Cisco Asa-Ok PDF

Cisco ASA
Thomas Moegli
Ing. HES Télécommunications - Réseaux et Sécurité IT
1 Cisco ASA - 18 octobre 2015

Cisco ASA
Présentation

Introduction à Cisco ASA
๏ Cisco ASA est le firewall Stateful le plus

déployée en entreprise
๏ Analyse du flux complet de trafic avec la
fonction Cisco Application Visibility and Control
(AVC)
๏ FirePOWER Next-Generation IPS (NGIPS)
Filtrage URL par réputation et par catégorie
Cisco ASA
๏
๏ Fonctionnalités de VPN
Thomas Moegli 3

Fonctions ASA
Fonction Description
๏ L’ASA propose un service de firewall avec gestion des états TCP ou UDP pour les connexions qui transitent par
lui
Stateful Firewall
๏ Seuls les paquets qui correspondent à une connexion active sont autorisées par le firewall, les autres sont
rejetés
VPN Concentrator ๏ L’ASA supporte les connexions IPsec et SSL en Remote Access et les connexions VPN Site-to-Site
๏ Tous les modèles ASA supportent des fonctionnalités basiques d’IPS

๏ Des analyses plus détaillées peuvent être implémentés en ajoutant une carte ou un module d’extension Cisco
Intrusion Prevention
Advanced Inspection and Prevention Security Services Module (AIP-SSM) ou Cisco Advanced Inspection and
Prevention Security Services Card (AIP-SSC)
Thomas Moegli 4

Fonctions ASA
Fonctionnalités avancées
Fonction Description
๏ Une appliance physique peut être partition en plusieurs instances virtuelles appelés contextes de sécurité
(Security Contexts)
Virtualisation ๏ Chaque contexte est considéré comme un périphérique indépendant, avec ses propres règles, interfaces et
administrateurs
๏ La plupart des fonctionnalités IPS sont supportées excepté VPN et les protocoles de routage dynamiques
๏ Deux ASA peuvent être reliés dans un mode de fonctionnement Active/Standby pour permettre la
redondance d’équipements et ala tolérance de pannes
Haute disponibilité
๏ Un ASA est promu comme périphérique primaire (Active) tandis que l’autre est mis en mode StandBy
๏ Le software, les licences, la mémoire et les interfaces doivent être identiques sur les deux ASA
๏ L’ASA permet un contrôle d’accès en utilisant les informations d’authentification d’un annuaire Active Directory
Identity Firewall ๏ Permet de créer des règles permettant des utilisateurs ou groupes d’utilisateurs au lieu de règles traditionnels
basées sur les adresses IP
๏ En plus des fonctions IPS, des outils anti-malware et gestion des risques peuvent être ajoutés via le module
Threat Control
Content Security and Control (CSC)
Thomas Moegli 5

Fonctions ASA
Résumé
๏ Filtrage de paquets
๏ Filtrage Stateful ๏ Support VPN
๏ Filtrage et inspection applicative ๏ Groupe d’objets (Object groups)
๏ Network Address Translation (NAT) ๏ Filtrage du trafic de botnets
๏ DHCP ๏ Haute disponibilité
๏ Routage ๏ Support AAA
๏ Implémentation Layer 3 ou Layer 2
Thomas Moegli 6

Fonctions ASA
Fonctionnalités avancées : Virtualisation
๏ Un même périphérique ASA peut être divisé en plusieurs ASA virtuels (Security context) permettant de servir par
exemple trois clients différents
Périphérique ASA
Customer 1
Security
Context A
Customer 2
Internet
Security
Context B
Customer 3
Security
Context C
Thomas Moegli 7

Fonctions ASA
Fonctionnalités avancées : Haute disponibilité
๏ Le trafic provenant de PC 1 préfère utiliser le chemin passant par ASA-1
๏ ASA-1 et ASA-2 sont des périphériques identiques configurés pour la redondance. Chaque équipement surveille
l’activité de l’autre via le lien LAN Failover
๏ Si ASA-2 détecte que ASA-1 est défaillant, alors ASA-2 devient périphérique Primary/Active et le trafic est redirigé par
lui.
ASA-1
Primary/Active
.1
10.1.1.0/29
.1 192.168.1.0/24
.1
Internet .3 10.2.2.0/30
PC-A
.2 LAN Failover
.2 .2
ASA-2
Secondary/Standby
Thomas Moegli 8

Fonctions ASA
Fonctionnalités avancées : Identity Firewall
๏ Un client qui tente d’accéder à des ressources sur un serveur doit d’abord s’authentifier en utilisant Microsoft Active
Directory
Internet
Client Server
ASA
Microsoft Active
Directory AD Agent
Thomas Moegli 9

Fonctions ASA
Fonctionnalités avancées : IDS/IPS
๏ Des fonctionnalités IPS peuvent être ajoutés via des modules additionnels
๏ Le module Cisco Advanced Inspection and Prevention Security Services Modules (AIP-SSM) peut être utilisé sur le
périphérique ASA 5540
๏ Le module Cisco Advanced Inspection and Prevention Security Services Card (AIP-SSC) peut être utilisé pour le périphérique
ASA 5505
Thomas Moegli 10

Quelques exemples de produits ASA
ASA 5505
ASA 5510
ASA 5520, 5540, 5550
ASA 5585
Thomas Moegli 11

Modèles ASA
Thomas Moegli 12

Modèles ASA
ASA 5505
๏ Le Cisco ASA 5505 est une appliance de sécurité complète pour les petites entreprises ou les succursales
๏ Il comporte un pare-feu haute performance, SSL VPN, IPsec VPN et plusieurs services réseaux dans une même
appliance.
Thomas Moegli 13

Modèles ASA
ASA 5505 : Présentation (panneau avant)
3 5
2 7
1 4 6
Description Description
1 Interface USB 2.0 5 Indicateur Active
2 Indicateurs Speed et Link 6 Indicateur VPN
3 Indicateur d’alimentation (Power) 7 Indicateur Security Service Card (SSC)
4 Indicateur de status
Thomas Moegli 14

Modèles ASA
ASA 5505 : Présentation (panneau avant)
2 : Indicateurs Speed et Link
๏ Si la LED Speed est verte, le lien fonctionne à 100 Mb/s, aucune LED indique 10 Mb/s
3
๏ Si la LED Activity est verte, le lien réseau est établi et fonctionnel
5 7
2
1 4 6
๏ Si la LED Activity clignote, cela signifie de l’activité réseau
4 : Status LED
๏ Un indicateur vert clignotant indique que le système démarre et effectue le POST
๏ Un indicateur vert fixe indique que le système a passé les tests et qu’il est opérationnel
๏ Un indicateur orange indique des problèmes sur le système
5 : Active LED
๏ Un indicateur vert fixe indique que le Cisco ASA est configuré pour la tolérance de panne
6 : VPN LED
๏ Un indicateur vert fixe indique qu’un ou plusieurs tunnels VPN sont actifs
7 : Security Services Card (SSC) LED

๏ Un indicateur vert fixe indique qu’une carte SSC est présent dans le slot SSC
Thomas Moegli 15

Modèles ASA
ASA 5505 : Présentation (panneau arrière)
2 3
4
8 7 6
1 5
1 Alimentation électrique (48 VDC) 5 Bouton de réinitialisation (Reset)
2 Slot pour Security Services Card (SSC) 6 2 ports USB 2.0
3 Port Console série 7 Ports Ethernet 10/100 (ports 0 - 5)
4 Slot pour câble anti-vol (Kensington) 8 Ports PoE (Power of Ethernet) 10/100 (ports 6 et 7)
Thomas Moegli 16

Modèles ASA
ASA 5505 : Présentation (panneau arrière)
2 3
4
8 7 6
1 5
2 : Slot pour extension avec Security Service Card (SSC)

๏ Permet l’ajout d’une carte Cisco Advanced Inspection and Prevention Security Services Card (AIP-SSC) pour installer les
services de prévention d’intrusion
6 : Ports USB pour l’installation de services additionnels
7 : 8 Ports Switch Ethernet 10/100
๏ Chaque port peut être groupé pour créer jusqu’à 3 VLAN séparés
8 : Les ports 6 et 7 sont PoE et simplifient le déploiement de téléphones IP Cisco ou points d’accès WiFi
Thomas Moegli 17

Modèles ASA
ASA 5520 : Présentation
3 5
1 4 7
2
8
6
1 Slots pour Security Services Modules (SSM) 5 Slot pour carte Flash
2 2 ports USB 2.0 6 Indicateurs LED Power, Status, Active, VPN, Flash
3 Interface de management Out of Band (OOB) 7 Port Console série
4 4 ports FastEthernet 8 Port auxiliaire
Thomas Moegli 18

Licences ASA
๏ Les appliances ASA sont pré-installées avec soit :

๏ Une licence de base (Base Licence)
๏ Une licence Security Plus
๏ Les licences peuvent être perpétuelles ou à durée limitée (time-based)

๏ Souvent, les licences à durée limitée sont utilisés pour des produits qui nécessitent un abonnement pour obtenir les mises à
jour (Botnet Inspection par ex.)
Thomas Moegli 19

Licences ASA
Activation
ASA# activation-key 682fd277 c4874bb7 f533b52c c660c844 8422d892
ASA# show activation-key

Serial Number: JMX1316M41H
Running Activation Key: 0x2174cf47 0x945b4c3a 0x74159120 0xba2ca848 0x8f602feb
๏ Les clés de licence sont saisies avec la Licensed features for this platform:
Maximum Physical Interfaces : 8
commande activation-key
ASA# activation-key VLANs : 3, DMZ Restricted
Inside Hosts : 10
๏ Pour voir les licences activées sur l’ASA, il Failover : Disabled
faut entrer : VPN-DES : Enabled
VPN-3DES-AES : Enabled
show show
๏ ASA# activation-key
activation-key VPN Peers : 10
WebVPN Peers : 2
๏ show-version
ASA# show version Dual ISPs : Disabled
VLAN Trunk Ports : 0
AnyConnect for Mobile : Disabled
AnyConnect for Linksys phone : Disabled
Advanced Endpoint Assessment : Disabled
UC Proxy Sessions : 2
This platform has a Base license.
Thomas Moegli The flash activation key is the SAME as the running key. 20

Licences ASA
Activation
ASA# show version 
<Output omitted>
Licensed features for this platform:

Maximum Physical Interfaces : 8 perpetual
VLANs : 3 DMZ Restricted
Dual ISPs : Disabled perpetual
VLAN Trunk Ports : 0 perpetual
Inside Hosts : 10 perpetual
Failover : Disabled perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES ASA# activation-key
: Enabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 10 perpetual
Total VPN Peers : 25 perpetual
Shared License : Disabled perpetual
AnyConnectASA# show activation-key
for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
ASA# show version: 2
UC Phone Proxy Sessions perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
This platform has a Base license.
Serial Number: JMX15364077

Running Permanent Activation Key: 0x970bc671 0x305fc569 0x70d21158 0xb6ec2ca8 0x8a003fb9
Configuration register is 0x41 (will be 0x1 at next reload)
Thomas Moegli
Configuration last modified by enable_15 at 10:03:12.749 UTC Fri Sep 23 2011 21

Licences ASA
Licences partagées et serveur de licence
Zürich
Cisco ASA 5505
Licence Server
Genève Lausanne
Cisco ASA 5505 Cisco ASA 5505
Participant and Backup Licence Server Participant
Thomas Moegli 22

Licences ASA
Licences partagées et serveur de licence
๏ Le serveur de licence est partagé

๏ Les autres appliances fonctionnent comme participants
๏ Un participant peut être configuré comme serveur de licence de secours (Backup License Server)
๏ Un seul participant peut être serveur de secours
๏ Les licences sont distribuées aux participants par blocs de 50 licences

๏ Le participant va demander un nouveau bloc de 50 si le nombre actuel de licences restantes dans le bloc actuel est
inférieur à 10 unités.
๏ Les licences sont renvoyées sur le serveur de licences si
Thomas Moegli 23

Cisco ASA
Terminologie

Niveaux de sécurité ASA
๏ Pour distinguer les réseaux internes et externes, l’ASA leur assigne un niveau de sécurité (Security-level)
๏ Le niveau de sécurité définit la confiance accordée à une interface (ou plusieurs interfaces dans le cas de l’ASA 5505)
๏ Plus le niveau est élevé, plus la confiance accordée est importante
๏ Le niveau peut être défini dans un intervalle de 0 (non confiant) à 100 (confiance totale)
๏ Chaque interface opérationnelle doit avoir :
๏ Un nom
๏ Un niveau de sécurité entre 0 et 100
๏ Une adresse IP (si on place l’ASA en mode Routed)
๏ Par défaut :
๏ Toute interface nommée inside se verra automatiquement attribué un niveau de sécurité = 100
๏ Toute interface nommée outside se verra automatiquement attribué un niveau de sécurité = 0
Thomas Moegli 25

Niveaux de sécurité ASA
๏ Par défaut, le trafic est autorisé depuis un niveau de confiance source supérieure à
la destination
๏ LAN ➔ WAN autorisé (car LAN = 100 > WAN = 0)
๏ WAN ➔ DMZ interdit (car WAN = 0 < DMZ = 50) LAN

192.168.1.0/24
WAN
๏ Pour la DMZ, il est nécessaire d’ajouter des règles autorisant   Security Level : 100
Security Level : 0
un trafic précis depuis le WAN

๏ L’autorisation du trafic de retour se fait automatiquement grâce à la   DMZ
192.168.10.0/24
fonction Statefull Inspection du Cisco ASA Security Level : 50
๏ Si deux interfaces ont même niveau de confiance, la configuration par défaut d’ASA
fait qu’ils ne peuvent communiquer
Thomas Moegli 26

Niveaux de sécurité
ASA2# show nameif

Interface Name Security
Vlan4 out 0
Vlan7 dmz 50
Vlan100 inside 100
Thomas Moegli 27

Types d’accès
Server
Implicit Deny
inbound
Sec-lvl = 100 Sec-lvl = 0
inside outside
Internet
Implicit Permit
outbound
Permit
Inbound Sec-lvl = 0
through ACL
p1
Sec-lvl = 50
dmz Implicit deny between
02 partner interfaces
p2
Permit Sec-lvl = 0
Inbound
through ACL
Thomas Moegli 28

Terminologie ASA
๏ Inside Network
๏ Réseau protégé et placé derrière le firewall
๏ DMZ
๏ Zone démilitarisée, protégée par le firewall mais dispose de services qui doivent être accessibles par les clients (Visibilité
limitée)
๏ Outside network
๏ Réseau en dehors de la protection du firewall
Thomas Moegli 29

Terminologie ASA
Outside
Internet
E0
DMZ Inside
E1 E2
Web Srv
ASA Clients
๏ Le trafic issu du réseau Outside à destination du réseau Inside est refusé

๏ Le trafic issu du réseau DMZ à destination du réseau Inside est refusé
Thomas Moegli 30

Terminologie ASA
Mode Routed vs Transparant
Le périphérique ASA peut opérer dans un des 2 modes suivants :
๏ Mode Routed (par défaut) 10.2.1.0/24
๏ Mode de déploiement traditionnel pour un firewall 10.2.1.1
๏ Sépare deux domaines de couche 3

๏ Permet également la configuration NAT ASA
10.1.1.1
๏ Applique les règles aux flux de trafic qui transitent par ce firewall 
Ne permet pas le filtrage de paquets entre deux hôtes du même sous-réseau 10.1.1.0/24
๏ Mode Transparent
๏ Opère sur la couche 2 ASA 10.1.1.3
๏ S’intègre sur les réseaux existants sans devoir redéfinir l’adressage IP

๏ Simplifie le filtrage interne et la segmentation des réseaux
๏ Permet la protection et le filtrage sur un même sous-réseau .1 .2
10.1.1.0/29
Thomas Moegli 31

Terminologie ASA
Mode Routed
Outside
Internet
100.1.2.0/24
Outside
Source NAT
10.1.1.113 ➔ 100.1.2.3
E0
DMZ Inside
DMZ
E1
10.1.3.0/24 Inside
Web Srv E2
10.1.1.0/24
10.1.3.3 10.1.1.113
ASA
Thomas Moegli 32

Terminologie ASA
Mode Routed
Outside
Internet
100.1.2.0/24
Outside
Destination NAT (Statique)
10.1.1.113 100.1.2.3
100.1.2.3 ➔ 10.1.3.3
E0
DMZ Inside
DMZ
E1
Web Srv 10.1.3.0/24 Inside
E2
10.1.1.0/24
10.1.3.3 10.1.1.113
ASA
Thomas Moegli 33

Terminologie ASA
Mode Transparant
Outside
Internet
๏ Le trafic doit être explicitement autorisé
๏ Chaque réseau directement connecté doit faire partie
du même sous-réseau
Outside
๏ L’adresse IP de management doit être également sur
le même sous-réseau
10.1.1.0/24
E0
๏ NE PAS spécifier l’adresse IP de l’interface de Inside
Inside
management comme passerelle par défaut E2
10.1.1.113
ASA
๏ Les périphériques doivent indiquer le routeur comme .199
passerelle par défaut
Management
๏ Chaque interface doit être sur une interface VLAN
différente
Thomas Moegli 34

Terminologie ASA
Mode Transparant
Les fonctions suivantes ne sont pas supportés en mode Transparent :

๏ NAT
๏ Protocoles de routage dynamiques
๏ Routage multicast
๏ Pas de support d’adresses IPv6 Anycast
๏ DHCP Relay
๏ Qualité de service (QoS)
๏ Point de terminaison VPN
Thomas Moegli 35

Configuration ASA
Configurer le mode de fonctionnement
๏ Le mode par défaut est Routed

๏ Utiliser le mode Transparant avec la commande firewall transparent 
  ASA(config)# firewall transparent
  Switched to transparent mode
  ASA# show firewall
Firewall mode : Transparent
๏ Pour revenir au mode Routed, utiliser la commande no firewall transparent
ASA(config)# no firewall transparent

Switched to router mode
ASA# show firewall
Firewall mode : Router
Thomas Moegli 36

Configuration ASA
Mode Transparent : Configurer ARP Inspection
๏ ARP : Address Resolution Protocol

๏ En premier, ajouter une entrée ARP statique. ARP Inspection compare les paquets ARP avec les entrées ARP de la table
ARP 
arp outside 10.1.1.99
ASA(config)# 934903248
arp outside 10.1.1.99 0001.5c32.6c81
๏ Activer ARP Inspection avec la commande suivante : 

lkfjdlksfjdslfkj
ASA(config)# arp-inspection outside enable no-flood
Thomas Moegli 37

Security Context
๏ Un même périphérique ASA peut être divisé en plusieurs ASA virtuels (Security context) permettant de servir par
exemple trois clients différents
Périphérique ASA
Customer 1
Security
Context A
Customer 2
Internet
Security
Context B
Customer 3
Security
Context C
Thomas Moegli 38

Configuration ASA
Création d’un Security Context
๏ Commande de configuration globale : context

ASA(config)# context nom-contexte
ASA(config)# context customer1

Creating context ‘customer1’...Done (4)
ASA(config-ctx)# description customer 1 context
ASA(config-ctx)#
ASA(config-ctx)# allocate-interface gigabitethernet0/1.101 int1
ASA(config-ctx)# allocate-interface gigabitethernet0/1.102 int2
ASA(config-ctx)#
ASA(config-ctx)# config-url disk0:context1.cfg
INFO: Converting disk0:context1.cfg to disk0/context1.cfg
WARNING: Could not fetch the URL disk0:/context1.cfg

INFO: Creating context with default config
Thomas Moegli 39

Configuration ASA
Changer le Security Context
ASA# changeto context customer1
ASA/customer1# show run
: Saved
:
ASA Version 9.1(3) <context>
!
hostname customer1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface int 1
no nameif
no security-level
no ip address
!
interface int2
no nameif
no security-level
no ip address
Thomas Moegli 40

Security Context : Cas d’utilisation
๏ Un Service Provider qui veut proposer des fonctionnalités de sécurité à plusieurs clients
๏ Coûts réduits, réduction des équipements physiques tout en offrant une séparation de trafic entre clients
๏ Grande entreprise ou campus qui désire séparer les départements (Segmentation)

๏ Toute organisation qui désire que son réseau soit sécurisée par plus d’un ASA
Thomas Moegli 41

Security Context : Fonctions
Les fonctions suivantes peuvent être configurées dans un Security Context particulier avec Cisco ASA v9.0 :
๏ Protocoles de routage dynamiques
๏ EIGRP
๏ OSPFv2
๏ VPN
๏ IKE v1
๏ IKEv2 Site-to-Site VPN
๏ Mélanges de modes de firewall

๏ Avant la version 9.0, tous les contextes devaient être configurés en mode Transparent ou Routed
๏ Après la version 9.0, il est possible de mélanger des contexts en mode Transparent avec des contexts en mode Routed
Thomas Moegli 42

Cisco ASA
Configuration initiale

ASA CLI
๏ Le CLI du Cisco ASA est un OS propriétaire qui ressemble à l’IOS des routeurs Cisco
๏ Comme les routeurs IOS Cisco, l’ASA reconnait les éléments suivants :
๏ Abréviation des commandes et mots-clés
๏ Utilisation de la touche Tab pour compléter une commande partielle
๏ Utilisation de la touche (?) pour voir la syntaxe
๏ Contrairement aux routeurs IOS, l’ASA :

๏ Permet d’exécuter n’importe quelle commande ASA quel que soit le mode de configuration affiché et ne reconnait pas la
commande do utilisé en mode de configuration globale sur les routeurs IOS
๏ L’interruption des commandes show se fait via la touche Q (contrairement à la séquence Ctrl+C utilisé sur les routeurs IOS)
Thomas Moegli 44

ASA CLI
Commandes IOS et équivalents ASA
Commande routeur IOS Commande ASA

enable secret password enable password password
line con 0 
password password  passwd password
login
ip route route outside
show ip interfaces brief show interface ip brief
show ip route show route
show plan show switch vlan
show ip nat translations show xlate
copy running-config startup-config write [memory]
erase startup-config write erase
Thomas Moegli 45

Accès au CLI
Connexion par console
Thomas Moegli 46

Accès au CLI
Connexion par console
๏ Depuis le software Cisco ASA v8.4, un ASA neuf sorti de la boîte possède une configuration limitée par défaut pour
permettre la connectivité IP
๏ La configuration par défaut sur un Cisco ASA 5510 ou plus possède une interface de management activée avec
l’adresse IP 192.168.1.1 pré-configurée
๏ Sur un Cisco ASA 5505, les interfaces switch (Ethernet0/0 - 0/7) sont actives.
๏ L’interface Ethernet0/0 est assignée au VLAN2, qui est supposée être l’interface associée au réseau Outside.
๏ Toutes les autres interfaces sont assignées au VLAN1 et sont considérés comme interfaces Inside.
๏ Le VLAN1 possède une adresse IP préconfigurée de 192.168.1.1/24 tandis que le VLAN2 est préconfigurée comme client
DHCP et reçoit une adresse IP dynamique.
Thomas Moegli 47

Accès au CLI
Connexion par Telnet
๏ Il est possible de configurer les adresses IP acceptées par l’ASA pour une connexion Telnet 
ASA(config)# telnet
ASA(config)# telnet10.1.1.0 255.255.255.0
10.1.1.0 inside
255.255.255.0 inside
๏ IMPORTANT 
Telnet est un protocole non sécurisé. Il est recommandé d’utiliser SSH pour gérer le Cisco ASA ou tout autre
périphérique. 
Thomas Moegli 48

Accès au CLI
Configuration : Telnet
๏ Accès Telnet (si requis)
๏ SSH est recommandé plutôt que Telnet
๏ Même si l’authentification est sécurisée via la commande passwd,

passwd sécuriser l’accès Telnet/SSH via une authentification
AAA avec une base de données locale est recommandée
๏ Utiliser les commandes suivantes pour activer l’authentification AAA :
๏ username nameusername
ASA(config)# passwordname password password
password
๏ aaa authentication
ASA(config)# aaa {telnet | ssh} console
authentication {LOCAL
{telnet | TACACS-server
| ssh} | RADIUS-server}
console {LOCAL | TACACS-server | RADIUS-server}
๏ telnet host-ip host-mask
ASA(config)# inside host-mask inside
telnet host-ip
๏ telnet timeout minutes
ASA(config)# telnet timeout minutes
ASA(config)# username admin password class

ASA(config)# aaa authentication telnet console LOCAL
ASA(config)# telnet 192.168.1.3 255.255.255.255 inside
ASA(config)# telnet timeout 10
ASA(config)#
Thomas Moegli 49

Accès au CLI
Connexion par SSH
Etapes
1. Générer une clé RSA : ASA(config)
ASA(config)# crypto key generate rsa modulus 1024
๏ Sur le ASAv, la clé RSA est automatiquement générée après le déploiement
๏ La valeur modulus (en bits) doit être 512, 768, 1024 ou 2048
๏ Plus le modulus est grand, plus la clé sera difficile à décrypter mais plus le temps pour la générer sera importante
2. Sauvegarder la clé RSA et la configuration avec la commande d’enregistrement mémoire : 

write
ASA# mem
write mem
Thomas Moegli 50

Accès au CLI
Connexion par SSH
Etapes
3. Activer l’authentification locale : ASA(config)
ASA(config)# aaa authentication ssh console LOCAL
4. Créer un utilisateur dans la base de données locale : ASA(config)# username admin password sUp3rScrTP4$$
5. Identifier les adresses IP sur lesquelles ASA accepte les connexions SSH : 
ASA(config)# ssh 10.1.1.0 255.255.255.0 inside
๏ Il est possible de limiter l’accès à une version de SSH particulière (v1 ou v2). Par défaut, SSH accepte les
deux versions 
ASA(config)# ssh version 2
Thomas Moegli 51

Opérations de base
Configuration : SSH
๏ Configuration similaire à Telnet mais requiert :
๏ Authentification AAA à activer
๏ Génération de clés RSA
๏ Pour vérifier la configuration SSH, utiliser la commande show ssh
ASA(config)# username admin password class

ASA(config)# crypto key generate rss modulus 1024
WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.
Do you really want to replace them? [yes/no]: y 

Keypair generation process begin. Please wait...
CCNAS-ASA(config)# ssh 192.168.1.3 255.255.255.255 inside
CCNAS-ASA(config)# ssh timeout 10 
CCNAS-ASA(config)# exit 
CCNAS-ASA# 
CCNAS-ASA# show ssh 
Timeout: 5 minutes 
Versions allowed: 1 and 2 
192.168.1.3 255.255.255.255 inside 
CCNAS-ASA#
Thomas Moegli 52

Accès au module de service Cisco ASA
(Cisco ASA-SM)
๏ En premier, localiser le slot sur lequel le module est installé

Switch# show module
Mod Ports Card Type Model Serial No.
--- ----- ------------------------------------ ------------------- -----------
2 3 ASA Service Module WS-SVC-ASA-SM1 SAD18372221
Mod MAC addresses Hw Fw Sw Status

--- —————————————————————————————————————- ----- ------------ ------------ -------
2 0022.bdd4.016f to 0022.bdd4.017e 0.201 12.2(2010080 12.2(2010121 Ok
...
๏ Utiliser la commande service-module session

Sw# service-module session pour se connecter depuis le switch sur le module ASA-SM
Switch# service-module session slot 2

ASA>
Thomas Moegli 53

Accès à la console ASAv
๏ Dans le client web VMware

vSphere, cliquez-droit sur
l’instance ASAv dans l’inventaire
et choisir Open Console
๏ Ou sélectionnez l’instance et
ouvrez l’onglet Console
Thomas Moegli 54

Accès à la console ASAv
๏ Il est possible également de configurer un port série dans VMware vSphere

๏ Sur l’ASAv, créez un fichier appelé use_ttyS0
use_ttyS0 dans le répertoire racine du disk0.
disk0 .Ce fichier ne doit pas avoir de
contenu, il doit simplement exister à l’emplacement suivant : 
disk0:/use_ttyS0
disk0:/use_ttyS0
๏ Depuis ASDL, il est possible de charger un fichier texte vide en utilisant Tools ➔ File Management. L’accès ASDM est
discuté plus loin
๏ Sur la CLI, il est possible de copier un fichier existant et de le coller avec un nouveau nom. Par exemple : 
(config)#  
ASAv# cd coredumpinfo
asdasd
ASAv# copy coredumpinfo.cfg disk0:/use_ttyS0
๏ Rechargez ensuite l’ASAv
Thomas Moegli 55

Accès ASDM via l’interface Management
๏ Interface de management sur les modèles :

๏ L’ASA 5505 ne possède pas d’interface de management
๏ ASA 5506 : Management 1/1
๏ ASA 5512-X et plus : Management 0/0
๏ ASAv : Management 0/0
๏ Par défaut, l’adresse IP de l’interface de management :

๏ Appliances physiques : 192.168.1.1
๏ ASAv : configuré par l’administrateur lors du déploiement
Thomas Moegli 56

ASA CLI
Assistant de configuration initiale
๏ Lorsque la configuration par défaut n’est pas requise, il est conseillé de supprimer puis recharger l’ASA via les
commandes write
writeerase
erase et reload
reload
๏ L’ASA ne reconnait pas la commande erase
erasestartup-config
startup-config utilisé sur les routeurs IOS
๏ Une fois l’ASA redémarré, l’assistant de configuration initiale propose de configurer les éléments essentiels de l’ASA
๏ Cette méthode est optionnel, l’utilisateur peut répondre no pour ne pas utiliser l’assistant
๏ Cette méthode configure également les éléments essentiels pour l’accès à l’ASA via ASDM
Thomas Moegli 57

ASA CLI
๏ Les éléments suivants peuvent être configurés via l’assistant :

๏ Mode du firewall
๏ Mot de passe enable
๏ Méthode de recouvrement du mot de passe enable
๏ Date et heure
๏ Adresse IP et masque
๏ Nom d’hôte de l’ASA
๏ Nom de domaine
Thomas Moegli 58

ASA CLI
…
Pre-configure Firewall now through interactive prompts [yes]? 
Firewall Mode [Routed]: 
Enable password [<use current password>]: cisco 
Allow password recovery [yes]?
Clock (UTC): 
Year [2012]: 
Month [Oct]: 
Day [3]: 
Time [03:44:47]: 6:49:00
Management IP address: 192.168.1.1
Management network mask: 255.255.255.0
Host name: CCNAS-ASA 
Domain name: ccnasecurity.com
IP address of host running Device Manager: 192.168.1.2
The following configuration will be used:

Enable password: cisco
Allow password recovery: yes
Clock (UTC): 6:49:00 Oct 3 2011
Firewall Mode: Routed
Management IP address: 192.168.1.1
Management network mask: 255.255.255.0
Host name: CCNAS-ASA
Domain name: ccnasecurity.com
IP address of host running Device Manager: 192.168.1.2
Use this configuration and write to flash? yes

INFO: Security level for "management" set to 0 by default.
WARNING: http server is not yet enabled to allow ASDM access.
Cryptochecksum: ba17fd17 c28f2342 f92f2975 1e1e5112
2070 bytes copied in 0.910 secs
Type help or '?' for a list of available commands.

CCNAS-ASA>
Thomas Moegli 59

Configuration de l’accès ASDM
๏ Activer le serveur HTTP interne et indiquer les adresses IP qui autorisent les connexions HTTP (ASDM) sur l’ASA 
  ASA(config)# http server enable
ASA(config)# http 10.1.1.0 255.255.255.0 inside
๏ Spécifier l’image ASDM à utiliser 

ASA(config)# asdm image disk0:/asdm-731.bin
Thomas Moegli 60

Accès ASDM
Thomas Moegli 61

Accès ASDM
Thomas Moegli 62

Accès ASDM
Thomas Moegli 63

Accès ASDM
๏ Pour supprimer et désactiver l’accès au service ASA HTTP Server, utiliser la commande suivante : 
ASA# clear configure http
Thomas Moegli 64

Accès ASDM sur les modules ASA-SM
๏ Du fait que l’ASA-SM ne propose aucune interface physique, il n’est pas pré-configuré pour l’accès ASDM
๏ Il faut configurer l’accès ASDM en passant par la console CLI du ASA-SM et en s’y connectant par le moyen vu
précédemment.
Thomas Moegli 65

Cisco ASA
Opérations de base

Opérations de base
Configuration du nom d’hôte et nom de domaine
๏ Pour configurer le nom d’hôte, utiliser la commande de configuration globale hostname 

ASA# hostname nomHote
  ASA(config)# hostname monASA
monASA(config)#
๏ Pour configurer le nom de domaine, utiliser la commande de configuration globale domain-name 

ASA# domain-name nomDomaine
monASA(config)# domain-name cisco.com

monASA(config)#
Thomas Moegli 67

Opérations de base
Configuration du mot de passe
๏ Configurer le mot de passe pour l’authentification distant (Telnet/SSH) 

ASA(config)# password th1$isApasswd
๏ Configurer le mot de passe pour l’accès privilégié (enable) 

ASA(config)# enable password th1$isAnotherPasswd
Thomas Moegli 68

Opérations de base
Master Pass-Phrase
๏ La fonction de Master Passphrase permet de stocker les mots de passe de manière chiffrée
๏ Une « clé universelle » est utilisée pour chiffrer tous les mots de passe
๏ Cette fonction est supportée pour :
๏ Authentification OSPF
๏ Authentification EIGRP
๏ VPN Load Balancing
๏ VPN (Remote Access et Site-to-Site)
๏ Tolérance de panne (Failover)
๏ Serveurs AAA
๏ Logins
๏ Licences partagées
Thomas Moegli 69

Opérations de base
Master Pass-Phrase : Configuration
๏ Configuration d’une Master Passphrase : 

  ASA(config)# key config-key password-encryption
  New key: **********
  Confirm key: **********
 
ASA(config)# password encryption aes
Thomas Moegli 70

Opérations de base
Configuration date et temps
๏ Pour configurer le fuseau horaire : 

  ASA(config)# clock timezone EST -5
  ASA(config)# end
ASA# show clock
16:42:05.459 EST Wed Jan 7 2015
Thomas Moegli 71

Opérations de base
Configuration date et temps
๏ Configuration manuelle de la date et de l’heure : 

  ASA(config)# clock set 20:54:00 february 28 2015
  ASA(config)# end
  ASA# show clock
20:54:03.949 EST Sat Feb 28 2015
Thomas Moegli 72

Opérations de base
Configuration : NTP
๏ Activer l’authentification NTP : 

  ASA(config)# ntp authenticate
  ASA(config)# ntp trusted-key 1
ASA(config)# ntp authentication-key 1 md5 th1$isAkey!
๏ Configurer le serveur NTP : 

ASA(config)# ntp server 10.11.12.123 key 1 prefer
๏ Il est possible de configurer plusieurs serveurs NTP. Le mot-clé prefer spécifie le serveur qui sera utilisé en priorité
Thomas Moegli 73

Opérations de base
Configuration : Interfaces Inside et Outside
๏ Sur les équipements ASA 5510 et ultérieur, les interfaces sont routés dès qu’une configuration IP leur est appliquée
๏ L’ASA 5505 dispose de 8 ports Ethernet pour du switching Layer 2. Le routage IP s’effectue en plusieurs étapes
๏ Configuration d’une ou plusieurs interfaces virtuelles (SVI : Switched Virtual Interfaces) inside et outside. La configuration
comprend l’assignation d’un nom d’interface, d’un niveau de sécurité et d’une adresse IP
๏ Assignation d’un port Layer 2 au SVI VLAN Inside ou Outside
๏ Il est possible de définir un troisième SVI pour définir par exemple une zone DMZ
๏ Toutefois, la licence de base pour un ASA 5505 ne permet qu’un nombre restreint de SVI
Thomas Moegli 74

Opérations de base
๏ Configuration d’une interface SVI Inside ou Outside dans un VLAN particulier
ASA(config)#
๏ interface interface vlan
vlan vlan-number : vlan-number
๏ nameif
ASA(config-if)# nameif
{inside | outside | name}
{inside | outside | name} : Assignation d’un nom à l’interface
๏ security-level valuesecurity-level value
ASA(config-if)# : Assignation d’un niveau de sécurité sur l’interface SVI
๏ Par défaut, la valeur de l’interface Inside vaut 100 et l’interface Outside vaut 0
๏ ip address ip-address
ASA(config-if)# ip netmask
address ip-address netmask : Configuration d’une adresse IP
CCNAS-ASA(config)# interface vlan 1 

CCNAS-ASA(config-if)# nameif inside 
INFO: Security level for "inside" set to 100 by default.
CCNAS-ASA(config-if)# security-level 100 
CCNAS-ASA(config-if)# ip address 192.168.1.1 255.255.255.0
CCNAS-ASA(config-if)# exit 
CCNAS-ASA(config)# interface vlan 2 
CCNAS-ASA(config-if)# nameif outside 
INFO: Security level for "outside" set to 0 by default.
CCNAS-ASA(config-if)# security-level 0 
CCNAS-ASA(config-if)# ip address 209.165.200.226 255.255.255.248
CCNAS-ASA(config-if)# exit
Thomas Moegli 75

Opérations de base
๏ Optionnellement, au lieu d’une adresse IP fixe, une interface peut être configurée comme :
๏ Client DHCP via la commande ASA(config-if)# ip address dhcp [setroute]
ip address dhcp [setroute]
๏ Client PPPoE via la commande ipASA(config-if)#
address pope ip address pppoe [setroute]
๏ La configuration de l’ASA comme serveur DHCP sera vue plus loin
Thomas Moegli 76

Opérations de base
๏ Un ASA 5505 avec une licence Security Plus supporte automatiquement la création de VLAN additionnels pour créer
d’autres zones, comme une zone DMZ
๏ Cependant, un ASA 5505 avec seulement une licence Basic ne supporte qu’un troisième SVI VLAN
๏ Ce SVI est limité pour initialiser les contacts sur un autre VLAN spécifique
๏ La commande suivante doit être configurée pour supporter le troisième VLAN SVI sur un ASA 5505 avec licence Basic : 
no forward interface
ASA(config)# plan vlan-id
no forward interface vlan vlan-id
๏ vlan-id spécifie le VLAN sur lequel l’interface ne peut initier de trafic
๏ Cette commande ne doit être configurée que lorsque les interfaces VLAN Inside et Outside sont configurées
๏ Le nouveau SVI doit également être nommé, posséder un niveau de sécurité ainsi qu’une adresse IP.
Thomas Moegli 77

Opérations de base
Configuration : Assignation ports L2 aux VLANs
๏ Les ports Layer 2 doivent être assignées ensuite aux SVI VLAN crées précédemment
๏ Par défaut, tous les ports sont membres du VLAN 1
๏ La configuration se fait via les commandes suivantes :

๏ ASA(config)# interface
interface interface interface number
number : Entrer en mode de configuration d’interface
switchport accessswitchport
๏ ASA(config-if)# vlan vlan-id access vlan vlan-id : Assignation du VLAN au port L2
no shutdown
๏ ASA(config-if)# no shutdown : Activation de l’interface
๏ Pour vérifier les paramètres VLAN, utiliser la commande show
ASA# switch vlan vlan
show switch
CCNAS-ASA(config-if)# interface e0/1

CCNAS-ASA(config-if)# switchport access vlan 1
CCNAS-ASA(config-if)# no shut
CCNAS-ASA(config-if)# exit
CCNAS-ASA(config)# interface e0/0
CCNAS-ASA(config-if)# switchport access vlan 2
CCNAS-ASA(config-if)# no shut
CCNAS-ASA(config-if)# exit 
CCNAS-ASA(config)#
Thomas Moegli 78

Opérations de base
Configuration : Assignation ports L2 aux VLANs
CCNAS-ASA# show switch vlan 
VLAN Name Status Ports 
---- —————————————————————- ——————————- -------------------------------------------------------
1 inside up Et0/1, Et0/2, Et0/3, Et0/4
Et0/5, Et0/6, Et0/7
2 outside up Et0/0
CCNAS-ASA# 
CCNAS-ASA# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 unassigned YES unset up up
Ethernet0/2 unassigned YES unset administratively down up
Internal-Data0/0 unassigned YES unset administratively down up
Internal-Data0/1 unassigned YES unset administratively down up
Vlan1 192.168.1.1 YES manual up up
Virtual0 127.0.0.1 YES unset up up
CCNAS-ASA#
Thomas Moegli 79

Opérations de base
Configuration : DHCP
Configuration de l’ASA comme serveur DHCP

๏ Le nombre maximum de clients DHCP dépend de la licence :
Nombre d’hôtes par licence Nombre maximum d’adresses IP disponibles pour DHCP
10 hôtes 32 adresses
50 hôtes 128 adresses
Illimité 256 adresses
Thomas Moegli 80

Opérations de base
Configuration : DHCP
Configuration de l’ASA comme serveur DHCP

๏ Spécifier un pool d’adresses DHCP 
ASA(config)# dhcpd address 192.168.1.131-192.168.1.175 inside
๏ Spécifier les options du pool DHCP (Nom de domaine, serveurs DHCP, interface sur laquelle activer le pool) 
  ASA(config)# dhcpd dns 8.8.8.8
  ASA(config)# dhcpd domain cisco.com
ASA(config)# dhcpd enable inside
 
Thomas Moegli 81

Opérations de base
Vérification : DHCP
CCNAS-ASA# show dhcpd binding
 
IP address Client Identifier Lease expiration Type
CCNAS-ASA# show dhcpd state 

Context Configured as DHCP Server 
Interface inside, Configured for DHCP SERVER
Interface outside, Configured for DHCP CLIENT
CCNAS-ASA# show dhcpd statistics 

DHCP UDP Unreachable Errors: 0 
DHCP Other UDP Errors: 0
Address pools 1
Automatic bindings 0
Expired bindings 0
Malformed messages 0
Message Received
BOOTREQUEST 0
DHCPDISCOVER 0
DHCPREQUEST 0
DHCPDECLINE 0
DHCPRELEASE 0
DHCPINFORM 0
Message Sent
BOOTREPLY 0
DHCPOFFER 0
DHCPACK 0
DHCPNAK 0
Thomas Moegli 82

Opérations de base
Configuration : Agent de relais DHCP
๏ Il est possible de configurer l’agent de relais DHCP de manière globale ou par interface
๏ Si configuré de manière globale, il est nécessaire de spécifier l’interface sur laquelle le serveur DHCP est atteignable
ASA(config)# dhcprelay server 10.20.12.5 outside

ASA(config)# dhcprelay enable dmz
๏ Configuration d’une interface pour les requêtes DHCP entrantes : 

 
ASA(config)# interface GigabitEthernet0/0
ASA(config-if)# dhcprelay server 10.3.4.5
Thomas Moegli 83

Opérations de base
Configuration : Interface de confiance DHCP et Timeouts
๏ Il est possible d’indiquer spécifiquement les interfaces sur lesquelles seront connectées des clients DHCP de confiance 
  ASA(config)# interface GigabitEthernet0/0
ASA(config-if)# dhcprelay information trusted
๏ Pour faire confiance à toutes les interfaces :

ASA(config)# dhcprelay information trust-all
๏ Configuration du timeout pour le relai de requêtes DHCP (par défaut : 60 sec) : 

ASA(config)# dhcprelay timeout 30
Thomas Moegli 84

Opérations de base
Configuration : DHCPv6 Relay
๏ Configuration d’un agent relai IPv6 pour les clients de la DMZ vers un serveur DHCP connecté sur l’interface outside 
  ASA(config)# ipv6 dhcprelay server 1FFC:C00:C18:6:A8BB:AAFF:F123:1234 outside
ASA(config)# dhcprelay enable dmz
Thomas Moegli 85

Opérations de base
Configuration : Route par défaut
๏ Si l’ASA est configuré comme client DHCP ou PPPoE, il est très probable qu’il reçoit sa route par défaut via le
périphérique supérieure
๏ Dans le cas contraire, l’ASA requiert la configuration d’une route statique par défaut
๏ Pour vérifier la présence de la route, utiliser la commande show route

ASA# show route
CCNAS-ASA(config)# route outside 0.0.0.0 0.0.0.0 209.165.200.225

CCNAS-ASA(config)# show route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 209.165.200.225 to network 0.0.0.0
C 209.165.200.224 255.255.255.248 is directly connected, outside
C 192.168.1.0 255.255.255.0 is directly connected, inside
S* 0.0.0.0 0.0.0.0 [1/0] via 209.165.200.225, outside
CCNAS-ASA(config)#
Thomas Moegli 86

Opérations de base
Vérification des paramètres de base
CCNAS-ASA# show switch vlan 
VLAN Name Status Ports 
---- -------------------------------- --------- -----------------------------
1 inside up Et0/1, Et0/2, Et0/3, Et0/4
Et0/5, Et0/6, Et0/7
2 outside up Et0/0
CCNAS-ASA# 
CCNAS-ASA# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/4 unassigned YES unset administratively down down
Internal-Data0/0 unassigned YES unset up up
Internal-Data0/1 unassigned YES unset up up
Virtual0 127.0.0.1 YES unset up up
CCNAS-ASA#
Thomas Moegli 87

Cisco ASA
Introduction à ASDM

Cisco ASDM
๏ Cisco ASA Security Device Manager (ASDM) est un outil GUI Java permettant de faciliter l’installation, la configuration,
le monitoring et le troubleshooting d’un Cisco ASA
๏ ASDM est préchargé dans la mémoire Flash de n’importe quel ASA fonctionnant sur une version 7.0 et ultérieur
๏ ASDM peut être :
๏ Démarré comme application Java Web téléchargé dynamiquement depuis la mémoire Flash du routeur ASA
๏ Téléchargé depuis la mémoire Flash et installé sur un poste en tant qu’application Java complète permettant à un
administrateur de gérer plusieurs périphériques ASA
Thomas Moegli 89

Cisco ASDM
Démarrage ASDM
Etapes
1. Vérifier la connectivité avec l’ASA (Ping)
2. Ouvrir un navigateur Web et établir une connexion HTTP à l’ASA
3. Choisir de
๏ Installer ASDM en tant qu’application Java
๏ Démarrer ASDM en tant qu’application Web Java
๏ Démarrer l’assistant pour effectuer les paramètres initiaux
4. S’authentifier sur l’ASDM
Thomas Moegli 90

Cisco ASDM
Tableau de bord ASDM : Home - Device
๏ La page Home affiche un résumé du status opérationnel de l’ASA. Cette page est rafraichie toutes les 10 sec.
Thomas Moegli 91

Cisco ASDM
Tableau de bord ASDM : Home - Firewall
๏ La page Firewall affiche des informations de sécurité liées au trafic qui transite par l’ASA
Thomas Moegli 92

Cisco ASDM
Configuration d’hôte et mot de passe
๏ Configuration ➔ Device Setup ➔ Device Name/Password
Thomas Moegli 93

Cisco ASDM
Configuration des interfaces
๏ Configuration ➔ Device Setup ➔ Interfaces Settings ➔ Interfaces
Thomas Moegli 94

Cisco ASDM
Configuration des interfaces L2
๏ Configuration ➔ Device Setup ➔ Interfaces ➔ Switch Ports
Thomas Moegli 95

Cisco ASDM
Configuration Telnet et SSH
๏ Configuration ➔ Device Management ➔ Management Access ➔ ASDM/HTTPS/Telnet/SSH
Thomas Moegli 96

Cisco ASA
Objects et Objects Groups

Objects et Objects Groups
๏ Sur un ASA, l’administrateur effectue les configurations (règles de firewalls, règles VPN, règles NAT, …) via l’utilisation
d’objets (Objects) ou groupes d’objets (Objects Groups)
๏ Un objet peut être défini par une adresse IP particulière, un sous-réseau ou un protocole (et optionnellement un
numéro de port)
๏ L’avantage d’utiliser les objets est que, lorsque l’un des paramètres doit être modifié (adresse IP, port, …), les
changements sont automatiquement appliquées aux règles utilisant cet objet
Thomas Moegli 98

Objets
L’ASA supporte deux types d’objets :
๏ Network Object :
๏ Contient une adresse IP/Masque de sous-réseau
๏ Peut être défini pour un hôte, un sous-réseau ou un intervalle
๏ Service Object :
๏ Contient un protocole ainsi (optionnel) qu’un port source et/ou destination
CCNAS-ASA(config)# object ?
configure mode commands/options:
network Specifies a host, subnet or range IP addresses
service Specifies a protocol/port
CCNAS-ASA(config)#
Un Network Object est requis pour configurer NAT
Thomas Moegli 99

Configuration d’un Network Object (CLI)
๏ Pour créer un Network Object, utiliser la commande de configuration globale object network object-name
ASA(config)# object network object-name
๏ On passe en mode de configuration de Network Object
๏ Un Network Object ne peut contenir qu’une seule adresse IP/Masque
๏ La saisie d’une adresse IP/Masque secondaire efface et remplace la configuration existante
๏ Pour effacer tous les Network Objects, utiliser la commande clear
ASA# config
clear object
config network
object network
CCNAS-ASA(config)# object network EXAMPLE-1

CCNAS-ASA(config-network-object)# host 192.168.1.4
CCNAS-ASA(config-network-object)# range 192.168.1.10 192.168.1.20
CCNAS-ASA(config-network-object)# exit
CCNAS-ASA(config)# 
CCNAS-ASA(config)# show running-config object
object network EXAMPLE-1
range 192.168.1.10 192.168.1.20
CCNAS-ASA(config)#
Thomas Moegli 100

Configuration d’un Network Object (ASDM)
๏ Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups
Thomas Moegli 101

Configuration d’un Service Object (CLI)
๏ Pour créer un Service Object, utiliser la commande de configuration globale object networkobject
ASA(config)# service object-name
object-name
๏ On passe en mode de configuration de Service Object
๏ Un Service Object ne peut être associé qu’avec un seul protocole et port (ou ports)
๏ Si un Service Object existant est configuré avec un protocole et un port différents (ou des ports), la nouvelle configuration
remplace les protocoles et ports existants avec les nouveaux.
CCNAS-ASA(config)# object service SERV-1

CCNAS-ASA(config-service-object)# service tcp destination eq ftp
CCNAS-ASA(config-service-object)# service tcp destination eq www
CCNAS-ASA(config-service-object)# exit
CCNAS-ASA(config)# show running-config object
object service SERV-1
service tcp destination eq www
CCNAS-ASA(config)#
Thomas Moegli 102

Configuration d’un Service Object (CLI)
Il existe 5 options de service :

ASA(config)# service protocol [source [operator port]] [destination [operator port]]
๏ Spécifie un nom de protocole IP ou un numéro de port
ASA(config)# service tcp [source [operator port]] [destination [operator port]]

๏ Spécifie que le Service Object est pour le protocole TCP
ASA(config)# service udp [source [operator port]] [destination [operator port]]

๏ Spécifie que le Service Object est pour le protocole UDP
ASA(config)# service icmp icmp-type

๏ Spécifie que le Service Object est pour le protocole ICMP
ASA(config)# service icmp6 icmp6-type

๏ Spécifie que le Service Object est pour le protocole ICMP6
Thomas Moegli 103

Configuration d’un Service Object (ASDM)
๏ Configuration ➔ Firewall ➔ Objects ➔ Service Objects/Groups
Thomas Moegli 104

Objects Groups
๏ Les Objects Groups sont utilisés pour grouper les objets

๏ Les objets peuvent être rattachés ou détachés de plusieurs Objects Groups
๏ Cela permet d’éviter la duplication d’objets
๏ Il est possible de créer plusieurs types de groupes d’objets : Network, Protocol, Type ICMP avec la commande : 
ASA(config)# object-group {network | protocol | icmp-type} group-name
๏ Il est également possible de créer des groupes d’objets de service via la commande : 
ASA(config)# object-group service group-name [tcp | udp | tcp-udp]
Thomas Moegli 105

Objects Groups
๏ Il existe 4 types de groupes d’objets :
Object-Group Description
Network Spécifie une liste d’hôtes IP, sous-réseaux ou intervalles d’IP
Combine les protocoles IP (comme TCP, UDP, ICMP) dans un objet
Protocol Par exemple, pour intégrer TCP et UDP pour le protocole DNS, créer un Object Group et ajouter le protocole TCP et UDP dans ce
groupe
Le protocole ICMP utilise un type unique pour l’envoi de messages de contrôle (RFC 792)
ICMP
Le groupe d’objets ICMP-type peut grouper les types nécessaires pour des besoins de sécurité
Utilisé pour grouper les ports TCP, UDP, TCP/UDP dans un objet
Service
Il peut contenir un mélange de services TCP, services UDP, services ICMP, et tout protocole comme par ex. ESP, GRE, …
CCNAS-ASA(config)# object group ?

configure mode commands/options:
icmp-type Specifies a group of ICMP types, such as echo
network Specifies a group of host or subnet IP addresses
protocol Specifies a group of protocols, such as TCP, etc
service Specifies a group of TCP/UDP ports/services
user Specifies single user, local or import user group
CCNAS-ASA(config)#
Thomas Moegli 106

Network Objects Groups (CLI)
๏ Pour configurer un Network Object Group, utiliser la commande ASA(config)# object-group network grp-name
๏ Ajouter les objets réseaux via les commandes suivantes :
๏ network-objectnetwork-object
ASA(config)#
๏ group-object group-object
ASA(config)#
CCNAS-ASA(config)# object-group network ADMIN-HOST

CCNAS-ASA(config-network-object-group)# network-object host 192.168.1.3
CCNAS-ASA(config-network-object-group)# network-object host 192.168.1.4
CCNAS-ASA(config-network-object-group)# exit 
CCNAS-ASA(config)# object-group network ALL-HOSTS
CCNAS-ASA(config-network-object-group)# network-object 192.168.1.32 255.255.255.240
CCNAS-ASA(config-network-object-group)# group-object ADMIN-HOST
CCNAS-ASA(config-network-object-group)# exit 
CCNAS-ASA(config)# show run object-group 
object-group network ADMIN-HOST
description Administrative host IP addresses
network-object host 192.168.1.3
network-object host 192.168.1.4
object-group network ALL-HOSTS
network-object 192.168.1.32 255.255.255.240
group-object ADMIN-HOST
CCNAS-ASA(config)#
Thomas Moegli 107

Network Objects Groups (ASDM)
Thomas Moegli 108

Protocol Object Group
๏ Pour configurer un Protocol Object Group, utiliser la commande de configuration globale : 
ASA(config)# object-group protocol grp-name
๏ Ajouter les objets réseaux au Protocol Group en utilisant les commandes :

๏ protocol-objectprotocol-object
ASA(config)#
ASA(config)#
CCNAS-ASA(config)# object-group protocol PROTO-1

CCNAS-ASA(config-protocol-object-group)# protocol-object udp
CCNAS-ASA(config-protocol-object-group)# network-object ipsec
CCNAS-ASA(config-protocol-object-group)# exit 
CCNAS-ASA(config)# object-group protocol PROTO-2
CCNAS-ASA(config-protocol-object-group)# protocol-object tcp
CCNAS-ASA(config-protocol-object-group)# group-object PROTO-1
CCNAS-ASA(config-protocol-object-group)# exit 
CCNAS-ASA(config)# show running-config object-group protocol 
object-group protocol PROTO-1
protocol-object udp
protocol-object esp
object-group protocol PROTO-2
protocol-object tcp
group-object PROTO-1
CCNAS-ASA(config)#
Thomas Moegli 109

ICMP Object Group
๏ Pour configurer un ICMP Object Group, utiliser la commande de configuration globale : 
ASA(config)# object-group icmp-type grp-name

๏ protocol-objecticmp-object
ASA(config)#
ASA(config)#
CCNAS-ASA(config)# object-group icmp-type ICMP-ALLOWED

CCNAS-ASA(config-icmp-object-group)# icmp-object echo
CCNAS-ASA(config-icmp-object-group)# icmp-object time-exceeded
CCNAS-ASA(config-icmp-object-group)# exit 
CCNAS-ASA(config)#
 
CCNAS-ASA(config)# show running-config object-group id ICMP-ALLOWED 
object-group icmp-type ICMP-ALLOWED
icmp-object echo
icmp-object time-exceeded
CCNAS-ASA(config)#
Thomas Moegli 110

Service Object Group (CLI)
๏ Pour configurer un Service Object Group, utiliser la commande de configuration globale : 
ASA(config)# object-group service grp-name

๏ protocol-objectservice-object
ASA(config)#
ASA(config)#
CCNAS-ASA(config)# object-group service SERVICES-1

CCNAS-ASA(config-service-object-group)# service-object tcp destination eq www
CCNAS-ASA(config-service-object-group)# service-object tcp destination eq https
CCNAS-ASA(config-service-object-group)# service-object udp destination eq nap
CCNAS-ASA(config-service-object-group)# exit 
CCNAS-ASA(config)# object-group service SERVICES-2 tcp
CCNAS-ASA(config-service-object-group)# port-object eq pop3
CCNAS-ASA(config-service-object-group)# port-object eq smtp
CCNAS-ASA(config)# object-group service SERVICES-3 tcp
CCNAS-ASA(config-service-object-group)# group-object SERVICES-2
CCNAS-ASA(config-service-object-group)# port-object eq ftp
CCNAS-ASA(config-service-object-group)# port-object range 2000 2005
CCNAS-ASA(config)#
Thomas Moegli 111

Service Object Group (ASDM)
๏ Configuration ➔ Firewall ➔ Objects ➔ Service Objects/Groups
Thomas Moegli 112

Cisco ASA
ASA ACLs

ACLs
Similarités entre ACL IOS et ACL ASA
๏ Dans les deux cas, les ACL sont composés d’un ensemble de règles ACE
๏ Les ACL sont traitées de manière séquentielle depuis le haut vers le bas
๏ Dès qu’une entrée ACE correspond, on sort de l’ACL sans consulter les règles suivantes
๏ Ils possèdent une entrée de refus par défaut à la fin de la liste
๏ Ils respectent la règle suivante : une ACL par interface, par protocole, par sens
๏ Ils peuvent être activés/désactivés selon des plages horaires définies
Thomas Moegli 114

ACLs
Différences entre ACL IOS et ACL ASA
๏ Les ACL ASA utilisent un masque de sous-réseau (ex. 255.255.255.0)

๏ Les ACL IOS utilisent un masque Wildcard (ex. 0.0.0.255)
๏ Les ACL sont toujours nommées au lieu d’être simplement numérotés
๏ Les ASA ACLs peuvent être numérotés mais contrairement aux ACL IOS, les numéros n’ont aucune signification
๏ Par défaut, les niveaux de sécurité appliquent les contrôles d’accès sans configuration explicite d’ACL
Thomas Moegli 115

ACLs
Fonctions des ACL
๏ Filtrage du trafic transitant par l’ASA

๏ Le trafic qui transite d’une interface à une autre est filtré par l’ASA suivant les ACL configurées
๏ Filtrage du trafic à destination de l’ASA
๏ Egalement appelé règles d’accès du trafic de Mgmt (Telnet, SSH, SNMP)
๏ Lorsque ce trafic est à destination de l’ASA, il est également régi par les règles ACL
Thomas Moegli 116

ACLs
ASA ACLs : Types
Type d’ACL Description

๏ ACL le plus populaire
Extended
๏ Filtrage basé sur le port source/destination et le protocole
๏ Utilisé pour les protocoles de routage, pas comme règles de firewall
Standard
๏ L’ASA supporte
๏ 5Netypes
peut s’appliquer
d’ACLs : aux interfaces pour contrôler le trafic
IPv6 ๏ Utilisé pour supporter l’adressage IPv6
Webtype ๏ Utilisé pour SSL VPN Clientless
๏ Spécifie le protocole de couche réseau
Ethertype
๏ Utilisé uniquement lorsque l’ASA est en mode transparent
Thomas Moegli 117

ACLs
ASA ACLs : Applications
Utilisation ACL Type d’ACL Description

๏ Par défaut, l’ASA n’autorise pas le trafic provenant d’un niveau de sécurité plus faible
Gérer le trafic inter-réseaux Extended
vers une interface ayant un niveau de sécurité plus haut sauf si explicitement autorisé
Identifier le trafic des règles AAA Extended ๏ Utilisé dans les listes d’accès AAA pour identifier le trafic
๏ Les règles NAT permettent d’identifier le trafic local pour effectuer la translation
Identifier les adresses pour NAT Extended
d’adresses
Etablissement d’un accès VPN Extended ๏ Utilisé dans les commandes VPN
Identifier le trafic Modular Policy ๏ Utilisé pour identifier le trafic dans une Class Map, qui est utilisé dans les fonctionnalités
Extended
Framework (MPF) qui supportent MPF
Identifier la redistribution de ๏ Les ACL Standards n’incluent que l’adresse de destination
Standard
route OSPF ๏ Utilisé pour contrôler la redistribution des routes OSPF
Contrôler l’accès réseau pour les
IPv6 ๏ Utilisé pour contrôler le trafic sur les réseaux IPv6
réseaux IPv6
Thomas Moegli 118

ACLs
Extended ACL : Syntaxe
CCNAS-ASA(config)# help access-list
USAGE:
Extended access list:

Use this to configure policy for IP traffic through the firewall
[no] access-list <id> [line <line_num>] [extended] {deny | permit}

{<protocol> | object-group {<service_obj_grp_id> |
<protocol_obj_grp_id>} | object <service_object_name>}
[user-group [<domain_nickname>\\]<user_group_name> |
user [<domain_nickname>\]<user_name> |
object-group-user < object_group_user_name>]
{host <sip> | <sip> <smask> | interface <ifc> | any |
object-group <network_obj_grp_id> |
object <network_obj_name>}
[<operator> <port> [<port>] |
object-group <service_obj_grp_id>]
{host <dip> | <dip> <dmask> | interface <ifc> | any |
object-group <network_obj_grp_id> |
object <network_obj_name>}
[<operator> <port> [<port>] |
object-group <service_obj_grp_id>]
[log [disable] | [<level>] | [default] [interval <secs>]]
…
Thomas Moegli 119

ACLs
Extended ACL : Syntaxe
Protocole de couche 3 Trafic source à filtrer.
Nom ACL Exemple : IP, TCP, UDP Cela peut également être un Network Object Group
Cela peut également être un nombre. Peut également être un Protocol Object Group L’option interface est utilisé pour du trafic provenant de l’ASA
access-list id extended {deny | permit} protocol

{source_addr source_mask | any | host src_host | interface src_if_name}
[operator port [port]]
{dest_addr dest_mask | any | host dst_host | interface dst_if_name}
[operator port [port]]
L’opérateur peut être :

๏ lt (less than)
๏ gt (greater than) Trafic de destination à filtrer.
๏ eq (equal) Cela peut également être un Network Object Group
L’option interface est utilisé pour du trafic à destination de l’ASA
๏ neq (not equal)
๏ range (intervalle)
Le port peut être le numéro de port, nom du port TCP/UDP ou un
Service
Thomas Moegli Object Group 120

ACLs
Access-Group
๏ Pour le contrôle du trafic, l’ACL doit être appliqué à une interface via la commande access-group
ASA(config)# access-group
๏ Syntaxe : 
access-group acl-id {in | out} interface interface-name

[per-user-override | control-plane]
Syntaxe Description
access-group ๏ Mot-clé utilisé pour appliquer une ACL à une interface
acl-id ๏ Nom de l’ACL
in ๏ L’ACL filtre les paquets entrants
out ๏ L’ACL filtre les paquets sortants
interface ๏ Mot-clé utilisé pour spécifier l’interface à appliquer l’ACL
interface_name ๏ Nom de l’interface sur lequel appliquer l’ACL
per-user-override ๏ Option permettant de remplacer toutes les ACL de l’interface par l’ACL
control-plane ๏ Spécifie si la règle est utilisé pour du trafic vers ou provenant de l’ASA
Thomas Moegli 121

ACLs
Exemples d’ACL
access-list ACL-IN-1 extended permit ip any any
access-group ACL-IN-1 in interface inside
๏ L’ACL autorise tous les hôtes du réseau interne à traverser l’ASA

๏ Par défaut, tout autre trafic est refusé
access-list ACL-IN-2 extended deny tcp 192.168.1.0 255.255.255.0 host 209.165.201.228

๏ L’ACL interdit tous les hôtes du réseau 192.168.1.0/24 à accéder à un hôte particulier sur l’adresse 209.165.201.228
๏ Par défaut, tout autre trafic est autorisé
access-list ACL-IN-3 extended permit tcp 192.168.1.0 255.255.255.0 host 209.165.201.228

๏ L’ACL autorise tous les hôtes du réseau 192.168.1.0/24 à accéder à un hôte particulier sur l’adresse 209.165.201.228
๏ Par défaut, tout autre trafic est refusé
access-list ACL-IN-4 extended deny tcp any host 209.165.201.229 eq www

๏ L’ACL refuse tout accès au serveur sur l’adresse 209.165.201.229 sur le port 80 (www)
๏ Par défaut, tout autre trafic est autorisé
Thomas Moegli 122

ACLs
Communication entre interfaces de même niveau de confiance
๏ Par défaut, les interfaces avec le même niveau de confiance :

๏ Ne peuvent communiquer entre eux
๏ Les paquets ne peuvent entrer et sortir sur la même interface
๏ Pose problème avec le trafic VPN qui entre dans une interface mais est routé puis ressort de la même interface
๏ Utiliser la commande suivante permet d’activer la communication entre interfaces de même niveau de sécurité : 
same-security-traffic permit inter-interface
๏ Utiliser la commande suivante permet d’activer la communication entre hôtes connectées à la même interface : 
same-security-traffic permit intra-interface
Thomas Moegli 123

ACLs
Vérification des ACLs
๏ Pour vérifier la syntaxe des ACL, utiliser les commandes suivantes :

๏ show running-config access-list
show access-list
Thomas Moegli 124

ACLs
ACL - Exemple 1
๏ PC-A et PC-B sont des hôtes externes qui doivent pouvoir accéder aux deux serveurs internes
๏ Chaque serveur propose des services Web et Email
PC-A
209.165.201.1
Serveur Web
Serveur Mail .131
E0/1
209.165.202.128/27 209.165.200.224/27
Inside E0/2
E0/0 Internet
(VLAN 1) Outside
(VLAN 2)
Serveur Web
Serveur Mail .132
209.165.201.2
PC-B
Thomas Moegli 125

ACLs
ACL : Exemple 1
ASA(config)# access-list ACL-IN remark Permit PC-A -> Server A for HTTP/SMTP
ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq http
ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq smtp
PC-A
209.165.201.1
ASA(config)# access-list ACL-IN remark Permit PC-A -> Server B for HTTP/SMTP
PC-B
ASA(config)# access-list ACL-IN remark Permit PC-B -> Server A for HTTP/SMTP 209.165.201.2
Serveur Web
Serveur Mail
ASA(config)# access-list ACL-IN remark Permit PC-B -> Server B for HTTP/SMTP 209.165.202.131
Serveur Web
Serveur Mail
ASA(config)# access-list ACL-IN remark Deny All Trafic 209.165.202.132
ASA(config)# access-list ACL-IN extended deny ip any any log
ASA(config)# access-group ACL-IN in interface outside
Thomas Moegli 126

ACLs
ACL : Exemple 1 (Vérification)
ASA# show running-config access-list

access-list ACL-IN remark Permit PC-A -> Server A for HTTP / SMTP 
access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq www
access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq smtp
access-list ACL-IN remark Permit PC-A -> Server B for HTTP / SMTP 
access-list ACL-IN remark Permit PC-B -> Server A for HTTP / SMTP 
access-list ACL-IN remark Permit PC-B -> Server B for HTTP / SMTP 
access-list ACL-IN extended deny ip any any log 
ASA# 
ASA# show access-list ACL-IN brief
access-list ACL-IN; 9 elements; name hash: 0x44d1c580 
ASA#
Thomas Moegli 127

ACLs
ACL avec Objects Groups : Exemple 2
๏ Cet exemple présente l’utilisation des Objects Groups.

๏ La topologie et la configuration des règles est identique à l’exemple 1
๏ On utilise les objets configurés pour établir les règles
๏ On configure les objets suivantes :
๏ TCP : Protocol Object Group
๏ Internet-Hosts : Network Object Group qui permet d’identifier les deux hôtes externes
๏ Internai-Servers : Network Object Group qui permet d’identifier les deux serveurs internes
๏ HTTP-SMTP : Service Object Group qui permet d’identifier les protocoles HTTP et SMTP
๏ Ces Objects Groups sont spécifiés dans une entrée ACE
๏ Tout le trafic restant est refusé et enregistré
Thomas Moegli 128

ACLs
Création des Objects Groups
ASA(config)# object-group protocol TCP
ASA(config-protocol)# description OG identifiant TCP comme protocole
ASA(config-protocol)# protocol-object tcp
ASA(config-protocol)# exit PC-A
ASA(config)# 209.165.201.1
ASA(config)# object-group network Internet-Hosts

ASA(config-network)# description OG identifie les hotes PC-A et PC-B
ASA(config-network)# network-object host 209.165.201.1 PC-B
ASA(config-network)# network-object host 209.165.201.2 209.165.201.2
ASA(config-network)# exit
ASA(config)#
Serveur Web
Serveur Mail
ASA(config)# object-group network Internal-Servers
ASA(config-network)# description OG identifie les serveurs internes 209.165.202.131
ASA(config-network)# network-object host 209.165.202.131

ASA(config-network)# network-object host 209.165.202.132 Serveur Web
ASA(config-network)# exit Serveur Mail
ASA(config)# 209.165.202.132
ASA(config)# object-group service HTTP-SMTP tcp

ASA(config-service)# description OG identifie le trafic HTTP/HTTPS et SMTP
ASA(config-service)# port-object eq smtp
ASA(config-service)# port-object eq www
ASA(config-service)# exit
ASA(config)#
Thomas Moegli 129

ACLs
Création de l’ACL en se basant sur les Objects Groups et application sur l’interface
ASA(config)# access-list ACL-IN remark Permet uniquement PC-A/PC-B -> Serveurs
ASA(config)# access-list ACL-IN extended permit object-group TCP object-group Internet-Hosts object-group Internal-Servers object-group HTTP-SMTP PC-A
ASA(config)# access-list ACL-IN extended deny ip any any log 209.165.201.1
ASA(config)#
ASA(config)# access-group ACL-IN in interface outside

PC-B
ASA(config)#
209.165.201.2
Serveur Web
Vérification ACL Serveur Mail
209.165.202.131
ASA# show running-config access-list
access-list ACL-IN remark Permet uniquement PC-A/PC-B -> Serveurs 
access-list ACL-IN extended permit object-group TCP object-group Internet-Hosts object- group Internal-Servers object-group HTTP-SMTP Serveur Web
Serveur Mail
209.165.202.132
ASA# show access-list ACL-IN brief
access-list ACL-IN; 9 elements; name hash: 0x44d1c580
Thomas Moegli 130

ACLs
ACL avec ASDM
๏ Configuration ➔ Firewall ➔ Access Rules
Thomas Moegli 131

Cisco ASA
ASA NAT

ASA : Services NAT
๏ Comme sur les routeurs IOS, l’ASA supporte les types de NAT suivants :
๏ Inside NAT
๏ Lorsque l’ASA translate les adresses des côtes internes vers des adresses globales
๏ Le trafic de retour est également géré
๏ Outside NAT
๏ Méthode utilisé lorsque du trafic d’une interface à basse sécurité vers une interface à sécurité plus élevée
๏ Cette méthode peut être utile pour rendre visible un hôte d’un réseau interne sur une adresse IP connue externe
๏ Bidirectional NAT
๏ Effectue les translations NAT Inside et Outside
Thomas Moegli 133

ASA : Services NAT
NAT : Modes Routed et Transparent
๏ NAT est supporté dans les modes Routed et Transparent

๏ Il existe plusieurs restrictions pour le mode Transparent
๏ Il est nécessaire de spécifier les interfaces réelles et mappées
๏ Il est impossible de spécifier « any » comme interface
๏ PAT n’est pas supporté car en mode transparent, les interfaces n’ont pas d’adresses IP et il n’est pas possible d’utiliser l’adresse
IP de management comme adresse mappée.
๏ La translation entre IPv4 et IPv6 n’est pas supportée
๏ La translation entre deux réseaux IPv6 ou entre deux réseaux IPv4 est supportée
Thomas Moegli 134

ASA : Services NAT
NAT IPv6
๏ En mode Routed, il est possible d’effectuer de la translation entre IPv4 et IPv6

๏ Un pool PAT n’est pas supporté pour IPv6 en mode Transparent
๏ Pour du NAT statique, il est possible de définir un sous-réseau IPv6 jusqu’à /64. Les sous-réseaux plus grands ne sont
pas supportés
Thomas Moegli 135

ASA : Services NAT
DMZ
(VLAN 3)
192.168.2.0/24
Ins
Ou ide
tsi NA
.3
de T
N AT
E0/2
Inside .5 209.165.200.224/27 PC-B

(VLAN 1)
E0/1 E0/0 Internet
209.165.201.2
Outside
(VLAN 2)
192.168.1.0/27
Inside NAT
Outside NAT
Thomas Moegli 136

Auto NAT
๏ Introduit dans la version 8.3 de l’ASA, la fonctionnalité d’Auto NAT simplifie la configuration NAT ainsi :
๏ Création d’un Network Object
๏ Identification des réseaux à translater
๏ Définir les paramètres de la commande nat
NOTE
๏ Avant le version 8.3, NAT était configuré via les commandes nat, global et static
๏ Les commandes global et static ne sont plus reconnues
Thomas Moegli 137

Configuration NAT
๏ L’ASA sépare la configuration NAT en deux sections :
๏ La première section définit le réseau à translater via un Network Object
๏ La seconde section définit les paramètres de la commande nat
๏ Ces deux sections apparaissent à des emplacements différents sur la commande show running-config
ASA# show running-config
ASA(config)# object network INSIDE-NET remark Permet uniquement PC-A/PC-B -> Serveurs
ASA(config-network-object)# subnet 192.168.1.0 255.255.255.224
ASA(config-network-object)# nat (inside,outside) dynamic interface
ASA(config-network-object)# end
ASA#
ASA# show running-config nat
!
object network INSIDE-NET
nat (inside,outside) dynamic interface
ASA#
ASA# show running-config object
object network INSIDE-NET
nat (inside,outside) dynamic interface
ASA#
Thomas Moegli 138

Configuration : Types de NAT
๏ Dynamic NAT
๏ Translation Many-to-Many
๏ Typiquement déployé dans Inside NAT
๏ Dynamic PAT
๏ Translation Many-to-One
๏ Généralement un pool d’adresses privées utilisés pour translater une interface externe ou une adresse externe
๏ Typiquement déployé dans Inside NAT
๏ Static NAT
๏ Translation One-to-One
๏ Généralement une adresse externe qui est mappée à un serveur interne
๏ Typiquement déployé avec Outside NAT
๏ Twice-NAT
๏ La fonction NAT de la version 8.3 permet d’identifier l’adresse source et destination en une seule règle (Commande nat)
๏ Utilisé pour la configuration IPSec et SSL Remote-Access VPN
Thomas Moegli 139

Configuration : Dynamic NAT
Pour configurer Dynamic NAT, deux Network Objects sont requis :
๏ Le premier Network Object identifie le pool d’adresses IP publiques qui seront transformés en adresses privées
๏ object network
ASA(config)# object mapped-obj
network mapped-obj
๏ Nom du Network Object qui identifie le pool d’adresses publiques

๏ range ip-addr-1
ASA(config)# ip-addr-n
range ip-addr-1 ip-addr-n
๏ Définit le pool d’adresses IP publiques

๏ Le second Network Object combine le pool d’adresses IP publiques avec le sous-réseau privé et l’interface
๏ object network
ASA(config)# object nat-object-name
network nat-object-name
๏ Nom de l’objet NAT combiné

๏ subnet net-address
ASA(config)# net-mask
subnet net-address net-mask
๏ Identifie le sous-réseau privé

๏ nat (real-ifc,
ASA(config)# natmapped-ifc) dynamic
(real-ifc, mapped-ifc) mapped-obj
dynamic mapped-obj
๏ Règle NAT indiquant que le trafic provenant de real-ifc vers le mapped-ifc aura une adresse assignée dynamiquement avec le
pool d’adresses IP publiques.
Thomas Moegli 140

Configuration : Dynamic NAT
DMZ
(VLAN 3)
192.168.2.0/24
.3
E0/2
Inside .5 209.165.200.224/27 PC-B
(VLAN 1)
E0/1 E0/0 Internet
209.165.201.2
Outside
(VLAN 2)
192.168.1.0/27
ASA(config)# object network PUBLIC-IP

ASA(config-network-object)# range 209.165.200.240 255.255.255.240
ASA(config-network-object)# exit
ASA(config)#
ASA(config)# object network INSIDE-NET
ASA(config-network-object)# nat (inside,outside) dynamic PUBLIC-IP
ASA#
Thomas Moegli 141

Configuration : Dynamic PAT
Pour configurer Dynamic PAT, un Network Object est requis :

๏ Dynamic PAT est utilisé lorsqu’on utilise la même adresse IP publique de sortie. Pour différencier les trafics, on utilise les
ports
๏ object network
ASA(config)# object net-object-name
๏ Nom du Network Object

ASA(config)# net-mask
subnet net-address net-mask
๏ Identifie le réseau privé

๏ nat (real-ifc,
ASA(config)# natmapped-ifc) dynamic
(real-ifc, mapped-ifc) [interface
dynamic [interface| ip-address]
| ip-address]
๏ Règle NAT indiquant que le trafic provenant de real-ifc vers le mapped-ifc aura l’adresse IP de l’interface ou l’adresse IP configurée
assignée après le mot-clé dynamic.
Thomas Moegli 142

DMZ
(VLAN 3)
192.168.2.0/24
.3
E0/2
Inside .5 209.165.200.224/27 PC-B
(VLAN 1)
E0/1 E0/0 Internet
209.165.201.2
Outside
(VLAN 2)
192.168.1.0/27

ASA(config-network-object)# nat (inside,outside) dynamic interface
ASA#
Thomas Moegli 143

DMZ
(VLAN 3)
192.168.2.0/24
.3
E0/2
Inside .5 209.165.200.224/27 PC-B
(VLAN 1)
E0/1 E0/0 Internet
209.165.201.2
Outside
(VLAN 2)
192.168.1.0/27

ASA(config-network-object)# nat (inside,outside) dynamic 209.165.200.229
ASA#
Thomas Moegli 144

Configuration : Static PAT
Pour configurer Static NAT, un Network Object est requis :

๏ Static NAT permet de faire correspondre une adresse IP publique à une adresse IP privée
๏ object network
ASA(config)# object net-object-name
๏ Nom du Network Object

ASA(config)# host ip-addrnet-mask
๏ Identifie le réseau privé

๏ nat (real-ifc,
ASA(config)# natmapped-ifc) static [interface
(real-ifc, mapped-ifc) | ip-address]
static mapped-ip-addr
๏ Règle NAT faisant correspondre une adresse interne à une adresse externe.
NOTE
๏ Static NAT requiert qu’une ACE doit être ajouté sur l’ACL de l’interface outside
Thomas Moegli 145

Configuration : Static NAT
DMZ
(VLAN 3)
192.168.2.0/24
.3
E0/2
Inside .5 209.165.200.224/27 PC-B
(VLAN 1)
E0/1 E0/0 Internet
209.165.201.2
Outside
(VLAN 2)
192.168.1.0/27
ASA(config)# object network DMZ-SERVER

ASA(config-network-object)# host 192.168.2.3
ASA(config-network-object)# nat (dmz,outside) static 209.200.165.227
ASA(config-network-object)# exit
ASA(config)#
ASA(config)# access-list OUTSIDE-DMZ permit ip any host 192.168.2.3
ASA(config)# access-group OUTSIDE-DMZ in interface outside
ASA(config)#
Thomas Moegli 146

Vérification : Static NAT
DMZ
(VLAN 3)
192.168.2.0/24
.3
E0/2
Inside .5 209.165.200.224/27 PC-B
(VLAN 1)
E0/1 E0/0 Internet
209.165.201.2
Outside
(VLAN 2)
192.168.1.0/27
ASA# show nat
Auto NAT Policies (Section 2)

1 (dmz) to (outside) source static DMZ-SERVER 209.165.200.227
translate_hits = 0, intranslate_hits = 4
2 (inside) to (outside) source dynamic inside-nat interface

translate_hits = 4, untraslate_hits = 0
ASA# show xlate

1 in use, 3 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from dmz:192.168.2.3 to outside:209.165.200.227 flags s idle 0:22:58 timeout 0:00:00
ASA# Moegli
Thomas 147

Configuration NAT sur ASDM
Ajout d’un Network Object

๏ La création d’un Network Object se fait via le bouton Add
Thomas Moegli 148

Dynamic PAT

๏ S’effectue lors de la création du Network Object
๏ Les paramètres de configuration NAT sont regroupés dans l’onglet NAT. Développer avec le bouton
๏ Dans l’option Type:, sélectionner Dynamic PAT (Hide)
Thomas Moegli 149

Static NAT

๏ S’effectue lors de la création du Network Object
๏ Les paramètres de configuration NAT sont regroupés dans l’onglet NAT. Développer avec le bouton
๏ Dans l’option Type:, sélectionner Static
Thomas Moegli 150

Vérification des règles NAT
๏ Configuration ➔ Firewall ➔ NAT Rules
Thomas Moegli 151

Cisco ASA
AAA

AAA
Authentication Authorization Accounting
Thomas Moegli 153

AAA sur ASA
๏ Contrairement aux routeurs ISR, les périphériques ASA ne supportent pas l’authentification locale sans utilisation du
protocole AAA
๏ Les périphériques ASA peuvent être configurés pour effectuer l’authentification via :
๏ Une base de donnée locale
๏ Un serveur externe
๏ Les deux
Thomas Moegli 154

AAA sur ASA
Configuration : Authentification AAA
Authentification AAA locale
๏ Local AAA utilise une base de données locale pour l’authentification
๏ La base de données locale est configurée sur le périphérique ASA
๏ Idéal pour une petite entreprise qui ne dispose pas d’un serveur dédié
๏ Configuration - Création d’un utilisateur local : 
ASA(config)# username name password password [privilege priv-level]
๏ Configuration - Activation de l’authentification AAA en utilisant une base locale : 

ASA(config)# aaa authentication {enable | http | ssh | telnet} console {aaa-svr-name | LOCAL}
ASA(config)# username admin password cisco privilege 15

ASA(config)#
ASA(config)# aaa authentication enable console LOCAL
ASA(config)# aaa authentication http console LOCAL
ASA(config)# aaa authentication telnet console LOCAL
ASA(config)#
Thomas Moegli 155

AAA sur ASA
๏ Authentification AAA avec serveur dédié

๏ L’authentification AAA basé sur un serveur dédié est une solution plus extensible
๏ Utilisation d’une base de données externe
๏ Pour communiquer entre le périphérique ASA et la base externe, on utilise les protocoles RADIUS et TACACS+
๏ Configuration du périphérique ASA pour communiquer avec un serveur externe :
๏ Création d’un groupe de serveurs RADIUS ou TACACS+ : 
ASA(config)# aaa-server server-tag protocol protocol
๏ Configuration d’un lien vers un serveur AAA et ajout dans ce groupe : 

ASA(config)# aaa-server server-tag [(interface-name)] host {server-ip | name} [key password]
๏ Configuration - Activation de l’authentification AAA en utilisant un groupe de serveurs AAA : 

ASA(config)# aaa authentication {enable | http | ssh | telnet} console server-tag
Thomas Moegli 156

AAA sur ASA
๏ Configuration de l’authentification AAA via un serveur TACACS+ ainsi qu’une authentification locale
๏ L’authentification locale est utilisé uniquement si le serveur TACACS+ est indisponible
ASA(config)# username admin password cisco privilege 15

ASA(config)#
ASA(config)# aaa-server TACACS-SVR protocol tacacs+
ASA(config-aaa-server-group)# aaa-server TACACS-SVR (dmz) host 192.168.1.2 key cisco123
ASA(config-aaa-server-group)# exit
ASA(config)#
ASA(config)# show run aaa-server
aaa-server TACACS-SVR protocol tacacs+
aaa-server TACACS-SVR (dmz) host 192.168.1.2 key *****
ASA(config)#
ASA(config)# aaa authentication http console TACACS-SVR LOCAL
ASA(config)# aaa authentication ssh console TACACS-SVR LOCAL
ASA(config)# aaa authentication telnet console TACACS-SVR LOCAL
ASA(config)# aaa authentication enable console TACACS-SVR LOCAL
ASA(config)#
Thomas Moegli 157

AAA sur ASA
Vérification : Authentification AAA
๏ Se déconnecter puis se reconnecter
๏ Commandes de vérification :
๏ showshow
ASA# running-conf username
running-conf username : Commande pour voir tous les comptes utilisateur
๏ showshow
ASA# running-conf aaa aaa
running-conf : Commande pour voir la configuration AAA
๏ Pour effacer toute la configuration AAA, utiliser la commande clear configconfig
ASA# clear aaa aaa
ASA# show run aaa

aaa authentication http console TACACS-SVR LOCAL
aaa authentication ssh console TACACS-SVR LOCAL
aaa authentication telnet console TACACS-SVR LOCAL
aaa authentication enable console TACACS-SVR LOCAL
ASA# disable
ASA> exit
Username: admin
Password: *****
Type help or '?' for a list of available commands.
ASA>
Thomas Moegli 158

Configuration AAA via ASDM
Ajout d’utilisateurs dans la base de données locale
๏ Configuration ➔ Device Management ➔ Users/AAA ➔ Users Accounts

๏ L’ajout d’utilisateurs se fait via le bouton Add
Thomas Moegli 159

Création d’un AAA Server Group
๏ Configuration ➔ Device Management ➔ Users/AAA ➔ AAA Server Groups

๏ La création d’un groupe se fait dans la section AAA Server Group, via le bouton Add
Thomas Moegli 160

Ajout d’un serveur au Server Group
๏ Configuration ➔ Device Management ➔ Users/AAA ➔ AAA Server Groups

๏ La création d’un groupe se fait dans la section Servers in the Selected Group via le bouton Add
๏ Les paramètres de configuration RADIUS ou TACACS+ s’affichent selon le protocole indiqué à la création du Server
Group
Thomas Moegli 161

Activation de l’authentification AAA
๏ Configuration ➔ Firewall ➔ Users/AAA ➔ AAA Access ➔ Authentication
Thomas Moegli 162

Cisco ASA
Modular Policy Framework (MPF)

๏ MPF définit un ensemble de règles pour configurer des fonctionnalités comme par ex. inspection de trafic et QoS au
trafic qui traverse l’ASA
๏ Permet la classification des flux de trafic et l’application de différentes policies aux flux
๏ Cisco MPF utilise trois objets de configuration pour définir les règles :
Class Maps Policy Maps Service Policy

๏ Class Maps
๏ Définit les critères pour identifier le trafic avec la commande class-map
๏ Policy Maps
๏ Associe des actions au trafic identifié par la Class Map avec la commande policy-map
๏ Service Policies
๏ Rattache les Class et Policy Maps à une interface ou globalement sur toutes les interfaces avec la commande service-policy
Thomas Moegli 164

Class Maps Policy Maps Service Policy
• Qu’est ce qu’on • Quelles sont les • Ou ces règles doivent

analyse ? actions à appliquer ? être appliquées ?
• Identifie le trafic sur • Création d’une règle • Activation de la Policy
lequel appliquer MPF pour le trafic de la Map sur les interfaces
• Création d’une Class couche 3 à la couche 7 • Création d’une Service
Maps de couche 3/4 • Création d’une Policy Policy qui s’applique à
avec un ou plusierus map contenant une Policy Maps et une
critères plusieurs Class Maps interface ou sur toutes
avec leurs actions les interfaces
associées
class-map class-name policy-map policy-name service-policy serv-name

interface intf-name
Thomas Moegli 165

4 étapes pour configurer MPF sur un ASA
๏ Configuration d’une ACL Extended pour identifier le trafic

๏ Configurer la Class Map pour identifier le trafic à l’aide de l’ACL configurée précédemment
๏ Configurer la Policy Map pour appliquer les actions à ces Class Maps
๏ Configurer la Service Policy pour rattacher la Policy Map à une interface
ASA(config)# access-list TFTP-TRAFFIC permit udp any any eq 69

ASA(config)#
ASA(config)# class-map CLASS-TFTP
ASA(config-cmap)# match access-list TFTP-TRAFFIC
ASA(config-cmap)# exit
ASA(config)#
ASA(config)# policy-map POLICY-TFTP
ASA(config-pmap)# class CLASS-TFTP
ASA(config-pmap-c)# inspect tftp
ASA(config-pmap-c)# exit
ASA(config-pmap)# exit
ASA(config)#
ASA(config)# service-policy POLICY-TFTP global
ASA(config)#
Thomas Moegli 166

Class Maps
๏ Une Class Map permet d’identifier le trafic de couche 3 et couche 4

๏ Pour créer une Class Map, utiliser la commande class-map class-map-name.
๏ On passe en mode de configuration Class-Map
๏ Le nom class-default et tout nom qui commence par _internal ou _default sont réservés et ne peuvent être utilisés
๏ Le nom de la Class Map doit être unique et ne peut dépasser 40 caractères
NOTE
๏ Pour le trafic de management à destination de l’ASA, on utilise la commande  
class-map type management class-map-name
Thomas Moegli 167

Class Maps : Mode de configuration
๏ En mode de configuration Class Maps, les options de configuration sont :

๏ description
description : Ajout d’une description à la Class Map
๏ match any
match any : Class Map qui identifie tout le trafic
๏ match access-list access-list-name
match access-list access-list-name : Class Map qui identifie le trafic spécifié par une ACL Extended
๏ Pour afficher la configuration d’une Class Map, utiliser la commande show running-config class-map
Thomas Moegli 168

Policy Maps
๏ Une Policy Map permet de combiner le trafic identifié par une Class Map avec une action
๏ Etapes
๏ Utilisation de la commande de configuration globale
๏ Le nom de la Policy map doit être unique et ne comporter pas plus de 40 caractères
๏ On passe en mode de configuration Policy Map (config-pmap)
๏ En mode config-pmap, configurer les options :
๏ description
description : Ajout d’une description à la Policy Map
๏ class
class : Identifie une Class Map sur laquelle appliquer les actions. (Entre en sous-mode de config)
๏ Assigner les actions pour la classe :
๏ set
setconnection
connection : Définit les valeurs de connexion
๏ inspect
inspect : Vérifie le trafic au niveau protocole
๏ police
police : Définit une limitation de bande passante sur ce trafic
Thomas Moegli 169

Policy Maps : Vérification
๏ Pour afficher les informations sur une configuration Policy Map, utiliser la commande : 
show running-config
show running-config policy-map
policy-map
๏ Pour supprimer toutes les Policy Maps, utiliser la commande suivante : 

clear configure policy-map
Thomas Moegli 170

Service Policy
๏ Pour activer une Policy Map sur toutes les interfaces ou sur une interface particulière, on utilise une Service Policy qui
se configure avec la commande service-policy
ASA(config)# service-policy
๏ Syntaxe : 
ASA(config)# service-policy policy-map-name [global | interface intf]
Thomas Moegli 171

Service Policy : Vérification
๏ Pour afficher la configuration des Service Policies, utiliser la commande show service-policy
ASA# show service-policy ou  
show running-config
ASA# show running-configservice-policy
service-policy
๏ Pour supprimer tous les Service Policies configurés, utiliser la commande clear configure
ASA# clear service-policy
configure service-policy
Thomas Moegli 172

Default Class Map
๏ MPF propose trois paramètres par défaut :

๏ Default Class map
๏ Default Policy map
๏ Default Service policy
๏ La configuration inclut également une Class Map par défaut pour le trafic de couche 3/4 que l’ASA utilise par défaut .
Cette class-map est appelée inspection_default
๏ class-mapinspection_default
class-map inspection_default
๏ matchdefault-inspection-traffic
match default-inspection-traffic
Thomas Moegli 173

Default Policy Map
๏ La configuration inclut une Policy Map de couche 3/4 par défaut que l’ASA utilise par défaut. Cette Policy Map est
appelée global_policy et effectue de l’inspection sur plusieurs protocoles usuels (DNS, FTP, …)
๏ Il ne peut y avoir qu’une seule Policy globale
Thomas Moegli 174

Default Service Policy
๏ Par défaut, l’ASA contient un Service Policy global qui utilise la Policy Map par défaut présentée précédemment
๏ Ce Service Policy s’applique sur toutes les interfaces
๏ Pour modifier la Policy globale, l’administrateur doit aller éditer cette Default Policy, ou la désactiver et appliquer une
nouvelle Policy
Thomas Moegli 175

ASA Default Policy
…
class-map inspection_default Class-map identifiant le trafic  

match default-inspection-traffic default-inspection-traffic
policy-map global_policy
class inspection_default
Policy map qui associe les actions au trafic
inspect dns preset_dns_map identifié par la Class-Map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcl
Service Policy qui applique la Policy Map à
service-policy global_policy global toutes les interfaces
Thomas Moegli 176

Configuration Service Policies (ASDM)
๏ Configuration ➔ Firewall ➔ Service Policy Rules

๏ Création d’une Policy avec le bouton Add
Thomas Moegli 177

Merci de votre attention !
thomas.moegli@icloud.com
Références
CCNA Security 640-554 : Official Cert Guide, Cisco Press (K. Barker, S. Morris, K. Wallace, M. Watkins)
Cisco Firewalls, Cisco Press (A. Moreaes)
Cisco ASA 5500-X Series Next-Generation Firewalls, LiveLessons (O. Santos)
Implementing the Cisco Adaptive Security Appliance (ASA), Cisco
Thomas Moegli 178

Cisco Asa-Ok PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Cisco Asa-Ok PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Cisco ASA

1 Cisco ASA - 18 octobre 2015

2 Cisco ASA - 18 octobre 2015

๏ Cisco ASA est le firewall Stateful le plus

3 Cisco ASA - 18 octobre 2015

๏ Tous les modèles ASA supportent des fonctionnalités basiques d’IPS

4 Cisco ASA - 18 octobre 2015

5 Cisco ASA - 18 octobre 2015

6 Cisco ASA - 18 octobre 2015

7 Cisco ASA - 18 octobre 2015

8 Cisco ASA - 18 octobre 2015

9 Cisco ASA - 18 octobre 2015

10 Cisco ASA - 18 octobre 2015

11 Cisco ASA - 18 octobre 2015

12 Cisco ASA - 18 octobre 2015

13 Cisco ASA - 18 octobre 2015

14 Cisco ASA - 18 octobre 2015

7 : Security Services Card (SSC) LED

15 Cisco ASA - 18 octobre 2015

16 Cisco ASA - 18 octobre 2015

2 : Slot pour extension avec Security Service Card (SSC)

17 Cisco ASA - 18 octobre 2015

18 Cisco ASA - 18 octobre 2015

๏ Les appliances ASA sont pré-installées avec soit :

๏ Une licence Security Plus

๏ Les licences peuvent être perpétuelles ou à durée limitée (time-based)

19 Cisco ASA - 18 octobre 2015

ASA# show activation-key

This platform has a Base license.

20 Cisco ASA - 18 octobre 2015

Licensed features for this platform:

This platform has a Base license.

Serial Number: JMX15364077

21 Cisco ASA - 18 octobre 2015

22 Cisco ASA - 18 octobre 2015

๏ Le serveur de licence est partagé

๏ Les licences sont distribuées aux participants par blocs de 50 licences

23 Cisco ASA - 18 octobre 2015

24 Cisco ASA - 18 octobre 2015

25 Cisco ASA - 18 octobre 2015

๏ WAN ➔ DMZ interdit (car WAN = 0 < DMZ = 50) LAN

un trafic précis depuis le WAN

26 Cisco ASA - 18 octobre 2015

ASA2# show nameif

27 Cisco ASA - 18 octobre 2015

Sec-lvl = 100 Sec-lvl = 0

28 Cisco ASA - 18 octobre 2015

29 Cisco ASA - 18 octobre 2015

๏ Le trafic issu du réseau Outside à destination du réseau Inside est refusé

30 Cisco ASA - 18 octobre 2015

๏ Mode de déploiement traditionnel pour un firewall 10.2.1.1

๏ Sépare deux domaines de couche 3

๏ S’intègre sur les réseaux existants sans devoir redéfinir l’adressage IP

31 Cisco ASA - 18 octobre 2015

32 Cisco ASA - 18 octobre 2015

33 Cisco ASA - 18 octobre 2015

passerelle par défaut

34 Cisco ASA - 18 octobre 2015

Les fonctions suivantes ne sont pas supportés en mode Transparent :

35 Cisco ASA - 18 octobre 2015

๏ Le mode par défaut est Routed

ASA(config)# no firewall transparent

36 Cisco ASA - 18 octobre 2015

๏ Activer ARP Inspection avec la commande suivante : 

2. Sauvegarder la clé RSA et la configuration avec la commande d’enregistrement mémoire : 

Do you really want to replace them? [yes/no]: y 

๏ Spécifier l’image ASDM à utiliser 