La Mise en Place D'un Garde-Barrière Cisco PIX
La Mise en Place D'un Garde-Barrière Cisco PIX
La Mise en Place D'un Garde-Barrière Cisco PIX
www.udivers.com
www.udivers.com www.udivers.com
Qu'est-Ce Qu'un Pare-Feu?
(coupe-feu, garde-barrière ou Firewall en anglais),
www.udivers.com www.udivers.com
Fonctionnement D'un
Systeme Pare-Feu
Un système pare-feu contient un ensemble
de règles prédéfinies permettant :
www.udivers.com www.udivers.com
méthode de filtrage
interdit".
www.udivers.com www.udivers.com
Type de filtrage
2 Le filtrage dynamique
www.udivers.com www.udivers.com
Le filtrage simple de
paquets
Il se base sur la couche 3 du modèle OSI
Il analyse les en-têtes de chaque paquet de données
(datagramme) échangé entre une machine du réseau interne et
une machine extérieure.
les en-têtes suivants, systématiquement analysés par le
Firewall :
identifier la machine
1- adresse IP de la machine émettrice émettrice et la machine
cible
2- adresse IP de la machine réceptrice
www.udivers.com www.udivers.com
présentation de Pix
www.udivers.com www.udivers.com
Aspect du PIX
Sur la face avant du PIX, on a très peu d'informations.
Le logo du constructeur
Trois diodes
www.udivers.com www.udivers.com
Aspect du PIX
www.udivers.com www.udivers.com
Le principe
un PIX est considéré comme une porte verrouillée.
Pour passer au travers de cette porte et accéder
aux services disponibles sur l'autre segment réseau,
il faut posséder la clef, permettant de l'ouvrir. C'est
le PIX qui va décider de donner ou non cette clef.
www.udivers.com www.udivers.com
www.udivers.com www.udivers.com
Une plateforme évolutive
il est possible d’ajouter des cartes réseaux
donc des interfaces sur la majorité de la
gamme Pix Cisco
www.udivers.com www.udivers.com
Installation et configuration
graphique
les Cisco Pix Firewall sont livrés avec un
logiciel d'administration graphique (PDM).
PDM permet à l'administrateur réseau de
configurer et de gérer le pare-feu Pix Firewall
à l'aide d'une interface GUI
www.udivers.com www.udivers.com
Pour le configurer, il faut utiliser les
commandes « [no] http adresse-ip
masque » et « [no] http server enable».
Par exemple:
Pix-fsts (config)# http server enable
pix-fsts (config)# http 192.168.0.2
255.255.255.255
www.udivers.com www.udivers.com
www.udivers.com www.udivers.com
Performance (algorithme
ASA)
performances PIX découlent d'un système de
protection basé sur l'algorithme ASA
(Adaptive Security Algorithm).
www.udivers.com www.udivers.com
Nombre de connections
www.udivers.com www.udivers.com
Tolérance de panne
www.udivers.com www.udivers.com
Tolérance de panne
Pour faire du Failover avec des Pix, il faut deux Pix Failover.
Dans tous les cas les 2 Pix doivent être rigoureusement
identique en matière de : RAM, Flash, IOS.
Le Failover avec des Pix est du type actif/passif. C'est à dire que
le Pix2 est passif. Tout le trafic passe par le Pix1 qui est actif. Ce
n'est que si ce premier Pix tombe que le second devient actif.
www.udivers.com www.udivers.com
Caractéristiques matérielles
( pix 515 )
Processeur Intel Celeron cadencé à 433 Mhz
128 Ko de mémoire cache niveau 2 cadencée à 433 Mhz
Mémoire Flash de 16 Mo
32 Mo ou 64 Mo de RAM selon la License restreinte ou non
restreinte
Jusqu'à six interfaces selon les modèles
Un port console pour l'administration
Différentes diodes pour vérifier le statut de l'alimentation, du
réseau et de la redondance.
Un débit de sortie jusqu'à 188 Mbps
Support de différents protocoles de cryptage pour la
confidentialité des données utilisateur: 56 bit DES, 168 bits
3DES et 128 ou 256 bit AES
Jusqu'à 60 / 130 Mbps pour les connexions VPN.
www.udivers.com www.udivers.com
Caractéristiques
fonctionnelles
Le PIX est un pare-feu à inspection d'état,
peut assurer le suivi des échanges et utilise
l'ASA (Adaptive Security Algorithm) pour ce
filtrage dynamique.
www.udivers.com www.udivers.com
Ce pare-feu gère également le VPN (IKE et
IPSec). On peut ainsi créer des tunnels VPN
entre sites.
www.udivers.com www.udivers.com
Configuration de base
www.udivers.com www.udivers.com
Modes de commandes
- Mode utilisateur
- Mode privilégié
- Mode de configuration globale
www.udivers.com www.udivers.com
Mode utilisateur
www.udivers.com www.udivers.com
Mode privilégié
www.udivers.com www.udivers.com
Mode de configuration
globale
www.udivers.com www.udivers.com
Pour passer d'un mode à l'autre il faut utiliser les
commandes suivantes :
www.udivers.com www.udivers.com
Une bonne configuration mais avec une
bonne organisation !!
www.udivers.com www.udivers.com
Méthode et Organisation de
la configuration de Pix
www.udivers.com www.udivers.com
Configuration de base
www.udivers.com www.udivers.com
Nom du Pix et domaine du
pix :
hostname Pix-FSTS
domain-name fsts.ac.ma
www.udivers.com www.udivers.com
Mot de passe du pix pour
l'accès en mode enable
www.udivers.com www.udivers.com
Mot de passe du pix pour
l'accès en telnet et ssh
www.udivers.com www.udivers.com
Nommages des
équipements
Pendant la configuration un administrateur réseaux
a eu la charge de rappeler toutes les adresses IP
nécessaire pour cette configuration
www.udivers.com www.udivers.com
Configuration des
interfaces
Nom des interfaces et affectation d'un niveau de sécurité
www.udivers.com www.udivers.com
Configuration des
interfaces
nameif hardware_id if_name security_level
Par exemple:
www.udivers.com www.udivers.com
Affectation des adresses ip
aux interfaces
ip address if_name ip_address [netmask]
www.udivers.com www.udivers.com
Les ACLS
www.udivers.com www.udivers.com
Définition des objets
(Object Grouping)
Une ACL peut permettre au PIX d'autoriser un client
particulier à accéder à un serveur particulier pour un
service spécifique. Quand il y a seulement un client,
un serveur et un service, le nombre de lignes est
minimum dans l'ACL
www.udivers.com www.udivers.com
Définition des objets
(Object Grouping)
On peut grouper des objets de réseau tels que des
serveurs et des services pour simplifier la tâche de
création et d'application d'ACLs.
www.udivers.com www.udivers.com
L'application d'un groupe d'objet à une commande est
l'équivalent d'appliquer chaque élément du groupe d'objet à la
commande
Par exemple:
le groupe group_admin contient :
www.udivers.com www.udivers.com
Par conséquent, la commande :
Est équivalente à:
www.udivers.com www.udivers.com
Types d’objet groupe
Grouper les objets fournit une manière de grouper des objets d'un type
identique de sorte qu'une ACL simple puisse s'appliquer à tous objets
dans le groupe. Vous pouvez créer les types suivants de groupes
d'objet :
www.udivers.com www.udivers.com
Configuration d'un object-
group
object-group network pour nommer l'objet réseau et entre en mode
secondaire d'objet de réseau. Une fois à l'intérieur de ce mode, on peut
employer la commande network-object pour ajouter un serveur ou un
réseau au groupe d'objet de réseau.
www.udivers.com www.udivers.com
Configuration du NAT
La translation d'adresse réseau, NAT, est un mécanisme
permettant, entre autre, de connecter plusieurs équipements
réseau à Internet via une seule adresse IP publique
www.udivers.com www.udivers.com
nat [(if_name)] nat_id address [netmask] [dns][max_conns]
show nat :
show xlate:
www.udivers.com www.udivers.com
Sauvegarde de La
configuration
Obligatoire, importante et incontournable pour un
administrateur réseau parce que cette partie il va nous permettre
de garder les traces de la configuration finale
www.udivers.com www.udivers.com
Complement de securité
Afin de garantir un niveau de protection maximal, il est
nécessaire d'administrer le pare-feu et notamment de surveiller
son journal d'activité afin d'être en mesure de détecter les
tentatives d'intrusion et les anomalies.
y compris :
www.udivers.com www.udivers.com
LE CLOISONNEMENT
Traduction dynamique de ports : elle est appliquée aux postes de travail internes
pour naviguer sur Internet ou communiquer avec les différents serveurs métiers
localisés sur les autres zones de sécurité.
Les services de filtrage et relais applicatifs sont réalisés sur des serveurs dédiés
comme les serveurs Proxy http (Antivirus SMTP, Antivirus http/FTP, Filtrage URL),
www.udivers.com www.udivers.com
PROTECTION ANTIVIRALE
DES FLUX HTTP/FTP
Les flux de messagerie entrants et
sortants sont routés vers la passerelle de
protection antivirale SMTP. En effet, cette
passerelle analyse le contenu des
messages reçus et vérifie qu’ils ne
contiennent aucun virus ou code malicieux
puis transférera le message vers le serveur
de messagerie ou Internet.
www.udivers.com www.udivers.com
LA DETECTION D’INTRUSION
www.udivers.com www.udivers.com
LA REDONDANCE ET
DISPONIBILITE
Afin de compléter la robustesse de l’infrastructure de
sécurité des accès Internet mise en place, une
amélioration du niveau de disponibilité est
indispensable, cette amélioration passe par :
www.udivers.com www.udivers.com
conclusion
www.udivers.com www.udivers.com
Merci pour votre attention
www.udivers.com www.udivers.com