GuiguiAbloc

Intégration d’un Firewall Vert

Je vous avez déjà parler des VLANs dans un billet précédent et pour la suite de cet article, je vais m’y attarder un peu plus.

Pour gérer et contrôler mes VLANs, je me sert bien évidemment de cette fonction sur le switch Cisco CATALYST.

La création se fait en deux lignes de commandes :

catalyst#vlan database

catalyst(vlan)#vlan 66 name mon-vlan
VLAN 66 added:
Name: mon-vlan

Apply et voila, le vlan est créé

Il ne reste plus qu’à l’affecter à un port physique :

catalyst#conf t
Enter configuration commands, one per line. End with CNTL/Z.
catalyst(config)#int f
catalyst(config)#int fastEthernet 0/1
catalyst(config-if)#switchport access vlan 66

Et c’est tout, le serveur/poste relié sur le port 1 du switch Catalyst sera dans le vlan 66.

C’est bien beau tout cela, mais ca ne fait pas grand chose, a part isoler vos réseaux LANs.

Nous allons donc rajouter un équipement supplémentaire qui fera office de routeur (et donc de passerelle pour chaque VLAN), mais également de Firewall Vert.

C’est à dire qu’il gèrera les accès entre les VLANs (un poste dans le vlan 2 voulant voir le site web du serveur dans le vlan 30) et également, fera office de firewall sortant (toutes les machines de mon LAN vers le méchant NainTernet).

L’équipement que j’ai choisi est le Cisco 2611 XM.

Toujours pour Elwina je l’ai acheté 180,00 euros + 17,00 euros de Frais de Port sur eBay.

N.B. : Si vous décidez d’achetez un routeur Cisco de la série 2600 (2610,2611, etc.), soyez attentif :

Tout vendeur sérieux affichera un « show version » du routeur qui vous donnera les informations nécessaires. Voila à quoi cela ressemble et les points qu’il faut surveiller (en gras) :

routeur#show version
Cisco IOS Software, C2600 Software (C2600-ADVENTERPRISEK9-M), Version 12.4(18), RELEASE SOFTWARE (fc1)

la version de l’IOS présent, je vous en reparlerais
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Fri 30-Nov-07 15:38 by prod_rel_team

ROM: System Bootstrap, Version 12.2(7r) [cmong 7r], RELEASE SOFTWARE (fc1)

routeur uptime is 6 weeks, 20 hours, 32 minutes
System returned to ROM by power-on
System restarted at 18:12:55 GMT+1 Mon Feb 25 2008
System image file is « flash:c2600-adventerprisek9-mz.124-18.bin »
L’emplacement et la version de l’IOS
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:

http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco 2611XM (MPC860P) processor (revision 1.0) with 127308K/3764K bytes of memory.

La quantité de RAM installée, si vous voulez utilisez les fonctions de cryptage, 128 Mo comme ici, est un minimum.
Processor board ID xxxxxxxxx
M860 processor: part number 5, mask 2
2 FastEthernet interfaces Le nombre et le type d’interface Réseau (fastEthernet = 100 Mbps, Ethernet = 10 Mbps)
1 Serial interface
32K bytes of NVRAM.
32768K bytes of processor board System flash (Read/Write)

La taille de la mémoire Flash, TRES IMPORTANT, pour un IOS décent, il vous faut au moins 16Mo (avec 8Mo vous aurez les fonctions de base IP), comptez 32 Mo comme ici pour un IOS avec fonctionnalités Firewall

Pour résumé, vérifier que votre interface (ou vos interfaces) réseau est en 100 mbps minimum, que la quantité de mémoire FLASH et RAM est suffisante pour pouvoir évoluer.

La mémoire pour routeur Cisco est assez chère donc prévoyez d’avance. De plus, une grande partie des routeurs 2600 vendus sur eBay n’ont que les fonctions basiques et ne dispose que de 8Mo de mémoire FLASH.

J’oubliez une autre chose TRES importante :

Un équipement CISCO comme le 2600 (ou même le Catalyst d’ailleurs) est très bruyant (grosse ventilation).

Je vous aurais prévenu

A suivre…

Nous avons donc notre accès Internet, représenté par une Freebox en mode routeur dont l’ip LAN sera dans mon exemple : 192.168.0.254

J’ai laissé le DHCP actif pour des raisons que nous verrons peut-être plus tard, et concernant les redirections des ports, pour le moment, ne touchons à rien, nous verrons cela quand les Firewalls Rouge seront prêts.

NB : Je dis « les » Firewalls Rouge car dans l’architecture que je vous présente, j’ai 2 firewalls en haute-disponibilité. Si l’un venait à tomber en panne, l’autre reprend la main dans la seconde qui suit.

Où je la branche ma Freebox ???

(non, non, je l’ai pas faite, même si j’y ai pensé très très fort )

Là je vous laisse 2 choix possible (je sais je suis magnanime…) :

- Relier la Freebox sur un HUB

Pas un switch hein

Vous trouverez des hubs 5 ou 8 ports chez n’importe quel broker informatique pour 5 euros, au pire, fouillez les poubelles des copains :-p.

Pourquoi un hub ? Tout simplement parce que dessus nous allons reliés les pattes rouges de nos 2 firewalls (voir plus bas), mais cela vous permet également d’y brancher votre sonde SNORT , et donc d’analyser le trafic entrant et sortant sur le Rouge.

Bien entendu, vous n’affecterez pas d’ip a la carte réseau de la sonde et vous ferez en sorte qu’elle ne réponde pas aux requètes ARP…

Ce qui nous donne le schéma suivant :

- Relier la Freebox sur un switch supportant les VLAN

C’est le choix que j’ai fait en achetant un switch Cisco 2924 XL chez Price Minister (pour Elwina qui me demande « combien ça coute ? » (ah les filles… ), je l’ai acheté 197,90 euros d’occasion ).

Avoir du matériel Cisco chez soi est un excellent apprentissage vu qu’il y a de fortes chances que vous retrouviez ce type d’équipement en entreprise. De plus, la puissance de l’ IOS n’est plus à démontrer.

Ce switch permet de gérer 4096 VLAN et possède également le mode SPAN, qui permet de « sniffer » sur une interface, tout ce qui transite sur les interfaces surveillées, idéal donc pour ma sonde réseau.

j’ai créer un VLAN dédié au Rouge dans lequel sont reliés :

la freebox

la patte rouge du firewall-rouge-A

la patte rouge du firewall-rouge-B

la sonde SNORT en mode SPAN sur les 3 interfaces précédentes.

Un petit schéma maison pour mieux comprendre :

Voilà pour aujourd’hui, en espérant avoir été assez clair , si ce n’est pas le cas, vous savez quoi faire

La prochaine fois, nous nous attaquerons à la réalisation de nos firewalls Rouge…

Un petit billet pour Alex qui m’a semblé bien perdu avec son nouveau joujou

Billet qui devrait aussi servir je pense à tous ceux qui un jour ou l’autre récupérerons un Cisco 2600 dont ils ignorent le mot de passe.

Voici la méthode donc pour réinitialiser le mot de passe :

Se connecter en mode console :

• 9600 baud

• No parity

• 8 data bits

• 1 stop bit

• No flow control

Le registre de configuration est assigné a la valeur 0×2102 par défaut A verifier par un show version (Configuration Register is 0×2102)

Envoyer un Break dans les 60 secondes après le démarrage électrique du Cisco

   rommon 1 > confreg 0x2142

   rommon 2 > reset

Le routeur reboot mais ignore la configuration

Répondre no a chaque question

   Router> enable

Copier la NVRAM en mémoire

   Router> copy stratup-config running-config

Faire un show running-config

   Router> configure terminal

Affecter le mot de passe “cisco”

   Router> enable secret cisco

   Router> ^Z

Faire un no shutdown” sur les interfaces a utiliser

Router> config-register 0×2102

Router> copy running-config startup-conf ou wr m

Et voila, vous pouvez vous authentifier avec le password « cisco » sur votre zoli routeur