Académique Documents
Professionnel Documents
Culture Documents
VincentREMAZEILLES
Rsum
Ce livre sur la scurit des rseaux avec CISCO sadresse aux administrateurs rseaux dsireux damliorer la scurit de leur domaine et
aussi aux tudiants dj familiers de la gamme du constructeur.
Des clbres Access-lists aux dernires innovations en matire danalyse protocolaire et de VPN SSL, en passant par la scurit des rseaux
sans fil, ce livre propose un tour dhorizon de ce quil est possible dentreprendre pour protger efficacement son rseau en exploitant au mieux
les possibilits offertes par les quipements couramment utiliss par les entreprises.
Le thme de la scurit est dans un premier temps abord en oprant une correspondance avec les couches du modle OSI avant dtre
examin dans le dtail avec les configurations propres aux points daccs Wi-Fi, aux routeurs, aux commutateurs Ethernet et aux pare-feux.
Les problmatiques de scurit autour de la tlphonie sur IP font quant elles lobjet dun chapitre dans lequel sont galement dveloppes les
mesures permettant de prserver la confidentialit des communications grce la cryptographie.
Le livre se veut didactique et prsente les rflexions pralables la construction dune infrastructure scurise ainsi que les configurations des
quipements, illustres avec les innombrables possibilits de la ligne de commande Cisco.
L'auteur
Vincent Remazeilles est Ingnieur Rseau et Scurit, titulaire d'un DESS Scurit des SI. Il effectue diffrentes missions en tant que
consultant Senior dans le domaine de la scurit auprs de grands comptes industriels. A travers ce livre, le lecteur bnficie de toute son
expertise et exprience dans le domaine de la scurit et des quipements Cisco
Ce livre numrique a t conu et est diffus dans le respect des droits dauteur. Toutes les marques cites ont t dposes par leur diteur respectif. La loi du 11 Mars
1957 nautorisant aux termes des alinas 2 et 3 de larticle 41, dune part, que les copies ou reproductions strictement rserves lusage priv du copiste et non destines
une utilisation collective, et, dautre part, que les analyses et les courtes citations dans un but dexemple et dillustration, toute reprsentation ou reproduction intgrale,
ou partielle, faite sans le consentement de lauteur ou de ses ayants droit ou ayant cause, est illicite (alina 1er de larticle 40). Cette reprsentation ou reproduction, par
quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les articles 425 et suivants du Code Pnal. Copyright Editions ENI
NousaborderonslascuritdesrseauxdedonnesennousrfrantauxcouchesdumodleOSI.Cetteapprochea
lavantagedefaciliterlacomprhensiondesdiversestechniquesmisesen uvreetaidegrandementlorsquilsagitde
sepencherauchevetdunrseauenpanne.
Lesextraitsdeconfigurationetlesexemplesquiillustrentleschapitresdecelivresontengrandepartieissusdela
ligne de commande (CLI (Command Line Interface)), ce choix est motiv par une grande rgularit de celleci
contrairementauxinterfacesgraphiquesquisontenperptuellevolution.
Audel des couches du modle OSI, nous avons fait le choix de mettre en avant les parefeu et la scurit de la
tlphoniesurIPenleurconsacrantdeuxchapitres.
Le chapitre "La protection des quipements" introduit labsolue ncessit de porter une grande attention la
protection des quipements qui constituent lossature du rseau. Sans une protection adquate des quipements
ceuxci sont exposs aux attaques mais aussi aux erreurs de manipulation. La protection des journaux est aussi
voque.
Lechapitre"ScuritdelatlphoniesurIP"estconsacrlascuritdelatlphoniesurIPquifaitpartiedenotre
quotidienprofessionneletpersonnel.Nousconstateronsquecettetechnologieentantquapplicationenrseauhrite
des problmes de scurit de toutes les couches du modle OSI. La tlphonie sur IP pour la protection des
conversationsetdelasignalisationfaitlargementappellacryptographie.Lesfonctionsdefiltragesurlasignalisation
permettentdentraverlestentativesdefraudes.
Le chapitre "Firewalls" est entirement consacr aux parefeu et tout particulirement au modle phare de Cisco, le
modleASA.CechapitrecomportedesdescriptionsdesfonctionstellesqueleslistesdescuritsouACL,lacration
deszonesdmilitarises(ouDMZ)etlaTraductiondAdressesRseau.UnepartieestconsacrelatlphoniesurIP
ainsiquauxVPNSSLquiconstituentunmoyendaccsscurispourlesutilisateursnomades.
Une politique de scurit est un document dans lequel se trouvent (sil est bien labor) toutes les rponses aux
questions quun ingnieur en charge dune tude se pose lorsquil aborde le volet scurit dun projet informatique
dontlarussitedpendentreautresdelapriseencomptedsledbutdescontraintesdescurit.(Nousparlons
aussi dexigences). Une politique de scurit est donc un document confidentiel (largement diffus toutefois) qui en
faisantabstractiondescontingencesmatriellesettechniquesfournitunecollectiondedirectivesdescuritclasses
parthmes.Lamiseenpratiquedelapolitiquedescuritestlapplicationdesdirectivesauxthmescouvertsparle
projet.
Lathmatiquerseaudanslapolitiquedescuritenglobelesrecommandationspourlexploitationdesliensrseaux
etdesquipements.Lesdomainesabordsvoluentaveclesintrtsconomiquesdelentrepriseetconcernententre
autres:
lagestiondesaccsaurseauetauxressources(enrelationaveclagestiondesidentitsetdesdroits)
lacryptographie
lascuritdesquipementsetdesconfigurations
lascuritdessystmesterminaux.
Cependant,ilseraitillusoireetcoteuxdevouloirtoutprixprotgerlentiretduneinfrastructureinformatiquela
manire dun Fort Knox. Cest pourquoi, la politique de scurit sapplique des degrs divers aux rseaux et aux
quipementsenfonctionduniveaudeconfidentialitentrelespopulationsetlesressources.
La conception de la politique de scurit dbute donc avec une classification du niveau de confidentialit des
ressourcesetdhabilitationdespopulations.Enfonctiondecetteclassification,desrglessontmisesetcritesdans
ledocument.Cetravailestfastidieuxmaisnerevtpasuncaractreobligatoire.Ilestenvisageabledetoutclassifier
unniveauuniqueetainsidesimplifierlapolitiquedescurit.
Leschmasuivantillustrecettenotion.
Considronsunexemplesimple :
Une population reoit une habilitation de niveau confidentiel. Un ensemble de documents est galement class
confidentiel.
Lapolitiquedescuritindique :
laduredutilisationdesdocumentsclasssdetypeconfidentielestenregistre
lesdocumentsclasssconfidentielsontuniquementaccessiblesenlectureseule
lesdocumentsclasssconfidentielsontconsultablesdistanceuniquementautraversduncanalchiffrsurles
rseauxdetypeLANouWAN.
Cet exemple illustre la relation entre une population, une ressource, un niveau de confidentialit et la politique de
scurit. Cette approche est primordiale dans la mesure o les rseaux dentreprise ne sont plus limits leurs
frontirestraditionnellesmaisstendent vers les rseaux de leurs partenaires tout en recevant les connexions des
employsendplacementetcourammentdsignscomme"nomades".
Ces rgles sont audessus de toute contingence technique. Une obligation de chiffrer les communications sur une
liaisonnindiquepasobligatoirementqueltypedechiffrementserautilisdanslamesureolestechniquesvoluent
en permanence. Malgr tout, il est envisageable de le prciser condition de veiller la mise jour priodique du
document.
Compltonslexempleprcdent:
...autraversduncanalchiffrsurlesrseauxdetypeLANouWAN.ChiffrementenAES256surlesquipementsdu
rseauavecauthentificationparcertificats.Ilestgalementpossible,encomplmentdecetteprcision,quelamiseen
uvre du chiffrement relve dune autre documentation dfinissant les standards en vigueur pour le dploiement.
Enfin,ladocumentationtechniqueprciselamaniredontleprotocoleestconfigursurlesquipementsdurseau.
La rdaction dune politique de scurit est un travail sur mesure dont le document final est applicable toutes les
ressourcesettouteslespopulationsdelentreprise.Cedocumentestobligatoirementvalidauplushautniveaude
lahirarchie.Ilestimportantdefairevoluerlapolitiquedescuritenfonctiondesliensquinemanquentpasdese
tisser avec les partenaires et les clients. Une politique qui nvolue pas perd tout son sens et devient peu peu
inapplicable.LalittratureanglosaxonnereprendlinfinileconceptdudocteurDEMING Plan,Do,Check,Act cequi
dansnotrelanguesetraduitparplanifier,faire,vrifier,corriger.Cecisappliquetoutfaitlapolitiquedescuritet
constitueunvritablecycledvolutionpermanente.
La rdaction de la politique de scurit nen est pas pour autant une affaire de spcialistes extrieurs. Dans
lentreprise,ilestrecommanddecrerungroupedetravailautourdelardactiondecedocument.
Une vulnrabilit est une faiblesse le plus souvent cache touchant une infrastructure informatique. Ce terme est
frquemmentassociauxlogicielsmaisilregroupeplusgnralementtoutefaiblessequellequensoitlanature.Une
erreurdeconfigurationdunquipementrseauconstitueunevulnrabilittoutcommeunmotdepassevideoutrivial.
Lexpressionfailledescuritestgalementemploye.Lesmoyensetlesmthodesvisantliminerlesvulnrabilits
sontfacilesmettreenpratiqueetrequirent :
deseteniraucourantdesvulnrabilitsauprsduconstructeur
dopreruneveilletechnologiquepartirdesitesInternetddislascuritinformatique
detestersurunenvironnementdevalidationlescorrectifspublis
detesteruneprocdurederetourenarrire
dinstallerlecorrectif
dobserverlecomportementdelinfrastructuredeproduction.
Un risque est la probabilit quun problme survienne lorsquune vulnrabilit est expose une population
malveillantequitenteradelexploiter.Ilexistedautresdfinitionsselonlanormelaquelleonserfre.Lobjectifde
lascuritinformatiqueestdediminuerlepluspossiblelerisquepartouslesmoyensdisponibles.
Exploiter une vulnrabilit revient utiliser cette faiblesse pour mettre mal le dispositif vis par lattaque.
Concrtement,unexploitestunpetitprogrammequiestlancendirectiondeladresserseaudusystmevis.Les
quipements et les architectures informatiques comportent parfois de multiples vulnrabilits qui ne sont jamais
rvles publiquement et ne sont donc jamais corriges, en revanche les individus qui les ont dcouvertes les
exploitentleurguisepourleurproprecompte.
Mettre jour un systme ou un quipement rseau consiste appliquer les correctifs publis par le constructeur et
faisantsuitelarvlationdunevulnrabilit.Enlamatire,laprudencesimpose et avec elle toutes les sries de
tests ncessaires afin de vrifier le bon fonctionnement de lensemble concern une fois que les correctifs ont t
appliqus. Quoi quil en soit, un suivi rgulier des publications, des correctifs et des retours dexprience sont
fortementrecommands.
Lapolitiquedescuritestlaboreenfonctiondunevariableconnuesouslenomdenvironnement.Lenvironnement
dansledomainedelascuritinformatiqueestladfinitiondeluniversdanslequelvolueunsystmedinformation.
Lenvironnement,dansledomainedelascurittablitunecartedesmenacespotentiellesquiplanentsurunsystme
dinformation. Il sagit au final de dterminer la porte de la politique de scurit en fonction des menaces dont
lentreprisesouhaiteseprmunir.Parexemple,uneentreprisedcidedinstaurerdesmesuresdeprotectioncontreles
menaceslespluscourantes(etdyconsacreruncertainbudget)maisdcidedenepastraiterlesmenacesmanant
dagences gouvernementales. La variable denvironnement est donc utilise pour rgler le degr de protection de la
politiquedescuritfaceunecatgoriedemenaces.
1.Laplanification(Plan...)
La planification commence avec la dcision dorganiser formellement la scurit. Elle consiste en un inventaire
exhaustifdesressourcesprotgeretlardactiondedirectivespourchaquedomaineconcern.lafindecette
phasedeplanification,lapolitiquedescuritserardigeparlegroupedetravailaveclassistanceventuelledun
consultantayantunevueextrieuresurlentrepriseetsonprojet.Unefoiscriteetrelue,elledoitabsolumenttre
valide par la plus haute autorit afin quaucune contestation ne soit possible quant son cadre dapplication.
Ltape suivante est sa publication sous la forme dun document confidentiel mais facilement accessible. Sa
publication va de pair avec une large diffusion auprs des quipes en charge des projets et de lexploitation de
linfrastructure informatique. Il est primordial dinclure les contraintes de scurit ds les premires phases qui
jalonnentledroulementdunprojetafindenepasrisquerdelinterrompresilvenaitprendreunevoiecontraire
lapolitiquedescuritenvigueur.
Lapolitiquedescuritestdclineendomainesfonctionnelsquireprsententlemodledusystmedinformation
delentreprise.Sonorganisationprendlaformedechapitresauseindesquelsfigurentlespointsrespecter.Citons
parexemple,lechapitresurlascuritdessystmesdexploitation,lascuritdesbasesdedonnesetlascurit
des communications qui nous intresse au premier chef. Les divers intervenants lors de la phase de planification
devronttoujoursavoirlespritqueleurtexteserviradebaseauxtravauxdescurisationquinemanquerontpasde
sesuccder.Ainsilaclartetlaprcisiondespropossontdemiselorsdellaborationdelapolitiquedescurit.
2.Lamiseenuvre(Do...)
La mise en uvre de la politique de scurit correspond point pour point ce que nous venons de dcrire
prcdemment.Ladhsiondetousaurespectdesrglesdcritesestlefondementdunebonnepriseencomptede
lascurit.
Lapolitiquedescuritestprincipalementmiseen uvrelorsdespremiresphasesdeprogressiondunprojetquel
quilsoit.Celivresecantonnelascuritdesrseaux,maislechampdapplicationdelapolitiquedescuritest
vaste. La politique de scurit est une rfrence qui doit tre introduite dans chaque activit en relation avec le
systmedinformation. titre dexemple, un projet partant dune feuille blanche ou visant modifier une partie de
larchitecturedoitimprativementserfrerlapolitiquedescurit.Ainsi,lesspcificationstechniquesreprennent
touteslesrfrencesutilesdelapolitiquedescuritafindelesintgrernaturellement.Lexpriencemontrequela
scuritsiellenestpaspriseencomptedslesprmicesdunprojetpeineparlasuitesyintgrer.Cestlaraison
pourlaquelleladiffusiondelapolitiquedescuritdoitviserunlargepublicetilestbonquechaqueresponsablede
secteur(basededonnes,dveloppement,rseaux)matriselapartiequileconcerne.
3.Lesuivi(Check...)
Le suivi de la politique de scurit consiste sassurer que les contraintes imposes par le texte sont prises en
compte par les quipes en charge des projets et celles en charge de lexploitation. Cela implique une prsence
systmatique dun reprsentant ou responsable de la scurit aux runions de suivi et un contrle des processus
dexploitation en vigueur. Les menaces et les techniques voluent perptuellement et une politique de scurit en
aucun cas ne saurait rester fige. Le risque tant quelle ne soit tout simplement plus applique. Cette approche
concernedonclesuividelapplicationdelapolitiquedescurit
Lvolution de la politique est donc prise en compte ds sa dfinition par llaboration dune mthode de rvision
accompagnedunfacteurtemps.Silentreprisesurveillelvolutiondesmatrielsetdestechnologiesquellemeten
uvre, le suivi du processus de mise jour de la politique de scurit en sera grandement facilit. Toutefois, les
menacesetlestechniquesdeprotectionenperptuellevolutioncommandentdetempsautreunevolutiondela
politiquedescuritavantladatedervisionplanifie.Cecidoitmalgrtoutresterexceptionnelcarlapolitiquede
scuritdeparsonmodedlaborationbalayeunlargepaneldemesures.
4.Agir(Act...)
Lorsquelebesoinsenfaitsentiroulorsqueladateplanifiedervisionapproche,ilsagitaprsanalyseetreflexion
demodifierlapolitiquedescuritdanslebutdeladapterauxmenacesquipsentsurlesservicesquellecouvreou
surdenouveauxservices.
Pourchacunedecestapesnousposerons,pralablementtoutdveloppement,unelistedexigencesdescuritau
regarddelaquellenoustrouveronslessolutionscorrespondantes.Cetteapproche,dslesprmicesdunprojetapour
avantagedefaciliterlexpressionordonnedesbesoinsoulardactiondunappeldoffrecohrent.Enrglegnrale,
lesexigencessontclassespargrandsthmesgnriquesquisontdclinsparlasuiteenexigencesunitaireselles
mmesaccompagnesdunebrvedescriptionetparfoisderfrencesdautresexigences.Cetteclassificationestun
fondementdelapolitiquedescurit.Leschmareprsenteunevueclatedunextraitdesexigencesdescurit
rseau.Chaqueflchedveloppeunsousdomainejusqudvoilerlexigencequistipulelutilisationdunprotocolede
chiffrement.Ilestnoterquaucunproduit(aucunemarque)nesticicit.
Les exigences de scurit ont pour objectif dans les chapitres qui suivent lintroduction des solutions techniques qui
sontproposesparCisco.cetitre,ellesrestentpositionnesunniveaulevquelonpourraitqualifierdegnral,
chacuntantlibreparlasuitedelesdclinerenfonctiondesesproprescontraintes.
1.Lecasduconnecteurmural
Ilsagitdelaccslepluslargementdisponible.Ilfutintroduitaveclavnementdesordinateursindividuelsconnects
enrseauaudbutdesannes90.
LaccsaurseauparconnecteurmuraldetypeRJ45(Ethernet)esttoujourslargementrpandu.Lacarterseaude
lordinateurestrelieparuncordonuneprisemurale.Decetteprisepart(danslesol,lefauxplafond,oulemur)un
cble en cuivre paires torsades qui aboutit sur un panneau de raccordement. Ce panneau (baie de brassage)
regroupelesarrivesquicorrespondentauxbureauxdunouplusieurstages.Enfin,lesconnecteursdecepanneau
sontrelisnombrepournombreauxportsdelquipementrseaudontlaconfigurationnousintresse.
2.Lecasdupointdaccssansfil(AccessPointWiFi)
Les accs aux rseaux sans fil se sont considrablement dmocratiss depuis les annes 2000. Lintrt principal
rside dans la possibilit pour un utilisateur de se dplacer librement tout en restant connect au rseau. Ainsi
depuis quelques annes, les accs sans fil soffrent tout un chacun dans divers lieux publics afin daccder au
rseauInternet.
Au sein des rseaux dentreprise, la technologie WiFi offre la possibilit avec une infrastructure unique de se
connecter tout le rseau local pour les personnels autoriss ou uniquement Internet pour les personnes
extrieures.
Linfrastructuresansfilsecomposeprincipalementdepointsdaccsalliantlatechnologieradiocelleplusclassique
delEthernetsurcble.Cettedernireconnexionrelielepointdaccsaurseautraditionnel.Dslintroductiondela
technologie WiFi, les points daccs au rseau ont embarqu des fonctions de scurit visant protger les
informationsetlesaccs.Lacryptographieestlargementutilisepouryparvenir.
3.Lespremiresmesuresdeprotection
Sans pour linstant aborder la configuration proprement dite dun quipement (mais nous y viendrons) quelques
mesuressimposentdellesmmespourcontribuerlamliorationdelascuritdurseau.
Nousavonsbrivementdcritlesmoyensprincipauxquidonnentaccsaurseau.Certainesprcautionsempchent
physiquementlesconnexionsetparmicellesci,laplussimplemettreen uvreconsisteintroduireunecoupure
sur le lien. Dans le cas dun rseau cbl, il suffit simplement de ne pas connecter la prise murale lquipement
rseau. Cette mthode fort simple nest que rarement utilise et nombreux sont les rseaux accessibles partir
dune prise murale partir des endroits les plus anodins. Une autre mthode consiste sur lquipement rseau
fermeradministrativement lesportsquinesontpasrelisunordinateur.Toutcecirequiertunebonneorganisation.
Dansuncascommedanslautre,lesoprateursdurseaucblentouretirentlecblagelademandeenfonction
des mouvements internes des employs. De mme, ils procdent lactivation ou la dsactivation des ports sur
lquipementderaccordement.
Lesaccssansfilsontparnatureplusdifficilesprotgercontrelestentativesphysiquesdeconnexionparlerseau
radio.Ilssontvulnrablesdesattaquessurlesportscblsquisont,rappelonsle,quasidirectementconnectsau
reste du rseau. Les ondes radios quant elles ne connaissent pas les frontires. Une approche de protection
consistepositionnerlespointsdaccssansfilauplusloindeszonespubliques.LeportEthernettantpoursapart
habillement protg afin dinterdire tout accs physique. Cette protection sapparente celle dun distributeur de
billetsdebanqueolcranestvisibleductaccessibleaupublic(lesantennesdanslecasdupointdaccs)alors
quelarservedebillets(leportEthernet)esthorsdatteinte.
Chaqueentreprisedanssonplandescuritestencourageisolerleszonespubliquesdeszonesprivesfaisant
partiedurseauditinterne.LeszonespubliquesmettentdispositiondesvisiteursunaccsInternetfaiblement
contrl grce une borne WiFi au rayonnement rduit. Le passage dune zone lautre ncessite une
authentification.Malgrtout,lesaccsInternetdetype invits (filaireouWiFi)peuventresterdisponiblesdans
deszonestellesquelessallesderunionsdanslesquellesdespersonnestrangreslentreprisesontautorises
pntrer.Danscederniercas,uneisolationlogiqueouphysiqueseramiseen uvreafindegarantirlasparation
Cestpartirdelacoucheliaisondedonnesquapparatlanotiondadresserseau.Cettecoucheestresponsablede
lacommunicationdentitsparlebiaisdunmdiacommun.Sesfonctionscomprennententreautreslagnrationdes
tramesetladtectionderreurs.ParmilesprotocolesdeniveaudeuxlesplusconnusnoustrouvonsEthernetetPPP.
Comme nous lavons dcrit lors du chapitre prcdent, une politique de scurit est indispensable pour assurer un
dveloppement et un suivi cohrent de la protection des donnes. Cette politique couvre les aspects affrents au
rseau de lentreprise. Il en va de mme lors dun projet rseau dont un volet abordera et prendra en compte la
scurit.Afindeslectionnerdanslecadredunappeldoffreplusieurscandidats,llaborationduncahierdescharges
prcis savre indispensable. Cest sur ce point quintervient lquipe ou le responsable charg de la scurit. Il doit
fournir ses exigences qui transcrites dans le cahier des charges, sont fournies aux quipementiers. Pour chaque
exigence, un degr de priorit est prcis. Enfin, en regard de chaque exigence, lquipementierrenseigneunecase
avecsescommentaires.Voiciunexempledansletableausuivantquenousavonsvolontairementsimplifi,librevous
deltendreenfonctiondevosexigences.
Exigencesdescuritdelquipementrseaupourlacouche2
Cetteprsentationstendraventuellementtouteslesfonctionnalitsdelquipement.Cestdecetypedetableau
que dcoule le cahier de test et dvaluation du matriel dans lequel les exigences obligatoires figureront avec le
rsultatdutestvisantenvrifierlebonfonctionnement.
1.Exigencesetrisquesdescuritpourlacoucheliaisondedonnes
Posons tout dabord nos exigences de scurit sous la forme dun tableau et mettonsles en regard des solutions
techniques que CISCO nous apporte. Nous partons du principe que toutes les exigences revtent un caractre
obligatoire.
Exigencesdescuritdelquipementrseaupourlacouche2
Exigences Technique
LimiterlesadressesMacparport. portsecurity
Authentifierlaccsaurseau. 802.1x
LimiterleschangesdansunVLAN. privateVLAN
InterdirelechangementdeVLAN. Configuration
Prserverlintgritdunecommunication. Stickyarp,dynamicarpinspection,
ProtgerlesattaquesdanslesVLAN. dynamicarpinspection
EmpcherlinstallationdeserveursDHCPnon DHCPSnooping
autoriss.
lesattaquespar macflooding
lechangementdeVLANou VLANhopping
lesattaques ManInTheMiddle
lesattaquesauseindunVLAN
lesinterruptionsdeservices(parfoisinvolontaires)parintroductiondunserveurDHCPnonofficiel.
2.Descriptionsdesattaquesetprvention
Nousallonsnousattacherpourchaquetypedattaquedonnerunexemplequicorrespondelaralitdunrseau
de production en y associant les risques potentiels. Notons que cette notion de risque peut servir de base la
dfinitiondesexigencesdescurit.
a.Lesattaquesparmacflooding
Un commutateur Ethernet est communment dsign par lappellation de switch. Si un concentrateur Ethernet ou
hubestunquipementsansintelligence(parfoiscomparunemultiprise)leswitchquantluipossdeunetable
CAM (Content Addressable Memory) dans laquelle sont inscrits des couples port adresse MAC. Les ponts
possdaient dj une table de ce type mais en revanche navaient quun nombre de ports trs limits. Voici un
aperudelattaquemacflooding.
Flooding signifie peu de choses prs inondation. Cette attaque bien connue consiste saturer la table CAM du
switchenluienvoyantplusieursmilliersdentres.Leswitch,pourlescouplesquilneconnaitpasrecopieleurtrafic
sur tous ses ports au lieu de ne lenvoyer quaux ports concerns. La description de cette attaque est largement
documente.Toutefois,bienquellesoitsimplemenergrceunpetitoutilnommmacof,leswitchsousattaque
voitsesperformancessedgraderconsidrablementaupointquelesordinateursconnectsontleplusgrandmal
placerleurstramessurlerseau.NousavonsreproduitcetteattaquesurunswitchdumodleCisco2950.Aprs
avoir satur la table CAM avec laide de loutil macof (et avoir arrt ce dernier) nous avons russi capturer du
trafic unicast au sein dun VLAN, cestdire le trafic direct entre deux machines. Cette capture est possible si les
deuxmachinesnesontpasconnuesduswitchaumomentdelasaturation.
VoiciunecapturedcranmontrantmacofenvoyantdestramesdontladresseMACestgnrealatoirement.
Au bout de quelques secondes, la table CAM du switch est sature comme lindique ici le total des adresses MAC
disponible.
Le switch diffuse sur tous les ports le trafic (un ping) entre deux stations dont il dcouvre les adresses MAC ne
sachantpasoellessontphysiquementlocalises.
Lacommandeportsecurity
Afin de contrer une telle attaque, Cisco propose une commande switchport port-security dont les options
permettent :
delimiterlenombredadressesMACassociesunportduswitch
deragirencasdedpassementdecenombre
defixeruneadresseMACsurunport
deneretenirquelapremireadresseMACquiseprsente.
Configurationetvrification
Dcrivonslesquatretapesncessaireslaconfigurationdecesfonctions :
Lafonctionport-securityestdansunpremiertempsactiveglobalementauniveaudelinterface :
Puis,ilfautrenseignerlemodedapprentissagedesadressesMACquiserontassociesauport.cestade,
ladresseestentremanuellementoubienappriseparleswitchparlebiaisdeloptionsticky.
ou,
Il faut par la suite indiquer au switch le nombre maximal dadresses quil tolrera sur le port (2 dans la
commandecidessous).
Ilfautfinalementindiquerauswitchlafaondontilragiraencasdedpassementdunombredadresses
MACautoris.Troismodessontdisponibles :
rejetdesadressesendpassementavecnotification,moderestrict
fermetureduport,modeshutdown(modepardfaut).
Voici,quelquesconfigurationscompltesduneinterface :
interface FastEthernet0/2
switchport access vlan 2
switchport mode access
switchport port-security
switchport port-security maximum 3
switchport port-security violation restrict
spanning-tree portfast
interface FastEthernet0/2
switchport access vlan 2
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address 0018.abcd.abcd
switchport port-security violation restrict
spanning-tree portfast
Danscettedernireconfiguration,surla6 m e ligne,nousobservonsladresseMACapprisedynamiquementgrce
lutilisationdelacommandesticky.
VrifionslecomportementduswitchlorsduneattaqueparsaturationdelatableCAM.Leswitchestconfigurpour
fermerleportencasdedpassementdelavaleurautorise.
Linterfaceestbelleetbienferme.Pourlaremettreenservicenousutilisonslasquencesuivante :
SW0(config-if)#shut down
SW0(config-if)#no shut down
DanslecasduntlphoneIPsurlequelsetrouveconnectunPC,troisadressesMACsontncessaires
aubonfonctionnementdelensemble.Lacommandeseradoncswitchport port-security maximum 3.
UneadresseMACappriseetinscritedanslaconfigurationcourante(optionsticky)nestpassauvegarde
encasdextinctionduswitch.
Respecterlasquenceshutpuisno shutafinderemettreenservicelinterface.
Lacommandeshutdownpermetdefermer"administrativement"unport.Celaquivautenquelquesorte
unedconnexionvirtuelleducblerseaucarcedernierrestephysiquementconnect.Lacommandeno
Commetoujours,lescommandesshowpermettentdevrifierlersultatduparamtrage.
LescommandeschezCiscopossdentpourlaplupartdentreellesuneformeabrge.Lacommandeshow
sersumeparlecondenssh.
SW0#sh port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation
Security Action
(Count) (Count) (Count)
------------------------------------------------------------------
-
Fa0/2 3 1 0
Protect
------------------------------------------------------------------
-
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
b.Lesaccsillicitesaurseauetleprotocole802.1X
La scurit dun rseau dbute sa porte dentre. Nous avons dcrit une mthode simple afin dempcher une
connexionaurseauquiconsistedconnecterlecblagedinfrastructure.Cettefaondeprocderesttoutefois
trs contraignante. Heureusement les switchs (et les routeurs) Cisco possdent une commande qui permet
ladministrateur de fermer distance un port daccs.Ilsagitdelacommande shutdown.Cettepratiquenestpas
adaptepourunrseaucomprenantplusieurscentainesouplusieursmilliersdutilisateurs.Uneautremthodeest
ncessairepourdchargerlesquipesdadministrationdunetchesirptitive.
Descriptionetfonctionnement
802.1x est un standard qui dfinit un mcanisme dauthentification pour laccs au rseau. 802.1x peut tre
comparauprotocolePPPlargementdiffuslpoque(passilointaine)olaccsInternetncessitaitlutilisation
dunmodem.LeprotocolePPPsappuyaitsurunmcanismeembarquchargdelauthentificationpourlequeldeux
sousprotocolestaientpropossauchoix :PAPetCHAP.Schmatiquement,nouspourrionscrire :accsInternet
=modem+PPP+(PAPouCHAP)+TCP/IP.
802.1X sil est utilis sur un quipement tel quun switch oblige lutilisateur connectant son ordinateur au rseau
(filaireousansfil)sauthentifieravantdentamertouteactivit.lissueduprocessusdauthentification(etencas
desuccs)leclientreoitunprofilrseau(TCP/IPetVLAN)ainsiquunassortimentderglesdescurit.
802.1X sappuie sur EAP (Extensible Authentication Protocol). EAP est un moyen de transporter un protocole
dauthentification. Cest pourquoi il existe autant dappellations autour dEAP que de protocoles dauthentification
embarqus.EAPtransportsurunlienEthernetestdnommEAPOLpourEAPOverLan.Citonstitredexemple :
LEAP(protocolepropritaireCisco)
EAPTLS(authentificationbasesurlchangedecertificats)
PEAP(quitransporteuneauthentificationMicrosoftCHAPVersion2)
EAPFAST(proposparCISCOpourremplacerLEAP).
Nousallonsdtaillerlefonctionnementde802.1XaveclutilisationdePEAPdanslecadreduneconnexionEthernet.
PEAPestpropossurlessystmesdexploitationMicrosoftXPetVista.
802.1Xfaitintervenir3entits :
leclient(ousupplicantenterminologieanglaise)esttypiquementunPC
leswitch(ouauthenticator)
Les messages EAP transportent les changes dauthentification entre le client et le serveur dauthentification. Le
switchnefaitquelesrelayer,toutefoisdepartetdautreduswitch,lesmessagesEAPnesontpastransportsde
lammefaon.
Entreleclientetleswitch,EAPestdirectementdanslachargeutiledestramesEthernet.
EntreleswitchetleserveurRADIUS,EAPesttransportdanslesmessagesRADIUS.
LeschangesEAPentreleclientetleserveurRADIUSpassentpardeuxphases :
UnesriedchangescomportantlidentitduclientetlesparamtresdemiseenplaceduntunnelTLS.
LtablissementdutunnelTLSdanslequeltransiteraleprotocoledauthentificationMSCHAPV2.
lissue de ces changes et si lauthentification est correcte, le serveur RADIUS ordonne au switch de connecter
pleinement le client au rseau. Pour terminer, le client et le switch reoivent ventuellement des paramtres en
provenance du serveur RADIUS comme un numro de VLAN, une adresse IP ou encore une liste de filtrage ACL
(AccessControlList).
Silauthentificationnaboutitpas,leclientvoitsademandedeconnexionrejete.Ilestventuellementdirigvers
unVLANdattentelaconnectivitlimite.Tantqueleclientnestpasauthentifi,seuleslestramesEAPtransitent
entreleclientetleswitchlexclusiondetoutautreprotocolesuprieurtelqueTCP/IP.
Variantededploiement
Nousutiliseronsunclient802.1XetlimplmentationduprotocoleRADIUSfournisparMicrosoft.CeserviceRADIUS
estgalementdisponibleavecunserveurACSdechezCiscoousurunserveurLinux(FreeRADIUS).Denombreuses
implmentationsdeRADIUSsontdisponiblesparailleurs.
Nous ne dcrirons pas dans le dtail linstallation des composants de la partie Microsoft. Nous prsenterons une
liste des fonctions activer. Linstallation dun serveur RADIUS afin dauthentifier des utilisateurs avec 802.1X
requiert :
uneinstallationfonctionnelledeMicrosoftWindows2000ou2003Serverentantquecontrleurdedomaine
ActiveDirectory(ycomprislesservicesDNS)
lacrationdesutilisateursavecautorisationdaccsdistant
leregroupementdesutilisateursdansdesgroupesglobauxquiserontutilissparlespolitiquesdaccs
leservicedecertificatsenayantprissoindegnreruncertificatautosignpourleserveur
leservicedauthentificationInternetquiseraenregistrdanslActiveDirectory.
Leswitchfournissantleservice802.1Xseradclarentantqueclient.
Uneouplusieurspolitiquesdaccsenfonction :
desadressesIPdespointsdaccs(NAS)
dugroupedutilisateurauthentifier
desattributsRADIUSdfinissantleVLANdanslequeldirigerlutilisateurunefoisauthentifi :
TunnelType[64]=VLAN
TunnelMediumType[65]=802
TunnelPrivateGroupId[81]=NomduVLAN
Surlespostesdetravail :
activation de lauthentification dans les proprits de la connexion rseau (pour Vista dpend du
serviceConfigurationautomatiquederseaucblquiestdsactivpardfaut)
paramtragedePEAP(enchoisissantounondevrifierlecertificatduserveurRADIUS).
Voiciprsentlaconfigurationduswitch2950 :
SW0#sh run
Building configuration...
!
aaa new-model
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
dot1x system-auth-control
dot1x guest-vlan supplicant
!
!
interface FastEthernet0/11
switchport mode access
switchport port-security maximum 3
dot1x port-control auto
spanning-tree portfast
!
radius-server host 10.xxx.xxx.42 key 7 030752180500
Dcrivonscetteconfiguration:
Lacommandeglobaledot1x system-auth-controlactive802.1Xpourtoutleswitch.
La commanderadius-server dclare le serveur RADIUS qui fournit les services demands ainsi quune cl
dauthentification.
c.ScuritetVLANs
Surunswitch,unVLANestungroupedeports.Lesmachinesconnectescesportspeuventcommuniquerentre
elles librement. En revanche, toute communication est impossible avec un port tranger au VLAN. On imagine
aisment deux rseaux cbls isols lun de lautre et qui de fait ne communiquent pas. Rpartis sur un rseau
Ethernetcommut,lesVLANoffrentparexempleunesolutionpratiquepourisolerlesunesdesautresdessocits
partageant une infrastructure commune. Aprs avoir t largement promue et recommande, cette technique est
maintenant remplace par le dploiement de rseaux routs au plus prs de lutilisateurfinal.Toutefois,lesVLAN
nontpastotalementdisparus.Onlesrencontretoujourssurlesquipementsdextrmit,lolesutilisateurs(ou
lesserveurs)sontphysiquementconnects.
DenouvellesexigencesdescuritdcoulentdelutilisationdesVLAN.Eneffet,ilestindispensabledegarantirque
ScuritlintrieurdunVLAN(VLANACL,PrivateVLAN,DynamicArpinspection)
Les attaques virales qui ont branl les rseaux dentreprises ces dernires annes ont prouv la ncessit de
possder un niveau disolation supplmentaire au sein des VLAN. Les vers ayant caus le plus de dgts
embarquaient un dispositif permettant lexpansion rapide de lattaque aux machines les plus proches. Ainsi, les
rseauxdirectementconnectsunefoisconnusparlevers,furentinondsdemessagesjusquleffondrement.
lintrieurdunVLANdutilisateurs,lapolitiquedescuritimposeparfoisuneisolationdespostesdetravailentre
euxafinquaucunedonnenesoitpartagedirectement.UneexigenceidentiqueestenvisageabledansunVLANo
setrouventdesserveurs.
Les communications directes entre les membres dun mme VLAN si elles sont autorises doivent toutefois tre
protges contre toute tentative dintrusion visant lusurpation didentit ou de donnes, cest pourquoi des
contrlesavancssurlacoucheliaisondedonnesviennentrenforcerceuxquenousavonsprcdemmentdcrits.
LesVLANACL
Les VLAN ACL (pour VLAN Access Control Lists) sapparentent aux ACL de niveau trois cestdire aux ACL qui
sappliquent sur les interfaces routes. Mais comme leur nom lindique, elles sapposent dans des VLAN ou plus
exactementtouslespaquetsquiyentrent.IlestainsipossibledelimiterletraficauseinmmedunVLAN.
Les VLAN ACL (ou VACL) sont dfinies dans la configuration par une suite de squences numrotes. Chaque
squencecomprenduneidentificationdutrafictraiteretuneactionluiadministrer,letoutestensuiteappliqu
auVLANprotger.
Parmilesactionsfigureauctdesoptionsdropetforwardloptioncapture.Ellepermetdecapturerletraficetdele
copierversunportsurlequelunesondededtectiondintrusionestconnecte.
Lestapespourlamiseen uvredesVACLsont :
La programmation dune ou plusieurs ACL classiques qui sont examines lune aprs lautre en squence.
CesACLsontbasessurdesadressesIPouMAC.
LacrationdelaVACLquiappellelACLprcdemmentdfinieetdcideduneaction.
LapplicationdelaVACLauVLANdanslequelonsouhaitefiltrerletrafic.
Les crans qui suivent montrent un cas simple permettant aux stations dun VLAN de sortir vers Internet (via un
proxy)enayantaupralableinterrogunserveurDNS.
Switch#conf t
Switch(config)#
Switch(config)#ip access-list extended juste-internet
Switch(config-ext-nacl)#10 permit udp any host DNS1 eq domain
Switch(config-ext-nacl)#15 permit udp any host DNS2 eq domain
Switch(config-ext-nacl)#20 permit udp host DNS1 eq domain any
Switch(config-ext-nacl)#25 permit udp any host DNS2 eq domain
Switch(config-ext-nacl)#30 permit tcp any host PROXY eq 8080
Switch(config-ext-nacl)#35 permit tcp host PROXY eq 8080 any
Switch(config-ext-nacl)#end
Switch#
Labrviation conf t condense la commande configuration Terminal qui donne accs au mode de
configurationdelquipementviauneconsoleouunterminal.
La commandeend permet de sortir du mode de configuration (et de tous ces sousmodes) pour revenir
directementlinvitedecommande(enanglais"prompt").
LACLdetypetenduenommejusteinternetcomporte6squencespermettantautraficissuduVLANdesortir(et
derevenir)pourlactivitDNS(domain)etWEBsurleportTCP8080.DeuxserveursDNSetunserveurproxyHTTP
sontdclars.
Switch#conf t
Switch(config)#vlan access-map limitation 10
Switch(config-access-map)#match ip address juste-internet
Ici,laVACLestcre.Ellesenommelimitationetportelenumrodesquence10.Elleappelle(pourlasquence
10) lACL justeinternet prcdemment cre et permet au trafic autoris par lACL de quitter le VLAN (action
forward).
Switch# conf t
Switch(config)# vlan filter limitation vlan-list 2
Switch(config)#^Z
Switch#
Pourterminer,laVACLlimitationestappliqueauVLANfiltrer,icileVLAN2.
Switch#sh ip access-lists
Extended IP access list juste-internet
10 permit udp any host DNS1 eq domain
15 permit udp any host DNS2 eq domain
20 permit udp host DNS1 eq domain any
25 permit udp host DNS2 eq domain any
30 permit tcp any host PROXY eq 8080
35 permit tcp host PROXY eq 8080 any
Lescommandesshownousfournissentdesinformationsquipermettentdevrifierlaconfiguration.Lescommandes
utilessontsh ip access-lists,sh vlan filteretsh vlan access-map.Cetexempleestrelativementsimplecaril
prsente une unique squence tant pour lACL que pour laccessmap. Il est tout fait possible de rallonger les
squencespourplusdegranularit.
LesPrivateVLAN
Lobjectif desPrivate VLAN est de fournir une isolation au niveau 2 entre des ports connects au mme VLAN. Un
exempletypiqueauseindunVLANestdinterdireauxstationsdecommuniquerentreellesdirectementetdeneleur
laisser que le routeur par dfaut comme porte de sortie. Avant cette technique, une solution consistait crer
autantdesousrseauxIPquedegroupesisoler.
Il est important de se renseigner afin de dterminer si le switch et la version du logiciel IOS vous permettent de
dployercettefonctionnalit.Siellenestpasdisponible,unecommandealternativeoffresurcertainsmodlesune
fonctionquivalente.LescontraintesetlimitationslemploidesPrivateVLANsontnombreuses.Nousvousinvitons
vousrfrerladocumentationcorrespondantvotremodledeswitchetcelledesonsystmedexploitation
IOSouCATOS.
Entreautrescontraintes :
LeswitchdoittreconfigurmodeVTPtransparent.
UnseulVLANsecondairedetypeisolatedpeuttrerattachauVLANprimaire.
Ici,lesportsde15nepeuventcommuniquerquavecleport6.
Avantdaborderlaconfiguration,unebonnecomprhensiondelaterminologiesimpose.
LatechnologiePrivateVLANfaitappeltroistypesdeVLANettroistypesdeports.OntrouvepourlesVLAN :
LeVLANdetypeprimarysurlequelseregroupentlesVLANsecondaires.
LesVLANsecondairesdetype :
isolated(lesportsmembressontisolsentreeux)
community(seulslesportsdunemmecommunautpeuventcommuniquerentreeux).
Quantauxportslestroistypessont :
promiscuous.CetypedeportappartientauVLANprimaireetpeutcommuniqueravectouslesautrestypes
de ports des VLAN secondaires associs au VLAN primaire. Il est utilis pour acheminer le trafic hors du
VLAN.
isolated.CetypedeportmembredunVLANisolatedestisoldesautresports(danssonVLAN)etnepeut
communiquerquavecleportpromiscuous.
community. Ce type de port membre dunVLAN community ne peut communiquer quavec les ports de sa
communautetleportpromiscuous.
Laconfigurationcomprendplusieurstapes :
LadclarationdesVLANetdeleurtype.CettetapecomprendlacrationdunVLANprimaireetdetousles
VLANsecondaires(isolated,communityoulesdeux).
LassociationdesVLANsecondairesauVLANprimaire.
LassociationdesVLANsecondaireslinterfacedeniveau3duVLANprimary(interfacevlan).
Laconfigurationdesinterfacesdeniveau2puisleurrattachementleurVLANsecondaireetprimaire.
LaconfigurationduportpromiscuousetsonrattachementauVLANprimaryainsiquauxVLANsecondaires.
LeswitchesttoutdabordmisenmodeVTPtransparentquilaissepasserlesinformationsdeceprotocole
sansentenircompte.
LeVLANprimaryestcr.Ilportelenumro10etlenom VLAN_PRIMAIRE .
UnVLANsecondairedetypeisolatedestsontourcr.Ilportelenumro11etlenomISOLATED_1
QuelquesautresVLANsecondairessontcrs.
Lacommandeshow pvlannousmontrelestroisVLANrattachsauVLANprimary.
QuelquesportssontassocisauVLANisolated(etdoncauVLANprimary).
CettedernirecommandedeconfigurationdclareleportpromiscuousetlassocieauVLANprimary.
LeportpromiscuousestdansnotretypedeconfigurationconnectunrouteurafindetransmettreletraficduVLAN
verslerestedurseau.Avecunswitchfournissantdesservicesdeniveau3,leportpromiscuousauraittaffect
uneinterfaceVLAN.
Afin datteindre cet objectif disolation entre les ports sur un modle de switch ne disposant pas de la fonction
private VLAN, nous avons sur un switch modle 2950 utilis la commande switchport protected en mode de
configurationduneinterface.
SW0#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW0(config)#int f0/3
SW0(config-if)#switchport protected
SW0(config-if)#end
SW0#
Notezaupassagequelacommandeendpermetdepasserdirectementdumodedeconfigurationaumodeexec.
Il existe, comme souvent, une mthode permettant de contourner lisolement dans le cas o une porte de sortie
existeraitviaunrouteurouuneinterfaceVLAN.UneinterfaceVLANestuneinterfacevirtuellerecevantuneadresse
IP,elleestmembrepartentireduVLANetpermetdeleconnecteraurestedurseau.Toutenrespectantles
principes de cette technologie, que se passetil si nous adressons des paquets IP (destins un autre rseau)
verslinterfaceVLAN?
Le routeur accomplira sa tche et adressera le paquet vers ladresse IP de destination rduisant nant la
protectionprcdemmentmiseenplace.Afindertablirnosexigencesinitiales,ilfautconfigurerlerouteuravecune
ACLdeniveau3pourrejeterletraficenprovenanceetdestinationdurseauIPduprivateVLAN.
PrvenirleschangementsdeVLAN
Un rseau commut peut hberger de nombreux VLAN. Ils sont locaux (valides sur un seul switch) ou propags
entre plusieurs switch. Dans le premier cas (VLAN local) un PC dans le VLAN 2 du switch A ne pourra pas
communiqueravecunPCmembreduVLAN2surleswitchB.Danslesecondcas,leVLAN2estdisponibledesdeux
cts.
LorsquelesVLANsontpropagsdeswitchenswitch,lepassagedunVLANunautreconstitueuneatteintela
scurit.Examinonsleschmasuivant:
Les trois brins entre les deux switch portent le nom de trunk. Il sagit dun lien logique sur lequel transitent les
paquets marqus comme appartenant aux divers VLAN. Un trunk est physiquement contenu sur un mdia unique
(cble,fibre).
Deuxtypesdattaquesexistent.
Lapremireconsistepourunestationprendrelaplacedunswitchetdeseformeruntrunk.Lastationobtient
ainsisesentresdanslesVLAN.CetteattaqueestconnuesouslenomdattaqueDTP(DynamicTrunkProtocol).
La seconde, plus labore consiste forger un paquet qui sera marqu avec deux identifiants de VLAN en
loccurrenceleVLANnatifdutrunketleVLANdanslequelonsouhaitepntrer.LetraficquitransitedansleVLAN
natif nest pas marqu, le second switch reoit le paquet et ne voit que la marque 2 car la marque 1 nest pas
prservelorsdupassagedansletrunk.IlmetdonccepaquetdansleVLANnumro2.UnsautdeVLANestainsi
ralis. Il faut pour mener bien cette attaque que la machine lorigine de celleci soit connecte sur le VLAN
correspondantauVLANnatifduswitch.DesoutilscommeScapyouYersiniasontidauxpourcegenredattaque.
Lesparadesdisponiblessonttrssimplesmettreen uvre.Ilsuffitdeplanifieravecprcaution :
La configuration des VLAN sur les ports en prenant soin de ne jamais affecter un port le VLAN natif du
trunk.
Laconfigurationdesportsdestinsrecevoirdesmachines.Ilsserontforcsnejamaisdevenirdesports
detypetrunkaveclacommande :switchport mode access.
DenejamaisplacerdeportsdansleVLAN1.
d.LuttercontrelesserveursDHCPindsirables
La dcouverte dun serveur DHCP (Dynamic Host Configuration Protocol) non dclar va de pair avec la soudaine
dconnexiondurseaudeplusieursmachines.UnepremireenqutesurleterrainrvlequelesadressesIPdes
machinesisolesnesontpasissuesdestendueshabituelles.Uneinspectionplusapprofondie(aveclacommande
ipconfig /all)montrequeleserveurDHCPayantdlivrcesadressesdpenddudomainemshome.netlequelest
inconnu.LenqutesepoursuitparuneinspectiondestablesCAMlarechercheduportocetindsirableserveur
se trouve connect. Aprs une remonte de cblage sans doute fastidieuse, lintrus est enfin dmasqu. Il sagit
dunordinateurportablevoyageantrguliremententrelerseaudelentrepriseetledomiciledesonpropritaire
oilestconnectuneligneADSLquilpartageloisiravectoutelamaisonetpourquoipaslevoisinage.
Cecasconstitueundnideserviceinvolontaireetunepersonnemalintentionnerussissantinstallerunserveur
DHCPpiratesurlerseauetdclarantunestationsoussoncontrlecommetantlapasserellepardfautpourra
voirpasserletraficdesstationsleurres.Cetteattaqueparinterpositiondanslefluxporteenanglaislenomde
maninthemiddle.UneautreattaqueconsisteviderlarservedadressesIPduserveurDHCPpardesdemandes
incessantesprovenantduneouplusieursmachinessouslecontrledelapersonnemalintentionne.
Lepremierincidentestassezfrquentsurunrseauquinemetpasen uvrelesprotectionsadquates.Enoutre,
laconnexionsurlerseaudunemachineitinrantesoulvebiendautresquestions.Commetoujours,lessolutions
existent et sont une fois de plus fort simples. Quelques commandes permettent sur les ports rservs aux
utilisateurs de filtrer ce qui de prs ou de loin ressemble des messages provenant dun serveur DHCP. Cette
techniqueportelenomdeDHCPSnooping.
Le principe de base duDHCP Snooping est de considrer que sur un port quelconque aucun message du type de
ceux mis par un serveur DHCP ne doit transiter. En revanche, les messages DHCP normalement mis par une
station sont autoriss transiter. AvecDHCP Snooping, le switch construit une table de correspondance entre les
UnportestconfigurcommetantdutypetrustsilestconnectdirectementouindirectementunserveurDHCP.Il
estdoncprimordialdtudierlachanedesswitchetlespositionsdesports trustafindassurerlaprennitdela
configuration.Signalonsenfinquelesportssontpardfautdetypeuntrust.
Voicilaconfiguration.
SW0#conf t
Enter configuration commands, one per line. End with CNTL/Z.
LafonctionnalitsactiveunefoisenmodeglobalpuispourchacundesVLANprotger.
Unecommandeshowdonneunpremieraperu.
SW0#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW0(config)#int f0/1
SW0(config-if)#ip dhcp snooping trust
SW0(config-if)#ip dhcp snooping limit rate 100
Leportf0/1estconfigur(trust)afinqueDHCPsnoopinglaissepasserlesmessagesissusdunserveurdirectement
ou indirectement connect, la commande limit rate autorise seulement 100 messages du protocole DHCP par
seconde.Attentionbientudieraupralablelaquantitdemessagesdevanttransitersurlelienafindenepasla
sousvalueretentranerundnideservice.
e.Luttercontrelesinterceptions
Ici, le protocole ARP (Address Resolution Protocol) est directement mis en cause ou plus exactement son
implmentationsurlessystmesdexploitation.ARPestchargdersoudreetdemaintenirunetabledescouples
adresseIPetadresseMAC.LesmessagesduprotocoleARPcherchentquelleadressedeniveau2correspondune
adresse de niveau 3, le but est de trouver la carte rseau vers laquelle envoyer les trames de niveau 2 qui
contiennentlinformationtransmettre.UndialoguetypiquedeschangesARPestlesuivant :
quelleadresseMACdoisjeenvoyerletraficdestinladresseIP192.168.0.1 ?(cemessageestrecopi
surtouslesportsduswich)
Je suis ladresse IP 192.168.0.1 et mon adresse MAC est la suivante : 00.18.ab.cd.ab.cd (ce message est
transmisdirectement).
LadministrateurdunsystmepeutgalementrenseignermanuellementlatableARP.
C:\Users\RZS>arp -a
VoicilatableARPdunemachineWindows.
UnmessageARPimportantestlemessageARPgratuit(gratuitousARP).Cemessageestmisaudmarrageparun
htequicherchesavoirsiuneadresseIPidentiquelasienneexistedj.Cetterequteestreuepartousles
hteslcoutequimettentjour(aveclinformationreue)leurpropretableARP.LeprotocoleARPnepossdant
pas de mcanisme dauthentification,leshtesdun sousrseau prennent en compte les messages qui leur sont
adresssmmesilsnontriendemand.
LeprincipedesattaquesARPconsisteenvoyerrgulirementverslamachinetrompersoitdesmessagesARP
gratuits,soitdesmessagesrpondantunedemandequina jamais t effectue. Lhtevictime,larception
des messages provenant de la machine de lattaquant met jour sa table ARP sans autre forme de procs.
Lattaquantfaitainsicroiresesvictimesquilestparexemplelapasserellepardfautetsilattaqueaboutit,les
communicationsdesvictimesdestinationdelextrieurdusousrseaupasserontparlui.
Lesswitchsontvulnrablescegenredattaquescarlestablesdtatsnetiennentpascompteducoupleadresse
MACadresseIP,maisducoupleadresseMACport.
IlesttoujourspossibledefixerlescouplesMACIPdemanirestatique,maissurunrseaudegrandedimension
la tche savre quasi impossible. Un dispositif automatique doit donc prendre en charge la vrification de la
prennit des couples adresse MAC adresse IP et surveiller tout changement anormal. Un programme comme
ArpwatchdisponiblesousLinuxsechargedecettetcheetrenseigneunfichieraveclescouplesdcouvertsetles
changementsventuels.Leprogrammedisposeduneoptionpouravertirparcourrielladministrateur.
hostname: xx.xxx.xxxxxxx.xxxxx.net
ip address: 10.yyy.yyy.yyy
interface: eth0
ethernet address: 0:b0:d0:xx:xx:xx
ethernet vendor: Dell Computer Corp.
timestamp: Friday, April 18, 2008 11:28:40 +0200
Voiciunbrefextraitdufichierdanslequelleprogrammecritlescouplesquildcouvreencoutantlesousrseau.
Pourmmoire,lechampethernetvendorestdduitpartirdelapremiremoitideladresseMAC.
CemessagemontreunchangementdadresseMACpouruneadresseIPprcdemmentconnue.
Installer un dispositif comme Arpwatch pour chaque sousrseau ncessite la mise disposition de machines
ddies.Deplus,lesnombreuxmessagesdoiventtreexploitslarecherchedeschangementssuspects.Enfin,
Arpwatchneprendaucunedcisionlorsquilconstateunchangement.
CiscooffreunesolutiondesurveillancedescouplesadresseMACadresseIPbaptiseDAI(DynamicArpInspection).
Cette fonctionnalit sappuie sur les services que nous avons utilis pour protger les serveurs DHCP. Plus
prcisment,DAIlorsquilestactivrecherchedanslatableduDHCPsnoopinglescouplesvalides.Silenvironnement
rseaunestpasconfigurenDHCP,DAIserfreuneACLARP(filtragesurlesadressesMAC).
LesACLARPsontprioritairessurlatableduDHCPsnooping.SiuneACLestplacedanslaconfigurationetassocie
unVLAN,lerejetimplicite(deny)lafindelACLbloqueraletraficnonautorismmesicedernierestinscritdans
latableduDHCPsnooping.
LestapesdelaconfigurationdeDAIsontsimples.Quelquesprcautionssontprendresilapolitiquedescurit
imposeunelimitationdunombredemessagesARPsuruntempsdonn,silesinterfacessontenportchannelouen
trunk.Undpassementdelalimiteentranantalorsunrejetdutrafic.
ExaminonslaconfigurationdeDAI.
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 2
Switch(config)#ip arp inspection vlan 2
Nous activons les fonctions DHCP snooping et DAI dans le VLAN2 en prenant bien soin dactiver DHCP snooping
globalement.
Switch(config)#int f0/1
Switch(config-if)#ip arp inspection trust
Switch(config-if)#ip dhcp snooping trust
Switch(config-if)#end
Comme nous lavions fait pour DHCP snooping, nous dclarons une interface derrire laquelle nous savons quun
serveurDHCPliciteestconnectdirectementouindirectement.
Considrons le cas o notre switch (un modle 3550) regroupe des machines non configures avec le protocole
DHCP.LeswitchdtectesurlinterfaceFastEthernet0/2unemachinequinefigurenidanslatableduDHCPsnooping
nidansuneACLARP.Cemessageestaffichgrcelacommandelogging consoleenmodeglobal.Afinqueson
traficpuissetraverserleVLAN,ilfautconfigureruneACLdeniveau2commesuit :
Onentredanslemodedeconfigurationetondonneunnomlaccesslist.
Cette commande (sans le retour la ligne) associe ladresse IP 10.xxx.xxx.212 ladresse MAC 0018.8Bxx.xxxx.
0.0.0estunmasquepourladresseMACquisignifie : cetteadresseprcisment .
Pourterminer,lACLARPACLTESTestappliqueauVLAN(leVLAN2dansnotrecas).
Commenouslavonssoulign,cetteACLestprioritaire.Cestpourquoiilestrecommanddenepasmlangersurun
mmesousrseaudesmachinesutilisantetnutilisantpasleprotocoleDHCP.
SinousconsidronsunrseauentirementconfiguravecDHCP,unestationrequiertuneadresseIPetlareoit
dunserveur.Aupassage,DHCPsnoopingrenseignesatable.Rappelonsqueceserveurestauboutdelachane
desportsdclarstrust.
f.Rsum
Nous avons au cours de ce chapitre pass en revue les principales mesures de protection des deux premires
couchesdumodleOSI.
Laprotectionphysiquedesquipementsetdelaccsaurseauestunpointcrucialcaraucuneattaquene
sauraittremenesansconnexion.
Leraccordementauportphysiquedunswitchestscuristantauniveauphysiquequelogique.ceteffet,
lestechniques802.1XainsiquelalimitationdesadressesMACparportsontconsidrer.
LesVLANnesontpluslapanace,ilconvientdereleverleurniveaudescuritavecdestechniquescomme
lesPrivateVLAN,lesVLANACL(VACL).Deplus,danslecasduntrunkentredeuxswitch,ilestindispensable
deseprmunircontretoutepossibilitdechangementintempestifdeVLAN.
Les switch offrent une isolation du trafic port port (comparativement un concentrateur) mais sont
vulnrablessilatabledescouplesadressesMACportestsatureoucorrompue.chaqueportcorrespond
unnombreminimaldadressesMACncessaireaubonfonctionnementdudispositifconnect(PCseulouPC
etTlphoneIP).
Les serveurs DHCP installs sans autorisation sur un sousrseau entrainent des dnis de services. La
technologieDHCPsnoopingpermetdeseprmunircontrecegenredaccident.
Lesswitchdansleurconfigurationpardfautneprotgentnullementlessystmesdexploitationcontrela
corruptiondeleursproprescachesARP.Cependant,latechnologieDynamicArpInspectionpalliecettat
defaiteninspectantetensurveillantlescouplesadresseMACadresseIP(aveclaidedeDHCPsnooping).
Pour clore ce chapitre, nous ajoutons une mesure de scurit reprise sur le chapitre traitant des protections
globales dun quipement Cisco. Le protocole CDP (Cisco Discovery Protocol) se situe au niveau deux et prsente
quelquesrisquessilestactiv.Silnestpasncessaireaubonfonctionnementdurseau,ilestfortementconseill
deledsactiver.
Lascuritdelacouche2estprimordialecarlesmesuresdeprotectionappliquesauxcouchessuprieurespeuvent
dpendretroitementdescouchesinfrieures.
LechapitresuivantnouspropulsedeuxcouchesplushautverslesniveauxtroisetquatredansluniversdeTCP/IP.
Cependant,siriennestfait,lerseauachemineraaveuglmentlesdonnespourvuquuneroute(unchemin)existe
entre tous les participants. Si le but espr est atteint en terme de communication hors des limites physiques du
rseau local, il nen est pas de mme en matire de scurit (aux exigences prs). Du point de vue scuritaire, la
couche3etleprotocoleTCP/IPenparticulieroffrentunegammedeservicesdontlesobjectifspremierssontjustement
defaciliterlescommunicationsdansununiverstrslargeolaconfiancergne.Cemondeparfaitnexistehlaspaset
lesrseauxouvertsauxpartenaireshonnteslesontaussiauxpiratesdetoutpoil.
Avant de poursuivre, et de poser nos exigences de scurit, admettons comme postulat de dpart que les rseaux
sont de deux types : internes et externes. Cette distinction est la consquence directe du manque dadresses
publiquespourlesquipementsIP.
Exigencesdescuritdelquipementrseaupourlacouche3
Exigences Technique
DisposerduneredondanceIPsrepourlaroute HSRP
pardfaut.
FiltrerletraficentrerseauxIPentenantcompte ContextBasedaccesscontrolACL
desconnexionsetdeleursens.
SeprotgerdesattaquesTCP. TCPIntercept
Prserverlaconfidentialitetlintgritdes IPSec
changes.
Scuriserlesprotocolesderoutage. Contrlesembarqusdanslesprotocoles
Sparerlesadressesinternesdesadresses AdressesRFC1918
publiquestoutenassurantlacorrespondance
entreelles.
IlestproprementparlerdlicatdeprterauprotocoleHSRPunefonctiondescuritausensstrict,toutefoissousla
perspectivedelascuritdefonctionnement,leprotocoleHSRPassuredesfonctionsintressantesetembarqueun
contrledescurit.LeprotocoleHSRPoffreainsi,avecauminimumdeuxrouteurs,despossibilitsderecouvrement.
LeprincipedefonctionnementdeHSRPestsimplecomprendre.LesrouteursmembresdunmmegroupeHSRPsont
connects sur un brin physique commun. Ils sont configurs de telle manire quun seul dentre eux rponde
ladresse IP de passerelle par dfaut dclare sur les stations de travail. En cas dindisponibilit du routeur actif, le
routeurpassifprendlerelais.Lorsquelancienrouteuractifredevientdisponible,ilpeutenfonctiondelaconfiguration
reprendresaplacederouteuractifoudemeurerpassif.Lesdeuxrouteurssepartagentdonclagestionduneadresse
IPvirtuelle(VIP)toutengardantleursadressespropres.
Le protocole HSRP est capable de dclencher une bascule de ladresse virtuelle si lune des interfaces externes ne
fonctionneplus.Ceciconcernelinterfacephysique(lineprotocoldown)etnonladisparitionduneroute.Enfin,signalons
que le protocole HSRP offre une fonction dauthentification mutuelle grce lchangedemessageshachsenMD5.
HSRPestdisponibleendeuxversions.Examinonsprsentuneconfigurationtype.
La station de travail possde une adresse de passerelle par dfaut pointant sur ladresse virtuelle gnre par les
routeursR0etR1quiimplmententleprotocoleHSRP.CesdeuxrouteurssontconnectsaurouteurR2quipossde
une interface de bouclage (dite de loopback). Le but est de conserver la connectivit de la station de travail vers
linterfacedebouclage(loopback0)vialundesdeuxrouteursHSRP(R0ouR1)etce,demaniretransparente.Nous
rappelons quune interface de bouclage est une interface purement virtuelle et qui ce titre est toujours prsente
(tantquelerouteurestsoustension).
1 - interface FastEthernet0/0
2 - ip address 10.226.121.79 255.255.255.0
3 - duplex auto
4 - speed auto
5 - standby 0 ip 10.226.121.80
6 - standby 0 preempt
7 - standby 0 authentication md5 key-string 7 00071A150754
8 - standby 0 track FastEthernet0/1 30
VoicilaconfigurationHSRPdurouteurR0.Nousobservonssurlaligne5ladressevirtuellequiseracogreavecR1
(10.226.121.80), le motpreempt sur la ligne 6 indique que R0 sil venait tomber en panne et revenir en service
reprendrait alors la gestion de ladresse virtuelle. Squence dauthentification entre les deux partenaires HSRP qui
viteunrouteurindsirabledentrerdanslegroupedegestiondecetteadressevirtuelle.
1 - interface FastEthernet0/0
2 - ip address 10.226.121.78 255.255.255.0
3 - duplex auto
4 - speed auto
5 - standby 0 ip 10.226.121.79
6 - standby 0 preempt
La configuration de R1 montre sur la ligne 7 le mot priority 80 qui indique que le routeur R1 lors de la premire
ngociationavecR0(quipossdeunepriorityde100pardfaut)neprendrapaslecontrledeladressevirtuelle.
Notonslasimilitudedessquencesdauthentificationenmd5.
HSRPdisposeduneoptionparticulirementintressanteencasdepannenonpasdurouteurenluimmemaisdune
desesinterfaces.ImaginonssurleschmaprcdentunecoupuredulienentreR0etR2.HSRPgrcelacommande
track(voirlaconfigurationdeRO)vadcrmenterlavaleurdepriorit(priority)durouteurR0detellesortequelle
soitinfrieurecelledurouteurR1quiprendraalorssoncomptelagestiondeladressevirtuelle.Dansnotrecas,la
valeur priority du routeur R0 passera de 100 70 grce la dernire ligne de commande de notre configuration.
ObservonslesractionsdesrouteurslorsdunebasculesuitelarrtdelinterfaceentreR0etR2.
SurcettecapturetronquepourplusdelisibilitnousobservonslavaleurprioritydurouteurR0quiestde70aprs
coupuredesoninterfaceversR2.R1(.78)prenddoncgestiondeladressevirtuelle(.79)avecunepriorityde80.
C:\Users\RZS>ping 192.168.2.1 -t
LetestquiprcdeconsisteenvoyerdesPINGversladressedebouclagedeR2encoupantlelienentreR0etR2.
LadresseIPvirtuellebasculeentranantlapertedecinqpaquets.
IlesttoutfaitenvisageabledecrerdesgroupesHSRPmultiplesafinderpartirdesgroupementsdemachinessur
plusieurspasserellesvirtuelles.
Leslistesdecontrledaccs(enanglaisAccessControlListouACL)semblentavoirtoujoursexistsurlesrouteurs
Cisco et rares sont les configurations o elles napparaissent pas. Les ACL servent principalement au filtrage des
paquetssurlesinterfacesphysiquescependantleurmodededfinitionestemploypourcatgoriserlesrseauxen
vue,entreautre,delesinjecterdansunprotocolederoutageoudelessoumettreunergledequalitdeservice.
LestypesdACLproposssontlessuivants :
lesACLstandardsquifiltrentsurladressesource
les ACL tendues qui filtrent sur ladresse source, ladresse destination ainsi que les ports sources et
destination
lesACLlockandKeysemettentenplaceaprsauthentificationdelutilisateur(entelnet)
lesnamedACLsontdesACLtenduesquireoiventunnomaulieudunnumro
lesACLreflexivesutilisentlesinformationsdesessionpourlaisserentrerlespaquetsderetourcorrespondant
auxpaquetsenvoys
lestimebasedACLsontactivessuruneplagedetempsdonne
les ACL Contextbased access control utilisent les informations de session pour autoriser la demande et en
fonctiondusensdinitialisationlepassagedutrafic.
LadfinitiondesACLdansuneconfigurationestlobjetdetrsnombreuxchapitresvoiredelivresentiersaussinous
netraiteronspasicitouslescasdefiguremaisuneslectionconcernantlascurit.
1.ACLetpolitiquedescurit
Les ACL sont ncessaires pour limplmentation de nombreux points de la politique de scurit rseau. Rsumons
dansuntableaulesexigenceslespluscourantesdanslesquelleslesACLsontsollicites.
Communicationsverslesquipementsdurseau
SeullesrseauxdadministrationpeuventseconnecterauxquipementssurlesportsHTTPS,SSLet
SNMPchoisis.
Communicationsdesquipementsverslerseau
LesquipementsdurseaucommuniquentaveclesrseauxdadministrationsurlesportsSYSLOGet
TFTP.
Lesquipementsdurseauchangentlesroutesentreeuxauseindummegroupeadministratifavecle
protocoleOSPF.
LesquipementsdurseausurlesinterfacesWANacceptentuniquementlesprotocolesdelasuitede
chiffrementIPSec.
Communicationsentrerseaux
InterdireautraficInternetnonsollicitdentrersurlerseau.
FiltrerletraficentrelesVLAN.
Filtrerletraficenentreetensortiesurlesfermesdeserveurs.
Cecourttableauestajustableenfonctiondescontraintesimposesparlapolitiquedescurit.Ilestimpratifdy
fairefigurerlarglededniimpliciterejetanttoutcequinapastdumentautorisensachanttoutefoisquecest
unergleincontournablesurlesrouteursCiscobienquellenapparaissepas.
LargledednilorsquelleestintgrelafinduneACLestassocieaveclemot"log"afindegarderune
tracedutraficrejet.Cettepratiqueestrecommande.
2.LesACLtendues
UneACLsecomposededeuxparties.Lapremireopreuneslectionetlasecondeappliquecetteslectionun
processus.
PrenonslexempleduntraficfiltrersuruneinterfaceavecuneACLtendue:
Laslectionsopresurunquadrupletadressesourceadressedestinationportsourceportdestination.
cequadrupletestjointlemotpermitoudenyquislectionneouneslectionnepasletraficdsign.
DanslecasduneACLayantvocationfiltrerletraficslectionn,lemotpermitautoriseletrafictransiter
etlemotdenylebloque.
UneACLpeutcontenirplusieurssquences.Letraficestcomparchacunedecessquencesdemanire
descendante.
Lorsquunecorrespondanceesttrouve,lacomparaisonsarrteetletraficestautoristraverserlinterface
ourejet(attentionnepasinsrerunpermituniverselaumilieudelACL).
Undenyimplicite(etinvisible)estajoutlafindechaqueACL.
LexempletypedufiltragedepaquetsIPsuruneinterfacephysiqueressemblececi : interdirelouverturedune
sessiontelnetsurladresse192.168.2.1 .
Dansunpremiertempsletraficestidentifiparlacrationdunergle,puiscettergleestappliqueuneinterface.
!
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
ip access-group No-Telnet-In in
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
!
ip access-list extended No-Telnet-In
deny tcp any host 192.168.2.1 eq telnet log
Toutefois, sur cet extrait de configuration la configuration de linterface apparait avant. La rgle dcrite
prcdemmentestappliqueici.NotonslafindelACLlemotlog.
R2#sh ip access-lists
Extended IP access list No-Telnet-In
10 deny tcp any host 192.168.2.1 eq telnet log (1 match)
LogpermetdegarderunetracedespaquetsquiseronttraitsparlACLetenloccurrencerejetscommelemontre
lersultatdelacommandeshow ip access-lists.
Ici, le rseau 10.10.10.32 est autoris, en fonction de lutilisation de lACL, passer une interface, tre
injectdansunprotocoledynamiqueparexemple.Commenttrouverlechiffre15danslemasqueinversqui
accompagne lACL ? Pour ceux qui ne connaissent pas lastuce, la voici : avant de programmer cette ACL, vous
savez que les adresses autoriser sont du type 10.10.10.0 255.255.255.240. Combien vaut la diffrence entre
240et255 ?15 !Letourestjou.IlestfortementrecommanddeprparerlavancelesACLdansunditeurde
textesimpledutilisationetdelescopiercollerdanslafentreduterminal.Noubliezpasdajouterunretourchariot
aprs la dernire ligne pour la valider automatiquement. Cest galement une bonne ide de penser la
sauvegardesousformedefichiertextedetoutesvosACL.
LesACLtenduesoffrentlapossibilitdeclasserlesentresavecdesnumrosdesquence.
R1#sh ip access-lists
Extended IP access list Filtrage
10 permit tcp any host 192.168.1.1 eq domain
20 permit tcp any host 192.168.2.2 eq www
30 permit tcp any host 192.168.2.2 eq 443
40 permit tcp any host 192.168.2.3 eq smtp
50 permit tcp any host 192.168.2.3 eq pop3
CetextraitdeconfigurationmontreuneACLtenduepermettantlaccsdiversserveurspartirdenimportequel
rseau source (any). Tentons prsent de rorganiser notre ACL pour faire remonter la ligne concernant le trafic
POP3. Les ACL tant lues de manire squentielle, il est primordial de positionner au plus haut les rgles les plus
utilises.Ceciestvalablepourtouslesfirewallfonctionnantdelasorte.
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)# ip access-list extended Filtrage
R1(config-ext-nacl)#no 50 permit tcp any host 192.168.2.3 eq pop3
R1(config-ext-nacl)#15 permit tcp any host 192.168.2.3 eq pop3
R1(config-ext-nacl)#^Z
R1#sh ip access-lists
Extended IP access list Filtrage
10 permit tcp any host 192.168.1.1 eq domain
15 permit tcp any host 192.168.2.3 eq pop3
20 permit tcp any host 192.168.2.2 eq www
30 permit tcp any host 192.168.2.2 eq 443
40 permit tcp any host 192.168.2.3 eq smtp
NousrorganisonslACLenannulantdansunpremiertempslasquence50etenlarepositionnantsouslenumro
15.Ellepasseainsiensecondeposition.
Sidaventureunincrmentde5taitsouhaitpartirdupremiernumrodesquence(enloccurrence10),ilnous
faudraitutiliserlacommanderesequencecommesuit.
Lancementdelacommandereloadassortieduncertaindlaipourlancerleredmarrage.
Encasdecoupureintempestive,lerouteurredmarrerasursaconfigurationprcdente.
R1#reload in ?
Delay before reload (mmm or hhh:mm)
R1#reload in 15
R1#reload cancel
R1#
***
*** --- SHUTDOWN ABORTED ---
***
R1#
3.LesACLbasessurlecontexte(ACLCBAC)
LesACL CBACoffrentlapossibilitdedistinguerdansunflotdepaquetsceuxquiappartiennentunesessionen
coursdeceuxquiviennentseheurterauxparoisdurouteuretnappartiennentpasunesessionvalide.Lerouteur
estalorstransformenunvritablefirewallconservationdtat(enanglais :stateful).Ilnestainsiplusncessaire
de configurer une ACL ddie au trafic retour. De plus, il devient possible de laisser le routeur prendre linitiative
douvrir des ports la vole en fonction de la ngociation protocolaire de certaines applications multimdias. Le
dploiementdetellesACLaidecombattrelesattaquesdednideserviceparsaturationdelapileTCP/IP.LesACL
CBAContaussilacapacitdinspecterlescommandespassesdanslesprotocolesfiltrslarecherchedattaques
parmilesplusconnues.LesACLCBACncessitentlaversionfirewalldelIOS.
Rsumonsenlespossibilits :
Ouverturedynamiquederglesautorisantleretourduntraficayantdbutdansunezonedeconfiance.
Inspectionprotocolaire.
SurveillancedesnumrosdesquenceTCP
Paramtragedelexpirationdessessions.
Dispositifdalerte.
Blocagedestraficssuspects.
BlocagedappletsJava.
FiltragedURL
NousobservonssurceschmaunPCconnectunrouteurluimmereliunserveur.Lobjectifatteindreiciest
douvrirdynamiquementlACLBlocagepositionnesurlinterfaceextrieure(f0/0)afindelaisserentrerletraficretour
issudesrequteslancesparlePCversleserveur.Toutautretraficentrantserabloqu.
Nousappliquonstoutdabordquelquescommandesafindenousprmunircontrelesattaquespardnideservicequi
consistent ouvrir des connexions TCP moiti et les laisser dans cet tat. Les commandes ip inspect max-
incomplete high 100 et ip inspect max-incomplete low 50 sont complmentaires. Il sagit ici de demander au
routeurdliminerlesconnexions(moitisouvertes)lorsqueleurnombredpassecentetdarrterdelessupprimer
lorsquil nen reste que 50. Les deux commandes suivantesip inspect one-minute lowet ip inspect one-minute
highsontsimilairesmaissebasentsurlenombredeconnexions(moitiouvertes)parminute.
Interface FastEthernet0/0
description EXTERNE
ip address 192.168.0.40 255.255.255.0
ip access-group blocage in
!
interface FastEthernet1/0
description INTERNE
ip address 192.168.2.1 255.255.255.0
ip access-group WebOK in
ip inspect WEBINSPECT in
!
Sur linterface externe du routeur nous trouvons une ACL nomme Blocage et applique au trafic entrant comme
lindique le motin. Cette ACL dans le cas prsent interdit tout trafic entrant sur linterfaceexterne.Cest sur cette
ACLquelespaquetsderetourserontpourtantbeletbienautorisspntrerverslintrieurdurseaucondition
quils aient satisfait les exigences de linspection.Cesouverturessontdynamiquesetcommandesparlinspection
directementsurlACL.
Sur linterface interne nous trouvons une ACL (applique au trafic entrant) qui autorise nimporte quelle station
communiquer vers nimporte quel serveur en http et la commande ip inspect WEBINSPECT in qui dclenche le
processusdinspection.IlestimportantdenoterquecettedernireACLestindispensableaubonfonctionnementde
CBAC.IlestobligatoiredautoriserletraficparlebiaisduneACLafinquilsoitprisencompteparlinspection.
Interface Configuration
Interface FastEthernet1/0
Inbound inspection rule is WEBINSPECT
http alert is on audit-trail is on timeout 3600
Outgoing inspection rule is not set
Inbound access list is WebOK
Established Sessions
Session 64AAAF84 (192.168.2.2:55046)=>(192.168.0.38:80) http
SIS_OPEN
Ici,nousobservonslesstatistiquesdelinspection.
Les lignes Current session counts et Maxever session counts indiquent respectivement le nombre de sessions
(tablies,semiouvertesetseterminant)pourlinstantconsidr(current)etlemaximumcomptdepuislamiseen
servicedelACL.
FW#sh ip access-lists
Extended IP access list Blocage
10 deny ip any any (504 matches)
Extended IP access list WebOK
10 permit tcp any any eq www (15258 matches)
LescompteursdesACLnousmontrentquedutraficentrantatbloqu(enentre)surlinterfaceexterne.
CetextraitmontrelerouteurrecevantunpaquetforgaveclutilitaireHPING2quitentedesintroduireautraversde
lACL CBAC en se prsentant comme un trafic retour. cet effet nous avons retourn les adresses source et
destination ainsi que les ports source et destination et nous avons ajout le drapeau ACK. Le routeur refuse le
paquetetenvoieverslamachinetentantdusurperlaconnexionunmessageICMPtype3(destinationinjoignable)
code13(communicationinterditeadministrativement).
Pour conclure cette partie de chapitre sur les ACL, voici une indication sur leur emplacement idal. Les ACL sont
idalement positionnes au plus prs des lments protger nous y reviendrons au cours du chapitre sur
larchitecturegnriquedelascuritdesrseaux.Prenonstroisexemples :
La protection dun rseau par rapport Internet seffectue logiquement lentre du rseau et plus
particulirementsurlerouteurdaccs.
LaprotectiondunefermedeserveurseffectuelentreduVLANquihbergelesressources.
Le filtrage sur un VLAN utilisateurs est effectu afin de dterminer si les adresses sources qui tentent de
sortirduVLANsontdanslesplagesdadressagesconvenues.CefiltrageestmisenplaceensortieduVLAN
avantlaconnexionaurestedurseau.
Onabeaucoupcritsurlacryptographieetelleesttoujourslobjetdenombreuxfantasmes.Lacryptographieintrigue
toujours. Estelle lapanage des services secrets ? Que protgetelle vraiment ? Qui en est le matre absolu ? La
cryptographieprotgevossecretsetvousenteslematreabsolu.Niplus,nimoins.Lartdedissimuleruneinformation
remonteauxsourcesdelhumanit.Depuislestempslesplusanciens,lescivilisationsenguerreonttoujourssouhait
protgerlessecretsmilitairestactiques.Simplespermutationsdelettresouenroulementsdelaniresdecuirsurdes
cylindres de bois au diamtre secret, la cryptographie a lentement volu pour bnficier depuis le 19e sicle des
recherches les plus pousses en mathmatiques. Rendons ici un modeste hommage Pierre de Fermat dont le
thorme dit du petit Fermat servit de base de travail aux trois mathmaticiens amricains Rivest, Shamir et
Adleman(RSA)quidcouvrirentlundessystmesdechiffrementquifigureparmilesplusutilissdanslemonde.Nous
nallons pas ici entrer dans les dtails tortueux mais combien passionnants du calcul modulaire mais dbuter cette
approchedelacryptographiesurlesquipementsCiscoparquelquesrglesdor :
Laforcedunsystmedechiffrementreposeavanttoutsurlaforcedelaclpluttquesurlatechnologiesous
jacente (bien quelle ait son importance). titre dexemple le systme dit du chiffre de Vernam ncessite une
feuilledepapier,unboncrayonet...unromandevotrechoix.Cechiffremanuelestreconnuparlesplusgrands
spcialistescommelesystmeleplussrcarlacldechiffrementestaussilonguequeletextechiffrer.Les
amateurs de cinma se remmoreront sans peine une scne du film "larme des ombres" montrant Lino
Venturaentraindechiffrerunmessagelaidedunlivredontsoncorrespondantpossdelammedition.
Lesfondementsscuritdunsystmedechiffrementreposentsurlaprotectiondontbnficientlescls.Cette
remarque parait incongrue de prime abord mais, certaines socits nhsitent pas pour des raisons de
commoditconfierleursclsdestiers.Quelcrditapportercegenredepratiques?
Ilexistedeuxtechniquesdemploiduchiffrementquisontlechiffrementenligneetlechiffrementhorsligne :
Lechiffrementenlignechiffrelesinformationslorsdeleurtransmission.IPSecentredanscettecatgorie.
Lechiffrementhorslignencessiteunchiffrementdelinformationavantdelatransmettrecarlquipementde
transmissionnepossdeaucunefonctioncryptographique.LechiffredeVernamdanssaversionmanuelleentre
danscettecatgorie.
Ilexistedeuxtypesdeclspourlechiffrement :
Lesclssymtriques.Lammeclestutiliseparlescorrespondantspourlechiffrementetledchiffrement.Ce
typedeclestutilisparIPSec.
Lesclsasymtriques.Chaquecorrespondantpossdeuncoupledecls,lunesertauchiffrement,lautreau
dchiffrement.Nousnetraiteronspascettetechnique.Sacheztoutefoisquelleestemployepourlasignature
lectronique.
IPSecestunensembledeprotocolesquipermetunchiffrementenlignedelinformation,leprotocoleestdirectement
implmentsurlesrouteurs,lesclssontdetypesymtrique.IPSecestcompos :
DuprotocoleIKE(InternetKeyExchange)quisert :
Authentifierlesdeuxpartenaires.
Ngocierlesparamtresdechiffrement
Protgerlasuitedeschangesdontlchangedesclsdesession.
Dedeuxmodes(auchoix)quipermettentsoitdetransmettrelespaquetsenconservantlesadressessources
et destinations dorigine soit de gnrer des paquets ayant comme adresses source et destination les
interfacesexternesdesrouteurs.
De deux modes (au choix) permettant soit lauthentification seule des paquets, soit le chiffrement et
lauthentificationdespaquets.
Examinonscestroistapesdanslecadredunchiffremententredeuxrouteurs.
Lapremirephasepermetauxrouteursdesauthentifiermutuellementetdemonteruncanalscurisafinde
procder la seconde phase. Lauthentification mutuelle seffectue par le biais dune paires de cls pr
partages (Pre Shared Key) ou sur prsentation de certificats. Un change de messages permet grce au
protocole DiffieHellman de calculer un secret commun qui permet son tour de calculer les futures cls de
session.
La seconde phase est entirement protge et scelle vritablement lassociation entre les deux partenaires
IPSec.Lesclsdesessionssontcalculesetlesparamtresderengociationfixs.
lissue de cette ngociation le tunnel proprement dit est tabli conformment aux choix fixs dans la configuration.
Ceschoixpermettentcommenouslavonsdcritbrivementplushaut :
Encequiconcernelemodedetransmission :
Deconserverlesadressessourcesetdestinationdorigine.Cestlemodetransport.
De chiffrer les adresses dorigine (cestdire tout le paquet original) et de doter le nouveau paquet
ainsi obtenu de nouvelles adresses qui correspondent aux adresses des interfaces externes des
routeurs.Cestlemodetunnel.
Encequiconcernelaprotectiondespaquets :
Dauthentifier le paquet et de garantir son intgrit sans le chiffrer. Cest le mode AH (Authentication
Header).
Ilestprsenttempsdexamineruneconfiguration.
Voici comme de coutume une configuration trs simple. Nous nabordons pas la traduction dadresse qui serait
ncessaire si le rseau central tait public. Cette configuration utilise une paire de cls prpartage pour la phase
dauthentification mutuelle des routeurs. tudions les tapes de configuration du routeur R1. Ici les communications
sontchiffresentrelesdeuxinterfacesdesrouteursR1etR2quisefontface.
Avant toute chose, une ACL est dfinie afin didentifier le trafic chiffrer, nous avons voqu cet aspect des ACL qui
nontpaspourvocationuniquelefiltragedespaquetsdesfinsdeblocage.
CettecommandepermetdechiffrerenAESlesclsprpartagesdanslaconfigurationdurouteur.
Nousobservonsicilaconfigurationdesphasesduprotocole IKEquiestappelISAKMP.Lerouteurestconfiguravec
une stratgie (policy) unique pour des raisons de clart. Sachez quil est envisageable de configurer plusieurs
stratgies policy ainsi que des profils. Les phases dauthentification mutuelle des routeurs sont protges avec le
Voici la cl prpartage commune aux deux routeurs. Sur le routeur R1, nous configurons la cl qui correspond au
partenaireIPSec.CestpourquoifiguresurcettelignedecommandeladresseIPdurouteurR2.Laclestenclairdans
cettelignedecommande.Uneclprpartageestacceptejusqu128caractres.Ici,laclestlemotCISCO.Notons
au passage quil est recommand de ne jamais utiliser une cl aussi triviale. Rfrezvous en la matire aux
recommandationsdescuritdesmotsdepasse(utilisationdecaractresspciaux,dechiffres,demajuscules).Sinous
passonsenrevuelaconfigurationnoustrouvonslaclsouscetteforme :
LaclesticichiffreavecleprotocoleAES.Nousremarquonslechiffre6entrelemotkeyetlaclaulieuduchiffre0.
Celaconfirmelechiffrementdelacl.
Nous choisissons de chiffrer les paquets avec le protocole aes-256 et den protger lintgrit avec le protocole de
hachagesha,pardfautlemodetunnelestemploycelasignifiequelespaquetsdorigine(etnotammentlesadresses
IP)serontchiffrsmasquantainsileurorigineetleurdestinationsurlesrseauxlocaux.
VoicilacommandequinommelafonctionIPSecetquilarattachelastratgiepolicycreaudbut.Lerouteurnous
informequecettecommandenestdaucuneutilittantquunpartenaireIPSecneserapasdclarettantquuneACL
dterminantletraficchiffrernaurapastcre.Poursuivonsaveclessouscommandesdecrypto map.
Dtaillonscettesquencedecommandes.
Tout dabord le partenaire IPSec est dclar. Il sagit de ladresse externe du routeur R2. Puis, nous appelons les
fonctions de chiffrement dfinies auparavant avec la commande crypto ipsec transform-set. La commande suivante
estimportante,ellepermetdescuriserlesmessageschiffrsaveclesclsantrieuresuneclcompromisegrce
une rengociation par le protocole de DiffieHellman (avec un modulo lev). En clair, si une cl venait tre
compromise,unattaquantauraitdumaldchiffrerlesmessagesmisaveclesclsprcdentes,carcesderniresne
seraientplusliesentreelles.Enfin,lACLnommeCHIFFRERestappele.Cettedernire,dfinitletraficchiffrersurle
lien.
R1(config)#int f1/0
R1(config-if)#crypto map LAN-LAN_VPAN
Comme de coutume avec les routeurs Cisco, tout le travail que nous venons deffectuer sapplique sur une interface
physiqueoulogique.Enloccurrence,linterfaceextrieuredurouteurR1(FastEthernet1/0).
Uneconfigurationdignedecenomsachvetoujoursparquelquescommandesshowafindelavalider.
interface: FastEthernet1/0
Crypto map tag: LAN-LAN_VPAN, local addr 192.168.3.1
PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
#pkts encaps: 7, #pkts encrypt: 7, #pkts digest: 7
#pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 3, #recv errors 0
Leretourdecettecommandeattronqupourplusdevisibilit.Nousydistinguonsclairementdesdeuxassociations
descurit.Nousobservonsgalementtroiserreurs.Ellescorrespondentauxpremierspaquetsquisontperduslorsde
langociationprotocolaireentrelespartenairesIPSec.
Nous passons volontairement sous silence le retour des commandes debug qui sont dune trs grande utilit
maisextrmementverbeusespourtrereproduitesici,nousvouslaissonslesoindelesdcouvriretdobserver
ltablissementdIPSec. Ces commandes sont :debug crypto ipsec,debug crypto isakmpetdebug crypto engine.
Pourmmoire,lacommande(ultracourte)mettantfintouslesdebugetpermettantderetrouveruncalmerelatifsur
laconsoleest :u all(ellersumelacommandeundebug all).
Il existe deux mthodes dauthentification mutuelle pour IPSec qui sont les cls prpartages (que nous
venons de dcrire) et les certificats. Ces derniers offrent plus de souplesse une fois en place et librent
ladministrateur des risques inhrents la gestion des cls sous forme de squence de caractres. Toutefois, la
miseenplaceetledploiementduneinfrastructuredecertificats(ditePKI)estcomplexeetnesejustifieenterme
depraticitpourlaconfigurationquaudeldunnombrelevderouteurs.Icicestlapolitiquedescuritetses
directives en la matire qui prvaudront. Sachez que le niveau de scurit dune cl prpartage est tout fait
acceptable condition de respecter quelques rgles de base qui sont une production partir dun gnrateur
alatoiresretunegestionrigoureusedesclsdelagnrationladestructionenpassantparladistribution.
titredexemple,cettecommandeduprogrammeopensslgnreuneclalatoirede128caractresquiestlataille
maximaleduneclprpartage :opensslrandbase64 128.
Lerouteurreoitdansunpremiertempslademandedeconnexionduclientetconclutavecluilethreewayhandshake.
Ilprocdelammeoprationvisvisduserveuretseretirelaissantlesdeuxpartenairescontinuerleurchange.Si
un client ne rpond pas dans le temps imparti ou sil persiste envoyer en nombre des paquets de type SYN sans
rpondre aux sollicitations du routeur, la fonction tcp intercept intervient en liminant les communications moiti
ouvertesaufuretmesure.
Dtaillonslamiseen uvredecettefonctionnalitenexaminantlaconfiguration.
LafonctionnalittcpinterceptncessitetoutdaborduneACLafindedterminerletraficsurveiller.Prsentement,le
traficdsignestceluidestinationduserveur192.168.1.3surleporttcpwww(80).
Cesquatrecommandesprisesdanslordrelancentlafonctiontcpintercept,donnentlarfrencedelACLpuisfixent
100 connexions incompltes par minute le seuil haut partir duquel il faudra commencer purger pour ne pas
justementdpasserceseuil.Silenombredeconnexionsincompltespasseendessousde50connexions,tcpintercept
leslaisseexpirer.
Established:
Client Server State Create
Timeout Mode
192.168.2.3:44435 192.168.1.3:80 ESTAB 00:00:05
23:59:55 I
Uneconnexioncomplteesttablieentreleclientetleserveur,ici,nousnobservonsaucuneconnexionincomplte.
Established:
Client Server State Create
Timeout Mode
192.168.2.3:41775 192.168.1.3:80 ESTAB 00:00:17
23:59:57 I
Voiciunextraitdesconnexionscompltesetincompltesvisiblessurlerouteur.NotonsqueltatmentionneSYNRCVD
quisignifieSYNreu.
La commandeshow cidessus indique le nombre de connexions bloques et incompltes (99), montre une connexion
tablieetletauxde399connexionsparminutes.
Peudetempsaprs,lemessagesuivantapparatsurlaconsole :
Cemessageissudetcpinterpectnousinformequeleseuilhautestatteint.Sinousstopponslenvoidepaquetsavec
hpihgzlemessagesuivantsaffiche :
Ici,lerouteurindiqueunretourunesituationnormaletellequelleatdfiniedanslaconfigurationcestdire50
connexionsparminute.
Ilestimportantdeprteruneattentiontouteparticulirequantladfinitiondesvaleursdeparamtrage.Eneffet,
un rglage trop bas conduirait sans aucun doute le routeur carter du trafic lgitime. Une technique consiste
observer le trafic lors dune activit normale du rseau et tout particulirement le nombre maximum de connexions
ouvertesetmoitisouvertes.partirdecesvaleurs,ilestrecommanddappliquerunpetitc fficient de scurit
pournepasbloquerlerseaulorsdunpicdetraficlgitime.
Voici l uvre les deux protocoles de routage. Les deux systmes autonomes (AS 1001 et AS 1002) sont deux
entits indpendantes lune de lautre et possdant chacune son propre protocole de routage. Les deux AS utilisent
pour la gestion de leurs routes le protocole OSPF indpendamment lune de lautre. Si une connexion est envisage
entre les deux AS, il faut mettre en place un protocole de routage diffrent dOSPF afin de garantir chaque AS une
indpendancetotalepourlagestiondesesroutestoutencommuniquantcertainesdentresellesavecsonpartenaire.
Cest ici quintervient le protocole BGP dans son rle de transporteur de routes entre systmes autonomes. Cette
explicationconstitueuneapproche(rapideetschmatiqueilestvrai)durseauInternet.Cettevuenousmontreaussi
limportancedesprotocolesderoutage.Ilestaisdeconstaterquunepannesurlunoulautredesprotocoles(etce
malgr les redondances non reprsentes ici) entrainerait des perturbations dans lacheminement du trafic. De ces
perturbationspotentiellesvontdcoulernosexigencesdescurit :
Rsisterauxtentativesdednideservicesurleprotocole.
Rsisterauxtentativesdedtournementdinformationderoutage.
Cesdeuxexigencesgnralessontdclinesenmesuresdeprotectionquinesontpastouteshlasproposesparle
protocoleluimme.Enfait,lesdeuxprotocolesderoutagequenousvenonsdvoquernembarquentpourleurscurit
quuncontrlebassurunmotdepasseet(ou)lafonctiondehachageMD5.Celapeutparatrebienminceauregard
desmenacesquiplanentsurlesrseauxinformatiquesmais,dansledomainedesprotocolesderoutage,lescoupures
de service les plus svres ont eu lieu suite des erreurs de configuration ce qui na pas orient sembletil la
communautversuneapprochescuritaire.
Les tentatives de dni de service sur le protocole visent perturber ce dernier sur ses fonctions dans le but de le
perturber,deleralentiroudelarrtertotalement.Lesprotocolesderoutageprocdentlchangedemessagespour
associer entre eux les routeurs dun mme domaine et bien entendu changer des informations sur les routes
disponibles.titredexemple,leprotocoleOSPFsilreoitdesmessagesforgsetcontenantdesinformationserrones
auratendanceutiliserdeplusenplusdemmoirelorsdesestentativesdecalculpourrorganiserlatopologiedu
rseau,letoutpouvantgalementconsommerdimportantesquantitsdebandepassante.LeprotocoleBGPquant
lui,possdeunefonctionquiliminelinformationconcernantuneroutesicellecitendapparaitreetdisparatretrop
Quelssontlesmoyensmisnotredispositionpourcontrecarrerefficacementlescasquenousvenonsdeciter ?
Une solution est lutilisation de la fonction de hachage MD5 qui est disponible pour les deux protocoles. En voici le
fonctionnement.
1.LamisejourderoutageetuneclpartageentrentdansunefonctionMD5.Unrsultatestcalcul.
2. La mise jour de routage et le rsultat de la fonction MD5 prcdemment calcule sont envoys aux routeurs
destinatairesdelamisejour.
3.Aprsrception,lamisejourreueestdenouveauaveclaclpartageentredanslafonctionMD5,unrsultat
estcalcul.
4.Cersultatestcomparceluireuaveclamisejourreueltape3.
Ce systme est peu coteux en ressources. Une autre recommandation est de protger la configuration du routeur
contretoutaccsillgitimepourquelaclnetombepasentredemauvaisesmains.
Pourillustrercettefonctionnalit,nousavonsconnectdeuxrouteurs(R1etR2)vialeursinterfacesrseaurespectives
afindobserverleurcomportementlorsdelamiseen uvredelaprotection.
Enmodeconfigurationdelinterface,cesdeuxcommandesactiventlauthentificationtellequedcrite.
Lechiffre1,surlapremirecommandeindiquequilestpossibledentrerplusieurscls.Ceciesttrsutilelors
dunchangementdesclssansaltrerlefonctionnementdurseau.
interface FastEthernet1/0
ip address 192.168.0.2 255.255.255.0
ip ospf authentication message-digest
ip ospf message-digest-key 2 md5 7 104D000A0602
duplex auto
Sileservicedechiffrementdesmotsdepasse(servicepasswordencryption)estactiv,nousnotonsquelaprotectiondu
motdepassedanslaconfigurationdurouteuresthlasconfieaveclemode7quiestunchiffrementfaible.Ilfaudra
doncveillerbienprotgerlaccsaurouteur.Quoiquilensoit,lauthentificationmutuelledespartenairesOSPF(on
parle aussi de voisins) est fortement recommande pour viter lintroduction dun routeur tranger au rseau et
linjectiondinformationsderoutageindsirables.
UneautresolutionpasseparunrenforcementdelaconfigurationetlutilisationdACLquiviennentunefoisencoreau
secoursdeladministrateurrseau.
ExaminonsleprotocoleBGP.
router bgp 1
no synchronization
bgp log-neighbor-changes
neighbor 10.0.0.1 remote-as 26001
neighbor 10.0.0.1 password 7 070C285F4D06
no auto-summary
BGPoffreuneprotectionsimilairecommelemontrelacapturecidessus.BGPmriteraituneprotectionrenforcetoutdu
moins pour sa version sur IPV4 car il constitue lpine dorsale dInternet et aussi de nombreux rseaux dentreprise
tendus.BGPatconuunepoqueolascuritntaitpaslaprincipaledesproccupationscaraucunemenace
srieuseneplanaitencoresurlerseaudesrseaux.Leretardafortheureusementtrattrapdanslaversionde
BGPdestineIPV6.
Lascuritdesprotocolesderoutagereposeprincipalementsurlaconfigurationdesrouteursetlaprotectiondecelle
ci.CesticiquinterviennentlesACL.Lesprincipesdebasesontsimples:
Identifierlespartenairesquienvoientlesmisesjourderoutageetauthentifiercesdernires.BGPquiutilise
descommunicationssurunportTCPbienconnu(179)estaptetransiterdirectementdansuntunnelchiffr.
Cette solution impliquerait un dploiement dIPSec entre routeurs ce qui nest pas toujours ralisable
principalement pour des problmes de logistique comme la distribution des cls ou des certificats entre des
milliersdepartenairesnappartenantpasauxmmesorganisations.DanslecasdOSPF,lasolutionrequiertla
crationduneinterfacedetypetunneletsonchiffrementavantdyfairetransiterlesmisesjour.
Nepasaccepterdundenospartenairesquilsnousinformentsurnospropresroutesinternesafindenepas
crer de boucles de routage. Cette rgle est valable dans les deux sens dans la mesure o un routeur
partenairenestpasnonplusintressparunretourdesmisesjourquilenvoie.
Lespartenairestantgnralementdirectementconnects,nepasaccepterdemisejourvenantdunrouteur
loign.CeciestralisableencontraignantlespaquetscontenantdesmisesjourseprsenteravecunTTL
(TimeToLive)suprieurunecertainevaleurquenepourrontjamaispossderdesmachineslointaines.
RefusersystmatiquementlesrseauxdontlesprfixessontrservsparlesinstancesdirigeantesdInternet.
Cettelistequiportelenomdebogonnetworksestlargementdiffuse.IlsuffitdassociercesrseauxuneACL
enentre.
NelaisserentrerlesmisesjourderoutagequenprovenancederouteursconnusgrcedesACLtendues.
La liste des rseaux non attribus sur Internet est disponible ladresse suivante :
http://www.iana.org/assignments/ipv4addressspace
Afin de palier un manque global dadresses IP, il a t dcid au niveau des instances rgulatrices dInternet de
proposerauxentreprisestroisplagesdadressesIPlibresdutilisationsurlesrseauxprivsetdefaitnonvalablessur
Internet. La mise disposition dun mcanisme de conversion entre les adresses prives et les adresses publiques
permettoujoursauxentreprisesdeconverseraveclemondeextrieur.CemcanismeportelenomdeNAT(Network
AddressTranslation).Aveccesystme,leshtesdunrseauprivdsirantseconnecterInternetlefontenutilisant
uneadressepubliqueuniqueetcontinuentcommuniquerentreeuxgrceauxadressesrserves.Enrevanche,un
htedsiranttrevisiblesurInternetdoitimprativementdisposerduneadressepublique.
Lesplagesdadressesprives,libresdutilisationetnonvalablessurInternetsont :
leprfixe10.0.0.0/8quireprsentelesadressesIPde10.0.0.110.255.255.254
leprfixe172.16.0.0/12quireprsentelesadressesIPde172.16.0.1172.31.255.254
leprfixe192.168.0.0/16quireprsentelesadressesIPde192.168.0.1192.168.255.254.
LesmcanismesdeNATsontgnralementeffectusparlesrouteursoulesparefeulalimiteentrelerseauprivet
Internet.
Nous observons sur ce schma deux htes du rseau priv 192.168.2.0 /24 qui envoient du trafic vers lextrieuren
direction dInternet. La fonction de traduction dadresse (NAT) sur le routeur transforme les champs adresses source
despaquetssortantetsubstitueauxadressesprivesladressepubliquedesoninterfaceexterne.Ladiffrenciation
entre les deux trafics lors du retour est effectue grce au port TCP (ou UDP). Dans notre exemple, les paquets
revenantverslerouteuravecunportTCPdestinationde24000serontdirigsverslhte192.168.2.2.
Lacouche3dumodleOSIestlpinedorsaledelamajeurepartiedesrseauxdentrepriseetdInternet.cetitresa
scurit requiert une attention particulire. Si aucune mesure de filtrage nest applique entre les rseaux, les
protocoles de routage et les tables ponymes se chargent tout naturellement dacheminerletrafictousazimuts.Ce
nest gnralement pas lobjectif des rseaux dentreprise pour lesquels un minimum disolation est requis. Pour
satisfaireauxexigencesdefiltrage,leslistesdecontrlesdaccs(ACL)sontdungrandsecourspourpratiquertoutes
sortes de restrictions de trafic. Les ACL de type CBAC sont en mesure de transformer un routeur en parefeu
conservation dtat (stateful). Ce type dquipement conserve en mmoire les connexions sortantes afin dautoriser
dynamiquementletraficretour.
IPSecquiestcomposdunesuitedeprotocolesalafaveurdesentreprisespourlechiffrementenlignedesdonnes
surdescircuitsdetypepointpointoupointmultipoints.Sonutilisationtoutefoissembleenpertedevitessedansle
domaine des connexions nomades car son implmentation et sa configuration bien que souples restent assez
dlicates.
LesprotocolesIPetTCPsonttrslis.cetitre,nousavonsabordlesmesuresdescuritquivisentprotgerla
pile IP contre les attaques par dni de service qui saturent les services en demandes de connexions laisses sans
suite.Ilconvientdeprendreencomptecetypedemenacescarlasaturationdunrseauconduitrapidementson
effondrementaveclesconsquencesquecelaimplique.
Lacheminement des paquets bon port est dterminant pour le bon fonctionnement dun rseau. Il sagit l dune
vidence.Lesprotocolesderoutagedynamiquesquiontremplaclestablesstatiquesmritentpourleurconfiguration
une attention particulire car, bien quils soient vulnrables des attaques ayant pour but de drouter le trafic, les
protocolesderoutagesontaussivictimesderreursdeconfiguration.Lauthentificationdesmisesjoursavrealors
indispensable.
Le remplacement des lignes loues entre des btiments se trouvant de part et dautre dun domaine public.
LesquipementsWiFi(gnralementdesponts)sontdanscecasconnectdesantennesdirectionnellesqui
sefontfacedesdistancespouvantatteindreplusieursdizainesdemtre.
Lesconnexionsaurseaulocalitinrantesquinutilisentplusdecblagestandard(connecteurRJ45).
LesconnexionsInternetlibres(oupas)pourdespopulationsitinrantespartirdelieuxpublicsouprivs.
LesrseauxWiFisecomposentprincipalement,declientsradio,debornesdaccs(oupointsdaccs)etdemanire
optionnelleduneinfrastructuredescuritexterne.
LesclientsradiossontlquivalentdescartesrseauxEthernettellesquenouslesconnaissonsdepuisdenombreuses
annes. Le connecteur RJ45 est remplac par une antenne. On trouve les clients radio sous la forme de cartes
insrerdanslesconnecteursdunecartemredePCmaisaussisousformedeclsUSB.Ilssontparfoisdirectement
intgrs aux ordinateurs portables et sont reprables au petit logo qui ne manque pas daccompagner cette
technologie.
Les points daccs sont gnralement des botiers munis de plusieurs antennes (au moins deux) qui sont dun ct
relisauxclientsradiodunepartetlinfrastructurefilairedautrepart.
Linfrastructuredescuritesttotalementcontenuedanslepointdaccsouenpartiedportesurunsousrseaude
linfrastructure filaire. Elle comprend un ou plusieurs serveurs dauthentification dont le rle est gnralement de
contrlerlesaccsaurseaufilairevialespointsdaccssansfil.
Ciscosestbienentenduintresslatechnologiesansfiletproposetouteunegammedematrielquienglobeles
pointsdaccsetlesclients(gammeAironet)maisaussidiversoutilsdecontrleetdegestiondelinfrastructuresans
fil.Nousallonsnousconcentrericisurlespossibilitsdeconfiguration(etdescurisation)dunpointdaccs sans fil
toutendonnantpourmmoiredesconseilsdeconfigurationpourlesclients.
ExigencesdescuritpourlesquipementsWiFi
Exigences Techniques
Scuriserlaccsaurseauetassurerla 802.1X
confidentialitetlauthenticitdesdonnes.
WPA(WirelessProtectedAccess)
EAP(ExtensibleAuthenticationProtocol)
AESmodeCCM
Seprotgerdesattaquespardnideservice. Configuration
Dtecterlesquipementsnonautoriss. WIDS(WirelessIDS)
Limiterlaportedusignal. Configuration
Protectionphysiqueetlogiquedesquipements Configurationetinstallationphysique
radio.
InterdirelescommunicationsentreclientsWiFi. ACLIPetACLMAC
Sparationdesrseauxsansfiletdesrseaux UtilisationdeVLANetdeFirewall
dinfrastructure.
Limitationdutempsetdesheuresdeconnexion Configuration
(avecousanstrafic).
Pour les clients, cestdire les machines se connectant au rseau sans fil grce leur cartes embarques, nous
proposonsquelquesexigencesgnrales :
Seprmunircontrelesconnexionsentrantes. Utilisationdunfirewallpersonneletdunantivirus.
Impossibilitdepasserdurseausansfilau Pasdactivationdescartessansfiletfilaire
rseaufilaire. simultanment.
Chiffrementauniveaulepluslev. ProtocolesdescuritWPA2etAES.
Nepasaccepterdeconfigurationautomatique. DsactiverWindowsZeroConfiguration.
Nepasseconnecterautomatiquement. Dsactivationdelafonctionnalit.
Cesmesuresgnralessontfacilementapplicablesetaismentcomprhensiblesdautantplusquelescasdattaques
surlesordinateursportablesparlebiaisduWiFisesontmultiplisdansleslieuxpublicscommelesaroports.Nous
vousconseillonsgalementdevousrfrerunexempledepolitiquedescuritrelativeauxstationsdetravail.Bien
que nos exigences le stipulent, nous insistons sur linterdiction faite aux utilisateurs du rseau dintroduire et de
connecter celuici des dispositifs sans fil. Cette bonne pratique nest hlas parfois pas suivie et certaines
architecturesfilairessevoientdotesdeportesdesortiessansfilruinantpotentiellementtoutletravaildeprotection
entreprisaupralable.
Pourillustrercepropos,nousutiliseronsunpointdaccsCiscodetype1230etundispositifprochedeceluiemploy
pourprotgerlesaccsfilaires.EnmatiredeWiFilematreacronymeretenirestWPApourWiFiProtectedAccess.
WPAestdisponibleendeuxversions(WPAetWPA2)etpourchacunedellesdedeuxmodes(personneletentreprise).
Initialement,WPAatconuafinderemplacerleprotocoleWEP(WiredEquivalentPrivacy)dontlemodledescurit
fut mis mal peu de temps aprs sa mise en service. De trs nombreux articles existent sur ce sujet ainsi quune
collectiondoutils permettant la rcupration des cls de chiffrement seulement aprs quelques heures dcoutedun
rseau.
1.WPA
WPAamlioradssapremiremouturelechiffrementutilisparleprotocoleWEPenproposantlutilisationdunecl
pluslongue(enfait,ilsagitduvecteurdinitialisation),ainsiquunmeilleursystmededistributionetdedrivation,
unmeilleurcontrledintgritetlutilisationduneclchaquepaquetchiffr.
WPA2introduitleprotocoledechiffrementAES(AdvancedEncryptionStandard)enremplacementdeRC4(utilispar
WEP)avecdesclsde128 bitsainsiquunenouvellecollectiondesystmesvisantassurerlintgritdesmessages.
WPAentreprise(ouWPA2entreprise):cetteversionncessitelamiseenplacedelundesprotocolesEAPetdun
serveurRADIUScommenouslavonsdcritdanslecadredelaprotectiondesrseauxfilaires.Ici,laccsestautoris
uniquement aprs prsentation dun couple utilisateur et mot de passe valide ou dun certificat personnel de type
X509.LeserveurRADIUSprendgalementenchargelagnrationetladistributiondesclsdechiffrement.
WPA personnel (ou WPA personnel) : dans cette version de WPA, une cl prpartage est utilise entre les
participants. Nous pouvons comparer ce mode de fonctionnement celui dIPSec qui utilise galement une cl
partage.Cemodeestvulnrableencasdeclmalchoisieeticiencoredesoutilsexistentpourtenterdedevinerla
clnotammentenutilisantdesdictionnairescontentantdesmilliersdemotsoudephrasestype.
NousallonsutilisericipourtudierlaprotectiondunrseausansfilleprotocoleWPA2entrepriseavecEAPTLS.
a.WPA2,EAPTLSetFreeRADIUS
NousdevrionsrajouterAESpourtrecomplet,cesteneffetceprotocoledechiffrementquenousallonsemployer
car cest le plus puissant mis disposition. Lutilisation dEAPTLS nest pas chose aise car elle demande le
dploiement et la gestion dune infrastructure de type PKI. Cela comprend lmission des certificats et la
maintenancedelalistedervocation.
Leprincipedefonctionnementchoisidanslecadredenotretudeest :
delaisserlutilisateurchoisirsonrseauWiFi(SSID)
dauthentifierunutilisateurparlebiaisduncertificatdetypeX509enEAPTLSencontrlantquesonnom
dutilisateurcorrespondceluiducertificat
defournirleVLANdetravailetladresseIPdynamiquementenfonctionduSSIDsurlequellutilisateursest
authentifi.
Nousavonschoisidutiliser :
leserveurRADIUSlibreFreeRADIUSenremplacementduserveurRADIUSMicrosoftquenousavionsemploy
pourltudedu802.1Xfilaire
leclientWPA2entreprisepropossousWindowsVista.
InstallationduserviceRADIUSetducertificatclient:
Linstallation du service RADIUS FreeRADIUS a t accomplie sur une machine Linux Fedora partir de la simple
commande :# yum install FreeRADIUS.
Leserveurcomportelesfichiersdeconfigurationsuivants :radiusd.conf,eap.conf,clients.conf.Ilssontsitusdansle
rpertoire/etc/raddb/.
default_eap_type = tls
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = yes
tls {
certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_password = whatever
private_key_file = ${certdir}/server.pem
certificate_file = ${certdir}/server.pem
CA_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
random_file = ${certdir}/random
fragment_size = 1024
check_crl = yes
CA_path=${certdir}/WIFIcrl.pem
check_cert_issuer="/C=FR/L=Toulouse/O=TESTLAB"
check_cert_cn = %{User-Name}
cipher_list = AES256-SHA
}
Lefichierradiusd.confnapastmodifietnousdonnonsicilaconfigurationdufichiereap.confquicommesonnom
lindiqueconfigurelesprotocolesEAP.
Nousobservons :
Les noms et les emplacements des divers certificats ncessaires cestdire celui de lautorit de
certification(CA)etduserveurRADIUSdontlaphrasedescuritfigureenclairdanslaconfiguration.
La liste de rvocation (CRL) est ici configure afin de rejeter tout certificat qui sy trouverait. Il est ce
proposindispensabledeconfigurerlaCApourquesoncertificatpuissesigneruneCRL.Nousvousinvitons
vousrapprocherdelaconfigurationdevotrePKI.DanslecasdOpenSSLlacommandekeyUsage = cRLSign
estncessairedanslefichierdeconfiguration.
Enfin,noustestonsquelquesattributsducertificat,lenomdutilisateurprsentetnousforonsleprotocole
dechiffrementAES.
Une seule modification intresse le fichier clients.conf et consiste dclarer le point daccs sans fil comme client
RADIUSavecsonadresserseauetsonsecret.
Client 192.168.1.16 {
secret = cisco
}
IlestensuiteindispensabledeconfigurerdescertificatssurlesquelssappuieleprotocoleEAPTLS.Cesfichierssont
danslerpertoire/etc/raddb/certsetdoiventpossderdesdroitspermettantauserveurFreeRADIUSdeleslire.
Sontncessaires :
Uncertificatautosignpoursimuleruneautoritdecertification(CA)auformatderetdelinstallerdansle
magasin nomm autorits principales de confiance. Pour mmoire les certificats sont imports partir
dInternetExplorerensuivantlechemin :OutilsOptionsInternet ContenuCertificatsImporter.
UncertificatpourleserveurRADIUSsignparcetteautoritdecertification.UnscriptfourniavecFreeRADIUS
danslerpertoire/certspermetdecrerlescertificatsdelautoritdecertificationetduserveur(cesdeux
premierscertificatssontcrsaveclescommandes :make caetmake server).
un certificat pour le client galement sign par cette mme autorit de certification. Ce certificat est mis
sous la forme dun fichier dont lextension est de type .p12 avant dtre charg dans le magasin nomm
Personnel.Ilestcraveclescommandessuivantes :
Il est important de mentionner que dans notre cas, le certificat client est directement sign par lautorit de
certification sans passer par une autorit intermdiaire ce qui est gnralement le cas. Cela implique de ne pas
partager cette autorit de certification avec une autre organisation qui (si tel tait le cas) pourrait signer des
certificatsvalidesvotreplace.Danscetexemple,celaneposeaucunproblme.
SienplusdelaCAracine,ilexisteuneCAintermdiaire,lesdeuxcertificatsdevronttrerassemblsdans
un seul fichier qui sera dclar avec la commande CA_file = du fichier eap.conf. Un certificat nest que
rarementdlivrparuneCAracine.IllestgnralementparlintermdiaireduneCAintermdiaire.Sitelestle
cas,lecertificatdelaCAracineetdelaCAintermdiairedoiventtrefusionnsdansunfichierunique.Cefichier
seradclardanslefichiereap.confaveclacommande"CA_file=".Pourmmoire,lacommandeUNIXquipermet
deconcatnerdeuxfichiersest:catfichier_1fichier_2>fichier_3.
Soulignons de mme quil est fortement recommand lors de limportation du certificat client de cocher
loption afin que la phrase de protection de la cl prive soit demande systmatiquement lors de
lutilisationducertificat.
Nous observons sur ces deux images dun mme certificat client la chane de certification et le dtail des champs.
Comme indiqu, ce certificat a t directement sign pour lutilisateur Vincent par lautorit de certification
TESTLABWIFI.
Configurationdupointdaccssansfil(AP1231G):
hostname ap
!
aaa new-model
aaa group server radius rad_eap
server 192.168.1.3 auth-port 1812 acct-port 1813
aaa authentication login eap_methods group rad_eap
aaa session-id common
!
dot11 ssid EAP-TLS
authentication open eap eap_methods
authentication network-eap eap_methods
authentication key-management wpa
!
username vincent privilege 15 secret5 $3HBC$EpW82SUbZNtmI3PG0rU2z
!
bridge irb
!
interface Dot11Radio0
no ip address
no ip route-cache
encryption mode ciphers aes-ccm
broadcast-key change 1800
ssid EAP-TLS
bridge-group 1
!
interface FastEthernet0
bridge-group 1
!
interface BVI1
!
radius-server host 192.168.1.3 auth-port 1812 acct-port 1813 key 7
13061E010803
bridge 1 route ip
BienquelespointsdaccsCiscobnficientduneinterfacegraphique,nousprsentonsicilaconfigurationenmode
textepourdesraisonspratiques.
Les cinq premires lignes configurent le systme AAA (Authentication Authorization Accounting) sur le point daccs
dontnousvoyonsaupassagequilseconfigurecommeunrouteur.Pourmmoirelacommandeaaa new-modelactive
les fonctions dauthentification externalises sous la responsabilit de serveurs de type RADIUS ou TACACS. Le
serveurradiusestunepremirefoisdfiniauseindungroupe(rad_eap)aveclenomdelamthodepoursyrfrer
(eap_methods).
Le SSID (EAP-TLS) est lidentifiant du rseau sans fil. Cest le nom du rseau qui saffiche lorsque ce dernier est
dcouvert par le systme dexploitation au voisinage du point daccs. Le SSID appelle la mthode eap_methods
laquelle,nousvenonsdelevoir,serfreaugrouperadius rad_eap.WPAestchoisiceniveau.
Dtaillonsprsentungroupedecommandeparticulier.
Lacommandebridge irbpermetdeconfigurerlepointdaccs(quiestlabaseunrouteur)detellesortequilse
comportecommeunpont(enanglaisbridge).LepointdaccsdevientdonclquivalentduncommutateurEthernet
munidedeuxinterfacesphysiques(radioetfilaire)entrelesquelleslespaquetsvonttransiter.Ilestncessairede
dclarerlesinterfacesquiparticipentceprocessusenincluantdansleurconfigurationlacommande :bridge-group
1.NoustrouvonsbiencellecisurlinterfaceradioetsurlinterfaceEthernet.
LinterfaceBVI(BridgegroupVirtualInterface)possdeuneinterfacerouteparlaquellelepointdaccsestjoignable
pour les tches administratives. Cette interface reprsente le pont tout comme linterface dadministration dun
commutateurEthernet.LenumrodelinterfaceBVI(1dansnotrecas)estlelienaveclenumrodubridgegroup(1
galement).
Linterfacedot11radio0 est configure pour mettre en uvre le chiffrement des informations avec le protocole AES
(aesccm)puisestrattacheauSSIDEAPTLS.Elleparticipeaupontaveclacommandedcriteprcdemment.
LinterfaceEthernetparticipeaupontgrcelammecommande.
Viennent au final les commandes permettant la communication avec le serveur RADIUS. Deux commandes sont
prsentes. La commande ip radius source-interface BVI1 permet au point daccs de communiquer avec le
serveur RADIUS par le biais de ladresse IP affecte linterface BVI. La commande radius-server host donne
ladresse IP du serveur RADIUS ainsi que le secret partag. Attention aux valeurs des ports qui par dfaut sur le
pointdaccsnecorrespondentpartoujoursauxvaleurspardfautduserveurFreeRADIUS.
NotonsquaucunecommandevisantconfigurerladresseIPduclientfinal(DHCP)nesticiprsente.Ceciestduau
rledepont(bridge)tenuparlepointdaccs.
FonctionnementduserveurRADIUS :
/usr/sbin/radiusd -X
La commande figurant en premier dans la capture cidessus, permet de lancer le serveur RADIUS la main en
activantlavisualisationdesvnements.Silaconfigurationsavrecorrecte,leserveursemetencoutesurleport
1812.Lacaptureatvolontairementtronque.
Le client et le serveur RADIUS par lintermdiaire du point daccs mettent en uvre le protocole EAPTLS. Le
certificatserveurestprsentetleserveurRADIUSdemandeauclientWiFideprsenterlesien.
Le certificat client est ici examin et accept mettant fin avec succs lchange SSLv3 entre le client WiFi et le
serveurRADIUS.
Nous venons de dcrire une configuration base sur EAPTLS entre un client WiFi et un serveur RADIUS par
lintermdiaire dun point daccs de type 1231. EAPTLS nest pas le seul protocole disponible pour ce genre
dauthentification.LeprotocolePEAPquenousavionsdcritprcdemmentestparfaitementefficaceetplussimple
dployercarilnencessitepasdecertificatsclients.PEAPetEAPTLSsontdisponiblesaveclesversionscourantes
dusystmedexploitationWindows.
2.LWAPP
Lesrseauxsansfilsontvictimesdattaquesvisantprincipalementdconnecterlesclientsencoursdesessionou
perturber le lien radio par lenvoi dondes lectromagntiques puissantes, concentres et diriges vers les points
daccssansfils.Dautresattaquessontdirigesverslesstationsdetravaildanslebutdedtournerlutilisateurdun
point daccs officiel pour le rediriger vers un point daccs maquill par lattaquant. Ces attaques se droulent en
deuxtemps.Lutilisateuresttoutdabordforcsedconnecterdupointdaccslgitimepuisinvitseconnecter
un point daccscontrlparlattaquant.Enfin,existentdesattaquesdirectespourlesquelleslordinateur cible est
directementvictimedelattaque.
LespointsdaccssansfildeCiscosontdespontsEthernetquinepossdentpasnativementlintelligencencessaire
ladtectiondesattaquesquenousvenonsdeciter.Lespointsdaccssontconsidrscommedesquipements
isols dont ladministration nest pas centralise. Il en est de mme pour le rassemblement des journaux
dvnements.Enltat,ladtectiondesattaquesestrenduetrsdifficile.
Afin de complter sa gamme avec une solution de scurit cohrente et intgre au maximum, Cisco propose des
quipementscomplmentairesetunprotocoledecommunicationspcifique.
Le protocole LWAPP est la premire brique de cette approche de la gestion des points daccs WiFi. Il permet de
centraliserlestchesdeconfiguration,desurveillanceetdedpannage.Lestchesdeconfigurationcomprennentla
miseenplaceetledploiementdepolitiquedescuritsousformedACL.Unautrepointquenousallonsaborderest
la gestion des ondes radios. Avec le protocole LWAPP, ladministrateur dun rseau WiFi a la possibilit de grer
(dunemanirecentralise)lespuissancesdmissiondespointsdaccs.Enmatirededtectiondesintrusions,le
protocole LWAPP se charge de centraliser les informations en provenance des fonctionnalits de sondes IDS
disponiblessurlespointsdaccs.
Deuxquipementssedmarquentdanslagammedesproduitsdegestiondesrseauxsansfil.Cesontlecontrleur
de rseau WLC (Wireless Lan Controler) et le WCS (Wireless Control System). Le WLC est un commutateur Ethernet
bas entre autre sur le chssis du Catalyst 3750. Il est possible dempiler les WLC pour augmenter la capacit de
traitement des points daccs sans fil. Le WLC doit tre abord comme le dpositaire des politiques WiFi de
lorganisationenmatiredescurit,degestiondessignauxradio,dequalitdeserviceetdegestiondelamobilit.
La mobilit est la capacit pour un utilisateur de se dplacer munis dun quipement terminal WiFi sans devoir se
rauthentifierlorsdesesdplacementsentreplusieurszonesdecouvertures.
LeWCSestunesuitelogiciellecomprenantunebasededonnesetdesapplicationswebquioffrentlapossibilitde
planifieravecprcisionleszonesdecouverturedunezonepardespointsdaccs.Lerseauunefoisoprationnel
est alors troitement surveill. Lapplicationweb,sousformedun portail, prsente des informations statistiques et
desvuesentempsreldelacouvertureradioetdetouslesincidents.Unservicedegolocalisationestgalement
disponibleafindeconnatresilebesoinsenfaitsentirlapositiondenimportequelclientsansfil.Pourconcluresurce
logiciel,lascuritestpriseencompteavecdessignaturesdattaques(crationsdesignatures)etladtectionde
pointsdaccsnonautoriss(rogueaccesspoints).Pourdeplusamplesinformations,nousvousinvitonsconsulterle
siteInternetdeCisco.
Ces quipements aux capacits et aux fonctionnalits remarquables sont relativement coteux et linvestissement
quils reprsentent doit tre compens par les services quils offrent. Limage montre une page du logiciel WCS sur
laquellesontdisponiblesdiversrapportsconcertantlascurit.
Lagolocalisationetlagestioncentralisedelacouvertureradiosontlapanagedesolutionsrservesauxrseaux
comprenantplusieursdizainesvoirecentainesdepointsdaccs.Toutefois,ilestparfaitementenvisageableavecdes
moyenslimitsauseulpointdaccsdepratiquerltudedelacouvertureradiodunbtiment.
3.Protectionautonome
Unedenosexigencesdescuritestdelimiterlaportedusignalafinquelerseauradiosoitlepluspossiblehors
deportedepersonnesmalintentionnes.Ilesttoutfaitenvisageablededterminersonprimtredetravail(et
descurit)avecunemachinedevotreparcquipedunecarterseauWiFivosstandards.
En se dplaant mthodiquement avec cette machine tout en ayant non moins mthodiquement plac un point
daccssansfil,voustracerezsurunplanlesvaleursdusignalcaptparvotrecarterseautoutaulongdevotre
parcours. Le but de lexercice est de fournir un signal radio aux utilisateurs en vitant le chevauchement des
frquencestoutennedbordantpasduprimtrefix.
Toujours en fonction de la politique de scurit il est tolr ou non que les signaux dpassent du primtre des
btiments.Iciencorelesrglagesdespuissancesdmissionsontajustsenfonctiondesbesoins.Lobjectiffixpar
lapolitiquedescuritpeuttoutfaitimposerquaucunsignalnepuissetrecaptdansledomainepublicavecun
matriel conventionnel. Hlas, des techniques existent pour amliorer considrablement la prcision et la directivit
desantennesWiFiafinderecevoirdessignauxlointainsetaffaiblisdurantleurtransmission.Nousentronsicidansle
domainedescoutesillicites.
Lapuissancedmissiondespointsdaccssansfilsestmodifiabledanslaconfigurationetilestgalementpossible
aupointdaccsdimposerunepuissancedmissionauclientsansfilenpassedeseconnecter.
ap(config)#int dot11Radio 0
ap(config-if)# power local ?
cck Set local power for CCK rates
ofdm Set local power for OFDM rates
ap(config)#int dot11Radio 0
ap(config-if)#power client ?
<1 - 50> One of: 1 5 10 20 30 50
local Set client power to Access Point local power
maximum Set client power to allowed maximum
Icinousobservonslespossibilitsderglagedelapuissancedmissionduclientimposesparlepointdaccs.
Aveccepetitpaneldecommandes,ilestprsentenvisageablederglerfinementlespuissancesdmissionafinde
resterdansleprimtreimposparlapolitiquedescurit.
4.Limitationsdeconnexion
Noussavonsquunpointdaccssansfilestunpontaccomplissantsatcheauniveau2dumodleOSI.Ceciimplique
si rien nest entrepris une connectivit totale entre les clients sans fil ayant russi se rattacher au point daccs.
Ceciesttoutfaitconcevablesilondsiremettreenserviceunrseauentirementouvertauseinduqueltoutun
chacunalapossibilitdecommuniqueravectouslesmembresconnects.Mais,danslemondedelentrepriseetdu
service,cetteapprochenestpasdemiseetlespolitiquesdescuritimposent(laplupartdutemps)unelimitation
strictedescommunications.
Notrepointdaccssansfilvarecevoiruneconfigurationlimitantsonenclinnaturelquiconsisterelierentreeuxtous
lesclientssansfiletdelesconnecterensembleaurestedurseaufilaire.
Les points daccs Cisco offrent la possibilit dassocier les VLAN au SSID. Un rsum extrmement bref serait
dnoncer le principe suivant : chaque SSID son VLAN, sa mthode dauthentification propre et sa plage
dadressesIPCeciesttrssduisant.Leschmacidessusnousmontreunetelleconfiguration.
Icinousobservons :
un transporteur de VLAN sur un lien physique unique aussi appel trunk qui relie un point daccs un
commutateurdotdefonctionsderoutage
deuxSSIDpropossparlepointdaccsetcorrespondantauxVLANWiFiLABetGUEST
pourchaqueSSIDquunepolitiquedauthentificationspcifiqueestpropose
surlquipementdinfrastructure :lesdeuxVLANprcitsetleVLANdadministration(hbergeantleserveur
RADIUSparexemple).
Les tendues DHCP mises la disposition des clients ne sont pas reprsentes pour des raisons de clart sur le
schma.Examinonslaconfigurationdupointdaccs.
ap(config-subif)#encapsulation dot1
ap(config-subif)#encapsulation dot1Q ?
<1-4094> IEEE 802.1Q VLAN ID
ap(config-subif)#encapsulation dot1Q 1 ?
native Make this as native vlan
second-dot1q Configure this subinterface as a 1Q-in-1Q
subinterface
<cr>
ap(config-subif)#encapsulation dot1Q 1 native
ap(config-subif)#exit
------------------------------------------------------------
ap(config-if)#int f0.1
ap(config-subif)#enca
ap(config-subif)#encapsulation dot
ap(config-subif)#encapsulation dot1Q 1 native
Tout dabord nous configurons une sousinterface sur linterface radio. Pour mmoire une sous interface est cre
lorsquelonfaitdirectementsuivreladsignationdelinterfaceparunpointsuividunchiffrequidsignelenumro
dordredelasousinterface.Ici,nouscronslasousinterfacenumro1etnouslaffectonsauVLAN1enindiquantde
surcroitquilsagitduVLANnatif.
Puis,lidentiqueunesousinterfaceestcresurlinterfacefilaire.ElleestgalementrattacheauVLAN1.Cesdeux
sousinterfacesmembresduVLAN1sontautomatiquementliesaubridge-group 1prcdemmentcr.Rappelons
quecemmebridge-group 1estlilinterfaceBVI1.
Toutcecipeutsemblerconfus,maisilfautgarderlespritqueCiscoutilisefrquemmentdanslesconfigurationsles
chiffresetlesmotsclspourlierlescommandesentreelles.
!
interface FastEthernet0.2
encapsulation dot1Q 2
no ip route-cache
bridge-group 2
no bridge-group 2 source-learning
bridge-group 2 spanning-disabled
!
interface FastEthernet0.3
encapsulation dot1Q 3
no ip route-cache
bridge-group 3
no bridge-group 3 source-learning
bridge-group 3 spanning-disabled
Voiciunextraitdelaconfigurationdessousinterfacesfilairesnumro2et3rattachesauxVLAN2et3.
!
interface Dot11Radio0.2
encapsulation dot1Q 2
no ip route-cache
bridge-group 2
bridge-group 2 subscriber-loop-control
bridge-group 2 block-unknown-source
no bridge-group 2 source-learning
no bridge-group 2 unicast-flooding
bridge-group 2 spanning-disabled
!
interface Dot11Radio0.3
encapsulation dot1Q 3
no ip route-cache
bridge-group 3
bridge-group 3 subscriber-loop-control
bridge-group 3 block-unknown-source
Ici,nousobservonsdanscetextraitlaconfigurationcorrespondantesurlessousinterfacesradio.
-----------------------------------------
Ici,lesdeuxSSIDsontcrsetassocisrespectivementauxVLAN2et3.Sontaussiprcisslesmodesetmthodes
dauthentification.
ap(config)#interface Dot11Radio 0
ap(config-if)# encryption mode ciphers aes-ccm
ap(config-if)# encryption vlan 2 mode ciphers aes-ccm
ap(config-if)# broadcast-key change 1800 membership-termination
capability-change
ap(config-if)# broadcast-key vlan 2 change 1800 membership-
termination capability-change
ap(config-if)# ssid GUEST
ap(config-if)# ssid WIFILAB
Les deux SSID prcdemment crs sont associs linterface radio principale. Le mode de chiffrement que nous
avionspralablementchoisiestconserv.
Enfacedecetteconfiguration,ilfaut :
disposerunquipementdeniveau3recevantletrunksuruneinterfacephysique
crerdesinterfacesdetypeVLANquifontofficedepasserellepardfautpourlesclientsdesSSID
associerchaqueinterfaceVLANunserviceDHCPpourlesclientssansfil.
interface FastEthernet0/1
switchport trunk allowed vlan 1-3
switchport mode trunk
spanning-tree portfast
LinterfaceestprsentementconfigurepouraccueillirlesVLANde13.
vlan 2
name WIFILAB
!
vlan 3
name GUEST
!
interface Vlan1
ip address 192.168.1.254 255.255.255.0
no ip route-cache
!
interface Vlan2
ip address 192.168.2.254 255.255.255.0
no ip route-cache
!
interface Vlan3
ip address 192.168.3.254 255.255.255.0
no ip route-cache
service dhcp
!
ip dhcp excluded-address 192.168.2.254
ip dhcp excluded-address 192.168.3.254
!
ip dhcp pool WIFILAB
network 192.168.2.0 255.255.255.0
dns-server 192.168.4.1
default-router 192.168.2.254
!
ip dhcp pool GUEST
network 192.168.3.0 255.255.255.0
default-router 192.168.3.254
dns-server 192.168.4.1
LeserviceDHCPestactivsurlquipementdeniveau3(service dhcp)puislesadressesdespasserellespardfaut
sontexcluesdestenduesafindenepassevoiraffectesunclient.
Deux tendues (dhcp pool) sont actives et rfrencent pour chacun desVLANlapasserellepardfautainsiquun
serveurDNScommun.LelienentrelestenduesDHCPetlesinterfacesdetypeVLANseffectuesurlacorrespondance
entrelesadressesderseaudestendues(network)etlesadressesIPdesinterfacesVlan.
Un problme se pose toutefois ce niveau. Si rien nest fait, les membres du VLAN WIFILAB et GUEST peuvent
changerdespaquetscequinestpassouhaitable.Cephnomneestnaturelcarlquipementdeniveautroisroute
nativemententresesinterfaces.LesACLunefoisencoreviennentdnouerlasituation.Cependant,lesclientsausein
dun VLAN sur le point daccs ont encore la possibilit de dialoguer entre eux ce qui nest pas conforme aux
exigencesdescurit.DenouvellesACLserontpositionnessurlesinterfacesroutes.Enfin,lesclientssansfilsne
sauraient communiquer avec une autre adresse source que celle qui leur a t communique. Faisons le point en
nousposantcommeobservateurdespaquetsentransitsurlinterfaceVLAN.Ilneresteplusqutraduireletableau
suivantenACLdetypetendues.
AdresseIPSourceduclientsansfilfournieparDHCP. Autoris
AdresseIPSourceduclientsansfilnonconforme. Interdit
AdresseIPdedestinationcorrespondantuneadresselocaleauVLANdappartenance. Interdit
AdresseIPdedestinationnonlocaleauVLANetautoriseparlapolitiquedescurit. Autoris
5.Timeouts
La dernire exigence stipule ( demimots) quun client inactif durant un certain temps doit tre dconnect du
rseau.Danslemmeespritondsirelimiterlaccsaurseausansfilcertainesplageshoraires.
La commande dot1x reauth-period en mode gnral permet de forcer un client authentifi se rauthentifier en
fonctiondutempsparamtr.
Pourlimiterlaccsaurseausansfil,unemthodeconsistepositionneruneACLassocieuneconditiondetemps
(time based ACL). Ceci est intressant pour limiter laccs des invits (voire des employs) audel dune certaine
heure.
6.Autresmesures
LechampdesmesuresdeprotectiondesrseauxsansfilestsivastequeCiscoaintgrdanssagammedeproduits
unesolutiondesondeIDS(IntrusionDetectionSystem)basesurlanalysecomportementaledutraficpassantparles
pointsdaccsoucaptpareux.Lestentativesdereconnaissancedurseausontainsidtectesetsignalessous
formedunealarme.Pourcefairelespointsdaccssansfilpeuventtreconfigursafindofficiercommedessondes
passiveslcoutedurseauradiodansleurprimtre.
La solution porte le nom de WCS (Wireless Control System), elle se compose dun service installer sous Microsoft
WindowsouLinuxRedhatEnterprise5etduneinterfacedadministration.
LepointdaccssansfilquenousavonsutilispeuttreconfigurafindeparticiperunrseaudesondeIDSsans
fil, aprs avoir dclar son rattachement une station WDS le point daccs est configur en mode scanner ou en
Fort heureusement, la situation sest considrablement amliore avec la mise en service des protocoles WPA
notammentdansleurversionentreprise.Laconditionsinequanonuneamliorationdelascuritdesrseauxsans
filestdedployersystmatiquementcesprincipesenlescouplantdesmcanismesdauthentificationforte.Ici,les
serveurs RADIUS adosss des bases de comptes comme Active Directory ou de jetons usage unique sont
recommands.
Un point primordial est aussi la prise de conscience collective et individuelle des risques lis linstallation non
autorisedepointsdaccsoudecartesrseausansfil.Cesinitiativesmalheureusesentraventetvontlencontrede
touteslesmesuresdeprotectionquenousvenonsdvoquer.
Lesrseauxontbnficicesderniresannesdavancestechnologiquesdansledomainedelascurit.Citonsau
passagelesprotectionsdiversesetvariesfacelInternet,lavnementdelatlphoniesurIPetdesrseauxsans
fil. De nos jours, de nombreuses socits ouvrent leur rseau leurs partenaires dans le but de leur permettre
daccderdesapplicationsoudesdocuments.Toutcecisoulvedemultiplesquestionsauxquelleslesarchitectes
dudomainerseauetscuritsontsommsderpondrepournepascompromettrelabonnemarchedelentreprise.
Uneapprochemthodiqueconsistescinderlarchitectureglobaleenzonesfonctionnellesrecevantchacuneunniveau
descuritenfonctiondesapositionetdesonrle.
Les techniques que nous avons abordes lors des chapitres prcdents vont ici tre mise contribution. chaque
zonedescuritnousferonscorrespondreunjeudemesurestechniquesetorganisationnelles.
Il est important de comprendre quaudel de la protection du seul rseau, larchitecture de scurit a pour objectif
ultime la disponibilit des applications et des donnes. Le schma montre en entre (bulles suprieures) les
composantesdelarchitecturescuriseetensortiedecelleci,lesservicesfournisauxdiversprocessusdployspar
lentreprise.
Nousallonsprsenterdanscechapitreleszonesdescuritquiconnecteslesunesauxautresconstituentlerseau
scurisdanssonentiret.Nousallonsmettreencorrespondancepourchacunedeszoneslesfonctionsdescurit
abordesaucoursdeschapitresprcdents.
LestroisgrandesfamillesdesolutionsintroduitesparCiscosont:
le contrle des menaces pour les infrastructures, les quipements dextrmit et la messagerie dont les
produits entre autres englobent : les parefeu, les systmes de prvention et de dtection dintrusion, les
contrleursdaccsaurseau,lesagentsdescurit,lespasserellesdemessagerie
la scurit des communications dont les produits fournissent des services IPSec ou VPN SSL : ce sont les
routeursetlesparefeu
le contrle daccs au rseau avec lquipement NAC (Network Access Control) qui contrle la scurit des
quipementsvoulantseconnecteraurseau.
Ces trois grandes familles de produits sont rparties sur des zones de scurit qui correspondent aux zones de
sgrgationhabituelles.Pourmmoire,unezonedesgrgationcorrespondundcoupagefonctionneldurseaude
lentreprise en rgions. Ces rgions sont connectes les unes aux autres avec un certain niveau de scurit. Ce
principeestdiamtralementopposceluiderseau"plat"ouschmatiquementtouslesquipementspartagentle
mmerseauphysiquevoirelogique.
Ciscorecommandedoncdescinderlerseauenzonesquisont:
linfrastructurequireprsentelerseauinterne.Cederniertantsontourdivisentroiszones
lesfiliales
les rseaux longue distance (WAN). Il sagit des zones dinterconnexions entre lentreprise et ses filiales via
desrseauxdedonnesfournispardesprestatairesdetlcommunications(fournisseurdeserviceInternet,
oprateurTlcom)
lazoneDMZ
les zones applicatives ou (Datacenter) qui comprennent les aires de stockage, les centres applicatifs et les
servicesdetlphoniesurIP.
Quelquesrglessontobserverencequiconcernelacrationetlexploitationdeszonesdescurit :
un quipement ou un hte qui viendrait changer de zone doit se conformer aux rgles de scurit de la
nouvelle zone. Ceci est du ressort de la scurit systme et vise tout particulirement les processus de
renforcement(OSHardening).
letraficnedoitpastransiterentredeuxzonesdanslesensdelazonelamoinsscuriseverslazonelaplus
scurise.
1.Lazoneinfrastructure
La zone infrastructure est la premire des zones de scurit considrer car elle est au centre du systme
dinformation.Ltenduedecettezonecomprend,danslecadredecelivre,lec urdurseauetlazonedaccs.Les
documentspublisparCiscoontintroduittroiszonesdebase :
Leszonesdaccssontlextrmitdurseauetcomprennentlescommutateurssurlesquelssontconnects
lespostesdetravail.Leszonesdaccssontdrivesendeuxfamilles :
Leszonesdanslesquellessontfournisdesaccsfilaires.
Leszonesdanslesquellessontfournisdesaccssansfil.
Lec urderseauestcomposidalementdquipementsrapidesquirelaientletraficdunezonelautre.
2.Filiales
Unefilialeestunezonepartentiredelentrepriseetdisposeenrglegnraledemoyenslimitspourassurersa
propre scurit. Ici, lefficacit maximale est recherche avec un nombre rduit dquipements. La filiale est
gnralement traite comme une extension du rseau local et ce titre bnficie de tous les services applicatifs.
Toutefois, une filiale dispose rarement dun c ur de rseau part entire et sappuie frquemment sur un unique
quipement multifonction qui a pour mission de grer la scurit et les connexions vers le site central. La scurit
dunefiliale(considrecommeuneextensiondurseaulocal)estsensiblementidentiquecelledeszonesdaccset
dagrgation. Ici, le protocole 802.1X est charg dassurer une stricte authentification des utilisateurs ainsi que la
distributiondedroitsdaccsrseausouslaformedACLreuesaprsleprocessusdeconnexion.Toutcommesurle
rseaudusitecentral,lepaneldesprotectionsdelacouche2estentirementdisponiblepouroprerdessparations
entredeszonesauxdegrsdeconfidentialitdivers.
Lescommunicationsdelafilialeverslesitecentralsonthabituellementchiffres.Cettemesuresejustifiepleinementsi
le rseau Internet est vou cette tche dinterconnexion. La suite IPSec est tout naturellement indique pour
accomplir cette tche entre un quipement de la filiale (mutualis) et un quipement ddi sur le site central. Bien
entendu,des ACLoprentunesgrgationentreletraficchiffreretceluiautoristransiterenclair.Cecijustifie
amplementunetudepralableafindedterminerlestypesdetraficprotger.
Cette notion est importante car les ressources consommes par les processus de chiffrement peuvent se rvler
importantes. La zone filiale dploie sur lquipement de connexion toutes les protections ncessaires visvis des
rseauxextrieurs.CecisappliquetoutparticulirementsilInternetestutilispourlaconnexionverslesitecentral.
Noustrouvonsici,lesACLdontlebutestdefiltrerlesbogonnetworksetdesmesuresvisantlimiterlestentativesde
connexionfrauduleusesutilisesdesfinsdesaturation.
Nous avons abord au chapitre "La scurit de la couche rseau" la notion de logon network. Il sagit de
lensemble des rseaux IP non attribus sur Internet dont la liste est disponible sur lURL suivante :
www.iana.org/assignments/ipv4addressspace
Lafiguremontreunezonefilialerelativementsimplepourlaquelledeuxquipementssontenservice.Lecommutateur
EthernetainsiquelerouteursontparfoisintgrsdansunquipementuniquecommeleparefeuASA.
3.WAN
LazoneWANestraccordeauxdiversesinterfacesquilarelientaumondeextrieur.
LazoneWANassuregalementlerecueildesconnexionsenprovenancedesfiliales.Lesliaisonssonttabliessurdes
ligneslouesousurInternet.Enfonctiondutypedeliaison,lesmesuresdeprotectiondiffrent.Silaliaisonutilise
unevoieloue,ilestimportantdesassurerauprsdeloprateurdetlcommunicationsdelabonneisolationentre
lerseaudinterconnexionetlesrseauxdeloprateurvoireceuxdautresclients.
Lentre de la zone WAN mrite une troite surveillance des interfaces afin de visualiser toute irrgularit dans le
trafic.Unpicouuncreuxdetraficindiquentsouventlimminencedunproblmeplusgrave.
LesparefeuetlesrouteurssontlesprincipauxintervenantsdanslazoneWAN.Ilestnoterquelesdeuxfonctions
peuventfigurersurlemmequipement.
4.LazoneDMZ
Les DMZ (Demilitarized Zones) sont apparues avec la ncessit de mettre disposition sur Internet des services
applicatifsetdedonneraccsverslextrieurauxpersonnelsdelentreprise.Silonconsidrelafournituredeservice,
ilesttoutfaitinconcevableentermedescuritdautoriserunaccsinternedesclientschappanttoutcontrle.
Ainsi naquit lide de positionner ces services sur une zone dporte formant cran entre le domaine public et le
rseauinternedelentreprise.
Une DMZ est donc une zone tampon situe entre ce qui est considr extrieur et ce qui est considr intrieur
linfrastructurecentrale.UneDMZdisposedediversdispositifsdefiltragerseau,maisaussiderelaisapplicatifsdans
lebutdenerienlaisserentrerdirectementauseindelinfrastructure.
LesDMZsontconnectesparlehautlazoneWANsurlaquelleentrentlesconnexionsenprovenancedelextrieur
du rseau et par le bas la zone dinfrastructure. Le schma montre trois DMZ organises comme suit : une DMZ
externe,uneDMZdetransitetuneDMZinterne.Lesdeuxzonesdextrmithbergentdesrelaisapplicatifs(internes
ou externes) qui sont habituellement des serveurs de messagerie, des relais HTTP (web proxies) et des relais de
rsolution de nom (DNS). Ces relais possdent leur propre systme de dfense. La DMZ de transit quant elle
hberge opportunment des dispositifs de dtection dintrusion et de vrification de code comme par exemple les
firewall XML de Cisco car le trafic nest analysable quune fois quil est dchiffr. Les zones DMZ peuvent galement
5.LazoneDatacenter
La zone Datacenter hberge les serveurs centraux et des baies de stockage de grande capacit. La notion de
Datacenter implique une concentration des moyens en un lieu unique dont la scurit logique est lune des
composantesfortes.UnDatacentercombineeneffettouteslescomposantesdelascuritetrequiertunniveaude
disponibilit la hauteur de la criticit des informations quil hberge. Les mesures de protections associes au
Datacentervontdelaprotectionphysiquedesaccs,laredondancelectriqueenpassantparlaprotectioncontre
les incendies et la surveillance de la qualit de lair ambiant pour nen citer que quelquesunes. Lobjectif du
Datacenterestavanttoutechose,ladisponibilitdelinformation.
Le Datacenter dispose de sa propre scurit au niveau des systmes dopration et se repose sur la scurit du
rseaupournerecevoirquedesdemandessurlesservicesquiloffre.titredexemple,unefractionduDatacenter
fournissant des services de type http (WEB) attend uniquement des connexions sur le port 80. Celuiciseraleseul
autorisenentresurladitezone.
LascuritauniveaurseauduDatacenterreposeprincipalementsurledploiementdACLquivisegarantirquele
trafic entrant autoris correspond aux services fournis par le Datacenter. Il en va de mme en sens inverse en
sassurantdelacorrespondancedutraficsortantaveclesrequtesmisesdelextrieur.
Cest ici aussi la politique de scurit qui dicte les choix en matire de sens dinitialisation du trafic. Le Datacenter
tant une zone interne, le trafic qui y transite nest habituellement pas chiffr. Cette disposition favorise le
dploiementdedispositifdanalyseetdesurveillancecommelessondesdedtectionsdintrusionsfinementajustes
sur les trafics caractristiques de la zone. Sil est dcid de chiffrer le trafic, il conviendra de disposer de relais si la
surveillanceestsouhaite.
Unezoneauseindudatacentersedmarque,ilsagitdecellequireoitlesservicesdetlphoniesurIP.Cettezone
est idalement isole car la tlphonie est un service hautement stratgique tant par sa confidentialit que par la
hautedisponibilitquilncessite.
Ce schma montre un parefeu laissant passer les trafics faisant partie dune session autorise et bloquant un trafic
provenantdunezonedunfaibleniveaudescuritettentantdetrouverunpassageverslintrieurdurseau.
LesrouteursCiscoetlescommutateursdeniveau3sontaptesremplirlerledeparefeuentreleszonesconues
parlarchitectedescurit.Cependant,lalimitedesparefeuestflagrantesilonseplaceauniveaudescouchesdites
hautesdumodleOSI.Eneffetunfiltragemmeavecmmorisationdeltatneprotgeaucunementunservicecontre
une attaque purement applicative cestdire exploitant une faille dans un programme donn. Nous entrons ici dans
luniversdesattaquesentreautresparinjectiondecodemalicieuxdunclientversuneapplication.
Ilestdevenuindispensabledeprotgerlesapplicationscontrecetypedemalveillancequinesontpaspriseencompte
par les firewalls classiques. Le dploiement (pour le protocole http) de relais (proxies) et de relais inverss (reverse
proxies)dotsdefonctionsdescuritrpondparfaitementcetteexigencedefiltrageentrelesclientsetlesserveurs.
CesquipementsembarquentdenombreuxcontrlescommelefiltragedURLetlesscannersantivirus.
Linscurit crot aussi avec lutilisation intensive de la messagerie et des services Web dont les flux transitent entre
applications grce la souplesse du langage XML embarqu lintrieur des protocoles HTTP ou HTTPS. Comme le
montre le schma cidessus, les flux 1 et 2 sont grs par le contrle dtat et sont autoriss transiter dans des
directionsenfonctiondesrglesdescurit(ACLCBAC).Leflux3,inconnuestarrt.Letrafic,bienqutantconforme
auxrglesdescurit,vhiculepotentiellementducodemalveillantetlquipementdefiltragesiperfectionnsoitilny
verraquedufeu.
Lesquipementsdecommunicationmritentquelonsintresseeuxdeprsencequiconcernelascurit.Car,si
toutes les mesures de protection logiques des couches rseau sont correctement prises, il serait particulirement
gnantdebriserlachanedesfluxcausedunquipementdontlascuritintrinsqueauraittnglige.Deplus,
lesconfigurationsinternesdesmatrielscontiennentdeslmentshautementconfidentielsetrvlentrapidement
un ilexercunepartiedelarchitecturedurseauetdesascurit.
La ncessit de procder une scurisation rigoureuse dun routeur ou de tout autre matriel est ds lors toute
justifie.
1.Physique
Abordonstoutdabordsousformedetableaulesexigencesdescuritphysique.Nousmettronsenfacedechaque
exigenceunebrvedescriptiondelasolutionavantdeladvelopper.
Exigencesdescuritphysique
Lerouteurseraphysiquementprotg. localprotgaccsscurisparbadgeavec
enregistrementdesaccs.
Lecblageseraidentifiable. attachementdescbles,tatdesconnecteurs,
reprage.
Lalimentationlectriqueseragarantie. alimentationredondante.
Latempratureresteradanslesnormespublies sondedetempraturedanslelocaletsurveillance
parleconstructeur. descompteursSNMPsurlquipement.
LachargeCPUetmmoireserasurveille. SurveillancedescompteursSNMP.
Lachargedesliensrseauserasurveille. SurveillancedescompteursSNMP.
a.Protectionphysique
NousavonsdjabordcetaspectdelascuritaveclacouchephysiquedumodleOSI.Toutefoisici,nousentrons
dansledomainedelascuritdesinstallationsinformatiquesquivontdusimplelocaltechnique,lasallemachine
enpassantparledatacenter.
Toutquipementsedoitdebnficierduneprotectionphysiquelahauteurdesoncotmaisgalementdeson
importanceauseindurseau.Lestechniquesdedtectionetdeluttecontrelesincendiesdpassentlecadredece
livremaissontprimordialesetprendreencomptelorsdelaconstructiondunlocalvocationinformatique.
Laprotectionphysiquedunquipementrseausetraduitparsoninstallationdansunlocaldontlescaractristiques
deprotectionphysiquerespectentltatdelart.Nousparlonsicidecontrledesaccslasalleinformatiqueetde
la capacit de ce contrle tenir un journal permettant de retracer les entres et les sorties. Les exigences de
scurit (et donc la politique de scurit) imposent parfois le recours une armoire spcifique et scurise pour
laccueildesquipementsrseau.
Lecblageinformatiqueestundomaineminemmentstratgiqueetilesttrsimportantdedisposerduninventaire
prcis et complet indiquant les chemins. Les quipements dinfrastructure du rseau peuvent occuper une place
partentiresurleplandecblagedelentreprise.Decettemanirelorsquesurvientunvnementcritique,ilest
plusaisdedfiniruncheminalternatifoudecouperdeslienssincessaire.Auniveaudechaquequipement,un
reprage mticuleux des cbles rattachs aux quipements savre indispensable tout dabord pour identifier les
extrmits dans un mme local. Ici, il est opportun de disposer dune base de donnes contenant lensembledes
quipements,leursconnexionsetlescblesquiysontrattachs.
Ce bref exemple montre un exemple dinventaire de cblage avec lequel il est ais de retrouver un chemin. Cette
techniqueestaussivalablepourlesstationsdetravail.Lescblesrseauxmunisdtiquettesprnumrotessont
largementdisponiblesetilexisteaussidenombreuxsystmesdtiquetageindustrielspermettantdidentifiertous
typesdecbles(rseauxetlectrique).
b.lectricit
Les systmes dalimentation lectrique haute disponibilit ne sont pas accessibles toutes les entreprises. Les
systmes dalimentation lectrique totalement redondants sont coteux car ils mettent en uvre des sources
alternativescomprenantdessriesdebatteriesetdesgroupeslectrognesmoteurthermique.Lentretiendune
c.Temprature
Les quipements du rseau comme tout autre ordinateur sont conus pour fonctionner dans une plage de
temprature qui est indique sur la notice du constructeur. Audel ou en de de cette plage de temprature, la
bonnemarchedusystmenestplusgarantie.Surlafichetechniqueestindiquelaquantitdechaleurmiselors
du fonctionnement. Cette quantit est le souvent exprime en BTU (British Thermal Unit). La somme de lnergie
calorifiquedgageindiquelapuissancedelaclimatisationquilfaudrachoisir.Lensembledudispositifdeventilation
est dans la mesure du possible quip dun dispositif dalarme en cas dapproche des seuils indiqus par le
constructeur.
d.CPUetMmoire
Tout comme un ordinateur individuel, un quipement rseau fonctionne avec un processeur et plusieurs types de
mmoire quil est primordial de surveiller. linstar de la temprature, une augmentation (tendant vers la limite
publie)delaconsommationdemmoireoudeprocesseurindiqueundysfonctionnementencoursouvenir.Afin
de surveiller les compteurs dutilisation, lactivation du protocole SNMP est toute indique en respectant les
prcautionsdusageenmatiredescurit.
e.Chargedesliensrseau
Lesinterfacesphysiquesouvirtuellesdunrouteurparexemplesontenpermanencesoumisesunecertainecharge
detrafic.Enfonctiondesheuresdujouretdelanuit,dunepriodeparticuliredelanne,voiredunvnement.
Comme la temprature, les compteurs mmoire et CPU, la charge de trafic est une indication particulirement
intressantesousplusieursaspects.Toutdabordelleindiquesilerseaureoitdutraficetsitelestlecasildevient
possible dobserver lactivit en temps rel. Une telle surveillance si elle est de plus couple avec un systme
dalarmeencasdedpassementdeseuilpermetdedtecterparexempleunemonteenchargeinhabituelle.Des
logiciels libres et trs performants sacquittent de ces tches en offrant de surcrot dintressantes fonctions
dhistoriquedontlanalysepermetdanticiperlesredimensionnementsfutursdurseau.
2.Scuritlogique
La scurit logique des quipements rseau concerne principalement la protection des accs la console ou au
serveurWebembarqu.Ciscoamunisesproduitsdinterfacesphysiquesetlogiquesafinquunadministrateurpuisse
seconnecteretaccderlalignedecommande.
Toutcommepourlascuritphysique,ilnousfautenpremierlieuexprimerlesexigencesdescurit.
Exigencesdescuritlogique
Tempssynchronisavecauthentificationdela ProtocoleNTPavecauthentificationMD5.
source.
Protectiondesaccsvialesportssrieetauxiliaire. Authentificationparcomptelocalouexterne.
Authentificationetchiffrementdesaccs. ProtocoleSSHversion2.
Limiterletempsdinactivit. Commandeexec-timeout.
Limiterlaccscertainescommandeset Accslalignedecommandebassurdesrles.
informations.
Protgerlesinformationsmisesparlerouteur. ChiffrementdesmessagesSYSLOGetSNMP.
a.labonneheure
LesinformationsgnresparSYSLOGnesontpasvritablementexploitablestantquellesnesontpasestampilles
aveclheurelaquellelvnementsestproduit.Cestpourcetteraisonquilestindispensablederglerlheuredun
quipement avant sa mise en exploitation. Il est recommand pour ce faire dutiliser les services dun serveur de
tempsconnuaussisousladsignationdeserveurNTP(NetworkTimeProtocol).Riendeplussimpleavecunrouteur
Cisco,ilsuffitdentrerlacommandesuivante :
Mais, dans un souci vident de scurit, pouvonsnous faire confiance aux informations provenant du serveur de
temps configur ici ? Rien nest moins sr et il faut recourir une nouvelle fois un protocole offrant un systme
dauthentification.
R0(config)#ntp authenticate
R0(config)#ntp authentication-key 1 md5 cisco
R0(config)#ntp trusted-key 1
R0(config)#ntp server 192.168.0.38 key 1
R0(config)#ntp access-group peer 10
Toutdabord,lauthentificationestactive.Puisuneclportantlenumro1estcre.Cetteclseraprotgeen
md5.Lacommandetrusted-keydsignecetteclcommetantuneclvalide.Lacommandedanslaquellesetrouve
ladresseIPdurouteurassocieceluiciaveclaclnumro1.Pourterminer,uneACLestappliqueauxrequtesNTP.
Unefoislquipementsynchronis,lesdeuxcommandessuivantespermettentdestampilleraveclheureetladate
lesvnementsSYSLOGetlesmessagesissusdescommandesdeloutildediagnosticdebug.
b.PortsConsoleetAuxiliaire
Examinons tout dabord les connecteurs externes. Nous trouvons sur un routeur un port Console et un port
Auxiliaire.
LeportconsoleseprsentesouslaformedunconnecteurDB9oudetypeRJ45.Uncbleconnectceportetau
portsriedunPC(COM1)donneaccslalignedecommandedurouteurviauneinterfacegnralementnomme
con0.
Laccs la ligne de commande via cette interface ne souffre daucune drogation en matire de scurit. Il est
possibledeprotgerlaconnexionselondeuxmthodes :lemotdepasseenableouuncomptedutilisateur.
La premire mthode donne accs dans un premier temps au mode non privilgi. Il est alors ncessaire
dentrerlemotdepasseenablepouraccderaumodeprivilgi.
Lasecondemthodeestplusscurisequelapremireetrequiertlacrationduncomptelocal.Cecompte
estalorsrequislorsdelaconnexionconditiontoutefoisdavoirconfigurlinterfacecon0encesens.
R0(config)#line con 0
R0(config-line)#login local
La premire ligne cre un compte local lquipement. La troisime ligne impose aux connexions entrantes via le
portconsoleuneauthentificationaveclabasedecomptelocaledurouteur.
Cetteinterfaceesttrspratiquelorsquelquipementdoittredpannetquilestinaccessibleparlerseau.Afin
de faciliter les oprations en cas durgence, il est recommand de laisser le cble de la console ct de
lquipement.
Le port AUX (auxiliaire) du type DB 25 ou RJ 45 est utilis pour connecter un modem au routeur afin de le rendre
accessible par lintermdiaire dune ligne tlphonique analogique. Une fois connect, il est ncessaire de
sauthentifiertoutcommepourleportconsole.
Il est primordial de tracer les tentatives de connexions russies ou se soldant par un chec. Deux commandes
existentpoursatisfairecetteexigence :
Ici,lestentativescouronnesdesuccsetinfructueusessontenregistresvialeserviceSYSLOG.
Toutquipementpeuttrevictimeduneattaquevisantdcouvriruncomptevalable.Ilestpossibledelimiterdans
letempscestentativesenintroduisantundlaientreelles.
Ici,lerouteurrefuseratoutetentativedurantdeuxminutes(120s)silaprcdemmentreuplusdetroistentatives
daccs(sanssuccs)enmoinsdedixsecondes.
c.TelnetetSSH
La protection des accs (via le rseau) la ligne de commande est une ncessit et ce fait est universellement
reconnu.CestlaraisonpourlaquelleleprotocoleSSHconnaitdepuisquelquesannesunfrancsuccs.
LimplmentationduprotocoleSSH(SecureShell)surlesproduitsCiscooffrelapossibilitdeseconnecterentoute
scuritunhtedistantenchiffranttoutelacommunicationycomprislasquencedauthentification.Ciscofournit
galement un client SSH en remplacement du client Telnet. Il est noter que SSH ncessite une version dIOS
fournissantlesservicesdechiffrement.
ObservonslaconfigurationdeSSHsurunrouteurainsiquunetentativedeconnexion.
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#host R0
R0(config)# ip domain name TestLab.fr
R0(config)#
*Mar 1 00:06:38.919: %SSH-5-ENABLED: SSH 1.99 has been enabled
Enmodedeconfigurationilsuffit :
dedonnerunnomdhteaurouteuretunnomdedomainedansunpremiertemps
de gnrer une paire de cls de type RSA. Un modulo de 2048 bits est requis ici. La politique de scurit
relativeauchiffrementindiquelacomplexitrequisepourlemodulo.
delancerSSHdanssaversion2.Pourmmoire,leretourmentionnantSSH1.99renseignesurlapossibilit
dutiliserSSHversion1cequinestpasrecommandpourdesraisonsdescurit.
R0(config)#line vty 0 4
R0(config-line)#transport input ssh
R0(config-line)#login local
R0(config-line)#exec-timeout 0 30
R0(config)#access-class 10 in
R0(config-line)#exit
R0(config)#username vincent password cisco
R0(config)#service password-encryption
R0(config)#enable secret cisco
LeslignessuivantessepassentdecommentairessilelecteurestfamilierdelaconfigurationdesquipementsCisco.
Cependant, une commande est ici importante. Il sagit detransport input ssh qui oblige la connexion distante
utiliserSSH.
La commande exec-timeout 0 30 est primordiale car elle permet de ne pas laisser la console connecte en cas
dinactivit de lutilisateur. Le premier chiffre (ici 0) reprsente les minutes et le second (ici 30) reprsente les
secondes.Danslecasexpos,lutilisateurseradconnectaprs30secondesdinactivit.
Pourmmoire,nouscronsunutilisateurlocaletnousactivonsleservicedechiffrementdesmotsdepasse.
EnfonctiondesversionsilestparfoisncessairepouractiverSSHdentrerlacommande :aaa new-model.
Lorsdelapremireconnexion,uncrandecetypeapparatetdemandelutilisateurdevaliderlempreintedelacl
publiqueduserveur.Ilestimportantquunutilisateurdistantconnaisseaupralablecetteempreinte.Dslors,la
rceptiondecetcranlutilisateurseraenmesuredelavalideraveccellequilpossdedj.Danslecascontraire,
lutilisateursexposeaurisquedesubiruneattaquedutype maninthemiddle cestdiredesevoirprsenter
uneclappartenantunepersonnemalveillante.
Voicilcranquiprcdelaconnexion.noter,ilestdemandauclientSSHdenepasmmoriserlemotdepasseen
mmoire.Cettemesureestapplicabletouslesclientsquelsquilssoient.
NousvenonsdemontrerquelimplmentationduprotocoleSSHestexcessivementsimple.Ilesttoutefoisncessaire
depossderunrouteurdisposantdesfonctionsdechiffrementcequioccasionneuncotsupplmentaire.
d.SNMPetSYSLOG
SNMP
SNMPouSimpleNetworkManagementProtocolassureenmodeclientserveurlenvoidemessagesentrelquipement
surlequelrsidelagentSNMPetunserveurquiinterrogeceluici.LagentSNMPestaussicapabledmettredelui
mme des messages destination du serveur. Ces messages portent le nom de trap. Il existe trois versions du
protocoleSNMPquisediffrencientlesunesdesautresparleniveaudescuritoffert.Seulelaversion3permetle
Ces deux commandes sont assez complexes et sont associes lune lautre avec le mot TESTLAB. La premire
commande dfinit un groupe nomm TESTLAB qui utilise la version 3 du protocole SNMP. Le mot priv spcifie
lauthentificationetlechiffrementdesmessages.LACL10estappliquepourfiltrerladressesourcedesrequtes.
LasecondecommandedclarelutilisateurvincentdanslegroupeTESTLAB.Laversion3deSNMPestutiliseavec
uneauthentificationbasesurlesprotocolesSHAetchiffreenaes128.Laccesslist10estgalementapplique.
VoiciunclientSNMPsurlepointdinterrogerlagentSNMPdelquipementafindobtenirladescriptiondusystme.
Le protocole SNMP facilite la surveillance de trs nombreux paramtres parmi lesquels lactivit des interfaces
rseau. Les outils de mesure doccupation des liens effectuent une simple soustraction entre deux valeurs des
compteursifinoctets(traficentrantenOctets)etunedivisionparlintervalledetempsentrelesdeuxmesures.
SYSLOG
LeprotocoleSYSLOGestsansdoutecontemporaindeTelnet.Deplus,ilesttoutcommeluiefficacecequilarendu
populaireetindispensable.SYSLOGseproposedenvoyersurlerseaulesmessagesissusdvnementsgnrs
par un systme dexploitation. Les messages SYSLOG sont clairement visibles lorsque lon quitte le mode de
configurationpourrevenirenmodeexecaveclacommandeend(oulasquencesimultanesdestouches[Ctrl]Z).
R0(config)#logging on
R0(config)#logging console ?
<0-7> Logging severity level
alerts Immediate action needed (severity=1)
critical Critical conditions (severity=2)
debugging Debugging messages (severity=7)
discriminator Establish MD-Console association
emergencies System is unusable (severity=0)
errors Error conditions (severity=3)
guaranteed Guarantee console messages
informational Informational messages (severity=6)
notifications Normal but significant conditions (severity=5)
warnings Warning conditions (severity=4)
Lesmessagesissusdusystmesontvisiblessurlaconsolequiestdisponibledirectementsurleportdummenom
(Con0danslaconfiguration)ousurunesessiondistante(TelnetouSSH)aveclacommandeterminal monitor.
R0(config)#logging on
R0(config)#logging host 192.168.0.38
CettesquencedecommandesdirigetouslesmessagesversunserveurSYSLOGexternecommeceluipropospar
lasocitKIWIentreprise.
Voici,prsentsdanslelogicielKiwiSyslogmanager,lesmessagesissusdunrouteur.Nousytrouvonsplemledes
informationsrelativesdesaccs,desmodificationsdelaconfigurationouencoredesmessagesprovenantdACL
lafindesquellessetrouvelemotlog.
SilesretoursdeSYSLOGsontrenvoysverslaconsoleaveclacommandelogging consoleunproblmede
scuritseposeencasdchecdauthentificationsicettedernireesteffectuesurleportconsole(con0).
En effet, le message indique si le rejet est du une erreur de nom dutilisateur ou du mot de passe. Ces
informationssontautantdindications fournies une personne malveillante dans sa qute dunaccscommele
montrelecodesuivant.
Username: vincent
Password:
Username:
Sep 13 2008 20:33:44: %SEC_LOGIN-4-LOGIN_FAILED: Login failed
[user: vincent] [Source: 0.0.0.0] [localport: 0] [Reason: Login
Authentication Failed - BadPassword] at 20:33:44 UTC Sat Sep 13
2008
Username:
Ici, nous savons que le nom dutilisateur est correct mais que le mot de passe est erron. Nous sommes donc en
possession de la moiti de la squence dauthentification. Il est donc recommand de dsactiver la commande
logging console.
e.Rlesadministratifs
Ilestsouhaitabledansuneentrepriseayantgrerunparcdquipementconsquentdedisposerdunepolitique
daccs aux diverses fonctionnalits des quipements. Il est possible de crer des rles dans le but de donner
chacun deuxlaccs un ensemble limit de fonctions. Ainsi, la confidentialit de la configuration du routeur et la
rpartitiondesresponsabilitssentrouventamliores.
DanslaterminologieutiliseparCisco,letermedevue(view)estemploy.Ilenexistedeuxtypes :
Lavuerootquidisposedetouslesprivilgesdontceluidecrerdautresvues.
Lesvuesliesunrlequidisposentdetoutlepaneldescommandesexistantessurlquipement.
Avant toute chose, il est indispensable dactiver AAA avec la commande aaa new-model puis de se dconnecter du
modeprivilgiavantdeconfigurerlquipementsuivantlexemplesuivant.
R0>enable view
Password:
R0#
*Mar 1 02:42:51.331: %PARSER-6-VIEW_SWITCH: successfully set to
view root.
La premire commande suivie du mot de passe enable permet dentrer dans la vue root partir de laquelle nous
allonsparamtrerlesautresvues.
R0#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R0(config)#parser view admin-reseau
R0(config-view)#
Lavueportantlenomadminreseauestcrepartirdelavueroot.
cettevuesontajouteslescommandesjugesncessairespourcerledadministration.Lemotdepassesecret
decettevueseranaturellementchiffrparlesystme.
R0#
*Mar 1 02:58:17.631: %PARSER-6-VIEW_SWITCH: successfully set to
view admin-reseau.
R0#?
Exec commands:
configure Enter configuration mode
enable Turn on privileged commands
R0#sh
R0#show ?
ip IP information
Pour accder au rle, il faut tout dabord entrer la commande enable view suivie du nom de la vue. Le message
SYSLOGindiquequenoussommesentrsdanscettevueavecsuccs.Enentrantlepointdinterrogationseulnous
observons toutes les commandes disponibles dans le mode Exec. Nous pouvons aussi examiner les options
disponibles aprs la commande show. Dans notre cas, seules les commandes commenant par show ip sont
disponibles.
R0#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R0(config)#?
Configure commands:
do To run exec commands in config mode
exit Exit from configure mode
interface Select an interface to configure
Ici, nous procdons la verification du mode de configuration. Comme prvu, seul le mode de configuration des
interfacesestpropos.
f.Protectiondesdonnesmises
Lapolitiquedescuritimposeparfoisdeprotgerlesinformationsissuesdelquipementenfonctiondutypede
liaison(localeoudistante)etdutypederseau(privoupublic).NousvenonsdexaminerlesprotocolesSYSLOGet
SNMPquientrentdanscecasdefigure.Lesinformationsmisesparcesdeuxservicestransportentltatphysique
etlogiquedelappareillorsdesonfonctionnement.Ilestdoncprimordialdassureruntransitscurisdecestats
afinquilsnesoientniinterceptsetencoremoinsmodifissurletrajetentrelquipementetleserveurchargde
rceptionnerlesdonnes.Encasdelitigelaprotectiondesinformationsdurantletransitenassurantlintgritdu
messageetnotammentlacorrespondanceentrelvnementetsonheuredoccurrence.
LeprotocoleIPSecesttoutnaturellementdsignpouraccomplircettetche.Nousavonsexaminsaconfiguration
dansunchapitreprcdent.LaprotectiondesdonnesissuesdesservicesSNMPetSYSLOGconsistedonccrer
unecryptomapentrelerouteuretleserveuraccueillantlesmessages.LesservicesIPSecsontdisponiblessurles
platesformes Microsoft et Linux. Soulignons aussi lopportunit de filtrer ces communications vers les serveurs de
destinationlaidedACLappropries.
3.Scuritdesconfigurationsetdusystmedexploitation
Desinformationssensiblessontprsentesdanslaconfigurationdunquipementrseau.Citonsentreautrelesmots
de passe des utilisateurs locaux et cls de chiffrement IPSec. Le systme dexploitation est lui aussi au centre de
touteslesattentions.Prsentonscommelaccoutumelesexigencesdescurit.
Exigencesdescuritdesconfigurationsetdusystmedexploitation
NepasinstalleruneimageIOScorrompue. UtilisationdeMD5.
Protgerlesmotsdepassedanslefichierdeconfiguration. Chiffrementdesmotsdepasse.
Protectiondesclsdechiffrement. Chiffrementdesclsdansla
configuration.
a.ScuritdelimagedulogicielIOS
LesystmedexploitationdunrouteurCiscosenommeIOS(InternetworkOperatingSystem)etcelogicielnestpas
exempt de dfauts tant ses possibilits sont tendues. Ces imperfections (on parle de bug) ont parfois un impact
direct sur la scurit de lquipement et par extension sur le rseau tout entier. La politique de scurit impose
gnralementdesurveillerlesvulnrabilitsetdappliquerlescorrectifsquisimposentenrespectanttoutefoisune
certaine procdure. Les entreprises ne sont pas toutes gales face aux menaces informatiques et ceci est
principalement d au manque de moyen dans les fonctions de scurit et plus particulirement en matire de
Toutdabord,lesitewebdeCiscofournituneempreinteMD5delimagequelonestsurlepointdetlcharger.Une
foislIOSreu,ilsuffitdevrifiersonempreintegrceunutilitaire.
LempreinteMD5estdonnedanscetableau.Puisilfauteffectueruncopiercollerdecetteinformationdansloutil
devrificationdanslequelonchargegalementlIOSvrifier.
Nous observons ici que lempreinte copie partir du site Internet correspond celle de lIOS tlcharg.
Cependant, il est toujours possible de corrompre une image lors de son transfert. Fort heureusement, les
quipements disposent dune fonction qui vrifie lempreinte de lIOS au moment de son transfert. Cette fonction
sactiveaveclacommandefile verify auto.Unefoiscettecommandepasse,lesimagesserontvrifieschaque
tlchargement dans lquipement et en cas dchec lors de la vrification limage sera efface. Il est noter que
cette commande effectuera aussi une vrification systmatique de limage en place dans lquipement lors de sa
rinitialisation.
b.Protectiondesmotsdepasse
La politique de scurit impose une protection logique du routeur. Nous avons plusieurs reprises dans les
chapitres prcdents cr des comptes dutilisateurs distants auxquels nous avons systmatiquement associ un
motdepassequinaturellementseretrouvedanslaconfiguration.Ilsagitdoncdeprotgerefficacementcemotde
passe au cas o la configuration viendrait tomber entre de mauvaises mains. Cisco propose deux mthodes de
chiffrement pour les mots de passe, nous disposons pour notre part dun levier qui est la complexit du mot de
passe.Enlamatireilconvientdeserfrerlapartiedelapolitiquedescurittraitantdelagnrationdesmots
depasseetdappliquerlacomplexitrequise.
Ilexistedoncdeuxtypesdeprotectiondesmotsdepassedanslesconfigurations.
Lapremiremthodeappliqueunalgorithmehlasrversiblequilfautviterautantquepossible.
VoiciunexempledecechiffrementrversibleutilispourprotgerlesaccsTelnet.Ilestidentifiablegrceauchiffre
7aprslemotpassword.
Denombreuxsiteswebpermettentdedcoderlechiffrementdetype7.Ici,quellequesoitlacomplexitdumotde
passe il est rcuprable. Notez quil est indispensable au pralable dactiver la commande service password-
encryption.
LasecondemthodeutiliseuneversiondeMD5modifieparCiscoquinestpasdirectementrversible.
Enentrantlescommandescidessus,nousobtenonslorsdelarevuedelaconfigurationceci:
Ici,nousobservonslempreinteMD5dumotdepasseenableetcelledumotdepassedunutilisateur.
Le chiffrement de type 7 qui protge le mot de passe daccs aux lignes virtuelles devrait tre
systmatiquement cart au profit dun protocole scuris tel que SSH. Ce dernier sappuie sur une
authentificationpesonnalise(ventuellementlocale)etseconfigurecommesuit.
R0(config)#aaa new-model
R0(config)#aaa authentication login default local
Cette configuration seule suffit protger avec un compte local les interfaces Telnet (vty), Console (con 0) et
Auxiliaire.
Ciscometdispositionunecommandequipermetdeconfigurerunmotdepasseusageuniqueaveclacommande
one-timeutilisedansunesquencecommecelleci :username vincent one-time secret cisco.Cettetechniqueest
applicable une stratgie dinstallation distance dun quipement disposant dune configuration minimale. Un
administrateurseconnecteenSSHlquipementaveclemotdepasseuniquepuisytlchargeuneconfiguration
pluscompltecomportantdeslmentsconfidentielsavantdelasauvegarderdanslammoireaveclacommande
wr.Lemotdepasseuniqueestcemomentldfinitivementperduetremplacparlecomptedfinitif.
Lutilisationdecomptelocauxdeprfrencelimiteuncompteafindexposerlemoinspossiblelquipementaux
attaquesquitententdesenemparer.Ilesthabituellementconsidrcommeuncomptedesecours.Eneffet,ilest
recommand daccder au routeur par le biais dun compte hberg sur une base externe lquipement comme
celledunserveurdetypeRADIUScedernierinterrogeantventuellementsontouruneautrebasedecompte.
c.Protectiondesclsdechiffrement
NousavonsabordlesujetdelaprotectiondesclsdechiffrementdanslechapitretraitantdIPSec.Pourmmoire
lescommandesutilisersont :key config-key password-encryptetpassword encryption aes.
Ilnefautpaslimiterlaprotectiondesclsdechiffrementlaseuleconfiguration.Lesclsdechiffrementunefois
gnres sont idalement conserves dans un lieu sr et font lobjet dune comptabilit soigne quant leur
attribution, leur changement et leur destruction. La gestion des cls sur un mdia lectrique implique une
protectiondeceluiciparunchiffrementadquat.
Les journaux, en fonction de leur utilisation, sont protger durant leur transit sur le rseau et sur leur lieu de
stockageafinquilspuissentlecaschantservirdepreuvelorsduneenquteconscutiveunaccident,unepanne
ouunactedevandalisme.
Enfin,ilestfortementrecommanddefairesuivreauxclsdechiffrementuncycleviestrictallantdeleurgnration
leurmiseenservicejusquleurdestruction.
AveclavnementdInternetetlesprogrsenmatiredenumrisationdelavoixsontapparusaufildesannesdes
logiciels permettant dtablir une communication vocale sur le rseau des rseaux avec des correspondants dj
connects.LepasverslatlphoniesurIPfutrapidementfranchietlesconstructeurscomprirentquilspourraientsans
tarderproposerauxctsdeleursproduitspharesdesquipementsquipermettraientderemplacerdfinitivementles
centrauxtlphoniques.grandrenfortdepublicitetdecommunicationlesentreprisesprirentconsciencegalement
quaudeldespremiersinvestissements,latlphoniesurIPetlesservicesassocisdiminueraientconsidrablement
lescotstoutenaccroissantlasouplesseetlaproductivit.
prsent,lesrseauxinformatiquesvhiculentletlphone.Cettetransitionnaurapasdurunedcennie.
Nousallonsdanscechapitrenumrerlesmenacesquiplanentsurlesrseauxhbergeantdesservicesdetlphonie
surIPetprsenterlesmesuresdeprotectionadquates.
Le tlphone IP sur son poste de travail. Cest chose possible avec Cisco IP communicator un tlphone logiciel
ressemblantcommedeuxgouttesdeauauxmodlesdelasrie74XX.
Nousallonsexaminerdanscechapitrelascuritdesrseauxinformatiquestransportantlesservicesdetlphonie
surIPplusconnusouslesigneTOIPpourTelephonyOverIP.LesservicesdeTOIPsupplantentlesservicesclassiques
de tlphonie analogique ou numrique car ils sintgrent parfaitement linfrastructure des entreprises dont ils
partagent la capacit avec les autres services comme la messagerie. Le succs que connaissent actuellement les
services de tlphonie sur IP sont en partie du cette troite imbrication qui diminue considrablement sur le long
terme les cots dexploitation de la tlphonie classique. Ainsi, il nest plus ncessaire de maintenir un cblage
spcifiqueenparallledeceluidestinaurseauinformatique.Deplus,lesservicesdeTOIPsonthbergssurdes
serveursaummetitrequetouteslesautresapplications.
CesthlasenpartiecausedecesavantagesquelesrseauxTOIPentrentdanslaproblmatiquegnraledela
scuritinformatique.Enfait,ilshritenttoutnaturellementdesmmesmenacesetdesmmesfaiblesses.Examinons
les.
1.Menacesetfaiblesses
Au chapitre des menaces et faiblesses planant sur les rseaux de TOIP nous trouvons les attaques par dni de
service qui prennent ici une dimension mesurable par tous les utilisateurs dun rseau tlphonique. Nous nous
sommeseneffethabitusanneaprsanneuneexcellentedisponibilitdurseautlphoniquedomestiqueet
uneamliorationconstantedelaqualitdelavoixdenoscorrespondants.Raressontdenosjourslesproblmesde
distorsion ou de diaphonie et notre interlocuteur nous parat naturellement proche. Toutefois, les rseaux de
tlphonie sur IP souffrent dautres imperfections comme lcho qui dpend troitement du temps dacheminement
des paquets sur le rseau et le hachage des conversations ds que la bande passante vient manquer. Les
attaques par dni ou dgradation de service disposent donc dun terrain favorable du fait mme de la technologie
utilise. Les attaques portent principalement sur les quipements du rseau ou sur les serveurs hbergeant les
servicesdetlphoniesurIP,cesderniersayantremplaclestraditionnelscentrauxtlphoniques.Lesattaquesne
manquent pas et consistent rendre un poste indisponible en le faisant sonner sans cesse ou en diffusant un
message en boucle aprs avoir dcroch le combin. Quant au c ur du systme toutes les techniques visant
mettrehorsserviceunserveursontthoriquementutilisables.
Lescoutestlphoniquesnourrissenttouslesfantasmesdepuislapparitiondutlphoneetdonnenttoujourslieu
dimportantsscandalespoliticomdiatiques.cetitreellesattirenttoujourslattentiondescurieuxentoutgenre.
Lescoutessoprentauseindedeuxprimtresbiendistincts,cesontlevoisinagedirectdelappareilpigerou
le rseau de loprateur.Cest sur ce dernier quoprent les services gouvernementaux qui seuls ont le droit sous
couvertdelajusticedepratiquerlescoutes.Levoisinagedirectdupostetlphoniquestendduposteluimme
lentre sur le rseau de loprateur tlphonique. Pour mmoire, au voisinage du poste, les coutes des rseaux
analogiques ne ncessitaient que trs peu de matriel, un simple fer souder et des pinces crocodiles taient
amplementsuffisants.Puis,latlphonieavantdebasculerdansluniversIPquenousallonsdcrireestpassepar
une tape intermdiaire pendant laquelle la voix, dj numrise, cheminait sur un protocole informatique nomm
RNIS. Les coutes sur le rseau au voisinage des appareils requraient la mise en uvre dappareil drivs des
analyseursdeceprotocole.Lescoutesntaientdslorspluslaportedupremiervenucarlematrieltaitassez
coteux. Avec lavnement de la TOIP, nous pouvons dire quen matire de scurit sopre un certain retour en
arrire car cette technologie, si rien nest fait pour la protger, redevient sujette aux coutes avec des moyens
relativementsimplesetsurtouttrslargementdiffuss.Fortheureusement,pourpalliercettatdefait,desmesures
deprotectionsontdisponibles.
Lun des multiples cauchemars dun responsable de la scurit veillant sur un rseau fournissant des services de
TOIPestlafraude.Cetermedsigneausenslargelesappelssortantduprimtredelentrepriseversdesservices
payants ou des contres lointaines. La facture tlphonique augmente considrablement et les agissements des
fraudeursdoiventtreentravsleplusrapidementpossible.Lesmthodesutilisesdescendentenlignedirectede
celles utilises du temps de la tlphonie analogique et consistent manipuler des prfixes ou jouer des
mcanismesderedirectiondappel.
2.Mesuresdeprotection
Lesmesuresdeprotectionnemanquentheureusementpaspourentraverlesattaquesquenousvenonsbrivement
Auniveauphysique,unedosedeprotectionsavrerancessairepournepasnuirelintgritdutlphoneIPet
encoremoinscelledesserveurs.Lacouche2dumodleOSIsert,linstardecequenousavonsdjexamin,
lancer des attaques dinterception du trafic dont le but ultime nchappera personne. Les couches session et
rseau sont extrmement sollicites par la tlphonie sur IP qui est fortement consommatrice de ports attribus
dynamiquementetquilconviendradelimiteretdefiltreravecleplusgrandsoin.Lacoucheapplicationquantelle
nestpasenrestecarlesserveursainsiquelestlphonessontlesvictimesdattaquesdiversestantauniveaudes
protocolesdevoixsurIPquauniveaudesdiversesinterfacesdadministration quilconvientdeprotgeravecsoin
par le biais de protocoles HTTPS ou SSH tout en veillant dconnecter les sessions ouvertes aprs un temps
dinactivitraisonnable.
Nous observons sur ce schma simple ltablissement dune communication entre deux postes tlphoniques IP. La
mthodedescendenlignedirectedecellemiseen uvreparlatlphonieanalogique.
1 Lappelant dcroche son combin et compose le numro de son correspondant. Ds le dcroch du combin, le
serveurTOIPdtecteuneactivitetattendlanumrotationavantdelinterprter.
2 Le serveur de TOIP cherche la correspondance entre le numro compos par lappelant et ladresse IP du
correspondantetlorsquillatrouvefaitsonnerlaligne.Enretour,ilannoncecettatlappelantquireoitlatonalit
desonnerie.
3Lecorrespondantdcrochesoncombin.LeserveurTOIPinformealorslesdeuxcorrespondantssurleursadresses
IPrespectivesetlesportsutiliserafindentamerlacommunication.lissue,leserveurTOIPseretireetlaisseles
deuxcorrespondantschangerlibrementdespaquetscontenantdelavoixnumrise.
Lestapesnumrotes1et2sontdsignesentermestlphoniquescommetantleprotocoledesignalisationou
parextensiondelangage :lasignalisation.Ltapenumro3constituelaconversationtlphoniqueproprementdite
etfaitappeldautresprotocoles.
Nouspouvonsdjpartirdecesimpleschmaaborderlescasdanslesquelslascuritseraitmenace.Toutefois,
lesarchitecturesTOIPneselimitentpascemodlecarlesarchitectureslespluscomplexesprvoientdespointsde
sortiesverslesrseauxpublicviadespasserellesspcialises.CertainsrseauxdeTOIPmettentaussien uvredes
quipementsdestinslaconversionentrelesprotocolesTOIP,maisnousexamineronspourplusdeclartdescasde
figurerelevantdelexempledcritdansceschma.
Nous pouvons dj partir du simple schma dcrivant une communication aborder les cas dans lesquels la scurit
seraitmenace.Toutefois,lesarchitecturesTOIPneselimitentpascemodlecarlesarchitectureslespluscomplexes
prvoient des points de sorties vers les rseaux public via des passerelles spcialises. Certains rseaux de TOIP
mettentaussien uvredesquipementsdestinslaconversionentrelesprotocolesTOIP.Pourplusdeclart,nous
nexamineronsquedescasdefigurerelevantdelexempledcritdansceschma.
LobjectifdecechapitreestdedcrirelesprincipalesmenacesquipsentsurunrseauTOIPetdelescontrergrce
aux mesures de protection dj implmentes sur un rseau IP et celles propres aux services de tlphonie. La
politiquedescuritdelentreprisehritedunnouveauchapitreaveclavnementdesservicesdeTOIP,chapitredont
nousverronsquilesttroitementliceluisurlascuritauxniveauxdeuxettroisdumodleOSI.
Lescransdecechapitreproviennentdelaversion6deCiscoUnifiedCommunicationManager.
1.Exigenceslieslascuritrseau
ExigencesdescuritphysiquesetrseauappliqueslaTOIP
ProtectiondesservicesdeTOIP. Protectionphysiquedeslocaux.
Protgerphysiquementetlogiquementles Surveillancedesbureauxsensibles.
quipementsdextrmit.
DsactivationdelinterfaceWeb
Assurerlasparationdutraficvoixetdonnes. MiseenplacedeVLANddislavoixetfiltrage
entrelesVLAN.
Interdirelesattaquesdetypemaninthemiddle. Dispositifsdesurveillanceauniveau2.
NoncoutedesmessagesgratuitousARP.
LesservicesdetlphoniesurIPsont,nouslavonssoulign,stratgiquesetnesauraientsouffrirdaucunepanne.
Ceci est en partie d lexcellente fiabilit laquelle nous sommes habitus de la part des rseaux tlphoniques
prcdents.
Maintenir un tel niveau de disponibilit ncessite une haute protection physique des services. Toutes les rgles
voquesprcdemmentsontdispositionafindatteindrecetobjectif.
Les appareils dextrmit comme les tlphones IP et les stations de tlconfrence doivent tre lobjet dune
attention toute particulire car leur intgrit physique garantit directement le niveau de confidentialit de toute la
chanedecommunication.Avantdaborder limprieusencessitdechiffrerlescommunicationsetlasignalisation,il
estindispensabledeprciserquelesattaqueslesplusaudacieusesportentdirectementsurlesquipementsavant
mme que tout chiffrement intervienne. Il sagitalorsdepigerlesmicrosoucouteurscestdire les composants
chargsdecapterlavoixhumaineoudelarestituer.Ainsi,unmicrometteurhabillementdissimuldansuncombin
contournetouteslesmesuresdeprotectionprisesenavalcommelechiffrementcarilintervientavantlanumrisation
dusignaletsonchiffrement.
Certains postes de par leur position dans des locaux sensibles comme les salles de confrence doivent faire lobjet
dune attention soutenue par le biais par exemple de camras de vido surveillance. Les quipements dextrmits
disposentparfoisdemicrophonesdambiancedestinscapterlavoixlorsquelecombineestraccrochcequipermet
de poursuivre une conversation les mains libres. Ces microphones sont gnralement activables par le logiciel du
tlphoneetsoninterfacedadministration.Encasdedfaillancelogicielleoudengligencequantlaprotectiondes
accscetteinterface,lesconversationspourraienttransiterviacemicrophonediscrtementactiv.Sadsactivation
simpose donc. De mme, la plupart des tlphones IP disposent dune interface dadministration Web qui peut
enfreindrelapolitiquedescuritetsevoiraffectedebugslogiciels.
VoicicequelonobtientenseconnectantenhttpladresseIPdutlphoneaprsstrebienentenduconnectau
VLANvoix.CettepageaffichequelquesinformationsquiindiquententreautressesURLsurleCUCMquipermettentde
seconnecterentantquutilisateuroudelanceruneattaquevisanttrouveruncoupledauthentificationvalide.
Nonobstantcettemesure,letlphoneprsentelutilisateurparlebiaisdesmenusdesinformationssensiblesde
scurit.
Ici, lutilisateur visualise les options de scurit de son tlphone et avec la combinaison de touches **# a la
possibilit doprer quelques modifications. Tout comme pour le serveur HTTP embarqu, la prsentation de la
configurationlutilisateurestuneoptionquilestprfrablededsactiver.
Les donnes issues des postes de travail et celles provenant des appareils de tlphonie sur IP doiventelles
emprunter le mme chemin ? Les rgles de scurit que nous avons dcrites recommandent une sgrgation du
rseauenzonesfonctionnelles.Ilenvademmepourlesdonnessiellessontissuesdoriginesquilconvientdisoler
lesunesdesautrespourdesraisonsdeconfidentialit.Ceciestlaissladiscrtiondelapolitiquedescurit.En
matiredetlphoniesurIPunesparationentrelavoixetlesdonnesestrecommandeafinentreautredelimiter
limpact dune perturbation sur le rseau rserv aux donnes. Cette exigence de sparation repose quasi
essentiellementsurlesVLAN.Danslapratique,deuxapprochessontenvisageables :
LapremireconsistepourunmmeutilisateurdedissocierlaconnexiondutlphoneIPaurseaudecellede
Lasecondeconsisteconnecterlordinateursurletlphonecederniertantconnectviauntrunk802.1Q
lquipementderaccordement.Cettederniresolutionestlapluscourammentemployecarelleconomiseun
port.
Ici,letlphonejouelerleduncommutateurEthernetenacceptantdunctuntrunkcomposdedeuxVLANetde
lautreunordinateurindividuel.UnVLANdonnesaccueillelordinateuretunVLANvoixreoitlespaquetsmisparle
tlphoneIP.
Sicetteconfigurationestdployepardfaut,leportrservauPCserapartoutdisponibleycomprissurlespostes
tlphoniques qui ne sont pas destins en recevoir un. Ceci entrave ventuellement la politique de scurit en
offrantuneportedentreaurseausurunlieupublic,ilestalorsindispensabledavoirlapossibilitdedsactiverce
port.
Nousavonsdjabordlesproblmespossparlesattaquesdetypemaninthemiddleaucoursdesquellesuntiers
intercepteletraficentredeuxcorrespondantsentrompantlessystmesdexploitationauniveaudelacouche2du
modle OSI. Cette attaque transpose dans le monde de la tlphonie sur IP signifie que les conversations seront
coutes linsu des correspondants lgitimes. Les attaques sont galement bases sur le protocole ARP et
consistent empoisonner le cache ARP dun tlphone (ARP poisoning). Larsenal quil convient demployer est
identiqueceluidcritdanslechapitresurlaprotectionauniveau2.Encomplmentnotonsquelaconfigurationdun
poste IP permet de dsactiver tout ce qui nest pas strictement ncessaire au fonctionnement de lappareil comme
lacceptationdesmessagesgratuitousARP.
LetlphoneIPlorsdesoninitialisationfaitappelauxservicesdunserveurDHCPpourobtenirsonadresseIP.Les
protections tudies au chapitre La scurit des couches physiques et liaison de donnes sont aussi appliquer
imprativement.
Voiciuneillustrationdesoptionsdontnousvenonsdeparler.LaccsauVLANvoixparletlphoneseffectuelorsde
la premire prise de contact grce au protocole CDP dont nous savons quil est vulnrable de multiples attaques
do limportance de veiller lisolation du PC par rapport au VLAN voix qui une fois dcouvert ouvre la porte
potentiellementbiendesdbordements.CesoptionssontvisiblesdanslongletDevice,puisdanslongletPhone.Il
fautensuiterechercherlespropritsdunnumrooucreruntlphone.
SilasparationentrevoixetdonnesesteffectivegrcelemploidesVLAN,unnouveauproblmeseposesilest
dciddedployerdestlphoneslogicielssurlerseaurservauxdonnes.Ilsagitdegarantirentoutescurit
lepassagedutraficprovenantdestlphoneslogicielsversleVLANddilavoix.Deplus,ilestconseilldenepas
laisserseconnectervialerseaudedonnesuntlphonelogicielsansquilsoitauthentifi.
LasolutionproposeparCiscoestdeforcerlepassagedecetraficparunfirewallASAquisechargedauthentifierle
tlphone logiciel avant de transmettre la signalisation vers le CUCM. Cette technique requiert la configuration de
certificats sur le firewall qui, groups dans un fichier CTL, sont proposs au tlphone ainsi quune obligation
sauthentifier.
2.Confidentialitetauthentification
Lemythiquetlphonerougeestlaportedetous.Ilesttoutfaitpossibledepassersoncollguedebureauun
appeltlphoniquechiffr,toutcecinestpluslapanagedesgrandespuissancesnuclairesetlatechnologieesttout
aussipuissantequecelleutilisedurantlatristementclbreguerrefroide.
Aprsavoirprocdlaconfigurationdelascuritphysiqueetrseau,ilfautprsentexaminerlesmesuresqui
renforcent la confidentialit des changes tlphoniques. En prenant pour rfrence le schma montrant
ltablissement dune communication, des grandes phases principales se dtachent et chacune delles correspond
ExigencesdeconfidentialitetdauthentificationappliqueslaTOIP
Assurerlascuritdelasignalisation. UtilisationdeTLS
Authentifierlquipementdextrmit. UtilisationdeTLS
Assurerlaconfidentialitetlintgritdela UtilisationdeSRTP
communication.
Chiffrerlesfichiersdeconfiguration. Dispositifdechiffrementdesfichiersde
configuration
CiscorecommandetoutdabordlactivationdIPSECencasdutilisationdungroupementdeserveursredondantscaril
nestpasprvunativementdeprotectionentrelesserveurs.Concernantlescommunicationsetlasignalisation,Cisco
basesasolutionsurlamiseen uvreduneinfrastructuredeclspubliques(PKI)etlepanelhabitueldesprotocoles
descuritdontTLS.LechiffrementdelavoixutilisequantluileprotocoleSRTP(SecureRealTimeProtocol).
a.Protectiondelasignalisation
Lasignalisationestlpine dorsale de tout systme tlphonique car elle transporte entre autres la numrotation
composesurlecadrandelappareil.Dunemaniregnrale,unefoislecombindcroch,lasignalisationentreen
jeu pour dune part informer lutilisateur sur le succs de ses requtes (diverses tonalits) et dautre part pour
informer le central tlphonique du numro avec lequel il devra tablir une liaison. Les protocoles de signalisation
utiliss pour la tlphonie sur IP sont SIP, H 323 et SCCP qui est proprit de Cisco bien que quelques
implmentationsexistentchezdautresmarques(IPBlue,Asterisk).Laprotectiondelasignalisationestunprrequis
pourlchange scuris de mdia entre le CUCM et les quipements. La signalisation est donc un flux stratgique
quil convient de protger car toute attaque contre elle met en pril linfrastructure tlphonique par une
dsorganisation en temps rel. Cela se manifeste entre autre par un taux lev dappel qui naboutissent pas
correctementoupasdutout.
LasignalisationentrelestlphonesetleCUCMestprotgeparleprotocoleTLS(Transport Layer Security)quia
succd SSL (Secure Socket Layer). Dans le cas dun rseau tlphonique entirement chiffr (excluant pour
linstantlestlphoneslogiciels)aucuneanalyseduprotocolenestenvisageable.Ilestenvisageableaveclefirewall
ASA, qui possde une fonction de proxy TLS et sintercale entre un tlphone IP et le CUCM, de dchiffrer la
signalisationvenantdutlphone,denanalyserlespropritsetdelachiffrerdenouveauavantdeladirigervers
le CUCM. Cette technique ncessite la production de certificats et leur installation sur le firewall afin quil puisse
sinterposerentrelestlphonesetleCUCM.
b.Protectiondelavoix
Afindecombattreefficacementlescoutestlphoniques,lechiffrementseposecommeunesolutiondechoix.Le
protocolemiscontributionsenommeSRTP(SecureRealTimeProtocol)etsebasesurdeuxprotocolesbienconnus
qui sont AES (pour le chiffrement) et SHA (pour le contrle dintgrit). Un prrequis lutilisation de SRTP est la
protectiondelasignalisationcarelletransportelesclsdechiffrementdelavoix.SRTPestdfiniparlaRFC3711.
c.Protectiondesmdias(imagesetconfigurations)
Lauthentificationdesimagesoudesconfigurationspermetdviterquunquipementreoiveunlogicielcorrompuou
pigparuntiers.LeprocessusdevrificationdesimagesestindpendantduCUCM.Lesproduitslogicielsdestins
auxquipementsdetlphoniesontsignslectroniquementlorsdeleurproductionparCisco.
Ilestenfinrecommanddauthentifieretdechiffrerlesfichiersdeconfigurationreusparletlphoneetprovenant
duserveurTFTP,cesfichierscomportenteneffetquelquesinformationssensibles.Lactivationdecettefonctionnalit
estfacilitesiletlphoneestdtenteurduncertificatdanslecascontraireuncodeestentrauclavieravantle
tlchargementdufichierdeconfiguration.
Nousvenonsdaborderdesfonctionnalitsparticulirementutilespourlaprotectiondesdiverschangesentreles
composants de linfrastructure de tlphonie IP. Toutefois, rien de tout ceci ne serait envisageable sans une
mthodedauthentificationentreleslmentsquicomposentcetteinfrastructure.LeCUCMembarqueceteffetune
PKI dont tche est la production de certificats X509 destins aux divers composants de service du CUCM et aux
tlphones.
d.LinfrastructureclpubliqueduCUCM
les certificats autosigns par les serveurs centraux pour leurs propres besoins (accs administratifs en
HTTPS)
lescertificatssignsparlesprocessusdefabricationdirectementchezCiscosontappelsMIC(Manufacturing
InstalledCertificate)
lescertificatssignsparleCAPFouparuneCAexternesontappelsLSC(LocallySignificantCertificates).
LestlphonesIPenfonctiondeleurmodlereoiventuncertificatMIClorsdeleurfabricationousilnensontpas
munisdevrontrecevoiruncertificatLSCenvuedutiliserlesfonctionsdechiffrement.
Des certificats mis par des autorits de certification diffrentes ne pourront sauthentifier mutuellement qu
condition que leurs autorits respectives dpendent dune autorit suprieure commune. Cest le principe de la
chanedecertification.CiscopourregrouperlesmultiplesautoritsdecertificationquicomposentlarchitectureCUCM
propose un logiciel nomm CTL Client (Certificate trust List Client) dont la fonction est dinteragir avec une cl de
scuritUSB(eToken)quisignelalistedescertificatsdesautoritsdecertification.Cetteliste(signe)estcharge
danschaquetlphonelorsdesondmarrage.Lorsdunprocessusdauthentificationpralableuneprocdurede
chiffrement, le tlphone examine le certificat quil reoit de son partenaire et le confronte la liste CTL quil
possde.
LelogicielCTLClientesttlchargsurunestationdetravailpartirdunepagedelinterfacedadministrationdu
CUCM rserve aux plugins et aux API et ncessite une cl USB de scurit du type eToken sur laquelle seront
dposslesclsprivesetlescertificatsdesautoritsdecertification.
eTokenCisco
CetteclUSBestunlmentdescuritquiportelappellationdeTokenrenfermeunepairedecl(publiquesigne
etprive)gnreparCisco.
LeprincipedelaCTLestcomparableceluidelalisteblanchequidfinitlesCAautorisesvalideruncertificatau
contraireduneCRL(CertificateRevocationList)quiestunelistedecertificatsinterdits.
LorsdupremierchargementduneCTL,unappareilquinenpossdepasaccepterasansautreformedeprocsune
CTLquellequesoitsonorigine.Lerseausurlequelseffectuecettepremireinstallationdoittreirrprochable.
Une fois la PKI active (lopration nest pas triviale) les tlphones sont configurs pour utiliser le protocole de
signalisationchiffrpralablementdfinidansunprofilpuissenrlentauprsduCUCM.
La cryptographie correctement configure au niveau des quipements et du protocole de signalisation, les
tlphonesayantlacapacitdentameruneconversationprotgeentreeuxlefontnaturellementenprocdant
unevrificationmutuelledeleurscertificats.Desmodesdgradssonttoutefoisenvisageablespourlestlphones
nepossdantpastouteslesfonctionsdescurit.Cestlecasdestlphoneslogiciel(Softphones)dutypeCiscoIP
communicatorquiontseulementlacapacitdeprotgerlasignalisation.
3.Luttecontrelafraude
La lutte contre la fraude est une priorit pour les entreprises afin de ne pas sexposer des comportements
dangereuxetirresponsablespouvantengendrerdesfacturationstrslourdes.Lephnomneremonteauxorigines
mme de la tlphonie. Les entreprises offrent leurs collaborateurs quelques facilits qui si elles ne font lobjet
daucune surveillance sont un facteur aggravant du phnomne de fraude. Linformation concernant la dcouverte
dune martingale schange entre initis et le montant des factures qui connait dans les premiers temps une
croissancemodre explose quelquesmoisplustard.Ilestnoterquelafraudenerevtpassystmatiquement
uncaractretechniqueparlebiaisdesavantesmanipulations,maisconsisteparfoisenuneutilisationdraisonnable
des moyens octroys au collaborateur. Citons titre dexemple les postes bnficiant dun accs linternational
utilisspardesutilisateursmalveillantsdsledpartenfindejournedutitulairedelaligne.Uneutilisationabusive
estaussiconsidrecommeunefraudepartentire.
Lafraudequimetprofituneutilisationindirectedelalignesappuiedonctrsfrquemmentsurlesfacilitsoffertes
parlecentraltlphoniqueIP.Lesservicesderedirectiondappelsilnesontpasscurisspermettentderedirigerun
appel entrant (provenant de lextrieur de lentreprise) vers un service surtax ou un pays exotique. De mme un
appelinternepeutsevoirredirigverslextrieur.Cesmthodesncessitentuncompliceparmilescollaborateurs
moins que le bnficiaire nopre seul. Les services de bote vocale permettent aussi sous certaines conditions de
bnficierdunefonctionnalitderedirectiondappel.
Nous ne prsentons pas ici comme laccoutume un tableau dexigences car la lutte contre la fraude est une
exigenceuniquedontilestpossibledeseprmuniraveclesconfigurationsquenousallonsexaminer.
a.Techniquesantifraude
Lestechniquespermettantderestreindrelespossibilitsdecontrlerlaredirectionoulesappelssontbasessur
lanalysedunumrocompos.NoussavonsparexemplequenFrance,unappelinternationaldbutetoujoursparla
squence (ou prfixe) "00", de plus, lintrieur de lentreprise, il faut traditionnellement ajouter un "0" pour
indiquerunappelverslextrieur.Lasquencedenumrotationdbutedoncpar"000".Lelogicieldexploitationdu
dfinitiondesgroupesdeprfixesdenumrotation(00033 00044 )
crationsdegroupesdutilisateursenfonctiondeleursprivilges
regroupement des groupes dutilisateurs et des groupes de prfixes afin de dterminer les destinations
permisesauxmembresdesgroupes.
Les trois points que nous venons de dcrire sont reprsents sur le schma cidessus et se traduisent par la
terminologieCiscosuivante :
dans le menu call routing, le sousmenu translation pattern permet de crer les squences qui sont
compares avec le numro compos. Des caractres spciaux sont prvus la manire des scripts shell
(Unix/Linux)pourdsignerdessquencesoudessuitesdechiffres.Parexemplelasquence0001!dsigne
touslesnumrosdetlphonecommenantparleschiffres0001suividenimportequelautrechiffre.
une partition est un ensemble de pattern qui groups sont applicables une ligne tlphonique IP.
Toutefois,lesnumrosnecorrespondantaucunpatternneserontpasjoignablessanslaidedesespaces
derecherchesdappellescallingcallspace.
les calling call space regroupent des partitions selon un certain classement. Ils sont appliqus un
quipementtlphoniqueIPcommeuntlphoneouunelignecommeindiqusurleschma.
Deux termes importants sont utiliss ici et mritent un claircissement car ils couvrent la notion de poste
tlphonique et de ligne tlphonique. Au dbut de ce chapitre figure limage dun tlphone logiciel IP. Sur la
gauchedelimagesetrouventhuitboutonsrondsmatrialisanthuitlignestlphoniquespotentiellesdontseulela
premireestconfigurepourunutilisateur.Pardduction,unpostetlphoniqueestunobjet(logicielouphysique)
quipeutrecevoiruneouplusieurslignestlphoniques.
Appelsinternationaux OK OK X
Europe
Appelsinternationaux OK OK X
Amriquedunord
Appelsinternationaux OK X X
autresdestinations
Appelsverslesmobiles OK OK X
Appelsrgionaux OK OK OK
Numrosdurgence OK OK OK
Voici un tableau relatif aux appels ou aux redirections en fonction dune position hirarchique dans lentreprise.
chaquecaseOKcorrespondlapossibilitdtablirouderedirigerunappelverslesprfixesappartenantauxfamilles
de la colonne de gauche. Le CUCM offre deux autres techniques complmentaires celles que nous venons
dtudier :
La limitation des appels en fonction de lheure et du jour de la semaine. Cette mthode ncessite la
dfinitionduntimeperiodreporterdansuntimescheduledclarerdansunepartition.Cettedernireest
dclarerdansuncallingsearchspaceluimmeappliquunquipementouuneligne.
Lobligation faite un utilisateur dentrer un code secret pralablement un appel et ce, en fonction du
prfixeetduneprioritentreleniveaudautorisationdeceprfixeetceluidelaroutetlphoniquequildoit
emprunter.
Ces descriptions peuvent paratre relativement abstraites il est donc fortement recommand de se
reporteraumanuelduCUCMpourdeplusamplesexplicationsrelativeslaconfiguration.
Uneroutetlphoniqueestuncheminverslextrieurdudomaine,engnralverslerseautlphonique
public.CettenotionestprochedecelledunerouteIPquiseraitextrieureaurseaulocal.
Cette nouvelle famille fait la part belle aux techniques mergentes comme les VPN SSL qui ont pour vocation de
remplacerlestunnelsVPNbasssurIPSecddisauxutilisateursdistants.Lebutavoudecettetechnologieestde
faciliterlaccs(scuris)auxapplicationspubliesauformatWEBtouslesemploysetpartenairesdelentreprise
enfonctionderlespralablementdfinisetfinementattribus.Lefirewallestdevenuainsiaudeldesafonctionde
filtragerseauunevritablepasserellemultiniveauassurantdesservicesdaccsetdescuritsurtouteltendue
dumodleOSI.
LafaceavantdubotiercomportedesLEDindiquantltatdelquipementetdesconnexionsrseau.LeportUSBnest
pasutilis.
Sur la face arrire nous trouvons les huit ports dun commutateur Ethernet qui ont la possibilit dtre organiss en
troisVLANlocaux.Leportzroestpardfautrservlinterfaceexterneconnecteaurseaulemoinssr.Lessept
autres ports sont considrs comme tant internes au rseau. Les deux derniers ports offrent une alimentation
lectriqueafindalimenterunpostetlphoniqueIP.Leconnecteurdelaconsoleestentourdebleuetlesdeuxports
USB sont rservs de futures applications. Un emplacement est rserv pour accueillir une carte dextension qui
prendenchargeunmoduleddilinspectionvirale.Surladroiteduportconsole,lapetitefentepermetdattacherle
firewallunsupportlaideduncbledescuritdummetypequeceuxutilisspourlesordinateursportables.
Ciscoannonceunecapacitdetraitementde150Mbpsparlefirewallet100Mbpslorsquelechiffrementestactiv.En
fonctiondeslicences,lefirewallestlimitennombredutilisateursnormauxouutilisantlesconnexionsprotgesde
typeVPNIPSecouVPNSSL.
1.Configurationdebase
Nous prsentons la configuration du firewall ASA en nous basant principalement sur la ligne de commande (CLI).
LinterfacegraphiquedadministrationASDMseraprsenteenannexe.
Le firewall est livr avec une configuration de base qui comporte deux interfaces routes. Ce sont des interfaces
VLANidentiquescellesdescommutateursdelagamme.Chacunedentreellereoitunedsignationquiestreprise
parexempledanslescommandesdetraductionsdadresse.
LesdeuxinterfacesVLANdelaconfigurationdebasesontnommesinsideetoutside.Chacunedelleestassocie
unniveaudescurit.
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 192.168.2.1 255.255.255.0
Dans cet extrait de configuration, nous remarquons la commande nameif qui donne son appellation aux deux
interfaces.Lacommandesecurity-levelestquantellesuiviedunevaleurquiindiquesonniveaudescurit.Plus
lechiffreestgrandetpluslinterfaceestdignedeconfiancetoutcommelesrseauxquiysontconnects(centestle
maximum).
Il faut retenir que par dfaut, le trafic transite uniquement entre deux interfaces du niveau le plus lev vers le
niveaulemoinslev.Danslextraitdeconfigurationcidessus,lesmembresduVLAN1(quireprsentelintrieurdu
rseau)peuventinitialiserdesconnexionsversleVLAN2(quireprsentelextrieurdurseau).Pourdrogercette
rgledebaselutilisationduneACLestindispensable.
Une spcificit de lASA 5505 livr avec une licence de base est lobligation de rendre unidirectionnel le trafic entre
deuxdestroisinterfacesVLANquilestpossibledecrer.SilondcidedeconfigurertroisinterfacesdetypeVLAN.Le
messagesuivantapparatalors :
Cemessagenousmetengardeetindiquequilfautlimiterletraficentredeuxdestroisinterfaces.
interface Vlan3
no forward interface Vlan1
nameif DMZ
security-level 50
Ici, linterface VLAN3 est configure de telle sorte quelle ne puisse pas initialiser de communication vers linterface
VLAN1.Dautrepart,sonniveaudescuritestde50cequilasitueentrelesvaleursdesdeuxautresinterfaces.
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 3
Les interfaces physiques du commutateur Ethernet intgr dans lASA sont au final raccordes aux divers VLAN en
utilisantlacommandeswitchport access vlansuiviebienentendudunnumrodeVLAN.Pourcefaire,ilfaututiliser
lemodedeconfigurationduneinterfacephysique.LesinterfacesdansleVLAN1napparaissentpasdanslerappelde
configuration.
Tout comme pour les autres quipements, le firewall ASA dispose du protocole SSH afin de scuriser les accs
administratifs.
Cet extrait de configuration est relativement explicite. Notons toutefois la simplification en comparaison avec un
routeur. Ici, les interfaces VTY ont disparu. Il est simplement indiqu au protocole SSH ladresse IP de la station
dadministration et linterface VLAN sur laquelle ce trafic aboutit. Il sagit en loccurrence de linterface inside qui
correspondlinterfaceVLAN1.
Lecomptelocal(utilisateurvincent)vuaprsunrappeldelaconfigurationmontreicisonmotdepassechiffretson
niveaudeprivilge.
Ce sont ces techniques que nous allons dcrire mais auparavant, dfinissons comme de coutume des exigences de
scuritparrapportauxfonctionnalitsquenousvenonsdvoquer.
ExigencesdescuritFirewallpourlesfonctionsdefiltrageIP
FiltrageIPavecconservationdeltatdessessions ACL
ImplmentationdeDMZ Configuration
Traductiondadresseetprotectiondesserveurs NAT
publics
Dtectionetprotectioncontrelesmenacesausein Servicedinspectiondesprotocolesapplicatifs
desprotocolesapplicatifs
1.LesACL
Bien entendu le firewall ASA possde la capacit de garder en mmoire ltat des sessions en cours. Comme nous
lavons dcrit lors du chapitre sur la scurit au niveau 3, le firewall autorise le trafic retour correspondant celui
dfinisurlACL.
LaterminologiedesACLdiffrelgrementdecelleenvigueursurlesrouteurs,ilestgalementpossiblededclarer
(grouper)desrseaux,desquipements,desprotocolesetdesservicespourlesintgrerlaconfigurationdelACL.
LapplicationdelACLlinterfaceneseffectuepasdanslemodedecelleci.
ASA-5505(config)# object-group ?
Cestroiscapturesdeconfigurationmontrentlestapesdelacrationdetroisobjetsdsignantchacununrseau.
Nous crons un groupe dobjets(object-group) de type network portant le nom inside. Puis, nous associons trois
objets rseaux ce groupe. Le but est de dsigner sous un nom unique trois rseaux interieurs qui ne sont pas
directementconnectslinterfaceinterne.
Cetextraitdelaconfigurationmontreplusexplicitementleregroupementdestroisrseaux.
LapremiredesdeuxcommandescidessuscreuneACLetlanommeACL-Internedetypetendueetslectionne
legroupedobjetsnomminsidecommesourcedutraficIPetdestinationdenimportequelledirection.
LasecondecommandeappliquelACLenentre(in)surlinterfaceinside.
la manire de ce qui existe pour les routeurs il est possible de numroter les entres duneACLafinde
faciliterlinclusiondunenouvellelignedanslaliste.
ASA-5505(config)# sh access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max
4096)
alert-interval 300
Le retour de la commandeshow access-list nous montre la ligne 1 qui fait rfrence au groupe dobjets nomm
inside.Puis,nousobservonslaligne2quiinterditlerseau192.168.9.0.Silonsouhaiteintercaleruneligneentrela
ligne1etlaligne2,ilsuffitdecrerunenouvelleligne2.Lancienneligne2devientalorslaligne3.
2.LesDMZetNAT
Nous allons aborder deux notions qui sont troitement lies sur tous les rseaux scuriss, ce sont la cration de
zonesdmilitarises(DMZ)etlutilisationdelatraductiondadresse(NAT).
LacombinaisondecesdeuxtechniquesetlappuidesACLpermettent :
demasquerlerseauinternelavuedumondeextrieur
decrerunezonedescuritintermdiaireentrelintrieuretlextrieur
depublierdesinformationsdanscettezoneenlarendantaccessibledelextrieur.
VoiciunereprsentationdunfirewallASA5505surlequeltroiszonessontcres.LesinterfacesphysiquesEthernet
37sontpardfautrattachesauVLAN1etfontpartiedelazoneINSIDE(intrieure).
Il existe une rgle dor concernant les DMZ, celle qui recommande de ne pas laisser une zone initialiser des
communicationsversunezonedontleniveaudescuritestsuprieurausien.Cestleprincipedumoindreprivilge.
Cette rgle applique par dfaut nos trois interfaces par le firewall est rsume dans ce tableau. Il existe
cependant des cas de figure pour lesquels les communications doivent stablir afin dalimenter la zone DMZ en
informations. Ces communications devraient dbuter partir de la zone INSIDE vers la zone DMZ. Il est parfois
opportundinterdireautraficdescoulerdanslesensquiestautorispardfaut.SinousconsidronslazoneDMZ
muniedunserveurWEB,nouspouvonssouleverlaquestiondelutilitpourcettezonedtablirdescommunications
aveclextrieur.Eneffet,cetypedeserveurrenvoieverslextrieurdesinformationsetnecommuniquejamaisdesa
propre initiative vers lextrieur. Ce nest par contre pas le cas des serveurs de messagerie. Un autre cas
dapplicationdecettergleinterdiraitlazoneOUTSIDEdecontacterlaDMZsurlaquellesontdploysdesservices
vocation publique. Il apparait clairement que lorganisation des flux (vue sous laspect scurit) ne relve pas
uniquementdelanaturedelazonedoriginemalgrlebienfondduprincipedumoindreprivilge.Afindedroger
cettergleimplmentepardfautsurlesFirewallASA(aveclesniveauxdescurit),ilfautdployerdesACL.Elles
seulessontmmedautoriserdemaniregranulairedesaccsquisontinterditspardfaut.
La cration de DMZ sur le firewall ASA sopre par la configuration du niveau de scurit des interfaces VLAN. Le
schma reprsente lexemple type dans lequel la zone interne (INSIDE) reoit la valeur de 100, la zone externe
(OUTSIDE)lavaleurminimalede0,laDMZquantellereoitlavaleurintermdiairede50.
Aveccetteconfiguration,nousobtenonspardfautletableausuivantquirespecteleprincipedemoindreprivilge.
deINSIDE OK OK OK
deDMZ NON OK OK
AudbutdInternet,lesquipementsterminauxrecevaienttousuneadressepublique.Ilstaientdefaitdirectement
joignables. Ce nest plus le cas de nos jours o la plupart des systmes terminaux utilisent des adresses dites
privesmasques(NAT)paruneouplusieursadressespubliques.Nousallonsdcrirelesdeuxcaslespluscourants,
ilsagitdelaconnexiondunrseauprivInternetetdelamisedispositiondunservicepublicsuruneDMZavec
un adressage priv. Ces cas sont des classiques du genre, mais ont pour mrite daider grandement la
comprhensiondecettetechnique.
NAT (Network Address Translation) est considr comme une fonction de scurit part entire car ses
caractristiques permettent une isolation entre les rseaux publics et privs. NAT est apparu avec la ncessit
dconomiser les adresses IP publiques dInternet. De plus, il est rapidement devenu inconcevable en matire de
scuritdelaisserunordinateurdirectementconnectInternet.DesplagesdadressesIPonttdclaresnon
routables (donc inutilisables) sur Internet et mise disposition des entreprises pour un usage interne. Ces plages
dadressessontconnuessouslappellationRFC1918etsont :
10.0.0.110.255.255.254
172.16.0.1172.31.255.254
NATmodifieleschampssourceoudestinationdespaquetsIPaupassagedecesdernierssurlefirewall.Danslescas
qui suivent, nous utiliserons NAT pour modifier ladresse source des paquets IP sortant du rseau INSIDE vers le
rseau OUTSIDE et pour modifier ladresse destination des paquets IP en provenance du rseau OUTSIDE vers le
rseauDMZ.
NousmontreronsgalementcommentnepasutiliserNATentrelerseauINSIDEetlerseauDMZ.
Nous allons dcrire les trois cas les plus courants, il sagit (en 1) de la connexion du rseau INSIDE au rseau
OUTSIDE,delaconnexion(en2)durseauINSIDEverslerseauDMZetdelaconnexion(en3)durseauOUTSIDE
verslaDMZ.CestroisconfigurationsutilisentlatraductiondadresseetlesACL.
CasN1:
LerseauINSIDEseconnecteaurseauOUTSIDE.Cecasmontreunestationdetravaildunrseauinternequise
connectesurInternet.Commeellenedisposepasduneadressepublique(routablesurInternet)ilestabsolument
ncessairedechangerladresseIPsourcedespaquetsIP.Sitelntaitpaslecas,lespaquetsretournepourraient
trouverleurdestination.
LorsdesonpassagetraverslefirewalllepaquetIPchangedadressesource.SonadressedetypeRFC1918est
transformeenadresseIPpublique,enloccurrencecelledelinterfaceoutside.AucuneACLnesticincessairecarle
rseau INSIDE bnfice du niveau de scurit maximal. Cet exemple montre le rseau INSIDE en correspondance
avecladressedelinterfaceOUTSIDEdufirewall.
LasyntaxedescommandesNATnestpasfacilereteniretmritedesexplicationsapprofondies.
Il est galement possible de faire correspondre le rseau INSIDE un groupe dadresses publiques routes sur
linterface OUTSIDE. Dans cet extrait de configuration, aux adresses du rseau INSIDE correspondent une plage
dadressespubliquescestdiretouteslesadressesentre198.10.10.10et198.10.10.240
CasN2:
FautilactiverlesfonctionsNATpourtouslestypesdetrafic ?Celaneparatpasindispensableentredeuxrseaux
quipossdentdesadressesIPprives.Lecasseprsentedansnotrearchitecturepourlescommunicationsentrele
rseau INSIDE et le rseau DMZ. Le cas N1 transforme toutes les adresses du rseau INSIDE. Si la fonction NAT
nest pas ncessaire entre le rseau INSIDE et le rseau DMZ, il faut indiquer au processus NAT quil ne doit pas
traitercertainspaquets.
NousobservonsiciquelespaquetsentrelerseauINSIDEetlerseauDMZconserventleuradressesource.
UneACL(nommePasDeNat)dsigneletraficentrelerseauINSIDEetlerseauDMZ.Puis,cetteACLestapplique
unecommandeNATsappliquantsurlinterfaceinsidesuivieduchiffre0indiquantquilnefautpastransformerles
adressessourcescorrespondantlACLPasDeNat.
CasN3:
Les services offerts au public sont gnralement installs sur des zones dmilitarises afin de bnficier de la
protectionoffertedanscesespaces.Latraductiondadresseestlunedecesprotections.Ilfautqueleserveurdans
le rseau DMZ soit accessible de lextrieur par son adresse publique. Puis NAT modifie ladresse de destination
publique vers ladresse prive du serveur telle que configure sur sa carte rseau. En outre, cette communication
stablit entre linterfaceoutside(securitylevel0)etlinterfacedmz(securitylevel50)cequincessitelajoutdune
ACLpourdrogerauprincipedumoindreprivilge.
NousconstatonslechangementduchampIPdestinationdanslepaquetlorsdupassageautraversdufirewall.Cette
configurationncessiteunroutagedeladresse198.10.10.100surladressedelinterfaceoutside.
Cesdeuxcommandesdcrivent :
lassociationentreladressepubliqueduserveur(198.10.10.100)etsonadresseprive(192.168.3.2)
lindispensableACLpourpasserdunniveaudescuritlautre.Examinonslesdansledtail.
Lapremirecommandenest pas aise mmoriser de prime abord. Elle indique au routeur quuneadresseIPdu
ctdelinterfaceinsideeststatiquementtraduitesurlinterfaceoutsideparNAT.Noustrouvonsensuiteladresse
IPpubliqueduserveursuiviedesonadresseprive.Cettesyntaxeestquelquepeudroutantedufaitdelinversion
desadressesparrapportlordredesmotsinsideetoutside.
LasecondecommandeestuneACLtendueclassiquequiautoriseladressepubliqueduserveurseconnecter
sonadresseprive,lesportssontprcissetcorrespondentauprotocoleHTTP(port 80).
Descontrlessupplmentairesexistentpourlesrglesdetraductionetconcernentlacouchesession.Ilestpossible
de configurer un nombre maximum de connexions TCP et UDP. La quantit de connexions moiti ouvertes est
galementconfigurable.
3.Dtectionetprotectioncontrelesmenaces
Lesattaquesportantsurlesprotocolesdurseaunemanquentpas.Ellesschelonnentdelasimplereconnaissance
de port la mise hors service dun rseau par lenvoi en grand nombre de paquets volontairement errons. Les
attaques de ce genre peuvent tout fait traverser un firewall si elles correspondent du trafic autoris. Il peut
sembler irraliste denregistrer dans les journaux ces trafics lgitimes, mais une brutale augmentation dune
catgorie de trafic est une information de premier choix hlas noye dans le flux incessant qui traverse un
quipement de scurit. Ce principe est sduisant mais induit pour un firewall, aussi dot en mmoire soitil, une
chargedetravailconsidrable.Ilestprfrablededlguerdautresoutilslesoindesurveillerlachargedesliens
du rseau voire la conformit applicative du trafic. Parmi ces outils nous trouvons les dispositifs de corrlation de
journauxquiprsententunavantageincontestableencomptabilisantlesoccurrencesdunmmevnementaulieu
decrerunelignepourchacundentreeux.
Aprs la dtection dune activit paraissant suspecte, il convient de prendre une dcision quant au traitement du
traficincrimin.Ilestenvisageabledelliminertotalementouderestreindresontauxdepntrationdanslerseau
Le taux de messages de scurit concernant le nombre de paquets rejets par des ACL est tout particulirement
intressantcarilindiqueuneanomaliedueounonuneattaquesurlerseau.
Cette premire commande active la dtection des menaces sur une liste prdtermine dirrgularit comme les
rejetssurlesACL,unnombretropimportantdepaquetsSYNenattentedesynchronisationouunereconnaissance
parscandeports.Unmessageestenregistrsurlejournaldufirewall.Lestauxdedtectionsonttrsfacilement
paramtrables et portent sur la dure pendant laquelle seront calcules les moyennes, le taux moyen de paquets
rejetsparsecondeetuntauxdepicsurunintervallepluscourt.Cescommandesneprsententaucunedifficult
particuliremaisncessitentunparamtrageralisteenfonctiondesseuilssouhaits.
Ledtaildelacommandeestdonnpourinformation.Noustrouvonsaudessous,unecommandevisantremonter
unealerteencasdedpassementduncertainrglagedanslecasduneattaqueparinondationdepaquetsSYN.
Aprs chaque mot cl et avant chaque valeur en secondes, lutilisation du point dinterrogationfournit(enanglais)
desexplicationstrsdtaillessurlutilisationdechaquemotcl.Cetteaideenligneestdunetrsgrandequalit.
La commande en exemple se traduit de la manire suivante : le taux de dtection des menaces pour une attaque
SYN(prsume)estcalculsurunintervallede1200secondesetdclencheunealarmepouruntauxde100paquets
parseconde.
Cetteautrecommandeconcerneplusparticulirementlesreconnaissancesparscandeport.Ilesticiquestionnon
seulementderemonterunmessageencasdereconnaissancemaisaussidedconnecterlegneurpourunedure
duneminutegrceloptionshunquiestoptionnelle.Pourmmoireunereconnaissanceestunnombreconsidrable
de tentatives de connexions sur tous les ports connus afin de dterminer quels sont ceux sur lesquels le systme
dexploitationvisestencoute.
Cisco sous lappellation de normalisation du protocole TCP offre une myriade doptions trs intressantes pour
tenter de paramtrer finement la dtection des attaques dont TCP est la victime. Ici aussi le point dinterrogation
apporte beaucoup dinformations. Citons toutefois quelques options portant sur la dtection des drapeaux ACK ou
URGENTmalpositionnsainsiquelapossibilitdaccepterunevariationdelatailledesfentres.
LemcanismedapplicationdelanormalisationduprotocoleTCPuneinterfacesuitleschmautilispourajusterla
qualitdeservice.LasyntaxeutiliseparCiscoest tiroir etmritequelonsyarrtequelquesinstants.
Toutdabord,nousdfinissonslesparamtresdenormalisation(enbasdroite),puisuneclass-mapestcredans
laquelleletraficdfiniparuneACLestslectionnpourlanormalisation.Toutceciestintgrdansunepolicy-map
(qui peut contenir plusieurs entres class-map et set). Pour terminer, une service-policy englobe la policy-map
avantdesevoiraffectelinterfaceoutside.
ASA-5505(config-pmap-c)# exit
ASA-5505(config-pmap)# exit
Cette capture comporte la totalit des commandes qui correspondent au schma dorganisation de cette
configurationencascade.Noustouchonsiciauxsquencesdecommandesparmilespluscomplexesintroduitespar
Cisco.
4.OlonreparledelatlphoniesurIP
a.TLSproxy
b.Inspectionprotocolaire
Il est ici question de vrifier la conformit du protocole de signalisation par rapport des rgles dfinies dans la
configuration du parefeu. Ces rgles seront confrontes la signalisation. Linspection du protocole vrifie
galementlespropritsTCPdelaconnexionetoffrelopportunitderendrealatoirelesnumrosdesquences.
Enfin,unergledequalitdeservicepeutaussitreappliqueautrafic(enloccurrencelasignalisation).
class-map VoIP
match any
!
policy-map type inspect skinny Inspection-SCCP
parameters
enforce-registration
message-id max 0x141
sccp-prefix-len max 65536
timeout media 0:01:00
timeout signaling 0:05:00
rtp-conformance enforce-payloadtype
policy-map global-policy
description Telephonie
class VoIP
inspect skinny Inspection-SCCP
set connection conn-max 100 embryonic-conn-max 20 per-client-max
3
set connection timeout tcp 1:00:00 reset dcd 0:15:00 5
set connection decrement-ttl
!
service-policy global-policy global
CetextraitmontrelaconfigurationdelaprotectionduprotocoleSCCP.Leschmaconsistedclarerunpolicymap
de type inspect puis linsrer dans une policymap nomme globalpolicy. Cette dernire est appele dans une
commande service-policy applique globalement (global). La classmap nomme VoIP dsigne tout trafic sans
distinction.Elleestappeledanslapolicymapnommeglobalpolicy.
Les paramtres concernant SCCP sont sous le mot parameters. Ceux concernant TCP sont dans la classnomme
VoIP.Cetteinspectionestbienentenduapplicablesurdutraficenclairmaisaussisurdutraficchiffrcondition
davoiractivlafonctionTLSproxy.
c.Phoneproxy
Cette technique est particulirement utile pour scuriser les rseaux au sein desquels sont prsents des
tlphonesIPlogiciel(SoftPhone).Lesrseauxdetlphonieetceuxdedonnesemploientenrglegnraledeux
VLANdistincts.Siuntlphonelogicielestinstallsurunestationdetravail(membreduVLAN donnes )ilest
alorsncessairedefairetransiterlatlphoniedunVLANverslautrecequisoulvequelquesproblmesdusla
naturedesportsUDPetleurdsignationdynamiqueparleCUCM.Cetteconfigurationncessitetoutcommepour
leTLSproxylinstallationdecertificatssurleparefeuafindereprsenterleCUCMpourlestlphonesetunemise
jourdeleurlistedescuritinterne.
LeCUCMestcapabledintercepterlesmessagesenprovenanceduntlphonelogicielduVLANdedonnesetde
leforcersauthentifier. lissuedecettesquencelasignalisationindiqueauparefeulesportsparlesquelsle
trafictlphoniqueseraautorispasser.Cettetechniquevitedonclouverturestatiquedunetropgrandeplage
deportsUDP.
Les applications de type client serveur ncessitent en temps normal linstallation dun logiciel spcifique sur la
machineclienteetcelanevapassansposerdenombreuxproblmesdedploiementetdemisejourdesversions
en production. De plus, les accs distants au rseau de lentreprise sur lesquels rsident des clients spcifiques
ncessitentunsupplmentdeconfigurationaveclinstallationdeslogicielsddislacommunication.Lavnement
desapplicationsdveloppespourInternetaconsidrablementmodifiladonneensimplifiantlesaccsauxrseaux
distants. En effet, partir dun simple navigateur Web il est possible daccder en toute scurit un portail sur
lequeldesliensredirigentlutilisateurverssesapplications.Pourcertainesdentreellescemodedefonctionnement
nestpasenvisageableenraisonducotdemigrationoudeshabitudesprisesparlesutilisateurs.Lamessagerieest
un exemple typique pour lequel les utilisateurs ont quelques difficults troquer leur traditionnel client contre une
messagerie en ligne offrant pourtant les mmes facilits. Afin de palier cet inconvnient, il est possible de
tlchargerlademandedesfonctionnalitsadditionnellespourcanalisercestypesdetraficdanslacommunication
protgeparSSL.
LesparefeuCiscoASAoffrenttroistechniquesquenousallonsexaminersousleprismedelascurit.Cesmodesde
fonctionnementsont :laconnexionVPNSSLsansclient,celleavecunouplusieursconnecteursspcifiques(plugin)
etcelleavecunclientlourd.
Le dploiement de cette technologie ncessite une bonne organisation afin de planifier avec soin les groupes
dutilisateursetlesdroitsdaccsauxressources.Ici,lanotiondegroupestendenfonctiondesprojetsbienau
del des utilisateurs de lentreprise. Ceci est du au fait que la technologie VPN SSL repousse les limites des
connexionstraditionnellesetoffreainsilapossibilituneentreprisedouvrirsesressourcessespartenairessans
quilsoitncessairedematriserleurinfrastructure.Untelprojetsaccompagneaussidunetudesurlesprocdures
decrationetdechangementconcernantlesressources,lesgroupesdutilisateursetlesrelationsquilesunissent.
Cestudessont,soulignonsle,troitementlieslorganisationdesannuairesdentrepriseetplusglobalementla
gestiondesidentits.
Cettetudecomportebienentendu(etcommetoujours)unedfinitionpralabledesexigencesdescurit.
ExigencesdescuritdesVPNSSL
Authentifierlesutilisateurs AAA(associationgroupesressources)
Leurattribuerdesdroitsdaccs Gestiondesmotsdepasse.
Validerunniveaudescuritsurlesstations Vrificationdelantivirus,niveauminimalde
distantes chiffrement,expirationdessessions,
authentificationmutuelle(certificats)
Renforcerlascuritencasdaccspartirde Securedesktop,effacementducache,clavier
machinespubliques virtuel,dtectiondesenregistreursdeclavier
CesexigencescouvrentlesdeuxdomainesquesontlquipementVPNSSLcentraletlastationdistante.
Voici une reprsentation trs schmatique dune architecture VPN SSL sur laquelle nous observons les lments
constitutifs et les flux associs en partant du principe que lquipement VPN SSL est en mode rout et dlgue
quelques fonctions de scurit. Si tel nest pas le cas, il savre indispensable dintercaler un routeur ou un
commutateurEthernetmunisdefonctionsderoutage.Dcrivonscettearchitecture :
Les stations de travail passent au travers dun premier firewall qui a pour vocation de filtrer le protocole
entrantenveillantlabonneconformitdelacoucheTCP/IPetenassurantunebarrirecontrelesattaques
parsaturation.
Letraficestroutversunquipementdetypereverseproxyafindepasserdenouveauxservicesdescurit
commelanalysedescaractresdangereuxavantdtre(gnralementenfonctiondelURI)versleserveur
deproduction.Ilestrecommanddechiffrercettecommunicationpourassurerunmaximumdeconfidentialit
auseinmmedesDMZ.
Cedernierestalimentendonneparlintrieurdurseauenapplicationduprincipedemoindreprivilge.
Des mcanismes additionnels qui sortent du cadre de ce livre offrent la possibilit de grer les droits daccs en
fonction de lapplication demande lors des requtes HTTP ainsi que lauthentification unique plus connue sous
lappellationdeSSO(SingleSignOn).ToutefoiscertainesapprochesduSSOsontprisesencompteparlefirewallASA.
a.VPNSSLsansclient
IlsagitdumodeprivilgiquiutiliselesfonctionsdechiffrementdunavigateurInternetpourassurerlascurit.
Les clients se connectent un portail personnalis sur le firewall et en fonction de leur identit ont accs aux
ressourcespourlesquellesilsontdesdroits.Ilestgalementpossibledeparcourirdesrpertoiresetdesfichiers
lamaniredelexplorateurdunestationdetravail.Unavantageincontestableestlaccsauxdonnespartirde
nimportequelpostedetravailrelieInternet.
Nous allons dcrire les configurations qui conduisent la construction dun exemple simple mettant en avant les
fonctionsdescurit.Nousnaborderonspaslesmultiplescapacitsdeceproduitenmatiredepersonnalisation
desportails.
ASA-5505(config)# webvpn
ASA-5505(config-webvpn)# enable outside
Ces deux commandes activent le VPN SSL sur linterface extrieure du firewall. Les paramtres de scurit sont
affectslutilisateurunefoisfranchielapagedauthentification.Ilsproviennentdunecombinaisondesproprits
de lutilisateur et du groupe auquel il appartient. Cest ce groupe dappartenance qui fixe les rgles de scurit
auxquellesestsoumislutilisateurpendantsasession.
VoiciunlargeextraitdelaconfigurationdunASAquimontreleparamtragedunVPNSSL.
Cetteconfigurationminimalisteestdonnetitreinformatifetneproposeaucunefonctionnalitweb,elleapour
vocation dillustrer la manire dont lutilisateur hrite des paramtres du VPN SSL sur lequel il se connecte. Ces
paramtresviennentsajouterauxsiensetceuxdesongroupedappartenance.
Les attributs de lutilisateur Paul sont clairement visibles et notamment la politique de groupe laquelle il est
rattach.Lesparamtresdepersonnalisationduportailnesontpasvisiblessurlaconfigurationcarilssontstocks
dansunfichierXMLluimmesauvegardenmmoireflash.Parcommodit,cetteconfigurationnefaitpasappel
unannuairecentralismaisutiliselabaselocaleAAA.Lecontrleeffectusurlexpirationdumotdepasseestbas
surlalecturedespropritsvenantdelannuaire.Lefirewallpermetlutilisateurdechangerluimmesonmotde
passe.
Ledtaildecetteconfigurationestlesuivant :
UnepolitiquedegroupeestcreetnommeEntreprise 1.Ellereoitquelquesproprits.Ellesfigurent
surleslignesquisontdcalesduncaractresurladroite.
Lacommandevpn-tunnel-protocol webvpnappellelacommandewebvpnsituetroislignesplusbaslaquelle
reoitgalementdesproprits(denouveaudcalesduncaractredroite).
La commande webvpn est assortie de proprits de personnalisation du portail comme la liste dURL
(template_entreprise_1).
LutilisateurPaulestdfinietunesriedecaractristiquesluisontappliquesdontsonrattachementla
politiquedegroupeEntreprise 1.
Les exigences de scurit indiquent que la slection des paramtres de cryptographie participe lvaluation du
niveaudescuritdelastationdistante.LesnavigateursInternetetlesserveursngocientlasuitedechiffrement
etenfonctiondeleurspossibilitssaccordentsurunesuitefaible.
CesdeuxlignesmontrentlaconfigurationSSLductdufirewallASA.Langociationestacceptepourcestrois
suites et le protocole gnral choisi est TLS V1 ce qui signifie quune station distante sera rejete si elle se
prsenteavecunesuitediffrentedestroisproposes.Lobjectificiestdeforcerlangociationsurlessuitesles
plusfortes.
Ces deux captures montrent le menu de configuration du clavier virtuel et le rsultat obtenu lors dune tentative
douverturedesession.Cedispositifprotgecontrelesenregistreursdeclavierdontlebutestdecapturerlesmots
depasseentrsparlutilisateur.
Securedesktop
CiscoSecureDesktop(CSD)estunenvironnementdetravailscurisquiesttlchargpuisinstallparunclient
distant. Cette technologie est souvent compare un bac sable logiciel duquel on ne peut sortir. CSD est une
machine virtuelle chiffre qui une fois cre sur la station distante sintercale entre lutilisateur et le systme
dexploitation.Lutilisateurdslors,interagitavecsesapplicationslintrieurdecetespacevirtuellocal.Unefoisla
sessiontermine,lenvironnementestdtruit.
Lamiseen uvredeCSDseffectueentroisphases :
sontlchargementsurlesitedeCisco,sacopiesurlesystmedefichierdufirewalletsonactivation
lacrationdunepolitiquedevrificationentrelemomentolutilisateurentamelaconnexionetlemoment
oilentresesidentifiants.Leprincipeestdeprocderdescontrlespralablesdfinissantunniveaude
scuritdontdpendraletypedeservicesdisponiblesoulanonconnexion(sileniveauminimalnestpas
atteint)
Laconnexionproprementditedansleclientscuris.
ASA5505(config)# webvpn
ASA5505(config-webvpn)# csd image disk0:/cte/securedesktop-asa-
3.3.0.129-k9.pkg
ASA5505(config-webvpn)# csd enable
CestroiscommandesactiventcsdpartirduneimagelogiciellepralablementtlchargesurlesiteInternetde
Cisco. Cette image est copie dans un systme de fichiers nomm disk 0:. La commande csd enable active
globalementlafonction.
Ici,unefoisnestpascoutumenousprsentonsunextraitgraphiquedelaconfigurationdelaphasenumrodeux.
Ilesticipossiblegraphiquementdeconcevoirunelogiqueafindeclasserleniveaudescuritdelastationdistante
en fonction de certaines de ses caractristiques. En fonction du niveau de scurit, CSD autorisera certaines
fonctionnalits.Danscetexemple,CSDexaminelesystmedexploitationdelastationdistanteetexigelaprsence
duncertaintype(2K/XP/Vista)avantdepoursuivreparunexamendeladresseoudurseauIP.Sicerseauest
conforme celui configur dans la rgle la station est reconnue sre. La chane de caractre reconnue sre
devientdefaitlenomdunepolitiqueCSD.
LalogiquepoursuitsoncheminementencasderreursurladresseoulerseauIPetlastationestreconnuemoins
sre. Afin de lui permettre daccder un jeu rduit de fonctionnalits, cette nouvelle tentative recherche sur la
stationdistanteunfichierunemplacementprcis.Silesttrouv,lastationestaffectedeltiquette reconnue
moinssre dontlachanedecaractresdevientsontourlenomdunepolitiqueCSD.
Ilestpossibledecrerplusieurspolitiquesenfonctionduneanalyseprliminairedecertainescaractristiquesdu
poste de travail. Par exemple, toute station ne possdant pas une cl spcifique dans sa base de registre est
considrecommetantdansunlieunonscuris.Cettepolitiqueouvreparlasuiteledroitdeffectuercertaines
actions comme la navigation sur Internet ou laccs des fichiers. Limage nous montre aussi les icnes de
configurationdesdiverscontrlesdescuritdechaquepolitique.Nousytrouvonslesdispositifsdenettoyagedu
cachedelastationdistanteainsiquediversautrescontrlesvisantprmunirlastationcontrelesenregistreurs
declavieroulintroductiondemdiasamovibles.
VoicilutilisateursurlepointdentrerdanssonenvironnementprotgparCSD.Ilestindiququaucunenregistreur
declaviernatdtectsurlastation.
Politiquedaccsdynamique
Cetypedepolitiquepermetdaffecterdesdroitsdaccsetdecirculationsurlerseauunutilisateurenfonction
desespropritsdauthentification (AAA) et de la prsence sur sa machine dunlogicieldescuritcorrectement
paramtr.
Voici lexemple dune politique daccs dynamique concernant les utilisateurs dun profil de connexion qui doivent
galementsatisfairedesconditionsdeversiondantivirus(moteuretsignature).Silunedesconditionsnestpas
remplieouaucontraireestremplie,desattributssupplmentairessontaffectslutilisateuretviennentprendrele
Protectionapplicative
Lun des objectifs de linspection applicative est dexaminer le contenu des paquets (filtrs par une ACL) afin de
permettre au parefeu douvrir les ports ncessaires la communication. Cette ouverture dynamique est suivie
dune fermeture des ports une fois la communication acheve. Ce principe est appliqu lors de la traverse des
protocolesassocieslatlphoniesurIP.
Linspectionvaaussiconfronterlespaquetsungroupederglesdestinesdtecterdventuellesirrgularits
letoutdonnantlieuunedcisioncommedanslexemplesuivrequiconcerneHTTPetSCCP.
class-map Inspection_SCCP
match any
!
class-map Inspection_HTTP
match any
!
!
policy-map type inspect http Niveau_de_securite_HTTP
parameters
protocol-violation action drop-connection log
class asdm_high_security_methods
drop-connection
match request header non-ascii
drop-connection
policy-map Inspection_SCCP_et_HTTP
class Inspection_SCCP
inspect skinny
set connection conn-max 100 embryonic-conn-max 20 per-client-max
100
set connection timeout tcp 1:00:00 reset dcd 0:15:00 5
class Inspection_HTTP
inspect http Niveau_de_securite_HTTP
!
service-policy Inspection_SCCP_et_HTTP global
b.VPNSSLavecSmartTunnels
LatechnologieSmartTunnelpermetdefairetransiterdesapplicationsTCP(nonWEB)entrelordinateurdistantet
le site central. Smart Tunnel vient en remplacement du client lger prcdent qui assurait des fonctions de
redirection de port la manire dun client SSH. Malgr tout, il est toujours possible dactiver les fonctions de
redirectiondeportpourlesapplicationsquinesontpassupportesparlatechnologieSmartTunnel(OutlookMAPI).
SmartTunnelnencessitepasdedisposerdesdroitsadministrateursurlepostedetravailetmetdispositionde
lutilisateur des connecteurs (plugins) pour certaines applications prdfinies. Les connecteurs dispensent
lutilisateurdelinstallationdunprogrammeadditionnel.
ASA5505(config)# webvpn
ASA5505(config-webvpn)# smart-tunnel list Messagerie 1
thunderbird.exe platform windows
ASA5505(config-webvpn)# group-policy "Entreprise 1" attributes
ASA5505(config-group-policy)# webvpn
ASA5505(config-group-webvpn)# smart-tunnel enable Messagerie
Ici,nousconfiguronsSmartTunnelpourfairetransiterletraficissudelapplicationdemessageriethunderbird.exequi
fonctionnesuruneplateformeMicrosoftWindows.
Les connecteurs sinstallent dans la mmoire flash de lquipement via linterface graphique aprs les avoir
tlchargs sur le site de Cisco. Une fois en place, ils apparaissent dans le portail et donnent lintrieur dune
pageweblapossibilitdelanceruneconnexionSSH,RDP,CitrixouencoreVNC.
Toutdabord,unepolitiquedegroupeestcre.Ellecomportequelquespropritscommelindicationdelamiseen
place dun tunnel SSL vpn-tunnel-protocol svc et laffectation dun groupe dadresses IP address-pools value
AnyConnect.
LesinstructionssouswebvpnconcernentleclientVPNetindiquententreautredelaisserleprogrammedinstallation
surlamachinehteetdeforcersoninstallation.
MrPaulestrattachlapolitiquedegroupeprcdemmentcre.
Letunnelestmisenplaceetreoitlespropritsprcdemmentcres.Lacommandedauthentificationappellele
serveurAAAinterne(LOCAL)dufirewallpourassurercettefonctionsurlinterfaceexterne.
Encliquantsurlepetitcadenas(premireicnegauche)nousobtenonslafentrequifournitquelquesindications
commeladresseIPobtenueetcelleduparefeusurlaquellesetermineletunnelSSLVPN.
Ici,nousobservonsleretourdelacommandenetstat -nrsurlastationdetravailetnousconstatonslaprsence
duneroutepardfautpointantversladresseinterneduparefeu.
Voici le rsultat de la commande show vpn-sessiondb svc qui montre les caractristiques de la connexion de Mr
Paul.Lesinformationsfourniessonttrslisiblesetdirectementexploitablestoutefois,lemotclientlessquiapparait
iciporteconfusion.
Dans cette configuration ne figure aucune indication concernant le splittunneling qui est la technique autorisant
lutilisateurduntunnelensortirpouraccdercertainesressources.Celasignifieenltatquecechoixnestpas
permis.
LesplittunnelingestutilispourlesconnexionsInternetpartirdelastationdetravaildunutilisateurnomade.
Signalonsenfinquauniveaurseauenfonctiondelarchitecturelesrglesdetraductiondadressesdevronttre
ajuste.Laconfigurationprsentencessiteunergledexclusioncarlerseauaffectlastationnomadeexiste
surlerseauinterne.
Lavirtualisationprsentedindniablesavantagesencequiconcernelacrationderseauxdesfinsdessaislorsde
phasesdintgrationetdevalidationdunprojetinformatique.Ilesteneffetfaciledecrer,demodifier,dedplaceret
de supprimer un systme dexploitation virtuel. Un autre avantage est de pouvoir aisment dplacer un groupe de
machinesvirtuellesdanslecadrededmonstrationscarellesprennentlaformedunensembledequelquesfichiers.La
capture dcran montre une machine hte Microsoft Windows Vista hbergeant une machine virtuelle Linux. Lhte
fournissant le service dhbergement est galement dsign par lappellation dhyperviseur. Les machines virtuelles
avec certaines versions de VMware (ACE) peuvent tre chiffres et recevoir des politiques de scurit. VMware est
aussi prsent sous une forme qui constitue ellemme un systme dexploitation. Il sagit de la version ESX qui
sinstalle directement sur le matriel. Il nest plus indispensable dinstaller un systme dexploitation hte comme
MicrosoftWindows(cequiestlecassurlacapturedcran).
La virtualisation dun systme Linux permet de bnficier de tous les services rseaux offerts par les distributions.
Nous avons pour la prparation de ce livre utilis VMware pour installer sur notre machine hte un serveur Linux
FEDORAsurlequelnousavonsinstallleserveurFreeRADIUS.
LesrseauxetVMware
Unemachinevirtuelleestutilisableencircuitferm.CetteconfigurationestutilepourdcouvrirlesystmeLinux(ouun
autre)sansavoirlinstallerdemeureetdemanireisole.Toutefois,unemachinevirtuellepeutseconnecterla
machinehteetaurseaudecelleci.Laversionquenousavonsutiliseproposetroismodesdefonctionnementqui
consistent :
Connecter la machine virtuelle uniquement la machine hte. Il sagit du mode host Only disponible
gnralementsurlinterfaceVMNet1.LamachinevirtuellesevoitattribueruneadresseIPparleserveurDHCP
de Vmware. Ce mode de fonctionnement permet la machine virtuelle de dialoguer uniquement avec la
machinehte.
Connecterlamachinevirtuelleaumondeextrieurvialamachinehte.Pourcefairecettedernireopreune
traductiondadresse.IlsagitdumodeNATdisponiblesurlinterfaceVMNet8.
Cetteimageillustrenotredescription:http://sebsauvage.net/temp/ccm/types_reseau_vmware.png
Installationduproduit
Linstallationdunemachinevirtuelleestrelativementsimple.PourinstallerunsystmeLinux,ilestrecommanddese
procureruneimageISOquiesthabituellementutilisepourgraverunCDouunDVDdusystme.
Pourcrerunenouvellemachinevirtuelle,ilsuffitdesuivrelestapessuivantes :
Slectionner Filepuis New puisVirtual Machine et suivre lassistant. Ce dernier propose plusieurs choix de
systmesdexploitationainsiquelespacedisquerservlamachinevirtuellesurlesystmehte.
SlectionnerleCDRometchoisirdutiliseruneimageISO.
Cliquersurletrianglevertpourlancerlinstallationdusystmequisedroulecommelorsquunordinateurest
misenrouteetselanceavecundisquedanslelecteurdeCDRom.
Cette capture dcran montre ltape durant laquelle limage ISO du systme Linux Fedora est slectionne pour
linstallation.
DynamipsetGNS3
Ces deux logiciels sont indissociables et permettent dmuler un routeur Cisco sans son systme dexploitation. Les
diversesplateformesquilestpossibledmulersontlessuivantes :C1700,C2600,C2691,C3600,C3700,C7200.
Il est important de prciser que le systme dexploitation IOS est sous licence. Pour utiliser Dynamips, il est donc
indispensabledepossderlgalementuneimagesystme.Dynamipsreoitdoncuneimagesystmecompatibleavec
la plateforme choisie ainsi quun fichier de configuration qui comporte le paramtrage des interfaces et des
interconnexionsaveclesautresrouteursetmmelacarterseaudelhtelocal.Dynamipsseconfigureaussiavecune
interfacegraphiquenommeGNS3.
Installationduproduit
Le logiciel est disponible pour Windows et MacOs X. Le code source est galement propos sur le site Internet
www.gns3.net. Le tlchargement pour Windows comprend tous les lments additionnels requis. Parmi eux figure
linterfacedeprogrammation(API)PCAPbienconnuedesutilisateursdulogicielWireshark(exEthereal)quipermetde
capturerletraficsurunrseauEthernetnoncommut.
Aprslinstallationquiestdesplusclassique,lelogicielmontresurunecolonneplusieursicnesreprsentantchacune
unmodlederouteurs,decommutateurEthernet,framerelay,ATMainsiqueleparefeuPIX.Enslectionnantlemenu
editpuisIOSimagesethypervisorsonobtientlafentrequipermetderenseignerlaversiondIOSquiserautilise
parlasuite.
En faisant glisser les icnes de la colonne de gauche vers le centre de linterface graphique et en reliant les icnes
entre elles comme le montre la capture dcran, nous crons une petite architecture sur laquelle apparaissent deux
routeurs,uncommutateurEthernetetunnuage.Lesliaisonssedessinentaprsavoirslectionnlicnereprsentant
une souris, il convient alors de tracer les liaisons entre les divers quipements. Lorsque le pointeur se trouve au
dessusdelobjetconnecter,unepetitefentreapparaitetpermetdeslectionnerlinterfacededestination.
Lenuageestunobjetpartentire.Ilestutilispourrelierlamaquettelacarterseaudelordinateurhteafinde
la rendre disponible distance et de la connecter divers services comme des annuaires, des enregistreurs de
journaux(Syslog)oudesserveursdauthentification.
Lorsquetouteslestapesmenantlaralisationdelamaquettesonttermines,ilestrecommanddesauvegarder
laconfiguration.LefichierdeconfigurationpourDynamipsestalorscr.
[localhost]
[[7200]]
image = \Program Files\Dynamips\images\c7200-jk9o3s-mz.
124-7a.image
# On Linux / Unix use forward slashes:
[[ROUTER R1]]
F1/0 = S1 1
[[ethsw S1]]
1 = access 1
2 = access 20
3 = dot1q 1
# Note, replace the interface below with a valid interface
# on your system or Dynamips will crash!
#4 = dot1q 1 NIO_gen_eth:eth0
4 = dot1q 1 NIO_gen_eth:\Device\NPF_{B00A38DD-F10B-43B4-99F4-
B4A078484487}
VoiciunexempledeconfigurationdeDynamips.NousobservonslimageIOSchoisiepourlesrouteursdelamaquette.
Chaque routeur fait lobjet dune dclaration sur laquelle figurent ses connexions vers les autres objets de la
maquette. Ici, le routeur R1 est connect par son interface F1/0 (pour Fast Ethernet 1/0) au port numro 1 du
commutateurS1cederniertantreprsentparlentreethswS1quicomporte3interfaces.Lesinterfacesnumro1
et 2 sont chacune dans un VLAN (1 et 20), quant linterface 3 elle est relie un trunk de type dot1q luimme
connectunecarterseaudelamachinehte.
Voici le dtail de la configuration du nuage vu par linterface graphique. Une liste droulante montre toutes les
interfacesdelamachinehteligiblespourservirdeconnexionentrelamaquetteetlamachinehte.
Voici une maquette comprenant quatre routeurs relis entre eux par un commutateur Ethernet. Le routeur R0 est
Nousnavonspastexhaustifsdanscelivrecarnousavonseulavolontdetraiterlevastesujetquereprsentela
scurit avec Cisco sous le prisme des quipements les plus couramment rencontrs dans les petites et moyennes
entreprises. Bien dautres solutions et technologies sont disponibles au catalogue comme les sondes de dtections
dintrusion, la protection de la messagerie ou les dispositifs daccs au rseau (NAC). Malgr tout, nous avons
indirectementabordquelquesunsdecessujetsnotammentaucoursduchapitresurlascuritdelacouchelogique.
Lapprochematrielleettechnologiquenestpourtantpassuffisantepourassurerpleinementlamissionconsistant
protger un rseau et les applications qui lempruntent. Avec laccroissement des menaces et la diversification des
matriels,lesquipementsseulsnesuffisentpasaccomplirlatchequileurestconfiesansunesolideorganisation.
Cestpourquoi,avanttoutechose,ilestprimordialdemenerbienunerflexionstructureauprsdesutilisateursdu
rseau afin de connatre et donc de comprendre leurs besoins scuritaires et les risques associs la perte ou
lindisponibilitdurseau.
Des quations complexes alliant la multiplication de la variable risque la division par la variable menace sont
disponiblesunpeupartoutetleslongsrapportsdanalysederisquesbasssurdimprobableshypothsesdedpart
versentparfoisdanslecatastrophismelepluspathtique.Dansledomainedelascurit,touteslesinformationssont
recevablesetlesdcisionsdoiventtreprisesendehorsdetoutepeurouaffolementsavammententretenuparles
marchands de solutions miracles qui ne manquent pas de se presser aux portes des entreprises. Une analyse
pragmatiqueaccompagnedebonsensvalentsouventbienmieuxquecertainestudesbienloignesdelaralit
delentreprise.Laphasedtudeetderflexionestdautantplusimportantequeleprixdesquipementsdescurit
estrelativementlevetleurimplmentationcomplexe.
Le principal acteur de la scurit trop souvent oubli est lutilisateur. Les architectures, les systmes et les rseaux
sont tous au service des utilisateurs. Il peut arriver que ce facteur humain soit nglig ou tout bonnement cart.
Pourtant, aucune politique de scurit nest totalement oprationnelle sans ladhsion totale et sans rserve des
utilisateurs.Icietl,sedveloppentdescampagnesdesensibilisationparfoisfortcoteusessurlebienfonddela
scuritinformatiqueetsonlientroitaveclasantconomiquedelentreprise.Hlas,cestentativesquirestenttrop
souventvainesconduisentirrmdiablementlesresponsablesdurcirlesrglesaugrandmcontentementdetous.
Nouslobservonsfrquemmentdanslapresse,lesaffairesimpliquantlascuritinformatiquesemultiplientetlapart
de plus en plus importante quoccupe lconomie numrique dans le monde incite les criminels en systmes
dinformationdployertoujoursplusdingniositpoursemparerdinformationssensiblesoudargent.Facecette
menace,lascuritdesrseauxetdesdonnesquiytransitentdevientuneproccupationpourtouslesacteursde
cetteconomiecommencerparlesusagerseuxmmes.
Ce livre consacr la scurit des rseaux avec les solutions de Cisco se veut avant tout une ouverture vers
lensembledesapprochesmatriellesetconceptuellesdanscepassionnantdomainequinapasfinidefaireparlerde
lui.