Académique Documents
Professionnel Documents
Culture Documents
CCNA-Sécurité
Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 1
Machine Translated by Google
Chapitre 4 : Objectifs
Dans ce chapitre, vous allezÿ:
ÿ Configurez les listes de contrôle d'accès IPv4 standard et étendues à l'aide de la CLI.
ÿ Configurez les listes de contrôle d'accès IPv4 standard et étendues à l'aide de CCP. ÿ
ÿ Utilisez les listes de contrôle d'accès pour atténuer les attaques réseau courantes.
ÿ Configurer des groupes d'objets à utiliser dans une entrée de contrôle d'accès.
ÿ Expliquer comment les pare-feu sont utilisés pour aider à sécuriser les
ÿ Expliquer les considérations de conception pour la mise en œuvre des technologies de pare-feu.
ÿ Expliquer comment les pare-feux basés sur les zones sont utilisés pour aider à sécuriser un réseau.
Chapitre
4.0 Présentation
4.1 Listes de contrôle d'accès
4.4 Résumé
Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 4
Machine Translated by Google
Configuration des listes de contrôle d'accès IPv4 standard et étendues avec l'interface de ligne de commande
ÿ Les paramètres utilisés dans les ACL liées à la sécurité impliquent les
adresses IPv4, IPv6 et les numéros de port TCP et UDP.
Configuration des listes de contrôle d'accès IPv4 standard et étendues avec l'interface de ligne de commande
Configuration des listes de contrôle d'accès IPv4 standard et étendues avec l'interface de ligne de commande
ÿ Les ACL standard sont utilisées pour filtrer les paquets en fonction uniquement
des informations source de la couche 3.
Configuration des listes de contrôle d'accès IPv4 standard et étendues avec l'interface de ligne de commande
Configuration des listes de contrôle d'accès IPv4 standard et étendues avec l'interface de ligne de commande
Les ACL numérotées de 100 à 199 ou de 2000 à 2699 sont des ACL étendues.
ÿ Type de protocole
Configuration des listes de contrôle d'accès IPv4 standard et étendues avec l'interface de ligne de commande
Configuration des listes de contrôle d'accès IPv4 standard et étendues avec l'interface de ligne de commande
Le paramètre Log peut être utilisé pour consigner les correspondances avec les
ACL. Les informations suivantes sont inclusesÿ:
Les messages de journal sont générés lors de la première correspondance de paquets, puis à des
intervalles de cinq minutes après cette première correspondance de paquets.
Configuration des listes de contrôle d'accès IPv4 standard et étendues avec l'interface de ligne de commande
ÿ Refuser tout implicite - Toutes les ACL Cisco se terminent par une instruction Refuser tout implicite .
• Les ACL standard sont limitées au filtrage de paquets basé sur les adresses source
seul.
• Il peut être nécessaire de créer des listes de contrôle d'accès étendues pour mettre pleinement en œuvre une sécurité
politique.
• Placer des instructions ACL spécifiques plus haut dans l'ACL et plus générales
déclarations vers la fin.
Configuration des listes de contrôle d'accès IPv4 standard et étendues avec l'interface de ligne de commande
ÿ Forfaits spéciaux
• Les paquets générés par le routeur, tels que les mises à jour de la table de routage, ne sont pas soumis
aux instructions ACL sortantes sur le routeur source.
•
Si la politique de sécurité requiert le filtrage de ces types de paquets, des ACL entrantes sur
des routeurs adjacents ou d'autres mécanismes de filtrage de routeur doivent être utilisés.
IOS 12.3, les numéros de séquence peuvent être utilisés pour modifier un
LCA.
• L'ACL est traitée de haut en bas en fonction des numéros de séquence des instructions (du plus bas
au plus élevé).
Configuration des listes de contrôle d'accès IPv4 standard et étendues avec l'interface de ligne de commande
Configuration des listes de contrôle d'accès IPv4 standard et étendues avec l'interface de ligne de commande
Configuration des listes de contrôle d'accès IPv4 standard et étendues avec l'interface de ligne de commande
La liste d'accès est modifiée, ajoutant un nouvel ACE et remplaçant la ligne 20 d'ACEÿ:
ÿ Les ACL standard sont placées aussi près de la destination que possible.
possible.
ÿ Les paquets de filtrage ACL standard sont basés sur l'adresse source
seul.
ÿ Les listes de contrôle d'accès étendues sont placées sur des routeurs aussi
proches que possible de la source filtrée.
ÿ Placer les ACL étendues trop loin de la source est une utilisation inefficace des
ressources réseau.
Règles du PCC
ÿ CCP permet à un administrateur de créer des règles d'accès qui refusent
certains types de trafic tout en autorisant d'autres types.
ÿ CCP fournit des règles par défaut qu'un administrateur peut utiliser.
ÿ Dans le menu CCP, cliquez sur Configurer > Routeur > ACL > Éditeur ACL.
ÿ Dans la fenêtre Ajouter une règle, cliquez sur Associer. La fenêtre Associer à une
interface s'affiche. Seules les interfaces dont l'état est up/up apparaissent dans la
liste déroulante.
ÿ L'option TCP établie et les ACL réflexives sont des exemples d'ACL complexes.
R1(config)# access-list 100 permit tcp any eq 443 192.168.1.0 0.0.0.255 établi
R1(config)# access-list 100 deny ip any any
R1(config)# interface s0/0/0
R1(config-if)# ip access-group 100 in
ACL réflexives
ÿ En 1996, la solution IOS de deuxième génération pour le filtrage de
session était les ACL réflexives.
Étape 2. Créez une liste de contrôle d'accès externe qui utilise le réflexif
ACL pour examiner le trafic de retour.
Étape 3. Activez les listes de contrôle d'accès nommées sur les interfaces
appropriées.
ACL dynamiques
ÿ Les ACL dynamiques sont disponibles pour le trafic IP uniquement.
ÿ Une liste de contrôle d'accès étendue est appliquée pour bloquer tout le
trafic passant par le routeur, à l'exception de Telnet. Les utilisateurs qui
souhaitent traverser le routeur sont bloqués par l'ACL jusqu'à ce qu'ils
utilisent Telnet pour se connecter au routeur et soient authentifiés.
ÿ Si les délais d'attente ne sont pas spécifiés, la valeur par défaut est
de ne jamais expirer l'entrée ; par conséquent, il est recommandé de
configurer un délai d'attente.
ÿ Les listes de contrôle d'accès basées sur le temps permettent de restreindre le trafic
ÿ Appliquer les ACL d'interface pour filtrer les paquets SNMP provenant de non-autorisés
systèmes.
ACL IPv6
ACL IPv6
ÿ Les ACL IPv6 sont similaires aux ACL IPv4. Ils permettent de
filtrer les adresses source et destination, les ports source et
destination et le type de protocole.
ÿ Les ACL IPv6 sont créées à l'aide de la liste d'accès IPv6
commande.
ÿ Les ACL IPv6 sont appliquées à une interface utilisant l' ipv6
nom-liste- d'accès-filtre-trafic {dans | dehors}
commande.
ACL IPv6
Configuration des ACL IPv6
ÿ Toutes les ACL IPv6 contiennent deux déclarations d'autorisation implicites pour
permettre l'envoi et la réception de paquets de découverte de voisins IPv6.
ÿ Comme les ACL IPv4, toutes les ACL IPv6 incluent un refus implicite comme
dernière instruction.
Groupes d'objets
ÿ Les groupes d'objets sont utilisés pour classer les utilisateurs, les périphériques
ou les protocoles en groupes.
ÿ Ces groupes peuvent ensuite être utilisés pour créer des politiques de contrôle
d'accès pour des groupes d'objets dans des instructions faciles à lire.
ÿ Cela se traduit par des entrées de contrôle d'accès (ACE) moins nombreuses et
plus gérables .
ÿ Des objets supplémentaires peuvent être ajoutés à des groupes d'objets existants.
ÿ Les objets tels que les hôtes, les protocoles ou les services peuvent être regroupés.
ÿ Impossible de supprimer un groupe d'objets ou de rendre un groupe d'objets vide s'il est
utilisé dans un ACE.
ÿ Dans cette ACL, toutes les adresses IP et tous les réseaux spécifiés dans
eng_network_group sont autorisés à tous les services spécifiés dans
eng_srv_group.
Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 56
Machine Translated by Google
ÿ L'exposition d'hôtes et d'applications sensibles à des utilisateurs non fiables peut être
empêché.
ÿ Le flux de protocole peut être nettoyé, empêchant l'exploitation des failles du protocole.
ÿ Les données malveillantes peuvent être bloquées des serveurs et des clients.
ÿ Les données de nombreuses applications ne peuvent pas être transmises en toute sécurité à travers les pare-feux.
ÿ Les utilisateurs peuvent rechercher de manière proactive des moyens de contourner le pare-feu pour recevoir
du matériel bloqué, exposant ainsi le réseau à des attaques potentielles.
ÿ Le trafic non autorisé peut être tunnelisé ou masqué en tant que trafic légitime via le
pare-feu.
Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. 59
Machine Translated by Google
Types de pare-feu
Types de pare-feu
ÿ Pare- feu de filtrage de paquets - Il s'agit généralement d'un
routeur capable de filtrer certains contenus de paquets, tels que les
informations de couche 3 et parfois de couche 4.
Types de pare-feu
Pare-feu de filtrage de paquets
ÿ Les pare-feu de filtrage de paquets font généralement partie d'un pare-feu de
routeur et utilisent principalement des ACL. Il examine un paquet sur la base des
informations contenues dans un en-tête de paquet.
• AdresseÿIP de destination
• Protocole
• Numéro de port source
Types de pare-feu
Pare-feu avec état
ÿ Les pare-feu avec état sont les technologies de pare-feu les plus polyvalentes et les plus
couramment utilisées.
ÿ Le filtrage avec état suit chaque connexion traversant toutes les interfaces du pare-feu et
confirme qu'elles sont valides. Le pare-feu examine les informations contenues dans les
en-têtes des paquets de couche 3 et des segments de couche 4.
ÿ Les pare-feux avec état ont deux améliorations principales par rapport aux filtres de paquets
Types de pare-feu
Pare-feu avec état Cont.
ÿ Les pare-feux avec état inspectent chaque paquet, comparent le paquet à la table d'état et peuvent
examiner le paquet pour toute négociation de protocole spéciale.
ÿ Les pare-feux avec état fonctionnent principalement au niveau de la couche de transport (TCP et UDP).
Types de pare-feu
Solutions de pare-feu Cisco
Cisco Systems propose plusieurs options aux professionnels de la sécurité
réseau pour mettre en œuvre une solution de pare-feu.
Pare-feu classique
Pare-feu classique
ÿ Pare-feu classique, anciennement connu sous le nom de contrôle d'accès basé sur le contexte
(CBCA)
ÿ Le pare-feu classique fournit quatre fonctions principales qui incluent le filtrage du trafic, l'inspection du
trafic, la détection des intrusions et la génération d'audits et d' alertes
ÿ Le pare-feu classique est une amélioration spectaculaire par rapport aux pare-feu TCP établis et
ACL réflexifs de plusieurs manières
Pare-feu classique
Pare-feu classique
ÿ Une règle d'inspection est appliquée à une interface dans une direction,
à l'intérieur ou à l'extérieur, là où l'inspection s'applique.
Pare-feu classique
Zones démilitarisées
Les zones démilitarisées (DMZ) définissent les parties d'un
réseau qui sont approuvées et non approuvées.
Défense en couches
Facteurs à prendre en compte lors de la construction d'une défense
complète en profondeur.
Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 72
Machine Translated by Google
ÿ Établir des politiques entre les zones - Pour chaque paire de "source
de destination" (par exemple, du réseau interne vers Internet), définissent les
sessions que les clients des zones source peuvent demander aux serveurs des
zones de destination.
le trafic de retour et les messages ICMP potentiels. • Pour les protocoles nécessitant plusieurs sessions
parallèles de signalisation et de données (par exemple, FTP ou H.323), l'action d'inspection gère
également l' établissement correct des sessions de données.
ÿ Passer
• Analogue à une instruction permit dans une ACL. • Il ne suit pas
l'état des connexions ou des sessions dans le trafic.
sens. • Une politique correspondante doit être appliquée pour permettre au trafic de retour de passer dans le
direction opposée.
ÿ Laisser tomber
• Lorsqu'une interface est configurée pour être membre d'une zone, les hôtes qui sont
connectés à l'interface sont inclus dans la zone.
• Cependant, le trafic vers le routeur n'est pas soumis aux stratégies de zone. •
Par défaut, toutes les interfaces IP du routeur font partie de la zone autonome.
Configuration d'un pare-feu de stratégie basé sur une zone avec CLI
Configuration des pare-feux de stratégie basés sur la zone avec l'interface de ligne de commande
Configuration d'un pare-feu de stratégie basé sur une zone avec CLI
Création de zones
Configuration d'un pare-feu de stratégie basé sur une zone avec CLI
Configuration d'un pare-feu de stratégie basé sur une zone avec CLI
Spécification des stratégies de pare-feu
Configuration d'un pare-feu de stratégie basé sur une zone avec CLI
Application de stratégies de pare-feu et attribution d'interfaces de routeur
ÿ La stratégie de pare-feu est appliquée au trafic entre une paire de zones à l'aide
de la commande zone-pair security .
• Pour appliquer une politique, une paire de zones doit d'abord être créée.
Configuration d'un pare-feu de stratégie basé sur une zone avec l'assistant CCP
Assistants de pare-feu de base et avancés
ÿ L'assistant Pare-feu avancé peut être utilisé pour définir une DMZ de sécurité
utilisé pour les services accessibles sur Internet et permet à l'utilisateur de sélectionner le niveau de
sécurité par défaut qui est initialement mis en œuvre.
Configuration d'un pare-feu de stratégie basé sur une zone avec l'assistant CCP
Configuration avancée de l'interface du pare-feu
La première tâche pour activer une configuration de pare-feu avancée consiste à
définir les interfaces internes et externes.
Configuration d'un pare-feu de stratégie basé sur une zone avec l'assistant CCP
Configuration du niveau de sécurité
Après avoir effectué la configuration de l'interface, la fenêtre
Configuration avancée de la sécurité du pare-feu s'affiche.
Configuration d'un pare-feu de stratégie basé sur une zone avec l'assistant CCP
Fournir la configuration
Configuration d'un pare-feu de stratégie basé sur une zone avec l'assistant CCP
Étape 3. Créez des cartes de stratégie pour appliquer des actions au trafic des
cartes de classe.
Étape 4. Définissez des paires de zones et attribuez des cartes de stratégie à la zone
paires.
Configuration d'un pare-feu de stratégie basé sur une zone avec l'assistant CCP
Configuration d'un pare-feu de stratégie basé sur une zone avec l'assistant CCP
Configuration d'un pare-feu de stratégie basé sur une zone avec l'assistant CCP
Configuration d'un pare-feu de stratégie basé sur une zone avec l'assistant CCP
Configuration d'un pare-feu de stratégie basé sur une zone avec l'assistant CCP
Configuration d'un pare-feu de stratégie basé sur une zone avec l'assistant CCP
Configuration d'un pare-feu de stratégie basé sur une zone avec l'assistant CCP
Affichage de la table d'état du pare-feu de stratégie basée sur les zones
4.4 Résumé
Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 97
Machine Translated by Google
Chapitre 4
Résumé
ÿ Les pare-feu séparent les zones protégées des zones non protégées pour
empêcher les utilisateurs non autorisés d'accéder aux ressources réseau
protégées.
ÿ Les listes de contrôle d'accès IP standard et étendues sont des outils fondamentaux pour
filtrage de base du trafic réseau et pour atténuer un large éventail d'attaques réseau.
ÿ Les ACL peuvent également être configurées pour ouvrir temporairement une brèche
dans un pare-feu (c'est-à-dire une ACL dynamique). De plus, les ALC basées sur le
temps permettent aux administrateurs de sélectionner l'heure de la journée et les jours
de la semaine auxquels les ACL doivent être appliquées.
Chapitre 4
Résumé (suite)
Les pare-feux avec état peuvent être implémentés comme suitÿ:
•ÿSolutions de filtrage du traficÿ– Inclut les ACL utilisant l'option TCP
établie et les ACL réflexives
• ACL de contrôle d'accès basé sur le contexte (CBAC) - Les CABC permettent
un filtrage sophistiqué avec état de la plupart des formes de trafic d'applications
modernes.