Julien BourgeoisProfesseur des Universités - Département R&T
IUT Belfort-Montbéliard - Francetél : 03 81 99 47 75
e-mail : [email protected]
Network Intrusion Detection de Stephen Northcutt et Judy Novak, New riders
www.cert.org www.securityfocus.com Hardening Cisco Routers, Thomas Akin,
O’Reilly Stratégie Anti-hacker Designing Network Security, Merike Kaeo,
Cisco Press MISC Renaud bidou, « Security training »
2
Restons modestes :◦ Sécurité est un sujet énorme◦ Impossible à aborder en un cours◦ Complexe car connaissance très pointue dans
différents domaines Réseau
Administration
Cryptographie
…
3
Sécuriser un réseau◦ Sécuriser les locaux
◦ Sécuriser les postes de travail
◦ Sécuriser les serveurs
◦ Sécuriser les applications
◦ Sécuriser l’accès internet
◦ Sécuriser l’accès distant
◦ Sensibilisation des personnels
4
Définir une politique de sécurité
Se donner les moyens de l’appliquer :◦ Techniques
◦ Humains
◦ Organisationnels
5
Objectifs de ce cours
Principes de sécurité
Sécurisation de l’accès Internet
La translation d’adresses
Le filtrage
Les serveurs AAA
Les réseaux publiques virtuels (VPN)
Conclusion
6
Sécurité = contraintes
Concertation avec les employés
Evaluation des risques
Apporter des réponses à la mesure des risques
Définir une politique de sécurité
La sécurité est un processus continu
7
8
Politique
De
Sécurité
Sécuriser
Superviser
Tester
Améliorer
Routeur filtrant
Firewall ou garde-barrière ou pare-feu
Dispositif de détection d’intrusions (IDS)
Dispositif de prévention d’intrusions (IPS)
Serveur AAA
Serveur de log
9
1969 : Naissance d’internet
1970 : Naissance du phreaking (Captain Crunch)
1983 : Première arrestation du FBI pour cybercrime, les 414s
1983 : Début de renforcement des lois US
1986 : 500 réseaux sont connectés, premier vaste incident de sécurité identifié par Cliff Stoll
1988 : The Morris Worm -> 10% des ordinateurs US sont stoppés en même temps, c’est le premier vers
10
1988 : Création du CERT CC et de FIRST
1989 : Diffusion du vers WANK/OILZ
1994 : Premier logiciel de sniffing
1995 : Arrestation de Kevin Mitnick par le FBI◦ 5 années de prison dont 4 et ½ en isolement
1998 : CIH (Chen Ing Hau) se répand en vidant la mémoire flash des ordinateurs
1998 : Hao Jinglong et Hao Jingwen dérobent$87.000 à une banque -> condamnés à mort
11
2000 : Mafiaboy rend inaccessible Yahoo, eBay, Amazon.com, CNN et d’autres -> 8 mois de détention
19/07/2001 : Code Red II, infecte 359.000 serveurs dans le monde en moins de 14h
12
2000 : Mafiaboy rend inaccessible Yahoo, eBay, Amazon.com, CNN et d’autres -> 8 mois de détention
19/07/2001 : Code Red II, infecte 359.000 serveurs dans le monde en moins de 14h
13
14
1. Newbies : Peu de connaissances techniques.
2. Lamers : Newbies ayant trouvé quelques outils et qui les utilisent. Pensent être des hackers.Ennuyeux
3. Script kiddies : Sont capables d’utiliser des attaques automatiques. Dangereux quand les attaques sont à jour.
4. Hackers : Création d’attaques basées sur leurconnaissances. Très dangereux.
5. Gurus : Développent de nouvelles techniques d’intrusion. Mortels.
15
1. Hacking : Intrusion des réseaux et des systèmes (DoS, social engineering, virus, vers, malwares, backdoors etc. )
2. Phreaking / Boxing : Hacking des lignes téléphoniques.
3. Cracking : Piratage de logiciels (reverse engineering, warez)
4. Carding : Piratage de cartes à puces (cartes de crédit, téléphone, TV, etc.)
Communauté électronique◦ Création de groupes avec les BBS (the inner circle, l0pht
heavy industry, hack4girlz, Theso …)◦ Magazines (phrack + magazines éphémères…)◦ Mailing Lists (bugtraq, …)
Lieux de rencontre◦ Cons (DefCon, HoHoCon, PumpCon…)◦ Autres conférences (CCC Camp, HAL, BlackHat, PH-
Neutral …)
Pas de chefs mais des gourous◦ Issus du passé : Aleph One, Wietse Venema, Steve
Bellovin, Alec Muffet◦ Nouvelle génération : Fyodor, Ron Gula, The Hobbit,
Renaud Deraison, Mudge
16
Objectifs de ce cours
Principes de sécurité
Sécurisation de l’accès Internet
La translation d’adresses
Le filtrage
Les serveurs AAA
Les réseaux publiques virtuels (VPN)
17
Principal moyen de connexion avec l’extérieur Protection des systèmes informatiques contre
ces personnes
Evaluation difficile du nombre d’intrusions◦ Intrusions parfois non détectées
◦ Réticence des entreprises et administrations
18
19
0
1000
2000
3000
4000
5000
6000
7000
8000
9000
1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008
Vulnérabilités reportées et cataloguées par le CERT CC :
20
0
20000
40000
60000
80000
100000
120000
140000
160000
Incidents rapportés au CERT CC :
Attaques non-structurées
◦ Premiers essais de scripts kiddies
Attaques structurées
◦ Mise en œuvre de schémas complexes d’attaque
Attaques externes
◦ Par le biais d’internet
Attaques internes
◦ Avec des complicités internes ou depuis l’interieurdu réseau
21
Reconnaissance◦ Découverte, cartographie du réseau (systèmes,
services et vulnérabilités)
Accès à des ressources◦ Attaque afin d’obtenir des données ou de prendre
le contrôle d’un système.
Déni de service (Denial of Service, DoS)◦ Attaque endommageant le fonctionnement d’un
service proposé.
22
Vol, destruction ou corruption d'information
Déni de service
Mascarade d'identité
Rebonds
Utilisation frauduleuse de ressources
23
Dénis de service (DoS, Denial of Service)◦ Objectif : arrêt total ou partiel d’un service
◦ Différentes méthodes Exploitation d’une faille structurelle
Consommation de ressources
◦ Conséquences Perte de production
Dégradation d’image
Peut être utilisée dans le cadre d’attaques plus complexes
24
Prise de contrôle des systèmes◦ Objectif : gain de la maîtrise du système
◦ Méthodes Utilisation d’un accès utilisateur mal protégé
Exploitation de failles structurelles
Exploitation d’erreurs de programmation
Augmentation des privilèges
◦ Conséquences Dénis de service
Perte de confidentialité
Utilisation du système pour un « rebond »
25
Conséquences importantes◦ Vol de logiciels (IDSoftware, Valve)
◦ Vol de données (Valéo, Ghostnet, Greenpeace/EDF)
◦ Sites down (Yahoo, eBay, …)
◦ Utilisation de comptes bancaires
Conséquences limitées◦ Perte de ressource (Serveur pirate)
◦ Reconfiguration de matériel
◦ Utilisation de PC Zombie (Jeanson Ancheta)
400 000 PC, 5 ans prison, 3 ans liberté surveillée, 75 000 $
Réputation et image de marque◦ Perte de confiance (Microsoft)
26
Terminologie◦ Garde-barrière, firewall ou pare-feu
Sans firewall◦ Chaque machine a accès à toutes les machines
connectées et réciproquement
Avec firewall :◦ Point de passage obligé entre le réseau interne et
Internet
27
Dans la vie réelle◦ Un “firewall” (coupe-feu) est un matériau ignifugé
placé de manière à empêcher la propagation du feud’une partie à l’autre d’un bâtiment.
En réseau◦ C’est un appareil ou un groupe d’appareils qui
renforce le contrôle des paquets passante entre plusieurs réseaux
28
Tracer et auditer le trafic entre le réseau interne et le réseau externe
Contrôler ce même trafic
Faciliter l'administration en regroupant les opérations de surveillance et de contrôle
Contrôle des messages entrants (Spamming, virus)
29
Routeur filtrant
Firewall ou garde-barrière ou pare-feu (peut-être un routeur)
Dispositif de détection d’intrusions (IDS)
Serveur AAA
Serveur de log
30
Cisco PIX (501, 506E, 515E, 525 et 535) Checkpoint Firewall-1 Arkoon (A20, A200, A2000) Juniper (NetScreen, SSG) ZyXEL (ZyWALL) OpenBSD/Linux et netfilter
◦ Distrib spécialisée : SmoothWall, Endian, Pfsense, IPCop
… Ce sont des firewalls réseau, à ne pas
confondre avec les firewalls personnels !!!
31
Firewall à 2 interfaces (pas de DMZ)◦ Inside et outside
Sécurisation par niveaux de sécurité◦ Inside 100 et outside 0
Possibilité de VPN
Filtrage stateful
32
Mettre une adresse IP (pas de menu interface)
ip address nomInterface @IP netmask
Attention le PIX :◦ Ne répond pas au ping
◦ Ne laisse rien passer par défaut
33
34
Internet
Interface outside
Niveau de sécurité 0
Interface dmz1
Niveau de sécurité 50
Réseau local
Une connexion est autorisé si elle commence d’un niveau de
sécurité supérieur vers un niveau de sécurité inférieur
DMZ
Interface inside
Niveau de sécurité 100
Affichage de l’état de vos interfaces ◦ show interface
Affichage de tous les paquets ICMP ◦ debug icmp trace
Sniffeur intégré◦ capture nom_capture [access-list acl_name] [interface name]
◦ show capture nom_capture
Pour pinger l'interface interne :◦ management-access inside
◦ show management-access
35
Filtrage des paquets◦ Simple : Limite les échanges en se servant
d’informations statiques
◦ Stateful : Utilise pleinement les informations de connexions
Proxy◦ Intermédiaire de connexion entre le réseau privé et
internet
36
Routeur avec filtrage des paquets niveau 3
Filtrage des adresses suspectes
Filtrage de certains protocoles
Filtrage sur les destinations
37
DMZ
FTP
HTTP
Internet
Routeur avec filtrage niveau 3 et 4
Information de session
Risque de surcharge du routeur
38
DMZ
FTP
HTTP
Internet
Firewall avec filtrage niveau 3 et 4
Information de session
Risque de surcharge du firewall
Solution équivalente à un routeur
39
DMZ
FTP
HTTP
Internet
Routeur avec filtrage niveau 3 et 4
Firewall avec filtrage applicatif
Pas d’authentification forte
Pas de filtrage sélectif
Pas d’IDS, pas de log
40
DMZ
FTP
HTTP
Internet
Routeur avec filtrage niveau 3 et 4
Firewall avec filtrage stateful
Authentification
Filtrage sélectif
Détection des intrusions
41
DMZ
FTP
HTTP
Internet
IDS
AAA
Routeur avec filtrage niveau 3 et 4
Firewall UTM◦ Anti-virus◦ Anti-spam◦ Filtrage URL◦ IDS◦ VPN
Authentification Filtrage sélectif Détection des intrusions
42
DMZ
FTP
HTTP
Internet
IDS
AAA
Objectifs de ce cours
Principes de sécurité
Sécurisation de l’accès Internet
La translation d’adresses
Le filtrage
Les serveurs AAA
Les réseaux publiques virtuels (VPN)
43
Adresses privées -> adresses publiques
Double objectif :◦ Protéger certaines machines
◦ Mais aussi économiser des IP publiques !
Protection car machines inaccessibles depuis l'extérieur directement
Economie car ces machines n'ont pas d'adresses publiques
44
NAT : Network Address Translation
NAT statique◦ Correspondance entre 1@ privée et 1@ publique
(serveurs)
Translation d'adresses dynamique◦ les @ publiques sont attribuées à la demande
(clients)
Par rapport à un pool d’adresses
Par rapport à un pool de ports (PAT)
Présence d’une table de correspondance
45
46
InternetRéseau local : adressage privé
192.168.100.0/24
DMZ : adressage privé
192.168.101.0/24Internet : adressage public
Entreprise dispose de 205.54.12.32/27
Table de translation
IP publiques
205.54.12.33
IP privées
192.168.100.1
Adresse source :
64.233.183.99
Adresse destination :
192.168.101.1
Port source :
52124
Port destination :
80
Adresse source :
64.233.183.99
Adresse destination :
205.54.12.33
Port source :
52124
Port destination :
80
Commande PIX static [(internal_if_name, external_if_name)]
{global_ip | interface} local_ip
Exemple du cas précédent static (inside, outside) 205.54.12.33 192.168.101.1
Créé une correspondance entre une adresse publique et une adresse privée
Attention, il faut filtrer les accès à cette adresse !
47
48
Internet
Internet : adressage public
Entreprise dispose de 205.54.12.32/27
Le NAT utilise .34 -> .40
Réseau local : adressage privé
192.168.100.0/24
Table de translation
IP publiques IP privées
64.233.183.99192.168.100.1
49
Internet
Internet : adressage public
Entreprise dispose de 205.54.12.32/27
Le NAT utilise .34 -> .40
Réseau local : adressage privé
192.168.100.0/24
Adresse source :
192.168.100.1
Adresse destination :
64.233.183.99
Port source :
35020
Port destination :
80
Adresse source :
205.54.12.34
Adresse destination :
64.233.183.99
Port source :
35020
Port destination :
80
Table de translation
IP publiques
205.54.12.34
IP privées
192.168.100.1
50
Internet
Internet : adressage public
Entreprise dispose de 205.54.12.32/27
Le NAT utilise .34 -> .40
Réseau local : adressage privé
192.168.100.0/24
Adresse source :
64.233.183.99
Adresse destination :
192.168.100.1
Port source :
52124
Port destination :
35020
Adresse source :
64.233.183.99
Adresse destination :
205.54.12.34
Port source :
52124
Port destination :
35020
Table de translation
IP publiques
205.54.12.34
IP privées
192.168.100.1
Autoriser l’accès au NAT nat [(if_name)] nat_id local_ip
Interdire l’accès au NAT nat [(if_name)] 0 [access-list acl_id ]
Définir les adresses à utiliser pour sortir global [(if_name)] nat_id global_ip-global_ip
[netmask global_mask]
51
Exemple précédent :
Autoriser l’accès au NAT nat (inside) 5 0 0
Définir les adresses à utiliser pour sortir global (outside) 5 205.54.12.34-205.54.12.40
netmask 255.255.255.224
52
53
Internet
Internet : adressage public
Entreprise dispose d’une adresse :
205.54.12.41
Réseau local : adressage privé
192.168.100.0/24
Table de translation
IP publiques IP privées
64.233.183.99192.168.100.1
54
Internet
Réseau local : adressage privé
192.168.100.0/24
Adresse source :
192.168.100.1
Adresse destination :
64.233.183.99
Port source :
35020
Port destination :
80
Adresse source :
205.54.12.41
Adresse destination :
64.233.183.99
Port source :
2500
Port destination :
80
Table de translation
IP publiques
205.54.12.41
:2500
IP privées
192.168.100.1
:35020
Internet : adressage public
Entreprise dispose d’une adresse :
205.54.12.41
55
Internet
Internet : adressage public
Entreprise dispose de 205.54.12.32/27
Réseau local : adressage privé
192.168.100.0/24
Adresse source :
64.233.183.99
Adresse destination :
192.168.100.1
Port source :
52124
Port destination :
35020
Adresse source :
64.233.183.99
Adresse destination :
205.54.12.41
Port source :
52124
Port destination :
2500
Table de translation
IP publiques
205.54.12.41
:2500
IP privées
192.168.100.1
:35020
Exemple précédent :
Autoriser l’accès au NAT (si pas déjà fait) nat (inside) 5 0 0
Définir l’adresse à utiliser pour le PAT global (outside) 5 205.54.12.41 netmask
255.255.255.224
Ou utiliser l’adresse de l’interface global (outside) 5 interface
56
57
Internet
Internet : adressage public
Entreprise dispose d’une adresse :
205.54.12.33
Réseau local : adressage privé
192.168.100.0/24
Table de translation
64.233.183.99192.168.100.1
IP publiques
205.54.12.33
:4662
IP privées
192.168.100.1
:4662
58
Internet
Internet : adressage public
Entreprise dispose de 205.54.12.32/27
Réseau local : adressage privé
192.168.100.0/24
Adresse source :
64.233.183.99
Adresse destination :
192.168.100.1
Port source :
52124
Port destination :
4662
Adresse source :
64.233.183.99
Adresse destination :
205.54.12.33
Port source :
52124
Port destination :
4662
Table de translation
IP publiques
205.54.12.33
:4662
IP privées
192.168.100.1
:4662
Permet d’utiliser un serveur sans faire une translation complète
Sécurise mieux votre machine◦ Car un seul port est accessible
◦ Pas besoin d’ACL supplémentaires
59
show static◦ Affiche les translations statiques
show xlate◦ Affiche la table de correspondance
show xlate detail◦ Affiche la table de correspondance en détail
show xlate debug
60
Restreint la visibilité vis à vis de l'extérieur◦ Sauf pour le statique (NAT ou PAT)
◦ Sauf pour le dynamique
Sans effet pour une attaque interne
Permet en même temps d'économiser des adresses IP
61
62
Internetadressage
public
Réseau local en
adressage privé
192.168.100.0/24
Réseau local en
adressage privé
192.168.100.0/24
Objectifs de ce cours
Principes de sécurité
Sécurisation de l’accès Internet
La translation d’adresses
Le filtrage
Les serveurs AAA
Les réseaux publiques virtuels (VPN)
63
64
==Si
alors…
Cet immeuble a 65535 portes
Et chaque porte représente un port de l’ordinateur
Si vous aviez la surveillance de cet immeuble, est-ce que vous laisseriez n’importe qui entrer par n’importe quelle porte ?
Si vous aviez la surveillance de la ville ?
65
Chaque port à un numéro
Liste des ports réservés et enregistrés :◦ http://www.iana.org/assignments/port-numbers
◦ 0-1024 -> réservés
◦ 1024-65535 -> enregistrés
De nombreux ports sont ouverts sur les machines clientes◦ netstat –abf (windows)
◦ netstat –ap (linux)
66
HTTP ?
HTTPS ?
FTP ?
SSH ?
Telnet ?
Pop ?
Pops ?
Imap ?
Imaps ?
67
Ne concerne que les machines qui sontaccessibles depuis l’extérieur
Plusieurs niveaux de filtrage :◦ Filtrage simple des paquets (niveau 3)◦ Filtrage avec information de session (niveau 4)◦ Filtrage applicatif (niveau 5)◦ Filtrage par utilisateur
Niveaux complémentaires Complexité croissante -> compilation des filtres
68
Un filtre s’applique sur une interface
Un filtre a un sens (in ou out)
Règles :◦ Filtrage au plus tôt
◦ 1 filtre par sens et par interface
69
Rappel : ◦ « Une connexion est autorisée si elle commence
d’un niveau de sécurité supérieur vers un niveau de sécurité inférieur »
Donc toute connexion entrante est filtrée !
Les filtres ne concernent donc que les serveurs
70
Définition du filtre :access-list id [line line-num] {deny | permit} protocol
source_addr source_mask [operator port [port] | interface if_name ]
destination_addr destination_mask [operator port [port]]
[log [[disable | default] | [level]]] [interval secs]]
Application du filtre :access-group access-list in interface interface_name
71
Informations niveau 4 non suffisantes
Connexions TCP changeant de port
Suivi des numéros de séquence
Commandes permises (Ex. SMTP, HTTP)
Dernier paquet transmis ?
Nombre de connexions semi-ouvertes permises, etc.
72
Firewall est responsable du filtrage niv. 5
Filtrage appelé stateful, applicatif ou de contenu d’application
73
Authentification de l’utilisateur
Filtres personnalisés
Besoins :◦ Serveur AAA
◦ Firewall
◦ Echange AAA-Firewall lors de l’authentification
74
Objectifs de ce cours
Principes de sécurité
Sécurisation de l’accès Internet
La translation d’adresses
Le filtrage
Les serveurs AAA
Les réseaux publiques virtuels (VPN)
75
Plusieurs méthodes possibles :◦ TACACS+
◦ RADIUS
◦ Kerberos
◦ Fortezza
◦ DCE
76
Développé pour les militaires (MILNET)
Repris et amélioré par CISCO
Basé sur TCP port 49
77
L ’authentification est générique (PPP PAP, CHAP, EAP, token, Kerberos, etc.)
Trois phases :◦ Client envoie un paquet START au serveur (type
d ’authentification + données)
◦ Serveur envoie un REPLY, authentification terminée ou pas
◦ Client envoie un CONTINUE avec les données nécessaires
78
L’autorisation détermine les droits de l’utilisateur authentifié ou non
Deux phases :◦ Client envoie un REQUEST
◦ Serveur envoie une RESPONSE
79
L’accounting ou comptabilité enregistre toutes les actions
Trois type d ’enregistrement :◦ start : le service commence
◦ stop : le service s ’arrête
◦ update : le service est toujours en utilisation
80
Développé par Livingston Enterprises Inc.
RFC 2058, 2059 Bases 1996
RFC 2138, 2139 modifications 1997
RFC 2865, 2866 modifications 2000
RFC 2548, 2618, 2619, 2620, 2621, 2809, 2867, 2868, 2869, 2882, 3162, 3575, 3576, 3579, 3580 ajouts (-> 09/2003)
81
Basé sur UDP
Ports ◦ 1812 -> Radius
◦ 1813 -> Radius accounting
82
Utilisateur envoie username/password au serveur
Réponse du serveur :◦ ACCEPT
◦ REJECT
◦ CHALLENGE -> plus d’information
◦ CHANGE PASSWORD
83
Objectifs de ce cours
Principes de sécurité
Sécurisation de l’accès Internet
La translation d’adresses
Le filtrage
Les serveurs AAA
Les réseaux publiques virtuels (VPN)
86
Virtual Private Network
Réseau privé ◦ Un seul utilisateur du medium
Reseau privé virtuel◦ Plusieurs utilisateurs du médium mais mon canal de
communication est inaccessible aux autres
87
Avantages attendus◦ Réduction des coûts
◦ Augmentation mobilité
◦ Externalisation des activités
88
VPN peuvent intervenir à plusieurs niveaux
Le plus utilisé : VPN sur IP
Le protocole IPSec est le plus utilisé pour créer des VPNs, car :◦ Standard actuel
◦ Futur (IPv6)
89
Chiffrement (cryptage)◦ Symétrique (clé privée partagée)
◦ Asymétrique (clé privée + clé publique partagée)
Authentification◦ Connexions
◦ Données
Contrôle d’intégrité
90
Data Encryption Standard (DES), 56-bit.◦ Plus assez sûr !
Triple DES (3DES), 3 fois DES◦ Pas équivalent du tout à DES 168 bits
Advanced Encryption Standard (AES)◦ Dernier protocole normalisé
CAST◦ Moins sûr que 3DES mais plus rapide
91
92Source : IPSec VPN DesignBy Vijay Bollapragada, Mohamed Khalid, Scott Wainner
RSA (Rivest, Shamir, and Adleman)
Digital Signature Algorithm (DSA), authentification seulement
Diffie-Hellman (DH), utilisé par Internet Key Exchange (IKE) dans Ipsec
KEA (Key Exchange Algorithm)
93
94
Source : IPSec VPN DesignBy Vijay Bollapragada, Mohamed Khalid, Scott Wainner
Hashing Message Authentication Codes (HMAC)◦ MD5
◦ SHA-1
95
96
Basé sur le RFC2401 :
Protocoles de sécurité
Authentication header (AH)
Encapsulation security payload (ESP)
Gestion des clés
ISAKMP, IKE, SKEME
Algorithme de cryptage et d’authentification
97
AH est une en-tête
Authentification de l’émetteur
Contrôle d’intégrité du paquet
En-tête IP En-tête L4 Données
En-tête IPV4
En-tête IP AH Données
En-tête IPV4 + IPSec AH
En-tête L4
98
ESP est une en-tête
Chiffrement et intégrité des données
Anti-répétition des sessions
En-tête IP En-tête L4 Données
En-tête IPV4
En-tête IP ESP Données
En-tête IPV4 + IPSec ESP
En-tête L4 Trailer ESP
Chiffrement
Trois méthodes possibles :◦ ESP avec authentification
◦ ESP sans authentification, puis AH
◦ AH en premier puis ESP avec authentification
99
Security Association
A chaque relation unidirectionnelle est associée une SA
Fixe les opérations qu’IPSec doit appliquer aux datagrammes◦ Informations sur AH, ESP, anti-répétition, etc.
10
0
Problème de gestion des clefs privées◦ Génération, distribution, stockage
Manuelle
Automatique◦ IKE (Internet Key Exchange)
◦ ISAKMP (Internet Security Association and Key Management Protocol)
10
1
show crypto ipsec sa show crypto isakmp sa show crypto map show isakmp show isakmp policy
clear crypto IPSec sa—This command resets the IPSec SAs after failed attempts to negotiate a VPN tunnel. clear crypto isakmp sa—This command resets the ISAKMP SAs after failed attempts to negotiate a VPN tunnel.
debug crypto IPSec—This command shows if a client is negotiating the IPSec portion of the VPN connection. debug crypto isakmp—This command shows if the peers are negotiating the ISAKMP portion
10
2
Il n’y a pas de sécurité totale !◦ Définir les réactions quand un problème arrivera
◦ Limiter la propagation des risques
Trouver un compromis pour chaque situation : pas besoin d’IDS pour votre boulangère
Coûts conséquents pour mettre en place etentretenir la sécurité
10
4