pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » cisco » firewall_et_ips
Trace: firewall_et_ips
informatique:cisco:firewall_et_ips

This is an old revision of the document!

Table of Contents

sécurité IOS

Cisco IOS Firewall et IPS

Ces fonctions de sécurité de plus haut niveau que les simples ACLs ont disponibles sur les IOS FFS (Firewall Feature Set). Les fonction de cet IOS sont :

  • Cisco IOS Firewall : Les paquets sont inspectés dans ce composant s'ils ne sont pas explicitement bloqués par une ACL. Le firewall procède à un filtrage stateful, qui implique l'utilisation d'une table de sessions (ouvertes) à partir de laquelle il se base pour créer/supprimer dynamiquement des ACLs. Une protection DoS est également active.
  • Authentication proxy : le routeur est capable d'intercepter une ouverture de session HTTP, HTTPS, FTP ou Telnet afin d'authentifier les utilisateurs
  • IPS (Intrusion Prevention System) : le routeur contient des signatures d'attaques qu'il détecte afin de les bloquer/émettre une alerte.
  • CBAC (Content-Based Access Control) = stateful filtering
  • ALG (Application Layer Gateway) = proxy applicatif

Firewall

Les paquets ne sont inspectés par le firewall que s'ils ne sont pas explicitement bloqués dans l'ACL. 

ip inspect name FW tcp
!
interface fa0/0
 ip access-groupe 101 in
 ip inspect FW in

Pour activer les alertes en temps réel avec un syslog : 

logging on
logging host 10.0.0.111
ip inspect audit-trail
no ip inspect alert-off

Inspection avancée pour certains protocoles : 

ip inspect name FW smtp alert on audit-trail on timeout 300
ip inspect name FW ftp alert on audit-trail on timeout 300

La SDM dispose d'un assistant simplifiant la configuration du firewall.

Vérifs : 

show ip inspect session
debug ip inspect [..]

IPS

  • IDS (Intrusion Detection System)

Un IDS est un équipement passif (typiquement une sonde) et réactif (notification d'alertes)

  • IPS (Intrusion Prevention System)

Un IPS est un équipement actif (un routeur) proactif (blocage de trafic malicieux connu)

Les IPS et IDS peuvent être implantés sur le réseau (N-IDS) ou sur une machine (H-IDS).

Il existe différentes approches de détection de trafic malicieux : signature-based, policy-based, anomaly-based, honeypot.

  • SDF (Signature Definition Files)
  • SDEE (Security Device Event Exchange) : cela spécifie le format des messages de log entre l'IPS/IDS et le serveur de monitoring/log.

Configuration : 

ip ips sdf location flash:signatures.sdf
ip ips fail-closed
ip ips name SECURIPS list 100
!
interface et0/0
 ip ips SECURIPS in

Lorsqu'on modifie la base de signatures, par exemple en faisant un merge d'un nouveau fichier de signatures, il faut réappliquer la politique (SECURIPS) sur l'interface.

informatique/cisco/firewall_et_ips.1247948685.txt.gz · Last modified: 2013/10/14 20:52 (external edit)