1 / 79

Chapitre 2: Sécurité d’accès interne à réseau

Chapitre 2: Sécurité d’accès interne à réseau. Partie 1: contrôle d’accès aux réseaux avec les ACL. Les listes de contrôle d'accès . Sont des listes d'instructions applicables à une interface du routeur pour indiquer le type de paquets à accepter et le type à refuser

lerato
Télécharger la présentation

Chapitre 2: Sécurité d’accès interne à réseau

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Chapitre 2: Sécurité d’accès interne à réseau Dr. M. Jarraya, ,Cours Réseaux

  2. Partie 1: contrôle d’accès aux réseaux avec les ACL Dr. M. Jarraya, ,Cours Réseaux

  3. Les listes de contrôle d'accès • Sont des listes d'instructions applicables à une interface du routeur pour indiquer le type de paquets à accepter et le type à refuser • L'acceptation et le refus peuvent être fondés sur certaines caractéristiques : • Adresse Source et Adresse de Destination • Port Source et Port de destination • Protocole Applicatif • filtrent le trafic réseau en commandant aux interfaces d'un routeur d'acheminer ou de bloquer des paquets routés • Un routeur examine chaque paquet afin de déterminer s'il doit l'acheminer ou l'abandonner

  4. Les listes de contrôle d'accès

  5. Les listes de contrôle d'accès • Sont configurées au niveau du routeur en vue de contrôler l'accès à un réseau ou à un sous-réseau pour : • Limiter le trafic réseau et accroître les performances • Contrôler le flux de trafic • Fournir un niveau de sécurité d'accès réseau de base • Déterminer le type de trafic qui sera acheminé ou bloqué au niveau des interfaces du routeur

  6. Vérification des paquets • L'ordre des instructions ACL (Access Control List) est important • Dès que la plateforme IOS-CISCO découvre une correspondance, elle cesse de vérifier les instructions de condition • Si une instruction de condition autorisant l'accès à tout le trafic est créée, aucune instruction créée par la suite ne sera vérifiée

  7. Fonctionnement des listes de contrôle d'accès • Une liste de contrôle d'accès est un groupe d'instructions précisant divers facteurs relatifs aux paquets : • Comment les paquets entrent-ils par les interfaces d'arrivée ? • Comment sont-ils relayés par le routeur ? • Comment sortent-ils par les interfaces de départ du routeur ? • Si aucune des instructions ne correspond au paquet, une instruction implicite " deny any " interdisant l'accès est imposée

  8. Fonctionnement des listes de contrôle d'accès

  9. Configuration de listes de contrôle d’accès • Créer des listes de contrôle d'accès en mode de configuration globale. • Spécifier un numéro de liste de contrôle d'accès entre 1 et 99 : ACL standards. • Spécifier un numéro de liste de contrôle d'accès entre 100 et 199 : ACL étendues. • Sélectionner avec soin et classer logiquement les éléments de la liste de contrôle d'accès. Préciser les protocoles IP autorisés, tous les autres protocoles seront refusés. • Sélectionner les protocoles IP à vérifier, les autres protocoles ne seront pas vérifiés. Plus tard dans la procédure, il sera également possible d'indiquer un port de destination en option pour plus de précision.

  10. Configuration de listes de contrôle d’accès • La plupart des protocoles nécessitent deux étapes de base pour effectuer le filtrage : • la première étape est la création d'une définition de liste de contrôle d'accès • la seconde, l'application de cette liste à une interface. • Il convient d'identifier chaque liste de protocole en lui attribuant un numéro unique Router{config}#access-list numéro-liste-accés {permit|deny} {conditions-de-test) Router(config-if) # {protocole} access-group numéro-liste-d’accès

  11. Les bits de masque générique • Un masque générique est une quantité de 32 bits divisés en quatre octets contenant chacun 8 bits: • Un bit 0 de masque générique signifie " vérifier la valeur du bit correspondant " • un bit 1 signifie " ne pas vérifier (ignorer) la valeur du bit correspondant "

  12. Les bits de masque générique • les masques génériques et les masques de sous-réseaux IP fonctionnent différemment : • les 0 et les 1 du masque de sous-réseau déterminent les portions réseau, sous-réseau et hôte de l'adresse IP correspondante • Les 0 et les 1 du masque générique déterminent si les bits correspondants de l'adresse IP doivent être vérifiés ou ignorés à des fins de contrôle d'accès

  13. La commande any • Travailler avec des représentations décimales de bits de masque générique peut se révéler fastidieux : • Pour les usages les plus courants de masquage générique, vous pouvez recourir à des abréviations pour indiquer : • n'importe quelle adresse IP, tapez 0.0.0.0, • puis pour indiquer que la vérification doit ignorer(c.-à-d. autoriser sans vérifier)toute valeur, tapez les bits de masque générique correspondants pour cette adresse, qui seraient tous des 1 (c.-à-d. 255.255.255.255). Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255 vous pouvez utiliser ceci : Router(config)# access-list 1 permit any

  14. La commande host • permet également d'utiliser une abréviation dans le masque générique de liste de contrôle d'accès lorsque vous souhaitez faire correspondre tous les bits d'une adresse d'hôte IP complète : • Exemple : vous souhaitiez préciser qu'une adresse hôte IP sera refusée par une vérification de liste de contrôle d'accès : • Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0 vous pouvez utiliser ceci : Router(config)# access-list 1 permit host 172.30.16.29

  15. Les listes de contrôle d'accès standard • Vous pouvez utiliser les listes de contrôle d'accès standard pour refuser l'accès à un réseau à tout le trafic, autoriser tout le trafic issu d'un réseau particulier ou refuser des ensembles de protocoles : • Router(config)# access-list numéro-liste-d'accès {deny | permit} source [masque-générique-source ] [log]

  16. Vérification des listes de contrôle d'accès • la commande EXEC show access-list permet d’afficher le contenu de toutes les listes de contrôle d'accès : • Exemple : access-list 1 permit 192.5.34.0 0.0.0.255 access-list 1 permit 128.88.0.0 0.0.255.255 access-list 1 permit 36.0.0.0 0.255.255.255 !(Remarque : tous les autres accès sont implicitement refusés.) • La commande ip access-group associe une liste de contrôle d'accès existante à une interface Router(config-if)#ip access-group numéro-liste-d'accès {in | out}

  17. Exemple 1 de configuration • la liste de contrôle d'accès permet uniquement l'acheminement du trafic du réseau d'origine 172.16.0.0

  18. Exemple 2 de configuration • bloquer le trafic d'une adresse particulière, 172.16.4.13, et permettre l'acheminement du trafic de toutes les autres adresses

  19. Exemple 3 de configuration • liste de contrôle d'accès est conçue pour bloquer le trafic d'un sous-réseau particulier, 172.16.4.0, et permettre l'acheminement de tout autre trafic

  20. Les listes de contrôle d'accès étendues • les listes de contrôle d'accès étendues fournissent une plus grande gamme de contrôles que les listes d'accès standard • Exemple : vous pouvez utiliser une liste de contrôle d'accès étendue pour autoriser le trafic Web, mais refuser le trafic FTP ou Telnet en provenance de réseaux externes • Les listes de contrôle d'accès étendues vérifient les adresses d'origine et de destination d'un paquet. • Elles peuvent également vérifier des protocoles et des numéros de port particuliers, ainsi que d'autres paramètres

  21. Les listes de contrôle d'accès étendues

  22. Les listes de contrôle d'accès étendues • La forme complète de la commande access-list est :   Router(config)# access-list numéro-liste-d'accès {permit | deny} protocol source [source-mask] destination [destination-mask] operator operand] [established] • La commande ip access-group lie une liste de contrôle d'accès étendue existante à une interface. • une seule liste de contrôle d'accès est permise par interface, par direction et par protocole. Le format de cette commande est le suivant :   Router(config-if)# ipaccess-group numéro-liste-d'accès {in | out}

  23. Les listes de contrôle d'accès étendues

  24. Exemple 1 de configuration • un exemple de liste de contrôle d'accès étendue bloquant le trafic FTP

  25. Exemple 2 de configuration • Empêche que le trafic Telnet (eq 23) dont l'adresse d'origine est 172.16.4.0. soit acheminé par l'interface E0. Tout le trafic transmis depuis un autre point vers une autre destination peut être acheminé par cette interface

  26. Emplacement des listes de contrôle d'accès • La règle est de placer les listes de contrôle d'accès étendues le plus près possible de la source du trafic refusé • Étant donné que les listes de contrôle d'accès standard ne précisent pas les adresses de destination, vous devez les placer le plus près possible de la destination refuser le trafic Telnet ou FTP acheminé par le routeur A vers le LAN Ethernet commuté connecté au port E1 du routeur D et autoriser le reste de trafic en utilisation une liste de contrôle d'accès étendue et la placez la liste de contrôle d'accès étendue dans le routeur A

  27. Emplacement des listes de contrôle d'accès • Les listes de contrôle d'accès doivent être utilisées dans les routeurs pare-feu, lesquels sont souvent placés entre le réseau interne et un réseau externe, tel qu'Internet • Le routeur pare-feu fournit un point d'isolation qui protège l'ensemble de la structure du réseau interne • Vous pouvez également utiliser les listes de contrôle d'accès sur un routeur situé entre deux sections du réseau pour contrôler le trafic entrant ou sortant d'une section particulière du réseau interne • Pour tirer parti des avantages des listes de contrôle d'accès en matière de sécurité, vous devez au moins configurer des listes de contrôle d'accès sur les routeurs périphériques situés aux frontières du réseau

  28. Partie 2: contrôle d’accès avec les VLAN

  29. Introduction • De nos jours, les concepteurs de réseaux tendent à délaisser les ponts et les concentrateurs au profit des commutateurs et des routeurs • Ethernet est l'architecture LAN la plus répandue utilisée pour transporter des données entre les unités d'un réseau • Le média Ethernet utilise un mode de broadcast de trames de données pour transmettre et recevoir des données entre tous les nœuds du média partagé

  30. Qu’est-ce qu’un VLAN ? • Un commutateur Ethernet segmente physiquement un LAN en domaines de collision individuels • Toutefois, tous les segments font toujours partie d'un même domaine de broadcast • tous les nœuds de tous les segments peuvent voir un broadcast d'un nœud situé sur un segment • Un réseau local virtuel (ou VLAN) est un groupe d'unités réseau ou d'utilisateurs qui ne sont pas limités à un segment de commutation physique • Les unités ou les utilisateurs d'un VLAN peuvent être regroupés par fonction, service, application, etc., et ce, quel que soit le segment physique où ils se trouvent

  31. Qu’est-ce qu’un VLAN ? • Un VLAN crée un domaine de broadcast unique qui n'est pas limité à un segment physique et qui est traité comme un sous-réseau • La configuration d'un VLAN est effectuée, par logiciel, dans le commutateur • Les VLAN ont été uniformisés conformément à la spécification IEEE 802.1Q

  32. VLAN et frontières physiques

  33. VLAN et frontières physiques • Les configurations de LAN virtuels regroupent les utilisateurs par association logique plutôt que par emplacement physique

  34. VLAN et frontières physiques • Les LAN virtuels fonctionnent au niveau des couches 2 et 3 du modèle de référence OSI. • La communication entre les LAN virtuels est assurée par le routage de couche 3.  • Les LAN virtuels fournissent une méthode de contrôle des broadcasts de réseau. • L'administrateur réseau affecte les utilisateurs à un LAN virtuel. • Les LAN virtuels peuvent améliorer la sécurité des réseaux en définissant quels nœuds de réseau peuvent communiquer entre eux.

  35. Le transport des LAN virtuels (VLAN) dans les backbones • La circulation des informations VLAN entre des commutateurs et des routeurs interconnectés résidant sur le backbone d'une entreprise est très importante pour toute architecture VLAN. • Cette fonction de transport présente les avantages suivants : • elle élimine les frontières physiques entre les utilisateurs ; • elle améliore la flexibilité de configuration d'une solution VLAN lorsque des utilisateurs déménagent ; • elle fournit des mécanismes permettant l'interopérabilité entre les composants du système backbone.

  36. Le transport des LAN virtuels (VLAN) dans les backbones • Le backbone sert habituellement de point de convergence pour les volumes de trafic importants • Il transporte également les informations VLAN et l'identification de l'utilisateur final entre les commutateurs, les routeurs et les serveurs directement connectés

  37. L'utilisation des trames dans les LAN virtuels (VLAN) • Les commutateurs sont un des éléments de base des communications VLAN • Chaque commutateur est en mesure de prendre les décisions relatives au filtrage et à l'acheminement par trame, en fonction des paramètres VLAN définis par les administrateurs réseau. • Le commutateur peut aussi communiquer ces informations à d'autres commutateurs et routeurs du réseau.  • Les méthodes les plus utilisées pour regrouper logiquement des utilisateurs en LAN virtuels distincts sont le filtrage de trames et l'identification de trames (étiquetage de trames).

  38. L'utilisation des trames dans les LAN virtuels (VLAN) • Ces deux techniques examinent la trame au moment de sa réception ou de son acheminement par le commutateur • Selon l'ensemble de règles définies par l'administrateur, ces techniques déterminent l'endroit où la trame doit être envoyée, filtrée ou diffusée • Le filtrage de trames consiste à examiner les informations particulières à chaque trame • Une table de filtrage est élaborée pour chaque commutateur

  39. L'utilisation des trames dans les LAN virtuels (VLAN)

  40. L'utilisation des trames dans les LAN virtuels (VLAN) • L'étiquetage de trames est le mécanisme de liaison standard utilisé pour le filtrage de trames • Il fournit une solution plus évolutive pour le déploiement de LAN virtuels à l'échelle d'un campus • Cette méthode place un identificateur unique dans l'en-tête de chaque trame au moment où celle-ci est acheminée dans le backbone du réseau • L'identificateur est interprété et examiné par chaque commutateur avant tout broadcast ou transmission à d'autres commutateurs, routeurs ou équipements de station d'extrémité

  41. L'utilisation des trames dans les LAN virtuels (VLAN) • Lorsque la trame quitte le backbone du réseau, le commutateur retire l'identificateur avant de transmettre la trame à la station d'extrémité cible • L'identification des trames est effectuée au niveau de la couche 2 ; elle nécessite des temps de traitement ou d'administration peu élevés

  42. La relation entre les ports, les LAN virtuels et les broadcasts • Chaque port de commutateur peut être attribué à un LAN virtuel • Les ports affectés au même LAN virtuel partagent les broadcasts • Trois méthodes de mise en œuvre de LAN virtuels qui peuvent être utilisées pour affecter un port de commutateur à un LAN virtuel : • Les LAN virtuels axés sur le port • Les LAN virtuels statiques • Les LAN virtuels dynamiques

  43. VLAN axés sur les ports • les utilisateurs sont affectés en fonction de chaque port, • les LAN virtuels sont faciles à administrer, • la sécurité entre les LAN virtuels est accrue, • les paquets ne passent pas dans d'autres domaines.

  44. VLAN statiques • les ports d'un commutateur que sont affectés de manière statique à un LAN virtuel • Ces ports conservent les configurations VLAN attribuées jusqu'à ce que vous les changiez

  45. VLAN dynamiques • Lorsqu'une station est connectée pour la première fois à un port de commutateur non affecté, le commutateur approprié vérifie l'adresse MAC dans la base de données de gestion VLAN et configure dynamiquement le port selon la configuration VLAN correspondante

  46. La contribution des LAN virtuels au contrôle de l'activité de broadcast • Les LAN virtuels constituent un mécanisme efficace pour étendre les pare-feu des routeurs à la matrice de commutation et protéger le réseau contre des problèmes de broadcast potentiellement dangereux • Ce type de configuration réduit substantiellement l'ensemble du trafic de broadcasts, libère de la bande passante pour le véritable trafic utilisateur et réduit la vulnérabilité globale du réseau aux tempêtes de broadcast • Plus le groupe VLAN est réduit, plus le nombre d'utilisateurs touchés par le trafic de broadcasts à l'intérieur du groupe est petit

  47. L'amélioration de la sécurité des réseaux grâce aux LAN virtuels • Cette technique offre à l'administrateur les avantages suivants : • elle restreint le nombre d'utilisateurs dans un groupe VLAN,   • elle configure tous les ports non utilisés et les affecte à un LAN virtuel à faible niveau de service par défaut. • Elle limite l’accès du trafic qu’au VLAN correspondant à la source du trafic

  48. Mise en pratique des VLAN • Dans la cas habituel les switchs agissent d’une façon indépendante • En utilisant les Vlans un certain niveau d’interdépendence doit exister entre les switchs : • Chaque Vlan logique est considéré comme un pont physique séparé • VLANs peuvent recouvrir plusieurs switchs • Les liaisons d’agrégation de type « trunk » portent le trafic pour plusieurs VLANS. Switch A Switch B Fast Ethernet Trunk Vlan Rouge Vlan vert Vlan Rouge Vlan vert Vlan Bleu Vlan Bleu

  49. Configuration des VLAN statiques • Les VLAN statiques correspondent à l'affectation manuelle des ports d’un commutateur à un VLAN via une application de gestion de VLAN ou directement en travaillant sur le commutateur. • La création d’un VLAN sur un commutateur est une tâche très simple et directe : • Switch#vlan databaseSwitch(vlan)#vlan numéro_vlan name nom_vlanSwitch(vlan)#exit

  50. Configuration des VLAN statiques • L’étape suivante consiste à affecter le VLAN à une ou à plusieurs interfaces: • Switch(config)#interface fastethernet 0/9 • Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan numéro_vlan • Il est fortement recommandé de vérifier la configuration VLAN à l’aide des commandes show vlan • Pour enlever un VLAN entièrement d'un commutateur, entrez les commandes: • Switch#vlan database Switch(vlan)#no vlan 300

More Related