{{tag>sécurité IOS}} ======Cisco IOS Firewall et IPS====== Ces fonctions de sécurité de plus haut niveau que les simples ACLs ont disponibles sur les IOS **FFS** (Firewall Feature Set). Les fonction de cet IOS sont : * **Cisco IOS Firewall** : Les paquets sont inspectés dans ce composant s'ils ne sont pas explicitement bloqués par une ACL. Le firewall procède à un filtrage **stateful**, qui implique l'utilisation d'une table de sessions à partir de laquelle il se base pour créer/supprimer dynamiquement des ACLs (afin de permettre es retours). Une protection DoS est également active. * **Authentication proxy** : le routeur est capable d'intercepter une ouverture de session HTTP, HTTPS, FTP ou Telnet afin d'authentifier les utilisateurs. * **IPS** (Intrusion Prevention System) : le routeur contient des signatures d'attaques qu'il détecte afin de les bloquer/émettre une alerte. * **CBAC** (Content-Based Access Control) = stateful filtering * **ALG** (Application Layer Gateway) = proxy applicatif =====Firewall===== Les paquets ne sont inspectés par le firewall que s'ils ne sont pas explicitement bloqués dans l'ACL de l'interface. ip inspect name FW tcp ! interface fa0/0 ip access-groupe 101 in ip inspect FW in Pour activer les alertes en temps réel avec un syslog : logging on logging host 10.0.0.111 ip inspect audit-trail no ip inspect alert-off Inspection avancée pour certains protocoles : ip inspect name FW smtp alert on audit-trail on timeout 300 ip inspect name FW ftp alert on audit-trail on timeout 300 Le paramètre //timeout// indique le temps de vie d'une session idle (san trafic) avant d'être supprimée. La SDM dispose d'un assistant simplifiant la configuration du firewall. Vérifs : show ip inspect session debug ip inspect [..] =====IPS===== * **IDS** (Intrusion Detection System) Un IDS est un équipement passif (typiquement une sonde) et réactif (notification d'alertes) * **IPS** (Intrusion Prevention System) Un IPS est un équipement actif (un routeur) proactif (blocage de trafic malicieux connu) Les IPS et IDS peuvent être implantés sur le réseau (Netowrk-IPS ou NIPS) ou sur une machine (Host-IPS ou HIPS). Il existe différentes approches de détection de trafic malicieux : signature-based, policy-based, anomaly-based, honeypot. * **SDF** (Signature Definition Files) = fichiers qui contiennent des signatures. On peut les merger en un seul fichier appelé par le routeur au démarrage. * **SDEE** (Security Device Event Exchange) : cela spécifie le format des messages de log entre l'IPS/IDS et le serveur de monitoring/log. Configuration : ip ips sdf location flash:signatures.sdf ip ips fail-closed ip ips name SECURIPS list 100 ! interface et0/0 ip ips SECURIPS in Lorsqu'on modifie la base de signatures, par exemple en faisant un merge d'un nouveau fichier de signatures, il faut réappliquer la politique (SECURIPS) sur l'interface.