle Cisco IOS en intgrant des fonctionnalits de pare-feu et de dtection d'intrusions pour protger votre primtre rseau. Le Cisco IOS Firewall ajoute des solutions de pointe, la fois plus souples et plus drastiques, aux dispositifs classiques d'authentification, de cryptage et de correction : filtrage en fonction des applications, authentification et habilitation dynamiques des utilisateurs, parade des attaques de rseau, blocage Java et alarmes en temps rel. Combin au logiciel Cisco IOS IPSec et d'autres technologies Cisco IOS comme le fractionnement en canaux L2TP et la qualite de service (QoS), le Cisco IOS Firewall constitue une solution complte pour la cration de rseaux privs virtuels (VPN). Le Cisco IOS Firewall est disponible sur les routeurs Cisco des gammes 800, 1600, 1700, 2500, 2600, 3600, 7100 et 7200.

Les oprations commerciales passant de plus en plus par les rseaux des entreprises, il devient indispensable d'intgrer des systmes de scurit leur structure mme. C'est cette seule condition que les politiques de scurit sont efficaces. La plate-forme logicielle Cisco IOS quipe plus de 80 % des routeurs de fdrateurs Internet ; ce titre, elle constitue l'lment le plus fondamental des infrastructures de rseau. Elle est la base de prdilection de toute solution de scurit des rseaux de bout en bout Internet, intranet et accs distant. Il est possible de protger cette plate-forme grce une option de scurisation parfaitement adapte, le logiciel Cisco Secure Integrated Software (ex-panoplie de fonctions Cisco IOS Firewall). Cette solution, qui offre de trs solides fonctions de pare-feu et de dtection des intrusions, s'allie aux fonctions traditionnelles de scurit de Cisco IOS pour protger votre primtre rseau. Elle ajoute des solutions de pointe, la fois plus souples et plus drastiques, aux dispositifs classiques d'authentification, de cryptage et de correction : filtrage en fonction des applications, authentification et habilitation dynamiques des utilisateurs, parade des attaques de rseau, blocage Java et alarmes en temps rel. Combines au logiciel Cisco IOS IPSec et d'autres technologies Cisco IOS comme le fractionnement en canaux L2TP et la qualit de service (QoS), le Cisco Secure Integrated Software constitue une solution complte et intgre pour rseau priv virtuel. Pour quels besoins ?

Cisco IOS Firewall

- Scurisation d'extranet, d'intranet et de connectivit Internet des bureaux et agences distants - Scurisation d'accs distant ou de transfert de donnes via une solution de VPN base sur Cisco IOS - Systme intgr de dtection d'intrusion en temps rel en complment d'un pare-feu existant ou d'un autre systme de dtection d'intrusions (NetRanger) - Politique de scurit et d'accs au rseau par utilisateur

Principales caractristiques
La panoplie de fonctions Cisco Secure IS constitue un pare-feu idal pour les rseaux Cisco ; pour les routeurs, il s'agit d'un moyen d'assouplissement et de scurisation. Les caractristiques essentielles sont dcrites dans le tableau 1.

Tableau 1 - Prsentation du Cisco Secure Integrated Software Caractristiques CBAC (Context-Based Access Control) Description

Fournit aux utilisateurs internes un contrle d'accs scuris par application, pour tout le trafic traversant par exemple les primtres entre les rseaux d'entreprise privs et Internet.

Dtection des intrusions (Intrusion Detection)

Cette fonction sentinelle dtecte, intercepte et corrige en temps rel la majorit des tentatives d'intrusion.

Proxy d'authentification (Authentication Proxy)

Authentification et habilitation dynamiques des utilisateurs pour les communications via LAN et par numrotation. Les administrateurs peuvent tablir des politiques de scurit distinctes pour chaque utilisateur grce la vrification des donnes par comparaison avec celles des protocoles

normaliss TACACS+ et RADIUS.

Dtection/prvention de refus de service

Dfend et protge les ressources du routeur contre les attaques courantes. Vrifie l'en-tte des paquets et supprime les paquets douteux.

Mappage dynamique des ports (Dynamic Port Mapping) Blocage des appliquettes Java

Cette fonction permet l'utilisation d'applications compatibles CBAC sur des ports non normaliss

Protection contre les appliquettes Java hostiles et non identifies

Support des VPN, du cryptage IPSec et de la QoS

Association au cryptage, au fractionnement en canaux et la qualit de service de Cisco IOS, pour scurisation des VPN. Canaux crypts sur le routeur, puissante scurit de primtre, administration avance de la bande passante, dtection des intrusions et validation au niveau service Interoprabilit garantie par la conformit aux normes

Messages d'alerte en temps rel

Consignation avec alarme des refus de service (ou autres cas critiques prconfigurs) ; la configuration est dsormais possible pour chaque application et chaque fonction

Analyse rtrospective

Dtail des oprations ; transmission de l'horodate des enregistrements, de l'identit des htes source et destination, des ports, des dures et des nombres totaux d'octets transfrs ; fonctions dsormais configurables individuellement et par application

Historiques d'vnements

Permet aux administrateurs d'analyser en temps rel les menaces potentielles ou les activits inhabituelles, en consignant sur un terminal de console ou sur un serveur syslog les messages d'erreur systme, avec indication du niveau de gravit et enregistrement de paramtres

supplmentaires.

Administration du Cisco Secure IOS

L'outil de configuration est de type Assistant et guide l'utilisateur au cours de toutes les tapes de conception de rseau, d'adressage et de configuration des politiques de scurits ; il s'applique aux routeurs Cisco 1600, 1720, 2500, 2600 et 3600 ; il prend galement en charge les configurations de NAT et d'IPSec.

Intgration la plate forme logicielle Cisco IOS

Interoprabilit avec les fonctions de la plate-forme logicielle Cisco IOS, avec application de politiques scuritaires au niveau du rseau

Filtrage de trafic, niveau de base et niveau avanc

Listes de contrle d'accs (ACL) standards et tendues - contrle de l'accs des segments particuliers du rseau et dfinition du trafic autoris traverser ces segments. Verrou et cl-ACL dynamiques : accordent un accs temporaire, aprs identification (nom d'utilisateur/mot de passe), travers les pares-feu.

Support multi-interface selon politique

Permet de contrler l'accs utilisateur par adresse et interface IP, selon la politique de scurit.

Redondance et rsilience

Dtournement automatique du trafic vers un routeur de secours en cas de panne

Traduction des adresses rseau

Renforcement de la scurit par masquage du rseau interne

Listes d'accs temporiss

Dfinition de la politique de scurit par heure et par jour

Authentification de routeur

Rception assure par les routeurs d'informations de routage fiables provenant de sources dignes de confiance

CBAC (Context-Based Access Control)


Le moteur CBAC du Cisco Secure IS assure un contrle par application sur tout le primtre rseau. Le contrle d'accs CBAC renforce la scurit des applications sur TCP et UDP qui exploitent des ports bien connus (notamment pour le transfert FTP et le courrier lectronique), en inspectant les adresses d'origine et de destination. Avec la technologie CBAC, les administrateurs disposent d'une solution intgre de mise en uvre du pare-feu. Ceci permet d'liminer les portes d'accs fragilisantes pour les rseaux des partenaires extranet (applications Internet, multimdia et accs aux bases de donnes Oracle). CBAC scurise les rseaux tout en assurant le routage du trafic applicatif, multimdia et de visioconfrence.

Impact de CBAC sur la scurit rseau


CBAC est un dispositif de contrle du trafic IP qui fonctionne application par application, et supporte les applications Internet classiques sur TCP et UDP, les applications multimdia (y compris les applications H.323 et autres) et les bases de donnes Oracle. CBAC analyse les paquets TCP et UDP et consigne leur tat , ou tat de connexion. TCP est un protocole en mode connect. Avant de transmettre les donnes, l'hte source ngocie une connexion avec le destinataire selon ce que l'on appelle three way handshake (ngociation tripartite). Ce processus d'tablissement de connexion garantit des connexions TCP valides et une transmission sans erreur. Pendant l'tablissement de la connexion, TCP passe par plusieurs tats ou phases, qui sont facilement identifiables au niveau des en-ttes de paquets. Les ACL standard et tendues s'informent de l'tat dans ces en-ttes et dterminent si le trafic est autoris sur une liaison. Le contrle d'accs CBAC ajoute aux services des listes ACL la fonction d'inspection intelligente, par recherche des informations d'tat de l'application dans tout le paquet. Avec ces donnes, CBAC cre une entre ACL temporaire pour la session, autorisant le trafic de retour sur le rseau scuris. L'ACL temporaire ouvre une porte dans le parefeu et lorsqu'une session est termine ou interrompue, l'entre ACL est supprime et la porte est referme, empchant le passage de tout autre trafic. Les listes ACL standard et tendues ne peuvent pas crer d'entres ACL temporaires ; jusqu' prsent, l'administrateur devait donc dfinir un compromis entre risques et exigences d'accs l'information. Avec les listes ACL standard ou tendues, il tait difficile de scuriser les applications avances qui sont capables de choisir entre plusieurs canaux pour transfrer le trafic de retour.

Le contrle CBAC est plus sr que les solutions actuelles de listes ACL : pour laisser passer une session travers un pare-feu, il se base sur le type de l'application et dtermine si elle choisit entre plusieurs canaux pour acheminer le trafic de retour. Auparavant, pour autoriser le trafic d'applications avances, les administrateurs devaient crire des listes ACL permanentes ; celles-ci laissant les portes des pare-feu ouvertes en permanence, la plupart des administrateurs prfraient interdire ce type de trafic. Dsormais, avec le contrle d'accs CBAC, ils peuvent autoriser le trafic d'applications multimdia et autres en ouvrant le pare feu uniquement lorsque cela est ncessaire. Par exemple, si le contrle CBAC est configur pour autoriser Microsoft NetMeeting et qu'un utilisateur interne ouvre une connexion, le pare-feu laisse passer le trafic de retour. Mais si une source NetMeeting externe ouvre une connexion vers un utilisateur interne, le CBAC refuse l'accs et supprime les paquets.

Dtection des intrusions (Intrusion Detection)


Les IDS (Intrusion Detection Systems) sont un second rempart qui s'ajoute au pare-feu et protge le rseau des attaques internes et externes. La technologie IDS du Cisco Secure Integrated Software renforce la protection du primtre en invalidant les paquets et les flux qui violent les rgles de scurit ou procdent d'actes de malveillance. Elle accrot l'clairage et la transparence ncessaires la bonne surveillance des primtres au niveau des intranets, des extranets et des connexions Internet des succursales. L'administrateur rseau dispose avec elle d'une protection et d'une parade efficaces contre les menaces externes ou internes.

Dtection et contre-mesures (Detection and Response)


L'IDS du Cisco Secure IS reconnat la marque de 59 des types d'attaque les plus courants. Les signatures de dtection d'intrusions comprises dans la nouvelle version du Cisco Secure IS ont t slectionnes parmi un grand choix de signatures. Ces signatures correspondent aux infractions de scurit graves, aux attaques de rseau les plus courantes et aux analyses de collecte de donnes. Le Cisco Secure IS joue le rle de capteur de dtection des intrusions en ligne, en surveillant les paquets et les sessions mesure qu'ils transitent par un routeur et en les analysant afin de contrler leurs signatures IDS. En cas de dtection d'une activit suspecte, il ragit avant que la scurit du rseau ne soit mise en danger et consigne l'vnement via le Syslog du Cisco IOS. L'administrateur rseau le choix des contremesures, et peut adapter l'action du systme IDS en fonction de la menace. Lorsque les paquets d'une session correspondent une signature, le systme IDS peut tre configur pour effectuer les oprations suivantes :

mission d'alarme au serveur syslog ou l'interface d'administration centrale Cisco Secure Intrusion Detection System (NetRanger) Director ; rejet du paquet ; rinitialisation de la connexion TCP.

Cisco conu les fonctions de dtection logicielle des intrusions de Cisco Secure IS dans une optique d'adaptabilit, et a donc prvu une possibilit de dsactivation des signatures qui se rvleraient tre de fausses ennemies . Par ailleurs, l'administrateur

a la possibilit de dissocier le moteur de scurit CBAC, en installant les fonctions de dtection des intrusions sur un routeur et les fonctions pare-feu sur un autre (bien qu'il soit en principe prfrable qu'elles rsident sur la mme interface). La dtection logicielle des intrusions de Cisco est intgre aux pare-feu Cisco Secure IS livrs avec les routeurs Cisco des gammes 1720, 2600, 3600, 7100 et 7200. Toutes les plates-formes de routage quipes des fonctions Cisco Secure IS reconnaissent cinq des types d'attaque SMTP les plus courants.

Cisco Secure : Logiciel intgr et systme de dtection des intrusions


Les utilisateurs du Cisco Secure Intrusion Detection System peuvent ajouter les signatures des systmes IDS de Cisco IOS leur base, et tendre ainsi leur systme de protection des zones non couvertes par NetRanger Sensor. Les empreintes des systmes IDS de Cisco sont utilisables indpendamment du pare-feu Cisco Secure IS. La fonction de dtection des intrusions du Cisco Secure IS est incorporable l'cran Cisco Secure Intrusion Detection System Director sous forme d'icne (permettant la visualisation de tous les capteurs d'intrusion du rseau). Le Cisco Secure IS comporte un mcanisme permettant de consigner les vnements non seulement dans le journal systme (syslog) de Cisco IOS mais aussi au niveau de la console Cisco Secure Intrusion Detection System Director.

Proxy d'authentification (Authentication Proxy)


Grce aux fonctions d'authentification et d'habilitation dynamiques par LAN de Cisco Secure IS, l'administrateur rseau peut crer des stratgies scuritaires spcifiques chaque utilisateur. Auparavant, il n'existait que deux mthodes de scurisation : soit l'identit et les droits affrents de chaque utilisateur taient dtermins par son adresse (fixe) IP, soit il fallait appliquer en bloc une stratgie scuritaire aux groupes d'utilisateurs ou aux sous-rseaux. Dsormais, grce aux services AAA (Authentication, Authorization, Accounting) de la plate-forme logicielle Cisco IOS, il est possible d'appliquer une stratgie distincte chaque utilisateur, par chargement dynamique dans le routeur des donnes de serveurs d'authentification TACACS+ or RADIUS. Ds qu'un utilisateur se connecte au rseau directement ou par HTTP, son profil et ses droits d'accs sont automatiquement chargs. Ses droits d'accs sont lus et vrifis, et le rseau est protg de toute imposture. De plus, les procdures d'authentification et d'habilitation s'appliquent en entre comme en sortie.

Dtection/prvention de refus de service


Grce leur capacit d'analyse des nombres de paquets de chaque connexion TCP, la dtection et la prvention avances des refus de service protgent les rseaux des attaques les plus courantes, telles que les dluges de signaux SYN (synchronize/start), le criblage des ports et l'injection de paquets. Si ces nombres excdent ou n'atteignent pas les valeurs admissibles, le routeur supprime les paquets douteux. Lorsque le routeur dtecte des nombres anormaux de nouvelles connexions, il met un message d'alerte et met un terme aux connexions TCP moiti tablies, protgeant le systme de tout accaparement.

Lorsqu'il souponne une attaque, le pare-feu Cisco Secure IS se met pister l'accdant en reprant tous les couples de ports et d'adresses source-destination utiliss. De plus, il consigne tous les dtails de l'opration en vue d'une future investigation.

Mappage dynamique des ports (Dynamic Port Mapping)


Le mappage des ports est adaptatif, et permet le fonctionnement sur des ports nonstandard des applications supportes par CBAC. Grce cela, l'administrateur rseau est en mesure de personnaliser le contrle de l'accs aux applications et aux services en fonction de ses besoins.

Blocage des appliquettes Java


Avec la prolifration des appliquettes Java sur Internet, la protection contre les programmes hostiles est une proccupation majeure des administrateurs rseau. Le blocage Java peut tre configur pour filtrer ou refuser totalement l'accs aux appliquettes Java ne faisant pas partie d'un fichier d'archive ou d'un fichier compress.

VPN, cryptage IPSec et QoS


Associ la technologie Cisco IPSec, le Cisco Secure IS assure une fonctionnalit VPN intgre. Le dveloppement des VPN assure la scurit des transferts sur lignes publiques (Internet), la rduction des frais de communication pour les utilisateurs loigns, les succursales et les extranets, ainsi que le renforcement de la qualit de service et de la fiabilit. Le Cisco Secure IS est conu pour scuriser les VPN grce aux fonctions de cryptage, de fractionnement en canaux et de QoS de la plate-forme logicielle Cisco IOS. Le cryptage au niveau de la couche rseau empche toute coute ou modification des donnes lors de leur transmission sur rseau. Avec son cryptage, le Cisco Secure IS assure la confidentialit des donnes mme sur les supports IPSec (Internet Protocol Security) 56 bits (DES) et 168 bits (3DES), considrs comme non fiables. Compltement ouverte, la plate-forme Cisco IOS supporte de nombreuses normes de protocole de fractionnement en canaux, avec encapsulation GRE (Generic Routing Encapsulation), L2F (Layer 2 Forwarding), et L2TP (Layer 2 Tunneling Protocol). Les fonctions QoS permettent de classer le trafic, d'administrer les congestions et de dfinir les priorits par application. Le Cisco Secure IS peut tre employ avec des plates-formes VPN prconfigures, notamment les routeurs des gammes Cisco 1720, 2600, 3600 et 7100, qui transforment les rseaux anciens en authentiques VPN. Cisco est conscient que les solutions VPN doivent offrir plus que des canaux scuriss permettant de franchir les rseaux publics. Elles doivent galement assurer la livraison en temps voulu et en toute fiabilit des donnes, et garantir la scurit du primtre sparant le rseau de l'entreprise du rseau public. Ainsi, associ un routeur de type 7100, le Cisco Secure IS offre des canaux crypts adaptables tout en assurant une scurit de primtre renforce, l'administration de la bande passante, la dtection des intrusions et la validation au niveau services.

La fonction d'authentification par proxy du Cisco Secure IS permet en outre l'authentification et l'habilitation pour les logiciels Cisco VPN clients.

Alarmes en temps rel configurables, analyse rtrospective et consignation des vnements


Les alarmes en temps rel envoient des messages d'erreur syslog aux consoles d'administration centrales ds qu'une activit suspecte est dtecte, ce qui permet aux administrateurs rseau de ragir immdiatement aux intrusions. Les fonctions volues d'analyse rtrospective utilisent le journal syslog pour consigner toutes les transactions : les heures d'enregistrement, l'hte source, l'hte de destination, les ports utiliss, la dure de la session et le nombre total d'octets transmis pour un reporting par session volu. Les fonctions d'alarme et d'analyse rtrospective du Cisco Secure IS sont dsormais configurables, permettant une signalisation et un suivi des erreurs plus souples. Les fonctions configurables d'analyse rtrospective supportent le suivi modulaire des applications compatibles CBAC et du blocage Java. Les alarmes en temps rel et l'analyse rtrospective sont supportes par un grand nombre d'outils de reporting de fournisseurs tiers. Ds qu'un vnement se produit sur le rseau, l'alarme est donne l'hte connecteur via le mcanisme syslog de la plate-forme logicielle Cisco IOS. Ceci permet aux administrateurs d'analyser en temps rel les menaces potentielles ou les activits inhabituelles, en consignant sur un terminal de console ou sur un serveur syslog les messages d'erreur systme, avec indication du niveau de gravit et enregistrement de paramtres supplmentaires.

Administration du Cisco Secure IS


L'application des politiques de scurit et l'administration du Cisco Secure IS se font trs simplement, sur une interface graphique centrale. Les versions 2.1 et ultrieures de Cisco ConfigMaker comportent un assistant grce auquel il est facile de configurer la stratgie de scurit du Cisco Secure IS. Elles supportent galement la configuration de la NAT et d'IPSec. Cisco ConfigMaker est un assistant logiciel pour Microsoft Windows 95, Windows 98 et Windows NT 4.0, capable de configurer un petit rseau de routeurs, de commutateurs, de concentrateurs et autres composants de rseau Cisco partir d'un PC unique. Il est galement disponible avec les routeurs des gammes Cisco 800, 1600, 1720, 2500, 2600 et 3600.

Intgration la plate forme logicielle Cisco IOS


Le Cisco Secure IS est une solution de scurisation intgrable aux rseaux l'aide de la plate-forme logicielle Cisco IOS. Pour se protger efficacement, il ne suffit pas de disposer d'une stratgie de scurit par pare-feu et protection de primtre ; il faut que ces lments soient intgrs au rseau lui-mme. La plate-forme logicielle Cisco IOS est l'outil idal pour mettre en oeuvre une politique de scurit globale. Les solutions de scurit de Cisco suivent l'volution de votre rseau.

Le Cisco Secure IS est entirement compatible avec les fonctions de la plate-forme logicielle Cisco IOS :NAT, protocoles de fractionnement en canaux VPN, CEF (Cisco Express Forwarding), extensions AAA, cryptage Cisco et Cisco IOS IPSec.

qui le logiciel Cisco Secure Integrated Software s'adresse-t-il ?

tous ceux qui ont besoin d'une solution tout en un combinant scurit, dtection des intrusions, authentification et habilitation des utilisateurs, fonctions VPN et routage multiprotocole. tous ceux qui cherchent un moyen conomique d'tendre leur scurit au primtre de tous leurs rseaux, y compris leur succursales, leurs intranets et leurs extranets. Aux petites et moyennes entreprises qui ont besoin d'un routeur efficace et hautement scuris. Aux clients des SP (Service Provider) dsirant dployer un routeur/pare-feu. Aux clients qui ont besoin de scuriser davantage certains segments de leurs rseaux (inter-organisations ou inter-partenaires). Aux organisations qui ont besoin de scuriser leurs connexions intranet. Aux succursales connectes un sige ou Internet. Aux clients dj utilisateurs de Cisco IOS et qui ne veulent pas d'un pare-feu hybride. Aux clients qui veulent renforcer les couches de protection de leurs rseaux.

PIX = Firewall Cisco


+ Concentrateur VPN (aperu)

Auteur : Armand PASSELAC-ESTRADA

Mise jour : 9/1/02 14:38

I. Mise en place d'un Firewall PIX

1.1 POLITIQUE DE SECURITE

Les flux venant de l'Internet :

Interface Bad (outside) Bad (outside) Bad (outside) Bad (outside) Bad (outside) Bad (outside)

Protocole IP Source ICMP ICMP ICMP ICMP ICMP * * * * * * *

IP Ports Destination Action Destination source-quench Accepter * parameter-problem Accepter * unreachable * Accepter time-exceeded Accepter * echo-reply * Accepter * * Refuser

N 1 2 3 4 5 6

Rgles n1-5 : Cette rgle permet certains messages ICMP entrant : rponse au traceroute (unreachable + time-exceeded) + rponse du ping (echo-reply) + messages d'erreurs (sourcequench, parameter-problem)

Rgle 6 : Tout autre type de trafic entrant est interdit!

Les flux venant du rseau priv vers le rseau interne Internet :

Interface Naif (inside)

Protocole IP Source IP ....

IP Destination *

Ports Destination *

Action Accepter

N 1

Rgles n1 : Dans un premier temps nous avons accepter TOUT TYPE de trafic sortant.

1.2 NAT - Translation d'adresses

Nom LAN

Adresse IP Prive Rseau Lan

Adresse IP Nate 1 adresse du pool public

1.3 PROPOSITION COMMENTEE POUR LA CONFIGURATION DU PIX

Matriel :

Pix 506 : 8MB de mmoire Flash + 32M de RAM. 2 ports 10Mbps (10BaseT) Pas de failover Pas d'upgrade de la mmoire

Pix 515 : 16MB de mmoire Flash + 32M de RAM. Jusqu' 6 ports 10/100Mbps Failover (ssi licence UR)

Philosophie du PIX :

Avant propos :

Nota : Les diffrentes interfaces du PIX peuvent apprendre des routes via le protocole RIP, et toutes les interfaces peuvent faire un broadcast d'une route par dfaut RIP si ncessaire.

ASA (Adaptative Security Algorithm) = algorithme statefull de cisco : * Tout paquet sans connexion justifie est mis la poubelle * Le trafic venant d'une interface de niveau de scurit haut (inside) vers une interface de niveau bas (outside) est permis, sauf si des access-list limitent ce trafic (cf ci-aprs). * Le trafic entrant est interdit par dfaut.

* Les flux ICMP sont interdits moins de les permettrent spcifiquement.

Comprendre le PIX :

Par dfaut le PIX interdit toute communication initialise depuis une interface ayant un niveau de scurit bas vers une interface de niveau lev. Plus explicitement : Le PIX attribue par dfaut un niveau de scurit 0 pour l'interface connecte Internet, et un niveau 100 pour l'interface connecte au LAN. Ainsi on ne peut pas, par dfaut, ouvrir une connexion depuis l'Internet sur le LAN. Pour la DMZ (s'il y en a qu'une), on met un niveau de scurit 50. On ne peut donc pas ouvrir, par dfaut, de connexion depuis la DMZ sur le LAN ni de l'Internet sur la DMZ. Si l'on veut permettre l'accs depuis une interface de niveau de scurit bas sur une interface de niveau haut, il faut utiliser le tierc de commandes : static/access-list/accessgroup.

Par dfaut, le PIX permet tout le trafic depuis une interface ayant un niveau de scurit fort vers une interface de niveau faible. En fait le "par dfaut" n'est pas exacte. Il faut avant utiliser le couple de commandes nat/global. C'est l'aide ces commandes que l'on peut permettre les utilisateurs d'une interface ayant un niveau de scurit lev (inside) d'accder une interface de niveau plus bas (outside ou dmz). Ainsi, le LAN peut accder la DMZ et Internet. De mme, la DMZ peut accder l'Internet. Cet accs peut se faire sur tous les protocoles (sauf Netbios qui ncessite l'emploi de commandes spciales). Pour tre plus prcis il faut dire que le protocole NetBios est possible depuis l'interface inside vers l'interface outside. Pour les flux NetBios venant d'une interface DMZ (niveau de scurit compris entre 1 et 99), il faut utiliser des commandes spciales. Si on veut limiter ces accs, il faut utiliser le couple de commandes access-list/accessgroup.

Comment les donnes transitent-elles via le PIX :

Quand un paquet arrive sur l'interface interne (securit la plus haute), le PIX vrifie si le paquet est valide via son algorithme ASA. S'il s'agit d'une nouvelle connexion, le PIX cre une nouvelle entre dans sa table de translation (xlate). Cette table contient en temps rel une correspondance entre l'adresse IP interne ayant fait la requte, et l'adresse externe utilise pour sortir (NAT, PAT, ...). Le PIX change alors l'adresse source du paquet en y mettant l'adresse utilise pour le NAT Hide (commande global (outside)...). Il modifie aussi le checksum ainsi que d'autres champs ncessaires. Puis le PIX forward ce paquet sur l'interface externe (niveau le plus bas). Quand le paquet revient de l'extrieur, le PIX le passe dans la moulinette ASA, puis s'il accepte le paquet, remplace l'adresse de destination par l'adresse interne ayant originellement fait la requte.

Quelques caratristiques du PIX :

Configurable Proxy Pinging : Permet d'interdire le ping des interfaces du PIX. Concernant ICMP : Il faut : interdire les messages ICMP unreachable (type 3). Ca c'est la thorie... Mais si on le fait on n'aura plus la rponse au traceroute... Je ne le conseille donc pas ! o dsactiver les messages ICMP Path MTU Discovery qui peuvent poser des problmes en cas de VPN Ipsec et PPTP.
o

Cut-Through Proxies : Permet un filtrage au niveau applicatif avec authentification des utilisateurs via un serveur AAA (ACS, ...). Pour cela, le PIX monte un proxy HTTP, FTP ou TELNET permettant l'utilisateur de s'authentifier.

DNS Guard : Protection des requtes DNS. En effet, quand on fait une requte DNS vers l'extrieur, si le premier DNS interrog est trop lent rpondre, la requte est transmise au second DNS rfrenc au niveau du poste client. Le DNS Guard garantie que dans tous les cas, nous ne recevront qu'une seule rponse d'un seul des DNS. Ainsi, mme si le premier DNS (lent) rpond aprs le second, sa rponse sera rejete. De plus, toutes requetes DNS (UDP:53) de plus de 512 octets sont droppes. Je rappelle que des requtes DNS (UDP:53) n'ont pas faire plus de 512 octets. Par contre lors de transfert de zone entre 2 DNS

(primaire/secondaire), la taille peut tre sup. 512 octets, mais les transferts de zone ne se font qu'en TCP et non en UDP.

Flood Defender : Protection contre le SYN flooding.

Mail Guard : Limitation des commandes SMTP.

Support Multimdia : Real Audio, Streamworks, CU-See-Me, Internet Phone, IRC, H.323, Vxtreme, VDO Live.

Support natif de Netbios (over IP) depuis l'inside vers l'outside.

Support SSH version 1.

Dtection d'intrusion : 59 signatures d'attaques prdfinies.

DHCP : le pix intgre un dmon DHCP seulement sur la patte LAN (inside). Une adresse IP est retire du pool d'adresses DHCP disponibles ssi le pix a reu un ping echo reply lors de l'affectation temporaire de l'adresse IP sur le poste client. En fait ds la pr-attribution d'une adresse IP, le PIX envoie un ping echo request sur le poste. S'il y a une rponse alors l'adresse est dfinitivement attribue au poste. Attention : toute adresse affecte n'est nouveau disponible que lors du reboot du PIX ! Il n'y a pas de gestion ''intelligente'' des baux DHCP ! Personnellement je vous dconseille d'activer les service DHCP sur le PIX (ou sur tout autre firewall ayant cette option). Un firewall doit rester un firewall et non un produit multifonction. Dans ce cas prcis, un simple serveur DHCP sous Linux (sur un PC de base) vous rendra de meilleurs services... Rip Version 2 : Sur le PIX, IOS > 5.2, Rip v2 est implment en mode passif. Le PIX accepte des updates multicast avec comme adresse destination 224.0.0.9. Seulement les cartes Intel 10/100 et Gigabits supportent le mode multicast. Les cartes FDDI et Token Ring ne supportant que du broadcast (IP destination 255.255.255.255 et non 224.0.0.9). Cisco IOS-Like Configuration : on a la possibilit d'implmenter un support des lignes de commandes similaire celui prsent sur les routeurs Cisco (IOS Release 12.0(6))... pour les irrductibles de l'IOS uniquement.

Failover : on peut mettre en place un failover Passif/actif entre 2 PIX. On a la possibilit d'utiliser en plus du cable null-modem classic, une interface rseau afin de mettre en place un failover Statefull. FDDI : si on utilise des interfaces FDDI, il ne faut plus utiliser d'interface Ethernet ni Token Ring. FragGuard : protection contre les attaques relatives la fragmentation (envoie de paquets ayant le bit frag activ, mais n'tant suivi d'aucun autre paquet, ...) Anti-Spoofing : par analyse de la route de retour ("reverse route lookups"). Filtrage d'URL : intgration parfaite dans une architecture possdant le produit de filtrage d'URL de la socite WebSense (http://www.websense.com).

Modes de configuration du PIX :

- Telnet, ssh. - Port Console : HyperTerminal. - Cisco Secure Policy Manager : il faut la version 2.2 pour grer l'IOS 5.3. - L'interface de management : Pix Firewall Management = PFM 4.3 (pas sous win 2000) pas capable d'utiliser des options du PIX apparues apres l'OS 4.3. Ce module de management n'est pas capable de lire des configurations utilisant des options sup. l'IOS 4.3 (nat 0, conf VPN,...). JE VOUS INVITE A NE SURTOUT PAS UTILISER CETTE INTERFACE.

Explication dtaille des principales commandes :

NAT : Dfinit la NAT (Network Address Translation). nat (interface) [Identifiant] [Rseau-Source] [Masque-Reseau] [Max-Connexions] [Connexions-Embryonnaires]

Ex : nat (inside) 1 0 0 0 0 <-> Toutes les adresses IP appartenant au rseau connect sur la patte inside du PIX (= patte LAN) seront nates (sur l'adresse dfinie par la commande GLOBAL). Le dernier 0 correspond au nombre de connexions embryonnaires acceptes. Une connexion embryonnaire = connexion demi ouverte = le flag SYN vaut 1. Dans le cas ou la valeur du dernier champ est 0 (comme dans cet exemple) c'est que nous ne controlons pas le nombre de connexions embryonnaires. Je conseille de mettre une valeur entre 300 et 500. L'avant dernier champ = nombre maximum de connexions sortantes permises sur l'interface. Si vous souhaitez dsactiver la nat (entre le LAN et la DMZ par exemple) il vous faudra utiliser la commande nat 0.

GLOBAL : Dtermine l'adresse IP (ou le pool) utilis pour la NAT HIDE. global (interface) [Identifiant] [@IP ou Pool d'adresses IP] L'identifiant doit correspondre l'un de ceux rfrencs au niveau d'une commande NAT. L'interface doit forcment tre l'"oppose" de celle dclare au niveau de la commande NAT. En d'autre terme, si on a fait un nat du rseau LAN (plac sur la patte inside), le global correspondant doit tre sur la patte outside (dans le cas d'un PIX 2 pattes). Ex : global (outside) 1 @IP <-> Toutes les adresses du LAN sont nates sur l'adresse publique : @IP. Attention dans le cas ou l'on utilise qu'une seule adresse IP pour la NAT HIDE, le PIX ne pourra plus grer les flux H.323. Si vous avez assez d'adresses sur la patte externe de votre firewall, CISCO recommande de faire 2 commandes global : - global (outside) 1 1-Adresse-IP netmask 255..... - global (outside) 1 Pool-d'adresses-IP netmask 255.... Ainsi, le PIX utilisera d'abord les adresses du pool avant de passer sur l'unique adresse prcise dans la 1re commande global. Ainsi, vous pouvez faire des flux H.323 !

Exemple de gestion de la NAT : LAN : 10.1.0.0/16 (avec 2 classes : 10.1.1.0/24 et 10.1.2.0/24) WAN : 63.33.94.146/28 DMZ : 192.168.1.0/24 Exemple 1 : # On spcifie l'adresse nate de sortie sur internet pour tous les rseaux : global (outside) 1 63.33.94.154 # On permet au LAN de sortir sur Internet avec l'adresse 63.33.94.154 : nat (inside) 1 10.1.0.0 255.255.0.0 300 0 # Les machines de la DMZ sortiront elles aussi sur internet avec l'adresse 63.33.94.154 nat (dmz) 1 192.168.1.0 255.255.255.0 300 0 # On spcifie le pool d'adresses IP dans lequel seront nats les utilisateurs du LAN voulant accder la DMZ : global (dmz) 1 192.168.1.128-192.168.1.138 # Dans ce cas nous faisons donc de la NAT entre le LAN et la DMZ.

Exemple 2 : # On spcifie un pool pour la NAT du premier rseau du LAN (10.1.1.0/24) : global (outside) 1 63.33.94.150-63.23.94.155 netmask 255.255.255.240 # On spcifie une adresse de sortie dans le cas ou le pool serait dj attribu : global (outside) 1 63.33.94.156 netmask 255.255.255.240 # On nat certaines machines du LAN (avec gestion du nombre de connexions + connexions embryonnaires) : nat (inside) 1 10.1.1.0 255.255.255.0 300 300 # On nat les autres machines sur un autre pool d'adreese publiques : nat (inside) 2 10.1.2.0 255.255.255.0 300 300 # Le global correspondant : global (outside) 2 63.33.94.157 netmask 255.255.255.240 # On ne vaut pas faire de NAT entre le LAN et la DMZ : nat (dmz) 0 access-list no-nat access-list no-nat permit ip 10.1.0.0 255.255.0.0 192.168.1.0 255.255.255.0 ATTENTION : si vous spcifier une access-list au niveau de la nat 0, cette access-list NE DOIT PAS CONTENIR LA SPECIFICATION D'UN PORT. Ainsi, les access-list suivantes n'auraient pas p fonctionner : access-list no-nat permit tcp 10.1.0.0 255.255.0.0 192.168.1.0 255.255.255.0 access-list no-nat permit tcp 10.1.0.0 255.255.0.0 192.168.1.0 255.255.255.0 eq http STATIC : Dfinit la nat statique d'une machine. static (interface-niveau-haut, interface-niveau-bas) [@IP-machine-sur-interface-niveau-haut] [@IP-machine-sur-interface-niveau-bas] netmask 255.255.255.255 [Max-Connexions] [Connexions-embryonnaires]

Ex : static (inside,outside) @IP_pub @IP_priv netmask 255.255.255.255 0 0 Dans ce cas on a cach l'adresse de la machine du LAN (@IP_priv) derrire une adresse appartenant au rseau externe (@IP_pub). Ceci veut dire que quand on va vouloir accder depuis l'extrieur la machine @IP_priv, on va en fait utiliser l'adresse @IP_pub (ping @IP_pub et non ping @IP_priv).

Dans le cas d'un PIX 3 pattes (LAN, WAN, DMZ) il y a 2 possibilits : Dans notre cas, notre LAN sera en 192.168.1.0/24, la DMZ en 172.20.1.0/24. Nous voulons permettre un accs entre une machine de la DMZ (172.20.1.10) et une machine du LAN 192.168.1.10. - soit vous cachez les adresses du LAN derrire des adresses de la DMZ : static (inside,dmz) 172.20.1.110 192.168.1.10 netmask 255.255.255.255 0 0 Dans ce cas on accdera depuis la DMZ, la machine 192.168.1.10, en utilisant son adresse nate 172.20.1.110. - soit on ne fait pas de nat entre la DMZ et le LAN : static (inside,dmz) 192.168.1.10 192.168.1.10 netmask 255.255.255.255 0 0 Dans ce cas, on peut, depuis la DMZ, accder la machine du LAN en utilisant sa vritable adresse. Je conseille cette faon de procder afin de ne pas surcharger le PIX avec un processus de NAT qui n'est pas rellement utile.

CONDUIT : Ouvre un accs sur la machine dclare dans STATIC. Cette commande ne doit plus tre utilise. Ds la version 6.0 cette commande ne sera mme plus implantable sur un PIX. En fait comme toujours, Cisco maintient la compatibilit avec les anciennes commandes, donc les commandes inbound/outbound, conduit sont toujours implmentes. C'est un chois discutable, mais ... Enfin si vous voulez faire du vrai bon boulot, je vous recommande d'oublier les commandes inbound/outbound et conduit.

ACCESS-LIST : On ouvre un accs entre des machines (ou des rseaux). Les ACL sont nominatives. Ainsi il est possible de leur donner un nom (acl_in pour le flux sortant du LAN, acl_out pour le flux entrant depuis Internet, ...) Ex : access-list acl_out permit tcp host @IP_pub_src host @IP_pub_dst range 1417 1420 access-list acl_out permit udp host @IP_pub_src host @IP_pub_dst eq 407 <-> Permet au rseau @IP_pub_src de se connecter via TIMBUKTU sur le @IP_pub_dst. Nota : Par dfaut, ds qu'une access-list est implmente sur une interface, tout ce qui n'est pas explicitement permis, est interdit. Ainsi, si on ne met par exemple que les access-list prcdentes sur l'interface outside (via la commande access-group), seul le rseau @IP_pub_src pourra s'y connecter, et seulement en TIMBUKTU. C'est comme si vous mettiez une access-list acl_out deny ip any any la fin de la configuration. ATTENTION : les access-list sont analyses squentiellement (de haut en bas). Ds qu'une access-list match, le PIX ne va pas plus loin dans l'exploration des rgles. Il faut donc faire trs attention la position des access-list dans la configuration! ACCESS-GROUP : Dfinit l'interface d'application des access-list. Ex : access-group acl_out in interface outside <-> Dit que les access-list acl_out seront appliques sur le flux entrant par l'interface outside du PIX ( c'est dire via Internet). Elles limiteront donc le trafic entrant depuis l'Internet.

NAME/NAMES : Permet d'associer un nom une adresse IP (ou un rseau). Ex : name 255.255.255.0 class-C-mask

name 192.168.1.1 pix_inside name 172.16.1.0 reseau_distant

ROUTE : Permet de dfinir les routes. Ex : route outside 0.0.0.0 0.0.0.0 63.33.94.147 1 Dans ce cas la route par dfaut du PIX est l'adresse 63.33.94.147 avec comme metric 1 (metric par dfaut). Rappel sur la notion de metric : il s'agit du nombre de sauts entre le PIX et le routeur primtrique. Les sauts sont des routeurs, donc 1 saut signifie que le routeur est directement connect au PIX. Enfin : sur le PIX vous ne pouvez avoir qu'UNE SEULE ROUTE PAR DEFAUT .

Ordre des oprations sur la PIX :

Accs au PIX en hyperterminal : Voici les paramtres utiliser lors d'une connexion via le cble srie sur le PIX : Bits per second : 9600 Data bits : 8 Parity : None Stop bits : 1 Flow control : Hardware

Mise jour de l'image via TFTP : On met le dernier IOS stable : 6.1(1). De base le PIX vient avec une image 5.1, on en est actuellement la version 6.1(1). Pour rcuprer la dernire version du software PIX vous pouvez aller sur le site suivant : http://www.cisco.com/cgi-bin/tablebuild.pl/pix/ Biensur, il vous faut un compte CCO (Cisco Connection Online).

Pour mettre jour, il suffit, lors du reboot, de presser la touche Esc (Escape) afin d'interrompre la squence de boot. Le prompt monitor> apparat. Suivre la squence suivante :
o

o o o o o o o

Bancher la patte outside (eth0) du PIX sur votre machine (possdant un serveur TFTP + l'image 6.1 du PIX). Utilisez pour cela un cble crois ou 2 cbles droits + un hub. Spcifier l'interface utiliser sur le PIX : interface outside Spcifier l'adresse IP temporaire sur cette interface : addr 10.0.0.1 Spcifier l'adresse IP de votre machine : serv 10.0.0.206 Spcifier le nom de l'image downloader : file pix611.bin Vrifier la connectic : ping 10.0.0.206 Tlcharger l'image : tftp C'est ce moment l que l'on peut entrer une nouvelle clef d'activation sur le PIX.

# On donne un nom au pix hostname Pix.totoland.com # Password pour l'accs en mode enable : enable password azerty (je blague, il est vident qu'il faut mettre un truc plus compliqu !) # Pour l'accs en telnet et ssh passwd azerty

# On nomme les diffrentes interfaces et on leur attribue un niveau de scurit : nameif ethernet0 bad security0 nameif ethernet1 naif security99 : comme vous pouvez le constater, le niveau de scurit n'est pas de 100 mais de 99. En fait on ne peut pas renommer l'interface inside. Si on veut lui donner un autre nom que ''inside'', il faut lui mettre un autre niveau de scurit que 100. J'ai pour habitude de mettre 99.

# On fixe la vitesse des interfaces (nota : avec PIX 506 on peut seulement faire du 10Mb/sec) : interface ethernet0 10baset

interface ethernet1 10baset Les autres valeurs possibles pour la spcification de la vitesse : - auto : auto dtermination des vitesses (pas toujours conseill !) - 10baset : 10MBps Ethernet half duplex - 10full : 10MBps Ethernet full duplex - 100basetx : 100MBps Ethernet half duplex - 100full : 100MBps Ethernet full duplex - 1000sxfull : 1000MBps Gigabits Ethernet full duplex - 1000basex : 1000MBps Gigabits Ethernet half duplex - 4mbps ou 16mbps : dans le cas d'interface token ring - pas de vitesse spcifier dans le cas d'interfaces FDDI # @IP des interfaces : ip address bad @IP-PUB-PIX 255.255.255.248 ip address naif @IP-PRIVEE-PIX 255.255.255.0

# Route statique vers la gateway par dfaut : route bad 0.0.0.0 0.0.0.0 @IP-PUB-ROUTEUR 1

# La NAT -> adresses nates dans les adresses (commande global) dfinies ci dessous : # Vrifier pour les connexions embryonnaires (entre 100 et 500)!!!

nat (naif) 1 0.0.0.0 0.0.0.0 300 300

# Les @IP disponibles pour sortir d'une interface : global (bad) 1 @IP-PUB-NAT-HIDE (toujours faire un clear xlate pour mettre jour la table de translation d'adresses)

# On cre les nat statique ncessaires : # Vrifier pour les connexions embryonnaires (entre 100 et 500)!!!!

Vous devez crer ces rgles de nat static (commande static) si vous voulez donner un accs depuis une interface de niveau de scurit bas vers une machine d'un niveau de scurit haut. Par exemple dans le cas d'une machine prsente en DMZ, il vous faudra certainement permettre un accs depuis l'Internet sur cette machine. Il sera peut tre aussi ncessaire de permettre un accs entre cette machine en DMZ et une ou plusieurs machines du LAN. C'est typiquement le cas dans des architectures prsentants un relais SMTP en DMZ et un serveur SMTP dans le LAN.

# On filtre le trafic entrant : # Ouside -> Firewall + LAN : access-list acl-bad-naif permit icmp any any source-quench access-list acl-bad-naif permit icmp any any parameter-problem access-list acl-bad-naif permit icmp any any unreachable access-list acl-bad-naif permit icmp any any time-exceeded access-list acl-bad-naif permit icmp any any echo-reply

# On applique ces rgles sur l'interface d'o va venir le trafic (=d'o est initialis la connexion). # Ici c'est forcment l'interface outside (=bad) !!!! access-group acl-bad-naif in interface bad

# Les flux sortants du LAN : # Dans un premier temps on autorise tout type de trafic venant du LAN : access-list acl-naif-bad permit ip any any

# On applique ces regles sur l'interface d'o va venir le trafic (=d'o est initialis la connexion). Ici c'est forcment l'interface inside (=naif) !!!!

access-group acl-naif-bad in interface naif

# Pour interdire le ping de la patte outside du PIX : # Nota : par dfaut l'interface OUTSIDE du PIX est pingable... # d'ou : icmp deny any echo bad

Pour les logs en mode console : logging on logging console debugging ou level (7) : voir les trafic complet en mode console debug icmp trace : voir le trafic icmp sh logging : voir ce qui est loggu clear logging : vider les buffers de log

Pour les logs en mode terminal : On donne l'acces en telnet ou ssh (cf apres) sur le pix sur sa patte inside (ou dmz ou wan) : telnet @IP 255.255.255.255 naif ssh @IP 255.255.255.255 naif On augmente la dure de la session telnet (ou ssh) : telnet timeout 15 ssh timeout 15 0n accde en telnet ou en ssh sur le PIX On demarre le log des messages logging monitor <level>

On affiche les messages de logs sur le session telnet terminal monitor Pour arreter l'affichage des messages terminal no monitor A la fin ne pas oublier de dsactiver les logs no log monitor

Donner l'accs SSH sur le PIX : On vrifie que le PIX peut faire au minimum du DES : sh ver Si oui, on peut faire la suite. Sinon, il faut envoyer un mail licensing@cisco.com (ou http://www.cisco.com/kobayashi/sw-center/internet/pix-56bit-license-request.shtml ) en leur demandant une clef d'activation permettant le DES. Donner un nom au PIX (thoriquement c 'est dj fait) : hostname Pix.totoland.com Prciser un domain : domain-name totoland.com Gnrer la clef sur chaque PIX : ca gen rsa key 1024 (1024 tant la taille de la clef) Enregistrer cette clef sur le PIX : ca save all (attention un write mem ne suffit pas !!) Prciser la machine ayant accs sur le PIX en SSH : ssh @IP 255.255.255.255 bad Prciser le pasword d'accs (c'est le mme que pour l'accs telnet) : passwd mon_super_password Gnrer les clefs sur le poste concern : attention lors de la gnration de la clef, le programme demande un nom d'utilisateur sur le PIX. Il faut mettre pix (en miniscules!). Lancer la connexion ssh depuis le client : /usr/bin/ssh -v -c des pix@IP-pix Pour windows NT, 2000, ... : utiliser les clients suivants : F-Secure

Tera Term Pro SSH v1.x : http://hp.vector.co.jp/authors/VA002416/teraterm.html Il faut aussi l'implmentation SSH pour Tera Term (TTSSH) : http://www.zip.com.au/~roca/ttssh.html Putty

Nota : On peut administrer le PIX en ssh sur la patte outside. Si on veut le faire en telnet, il faut mettre en place un tunnel IPSEC. Puis mettre une access-list pour permettre le trafic IP entre la patte externe du pix et le client VPN. Pour un exemple d'administration distante d'un PIX (via SSH ou VPN), cf. la page suivante ralise par Julien Martinez.

1.4 CONFIGURATION PIX Cette configuration correspond la politique de scurit prsente au dbut de ce document. PIX Version 6.1(1)

nameif ethernet0 bad security0 nameif ethernet1 naif security99

enable password .... passwd ....

hostname Pix.totoland.com domain-name totoland.com

fixup protocol ftp 21

fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 fixup protocol skinny 2000

names name @IP-PUB-ROUTEUR PERIMETER-GW name @IP-PRIV-ADMIN ADMIN-PC

access-list acl-bad-naif permit icmp any any source-quench access-list acl-bad-naif permit icmp any any parameter-problem access-list acl-bad-naif permit icmp any any unreachable access-list acl-bad-naif permit icmp any any time-exceeded access-list acl-bad-naif permit icmp any any echo-reply access-list acl-naif-bad permit ip any any

pager lines 24 logging monitor debugging

interface ethernet0 10baset interface ethernet1 10baset

icmp deny any echo bad

mtu bad 1500 mtu naif 1500

ip address bad @IP-PUB-PIX 255.255.255.248 ip address naif @IP-PRIV-PIX 255.255.255.0

ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400

global (bad) 1 @IP-PUB-NAT-HIDE nat (naif) 1 0.0.0.0 0.0.0.0 300 0

access-group acl-bad-naif in interface bad access-group acl-naif-bad in interface naif

route bad 0.0.0.0 0.0.0.0 PERIMETER-GW 1

timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si p 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable no sysopt route dnat telnet timeout 30

ssh ADMIN-PC 255.255.255.255 naif ssh timeout 30

terminal width 80

1.5 MESSAGES SYSLOG

Le PIX gnre des logs au format SYSLOG. Vous pouvez visualiser ces logs soit directement sur le PIX (mode console ou en mode telnet/ssh), soit sur un serveur syslog ddi au sein de votre architecture.

Voici les diffrents niveau de log :

0 = emergencies = pas de messages

1 = alerts = les alertes 2 = critical = condition critique 3 = errors = messages d'erreur 4 = warnings = messages d'avertissement 5 = notification = fonctionnement normal prsentant des particularits 6 = informational = mme le trafic normal est loggu 7 = debugging = mode debug au niveau applicatif.

Pour les logs en mode console :

logging on

logging console debugging ou level (7) : voir les trafic complet en mode console

debug icmp trace : voir le trafic icmp

sh logging : voir ce qui est loggu

clear logging : vider les buffers de log

Pour les logs en mode terminal :

On donne l'acces en telnet ou ssh (cf apres) sur le pix sur sa patte inside (ou dmz ou wan) :

telnet @IP 255.255.255.255 naif

ssh @IP 255.255.255.255 naif

On augmente la dure de la session telnet (ou ssh) :

telnet timeout 15

ssh timeout 15

On accde en telnet ou en ssh sur le PIX

On demarre le log des messages : logging monitor <level>

On affiche les messages de logs sur le session telnet :

terminal monitor

Pour arreter l'affichage des messages :

terminal no monitor

A la fin ne pas oublier de dsactiver les logs :

no log monitor

Pour envoyer les messages sur un serveur Syslog ddi :

Vous avez la possibilit d'envoyer les messages du PIX sur un serveur syslog. Ce serveur est soit un UNIX/LINUX comportant un dmon syslog, soit un Windows NT comportant un produit de logging : WebTrends, PFSS (PIX Firewall Syslog Server), ...

Le trafic entre le PIX et le serveur Syslog sera en UDP:514 (= port Syslog).

Les tapes : On spcifie le serveur syslog sur lequel le PIX va envoyer ses logs : logging host inside 10.1.1.14

On spcifie le niveau des logs : logging trap debugging ou logging trap information (je vous conseille ce niveau)

La commande logging facility (valeur par dfaut : 20), permet de prciser le format des messages. CISCO recommande de ne pas modifier la valeur par dfaut !

On dmarre l'envoi des logs : logging on (Pour dsactiver l'envoi des logs : no logging on)

Vous avez la possibilit de dsactiver l'envoi de certains messages. Pour cela, une fois que vous aurez rcupr l'ID du message (ex : 305002), vous pouvez utiliser la commande : no logging message 305002 Ainsi, ce message ne sera plus envoy au serveur syslog.

1.6 MISE EN PLACE D'UN FAILOVER

Le Failover = Haute disponibilit => Mise en place d'un second PIX qui prendra le relai si le premier PIX (=PIX d'origine) tombe en panne.

Rappels : Le PIX 506 ne permet pas le Failover Les PIX 515, 525 et 535 supportent le Failover si et seulement si vous avez une licence UR .

Pour faire du Failover avec des PIX, il faut un PIX primaire avec licence UR + un autre PIX Failover (cf. produits cisco). Dans tous les cas les 2 PIX doivent tre rigoureusement identique en matire de : RAM, Flash, IOS.

Le Failover avec des PIX est du type actif/passif. C'est dire que le PIX failover est passif. Tout le trafic passe par le PIX primaire (=actif). Ce n'est que si ce premier PIX tombe que le second devient actif. Il n'y a pas de loabalancing.

Le PIX propose 2 modes de failover :


o o

Mode normal : avec utilisation d'un cble null-modem Mode Statefull : avec cble null-modem + une interface (Ethernet 100Mbps full duplex) sur chaque PIX ddie au failover. Dans ce cas toutes les sessions NON-HTTP ouvertes sur le premier PIX seront conserves sur le second PIX lors du basculement.

Dans le cas du PIX, le mode failover assure que les adresses IP et MAC du PIX d'origine (= PIX primaire =PIX actif) seront reportes sur le PIX secondaire (= PIX standby) lors du basculement.

Dans notre exemple :

LAN : 10.1.0.0/16 (avec 2 classes : 10.1.1.0/24 et 10.1.2.0/24) WAN : 63.33.94.146/28 DMZ : 192.168.1.0/24

Sur le Premier PIX dj configur : Patte OUTSIDE = bad = Ethernet0 = 63.33.94.149 Patte INSIDE = naif = Ethernet1 = 10.1.1.1 Patte DMZ = dmz = 192.168.1.1

Mettre le dernier IOS sur les 2 PIX. Rgler l'heure de la CMOS sur le PIX Primaire : clock set hh:mm:ss month day year Ceci permettra une synchronisation des CMOS lors du failover.

Brancher le cble null-modem entre les 2 PIX : Lorsqu'on connecte ce cble de failover : bien s'assurer que le bout marqu Primary est sur le PIX actif = PIX d'origine. Ce cble est un cble RS-232 modifi.

Vrifier la nature du lien entre les 2 PIX pour le ct statefull (cable crois catgorie 5, hub, ...)

Eteindre le PIX failover (apres lui avoir mis la mme version d'IOS que celle prsente sur le PIX d'origine). On ne configure QUE le PIX primaire. Quand il est compltement configur, on allume alors le secondaire. C'est alors que toute la configuration du premier passera sur le PIX failover !

Voici ce qu'il faut faire sur le PIX d'origine = PIX matre :

On assigne une des interfaces au failover : nameif ethernet5 failover security98

On spcifie la vitesse : interface ethernet5 100full

Comme aprs toute commande interface, il faut faire un clear xlate.

On assigne une adresse IP cette interface : ip address failover 1.1.1.1

On permet le failover : failover

On s 'assure que tout est bien : show failover

On configure le 2ieme PIX avec le premier au niveau des adresses des interfaces : failover ip address bad 63.33.94.150

failover ip address naif 10.1.1.100 failover ip address dmz 192.168.1.100 failover ip address failover 1.1.1.100

Vous pouvez diminuer le temps de dtermination pour le basculement. Le temps de base est de 15 secondes. Si le PIX primaire n'a pas rpondu pendant 15 secondes, le PIX secondaire prend la main. On peut diminuer ce temps avec la commande failover pool secondes . Cependant Cisco ne conseille pas de modifier ce temps.

On allume le deuxime PIX afin qu'il y ait rplication entre le Primaire et le Secondaire. Sur le Primaire : show failover : on s'assure que la rplication est bonne.

A partir d'un poste client du LAN : On fait un ftp ou un ping @IP -t

On teint le Primaire, afin de voir si le failover fonctionne bien. On fait un show failover

On re rend le PIX Primaire actif : Sur le Primaire : reload ou failover active Puis un show failover

On configure le PIX Primaire pour faire du Stateful Failover : Sur le Primaire : failover link failover Faire un write mem puis write standby de facon forcer la synchronisation entre les 2 PIX

Vrifier que le Stateful est en place : show failover Tester le stateful failover en faisant un ping @IP -t ou un ftp depuis une machine du LAN, puis en coupant le PIX Primaire.

1.6 CONFIGURATION DU VPN

Dfinitions :

VPN ? Un VPN (Virtual Private Network) est un service offrant une connexion scurise via un rseau public (tel qu'Internet). Le VPN impose la mise en place d'un canal. Ce canal peut tre implment de diffrentes manires : L2TP (niveau 2 du modle OSI) ou IPSec (niveau 3) ou PPTP (version Lucent puis Microsoft) ou MPPE (Microsoft Point to Point Encryption = RSA RC4) ou GRE (protocole cisco permettant de relier 2 LAN faisant de l'IPX) ou L2F (protocole cisco). On peut rajouter du cryptage au niveau de ce canal : DES(56 bits) ou 3DES (168 bits) ou CET (technologie de cryptage propre cisco) ou IDEA.

Historiquement, on est pass du VPN de niveau 2 (ATM, X25, FrameRelay) des VPN de niveau 3 (IPSEC).

IPSec : Selon la RFC IETF : "Protocole de scurit au sein de la couche rseau. Ce protocole est dvelopp pour fournir un service de scurit base de cryptographie, permettant de garantir l'authentification, l'intgrit, le contrle d'accs et la confidentialit des donnes."

D'une manire plus commune :

IPSec = formatage de trame permettant le chiffrement des donnes au niveau IP.

HASHING : MD5 (128bits) / SHA-1(168bits) : = Signature = hashing crypt avec clef priv de l'utilisateur A

Utilis pour certifier l'intgrit et l'authenticit d'un document. Le rsultat est un digest de taille fixe. Les mots Resume et digest reprsentent la mme chose..

Caractristiques du digest :
o o

Impossibilit de reconstruire les donnes partir du digest ; Si un bit des donnes change, le digest rsultant sera trs diffrent de l'originel (= effet d'avalanche).

Exemple : Utilisateur A (mettant le message) : 1. Message1 -> Processus de hashing (MD5 ou SHA-1) -> Resume1 2. Message1 + Resume1 + clef prive A -> Message1 crypt Utilisateur B (recevant le message) :

3. Dcryptage du message1 avec la clef publique de A => Message1 + Resume1

4. On passe le message1 dans le hashage => Resume2 Si Resume1 = Resume2, alors le message est intgre = non modifi.

IKE (Internet Key Exchange) : (RFC 2409) IKE ngocie les IPSec security associations (SAs). Ce processus ncessite que les systmes IPSec s'authentifient entre eux et tablissent les clefs IKE (= ISAKMP) partages.

En d'autres termes, IKE = Schma de chiffrement <=> comment va se faire l'change des informations entre les diffrents peers d'un VPN.

Schmatiquement : IKE = ISAKMP (RFC 2408) + Oakley (RFC 2412) ISAKMP = protocole pour la ngociation pralable l'tablissement des associations de scurit (SA). Oakley = dtermine le mcanisme pour l'change automatique des cls.

IKE dmarre donc avant IPSEC !!! On a 1 tunnel IKE en premier, puis un tunnel IPSec ensuite. Ce dernier tant issu des ngociations IKE pralables.

ISAKMP = IKE Phase 1 : Les sessions ISAKMP utilisent UDP (source ET destination port = 500) Les rsultats de l'tablissement d'une session ISAKMP sont des SAs ISAKMP (bidirectionnels). ISAKMP tablit tous les SAs IPSEC la demande. Une session ISAKMP est authentifie : - Soit par une clef partage (pre-shared key) - Soit par RSA signature et chiffrement.

De plus une session ISAKMP est chiffre (DES) pour l'change des clefs de session.

Oakley = IKE Phase 2 : Dfinit le mcanisme d'change de cls dans les ISAKMP sessions Dtermine les cls AH/ESP ncessaires pour chaque IPSEC SA automatiquement Utilise l'algorithme Diffie-Hellman pour ses gnrations de cls

IKE, plus en dtails : Durant la phase 1 d'IKE, il y a authentification des peers + tablissement de la politique IKE (= IKE Security Association). L'algorithme principal de cette phase est Diffie-Hellman.

Durant la phase 2 d'IKE, il y a ngociation des IPSec security associations, et gnration des clefs pour IPSec. L'metteur offre une ou plusieurs transform-sets qui sont utiliss pour spcifier les diffrents algorithmes utiliss au sein du tunnel IPSec. Soit c'est encore via Diffie-Hellman que les clefs sont gnres, soit ces clefs sont drives de celles forges lors de la phase 1 d'IKE.

Encore plus prcis : IKE phase 1 : Mthode d'change des clefs ; Mthode d'authentification des peers : pre-shared key ou certificat numrique authentifi par une signature RSA ; o Identification des peers IPSec : par adresse IP ou par nom (FQDN) ; o Dtermination de la politique ISAKMP <=> IPSec SA : une politique ISAKMP dfinie une combinaison de paramtres de scurit utiliss durant la ngociation ISAKMP. Pour qu'il y ait communication IPSec possible, il faut que les 2 peers trouvent un accord sur une politique ISAKMP commune. Une politique ISAKMP contient :
o o

* Algorithme d'encryption : DES/3-DES * Algorithme de hashing : MD5/SHA-1 * IKE SA Lifetime = dure de vie des SA IKE : 86400 secondes, ou moins.

IKE phase 2 :
o

Ngociation des algorithmes IPSec = transform-set : ESP-DES, ... Cette ngociation est protge grce la SA IKE prdfinie.

o o o

Identification des peers par adresse IP au nom (FQDN) ; Dtermination des adresses IP des htes qui doivent communiquer en crypt ; Etablissement des IPSec security associations : soit de manire manuelle (pas conseill), soit via IKE (conseill), dans ce dernier cas, il faut spcifier ipsecisakmp. Ces IPSec Sas sont priodiquement rengocies afin d'augmenter le niveau de scurit. De plus on peut forcer le fait que les clefs de sessions IPSec seront nouvelles chaque fois, ou simplement drives des clefs ngocies en IKE phase 1. Cette dernire fonctionnalit est appele PFS ( Perfect Forward Secrecy). Le contenu d'une IPSec SA est le suivant : Adresse IP du peer d'en face ; Identifiant de VPN (SPI = Security Parameter Index) Algorithmes IPSec : AH/ESP + rien ou HMAC-MD5/HMACSHA-1 ; Mode (Tunnel ou Transport) : Transport : PC serveur de bout en bout Tunnel : via internet (c'est dire, via des routeurs) Clef de session ; Attributs supplmentaires (Lifetime = dure de vie des clefs de session, ...)

En d'autres termes, une SA IPSec c'est ce qui dfinit un VPN.

AH (Authentication Header)/ESP (Encapsulation Security Payload) :

Voici ce qui se passe au niveau des paquets :

AH = IP:51 Paquet origine : IP Header + le reste du paquet (autres headers + payloads) = A A l'aide de l'algo MD5, la clef secrete (connue des deux parties) + A on obtient : IP Header + Auth.Header + le reste du paquet (autres headers + payloads)

=> AH -> pas de cconfidentialit = pas de chiffrement des donnes.

ESP = IP:50

Paquet origine : IP Header + le reste du paquet (autres headers + payloads) = A Si on est en mode transport (mode bout en bout, entre hosts => pas de routeur ni firewall entre les hosts) : On chiffre le "reste du paquet (autres headers + payloads)" avec la clef secrete, et on rajoute au paquet un header ESP. Le paquet devient donc : IP Header + Header ESP + le reste du paquet (autres headers + payloads) crypt

Si on est en mode tunnel (avec des routeurs + des firewalls entre les hosts <=> Internet) : De nouveaux IP Headers sont ajouts lors du routage des paquets, mais le paquet origine est crypt avec la secret key => le IP Header d'origine est conserv intacte dans la partie crypte. Le paquet devient donc : New Ip Header + ESP Header + Crypt[Ip Header origine + le reste du paquet (autres headers + payloads)]

=> ESP -> confidentialit car on a chiffrement des donnes -> il y a une plus grande consommation de CPU.

Ct PIX : Dans ce cas nous voulons monter un VPN entre notre PIX (cf conf prcdente) et un concentrateur VPN. Voici les diffrentes commandes rajouter :

# On permet les flux IPSec : sysopt connection permit-ipsec # Cette ligne ci-dessus est parfaitement quivalente aux 3 suivantes : access-list vpn permit ahp @IP-PIX1 255.255.255.0 host @IP-PIX2 access-list vpn permit esp @IP-PIX1 255.255.255.0 host @IP-PIX2 access-list vpn permit udp @IP-PIX1 255.255.255.0 host @IP-PIX2 eq isakmp (= UDP:500).

# On spcifie l'interface sur laquelle on va faire de l'IPSec : # A partir de l'OS 5.1, on peut faire de l'IPSec sur toutes les interfaces. Avant on ne pouvait le faire que sur l'outside. isakmp enable bad

# On cre la politique IKE : # On spcifie l'algorithme d'encryption : isakmp policy 10 encryption des # On spcifie l'algorithme de hashing :

isakmp policy 10 hash md5 # On spcifie la mthode d'authentification : isakmp policy 10 authentication pre-share # On spcifie la taille de l'espace de nombres utilis pour le choix du coefficient de l'exponentielle (pour l'algorithme Diffie-Hellman) : isakmp policy 10 group 2 # On spcifie la dure de vie des clefs de sessions au niveau IPSec : isakmp policy 10 lifetime 86400

# On spcifie si l'on travaille par adresse IP ou par nom : isakmp identity address

# On spcifie l'adresse IP du concentrateur VPN bas sur l'autre site : name @IP-CONCENTRATEUR CONCENTRATEUR

# On configure la pre-shared key pour IKE : isakmp key ma-pre-shared-key address CONCENTRATEUR netmask 255.255.255.255

# On configure IPSec :

# On spcifie le trafic devant tre crypt : access-list vpn permit ip @IP-RESEAU-LAN-ICI 255.255.255.0 @IP-RESEAU-LANLA-BAS 255.255.255.0 # On configure le transform-set : crypto ipsec transform-set myset esp-des esp-md5-hmac # On configure la crypto map :

# On cre une crypto map en utilisant IKE (IPSec ISAKMP mode) : crypto map vpnpeer 10 ipsec-isakmp # On spcifie l'access-list prendre en compte : crypto map vpnpeer 10 match address vpn # On spcifie le peer vers lequel on va envoyer le trafic crypt : crypto map vpnpeer 10 set peer CONCENTRATEUR # On spcifie quel transform-set on va utiliser pour cette crypto map : crypto map vpnpeer 10 set transform-set myset

# On applique la crypto map sur une interface rseau : crypto map vpnpeer interface bad

# Dans le cas d'un VPN site site on spcifie que l'on ne fait pas de NAT. C'est quand le peer d'en face ouvre le paquet IPSec, qu'il dcouvre qui ce paquet est destin en interne. nat (naif) 0 access-list vpn

Ct Concentrateur VPN :

Pour une description complte de ce produit : cf. Document suivant. Matriel : Concentrateur VPN 3015 : 64 MB SDRAM 100 tunnels IPSEC en simultan 3 interfaces rseaux (10/100BaseT) upgradeable

Clients VPN : Cisco Secure VPN Client 1.1 : PIX (IOS <= 5.3) + ROUTEURS. Ce client s'installe sous Win9X, NT4, pas Win2k. Cisco VPN 3000 Client 3.x.y : CVPN3000 + PIX (IOS <= 6.x). Ce client s'installe sous Win9X, NT4, Win2k et XP. Ce client VPN ne fonctionne pas pour les routeurs cisco ! IPSec client intgr Windows 2000 : CVPN3000. Dans tous les cas : DES et 3DES. Le client VPN3000 intgre un module de monitoring.

Caratristiques particulires : Supporte le VPN Through NAT (r-encapsulation de la partie IPSEC dans de l'UDP). o Protocole IPSec :
o

IPSec comporte normalement 2 protocoles : - AH (Authentication Header) = IP:51, permettant l'authentification de la source + anti rejeu + intgrit. Dans ce cas le hashing (MD5 ou SHA-1) est fait sur tout le paquet, IP headers compris. Ce mode est incompatible avec la NAT qui change le AH Header et cause ainsi le rejet du paquet par le peer IPSec. - ESP (Encapsulation Security Payload) = IP:50, fournit, en plus de AH, la confidentialit grace l'encryption au niveau IP. L'algorithme par dfaut est DES (56 bits). On peut biensr utiliser du 3DES. Ce protocole supporte la NAT car il le hashing (utilis pour l'intgrit) ne prend pas en compte l'en-tte IP. Ainsi la NAT peut changer le Header IP, et pourtant le paquet sera accept par le peer IPSec. Le petit moins, c'est que qu'en ESP, il n'y a pas de protection de l'entit IP. Le concentrateur VPN n'intgre QUE ESP. Il n'est pas possible de faire du AH. Ce choix est motiv par le fait qu'avec AH il n'est pas possible de faire du VPN through NAT.

- Split Tunneling : Le Split Tunneling correspond la sparation des flux. En fait, on a la possibilit de permettre au nomade , utilisant un client VPN 3000, de monter une connexion VPN avec un site tout en continuant surfer sur Internet (en clair). Cette fonctionnalit est tres risque. Dans le document suivant je vous propose une explication du pourquoi et du comment. Vous trouverez aussi des solutions pour contourner le problme.

Administration : Hyperterminal : pour la configuration minimale : initialisation des interfaces rseaux. Configuration usine : login -> admin/admin. Telnet, SSH ou HTTP/HTTPS (si browser IE et Netscape > 4.0) Configuration de Netscape : Edit -> Preferences -> Advanced : Enable JavaScript Accept ...cookies Ne pas cocher: Warn me before accepting a cookie.

Configuration dans notre cas :

1)On part avec une configuration d'usine :

Administration | System Reboot | Schedule reboot | Reboot with Factory/Default Configuration

2)Configuration minimale via le cble console :

- Time/Date ; - Interfaces/Masks in Configuration | Interfaces (public=@IP-PUB-CONTENTRATEUR/xx, private=RESEAU-LAN/24) ;

- Default Gateway in Configuration | System | IP routing | Default_Gateway | @IPROUTEUR-PERIMETRIC

A ce stade le concentrateur est administrable via HTTP depuis la patte inside.

3)Nous permettons l'administration du Concentrateur depuis la patte outside :

Configuration | Interfaces | 2-public | Select IP Filter | 1. Private (Default)

Administration | Access Rights | Access Control List | Add Manager Workstation to add the IP address of the external manager.

4)Menu Configuration | Interfaces

5)Configuration de IPSec LAN-to-LAN tunnel

a)Configuration | System | Tunneling Protocols | IPSec LAN-to-LAN | Modify : Name : To-PIX Interface : Ethernet 2 (Public) Peer : @IP-PUB-PIX Digital Certificate : None (Use Preshared Keys) Preshared Key : ma-pre-shared-key Authentication : ESP/MD5/HMAC-128 Encryption : DES-56 IKE Proposal : IKE-DES-MD5 Local Network :

Network List : Use IP Address/Wildcard-mask below IP Address : @IP-RESEAU-LAN-CONCENTRATEUR Wildcard Mask : 0.0.0.255 Remote Network : Network List : Use IP Address/Wildcard-mask below IP Address : @IP-RESEAU-LAN-PIX Wildcard Mask : 0.0.0.255

b)IKE Proposals : Configuration | System | Tunneling Protocols | IPSec | IKE Proposals Active Proposals : IKE-DES-MD5

6)On vrifie les paramtres des Security Associations : Configuration | Policy Management | Traffic Management | Security Associations | Modify :

SA Name : L2L : To-PIX Inheritance : From Rule IPSec Parameters : Authentication Algorithm : ESP/MD5/HMAC-128 Encryption Algorithm : DES-56 Encapsulation Mode : Tunnel Perfect Forward Secrecy : Disabled Lifetime Measurement : Time

Data Lifetime : 10000 Time Lifetime : 86400 IKE parameters : IKE Peer : @IP-PUB-PIX Negociation Mode : Main Digital certificate : None (Use Preshared Keys) IKE Proposal : IKE-DES-MD5

A ce stade, le VPN devrait marcher....

Debug :

Sur le PIX : debug crypto engine - Pour voir le trafic qui est encrypt.

debug crypto ipsec - Pour voir la phase des ngociations IPSec (IKE phase 2).

debug crypto isakmp - Pour voir la phase des ngociations ISAKMP (IKE phase 1).

Sur le Concentrateur VPN :

Voici les options activer :

o o

IKE IKEDBG

o o o o

IKEDECODE IPSEC IPSECDBG IPSECDECODE

Retour l'index de la documentation Retour la page d'accueil

Armand Passelac

Quels ports Windows XP utilise pour l'activation ?

Rponse Windows XP utilise les ports 80 et 443 pour l'activation.


20. Les ports IP et UDP sur INTERNET
20.1. Introduction - 20.2. Classes d'adresses IP - 20.3. Ports TCP - 20.4. Ports UDP

20.1. Introduction
Pour communiquer en rseau, deux PC doivent parler un langage commun. Ce langage en rseau peut tre TCP/IP, IPX/SPX ou NetBui. IPX est utilis par les rseaux lourds NOVELL, NetBui est utilis par les premiers rseaux Microsoft et IBM. TCP/IP est utilis sur INTERNET. IP est routable, l'adresse peut tre modifie en cours de route en fonction des saut dans les diffrents appariels de connexion. Ce routage permet de redirectionner des demandes une adresse dfinie vers une autre adresse. Ceci explique que TCP/IP est utilis dans les rseaux informatiques et sur Internet. Plusieurs langages (protocoles) peuvent cohabiter sur un mme rseau. Pour que 2 ordinateurs puissent dialoguer, ils doivent automatiquement parler au moins un mme protocole. Ceci semble peu important, mais si votre communication est TCP/IP sur Internet et NetBui sur le rseau local, il sera impossible un pirateur de passer d'un ordinateur l'autre par le rseau. Il est mme de dialoguer avec un routeur vers

INTERNET partir d'un rseau mais que le partage des ressources sur le rseau ne puisse se faire que par un des autres protocoles. De mme, si vous implantez un partage INTERNET sur un rseau, retirer TCP/IP sur la carte rseau d'un ordinateur l'empche d'aller sur Internet. Les adresses IP sont constitues de 4 chiffres variant de 0 255 chacun, par exemple 192.168.1.1. Les adresses ont t rassembles par classes. Chaque PC (ou installation rseau) peut communiquer avec les PC dans la mme classe d'adresse directement. Par contre, la communication d'une classe d'adresse l'autre ncessite un routeur, gnralement un appareil mais ce peut tre fait par certains programmes spcifiques. Les classes A et B sont rserves Internet (mais peuvent tre utilises sous rserve des rseaux internes). Lorsqu'un PC envoie un message via le rseau un autre PC, dans le signal envoy, se trouve l'adresse TCP/IP du PC de dpart et l'adresse TCP/IP du PC final. Nanmoins, cette vision est trop simpliste. INTERNET a galement inclus un autre paramtre qui s'appelle le port. Celui-ci est constitu de 65556 portes (de 0 65535). L'utilisation de ports permet de mlanger les accs de toutes sortes de logiciels de mme fonction (pensez par exemple Explorer et Netscape). L'application n'est donc plus caractris par son nom ou son type, mais bien par le numro de port qu'il utilise. INTERNET utilise 2 types de ports: en TCP (cas le plus courant) ou en UDP Dans le message, le numro de la porte est inscrit en en-tte du message, avec l'adresse IP de dpart et l'adresse IP de destination. La liste des ports ci-dessous est utilise pour le blocage (ou ouverture) des ports dans le cas de l'utilisation d'un firewall hardware. L'utilisation de pare-feux bass sous LINUX est identique.

20.2. Les classes d'adresses IP


Rseau Machine Machine Machine Classe A Adresses de 1.0.0.0 126.255.255.255. La plage 10.0.0.0. 10.255.255.255 est prive. 128 domaines (rseau) et 16.777.216 machines de classe A par domaine 1.X.X.X.X, 2.X.X.X.X, ... Rseau Rseau Machine Machine Classe B 127.0.0.0 191.255.255.255. La plage 172.16.0.0. 172.31.255.255 est prive 16.000 domaines et 65.536 Machines de classe B par domaine 127.0.X.X., 127.1.X.X., ... Rseau Rseau Rseau Machine Classe C 192.0.0.0 223.255.255.255. La plage 192.168.0.0. 192.168.255.255 est prive 2.000.000 domaines et 254 machines de classe C par domaine 192.0.0.X, 192.0.1.X, 192.0.2.X, ... 234.0.0.0 239.255.255.255 Multicast

Classe D

Classe E

240.0.0.0 247.255.255.255 Exprimentale

Les adresses terminant par 0 et 255 ne sont pas utilisables. Remarque, la classe d'adresse 169.254.XXX.XXX n'est pas utilisable dans un rseau interne pour un partage Internet, cette plage d'adresse particulire ne l'accepte pas mme si elle est souvent donne par dfaut par DHCP de Windows.

20.3. Les ports TCP.


20.3.1 Ports ouvrir en sortie (Lan -> Wan)
En vert, la liste des ports qui doivent tre ouverts. En jaune, ceux qui peuvent tre ouverts dans certains cas prcis. En rouge, ceux qui doivent imprativement tre ferms vers INTERNET. Tous les autres doivent tre ferms, sauf cas exceptionnels. Port TCP 0 20 21 23 25 70 80 110 443 Port de donnes FTP Port de contrle FTP Telnet SMTP Gopher protocol World Wild Web POP3 (Post Office Protocol) navigation sur Internet Courier entrant Navigation sur certains sites scuriss Proxy de skynet le port peut varier d'un fournisseur l'autre, doit tre ouvert sur toute la plage d'adresse 0 255.255.255.255 utilis dans certaines applications de connexion distance Ncessaire pour dtecter si l'adresse IP correspond une adresse valide, gnralement ferm. Ce port est utilis identiquement en UDP et IP (UDP doit tre ouvert en sortie). Le port doit tre ouvert l'intrieur du rseau interne et peut tre ferm Courrier sortant Service Description utilis pour la dtection de site, doit tre ouvert sur toute la plage d'entre

8080

22

SSH remote login protocole

53

Domain Name Server (DNS)

l'extrieur (Internet)

68 119 143 220 1863 7000-7099 137 138 139 445

DHCP

Utilis pour une configuration automatique des adresses IP utilis par les news

protocole de courrier scuris IMAP 3 protocole de courrier scuris IMAP 4 MSN Messenger logiciel bancaire ISABEL Netbios Name Service NetBios NetBios Netbios Envoyer et recevoir les messages suivant une adresse TCP/IP locale de dpart et une adresse finale (le site). Permet le partage de fichiers et d'imprimantes et donc d'utiliser ce partage via INTERNET Fonctionnalit supplmenataire implante partir de Windows 2000 (pas millenium)

Les ports UDP 137, 138 et 139 sont utiliss dans le cas de partages de ressources dans les systmes d'exploitation Windows. Lorsqu'une station tablit une connexion un rpertoire partag sur une autre machine, le nom NetBios de la machine serveur est mis en correspondance avec son adresse IP. Puis la station tablit une connexion TCP vers la machine serveur en utilisant le port TCP 139. Pour finir, la station envoie une demande de session NetBios la machine serveur. Si le serveur est l'coute, il rpondra la requte et la session NetBios sera tablie. Par contre, si le serveur ne rpond pas ou que la station serveur est teinte, la session tentera d'tablir une connexion vers d'hypothtiques serveurs externes (sur INTERNET). Le port 138 est utilis pour l'change de donnes vers un ou plusieurs noms NetBios regroups sous une liste d'adresses IP ou dans une liste de diffusion.

20.3.2. Les ports en entre (Wan -> Lan)


Port TCP 0 20 21 23 Port de donnes FTP Port de contrle FTP Telnet Service Description utilis pour la dtection de site, doit tre ouvert sur toute la plage d'entre Transfert de fichiers des sites

25 53 80 110 443

SMTP Domain Name Server (DNS) World Wild Web POP3 (Post Office Protocol)

Courrier sortant navigation sur Internet Courier entrant Navigation sur certains sites scuriss

8080

Proxy de skynet

le port peut varie d'un fournisseur l'autre, doit tre ouvert sur toute la plage d'adresse 0 255.255.255.255 utilis dans certaines applications de connexion distance Ncessaire pour dtecter si l'adress IP correspond une adresse valide, gnralement ferm. Ce port est utilis identiquement en UDP et IP. Il doit normalement tre ferm en entre sur le rseau interne. utilis par les news

22

SSH remote login protocole

53

Domain Name Server (DNS)

70 119 143 220 1863 7000-7099 68 137 138 139 445

Gopher protocol protocole de courrier scuris IMAP 3 protocole de courrier scuris IMAP 4 MSN Messenger logiciel bancaire ISABEL DHCP Netbios Name Service NetBios NetBios Netbios Envoyer et recevoir les messages suivant une adresse TCP/IP locale de dpart et une adresse finale (le site). Utilis pour une configuration automatique des adresses IP Permet le partage de fichiers et d'imprimantes et donc d'utiliser ce partage via INTERNET Fonctionnalit supplmentaire implante partir de Windows 2000 (pas millenium)

Le port 68 est ici ferm.

20.4. Ports UDP


En sortie, tous les portspeuvent tre ferms.

Port UDP entre 0 53

Service

Description Utilis pour la dtection des sites lors de la navigation Utilis pour une configuration automatique des adresses IP, normalement fermer pour INTERNET, pas l'intrieur du rseau

68

DHCP

Je vous renvoie aux sites spcialiss pour la signification des autres ports IP et UDP