Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Exemple de configuration de pare-feu Cisco Secure PIX Firewall avec deux routeurs

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Interactif : Ce document propose une analyse personnalisée de votre périphérique Cisco.


Contenu


Introduction

Cet exemple de configuration démontre comment sécuriser un réseau au moyen d'une combinaison de routeurs et d'un pare-feu Cisco Secure PIX. Il y a trois niveaux de protection : deux routeurs et le pare-feu PIX; et un système de journalisation lié à un serveur Syslog pour faciliter l'identification d'attaques potentielles.

Remarque: Ce document ne couvre pas des questions telles que la sélection de mot de passe et d'autres formes de Sécurité qui sont nécessaires pour protéger avec succès votre réseau contre l'attaque.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur la version du logiciel PIX 5.3.1 et plus tard.

Remarque: Les commandes utilisées en l'autre logiciel de versions de PIX varient légèrement. Référez-vous à la documentation PIX avant que vous implémentiez cette configuration.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise cette configuration du réseau.

/image/gif/paws/15244/new_20.gif

Configurations

La première configuration est pour le Pare-feu PIX parce que les configurations de routeur doivent être comprises par rapport au Pare-feu.

Si vous avez la sortie d'une commande de write terminal de votre périphérique de Cisco, vous pouvez utiliser l'outil d'Output Interpreter (clients enregistrés seulement) pour afficher des éventuels problèmes et des difficultés.

Ce document utilise les configurations suivantes :

Pare-feu PIX

!--- Sets the outside address of the PIX Firewall:

ip address outside 131.1.23.2 

!--- Sets the inside address of the PIX Firewall:

ip address inside 10.10.254.1

!--- Sets the global pool for hosts inside the firewall:

global (outside) 1 131.1.23.12-131.1.23.254

!--- Allows hosts in the 10.0.0.0 network to be
!--- translated through the PIX:

nat (inside) 1 10.0.0.0 

!--- Configures a static translation for an admin workstation 
!--- with local address 10.14.8.50:

static (inside,outside) 131.1.23.11 10.14.8.50

!--- Allows syslog packets to pass through the PIX from RTRA.
!--- You can use conduits OR access-lists to permit traffic.
!--- Conduits has been added to show the use of the command,
!--- however they are commented in the document, since the 
!--- recommendation is to use access-list.
!--- To the admin workstation (syslog server):
!--- Using conduit: 
!--- conduit permit udp host 131.1.23.11 eq 514 host 131.1.23.1 



!--- Using access-list:

Access-list 101 permit udp host 131.1.23.1 host 131.1.23.11 255.255.255.0 eq 514
Access-group 101 in interface outside

!--- Permits incoming mail connections to 131.1.23.10:

static (inside, outside) 131.1.23.10 10.10.254.3

!--- Using conduits
!--- conduit permit TCP host 131.1.23.10 eq smtp any
!--- Using Access-lists, we use access-list 101
!--- which is already applied to interface outside.

Access-list 101 permit tcp any host 131.1.23.10 eq smtp

!--- PIX needs static routes or the use of routing protocols
!--- to know about networks not directly connected.
!--- Add a route to network 10.14.8.x/24.

route inside 10.14.8.0 255.255.255.0 10.10.254.2

!--- Add a default route to the rest of the traffic 
!--- that goes to the internet.

Route outside 0.0.0.0 0.0.0.0 131.1.23.1

!--- Enables the Mail Guard feature 
!--- to accept only seven SMTP commands 
!--- HELO, MAIL, RCPT, DATA, RSET, NOOP, and QUIT:
!--- (This can be turned off to permit ESMTP by negating with 
!--- the no fixup protocol smtp 25 command):

fixup protocol smtp 25

!--- Allows Telnet from the inside workstation at 10.14.8.50 
!--- into the inside interface of the PIX:

telnet 10.14.8.50

!--- Turns on logging:

logging on

!--- Turns on the logging facility 20:

logging facility 20

!--- Turns on logging level 7:

logging history 7

!--- Turns on the logging on the inside interface:

logging host inside 10.14.8.50

Remarque: RTRA est le routeur extérieur de bouclier. Il doit protéger le Pare-feu PIX des attaques dirigées, protéger le serveur FTP/HTTP, et agir en tant que système d'alarme. Si n'importe qui divise en RTRA, on devrait annoncer immédiatement l'administrateur système.

RTRA
no service tcp small-servers 

!--- Prevents some attacks against the router itself.

logging trap debugging

!--- Forces the router to send a message 
!--- to the syslog server for each and every
!--- event on the router. This includes packets denied 
!--- access through access lists and
!--- configuration changes. This acts as an early warning system to the system
!--- administrator that someone is trying to break in, or has broken in and is
!--- trying to create a "hole" in their firewall.

logging 131.1.23.11

!--- The router logs all events to this 
!--- host, which in this case is the 
!--- "outside" or "translated" address of the system 
!--- administrator's workstation.

enable secret xxxxxxxxxxx
!
interface Ethernet 0
 ip address 131.1.23.1 255.255.255.0
!
interface Serial 0
 ip unnumbered ethernet 0
 ip access-group 110 in 

!--- Shields the PIX Firewall and the HTTP/FTP 
!--- server from attacks and guards 
!--- against spoofing attacks.

!
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log

!--- RTRA and the PIX Firewall. 
!--- This is to prevent spoofing attacks.

access-list 110 deny ip any host 131.1.23.2 log

!--- Prevents direct attacks against the 
!--- outside interface of the PIX Firewall and
!--- logs any attempts to connect to the  
!--- outside interface of the PIX to the syslog server.

access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established 

!--- Permits packets which are part 
!--- of an established TCP session.

access-list 110 permit tcp any host 131.1.23.3 eq ftp 

!--- Allows FTP connections into the FTP/HTTP server.

access-list 110 permit tcp any host 131.1.23.3 eq ftp-data

!--- Allows ftp-data connections into the FTP/HTTP server.

access-list 110 permit tcp any host 131.1.23.3 eq www

!--- Allows HTTP connections into the FTP/HTTP server.

access-list 110 deny ip any host 131.1.23.3 log

!--- Disallows all other connections to 
!--- the FTP/HTTP server, and logs any attempt
!--- to connect this server to the syslog server.

access-list 110 permit ip any 131.1.23.0 0.0.0.255

!--- Permits other traffic destined to the 
!--- network between the PIX Firewall and RTRA.

!
line vty 0 4
 login
 password xxxxxxxxxx
 access-class 10 in

!--- Restricts Telnet access to the router 
!--- to those IP addresses listed in 
!--- access list 10.

!
access-list 10 permit ip 131.1.23.11

!--- Permits only the workstation of the administrator
!--- to Telnet into the router. This
!--- access list may need to be changed to permit 
!--- access from the Internet for
!--- maintenance, but should contain as few 
!--- entries as possible.

Remarque: RTRB est l'intérieur protégeant le routeur. C'est la dernière ligne de défense dans votre Pare-feu, et le point d'entrée dans votre réseau intérieur.

Si vous avez la sortie d'une commande de show running-configuration de votre périphérique de Cisco, vous pouvez utiliser l'Output Interpreter (clients enregistrés seulement) pour afficher des éventuels problèmes et des difficultés.

RTRB
logging trap debugging
logging 10.14.8.50

!--- Log all activity on this router to the 
!--- syslog server on the administrator's 
!--- workstation, including configuration changes.

!
interface Ethernet 0
 ip address 10.10.254.2 255.255.255.0
 no ip proxy-arp
 ip access-group 110 in

!--- Prevents inside and outside addresses 
!--- from mingling; guards against attacks 
!--- launched from the PIX Firewall or the 
!--- SMTP server as much as possible.

!
access-list 110 permit udp host 10.10.250.5 0.0.0.255

!--- Permits syslog messages destined 
!--- to the administrator's workstation.

access-list 110 deny ip host 10.10.254.1 any log

!--- Denies any other packets sourced 
!--- from the PIX Firewall.

access-list 110 permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp

!--- Permits SMTP mail connections from the 
!--- mail host to internal mail servers.

access-list 110 deny ip host 10.10.254.3 10.0.0.0 0.255.255.255

!--- Denies all other traffic sourced 
!--- from the mail server.

access-list 110 deny ip 10.10.250.0 0.0.0.255 any

!--- Prevents spoofing of trusted addresses 
!--- on the internal network.

access-list 110 permit ip 10.10.254.0 0.0.0.255 10.10.250.0 0.255.255.255

!--- Permits all other traffic sourced from  
!--- the network between the PIX Firewall and RTRB.

!
line vty 0 4
 login
 password xxxxxxxxxx
 access-class 10 in

!--- Restricts Telnet access to the router 
!--- to those IP addresses listed in 
!--- access list 10.

!
access-list 10 permit ip 10.14.8.50

!--- Permits only the workstation of the administrator 
!--- to Telnet into the router. This
!--- access list may need to be changed to permit 
!--- access from the Internet for
!--- maintenance, but should contain as few entries as possible.

!--- A static route or routing protocol must be utilized
!--- to make the router aware of network 10.14.8.x (which is 
!--- inside the corporate network). This is because 
!--- it is not a directly connected network. 

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Concepts

Le but des Pare-feu est d'empêcher l'entrée non autorisée dans votre réseau tout en permettant le trafic désiré en même temps. Il est probablement le plus facile de commencer par une analyse de ce qu'être l'objectif d'un cambriolage pourrait, puis considèrent comment le rendre difficile pour qu'un criminel de potentiel entre dans votre réseau. Supposez, dans la situation décrite dans ce document, que le criminel a eu un serveur à l'esprit qui a contenu les informations secrètes qui seraient de grande valeur à vos concurrents. L'adresse IP de ce serveur, le criminel a appris, est 10.100.100.10.

Immédiatement, le criminel est confronté à un sérieux problème : l'adresse IP du serveur est une adresse qui ne peut pas être atteinte au-dessus de l'Internet, en tant qu'aucune organisation reliée aux paquets d'Internet en avant à une adresse de destination du réseau 10. Ceci force le criminel à l'un ou l'autre de tentative de découvrir quelle adresse ceci traduit à sur l'Internet (un administrateur système intelligent n'a jamais permis cette adresse d'être traduite sur l'Internet), ou rupture directement dans votre réseau afin d'obtenir « un camp de base » de quel pour attaquer le serveur contenant les données sensibles. Supposez que le criminel ne peut trouver aucune manière d'attaquer le serveur directement, et ainsi des débuts pour attaquer votre réseau afin d'attaquer le serveur de votre réseau.

Le premier obstacle les faces criminelles est la première « zone démilitarisée » (DMZ), qui est RTRA intermédiaire et le Pare-feu PIX. Le criminel peut tenter de pénétrer par effraction dans RTRA, mais le routeur est configuré pour recevoir seulement des connexions du poste de travail de l'administrateur, et pour bloquer les paquets qui semblent être originaires du DMZ lui-même. Si le criminel pourrait pénétrer par effraction dans RTRA, il se trouverait seulement en mesure pour attaquer le Pare-feu PIX lui-même - il ne serait pas « dans » le réseau, et il ne pourrait pas encore attaquer l'hôte avec le contenu sensible directement.

Le criminel pourrait également tenter de pénétrer par effraction dans le serveur FTP/HTTP, pour lequel est une possibilité à observer. Cet hôte devrait être aussi sécurisé comme possible contre des telles attaques. Si le criminel pénétrait par effraction avec succès dans le serveur FTP/HTTP, il ne serait néanmoins pas en mesure pour attaquer l'hôte avec les données sensibles directement, mais il serait en mesure pour attaquer le Pare-feu PIX directement. Dans l'un ou l'autre de cas, les activités de criminel êtes enregistré à un moment du processus d'obtenir ceci loin, ainsi à un moment de l'administrateur système est alerté à la présence d'un intrus.

Si l'attaquant divisait avec succès en DMZ externe, il se trouverait en mesure pour attaquer le Pare-feu PIX et peu plus, ainsi le deuxième, ou intérieur, DMZ devient le prochain but. Il peut atteindre ce but avec une attaque sur le Pare-feu PIX lui-même, ou une attaque sur le RTRB, qui est programmé pour recevoir des sessions de telnet seulement du poste de travail de l'administrateur système de nouveau. De nouveau, ses tentatives de diviser en DMZ intérieur sont enregistré par le Pare-feu PIX et RTRB, ainsi l'administrateur système devrait avoir un certain avertissement et pouvoir arrêter l'attaque avant que l'attaquant obtienne au point où il peut attaquer le serveur sensible directement.

L'attaquant a pu également sauter le DMZ et la tentative externes de diviser en DMZ intérieur en attaquant l'hôte de messagerie. Cet hôte est protégé par le Pare-feu PIX, et devrait être protégé par la surveillance et la configuration soigneuses. C'est l'hôte le plus vulnérable dans le Pare-feu entier.

Le concept est d'assurer plusieurs couches de la défense plutôt qu'un » mur fort « superbe. Les parties devraient enclencher ensemble dans une structure forte de Pare-feu qui est assez flexible pour permettre le trafic que vous devez permettre, mais fournissent également l'abondance des alarmes et des systèmes de première alerte.

Protocoles réseau dont l'utilisation n'est pas recommandée avec un Pare-feu

En raison de leurs natures en soi non sécurisées, quelques protocoles réseau ne sont pas appropriés pour s'exécuter à travers des Pare-feu de non approuvé aux réseaux de confiance. Les exemples de tels protocoles non sécurisés sont :

  • NFS

  • rlogin

  • rsh

  • tout protocole basé sur RPC

Les révisions récentes du PIX ont inclus le soutien des protocoles RPC. Cisco, cependant, décourage fortement l'utilisation de cette capacité, car le RPC est très non sécurisé. Cette caractéristique est censée pour être utilisée dans seulement le plus peu commun des circonstances.

PIX 7.0 utilise la commande RPC d'examiner de manipuler des paquets RPC. Les commandes enables de sunrpc d'examiner ou l'inspection d'application de débronchements pour le protocole RPC de Sun. Les services RPC de Sun peuvent fonctionner sur n'importe quel port sur le système. Quand les tentatives d'un client d'accéder à un service RPC sur un serveur, il doivent découvrir qui mettent en communication des passages de ce service particulier en fonction. Dans la commande faites ceci, le client questionne le processus de portmapper sur le port connu le numéro 111. Le client envoie le nombre de programme RPC du service, et récupère le numéro de port. À partir de là, le programme client envoie ses requêtes RPC à ce nouveau port.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 15244