Sminaire de formation SION SYSTEMES

SECURISATION DUN RESEAU DENTREPRISE ETAPE PAR ETAPE (NIVEAU 1)

Par BOKA NTAKPE ERNEST

Instructeur chez Sion Systmes Certifi CCNA, CEH, CEI, GSEC, GCIH

SOMMAIRE
Objectifs du sminaire A NOTIONS DE BASE Ncessit de scuris un rseau Prsentation de larchitecture Fonctionnalits des quipements Interfaces dadministrations (TP) B SECURITE DE lINFRASTRUCTURE Configuration des mots de passe Vrification de lIOS Dsactivation des services inutiles C- SECURITE DU RESEAU Les ACLs Port security

OBJECTIFS DU SEMINAIRE
Apprendre scuriser un rseau a partir avec un switch mangeable Apprendre scuriser un rseau a partir dun routeur Par ou commencer lorsque lon doit scuriser un rseau Que faire pour scuriser un rseau seulement avec un routeur et un switch Identifier quelques menaces rseaux Maitriser les notions de base des ACLs

A NOTIONS DE BASE

LA SECURITE RESEAU EN QUESTION

Quest ce que le scurit informatique ? Les domaines de linformatique scuriser Importance de la scurit rseau Quelles sont les Infrastructures et technologies ncessaires ? Routeur Switch Parefeu IPS VPN Cryptographie Control dacces

PRESENTATION DE LARCHITECTURE
Larchitecture Fonctionnalits des quipements Interfaces dadministrations Kits auditeurs Putty Filezilla client ou navigateur web Tftp server

INTERFACES DADMINISTRATION
Possibilit dadministrer un routeur via : Console Telnet Interface Web TP : Accder aux diffrentes interfaces du routeur

B SECURITE DE LINFRASTRUCTURE

ETAPES DE SECURISATION DES EQUIPEMENTS

Etape 1 : Mot de passe fort Mot de passe enable sionsystemes(config)#enable password sion (*$*z2;0=) sionsystemes(config)#enable secret sion1 (*$$*z2;0=) Mot de passe telnet sionsystemes(config)#line vty 0 60 sionsystemes(config-line)#password telnet Router(config-line)#login Mot de passe console sionsystemes(config)#line console 0 sionsystemes(config-line)#password console

ETAPES DE SECURISATION DES EQUIPEMENTS

Etape 1 : Mot de passe fort

ETAPES DE SECURISATION DES EQUIPEMENTS

Etape 1 : Mot de passe fort

ETAPES DE SECURISATION DES EQUIPEMENTS

Etape 2 : Canal scuris dadministration distante

ETAPES DE SECURISATION DES EQUIPEMENTS

Etape 2 : Canal scuris dadministration distante

ETAPES DE SECURISATION DES EQUIPEMENTS

Etape 2 : Canal scuris dadministration distante

ETAPES DE SECURISATION DES EQUIPEMENTS

Etape 2 : Canal scuris dadministration distante

ETAPES DE SECURISATION DES EQUIPEMENTS

Etape 3 : Vrification de vulnrabilits Utiliser la command show version Identifier la version de L IOS

Vrifier lexistence de vulnrabilits connues Mettre a jour votre IOS si neccessaire

ETAPES DE SECURISATION DES EQUIPEMENTS

Etape 4 : Sauvegarde des fichiers de configuration

Etape 4 : Sauvegarde de lIOS

ETAPES DE SECURISATION DES EQUIPEMENTS

Etape 5 : Dsactivation des services inutiles

ETAPES DE SECURISATION DES EQUIPEMENTS

Etape 5 : Dsactivation des services inutiles

ETAPES DE SECURISATION DES EQUIPEMENTS

Etape 5 : Dsactivation des services inutiles

ETAPES DE SECURISATION DES EQUIPEMENTS

Etape 5 : Dsactivation des services inutiles CDP : protocole proprietaire Cisco utilis pour identifier dautres equipements Cisco dans le LAN

ETAPES DE SECURISATION DES EQUIPEMENTS

Etape 5 : Dsactivation des services inutiles Finger : service permettant didentifier les utilisateur connecte a un equipement

ETAPES DE SECURISATION DES EQUIPEMENTS

Etape 5 : Dsactivation des services inutiles Bootp server: service permettant a des ordinateurs distants de dmarrer leur systme a partir ddu systme sur lequel est active ce service

ETAPES DE SECURISATION DES EQUIPEMENTS

Etape 5 : Dsactivation des services inutiles Auto loading: les routeurs Cisco sont capables de dmarrer leur IOS a partir de la mmoire locale ou du rseau. Charger lIOD a partir du rseau nest pas prudent sauve dans un environnement sain alors

ETAPES DE SECURISATION DES EQUIPEMENTS

Attention : appliquer cette dmarche sur touts les quipements rseaux Exemple : Routeur Switch Firewall Dtecteur dintrusion Point dacces Ordinateur de bureau Laptop Serveur

C SECURITE DU RESEAU

Bases des ACL Objet Types Schmas du principe La logique Standard IP ACLs Exemple 1 : stopper tous les paquets dIP source 192.168.2.10 Exemple 2 : bloquer ou interdire tous le trafic du rseau 192.168.2.0 Exemple 3 : autoriser le traffic de 192.168.1.10 destination du rseau 192.168.3.1 Avec le routeur Etape 1 : Protection contre IP adress Spoffing Etape 2 : Protection contre TCP SYN Attack Etape 3 : Protection contre Land Attack Etape 4 : Protection contre Smurf Attack Etape 5 : Protection contre le DDoS Avec le Switch Etape 1 : CAM manipulation Attack Etape 2 : ARP spoofing Attack Etape 3 : Port security

ETAPES DE SECURISATION DU RESEAU

ETAPES DE SECURISATION DU RESEAU Base des ACLs

Objet Les ACLs (Access Control Lists) permettent de filtrer des packets suivant des criteres definis par lutilisateur. Sur des packets IP, il est possible de filtrer les paquets entrants ou sortants dun routeur en fonction. De lip source De lip destination Du protocole

ETAPES DE SECURISATION DU RESEAU Base des ACLs

Types Il existe deux types dACLs :

Standard : filtrage uniquement sur les ip source Etendue : sur presque tous les champs des enttes IP, TCP et UDP

ETAPES DE SECURISATION DU RESEAU Base des ACLs

La logique Il est possible de rsumer le fonctionnement des ACLs de faon suivante: Le paquet est vrifi par rapport au 1er critre dfini Sil vrifie le critre , laction dfinie est applique Sinon le paquet est compar successivement par rapport aux ACL suivants Sil ne satisfait aucun critre, laction denyest applique Les critres sont dfinit sur les informations contenues dans les enttes IP, TCP ou UDP Des masques ont t dfini pour pouvoir identifier une ou plusieurs adresses IP en une seule dfinition Ce masque dfini la portion de ladresse IP qui doit tre examine 0.0.255.255 signifie que seuls les 2 premiers octets doivent tre examins Deny 10.1.3.0 0.0.0.255 signifie refus de toutes les IP commenant par 10.1.3

ETAPES DE SECURISATION DU RESEAU Base des ACLs

Standard IP ACLs Fonctionnement des ACL Test des rgles les unes aprs les autres Si aucune rgle n'est applicable, rejet du paquet Dfinition d'une rgle access-list number [deny|permit] source [source-wildcard] Number compris entre 1 et 99 ou entre 1300 et 1999 access-list number remark test Activation d'une ACL sur une interface ip access-group [ number | name [ in | out ] ] Visualiser les ACL show access-lists [ number | name ] : touteslesACLquelquesoitl'interface show ip access-lists [ number | name ] : lesACLuniquementlisau protocole IP

ETAPES DE SECURISATION DU RESEAU Standard ACLs Exemple 1

Exemple 1 : stopper tous les paquets dip source 192.168.2.10 sur linterface e0 en sortie interface Ethernet0 ip address 192.168.1.1 255.255.255.0 ip access-group 1 out

access-list 1 remark stop tous les paquets d'IP source 192.168.2.10 access-list 1 deny 192.168.2.10 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255

access-list1deny192.168.2.10 0.0.0.0 Refuse les paquets d'IP source 192.168.2.10 Le masque (galement appel wildcard mask) signifie ici que tous les bits de l'adresse IP sont significatifs access-list1permit0.0.0.0 255.255.255.255 Tous les paquets IP sont autoriss Le masque 255.255.255.255 signifie qu'aucun bit n'est significatif

ETAPES DE SECURISATION DU RESEAU Standard ACLs Exemple 2

Exemple 2 : stopper tous les paquets du rseau 192.168.2.0 sur linterface e0 en sortie interface Ethernet0 ip address 192.168.1.1 255.255.255.0 ip access-group 1 out

access-list 1 remark stop tous les paquets d'IP source 192.168.2.0 access-list 1 deny 192.168.2.0 0.0.0.255

ETAPES DE SECURISATION DU RESEAU Extented ACLs Exemple 3

Exemple 3 : autoriser le trafic de 192.168.1.10 destination du host 192.168.3.1 du rseau 192.168.3.0 A traiter par les auditeurs

ETAPES DE SECURISATION DU RESEAU Avec le Routeur

Les exemples suivants illustrent les mthodes pour protger le routeur ou le rseau interne contre les attaques. Remarque: ces exemples distincts ne devraient pas tre combins dans une seule liste d'accs parce que le rsultat serait contradictoire Les recommandations de filtrage dans cette sous-section sont applicables aux routeurs de bordure et les routeurs intrieurs. Avec les routeurs backbone, il n'est pas toujours possible de dfinir des entrants ou sortants.

Rappel architecture

192.168.1.0/24

192.168.2.0/24

ETAPES DE SECURISATION DU RESEAU Avec le Routeur

Etape 1 : Protection contre IP adress Spoffing du trafic entrant (inbound trafic) Ne laissez pas : n'importe quel paquet IP entrant qui contient comme adresse ip source une adresse IP du rseau interne (par exemple, 192.168.2.0), toute adresse de l'hte local (127.0.0.0 / 8), ou toutes les adresses rserves prives (voir RFC 1918) dans le domaine source. En outre, si votre rseau n'a pas besoin de trafic multicast, bloquer la plage d'adresses IP multicast (224.0.0.0 / 8). Appliquer cette liste d'accs l'interface externe du routeur.

ETAPES DE SECURISATION DU RESEAU Avec le Routeur

sionsystemes(config)# no access-list 100 sionsystemes(config)# access-list 100 deny ip 192.168.2.0 0.0.0.255 any log sionsystemes(config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any log sionsystemes(config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any log sionsystemes(config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any log sionsystemes(config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any log sionsystemes(config)# access-list 100 deny ip 224.0.0.0 0.255.255.255 any log sionsystemes(config)# access-list 100 permit ip any 14.2.6.0 0.0.0.255 sionsystemes(config)# access-list 100 deny ip any any log sionsystemes(config)# interface eth0 sionsystemes(config-if)# description External interface to 192.168.1.0/24 net sionsystemes(config-if)# ip address 192.168.1.1 255.255.255.0 sionsystemes(config-if)# ip access-group 100 in sionsystemes(config-if)# exit sionsystemes(config)# interface eth1 sionsystemes(config-if)# description Internal interface to 192.168.2.0/24 net sionsystemes(config-if)# ip address 192.168.2.1 255.255.255.0 sionsystemes(config-if)# end

ETAPES DE SECURISATION DU RESEAU Avec le Routeur

Etape 1 : Protection contre IP adress Spoofing du trafic sortant (outbound trafic) Ne laissez pas : n'importe quel paquet IP sortante qui contenant une adresse IP autre que une adresse interne valide dans le champ source Appliquer cette ACLs linterface interne du routeur

ETAPES DE SECURISATION DU RESEAU Avec le Routeur

sionsystemes(config)# no access-list 102 sionsystemes(config)# access-list 102 permit ip 192.168.2.0 0.0.0.255 any sionsystemes(config)# access-list 102 deny ip any any log sionsystemes(config)# interface eth 1 sionsystemes(config-if)# description "internal interface" sionsystemes(config-if)# ip address 192.168.2.1 255.255.255.0 sionsystemes(config-if)# ip access-group 102 in

ETAPES DE SECURISATION DU RESEAU Avec le Routeur

Etape 2 : Protection contre TCP SYN Accs externe bloqu Les rgles de liste d'accs indiques ci-dessous permet de bloquer les paquets partir d'un rseau externe qui ont seulement le drapeau SYN. Ainsi, il permet la circulation de connexions TCP qui ont t tablies partir du rseau interne, et il nie toute personne venant de n'importe quel rseau externe de dmarrer une connexion TCP.

ETAPES DE SECURISATION DU RESEAU Avec le Routeur

Etape 2 : Protection contre TCP SYN

sionsystemes(config)# access-list 106 permit tcp any 192.168.2.0 0.0.0.255 established sionsystemes(config)# access-list 106 deny ip any any log sionsystemes(config)# interface eth 0 sionsystemes(config-if)# description External interface sionsystemes(config-if)# ip access-group 106 in

ETAPES DE SECURISATION DU RESEAU Avec le Routeur

Etape 3 : Protection contre Land Attack Le Land Attack consiste envoyer un paquet au routeur avec la mme adresse IP dans la source et les champs d'adresse de destination et avec le mme numro de port dans le port source et les champs de port de destination. Cette attaque peut provoquer un dni de service ou de dgrader les performances du routeur. L'exemple ci-dessous montre la faon de prvenir cette attaque.

ETAPES DE SECURISATION DU RESEAU Avec le Routeur

Etape 3 : Protection contre Land Attack sionsystemes(config)# access-list 103 deny ip host 192.168.1.1 host 192.168.1.1 log sionsystemes(config)# access-list 103 permit ip any any sionsystemes(config)# interface eth0 sionsystemes(config-if)# description External interface to 192.168.1.0/24 sionsystemes(config-if)# ip address 192.168.1.1 255.255.255.0 sionsystemes(config-if)# ip access-group 103 in sionsystemes(config-if)# exit

ETAPES DE SECURISATION DU RESEAU Avec le Routeur

Etape 4 : Protection contre Smurf attack Le Smurf Attack consiste envoyer une grande quantit de paquets ICMP Echo l'adresse de diffusion d'un sous-rseau avec une adresse IP source usurpe de ce sous-rseau. Si un routeur est bien place pour diffuser des requtes de l'avant d'autres routeurs sur le rseau protg, alors le routeur doit tre configur pour empcher cette transmission ne se produise. Ce blocage peut tre ralis en refusant les paquets destins des adresses de diffusion. Les dclarations ci-dessous par exemple bloquer tout le trafic IP partir de n'importe quel hte extrieur pour les adresses de diffusion possibles (192.168.2.255 et 192.168.2.0) pour le rseau 192.168.2.0/24.

ETAPES DE SECURISATION DU RESEAU Avec le Routeur

Etape 4 : Protection contre Smurf attack sionsystemes(config)# access-list 110 deny ip any host 192.168.2.255 log sionsystemes(config)# access-list 110 deny ip any host 192.168.2.0 log sionsystemes(config)# interface interface eth0 sionsystemes(config-if)# ip access-group 110 in sionsystems(config-if)# exit

ETAPES DE SECURISATION DU RESEAU Avec le Routeur

Etape 5 : Protection contre DDoS Plusieurs grandes attaques DDoS ont t observes sur l'Internet. Alors que les routeurs ne peuvent pas empcher les attaques DDoS en gnral, il est gnralement pratique de dcourager les activits des agents DDoS spcifiques (aka zombies) en ajoutant des rgles de liste d'accs qui bloquent leurs ports particuliers. L'exemple ci-dessous montre les rgles de liste d'accs pour bloquer plusieurs outils populaires attaque DDoS. [Notez que ces rgles pourraient galement imposer un lger impact sur les utilisateurs normaux, parce qu'ils bloquent les ports que les clients du rseau lgitimes peuvent choisir au hasard. Vous pouvez choisir d'appliquer ces rgles seulement quand une attaque a t dtecte. Sinon, ils seraient appliqus la circulation dans les deux sens entre un rseau de confiance et un rseau non scuris.]

ETAPES DE SECURISATION DU RESEAU Avec le Routeur

Etape 5 : Protection contre DDoS ! the TRINOO DDoS systems access-list 170 deny tcp any any eq 27665 log access-list 170 deny udp any any eq 31335 log access-list 170 deny udp any any eq 27444 log ! the Stacheldraht DDoS system access-list 170 deny tcp any any eq 16660 log access-list 170 deny tcp any any eq 65000 log ! the TrinityV3 system access-list 170 deny tcp any any eq 33270 log access-list 170 deny tcp any any eq 39168 log ! the Subseven DDoS system and some variants access-list 170 deny tcp any any range 6711 6712 log access-list 170 deny tcp any any eq 6776 log access-list 170 deny tcp any any eq 6669 log access-list 170 deny tcp any any eq 2222 log access-list 170 deny tcp any any eq 7000 log

ETAPES DE SECURISATION DU RESEAU Avec le Switch

Etape 1 : CAM manipulation Attack Les Catalyst de Cisco utilisent la CAM pour sauvegarder des informations (Port et MAC) permettant la commutation dans le LAN.

ETAPES DE SECURISATION DU RESEAU Avec le Switch

Etape 1 : CAM manipulation Attack Si la hacker rempli le contenu de la table CAM dans ce cas le switch se comporte comme un hub avec comme consquence principale l acces au trafic confidentiel par le hacker entre PC1 et PC 2.

ETAPES DE SECURISATION DU RESEAU Avec le Switch

Etape 1 : CAM manipulation Attack cette attaque est possible en utilisant loutil macof. Outil capable de generer 155 000 fausse adresse MAC a la minute. Comment se protger ?

ETAPES DE SECURISATION DU RESEAU Avec le Switch

Etape 2 : MAC spoofing Attack

ETAPES DE SECURISATION DU RESEAU Avec le Switch

Etape 2 : MAC spoofing Attack

ETAPES DE SECURISATION DU RESEAU Avec le Switch

Etape 2 : MAC spoofing Attack

ETAPES DE SECURISATION DU RESEAU Avec le Switch

Etape 3 : Port Security La technologie port Security de Cisco est une solution ces attaques

REMERCIEMENTS

&hl=fr&pid=bl&srcid=ADGEESg9K35__QdnogsjyyCmDqMQHxnlNODGoIk9rNhHlhmwpTO

ranslate?hl=fr&langpair=en|fr&u=http://www.debianadmin.com/securing-cisco-routers-by-dis

o&hl=fr&pid=bl&srcid=ADGEESgir6o7iazACX4iaThGBLpGUKKkq-PpCx1qaNeHq-sfP1smn