Transcript Routeur firewall

Avertissement
• Certaines parties de ce cours sont construites à partir
d’informations relatives aux routeurs de la marque cisco
• Les notions manipulées sont assez générales pour êtres
valables quelle que soit la marque
• La syntaxe des quelques commandes présentées est propre à
cisco
• Cependant, seules des commandes très généralistes sont
décrites, il sera donc aisé d’en trouver l’équivalent chez un
autre constructeur
RE16
1
Routeur
• Un routeur est une machine de traitement de données, au
même titre qu’un ordinateur
• Il est composé :
– d’une partie matérielle (processeur, mémoire, interfaces)
– d’une partie logicielle comprenant :
• un système d’exploitation
• des fichiers de configuration
RE16
2
Routeur :
système d’exploitation
•
•
Il interprète les commandes
entrées à la ligne de
commande ou collectionnées
dans le fichier de
configuration
Comme sur un ordinateur, il
peut être mis à jour pour
corriger des failles ou ajouter
des fonctions
RE16
3
Routeur : aspects matériels
RE16
4
Routeur : composants
• Les composants internes d'un routeur sont les suivants :
– Mémoire RAM/DRAM :
•
•
•
•
tables de routage
la mémoire cache ARP
files d'attente de paquets
sert également de mémoire d'exécution au fichier de configuration du
routeur lorsque ce dernier est sous tension
• le contenu de la mémoire RAM est perdu lors d'une mise hors tension ou
d'un redémarrage.
– Mémoire NVRAM :
• mémoire non volatile
• stocke le fichier de configuration
RE16
5
Routeur : composants
– Mémoire flash :
• mémoire morte effaçable électriquement
• contient le microcode et l'image du système d'exploitation.
• permet d'effectuer des mises à niveau logicielles sans retirer ni remplacer
les puces du processeur
• son contenu est conservé lors d'une mise hors tension et d'un
redémarrage
• Elle peut stocker plusieurs versions de la plate-forme logicielle Cisco IOS
– Mémoire ROM :
• les diagnostics de mise sous tension
• un programme d'amorçage
– Interfaces :
• connexions réseau situées sur la carte-mère ou sur des modules
d'interface distincts, par lesquelles les paquets entrent dans le routeur et
en sortent
RE16
6
Accès au routeur
• On peut configurer un routeur à partir des sources externes
suivantes :
–
–
–
–
le port console (RS232)
un modem utilisant le port auxiliaire
une session telnet, après l'installation du routeur sur le réseau
un serveur TFTP du réseau
• Certains routeurs intègrent un serveur web qui permet de les
programmés, à condition qu’ils soient déjà visibles sur le
réseau
RE16
7
Les modes d’un routeur
• Quelle que soit la méthode utilisée pour accéder au routeur,
celui-ci peut fonctionner dans différents modes :
– Mode utilisateur -- Dans ce mode en lecture seule, l'utilisateur peut
consulter les informations relatives au routeur mais il ne peut pas
les modifier.
– Mode privilégié -- Prend en charge les commandes de débogage et
de test, l'analyse détaillée du routeur, le traitement des fichiers de
configuration et l'accès aux modes de configuration.
– Mode setup -- Affiche un dialogue interactif à l'écran de la console,
à l'aide duquel l'utilisateur débutant peut créer sa première
configuration de base.
– Mode de configuration globale -- Mode offrant des commandes de
configurations simples.
– Autres modes de configuration -- Modes permettant de créer des
configurations multilignes détaillées, pour chaque interface.
– Mode RXBoot -- Mode de maintenance permettant notamment de
récupérer des mots de passe perdus.
RE16
8
Visualisation de l’état
d’un routeur
• show version : affiche la configuration matérielle système, la
version du logiciel, le nom et la source des fichiers de
configuration ainsi que l'image d'amorçage.
• show protocols : affiche les protocoles configurés et l'état de
tous les protocoles configurés de couche 3.
• show memory : affiche des statistiques sur la mémoire du
routeur, notamment sur la mémoire disponible.
• show flash : affiche des informations sur la mémoire flash.
• show running-config : affiche le fichier de la configuration
active.
• show startup-config : affiche le fichier de la configuration de
sauvegarde.
• show interfaces : affiche des statistiques sur toutes les
RE16
interfaces configurées du routeur.
9
show version
RE16
10
show protocols
RE16
11
Fichiers de configuration
• Un routeur contient toujours deux configurations :
– une configuration active (runnin-config) en RAM : elle peut être
modifiée à chaud, les modifications seront exécutoires
immédiatement
– une configuration de démarrage (startup-config) en NVRAM : elle
est copiée vers la RAM à chaque démarrage pour créer la
configuration active
• Ainsi, les modifications de configuration faites sur la
configuration active doivent être sauvegardées dans la
configuration de démarrage, si on veut les conserver au-delà
du prochain redémarrage
RE16
12
show running-config
show startup-config
RE16
13
Exemple de fichier de config
version 10.3
no service config
! évite les requêtes TFTP en broadcast pour les mises à jour
automatiques de la config
no service tcp-small-servers
! no service udp-small-servers
! évite le déni de service sur les ports 7 et 9
no ip domain-lookup
! évite la recherche DNS sur des mauvaises commandes
service password-encryption
! les mots de passe seront inscrits codés dans les configs
hostname cisco4000
!
enable secret 5 $1$QIgl$PUFwSWwHjElDaG4LOLFxa/
enable password class
!
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
no shutdown
!
interface Ethernet1
ip address 192.168.10.254 255.255.255.0
no shutdown
!
RE16
interface Ethernet2
ip address 192.168.20.254 255.255.255.0
no shutdown
!
interface Ethernet3
ip address 192.168.30.254 255.255.255.0
no shutdown
!
interface Serial0
no ip address
shutdown
!
interface Serial1
no ip address
shutdown
!
!
!
line con 0
login
password cisco
!
end
14
Table de routage
•
•
•
Un routeur intervient pour l’aiguillage des paquets
Il y parvient grâce à sa table de routage
On peut visualiser la table de routage grâce à la commande
show ip route
RE16
15
Test de bon fonctionnement
•
Pour vérifier la bonne connectivité d’un routeur avec ses voisins, on
utilise les commandes ping et trace route
RE16
16
Connexion à l’Internet : FireWall
• L’idée est de maîtriser un éventuel incendie
• Cela signifie que :
– on accepte l’idée qu’un incendie est possible (attaque de la DMZ)
– au cas où cela se produit, on s’arrange pour qu’il soit limité à une
zone non cruciale du réseau (la DMZ)
• Le FireWall est utilisé pour confronter tous les paquets de
données aux règles de la politique de sécurité
• Il avertira l’administrateur de toute activité suspecte
RE16
17
FireWall : différents types
• Le fonctionnement d’un FireWall repose sur les éléments
suivants :
– filtrage des paquets avec des ACLs, translations d’adresses
(couches 3 et 4)
– serveur proxy (couches 4 à 7)
• Il peut proposer d’autres techniques liées à la sécurité des accès
au réseau :
– VPN Virtual Private Network
– détection d’intrusions
– Authentification
RE16
18
FireWall : différents types
• Un FireWall peut être logiciel :
– c’est un programme installé sur
un OS classique
– exemple : CheckPoint FireWall 1
– on dit aussi « server based
FireWall »
– dans cette catégorie, on trouve
aussi les FireWalls personnels
comme Norton, MacAfee, Zone
Labs, …
– ces logiciels sont souvent
couplés à un antivirus
– réservé en général à la protection
d’une machine seulement, ou
d’un très petit réseau !
RE16
19
FireWall : différents types
• Un FireWall peut être matériel :
–
–
–
–
–
ce sont des plate-formes spécifiques
sur ces plate-formes tourne un OS spécifique (épuré)
exemples : Cisco, NetScreen, SonicWall, WatchGuard
on dit aussi « dedicated FireWall »
L’IOS de certains routeurs peut aussi intégrer des fonctions
«FireWall»
RE16
20
Firewall : aspects matériels
• C’est la même chose que pour un routeur !?!
• Le firewall a lui aussi :
–
–
–
–
un système d’exploitation
un accès administratif
des modes de configuration
des fichiers de configuration
RE16
21
Connexion à l’Internet : FireWall
• Point de passage obligé pour tous les paquets qui sortent et qui
entrent dans le réseau
Réseau
interne
Zone « démilitarisée » : DMZ
RE16
22
Firewall matériel
• Il a pour fonctions :
–
–
–
–
–
Le routage
Le filtrage
La translation d’adresses
La détection d’intrusions
La gestion des accès distants
RE16
Routage
ACLs
NAT
IDS
VPN
23
Comparaison Routeur / Firewal
• Fnalement, un routeur et Firewall ont tous les deux les mêmes
fonctions :
–
–
–
–
–
la structure matérielle/logicielle est la même
ils relient pluseurs réseaux IP différents, ils font donc du routage
ils permettent tous les deux de faire du filtrage
même chose pour la translation d’adresses
On peut faire de la détection d’intrusion avec certains routeurs
• Où est la différence ?
RE16
24
Comparaison Routeur Firewall
• Un routeur « peut » alors qu’un firewall « doit »
• La différence réside dans :
– les performances physiques et logiques du système, même si la
structure est la même (pour un routeur et un firewall)
– les contraintes et la philosophie de mise en oeuvre
• Un routeur peut « tout » faire, il n’est pas assez spécialisé pour
être rapide sur les fonctions de sécurité
• Un firewall doit aussi faire du routage, mais cela doit rester
simple car ce n’est pas son travail principal
• Un firewall est construit pour être rapide pour les fonctions de
sécurité
Routeur et firewall sont des matériels voisins techniquement, avec
des fonctions communes, mais qui sont utilisées pour servir
des objectifs bien distincts
RE16
25
FireWall : niveaux de confiance
• Un FireWall utilise la notion de niveau de confiance :
– 100 : signifie que le réseau est sûr (réseau interne)
– 0 : signifie le contraire (extérieur)
– les communications sont par défaut interdites des réseaux de
niveau de confiance inférieurs vers les réseau à niveau de
confiance supérieurs
– seuls les paquets explicitement autorisés peuvent «remonter»
les niveaux de confiance
RE16
26
FireWall : niveaux de confiance
Internet
DMZ
Réseau interne
RE16
27
FireWall : translation
d’adresse NAT
• Comme certains routeurs, le FireWall utilise le NAT :
– cette technique permet de « cacher » des adresses, généralement
privées derrière d’autres adresses publiques
– elle permet de donner une idée totalement fausse de l’architecture
du réseau, vu de l’extérieur
– toutes les translations doivent être explicites, même pour les
adresses qui ne doivent pas changer (translations blanches)
• Cette technique oblige toutes les communications à passer par
le FireWall (initialisation, transmission et relâchement)
• Le FireWall peut ainsi vérifier « à la volée » que tous les paquets
échangés sont conformes au dialogue
RE16
28
FireWall : translation
d’adresse NAT
192.204.0.20
192.204.0.20
192.204.0.20
192.204.0.21
RE16
29
FireWall : translation de
ports
• En plus de la translation d’adresses, un FireWall est susceptible
de translater les ports :
– les communications sortantes sont toutes translatées vers la même
adresse IP (quelle que soit la source)
– elles se verront attribuer un port client différent
• Cela permet de cacher de nombreux clients (voire tout un
réseau) derrière une seule adresse !
• L’exploration de l’architecture du réseau devient alors
impossible
RE16
30
FireWall : translation
de ports
RE16
31
FireWall : ACLs
• Elles doivent être utilisées pour autoriser le trafic utile de
l’extérieur vers la DMZ, et éventuellement de la DMZ vers
l’intérieur
• Le fonctionnement est le même que pour un routeur
RE16
32
FireWall : exemple d’ACL
RE16
33
Firewall : exemple d’ACL
RE16
34
FireWall : serveur AAA
• A Authentication : détermine qui est le client
• A Authorization : détermine ce que le client a la droit de faire
• A Accounting : enregistre ce que le client a fait
• Cette procédure est facultative
• Elle utilise un serveur d’authentification externe au FireWall
comme CSACS, TACACS+, Radius
RE16
35
FireWall : serveur AAA
RE16
36
Conclusion
Routeur
Position dans le réseau En interne
Firewall
A l’interface
intérieur/extérieur
Routage
Décliner l’architecture
en réseaux / sousréseaux
Relier Internet, DMZ et
réseau interne
Filtrage
Interdire les actions
inutiles
Se prémunir des
attaques et autres…
Translation
Facultative
Obligatoire !
Accès distant
Possible, mais souvent Facile et très sécurisé
compliqué
IDS
Possible, mais peu
RE16
performant
Très performant
37