CCNA Security 640-554

Chapitre 10 Planifier une stratgie de lutte contre la enace

Opportunits dattaques

Atta!ue de la couche " #spoofing$% anipulations S&P'
(edirection de trafic a)ec un routeur * rogue +% anipulation des protocoles de routage #e,eple
d-atta!ue sur un .A/ entre deu, aires de routage$'

0e cryptage des donnes est essentiel pour ettre en dfaut les assaillants'

Le plus gros risque dattaque

1algr la scurit ise en place sur )otre rseau% une faille sera tou2ours prsente 3 l-utilisateur
final #incluant )ous-4e et les adinistrateurs$ 5rreur huaine% social engineering'

0a foration des utilisateurs et les accords d-utilisations des ressources inforati!ues #charte$ sont
iportants' 0es utilisateurs doi)ent faire attention et 4tre de 6onne )olont )is-7-)is de la politi!ue
de scurit de l-entreprise'

Processus de cration de la stratgie, mise en uvre et vrification

0a direction est responsa6le de la stratgie de scurit' 0e tra)ail de l-adinistrateur est
d-iplenter celle-ci' 8n histori!ue des changeents doit 4tre conser) et sign par la direction'
Cha!ue r9le est distinct% tout ne doit pas 4tre centralis sur un 4e indi)idu #il ne faut pas
donner trop de pou)oir 7 une personne$'

Politiques dattnuations et techniques

8ne politi!ue doit 4tre ise en place pour spcifier coent ragir en cas d-atta!ue'

Formation des utilisateurs finaux Sartphone% :PN et acc;s distants sont utilisa6les partout de
nos 2ours' /l faut a)oir une stratgie pour les utilisateurs finau,' 5du!uer les utilisateurs et )rifier
de fa<on peranente leurs acc;s et la 2ournalisation de ces derniers'

Dfense en profondeur 1ultiples priphri!ues de scurit% responsa6ilits partages sur le S/%
)iter 7 tout pri, le phno;ne de SP=.'

Monitoring centralis et analses Plusieurs priphri!ues g;rent la scurit Centralisation
des logs% onitoring 7 ettre en place' Ces donnes seront sau)egardes et accessi6les 7 un
groupe tr;s restreint de personnes #(SS/% >S/ ou >irection gnrale$'

!isi"ilit de la couche application 1odification des protocoles par l-atta!uant' .iltrage des
protocoles et )rification #sondes$ 7 faire de teps 7 autre sur le rseau'

#ncident$%ponse ?ue fait-on si une atta!ue se produit @ 0a rponse peut 4tre autoati!ue
#/>SA/PS$% anuelle #ise en place d-AC0$ ou adinistrati)e #si atta!ue dli6re d-un eploy$'
&curiser un rseau via le matriel, le logiciel et les services

&'#()*&

Port$&ecurit 0iitation du no6re d-B1AC apprises% sparation des
ports dans plusieurs :0ANs diffrents #traes unicast
en)oyes sur un 4e :0AN$
D*)P &nooping 8n atta!uant )eut ettre en place un >CCP )oleur
#reconfiguration de l-B/P de passerelle 1an in the
iddle$' >CCP Snooping autorise seuleent le trafic >CCP
7 passer sur les ports dsigns #rate-liit du trafic &CP
re!uest en)oys par inter)alle$'
D+# Protection de la couche "% spoofing
#P &ource ,uard 8tilis pour )rifier !ue les clients sur un port donn ne
sont pas spoofs
%oot ,uard, -PD., -PD. Filtering Protection du S&P% protection du sDitch pont racine
&torm )ontrol 0iitation du trafic de 6roadcastAulticast' =n stoppe le
trafic #ou on le liite$ si 50E des capacits du sDitch sont
utiliss #par e,eple$
Modules addtionnels /PS% :PN% .ireDall% Anti-1alDare



%O.(/.%&

+)L - AC0 standards Au plus proche de la destination
- AC0 tendues Au plus proche de la source #consoation de ressources$
- AC0 rfle,i)es Autorisent les utilisateurs lgities 7 en)oyer et rece)oir
des pa!uets )ia le routeur tout en suppriant les pa!uets des autres h9tes
#il identifie les B/P lors de l-ta6lisseent d-une session &CP et >(=P le
reste$'


.tilisateur
+)L &tandard
+((+0.+1(
&/%!/.% '/-
+ttaque de tpe DO&


Sur l-e,eple ci-dessus nous pou)ons ettre en place une AC0 de type standard perettant au
flu, De6 de passer entre l-utilisateur et le ser)eur Fe6' Seul ce flu, est autoris% un >(=P any est
ipliciteent e,cut 7 la fin de l-AC0'

Gaccess-list 101 perit tcp any e! DDD any

Cependant un pirate peut rpondre au, contraintes de l-AC0 et faire une atta!ue >=S' >ans ce cas
un AC0 rfle,i)e est 7 ettre en place' 0-AC0 )a identifier l-ta6lisseent d-une conne,ion entre
l-utilisateur et le flu, De6 et autoriser la rponse 7 cette conne,ion #du ser)eur De6 )ers
l-utilisateur$' &out le reste sera >(=P #notaent le trafic de l-atta!uant$'

)-+) 5)olution /=S% supporte le filtrage d-tat #a)ec identification des
conne,ions$ sans utilisation d-AC0 rfle,i)es /=S .ireDall
2-F 32one -ased
Fire4all5
(eplace CHAC% actuelleent recoand pour scuriser un routeur'
8tilisation de class-ap pour identifier le trafic% policy-ap pour
identifier !uoi faire en fonction du trafic' .iltrage applicatif% inspection
d-applications et filtrage d-8(0 #chapitre 1I consacr au JH.$
Filtrage de paquets
+)L
8tilisation d-AC0 standards et tendues #autorisation ou refus du trafic sur
les interfaces du routeur$
+++ 8tilisation d-AAA a)ec des ser)eurs e,ternes pour les diffrents r9les
#&ACAS% (A>/8S$
!P1 /=S supporte les :PN acc;s distants utilisant SS0 ou /PSec' Support
galeent les :PN site 7 site /PSec #SS0 n-est gnraleent pas utilis
pour les :PN site 7 site$
#P& 0ogiciel ou odule #slot$' A)ec la fonction /PS sur un routeur )ous pou)eK
influencer de fa<on autoati!ue les fonctions de scurit
Protocoles de
routage authentifis
Pr)ention contre l-usurpation de routeur et anipulations des ta6les de
routage
Protocoles de
management
scuriss

8tilisation de SSC et SS0 pour anager les routeurs


Fire4all +&+

Filtrage dtat Peret 7 l-ASA de se sou)enir de l-tat d-une conne,ion #e,eple L 8n client
acc;de 7 un ser)eur F5H% dynai!ueent le retour de flu, est autoris )ers le client$'
Peut-4tre iplent au ni)eau " ou I% peut analyser le trafic 2us!u-7 la couche application #M$'

Modular Policy Framework (MPF$ 8tilis par ASA #class-ap% policy-ap% ser)ice policy rules$
perettent l-inspection de protocoles siples% inspection de la couche application'

Filtrage dURL Peret de filtrer l-acc;s 7 certains sites Fe6 #en fonction de l-8(0$'

Filtrage de paquets 8tilisation d-AC0 standards ou tendues'

AAA 8tilisation d-AAA% tra)aille a)ec des ser)eurs e,ternes #e,eple du ser)eur ACS
Centralisation$'

VPN Supporte les :PN identifis dans le ta6leau ci-dessus #site 7 site et acc;s distants$'

P! 1odule atriel #slot$ possi6le dans l-ASA'


+utres sst6mes et services

P! Analyse le trafic rseau% peut identifier le trafic alicieu, et prendre des contres-esures'
/plent sur des appliances% dans des laes #chassis 6500$ ou odules dans les routeurs ou
ASA' 0a prei;re thode d-identification est de regarder les signatures'

"isco !ecurity Ma#ager ("!M$ Peret de anager plusieurs priphri!ues de scurit

"isco !ecurity #tellige#ce $peratio#s (!$% 0es recherches et analyses S/= perettent des
ises 7 2ours en teps rel
httpLAADDD'cisco'coAgoAsio