Comment protéger de façon assez basique
notre routeur servant de point d accès au WAN ?
Quelques exemple, attention lignes de commandes pour routeur Cisco !
Cette phase de configuration se fait a
l aide de liste d accès qui vont permettre de filtrer en grande majorité le trafic qui pourrait faire mal.
Nous allons dans un premier temps
filtrer les @ IP spéciales définies dans les RFC 3330 et 1918.
access-list 109 deny ip host 0.0.0.0
access-list 109 deny 127.0.0.0
0.255.255.255 any
access-list 109 deny 192.0.2.0
0.0.0.255 any
access-list 109 deny 172.16.0.0
0.0.255.255 any
access-list 109 deny 192.168.0.0
0.0.255.255 any
access-list 109 deny 224.0.0.0
31.255.255.255 any
Voila qui est fait
Pour réduire les risques d attaques par
IP spoofing, nous allons configurer une liste d'accès interdisant a
notre @ de Lan d arriver cote WAN :
access-list 109 deny @ de Lan any
On peut terminer par configurer des
listes d access qui vont droper les paquets fragmentes :
access-list 109 deny udp any @ de Lan
fragments
access-list 109 deny tcp any @ de Lan
fragments
access-list 109 deny icmp any @ de Lan
fragments
Attention, certaines applications nécessitent et produisent de la fragmentation. Si celle ci est
requise, une policy-map peut etre mise en place avec configuration d
un rate-limit et d une action de drop.
Cela sera explique plus en détails dans
l article concernant la protection de la control plane, qui devrait j
espère sortir prochainement !
Voila pour les choses a interdire, ne
pas oublier de spécifier un permit any any a la fin de la liste d
accès pour laisser passer le restant du trafic.
On applique cette liste d accès coté Wan en IN et le tour est joué.
Quelques remarques :
Il est recommande quand on connait extrêmement bien son réseau de ne pas configurer de permit any any en
fin de liste d accès mais de spécifier chaque protocole autorise.
Il peut être aussi bien vu de ne pas
configurer de any en tant que destination mais de spécifier des
adresses IP en fonction de l architecture du réseau. En cas de mise
en place d un proxy par exemple.
L option Log peut être configurée a la
fin de chaque liste d accès. Attention aux ressources processeurs
….. Les paquets ne sont plus alors gérés en cef mais en ef ce qui
peut fortement faire prendre feu a votre processeur.
Néanmoins, les informations que peuvent
faire remonter ces logs peuvent être tees utiles, il faut donc les
utiliser avec parcimonie, d autant que bcp d entrées utilisent bcp de mémoires ….
Pour terminer cet article je dirais que
cette conf est basique, oui, mais elle est essentielle. On peut et on
se doit de la rendre plus fine en fonction de ses propres besoins.
Avec la multiplication des applications permettant a n importe qui de
lancer une attaque, même la plus basique des protections n'est pas à négliger.
Aucun commentaire:
Enregistrer un commentaire