Objectifs de certification

IINS 100-105

  • 1.1 Principes courants de sécurité * 1.1.a Décrire la confidentialité, l'intégrité, la disponibilité (CIA) * 1.1.b Décrire la technologie SIEM * 1.1.c Identifier les termes courants de sécurité * 1.1.d Identifier les zones courants de sécurité du réseau
  • 5.4 Mettre en œuvre un pare-feu basé sur une zone * 5.4.a Zone à zone * 5.4.b Self zone

Lab Cisco IOS Zone Based Firewall

Introduction

Cet exercice de mise en oeuvre d’un pare-feu IOS ZBF est accessoire au vu des objectifs du CNNA.

Il démontre toutefois l’usage des ACLs et du NAT dans un contexte sécurisé.

Topologie

Configuration

Configuration de départ

enable secret mot_de_passe
!
hostname R1
ip domain name entreprise.lan
ip name-server 8.8.8.8
ip domain-lookup
!
ip dns server
!
username root secret mot_de_passe
!
line vty 0 4
 login local
!
crypto key generate rsa

Service DHCP (LAN et DMZ)

! ip dhcp excluded-address 192.168.59.1 192.168.59.99
! ip dhcp excluded-address 192.168.101.1 192.168.101.159
!
ip dhcp pool DHCP_LAN
   network 192.168.59.0 255.255.255.0
   default-router 192.168.59.1
   dns-server 192.168.59.1
!
ip dhcp pool DHCP_DMZ
   network 192.168.101.0 255.255.255.0
   default-router 192.168.101.1
   dns-server 192.168.101.1

Interfaces et routage IPv4

interface G0/1
 description interface zone WAN
 ! ip address 10.0.0.2 255.255.255.0
 ip address dhcp
 ! ip nat outside
 no shutdown
!
interface G0/0
 description interface zone LAN
 ip address 192.168.59.1 255.255.255.0
 ! ip nat inside
 no shutdown
!
interface G0/2
 description interface zone DMZ
 ip address 192.168.101.1 255.255.255.0
 ! ip nat inside
 no shutdown
!
! ip route 0.0.0.0 0.0.0.0 10.0.0.1

NAT Overload

ip nat inside source list LAN_NAT interface G0/1 overload
!
ip access-list standard LAN_NAT
 permit 192.168.59.0 0.0.0.255
 permit 192.168.101.0 0.0.0.255
!
interface G0/1
 description interface zone WAN
 ip nat outside
!
interface G0/0
 description interface zone LAN
 ip nat inside
!
interface G0/2
 description interface zone DMZ
 ip nat inside

Diagnostic

  • show ip interface brief
  • show ip route
  • ping cisco.goffinet.org
  • ping 8.8.8.8
  • show ip route
  • ping (étendu sur l’interface G0/0 LAN)
  • traceroute (étendu sur l’interface G0/0 LAN)
  • show ip nat translations
  • show ip dhcp binding
  • debug ip nat …
  • debug ip dhcp …

Ajout d’une station pirate

Cisco ZBF

Zone-based policy firewall

Le modèle de configuration Zone-based policy firewall (ZPF or ZBF or ZFW) a été introduit en 2006 avec l’IOS 12.4(6)T.

Avec ZBF, les interfaces sont assignées à une des zones sur lesquelles une règle d’inspection du trafic (inspection policy) est appliquée. Elle vérifie le trafic qui transite entre les zones.

Une règle par défaut bloque tout trafic tant qu’une règle explicite ne contredit pas ce comportement.

ZBF supporte toutes les fonctionnalités Stateful Packet Inspection (SPI), filtrage des URLs et contre-mesure des DoS.

Principes ZBF

Une zone doit être configurée (créée) avant qu’une interface puisse en faire partie. Une interface ne peut être assignée qu’à une seule zone.

Tout le trafic vers ou venant d’une interface donnée est bloqué quand elle est assignée à une zone sauf pour le trafic entre interfaces d’une même zone et pour le trafic du routeur lui-même (Self zone).

Une politique de sécurité (zone-pair) peut contrôler le trafic entre deux zones en faisant référence à un en ensemble de règles (policy-map).

Un policy-map prend des actions et fait référence à des critères de filtrage (class-maps).

Quand du trafic passe d’une zone à une autre (zone-pair), un policy-map est appliqué.

Pour chaque class-map (critère de filtrage) du policy-map, une action est prise : pass, inspect ou drop de manière séquentielle.

Il est conseillé de travailler dans un éditeur de texte avant d’appliquer les règles du firewall

Inspect

Met en place un pare-feu à état (équivalent à la commande ip inspect) SPI.

Capable de suivre les protocoles comme ICMP ou FTP (avec de multiples connexions data et session)

Pass

Équivalent à l’action permit d’un ACL.

Ne suit pas l’état des connexions ou des sessions.

Nécessite une règle correspondante pour du trafic de retour.

Drop

Équivalent à l’action deny d’un ACL.

Une option log est possible pour journaliser les paquets rejetés.

Trois actions sur les class-maps

Règles de filtrage : policy-maps

Les actions Inspect, Pass et Drop ne peuvent être appliquées qu’entre des interfaces appartenant à des zones distinctes.

La Self zone, la zone du routeur/parefeu comme source ou destination est une exception à ce refus implicite de tout. Tout le trafic vers n’importe quelle interface du routeur est autorisé jusqu’au moment où il est implicitement refusé.

Les interfaces qui ne participent pas à ZBF fonctionnent comme des ports classiques et peuvent utiliser une configuration SPI/CBAC.

Cisco Policy Language (CPL)

Règles :

  1. Définir des class-maps (critères de filtrage) qui décrivent le trafic que la politique de sécurité va vérifier à travers un policy-map.
  2. Définir les policy-maps qui définissent les politiques de sécurités : le trafic filtré et l’action à prendre : drop, pass, inspect

Zones :

  1. Définir les zones (zone security)
  2. Assigner les interfaces aux zones (zone-member security)
  3. Définir les zone-pairs (zone-pair security) Application :
  4. Appliquer les policy-maps aux zone-pairs (service-policy)

Labs Pare-feu

  • Pare-feu 1 : LAN vers Internet
  • Pare-feu 2 : Mise en place d’une DMZ
  • Pare-feu 3 : Configuration de la DMZ
  • Pare-feu 4 : Sécurisation du pare-feu lui-même

Guides de l’ANSSI

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) en France assure la mission d’autorité nationale en matière de sécurité des systèmes d’information. L’agence publie toute une série d’auto-formations et de guides que l’on peut trouver sur http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/ et sur http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/. Une lecture du document “Recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu” est fortement recommandée.

Lab Pare-feu 1 : LAN vers Internet

Pare-feu 1 : LAN - Internet

Cette configuration en quatre étapes met en place le par-feu SPI qui vérifie le trafic HTTP, HTTPS, DNS et ICMP à destination de l’Internet.

  1. Class-maps
  2. Policy-map
  3. Zones et interfaces
  4. Zone-pair

Étape 1. Class-maps

Les Class-maps décrivent le trafic qui est permis entre les zones (selon la politique de sécurité) :

conf t
 class-map type inspect match-any internet-trafic-class
  match protocol http
  match protocol https
  match protocol dns
  match protocol icmp
  • match-any demande correspondance sur n’importe quel critère.
  • match-all demande correspondance sur tous les critères du Class-map.

Étape 2. Policy-map

Un Policy-map, politique de sécurité, reprend l’ensemble de vos critères de filtrage (Class-maps) :

conf t
 policy-map type inspect internet-trafic-policy
  class type inspect internet-trafic-class
   inspect
end

Étape 3. Zones et interfaces

Configuration des zones et assignation des interfaces :

conf t
zone security lan
zone security internet
!
interface G0/0
 zone-member security lan
interface G0/1
 zone-member security internet
end

Étape 4. Zone-pair

Configuration du lien “zone-pair” et application de la policy-map appropriée :

conf t
zone-pair security lan-internet source lan destination internet
  service-policy type inspect internet-trafic-policy
end

Étape 5. Vérification

show zone security
show zone-pair security
show policy-map type insp zone-pair

Show zone security

R1#show zone security
zone self
  Description: System defined zone
zone lan
  Member Interfaces:
    GigabitEthernet0/0
zone internet
  Member Interfaces:
    GigabitEthernet0/1

Show zone-pair security

R1#show zone-pair security
Zone-pair name lan-internet
    Source-Zone lan  Destination-Zone internet
    service-policy internet-trafic-policy

Show policy-map

R1#show policy-map type inspect zone-pair
 Zone-pair: lan-internet

  Service-policy inspect : internet-trafic-policy

    Class-map: internet-trafic-class (match-any)
      Match: protocol http
        1026 packets, 32904 bytes
        30 second rate 0 bps
      Match: protocol https
        245 packets, 7840 bytes
        30 second rate 0 bps
      Match: protocol icmp
        1 packets, 64 bytes
        30 second rate 0 bps
      Inspect
        Packet inspection statistics [process switch:fast switch]
        tcp packets: [121:673832]
        icmp packets: [0:6]

        Session creations since subsystem startup or last reset 1272
        Current session counts (estab/half-open/terminating) [80:0:3]
        Maxever session counts (estab/half-open/terminating) [112:21:13]
        Last session created 00:00:04
        Last statistic reset never
        Last session creation rate 75
        Maxever session creation rate 128
        Last half-open session total 0

    Class-map: class-default (match-any)
      Match: any
      Drop (default action)
        38 packets, 24990 bytes

Lab Pare-feu 2 : Mise en place d’une DMZ

Etape 2 : Mise en place de la DMZ

Procédure

  • Mise en place de la connectivité
  • Serveur en DMZ (service HTTP et SSH)
  • Vérification à partir du routeur
  • Vérification à partir du LAN
  • Audit externe
  • Pratiques
  • interface et connectivité
  • routage
  • scan de ports
  • tests de service HTTP, DNS et SSH

Serveur en DMZ

On connecte un serveur sur l’interface DMZ (client DHCP) :

Activer l’interface du serveur :

ifup eth0
Démarrer le service SSH :
/etc/init.d/ssh start
Démarrer le service Apache (HTTP) :
/etc/init.d/apache2 start

Il est peut être plus simple de demander à python2 de monter un “SimpleHTTPServer”

# python -m SimpleHTTPServer 80

Vérification à partir du routeur : interfaces

#show ip interface brief

Les interfaces G0/1 (WAN), G0/0 (LAN) et G0/2 (DMZ) du routeur sont up/up

Vérification à partir du routeur : clients DHCP

show ip dhcp binding

On reconnaît l’adresse du serveur DMZ : 192.168.101.2

Vérification à partir du routeur : routage IPv4

R1#show ip route

Vérification à partir du routeur : test de connectivité

R1#ping 192.168.101.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.101.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/25/56 ms

Vérification à partir du LAN : association de la DMZ à une zone

Tant que l’interface n’est associée à aucune zone, le trafic de/vers le routeur lui-même (Self-zone) est le seul possible.

Entre-temps, afin de tester la connectivité, on peut inclure l’interface G0/2 (DMZ) dans la zone Internet :

configure terminal
interface G0/2
 zone-member security internet

Vérification : association de l’interface à une zone

Vérification des interfaces associées aux zones:

R1#show zone-pair security
Zone-pair name lan-internet
    Source-Zone lan  Destination-Zone internet
    service-policy lan-internet-policy
R1#show zone security
zone self
  Description: System defined zone
zone lan
  Member Interfaces:
    GigabitEthernet0/0
zone internet
  Member Interfaces:
    GigabitEthernet0/1
    GigabitEthernet0/2

Vérification à partir du LAN : test de connectivité vers le serveur

A partir d’une station Linux du LAN :

root@US1:/home/francois# ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 08:00:27:94:02:20
          inet adr:192.168.59.6  Bcast:192.168.59.255  Masque:255.255.255.0
          adr inet6: fe80::a00:27ff:fe94:220/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Packets reçus:3096 erreurs:0 :0 overruns:0 frame:0
          TX packets:1990 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          Octets reçus:4449836 (4.4 MB) Octets transmis:151806 (151.8 KB)

root@US1:/home/francois# ping -c 1 192.168.101.2
PING 192.168.101.2 (192.168.101.2) 56(84) bytes of data.
64 bytes from 192.168.101.2: icmp_seq=1 ttl=63 time=30.8 ms

--- 192.168.101.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 30.804/30.804/30.804/0.000 ms

Vérification à partir du LAN : scan des ports

A partir d’une station Linux du LAN avec le logiciel nmap :

root@US1:/home/francois# nmap 192.168.101.2

Starting Nmap 6.40 ( http://nmap.org ) at 2014-12-02 12:49 CET
Nmap scan report for 192.168.101.2
Host is up (0.033s latency).
Not shown: 997 filtered ports
PORT    STATE  SERVICE
53/tcp  closed domain
80/tcp  open   http
443/tcp open   https

Nmap done: 1 IP address (1 host up) scanned in 6.49 seconds
HTTP (TCP80) est disponible, TCP53 (DNS) est filtré.

Vérification à partir du LAN : test du service Web

A partir d’une station Linux du LAN avec le logiciel wget (ou curl) qui permettent de tester HTTP en ligne de commande :

root@US1:/home/francois# wget http://192.168.101.2
--2014-12-02 12:50:27--  http://192.168.101.2/
Connexion vers 192.168.101.2:80... connecté.
requête HTTP transmise, en attente de la réponse... 200 OK
Taille : 4454 (4,3K) [text/html]
Enregistre : «index.html.2»

100%[======================================>] 4 454       --.-K/s   ds 0,02s

2014-12-02 12:50:27 (182 KB/s) - «index.html.2» enregistré [4454/4454]

Audit externe : connectivité

root@kali:~# ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 08:00:27:a6:a3:45
          inet adr:192.168.1.18  Bcast:192.168.1.255  Masque:255.255.255.0
          adr inet6: fe80::a00:27ff:fea6:a345/64 Scope:Lien
          adr inet6: 2001:470:ca5e:0:a00:27ff:fea6:a345/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:74 errors:0 dropped:0 overruns:0 frame:0
          TX packets:72 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:9103 (8.8 KiB)  TX bytes:9779 (9.5 KiB)
root@kali:~# ip route
default via 192.168.1.1 dev eth0
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.18

Audit externe : routage

root@kali:~# ip route add 192.168.101.0/24 via 192.168.1.9
root@kali:~# ip route
default via 192.168.1.1 dev eth0
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.18
192.168.101.0/24 via 192.168.1.9 dev eth0

Audit externe : test de connectivité

Interface f1/0 (DMZ) du routeur :

root@kali:~# ping -c 1 192.168.101.1
PING 192.168.101.1 (192.168.101.1) 56(84) bytes of data.
64 bytes from 192.168.1.9: icmp_req=1 ttl=255 time=50.4 ms
--- 192.168.101.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 50.429/50.429/50.429/0.000 ms

Interface du serveur en DMZ :

root@kali:~# ping -c 1 192.168.101.2
PING 192.168.101.2 (192.168.101.2) 56(84) bytes of data.
64 bytes from 192.168.101.2: icmp_req=1 ttl=63 time=24.9 ms
--- 192.168.101.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 24.937/24.937/24.937/0.000 ms

Audit externe : scan de ports

root@kali:~# nmap 192.168.101.2

Starting Nmap 6.47 ( http://nmap.org ) at 2014-12-02 13:05 CET
Nmap scan report for 192.168.101.2
Host is up (0.020s latency).
Not shown: 997 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http
443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 13.05 seconds

SSH, HTTP et HTTPS ouverts

Audit externe : services Web et SSH

root@kali:~# wget http://192.168.101.2/
--2014-12-02 13:06:52--  http://192.168.101.2/
Connexion vers 192.168.101.2:80...connecté.
requête HTTP transmise, en attente de la réponse...200 OK
Longueur: 4454 (4,3K) [text/html]
Sauvegarde en : «index.html»

100%[======================================>] 4 454       --.-K/s   ds 0,03s

2014-12-02 13:06:53 (132 KB/s) - «index.html» sauvegardé [4454/4454]
root@kali:~# nc -v 192.168.101.2 22
192.168.101.2: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [192.168.101.2] 22 (ssh) open
SSH-2.0-OpenSSH_5.3p1 Debian-3ubuntu4

Lab Pare-feu 3 : Configuration de la DMZ

Étape 3 : configuration de la DMZ

Cette configuration nécessite trois grandes étapes de configuration qui correspondent aux politiques de sécurité :

  • Mise en place d’une politique de filtrage du LAN à la DMZ.
  • Mise en place d’une politique de filtrage de l’Internet à la DMZ.
  • Mise en place d’une politique de filtrage de la DMZ à l’Internet.

Pare-feu 3a : lan-dmz

Inspection du trafic HTTP, HTTPS et SSH à destination de la DMZ venant du LAN :

Configuration lan-dmz

class-map type inspect match-any lan-dmz-class
 match protocol http
 match protocol https
 match protocol ssh
policy-map type inspect lan-dmz-policy
 class type inspect lan-dmz-class
 inspect
zone security dmz
zone-pair security lan-dmz source lan destination dmz
 service-policy type inspect lan-dmz-policy
interface g0/2
 zone-member security dmz
end

Vérification lan-dmz du service SSH

root@US1:/home/francois# ssh root@192.168.101.2
The authenticity of host '192.168.101.2 (192.168.101.2)' can't be established.
RSA key fingerprint is b2:e6:c0:2b:67:86:49:40:10:38:a2:14:1a:7f:55:32.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.101.2' (RSA) to the list of known hosts.
root@192.168.101.2's password:

Vérification lan-dmz du service HTTP

root@US1:/home/francois# wget http://192.168.101.2
--2014-12-02 14:07:50--  http://192.168.101.2/
Connexion vers 192.168.101.2:80... connecté.
requête HTTP transmise, en attente de la réponse... 200 OK
Taille : 4454 (4,3K) [text/html]
Enregistre : «index.html.3»

100%[======================================>] 4 454       --.-K/s   ds 0,02s

2014-12-02 14:07:50 (260 KB/s) - «index.html.3» enregistré [4454/4454]

Constats après l’application de la politique LAN-DMZ

Le trafic ICMP est bloqué venant du LAN

Le serveur devient injoignable de l’Internet :

root@kali:~# nmap 192.168.101.2

Starting Nmap 6.47 ( http://nmap.org ) at 2014-12-02 14:10 CET
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.23 seconds

Pare-feu 3b : internet-dmz

Le pare-feu va inspecter le trafic HTTP et HTTPS venant de l’Internet à destination de la DMZ :

Configuration internet-dmz

interface G0/2
 zone security dmz
class-map type inspect match-any internet-dmz-class
 match protocol http
 match protocol https
policy-map type inspect internet-dmz-policy
 class type inspect internet-dmz-class
 inspect
zone-pair security internet-dmz source internet destination dmz
 service-policy type inspect internet-dmz-policy
end

Vérification : show zone security

R1#show zone security
zone self
  Description: System defined zone
zone lan
  Member Interfaces:
    GigabitEthernet0/0
zone internet
  Member Interfaces:
    GigabitEthernet0/1
zone dmz
  Member Interfaces:
    GigabitEthernet0/2

Vérification : show zone-pair

show zone-pair security
Zone-pair name lan-internet
    Source-Zone lan  Destination-Zone internet
    service-policy lan-internet-policy
Zone-pair name lan-dmz
    Source-Zone lan  Destination-Zone dmz
    service-policy lan-dmz-policy
Zone-pair name internet-dmz
    Source-Zone internet  Destination-Zone dmz
    service-policy internet-dmz-policy

Vérification : show policy-map

R1#show policy-map type insp zone-pair
  Service-policy inspect : internet-dmz-policy

    Class-map: internet-dmz-class (match-any)
      Match: protocol http
        2 packets, 44 bytes
        30 second rate 0 bps
      Match: protocol https
        5 packets, 120 bytes
        30 second rate 0 bps
      Inspect
        Packet inspection statistics [process switch:fast switch]
        tcp packets: [0:18]

        Session creations since subsystem startup or last reset 6
        Current session counts (estab/half-open/terminating) [0:0:0]
        Maxever session counts (estab/half-open/terminating) [0:2:0]
        Last session created 00:00:37
        Last statistic reset never
        Last session creation rate 6
        Maxever session creation rate 6
        Last half-open session total 0

    Class-map: class-default (match-any)
      Match: any
      Drop (default action)
        1998 packets, 47932 bytes

Audit externe : scan de ports

root@kali:~# nmap 192.168.101.2

Starting Nmap 6.47 ( http://nmap.org ) at 2014-12-02 14:19 CET
Nmap scan report for 192.168.101.2
Host is up (0.034s latency).
Not shown: 998 filtered ports
PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 5.32 seconds

Audit externe : trafic web

root@kali:~# wget http://192.168.101.2/
--2014-12-02 14:32:39--  http://192.168.101.2/
Connexion vers 192.168.101.2:80...connecté.
requête HTTP transmise, en attente de la réponse...200 OK
Longueur: 4454 (4,3K) [text/html]
Sauvegarde en : «index.html.1»

100%[======================================>] 4 454       --.-K/s   ds 0,03s

2014-12-02 14:32:39 (140 KB/s) - «index.html.1» sauvegardé [4454/4454]

Règle NAT de transfert de port

ip nat inside source static tcp 192.168.101.2 80 interface G0/1 80
!
ip nat inside source static tcp 192.168.101.2 443 interface G0/1 443

Pare-feu 3c : dmz-internet

Le trafic à inspecter est le même que celui du lan vers l’Internet.

Création d’une zone-pair

Il s’agit de permettre aux ordinateurs de la DMZ d’accéder à l’Internet en HTTP, HTTPS, ICMP et DNS, soit la même politique de sécurité que celle qui règle le flux entre le LAN et l’Internet.

Le policy-map “internet-trafic-policy” inspecte ce trafic. Comme elle existe déjà, il suffit de la réutiliser dans la création du zone-pair :

zone-pair security dmz-internet source dmz destination internet
 service-policy type inspect internet-trafic-policy
end

Lab Pare-feu 4 : Sécurisation du pare-feu lui-même

Self-zone

Le routeur doit être capable de gérer des connexions SSH ou ICMP venant de l’extérieur :

Audit externe sur le pare-feu

root@kali:~# nmap 192.168.1.9

Starting Nmap 6.47 ( http://nmap.org ) at 2014-12-02 15:24 CET
Nmap scan report for 192.168.1.9
Host is up (0.058s latency).
Not shown: 997 closed ports
PORT   STATE SERVICE
22/tcp open  ssh
23/tcp open  telnet
53/tcp open  domain
MAC Address: C4:01:11:F8:00:00 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 86.97 seconds

SSH et Telnet sont disponibles

Audit externe sur le pare-feu

root@kali:~# nc -v 192.168.1.9 22
192.168.1.9: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [192.168.1.9] 22 (ssh) open
SSH-1.5-Cisco-1.25
^C
root@kali:~# nc -v 192.168.1.9 23
192.168.1.9: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [192.168.1.9] 23 (telnet) open
▒▒▒▒▒▒▒▒

User Access Verification

Username:

Opérations

Dans cet exercice de renforcement de la sécurité du routeur, on fera la démonstration uniquement pour le trafic qui vient de la zone Internet.

Soit un seul zone-pair est créé pour contrôler le trafic venant de l’Internet à destination du routeur lui-même.

Le trafic de gestion SSH est autorisé (pass)

Le trafic ICMP est inspecté (inspect)

Tout autre trafic est refusé et journalisé (DROP LOG)

Tout autre trafic partant ou à destination du pare-feu reste autorisé par défaut.

Mise en place du pare-feu

ip access-list extended SSH
 permit tcp any any eq 22
 deny tcp any any
class-map type inspect match-all remote-access-class
 match access-group name SSH
class-map type inspect match-any icmp-class
 match protocol icmp
policy-map type inspect to-self-policy
 class type inspect remote-access-class
  pass
 class type inspect icmp-class
  inspect
 class class-default
  drop log
zone-pair security internet-self source internet destination self
 service-policy type inspect to-self-policy

Audit externe

root@kali:~# nmap 192.168.1.9

Starting Nmap 6.47 ( http://nmap.org ) at 2014-12-02 16:33 CET
Nmap scan report for 192.168.1.9
Host is up (0.065s latency).
Not shown: 999 filtered ports
PORT   STATE SERVICE
22/tcp open  ssh
MAC Address: C4:01:11:F8:00:00 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 8.56 seconds

Seul SSH est disponible

Audit externe

root@kali:~# nc -v 192.168.1.9 22
192.168.1.9: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [192.168.1.9] 22 (ssh) open
SSH-1.5-Cisco-1.25
^C
root@kali:~# ping -c 1 192.168.1.9
PING 192.168.1.9 (192.168.1.9) 56(84) bytes of data.
64 bytes from 192.168.1.9: icmp_req=1 ttl=255 time=53.4 ms

--- 192.168.1.9 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 53.438/53.438/53.438/0.000 ms

Configuration

!
hostname R1
!
ip dhcp pool LAN
   network 192.168.59.0 255.255.255.0
   default-router 192.168.59.1
   dns-server 192.168.59.1
!
ip dhcp pool DMZ
   network 192.168.101.0 255.255.255.0
   default-router 192.168.101.1
   dns-server 192.168.101.1
!
ip domain name lan
!
ip domain-lookup
!
username root secret testtest
!
class-map type inspect match-any internet-dmz-class
 match protocol http
 match protocol https
class-map type inspect match-all icmp-class
 match protocol icmp
class-map type inspect match-any remote-access-class
 match access-group name SSH
class-map type inspect match-any internet-trafic-class
 match protocol dns
 match protocol http
 match protocol https
 match protocol icmp
class-map type inspect match-any lan-dmz-class
 match protocol http
 match protocol https
 match protocol ssh
!
!
policy-map type inspect to-self-policy
 class type inspect remote-access-class
  pass
 class type inspect icmp-class
  inspect
 class class-default
  drop log
policy-map type inspect lan-dmz-policy
 class type inspect lan-dmz-class
  inspect
 class class-default
policy-map type inspect internet-dmz-policy
 class type inspect internet-dmz-class
  inspect
 class class-default
policy-map type inspect lan-internet-policy
 class type inspect internet-trafic-class
  inspect
 class class-default
!
zone security lan
zone security internet
zone security dmz
zone-pair security lan-internet source lan destination internet
 service-policy type inspect lan-internet-policy
zone-pair security lan-dmz source lan destination dmz
 service-policy type inspect lan-dmz-policy
zone-pair security internet-dmz source internet destination dmz
 service-policy type inspect internet-dmz-policy
zone-pair security internet-self source internet destination self
 service-policy type inspect to-self-policy
!
interface G0/1
 description Interface WAN
 ip address dhcp
 ip nat outside
 zone-member security internet
 no shutdown
!
interface G0/0
 description Interface LAN
 ip address 192.168.59.1 255.255.255.0
 ip nat inside
 zone-member security lan
 no shutdown
!
interface G0/2
 description Interface DMZ
 ip address 192.168.101.1 255.255.255.0
 zone-member security dmz
 no shutdown
!
ip dns server
ip nat inside source list LAN_NAT interface G0/1 overload
!
ip access-list extended LAN_NAT
 permit ip 192.168.59.0 0.0.0.255 any
 permit ip 192.168.101.0 0.0.0.255 any
ip access-list extended SSH
 permit tcp any any eq 22
 deny   ip any any
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line vty 0 4
 login local
 transport input ssh
!
end

Notes

  • ACLs sur les accès de getion

Laisser un commentaire