User Tools

Site Tools


informatique:cisco:firewall_et_ips

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
informatique:cisco:firewall_et_ips [2009/07/18 22:24]
pteu
informatique:cisco:firewall_et_ips [2013/10/14 22:44] (current)
Line 4: Line 4:
  
 Ces fonctions de sécurité de plus haut niveau que les simples ACLs ont disponibles sur les IOS **FFS** (Firewall Feature Set). Les fonction de cet IOS sont : Ces fonctions de sécurité de plus haut niveau que les simples ACLs ont disponibles sur les IOS **FFS** (Firewall Feature Set). Les fonction de cet IOS sont :
-  * **Cisco IOS Firewall** : Les paquets sont inspectés dans ce composant s'ils ne sont pas explicitement bloqués par une ACL. Le firewall procède à un filtrage stateful, qui implique l'​utilisation d'une table de sessions ​(ouvertes) ​à partir de laquelle il se base pour créer/​supprimer dynamiquement des ACLs. Une protection DoS est également active. +  * **Cisco IOS Firewall** : Les paquets sont inspectés dans ce composant s'ils ne sont pas explicitement bloqués par une ACL. Le firewall procède à un filtrage ​**stateful**, qui implique l'​utilisation d'une table de sessions à partir de laquelle il se base pour créer/​supprimer dynamiquement des ACLs (afin de permettre es retours). Une protection DoS est également active. 
-  * **Authentication proxy** : le routeur est capable d'​intercepter une ouverture de session HTTP, HTTPS, FTP ou Telnet afin d'​authentifier les utilisateurs ​+  * **Authentication proxy** : le routeur est capable d'​intercepter une ouverture de session HTTP, HTTPS, FTP ou Telnet afin d'​authentifier les utilisateurs.
   * **IPS** (Intrusion Prevention System) : le routeur contient des signatures d'​attaques qu'il détecte afin de les bloquer/​émettre une alerte.   * **IPS** (Intrusion Prevention System) : le routeur contient des signatures d'​attaques qu'il détecte afin de les bloquer/​émettre une alerte.
  
Line 13: Line 13:
 =====Firewall===== =====Firewall=====
  
-Les paquets ne sont inspectés par le firewall que s'ils ne sont pas explicitement bloqués dans l'ACL.+Les paquets ne sont inspectés par le firewall que s'ils ne sont pas explicitement bloqués dans l'​ACL ​de l'​interface.
  
   ip inspect name FW tcp   ip inspect name FW tcp
Line 30: Line 30:
   ip inspect name FW smtp alert on audit-trail on timeout 300   ip inspect name FW smtp alert on audit-trail on timeout 300
   ip inspect name FW ftp alert on audit-trail on timeout 300   ip inspect name FW ftp alert on audit-trail on timeout 300
 +Le paramètre //timeout// indique le temps de vie d'une session idle (san trafic) avant d'​être supprimée.
  
 La SDM dispose d'un assistant simplifiant la configuration du firewall. La SDM dispose d'un assistant simplifiant la configuration du firewall.
Line 40: Line 41:
 =====IPS===== =====IPS=====
  
-  * IDS (Intrusion Detection System)+  ​* **IDS** (Intrusion Detection System)
 Un IDS est un équipement passif (typiquement une sonde) et réactif (notification d'​alertes) Un IDS est un équipement passif (typiquement une sonde) et réactif (notification d'​alertes)
-  * IPS (Intrusion Prevention System)+  ​* **IPS** (Intrusion Prevention System)
 Un IPS est un équipement actif (un routeur) proactif (blocage de trafic malicieux connu) Un IPS est un équipement actif (un routeur) proactif (blocage de trafic malicieux connu)
  
-Les IPS et IDS peuvent être implantés sur le réseau (N-IDS) ou sur une machine (H-IDS).+Les IPS et IDS peuvent être implantés sur le réseau (Netowrk-IPS ou NIPS) ou sur une machine (Host-IPS ou HIPS).
  
 Il existe différentes approches de détection de trafic malicieux : signature-based,​ policy-based,​ anomaly-based,​ honeypot. Il existe différentes approches de détection de trafic malicieux : signature-based,​ policy-based,​ anomaly-based,​ honeypot.
  
-  * **SDF** (Signature Definition Files)+  * **SDF** (Signature Definition Files) ​= fichiers qui contiennent des signatures. On peut les merger en un seul fichier appelé par le routeur au démarrage.
   * **SDEE** (Security Device Event Exchange) : cela spécifie le format des messages de log entre l'​IPS/​IDS et le serveur de monitoring/​log. ​   * **SDEE** (Security Device Event Exchange) : cela spécifie le format des messages de log entre l'​IPS/​IDS et le serveur de monitoring/​log. ​
  
informatique/cisco/firewall_et_ips.txt · Last modified: 2013/10/14 22:44 (external edit)