Documente Academic
Documente Profesional
Documente Cultură
Thomas Moegli
Ing. HES Télécommunications - Réseaux et Sécurité IT
Thomas Moegli 3
Fonction Description
๏ L’ASA propose un service de firewall avec gestion des états TCP ou UDP pour les connexions qui transitent par
lui
Stateful Firewall
๏ Seuls les paquets qui correspondent à une connexion active sont autorisées par le firewall, les autres sont
rejetés
VPN Concentrator ๏ L’ASA supporte les connexions IPsec et SSL en Remote Access et les connexions VPN Site-to-Site
Thomas Moegli 4
๏ Deux ASA peuvent être reliés dans un mode de fonctionnement Active/Standby pour permettre la
redondance d’équipements et ala tolérance de pannes
Haute disponibilité
๏ Un ASA est promu comme périphérique primaire (Active) tandis que l’autre est mis en mode StandBy
๏ Le software, les licences, la mémoire et les interfaces doivent être identiques sur les deux ASA
๏ L’ASA permet un contrôle d’accès en utilisant les informations d’authentification d’un annuaire Active Directory
Identity Firewall ๏ Permet de créer des règles permettant des utilisateurs ou groupes d’utilisateurs au lieu de règles traditionnels
basées sur les adresses IP
๏ En plus des fonctions IPS, des outils anti-malware et gestion des risques peuvent être ajoutés via le module
Threat Control
Content Security and Control (CSC)
Thomas Moegli 5
๏ Filtrage de paquets
๏ Filtrage Stateful ๏ Support VPN
๏ Filtrage et inspection applicative ๏ Groupe d’objets (Object groups)
๏ Network Address Translation (NAT) ๏ Filtrage du trafic de botnets
๏ DHCP ๏ Haute disponibilité
๏ Routage ๏ Support AAA
๏ Implémentation Layer 3 ou Layer 2
Thomas Moegli 6
Périphérique ASA
Customer 1
Security
Context A
Customer 2
Internet
Security
Context B
Customer 3
Security
Context C
Thomas Moegli 7
.1
Internet .3 10.2.2.0/30
PC-A
.2 LAN Failover
.2 .2
ASA-2
Secondary/Standby
Thomas Moegli 8
Internet
Client Server
ASA
Microsoft Active
Directory AD Agent
Thomas Moegli 9
Thomas Moegli 10
ASA 5505
ASA 5510
ASA 5520, 5540, 5550
ASA 5585
Thomas Moegli 11
Thomas Moegli 12
๏ Le Cisco ASA 5505 est une appliance de sécurité complète pour les petites entreprises ou les succursales
๏ Il comporte un pare-feu haute performance, SSL VPN, IPsec VPN et plusieurs services réseaux dans une même
appliance.
Thomas Moegli 13
3 5
2 7
1 4 6
Description Description
1 Interface USB 2.0 5 Indicateur Active
2 Indicateurs Speed et Link 6 Indicateur VPN
3 Indicateur d’alimentation (Power) 7 Indicateur Security Service Card (SSC)
4 Indicateur de status
Thomas Moegli 14
4 : Status LED
๏ Un indicateur vert clignotant indique que le système démarre et effectue le POST
๏ Un indicateur vert fixe indique que le système a passé les tests et qu’il est opérationnel
๏ Un indicateur orange indique des problèmes sur le système
5 : Active LED
๏ Un indicateur vert fixe indique que le Cisco ASA est configuré pour la tolérance de panne
6 : VPN LED
๏ Un indicateur vert fixe indique qu’un ou plusieurs tunnels VPN sont actifs
Thomas Moegli 15
2 3
4
8 7 6
1 5
Description Description
1 Alimentation électrique (48 VDC) 5 Bouton de réinitialisation (Reset)
2 Slot pour Security Services Card (SSC) 6 2 ports USB 2.0
3 Port Console série 7 Ports Ethernet 10/100 (ports 0 - 5)
4 Slot pour câble anti-vol (Kensington) 8 Ports PoE (Power of Ethernet) 10/100 (ports 6 et 7)
Thomas Moegli 16
8 7 6
1 5
8 : Les ports 6 et 7 sont PoE et simplifient le déploiement de téléphones IP Cisco ou points d’accès WiFi
Thomas Moegli 17
3 5
1 4 7
2
8
6
Description Description
1 Slots pour Security Services Modules (SSM) 5 Slot pour carte Flash
2 2 ports USB 2.0 6 Indicateurs LED Power, Status, Active, VPN, Flash
3 Interface de management Out of Band (OOB) 7 Port Console série
4 4 ports FastEthernet 8 Port auxiliaire
Thomas Moegli 18
Thomas Moegli 19
๏ Les clés de licence sont saisies avec la Licensed features for this platform:
Maximum Physical Interfaces : 8
commande activation-key
ASA# activation-key VLANs : 3, DMZ Restricted
Inside Hosts : 10
๏ Pour voir les licences activées sur l’ASA, il Failover : Disabled
faut entrer : VPN-DES : Enabled
VPN-3DES-AES : Enabled
show show
๏ ASA# activation-key
activation-key VPN Peers : 10
WebVPN Peers : 2
๏ show-version
ASA# show version Dual ISPs : Disabled
VLAN Trunk Ports : 0
AnyConnect for Mobile : Disabled
AnyConnect for Linksys phone : Disabled
Advanced Endpoint Assessment : Disabled
UC Proxy Sessions : 2
Thomas Moegli The flash activation key is the SAME as the running key. 20
<Output omitted>
Zürich
Cisco ASA 5505
Licence Server
Genève Lausanne
Cisco ASA 5505 Cisco ASA 5505
Participant and Backup Licence Server Participant
Thomas Moegli 22
Thomas Moegli 23
๏ Pour distinguer les réseaux internes et externes, l’ASA leur assigne un niveau de sécurité (Security-level)
๏ Le niveau de sécurité définit la confiance accordée à une interface (ou plusieurs interfaces dans le cas de l’ASA 5505)
๏ Plus le niveau est élevé, plus la confiance accordée est importante
๏ Le niveau peut être défini dans un intervalle de 0 (non confiant) à 100 (confiance totale)
๏ Chaque interface opérationnelle doit avoir :
๏ Un nom
๏ Un niveau de sécurité entre 0 et 100
๏ Une adresse IP (si on place l’ASA en mode Routed)
๏ Par défaut :
๏ Toute interface nommée inside se verra automatiquement attribué un niveau de sécurité = 100
๏ Toute interface nommée outside se verra automatiquement attribué un niveau de sécurité = 0
Thomas Moegli 25
๏ Par défaut, le trafic est autorisé depuis un niveau de confiance source supérieure à
la destination
๏ LAN ➔ WAN autorisé (car LAN = 100 > WAN = 0)
๏ Si deux interfaces ont même niveau de confiance, la configuration par défaut d’ASA
fait qu’ils ne peuvent communiquer
Thomas Moegli 26
Thomas Moegli 27
Implicit Deny
inbound
inside outside
Internet
Implicit Permit
outbound
Permit
Inbound Sec-lvl = 0
through ACL
p1
Sec-lvl = 50
dmz Implicit deny between
02 partner interfaces
p2
Permit Sec-lvl = 0
Inbound
through ACL
Thomas Moegli 28
๏ Inside Network
๏ Réseau protégé et placé derrière le firewall
๏ DMZ
๏ Zone démilitarisée, protégée par le firewall mais dispose de services qui doivent être accessibles par les clients (Visibilité
limitée)
๏ Outside network
๏ Réseau en dehors de la protection du firewall
Thomas Moegli 29
Internet
E0
DMZ Inside
E1 E2
Web Srv
ASA Clients
Thomas Moegli 30
๏ Mode Transparent
๏ Opère sur la couche 2 ASA 10.1.1.3
Thomas Moegli 31
Outside
Internet
100.1.2.0/24
Outside
Source NAT
10.1.1.113 ➔ 100.1.2.3
E0
DMZ Inside
DMZ
E1
10.1.3.0/24 Inside
Web Srv E2
10.1.1.0/24
10.1.3.3 10.1.1.113
ASA
Thomas Moegli 32
Outside
Internet
100.1.2.0/24
Outside
Destination NAT (Statique)
10.1.1.113 100.1.2.3
100.1.2.3 ➔ 10.1.3.3
E0
DMZ Inside
DMZ
E1
Web Srv 10.1.3.0/24 Inside
E2
10.1.1.0/24
10.1.3.3 10.1.1.113
ASA
Thomas Moegli 33
Internet
๏ Le trafic doit être explicitement autorisé
๏ Chaque réseau directement connecté doit faire partie
du même sous-réseau
Outside
๏ L’adresse IP de management doit être également sur
le même sous-réseau
10.1.1.0/24
E0
๏ NE PAS spécifier l’adresse IP de l’interface de Inside
Inside
management comme passerelle par défaut E2
10.1.1.113
ASA
๏ Les périphériques doivent indiquer le routeur comme .199
Management
๏ Chaque interface doit être sur une interface VLAN
différente
Thomas Moegli 34
Thomas Moegli 35
Thomas Moegli 36
Thomas Moegli 37
Périphérique ASA
Customer 1
Security
Context A
Customer 2
Internet
Security
Context B
Customer 3
Security
Context C
Thomas Moegli 38
Thomas Moegli 39
Thomas Moegli 40
๏ Un Service Provider qui veut proposer des fonctionnalités de sécurité à plusieurs clients
๏ Coûts réduits, réduction des équipements physiques tout en offrant une séparation de trafic entre clients
Thomas Moegli 41
Les fonctions suivantes peuvent être configurées dans un Security Context particulier avec Cisco ASA v9.0 :
๏ Protocoles de routage dynamiques
๏ EIGRP
๏ OSPFv2
๏ VPN
๏ IKE v1
๏ Après la version 9.0, il est possible de mélanger des contexts en mode Transparent avec des contexts en mode Routed
Thomas Moegli 42
๏ Le CLI du Cisco ASA est un OS propriétaire qui ressemble à l’IOS des routeurs Cisco
๏ Comme les routeurs IOS Cisco, l’ASA reconnait les éléments suivants :
๏ Abréviation des commandes et mots-clés
Thomas Moegli 44
Thomas Moegli 45
Thomas Moegli 46
๏ Depuis le software Cisco ASA v8.4, un ASA neuf sorti de la boîte possède une configuration limitée par défaut pour
permettre la connectivité IP
๏ La configuration par défaut sur un Cisco ASA 5510 ou plus possède une interface de management activée avec
l’adresse IP 192.168.1.1 pré-configurée
๏ Sur un Cisco ASA 5505, les interfaces switch (Ethernet0/0 - 0/7) sont actives.
๏ L’interface Ethernet0/0 est assignée au VLAN2, qui est supposée être l’interface associée au réseau Outside.
๏ Toutes les autres interfaces sont assignées au VLAN1 et sont considérés comme interfaces Inside.
๏ Le VLAN1 possède une adresse IP préconfigurée de 192.168.1.1/24 tandis que le VLAN2 est préconfigurée comme client
DHCP et reçoit une adresse IP dynamique.
Thomas Moegli 47
๏ Il est possible de configurer les adresses IP acceptées par l’ASA pour une connexion Telnet
ASA(config)# telnet
ASA(config)# telnet10.1.1.0 255.255.255.0
10.1.1.0 inside
255.255.255.0 inside
๏ IMPORTANT
Telnet est un protocole non sécurisé. Il est recommandé d’utiliser SSH pour gérer le Cisco ASA ou tout autre
périphérique.
Thomas Moegli 48
Etapes
1. Générer une clé RSA : ASA(config)
ASA(config)# crypto key generate rsa modulus 1024
๏ Sur le ASAv, la clé RSA est automatiquement générée après le déploiement
๏ La valeur modulus (en bits) doit être 512, 768, 1024 ou 2048
๏ Plus le modulus est grand, plus la clé sera difficile à décrypter mais plus le temps pour la générer sera importante
Thomas Moegli 50
Etapes
3. Activer l’authentification locale : ASA(config)
ASA(config)# aaa authentication ssh console LOCAL
4. Créer un utilisateur dans la base de données locale : ASA(config)# username admin password sUp3rScrTP4$$
5. Identifier les adresses IP sur lesquelles ASA accepte les connexions SSH :
ASA(config)# ssh 10.1.1.0 255.255.255.0 inside
๏ Il est possible de limiter l’accès à une version de SSH particulière (v1 ou v2). Par défaut, SSH accepte les
deux versions
ASA(config)# ssh version 2
Thomas Moegli 51
Thomas Moegli 52
Thomas Moegli 53
Thomas Moegli 54
Thomas Moegli 55
Thomas Moegli 56
๏ Lorsque la configuration par défaut n’est pas requise, il est conseillé de supprimer puis recharger l’ASA via les
commandes write
writeerase
erase et reload
reload
๏ L’ASA ne reconnait pas la commande erase
erasestartup-config
startup-config utilisé sur les routeurs IOS
๏ Une fois l’ASA redémarré, l’assistant de configuration initiale propose de configurer les éléments essentiels de l’ASA
๏ Cette méthode est optionnel, l’utilisateur peut répondre no pour ne pas utiliser l’assistant
๏ Cette méthode configure également les éléments essentiels pour l’accès à l’ASA via ASDM
Thomas Moegli 57
๏ Date et heure
๏ Adresse IP et masque
๏ Nom de domaine
Thomas Moegli 58
๏ Activer le serveur HTTP interne et indiquer les adresses IP qui autorisent les connexions HTTP (ASDM) sur l’ASA
ASA(config)# http server enable
ASA(config)# http 10.1.1.0 255.255.255.0 inside
Thomas Moegli 60
Thomas Moegli 61
Thomas Moegli 62
Thomas Moegli 63
๏ Pour supprimer et désactiver l’accès au service ASA HTTP Server, utiliser la commande suivante :
ASA# clear configure http
Thomas Moegli 64
๏ Du fait que l’ASA-SM ne propose aucune interface physique, il n’est pas pré-configuré pour l’accès ASDM
๏ Il faut configurer l’accès ASDM en passant par la console CLI du ASA-SM et en s’y connectant par le moyen vu
précédemment.
Thomas Moegli 65
Thomas Moegli 67
Thomas Moegli 68
๏ La fonction de Master Passphrase permet de stocker les mots de passe de manière chiffrée
๏ Une « clé universelle » est utilisée pour chiffrer tous les mots de passe
๏ Cette fonction est supportée pour :
๏ Authentification OSPF
๏ Authentification EIGRP
๏ Serveurs AAA
๏ Logins
๏ Licences partagées
Thomas Moegli 69
Thomas Moegli 70
Thomas Moegli 71
Thomas Moegli 72
๏ Il est possible de configurer plusieurs serveurs NTP. Le mot-clé prefer spécifie le serveur qui sera utilisé en priorité
Thomas Moegli 73
๏ Sur les équipements ASA 5510 et ultérieur, les interfaces sont routés dès qu’une configuration IP leur est appliquée
๏ L’ASA 5505 dispose de 8 ports Ethernet pour du switching Layer 2. Le routage IP s’effectue en plusieurs étapes
๏ Configuration d’une ou plusieurs interfaces virtuelles (SVI : Switched Virtual Interfaces) inside et outside. La configuration
comprend l’assignation d’un nom d’interface, d’un niveau de sécurité et d’une adresse IP
๏ Assignation d’un port Layer 2 au SVI VLAN Inside ou Outside
๏ Il est possible de définir un troisième SVI pour définir par exemple une zone DMZ
๏ Toutefois, la licence de base pour un ASA 5505 ne permet qu’un nombre restreint de SVI
Thomas Moegli 74
๏ nameif
ASA(config-if)# nameif
{inside | outside | name}
{inside | outside | name} : Assignation d’un nom à l’interface
๏ security-level valuesecurity-level value
ASA(config-if)# : Assignation d’un niveau de sécurité sur l’interface SVI
๏ Par défaut, la valeur de l’interface Inside vaut 100 et l’interface Outside vaut 0
๏ ip address ip-address
ASA(config-if)# ip netmask
address ip-address netmask : Configuration d’une adresse IP
๏ Optionnellement, au lieu d’une adresse IP fixe, une interface peut être configurée comme :
๏ Client DHCP via la commande ASA(config-if)# ip address dhcp [setroute]
ip address dhcp [setroute]
๏ Client PPPoE via la commande ipASA(config-if)#
address pope ip address pppoe [setroute]
๏ La configuration de l’ASA comme serveur DHCP sera vue plus loin
Thomas Moegli 76
๏ Un ASA 5505 avec une licence Security Plus supporte automatiquement la création de VLAN additionnels pour créer
d’autres zones, comme une zone DMZ
๏ Cependant, un ASA 5505 avec seulement une licence Basic ne supporte qu’un troisième SVI VLAN
๏ Ce SVI est limité pour initialiser les contacts sur un autre VLAN spécifique
๏ La commande suivante doit être configurée pour supporter le troisième VLAN SVI sur un ASA 5505 avec licence Basic :
no forward interface
ASA(config)# plan vlan-id
no forward interface vlan vlan-id
๏ Cette commande ne doit être configurée que lorsque les interfaces VLAN Inside et Outside sont configurées
๏ Le nouveau SVI doit également être nommé, posséder un niveau de sécurité ainsi qu’une adresse IP.
Thomas Moegli 77
Thomas Moegli 79
Nombre d’hôtes par licence Nombre maximum d’adresses IP disponibles pour DHCP
10 hôtes 32 adresses
50 hôtes 128 adresses
Illimité 256 adresses
Thomas Moegli 80
๏ Spécifier les options du pool DHCP (Nom de domaine, serveurs DHCP, interface sur laquelle activer le pool)
ASA(config)# dhcpd dns 8.8.8.8
ASA(config)# dhcpd domain cisco.com
ASA(config)# dhcpd enable inside
Thomas Moegli 81
Thomas Moegli 82
๏ Il est possible de configurer l’agent de relais DHCP de manière globale ou par interface
๏ Si configuré de manière globale, il est nécessaire de spécifier l’interface sur laquelle le serveur DHCP est atteignable
Thomas Moegli 83
๏ Il est possible d’indiquer spécifiquement les interfaces sur lesquelles seront connectées des clients DHCP de confiance
ASA(config)# interface GigabitEthernet0/0
ASA(config-if)# dhcprelay information trusted
Thomas Moegli 84
๏ Configuration d’un agent relai IPv6 pour les clients de la DMZ vers un serveur DHCP connecté sur l’interface outside
ASA(config)# ipv6 dhcprelay server 1FFC:C00:C18:6:A8BB:AAFF:F123:1234 outside
ASA(config)# dhcprelay enable dmz
Thomas Moegli 85
Thomas Moegli 87
๏ Cisco ASA Security Device Manager (ASDM) est un outil GUI Java permettant de faciliter l’installation, la configuration,
le monitoring et le troubleshooting d’un Cisco ASA
๏ ASDM est préchargé dans la mémoire Flash de n’importe quel ASA fonctionnant sur une version 7.0 et ultérieur
๏ ASDM peut être :
๏ Démarré comme application Java Web téléchargé dynamiquement depuis la mémoire Flash du routeur ASA
๏ Téléchargé depuis la mémoire Flash et installé sur un poste en tant qu’application Java complète permettant à un
administrateur de gérer plusieurs périphériques ASA
Thomas Moegli 89
Etapes
1. Vérifier la connectivité avec l’ASA (Ping)
2. Ouvrir un navigateur Web et établir une connexion HTTP à l’ASA
3. Choisir de
๏ Installer ASDM en tant qu’application Java
๏ Démarrer ASDM en tant qu’application Web Java
๏ Démarrer l’assistant pour effectuer les paramètres initiaux
4. S’authentifier sur l’ASDM
Thomas Moegli 90
Thomas Moegli 91
Thomas Moegli 92
Thomas Moegli 93
Thomas Moegli 94
Thomas Moegli 95
Thomas Moegli 96
๏ Sur un ASA, l’administrateur effectue les configurations (règles de firewalls, règles VPN, règles NAT, …) via l’utilisation
d’objets (Objects) ou groupes d’objets (Objects Groups)
๏ Un objet peut être défini par une adresse IP particulière, un sous-réseau ou un protocole (et optionnellement un
numéro de port)
๏ L’avantage d’utiliser les objets est que, lorsque l’un des paramètres doit être modifié (adresse IP, port, …), les
changements sont automatiquement appliquées aux règles utilisant cet objet
Thomas Moegli 98
CCNAS-ASA(config)# object ?
configure mode commands/options:
network Specifies a host, subnet or range IP addresses
service Specifies a protocol/port
CCNAS-ASA(config)#
Thomas Moegli 99
๏ Il est également possible de créer des groupes d’objets de service via la commande :
ASA(config)# object-group service group-name [tcp | udp | tcp-udp]
๏ Dans les deux cas, les ACL sont composés d’un ensemble de règles ACE
๏ Les ACL sont traitées de manière séquentielle depuis le haut vers le bas
๏ Dès qu’une entrée ACE correspond, on sort de l’ACL sans consulter les règles suivantes
๏ Ils possèdent une entrée de refus par défaut à la fin de la liste
๏ Ils respectent la règle suivante : une ACL par interface, par protocole, par sens
๏ Ils peuvent être activés/désactivés selon des plages horaires définies
USAGE:
๏ Pour le contrôle du trafic, l’ACL doit être appliqué à une interface via la commande access-group
ASA(config)# access-group
๏ Syntaxe :
Syntaxe Description
access-group ๏ Mot-clé utilisé pour appliquer une ACL à une interface
acl-id ๏ Nom de l’ACL
in ๏ L’ACL filtre les paquets entrants
out ๏ L’ACL filtre les paquets sortants
interface ๏ Mot-clé utilisé pour spécifier l’interface à appliquer l’ACL
interface_name ๏ Nom de l’interface sur lequel appliquer l’ACL
per-user-override ๏ Option permettant de remplacer toutes les ACL de l’interface par l’ACL
control-plane ๏ Spécifie si la règle est utilisé pour du trafic vers ou provenant de l’ASA
๏ L’ACL interdit tous les hôtes du réseau 192.168.1.0/24 à accéder à un hôte particulier sur l’adresse 209.165.201.228
๏ Par défaut, tout autre trafic est autorisé
๏ L’ACL autorise tous les hôtes du réseau 192.168.1.0/24 à accéder à un hôte particulier sur l’adresse 209.165.201.228
๏ Par défaut, tout autre trafic est refusé
๏ L’ACL refuse tout accès au serveur sur l’adresse 209.165.201.229 sur le port 80 (www)
๏ Par défaut, tout autre trafic est autorisé
Thomas Moegli 122
๏ Utiliser la commande suivante permet d’activer la communication entre hôtes connectées à la même interface :
same-security-traffic permit intra-interface
show access-list
PC-A
209.165.201.1
Serveur Web
Serveur Mail .131
E0/1
209.165.202.128/27 209.165.200.224/27
Inside E0/2
E0/0 Internet
(VLAN 1) Outside
(VLAN 2)
Serveur Web
Serveur Mail .132
209.165.201.2
PC-B
Serveur Web
Vérification ACL Serveur Mail
209.165.202.131
ASA# show running-config access-list
access-list ACL-IN remark Permet uniquement PC-A/PC-B -> Serveurs
access-list ACL-IN extended permit object-group TCP object-group Internet-Hosts object- group Internal-Servers object-group HTTP-SMTP Serveur Web
Serveur Mail
209.165.202.132
ASA# show access-list ACL-IN brief
access-list ACL-IN; 9 elements; name hash: 0x44d1c580
๏ Comme sur les routeurs IOS, l’ASA supporte les types de NAT suivants :
๏ Inside NAT
๏ Lorsque l’ASA translate les adresses des côtes internes vers des adresses globales
๏ Le trafic de retour est également géré
๏ Outside NAT
๏ Méthode utilisé lorsque du trafic d’une interface à basse sécurité vers une interface à sécurité plus élevée
๏ Cette méthode peut être utile pour rendre visible un hôte d’un réseau interne sur une adresse IP connue externe
๏ Bidirectional NAT
๏ Effectue les translations NAT Inside et Outside
๏ PAT n’est pas supporté car en mode transparent, les interfaces n’ont pas d’adresses IP et il n’est pas possible d’utiliser l’adresse
IP de management comme adresse mappée.
๏ La translation entre IPv4 et IPv6 n’est pas supportée
๏ La translation entre deux réseaux IPv6 ou entre deux réseaux IPv4 est supportée
Ins
Ou ide
tsi NA
.3
de T
N AT
E0/2
Inside NAT
Outside NAT
๏ Introduit dans la version 8.3 de l’ASA, la fonctionnalité d’Auto NAT simplifie la configuration NAT ainsi :
๏ Création d’un Network Object
๏ Identification des réseaux à translater
๏ Définir les paramètres de la commande nat
NOTE
๏ Avant le version 8.3, NAT était configuré via les commandes nat, global et static
๏ Les commandes global et static ne sont plus reconnues
ASA(config)# object network INSIDE-NET remark Permet uniquement PC-A/PC-B -> Serveurs
ASA(config-network-object)# subnet 192.168.1.0 255.255.255.224
ASA(config-network-object)# nat (inside,outside) dynamic interface
ASA(config-network-object)# end
ASA#
ASA# show running-config nat
!
object network INSIDE-NET
nat (inside,outside) dynamic interface
ASA#
ASA# show running-config object
object network INSIDE-NET
nat (inside,outside) dynamic interface
ASA#
๏ Règle NAT indiquant que le trafic provenant de real-ifc vers le mapped-ifc aura une adresse assignée dynamiquement avec le
pool d’adresses IP publiques.
.3
E0/2
Inside .5 209.165.200.224/27 PC-B
(VLAN 1)
E0/1 E0/0 Internet
209.165.201.2
Outside
(VLAN 2)
192.168.1.0/27
๏ Règle NAT indiquant que le trafic provenant de real-ifc vers le mapped-ifc aura l’adresse IP de l’interface ou l’adresse IP configurée
assignée après le mot-clé dynamic.
.3
E0/2
Inside .5 209.165.200.224/27 PC-B
(VLAN 1)
E0/1 E0/0 Internet
209.165.201.2
Outside
(VLAN 2)
192.168.1.0/27
.3
E0/2
Inside .5 209.165.200.224/27 PC-B
(VLAN 1)
E0/1 E0/0 Internet
209.165.201.2
Outside
(VLAN 2)
192.168.1.0/27
๏ Règle NAT faisant correspondre une adresse interne à une adresse externe.
NOTE
๏ Static NAT requiert qu’une ACE doit être ajouté sur l’ACL de l’interface outside
.3
E0/2
Inside .5 209.165.200.224/27 PC-B
(VLAN 1)
E0/1 E0/0 Internet
209.165.201.2
Outside
(VLAN 2)
192.168.1.0/27
.3
E0/2
Inside .5 209.165.200.224/27 PC-B
(VLAN 1)
E0/1 E0/0 Internet
209.165.201.2
Outside
(VLAN 2)
192.168.1.0/27
๏ Contrairement aux routeurs ISR, les périphériques ASA ne supportent pas l’authentification locale sans utilisation du
protocole AAA
๏ Les périphériques ASA peuvent être configurés pour effectuer l’authentification via :
๏ Une base de donnée locale
๏ Un serveur externe
๏ Les deux
Username: admin
Password: *****
Type help or '?' for a list of available commands.
ASA>
Thomas Moegli 158
๏ MPF définit un ensemble de règles pour configurer des fonctionnalités comme par ex. inspection de trafic et QoS au
trafic qui traverse l’ASA
๏ Permet la classification des flux de trafic et l’application de différentes policies aux flux
๏ Cisco MPF utilise trois objets de configuration pour définir les règles :
NOTE
๏ Pour le trafic de management à destination de l’ASA, on utilise la commande
class-map type management class-map-name
๏ Une Policy Map permet de combiner le trafic identifié par une Class Map avec une action
๏ Etapes
๏ Utilisation de la commande de configuration globale
๏ Le nom de la Policy map doit être unique et ne comporter pas plus de 40 caractères
๏ On passe en mode de configuration Policy Map (config-pmap)
๏ En mode config-pmap, configurer les options :
๏ description
description : Ajout d’une description à la Policy Map
๏ class
class : Identifie une Class Map sur laquelle appliquer les actions. (Entre en sous-mode de config)
๏ Assigner les actions pour la classe :
๏ set
setconnection
connection : Définit les valeurs de connexion
๏ inspect
inspect : Vérifie le trafic au niveau protocole
๏ police
police : Définit une limitation de bande passante sur ce trafic
๏ Pour afficher les informations sur une configuration Policy Map, utiliser la commande :
show running-config
show running-config policy-map
policy-map
๏ Pour activer une Policy Map sur toutes les interfaces ou sur une interface particulière, on utilise une Service Policy qui
se configure avec la commande service-policy
ASA(config)# service-policy
๏ Syntaxe :
ASA(config)# service-policy policy-map-name [global | interface intf]
๏ Pour afficher la configuration des Service Policies, utiliser la commande show service-policy
ASA# show service-policy ou
show running-config
ASA# show running-configservice-policy
service-policy
๏ Pour supprimer tous les Service Policies configurés, utiliser la commande clear configure
ASA# clear service-policy
configure service-policy
๏ La configuration inclut une Policy Map de couche 3/4 par défaut que l’ASA utilise par défaut. Cette Policy Map est
appelée global_policy et effectue de l’inspection sur plusieurs protocoles usuels (DNS, FTP, …)
๏ Il ne peut y avoir qu’une seule Policy globale
๏ Par défaut, l’ASA contient un Service Policy global qui utilise la Policy Map par défaut présentée précédemment
๏ Ce Service Policy s’applique sur toutes les interfaces
๏ Pour modifier la Policy globale, l’administrateur doit aller éditer cette Default Policy, ou la désactiver et appliquer une
nouvelle Policy
thomas.moegli@icloud.com
Références
CCNA Security 640-554 : Official Cert Guide, Cisco Press (K. Barker, S. Morris, K. Wallace, M. Watkins)
Cisco Firewalls, Cisco Press (A. Moreaes)
Cisco ASA 5500-X Series Next-Generation Firewalls, LiveLessons (O. Santos)
Implementing the Cisco Adaptive Security Appliance (ASA), Cisco