Embed Size (px)
DESCRIPTION
Avertissement. Certaines parties de ce cours sont construites à partir d’informations relatives aux routeurs de la marque cisco Les notions manipulées sont assez générales pour êtres valables quelle que soit la marque La syntaxe des quelques commandes présentées est propre à cisco - PowerPoint PPT Presentation
Citation preview
RE16 1
Avertissement
• Certaines parties de ce cours sont construites à partir d’informations relatives aux routeurs de la marque cisco
• Les notions manipulées sont assez générales pour êtres valables quelle que soit la marque
• La syntaxe des quelques commandes présentées est propre à cisco
• Cependant, seules des commandes très généralistes sont décrites, il sera donc aisé d’en trouver l’équivalent chez un autre constructeur
RE16 2
Routeur
• Un routeur est une machine de traitement de données, au même titre qu’un ordinateur
• Il est composé :– d’une partie matérielle (processeur, mémoire, interfaces)
– d’une partie logicielle comprenant :• un système d’exploitation• des fichiers de configuration
RE16 3
Routeur : système d’exploitation
• Il interprète les commandes entrées à la ligne de commande ou collectionnées dans le fichier de configuration
• Comme sur un ordinateur, il peut être mis à jour pour corriger des failles ou ajouter des fonctions
RE16 4
Routeur : aspects matériels
RE16 5
Routeur : composants
• Les composants internes d'un routeur sont les suivants :
– Mémoire RAM/DRAM : • tables de routage• la mémoire cache ARP• files d'attente de paquets• sert également de mémoire d'exécution au fichier de configuration du
routeur lorsque ce dernier est sous tension• le contenu de la mémoire RAM est perdu lors d'une mise hors tension ou
d'un redémarrage.
– Mémoire NVRAM :• mémoire non volatile• stocke le fichier de configuration
RE16 6
Routeur : composants
– Mémoire flash :• mémoire morte effaçable électriquement• contient le microcode et l'image du système d'exploitation.• permet d'effectuer des mises à niveau logicielles sans retirer ni remplacer
les puces du processeur• son contenu est conservé lors d'une mise hors tension et d'un
redémarrage • Elle peut stocker plusieurs versions de la plate-forme logicielle Cisco IOS
– Mémoire ROM :• les diagnostics de mise sous tension• un programme d'amorçage
– Interfaces :• connexions réseau situées sur la carte-mère ou sur des modules
d'interface distincts, par lesquelles les paquets entrent dans le routeur et en sortent
RE16 7
Accès au routeur
• On peut configurer un routeur à partir des sources externes suivantes :– le port console (RS232)
– un modem utilisant le port auxiliaire
– une session telnet, après l'installation du routeur sur le réseau
– un serveur TFTP du réseau
• Certains routeurs intègrent un serveur web qui permet de les programmés, à condition qu’ils soient déjà visibles sur le réseau
RE16 8
Les modes d’un routeur
• Quelle que soit la méthode utilisée pour accéder au routeur, celui-ci peut fonctionner dans différents modes :– Mode utilisateur -- Dans ce mode en lecture seule, l'utilisateur peut
consulter les informations relatives au routeur mais il ne peut pas les modifier.
– Mode privilégié -- Prend en charge les commandes de débogage et de test, l'analyse détaillée du routeur, le traitement des fichiers de configuration et l'accès aux modes de configuration.
– Mode setup -- Affiche un dialogue interactif à l'écran de la console, à l'aide duquel l'utilisateur débutant peut créer sa première configuration de base.
– Mode de configuration globale -- Mode offrant des commandes de configurations simples.
– Autres modes de configuration -- Modes permettant de créer des configurations multilignes détaillées, pour chaque interface.
– Mode RXBoot -- Mode de maintenance permettant notamment de récupérer des mots de passe perdus.
RE16 9
Visualisation de l’état d’un routeur
• show version : affiche la configuration matérielle système, la version du logiciel, le nom et la source des fichiers de configuration ainsi que l'image d'amorçage.
• show protocols : affiche les protocoles configurés et l'état de tous les protocoles configurés de couche 3.
• show memory : affiche des statistiques sur la mémoire du routeur, notamment sur la mémoire disponible.
• show flash : affiche des informations sur la mémoire flash. • show running-config : affiche le fichier de la configuration
active. • show startup-config : affiche le fichier de la configuration de
sauvegarde. • show interfaces : affiche des statistiques sur toutes les
interfaces configurées du routeur.
RE16 10
show version
RE16 11
show protocols
RE16 12
Fichiers de configuration
• Un routeur contient toujours deux configurations :– une configuration active (runnin-config) en RAM : elle peut être
modifiée à chaud, les modifications seront exécutoires immédiatement
– une configuration de démarrage (startup-config) en NVRAM : elle est copiée vers la RAM à chaque démarrage pour créer la configuration active
• Ainsi, les modifications de configuration faites sur la configuration active doivent être sauvegardées dans la configuration de démarrage, si on veut les conserver au-delà du prochain redémarrage
RE16 13
show running-configshow startup-config
RE16 14
Exemple de fichier de config
version 10.3
no service config! évite les requêtes TFTP en broadcast pour les mises à jour
automatiques de la config no service tcp-small-servers! no service udp-small-servers! évite le déni de service sur les ports 7 et 9
no ip domain-lookup! évite la recherche DNS sur des mauvaises commandes
service password-encryption! les mots de passe seront inscrits codés dans les configs
hostname cisco4000!enable secret 5 $1$QIgl$PUFwSWwHjElDaG4LOLFxa/enable password class!!interface Ethernet0 ip address 192.168.0.254 255.255.255.0 no shutdown!interface Ethernet1 ip address 192.168.10.254 255.255.255.0 no shutdown!
interface Ethernet2 ip address 192.168.20.254 255.255.255.0 no shutdown!interface Ethernet3 ip address 192.168.30.254 255.255.255.0 no shutdown!interface Serial0 no ip address shutdown!interface Serial1 no ip address shutdown!!!line con 0 login password cisco!end
RE16 15
Table de routage
• Un routeur intervient pour l’aiguillage des paquets
• Il y parvient grâce à sa table de routage
• On peut visualiser la table de routage grâce à la commande show ip route
RE16 16
Test de bon fonctionnement
• Pour vérifier la bonne connectivité d’un routeur avec ses voisins, on utilise les commandes ping et trace route
RE16 17
Connexion à l’Internet : FireWall
• L’idée est de maîtriser un éventuel incendie• Cela signifie que :
– on accepte l’idée qu’un incendie est possible (attaque de la DMZ)
– au cas où cela se produit, on s’arrange pour qu’il soit limité à une zone non cruciale du réseau (la DMZ)
• Le FireWall est utilisé pour confronter tous les paquets de données aux règles de la politique de sécurité
• Il avertira l’administrateur de toute activité suspecte
RE16 18
FireWall : différents types
• Le fonctionnement d’un FireWall repose sur les éléments suivants :– filtrage des paquets avec des ACLs, translations d’adresses
(couches 3 et 4)
– serveur proxy (couches 4 à 7)
• Il peut proposer d’autres techniques liées à la sécurité des accès au réseau :– VPN Virtual Private Network
– détection d’intrusions
– Authentification
RE16 19
FireWall : différents types
• Un FireWall peut être logiciel :– c’est un programme installé sur
un OS classique
– exemple : CheckPoint FireWall 1
– on dit aussi « server based FireWall »
– dans cette catégorie, on trouve aussi les FireWalls personnels comme Norton, MacAfee, Zone Labs, …
– ces logiciels sont souvent couplés à un antivirus
– réservé en général à la protection d’une machine seulement, ou d’un très petit réseau !
RE16 20
FireWall : différents types
• Un FireWall peut être matériel :– ce sont des plate-formes spécifiques
– sur ces plate-formes tourne un OS spécifique (épuré)
– exemples : Cisco, NetScreen, SonicWall, WatchGuard
– on dit aussi « dedicated FireWall »
– L’IOS de certains routeurs peut aussi intégrer des fonctions «FireWall»
RE16 21
Firewall : aspects matériels
• C’est la même chose que pour un routeur !?!• Le firewall a lui aussi :
– un système d’exploitation
– un accès administratif
– des modes de configuration
– des fichiers de configuration
RE16 22
Connexion à l’Internet : FireWall
• Point de passage obligé pour tous les paquets qui sortent et qui entrent dans le réseau
Zone « démilitarisée » : DMZ
Réseau interne
RE16 23
Firewall matériel
• Il a pour fonctions :– Le routage
– Le filtrage
– La translation d’adresses
– La détection d’intrusions
– La gestion des accès distants
RoutageACLsNATIDSVPN
RE16 24
Comparaison Routeur / Firewal
• Fnalement, un routeur et Firewall ont tous les deux les mêmes fonctions :– la structure matérielle/logicielle est la même
– ils relient pluseurs réseaux IP différents, ils font donc du routage
– ils permettent tous les deux de faire du filtrage
– même chose pour la translation d’adresses
– On peut faire de la détection d’intrusion avec certains routeurs
• Où est la différence ?
RE16 25
Comparaison Routeur Firewall
• Un routeur « peut » alors qu’un firewall « doit »• La différence réside dans :
– les performances physiques et logiques du système, même si la structure est la même (pour un routeur et un firewall)
– les contraintes et la philosophie de mise en oeuvre
• Un routeur peut « tout » faire, il n’est pas assez spécialisé pour être rapide sur les fonctions de sécurité
• Un firewall doit aussi faire du routage, mais cela doit rester simple car ce n’est pas son travail principal
• Un firewall est construit pour être rapide pour les fonctions de sécurité
Routeur et firewall sont des matériels voisins techniquement, avec des fonctions communes, mais qui sont utilisées pour
servir des objectifs bien distincts
RE16 26
FireWall : niveaux de confiance
• Un FireWall utilise la notion de niveau de confiance :– 100 : signifie que le réseau est sûr (réseau interne)
– 0 : signifie le contraire (extérieur)
– les communications sont par défaut interdites des réseaux de niveau de confiance inférieurs vers les réseau à niveau de confiance supérieurs
– seuls les paquets explicitement autorisés peuvent «remonter» les niveaux de confiance
RE16 27
FireWall : niveaux de confiance
Internet
DMZRéseau interne
RE16 28
FireWall : translation d’adresse NAT
• Comme certains routeurs, le FireWall utilise le NAT :– cette technique permet de « cacher » des adresses, généralement
privées derrière d’autres adresses publiques
– elle permet de donner une idée totalement fausse de l’architecture du réseau, vu de l’extérieur
– toutes les translations doivent être explicites, même pour les adresses qui ne doivent pas changer (translations blanches)
• Cette technique oblige toutes les communications à passer par le FireWall (initialisation, transmission et relâchement)
• Le FireWall peut ainsi vérifier « à la volée » que tous les paquets échangés sont conformes au dialogue
RE16 29
FireWall : translation d’adresse NAT
192.204.0.20
192.204.0.20
192.204.0.20
192.204.0.21
RE16 30
FireWall : translation de ports
• En plus de la translation d’adresses, un FireWall est susceptible de translater les ports :– les communications sortantes sont toutes translatées vers la même
adresse IP (quelle que soit la source)
– elles se verront attribuer un port client différent
• Cela permet de cacher de nombreux clients (voire tout un réseau) derrière une seule adresse !
• L’exploration de l’architecture du réseau devient alors impossible
RE16 31
FireWall : translation de ports
RE16 32
FireWall : ACLs
• Elles doivent être utilisées pour autoriser le trafic utile de l’extérieur vers la DMZ, et éventuellement de la DMZ vers l’intérieur
• Le fonctionnement est le même que pour un routeur
RE16 33
FireWall : exemple d’ACL
RE16 34
Firewall : exemple d’ACL
RE16 35
FireWall : serveur AAA
• A Authentication : détermine qui est le client• A Authorization : détermine ce que le client a la droit de faire• A Accounting : enregistre ce que le client a fait
• Cette procédure est facultative• Elle utilise un serveur d’authentification externe au FireWall
comme CSACS, TACACS+, Radius
RE16 36
FireWall : serveur AAA
RE16 37
Conclusion
Routeur Firewall
Position dans le réseau En interne A l’interface intérieur/extérieur
Routage Décliner l’architecture en réseaux / sous-réseaux
Relier Internet, DMZ et réseau interne
Filtrage Interdire les actions inutiles
Se prémunir des attaques et autres…
Translation Facultative Obligatoire !
Accès distant Possible, mais souvent compliqué
Facile et très sécurisé
IDS Possible, mais peu performant
Très performant
