Académique Documents
Professionnel Documents
Culture Documents
Rapport Cisco
Project Labos
Sommaire
PRESENTATION..P3
FIREWALLP4
IPSP8
VPN P10
ACLP16
AAAP18
VLAN..P20
IPV6P23
CONCLUSION..P40
Partie Technique
FIREWALL..P25
IPS .P26
ACLP28
AAAP30
VLAN..P32
IPV6P38
PRESENTATION :
Aujourdhui, internet est la plus grande source dinformation au monde. En effet,
toute grande entreprise ayant un accs internet, est en possession dinformations
prives, peuvent tre victimes de Cyber Attaques.
En gnrale, le but des attaques sur un rseau informatique est dinterrompre le
fonctionnement de celui-ci, dintercepter les informations importantes, mais aussi
modifier lintgrit des informations.
Afin dviter les risques dattaques, il faut garantir une scurit du rseau
informatique de lentreprise et le rendre moins vulnrable.
De nos jours, on ne peut plus seulement se contenter de vrifier lidentit des
personnes voulant se connecter au rseau de lentreprise, il faut galement vrifier que
la machine est saine, et pour cela, des solutions efficaces ont tmises en place par
Cisco afin de garantir la scurit des rseaux informatiques des entreprises.
La scurit du rseau va au-del dune simple audit de vulnrabilit des machines
connect au rseau afin de dtecter les intrusions. Cest un moyen dappliquer des
politiques de scurittous les quipements sans impacter leur productivit.
Une solution efficace doit comprendre ces critres de base:
-
Il existe une multitude de solution Cisco remplissant ces critres, ces solutions
peuvent tre soit matriels, soit logiciels. Elles ne seront pas toutes tudies cependant
une solution matrielle qui est le serveur de scuritde la gamme Cisco ASA 5500
comportant trois Solutions logicielles qui sont le Firewall, lIPS, le VPN SSL ou alors
le filtrage de contenu(Anti-X). A travers cette tude, nous verrons comment les
serveurs de scuritde la gamme Cisco ASA offrent plus de puissances et de services
de scurit nouvelle gnration pour La scurit des applications web.
I-
FIREWALL
La scurit est une notion qui est au cur de lentreprise. Elle est pourtant
expose des risques dattaques car elle est en possession de postes
informatiques qui permet la communication entre lentreprise et le reste
du monde. Dans une entreprise, les employs doivent pouvoir schanger
des informations et fournir un travail dquipe, mais cet change
dinformation reprsente un risque pour lentreprise et peut-tre un frein
si le rseau informatique est endommag cause des attaques.
Pour garantir une scuritcontre ses attaques, Cisco a pris en compte un
composant essentiel qui est la base du rseau, le firewall.
VPN
10
1- VNP SSL :
Le VPN SSL est une technologie rcente fournissant les mmes services
que lIPSec, avec plus de flexibilit. Il offre une capacit daccs
distance en utilisant la fonction SSL qui est dj construite dans les
navigateurs web modernes pour tablir une connexion VPN distance,
permettant ainsi un gain de productivit.
Lavantage du VPN SSL est quil offre une scurit entre le rseau
interne et les utilisateurs distants car il a la possibilit dutiliser deux
protocoles le SSL et le TLS ces fonction existe dans tout les navigateurs
modernes, contrairement l'accs distance de scurittechnologie VPN
traditionnel de IPSec (IP), ce qui ncessite l'installation d'un logiciel
client IPSec sur un ordinateur client avant que la connexion ne peut tre
tablie, les utilisateurs n'ont gnralement pas besoin d'installer un
logiciel client pour utiliser SSL VPN. En consquence, SSL VPN est
galement connu comme "sans client VPN" ou "Web VPN .
11
Un avantage SSL VPN pour les utilisateurs finaux est dans le domaine de
la scuritde la connexion sortante. Dans la plupart des environnements,
sortant HTTP (HTTPS) Scurisation du trafic, qui est galement bassur
SSL, n'est pas bloqu. Cela signifie que mme si un environnement local
particulier ne permet pas de sessions VPN IPSec sortants (telle restriction
n'est pas rare), SSL VPN est probable sans cette restriction.
Les risques de scurit du VPN SSL sont surtout lier au fait quil ya
beaucoup dordinateurs distant qui peuvent accds au rseau de
lentreprise grce a des machine publiques. En effet, ces machines
peuvent tre en absence de logiciel de scuritcomme les logiciel antivirus par exemple. Une personne peu partir en laissant une session
ouverte ce qui rend facilite la connexion sur le rseau de lentreprise puis
de procder a une attaque via un Cheval de Troie par exemple, qui a pour
but de sattaquer aux ressources internes. Les machines publiques
peuvent tre vulnrable au enregistreur de frappe si elles ne sont pas dans
les normes de scurit de votre organisation. Cela facilit la rcolte
dinformation des hackers qui souhaite attaquer un organisme.
Avant dimplmenter un VPN SSL une analyse dtailler des mesures de
scurit doit tre fait, afin dattnuer les risques et de savoir quel
approche est la plus appropri pour lentreprise.
Apres le dploiement SSL, lutilisateur doit se conformer aux politiques
de scurit daccs distance grce a une authentification forte est une
priorit absolue. En gnral, on commence par la mise en uvre des
techniques d'authentification. En outre, votre organisation doit galement
indiquer clairement quels types d'exigences de scuritd'accueil doivent
tre respectes (par exemple, pare-feu personnel, antivirus, correctifs ou
patches de scurit).
La vrification de lIdentit de lhte permet aprs une connexion de
lutilisateur via le TPM (Trusted Platform Module) dtre authentifi. On
peut faire confiance a lutilisateur aprs sont authentification cependant il
est prudent de savoir qui sest connect et do car un ordinateur
dentreprise peut avoir les politiques de scurits adquat pour accder au
rseau contrairement au ordinateur externe a lentreprise. De ce fait le
VPN SSL vous offre la possibilit de savoir lidentit de lhte distant en
12
13
2- VPN IPsec :
LIPSec permet davoir un accs au rseau local dun autre site travers
une protection et une authentification des paquets circulant sur le rseau.
La mise en uvre de IPSec ce fait sur les routeurs Cisco pour leur offre
les fonctionnalits suivantes :
- La confidentialitdes donnes : lexpditeur IPSec peut crypter les
paquets avant de les transmettre sur le rseau publique.
- Lintgrit des donnes : le rcepteur IPSec authentifie les paquets
envoyer par lexpditeur IPSec pour sassurer que les donnes
nont pas t altres lors de leur transmission.
- Lorigine des donnes dauthentification : le rcepteur IPsec peut
authentifier la source du paquet IPsec transmis. Ce service dpend
du service de lintgrit des donnes.
- LAntireplay : le rcepteur IPsec peut dtecter et rejeter les paquets
renvoyer.
IPSec est un ensemble de normes ouvertes qui assure la confidentialit
des donnes, l'intgritdes donnes et l'authentification de donnes entre
pairs participant la couche IP. LIPSec peut tre utilis pour protger un
14
rejeux (optionnel)
d'autre part en constante volution car il est soutenu par une grande
population technique et scientifique. Cependant, il est bon de savoir par
exemple qu'IPSec ne permet pas d'authentifier les personnes et ne peut
donc pas servir scuriser des transactions. De ce point de vue, ce n'est
pas un concurrent de SSL.
Adresse source
Adresse destination
Protocole utilis
Numro de port
eq : gal
neq : diffrent
gt : plus grand que
lt : moins grand que
Le numro de l'acl standard est compris entre 100 et 199 ou entre 2000 et
2699.
Il est possible de nommer les acls. Dans ce cas, on prcisera dans la
commande si ce sont des acls standards ou tendues.
Notion de maque gnrique (wildcard mask)
Les acls utilisent un masque permettant de selectionner des plages
d'adresses.
Fonctionnement:
En binaire, seuls les bits de l'adresse qui correspondent au bit 0 du
masque sont vrifis.
Par exemple, avec 172.16.2.0 0.0.255.255, la partie vrifie par le routeur
sera 172.16
Sur le couple suivant: 0.0.0.0 0.0.0.0, toutes les adresses sont concernes
(any). Sur ce couple: 192.168.2.3 255.255.255.255, on vrifie uniquement
l'hote ayant l'IP 192.168.2.3 (host)
17
Prsentation AAA
Le contrle d'accs est le moyen de contrler qui est autorisaccder au
serveur de rseau et les services qu'ils sont autoriss utiliser une fois
qu'ils ont accs. Authentification, autorisation et comptabilitdes services
de scuritde rseau (AAA) constituent le cadre principal travers lequel
vous pouvez dfinir le contrle d'accs sur votre routeur ou un serveur
d'accs.
A propos des services de scuritAAA
AAA est un cadre architectural pour la configuration d'un ensemble de
trois fonctions de scuritindpendantes d'une manire cohrente. AAA
fournit une faon modulaire de fournir les services suivants:
volutivit
Mthodes d'authentification standardiss, tels que RADIUS,
TACACS +, et Kerberos
Les systmes de sauvegarde multiples
21
22
IPV6
IPv6 a tcrpour palier aux limitations de l'IPv4 actuellement utilis:
nombre d'adresses augment(on passe d'adresses sur 32 bits 128
bits) qui permettent d'viter le NAT (il y a suffisamment
d'adresses IPv6 pour chaque priphrique)
mobilitamliore (mobile IP RFC-compliant)
adressage hirarchique
apporte
des fonction d'autoconfiguration (~ plug and
play) ; standart stateless autoconfiguration ~ DHCP : un PC qui
boot sur un rseau envoie un RS (Router Sollicitation) ; ce dernier
lui rpond par un RA (Router Advertisement) qui contient le
prfixe du rseau ainsi que la dure de vie de ce prfixe.
headers simplifis avec systme d'extension (moins de champs : 5
en IPv6 contre 12 en IPv4) (par contre header 2x suprieur : 40
octets contre 20 en IPv4)
supprime le broadcast
IPsec mandatory (natif)
une interface rseau IPv6 possde plusieurs adresses, au moins :
une loopback (::1/128)
une adresse locale (FE80::)
Diffrents moyens de compatibilitIPv4 et IPv6 :
dual tack
tunnels 6to4 (prfix rserv= 2002:) encapsule le paquet IPv6 dans
un paquet IPv4 de protocole type = 41
translation d'adresse
Les adresses sur 128 bits s'crivent en 8 champs de 16 bits, en criture
hexadcimale :
unicast
global
23
lien local (FE80::/10, porte limite = IP non routable), autoattribue en fonction de l'@ MAC de l'interface, ce qui permet
de dcouvrir le routeur, les voisins, etc
multicast (FF00::/8 FFFF::/8)
anycast : one-to-the-nearest, destinataire au plus prs (ex : pour
un AS multi-homed) : adresse unicast globale attribue plusieurs
interfaces
Dcomposition d'une adresse : de gauche droite (des bits de poids fort
ceux de poids faible) :
/23 : registry
/32 : ISP prefix
/48 : site prefix
/64 : subnet prefix
le reste : interface ID
24
PARTIE Technique
Firewall
Les paquets ne sont inspects par le firewall que s'ils ne sont pas
explicitement bloqus dans l'ACL de l'interface.
ip inspect name FW tcp
!
interface fa0/0
ip access-groupe 101 in
ip inspect FW in
Pour activer les alertes en temps rel avec un syslog :
logging on
logging host 10.0.0.111
ip inspect audit-trail
no ip inspect alert-off
Inspection avance pour certains protocoles :
ip inspect name FW smtp alert on audit-trail on timeout 300
ip inspect name FW ftp alert on audit-trail on timeout 300
Le paramtre timeout indique le temps de vie d'une session idle (san
trafic) avant d'tre supprime.
La SDM dispose d'un assistant simplifiant la configuration du firewall.
Vrifs :
show ip inspect session
debug ip inspect [..]
25
IPS
Create an IOS IPS configuration
R1#mkdir ipsdir
R1(config)#ip ips config location ipsdir
Create an IPS rule.
R1(config)#ip ips name iosips
Enable logging.
R1(config)#service timestamps log datetime msec
R1(config)#logging on
R1(config)#logging 192.168.1.50
R1(config)#ip ips notify log
Configure IOS IPS to use the signature categories.
R1(config)#ip ips signature-category
R1(config-ips-category)#category all
R1(config-ips-category-action)#retired true
R1(config-ips-category)#category ios_ips basic
R1(config-ips-category-action)#retired false
Apply the IPS rule to an interface.
R1(config)#int fa0/0
R1(config-if)#ip ips iosips out
R1(config-sigdef)#signature 2004 0
R1(config-sigdef-sig)#status
R1(config-sigdef-sig-status)#retired false
R1(config-sigdef-sig-status)#enabled true
R1(config-sigdef-sig-status)#exit
R1(config-sigdef-sig)#engine
R1(config-sigdef-sig-engine)#event-action produce-alert
27
ACL
Cration d'une entre d'une access-list
Dans l'exemple:
29
AAA
Mise en place :
aaa new-model
radius-server host 10.0.0.111
radius-server key <secretkey>
TACACS+
Le TACACS+ ressemble au RADIUS ceci prs qu'il est propritaire
Cisco et utilise tcp/49. Lui aussi associe chaque compte zro ou
plusieurs AV. On peut s'en servir pour identifier un utilisateur et
appliquer un profil rseau (ses VLAN/ACL/adresse IP/droits persos).
TACACS+ permet :
de chiffrer tout le contenu des transactions
Mise en place :
aaa new-model
tacacs-server host 10.0.0.111
tacacs-server key <secretkey>
aaa authentication
Crer une mthode d'authentification par dfaut :
aaa authentication login default group tacacs+ local
Elle utilisera en premier lieu le serveur TACACS+ ; si ce dernier ne
rpond pas on essaie dans la base locale. S'il renvoie une erreur
d'authentification le routeur ne recherche pas dans la base locale. On peut
lister jusqu'4 mthodes parmi celles-ci :enable, group, krb5, line, local,
local-case, none.
Pour crer un groupe, applicable sur une ou plusieurs interfaces, on
remplace default par un nom :
aaa authentication login ma_liste group tacacs+ local
Puis on l'applique sur une ou des interfaces :
30
line vty 0 4
login authentication ma_liste
aaa authorization
Pour dfinir les droits associs un compte.
aaa authorization exec default group radius local none
aaa accounting
L'accounting permet d'auditer et de facturer un compte utilisateur.
aaa accouting exec default start-stop group tacacs+
Cette commande permet de logger chaque dbut et fin de processus lanc
par n'importe quel profil (default) du groupe tacacs+.
Vrifs
debug aaa authentication
debug aaa authorization
debug aaa accounting
31
Vlan
Ajout de vlan
Cration du vlan 2 puis des vlans 3 5
2960-RG(config)#vlan 2
2960-RG(config-vlan)#name administration
2960-RG(config-vlan)#ex
2960-RG(config)#vlan 3,4,5
2960-RG(config-vlan)#ex
2960-RG(config)#
Suppression d'un vlan
2960-RG(config)#no vlan 2
Affichage des vlans ainsi que des affectations de port
2960-RG#show vlan
VLAN Name Status Ports
---- -------------------------------- --------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Gi0/1
2 administration active
3 VLAN0003 active
4 VLAN0004 active Fa0/5, Fa0/6, Fa0/7, Fa0/8
5 VLAN0005 active
10 VLAN0010 active Fa0/1
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
32
33
34
35
Feature VLAN:
VTP Operating Mode : Transparent
36
IPv6
37
Router(config)#ipv6 unicast-routing
Assigner une addresse IPv6 globale unicast l'interface se0/1 :
Router(config-if)#ipv6 address 2001:0410:0002:10::/64 eui-64
eui-64 indique l'autocompltion par le routeur : on ne lui fournit que le
masque rseau (les 64 premiers bits de l'addresse) et il calcule son IP par
rapport son adresse MAC.
On crer l'interface loopback 2 et on lui assigne une adresse globale
unicast :
Router(config-if)#ipv6 address 2001:410:2:3::/64 eui-64
Router#sh ipv6 int | include line protocol
Serial0/1 is up, line protocol is up
Loopback2 is up, line protocol is up
Protocoles de routage
RIPng (RFC 2080)
OSPFv3 (RFC 2740)
IS-IS for IPv6
MP-BGP4 (RFC 2545/2858)
EIGRP for IPv6
Pour activer le routage IPv6 :
ipv6 unicast-routing
RIPng
Mise en place du RIP New Generation (RIPv6)
On active RIPng avec le label (process name) cisco.
Router(config)#ipv6 router rip cisco
Et sur chaque interface qui doit participer au routage cisco :
Router(config)#int se0/1
Router(config-if)#ipv6 rip cisco enable
38
Router(config)#int loopback 2
Router(config-if)#ipv6 rip cisco enable
39
CONCLUSION :
40