Vous êtes sur la page 1sur 55

BIG SOFT

Technologie Cisco Firewall


Caractéristiques, fonctionnement et stratégie de sécurité réseau

Chapitre 3
Préparé par : Younes GUEROUANI 1
PLAN

• Contrôler et limiter les menaces à l’aide des Pare-feux


• Assimiler le concept des pare-feux
 Avantage & contexte d’utilisation
 Différents types des pare-feux
 Solutions Firewall Cisco Systems
 Stratégie de sécurité basée sur le contrôle d’accès (CBAC)
 Stratégie de sécurité basée sur les zones (ZBF ou ZPF)

• Configuration de stratégies (CBAC & ZBF)


 Configuration de CBAC à l’aide de Cisco IOS & SDM
 Configuration de ZBF à l’aide de Cisco IOS & SDM

Chapitre 3
Préparé par : Younes GUEROUANI 2
Technologie des pare-feux
 Qu'est-ce qu'un pare-feu ?
• Un pare-feu est un système (ensemble de composants) qui applique une
stratégie de contrôle d'accès entre deux réseaux.
• Propriétés communes des pare-feux :
 Le pare-feu est résistant aux attaques ;
 Le pare-feu vérifie et inspecte la conformité du trafic entre réseaux ;
 Le principe des pare-feux est simple, tout ce qui n’est pas explicitement
autorisé est interdit.

Chapitre 3
Préparé par : Younes GUEROUANI 3
Technologie des pare-feux
 Pare-feu (Firewall)
• Définition : ensemble de composants appliquant une politique de
contrôle d'accès entre deux réseaux
• Fonctions :
- Autoriser ou interdire l'ouverture d'un service utilisant un protocole
- Autoriser ou bannir une adresse IP source / destination
- Vérifier / inspecter la conformité du trafic
- Principe : tout ce qui n'est pas explicitement autorisé, est interdit
- Objectifs :
- Se protéger des malveillances "externes"
- Éviter la fuite d’information non contrôlée vers l’extérieur
- Surveiller les flux d'informations internes / externes
- Faciliter l’administration du réseau

Chapitre 3
Préparé par : Younes GUEROUANI 4
Technologie des pare-feux
 Avantages des pare-feux
• Un pare-feu est un donc composant réseau qui permet non seulement
de concentrer l'administration de la sécurité en des points d'accès limités
au réseau d'entreprise mais aussi de créer un périmètre de sécurité, par
exemple entre le réseau Intranet de l'entreprise et le réseau Internet.
• Un pare-feu correctement configuré rends l'application de la stratégie de
sécurité simple, robuste et évolutive.
• Un pare-feu réduit la complexité de l'administration de la sécurité en
plaçant la majorité du contrôle d'accès réseau sur peu de points du
réseau.

Chapitre 3
Préparé par : Younes GUEROUANI 5
Technologie des pare-feux
 Filtrage de paquets simple
• Filtrage de paquets sans états (stateless packets filtering)
C'est la méthode de filtrage la plus simple, elle opère au niveau de la
couche réseau et transport du modèle OSI.
La plupart des routeurs d'aujourd'hui permettent d'effectuer le filtrage simple
de paquet. Cela consiste à accorder ou refuser le passage de paquets d'un
réseau à un autre en se basant sur :
- L'adresse IP source/destination.
- Le numéro de port source/destination.
- Type de paquet (TCP, UDP)
- Numéro de port
Le pare-feu sans états examine les paquets indépendamment les uns
aux autres et les compare à une liste de règles pré-configurée.
Cela nécessite de configurer le firewall ou le routeur par des règles de
filtrages, généralement appelées des ACL (Access Control Lists).
Chapitre 3
Préparé par : Younes GUEROUANI 6
Technologie des pare-feux
 Filtrage de paquets simple
• Filtrage de paquets sans états (stateless)
Système pare-feu à filtrage de paquets (stateless)

Vulnérables aux attaques par


fragmentation, le premier fragment
est réécrit par un fragment suivant de
façon à remplacer une adresse par
une nouvelle violant la politique de
sécurité du pare-feu

Chapitre 3
Préparé par : Younes GUEROUANI 7
Technologie des pare-feux
 Filtrage de paquets simple
• Filtrage de paquets sans états (stateless packets filtering)
Les adresses IP contenues dans les paquets permettent d'identifier la
machine source et la machine cible, tandis que le type de paquet et le
numéro de port donnent une indication sur le type de service utilisé.

Quelques exemple de règles de pare-feu :

Règle Action IP Source IP Destination Protocole Port Src Port Dst

1 permit 192.168.14.51 192.154.84.5 tcp any 25

2 permit 192.168.14.51 201.49.100.92 tcp any 8080

3 permit any 192.168.1.251 tcp any 80

5 permit 192.168.14.0/24 any tcp any 80

5 deny any any any any any

Chapitre 3
Préparé par : Younes GUEROUANI 8
Technologie des pare-feux
 Filtrage de paquets dynamique
• Filtrage de paquets à états (stateful inspection)
Les applications utilisent, généralement, des ports sources dont on ne peut
connaître à l'avance la valeur (le port source est choisi aléatoirement entre
1024 et 65535 dans le cas d'un flux TCP).
Le filtrage dynamique de paquets (stateful) permet de suivre l'état des
sessions et d'adapter de manière dynamique les règles du pare-feu.
L'amélioration par rapport au filtrage simple (stateless) réside dans la
conservation de la trace des sessions et des connexions dans des tables
d'états internes au firewall.
Le firewall prend alors ses décisions en fonction des états de connexions
et seuls des paquets correspondants à un état préexistant sont accepté
(conformité des paquets à une connexions en cours).

Chapitre 3
Préparé par : Younes GUEROUANI 9
Technologie des pare-feux
 Filtrage de paquets dynamique
• Filtrage de paquets à états (stateful inspection)
Pour les protocoles UDP et ICMP, il n'y a pas de mode connecté.
La solution consiste à autoriser pendant un certain délai les réponses
légitimes aux paquets envoyés.
Système pare-feu à filtrage de paquets (stateful)

Certains suivis de connexion ne sont pas simples à faire et nécessitent


des algorithmes spécifiques, comme principalement le protocole FTP, ce qui
nécessite de ressources supplémentaires.
Chapitre 3
Préparé par : Younes GUEROUANI 10
Technologie des pare-feux
 Filtrage de paquets dynamique
• Filtrage de paquets à états (statefull)
Système pare-feu à filtrage de paquets (stateful)
Le filtrage à états examine la conformité de
paquets à une connexions en cours.
Si le filtrage dynamique est plus performant
que le filtrage de paquets simple, il ne protège
pas pour autant de l'exploitation des failles
liées aux vulnérabilités des applications. Or
ces vulnérabilités représentent la part la plus
importante des risques en terme de sécurité.

Chapitre 3
Préparé par : Younes GUEROUANI 11
Technologie des pare-feux
 Filtrage de paquets dynamique
• Filtrage de paquets avec états (stateful) - TCP Handling

Chapitre 3
Préparé par : Younes GUEROUANI 12
Technologie des pare-feux
 Filtrage de paquets dynamique
• Filtrage de paquets avec états (stateful) - UDP Handling

Chapitre 3
Préparé par : Younes GUEROUANI 13
Technologie des pare-feux
 Pare-feu applicatif (proxy)
• Filtrage applicatif (proxy applicatif)
Le filtrage applicatif permet de filtrer les communications application par
application. Les pare-feu applicatifs vérifient la conformité du paquet à un
protocole attendu (filtrage de l'information de couche 7) et chaque protocole
est filtré par un processus dédié.
Par exemple, ce type de pare-feu permet de vérifier que seul le protocole
HTTP passe par le port TCP 80 et aussi d’assurer une protection plus
complète (suppression du contenu actifs dans des pages web, suppression
des macros dans des documents, …).
Ce traitement est très gourmand en temps de calcul dés que le débit
devient très important, ce qui impacte les performances.
Le contrôle et le filtrage sont réalisés par des logiciels.

Chapitre 3
Préparé par : Younes GUEROUANI 14
Technologie des pare-feux
 Pare-feu applicatif (proxy)
• Filtrage applicatif (proxy applicatif)
Système pare-feu à filtrage applicatif (proxy)

Les proxy applicatifs est un dispositif


performant, assurant une bonne protection du
réseau, pour peu qu'il soit correctement
administré. En contrepartie, une analyse fine
des données applicatives requiert une grande
puissance de calcul et se traduit donc souvent
par un ralentissement des communications,
chaque paquet devant être finement analysé.

Les proxy applicatifs doivent nécessairement être en


mesure d'interpréter une vaste gamme de protocoles et de
connaître les failles afférentes pour être efficace.
Chapitre 3
Préparé par : Younes GUEROUANI 15
Technologie des pare-feux
 Pare-feu applicatif (proxy)
• Filtrage applicatif (proxy applicatif)
Un firewall effectuant un filtrage applicatif est appelé généralement
« passerelle applicative » (ou « proxy »), car il sert de relais entre deux
réseaux en effectuant une validation fine du contenu des paquets échangés.

Chapitre 3
Préparé par : Younes GUEROUANI 16
Technologie des pare-feux
 Pare-feu Matériel
• Les pare-feux matériel/ Hardware Firewall
Matériel de type boite noire, vendue comme «prêt-à-l'emploi» sur lequel un
logiciel et des applications sont pré-installés par des constructeurs par ex.
Cisco, Fortinet, Nortel, etc.
Leurs avantages tiennent dans la simplicité de configuration et une bonne
intégration avec les autres fonctionnalités du routeur.
De plus, la partie logiciel étant liée au matériel, l'accès au code est assez
difficile. puisque le constructeur produit des système de codes « signés » afin
d'authentifier le logiciel. Cela évite un remplacement du logiciel par un autre
(ie non produit par le fabricant)
Néanmoins, il faut savoir que l'on est totalement dépendant du constructeur
du matériel pour les mises à jour, ce qui peut être assez contraignant.

Chapitre 3
Préparé par : Younes GUEROUANI 17
Technologie des pare-feux
 Pare-feu logiciel
• Les pare-feux logiciel/ software Firewall
Tournant généralement sous linux ou BSD (Packet Filter), car ces OS
offrent une sécurité réseau plus élevée et un contrôle plus adéquat, ils ont
généralement pour but d'avoir le même comportement que les firewall
matériels, mais ils sont configurables à la main.
Le plus courant est Netfilter et iptables, qui utilise directement le noyau
Unix/Linux.

Chapitre 3
Préparé par : Younes GUEROUANI 18
Technologie Cisco Firewall
 Solutions pare-feu Cisco Systems
• Cisco IOS Firewall
Le pare-feu Cisco IOS est un ensemble de fonctionnalités qui rendent le
logiciel Cisco IOS plus efficace pour le périmètre de sécurité.
Les fonctionnalités de pare-feu sont basées sur l'inspection de données
dans les paquets y compris les données après les en-têtes.
- Stratégie de pare-feu basée sur la zone pour une administration
plus intuitive (ZBF) ;
- Pare-feu pour protocole VoIP
- Pare-feu pour VRF (Virtual Routing and Forwarding)
- Pare-feu pour sans fil intégré (Wireless)
- Support local de liste blanche et de liste noire d'URL
- Inspection d'application pour le trafic web et e-mail

• PIX 500 series


• ASA 5500 series

Chapitre 3
Préparé par : Younes GUEROUANI 19
Technologie Cisco Firewall
 Solutions pare-feu Cisco Systems
• ASA 5500 series (5505/2005)
ASA 5505 est le plus petit modèle de la gamme des pare-feux.
Il y a exactement deux modèles : 5505 Base et Security Plus, qui
accepte plus de connexions, de sessions VPN, et VLAN et supporte
le filtrage dynamique des services (stateless).

Chapitre 3
Préparé par : Younes GUEROUANI 20
Technologie Cisco Firewall
 Solutions pare-feu Cisco Systems
• ASA 5500 series (5545/2006)
Au vu de ses caractéristiques et performances impressionnantes, cette
appliance est dédiée aux très grands groupes ayants de très
nombreux collaborateurs nomades et télétravailleurs.

Chapitre 3
Préparé par : Younes GUEROUANI 21
Technologie Cisco Firewall
 Solutions pare-feu Cisco Systems
• ASA 5500 series (5580-40/2008)
Cette référence de la gamme ASA est le plus gros équipement
possible. Il est dédié aux Datacenter ou pour les très grands campus.
Au vu de ses performances, il serait totalement inutile hors de ce rôle.

Chapitre 3
Préparé par : Younes GUEROUANI 22
Politique de sécurité du réseau selon le contexte
 Stratégie de contrôle d’accès basée sur la stratégie (CBAC)
• La fonctionnalité CBAC (Context-Based Access Control) de l'ensemble
des fonctionnalités de l'IOS Cisco Firewall inspecte l'activité de trafic et
spécifie le trafic qui doit pouvoir entrer et le trafic qui doit pouvoir sortir en
utilisant des listes de contrôle d'accès.
• Les listes de contrôle d'accès CBAC comprennent des instructions
inspect qui autorisent l'inspection du protocole afin de s'assurer qu'il n'a
pas été corrompu avant que celui-ci passe vers les systèmes situés
derrière le pare-feu.
• CBAC fait que le routeur garde un état en permanence basé sur
l'information d'inspection des paquets et utilise cette information d'état
pour décider quel trafic doit être acheminé.
• CBAC est la pièce maîtresse de la fonctionnalité de pare-feu et des
autres fonctionnalités constituées autour de CBAC.

Note : Les informations de connexion peuvent être rassemblées par


CBAC et transmises à un serveur Syslog.

Chapitre 3
Préparé par : Younes GUEROUANI 23
Politique de sécurité du réseau selon le contexte
 Principe CBAC
• Le pare-feu Cisco IOS est un système d'inspection de paquets.
C'est un système "Stateful", il garde des informations au sujet des
connexions qui se terminent en dehors de la durée de vie d'un paquet.
• CBAC est une fonctionnalité pour IP uniquement. Un routeur utilisant
CBAC reconnaît TCP, UDP et quelques autres protocoles de couches
supérieures et examine les paquets au-delà des en-têtes. Il garde une
trace des informations apprises des paquets qu'il examine.
Par exemple CBAC permet le trafic retour d'une connexion TCP une fois
que la connexion a été initiée et il fournit les bases pour effectuer des
statistiques et des logs de sessions.
• La fonctionnalité de log utilise les informations de CBAC pour transmettre
des informations de traçabilité vers un serveur Syslog. Les logs
comprennent des informations au sujet des host qui communiquent, des
numéros de ports et du nombre d'octets transférés.

Chapitre 3
Préparé par : Younes GUEROUANI 24
Politique de sécurité du réseau selon le contexte
 Fonctionnement CBAC
• CBAC bloque le trafic réseau uniquement quand il reconnaît une
violation de protocole ou quelque chose qui est reconnu comme une
attaque. Ce blocage est une fonctionnalité importante mais pour des
besoins de configuration CBAC crée des ouvertures dans le pare-feu.
• Avec CBAC, la configuration des listes d'accès du routeur permet de
spécifier quelles sessions (au lieu de paquets) qui seront autorisées à
passer au travers du routeur. Ces listes d'accès ont seulement besoin de
permettre le premier paquet de couche application d'une communication.
CBAC crée automatiquement les entrées dynamiques temporaires dans
les listes d'accès pour permettre le trafic retour et le trafic sur des
connexions secondaires associées avec la communication.

Note : CBAC crée uniquement les exceptions spécifiques qui sont


réellement nécessaires.

Chapitre 3
Préparé par : Younes GUEROUANI 25
Politique de sécurité du réseau selon le contexte
 Schéma d’un réseau CBAC

Réseau
protégé

S0/0 fe0/0
Internet

Cisco IOS Firewall

Ce schéma du réseau est une configuration simple d'un pare-feu avec un réseau
privé sur FastEthernet0/0 et Internet sur Serial0/0.

La stratégie de sécurité consiste à ce que les utilisateurs du réseau privé seront


capables de se connecter aux services d'Internet mais avec aucun accès depuis
Internet dans le réseau privé.

Le réseau privé n'a aucun serveurs que le monde extérieur pourrait l’utiliser.

Chapitre 3
Préparé par : Younes GUEROUANI 26
Politique de sécurité du réseau selon le contexte
 Schéma d’un réseau (sans CBAC)
!--- FastEthernet0/0 est le réseau interne protégé.
interface FastEthernet 0/1
ip address 10.0.0.1
!--- Le trafic réseau d'Internet arrive sur la Serial0/0.
interface FastEthernet 0/0
ip address 172.16.30.1
ip access-group 101 in
!--- Laisse entrer les données associées à une connexion initiée en sortie.
!--- Cette ouverture permet des attaques de type fragmentation
access-list 101 permit tcp any any established
!--- Le serveur DNS interne 10.0.0.2 peut transmettre des requêtes
!--- aux autres serveurs DNS en utilisant le port 53. Cette entrée
!--- permet également aux machines externes d'atteindre le DNS.
access-list 101 permit udp any host 10.0.0.2 eq 53

!--- Cette liste d'accès est nécessaire pour permettre aux utilisateurs
!--- internes d'atteindre des services UDP externes.
access-list 101 permit udp any any gt 1024

!--- Cette liste d'accès est nécessaire pour autoriser les utilisateurs
!--- à accéder à un FTP passive.
access-list 101 permit tcp any any gt 1023
access-list 101 deny ip any any
Chapitre 3
Préparé par : Younes GUEROUANI 27
Politique de sécurité du réseau selon le contexte
 Schéma d’un réseau (avec CBAC)
!--- Ethernet0 est le réseau interne protégé.
interface FastEthernet 0/0
ip address 10.0.0.1
!--- L'inspection est appliquée en entrée car les paquets d'initiation
!--- entrent par cette interface en provenance du réseau privé interne.
!--- Inspection est toujours appliquée dans la direction de l'initiation
!--- des connexions bien qu'elle traite les paquets circulant dans les deux
!--- sens. Aucune initiation de conversation n'est autorisée de l'Internet
!--- vers le réseau privé interne.
ip inspect firewall in
!
!--- Le trafic réseau d'Internet entre par l'interface Serial0/0.
interface serial 0
ip address 1.1.1.1
ip access-group 101 in
!
!--- La liste d'accès ne permet aucun trafic vers le réseau privé interne.
!--- CBAC crée des ouvertures en réponse aux connexions initiées depuis le
!--- réseau privé interne pour que le trafic retour puisse entrer.
access-list 101 deny ip any any

Chapitre 3
Préparé par : Younes GUEROUANI 28
Politique de sécurité du réseau selon le contexte
 Schéma d’un réseau (avec CBAC)
!--- Voici la liste des protocoles inspectés. L'hypothèse est que nous
!--- voulons que les utilisateurs du réseau privé puissent initier toutes
!--- sortes de conversations en sorties.
!
ip inspect name firewall icmp
ip inspect name firewall ftp
ip inspect name firewall h323
ip inspect name firewall http
ip inspect name firewall rcmd
ip inspect name firewall smtp
ip inspect name firewall sqlnet
ip inspect name firewall streamworks
ip inspect name firewall tftp
!
!--- L'inspection TCP Generique permet le fonctionnement normal de la
!--- majorité des protocoles tant qu'ils utilisent une seule connexion TCP.
ip inspect name firewall tcp
!
!--- L'inspection UDP Generique UDP est identique à l'inspection générique
!--- TCP tant qu'il y a une seule paire client host/port et serveur
!--- host/port.
ip inspect name firewall udp

Chapitre 3
Préparé par : Younes GUEROUANI 29
Politique de sécurité du réseau selon le contexte
 Schéma d’un réseau (Vérification CBAC)
• show ip access-lists : displays the contents of all current IP
access lists.

• show ip inspect name inspection-name : shows a particular


configured inspection rule.

• show ip inspect config : shows the complete CBAC inspection


configuration.

• show ip inspect interfaces : shows interface configuration with


regards to applied inspection rules and access lists.

• show ip inspect session [detail] : shows existing sessions


that are currently being tracked and inspected by CBAC.

• show ip inspect all : shows all CBAC configuration and all


existing sessions that are currently being tracked and inspected by CBAC.

Chapitre 3
Préparé par : Younes GUEROUANI 30
Politique de sécurité du réseau selon le contexte
 Schéma d’un réseau (Vérification CBAC)

• debug ip inspect events : displays messages about CBAC


software events, including information about CBAC packet
processing.

• debug ip inspect timers : displays messages about CBAC


timer events such as when a CBAC idle timeout is reached.

• debug ip inspect detail : enables the detailed option, which


can be used in combination with other options to get additional
information.

• debug ip inspect tcp : displays messages about CBAC-


inspected TCP events, including details about TCP packets.

• debug ip inspect udp : displays messages about CBAC-


inspected UDP events, including details about UDP packets.

Chapitre 3
Préparé par : Younes GUEROUANI 31
Politique de sécurité du réseau selon des zones
 Stratégie de sécurité basée sur les zones (ZBF)
• Le modèle de configuration Zone-based policy firewall (ZPF or ZBF) a été
introduit en 2006 avec l’IOS 12.4(6)T.
• Avec ZBF, les interfaces sont assignées à une des zones sur lesquelles
une règle d’inspection du trafic (inspection policy) est appliquée et qui
vérifie le trafic qui transite entre les zones.
• Une règle par défaut bloque tout trafic tant qu’une règle explicite ne
contredit pas ce comportement.
• ZBF supporte toutes les fonctionnalités Stateful Packet Inspection (SPI),
filtrage des URLs et contre-mesure des DoS.

Chapitre 3
Préparé par : Younes GUEROUANI 32
Politique de sécurité du réseau selon des zones
 Stratégie de sécurité basée sur les zones (ZBF)
• Le pare-feu de la politique de sécurité basée sur les zones change la
configuration du pare-feu de l'ancien modèle basé sur l'interface pour un
modèle plus souple et plus facilement compréhensible basé sur des zones.
• Des interfaces sont affectées aux zones et la politique d'inspection est
appliquée au trafic qui se déplace entre les zones.

Stratégie
Private-DMZ
DMZ
Stratégie Stratégie
DMZ-Private Public-DMZ

Private Public
Internet
Non
Sécurisé
sécurisé
Stratégie
Private-Public

Chapitre 3
Préparé par : Younes GUEROUANI 33
Politique de sécurité du réseau selon des zones
 Principe de ZBF
• Une zone doit être configurée (créée) avant qu’une interface puisse en
faire partie. Une interface ne peut être assignée qu’à une seule zone.
• Tout le trafic vers ou venant d’une interface donnée est bloqué quand elle
est assignée à une zone sauf pour le trafic entre interfaces d’une même
zone et pour le trafic du routeur lui-même (Self zone).
• Une politique de sécurité (zone-pair) peut contrôler le trafic entre deux
zones en faisant référence à un ensemble de règles (policy-map).
• Un policy-map prend des actions et fait référence à des critères de filtrage
(class-maps).
• Quand du trafic passe d’une zone à une autre (zone-pair), un policy-map
est appliqué.
• Pour chaque class-map (critère de filtrage) du policy-map, une action est
prise : pass, inspect ou drop de manière séquentielle.

Chapitre 3
Préparé par : Younes GUEROUANI 34
Politique de sécurité du réseau selon des zones
 Conception de la politique selon la zone (ZBF)
• Une zone de sécurité devrait être configurée pour chaque région de
sécurité dans le réseau, de sorte que toutes les interfaces qui sont
affectées à la même zone soient protégées avec un niveau de sécurité
semblable.
• Par ex. un routeur d'accès avec trois interfaces :
- Un interface connectée à l'Internet/ réseau public (non sécurisé)
- Une interface connectée à un LAN/ réseau privé qui ne doit pas être
accessible depuis l'Internet
- Une interface connectée à une zone démilitarisée (DMZ), où un
serveur Web, un serveur DNS et un serveur de messagerie
électronique doivent être accessibles à l'Internet

Chapitre 3
Préparé par : Younes GUEROUANI 35
Politique de sécurité du réseau selon des zones
 Actions de ZBF
• Lors de l’analyse du trafic, ZBF peut appliquer trois actions:

"inspect" :
- Action qui configure l'inspection stateful de paquet, il met en place un
pare-feu à état (équivalent à la commande ip inspect)
- Capable de suivre les protocoles comme ICMP ou FTP (avec de
multiples connexions data et session)
"drop" :
- Action analogue à l’action "deny" dans une ACL ;
- Une option log est possible pour journaliser les paquets rejetés.
"pass" :
- Action analogue à l’action "permit" dans une ACL.
- Ne suit pas l’état des connexions ou des sessions
- Nécessite une règle correspondante pour du trafic de retour

Chapitre 3
Préparé par : Younes GUEROUANI 36
Politique de sécurité du réseau selon des zones
 Politique de sécurité ZBF
• Généralement, le réseau aura trois politiques principales :
- Connectivité de zone privée à Internet (Private-Public)
- Connectivité de zone privée aux hôtes DMZ (Private-DMZ)
- Connectivité de zone Internet aux hôtes DMZ (Public-DMZ)

Chapitre 3
Préparé par : Younes GUEROUANI 37
Politique de sécurité du réseau selon des zones
 Cisco Policy Language (CPL)
Règles :
1. Définir des class-maps (critères de filtrage) qui décrivent le trafic que
la politique de sécurité va vérifier à travers un policy-map.

2. Définir les policy-maps qui définissent les politiques de sécurités : le


trafic filtré et l’action à prendre : drop, pass, inspect

Zones :
1. Définir les zones (zone security)

2. Assigner les interfaces aux zones (zone-member security)

3. Définir les zone-pairs (zone-pair security) Application :

4. Appliquer les policy-maps aux zone-pairs (service-policy)

Chapitre 3
Préparé par : Younes GUEROUANI 38
Politique de sécurité du réseau selon des zones
 Configuration de ZBF
smtp.isp.com
dns.isp.com
172.16.0.2
10.0.0.2 10.0.0.3 172.16.0.1

HQ
172.16.10.32/28

10.0.0.0/24 Internet
10.0.0.1 www.web.com
192.168.201.6
172.18.25.10

Inside Outside

1. Créer des zones pour le pare-feu 3. Spécifier les stratégies de pare-feu avec
avec la commande : la commande :
zone security policy-map type inspect
2. Définir des classes de trafic avec 4. Appliquer les stratégies de pare-feu aux
la commande : paires de zones source et destination
class-map type inspect avec la commande :
zone-pair security
5. Affecter les interfaces du routeur aux zones en utilisant la commande :
zone-member security interface
Chapitre 3
Préparé par : Younes GUEROUANI 39
Politique de sécurité du réseau selon des zones
 Configuration de ZBF
smtp.isp.com
dns.isp.com
172.16.0.2
10.0.0.2 10.0.0.3 172.16.0.1

HQ
172.16.10.32/28

10.0.0.0/24 Internet
10.0.0.1 www.web.com
192.168.201.6
172.18.25.10

Inside Outside
1. Créer des zones pour le pare-feu
avec la commande zone security

HQ(config)# zone security Inside


HQ(config-sec-zone)# description Inside network
HQ(config-sec-zone)# exit
!
HQ(config)# zone security Outside
HQ(config-sec-zone)# description Outside network
HQ(config-sec-zone)# exit

Chapitre 3
Préparé par : Younes GUEROUANI 40
Politique de sécurité du réseau selon des zones
 Configuration de ZBF
smtp.isp.com
dns.isp.com
172.16.0.2
10.0.0.2 10.0.0.3 172.16.0.1

HQ
172.16.10.32/28

10.0.0.0/24 Internet
10.0.0.1 www.web.com
192.168.201.6
172.18.25.10

Inside Outside
2. Définir des classes de trafic avec la commande :
class-map type inspect
HQ(config)# class-map type inspect INSIDE-OUTSIDE-CMAP
HQ(config-cmap)# match access-group 101
HQ(config-cmap)# match protocol tcp
HQ(config-cmap)# match protocol udp
HQ(config-cmap)# match protocol icmp
HQ(config-cmap)# exit
!
HQ(config)# access-list 101 permit ip 10.0.0.0 0.0.0.255 any
Chapitre 3
Préparé par : Younes GUEROUANI 41
Politique de sécurité du réseau selon des zones
 Configuration de ZBF
smtp.isp.com
dns.isp.com
172.16.0.2
10.0.0.2 10.0.0.3 172.16.0.1

HQ
172.16.10.32/28

10.0.0.0/24 Internet
10.0.0.1 www.web.com
192.168.201.6
172.18.25.10

Inside Outside
3. Spécifier les stratégies de pare-feu avec la commande :
policy-map type inspect

HQ(config)# policy-map type inspect INSIDE-to-OUTSIDE-PMAP


HQ(config-pmap)# class type inspect INSIDE-OUTSIDE-CMAP
HQ(config-pmap-c)# inspect
HQ(config-pmap-c)# exit

Chapitre 3
Préparé par : Younes GUEROUANI 42
Politique de sécurité du réseau selon des zones
 Configuration de ZBF
smtp.isp.com
dns.isp.com
172.16.0.2
10.0.0.2 10.0.0.3 172.16.0.1

HQ
172.16.10.32/28

10.0.0.0/24 Internet
10.0.0.1 www.web.com
192.168.201.6
172.18.25.10

Inside Outside
4. Appliquer les stratégies de pare-feu aux paires de zones source et destination
avec la commande :
zone-pair security
HQ(config)# zone-pair security INSIDE-to-OUTSIDE
source Inside destination Outside
HQ(config-sec-zone-pair)# description Internet Access
HQ(config-sec-zone-pair)# service-policy type inspect
INSIDE-to-OUTSIDE-PMAP
HQ(config-sec-zone-pair)# exit

Chapitre 3
Préparé par : Younes GUEROUANI 43
Politique de sécurité du réseau selon des zones
 Configuration de ZBF
smtp.isp.com
dns.isp.com
172.16.0.2
10.0.0.2 10.0.0.3 172.16.0.1

HQ
172.16.10.32/28

10.0.0.0/24 Internet
10.0.0.1 www.web.com
192.168.201.6
172.18.25.10

Inside Outside
5. Affecter les interfaces du routeur aux zones en utilisant la commande :
zone-member security interface
HQ(config)# interface fa0/0
HQ(config-if)# zone-member security Inside
HQ(config-if)# exit
!
HQ(config)# interface s0/0.1 point-to-point
HQ(config-if)# zone-member security Outside
HQ(config-if)# exit
Chapitre 3
Préparé par : Younes GUEROUANI 44
Politique de sécurité du réseau selon des zones
 Etapes de configuration de ZBF à l’aide de SDM

- Etape 1 : Définir les zones

- Etape 2 : Configurer les class maps pour décrire le


trafic entre zones

- Etape 3 : Créer des policy maps pour appliquer des


actions au trafic défini dans les class maps

- Etape 4 : Définir les paires de zones et affecter les


policy maps aux paires de zones

Chapitre 3
Préparé par : Younes GUEROUANI 45
Politique de sécurité du réseau selon des zones
 Etapes de configuration de ZBF à l’aide de SDM
Etape 1: Définir les zones
1. Choisir Configure > Additional Tasks > Zones
2. Cliquer sur Add

3. Entrer un nom de zone

4. Choisir les interfaces pour cette zone

5. Cliquer sur OK pour créer la zone puis sur OK dans la fenêtre


Commands Delivery Status

Chapitre 3
Préparé par : Younes GUEROUANI 46
Politique de sécurité du réseau selon des zones
 Etapes de configuration de ZBF à l’aide de SDM
Etape 2: Configurer les class map
1. Choisir Configure > Additional Tasks > C3PL > Class Map > Inspections

2. Revoir, créer et éditer des class maps. Pour éditer une class map,
choisir la class map à partir de la liste puis cliquer sur Edit

Chapitre 3
Préparé par : Younes GUEROUANI 47
Politique de sécurité du réseau selon des zones
 Etapes de configuration de ZBF à l’aide de SDM
Etape 3: Créer les policy map
1. Choisir Configure > Additional Tasks > C3PL > Policy Map > Protocol Inspection

2. Cliquer sur Add

3. Entrer un nom de stratégie et une description


4. Cliquer sur Add pour ajouter une nouvelle class map

6. Choisir Pass, Drop ou Inspect


5. Entrer le nom de la class map à appliquer.
Cliquer sur la flèche pour obtenir une liste
si le nom n'est pas connu.
7. Cliquer sur OK

Chapitre 3
Préparé par : Younes GUEROUANI 48
Politique de sécurité du réseau selon des zones
 Etapes de configuration de ZBF à l’aide de SDM
Etape 4: Accéder à la configuration du pare-feu de base

1. Choisir Configure > Firewall and ACL

2. Cliquer sur l'option Basic Firewall puis cliquer sur


le bouton Launch the Selected Task

3. Cliquer sur Next pour débuter la configuration

Chapitre 3
Préparé par : Younes GUEROUANI 49
Politique de sécurité du réseau selon des zones
 Etapes de configuration de ZBF à l’aide de SDM
Etape 5: Configurer la sécurité pare-feu de base

1. Choisir Configure > Firewall and ACL

2. Sélectionnez le niveau de sécurité

3. Cliquer sur le bouton Preview Commands


pour afficher les commandes de l'IOS.

Chapitre 3
Préparé par : Younes GUEROUANI 50
Politique de sécurité du réseau selon des zones
 Etapes de configuration de ZBF à l’aide de SDM
Etape 5: Vérifier la configuration de la sécurité pare-feu de base

1. Choisir Configure > Firewall and ACL

Résumé de configuration de la sécurité


pare-feu de base

2. Cliquer sur Finish

Chapitre 3
Préparé par : Younes GUEROUANI 51
Politique de sécurité du réseau selon des zones
 Etapes de configuration de ZBF à l’aide de SDM
Etape 5: Revoir la stratégie de sécurité

1. Choisir Configure > Firewall and ACL

Chapitre 3
Préparé par : Younes GUEROUANI 52
Politique de sécurité du réseau selon le contexte
 Vérification ZBF

show commands
• show class-map type inspect

• show policy-map type inspect

• show zone-pair security

• show policy-map type inspect zone-pair

debug commands
• debug policy-firewall detail

• debug policy-firewall events

• debug policy-firewall protocol tcp

• debug policy-firewall protocol udp

Chapitre 3
Préparé par : Younes GUEROUANI 53
Zone Based Firewall (ZBF) vs. CBAC (ZPF)
 CBAC vs. ZBF

CBAC Zone Based Firewall


Interface Based Configuration Zone Based Configuration
Controls Inbound and Outbound access Controls Bidirectional access between
on an interface zones.
Uses inspect statements and stateful
Uses Class-Based Policy language
ACLs
Support Application Inspection and
-Not supported-
Control
Support from IOS Release 11.2 Support from IOS Release 12.4 (6) T

Chapitre 3
Préparé par : Younes GUEROUANI 54
Chapitre 3
Préparé par : Younes GUEROUANI 55

Vous aimerez peut-être aussi