Sécurité d'un point d'accès (Cisco)

Comment protéger de façon assez basique notre routeur servant de point d accès au WAN ?

Quelques exemple, attention lignes de commandes pour routeur Cisco !

Cette phase de configuration se fait a l aide de liste d accès  qui vont permettre de filtrer en grande majorité le trafic qui pourrait faire mal.

Nous allons dans un premier temps filtrer les @ IP spéciales définies dans les RFC 3330 et 1918.

access-list 109 deny ip host 0.0.0.0

access-list 109 deny 127.0.0.0 0.255.255.255 any

access-list 109 deny 192.0.2.0 0.0.0.255 any

access-list 109 deny 172.16.0.0 0.0.255.255 any

access-list 109 deny 192.168.0.0 0.0.255.255 any

access-list 109 deny 224.0.0.0 31.255.255.255 any

Voila qui est fait

Pour réduire les risques d attaques par IP spoofing, nous allons configurer une liste d'accès interdisant a notre @ de Lan d arriver cote WAN :

access-list 109 deny @ de Lan any

On peut terminer par configurer des listes d access qui vont droper les paquets fragmentes :

access-list 109 deny udp any @ de Lan fragments

access-list 109 deny tcp any @ de Lan fragments

access-list 109 deny icmp any @ de Lan fragments

Attention, certaines applications nécessitent et produisent de la fragmentation. Si celle ci est requise, une policy-map peut etre mise en place avec configuration d un rate-limit et d une action de drop.

Cela sera explique plus en détails dans l article concernant la protection de la control plane, qui devrait j espère sortir prochainement !

Voila pour les choses a interdire, ne pas oublier de spécifier un permit any any a la fin de la liste d accès pour laisser passer le restant du trafic.

On applique cette liste d accès coté Wan en IN et le tour est joué.

Quelques remarques :

Il est recommande quand on connait extrêmement bien son réseau de ne pas configurer de permit any any en fin de liste d accès mais de spécifier chaque protocole autorise.

Il peut être aussi bien vu de ne pas configurer de any en tant que destination mais de spécifier des adresses IP en fonction de l architecture du réseau. En cas de mise en place d un proxy par exemple.

L option Log peut être configurée a la fin de chaque liste d accès. Attention aux ressources processeurs ….. Les paquets ne sont plus alors gérés en cef mais en ef ce qui peut fortement faire prendre feu a votre processeur.

Néanmoins, les informations que peuvent faire remonter ces logs peuvent être tees utiles, il faut donc les utiliser avec parcimonie, d autant que bcp d entrées utilisent bcp de mémoires ….

Pour terminer cet article je dirais que cette conf est basique, oui, mais elle est essentielle. On peut et on se doit de la rendre plus fine en fonction de ses propres besoins. Avec la multiplication des applications permettant a n importe qui de lancer une attaque, même la plus basique des protections n'est pas à négliger.