Professional Documents
Culture Documents
Il existePlusieurs solutions CISCO pour protger votre rseau : Le CISCO PIX FIREWALL L'IOS FIREWALL SOFTWARE LES OUTILS DE MONITORING
La gamme Cisco Secure PIX Firewall (ex-PIX Firewall) est une ligne d'appareils de scurisation hautes performances, faciles installer et intgrant composants matriels et logiciels. Elle vous permet de protger votre rseau interne du monde extrieur et offre toutes les garanties de scurit d'un pare-feu de rseau.
Spcifications Techniques
Caractristiques PIX Firewall PIX Firewall PIX Firewall 515R 515UR 520
Sessions simultanes
50 000
100 000
Interfaces
2 ports Ethernet
Slots PCI
Connexions 10/100
RAM
32 MB
64 MB
128 MB
Vitesse du processeur
200 Mhz
200 Mhz
350 Mhz
Dimensions (cm) (H x L x P)
4,37x42,72x29,97
4,37x42,72x29,97
13,3x42,72x44,5
Catgorie de service
12
12
12
Prsentation des interfaces 1 port ethernet 10/100 inside = port 1 1 port ethernet 10/100 outside = port 2
LA REDONDANCE: le failover
Exemples de configurations
2 Interfaces sans NAT - (configuration basique)
When you first add a PIX Firewall to an existing network, it is easiest to implement its use if you do not have to renumber all the inside and outside IP addresses. The configuration in Figure 5-1 illustrates this scenario. Syslog is enabled to facilitate troubleshooting. All inside hosts can start connections. All external hosts are blocked from initiating connections or sessions on inside hosts. If you use Inter-NIC registered IP addresses, only use those addresses that you own.
Description PIX Firewall provides nameif and interface command statements for the interfaces in the default configuration.
ip address outside 192.150.50.3 255.255.255.0 ip address inside 172.31.2.100 255.255.255.0 hostname pixfirewall
Specifies the host name for the PIX Firewall. This name appears in the command line prompt. Sets the ARP timeout to 14,400 seconds (four hours). Entries are kept in the ARP table for four hours before they are flushed. Four hours is the standard default value for ARP timeouts. Disables failover access. Enables use of text strings instead of IP addresses. This makes your
no failover names
Enables paging so that if when 24 lines of information display, PIX Firewall pauses the listing and prompts you to continue. Enables syslog messages, which provide diagnostic information and status for the PIX Firewall. PIX Firewall makes it easy to view syslog messages with the show logging command. Lets inside IP addresses be recognized on the outside network and lets inside users start outbound connections. Sets RIP listening attributes. The first command causes the PIX Firewall to broadcast a default route on the inside interface. Broadcasting a default route sends network traffic to the PIX Firewall if your internal network is running RIP. The next command disables passive RIP listening on the inside. The next command disables broadcasting a default route on the outside. This is desirable when the network is attached to the Internet, but not when on an intranet. The last command disables passive RIP listening on the outside. Sets the outside default route to the router attached to the Internet.
nat (inside) 0 172.31.2.0 255.255.255.0 rip inside default no rip inside passive no rip outside default no rip outside passive
route outside 0.0.0.0 0.0.0.0 192.150.50.1 1 timeout xlate 3:00:00 conn 1:00:00 half-closed0:10:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server community public mtu outside 1500 mtu inside 1500
Default values for the maximum duration that PIX Firewall resources can remain idle until being freed. Additional users cannot make connections until a connection resource is freed either by a user dropping a connection or by an xlate and conn timer time out.
Specifies that SNMP information may be accessed by internal hosts that know the community string, but PIX Firewall does not send trap information to any host.
Description PIX Firewall provides nameif and interface command statements for the interfaces in the default configuration.
204.31.17.10 255.255.255.0 logging on logging host 10.1.1.11 logging trap 7 logging facility 20 no logging console arp timeout 600
The logging host command statement specifies which host runs a syslog server. This command also causes the PIX Firewall to start sending syslog messages to that host. The logging trap command statement sets syslog to send all possible messages to the syslog host. The no logging console command statement disables displaying messages to the console.
Set an ARP timeout to 600 seconds (10 minutes). Use this arp timeout command statement when you set up a network and change inside and outside host addresses often. Permit all inside users to start outbound connections using the translated IP addresses from the global pool.
nat (inside) 1 0.0.0.0 0.0.0.0 nat (inside) 2 192.168.3.0 255.255.255.0 global (outside) 1 204.31.17.25204.31.17.27 global (outside) 1 204.31.17.24 global (outside) 2 192.159.1.1192.159.1.254 conduit permit icmp any any outbound 10 deny 192.168.3.3 255.255.255.255 1720 outbound 10 deny 0 0 80 outbound 10 permit 192.168.3.3 255.255.255.255 80 outbound 10 deny 192.168.3.3 255.255.255.255 java outbound 10 permit
Create two pools of global addresses to let the nat command statements use the address pools for translating internal IP addresses to external addresses. Each pool is designated by the number from the nat command statement, in this case, 1 and 2.
Allow inbound and outbound pings. Create access lists to determine which hosts can access services. The first outbound command statement denies host 192.168.3.3from accessing H.323 (port 1720) services such as MS NetMeeting or InternetPhone. The next command statement denies all hosts from accessing the Web (port 80). The next two command statements permits host 192.168.3.3 to use the Web, but denies its users from downloading Java applets. The last outbound command statement permits host 10.1.1.11 access to the Web (at port 80) and to download Java applets. This permit command statement outweighs the previous deny regardless of the order in which the command statements are entered into the configuration.
Specify that the outbound group regulates the activities of inside hosts starting outbound connections.
The first command disables RIP listening on the outside interface. The second command disables broadcasting a default route on the outside. The third command enables RIP listening on the inside and the last command causes PIX Firewall to broadcast a default route on the inside interface.
Set the default route on the outside network to be 204.31.17.1. This is the IP address of the host connecting to the Internet.
aaa-server TACACS+ (inside) host 10.1.1.12 1q2w3e aaa authentication any inside 192.168.3.0 255.255.255.0 0 0 TACACS+ aaa authorization any inside 192.168.3.0 255.255.255.0 0 0
The aaa-server command specifies the IP address of the TACACS+ authentication server. The aaa authentication command statement specifies that users on network 192.168.3.0 starting FTP, HTTP, and Web connections from the inside interface be prompted for their usernames and passwords before being permitted to access these servers on other interfaces. The aaa authorization command statement lets the users on 192.168.3.0 access FTP, HTTP, or Telnet, and any TCP connections to anywhere as authorized by the AAA server. Even though it appears that the aaa commands let the PIX Firewall set security policy, the authentication server actually does the work to decide which users are authenticated and what services they can access when authentication is permitted. The static command statement creates a net static command statement, which is a static command statement for a Class IP address, in this case for IP addresses 204.31.19.1 through 204.31.19.254. The static command shows the use of the connection limit and the embryonic limit arguments. The maximum number of connections limits the number of connections a host can use. This command permits access to only 10 users and up to 30 SYNs (embryonic connections). Note that the static command's maximum connections option applies to both inbound and outbound connections. The conduit command statement lets users on the Internet send InternetPhone (port h323) requests to users on 192.168.3.x
static (inside, outside) 204.31.19.0 192.168.3.0 netmask 255.255.255.0 conduit permit tcp 204.31.19.0 255.255.255.0 eq h323 any
The static command statement with the conduit command statement establishes an externally visible IP address for Web access (port 80 in the conduit command statement).
Refine the accessibility of the static command by permitting Sun RPC over the UDP portmapper on port 111. Refer to the UNIX /etc/rpc file and the UNIX rpc(3N) command page for more information. Once you create a conduit for RPC, you can use the following command from outside host 204.31.17.17 to track down the activity of a PCNFSD on RPC 150001: rpcinfo -u 204.31.17.29 150001 Another use of RPC is with the following command to see the exports of 204.31.17.29 if you want to allow NFS mounting from outside in: showmount -e 204.31.17.29 Many protocols based on RPC, as well as NFS, are insecure and should be used with caution. Review your security policies carefully before permitting access to RPC.
conduit permit udp host 204.31.17.29 eq 2049 host 204.31.17.17 static (inside, outside) 204.31.17.30 10.1.1.3 netmask 255.255.255.255 10 10 conduit permit tcp host 204.31.17.30 eq smtp any
Permit NFS access, which occurs at port 2049 and provides access between the outside and inside, such that 204.31.17.17can mount 10.1.1.11.
Identify access to the 10.1.1.3 mail server through global address 204.31.17.30. The conduit permits any outside host access to the static via SMTP (port 25). By default, PIX Firewall restricts all access to mail servers to RFC 821 section 4.5.1 commands of DATA, HELO, MAIL, NOOP, QUIT, RCPT, and RSET. This occurs via the Mail Guard service which is set with the following default configuration command: fixup protocol smtp 25 Another aspect of providing access to a mail server is setting being sure that you have a DNS MX record for the static's global address, which outside users access when sending mail to your site.
Create access to port 113, the IDENT protocol. If the mail server has to talk to many mail servers on the outside which connect back with the now obsolete and highly criticized IDENT protocol, use this conduit command statement to speed up mail transmission. These commands specify that host 192.168.3.2 can receive SNMP events, which the PIX Firewall sends via syslog. The location and contact commands identify where the host is and who administers it. The community command describes the password in use at the SNMP server for verifying network access with the server.
snmp-server host 192.168.3.2 snmp-server location building 42 snmp-server contact polly hedra snmp-server community ohwhatakeyisthee telnet 10.1.1.11 255.255.255.255 telnet 192.168.3.0 255.255.255.0
These commands permit host access to the PIX Firewall console. The first telnet command permits a single host, 10.1.1.11 to access the PIX Firewall console with Telnet. The 255 value in the last octet of the netmask means that only the specified host can access the console. The second telnet command permits PIX Firewall console access from all hosts on the 192.168.3.0 network. The 0 value in the last octet of the netmask permits all hosts in that network access. However, Telnet only permits 16 hosts simultaneous access to the PIX Firewall console over Telnet.
Outils de configurations Il existe plusieurs moyens de configurer le PIX: - Le pix Wizard Setup (Attention il faut la version 5.0(3) de l'ios ). - Par interface CLI (via l'hyperterminal).
REFLASHAGE
MISE A JOUR d'un ios partir du routeur (sans unit floppy)
PIX BIOS (4.0) #0: Tue May 18 16:29:54 PDT 1999 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Flash boot interrupted. 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.1004 Use ? for help. monitor> monitor> monitor> help ? this help message address [addr] set IP address file [name] set boot file name gateway [addr] set IP gateway help this help message interface [num] select TFTP interface ping <addr> send ICMP echo reload halt and reload system server [addr] set server IP address tftp TFTP download timeout TFTP timeout trace toggle packet tracing monitor> monitor> monitor> address 172.31.112.35 address 172.31.112.35 monitor> interface 1 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.1004 monitor> server 172.31.112.1 server 172.31.112.1 monitor> monitor> file pixFWbin503.bin file pixFWbin503.bin monitor> monitor> tftp tftp pixFWbin503.bin@172.31.112.1 et la nouvelle version d'ios s'installe
Prsentation Gnrale
Le logiciel Cisco IOS Firewall tend et renforce les capacits de scurit de la plate-forme logicielle Cisco IOS en intgrant des fonctionnalits de pare-feu et de dtection d'intrusions pour protger votre primtre rseau. Le Cisco IOS Firewall ajoute des solutions de pointe, la fois plus souples et plus drastiques, aux dispositifs classiques d'authentification, de cryptage et de correction : filtrage en fonction des applications, authentification et habilitation dynamiques des utilisateurs, parade des attaques de rseau, blocage Java et alarmes en temps rel. Combin au logiciel Cisco IOS IPSec et d'autres technologies Cisco IOS comme le fractionnement en canaux L2TP et la qualite de service (QoS), le Cisco IOS Firewall constitue une solution complte pour la cration de rseaux privs virtuels (VPN). Le Cisco IOS Firewall est disponible sur les routeurs Cisco des gammes 800, 1600, 1700, 2500, 2600, 3600, 7100 et 7200.
Les oprations commerciales passant de plus en plus par les rseaux des entreprises, il devient indispensable d'intgrer des systmes de scurit leur structure mme. C'est cette seule condition que les politiques de scurit sont efficaces. La plate-forme logicielle Cisco IOS quipe plus de 80 % des routeurs de fdrateurs Internet ; ce titre, elle constitue l'lment le plus fondamental des infrastructures de rseau. Elle est la base de prdilection de toute solution de scurit des rseaux de bout en bout Internet, intranet et accs distant. Il est possible de protger cette plate-forme grce une option de scurisation parfaitement adapte, le logiciel Cisco Secure Integrated Software (ex-panoplie de fonctions Cisco IOS Firewall). Cette solution, qui offre de trs solides fonctions de pare-feu et de dtection des intrusions, s'allie aux fonctions traditionnelles de scurit de Cisco IOS pour protger votre primtre rseau. Elle ajoute des solutions de pointe, la fois plus souples et plus drastiques, aux dispositifs classiques d'authentification, de cryptage et de correction : filtrage en fonction des applications, authentification et habilitation dynamiques des utilisateurs, parade des attaques de rseau, blocage Java et alarmes en temps rel. Combines au logiciel Cisco IOS IPSec et d'autres technologies Cisco IOS comme le fractionnement en canaux L2TP et la qualit de service (QoS), le Cisco Secure Integrated Software constitue une solution complte et intgre pour rseau priv virtuel. Pour quels besoins ?
- Scurisation d'extranet, d'intranet et de connectivit Internet des bureaux et agences distants - Scurisation d'accs distant ou de transfert de donnes via une solution de VPN base sur Cisco IOS - Systme intgr de dtection d'intrusion en temps rel en complment d'un pare-feu existant ou d'un autre systme de dtection d'intrusions (NetRanger) - Politique de scurit et d'accs au rseau par utilisateur
Principales caractristiques
La panoplie de fonctions Cisco Secure IS constitue un pare-feu idal pour les rseaux Cisco ; pour les routeurs, il s'agit d'un moyen d'assouplissement et de scurisation. Les caractristiques essentielles sont dcrites dans le tableau 1.
Tableau 1 - Prsentation du Cisco Secure Integrated Software Caractristiques CBAC (Context-Based Access Control) Description
Fournit aux utilisateurs internes un contrle d'accs scuris par application, pour tout le trafic traversant par exemple les primtres entre les rseaux d'entreprise privs et Internet.
Cette fonction sentinelle dtecte, intercepte et corrige en temps rel la majorit des tentatives d'intrusion.
Authentification et habilitation dynamiques des utilisateurs pour les communications via LAN et par numrotation. Les administrateurs peuvent tablir des politiques de scurit distinctes pour chaque utilisateur grce la vrification des donnes par comparaison avec celles des protocoles
Dfend et protge les ressources du routeur contre les attaques courantes. Vrifie l'en-tte des paquets et supprime les paquets douteux.
Mappage dynamique des ports (Dynamic Port Mapping) Blocage des appliquettes Java
Cette fonction permet l'utilisation d'applications compatibles CBAC sur des ports non normaliss
Association au cryptage, au fractionnement en canaux et la qualit de service de Cisco IOS, pour scurisation des VPN. Canaux crypts sur le routeur, puissante scurit de primtre, administration avance de la bande passante, dtection des intrusions et validation au niveau service Interoprabilit garantie par la conformit aux normes
Consignation avec alarme des refus de service (ou autres cas critiques prconfigurs) ; la configuration est dsormais possible pour chaque application et chaque fonction
Analyse rtrospective
Dtail des oprations ; transmission de l'horodate des enregistrements, de l'identit des htes source et destination, des ports, des dures et des nombres totaux d'octets transfrs ; fonctions dsormais configurables individuellement et par application
Historiques d'vnements
Permet aux administrateurs d'analyser en temps rel les menaces potentielles ou les activits inhabituelles, en consignant sur un terminal de console ou sur un serveur syslog les messages d'erreur systme, avec indication du niveau de gravit et enregistrement de paramtres
supplmentaires.
L'outil de configuration est de type Assistant et guide l'utilisateur au cours de toutes les tapes de conception de rseau, d'adressage et de configuration des politiques de scurits ; il s'applique aux routeurs Cisco 1600, 1720, 2500, 2600 et 3600 ; il prend galement en charge les configurations de NAT et d'IPSec.
Interoprabilit avec les fonctions de la plate-forme logicielle Cisco IOS, avec application de politiques scuritaires au niveau du rseau
Listes de contrle d'accs (ACL) standards et tendues - contrle de l'accs des segments particuliers du rseau et dfinition du trafic autoris traverser ces segments. Verrou et cl-ACL dynamiques : accordent un accs temporaire, aprs identification (nom d'utilisateur/mot de passe), travers les pares-feu.
Permet de contrler l'accs utilisateur par adresse et interface IP, selon la politique de scurit.
Redondance et rsilience
Authentification de routeur
Rception assure par les routeurs d'informations de routage fiables provenant de sources dignes de confiance
Le contrle CBAC est plus sr que les solutions actuelles de listes ACL : pour laisser passer une session travers un pare-feu, il se base sur le type de l'application et dtermine si elle choisit entre plusieurs canaux pour acheminer le trafic de retour. Auparavant, pour autoriser le trafic d'applications avances, les administrateurs devaient crire des listes ACL permanentes ; celles-ci laissant les portes des pare-feu ouvertes en permanence, la plupart des administrateurs prfraient interdire ce type de trafic. Dsormais, avec le contrle d'accs CBAC, ils peuvent autoriser le trafic d'applications multimdia et autres en ouvrant le pare feu uniquement lorsque cela est ncessaire. Par exemple, si le contrle CBAC est configur pour autoriser Microsoft NetMeeting et qu'un utilisateur interne ouvre une connexion, le pare-feu laisse passer le trafic de retour. Mais si une source NetMeeting externe ouvre une connexion vers un utilisateur interne, le CBAC refuse l'accs et supprime les paquets.
mission d'alarme au serveur syslog ou l'interface d'administration centrale Cisco Secure Intrusion Detection System (NetRanger) Director ; rejet du paquet ; rinitialisation de la connexion TCP.
Cisco conu les fonctions de dtection logicielle des intrusions de Cisco Secure IS dans une optique d'adaptabilit, et a donc prvu une possibilit de dsactivation des signatures qui se rvleraient tre de fausses ennemies . Par ailleurs, l'administrateur
a la possibilit de dissocier le moteur de scurit CBAC, en installant les fonctions de dtection des intrusions sur un routeur et les fonctions pare-feu sur un autre (bien qu'il soit en principe prfrable qu'elles rsident sur la mme interface). La dtection logicielle des intrusions de Cisco est intgre aux pare-feu Cisco Secure IS livrs avec les routeurs Cisco des gammes 1720, 2600, 3600, 7100 et 7200. Toutes les plates-formes de routage quipes des fonctions Cisco Secure IS reconnaissent cinq des types d'attaque SMTP les plus courants.
Lorsqu'il souponne une attaque, le pare-feu Cisco Secure IS se met pister l'accdant en reprant tous les couples de ports et d'adresses source-destination utiliss. De plus, il consigne tous les dtails de l'opration en vue d'une future investigation.
La fonction d'authentification par proxy du Cisco Secure IS permet en outre l'authentification et l'habilitation pour les logiciels Cisco VPN clients.
Le Cisco Secure IS est entirement compatible avec les fonctions de la plate-forme logicielle Cisco IOS :NAT, protocoles de fractionnement en canaux VPN, CEF (Cisco Express Forwarding), extensions AAA, cryptage Cisco et Cisco IOS IPSec.
tous ceux qui ont besoin d'une solution tout en un combinant scurit, dtection des intrusions, authentification et habilitation des utilisateurs, fonctions VPN et routage multiprotocole. tous ceux qui cherchent un moyen conomique d'tendre leur scurit au primtre de tous leurs rseaux, y compris leur succursales, leurs intranets et leurs extranets. Aux petites et moyennes entreprises qui ont besoin d'un routeur efficace et hautement scuris. Aux clients des SP (Service Provider) dsirant dployer un routeur/pare-feu. Aux clients qui ont besoin de scuriser davantage certains segments de leurs rseaux (inter-organisations ou inter-partenaires). Aux organisations qui ont besoin de scuriser leurs connexions intranet. Aux succursales connectes un sige ou Internet. Aux clients dj utilisateurs de Cisco IOS et qui ne veulent pas d'un pare-feu hybride. Aux clients qui veulent renforcer les couches de protection de leurs rseaux.
Interface Bad (outside) Bad (outside) Bad (outside) Bad (outside) Bad (outside) Bad (outside)
IP Ports Destination Action Destination source-quench Accepter * parameter-problem Accepter * unreachable * Accepter time-exceeded Accepter * echo-reply * Accepter * * Refuser
N 1 2 3 4 5 6
Rgles n1-5 : Cette rgle permet certains messages ICMP entrant : rponse au traceroute (unreachable + time-exceeded) + rponse du ping (echo-reply) + messages d'erreurs (sourcequench, parameter-problem)
IP Destination *
Ports Destination *
Action Accepter
N 1
Rgles n1 : Dans un premier temps nous avons accepter TOUT TYPE de trafic sortant.
Nom LAN
Matriel :
Pix 506 : 8MB de mmoire Flash + 32M de RAM. 2 ports 10Mbps (10BaseT) Pas de failover Pas d'upgrade de la mmoire
Pix 515 : 16MB de mmoire Flash + 32M de RAM. Jusqu' 6 ports 10/100Mbps Failover (ssi licence UR)
Philosophie du PIX :
Avant propos :
Nota : Les diffrentes interfaces du PIX peuvent apprendre des routes via le protocole RIP, et toutes les interfaces peuvent faire un broadcast d'une route par dfaut RIP si ncessaire.
ASA (Adaptative Security Algorithm) = algorithme statefull de cisco : * Tout paquet sans connexion justifie est mis la poubelle * Le trafic venant d'une interface de niveau de scurit haut (inside) vers une interface de niveau bas (outside) est permis, sauf si des access-list limitent ce trafic (cf ci-aprs). * Le trafic entrant est interdit par dfaut.
Comprendre le PIX :
Par dfaut le PIX interdit toute communication initialise depuis une interface ayant un niveau de scurit bas vers une interface de niveau lev. Plus explicitement : Le PIX attribue par dfaut un niveau de scurit 0 pour l'interface connecte Internet, et un niveau 100 pour l'interface connecte au LAN. Ainsi on ne peut pas, par dfaut, ouvrir une connexion depuis l'Internet sur le LAN. Pour la DMZ (s'il y en a qu'une), on met un niveau de scurit 50. On ne peut donc pas ouvrir, par dfaut, de connexion depuis la DMZ sur le LAN ni de l'Internet sur la DMZ. Si l'on veut permettre l'accs depuis une interface de niveau de scurit bas sur une interface de niveau haut, il faut utiliser le tierc de commandes : static/access-list/accessgroup.
Par dfaut, le PIX permet tout le trafic depuis une interface ayant un niveau de scurit fort vers une interface de niveau faible. En fait le "par dfaut" n'est pas exacte. Il faut avant utiliser le couple de commandes nat/global. C'est l'aide ces commandes que l'on peut permettre les utilisateurs d'une interface ayant un niveau de scurit lev (inside) d'accder une interface de niveau plus bas (outside ou dmz). Ainsi, le LAN peut accder la DMZ et Internet. De mme, la DMZ peut accder l'Internet. Cet accs peut se faire sur tous les protocoles (sauf Netbios qui ncessite l'emploi de commandes spciales). Pour tre plus prcis il faut dire que le protocole NetBios est possible depuis l'interface inside vers l'interface outside. Pour les flux NetBios venant d'une interface DMZ (niveau de scurit compris entre 1 et 99), il faut utiliser des commandes spciales. Si on veut limiter ces accs, il faut utiliser le couple de commandes access-list/accessgroup.
Quand un paquet arrive sur l'interface interne (securit la plus haute), le PIX vrifie si le paquet est valide via son algorithme ASA. S'il s'agit d'une nouvelle connexion, le PIX cre une nouvelle entre dans sa table de translation (xlate). Cette table contient en temps rel une correspondance entre l'adresse IP interne ayant fait la requte, et l'adresse externe utilise pour sortir (NAT, PAT, ...). Le PIX change alors l'adresse source du paquet en y mettant l'adresse utilise pour le NAT Hide (commande global (outside)...). Il modifie aussi le checksum ainsi que d'autres champs ncessaires. Puis le PIX forward ce paquet sur l'interface externe (niveau le plus bas). Quand le paquet revient de l'extrieur, le PIX le passe dans la moulinette ASA, puis s'il accepte le paquet, remplace l'adresse de destination par l'adresse interne ayant originellement fait la requte.
Configurable Proxy Pinging : Permet d'interdire le ping des interfaces du PIX. Concernant ICMP : Il faut : interdire les messages ICMP unreachable (type 3). Ca c'est la thorie... Mais si on le fait on n'aura plus la rponse au traceroute... Je ne le conseille donc pas ! o dsactiver les messages ICMP Path MTU Discovery qui peuvent poser des problmes en cas de VPN Ipsec et PPTP.
o
Cut-Through Proxies : Permet un filtrage au niveau applicatif avec authentification des utilisateurs via un serveur AAA (ACS, ...). Pour cela, le PIX monte un proxy HTTP, FTP ou TELNET permettant l'utilisateur de s'authentifier.
DNS Guard : Protection des requtes DNS. En effet, quand on fait une requte DNS vers l'extrieur, si le premier DNS interrog est trop lent rpondre, la requte est transmise au second DNS rfrenc au niveau du poste client. Le DNS Guard garantie que dans tous les cas, nous ne recevront qu'une seule rponse d'un seul des DNS. Ainsi, mme si le premier DNS (lent) rpond aprs le second, sa rponse sera rejete. De plus, toutes requetes DNS (UDP:53) de plus de 512 octets sont droppes. Je rappelle que des requtes DNS (UDP:53) n'ont pas faire plus de 512 octets. Par contre lors de transfert de zone entre 2 DNS
(primaire/secondaire), la taille peut tre sup. 512 octets, mais les transferts de zone ne se font qu'en TCP et non en UDP.
Support Multimdia : Real Audio, Streamworks, CU-See-Me, Internet Phone, IRC, H.323, Vxtreme, VDO Live.
DHCP : le pix intgre un dmon DHCP seulement sur la patte LAN (inside). Une adresse IP est retire du pool d'adresses DHCP disponibles ssi le pix a reu un ping echo reply lors de l'affectation temporaire de l'adresse IP sur le poste client. En fait ds la pr-attribution d'une adresse IP, le PIX envoie un ping echo request sur le poste. S'il y a une rponse alors l'adresse est dfinitivement attribue au poste. Attention : toute adresse affecte n'est nouveau disponible que lors du reboot du PIX ! Il n'y a pas de gestion ''intelligente'' des baux DHCP ! Personnellement je vous dconseille d'activer les service DHCP sur le PIX (ou sur tout autre firewall ayant cette option). Un firewall doit rester un firewall et non un produit multifonction. Dans ce cas prcis, un simple serveur DHCP sous Linux (sur un PC de base) vous rendra de meilleurs services... Rip Version 2 : Sur le PIX, IOS > 5.2, Rip v2 est implment en mode passif. Le PIX accepte des updates multicast avec comme adresse destination 224.0.0.9. Seulement les cartes Intel 10/100 et Gigabits supportent le mode multicast. Les cartes FDDI et Token Ring ne supportant que du broadcast (IP destination 255.255.255.255 et non 224.0.0.9). Cisco IOS-Like Configuration : on a la possibilit d'implmenter un support des lignes de commandes similaire celui prsent sur les routeurs Cisco (IOS Release 12.0(6))... pour les irrductibles de l'IOS uniquement.
Failover : on peut mettre en place un failover Passif/actif entre 2 PIX. On a la possibilit d'utiliser en plus du cable null-modem classic, une interface rseau afin de mettre en place un failover Statefull. FDDI : si on utilise des interfaces FDDI, il ne faut plus utiliser d'interface Ethernet ni Token Ring. FragGuard : protection contre les attaques relatives la fragmentation (envoie de paquets ayant le bit frag activ, mais n'tant suivi d'aucun autre paquet, ...) Anti-Spoofing : par analyse de la route de retour ("reverse route lookups"). Filtrage d'URL : intgration parfaite dans une architecture possdant le produit de filtrage d'URL de la socite WebSense (http://www.websense.com).
- Telnet, ssh. - Port Console : HyperTerminal. - Cisco Secure Policy Manager : il faut la version 2.2 pour grer l'IOS 5.3. - L'interface de management : Pix Firewall Management = PFM 4.3 (pas sous win 2000) pas capable d'utiliser des options du PIX apparues apres l'OS 4.3. Ce module de management n'est pas capable de lire des configurations utilisant des options sup. l'IOS 4.3 (nat 0, conf VPN,...). JE VOUS INVITE A NE SURTOUT PAS UTILISER CETTE INTERFACE.
NAT : Dfinit la NAT (Network Address Translation). nat (interface) [Identifiant] [Rseau-Source] [Masque-Reseau] [Max-Connexions] [Connexions-Embryonnaires]
Ex : nat (inside) 1 0 0 0 0 <-> Toutes les adresses IP appartenant au rseau connect sur la patte inside du PIX (= patte LAN) seront nates (sur l'adresse dfinie par la commande GLOBAL). Le dernier 0 correspond au nombre de connexions embryonnaires acceptes. Une connexion embryonnaire = connexion demi ouverte = le flag SYN vaut 1. Dans le cas ou la valeur du dernier champ est 0 (comme dans cet exemple) c'est que nous ne controlons pas le nombre de connexions embryonnaires. Je conseille de mettre une valeur entre 300 et 500. L'avant dernier champ = nombre maximum de connexions sortantes permises sur l'interface. Si vous souhaitez dsactiver la nat (entre le LAN et la DMZ par exemple) il vous faudra utiliser la commande nat 0.
GLOBAL : Dtermine l'adresse IP (ou le pool) utilis pour la NAT HIDE. global (interface) [Identifiant] [@IP ou Pool d'adresses IP] L'identifiant doit correspondre l'un de ceux rfrencs au niveau d'une commande NAT. L'interface doit forcment tre l'"oppose" de celle dclare au niveau de la commande NAT. En d'autre terme, si on a fait un nat du rseau LAN (plac sur la patte inside), le global correspondant doit tre sur la patte outside (dans le cas d'un PIX 2 pattes). Ex : global (outside) 1 @IP <-> Toutes les adresses du LAN sont nates sur l'adresse publique : @IP. Attention dans le cas ou l'on utilise qu'une seule adresse IP pour la NAT HIDE, le PIX ne pourra plus grer les flux H.323. Si vous avez assez d'adresses sur la patte externe de votre firewall, CISCO recommande de faire 2 commandes global : - global (outside) 1 1-Adresse-IP netmask 255..... - global (outside) 1 Pool-d'adresses-IP netmask 255.... Ainsi, le PIX utilisera d'abord les adresses du pool avant de passer sur l'unique adresse prcise dans la 1re commande global. Ainsi, vous pouvez faire des flux H.323 !
Exemple de gestion de la NAT : LAN : 10.1.0.0/16 (avec 2 classes : 10.1.1.0/24 et 10.1.2.0/24) WAN : 63.33.94.146/28 DMZ : 192.168.1.0/24 Exemple 1 : # On spcifie l'adresse nate de sortie sur internet pour tous les rseaux : global (outside) 1 63.33.94.154 # On permet au LAN de sortir sur Internet avec l'adresse 63.33.94.154 : nat (inside) 1 10.1.0.0 255.255.0.0 300 0 # Les machines de la DMZ sortiront elles aussi sur internet avec l'adresse 63.33.94.154 nat (dmz) 1 192.168.1.0 255.255.255.0 300 0 # On spcifie le pool d'adresses IP dans lequel seront nats les utilisateurs du LAN voulant accder la DMZ : global (dmz) 1 192.168.1.128-192.168.1.138 # Dans ce cas nous faisons donc de la NAT entre le LAN et la DMZ.
Exemple 2 : # On spcifie un pool pour la NAT du premier rseau du LAN (10.1.1.0/24) : global (outside) 1 63.33.94.150-63.23.94.155 netmask 255.255.255.240 # On spcifie une adresse de sortie dans le cas ou le pool serait dj attribu : global (outside) 1 63.33.94.156 netmask 255.255.255.240 # On nat certaines machines du LAN (avec gestion du nombre de connexions + connexions embryonnaires) : nat (inside) 1 10.1.1.0 255.255.255.0 300 300 # On nat les autres machines sur un autre pool d'adreese publiques : nat (inside) 2 10.1.2.0 255.255.255.0 300 300 # Le global correspondant : global (outside) 2 63.33.94.157 netmask 255.255.255.240 # On ne vaut pas faire de NAT entre le LAN et la DMZ : nat (dmz) 0 access-list no-nat access-list no-nat permit ip 10.1.0.0 255.255.0.0 192.168.1.0 255.255.255.0 ATTENTION : si vous spcifier une access-list au niveau de la nat 0, cette access-list NE DOIT PAS CONTENIR LA SPECIFICATION D'UN PORT. Ainsi, les access-list suivantes n'auraient pas p fonctionner : access-list no-nat permit tcp 10.1.0.0 255.255.0.0 192.168.1.0 255.255.255.0 access-list no-nat permit tcp 10.1.0.0 255.255.0.0 192.168.1.0 255.255.255.0 eq http STATIC : Dfinit la nat statique d'une machine. static (interface-niveau-haut, interface-niveau-bas) [@IP-machine-sur-interface-niveau-haut] [@IP-machine-sur-interface-niveau-bas] netmask 255.255.255.255 [Max-Connexions] [Connexions-embryonnaires]
Ex : static (inside,outside) @IP_pub @IP_priv netmask 255.255.255.255 0 0 Dans ce cas on a cach l'adresse de la machine du LAN (@IP_priv) derrire une adresse appartenant au rseau externe (@IP_pub). Ceci veut dire que quand on va vouloir accder depuis l'extrieur la machine @IP_priv, on va en fait utiliser l'adresse @IP_pub (ping @IP_pub et non ping @IP_priv).
Dans le cas d'un PIX 3 pattes (LAN, WAN, DMZ) il y a 2 possibilits : Dans notre cas, notre LAN sera en 192.168.1.0/24, la DMZ en 172.20.1.0/24. Nous voulons permettre un accs entre une machine de la DMZ (172.20.1.10) et une machine du LAN 192.168.1.10. - soit vous cachez les adresses du LAN derrire des adresses de la DMZ : static (inside,dmz) 172.20.1.110 192.168.1.10 netmask 255.255.255.255 0 0 Dans ce cas on accdera depuis la DMZ, la machine 192.168.1.10, en utilisant son adresse nate 172.20.1.110. - soit on ne fait pas de nat entre la DMZ et le LAN : static (inside,dmz) 192.168.1.10 192.168.1.10 netmask 255.255.255.255 0 0 Dans ce cas, on peut, depuis la DMZ, accder la machine du LAN en utilisant sa vritable adresse. Je conseille cette faon de procder afin de ne pas surcharger le PIX avec un processus de NAT qui n'est pas rellement utile.
CONDUIT : Ouvre un accs sur la machine dclare dans STATIC. Cette commande ne doit plus tre utilise. Ds la version 6.0 cette commande ne sera mme plus implantable sur un PIX. En fait comme toujours, Cisco maintient la compatibilit avec les anciennes commandes, donc les commandes inbound/outbound, conduit sont toujours implmentes. C'est un chois discutable, mais ... Enfin si vous voulez faire du vrai bon boulot, je vous recommande d'oublier les commandes inbound/outbound et conduit.
ACCESS-LIST : On ouvre un accs entre des machines (ou des rseaux). Les ACL sont nominatives. Ainsi il est possible de leur donner un nom (acl_in pour le flux sortant du LAN, acl_out pour le flux entrant depuis Internet, ...) Ex : access-list acl_out permit tcp host @IP_pub_src host @IP_pub_dst range 1417 1420 access-list acl_out permit udp host @IP_pub_src host @IP_pub_dst eq 407 <-> Permet au rseau @IP_pub_src de se connecter via TIMBUKTU sur le @IP_pub_dst. Nota : Par dfaut, ds qu'une access-list est implmente sur une interface, tout ce qui n'est pas explicitement permis, est interdit. Ainsi, si on ne met par exemple que les access-list prcdentes sur l'interface outside (via la commande access-group), seul le rseau @IP_pub_src pourra s'y connecter, et seulement en TIMBUKTU. C'est comme si vous mettiez une access-list acl_out deny ip any any la fin de la configuration. ATTENTION : les access-list sont analyses squentiellement (de haut en bas). Ds qu'une access-list match, le PIX ne va pas plus loin dans l'exploration des rgles. Il faut donc faire trs attention la position des access-list dans la configuration! ACCESS-GROUP : Dfinit l'interface d'application des access-list. Ex : access-group acl_out in interface outside <-> Dit que les access-list acl_out seront appliques sur le flux entrant par l'interface outside du PIX ( c'est dire via Internet). Elles limiteront donc le trafic entrant depuis l'Internet.
NAME/NAMES : Permet d'associer un nom une adresse IP (ou un rseau). Ex : name 255.255.255.0 class-C-mask
ROUTE : Permet de dfinir les routes. Ex : route outside 0.0.0.0 0.0.0.0 63.33.94.147 1 Dans ce cas la route par dfaut du PIX est l'adresse 63.33.94.147 avec comme metric 1 (metric par dfaut). Rappel sur la notion de metric : il s'agit du nombre de sauts entre le PIX et le routeur primtrique. Les sauts sont des routeurs, donc 1 saut signifie que le routeur est directement connect au PIX. Enfin : sur le PIX vous ne pouvez avoir qu'UNE SEULE ROUTE PAR DEFAUT .
Accs au PIX en hyperterminal : Voici les paramtres utiliser lors d'une connexion via le cble srie sur le PIX : Bits per second : 9600 Data bits : 8 Parity : None Stop bits : 1 Flow control : Hardware
Mise jour de l'image via TFTP : On met le dernier IOS stable : 6.1(1). De base le PIX vient avec une image 5.1, on en est actuellement la version 6.1(1). Pour rcuprer la dernire version du software PIX vous pouvez aller sur le site suivant : http://www.cisco.com/cgi-bin/tablebuild.pl/pix/ Biensur, il vous faut un compte CCO (Cisco Connection Online).
Pour mettre jour, il suffit, lors du reboot, de presser la touche Esc (Escape) afin d'interrompre la squence de boot. Le prompt monitor> apparat. Suivre la squence suivante :
o
o o o o o o o
Bancher la patte outside (eth0) du PIX sur votre machine (possdant un serveur TFTP + l'image 6.1 du PIX). Utilisez pour cela un cble crois ou 2 cbles droits + un hub. Spcifier l'interface utiliser sur le PIX : interface outside Spcifier l'adresse IP temporaire sur cette interface : addr 10.0.0.1 Spcifier l'adresse IP de votre machine : serv 10.0.0.206 Spcifier le nom de l'image downloader : file pix611.bin Vrifier la connectic : ping 10.0.0.206 Tlcharger l'image : tftp C'est ce moment l que l'on peut entrer une nouvelle clef d'activation sur le PIX.
# On donne un nom au pix hostname Pix.totoland.com # Password pour l'accs en mode enable : enable password azerty (je blague, il est vident qu'il faut mettre un truc plus compliqu !) # Pour l'accs en telnet et ssh passwd azerty
# On nomme les diffrentes interfaces et on leur attribue un niveau de scurit : nameif ethernet0 bad security0 nameif ethernet1 naif security99 : comme vous pouvez le constater, le niveau de scurit n'est pas de 100 mais de 99. En fait on ne peut pas renommer l'interface inside. Si on veut lui donner un autre nom que ''inside'', il faut lui mettre un autre niveau de scurit que 100. J'ai pour habitude de mettre 99.
# On fixe la vitesse des interfaces (nota : avec PIX 506 on peut seulement faire du 10Mb/sec) : interface ethernet0 10baset
interface ethernet1 10baset Les autres valeurs possibles pour la spcification de la vitesse : - auto : auto dtermination des vitesses (pas toujours conseill !) - 10baset : 10MBps Ethernet half duplex - 10full : 10MBps Ethernet full duplex - 100basetx : 100MBps Ethernet half duplex - 100full : 100MBps Ethernet full duplex - 1000sxfull : 1000MBps Gigabits Ethernet full duplex - 1000basex : 1000MBps Gigabits Ethernet half duplex - 4mbps ou 16mbps : dans le cas d'interface token ring - pas de vitesse spcifier dans le cas d'interfaces FDDI # @IP des interfaces : ip address bad @IP-PUB-PIX 255.255.255.248 ip address naif @IP-PRIVEE-PIX 255.255.255.0
# Route statique vers la gateway par dfaut : route bad 0.0.0.0 0.0.0.0 @IP-PUB-ROUTEUR 1
# La NAT -> adresses nates dans les adresses (commande global) dfinies ci dessous : # Vrifier pour les connexions embryonnaires (entre 100 et 500)!!!
# Les @IP disponibles pour sortir d'une interface : global (bad) 1 @IP-PUB-NAT-HIDE (toujours faire un clear xlate pour mettre jour la table de translation d'adresses)
# On cre les nat statique ncessaires : # Vrifier pour les connexions embryonnaires (entre 100 et 500)!!!!
Vous devez crer ces rgles de nat static (commande static) si vous voulez donner un accs depuis une interface de niveau de scurit bas vers une machine d'un niveau de scurit haut. Par exemple dans le cas d'une machine prsente en DMZ, il vous faudra certainement permettre un accs depuis l'Internet sur cette machine. Il sera peut tre aussi ncessaire de permettre un accs entre cette machine en DMZ et une ou plusieurs machines du LAN. C'est typiquement le cas dans des architectures prsentants un relais SMTP en DMZ et un serveur SMTP dans le LAN.
# On filtre le trafic entrant : # Ouside -> Firewall + LAN : access-list acl-bad-naif permit icmp any any source-quench access-list acl-bad-naif permit icmp any any parameter-problem access-list acl-bad-naif permit icmp any any unreachable access-list acl-bad-naif permit icmp any any time-exceeded access-list acl-bad-naif permit icmp any any echo-reply
# On applique ces rgles sur l'interface d'o va venir le trafic (=d'o est initialis la connexion). # Ici c'est forcment l'interface outside (=bad) !!!! access-group acl-bad-naif in interface bad
# Les flux sortants du LAN : # Dans un premier temps on autorise tout type de trafic venant du LAN : access-list acl-naif-bad permit ip any any
# On applique ces regles sur l'interface d'o va venir le trafic (=d'o est initialis la connexion). Ici c'est forcment l'interface inside (=naif) !!!!
# Pour interdire le ping de la patte outside du PIX : # Nota : par dfaut l'interface OUTSIDE du PIX est pingable... # d'ou : icmp deny any echo bad
Pour les logs en mode console : logging on logging console debugging ou level (7) : voir les trafic complet en mode console debug icmp trace : voir le trafic icmp sh logging : voir ce qui est loggu clear logging : vider les buffers de log
Pour les logs en mode terminal : On donne l'acces en telnet ou ssh (cf apres) sur le pix sur sa patte inside (ou dmz ou wan) : telnet @IP 255.255.255.255 naif ssh @IP 255.255.255.255 naif On augmente la dure de la session telnet (ou ssh) : telnet timeout 15 ssh timeout 15 0n accde en telnet ou en ssh sur le PIX On demarre le log des messages logging monitor <level>
On affiche les messages de logs sur le session telnet terminal monitor Pour arreter l'affichage des messages terminal no monitor A la fin ne pas oublier de dsactiver les logs no log monitor
Donner l'accs SSH sur le PIX : On vrifie que le PIX peut faire au minimum du DES : sh ver Si oui, on peut faire la suite. Sinon, il faut envoyer un mail licensing@cisco.com (ou http://www.cisco.com/kobayashi/sw-center/internet/pix-56bit-license-request.shtml ) en leur demandant une clef d'activation permettant le DES. Donner un nom au PIX (thoriquement c 'est dj fait) : hostname Pix.totoland.com Prciser un domain : domain-name totoland.com Gnrer la clef sur chaque PIX : ca gen rsa key 1024 (1024 tant la taille de la clef) Enregistrer cette clef sur le PIX : ca save all (attention un write mem ne suffit pas !!) Prciser la machine ayant accs sur le PIX en SSH : ssh @IP 255.255.255.255 bad Prciser le pasword d'accs (c'est le mme que pour l'accs telnet) : passwd mon_super_password Gnrer les clefs sur le poste concern : attention lors de la gnration de la clef, le programme demande un nom d'utilisateur sur le PIX. Il faut mettre pix (en miniscules!). Lancer la connexion ssh depuis le client : /usr/bin/ssh -v -c des pix@IP-pix Pour windows NT, 2000, ... : utiliser les clients suivants : F-Secure
Tera Term Pro SSH v1.x : http://hp.vector.co.jp/authors/VA002416/teraterm.html Il faut aussi l'implmentation SSH pour Tera Term (TTSSH) : http://www.zip.com.au/~roca/ttssh.html Putty
Nota : On peut administrer le PIX en ssh sur la patte outside. Si on veut le faire en telnet, il faut mettre en place un tunnel IPSEC. Puis mettre une access-list pour permettre le trafic IP entre la patte externe du pix et le client VPN. Pour un exemple d'administration distante d'un PIX (via SSH ou VPN), cf. la page suivante ralise par Julien Martinez.
1.4 CONFIGURATION PIX Cette configuration correspond la politique de scurit prsente au dbut de ce document. PIX Version 6.1(1)
fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 fixup protocol skinny 2000
access-list acl-bad-naif permit icmp any any source-quench access-list acl-bad-naif permit icmp any any parameter-problem access-list acl-bad-naif permit icmp any any unreachable access-list acl-bad-naif permit icmp any any time-exceeded access-list acl-bad-naif permit icmp any any echo-reply access-list acl-naif-bad permit ip any any
ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400
timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si p 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable no sysopt route dnat telnet timeout 30
terminal width 80
Le PIX gnre des logs au format SYSLOG. Vous pouvez visualiser ces logs soit directement sur le PIX (mode console ou en mode telnet/ssh), soit sur un serveur syslog ddi au sein de votre architecture.
1 = alerts = les alertes 2 = critical = condition critique 3 = errors = messages d'erreur 4 = warnings = messages d'avertissement 5 = notification = fonctionnement normal prsentant des particularits 6 = informational = mme le trafic normal est loggu 7 = debugging = mode debug au niveau applicatif.
logging on
logging console debugging ou level (7) : voir les trafic complet en mode console
On donne l'acces en telnet ou ssh (cf apres) sur le pix sur sa patte inside (ou dmz ou wan) :
telnet timeout 15
ssh timeout 15
terminal monitor
terminal no monitor
no log monitor
Vous avez la possibilit d'envoyer les messages du PIX sur un serveur syslog. Ce serveur est soit un UNIX/LINUX comportant un dmon syslog, soit un Windows NT comportant un produit de logging : WebTrends, PFSS (PIX Firewall Syslog Server), ...
Les tapes : On spcifie le serveur syslog sur lequel le PIX va envoyer ses logs : logging host inside 10.1.1.14
On spcifie le niveau des logs : logging trap debugging ou logging trap information (je vous conseille ce niveau)
La commande logging facility (valeur par dfaut : 20), permet de prciser le format des messages. CISCO recommande de ne pas modifier la valeur par dfaut !
On dmarre l'envoi des logs : logging on (Pour dsactiver l'envoi des logs : no logging on)
Vous avez la possibilit de dsactiver l'envoi de certains messages. Pour cela, une fois que vous aurez rcupr l'ID du message (ex : 305002), vous pouvez utiliser la commande : no logging message 305002 Ainsi, ce message ne sera plus envoy au serveur syslog.
Le Failover = Haute disponibilit => Mise en place d'un second PIX qui prendra le relai si le premier PIX (=PIX d'origine) tombe en panne.
Rappels : Le PIX 506 ne permet pas le Failover Les PIX 515, 525 et 535 supportent le Failover si et seulement si vous avez une licence UR .
Pour faire du Failover avec des PIX, il faut un PIX primaire avec licence UR + un autre PIX Failover (cf. produits cisco). Dans tous les cas les 2 PIX doivent tre rigoureusement identique en matire de : RAM, Flash, IOS.
Le Failover avec des PIX est du type actif/passif. C'est dire que le PIX failover est passif. Tout le trafic passe par le PIX primaire (=actif). Ce n'est que si ce premier PIX tombe que le second devient actif. Il n'y a pas de loabalancing.
Mode normal : avec utilisation d'un cble null-modem Mode Statefull : avec cble null-modem + une interface (Ethernet 100Mbps full duplex) sur chaque PIX ddie au failover. Dans ce cas toutes les sessions NON-HTTP ouvertes sur le premier PIX seront conserves sur le second PIX lors du basculement.
Dans le cas du PIX, le mode failover assure que les adresses IP et MAC du PIX d'origine (= PIX primaire =PIX actif) seront reportes sur le PIX secondaire (= PIX standby) lors du basculement.
LAN : 10.1.0.0/16 (avec 2 classes : 10.1.1.0/24 et 10.1.2.0/24) WAN : 63.33.94.146/28 DMZ : 192.168.1.0/24
Sur le Premier PIX dj configur : Patte OUTSIDE = bad = Ethernet0 = 63.33.94.149 Patte INSIDE = naif = Ethernet1 = 10.1.1.1 Patte DMZ = dmz = 192.168.1.1
Mettre le dernier IOS sur les 2 PIX. Rgler l'heure de la CMOS sur le PIX Primaire : clock set hh:mm:ss month day year Ceci permettra une synchronisation des CMOS lors du failover.
Brancher le cble null-modem entre les 2 PIX : Lorsqu'on connecte ce cble de failover : bien s'assurer que le bout marqu Primary est sur le PIX actif = PIX d'origine. Ce cble est un cble RS-232 modifi.
Vrifier la nature du lien entre les 2 PIX pour le ct statefull (cable crois catgorie 5, hub, ...)
Eteindre le PIX failover (apres lui avoir mis la mme version d'IOS que celle prsente sur le PIX d'origine). On ne configure QUE le PIX primaire. Quand il est compltement configur, on allume alors le secondaire. C'est alors que toute la configuration du premier passera sur le PIX failover !
On configure le 2ieme PIX avec le premier au niveau des adresses des interfaces : failover ip address bad 63.33.94.150
failover ip address naif 10.1.1.100 failover ip address dmz 192.168.1.100 failover ip address failover 1.1.1.100
Vous pouvez diminuer le temps de dtermination pour le basculement. Le temps de base est de 15 secondes. Si le PIX primaire n'a pas rpondu pendant 15 secondes, le PIX secondaire prend la main. On peut diminuer ce temps avec la commande failover pool secondes . Cependant Cisco ne conseille pas de modifier ce temps.
On allume le deuxime PIX afin qu'il y ait rplication entre le Primaire et le Secondaire. Sur le Primaire : show failover : on s'assure que la rplication est bonne.
On teint le Primaire, afin de voir si le failover fonctionne bien. On fait un show failover
On re rend le PIX Primaire actif : Sur le Primaire : reload ou failover active Puis un show failover
On configure le PIX Primaire pour faire du Stateful Failover : Sur le Primaire : failover link failover Faire un write mem puis write standby de facon forcer la synchronisation entre les 2 PIX
Vrifier que le Stateful est en place : show failover Tester le stateful failover en faisant un ping @IP -t ou un ftp depuis une machine du LAN, puis en coupant le PIX Primaire.
Dfinitions :
VPN ? Un VPN (Virtual Private Network) est un service offrant une connexion scurise via un rseau public (tel qu'Internet). Le VPN impose la mise en place d'un canal. Ce canal peut tre implment de diffrentes manires : L2TP (niveau 2 du modle OSI) ou IPSec (niveau 3) ou PPTP (version Lucent puis Microsoft) ou MPPE (Microsoft Point to Point Encryption = RSA RC4) ou GRE (protocole cisco permettant de relier 2 LAN faisant de l'IPX) ou L2F (protocole cisco). On peut rajouter du cryptage au niveau de ce canal : DES(56 bits) ou 3DES (168 bits) ou CET (technologie de cryptage propre cisco) ou IDEA.
Historiquement, on est pass du VPN de niveau 2 (ATM, X25, FrameRelay) des VPN de niveau 3 (IPSEC).
IPSec : Selon la RFC IETF : "Protocole de scurit au sein de la couche rseau. Ce protocole est dvelopp pour fournir un service de scurit base de cryptographie, permettant de garantir l'authentification, l'intgrit, le contrle d'accs et la confidentialit des donnes."
HASHING : MD5 (128bits) / SHA-1(168bits) : = Signature = hashing crypt avec clef priv de l'utilisateur A
Utilis pour certifier l'intgrit et l'authenticit d'un document. Le rsultat est un digest de taille fixe. Les mots Resume et digest reprsentent la mme chose..
Caractristiques du digest :
o o
Impossibilit de reconstruire les donnes partir du digest ; Si un bit des donnes change, le digest rsultant sera trs diffrent de l'originel (= effet d'avalanche).
Exemple : Utilisateur A (mettant le message) : 1. Message1 -> Processus de hashing (MD5 ou SHA-1) -> Resume1 2. Message1 + Resume1 + clef prive A -> Message1 crypt Utilisateur B (recevant le message) :
4. On passe le message1 dans le hashage => Resume2 Si Resume1 = Resume2, alors le message est intgre = non modifi.
IKE (Internet Key Exchange) : (RFC 2409) IKE ngocie les IPSec security associations (SAs). Ce processus ncessite que les systmes IPSec s'authentifient entre eux et tablissent les clefs IKE (= ISAKMP) partages.
En d'autres termes, IKE = Schma de chiffrement <=> comment va se faire l'change des informations entre les diffrents peers d'un VPN.
Schmatiquement : IKE = ISAKMP (RFC 2408) + Oakley (RFC 2412) ISAKMP = protocole pour la ngociation pralable l'tablissement des associations de scurit (SA). Oakley = dtermine le mcanisme pour l'change automatique des cls.
IKE dmarre donc avant IPSEC !!! On a 1 tunnel IKE en premier, puis un tunnel IPSec ensuite. Ce dernier tant issu des ngociations IKE pralables.
ISAKMP = IKE Phase 1 : Les sessions ISAKMP utilisent UDP (source ET destination port = 500) Les rsultats de l'tablissement d'une session ISAKMP sont des SAs ISAKMP (bidirectionnels). ISAKMP tablit tous les SAs IPSEC la demande. Une session ISAKMP est authentifie : - Soit par une clef partage (pre-shared key) - Soit par RSA signature et chiffrement.
De plus une session ISAKMP est chiffre (DES) pour l'change des clefs de session.
Oakley = IKE Phase 2 : Dfinit le mcanisme d'change de cls dans les ISAKMP sessions Dtermine les cls AH/ESP ncessaires pour chaque IPSEC SA automatiquement Utilise l'algorithme Diffie-Hellman pour ses gnrations de cls
IKE, plus en dtails : Durant la phase 1 d'IKE, il y a authentification des peers + tablissement de la politique IKE (= IKE Security Association). L'algorithme principal de cette phase est Diffie-Hellman.
Durant la phase 2 d'IKE, il y a ngociation des IPSec security associations, et gnration des clefs pour IPSec. L'metteur offre une ou plusieurs transform-sets qui sont utiliss pour spcifier les diffrents algorithmes utiliss au sein du tunnel IPSec. Soit c'est encore via Diffie-Hellman que les clefs sont gnres, soit ces clefs sont drives de celles forges lors de la phase 1 d'IKE.
Encore plus prcis : IKE phase 1 : Mthode d'change des clefs ; Mthode d'authentification des peers : pre-shared key ou certificat numrique authentifi par une signature RSA ; o Identification des peers IPSec : par adresse IP ou par nom (FQDN) ; o Dtermination de la politique ISAKMP <=> IPSec SA : une politique ISAKMP dfinie une combinaison de paramtres de scurit utiliss durant la ngociation ISAKMP. Pour qu'il y ait communication IPSec possible, il faut que les 2 peers trouvent un accord sur une politique ISAKMP commune. Une politique ISAKMP contient :
o o
* Algorithme d'encryption : DES/3-DES * Algorithme de hashing : MD5/SHA-1 * IKE SA Lifetime = dure de vie des SA IKE : 86400 secondes, ou moins.
IKE phase 2 :
o
Ngociation des algorithmes IPSec = transform-set : ESP-DES, ... Cette ngociation est protge grce la SA IKE prdfinie.
o o o
Identification des peers par adresse IP au nom (FQDN) ; Dtermination des adresses IP des htes qui doivent communiquer en crypt ; Etablissement des IPSec security associations : soit de manire manuelle (pas conseill), soit via IKE (conseill), dans ce dernier cas, il faut spcifier ipsecisakmp. Ces IPSec Sas sont priodiquement rengocies afin d'augmenter le niveau de scurit. De plus on peut forcer le fait que les clefs de sessions IPSec seront nouvelles chaque fois, ou simplement drives des clefs ngocies en IKE phase 1. Cette dernire fonctionnalit est appele PFS ( Perfect Forward Secrecy). Le contenu d'une IPSec SA est le suivant : Adresse IP du peer d'en face ; Identifiant de VPN (SPI = Security Parameter Index) Algorithmes IPSec : AH/ESP + rien ou HMAC-MD5/HMACSHA-1 ; Mode (Tunnel ou Transport) : Transport : PC serveur de bout en bout Tunnel : via internet (c'est dire, via des routeurs) Clef de session ; Attributs supplmentaires (Lifetime = dure de vie des clefs de session, ...)
AH = IP:51 Paquet origine : IP Header + le reste du paquet (autres headers + payloads) = A A l'aide de l'algo MD5, la clef secrete (connue des deux parties) + A on obtient : IP Header + Auth.Header + le reste du paquet (autres headers + payloads)
ESP = IP:50
Paquet origine : IP Header + le reste du paquet (autres headers + payloads) = A Si on est en mode transport (mode bout en bout, entre hosts => pas de routeur ni firewall entre les hosts) : On chiffre le "reste du paquet (autres headers + payloads)" avec la clef secrete, et on rajoute au paquet un header ESP. Le paquet devient donc : IP Header + Header ESP + le reste du paquet (autres headers + payloads) crypt
Si on est en mode tunnel (avec des routeurs + des firewalls entre les hosts <=> Internet) : De nouveaux IP Headers sont ajouts lors du routage des paquets, mais le paquet origine est crypt avec la secret key => le IP Header d'origine est conserv intacte dans la partie crypte. Le paquet devient donc : New Ip Header + ESP Header + Crypt[Ip Header origine + le reste du paquet (autres headers + payloads)]
=> ESP -> confidentialit car on a chiffrement des donnes -> il y a une plus grande consommation de CPU.
Ct PIX : Dans ce cas nous voulons monter un VPN entre notre PIX (cf conf prcdente) et un concentrateur VPN. Voici les diffrentes commandes rajouter :
# On permet les flux IPSec : sysopt connection permit-ipsec # Cette ligne ci-dessus est parfaitement quivalente aux 3 suivantes : access-list vpn permit ahp @IP-PIX1 255.255.255.0 host @IP-PIX2 access-list vpn permit esp @IP-PIX1 255.255.255.0 host @IP-PIX2 access-list vpn permit udp @IP-PIX1 255.255.255.0 host @IP-PIX2 eq isakmp (= UDP:500).
# On spcifie l'interface sur laquelle on va faire de l'IPSec : # A partir de l'OS 5.1, on peut faire de l'IPSec sur toutes les interfaces. Avant on ne pouvait le faire que sur l'outside. isakmp enable bad
# On cre la politique IKE : # On spcifie l'algorithme d'encryption : isakmp policy 10 encryption des # On spcifie l'algorithme de hashing :
isakmp policy 10 hash md5 # On spcifie la mthode d'authentification : isakmp policy 10 authentication pre-share # On spcifie la taille de l'espace de nombres utilis pour le choix du coefficient de l'exponentielle (pour l'algorithme Diffie-Hellman) : isakmp policy 10 group 2 # On spcifie la dure de vie des clefs de sessions au niveau IPSec : isakmp policy 10 lifetime 86400
# On spcifie si l'on travaille par adresse IP ou par nom : isakmp identity address
# On spcifie l'adresse IP du concentrateur VPN bas sur l'autre site : name @IP-CONCENTRATEUR CONCENTRATEUR
# On configure la pre-shared key pour IKE : isakmp key ma-pre-shared-key address CONCENTRATEUR netmask 255.255.255.255
# On configure IPSec :
# On spcifie le trafic devant tre crypt : access-list vpn permit ip @IP-RESEAU-LAN-ICI 255.255.255.0 @IP-RESEAU-LANLA-BAS 255.255.255.0 # On configure le transform-set : crypto ipsec transform-set myset esp-des esp-md5-hmac # On configure la crypto map :
# On cre une crypto map en utilisant IKE (IPSec ISAKMP mode) : crypto map vpnpeer 10 ipsec-isakmp # On spcifie l'access-list prendre en compte : crypto map vpnpeer 10 match address vpn # On spcifie le peer vers lequel on va envoyer le trafic crypt : crypto map vpnpeer 10 set peer CONCENTRATEUR # On spcifie quel transform-set on va utiliser pour cette crypto map : crypto map vpnpeer 10 set transform-set myset
# On applique la crypto map sur une interface rseau : crypto map vpnpeer interface bad
# Dans le cas d'un VPN site site on spcifie que l'on ne fait pas de NAT. C'est quand le peer d'en face ouvre le paquet IPSec, qu'il dcouvre qui ce paquet est destin en interne. nat (naif) 0 access-list vpn
Ct Concentrateur VPN :
Pour une description complte de ce produit : cf. Document suivant. Matriel : Concentrateur VPN 3015 : 64 MB SDRAM 100 tunnels IPSEC en simultan 3 interfaces rseaux (10/100BaseT) upgradeable
Clients VPN : Cisco Secure VPN Client 1.1 : PIX (IOS <= 5.3) + ROUTEURS. Ce client s'installe sous Win9X, NT4, pas Win2k. Cisco VPN 3000 Client 3.x.y : CVPN3000 + PIX (IOS <= 6.x). Ce client s'installe sous Win9X, NT4, Win2k et XP. Ce client VPN ne fonctionne pas pour les routeurs cisco ! IPSec client intgr Windows 2000 : CVPN3000. Dans tous les cas : DES et 3DES. Le client VPN3000 intgre un module de monitoring.
Caratristiques particulires : Supporte le VPN Through NAT (r-encapsulation de la partie IPSEC dans de l'UDP). o Protocole IPSec :
o
IPSec comporte normalement 2 protocoles : - AH (Authentication Header) = IP:51, permettant l'authentification de la source + anti rejeu + intgrit. Dans ce cas le hashing (MD5 ou SHA-1) est fait sur tout le paquet, IP headers compris. Ce mode est incompatible avec la NAT qui change le AH Header et cause ainsi le rejet du paquet par le peer IPSec. - ESP (Encapsulation Security Payload) = IP:50, fournit, en plus de AH, la confidentialit grace l'encryption au niveau IP. L'algorithme par dfaut est DES (56 bits). On peut biensr utiliser du 3DES. Ce protocole supporte la NAT car il le hashing (utilis pour l'intgrit) ne prend pas en compte l'en-tte IP. Ainsi la NAT peut changer le Header IP, et pourtant le paquet sera accept par le peer IPSec. Le petit moins, c'est que qu'en ESP, il n'y a pas de protection de l'entit IP. Le concentrateur VPN n'intgre QUE ESP. Il n'est pas possible de faire du AH. Ce choix est motiv par le fait qu'avec AH il n'est pas possible de faire du VPN through NAT.
- Split Tunneling : Le Split Tunneling correspond la sparation des flux. En fait, on a la possibilit de permettre au nomade , utilisant un client VPN 3000, de monter une connexion VPN avec un site tout en continuant surfer sur Internet (en clair). Cette fonctionnalit est tres risque. Dans le document suivant je vous propose une explication du pourquoi et du comment. Vous trouverez aussi des solutions pour contourner le problme.
Administration : Hyperterminal : pour la configuration minimale : initialisation des interfaces rseaux. Configuration usine : login -> admin/admin. Telnet, SSH ou HTTP/HTTPS (si browser IE et Netscape > 4.0) Configuration de Netscape : Edit -> Preferences -> Advanced : Enable JavaScript Accept ...cookies Ne pas cocher: Warn me before accepting a cookie.
Administration | Access Rights | Access Control List | Add Manager Workstation to add the IP address of the external manager.
a)Configuration | System | Tunneling Protocols | IPSec LAN-to-LAN | Modify : Name : To-PIX Interface : Ethernet 2 (Public) Peer : @IP-PUB-PIX Digital Certificate : None (Use Preshared Keys) Preshared Key : ma-pre-shared-key Authentication : ESP/MD5/HMAC-128 Encryption : DES-56 IKE Proposal : IKE-DES-MD5 Local Network :
Network List : Use IP Address/Wildcard-mask below IP Address : @IP-RESEAU-LAN-CONCENTRATEUR Wildcard Mask : 0.0.0.255 Remote Network : Network List : Use IP Address/Wildcard-mask below IP Address : @IP-RESEAU-LAN-PIX Wildcard Mask : 0.0.0.255
b)IKE Proposals : Configuration | System | Tunneling Protocols | IPSec | IKE Proposals Active Proposals : IKE-DES-MD5
6)On vrifie les paramtres des Security Associations : Configuration | Policy Management | Traffic Management | Security Associations | Modify :
SA Name : L2L : To-PIX Inheritance : From Rule IPSec Parameters : Authentication Algorithm : ESP/MD5/HMAC-128 Encryption Algorithm : DES-56 Encapsulation Mode : Tunnel Perfect Forward Secrecy : Disabled Lifetime Measurement : Time
Data Lifetime : 10000 Time Lifetime : 86400 IKE parameters : IKE Peer : @IP-PUB-PIX Negociation Mode : Main Digital certificate : None (Use Preshared Keys) IKE Proposal : IKE-DES-MD5
Debug :
Sur le PIX : debug crypto engine - Pour voir le trafic qui est encrypt.
debug crypto ipsec - Pour voir la phase des ngociations IPSec (IKE phase 2).
debug crypto isakmp - Pour voir la phase des ngociations ISAKMP (IKE phase 1).
o o
IKE IKEDBG
o o o o
Armand Passelac
20.1. Introduction
Pour communiquer en rseau, deux PC doivent parler un langage commun. Ce langage en rseau peut tre TCP/IP, IPX/SPX ou NetBui. IPX est utilis par les rseaux lourds NOVELL, NetBui est utilis par les premiers rseaux Microsoft et IBM. TCP/IP est utilis sur INTERNET. IP est routable, l'adresse peut tre modifie en cours de route en fonction des saut dans les diffrents appariels de connexion. Ce routage permet de redirectionner des demandes une adresse dfinie vers une autre adresse. Ceci explique que TCP/IP est utilis dans les rseaux informatiques et sur Internet. Plusieurs langages (protocoles) peuvent cohabiter sur un mme rseau. Pour que 2 ordinateurs puissent dialoguer, ils doivent automatiquement parler au moins un mme protocole. Ceci semble peu important, mais si votre communication est TCP/IP sur Internet et NetBui sur le rseau local, il sera impossible un pirateur de passer d'un ordinateur l'autre par le rseau. Il est mme de dialoguer avec un routeur vers
INTERNET partir d'un rseau mais que le partage des ressources sur le rseau ne puisse se faire que par un des autres protocoles. De mme, si vous implantez un partage INTERNET sur un rseau, retirer TCP/IP sur la carte rseau d'un ordinateur l'empche d'aller sur Internet. Les adresses IP sont constitues de 4 chiffres variant de 0 255 chacun, par exemple 192.168.1.1. Les adresses ont t rassembles par classes. Chaque PC (ou installation rseau) peut communiquer avec les PC dans la mme classe d'adresse directement. Par contre, la communication d'une classe d'adresse l'autre ncessite un routeur, gnralement un appareil mais ce peut tre fait par certains programmes spcifiques. Les classes A et B sont rserves Internet (mais peuvent tre utilises sous rserve des rseaux internes). Lorsqu'un PC envoie un message via le rseau un autre PC, dans le signal envoy, se trouve l'adresse TCP/IP du PC de dpart et l'adresse TCP/IP du PC final. Nanmoins, cette vision est trop simpliste. INTERNET a galement inclus un autre paramtre qui s'appelle le port. Celui-ci est constitu de 65556 portes (de 0 65535). L'utilisation de ports permet de mlanger les accs de toutes sortes de logiciels de mme fonction (pensez par exemple Explorer et Netscape). L'application n'est donc plus caractris par son nom ou son type, mais bien par le numro de port qu'il utilise. INTERNET utilise 2 types de ports: en TCP (cas le plus courant) ou en UDP Dans le message, le numro de la porte est inscrit en en-tte du message, avec l'adresse IP de dpart et l'adresse IP de destination. La liste des ports ci-dessous est utilise pour le blocage (ou ouverture) des ports dans le cas de l'utilisation d'un firewall hardware. L'utilisation de pare-feux bass sous LINUX est identique.
Classe D
Classe E
Les adresses terminant par 0 et 255 ne sont pas utilisables. Remarque, la classe d'adresse 169.254.XXX.XXX n'est pas utilisable dans un rseau interne pour un partage Internet, cette plage d'adresse particulire ne l'accepte pas mme si elle est souvent donne par dfaut par DHCP de Windows.
8080
22
53
l'extrieur (Internet)
DHCP
Utilis pour une configuration automatique des adresses IP utilis par les news
protocole de courrier scuris IMAP 3 protocole de courrier scuris IMAP 4 MSN Messenger logiciel bancaire ISABEL Netbios Name Service NetBios NetBios Netbios Envoyer et recevoir les messages suivant une adresse TCP/IP locale de dpart et une adresse finale (le site). Permet le partage de fichiers et d'imprimantes et donc d'utiliser ce partage via INTERNET Fonctionnalit supplmenataire implante partir de Windows 2000 (pas millenium)
Les ports UDP 137, 138 et 139 sont utiliss dans le cas de partages de ressources dans les systmes d'exploitation Windows. Lorsqu'une station tablit une connexion un rpertoire partag sur une autre machine, le nom NetBios de la machine serveur est mis en correspondance avec son adresse IP. Puis la station tablit une connexion TCP vers la machine serveur en utilisant le port TCP 139. Pour finir, la station envoie une demande de session NetBios la machine serveur. Si le serveur est l'coute, il rpondra la requte et la session NetBios sera tablie. Par contre, si le serveur ne rpond pas ou que la station serveur est teinte, la session tentera d'tablir une connexion vers d'hypothtiques serveurs externes (sur INTERNET). Le port 138 est utilis pour l'change de donnes vers un ou plusieurs noms NetBios regroups sous une liste d'adresses IP ou dans une liste de diffusion.
25 53 80 110 443
SMTP Domain Name Server (DNS) World Wild Web POP3 (Post Office Protocol)
Courrier sortant navigation sur Internet Courier entrant Navigation sur certains sites scuriss
8080
Proxy de skynet
le port peut varie d'un fournisseur l'autre, doit tre ouvert sur toute la plage d'adresse 0 255.255.255.255 utilis dans certaines applications de connexion distance Ncessaire pour dtecter si l'adress IP correspond une adresse valide, gnralement ferm. Ce port est utilis identiquement en UDP et IP. Il doit normalement tre ferm en entre sur le rseau interne. utilis par les news
22
53
Gopher protocol protocole de courrier scuris IMAP 3 protocole de courrier scuris IMAP 4 MSN Messenger logiciel bancaire ISABEL DHCP Netbios Name Service NetBios NetBios Netbios Envoyer et recevoir les messages suivant une adresse TCP/IP locale de dpart et une adresse finale (le site). Utilis pour une configuration automatique des adresses IP Permet le partage de fichiers et d'imprimantes et donc d'utiliser ce partage via INTERNET Fonctionnalit supplmentaire implante partir de Windows 2000 (pas millenium)
Service
Description Utilis pour la dtection des sites lors de la navigation Utilis pour une configuration automatique des adresses IP, normalement fermer pour INTERNET, pas l'intrieur du rseau
68
DHCP
Je vous renvoie aux sites spcialiss pour la signification des autres ports IP et UDP