Acl avancée

  • Published on
    02-Jul-2015

  • View
    1.062

  • Download
    7

Embed Size (px)

Transcript

<ul><li> 1. Universit Cadi AyyadAnne universitaire : 2012/2013Dpartement Rseaux et TlcomsACL TURBO, RFLEXIVE ET CONTEXTUELLEPropos par :Mr N.Idboufker ralis par : Kawtar ZERHOUNI 08/12/2012 1</li></ul> <p> 2. PLAN Introduction Turbo ACL Configuration fonctionnement ACL rflexive Fonctionnement Configuration ACL contextuelle fonctionnement Configuration Conclusion08/12/20122 3. INTRODUCTIONACL de base prsentent des limitations qui peuvent tre rsolues parlutilisation des : turbo ACL ACL rflexives ACL contextuelle : le CBAC08/12/2012 3 4. TURBO ACLACL standard / tendue Recherche squentielle dun match temps de recherche augmenteavec la taille de lACLFonction Turbo Compile les ACLs dans des tables de recherche lookup tables temps de recherche fixe ! 5 itrations quelque soit la taille de lACL08/12/2012 4 5. TURBO ACL: CONFIGURATIONSur une ACL standard ou tendue :#access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq telnet#access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq http#access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq http#access-list 101 deny icmp 192.168.1.0 0.0.0.255 200.200.200.0 0.0.0.255On ajoute la commande: access-list compiled08/12/20125 6. TURBO ACL: FONCTIONNEMENTInde SourceSourceDest IP Dest IP IPprotoco PortPortxIP (MS) IP (LS) (MS)(LS)Flags le e L-3 source desti + L-4 natio Flags n0192.168 1.0 192.168 2.0 * TCP*231192.168 1.0 192.168 2.0 * TCP*802192.168 1.0 192.168 3.0 * TCP*803192.168 1.0 200.200 200.0 * ICMP **08/12/2012 7 7. EXEMPLE POUR IP SOURCE (MS)Index Valeur/ maskACL Entre en Bitmap0 192.168/255.255 1111 1 seule valeur pour les champs IP Source (MS) 1 1 1 1: les 4 entres de lACL 101 ont toutesla mme adresse IP source (MS)08/12/2012 8 8. EXEMPLE POUR IP DEST (MS)Par contre pour la partie Dest IP (MS) le tableau Bitmap aura laforme: IndexValeur/maskACL entre en Bitmap 0192.168/255.2551110 1200.200/255.2550001Maintenant : les tables sont cres dans la mmoire du routeur !08/12/20129 9. TURBO ACL: FONCTIONNEMENTUne fois un paquet arrive: Extraction des champs IP Source (MS) Comparaison avec les tables !La procdure se fait par niveau : Paralllement dans un mme niveau De faon squentielle dun niveau un autreExemple paquet reu : Source IP (MS ) : 192.168 Source IP (LS ) : 1.1 Destination IP ( MS ) : 200.200 Destination IP (LS ) : 200.1 L-3 Protocol field + L-4 Flags : 0001 (ICMP) 1008/12/2012 10. Source IP (MS) Source IP (LS)Dest IP (MS) Dest IP (LS) Protocole 1111 111100010001 0001L1And And11110001 0001 L2And L3 11 08/12/20120001 11. TURBO ACL: LIMITATIONS Ncessite de la mmoire : entre 2 et 4Mb de plus Si lACL est trs grande: plus de temps pour compiler access-list compiled : na pas dargument Utilise seulement avec ACL standard ou tendue !1208/12/2012 12. ACL RFLEXIVE Permet de filtrer le trafic en fonction des informations desession des couches sup. Ainsi, autoriser un certain trafic, par exemple sil vient delintrieur de notre rseau ACL tendues + option established, mais uniquement pourTCP ACL rflexives permettent de faire ce type de filtrage avecTCP, mais aussi UDP et ICMP1308/12/2012 13. ACL RFLEXIVE: FONCTIONNEMENT Cration dynamique dune entre temporaire caractrise par: entre toujours: permit Mme Protocole que le paquet original @IP source/dest inverses Nport source/dest inverss Une fois la session termine suppression de lentre temporaire !14 08/12/2012 14. ACL RFLEXIVE: FONCTIONNEMENT Session TCP:Bit FIN = 1 session va se terminer !Attente 5s afin que le hte et le serveur terminent la session, puis blocage du trafic,Bit RST=1 interruption brutale de sessionBlocage immdiat du traficPar dfaut : blocage de trafic aprs un temps dinactivit de session Session UDP:@IP source/destN port source/destFin de session: par dfaut aprs un temps dinactivit1508/12/2012 15. ACL RFLEXIVE : CONFIGURATIONS1ct rseau localct rseau dinterconnexionInterface Serial 1description Acces to the Internetip access-group inboundfilters inutilisation dACL nommesip access-group outboundfilters out!sessions considres comme inactives donc interditesip reflexive-list timeout 120au bout de 120 secondes!dfinition ACL nomme outboudfilters: contient uneip access-list extended outboundfilters instruction : autoriser tout le trafic TCP, et cre unepermit tcp any any reflect tcptraffic ACL nomme tcptraffic!ip access-list extended inboundfiltersdfinition de lACL nomme inboundfilters :permit eigrp any anyautorise tout le trafic EIGRPdeny icmp any any interdit tout trafic ICMPtout le reste est valu selon lACL tcptraficevaluate tcptraffic16 08/12/2012 16. ACL RFLEXIVE: CONFIGURATIONExtended IP access list inboundfilters permit eigrp any anyshow access-list avant une deny icmp any anysession TCPevaluate tcptrafficExtended IP access list outboundfilterspermit tcp any any reflect tcptrafficExtended IP access list inboundfilters permit eigrp any any deny icmp any any aprs une evaluate tcptraffic connexion TelnetExtended IP access list outboundfilterspermit tcp any any reflect tcptrafficReflexive IP access list tcptraffic permit tcp host 172.19.99.67 eq telnet host 192.168.60.185 eq 11005 1708/12/2012 17. ACL RFLEXIVE: LIMITATIONS Utilise seulement avec ACL tendue nomme Ne peut tre utilise avec une application qui change de numro de port !1808/12/2012 18. ACL CONTEXTUELLE CBAC: Context Based Access Control fait partie de la fonctionnalit Pare-feu de lIOS Cisco Plus performant que rflexive : tient compte des informations de lacouche application. Supporte les protocoles utilisant plusieurs numros de port1908/12/2012 19. CBAC : FONCTIONNEMENT Paquets arrivant sur une interface inspects par ACL de cetteinterface Seuls paquets qui passent ce barrage: inspects par le CBAC Des tables dtat mises jour grce aux informations de session,pour chaque connexion active, CBAC interdit ou autorise uniquement le trafic TCP ou UDPspcifi Le filtrage se fait par lajout dynamique dentes temporairesdACL20 08/12/2012 20. CBAC: CONFIGURATION tapes: Choisir linterface Configurer lACL sur cette interface fixer les temporisations et les seuils dfinir les rgles dinspection: spcifie quel trafic serainspect (application) appliquer les rgles dinspection aux interfaces 2108/12/2012 21. CBAC: CONFIGURATION Time out et seuils Dtermine le temps pendant lequel il gre les informationsrelatives aux sessions et pour dterminer quand une sessionse termine ! contrle le nombre total de sessions ouvertes ainsi quecelles nouvellement tablies sur une certaine dure Gre des compteurs de demi-sessions. TCP = session na pas atteint ltat tabli UDP = routeur na pas dtect de trafic de retour2208/12/2012 22. CBAC: CONFIGURATION Les protocoles de niveau application supportsFTPTFTPUNIX R-commands (rlogin, rexec, rsh, ...)SMTPHTTP JavaSQL*NetRTSP (RealNetworks)Autres multimedia : Microsoft NetShow StreamWorks VDOLive 2308/12/2012 23. CBAC : CONFIGURATION 2408/12/2012 24. CBAC : CONFIGURATION Router(config)# ip inspect name OUTBOUND tcp Router(config)# ip inspect name OUTBOUND udp Configure CBAC pour linspection du trafic TCP et UDPRouter(config)# access-list 101 permit ip 10.0.0.00.0.0.255 anyRouter(config)# access-list 101 deny ip any any Autorise le trafic initi par les htes du rseau 10.0.0.0/24 Router(config)# interface e0/0 Router(config-if)# ip inspect OUTBOUND in Router(config-if)# ip access-group 101 in Applique les rgles dinspection et lACL linterface e0/0 en entre 25 08/12/2012 25. CBAC : CONFIGURATIONRouter(config)#access-list 102 permit icmp anyhost 10.0.0.3Router(config)# access-list 102 permit tcp anyhost 10.0.0.3 eq wwwRouter(config)# access-list 102 deny ip any any Autorise seulement le trafic ICMP et HTTP vers 10.0.0.3, initi depuislextrieurRouter(config)# interface e0/1Router(config-if)# ip access-group 102 in Applique lACL linterface e0/1 en entre 2608/12/2012 26. CBAC: LIMITATIONS Inspecte que le trafic spcifi: contrle plus fin, mais beaucoupdentres ip inspect pour couvrir tous les types de connexions, demande une connaissance des protocoles et des applicationsutiliss trafic gnr par le routeur lui-mme nest pas inspect trafic envoy au routeur lui-mme nest pas inspect Seul le mode passif de FTP est compatible avec le CBAC2708/12/2012 27. CONCLUSION ACL rflexives plus performantes que les ACL tendues :tiennent compte de linformation de session CBAC plus performant : tient compte en plus dinformationsprotocolaires de niveau application, Permet ainsi de renforcer la scurit dun site 2808/12/2012 28. MERCI DE VOTRE ATTENTION 2908/12/2012</p>

Recommended

View more >