Differences

This shows you the differences between two versions of the page.

--- informatique:cisco:firewall_et_ips [2009/07/18 15:29] – créée pteu
+++ informatique:cisco:firewall_et_ips [2013/10/14 20:44] (current) – external edit 127.0.0.1
@@ Line 4: / Line 4: @@
 Ces fonctions de sécurité de plus haut niveau que les simples ACLs ont disponibles sur les IOS **FFS** (Firewall Feature Set). Les fonction de cet IOS sont :
-  * **Cisco IOS Firewall** : Les paquets sont inspectés dans ce composant s'ils ne sont pas explicitement bloqués par une ACL. Le firewall procède à un filtrage stateful, qui implique l'utilisation d'une table de sessions (ouvertes) à partir de laquelle il se base pour créer/supprimer dynamiquement des ACLs. Une protection DoS est également active.
+  * **Cisco IOS Firewall** : Les paquets sont inspectés dans ce composant s'ils ne sont pas explicitement bloqués par une ACL. Le firewall procède à un filtrage **stateful**, qui implique l'utilisation d'une table de sessions à partir de laquelle il se base pour créer/supprimer dynamiquement des ACLs (afin de permettre es retours). Une protection DoS est également active.
-  * **Authentication proxy** : le routeur est capable d'intercepter une ouverture de session HTTP, HTTPS, FTP ou Telnet afin d'authentifier les utilisateurs
+  * **Authentication proxy** : le routeur est capable d'intercepter une ouverture de session HTTP, HTTPS, FTP ou Telnet afin d'authentifier les utilisateurs.
   * **IPS** (Intrusion Prevention System) : le routeur contient des signatures d'attaques qu'il détecte afin de les bloquer/émettre une alerte.
@@ Line 13: / Line 13: @@
 =====Firewall=====
-Les paquets ne sont inspectés par le firewall que s'ils ne sont pas explicitement bloqués dans l'ACL.
+Les paquets ne sont inspectés par le firewall que s'ils ne sont pas explicitement bloqués dans l'ACL de l'interface.
   ip inspect name FW tcp
@@ Line 30: / Line 30: @@
   ip inspect name FW smtp alert on audit-trail on timeout 300
   ip inspect name FW ftp alert on audit-trail on timeout 300
+Le paramètre //timeout// indique le temps de vie d'une session idle (san trafic) avant d'être supprimée.
 La SDM dispose d'un assistant simplifiant la configuration du firewall.
@@ Line 40: / Line 41: @@
 =====IPS=====
-  * IDS (Intrusion Detection System)
+  * **IDS** (Intrusion Detection System)
 Un IDS est un équipement passif (typiquement une sonde) et réactif (notification d'alertes)
-  * IPS (Intrusion Prevention System)
+  * **IPS** (Intrusion Prevention System)
 Un IPS est un équipement actif (un routeur) proactif (blocage de trafic malicieux connu)
-Les IPS et IDS peuvent être implantés sur le réseau (N-IDS) ou sur une machine (H-IDS).
+Les IPS et IDS peuvent être implantés sur le réseau (Netowrk-IPS ou NIPS) ou sur une machine (Host-IPS ou HIPS).
 Il existe différentes approches de détection de trafic malicieux : signature-based, policy-based, anomaly-based, honeypot.
-**SDF** (Signature Definition Files)
+  * **SDF** (Signature Definition Files) = fichiers qui contiennent des signatures. On peut les merger en un seul fichier appelé par le routeur au démarrage.
+  * **SDEE** (Security Device Event Exchange) : cela spécifie le format des messages de log entre l'IPS/IDS et le serveur de monitoring/log.
+Configuration :
+  ip ips sdf location flash:signatures.sdf
+  ip ips fail-closed
+  ip ips name SECURIPS list 100
+  !
+  interface et0/0
+   ip ips SECURIPS in
+Lorsqu'on modifie la base de signatures, par exemple en faisant un merge d'un nouveau fichier de signatures, il faut réappliquer la politique (SECURIPS) sur l'interface.