You are on page 1of 57

Pix cisco

www.udivers.com
www.udivers.com www.udivers.com
Qu'est-Ce Qu'un Pare-Feu?
 (coupe-feu, garde-barrière ou Firewall en anglais),

 est un système permettant de protéger un


ordinateur ou un réseau d'ordinateurs des intrusions
provenant d'un réseau tiers (notamment Internet)
 Le pare-feu est un système permettant de filtrer les
paquets de données échangés avec le réseau, il
s'agit ainsi d'une passerelle filtrante comportant au
minimum les interfaces réseau suivantes :
 Une interface pour le réseau à protéger (réseau
interne) inside
 Une interface pour le réseau externe outside

www.udivers.com www.udivers.com
Fonctionnement D'un
Systeme Pare-Feu
 Un système pare-feu contient un ensemble
de règles prédéfinies permettant :

 D'autoriser la connexion (allow)


 De bloquer la connexion (deny)
 De rejeter la demande de connexion sans
avertir l'émetteur (drop).

www.udivers.com www.udivers.com
méthode de filtrage

On distingue habituellement deux types de politiques


de sécurité permettant :

1- soit d'autoriser uniquement les communications


ayant été explicitement autorisées :
 "Tout ce qui n'est pas explicitement autorisé est

interdit".

2- soit d'empêcher les échanges qui ont été


explicitement interdits.

www.udivers.com www.udivers.com
Type de filtrage

1 Le filtrage simple de paquets (filtrage basic,


stateless packet filtering )

2 Le filtrage dynamique

www.udivers.com www.udivers.com
Le filtrage simple de
paquets
 Il se base sur la couche 3 du modèle OSI
 Il analyse les en-têtes de chaque paquet de données
(datagramme) échangé entre une machine du réseau interne et
une machine extérieure.
 les en-têtes suivants, systématiquement analysés par le
Firewall :
identifier la machine
1- adresse IP de la machine émettrice émettrice et la machine
cible
2- adresse IP de la machine réceptrice

3- type de paquet (TCP, UDP, etc.) indication sur le type de


4- numéro de port (rappel: un port est un service utilisé
numéro associé à un service ou une
application réseau)
www.udivers.com www.udivers.com
Le filtrage dynamique

 est basé sur l'inspection des couches 3 et 4 du modèle OSI

 permettant d'effectuer un suivi des transactions entre le client et


le serveur

 Un dispositif pare-feu de type « stateful inspection » est ainsi


capable d'assurer un suivi des échanges, c'est-à-dire de tenir
compte de l'état des anciens paquets pour appliquer les règles
de filtrage.

 à partir du moment où une machine autorisée initie une


connexion à une machine située de l'autre côté du pare-feu;
l'ensemble des paquets transitant dans le cadre de cette
connexion seront implicitement acceptés par le pare-feu.

www.udivers.com www.udivers.com
présentation de Pix

 Les PIX Cisco sont des pares-feu qui


intègrent matériel et logiciel ainsi une
protection importante

www.udivers.com www.udivers.com
Aspect du PIX
Sur la face avant du PIX, on a très peu d'informations.
 Le logo du constructeur

 La gamme du produit sur lequel on travaille.

 Trois diodes

Ces diodes servent à définir différents statuts


POWER - Elle permet de savoir si l'appareil est en marche ou
bien arrêté.
ACT - Cette diode est utile si on utilise une architecture de
redondance, c'est-à-dire plus d'un PIX. Si elle est allumée cela
veut dire que le PIX est actif. Sinon le PIX est en veille ou la
redondance n'est pas activée.
NETWORK - Elle est active lorsqu'au moins une interface réseau
du PIX laisse passer le trafic.

www.udivers.com www.udivers.com
Aspect du PIX

 Sur la face arrière du PIX, nous pouvons voir


les différentes connectiques et les diodes qui
représentent le statut des interfaces

www.udivers.com www.udivers.com
Le principe
 un PIX est considéré comme une porte verrouillée.
Pour passer au travers de cette porte et accéder
aux services disponibles sur l'autre segment réseau,
il faut posséder la clef, permettant de l'ouvrir. C'est
le PIX qui va décider de donner ou non cette clef.

 Par exemple, si l'on considère une machine sur


laquelle tourne le service WEB http et le daemon
sshd. Par défaut toutes les portes du PIX sont
fermées et seul le port 80 (http) a été ouvert

www.udivers.com www.udivers.com
www.udivers.com www.udivers.com
Une plateforme évolutive
 il est possible d’ajouter des cartes réseaux
donc des interfaces sur la majorité de la
gamme Pix Cisco

 Il est aussi possible de mettre à jour l’IOS du


Firewall comme c’est le cas pour les
routeurs. De ce fait nous pouvons ajouter des
fonctionnalités à nos Pix sans avoir à les
changer

www.udivers.com www.udivers.com
Installation et configuration
graphique
 les Cisco Pix Firewall sont livrés avec un
logiciel d'administration graphique (PDM).
PDM permet à l'administrateur réseau de
configurer et de gérer le pare-feu Pix Firewall
à l'aide d'une interface GUI

 Il permet de récupérer, modifier et


administrer les politiques de sécurité ainsi
que de faire du monitoring

www.udivers.com www.udivers.com
Pour le configurer, il faut utiliser les
commandes « [no] http adresse-ip
masque » et « [no] http server enable».
Par exemple:
Pix-fsts (config)# http server enable
pix-fsts (config)# http 192.168.0.2
255.255.255.255

www.udivers.com www.udivers.com
www.udivers.com www.udivers.com
Performance (algorithme
ASA)
 performances PIX découlent d'un système de
protection basé sur l'algorithme ASA
(Adaptive Security Algorithm).

 Cet algorithme assure une très grande


protection de l'accès au réseau interne en
comparant les paquets entrants et sortants
aux entrées d'une table. L'accès n'est
autorisé qu’après authentification.

www.udivers.com www.udivers.com
Nombre de connections

 Le Cisco Secure Pix Firewall 515-R supporte


jusqu'à 64 000 sessions simultanées, le
Pix 515-UR en supporte jusqu'à 128 000 et le
Pix 520 jusqu'à 256 000

www.udivers.com www.udivers.com
Tolérance de panne

 La plus part des Pix Cisco dispose d'un system de


tolérance de panne du nom de failover.
 Celui-ci permet de mettre un deuxième Pix en
cascade au premier au cas ou celui-ci tomberait en
panne
 Une interface est donc prévue à cet effet. Il suffit
juste de connecter les deux Pix à cette interface et à
activer le failover au niveau de l'IOS dans chacun
des Pix.

www.udivers.com www.udivers.com
Tolérance de panne

 Le Pix 506 ne permet pas le Failover

 Les Pix 515, 525 et 535 supportent le Failover si et seulement si


vous avez une licence UR.

 Pour faire du Failover avec des Pix, il faut deux Pix Failover.
Dans tous les cas les 2 Pix doivent être rigoureusement
identique en matière de : RAM, Flash, IOS.

 Le Failover avec des Pix est du type actif/passif. C'est à dire que
le Pix2 est passif. Tout le trafic passe par le Pix1 qui est actif. Ce
n'est que si ce premier Pix tombe que le second devient actif.

www.udivers.com www.udivers.com
Caractéristiques matérielles
( pix 515 )
 Processeur Intel Celeron cadencé à 433 Mhz
 128 Ko de mémoire cache niveau 2 cadencée à 433 Mhz
 Mémoire Flash de 16 Mo
 32 Mo ou 64 Mo de RAM selon la License restreinte ou non
restreinte
 Jusqu'à six interfaces selon les modèles
 Un port console pour l'administration
 Différentes diodes pour vérifier le statut de l'alimentation, du
réseau et de la redondance.
 Un débit de sortie jusqu'à 188 Mbps
 Support de différents protocoles de cryptage pour la
confidentialité des données utilisateur: 56 bit DES, 168 bits
3DES et 128 ou 256 bit AES
 Jusqu'à 60 / 130 Mbps pour les connexions VPN.

www.udivers.com www.udivers.com
Caractéristiques
fonctionnelles
Le PIX est un pare-feu à inspection d'état,
peut assurer le suivi des échanges et utilise
l'ASA (Adaptive Security Algorithm) pour ce
filtrage dynamique.

Il peut aussi contrôler l'accès de différentes


applications, services et protocoles et
protège votre réseau contre les attaques
connues et courantes

www.udivers.com www.udivers.com
 Ce pare-feu gère également le VPN (IKE et
IPSec). On peut ainsi créer des tunnels VPN
entre sites.

 Le PIX peut aussi faire office de serveur


DHCP pour les équipements connectés au
réseau interne et grâce au NAT, permet à
ces "clients" de se connecter à Internet avec
une même adresse IP publique

www.udivers.com www.udivers.com
Configuration de base

Deux méthodes de configuration sont adaptées:

 La configuration du PIX peut s'effectuer via une


interface web : le Pix Device Manager (PDM).

 Ou par le biais de commandes entrées


manuellement par l'administrateur l'interface en ligne
de commande (CLI).

www.udivers.com www.udivers.com
Modes de commandes

il existe plusieurs niveaux d'accès


administratifs :

- Mode utilisateur
- Mode privilégié
- Mode de configuration globale

www.udivers.com www.udivers.com
Mode utilisateur

mode par défaut, on peut consulter certaines


informations sur le pare-feu mais sans
pouvoir effectuer de modifications

en mode utilisateur, on aura : PIX-FSTS>

www.udivers.com www.udivers.com
Mode privilégié

 permet de procéder à la configuration de


base du pare-feu et de visualiser son état.

 En mode privilégié : PIX-FSTS #

www.udivers.com www.udivers.com
Mode de configuration
globale

comme son nom l'indique, permet de


configurer les paramètres ayant une portée
globale.

Et en mode de configuration globale :


PIX-FSTS(config)#

www.udivers.com www.udivers.com
 Pour passer d'un mode à l'autre il faut utiliser les
commandes suivantes :

 - enable pour passer du mode utilisateur à privilégié


et disable ou exit pour l'inverse.

 - configure terminal pour passer du mode privilégié


à configuration globale et exit pour l'inverse.

www.udivers.com www.udivers.com
 Une bonne configuration mais avec une
bonne organisation !!

www.udivers.com www.udivers.com
Méthode et Organisation de
la configuration de Pix

Pour que notre Firewall Pix soit bien


configurer il faut suivre une méthode de
configuration bien organisé qui va nous aider
par la suite de savoir les faille de la
configuration plus rapidement

www.udivers.com www.udivers.com
Configuration de base

Ci-après les principes d’une configuration


organisée et moins réduite

www.udivers.com www.udivers.com
Nom du Pix et domaine du
pix :

 hostname Pix-FSTS

 domain-name fsts.ac.ma

www.udivers.com www.udivers.com
Mot de passe du pix pour
l'accès en mode enable

 enable password mot-de-passe encrypted

www.udivers.com www.udivers.com
Mot de passe du pix pour
l'accès en telnet et ssh

 passwd password [encrypted]

www.udivers.com www.udivers.com
Nommages des
équipements
 Pendant la configuration un administrateur réseaux
a eu la charge de rappeler toutes les adresses IP
nécessaire pour cette configuration

 alors pour faciliter cette tache, on affecte un nom à


chaque adresse IP et au lieu d’appliquer les règles
des contrôles d’accès ou d’autre configuration sur
les adresses IP il nous suffit juste de les appliquer
sur les noms affectés des hôtes ou des serveurs
utilisée

www.udivers.com www.udivers.com
Configuration des
interfaces
Nom des interfaces et affectation d'un niveau de sécurité

 Le Pix interdit toute communication émanent d'une interface


ayant un niveau de sécurité bas vers une interface de niveau
élevé

 Il faut donc attribuer un niveau de sécurité de 0 pour l'interface


connectée à Internet et un niveau de 100 pour l'interface
connecter au LAN

 la DMZ (zone démilitarisée), on met un niveau de sécurité à 50

www.udivers.com www.udivers.com
Configuration des
interfaces
 nameif hardware_id if_name security_level

Par exemple:

# nameif ethernet0 outside security0


# nameif ethernet1 dmz security50
# nameif ethernet2 inside security 100

www.udivers.com www.udivers.com
Affectation des adresses ip
aux interfaces
 ip address if_name ip_address [netmask]

# ip address outside 172.16.80.100


255.255.255.0
# ip address dmz 192.168.36.19
255.255.255.0

www.udivers.com www.udivers.com
Les ACLS

 les Access liste ,les listes de contrôles d’accès

 Une ACL sur un pare-feu, est une liste d'adresses


ou de ports autorisés ou interdits par le dispositif de
filtrage.

 ACLs sont les ligne de la configuration les plus


importantes au niveau du Pix c’est eux qui nous
permettent d’appliquer les règles de permission ou
de blocage soit des application ,des services ou des
hôtes

www.udivers.com www.udivers.com
Définition des objets
(Object Grouping)
 Une ACL peut permettre au PIX d'autoriser un client
particulier à accéder à un serveur particulier pour un
service spécifique. Quand il y a seulement un client,
un serveur et un service, le nombre de lignes est
minimum dans l'ACL

 Cependant, en augmentant le nombre de clients, de


serveurs, le nombre de lignes dans une ACL
augmente exponentiellement.

www.udivers.com www.udivers.com
Définition des objets
(Object Grouping)
 On peut grouper des objets de réseau tels que des
serveurs et des services pour simplifier la tâche de
création et d'application d'ACLs.

Ceci réduit le nombre d'entrées de contrôle d'accès


(ACEs) exigées pour mettre en application des
politiques complexes de sécurité.

www.udivers.com www.udivers.com
 L'application d'un groupe d'objet à une commande est
l'équivalent d'appliquer chaque élément du groupe d'objet à la
commande

Par exemple:
 le groupe group_admin contient :

les hotes @ip_admin1, @ip_admin2, et @ip_admin3


 Le groupe group_service soutient les protocoles

HTTP, HTTPS et FTP


 L'application du groupe group_admin et group_service à un ACE
est équivalente à appliquer tous les hôtes et protocoles
individuellement à l'ACE.

www.udivers.com www.udivers.com
Par conséquent, la commande :

 access-list outside permit tcp any object-group DMZ_Servers


object-DMZ_Services

Est équivalente à:

 access-list outside permit tcp any host @ip_admin1 eq http


access-list outside permit tcp any hos t@ip_admin1 eq https
access-list outside permit tcp any host @ip_admin1 eq ftp
access-list outside permit tcp any host @ip_admin2 eq http
access-list outside permit tcp any host @ip_admin2 eq https
access-list outside permit tcp any host @ip_admin2 eq ftp
access-list outside permit tcp any host @ip_admin3 eq http
access-list outside permit tcp any host @ip_admin3 eq https
access-list outside permit tcp any host @ip_admin3 eq ftp

www.udivers.com www.udivers.com
Types d’objet groupe
 Grouper les objets fournit une manière de grouper des objets d'un type
identique de sorte qu'une ACL simple puisse s'appliquer à tous objets
dans le groupe. Vous pouvez créer les types suivants de groupes
d'objet :

 -Network : Utilisée pour grouper les hôtes et les sous-réseaux


 -Protocol : Utilisée pour grouper les protocoles
Peut contenir un des mots Clés Parmi icmp, ip, tcp, or udp, ou un entier
entre 1 à 254 représentant un numéro de protocole. Utiliser le mot
clé ip pour englober tous les protocoles Internet, incluant ICMP, TCP et
UDP.
- Service : Utilisée pour grouper les ports TCP or UDP assignés à
différents services.
- ICMP-type : Utilisée pour grouper les types de messages ICMP à
autoriser ou refuser.

www.udivers.com www.udivers.com
Configuration d'un object-
group
object-group network pour nommer l'objet réseau et entre en mode
secondaire d'objet de réseau. Une fois à l'intérieur de ce mode, on peut
employer la commande network-object pour ajouter un serveur ou un
réseau au groupe d'objet de réseau.

 object-group network group-admin


network-object host 10.0.0.3 | administrateur-reseau
network-object 10.0.0.0 255.0.0.0

C'est similaire pour les objets service:

 object-group service Services tcp


port-object eq service
port-object range begin_service end_service(pour assigner un plage
de service

www.udivers.com www.udivers.com
Configuration du NAT 
 La translation d'adresse réseau, NAT, est un mécanisme
permettant, entre autre, de connecter plusieurs équipements
réseau à Internet via une seule adresse IP publique

 leurs adresses internes restant ainsi inconnues de l'extérieur.


Pour le configurer sur le PIX

 il faut utiliser les commandes suivantes. Ceci est nécessaire afin


de faire communiquer les hôtes avec un haut niveau de sécurité
vers ceux ayant un niveau plus bas

www.udivers.com www.udivers.com
 nat [(if_name)] nat_id address [netmask] [dns][max_conns]

Vérification de la configuration NAT:

show nat :

Cette commande sert à afficher un hôte ou une ensemble d'hôte


translatés.
show global:

Affiche les pools d'adresses configurées sur le PIX.

show xlate:

Affiche la table de translation

www.udivers.com www.udivers.com
Sauvegarde de La
configuration
 Obligatoire, importante et incontournable pour un
administrateur réseau parce que cette partie il va nous permettre
de garder les traces de la configuration finale

 Dans les cas d’ajout d’une configuration malveillante on peut


restaurer la configuration sauvegardée tranquillement sans
aucun doute, ni stress

 L’utilisation de la commande « write memory » va vous permettre


de sauvegarder dans la mémoire flash toute la configuration du
PIX que vous venez de réaliser

www.udivers.com www.udivers.com
Complement de securité
 Afin de garantir un niveau de protection maximal, il est
nécessaire d'administrer le pare-feu et notamment de surveiller
son journal d'activité afin d'être en mesure de détecter les
tentatives d'intrusion et les anomalies.

 Par ailleurs, il est recommandé d'effectuer une veille de sécurité


afin de modifier le paramétrage de son dispositif en fonction de
la publication des alertes.

 La mise en place d'un Firewall doit donc se faire en accord


avec une véritable politique de sécurité

  y compris :

www.udivers.com www.udivers.com
LE CLOISONNEMENT

 Le cloisonnement du réseau consiste à définir


plusieurs zones de niveaux de sécurité différents,
identifier les échanges entre les niveaux et limiter
les échanges au strict minimum. En effet, cela
permettra de :

 Séparer les zones de confiances différentes

 Assurer une meilleure protection des services IP,

 Assurer une meilleure séparation des flux.


www.udivers.com www.udivers.com
Le cloisonnement du réseau sera accompagné des moyens techniques suivants :

1- Le filtrage des flux IP par l’utilisation des Firewalls

2- La translation d’adresse permettant de cacher la topologie du réseau interne aux


correspondants externes. Plusieurs types d’implémentation sont utilisés :

 Traduction statique d’adresses

 Traduction dynamique de ports : elle est appliquée aux postes de travail internes
pour naviguer sur Internet ou communiquer avec les différents serveurs métiers
localisés sur les autres zones de sécurité.

 Les services de filtrage et relais applicatifs sont réalisés sur des serveurs dédiés
comme les serveurs Proxy http (Antivirus SMTP, Antivirus http/FTP, Filtrage URL),

 Le service d’Authentification, d’Autorisation et d’Accounting est assuré par


une plateforme de contrôle d’accès basée sur le protocole Radius et Tacacs

www.udivers.com www.udivers.com
PROTECTION ANTIVIRALE
DES FLUX HTTP/FTP
Les flux de messagerie entrants et
sortants sont routés vers la passerelle de
protection antivirale SMTP. En effet, cette
passerelle analyse le contenu des
messages reçus et vérifie qu’ils ne
contiennent aucun virus ou code malicieux
puis transférera le message vers le serveur
de messagerie ou Internet.

www.udivers.com www.udivers.com
LA DETECTION D’INTRUSION

pour atténuer ces risques à mettre en place des détecteurs


d’intrusions réseaux sur les différents segments « Public » et «
Partenaires ».

Les principales fonctionnalités qui sont exploitées sont :

- Examen « silencieux » du trafic réseau ;


-envoi de Logs vers le serveur d’analyse de logs
-Comparaison du trafic capturé avec une base de données
d'attaques ;
-Mise en place éventuelles d’actions efficaces en cas d'attaque ;
-Remonté d'alertes vers une console centrale (+ mails, ...).

www.udivers.com www.udivers.com
LA REDONDANCE ET
DISPONIBILITE
Afin de compléter la robustesse de l’infrastructure de
sécurité des accès Internet mise en place, une
amélioration du niveau de disponibilité est
indispensable, cette amélioration passe par :

 Redondance des équipements Firewalls en


FailOver,

 Redondance des serveurs passe les Antirus


SMTP/Antispam et Http/FTP.

www.udivers.com www.udivers.com
conclusion

 N’oubliez pas que la configuration n’est pas


définitive et qu’il très important de faire un
suivi régulier, c'est-à-dire mettre à jour les
schémas réseaux lors de modifications et les
appliquer sur le PIX.
 Le PIX étant un produit très évolutif, vous
pourrez ajouter facilement des cartes
d’extension, ou bien mettre à jour l’IOS

www.udivers.com www.udivers.com
Merci pour votre attention

Gracias por su atención

www.udivers.com www.udivers.com