1 / 59

Les Listes de Controle d'Accès (ACCESS-LISTS)

Les Listes de Controle d'Accès (ACCESS-LISTS). 1. Généralités Listes de Controle d'Accès 2. Sécuriser l'accès au routeur 3. Dynamic Access-List - Lock and Key 4. Filtrage de sessions 5. CBAC (Context Based Access Control) 6. Alternative au Listes de Controle d'Accès. Les Access Lists.

tamika
Download Presentation

Les Listes de Controle d'Accès (ACCESS-LISTS)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Les Listes de Controle d'Accès(ACCESS-LISTS)

  2. 1. Généralités Listes de Controle d'Accès2. Sécuriser l'accès au routeur3. Dynamic Access-List - Lock and Key4. Filtrage de sessions5. CBAC (Context Based Access Control)6. Alternative au Listes de Controle d'Accès

  3. Les Access Lists • Généralités • Une Liste d'Accès est une séquence d'actions d'autorisation (permit) ou d'interdiction (deny) sur des adresses ou des protocoles de couches supérieures.• Il existe différents types de Liste d'Accès: - Standard (Standard) - Etendue (Extended) - Nommée (Named) - Dynamiques Transmission de paquetssur l'interface AccèsLigne Terminal virtuel(IP) Liste d'Accès

  4. Les Access Lists • Les numéros de Listes d'Accès

  5. Les Access Lists • La syntaxe des Listes d'Accès Router(config)#access-list access-list-number {deny|permit}source [source-widcard] [log] Router(config)#access-list access-list-number {deny|permit}source [source-widcard] destination destination-wildcard[precedence precedence] [tos tos] [established] [log][time-range time-range-name]

  6. Les Access Lists • Les Listes d'Accès nommées • Les Access-Lists nommées ne sont pas compatibles avec les releases inférieures à la Release IOS 11.2.• Un nom ne peut pas être utilisé pour plusieurs type d'Access-lists.• Usuellement, seuls les filtres de routes et de paquets peuvent utiliser les Access-lists nommées.• Utilisez no permit et no deny pour retirer des entrées individuelles de la liste RTA(config)#ip access-list extended WEBONLYRTA(config-ext-nacl)#permit tcp any 10.0.0.0 0.255.255.255 eq 80RTA(config-ext-nacl)#deny ip any 10.0.0.0 0.255.255.255 RTA(config-ext-nacl)#permit ip any anyRTA(config-ext-nacl)#^ZRTA#show access-listsExtended IP access list WEBONLY permit tcp any 10.0.0.0 0.255.255.255 eq www deny ip any 10.0.0.0 0.255.255.255 permit ip any any

  7. Les Access Lists • Rappels • Points à considérer avant de configurer des Listes de controle d'Accès 1. Les Listes d'accès nommées ne sont pas compatibles avec des releases IOS plus anciennes que IOS 11.2. 2. Toutes les Listes d'Accès n'acceptent pas un nom. Usuellement seules les Listes d'Accès de filtres de routes et de paquets sur des interfaces peuvent utiliser un nom. 3. Une Liste d'Accès standard et une Liste d'Accès étendue ne peuvent pas avoir le même nom.

  8. Les Access Lists • Configuration • Liste d'Accès standard • Definit une liste d'accès IP standard en utilisant un nom:router(config)# ip access-list standardname 1. Dans le mode de configuration access-list , spécifiez une ou plusieurs conditions permi ou deny:router(config-std-nacl)# deny| permit  {source [source-wildcard] | any}[log] 2. Exit access-list configuration mode:router(config-std-nacl)# exit

  9. Les Access Lists • Configuration • Liste d'Accès standard • Definit une liste d'accès IP étendue en utilisant un nom :router(config)#ip access-list extendedname 1. Dans le mode de configuration access-list , spécifiez une ou plusieurs conditions permit ou deny:router(config-ext-nacl)# deny | permitprotocol source source-wildcard destination destination-wildcard [precedenceprecedence] [tostos] [established] [log] [time-rangetime-range-name] 2. Sortie du mode de configuration access-list :router(config-ext-nacl)#exit

  10. Les Access Lists • Les "Time-based Extended Access-list" • •Utilisation d'une "time-based Access List" depuis l'IOS release 12.01(T) avec la commandetime-range• Bénéfice de l'utilisation de "Time based" Access List : • 1. Permet plus de controle sur l'autorisation d'accès à des ressources pour un utilisateur • 2. Fixe les politiques de sécurité "time-based" suivantes : • Périmètre de sécurité utilisant les fonctions "Cisco IOS Firewall" ou les Access Lists. • Confidentialité des données avec "Cisco Encryption Technology" ou IP Security Protocol (IPSec). • 3. Fonctions de politiques de routage et mise en file d'attente améliorées • 4. Efficacité pour le coût de reroutage automatique de trafic • 5. Supporte la qualité de service (QoS), service-level agreements (SLAs) • quand les fournisseurs de service peuvent changer dynamiquement le Committed Access rate (CAR).6. Controle des messages de "logging"

  11. Les Access Lists • Les "Time-based Extended Access-list" • Configuration 1. Definir un nom d'intervalle de temps:router(config)#time-rangetime-range-name 2. Utilisez les commandes periodic et absolute:router(config-time-range)# periodicdays-of-the-week hh:mmto[days-of-the-week] hh:mmrouter(config-time-range)# absolute [start time date] [end time date] 3. Sortie du mode de configuration intervalle de temps:router(config-time-range)#exit

  12. Les Access Lists • Les "Time-based Extended Access-list" • Configuration - Exemple • Seules les listes d'accès nommées ou étendues IP et IPX peuvent utiliser des intervalles de temps.• Dans la configuration ci-dessous, RTA est configuré avec la liste-d'accès nommée STRICT et deux intervalles de temps, NO-HTTP et UDP-YES: - L'instruction deny empêche le trafic web les jours de la semaine de 8h à 18h. - L'instruction permit autorise le trafic UDP le week-end de 12h à 20h RTA(config)#time-range NO-HTTPRTA(config-time-range)#periodic weekdays 8:00 to 18:00RTA(config-time-range)#exitRTA(config)#time-range UDP-YESRTA(config-time-range)#periodic weekend 12:00 to 20:00 RTA(config-time-range)#exit RTA(config)#ip access-list extended STRICTRTA(config-ext-nacl)#deny tcp any any eq http time-range NO-HTTPRTA(config-ext-nacl)#permit udp any any time-range UDP-YESRTA(config-ext-nacl)#deny udp any any range netbois-ns netbios-ssRTA(config-ext-nacl)#permit ip any any

  13. Les Access Lists • Configuration de commentaires • Rend la configuration des ACLs plus facile à lire• Disponible depuis la release 12.0.2(T) de l'IOS Cisco• Commande: - router(config)#access-list access-list number remark remark- router(config-std-nacl)#remarkremark RTA(config)#access-list 101 remark Autorise Admin Sous-réseau Telnet vers ServeursRTA(config)#access-list 101 permit tcp 192.168.1 0.0.0.255 172.16.1.0 0.0.0.255 eq 23 RTA(config)#access-list 101 deny tcp any 172.16.1.0 0.0.0.255 eq 23 RTA(config)#access-list 101 remark autorise SNMP pour Admin du host uniquement RTA(config)#access-list 101 permit udp host 192.168.1.250 any eq 161 RTA(config)#access-list 101 deny udp any any eq 161RTA(config)#access-list 101 permit ip any any

  14. Les Access Lists • Appliquer des Access-Lists • Les listes de contrôle d'accès sont appliquées à: - Une ou plusieurs interfaces - Pour du trafic entrant ou sortant• Rappelez-vous que vous pouvez appliquer un liste de contrôle d'accès par protocole, par interface et par direction (in ou out)• Les Accès-List en sortie demandent moins de temps CPU que les listes d'accès en entrées et par conséquent sont préférables.• Commande: - Router(config-if)#ip access-group access-list-number | access-list-name in|out

  15. Les Access Lists • Appliquer des Access-Lists • Sécuriser l'accès au routeur - Les ports "Terminal virtuel" • Les listes d'accès étendues peuvent être utilisées pout bloquer Telnet (TCP 23) - Doivent être configurées pour chaque interface IP sur le routeur• Appliquer une liste d'accès standard aux lignes vty est un meilleur choix. PortPhysique (E0) 4 0 1 3 2 PortsVirtuels(vty 0-4) • RTA(config)#access-list 5 permit 200.100.50.0 0.0.0.255• RTA(config)#access-list 5 permit host 192.168.1.1• RTA(config)#line vty 0 4• RTA(config-line)#access-class 5 in

  16. Les Access Lists • Appliquer des Access-Lists • Sécuriser l'accès au routeur - Accès au Serveur Web IOS • RTA(config)#access-list 17 permit 202.206.100.0 0.0.0.255 RTA(config)#ip http server RTA(config)#ip http access-class 17• L'application d'une access-class à un serveur HTTP IOS ne nécessite pas le mot clé in car ce service accepte uniquement des connexions entrantes.

  17. Les Access Lists • Listes d'accès dynamiques - Lock and Key • Fonctionnalité IOS qui permet aux utilisateurs d'ouvrir temporairementune porte dans un pare-feu sans compromettre les restrictions de sécurité configurées.• Est configuré en utilisant un type de liste d'accès étendue appelé liste d'accès dynamique.• Les utilisateurs "Lock and Key" sont typiquement des utilisateurs avec privilèges ou des administrateurs système.• Les listes d'accès dynamiques permettent à des utilisateurs désignés d'obtenir un accès temporaire à des ressources à partir d'une adresse IP quelconque ou à partir d'une adresse IP spécifique que vous choisissez.

  18. Les Access Lists • Listes d'accès dynamiques - Lock and Key 1. Vous voulez permettre à un utilisateur ou à un groupe d'utilisateurs d'accéder de manière sécurisée à un host de votre réseau protégé via Internet. - "Lock-and-Key" authentifie l'utilisateur permet un accès limité au travers de votre routeur pare-feu mais uniquement pour ce host ou ce sous-réseau et pour une durée déterminée.2. Vous voulez que certains utilisateurs d'un réseau distant accèdent à un host du réseau d'entreprise protégé par un pare-feu. - "Lock and Key" requiert l'authentification des utilisateurs avant d'autoriser l'accès à des hosts protégés.

  19. Les Access Lists • Listes d'accès dynamiques - Lock and Key • Fonctionnement Serveur Ouvrir une session Telnet depuis 10.1.1.1 Permit 10.1.1.1 pour toute adresse IP jusqu'à ce que le temps permis soit écoulé Username, Password ? 10.1.1.1 Utilisateur Claire, Password Csecret Utilisateur Claire valide Fermeture de la session Telnet

  20. Les Access Lists • Listes d'accès dynamiques - Lock and Key • Fonctionnement Site d'entreprise Site distant 1. Initiation du Login2. Challenge3. Réponse5. Données IOS Cisco IOS Cisco 4. Liste d'accès Internet ServeurdeFichiers ServeurTACACS+

  21. Site d'entreprise Site distant 1. Initiation du Login2. Challenge3. Réponse5. Données IOS Cisco IOS Cisco 4. Liste d'accès Internet ServeurdeFichiers ServeurTACACS+ Les Access Lists • Listes d'accès dynamiques - Lock and Key • Fonctionnement 1. L'utilisateur ouvre une session Telnet vers un routeur pare-feu configuré pour "Lock and Key"

  22. Site d'entreprise Site distant 1. Initiation du Login2. Challenge3. Réponse5. Données IOS Cisco IOS Cisco 4. Liste d'accès Internet ServeurdeFichiers ServeurTACACS+ Les Access Lists • Listes d'accès dynamiques - Lock and Key • Fonctionnement 2.IOS sur Routeur a- Le routeur reçoit un paquet Telnet b- Le routeur ouvre une session Telnet c- Le routeur demande un nom d'utilisateur et un mot de passe d- Le routeur réalise l'authentification avec le serveur TACACS+ e- Si l'authentification est réussie, la connexion Telnet est libérée f- L'IOS Cisco crée une entrée temporaire dans la liste d'accès dynamique

  23. Site d'entreprise Site distant 1. Initiation du Login2. Challenge3. Réponse5. Données IOS Cisco IOS Cisco 4. Liste d'accès Internet ServeurdeFichiers ServeurTACACS+ Les Access Lists • Listes d'accès dynamiques - Lock and Key • Fonctionnement 3.L'utilisateur échange des données à travers le pare-feu

  24. Site d'entreprise Site distant 1. Initiation du Login2. Challenge3. Réponse5. Données IOS Cisco IOS Cisco 4. Liste d'accès Internet ServeurdeFichiers ServeurTACACS+ Les Access Lists • Listes d'accès dynamiques - Lock and Key • Fonctionnement 4. L'IOS efface l'entrée temporaire de la liste d'accès quand une durée configurée est atteinte ou lorsque l'administrateur efface cette entrée. - La durée peut un temps donné ou une valeur absolue. - L'entrée temporaire de la liste d'accès n'est pas automatiquement effacée lorsque l'utilisateur termine la session .

  25. Les Access Lists • Listes d'accès dynamiques - Lock and Key • Configuration • Définition d'une liste d'accès dynamique• RTA(config)#access-list 101 permit tcp any host 192.168.1.1 eq telnetRTA(config)#access-list 101 dynamic UNLOCK timeout 120 permit ip any anyRTA(config)#int s0 RTA(config-if)#ip acces-group 101 in•timeout xxx dans cette commande est un timeout absolu

  26. Les Access Lists • Listes d'accès dynamiques - Lock and Key • Configuration - Authentification • Utilisation de sa propre base de données locale ou centrlisée sur un serveur RADIUS ou TACACS+.• Configuration utilisant une base de données locale pour l'authentification - RTA(config)#username scoupy password bert RTA(config)#line vty 0 4 RTA(config-line)#login local• L'étape finale pour configurer "Lock and Key" est d'autoriser le routeur à créer une entrée d'accès temporaire dans la liste d'accès dynamique. - router#access-enable [host] [timeout minutes] - La valeur "idle timeout" (dans cette commande) doit être inférieur à la valeur absolue du timeout.• Configuration des lignes VTY - RTA(config)#line vty 0 4 RTA(config-line)#autocommand access-enable host timeout 20 - autocommand access-enable : L'accès au travers du pare-feu est crée chaque fois que l'utilisateur s'authentifie via Telnet.

  27. Host B Host A SYN SYN ACK ACK Les Access Lists • Filtrage de sessions • Comment autoriser le trafic permis à entrer et le interdire le trafic non autorisé • Filtrage du trafic basé 6 bits de code TCP : - URG (Urgent) - PSH (Push) - RST (Reset) - FIN (Finish) - ACK (Acknowledgement) - SYN (Synchronization)• Les hosts utilisent TCP pour établir une connexion en trois étapes. Cet échange utilise les bits SYN et ACK.• La liste d'accès étendue peut vérifier si un paquet fait partie d'une connexion déjà établie (Established - Bits ACK ou RST à 1)

  28. Les Access Lists • Filtrage de sessions • Argument "Established" • established argument utilisé avec le mot clé TCP dans une liste d'accès étendue (UDP, ICMP et tous les autres protocoles ne peuvent pas utiliser cet argument)- router(config)#access-list access-list-number permit tcp source-address source-mask destination-address destination-mask established - Exemple: access-list 101 permit tcp any 192.168.1.0 0.0.0.255 establishedaccess-list 101 permit icmp any anyaccess-list 101 permit udp any any eq 53access-list 101 deny ip any 192.168.1.0 0.0.0.255access-list 101 permit ip any any

  29. Les Access Lists • Reflexive Acces-List - Les listes d'accès "Reflexive" permettent de filtrer le trafic du réseau sue la base des informations de session des protocoles situés au-dessus d'IP. • Comme pour l'argument established - Les listes d'accès "Reflexive": - Autorisent les sessions issues de l'intérieur du réseau. - Interdisent les sessions issues de l'extérieur du réseau. • Contrairement à l'argument established - Les listes d'accès "Reflexive": - Fonctionnent pour tous les protocoles et pas uniquement TCP. - Réalisent une correspondance dynamique entre le trafic entrant et les paramètres du trafic sortant . • Peuvent être définies uniquement avec les listes d'accès étendues nommées• Moyen très efficace pour sécuriser un réseau car elle évite la majorité des cas de "spoofing" ou de déni de service (DoS).• Fournit un controle accru sur le trafic entrant et simple à utiliser

  30. Les Access Lists • Reflexive Acces-List • Configuration interface Serial 1 description Accès à Internet via cette interface ip access-group filtresentrants in ip access-group filtressortants out!ip reflexive-list timeout 120!ip access-list extended filtresortants permit tcp any any reflect tcptraffic!ip access-list extended filtresentrants permit bgp any any permit eigrp any any deny icmp any any evaluate tcptraffic 1. Crée la liste d'accès

  31. Les Access Lists • Reflexive Acces-List • Configuration interface Serial 1 description Accès à Internet via cette interface ip access-group filtresentrants in ip access-group filtressortants out!ip reflexive-list timeout 120!ip access-list extended filtresortants permit tcp any any reflect tcptraffic!ip access-list extended filtresentrants permit bgp any any permit eigrp any any deny icmp any any evaluate tcptraffic 1. Crée la liste d'accès2. Crée le filtre

  32. Les Access Lists • Reflexive Acces-List • Configuration interface Serial 1 description Accès à Internet via cette interface ip access-group filtresentrants in ip access-group filtressortants out!ip reflexive-list timeout 120!ip access-list extended filtresortants permit tcp any any reflect tcptraffic!ip access-list extended filtresentrants permit bgp any any permit eigrp any any deny icmp any any evaluate tcptraffic 1. Crée la liste d'accès2. Crée le filtre3. l'applique à une interface

  33. Les Access Lists • Reflexive Acces-List • Fonctions des listes d'accès "Reflexive" • Les listes d'accès "Reflexive" contiennent des critères pour définir des accès ou entrées conditionnelles et temporaires. - Création d'une nouvelle session depuis l'intérieur du réseau et fermeture de celle-ci quand elle se termine.• Evaluation de ces entrées en séquence et lorsqu'une correspondance est trouvée, l'évaluation est terminée.• Difficile à tromper car plusieurs critères de filtrage sont vérifiés avant de permettre l'accès

  34. Les Access Lists • Reflexive Acces-List • Caractéristiques d'une entrée temporaire • Toujours une entrée de type "permit"• Spécifie le même protocole que le paquet original sortant• Spécifie les mêmes ports source et destination (TCP et UDP) que le paquet original sortant, sauf que les numéros de ports sont croisés.• Pour les protocoles qui n'ont pas de numéros de ports tel ICMP et IGMP d'autres critères sont spécifiés. Par exemple le type de paquet pour ICMP.• Le trafic entrant est évalué avec l'entrée de la liste d'accès "Reflexive" jusqu'à ce que cette entrée expire. Si le paquet entrant correspond avec les critères de l'entrée celui-ci est acheminé dans le réseau.• L'entrée expirera lorsque le dernier paquet de la session passera sur l'interface.• Si aucun paquet pour cette session n'est détecté pendant une durée déterminée (timeout) l'entrée expire. Les entrées temporaires de la liste d'accès "Reflexive" sont effacées en fin de session.

  35. Les Access Lists • Reflexive Acces-List • Exemple Externe Interne • Les listes d'accès "Reflexive" sont configurées sur l'interface externe Serial 1 Serial1 Internet Reflect (Entrée) Evalue • Ceci évite que du trafic IP entre par le routeur et dans le réseau interne sans qu'une session soit déjà établie depuis l'intérieur du réseau

  36. Les Access Lists • Reflexive Acces-List • Exemple Externe Interne • Les listes d'accès "Reflexive" sont configurées sur l'interface interne Ethernet0 Internet Ethernet0 Reflect (Entrée) ServeurWeb ServeurDNS DMZ Evalue • Ceci autorise le trafic externe à accéder aux services de la DMZ,tels le DNS, mais évite que du trafic IP entre par le routeur et dans le réseau interne sans qu'une session soit déjà établie depuis l'intérieur du réseau.

  37. Les Access Lists • Reflexive Acces-List • Commandes de configuration 1. Définition d'une liste d'accès étendue nommée qui sera appliquée à l'interface de sortie.Router(config)#ip access-list extended extended-list-name2. Configuration de la liste d'accès étendue nommée pour une entrée décrivant du trafic.Router(config-ext-nacl)#permit ip-protocol any any reflect name [timeout seconds] 3. Application de la liste d'accès à l'interface de sortieRouter(config-if)#ip access-group extended-list-name out

  38. Les Access Lists • Reflexive Acces-List • Commandes de configuration 4. Définition d'une liste d'accès étendue nommée qui va filtrer le trafic entrant.Router(config)#ip access-list extended extended-list-name5. Configuration cette liste d'accès étendue nommée pour évaluer le trafic entrant.Router(config-ext-nacl)#evaluate name

  39. Les Access Lists • Reflexive Acces-List • Commandes de configuration 6. Application de la liste d'accès étendue nommée à l'interface externe pour du trafic entrant.Router(config-if)#ip access-group extended-list-name in7. (Option) Spécification d'un timeout global pour les entrées de la liste d'accès "Reflexive".Router(config)#ip reflexive-list timeout seconds • Les entrées des listes d'accès "reflexive" expirent si aucun paquet pour la session n'a été détecté pendant une durée prédéterminée.• Le timeout global par défaut est de 300 sec.

  40. Les Access Lists • Reflexive Acces-List • Exemple de configuration Reflect S0 E0 Internet Evaluate • Création de la liste d'accès "reflexive"- RTA(config)#ip access-list extended SORTIE- RTA(config-ext-nacl)#permit ip any any reflect Trafic_permis - RTA(config-ext-nacl)#exit - RTA(config)#interface serial0 - RTA(config-if)#ip access-group SORTIE out• Création d'une liste d'accès qui correspond au trafic entrant- RTA(config)#ip access-list extended ENTREE - RTA(config-ext-nacl)#evaluate Trafic_permis- RTA(config-ext-nacl)#exit - RTA(config)#interface serial0 - RTA(config-if)#ip access-group ENTREE in• Si on le désire, un timeout global peut être fixé- RTA(config)#ip reflexive-list timeout 200

  41. Le controle d'accès CBAC • Context-Based Access Control • Context-Based Access Control est un ensemble d'outils pour la sécurité• Le filtrage de paquet par CBAC se fait après l'examen des en-têtes des couches 3 et 4• CBAC fait partie de la fonctionnalité Pare-feu de l'IOS Cisco - Disponible dès l'IOS 11.2 - Des fonctions ont été ajoutées à CBAC dans la Release 12.0.5(T) - La fonctionnalité de Pare-feu n'est pas disponible sur toutes les plateformes• CBAC c'est: - Plus qu'une liste d'accès améliorée - Un ensemble d'outils de sécurité qui inclut: - Filtrage de trafic - Blocage Java - Inspection de trafic - Traçage d'alerte et audit - Détection d'intrusion

  42. Le controle d'accès CBAC • Context-Based Access Control • CBAC a été conçu pour reconnaître un certain nombre de protocoles applicatifs qui permettent à des hosts externes de changer de port pendant le transfert d'informations.• CBAC trace l'état des connexions TCP et UDP incluant les numéros de ports et adresses IP de chaque extrémité.• Quand le trafic d'un réseau externe tente d'entrer dans le réseau protégé, CBAC vérifie le trafic avec la table d'états pour être certain que le paquet fait partie d'une connexion déjà établie ou autorisée. • CBAC examine le paquet pour déterminer quel protocole applicatif est utilisé.• CBAC supporte les protocoles utilisant plusieurs ports. La majorité des protocoles multimédia de type "streaming" et d'autres protocoles (FTP, RPC et SQL*Net) utilise plusieurs ports.

  43. USER1 1. L'utilisateur User1 initie une session Telnet 3. Autre trafic Telnet bloqué S0 2. Trafic retour de l'utilisateur User1, session Telnet permise E0 S1 Pare-feu Réseau interne protégé Le controle d'accès CBAC • Context-Based Access Control • Fonctionnement

  44. Le controle d'accès CBAC • Context-Based Access Control • Fonctionnement 1. L'utilisateur User1 initie une session Telnet USER1 3. Autre trafic Telnet bloqué 2. Trafic retour de l'utilisateur User1, session Telnet permise S0 S1 E0 Pare-feu Réseau interne protégé • Ouverture temporaire sur les interfaces du pare-feu. Ces ouvertures sont crées quand du trafic reconnu existe dans le réseau interne.• Ces ouvertures permettent au trafic retour de passer le pare-feu et à des ports additionnels d'entrer dans le réseau interne en retour au travers du pare-feu• Le trafic en retour est autorisé au travers du pare-feu uniquement si celui-ci fait partie de la même session que le trafic original reconnu par CBAC et sortant par le pare-feu.

  45. Le controle d'accès CBAC • Context-Based Access Control • Fonctionnement 1. L'utilisateur User1 initie une session Telnet USER1 Les listes d'accès en entréesur S0 et S1 sont configuréespour bloquer le trafic TelnetPas de listes d'accès configuréesen sortie sur E0 3. Autre trafic Telnet bloqué 2. Trafic retour de l'utilisateur User1, session Telnet permise S0 S1 E0 Pare-feu Réseau interne protégé • L'utilisateur USER1 initie une session Telnet au travers du pare-feu, CBAC crée une ouverture temporaire dans la liste d'accès sur S0 pour permettre le trafic Telnet en retour pour la session Telnet de l'utilisateur USER1.• Si nécessaire, CBAC créera une ouverture similaire dans la liste d'accès en sortie sur E0 pour permettre le trafic retour.

  46. Le controle d'accès CBAC • Context-Based Access Control • Fonctionnement • Il est nécessaire de spécifier quels protocoles vous voulez inspecter• Spécifiez une interface et le sens (Entrée ou Sortie) sur laquelle l'inspection est réalisée.• Seuls les ports de contrôle des connexions sont inspectés et supervisés par CBAC - Sessions FTP : Le port de commande (port 21) et le port des données (port 20) sont supervisés pour les états - Seul le port 21 est inspecté.• CBAC détecte et évite des attaques au niveau applicatif (Denial os Service -DoS) - CBAC inspecte les numéros de séquence des segments TCP pour vérifier si ceux-ci sont bien dans l'intervalle attendu. - CBAC élimine tout paquet suspect. Vous pouvez configurer CBAc pour qu'il élimine les connexions à demi ouvertes - CBAC peut détecter un taux inhabituel très élevé de nouvelles connexions et générer un message d'alerte. • Avec UDP, service en mode non connecté, il n'y a pas de session. Le paquet UDP est repéré par Adresse Source/destination et ports source/destination. - CBAC détermine si l'espacement de paquets UDP similaires est correct - Timeout configurable

  47. Le controle d'accès CBAC • Context-Based Access Control • Où et quand configurer CBAC? • CBAC ne peut pas filtrer tous les protocoles applicatifs (ports TCP/UDP)• CBAC dans une direction: - Sur une seule interface• CBAC dans deux ditrections sur un ou plusieurs interfaces: - Configuré dans deux directions quand les réseaux de chaque côté du pare-feu doivent être protégés.• CBAC peut filtrer toutes les sessions TCP/UDP sans inspecter les protocoles applicatifs• CABC est disponible uniquement pour du trafic IP ( ICMP ne peut pas être inspecté par CBAC)••• • CU-SeeMe (version Whie Pine)• FTP• H323 ( NetMeeting, ProSgare,..)• Http (blocage Java)• Java• Microsoft NetShow • UNIX commands "r" (rlogin, rexec, rsh)• RealAudio• RPC (Sun RPC pas DCE RPC)• Microsoft RPC• SMTP (Simple Mail Transfer Protocol)• SQL*Net• SreamWorks• TFTP (Trivial File Transfer Protocol) • VDOLive

  48. Le controle d'accès CBAC • Context-Based Access Control • Choisir une interface • Il faut décider de configurer CBAC sur une interface interne ou externe du pare-feu - "Interne" fait référence au côté par lequel les sessions sont initiées pour que leur soit autorisé à traverser le pare-feu - "Externe" fait référence au côté opposé au côté interne. Les sessions ne sont jamais initiées du côté Externe (elles seront bloquées).• Si CBAC est configuré pour les deux directions, il faut configurer un sens en premier. - Quand vous configurez CBAC pour l'autre direction, les désignations d'interface seront échangées.• CBAC utilise deux topologies de base : - Avec et sans DMZ (Demilitarized Zone)

  49. Le controle d'accès CBAC • Context-Based Access Control • Choisir une interface Interne Externe • CBAC est configuré sur l'interface S0 ce qui empêche l'ouverture d'une session depuis l'extérieur Internet RA S0 E0 FiltreCBAC Interne Externe • La DMZ (Demilitarized Zone) est définie et son accès se fait par E1.• La DMZ contient des services accessibles par l'extérieur.• CBAC empêche l'entrée du trafic dans le réseau interne sauf si celui-ci a été initié depuis le réseau interne. Internet S0 RA DNS/MAIL E0 E1 DMZ HTTP FiltreCBAC

  50. Le controle d'accès CBAC • Context-Based Access Control • Conseils de configurations • Si votre pare-feu a seulement deux connexions: - Une vers le réseau Interne - Une vers le réseau Externe L'utilisation de listes d'accèsen entrée fonctionne très biencar les paquets sont bloquésavant d'avoir une chance d'affecter le routeur lui-même.

More Related