m14 - Securite Reseaux Informatiques [PDF]

Zitiervorschau

1

Module : SECURITE DE RESEAUX INFORMATIQUES

Support de cours & Aide-Mémoire V 1.0 Ce document constitue le support de Cours de Module Sécurité de réseaux informatiques destiné aux Stagiaires de la deuxième année TRI de l’ISTA NTIC de SAFI.

2

I.

Chapitre 1 : Les concepts de base de la sécurité des réseaux

1.

Introduction

La sécurité réseau est une branche de l'informatique qui consiste à sécuriser tous les éléments d’un réseau informatique pour empêcher : l'accès non autorisé, le vol de données, l'utilisation abusive d’une connexion réseau, la modification des données, etc. Elle vise donc à impliquer des méthodes et des mécanismes de défense proactifs pour protéger un réseau contre les menaces externes et internes.

1.1.

Les objectifs principaux de la sécurité d’unréseau

Les trois objectifs principaux de la sécurité d’un réseau sont : 

La confidentialité : consiste à protéger les données, enregistrées ou en circulation, d’un réseau informatique des personnes nonautorisées.



L’intégrité : vise à maintenir et à assurer la fiabilité ( l'exactitude et la cohérence( des données. Les données reçues par un destinataire doivent être identique aux données envoyées parl'expéditeur.



La disponibilité : vise à s'assurer que les données ou les services du réseau sont, continuellement, à la portée desutilisateurs.

1.2.

Terminologies a.

    



Terminologiegénérale

Une ressource: tout objet ayant une valeur pour une organisation et qui doit être protégée. Une vulnérabilité: C’est une faiblesse d'un système qui pourrait être exploitée par une menace. Une menace : Un danger potentiel pour une ressource ou pour la fonctionnalité du réseau. Une attaque: C’est une action prise par un attaquant pour nuire à uneressource. Un risque: c’est la possibilité de la perte, l’altération, la destruction ou autres conséquences négatives de la ressource d'une organisation. Le risque peut naître d'une seule ou plusieurs menaces ou de l'exploitation d’unevulnérabilité. Risque = Une Ressource + Menace + Vulnérabilité Une contre-mesure: Une protection qui atténue une menace potentielle ou unrisque b.

Type depirates

On distingue différents types de pirates existent dans le domaine informatique, dont on peut citer : 

Les Hackers : sont classé comme « des passionnés des réseaux ».Ils veulent seulement comprendre le fonctionnement des systèmes informatiques et tester à la fois leurs connaissances et leurs outilset.

3

  

 

Les « chapeaux blancs »: ce sont des personnes effectuant des audits de sécurité pour les organisations à un butlucratifs. Les « chapeaux bleus » : ce sont des testeurs de bogues pour assurer le bon fonctionnement desapplications. Les Crackers : ce sont des criminels informatiques dont leur but principal est de profiter par une destruction ou la mise hors service des systèmes informatiques ou par le vol de données (personnels, codes sources, code d’activation,…) pour demander une somme d’argent. Ils sont parfois appelés «Chapeau noir et chapeaugris». Les script-kiddies : ce sont des personnes, avec peu d'habileté dans le domaine informatique, qui agissent uniquement via des logiciels préétablis dans le but de réaliser un gain financier. Hacktivistes Se sont des hackers dont la motivation est principalement idéologique. c.

Les codes malveillants

Les points suivants mettent en évidence les types courants de code malveillant (Malware) qui peuvent être utilisé par les pirates: 

 

 

2.

Virus: c’est un programme qui s'attache à un logiciel pour exécuter une fonction spécifique non souhaitée sur un ordinateur. La plupart des virus nécessitent une activation par l'utilisateu. Cependant, ils peuvent être mis en état de vieil pendant une période prolongée comme ils peuvent également être programmés pour éviter la détection. Worms: ce sont des programmes autonomes qui exploitent des vulnérabilités connues dans le but de ralentir un réseau. Ils ne nécessitent pas l'activation de l'utilisateur et ils se dupliquent et tente d'infecter d'autres hôtes dans leréseau. Spyware : ce sont des logiciels espions qui sont généralement utilisés dans le but d’influencer l’utilisateur pour acheter certaine produits ou services. Les spywares, en générale, ne se propagent pas automatiquement, mais ils s’installent sans autorisation. Ils sont programmé pour:  recueillir des informations personnelles sur les utilisateurs;  surveiller l'activité de navigation sur le Web pour détecter les caprices de l’utilisateur;  la redirection des requêtes HTTP vers des sites de publicitépréétablies. . Adware : se réfère à tout logiciel qui affiche des publicités, sans l’autorisation de l'utilisateur parfois sous la forme de publicitéspop-up. Scaryware se réfère à une classe de logiciels utilisés pour de convaincre les utilisateurs que leurs systèmes sont infectés par des virus et leur proposer une solution dans le but de vendre deslogiciels.

Les types de sécurit réseaux

On distingue trois catégories de sécurité réseaux :

2.1.

La sécurité physique

La sécurité physique concerne tous les aspects liés à l'environnement dans lequel les ressources sont installées. Elle peut inclure :

4

   

La sécurité physique des salles de serveurs, des périphériques réseau, …; La prévention des accidents et des incendies; Les systèmes de l’alimentation ininterrompue; La surveillance vidéo,etc.

2.2.

La sécurité logique

La sécurité logique fait référence à la mise en œuvre d'un système de contrôle d'accès, par logiciel, pour sécuriser les ressources. Elle peut inclure :     

L’application d’une stratégie de sécurité fiable pour les mots de passe; L’instauration d’un modèle d’accès s'appuyant sur l'authentification, l'autorisation et la traçabilité; La configuration correcte des pare-feu de réseau; L’installation des IPS (systèmes de préventiond'intrusion), L’utilisation des VPN (réseau privé virtuel),etc.

2.3.

La sécurité administrative

La sécurité administrative permet d’assurer le contrôle interne d’une organisation à l’aide d’un manuel des procédures. Elle peut inclure:      

3.

Prévenir les erreurs et les fraudes; Définir les responsabilités respectives des différents intervenants ou opérateurs; Protéger l’intégrité des biens et des ressources de l’entreprise; Assurer l’enregistrement de toutes les opérations concernant la manipulation du matériel; Gérer rationnellement les biens de l’entreprise; Assurer une gestion efficace et efficiente des activités;

Les principaux risques liés à la sécurité logique du réseau 3.1.

Les différents types d'attaques réseau a.

Les attaques de reconnaissance

Une attaque de reconnaissance ou « attaque passive » a pour objectif de regrouper des informations sur le réseau cible pour déceler toutes les vulnérabilités. Cette attaque utilise, en général, les méthodes de base suivantes :   

Un balayage de «ping » : l'attaquant envoie des paquets « ping » à une plage d'adresses IP pour identifier les ordinateurs présents dans unréseau. Le balayage de port: l'attaquant procède à une analyse de port (TCP et UDP) permet de découvrir les services s'exécutant sur un ordinateurcible. Un capture de paquets (Sniffing) : le capture de paquets permet de capturer les données (généralement des trames Ethernet) qui circulent sur le réseau en vue d’identifier des adresse MAC, des adresses IP ou des numéros de ports utilisé dans le réseau cible. Cette attaque peut viser loin pour essayer de de découvrir des noms d’utilisateur ou des mots de passe. Les logiciels de capture de paquets les plus couramment utilisé sont wireshark et cpdump.

5

b.

Les attaques de mot de passe

L'objectif de ces attaques est de découvrir les noms d'utilisateurs et les mots de passe pour accéder à diverses ressources. On distingue deux méthodes souvent utilisées dans ce type d’attaque :  

L’attaque par une liste de mot : cette méthode se base sur une liste de mots ou de phrases souvent utilisés comme mots depasses. L’attaque par force brute : cette méthode essaie toutes les combinaisons possibles de lettres, de chiffres ou de symboles pour détecter le mot de passe d’unutilisateur. c.

Les attaques d’accès

Ces attaques ont pour objectif d’essayer de pirater des informations sensibles sur éléments réseaux. Les méthodes suivantes sont courantes pour effectuer une attaque d'accès 

Le Phishing : le phishing est une tentative de pirater des informations sensibles (généralement des informations financières comme les détails de carte de crédit userid/Password etc), en envoyant des e-mails non sollicités avec des URLtruqué.  Le Pharming est une autre attaque de réseau visant à rediriger le trafic d'un site Web vers un autre siteWeb.  L’attaque de «Man-in-the-middle »: un attaquant se place entre deux éléments réseaux pour essayer de tirer profit des données échangées. Cette attaque se base, entre autre sur, les méthodes suivantes:  L’usurpation d’identité (Spoofing): C’est une pratique dans laquelle la communication est envoyée à partir d'une source inconnue déguisé en source fiable du récepteur. Elle permet de tromper un firewall, un service TCP, un serveur d’authentification, etc. L’usurpation d’identité : peut avoir lieu à différentsniveaux : Une Adresse MAC, Une adresse IP, Un port TCP/UDP, Un nom de domaine DNS  Le détournement de session (hijacking): l'attaquant pirate une session entre un hôte et un serveur pour obtenir un accès, non autorisé, à ce services. Cette attaque s’appuie sur le « spoofing»



Les attaques mélangées : Les attaques mélangées combinent les caractéristiques des virus, des vers, et d'autres logiciels pour collecter des informations sur lesutilisateurs. d.

Les attaques de réseau contre la disponibilité

Les attaques DoS, ou attaques par déni de service, consistent à rendre indisponible un service de diverses manières. Ces attaques se distinguent principalement en deux catégories :

6



les dénis de service par saturation, qui consistent à submerger une machine de fausses requêtes afin qu’elle soit incapable de répondre aux requêtes réelles ;  et les dénis de service par exploitation de vulnérabilités, qui consistent à exploiter une faille du système distant afin de le rendreindisponible. Les attaques DDoS (Distributed déni de service attaques) est un type d'attaque « Dos », provenant de nombreux ordinateurs connectés, contrôlés par les hackers, qui attaquent de différentes régions géographiques. Le principe de ces attaques se base, entre autre sur, les méthodes suivantes :  

L’attaque SYN flood : un l'attaquant envoie de nombreux paquets TCP-SYN pour lancer une connexion «TCP », sans envoyer un message « SYN-ACK». L’attaque ICMP flood un l'attaquant envoie de nombreux faux paquets ICMP vers l'ordinateurcible.. e.

Les attaquesrapprochée

Une attaque rapprochée est un type d'attaque où l'attaquant est physiquement proche du système cible. L’attaquant exploite l’avantages d'être physiquement proche des appareils cibles pour, par exemple, réinitialiser un routeur, démarrer un serveur avec un CD, etc. f.

Les attaques de relationd'approbation

Un attaquant lors du son contrôle d’une machine réseau, exploite la relation d'approbation entre cette machine et les différents périphériques d'un réseau pour avoir plus decontrôle.

3.2.

Les mesures de la sécurité réseau

Pour apporter une meilleure sécurité à un réseau d'entreprise, Il est recommandé de 

    

La séparation des ressources : Les ressources réseau d'entreprise et les différentes données de sensibilité doivent être localisées dans différentes zones de sécurité. L'accès aux réseaux d'entreprise et aux bases de données doit être assuré par des mécanismes hautementcontrôlés. La protection en profondeur: Les dispositifs de sécurité de réseau devront être employés dans les différents endroits du réseaud'entreprise. La règle du «moindre privilège »: Seul le niveau minimal d'accès requis pour effectuer une tâche doit être assigné à chaqueutilisateur. La protection adéquate: les mécanismes de protection doivent être installés de façon fiable et efficace dans tout le niveau duréseau. La restriction de la consultation des informations: seules les informations nécessaires à l'achèvement d'une tâche doivent être fournies à unemployé. La séparation des tâches et la rotation des emplois: la séparation des tâches et la rotation des emplois contribuent à une meilleure mise en œuvre des politiques de sécurité des entreprises et à la réduction desvulnérabilités.

7

3.3.

Les mesures d’audit de vulnérabilités

L’audit d’un réseau informatique doit comporter les cinq catégories suivantes:     

Les mesures préventive : incluent l’instauration des précautions afin d’empêcher l’exploitation d’une vulnérabilité, et ce par l'utilisation d'un pare-feu, de verrous physiques et d'une stratégie administratifs desécurité Les mesures détective : incluent la récupération de toutes les informations sur une intrusion dans le réseau ou dans un système et ce à l'aide des journaux système, les systèmes de prévention des intrusions (IPS) et les camérassurveillance. Les mesures correctives: incluent la détermination de la cause d'une violation de la sécurité, puis l’atténuation de ces effets et ce par la mise à jour des virus ou desIPS Les mesures de récupération: permettent la récupération d’un système après un incident. Les mesures de dissuasion: permettent le découragement des personne qui tentent de violer la sécurité duréseau.

8

II.

Chapitre 2 : La sécurisation des périphériquesréseau

1.

Les types detrafic

Cisco a classifié les différents types de trafic réseau comme des « plans » de communication. Elle en a défini trois : le plan de gestion, le plan de contrôle et le plan de données. 

Le plan de gestion: inclut le trafic utilisé par un administrateur réseau pour configurer les périphériques réseau. Il se compose généralement du trafic des protocoles tels que Telnet, SSH ouSNMP.  Le plan de contrôle: inclut le trafic que les périphériques réseau s’échangent entre eux pour la découverte ou/et la configuration automatique du réseau, tels que, par exemple, le trafic des mises à jour des protocoles de routage ou du protocoleARP.  Le plan de données: c’est le trafic réel des utilisateurs finaux dans leréseau. Dans ce qui suit, nous allons nous focaliser sur les contre-mesures à entreprendre pour sécuriser.

2.

La sécurisation du plan de gestion

La sécurisation de plan gestion comprend, entre autres, les éléments suivants:     

L’application d'une stratégie de mot de passesécurisée. La sécurisation de l’accès console, vty et etauxiliaires. La sécurisation et l’archivage desconfigurations. L’activation de la journalisation pour enregistrer toutes lesmodifications. L’utilisation du protocole NTP (Network Time Protocol) pour synchroniser les horloges, car il peut identifier l'ordre dans lequel une attaque spécifiée s'estproduite.

La sécurisation des mots depasse

3.

Il faut prendre en compte ce qui suit à l'esprit lors de l'application d'une stratégie de mot de passe:     

Changer souvent les mots depasse. Inclure, dans les mots de passe, des caractères alphanumériques, des majuscules, des minuscules, des symboles, et desespaces. Ne pas utiliser de mots de passe facile àdétecter. Crypter tous les mots depasse. Définir un minimum de 10 caractères pour les mots de passes

Router(config)# service password-encryption Router(config)# security passwords min-length length

Cryptez tous les mots de passe Appliquer une longueur minimale pour tous les nouveaux mots de passe. Les mots de passe existants ne sont pas affectés. La longueur peut être de 1 à 16. Dix caractères ou plus sont recommandés.

Router(config)# enable algorithm-type Crypter le mot de passe du mode privilégié {md5|scrypt|sha256|} secret password à l'aide de message de l’algorithme MD5

9

4.

L’implémentation des restrictions de connexion 

La configuration des retards entre les tentatives de connexionsuccessives



La configuration des paramètres de connexion

login block-for X attempts Y within Z

Login quiet-mode name|acl-number}

Cette commande permet de bloquer l’accès pendant « X »secondes après « Y » essaie d’accès dans 'z' secondes

Il est possible de définir une ACL pour access-class{acl- autoriser les tentatives de connexion lorsque l'accès de connexion est bloqué par login block-for ou Il peut être utile en situation d'urgence.

Login delay second

Configurer un délai entre les tentatives successives de connexion.

login on-failure log [evry login]

Cette commande ajoute une entrée sur le journal d’évènement chaque fois qu'une tentative de connexion a échoué. Cette commande peut être personnalisée.

login on-success log [evry login]

Cette commande ajoute une entrée sur le journal d’évènement chaque fois qu'une tentative de connexion a réussi.

5.

La sécurisation de l’accès par les lignes console, VTY et auxiliaire 

La sécurisation de l’accès par la ligne console et la désactivation de la ligneauxiliaire

Router(config)# username name privilege level secret password Router(config)# line vty 0 4

Créer une base de données d’utilisateurs locaux et crypter leurs mots de passe.

10

Router(config-line)# login local Router(config-line)#exec-timeout

Réglez l'intervalle d'inactivité à une valeur. La valeur par défaut est 10 minutes.

minutes seconds Router(config-line)# line aux 0

Accéder au mode « line auxiliaire ».

Router(config-line)# no exec

Désactiver le port auxiliaire.



La sécurisation de l'accès vty avec ssh

Router(config)# ip ssh version [1|2]

Il est recommandé d’utiliser la version 2

Router(config)# ip ssh time-out seconds

Définir le nombre de secondes à attendre pour que le client SSH réponde pendant la phase de négociation. La valeur par défaut est 120secondes.

Router(config)# retriesinteger

ip

ssh

authentication- Limitez le nombre de tentatives connexion. La valeur par défaut est3.

de

Router(config)# login block-for seconds Sécuriser la connexion vty. attempts tries within Seconds Router(config-line)# transport input ssh

Autoriser uniquement les sessions SSH.

Router(config-line)# access-class ACL-number

Appliquez une ACL pour contrôler l’accès à la ligne vty.

L’attribution des rôles administratifs

6.

6.1.

Les niveaux de privilèges du systèmeIOS

Les niveaux de privilège déterminent les personnes autorisé à se connecter à un éléments et son niveau d’accès. Par défaut, les routeurs Cisco ont trois niveaux de privilèges: « zéro », « utilisateur » et « privilégié » 

L'accès au niveau zéro : ne permet que cinq commandes: logout, enable, disable, help, etexit.  Le niveau utilisateur (niveau 1) : fournit un accès en lecture seule très limité au routeur,  Le niveau privilégié (niveau 15) : fournit un contrôle complet sur lerouteur. Pour offrir plus souplesse, les routeurs Cisco peuvent être configurés pour utiliser 16 niveaux différents de privilèges de 0 à 15.

11

6.2.

Configurer un niveau deprivilège

Router(config)# privilege mode { level level command | reset command }

Autoriser l’utilisation d’une commande à un niveau de privilège personnalisé.

Router(config)# enable secret level level password

Permettre d’assignez un mot de passe au niveau de privilège personnalisé.

Router>enable level

Accéder au niveau de privilège personnalisé.

 Exempled’utilisation R1(config)# privilege exec level 5 ping

l’autorisation d’utiliser la commande « ping » au niveau de privilège 5

R1(config)# privilege exec level 5 reload

l’autorisation d’utiliser la commande « reload » au niveau de privilège 5

R1(config)# enable secret level 5 tri

Configuration d’un mot de passe Enable pour entrer au niveau 5.

R1>enable 5 Password:

L’accès de l'utilisateur avec le niveau de privilège 5. En plus des commandes régulières du niveau 1, l'utilisateur de niveau 5 peut également utiliser les commandes « ping »et « reload ».

R1# show privilege Current privilege level is 5

La Vérification du niveau de privilège.

 Remarque Lorsqu’on définit une commande sur un niveau de privilège, toutes les commandes dont la syntaxe est un sous-ensemble de cette commande sont également définies à ce niveau. Par exemple, si on définit la commande "show ip route" au niveau 10, les commandes "show" et "show ip" sont automatiquement définies sur le niveau de privilège 10, sauf si vous les définissez individuellement à des niveaux différents.

6.3.

Définir un niveau de privilèges par utilisateur

Il est recommandé de configurer pour chaque utilisateur un niveau de privilège associé. Cela est possible par les commandes : Router(config)#username user1 privilege 5 secret 0000 Router(config)#username user2 privilege 12 secret 0000

6.4.

Définir un niveau de privilège pour de l’accès des lignes console,

12

VTY etauxiliaire Les lignes (con, aux, vty) par défaut sont affectées au niveau de privilèges 1. Pour modifier le niveau de privilège par défaut du port aux, on procède comme suit: R1(config)# line console 0 R1(config-line)#privilege level 4

Accéder au port console (ou auxiliaire)

R1(config)# line vty 0 4

Accéder au mode VTY.

R1(config-line)#privilege level 10

Définir un niveau de privilège pour utiliser ce mode.

6.5.

Définir un niveau de privilège pour utiliser ce mode.

Sécuriser l’accès à l’aide de la gestion de « vues» a.

Présentation

Bien que les utilisateurs puissent contrôler l'accès CLI via les niveaux de privilège ces fonctions ne fournissent pas aux administrateurs réseau un niveau plus détaillé. Les vues CLI offrent une capacité de contrôle d'accès plus détaillée améliorant ainsi la sécurité. b. Configurer unevue R1(config)# parser view SHOWVIEW

Créer une vue nommée « ShowView »

R1(config-view)# secret cisco123

Assignez une mot de passe à la vue.

R1(config-view)# commands exec include show

Cette vue peut utiliser tous les commandes du mode EXECprivilégié.

R1(config-view)# commands exec include ping

Cette vue peut utiliser la commande « ping » du mode EXEC privilégié.

R1# enable view SHOWVIEW Password:

Se connecter à la vue ShowView pour la vérifier.

c.

Configurer unesuper-vue

Router(config)# parser view view-name Créer une Super-vue en mode de configuration globale. Superview Une Super-vue ne peut contenir que d'autres vues. Une SuperView ne peut pas contenir de commandes. Router(config-view)# secret password

Assigner un mot de passe à la Super-vue.

Router(config-view)# view view-name

Affecter une vue existante à la SuperView. Des vues multiples peuvent être assignées à une SuperView

Router# username U1 view view-name Router# enable view view-name

Se connecter à la Super-vue pour la vérifier

R1#show parser view all

Afficher la liste des vues

d.

Remarques

13

     

Un modèle « AAA » doit d'abord être activé (voir chapitre 4). Le compte de l’utilisateur peut être sur la base locale ou sur « serveur AAA »externe Le niveau de l’accès d’une « vue » a la priorité sur le niveau de « privilège». L'utilisateur est placé sur son niveau de privilège si aucun niveau de «vue » ne lui a été attribué. Une seule «vue » peut être configuré pour unutilisateur. Dans la configuration des « vues », les noms et les mots de passe sont sensibles à la casse.

6.6.

La sécurisation des fichiers de configuration et du système IOS

Le système Cisco IOS offre la possibilité de créer des copies de l’image IOS ou/et du fichier de configuration. En effet, il les archive sous un format nommées « bootset » protégé contre lasuppression. Sécuriser l'image IOS en le cachant en Flash. R1(config)# secure boot-image Il ne peut être vu qu’en mode ROMMON R1(config)# secure boot-config

Prendre le fichier configuration en cour et l'archiver en toute sécurité dans la mémoire Flash. Il ne peut être vu qu’en mode ROMMON.

R1# show secure bootset

Afficher l'état de l’archivage de l'image de Cisco IOS et du fichier de configuration.

Pour restaurer les fichiers principal à partir d'une archive sécurisée après un incident (par un effacement de la NVRAM ou un formatage du flash), on procède comme suit : Router#reload Proceed with reload? [confirm]

Redémarrer le routeur

rommon 1 >dir flash:

Entrez dans le mode ROMMON et affichez les fichiers bootset disponible.

rommon 2 >boot c1841-advipservicesk9mz.124-20.T1.bin

Démarrez le routeur à l'aide de l'image répertoriée.

Router(config)#secure boot-config restore flash:.runcfg-20120701-090211.ar

Restaurez la configuration l'archive trouvée dansFlash

6.7.

sécurisée

à

Utilisation des fonctionnalités de sécurité automatisées a.

Présentation

Autosecure est un scripte de configuration de sécurité simple qui désactive les services système non essentiels et permet de configurer le niveau de sécurité recommandé. La commande Autosecure démarre un assistant en ligne de commande de la même façon lors l'utilisation du programme d'installation pour configurer un routeur. b.

Configuration

14

15

III.

Chapitre 3 : La Supervision d’un reseau informatique

1.

Présentation

Le plan de gestion inclut le trafic des protocoles de la surveillance du réseau en l’occurrence les protocoles SysLog et SNMP. L’utilisation du protocole NTP permet de synchronisés l’heure des éléments réseau assurant la fiabilité des données des éléments supervisé.

Implémenter un serveur NTP

2.

2.1.

Présentation du NTP

Le protocole NTP (Network Time Protocol ou NTP) permet de synchroniser l'horloge locale d’un élément réseau informatique avec celle d'un serveur de référence (un serveur de temps public sur Internet ou avec une source de temps interne).

2.2.

Fonctionnement du NTP a.

Les différents niveauxNTP

Il existe des serveurs NTP de différents niveaux (strates) qui correspondent à différentes précisions. Les horloges atomiques forment la strate 0, et sont directement reliées aux serveurs de strate 1, qui ne sont eux-mêmes accessibles qu'à des serveurs de strates 2 ou 3, certains de ces serveurs étant librementaccessibles.

b.

Les modes de communication de NTP

Pour synchroniser l'horloge un client peut utiliser plusieurs modes :   

Le mode client/serveur : Le client se synchronise sur l’heure duserveur. Le mode symétrique : La priorité est donnée au poste qui a la plus courte distance de synchronisation. Le mode multicast : Permet au client d’obtenir une réponse de plusieursserveurs.

2.3.

Configuration du protocoleNTP a.

Configure un routeur maitreNTP

Router(config)# ntp master stratum

Configurez le routeur pour qu'il soit le maître NTP. Le nombre de strates est optionnel et est le

16

nombre de tronçons éloignés d'une source de temps faisant autorité, comme une horloge atomique. Router(config)# ntp authenticate

Activer l'authentification NTP

Router(config)# ntp authentication-key key-number md5 key-value

Définissez la clé et le mot de passe NTP et cryptez-le à l'aide de MD5.

Identifiez la clé de confiance sur le maître. Pour synchroniser, un client NTP doit fournir Router(config)# ntp trusted-key key-number la clé de confiance et le mot de passe appropriés.

b. Client(config)# Address

Configurer un clientNTP ntp

server

ntp-server- Définir le routeur maitre NTP auquel le client va sesynchroniser.

Client(config)# ntp authentication-key Définissez la clé et le mot de passe NTP et keynumber md5 key-value cryptez-la à l'aide de MD5. Client(config)# ntp trusted-key key-number

3.

Identifier la clé de confiance sur le maître.

Implémenter un serveur SysLog 3.1. 

Présentation du SysLog



Le protocole SysLog est utilisé pour recueillir les messages de journalisation générés par un équipement ou une application. Ces messages sont parfois la seule manière d’obtenir des éclaircissements sur le dysfonctionnement d’unéquipement. Les destinations classiques des messages SysLog sont les suivantes:  Les lignes deconsole  Les lignes determinal  Un serveurSysLog



Un serveur SysLog permet d’assurer les tâches suivantes:

17

 Centraliser tous les fichiers journaux de différents équipements du réseau : routeurs, commutateurs, serveurs,etc.  Archiver les journaux dans un lieu fiable où ils peuvent êtretraités.  Effectuer des recherches et des tris sur les journaux pour faciliter leur analyse.

3.2.

Fonctionnement du Syslog a.

Les niveaux de gravité SysLog

Un niveau de gravité indique la nature d’un message d’erreur. On distingue huit niveaux de gravité, de 0 à 7 avec le niveau 0 (zéro) étant le plus critique et le niveau 7 le moins critique. Code Gravité

Mot-clé

Description

0

Emergency

emerg (panic) Système inutilisable.

1

Alert

Alert

Une intervention immédiate est nécessaire.

2

Critical

Crit

Erreur critique pour le système.

3

Error

err (error)

Erreur de fonctionnement.

4

Warning

warn (warning)

Avertissement (une erreur peut intervenir si aucune action n'est prise).

5

Notice

Notice

Événement normal méritant d'être signalé.

6

Informational

Info

Pour information.

7

Debugging

Debug

Message de mise au point.

b.

Le format d’un message SysLog

Un journal au format SysLog comporte dans l'ordre les informations suivantes :

18

Seq no:timestamp%FACILTY-SEVERITY-MNEMONIC: message  Seq no : indique le numéro d’ordre de l’événement, cette information apparait seulement si la commande service sequence-numbers a été exécutée.  timestamp : indique la date et l’heure de l’événement. cette information apparait uniquement si la commande service timestamps a étéexécutée.  FACILTY : indique le composant, protocole ou le processus qui a généré le message, exemples SYS pour le système d'exploitation, IF pour une interface,etc.  SEVERITY : Un nombre, entre 0 et 7, qui indique l'importance de l’événementsignalée.  MNEMONIC : un code identifiant le messageSysLog.  message : Une description de l'événement qui a déclenché le message SysLog Exemple :  seq no: 39345 39345: May 22 13:56:35.811: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down  Timestamp: May 2213:56:35.811  FACILTY:LINEPROTO  SEVERITY level: 5(notification)  MNEMONIC:UPDOWN  message text: Line protocol on Interface Serial0/0/1, changed state to down c.

Configurer un clientSysLog

Router(config)# service timestamps log datetime msec

Activer les horodatages sur les messages de débogage et de journalisation.

Router(config)# logging host [ ip-address | hostname ]

Identifiez l'adresse du serveur Syslog ou son nom d'hôte.

Router(config)# logging trap level

Limiter les messages connectés aux serveurs syslog en fonction de la gravité. La valeur par défaut est 0 – 6.

Router(config)# logging on

Activer l’envoie des messages pour la journalisation. La valeur est « on » pardéfaut

Router# show logging

Afficher l'état de journalisation et le contenu du tampon de journalisation système standard.

19

4.

Implémenter le protocoleSNMP 4.1.  

 

Présentation du SNMP

Le protocole SNMP (Simple Network Management Protocol) permet de superviser, diagnostiquer et gérer, les équipements réseau àdistance. Les buts du protocole SNMP peuvent être résumés comme suit:  surveiller les performances du réseau et connaître l'état global des équipements (actif, inactif, partiellement opérationnel, engorgement réseau...);  détecter les problèmes sur le réseau et gérer les évènements exceptionnels (perte d'un lien réseau, arrêt brutal d'un équipement...);  agir sur la configuration deséquipements. Le protocole SNMP réagit sur la couche application du modèle OSI et utilise le protocole UDP sur le port162. Un grand nombre de logiciels utilisent SNMP pour produire des graphes rendant compte de l'évolution des réseaux ou des systèmes informatiques (Centreon, NetCrunch 5, MRTG, Cacti, Shinken, Nagios, Zabbix).

4.2.

Fonctionnement du SNMP a.

Les composants d’un systèmeSNMP

Un système SNMP se compose de trois éléments :  Le gestionnaire SNMP : (Network Management System – NMS) : est un logiciel qui s'exécute sur la station de l'administrateur réseau (dans la plupart des cas, un ordinateur) pour surveiller leréseau.  L'agent SNMP: est un logiciel qui s'exécute sur le périphérique réseau /(routeur, commutateur, serveur...) permettant sa supervision.  La base d’information et de gestion (MIB) : est un ensemble de collection d'objets gérés par l’agent SNMP. Chacune de ces collections contient un certain nombre de variables qui peuvent être consulté ou modifiés par le gestionnaireSNMP. b.

La structure de la base d’information demanagement

La structure de la MIB est hiérarchique : chaque information possède un identifiant (OID), unesuitedechiffresséparéspardespoints,quil'identifiedefaçonunique.Parexemple,

20

1.3.6.1.2.1.2.2.1.2 est l'object identifier ifDescr qui est la chaîne de caractères décrivant une interface réseau (comme Ethernet0 sur un routeur Cisco). Une des MIB les plus connues est MIB-II, décrite dans le RFC 1213.

c.

Les différentes versions deSNMP

SNMP a plusieurs versions, mais il existe trois versions principales : SNMP version 1, SNMP version 2c et SNMP version3. 

SNMPv1

C’est la version originale et il est recommandé de ne pas l’utiliser sur un réseau suite à des lacunes de sécurité. 

SNMPv2c

Elle présente une mise à jour de protocole initial et offre quelques améliorations. Cependant, la sécurité qu'il fournit se base sur la chaîne de communauté uniquement qui est juste un mot de passe en texte clair (sans cryptage) vulnérables aux attaques despirates. Il existe deux types de chaînes de communauté dans SNMPv2c : Lecture seule (RO) : cette option donne accès en mode lecture seule pour les objets MIB. Cette une option plus sûre et recommandé. Lecture-écriture (RW) : donne un accès en mode lecture et écriture pour les objets de la MIB. Cette méthode permet le gestionnaire SNMP pour modifier la configuration d’un élémentréseau. 

SNMPv3

Elle apporte des améliorations significatives pour remédier aux faiblesses de sécurité existant dans les versions antérieures. Le concept de chaîne de communauté a été abandonné en mettant en place trois nouvelles fonctionnalités principales : L’intégrité : il permet de s’assurer qu'un paquet n'a pas été modifié. L’authentification : il permet de s’assurer que le messageprovient d'une source valide sur le réseau, en utilisant un mot de passe se basant sur les algorithmes de HMAC-MD5 ouHMAC-SHA.

21

Cryptage (chiffrement) : il permet de crypter le contenu d'un paquet avec la méthode DES pour crypter. Remarque : Bien que SNMPv3 offre une meilleure sécurité la version SNMPv2c reste encore plus fréquente être utilisée. d.

Les messagesSNMP

Les opérations suivantes sont disponibles sur toutes les versions SNMP : 

Recherche d’informations: GET : elle permet d’extraire une valeur d’un élément de la MIB. GetNext : elle permet de récupérer la valeur suivante de l’élément MIB. GetBulk : (à partir de SNMPv2c) cette opération est utilisée par le gestionnaire SNMP pour récupérer efficacement de grandes quantités de données de l'agent SNMP.



Envoied’informations

SNMP fournit également des opérations de notifications (déroutements) différentes qui peuvent être utilisées par le protocole SNMP pour avertir le gestionnaire SNMP d'un événement important : Trap : cette notification est utilisée pour envoyer un message sans accusé de réception de l'agent SNMP au gestionnaire SNMP (NMS), lorsqu’une condition programmé réseau est remplie(….). Informer : cette notification a été introduite dans SNMPv2c pour remédier le problème d’accusé de réception lors de l’utilisation de Trap. le gestionnaire SNMP peut maintenant reconnaître que le message a été bien reçu. 

Modification de valeurs: SET : elle permet de définir une valeur d'un élément MIB. e.

Configuration duSNMP

community Configurer l'identifiant de la « communauté » et son niveau d'accès (lecture seule ou lecture/écriture). Router(config)#snmp-server enabletraps Activer une «traps » SNMP. [nom de traps] Router(config)#snmp-server [tri] [ro]

Router(config)#snmp-server host [@ IP Superviser votre équipement. Gestionnaire SNMP][nom_community] Router#show snmp

Vérifier de la configuration SNMP.

22

IV.

Chapitre 4 : Sécurisation de l'accès de gestion avec AAA

1.

Présentation

AAA est une stratégie de sécurité implémenté dans certains routeurs Cisco qui réalise trois fonctions : l'authentification, l'autorisation, et la traçabilité (en anglais : Authentication, Authorization, Accounting/Auditing). Avec :   

Authentication : consiste à déterminer si l’utilisateur ou l’équipement est bien celui qu’il prêtant être, cela ce fait grâce à une authentification nom d’utilisateur/ mot de passe, ou grâce à uncertificat. Authorization : consiste à déterminer les droits de l’utilisateur sur les différentes ressources. Accounting : consiste à de garder des informations sur l’utilisation des ressources par l’utilisateur.

Les utilisateurs AAA peuvent être créés sur une base locale, sur le routeur ou le commutateur, comme ils peuvent être créés sur un serveur externe ce qui a pour avantage de centraliser la configuration de l’accès.

2.

L’authentificationAAA 2.1.

L’authentification AAA locale



L’authentification locale permet une gestion simple et rapide des comptes d’utilisateurs. Cependant, il s’avère inefficace lorsque le nombre d’utilisateur devient plusgrand.



Le processus de l’authentification locale peut être résumé comme suit: 1. L'utilisateur établit une connexion avec lerouteur. 2. Le routeur invite l'utilisateur à un saisir un nom d'utilisateur et un mot de passe, et l'authentification de l'utilisateur est validé à partir d’une base de donnéeslocale.



Pour configurer un routeur pour utiliser l’authentification AAA locale, on procède comme suit:

Router(config)# username privilege level secret password

username Créer un utilisateur à la base de données locale et lui attribuer un mot de passe.

Router(config)# aaa new-model

Créer un nouveau modèle AAA.

Router(config)#aaa authenticationlogin{ default | list-name } { method1 [method2 ...]}

Définir la méthode d'authentification à utiliser lors de l'accès aux lignes console, vty ou aux. la méthode d'authentification inclue local, local-case etEnable.

23

Remplacer le message « Username:» par un Router(config)# aaa authentication autre massage. Si ce dernier contient des username-prompttext-string espaces, ils doivent être entourés par un double guillemet. Router(config)# aaa authentication Remplacer le message « Password » par un password-prompttext-string autre texte.

Router(config)# aaa local authentication attempts max-fail number

2.2. 



L’authentification AAA basée sur unserveur

Les utilisateurs AAA peuvent résider sur un serveur externe. Il est possible d’utiliser deux types de serveurs en se basant sur les protocoles Radius ou Tacacs+:  Le protocole Radius : est un protocole ouvert basé sur deL’UDP.  Le protocole Tacacs+ : est un protocole propriétaire basé sur duTCP. La différence entre les deux protocoles incluent:

Protocole Cryptage Architecture AAA Challenge / Réponse Propriété  

Sécurisez les comptes AAA en verrouillant les comptes qui ont dépassé le nombre maximal de tentatives d'échec prédéfini. Le compte reste verrouillé jusqu'à ce qu'il soit activé par un administrateur à l'aide de la commande : aaa local userlockout

TACACS+ TCP : port 49 Cryptage de la totalité des informations Les stratégies AAA sont indépendantes Bidirectionnel Cisco system

RADIUS UDP : port 1645 ou 1812 Cryptage seulement du mot de passe Combine l’authentification et latraçabilité Unidirectionnel Open source

Avec les stratégies AAA, il est possible d’intégrer les utilisateurs de la base « Active Directory » pour profiter d’une gestioncentralisée. L’authentification par serveur peut être résumée commesuit:

24



1. L'utilisateur établit une connexion avec lerouteur. 2. Le routeur lui invite à saisir un nom d'utilisateur et un mot de passe. 3. Le routeur passe les identifient de l’utilisateur vers unserveur. 4. Le serveur valide lesdonnées. Pour configurer un routeur pour utiliser l’authentification AAA sur serveur, on procède comme suit:

R1(config)# tacacs-server host { host-name | host-ip-address } [ key string ] [ port[ integer ]] [ single-connection ] [ timeout [ seconds ]]

Configurer l’adresse IP (ou le nom) du serveur TACACS +. Les autres paramètres sont optionnels.

R1(config)# radius-server host {host-name Configurer l’adresse IP (ou le nom) du | host-ip-address } [ auth-port port-number ] serveur RADIUS. Les autres paramètres sont [ acct-port port-number ] [ key password ] optionnels. 

Facultativement, des serveurs peuvent être regroupés pour accélérer le processus l’authentification desutilisateurs.

Router(config)# aaa group server radius group-name

Grouper des hôtes de serveur RADIUS existants et les utiliser pour un service particulier

Router(config-sg-radius)# server ip-address [ auth-port port-number ] [ acct-port port-number ]

Configurez l'adresse IP du serveur RADIUS pour le serveur de groupe.

Router(config)# aaa group server tacacs+ group-name

Regroupez les hôtes TACACS + Server existants et utilisez-les pour un service particulier.

Router(config-sg-tacacs+)# server server-ip

Configurez l'adresse IP du serveur TACACS+ pour le serveur degroupe.

3.

Les autorisations AAA

Les stratégies d'autorisation AAA définissent les paramètres d'accès pour un utilisateur sur un routeur ou dans un réseau.

25

Router(config)# aaa authorization { exec | network | commands level } { default | list-name } { method1 [ method2 ...]}

Définit la stratégie d'autorisation à utiliser lors de l'accès aux modes suivants:   

4.

exec permet d’autoriser un utilisateur à exécuter un une commande dans ce mode. network permet d’autoriser les requêtes d’accès liées au réseau, tel quePPP. commands permet de définir les commandes autorisées pour un niveau de privilègespécifique.

La traçabilité AAA

Les méthodes de la traçabilité définissent les éléments à garder la trace de leurs activités sur le journal d’évènement. AAA prend en charge six différents types de traçabilité: system, network, exec, commands, connection et ressource: Router(config)# aaa accounting { system | Définir la méthode de traçabilité à utiliser network | exec | commands level } { default pour un service spécifique. Il maintient le suivi des services demandés : | list-name } { start-stop | wait-start | stop-only | none } [ method1 [ method2 ]]

   

system garde une trace de toutes les actions effectuées au niveau du système. network garde une trace de toutes les actions effectuées au niveau réseau tel quePPP. exec garde une trace de toutes les actions effectuées au niveau“exec”. commands effectuent le suivi de toutes les commandes à un niveau de privilège spécifique.

26

V.

Chapitre 5 : Utiliser les pare-feu

1.

Présentation d’unpare-feu

Un pare-feu est généralement un système ou un périphérique placé entre un réseau fiable et un autre non fiable. L’objectif principal de son implémentation est de filtrer et d’empêcher le trafic indésirable de traverser la limite du pare-feu. Pour ce faire, un pare feu doit assurer les recommandations suivantes :   

2.

Être résistant auxattaques. Être le seul point de transit entre deux réseaux. Assurer l’application de la stratégie de contrôle d'accès del'organisation.

Les types depare-feu

Il existe différents types de pare-feu, y compris les suivants    

3.

Pare-feu NAT: permet de cacher une adresses IP privé en la traduisant à une adresse IP public. Pare-feu de filtrage de paquets : permet de filtrer les paquets de la couche 3 ou 4 du modèle OSI. Ce type de pare-feu reste simple à configurer mais également vulnérable aux attaques par usurpation d'identité. Pare-feu de filtrage de paquet avec état : assure la même fonction que les pare-feu de filtrage de paquets, mais conserve également le suivi de l'état des connexions réseau (c'est-à-dire les numéros de séquence TCP et UDP) ce qui le rend plussécurisé. Pare-feu applicatif (pare-feu proxy) : C’est, généralement, un serveur qui assure ce type de filtrage des informations situées aux couches 3, 4, 5 et7.

L’implémentation d’unpare-feu Les meilleures pratiques pour l’implémentation d’un pare-feu incluent:       

4.

Mettre le pare-feu aux limites de sécurité pour séparer les différents domaines de communication. Ne permettre que le trafic des servicesnécessaires. Surveiller les journaux depare-feu. Implémentez une variété de technologies de pare-feu pour fournir un contrôle d'accès multicouchecomplet. Ne pas s’appuyer exclusivement sur un pare-feu pour lasécurité. S’assurer que l'accès physique au pare-feu estcontrôlé. Pratiquer la gestion du changement pour les modifications de configuration de parefeu.

Les différentes stratégies d’unpare-feu

Les règles d'accès sont généralement implémentées à l'aide des listes de contrôle d'accès (ACL). Lorsque vous définissez des règles d'accès, vous pouvez utiliser plusieurs critères comme point de départ:  

Les règles basées sur le contrôle de service : Détermine les types de services qui peuvent être consultés, en trafic entrants ou sortants. Le pare-feu peut filtrer le trafic en fonction de l'adresse IP et du numéro de portTCP. Les règles basées sur le contrôle de la direction : Détermine la direction dans laquelle les requêtes vers un service spécifique peuvent être initié etautorisées.

27



5.

Les règles basées sur le contrôle de comportement : Contrôle la façon avec laquelle des services spécifiques seront utilisés. Par exemple, le pare-feu peut des contrôler les e-mails pour éliminer lesspam.

Les pare-feu à based’ACL 5.1.

Présentation

Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus qui s'appliquent aux adresses ou aux protocoles de couche supérieure. Les listes de contrôle d'accès permettent de contrôler le trafic entrant ou sortant d'un réseau. Des listes de contrôle d'accès peuvent être configurées pour tous les protocoles réseau routés.

5.2.

L’emplacement desACL

Les ACL peuvent être implémentées dans deux directions 



Les ACLs entrantes : les paquets entrants sont traités avant d'être routés vers l'interface de sortie. Les listes de contrôle d'accès entrantes sont idéales pour filtrer les paquets lorsque le réseau relié à une interface d'entrée est la seule source des paquets devant être inspectés. Les ACLs sortantes : les paquets entrants sont acheminés vers l'interface de sortie, puis traités par le biais de la liste de contrôle d'accès sortante. Les listes de contrôle d'accès sortantes sont particulièrement efficaces lorsqu'un même filtre est appliqué aux paquets provenant de plusieurs interfaces d'entrée avant de quitter la même interface desortie.

5.3. 

Les ACL IPv4

Les routeurs prennent en charge deux types d'ACLIPv4  Les ACL Standard :  Filtre les paquets IP en se basant uniquement sur l'adresse IPsource.  Peuvent être numérotées ounommées.  Les plages de nombres valides comprennent 1 – 99 et 1300 –1999.  Les ACL Etendues:  Filtre les paquets IP se basant sur les adresses IP source et destination, les ports UDP et TCP source et destination, et les types de messages ICMP,etc.  Peuvent être numérotées ounommées.  Les plages de nombre valides comprennent 100 – 199 et 2000 –2699.

 Pour configurer Les ACL Standard on procède comme suit: R1(config)# access-list number Créer une ACL Standard numéroté [deny|permit] source [masque générique] R1(config)# ip access-list standard Créer une ACL Standard nommée nom_ACL R1(Config-if)# ip access-group [ number Activer une ACL sur une interface | name [ in | out ] ]  Pour configurer Les ACL Etendues on procède comme suit:

28

R1Config)# access-list number { deny | permit } protocol source [masque générique] destination [masque générique] R1(config)# ip access-list extended nom_ACL R1 (config-if)# ip access-group {number|name} {in|out}

5.4. 

Créer une ACL Etendue numérotée.

Créer une ACL Etendue nommée Activer une ACL sur une interface.

Les ACL IPv6

Les listes de contrôle d'accès IPv6 sont semblables aux listes de contrôle d'accès IPv4, avec quelques particularités présentées comme suit:

Listes de contrôle d'accès IPv4

Listes de contrôle d'accès IPv6

Standard Numérotées Nommées Étendues Numérotées Nommées

Nommées uniquement Fonctionnent comme les listes de contrôle d'accès ACL IPv4 étendues

L’utilisation du masque générique

Aucun masque générique

La commande ip access-group permet IPv6 utilise la commande ipv6 traffic-filter d'appliquer une liste de contrôle d'accès IPv4 pour effectuer la même tâche sur les à une interface IPv4 interfaces IPv6 permit icmp any anynd-na il existe une instruction implicite deny any ou deny anyany permit icmp any anynd-ns  Pour configurer Les ACL IPv6 on procède comme suit: R1(config)# ipv6 access-list nom_ACL Création de l’ACL de IPv6 R1(config-ipv6-acl)# protocole [{eq|neq|gt|lt|range}

{deny|permit} Configuration d’une ACL IPv6 ipv6-source/CIDR port] ipv6[{eq|neq|gt|lt|range}

destination/CIDR port] R1(config)#interface type numéro R1(config-if)#ipv6 traffic-filte nom_ACL {in|out}

Activation d'une ACL sur une interface

29

5.5.

Recommandation sur lesACL

Il est important de prendre en compte les points suivants lors de l’implémentation des ACL:        

6.

Les instructions dans une ACL sont traitées dans un ordre séquentiel, il est important de prendre en compte l'ordre de leurpositionnement. Les instructions les plus spécifiques doivent être placées dans les premières lignes dans une ACL. Les nouvelles instructions dans une ACL existant sont ajoutées par défaut aux dernièreslignes. Il faut s’assurer que la dernière instruction est un refus de tous autres trafics non spécifié. Une seule ACL est autorisée par interface, par protocole ou pardirection. Les paquets générés par le routeur ne sont pas traité par les ACLsortantes. Les ACL standards doivent être placées le plus près possible de ladestination. Les ACL étendues doivent être placées le plus près possible de la source.

Les pare-feu à base de zones 6.1.

Présentation

Un ZPF (Cisco IOS zone de pare-feu) est une solution de pare-feu basé sur un routeur IOS. Il permet de protéger un réseau contre les menaces externes en se basant le regroupement des interfaces sous forme de zones, et de spécifier quel type de trafic peut passer d’une zone à une autre. Les avantages à utiliser cette solution incluent notamment la simplicité de définir les stratégies d’accès.

6.2.

Les règles appliquées au le trafic interzones

En ce qui suit des règles qui régissent le comportement d’un ZPF lors de l’acheminement de trafic : 

Une zone de sécurité doit être créée avant de pouvoir lui affecter desinterfaces.

30

  

Une interface peut être affectée à une seule zone desécurité. Par défaut, le trafic est autorisé entre les interfaces membres de la mêmezone. Pour autoriser le trafic entre deux de zones, une stratégie de sécurité doit être préconfigurée. Trois actions peuvent êtreprises:  Pass: Le trafic est autorisé à transiter d’une zone àl’autre.  Inspect: Autoriser le trafic et inspecter le traficretour.  Drop: Supprimer letrafic.



Tout le trafic vers une interface de routeur (la zone « self zone ») est autorisé jusqu'à ce qu’il soit explicitementrefusé.

6.3.

Terminologie

Les stratégies d'accès de ZPF sont effectuées à l'aide de trois composant essentiels :   

Class Map: permet d’identifier le trafic en fonction de certainscritères. Policy Map : permet d’appliquer une stratégie « Class map » crééprécédemment. Service Policy : permet définir où appliquer la «Policy Map» crééprécédemment.

6.4.

Configuration d’un ZPF

Pour configurer un ZFW, il est possible de suivre la séquence des étapes suivantes : 1. 2. 3. 4. 5. 6.

Créer les zones. Créer les Classe-Map pour identifier le traficautorisé. Créer les Policy-Maps pour appliquer lesClasse-Map. Définir les paires dezones. Appliquer les mappages de stratégie aux paires dezones Affecter des interfaces auxzones.

1. Créer leszones. Router(config)# zone security zone-name

Créer une zone de sécurité

2. Définir les paires dezones. Router(config)# class-map type inspect { match-any | match-all } class-map-name

Router(config-cmap)# protocol

match

Créer une Class-Map et définir ces options. match-any : Les paquets doivent répondre à l'un des critères de correspondance. match-all : Les paquets doivent répondre à tous les critères de de correspondance.

protocol Définir les critères de correspondance sur la base d'un Protocole.

3. Créer les Policy-Maps pour appliquer lesClasse-Map. Router(config)# policy-map type inspect policy-map-name Router(config-pmap)# class type inspect class-map-name

Créer une Policy-Map et définir ces options Relier-la avec une (ou plusieurs) Class-Map

31

Router(config-pmap-c)#{drop | inspect | Définir l’action à entreprendre. pass } 4. Définir les paires dezones. Router(config)# zone-pair security zone- Créer une paire de zones qui permet pair-name source { source-zonename | self | d’appliquer une stratégie « Policy-Map » default } destination { destination-zone- unidirectionnelle entre les deux zones. name | self | default } Router(config-sec-zone-pair)# service-policy Appliquer la stratégie « Policy-Map » à la type inspect policymap-name paire de zones 6. Affecter des interfaces aux zones. Router(config)# interface type number Attachez une interface à une zone de sécurité Router(config-if)# zone-member security spécifiée. zone-name

44.113.202.211

44.113.202.129

192.168.1.0/24 192.168.2.0/24

32

VI.

Chapitre 6 : Mettre en œuvre la prévention des intrusions IPS

1.

Présentation de l’IDS et del’IPS  

 

Un capteur est un dispositif réseau qui analyse le trafic réseau, pour le classifier, selon des règles préétablit, comme étant normal oumalveillant. Un système de détection d'intrusion IDS (Intrusion Detection System) est un capteur capable d’analyser les paquets circulant sur un ou plusieurs lien(s) réseau dans le but de détecter les activités suspectes. Son rôle se limite seulement de pouvoir signaler à l'administrateur système toute trace d'activité anormale sur un hôte ou sur le réseau. Il ne permet pas d’empêcher les tentativesd’intrusions. Un système de prévention d'intrusion IPS (Intrusion Prevention System) est un capteur capable de détecter et d’empêcher toutes les attaques potentielles sur un hôte ou sur leréseau. Le tableau suivant présente quelques caractéristiques des deux capteurs IDS et IPS: IDS

Le traitement paquets.

des

L’impact sur la latence.

IPS

Tous les paquets sont traités Reçois seulement une copie des par le système avant paquets originaux pour le d’atteindre le réseau ou traitement. l’hôte. Aucun délai n’est ajouté au trafic d'origine.

Ajoute un peu de retard au trafic avant de le transmettre vers le réseau.

L’impact causé si le système est hors Aucun impact négatif. service.

Tout le trafic passant à travers le système pourrait être affecténégativement.

La capacité de protéger le réseau.

Un IPS peut protéger le trafic en fonction d'un ensemble de règles préétablit.

Pas de protection contre le trafic malveillant.

Remarque : Dans ce qui suit, on va se limiter à l’étude des capteurs IPS 2.

Les types des IPS

En fonction de son emplacement dans un réseau, les IPS peuvent être placés pour protégé un hôte (IPS-Hôte) ou tout le réseau (IPS-Réseau). Chaque type possède ses propres avantages et inconvénients Avantages IPS-Hôte

 Permet de protéger un hôtespécifique.  Permet de protéger le système d'exploitation et lesapplications.

IPS-Réseau

 Une solution moins couteuse.  indépendant du systèmed'exploitation.

Inconvénients  Dépend du système d'exploitation  Doit être installé sur tous leshôtes.  Impossible d'examiner le trafic chiffré.

33

Les modes de déploiement del’IPS

3.

Un IPS peut être déployé en deux modes :  

En mode promiscuité : l’IPS se limite à analyser le trafic réseau (c.à.d. aux tâches d’unIDS). En mode Inline : le trafic est dirigé vers l’IPS pour être analyser. L’IPS bloque une partie de ce trafic selon des paramètrespréconfiguré.

Les types d'alarmes

4.

Les attaques sur un réseau peuvent générer quatre types d'alarmes codifiés comme suit: Vrais positive

Une alarme déclenchée par une intrusion qui a eu lieu et qui été détecté par l’IPS.

Vrais négative

Aucune intrusion n’a eu lieu et aucune action n'est prise par l’IPS.

Faux positive

Une alarme déclenchée par un trafic normal ou une action non significative.

Faux négative

Aucune alarme n'est déclenchée lorsque une intrusion a eu lieu.

A noter que les alarmes «Faux positive » doivent être réglées et les alarmes « Faux négative » doivent être corrigées.

La détection du traficmalveillant

5.

5.1.

Les modes dedétection

Un IPS peut détecter le trafic malveillant en utilisant plusieurs modes y compris : la détection à base de signatures, à base de stratégies, à base d’anomalies, à base de la réputation.

5.2.

La détection à base designatures a.

Définition d’unesignature

Une signature est un ensemble de règles configuré sur un système IPS qui permettent de détecter des intrusions. Cisco a regroupé les signatures, ayant des caractéristiques similaires, en catégorie pour faciliter leurs gestions ainsi que leurs analyses. b.

Les types designatures

. On distingue deux types de signature dans les sytémes:  

Atomique : une tentative faite pour accéder à un port spécifique sur un hôte spécifique, et le contenu malveillant est dans un seul paquet. Composite : une séquence d'opérations distribuées sur plusieurs hôtes sur une période arbitraire. c.

La détection à base designatures

La détection à base de signature est généralement le moyen le plus utilisé pour identifier le trafic malveillant dans les systèmes IPS/IDS Cisco 

Les avantages:

34

  

Facile à configurer et à mettre enœuvre. Par défaut, un IPS dispose de plusieurs signaturespréinstallé. D’autres signatures supplémentaires peuvent être téléchargé et implémenté pour pallier aux nouveaux typesattaques.  Les inconvénients:  Ne permet pas de détecter les attaques en dehors des règlesprédéfinies.  Peut générer des alarmes de type « Faux positifs».  Les signatures doivent être mises à jourpériodiquement.

5.3.

Les autres modes de détection du trafic malveillant a.

La détection à base destratégies

Les stratégies sont créées et configurées sur l’IPS en fonction de la stratégie de la sécurité réseau. Tout trafic détecté en dehors de cette stratégie générera une alarme et/ou sera supprimé. 

Les avantages:  Simple, fiable et très personnalisable.  Ne permet que le trafic basé sur la la stratégie de la sécurité réseau qui pourrait empêcher les attaquesinconnues..  Les inconvénients:  La stratégie doit être crééemanuellement.  Difficile à s’appliquer dans le cas des grandsréseaux. b.

La détection à based'anomalies

L’IPS recherche généralement le trafic réseau qui dévie de la norme. Un référentiel statistique doit être élaboré pour définir le comportement normal du trafic réseau. 

Les avantages:  Peut détecter les nouveaux typesd’attaques.  Les inconvénients:  Difficile de normaliser avec précision le trafic des réseaux extrêmementgrands.  Peut provoquer des alarmes « Faux positifs » lors d’un changement significatif du trafic réseauvalide. c.

La détection à base de laréputation

Cette technique se base sur la réputation des certaines caractéristiques du trafic réseau tels que les adresses IP, les URL, les domaines DNS (Domain Name System) entre autres pour détecter le traficmalveillant. 

Les avantages:  Profite sur l'expérience de d'autres systèmes déjàexistants.  Considéré comme un système d'alerteprécoce.  Les inconvénients:  Nécessite des mises à jour continues notamment à partir de la base de données centralisée des menaces deCisco.

35

Les micro-moteurs designatures

6.

Un micro-moteur de signature est un composant d'un capteur IPS (ou IDS) qui prend en charge une catégorie de signatures. Toutes les signatures d'un micro-moteur de signature sont scannées en parallèle, ce qui augmente l'efficacité et la fluidité desdonnées. Un micro-moteur de signature effectue les opérations suivantes: 



Affecte à une catégorie de signatures un ensemble de plages ou de valeursacceptables Utilise la mémoire du routeur pour compiler, charger et fusionner des signatures

Cisco a défini plusieurs catégories de signatures utilisées par ces micro-moteurs y compris: Type signature utilisé dans le micro-moteur

Description

Atomic

Permet d’inspecter des paquets simples.

Service

Permet d’inspecter si un service est attaqué.

String

Permet d’inspecter les paquets, de plusieurs protocoles, en spécifiant une expression qui doit être vérifiée pour déclencher la signature

Multi-string

Permet d’inspecter des paquets en spécifiant une série d'expression qui doivent être vérifiée pour déclencher la signature.

A noter que d’autres signatures existent, utilisé par les micro-moteurs, pour permettent d’inspecter d’autres types de trafic. 7.

Les niveaux de gravité dessignatures

Chaque signature de la base de données de signatures IPS a un niveau de gravité associé. Cela permet de configurer un IPS pour qu'il prenne différentes actions en fonction de la gravité détectée. Une signature peut être associée à quatre niveaux gravités : Niveaux de gravité

Description

Information

L'activité qui déclenche la signature n'est pas considérée comme une menace immédiate, mais les informations fournies sont des informationsutiles

Faible

Une activité de réseau anormale est détectée qui pourrait être perçue comme malveillante, mais une menace immédiate n'est pas susceptible

Moyen

Une activité de réseau anormale est détectée qui pourrait être perçue comme malveillante, et une menace immédiate est probable.

Haute

Les attaques qui sont utilisées pour accéder ou provoquer une attaque de déni de service (dos) sont détectées, et une menace immédiate est extrêmementprobable.

8.

Surveillance et gestion des alarmes etalertes

Les alertes générées par un IPS sont généralement envoyées vers un système de surveillance en temps réel pour analyser, afficher et archiver les informations. La surveillance et la gestion

36

des événements peuvent être hébergées sur un serveur unique ou sur des serveurs distincts pour des déploiements plus importants. Plusieurs protocoles sont disponibles pour la génération d'alarmes, notamment SDEE (Security Device Event Exchange), syslog et SNMP

9.

La liste des actions à prendre lors d’uneattaque

Lorsqu'un capteur IPS détecte une activité malveillante, il peut choisir l'une des actions suivantes : Deny attacker inline

termine les paquets en provenance de l'adresse IP de l'attaquant pour une périodespécifiée.

Deny connection inline

termine le paquet actuel et les futurs paquets appartenant à ce flux TCP.

Deny packet inline

termine le paquet qui a déclenché l'alerte.

Log attacker packets

démarre la journalisation des paquets qui contiennent l'adresse IP de l'attaquant.

Log pair packets

démarre la journalisation des paquets qui contiennent à la fois l’adresse IP de l’attaquant et l’adresse IP de la victime.

Log victim packets

démarre la journalisation sur les paquets qui contiennent l'adresse IP de la victime.

Produce alert

démarre la journalisation des événements en tant qu'alerte.

Produce verbose Alert

démarre la journalisation des événements en tant qu'alerte, toutefois, il comprend également une copie des paquets qui ont déclenché l'alerte.

Request block connection

Certains capteurs peuvent s’appuyer sur un autre élément réseau pour bloquer le trafic de l'attaquant à un moment donné dans le réseau. Ce périphérique est appelé un « périphérique de blocage » et pourrait être un routeur IOS à l'aide des ACL, un commutateur à l’aide VACL,etc. Cette action provoque l’envoie une requête à « un périphérique bloquant » pour bloquer cetteconnexion.

Request block host

envoie une requête à un « périphérique bloquant » pour bloquer l’hôte del'attaquant.

Request SNMP trap

envoie une notification SNMP et une alerte au journal d'événements.

37

Reset TCP connection

envoie les réinitialiser et terminer une connexion TCP.

Configuration de l'IPSIOS

10.

Pour configurer un IPS de base à l'aide des commandes CLI on procède comme suit: 

Créer un répertoire de configuration IPS iOS dansFlash.

Router# mkdir flash: dir-name 

Créer un répertoire de configuration

Copier le package des signatures IPS dans la mémoireFlash.

Router# copy ftp://myuser:my-pass@ftp- Copier le package de signature à partir d'un server/IOS-Sxxx-CLI.pkg flash: dir-name serveur FTP vers le répertoire en Flash. idconf Router# copy tftp://tftp-server/IOS-SxxxCLI.pkg flash: dir-name idconf

Copier le package de signature à partir de signature d'un serveur TFTP vers le répertoire enFlash.

Router# copy usbflash0:/IOS-S xxx CLI.pkg flash: dir-name idconf

Copier le package de signature à partir de signature d’une USB vers le répertoire en Flash.



Configurer la clé de cryptageIPS. 

Ouvrer le fichier texte « realm-cisco.pub.signature.txt » et sélectionnez tout son contenu.

 

Copier le texte et le coller en mode de configurationglobale. Utiliser la commande show running-config pour s’assurer de l’utilisation de la clé RSA.

38



Créer une règle IPS et spécifiez l'emplacement du fichier de signatureIPS.

Router(config)# ip ips name ips-name [list acl ]

Créer un nom pour la règle IPS. NB : L’utilisation de l’option ACL est facultative. Il permet de filtrer le trafic qui sera analysé.

Router(config)# ip ips config location Spécifier l'emplacement flash:dirname signatureIPS. 

du

fichier

Activer le protocole SDEE et lajournalisation.

Router(config)# ip http server

Activer le serveur http l’utilisation de SDEE).

Router(config)# ip ips notify sdee

Activer la notification d'événement SDEE.

Router(config)# ip ips notify log

Activer la journalisation.



de

(requis lors de

Modifier les catégories designatures.

Le paramétrage des signatures par catégorie Router(config)# ip ips signature-category

Entrez dans le mode de configuration des catégories des signatures IPS.

Router(config-ips-category)# category { all | ios_ips [ basic | advanced ]}

Spécifiez modifier.

Router(config-ips-categoryaction)# retired { false | true }

Indiquer si une signature ou une catégorie de signature doit être chargée ou non dans la mémoire du routeur.  

Router(config-ips-categoryaction)# eventaction action

la

catégorie

de

signature

à

true : retire, de la mémoire, toutes les signatures au sein de cettecatégorie. false : compile la catégorie de signature en mémoire et l’utiliser pour analyser letrafic.

Modifier les actions à entreprendre pour une catégorie de signature spécifiée. Les actions incluent les suivantes: 

deny-attacker-inline

39

    Router(config-ips-categoryaction)# alert-severity { high | medium | low | informational } 

deny-connection-inline deny-packet-inline produce-alert reset-tcp-connection

(facultatif) Modifier le degré de gravité d'une alerte pour une signature ou une catégorie de signature spécifique.

Activer les règle IPS sur uneinterface.

Appliquez la règle IPS à une interface souhaitée et spécifiez la direction: Router(config-if)# ip ips ips-name { in | out Appliquez la règle IPS à une interface. Le routeur charge les signatures et construit les } moteurs de signature lorsque IPS est appliqué à la première interface: IN inspecte uniquement le trafic entrant. OUT inspecte uniquement le traficsortant.

Les pratiquesrecommandées

11.

Les meilleures pratiques pour l’implémentation les IPS incluent:      

Implémenter les IPS pour analyser le trafic envoyé vers les éléments critiques du réseau, tels que les serveurs, les routeurs,etc., Reconfigurer, lorsqu’il est nécessaire, vos IPS pour prendre en compte les changements du flux ou de latopologie Il est recommandé de s’offrir des dispositifs dédiés pour les tâches d’un IPS au lieu d’utiliser des IPS basés sur des modules ou sur les fonctionnalités du systèmeIOS. Utiliser des mises à jour automatisées des signatures au lieu de les appliquer manuellement. Profitez de la corrélation globale pour améliorer votre résistance aux éventuelles attaques. Utiliser une combinaison de technologies de détection d’intrusion cela refoncra la sécurité

40

VII. 1.

Chapitre 7 : Sécuriser un reseau local Présentation

Un réseau LAN, composé généralement d’un ou plusieurs commutateurs couche 2, peut faire objet de plusieurs types d'attaques se basant sur des éventuelles lacunes concernant la couche 2. Un attaquant peut tenter d’interrompre, copier, rediriger ou compromettre la transmission de données de couche 2 et par conséquent affecté tout type de protocoles utilisés sur les couchessupérieures.

2.

Les types d’attaques sur la couche2

On se qui suit nous allons traiter nombreuses menaces de sécurité visant la couche 2 du modèle OSI et aborder les contre-mesures contre ces risques. Cela entre dans le cadre de la sécurisation du « plan de donnée »

2.1.

Les attaques d’inondation d'adresseMAC

 Présentation de l’attaque: Un attaquant se relie à un port de commutateur et inonde ce dernier avec un très grand nombre de trames avec des fausses adresses MAC source. Une fois la table de commutation est saturée, le commutateur réagit comme un concentrateur. L'attaquant sera en mesure de capturer des données sensibles à partir du réseau.  Contre mesures La fonctionnalité « sécurité du ports » est une contremesure qui permet d’empêcher les attaques « d'inondation d'adresse de MAC » Switch(config-if)# switchport mode access Activer la sécurité des ports et attribuez Switch(config-if)# switchport port-security l'adresse MAC actuelle au port. Les valeurs par défaut de la sécurité de port sont les suivantes:  Une seule adresse MAC peut être attribuée.  L'action de violation est réglée surla désactivation du port. Switch(config-if)# switchport port-security maximum value

Définir le nombre maximal d'adresses MAC sécurisées pour l'interface.

Switch(config-if)# switchport port-security Affecter manuellement les adresses MAC qui mac-address mac-address peuvent se connecter à ce port. Switch(config-if)# switchport port-security Configurer l'action à prendre lorsque le nombre d'adresses MAC a dépassé le violation { protect | restrict | shutdown maximum prédéfini. |shutdown vlan } Switch(config)# intervalseconds

errdisable

recovery Configurer la période de désactivation d’un port.

41

2.2.

L'attaque par usurpation d'adresse MAC (ARP spoofing)

 Présentation de l’attaque: L'attaque d'usurpation d'adresse MAC consiste à envoyer des faux messages ARP à l'intérieur d'un réseau local, dans le but de dévier et d'intercepter le trafic réseau.  Contremesures La fonctionnalité « DAI » est utilisée pour empêcher les attaques d'usurpation ARP. Elle permet de vérifier le mappage entre les adresses IPv4 et les adresses MAC. En cas d’une anomalie, émanant d’un port non fiable, les paquets ARP usurpés seront ignorés. switch(config)#ip arp inspection vlan vlan

activer l'inspection ARP dynamique (DAI) sur un VLAN spécifique.

switch(config)#interface g0/0 switch(config-if)#ip arp inspection trust

configurer un port comme port fiable.

2.3.

L’attaque DHCP Starvation

 Présentation de l’attaque: L’attaque « DHCP Starvation » consiste à diffuser un grand nombre de requête DHCP, avec des adresses Mac source usurpées. Une fois le nombre d'adresses IP disponibles dans le serveur DHCP est épuisé, l’attaquant peut introduire son serveur DHCP pour répondre aux nouvelles demandes DHCP du réseau. L'attaquant peut désormais capturer des données sensibles en utilisant l’attaque « man-in-the-middle».  Contremesures La fonctionnalité « DHCP snooping » est utilisée pour empêcher ce type d’attaques en filtrant les messages DHCP nonfiables. S1(config)#ip dhcp snooping

activer la fonctionnalité « DHCP snooping » sur tous les VLAN.

S1(config)#ip dhcp snooping vlan vlan

activer la fonctionnalité « DHCP snooping » sur un VLAN spécifique.

S1(config)#interface g0/0 S1(config-if)#ip dhcp snooping trust

configurer un port fiable.

S1#show ip dhcp snooping

afficher la snooping »

2.4.

configuration

« DHCP

L’attaque par saut deVLAN

L’attaque par saut de VLAN consiste à se connecter à un VLAN particulier et tenter d’accéder au trafic réseau appartenant à d'autres VLAN. En utilisant l'attaque de saut de VLAN, un attaquant peut capter le trafic réseau d'un autre VLAN ou d'envoyer des donner d'un VLAN à un autre. On distingue deux types d'attaques de saut de VLAN à savoir : l'attaque par « usurpation de commutation » et l'attaque par « double étiquetage ».

42

a.

L'attaque par « usurpation de commutateur»

 Présentation du protocole DTP: DTP est protocole utilisé pour créer dynamiquement des liaisons agrégées (trunk) entre deux commutateurs. Il peut être configuré en trois modes : «Dynamic Desirable», «Dynamic Auto» ou«Trunk».  Présentation del’attaque: Cette attaque consiste à se connecter à une interface d’un commutateur et générer des messages DTP, à partir d’un programme, pour créer une liaison «trunk » entre son ordinateur et le commutateur. L'attaquant peut désormais capturer les données de tous les autres VLAN. Cette attaque peut aussi se produire par l’introduction d’un «commutateur usurpé » configuré à utiliser le protocoleDTP.  Contremesures Les fonctionnalités suivantes sont utilisées pour empêcher ce type d’attaque: S1(config)#interface range gigabitethernet Configurer les ports d’un commutateur connectés aux hôtes comme des ports 0/0 - 20 S1(config-if-range)#switchport mode access d'accès. S1(config-if)# switchport mode trunk

Activer explicitement d’agrégation.

S1(config-if)# switchport nonegotiate

Désactivez DTP et empêcher les messages DTP d'être générées.

S1(config)#interface range gigabitethernet 0/26 - 32 S1(config-if)# switchport access vlan Vlan S1(config-if)# shutdown

Affecter les ports inutilisés à un VLAN dédié et les désactiver.

b.

les

liaisons

L'attaque par «double-tagging».

 Présentation del’attaque: Cette attaque consiste à se connecter à une interface qui appartient au VLAN natif sur un port «trunk», et envoyer une trame en positionnant deux fois les champs relatifs aux VLAN dans une trame Ethernet. Une attaque par « double-tagging » se déroule en trois étapes : 1. L’attaquant génère et envoie une trame 802.1Q, marquée de deux étiquettes, au commutateur.  

La première étiquette porte le VLAN natif du port « trunk». La deuxième étiquette est le VLAN du hôtecible. VLAN Natif

VLAN Cible

2. Lorsque la trame arrive sur le commutateur 1, ce dernier va supprimer l'étiquette du VLAN natif. La trame du l’attaquant ne contient dorénavant que l'étiquette du VLAN de l’hôtecible. VLAN Cible

43

3. Lorsque la trame arrive sur le commutateur 2. Il l’envoie sur le port de l’hôtecible.

Remarque : Ce type d'attaque est unidirectionnel et ne fonctionne que si le pirate est connecté à un port se trouvant dans le même VLAN que le VLAN natif du port trunk.  Contremesures La fonctionnalité « native vlan» est utilisée pour empêcher ce type d’attaque. Switch(config-if)# switchport trunk native vlan vlan

2.5.

Créer un VLAN dédié pour le trafic du VLAN natif séparé du trafic utilisateurs.

Les attaques à base du protocole STP

 Présentation du protocole STP: STP est un protocole réseau qui permet de créer une topologie réseau sans boucle, en bloquant certaines chemins dans les réseaux LAN constitués de plusieurs commutateurs. Son fonctionnement peut être résumé par :    

La sélection d’un commutateur « pont racine » pour chaqueVLAN. La définition des « ports racines » qui permettent l’interconnexion entre le commutateur « racine » et les autrescommutateurs. La définition des ports autorisés à transmettre lesdonnées. Le blocage de certains ports sur lescommutateurs.

 Présentation del’attaque: Cette attaque consiste à introduire un «commutateur usurpé » qui va tenter de se placer comme « le pont racine » par l’envoie des faux messages « PDU » contenant un «BID» minime. Cela aura comme effet la modification de la topologie de STP et le changement des rôles des ports. L’attaquant pourra dorénavant profiter des ports, qui ont été bloqué avant, pour capter la totalité du trafic.  Contremesures La fonctionnalité «Root Guard» est utilisée pour empêcher ce type d’attaque : S1(config-if)# spanning-tree guard root

protéger le remplacement du « pont racine » d'origine par un autre commutateur.

44

Remarque : « BPDU Guard » et « Root Guard » sont similaires, mais leur impact est différent.  BPDU Guard désactive le port lors de la réception BPDU si l’option « PortFast » est activé sur le port. Vous devez réactiver manuellement le port ou configurer un temps dedésactivation.  Root Guard permet aux messages BPDU de traverser un port pour maintenir la topologie STP sauf si un autre commutateur tente de devenir le « pont racine ». La réactivation du port se fait dès que l’autre commutateur cesse cestentatives.

3.

Meilleures pratiques de sécurité pour protéger la couche2

Les meilleures pratiques pour protéger la couche 2, par type d’attaque, incluent : Type de l’attaque

Description

Contremesures

Les attaques par adresse MAC

L'inondationd’adresse MAC. L’usurpationd'adresse MAC.

Utilisez la sécurité de port pour les portsd'accès. Configurer Lafonctionnalité « DAI ».

Les attaques du STP

La modification de la topologie STP.

Configurer PortFast. Configurer BPDUguard. Configurer rootguard

L’exploitation du protocole Les attaques par saut DTP.  L'attaque par «doubleVLAN tagging».

 Désactiver le DTP surles portsd'accès.  Configurer explicitement les ports«trunk»  Utilisez toujours un VLAN natifdédié.  Désactivez tous les ports inutilisés et placez-lesdans un VLANinutilisé.  Eviter l'utilisation du VLAN1

45

VIII.

Chapitre 8 : La cryptographie

1.

Notions de base de lacryptographie 1.1.

Définition

La cryptographie est une discipline qui permet de protéger des messages jugés confidentiel. En effet, si le message est intercepté, par une personne non autorisé, il devrait être incompréhensible et difficile à déchiffré. Les quatre buts de la cryptographie :    

L’authentification : consiste à s’assurer de l'identité de la source et de la destination avant de commencer un échange dedonnées. L’intégrité : consiste à s’assurer que les données envoyées n’ont pas été modifiées lors de latransmission. La confidentialité : consiste à s’assurer que seules les personnes autorisées peuvent consulter lesdonnées. La non-répudiation : consiste s'assurer qu'un message transmis entre deux personnes, ne peut être remis en cause par l'une des deux parties.

1.2.       

Terminologie

Texte clair : désigne toutes données que l’on souhaite transmettre avant modification. Un texte clair peut inclure des textes, images, vidéos, son,etc. Chiffrement : consiste à transformer un texte clair à des donnéesincompréhensible. Texte chiffré : désigne le texte obtenu après l’application de l'algorithme de chiffrement sur le texte clair. Appelé égalementcryptogramme. Déchiffrement : consiste à restituer le texte clair à partir du textechiffré. Chiffre : désigne une suite d'opérations effectuée pour le cryptage et le décryptage des données. Clef : désigne un paramètre permettant le chiffrement et déchiffrement desdonnées. cryptanalyse : désigne l’ensemble des techniques et méthodes utilisées pour tenter de retrouver le texte en clair à partir du textecrypté.

En d’autres termes, aucun secret ne doit résider dans l’algorithme mais plutôt dans la clé. Sans celle-ci, il doit être impossible de retrouver le texte clair à partir du texte chiffré

46

1.3.

La cryptographie classique

Les méthodes courantes utilisées par les algorithmes de chiffrement sont les suivantes: La substitution ■ La substitution mono-alphabétique: consiste à remplacer un caractère par un autre. Ce type de cryptage demandeque 

Deux lettres distinctes doivent être chiffrées en deux signes différents pour éviter l’ambiguïté lors dudéchiffrement.  Une même lettre aura toujours le même signe lors de sonchiffrement. Exemple : Crypter le texte « ISTA NTIC SAFI » en utilisant le Le chiffre de César : fondé sur un simple décalage de lettres. Le chiffre Atbash : fondé sur l’écriture de l'alphabet en sens contraire Pour le rendre plus difficile, nous aurions pu décaler plus qu'un simple caractère et ne choisir que certaines lettres à remplacer. La méthode exacte de substitution pourrait être désignée comme la clé. ■ La substitution poly-alphabétique: consiste à remplacer un caractère par une autre choisie d’une façon dynamique, déterminé par la clé de cryptage, et non plus d’une manièrefixe. Exemple Soit à crypter le mot « ABCABD » avec la clé « 123 » qui indique que le premier caractère sera décalé d'une position, le second de 2 et le troisième de 3 positions, etc. cela donnera le résultat suivant « BDFBDG » ■ La transposition: cette option utilise de nombreuses options différentes, y compris le réarrangement de l'ordre des lettres suivant des règles biendéfinies. Exemple Soit à crypter le texte « ISTA NTIC SAFI » avec la clé « 7514263 » en utilisant le cryptage par transposition. Pour ce faire, on crée un tableau de la façon suivante :  la première ligne est constituée par les valeurs de la clé;  on complète ensuite le tableau en le remplissant avec les lettres du message àchiffrer. On écrit sur chaque ligne autant de lettres que de lettres dans la clé. Eventuellement, la dernière ligne n'est pas complète. 7

5

1

4

2

6

3

I

S

T

A

B

A

B

T

I

Z

I

M

I

Le résultat est la concaténation des caractères en suivant l’ordre des colonnes de 1 à 7 : TZBM BAIS IAIIT Remarque : la clé de cryptage peut, dans des cas, être définit comme une série de caractères. Dans ce cas, chaque caractère sera associé à une valeur numérique et la procédure précédente sera désormais appliquée. ■Le cryptage par Masque jetable(One-time pads): également appelé chiffre de « Vernam », est un algorithme de cryptographie qui rajouta la notion de la clé aléatoire. En effet, il consiste à combiner le message en clair avec une clé présentant les caractéristiques très suivantes:

47

  

La clé doit être une suite de caractères au moins aussi longue que le message à chiffrer. Les caractères composant la clé doivent être choisis de façon totalementaléatoire. Chaque clé ne doit être utilisée qu'une seulefois.

1.4.

La cryptographiemoderne

Le Chiffrement par blocs (block cipher) Le Chiffrement par blocs consiste à découper les données en blocs, de taille généralement fixe (entre 32 et 512 bits), qui sont ensuite chiffrés les uns après les autres. L’idée générale du chiffrement par blocs peut être résumée comme suit : 1. Remplacer les caractères par un codebinaire 2. Découper cette chaîne en blocs de longueurdonnée 3. Chiffrer un bloc bit par bit en se basant sur uneclef. 4. Recommencer éventuellement un certain nombre de fois l’opération3. 5. Passer au blocsuivant. Une liste non-exhaustive des algorithmes de chiffrements par bloc inclut :  Digital Encryption Standard(DES)  Advanced Encryption Standard(AES)  Triple Digital Encryption Standard(3DES)  Blowfish  International Data Encryption Algorithm(IDEA) Remarque : Le chiffrement par blocs peut, dans certain cas, compléter par des remplissages lorsqu’il n'y a pas suffisamment de données pour créer un bloc. Cela peut entraîner une tache additionnelle lors de traitement des données réelles. Le Chiffrement par flux (stream cipher) Le chiffrement par flux consiste à agir en continu sur les données sans l’obligation de rassembler un bloc de données pour commencer l’opération. Ce type de chiffrement est souvent utilisé pour les communications en temps réel puisqu’il a la particularité d’être plus rapide. Une liste non-exhaustive de chiffrements par bloc inclut les normes RC4 et SEAL.

1.5.

Chiffrement symétrique etasymétrique a.

Chiffrementsymétrique

Dans le chiffrement symétrique, la même clé est utilisée pour le chiffrement et le déchiffrement d’où l’obligation que celle-ci reste confidentielle.

48

Exemple de des algorithmes de chiffrements symétrique :  DES  3DES  AES  IDEA  RC2, RC4, RC5,RC6  Blowfish Les algorithmes de cryptage symétriques sont les plus utilisés pour la protection des données car il offre un temps rapide pour le traitement et un niveau de sécurité assez élevé en présence d’une clé d’une grande taille. Cependant son vulnérabilité réside sur la méthode pour échanger de la clépartagée. b.

Chiffrement asymétrique

Dans le chiffrement asymétrique (ou chiffrement à clés publiques), une clé différente est utilisée à la fois pour chiffrer et déchiffrer les données, et il est impossible de générer une clé à partir del’autre.

Les algorithmes à chiffrement asymétrique incluent les suivants:  



RSA: nommé suite à ses créateurs : Rivest, Shamir etAdleman. DH: DH (Diffie-Hellman) est un algorithme à chiffrement asymétrique qui permet à deux hôtes d'échanger des clés secrètes partagées sur un réseau non fiable. Ce protocole est souvent combiné avec des algorithmes symétriques tels que 3DES et AES. DSA: l'algorithme de signature numérique développé par l'Agence de sécurité nationale desÉtats-Unis.

Les algorithmes asymétriques sont plus lents comparé aux algorithmes symétriques. Elles sont généralement utilisées dans les cas de chiffrement à faible volume, tels que les signatures numériques et l'échange de clés.

1.6.

Les fonctions de hachage

Les fonctions de hachage sont des fonctions à sens unique utilisées pour assurer des données. En effet, une fonction de hachage traite un bloc de données, qui peut être de très grande taille ou de nature diversifiée, pour renvoyer une petite valeur de hachage, nommé « l'empreinte numérique » (message digest), de taille fixe.

49

Une fonction de hachage est caractérisée par les propriétés suivantes :  

il est impossible de construire un message à partir de sa valeur dehachage. La modification d’un message donne lieu systématiquement à une autre valeur de hachage.  il est impossible de trouver deux messages différents ayant la même valeur de hachage. Les types de hachage les plus utilisés incluent les suivants:   

MD5: permet de créer des empreintes numériques de taille128-bit. SHA-1: permet de créer des empreintes numériques de taille160-bit. SHA-2: permet de créer des empreintes numériques de taille entre 224 bits et 512bits.

1.7.

Les codes HMAC

Les codes HMAC (Hash-based Message Authentication Code) combinent les fonctions de hachage existantes et avec une clé secrète partagée, utilisé comme entrée de la fonction de hachage, pour fournir l'assurance de l'authentification ainsi que de l'intégrité des données. La société « Cisco » utilise deux fonctions HMAC :  

HMAC-MD5 à clé partagée, basé sur l'algorithme de hachageMD5 HMAC-SHA-1 à clé partagée, basé sur l'algorithme de hachageSHA-1

1.8.

Les signaturesnumériques

Présentation La signature numérique permet de s’assurer l'intégrité d'un document électronique et d'en authentifier l'auteur. Elle est caractérisée par les propriétés suivantes:  Elle ne peut pas êtrefalsifiée.  Elle fait partie du document signé et ne peut pas être déplacée sur un autredocument.  Un document signé ne peut plus êtremodifié. Une signature numérique fournit trois fonctions de sécurité   

L’authenticité des données signées numériquement : L'identité du signataire a été approuvée de manièrecertaine. Intégrité des données signées numériquement : Les signatures numériques garantissent que le document est resté intact depuis sonenvoie. La non-répudiation : Le signataire ne peut pas répudier qu'elle a signé ledocument.

Fonctionnement Le fonctionnement processus de validation d’une signature peut être résumé comme suit : Soit un message signé qui va être envoyé de A à B

Etape 1 : Signature 1. La première personne « A » va générer une clé privée Kpr et une clé publiqueKpb.

50

2. Elle va créer une empreinte numérique unique du document grâce à une fonction de hachageH. 3. Elle crypte l’empreinte numérique avec sa clé privéeKpr. 4. Elle envoie les éléments suivants au destinataire « B »: - Le documentsigné. - La clé publiqueKpb. - l’empreinte numériquecryptée. - La fonctionH Etape 2 : Verification 1. la deuxième personne « B » va déchiffrer l’empreinte numérique en utilisant la clé publiqueKpb. 2. Elle va calculer l’empreinte numérique du document signé en utilisant la fonction de hachageH. 3. Elle compare l'empreinte générée par le document et celle déchiffrée précédemment par la clé publiqueKpb. 4. Si les deux empreintes sont identiques, la signature estvalidée.

1.9.

La gestion des clés

Il existe deux approches de gestion des associations de sécurité. La plus simple est la gestion manuelle, qui consiste à laisser les individus configurer manuellement chaque équipement de sécurité avec les paramètres appropriés et notamment les clés. Si cette approche s'avère relativement pratique dans un environnement statique et de petite taille, elle ne convient plus pour un réseau de taille importante. De plus, cette méthode implique une définition totalement statique des associations de sécurité et un non-renouvellement des clés. La seconde approche est la gestion automatique des associations de sécurité au moyen d'un protocole appelé ISAKMP (Internet Security Association and Key Management Protocol) définit dans le RFC 2408 qui fournit un cadre générique pour la négociation, la modification etladestructiondesSA,ainsiquepourleformatdeleursattributs.CommelemontrelaSee

51

Architecture d'ISAKMP et IKE, ISAKMP est indépendant du protocole d'échange de clés et du protocole pour lequel on souhaite négocier une association. Ainsi, dans le cadre de la standardisation IPsec, ISAKMP est associé en partie aux protocoles d'échanges de clés SKEME et Oakley pour donner un protocole final du nom de Internet Key Exchange ou IKE [RFC 2409]. Ce protocole couvre pour le moment uniquement les situations d'unicast, mais l'IETF travaille à définir une distribution de clés multicast. Par exemple, un logiciel spécialisé calcule très rapidement le résultat de {\displaystyle 25488756^{1521}} {\displaystyle 25488756^{1521}} (un nombre énorme, à 193 chiffres) ; par contre, il lui est impossible de retrouver {\displaystyle 25488756^{1521}} {\displaystyle 25488756^{1521}} à partir de ce nombre dans une durée raisonnable. C'est le problème du calcul du logarithme discret. Aujourd'hui, on recommande d'utiliser des nombres de 300 chiffres, élevés à des puissances de 100 chiffres, ce qui est bien plus solide. DH (en référence à Diffie et Hellman) est une méthode pour créer une clé secrète commune entre un émetteur et un destinataire dans un réseau sans recourir à un canal sécurisé pour l'échange des clés secrètes. e de Diffie-Hellman. Ils font des actions en parallèle, que l'on décrit dans le tableau suivant : Alice Étape 1 :

Bob

Alice et Bob choisissent ensemble un grand nombre premier p et un entier a tel que 1≤a≤p−1. Cet échange n'a pas besoin d'être sécurisé.

Étape 2 :

Alice choisit secrètement x1.

Bob choisit secrètement x2.

Étape 3 :

Alice calcule y1=ax1 (modp)y1=ax1(m odp).

Bob calcule y2=ax2 (modp)y2=ax2 (modp).

Étape 4 :

Étape 5 :

Alice et Bob s'échangent les valeurs de y1 et y2. Cet échange n'a pas besoin d'être sécurisé. Alice calcule yx12=(ax2)x1=ax1x2 (mo dp)y2x1=(ax2)x1=ax1x2 (modp)e t appelle ce nombre KK, la clé secrète à partager avec Bob.

Bob calcule yx21=(ax1)x2=ax1x2 (modp)y1x2 =(ax1)x2=ax1x2 (modp)et appelle ce nombre KK, la clé secrète à partager avec Alice.

À la fin du protocole, Alice et Bob sont donc en possession d'une même clé secrète K

2.

La cryptographie par clé publique 2.1.

Présentation

Les algorithmes asymétriques se basent sur une paire de clé (clé publique et clé privée) pour le chiffrement et le déchiffrement de données. En effets, les deux clés sont capables de chiffrer les données. Toutefois, la clé complémentaire est nécessaire pour leurdéchiffrement.

52

Les algorithmes asymétriques sont basés sur des formules mathématiques complexes, et par conséquent ils prennent plus de temps du le calcul comparé aux les algorithmes symétriques La cryptographie asymétrique est utilisée pour accomplir la confidentialité et l'authentification.

2.2.

Fonctionnement La confidentialité = clé publique (chiffrer) + clé privée (déchiffrer)

Confidentialité

 La clé publique est utilisée pour chiffrer; la clé privée correspondante est utilisée pourdéchiffrer.  Étant donné que la clé privée n'est présente que sur un seul système, la confidentialité est assurée avec ceprocessus.  Ce scénario est souvent utilisé pour l'échange declés. L’authentification = clé privée (chiffrer) + clé publique (déchiffrer)

Authentification

 La clé privée est utilisée pour chiffrer; la clé publique correspondante est utilisée pourdéchiffrer.  Étant donné que la clé privée n'est présente que sur un seul système, l'authentification est assurée lorsque sa clé publique décrypte le Message.

La Confidentialité : seul A peut lire ce message

L’authentification : seul A peut avoir envoyé ce message

2.3.

Les infrastructures à clé publique a.

Présentation

Une infrastructure à clé publique (PKI) est un ensemble de service permettant d’assurer la confidentialité, l'intégrité et l'authentification des données dans une entreprise et repose sur les principes fondamentaux du cryptage asymétrique. Les solutions PKI sont basées sur des certificats numériques et sur la garantie de tierce partiefiable. b.

Terminologies

Une autorité de certification (CA)

 Une autorité de certification est un organisme fiable qui permet de lier des clés publiques avecdes

53

utilisateurs, des sociétés, des équipements, etc.  Elle est chargée de signer et publier numériquement ces clés publiques comme étant un garant de leur authenticité.  Une autorité de certification peut être un organisme privé (par exemple, VeriSign) oupublic. Un Certificat

 Un document électronique qui lie le nom d'un utilisateur ou d'une organisation à une clépublique.  Les certificats numériques sont signés numériquement par une autorité decertification.  Un certificat numérique contient, en plus de la clé publique du concerné, des informations sur la durée de validité du certificat, l’algorithme de signature du certificat,etc.

La liste de révocation des certificats(CRL)

 CRL est l'ensemble des certificats qui ne sont plus valables.  Cette liste est publiée par l’autorité de certification relié ces certificat.  Un certificat peut devenir invalide pour de nombreuses:  l'expiration de la date devalidité.  la compromission de la clé privée associée au certificat.  le changement d'au moins un champ inclus dans le nom du détenteur ducertificat.  autres 

c.

Les norms PKI

Les normes PKI les plus utilisées incluent : 

X.509 : C’est une norme, bien connue créé par l’organisme ITU-T, qui définit un format standard de base pour les certificats à clé publique, les listes de révocation de certificats (CRL), et les autres les attributs decertificat.  Les normes cryptographiques à clé publique (PKCS) : Les standards de cryptographie à clé publique PKCS, sont un ensemble de spécifications conçues par les laboratoires « RSA » permettant l'implantation des techniques de cryptographie à clé publique. les PKCS les plus adoptés par le milieu informatique incluent: Standard Version Description PKCS PKCS#1

2.1

Standard de cryptographie RSA

PKCS#3

1.4

Standard d'échange de clés Diffie-Hellman

PKCS#5

2.0

Standard de chiffrement par mot de passe

PKCS#7

1.5

Standard de syntaxe de message cryptographique

PKCS#8

1.2

Standard de syntaxe d'information de clé privée

54

PKCS#10 d.

1.7

Standard de requête de certificat

Les topologiesPKI

Une infrastructure PKI peut être implémentée sous trois topologies: 

La topologie simple : dans cette topologie, une unique autorité de certification (l'autorité de certification racine) est chargée d’émettre tous les certificats aux utilisateurs finaux. Ce modèle a l'avantage d’être simplicité, mais présente les inconvénientssuivants:  difficile à gérer une topologie à un grandenvironnement.  demande une administration strictementcentralisée.  présente une vulnérabilité critique dans l'utilisation d'une clé privée à signature unique; Si cette clé est compromise ou volée, toute l’infrastructures'effondra.



La topologie hiérarchique : dans cette topologie, une autorité de certification peut délivrer directement des certificats aux utilisateurs finaux ou délégué cette tâche à des autorités de certification subordonnées. Ces dernières peuvent, à leur tour, délivrer des certificats aux utilisateurs finaux ou aux autres autorités de certification. Le principal avantage d'une topologie hiérarchique est l'évolutivité et la gestionsimplifié.



La topologie croisée : Dans cette topologie, plusieurs autorités de certification racine établissent des relations d'approbation horizontalement, en validant mutuellement leurscertificats.

55

On peut Utiliserle logiciel PGP et générer les paires de clés publiques et privées.

56

IX.

Chapitre 9 : Les VPN IPsec

1.

Les concepts, composants et fonctionnementd’IPsec 1.1.

Les objectifsd’IPsec

IPSec est une architecture de sécurité, basée sur des normes standards, qui permet à deux entités d'établir une communication sécurisée. Les objectifs du protocole IPsec peuvent être résumés comme suit :    

La confidentialité: consiste à changer un texte clair en textechiffré. L’intégrité des données: consiste à s’assurer, par le biais d’une fonction de hachage ou par le code HMAC, que les données n'ont pas été modifiées lors leurs déplacement sur leréseau. L’authentification: consiste à authentifier les deux extrémités VPN à l'aide d’une clé pré-partagées (PSK) ou d’une signaturenumériques. La protection Antireplay: consiste à s’assurer qu’aucun paquet n’a été ajouté lors de l’échange desdonnées.

1.2.

Les protocoles de basesd’IPsec

Les trois principaux composants d'IPSec sont les suivants :   

AH : C’est un protocole qui assure seulement l’intégrité des données et l’authentification de la source. AH est approprié lorsque la confidentialité n’est pas requise ou n’est paspermise. ESP : il assure, en plus des fonctions réalisées par AH, la confidentialité des données. C’est pour ces raisons que ce protocole est le plus largementemployé. IKE : Le protocole IKE (Internet Key Exchange) est chargé de négocier la connexion, avant qu'une transmission IPsec puisse êtrepossible.

1.3.

Le cadreIPsec

57

1.4.  

 

L’association de sécuritéIPSec

Une association de sécurité (SA) IPSec est une structure de données qui permet de spécifier les paramètres de sécurité associés à unecommunication. Chaque SA est identifiée de manière unique par:  l'adresse de destination despaquets.  le protocole de sécurité (AH ouESP).  l'identifiant de la SA : leSPI. Une SA est unidirectionnelle. il faut donc deux SA pour protéger les deux sens d'une communication. L'ensemble des SA constitue La Security Policy Database(SPD).

1.5.

Les modes IPsec

On distingue deux modes d'utilisation d'IPSec : le mode transport et le mode tunnel.

2.



Le mode transport:  Il fournit la protection des données du paquet cependant, les en-têtes IP d'origine restent intacts.  Il est utilisé pour créer une communication entre deux hôtes qui supportentIPSec.  Le mode de transport IPSec est généralement combiné avec le protocole GRE pour protéger letrafic.



Le mode tunnel:  L'intégralité du paquet IP d'origine est protégée par IPSec.  IPSec encapsule le paquet d'origine, le crypte, lui ajoute un nouvel entête IP et l'envoie à l'autre côté du tunnelVPN.  Le mode tunnel est le plus couramment utilisé entre des passerelles IPsec (routeurs Cisco ou pare-feuASA).

Le protocoleIKE 2.1.

Présentation

IKE (Internet Key Exchange) est un protocole utilisé pour négocier dynamiquement les paramètres de sécurité associés à une communication IPSec. A noter qu’une implémentation IPsec peut supporter aussi la gestion manuelle de cet échange de paramètres. Cependant, l’utilisation du protocole IKE est considérée comme étant plus sûre et plus rapide. IKE est disponible sous deux versions. La version (IKEv2) présente plusieurs avantages qui incluent, entre autres, la correction des vulnérabilités présentes dans IKEv1et l’utilisation optimale de la bande passante. IKE utilise le protocole UDP sous le port numéro 500.

2.2.

Les composants d’IKE

IKE est la combinaison de trois protocoles en l’occurrence : ISAKMP, SKEME et Oakley. Ces protocoles se regroupent pour assurer la négociation et l’établissement d’une communicationsécurisée.

58

  

ISAKMP : permet de négocier les SA entre deux extrémités d’une communication IPsec. Oakley : utilise l'algorithme Diffie-Hellman pour effectuer les échanges des clés entre les des deux côtés de la connexionIPSec. SKEME : définit les techniques d'échange de clés qui assurent l’anonymat, et la nonrépudiation.

2.3.

Les phases IKEv1

Le protocole IKE (v1et v2) fonctionne en deux phases principales pour créer un canal de communication sécurisé entre les deux points IPSec. Cependant, les deux versions présentent quelques changements en fonctionnement.

En ce qui suit les détails du fonctionnement du IKEv1. La Phase 1 : Les caractéristiques de la phase 1 peuvent être résumées comme suit : 

   



Son objectif est d'établir une SA ISKMP (ou SA IKE). En effet, IKE négocie les options de la sécurité de la communication, tels que l’algorithme de chiffrement, la fonction de hachage, la méthode d'authentification et le groupe relatif à DiffieHellman. Les négociations des SA sontbidirectionnelles Cette phase permet de produire trois clés. Deux seront utilisées pour protéger les messages SA ISKMP et la troisième clés sert à produire deux autres clés utiles à la protection des échangesIPsec. Pour prouver son identité, l’émetteur envoie un hash de la clé associée à l’identité et de tous les messages précédents. La clé de l’identité est soit un secret partagé ou une paire de clésprivée/publiques. La raison de générer plusieurs clés garantit la confidentialité des données même si la clé partagé sera connu dans le future (ou la clé publique utilisée a été compromise), étant donné que la clé de session est une combinaison de cette clé de l’identité, avec une valeur aléatoire (nonce) et plusieurs autres valeurs difficile àprédire. Cette phase peut être établie en deux modes:  Le mode principal (Main Mode) : il se compose de six messages. Il assure l'anonymat des deux coté grâce au chiffrement des deux derniers messages.

59

 Le mode agressif : il se compose seulement de trois de messages. Il donc est plus rapide mais ne présente pas les avantages de mode principale.

La Phase 2 : les caractéristiques de la phase 2 peuvent être résumées comme suit   

Son objectif est d'établir une SAIPSec. Les négociations des SA sontunidirectionnelles Un mode est défini pour cette phase c’est le mode rapide (QuickMode).

Les principales différences entre la version 1 et 2 incluent : 



Un échange de messages simplifié: IKEv1 échange neuf messages (phase 1 = 6, phase 2 = 3). IKEv2 échange six messages (phase 1 = 4, phase 2 = 2).

Lasécurité IKEv1 est sensible aux attaques par déni de service (DoS). IKEv2 est plus à l'abri des attaques DoS parce qu'il ne traite une demande jusqu'à ce qu'elle identifie le demandeur.

60

3.

La configuration des VPN de site à site 3.1.

Présentation

Un VPN site à site permet de relier deux réseaux LAN distants pour partager des ressources via internet de manière sécurisée. Un VPN de site à site est créé entre les deux côtés de la connexion VPN d’une manière transparente pour les hôtes internes.

3.2. 

Configuration du VPNIPsec

Les étapes à suivre:

Pour configurer un VPN site à site à l'aide des commandes CLI, il faut suivre les étapes suivantes: 1. Identifier le « trafic intéressant » en créant une ACLétendue. 2. Créer une stratégie IKE et configurer les paramètres requis pour de phase1. 3. Spécifier la clé partagée PSK et identifier l'adresse IP de l'autre cotée du tunnelVPN. 4. Créer la stratégie IPSec requise pour la phase2. 5. Créer la carte crypto et configurer les spécificités de la cartecrypto. 6. Appliquer la carte crypto à uneinterface. 7. Vérifier les paramètres du tunnel VPN. N.B : certaines étapes peuvent être réalisées sans contrainte de l’ordre présenté ci-dessous. 

Exemple de configuration :

61

62

63

1. Créez une ACL pour identifier le traficintéressant: R1(config)# ip access-list extended VPN-ACL

Créer une ACL étendue

R1(config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Identifier le « trafic intéressant »

2. Créer une stratégie IKE et configurer les paramètres requis pour de phase1. R1(config)# crypto isakmp policy 10

Créer la stratégie IKE.

R1(config-isakmp)# hash sha

Définir la fonction de hachage.

R1(config-isakmp)# authentication pre-share

Définir la méthode d’authentification.

R1(config-isakmp)# group 5

Définir le groupe DH à utiliser.

R1(config-isakmp)# lifetime 86400

Définir le temps de l'expiration IKE.

R1(config-isakmp)# encr aes 128

Définir le protocole de chiffrement.

3. Spécifier la clé partagée (PSK) et identifiez l'adresse IP de l'autre cotée du tunnelVPN. R1(config)# crypto isakmp key PassVPN address 44.113.202.129

Définir la clé partagée et l’adresse IP de l’autre côté du tunnel VPN.

4. Créer la stratégie IPSec requise pour la phase2.

R1(config)# crypto ipsec transform-set R1-toR2-SET esp-sha-hmac esp-aes 128

communication Définir les de paramètres la phase 2.

de

la

64

5. Créer la carte de cryptage et configurez les spécificités de la cartecrypto. R1(config)# crypto map R1-to-R2-MAP 10 ipsecisakmp

Créer une carte de cryptage relié à la stratégie IKE numéro 10.

R1(config-crypto-map)# set transform-set R1-toR2- SET

Définir l’identifiant de la stratégie IPSec requise pour la phase 2.

R1(config-crypto-map)# set peer 44.113.202.129

Définir l’adresse IP de l’autre côté du tunnel VPN.

R1(config-crypto-map)# match address VPN-ACL

Définir l’identifiant du l’ACL de trafic intéressant.

6. Appliquer la carte de cryptage à uneinterface. R1(config)# interface s0/0/0 R1(config-if)# crypto map R1-to-R2-MAP

Sélectionner une interface et appliquer la carte de cryptage.

7. Vérifier les paramètres du tunnel VPN. R1# show crypto isakmp transform-set

Afficher la configuration de la stratégie IPSec requise pour la phase 2

R1# show crypto map

Afficher la configuration de la carte de cryptage

R1# show crypto ipsec sa

Afficher les tunnels IPSec établis

65

X. 1.

Chapitre 10 : Étudier les pare-feu évolués Les pare-feu Cisco ASA 1.1.

Présentation

Cisco ASA (Adaptive Security Appliance) est un dispositif de sécurité qui combine un parefeu, un antivirus, un système de prévention des intrusions (IPS) et des fonctionnalités VPN. Il offre ainsi une large gamme de technologies et de solutions pour une sécurité efficace du réseau informatique.

1.2. 



Les modèles ASA

Il existe différents modèles ASA. Tous les modèles offrent des fonctionnalités avancées de pare-feu et de VPN. La plus grande différence entre les modèles est le débit de trafic maximal géré par chaque modèle et le nombre et les types d'interfaces. Le choix du modèle ASA dépendra des exigences d'une organisation, telles que le débit, les connexions maximales par seconde et le budget de lasociété. Les équipements ASA prend également en charge les environnements du virtualisation. Il exécute le même logiciel que le dispositif physique pour fournir les mêmes fonctionnalités de sécurité.

N.B : dans ce qui suit de ce document nous allons nous limité à l’étude de modèle ASA5505 et sur les fonctionnalités du pare-feu.

1.3.

Les modes d’utilisation des équipementsASA



Le mode routeur:  C’est le mode traditionnel dedéploiement.  Ce mode prend en charge plusieurs interfaces, et chaque interface se trouve sur un sous-réseau différent avec une adresse IPdistincte.  L’ASA réagit comme un routeur dans le réseau et peut effectuer la traduction d'adresses réseau (NAT) entre les réseauxconnectés.



Le modetransparent  L'ASA fonctionne comme un élément de la couche2.  Ce mode ne prend pas en charge les protocoles de routage dynamiques, les fonctionnalités VPN entreautres.

66

1.4.

Une aperçu sur ASA5505



Vue frontal d’ASA5505



Vue d’arrière d’ASA5505

1.5.

Les niveaux de sécuritéASA

ASA attribue des niveaux de sécurité pour classer, par fiabilité, les différents segments d’un réseau. Les niveaux de sécurité ont les caractéristiques suivantes:    

Les numéros de niveau de sécurité varient entre 0 (non fiable) et 100 (trèsfiable). Plus le niveau est élevé, plus l'interface est fiable. Chaque interface activée d’ASA doit avoir un nom et un niveau desécurité. Uneinterfacenommée«inside»prendlavaleur100etuneinterfacenommée «outside» prend la valeur 0.

67

1.6.

La configuration d’ASA avecCLI a.

 

Présentation du CLI sur ASA

ASA5505peutêtrelivréavecunsystèmed’exploitationsousdeuxtypedelicence « une licence de base » ou «une licence de sécurité plus ». Cette dernière prend en charge plus de fonctionnalités. Le système d’exploitation intégré dans les équipements ASA offre une interface de ligne de commande (CLI) qui a un aspect similaire à celui offert par l'IOS du routeur Cisco. Cependant, de nombreuses commandes ASA sont différentes sur les deux systèmes. Commande sur le systèmeIOS

Son équivalent sur l’ASA

enable secret password

enable password password

line con 0 passwordpassword login

passwd password

ip route

route outside

show ip interfaces brief

show interfaces ip brief

show ip route

show route

show vlan

show switch vlan

show ip nat translations

show xlate

copy running-config startup-config

write [ memory ]

b. 

Configuration desinterfaces

ASA 5510, possède deux types d’interfaces:  Les interfaces routé (Interfaces logiques VLAN): Elles sont directement configurées avec des adresses IP, tout comme un routeur. La configuration se fait via une interface SVI (Switch Virtualinterface).  Les interfaces Ethernet couche 2 : Elles sont affectées aux interfaces VLAN.

68

 Pour configurer une interface SVI sur ASA, on procède comme suit: ciscoasa(config)# interface vlan vlan-id Créer un SVI ciscoasa(config-if)# nameif { inside | outside | name }

Attribuer un nom à l'interface SVI.

ciscoasa(config-if)# security-level level

Définir ou modifier le niveau de sécurité SVI.

ciscoasa(config-if)# address netmask

Attribuer une adresse IP et un masque à l’interface SVI.

ip

address

ip-

ciscoasa(config-if)# no forward interface vlan vlan-id2

Empêcher l’acheminement du traficentre les deuxVLANs.

 Pour configurer une interface couche 2 sur ASA on procède comme suit: ciscoasa(config)# interface interface/number Accéder à l’interface. ciscoasa(config-if)# switchport access vlan vlan-id

Affecter-le à un VLAN.

ciscoasa(config-if)# no shutdown

Active l’interface.

c.

Configuration du serviceDHCP

Pour configurer le service DHCP sur ASA, on procède comme suit : ciscoasa(config)# dhcpd address [ start-ofpool ]-[ end-of-pool ] inside

Définir le pool d'adresses IP à attribuer aux utilisateurs internes.

ciscoasa(config)# dhcpd domain domainname

Configurer le nom de domaine.

ciscoasa(config)# dhcpd dns dns-ip-address

Configurer l’adresse IP de DNS.

ciscoasa(config)# dhcpd lease seconds

Configure la durée du bail.

ciscoasa(config)# dhcpd enable interfacename

Activer le service serveur DHCP sur l'interface spécifiée del'ASA.

d. 

Configuration desACL

De nombreuses similitudes existent entre les ACL ASA et les ACL IOS. Nous pouvons résumée les principales déférences comme suit:  Les ACL ASA utilisent un masque de réseau plutôt qu'un masque générique.  Les ACL ASA sont nommées plutôt quenumérotées.  par défaut, les niveaux de sécurité d'une interface applique le contrôle d'accès sans qu’une ACL soitconfigurée.

 Pour configurer les ACL sur ASA, on procède comme suit: ciscoasa(config)# access-list id extended { Créer une ACL étendue. deny |permit } protocol { source_addr

69

source_mask } | any | host src_host | interface src_if_name [ operator port [ port ]{ dest_addr dest_mask } | any | host dst_host | interface dst_if_name [ operator port [ port ]]} ciscoasa(config)# access-group acl-id { in | out } interface interface-name

e. 

Active rune ACL sur une interface.

Configuration du serviceNAT

ASA prend en charge les types du NAT suivantes:  Le NAT dynamique : consiste à effectuer une traduction de plusieurs adresses IP privées à plusieurs adresses IPpubliques.  Le PAT dynamique : consiste à effectuer une traduction de plusieurs adresses IP privées à une seule adresse IPpublique.  Le NAT statique : consiste à effectuer une traduction d’une seule adresse IP privées à une seule adresse IPpublique.

 Pour configurer le NAT dynamique sur ASA, on procède comme suit: ciscoasa(config)# object network public-pool-obj Créer un objet réseau pour le pool d'adresses IP public. ciscoasa(config-network-object)# {host ip_addr | Définir le pool d'adresses IP public à subnet net_addr net_mask | range ip_addr_1 l'aide d'une adresse d’hôte, d'un sousip_addr_2 } réseau ou d'une plage d'adresses IP. ciscoasa(config)# object network private-pool-obj

Créer un autre objet réseau pour le pool d'adresses IPprivée.

ciscoasa(config-network-object)# { subnet net_addr net_mask | range ip_addr_1 ip_ addr_2 }

Définir le pool d’adresses IP internes à l'aide d'un sous-réseau ou d'une plage d'adresses.

ciscoasa(config-network-object)# nat ( real-ifc , mapped-ifc ) dynamic public-pool-object

Activer le NAT dynamique entre les deux interfaces.

 Pour configurer le PAT dynamique sur ASA, on procède comme suit: ciscoasa(config)# object network pat-objCréer un objet réseau pour le pool d’adresses name IP internes. ciscoasa(config-network-object)# { subnet Définir le pool d’adresses IP internes à l'aide net_addr net_mask | range ip_addr_1 d'un sous-réseau ou d'une plage d'adresses. ip_addr_2 } ciscoasa(config-network-object)# nat ( real- Activer le PAT dynamique entre cette ifc , mapped-ifc ) dynamic [ interface | ip- interface et l’interfacepublique. address ] 

Pour configurer le NAT statique sur ASA, on procède comme suit:

70

ciscoasa(config)# object network staticnat- obj-name

Créer un objet réseau pour l’adresse IP interne.

ciscoasa(config-network-object)# host ip_addr

Définir l’adresse IP interne de l’hôte.

ciscoasa(config-network-object)# nat ( real-ifc, mapped-ifc ) static mapped-ip-addr

Activer le NAT statique entre l’adresse IP interne et l’interface publique.

ciscoasa(config)# access-list acl-id extended permit ip any host inside_host

Créez une ACL étendue pour permettre aux utilisateurs externes d'accéder à l'adresse IP interne.

ciscoasa(config-if)# access-group acl-id interface outside

Appliquer l’ACL sur l’interface adéquate.

f.

Configuration deAAA



ASA peut être configuré pour s'authentifier à l'aide d'une base de données d’utilisateur locale ou à partir d'un serveur externe ou en utilisant les deuxméthodes.  Pouractiverl'authentificationAAApourl’accèsaumodeexec(privilège),http,SSH ou Telnet, on procède comme suit : ciscoasa(config)# aaa authentication enable Activer l'authentification AAA pour l’accès au mode EXEC à l'aide de la base de données console LOCAL locale. ciscoasa(config)# aaa authentication http console LOCAL

Activer l'authentification AAA pour l’accès http à l'aide de la base de données locale.

ciscoasa(config)# aaa authentication ssh console LOCAL

Activer l'authentification AAA pour l’accès ssh à l'aide de la base de données locale.

ciscoasa(config)# aaa authentication telnet console LOCAL

Activer l'authentification AAA pour l’accès telnet à l'aide de la base de données locale.



Pour activer l'authentification AAA à l'aide d’un serveur externe, on procède comme suit : ciscoasa(config)# aaa-server server-tag Créer un groupe de serveurs TACACS + ou protocol [ tacacs+ | radius } RADIUS. ciscoasa(config-aaa-server-group)# aaaserver server-tag [ (interfacename) ] host { Définir les paramètres du serveur AAA. server-ip | name } [ key ] ciscoasa(config)# aaa authentication { Activer l'authentification AAA basée sur un enable | http | ssh | telnet } console serverserveur externe. tag [ LOCAL ]

71

1.7.

La configuration d’ASA avec ASDM a.

Présentation deASDM

Le gestionnaire de périphériques de sécurité adaptative (ASDM) de Cisco est un outil GUI basé sur Java qui facilite la configuration, la surveillance et le dépannage des systèmes ASA de Cisco. b.

2.

Utilisation del’ASDM (voir TP)

Le pare-feu TMG2010 a.

Présentation

Forefront Threat Management Gateway (TMG) est un produit de la société Microsoft qui permet de protéger les employées contre les menaces émanant principalement du Web. Cette solution intègre un firewall, un VPN, le filtrage Url et un IPS. Forefront TMG est disponible en 2 versions : Enterprise et Standard le choix est relié selon l’ampleur de l’infrastructure réseau à protégé. b.

Installation etconfiguration (voir TP)

72

Aide Mémoire Commande CCNA Security Chapitre 2 Configurer le mot de passe type 9 (scrypt) , type 8 (sha256) ou type 5 (md5) : R1(config)# enable algorithm-type {scrypt|sha256|md5} secret cisco12345 (Default Privilege level is 15) R1(config-line)# exec-timeout 5 0 R1(config-line)# login local R1(config-line)# privilege level 15 R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)#

service password-encryption security passwords min-length 10 security authentication failure rate seuil log login block-for seconds attempts tries within seconds login quiet-mode access-class acl_number or acl_name login delay seconds (default 1 second) login on-success log [every login] login on-failure log [every login]

R1(config)# privilege exec level 5 ping R1(config)# enable algorithm-type scrypt secret level 5 cisco123 R1>enable [0–15] R1(config)# banner [motd|LOGIN|EXEC] $Unauthorized access strictly prohibited!$ R1(config)# username user01 algorithm-type scrypt secret user01pass R1(config)# username admin privilege 15 algorithm-type scrypt secret cisco12345 R1(config)# R1(config)# R1(config)# R1(config)# R1(config)#

crypto crypto ip ssh ip ssh ip ssh

key generate rsa general-keys modulus 1024 key zeroize rsa version 2 time-out 90 authentication-retries 2

CONFIGURE AN SCP SERVER ON R1 R1(config)# aaa new-model R1(config)# aaa authentication login default local R1(config)# aaa authorization exec default local R1(config)# ip scp server enable R3# copy scp: flash: R3# show flash Configure Administrative Roles R1(config)# aaa new-model R1# enable view (obligatoire pour configurer des views ) R1(config)# parser view admin1 (To delete a view no parser viewviewname.) R1(config-view)# secret admin1pass (MDP OBLIGATOIRE SINON ERREUR !) R1(config-view)# commands exec include all show R1(config-view)# commands exec include all config terminal R1(config-view)# commands exec include all debug R1(config-view)# end R1(config)# parser view Admin SUPERVIEW

73 R1(config-view)# secret admin1pass R1(config-view)# view admin1 Verify the admin1 view. R1# enable view admin1 Password: admin1pass R1# show parser view Current view is ‘admin1’ (*) superview R1(config)# secure boot-image R1(config)# secure boot-config R1# show secure bootset R3# auto secure

Chapitre 3 R1(config)# username user01 algorithm-type scrypt secret user01pass R1(config)# line vty 0 4 R1(config-line)# login local (authentication local) R1(config-line)# exit R1(config)# username Admin01 privilege 15 algorithm-type scrypt secret Admin01pass (default privilege level is 1). CONFIGURE AAA LOCAL AUTHENTICATION USING CISCO R1(config)# aaa new-model R1(config)# aaa authentication login default local-case none None option requires no authentication Options for aaa authentication login methods: Enable, local, local-case, none, group radius, group tacacs+, groupe nomGrp R1(config)# aaa authentication login TELNET_LINES local R1(config)# line vty 0 4 R1(config-line)# login authentication TELNET_LINES

CONFIGURE AAA SERVER-BASED AUTHENTICATION USING RADIUS or TACACS+ R1(config)# aaa new-model R1(config)# aaa authentication login default group radius group tacacs+ local-case none no authentication in case of no connectivity to the server R1(config)# radius server R1(config-radius-server)# R1(config-radius-server)# R1(config-redius-server)#

CCNAS address ipv4 192.168.1.3 auth-port 1812 acct-port 1813 key WinRadius //shared key with the server. end

R1(config)# tacacs server ServerT R1(config-server-tacacs)# address ipv4 192.168.1.3

74 R1(config-server-tacacs)# single-connection R1(config-server-tacacs)# key TACACSPass R1(config-server-tacacs)# exit R1(config)#aaa authentication attempts max-fail 5 R1#show aaa local user lockout R1#show aaa sessions R1(config)# aaa authorization {network | exec | commands level} {default | list-name} method1 R1(config)# aaa accounting {network | exec | connection} {default | list-name} {start-stop | stop-only | none} method1.

R1(config)# R1(config)# R1(config)# R1(config)#

aaa aaa aaa aaa

authorization exec default group tacacs+ authorization network default group tacacs+ accounting exec default start-stop group tacacs+ accounting network default start-stop group tacacs+

801.1X PORT-BASED NETWORK ACCESS CONTROL

EAP : Extensible Authentication Protocol. EAPOL : EAP over LAN. S1(config)# aaa new-model S1(config)# radius server ccnas S1(config-radius-server)# address ipv4 10.1.1.1 auth-port 1812 acct-port 1813 S1(config-radius-server)# key radius-password S1(config-radius-server)# exit S1(config)#aaa authentification dot1x default group radius S1(config)# dot1x system-auth-control S1(config)#interface fa0/1 S1(config-if)# authentication port-control auto S1(config-if)# dot1x pae authenticator (PAE Port Access Entity) Chapitre 4 1. Créer les zones R(config)# zone security INSIDE R(config)# zone security CONFROOM R(config)# zone security INTERNET 2. Identifier le traffic R(config)# class-map type inspect [match-any | match-all] INSIDE_PROTOCOLS R(config-cmap)# match [protocol tcp | access-group nACL | class-map-name nomClassMap] R(config-cmap)# match protocol udp R(config-cmap)# match protocol icmp R(config)# class-map type inspect match-any CONFROOM_PROTOCOLS R(config-cmap)# match protocol http R(config-cmap)# match protocol https R(config-cmap)# match protocol dns 3. Identifier une action avec policy map R3(config)# policy-map type inspect INSIDE_TO_INTERNET R3(config-pmap)# class type inspect INSIDE_PROTOCOLS

75 R3(config-pmap-c)# inspect R3(config)# policy-map type inspect CONFROOM_TO_INTERNET R3(config-pmap)# class type inspect CONFROOM_PROTOCOLS R3(config-pmap-c)# { inspect | pass | drop } 4. Créer les paires de zones R(config)# zone-pair security INSIDE_TO_INTERNET source INSIDE destination INTERNET R(config)# zone-pair security CONFROOM_TO_INTERNET source CONFROOM destination INTERNET 5. Liéer une paire de zone à une policy map. R(config)# zone-pair security INSIDE_TO_INTERNET R(config-sec-zone-pair)# service-policy type inspect INSIDE_TO_INTERNET R(config)# zone-pair security CONFROOM_TO_INTERNET R(config-sec-zone-pair)# service-policy type inspect CONFROOM_TO_INTERNET 6. Assigner les interfaces aux zones R(config)# interface g0/0 R(config-if)# zone-member security CONFROOM R(config)# interface g0/1 R(config-if)# zone-member security INSIDE R(config)# interface s0/0/1 R(config-if)# zone-member security INTERNET

R# R# R# R# R#

VERIFICATIONS show policy-map type inspect [zone-pair [sessions]] show class-map type inspect show zone security show zone-pair security show ip inspect sessions

C3PL : Cisco Common Classification Policy Language : C3PL allows you to create traffic policies based on events, conditions, and actions. SDM uses C3PL to create the policy maps and class maps that the following help topics describe

Chapitre 6 Configure Secure Trunks and Access Ports S1(config)# interface f0/5 S1(config-if)# spanning-tree portfast S1(config-if)# spanning-tree bpduguard enable S1(config)# spanning-tree portfast default S1(config)# spanning-tree portfast bpduguard S2(config-if)# spanning-tree guard root (not root ports : connect to switches that should not be the root bridge) S2# show spanning-tree inconsistentports (ports currently receiving superior BPDUs that should not be.) S2(config)# spanning-tree loopguard default (on non root switchs)

S1(config-if)# S1(config-if)# S1(config-if)# S1(config-if)#

switchport switchport switchport switchport

port-security port-security port-security port-security

(must be on access mode) maximum 10 mac-address xxxx.xxxx.xxxx mac-address sticky

76 S2(config-if)# switchport port-security aging time 120 (2 Hours) S1# show port-security S1# show port-security interface f0/5 S1# show port-security address S2(config)# interface f0/18 S2(config-if)# switchport mode access S2(config-if)# switchport port-security S2(config-if)# switchport port-security maximum 3 S2(config-if)# switchport port-security violation [shutdown| restrict | protect ]

PVLAN (protected ports) no traffic be forwarded between two ports on the same switch. S1(config)# interface f0/6 S1(config-if)# switchport protected S1(config-if)# interface f0/7 S1(config-if)# switchport protected S1# show interfaces fa0/6 switchport

Configure IP DHCP Snooping S1(config)# ip dhcp snooping (globally) S1(config)# ip dhcp snooping information option S1(config)# ip dhcp snooping vlan 1,20 (for vlans 1 and 20). S1(config)# interface f0/6 (max 10 requests authorized connected to client) S1(config-if)# ip dhcp snooping limit rate 10 S1(config)# interface f0/5 (trusted interface, connected to dhcp server) S1(config-if)# ip dhcp snooping trust S1# show ip dhcp snooping S1# show ip dhcp snooping binding Configuring Dynamic ARP Inspection S1(config)# ip arp inspection vlan 10 (activate inspection for vlan 10). S1(config)# ip arp inspection validate [dst-mac | ip | src-mac] S1(config)#interface fa0/24 (trusted interface) S1(config-if)# ip arp inspection trust Configuring IP Source Guard (valider le lien entre le port, l’adresse IP et l’adresse MAC pour chaque requête) S1(config)#interface range fa0/1-2 S1(config-if)# ip verify source

Chapitre 8

Step 1: verify connectivity between R1 and R3 Step 2: Enable IKE (Internet Key Exchange) policies on R1 and R3. ISAKMP : Internet Security Association and Key Management Protocol R1(config)# crypto isakmp enable (enable IKE on R1) R3(config)# crypto isakmp enable

77 R1(config)# crypto isakmp policy 10 R1(config-isakmp)# ? authentication default encryption exit group hash lifetime no

Set authentication method for protection suite Set a command to its defaults Set encryption algorithm for protection suite Exit from ISAKMP protection suite configuration mode Set the Diffie-Hellman group Set hash algorithm for protection suite Set lifetime for ISAKMP security association Negate a command or set its defaults

R1(config)# crypto R1(config-isakmp)# R1(config-isakmp)# R1(config-isakmp)# R1(config-isakmp)# R1(config-isakmp)# R1(config-isakmp)#

isakmp policy 10 hash sha authentication pre-share group 14 lifetime 3600 encryption aes 256 end

R3(config)# crypto R3(config-isakmp)# R3(config-isakmp)# R3(config-isakmp)# R3(config-isakmp)# R3(config-isakmp)# R3(config-isakmp)#

isakmp policy 10 hash sha authentication pre-share group 14 lifetime 3600 encryption aes 256 end

R1# show crypto isakmp policy R1(config)# crypto isakmp key cisco123 address 10.2.2.1 (@ serial R3) R3(config)# crypto isakmp key cisco123 address 10.1.1.1 (@ serial R1) Or hostname aulieu de Address.

Configure the IPsec transform set and lifetime: R1(config)# crypto ipsec transform-set 50 ? ah-md5-hmac AH-HMAC-MD5 transform ah-sha-hmac AH-HMAC-SHA transform comp-lzs IP Compression using the LZS compression algorithm esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-aes ESP transform using AES cipher esp-des ESP transform using DES cipher (56 bits) esp-md5-hmac ESP transform using HMAC-MD5 auth esp-null ESP transform w/o cipher esp-seal ESP transform using SEAL cipher (160 bits) esp-sha-hmac ESP transform using HMAC-SHA auth

R1(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac R1(cfg-crypto-trans)# exit R3(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac R3(cfg-crypto-trans)# exit R1(config)# crypto ipsec security-association lifetime seconds 1800 R3(config)# crypto ipsec security-association lifetime seconds 1800

78

Define interesting traffic. R1(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 R3(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

Create and apply a crypto map. R1(config)# crypto map CMAP 10 ipsec-isakmp R1(config-crypto-map)# match address 101 R1(config-crypto-map)# set ? identity ip isakmp-profile nat peer pfs reverse-route security-association transform-set

Identity restriction. Interface Internet Protocol config commands Specify isakmp Profile Set NAT translation Allowed Encryption/Decryption peer. Specify pfs settings Reverse Route Injection. Security association parameters Specify list of transform sets in priority order

R1(config-crypto-map)# R1(config-crypto-map)# R1(config-crypto-map)# R1(config-crypto-map)# R1(config-crypto-map)# The same configuration R3(config)# crypto map R3(config-crypto-map)# R3(config-crypto-map)# R3(config-crypto-map)# R3(config-crypto-map)# R3(config-crypto-map)# R3(config-crypto-map)#

set peer 10.2.2.1 set pfs group14 set transform-set 50 set security-association lifetime seconds 900 exit for R3 CMAP 10 ipsec-isakmp match address 101 set peer 10.1.1.1 set pfs group14 set transform-set 50 set security-association lifetime seconds 900 exit

Apply the crypto map to interfaces R1(config)# interface S0/0/0 R1(config-if)# crypto map CMAP *Jan 28 04:09:09.150: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R3(config)# interface S0/0/1 R3(config-if)# crypto map CMAP *Jan 28 04:10:54.138: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R1# show crypto ipsec transform-set Transform set 50: { esp-256-aes esp-sha-hmac } will negotiate = { Tunnel, }, Transform set #$!default_transform_set_1: { esp-aes esp-sha-hmac } will negotiate = { Transport, }, Transform set #$!default_transform_set_0: { esp-3des esp-sha-hmac } will negotiate = { Transport, },

R1# show crypto map Crypto Map "CMAP" 10 ipsec-isakmp Peer = 10.2.2.1 Extended IP access list 101 access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

79 Current peer: 10.2.2.1 Security association lifetime: 4608000 kilobytes/900 seconds Responder-Only (Y/N): N PFS (Y/N): Y DH group: group14 Transform sets={ 50: { esp-256-aes esp-sha-hmac } , } Interfaces using crypto map CMAP: Serial0/0/0

R1# show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src

state

conn-id status

IPv6 Crypto ISAKMP SA

R1# show crypto ipsec sa interface: Serial0/0/0 Crypto map tag: CMAP, local addr 10.1.1.1 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0) current_peer 10.2.2.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.1 path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0 current outbound spi: 0x0(0) PFS (Y/N): N, DH group: none inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas:

Chapitre 9 ciscoasa>enable Password: class (or press Enter if none set) ciscoasa# show version ciscoasa# show file system ciscoasa# show flash ciscoasa# show running-config ciscoasa# copy run start

ciscoasa# conf t ciscoasa(config)# configure factory-default ciscoasa# write erase (erase startup-config) ciscoasa# show start ASA-Init(config)# hostname CCNAS-ASA CCNAS-ASA(config)# domain-name ccnasecurity.com

80 CCNAS-ASA(config)# passwd cisco (for telnet) CCNAS-ASA(config)# enable password class CCNAS-ASA(config)# CCNAS-ASA(config)# CCNAS-ASA(config)# CCNAS-ASA(config)#

telnet 192.168.1.3 255.255.255.255 inside telnet timeout 3 aaa authentication telnet console local clear configure telnet

CCNAS-ASA(config)# CCNAS-ASA(config)# CCNAS-ASA(config)# CCNAS-ASA(config)# CCNAS-ASA(config)# CCNAS-ASA(config)# CCNAS-ASA(config)# CCNAS-ASA(config)#

username med password motdepasse aaa authentication ssh console local crypto key generate rsa modulus 1024 ssh 192.168.1.3 255.255.255.255 INSIDE ssh 192.16.16.16 255.255.255.255 OUTSIDE ssh timeout 3 ssh version 2 show ssh

CCNAS-ASA(config)# clock set 19:09:00 april 19 2015 CCNAS-ASA(config)#ntp authenticate CCNAS-ASA(config)#ntp trusted-key 1 CCNAS-ASA(config)#ntp authentication-key 1 md5 cisco CCNAS-ASA(config)#ntp server 192.168.1.1 CCNAS-ASA(config)#dhcpd address 192.16.1.1-192.16.41 INSIDE (MAX 32) CCNAS-ASA(config)#dhcpd lease 3600 ( seconds = 1h) CCNAS-ASA(config)#dhcpd dns 8.8.8.8 4.4.4.4 CCNAS-ASA(config)#dhcp enable inside ciscoasa#show password encryption Ciscoasa(config)#key config-key password-encryption newPass [oldPass] Ciscoasa(config)#password encryption aes CCNAS-ASA(config)# interface vlan 1 CCNAS-ASA(config-if)# nameif inside CCNAS-ASA(config-if)# ip address 192.168.1.1 255.255.255.0 CCNAS-ASA(config-if)#Ip address [dhcp [setroute] | pppoe [setroute]] CCNAS-ASA(config-if)# security-level 100 CCNAS-ASA(config-if)# interface vlan 2 CCNAS-ASA(config-if)# nameif outside INFO: Security level for "outside" set to 0 by default. CCNAS-ASA(config-if)# ip address 209.165.200.226 255.255.255.248 CCNAS-ASA(config-if)# no shutdown CCNAS-ASA(config)# interface e0/1 CCNAS-ASA(config-if)# switchport access vlan 1 CCNAS-ASA(config-if)# no shutdown CCNAS-ASA(config-if)# interface e0/0 CCNAS-ASA(config-if)# switchport access vlan 2 CCNAS-ASA(config-if)# no shutdown

81 CCNAS-ASA(config)# show interface ip brief CCNAS-ASA(config)# show ip address CCNAS-ASA# show switch vlan CCNAS-ASA# show run interface vlan 1 CCNAS-ASA(config)#object [network | service] NomObjet Network : host, subnet or range. Service : ah, eigrp, ospf, esp, gre, ip, tcp, udp, ipsec, ... CCNAS-ASA(config-network-object)#range 192.19.1.2 192.19.1.20 CCNAS-ASA(config-service-object)#service tcp [source | destination] eq ftp CCNAS-ASA(config)#show runnig-config object [network | service] ASA(config)#object-group network admin ASA(config-network-object-group)#description machines des admins ASA(config-network-object-group)#network-object host 192.168.1.13 ASA(config-network-object-group)#network-object subnet 192.16.2.0 255.255.255.0 ASA(config)#object-group network AllHosts ASA(config-network-object-group)# description toutes les machines ASA(config-network-object-group)# network-object 192.168.1.32 192.168.1.140 ASA(config-network-object-group)#group-object admin CCNAS-ASA(config)#show runnig-config object-group ASA(config)# object-group service Service1 ASA(config-service-object-group)#service-object tcp destination eq www ASA(config-service-object-group)#port-object eq smtp ASA(config-service-object-group)#port-object range 2000 2005 Les ACL ASA utilise le masque de sous réseau au lieu de masque générique. ASA(config)#access-list ACL-IN extended permit tcp object-group NET-HOST object-group Servers object-group HTTP-SMTP. ASA(config)#access-group ACL-IN in interface inside Configure asdm access to the ASA CCNAS-ASA(config)# http server enable CCNAS-ASA(config)# http 192.168.1.0 255.255.255.0 inside CCNAS-ASA(config)# route outside 0.0.0.0 0.0.0.0 209.165.200.225 CCNAS-ASA# show route NAT & PAT CCNAS-ASA(config)# object network CCNAS-ASA(config-network-object)# CCNAS-ASA(config)# object network CCNAS-ASA(config-network-object)# CCNAS-ASA(config-network-object)# CCNAS-ASA(config-network-object)# CCNAS-ASA(config-network-object)# CCNAS-ASA(config-network-object)#

public range200.200.200.20 200.200.200.40 INSIDE-NET subnet 192.168.1.0 255.255.255.0 nat (inside,outside) dynamic public (NAT) nat (inside,outside) dynamic interface (PAT) nat (inside,outside) static 200.2.2.2 (statique) end

CCNAS-ASA(config)#policy-map global_policy CCNAS-ASA(config-pmap)#class inspection_default

82

CCNAS-ASA# show run object object network INSIDE-NET subnet 192.168.1.0 255.255.255.0

CCNAS-ASA# show run nat ! object network INSIDE-NET nat (inside,outside) dynamic interface

CCNAS-ASA# show nat [detail] Auto NAT Policies (Section 2) 1 (inside) to (outside) source dynamic INSIDE-NET interface translate_hits = 4, untranslate_hits = 4

CCNAS-ASA# show xlate (comme show ip nat translations) 1 in use, 28 most used Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice ICMP PAT from inside:192.168.1.3/512 to outside:209.165.200.226/21469 flags ri idle 0:00:03 timeout 0:00:30

CCNAS-ASA(config)#aaa-server TACAS-SVR protocol [tacacs+ | radius ] CCNAS-ASA(config-aaa-server-group)#aaa-server TACAS-SVR (dmz) host 192.168.1.1 CCNAS-ASA(config)# aaa authentication [http|enable|ssh|..] console TACAS-SVR local

MPF Class Map -> Policy Map -> Activate policy CCNAS-ASA(config)#class-map Class-TFTP CCNAS-ASA(config-cmap)#match access-list ACL_TFTP CCNAS-ASA(config-cmap)# match port tcp eq http CCNAS-ASA(config)#policy-map POLICY-TFTP CCNAS-ASA(config-pmap)# class Class-TFTP CCNAS-ASA(config-pmap-c)#inspect tftp CCNAS-ASA(config)#service-policy POLICY-TFTP global Fin.