68
LA SECURITE Il existePlusieurs solutions CISCO pour protéger votre réseau : Le CISCO PIX FIREWALL L'IOS FIREWALL SOFTWARE LES OUTILS DE MONITORING La gamme Cisco Secure PIX ® Firewall (ex-PIX Firewall) est une ligne d'appareils de sécurisation à hautes performances, faciles à installer et intégrant composants matériels et logiciels. Elle vous permet de protéger votre réseau interne du monde extérieur et offre toutes les garanties de sécurité d'un pare-feu de réseau. Sécurité inégalée pour les réseaux d'entreprise La gamme Cisco Secure PIX Firewall est une gamme d'appareils de sécurisation à hautes performances, faciles à installer et intégrant composants matériels et logiciels. Elle vous permet de protéger votre réseau interne du monde extérieur et offre toutes les garanties de sécurité d'un pare-feu de réseau. Contrairement aux serveurs proxy permanents, gros consommateurs de ressources système, qui appliquent des procédures de sécurité à chaque paquet de données au niveau applicatif, les pare-feu Cisco Secure PIX utilisent un système dédié de sécurisation en temps réel (non UNIX). Ces pare-feu PIX sont exceptionnellement performants : ils prennent en charge plus de 256 000 connexions simultanées, traitent plus de 6 500 connexions par seconde et atteignent des débits de près de 170 Mbits/s. Ces capacités dépassent de loin celles des autres équipements pare-feu dédiés ou des pare-feu logiciels basés sur des systèmes d'exploitation centraux. Spécifications Techniques

la securite

Embed Size (px)

DESCRIPTION

firewall

Citation preview

Page 1: la securite

LA SECURITE

Il existePlusieurs solutions CISCO pour protéger votre réseau :

Le CISCO PIX FIREWALL

L'IOS FIREWALL SOFTWARE

LES OUTILS DE MONITORING

La gamme Cisco Secure PIX® Firewall (ex-PIX Firewall) est une ligne d'appareils de sécurisation à hautes performances, faciles à installer et intégrant composants matériels et logiciels. Elle vous permet de protéger votre réseau interne du monde extérieur et offre toutes les garanties de sécurité d'un pare-feu de réseau.

Sécurité inégalée pour les réseaux d'entreprise La gamme Cisco Secure PIX Firewall est une gamme d'appareils de sécurisation à hautes performances, faciles à installer et intégrant composants matériels et logiciels. Elle vous permet de protéger votre réseau interne du monde extérieur et offre toutes les garanties de sécurité d'un pare-feu de réseau. Contrairement aux serveurs proxy permanents, gros consommateurs de ressources système, qui appliquent des procédures de sécurité à chaque paquet de données au niveau applicatif, les pare-feu Cisco Secure PIX utilisent un système dédié de sécurisation en temps réel (non UNIX). Ces pare-feu PIX sont exceptionnellement performants : ils prennent en charge plus de 256 000 connexions simultanées, traitent plus de 6 500 connexions par seconde et atteignent des débits de près de 170 Mbits/s. Ces capacités dépassent de loin celles des autres équipements pare-feu dédiés ou des pare-feu logiciels basés sur des systèmes d'exploitation centraux.

Spécifications Techniques

Page 2: la securite

Caractéristiques PIX Firewall 515R

PIX Firewall 515UR

PIX Firewall 520

Sessions simultanées 50 000 100 000 128, 1 024 ou 250 000

Interfaces 2 ports Ethernet 4-6 ports Ethernet 2-6 ports Ethernet 3 ports TR 2 ports FDDI Combo Ethernet et TR

Slots PCI 2 2 4

Connexions 10/100 2 2 0

RAM 32 MB 64 MB 128 MB

Vitesse du processeur 200 Mhz 200 Mhz 350 Mhz

Dimensions (cm) (H x L x P)

4,37x42,72x29,97 4,37x42,72x29,97 13,3x42,72x44,5

Catégorie de service 12 12 12

Présentation du FIREWALL PIX515

Présentation des interfaces

1 port ethernet 10/100 inside = port 1 1 port ethernet 10/100 outside = port 2

Page 3: la securite

LA REDONDANCE: le failover

Exemples de configurations

2 Interfaces sans NAT - (configuration basique) When you first add a PIX Firewall to an existing network, it is easiest to implement its use if you do not have to renumber all the inside and outside IP addresses. The configuration in Figure 5-1 illustrates this scenario. Syslog is enabled to facilitate troubleshooting. All inside hosts can start connections. All external hosts are blocked from initiating connections or sessions on inside hosts. If you use Inter-NIC registered IP addresses, only use those addresses that you own.

Page 4: la securite

2 Interfaces sans NAT

Configuration Description

nameif ethernet0 outside security0 nameif ethernet1 inside security100 interface ethernet0 auto interface ethernet1 auto

PIX Firewall provides nameif and interface command statements for the interfaces in the default configuration.

ip address outside 192.150.50.3 255.255.255.0 ip address inside 172.31.2.100 255.255.255.0

Identify the IP addresses for both interfaces.

hostname pixfirewall

Specifies the host name for the PIX Firewall. This name appears in the command line prompt.

arp timeout 14400 Sets the ARP timeout to 14,400 seconds (four hours). Entries are kept in the ARP table for four hours before they are flushed. Four hours is the standard default value for ARP timeouts.

no failover Disables failover access.

names Enables use of text strings instead of IP addresses. This makes your

Page 5: la securite

configuration files more readable.

pager lines 24 Enables paging so that if when 24 lines of information display, PIX Firewall pauses the listing and prompts you to continue.

logging buffered debugging

Enables syslog messages, which provide diagnostic information and status for the PIX Firewall. PIX Firewall makes it easy to view syslog messages with the show logging command.

nat (inside) 0 172.31.2.0 255.255.255.0

Lets inside IP addresses be recognized on the outside network and lets inside users start outbound connections.

rip inside default no rip inside passive no rip outside default no rip outside passive

Sets RIP listening attributes. The first command causes the PIX Firewall to broadcast a default route on the inside interface. Broadcasting a default route sends network traffic to the PIX Firewall if your internal network is running RIP. The next command disables passive RIP listening on the inside. The next command disables broadcasting a default route on the outside. This is desirable when the network is attached to the Internet, but not when on an intranet. The last command disables passive RIP listening on the outside.

route outside 0.0.0.0 0.0.0.0 192.150.50.1 1

Sets the outside default route to the router attached to the Internet.

timeout xlate 3:00:00 conn 1:00:00 half-closed0:10:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute

Default values for the maximum duration that PIX Firewall resources can remain idle until being freed. Additional users cannot make connections until a connection resource is freed either by a user dropping a connection or by an xlate and conn timer time out.

no snmp-server location no snmp-server contact snmp-server community public

Specifies that SNMP information may be accessed by internal hosts that know the community string, but PIX Firewall does not send trap information to any host.

mtu outside 1500 mtu inside 1500

Sets the maximum transmission unit value for Ethernet access.

Page 6: la securite

2 Interfaces avec NAT This configuration shows the use of PAT (Port Address Translation), denying Java applets, using the AAA commands, creating a mail server, permitting NFS, initializing SNMP, and setting console access with Telnet.

2 Interfaces avec NAT

Configuration Description

nameif ethernet0 outside security0 nameif ethernet1 inside security100 interface ethernet0 auto interface ethernet1 auto

PIX Firewall provides nameif and interface command statements for the interfaces in the default configuration.

ip address inside 10.1.1.1 255.255.255.0 ip address outside

Identify the IP addresses for both interfaces.

Page 7: la securite

204.31.17.10 255.255.255.0

logging on logging host 10.1.1.11 logging trap 7 logging facility 20 no logging console

The logging host command statement specifies which host runs a syslog server. This command also causes the PIX Firewall to start sending syslog messages to that host. The logging trap command statement sets syslog to send all possible messages to the syslog host. The no logging console command statement disables displaying messages to the console.

arp timeout 600 Set an ARP timeout to 600 seconds (10 minutes). Use this arp timeout command statement when you set up a network and change inside and outside host addresses often.

nat (inside) 1 0.0.0.0 0.0.0.0 nat (inside) 2 192.168.3.0 255.255.255.0

Permit all inside users to start outbound connections using the translated IP addresses from the global pool.

global (outside) 1 204.31.17.25-204.31.17.27 global (outside) 1 204.31.17.24 global (outside) 2 192.159.1.1-192.159.1.254

Create two pools of global addresses to let the nat command statements use the address pools for translating internal IP addresses to external addresses. Each pool is designated by the number from the nat command statement, in this case, 1 and 2.

conduit permit icmp any any

Allow inbound and outbound pings.

outbound 10 deny 192.168.3.3 255.255.255.255 1720 outbound 10 deny 0 0 80 outbound 10 permit 192.168.3.3 255.255.255.255 80 outbound 10 deny 192.168.3.3 255.255.255.255 java outbound 10 permit

Create access lists to determine which hosts can access services. The first outbound command statement denies host 192.168.3.3from accessing H.323 (port 1720) services such as MS NetMeeting or InternetPhone. The next command statement denies all hosts from accessing the Web (port 80). The next two command statements permits host 192.168.3.3 to use the Web, but denies its users from downloading Java applets. The last outbound command statement permits host 10.1.1.11 access to the Web (at port 80) and to download Java applets. This permit command statement outweighs the previous deny regardless of the order in which the command statements are entered into the configuration.

Page 8: la securite

10.1.1.11 255.255.255.255 80

apply (inside) 10 outgoing_src

Specify that the outbound group regulates the activities of inside hosts starting outbound connections.

no rip outside passive no rip outside default rip inside passive rip inside default

The first command disables RIP listening on the outside interface. The second command disables broadcasting a default route on the outside.

The third command enables RIP listening on the inside and the last command causes PIX Firewall to broadcast a default route on the inside interface.

route outside 0 0 204.31.17.1 1

Set the default route on the outside network to be 204.31.17.1. This is the IP address of the host connecting to the Internet.

aaa-server TACACS+ (inside) host 10.1.1.12 1q2w3e aaa authentication any inside 192.168.3.0 255.255.255.0 0 0 TACACS+ aaa authorization any inside 192.168.3.0 255.255.255.0 0 0

The aaa-server command specifies the IP address of the TACACS+ authentication server. The aaa authentication command statement specifies that users on network 192.168.3.0 starting FTP, HTTP, and Web connections from the inside interface be prompted for their usernames and passwords before being permitted to access these servers on other interfaces. The aaa authorization command statement lets the users on 192.168.3.0 access FTP, HTTP, or Telnet, and any TCP connections to anywhere as authorized by the AAA server. Even though it appears that the aaa commands let the PIX Firewall set security policy, the authentication server actually does the work to decide which users are authenticated and what services they can access when authentication is permitted.

static (inside, outside) 204.31.19.0 192.168.3.0 netmask 255.255.255.0 conduit permit tcp 204.31.19.0 255.255.255.0 eq h323 any

The static command statement creates a net static command statement, which is a static command statement for a Class IP address, in this case for IP addresses 204.31.19.1 through 204.31.19.254. The static command shows the use of the connection limit and the embryonic limit arguments. The maximum number of connections limits the number of connections a host can use. This command permits access to only 10 users and up to 30 SYNs (embryonic connections). Note that the static command's maximum connections option applies to both inbound and outbound connections.

The conduit command statement lets users on the Internet send InternetPhone (port h323) requests to users on 192.168.3.x

Page 9: la securite

while addressing them as 204.31.19.x.

static (inside, outside) 204.31.17.29 10.1.1.11 conduit permit tcp host 204.31.17.29 eq 80 any

The static command statement with the conduit command statement establishes an externally visible IP address for Web access (port 80 in the conduit command statement).

conduit permit udp host 204.31.17.29 eq rpc host 204.31.17.17

Refine the accessibility of the static command by permitting Sun RPC over the UDP portmapper on port 111. Refer to the UNIX /etc/rpc file and the UNIX rpc(3N) command page for more information. Once you create a conduit for RPC, you can use the following command from outside host 204.31.17.17 to track down the activity of a PCNFSD on RPC 150001:

rpcinfo -u 204.31.17.29 150001

Another use of RPC is with the following command to see the exports of 204.31.17.29 if you want to allow NFS mounting from outside in:

showmount -e 204.31.17.29

Many protocols based on RPC, as well as NFS, are insecure and should be used with caution. Review your security policies carefully before permitting access to RPC.

conduit permit udp host 204.31.17.29 eq 2049 host 204.31.17.17

Permit NFS access, which occurs at port 2049 and provides access between the outside and inside, such that 204.31.17.17can mount 10.1.1.11.

static (inside, outside) 204.31.17.30 10.1.1.3 netmask 255.255.255.255 10 10 conduit permit tcp host 204.31.17.30 eq smtp any

Identify access to the 10.1.1.3 mail server through global address 204.31.17.30. The conduit permits any outside host access to the static via SMTP (port 25). By default, PIX Firewall restricts all access to mail servers to RFC 821 section 4.5.1 commands of DATA, HELO, MAIL, NOOP, QUIT, RCPT, and RSET. This occurs via the Mail Guard service which is set with the following default configuration command:

fixup protocol smtp 25

Another aspect of providing access to a mail server is setting being sure that you have a DNS MX record for the static's global address, which outside users access when sending mail to your site.

Page 10: la securite

conduit permit tcp host 204.31.17.30 eq 113 any

Create access to port 113, the IDENT protocol. If the mail server has to talk to many mail servers on the outside which connect back with the now obsolete and highly criticized IDENT protocol, use this conduit command statement to speed up mail transmission.

snmp-server host 192.168.3.2 snmp-server location building 42 snmp-server contact polly hedra snmp-server community ohwhatakeyisthee

These commands specify that host 192.168.3.2 can receive SNMP events, which the PIX Firewall sends via syslog. The location and contact commands identify where the host is and who administers it. The community command describes the password in use at the SNMP server for verifying network access with the server.

telnet 10.1.1.11 255.255.255.255 telnet 192.168.3.0 255.255.255.0

These commands permit host access to the PIX Firewall console. The first telnet command permits a single host, 10.1.1.11 to access the PIX Firewall console with Telnet. The 255 value in the last octet of the netmask means that only the specified host can access the console.

The second telnet command permits PIX Firewall console access from all hosts on the 192.168.3.0 network. The 0 value in the last octet of the netmask permits all hosts in that network access. However, Telnet only permits 16 hosts simultaneous access to the PIX Firewall console over Telnet.

Outils de configurations

Il existe plusieurs moyens de configurer le PIX:

- Le pix Wizard Setup (Attention il faut la version 5.0(3) de l'ios ).

- Par interface CLI (via l'hyperterminal).

REFLASHAGE

MISE A JOUR d'un ios à partir du routeur (sans unité floppy)

Page 11: la securite

PIX BIOS (4.0) #0: Tue May 18 16:29:54 PDT 1999 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Flash boot interrupted. 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.1004 Use ? for help. monitor> monitor> monitor> help ? this help message address [addr] set IP address file [name] set boot file name gateway [addr] set IP gateway help this help message interface [num] select TFTP interface ping <addr> send ICMP echo reload halt and reload system server [addr] set server IP address tftp TFTP download timeout TFTP timeout trace toggle packet tracing monitor> monitor> monitor> address 172.31.112.35 address 172.31.112.35 monitor> interface 1 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.1004 monitor> server 172.31.112.1 server 172.31.112.1 monitor> monitor> file pixFWbin503.bin file pixFWbin503.bin monitor> monitor> tftp tftp [email protected] et la nouvelle version d'ios s'installe

Plus de documentation sur le Cisco PIX Firewall : http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/index.htm

Page 12: la securite

Présentation Générale

Le logiciel Cisco IOS Firewall étend et renforce les capacités de sécurité de la plate-forme logicielle Cisco IOS® en intégrant des fonctionnalités de pare-feu et de détection d'intrusions pour protéger votre périmètre réseau. Le Cisco IOS Firewall ajoute des solutions de pointe, à la fois plus souples et plus drastiques, aux dispositifs classiques d'authentification, de cryptage et de correction : filtrage en fonction des applications, authentification et habilitation dynamiques des utilisateurs, parade des attaques de réseau, blocage Java et alarmes en temps réel. Combiné au logiciel Cisco IOS IPSec et à d'autres technologies Cisco IOS comme le fractionnement en canaux L2TP et la qualite de service (QoS), le Cisco IOS Firewall constitue une solution complète pour la création de réseaux privés virtuels (VPN).

Le Cisco IOS Firewall est disponible sur les routeurs Cisco des gammes 800, 1600, 1700, 2500, 2600, 3600, 7100 et 7200.

Les opérations commerciales passant de plus en plus par les réseaux des entreprises, il devient indispensable d'intégrer des systèmes de sécurité à leur structure même. C'est à cette seule condition que les politiques de sécurité sont efficaces.

La plate-forme logicielle Cisco IOS® équipe plus de 80 % des routeurs de fédérateurs Internet ; à ce titre, elle constitue l'élément le plus fondamental des infrastructures de réseau. Elle est la base de prédilection de toute solution de sécurité des réseaux de bout en bout Internet, intranet et à accès distant.

Il est possible de protéger cette plate-forme grâce à une option de sécurisation parfaitement adaptée, le logiciel Cisco Secure Integrated Software (ex-panoplie de fonctions Cisco IOS Firewall). Cette solution, qui offre de très solides fonctions de pare-feu et de détection des intrusions, s'allie aux fonctions traditionnelles de sécurité de Cisco IOS pour protéger votre périmètre réseau. Elle ajoute des solutions de pointe, à la fois plus souples et plus drastiques, aux dispositifs classiques d'authentification, de cryptage et de correction : filtrage en fonction des applications, authentification et habilitation dynamiques des utilisateurs, parade des attaques de réseau, blocage Java et alarmes en temps réel. Combinées au logiciel Cisco IOS IPSec et à d'autres technologies Cisco IOS comme le fractionnement en canaux L2TP et la qualité de service (QoS), le Cisco Secure Integrated Software constitue une solution complète et intégrée pour réseau privé virtuel.

Pour quels besoins ?

Page 13: la securite

Cisco IOS Firewall

- Sécurisation d'extranet, d'intranet et de connectivité Internet des bureaux et agences distants - Sécurisation d'accès distant ou de transfert de données via une solution de VPN basée sur Cisco IOS - Système intégré de détection d'intrusion en temps réel en complément d'un pare-feu existant ou d'un autre système de détection d'intrusions (NetRanger)- Politique de sécurité et d'accès au réseau par utilisateur

Principales caractéristiques La panoplie de fonctions Cisco Secure IS constitue un pare-feu idéal pour les réseaux Cisco ; pour les routeurs, il s'agit d'un moyen d'assouplissement et de sécurisation. Les caractéristiques essentielles sont décrites dans le tableau 1.

Tableau 1 - Présentation du Cisco Secure Integrated Software

Caractéristiques Description

CBAC (Context-Based Access Control)

• Fournit aux utilisateurs internes un contrôle d'accès sécurisé par application, pour tout le trafic traversant par exemple les périmètres entre les réseaux d'entreprise privés et Internet.

Détection des intrusions (Intrusion Detection)

• Cette fonction sentinelle détecte, intercepte et corrige en temps réel la majorité des tentatives d'intrusion.

Proxy d'authentification (Authentication Proxy)

• Authentification et habilitation dynamiques des utilisateurs pour les communications via LAN et par numérotation. Les administrateurs peuvent établir des politiques de sécurité distinctes pour chaque utilisateur grâce à la vérification des données par comparaison avec celles des protocoles

Page 14: la securite

normalisés TACACS+ et RADIUS.

Détection/prévention de refus de service

• Défend et protège les ressources du routeur contre les attaques courantes. Vérifie l'en-tête des paquets et supprime les paquets douteux.

Mappage dynamique des ports (Dynamic Port Mapping)

• Cette fonction permet l'utilisation d'applications compatibles CBAC sur des ports non normalisés

Blocage des appliquettes Java

• Protection contre les appliquettes Java hostiles et non identifiées

Support des VPN, du cryptage IPSec et de la QoS

• Association au cryptage, au fractionnement en canaux et à la qualité de service de Cisco IOS, pour sécurisation des VPN.

• Canaux cryptés sur le routeur, puissante sécurité de périmètre, administration avancée de la bande passante, détection des intrusions et validation au niveau service

• Interopérabilité garantie par la conformité aux normes

Messages d'alerte en temps réel

• Consignation avec alarme des refus de service (ou autres cas critiques préconfigurés) ; la configuration est désormais possible pour chaque application et chaque fonction

Analyse rétrospective • Détail des opérations ; transmission de l'horodate des enregistrements, de l'identité des hôtes source et destination, des ports, des durées et des nombres totaux d'octets transférés ; fonctions désormais configurables individuellement et par application

Historiques d'événements • Permet aux administrateurs d'analyser en temps réel les menaces potentielles ou les activités inhabituelles, en consignant sur un terminal de console ou sur un serveur syslog les messages d'erreur système, avec indication du niveau de gravité et enregistrement de paramètres

Page 15: la securite

supplémentaires.

Administration du Cisco Secure IOS

• L'outil de configuration est de type « Assistant » et guide l'utilisateur au cours de toutes les étapes de conception de réseau, d'adressage et de configuration des politiques de sécurités ; il s'applique aux routeurs Cisco 1600, 1720, 2500, 2600 et 3600 ; il prend également en charge les configurations de NAT et d'IPSec.

Intégration à la plate forme logicielle Cisco IOS

• Interopérabilité avec les fonctions de la plate-forme logicielle Cisco IOS, avec application de politiques sécuritaires au niveau du réseau

Filtrage de trafic, niveau de base et niveau avancé

• Listes de contrôle d'accès (ACL) standards et étendues - contrôle de l'accès à des segments particuliers du réseau et définition du trafic autorisé à traverser ces segments.

• Verrou et clé-ACL dynamiques : accordent un accès temporaire, après identification (nom d'utilisateur/mot de passe), à travers les pares-feu.

Support multi-interface selon politique

• Permet de contrôler l'accès utilisateur par adresse et interface IP, selon la politique de sécurité.

Redondance et résilience • Détournement automatique du trafic vers un routeur de secours en cas de panne

Traduction des adresses réseau

• Renforcement de la sécurité par masquage du réseau interne

Listes d'accès temporisés • Définition de la politique de sécurité par heure et par jour

Authentification de routeur • Réception assurée par les routeurs d'informations de routage fiables provenant de sources dignes de confiance

Page 16: la securite

CBAC (Context-Based Access Control)

Le moteur CBAC du Cisco Secure IS assure un contrôle par application sur tout le périmètre réseau. Le contrôle d'accès CBAC renforce la sécurité des applications sur TCP et UDP qui exploitent des ports bien connus (notamment pour le transfert FTP et le courrier électronique), en inspectant les adresses d'origine et de destination. Avec la technologie CBAC, les administrateurs disposent d'une solution intégrée de mise en uvre du pare-feu.

Ceci permet d'éliminer les portes d'accès fragilisantes pour les réseaux des partenaires extranet (applications Internet, multimédia et accès aux bases de données Oracle). CBAC sécurise les réseaux tout en assurant le routage du trafic applicatif, multimédia et de visioconférence.

Impact de CBAC sur la sécurité réseau

CBAC est un dispositif de contrôle du trafic IP qui fonctionne application par application, et supporte les applications Internet classiques sur TCP et UDP, les applications multimédia (y compris les applications H.323 et autres) et les bases de données Oracle. CBAC analyse les paquets TCP et UDP et consigne leur « état », ou état de connexion.

TCP est un protocole en mode connecté. Avant de transmettre les données, l'hôte source négocie une connexion avec le destinataire selon ce que l'on appelle « three way handshake » (négociation tripartite). Ce processus d'établissement de connexion garantit des connexions TCP valides et une transmission sans erreur. Pendant l'établissement de la connexion, TCP passe par plusieurs « états » ou phases, qui sont facilement identifiables au niveau des en-têtes de paquets. Les ACL standard et étendues s'informent de l'état dans ces en-têtes et déterminent si le trafic est autorisé sur une liaison.

Le contrôle d'accès CBAC ajoute aux services des listes ACL la fonction d'inspection intelligente, par recherche des informations d'état de l'application dans tout le paquet. Avec ces données, CBAC crée une entrée ACL temporaire pour la session, autorisant le trafic de retour sur le réseau sécurisé. L'ACL temporaire ouvre une porte dans le pare-feu et lorsqu'une session est terminée ou interrompue, l'entrée ACL est supprimée et la porte est refermée, empêchant le passage de tout autre trafic. Les listes ACL standard et étendues ne peuvent pas créer d'entrées ACL temporaires ; jusqu'à présent, l'administrateur devait donc définir un compromis entre risques et exigences d'accès à l'information. Avec les listes ACL standard ou étendues, il était difficile de sécuriser les applications avancées qui sont capables de choisir entre plusieurs canaux pour transférer le trafic de retour.

Page 17: la securite

Le contrôle CBAC est plus sûr que les solutions actuelles de listes ACL : pour laisser passer une session à travers un pare-feu, il se base sur le type de l'application et détermine si elle choisit entre plusieurs canaux pour acheminer le trafic de retour. Auparavant, pour autoriser le trafic d'applications avancées, les administrateurs devaient écrire des listes ACL permanentes ; celles-ci laissant les portes des pare-feu ouvertes en permanence, la plupart des administrateurs préféraient interdire ce type de trafic. Désormais, avec le contrôle d'accès CBAC, ils peuvent autoriser le trafic d'applications multimédia et autres en ouvrant le pare feu uniquement lorsque cela est nécessaire. Par exemple, si le contrôle CBAC est configuré pour autoriser Microsoft NetMeeting et qu'un utilisateur interne ouvre une connexion, le pare-feu laisse passer le trafic de retour. Mais si une source NetMeeting externe ouvre une connexion vers un utilisateur interne, le CBAC refuse l'accès et supprime les paquets.

Détection des intrusions (Intrusion Detection)

Les IDS (Intrusion Detection Systems) sont un second rempart qui s'ajoute au pare-feu et protège le réseau des attaques internes et externes. La technologie IDS du Cisco Secure Integrated Software renforce la protection du périmètre en invalidant les paquets et les flux qui violent les règles de sécurité ou procèdent d'actes de malveillance.

Elle accroît l'éclairage et la transparence nécessaires à la bonne surveillance des périmètres au niveau des intranets, des extranets et des connexions Internet des succursales. L'administrateur réseau dispose avec elle d'une protection et d'une parade efficaces contre les menaces externes ou internes.

Détection et contre-mesures (Detection and Response)

L'IDS du Cisco Secure IS reconnaît la marque de 59 des types d'attaque les plus courants. Les signatures de détection d'intrusions comprises dans la nouvelle version du Cisco Secure IS ont été sélectionnées parmi un grand choix de signatures. Ces signatures correspondent aux infractions de sécurité graves, aux attaques de réseau les plus courantes et aux analyses de collecte de données.

Le Cisco Secure IS joue le rôle de capteur de détection des intrusions en ligne, en surveillant les paquets et les sessions à mesure qu'ils transitent par un routeur et en les analysant afin de contrôler leurs signatures IDS. En cas de détection d'une activité suspecte, il réagit avant que la sécurité du réseau ne soit mise en danger et consigne l'événement via le Syslog du Cisco IOS. L'administrateur réseau à le choix des contre-mesures, et peut adapter l'action du système IDS en fonction de la menace. Lorsque les paquets d'une session correspondent à une signature, le système IDS peut être configuré pour effectuer les opérations suivantes :

• émission d'alarme au serveur syslog ou à l'interface d'administration centrale Cisco Secure Intrusion Detection System (NetRanger) Director ;

• rejet du paquet ; • réinitialisation de la connexion TCP.

Cisco à conçu les fonctions de détection logicielle des intrusions de Cisco Secure IS dans une optique d'adaptabilité, et a donc prévu une possibilité de désactivation des signatures qui se révéleraient être de « fausses ennemies ». Par ailleurs, l'administrateur

Page 18: la securite

a la possibilité de dissocier le moteur de sécurité CBAC, en installant les fonctions de détection des intrusions sur un routeur et les fonctions pare-feu sur un autre (bien qu'il soit en principe préférable qu'elles résident sur la même interface). La détection logicielle des intrusions de Cisco est intégrée aux pare-feu Cisco Secure IS livrés avec les routeurs Cisco des gammes 1720, 2600, 3600, 7100 et 7200. Toutes les plates-formes de routage équipées des fonctions Cisco Secure IS reconnaissent cinq des types d'attaque SMTP les plus courants.

Cisco Secure : Logiciel intégré et système de détection des intrusions

Les utilisateurs du Cisco Secure Intrusion Detection System peuvent ajouter les signatures des systèmes IDS de Cisco IOS à leur base, et étendre ainsi leur système de protection à des zones non couvertes par NetRanger Sensor. Les empreintes des systèmes IDS de Cisco sont utilisables indépendamment du pare-feu Cisco Secure IS.

La fonction de détection des intrusions du Cisco Secure IS est incorporable à l'écran Cisco Secure Intrusion Detection System Director sous forme d'icône (permettant la visualisation de tous les capteurs d'intrusion du réseau). Le Cisco Secure IS comporte un mécanisme permettant de consigner les événements non seulement dans le journal système (syslog) de Cisco IOS mais aussi au niveau de la console Cisco Secure Intrusion Detection System Director.

Proxy d'authentification (Authentication Proxy)

Grâce aux fonctions d'authentification et d'habilitation dynamiques par LAN de Cisco Secure IS, l'administrateur réseau peut créer des stratégies sécuritaires spécifiques à chaque utilisateur. Auparavant, il n'existait que deux méthodes de sécurisation : soit l'identité et les droits afférents de chaque utilisateur étaient déterminés par son adresse (fixe) IP, soit il fallait appliquer en bloc une stratégie sécuritaire aux groupes d'utilisateurs ou aux sous-réseaux. Désormais, grâce aux services AAA (Authentication, Authorization, Accounting) de la plate-forme logicielle Cisco IOS, il est possible d'appliquer une stratégie distincte à chaque utilisateur, par chargement dynamique dans le routeur des données de serveurs d'authentification TACACS+ or RADIUS.

Dès qu'un utilisateur se connecte au réseau directement ou par HTTP, son profil et ses droits d'accès sont automatiquement chargés. Ses droits d'accès sont lus et vérifiés, et le réseau est protégé de toute imposture. De plus, les procédures d'authentification et d'habilitation s'appliquent en entrée comme en sortie.

Détection/prévention de refus de service

Grâce à leur capacité d'analyse des nombres de paquets de chaque connexion TCP, la détection et la prévention avancées des refus de service protègent les réseaux des attaques les plus courantes, telles que les déluges de signaux SYN (synchronize/start), le criblage des ports et l'injection de paquets. Si ces nombres excèdent ou n'atteignent pas les valeurs admissibles, le routeur supprime les paquets douteux. Lorsque le routeur détecte des nombres anormaux de nouvelles connexions, il émet un message d'alerte et met un terme aux connexions TCP à moitié établies, protégeant le système de tout accaparement.

Page 19: la securite

Lorsqu'il soupçonne une attaque, le pare-feu Cisco Secure IS se met à pister l'accédant en repérant tous les couples de ports et d'adresses source-destination utilisés. De plus, il consigne tous les détails de l'opération en vue d'une future investigation.

Mappage dynamique des ports (Dynamic Port Mapping)

Le mappage des ports est adaptatif, et permet le fonctionnement sur des ports non-standard des applications supportées par CBAC. Grâce à cela, l'administrateur réseau est en mesure de personnaliser le contrôle de l'accès aux applications et aux services en fonction de ses besoins.

Blocage des appliquettes Java

Avec la prolifération des appliquettes Java sur Internet, la protection contre les programmes hostiles est une préoccupation majeure des administrateurs réseau. Le blocage Java peut être configuré pour filtrer ou refuser totalement l'accès aux appliquettes Java ne faisant pas partie d'un fichier d'archive ou d'un fichier compressé.

VPN, cryptage IPSec et QoS

Associé à la technologie Cisco IPSec, le Cisco Secure IS assure une fonctionnalité VPN intégrée. Le développement des VPN assure la sécurité des transferts sur lignes publiques (Internet), la réduction des frais de communication pour les utilisateurs éloignés, les succursales et les extranets, ainsi que le renforcement de la qualité de service et de la fiabilité.

Le Cisco Secure IS est conçu pour sécuriser les VPN grâce aux fonctions de cryptage, de fractionnement en canaux et de QoS de la plate-forme logicielle Cisco IOS. Le cryptage au niveau de la couche réseau empêche toute écoute ou modification des données lors de leur transmission sur réseau. Avec son cryptage, le Cisco Secure IS assure la confidentialité des données même sur les supports IPSec (Internet Protocol Security) 56 bits (DES) et 168 bits (3DES), considérés comme non fiables.

Complètement ouverte, la plate-forme Cisco IOS supporte de nombreuses normes de protocole de fractionnement en canaux, avec encapsulation GRE (Generic Routing Encapsulation), L2F (Layer 2 Forwarding), et L2TP (Layer 2 Tunneling Protocol). Les fonctions QoS permettent de classer le trafic, d'administrer les congestions et de définir les priorités par application.

Le Cisco Secure IS peut être employé avec des plates-formes VPN préconfigurées, notamment les routeurs des gammes Cisco 1720, 2600, 3600 et 7100, qui transforment les réseaux anciens en authentiques VPN. Cisco est conscient que les solutions VPN doivent offrir plus que des canaux sécurisés permettant de franchir les réseaux publics. Elles doivent également assurer la livraison en temps voulu et en toute fiabilité des données, et garantir la sécurité du périmètre séparant le réseau de l'entreprise du réseau public. Ainsi, associé à un routeur de type 7100, le Cisco Secure IS offre des canaux cryptés adaptables tout en assurant une sécurité de périmètre renforcée, l'administration de la bande passante, la détection des intrusions et la validation au niveau services.

Page 20: la securite

La fonction d'authentification par proxy du Cisco Secure IS permet en outre l'authentification et l'habilitation pour les logiciels Cisco VPN clients.

Alarmes en temps réel configurables, analyse rétrospective et consignation des événements

Les alarmes en temps réel envoient des messages d'erreur syslog aux consoles d'administration centrales dès qu'une activité suspecte est détectée, ce qui permet aux administrateurs réseau de réagir immédiatement aux intrusions. Les fonctions évoluées d'analyse rétrospective utilisent le journal syslog pour consigner toutes les transactions : les heures d'enregistrement, l'hôte source, l'hôte de destination, les ports utilisés, la durée de la session et le nombre total d'octets transmis pour un reporting par session évolué.

Les fonctions d'alarme et d'analyse rétrospective du Cisco Secure IS sont désormais configurables, permettant une signalisation et un suivi des erreurs plus souples. Les fonctions configurables d'analyse rétrospective supportent le suivi modulaire des applications compatibles CBAC et du blocage Java. Les alarmes en temps réel et l'analyse rétrospective sont supportées par un grand nombre d'outils de reporting de fournisseurs tiers.

Dès qu'un événement se produit sur le réseau, l'alarme est donnée à l'hôte connecteur via le mécanisme syslog de la plate-forme logicielle Cisco IOS. Ceci permet aux administrateurs d'analyser en temps réel les menaces potentielles ou les activités inhabituelles, en consignant sur un terminal de console ou sur un serveur syslog les messages d'erreur système, avec indication du niveau de gravité et enregistrement de paramètres supplémentaires.

Administration du Cisco Secure IS

L'application des politiques de sécurité et l'administration du Cisco Secure IS se font très simplement, sur une interface graphique centrale. Les versions 2.1 et ultérieures de Cisco ConfigMaker comportent un assistant grâce auquel il est facile de configurer la stratégie de sécurité du Cisco Secure IS. Elles supportent également la configuration de la NAT et d'IPSec.

Cisco ConfigMaker est un assistant logiciel pour Microsoft Windows 95, Windows 98 et Windows NT 4.0, capable de configurer un petit réseau de routeurs, de commutateurs, de concentrateurs et autres composants de réseau Cisco à partir d'un PC unique. Il est également disponible avec les routeurs des gammes Cisco 800, 1600, 1720, 2500, 2600 et 3600.

Intégration à la plate forme logicielle Cisco IOS

Le Cisco Secure IS est une solution de sécurisation intégrable aux réseaux à l'aide de la plate-forme logicielle Cisco IOS. Pour se protéger efficacement, il ne suffit pas de disposer d'une stratégie de sécurité par pare-feu et protection de périmètre ; il faut que ces éléments soient intégrés au réseau lui-même. La plate-forme logicielle Cisco IOS est l'outil idéal pour mettre en oeuvre une politique de sécurité globale. Les solutions de sécurité de Cisco suivent l'évolution de votre réseau.

Page 21: la securite

Le Cisco Secure IS est entièrement compatible avec les fonctions de la plate-forme logicielle Cisco IOS :NAT, protocoles de fractionnement en canaux VPN, CEF (Cisco Express Forwarding), extensions AAA, cryptage Cisco et Cisco IOS IPSec.

À qui le logiciel Cisco Secure Integrated Software s'adresse-t-il ?

• À tous ceux qui ont besoin d'une solution « tout en un » combinant sécurité, détection des intrusions, authentification et habilitation des utilisateurs, fonctions VPN et routage multiprotocole.

• À tous ceux qui cherchent un moyen économique d'étendre leur sécurité au périmètre de tous leurs réseaux, y compris leur succursales, leurs intranets et leurs extranets.

• Aux petites et moyennes entreprises qui ont besoin d'un routeur efficace et hautement sécurisé.

• Aux clients des SP (Service Provider) désirant déployer un routeur/pare-feu. • Aux clients qui ont besoin de sécuriser davantage certains segments de leurs

réseaux (inter-organisations ou inter-partenaires). • Aux organisations qui ont besoin de sécuriser leurs connexions intranet. • Aux succursales connectées à un siège ou à Internet. • Aux clients déjà utilisateurs de Cisco IOS et qui ne veulent pas d'un pare-feu

hybride. • Aux clients qui veulent renforcer les couches de protection de leurs réseaux.

PIX = Firewall Cisco

+

Concentrateur VPN (aperçu)

Auteur : Armand PASSELAC-ESTRADA

Page 22: la securite

Mise à jour : 9/1/02 14:38

I. Mise en place d'un Firewall PIX

1.1 POLITIQUE DE SECURITE

Les flux venant de l'Internet :

Interface Protocole IP Source IP Destination

Ports Destination Action N°

Bad (outside) ICMP * * source-quench Accepter 1 Bad (outside) ICMP * * parameter-problem Accepter 2 Bad (outside) ICMP * * unreachable Accepter 3 Bad (outside) ICMP * * time-exceeded Accepter 4 Bad (outside) ICMP * * echo-reply Accepter 5 Bad (outside) * * * * Refuser 6

Règles n°1-5 : Cette règle permet certains messages ICMP entrant : réponse au traceroute (unreachable + time-exceeded) + réponse du ping (echo-reply) + messages d'erreurs (source-quench, parameter-problem)

Page 23: la securite

Règle 6 : Tout autre type de trafic entrant est interdit!

Les flux venant du réseau privé vers le réseau interne Internet :

Interface Protocole IP Source IP Destination

Ports Destination

Action N°

Naif (inside) IP .... * * Accepter 1

Règles n°1 : Dans un premier temps nous avons accepter TOUT TYPE de trafic sortant.

1.2 NAT - Translation d'adresses

Nom Adresse IP Privée

Adresse IP Natée

LAN Réseau Lan 1 adresse du pool public

1.3 PROPOSITION COMMENTEE POUR LA CONFIGURATION DU PIX

Page 24: la securite

Matériel :

Pix 506 :

8MB de mémoire Flash + 32M de RAM.

2 ports à 10Mbps (10BaseT)

Pas de failover

Pas d'upgrade de la mémoire

Pix 515 :

16MB de mémoire Flash + 32M de RAM.

Jusqu'à 6 ports à 10/100Mbps

Failover (ssi licence UR)

Philosophie du PIX :

Avant propos :

Nota : Les différentes interfaces du PIX peuvent apprendre des routes via le protocole RIP, et toutes les interfaces peuvent faire un broadcast d'une route par défaut RIP si nécessaire.

ASA (Adaptative Security Algorithm) = algorithme statefull de cisco :

* Tout paquet sans connexion justifiée est mis à la poubelle

* Le trafic venant d'une interface de niveau de sécurité haut (inside) vers une interface de niveau bas (outside) est permis, sauf si des access-list limitent ce trafic (cf ci-après).

* Le trafic entrant est interdit par défaut.

Page 25: la securite

* Les flux ICMP sont interdits à moins de les permettrent spécifiquement.

Comprendre le PIX :

Par défaut le PIX interdit toute communication initialisée depuis une interface ayant un niveau de sécurité bas vers une interface de niveau élevé.

Plus explicitement :

Le PIX attribue par défaut un niveau de sécurité 0 pour l'interface connectée à Internet, et un niveau 100 pour l'interface connectée au LAN.

Ainsi on ne peut pas, par défaut, ouvrir une connexion depuis l'Internet sur le LAN.

Pour la DMZ (s'il y en a qu'une), on met un niveau de sécurité à 50.

On ne peut donc pas ouvrir, par défaut, de connexion depuis la DMZ sur le LAN ni de l'Internet sur la DMZ.

Si l'on veut permettre l'accès depuis une interface de niveau de sécurité bas sur une interface de niveau haut, il faut utiliser le tiercé de commandes : static/access-list/access-group.

Par défaut, le PIX permet tout le trafic depuis une interface ayant un niveau de sécurité fort vers une interface de niveau faible. En fait le "par défaut" n'est pas exacte. Il faut avant utiliser le couple de commandes nat/global. C'est à l'aide ces commandes que l'on peut permettre les utilisateurs d'une interface ayant un niveau de sécurité élevé (inside) d'accéder à une interface de niveau plus bas (outside ou dmz).

Ainsi, le LAN peut accéder à la DMZ et à Internet. De même, la DMZ peut accéder à l'Internet. Cet accès peut se faire sur tous les protocoles (sauf Netbios qui nécessite l'emploi de commandes spéciales). Pour être plus précis il faut dire que le protocole NetBios est possible depuis l'interface inside vers l'interface outside. Pour les flux NetBios venant d'une interface DMZ (niveau de sécurité compris entre 1 et 99), il faut utiliser des commandes spéciales.

Si on veut limiter ces accès, il faut utiliser le couple de commandes access-list/access-group.

Page 26: la securite

Comment les données transitent-elles via le PIX :

Quand un paquet arrive sur l'interface interne (securité la plus haute), le PIX vérifie si le paquet est valide via son algorithme ASA.

S'il s'agit d'une nouvelle connexion, le PIX crée une nouvelle entrée dans sa table de translation (xlate). Cette table contient en temps réel une correspondance entre l'adresse IP interne ayant fait la requête, et l'adresse externe utilisée pour sortir (NAT, PAT, ...). Le PIX change alors l'adresse source du paquet en y mettant l'adresse utilisée pour le NAT Hide (commande global (outside)...). Il modifie aussi le checksum ainsi que d'autres champs nécessaires. Puis le PIX forward ce paquet sur l'interface externe (niveau le plus bas).

Quand le paquet revient de l'extérieur, le PIX le passe dans la moulinette ASA, puis s'il accepte le paquet, remplace l'adresse de destination par l'adresse interne ayant originellement fait la requête.

Quelques caratéristiques du PIX :

Configurable Proxy Pinging : Permet d'interdire le ping des interfaces du PIX.

Concernant ICMP :

Il faut :

o interdire les messages ICMP unreachable (type 3). Ca c'est la théorie... Mais si on le fait on n'aura plus la réponse au traceroute... Je ne le conseille donc pas !

o désactiver les messages ICMP Path MTU Discovery qui peuvent poser des problèmes en cas de VPN Ipsec et PPTP.

Cut-Through Proxies : Permet un filtrage au niveau applicatif avec authentification des utilisateurs via un serveur AAA (ACS, ...). Pour cela, le PIX monte un proxy HTTP, FTP ou TELNET permettant à l'utilisateur de s'authentifier.

DNS Guard : Protection des requêtes DNS. En effet, quand on fait une requête DNS vers l'extérieur, si le premier DNS interrogé est trop lent à répondre, la requête est transmise au second DNS référencé au niveau du poste client. Le DNS Guard garantie que dans tous les cas, nous ne recevront qu'une seule réponse d'un seul des DNS. Ainsi, même si le premier DNS (lent) répond après le second, sa réponse sera rejetée. De plus, toutes requetes DNS (UDP:53) de plus de 512 octets sont droppées. Je rappelle que des requêtes DNS (UDP:53) n'ont pas à faire plus de 512 octets. Par contre lors de transfert de zone entre 2 DNS

Page 27: la securite

(primaire/secondaire), la taille peut être sup. à 512 octets, mais les transferts de zone ne se font qu'en TCP et non en UDP.

Flood Defender : Protection contre le SYN flooding.

Mail Guard : Limitation des commandes SMTP.

Support Multimédia : Real Audio, Streamworks, CU-See-Me, Internet Phone, IRC, H.323, Vxtreme, VDO Live.

Support natif de Netbios (over IP) depuis l'inside vers l'outside.

Support SSH version 1.

Détection d'intrusion : 59 signatures d'attaques prédéfinies.

DHCP : le pix intègre un démon DHCP seulement sur la patte LAN (inside). Une adresse IP est retirée du pool d'adresses DHCP disponibles ssi le pix a reçu un ping echo reply lors de l'affectation temporaire de l'adresse IP sur le poste client. En fait dès la pré-attribution d'une adresse IP, le PIX envoie un ping echo request sur le poste. S'il y a une réponse alors l'adresse est définitivement attribuée au poste. Attention : toute adresse affectée n'est à nouveau disponible que lors du reboot du PIX ! Il n'y a pas de gestion ''intelligente'' des baux DHCP ! Personnellement je vous déconseille d'activer les service DHCP sur le PIX (ou sur tout autre firewall ayant cette option). Un firewall doit rester un firewall et non un produit multi-fonction. Dans ce cas précis, un simple serveur DHCP sous Linux (sur un PC de base) vous rendra de meilleurs services...

Rip Version 2 : Sur le PIX, IOS > 5.2, Rip v2 est implémenté en mode passif. Le PIX accepte des updates multicast avec comme adresse destination 224.0.0.9. Seulement les cartes Intel 10/100 et Gigabits supportent le mode multicast. Les cartes FDDI et Token Ring ne supportant que du broadcast (IP destination 255.255.255.255 et non 224.0.0.9).

Cisco IOS-Like Configuration : on a la possibilité d'implémenter un support des lignes de commandes similaire à celui présent sur les routeurs Cisco (IOS Release 12.0(6))... pour les irréductibles de l'IOS uniquement.

Page 28: la securite

Failover : on peut mettre en place un failover Passif/actif entre 2 PIX. On a la possibilité d'utiliser en plus du cable null-modem classic, une interface réseau afin de mettre en place un failover Statefull.

FDDI : si on utilise des interfaces FDDI, il ne faut plus utiliser d'interface Ethernet ni Token Ring.

FragGuard : protection contre les attaques relatives à la fragmentation (envoie de paquets ayant le bit frag activé, mais n'étant suivi d'aucun autre paquet, ...)

Anti-Spoofing : par analyse de la route de retour ("reverse route lookups").

Filtrage d'URL : intégration parfaite dans une architecture possédant le produit de filtrage d'URL de la sociéte WebSense (http://www.websense.com).

Modes de configuration du PIX :

- Telnet, ssh.

- Port Console : HyperTerminal.

- Cisco Secure Policy Manager : il faut la version 2.2 pour gérer l'IOS 5.3.

- L'interface de management : Pix Firewall Management = PFM 4.3 (pas sous win 2000) pas capable d'utiliser des options du PIX apparues apres l'OS 4.3. Ce module de management n'est pas capable de lire des configurations utilisant des options sup. à l'IOS 4.3 (nat 0, conf VPN,...). JE VOUS INVITE A NE SURTOUT PAS UTILISER CETTE INTERFACE.

Explication détaillée des principales commandes :

NAT : Définit la NAT (Network Address Translation). nat (interface) [Identifiant] [Réseau-Source] [Masque-Reseau] [Max-Connexions] [Connexions-Embryonnaires]

Page 29: la securite

Ex : nat (inside) 1 0 0 0 0 <-> Toutes les adresses IP appartenant au réseau connecté sur la patte inside du PIX (= patte LAN) seront natées (sur l'adresse définie par la commande GLOBAL). Le dernier 0 correspond au nombre de connexions embryonnaires acceptées. Une connexion embryonnaire = connexion à demi ouverte = le flag SYN vaut 1. Dans le cas ou la valeur du dernier champ est 0 (comme dans cet exemple) c'est que nous ne controlons pas le nombre de connexions embryonnaires. Je conseille de mettre une valeur entre 300 et 500. L'avant dernier champ = nombre maximum de connexions sortantes permises sur l'interface.

Si vous souhaitez désactiver la nat (entre le LAN et la DMZ par exemple) il vous faudra utiliser la commande nat 0.

GLOBAL : Détermine l'adresse IP (ou le pool) utilisé pour la NAT HIDE. global (interface) [Identifiant] [@IP ou Pool d'adresses IP] L'identifiant doit correspondre à l'un de ceux référencés au niveau d'une commande NAT. L'interface doit forcément être l'"opposée" de celle déclarée au niveau de la commande NAT. En d'autre terme, si on a fait un nat du réseau LAN (placé sur la patte inside), le global correspondant doit être sur la patte outside (dans le cas d'un PIX à 2 pattes).

Ex : global (outside) 1 @IP <-> Toutes les adresses du LAN sont natées sur l'adresse publique : @IP. Attention dans le cas ou l'on utilise qu'une seule adresse IP pour la NAT HIDE, le PIX ne pourra plus gérer les flux H.323. Si vous avez assez d'adresses sur la patte externe de votre firewall, CISCO recommande de faire 2 commandes global : - global (outside) 1 1-Adresse-IP netmask 255..... - global (outside) 1 Pool-d'adresses-IP netmask 255.... Ainsi, le PIX utilisera d'abord les adresses du pool avant de passer sur l'unique adresse précisée dans la 1ère commande global. Ainsi, vous pouvez faire des flux H.323 !

Exemple de gestion de la NAT : LAN : 10.1.0.0/16 (avec 2 classes : 10.1.1.0/24 et 10.1.2.0/24) WAN : 63.33.94.146/28 DMZ : 192.168.1.0/24 Exemple 1 : # On spécifie l'adresse natée de sortie sur internet pour tous les réseaux : global (outside) 1 63.33.94.154 # On permet au LAN de sortir sur Internet avec l'adresse 63.33.94.154 : nat (inside) 1 10.1.0.0 255.255.0.0 300 0 # Les machines de la DMZ sortiront elles aussi sur internet avec l'adresse 63.33.94.154 nat (dmz) 1 192.168.1.0 255.255.255.0 300 0 # On spécifie le pool d'adresses IP dans lequel seront natés les utilisateurs du LAN voulant accéder à la DMZ : global (dmz) 1 192.168.1.128-192.168.1.138 # Dans ce cas nous faisons donc de la NAT entre le LAN et la DMZ.

Page 30: la securite

Exemple 2 : # On spécifie un pool pour la NAT du premier réseau du LAN (10.1.1.0/24) : global (outside) 1 63.33.94.150-63.23.94.155 netmask 255.255.255.240 # On spécifie une adresse de sortie dans le cas ou le pool serait déjà attribué : global (outside) 1 63.33.94.156 netmask 255.255.255.240 # On nat certaines machines du LAN (avec gestion du nombre de connexions + connexions embryonnaires) : nat (inside) 1 10.1.1.0 255.255.255.0 300 300 # On nat les autres machines sur un autre pool d'adreese publiques : nat (inside) 2 10.1.2.0 255.255.255.0 300 300 # Le global correspondant : global (outside) 2 63.33.94.157 netmask 255.255.255.240 # On ne vaut pas faire de NAT entre le LAN et la DMZ : nat (dmz) 0 access-list no-nat access-list no-nat permit ip 10.1.0.0 255.255.0.0 192.168.1.0 255.255.255.0 ATTENTION : si vous spécifier une access-list au niveau de la nat 0, cette access-list NE DOIT PAS CONTENIR LA SPECIFICATION D'UN PORT. Ainsi, les access-list suivantes n'auraient pas pû fonctionner : access-list no-nat permit tcp 10.1.0.0 255.255.0.0 192.168.1.0 255.255.255.0 access-list no-nat permit tcp 10.1.0.0 255.255.0.0 192.168.1.0 255.255.255.0 eq http

STATIC : Définit la nat statique d'une machine. static (interface-niveau-haut, interface-niveau-bas) [@IP-machine-sur-interface-niveau-haut] [@IP-machine-sur-interface-niveau-bas] netmask 255.255.255.255 [Max-Connexions] [Connexions-embryonnaires]

Ex :

static (inside,outside) @IP_pub @IP_priv netmask 255.255.255.255 0 0

Dans ce cas on a caché l'adresse de la machine du LAN (@IP_priv) derrière une adresse appartenant au réseau externe (@IP_pub). Ceci veut dire que quand on va vouloir accéder depuis l'extérieur à la machine @IP_priv, on va en fait utiliser l'adresse @IP_pub (ping @IP_pub et non ping @IP_priv).

Dans le cas d'un PIX à 3 pattes (LAN, WAN, DMZ) il y a 2 possibilités : Dans notre cas, notre LAN sera en 192.168.1.0/24, la DMZ en 172.20.1.0/24. Nous voulons permettre un accès entre une machine de la DMZ (172.20.1.10) et une machine du LAN 192.168.1.10. - soit vous cachez les adresses du LAN derrière des adresses de la DMZ : static (inside,dmz) 172.20.1.110 192.168.1.10 netmask 255.255.255.255 0 0 Dans ce cas on accèdera depuis la DMZ, à la machine 192.168.1.10, en utilisant son adresse natée 172.20.1.110. - soit on ne fait pas de nat entre la DMZ et le LAN : static (inside,dmz) 192.168.1.10 192.168.1.10 netmask 255.255.255.255 0 0 Dans ce cas, on peut, depuis la DMZ, accéder à la machine du LAN en utilisant sa véritable adresse. Je conseille cette façon de procéder afin de ne pas surcharger le PIX avec un processus de NAT qui n'est pas réellement utile.

Page 31: la securite

CONDUIT : Ouvre un accès sur la machine déclarée dans STATIC.

Cette commande ne doit plus être utilisée. Dès la version 6.0 cette commande ne sera même plus implantable sur un PIX. En fait comme toujours, Cisco maintient la compatibilité avec les anciennes commandes, donc les commandes inbound/outbound, conduit sont toujours implémentées. C'est un chois discutable, mais ... Enfin si vous voulez faire du vrai bon boulot, je vous recommande d'oublier les commandes inbound/outbound et conduit.

ACCESS-LIST : On ouvre un accès entre des machines (ou des réseaux).

Les ACL sont nominatives. Ainsi il est possible de leur donner un nom (acl_in pour le flux sortant du LAN, acl_out pour le flux entrant depuis Internet, ...)

Ex :

access-list acl_out permit tcp host @IP_pub_src host @IP_pub_dst range 1417 1420

access-list acl_out permit udp host @IP_pub_src host @IP_pub_dst eq 407

<-> Permet au réseau @IP_pub_src de se connecter via TIMBUKTU sur le @IP_pub_dst.

Nota : Par défaut, dès qu'une access-list est implémentée sur une interface, tout ce qui n'est pas explicitement permis, est interdit. Ainsi, si on ne met par exemple que les access-list précédentes sur l'interface outside (via la commande access-group), seul le réseau @IP_pub_src pourra s'y connecter, et seulement en TIMBUKTU. C'est comme si vous mettiez une access-list acl_out deny ip any any à la fin de la configuration.

ATTENTION : les access-list sont analysées séquentiellement (de haut en bas). Dès qu'une access-list match, le PIX ne va pas plus loin dans l'exploration des règles. Il faut donc faire très attention à la position des access-list dans la configuration!

ACCESS-GROUP : Définit l'interface d'application des access-list.

Ex :

access-group acl_out in interface outside <-> Dit que les access-list acl_out seront appliquées sur le flux entrant par l'interface outside du PIX ( c'est à dire via Internet). Elles limiteront donc le trafic entrant depuis l'Internet.

NAME/NAMES : Permet d'associer un nom à une adresse IP (ou un réseau).

Ex :

name 255.255.255.0 class-C-mask

Page 32: la securite

name 192.168.1.1 pix_inside

name 172.16.1.0 reseau_distant

ROUTE : Permet de définir les routes. Ex : route outside 0.0.0.0 0.0.0.0 63.33.94.147 1 Dans ce cas la route par défaut du PIX est l'adresse 63.33.94.147 avec comme metric 1 (metric par défaut). Rappel sur la notion de metric : il s'agit du nombre de sauts entre le PIX et le routeur périmétrique. Les sauts sont des routeurs, donc 1 saut signifie que le routeur est directement connecté au PIX. Enfin : sur le PIX vous ne pouvez avoir qu'UNE SEULE ROUTE PAR DEFAUT .

Ordre des opérations sur la PIX :

Accès au PIX en hyperterminal :

Voici les paramètres à utiliser lors d'une connexion via le câble série sur le PIX :

Bits per second : 9600

Data bits : 8

Parity : None

Stop bits : 1

Flow control : Hardware

Mise à jour de l'image via TFTP :

On met le dernier IOS stable : 6.1(1).

De base le PIX vient avec une image 5.1, on en est actuellement à la version 6.1(1).

Pour récupérer la dernière version du software PIX vous pouvez aller sur le site suivant : http://www.cisco.com/cgi-bin/tablebuild.pl/pix/ Biensur, il vous faut un compte CCO (Cisco Connection Online).

Page 33: la securite

Pour mettre à jour, il suffit, lors du reboot, de presser la touche Esc (Escape) afin d'interrompre la séquence de boot.

Le prompt monitor> apparaît.

Suivre la séquence suivante :

o Bancher la patte outside (eth0) du PIX sur votre machine (possédant un serveur TFTP + l'image 6.1 du PIX). Utilisez pour cela un câble croisé ou 2 câbles droits + un hub.

o Spécifier l'interface à utiliser sur le PIX : interface outside o Spécifier l'adresse IP temporaire sur cette interface : addr 10.0.0.1 o Spécifier l'adresse IP de votre machine : serv 10.0.0.206 o Spécifier le nom de l'image à downloader : file pix611.bin o Vérifier la connectic : ping 10.0.0.206 o Télécharger l'image : tftp o C'est à ce moment là que l'on peut entrer une nouvelle clef d'activation sur le

PIX.

# On donne un nom au pix

hostname Pix.totoland.com

# Password pour l'accès en mode enable :

enable password azerty (je blague, il est évident qu'il faut mettre un truc plus compliqué !)

# Pour l'accès en telnet et ssh

passwd azerty

# On nomme les différentes interfaces et on leur attribue un niveau de sécurité :

nameif ethernet0 bad security0

nameif ethernet1 naif security99 : comme vous pouvez le constater, le niveau de sécurité n'est pas de 100 mais de 99. En fait on ne peut pas renommer l'interface inside. Si on veut lui donner un autre nom que ''inside'', il faut lui mettre un autre niveau de sécurité que 100. J'ai pour habitude de mettre 99.

# On fixe la vitesse des interfaces (nota : avec PIX 506 on peut seulement faire du 10Mb/sec) :

interface ethernet0 10baset

Page 34: la securite

interface ethernet1 10baset

Les autres valeurs possibles pour la spécification de la vitesse : - auto : auto détermination des vitesses (pas toujours conseillé !) - 10baset : 10MBps Ethernet half duplex - 10full : 10MBps Ethernet full duplex - 100basetx : 100MBps Ethernet half duplex - 100full : 100MBps Ethernet full duplex - 1000sxfull : 1000MBps Gigabits Ethernet full duplex - 1000basex : 1000MBps Gigabits Ethernet half duplex - 4mbps ou 16mbps : dans le cas d'interface token ring - pas de vitesse à spécifier dans le cas d'interfaces FDDI

# @IP des interfaces :

ip address bad @IP-PUB-PIX 255.255.255.248

ip address naif @IP-PRIVEE-PIX 255.255.255.0

# Route statique vers la gateway par défaut :

route bad 0.0.0.0 0.0.0.0 @IP-PUB-ROUTEUR 1

# La NAT -> adresses natées dans les adresses (commande global) définies ci dessous :

# Vérifier pour les connexions embryonnaires (entre 100 et 500)!!!

nat (naif) 1 0.0.0.0 0.0.0.0 300 300

# Les @IP disponibles pour sortir d'une interface :

global (bad) 1 @IP-PUB-NAT-HIDE

(toujours faire un clear xlate pour mettre à jour la table de translation d'adresses)

# On crée les nat statique nécessaires :

# Vérifier pour les connexions embryonnaires (entre 100 et 500)!!!!

Page 35: la securite

Vous devez créer ces règles de nat static (commande static) si vous voulez donner un accès depuis une interface de niveau de sécurité bas vers une machine d'un niveau de sécurité haut. Par exemple dans le cas d'une machine présente en DMZ, il vous faudra certainement permettre un accès depuis l'Internet sur cette machine. Il sera peut être aussi nécessaire de permettre un accès entre cette machine en DMZ et une ou plusieurs machines du LAN. C'est typiquement le cas dans des architectures présentants un relais SMTP en DMZ et un serveur SMTP dans le LAN.

# On filtre le trafic entrant :

# Ouside -> Firewall + LAN :

access-list acl-bad-naif permit icmp any any source-quench

access-list acl-bad-naif permit icmp any any parameter-problem

access-list acl-bad-naif permit icmp any any unreachable

access-list acl-bad-naif permit icmp any any time-exceeded

access-list acl-bad-naif permit icmp any any echo-reply

# On applique ces règles sur l'interface d'où va venir le trafic (=d'où est initialisé la connexion).

# Ici c'est forcément l'interface outside (=bad) !!!!

access-group acl-bad-naif in interface bad

# Les flux sortants du LAN :

# Dans un premier temps on autorise tout type de trafic venant du LAN :

access-list acl-naif-bad permit ip any any

# On applique ces regles sur l'interface d'où va venir le trafic (=d'où est initialisé la connexion). Ici c'est forcément l'interface inside (=naif) !!!!

Page 36: la securite

access-group acl-naif-bad in interface naif

# Pour interdire le ping de la patte outside du PIX :

# Nota : par défaut l'interface OUTSIDE du PIX est pingable...

# d'ou :

icmp deny any echo bad

Pour les logs en mode console :

logging on

logging console debugging ou level (7) : voir les trafic complet en mode console

debug icmp trace : voir le trafic icmp

sh logging : voir ce qui est loggué

clear logging : vider les buffers de log

Pour les logs en mode terminal :

On donne l'acces en telnet ou ssh (cf apres) sur le pix sur sa patte inside (ou dmz ou wan) :

telnet @IP 255.255.255.255 naif

ssh @IP 255.255.255.255 naif

On augmente la durée de la session telnet (ou ssh) :

telnet timeout 15

ssh timeout 15

0n accède en telnet ou en ssh sur le PIX

On demarre le log des messages

logging monitor <level>

Page 37: la securite

On affiche les messages de logs sur le session telnet

terminal monitor

Pour arreter l'affichage des messages

terminal no monitor

A la fin ne pas oublier de désactiver les logs

no log monitor

Donner l'accès SSH sur le PIX :

On vérifie que le PIX peut faire au minimum du DES : sh ver

Si oui, on peut faire la suite.

Sinon, il faut envoyer un mail à [email protected]

(ou http://www.cisco.com/kobayashi/sw-center/internet/pix-56bit-license-request.shtml ) en leur demandant une clef d'activation permettant le DES.

Donner un nom au PIX (théoriquement c 'est déjà fait) : hostname Pix.totoland.com

Préciser un domain : domain-name totoland.com

Générer la clef sur chaque PIX :

ca gen rsa key 1024 (1024 étant la taille de la clef)

Enregistrer cette clef sur le PIX : ca save all (attention un write mem ne suffit pas !!)

Préciser la machine ayant accès sur le PIX en SSH : ssh @IP 255.255.255.255 bad

Préciser le pasword d'accès (c'est le même que pour l'accès telnet) : passwd mon_super_password

Générer les clefs sur le poste concerné :

attention lors de la génération de la clef, le programme demande un nom d'utilisateur sur le PIX. Il faut mettre pix (en miniscules!).

Lancer la connexion ssh depuis le client : /usr/bin/ssh -v -c des pix@IP-pix

Pour windows NT, 2000, ... : utiliser les clients suivants :

F-Secure

Page 38: la securite

Tera Term Pro SSH v1.x :

http://hp.vector.co.jp/authors/VA002416/teraterm.html

Il faut aussi l'implémentation SSH pour Tera Term (TTSSH) : http://www.zip.com.au/~roca/ttssh.html

Putty

Nota : On peut administrer le PIX en ssh sur la patte outside. Si on veut le faire en telnet, il faut mettre en place un tunnel IPSEC. Puis mettre une access-list pour permettre le trafic IP entre la patte externe du pix et le client VPN. Pour un exemple d'administration distante d'un PIX (via SSH ou VPN), cf. la page suivante réalisée par Julien Martinez.

1.4 CONFIGURATION PIX

Cette configuration correspond à la politique de sécurité présentée au début de ce document.

PIX Version 6.1(1)

nameif ethernet0 bad security0

nameif ethernet1 naif security99

enable password ....

passwd ....

hostname Pix.totoland.com

domain-name totoland.com

fixup protocol ftp 21

Page 39: la securite

fixup protocol http 80

fixup protocol h323 1720

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol sip 5060

fixup protocol skinny 2000

names

name @IP-PUB-ROUTEUR PERIMETER-GW

name @IP-PRIV-ADMIN ADMIN-PC

access-list acl-bad-naif permit icmp any any source-quench

access-list acl-bad-naif permit icmp any any parameter-problem

access-list acl-bad-naif permit icmp any any unreachable

access-list acl-bad-naif permit icmp any any time-exceeded

access-list acl-bad-naif permit icmp any any echo-reply

access-list acl-naif-bad permit ip any any

pager lines 24

logging monitor debugging

interface ethernet0 10baset

interface ethernet1 10baset

Page 40: la securite

icmp deny any echo bad

mtu bad 1500

mtu naif 1500

ip address bad @IP-PUB-PIX 255.255.255.248

ip address naif @IP-PRIV-PIX 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm history enable

arp timeout 14400

global (bad) 1 @IP-PUB-NAT-HIDE

nat (naif) 1 0.0.0.0 0.0.0.0 300 0

access-group acl-bad-naif in interface bad

access-group acl-naif-bad in interface naif

route bad 0.0.0.0 0.0.0.0 PERIMETER-GW 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si

p 0:30:00 sip_media 0:02:00

Page 41: la securite

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

no sysopt route dnat

telnet timeout 30

ssh ADMIN-PC 255.255.255.255 naif

ssh timeout 30

terminal width 80

1.5 MESSAGES SYSLOG

Le PIX génère des logs au format SYSLOG. Vous pouvez visualiser ces logs soit directement sur le PIX (mode console ou en mode telnet/ssh), soit sur un serveur syslog dédié au sein de votre architecture.

Voici les différents niveau de log :

0 = emergencies = pas de messages

Page 42: la securite

1 = alerts = les alertes

2 = critical = condition critique

3 = errors = messages d'erreur

4 = warnings = messages d'avertissement

5 = notification = fonctionnement normal présentant des particularités

6 = informational = même le trafic normal est loggué

7 = debugging = mode debug au niveau applicatif.

Pour les logs en mode console :

logging on

logging console debugging ou level (7) : voir les trafic complet en mode console

debug icmp trace : voir le trafic icmp

sh logging : voir ce qui est loggué

clear logging : vider les buffers de log

Pour les logs en mode terminal :

On donne l'acces en telnet ou ssh (cf apres) sur le pix sur sa patte inside (ou dmz ou wan) :

telnet @IP 255.255.255.255 naif

Page 43: la securite

ssh @IP 255.255.255.255 naif

On augmente la durée de la session telnet (ou ssh) :

telnet timeout 15

ssh timeout 15

On accède en telnet ou en ssh sur le PIX

On demarre le log des messages :

logging monitor <level>

On affiche les messages de logs sur le session telnet :

terminal monitor

Pour arreter l'affichage des messages :

terminal no monitor

A la fin ne pas oublier de désactiver les logs :

no log monitor

Page 44: la securite

Pour envoyer les messages sur un serveur Syslog dédié :

Vous avez la possibilité d'envoyer les messages du PIX sur un serveur syslog. Ce serveur est soit un UNIX/LINUX comportant un démon syslog, soit un Windows NT comportant un produit de logging : WebTrends, PFSS (PIX Firewall Syslog Server), ...

Le trafic entre le PIX et le serveur Syslog sera en UDP:514 (= port Syslog).

Les étapes :

On spécifie le serveur syslog sur lequel le PIX va envoyer ses logs :

logging host inside 10.1.1.14

On spécifie le niveau des logs :

logging trap debugging

ou logging trap information (je vous conseille ce niveau)

La commande logging facility (valeur par défaut : 20), permet de préciser le format des messages. CISCO recommande de ne pas modifier la valeur par défaut !

On démarre l'envoi des logs : logging on

(Pour désactiver l'envoi des logs : no logging on)

Vous avez la possibilité de désactiver l'envoi de certains messages. Pour cela, une fois que vous aurez récupéré l'ID du message (ex : 305002), vous pouvez utiliser la commande :

no logging message 305002

Ainsi, ce message ne sera plus envoyé au serveur syslog.

Page 45: la securite

1.6 MISE EN PLACE D'UN FAILOVER

Le Failover = Haute disponibilité => Mise en place d'un second PIX qui prendra le relai si le premier PIX (=PIX d'origine) tombe en panne.

Rappels :

Le PIX 506 ne permet pas le Failover

Les PIX 515, 525 et 535 supportent le Failover si et seulement si vous avez une licence « UR ».

Pour faire du Failover avec des PIX, il faut un PIX primaire avec licence UR + un autre PIX Failover (cf. produits cisco). Dans tous les cas les 2 PIX doivent être rigoureusement identique en matière de : RAM, Flash, IOS.

Le Failover avec des PIX est du type actif/passif. C'est à dire que le PIX failover est passif. Tout le trafic passe par le PIX primaire (=actif). Ce n'est que si ce premier PIX tombe que le second devient actif. Il n'y a pas de loabalancing.

Le PIX propose 2 modes de failover :

o Mode normal : avec utilisation d'un câble null-modem o Mode Statefull : avec câble null-modem + une interface (Ethernet 100Mbps

full duplex) sur chaque PIX dédiée au failover. Dans ce cas toutes les sessions NON-HTTP ouvertes sur le premier PIX seront conservées sur le second PIX lors du basculement.

Page 46: la securite

Dans le cas du PIX, le mode failover assure que les adresses IP et MAC du PIX d'origine (= PIX primaire =PIX actif) seront reportées sur le PIX secondaire (= PIX standby) lors du basculement.

Dans notre exemple :

LAN : 10.1.0.0/16 (avec 2 classes : 10.1.1.0/24 et 10.1.2.0/24)

WAN : 63.33.94.146/28

DMZ : 192.168.1.0/24

Sur le Premier PIX déjà configuré :

Patte OUTSIDE = bad = Ethernet0 = 63.33.94.149

Patte INSIDE = naif = Ethernet1 = 10.1.1.1

Patte DMZ = dmz = 192.168.1.1

Mettre le dernier IOS sur les 2 PIX.

Régler l'heure de la CMOS sur le PIX Primaire : clock set hh:mm:ss month day year

Ceci permettra une synchronisation des CMOS lors du failover.

Brancher le câble null-modem entre les 2 PIX :

Lorsqu'on connecte ce câble de failover : bien s'assurer que le bout marqué Primary est sur le PIX actif = PIX d'origine.

Ce câble est un câble RS-232 modifié.

Vérifier la nature du lien entre les 2 PIX pour le côté statefull (cable croisé catégorie 5, hub, ...)

Page 47: la securite

Eteindre le PIX failover (apres lui avoir mis la même version d'IOS que celle présente sur le PIX d'origine). On ne configure QUE le PIX primaire. Quand il est complètement configuré, on allume alors le secondaire. C'est alors que toute la configuration du premier passera sur le PIX failover !

Voici ce qu'il faut faire sur le PIX d'origine = PIX maître :

On assigne une des interfaces au failover :

nameif ethernet5 failover security98

On spécifie la vitesse :

interface ethernet5 100full

Comme après toute commande interface, il faut faire un clear xlate.

On assigne une adresse IP à cette interface :

ip address failover 1.1.1.1

On permet le failover :

failover

On s 'assure que tout est bien : show failover

On configure le 2ieme PIX avec le premier au niveau des adresses des interfaces :

failover ip address bad 63.33.94.150

Page 48: la securite

failover ip address naif 10.1.1.100

failover ip address dmz 192.168.1.100

failover ip address failover 1.1.1.100

Vous pouvez diminuer le temps de détermination pour le basculement. Le temps de base est de 15 secondes. Si le PIX primaire n'a pas répondu pendant 15 secondes, le PIX secondaire prend la main. On peut diminuer ce temps avec la commande failover pool secondes . Cependant Cisco ne conseille pas de modifier ce temps.

On allume le deuxième PIX afin qu'il y ait réplication entre le Primaire et le Secondaire.

Sur le Primaire :

show failover : on s'assure que la réplication est bonne.

A partir d'un poste client du LAN :

On fait un ftp ou un ping @IP -t

On éteint le Primaire, afin de voir si le failover fonctionne bien.

On fait un show failover

On re rend le PIX Primaire actif :

Sur le Primaire : reload ou failover active

Puis un show failover

On configure le PIX Primaire pour faire du Stateful Failover :

Sur le Primaire :

failover link failover

Faire un write mem puis write standby de facon à forcer la synchronisation entre les 2 PIX

Page 49: la securite

Vérifier que le Stateful est en place : show failover

Tester le stateful failover en faisant un ping @IP -t ou un ftp depuis une machine du LAN, puis en coupant le PIX Primaire.

1.6 CONFIGURATION DU VPN

Définitions :

VPN ?

Un VPN (Virtual Private Network) est un service offrant une connexion sécurisée via un réseau public (tel qu'Internet).

Le VPN impose la mise en place d'un canal. Ce canal peut être implémenté de différentes manières : L2TP (niveau 2 du modèle OSI) ou IPSec (niveau 3) ou PPTP (version Lucent puis Microsoft) ou MPPE (Microsoft Point to Point Encryption = RSA RC4) ou GRE (protocole cisco permettant de relier 2 LAN faisant de l'IPX) ou L2F (protocole cisco).

On peut rajouter du cryptage au niveau de ce canal : DES(56 bits) ou 3DES (168 bits) ou CET (technologie de cryptage propre à cisco) ou IDEA.

Historiquement, on est passé du VPN de niveau 2 (ATM, X25, FrameRelay) à des VPN de niveau 3 (IPSEC).

IPSec :

Selon la RFC IETF :

"Protocole de sécurité au sein de la couche réseau. Ce protocole est développé pour fournir un service de sécurité à base de cryptographie, permettant de garantir l'authentification, l'intégrité, le contrôle d'accès et la confidentialité des données."

D'une manière plus commune :

Page 50: la securite

IPSec = formatage de trame permettant le chiffrement des données au niveau IP.

HASHING : MD5 (128bits) / SHA-1(168bits) :

= Signature = hashing crypté avec clef privé de l'utilisateur A

Utilisé pour certifier l'intégrité et l'authenticité d'un document.

Le résultat est un digest de taille fixe.

Les mots Resume et digest représentent la même chose..

Caractéristiques du digest :

o Impossibilité de reconstruire les données à partir du digest ; o Si un bit des données change, le digest résultant sera très différent de l'originel

(= effet d'avalanche).

Exemple :

Utilisateur A (émettant le message) :

1. Message1 -> Processus de hashing (MD5 ou SHA-1) -> Resume1

2. Message1 + Resume1 + clef privée A

-> Message1 crypté

Utilisateur B (recevant le message) :

3. Décryptage du message1 avec la clef publique de A => Message1 + Resume1

4. On passe le message1 dans le hashage => Resume2

Si Resume1 = Resume2, alors le message est intègre = non modifié.

Page 51: la securite

IKE (Internet Key Exchange) :

(RFC 2409)

IKE négocie les IPSec security associations (SAs). Ce processus nécessite que les systèmes IPSec s'authentifient entre eux et établissent les clefs IKE (= ISAKMP) partagées.

En d'autres termes, IKE = Schéma de chiffrement <=> comment va se faire l'échange des informations entre les différents peers d'un VPN.

Schématiquement :

IKE = ISAKMP (RFC 2408) + Oakley (RFC 2412)

ISAKMP = protocole pour la négociation préalable à l'établissement des associations de sécurité (SA).

Oakley = détermine le mécanisme pour l'échange automatique des clés.

IKE démarre donc avant IPSEC !!!

On a 1 tunnel IKE en premier, puis un tunnel IPSec ensuite. Ce dernier étant issu des négociations IKE préalables.

ISAKMP = IKE Phase 1 :

Les sessions ISAKMP utilisent UDP (source ET destination port = 500)

Les résultats de l'établissement d'une session ISAKMP sont des SAs ISAKMP (bidirectionnels).

ISAKMP établit tous les SAs IPSEC à la demande.

Une session ISAKMP est authentifiée :

- Soit par une clef partagée (pre-shared key)

- Soit par RSA signature et chiffrement.

Page 52: la securite

De plus une session ISAKMP est chiffrée (DES) pour l'échange des clefs de session.

Oakley = IKE Phase 2 :

Définit le mécanisme d'échange de clés dans les ISAKMP sessions

Détermine les clés AH/ESP nécessaires pour chaque IPSEC SA automatiquement

Utilise l'algorithme Diffie-Hellman pour ses générations de clés

IKE, plus en détails :

Durant la phase 1 d'IKE, il y a authentification des peers + établissement de la politique IKE (= IKE Security Association). L'algorithme principal de cette phase est Diffie-Hellman.

Durant la phase 2 d'IKE, il y a négociation des IPSec security associations, et génération des clefs pour IPSec. L'émetteur offre une ou plusieurs transform-sets qui sont utilisés pour spécifier les différents algorithmes utilisés au sein du tunnel IPSec. Soit c'est encore via Diffie-Hellman que les clefs sont générées, soit ces clefs sont dérivées de celles forgées lors de la phase 1 d'IKE.

Encore plus précis :

IKE phase 1 :

o Méthode d'échange des clefs ; o Méthode d'authentification des peers : pre-shared key ou certificat numérique

authentifié par une signature RSA ; o Identification des peers IPSec : par adresse IP ou par nom (FQDN) ; o Détermination de la politique ISAKMP <=> IPSec SA : une politique

ISAKMP définie une combinaison de paramètres de sécurité utilisés durant la négociation ISAKMP. Pour qu'il y ait communication IPSec possible, il faut que les 2 peers trouvent un accord sur une politique ISAKMP commune. Une politique ISAKMP contient :

* Algorithme d'encryption : DES/3-DES

* Algorithme de hashing : MD5/SHA-1

* IKE SA Lifetime = durée de vie des SA IKE : 86400 secondes, ou moins.

Page 53: la securite

IKE phase 2 :

o Négociation des algorithmes IPSec = transform-set : ESP-DES, ...

Cette négociation est protégée grâce à la SA IKE prédéfinie.

o Identification des peers par adresse IP au nom (FQDN) ; o Détermination des adresses IP des hôtes qui doivent communiquer en crypté ; o Etablissement des IPSec security associations : soit de manière manuelle (pas

conseillé), soit via IKE (conseillé), dans ce dernier cas, il faut spécifier ipsec-isakmp. Ces IPSec Sas sont pèriodiquement renégociées afin d'augmenter le niveau de sécurité. De plus on peut forcer le fait que les clefs de sessions IPSec seront nouvelles à chaque fois, ou simplement dérivées des clefs négociées en IKE phase 1. Cette dernière fonctionnalité est appelée PFS ( Perfect Forward Secrecy). Le contenu d'une IPSec SA est le suivant :

Adresse IP du peer d'en face ; Identifiant de VPN (SPI = Security Parameter Index) Algorithmes IPSec : AH/ESP + rien ou HMAC-MD5/HMAC-

SHA-1 ; Mode (Tunnel ou Transport) :

Transport : PC à serveur de bout en bout

Tunnel : via internet (c'est à dire, via des routeurs)

Clef de session ; Attributs supplémentaires (Lifetime = durée de vie des clefs de

session, ...)

En d'autres termes, une SA IPSec c'est ce qui définit un VPN.

AH (Authentication Header)/ESP (Encapsulation Security Payload) :

Voici ce qui se passe au niveau des paquets :

Page 54: la securite

AH = IP:51

Paquet origine : IP Header + le reste du paquet (autres headers + payloads) = A

A l'aide de l'algo MD5, la clef secrete (connue des deux parties) + A on obtient :

IP Header + Auth.Header + le reste du paquet (autres headers + payloads)

=> AH -> pas de cconfidentialité = pas de chiffrement des données.

ESP = IP:50

Paquet origine : IP Header + le reste du paquet (autres headers + payloads) = A

Si on est en mode transport (mode bout en bout, entre hosts => pas de routeur ni firewall entre les hosts) :

On chiffre le "reste du paquet (autres headers + payloads)" avec la clef secrete,

et on rajoute au paquet un header ESP.

Le paquet devient donc :

IP Header + Header ESP + le reste du paquet (autres headers + payloads) crypté

Si on est en mode tunnel (avec des routeurs + des firewalls entre les hosts <=> Internet) :

De nouveaux IP Headers sont ajoutés lors du routage des paquets, mais le paquet

origine est crypté avec la secret key => le IP Header d'origine est conservé intacte

dans la partie cryptée.

Le paquet devient donc :

New Ip Header + ESP Header + Crypté[Ip Header origine + le reste du paquet (autres headers + payloads)]

Page 55: la securite

=> ESP -> confidentialité car on a chiffrement des données -> il y a une plus grande consommation de CPU.

Côté PIX :

Dans ce cas nous voulons monter un VPN entre notre PIX (cf conf précédente) et un concentrateur VPN.

Voici les différentes commandes à rajouter :

# On permet les flux IPSec :

sysopt connection permit-ipsec

# Cette ligne ci-dessus est parfaitement équivalente aux 3 suivantes :

access-list vpn permit ahp @IP-PIX1 255.255.255.0 host @IP-PIX2

access-list vpn permit esp @IP-PIX1 255.255.255.0 host @IP-PIX2

access-list vpn permit udp @IP-PIX1 255.255.255.0 host @IP-PIX2 eq isakmp (= UDP:500).

# On spécifie l'interface sur laquelle on va faire de l'IPSec :

# A partir de l'OS 5.1, on peut faire de l'IPSec sur toutes les interfaces. Avant on ne pouvait le faire que sur l'outside.

isakmp enable bad

# On crée la politique IKE :

# On spécifie l'algorithme d'encryption :

isakmp policy 10 encryption des

# On spécifie l'algorithme de hashing :

Page 56: la securite

isakmp policy 10 hash md5

# On spécifie la méthode d'authentification :

isakmp policy 10 authentication pre-share

# On spécifie la taille de l'espace de nombres utilisé pour le choix du coefficient de l'exponentielle (pour l'algorithme Diffie-Hellman) :

isakmp policy 10 group 2

# On spécifie la durée de vie des clefs de sessions au niveau IPSec :

isakmp policy 10 lifetime 86400

# On spécifie si l'on travaille par adresse IP ou par nom :

isakmp identity address

# On spécifie l'adresse IP du concentrateur VPN basé sur l'autre site :

name @IP-CONCENTRATEUR CONCENTRATEUR

# On configure la pre-shared key pour IKE :

isakmp key ma-pre-shared-key address CONCENTRATEUR netmask 255.255.255.255

# On configure IPSec :

# On spécifie le trafic devant être crypté :

access-list vpn permit ip @IP-RESEAU-LAN-ICI 255.255.255.0 @IP-RESEAU-LAN-LA-BAS 255.255.255.0

# On configure le transform-set :

crypto ipsec transform-set myset esp-des esp-md5-hmac

# On configure la crypto map :

Page 57: la securite

# On crée une crypto map en utilisant IKE (IPSec ISAKMP mode) :

crypto map vpnpeer 10 ipsec-isakmp

# On spécifie l'access-list à prendre en compte :

crypto map vpnpeer 10 match address vpn

# On spécifie le peer vers lequel on va envoyer le trafic crypté :

crypto map vpnpeer 10 set peer CONCENTRATEUR

# On spécifie quel transform-set on va utiliser pour cette crypto map :

crypto map vpnpeer 10 set transform-set myset

# On applique la crypto map sur une interface réseau :

crypto map vpnpeer interface bad

# Dans le cas d'un VPN site à site on spécifie que l'on ne fait pas de NAT. C'est quand le peer d'en face ouvre le paquet IPSec, qu'il découvre à qui ce paquet est destiné en interne.

nat (naif) 0 access-list vpn

Côté Concentrateur VPN :

Pour une description complète de ce produit : cf. Document suivant.

Matériel :

Concentrateur VPN 3015 :

64 MB SDRAM 100 tunnels IPSEC en simultané 3 interfaces réseaux (10/100BaseT) upgradeable

Page 58: la securite

Clients VPN :

Cisco Secure VPN Client 1.1 : PIX (IOS <= 5.3) + ROUTEURS. Ce client s'installe sous Win9X, NT4, pas Win2k.

Cisco VPN 3000 Client 3.x.y : CVPN3000 + PIX (IOS <= 6.x). Ce client s'installe sous Win9X, NT4, Win2k et XP.

Ce client VPN ne fonctionne pas pour les routeurs cisco !

IPSec client intégré à Windows 2000 : CVPN3000.

Dans tous les cas : DES et 3DES.

Le client VPN3000 intègre un module de monitoring.

Caratéristiques particulières :

o Supporte le VPN Through NAT (ré-encapsulation de la partie IPSEC dans de l'UDP).

o Protocole IPSec :

IPSec comporte normalement 2 protocoles :

- AH (Authentication Header) = IP:51, permettant l'authentification de la source + anti rejeu + intégrité. Dans ce cas le hashing (MD5 ou SHA-1) est fait sur tout le paquet, IP headers compris. Ce mode est incompatible avec la NAT qui change le AH Header et cause ainsi le rejet du paquet par le peer IPSec.

- ESP (Encapsulation Security Payload) = IP:50, fournit, en plus de AH, la confidentialité grace à l'encryption au niveau IP. L'algorithme par défaut est DES (56 bits). On peut biensûr utiliser du 3DES. Ce protocole supporte la NAT car il le hashing (utilisé pour l'intégrité) ne prend pas en compte l'en-tête IP. Ainsi la NAT peut changer le Header IP, et pourtant le paquet sera accepté par le peer IPSec. Le petit moins, c'est que qu'en ESP, il n'y a pas de protection de l'entité IP.

Le concentrateur VPN n'intègre QUE ESP. Il n'est pas possible de faire du AH. Ce choix est motivé par le fait qu'avec AH il n'est pas possible de faire du VPN through NAT.

Page 59: la securite

- Split Tunneling : Le Split Tunneling correspond à la séparation des flux. En fait, on a la possibilité de permettre au nomade , utilisant un client VPN 3000, de monter une connexion VPN avec un site tout en continuant à surfer sur Internet (en clair). Cette fonctionnalité est tres risquée. Dans le document suivant je vous propose une explication du pourquoi et du comment. Vous trouverez aussi des solutions pour contourner le problème.

Administration :

Hyperterminal : pour la configuration minimale : initialisation des interfaces réseaux.

Configuration usine : login -> admin/admin.

Telnet, SSH ou HTTP/HTTPS (si browser IE et Netscape > 4.0)

Configuration de Netscape : Edit -> Preferences -> Advanced :

Enable JavaScript

Accept ...cookies

Ne pas cocher: Warn me before accepting a cookie.

Configuration dans notre cas :

1)On part avec une configuration d'usine :

Administration | System Reboot | Schedule reboot | Reboot with Factory/Default Configuration

2)Configuration minimale via le câble console :

- Time/Date ;

- Interfaces/Masks in Configuration | Interfaces (public=@IP-PUB-CONTENTRATEUR/xx, private=RESEAU-LAN/24) ;

Page 60: la securite

- Default Gateway in Configuration | System | IP routing | Default_Gateway | @IP-ROUTEUR-PERIMETRIC

A ce stade le concentrateur est administrable via HTTP depuis la patte inside.

3)Nous permettons l'administration du Concentrateur depuis la patte outside :

Configuration | Interfaces | 2-public | Select IP Filter | 1. Private (Default)

Administration | Access Rights | Access Control List | Add Manager Workstation to add the IP address of the external manager.

4)Menu Configuration | Interfaces

5)Configuration de IPSec LAN-to-LAN tunnel

a)Configuration | System | Tunneling Protocols | IPSec LAN-to-LAN | Modify :

Name : To-PIX

Interface : Ethernet 2 (Public)

Peer : @IP-PUB-PIX

Digital Certificate : None (Use Preshared Keys)

Preshared Key : ma-pre-shared-key

Authentication : ESP/MD5/HMAC-128

Encryption : DES-56

IKE Proposal : IKE-DES-MD5

Local Network :

Page 61: la securite

Network List : Use IP Address/Wildcard-mask below

IP Address : @IP-RESEAU-LAN-CONCENTRATEUR

Wildcard Mask : 0.0.0.255

Remote Network :

Network List : Use IP Address/Wildcard-mask below

IP Address : @IP-RESEAU-LAN-PIX

Wildcard Mask : 0.0.0.255

b)IKE Proposals : Configuration | System | Tunneling Protocols | IPSec | IKE Proposals

Active Proposals : IKE-DES-MD5

6)On vérifie les paramètres des Security Associations :

Configuration | Policy Management | Traffic Management | Security Associations | Modify :

SA Name : L2L : To-PIX

Inheritance : From Rule

IPSec Parameters :

Authentication Algorithm : ESP/MD5/HMAC-128

Encryption Algorithm : DES-56

Encapsulation Mode : Tunnel

Perfect Forward Secrecy : Disabled

Lifetime Measurement : Time

Page 62: la securite

Data Lifetime : 10000

Time Lifetime : 86400

IKE parameters :

IKE Peer : @IP-PUB-PIX

Negociation Mode : Main

Digital certificate : None (Use Preshared Keys)

IKE Proposal : IKE-DES-MD5

A ce stade, le VPN devrait marcher....

Debug :

Sur le PIX :

debug crypto engine - Pour voir le trafic qui est encrypté.

debug crypto ipsec - Pour voir la phase des négociations IPSec (IKE phase 2).

debug crypto isakmp - Pour voir la phase des négociations ISAKMP (IKE phase 1).

Sur le Concentrateur VPN :

Voici les options à activer :

o IKE o IKEDBG

Page 63: la securite

o IKEDECODE o IPSEC o IPSECDBG o IPSECDECODE

Retour à l'index de la documentation

Retour à la page d'accueil

Armand Passelac

Quels ports Windows XP utilise pour l'activation ? Réponse

Windows XP utilise les ports 80 et 443 pour l'activation.

20. Les ports IP et UDP sur INTERNET

20.1. Introduction - 20.2. Classes d'adresses IP - 20.3. Ports TCP - 20.4. Ports UDP

20.1. Introduction

Pour communiquer en réseau, deux PC doivent parler un langage commun. Ce langage en réseau peut être TCP/IP, IPX/SPX ou NetBui. IPX est utilisé par les réseaux lourds NOVELL, NetBui est utilisé par les premiers réseaux Microsoft et IBM. TCP/IP est utilisé sur INTERNET.

IP est routable, l'adresse peut être modifiée en cours de route en fonction des saut dans les différents appariels de connexion. Ce routage permet de redirectionner des demandes à une adresse définie vers une autre adresse. Ceci explique que TCP/IP est utilisé dans les réseaux informatiques et sur Internet. Plusieurs langages (protocoles) peuvent cohabiter sur un même réseau. Pour que 2 ordinateurs puissent dialoguer, ils doivent automatiquement parler au moins un même protocole. Ceci semble peu important, mais si votre communication est TCP/IP sur Internet et NetBui sur le réseau local, il sera impossible à un pirateur de passer d'un ordinateur à l'autre par le réseau. Il est même de dialoguer avec un routeur vers

Page 64: la securite

INTERNET à partir d'un réseau mais que le partage des ressources sur le réseau ne puisse se faire que par un des autres protocoles. De même, si vous implantez un partage INTERNET sur un réseau, retirer TCP/IP sur la carte réseau d'un ordinateur l'empêche d'aller sur Internet.

Les adresses IP sont constituées de 4 chiffres variant de 0 à 255 chacun, par exemple 192.168.1.1. Les adresses ont été rassemblées par classes. Chaque PC (ou installation réseau) peut communiquer avec les PC dans la même classe d'adresse directement. Par contre, la communication d'une classe d'adresse à l'autre nécessite un routeur, généralement un appareil mais ce peut être fait par certains programmes spécifiques. Les classes A et B sont réservées à Internet (mais peuvent être utilisées sous réserve à des réseaux internes).

Lorsqu'un PC envoie un message via le réseau à un autre PC, dans le signal envoyé, se trouve l'adresse TCP/IP du PC de départ et l'adresse TCP/IP du PC final. Néanmoins, cette vision est trop simpliste. INTERNET a également inclus un autre paramètre qui s'appelle le port. Celui-ci est constitué de 65556 portes (de 0 à 65535). L'utilisation de ports permet de mélanger les accès de toutes sortes de logiciels de même fonction (pensez par exemple à Explorer et Netscape). L'application n'est donc plus caractérisé par son nom ou son type, mais bien par le numéro de port qu'il utilise. INTERNET utilise 2 types de ports: en TCP (cas le plus courant) ou en UDP

Dans le message, le numéro de la porte est inscrit en en-tête du message, avec l'adresse IP de départ et l'adresse IP de destination.

La liste des ports ci-dessous est utilisée pour le blocage (ou ouverture) des ports dans le cas de l'utilisation d'un firewall hardware. L'utilisation de pare-feux basés sous LINUX est identique.

20.2. Les classes d'adresses IP

Classe A Réseau Machine Machine Machine Adresses de 1.0.0.0 à 126.255.255.255. La plage 10.0.0.0. à 10.255.255.255 est privée.

128 domaines (réseau) et 16.777.216 machines de classe A par domaine

1.X.X.X.X, 2.X.X.X.X, ... Classe B Réseau Réseau Machine Machine

127.0.0.0 à 191.255.255.255. La plage 172.16.0.0. à 172.31.255.255 est privée

16.000 domaines et 65.536 Machines de classe B par domaine

127.0.X.X., 127.1.X.X., ... Classe C Réseau Réseau Réseau Machine

192.0.0.0 à 223.255.255.255. La plage 192.168.0.0. à 192.168.255.255 est privée

2.000.000 domaines et 254 machines de classe C par domaine

192.0.0.X, 192.0.1.X, 192.0.2.X, ... Classe D 234.0.0.0 à 239.255.255.255 Multicast

Page 65: la securite

Classe E 240.0.0.0 à 247.255.255.255 Expérimentale

Les adresses terminant par 0 et 255 ne sont pas utilisables.

Remarque, la classe d'adresse 169.254.XXX.XXX n'est pas utilisable dans un réseau interne pour un partage Internet, cette plage d'adresse particulière ne l'accepte pas même si elle est souvent donnée par défaut par DHCP de Windows.

20.3. Les ports TCP.

20.3.1 Ports à ouvrir en sortie (Lan -> Wan)

En vert, la liste des ports qui doivent être ouverts. En jaune, ceux qui peuvent être ouverts dans certains cas précis. En rouge, ceux qui doivent impérativement être fermés vers INTERNET. Tous les autres doivent être fermés, sauf cas exceptionnels.

Port TCP Service Description

0 utilisé pour la détection de site, doit être ouvert sur toute la plage d'entrée

20 Port de données FTP 21 Port de contrôle FTP 23 Telnet 25 SMTP Courrier sortant 70 Gopher protocol 80 World Wild Web navigation sur Internet 110 POP3 (Post Office Protocol) Courier entrant

443 Navigation sur certains sites sécurisés

8080 Proxy de skynet

le port peut varier d'un fournisseur à l'autre, doit être ouvert sur toute la plage d'adresse 0 à 255.255.255.255

22 SSH remote login protocole utilisé dans certaines applications de connexion à distance

53 Domain Name Server (DNS)

Nécessaire pour détecter si l'adresse IP correspond à une adresse valide, généralement fermé. Ce port est utilisé identiquement en UDP et IP (UDP doit être ouvert en sortie). Le port doit être ouvert à l'intérieur du réseau interne et peut être fermé à

Page 66: la securite

l'extérieur (Internet)

68 DHCP Utilisé pour une configuration automatique des adresses IP

119 utilisé par les news

143 protocole de courrier sécurisé IMAP 3

220 protocole de courrier sécurisé IMAP 4

1863 MSN Messenger Envoyer et recevoir les messages

7000-7099 logiciel bancaire ISABEL suivant une adresse TCP/IP locale de départ et une adresse finale (le site).

137 Netbios Name Service 138 NetBios 139 NetBios

Permet le partage de fichiers et d'imprimantes et donc d'utiliser ce partage via INTERNET

445 Netbios Fonctionnalité supplémenataire implantée à partir de Windows 2000 (pas millenium)

Les ports UDP 137, 138 et 139 sont utilisés dans le cas de partages de ressources dans les systèmes d'exploitation Windows. Lorsqu'une station établit une connexion à un répertoire partagé sur une autre machine, le nom NetBios de la machine serveur est mis en correspondance avec son adresse IP. Puis la station établit une connexion TCP vers la machine serveur en utilisant le port TCP 139. Pour finir, la station envoie une demande de session NetBios à la machine serveur. Si le serveur est à l'écoute, il répondra à la requête et la session NetBios sera établie. Par contre, si le serveur ne répond pas ou que la station serveur est éteinte, la session tentera d'établir une connexion vers d'hypothétiques serveurs externes (sur INTERNET). Le port 138 est utilisé pour l'échange de données vers un ou plusieurs noms NetBios regroupés sous une liste d'adresses IP ou dans une liste de diffusion.

20.3.2. Les ports en entrée (Wan -> Lan)

Port TCP Service Description

0 utilisé pour la détection de site, doit être ouvert sur toute la plage d'entrée

20 Port de données FTP 21 Port de contrôle FTP

Transfert de fichiers des sites

23 Telnet

Page 67: la securite

25 SMTP Courrier sortant 53 Domain Name Server (DNS) 80 World Wild Web navigation sur Internet 110 POP3 (Post Office Protocol) Courier entrant

443 Navigation sur certains sites sécurisés

8080 Proxy de skynet

le port peut varie d'un fournisseur à l'autre, doit être ouvert sur toute la plage d'adresse 0 à 255.255.255.255

22 SSH remote login protocole utilisé dans certaines applications de connexion à distance

53 Domain Name Server (DNS)

Nécessaire pour détecter si l'adress IP correspond à une adresse valide, généralement fermé. Ce port est utilisé identiquement en UDP et IP. Il doit normalement être fermé en entrée sur le réseau interne.

70 Gopher protocol 119 utilisé par les news

143 protocole de courrier sécurisé IMAP 3

220 protocole de courrier sécurisé IMAP 4

1863 MSN Messenger Envoyer et recevoir les messages

7000-7099 logiciel bancaire ISABEL suivant une adresse TCP/IP locale de départ et une adresse finale (le site).

68 DHCP Utilisé pour une configuration automatique des adresses IP

137 Netbios Name Service 138 NetBios 139 NetBios

Permet le partage de fichiers et d'imprimantes et donc d'utiliser ce partage via INTERNET

445 Netbios Fonctionnalité supplémentaire implantée à partir de Windows 2000 (pas millenium)

Le port 68 est ici fermé.

20.4. Ports UDP En sortie, tous les portspeuvent être fermés.

Page 68: la securite

Port UDP entrée

Service Description

0 53

Utilisé pour la détection des sites lors de la navigation

68 DHCP

Utilisé pour une configuration automatique des adresses IP, normalement à fermer pour INTERNET, pas à l'intérieur du réseau

Je vous renvoie aux sites spécialisés pour la signification des autres ports IP et UDP