Chap4-Instructor - FR

Machine Translated by Google
Chapitre 4 : Mise en œuvre

Technologies de pare-feu
CCNA-Sécurité
Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 1
Chapitre 4 : Objectifs
Dans ce chapitre, vous allezÿ:
ÿ Configurez les listes de contrôle d'accès IPv4 standard et étendues à l'aide de la CLI.
ÿ Vérifiez la fonctionnalité d'une ACL configurée par rapport à la topologie du réseau.
ÿ Configurez les listes de contrôle d'accès IPv4 standard et étendues à l'aide de CCP. ÿ
Configurer les ACL TCP établies et réflexives.
ÿ Configurer les ACL dynamiques.
ÿ Configurez les listes de contrôle d'accès basées sur le temps.
ÿ Dépanner les implémentations ACL complexes.
ÿ Utilisez les listes de contrôle d'accès pour atténuer les attaques réseau courantes.
ÿ Configurez les ACL IPv6 à l'aide de la CLI.
ÿ Configurer des groupes d'objets à utiliser dans une entrée de contrôle d'accès.
ÿ Expliquer comment les pare-feu sont utilisés pour aider à sécuriser les
réseaux. ÿ Décrire les différents types de pare-feux.
ÿ Configurez un pare-feu classique.
ÿ Expliquer les considérations de conception pour la mise en œuvre des technologies de pare-feu.
ÿ Expliquer comment les pare-feux basés sur les zones sont utilisés pour aider à sécuriser un réseau.
ÿ Expliquer le fonctionnement d'un pare-feu basé sur une politique de zone.
ÿ Configurez le pare-feu de stratégie basé sur la zone avec CLI.
ÿ Configurer un pare-feu de stratégie basé sur une zone avec CCP.
Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. 2

Chapitre
4.0 Présentation
4.1 Listes de contrôle d'accès
4.2 Technologies de pare-feu
4.3 Pare-feux de stratégie basés sur la zone
4.4 Résumé

4.1 Listes de contrôle d'accès
Configuration des listes de contrôle d'accès IPv4 standard et étendues avec l'interface de ligne de commande
Introduction aux listes de contrôle d'accès

ÿ Les listes de contrôle d'accès (ACL) sont largement utilisées pour atténuer
attaques réseau et contrôle du trafic réseau
ÿ Les paramètres utilisés dans les ACL liées à la sécurité impliquent les
adresses IPv4, IPv6 et les numéros de port TCP et UDP.

Listes de contrôle d'accès IP numérotées standard et étendue

Liste de contrôle d'accès IP numérotée standard

Listes de contrôle d'accès IP numérotées standard et étendues Con
ÿ Les ACL numérotées de 1 à 99 ou de 1300 à 1999 sont des IPv4 standard

ACL.
ÿ Les ACL standard correspondent aux paquets en examinant le champ

d'adresse IP source dans l'en-tête IP de ce paquet.
ÿ Les ACL standard sont utilisées pour filtrer les paquets en fonction uniquement
des informations source de la couche 3.


Listes de contrôle d'accès IP numérotées étendues
liste d'accès { acl-# } { permis | nier | remarque } protocole adresse-

source [ caractère générique source ] adresse destination [ caractère
générique destination ] [ établi ][ journal ]
[opérateur opérande] [port]

Les ACL numérotées de 100 à 199 ou de 2000 à 2699 sont des ACL étendues.
Les ACL étendues filtrent les paquets IP en fonction deÿ:
ÿ Adresses IP source et destination
ÿ Ports TCP et UDP source et destination
ÿ Type de protocole
Les listes de contrôle d'accès standard et étendues sontÿ:
ÿ Appliqué sur une interface à l'aide de la commande ip access-

group .
ÿ Appliqué sur un port VTY à l'aide de la commande access-class.

Listes de contrôle d'accès IP nommées standard et étendues

Routeur(config)# liste d'accès ip [standard | étendu] name_of_ACL
Exemple de liste de contrôle d'accès IP nommée standardÿ:
Exemple de liste de contrôle d'accès IP nommée étendueÿ:
Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. dix

Journalisation des correspondances ACL
Le paramètre Log peut être utilisé pour consigner les correspondances avec les
ACL. Les informations suivantes sont inclusesÿ:
ÿ Action - Autoriser ou refuser
ÿ Protocole - TCP, UDP ou ICMP

ÿ Source et destination - adresses IPv4 ou IPv6
ÿ TCP et UDP - Numéros de port source et destination
ÿ Pour ICMP - Types de messages
Les messages de journal sont générés lors de la première correspondance de paquets, puis à des
intervalles de cinq minutes après cette première correspondance de paquets.

Règles d'entrée de contrôle d'accès (ACE)

Une ACL est composée d'une ou plusieurs entrées de contrôle d'accès (ACE). Les mises en garde ci-
dessous doivent être prises en compte lorsque vous travaillez avec des listes de contrôle d'accès.
ÿ Refuser tout implicite - Toutes les ACL Cisco se terminent par une instruction Refuser tout implicite .
ÿ Filtrage de paquets ACL standard
• Les ACL standard sont limitées au filtrage de paquets basé sur les adresses source
seul.
• Il peut être nécessaire de créer des listes de contrôle d'accès étendues pour mettre pleinement en œuvre une sécurité
politique.
ÿ Ordre des déclarations

• Les ACL ont une politique de première correspondance ; lorsqu'une instruction correspond, la liste n'est plus
examinée.
• Assurez-vous que les instructions en haut de l'ACL n'annulent aucune

énoncés trouvés plus bas.
• Placer des instructions ACL spécifiques plus haut dans l'ACL et plus générales
déclarations vers la fin.

Règles d'accès au contrôle d'accès (suite)

ÿ Filtrage directionnel
• Les ACL peuvent être appliquées aux paquets entrants (vers l'interface) ou
paquets sortants (loin de l'interface). • Vérifiez à nouveau la
direction des données qu'une ACL filtre.
ÿ Forfaits spéciaux
• Les paquets générés par le routeur, tels que les mises à jour de la table de routage, ne sont pas soumis
aux instructions ACL sortantes sur le routeur source.
•
Si la politique de sécurité requiert le filtrage de ces types de paquets, des ACL entrantes sur
des routeurs adjacents ou d'autres mécanismes de filtrage de routeur doivent être utilisés.
ÿ Modification des ACL

• Les nouvelles entrées sont ajoutées à une ACL et sont toujours ajoutées en bas. • À partir de Cisco
IOS 12.3, les numéros de séquence peuvent être utilisés pour modifier un
LCA.
• L'ACL est traitée de haut en bas en fonction des numéros de séquence des instructions (du plus bas
au plus élevé).

Exemple d'ACL standard

Tout le trafic du sous-réseau 172.16.4.0 doit se voir refuser l'accès à un
autre sous-réseau, mais tout autre trafic doit être autorisé
ÿ R1(config)# liste d'accès 1 refuser 172.16.4.0 0.0.0.255
ÿ R1(config)# access-list 1 permit any
ÿ R1(config) #interface FastEthernet 0/0
ÿ R1(config-if)# ip access-group 1 out

Exemple d'ACL étendu

Le trafic FTP d'un sous-réseau doit être refusé sur un autre sous-réseau.
ÿ R1(config)# access-list 101 deny tcp 172.16.4.0
0.0.0.255 172.16.3.0 0.0.0.255 éq 21
ÿ R1(config)# access-list 101 deny tcp 172.16.4.0
0.0.0.255 172.16.3.0 0.0.0.255 éq 20
ÿ R1(config)# access-list 101 permit ip any any

Modification des listes de contrôle d'accès étendues
La liste d'accès existante comporte trois entréesÿ:
La liste d'accès est modifiée, ajoutant un nouvel ACE et remplaçant la ligne 20 d'ACEÿ:
La liste d'accès mise à jour comporte quatre entréesÿ:

Topologie et flux pour les ACL

Comment les routeurs Cisco gèrent les correspondances ACL
ÿ La direction du trafic via un périphérique réseau est

défini par les interfaces d'entrée (entrante) et de sortie
(sortante) pour le trafic.
ÿ Le trafic entrant fait référence au trafic lorsqu'il entre
dans le routeur, avant l'accès à la table de routage.
ÿ Le trafic sortant fait référence au trafic qui est entré dans le
routeur et a été traité par le routeur pour déterminer où
transférer ces données.
ÿ En fonction du type de périphérique et de l'ACL configuré,

le trafic de retour peut être dynamiquement suivi.


Comment les routeurs Cisco gèrent les correspondances ACL Suite.
Flux d'opération ACL entrant


Comment les routeurs Cisco gèrent les correspondances ACL Suite.
Flux d'opération ACL sortant


Emplacement de la LCA
Placement standard de la LCA
ÿ Les ACL standard sont placées aussi près de la destination que possible.
possible.
ÿ Les paquets de filtrage ACL standard sont basés sur l'adresse source
seul.
ÿ Placer des ACL standard trop proches de la source peut empêcher

trafic valide.
Placement ACL étendu
ÿ Les listes de contrôle d'accès étendues sont placées sur des routeurs aussi
proches que possible de la source filtrée.
ÿ Placer les ACL étendues trop loin de la source est une utilisation inefficace des
ressources réseau.


Conception de LCA
ÿ Les ACL sont utilisées pour empêcher certains types de trafic de

entrant dans un réseau.
ÿ Les ACL sont utilisées pour permettre l'utilisation de types de trafic

plus sécurisés, tels que HTTPS (port TCP 443), à des fins
professionnelles.
ÿ L'utilisation efficace des ACL nécessite une compréhension claire des

ports qui doivent être bloqués par rapport aux ports autorisés et
appropriés des ACL étendues
ÿ Le programme Nmap peut être utilisé pour déterminer quels ports

sont ouverts sur un périphérique donné.


Vérification de la fonctionnalité ACL
commande show running-config
commande show ip access-lists

Configuration des listes de contrôle d'accès standard et étendues avec CCP
Configuration des ACL avec CCP

Pour configurer les ACL sur un périphérique de routage à l'aide de CCP, le routeur doit d'abord
être sélectionné dans la liste déroulante sous Sélectionner un membre de la communauté.
Ensuite, dans la barre de menus de l'application CCP, cliquez

sur Configurer pour ouvrir la liste des tâches.
Ouvrez la liste déroulante Routeur >ACL pour accéder

aux options de configuration ACL.

Règles du PCC
ÿ CCP permet à un administrateur de créer des règles d'accès qui refusent
certains types de trafic tout en autorisant d'autres types.
ÿ CCP fournit des règles par défaut qu'un administrateur peut utiliser.
ÿ La fenêtre Résumé des règles CCP (ACL) fournit un résumé des

les règles dans la configuration du routeur.

Création d'une règle

À l'aide de CCP, un administrateur peut créer et appliquer des règles standard (ACL
standard) et des règles étendues (ACL étendues).
ÿ Dans le menu CCP, cliquez sur Configurer > Routeur > ACL > Éditeur ACL.
ÿ Cliquez sur Ajouter pour afficher

la fenêtre Ajouter une règle.
ÿ Dans la fenêtre Ajouter une

règle, entrez un nom ou un
numéro dans le champ Nom/Numéro .
ÿ Dans la liste déroulante Type,

sélectionnez Règle standard.
ÿ Cliquez sur Ajouter. La

fenêtre Ajouter une entrée
de règle standard s'affiche.

Application d'une règle à une interface

ÿ Une fois la liste des entrées de règle terminée, l'étape suivante consiste à appliquer
la règle à une interface.
ÿ Dans la fenêtre Ajouter une règle, cliquez sur Associer. La fenêtre Associer à une
interface s'affiche. Seules les interfaces dont l'état est up/up apparaissent dans la
liste déroulante.

Livraison d'une règle

Une fois la règle d'accès créée, dans la fenêtre Ajouter une règle, cliquez sur OK.

Configuration des listes de contrôle d'accès TCP établies et réflexives
Approche de première génération du pare-feu avec éta

ÿ La solution de filtrage du trafic IOS de première génération pour prendre en charge les deux
la nature des circuits virtuels TCP était le mot-clé établi
par TCP pour les ACL IP étendues.
ÿ Bloquer tout le trafic provenant d'Internet, à l'exception du trafic de

réponse TCP associé au trafic TCP établi initié depuis l'intérieur
du réseau.
ÿ La solution IOS de deuxième génération pour le filtrage de session a été
ACL réflexifs.
ÿ Filtrez le trafic en fonction des adresses source et de destination et des numéros

de port, et suivez les sessions.
ÿ L'option TCP établie et les ACL réflexives sont des exemples d'ACL complexes.

Surveillance des paramètres d'indicateur TCP
ÿ En 1995, la solution de filtrage de trafic IOS de première génération

basée sur le mot-clé établi par TCP pour les ACL IP étendues.
ÿ Le mot-clé TCP établi bloque tout le trafic provenant d' Internet, à
l'exception du trafic de réponse TCP associé au trafic TCP établi
initié depuis l'intérieur du réseau.
ÿ Le mot-clé établi oblige le routeur à vérifier si

l'indicateur de contrôle TCP ACK ou RST est activé.
ÿ Si l'indicateur ACK est défini, le trafic TCP est autorisé.

Sinon, on suppose que le trafic est associé à une nouvelle
connexion initiée de l'extérieur.

TCP établi en action
R1(config)# access-list 100 permit tcp any eq 443 192.168.1.0 0.0.0.255 établi
R1(config)# access-list 100 deny ip any any
R1(config)# interface s0/0/0
R1(config-if)# ip access-group 100 in

ACL réflexives
ÿ En 1996, la solution IOS de deuxième génération pour le filtrage de
session était les ACL réflexives.
ÿ Contrairement à la fonctionnalité TCP établi, qui n'utilisait que les

bits ACK et RST, le trafic de filtre ACLS réflexif était basé sur les
adresses source, de destination et les numéros de port.
ÿ Le filtrage de session utilise des filtres temporaires

supprimé lorsqu'une session est terminée, ajoutant une limite de
temps à l'opportunité d'attaque d'un pirate.
ÿ Utilisé pour autoriser le trafic IP pour les sessions provenant

de l'intérieur du réseau tout en refusant le trafic IP pour les
sessions provenant de l'extérieur du réseau.

ACL réflexives (suite)

ÿ Le routeur examine le trafic sortant et quand il
voit une nouvelle connexion, il ajoute une entrée à une liste de contrôle d'accès
temporaire pour autoriser les réponses à revenir.
ÿ Ces entrées sont automatiquement créées lorsqu'une nouvelle session

IP commence, par exemple, avec un paquet sortant, et les entrées
sont automatiquement supprimées lorsque la session se termine.

Utilisation des ACL réflexives

Étape 1. Créez une liste de contrôle d'accès interne qui recherche de
nouvelles sessions sortantes et crée des entrées de contrôle
d'accès réflexives temporaires.
Étape 2. Créez une liste de contrôle d'accès externe qui utilise le réflexif
ACL pour examiner le trafic de retour.
Étape 3. Activez les listes de contrôle d'accès nommées sur les interfaces
appropriées.

Utilisation des listes de contrôle d'accès réflexives (suite).
Créez une liste de contrôle d'accès

réflexive qui correspond aux utilisateurs
internes surfant sur Internet avec un navigateur
Web et s'appuyant sur le DNS avec un 10-
seconde période de temporisation.
R1(config)# liste d'accès IP étendue INTERNAL_ACL

R1(config-ext-nacl)# permit tcp any any eq 80 reflètent WEB-ONLY-REFLEXIVE-ACL
R1(config-ext-nacl)# permit udp any any eq 53 reflect DNS-ONLY-REFLEXIVE-ACL timeout 10
R1(config-ext-nacl)# sortie
R1(config)# liste d'accès ip étendue EXTERNAL_ACL
R1(config-ext-nacl)# évalue WEB-ONLY-REFLEXIVE-ACL
R1(config-ext-nacl)# évalue DNS-ONLY-REFLEXIVE-ACL
R1(config-ext-nacl)# deny ip any any
R1(config-ext-nacl)# sortie
R1(config)# interface s0/0/0
R1(config-if)# ip access-group INTERNAL_ACL out
R1(config-if)# groupe d'accès IP EXTERNAL_ACL dans

Configuration des ACL dynamiques
ACL dynamiques
ÿ Les ACL dynamiques sont disponibles pour le trafic IP uniquement.
ÿ Les ACL dynamiques dépendent de la connectivité

Telnet, de l'authentification (locale ou distante) et des
ACL étendues.
ÿ Les ACL dynamiques offrent ces avantages de sécurité par rapport

aux ACL étendues standard et statiquesÿ:
• Mécanisme de défi pour authentifier les utilisateurs individuels

• Gestion simplifiée dans les grands interréseaux
• Réduction du traitement du routeur pour les ACL
• Moins de possibilités d'effraction du réseau par des pirates du réseau
• Création d'un accès utilisateur dynamique via un pare-feu, sans compromettre
les autres restrictions de sécurité configurées.


Fonctionnement dynamique de l'ACL
ÿ Une liste de contrôle d'accès étendue est appliquée pour bloquer tout le
trafic passant par le routeur, à l'exception de Telnet. Les utilisateurs qui
souhaitent traverser le routeur sont bloqués par l'ACL jusqu'à ce qu'ils
utilisent Telnet pour se connecter au routeur et soient authentifiés.
ÿ Les utilisateurs s'authentifient à l'aide de Telnet, puis sont supprimés.

• Cependant, une liste de contrôle d'accès dynamique à entrée unique est ajoutée à la
liste de contrôle d'accès étendue existante.
• Cela autorise le trafic pendant une période donnée ; oisif et absolu

des temporisations sont possibles.


Fonctionnement ACL dynamique Cont.


Configuration d'une ACL dynamique


Délais d'attente ACL dynamiques
ÿ Deux délais d'attente sont associés à l'ACL dynamique
entrées : absolues et inactives.
ÿ Le temporisateur absolu est spécifié dans l'ACL dynamique

entrée.
ÿ La valeur du délai d'inactivité est spécifiée dans la

commande autocommand , qui active l' authentification par verrouillage
et clé sur les lignes vty.
ÿ Si les délais d'attente ne sont pas spécifiés, la valeur par défaut est
de ne jamais expirer l'entrée ; par conséquent, il est recommandé de
configurer un délai d'attente.

Configuration des listes de contrôle d'accès basées sur le temps
ACL basées sur le temps

ÿ Les listes de contrôle d'accès basées sur le temps permettent un contrôle d'accès basé sur
temps.
ÿ Les listes de contrôle d'accès basées sur le temps permettent de restreindre le trafic
en fonction de l'heure de la journée, du jour de la semaine ou du jour du mois.


Scénario ACL basé sur le temps

Les utilisateurs ne sont pas autorisés à
accéder à Internet pendant les heures de
bureau, sauf pendant le déjeuner et après
les heures entre 17h00 et 19h00
R1(config)# time-range EMPLOYEE-TIME

R1(config-time-range)# jours de semaine périodiques de 12h00 à 13h00
R1(config-time-range)# jours de semaine périodiques de 17h00 à 19h00
R1(config-time-range)# sortie
R1(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any time-range EMPLOYEE-TIME
R1(config)# access-list 100 deny ip any any
R1(config) #interface FastEthernet 0/1
R1(config-if)# ip access-group 100 in
R1(config-if)# sortie

Dépannage des implémentations ACL complexes

Vérifier et dépanner les ACL
Deux commandes sont très utiles pour dépanner les ACLÿ:
• afficher les listes d'accès
• paquet IP de débogage (détail)

Dépannage des implémentations ACL complexes

Débogage des ACL

Atténuation des attaques avec les listes de contrôle d'accès
Atténuation de l'usurpation d'identité et des attaques DoS
ÿ Les ACL peuvent être utilisées pour atténuer de nombreuses menaces

réseau • Usurpation d'adresse IP, entrante et sortante • Attaques
DoS TCP SYN
• Attaques de schtroumpf DoS
ÿ Les ACL peuvent également filtrer le trafic

suivant • Messages ICMP (entrants et sortants)
• traceroute

Antispoofing avec ACL

Refuser tous les paquets IP contenant
les adresses IP suivantes dans leur
champ sourceÿ:
• Toute adresse d'hôte local
(127.0.0.0/8)
• Toutes les adresses privées réservées

(RFCÿ1918)
• Toutes les adresses dans la
plage d'adresses de
multidiffusion IP (224.0.0.0/4)
R1(config)# access-list 150 deny ip 0.0.0.0 0.255.255.255 any R1(config)# access-list

150 deny ip 10.0.0.0 0.255.255.255 any
R1(config)# access-list 150 deny ip 127.0.0.0 0.255.255.255 any
R1(config)# access-list 150 deny ip host 255.255.255.255 any

Autoriser le trafic nécessaire à travers un pare-feu

DNS, SMTP et FTP sont des services courants qui doivent
souvent être autorisés via un pare-feu.

Atténuation des abus ICMP

ÿ Les pirates utilisent des paquets ICMP pour les balayages de pings et les attaques par inondation DoS,
et utilisent des messages de redirection ICMP pour modifier les tables de routage de l'hôte.
ÿ Les messages d'écho et de redirection ICMP doivent être bloqués

par le routeur.

Atténuation des exploits SNMP

ÿ Les protocoles de gestion, tels que SNMP, bien qu'utiles pour la surveillance et la
gestion à distance des périphériques en réseau, peuvent être exploités.
ÿ Appliquer les ACL d'interface pour filtrer les paquets SNMP provenant de non-autorisés
systèmes.

ACL IPv6
ACL IPv6
ÿ Les ACL IPv6 sont similaires aux ACL IPv4. Ils permettent de
filtrer les adresses source et destination, les ports source et
destination et le type de protocole.
ÿ Les ACL IPv6 sont créées à l'aide de la liste d'accès IPv6
commande.
ÿ Les ACL IPv6 sont appliquées à une interface utilisant l' ipv6
nom-liste- d'accès-filtre-trafic {dans | dehors}
commande.

ACL IPv6
Configuration des ACL IPv6
ÿ Toutes les ACL IPv6 contiennent deux déclarations d'autorisation implicites pour
permettre l'envoi et la réception de paquets de découverte de voisins IPv6.
• autoriser icmp n'importe quel n'importe quel nd-na
• autoriser icmp n'importe quel nd-ns
ÿ Comme les ACL IPv4, toutes les ACL IPv6 incluent un refus implicite comme
dernière instruction.
refuser ipv6 tout
ÿ Ces instructions ne s'afficheront pas dans la sortie de configuration.

Une bonne pratique consiste à entrer manuellement les trois
commandes implicites.
ÿ La saisie manuelle de l'instruction de refus implicite vous permet également

de consigner les paquets refusés sans affecter la découverte des voisins.

Utilisation des groupes d'objets dans les ACE
Groupes d'objets
ÿ Les groupes d'objets sont utilisés pour classer les utilisateurs, les périphériques
ou les protocoles en groupes.
ÿ Ces groupes peuvent ensuite être utilisés pour créer des politiques de contrôle
d'accès pour des groupes d'objets dans des instructions faciles à lire.
ÿ Cette fonctionnalité permet à l'administrateur d'utiliser des groupes d'objets

au lieu des adresses IP individuelles, des protocoles et des ports, qui sont
utilisés dans les ACL conventionnelles.
ÿ Cela se traduit par des entrées de contrôle d'accès (ACE) moins nombreuses et
plus gérables .
ÿ Les ACL IPv4 et IPv6 peuvent utiliser des groupes d'objets.

Groupes d'objets réseau et service
ÿ Les groupes d'objets doivent avoir des noms uniques.
ÿ Des objets supplémentaires peuvent être ajoutés à des groupes d'objets existants.
ÿ Les objets tels que les hôtes, les protocoles ou les services peuvent être regroupés.
ÿ Impossible de supprimer un groupe d'objets ou de rendre un groupe d'objets vide s'il est
utilisé dans un ACE.

Configuration des groupes d'objets réseau et service

Création d'une ACL basée sur un groupe d'objets
ÿ Dans cette ACL, toutes les adresses IP et tous les réseaux spécifiés dans
eng_network_group sont autorisés à tous les services spécifiés dans
eng_srv_group.
ÿ Dans l'exemple, l'argument de protocole (tcp, udp, icmp) n'est pas

nécessaire, car le protocole est spécifié dans le groupe de services.

4.2 Technologies de pare-feu
Sécuriser les réseaux avec des pare-feu

Définition des pare-feu
ÿ Un pare-feu empêche le trafic indésirable d'entrer dans
des zones prescrites au sein d'un réseau.
ÿ Un pare-feu est un système ou un groupe de systèmes qui applique
une politique de contrôle d'accès entre les réseaux. Par exempleÿ: •
Un routeur de filtrage de paquets
• Un commutateur avec deux VLAN
• Plusieurs hôtes avec logiciel pare-feu
ÿ En 1989, AT&T Bell Laboratories a développé le premier

pare-feu avec état. Un pare-feu dynamique est capable de déterminer
si un paquet appartient à un flux de données existant.


Définition des pare-feu (suite)


Avantages et limites des pare-feu
Avantages
ÿ L'exposition d'hôtes et d'applications sensibles à des utilisateurs non fiables peut être
empêché.
ÿ Le flux de protocole peut être nettoyé, empêchant l'exploitation des failles du protocole.
ÿ Les données malveillantes peuvent être bloquées des serveurs et des clients.
ÿ L'application des politiques de sécurité peut être simplifiée, évolutive et robuste.

Limites
ÿ En cas de mauvaise configuration, peut avoir de graves conséquences, comme un point de
échec.
ÿ Les données de nombreuses applications ne peuvent pas être transmises en toute sécurité à travers les pare-feux.
ÿ Les utilisateurs peuvent rechercher de manière proactive des moyens de contourner le pare-feu pour recevoir
du matériel bloqué, exposant ainsi le réseau à des attaques potentielles.
ÿ Les performances du réseau peuvent ralentir.
ÿ Le trafic non autorisé peut être tunnelisé ou masqué en tant que trafic légitime via le
pare-feu.
Types de pare-feu
Types de pare-feu
ÿ Pare- feu de filtrage de paquets - Il s'agit généralement d'un
routeur capable de filtrer certains contenus de paquets, tels que les
informations de couche 3 et parfois de couche 4.
ÿ Pare- feu avec état - Surveille l'état des connexions,

si la connexion est dans un état d'initiation, de transfert de données
ou de terminaison.
ÿ Pare-feu de passerelle d'application (pare-feu proxy) - Un pare -feu

qui filtre les informations aux couches 3, 4, 5 et 7 du modèle de
référence OSI. La majeure partie du contrôle et du filtrage du pare-feu
est effectuée dans le logiciel.
ÿ Pare-feu de traduction d'adresses réseau (NAT) - Un pare -feu qui

augmente le nombre d'adresses IP disponibles et masque la
conception de l'adressage réseau.

Types de pare-feu
Pare-feu de filtrage de paquets
ÿ Les pare-feu de filtrage de paquets font généralement partie d'un pare-feu de
routeur et utilisent principalement des ACL. Il examine un paquet sur la base des
informations contenues dans un en-tête de paquet.
ÿ Les pare-feu de filtrage de paquets utilisent une simple recherche de table de

stratégie qui autorise ou refuse le trafic en fonction de critères spécifiquesÿ:
• AdresseÿIP source
• AdresseÿIP de destination
• Protocole
• Numéro de port source
• Numéro de port de destination
• Synchroniser/démarrer la réception de paquets (SYN)

Types de pare-feu
Pare-feu avec état
ÿ Les pare-feu avec état sont les technologies de pare-feu les plus polyvalentes et les plus
couramment utilisées.
ÿ Le filtrage avec état suit chaque connexion traversant toutes les interfaces du pare-feu et
confirme qu'elles sont valides. Le pare-feu examine les informations contenues dans les
en-têtes des paquets de couche 3 et des segments de couche 4.
ÿ Également appelés «ÿfiltres de paquets avec étatÿ» et «ÿfiltres de paquets sensibles

aux applicationsÿ».
ÿ Les pare-feux avec état ont deux améliorations principales par rapport aux filtres de paquets
• Maintenir une table de session (table d'état) où ils suivent toutes

les connexions.
• Reconnaître les applications dynamiques et savoir quelles

connexions supplémentaires seront initiées entre les terminaux.

Types de pare-feu
Pare-feu avec état Cont.
ÿ Les pare-feux avec état inspectent chaque paquet, comparent le paquet à la table d'état et peuvent
examiner le paquet pour toute négociation de protocole spéciale.
ÿ Les pare-feux avec état fonctionnent principalement au niveau de la couche de transport (TCP et UDP).

Types de pare-feu
Solutions de pare-feu Cisco
Cisco Systems propose plusieurs options aux professionnels de la sécurité
réseau pour mettre en œuvre une solution de pare-feu.

Pare-feu classique
Pare-feu classique
ÿ Pare-feu classique, anciennement connu sous le nom de contrôle d'accès basé sur le contexte
(CBCA)
ÿ Le pare-feu classique fournit quatre fonctions principales qui incluent le filtrage du trafic, l'inspection du
trafic, la détection des intrusions et la génération d'audits et d' alertes
ÿ Le pare-feu classique est une amélioration spectaculaire par rapport aux pare-feu TCP établis et
ACL réflexifs de plusieurs manières
• Surveille la configuration de la connexion TCP
• Suit les numéros de séquence TCP

• Surveille les informations de session UDP
• Inspecte les requêtes DNS et les réponses
• Inspecte les types de messages ICMP courants
• Prend en charge les applications qui reposent sur plusieurs connexions
• Inspecte les adresses intégrées
• Inspecte les informations de la couche d'application

Pare-feu classique
Fonctionnement du pare-feu classique

Pare-feu classique
Fonctionnement du pare-feu classique, suite.

ÿ Avec Classic Firewall, les protocoles à inspecter sont spécifiés
dans une règle d'inspection.
ÿ Une règle d'inspection est appliquée à une interface dans une direction,
à l'intérieur ou à l'extérieur, là où l'inspection s'applique.

Pare-feu classique
Configuration du pare-feu classique

Pour configurer le pare-feu classiqueÿ:
Étape 1. Sélectionnez une interface,

interne ou externe.
Étape 2. Configurez les listes de contrôle d'accès IP au

niveau de l'interface.
Étape 3. Définir les règles d'inspection.
Étape 4. Appliquez une règle

d'inspection à une interface.

Pare-feu dans la conception de réseaux
Zones démilitarisées
Les zones démilitarisées (DMZ) définissent les parties d'un
réseau qui sont approuvées et non approuvées.

Défense en couches
Facteurs à prendre en compte lors de la construction d'une défense
complète en profondeur.

Pare-feu et politique de sécurité

Meilleures pratiques de pare-feu

4.3 Pare-feux de stratégie basés

sur la zone
Caractéristiques du pare-feu de politique basé sur la zone
Pare-feux de politique basés sur la zone

ÿ Un modèle de configuration de pare-feu de stratégie basé
sur zone (ZPF ou ZBF ou ZFW) a été introduit en 2006
avec la version 12.4(6)T de Cisco IOS.
ÿ Avec ZPF, les interfaces sont affectées à des zones, puis

une politique d'inspection est appliquée au trafic circulant
entre les zones.
• La stratégie par défaut consiste à bloquer tout le trafic, sauf si
autorisé (la valeur par défaut du CBAC était Autoriser tout).
•
Il prend en charge les fonctionnalités de pare-feu précédentes, y compris Stateful
Inspection des paquets (SPI), inspection des applications, filtrage d'URL et
atténuation DoS.

Pare-feux basés sur la politique de zone Suite.

ÿ Ne dépend pas des ACL.
ÿ La posture de sécurité du routeur est de bloquer sauf

autorisation explicite.
ÿ Les politiques sont faciles à lire et à dépanner avec

C3PL.
ÿ Une stratégie affecte un trafic donné, au lieu de

nécessiter plusieurs ACL et actions d'inspection.

Conception de pare-feu de politique basée sur la zone
ÿ Déterminer les zones - L'infrastructure d'interconnexion de réseaux sous

la considération doit être divisée en zones distinctes avec différents niveaux de
sécurité axés sur la séparation de l'infrastructure en zones.
ÿ Établir des politiques entre les zones - Pour chaque paire de "source
de destination" (par exemple, du réseau interne vers Internet), définissent les
sessions que les clients des zones source peuvent demander aux serveurs des
zones de destination.
ÿ Concevoir l'infrastructure physique - L'administrateur doit concevoir l'infrastructure

physique en tenant compte des exigences de sécurité et de disponibilité.
ÿ Identifier le sous-ensemble dans les zones et fusionner les exigences de trafic -

Pour chaque périphérique de pare-feu dans la conception, l'administrateur doit
identifier les sous-ensembles de zone connectés à ses interfaces et fusionner les
exigences de trafic pour ces zones.

Fonctionnement du pare-feu de stratégie basé sur la zone
Actions de pare-feu de stratégie basées sur la zone

ÿ Inspecter
• Configure Cisco IOS SPI (équivalent à la commande ip inspect ). • Il autorise automatiquement
le trafic de retour et les messages ICMP potentiels. • Pour les protocoles nécessitant plusieurs sessions
parallèles de signalisation et de données (par exemple, FTP ou H.323), l'action d'inspection gère
également l' établissement correct des sessions de données.
ÿ Passer
• Analogue à une instruction permit dans une ACL. • Il ne suit pas
l'état des connexions ou des sessions dans le trafic.
• Le laissez-passer n'autorise la circulation que dans un seul
sens. • Une politique correspondante doit être appliquée pour permettre au trafic de retour de passer dans le
direction opposée.
ÿ Laisser tomber
• Analogue à une instruction de refus dans une ACL. • Une option
de journal est disponible pour consigner les paquets rejetés.

Règles de pare-feu basées sur la zone

Règles pour le trafic des applications

Règles de pare-feu basées sur la zone pour les routeurs

ÿ Les règles ZBF pour un pare-feu de stratégie basé sur une zone sont différentes
lorsque le routeur est la source ou la destination du trafic.
• Lorsqu'une interface est configurée pour être membre d'une zone, les hôtes qui sont
connectés à l'interface sont inclus dans la zone.
• Cependant, le trafic vers le routeur n'est pas soumis aux stratégies de zone. •
Par défaut, toutes les interfaces IP du routeur font partie de la zone autonome.
ÿ Une paire de zones qui inclut la zone autonome et la politique associée,

s'applique au routeur généré ou au trafic destiné au routeur. Elle ne s'applique
pas au trafic traversant le routeur.
ÿ Une stratégie peut être définie en utilisant la zone self comme

source ou la zone de destination.
• La zone autonome est une zone définie par le système.

•
Il ne nécessite aucune interface à configurer en tant que membres.

Règles de pare-feu basées sur la zone pour les routeurs Suite.
Les règles varient selon que le routeur est la source ou la

destination du trafic.

Configuration d'un pare-feu de stratégie basé sur une zone avec CLI
Configuration des pare-feux de stratégie basés sur la zone avec l'interface de ligne de commande
ÿ Créez les zones pour le pare-feu.
sécurité des zones

ÿ Définir les classes de trafic.
inspecter le type de carte de classe
ÿ Spécifiez les stratégies de pare-feu.
inspection du type de carte de politique
ÿ Appliquez des stratégies de pare-feu à des paires de zones de destination source.

paire de zones
ÿ Attribuez des interfaces de routeur aux zones.

sécurité des membres de la zone

Création de zones

Définition des classes de trafic

Spécification des stratégies de pare-feu

Application de stratégies de pare-feu et attribution d'interfaces de routeur
ÿ La stratégie de pare-feu est appliquée au trafic entre une paire de zones à l'aide
de la commande zone-pair security .
• Pour appliquer une politique, une paire de zones doit d'abord être créée.
• Spécifiez la zone source, la zone de destination et la politique de gestion

le trafic entre eux.
ÿ Enfin, l'administrateur doit attribuer des interfaces aux zones de sécurité

appropriées à l'aide de la commande zone-member interface.

Configuration d'un pare-feu de stratégie basé sur une zone avec l'assistant CCP
Assistants de pare-feu de base et avancés
ÿ L'assistant CCP Basic Firewall aide à implémenter un pare-feu avec deux

zones : une zone intérieure et une zone extérieure.
ÿ L'assistant Pare-feu avancé peut être utilisé pour définir une DMZ de sécurité
utilisé pour les services accessibles sur Internet et permet à l'utilisateur de sélectionner le niveau de
sécurité par défaut qui est initialement mis en œuvre.

Configuration avancée de l'interface du pare-feu
La première tâche pour activer une configuration de pare-feu avancée consiste à
définir les interfaces internes et externes.

Configuration du niveau de sécurité
Après avoir effectué la configuration de l'interface, la fenêtre
Configuration avancée de la sécurité du pare-feu s'affiche.

Fournir la configuration

Configuration manuelle avec CCP

Il y a quatre étapes pour configurer ZPF avec CCPÿ:
Étape 1. Définissez les zones dans la page Zone.
Étape 2. Configurez les mappages de classe pour décrire le trafic entre

zones.
Étape 3. Créez des cartes de stratégie pour appliquer des actions au trafic des
cartes de classe.
Étape 4. Définissez des paires de zones et attribuez des cartes de stratégie à la zone
paires.

Définir des zones

ÿ Une zone, ou zone de sécurité, est un groupe nommé d'interfaces
auxquelles une politique de sécurité peut être appliquée.
ÿ Une zone peut contenir une seule interface ou plusieurs

interfacesÿ; cependant, une interface ne peut pas être membre de plus
d'une zone.

Configuration des mappages de classe
Les cartes de classe identifient le trafic et les paramètres de trafic

pour l'application de la politique.

Création de cartes de stratégie

Définition des paires de zones

Modification de l'affichage de la politique de pare-feu

Afficher l'activité du pare-feu

Affichage de la table d'état du pare-feu de stratégie basée sur les zones
Utilisez la commande show policy-map type inspect zone-

pair session pour examiner les connexions actives dans la table d'état
ZPF.

4.4 Résumé
Chapitre 4
Résumé
ÿ Les pare-feu séparent les zones protégées des zones non protégées pour
empêcher les utilisateurs non autorisés d'accéder aux ressources réseau
protégées.
ÿ Les méthodes courantes de mise en œuvre des pare-feu incluentÿ:
• Pare-feu de filtrage de paquets

• Pare-feu avec état
ÿ Les listes de contrôle d'accès IP standard et étendues sont des outils fondamentaux pour
filtrage de base du trafic réseau et pour atténuer un large éventail d'attaques réseau.
ÿ Les ACL peuvent également être configurées pour ouvrir temporairement une brèche
dans un pare-feu (c'est-à-dire une ACL dynamique). De plus, les ALC basées sur le
temps permettent aux administrateurs de sélectionner l'heure de la journée et les jours
de la semaine auxquels les ACL doivent être appliquées.

Chapitre 4
Résumé (suite)
Les pare-feux avec état peuvent être implémentés comme suitÿ:
•ÿSolutions de filtrage du traficÿ– Inclut les ACL utilisant l'option TCP
établie et les ACL réflexives
• ACL de contrôle d'accès basé sur le contexte (CBAC) - Les CABC permettent
un filtrage sophistiqué avec état de la plupart des formes de trafic d'applications
modernes.
• Pare-feu de politique basé sur la zone - Introduit en 2006, il s'agit de l'état de

l'art en matière de pare-feu moderne. L'opération Zone-Based Policy Firewall
s'articule autour de la création de zones associées à différents niveaux de
sécurité.


Chap4-Instructor - FR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Chap4-Instructor - FR

Transféré par

Droits d'auteur :

Formats disponibles

Machine Translated by Google

Chapitre 4 : Mise en œuvre

ÿ Vérifiez la fonctionnalité d'une ACL configurée par rapport à la topologie du réseau.

Configurer les ACL TCP établies et réflexives.

ÿ Configurer les ACL dynamiques.

ÿ Configurez les listes de contrôle d'accès basées sur le temps.

ÿ Dépanner les implémentations ACL complexes.

ÿ Configurez les ACL IPv6 à l'aide de la CLI.

réseaux. ÿ Décrire les différents types de pare-feux.

ÿ Configurez un pare-feu classique.

ÿ Expliquer le fonctionnement d'un pare-feu basé sur une politique de zone.

ÿ Configurez le pare-feu de stratégie basé sur la zone avec CLI.

ÿ Configurer un pare-feu de stratégie basé sur une zone avec CCP.

Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. 2

4.2 Technologies de pare-feu

4.3 Pare-feux de stratégie basés sur la zone

Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. 3

4.1 Listes de contrôle d'accès

Introduction aux listes de contrôle d'accès

Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. 5

Listes de contrôle d'accès IP numérotées standard et étendue

Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. 6

Listes de contrôle d'accès IP numérotées standard et étendues Con

ÿ Les ACL numérotées de 1 à 99 ou de 1300 à 1999 sont des IPv4 standard

ÿ Les ACL standard correspondent aux paquets en examinant le champ

Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. 7

Listes de contrôle d'accès IP numérotées standard et étendues Con

liste d'accès { acl-# } { permis | nier | remarque } protocole adresse-

Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. 8

Listes de contrôle d'accès IP numérotées standard et étendues Con

Les ACL étendues filtrent les paquets IP en fonction deÿ:

ÿ Adresses IP source et destination

ÿ Ports TCP et UDP source et destination

Les listes de contrôle d'accès standard et étendues sontÿ:

ÿ Appliqué sur une interface à l'aide de la commande ip access-

ÿ Appliqué sur un port VTY à l'aide de la commande access-class.

Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. 9

Listes de contrôle d'accès IP nommées standard et étendues

Exemple de liste de contrôle d'accès IP nommée étendueÿ:

Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. dix

Journalisation des correspondances ACL

ÿ Action - Autoriser ou refuser

ÿ Protocole - TCP, UDP ou ICMP

ÿ TCP et UDP - Numéros de port source et destination

ÿ Pour ICMP - Types de messages

Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. 11

Règles d'entrée de contrôle d'accès (ACE)

ÿ Filtrage de paquets ACL standard

ÿ Ordre des déclarations

• Assurez-vous que les instructions en haut de l'ACL n'annulent aucune

Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. 12

Règles d'accès au contrôle d'accès (suite)

direction des données qu'une ACL filtre.

ÿ Modification des ACL

Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. 13

Exemple d'ACL standard

Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. 14

Exemple d'ACL étendu

Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. 15

Modification des listes de contrôle d'accès étendues

La liste d'accès existante comporte trois entréesÿ:

La liste d'accès mise à jour comporte quatre entréesÿ:

Presentation_ID © 2008 Cisco Systems, Inc. Tous droits réservés. 16