Chapitre 4

Chapitre 4
Implémenter les Technologies

Firewall
CCNA Security v2.0

Smail Bacha
Source: Plateforme Cisco Netacad
0 Introduction
1 Listes de contrôle d'accès
2 Technologies de pare-feu
3 Pare-feu de stratégie basée sur la zone
4 Résumé
© 2013 Cisco and/or its affiliates. All rights reserved.

Smail Bacha A22 Cisco Public 2
 Comme les réseaux continuaient de croître au fil du temps, il était de plus en
plus indispensable de développer des technologies de sécurité plus fortes, ce
qui a conduit à l'invention du pare-feu.
 les pare-feu séparent les zones protégées des zones non protégées.
 Aujourd'hui, il existe de nombreux types de pare-feu, tels que le filtrage de

paquets, l'état, la passerelle d'application, le proxy, la traduction d'adresses, les
pare-feu basés sur l'hôte, transparents et hybrides.

Smail Bacha A22
Cisco Public 4
Les ACL sont largement utilisées
dans les réseaux informatiques et
dans la sécurité des réseaux pour
atténuer les attaques réseau et
contrôler le trafic réseau.
Les listes de contrôle d'accès IPv4
standard et étendues peuvent être
nommées ou numérotées.
Les ACL peuvent être définies pour les

couches 2, 3, 4 et 7 de l'Open Systems
Interconnection (OSI ) modèle.

Standard Numbered ACL Syntax
Extended Numbered ACL Syntax
Named ACL Syntax
Standard ACE Syntax
Extended ACE Syntax

Syntaxe - Appliquer une ACL
à une interface
Syntaxe - Appliquer une

ACL aux lignes VTY
Exemple - ACL standard nommée
Exemple - ACL étendue nommée

Syntaxe - Appliquer une ACL aux lignes VTY
Exemple : ACL nommée sur les lignes VTY avec journalisation

• ACL sont créés dans le mode globale, puis appliquée aux interfaces
• ACL filtre le trafic passant par le routeur ou le trafic vers et à partir du routeur,
selon la façon dont elle est appliquée
• Une seule ACL par interface, par protocole, par la direction
• Standard ou étendu indique que l'information est utilisée pour filtrer les paquets
• Les ACL sont processus top-down. Les états les plus spécifiques doivent aller
en haut de la liste
• Tous les ACL ont un implicite "deny any" déclaration à la fin, donc chaque liste
doit comporter au moins une instruction d'autorisation pour permettre à tout le
trafic à passer

La liste d'accès existante comporte trois entrées
La liste d'accès a été modifiée, ce qui ajoute un nouvel ACE et remplace la

ligne ACE 20.
La liste d'accès mise à jour comprend quatre entrées

Existing access list has four entries
Access list has been edited, which adds a new ACE that permits a specific IP
address.
Updated access list places the new ACE before line 20

Smail Bacha A22
Cisco Public 12
Les ACL peuvent être utilisées pour atténuer de nombreuses menaces
réseau, telles que l'usurpation d'adresse IP et les attaques par déni de
service (DoS).
Sur l’interface connectée à l’internet, on ne doit jamais accepter de

paquets entrants provenant des adresses suivantes:

Une stratégie efficace pour atténuer les attaques consiste à autoriser explicitement
uniquement certains types de trafic via un pare-feu.

Les pirates peuvent utiliser les paquets d'écho (pings) ICMP (Internet Control Message
Protocol) pour découvrir les sous-réseaux et les hôtes sur un réseau protégé et pour
générer des attaques par inondation DoS. Les pirates peuvent utiliser les messages de
redirection ICMP pour modifier les tables de routage de l'hôte. Les messages d'écho et de
redirection ICMP doivent être bloqués en entrée par le routeur.

Les protocoles de gestion, tels que SNMP, sont utiles pour la surveillance et la gestion à
distance des périphériques en réseau. Cependant, ils peuvent encore être exploités. Si
SNMP est nécessaire, l'exploitation des vulnérabilités SNMP peut être atténuée en
appliquant des ACL d'interface pour filtrer les paquets SNMP des systèmes non autorisés.
Un exploit peut toujours être possible si le paquet SNMP provient d'une adresse qui a été
usurpée et autorisée par l'ACL.
Ces mesures de sécurité sont utiles, mais le moyen le plus efficace de prévention de
l'exploitation consiste à désactiver le serveur SNMP sur les appareils IOS pour
lesquels il n'est pas requis.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
Les attaquants peuvent effectuer des attaques furtives qui entraînent
une exploitation de confiance en utilisant des hôtes empilés doubles,
des messages voyous NDP (Protocol de découverte de voisins) et des
techniques de tunneling.
Il accomplit cela en incorporant les paquets IPv6 dans les paquets
UDP IPv4 en utilisant le tunnel Teredo.

La fonctionnalité ACL dans IPv6 est similaire aux ACL dans IPv4. Cependant, il
n'y a pas d'équivalent aux ACL standard IPv4 et toutes les ACL IPv6 doivent être
configurées avec un nom.

Une ACL IPv6 contient un ipv6 de refus implicite. Chaque ACL IPv6 contient
également des règles d'autorisation implicites pour activer la découverte de voisins
IPv6. Le NDP IPv6 nécessite l'utilisation de la couche réseau IPv6 pour envoyer des
annonces de voisins (NA) et des sollicitations de voisins (NS).
Si un administrateur configure la commande deny ipv6 any sans autoriser explicitement
la découverte de voisin, le NDP sera désactivé.

Bien que les listes de contrôle d'accès IPv4 et IPv6 soient très
similaires, il existe trois différences entre elles.
• Application d'une liste de contrôle d'accès IPv6
• IPv6 utilise la commande ipv6 traffic-filter pour exécuter la
même fonction pour les interfaces IPv6.
• Aucun masque générique

• La longueur de préfixe est utilisée pour indiquer dans quelle mesure
l'adresse IPv6 source ou de destination doit correspondre.
• Instructions supplémentaires par défaut

• permit icmp any any nd-na
• permit icmp any any nd-ns

© 2012 Cisco and/or its affiliates. All rights reserved. 22

Chapitre 4 - Partie 1-Liste de Contole Daccees

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Chapitre 4 - Partie 1-Liste de Contole Daccees

Transféré par

Droits d'auteur :

Formats disponibles

Implémenter les Technologies

CCNA Security v2.0

© 2013 Cisco and/or its affiliates. All rights reserved.

 Aujourd'hui, il existe de nombreux types de pare-feu, tels que le filtrage de

© 2013 Cisco and/or its affiliates. All rights reserved.

Les ACL peuvent être définies pour les

© 2013 Cisco and/or its affiliates. All rights reserved.

Extended Numbered ACL Syntax

Named ACL Syntax

Standard ACE Syntax

Extended ACE Syntax

© 2013 Cisco and/or its affiliates. All rights reserved.

Syntaxe - Appliquer une

Exemple - ACL standard nommée

Exemple - ACL étendue nommée

© 2013 Cisco and/or its affiliates. All rights reserved.

Exemple : ACL nommée sur les lignes VTY avec journalisation

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

La liste d'accès a été modifiée, ce qui ajoute un nouvel ACE et remplace la

La liste d'accès mise à jour comprend quatre entrées

© 2013 Cisco and/or its affiliates. All rights reserved.

Updated access list places the new ACE before line 20

© 2013 Cisco and/or its affiliates. All rights reserved.

Sur l’interface connectée à l’internet, on ne doit jamais accepter de

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

© 2013 Cisco and/or its affiliates. All rights reserved.

• Aucun masque générique

• Instructions supplémentaires par défaut

© 2013 Cisco and/or its affiliates. All rights reserved.

Vous aimerez peut-être aussi