Cisco ASA

Thomas Moegli
Ing. HES Télécommunications - Réseaux et Sécurité IT
Cisco ASA
1 Cisco ASA - 18 octobre 2015

Cisco ASA
Présentation

Thomas Moegli
๏ Cisco ASA est le firewall Stateful le plus
déployée en entreprise
๏ Analyse du flux complet de trafic avec la
fonction Cisco Application Visibility and Control
(AVC)
๏ FirePOWER Next-Generation IPS (NGIPS)
๏ Filtrage URL par réputation et par catégorie
๏ Fonctionnalités de VPN
Introduction à Cisco ASA
3
Cisco ASA

Thomas Moegli
Fonctions ASA
4
Fonction Description
Stateful Firewall
๏ L’ASA propose un service de firewall avec gestion des états TCP ou UDP pour les connexions qui transitent par
lui
๏ Seuls les paquets qui correspondent à une connexion active sont autorisées par le firewall, les autres sont
rejetés
VPN Concentrator ๏ L’ASA supporte les connexions IPsec et SSL en Remote Access et les connexions VPN Site-to-Site
Intrusion Prevention
๏ Tous les modèles ASA supportent des fonctionnalités basiques d’IPS
๏ Des analyses plus détaillées peuvent être implémentés en ajoutant une carte ou un module d’extension Cisco
Advanced Inspection and Prevention Security Services Module (AIP-SSM) ou Cisco Advanced Inspection and
Prevention Security Services Card (AIP-SSC)

Thomas Moegli
Fonctions ASA
Fonctionnalités avancées
5
Fonction Description
Virtualisation
๏ Une appliance physique peut être partition en plusieurs instances virtuelles appelés contextes de sécurité
(Security Contexts)
๏ Chaque contexte est considéré comme un périphérique indépendant, avec ses propres règles, interfaces et
administrateurs
๏ La plupart des fonctionnalités IPS sont supportées excepté VPN et les protocoles de routage dynamiques
Haute disponibilité
๏ Deux ASA peuvent être reliés dans un mode de fonctionnement Active/Standby pour permettre la
redondance d’équipements et ala tolérance de pannes
๏ Un ASA est promu comme périphérique primaire (Active) tandis que l’autre est mis en mode StandBy
๏ Le software, les licences, la mémoire et les interfaces doivent être identiques sur les deux ASA
Identity Firewall
๏ L’ASA permet un contrôle d’accès en utilisant les informations d’authentification d’un annuaire Active Directory
๏ Permet de créer des règles permettant des utilisateurs ou groupes d’utilisateurs au lieu de règles traditionnels
basées sur les adresses IP
Threat Control
๏ En plus des fonctions IPS, des outils anti-malware et gestion des risques peuvent être ajoutés via le module
Content Security and Control (CSC)

Thomas Moegli
๏ Filtrage de paquets
๏ Filtrage Stateful
๏ Filtrage et inspection applicative
๏ Network Address Translation (NAT)
๏ DHCP
๏ Routage
๏ Implémentation Layer 3 ou Layer 2
Fonctions ASA
Résumé
6
๏ Support VPN
๏ Groupe d’objets (Object groups)
๏ Filtrage du trafic de botnets
๏ Haute disponibilité
๏ Support AAA

Thomas Moegli
๏ Un même périphérique ASA peut être divisé en plusieurs ASA virtuels (Security context) permettant de servir par
exemple trois clients différents
Fonctions ASA
Fonctionnalités avancées : Virtualisation
7
Internet
Périphérique ASA
Security
Context A
Security
Context B
Security
Context C
Customer 1
Customer 2
Customer 3

Thomas Moegli
๏ Le trafic provenant de PC 1 préfère utiliser le chemin passant par ASA-1
๏ ASA-1 et ASA-2 sont des périphériques identiques configurés pour la redondance. Chaque équipement surveille
l’activité de l’autre via le lien LAN Failover
๏ Si ASA-2 détecte que ASA-1 est défaillant, alors ASA-2 devient périphérique Primary/Active et le trafic est redirigé par
lui.
Fonctions ASA
Fonctionnalités avancées : Haute disponibilité
8
Internet
ASA-1
Primary/Active
PC-A
10.2.2.0/30
.1
.2
10.1.1.0/29
.3
.1
.2
192.168.1.0/24.1
.2
ASA-2
Secondary/Standby
LAN Failover

Thomas Moegli
Fonctions ASA
Fonctionnalités avancées : Identity Firewall
9
Internet
ASA
Microsoft Active
Directory AD Agent
ServerClient
๏ Un client qui tente d’accéder à des ressources sur un serveur doit d’abord s’authentifier en utilisant Microsoft Active
Directory

Thomas Moegli
๏ Des fonctionnalités IPS peuvent être ajoutés via des modules additionnels
๏ Le module Cisco Advanced Inspection and Prevention Security Services Modules (AIP-SSM) peut être utilisé sur le
périphérique ASA 5540
๏ Le module Cisco Advanced Inspection and Prevention Security Services Card (AIP-SSC) peut être utilisé pour le périphérique
ASA 5505
Fonctions ASA
Fonctionnalités avancées : IDS/IPS
10

Thomas Moegli
ASA 5505
Quelques exemples de produits ASA
11
ASA 5510
ASA 5520, 5540, 5550
ASA 5585

Thomas Moegli
Modèles ASA
12

Thomas Moegli
๏ Le Cisco ASA 5505 est une appliance de sécurité complète pour les petites entreprises ou les succursales
๏ Il comporte un pare-feu haute performance, SSL VPN, IPsec VPN et plusieurs services réseaux dans une même
appliance.
Modèles ASA
ASA 5505
13

Thomas Moegli
Modèles ASA
ASA 5505 : Présentation (panneau avant)
14
1
2
3
4
5
6
7
Description
1 Interface USB 2.0
2 Indicateurs Speed et Link
3 Indicateur d’alimentation (Power)
4 Indicateur de status
Description
5 Indicateur Active
6 Indicateur VPN
7 Indicateur Security Service Card (SSC)

Thomas Moegli
2 : Indicateurs Speed et Link
๏ Si la LED Speed est verte, le lien fonctionne à 100 Mb/s, aucune LED indique 10 Mb/s
๏ Si la LED Activity est verte, le lien réseau est établi et fonctionnel
๏ Si la LED Activity clignote, cela signifie de l’activité réseau
4 : Status LED
๏ Un indicateur vert clignotant indique que le système démarre et effectue le POST
๏ Un indicateur vert fixe indique que le système a passé les tests et qu’il est opérationnel
๏ Un indicateur orange indique des problèmes sur le système
5 : Active LED
๏ Un indicateur vert fixe indique que le Cisco ASA est configuré pour la tolérance de panne
6 : VPN LED
๏ Un indicateur vert fixe indique qu’un ou plusieurs tunnels VPN sont actifs
7 : Security Services Card (SSC) LED
๏ Un indicateur vert fixe indique qu’une carte SSC est présent dans le slot SSC
Modèles ASA
ASA 5505 : Présentation (panneau avant)
15
1
2
3
4
5
6
7

Thomas Moegli
Modèles ASA
ASA 5505 : Présentation (panneau arrière)
16
Description
1 Alimentation électrique (48 VDC)
2 Slot pour Security Services Card (SSC)
3 Port Console série
4 Slot pour câble anti-vol (Kensington)
Description
5 Bouton de réinitialisation (Reset)
6 2 ports USB 2.0
7 Ports Ethernet 10/100 (ports 0 - 5)
8 Ports PoE (Power of Ethernet) 10/100 (ports 6 et 7)
1
2 3
4
5
678

Thomas Moegli
2 : Slot pour extension avec Security Service Card (SSC)
๏ Permet l’ajout d’une carte Cisco Advanced Inspection and Prevention Security Services Card (AIP-SSC) pour installer les
services de prévention d’intrusion
6 : Ports USB pour l’installation de services additionnels
7 : 8 Ports Switch Ethernet 10/100
๏ Chaque port peut être groupé pour créer jusqu’à 3 VLAN séparés
8 : Les ports 6 et 7 sont PoE et simplifient le déploiement de téléphones IP Cisco ou points d’accès WiFi
Modèles ASA
ASA 5505 : Présentation (panneau arrière)
17
1
2 3
4
5
678

Thomas Moegli
Modèles ASA
ASA 5520 : Présentation
18
Description
1 Slots pour Security Services Modules (SSM)
2 2 ports USB 2.0
3 Interface de management Out of Band (OOB)
4 4 ports FastEthernet
Description
5 Slot pour carte Flash
6 Indicateurs LED Power, Status, Active, VPN, Flash
7 Port Console série
8 Port auxiliaire
1
3
2
4 5
6
7
8

Thomas Moegli
๏ Les appliances ASA sont pré-installées avec soit :
๏ Une licence de base (Base Licence)
๏ Une licence Security Plus
๏ Les licences peuvent être perpétuelles ou à durée limitée (time-based)
๏ Souvent, les licences à durée limitée sont utilisés pour des produits qui nécessitent un abonnement pour obtenir les mises à
jour (Botnet Inspection par ex.)
Licences ASA
19

Thomas Moegli
๏ Les clés de licence sont saisies avec la
commande activation-key
๏ Pour voir les licences activées sur l’ASA, il
faut entrer :
๏ show activation-key
๏ show-version
Licences ASA
Activation
20
ASA# activation-key
ASA# show activation-key
ASA# show version
ASA# activation-key 682fd277 c4874bb7 f533b52c c660c844 8422d892
Serial Number: JMX1316M41H
Running Activation Key: 0x2174cf47 0x945b4c3a 0x74159120 0xba2ca848 0x8f602feb
Licensed features for this platform:
Maximum Physical Interfaces : 8
VLANs : 3, DMZ Restricted
Inside Hosts : 10
Failover : Disabled
VPN-DES : Enabled
VPN-3DES-AES : Enabled
VPN Peers : 10
WebVPN Peers : 2
Dual ISPs : Disabled
VLAN Trunk Ports : 0
AnyConnect for Mobile : Disabled
AnyConnect for Linksys phone : Disabled
Advanced Endpoint Assessment : Disabled
UC Proxy Sessions : 2
This platform has a Base license.
The flash activation key is the SAME as the running key.

Thomas Moegli
Licences ASA
Activation
21
ASA# activation-key
ASA# show version
ASA# show version 
<Output omitted>
Licensed features for this platform:
Maximum Physical Interfaces : 8 perpetual
VLANs : 3 DMZ Restricted
Dual ISPs : Disabled perpetual
VLAN Trunk Ports : 0 perpetual
Inside Hosts : 10 perpetual
Failover : Disabled perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 10 perpetual
Total VPN Peers : 25 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
This platform has a Base license.
Serial Number: JMX15364077
Running Permanent Activation Key: 0x970bc671 0x305fc569 0x70d21158 0xb6ec2ca8 0x8a003fb9
Configuration register is 0x41 (will be 0x1 at next reload)
Configuration last modified by enable_15 at 10:03:12.749 UTC Fri Sep 23 2011

Thomas Moegli
Licences ASA
Licences partagées et serveur de licence
22
Cisco ASA 5505
Participant
Cisco ASA 5505
Participant and Backup Licence Server
Cisco ASA 5505
Licence Server
Lausanne
Zürich
Genève

Thomas Moegli
๏ Le serveur de licence est partagé
๏ Les autres appliances fonctionnent comme participants
๏ Un participant peut être configuré comme serveur de licence de secours (Backup License Server)
๏ Un seul participant peut être serveur de secours
๏ Les licences sont distribuées aux participants par blocs de 50 licences
๏ Le participant va demander un nouveau bloc de 50 si le nombre actuel de licences restantes dans le bloc actuel est
inférieur à 10 unités.
๏ Les licences sont renvoyées sur le serveur de licences si
Licences ASA
Licences partagées et serveur de licence
23

Cisco ASA
Terminologie

Thomas Moegli
๏ Pour distinguer les réseaux internes et externes, l’ASA leur assigne un niveau de sécurité (Security-level)
๏ Le niveau de sécurité définit la confiance accordée à une interface (ou plusieurs interfaces dans le cas de l’ASA 5505)
๏ Plus le niveau est élevé, plus la confiance accordée est importante
๏ Le niveau peut être défini dans un intervalle de 0 (non confiant) à 100 (confiance totale)
๏ Chaque interface opérationnelle doit avoir :
๏ Un nom
๏ Un niveau de sécurité entre 0 et 100
๏ Une adresse IP (si on place l’ASA en mode Routed)
๏ Par défaut :
๏ Toute interface nommée inside se verra automatiquement attribué un niveau de sécurité = 100
๏ Toute interface nommée outside se verra automatiquement attribué un niveau de sécurité = 0
Niveaux de sécurité ASA
25

Thomas Moegli
๏ Par défaut, le trafic est autorisé depuis un niveau de confiance source supérieure à
la destination
๏ LAN ➔ WAN autorisé (car LAN = 100 > WAN = 0)
๏ WAN ➔ DMZ interdit (car WAN = 0 < DMZ = 50)
๏ Pour la DMZ, il est nécessaire d’ajouter des règles autorisant  
un trafic précis depuis le WAN
๏ L’autorisation du trafic de retour se fait automatiquement grâce à la  
fonction Statefull Inspection du Cisco ASA
๏ Si deux interfaces ont même niveau de confiance, la configuration par défaut d’ASA
fait qu’ils ne peuvent communiquer
Niveaux de sécurité ASA
26
DMZ
192.168.10.0/24
LAN
192.168.1.0/24
WAN
Security Level : 50
Security Level : 100
Security Level : 0

Thomas Moegli
Niveaux de sécurité
27
ASA2# show nameif
Interface Name Security
Vlan4 out 0
Vlan7 dmz 50
Vlan100 inside 100

Thomas Moegli
Types d’accès
28
Server
inside outside
Internet
Sec-lvl = 0Sec-lvl = 100
Implicit Permit
outbound
Implicit Deny
inbound
dmz
p1
Sec-lvl = 50
Permit
Inbound
through ACL
p2
Permit
Inbound
through ACL
Sec-lvl = 0
Sec-lvl = 0
Implicit deny between
02 partner interfaces

Thomas Moegli
๏ Inside Network
๏ Réseau protégé et placé derrière le firewall
๏ DMZ
๏ Zone démilitarisée, protégée par le firewall mais dispose de services qui doivent être accessibles par les clients (Visibilité
limitée)
๏ Outside network
๏ Réseau en dehors de la protection du firewall
Terminologie ASA
29

Thomas Moegli
๏ Le trafic issu du réseau Outside à destination du réseau Inside est refusé
๏ Le trafic issu du réseau DMZ à destination du réseau Inside est refusé
Terminologie ASA
30
Outside
ASA
E1
E0
E2
DMZ Inside
Clients
Internet
Web Srv

Thomas Moegli
Le périphérique ASA peut opérer dans un des 2 modes suivants :
Terminologie ASA
Mode Routed vs Transparant
31
ASA
10.2.1.0/24
10.1.1.0/24
10.1.1.1
10.2.1.1
10.1.1.0/29
.1 .2
ASA 10.1.1.3
๏ Mode Transparent
๏ Opère sur la couche 2
๏ S’intègre sur les réseaux existants sans devoir redéfinir l’adressage IP
๏ Simplifie le filtrage interne et la segmentation des réseaux
๏ Permet la protection et le filtrage sur un même sous-réseau
๏ Mode Routed (par défaut)
๏ Mode de déploiement traditionnel pour un firewall
๏ Sépare deux domaines de couche 3
๏ Permet également la configuration NAT
๏ Applique les règles aux flux de trafic qui transitent par ce firewall 
Ne permet pas le filtrage de paquets entre deux hôtes du même sous-réseau

Thomas Moegli
Terminologie ASA
Mode Routed
32
Outside
ASA
E1
E0 E2
DMZ Inside
10.1.1.113
Internet
Web Srv
Inside
10.1.1.0/24
DMZ
10.1.3.0/24 Outside
100.1.2.0/24
Source NAT
10.1.1.113 ➔ 100.1.2.3
10.1.3.3

Thomas Moegli
Outside
ASA
E1
E0 E2
DMZ Inside
10.1.1.113
Internet
Web Srv Inside
10.1.1.0/24
DMZ
10.1.3.0/24 Outside
100.1.2.0/24
Destination NAT (Statique)
10.1.1.113 ➔ 100.1.2.3
Terminologie ASA
Mode Routed
33
10.1.3.3
100.1.2.3 ➔ 10.1.3.3

Thomas Moegli
๏ Le trafic doit être explicitement autorisé
๏ Chaque réseau directement connecté doit faire partie
du même sous-réseau
๏ L’adresse IP de management doit être également sur
le même sous-réseau
๏ NE PAS spécifier l’adresse IP de l’interface de
management comme passerelle par défaut
๏ Les périphériques doivent indiquer le routeur comme
passerelle par défaut
๏ Chaque interface doit être sur une interface VLAN
différente
Terminologie ASA
Mode Transparant
34
Outside
ASA
E0
E2
Inside
10.1.1.113
Internet
Inside
Management
.199
10.1.1.0/24
Outside

Thomas Moegli
Les fonctions suivantes ne sont pas supportés en mode Transparent :
๏ NAT
๏ Protocoles de routage dynamiques
๏ Routage multicast
๏ Pas de support d’adresses IPv6 Anycast
๏ DHCP Relay
๏ Qualité de service (QoS)
๏ Point de terminaison VPN
Terminologie ASA
Mode Transparant
35

Thomas Moegli
๏ Le mode par défaut est Routed
๏ Utiliser le mode Transparant avec la commande firewall transparent 
 
 
 
๏ Pour revenir au mode Routed, utiliser la commande no firewall transparent
Configuration ASA
Configurer le mode de fonctionnement
36
ASA(config)# firewall transparent
Switched to transparent mode
ASA# show firewall
Firewall mode : Transparent
ASA(config)# no firewall transparent
Switched to router mode
ASA# show firewall
Firewall mode : Router

Thomas Moegli
๏ ARP : Address Resolution Protocol
๏ En premier, ajouter une entrée ARP statique. ARP Inspection compare les paquets ARP avec les entrées ARP de la table
ARP 
arp outside 10.1.1.99 934903248
๏ Activer ARP Inspection avec la commande suivante : 
lkfjdlksfjdslfkj
Configuration ASA
Mode Transparent : Configurer ARP Inspection
37
ASA(config)# arp outside 10.1.1.99 0001.5c32.6c81
ASA(config)# arp-inspection outside enable no-flood

Thomas Moegli
๏ Un même périphérique ASA peut être divisé en plusieurs ASA virtuels (Security context) permettant de servir par
exemple trois clients différents
Security Context
38
Internet
Périphérique ASA
Security
Context A
Security
Context B
Security
Context C
Customer 1
Customer 2
Customer 3

Thomas Moegli
๏ Commande de configuration globale : context
Configuration ASA
Création d’un Security Context
39
ASA(config)# context customer1
Creating context ‘customer1’...Done (4)
ASA(config-ctx)# description customer 1 context
ASA(config-ctx)#
ASA(config-ctx)# allocate-interface gigabitethernet0/1.101 int1
ASA(config-ctx)# allocate-interface gigabitethernet0/1.102 int2
ASA(config-ctx)#
ASA(config-ctx)# config-url disk0:context1.cfg
INFO: Converting disk0:context1.cfg to disk0/context1.cfg
WARNING: Could not fetch the URL disk0:/context1.cfg
INFO: Creating context with default config
ASA(config)# context nom-contexte

Thomas Moegli
Configuration ASA
Changer le Security Context
40
ASA# changeto context customer1
ASA/customer1# show run
: Saved
:
ASA Version 9.1(3) <context>
!
hostname customer1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface int 1
no nameif
no security-level
no ip address
!
interface int2
no nameif
no security-level
no ip address

Thomas Moegli
๏ Un Service Provider qui veut proposer des fonctionnalités de sécurité à plusieurs clients
๏ Coûts réduits, réduction des équipements physiques tout en offrant une séparation de trafic entre clients
๏ Grande entreprise ou campus qui désire séparer les départements (Segmentation)
๏ Toute organisation qui désire que son réseau soit sécurisée par plus d’un ASA
Security Context : Cas d’utilisation
41

Thomas Moegli
Les fonctions suivantes peuvent être configurées dans un Security Context particulier avec Cisco ASA v9.0 :
๏ Protocoles de routage dynamiques
๏ EIGRP
๏ OSPFv2
๏ VPN
๏ IKE v1
๏ IKEv2 Site-to-Site VPN
๏ Mélanges de modes de firewall
๏ Avant la version 9.0, tous les contextes devaient être configurés en mode Transparent ou Routed
๏ Après la version 9.0, il est possible de mélanger des contexts en mode Transparent avec des contexts en mode Routed
Security Context : Fonctions
42

Cisco ASA
Configuration initiale

Thomas Moegli
๏ Le CLI du Cisco ASA est un OS propriétaire qui ressemble à l’IOS des routeurs Cisco
๏ Comme les routeurs IOS Cisco, l’ASA reconnait les éléments suivants :
๏ Abréviation des commandes et mots-clés
๏ Utilisation de la touche Tab pour compléter une commande partielle
๏ Utilisation de la touche (?) pour voir la syntaxe
๏ Contrairement aux routeurs IOS, l’ASA :
๏ Permet d’exécuter n’importe quelle commande ASA quel que soit le mode de configuration affiché et ne reconnait pas la
commande do utilisé en mode de configuration globale sur les routeurs IOS
๏ L’interruption des commandes show se fait via la touche Q (contrairement à la séquence Ctrl+C utilisé sur les routeurs IOS)
ASA CLI
44

Thomas Moegli
ASA CLI
Commandes IOS et équivalents ASA
45
Commande routeur IOS Commande ASA
enable secret password enable password password
line con 0 
password password 
login
passwd password
ip route route outside
show ip interfaces brief show interface ip brief
show ip route show route
show plan show switch vlan
show ip nat translations show xlate
copy running-config startup-config write [memory]
erase startup-config write erase

Thomas Moegli
Accès au CLI
Connexion par console
46

Thomas Moegli
๏ Depuis le software Cisco ASA v8.4, un ASA neuf sorti de la boîte possède une configuration limitée par défaut pour
permettre la connectivité IP
๏ La configuration par défaut sur un Cisco ASA 5510 ou plus possède une interface de management activée avec
l’adresse IP 192.168.1.1 pré-configurée
๏ Sur un Cisco ASA 5505, les interfaces switch (Ethernet0/0 - 0/7) sont actives.
๏ L’interface Ethernet0/0 est assignée au VLAN2, qui est supposée être l’interface associée au réseau Outside.
๏ Toutes les autres interfaces sont assignées au VLAN1 et sont considérés comme interfaces Inside.
๏ Le VLAN1 possède une adresse IP préconfigurée de 192.168.1.1/24 tandis que le VLAN2 est préconfigurée comme client
DHCP et reçoit une adresse IP dynamique.
Accès au CLI
Connexion par console
47

Thomas Moegli
๏ Il est possible de configurer les adresses IP acceptées par l’ASA pour une connexion Telnet 
ASA(config)# telnet 10.1.1.0 255.255.255.0 inside
๏ IMPORTANT 
Telnet est un protocole non sécurisé. Il est recommandé d’utiliser SSH pour gérer le Cisco ASA ou tout autre
périphérique. 
Accès au CLI
Connexion par Telnet
48

Thomas Moegli
๏ Accès Telnet (si requis)
๏ SSH est recommandé plutôt que Telnet
๏ Même si l’authentification est sécurisée via la commande passwd, sécuriser l’accès Telnet/SSH via une authentification
AAA avec une base de données locale est recommandée
๏ Utiliser les commandes suivantes pour activer l’authentification AAA :
๏ username name password password
๏ aaa authentication {telnet | ssh} console {LOCAL | TACACS-server | RADIUS-server}
๏ telnet host-ip host-mask inside
๏ telnet timeout minutes
Accès au CLI
Configuration : Telnet
49
ASA(config)# username name password password
ASA(config)# aaa authentication {telnet | ssh} console {LOCAL | TACACS-server | RADIUS-server}
ASA(config)# telnet host-ip host-mask inside
ASA(config)# telnet timeout minutes
ASA(config)# username admin password class
ASA(config)# aaa authentication telnet console LOCAL
ASA(config)# telnet timeout 10
ASA(config)#
passwd

Thomas Moegli
Etapes
1. Générer une clé RSA : ASA(config)
๏ Sur le ASAv, la clé RSA est automatiquement générée après le déploiement
๏ La valeur modulus (en bits) doit être 512, 768, 1024 ou 2048
๏ Plus le modulus est grand, plus la clé sera difficile à décrypter mais plus le temps pour la générer sera importante
2. Sauvegarder la clé RSA et la configuration avec la commande d’enregistrement mémoire : 
write mem
Accès au CLI
Connexion par SSH
50
ASA(config)# crypto key generate rsa modulus 1024
ASA# write mem

Thomas Moegli
Etapes
3. Activer l’authentification locale : ASA(config)
4. Créer un utilisateur dans la base de données locale :
5. Identifier les adresses IP sur lesquelles ASA accepte les connexions SSH : 
๏ Il est possible de limiter l’accès à une version de SSH particulière (v1 ou v2). Par défaut, SSH accepte les
deux versions 
Accès au CLI
Connexion par SSH
51
ASA(config)# aaa authentication ssh console LOCAL
ASA(config)# username admin password sUp3rScrTP4$$
ASA(config)# ssh 10.1.1.0 255.255.255.0 inside
ASA(config)# ssh version 2

Thomas Moegli
๏ Configuration similaire à Telnet mais requiert :
๏ Authentification AAA à activer
๏ Génération de clés RSA
๏ Pour vérifier la configuration SSH, utiliser la commande show ssh
Opérations de base
Configuration : SSH
52
ASA(config)# username admin password class
ASA(config)# crypto key generate rss modulus 1024
WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.
Do you really want to replace them? [yes/no]: y 
Keypair generation process begin. Please wait...
CCNAS-ASA(config)# ssh 192.168.1.3 255.255.255.255 inside
CCNAS-ASA(config)# ssh timeout 10 
CCNAS-ASA(config)# exit 
CCNAS-ASA# 
CCNAS-ASA# show ssh 
Timeout: 5 minutes 
Versions allowed: 1 and 2 
192.168.1.3 255.255.255.255 inside 
CCNAS-ASA#

Thomas Moegli
๏ En premier, localiser le slot sur lequel le module est installé
Accès au module de service Cisco ASA
(Cisco ASA-SM)
53
Switch# show module
Mod Ports Card Type Model Serial No.
--- ----- ------------------------------------ ------------------- -----------
2 3 ASA Service Module WS-SVC-ASA-SM1 SAD18372221
Mod MAC addresses Hw Fw Sw Status
--- —————————————————————————————————————- ----- ------------ ------------ -------
2 0022.bdd4.016f to 0022.bdd4.017e 0.201 12.2(2010080 12.2(2010121 Ok
...
๏ Utiliser la commande service-module session pour se connecter depuis le switch sur le module ASA-SM
Switch# service-module session slot 2
ASA>
Sw# service-module session

Thomas Moegli
๏ Dans le client web VMware
vSphere, cliquez-droit sur
l’instance ASAv dans l’inventaire
et choisir Open Console
๏ Ou sélectionnez l’instance et
ouvrez l’onglet Console
Accès à la console ASAv
54

Thomas Moegli
๏ Il est possible également de configurer un port série dans VMware vSphere
๏ Sur l’ASAv, créez un fichier appelé use_ttyS0 dans le répertoire racine du disk0. .Ce fichier ne doit pas avoir de
contenu, il doit simplement exister à l’emplacement suivant : 
disk0:/use_ttyS0
๏ Depuis ASDL, il est possible de charger un fichier texte vide en utilisant Tools ➔ File Management. L’accès ASDM est
discuté plus loin
๏ Sur la CLI, il est possible de copier un fichier existant et de le coller avec un nouveau nom. Par exemple : 
(config)#  
asdasd
๏ Rechargez ensuite l’ASAv
Accès à la console ASAv
55
ASAv# cd coredumpinfo
ASAv# copy coredumpinfo.cfg disk0:/use_ttyS0
disk0:/use_ttyS0
use_ttyS0 disk0

Thomas Moegli
๏ Interface de management sur les modèles :
๏ L’ASA 5505 ne possède pas d’interface de management
๏ ASA 5506 : Management 1/1
๏ ASA 5512-X et plus : Management 0/0
๏ ASAv : Management 0/0
๏ Par défaut, l’adresse IP de l’interface de management :
๏ Appliances physiques : 192.168.1.1
๏ ASAv : configuré par l’administrateur lors du déploiement
Accès ASDM via l’interface Management
56

Thomas Moegli
๏ Lorsque la configuration par défaut n’est pas requise, il est conseillé de supprimer puis recharger l’ASA via les
commandes write erase et reload
๏ L’ASA ne reconnait pas la commande erase startup-config utilisé sur les routeurs IOS
๏ Une fois l’ASA redémarré, l’assistant de configuration initiale propose de configurer les éléments essentiels de l’ASA
๏ Cette méthode est optionnel, l’utilisateur peut répondre no pour ne pas utiliser l’assistant
๏ Cette méthode configure également les éléments essentiels pour l’accès à l’ASA via ASDM
ASA CLI
Assistant de configuration initiale
57
write erase reload
erase startup-config

Thomas Moegli
๏ Les éléments suivants peuvent être configurés via l’assistant :
๏ Mode du firewall
๏ Mot de passe enable
๏ Méthode de recouvrement du mot de passe enable
๏ Date et heure
๏ Adresse IP et masque
๏ Nom d’hôte de l’ASA
๏ Nom de domaine
ASA CLI
58

Thomas Moegli
…
Pre-configure Firewall now through interactive prompts [yes]? 
Firewall Mode [Routed]: 
Enable password [<use current password>]: cisco 
Allow password recovery [yes]?
Clock (UTC): 
Year [2012]: 
Month [Oct]: 
Day [3]: 
Time [03:44:47]: 6:49:00
Management IP address: 192.168.1.1
Management network mask: 255.255.255.0
Host name: CCNAS-ASA 
Domain name: ccnasecurity.com
IP address of host running Device Manager: 192.168.1.2
The following configuration will be used:
Enable password: cisco
Allow password recovery: yes
Clock (UTC): 6:49:00 Oct 3 2011
Firewall Mode: Routed
Management IP address: 192.168.1.1
Management network mask: 255.255.255.0
Host name: CCNAS-ASA
Domain name: ccnasecurity.com
IP address of host running Device Manager: 192.168.1.2
Use this configuration and write to flash? yes
INFO: Security level for "management" set to 0 by default.
WARNING: http server is not yet enabled to allow ASDM access.
Cryptochecksum: ba17fd17 c28f2342 f92f2975 1e1e5112
2070 bytes copied in 0.910 secs
Type help or '?' for a list of available commands.
CCNAS-ASA>
ASA CLI
59

Thomas Moegli
๏ Activer le serveur HTTP interne et indiquer les adresses IP qui autorisent les connexions HTTP (ASDM) sur l’ASA 
 
๏ Spécifier l’image ASDM à utiliser 
Configuration de l’accès ASDM
60
ASA(config)# http server enable
ASA(config)# http 10.1.1.0 255.255.255.0 inside
ASA(config)# asdm image disk0:/asdm-731.bin

Thomas Moegli
Accès ASDM
61

Thomas Moegli
Accès ASDM
62

Thomas Moegli
Accès ASDM
63

Thomas Moegli
๏ Pour supprimer et désactiver l’accès au service ASA HTTP Server, utiliser la commande suivante : 
Accès ASDM
64
ASA# clear configure http

Thomas Moegli
๏ Du fait que l’ASA-SM ne propose aucune interface physique, il n’est pas pré-configuré pour l’accès ASDM
๏ Il faut configurer l’accès ASDM en passant par la console CLI du ASA-SM et en s’y connectant par le moyen vu
précédemment.
Accès ASDM sur les modules ASA-SM
65

Cisco ASA
Opérations de base

Thomas Moegli
๏ Pour configurer le nom d’hôte, utiliser la commande de configuration globale hostname 
 
๏ Pour configurer le nom de domaine, utiliser la commande de configuration globale domain-name 
Opérations de base
Configuration du nom d’hôte et nom de domaine
67
ASA(config)# hostname monASA
monASA(config)#
ASA# hostname nomHote
monASA(config)# domain-name cisco.com
monASA(config)#
ASA# domain-name nomDomaine

Thomas Moegli
๏ Configurer le mot de passe pour l’authentification distant (Telnet/SSH) 
๏ Configurer le mot de passe pour l’accès privilégié (enable) 
Opérations de base
Configuration du mot de passe
68
ASA(config)# password th1$isApasswd
ASA(config)# enable password th1$isAnotherPasswd

Thomas Moegli
๏ La fonction de Master Passphrase permet de stocker les mots de passe de manière chiffrée
๏ Une « clé universelle » est utilisée pour chiffrer tous les mots de passe
๏ Cette fonction est supportée pour :
๏ Authentification OSPF
๏ Authentification EIGRP
๏ VPN Load Balancing
๏ VPN (Remote Access et Site-to-Site)
๏ Tolérance de panne (Failover)
๏ Serveurs AAA
๏ Logins
๏ Licences partagées
Opérations de base
Master Pass-Phrase
69

Thomas Moegli
๏ Configuration d’une Master Passphrase : 
 
 
 
 
Opérations de base
Master Pass-Phrase : Configuration
70
ASA(config)# key config-key password-encryption
New key: **********
Confirm key: **********
ASA(config)# password encryption aes

Thomas Moegli
๏ Pour configurer le fuseau horaire : 
 
 
Opérations de base
Configuration date et temps
71
ASA(config)# clock timezone EST -5
ASA(config)# end
ASA# show clock
16:42:05.459 EST Wed Jan 7 2015

Thomas Moegli
๏ Configuration manuelle de la date et de l’heure : 
 
 
 
Opérations de base
Configuration date et temps
72
ASA(config)# clock set 20:54:00 february 28 2015
ASA(config)# end
ASA# show clock
20:54:03.949 EST Sat Feb 28 2015

Thomas Moegli
๏ Activer l’authentification NTP : 
 
 
๏ Configurer le serveur NTP : 
๏ Il est possible de configurer plusieurs serveurs NTP. Le mot-clé prefer spécifie le serveur qui sera utilisé en priorité
Opérations de base
Configuration : NTP
73
ASA(config)# ntp authenticate
ASA(config)# ntp trusted-key 1
ASA(config)# ntp authentication-key 1 md5 th1$isAkey!
ASA(config)# ntp server 10.11.12.123 key 1 prefer

Thomas Moegli
๏ Sur les équipements ASA 5510 et ultérieur, les interfaces sont routés dès qu’une configuration IP leur est appliquée
๏ L’ASA 5505 dispose de 8 ports Ethernet pour du switching Layer 2. Le routage IP s’effectue en plusieurs étapes
๏ Configuration d’une ou plusieurs interfaces virtuelles (SVI : Switched Virtual Interfaces) inside et outside. La configuration
comprend l’assignation d’un nom d’interface, d’un niveau de sécurité et d’une adresse IP
๏ Assignation d’un port Layer 2 au SVI VLAN Inside ou Outside
๏ Il est possible de définir un troisième SVI pour définir par exemple une zone DMZ
๏ Toutefois, la licence de base pour un ASA 5505 ne permet qu’un nombre restreint de SVI
Opérations de base
Configuration : Interfaces Inside et Outside
74

Thomas Moegli
๏ Configuration d’une interface SVI Inside ou Outside dans un VLAN particulier
๏ interface vlan vlan-number :
๏ nameif {inside | outside | name} : Assignation d’un nom à l’interface
๏ security-level value : Assignation d’un niveau de sécurité sur l’interface SVI
๏ Par défaut, la valeur de l’interface Inside vaut 100 et l’interface Outside vaut 0
๏ ip address ip-address netmask : Configuration d’une adresse IP
Opérations de base
75
ASA(config)# interface vlan vlan-number
ASA(config-if)# nameif {inside | outside | name}
ASA(config-if)# security-level value
ASA(config-if)# ip address ip-address netmask
CCNAS-ASA(config)# interface vlan 1 
CCNAS-ASA(config-if)# nameif inside 
INFO: Security level for "inside" set to 100 by default.
CCNAS-ASA(config-if)# security-level 100 
CCNAS-ASA(config-if)# ip address 192.168.1.1 255.255.255.0
CCNAS-ASA(config-if)# exit 
CCNAS-ASA(config)# interface vlan 2 
CCNAS-ASA(config-if)# nameif outside 
INFO: Security level for "outside" set to 0 by default.
CCNAS-ASA(config-if)# security-level 0 
CCNAS-ASA(config-if)# ip address 209.165.200.226 255.255.255.248
CCNAS-ASA(config-if)# exit

Thomas Moegli
๏ Optionnellement, au lieu d’une adresse IP fixe, une interface peut être configurée comme :
๏ Client DHCP via la commande ip address dhcp [setroute]
๏ Client PPPoE via la commande ip address pope
๏ La configuration de l’ASA comme serveur DHCP sera vue plus loin
Opérations de base
76
ASA(config-if)# ip address dhcp [setroute]
ASA(config-if)# ip address pppoe [setroute]

Thomas Moegli
๏ Un ASA 5505 avec une licence Security Plus supporte automatiquement la création de VLAN additionnels pour créer
d’autres zones, comme une zone DMZ
๏ Cependant, un ASA 5505 avec seulement une licence Basic ne supporte qu’un troisième SVI VLAN
๏ Ce SVI est limité pour initialiser les contacts sur un autre VLAN spécifique
๏ La commande suivante doit être configurée pour supporter le troisième VLAN SVI sur un ASA 5505 avec licence Basic : 
no forward interface plan vlan-id
๏ vlan-id spécifie le VLAN sur lequel l’interface ne peut initier de trafic
๏ Cette commande ne doit être configurée que lorsque les interfaces VLAN Inside et Outside sont configurées
๏ Le nouveau SVI doit également être nommé, posséder un niveau de sécurité ainsi qu’une adresse IP.
Opérations de base
77
ASA(config)# no forward interface vlan vlan-id

Thomas Moegli
๏ Les ports Layer 2 doivent être assignées ensuite aux SVI VLAN crées précédemment
๏ Par défaut, tous les ports sont membres du VLAN 1
๏ La configuration se fait via les commandes suivantes :
๏ interface interface number : Entrer en mode de configuration d’interface
๏ switchport access vlan vlan-id : Assignation du VLAN au port L2
๏ no shutdown : Activation de l’interface
๏ Pour vérifier les paramètres VLAN, utiliser la commande show switch vlan
Opérations de base
Configuration : Assignation ports L2 aux VLANs
78
ASA(config)# interface interface number
ASA(config-if)# switchport access vlan vlan-id
ASA(config-if)# no shutdown
CCNAS-ASA(config-if)# interface e0/1
CCNAS-ASA(config-if)# switchport access vlan 1
CCNAS-ASA(config-if)# no shut
CCNAS-ASA(config-if)# exit
CCNAS-ASA(config)# interface e0/0
CCNAS-ASA(config-if)# switchport access vlan 2
CCNAS-ASA(config-if)# no shut
CCNAS-ASA(config-if)# exit 
CCNAS-ASA(config)#
ASA# show switch vlan

Thomas Moegli
Opérations de base
Configuration : Assignation ports L2 aux VLANs
79
CCNAS-ASA# show switch vlan 
VLAN Name Status Ports 
---- —————————————————————- ——————————- -------------------------------------------------------
1 inside up Et0/1, Et0/2, Et0/3, Et0/4
Et0/5, Et0/6, Et0/7
2 outside up Et0/0
CCNAS-ASA# 
CCNAS-ASA# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 unassigned YES unset up up
Ethernet0/2 unassigned YES unset administratively down up
Internal-Data0/0 unassigned YES unset administratively down up
Internal-Data0/1 unassigned YES unset administratively down up
Vlan1 192.168.1.1 YES manual up up
Virtual0 127.0.0.1 YES unset up up
CCNAS-ASA#

Thomas Moegli
Configuration de l’ASA comme serveur DHCP
๏ Le nombre maximum de clients DHCP dépend de la licence :
Opérations de base
Configuration : DHCP
80
Nombre d’hôtes par licence Nombre maximum d’adresses IP disponibles pour DHCP
10 hôtes 32 adresses
50 hôtes 128 adresses
Illimité 256 adresses

Thomas Moegli
Configuration de l’ASA comme serveur DHCP
๏ Spécifier un pool d’adresses DHCP 
๏ Spécifier les options du pool DHCP (Nom de domaine, serveurs DHCP, interface sur laquelle activer le pool) 
 
 
 
Opérations de base
Configuration : DHCP
81
ASA(config)# dhcpd dns 8.8.8.8
ASA(config)# dhcpd domain cisco.com
ASA(config)# dhcpd enable inside
ASA(config)# dhcpd address 192.168.1.131-192.168.1.175 inside

Thomas Moegli
Opérations de base
Vérification : DHCP
82
CCNAS-ASA# show dhcpd binding
 
IP address Client Identifier Lease expiration Type
CCNAS-ASA# show dhcpd state 
Context Configured as DHCP Server 
Interface inside, Configured for DHCP SERVER
Interface outside, Configured for DHCP CLIENT
CCNAS-ASA# show dhcpd statistics 
DHCP UDP Unreachable Errors: 0 
DHCP Other UDP Errors: 0
Address pools 1
Automatic bindings 0
Expired bindings 0
Malformed messages 0
Message Received
BOOTREQUEST 0
DHCPDISCOVER 0
DHCPREQUEST 0
DHCPDECLINE 0
DHCPRELEASE 0
DHCPINFORM 0
Message Sent
BOOTREPLY 0
DHCPOFFER 0
DHCPACK 0
DHCPNAK 0

Thomas Moegli
๏ Il est possible de configurer l’agent de relais DHCP de manière globale ou par interface
๏ Si configuré de manière globale, il est nécessaire de spécifier l’interface sur laquelle le serveur DHCP est atteignable
๏ Configuration d’une interface pour les requêtes DHCP entrantes : 
 
Opérations de base
Configuration : Agent de relais DHCP
83
ASA(config)# dhcprelay server 10.20.12.5 outside
ASA(config)# dhcprelay enable dmz
ASA(config)# interface GigabitEthernet0/0
ASA(config-if)# dhcprelay server 10.3.4.5

Thomas Moegli
๏ Il est possible d’indiquer spécifiquement les interfaces sur lesquelles seront connectées des clients DHCP de confiance 
 
๏ Pour faire confiance à toutes les interfaces :
๏ Configuration du timeout pour le relai de requêtes DHCP (par défaut : 60 sec) : 
Opérations de base
Configuration : Interface de confiance DHCP et Timeouts
84
ASA(config)# interface GigabitEthernet0/0
ASA(config-if)# dhcprelay information trusted
ASA(config)# dhcprelay information trust-all
ASA(config)# dhcprelay timeout 30

Thomas Moegli
๏ Configuration d’un agent relai IPv6 pour les clients de la DMZ vers un serveur DHCP connecté sur l’interface outside 
 
Opérations de base
Configuration : DHCPv6 Relay
85
ASA(config)# ipv6 dhcprelay server 1FFC:C00:C18:6:A8BB:AAFF:F123:1234 outside
ASA(config)# dhcprelay enable dmz

Thomas Moegli
๏ Si l’ASA est configuré comme client DHCP ou PPPoE, il est très probable qu’il reçoit sa route par défaut via le
périphérique supérieure
๏ Dans le cas contraire, l’ASA requiert la configuration d’une route statique par défaut
๏ Pour vérifier la présence de la route, utiliser la commande show route
Opérations de base
Configuration : Route par défaut
86
CCNAS-ASA(config)# route outside 0.0.0.0 0.0.0.0 209.165.200.225
CCNAS-ASA(config)# show route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 209.165.200.225 to network 0.0.0.0
C 209.165.200.224 255.255.255.248 is directly connected, outside
C 192.168.1.0 255.255.255.0 is directly connected, inside
S* 0.0.0.0 0.0.0.0 [1/0] via 209.165.200.225, outside
CCNAS-ASA(config)#
ASA# show route

Thomas Moegli
Opérations de base
Vérification des paramètres de base
87
CCNAS-ASA# show switch vlan 
VLAN Name Status Ports 
---- -------------------------------- --------- -----------------------------
1 inside up Et0/1, Et0/2, Et0/3, Et0/4
Et0/5, Et0/6, Et0/7
2 outside up Et0/0
CCNAS-ASA# 
CCNAS-ASA# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/4 unassigned YES unset administratively down down
Internal-Data0/0 unassigned YES unset up up
Internal-Data0/1 unassigned YES unset up up
Virtual0 127.0.0.1 YES unset up up
CCNAS-ASA#

Cisco ASA
Introduction à ASDM

Thomas Moegli
๏ Cisco ASA Security Device Manager (ASDM) est un outil GUI Java permettant de faciliter l’installation, la configuration,
le monitoring et le troubleshooting d’un Cisco ASA
๏ ASDM est préchargé dans la mémoire Flash de n’importe quel ASA fonctionnant sur une version 7.0 et ultérieur
๏ ASDM peut être :
๏ Démarré comme application Java Web téléchargé dynamiquement depuis la mémoire Flash du routeur ASA
๏ Téléchargé depuis la mémoire Flash et installé sur un poste en tant qu’application Java complète permettant à un
administrateur de gérer plusieurs périphériques ASA
Cisco ASDM
89

Thomas Moegli
Etapes
1. Vérifier la connectivité avec l’ASA (Ping)
2. Ouvrir un navigateur Web et établir une connexion HTTP à l’ASA
3. Choisir de
๏ Installer ASDM en tant qu’application Java
๏ Démarrer ASDM en tant qu’application Web Java
๏ Démarrer l’assistant pour effectuer les paramètres initiaux
4. S’authentifier sur l’ASDM
Cisco ASDM
Démarrage ASDM
90

Thomas Moegli
๏ La page Home affiche un résumé du status opérationnel de l’ASA. Cette page est rafraichie toutes les 10 sec.
Cisco ASDM
Tableau de bord ASDM : Home - Device
91

Thomas Moegli
๏ La page Firewall affiche des informations de sécurité liées au trafic qui transite par l’ASA
Cisco ASDM
Tableau de bord ASDM : Home - Firewall
92

Thomas Moegli
๏ Configuration ➔ Device Setup ➔ Device Name/Password
Cisco ASDM
Configuration d’hôte et mot de passe
93

Thomas Moegli
๏ Configuration ➔ Device Setup ➔ Interfaces Settings ➔ Interfaces
Cisco ASDM
Configuration des interfaces
94

Thomas Moegli
๏ Configuration ➔ Device Setup ➔ Interfaces ➔ Switch Ports
Cisco ASDM
Configuration des interfaces L2
95

Thomas Moegli
๏ Configuration ➔ Device Management ➔ Management Access ➔ ASDM/HTTPS/Telnet/SSH
Cisco ASDM
Configuration Telnet et SSH
96

Cisco ASA
Objects et Objects Groups

Thomas Moegli
๏ Sur un ASA, l’administrateur effectue les configurations (règles de firewalls, règles VPN, règles NAT, …) via l’utilisation
d’objets (Objects) ou groupes d’objets (Objects Groups)
๏ Un objet peut être défini par une adresse IP particulière, un sous-réseau ou un protocole (et optionnellement un
numéro de port)
๏ L’avantage d’utiliser les objets est que, lorsque l’un des paramètres doit être modifié (adresse IP, port, …), les
changements sont automatiquement appliquées aux règles utilisant cet objet
Objects et Objects Groups
98

Thomas Moegli
L’ASA supporte deux types d’objets :
๏ Network Object :
๏ Contient une adresse IP/Masque de sous-réseau
๏ Peut être défini pour un hôte, un sous-réseau ou un intervalle
๏ Service Object :
๏ Contient un protocole ainsi (optionnel) qu’un port source et/ou destination
Objets
99
CCNAS-ASA(config)# object ?
configure mode commands/options:
network Specifies a host, subnet or range IP addresses
service Specifies a protocol/port
CCNAS-ASA(config)#
Un Network Object est requis pour configurer NAT

Thomas Moegli
๏ Pour créer un Network Object, utiliser la commande de configuration globale object network object-name
๏ On passe en mode de configuration de Network Object
๏ Un Network Object ne peut contenir qu’une seule adresse IP/Masque
๏ La saisie d’une adresse IP/Masque secondaire efface et remplace la configuration existante
๏ Pour effacer tous les Network Objects, utiliser la commande clear config object network
Configuration d’un Network Object (CLI)
100
CCNAS-ASA(config)# object network EXAMPLE-1
CCNAS-ASA(config-network-object)# host 192.168.1.4
CCNAS-ASA(config-network-object)# range 192.168.1.10 192.168.1.20
CCNAS-ASA(config-network-object)# exit
CCNAS-ASA(config)# 
CCNAS-ASA(config)# show running-config object
object network EXAMPLE-1
range 192.168.1.10 192.168.1.20
CCNAS-ASA(config)#
ASA(config)# object network object-name
ASA# clear config object network

Thomas Moegli
๏ Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups
Configuration d’un Network Object (ASDM)
101

Thomas Moegli
๏ Pour créer un Service Object, utiliser la commande de configuration globale object network object-name
๏ On passe en mode de configuration de Service Object
๏ Un Service Object ne peut être associé qu’avec un seul protocole et port (ou ports)
๏ Si un Service Object existant est configuré avec un protocole et un port différents (ou des ports), la nouvelle configuration
remplace les protocoles et ports existants avec les nouveaux.
Configuration d’un Service Object (CLI)
102
CCNAS-ASA(config)# object service SERV-1
CCNAS-ASA(config-service-object)# service tcp destination eq ftp
CCNAS-ASA(config-service-object)# service tcp destination eq www
CCNAS-ASA(config-service-object)# exit
CCNAS-ASA(config)# show running-config object
object service SERV-1
service tcp destination eq www
CCNAS-ASA(config)#
ASA(config)# object service object-name

Thomas Moegli
Il existe 5 options de service :
๏ Spécifie un nom de protocole IP ou un numéro de port
๏ Spécifie que le Service Object est pour le protocole TCP
๏ Spécifie que le Service Object est pour le protocole UDP
๏ Spécifie que le Service Object est pour le protocole ICMP
๏ Spécifie que le Service Object est pour le protocole ICMP6
Configuration d’un Service Object (CLI)
103
ASA(config)# service protocol [source [operator port]] [destination [operator port]]
ASA(config)# service tcp [source [operator port]] [destination [operator port]]
ASA(config)# service udp [source [operator port]] [destination [operator port]]
ASA(config)# service icmp icmp-type
ASA(config)# service icmp6 icmp6-type

Thomas Moegli
๏ Configuration ➔ Firewall ➔ Objects ➔ Service Objects/Groups
Configuration d’un Service Object (ASDM)
104

Thomas Moegli
๏ Les Objects Groups sont utilisés pour grouper les objets
๏ Les objets peuvent être rattachés ou détachés de plusieurs Objects Groups
๏ Cela permet d’éviter la duplication d’objets
๏ Il est possible de créer plusieurs types de groupes d’objets : Network, Protocol, Type ICMP avec la commande : 
๏ Il est également possible de créer des groupes d’objets de service via la commande : 
Objects Groups
105
ASA(config)# object-group {network | protocol | icmp-type} group-name
ASA(config)# object-group service group-name [tcp | udp | tcp-udp]

Thomas Moegli
๏ Il existe 4 types de groupes d’objets :
Objects Groups
106
Object-Group Description
Network Spécifie une liste d’hôtes IP, sous-réseaux ou intervalles d’IP
Protocol
Combine les protocoles IP (comme TCP, UDP, ICMP) dans un objet
Par exemple, pour intégrer TCP et UDP pour le protocole DNS, créer un Object Group et ajouter le protocole TCP et UDP dans ce
groupe
ICMP
Le protocole ICMP utilise un type unique pour l’envoi de messages de contrôle (RFC 792)
Le groupe d’objets ICMP-type peut grouper les types nécessaires pour des besoins de sécurité
Service
Utilisé pour grouper les ports TCP, UDP, TCP/UDP dans un objet
Il peut contenir un mélange de services TCP, services UDP, services ICMP, et tout protocole comme par ex. ESP, GRE, …
CCNAS-ASA(config)# object group ?
configure mode commands/options:
icmp-type Specifies a group of ICMP types, such as echo
network Specifies a group of host or subnet IP addresses
protocol Specifies a group of protocols, such as TCP, etc
service Specifies a group of TCP/UDP ports/services
user Specifies single user, local or import user group
CCNAS-ASA(config)#

Thomas Moegli
๏ Pour configurer un Network Object Group, utiliser la commande
๏ Ajouter les objets réseaux via les commandes suivantes :
๏ network-object
๏ group-object
Network Objects Groups (CLI)
107
CCNAS-ASA(config)# object-group network ADMIN-HOST
CCNAS-ASA(config-network-object-group)# network-object host 192.168.1.3
CCNAS-ASA(config-network-object-group)# network-object host 192.168.1.4
CCNAS-ASA(config-network-object-group)# exit 
CCNAS-ASA(config)# object-group network ALL-HOSTS
CCNAS-ASA(config-network-object-group)# network-object 192.168.1.32 255.255.255.240
CCNAS-ASA(config-network-object-group)# group-object ADMIN-HOST
CCNAS-ASA(config-network-object-group)# exit 
CCNAS-ASA(config)# show run object-group 
object-group network ADMIN-HOST
description Administrative host IP addresses
network-object host 192.168.1.3
network-object host 192.168.1.4
object-group network ALL-HOSTS
network-object 192.168.1.32 255.255.255.240
group-object ADMIN-HOST
CCNAS-ASA(config)#
ASA(config)# network-object
ASA(config)# group-object
ASA(config)# object-group network grp-name

Thomas Moegli
Network Objects Groups (ASDM)
108

Thomas Moegli
๏ Pour configurer un Protocol Object Group, utiliser la commande de configuration globale : 
๏ Ajouter les objets réseaux au Protocol Group en utilisant les commandes :
๏ protocol-object
๏ group-object
Protocol Object Group
109
CCNAS-ASA(config)# object-group protocol PROTO-1
CCNAS-ASA(config-protocol-object-group)# protocol-object udp
CCNAS-ASA(config-protocol-object-group)# network-object ipsec
CCNAS-ASA(config-protocol-object-group)# exit 
CCNAS-ASA(config)# object-group protocol PROTO-2
CCNAS-ASA(config-protocol-object-group)# protocol-object tcp
CCNAS-ASA(config-protocol-object-group)# group-object PROTO-1
CCNAS-ASA(config-protocol-object-group)# exit 
CCNAS-ASA(config)# show running-config object-group protocol 
object-group protocol PROTO-1
protocol-object udp
protocol-object esp
object-group protocol PROTO-2
protocol-object tcp
group-object PROTO-1
CCNAS-ASA(config)#
ASA(config)# protocol-object
ASA(config)# object-group protocol grp-name

Thomas Moegli
๏ Pour configurer un ICMP Object Group, utiliser la commande de configuration globale : 
๏ protocol-object
๏ group-object
ICMP Object Group
110
CCNAS-ASA(config)# object-group icmp-type ICMP-ALLOWED
CCNAS-ASA(config-icmp-object-group)# icmp-object echo
CCNAS-ASA(config-icmp-object-group)# icmp-object time-exceeded
CCNAS-ASA(config-icmp-object-group)# exit 
CCNAS-ASA(config)#
 
CCNAS-ASA(config)# show running-config object-group id ICMP-ALLOWED 
object-group icmp-type ICMP-ALLOWED
icmp-object echo
icmp-object time-exceeded
CCNAS-ASA(config)#
ASA(config)# icmp-object
ASA(config)# object-group icmp-type grp-name

Thomas Moegli
๏ Pour configurer un Service Object Group, utiliser la commande de configuration globale : 
๏ protocol-object
๏ group-object
Service Object Group (CLI)
111
CCNAS-ASA(config)# object-group service SERVICES-1
CCNAS-ASA(config-service-object-group)# service-object tcp destination eq www
CCNAS-ASA(config-service-object-group)# service-object tcp destination eq https
CCNAS-ASA(config-service-object-group)# service-object udp destination eq nap
CCNAS-ASA(config-service-object-group)# exit 
CCNAS-ASA(config)# object-group service SERVICES-2 tcp
CCNAS-ASA(config-service-object-group)# port-object eq pop3
CCNAS-ASA(config-service-object-group)# port-object eq smtp
CCNAS-ASA(config)# object-group service SERVICES-3 tcp
CCNAS-ASA(config-service-object-group)# group-object SERVICES-2
CCNAS-ASA(config-service-object-group)# port-object eq ftp
CCNAS-ASA(config-service-object-group)# port-object range 2000 2005
CCNAS-ASA(config)#
ASA(config)# service-object
ASA(config)# object-group service grp-name

Thomas Moegli
๏ Configuration ➔ Firewall ➔ Objects ➔ Service Objects/Groups
Service Object Group (ASDM)
112

Cisco ASA
ASA ACLs

Thomas Moegli
๏ Dans les deux cas, les ACL sont composés d’un ensemble de règles ACE
๏ Les ACL sont traitées de manière séquentielle depuis le haut vers le bas
๏ Dès qu’une entrée ACE correspond, on sort de l’ACL sans consulter les règles suivantes
๏ Ils possèdent une entrée de refus par défaut à la fin de la liste
๏ Ils respectent la règle suivante : une ACL par interface, par protocole, par sens
๏ Ils peuvent être activés/désactivés selon des plages horaires définies
ACLs
Similarités entre ACL IOS et ACL ASA
114

Thomas Moegli
๏ Les ACL ASA utilisent un masque de sous-réseau (ex. 255.255.255.0)
๏ Les ACL IOS utilisent un masque Wildcard (ex. 0.0.0.255)
๏ Les ACL sont toujours nommées au lieu d’être simplement numérotés
๏ Les ASA ACLs peuvent être numérotés mais contrairement aux ACL IOS, les numéros n’ont aucune signification
๏ Par défaut, les niveaux de sécurité appliquent les contrôles d’accès sans configuration explicite d’ACL
ACLs
Différences entre ACL IOS et ACL ASA
115

Thomas Moegli
๏ Filtrage du trafic transitant par l’ASA
๏ Le trafic qui transite d’une interface à une autre est filtré par l’ASA suivant les ACL configurées
๏ Filtrage du trafic à destination de l’ASA
๏ Egalement appelé règles d’accès du trafic de Mgmt (Telnet, SSH, SNMP)
๏ Lorsque ce trafic est à destination de l’ASA, il est également régi par les règles ACL
ACLs
Fonctions des ACL
116

Thomas Moegli
๏ L’ASA supporte 5 types d’ACLs :
ACLs
ASA ACLs : Types
117
Type d’ACL Description
Extended
๏ ACL le plus populaire
๏ Filtrage basé sur le port source/destination et le protocole
Standard
๏ Utilisé pour les protocoles de routage, pas comme règles de firewall
๏ Ne peut s’appliquer aux interfaces pour contrôler le trafic
IPv6 ๏ Utilisé pour supporter l’adressage IPv6
Webtype ๏ Utilisé pour SSL VPN Clientless
Ethertype
๏ Spécifie le protocole de couche réseau
๏ Utilisé uniquement lorsque l’ASA est en mode transparent

Thomas Moegli
ACLs
ASA ACLs : Applications
118
Utilisation ACL Type d’ACL Description
Gérer le trafic inter-réseaux Extended
๏ Par défaut, l’ASA n’autorise pas le trafic provenant d’un niveau de sécurité plus faible
vers une interface ayant un niveau de sécurité plus haut sauf si explicitement autorisé
Identifier le trafic des règles AAA Extended ๏ Utilisé dans les listes d’accès AAA pour identifier le trafic
Identifier les adresses pour NAT Extended
๏ Les règles NAT permettent d’identifier le trafic local pour effectuer la translation
d’adresses
Etablissement d’un accès VPN Extended ๏ Utilisé dans les commandes VPN
Identifier le trafic Modular Policy
Framework (MPF)
Extended
๏ Utilisé pour identifier le trafic dans une Class Map, qui est utilisé dans les fonctionnalités
qui supportent MPF
Identifier la redistribution de
route OSPF
Standard
๏ Les ACL Standards n’incluent que l’adresse de destination
๏ Utilisé pour contrôler la redistribution des routes OSPF
Contrôler l’accès réseau pour les
réseaux IPv6
IPv6 ๏ Utilisé pour contrôler le trafic sur les réseaux IPv6

Thomas Moegli
ACLs
Extended ACL : Syntaxe
119
CCNAS-ASA(config)# help access-list
USAGE:
Extended access list:
Use this to configure policy for IP traffic through the firewall
[no] access-list <id> [line <line_num>] [extended] {deny | permit}
{<protocol> | object-group {<service_obj_grp_id> |
<protocol_obj_grp_id>} | object <service_object_name>}
[user-group [<domain_nickname>]<user_group_name> |
user [<domain_nickname>]<user_name> |
object-group-user < object_group_user_name>]
{host <sip> | <sip> <smask> | interface <ifc> | any |
object-group <network_obj_grp_id> |
object <network_obj_name>}
[<operator> <port> [<port>] |
object-group <service_obj_grp_id>]
{host <dip> | <dip> <dmask> | interface <ifc> | any |
object-group <network_obj_grp_id> |
object <network_obj_name>}
[<operator> <port> [<port>] |
object-group <service_obj_grp_id>]
[log [disable] | [<level>] | [default] [interval <secs>]]
…

Thomas Moegli
ACLs
Extended ACL : Syntaxe
120
access-list id extended {deny | permit} protocol
{source_addr source_mask | any | host src_host | interface src_if_name}
[operator port [port]]
{dest_addr dest_mask | any | host dst_host | interface dst_if_name}
[operator port [port]]
Nom ACL
Cela peut également être un nombre.
Protocole de couche 3
Exemple : IP, TCP, UDP
Peut également être un Protocol Object Group
Trafic source à filtrer.
Cela peut également être un Network Object Group
L’option interface est utilisé pour du trafic provenant de l’ASA
Trafic de destination à filtrer.
Cela peut également être un Network Object Group
L’option interface est utilisé pour du trafic à destination de l’ASA
L’opérateur peut être :
๏ lt (less than)
๏ gt (greater than)
๏ eq (equal)
๏ neq (not equal)
๏ range (intervalle)
Le port peut être le numéro de port, nom du port TCP/UDP ou un
Service Object Group

Thomas Moegli
๏ Pour le contrôle du trafic, l’ACL doit être appliqué à une interface via la commande access-group
๏ Syntaxe : 
ACLs
Access-Group
121
access-group acl-id {in | out} interface interface-name
[per-user-override | control-plane]
ASA(config)# access-group
Syntaxe Description
access-group ๏ Mot-clé utilisé pour appliquer une ACL à une interface
acl-id ๏ Nom de l’ACL
in ๏ L’ACL filtre les paquets entrants
out ๏ L’ACL filtre les paquets sortants
interface ๏ Mot-clé utilisé pour spécifier l’interface à appliquer l’ACL
interface_name ๏ Nom de l’interface sur lequel appliquer l’ACL
per-user-override ๏ Option permettant de remplacer toutes les ACL de l’interface par l’ACL
control-plane ๏ Spécifie si la règle est utilisé pour du trafic vers ou provenant de l’ASA

Thomas Moegli
๏ L’ACL autorise tous les hôtes du réseau interne à traverser l’ASA
๏ Par défaut, tout autre trafic est refusé
ACLs
Exemples d’ACL
122
access-list ACL-IN-1 extended permit ip any any
access-group ACL-IN-1 in interface inside
access-list ACL-IN-2 extended deny tcp 192.168.1.0 255.255.255.0 host 209.165.201.228
access-list ACL-IN-3 extended permit tcp 192.168.1.0 255.255.255.0 host 209.165.201.228
access-list ACL-IN-4 extended deny tcp any host 209.165.201.229 eq www
๏ L’ACL interdit tous les hôtes du réseau 192.168.1.0/24 à accéder à un hôte particulier sur l’adresse 209.165.201.228
๏ Par défaut, tout autre trafic est autorisé
๏ L’ACL autorise tous les hôtes du réseau 192.168.1.0/24 à accéder à un hôte particulier sur l’adresse 209.165.201.228
๏ Par défaut, tout autre trafic est refusé
๏ L’ACL refuse tout accès au serveur sur l’adresse 209.165.201.229 sur le port 80 (www)
๏ Par défaut, tout autre trafic est autorisé

Thomas Moegli
๏ Par défaut, les interfaces avec le même niveau de confiance :
๏ Ne peuvent communiquer entre eux
๏ Les paquets ne peuvent entrer et sortir sur la même interface
๏ Pose problème avec le trafic VPN qui entre dans une interface mais est routé puis ressort de la même interface
๏ Utiliser la commande suivante permet d’activer la communication entre interfaces de même niveau de sécurité : 
๏ Utiliser la commande suivante permet d’activer la communication entre hôtes connectées à la même interface : 
ACLs
Communication entre interfaces de même niveau de confiance
123
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface

Thomas Moegli
๏ Pour vérifier la syntaxe des ACL, utiliser les commandes suivantes :
๏
ACLs
Vérification des ACLs
124
show running-config access-list
show access-list

Thomas Moegli
๏ PC-A et PC-B sont des hôtes externes qui doivent pouvoir accéder aux deux serveurs internes
๏ Chaque serveur propose des services Web et Email
ACLs
ACL - Exemple 1
125
Internet
.131
E0/0
E0/1
.132
E0/2
209.165.202.128/27
Inside
(VLAN 1)
Serveur Web
Serveur Mail
Serveur Web
Serveur Mail
209.165.200.224/27
209.165.201.1
209.165.201.2
PC-A
PC-B
Outside
(VLAN 2)

Thomas Moegli
ACLs
ACL : Exemple 1
126
ASA(config)# access-list ACL-IN remark Permit PC-A -> Server A for HTTP/SMTP
ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq http
ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq smtp
209.165.201.1
PC-A
PC-B
209.165.201.2
Serveur Web
Serveur Mail
209.165.202.131
Serveur Web
Serveur Mail
209.165.202.132
ASA(config)# access-list ACL-IN remark Permit PC-A -> Server B for HTTP/SMTP
ASA(config)# access-list ACL-IN remark Permit PC-B -> Server A for HTTP/SMTP
ASA(config)# access-list ACL-IN remark Permit PC-B -> Server B for HTTP/SMTP
ASA(config)# access-list ACL-IN remark Deny All Trafic
ASA(config)# access-list ACL-IN extended deny ip any any log
ASA(config)# access-group ACL-IN in interface outside

Thomas Moegli
ACLs
ACL : Exemple 1 (Vérification)
127
ASA# show running-config access-list
access-list ACL-IN remark Permit PC-A -> Server A for HTTP / SMTP 
access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq www
access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq smtp
access-list ACL-IN remark Permit PC-A -> Server B for HTTP / SMTP 
access-list ACL-IN remark Permit PC-B -> Server A for HTTP / SMTP 
access-list ACL-IN remark Permit PC-B -> Server B for HTTP / SMTP 
access-list ACL-IN extended deny ip any any log 
ASA# 
ASA# show access-list ACL-IN brief
access-list ACL-IN; 9 elements; name hash: 0x44d1c580 
ASA#

Thomas Moegli
๏ Cet exemple présente l’utilisation des Objects Groups.
๏ La topologie et la configuration des règles est identique à l’exemple 1
๏ On utilise les objets configurés pour établir les règles
๏ On configure les objets suivantes :
๏ TCP : Protocol Object Group
๏ Internet-Hosts : Network Object Group qui permet d’identifier les deux hôtes externes
๏ Internai-Servers : Network Object Group qui permet d’identifier les deux serveurs internes
๏ HTTP-SMTP : Service Object Group qui permet d’identifier les protocoles HTTP et SMTP
๏ Ces Objects Groups sont spécifiés dans une entrée ACE
๏ Tout le trafic restant est refusé et enregistré
ACLs
ACL avec Objects Groups : Exemple 2
128

Thomas Moegli
Création des Objects Groups
ACLs
129
209.165.201.1
PC-A
PC-B
209.165.201.2
Serveur Web
Serveur Mail
209.165.202.131
Serveur Web
Serveur Mail
209.165.202.132
ASA(config)# object-group protocol TCP
ASA(config-protocol)# description OG identifiant TCP comme protocole
ASA(config-protocol)# protocol-object tcp
ASA(config-protocol)# exit
ASA(config)#
ASA(config)# object-group network Internet-Hosts
ASA(config-network)# description OG identifie les hotes PC-A et PC-B
ASA(config-network)# network-object host 209.165.201.1
ASA(config-network)# exit
ASA(config)#
ASA(config)# object-group network Internal-Servers
ASA(config-network)# description OG identifie les serveurs internes
ASA(config-network)# exit
ASA(config)#
ASA(config)# object-group service HTTP-SMTP tcp
ASA(config-service)# description OG identifie le trafic HTTP/HTTPS et SMTP
ASA(config-service)# port-object eq smtp
ASA(config-service)# port-object eq www
ASA(config-service)# exit
ASA(config)#

Thomas Moegli
ACLs
130
209.165.201.1
PC-A
PC-B
209.165.201.2
Serveur Web
Serveur Mail
209.165.202.131
Serveur Web
Serveur Mail
209.165.202.132
ASA(config)# access-list ACL-IN remark Permet uniquement PC-A/PC-B -> Serveurs
ASA(config)# access-list ACL-IN extended permit object-group TCP object-group Internet-Hosts object-group Internal-Servers object-group HTTP-SMTP
ASA(config)# access-list ACL-IN extended deny ip any any log
ASA(config)#
ASA(config)# access-group ACL-IN in interface outside
ASA(config)#
ASA# show running-config access-list
access-list ACL-IN remark Permet uniquement PC-A/PC-B -> Serveurs 
access-list ACL-IN extended permit object-group TCP object-group Internet-Hosts object- group Internal-Servers object-group HTTP-SMTP
ASA# show access-list ACL-IN brief
access-list ACL-IN; 9 elements; name hash: 0x44d1c580
Création de l’ACL en se basant sur les Objects Groups et application sur l’interface
Vérification ACL

Thomas Moegli
๏ Configuration ➔ Firewall ➔ Access Rules
ACLs
ACL avec ASDM
131

Cisco ASA
ASA NAT

Thomas Moegli
๏ Comme sur les routeurs IOS, l’ASA supporte les types de NAT suivants :
๏ Inside NAT
๏ Lorsque l’ASA translate les adresses des côtes internes vers des adresses globales
๏ Le trafic de retour est également géré
๏ Outside NAT
๏ Méthode utilisé lorsque du trafic d’une interface à basse sécurité vers une interface à sécurité plus élevée
๏ Cette méthode peut être utile pour rendre visible un hôte d’un réseau interne sur une adresse IP connue externe
๏ Bidirectional NAT
๏ Effectue les translations NAT Inside et Outside
ASA : Services NAT
133

Thomas Moegli
๏ NAT est supporté dans les modes Routed et Transparent
๏ Il existe plusieurs restrictions pour le mode Transparent
๏ Il est nécessaire de spécifier les interfaces réelles et mappées
๏ Il est impossible de spécifier « any » comme interface
๏ PAT n’est pas supporté car en mode transparent, les interfaces n’ont pas d’adresses IP et il n’est pas possible d’utiliser l’adresse
IP de management comme adresse mappée.
๏ La translation entre IPv4 et IPv6 n’est pas supportée
๏ La translation entre deux réseaux IPv6 ou entre deux réseaux IPv4 est supportée
ASA : Services NAT
NAT : Modes Routed et Transparent
134

Thomas Moegli
๏ En mode Routed, il est possible d’effectuer de la translation entre IPv4 et IPv6
๏ Un pool PAT n’est pas supporté pour IPv6 en mode Transparent
๏ Pour du NAT statique, il est possible de définir un sous-réseau IPv6 jusqu’à /64. Les sous-réseaux plus grands ne sont
pas supportés
ASA : Services NAT
NAT IPv6
135

Thomas Moegli
InternetE0/0
Inside
(VLAN 1)
209.165.200.224/27
209.165.201.2
PC-B
Outside
(VLAN 2)
E0/1
192.168.1.0/27
DMZ
(VLAN 3)
E0/2
192.168.2.0/24
.5
.3
Inside NAT
Outside NAT
Inside NAT
Outside NAT
ASA : Services NAT
136

Thomas Moegli
๏ Introduit dans la version 8.3 de l’ASA, la fonctionnalité d’Auto NAT simplifie la configuration NAT ainsi :
๏ Création d’un Network Object
๏ Identification des réseaux à translater
๏ Définir les paramètres de la commande nat
Auto NAT
137
NOTE
๏ Avant le version 8.3, NAT était configuré via les commandes nat, global et static
๏ Les commandes global et static ne sont plus reconnues

Thomas Moegli
๏ L’ASA sépare la configuration NAT en deux sections :
๏ La première section définit le réseau à translater via un Network Object
๏ La seconde section définit les paramètres de la commande nat
๏ Ces deux sections apparaissent à des emplacements différents sur la commande show running-config
Configuration NAT
138
ASA# show running-config
ASA(config)# object network INSIDE-NET remark Permet uniquement PC-A/PC-B -> Serveurs
ASA(config-network-object)# subnet 192.168.1.0 255.255.255.224
ASA(config-network-object)# nat (inside,outside) dynamic interface
ASA(config-network-object)# end
ASA#
ASA# show running-config nat
!
object network INSIDE-NET
nat (inside,outside) dynamic interface
ASA#
ASA# show running-config object
object network INSIDE-NET
nat (inside,outside) dynamic interface
ASA#

Thomas Moegli
๏ Dynamic NAT
๏ Translation Many-to-Many
๏ Typiquement déployé dans Inside NAT
๏ Dynamic PAT
๏ Translation Many-to-One
๏ Généralement un pool d’adresses privées utilisés pour translater une interface externe ou une adresse externe
๏ Typiquement déployé dans Inside NAT
๏ Static NAT
๏ Translation One-to-One
๏ Généralement une adresse externe qui est mappée à un serveur interne
๏ Typiquement déployé avec Outside NAT
๏ Twice-NAT
๏ La fonction NAT de la version 8.3 permet d’identifier l’adresse source et destination en une seule règle (Commande nat)
๏ Utilisé pour la configuration IPSec et SSL Remote-Access VPN
Configuration : Types de NAT
139

Thomas Moegli
Pour configurer Dynamic NAT, deux Network Objects sont requis :
๏ Le premier Network Object identifie le pool d’adresses IP publiques qui seront transformés en adresses privées
๏ object network mapped-obj
๏ Nom du Network Object qui identifie le pool d’adresses publiques
๏ range ip-addr-1 ip-addr-n
๏ Définit le pool d’adresses IP publiques
๏ Le second Network Object combine le pool d’adresses IP publiques avec le sous-réseau privé et l’interface
๏ object network nat-object-name
๏ Nom de l’objet NAT combiné
๏ subnet net-address net-mask
๏ Identifie le sous-réseau privé
๏ nat (real-ifc, mapped-ifc) dynamic mapped-obj
๏ Règle NAT indiquant que le trafic provenant de real-ifc vers le mapped-ifc aura une adresse assignée dynamiquement avec le
pool d’adresses IP publiques.
Configuration : Dynamic NAT
140
ASA(config)# object network mapped-obj
ASA(config)# range ip-addr-1 ip-addr-n
ASA(config)# object network nat-object-name
ASA(config)# subnet net-address net-mask
ASA(config)# nat (real-ifc, mapped-ifc) dynamic mapped-obj

Thomas Moegli
InternetE0/0
Inside
(VLAN 1)
209.165.200.224/27
Outside
(VLAN 2)
E0/1
192.168.1.0/27
DMZ
(VLAN 3)
E0/2
192.168.2.0/24
.5
.3
209.165.201.2
PC-B
Configuration : Dynamic NAT
141
ASA(config)# object network PUBLIC-IP
ASA(config-network-object)# range 209.165.200.240 255.255.255.240
ASA(config-network-object)# exit
ASA(config)#
ASA(config)# object network INSIDE-NET
ASA(config-network-object)# nat (inside,outside) dynamic PUBLIC-IP
ASA#

Thomas Moegli
Pour configurer Dynamic PAT, un Network Object est requis :
๏ Dynamic PAT est utilisé lorsqu’on utilise la même adresse IP publique de sortie. Pour différencier les trafics, on utilise les
ports
๏ object network net-object-name
๏ Nom du Network Object
๏ Identifie le réseau privé
๏ nat (real-ifc, mapped-ifc) dynamic [interface | ip-address]
๏ Règle NAT indiquant que le trafic provenant de real-ifc vers le mapped-ifc aura l’adresse IP de l’interface ou l’adresse IP configurée
assignée après le mot-clé dynamic.
Configuration : Dynamic PAT
142
ASA(config)# subnet net-address net-mask
ASA(config)# nat (real-ifc, mapped-ifc) dynamic [interface | ip-address]

Thomas Moegli
143
InternetE0/0
Inside
(VLAN 1)
209.165.200.224/27
Outside
(VLAN 2)
E0/1
192.168.1.0/27
DMZ
(VLAN 3)
E0/2
192.168.2.0/24
.5
.3
209.165.201.2
PC-B
ASA(config-network-object)# nat (inside,outside) dynamic interface
ASA#

Thomas Moegli
144
InternetE0/0
Inside
(VLAN 1)
209.165.200.224/27
Outside
(VLAN 2)
E0/1
192.168.1.0/27
DMZ
(VLAN 3)
E0/2
192.168.2.0/24
.5
.3
209.165.201.2
PC-B
ASA(config-network-object)# nat (inside,outside) dynamic 209.165.200.229
ASA#

Thomas Moegli
Pour configurer Static NAT, un Network Object est requis :
๏ Static NAT permet de faire correspondre une adresse IP publique à une adresse IP privée
๏ object network net-object-name
๏ Nom du Network Object
๏ Identifie le réseau privé
๏ nat (real-ifc, mapped-ifc) static [interface | ip-address]
๏ Règle NAT faisant correspondre une adresse interne à une adresse externe.
Configuration : Static PAT
145
ASA(config)# host ip-addr
ASA(config)# nat (real-ifc, mapped-ifc) static mapped-ip-addr
NOTE
๏ Static NAT requiert qu’une ACE doit être ajouté sur l’ACL de l’interface outside

Thomas Moegli
Configuration : Static NAT
146
InternetE0/0
Inside
(VLAN 1)
209.165.200.224/27
Outside
(VLAN 2)
E0/1
192.168.1.0/27
DMZ
(VLAN 3)
E0/2
192.168.2.0/24
.5
.3
209.165.201.2
PC-B
ASA(config)# object network DMZ-SERVER
ASA(config-network-object)# host 192.168.2.3
ASA(config-network-object)# nat (dmz,outside) static 209.200.165.227
ASA(config-network-object)# exit
ASA(config)#
ASA(config)# access-list OUTSIDE-DMZ permit ip any host 192.168.2.3
ASA(config)# access-group OUTSIDE-DMZ in interface outside
ASA(config)#

Thomas Moegli
Vérification : Static NAT
147
InternetE0/0
Inside
(VLAN 1)
209.165.200.224/27
Outside
(VLAN 2)
E0/1
192.168.1.0/27
DMZ
(VLAN 3)
E0/2
192.168.2.0/24
.5
.3
209.165.201.2
PC-B
ASA# show nat
Auto NAT Policies (Section 2)
1 (dmz) to (outside) source static DMZ-SERVER 209.165.200.227
translate_hits = 0, intranslate_hits = 4
2 (inside) to (outside) source dynamic inside-nat interface
translate_hits = 4, untraslate_hits = 0
ASA# show xlate
1 in use, 3 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from dmz:192.168.2.3 to outside:209.165.200.227 flags s idle 0:22:58 timeout 0:00:00
ASA#

Thomas Moegli
๏ La création d’un Network Object se fait via le bouton Add
Configuration NAT sur ASDM
Ajout d’un Network Object
148

Thomas Moegli
๏ S’effectue lors de la création du Network Object
๏ Les paramètres de configuration NAT sont regroupés dans l’onglet NAT. Développer avec le bouton
๏ Dans l’option Type:, sélectionner Dynamic PAT (Hide)
Dynamic PAT
149

Thomas Moegli
๏ S’effectue lors de la création du Network Object
๏ Les paramètres de configuration NAT sont regroupés dans l’onglet NAT. Développer avec le bouton
๏ Dans l’option Type:, sélectionner Static
Static NAT
150

Thomas Moegli
๏ Configuration ➔ Firewall ➔ NAT Rules
Vérification des règles NAT
151

Cisco ASA
AAA

Thomas Moegli
AccountingAuthorizationAuthentication
AAA
153

Thomas Moegli
๏ Contrairement aux routeurs ISR, les périphériques ASA ne supportent pas l’authentification locale sans utilisation du
protocole AAA
๏ Les périphériques ASA peuvent être configurés pour effectuer l’authentification via :
๏ Une base de donnée locale
๏ Un serveur externe
๏ Les deux
AAA sur ASA
154

Thomas Moegli
Authentification AAA locale
๏ Local AAA utilise une base de données locale pour l’authentification
๏ La base de données locale est configurée sur le périphérique ASA
๏ Idéal pour une petite entreprise qui ne dispose pas d’un serveur dédié
๏ Configuration - Création d’un utilisateur local : 
๏ Configuration - Activation de l’authentification AAA en utilisant une base locale : 
AAA sur ASA
Configuration : Authentification AAA
155
ASA(config)# username name password password [privilege priv-level]
ASA(config)# aaa authentication {enable | http | ssh | telnet} console {aaa-svr-name | LOCAL}
ASA(config)# username admin password cisco privilege 15
ASA(config)#
ASA(config)# aaa authentication enable console LOCAL
ASA(config)# aaa authentication http console LOCAL
ASA(config)# aaa authentication telnet console LOCAL
ASA(config)#

Thomas Moegli
๏ Authentification AAA avec serveur dédié
๏ L’authentification AAA basé sur un serveur dédié est une solution plus extensible
๏ Utilisation d’une base de données externe
๏ Pour communiquer entre le périphérique ASA et la base externe, on utilise les protocoles RADIUS et TACACS+
๏ Configuration du périphérique ASA pour communiquer avec un serveur externe :
๏ Création d’un groupe de serveurs RADIUS ou TACACS+ : 
๏ Configuration d’un lien vers un serveur AAA et ajout dans ce groupe : 
๏ Configuration - Activation de l’authentification AAA en utilisant un groupe de serveurs AAA : 
AAA sur ASA
156
ASA(config)# aaa-server server-tag protocol protocol
ASA(config)# aaa-server server-tag [(interface-name)] host {server-ip | name} [key password]
ASA(config)# aaa authentication {enable | http | ssh | telnet} console server-tag

Thomas Moegli
๏ Configuration de l’authentification AAA via un serveur TACACS+ ainsi qu’une authentification locale
๏ L’authentification locale est utilisé uniquement si le serveur TACACS+ est indisponible
AAA sur ASA
157
ASA(config)# username admin password cisco privilege 15
ASA(config)#
ASA(config)# aaa-server TACACS-SVR protocol tacacs+
ASA(config-aaa-server-group)# aaa-server TACACS-SVR (dmz) host 192.168.1.2 key cisco123
ASA(config-aaa-server-group)# exit
ASA(config)#
ASA(config)# show run aaa-server
aaa-server TACACS-SVR protocol tacacs+
aaa-server TACACS-SVR (dmz) host 192.168.1.2 key *****
ASA(config)#
ASA(config)# aaa authentication http console TACACS-SVR LOCAL
ASA(config)# aaa authentication ssh console TACACS-SVR LOCAL
ASA(config)# aaa authentication telnet console TACACS-SVR LOCAL
ASA(config)# aaa authentication enable console TACACS-SVR LOCAL
ASA(config)#

Thomas Moegli
๏ Se déconnecter puis se reconnecter
๏ Commandes de vérification :
๏ show running-conf username : Commande pour voir tous les comptes utilisateur
๏ show running-conf aaa : Commande pour voir la configuration AAA
๏ Pour effacer toute la configuration AAA, utiliser la commande clear config aaa
AAA sur ASA
Vérification : Authentification AAA
158
ASA# show run aaa
aaa authentication http console TACACS-SVR LOCAL
aaa authentication ssh console TACACS-SVR LOCAL
aaa authentication telnet console TACACS-SVR LOCAL
aaa authentication enable console TACACS-SVR LOCAL
ASA# disable
ASA> exit
Username: admin
Password: *****
Type help or '?' for a list of available commands.
ASA>
ASA# clear config aaa
ASA# show running-conf username
ASA# show running-conf aaa

Thomas Moegli
๏ Configuration ➔ Device Management ➔ Users/AAA ➔ Users Accounts
๏ L’ajout d’utilisateurs se fait via le bouton Add
Configuration AAA via ASDM
Ajout d’utilisateurs dans la base de données locale
159

Thomas Moegli
๏ Configuration ➔ Device Management ➔ Users/AAA ➔ AAA Server Groups
๏ La création d’un groupe se fait dans la section AAA Server Group, via le bouton Add
Création d’un AAA Server Group
160

Thomas Moegli
๏ Configuration ➔ Device Management ➔ Users/AAA ➔ AAA Server Groups
๏ La création d’un groupe se fait dans la section Servers in the Selected Group via le bouton Add
๏ Les paramètres de configuration RADIUS ou TACACS+ s’affichent selon le protocole indiqué à la création du Server
Group
Ajout d’un serveur au Server Group
161

Thomas Moegli
๏ Configuration ➔ Firewall ➔ Users/AAA ➔ AAA Access ➔ Authentication
Activation de l’authentification AAA
162

Cisco ASA
Modular Policy Framework (MPF)

Thomas Moegli
๏ MPF définit un ensemble de règles pour configurer des fonctionnalités comme par ex. inspection de trafic et QoS au
trafic qui traverse l’ASA
๏ Permet la classification des flux de trafic et l’application de différentes policies aux flux
๏ Cisco MPF utilise trois objets de configuration pour définir les règles :
๏ Class Maps
๏ Définit les critères pour identifier le trafic avec la commande class-map
๏ Policy Maps
๏ Associe des actions au trafic identifié par la Class Map avec la commande policy-map
๏ Service Policies
๏ Rattache les Class et Policy Maps à une interface ou globalement sur toutes les interfaces avec la commande service-policy
164
Class Maps Policy Maps Service Policy

Thomas Moegli
Class Maps
• Qu’est ce qu’on
analyse ?
• Identifie le trafic sur
lequel appliquer MPF
• Création d’une Class
Maps de couche 3/4
avec un ou plusierus
critères
Policy Maps
• Quelles sont les
actions à appliquer ?
• Création d’une règle
pour le trafic de la
couche 3 à la couche 7
• Création d’une Policy
map contenant
plusieurs Class Maps
avec leurs actions
associées
Service Policy
• Ou ces règles doivent
être appliquées ?
• Activation de la Policy
Map sur les interfaces
• Création d’une Service
Policy qui s’applique à
une Policy Maps et une
interface ou sur toutes
les interfaces
165
class-map class-name policy-map policy-name service-policy serv-name
interface intf-name

Thomas Moegli
๏ Configuration d’une ACL Extended pour identifier le trafic
๏ Configurer la Class Map pour identifier le trafic à l’aide de l’ACL configurée précédemment
๏ Configurer la Policy Map pour appliquer les actions à ces Class Maps
๏ Configurer la Service Policy pour rattacher la Policy Map à une interface
4 étapes pour configurer MPF sur un ASA
166
ASA(config)# access-list TFTP-TRAFFIC permit udp any any eq 69
ASA(config)#
ASA(config)# class-map CLASS-TFTP
ASA(config-cmap)# match access-list TFTP-TRAFFIC
ASA(config-cmap)# exit
ASA(config)#
ASA(config)# policy-map POLICY-TFTP
ASA(config-pmap)# class CLASS-TFTP
ASA(config-pmap-c)# inspect tftp
ASA(config-pmap-c)# exit
ASA(config-pmap)# exit
ASA(config)#
ASA(config)# service-policy POLICY-TFTP global
ASA(config)#

Thomas Moegli
๏ Une Class Map permet d’identifier le trafic de couche 3 et couche 4
๏ Pour créer une Class Map, utiliser la commande class-map class-map-name.
๏ On passe en mode de configuration Class-Map
๏ Le nom class-default et tout nom qui commence par _internal ou _default sont réservés et ne peuvent être utilisés
๏ Le nom de la Class Map doit être unique et ne peut dépasser 40 caractères
Class Maps
167
NOTE
๏ Pour le trafic de management à destination de l’ASA, on utilise la commande  
class-map type management class-map-name

Thomas Moegli
๏ En mode de configuration Class Maps, les options de configuration sont :
๏ description : Ajout d’une description à la Class Map
๏ match any : Class Map qui identifie tout le trafic
๏ match access-list access-list-name : Class Map qui identifie le trafic spécifié par une ACL Extended
๏ Pour afficher la configuration d’une Class Map, utiliser la commande
Class Maps : Mode de configuration
168
description
match any
match access-list access-list-name
show running-config class-map

Thomas Moegli
๏ Une Policy Map permet de combiner le trafic identifié par une Class Map avec une action
๏ Etapes
๏ Utilisation de la commande de configuration globale
๏ Le nom de la Policy map doit être unique et ne comporter pas plus de 40 caractères
๏ On passe en mode de configuration Policy Map (config-pmap)
๏ En mode config-pmap, configurer les options :
๏ description : Ajout d’une description à la Policy Map
๏ class : Identifie une Class Map sur laquelle appliquer les actions. (Entre en sous-mode de config)
๏ Assigner les actions pour la classe :
๏ set connection : Définit les valeurs de connexion
๏ inspect : Vérifie le trafic au niveau protocole
๏ police : Définit une limitation de bande passante sur ce trafic
Policy Maps
169
description
class
set connection
inspect
police

Thomas Moegli
๏ Pour afficher les informations sur une configuration Policy Map, utiliser la commande : 
show running-config policy-map
๏ Pour supprimer toutes les Policy Maps, utiliser la commande suivante : 
Policy Maps : Vérification
170
show running-config policy-map
clear configure policy-map

Thomas Moegli
๏ Pour activer une Policy Map sur toutes les interfaces ou sur une interface particulière, on utilise une Service Policy qui
se configure avec la commande service-policy
๏ Syntaxe : 
Service Policy
171
ASA(config)# service-policy policy-map-name [global | interface intf]
ASA(config)# service-policy

Thomas Moegli
๏ Pour afficher la configuration des Service Policies, utiliser la commande show service-policy ou  
show running-config service-policy
๏ Pour supprimer tous les Service Policies configurés, utiliser la commande clear configure service-policy
Service Policy : Vérification
172
ASA# show service-policy
ASA# show running-config service-policy
ASA# clear configure service-policy

Thomas Moegli
๏ MPF propose trois paramètres par défaut :
๏ Default Class map
๏ Default Policy map
๏ Default Service policy
๏ La configuration inclut également une Class Map par défaut pour le trafic de couche 3/4 que l’ASA utilise par défaut .
Cette class-map est appelée inspection_default
๏ class-map inspection_default
๏ match default-inspection-traffic
Default Class Map
173
class-map inspection_default
match default-inspection-traffic

Thomas Moegli
๏ La configuration inclut une Policy Map de couche 3/4 par défaut que l’ASA utilise par défaut. Cette Policy Map est
appelée global_policy et effectue de l’inspection sur plusieurs protocoles usuels (DNS, FTP, …)
๏ Il ne peut y avoir qu’une seule Policy globale
Default Policy Map
174

Thomas Moegli
๏ Par défaut, l’ASA contient un Service Policy global qui utilise la Policy Map par défaut présentée précédemment
๏ Ce Service Policy s’applique sur toutes les interfaces
๏ Pour modifier la Policy globale, l’administrateur doit aller éditer cette Default Policy, ou la désactiver et appliquer une
nouvelle Policy
Default Service Policy
175

Cisco ASA

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Cisco ASA

Similaire à Cisco ASA (20)

Plus de Thomas Moegli

Plus de Thomas Moegli (11)

Dernier

Dernier (20)

Cisco ASA