École Supérieure d Économie Électronique Chap 9: Composants et systèmes de sécurité 1 Rhouma Rhouma 21 Juillet 2014 2 tagging et port trunk Création des via les commandes sur switch cisco 1 / 48 2 / 48 1 1 2 tagging et port trunk Création des via les commandes sur switch cisco 2 tagging et port trunk Création des via les commandes sur switch cisco 3 / 48 4 / 48
Principe du filtrage des paquets Le filtrage se fait en analysant les entetes IP, TCP et UDP on définit une règle de filtrage en considérant : @IP source @TP destination Port source Port destination Protocole encapsulé (ICMP, UDP, TCP,...) Flag ACK (de TCP) Type de message ICMP à chaque règle est associé une action : laisser passer le packet OU bloquer (détruire) le paquet 5 / 48 6 / 48 Exemple de règle de filtrage Types de filtrage Autoriser l extérieur à accéder au service Web sur le réseau périphérique Filtrage sans état : Stateless filtrage de chaque packet et le comparer avec une lite de règles préconfigurés (ACL) implémnté sur les routeurs et les systèmes d exploitation Filtrage à état : Statefull tracer les connexions et les sessions ds des tables d états internes au firewall décider en fonction des ététs des connexions l application des règles est possible sans lecture de ACL à chaque fois (les paquets d une connexion actives seront acceptés) Filtrage applicatif (firewall Proxy) réalisé au niveau de la couche application permet d extraire les données du protocole applicatif chaque protocole est filtré par un processus dédié 7 / 48 8 / 48
Processus de développement des filtres Processus de développement des filtres définitions des régles de filtrage utiliser le max des critères (@IP, port, ACK, etc) Pour chaque service interne et externe définir les règles pour autoriser les utilisateurs internes à accéder à des services externes définir les règles pour autoriser les utilisateurs externes à accéder à des serveurs ds le réseau interne Pour un service à autoriser accepter le flux dans les deux sens (client -> serveur et serveur -> client) Pour un service à bloquer il suffit de bloquer le flux du client->serveur Soit la politique de sécurité : Accepter HTTP en entrée et en sortie et rien d autre 9 / 48 10 / 48 Processus de développement des filtres Access Control List ACL une ACL doit etre associée à une interface du filtre routeur interface in : paquets entrants ds le routeur interface out : paquets sortant du routeur 11 / 48 12 / 48
ACL : Processus de controle des paquets ACL numbers un paquet est comparé aux regles de l ACL d une manière séquentielle Top-Down La comparaison s arrete dès qu un paquet vérifie l une des règles de l ACL l action (permit/deny) de la règle trouvée est appliquée au paquet les ACL se terminent par une regle "deny all" implicite pour rejeter tous les paquets qui ne vérifient aucune règle 13 / 48 14 / 48 Standard IP Access Lists (1-99) 1 2 tagging et port trunk Création des via les commandes sur switch cisco Filtrage en se basant sur l @ IP source uniquement se placent près de la destination syntaxe création de l ACL : Router(config)# access-list num-list {deny permit} source [wilcard mask][log] Associer l ACL à une interface du routeur : Router(config)# interface [port-du-routeur] Router(config-if)# ip access-group num-list {in/out} 15 / 48 16 / 48
Standard IP Access Lists (1-99) Standard IP Access Lists (1-99) Le champ source : A.B.C.D : @IP any : n importe quel hôte hôte particulier : hostname Le champ Wilcard mask : 32 bits Les bits 0 signifient que les ces positions de bits doivent etre vérifiés (match) Les bits 1 signifient que les ces positions de bits sont ignorés exemples : Router(config)# access-list 14 deny 192.168.16.0 0.0.0.255 (tous les hôtes) Router(config)# access-list 14 deny 192.168.16.0 0.0.0.127 (la 1ere moitié des hôtes) Router(config)# access-list 14 deny 192.168.16.128 0.0.0.127 (la 2eme moitié des hôtes) Exemple : Permettre l acheminement du trafic du réseau 192.168.1.0 vers Internet et vers le réseau 172.16.0.0. Router(config)# access-list 11 permit 192.168.1.0 0.0.0.255 Router(config)# int S0 Router(config-if)# ip access-group 11 out Router(config)# int E1 Router(config-if)# ip access-group 11 out 17 / 48 18 / 48 1 2 tagging et port trunk Création des via les commandes sur switch cisco Filtrage en se basant sur : @IP source et @IP destination Port source et port destination (filtrage par service) Type de protocole de transport Se placent près de la source Syntaxe : création de la liste d accès : Router(config)# access-list num-list-access {deny permit} protocol source [source-mask] destination [destination-mask] [operator operand] Associer la liste d accès à une interface du routeur filtre : Router(config)# interface [port-du-routeur] Router(config-if)# ip access-group num-list {in/out} 19 / 48 20 / 48
Le champ "protocol" Les champs "source" et "destination" Le champ "protocol" peut avoir plusieurs valeurs : Source : A.B.C.D : @IP source any : n importe quel station host : nom d une station particulière exemple : Router(config)# access-list 112 permit tcp 192.168.2.1... Destination : A.B.C.D : @IP destination any : n importe quel station host : nom d une station particulière exemple : Router(config)# access-list 112 permit tcp 192.168.2.1 any... Exemple : Router(config)# access-list 112 permit tcp... 21 / 48 22 / 48 Le champ "operator" Le champ "operand" Le champ "operand" peut prendre plusieurs valeurs : Le champ "operator" peut prendre plusieurs valeurs : Exemple : Router(config)# access-list 112 permit tcp 192.168.2.1 any eq... Exemple : Router(config)# access-list 112 permit tcp 192.168.2.1 any eq 25 23 / 48 24 / 48
Exemple Refuser l accès du réseau 221.23.123.0 au serveur FTP (TCP/21) 198.150.13.34 et permettre les autres services Extended ACL : placer la règle près de la source Écrire l ACL dans le routeur C et l appliquer à l interface E0 Router(config)# access-list 113 deny tcp 221.23.123.0 0.0.0.255 host 198.150.13.34 eq 21 Router(config)# access-list 113 permit ip 221.23.123.0 0.0.0.255 0.0.0.0 255.255.255.255 Router(config)# int E0 Router(config-if)# ip access-group 113 in 1 2 tagging et port trunk Création des via les commandes sur switch cisco 25 / 48 26 / 48 Définitions 1 2 tagging et port trunk Création des via les commandes sur switch cisco La technique des s (Virtual Local Area Network) permet de donner au réseau l architecture logique souhaitée par l administrateur, en le libérant de certaines contraintes physiques C est une technique de segmentation, qui participe donc à la sécurité Cependant, les protocoles utilisés ne sont pas spécialement conçus pour être «sécurisés» Il faut donc utiliser cette technique quand elle est vraiment utile, et maîtriser les conséquences sur la sécurité du réseau 27 / 48 28 / 48
exemple Les s doivent être utilisés pour : regrouper des postes selon un critère logique et non plus géographique gérer correctement la mobilité des postes contrôler la taille des domaines de broadcast Leur utilisation n est pas motivée par des raisons liées à la sécurité, mais à l architecture La conception d une architecture bien pensée, avec si besoin l utilisation des est le prérequis à une bonne gestion de la sécurité Trois domaines de broadcast dans les deux cas : à gauche : Sans : 1 routeur et 3 switchs à droite : avec : 1 routeur et 1 switch 29 / 48 30 / 48 Role du switch Le switch doit maintenir une table pour chaque (besoin de mémoire) L apprentissage des adresses MAC des machines se fait par Le routeur a une interface (ou sous-interface) dans chaque (passerelle pour ce ) Le routeur verra : les trames qui lui sont adressées (en tant que passerelle) les trames de broadcast Les s sont crées au niveau des ports des switchs pour qu une machine soit assigné à un, elle doit etre assignée une @IP qui appartienne au sous-réseau approprié du. =sous-réseau faire assigner une machine à un sur deux étapes : connecter la machine au port approprié du switch donner une @IP à la machine dépendant du sous-réseau du concerné 31 / 48 32 / 48
1 Deux s sur un switch interet : mettre deux réseaux IP différents sur le même switch 2 tagging et port trunk Création des via les commandes sur switch cisco 33 / 48 34 / 48 Deux s propagés sur deux switchs Interconnexion pas très pratique... A éviter absolument! Deux s propagés sur deux switchs avec lien en mode trunk (étiquetage des trames, 802.1q ou ISL) 35 / 48 36 / 48
Types de s tagging et port trunk 1 2 tagging et port trunk Création des via les commandes sur switch cisco 37 / 48 38 / 48 tagging (étiquetage) tagging et port trunk C est une modification de l en-tête de niveau 2, pour qu elle puisse porter la mention de l appartenance à un le tagging est utilisé lorsqu un lien est partagé par plusieurs s trunk link (liaison trunk) : lien entre deux switchs pour relier les stations des s le tagging ajoute une entête (ID ) au packet pour designer son appartenance à un le packet sera transféré en fonction du tag (ID ) une fois le packet est transféré au switch approprié, le tag sera enlevé du packet tagging et port trunk il y a deux méthodes pour le tagging : Inter-Switch Link (ISL) de Cisco et IEEE 802.1Q. ISL était le plus utilisé mais mnt remplacé par 802.1Q 39 / 48 40 / 48
Port trunk tagging et port trunk Trame ethernet 802.1Q tagging et port trunk On appelle «port en mode trunk» un port pour lequel l étiquetage des trames a été activé Ils sont utilisés entre deux switchs ou entre un routeur et un switch Ils peuvent être configurés pour transporter tous les s, ou une partie d entre eux seulement Ils n appartiennent à aucun, sauf dans le cas où un particulier a été prévu pour assurer une connectivité minimum au cas où l étiquetage serait défectueux Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk encapsulation? dot1q : interface uses only 802.1q trunking encapsulation when trunking isl - interface uses only ISL trunking encapsulation when trunking TPID : type du tag, 0x8100 pour 802.1Q Priorité : niveaux de priorité définis par l IEEE 802.1P CFI : Ethernet ou token-ring VID : identifier, jusqu à 4096 vlans 41 / 48 42 / 48 Création des via les commandes sur switch cisco créer un Création des via les commandes sur switch cisco 1 2 tagging et port trunk Création des via les commandes sur switch cisco Assigner le port 9 au numero 10 : Switch(config)#interface fastethernet 0/9 Switch(config-if)#switchport access vlan 10 access : veut dire que ce port est un port d accès et non un port trunk 43 / 48 44 / 48
Création des via les commandes sur switch cisco Création des via les commandes sur switch cisco Switch(config)#interface fastethernet 0/5 Switch(config-if)#switchport access vlan 2 Switch(config-if)#exit Switch(config)#interface fastethernet 0/6 Switch(config-if)#switchport access vlan 2 Switch(config-if)#exit Switch(config)#interface fastethernet 0/7 Switch(config-if)#switchport access vlan 2 45 / 48 46 / 48 autrement Création des via les commandes sur switch cisco Montrer les s Création des via les commandes sur switch cisco Switch(config)#interface range fastethernet 0/8, fastethernet 0/12 Switch(config-if)#switchport access vlan 3 Switch(config-if)#exit 47 / 48 48 / 48